NB-IOT的系统架构和安全架构.pptxVIP

NB-IOT的系统架构和安全架构NB-IOT的系统架构和安全架构第1页

系统架构（与LTE兼容）E-UTRANUE:UserEquipment,用户设备E-UTRAN:EvolvedUMTSTerrestrialRadioAccessNetwork,LTE网络陆地无线接入点MME:MobilityManagementEntity,移动性管理实体红线表示红线表示CIoTEPS(EvolvedPacketSystem)ControlPlane功效优化方案，蓝线表示CIoTEPSUserPlane功效优化方案NB-IOT的系统架构和安全架构第2页

E-TURAN结构NB-IOT的系统架构和安全架构第3页

E-TURAN功效NB-IOT的系统架构和安全架构第4页

E-TURAN协议栈（与LTE兼容）E-TURAN协议栈分为UserPlane和ControlPlane两个别PHY:物理层MAC:媒体控制访问RLC:无线链路控制协议PDCP:分组数据汇聚协议RRC:无线资源控制NAS:非接入层,与接入层相对NB-IOT的系统架构和安全架构第5页

密钥生成（与LTE兼容）E-UTRANNB-IOT的系统架构和安全架构第6页

密钥介绍KNASint保护NAS通信完整性KNASenc保护NAS通信机密性KeNB用于推导KRRCint，KRRCenc和KUPenc，并在切换时用于推导KeNB*keNB*用于切换新KeNBKUPenc加密UserPlane通信。UserPlane未要求完整性KRRCint保护RRC通信完整性KRRCenc保护RRC通信机密性NH和NCC用于产生新KeNBNB-IOT的系统架构和安全架构第7页

安全规则NB-IOT的系统架构和安全架构第8页

安全规则NB-IOT的系统架构和安全架构第9页

安全要求NB-IOT的系统架构和安全架构第10页

NB-IOT的系统架构和安全架构第11页

NAS安全一旦UE和MME相互鉴权完成并含有相同秘钥K-ASME，NAS安全过程开始。在这个过程中，当传送NAS信令消息时，NAS安全秘钥从K-ASME中衍生，用于这些NAS消息安全传送。这个过程包含NAS消息一个往返（SecurityModeCommand和SecurityModeComplete消息），并在MME传送SecurityModeCommand消息给UE是开始。第一，MME选择一个NAS安全算法（Alg-ID：算法ID），并使用它们来从K-ASME来产生K-NASinc和K-NASenc。接着MME把K-NASinc算法用于SecurityModeCommand消息产生一个NAS消息鉴权码（NAS-MAC：MessageAuthenticationCodeforNASforIntegrity)。MME接着传输包含选择NAS安全算法和NAS-MACSecurityModeCommand消息给UE。因为UE并不知道选择加密算法，所以这个消息是完整性保护，不过没有加密。一旦接收到了SecurityModeCommand消息，UE使用MME选择NAS完整性算法来验证完整性，并使用NAS完整性/加密算法从K-ASME中产生NAS安全秘钥（K-NASinc，K-NASenc）。接着使用K-NASenc加密SecurityCommandComplete消息，并使用K-NASinc生成消息鉴权码NAS-MAC用于加密消息。现在UE能够传输包含NAS-MAC加密和完整性保护消息到MME了。一旦NAS安全建立起来，在UE和MME之间NAS信令都是经过NAS安全秘钥加密和完整性保护，在无线链路上安全传输。NB-IOT的系统架构和安全架构第12页

AS安全在NAS安全建立完成之后，在UE和eNB之间AS安全建立过程开始。在这个过程中，当传输RRC信令消息和IP数据包时，使用从K-eNB产生AS安全秘钥用于这些数据安全传输。这个过程包含RRC信令消息一个往返（SecurityModeCommand和SecurityModeComplete消息），而且这个过程在eNB传输SecurityModeCommand消息给UE时开始。第一，MME从K-ASME中计算出K-eNB并传输给eNB，eNB使用K-eNB来执行AS安全过程。eNB选择AS安全算法（Alg-ID：算法ID）并使用这个算法ID从K-eNB中计算出完整性秘钥（K-RRCinc）和加密秘钥（K-RRCenc）用于RRC信令消息，计算出加密秘钥（K-UPenc）用于用户面。接着，应用K-RRCint到SecurityMode