基于non-IP+SCEF技術增強物聯網終端安全性的研究

何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

基于non-IP+SCEF技術增強物聯網終端安全性的研究

何峣，黃海

（中國電信股份有限公司廣州研究院，廣東 廣州510630）

研究了智能終端安卓系統，提出了基于證書鏈驗證機制的智能終端安卓系統安全加固方案，并對安卓原生系統所表現出來的安全問題進行深入的分析與研究，比較了采用安全加固的系統較之安卓原生系統在安全性上表現出的優勢。通過結合證書鏈機制，以完整性驗證為核心的安全架構，能夠達到最大限度保護智能終端安全的目標。

物聯網；安全；非IP；服務能力開放功能

1 引言

隨著物聯網技術與業務的迅速發展，針對物聯網的安全威脅也日益增大。2016年第三季度，網絡信息安全處于高防御級別的美國，仍然發生了兩起利用海量物聯網終端實施大規模DDoS攻擊的事件，傳統IP網絡的安全威脅已延伸到物聯網領域，敲響了物聯網終端安全的警鐘。

如何防止海量的物聯網終端受到攻擊和感染，為非頻繁小數據業務類型的物聯網終端構建安全防護體系，避免物聯網終端僵尸化成為物聯網發展過程中不可回避的問題。

2 DDoS攻擊事件分析

分析2016年發生在美國的DDos攻擊事件，不難發現以下問題。

2.1 攻擊事件反映出的問題

（1）號稱安全防護能力最強的國家也難以防止攻擊事件的發生

網站以及美國DNS服務器提供商Dyn的DNS服務，均受到了基于IP網絡的DDoS攻擊，攻擊來源于受Mirai惡意軟件感染的約5萬臺物聯網終端組成的僵尸網絡，攻擊流量高達600 Gbit/s，導致服務中斷數小時。雖然美國的網絡防攻擊能力處于世界領先水平，但也未能有效防止攻擊事件的發生，近半個美國的大型Web網站服務受到這次攻擊事件的影響。可見，利用海量物聯網終端實施攻擊的威脅相當巨大。

（2）傳統IP網的安全威脅已延伸到物聯網領域

有別于以往手機類及消費電子類智能終端的攻擊，黑客不再局限于以用戶個體的隱私竊取、支付釣魚、詐騙以及勒索等直接獲利為目標，而是把目光延伸到物聯網終端，其目的很明確，就是把海量的物聯網終端構建成巨型的僵尸網絡，用以實施大型DDoS攻擊，此類攻擊事件往往伴隨著政治目的，其影響已上升到社會和國家層面，一旦漫延，造成的惡劣影響和破壞力不容忽視。

（3）受感染終端大多為中國設備

在這些受感染的物聯網終端中，大部分是中國大華和雄邁公司生產的網絡攝像頭設備。可見，防攻擊能力相對薄弱的國內物聯網終端已成為全球黑客的目標，如果類似攻擊發生在國內，情況可能更為嚴重。

2.2 攻擊原理

綜上分析，不同類型的智能終端或物聯網終端都有一個共同特征，就是它們都運行著IP協議棧并直接與IP網絡通信，暴露在IP網絡上。黑客通過IP網絡，可以輕易發現并攻擊它們，終端一旦被攻陷，就加入了僵尸網絡，成為攻擊網絡的一員，隨時聽候黑客的差遣。黑客的攻擊方式一般有如下兩種。

·黑客通過IP網絡直接遠程攻擊終端，原理如圖1所示。

圖1 基于IP網絡直接遠程攻擊終端示意

· 黑客通過近距離或本地攻擊，先入侵少量終端，以此為跳板，繼而攻擊同一IP子網下的其他終端，原理如圖2所示。

圖2 基于IP子網跳板攻擊終端示意

利用傳統的安全防御措施，無論是為操作系統和應用程序打補丁、關閉不必要的端口，還是做好賬號/密碼管理等，都不能完全彌補采用IP通信帶來的缺陷。

電信運營商即將大規模開展物聯網業務，使用IP技術進行通信的終端同樣面臨上述安全問題。既然專業的安全防御方法不能從根源上解決問題，那么能否換一種思路，從通信網絡的架構切入，挖掘容易被忽略但又能把終端在網絡中隱藏起來的方案，黑客找不到這些終端，自然就無法實施攻擊了。

3 安全防御方案

3GPP R13版本關于 NB-IoT（narrow band internet of things，窄帶物聯網）和 eMTC（enhanced machine type communication，增強機器類通信）基于蜂窩網的物理網通信系統規范中，定義了一項新的數據通信技術——non-IP技術。non-IP技術在NB-IoT中是必選，在eMTC中是可選。non-IP數據重要特征是無IP分組頭，傳輸效率高，更重要的是，終端可以完全不需要IP協議棧，這意味著終端可以不暴露在IP網絡上，從而避免一切基于IP技術的攻擊和遠程控制，也意味著黑客沒有辦法直接驅使這些海量的非IP化的終端發動基于IP網絡的DDoS攻擊，從根源上遏制了這些終端進入僵尸網絡。黑客常年以來積累的諸如端口掃描、腳本注入、SQL注入、密碼窮盡等強大的攻擊工具集（黑客的“核武器庫”），都將派不上用場，因為它們都是基于IP技術的，黑客要破解non-IP，不得不從零開始研究新的入侵手段和攻擊方案。因此，non-IP的使用，將為物聯網的大規模商用發展贏得相當長的一段安全時間窗口。下面以NB-IoT系統為例，詳細介紹這種新型的防御技術，eMTC系統與之相似。

3GPP R13新增了控制面優化（control plane optimization，CP優化）和用戶面優化（user plane optimization，UP優化）兩種數據傳輸方案：CP優化方案通過NAS信令傳輸數據，減少了終端、空口和核心網的信令開銷，并為non-IP的數據傳輸增設了SCEF（service capability exposure function，服務能力開放功能）網元，SCEF在NB-IoT中的具體網絡位置如圖3所示；UP優化方案增加了RRC掛起和恢復兩種狀態，減少了空口信令交互。

在終端附著網絡的過程中，會攜帶建立數據通道的參數，這決定了終端在完成附著后，以何種類型的方式進行數據通信，每種方案對應的參數配置和數據路徑見表1。

由表1可知，方案1、方案4和方案7屬于傳統IP通信方式，終端獲得IP地址并直接接入IP網絡；方案6只提供短信通信方式，不涉及數據通信，不在本文研究范圍內；方案2和方案5都屬于non-IP通信，網絡出口點是PGW；方案3也屬于non-IP通信，但網絡出口點是SCEF。下面介紹與IP和non-IP相關的3類方案的機制、優點、缺點、安全性和適用場景。

3.1 控制面或用戶面的IP通信方案（方案1、方案4和方案7）

該類方案通過控制面NAS信令或者用戶面傳輸用戶數據，NAS層單獨或NAS+PDCP層共同負責用戶數據安全，PGW為終端分配IP地址，終端具有IP協議棧并獲得IP地址，網絡出口點是PGW，終端直接與SCS/AS進行IP通信。終端與云端直接IP通信方案如圖4所示，該類方案的優/缺點、安全性及適用場景介紹如下。

圖3 NB-IoT網絡架構

表1 附著過程建立數據通道參數與數據路徑對應

·優點：基于傳統IP通信，終端側與云端應用開發門檻低；經過優化的控制面和用戶面方案，可減少終端、空口和核心網的信令消耗。

· 缺點：IP技術的開放性導致運營商仍只承擔通信管道的角色，難以從海量終端和數據中深挖價值。

·安全性：終端直接與IP網絡通信，易被黑客發現并攻擊。

·適用場景：基于控制面的方案適合非頻繁小數據傳輸，基于用戶面的方案適合各種類型的數據傳輸。

3.2 控制面或用戶面的non-IP隧道通信方案 （方案2和方案5）

該類方案通過控制面NAS信令或者用戶面傳輸用戶數據，NAS層單獨或NAS+PDCP層共同負責用戶數據安全，PGW為終端分配IP地址但不分發給終端 （基于UDP/ IP的PtP隧道），或者不為終端分配IP地址（其他類型PtP隧道），終端不需要IP協議棧且不需要獲得IP地址，網絡出口點是PGW，終端經過PGW與SCS/AS通過IP隧道通信，不直接進行IP通信。控制面或用戶面non-IP傳輸+ PGW IP隧道方案如圖5所示，該類方案的優/缺點、安全性及適用場景介紹如下。

·優點：使用non-IP技術，用戶數據無IP分組頭，轉發效率高；經過優化的控制面和用戶面方案，可減少終端、空口和核心網的信令消耗。

· 缺點：終端側與云端應用需要適應新的隧道開發模式；隧道轉發的模式令運營商仍只負責管道運營。

·安全性：PGW與SCS/AS間建立授信隧道通信，終端不直接與IP網絡進行通信，有效隱藏終端，不易受到黑客攻擊。

· 適用場景：基于控制面的方案適合非頻繁小數據傳輸，基于用戶面的方案適合各種類型的數據傳輸。

3.3 控制面non-IP能力開放方案（方案3）

該類方案通過控制面NAS信令傳輸用戶數據，NAS層負責數據安全，終端不需要IP協議棧且不需要獲得IP地址，網絡出口點是服務能力開放單元SCEF，終端經過SCEF與SCS/AS進行API通信。控制面non-IP傳輸+SCEF服務能力開放方案如圖6所示，該類方案的優/缺點，安全性及適用場景介紹如下。

圖4 終端與云端直接IP通信方案

圖5 控制面或用戶面non-IP傳輸+PGW IP隧道方案

圖6 控制面non-IP傳輸+SCEF服務能力開放方案

· 優點：使用non-IP技術，用戶數據無IP分組頭，轉發效率高；減少了終端、空口和核心網信令消耗；SCEF匯聚了non-IP的終端和數據，并以API形式向云端應用方提供服務，而非直接把數據轉發出去，運營商在這個節點上可以沉淀數據并進行大數據分析，從中挖掘出具有商業價值的信息，由于使用了API形式開放服務，而不是簡單的數據轉發，為實施更靈活、更多樣化的資費策略奠定了基礎，運營商不再淪為純管道的角色。

· 缺點：終端側與云端應用需要適應新的API開發模式。

· 安全性：SCEF引入了non-IP數據傳輸授權檢查技術，SCEF根據終端的外部標識或MSISDN，檢查是否為該終端創建了 SCEF承載。SCEF檢查請求non-IP數據投遞的 SCS/AS是否被授權允許發起 non-IP數據投遞，并且檢查該 SCS/AS是否已經超出 non-IP數據投遞的限額（如24 h內允許1000byte），或已經超出速率限額（如100byte/h)。只有當上述安全檢查通過后，SCEF才做后續的投遞工作。基于以上的安全機制，SCEF可以安全地對3GPP網絡中的non-IP數據與互聯網云端應用方的IP數據進行轉換，有效地在IP網絡中隱藏了終端，終端不直接與IP網絡通信，而是在IP網絡中隱身了，黑客難以對其實施攻擊。

· 適用場景：非頻繁小數據傳輸。

3.4 方案對比分析

對比以上幾類方案，在安全性、傳輸效率、信令優化、開放性、產業成熟度以及對運營商利弊等方面各有優缺點。運營商希望選擇一種既能解決安全問題，也能在商業模式上打破運營商純管道運營角色困局的技術方案。

物聯網主要的應用場景如自動抄表、環境監控、車場管理、智慧城市、物流跟蹤等，其通信特征主要是非頻繁的小數據傳輸，此類終端數量和業務規模相當巨大，并涵蓋了大多數的物聯網業務應用場景，運營商應牢牢地抓住這類業務。運營商面對每一次新技術選擇時，除了滿足高效快速開展業務外，還要兼顧網絡和業務可持續發展，過于開放的技術架構雖然能“短平快”地產生規模效應，但也意味著后續商業價值的分流。

綜上所述，基于IP通信的方案（方案1、方案4和方案7），終端暴露于IP網絡中不能滿足所需要的安全性要求；基于non-IP的隧道方案（方案2和方案5），non-IP技術能在網絡中很好地隱藏終端，雖能滿足安全性要求，但隧道模式無法幫助運營商突破純管道運營者的困局。

基于控制面non-IP的能力開放方案 （方案3），non-IP技術能在網絡中很好地隱藏終端，SCEF也承擔了non-IP網絡與IP網絡之間的安全轉換角色，能有效防御來自IP網絡的惡意刺探和攻擊，因此，基于non-IP+SCEF的方案能很好地滿足安全要求，也能滿足物聯網非頻繁小數據的主要業務需求。從網絡位置上看，SCEF的定位近似但不等同于物聯網連接管理平臺或物聯網云服務平臺，也就是說，對于還沒擁有成型的連接管理平臺或云服務平臺的運營商，SCEF也是一種選擇，可幫助運營商突破純管道運營的困局，擴大管道業務以外的利益。non-IP和 SCEF都已經在標準層面得到定稿，只要運營商明確需求并推動產業鏈參與跟進，就能有效降低開發與運營的門檻。

4 結束語

2016年，運營商開始規模建設并試點物聯網業務，物聯網終端的快速發展以及網絡擴張所帶來的安全隱患不可忽視，需要從終端、網絡和平臺等各方面尋求綜合解決方案，雖然目前IP技術仍是主流通信技術，但從發生的安全大事件來看，通過各種基于IP的傳統防御手段遏止物聯網終端僵尸化，仍有很大的不確定性。因此，通過在終端、空口和核心網啟用non-IP技術，在網絡出口點部署SCEF網元相結合的方案，不僅是一種通信方案，還將是解決物聯網終端僵尸化的安全方案之一，該思路開拓了NB-IoT和eMTC在安全領域的全新研究方向，為物聯網的安全發展贏得時間窗口。同時，運營商可基于這種物聯網安全解決方案，打造“安全物聯網”的品牌，實現安全差異化，吸引更多的行業用戶。

[1]3GPP.Architecture enhancements to facilitate communicationswith packet data networks and applications (release 13)：3GPPTS 23.682[S/OL].(2016-12-10)[2016-12-10].https：//www.baidu. com/link?url=ltCYaC0JN0 NkFgyGi6I33 PViwmH78SQ3ytlr OBdA9NEUVHVB9qbNW6eNBN 9yqcIZGfxK 8TWAXU5C-9eGbH-VOK&wd=&eqid=de14 a62d0008d 4210000000 358844583.

[2]3GPP.General packet radio service (GPRS)enhancements forevolved universal terrestrial radio access network(E-UTRAN) access (release 13)：3GPP TS 23.401[S/OL].(2008-10-10) [2016-12-10].http：//www.etsi.org/deliver/etsi_TS/123400_123499/ 123401/08.03.00_60/ts_123401v080300p.pdf.

[3]3GPP.Non-access-stratum (NAS)protocol for evolved packet system (EPS);stage 3(release 13)：3GPP TS 24.301[S/OL]. (2009-03-10)[2016-12-10].http：//max.book118.com/html/2015/ 1019/27540606.shtm.

[4]3GPP.Evolved universal terrestrial radio access (E-UTRA)and evolved universal terrestrial radio access network(E-UTRAN); overall description;stage 2(release 13)：3GPP TS 36.300[S/OL]. (2007-12-10)[2016-12-10].http：//xueshu.baidu.com/s?wd= paperuri：(be81e93a0601e10eb42f7c072c2c2b6a)&filter=sc_long_ sign&sc_ks_para=q%3DEvolved+Universal+Terrestrial+Radio+ Access+%28E-UTRA%29+%3B+LTE+Physical+Layer-General+Description&tn=SE_baiduxueshu_c1gjeupa&ie=utf-8&sc_us=5075368087671280276.

[5]3GPP.Evolved universal terrestrial radio access(E-UTRA);radio resource control(RRC);protocol specification(release 13)：3GPP TS 36.331[S/OL].(2007-12-10)[2016-12-10].http：//xueshu. baidu.com/s?wd=paperuri：(be81e93a0601e10eb42f7c072c2c2b6a) &filter=sc_long_sign&sc_ks_para=q%3DEvolved+Universal+ Terrestrial+Radio+Access+%28E-UTRA%29+%3B+LTE+ Physical+Layer-General+Description&tn=SE_baiduxueshu_ c1gjeupa&ie=utf-8&sc_us=50753680876712 80276.

Research on enhancing the security of IoT terminals based on non-IP and SCEF technology

HE Yao,HUANG Hai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Android intelligent terminal system was studied,and Android security reinforcing scheme of intelligent terminal based on certificate chain authentication mechanism was put forward.The security problems that Android system showed were analyzed,and the advantage of the Android security reinforcing scheme was compared with Android system.The certificate chain authentication mechanism played a critical role as protecting the core of the terminals against some intrusion attacks in the security phases.

IoT,security,non-IP,SCEF

TN929

A

10.11959/j.issn.1000-0801.2017035

何峣（1977-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為物聯網終端通信、安全、測試技術等。

2016-12-11；

2017-01-23

黃海（1973-），男，中國電信股份有限公司廣州研究院高級工程師，主要研究方向為視頻流媒體、物聯網相關技術及應用。