MSCBSC 移动大发棋牌龙虎
搜索
登录注册
网络优化工程师招聘专栏 4G/LTE通信工程师最新职位列表 通信实习生/应届生招聘职位
 

  • 阅读:2727
  • 回复:0
5G(NR)网络中终端的标识SUPI和SUCI
KangGuoYing
版主
鎵嬫満鍙风爜宸查獙璇? style=


 发短消息    关注Ta 

C友·铁杆勋章   公益·慈善勋章   C友·贡献勋章   纪念勋章·七周年   财富勋章·万元户   专家·高级勋章   财富勋章·财运连连   财富勋章·小财主   C友·登录达人   财富勋章·富甲一方   纪念勋章·八周年   纪念勋章·九周年   纪念勋章·十周年   纪念勋章·十二周年   C友·技术大神  
积分 92187
帖子 5987
威望 467436 个
礼品券 11319 个
专家指数 24067
注册 2007-3-13
专业方向 
回答问题数 13553
回答被采纳数 1833
回答采纳率 14%
 
发表于 2020-2-21 18:06:38  只看楼主 

       在移动通信中网络运营商通常给每个SIM卡分配一个(唯一的)标识;这个标识在4G就是IMSI(国际移动用户识别码),在5G网络中就是SUPI(用户永久标识符); 用户与运营商之间的认证是基于共享的对称密钥,因此它只能在用户识别之后起效。如果IMSI/SUPI在无线空口接入中以明文发送,(其它人)就可能利用该数据对用户进行识别、定位和跟踪。

    为避免这种私人信息泄露,2和3G网络为SIM卡分配了临时标识TMSI4G以后拜访地网络为SIM卡分配了GUTI;这些频繁更换的临时标识,被用来无线接入过程中对用户的识别。然而在某些情况下不能使用临时标识符进行认证如,用户首次向网络注册(还未分配临时标识符);另一种就是所访问网络无法解析源自TMSI/GUTIIMSI/SUPI;就需使用明文来标识用户

     在现实中可以模拟这个场景,强迫用户终端暴露其身份(如wei基站);其目的就是“截获IMSI”;这种情况在当今包括4G LTE/LTE-Adv网络中依然存在。

一、5GIMSI 标识SUPI 

      空中“截获IMSI”问题在移动通信中从2G4G已经有几十年历史了;由于系统向后兼容性,这个问题一直存在;3GPP决定解决这个问题,其代价是向下兼容。5G(NR)的安全规范中不允许通过无线空口进行SUPI的明文传输,而是提出了一种基于椭圆曲线集成加密方案(ECIES)的隐私保护标识符,该标识符隐藏 SUPI;这个隐藏的SUPI称为SUCI (用户隐藏标识符)。

      SUPI是分配给每个用户的5G全球唯一用户永久标识符,在3GPP TS 23.501中定义:SUPI值由USIM中提供,UDM /UDR函数由5G核心网提供。具体定义:

  •      IMS3GPP TS 23.503定义    

  •    网络接入标识NAI根据TS 23.003 for non-3GPP RATRFC4282定义

        SUPI15位十进制数组成,其中前三位为国家代码MCC,中间2-3位为运营商代码MNC,剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商;SUPI就等同于唯一标识MEIMSI,也是一个15位的字符串。

SUPI 1.png

二、用户隐藏标识符SUCI

        用户隐藏标识符(SUCI)是包含隐藏SUPI的保护隐私标识符; UE使用基于ECIES的保护方案和注册地网络的公共密钥生成一个SUCI,该方案在USIM注册期间安全地提供网络公钥。

    SUPI中只有MSIN部分根据注册网络标识进行了隐藏;如MCC/MNC仍以明文传输;组成SUCI的数据字段如下:

SUCI 2.png

三、  SUPI类型

     标识0---7,标识SUPI中隐藏的SUCI(定义如下)

              0: IMSI(隐藏IMSI)

              1: Network Access Identifier (NAI) (隐藏NAI)

              2: 2 to 7 spare values for future use.  (预留)

    注册地网络标识:标注用户注册地网络。当SUPIIMSI时,其注册地标识包括MCCMNC;当SUPI为NAI时,其注册地网络长度不定代表域名的字符串;

       路由标识:包括1—4个十进制数据,标识注册网络运营商和其USIM

  保护方案:标识(0---15)4比特表示

    • null-scheme       0x0

    • Profile <A>               0x1

    • Profile <B>               0x2

    注册地公共密钥:取值0-255HPLMN提供公共密钥用于进行SUPI保护;当未启用(null-scheme)时,取值为0

      保护方案输出:由长度可变或16进制数字的字符串组成,其依赖所使用保护方案;


四、5G网络中UE与网络标识使用

    用户标识机制中允许UE在空中通过无线接口以SUCI标识进行传递;UE和网络之间的标识交互流程如下图所示。

SUPI-and-GUTI-Exchange-1.png

   当UE尝试第一次注册时,把SUPI加密成SUCI 并发送一个请求SUCI初始注册。AMF将这个SUCI转发给AUSF & UDM 以获取带有身份验证请求的SUPIAUSF将对含有SUPI信息的身份验证响应。AMF 进一为这个SUPI生成了一个GUTI,并保留了用于进一步注册或PDU会话请求

    在随后的注册请求,UE使用其GUTI发送登记请求。其具体分为两种情况:

1.        AMF能够使用GUTI生成SUPI及映射;

2.       AMF不能生成SUPI

   在第一种情况下,AMF通过使用GUTI生成SUPI;使用SUPI完成对AUSF的身份认证。

   在第二种情况下,当在AMF中使用的GUTI不能识别UE时,AMF请求UE身份,然后UE可用包含SUCI的身份响应身份认证。

源文来自:[url]http://www.techplayon.com/[/url]










微信扫描分享本文到朋友圈
微信扫描二维码,手机阅读更便捷
每天分享朋友圈可获得威望奖励(前两次)

对本帖内容的看法? 我要点评

 
[充值威望,立即自动到帐] [VIP贵宾权限+威望套餐] 另有大量优惠赠送活动,请光临充值中心
充值拥有大量的威望和最高的下载权限,下载站内资料无忧

快速回复主题    
标题
内容
 上传资料请点左侧【添加附件】



当前时区 GMT+8, 现在时间是 2020-3-30 04:37:24
渝ICP备11001752号  Copyright @ 2006-2016 mscbsc.com  本站统一服务邮箱:mscbsc@163.com

Processed in 0.036197 second(s), 13 queries , Gzip enabled
TOP
清除 Cookies - 联系我们 - 移动通信网 - 移动大发棋牌龙虎 - 通信招聘网 - Archiver