更换使用5G套餐后需不需要更换手机卡?
答案是:强烈建议更换,但不更换也是可以使用5G网络和5G套餐的,对于上网速度来说是没有任何影响的。
那为什么还要建议更换呢?因为5G SIM卡比4G SIM卡更安全,更符合5G网络生态。
#背景
《中国电信5G SA安全增强SIM卡白皮书》
2020年5月13日,中国电信发布的一份白皮书指出,现有的4G卡不能满足5G网络的信息与安全要求。《中国电信5G SA安全增强SIM卡白皮书》这一白皮书建议,是基于5G全新网络安全的考虑

在该白皮书中,中国电信有明确的说明,他说:
“现阶段用户通过使用运营商已发行的4G卡接入5G网络,现有的4G卡缺少5G标准中定义的新功能和新增的卡文件与服务,用户身份数据在通信过程中使用明文传输,位置信息不够精准,已经不能满足5G网络的信息与安全要求;单一认证鉴权模式无法适应运营商发展第三方业务应用需要。此外,NATIVE的卡片架构,随着5G行业应用的深入拓展,不能很好地去应对各种业务发展的要求,用户享受不到5G网络带来的全新体验与业务服务。根据5G发展策略及5G网络特点,需要一种全新的5G SA安全增强SIM卡(简称“5G卡”)作为接入5G网络的身份识别模块、加载各种5G行业应用的支撑载体,5G卡实现包括用户身份隐私保护、GBA第三方的应用鉴权等功能新特性,为用户数据和业务应用提供安全保障,将助力运营商发展第三方移动应用业务。”
简单总结下电信白皮书的内容,核心关键是两点:
一、5G时代用户信息可以更安全,尤其还是对于未来5G行业应用。5G标准也设计了这样更安全的方案,但是需要换卡才能支持,新卡是一种全新的5G SA安全增强SIM卡(简称5G卡)。
二、因为5G卡实现了包括用户身份隐私保护、GBA第三方的应用鉴权等功能新特性,所以为用户数据和业务应用提供安全保障。5G卡根据3GPP规范为满足5G用户及多样化的5G移动业务要求,增加了5G移动性管理、用户身份隐私保护、安全认证加强、GBA认证、5G接入控制、5G USAT事件等功能。
#4G和5G的区别
在移动通信系统中,运营商通常给每个SIM卡分配一个唯一的标识,4G中这个标识是IMSI(国际移动用户识别码),5G中就是SUPI(用户永久标识符),这就好比是用户的“身份证”。如果IMSI/SUPI在无线空口接入中以明文发送,其它人就可能截获这些数据,并利用该数据对用户进行识别、定位和跟踪。
为避免这种用户身份泄露,网络侧为用户分配了临时标识(2G和3G网络下是TMSI,4G和5G网络是GUTI),这些频繁更换的临时标识,用作无线接入过程中用户标识。然而某些情况下不能使用临时标识,比如用户首次向网络注册此时还未分配临时标识符,再比如网络无法根据TMSI/GUTI查询到IMSI/SUPI,这时用户就需要上报真实身份。
在现实中可以模拟这个场景。例如伪基站,通过高信号强度压制真实基站把手机吸进来(手机会自动选择信号强度最强的基站),之后强行给连接过来的手机发送身份验证请求消息,手机就会乖乖的把自己真实身份报上来,达到“截获IMSI(IMSI Catching)”的目的。这种情况在当今包括4G LTE/LTE-Adv网络中依然存在。
#5G安全技术详述
1、5G中解决“截获IMSI”问题的方案
从2G到4G,“截获IMSI”问题已经有几十年历史了。由于通信系统的后向兼容,这个问题一直存在。3GPP决定解决这个问题,其代价就是牺牲后向兼容。5G决定引入公钥私钥的机制,公钥用来公开并加密,私钥用来保留并解密。将公钥存放在手机端,私钥存放在运营商手里;如此一来,只有运营商可以解密手机的真正的身份信息,攻击者只能拿到加密后的信息,没有私钥也无法解出用户真正身份信息。
5G(NR)的安全规范中不允许通过无线空口进行SUPI的明文传输,而是提出了一种基于椭圆曲线集成加密方案(ECIES)的隐私保护标识符,该标识符包括SUPI信息,这个隐藏了SUPI的标识符就是SUCI(用户隐藏标识符)。
2、5G用户的真实身份——SUPI
SUPI是分配给每个5G用户的全球唯一用户永久标识符,在3GPP TS 23.501中定义。SUPI值预置在USIM卡中,以及5G核心网中UDM /UDR。
SUPI值可以由如下两种方式之一定义:
- 3GPP TS 23.503中为3GPP RAT定义的IMSI。
- 3GPP TS 23.003 中为non-3GPP RAT定义的NAI(网络接入标识),NAI基于RFC4282规则定义。
SUPI和IMSI一样,也是由15位十进制数组成:前3位为国家代码MCC;中间2-3位为运营商代码MNC;剩余9-10位为移动用户标识码MSIN,代表用户和运营商。

3、5G用户的隐藏身份——SUCI
SUCI(用户隐藏标识符)是为保护隐私的标识符,其中隐藏了SUPI;UE使用基于ECIES算法和预置在USIM卡里的公钥生成SUCI。
SUPI中只有MSIN部分进行了隐藏,其它如MCC、MNC仍以明文传输。组成SUCI的数据字段如下:

4、5G用户认证交互流程
UE与基站的无线传输中,一开始就通过隐藏的身份(即SUCI)进行传递。具体交互流程如下:

- UE将SUPI加密成SUCI,并使用SUCI向基站发送注册请求,基站收到消息后,转发给AMF。
- AMF使用SUCI信息向AUSF发起鉴权请求,AUSF根据对应的SUCI,向UDM发起请求。
- UDM根据SUCI解密出SUPI,发给AUSF,AUSF回复AMF鉴权响应,其中带有解码后的SUPI。
- AMF 生成一个GUTI,GUTI和SUPI一一对应,这个GUTI将用于后续进一步注册或PDU会话请求。
- 在随后的注册流程中,UE使用GUTI发送注册请求,这时会出现两种情况:
- AMF能够根据GUTI和SUPI的映射关系生成SUPI
- AMF不能生成SUPI
对于第一种情况,AMF使用SUPI继续完成对UE的认证;对于第二种情况,AMF中不能使用GUTI识别出SUPI时,则AMF向UE发起身份识别请求;UE响应AMF请求,响应中携带SUCI信息;后续与第2步流程一样。
文章评论