綜述
2017年作為NB-IoT的商用元年�,中國電信和中國移動陸續(xù)完成了全球規(guī)模最大的NB-IoT網(wǎng)絡(luò)建設(shè)����。中國電信提出,要在“十三五”階段��,建成智能連接生態(tài)圈�����,目前�����,其物聯(lián)網(wǎng)生態(tài)已具雛形。2017年5月���,經(jīng)過提前布局���、標(biāo)準(zhǔn)跟蹤、外場試驗��、版本發(fā)布���、商用部署等一系列工作��,中國電信正式宣布建成全球首個NB-IoT商用網(wǎng)絡(luò)����。
中國移動提出了“大連接”戰(zhàn)略���。2017年�,中國移動物的連接凈增規(guī)模已超過個人和家庭連接�����,在總凈增連接中占比達(dá)到
61.8%,成為驅(qū)動連接規(guī)模增長的第一動力�����。按照計劃�,2017年年底,中國移動共實現(xiàn)了346個城市NB-IoT連續(xù)覆蓋�。
現(xiàn)狀
在NB-IoT、eMTC等低功耗物聯(lián)網(wǎng)成熟之前���,傳統(tǒng)2/3/4G網(wǎng)絡(luò)也常被用于接入各類物聯(lián)網(wǎng)設(shè)備���,以實現(xiàn)通信需求。蜂窩物聯(lián)網(wǎng)的主要應(yīng)用場景包含智能家居����,其中NB-IoT主要是對速率要求不高�����,但需要待機時間長�����、模組成本低、覆蓋能力強的物聯(lián)網(wǎng)技術(shù)�。eMTC技術(shù)主要針對速度要求較高,需要支持移動性�、支持語音的物聯(lián)網(wǎng)場景。對于運營商來說是做平臺商的機遇���。
NB-IoT業(yè)務(wù)的主要特點
連接海量化:Gartner預(yù)測����,到2020年全球?qū)⒂?60億物聯(lián)網(wǎng)設(shè)備���,市場價值超過3000億美元��,DHL和思科則預(yù)測連接數(shù)將達(dá)到500億���。中國移動預(yù)測2020年蜂窩物聯(lián)網(wǎng)連接規(guī)模超過5億。
業(yè)務(wù)碎片化:NB-IoT與個人及家庭生活��、工業(yè)生產(chǎn)深度融合����,應(yīng)用場景多,產(chǎn)業(yè)鏈中的終端����、網(wǎng)絡(luò)�����、芯片���、操作系統(tǒng)、平臺���、業(yè)務(wù)等的具體實現(xiàn)各不相同�����,各類應(yīng)用場景的業(yè)務(wù)規(guī)模�、終端功能��、數(shù)據(jù)種類也存在差異�����,“碎片化”現(xiàn)象嚴(yán)重��。
服務(wù)開放化:NB-IoT業(yè)務(wù)平臺既有運營商平臺���,也有互聯(lián)網(wǎng)或用戶自建的平臺�,可滿足各種業(yè)務(wù)需求;同時�,部分業(yè)務(wù)需要運營商開放云計算、位置查詢����、設(shè)備狀態(tài)查詢、認(rèn)證等必要能力��,使得運營商網(wǎng)絡(luò)更加開放�。因此,NB-IoT服務(wù)模式與傳統(tǒng)的通信服務(wù)模式有較大不同����,產(chǎn)業(yè)鏈將更長且不斷產(chǎn)生各類新興的商業(yè)模式。
網(wǎng)絡(luò)信息安全問題
我國大力推進(jìn)NB-IoT物聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)之時��,網(wǎng)絡(luò)信息安全問題也給予物聯(lián)網(wǎng)的發(fā)展提出了全新的挑戰(zhàn)���,促進(jìn)NB-IoT物聯(lián)網(wǎng)健康持續(xù)發(fā)展��。NB-IoT在“云-管-端”模式的網(wǎng)絡(luò)體系結(jié)構(gòu)之上����,與各行業(yè)融合,衍生出了豐富多彩的物聯(lián)網(wǎng)業(yè)務(wù)�,形成了“業(yè)務(wù)+云管端”的體系結(jié)構(gòu)?����!皹I(yè)務(wù)”由物聯(lián)網(wǎng)與傳統(tǒng)行業(yè)融合而成�,應(yīng)用NB-IoT技術(shù)實現(xiàn)業(yè)務(wù)統(tǒng)一控制?����!霸啤庇砷_放平臺組成���,通常利用云計算技術(shù)實現(xiàn)數(shù)據(jù)統(tǒng)一傳送�����、數(shù)據(jù)統(tǒng)一存儲�����、設(shè)備連接統(tǒng)一管理;“管”即NB-IoT網(wǎng)絡(luò)�,提供各種網(wǎng)絡(luò)接入和數(shù)據(jù)傳輸通道;“端”是各種類型的NB-IoT終端設(shè)備。
產(chǎn)業(yè)鏈長也增加了許多新興的問題����,在NB-IoT業(yè)務(wù)快速發(fā)展的同時�,也存在著產(chǎn)業(yè)鏈發(fā)展不均衡的問題,例如芯片模組產(chǎn)業(yè)落后于網(wǎng)絡(luò)設(shè)備產(chǎn)業(yè)及網(wǎng)絡(luò)建設(shè)速度�����、終端入網(wǎng)測試進(jìn)度與終端規(guī)模增長速度不一致等����,這些問題也一定程度上會影響到NB-IoT的網(wǎng)絡(luò)信息安全水平。
NB-IoT缺點
由于NB-IoT業(yè)務(wù)廣泛涉及通信網(wǎng)絡(luò)�����、大數(shù)據(jù)�、云平臺、移動APP����、WEB等技術(shù),其本身也沿襲了傳統(tǒng)互聯(lián)網(wǎng)的安全風(fēng)險��,加之NB-IoT終端規(guī)模十分巨大�����、升級困難,傳統(tǒng)安全問題的危害在此環(huán)境下會被急劇放大����。因此,作為一種全新的技術(shù)��,NB-IoT也面臨著前所未有的安全風(fēng)險�。
業(yè)務(wù)風(fēng)險分析
業(yè)務(wù)防護(hù)能力不足
物聯(lián)網(wǎng)業(yè)務(wù)種類多,規(guī)模差別大����,安全投入不均衡,部分業(yè)務(wù)防護(hù)能力不足�,導(dǎo)致影響業(yè)務(wù)安全運行。
業(yè)務(wù)漏洞風(fēng)險大
NB-IoT與各行業(yè)深度融合��,業(yè)務(wù)邏輯復(fù)雜����,應(yīng)用協(xié)議多樣,容易存在業(yè)務(wù)漏洞���。
業(yè)務(wù)濫用風(fēng)險高
NB-IoT業(yè)務(wù)場景復(fù)雜��,導(dǎo)致卡及終端形態(tài)多樣�,存在插拔式卡、嵌入式卡等形態(tài)����,容易被惡意利用����。例如使用插拔式卡的終端難以預(yù)防機卡分離,存在被用于發(fā)送垃圾短信等業(yè)務(wù)濫用的風(fēng)險�。
平臺風(fēng)險分析
(1)越權(quán)操作風(fēng)險
大量NB-IoT應(yīng)用運行在一個集中的平臺上,如果沒有進(jìn)行有效的安全隔離和訪問控制����,容易引發(fā)不同應(yīng)用之間的越權(quán)訪問和操作。另外����,如果沒有對不同用戶、設(shè)備進(jìn)行有效隔離��,也可能導(dǎo)致不同用戶����、設(shè)備之間的越權(quán)訪問�。
(2)數(shù)據(jù)泄露風(fēng)險
多數(shù)NB-IoT應(yīng)用的數(shù)據(jù)會集中存儲在統(tǒng)一的物聯(lián)網(wǎng)平臺��,并通過統(tǒng)一的平臺對終端進(jìn)行控制����。若平臺被惡意攻陷,就會導(dǎo)致大規(guī)模數(shù)據(jù)泄露��,甚至大量終端設(shè)備被控制�����,進(jìn)而影響工業(yè)生產(chǎn)及社會生活��。
(3)邊界模糊風(fēng)險
NB-IoT與工業(yè)制造等行業(yè)融合過程中���,工業(yè)設(shè)備通過NB-IoT網(wǎng)絡(luò)接入業(yè)務(wù)平臺�����,重要生產(chǎn)數(shù)據(jù)通過公網(wǎng)傳輸�,打破了傳統(tǒng)工業(yè)網(wǎng)絡(luò)封閉��、隔離的安全邊界,安全邊界變得模糊��,安全防護(hù)難度大大增加����。
網(wǎng)絡(luò)風(fēng)險分析
(1)設(shè)備規(guī)模巨大易引發(fā)大規(guī)模網(wǎng)絡(luò)攻擊
NB-IoT終端設(shè)備規(guī)模巨大,且分散安裝��、甚至位于戶外��,難以進(jìn)行統(tǒng)一管理�����,一旦大量設(shè)備被惡意控制���,就可能對其他網(wǎng)絡(luò)系統(tǒng)發(fā)起大規(guī)模DDoS攻擊,甚至導(dǎo)致大規(guī)模斷網(wǎng)���,傳統(tǒng)安全問題的危害被急劇放大��。
(2)公網(wǎng)傳輸導(dǎo)致重要數(shù)據(jù)泄露風(fēng)險
物聯(lián)網(wǎng)應(yīng)用的各類采集數(shù)據(jù)通過NB-IoT網(wǎng)絡(luò)上傳到對應(yīng)的業(yè)務(wù)平臺����,傳輸過程跨域多個網(wǎng)絡(luò),經(jīng)由大量網(wǎng)元進(jìn)行處理����,存在重要數(shù)據(jù)泄露的風(fēng)險。
(3)應(yīng)急管控不足造成危害難以及時消失
傳統(tǒng)短信���、數(shù)據(jù)��、語音等通信功能管控依據(jù)單一設(shè)備��、單一功能���、單一用戶進(jìn)行,而NB-IoT終端規(guī)模大����,且不同業(yè)務(wù)的短信、數(shù)據(jù)等通信功能組合較多�����,若不能在網(wǎng)絡(luò)側(cè)通過地域�����、業(yè)務(wù)、用戶等多維度實施通信功能批量應(yīng)急管控��,則無法應(yīng)對海量終端被控引發(fā)的風(fēng)險�。
(4)通信網(wǎng)絡(luò)面臨復(fù)雜攻擊的風(fēng)險
NB-IoT核心網(wǎng)一般與互聯(lián)網(wǎng)相對隔離,網(wǎng)元之間相互信任而沒有采取認(rèn)證機制��,隨著網(wǎng)絡(luò)更加開放化以及跨運營商網(wǎng)絡(luò)之間的通信需求�����,NB-IoT核心網(wǎng)也會面臨信令偽造����、篡改�、重放攻擊等風(fēng)險,核心網(wǎng)與互聯(lián)網(wǎng)接口也會面臨來自互聯(lián)網(wǎng)的各種攻擊���。同時�����,大量終端接入網(wǎng)絡(luò)也可能對核心網(wǎng)絡(luò)發(fā)起攻擊�,影響業(yè)務(wù)運行���。
終端風(fēng)險分析
(1)終端易被接觸導(dǎo)致隱私泄露
NB-IoT應(yīng)用與人們的工作生活息息相關(guān)�����,而部分終端設(shè)備在戶外部署��,易被接觸到���,可能導(dǎo)致終端數(shù)據(jù)被非法獲取而泄露用戶隱私��。另外����,與業(yè)務(wù)安全緊密相關(guān)的密鑰存儲在終端���,也容易被非法獲取���。
(2)計算能力受限導(dǎo)致易被惡意控制
NB-IoT設(shè)備受成本限制,通常計算能力較弱�,無法實現(xiàn)安全級別高的認(rèn)證機制、安全算法�,抵御暴力破解等攻擊的能力差,容易被惡意控制��。
(3)系統(tǒng)升級復(fù)雜導(dǎo)致設(shè)備“帶病”運行
NB-IoT終端操作系統(tǒng)及應(yīng)用軟件均可能存在安全漏洞,并且NB-IoT設(shè)備部署位置通常比較分散���,現(xiàn)場系統(tǒng)升級方式不易實施�,而遠(yuǎn)程升級一旦失敗就會影響業(yè)務(wù)正常運營����。同時,大部分安全漏洞并不影響終端用戶的業(yè)務(wù)運行���,因此�,用戶升級意愿較低��,導(dǎo)致大量設(shè)備會長期“帶病”運行��,極容易被黑客惡意控制�。
管理風(fēng)險分析
(1)安全責(zé)任不清
NB-IoT產(chǎn)業(yè)鏈包括設(shè)備制造商����、網(wǎng)絡(luò)運營商、平臺運營商���、用戶等角色�,發(fā)生安全事件時可能存在安全責(zé)任不清的問題。例如��,終端設(shè)備在設(shè)備制造出廠時就存在安全隱患��,設(shè)備歸用戶所有��,使用運營商的網(wǎng)絡(luò)接入平臺�����,而用戶在使用時未及時升級����,終端被惡意控制后產(chǎn)生了危害,產(chǎn)業(yè)鏈中各角色的安全責(zé)任界定就難以清晰�。
(2)安全意識不足
NB-IoT設(shè)備通常由用戶進(jìn)行管理,普通用戶安全意識缺失容易導(dǎo)致弱口令���、安全配置缺陷等問題���,進(jìn)而引發(fā)安全事件。
(3)安全分級缺失
涉及國家安全����、國土資源����、公共秩序等的重要物聯(lián)網(wǎng)應(yīng)用��,與個人普通物聯(lián)網(wǎng)應(yīng)用使用統(tǒng)一承載的網(wǎng)絡(luò)和業(yè)務(wù)平臺���,若分級防護(hù)缺失����,在受到攻擊時�����,無法保障重要應(yīng)用的安全���。
(4)安全標(biāo)準(zhǔn)不統(tǒng)一
目前尚未形成全面的覆蓋產(chǎn)業(yè)鏈的NB-IoT安全標(biāo)準(zhǔn)�����,平臺��、終端、安全防護(hù)能力參差不齊���,無法按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行系統(tǒng)化安全防護(hù)���。
總結(jié)
NB-IoT是互聯(lián)網(wǎng)的延伸�,其業(yè)務(wù)涉及WEB�����、移動APP���、云平臺�����、大數(shù)據(jù)相關(guān)技術(shù)��,需要實現(xiàn)對業(yè)務(wù)�����、平臺�、網(wǎng)絡(luò)���、終端各層的安全防護(hù)���。
1�����、業(yè)務(wù)防濫用���。對不同行業(yè)的NB-IoT應(yīng)用都能提供有效的安全保障,減少業(yè)務(wù)濫用及業(yè)務(wù)攻擊帶來的危害��。
2�、平臺防入侵。平臺應(yīng)具備監(jiān)測及阻止入侵的安全措施��,以防止發(fā)生大規(guī)模數(shù)據(jù)泄露以及通過平臺惡意控制設(shè)備等事件��。
3���、網(wǎng)絡(luò)防攻擊����。NB-IoT網(wǎng)絡(luò)需要具備強度較高的身份認(rèn)證機制�����,防止設(shè)備認(rèn)證繞過等攻擊;同時�,需要防止大量終端設(shè)備被控制引發(fā)DDoS等網(wǎng)絡(luò)攻擊。
4����、終端防被控。NB-IoT終端需要防止被盜竊�����、被控制���,進(jìn)而防止終端用戶隱私數(shù)據(jù)被竊取�����、終端被篡改仿冒�。
業(yè)務(wù)安全:具備業(yè)務(wù)分級管控能力����,滿足不同業(yè)務(wù)的安全需求,并能基于終端�、網(wǎng)絡(luò)�����、平臺的安全狀態(tài)及業(yè)務(wù)運行情況�,打造NB-IoT業(yè)務(wù)安全態(tài)勢感知能力����。同時,能夠基于威脅情報交換����、共享,預(yù)防業(yè)務(wù)安全事件���。
平臺安全:包括邊界防護(hù)�、平臺自身安全防護(hù)等能力��,并能夠為大規(guī)模數(shù)據(jù)在存儲����、傳輸、使用等各個環(huán)節(jié)提供安全防護(hù)�����。
網(wǎng)絡(luò)安全:提供身份保護(hù)和數(shù)據(jù)安全通道能力;同時,具備應(yīng)急管控和網(wǎng)絡(luò)安全防護(hù)能力以抵御來自互聯(lián)網(wǎng)的攻擊���,并能及時消除物聯(lián)網(wǎng)設(shè)備被控引發(fā)的危害�。
終端安全:能夠提供物理安全���、數(shù)據(jù)存儲安全、系統(tǒng)安全更新�����、用戶隱私等安全保護(hù)能力�。
這里提及一下NB-IoT的身份識別及通道安全
NB-IoT網(wǎng)絡(luò)需要提供用戶與網(wǎng)絡(luò)之間的雙向身份識別和安全通道,實現(xiàn)信令和用戶數(shù)據(jù)的安全傳輸�。
NB-IoT網(wǎng)還可基于網(wǎng)絡(luò)接入認(rèn)證功能進(jìn)行安全能力開放,即業(yè)務(wù)應(yīng)用直接使用網(wǎng)絡(luò)層認(rèn)證結(jié)果或認(rèn)證參數(shù)�,不再對終端進(jìn)行單獨認(rèn)證,降低因設(shè)備雙層認(rèn)證而帶來的消耗����。
