嵌入式UICC遠程簽約管理安全威脅分析

顧旻霞 劉廉如,2 陳 豪 張忠平 張 尼

1 中國聯合網絡通信有限公司 北京 100033

2 北京郵電大學 北京 100876

3 中國聯通研究院 北京 100032

引言

智能卡作為運營商碼號資源的物理載體，是物聯網終端設備的重要組成部分，為其接入移動通信網絡提供身份認證、安全機制保障，并為裝載的各種增值應用提供支撐[1-2]。

物聯網業務的快速發展對智能卡提出更高要求，諸如：使用環境更為惡劣，要求智能卡的物理電氣特性大幅提高；讀寫操作更加頻繁，要求智能卡有更長的使用壽命和更高的可靠性；大幅顛簸的使用場景，要求智能卡的物理連接觸點更加可靠和更耐磨損；終端的小巧便攜，要求智能卡須相應減小尺寸；焊接式的安裝方式，要求智能卡具備遠程下載、配置和更換運營商簽約信息等需求。針對物理特性、應用承載和發行管理的新興需求，嵌入式UICC(embedded Universal Integrated Circuit Card，以下簡稱“eUICC”)應運而生。

GSMA于2011年2月成立特別工作組，針對eUICC的未來商用用例和技術方向展開研究，發布eUICC遠程簽約管理的用例和需求，即《Embedded SIM Task Force Requirements and Use Cases》白皮書[3]。該白皮書主要定義了五個核心用例，分別為：新設備配置簽約、更換設備簽約、批量配置多個M2M設備、終止簽約和終端之間轉移簽約。

1 嵌入式UICC遠程簽約管理平臺架構

參與eUICC遠程簽約管理的角色包括eUICC制造商(eUICC Manufacturer)、移動運營商(MNO)和遠程簽約管理平臺(SM)，如圖1所示。遠程簽約管理平臺是eUICC遠程簽約管理的核心。

圖1 eUICC遠程簽約管理總體架構

數據準備和數據路由是eUICC遠程簽約管理平臺的兩個主要功能模塊[4]。其中，數據準備主要負責profile數據包的生成和管理；數據路由主要負責profile數據包和eUICC管理命令等數據的安全傳輸。

1) 數據準備。數據準備主要負責profile數據包的組織與準備，并且經由數據路由模塊提供的安全通道，將profile數據包(包括NAA、文件系統、管理策略和安全域等)下載，并安裝到eUICC上。

2) 數據路由。數據路由主要負責為profile數據包和eUICC管理命令提供安全、可靠的傳輸通道。數據路由通過密鑰協商機制生成用于加密傳輸數據(profile數據包和eUICC管理命令等)所需的密鑰，加密后的傳輸數據經由安全的空中傳輸通道傳送到eUICC。

2 基于矩陣圖的安全威脅分析方法

傳統的信息系統安全威脅分析方法主要有兩種，一是將系統分解成為一個分層架構，以不同的層為研究對象，展開安全威脅研究；二是從系統的業務流程入手，分析核心信息資產在業務流程中流經的實體面臨的安全威脅。本文提出了一種基于矩陣圖的安全威脅分析方法，如圖2所示，矩陣的橫向表示系統面臨安全威脅的種類，縱向表示系統在業務流程中涉及到的物理實體。下文將以嵌入式UICC遠程簽約管理為需求場景，使用此方法進行安全威脅的分析。

圖2 基于矩陣圖的安全分析方法示意圖

2.1 嵌入式UICC遠程簽約管理橫向安全威脅

在eUICC遠程簽約管理平臺中，存儲并管理運營商的簽約信息、安全算法、用戶資料等信息，通過與運營商現有支撐系統的接口獲取卡片及簽約敏感數據(如IMSI、Ki和OPC等)，并通過空中接口向卡片下發，因此存在不同維度的安全威脅。主要包括：接口安全威脅、數據安全威脅和功能安全威脅。

2.1.1 接口安全威脅

在進行遠程激活、更換、終止、刪除等操作時，eUICC卡與eUICC遠程簽約管理平臺之間涉及到大量敏感數據的傳輸，傳輸的敏感數據可能遭到竊聽、偽裝、篡改等惡意攻擊，需要確保各個實體之間數據傳輸的安全。

eUICC遠程簽約管理平臺主要包括以下兩類接口。1)卡上(on card)接口：eUICC與安全路由模塊的接口，eUICC與數據準備模塊的接口以及eUICC與運營商OTA平臺的接口。2)卡下(off card)接口：初始eUICC信息交付接口，eUICC遠程簽約管理平臺間接口以及eUICC遠程簽約管理平臺與MNO間接口。

2.1.2 數據安全威脅

eUICC中保存用戶簽約信息、安全算法、安全參數、策略控制數據等信息。這些數據是eUICC遠程簽約管理體系中最重要的無形資產與信息資源，各實體需要頻繁訪問這些數據來完成各種既定功能，因此對這些數據的管理至關重要。簽約信息、各級密鑰、安全算法、控制策略規則等是整個體系中最為核心的數據，一旦其受到影響，整個eUICC遠程簽約管理體系將受到破壞。考慮到密鑰和安全算法可能在不同實體之間傳輸，因此必須設計高強度的安全機制以確保其在傳輸過程中免受攻擊。敏感數據的安全等級分析如表1所示[5]。

表1 敏感數據的安全等級

安全等級用于描述當安全措施失效后對整個eUICC遠程簽約管理體系的影響程度，其定義如下。等級4：整個系統可能處在商業服務風險中；等級3：受影響的運營方可能遭受強烈的沖擊，并危及整體業務；等級2：服務可能會中斷，受影響的運營方可能受到暫時影響且受影響的業務是有限的；等級1：服務的影響是有限的(如臨時的)，對業務的影響較小。

2.1.3 功能安全威脅

eUICC遠程簽約管理主要提供三種功能：profile數據包創建、profile數據包傳輸和profile數據包管理，所有功能都可能受到攻擊，主要風險如表2所示。

表2 eUICC遠程簽約管理功能風險

2.2 嵌入式UICC遠程簽約管理縱向安全威脅

eUICC遠程簽約管理架構中包含eUICC、eUICC遠程簽約管理平臺、物聯網終端設備等網元實體，上述各網元實體面臨的安全威脅如下。

2.2.1 eUICC安全威脅

1) 非授權的profile管理或平臺管理。①非授權的profile管理：例如在profile下載之前非法修改profile，或者泄露存儲在profile中的網絡認證參數。②非授權的卡平臺管理： 例如非法終止一個處于激活狀態的profile。

這兩類威脅又細分為以下四種具體威脅：①泄露/修改eUICC運營商數據容器的內容或功能；②泄露/修改eUICC傳輸模塊的內容或功能；③偽造/攔截/修改/重放運營商卡數據傳輸的命令或profile數據包；④偽造/攔截/修改/重放安全路由模塊傳輸的命令或信任狀。

2) 身份標識篡改。①未授權的身份標識管理；②篡改eUICC ID、eUICC公鑰或CI公鑰；③修改共享會話密鑰的生成函數方法；④身份標識攔截。

3) Profile克隆。攻擊者將合法的profile安裝到未授權的eUICC上，或者其他未授權載體上(如軟SIM)。

4) 未授權的移動網絡接入。卡上或卡外的攻擊者取代合法profile執行移動網絡接入認證。

2.2.2 eUICC遠程簽約管理平臺安全威脅

1) 數據準備模塊。嵌入式UICC遠程簽約管理過程中，數據準備模塊涉及到的流程如圖3所示[6]。

圖3 數據準備模塊涉及流程示意圖

數據準備模塊面臨的安全威脅主要包括可用性、機密性及完整性等方面，如表3所示。

表3 數據準備模塊的安全威脅

2) 安全路由模塊。安全路由模塊涉及流程示意圖，如圖4所示[6]。安全路由模塊的主要威脅集中在可用性、保密性和完整性等方面，其具體威脅如表4所示。

圖4 安全路由模塊涉及流程示意圖

表4 安全路由模塊的安全威脅

2.2.3 物聯網終端設備

物聯網終端設備面臨的安全威脅包括：1)物聯網設備受到物理攻擊；2)物聯網設備受到欺騙，采集錯誤的信息(如網絡信號質量)；3)如物聯網設備有操作系統，可能被攻擊者植入惡意代碼；4)終端與eUICC、終端與網絡通信可被竊聽或破壞；5)終端上存儲的數據被竊取或破壞。

3 總結

eUICC在未來的物聯網業務發展中將扮演重要角色。eUICC遠程簽約管理可以滿足海量物聯網設備批量開卡、降低國際漫游成本等行業需求，突破傳統的由運營商管控的UICC線性流程管理，改變傳統的系統架構和產業鏈角色，導致了用戶關系管理前所未有的復雜和靈活，對現有安全機制產生重大影響。

無論運營商、卡商亦或第三方平臺提供商承擔eUICC遠程簽約管理平臺的建設者角色，都需要對系統所面臨的安全威脅做細致的分析。本文通過一種橫縱結合的矩陣圖方法，對eUICC遠程簽約管理面臨的安全威脅進行了分析，為進一步規劃安全需求、制定安全目標、設計安全框架提供了有力基礎。

參考文獻

[1]姚海鵬,張智江,劉韻潔.物聯網嵌入式SIM卡技術初探[J].信息通信技術,2012,6(5):52-55

[2]張尼,姚海鵬.物聯網嵌入式智能卡遠程管理技術[J].電信工程技術與標準化,2012,25(6):16-20

[3]GSMA.Embedded SIM Task Force Requirements and Use Cases[S].2011

[4]GSMA.Embedded SIM Remote Provisioning Architecture[S].2013

[5]GSMA.Remote Provisioning Architecture for Embedded UICC Technical Specification[S].2013

[6]GSMA.SAS Standard for Subscription Manager Roles[S].2014