使用場景(來源於對23.501、23.502、33.501、23.003的理解)
1、UE初始註冊時,根據HN Public Key把SUPI加密成SUCI,並發送初始註冊請求
2、AMF轉發SUCI給AUSF和UDM進行認證,並獲取解密後的SUPI
3、AMF根據SUPI生成一個5G-GUTI,並保存映射關系,用於下次註冊或PDU會話請求,並通知UE註冊完成
4、下一次註冊請求,UE使用5G-GUTI發送註冊請求:
- AMF根據5G-GUTI找到SUPI,使用SUPI完成認證
- AMF根據5G-GUTI找不到對應的SUPI,AMF再向UE請求SUCI,根據SUCI重新進行認證
5、隻有在成功激活NAS安全性後,AMF才能向UE發送新的5G-GUTI
6、在從UE接收到“初始註冊”或“移動性註冊更新”或“定期註冊更新”類型的註冊請求消息時,AMF應該在註冊過程中向UE發送新的5G-GUTI
7、在接收到UE響應於尋呼消息而發送的服務請求消息時,AMF將向UE發送新的5G-GUTI。這個新的5G-GUTI應在當前的NAS信令連接被釋放之前發送。(註1:實際情景中要比上述情況更頻繁地重新分配5G-GUTI,例如在收到來自UE的Service Request消息而非網絡觸發。)
8、當UE處於CM-IDLE時,AMF可以延遲向UE提供新的5G-GUTI,直到下一個NAS事務。
5G-GUTI(5G Globally Unique Temporary UE Identity )
5G全局唯一的臨時UE標識,減少在通信中顯示使用UE的永久性標識,提升安全性
<5G-GUTI> = <GUAMI><5G-TMSI>
1)<GUAMI>:標識由哪個AMF分配的5G-GUTI
<GUAMI> = <MCC><MNC><AMF Identifier>
<AMF Identifier> = <AMF Region ID><AMF Set ID><AMF Pointer>
2)<5G-TMSI>:UE在AMF內唯一的id,32bit
5G-GUTI和GUTI
SUCI
SUPI Type:0 IMSI(0-IMSI,1-NAI(Network Access Identifier),2~7-擴展用)
- IMS由3GPP TS 23.503定義
- NAI根據TS 23.003 for non-3GPP RAT由RFC4282定義
Home Network Identifier:MCC-MNC(SUPI TYPE:0),代表域名的字符串(SUPI TYPE:NAI)
Routing Indicator:路由標識,用於發現UDM和AUSF
Protection Scheme Id:0-NULL-scheme,1-Profile<A>, 2-Profile<B>
Home Network Public Key Id:歸屬網絡提供的公鑰ID,范圍0-255,隻有NULL-scheme情況下置為0
Scheme Output:終端ID加密後的密文,NULL-scheme和IMSI情況下即IMSI中的MSIN部分
註:關於SUCI更詳細的說明,可參考下文中的【type of identity "SUCI"】:
SUPI
用戶的5G全球唯一用戶永久標識符
- IMS由3GPP TS 23.503定義
- SUPI由15位十進制數組成,其中前三位為國傢代碼MCC,中間2-3位為運營商代碼MNC,剩餘9-10位為移動用戶標識碼MSIN共同來代表用戶和運營商;SUPI就等同於唯一標識ME的IMSI,也是一個15位的字符串。
- NAI由RFC4282定義