NB-IOT系统架构和安全架构NB-IOT:NarrowBandInternetofThings,窄带物联网LTE:LongTermEvolution,长期演进系统架构(与LTE兼容)E-UTRANUE:UserEquipment,用户设备E-UTRAN:EvolvedUMTSTerrestrialRadioAccessNetwork,LTE网络的陆地无线接入点MME:MobilityManagementEntity,移动性管理实体红线表示红线表示CIoTEPS(EvolvedPacketSystem)ControlPlane功能优化方案,蓝线表示CIoTEPSUserPlane功能优化方案E-TURAN结构E-TURAN功能E-TURAN协议栈(与LTE兼容)•E-TURAN协议栈分为UserPlane和ControlPlane两部分•PHY:物理层MAC:媒体控制访问•RLC:无线链路控制协议PDCP:分组数据汇聚协议•RRC:无线资源控制NAS:非接入层,与接入层相对密钥生成(与LTE兼容)E-UTRAN密钥介绍•KNASint保护NAS通信完整性•KNASenc保护NAS通信机密性•KeNB用于推导KRRCint,KRRCenc和KUPenc,并在切换时用于推导KeNB*•keNB*用于切换的新KeNB•KUPenc加密UserPlane的通信。UserPlane未要求完整性•KRRCint保护RRC通信的完整性•KRRCenc保护RRC通信的机密性•NH和NCC用于产生新的KeNB安全规则安全规则安全要求NAS安全一旦UE和MME相互鉴权完毕并具有相同的秘钥K-ASME,NAS安全过程开始。在这个过程中,当传送NAS信令消息时,NAS安全秘钥从K-ASME中衍生,用于这些NAS消息的安全传送。这个过程包含NAS消息的一个来回(SecurityModeCommand和SecurityModeComplete消息),并在MME传送SecurityModeCommand消息给UE是开始。第一,MME选择一个NAS安全算法(Alg-ID:算法ID),并使用它们来从K-ASME来产生K-NASinc和K-NASenc。接着MME把K-NASinc算法用于SecurityModeCommand消息产生一个NAS消息鉴权码(NAS-MAC:MessageAuthenticationCodeforNASforIntegrity)。MME接着传输包含选择的NAS安全算法和NAS-MAC的SecurityModeCommand消息给UE。因为UE并不知道选择的加密算法,所以这个消息是完整性保护的,但是没有加密。一旦接收到了SecurityModeCommand消息,UE使用MME选择的NAS完整性算法来验证完整性,并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥(K-NASinc,K-NASenc)。接着使用K-NASenc加密SecurityCommandComplete消息,并使用K-NASinc生成消息鉴权码NAS-MAC用于加密的消息。现在UE可以传输包含NAS-MAC的加密和完整性保护的消息到MME了。一旦NAS安全建立起来,在UE和MME之间的NAS信令都是通过NAS安全秘钥加密和完整性保护的,在无线链路上安全的传输。AS安全在NAS安全建立完成之后,在UE和eNB之间AS安全建立过程开始。在这个过程中,当传输RRC信令消息和IP数据包时,使用从K-eNB产生的AS安全秘钥用于这些数据的安全传输。这个过程包括RRC信令消息的一个来回(SecurityModeCommand和SecurityModeComplete消息),并且这个过程在eNB传输SecurityModeCommand消息给UE时开始。第一,MME从K-ASME中计算出K-eNB并传输给eNB,eNB使用K-eNB来执行AS安全过程。eNB选择AS安全算法(Alg-ID:算法ID)并使用这个算法ID从K-eNB中计算出完整性秘钥(K-RRCinc)和加密秘钥(K-RRCenc)用于RRC信令消息,计算出加密秘钥(K-UPenc)用于用户面。接着,应用K-RRCint到SecurityModeCommand消息产生一个消息鉴权码(MAC-I,MessageAuthenticationCodeforIntegrity)。现在eNB开始传输包含选择的AS安全算法和MAC-I的SecurityModeCommand消息到UE。一旦从eNB接收到SecurityModeCommand消息,UE使用eNB选择的AS完整性算法验证完整性,并使用AS完整性/加密算法来计算出AS加密秘钥(K-RRCint,K-RRCencandK-UPenc)。接着UE使用RRC完整性秘钥产生一个消息鉴权码MAC-I给SecurityModeComplete消息,接着转发包含MAC-I的这条消息给eNB。当eNB使用AS安全秘钥成功的验证了接收到的SecurityModeComplete消息的完整性,AS安全建立过程完成的。在AS安全建立之后,UE和eNB之间的RRC信令消息都是使用AS安全秘钥加密的和完整性保护的,在空中链路上传输的用户IP数据包是加密的。状态转换和移动性•RRC_IDLEtoRRC_CONNECTED•Asageneralprinciple,onRRC_IDLEtoRRC_CONNECTEDtransitions,RRCprotectionkeysandUPprotectionkeysshallbegeneratedwhilek...
