# 移動性管理(Mobile Management) ###### tags: `5G` :::info 5G 核網基本概念 - 移動性管理 ::: ### 用戶標誌與位置標誌 用戶標誌分為永久標誌與非永久標誌兩種: - **永久標誌** ==一旦用戶綁定便不會修改，具備一定程度的隱私性== ```[] 1. SUPI 2. 通用公共訂閱標誌(GPSI) 3. 永久設備標誌(PEI) ``` - **非永久標誌** ==用於臨時標示用戶，3GPP會不定期更標示符號== ```[] 1. 5G 全球臨時統一標示符(5G-GUTI) 2. SUCI ``` 位置標誌包含**小區位置跟蹤標誌(TAI)**、**跟蹤區編碼(TAC)** ### SUPI SUPI為永久標誌，5G系統中每個簽約的用戶都會被分配到一個5G SUPI，用於**在3GPP系統中**標示該簽約用戶 SUPI標誌存於**UDM/UDR(一種NF)** 之中，功能類似4G的IMSI。 ==SUPI可包含IMSI訊息或是用於私有網路的特定網路標誌(network-specific identifier)== IMSI格式: |封包|MCC|MNC|MSIN| |-|---|---|----| |長度|3bit|2~3bit|<=10bit| ||PLMN|PLMN|| - In 漫遊場景: SUPI需要攜帶所歸屬網路的地址資訊:MNC、MCC - 若與 EPC Network互通: SUPI總是基於IMSI ### 通用公共訂閱標誌 (GPSI) GPSI為永久標誌，**用於在非3GPP網路之中來標示一個3GPP的簽約** GPSI與3GPP的對應關係會儲存在簽約資料中；GPSI在系統內部與外部都可作為公共標誌。 GPSI可以是**MSISDN**或其他外部標誌 ### 永久設備標誌(PEI) PEI為永久標誌，**針對存取5G網路的3GPP UE的標誌** 不同類型的UE和不同使用場景，PEI可能會有不同格式 UE可在發送PEI的同時，攜帶對應 該PEI所使用格式的指令訊息 若UE支援至少一種3GPP存取技術，則UE的PEI系需使用IMEI或IMEISV格式 ### 5G 全球臨時統一標示符(5G-GUTI) 5G-GUTI是一個非永久標誌，由AMF為UE臨時分配(於**註冊流程**時分配)的，用於標示該UE 使用不同存取方式(3GPP,non-3GPP)，使用相同的5G-GUTI - 5G-GUTI的結構: ``` <5G-GUTI>:=<GUAMI><5G-TMSI> (:= 為 " 定義為 " 的符號) <GUAMI>:用於標示一個或多個AMF <5G-TMSI>:用於識別唯一的UE ``` - GUAMI的結構: ``` <GUAMI>:= <MCC><MNC><AMF Region ID><AMF Set ID><AMF Pointer> <AMF Region ID>: 用於標示區域 <AMF Set ID>: 在AMF區域中唯一標示一組AMF <AMF Pointer>: 在AMF組中唯一標示一個AMF ``` - 5G-S-TMSI是GUTI的縮短形式，用於無線signalling(尋呼或業務請求流程)提升傳輸效率 - 5G-S-IMSI-結構: ``` <5G-S-TMSI>:= <AMF Set ID><AMF Pointer><5G-TMSI> ``` - 5G-TMSI的10位最低有效位元被NG-RAN用來決定UE的呼叫時機 - 所以該10位最低有效位元應平均分布，使不同UE的尋呼時機均勻分布 |MCC|MNC|AMF Region ID|AMF Set ID|AMF Pointer|5G-TMSI| |---|---|-------------|----------|-----------|-------| |12bit|8/12bit|16bit|4bit|4bit|32bit| |PLMN|PLMN|AMF ID|AMF ID| AMF ID| |GUAMI|GUAMI|GUAMI|GUAMI|GUAMI| ||||5G-S-TMSI|5G-S-TMSI|5G-S-TMSI| |**5G-GUTI**|**5G-GUTI**|**5G-GUTI**|**5G-GUTI**|**5G-GUTI**|**5G-GUTI**| ### SUCI SUCI是非永久性標誌，基於 ==SUPI(Subscription Permanent Identifier)== 加密形式構成用於保護隱私的標誌 由於每個簽約用戶的SUPI是永久且唯一的，直接傳輸會有隱私風險 UE(USIM或ME)可以根據**ECIES**,甚至是**Null-Scheme**生成SUCI 當AMF收到SUCI後，觸發授權(Authentication)流程，之後在UDM/SIDF中使用解密演算法(SIDF)將收到的SUCI解碼成SUPI，以利完成後續授權工作 ### TAI&TAC 皆為位置性標誌 TAI: 跟蹤區標誌 TAC: 跟蹤區編碼 - 格式: |MCC|MNC|TAC| |---|---|---| |12bit|8/12bit|20bit| |PLMN ID|PLMN ID|TAC| |**TAI**|**TAI**|**TAI**| ## ### 安全架構與流程 UE在RAN或在不同網路間移動時，需要與網路進行相互認證，確保雙方是可信賴的 UE與網路之間的相互認證需要**5G安全架構**的支援 5G安全架構應包含: ```[] - 緩解和降低攻擊 - 支援驗證和授權機制 - 支持密鑰相關功能 ```  #### 安全架構特點 - 與存取方式(3GPP、non3GPP)無關的安全架構，使用統一的驗證方法與密鑰架構 - 增強安全(4G → IMSI → 不安全 | 5G → SUCI/SUPI → 安全) - 差異化認證: 5G支援USIM,憑證,帳密等多種認證方式 - 服務化架構和開放介面安全 ==安全架構所涉及的NF，包含: ARPF,AUSF,SEAF,SIDF== - ARPF: - 與UDM一起部屬 - 負責儲存根密鑰 $Ki$ 和相關的簽約資料 - 計算5G授權向量 - AUSF: - 提供**EAP認證伺服器**的功能，進行EAP認證以推導出**錨點密鑰** `🤢甚麼是EAP認證??` `甚麼是錨點密鑰?` - SEAF: - 與AMF一起部屬 - 負責根據錨點密鑰來推導出下層的NAS與AS密鑰，5G AKA 完成授權結果比較功能 - SIDF: - 與UDM一起部屬 - 負責將SUCI解碼成SUPI #### 安全流程  - 由UE發起Request，發送SUCI或5G-GUTI訊息給SEAF - SEAF將SUCI或SUPI(若5G-GUTI有效)發送給來源網路(歸屬地網路)的AUSF - AUSF進行認證完後，將訊息發送給來源網路的 UDM - UDM收到SUCI，將其解碼為SUPI，並通過用戶資料，選擇相應的認證演算法，透過後續流程完成身分認證 目前5G支援的認證演算法: **EAP-AKA'** 和 **5G AKA** -3GPP TS 33.501 ### 用戶狀態 #### 註冊管理 #### 連接管理 --- 上一章節- **[5G Network Interface and Protocol Stack](https://hackmd.io/@Kevinneck/ryOksltOu)** 下一章節- --- ## 參考資料 https://cat.chriz.hk/2019/12/5g-security-architecture.html