啟用 SUPI 隱藏

  • 發行項

用帳戶永久標識碼 (SUPI) 是裝置的唯一永久標識碼。 為了避免以純文本傳輸此標識符,可以透過加密隱藏它。 加密的值稱為訂用 帳戶隱藏識別碼 (SUCI) 。 加密 (SUPI 隱藏) 是由 UE 在註冊時執行,每次產生新的 SUCI 以防止使用者被追蹤。 解密 (SUCI 譯碼) 是由封包核心中的 Unified 資料管理 (UDM) 網路函式所執行。

SUPI 隱藏需要家庭網路公鑰(HNPK)和對應的私鑰。 公鑰會儲存在 SIM 卡上。 私鑰會儲存在 Azure 金鑰保存庫,並由封包核心上設定的 URL 參考。 在本操作指南中,您將瞭解如何使用 SUCI 解譯碼的私鑰來設定封包核心。

SUPI 隱藏和 SUCI 解譯是在 3GPP TS 33.501 中定義:5G 系統的安全性架構和程式。

重要

某些用戶設備可能需要 SUPI 隱藏功能。 如需詳細資訊,請參閱您的設備廠商檔。

必要條件

  • 請確定您可以使用帳戶來登入 Azure 入口網站,並存取您在完成部署私人行動網路的必要工作中所識別的作用中訂用帳戶。 此帳戶必須具有訂用帳戶範圍的內建參與者角色。

  • 識別對應至私人行動網路的行動網路資源名稱。

  • 識別您想要使用的 SUPI 保護配置(設定檔 A 或設定檔 B)。

  • 請連絡 SIM 廠商,以使用公鑰討論 SIM 的程式設計。 您必須同意哪些識別要使用的 SUPI 保護配置(設定檔 A 或設定檔 B),以及要使用的金鑰識別碼。

產生家庭網路私鑰

您可以使用 Bash 中的 OpenSSL 工具,為設定檔 A 或設定檔 B 產生公開和私鑰組。

配置檔 A

使用 SUPI 保護配置設定檔 A 時,金鑰必須是 X25519 私鑰。

  1. 使用 Azure Cloud Shell 登入 Azure CLI,然後從下拉功能表中選取 Bash

  2. 產生金鑰組,並將私鑰儲存至名為 hnpk_profile_a.pem的檔案:

    openssl genpkey -algorithm x25519 -outform pem -out hnpk_profile_a.pem

  3. 取得對應的公鑰,並將它儲存至名為 的 hnpk_profile_a.pub檔案:

    openssl pkey -in hnpk_profile_a.pem -pubout -out hnpk_profile_a.pub

配置檔 B

使用 SUPI 保護配置設定檔 B 時,金鑰必須是使用曲線 prime256v1 的橢圓曲線私鑰。

  1. 使用 Azure Cloud Shell 登入 Azure CLI,然後從下拉功能表中選取 Bash

  2. 產生金鑰組,並將私鑰儲存至名為 hnpk_profile_b.pem的檔案:

    openssl genpkey -algorithm ec -pkeyopt ec_paramgen_curve:prime256v1 -outform pem -out hnpk_profile_b.pem

  3. 取得對應的公鑰,並將它儲存至名為 的 hnpk_profile_b.pub檔案:

    openssl pkey -in hnpk_profile_b.pem -pubout -out hnpk_profile_b.pub

將家庭網路私鑰新增至 Azure 金鑰保存庫

家庭網路私鑰會儲存在 Azure 金鑰保存庫。

重要

您必須使用 Azure 命令行來上傳金鑰,因為入口網站不支援多行專案。

  1. 建立 Azure 金鑰保存庫,或選擇現有的 Azure 金鑰保存庫 來裝載私鑰。 請確定 金鑰保存庫 使用角色型訪問控制 (RBAC) 進行授權。 使用者將需要 金鑰保存庫 Secrets Officer 角色。

  2. 將私鑰上傳至 金鑰保存庫 做為秘密,並指定要識別它的名稱:

    az keyvault secret set --vault-name "<Key Vault name>" --name "<secret name, e.g. hnpk-a-123>" --file <Key file name>

  3. 記下 秘密標識碼 URL。 這是在命令輸出中,或者您可以在入口網站中流覽至您的 金鑰保存庫,然後選取秘密。 您必須使用此 URL 來設定封包核心。

  4. 針對任何其他私鑰重複執行。

建立使用者指派的受控識別

  1. 建立使用者指派的受控識別。 記下其 UAMI 資源識別碼。

  2. 將 金鑰保存庫 秘密使用者存取權指派給受控識別的 金鑰保存庫。

  3. 移至入口網站中的 [行動網络] 資源,然後從左側 設定 功能表中選取 [身分識別]。 選取 [新增 ] 將使用者指派的受控識別新增至行動網路。

在封包核心上設定家庭網路私鑰

  1. 登入 Azure 入口網站

  2. 搜尋並選取 代表您要佈建 SIM 的私人行動網路的行動網路 資源。

    Azure 入口網站 的螢幕快照。它會顯示搜尋行動網路資源的結果。

  3. 選取 [ 修改行動網络]。

  4. 在 [首頁網络公鑰設定] 底下,針對 [配置檔 A] 或 [配置檔 B] 選取 [新增]。

    Azure 入口網站 的螢幕快照。它會顯示 [行動網络組態] 窗格。

  5. 新增金鑰詳細數據。

    • 選擇介於 1 到 255 之間的識別碼,並將其輸入標識符字段。 標識碼必須符合在 SIM 上佈建的密鑰標識碼,如同您的 SIM 廠商一致。
    • 在 URL 欄位中輸入私鑰密碼 的 URL ,或從下拉功能表中選取 [選擇密碼 ] 加以選取。

    Azure 入口網站 的螢幕快照。它會顯示設定檔 A 鍵彈出視窗。

  6. 選取 [新增]。

  7. 針對任何其他私鑰重複執行。

  8. 返回行動 網路 資源。 它現在應該會顯示 Home network public keys :succeeded

  9. 流覽至 [封包核心控制平面 ] 資源。 它現在應該會顯示 Home network private keys provisioning :succeeded

停用 SUPI 隱藏

如果您需要停用 SUPI 隱藏,請從 行動網路 資源移除設定。

輪替金鑰

公鑰會永久儲存在 SIM 卡上,因此若要加以變更,您必須發出新的 SIM。 因此,建議您使用新的標識元建立新的密鑰組,併發出新的 SIM。 一旦所有舊的 SIM 都脫離服務,您就可以移除舊密鑰的封包核心組態。

下一步

您可以使用 分散式追蹤 來確認已在網路中執行 SUPI 隱藏。