《中国移动NB-IoT安全白皮书》中建议采用TEE!

2017中国移动全球合作伙伴大会上,中国移动在物联网分论坛期间正式发布了NB-IoT安全白皮书,提出了NB-IoT安全技术需求和安全架构以及五方面推进NB-IoT安全体系建设的建议。包括推进业务分级保护、加快安全标准体系建设、健全入网安全测评、深化安全法制建设、建立安全生态联盟,有效应对风险和挑战。

以下是安全白皮书要点摘录:

蜂窝物联网的主要应用场景有两类:一是智慧城市、智能家居、环境监测等行业应用,对速率要求不高,但需要待机时间长、模组成本低、覆盖能力强的物联网技术,NB-IoT 是此场景常用的技术。二是交通物流、个人穿戴等应用,对速率要求较高,需要支持移动性、支持语音的物联网技术,eMTC 是此场景常用的技术。此外,在NB-IoT、eMTC等低功耗物联网成熟之前,传统 2/3/4G 网络也常被用于接入各类物联网设备,实现通信需求。网络信息安全问题给物联网的发展提出了全新的挑战。

NB-IoT业务的主要特点:

连接海量化。据Gartner预测,到2020年全球将有260亿物联网设备,市场价值超过 3000亿美元,而DHL和思科联合发布的报告则预测到2020年物联网的连接数将达到 500亿。中国移动十三五规划提出到2020 年蜂窝物联网连接规模超过5亿。

业务碎片化。NB-IoT与个人及家庭生活、工业生产深度融合,应用场景多,产业链中的终端、网络、芯片、操作系统、平台、业务等的具体实现各不相同,各类应用场景的业务规模、终端功能、数据种类也存在差异,“碎片化”现象严重。

服务开放化。NB-IoT业务平台既有运营商平台也有互联网或用户自建的平台,可满足各种业务需求;同时,部分业务需要运营商开放云计算、位置查询、设备状态查询、认证等必要能力,使得运营商网络更加开放。因此,NB-IoT服务模式与传统的通信服务模式有较大不同,产业链将更长且不断产生各类新兴的商业模式,也相应地提出了新的网络信息安全需求。

发展现状:

2016年12月,工业和信息化部印发的《信息通信行业发展规(2016-2020 年)》中,提出要“建设完善窄带物联网(NB-IoT)基础设施,实现在城市运行管理和重点行业的规模应用”。

中国移动已在全国346个城市启动移动物联网建设,2017 年底前实现部分重点城市商用。

2017年5 月,在中国电信物联网发展政策恳谈会上,中国电信宣布在6月底建成全球首个全覆盖的NB-IoT商用网络,并率先开展NB-IoT商用放号;

2017年8月,在中国联通物联网大会上,中国联通宣布已在全国数十城市完成了NB-IoT试商用开通,全国300多个城市具备快速接入NB-IoT网络的能力。

安全风险分析:

由于NB-IoT业务广泛涉及通信网络、大数据、云平台、移动APP、WEB等技术,其本身也沿袭了传统互联网的安全风险,加之 NB-IoT终端规模十分巨大、升级困难,传统安全问题的危害在此环境下会被急剧放大。因此,作为一种全新的技术,NB-IoT也面临着前所未有的安全风险。

业务风险:业务防护能力不足、业务漏洞风险大、业务滥用风险高

平台风险:越权操作风险、数据泄露风险、边界模糊风险

网络风险:设备规模巨大易引发大规模网络攻击、公网传输导致重要数据泄露风险、应急管控不足造成危害难以及时消除、通信网络面临复杂攻击的风险

终端风险:终端易被接触导致隐私泄露 、计算能力受限导致易被恶意控制、系统升级复杂导致设备“带病”运行

管理风险:安全责任不清、安全意识不足、安全分级缺失、安全标准不统一

针对物联网面临的各种安全风险,应构建积极的安全风险防御体系,将安全防护措施贯穿于NB-IoT业务的全生命周期,实现NB-IoT全业务、全流程、端到端的安全管控。NB-IoT 是互联网的延伸,其业务涉及WEB、移动 APP、云平台、大数据相关技术,需要实现对业务、平台、网络、终端各层的安全防护:

1、业务防滥用。对不同行业的NB-IoT应用都能提供有效的安全保障,减少业务滥用及业务攻击带来的危害。

2、平台防入侵。平台应具备检测及阻止入侵的安全措施,以防止发生大规模数据泄露以及通过平台恶意控制设备等事件。

3、网络防攻击。NB-IoT网络需具备强度较高的身份认证机制,防止设备认证绕过等攻击;同时,需要防止大量终端设备被控制引发的DDoS等网络攻击。

4、终端防被控。NB-IoT终端需要防止被盗窃、被控制,进而防止终端用户隐私数据被窃取、终端被篡改仿冒。

安全框架:

NB-IoT安全框架包括终端安全、网络安全、平台安全和业务安全四个部分,四部分安全能力结合,实现业务端到端安全。

1、业务安全:具备业务分级管控能力,满足不同业务的安全需求,并能基于终端、网络、平台的安全状态及业务运行情况,打造NB-IoT业务安全态势感知能力。同时,能够基于威胁情报交换、共享,预防业务安全事件。

2、平台安全:包括边界防护、平台自身安全防护等能力,并能够为大规模数据在存储、传输、使用等各个环节提供安全防护。

3、网络安全:提供身份保护和数据安全通道能力;同时,具备应急管控和网络安全防护能力以抵御来自互联网的攻击,并能及时消除物联网设备被控引发的危害。

4、终端安全:能够提供物理安全、数据存储安全、系统安全更新、用户隐私等安全保护能力。

白皮书下半部分主要针对安全框架进行了详细说明。

安智客最后想提一提的是,关于物理安全,《白皮书》建议采用具有例如TEE安全内核的芯片,提供对终端内部闪存和基带的安全保护,实现安全启动、调试权限甄别、应用及数据安全存储等,确保芯片内系统程序、终端参数、配置文件数据、用户数据不被篡改或非法获取!

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-03-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

云计算风险详细解析

云计算的高速发展也为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势以及降低资本和/或运行的开支等等。 通常来说,对诸如...

486140
来自专栏华章科技

数据越多越焦虑?因为你也走进了这个思考误区

从互联网时代开始,尤其到了移动互联网以及社交媒体时代,人类社会的数据增长进入到一个前所未有的爆发阶段。麦肯锡将大数据视为下一个创新、竞争、生产力提高的前沿。世界...

5710
来自专栏数据观有话说

商业分析时髦范|作为HR,不可不学的“员工旅程分析”

来自:数据观 https://www.shujuguan.cn/?from=qcloud

20310
来自专栏量子位

吴恩达新公司曝光:签下富士康,要用AI变革制造业

夏乙 发自 凹非寺 量子位 出品 | 公众号 QbitAI ? 一切都在吴恩达的计划之中。 这个月初,吴恩达现身乌镇世界互联网大会,同时透露了一个重要进展:几周...

41050
来自专栏云计算D1net

未来的云计算战场中,存储是下一轮战线

导语 在复杂的云环境中,价格削减已经开始逐步局限于虚拟机。这使得服务提供商能够长期在其产品组合的剩余部分中利用其稳定增长的利润率。我们正在目睹的是一个即将扩展到...

44280
来自专栏数据猿

数据猿专访 | 薪人薪事联合创始人吕恒:玩转大数据,用数据理念解放HR生产力

数据猿记者在探访大数据应用场景发展情况时发现,市场上早已出现用大数据解放HR劳动力的行业“产物”。薪人薪事联合创始人吕恒告诉数据猿记者,“HR的数据价值是可以被...

39550
来自专栏大数据文摘

美国大数据治理下的新问题

32760
来自专栏钱塘大数据

特别专题 | 传统企业大数据应用案例【一】

导读:变革洪流总是起于微处,大数据时代一批企业已成为引领变革的先行者。本周钱塘大数据为大家专题盘点“谁是数据英雄?传统企业大数据应用案例”六连发,第一期给大家介...

35480
来自专栏云市场 精选汇

号码盾牌——保护客户号码隐私,刻不容缓!

随着网购、快递、互联网服务走进千家万户,电话号码隐私泄露风险日益严重,为了提高企业以及平台的服务以及好评率,保护客户号码隐私,刻不容缓!

49220
来自专栏人称T客

企业移动互联网的焦虑症:CIO们迷失等待解救

自从离开媒体圈以来,已经有三四年没有涉足CIO这个圈子,就象陶渊明笔下的《桃花源记》一样” 自云先世避秦时乱,率妻子邑人,来此绝境,不复出焉;遂与外人间隔。问今...

30790

扫码关注云+社区

领取腾讯云代金券