何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

基于non-IP+SCEF技術增強物聯(lián)網(wǎng)終端安全性的研究

何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

研究了智能終端安卓系統(tǒng)，提出了基于證書鏈驗證機制的智能終端安卓系統(tǒng)安全加固方案，并對安卓原生系統(tǒng)所表現(xiàn)出來的安全問題進行深入的分析與研究，比較了采用安全加固的系統(tǒng)較之安卓原生系統(tǒng)在安全性上表現(xiàn)出的優(yōu)勢。通過結合證書鏈機制，以完整性驗證為核心的安全架構，能夠達到最大限度保護智能終端安全的目標。

物聯(lián)網(wǎng)；安全；非IP；服務能力開放功能

1 引言

隨著物聯(lián)網(wǎng)技術與業(yè)務的迅速發(fā)展，針對物聯(lián)網(wǎng)的安全威脅也日益增大。2016年第三季度，網(wǎng)絡信息安全處于高防御級別的美國，仍然發(fā)生了兩起利用海量物聯(lián)網(wǎng)終端實施大規(guī)模DDoS攻擊的事件，傳統(tǒng)IP網(wǎng)絡的安全威脅已延伸到物聯(lián)網(wǎng)領域，敲響了物聯(lián)網(wǎng)終端安全的警鐘。

如何防止海量的物聯(lián)網(wǎng)終端受到攻擊和感染，為非頻繁小數(shù)據(jù)業(yè)務類型的物聯(lián)網(wǎng)終端構建安全防護體系，避免物聯(lián)網(wǎng)終端僵尸化成為物聯(lián)網(wǎng)發(fā)展過程中不可回避的問題。

2 DDoS攻擊事件分析

分析2016年發(fā)生在美國的DDos攻擊事件，不難發(fā)現(xiàn)以下問題。

2.1 攻擊事件反映出的問題

（1）號稱安全防護能力最強的國家也難以防止攻擊事件的發(fā)生

網(wǎng)站以及美國DNS服務器提供商Dyn的DNS服務，均受到了基于IP網(wǎng)絡的DDoS攻擊，攻擊來源于受Mirai惡意軟件感染的約5萬臺物聯(lián)網(wǎng)終端組成的僵尸網(wǎng)絡，攻擊流量高達600 Gbit/s，導致服務中斷數(shù)小時。雖然美國的網(wǎng)絡防攻擊能力處于世界領先水平，但也未能有效防止攻擊事件的發(fā)生，近半個美國的大型Web網(wǎng)站服務受到這次攻擊事件的影響?？梢?，利用海量物聯(lián)網(wǎng)終端實施攻擊的威脅相當巨大。

（2）傳統(tǒng)IP網(wǎng)的安全威脅已延伸到物聯(lián)網(wǎng)領域

有別于以往手機類及消費電子類智能終端的攻擊，黑客不再局限于以用戶個體的隱私竊取、支付釣魚、詐騙以及勒索等直接獲利為目標，而是把目光延伸到物聯(lián)網(wǎng)終端，其目的很明確，就是把海量的物聯(lián)網(wǎng)終端構建成巨型的僵尸網(wǎng)絡，用以實施大型DDoS攻擊，此類攻擊事件往往伴隨著政治目的，其影響已上升到社會和國家層面，一旦漫延，造成的惡劣影響和破壞力不容忽視。

（3）受感染終端大多為中國設備

在這些受感染的物聯(lián)網(wǎng)終端中，大部分是中國大華和雄邁公司生產的網(wǎng)絡攝像頭設備?？梢?，防攻擊能力相對薄弱的國內物聯(lián)網(wǎng)終端已成為全球黑客的目標，如果類似攻擊發(fā)生在國內，情況可能更為嚴重。

2.2 攻擊原理

綜上分析，不同類型的智能終端或物聯(lián)網(wǎng)終端都有一個共同特征，就是它們都運行著IP協(xié)議棧并直接與IP網(wǎng)絡通信，暴露在IP網(wǎng)絡上。黑客通過IP網(wǎng)絡，可以輕易發(fā)現(xiàn)并攻擊它們，終端一旦被攻陷，就加入了僵尸網(wǎng)絡，成為攻擊網(wǎng)絡的一員，隨時聽候黑客的差遣。黑客的攻擊方式一般有如下兩種。

·黑客通過IP網(wǎng)絡直接遠程攻擊終端，原理如圖1所示。

圖1 基于IP網(wǎng)絡直接遠程攻擊終端示意

· 黑客通過近距離或本地攻擊，先入侵少量終端，以此為跳板，繼而攻擊同一IP子網(wǎng)下的其他終端，原理如圖2所示。

圖2 基于IP子網(wǎng)跳板攻擊終端示意

利用傳統(tǒng)的安全防御措施，無論是為操作系統(tǒng)和應用程序打補丁、關閉不必要的端口，還是做好賬號/密碼管理等，都不能完全彌補采用IP通信帶來的缺陷。

電信運營商即將大規(guī)模開展物聯(lián)網(wǎng)業(yè)務，使用IP技術進行通信的終端同樣面臨上述安全問題。既然專業(yè)的安全防御方法不能從根源上解決問題，那么能否換一種思路，從通信網(wǎng)絡的架構切入，挖掘容易被忽略但又能把終端在網(wǎng)絡中隱藏起來的方案，黑客找不到這些終端，自然就無法實施攻擊了。

3 安全防御方案

3GPP R13版本關于 NB-IoT（narrow band internet of things，窄帶物聯(lián)網(wǎng)）和 eMTC（enhanced machine type communication，增強機器類通信）基于蜂窩網(wǎng)的物理網(wǎng)通信系統(tǒng)規(guī)范中，定義了一項新的數(shù)據(jù)通信技術——non-IP技術。non-IP技術在NB-IoT中是必選，在eMTC中是可選。non-IP數(shù)據(jù)重要特征是無IP分組頭，傳輸效率高，更重要的是，終端可以完全不需要IP協(xié)議棧，這意味著終端可以不暴露在IP網(wǎng)絡上，從而避免一切基于IP技術的攻擊和遠程控制，也意味著黑客沒有辦法直接驅使這些海量的非IP化的終端發(fā)動基于IP網(wǎng)絡的DDoS攻擊，從根源上遏制了這些終端進入僵尸網(wǎng)絡。黑客常年以來積累的諸如端口掃描、腳本注入、SQL注入、密碼窮盡等強大的攻擊工具集（黑客的“核武器庫”），都將派不上用場，因為它們都是基于IP技術的，黑客要破解non-IP，不得不從零開始研究新的入侵手段和攻擊方案。因此，non-IP的使用，將為物聯(lián)網(wǎng)的大規(guī)模商用發(fā)展贏得相當長的一段安全時間窗口。下面以NB-IoT系統(tǒng)為例，詳細介紹這種新型的防御技術，eMTC系統(tǒng)與之相似。

3GPP R13新增了控制面優(yōu)化（control plane optimization，CP優(yōu)化）和用戶面優(yōu)化（user plane optimization，UP優(yōu)化）兩種數(shù)據(jù)傳輸方案：CP優(yōu)化方案通過NAS信令傳輸數(shù)據(jù)，減少了終端、空口和核心網(wǎng)的信令開銷，并為non-IP的數(shù)據(jù)傳輸增設了SCEF（service capability exposure function，服務能力開放功能）網(wǎng)元，SCEF在NB-IoT中的具體網(wǎng)絡位置如圖3所示；UP優(yōu)化方案增加了RRC掛起和恢復兩種狀態(tài)，減少了空口信令交互。

在終端附著網(wǎng)絡的過程中，會攜帶建立數(shù)據(jù)通道的參數(shù)，這決定了終端在完成附著后，以何種類型的方式進行數(shù)據(jù)通信，每種方案對應的參數(shù)配置和數(shù)據(jù)路徑見表1。

由表1可知，方案1、方案4和方案7屬于傳統(tǒng)IP通信方式，終端獲得IP地址并直接接入IP網(wǎng)絡；方案6只提供短信通信方式，不涉及數(shù)據(jù)通信，不在本文研究范圍內；方案2和方案5都屬于non-IP通信，網(wǎng)絡出口點是PGW；方案3也屬于non-IP通信，但網(wǎng)絡出口點是SCEF。下面介紹與IP和non-IP相關的3類方案的機制、優(yōu)點、缺點、安全性和適用場景。

3.1 控制面或用戶面的IP通信方案（方案1、方案4和方案7）

該類方案通過控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨或NAS+PDCP層共同負責用戶數(shù)據(jù)安全，PGW為終端分配IP地址，終端具有IP協(xié)議棧并獲得IP地址，網(wǎng)絡出口點是PGW，終端直接與SCS/AS進行IP通信。終端與云端直接IP通信方案如圖4所示，該類方案的優(yōu)/缺點、安全性及適用場景介紹如下。

圖3 NB-IoT網(wǎng)絡架構

表1 附著過程建立數(shù)據(jù)通道參數(shù)與數(shù)據(jù)路徑對應

·優(yōu)點：基于傳統(tǒng)IP通信，終端側與云端應用開發(fā)門檻低；經(jīng)過優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點：IP技術的開放性導致運營商仍只承擔通信管道的角色，難以從海量終端和數(shù)據(jù)中深挖價值。

·安全性：終端直接與IP網(wǎng)絡通信，易被黑客發(fā)現(xiàn)并攻擊。

·適用場景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.2 控制面或用戶面的non-IP隧道通信方案 （方案2和方案5）

該類方案通過控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨或NAS+PDCP層共同負責用戶數(shù)據(jù)安全，PGW為終端分配IP地址但不分發(fā)給終端 （基于UDP/ IP的PtP隧道），或者不為終端分配IP地址（其他類型PtP隧道），終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡出口點是PGW，終端經(jīng)過PGW與SCS/AS通過IP隧道通信，不直接進行IP通信?？刂泼婊蛴脩裘鎛on-IP傳輸+ PGW IP隧道方案如圖5所示，該類方案的優(yōu)/缺點、安全性及適用場景介紹如下。

·優(yōu)點：使用non-IP技術，用戶數(shù)據(jù)無IP分組頭，轉發(fā)效率高；經(jīng)過優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點：終端側與云端應用需要適應新的隧道開發(fā)模式；隧道轉發(fā)的模式令運營商仍只負責管道運營。

·安全性：PGW與SCS/AS間建立授信隧道通信，終端不直接與IP網(wǎng)絡進行通信，有效隱藏終端，不易受到黑客攻擊。

· 適用場景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.3 控制面non-IP能力開放方案（方案3）

該類方案通過控制面NAS信令傳輸用戶數(shù)據(jù)，NAS層負責數(shù)據(jù)安全，終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡出口點是服務能力開放單元SCEF，終端經(jīng)過SCEF與SCS/AS進行API通信?？刂泼鎛on-IP傳輸+SCEF服務能力開放方案如圖6所示，該類方案的優(yōu)/缺點，安全性及適用場景介紹如下。

圖4 終端與云端直接IP通信方案

圖5 控制面或用戶面non-IP傳輸+PGW IP隧道方案

圖6 控制面non-IP傳輸+SCEF服務能力開放方案

· 優(yōu)點：使用non-IP技術，用戶數(shù)據(jù)無IP分組頭，轉發(fā)效率高；減少了終端、空口和核心網(wǎng)信令消耗；SCEF匯聚了non-IP的終端和數(shù)據(jù)，并以API形式向云端應用方提供服務，而非直接把數(shù)據(jù)轉發(fā)出去，運營商在這個節(jié)點上可以沉淀數(shù)據(jù)并進行大數(shù)據(jù)分析，從中挖掘出具有商業(yè)價值的信息，由于使用了API形式開放服務，而不是簡單的數(shù)據(jù)轉發(fā)，為實施更靈活、更多樣化的資費策略奠定了基礎，運營商不再淪為純管道的角色。

· 缺點：終端側與云端應用需要適應新的API開發(fā)模式。

· 安全性：SCEF引入了non-IP數(shù)據(jù)傳輸授權檢查技術，SCEF根據(jù)終端的外部標識或MSISDN，檢查是否為該終端創(chuàng)建了 SCEF承載。SCEF檢查請求non-IP數(shù)據(jù)投遞的 SCS/AS是否被授權允許發(fā)起 non-IP數(shù)據(jù)投遞，并且檢查該 SCS/AS是否已經(jīng)超出 non-IP數(shù)據(jù)投遞的限額（如24 h內允許1000byte），或已經(jīng)超出速率限額（如100byte/h)。只有當上述安全檢查通過后，SCEF才做后續(xù)的投遞工作?；谝陨系陌踩珯C制，SCEF可以安全地對3GPP網(wǎng)絡中的non-IP數(shù)據(jù)與互聯(lián)網(wǎng)云端應用方的IP數(shù)據(jù)進行轉換，有效地在IP網(wǎng)絡中隱藏了終端，終端不直接與IP網(wǎng)絡通信，而是在IP網(wǎng)絡中隱身了，黑客難以對其實施攻擊。

· 適用場景：非頻繁小數(shù)據(jù)傳輸。

3.4 方案對比分析

對比以上幾類方案，在安全性、傳輸效率、信令優(yōu)化、開放性、產業(yè)成熟度以及對運營商利弊等方面各有優(yōu)缺點。運營商希望選擇一種既能解決安全問題，也能在商業(yè)模式上打破運營商純管道運營角色困局的技術方案。

物聯(lián)網(wǎng)主要的應用場景如自動抄表、環(huán)境監(jiān)控、車場管理、智慧城市、物流跟蹤等，其通信特征主要是非頻繁的小數(shù)據(jù)傳輸，此類終端數(shù)量和業(yè)務規(guī)模相當巨大，并涵蓋了大多數(shù)的物聯(lián)網(wǎng)業(yè)務應用場景，運營商應牢牢地抓住這類業(yè)務。運營商面對每一次新技術選擇時，除了滿足高效快速開展業(yè)務外，還要兼顧網(wǎng)絡和業(yè)務可持續(xù)發(fā)展，過于開放的技術架構雖然能“短平快”地產生規(guī)模效應，但也意味著后續(xù)商業(yè)價值的分流。

綜上所述，基于IP通信的方案（方案1、方案4和方案7），終端暴露于IP網(wǎng)絡中不能滿足所需要的安全性要求；基于non-IP的隧道方案（方案2和方案5），non-IP技術能在網(wǎng)絡中很好地隱藏終端，雖能滿足安全性要求，但隧道模式無法幫助運營商突破純管道運營者的困局。

基于控制面non-IP的能力開放方案 （方案3），non-IP技術能在網(wǎng)絡中很好地隱藏終端，SCEF也承擔了non-IP網(wǎng)絡與IP網(wǎng)絡之間的安全轉換角色，能有效防御來自IP網(wǎng)絡的惡意刺探和攻擊，因此，基于non-IP+SCEF的方案能很好地滿足安全要求，也能滿足物聯(lián)網(wǎng)非頻繁小數(shù)據(jù)的主要業(yè)務需求。從網(wǎng)絡位置上看，SCEF的定位近似但不等同于物聯(lián)網(wǎng)連接管理平臺或物聯(lián)網(wǎng)云服務平臺，也就是說，對于還沒擁有成型的連接管理平臺或云服務平臺的運營商，SCEF也是一種選擇，可幫助運營商突破純管道運營的困局，擴大管道業(yè)務以外的利益。non-IP和 SCEF都已經(jīng)在標準層面得到定稿，只要運營商明確需求并推動產業(yè)鏈參與跟進，就能有效降低開發(fā)與運營的門檻。

4 結束語

2016年，運營商開始規(guī)模建設并試點物聯(lián)網(wǎng)業(yè)務，物聯(lián)網(wǎng)終端的快速發(fā)展以及網(wǎng)絡擴張所帶來的安全隱患不可忽視，需要從終端、網(wǎng)絡和平臺等各方面尋求綜合解決方案，雖然目前IP技術仍是主流通信技術，但從發(fā)生的安全大事件來看，通過各種基于IP的傳統(tǒng)防御手段遏止物聯(lián)網(wǎng)終端僵尸化，仍有很大的不確定性。因此，通過在終端、空口和核心網(wǎng)啟用non-IP技術，在網(wǎng)絡出口點部署SCEF網(wǎng)元相結合的方案，不僅是一種通信方案，還將是解決物聯(lián)網(wǎng)終端僵尸化的安全方案之一，該思路開拓了NB-IoT和eMTC在安全領域的全新研究方向，為物聯(lián)網(wǎng)的安全發(fā)展贏得時間窗口。同時，運營商可基于這種物聯(lián)網(wǎng)安全解決方案，打造“安全物聯(lián)網(wǎng)”的品牌，實現(xiàn)安全差異化，吸引更多的行業(yè)用戶。

[1]3GPP.Architecture enhancements to facilitate communicationswith packet data networks and applications (release 13)：3GPPTS 23.682[S/OL].(2016-12-10)[2016-12-10].https：//www.baidu. com/link?url=ltCYaC0JN0 NkFgyGi6I33 PViwmH78SQ3ytlr OBdA9NEUVHVB9qbNW6eNBN 9yqcIZGfxK 8TWAXU5C-9eGbH-VOK&wd=&eqid=de14 a62d0008d 4210000000 358844583.

[2]3GPP.General packet radio service (GPRS)enhancements forevolved universal terrestrial radio access network(E-UTRAN) access (release 13)：3GPP TS 23.401[S/OL].(2008-10-10) [2016-12-10].http：//www.etsi.org/deliver/etsi_TS/123400_123499/ 123401/08.03.00_60/ts_123401v080300p.pdf.

[3]3GPP.Non-access-stratum (NAS)protocol for evolved packet system (EPS);stage 3(release 13)：3GPP TS 24.301[S/OL]. (2009-03-10)[2016-12-10].http：//max.book118.com/html/2015/ 1019/27540606.shtm.

[4]3GPP.Evolved universal terrestrial radio access (E-UTRA)and evolved universal terrestrial radio access network(E-UTRAN); overall description;stage 2(release 13)：3GPP TS 36.300[S/OL]. (2007-12-10)[2016-12-10].http：//xueshu.baidu.com/s?wd= paperuri：(be81e93a0601e10eb42f7c072c2c2b6a)&filter=sc_long_ sign&sc_ks_para=q%3DEvolved+Universal+Terrestrial+Radio+ Access+%28E-UTRA%29+%3B+LTE+Physical+Layer-General+Description&tn=SE_baiduxueshu_c1gjeupa&ie=utf-8&sc_us=5075368087671280276.

[5]3GPP.Evolved universal terrestrial radio access(E-UTRA);radio resource control(RRC);protocol specification(release 13)：3GPP TS 36.331[S/OL].(2007-12-10)[2016-12-10].http：//xueshu. baidu.com/s?wd=paperuri：(be81e93a0601e10eb42f7c072c2c2b6a) &filter=sc_long_sign&sc_ks_para=q%3DEvolved+Universal+ Terrestrial+Radio+Access+%28E-UTRA%29+%3B+LTE+ Physical+Layer-General+Description&tn=SE_baiduxueshu_ c1gjeupa&ie=utf-8&sc_us=50753680876712 80276.

Research on enhancing the security of IoT terminals based on non-IP and SCEF technology

HE Yao,HUANG Hai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Android intelligent terminal system was studied,and Android security reinforcing scheme of intelligent terminal based on certificate chain authentication mechanism was put forward.The security problems that Android system showed were analyzed,and the advantage of the Android security reinforcing scheme was compared with Android system.The certificate chain authentication mechanism played a critical role as protecting the core of the terminals against some intrusion attacks in the security phases.

IoT,security,non-IP,SCEF

TN929

A

10.11959/j.issn.1000-0801.2017035

何峣（1977-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為物聯(lián)網(wǎng)終端通信、安全、測試技術等。

2016-12-11；

2017-01-23

黃海（1973-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為視頻流媒體、物聯(lián)網(wǎng)相關技術及應用。