好的，我们继续解读规范。在对2G/3G/4G核心网、IMS以及各种异构网络融合的标识体系有了深入理解之后，我们将进入一个激动人心的全新领域——5G系统（5GS）的号码、地址与身份标识。

深度解析 3GPP TS 23.003：28 5G系统(5GS)的号码、地址与身份标识 (Part 1 - 基础身份与域名)

本文技术原理深度参考了3GPP TS 23.003 V18.7.0 (2024-09) Release 18规范中，关于“Chapter 28 Numbering, addressing and identification for 5G System (5GS)”的核心章节。由于第28章内容极其庞大且关键，我们将遵循“长章节拆分”的原则，将其分解为多个逻辑连贯的部分。本篇作为Part 1，将聚焦于5G时代最根本的变革：全新的用户身份标识体系（SUPI/SUCI）和网络寻址的基石——Home Network Domain。

从1G到4G，移动通信的核心是“连接人”。而5G的雄心壮志，是“连接万物，赋能百业”。自动驾驶、远程医疗、工业互联网、智慧城市……这些革命性的应用场景，对网络提出了前所未有的要求：极致的隐私安全、海量的连接支持、灵活的服务定制以及云原生的架构。

为了应对这些挑战，3GPP对网络身份标识体系进行了一次深刻的、根本性的重塑。我们在之前章节熟悉的IMSI，在5G时代迎来了它的“继任者”和“保护者”；而基于DNS的寻址方式，也变得更加结构化和强大。

今天，我们将引入一位全新的主角——一辆名为“智行一号”的5G自动驾驶汽车。它即将在一个覆盖了公共道路和封闭测试园区的复杂环境中进行路测。它的每一次开机注册、每一次穿越不同网络区域，都将完美地诠释5G时代全新的身份与寻址机制。

1. 5G时代的“身份证”：从IMSI到SUPI的演进 (参考章节 2.2A)

在深入第28章之前，我们必须先回顾一下在第2章中已经为5G埋下的最重要伏笔——SUPI（Subscription Permanent Identifier - 签约永久标识符）。

2.2A Subscription Permanent Identifier (SUPI) The SUPI is a globally unique 5G Subscription Permanent Identifier allocated to each subscriber in the 5G System. The SUPI is defined as:

• a SUPI type: …it may indicate an IMSI, a Network Specific Identifier (NSI)…
• dependent on the value of the SUPI type:
  • an IMSI as defined in clause 2.1;
  • a Network Specific Identifier (NSI), taking the form of a Network Access Identifier (NAI)…

SUPI是5G时代用户的唯一、永久身份标识，它取代了IMSI在网络内部的核心地位。但SUPI并不仅仅是IMSI的简单更名，它是一个更具包容性的框架：

• SUPI = SUPI类型 + 标识符值

这种“类型-值”的结构，使得SUPI可以容纳多种不同的身份格式：

1. 基于IMSI的SUPI：这是最常见的一种。对于绝大多数从4G平滑升级到5G的用户，他们的SUPI类型就是“IMSI”，其值就是他们SIM/USIM卡里那个熟悉的15位IMSI数字。这确保了完美的向后兼容和互操作性。
2. 基于NSI的SUPI：NSI (Network Specific Identifier) 是一种非IMSI格式的身份。它采用username@realm的NAI格式。这为非SIM卡设备、企业专网用户、物联网应用等不适合使用传统IMSI体系的场景，提供了巨大的灵活性。

场景串联：

• “智行一号”如果使用的是普通运营商的物联网卡，那么它的SUPI很可能就是基于IMSI的，例如 imsi-460001234567890。
• 如果“智行一号”属于一个大型汽车制造商的全球专网，它的SUPI可能是基于NSI的，例如 [email protected] (VIN是车辆识别码)。

SUPI的设计，从根本上打破了移动用户身份必须与IMSI和SIM卡强绑定的传统，为“万物互联”打开了大门。

2. 隐私的“守护神”：SUCI——永不暴露的永久身份 (参考章节 2.2B)

4G及之前，IMSI虽然是用户的核心身份，但它在某些初始接入流程中，仍然可能在空口中以明文传输，这带来了被追踪和身份伪造的风险（IMSI Catcher攻击）。5G将用户隐私保护提升到了前所未有的高度，为此引入了革命性的SUCI（Subscription Concealed Identifier - 签约隐藏标识符）。

2.2B Subscription Concealed Identifier (SUCI) The SUCI is a privacy preserving identifier containing the concealed SUPI.

SUCI的核心思想是：SUPI永远不应在空口以明文形式传输。 在任何需要暴露身份的初始接入流程中，UE（用户设备）都必须发送SUCI。

SUCI是通过对SUPI进行公钥加密生成的。简单来说：

1. 运营商将自己的一个公钥（Home Network Public Key）事先配置在用户的USIM卡中。
2. 当UE需要发送身份时，它在USIM卡内部，使用这个公钥对自己的SUPI进行加密，生成一个无法被中间人破解的密文。
3. 这个密文，就是SUCI。

只有拥有相应私钥的运营商核心网（在5GC中是UDM/ARPF功能）才能解密SUCI，还原出原始的SUPI。

场景串联： “智行一号”在一个陌生的城市区域首次开机。

1. 它需要向网络发起初始注册（Initial Registration），告诉网络“我是谁”。
2. 车辆的5G模组（UE）不会直接发送SUPI，而是在其USIM卡的安全环境中，使用运营商的公钥加密SUPI，生成一个SUCI。
3. 这个SUCI被发送到基站（gNB），并一路透传到核心网的AMF（接入与移动性管理功能）。
4. AMF无法解密SUCI，它将SUCI转发给UDM（统一数据管理）。
5. UDM中的ARPF（认证凭证存储库和处理功能）使用运营商的私钥，成功解密SUCI，得到了“智行一号”的真实SUPI。
6. 后续的认证流程将基于这个已解密的SUPI进行。

通过SUCI机制，即使用户身处一个恶意的“伪基站”覆盖区，攻击者截获的也只是一个无法解密的SUCI，从而无法获取用户的真实身份，极大地提升了通信的安全性。

3. 5G网络的“寻址罗盘”：Home Network Domain (章节 28.2)

在EPC时代，我们已经看到基于DNS的FQDN在节点发现中的核心作用。5G服务化架构（SBA）将这一理念推向了极致，几乎所有的网络功能（NF）发现都始于对NRF（网络功能存储库）的寻址，而NRF的地址，正是通过一个标准化的Home Network Domain来构建的。

28.2 Home Network Domain The Home Network Domain for 5GC shall be in the format specified in IETF RFC 1035 and IETF RFC 1123 and shall be structured as: “5gc.mnc.mcc.3gppnetwork.org”

5G的归属网络域结构与EPC类似，但业务前缀从epc.演进为了5gc.。

5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org

这个域名是5G世界所有基于FQDN寻址的“根”。例如，一个NF要寻找NRF，它构建的NRF FQDN就是 nrf.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org。

3.1 拥抱专网：SNPN的Home Network Domain

5G原生支持SNPN（独立非公共网络）。对于专网，其域名结构也得到了标准化。

The Home Network Domain for a Stand-alone Non-Public Network (SNPN) shall be… structured as: “5gc.nid.mnc.mcc.3gppnetwork.org”

与我们在第9A章看到的DNN格式类似，SNPN的域名在5gc.和mnc.之间，增加了一个**nid<NID>**标签。NID（Network Identifier）是SNPN的唯一标识。

场景串联： “智行一号”驶入了它的封闭测试园区。这个园区部署了一套SNPN。

• 车辆的5G模组检测到这个SNPN的信号（通过特定的PLMN ID和NID广播）。
• 当它需要在这个专网中寻找NRF时，它会根据当前网络的MCC, MNC, NID，构建出专网的Home Network Domain，例如：5gc.nid000007ed9d5.mnc012.mcc345.3gppnetwork.org。
• 然后基于这个域名，进一步构建NRF的FQDN：nrf.5gc.nid...，并通过DNS查询，找到专网内部的NRF，从而开始后续的服务发现和注册流程。

标准化的域名结构，使得无论是公共网络还是私有网络，其服务发现机制都遵循统一的逻辑，极大地简化了UE和NF的实现。

4. 总结：5G身份与寻址的范式革命

本篇作为解读5G标识体系的第一部分，我们聚焦于两个最根本性的变革：

1. 用户身份的革命：从IMSI到SUPI/SUCI

   • SUPI以其“类型-值”的灵活结构，打破了身份与IMSI的强绑定，为物联网和垂直行业应用铺平了道路，是“万物互联”的技术基石。
   • SUCI通过强制性的公钥加密机制，彻底解决了用户永久身份在空口的暴露问题，将移动通信的隐私安全提升到了一个全新的高度。

2. 网络寻址的基石：标准化的Home Network Domain

   • 5gc.前缀的确立，为5G核心网的所有DNS寻址提供了统一、清晰的命名空间。
   • nid标签的引入，将SNPN（5G专网）无缝地融入了这套标准寻址体系，为企业部署和管理自己的5G网络提供了与公网一致的、标准化的操作框架。

“智行一号”的故事才刚刚开始。它的SUPI/SUCI确保了它无论是在公共道路还是在私有园区，都能以最安全的方式表明身份。而标准化的Home Network Domain，则是它在复杂的网络世界中，找到“家”（归属网络）和“路”（网络服务）的唯一罗盘。

在接下来的Part 2中，我们将继续跟随“智行一号”的脚步，深入探索5G中更为具体的标识符，例如用于移动性管理的5G-GUTI、用于网络切片的NSSAI、用于节点寻址的各种FQDN等等，敬请期待。

---

FAQ - 常见问题解答

Q1：有了SUPI，IMSI是不是就没用了？我的旧4G卡还能用5G吗？ A1：IMSI不但有用，而且是当前5G网络的基础。

• SUPI包含IMSI：对于所有从4G/3G演进来的运营商，用户的SUPI就是基于IMSI构建的（类型为IMSI）。网络在内部逻辑上使用SUPI，但在与旧网络互通或SIM卡交互时，操作的仍然是IMSI。
• 兼容性：你的旧4G USIM卡完全可以在5G手机上使用5G网络（只要套餐支持）。在这种情况下，网络会从你的卡中读取IMSI，并将其作为你的SUPI来使用。
• 未来趋势：对于全新的、与2/3/4G无关的5G专网或物联网应用，可能会出现不基于IMSI的SUPI（即NSI），但这在很长一段时间内不会是主流。

Q2：SUCI加密听起来很安全，它能抵御“伪基站”攻击吗？ A2：SUCI机制能极大地提升对“伪基站”攻击的防御能力，特别是针对身份窃取和追踪的攻击。 传统的“伪基站”攻击（IMSI Catcher）的核心目的之一，就是通过伪装成合法网络，诱骗手机在初始接入时明文上报其IMSI，从而实现对特定目标的追踪。 在5G中，由于手机在初始接入时只发送加密后的SUCI，伪基站即使截获了SUCI，也无法解密得到用户的真实SUPI/IMSI。这使得基于IMSI追踪的攻击方式在5G时代基本失效。当然，“伪基站”还可能进行其他类型的攻击（如信令降级、钓鱼短信等），这需要其他安全机制来共同防御。

Q3：为什么5G的域名要用5gc.做前缀，而不是继续用epc.？ A3：使用新的前缀5gc.（5G Core）是为了清晰地区分5G核心网与4G核心网（EPC）的资源。

• 网络共存：在5G NSA（非独立组网）和SA（独立组网）长期共存的时代，一个运营商会同时拥有EPC和5GC两套核心网。使用不同的域名，可以确保UE或网络节点在进行DNS查询时，能够准确地找到相应代际的核心网实体。
• 架构差异：5GC是全新的服务化架构（SBA），其节点功能、接口协议和寻址逻辑与EPC有本质区别。使用新的命名空间，也反映了这种架构上的代际差异。 例如，查询一个PGW，你会用到...apn.epc...的域名；而查询一个SMF（功能类似PGW），你会用到...nrf.5gc...或...smfset.5gc...的域名。

Q4：NID是什么？它和MNC有什么关系？ A4：NID (Network Identifier) 和 MNC (Mobile Network Code) 都是用于识别网络，但应用范围和管理者不同。

• MNC：是公共移动网络（PLMN）的一部分，由国家主管部门（如工信部）统一规划和分配给各大运营商。它在全球范围内与MCC结合使用。
• NID：是独立非公共网络（SNPN）的标识符，用于在一个PLMN-ID的范围内，唯一标识一个私有网络。NID可以由IANA（互联网号码分配局）协调分配，也可以由企业自分配。 在一个SNPN中，PLMN-ID（MCC+MNC）和NID共同构成了其唯一身份。例如，一个大型港口可以申请一个NID，并结合一个专用的PLMN-ID（如MCC=999, MNC=xxx），来构建自己的5G专网。

Q5：如果我的USIM卡里没有运营商的公钥，SUCI还能工作吗？ A5：如果USIM卡没有预置公钥，UE会使用一个“空加密方案”（Null-Scheme）来生成SUCI。 在这种情况下，SUCI的格式大致为type<SUPI Type>.rid<Routing Indicator>...userid<SUPI Value>。虽然没有进行实际的加密，但它将SUPI封装成了一个标准化的SUCI格式。这暴露了SUPI，降低了隐私保护级别，但保证了信令流程的兼容性。 因此，为了获得5G最高级别的隐私安全，运营商必须确保在用户US-IM卡中正确配置了归属网络公钥。这是实现端到端身份隐藏的关键。