应为 5G 系统中的每个用户分配一个 5G 用户永久标识符(SUPI),以在 3GPP 系统中使用。5G 系统支持独立于用户设备标识的用户标识。
每个接入 5G 系统的 UE 都应分配一个永久设备标识符(PEI)。在此版本的范围内,这仅适用于支持至少一种 3GPP 接入技术的设备。
5G 系统支持分配临时标识符(5G-GUTI),以支持用户机密性保护。
在电信系统中,网络运营商为每个SIM卡分配一个唯一的标识符,该标识符在4G之前称为IMSI(国际移动用户身份),而在5G则称为 SUPI(用户永久标识符)。由于用户及其网络提供商之间的身份验证基于共享的对称密钥,因此只能在用户标识之后进行。但是,如果 IMSI / SUPI 值是通过无线电访问链路以明文形式发送的,则可以使用这些永久标识符来识别,定位和跟踪用户。
为避免这种隐私泄露,拜访网络为 SIM 卡分配了临时标识符(称为临时移动用户身份(TMSI),直到 3G 系统以及用于4G 和 5G 系统的 GUTI)。这些频繁更改的临时标识符随后用于无线电访问链路上的标识目的。但是,在某些情况下,无法通过使用临时标识符进行身份验证,例如当用户首次在网络上注册并且尚未分配临时标识符时,另一种情况是访问网络无法解析 IMSI / SUPI。
1. SUPI
supi,Subscription Permanent Identifier,用户永久标识符。全球唯一的 5G 用户永久标识符(SUPI)必须分配给 5G 系统中的每个用户,并在 UDM / UDR 中进行配置。SUPI 仅在 3GPP 系统内部使用,其保密性在 TS 33.501 [29] 中指定。
SUPI 由 15 位十进制数组成,其中前三位为国家代码 MCC,中间 2-3 位为运营商代码 MNC,剩余 9-10 位为移动用户标识码MSIN 共同来代表用户和运营商;SUPI 就等同于唯一标识 ME 的 IMSI,也是一个 15 位的字符串,比如:
460 03 0000007487包含特定于网络的标识符的 SUPI 应采用网络访问标识符(NAI)的形式,使用TS 23.003 [19]中定义的基于 NAI RFC 7542 [20] 的用户标识。
当 UE 需要向网络指示其 SUPI 时(例如,作为注册过程的一部分),UE 以 TS 23.003 [19] 中定义的隐藏形式提供 SUPI。
为了启用漫游方案,SUPI 应包含本地网络的地址(例如,在基于IMSI的SUPI情况下,MCC和MNC)。
为了与 EPC 互通,分配给 3GPP UE 的 SUPI 将始终基于 IMSI,以使 UE 能够向 EPC 呈现 IMSI。
2. SUCI
SUCI, Subscription Concealed Identifier, 用户隐藏标识符。SUCI 是包含隐藏 SUPI 的保护隐私标识符; UE 使用基于 ECIES 的保护方案和注册地网络的公共密钥生成一个 SUCI
3. GUTI
5G-GUTI, 5G Globally Unique Temporary Identifier, 全局唯一的临时 UE 标识
- GUTI 是 80 位长的核心网络标识符
- 由主要的三个网络身份 PLMN + AMF ID + TMSI 组成
- 单个 5G-GUTI 可用于访问 AMF 中的 3GPP 和非 3GPP 技术安全上下文
- AMF 可以在指定条件下随时将新的 5G-GUTI 重新分配给 UE
- 当 UE 处于 CM-IDLE 时,AMF 可能会延迟新 5G-GUTI 的分配,直到发生下一个 NAS 事务
<5G-GUTI> := <GUAMI> <5G-TMSI>
GUAMI (The Globally Unique AMF ID)标识一个或者多个 AMF TS 23.003
<GUAMI> := <MCC> <MNC> <AMF Region ID> <AMF Set ID> <AMF Pointer>
其中 <AMF Region ID> 标识区域,<AMF Set ID> 唯一标识AMF区域内的AMF集,<AMF Pointer> 标识AMF集中的一个或多个AMF
5G-S-TMSI 是 5G-GUTI 的缩短形式,引入5 G-S-TMSI 是为了使空口信令消息更小,提升空口效率。例如寻呼时,只需要用5G-S-TMSI 寻呼移动台即可。
<5G-S-TMSI> := <AMF Set ID> <AMF Pointer> <5G-TMSI>
如 TS 38.304 [50 ]和 TS 36.304 [52] 中针对 3GPP 接入所规定的那样,NG-RAN 使用 5G-TMSI 的 10个 最低有效位来确定寻呼不同 UE 的时间。因此,AMF 必须确保 5G-TMSI 的 10 个最低有效位均匀分布。
3.1 When AMF provides a New 5G-GUTI
在收到来自 UE 的“初始注册”或“移动性注册更新”类型的注册请求消息后,AMF 将在注册接受消息中向 UE 发送新的 5G-GUTI
在收到来自 UE 的“定期注册更新”类型的注册请求消息后,AMF 应在注册接受消息中向 UE 发送新的 5G-GUTI
在从 UE 接收到网络触发的业务请求消息(即 UE 响应寻呼消息而发送的业务请求消息)后,AMF 将使用 UE 配置更新过程向UE 发送新的 5G-GUTI
4. PEI
PEI, Permanent Equipment Identifier, 永久设备标识符
PEI 定义用来为 3GPP UE 进入 5G 系统,PEI 可以针对不同的 UE 类型和用例采用不同的格式。UE 将把 PEI 连同正在使用的 PEI 格式的指示一起呈现给网络。
如果 UE 支持至少一种 3GPP 接入技术(即,NG-RAN,E-UTRAN,UTRAN或GERAN),则必须为 UE 分配 IMEI 或I MEISV 格式的 PEI。
5. GPSI
GPSI, Generic Public Subscription Identifier, 通用公共用户标识符。需要通用公共用户标识符(GPSI)来处理 3GPP 系统外部不同数据网络中的 3GPP 用户。3GPP 系统在用户数据内存储 GPSI 和对应的 SUPI 之间的关联。
6. AMF UE NGAP ID
AMF UE NGAP ID 是用于在 N2 参考点上的 AMF 中标识 UE 的标识符。 AMF 分配 AMF UE NGAP ID 并将其发送到 5G-AN。对于从 5G-AN 发送到 AMF 的 N2 信令交互,使用 AMF UE NGAP ID 标识 AMF 处的 UE。每个 AMF 集的 AMF UE NGAP ID 是唯一的。在给定时间,具有不同 AMF 指针值的 GUAMI 仅与一个 AMF 名称关联。
5G Identity Exchange between UE and Network
用户识别机制允许通过 SUCI 在无线接口上识别 UE。下图显示了 UE 与网络之间的识别交换。
- 当 UE 尝试首次注册时,UE 将 SUPI 加密为 SUCI 并发送 SUCI 请求的初始注册。
- AMF 将此 SUCI 转发给 AUSF&UDM 以检索带有身份验证请求的 SUPI。
- AUSF 应使用 SUPI 信息回复身份验证响应。
- AMF 会为此 SUPI 生成 GUTI,并保留 GUTI 到 SUPI 的映射,以进行进一步的注册或 PDU 会话请求。
在随后的注册请求中,UE 以 GUTI 发送注册请求。 现在可以有两种可能的情况。
- AMF able to generate SUPI using GUTI and SUPI mapping
- AMF not able to generate SUPI
在第一种情况下,AMF 使用 GUTI 生成 SUPI,并且可以使用 SUPI 完成对AUSF 的身份验证。
在第二种情况下,当无法使用 AMF 处的 GUTI 标识 UE 时,AMF 请求 UE 进行身份请求,然后 UE 可以使用包含 SUCI 的身份响应进行响应。
参考:
http://www.techplayon.com/5g-identifiers-supi-and-suci/
http://www.techplayon.com/5g-nr-global-unique-temporary-identifier-guti/
TS 23.501
TS 23.003
TS 22.261
TS 33.501