Поделиться через

Включение скрытия SUPI

  • Статья

Постоянный идентификатор подписки (SUPI) — это уникальный постоянный идентификатор устройства. Чтобы избежать передачи этого идентификатора в виде обычного текста, его можно скрыть с помощью шифрования. Зашифрованное значение называется скрытым идентификатором подписки (SUCI). Шифрование (скрытие SUPI) выполняется UE при регистрации, создавая новый SUCI каждый раз, чтобы предотвратить отслеживание пользователя. Расшифровка (SUCI deconcealment) выполняется функцией сети унифицированных Управление данными (UDM) в ядре пакетов.

Для скрытия SUPI требуется открытый ключ домашней сети (HNPK) и соответствующий закрытый ключ. Открытый ключ хранится на SIM-карте. Закрытый ключ хранится в Azure Key Vault и ссылается на URL-адрес, настроенный на ядро пакета. В этом руководстве вы узнаете, как настроить ядро пакета с закрытым ключом для deconcealment SUCI.

Скрытие SUPI и deconcealment SUCI определяются в 3GPP TS 33.501: архитектура безопасности и процедуры для системы 5G.

Внимание

Скрытие SUPI может потребоваться для функционирования некоторого пользовательского оборудования. Дополнительные сведения см. в документации по поставщику оборудования.

Необходимые компоненты

  • Убедитесь, что вы можете войти в портал Azure с помощью учетной записи с доступом к активной подписке, определенной в разделе "Завершить необходимые задачи" для развертывания частной мобильной сети. Эта учетная запись должна иметь встроенную роль участника в области подписки.

  • Определите имя ресурса мобильной сети, соответствующего частной мобильной сети.

  • Определите, какую схему защиты SUPI вы хотите использовать (профиль A или профиль B).

  • Обратитесь к поставщику SIM-карты, чтобы обсудить программирование виртуальных машин с помощью открытых ключей. Необходимо согласиться с тем, какую схему защиты SUPI следует использовать (профилю А или профилю B) и какие идентификаторы ключей следует использовать.

Создание закрытых ключей домашней сети

Средство OpenSSL в Bash можно использовать для создания пары открытых и закрытых ключей для профиля A или профиля B.

Профиль A

При использовании профиля схемы защиты SUPI ключ должен быть закрытым ключом X25519.

  1. Войдите в Azure CLI с помощью Azure Cloud Shell и выберите Bash в раскрывающемся меню.

  2. Создайте пару ключей и сохраните закрытый ключ в файл с именем hnpk_profile_a.pem:

    openssl genpkey -algorithm x25519 -outform pem -out hnpk_profile_a.pem

  3. Получите соответствующий открытый ключ и сохраните его в файл с именем hnpk_profile_a.pub:

    openssl pkey -in hnpk_profile_a.pem -pubout -out hnpk_profile_a.pub

Профиль B

При использовании схемы защиты SUPI Profile B ключ должен быть закрытым ключом эллиптической кривой с помощью кривой prime256v1.

  1. Войдите в Azure CLI с помощью Azure Cloud Shell и выберите Bash в раскрывающемся меню.

  2. Создайте пару ключей и сохраните закрытый ключ в файл с именем hnpk_profile_b.pem:

    openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:prime256v1 -outform pem -out hnpk_profile_b.pem

  3. Получите соответствующий открытый ключ и сохраните его в файл с именем hnpk_profile_b.pub:

    openssl pkey -in hnpk_profile_b.pem -pubout -out hnpk_profile_b.pub

Добавление закрытых ключей домашней сети в Azure Key Vault

Закрытые ключи домашней сети хранятся в Azure Key Vault.

Внимание

Для отправки ключей необходимо использовать командную строку Azure, так как портал не поддерживает многострочный ввод.

  1. Создайте Azure Key Vault или выберите существующий для размещения закрытых ключей. Убедитесь, что Key Vault использует управление доступом на основе ролей (RBAC) для авторизации. Пользователю потребуется роль офицера секретов Key Vault.

  2. Отправьте закрытый ключ в Key Vault в качестве секрета, указав имя для его идентификации:

    az keyvault secret set --vault-name "<Key Vault name>" --name "<secret name, e.g. hnpk-a-123>" --file <Key file name>

  3. Запишите URL-адрес идентификатора секрета. Это в выходных данных команды или вы можете перейти к Key Vault на портале и выбрать секрет. Необходимо настроить ядро пакета с помощью этого URL-адреса.

  4. Повторите все дополнительные закрытые ключи.

Создание управляемого удостоверения, назначаемого пользователем

  1. Создание управляемого удостоверения, назначаемого пользователем. Запишите идентификатор ресурса UAMI.

  2. Назначьте пользователю Key Vault Секреты доступа к Key Vault для управляемого удостоверения.

  3. Перейдите к ресурсу мобильной сети на портале и выберите "Удостоверение" в меню "Параметры слева". Выберите "Добавить", чтобы добавить управляемое удостоверение, назначаемое пользователем, в мобильную сеть.

Настройка закрытых ключей домашней сети в ядре пакетов

  1. Войдите на портал Azure.

  2. Найдите и выберите ресурс мобильной сети , представляющий частную мобильную сеть, для которой требуется подготовить SIM.

    Снимок экрана: портал Azure. В нем показаны результаты поиска ресурса мобильной сети.

  3. Выберите " Изменить мобильную сеть".

  4. В разделе "Конфигурация открытого ключа домашней сети" выберите "Добавить " для профиля А или профиля B.

    Снимок экрана: портал Azure. В нем показана панель конфигурации мобильной сети.

  5. Добавьте сведения о ключе.

    • Выберите идентификатор от 1 до 255 и введите его в поле идентификатора. Идентификатор должен соответствовать идентификатору ключа, подготовленному на siMs, как показано в соглашении с поставщиком SIM.
    • Введите URL-адрес секрета закрытого ключа в поле URL-адреса или выберите "Выбрать секрет ", чтобы выбрать его в раскрывающемся меню.

    Снимок экрана: портал Azure. Откроется всплывающее окно

  6. Выберите Добавить.

  7. Повторите все дополнительные закрытые ключи.

  8. Вернитесь к ресурсу мобильной сети . Теперь он должен отображать открытые ключи домашней сети: выполнено успешно.

  9. Перейдите к ресурсу уровня управления "Ядро пакета". Теперь он должен показать подготовку закрытых ключей домашней сети: выполнено успешно.

Отключение скрытия SUPI

Если необходимо отключить скрытие SUPI, удалите конфигурацию из ресурса мобильной сети .

Поворот ключей

Открытый ключ постоянно хранится на SIM-карте, поэтому для изменения его потребуется выдавать новые SIM. Поэтому рекомендуется создать пару ключей с новым идентификатором и выдавать новые SIM. После выхода из службы всех старых SIM можно удалить конфигурацию ядра пакетов для старых ключей.

Следующие шаги

Вы можете использовать распределенную трассировку для подтверждения того, что скрытие SUPI выполняется в сети.