关于NB-IOT物联网系统的安全架构思考*

2019-09-03陈福莉姜自森

通信技术 2019年8期

陈福莉，曾勇，姜自森，张帆

（1.成都三零瑞通移动通信有限公司，四川成都 610041；2.中国人民解放军61428部队，北京 100072）

0 引言

我国政府高度重视物联网发展，2017年6月，工业和信息化部发布《关于全面推进移动物联网（NB-IoT）建设发展的通知》，要求加快推进网络部署，构建NB-IoT（Narrow Band Internet of Things，窄带物联网）网络基础设施，到2020年，NB-IoT网络实现全面普通覆盖，面向室内、交通路网、地下管网等应用场景实现深度覆盖，基站规模达到150万个。2016年，中国移动推出首个标准化NB-IOT网络应用[1]，据Gartner预测，到2020年全球将有260亿物联网设备，市场价值超过3 000亿美元。到2021年，物联网终端将达到互联网终端的2倍以上[2]。

“窄带物联网”是专为物物互联的应用场景而设计的通讯技术，相对于传统的“人际互联”所要求的应用需要高带宽、长连续的互联网相比，物物通讯一般属于低耗流片段应用[3]。NB-IoT是IOT（Internet of Things，物联网）领域一个新兴的技术，基于现有的蜂窝网络构建，可直接部署在已有的GSM（Global System for Mobile Communications，全球移动通信系统）网络、UMTS （Universal Mobile Telecommunications System，通用移动通信系统）网络和LTE（Long Term Evolution，长期演进）网络上，支持低功耗设备在广域网的蜂窝数据连接，具有高覆盖、低功耗、低成本、大连接等特点。NB-IOT系统采用“云网端”架构，“云”是运营商/用户建立的物联网业务/服务平台，“网”是运营商部署的NB-IoT网络，“端”即是各种NB-IOT的物联网终端。

NB-IoT物联网与移动互联网都是开放网络，面临与移动互联网相同的安全风险。同时NB-IoT物联网具有终端规模巨大、业务访问碎片化、业务服务种类多等特点，面临的安全风险更加复杂。本文将对NB-IoT物联网系统的安全风险进行分析，并提出一种NB-IoT物联网系统的安全体系架构及解决方案。

1 NB-IOT物联网系统架构及安全风险分析

我们首先对NB-IoT的系统架构、业务特点和安全风险进行分析，在此基础上进行安全架构的设计。

1.1 系统架构

NB-IOT物联网系统的架构如图1所示。系统包括三个层次：终端层、网络层和应用层。

图1 NB-IoT系统架构示意图

终端层通常也会称为感知层，位于NB-IoT的最底层，是所有上层架构与服务的基础[4]。终端层包括满足多种用户需求的NB-IoT终端，这些终端形态各异、功能不同，使用的操作系统、运算环境各有差异。所有终端均配置了NB-IoT通信模块，终端设备功耗低、待机时间长、计算能力较弱、升级较困难，传输数据量小、通信间隔时间较长。

网络层主要为运营商NB-IoT基础网络，很少用户会自建NB-IoT网络，包括NB-IoT的接入网、核心网。NB-IoT网络具有广覆盖大连接的特点，一个扇区最大可支持10万个连接，是传统的移动通讯容量的50至100倍。

应用层为物联网业务平台，由于用户业务系统是用户信息系统的一部分，暂不列入NB-IoT物联网系统的应用层。应用层包括互联网公共业务平台、运营商业务平台、用户自建的业务平台，主要完成物联网终端信息收集、汇聚、处理；终端状态管理控制；与用户业务系统的信息交互等功能。运营商业务平台通常实现终端的信息收集管理、终端业务信息的转发等功能，为用户提供终端定位信息发布、终端状态查询等开放性服务功能。

1.2 安全风险分析

根据NB-IoT物联网系统的系统架构，我们主要从终端层、网络层和应用层进行安全风险分析。

NB-IoT终端除了具有移动终端设备的安全风险之外，还面临以下的安全风险：

（1）终端部署环境复杂带来的安全风险。不少NB-IoT终端部署在户外、野外等不安全的场所，容易被盗窃、被控制。终端失控后易造成用户隐私等信息的泄露，造成仿冒造终端接入系统发动攻击。

（2）终端能力低带来的安全风险。NB-IoT终端具有功能简单、超低功耗和低成本的特点，因此终端系统架构简单、计算能力及存储能力都较低。终端计算能力不足以支撑移动终端/计算机上安全、密码功能的移植，且轻量级的安全和密码功能也未能及时部署，因此绝大多数NB-IoT终端的安全防护能力不强，甚至处于“裸奔”状态，给系统带来较大的安全风险。

（3）终端升级困难带来的安全风险。信息设备的漏洞在逐步发现和修补，因此升级能力是所有信息设备的必备能力。NB-IoT终端部署广泛数量巨大、网络通信资源不够丰富，给NB-IOT终端及时升级带来困难。未能及时升级的“带病”终端是系统的安全隐患。

NB-IoT系统网络层所面临的安全风险如下：

（1）海量终端接入给网络带来的安全风险。NB-IoT终端数量是非常巨大的，需要网络层具有高效快速的安全接入能力，这给NB-IoT系统带来较大的挑战和安全风险。

（2）开放网络带来的安全风险。NB-IoT的接入网和核心网面向海量终端开放，网络层易遭受来自终端及无线空间的DDOS攻击、中间人攻击等网络攻击，给系统带来被入侵、信息被篡改的风险。NB-IoT核心网需向物联网业务平台开放，为用户提供定位等服务，因此网络层面临从公网发起的安全攻击。

NB-IoT系统应用层面临的安全风险如下：

（1）公网接入给用户物联网平台带来的安全风险。物联网业务平台与运营商的NB-IoT核心网、接入网连接，根据业务需要可能与互联网连接/信息交互。因此用户物联网平台面临从终端、互联网发起的安全攻击，业务平台面临隐私泄露、信息篡改等安全风险。

（2）多用户/多业务接入给运营商物联网平台带来的安全风险。运营商的物联网平台与多个用户/多种业务的终端进行信息交换，同时会与用户的多个业务系统进行信息交换。一旦安全防护机制不到位，将造成用户业务信息交叉访问、信息非法流转的不利局面，给用户的业务平台带来安全风险。

（3）运营商物联网业务平台提供开放服务带来的安全风险。运营商物联网业务平台需要为用户提供终端定位信息发布、终端状态查询等开放性服务，运营商物联网业务平台面临来自互联网/用户信息系统的攻击。

2 NB-IoT物联网安全架构

NB-IoT物联网安全架构将基于系统架构，针对面临的安全风险进行设计。安全架构的构建目标是：建立NB-IoT物联网系统“云网端”一体化的安全防护体系，实现终端可管可控、网络稳定可靠、应用分级可用。基于上述原则，我们提出NB-IoT物联网系统的安全架构如图2所示。

下面分别从终端层、网络层和应用层对物联网系统的安全架构进行说明。

2.1 终端层

目前NB-IoT终端的形式、结构、功能、体系架构等均没有统一的标准规范，因此我们采用“终端安全加固”对示意终端的安全防护功能，NB-IoT终端主要从以下几方面进行安全防护。

（1）实现终端的物理安全，例如对终端接口、芯片等的物理保护；对结构允许的终端增加防拆设计，实现强行拆卸自毁等防护功能。

（2）实现终端的系统安全，对条件允许的终端采用可信计算架构建立安全运行环境；对终端采用最小权限的管控原则，关闭调试功能等可能产生安全隐患的接口功能。

（3）设计适应NB-IoT系统的轻量级密码算法、密码体制和安全防护机制，以密码技术为基础实现终端的整体安全防护。

图2 NB-IoT物联网系统安全架构示意图

（4）对终端中的用户隐私、敏感信息、配置文件等重要数据进行加密存储和访问控制。

（5）支持对终端的实时状态监控，支持对状态异常的终端进行屏蔽入网/远程锁闭/远程数据擦除等紧急防护处置。

（6）为终端提供远程升级服务，支持远程升级包推送、强制升级等功能，及时修补终端的安全漏洞。

（7）实现终端系统准入制度，制定终端安全标准，对入网终端进行测试和评估，限制未通过测评的终端接入系统。

2.2 网络层

NB-IoT网络具有终端海量接入、开放性等特点，需要从以下几方面来进行网络层的安全防护。

（1）支持终端入网身份认证，实现终端与网络之间的双向身份认证功能，限制非法终端接入网络。采用轻量级密码算法设计轻量级、高效、大连接的双向网络接入认证机制。

（2）对高安全用户提供终端与业务平台之间端到端的加密通信保护，保证信息传输的机密性、完整性和不可否认。

（3）在NB-IoT核心网和接入网之间、核心网与业务平台之间建立网络访问控制、异常流量检测/流量清洗、入侵检测与防御等边界安全防护机制。

（4）在NB-IoT网络层构建防DDOS（Distributed Denial of Service，分布式拒绝服务）攻击、防篡改、防入侵、防病毒等基础网络安全防护能力，在网络层可防御信令欺骗、重放攻击、中间人攻击等。

2.3 应用层

NB-IoT物联网系统的应用层需要在采取以下的安全防护：

（1）业务平台的基础防护能力

1）物联网业务平台需要实现身份认证、访问控制、安全审计、安全监测等安全功能，保证业务平台自身的安全运行。

2）在物联网业务平台与核心网之间、业务平台与用户信息系统之间进行边界安全防护；实现业务平台与用户信息系统之间信息的受控交换。

3）物联网业务平台提供数据存储保护、数据传输保护以及数据的访问控制，保证业务平台数据的机密性、完整性和可用性。

（2）业务平台的业务安全和管理安全能力

1）访问控制与分级管理。由于业务平台支持多种终端的接入和多类业务的处理，因此需要实现业务的分区分级保护。可按照用户对业务平台进行分区管控，严格限制不同分区之间的非法访问、信息获取。按照业务对物联网业务平台进行分级管控，根据业务级别实现业务的资源配置和访问控制。

2）态势感知与威胁防护。物联网业务平台可实现对全网的安全态势感知，对所有终端和网元进行实时状态监控，禁止非法终端、“带病”网元接入系统。物联网业务平台可实现对业务行为的监控和威胁防范，支持对业务数据的协议分析，可识别基于应用协议的安全攻击，过滤/限制非法业务访问。业务平台能够对收集到系统业务数据进行大数据分析，对系统进行威胁识别、风险预警和应急处置。