物联网小数据传输安全探讨.docVIP

物联网小数据传输安全研究 　　【摘 要】物联网小数据传输存在巨大的安全威胁，因此深入研究了3GPP物联网规范中的物联网小数据传输安全解决方案，并从信令优化、加密和完整性保护、安全架构、密钥推衍等方面，重点对比分析了五个物联网小数据传输安全解决方案，为应对海量物联网终端的小数据传输安全提供了借鉴 【关键词】物联网 小数据传输 传输安全 [Abstract] IoT small data transmission if facing great security threat， thus the paper analyzed its security solutions in 3GPP IoT specification， made further analysis and comparison between five security solutions on signaling optimization， encryption and integrity protection， security architecture and key derivation， providing reference on small data transmission security for the ocean of IoT terminals. [Key words]IoT small data transmission transmission security 1 物联网小数据传输安全威胁 随着物联网的规模建设，物联网终端的数量正急剧上升，甚至超越H2H终端数量。由于物联网终端低功耗、低复杂度特性，其数据传输特点也体现为SD（Small Data，小数据）传输。海量物联网终端的小数据传输会对网络产生巨大的安全威胁，如： （1）新增接入网和核心网大量信令，加重NAS（Non-Access-Stratum，非接入层）信令负载，MME（Mobility Management Entity，移动性管理设备）面临NAS信令过载和DoS攻击威胁，如：idle态切换至connected态进行小数据传输时，需要重新发起RRC（Radio Resource Control，无线资源控制）连接、NAS信令连接、承载建立等； （2）物联网终端idle态时，无AS安全模式，威胁RRC连接安全； （3）物联网终端idle态时，用户面数据无加密或完整性保护，可致隐私数据窃听、窃取、篡改、伪造等 当前，3GPP标准工作组在需求研究报告TR 22.868、需求规范TS 22.368以及技术报告TR 23.888中提出了物联网小数据传输的业务需求和技术规范，并探讨了物联网小数据传输的多种解决方案。在这些解决方案的基础上，SA3工作组在TR 33.868提出了物联网小数据传输多个安全解决方案 本文重点对其中的五个安全解决方案进行研究。这五个安全解决方案主要研究物联网终端的小数据传输，重点关注终端从idle态切换至connected态时，有效减少大量接入侧和核心侧信令 2 小数据传输安全解决方案 2.1 方案一：基于NAS信令的小数据传输 方案一主要采用NAS信令消息直接进行小数据加密传输 首先，引入L3新消息NAS PDU（Packet Data Unit，数据单元）。对小数据传输进行部分加密，并将加密数据封装在NAS PDU中。RRC连接建立完成消息中会携带该NAS PDU，并透传给MME。encrypted IE包含：NAS PDU、承载ID等。UE新增Security header type消息元素和NAS PDU消息；MME新增加解密功能，会校验初始L3消息是否加密/解密，并完成相应解密/加密功能 其次，删减AS安全模式，无需建立DRB（Data Radio Bearer，数据无线承载）。MME不再派生KeNB、NCC、NH等，UE也不再派生KeNB，略过AS层的RRC完整性保护、加密保护和UP面的加密保护，直接采用NAS层加密和完整性保护 方案一的小数据传输流程图如图1所示 关键流程说明： 步骤3：UE设置“Security header type”标识为0101，表示完整性保护和部分加密； 步骤4：NAS PDU中包含：Security header type、eKSI、encrypted data、SNand MAC-I 2.2 方案二：快通道小数据传输 方案二删除原有UE和eNodeB之间的AS安全模式，通过在UE和SGW之间建立安全通道来进行小数据传输的加密和完整性保护 方案二新增了UE和SGW之间的SDTSec安全协议，并新增两者之间的小