5G系统的订阅永久标识符(SUPI)是全球唯一的标识符，由3GPP TS 23.501 V15.5.0规范定义。在5G中，SUCI（订阅隐匿标识符）用于保护隐私，它是使用归属网络公钥生成的，能够隐藏SUPI。UE（用户设备）通过使用原公钥，如归属网络公钥，对SUPI的订阅标识符部分构造输入，并执行保护方案以生成SUCI。保护方案需要遵循附件C中规定的标准或归属网络指定的方案，并且需要遵循特定的构造规则。值得注意的是，UE在生成SUCI时不能隐藏归属网络标识符和路由指示符。对于包含IMSI的SUPI，UE应构造特定的数据字段来生成SUCI；而对于包含网络特定标识符的SUPI，UE应使用特定的数据字段构建NAI（网络访问标识符）格式的SUCI。

在5G网络中，只有在成功激活NAS（网络接入安全）后，UE才能接收新的5G-GUTI（全球唯一临时UE标识）。AMF（接入管理功能）在收到UE的“初始注册”、“移动性注册更新”或“定期注册更新”类型的注册请求消息后，会向UE发送新的5G-GUTI。在收到UE响应寻呼消息发送的服务请求后，AMF同样会向UE发送新的5G-GUTI，且必须在当前的NAS信令连接释放之前发送。实际应用中，5G-GUTI可能会更频繁地重新分配，例如在UE发送服务请求消息而非网络触发时。为了唯一地标识AMF内的UE，5G-TMSI（5G临时移动用户标识）应被生成，遵循不可预测标识符生成的最佳实践。同样，在RRC恢复过程或RNAU（路由区更新）过程期间，当UE转换到由gNB（下一代基站）请求的RRC INACTIVE状态时，gNB会向UE分配新的I-RNTI（无线网络临时标识符）。

当无法通过临时标识识别UE时，服务网络可以调用订阅标识机制，特别是当无法根据5G-GUTI检索SUPI时。该机制允许通过SUCI识别UE，由请求UE发送其SUCI的AMF发起。UE需要使用归属网络公钥从SUPI计算新的SUCI，并在响应中携带。为了限制UE频繁响应身份请求的频率，UE必须实施特定机制。AMF可以通过启动AUSF（认证授权服务功能）认证来接收SUPI，特别是在UE注册紧急服务并接收身份请求的情况下，UE使用空方案生成SUCI。紧急注册不提供订阅标识符的机密性。

SIDF（订阅标识符解密功能）负责从SUCI中隐藏SUPI。当使用归属网络公钥加密SUPI时，SIDF利用归属运营商网络中安全存储的归属网络私钥来解密SUCI。解密过程在UDM（用户数据管理）进行，且应对SIDF访问权限进行定义，仅允许归属网络的网络元素请求SIDF。值得注意的是，一个UDM可以包含多个UDM实例，而SUCI中的路由指示符用于识别正确的UDM实例以提供服务。