nb-iot的系统架构和安全架构.pptx

NB-IOT系统架构和安全架构,NB-IOT: NarrowBand Internet of Things,窄带物联网 LTE: Long Term Evolution,长期演进,系统架构（与LTE兼容）,E-UTRAN,UE: User Equipment, 用户设备 E-UTRAN: Evolved UMTS Terrestrial Radio Access Network, LTE网络的陆地无线接入点 MME: Mobility Management Entity, 移动性管理实体 红线表示红线表示CIoT EPS(Evolved Packet System ) Control Plane功能优化方案，蓝线表示CIoT EPS User Plane功能优化方案,E-TURAN结构,E-TURAN功能,E-TURAN协议栈（与LTE兼容）,E-TURAN协议栈分为User Plane和Control Plane两部分,PHY: 物理层 MAC: 媒体控制访问 RLC: 无线链路控制协议 PDCP:分组数据汇聚协议 RRC:无线资源控制 NAS: 非接入层,与接入层相对,密钥生成（与LTE兼容）,E-UTRAN,密钥介绍,KNASint 保护NAS通信完整性 KNASenc 保护NAS通信机密性 KeNB 用于推导KRRCint，KRRCenc和KUPenc，并在切换时用于推导KeNB * keNB*用于切换的新KeNB KUPenc 加密User Plane的通信。

User Plane未要求完整性 KRRCint 保护RRC通信的完整性 KRRCenc 保护RRC通信的机密性 NH和NCC 用于产生新的KeNB,安全规则,安全规则,安全要求,NAS安全,一旦UE和MME相互鉴权完毕并具有相同的秘钥K-ASME，NAS安全过程开始在这个过程中，当传送NAS信令消息时，NAS安全秘钥从K-ASME中衍生，用于这些NAS消息的安全传送这个过程包含NAS消息的一个来回（Security Mode Command 和 Security Mode Complete消息），并在MME传送Security Mode Command 消息给UE是开始 第一，MME选择一个NAS安全算法（Alg-ID：算法ID），并使用它们来从K-ASME来产生K-NASinc和K-NASenc接着MME把K-NASinc算法用于Security Mode Command消息产生一个NAS消息鉴权码（NAS-MAC：Message Authentication Code for NAS for Integrity)MME接着传输包含选择的NAS安全算法和NAS-MAC的Security Mode Command消息给UE。

因为UE并不知道选择的加密算法，所以这个消息是完整性保护的，但是没有加密 一旦接收到了Security Mode Command消息，UE使用MME选择的NAS完整性算法来验证完整性，并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥（K-NASinc，K-NASenc）接着使用K-NASenc加密Security Command Complete消息，并使用K-NASinc生成消息鉴权码NAS-MAC用于加密的消息现在UE可以传输包含NAS-MAC的加密和完整性保护的消息到MME了 一旦NAS安全建立起来，在UE和MME之间的NAS信令都是通过NAS安全秘钥加密和完整性保护的，在无线链路上安全的传输AS安全,在NAS安全建立完成之后，在UE和eNB之间AS安全建立过程开始在这个过程中，当传输RRC信令消息和IP数据包时，使用从K-eNB产生的AS安全秘钥用于这些数据的安全传输这个过程包括RRC信令消息的一个来回（Security Mode Command 和 Security Mode Complete 消息），并且这个过程在eNB传输Security Mode Command消息给UE时开始。

第一，MME从K-ASME中计算出K-eNB并传输给eNB，eNB使用K-eNB来执行AS安全过程eNB选择AS安全算法（Alg-ID：算法ID）并使用这个算法ID从K-eNB中计算出完整性秘钥（K-RRCinc）和加密秘钥（K-RRCenc）用于RRC信令消息，计算出加密秘钥（K-UPenc）用于用户面接着，应用K-RRCint到Security Mode Command消息产生一个消息鉴权码（MAC-I，Message Authentication Code for Integrity）现在eNB开始传输包含选择的AS安全算法和MAC-I的Security Mode Command消息到UE 一旦从eNB接收到Security Mode Command消息，UE使用eNB选择的AS完整性算法验证完整性，并使用AS完整性/加密算法来计算出AS加密秘钥 (K-RRCint, K-RRCenc and K-UPenc)接着UE使用RRC完整性秘钥产生一个消息鉴权码MAC-I给Security Mode Complete 消息，接着转发包含MAC-I的这条消息给eNB 当eNB使用AS安全秘钥成功的验证了接收到的Security Mode Complete 消息的完整性，AS安全建立过程完成的。

在AS安全建立之后，UE和eNB之间的RRC信令消息都是使用AS安全秘钥加密的和完整性保护的，在空中链路上传输的用户IP数据包是加密的状态转换和移动性,RRC_IDLE to RRC_CONNECTED As a general principle, on RRC_IDLE to RRC_CONNECTED transitions, RRC protection keys and UP protection keys shall be generated while keys for NAS protection as well as higher layer keys are assumed to be already available in the MME. These higher layer keys may have been established in the MME as a result of an AKA run, or as a result of a transfer from another MME during handover or idle mode mobility.,状态转换和移动性,RRC_CONNECTED to RRC_IDLE On RRC_CONNECTED to RRC_IDLE transitions, eNBs shall delete the keys they store such that state for idle mode UEs only has to be maintained in MME. It is also assumed that eNB does no longer store state information about the corresponding UE and deletes the current keys from its memory. In particular, on connected to idle transitions: - The eNB and UE deletes NH, KeNB , KRRCenc , KRRCint and KUPenc and related NCC. - MME and UE keeps KASME, KNASint and KNASenc stored.,状态转换和移动性,Intra E-UTRAN Mobility,状态转换和移动性,SeNB Removal For SCG bearers in DC, at SeNB removal, the SeNB shall delete the keys it stores. It is also assumed that SeNB does no longer store state information about the corresponding UE and deletes the current keys from its memory. In particular, at SeNB removal: - The SeNB and UE delete S-KeNB and KUPenc. - The MeNB and UE keep KeNB.,RRC_CONNECTED下AS key改变,If AS Keys (KUPenc , KRRCint and KRRCenc) need to be changed in RRC_CONNECTED, an intra-cell handover shall be used. For SCG bearers in DC, if AS Key (KUPenc) needs to be changed, the SCG change shall be performed.,小数据传输的优化,RRC connection suspend/resume 在RRC连接可以在不需要时释放暂停，然后再恢复。

连接暂停时，UE和eNB都保存着一份相同的Access Stratum(AS)上下文 连接恢复时，UE提供存储的Resume ID给eNB，eNB根据Resume ID访问恢复RRC连接所需的存储信息安全性在连接恢复后继续保持，不需要服务请求过程来建立AS上下文 SGW: Serving Gateway,服务网关,小数据传输的优化,Data transmission via control plane User Plane数据封装在Control Plane消息中，并通过信令无线电承载（SRB）传输 可以在上行RRC容器消息中发送携带数据的上行非接入层（NAS）信令消息或上行NAS消息 可以在下行RRC容器消息中发送下行NAS信令或下行NAS数据 AS安全性没有被利用 在AS中的不同数据类型（即IP，非IP或SMS）之间没有区别。