Об утверждении Концепции построения и развития узкополосных беспроводных сетей связи "Интернета вещей" на территории Российской Федерации

Предпосылки к развитию на территории Российской Федерации сетей "Интернета вещей" технологии NB-IoT

Технология NB-IoT является в большей степени эволюционной разработкой, нежели простой адаптацией стандарта LTE к требованиям IoT. NB-IoT предполагает интеграцию с LTE, однако при его внедрении изменяется не только программное, но и аппаратное обеспечение (в случае отсутствия поддержки необходимого функционала SDR на БС). Несмотря на это, радиоинтерфейс NB-IoT не является отдельным стандартом, а описывается как специальный режим стандарта LTE, что связано с целесообразностью унификации инфраструктуры сетей радиодоступа LTE для предоставления всего спектра услуг IoT.

Использование полос радиочастот для технологии NB-IoT (рисунок 13) предусматривается в трех возможных вариантах: в качестве отдельного радиочастотного канала вне канала LTE, в защитной полосе радиочастот, обязательной для обеспечения совместимости сетей LTE различных операторов, а также непосредственно за счет выделения полосы радиочастот в канале сети LTE. Для простоты данные режимы именуются: обособленный (stand alone), внутриканальный (guard-band) и внутрисигнальный (inband) соответственно.

Такая вариативность обусловлена тем, что радиоинтерфейс NB-IoT разрабатывался с учетом выполнения требования полной совместимости с действующими радиоинтерфейсами GSM и LTE.

     Рисунок 13. Варианты использования радиочастот для технологии NB-IoT

Фактически, установление защищенного соединения между устройством NB-IoT и ядром сети полностью повторяет аналогичную процедуру для стандарта LTE. В частности, переиспользуются алгоритмы аутентификации, шифрования и контроля целостности передаваемой пользовательской и контрольной информации. При этом в NB-IoT разделяют механизмы обеспечения шифрования и проверки целостности на механизмы, устанавливаемые в протоколах между АС и БС - Access Stratum (AS), и механизмы, устанавливаемые в протоколах между АС и ММЕ - Non-Access Stratum (NAS). К механизмам AS относятся алгоритмы, которые устанавливают безопасность на уровне сети радиодоступа, включая пользовательские данные и данные управления. К механизмам NAS относятся алгоритмы, которые устанавливают безопасность на уровне опорной сети, включая данные управления и пользовательские данные, если они в небольшом объеме инкапсулированы в структуру данных управления NAS (используется в NB-IoT для исключения необходимости установления радиосоединения для пользовательских данных).

Отдельно следует отметить центр авторизации опорной сети, в котором участвует сервер домашних абонентов (HSS). При этом процедура установления защищенного соединения между устройством NB-IoT и сетью радиодоступа/опорной сетью подразумевает использование широкого набора ключей шифрования.

Для обеспечения безопасной загрузки профилей SIM карт в eUICC в рамках GSMA была разработана соответствующая архитектура Embedded SIM Remote Provisioning Architecture, специально ориентированная на управление устройствами IoT. Данный механизм в IoT является особенно востребованным, т.к. рекомендуется изменять ключи не реже одного раза в 5 лет, что для многих устройств IoT означает хотя бы одну смену ключей в процессе эксплуатации. Соответствующие механизмы смены ключей предусмотрены и на уровне HSS.

Помимо перезагрузки ключей, сеть NB-IoT поддерживает возможность перезагрузки алгоритмов шифрования или алгоритмов проверки целостности на уровне сети и на уровне SIM-карт, что обеспечивает возможность замены алгоритмов в случае выявления уязвимостей в них. Для установки алгоритмов шифрования используются специальные сообщения и процедуры, прописанные в стандартах на опорную сеть и на SIM-карты.

Если говорить об опорной сети в целом, то начиная с узла ММЕ для данных, передаваемых NAS, и для шифрованных пользовательских данных начиная с узла БС, используется протокол IP. Для защиты опорной сети при этом используются ставшие традиционные механизмы, такие как организация VPN-тоннелей и другие стандартные методы защиты IT-инфраструктуры.

Помимо исключительно криптографических алгоритмов защиты информации в сетях NB-IoT есть и другие механизмы, косвенно обеспечивающие более высокий уровень безопасности передаваемой информации. Например, сертификация устройств на соответствие стандартам обеспечивает сложность создания нестандартных устройств. Передача уникального идентификатора IMSI осуществляется только при первом подключении к сети после включения аппарата, а в другие моменты используется его временный аналог TMSI. Режим передачи данных с подтверждением, доступный в NB-IoT, обеспечивает возможность гарантированных обновлений важной информации без риска умышленного подавления такой информации в радиоканале или ее случайной потери из-за флуктуации сигнала. Последнее, в частности, позволяет проводить обновление критических установок устройства по радиоканалу. Наконец, в NB-IoT существуют классы приоритезации трафика для критически важной информации, что позволяет избежать потери критической информации при появлении перегрузок в сети.

Кроме того, радиоинтерфейс NB-IoT в совокупности с функционалом ядра 3GPP позволяет реализовать полную управляемость услугами и устройствами IoT не только в рамках собственной сети, но и обеспечить доступ к данному функционалу для сторонних компаний-партнеров, которые могут реализовывать сложные услуги IoT, специфические для конкретной отрасли или применения.

Все вышеперечисленное в совокупности с возможностью использования полос радиочастот, ранее выделенных для применения РЭС стандарта LTE и последующих его модификаций в режиме NB-IoT позволяет рассматривать данную технологию, как одну из наиболее востребованных, при реализации различных проектов "Интернета вещей" с использованием узкополосных беспроводных сетей связи IoT на территории Российской Федерации.