中国移动NB-IoT安全白皮书.pdf

中国移动 NB-IoT安全 白皮书 中国移动 2017 年 11 月 目 录 1. 引言 . 1 1.1 业务简介 . 1 1.2 特点分析 . 2 1.3 行业现状 . 3 2. 风险分析 . 4 2.1 业务风险分析 . 5 2.2 平台风险分析 . 5 2.3 网络风险分析 . 6 2.4 终端风险分析 . 7 2.5 管理风险分析 . 8 3. 总体目标 . 8 4. 安全框架 . 9 5. 能力要求 . 11 5.1业务安全 . 11 5.1.1 业务行为监测 . 11 5.1.2 业务威胁防范 . 11 5.1.3 业务分级管理 . 12 5.2 平台安全 . 12 5.2.1 访问控制 . 12 5.2.2 边界防护 . 12 5.2.3 平台内部防护 . 12 5.2.4 数据安全 . 13 5.3 网络安全 . 13 5.3.1 身份识别及通道安全 . 13 5.3.2 应急管控能力 . 14 5.3.3 网络安全防护 . 14 5.4 终端安全 . 15 5.4.1 用户隐私安全 . 15 5.4.2 升级安全 . 15 5.4.3 物理安全 . 15 5.4.4 系统安全 . 16 6. 中国移动安全实践 . 16 7. 推进建议 . 17 8. 总结展望 . 19 1 1. 引言 在万物互联时代 ， 人们期待借助物联网实现人与物和物与物之间的 信息交互和通信，进而获得更为便捷的生活体验 。 物联网 是互联网的延伸， 其应用 范围覆盖了 个人穿戴、家庭安防、交通物流、智慧城市、工业制造、智慧金融、智能家居、环境监测 等行业 ， 为信息通信产业开拓了全新空间 。 蜂窝 物联网的 主要 应用 场景 有两类 ：一是 智慧城市、 智能家居 、环境监测 等 行业 应用， 对 速率 要求 不高 ， 但 需要 待机时间长 、 模组 成本 低 、覆盖能力强的 物联网 技术 ， NB-IoT 是此场景常用的技术。二是 交通 物流、个人 穿戴 等 应用， 对 速率 要求 较高 ，需要 支持移动性、支持语音的 物联网 技术 ， eMTC是此场景常用的技术。此外，在 NB-IoT、eMTC等低功耗物联网成熟之前，传统 2/3/4G网络也常被用于接入各类物联网设备，实现通 信 需求。 在我国大力推进 NB-IoT物联网基础设施建设之时，也应注意到网络信息安全问题给物联网的发展提出了全新的挑战 。 本白皮书基于物联网业务安全需求及应用场景， 重点 分析了 当前正在大力建设的NB-IoT所 面临的安全问题，提出了 NB-IoT安全技术需求和安全架构，以期推动产业链在 相关 方面达成一致，尽快攻克核心技术难题，从而促进 NB-IoT物联网健康持续发展。 1.1 业务简介 随着业务不断创新和快速发展， NB-IoT在“云 -管 -端”模式的网2 络体系结构之上，与各行业融合，衍生出了 丰富多彩 的物联网业务，共同形成“业务 +云管端” 的体系结构。其中，业务由物联网与传统行业融合而成，应用 NB-IoT 技术实现业务统一控制；“云”由 开放平台组成，通常利用云计算技术实现数据统一传送、数据统一存储 、设备连接统一管理 ；“管”即 NB-IoT 网络，提供各种网络接入和数据传输通道；“端”是各种类型的 NB-IoT终端设备。 图 1 典型 NB-IoT业务体系架构 1.2 特点分析 NB-IoT业务的主要特点包括以下几点： 连接海量化。 据 Gartner预测，到 2020年全球将有 260亿物联网设备，市场价值超过 3000 亿美元 ， 而 DHL 和思科联合发布的报告 则预测 到 2020 年物联网的连接数将达到 500 亿 。 中国移动十三五规划NB - Io T R A N接入网络One N E T 平台NB - IoT 业务 平台互联网平台 自有 平台运营商 平台平台网络终端PGW物 联网SGWMMEH SSSCE F业务NB - IoT 业务 平台NB - IoT 业务 平台NB - Io T R A N智能抄表 工厂设备 传感器仪器 智能家电3 提出到 2020年 蜂窝 物联网连接 规模超过 5亿 。 业务碎片化。 NB-IoT与个人及家庭生活、工业生产深度融合，应用场景多， 产业链中的 终端、网络、芯片、操作系统、平台 、业务 等的具体 实现 各不相同 ， 各类 应用场景 的 业务规模、终端功能、数据种类 也存在差异 ，“碎片化”现象严重。 服务开放化 。 NB-IoT业务平台既有运营商平台也有互联网或 用 户自建的平台，可满足各种业务需求；同时，部分业务需要 运营商 开放云计算、位置查询、设备状态查询、认证等必要能力，使得 运营商 网络更加开放。因此， NB-IoT 服务模式与传统的通信服务模式有较大不同，产业链将 更 长且不断产生各类新兴的商业模式，也相应地提出了 新的网络信息安全需求。 1.3 行业现状 近年来 ,我国政府高度重视物联网发展 , 积极推进科技创新。 2016年 12 月， 工业和信息化部 印发 的 信息通信行业发展规划（ 20162020年） 中，提出要“ 建设完善窄带物联网 （ NB-IoT）基础设施，实现在城市运行管理和重点行业的规模应用”。 2017年 6月 ， 工业和信息化部 办公厅发布的 关于全面推进移动物联网 (NB-IoT)建设发展的通知指出，建设广覆盖、大连接、低功耗的移动物联网基础设施，有助于推进网络强国和制造强国建设 ，同时 要求，加快推进网络部署，构建 NB-IoT网络基础设施 ， 到 2017年末，实现 NB-IoT 网络覆盖直辖市、省会城市等主要城市，基站规模4 达到 40 万个；到 2020 年， NB-IoT 网络实现全国普遍覆盖，面向室内、交通路网、地下管网等应用场景实现深度覆盖，基站规模达到150万个。 在 NB-IoT商用进程方面，中国移动 已 在 全国 346个城市 启动 移动物联网建设， 2017 年底前实现部分重点城市商用 。 2017 年 5 月，在中国电信物联网发展政策恳谈会 上， 中国电信 宣布 在 6月底建成全球首个全覆盖的 NB-IoT商用网络 ， 并 率先 开展 NB-IoT商用放号 ； 2017年 8月， 在 中国联通物联网大会上 ， 中国联通 宣布 已在全国数十城市完成了 NB-IoT试商用开通，全国 300多 个 城市具备快速接入 NB-IoT网络的能力。 依托 NB-IoT技术，物联网的规模化商用将全面提速。 在 NB-IoT业务快速发展的同时， 也 存在 着产业链发展不均衡的问题， 例如 芯片模组产业 落后于 网络 设备 产业 及网络 建设 速度 、 终端入网 测试 进度 与终端 规模 增长速度 不一致 等 ， 这些 问题 也一定程度上 会影响到 NB-IoT的 网络信息安全 水平 。 2. 风险分析 由于 NB-IoT业务广泛 涉及通信网络、大数据、云平台、移动 APP、WEB 等技术， 其本身也 沿袭了传统互联网的 安全风险 ， 加之 NB-IoT终端规模 十分 巨大、升级困难，传统安全问题的危害在 此 环境下会被急剧放大。 因此， 作为一种全新 的 技术 ， NB-IoT 也面临着 前所未有的安全 风险 。 5 2.1 业务 风险 分析 （ 1） 业务防护能力不足 物联网业务种类多， 规模差别大， 安全投入 不均衡， 部分 业务防护能力不足， 影响业务安全运行 。 （ 2） 业务漏洞风险大 NB-IoT与各行业深度融合， 业务 逻辑 复杂， 应用协议 多样， 容 易存在 业务 漏洞 。 （ 3） 业务滥用风险 高 NB-IoT 业务 场景 复杂 ， 导致 卡及 终端 形态多样， 存在插拔式卡、嵌入式卡 等形态 ， 容易被恶意利用 。 例如 使用 插拔式 卡的 终端 难以预防 机卡分离，存在 被用于发送垃圾短信 等 业务 滥用 的 风险 。 2.2 平台 风险分析 （ 1） 越权操作 风险 大量 NB-IoT应用 运行在 一个 集中的 平台 上 ，如果没有进行有效的安全隔离 和访问控制， 容易引发 不同应用之间的越权访问和操作。另外，如果没有对不同用户、设备进行有效隔离，也可能导致不同用户、设备之间的越权访问。 （ 2） 数据泄露 风险 多数 NB-IoT应用的数据会集中 存储 在统一的物联网平台 ，并通过统一的 平台对终端进行控制 。若平台 被恶意攻陷，就会导致大规模数据泄露 ， 甚至大量终端设备被控制， 进而影响工业生产及社会生活。 6 （ 3） 边界模糊 风险 NB-IoT 与工业制造等行业融合过程中，工业设备通过 NB-IoT 网络 接入业务平台，重要生产数据通过公网传输，打破了传统工业网络封闭、隔离的安全边界， 安全边界变得模糊， 安全 防护 难度大大增加 。 2.3 网络 风险分析 （ 1） 设备规模巨大易引发大规模网络攻击 NB-IoT终端设备规模巨大，且分散安装、甚至位于户外，难以进行统一管理，一旦大量设备被恶意控制，就可能对其他网络系统发起大规模 DDoS 攻击，甚至导致大规模断网， 传统安全问题的危害会被急剧放大 。 （ 2） 公网传输导致重要数据泄露 风险 物联网 应用 的各类采集 数据通过 NB-IoT 网络上传到对应的业务平台，传输过程跨越多个网络，经由大量网元进行处理，存在重要数据泄露的风险。 （ 3） 应急管控不足造成危害难以及时消除 传统短信、数据、语音等通信功能管控依据 单一设备、单一功能、单一用户进行，而 NB-IoT 终端规模大，且不同业务的短信、数据等通信功能组合较多，若不能在网络侧 通过地域、业务、用户 等 多维度实施通信功能批量 应 急管控，则 无法应对海量终端被控引发的风险。 （ 4） 通信网络面临 复杂 攻击的风险 NB-IoT核心网 一般与互联网相对隔离，网元 之间相互信任 而 没有7 采取 认证机制 ，随着网络更加开放化 以及跨运营商网络之间的通信需求， NB-IoT 核心网 也会面临 信令伪造、篡改、重放攻击 等 风险 ，核心网与互联网接口也会面临来自互联网的 各种 攻击 。 同时， 大量终端接入网络 也可能 对核心网络发起攻击，影响业务运行。 2.4 终端 风险分析 （ 1）终端易被接触导致隐私泄露 NB-IoT应用与 人 们 的 工作 生活息息相关，而部分终端 设备 在户外部署，易被接触到， 可能 导致终端数据被非法获取而泄露用户隐私 。另外，与业务安全紧密相关的密钥存储在终端，也容易被非法获取。 （ 2）计算能力 受限 导致 易被恶意控制 NB-IoT设备受成本限制， 通常 计算 能力较弱 ，无法实现安全级别高的认证 机制 、安全算法，抵御暴力破解等攻击的能力差，容易被恶意控制。 （ 3）系统升级复杂导致设备“带病”运行 NB-IoT 终端操作系统 及 应用 软件均可能 存在 安全 漏洞 ， 并且NB-IoT 设备部署 位置 通常比较 分散， 现场 系统 升级 方式不易 实施 ，而远程升级 一旦 失败 就会 影响业务正常运营 。 同时 ，大部分安全漏洞并不影响 终端 用户的业务 运行 ， 因此， 用户升级意愿较低 ，导致 大量设备 会 长期“带病”运行，极容易被 黑客 恶意控制。 8 2.5 管理 风险分析 （ 1） 安全责任不清 NB-IoT产业链 包括 设备制造商、网络运营商、平台运营商、用户等角色 ，发生安全事件时 可能 存在安全责任不清的问题 。 例如 ， 终端设备 在 设备制造商 出厂时 就 存在安全隐患 ， 设备归 用户 所有，使用 运营商 的网络接入平台， 而用户 在使用时 未及时升级， 终端被 恶意 控制后 产生 了 危害 ， 产业链 中 各角色 的 安全责任 不 清晰 。 （ 2） 安全意识不足 NB-IoT设备 通常 由用户进行管理， 普通用户 安全意识缺失容易导致弱口令、安全配置缺陷等问题， 进而引发 安全事件。 （ 3） 安全分级 缺失 涉及国家安全、国土资源、公共秩序等的重要物联网应用与个人普通 物联网应用使用统一的网络和 业务平台 承载 ， 若分级防护缺失 ，在 受到攻击 时， 无法保障重要应用的安全 。 （ 4） 安全标准 不统一 目前 尚未形成全面的覆盖产业链的 NB-IoT安全 标准，平台、终端安全防护能力参差不齐，无法按照统一的标准进行体系化安全防护。 3. 总体目标 在大力推动 NB-IoT发展与普及的同时， 针对物联网面临的 各种安全风险， 应 构建积极的安全 风险 防御 体系 ，将安全防护措施贯穿于NB-IoT业务的全生命周期，实现 NB-IoT全业务、全流程 、端到端的