首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >《中国移动NB-IoT安全白皮书》中建议采用TEE!

《中国移动NB-IoT安全白皮书》中建议采用TEE!

作者头像
安智客
发布2018-03-30 14:00:50
1.3K0
发布2018-03-30 14:00:50
举报
文章被收录于专栏:安智客安智客

2017中国移动全球合作伙伴大会上,中国移动在物联网分论坛期间正式发布了NB-IoT安全白皮书,提出了NB-IoT安全技术需求和安全架构以及五方面推进NB-IoT安全体系建设的建议。包括推进业务分级保护、加快安全标准体系建设、健全入网安全测评、深化安全法制建设、建立安全生态联盟,有效应对风险和挑战。

以下是安全白皮书要点摘录:

蜂窝物联网的主要应用场景有两类:一是智慧城市、智能家居、环境监测等行业应用,对速率要求不高,但需要待机时间长、模组成本低、覆盖能力强的物联网技术,NB-IoT 是此场景常用的技术。二是交通物流、个人穿戴等应用,对速率要求较高,需要支持移动性、支持语音的物联网技术,eMTC 是此场景常用的技术。此外,在NB-IoT、eMTC等低功耗物联网成熟之前,传统 2/3/4G 网络也常被用于接入各类物联网设备,实现通信需求。网络信息安全问题给物联网的发展提出了全新的挑战。

NB-IoT业务的主要特点:

连接海量化。据Gartner预测,到2020年全球将有260亿物联网设备,市场价值超过 3000亿美元,而DHL和思科联合发布的报告则预测到2020年物联网的连接数将达到 500亿。中国移动十三五规划提出到2020 年蜂窝物联网连接规模超过5亿。

业务碎片化。NB-IoT与个人及家庭生活、工业生产深度融合,应用场景多,产业链中的终端、网络、芯片、操作系统、平台、业务等的具体实现各不相同,各类应用场景的业务规模、终端功能、数据种类也存在差异,“碎片化”现象严重。

服务开放化。NB-IoT业务平台既有运营商平台也有互联网或用户自建的平台,可满足各种业务需求;同时,部分业务需要运营商开放云计算、位置查询、设备状态查询、认证等必要能力,使得运营商网络更加开放。因此,NB-IoT服务模式与传统的通信服务模式有较大不同,产业链将更长且不断产生各类新兴的商业模式,也相应地提出了新的网络信息安全需求。

发展现状:

2016年12月,工业和信息化部印发的《信息通信行业发展规(2016-2020 年)》中,提出要“建设完善窄带物联网(NB-IoT)基础设施,实现在城市运行管理和重点行业的规模应用”。

中国移动已在全国346个城市启动移动物联网建设,2017 年底前实现部分重点城市商用。

2017年5 月,在中国电信物联网发展政策恳谈会上,中国电信宣布在6月底建成全球首个全覆盖的NB-IoT商用网络,并率先开展NB-IoT商用放号;

2017年8月,在中国联通物联网大会上,中国联通宣布已在全国数十城市完成了NB-IoT试商用开通,全国300多个城市具备快速接入NB-IoT网络的能力。

安全风险分析:

由于NB-IoT业务广泛涉及通信网络、大数据、云平台、移动APP、WEB等技术,其本身也沿袭了传统互联网的安全风险,加之 NB-IoT终端规模十分巨大、升级困难,传统安全问题的危害在此环境下会被急剧放大。因此,作为一种全新的技术,NB-IoT也面临着前所未有的安全风险。

业务风险:业务防护能力不足、业务漏洞风险大、业务滥用风险高

平台风险:越权操作风险、数据泄露风险、边界模糊风险

网络风险:设备规模巨大易引发大规模网络攻击、公网传输导致重要数据泄露风险、应急管控不足造成危害难以及时消除、通信网络面临复杂攻击的风险

终端风险:终端易被接触导致隐私泄露 、计算能力受限导致易被恶意控制、系统升级复杂导致设备“带病”运行

管理风险:安全责任不清、安全意识不足、安全分级缺失、安全标准不统一

针对物联网面临的各种安全风险,应构建积极的安全风险防御体系,将安全防护措施贯穿于NB-IoT业务的全生命周期,实现NB-IoT全业务、全流程、端到端的安全管控。NB-IoT 是互联网的延伸,其业务涉及WEB、移动 APP、云平台、大数据相关技术,需要实现对业务、平台、网络、终端各层的安全防护:

1、业务防滥用。对不同行业的NB-IoT应用都能提供有效的安全保障,减少业务滥用及业务攻击带来的危害。

2、平台防入侵。平台应具备检测及阻止入侵的安全措施,以防止发生大规模数据泄露以及通过平台恶意控制设备等事件。

3、网络防攻击。NB-IoT网络需具备强度较高的身份认证机制,防止设备认证绕过等攻击;同时,需要防止大量终端设备被控制引发的DDoS等网络攻击。

4、终端防被控。NB-IoT终端需要防止被盗窃、被控制,进而防止终端用户隐私数据被窃取、终端被篡改仿冒。

安全框架:

NB-IoT安全框架包括终端安全、网络安全、平台安全和业务安全四个部分,四部分安全能力结合,实现业务端到端安全。

1、业务安全:具备业务分级管控能力,满足不同业务的安全需求,并能基于终端、网络、平台的安全状态及业务运行情况,打造NB-IoT业务安全态势感知能力。同时,能够基于威胁情报交换、共享,预防业务安全事件。

2、平台安全:包括边界防护、平台自身安全防护等能力,并能够为大规模数据在存储、传输、使用等各个环节提供安全防护。

3、网络安全:提供身份保护和数据安全通道能力;同时,具备应急管控和网络安全防护能力以抵御来自互联网的攻击,并能及时消除物联网设备被控引发的危害。

4、终端安全:能够提供物理安全、数据存储安全、系统安全更新、用户隐私等安全保护能力。

白皮书下半部分主要针对安全框架进行了详细说明。

安智客最后想提一提的是,关于物理安全,《白皮书》建议采用具有例如TEE安全内核的芯片,提供对终端内部闪存和基带的安全保护,实现安全启动、调试权限甄别、应用及数据安全存储等,确保芯片内系统程序、终端参数、配置文件数据、用户数据不被篡改或非法获取!

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-03-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安智客 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
业务风险情报
业务风险情报(Business Risk Intelligence,BRI)为您提供全面、实时、精准的业务风险情报服务。通过简单的 API 接入,您即可获取业务中 IP、号码、APP、URL 等的画像数据,对其风险进行精确评估,做到对业务风险、黑产攻击实时感知、评估、应对、止损。您也可利用业务风险情报服务搭建或完善自身的风控体系,补充自身风险情报数据,提升对风险的感知、应对能力。BRI 支持按需付费,您可根据您的需求,选取不同的套餐,更易优化成本。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档