基于NB-IoT网络的物联网安全防护研究及架构设计

　　李琦1 刘丹妮2

　　（1.中国移动通信集团吉林有限公司网络管理中心，长春 130000；

　　2. 国网吉林省电力有限公司信息通信公司，长春 130000）

　　摘要：随着NB-IoT商用部署进程的不断加快，基于NB-IoT网络的物联网安全防护研究受到了广泛关注。介绍了NB-IoT技术特点和系统架构，并通过业务平台及业务安全、NB-IoT网内安全及互联网终端设备安全三方面进行安全防护研究，提出了一种基于NB-IoT网络的物联网安全架构模型。

　　关键词：物联网；NB-IoT；安全防护；安全架构

　　1 引言

　　随着万物互联技术的成熟，物联网已进入快速发展时期，被正式列为国家五大新兴战略之一。国家“十三五”规划提出“发展物联网技术和应用”，并将“物联网应用推广”列为国家八大信息化专项工程。窄带物联网（Narrow Band Internet of Things，NB-IoT）采用授权频段180kHz带宽，可直接部署于GSM、UMTS或LTE网络，支持低功耗设备在广域网的蜂窝数据连接，具有广覆盖、支持海量连接、低功耗、低成本等技术特点。目前，NB-IoT已经成为物联网的重要分支及新兴技术，在智慧城市、农业生产与环境等应用领域具有重要意义，备受全球范围内各行各业关注。

　　我国各大运营商正在加快推进NB-IoT的商用部署，基于授权频谱运营商级的NB-IoT技术的普及，将为运营商业务发展带来新的机遇。然而，NB-IoT因其大规模互联网终端部署及开放的无线传输环境，不仅面临传统互联网的安全问题，也面临着诸如接入鉴权、信息泄露、接入认证绕过、无线传感器节点防伪等安全威胁。因此，基于NB-IoT网络的物联网安全防护研究已成为NB-IoT商用部署进程中迫切需要关注的焦点。

　　2 基于NB-IoT网络的物联网架构概述

　　2.1 NB-IoT技术

　　NB-IoT是3GPP标准组织于2015年提出的窄带蜂窝物联网技术，是一种长距离无线通信技术。NB-IoT物理层设计大部分沿用LTE系统设计，如上行采用SC-FDMA，下行采用OFDM技术，核心网部分基于S1接口连接建立，能够实现平滑升级，是LTE的一项重要增强技术，同时与LTE、LTE-U并称为5G的3个标准，对5G技术的发展起着重要作用。NB-IoT的具体技术特点如下。

　　（1）广覆盖

　　NB-IoT广覆盖能力是因为应用窄带技术能够调度小颗粒资源，通过窄带可以获得17dB增益，另外通过重传技术获得额外的9dB~12dB（8~16次重传）。因此，NB-IoT比现有的GSM/LTE网络增益20 dB，覆盖面积扩大100多倍，且室内覆盖效果更优，有效提升了网络覆盖范围。

　　（2）支持海量连接

　　基于NB-IoT业务对时延不敏感，可以设计更多的用户接入。另外，NB-IoT因其基于窄带技术，调度颗粒小很多，资源利用率高，因此能够实现每个扇区支持10万个连接，为业务的海量接入提供契机。

　　（3）低功耗

　　基于NB-IoT技术，物联网终端在发送数据包之后，立刻进入休眠状态，等到有上传数据请求时，会唤醒自己，随后发送数据，然后又进入睡眠。按照NB-IoT终端的行为习惯，会达到99%的时间在休眠状态，使得功耗非常低，经实验室模拟其待机时间可长达10年，能够有效降低维护成本，有利于大规模终端部署。

　　（4）低成本

　　NB-IoT能够在现有的网络基础上直接部署，有效地降低终端部署成本；且功耗低，使用年限及维护成本低，为NB-IoT的大规模应用提供有力支持。

　　2.2 NB-IoT物联网体系架构

　　物联网具有形式多样、技术复杂等特点，其体系架构按照功能不同，自上而下可分为顶层（应用层）、中间层（网络层）、底层（感知层）。应用层提供丰富的基于物联网的应用，是物联网发展的根本目标；网络层是实现物联网的基础设施，即广泛覆盖的通信网络，负责将感知层采集的数据接入互联网并传输到应用层，连接物联网的感知层和应用层；感知层实现物联网全面感知的核心技术，实现数据的感知、采集、分析及处理。

　　NB-IoT作为物联网领域新兴技术，因其广覆盖、低功耗、海量连接的特点受到广泛关注，本文介绍具有“云-管-端”全方位布局的NB-IoT物联网体系架构（见图1）。

　　图1 NB-IoT物联网体系架构图

　　（1）云端集中部署了OneNET平台，向下接入分散的物联网网络层，应用汇集传感数据，向上层应用服务提供商提供应用开发的基础平台和面向底层网络的统一数据接口，支持具体的基于传感数据的物联网应用。能够提供“海量连接”“数据存储”“设备管理”“应用孵化”“能力输出”“信息发布”“数据监控”“数据分析”等功能，目前接入设备已超过千万，覆盖交通物流、智能安防、智慧城市等八大行业。

　　（2）管道侧智能连接基于NB-IoT无线技术，包括NB-IoT基站和NB-IoT核心网，建立物联网专网，提供各种网络接入，并为感知层获取的信息数据提供数据传输通道，具有开放式互联特点，面临网络攻击等安全威胁。

　　（3）端侧即物联网感知层，包括NB-IoT通信模组集成芯片、外围电路、各类接口等，内置嵌入式软件，提供NB-IoT通信能力，能够广泛应用于智慧城市、公共产业、农业等场景。随着物联网技术的不断革新，NB-IoT终端将进行大规模部署，然而NB-IoT终端本身防护能力较弱，会面临恶意节点伪造及攻击等安全问题。

　　3 基于NB-IoT网络的物联网安全防护

　　根据NB-IoT物联网体系架构图，将详细分析NB-IoT系统面临的安全问题，并针对具体的安全威胁提供安全防护措施，设计了NB-IoT网络安全防护架构图，对推动NB-IoT的商用部署进程起到重要的作用。

　　3.1 业务平台及业务安全防护

　　物联网业务平台位于“云-管-端”体系架构的云端，处于NB-IoT网络的上层，主要包含业务平台安全和业务安全两方面。

　　在业务平台安全方面，主要面临系统漏洞、客户信息数据泄露等传统安全问题。因此，应定期对系统软件更新，进行安全基线检查；对平台间接口的合法进行校验和设置访问权限黑白名单机制；加强不良信息管控，强化数据安全防护，使用加密技术提高数据自身安全，当对外数据开放时须进行数据脱敏处理；同时，加强人员权限控制，减少数据越权访问，运用大数据分析等手段开展用户行为分析，监测异常访问和数据外泄。

　　在业务安全方面，NB-IoT业务接入会面临带病入网、恶意欺诈等安全威胁。因此，从管理角度，应在规划、建设、运行过程中严格遵循“三同步”要求，同步开展安全规划、安全建设、安全运行；从业务管控角度，应在物联卡运营和日志留存两个方面做好安全防护，主要体现在：应使用4A管理平台，实现认证、账号、授权和审计的统一管理；物联卡在进行业务开通及使用中，应遵循“功能最小化原则”；应支持认证登录、互联网访问信息的留存。

　　3.2 NB-IoT网内安全防护

　　NB-IoT网络是“云-管-端”体系架构中管道侧重要的无线连接方式，是连接业务平台和终端设备的桥梁，NB-IoT网络将终端设备采集的数据传输到相关的业务平台。NB-IoT无线接入网架构由一个或多个基站（eNB）组成，基站通过S1接口连接到核心网EPC或物联网专有EPC，NB-IoT基站之间可以通过X2接口连接（见图2）。

　　图2 NB-IoT网络架构

　　NB-IoT网内安全主要涉及网络接入安全、数据传输安全及网络异常流量等方面，为有效提高NB-IoT网内安全，应做到以下几个方面。

　　（1）加强接入认证

　　NB-IoT网络应加强与用户设备（User Equipment，UE）的双向身份识别和认证，提高接入认证强度、完善上网日志留存等网络层面溯源手段。

　　其原理为：UE和移动管理实体（Mobility Management Entity，MME）应产生并共享一个中间密钥KASME，MME应能向UE分配一个唯一临时标识（Globally Unique Temporary UE Identity，GUTI），以保护用户身份的机密。当MME不能根据GUTI识别用户身份时，应当由MME发起用户识别身份标识流程，向用户请求永久身份标识（International Mobile Subscriber Identification Number，IMSI），完成身份的双向认证。

　　（2）提高传输通道安全

　　保证NB-IoT网络数据传输安全，采用密码复杂程度较高的算法对传输通道进行加密，防止用户数据在传输过程中遭到中间人、重放攻击，避免用户数据被窃取、篡改，有效保证数据的机密和完整。此外，为防止遭到DDoS拒绝服务攻击，提高NB-IoT网络安全防护能力，应部署网络安全防护手段，加强核心网与互联网边界安全，采用纵深防御模式，通过多层防护、多点联动等方式实施全面安全防护，有效保证数据的可用。

　　3.3 物联网终端设备安全防护

　　物联网终端设备位于“云-管-端”体系架构的端侧，处于NB-loT网络的底层，是最直接接触用户的部分，因此容易发生客户信息及用户数据泄露风险。此外，由于NB-IoT终端设备成本较低，并缺少相应的日常安全检测手段，物联网终端设备容易存在硬件、系统、应用等方面的漏洞。为有效加强物联网终端设备安全防护，应做到以下两个方面。

　　（1）加强敏感信息管控

　　对于支持外围接口的物联网终端设备，应当向用户提示，仅当授权用户确认本次连接时，连接才可以建立；对于支持外置存储设备的物联网终端设备，应限制非授权应用软件对外置存储设备的访问，终止非授权实体的访问行为，并提供授权用户可察觉的报警功能。

　　（2）建立日常安全检测手段PG电子

　　定期检查终端设备安全，及时发现终端脆弱，对自有设备及时整改，对用户设备及时提醒；定期对系统安全漏洞进行修复和加固升级，系统不应存在官方或权威机构发布的已知漏洞，增加安全启动认证，遵从权限最小化原则。

　　4 基于NB-IoT网络的物联网安全防护架构设计

　　基于对NB-IoT网络安全防护分析研究，并按照“云-管-端”体系架构和物联网“应用、网络、感知”3层结构，提出了一种基于NB-IoT网络的物联网安全防护架构模型（见图3）。

　　图3 物联网安全防护架构模型

　　如图3所示，安全防护架构模型分为NB-IoT感知层、NB-IoT网络层和NB-IoT应用层。

　　（1）NB-IoT感知层主要负责对物联网终端设备的数据采集，涉及对物联网终端安全的防护，物联网终端设备主要存在物理硬件安全、相关系统及应用版本较低、未对用户敏感信息有效管控等问题。因此，本层应采取隐私保护、授权认证、脆弱检查和权限最小化等安全防护措施。

　　（2）NB-IoT网络层是物联网安全防护架构模型的核心，主要负责对物联网终端设备所采集的数据进行接入和传输，主要存在接入认证不强、传输数据窃取泄露和拒绝服务攻击等。因此，本层应加强接入安全和传输安全，采用双向认证技术，并部署抗DDoS攻击清洗设备。

　　（3）NB-IoT应用层是对所采集数据的应用和管理，主要包括业务平台及业务，本层应采取数据脱敏、访问控制、安全同步和日志留存等安全管理和防护措施。

　　5 结束语

　　随着NB-IoT技术的不断发展以及商用进程的不断加快，基于NB-IoT网络的物联网安全防护研究已成为一个热点研究课题。只有解决NB-IoT在业务平台、NB-IoT网络内和物联网终端设备方面的安全问题，确保数据在采集、接入、传输及存储等方面的保密、完整和可用，才能保证NB-IoT的安全可靠，促进物联网的健康发展，推动NB-IoT的商用部署进程。

　　参考文献

　　[1] 金舰, 蒋鑫, 吴星, 等. NB-IoT与eMTC技术对比与发展现状分析[J]. 信息通信技术与政策, 2019(1),89-94.

　　[2] 刘东, 常清雪, 马楠, 等. NB-IoT移动通信技术的应用及安全防护[J]. 信息安全研究, 2018,4(8):728-733.

　　[3] RATASUK R, VEJLGAAD B, MANGALVEDHEN. NB_IoT system for M2M communication[C]. IEEE Wireless Communications and Networking Conference, 2016.

　　[4] KRAIJAK S, TUWANUT P. A survey on IoT architectures, protocols, applications, security, privacy, Real-word implementation and future trends[C]. 11th International Conference on Wireless Communications, Networking and Mobile Computing, 2016.

　　Research and architecture design of the security protection of Internet of Things based on NB-IoT Network

　　LI Qi1，LIU Danni2

　　（1. Network management center, China Mobile Communications Group Jilin Co.,Ltd, Changchun, 130000, China;

　　2.Information and Communication Company, State Grid Jilin Electric Power Company, Changchun, 130000, China）

　　Abstract: With the continuous acceleration of the commercial deployment process of NB-IoT, the research on security protection of Internet of Things based on NB-IoT network has received extensive attention. This paper introduces the technology features and system architecture of the NB-IoT network. And then, it makes a research on the security protection of the business platform and business, NB-IoT network and Internet terminal equipment. Finally, a security architecture model is proposed based on the NB-IoT network.

　　Key words: Internet of Things; NB-IoT; security protection; security architecture

　　作者简介

　　李琦：中国移动通信集团吉林有限公司网络管理中心网络安全工程师

　　刘丹妮：国网吉林省电力有限公司信息通信公司通信网络工程师

　　论文引用格式：

　　李琦，刘丹妮. 基于NB-IoT网络的物联网安全防护研究及架构设计[J]. 信息通信技术与政策, 2020(2):30-34.

　　本文刊于《信息通信技术与政策》2020年第2期

　　声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。