收藏 分销(赏)
立即下载 开通VIP

NB-IOT的系统架构和安全架构.pptx

上传人:可**** 文档编号:686440 上传时间:2024-02-01 格式:PPTX 页数:20 大小:3.52MB
下载 相关 举报
NB-IOT的系统架构和安全架构.pptx_第1页
第1页 / 共20页
NB-IOT的系统架构和安全架构.pptx_第2页
第2页 / 共20页
NB-IOT的系统架构和安全架构.pptx_第3页
第3页 / 共20页
NB-IOT的系统架构和安全架构.pptx_第4页
第4页 / 共20页
NB-IOT的系统架构和安全架构.pptx_第5页
第5页 / 共20页
点击查看更多>>
资源描述

1、NB-IOTNB-IOT的系统架构和安全架构的系统架构和安全架构NB-IOT的系统架构和安全架构第1页系统架构(与LTE兼容)E-UTRANUE:User Equipment,用户设备E-UTRAN:EvolvedUMTSTerrestrialRadioAccessNetwork,LTE网络陆地无线接入点MME:MobilityManagementEntity,移动性管理实体红线红线表示红线表示CIoTEPS(EvolvedPacketSystem)Control Plane功效优化方案,蓝线蓝线表示CIoTEPS User Plane功效优化方案NB-IOT的系统架构和安全架构第2页E-TU

2、RAN结构NB-IOT的系统架构和安全架构第3页E-TURAN功效NB-IOT的系统架构和安全架构第4页E-TURAN协议栈(与LTE兼容)E-TURAN协议栈分为User Plane和Control Plane两个别PHY:物理层 MAC:媒体控制访问RLC:无线链路控制协议 PDCP:分组数据汇聚协议 RRC:无线资源控制 NAS:非接入层,与接入层相对NB-IOT的系统架构和安全架构第5页密钥生成(与LTE兼容)E-UTRANNB-IOT的系统架构和安全架构第6页密钥介绍KNASint 保护NAS通信完整性KNASenc 保护NAS通信机密性KeNB 用于推导KRRCint,KRRCen

3、c和KUPenc,并在切换时用于推导KeNB*keNB*用于切换新KeNBKUPenc 加密User Plane通信。User Plane未要求完整性KRRCint 保护RRC通信完整性KRRCenc 保护RRC通信机密性NH和NCC 用于产生新KeNBNB-IOT的系统架构和安全架构第7页安全规则NB-IOT的系统架构和安全架构第8页安全规则NB-IOT的系统架构和安全架构第9页安全要求NB-IOT的系统架构和安全架构第10页NB-IOT的系统架构和安全架构第11页NAS安全一旦UE和MME相互鉴权完成并含有相同秘钥K-ASME,NAS安全过程开始。在这个过程中,当传送NAS信令消息时,NA

4、S安全秘钥从K-ASME中衍生,用于这些NAS消息安全传送。这个过程包含NAS消息一个往返(SecurityModeCommand和 SecurityModeComplete消息),并在MME传送SecurityModeCommand消息给UE是开始。第一,MME选择一个NAS安全算法(Alg-ID:算法ID),并使用它们来从K-ASME来产生K-NASinc和K-NASenc。接着MME把K-NASinc算法用于SecurityModeCommand消息产生一个NAS消息鉴权码(NAS-MAC:MessageAuthenticationCodeforNASforIntegrity)。MME接

5、着传输包含选择NAS安全算法和NAS-MACSecurityModeCommand消息给UE。因为UE并不知道选择加密算法,所以这个消息是完整性保护,不过没有加密。一旦接收到了SecurityModeCommand消息,UE使用MME选择NAS完整性算法来验证完整性,并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥(K-NASinc,K-NASenc)。接着使用K-NASenc加密SecurityCommandComplete消息,并使用K-NASinc生成消息鉴权码NAS-MAC用于加密消息。现在UE能够传输包含NAS-MAC加密和完整性保护消息到MME了。一旦NAS安全建立起

6、来,在UE和MME之间NAS信令都是经过NAS安全秘钥加密和完整性保护,在无线链路上安全传输。NB-IOT的系统架构和安全架构第12页AS安全在NAS安全建立完成之后,在UE和eNB之间AS安全建立过程开始。在这个过程中,当传输RRC信令消息和IP数据包时,使用从K-eNB产生AS安全秘钥用于这些数据安全传输。这个过程包含RRC信令消息一个往返(SecurityModeCommand和 SecurityModeComplete消息),而且这个过程在eNB传输SecurityModeCommand消息给UE时开始。第一,MME从K-ASME中计算出K-eNB并传输给eNB,eNB使用K-eNB来

7、执行AS安全过程。eNB选择AS安全算法(Alg-ID:算法ID)并使用这个算法ID从K-eNB中计算出完整性秘钥(K-RRCinc)和加密秘钥(K-RRCenc)用于RRC信令消息,计算出加密秘钥(K-UPenc)用于用户面。接着,应用K-RRCint到SecurityModeCommand消息产生一个消息鉴权码(MAC-I,MessageAuthenticationCodeforIntegrity)。现在eNB开始传输包含选择AS安全算法和MAC-ISecurityModeCommand消息到UE。一旦从eNB接收到SecurityModeCommand消息,UE使用eNB选择AS完整性算

8、法验证完整性,并使用AS完整性/加密算法来计算出AS加密秘钥(K-RRCint,K-RRCencandK-UPenc)。接着UE使用RRC完整性秘钥产生一个消息鉴权码MAC-I给SecurityModeComplete消息,接着转发包含MAC-I这条消息给eNB。当eNB使用AS安全秘钥成功验证了接收到SecurityModeComplete消息完整性,AS安全建立过程完成。在AS安全建立之后,UE和eNB之间RRC信令消息都是使用AS安全秘钥加密和完整性保护,在空中链路上传输用户IP数据包是加密。NB-IOT的系统架构和安全架构第13页状态转换和移动性RRC_IDLEtoRRC_CONNEC

9、TEDAsageneralprinciple,onRRC_IDLEtoRRC_CONNECTEDtransitions,RRCprotectionkeysandUPprotectionkeysshallbegeneratedwhilekeysforNASprotectionaswellashigherlayerkeysareassumedtobealreadyavailableintheMME.ThesehigherlayerkeysmayhavebeenestablishedintheMMEasaresultofanAKArun,orasaresultofatransferfromanoth

10、erMMEduringhandoveroridlemodemobility.NB-IOT的系统架构和安全架构第14页状态转换和移动性RRC_CONNECTEDtoRRC_IDLEOnRRC_CONNECTEDtoRRC_IDLEtransitions,eNBsshalldeletethekeystheystoresuchthatstateforidlemodeUEsonlyhastobemaintainedinMME.ItisalsoassumedthateNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletest

11、hecurrentkeysfromitsmemory.Inparticular,onconnectedtoidletransitions:-TheeNBandUEdeletesNH,KeNB,KRRCenc,KRRCintandKUPencandrelatedNCC.-MMEandUEkeepsKASME,KNASintandKNASencstored.NB-IOT的系统架构和安全架构第15页状态转换和移动性IntraE-UTRANMobilityNB-IOT的系统架构和安全架构第16页状态转换和移动性SeNBRemovalForSCGbearersinDC,atSeNBremoval,the

12、SeNBshalldeletethekeysitstores.ItisalsoassumedthatSeNBdoesnolongerstorestateinformationaboutthecorrespondingUEanddeletesthecurrentkeysfromitsmemory.Inparticular,atSeNBremoval:-TheSeNBandUEdeleteS-KeNBandKUPenc.-TheMeNBandUEkeepKeNB.NB-IOT的系统架构和安全架构第17页RRC_CONNECTED下AS key改变IfASKeys(KUPenc,KRRCintand

13、KRRCenc)needtobechangedinRRC_CONNECTED,anintra-cellhandovershallbeused.ForSCGbearersinDC,ifASKey(KUPenc)needstobechanged,theSCGchangeshallbeperformed.NB-IOT的系统架构和安全架构第18页小数据传输优化RRC connection suspend/resume 在RRC连接能够在不需要时释放暂停,然后再恢复。连接暂停时,UE和eNB都保留着一份相同Access Stratum(AS)上下文。连接恢复时,UE提供存放ResumeID给eNB,eN

14、B依据Resume ID访问恢复RRC连接所需存放信息。安全性在连接恢复后继续保持,不需要服务请求过程来建立AS上下文。SGW:Serving Gateway,服务网关NB-IOT的系统架构和安全架构第19页小数据传输优化Data transmission via control plane User Plane数据封装在Control Plane消息中,并经过信令无线电承载(SRB)传输。能够在上行RRC容器消息中发送携带数据上行非接入层(NAS)信令消息或上行NAS消息。能够在下行RRC容器消息中发送下行NAS信令或下行NAS数据。AS安全性没有被利用。在AS中不一样数据类型(即IP,非IP或SMS)之间没有区分。NB-IOT的系统架构和安全架构第20页

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服