電信運營商的物聯網安全業務研究

張曼君+馬錚+張小梅

【摘要】 隨著各類智能技術的發展，信息服務的快速推進，萬物互聯已從概念走向現實，物聯網正步入快速發展期。隨著業務的發展，更多物聯終端的接入，物聯網鏈接數增長迅速。由于物聯網終端數量大，體積小、低功耗的特殊性，安全問題將成為物聯網業務健康發展的關鍵。電信運營商作為業務網絡的承載著和業務提供者，在保證物聯網安全方面責無旁貸。文章從安全業務范圍、網絡安全機制和業務數據隱私保護3方面分析了運營商能夠提供的物聯網業務安全保障。

【關鍵詞】 物聯網業務 網絡安全 網絡運營商

一、運營商支撐物聯網安全業務的范圍

不同的物聯網業務資產需要不同安全保護措施，因此物聯網業務提供商需要進行風險和隱私保護評估，以確認業務的安全需求。網絡運營商和物聯網業務提供商在資產保護方面經常會有共同的安全需求，而且網絡運營商同時也可以作為業務提供商，因此對他們來說最方便有效的方式是協商通用的安全解決方案。

運營商能夠為物聯網業務資產提供的安全服務包括：1）在物聯網終端設備和業務平臺之間傳輸物聯網業務數據——包括基本的隱私敏感數據和商業開發數據。2）終端節點設備中（包括網關設備）的安全資產（IMSI等）和網絡配置（APN、定時器等）。3）物聯網業務提供商的商業敏感信息，包括商業信譽、顧客數據、策略信息、金融數據、健康記錄等。4）物聯網業務提供商的商業架構、業務平臺、公司網絡和其他專用網絡的參數信息。5）支撐物聯網業務的運營商數據中心架構，包括公共業務、服務器性能、虛擬化設施、云設備。6）通信網絡架構，包括無線接入網、核心網、主干網、基礎業務功能（DNS、BGP等）、蜂窩網和固網的接入和匯聚。

二、 物聯網網絡安全機制

網絡運營商需要提供適用且可靠的安全機制，通信網絡提供最基本的安全機制如下：1）識別和認證物聯網業務的實體（網關、終端節點、家庭網絡、漫游網絡、業務平臺）對需要連接和訂購物聯網業務的實體實行訪問控制。2）數據保護——保證物聯網業務網絡承載信息的安全性（機密性、完整性、可用性、可靠性）和隱私性。3）提供流程和機制——保證網絡資源的可用性，保護其免于遭受攻擊（提供防火墻、入侵檢測和數據過濾技術）。

2.1安全識別

身份識別包括向物聯網業務實體提供唯一的身份標識，且將電子身份與實際身份進行關聯。在向物聯網業務提供連接的蜂窩網絡中，終端節點設備用IMSI和IMEI進行標識（EIDs也可用于具有eUICC的設備）。網絡使用網絡編碼和城市編碼進行標識。安全認證是基于安全的身份標識，所以身份標識在認證過程中非常重要，因此實體的身份標識（例如IMSI、IMEI或ICCID）及其在物聯網業務中的使用需要得到保護，以抵抗非授權修改、偽造和竊取。物聯網業務提供商遇到的實際問題是他們的物聯網業務可能需要與多個物聯網業務平臺通信，需要分別進行身份識別。每個與物聯網業務平臺建立通信連接的身份都需要物聯網業務提供安全的分配、存儲和管理。對物聯網業務，網絡運營商建議使用UICC保證終端設備身份的安全。網絡運營商能夠擴展UICC安全存儲功能，使物聯網業務提供商在UICC上存儲與其業務相關的身份。同時，網絡運營商能夠提供單點登錄業務，允許終端設備只需一次性建立并且證明自己的身份，就可以連接到多個物聯網業務平臺。這項業務的安全和風險需要跨多個平臺來權衡考慮。

2.2安全認證

認證可以識別用戶、進程和終端節點設備的身份，是訪問信息系統資源需要滿足的首要條件。

網絡運營商能提供這項業務，確保與物聯網業務相關的用戶、應用、終端節點設備、網絡和業務平臺得到安全的認證。

2.3 安全通信

網絡運營商為廣域蜂窩網和固網提供安全機制，確保提供一流的通信完整性、機密性和可靠性。網絡運營商能使用VPN和加密連接，向企業提供安全的網絡連接，并對其進行管理。安全通信信道是保證信道上的通信數據未經數據主體的同意不能進行處理、使用或傳輸。加密技術保證傳輸數據的安全性，提供機密性、完整性和可靠性保障。加密方法的選擇要與系統的設計一致，要考慮系統中輕量級的終端節點設備、網絡部分和業務。 網絡運營商可以向物聯網業務提供商提供數據加密業務，確保通信的完整性和網絡可靠性。傳統的網絡運營商需要提供公用電信基礎設施或公網和專網混合設施。網絡運營商能保證對傳輸的用戶數據在進入公網和離開公網的節點之間實施加密。必要時，運營商還可以幫助物聯網業務提供商配置或獲取自身的公鑰證書，確保物聯網數據在運營商基礎設施中傳輸時的機密性。

2.4信道可用性

網絡運營商能夠為物聯網業務提供商提供網絡的可用性，最基本的機制如下：

1.使用許可頻譜。GSMA網絡運營商成員在各自國家許可的專用頻段提供網絡。使用許可頻段可以保證其他無線技術的接口干擾最小化。網絡運營商與國家監管機構會協作搜尋非授權的干擾源，保證網絡的可用性不受影響。運營商可以在授權的頻段進行網絡規劃和運營，保障網絡的覆蓋和容量，向用戶提供最大化的網絡可用性。

2. 使用標準化的網絡技術。GSMA網絡運營商成員使用標準化的網絡技術，例如3GPP標準組織制定的GSM、UMTS和LTE。使用標準技術不僅保證網絡運營商之間的互通，而且保證標準受到最大化的合規審查。

3.網絡要經過測試和認證。多數網絡運營商的網絡要根據國際測試標準進行測試和認證。網絡中復雜的終端設備和通信模塊也要遵守3GPP測試規范。

4. 網絡拓撲和配置的可恢復性。運營商提供彈性網絡，建立必要的冗余和隔離，保證最小的宕機時間和最大的可用性。所有的網元都需要合理的配置和檢測，嚴格確保QoS，滿足服務等級協議。

5.網絡資源的實時監測和管理。運營商實施7天24小時的網絡性能實時監測，網絡流量實時管理，對網絡需求和故障進行響應。

6.威脅管理和信息共享。GSMA欺詐安全組（FASG）向運營商提供公開、接納和可信的網絡環境，運營商可及時可靠地分享欺詐、安全情報和事件的詳細信息。這個研究小組對全球欺詐和安全威脅的情況進行評估，分析網絡運營商和用戶的風險，并且根據事件的嚴重性和緊急性給出了應對措施。

7.漫游服務。由于使用了標準化的網絡和終端設備技術及互聯服務，網絡運營商能夠提供網絡漫游業務，進一步提升網絡覆蓋和可用性。

8.終端設備性能的監測和管理。網絡運營商通過監測接入網絡終端節點設備的性能，對于使用過多的無線接口或者網絡流量的設備進行隔離，避免網絡性能的下降。因此終端設備需要檢測，當發現終端設備的異常行為時，要及時斷開連接或升級固件。

三、 物聯網業務隱私性的保護

對于物聯網的發展來說，業務提供商得到用戶的信任非常重要。業務提供商向用戶提供物聯網業務并且收集用戶數據。只有用戶感到隱私能得到尊重和保護時，才可能信任物聯網業務提供商。當前，世界范圍都已經建立了運營商需要遵守的數據保護和隱私法律。運營商可以使用現有的數據保護條例和準則處理物聯網業務和技術中的隱私問題。但是，物聯網業務包括運營商和業務提供商的合作，因此需要有明確的條例和法律適用于物聯網業務，物聯網業務提供商需要執行隱私和數據保護條例。運營商對于涉及數據的業務，需要與業務提供商簽訂數據處理協議。對于物聯網業務的數據保護和安全措施應考慮用戶的個人隱私風險以及個人數據在收集、分發和使用環境中的風險。監管機構應對風險性行為進行干預。

四、 結語

網絡運營商由于身份的特殊性，既是物聯網業務的承載者，又可作為物聯網業務的提供者，在保證物聯網業務安全方面具有重要地位，因此應從多角度考慮提供安全可靠的保障措施，維護物聯網業務健康、快速發展。

參 考 文 獻

[1]IoT Security Guidelines overview document[s] www.gsma.com/connectedliving

[2]IoT Security Guidelines for IoT Service Ecosystem[s] www.gsma.com/connectedliving

[4]IoT Security Guidelines for IoT Endpoint Ecosystem[s] www.gsma.com/connectedliving

[3]IoT Security Guidelines for Network Operators[s] www.gsma.com/connectedliving