SUPI（SUbscription Permanent Identifier，类似4G IMSI），
通过公钥加密后的密文称为SUCI（SUbscription Concealed Identifier）
SUCI传送给基站后，基站直接上传至核心网

核心网的SEAF（SEcurity Anchor Function）收到信令后解析后看是GUTI还是SUCI，若是GUTI就匹配到对应的SUPI，若为SUCI则不解密，继续向AUSF（Authentication Server Function）发起鉴权申请Nausf_UEAuthentication_Authenticate Request，并携带对应的网络服务信息SN-Name，方便AUSF调用对应鉴权算法AV（Authentication Vector，包含RAND, AUTN, HXRES*和 K_seaf）

在UDM（Unified Data Management）中调用SIDF(Subscription identifier de-concealing function)将SUCI解密得到SUPI，然后通过SUPI来配置手机对应所需的鉴权算法

手机端用来加密SUPI的公钥存放在UICC的USIM中
SUCI的解密算法（SIDF）只会被执行一次，放置在核心网的UDM中
当手机身份临时身份GUTI无法识别时，由AMF向手机发起Identity Request请求；若手机在注册Emergency Service时收到Identity Request可以发送Null-Scheme的SUCI，即不加密的SUPI

SUCI的生成算法可以采用椭圆曲线集成加密方案（ECIES，elliptic curve integrate encrypt scheme）,运营商也可以根据自己需求单独采用个体方案，甚至可以采用Null-Scheme；

5G AKA流程归属网络鉴权中心也是给访问网络的安全锚点（SEAF，和AMF在一起）一组5G鉴权向量和对应的HXRES*，访问网络用这些参数对UE鉴权后，还需要将UE的鉴权响应发给归属网络鉴权中心做进一步的鉴权，归属网络再将鉴权结果发给访问网络，可见5G下归属网络会参与鉴权做出最后的鉴权结果。

参考标准
3GPP TS 31.102
3GPP TS 33.501

UDR：部署于归属网络，融合存储多种结构化数据，2G/3G/4G/5G签约数据，PCRF策略数据，用户鉴权数据等。
UDM：支持5G网络的UDM功能，实现5G网络的统一接入、鉴权功能（鉴权证书计算、生成5G HE Avs、重同步鉴权证书计算等）。
AUSF：提供5G鉴权架构5G AKA流程支持；提供EAP AKA’流程支持；服务网络授权检查；鉴权算法，生成5G AKA AVs；增强归属网络控制；支持SUCI等。