基于eUICC的智能家居認證方案

黎艷，盧燕青，張榮，郭茂文

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

互聯網技術的高速發展使人們對家居生活安全和便利的需求日益提高。隨著智能家居和物聯網各種技術的涌現，智慧家庭設備、云端控制中心和用戶之間可以進行有效的信息交互[1]。用戶在獲得更多家庭內部信息的同時，對認證的安全要求也越來越高。

傳統的認證大多使用業務賬號和密碼或短信驗證碼，其存在密碼泄露、短信被截獲等風險。目前，已經暴露了很多設備安全事件，比如，攝像頭被非法訪問、物聯網設備被非法平臺操控等。同時，用戶授權機制的完善也有待考慮。如何實現終端設備與認證平臺之間的高強度雙向認證，并且與用戶授權相結合，是物聯網時代智能家居面臨的一大挑戰。

2 智能家居安全隱患

2.1 訪問認證漏洞

智能家居設備收集了用戶大量的隱私數據，首要的安全問題就是數據訪問漏洞。目前，大多數智能家居設備的訪問都是使用簡單的用戶名和密碼，并沒有嚴謹的安全控制策略。2016年10月，黑客攻破大量物聯網智能設備，集中向美國最主要的 DNS 服務商 Dyn服務器發起史上最嚴重的DDoS攻擊，導致數百家網站無法訪問。2017年6月，中央電視臺（以下簡稱央視）調查曝光大量攝像頭被入侵，通過IP地址掃描，大量弱口令攝像頭被破解，用戶隱私視頻曝光。數據訪問控制問題亟待解決。

主要的訪問認證安全隱患包括以下幾個方面。

（1）用戶名和密碼強度弱

目前，大多數家庭設備都是使用用戶名和密碼的方式登錄和管理設備，但普遍對用戶名和密碼的強度沒有要求，甚至直接使用弱口令，很多終端設備更是直接在終端設備表面印刷默認的用戶名和密碼，而用戶也很少會更改密碼。密碼強度不足及密碼管理不嚴導致了用戶名和密碼存在容易泄露、被掃描、被暴力破解和被劫持的風險。

（2）訪問授權缺失

絕大部分智能家居設備訪問無需額外授權，設備被攻破并非法訪問時，設備所有者并不知情，導致設備輕易被操控，用戶隱私無形之中被暴露無遺。

（3）IP地址暴露

通過掃描器，使用弱口令暗碼（如 user、admin）做大規模的 IP地址和端口掃描就可以獲取家居智能設備（如攝像頭）的IP地址，一旦IP地址暴露且弱口令匹配，即可直接獲取數據資源。除了智能家居設備存在此安全隱患，很多公共戶外網絡設備同樣有被破解的風險。

2.2 設備側漏洞

由于智能家居設備承擔著數據收集、數據上報、指令執行等重要職責[2]，智能設備的身份保護尤其重要。

設備側安全隱患主要有以下幾方面。

（1）設備偽造

設備關鍵信息被非法讀取之后，偽造者利用關鍵信息進行設備偽造，如偽造設備號、偽造設備 MAC地址等。用偽造的身份冒充原設備侵入系統，并且在交互過程利用偽造的身份欺騙服務器。這種情況多出現在使用弱身份標識或身份憑證存儲失當的智能家居系統中。

（2）隱私數據被竊取

智能家居設備采集的用戶隱私數據如果沒有高強度的安全存儲、加密或者讀取鑒權，就極易被竊取。隱私數據除了設備所存儲的安全憑證和設備所采集的用戶數據之外，也包括設備與服務器或App之間的業務邏輯等。

（3）指令偽造

通過逆向工程獲知通信邏輯，繼而偽造 App或者服務器，向智能家居設備下發惡意消息序列或非法指令。通過指令偽造，達到惡意控制設備的目的，如聯網的烤箱被惡意控制干燒或聯網洗衣機被惡意控制空轉等。如果智能家居設備對指令來源并未做任何認證，而只是盲目執行，則極易被非法用戶惡意控制。

2.3 數據交互（傳輸）安全

智能家居設備與App或者云端服務器之間的通信涉及各種指令的傳輸、關鍵數據的同步、采集數據的上傳，這些數據的安全保障也是至關重要的。

常見的數據安全隱患如下。

（1）數據偵聽截獲

利用傳輸過程開放協議的漏洞，偵聽并截獲設備與應用、設備與云端服務器的交互數據；通過對交互數據的進一步解析，破解相關通信邏輯或非法獲取當中的關鍵隱私數據。

（2）數據被篡改

在截獲傳輸的交互數據之后，對當中的關鍵數據進行篡改，如用戶的計費賬號信息、指令的類別和內容等。如果設備側、應用側或云端服務器側沒有對數據的完整性和可靠性進行校驗，很容易帶來家居安全隱患。

（3）偽造數據造成阻塞

通過非法偽造數據造成設備或云端阻塞不可用，如模擬平臺向同一臺終端設備下發大量指令，超出設備處理能力導致設備發生故障。抑或模擬設備向平臺發送大量請求，從而占用過多的服務資源使服務器超負荷，導致合法設備無法得到服務響應。

（4）數據重放攻擊

不需了解分析通信協議，在身份認證過程，直接將竊聽到的通信數據原封不動重新發送給接收方，從而達到欺騙系統的目的。

3 智能家居安全認證思路和總體設計

針對目前智慧家庭應用中賬號/密碼認證強度弱、設備ID容易被篡改和遠程配置管理弱的情況，提出了基于eUICC實現設備側和云端的雙向認證，主要優勢如下。

· 硬件級認證的引入。實現高安全等級的身份認證和訪問控制，保障家庭設備的信息安全，可以作為電信智慧家庭業務（如機頂盒家悅業務、家庭視頻監控）的一大賣點。

· 實現設備認證與eUICC之間的通信之后，可以應用到物聯網其他設備，利用 eUICC內卡應用的安全加解密能力，實現設備與應用平臺的雙向認證。目前已有類似行業應用需求。

· eUICC基于Java平臺，支持PKI非對稱計算能力，軟硬件能力比普通SIM卡強，能夠兼容各種卡認證的能力需求[3]。

· 現有家庭網絡設備基于線路綁定和用戶名密碼綁定的方式實現認證，使應用的物理空間和認證方式都有所限制。eUICC的引入可以突破這些局限性，應用上更加靈活。

設備認證思路具體如下。

（1）為每臺設備配置高強度的唯一身份。

（2）設備的身份認證需使用安全加密算法，如對稱的OCRA動態口令或更高安全的PKI非對稱密鑰體系。

（3）設備側與云端服務器側實行雙向認證，可在設備側和云端分別存儲對方的非對稱密鑰對的公鑰，基于PKI實現雙向身份認證[4]。

（4）數據傳輸需經過安全加密，安全加密密鑰的協商可以使用數字信封技術。

訪問認證（授權）思路具體如下。

（1）用戶手機側使用SIM卡認證實現設備訪問的控制、授權，目前，國內三大運營商基本上已經在用戶卡上實現了快捷認證和數字證書認證，可以通過應用安全需求選擇合適的認證方式。

（2）由云端服務端或者認證平臺管理和維護設備與授權手機的關系[5]，并通過空口SCP80協議向授權手機下發授權請求。

以下是智能家居安全認證總體的架構如圖 1所示，各模塊具體介紹如下。

（1）eUICC

eUICC內裝載認證卡應用，負責設備側各加密密鑰的生成、數據的加/解密等認證相關數據的處理。

（2）家庭中心設備（或使用其他承載網絡如NB-IoT的設備）

管理家庭其他設備的接入，通過ISO 7816或SPI協議與eUICC內裝載的認證卡應用進行通信，從而獲取相關加密認證數據，并向認證服務器上傳設備信息及提交訪問授權請求。

（3）認證服務器

驗證設備上傳的認證數據，管理設備與用戶手機之間的關聯關系，并根據設備—手機的對應關系向相應的管理手機下發授權請求數據短信。

（4）用戶手機卡

用戶手機卡內裝載認證卡應用，實現快捷認證（免賬號/密碼登錄）及數字證書認證，使用卡應用進行身份認證的基礎上用戶可以接收并處理認證服務器的授權請求。

圖1 智能家居認證系統總體架構

4 智能家居認證方案

基于設備雙向認證和用戶卡認證授權的思路，本方案利用eUICC的物理和安全特性，為智能家居設備實現高強度的身份認證。之所以使用eUICC作為處理認證安全數據的關鍵，是因為eUICC具有如下特性：

· eUICC芯片達到EAL5+，通過國家商用密碼安全認證；

· 相對普通SIM卡有更強的處理能力，具有DES/AES/RSA/SM（國密算法）的硬件協處理器；

· eUICC與設備之間是機卡一體并強綁定的，其EID可以作為設備的唯一識別碼；

· eUICC 支持 FOTA（firmware over the air），可以很方便地進行云端升級，實現系統修復和優化，如卡應用的升級等[6]；

· eUICC與其他SIM一樣，一卡一密，通過空中加密通道下發的數據短信只有唯一對應的eUICC才能解密獲取相關數據。

智能家居設備與eUICC之間的通信如圖2所示，各模塊具體介紹如下。

圖2 智能家居設備與eUICC之間的通信示意

（1）eUICC認證卡應用

負責認證數據的加/解密，包括密鑰生成、存儲及同步，對稱加/解密（DES/3DES/AES/SM4）和非對稱加/解密（RSA1024/RSA2048/SM2）。

（2）eUICC SDK

負責終端設備協議轉換、APDU指令封裝以及向終端應用程序開放eUICC認證卡應用的相關接口，SDK向終端設備應用程序提供并集成。

（3）終端設備應用程序與eUICC之間的通信通道

通過在終端側進行協議轉換，終端設備可以通過ISO 7816協議或SPI協議與eUICC進行通信。

圖3 設備接入及綁定認證流程

4.1 設備接入認證流程

假設終端設備綁定的eUICC EID在CRM側已經與用戶、管理、手機信息進行綁定并同步到認證服務器，具體的設備接入及綁定認證流程如圖3所示，具體介紹如下。

（1）終端設備上電并接入網絡。

（2）設備檢測設備綁定標識，若已綁定，則結束設備接入認證流程；若未綁定，則繼續檢查密鑰對生成標識。

（3）若密鑰對已生成，則將密鑰對公鑰上傳到認證服務器進行綁定。

（4）認證服務器將接入綁定請求數據短信下發到用戶的管理手機，請求授權。

（5）用戶確認之后，認證服務器返回綁定結果（使用認證服務器私鑰加密）。

（6）終端設備使用認證服務器公鑰對返回的綁定結果進行解密，完成綁定。

（7）中心終端設備完成綁定認證之后，一旦有其他設備接入中心設備，中心設備會使用自己的非對稱密鑰對私鑰對接入的設備信息進行加密，提交到認證服務器。

圖4 設備訪問認證及授權流程

4.2 訪問認證流程

以攝像頭訪問為例，當外部連接需要訪問網絡攝像頭的視頻內容時，攝像頭會向攝像頭云端服務器發送視頻數據，使用如圖4所示訪問認證方案可以對此動作進行放行或阻攔。

假設中心終端設備（通常是網關、機頂盒、路由器等中心控制設備）已經完成設備接入綁定流程，具體訪問認證流程如下。

（1）家庭中心設備檢測到設備向外的數據分組。

（2）家庭中心設備調用eUICC簽名接口，使用eUICC私鑰對事件描述進行簽名，發送到認證服務器。

（3）認證服務器驗簽，對設備身份進行認證。

（4）完成認證之后，認證服務器向用戶管理手機下發授權請求數據短信。

（5）用戶卡完成授權之后，認證服務器使用服務器私鑰對授權結果進行加密。

（6）家庭中心設備使用認證服務公鑰進行解密，對認證服務器身份進行認證。

（7）家庭中心設備根據授權結果對數據進行放行或阻攔。

5 結束語

本文首先分析了當前智能家居的各種主要安全隱患。針對隱患原因，提出智能家居安全認證思路及基于eUICC的總體設計方案。通過使用具有物理及安全特性的eUICC實現設備與服務器端的雙向認證，可以有效避免設備偽造、設備非法控制、非法指令下發、數據竊聽篡改等智能家居安全隱患。而運營商使用eUICC進行智能家居安全認證部署，可以把統一認證擴展到智慧家庭領域，開拓一片新的價值藍海。

參考文獻：

[1] 朱敏玲, 李寧.智能家居發展現狀及未來淺析[J].電視技術,2015, 39(4)： 82-96.ZHU M L, LI N.State of art and trend of smart home in China[J].Video Engineering, 2015, 39(4)： 82-96.

[2] 韓建亭.可運營智慧家庭系統的構建[J].電信科學, 2015,3(11)： 109-115.HAN J T.Construction of smart home system architecture for operating[J].Telecommunications Science, 2015, 3(11)：109-115.

[3] 楊紅梅.eUICC的關鍵技術及相關標準[J].電信網技術,2015(6)： 58-62.YANG H M.Key technologies and related standards of eUICC[J].Telecommunications Network Technology, 2015(6)： 58-62.

[4] 劉麗萍.基于智能卡和密碼保護的 WSN遠程用戶安全認證方案[J].電信科學, 2015, 31(12)： 105-110.LIU L P.A remote user security authentication scheme using smart card and password protection for WSN [J].Telecommunications Science, 2015, 31(12)： 105-110.

[5] 王斌, 楊曉玲, 肖冬娣.基于云服務實現智能家居應用控制的方案[J].電信科學, 2015, 31(11)： 140-145.WANG B, YANG X L, XIAO D D.Scheme of smart home application control based on cloud service[J].Telecommunications Science, 2015, 31(11)： 140-145.

[6] 楊劍, 戴國華, 李培煜.電信運營商eUICC發展關鍵問題分析及建議[J].移動通信, 2015(12)： 158-165.YANG J, DAI G H, LI P Y.Analysis and suggestions on key problems of eUICC development in telecom operators[J].Mobile Communications, 2015(12)： 158-165.