数智资源网
首页 首页 物联网 物联网技术 查看内容

物联网小数据传输平安研讨

木马童年 2019-4-9 20:20 183 0


 wulianwangxiaoshujuchuanshupinganyan讨作者 陈淑珍 王磊 yang敏维 【摘 要】wulianwangxiaoshujuchuanshu存在巨dadepinganweixie因此深入研讨liao3GPP物lianwang规范zhongde物lianwangxiaoshujuchuanshupi ...
wulianwangxiaoshujuchuanshupinganyan讨作者 陈淑珍 王磊 yang敏维 【摘 要】wulianwangxiaoshujuchuanshu存在巨dadepinganweixie因此深入研讨liao3GPP物lianwang规范zhongde物lianwangxiaoshujuchuanshupinganjie决fanganbingcongxinling优huajiamihewanzhengxingbaohupinganjia构、mi钥tuiyandengfangmian重点对比分析了五个物lianwangxiaoshujuchuanshuping安解决fangan为应对hai量物联网终duandexiaoshujuchuanshuping安tigong了借鉴
【关键词】物联网 小shujuchuan输 chuan输平安
[Abstract] IoT small data transmission if facing great security threat thus the paper analyzed its security solutions in 3GPP IoT specification made further analysis and comparison between five security solutions on signaling optimization encryption and integrity protection, security architecture and key derivation, providing reference on small data transmission security for the ocean of IoT terminals.
[Key words]IoT small data transmission transmission security
1 物联网小shujuchuanshu平安威胁
随着物联网de规mojian设,物联网终duan的shu量正急剧shang升,甚至超越H2H终端数量you于物联网终端低功hao低复杂度特xing,其shuju传输特点也体xian为SDSmall Data,小数ju传输海量物联网终端dexiao数据传输hui对网luo产sheng巨大deping安威胁,ru
 1xinzengjie入网he核心网大量xin令,jia重NAS(Non-Access-Stratum,非接入层xinling负zai,MME(Mobility Management Entity,移动xing管理设bei)mian临NASxinlingguo载heDoS抨击威胁,ruidletai切换至connected态jinxing小数据传输时xu要重xin倡yiRRC(Radio Resource Control,wuxian资源抑制)连接、NASxin令连接、cheng载建lideng
  (2)物联网终duanidle态shi无AS平安moshi,威胁RRC连接平安;
  (3)物联网终端idle态时,yong户mianshu据无jiami或wanzhengxing保护,可zhi隐私数据窃听、窃qu窜改、伪造等
  当前,3GPP标zhun事wu组在需qiu研讨汇baoTR 22.868、需qiu规范TS 22.368以及技能汇报TR 23.888中提出了物联网小数据传输的业务需求he技能规范bing探讨了物联网小数据传输的多zhong解决fangan。在这些解决fangan的ji础上,SA3事务组在TR 33.868提出了物联网小数据传输多个平安解决fangan。
  ben文重点对其中的五个平安解决fanganjinxing研讨。这五个平安解决fang案主要研讨物联网终端的小数据传输,重点关注终duancongidle态切换至connected态时,you效xiao减大量接入侧he核心侧xin令。
  2 小数据传输平安解决方案
  2.1 方案一基于NAS信令的小数据传输
  方案一主要xuan取NAS信令消xi直接jin行小数据加mi传输。
  最初,引入L3新消息NAS PDU(Packet Data Unit,数据单元)。对小数据传输进行局bu加mi,bingjiang加mi数据封装在NAS PDU中。RRC连接建li完成消息中会xie带该NAS PDU,并透传给MME。encrypted IE包含NAS PDU、承载ID等。UE新zengSecurity header type消息元素heNAS PDU消息;MME新增加解密功能,会xiaoyan初始L3消息shi否加密/解密,并完成xiang应解密/加密功能。
  其次,shan减AS平安模shi无需建立DRB(Data Radio Bearer,数据无线承载)。MME不再派生KeNB、NCC、NH等,UE也不再派生KeNB,略过AS层的RRC完zheng性保护、加密保护heUP面的加密保护,直接选取NAS层加密和完整性保hu
  方案一的小数据传输liucheng图如图1所shi
  关键liuchengshuo明:
  buzhou3:UE设zhi“Security header type”标识为0101,表shi完整性保护和局部加密;
  buzhou4:NAS PDUzhongbao含:Security header type、eKSI、encrypted data、SNand MAC-I。
  2.2 方案二:快tong道小数据传输
  方案二删除原有UE和eNodeBzhijian的AS平安模式,通过在UE和SGW之间建立平安通道来进行小数据传输的加密和完整性保护。
  方案二新增了UE和SGW之间的SDTSec平安xieyi,并新增两者之间的小数据传输miyueKSDT。UE、MMEfen辨推衍密钥KSDT,MMEjiang密钥KSDT传给SGW,yong于UE和SGW直接的数据加密保护和完整性保护。SDTSec平安协议如图2所示。
  方案二快通道小数据传输liu程图如图3所示。
  关键流chengshuo明:
  buzhou3:MME推衍KSDT等平安上xiawen
  bu骤7:SGW(Serving GateWay,fu务网关)保存MME推衍的KSDT等平安上xia文;
  步骤12:UE推衍KSDT等平安shangxia文,并保存SGW传送的承载ID等;
  步骤15UE使用KSDT等平安上xiawen进行小数据平安保护,包括加密保护和完整性保护;
  步骤17~18:UE和SGW之间通过SDTSec平安协议进行小数据平安传输,SGW用KSDT等平安上下文对加密的小数据进行解密。   2.3 方案san:无连接态下小数据传输
  方案三引ruwu连接状态(connectless)的小数据传输,通过使用token关联connected态所建立的NAS/AS平安上下文、恢复承载建立,从而xiao减UE在idle态切换到connected态hou进行数据传输的信令kai销(承载建立开销)。token是第一次fu着建立时,MME分pei给UE,并在后续小数据传输时用于恢复NAS/AS平安上下文以及相关承zaixin息的。恢复的NAS/AS平安上下文将用于小数据平安保护。后续UE在idle态下进行小数据传输时,不需要倡议Service Request请求,只需建立RRC连接,削减了大量信令。
  方案三无连接态下小数据传输流程如图4所示。
  关键流程说明:
  步骤4~6:UE第一次附着时,MME分配token给UE,用于后续小数据传输时恢复NAS/AS平安上下文以及相关承载信息。
  步骤11~16:RRC Connection Reconfig Complete消息会携带token用于承载建立,省去eNB与MME、SGW承载建立的流程,迅速建立起DRB、S1 turnnel,从而进行小数据传输。
  2.4 方案四:独立平安上下文的小数据传输
  方案四,UE connectionless态下进行小数据传输时,会选取独立于UE connected态的平安上下文,并使用不同密钥进行UE和eNB之间的平安保护。UE connected态时,由MME和UE根据KASMEshengchengKeNB,进行数据加密;UE connectionless态时,由MME和UE根据KASME生成KCLT,并推衍出完整性密钥KCLT-int和加密密钥KCLT-enc,进行小数据加密和完整性保护。connectionless态小数据传输和connected态下传统数据传输通切换时,网络或UE会标识指示,以便UE/eNB/MME重配置承载和平安上下文。
  方案四小数据流程图如图5所示。
  关键流程说明:
  步骤4:UE根据KASME和MME随ji数生成KCLT,并推衍出完整性密钥KCLT-int和加密密钥KCLT-enc,进行小数据加密和完整性保护;
  步骤7:MME根据KASME和MME随机数生成KCLT,并推衍出完整性密钥KCLT-int和加密密钥KCLT-enc,对UE加密的小数据进行解密。
  2.5 方案五:基于MTC-IWF的
  小数据传输
  方案五是UE idle态小数据传输时,省略原有NAS和AS平安模式,通过在UE和MTC-IWF之间建立平安通道来进行小数据传输的加密和完整性保护。
  方案五新增了UE和MTC-IWF之间的MTC-IWF平安协议,并新增两者之间的小数据传输密钥KIWF。UE、HSS分辨推衍密钥KIWFHSS将密钥KIWF传给MTC-IWF,用于UE和MTC-IWF之间的数据加密保护和完整性保护。同时,MTC-IWF还认证授权SCS和UE,确保可信SCS或UE接收/发送可kao消息。
  MTC-IWF平安协议如图6所示。
  MTC-IWF协议基于PDCP之上,由PDCP完成加密、解密、完整性保护和完整性校验功能。IWF协议用于UE和MTC-IWF直接的数据传输,也可在UE/IWF与eNB/MME/SGW之间透传。
  方案五基于MTC-IWF的小数据传输流程如图7所示。
  关键流程说明:
  步骤2:AKA过程中,HSS推衍的小数据传输密钥KIWF,并传送MTC-IWF保存;
  步骤4、5:UE推衍小数据传输密钥KIWF,并推衍KIWF-int和KIWF-enc,对小数据进行完整性和加密保护;
  步骤6:如guoMME接收到的消息类xingmsg=small data,则略过NAS完整性校验,直接将消息zhuan发给MTC-IWF;
  步骤8:MTC-IWF根据HSS推衍的小数据传输密钥KIWFKIWF-int和KIWF-enc,对小数据进行解密。
  3 平安方案对比
  上述五个平安解决方案主要从信令youhua、加密和完整性保护、平安架构mi钥推衍等方面,解决了UE小数据传输的平安wenti,具体对比如下:
  (1)信令优化
  方案1:NAS层信令面小数据传输,削减AS信令以及DRB承载建立等流程;
  方案2:用humian小数据传输,削减AS平安模式、RRC连接重配置等流程;
  方案3:用户面小数据传输,利用token恢复NAS/AS平安上下文、承载等,削减接入网和核心网大量信令;
  方案4:用户面小数据传输,建立单独小数据平安上下文,削减AS平安模式和RRC连接重配置等流程;
  方案5:NAS信令面小数据传输,削减NAS、AS平安模式和RRC连接重配置等流程。
  (2)加密和完整性保护
  所有方案均shi现SD加密和完整性保护。
  (3)平安架构
  方案1:对现有平安架构无yingxiang;
  方案2:UE和SGW之间新增SDTSec平安协议,新增UE-SGW之间的SD平安上下文,对现有平安架构有yingxiang,可能会引入xinde平安问题;
  方案3:对现有平安架构无影响;
  方案4:不过新增connect-less态下独立的平安上下文,没有引入新的平安协议,对现有平安架构没有太大影响;
  方案5:UE和MTC-IWF之间新增IWF平安协议,新增IWF SMC平安模式,还额外提供SCS、UE认证,对现有平安架构有影响,可能会引入新的平安问题。
  (4)密钥推衍   方案1:UE、MME不产生KeNB;
  方案2:UE、MME新推衍密钥KSDT,MME并传diKSDT给SGW;
  方案3:无任何影响;
  方案4:UE、MME新推衍密钥KCLT,MME并传递KCLT给eNB;
  方案5:UE、HSS新推衍密钥KIWF,HSS并发送给MTC-IWF。
  4 结论
  本文对3GPP规范的物联网小数据传输平安进xingliao研讨,并从信令优化、加密和完整性保护、平安架构、密钥推衍等方面对比分析了五个物联网小数据传输平安解决方案,为应对海量物联网终端的小数据传输提供了参考。然而,标准方案的最后确定和运营商现网部署还需根据实际情况和厂商博弈选择合适的方案。
  参考文献:
 [1] 3GPP TR 22.868, V8.0.0. Study on Facilitating Machine to Machine Communication in 3GPP Systems[S]. 2007.
  [2] 3GPP TS 22.368, V12.4.0. Service requirements for Machine-Type Communications[S]. 2014.
  [3] 3GPP TS 22.011 V12.2.0. Technical Specification Group Services and System Aspects, Service accessibility[S]. 2014.
  [4] 3GPP TS 33.868 V12.1.0. Study on security aspects of Machine-Type Communications (MTC) and other mobile data applications communications enhancements[S]. 2014.
  [5] 3GPP TS 33.889 V13.0.0. Study on security aspects of Machine-Type Communications (MTC) architecture and feature enhancements[S]. 2015.
  [6] 毛lei戴谦,张银成,等. 针对M2M应用的LTE系统优化技能[J]. dian信网技能, 2012(8): 44-49.
  [7] 夏伟. 移动终端中的通讯平安技能研讨[D]. 北京: 北京邮电大学, 2013.
  [8] 曹俊华li小文. LTE/SAEping安体系的研讨及其zaizhong端的实现[J]. 电信科学, 2010(7): 50-54.
  [9] 吴险feng. 3GPP的MTC标准最新进展[J]. 信息技能与标准化, 2011(12): 35-38.
  [10] 张武军. 机器类型通讯中的网络平安问题研讨[D]. 西安: 西安电子科技大学, 2014.
转载请注明来源。原文地址:https://www.7428.cn/page/2019/0308/85856/
物联网 数据传输 小数据 解决方案 数据加密 运营商
0
为您推荐
物联网开发入门+项目实战视频全套,资源教程下载

物联网开发入门+项目实战视频全套,资源教

课程介绍物联网开发入门+项目实战视频全套,物联网网络编程项目实战视频课程以目前在…...

物联网工程导论,视频教程下载

物联网工程导论,视频教程下载

课程介绍:使学习者初步了解物联网的基本概念、关键技术、应用领域、发展现状、行业法…...

Linux嵌入式开发+驱动开发视频教程 视频+代码+书籍+资源全套Linux嵌入式开发视频教程 ...

Linux嵌入式开发+驱动开发视频教程 视频+代

课程名称Linux嵌入式开发+驱动开发视频教程 视频+代码+书籍+资源全套Linux嵌入式开发…...

尚观最新嵌入式Linux基础视频教程下载,98集嵌入式Linux巨制视频教程

尚观最新嵌入式Linux基础视频教程下载,98

课程介绍嵌入式 Linux是以Linux为基础的嵌入式作业系统,它被广泛应用在移动电话、个…...

浙江大学 嵌入式系统 陈文智主讲,嵌入式系统原理与设计教程下载

浙江大学 嵌入式系统 陈文智主讲,嵌入式系

课程简介: 第一章 嵌入式系统概述第二章 嵌入式处理核心第三章 嵌入式硬件平台第四章 …...

RFID智能仓储指纹管理系统 孙老师QT项目实战讲解 嵌入式QT开发精品视频教程

RFID智能仓储指纹管理系统 孙老师QT项目实

课程目录一、 详细讲解项目需求二、 UI基础编程之实现用户登录界面三、 Qt基础UI控件…...