CN107947907A - 窄带物联网终端非接入层安全模式一致性测试方法和系统 - Google Patents
窄带物联网终端非接入层安全模式一致性测试方法和系统 Download PDFInfo
- Publication number
- CN107947907A CN107947907A CN201711195276.XA CN201711195276A CN107947907A CN 107947907 A CN107947907 A CN 107947907A CN 201711195276 A CN201711195276 A CN 201711195276A CN 107947907 A CN107947907 A CN 107947907A
- Authority
- CN
- China
- Prior art keywords
- message
- nas
- measured terminal
- control
- uplink
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/24—Testing correct operation
- H04L1/242—Testing correct operation by comparing a transmitted test signal with a locally generated replica
- H04L1/244—Testing correct operation by comparing a transmitted test signal with a locally generated replica test sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了一种窄带物联网(NB‑IoT)终端非接入层安全模式一致性测试的系统和方法,基于主计算机和系统模拟器,对窄带物联网中的非接入层NAS的接口进行了定义,对窄带物联网终端非接入层安全模式进行测试,以完善现有的协议一致性测试需求,并用于将来针对NB‑IOT的研发、测试及入网认证工作,保障通过认证的商用终端在现网中与能够不同厂商的网络设备之间互连互通。
Description
技术领域
本发明涉及通信领域,具体涉及一种窄带物联网终端非接入层安全模式一致性测试方法。
背景技术
窄带物联网(Narrow Band Internet of Things,NB-IoT)是低功耗广域网(LowPower Wide Access,LPWA)的众多技术之一,其可以支持低功耗设备在广域网的蜂窝数据连接。NB-IoT具备四大特点:一是广覆盖,将提供改进的室内覆盖,在同样的频段下,NB-IoT比现有的网络增益20dB,覆盖面积扩大100倍;二是具备支撑海量连接的能力,NB-IoT一个扇区能够支持10万个连接,支持低延时敏感度、超低的设备成本、低功耗和优化的网络架构;三是更低功耗,NB-IoT终端模块的待机时间可长达10年;四是更低的模块成本,企业预期的单个接连模块不超过5美元。可以广泛应用于多种垂直行业,如远程抄表、资产跟踪、智能停车、智慧农业等。
NB-IoT使用180kHz上下行带宽通过E-UTRA接入网络,可直接部署于GSM网络或LTE网络。NB-IoT有三种部署的模式:Stand-aloneoperation、Guard-band operation以及In-band operation。下行使用OFDMA多址技术,上行使用SC-FDMA,分为单音(Single-tone,一个上行子载波)和多音(Multi-tone,多个上行子载波)。Rel13的NB-IoT采用的是半双工的FDD,暂不支持TDD。NB-IoT支持多载波(Multi-carrier,即Multi-PRB)方式,即可以另外使用其他非锚定(non-anchor)NB-IoT载波来传数据,具体结合部署方式,可支持的组合有inband+inband、inband+guardband、guardband+guardband、Standalone+standalone,不支持standalone mode和guard-band或in-band的组合。目前我国运营商计划对NB-IoT的部署在GSM频段上,主要集中在800-900MHz。
NB-IoT技术的核心规范虽然写在LTE(长期演进)规范中,但仍然认为它是一个独立的RAT(Radio Access Technologies,无线接入技术),其与LTE技术主要差别在于其对LTE的媒体接入层(MAC)、无线链路控制层(RLC)以及分组数据汇聚协议(PDCP)层协议功能进行了简化和调整,对无线资源控制(RRC)层新添加了挂起-恢复(suspend-resume)流程,NAS协议中引入了新的专用的消息和过程,以便快速恢复连接。NB-IoT分为三种解决方案:一种是控制平面解决方案(Control Plane Solution,简称CP solution,或称为ControlPlane CIoT EPS optimizations),一种是用户平面解决方法(User Plane Solution,简称UP solution,或称为User Plane CIoT EPS optimizations)和同时使用两种解决方案。其中CP解决方案是NB-IoT终端必须支持的,UP解决方案是可选支持的。
同时,TTCN-3(Testing and Test Control Notation)作为TD-LTE及后续的4G无线移动通信终端一致性测试的通用语言,使用其脚本控制实现对终端协议栈信令一致性测试的可靠性和成熟度已被业界广泛认可。TTCN-3测试例代码明确定义了终端一致性测试中所有测试例的测试条件、测试流程及配置消息内容等参数,通过在终端一致性测试仪表平台上运行该脚本,测试出不同厂商的被测终端(芯片)对核心协议的解读与实现是否一致,最终保障通过认证的商用终端在现网中与能够不同厂商的网络设备之间互连互通。
在现有的NB-IoT协议一致性测试系统中缺乏NB-IOT安全相关的接口和函数,不能对NB-IOT终端进行安全功能相关的测试,从而影响NB-IOT终端的正常入网和商用。
发明内容
有鉴于此,本发明提供一种窄带物联网终端非接入层安全模式一致性测试方法和系统,对NB-IOT中的非接入层NAS的接口进行了定义,对窄带物联网终端非接入层安全模式进行测试。
第一方面,提供一种窄带物联网终端非接入层安全模式一致性测试系统,包括:
待测试终端,系统模拟器,以及主计算机,其中,所述主计算机为测试系统的控制中心,包含了测试例、窄带物联网系统模块和非接入层NAS模拟器以及外部函数模块;系统模拟器用于提供无线接入控制等功能,并模拟窄带物联网系统无线通信协议栈中无线链路控制RLC、媒体访问控制MAC层、物理层和射频部分等主要功能模块;所述被测终端与所述系统模拟器通过射频相连;
所述非接入层NAS模拟器中设置有:NAS控制接口,用于窄带物联网系统模块与所述NAS模拟器的控制信息交互;与窄带物联网模块进行SRB信令交互的接口,该接口用于传输待发送或已接收的上下行消息;
所述系统还包括所述NAS模拟器与所述系统模拟器的接口,用于发送和接收窄带物联网系统的无线资源控制层协议数据单元;
测试例与系统模拟器之间传输的NAS消息的类型包括下行NAS消息和上行NAS消息,所述下行NAS消息,包含该消息的下行安全保护信息和下行消息协议数据单元,所述下行安全保护信息包括安全头和消息鉴权码指示位,所述下行消息PDU又包含一条下行NAS消息和一个可选的捎带NAS消息列表,消息列表中可以包含一条或多条的下行NAS消息;上行NAS消息包含上行安全保护信息和上行消息协议数据单元,所述上行安全保护信息包括安全头和计数器NAS count,所述上行消息协议数据单元又包含一条上行NAS消息和一个可选的上行捎带NAS消息列表,消息列表中可以包含一条或多条的上行NAS消息。
优选的,所述NAS控制接口用于窄带物联网系统模块与所述NAS模拟器的控制信息交互,所述控制接口发送的消息为NAS控制请求消息,接收的消息为NAS控制确认消息。
优选的,所述NAS控制请求消息分为common和request两部分,common部分指示了核心网安全功能部分在发送当前的NAS控制请求消息时是否需要底层回复确认消息;request部分则指示了核心网安全功能部分发送的NAS控制请求消息的具体内容,包括核心网对于当前NAS功能开启/重启/释放的指示,以及核心网对于当前非接入层计数nas count数值的读取/设置的指示。
优选的,所述与窄带物联网模块进行SRB信令交互的接口,该接口用于传输待发送或已接收的上下行消息,其中,进入所述NAS模拟器的是消息为窄带物联网的请求消息,请求消息的类型被定义为公共部分与信令部分,所述公共部分包含服务小区的ID、SRB的路由信息、发送的时间信息,所述信令部分则包含了下行的RRC消息和NAS消息。
优选的,所述NAS模拟器与所述系统模拟器的接口,用于发送和接收NB-IOT系统的无线资源控制层协议数据单元,所述无线资源控制层协议数据单元的请求消息包含下行的无线资源控制层消息,指示消息包含上行的无线资源控制层消息。
优选的,所述系统还定义了安全模式相关的NAS消息模板,用于下行NAS消息的发送和上行NAS接收匹配。其中安全模式命令是一条下行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、NAS安全上下文的KSI、NAS安全算法、UE安全能力等。安全模式完成是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型等。安全模式拒绝是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、EMM原因等。
优选的,所述NAS模拟器中包含了NAS安全功能控制模块和RRC/NAS消息编解码模块,其中NAS安全控制模块中定义了NAS安全信息的控制信息原语类型,包含了完整性保护信息,加密保护信息,NAScount值信息,承载ID信息和安全功能是否开启的信息;在RRC/NAS编解码模块中,定义了NB-IOT第三层的单独下行NAS消息模板,以及定义了上下行NAS消息的接收和发送机制。
优选的,所述NAS安全功能外部函数模块包含NAS完整性保护相关函数、NAS加密保护相关函数和NAS解密相关函数,用于处理上下行NAS消息时进行相应外部功能函数的调用。
第二方面,提供一种窄带物联网终端非接入层安全模式一致性测试方法,包括:
步骤S100、预先设置测试平台,初始化一个NB-IOT系统;
步骤S200、控制系统模拟器设置小区参数,建立小区,并设置小区的功率和NB-IOT系统广播消息;其中,所述系统模拟器用于接收前文所述的配置信息,并根据所述配置信息完成所述小区系统消息的广播;
步骤S300、被测终端执行开机操作,控制测试平台中的其他测试模块与被测终端进行窄带物联网核心网注册流程的消息交互,并将被测终端牵引至注册状态并紧接着牵引被测终端至关机状态;
步骤S400、开始进行安全功能测试,包括:控制测试平台以及系统模拟器发送开机的开机命令,被测终端开机;控制测试平台以及系统模拟器与终端进行附着流程的信令交互,并进行鉴权,完成被测终端的注册;
步骤S500、控制测试平台设置系统的加密算法为空算法,设置完整性保护算法为空算法,并控制系统模拟器发送安全模式命令的信令,其中,所述信令携带的加密算法和完保算法均为空算法;
步骤S600、控制测试平台接收被测终端发送的上行NAS消息,并匹配该消息是否为安全模式拒绝消息,并判断拒绝原因,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S700、控制测试平台以及系统模拟器向被测终端发送没有安全保护的身份请求消息,请求被测终端的IMEI号;同时,控制测试平台开启一个时长为30s的定时器,并在定时器开启阶段监测是否收到被测终端发送的身份响应信令;如果有,则判定认为该被测终端不具备完整正确的安全模式功能,如果没有,则继续执行后续步骤;
步骤S800、控制测试平台修改系统中NAS完整性保护算法为非空算法,并修改系统模拟器的相关配置;并控制系统模拟器发送安全模式命令的信令,所述信令携带的加密算法为空算法,完保算法为非空算法;
步骤S900、被测终端收到所述安全命令信令后,发送的上行NAS信令,控制测试平台以及系统模拟器接收所述上行NAS信令,并匹配是否为安全模式完成消息,并在该消息中使用新的上下文加密完保头,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1000、控制测试平台和系统模拟器与被测终端进行剩余附着流程的信令交互,牵引被测终端进入注册完成的状态;
步骤S1100、控制测试平台更新一个与被测终端安全能力不符的安全能力参数,并控制系统模拟器,向被测终端发送一条安全模式命令的NAS信令,并携带与当前被测终端安全能力不符的参数;
步骤S1200、控制测试平台和系统模拟器等待被测终端的的安全模式拒绝信令,并检测拒绝的原因。如果信息匹配,则继续执行后续步骤,若信息不匹配,则认为该被测终端不具备完整正确的窄带物联网安全模式功能;
步骤S1300、控制测试平台使用之前建立并协商的安全上下文向被测终端发送一条身份请求的NAS信令,请求被测终端的IMEI号;
步骤S1400、控制测试平台和系统模拟器接收所述上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEI信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1500、控制测试平台初始化一组新的鉴权向量,并向被测终端发起一次新的鉴权过程,与被测终端协商一个新的安全上下文;
步骤S1600、控制系统模拟器,重置上下行的计数器NAS count,向被测终端发起多次针对所述新的安全上下文的安全模式命令,控制测试平台和系统模拟器每次发送包含请求IMEISV信息的安全模式命令,并接收每一次被测终端发送的安全模式完成的消息,并检验每条消息是否正确应用了所配置的安全模式并正确考虑了所述NAS count的应用,并检验每条消息是否均包含了IMEISV信息;如果每条消息的安全模式应用正确并包含IMEISV信息,则继续执行后续步骤,若没有正确应用或没有包含IMEISV信息,则认为该被测终端不具备完整正确的窄带物联网安全模式功能;
步骤S1700、控制测试平台以及系统模拟器向被测终端发送有安全保护的身份请求消息,请求被测终端的IMEISV号;
步骤S1800、控制测试平台和系统模拟器接收被测终端发来的上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEISV信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1900、控制被测平台提示关机命令,此时执行被测终端的关机操作,并同时控制被测平台和系统模拟器与被测终端进行关机流程的信令交互,测试结束。
如果最终判定测试例为PASS状态,认为被测终端具有完整正确的NB-IOT鉴权功能。
通过本发明的方法和系统,能够设计出窄带物联网(NB-IoT)终端非接入层NAS层测试模块接口和函数,并设计相应的测试流程,以完善现有的协议一致性测试需求,并用于将来针对NB-IOT的研发、测试及入网认证工作,保障通过认证的商用终端在现网中与能够不同厂商的网络设备之间互连互通。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:
图1是发明实施例的测试系统的示意图;
图2是本发明实施例的NAS模拟器示意图;
图3-图5是本发明实施例的测试方法流程图;
具体实施方式
以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质,公知的方法、过程、流程、元件和电路并没有详细叙述。
除非上下文明确要求,否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义;也就是说,是“包括但不限于”的含义。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
图1是本发明实施例的测试系统的示意图。如图1所示,所述测试系统包括主计算机Host-PC、系统模拟器SS和被测试用户设备UE。
其中,主计算机Host-PC承载TTCN3代码,产生TTCN-3运行所需的编译代码,用于控制系统模拟器SS执行测试流程。NB-IOT终端NAS层测试的测试模型由上位机、系统模拟器(SS)、被测终端组成。其中主计算机Host-PC为测试系统的控制中心,包含了测试例、NB-IOT系统模块和非接入层NAS模拟器以及外部函数模块。系统模拟器(SS)则提供了无线接入控制等功能,模拟了NB-IOT系统无线通信协议栈中RLC(Radio Link Control,无线链路控制)层、MAC(Media Access Control,媒体访问控制)层、物理层和射频部分等主要功能模块。通过射频线将被测终端UE与系统模拟器SS相连,通过主计算机Host-PC执行测相应测试例,完成对被测终端的测试。NAS模拟器中包含了NAS安全功能控制模块和RRC/NAS消息编解码模块,其中NAS安全控制模块中定义了NAS安全信息的控制信息原语类型,包含了完整性保护信息,加密保护信息,NAS count值信息,承载ID信息和安全功能是否开启的信息;在RRC/NAS编解码模块中,定义了NB-IOT第三层的单独下行NAS消息模板,以及定义了上下行NAS消息的接收和发送机制。
NAS安全功能外部函数模块包含NAS完整性保护相关函数、NAS加密保护相关函数和NAS解密相关函数,用于处理上下行NAS消息时进行相应外部功能函数的调用。
图2是本发明实施例的NAS模拟器的示意图。其中,在本发明中,首先在主计算机Host-PC的TTCN-3模块中的非接入层NAS模拟器中设置NB-IOT的NAS控制接口NAS ctrl,控制接口用于NB-IOT系统模块与NAS模拟器的控制信息交互。所述控制接口发送的消息为NAS控制请求消息,接收的消息为NAS控制确认消息。
其中,所述NAS控制请求消息分为common和request两部分,common部分指示了核心网安全功能部分在发送当前的NAS控制请求消息时是否需要底层回复确认消息;request部分则指示了核心网安全功能部分发送的NAS控制请求消息的具体内容,包括核心网对于当前NAS功能开启/重启/释放的指示,以及核心网对于当前非接入层计数nas count数值的读取/设置的指示。
此外,还设置了与NB-IOT模块进行SRB信令交互的接口NB-SRBPort,该接口用于传输待发送或已接收的上下行消息,是NB-IOT系统模块与NAS模拟器实际信令的传输接口。其中,进入所述NAS模拟器的是消息为NB-IOT的请求消息,请求消息的类型被定义为公共部分与信令部分,所述公共部分包含服务小区的ID、SRB的路由信息、发送的时间信息,所述信令部分则包含了下行的RRC消息和NAS消息。
此外,在测试系统中还定义了测试例与系统模拟器之间传输的NAS消息的类型。其中,request是测试例发送的下行NAS消息,包含该消息的下行安全保护信息和下行消息PDU,所述下行安全保护信息包括安全头和消息鉴权码指示位,所述下行消息PDU又包含一条下行NAS消息和一个可选的捎带NAS消息列表,消息列表中可以包含一条或多条的下行NAS消息。indication是测试例接收的上行NAS消息,包含该消息的上行安全保护信息和上行消息PDU,所述上行安全保护信息包括安全头和NAS count,所述上行消息PDU又包含一条上行NAS消息和一个可选的上行捎带NAS消息列表,消息列表中可以包含一条或多条的上行NAS消息。
还定义了NAS模拟器与系统模拟器的接口SRB port,该接口用于发送和接收NB-IOT系统的RRC PDU,所述RRC PDU的请求消息包含下行的RRC消息,指示消息包含上行的RRC消息。
此外,还提供了通信消息的原语结构,用于测试功能的代码实现,例如定义安全参数的类型,所述安全参数包括:密钥衍生算法、密钥序列号、系统间切换的密钥序列号、非接入层的根密钥、接入层的根密钥、NAS层的完整性保护相关信息、UE的安全能力信息和鉴权相关参数等。
还定义了安全模式相关的NAS消息模板,用于下行NAS消息的发送和上行NAS接收匹配。其中安全模式命令是一条下行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、NAS安全上下文的KSI、NAS安全算法、UE安全能力等。安全模式完成是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型等。安全模式拒绝是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、EMM原因等。
图3-图5是本发明实施例的测试方法流程图。在本发明中,NB-IOT终端NAS安全模式功能的一致性测试流程如下:
步骤S100、预先设置测试平台,初始化一个NB-IOT系统;
步骤S200、控制系统模拟器设置小区参数,建立小区1,并设置小区1的功率(在本实施例中,功率设置为-85db)和NB-IOT系统广播消息;其中,所述系统模拟器用于接收前文所述的配置信息,并根据所述配置信息完成所述小区1系统消息的广播;
步骤S300、被测终端执行开机操作,控制测试平台中的其他测试模块与被测终端进行NB-IOT核心网注册流程的消息交互,并将被测终端牵引至注册状态(连接态)并紧接着牵引被测终端至关机状态;
步骤S400、开始进行安全功能测试,包括:控制测试平台以及系统模拟器发送开机的开机命令,被测终端开机;控制测试平台以及系统模拟器与终端进行附着流程的信令交互,并进行鉴权,完成被测终端的注册;
步骤S500、控制测试平台设置系统的加密算法为空算法,设置完整性保护算法为空算法,并控制系统模拟器发送安全模式命令的信令,其中,所述信令携带的加密算法和完保算法均为空算法;
步骤S600、控制测试平台接收被测终端发送的上行NAS消息,并匹配该消息是否为安全模式拒绝消息,并在该消息中携带“Security CapMismatch”或“安全模式拒绝未指定”的拒绝原因,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S700、控制测试平台以及系统模拟器向被测终端发送没有安全保护的身份请求消息,请求被测终端的IMEI号;同时,控制测试平台开启一个时长为30s的定时器,并在定时器开启阶段监测是否收到被测终端发送的身份响应信令;如果有,则判定认为该被测终端不具备完整正确的安全模式功能,如果没有,则继续执行后续步骤;
步骤S800、控制测试平台修改系统中NAS完整性保护算法为非空算法,并修改系统模拟器的相关配置;并控制系统模拟器发送安全模式命令的信令,所述信令携带的加密算法为空算法,完保算法为非空算法;
步骤S900、被测终端收到所述安全命令信令后,发送的上行NAS信令,控制测试平台以及系统模拟器接收所述上行NAS信令,并匹配是否为安全模式完成消息,并在该消息中使用新的上下文加密完保头,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1000、控制测试平台和系统模拟器与被测终端进行剩余附着流程的信令交互,牵引被测终端进入注册完成的状态(连接态);
步骤S1100、控制测试平台更新一个与被测终端安全能力不符的安全能力参数,并控制系统模拟器,向被测终端发送一条安全模式命令的NAS信令,并携带与当前被测终端安全能力不符的参数;
步骤S1200、控制测试平台和系统模拟器等待被测终端的的安全模式拒绝信令,并检测该信令中是否携带”UeSecurityMismatch”的原因。如果信息匹配,则继续执行后续步骤,若信息不匹配,则认为该被测终端不具备完整正确的NB-IOT安全模式功能;
步骤S1300、控制测试平台使用之前建立并协商的安全上下文向被测终端发送一条身份请求的NAS信令,请求被测终端的IMEI号;
步骤S1400、控制测试平台和系统模拟器接收所述上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEI信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1500、控制测试平台初始化一组新的鉴权向量,并向被测终端发起一次新的鉴权过程,与被测终端协商一个新的安全上下文;
步骤S1600、控制系统模拟器,重置上下行的计数器NAS count,向被测终端发起多次针对所述新的安全上下文的安全模式命令,在本实施例中这个过程将执行10次,控制测试平台和系统模拟器每次发送包含请求IMEISV信息的安全模式命令,并接收每一次被测终端发送的安全模式完成的消息,并检验每条消息是否正确应用了所配置的安全模式并正确考虑了NAS count的应用,并检验每条消息是否均包含了IMEISV信息;如果每条消息的安全模式应用正确并包含IMEISV信息,则继续执行后续步骤,若没有正确应用或没有包含IMEISV信息,则认为该被测终端不具备完整正确的NB-IOT安全模式功能;
步骤S1700、控制测试平台以及系统模拟器向被测终端发送有安全保护的身份请求消息,请求被测终端的IMEISV号;
步骤S1800、控制测试平台和系统模拟器接收被测终端发来的上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEISV信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1900、控制被测平台提示关机命令,此时执行被测终端的关机操作,并同时控制被测平台和系统模拟器与被测终端进行关机流程的信令交互,测试结束。
如果最终判定测试例为PASS状态,认为被测终端具有完整正确的NB-IOT鉴权功能。
由此,本发明设计并实现NAS模拟器功能的装置,包括NAS模拟器接口设计、相关消息模板设计、相关函数设计等。并提供了一种NB-IOT终端鉴权一致性测试系统的方法。可以用于针对支持NB-IOT的终端入网的协议一致性测试,完善了协议一致性测试的和功能和内容,弥补了目前NB-IOT协议一致性测试缺乏对安全性测试的空白。
显然,本领域技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个计算装置上,或者分布在多个计算装置所组成的网络上,可选地,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件完成,所述的程序可存储于一计算机可读取介质中,该程序在执行时,可包括如上所述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种窄带物联网终端非接入层安全模式一致性测试系统,包括:
待测试终端,系统模拟器,以及主计算机,其中,所述主计算机为测试系统的控制中心,包含了测试例、窄带物联网系统模块和非接入层NAS模拟器以及外部函数模块;系统模拟器用于提供无线接入控制功能,并模拟窄带物联网系统无线通信协议栈中无线链路控制RLC、媒体访问控制MAC层、物理层和射频部分功能模块;所述被测终端与所述系统模拟器通过射频相连;
所述非接入层NAS模拟器中设置有:NAS控制接口,用于窄带物联网系统模块与所述NAS模拟器的控制信息交互;与窄带物联网模块进行SRB信令交互的接口,该接口用于传输待发送或已接收的上下行消息;
所述系统还包括所述NAS模拟器与所述系统模拟器的接口,用于发送和接收窄带物联网系统的无线资源控制层协议数据单元;
测试例与系统模拟器之间传输的NAS消息的类型包括下行NAS消息和上行NAS消息,所述下行NAS消息,包含该消息的下行安全保护信息和下行消息协议数据单元,所述下行安全保护信息包括安全头和消息鉴权码指示位,所述下行消息PDU又包含一条下行NAS消息和一个可选的捎带NAS消息列表,消息列表中可以包含一条或多条的下行NAS消息;上行NAS消息包含上行安全保护信息和上行消息协议数据单元,所述上行安全保护信息包括安全头和计数器NAS count,所述上行消息协议数据单元又包含一条上行NAS消息和一个可选的上行捎带NAS消息列表,消息列表中可以包含一条或多条的上行NAS消息。
2.根据权利要求1所述的系统,其特征在于,所述NAS控制接口用于窄带物联网系统模块与所述NAS模拟器的控制信息交互,所述控制接口发送的消息为NAS控制请求消息,接收的消息为NAS控制确认消息。
3.根据权利要求2所述的系统,其特征在于,所述NAS控制请求消息分为common和request两部分,common部分指示了核心网安全功能部分在发送当前的NAS控制请求消息时是否需要底层回复确认消息;request部分则指示了核心网安全功能部分发送的NAS控制请求消息的具体内容,包括核心网对于当前NAS功能开启/重启/释放的指示,以及核心网对于当前非接入层计数nas count数值的读取/设置的指示。
4.根据权利要求1所述的系统,其特征在于,所述与窄带物联网模块进行SRB信令交互的接口,该接口用于传输待发送或已接收的上下行消息,其中,进入所述NAS模拟器的是消息为窄带物联网的请求消息,请求消息的类型被定义为公共部分与信令部分,所述公共部分包含服务小区的ID、SRB的路由信息、发送的时间信息,所述信令部分则包含了下行的RRC消息和NAS消息。
5.根据权利要求1所述的系统,其特征在于,所述NAS模拟器与所述系统模拟器的接口,用于发送和接收NB-IOT系统的无线资源控制层协议数据单元,所述无线资源控制层协议数据单元的请求消息包含下行的无线资源控制层消息,指示消息包含上行的无线资源控制层消息。
6.根据权利要求1所述的系统,其特征在于,所述系统还定义了安全模式相关的NAS消息模板,用于下行NAS消息的发送和上行NAS接收匹配;其中安全模式命令是一条下行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、NAS安全上下文的KSI、NAS安全算法、UE安全能力;安全模式完成是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型;安全模式拒绝是一条上行NAS消息,该消息内容包含消息的安全头、消息协议类型、消息具体类型、EMM原因。
7.根据权利要求1所述的系统,其特征在于,所述NAS模拟器中包含了NAS安全功能控制模块和RRC/NAS消息编解码模块,其中NAS安全控制模块中定义了NAS安全信息的控制信息原语类型,包含了完整性保护信息,加密保护信息,NAS count值信息,承载ID信息和安全功能是否开启的信息;在RRC/NAS编解码模块中,定义了NB-IOT第三层的单独下行NAS消息模板,以及定义了上下行NAS消息的接收和发送机制。
8.根据权利要求1所述的系统,其特征在于,所述NAS安全功能外部函数模块包含NAS完整性保护相关函数、NAS加密保护相关函数和NAS解密相关函数,用于处理上下行NAS消息时进行相应外部功能函数的调用。
9.一种窄带物联网终端非接入层安全模式一致性测试方法,包括:
步骤S100、预先设置测试平台,初始化一个NB-IOT系统;
步骤S200、控制系统模拟器设置小区参数,建立小区,并设置小区的功率和窄带物联网系统广播消息;配置系统模拟器进行所述小区系统消息的广播;
步骤S300、被测终端执行开机操作,控制测试平台中的其他测试模块与被测终端进行窄带物联网核心网注册流程的消息交互,并将被测终端牵引至注册状态并紧接着牵引被测终端至关机状态;
步骤S400、开始进行安全功能测试,包括:控制测试平台以及系统模拟器发送开机的开机命令,被测终端开机;控制测试平台以及系统模拟器与终端进行附着流程的信令交互,并进行鉴权,完成被测终端的注册;
步骤S500、控制测试平台设置系统的加密算法为空算法,设置完整性保护算法为空算法,并控制系统模拟器发送安全模式命令的信令,其中,所述信令携带的加密算法和完保算法均为空算法;
步骤S600、控制测试平台接收被测终端发送的上行NAS消息,并匹配该消息是否为安全模式拒绝消息,并判断拒绝原因,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S700、控制测试平台以及系统模拟器向被测终端发送没有安全保护的身份请求消息,请求被测终端的IMEI号;同时,控制测试平台开启一个时长为30s的定时器,并在定时器开启阶段监测是否收到被测终端发送的身份响应信令;如果有,则判定认为该被测终端不具备完整正确的安全模式功能,如果没有,则继续执行后续步骤;
步骤S800、控制测试平台修改系统中NAS完整性保护算法为非空算法,并修改系统模拟器的相关配置;并控制系统模拟器发送安全模式命令的信令,所述信令携带的加密算法为空算法,完保算法为非空算法;
步骤S900、被测终端收到所述安全命令信令后,发送的上行NAS信令,控制测试平台以及系统模拟器接收所述上行NAS信令,并匹配是否为安全模式完成消息,并在该消息中使用新的上下文加密完保头,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1000、控制测试平台和系统模拟器与被测终端进行剩余附着流程的信令交互,牵引被测终端进入注册完成的状态;
步骤S1100、控制测试平台更新一个与被测终端安全能力不符的安全能力参数,并控制系统模拟器,向被测终端发送一条安全模式命令的NAS信令,并携带与当前被测终端安全能力不符的参数;
步骤S1200、控制测试平台和系统模拟器等待被测终端的的安全模式拒绝信令,并检测拒绝的原因;如果信息匹配,则继续执行后续步骤,若信息不匹配,则认为该被测终端不具备完整正确的窄带物联网安全模式功能;
步骤S1300、控制测试平台使用之前建立并协商的安全上下文向被测终端发送一条身份请求的NAS信令,请求被测终端的IMEI号;
步骤S1400、控制测试平台和系统模拟器接收所述上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEI信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1500、控制测试平台初始化一组新的鉴权向量,并向被测终端发起一次新的鉴权过程,与被测终端协商一个新的安全上下文;
步骤S1600、控制系统模拟器,重置上下行的计数器NAS count,向被测终端发起多次针对所述新的安全上下文的安全模式命令,控制测试平台和系统模拟器每次发送包含请求IMEISV信息的安全模式命令,并接收每一次被测终端发送的安全模式完成的消息,并检验每条消息是否正确应用了所配置的安全模式并正确考虑了所述NAS count的应用,并检验每条消息是否均包含了IMEISV信息;如果每条消息的安全模式应用正确并包含IMEISV信息,则继续执行后续步骤,若没有正确应用或没有包含IMEISV信息,则认为该被测终端不具备完整正确的窄带物联网安全模式功能;
步骤S1700、控制测试平台以及系统模拟器向被测终端发送有安全保护的身份请求消息,请求被测终端的IMEISV号;
步骤S1800、控制测试平台和系统模拟器接收被测终端发来的上行NAS消息,并对该消息进行匹配,是否为一条身份响应NAS信令,并携带了正确的IMEISV信息,如果消息不匹配,则判定认为该被测终端不具备完整正确的安全模式功能,如果匹配,则继续执行后续步骤;
步骤S1900、控制被测平台提示关机命令,此时执行被测终端的关机操作,并同时控制被测平台和系统模拟器与被测终端进行关机流程的信令交互,测试结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711195276.XA CN107947907B (zh) | 2017-11-24 | 2017-11-24 | 窄带物联网终端非接入层安全模式一致性测试方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711195276.XA CN107947907B (zh) | 2017-11-24 | 2017-11-24 | 窄带物联网终端非接入层安全模式一致性测试方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107947907A true CN107947907A (zh) | 2018-04-20 |
CN107947907B CN107947907B (zh) | 2020-11-03 |
Family
ID=61949742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711195276.XA Active CN107947907B (zh) | 2017-11-24 | 2017-11-24 | 窄带物联网终端非接入层安全模式一致性测试方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107947907B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109661039A (zh) * | 2019-01-15 | 2019-04-19 | 北京泰德东腾通信技术有限公司 | 5g会话建立方法及会话释放的协议一致性测试方法 |
CN112954725A (zh) * | 2021-02-10 | 2021-06-11 | 深圳市汇顶科技股份有限公司 | 测试方法、通讯系统以及NB-IoT装置 |
CN112988485A (zh) * | 2021-03-26 | 2021-06-18 | 国网冀北电力有限公司信息通信分公司 | 电力物联网设备模拟测试方法及装置 |
CN114051263A (zh) * | 2021-11-26 | 2022-02-15 | 中电科思仪科技(安徽)有限公司 | 一种无线短距通信终端与窄带物联网终端综合测试平台 |
CN114125919A (zh) * | 2021-11-16 | 2022-03-01 | 上海移远通信技术股份有限公司 | 测试的方法和装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI784753B (zh) * | 2021-10-15 | 2022-11-21 | 財團法人資訊工業策進會 | 測試核心網路功能實體之方法、測試設備及非暫態電腦可讀媒體 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI738703B (zh) * | 2016-01-05 | 2021-09-11 | 美商內數位專利控股公司 | 在傳訊平面上傳送小資料nas協定之增強 |
CN106961726B (zh) * | 2016-01-12 | 2022-01-04 | 中兴通讯股份有限公司 | 一种数据传输方法、装置及系统 |
CN106209521B (zh) * | 2016-08-30 | 2019-11-12 | 北京泰德东腾通信技术有限公司 | 终端ims注册一致性的测试方法和系统 |
CN106130828B (zh) * | 2016-08-30 | 2019-05-03 | 北京泰德东腾通信技术有限公司 | 窄带物联网终端一致性测试方法和系统 |
-
2017
- 2017-11-24 CN CN201711195276.XA patent/CN107947907B/zh active Active
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109661039A (zh) * | 2019-01-15 | 2019-04-19 | 北京泰德东腾通信技术有限公司 | 5g会话建立方法及会话释放的协议一致性测试方法 |
CN112954725A (zh) * | 2021-02-10 | 2021-06-11 | 深圳市汇顶科技股份有限公司 | 测试方法、通讯系统以及NB-IoT装置 |
CN112988485A (zh) * | 2021-03-26 | 2021-06-18 | 国网冀北电力有限公司信息通信分公司 | 电力物联网设备模拟测试方法及装置 |
CN112988485B (zh) * | 2021-03-26 | 2024-01-26 | 国网冀北电力有限公司信息通信分公司 | 电力物联网设备模拟测试方法及装置 |
CN114125919A (zh) * | 2021-11-16 | 2022-03-01 | 上海移远通信技术股份有限公司 | 测试的方法和装置 |
CN114051263A (zh) * | 2021-11-26 | 2022-02-15 | 中电科思仪科技(安徽)有限公司 | 一种无线短距通信终端与窄带物联网终端综合测试平台 |
Also Published As
Publication number | Publication date |
---|---|
CN107947907B (zh) | 2020-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107947907A (zh) | 窄带物联网终端非接入层安全模式一致性测试方法和系统 | |
CN107708150A (zh) | 窄带物联网终端非接入层鉴权功能一致性测试方法和系统 | |
CN106130828B (zh) | 窄带物联网终端一致性测试方法和系统 | |
Akyol et al. | A survey of wireless communications for the electric power system | |
US8626123B2 (en) | System and method for securing a base station using SIM cards | |
EP3039897B1 (en) | Adaptive security indicator for wireless devices | |
JP3585422B2 (ja) | アクセスポイント装置及びその認証処理方法 | |
US9668139B2 (en) | Secure negotiation of authentication capabilities | |
CN107005927A (zh) | 用户设备ue的接入方法、设备及系统 | |
CN107211272A (zh) | 方法、装置和系统 | |
US9717088B2 (en) | Multi-nodal wireless communication systems and methods | |
US11606416B2 (en) | Network controlled machine learning in user equipment | |
US10225736B2 (en) | Method and apparatus for managing authentication in wireless communication system while subscriber identity module is not available | |
JP2015035833A (ja) | 無線接続方法及び装置 | |
CN110495199A (zh) | 无线网络中的安全小区重定向 | |
CN111786847B (zh) | 第五代移动通信终端一致性测试方法和系统 | |
Zhao et al. | SecureSIM: rethinking authentication and access control for SIM/eSIM | |
CN107395356A (zh) | 分层认证 | |
Pannu et al. | Investigating vulnerabilities in GSM security | |
CN107211488A (zh) | 由集成无线通信网络中的wlan节点执行的用于对接收的业务数据应用安全的方法 | |
Vahidian | Evolution of the SIM to eSIM | |
CN107231673A (zh) | 电子设备及其通信方法 | |
CN106878989A (zh) | 一种接入控制方法及装置 | |
CN106792687A (zh) | 移动终端wifi网络的连接方法及系统 | |
CN110062427A (zh) | 支持无线网络切换的可信服务管理方法以及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |