تمكين إخفاء SUPI

  • مقالة

المعرف الدائم للاشتراك (SUPI) هو معرف فريد ودائم لجهاز. لتجنب إرسال هذا المعرف في نص عادي، يمكن إخفاؤه من خلال التشفير. تعرف القيمة المشفرة باسم المعرف المخفي للاشتراك (SUCI). يتم تنفيذ التشفير (إخفاء SUPI) بواسطة UE عند التسجيل، ما يؤدي إلى إنشاء SUCI جديد في كل مرة لمنع تعقب المستخدم. يتم تنفيذ فك التشفير (فك تشفير SUCI) بواسطة وظيفة شبكة إدارة البيانات الموحدة (UDM) في ذاكرة أساسية للحزمة.

يتطلب إخفاء SUPI مفتاحا عاما للشبكة المنزلية (HNPK) ومفتاحا خاصا مطابقا. يتم تخزين المفتاح العام على بطاقة SIM. يتم تخزين المفتاح الخاص في Azure Key Vault والإشارة إليه بواسطة عنوان URL تم تكوينه على نواة الحزمة. في هذا الدليل الإرشادي، ستتعلم كيفية تكوين نواة الحزمة باستخدام مفتاح خاص لإلغاء تكوين SUCI.

يتم تحديد إخفاء SUPI وإلغاء تكوين SUCI في 3GPP TS 33.501: بنية الأمان وإجراءات نظام 5G.

هام

قد يكون إخفاء SUPI مطلوبا لبعض معدات المستخدم للعمل. راجع وثائق مورد المعدات للحصول على التفاصيل.

المتطلبات الأساسية

  • تأكد من أنه يمكنك تسجيل الدخول إلى مدخل Microsoft Azure باستخدام حساب مع الوصول إلى الاشتراك النشط الذي حددته في إكمال المهام الأساسية لنشر شبكة جوال خاصة. يجب أن يكون لهذا الحساب دور المساهم المضمن في نطاق الاشتراك.

  • حدد اسم مورد شبكة الجوال المطابق لشبكة الجوال الخاصة بك.

  • حدد نظام حماية SUPI الذي تريد استخدامه (ملف التعريف A أو ملف التعريف B).

  • اتصل بمورد بطاقة SIM لمناقشة برمجة SIMs باستخدام المفاتيح العامة. ستحتاج إلى الموافقة على تحديد نظام حماية SUPI الذي يجب استخدامه (ملف التعريف A أو ملف التعريف B) ومعرف (معرفات) المفتاح الذي يجب استخدامه.

إنشاء مفاتيح خاصة بالشبكة المنزلية

يمكنك استخدام أداة OpenSSL في Bash لإنشاء زوج مفاتيح عام وخاصة لملف التعريف A أو ملف التعريف B.

ملف التعريف أ

عند استخدام نظام حماية SUPI Profile A، يجب أن يكون المفتاح هو مفتاح خاص X25519.

  1. سجل الدخول إلى Azure CLI باستخدام Azure Cloud Shell وحدد Bash من القائمة المنسدلة.

  2. إنشاء زوج مفاتيح وحفظ المفتاح الخاص إلى ملف يسمى hnpk_profile_a.pem:

    openssl genpkey -algorithm x25519 -outform pem -out hnpk_profile_a.pem

  3. احصل على المفتاح العام المقابل واحفظه في ملف يسمى hnpk_profile_a.pub:

    openssl pkey -in hnpk_profile_a.pem -pubout -out hnpk_profile_a.pub

ملف التعريف B

عند استخدام نظام حماية SUPI Profile B، يجب أن يكون المفتاح هو مفتاح خاص منحنى Elliptic باستخدام منحنى prime256v1.

  1. سجل الدخول إلى Azure CLI باستخدام Azure Cloud Shell وحدد Bash من القائمة المنسدلة.

  2. إنشاء زوج مفاتيح وحفظ المفتاح الخاص إلى ملف يسمى hnpk_profile_b.pem:

    openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:prime256v1 -outform pem -out hnpk_profile_b.pem

  3. احصل على المفتاح العام المقابل واحفظه في ملف يسمى hnpk_profile_b.pub:

    openssl pkey -in hnpk_profile_b.pem -pubout -out hnpk_profile_b.pub

إضافة مفاتيح خاصة بالشبكة المنزلية إلى Azure Key Vault

يتم تخزين المفاتيح الخاصة بالشبكة المنزلية في Azure Key Vault.

هام

يجب استخدام سطر أوامر Azure لتحميل المفاتيح لأن المدخل لا يدعم الإدخالات متعددة الأسطر.

  1. إما إنشاء Azure Key Vault أو اختيار واحد موجود لاستضافة المفاتيح الخاصة بك. تأكد من أن Key Vault يستخدم التحكم في الوصول استنادا إلى الدور (RBAC) للتخويل. سيحتاج المستخدم إلى دور Key Vault Secrets Officer.

  2. قم بتحميل المفتاح الخاص إلى Key Vault كبيانات سرية، مع تحديد اسم لتعريفه:

    az keyvault secret set --vault-name "<Key Vault name>" --name "<secret name, e.g. hnpk-a-123>" --file <Key file name>

  3. دون ملاحظة عن عنوان URL للمعرف السري. هذا في إخراج الأمر، أو يمكنك الانتقال إلى Key Vault في المدخل وتحديد السر. ستحتاج إلى تكوين نواة الحزمة باستخدام عنوان URL هذا.

  4. كرر ذلك لأي مفاتيح خاصة إضافية.

إنشاء هوية مُدارة يعينها المستخدم

  1. إنشاء هوية مدارة يعينها المستخدم. دون معرف مورد UAMI الخاص به.

  2. تعيين وصول مستخدم Key Vault Secrets إلى Key Vault للهوية المدارة.

  3. انتقل إلى مورد شبكة الجوال في المدخل وحدد الهوية من القائمة الإعدادات اليسرى. حدد Add لإضافة الهوية المدارة المعينة من قبل المستخدم إلى شبكة الجوال.

تكوين المفاتيح الخاصة بالشبكة المنزلية على نواة الحزمة

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن مورد شبكة الجوال الذي يمثل شبكة الجوال الخاصة التي تريد توفير SIMs لها وحدده.

    لقطة شاشة لمدخل Azure. يعرض نتائج البحث عن مورد شبكة الجوال.

  3. حدد تعديل شبكة الجوال.

  4. ضمن تكوين المفتاح العام للشبكة الرئيسية، حدد إضافة لملف التعريف أ أو ملف التعريف B.

    لقطة شاشة لمدخل Azure. يعرض جزء تكوين شبكة الجوال.

  5. أضف تفاصيل المفتاح.

    • اختر معرفا بين 1 و255 وأدخله في حقل المعرف . يجب أن يتطابق المعرف مع المعرف الرئيسي المتوفر على SIMs، كما هو متفق عليه مع مورد SIM الخاص بك.
    • أدخل عنوان URL الخاص بسر المفتاح الخاص في حقل url ، أو حدد Choose secret لتحديده من قائمة منسدلة.

    لقطة شاشة لمدخل Azure. يعرض ملف التعريف A منبثقة المفاتيح.

  6. حدد إضافة.

  7. كرر ذلك لأي مفاتيح خاصة إضافية.

  8. ارجع إلى مورد شبكة الجوال. يجب أن تظهر الآن المفاتيح العامة لشبكة Home : succeeded.

  9. انتقل إلى مورد حزمة وحدة التحكم الأساسية. يجب أن يظهر الآن توفير المفاتيح الخاصة للشبكة المنزلية : نجح.

تعطيل إخفاء SUPI

إذا كنت بحاجة إلى تعطيل إخفاء SUPI، فقم بإزالة التكوين من مورد شبكة الجوال.

تدوير المفاتيح

يتم تخزين المفتاح العام بشكل دائم على بطاقة SIM، لذلك لتغييره ستحتاج إلى إصدار بطاقات SIM جديدة. لذلك نوصي بإنشاء زوج مفاتيح جديد بمعرف جديد وإصدار بطاقات SIM جديدة. بمجرد أن تكون جميع بطاقات SIM القديمة خارج الخدمة، يمكنك إزالة التكوين الأساسي للحزمة للمفاتيح القديمة.

الخطوات التالية

يمكنك استخدام التتبع الموزع للتأكد من تنفيذ إخفاء SUPI في الشبكة.