顧旻霞 劉廉如,2 陳 豪 張忠平 張 尼

1 中國聯(lián)合網(wǎng)絡(luò)通信有限公司 北京 100033

2 北京郵電大學(xué) 北京 100876

3 中國聯(lián)通研究院 北京 100032

引言

智能卡作為運(yùn)營商碼號(hào)資源的物理載體，是物聯(lián)網(wǎng)終端設(shè)備的重要組成部分，為其接入移動(dòng)通信網(wǎng)絡(luò)提供身份認(rèn)證、安全機(jī)制保障，并為裝載的各種增值應(yīng)用提供支撐[1-2]。

物聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展對(duì)智能卡提出更高要求，諸如：使用環(huán)境更為惡劣，要求智能卡的物理電氣特性大幅提高；讀寫操作更加頻繁，要求智能卡有更長的使用壽命和更高的可靠性；大幅顛簸的使用場景，要求智能卡的物理連接觸點(diǎn)更加可靠和更耐磨損；終端的小巧便攜，要求智能卡須相應(yīng)減小尺寸；焊接式的安裝方式，要求智能卡具備遠(yuǎn)程下載、配置和更換運(yùn)營商簽約信息等需求。針對(duì)物理特性、應(yīng)用承載和發(fā)行管理的新興需求，嵌入式UICC(embedded Universal Integrated Circuit Card，以下簡稱“eUICC”)應(yīng)運(yùn)而生。

GSMA于2011年2月成立特別工作組，針對(duì)eUICC的未來商用用例和技術(shù)方向展開研究，發(fā)布eUICC遠(yuǎn)程簽約管理的用例和需求，即《Embedded SIM Task Force Requirements and Use Cases》白皮書[3]。該白皮書主要定義了五個(gè)核心用例，分別為：新設(shè)備配置簽約、更換設(shè)備簽約、批量配置多個(gè)M2M設(shè)備、終止簽約和終端之間轉(zhuǎn)移簽約。

1 嵌入式UICC遠(yuǎn)程簽約管理平臺(tái)架構(gòu)

參與eUICC遠(yuǎn)程簽約管理的角色包括eUICC制造商(eUICC Manufacturer)、移動(dòng)運(yùn)營商(MNO)和遠(yuǎn)程簽約管理平臺(tái)(SM)，如圖1所示。遠(yuǎn)程簽約管理平臺(tái)是eUICC遠(yuǎn)程簽約管理的核心。

圖1 eUICC遠(yuǎn)程簽約管理總體架構(gòu)

數(shù)據(jù)準(zhǔn)備和數(shù)據(jù)路由是eUICC遠(yuǎn)程簽約管理平臺(tái)的兩個(gè)主要功能模塊[4]。其中，數(shù)據(jù)準(zhǔn)備主要負(fù)責(zé)profile數(shù)據(jù)包的生成和管理；數(shù)據(jù)路由主要負(fù)責(zé)profile數(shù)據(jù)包和eUICC管理命令等數(shù)據(jù)的安全傳輸。

1) 數(shù)據(jù)準(zhǔn)備。數(shù)據(jù)準(zhǔn)備主要負(fù)責(zé)profile數(shù)據(jù)包的組織與準(zhǔn)備，并且經(jīng)由數(shù)據(jù)路由模塊提供的安全通道，將profile數(shù)據(jù)包(包括NAA、文件系統(tǒng)、管理策略和安全域等)下載，并安裝到eUICC上。

2) 數(shù)據(jù)路由。數(shù)據(jù)路由主要負(fù)責(zé)為profile數(shù)據(jù)包和eUICC管理命令提供安全、可靠的傳輸通道。數(shù)據(jù)路由通過密鑰協(xié)商機(jī)制生成用于加密傳輸數(shù)據(jù)(profile數(shù)據(jù)包和eUICC管理命令等)所需的密鑰，加密后的傳輸數(shù)據(jù)經(jīng)由安全的空中傳輸通道傳送到eUICC。

2 基于矩陣圖的安全威脅分析方法

傳統(tǒng)的信息系統(tǒng)安全威脅分析方法主要有兩種，一是將系統(tǒng)分解成為一個(gè)分層架構(gòu)，以不同的層為研究對(duì)象，展開安全威脅研究；二是從系統(tǒng)的業(yè)務(wù)流程入手，分析核心信息資產(chǎn)在業(yè)務(wù)流程中流經(jīng)的實(shí)體面臨的安全威脅。本文提出了一種基于矩陣圖的安全威脅分析方法，如圖2所示，矩陣的橫向表示系統(tǒng)面臨安全威脅的種類，縱向表示系統(tǒng)在業(yè)務(wù)流程中涉及到的物理實(shí)體。下文將以嵌入式UICC遠(yuǎn)程簽約管理為需求場景，使用此方法進(jìn)行安全威脅的分析。

圖2 基于矩陣圖的安全分析方法示意圖

2.1 嵌入式UICC遠(yuǎn)程簽約管理橫向安全威脅

在eUICC遠(yuǎn)程簽約管理平臺(tái)中，存儲(chǔ)并管理運(yùn)營商的簽約信息、安全算法、用戶資料等信息，通過與運(yùn)營商現(xiàn)有支撐系統(tǒng)的接口獲取卡片及簽約敏感數(shù)據(jù)(如IMSI、Ki和OPC等)，并通過空中接口向卡片下發(fā)，因此存在不同維度的安全威脅。主要包括：接口安全威脅、數(shù)據(jù)安全威脅和功能安全威脅。

2.1.1 接口安全威脅

在進(jìn)行遠(yuǎn)程激活、更換、終止、刪除等操作時(shí)，eUICC卡與eUICC遠(yuǎn)程簽約管理平臺(tái)之間涉及到大量敏感數(shù)據(jù)的傳輸，傳輸?shù)拿舾袛?shù)據(jù)可能遭到竊聽、偽裝、篡改等惡意攻擊，需要確保各個(gè)實(shí)體之間數(shù)據(jù)傳輸?shù)陌踩?/p>

eUICC遠(yuǎn)程簽約管理平臺(tái)主要包括以下兩類接口。1)卡上(on card)接口：eUICC與安全路由模塊的接口，eUICC與數(shù)據(jù)準(zhǔn)備模塊的接口以及eUICC與運(yùn)營商OTA平臺(tái)的接口。2)卡下(off card)接口：初始eUICC信息交付接口，eUICC遠(yuǎn)程簽約管理平臺(tái)間接口以及eUICC遠(yuǎn)程簽約管理平臺(tái)與MNO間接口。

2.1.2 數(shù)據(jù)安全威脅

eUICC中保存用戶簽約信息、安全算法、安全參數(shù)、策略控制數(shù)據(jù)等信息。這些數(shù)據(jù)是eUICC遠(yuǎn)程簽約管理體系中最重要的無形資產(chǎn)與信息資源，各實(shí)體需要頻繁訪問這些數(shù)據(jù)來完成各種既定功能，因此對(duì)這些數(shù)據(jù)的管理至關(guān)重要。簽約信息、各級(jí)密鑰、安全算法、控制策略規(guī)則等是整個(gè)體系中最為核心的數(shù)據(jù)，一旦其受到影響，整個(gè)eUICC遠(yuǎn)程簽約管理體系將受到破壞。考慮到密鑰和安全算法可能在不同實(shí)體之間傳輸，因此必須設(shè)計(jì)高強(qiáng)度的安全機(jī)制以確保其在傳輸過程中免受攻擊。敏感數(shù)據(jù)的安全等級(jí)分析如表1所示[5]。

表1 敏感數(shù)據(jù)的安全等級(jí)

安全等級(jí)用于描述當(dāng)安全措施失效后對(duì)整個(gè)eUICC遠(yuǎn)程簽約管理體系的影響程度，其定義如下。等級(jí)4：整個(gè)系統(tǒng)可能處在商業(yè)服務(wù)風(fēng)險(xiǎn)中；等級(jí)3：受影響的運(yùn)營方可能遭受強(qiáng)烈的沖擊，并危及整體業(yè)務(wù)；等級(jí)2：服務(wù)可能會(huì)中斷，受影響的運(yùn)營方可能受到暫時(shí)影響且受影響的業(yè)務(wù)是有限的；等級(jí)1：服務(wù)的影響是有限的(如臨時(shí)的)，對(duì)業(yè)務(wù)的影響較小。

2.1.3 功能安全威脅

eUICC遠(yuǎn)程簽約管理主要提供三種功能：profile數(shù)據(jù)包創(chuàng)建、profile數(shù)據(jù)包傳輸和profile數(shù)據(jù)包管理，所有功能都可能受到攻擊，主要風(fēng)險(xiǎn)如表2所示。

表2 eUICC遠(yuǎn)程簽約管理功能風(fēng)險(xiǎn)

2.2 嵌入式UICC遠(yuǎn)程簽約管理縱向安全威脅

eUICC遠(yuǎn)程簽約管理架構(gòu)中包含eUICC、eUICC遠(yuǎn)程簽約管理平臺(tái)、物聯(lián)網(wǎng)終端設(shè)備等網(wǎng)元實(shí)體，上述各網(wǎng)元實(shí)體面臨的安全威脅如下。

2.2.1 eUICC安全威脅

1) 非授權(quán)的profile管理或平臺(tái)管理。①非授權(quán)的profile管理：例如在profile下載之前非法修改profile，或者泄露存儲(chǔ)在profile中的網(wǎng)絡(luò)認(rèn)證參數(shù)。②非授權(quán)的卡平臺(tái)管理： 例如非法終止一個(gè)處于激活狀態(tài)的profile。

這兩類威脅又細(xì)分為以下四種具體威脅：①泄露/修改eUICC運(yùn)營商數(shù)據(jù)容器的內(nèi)容或功能；②泄露/修改eUICC傳輸模塊的內(nèi)容或功能；③偽造/攔截/修改/重放運(yùn)營商卡數(shù)據(jù)傳輸?shù)拿罨騪rofile數(shù)據(jù)包；④偽造/攔截/修改/重放安全路由模塊傳輸?shù)拿罨蛐湃螤睢?/p>

2) 身份標(biāo)識(shí)篡改。①未授權(quán)的身份標(biāo)識(shí)管理；②篡改eUICC ID、eUICC公鑰或CI公鑰；③修改共享會(huì)話密鑰的生成函數(shù)方法；④身份標(biāo)識(shí)攔截。

3) Profile克隆。攻擊者將合法的profile安裝到未授權(quán)的eUICC上，或者其他未授權(quán)載體上(如軟SIM)。

4) 未授權(quán)的移動(dòng)網(wǎng)絡(luò)接入。卡上或卡外的攻擊者取代合法profile執(zhí)行移動(dòng)網(wǎng)絡(luò)接入認(rèn)證。

2.2.2 eUICC遠(yuǎn)程簽約管理平臺(tái)安全威脅

1) 數(shù)據(jù)準(zhǔn)備模塊。嵌入式UICC遠(yuǎn)程簽約管理過程中，數(shù)據(jù)準(zhǔn)備模塊涉及到的流程如圖3所示[6]。

圖3 數(shù)據(jù)準(zhǔn)備模塊涉及流程示意圖

數(shù)據(jù)準(zhǔn)備模塊面臨的安全威脅主要包括可用性、機(jī)密性及完整性等方面，如表3所示。

表3 數(shù)據(jù)準(zhǔn)備模塊的安全威脅

2) 安全路由模塊。安全路由模塊涉及流程示意圖，如圖4所示[6]。安全路由模塊的主要威脅集中在可用性、保密性和完整性等方面，其具體威脅如表4所示。

圖4 安全路由模塊涉及流程示意圖

表4 安全路由模塊的安全威脅

2.2.3 物聯(lián)網(wǎng)終端設(shè)備

物聯(lián)網(wǎng)終端設(shè)備面臨的安全威脅包括：1)物聯(lián)網(wǎng)設(shè)備受到物理攻擊；2)物聯(lián)網(wǎng)設(shè)備受到欺騙，采集錯(cuò)誤的信息(如網(wǎng)絡(luò)信號(hào)質(zhì)量)；3)如物聯(lián)網(wǎng)設(shè)備有操作系統(tǒng)，可能被攻擊者植入惡意代碼；4)終端與eUICC、終端與網(wǎng)絡(luò)通信可被竊聽或破壞；5)終端上存儲(chǔ)的數(shù)據(jù)被竊取或破壞。

3 總結(jié)

eUICC在未來的物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展中將扮演重要角色。eUICC遠(yuǎn)程簽約管理可以滿足海量物聯(lián)網(wǎng)設(shè)備批量開卡、降低國際漫游成本等行業(yè)需求，突破傳統(tǒng)的由運(yùn)營商管控的UICC線性流程管理，改變傳統(tǒng)的系統(tǒng)架構(gòu)和產(chǎn)業(yè)鏈角色，導(dǎo)致了用戶關(guān)系管理前所未有的復(fù)雜和靈活，對(duì)現(xiàn)有安全機(jī)制產(chǎn)生重大影響。

無論運(yùn)營商、卡商亦或第三方平臺(tái)提供商承擔(dān)eUICC遠(yuǎn)程簽約管理平臺(tái)的建設(shè)者角色，都需要對(duì)系統(tǒng)所面臨的安全威脅做細(xì)致的分析。本文通過一種橫縱結(jié)合的矩陣圖方法，對(duì)eUICC遠(yuǎn)程簽約管理面臨的安全威脅進(jìn)行了分析，為進(jìn)一步規(guī)劃安全需求、制定安全目標(biāo)、設(shè)計(jì)安全框架提供了有力基礎(chǔ)。

參考文獻(xiàn)

[1]姚海鵬,張智江,劉韻潔.物聯(lián)網(wǎng)嵌入式SIM卡技術(shù)初探[J].信息通信技術(shù),2012,6(5):52-55

[2]張尼,姚海鵬.物聯(lián)網(wǎng)嵌入式智能卡遠(yuǎn)程管理技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化,2012,25(6):16-20

[3]GSMA.Embedded SIM Task Force Requirements and Use Cases[S].2011

[4]GSMA.Embedded SIM Remote Provisioning Architecture[S].2013

[5]GSMA.Remote Provisioning Architecture for Embedded UICC Technical Specification[S].2013

[6]GSMA.SAS Standard for Subscription Manager Roles[S].2014