關于NB-IOT物聯網系統的安全架構思考*

陳福莉 ，曾 勇 ，姜自森 ，張 帆

（1.成都三零瑞通移動通信有限公司，四川 成都 610041；2.中國人民解放軍61428部隊，北京 100072）

0 引 言

我國政府高度重視物聯網發展，2017年6月，工業和信息化部發布《關于全面推進移動物聯網（NB-IoT）建設發展的通知》，要求加快推進網絡部署，構建NB-IoT（Narrow Band Internet of Things，窄帶物聯網）網絡基礎設施，到2020年，NB-IoT網絡實現全面普通覆蓋，面向室內、交通路網、地下管網等應用場景實現深度覆蓋，基站規模達到150萬個。2016年，中國移動推出首個標準化NB-IOT網絡應用[1]，據Gartner預測，到2020年全球將有260億物聯網設備，市場價值超過3 000億美元。到2021年，物聯網終端將達到互聯網終端的2倍以上[2]。

“窄帶物聯網”是專為物物互聯的應用場景而設計的通訊技術，相對于傳統的“人際互聯”所要求的應用需要高帶寬、長連續的互聯網相比，物物通訊一般屬于低耗流片段應用[3]。NB-IoT是IOT（Internet of Things，物聯網）領域一個新興的技術，基于現有的蜂窩網絡構建，可直接部署在已有的GSM（Global System for Mobile Communications， 全球移動通信系統）網絡、UMTS （Universal Mobile Telecommunications System，通用移動通信系統）網絡和LTE（Long Term Evolution，長期演進）網絡上，支持低功耗設備在廣域網的蜂窩數據連接，具有高覆蓋、低功耗、低成本、大連接等特點。NB-IOT系統采用“云網端”架構，“云”是運營商/用戶建立的物聯網業務/服務平臺，“網”是運營商部署的NB-IoT網絡，“端”即是各種NB-IOT的物聯網終端。

NB-IoT物聯網與移動互聯網都是開放網絡，面臨與移動互聯網相同的安全風險。同時NB-IoT物聯網具有終端規模巨大、業務訪問碎片化、業務服務種類多等特點，面臨的安全風險更加復雜。本文將對NB-IoT物聯網系統的安全風險進行分析，并提出一種NB-IoT物聯網系統的安全體系架構及解決方案。

1 NB-IOT物聯網系統架構及安全風險分析

我們首先對NB-IoT的系統架構、業務特點和安全風險進行分析，在此基礎上進行安全架構的設計。

1.1 系統架構

NB-IOT物聯網系統的架構如圖1所示。系統包括三個層次：終端層、網絡層和應用層。

圖1 NB-IoT系統架構示意圖

終端層通常也會稱為感知層，位于NB-IoT的最底層，是所有上層架構與服務的基礎[4]。終端層包括滿足多種用戶需求的NB-IoT終端，這些終端形態各異、功能不同，使用的操作系統、運算環境各有差異。所有終端均配置了NB-IoT通信模塊，終端設備功耗低、待機時間長、計算能力較弱、升級較困難，傳輸數據量小、通信間隔時間較長。

網絡層主要為運營商NB-IoT基礎網絡，很少用戶會自建NB-IoT網絡，包括NB-IoT的接入網、核心網。NB-IoT網絡具有廣覆蓋大連接的特點，一個扇區最大可支持10萬個連接，是傳統的移動通訊容量的50至100倍。

應用層為物聯網業務平臺，由于用戶業務系統是用戶信息系統的一部分，暫不列入NB-IoT物聯網系統的應用層。應用層包括互聯網公共業務平臺、運營商業務平臺、用戶自建的業務平臺，主要完成物聯網終端信息收集、匯聚、處理；終端狀態管理控制；與用戶業務系統的信息交互等功能。運營商業務平臺通常實現終端的信息收集管理、終端業務信息的轉發等功能，為用戶提供終端定位信息發布、終端狀態查詢等開放性服務功能。

1.2 安全風險分析

根據NB-IoT物聯網系統的系統架構，我們主要從終端層、網絡層和應用層進行安全風險分析。

NB-IoT終端除了具有移動終端設備的安全風險之外，還面臨以下的安全風險：

（1）終端部署環境復雜帶來的安全風險。不少NB-IoT終端部署在戶外、野外等不安全的場所，容易被盜竊、被控制。終端失控后易造成用戶隱私等信息的泄露，造成仿冒造終端接入系統發動攻擊。

（2）終端能力低帶來的安全風險。NB-IoT終端具有功能簡單、超低功耗和低成本的特點，因此終端系統架構簡單、計算能力及存儲能力都較低。終端計算能力不足以支撐移動終端/計算機上安全、密碼功能的移植，且輕量級的安全和密碼功能也未能及時部署，因此絕大多數NB-IoT終端的安全防護能力不強，甚至處于“裸奔”狀態，給系統帶來較大的安全風險。

（3）終端升級困難帶來的安全風險。信息設備的漏洞在逐步發現和修補，因此升級能力是所有信息設備的必備能力。NB-IoT終端部署廣泛數量巨大、網絡通信資源不夠豐富，給NB-IOT終端及時升級帶來困難。未能及時升級的“帶病”終端是系統的安全隱患。

NB-IoT系統網絡層所面臨的安全風險如下：

（1）海量終端接入給網絡帶來的安全風險。NB-IoT終端數量是非常巨大的，需要網絡層具有高效快速的安全接入能力，這給NB-IoT系統帶來較大的挑戰和安全風險。

（2）開放網絡帶來的安全風險。NB-IoT的接入網和核心網面向海量終端開放，網絡層易遭受來自終端及無線空間的DDOS攻擊、中間人攻擊等網絡攻擊，給系統帶來被入侵、信息被篡改的風險。NB-IoT核心網需向物聯網業務平臺開放，為用戶提供定位等服務，因此網絡層面臨從公網發起的安全攻擊。

NB-IoT系統應用層面臨的安全風險如下：

（1）公網接入給用戶物聯網平臺帶來的安全風險。物聯網業務平臺與運營商的NB-IoT核心網、接入網連接，根據業務需要可能與互聯網連接/信息交互。因此用戶物聯網平臺面臨從終端、互聯網發起的安全攻擊，業務平臺面臨隱私泄露、信息篡改等安全風險。

（2）多用戶/多業務接入給運營商物聯網平臺帶來的安全風險。運營商的物聯網平臺與多個用戶/多種業務的終端進行信息交換，同時會與用戶的多個業務系統進行信息交換。一旦安全防護機制不到位，將造成用戶業務信息交叉訪問、信息非法流轉的不利局面，給用戶的業務平臺帶來安全風險。

（3）運營商物聯網業務平臺提供開放服務帶來的安全風險。運營商物聯網業務平臺需要為用戶提供終端定位信息發布、終端狀態查詢等開放性服務，運營商物聯網業務平臺面臨來自互聯網/用戶信息系統的攻擊。

2 NB-IoT物聯網安全架構

NB-IoT物聯網安全架構將基于系統架構，針對面臨的安全風險進行設計。安全架構的構建目標是：建立NB-IoT物聯網系統“云網端”一體化的安全防護體系，實現終端可管可控、網絡穩定可靠、應用分級可用。基于上述原則，我們提出NB-IoT物聯網系統的安全架構如圖2所示。

下面分別從終端層、網絡層和應用層對物聯網系統的安全架構進行說明。

2.1 終端層

目前NB-IoT終端的形式、結構、功能、體系架構等均沒有統一的標準規范，因此我們采用“終端安全加固”對示意終端的安全防護功能，NB-IoT終端主要從以下幾方面進行安全防護。

（1）實現終端的物理安全，例如對終端接口、芯片等的物理保護；對結構允許的終端增加防拆設計，實現強行拆卸自毀等防護功能。

（2）實現終端的系統安全，對條件允許的終端采用可信計算架構建立安全運行環境；對終端采用最小權限的管控原則，關閉調試功能等可能產生安全隱患的接口功能。

（3）設計適應NB-IoT系統的輕量級密碼算法、密碼體制和安全防護機制，以密碼技術為基礎實現終端的整體安全防護。

圖2 NB-IoT物聯網系統安全架構示意圖

（4）對終端中的用戶隱私、敏感信息、配置文件等重要數據進行加密存儲和訪問控制。

（5）支持對終端的實時狀態監控，支持對狀態異常的終端進行屏蔽入網/遠程鎖閉/遠程數據擦除等緊急防護處置。

（6）為終端提供遠程升級服務，支持遠程升級包推送、強制升級等功能，及時修補終端的安全漏洞。

（7）實現終端系統準入制度，制定終端安全標準，對入網終端進行測試和評估，限制未通過測評的終端接入系統。

2.2 網絡層

NB-IoT網絡具有終端海量接入、開放性等特點，需要從以下幾方面來進行網絡層的安全防護。

（1）支持終端入網身份認證，實現終端與網絡之間的雙向身份認證功能，限制非法終端接入網絡。采用輕量級密碼算法設計輕量級、高效、大連接的雙向網絡接入認證機制。

（2）對高安全用戶提供終端與業務平臺之間端到端的加密通信保護，保證信息傳輸的機密性、完整性和不可否認。

（3）在NB-IoT核心網和接入網之間、核心網與業務平臺之間建立網絡訪問控制、異常流量檢測/流量清洗、入侵檢測與防御等邊界安全防護機制。

（4）在NB-IoT網絡層構建防DDOS（Distributed Denial of Service，分布式拒絕服務）攻擊、防篡改、防入侵、防病毒等基礎網絡安全防護能力，在網絡層可防御信令欺騙、重放攻擊、中間人攻擊等。

2.3 應用層

NB-IoT物聯網系統的應用層需要在采取以下的安全防護：

（1）業務平臺的基礎防護能力

1）物聯網業務平臺需要實現身份認證、訪問控制、安全審計、安全監測等安全功能，保證業務平臺自身的安全運行。

2）在物聯網業務平臺與核心網之間、業務平臺與用戶信息系統之間進行邊界安全防護；實現業務平臺與用戶信息系統之間信息的受控交換。

3）物聯網業務平臺提供數據存儲保護、數據傳輸保護以及數據的訪問控制，保證業務平臺數據的機密性、完整性和可用性。

（2）業務平臺的業務安全和管理安全能力

1）訪問控制與分級管理。由于業務平臺支持多種終端的接入和多類業務的處理，因此需要實現業務的分區分級保護。可按照用戶對業務平臺進行分區管控，嚴格限制不同分區之間的非法訪問、信息獲取。按照業務對物聯網業務平臺進行分級管控，根據業務級別實現業務的資源配置和訪問控制。

2）態勢感知與威脅防護。物聯網業務平臺可實現對全網的安全態勢感知，對所有終端和網元進行實時狀態監控，禁止非法終端、“帶病”網元接入系統。物聯網業務平臺可實現對業務行為的監控和威脅防范，支持對業務數據的協議分析，可識別基于應用協議的安全攻擊，過濾/限制非法業務訪問。業務平臺能夠對收集到系統業務數據進行大數據分析，對系統進行威脅識別、風險預警和應急處置。

3 結 語

隨著NB-IoT的應用逐漸廣泛以及用戶需求的逐漸細化，系統最終呈現的架構可能與本文的架構有區別。但本文主要從共性的系統架構出發，對NB-IoT物聯網系統所面臨的安全風險進行綜合性分析，從而提出的一個普適性的安全架構，在實際系統中可以根據系統的實際部署情況、業務需求進行裁剪和增強。