NB-TOT的鉴权和加密.pptx

NB-TOT的鉴权和加密; 保护机制是指实现消息的安全交互，包括UE和网侧间的双向鉴权，对空口消息的加密和完整性保护两方面。分为NAS Security和AS Security。 NAS Security负责对NAS数据的加密和完整性保护，在MME和UE间对等的NAS层实现。 AS Security负责对AS数据中控制平面（RRC）数据（即SRB1、SRB2）的加密和完整性保护，以及数据平面（UP）数据（即所有的DRB）的加密，在eNodeB和UE间对等的PDCP层实现。 注意：SRB0既不加密也不进行完整性保护。;安全连接的建立;鉴权;1) MME发送Authentication Data Request消息给HSS，消息中需要包含IMSI，网络ID，如MCC + MNC和网络类型，如E-UTRAN 2) HSS收到MME的请求后，使用authentication response消息将鉴权向量发送给MME 3) MME向UE发送User Authentication Request消息，对用户进行鉴权，消息中包含RAND和AUTN这两个参数 4) UE收到MME发来的请求后，先验证AUTN是否可接受，UE首先通过对比自己计算出来的XMAC和来自网络的MAC（包含在AUTN内）以对网络进行认证，如果不一致，则UE认为这是一个非法的网络。如果一致，然后计算RES值，并通过User Authentication Response消息发送给MME。MME检查RES和XRES的是否一致，如果一致，则鉴权通过。;网侧发起的鉴权流程;网侧发起的鉴权流程;终端对网侧鉴权失败的流程;终端对网侧鉴权失败的流程;终端对网侧鉴权失败的流程;EPS的安全架构;密钥层次架构;NAS安全模式控制流程;RRC连接建立完成后，MME生成KeNodeB和NH，并向eNodeB发送UE的安全能力和KeNodeB。安全能力包含UE支持的加密算法和完整性算法。 2) eNodeB将完整性保护算法优先级列表和UE安全能力取交集，选取优先级最高的完整性算法。 3) eNodeB将加密算法优先级列表和UE安全能力取交集，选取优先级最高的加密算法。 4) eNodeB根据KeNodeB和选取的安全算法来计算出KUP enc，KRRC int和KRRC enc密钥，并为PDCP配置相应的加密参数和完整性参数。 5) eNodeB通过Security Mode Command消息向UE发送安全模式参数配置。Security Mode Command消息通过SRB1发送，由eNodeB进行完整性保护，没有加密保护。 6) eNodeB接收到UE反馈的消息. ;相关参数说明;相关参数说明