《NB-IOT的系统架构和安全架构复习课程》由会员分享,可在线阅读,更多相关《NB-IOT的系统架构和安全架构复习课程(20页珍藏版)》请在金锄头文库上搜索。
1、NB IOT系统架构和安全架构 NB IOT NarrowBandInternetofThings 窄带物联网LTE LongTermEvolution 长期演进 系统架构 与LTE兼容 E UTRAN UE UserEquipment 用户设备E UTRAN EvolvedUMTSTerrestrialRadioAccessNetwork LTE网络的陆地无线接入点MME MobilityManagementEntity 移动性管理实体红线表示红线表示CIoTEPS EvolvedPacketSystem ControlPlane功能优化方案 蓝线表示CIoTEPSUserPlane功能优化
2、方案 E TURAN功能 E TURAN协议栈 与LTE兼容 E TURAN协议栈分为UserPlane和ControlPlane两部分 PHY 物理层MAC 媒体控制访问RLC 无线链路控制协议PDCP 分组数据汇聚协议RRC 无线资源控制NAS 非接入层 与接入层相对 密钥生成 与LTE兼容 E UTRAN 密钥介绍 KNASint保护NAS通信完整性KNASenc保护NAS通信机密性KeNB用于推导KRRCint KRRCenc和KUPenc 并在切换时用于推导KeNB keNB 用于切换的新KeNBKUPenc加密UserPlane的通信 UserPlane未要求完整性KRRCint保
3、护RRC通信的完整性KRRCenc保护RRC通信的机密性NH和NCC用于产生新的KeNB 安全规则 安全规则 安全要求 NAS安全 一旦UE和MME相互鉴权完毕并具有相同的秘钥K ASME NAS安全过程开始 在这个过程中 当传送NAS信令消息时 NAS安全秘钥从K ASME中衍生 用于这些NAS消息的安全传送 这个过程包含NAS消息的一个来回 SecurityModeCommand和SecurityModeComplete消息 并在MME传送SecurityModeCommand消息给UE是开始 第一 MME选择一个NAS安全算法 Alg ID 算法ID 并使用它们来从K ASME来产生K
4、NASinc和K NASenc 接着MME把K NASinc算法用于SecurityModeCommand消息产生一个NAS消息鉴权码 NAS MAC MessageAuthenticationCodeforNASforIntegrity MME接着传输包含选择的NAS安全算法和NAS MAC的SecurityModeCommand消息给UE 因为UE并不知道选择的加密算法 所以这个消息是完整性保护的 但是没有加密 一旦接收到了SecurityModeCommand消息 UE使用MME选择的NAS完整性算法来验证完整性 并使用NAS完整性 加密算法从K ASME中产生NAS安全秘钥 K NAS
5、inc K NASenc 接着使用K NASenc加密SecurityCommandComplete消息 并使用K NASinc生成消息鉴权码NAS MAC用于加密的消息 现在UE可以传输包含NAS MAC的加密和完整性保护的消息到MME了 一旦NAS安全建立起来 在UE和MME之间的NAS信令都是通过NAS安全秘钥加密和完整性保护的 在无线链路上安全的传输 AS安全 在NAS安全建立完成之后 在UE和eNB之间AS安全建立过程开始 在这个过程中 当传输RRC信令消息和IP数据包时 使用从K eNB产生的AS安全秘钥用于这些数据的安全传输 这个过程包括RRC信令消息的一个来回 Security
6、ModeCommand和SecurityModeComplete消息 并且这个过程在eNB传输SecurityModeCommand消息给UE时开始 第一 MME从K ASME中计算出K eNB并传输给eNB eNB使用K eNB来执行AS安全过程 eNB选择AS安全算法 Alg ID 算法ID 并使用这个算法ID从K eNB中计算出完整性秘钥 K RRCinc 和加密秘钥 K RRCenc 用于RRC信令消息 计算出加密秘钥 K UPenc 用于用户面 接着 应用K RRCint到SecurityModeCommand消息产生一个消息鉴权码 MAC I MessageAuthenticati
7、onCodeforIntegrity 现在eNB开始传输包含选择的AS安全算法和MAC I的SecurityModeCommand消息到UE 一旦从eNB接收到SecurityModeCommand消息 UE使用eNB选择的AS完整性算法验证完整性 并使用AS完整性 加密算法来计算出AS加密秘钥 K RRCint K RRCencandK UPenc 接着UE使用RRC完整性秘钥产生一个消息鉴权码MAC I给SecurityModeComplete消息 接着转发包含MAC I的这条消息给eNB 当eNB使用AS安全秘钥成功的验证了接收到的SecurityModeComplete消息的完整性 A
8、S安全建立过程完成的 在AS安全建立之后 UE和eNB之间的RRC信令消息都是使用AS安全秘钥加密的和完整性保护的 在空中链路上传输的用户IP数据包是加密的 状态转换和移动性 RRC IDLEtoRRC CONNECTEDAsageneralprinciple onRRC IDLEtoRRC CONNECTEDtransitions RRCprotectionkeysandUPprotectionkeysshallbegeneratedwhilekeysforNASprotectionaswellashigherlayerkeysareassumedtobealreadyavailablein
9、theMME ThesehigherlayerkeysmayhavebeenestablishedintheMMEasaresultofanAKArun orasaresultofatransferfromanotherMMEduringhandoveroridlemodemobility 状态转换和移动性 RRC CONNECTEDtoRRC IDLEOnRRC CONNECTEDtoRRC IDLEtransitions eNBsshalldeletethekeystheystoresuchthatstateforidlemodeUEsonlyhastobemaintainedinMME
10、ItisalsoassumedthateNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletesthecurrentkeysfromitsmemory Inparticular onconnectedtoidletransitions TheeNBandUEdeletesNH KeNB KRRCenc KRRCintandKUPencandrelatedNCC MMEandUEkeepsKASME KNASintandKNASencstored 状态转换和移动性 IntraE UTRANMobility 状态转换和
11、移动性 SeNBRemovalForSCGbearersinDC atSeNBremoval theSeNBshalldeletethekeysitstores ItisalsoassumedthatSeNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletesthecurrentkeysfromitsmemory Inparticular atSeNBremoval TheSeNBandUEdeleteS KeNBandKUPenc TheMeNBandUEkeepKeNB RRC CONNECTED下ASkey改
12、变 IfASKeys KUPenc KRRCintandKRRCenc needtobechangedinRRC CONNECTED anintra cellhandovershallbeused ForSCGbearersinDC ifASKey KUPenc needstobechanged theSCGchangeshallbeperformed 小数据传输的优化 RRCconnectionsuspend resume在RRC连接可以在不需要时释放暂停 然后再恢复 连接暂停时 UE和eNB都保存着一份相同的AccessStratum AS 上下文 连接恢复时 UE提供存储的ResumeID给eNB eNB根据ResumeID访问恢复RRC连接所需的存储信息 安全性在连接恢复后继续保持 不需要服务请求过程来建立AS上下文 SGW ServingGateway 服务网关 小数据传输的优化 DatatransmissionviacontrolplaneUserPlane数据封装在ControlPlane消息中 并通过信令无线电承载 SRB 传输 可以在上行RRC容器消息中发送携带数据的上行非接入层 NAS 信令消息或上行NAS消息 可以在下行RRC容器消息中发送下行NAS信令或下行NAS数据 AS安全性没有被利用 在AS中的不同数据类型 即IP 非IP或SMS 之间没有区别
