基于NB-IoT网络的物联网安全防护研究及架构设计李琦1㊀刘丹妮2(1.中国移动通信集团吉林有限公司网络管理中心,长春130033;2.国网吉林省电力有限公司信息通信公司,长春130000)摘要:随着NB-IoT商用部署进程的不断加快,基于NB-IoT网络的物联网安全防护研究受到了广泛关注㊂介绍了NB-IoT技术特点和系统架构,并通过业务平台及业务安全㊁NB-IoT网内安全及互联网终端设备安全3方面进行安全防护研究,提出了一种基于NB-IoT网络的物联网安全架构模型㊂关键词:物联网;NB-IoT;安全防护;安全架构1㊀引言随着万物互联技术的成熟,物联网已进入快速发展时期,被正式列为国家五大新兴战略之一㊂国家 十三五 规划提出 发展物联网技术和应用 ,并将 物联网应用推广 列为国家八大信息化专项工程㊂窄带物联网(Narrow Band Internet of Things,NB-IoT)采用授权频段180kHz带宽,可直接部署于GSM㊁UMTS或LTE网络,支持低功耗设备在广域网的蜂窝数据连接,具有广覆盖㊁支持海量连接㊁低功耗㊁低成本等技术特点㊂目前,NB-IoT已经成为物联网的重要分支及新兴技术,在智慧城市㊁农业生产与环境等应用领域具有重要意义,备受全球范围内各行各业关注㊂我国各大运营商正在加快推进NB-IoT的商用部署,基于授权频谱运营商级的NB-IoT技术的普及,将为运营商业务发展带来新的机遇㊂然而,NB-IoT因其大规模互联网终端部署及开放的无线传输环境,不仅面临传统互联网的安全问题,也面临着诸如接入鉴权㊁信息泄露㊁接入认证绕过㊁无线传感器节点防伪等安全威胁㊂因此,基于NB-IoT网络的物联网安全防护研究已成为NB-IoT商用部署进程中迫切需要关注的焦点㊂2㊀基于NB-IoT网络的物联网架构概述2.1㊀NB-IoT技术NB-IoT是3GPP标准组织于2015年提出的窄带蜂窝物联网技术,是一种长距离无线通信技术㊂NB-IoT物理层设计大部分沿用LTE系统设计,如上行采用SC-FDMA,下行采用OFDM技术,核心网部分基于S1接口连接建立,能够实现平滑升级,是LTE的一项重要增强技术,同时与LTE㊁LTE-U并称为5G的3个标准,对5G技术的发展起着重要作用㊂NB-IoT的具体技术特点如下㊂(1)广覆盖NB-IoT广覆盖能力是因为应用窄带技术,能够调度小颗粒资源,通过窄带可以获得17dB增益,另外通过重传技术获得额外的9dB~12dB(8~16次重传)㊂因此,NB-IoT比现有的GSM/LTE网络增益20dB,覆盖面积扩大100多倍,且室内覆盖效果更优,有效提升了网络覆盖范围㊂(2)支持海量连接基于NB-IoT业务对时延不敏感,可以设计更多的用户接入;另外,NB-IoT因其基于窄带技术,调度颗粒小很多,资源利用率高,因此能够实现每个扇区支持10万个连接,为业务的海量接入提供契机㊂(3)低功耗基于NB-IoT技术,物联网终端在发送数据包之后,立刻进入休眠状态,等到有上传数据请求时,会唤醒自己,随后发送数据,然后又进入睡眠㊂按照NB-IoT终端的行为习惯,会达到99%的时间在休眠状态,使得功耗非常低,经实验室模拟其待机时间可长达10年,能够有效降低维护成本,有利于大规模终端部署㊂(4)低成本NB-IoT 能够在现有的网络基础上直接部署,有效地降低终端部署成本;且功耗低,使用年限及维护成本低,为NB-IoT 的大规模应用提供有力支持㊂2.2㊀NB -IoT 物联网体系架构物联网具有形式多样㊁技术复杂等特点,其体系架构按照功能不同,自上而下可分为顶层(应用层)㊁中间层(网络层)㊁底层(感知层)㊂应用层提供丰富的基于物联网的应用,是物联网发展的根本目标;网络层是实现物联网的基础设施,即广泛覆盖的通信网络,负责将感知层采集的数据接入互联网并传输到应用层,连接物联网的感知层和应用层;感知层实现物联网全面感知的核心技术,实现数据的感知㊁采集㊁分析及处理㊂NB-IoT 作为物联网领域新兴技术,因其广覆盖㊁低功耗㊁海量连接的特点受到广泛关注,本文介绍具有 云-管-端 全方位布局的NB-IoT 物联网体系架构(见图1)㊂图1㊀NB -IoT 物联网体系架构图(1)云端集中部署了OneNET 平台,向下接入分散的物联网网络层,应用汇集传感数据,向上层应用服务提供商提供应用开发的基础性平台和面向底层网络的统一数据接口,支持具体的基于传感数据的物联网应用㊂能够提供 海量连接 数据存储 设备管理 应用孵化 能力输出 信息发布 数据监控 数据分析 等功能,目前接入设备已超过千万,覆盖交通物流㊁智能安防㊁智慧城市等8大行业㊂(2)管道侧智能连接基于NB-IoT 无线技术,包括NB-IoT 基站和NB-IoT 核心网,建立物联网专网,提供各种网络接入,并为感知层获取的信息数据提供数据传输通道,具有开放式互联特点,面临网络攻击等安全威胁㊂(3)端侧即物联网感知层,包括NB-IoT 通信模组集成芯片㊁外围电路㊁各类接口等,内置嵌入式软件,提供NB-IoT 通信能力,能够广泛应用于智慧城市㊁公共产业㊁农业等场景㊂随着物联网技术的不断革新,NB-IoT 终端将进行大规模部署,然而NB-IoT 终端本身防护能力较弱,会面临恶意节点伪造及攻击等安全问题㊂3㊀基于NB -IoT 网络的物联网安全防护根据NB-IoT 物联网体系架构图,将详细分析NB-IoT 系统面临的安全问题,并针对具体的安全威胁提供安全防护措施,设计了NB-IoT 网络安全防护架构,对推动NB-IoT 的商用部署进程起到重要的作用㊂3.1㊀业务平台及业务安全防护物联网业务平台位于 云-管-端 体系架构的云端,处于NB-IoT网络的上层,主要包含业务平台安全和业务安全两方面㊂(1)业务平台安全在业务平台安全方面,主要面临系统漏洞㊁客户信息数据泄露等传统安全问题㊂因此,应定期对系统软件更新,进行安全基线检查;对平台间接口的合法性进行校验和设置访问权限黑白名单机制;加强不良信息管控,强化数据安全防护,使用加密技术提高数据自身安全,当对外数据开放时须进行数据脱敏处理;同时,加强人员权限控制,减少数据越权访问,运用大数据分析等手段开展用户行为分析,监测异常访问和数据外泄㊂(2)业务安全在业务安全方面,NB-IoT业务接入会面临带病入网㊁恶意欺诈等安全威胁㊂因此,从管理角度,应在规划㊁建设㊁运行过程中严格遵循 三同步 要求,同步开展安全规划㊁安全建设㊁安全运行;从业务管控角度,应在物联卡运营和日志留存两个方面做好安全防护,主要体现在:应使用4A管理平台,实现认证㊁账号㊁授权和审计的统一管理;物联卡在进行业务开通及使用中,应遵循 功能最小化原则 ;应支持认证登录㊁互联网访问信息的留存㊂3.2㊀NB-IoT网内安全防护NB-IoT网络是 云-管-端 体系架构中管道侧重要的无线连接方式,是连接业务平台和终端设备的桥梁,NB-IoT网络将终端设备采集的数据传输到相关的业务平台㊂NB-IoT无线接入网架构由一个或多个基站(eNB)组成,基站通过S1接口连接到核心网EPC 或物联网专有EPC,NB-IoT基站之间可以通过X2接口连接(见图2)㊂图2㊀NB-IoT网络架构NB-IoT网内安全主要涉及网络接入安全㊁数据传输安全及网络异常流量等方面,为有效提高NB-IoT网内安全,应做到以下几个方面㊂(1)加强接入认证NB-IoT网络应加强与用户设备(User Equipment, UE)的双向身份识别和认证,提高接入认证强度㊁完善上网日志留存等网络层面溯源手段㊂其原理为:UE和移动性管理实体(Mobility Man-agement Entity,MME)应产生并共享一个中间密钥KASME,MME应能向UE分配一个唯一临时标识(Globally Unique Temporary UE Identity,GUTI),以保护用户身份的机密性㊂当MME不能根据GUTI识别用户身份时,应当由MME发起用户识别身份标识流程,向用户请求永久身份标识(International Mobile Subscriber Identification Number,IMSI),完成身份的双向认证㊂(2)提高传输通道安全保证NB-IoT网络数据传输安全,采用密码复杂程度较高的算法对传输通道进行加密,防止用户数据在传输过程中遭到中间人㊁重放攻击,避免用户数据被窃取㊁篡改,有效保证数据的机密性和完整性㊂此外,为防止遭到DDoS拒绝服务攻击,提高NB-IoT网络安全防护能力,应部署网络安全防护手段,加强核心网与互联网边界安全,采用纵深防御模式,通过多层防护㊁多点联动等方式实施全面安全防护,有效保证数据的可用性㊂3.3㊀物联网终端设备安全防护物联网终端设备位于 云-管-端 体系架构的端侧,处于NB-loT网络的底层,是最直接接触用户的部分,因此容易发生客户信息及用户数据泄露风险㊂此外,由于NB-IoT终端设备成本较低,并缺少相应的日常安全检测手段,物联网终端设备容易存在硬件㊁系统㊁应用等方面的漏洞㊂为有效加强物联网终端设备安全防护,应做到以下两个方面㊂(1)加强敏感信息管控对于支持外围接口的物联网终端设备,应当向用户提示,仅当授权用户确认本次连接时,连接才可以建立;对于支持外置存储设备的物联网终端设备,应限制非授权应用软件对外置存储设备的访问,终止非授权实体的访问行为,并提供授权用户可察觉的报警功能㊂(2)建立日常安全检测手段定期检查终端设备安全,及时发现终端脆弱性,对自有设备及时整改,对用户设备及时提醒;定期对系统安全漏洞进行修复和加固升级,系统不应存在官方或权威机构发布的已知漏洞,增加安全启动认证,遵从权限最小化原则㊂图3㊀物联网安全防护架构模型4㊀基于NB -IoT 网络的物联网安全防护架构设计㊀㊀基于对NB-IoT 网络安全防护分析研究,并按照 云-管-端 体系架构和物联网 应用㊁网络㊁感知 3层结构,提出了一种基于NB-IoT 网络的物联网安全防护架构模型(见图3)㊂如图3所示,安全防护架构模型分为NB-IoT 感知层㊁NB-IoT 网络层和NB-IoT 应用层㊂(1)NB-IoT 感知层主要负责对物联网终端设备的数据采集,涉及对物联网终端安全的防护,物联网终端设备主要存在物理硬件安全㊁相关系统及应用版本较低㊁未对用户敏感信息有效管控等问题㊂因此,本层应采取隐私保护㊁授权认证㊁脆弱性检查和权限最小化等安全防护措施㊂(2)NB-IoT 网络层是物联网安全防护架构模型的核心,主要负责对物联网终端设备所采集的数据进行接入和传输,主要存在接入认证不强㊁传输数据窃取泄露和拒绝服务攻击等㊂因此,本层应加强接入安全和传输安全,采用双向认证技术,并部署抗DDoS 攻击清洗设备㊂(3)NB-IoT 应用层是对所采集数据的应用和管理,主要包括业务平台及业务,本层应采取数据脱敏㊁访问控制㊁安全同步和日志留存等安全管理和防护措施㊂5㊀结束语随着NB-IoT 技术的不断发展以及商用进程的不断加快,基于NB-IoT 网络的物联网安全防护研究已成为一个热点研究课题㊂只有解决NB-IoT 在业务平台㊁NB-IoT 网络内和物联网终端设备方面的安全问题,确保数据在采集㊁接入㊁传输及存储等方面的保密性㊁完整性和可用性,才能保证NB-IoT 的安全可靠,促进物联网的健康发展,推动NB-IoT 的商用部署进程㊂参考文献[1]金舰,蒋鑫,吴星,等.NB-IoT 与eMTC 技术对比与发展现状分析[J ].信息通信技术与政策,2019(01):89-94.[2]刘东,常清雪,马楠,等.NB-IoT 移动通信技术的应用及安全防护[J ].信息安全研究,2018,4(08):728-733.[3]RATASUK R ,VEJLGAAD B ,MANGALVEDHEN .NB_IoT system for M 2M communication [C ].IEEE Wire-less Communications and Networking Conference ,2016.[4]KRAIJAK S,TUWANUT P.Asurvey on IoT architectures,protocols,applications,security,privacy,Real-word implementation and future trends[C].11th International Conference on Wireless Communications,Networking and Mobile Computing,2016.作者简介:李琦㊀㊀中国移动通信集团吉林有限公司网络管理中心网络安全工程师刘丹妮㊀国网吉林省电力有限公司信息通信公司通信网络工程师Research and architecture design of the security protection of Internet ofThings based on NB-IoT NetworkLI Qi1,LIU Danni2(work management center,China Mobile Communications Group Jilin Co.,Ltd,Changchun,130000,China;rmation and Communication Company,State Grid Jilin Electric Power Company,Changchun,130000,China)Abstract:With the continuous acceleration of the commercial deployment process of NB-IoT,the research on security protection of Internet of Things based on NB-IoT network has received extensive attention.This paper introduces the technology features and system architecture of the NB-IoT network.And then,it makes a research on the security protection of the business platform and business,NB-IoT network and Internet terminal equipment.Finally,a security architecture model is proposed based on the NB-IoT network.Key words:Internet of Things;NB-IoT;security protection;security architecture(收稿日期:2019-12-26)。
