何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

基于non-IP+SCEF技術(shù)增強物聯(lián)網(wǎng)終端安全性的研究

何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

研究了智能終端安卓系統(tǒng)，提出了基于證書鏈驗證機制的智能終端安卓系統(tǒng)安全加固方案，并對安卓原生系統(tǒng)所表現(xiàn)出來的安全問題進(jìn)行深入的分析與研究，比較了采用安全加固的系統(tǒng)較之安卓原生系統(tǒng)在安全性上表現(xiàn)出的優(yōu)勢。通過結(jié)合證書鏈機制，以完整性驗證為核心的安全架構(gòu)，能夠達(dá)到最大限度保護智能終端安全的目標(biāo)。

物聯(lián)網(wǎng)；安全；非IP；服務(wù)能力開放功能

1 引言

隨著物聯(lián)網(wǎng)技術(shù)與業(yè)務(wù)的迅速發(fā)展，針對物聯(lián)網(wǎng)的安全威脅也日益增大。2016年第三季度，網(wǎng)絡(luò)信息安全處于高防御級別的美國，仍然發(fā)生了兩起利用海量物聯(lián)網(wǎng)終端實施大規(guī)模DDoS攻擊的事件，傳統(tǒng)IP網(wǎng)絡(luò)的安全威脅已延伸到物聯(lián)網(wǎng)領(lǐng)域，敲響了物聯(lián)網(wǎng)終端安全的警鐘。

如何防止海量的物聯(lián)網(wǎng)終端受到攻擊和感染，為非頻繁小數(shù)據(jù)業(yè)務(wù)類型的物聯(lián)網(wǎng)終端構(gòu)建安全防護體系，避免物聯(lián)網(wǎng)終端僵尸化成為物聯(lián)網(wǎng)發(fā)展過程中不可回避的問題。

2 DDoS攻擊事件分析

分析2016年發(fā)生在美國的DDos攻擊事件，不難發(fā)現(xiàn)以下問題。

2.1 攻擊事件反映出的問題

（1）號稱安全防護能力最強的國家也難以防止攻擊事件的發(fā)生

網(wǎng)站以及美國DNS服務(wù)器提供商Dyn的DNS服務(wù)，均受到了基于IP網(wǎng)絡(luò)的DDoS攻擊，攻擊來源于受Mirai惡意軟件感染的約5萬臺物聯(lián)網(wǎng)終端組成的僵尸網(wǎng)絡(luò)，攻擊流量高達(dá)600 Gbit/s，導(dǎo)致服務(wù)中斷數(shù)小時。雖然美國的網(wǎng)絡(luò)防攻擊能力處于世界領(lǐng)先水平，但也未能有效防止攻擊事件的發(fā)生，近半個美國的大型Web網(wǎng)站服務(wù)受到這次攻擊事件的影響?？梢姡煤Ａ课锫?lián)網(wǎng)終端實施攻擊的威脅相當(dāng)巨大。

（2）傳統(tǒng)IP網(wǎng)的安全威脅已延伸到物聯(lián)網(wǎng)領(lǐng)域

有別于以往手機類及消費電子類智能終端的攻擊，黑客不再局限于以用戶個體的隱私竊取、支付釣魚、詐騙以及勒索等直接獲利為目標(biāo)，而是把目光延伸到物聯(lián)網(wǎng)終端，其目的很明確，就是把海量的物聯(lián)網(wǎng)終端構(gòu)建成巨型的僵尸網(wǎng)絡(luò)，用以實施大型DDoS攻擊，此類攻擊事件往往伴隨著政治目的，其影響已上升到社會和國家層面，一旦漫延，造成的惡劣影響和破壞力不容忽視。

（3）受感染終端大多為中國設(shè)備

在這些受感染的物聯(lián)網(wǎng)終端中，大部分是中國大華和雄邁公司生產(chǎn)的網(wǎng)絡(luò)攝像頭設(shè)備?？梢?，防攻擊能力相對薄弱的國內(nèi)物聯(lián)網(wǎng)終端已成為全球黑客的目標(biāo)，如果類似攻擊發(fā)生在國內(nèi)，情況可能更為嚴(yán)重。

2.2 攻擊原理

綜上分析，不同類型的智能終端或物聯(lián)網(wǎng)終端都有一個共同特征，就是它們都運行著IP協(xié)議棧并直接與IP網(wǎng)絡(luò)通信，暴露在IP網(wǎng)絡(luò)上。黑客通過IP網(wǎng)絡(luò)，可以輕易發(fā)現(xiàn)并攻擊它們，終端一旦被攻陷，就加入了僵尸網(wǎng)絡(luò)，成為攻擊網(wǎng)絡(luò)的一員，隨時聽候黑客的差遣。黑客的攻擊方式一般有如下兩種。

·黑客通過IP網(wǎng)絡(luò)直接遠(yuǎn)程攻擊終端，原理如圖1所示。

圖1 基于IP網(wǎng)絡(luò)直接遠(yuǎn)程攻擊終端示意

· 黑客通過近距離或本地攻擊，先入侵少量終端，以此為跳板，繼而攻擊同一IP子網(wǎng)下的其他終端，原理如圖2所示。

圖2 基于IP子網(wǎng)跳板攻擊終端示意

利用傳統(tǒng)的安全防御措施，無論是為操作系統(tǒng)和應(yīng)用程序打補丁、關(guān)閉不必要的端口，還是做好賬號/密碼管理等，都不能完全彌補采用IP通信帶來的缺陷。

電信運營商即將大規(guī)模開展物聯(lián)網(wǎng)業(yè)務(wù)，使用IP技術(shù)進(jìn)行通信的終端同樣面臨上述安全問題。既然專業(yè)的安全防御方法不能從根源上解決問題，那么能否換一種思路，從通信網(wǎng)絡(luò)的架構(gòu)切入，挖掘容易被忽略但又能把終端在網(wǎng)絡(luò)中隱藏起來的方案，黑客找不到這些終端，自然就無法實施攻擊了。

3 安全防御方案

3GPP R13版本關(guān)于 NB-IoT（narrow band internet of things，窄帶物聯(lián)網(wǎng)）和 eMTC（enhanced machine type communication，增強機器類通信）基于蜂窩網(wǎng)的物理網(wǎng)通信系統(tǒng)規(guī)范中，定義了一項新的數(shù)據(jù)通信技術(shù)——non-IP技術(shù)。non-IP技術(shù)在NB-IoT中是必選，在eMTC中是可選。non-IP數(shù)據(jù)重要特征是無IP分組頭，傳輸效率高，更重要的是，終端可以完全不需要IP協(xié)議棧，這意味著終端可以不暴露在IP網(wǎng)絡(luò)上，從而避免一切基于IP技術(shù)的攻擊和遠(yuǎn)程控制，也意味著黑客沒有辦法直接驅(qū)使這些海量的非IP化的終端發(fā)動基于IP網(wǎng)絡(luò)的DDoS攻擊，從根源上遏制了這些終端進(jìn)入僵尸網(wǎng)絡(luò)。黑客常年以來積累的諸如端口掃描、腳本注入、SQL注入、密碼窮盡等強大的攻擊工具集（黑客的“核武器庫”），都將派不上用場，因為它們都是基于IP技術(shù)的，黑客要破解non-IP，不得不從零開始研究新的入侵手段和攻擊方案。因此，non-IP的使用，將為物聯(lián)網(wǎng)的大規(guī)模商用發(fā)展贏得相當(dāng)長的一段安全時間窗口。下面以NB-IoT系統(tǒng)為例，詳細(xì)介紹這種新型的防御技術(shù)，eMTC系統(tǒng)與之相似。

3GPP R13新增了控制面優(yōu)化（control plane optimization，CP優(yōu)化）和用戶面優(yōu)化（user plane optimization，UP優(yōu)化）兩種數(shù)據(jù)傳輸方案：CP優(yōu)化方案通過NAS信令傳輸數(shù)據(jù)，減少了終端、空口和核心網(wǎng)的信令開銷，并為non-IP的數(shù)據(jù)傳輸增設(shè)了SCEF（service capability exposure function，服務(wù)能力開放功能）網(wǎng)元，SCEF在NB-IoT中的具體網(wǎng)絡(luò)位置如圖3所示；UP優(yōu)化方案增加了RRC掛起和恢復(fù)兩種狀態(tài)，減少了空口信令交互。

在終端附著網(wǎng)絡(luò)的過程中，會攜帶建立數(shù)據(jù)通道的參數(shù)，這決定了終端在完成附著后，以何種類型的方式進(jìn)行數(shù)據(jù)通信，每種方案對應(yīng)的參數(shù)配置和數(shù)據(jù)路徑見表1。

由表1可知，方案1、方案4和方案7屬于傳統(tǒng)IP通信方式，終端獲得IP地址并直接接入IP網(wǎng)絡(luò)；方案6只提供短信通信方式，不涉及數(shù)據(jù)通信，不在本文研究范圍內(nèi)；方案2和方案5都屬于non-IP通信，網(wǎng)絡(luò)出口點是PGW；方案3也屬于non-IP通信，但網(wǎng)絡(luò)出口點是SCEF。下面介紹與IP和non-IP相關(guān)的3類方案的機制、優(yōu)點、缺點、安全性和適用場景。

3.1 控制面或用戶面的IP通信方案（方案1、方案4和方案7）

該類方案通過控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨或NAS+PDCP層共同負(fù)責(zé)用戶數(shù)據(jù)安全，PGW為終端分配IP地址，終端具有IP協(xié)議棧并獲得IP地址，網(wǎng)絡(luò)出口點是PGW，終端直接與SCS/AS進(jìn)行IP通信。終端與云端直接IP通信方案如圖4所示，該類方案的優(yōu)/缺點、安全性及適用場景介紹如下。

圖3 NB-IoT網(wǎng)絡(luò)架構(gòu)

表1 附著過程建立數(shù)據(jù)通道參數(shù)與數(shù)據(jù)路徑對應(yīng)

·優(yōu)點：基于傳統(tǒng)IP通信，終端側(cè)與云端應(yīng)用開發(fā)門檻低；經(jīng)過優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點：IP技術(shù)的開放性導(dǎo)致運營商仍只承擔(dān)通信管道的角色，難以從海量終端和數(shù)據(jù)中深挖價值。

·安全性：終端直接與IP網(wǎng)絡(luò)通信，易被黑客發(fā)現(xiàn)并攻擊。

·適用場景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.2 控制面或用戶面的non-IP隧道通信方案 （方案2和方案5）

該類方案通過控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨或NAS+PDCP層共同負(fù)責(zé)用戶數(shù)據(jù)安全，PGW為終端分配IP地址但不分發(fā)給終端 （基于UDP/ IP的PtP隧道），或者不為終端分配IP地址（其他類型PtP隧道），終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡(luò)出口點是PGW，終端經(jīng)過PGW與SCS/AS通過IP隧道通信，不直接進(jìn)行IP通信?？刂泼婊蛴脩裘鎛on-IP傳輸+ PGW IP隧道方案如圖5所示，該類方案的優(yōu)/缺點、安全性及適用場景介紹如下。

·優(yōu)點：使用non-IP技術(shù)，用戶數(shù)據(jù)無IP分組頭，轉(zhuǎn)發(fā)效率高；經(jīng)過優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點：終端側(cè)與云端應(yīng)用需要適應(yīng)新的隧道開發(fā)模式；隧道轉(zhuǎn)發(fā)的模式令運營商仍只負(fù)責(zé)管道運營。

·安全性：PGW與SCS/AS間建立授信隧道通信，終端不直接與IP網(wǎng)絡(luò)進(jìn)行通信，有效隱藏終端，不易受到黑客攻擊。

· 適用場景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.3 控制面non-IP能力開放方案（方案3）

該類方案通過控制面NAS信令傳輸用戶數(shù)據(jù)，NAS層負(fù)責(zé)數(shù)據(jù)安全，終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡(luò)出口點是服務(wù)能力開放單元SCEF，終端經(jīng)過SCEF與SCS/AS進(jìn)行API通信?？刂泼鎛on-IP傳輸+SCEF服務(wù)能力開放方案如圖6所示，該類方案的優(yōu)/缺點，安全性及適用場景介紹如下。

圖4 終端與云端直接IP通信方案

圖5 控制面或用戶面non-IP傳輸+PGW IP隧道方案

圖6 控制面non-IP傳輸+SCEF服務(wù)能力開放方案

· 優(yōu)點：使用non-IP技術(shù)，用戶數(shù)據(jù)無IP分組頭，轉(zhuǎn)發(fā)效率高；減少了終端、空口和核心網(wǎng)信令消耗；SCEF匯聚了non-IP的終端和數(shù)據(jù)，并以API形式向云端應(yīng)用方提供服務(wù)，而非直接把數(shù)據(jù)轉(zhuǎn)發(fā)出去，運營商在這個節(jié)點上可以沉淀數(shù)據(jù)并進(jìn)行大數(shù)據(jù)分析，從中挖掘出具有商業(yè)價值的信息，由于使用了API形式開放服務(wù)，而不是簡單的數(shù)據(jù)轉(zhuǎn)發(fā)，為實施更靈活、更多樣化的資費策略奠定了基礎(chǔ)，運營商不再淪為純管道的角色。

· 缺點：終端側(cè)與云端應(yīng)用需要適應(yīng)新的API開發(fā)模式。

· 安全性：SCEF引入了non-IP數(shù)據(jù)傳輸授權(quán)檢查技術(shù)，SCEF根據(jù)終端的外部標(biāo)識或MSISDN，檢查是否為該終端創(chuàng)建了 SCEF承載。SCEF檢查請求non-IP數(shù)據(jù)投遞的 SCS/AS是否被授權(quán)允許發(fā)起 non-IP數(shù)據(jù)投遞，并且檢查該 SCS/AS是否已經(jīng)超出 non-IP數(shù)據(jù)投遞的限額（如24 h內(nèi)允許1000byte），或已經(jīng)超出速率限額（如100byte/h)。只有當(dāng)上述安全檢查通過后，SCEF才做后續(xù)的投遞工作?；谝陨系陌踩珯C制，SCEF可以安全地對3GPP網(wǎng)絡(luò)中的non-IP數(shù)據(jù)與互聯(lián)網(wǎng)云端應(yīng)用方的IP數(shù)據(jù)進(jìn)行轉(zhuǎn)換，有效地在IP網(wǎng)絡(luò)中隱藏了終端，終端不直接與IP網(wǎng)絡(luò)通信，而是在IP網(wǎng)絡(luò)中隱身了，黑客難以對其實施攻擊。

· 適用場景：非頻繁小數(shù)據(jù)傳輸。

3.4 方案對比分析

對比以上幾類方案，在安全性、傳輸效率、信令優(yōu)化、開放性、產(chǎn)業(yè)成熟度以及對運營商利弊等方面各有優(yōu)缺點。運營商希望選擇一種既能解決安全問題，也能在商業(yè)模式上打破運營商純管道運營角色困局的技術(shù)方案。

物聯(lián)網(wǎng)主要的應(yīng)用場景如自動抄表、環(huán)境監(jiān)控、車場管理、智慧城市、物流跟蹤等，其通信特征主要是非頻繁的小數(shù)據(jù)傳輸，此類終端數(shù)量和業(yè)務(wù)規(guī)模相當(dāng)巨大，并涵蓋了大多數(shù)的物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用場景，運營商應(yīng)牢牢地抓住這類業(yè)務(wù)。運營商面對每一次新技術(shù)選擇時，除了滿足高效快速開展業(yè)務(wù)外，還要兼顧網(wǎng)絡(luò)和業(yè)務(wù)可持續(xù)發(fā)展，過于開放的技術(shù)架構(gòu)雖然能“短平快”地產(chǎn)生規(guī)模效應(yīng)，但也意味著后續(xù)商業(yè)價值的分流。

綜上所述，基于IP通信的方案（方案1、方案4和方案7），終端暴露于IP網(wǎng)絡(luò)中不能滿足所需要的安全性要求；基于non-IP的隧道方案（方案2和方案5），non-IP技術(shù)能在網(wǎng)絡(luò)中很好地隱藏終端，雖能滿足安全性要求，但隧道模式無法幫助運營商突破純管道運營者的困局。

基于控制面non-IP的能力開放方案 （方案3），non-IP技術(shù)能在網(wǎng)絡(luò)中很好地隱藏終端，SCEF也承擔(dān)了non-IP網(wǎng)絡(luò)與IP網(wǎng)絡(luò)之間的安全轉(zhuǎn)換角色，能有效防御來自IP網(wǎng)絡(luò)的惡意刺探和攻擊，因此，基于non-IP+SCEF的方案能很好地滿足安全要求，也能滿足物聯(lián)網(wǎng)非頻繁小數(shù)據(jù)的主要業(yè)務(wù)需求。從網(wǎng)絡(luò)位置上看，SCEF的定位近似但不等同于物聯(lián)網(wǎng)連接管理平臺或物聯(lián)網(wǎng)云服務(wù)平臺，也就是說，對于還沒擁有成型的連接管理平臺或云服務(wù)平臺的運營商，SCEF也是一種選擇，可幫助運營商突破純管道運營的困局，擴大管道業(yè)務(wù)以外的利益。non-IP和 SCEF都已經(jīng)在標(biāo)準(zhǔn)層面得到定稿，只要運營商明確需求并推動產(chǎn)業(yè)鏈參與跟進(jìn)，就能有效降低開發(fā)與運營的門檻。

4 結(jié)束語

2016年，運營商開始規(guī)模建設(shè)并試點物聯(lián)網(wǎng)業(yè)務(wù)，物聯(lián)網(wǎng)終端的快速發(fā)展以及網(wǎng)絡(luò)擴張所帶來的安全隱患不可忽視，需要從終端、網(wǎng)絡(luò)和平臺等各方面尋求綜合解決方案，雖然目前IP技術(shù)仍是主流通信技術(shù)，但從發(fā)生的安全大事件來看，通過各種基于IP的傳統(tǒng)防御手段遏止物聯(lián)網(wǎng)終端僵尸化，仍有很大的不確定性。因此，通過在終端、空口和核心網(wǎng)啟用non-IP技術(shù)，在網(wǎng)絡(luò)出口點部署SCEF網(wǎng)元相結(jié)合的方案，不僅是一種通信方案，還將是解決物聯(lián)網(wǎng)終端僵尸化的安全方案之一，該思路開拓了NB-IoT和eMTC在安全領(lǐng)域的全新研究方向，為物聯(lián)網(wǎng)的安全發(fā)展贏得時間窗口。同時，運營商可基于這種物聯(lián)網(wǎng)安全解決方案，打造“安全物聯(lián)網(wǎng)”的品牌，實現(xiàn)安全差異化，吸引更多的行業(yè)用戶。

[1]3GPP.Architecture enhancements to facilitate communicationswith packet data networks and applications (release 13)：3GPPTS 23.682[S/OL].(2016-12-10)[2016-12-10].https：//www.baidu. com/link?url=ltCYaC0JN0 NkFgyGi6I33 PViwmH78SQ3ytlr OBdA9NEUVHVB9qbNW6eNBN 9yqcIZGfxK 8TWAXU5C-9eGbH-VOK&wd=&eqid=de14 a62d0008d 4210000000 358844583.

[2]3GPP.General packet radio service (GPRS)enhancements forevolved universal terrestrial radio access network(E-UTRAN) access (release 13)：3GPP TS 23.401[S/OL].(2008-10-10) [2016-12-10].http：//www.etsi.org/deliver/etsi_TS/123400_123499/ 123401/08.03.00_60/ts_123401v080300p.pdf.

[3]3GPP.Non-access-stratum (NAS)protocol for evolved packet system (EPS);stage 3(release 13)：3GPP TS 24.301[S/OL]. (2009-03-10)[2016-12-10].http：//max.book118.com/html/2015/ 1019/27540606.shtm.

[4]3GPP.Evolved universal terrestrial radio access (E-UTRA)and evolved universal terrestrial radio access network(E-UTRAN); overall description;stage 2(release 13)：3GPP TS 36.300[S/OL]. (2007-12-10)[2016-12-10].http：//xueshu.baidu.com/s?wd= paperuri：(be81e93a0601e10eb42f7c072c2c2b6a)&filter=sc_long_ sign&sc_ks_para=q%3DEvolved+Universal+Terrestrial+Radio+ Access+%28E-UTRA%29+%3B+LTE+Physical+Layer-General+Description&tn=SE_baiduxueshu_c1gjeupa&ie=utf-8&sc_us=5075368087671280276.

[5]3GPP.Evolved universal terrestrial radio access(E-UTRA);radio resource control(RRC);protocol specification(release 13)：3GPP TS 36.331[S/OL].(2007-12-10)[2016-12-10].http：//xueshu. baidu.com/s?wd=paperuri：(be81e93a0601e10eb42f7c072c2c2b6a) &filter=sc_long_sign&sc_ks_para=q%3DEvolved+Universal+ Terrestrial+Radio+Access+%28E-UTRA%29+%3B+LTE+ Physical+Layer-General+Description&tn=SE_baiduxueshu_ c1gjeupa&ie=utf-8&sc_us=50753680876712 80276.

Research on enhancing the security of IoT terminals based on non-IP and SCEF technology

HE Yao,HUANG Hai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Android intelligent terminal system was studied,and Android security reinforcing scheme of intelligent terminal based on certificate chain authentication mechanism was put forward.The security problems that Android system showed were analyzed,and the advantage of the Android security reinforcing scheme was compared with Android system.The certificate chain authentication mechanism played a critical role as protecting the core of the terminals against some intrusion attacks in the security phases.

IoT,security,non-IP,SCEF

TN929

A

10.11959/j.issn.1000-0801.2017035

何峣（1977-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為物聯(lián)網(wǎng)終端通信、安全、測試技術(shù)等。

2016-12-11；

2017-01-23

黃海（1973-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為視頻流媒體、物聯(lián)網(wǎng)相關(guān)技術(shù)及應(yīng)用。