使用场景(来源于对23.501、23.502、33.501、23.003的理解)

1、UE初始注册时，根据HN Public Key把SUPI加密成SUCI，并发送初始注册请求
2、AMF转发SUCI给AUSF和UDM进行认证，并获取解密后的SUPI
3、AMF根据SUPI生成一个5G-GUTI，并保存映射关系，用于下次注册或PDU会话请求，并通知UE注册完成
4、下一次注册请求，UE使用5G-GUTI发送注册请求：
AMF根据5G-GUTI找到SUPI，使用SUPI完成认证
AMF根据5G-GUTI找不到对应的SUPI，AMF再向UE请求SUCI，根据SUCI重新进行认证
5、只有在成功激活NAS安全性后，AMF才能向UE发送新的5G-GUTI
6、在从UE接收到“初始注册”或“移动性注册更新”或“定期注册更新”类型的注册请求消息时，AMF应该在注册过程中向UE发送新的5G-GUTI
7、在接收到UE响应于寻呼消息而发送的服务请求消息时，AMF将向UE发送新的5G-GUTI。这个新的5G-GUTI应在当前的NAS信令连接被释放之前发送。（注1：实际情景中要比上述情况更频繁地重新分配5G-GUTI，例如在收到来自UE的Service Request消息而非网络触发。）
8、当UE处于CM-IDLE时，AMF可以延迟向UE提供新的5G-GUTI，直到下一个NAS事务。

5G-GUTI(5G Globally Unique Temporary UE Identity )

5G全局唯一的临时UE标识，减少在通信中显示使用UE的永久性标识，提升安全性

<5G-GUTI> =  <GUAMI> <5G-TMSI>1）<GUAMI>：标识由哪个AMF分配的5G-GUTI
<GUAMI> = <MCC><MNC><AMF Identifier>
<AMF Identifier> = <AMF Region ID><AMF Set ID><AMF Pointer>
2）<5G-TMSI>：UE在AMF内唯一的id，32bit

5G-GUTI和GUTI

SUCI

SUPI Type：0 IMSI（0-IMSI，1-NAI(Network Access Identifier)，2~7-扩展用）
IMS由3GPP TS 23.503定义
NAI根据TS 23.003 for non-3GPP RAT由RFC4282定义
Home Network Identifier：MCC-MNC(SUPI TYPE:0)，代表域名的字符串（SUPI TYPE:NAI）
Routing Indicator：路由标识，用于发现UDM和AUSF

Protection Scheme Id：0-NULL-scheme,1-Profile<A>, 2-Profile<B>

Home Network Public Key Id:归属网络提供的公钥ID，范围0-255，只有NULL-scheme情况下置为0
Scheme Output：终端ID加密后的密文，NULL-scheme和IMSI情况下即IMSI中的MSIN部分
注：关于SUCI更详细的说明，可参考下文中的【type of identity “SUCI”】：

艾偶倜：一文看懂5GS mobile identity

SUPI

用户的5G全球唯一用户永久标识符
IMS由3GPP TS 23.503定义
SUPI由15位十进制数组成，其中前三位为国家代码MCC,中间2-3位为运营商代码MNC，剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商；SUPI就等同于唯一标识ME的IMSI，也是一个15位的字符串。

NAI由RFC4282定义

SUCI与SUPI