NB-IOT的系统架构和安全架构.pptx

NB-IOT系统架构和安全架构 NB-IOT: NarrowBand Internet of Things,窄带物联网 LTE: Long Term Evolution,长期演进 系统架构（与LTE兼容） E-UTRAN UE: User Equipment, 用户设备 E-UTRAN: Evolved UMTS Terrestrial Radio Access Network, LTE网络的陆地无线接入点 MME: Mobility Management Entity, 移动性管理实体 红线表示红线表示CIoT EPS(Evolved Packet System ) Control Plane功能优化方案，蓝线表示CIoT EPS User Plane功能优化方案 E-TURAN结构 E-TURAN功能 E-TURAN协议栈（与LTE兼容） E-TURAN协议栈分为User Plane和Control Plane两部分 PHY: 物理层 MAC: 媒体控制访问 RLC: 无线链路控制协议 PDCP:分组数据汇聚协议 RRC:无线资源控制 NAS: 非接入层,与接入层相对 密钥生成（与LTE兼容） E-UTRAN 密钥介绍 KNASint 保护NAS通信完整性 KNASenc 保护NAS通信机密性 KeNB 用于推导KRRCint，KRRCenc和KUPenc，并在切换时用于推导KeNB * keNB*用于切换的新KeNB KUPenc 加密User Plane的通信。User Plane未要求完整性 KRRCint 保护RRC通信的完整性 KRRCenc 保护RRC通信的机密性 NH和NCC 用于产生新的KeNB 安全规则 安全规则 安全要求 NAS安全 一旦UE和MME相互鉴权完毕并具有相同的秘钥K-ASME，NAS安全过程开始。在这个过程中，当传送NAS信令消息时，NAS安全秘钥从K-ASME中衍生，用于这些NAS消息的安全传送。这个过程包含NAS消息的一个来回（Security Mode Command 和 Security Mode Complete消息），并在MME传送Security Mode Command 消息给UE是开始。 第一，MME选择一个NAS安全算法（Alg-ID：算法ID），并使用它们来从K-ASME来产生K-NASinc和K-NASenc。接着MME把K-NASinc算法用于Security Mode Command消息产生一个NAS消息鉴权码（NAS-MAC：Message Authentication Code for NAS for Integrity)。MME接着传输包含选择的NAS安全算法和NAS-MAC的Security Mode Command消息给UE。因为UE并不知道选择的加密算法，所以这个消息是完整性保护的，但是没有加密。 一旦接收到了Security Mode Command消息，UE使用MME选择的NAS完整性算法来验证完整性，并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥（K-NASinc，K-NASenc）。接着使用K-NASenc加密Security Command Complete消息，并使用K-NASinc生成消息鉴权码NAS-MAC用于加密的消息。现在UE可以传输包含NAS-MAC的加密和完整性保护的消息到MME了。 一旦NAS安全建立起来，在UE和MME之间的NAS信令都是通过NAS安全秘钥加密和完整性保护的，在无线链路上安全的传输。 AS安全 在NAS安全建立完成之后，在UE和eNB之间AS安全建立过程开始。在这个过程中，当传输RRC信令消息和IP数据包时，使用从K-eNB产生的AS安全秘钥用于这些数据的安全传输。这个过程包括RRC信令消息的一个来回（Security Mode Command 和 Security Mode Complete 消息），并且这个过程在eNB传输Security Mode Command消息给UE时开始。 第一，MME从K-ASME中计算出K-eNB并传输给eNB，eNB使用K-eNB来执行AS安全过程。eNB选择AS安全算法（Alg-ID：算法ID）并使用这个算法ID从K-eNB中计算出完整性秘钥（K-RRCinc）和加密秘钥（K-RRCenc）用于RRC信令消息，计算出加密秘钥（K-UPenc）用于用户面。接着，应用K-RRCint到Security Mode Command消息产生一个消息鉴权码（MAC-I，Message Authentication Code for Integrity）。现在eNB开始传输包含选择的AS安全算法和MAC-I的Security Mode Com