在移動通信中網(wǎng)絡運營商通常給每個SIM卡分配一個（唯一的）標識；這個標識在4G就是IMSI（國際移動用戶識別碼），在5G網(wǎng)絡中就是SUPI(用戶永久標識符); 用戶與運營商之間的認證是基于共享的對稱密鑰，因此它只能在用戶識別之后起效。如果IMSI/SUPI在無線空口接入中以明文發(fā)送，（其它人）就可能利用該數(shù)據(jù)對用戶進行識別、定位和跟蹤。

    為避免這種私人信息泄露，2和3G網(wǎng)絡為SIM卡分配了臨時標識TMSI，4G以后拜訪地網(wǎng)絡為SIM卡分配了GUTI;這些頻繁更換的臨時標識，被用來無線接入過程中對用戶的識別。然而在某些情況下不能使用臨時標識符進行認證如，用戶首次向網(wǎng)絡注冊（還未分配臨時標識符）；另一種就是所訪問網(wǎng)絡無法解析源自TMSI/GUTI的IMSI/SUPI；就需使用明文來標識用戶；

     在現(xiàn)實中可以模擬這個場景，強迫用戶終端暴露其身份（如wei基站）；其目的就是“截獲IMSI”；這種情況在當今包括4G LTE/LTE-Adv網(wǎng)絡中依然存在。

一、5G中的IMSI 標識SUPI 

      空中“截獲IMSI”問題在移動通信中從2G到4G已經(jīng)有幾十年歷史了；由于系統(tǒng)向后兼容性，這個問題一直存在；3GPP決定解決這個問題，其代價是向下兼容。5G（NR）的安全規(guī)范中不允許通過無線空口進行SUPI的明文傳輸，而是提出了一種基于橢圓曲線集成加密方案(ECIES)的隱私保護標識符，該標識符隱藏 SUPI；這個隱藏的SUPI稱為SUCI (用戶隱藏標識符)。

      SUPI是分配給每個用戶的5G全球唯一用戶永久標識符，在3GPP TS 23.501中定義：SUPI值由USIM中提供，UDM /UDR函數(shù)由5G核心網(wǎng)提供。具體定義:

•      IMS由3GPP TS 23.503定義    

•    網(wǎng)絡接入標識NAI根據(jù)TS 23.003 for non-3GPP RAT由RFC4282定義

        SUPI由15位十進制數(shù)組成，其中前三位為國家代碼MCC,中間2-3位為運營商代碼MNC，剩余9-10位為移動用戶標識碼MSIN共同來代表用戶和運營商；SUPI就等同于唯一標識ME的IMSI，也是一個15位的字符串。

二、用戶隱藏標識符SUCI

        用戶隱藏標識符(SUCI)是包含隱藏SUPI的保護隱私標識符; UE使用基于ECIES的保護方案和注冊地網(wǎng)絡的公共密鑰生成一個SUCI，該方案在USIM注冊期間安全地提供網(wǎng)絡公鑰。

    SUPI中只有MSIN部分根據(jù)注冊網(wǎng)絡標識進行了隱藏；如MCC/MNC仍以明文傳輸；組成SUCI的數(shù)據(jù)字段如下:

三、  SUPI類型

     標識0---7，標識SUPI中隱藏的SUCI（定義如下）

              0: IMSI（隱藏IMSI）

              1: Network Access Identifier (NAI) （隱藏NAI）

              2: 2 to 7 spare values for future use.  （預留）

    注冊地網(wǎng)絡標識：標注用戶注冊地網(wǎng)絡。當SUPI為IMSI時，其注冊地標識包括MCC和MNC；當SUPI為NAI時，其注冊地網(wǎng)絡長度不定代表域名的字符串；

       路由標識：包括1—4個十進制數(shù)據(jù)，標識注冊網(wǎng)絡運營商和其USIM；

  保護方案：標識（0---15）用4比特表示

• null-scheme       0x0

• Profile <A>               0x1

• Profile <B>               0x2

    注冊地公共密鑰：取值0-255由HPLMN提供公共密鑰用于進行SUPI保護；當未啟用（null-scheme）時，取值為0

      保護方案輸出：由長度可變或16進制數(shù)字的字符串組成，其依賴所使用保護方案；

四、5G網(wǎng)絡中UE與網(wǎng)絡標識使用

    用戶標識機制中允許UE在空中通過無線接口以SUCI標識進行傳遞；UE和網(wǎng)絡之間的標識交互流程如下圖所示。

   當UE嘗試第一次注冊時，把SUPI加密成SUCI 并發(fā)送一個請求SUCI初始注冊。AMF將這個SUCI轉發(fā)給AUSF & UDM 以獲取帶有身份驗證請求的SUPI。AUSF將對含有SUPI信息的身份驗證響應。AMF 進一為這個SUPI生成了一個GUTI，并保留了用于進一步注冊或PDU會話請求

    在隨后的注冊請求，UE使用其GUTI發(fā)送登記請求。其具體分為兩種情況：

1.        AMF能夠使用GUTI生成SUPI及映射；

2.       AMF不能生成SUPI

   在第一種情況下，AMF通過使用GUTI生成SUPI；使用SUPI完成對AUSF的身份認證。

   在第二種情況下，當在AMF中使用的GUTI不能識別UE時，AMF請求UE身份，然后UE可用包含SUCI的身份響應身份認證。

源文來自：[url]http://www.techplayon.com/[/url]