在无线通信系统中网络运营商为每个SIM卡分配了一个唯一的标识符；这在4G之前被称为IMSI(International Mobile Subscriber Identity);在5G网络中称为用户永久标识SUPI(Subscription Permanent Identifier)。由于用户（UE)及其网络服务商之间的身份验证基于共享的对称密钥,因此只能在用户标识识别之后才能使用。但如果IMSI/SUPI在通过无线链路中以明文发送,则可能(被别人)使用这些永久标识符来识别,定位和跟踪。

为避免这种用户隐私信息的泄露,运营商在网络中为SIM卡分配了临时标识符(临时移动用户身份-TMSI),这就是3G,4G和5G系统中的GUTI。这些频繁更改的临时标识符随后全部用于无线接入链路上的标识目的。但是在某些情况下不可能通过使用临时标识符进行身份验证,例如用户首次在网络上注册并且尚未分配临时标识符时,另一种情况是网络无法从TMSI/GUTI解析出IMSI/SUPI时。

“网络黑客”就是有意模拟这种情况,以迫使毫无戒心的用户泄露其身份ID(IMSI/SUPI),这些攻击被称为“ IMSI捕获”攻击,并持续存在当今包括4G LTE/LTE-Adv的移动网络中。

5G中IMSI获取方案

数十年来IMSI 捕获攻击一直威胁着2G/3G/4G的移动通信。由于传统网络向后兼容,因此这一隐私问题几乎一直存在。然而尽管以向后兼容为代价3GPP已决定解决该问题；与前几代通信系统不同，在5G-GUTI识别失败的情况下5G的安全规范不允许SUPI通过无线接口进行纯文本传输,而是将SUPI经过ECIES加密方案(Elliptic Curve Integrated Encryption Scheme)生成隐私保护标识符---隐藏SUPI后的标识SUCI(Subscription Concealed Identifier)。

SUPI(Subscription Permanent Identifier)用户(订阅)永久标识符

SUPI是3GPP规范TS 23.501中定义网络运营商分配给每个用户的5G全球唯一订阅永久标识符(SUPI).SUPI值由5G Core的USIM和UDM/UDR功能单元提供。SUPI中将包括以下任意一项：

• TS 23.503为3GPP RAT定义的IMSI(International Mobile Subscriber Identifier）

• 非3GPP RAT的TS 23.003中定义基于RFC 4282的用户标识中定义的NAI(Network Access Identifier）

SUPI通常由15个十进制数字组成字符串。前三位代表移动国家/地区代码(MCC),而后两位或三位数字则代表标识网络运营商的移动网络代码(MNC)。其余(9或10位)数字称为移动用户识别号(MSIN),代表该特定运营商的单个用户。SUPI等效于IMSI,它唯一地标识ME,也是15位数字的字符串。

SUC(Subscription Concealed Identifier)用户(订阅)隐藏标识符

用户(订阅)隐藏标识符-SUCI是包含隐藏着SUPI的隐私保护标识符。UE使用基于ECIES的加密方案以及家庭网络的公钥来生成SUCI,该SUCI在USIM注册期间安全地提供给USIM。

SUPI中仅MSIN部分被保护方案隐藏,而归属网络标识符(即MCC / MNC）以纯文本格式传输。构成SUCI的数据字段如下:

• SUPI类型:由0~7之间值组成。它标识了隐藏在SUCI中SUPI的类型,定义值如下：

•       0:IMSI

•       1:网络访问标识(NAI）

•       2~7:备用值

• 本地网络标识符:标识用户本地网络。当SUPI类型为IMSI时,归属网络标识由MCC和MNC组成。当SUPI类型为网络访问标识符时,归属网络标识符由字符串组成,这些字符串长度可变,代表域名，如user@techno.com

• 路由标识:由本地网络运营商分配并由USIM规定1~4个十进制数字组成。

• 保护方案标识符:它由一个0~15之间的值组成，并用4位表示：

•       空   0x0

•       文件<A> 0x1

•       文件<B> 0x2

• 家庭网络公共密钥标识符:它由一个0~255之间的值组成。它表示由HPLMN设置的公共密钥，用于标识用于SUPI保护的密钥。如果使用零方案，则该数据字段应设置为0;

• 保护方案输出:它由一串具有可变长度或十六进制数字的字符组成,具体取决于所使用的保护方案.

UE与网络用户5G ID交换

用户识别机制允许通过SUCI在空中无线接口上识别终端(UE)。下图显示了终端(UE)与网络之间的识别交换流程。

当终端(UE)尝试首次注册时,将SUPI加密为SUCI并发送SUCI请求的初始注册。AMF将此SUCI转发给AUSF＆UDM以检索带有身份验证请求的SUPI。AUSF应使用SUPI信息以身份验证响应进行回复。

进一步的AMF会为此SUPI生成GUTI，并保留GUTI到SUPI的映射,以进行下一步的注册或PDU会话请求。

在随后注册请求中，终端(UE)向GUTI发送注册请求。现有两种可能情况：             1.AMF能够使用GUTI和SUPI映射生成SUPI

        2.AMF无法生成SUPI

在第一种情况下AMF使用GUTI生成SUPI，并可以使用SUPI完成对AUSF的身份验证。

在第二种情况下当无法使用AMF处的GUTI标识UE时，AMF请求UE进行身份请求，然后UE可以使用包含SUCI的身份响应进行响应。