NB-IOT的系统架构和安全架构

《NB-IOT的系统架构和安全架构》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

NB-IOT系统架构和安全架构NB-IOT:NarrowBandInternetofThings,窄带物联网LTE:LongTermEvolution,长期演进 系统架构（与LTE兼容）E-UTRANUE:UserEquipment,用户设备E-UTRAN:EvolvedUMTSTerrestrialRadioAccessNetwork,LTE网络的陆地无线接入点MME:MobilityManagementEntity,移动性管理实体红线表示红线表示CIoTEPS(EvolvedPacketSystem)ControlPlane功能优化方案，蓝线表示CIoTEPSUserPlane功能优化方案 E-TURAN结构 E-TURAN功能 E-TURAN协议栈（与LTE兼容）E-TURAN协议栈分为UserPlane和ControlPlane两部分PHY:物理层MAC:媒体控制访问RLC:无线链路控制协议PDCP:分组数据汇聚协议RRC:无线资源控制NAS:非接入层,与接入层相对 密钥生成（与LTE兼容）E-UTRAN 密钥介绍KNASint保护NAS通信完整性KNASenc保护NAS通信机密性KeNB用于推导KRRCint，KRRCenc和KUPenc，并在切换时用于推导KeNB*keNB*用于切换的新KeNBKUPenc加密UserPlane的通信。UserPlane未要求完整性KRRCint保护RRC通信的完整性KRRCenc保护RRC通信的机密性NH和NCC用于产生新的KeNB 安全规则 安全规则 安全要求 NAS安全一旦UE和MME相互鉴权完毕并具有相同的秘钥K-ASME，NAS安全过程开始。在这个过程中，当传送NAS信令消息时，NAS安全秘钥从K-ASME中衍生，用于这些NAS消息的安全传送。这个过程包含NAS消息的一个来回（SecurityModeCommand和SecurityModeComplete消息），并在MME传送SecurityModeCommand消息给UE是开始。第一，MME选择一个NAS安全算法（Alg-ID：算法ID），并使用它们来从K-ASME来产生K-NASinc和K-NASenc。接着MME把K-NASinc算法用于SecurityModeCommand消息产生一个NAS消息鉴权码（NAS-MAC：MessageAuthenticationCodeforNASforIntegrity)。MME接着传输包含选择的NAS安全算法和NAS-MAC的SecurityModeCommand消息给UE。因为UE并不知道选择的加密算法，所以这个消息是完整性保护的，但是没有加密。一旦接收到了SecurityModeCommand消息，UE使用MME选择的NAS完整性算法来验证完整性，并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥（K-NASinc，K-NASenc）。接着使用K-NASenc加密SecurityCommandComplete消息，并使用K-NASinc生成消息鉴权码NAS-MAC用于加密的消息。现在UE可以传输包含NAS-MAC的加密和完整性保护的消息到MME了。一旦NAS安全建立起来，在UE和MME之间的NAS信令都是通过NAS安全秘钥加密和完整性保护的，在无线链路上安全的传输。 AS安全在NAS安全建立完成之后，在UE和eNB之间AS安全建立过程开始。在这个过程中，当传输RRC信令消息和IP数据包时，使用从K-eNB产生的AS安全秘钥用于这些数据的安全传输。这个过程包括RRC信令消息的一个来回（SecurityModeCommand和SecurityModeComplete消息），并且这个过程在eNB传输SecurityModeCommand消息给UE时开始。第一，MME从K-ASME中计算出K-eNB并传输给eNB，eNB使用K-eNB来执行AS安全过程。eNB选择AS安全算法（Alg-ID：算法ID）并使用这个算法ID从K-eNB中计算出完整性秘钥（K-RRCinc）和加密秘钥（K-RRCenc）用于RRC信令消息，计算出加密秘钥（K-UPenc）用于用户面。接着，应用K-RRCint到SecurityModeCommand消息产生一个消息鉴权码（MAC-I，MessageAuthenticationCodeforIntegrity）。现在eNB开始传输包含选择的AS安全算法和MAC-I的SecurityModeCommand消息到UE。一旦从eNB接收到SecurityModeCommand消息，UE使用eNB选择的AS完整性算法验证完整性，并使用AS完整性/加密算法来计算出AS加密秘钥(K-RRCint,K-RRCencandK-UPenc)。接着UE使用RRC完整性秘钥产生一个消息鉴权码MAC-I给SecurityModeComplete消息，接着转发包含MAC-I的这条消息给eNB。当eNB使用AS安全秘钥成功的验证了接收到的SecurityModeComplete消息的完整性，AS安全建立过程完成的。在AS安全建立之后，UE和eNB之间的RRC信令消息都是使用AS安全秘钥加密的和完整性保护的，在空中链路上传输的用户IP数据包是加密的。 状态转换和移动性RRC_IDLEtoRRC_CONNECTEDAsageneralprinciple,onRRC_IDLEtoRRC_CONNECTEDtransitions,RRCprotectionkeysandUPprotectionkeysshallbegeneratedwhilekeysforNASprotectionaswellashigherlayerkeysareassumedtobealreadyavailableintheMME.ThesehigherlayerkeysmayhavebeenestablishedintheMMEasaresultofanAKArun,orasaresultofatransferfromanotherMMEduringhandoveroridlemodemobility. 状态转换和移动性RRC_CONNECTEDtoRRC_IDLEOnRRC_CONNECTEDtoRRC_IDLEtransitions,eNBsshalldeletethekeystheystoresuchthatstateforidlemodeUEsonlyhastobemaintainedinMME.ItisalsoassumedthateNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletesthecurrentkeysfromitsmemory.Inparticular,onconnectedtoidletransitions:- TheeNBandUEdeletesNH,KeNB,KRRCenc,KRRCintandKUPencandrelatedNCC.- MMEandUEkeepsKASME,KNASintandKNASencstored. 状态转换和移动性IntraE-UTRANMobility 状态转换和移动性SeNBRemovalForSCGbearersinDC,atSeNBremoval,theSeNBshalldeletethekeysitstores.ItisalsoassumedthatSeNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletesthecurrentkeysfromitsmemory.Inparticular,atSeNBremoval:- TheSeNBandUEdeleteS-KeNBandKUPenc.- TheMeNBandUEkeepKeNB. RRC_CONNECTED下ASkey改变IfASKeys(KUPenc,KRRCintandKRRCenc)needtobechangedinRRC_CONNECTED,anintra-cellhandovershallbeused.ForSCGbearersinDC,ifASKey(KUPenc)needstobechanged,theSCGchangeshallbeperformed. 小数据传输的优化RRCconnectionsuspend/resume在RRC连接可以在不需要时释放暂停，然后再恢复。连接暂停时，UE和eNB都保存着一份相同的AccessStratum(AS)上下文。连接恢复时，UE提供存储的ResumeID给eNB，eNB根据ResumeID访问恢复RRC连接所需的存储信息。安全性在连接恢复后继续保持，不需要服务请求过程来建立AS上下文。SGW:ServingGateway,服务网关 小数据传输的优化DatatransmissionviacontrolplaneUserPlane数据封装在ControlPlane消息中，并通过信令无线电承载（SRB）传输。可以在上行RRC容器消息中发送携带数据的上行非接入层（NAS）信令消息或上行NAS消息。可以在下行RRC容器消息中发送下行NAS信令或下行NAS数据。AS安全性没有被利用。在AS中的不同数据类型（即IP，非IP或SMS）之间没有区别。