張曼君+馬錚+張小梅

【摘要】 隨著各類智能技術(shù)的發(fā)展，信息服務(wù)的快速推進(jìn)，萬物互聯(lián)已從概念走向現(xiàn)實(shí)，物聯(lián)網(wǎng)正步入快速發(fā)展期。隨著業(yè)務(wù)的發(fā)展，更多物聯(lián)終端的接入，物聯(lián)網(wǎng)鏈接數(shù)增長迅速。由于物聯(lián)網(wǎng)終端數(shù)量大，體積小、低功耗的特殊性，安全問題將成為物聯(lián)網(wǎng)業(yè)務(wù)健康發(fā)展的關(guān)鍵。電信運(yùn)營商作為業(yè)務(wù)網(wǎng)絡(luò)的承載著和業(yè)務(wù)提供者，在保證物聯(lián)網(wǎng)安全方面責(zé)無旁貸。文章從安全業(yè)務(wù)范圍、網(wǎng)絡(luò)安全機(jī)制和業(yè)務(wù)數(shù)據(jù)隱私保護(hù)3方面分析了運(yùn)營商能夠提供的物聯(lián)網(wǎng)業(yè)務(wù)安全保障。

【關(guān)鍵詞】 物聯(lián)網(wǎng)業(yè)務(wù) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)運(yùn)營商

一、運(yùn)營商支撐物聯(lián)網(wǎng)安全業(yè)務(wù)的范圍

不同的物聯(lián)網(wǎng)業(yè)務(wù)資產(chǎn)需要不同安全保護(hù)措施，因此物聯(lián)網(wǎng)業(yè)務(wù)提供商需要進(jìn)行風(fēng)險(xiǎn)和隱私保護(hù)評(píng)估，以確認(rèn)業(yè)務(wù)的安全需求。網(wǎng)絡(luò)運(yùn)營商和物聯(lián)網(wǎng)業(yè)務(wù)提供商在資產(chǎn)保護(hù)方面經(jīng)常會(huì)有共同的安全需求，而且網(wǎng)絡(luò)運(yùn)營商同時(shí)也可以作為業(yè)務(wù)提供商，因此對(duì)他們來說最方便有效的方式是協(xié)商通用的安全解決方案。

運(yùn)營商能夠?yàn)槲锫?lián)網(wǎng)業(yè)務(wù)資產(chǎn)提供的安全服務(wù)包括：1）在物聯(lián)網(wǎng)終端設(shè)備和業(yè)務(wù)平臺(tái)之間傳輸物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)——包括基本的隱私敏感數(shù)據(jù)和商業(yè)開發(fā)數(shù)據(jù)。2）終端節(jié)點(diǎn)設(shè)備中（包括網(wǎng)關(guān)設(shè)備）的安全資產(chǎn)（IMSI等）和網(wǎng)絡(luò)配置（APN、定時(shí)器等）。3）物聯(lián)網(wǎng)業(yè)務(wù)提供商的商業(yè)敏感信息，包括商業(yè)信譽(yù)、顧客數(shù)據(jù)、策略信息、金融數(shù)據(jù)、健康記錄等。4）物聯(lián)網(wǎng)業(yè)務(wù)提供商的商業(yè)架構(gòu)、業(yè)務(wù)平臺(tái)、公司網(wǎng)絡(luò)和其他專用網(wǎng)絡(luò)的參數(shù)信息。5）支撐物聯(lián)網(wǎng)業(yè)務(wù)的運(yùn)營商數(shù)據(jù)中心架構(gòu)，包括公共業(yè)務(wù)、服務(wù)器性能、虛擬化設(shè)施、云設(shè)備。6）通信網(wǎng)絡(luò)架構(gòu)，包括無線接入網(wǎng)、核心網(wǎng)、主干網(wǎng)、基礎(chǔ)業(yè)務(wù)功能（DNS、BGP等）、蜂窩網(wǎng)和固網(wǎng)的接入和匯聚。

二、 物聯(lián)網(wǎng)網(wǎng)絡(luò)安全機(jī)制

網(wǎng)絡(luò)運(yùn)營商需要提供適用且可靠的安全機(jī)制，通信網(wǎng)絡(luò)提供最基本的安全機(jī)制如下：1）識(shí)別和認(rèn)證物聯(lián)網(wǎng)業(yè)務(wù)的實(shí)體（網(wǎng)關(guān)、終端節(jié)點(diǎn)、家庭網(wǎng)絡(luò)、漫游網(wǎng)絡(luò)、業(yè)務(wù)平臺(tái)）對(duì)需要連接和訂購物聯(lián)網(wǎng)業(yè)務(wù)的實(shí)體實(shí)行訪問控制。2）數(shù)據(jù)保護(hù)——保證物聯(lián)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)承載信息的安全性（機(jī)密性、完整性、可用性、可靠性）和隱私性。3）提供流程和機(jī)制——保證網(wǎng)絡(luò)資源的可用性，保護(hù)其免于遭受攻擊（提供防火墻、入侵檢測(cè)和數(shù)據(jù)過濾技術(shù)）。

2.1安全識(shí)別

身份識(shí)別包括向物聯(lián)網(wǎng)業(yè)務(wù)實(shí)體提供唯一的身份標(biāo)識(shí)，且將電子身份與實(shí)際身份進(jìn)行關(guān)聯(lián)。在向物聯(lián)網(wǎng)業(yè)務(wù)提供連接的蜂窩網(wǎng)絡(luò)中，終端節(jié)點(diǎn)設(shè)備用IMSI和IMEI進(jìn)行標(biāo)識(shí)（EIDs也可用于具有eUICC的設(shè)備）。網(wǎng)絡(luò)使用網(wǎng)絡(luò)編碼和城市編碼進(jìn)行標(biāo)識(shí)。安全認(rèn)證是基于安全的身份標(biāo)識(shí)，所以身份標(biāo)識(shí)在認(rèn)證過程中非常重要，因此實(shí)體的身份標(biāo)識(shí)（例如IMSI、IMEI或ICCID）及其在物聯(lián)網(wǎng)業(yè)務(wù)中的使用需要得到保護(hù)，以抵抗非授權(quán)修改、偽造和竊取。物聯(lián)網(wǎng)業(yè)務(wù)提供商遇到的實(shí)際問題是他們的物聯(lián)網(wǎng)業(yè)務(wù)可能需要與多個(gè)物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)通信，需要分別進(jìn)行身份識(shí)別。每個(gè)與物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)建立通信連接的身份都需要物聯(lián)網(wǎng)業(yè)務(wù)提供安全的分配、存儲(chǔ)和管理。對(duì)物聯(lián)網(wǎng)業(yè)務(wù)，網(wǎng)絡(luò)運(yùn)營商建議使用UICC保證終端設(shè)備身份的安全。網(wǎng)絡(luò)運(yùn)營商能夠擴(kuò)展UICC安全存儲(chǔ)功能，使物聯(lián)網(wǎng)業(yè)務(wù)提供商在UICC上存儲(chǔ)與其業(yè)務(wù)相關(guān)的身份。同時(shí)，網(wǎng)絡(luò)運(yùn)營商能夠提供單點(diǎn)登錄業(yè)務(wù)，允許終端設(shè)備只需一次性建立并且證明自己的身份，就可以連接到多個(gè)物聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)。這項(xiàng)業(yè)務(wù)的安全和風(fēng)險(xiǎn)需要跨多個(gè)平臺(tái)來權(quán)衡考慮。

2.2安全認(rèn)證

認(rèn)證可以識(shí)別用戶、進(jìn)程和終端節(jié)點(diǎn)設(shè)備的身份，是訪問信息系統(tǒng)資源需要滿足的首要條件。

網(wǎng)絡(luò)運(yùn)營商能提供這項(xiàng)業(yè)務(wù)，確保與物聯(lián)網(wǎng)業(yè)務(wù)相關(guān)的用戶、應(yīng)用、終端節(jié)點(diǎn)設(shè)備、網(wǎng)絡(luò)和業(yè)務(wù)平臺(tái)得到安全的認(rèn)證。

2.3 安全通信

網(wǎng)絡(luò)運(yùn)營商為廣域蜂窩網(wǎng)和固網(wǎng)提供安全機(jī)制，確保提供一流的通信完整性、機(jī)密性和可靠性。網(wǎng)絡(luò)運(yùn)營商能使用VPN和加密連接，向企業(yè)提供安全的網(wǎng)絡(luò)連接，并對(duì)其進(jìn)行管理。安全通信信道是保證信道上的通信數(shù)據(jù)未經(jīng)數(shù)據(jù)主體的同意不能進(jìn)行處理、使用或傳輸。加密技術(shù)保證傳輸數(shù)據(jù)的安全性，提供機(jī)密性、完整性和可靠性保障。加密方法的選擇要與系統(tǒng)的設(shè)計(jì)一致，要考慮系統(tǒng)中輕量級(jí)的終端節(jié)點(diǎn)設(shè)備、網(wǎng)絡(luò)部分和業(yè)務(wù)。 網(wǎng)絡(luò)運(yùn)營商可以向物聯(lián)網(wǎng)業(yè)務(wù)提供商提供數(shù)據(jù)加密業(yè)務(wù)，確保通信的完整性和網(wǎng)絡(luò)可靠性。傳統(tǒng)的網(wǎng)絡(luò)運(yùn)營商需要提供公用電信基礎(chǔ)設(shè)施或公網(wǎng)和專網(wǎng)混合設(shè)施。網(wǎng)絡(luò)運(yùn)營商能保證對(duì)傳輸?shù)挠脩魯?shù)據(jù)在進(jìn)入公網(wǎng)和離開公網(wǎng)的節(jié)點(diǎn)之間實(shí)施加密。必要時(shí)，運(yùn)營商還可以幫助物聯(lián)網(wǎng)業(yè)務(wù)提供商配置或獲取自身的公鑰證書，確保物聯(lián)網(wǎng)數(shù)據(jù)在運(yùn)營商基礎(chǔ)設(shè)施中傳輸時(shí)的機(jī)密性。

2.4信道可用性

網(wǎng)絡(luò)運(yùn)營商能夠?yàn)槲锫?lián)網(wǎng)業(yè)務(wù)提供商提供網(wǎng)絡(luò)的可用性，最基本的機(jī)制如下：

1.使用許可頻譜。GSMA網(wǎng)絡(luò)運(yùn)營商成員在各自國家許可的專用頻段提供網(wǎng)絡(luò)。使用許可頻段可以保證其他無線技術(shù)的接口干擾最小化。網(wǎng)絡(luò)運(yùn)營商與國家監(jiān)管機(jī)構(gòu)會(huì)協(xié)作搜尋非授權(quán)的干擾源，保證網(wǎng)絡(luò)的可用性不受影響。運(yùn)營商可以在授權(quán)的頻段進(jìn)行網(wǎng)絡(luò)規(guī)劃和運(yùn)營，保障網(wǎng)絡(luò)的覆蓋和容量，向用戶提供最大化的網(wǎng)絡(luò)可用性。

2. 使用標(biāo)準(zhǔn)化的網(wǎng)絡(luò)技術(shù)。GSMA網(wǎng)絡(luò)運(yùn)營商成員使用標(biāo)準(zhǔn)化的網(wǎng)絡(luò)技術(shù)，例如3GPP標(biāo)準(zhǔn)組織制定的GSM、UMTS和LTE。使用標(biāo)準(zhǔn)技術(shù)不僅保證網(wǎng)絡(luò)運(yùn)營商之間的互通，而且保證標(biāo)準(zhǔn)受到最大化的合規(guī)審查。

3.網(wǎng)絡(luò)要經(jīng)過測(cè)試和認(rèn)證。多數(shù)網(wǎng)絡(luò)運(yùn)營商的網(wǎng)絡(luò)要根據(jù)國際測(cè)試標(biāo)準(zhǔn)進(jìn)行測(cè)試和認(rèn)證。網(wǎng)絡(luò)中復(fù)雜的終端設(shè)備和通信模塊也要遵守3GPP測(cè)試規(guī)范。

4. 網(wǎng)絡(luò)拓?fù)浜团渲玫目苫謴?fù)性。運(yùn)營商提供彈性網(wǎng)絡(luò)，建立必要的冗余和隔離，保證最小的宕機(jī)時(shí)間和最大的可用性。所有的網(wǎng)元都需要合理的配置和檢測(cè)，嚴(yán)格確保QoS，滿足服務(wù)等級(jí)協(xié)議。

5.網(wǎng)絡(luò)資源的實(shí)時(shí)監(jiān)測(cè)和管理。運(yùn)營商實(shí)施7天24小時(shí)的網(wǎng)絡(luò)性能實(shí)時(shí)監(jiān)測(cè)，網(wǎng)絡(luò)流量實(shí)時(shí)管理，對(duì)網(wǎng)絡(luò)需求和故障進(jìn)行響應(yīng)。

6.威脅管理和信息共享。GSMA欺詐安全組（FASG）向運(yùn)營商提供公開、接納和可信的網(wǎng)絡(luò)環(huán)境，運(yùn)營商可及時(shí)可靠地分享欺詐、安全情報(bào)和事件的詳細(xì)信息。這個(gè)研究小組對(duì)全球欺詐和安全威脅的情況進(jìn)行評(píng)估，分析網(wǎng)絡(luò)運(yùn)營商和用戶的風(fēng)險(xiǎn)，并且根據(jù)事件的嚴(yán)重性和緊急性給出了應(yīng)對(duì)措施。

7.漫游服務(wù)。由于使用了標(biāo)準(zhǔn)化的網(wǎng)絡(luò)和終端設(shè)備技術(shù)及互聯(lián)服務(wù)，網(wǎng)絡(luò)運(yùn)營商能夠提供網(wǎng)絡(luò)漫游業(yè)務(wù)，進(jìn)一步提升網(wǎng)絡(luò)覆蓋和可用性。

8.終端設(shè)備性能的監(jiān)測(cè)和管理。網(wǎng)絡(luò)運(yùn)營商通過監(jiān)測(cè)接入網(wǎng)絡(luò)終端節(jié)點(diǎn)設(shè)備的性能，對(duì)于使用過多的無線接口或者網(wǎng)絡(luò)流量的設(shè)備進(jìn)行隔離，避免網(wǎng)絡(luò)性能的下降。因此終端設(shè)備需要檢測(cè)，當(dāng)發(fā)現(xiàn)終端設(shè)備的異常行為時(shí)，要及時(shí)斷開連接或升級(jí)固件。

三、 物聯(lián)網(wǎng)業(yè)務(wù)隱私性的保護(hù)

對(duì)于物聯(lián)網(wǎng)的發(fā)展來說，業(yè)務(wù)提供商得到用戶的信任非常重要。業(yè)務(wù)提供商向用戶提供物聯(lián)網(wǎng)業(yè)務(wù)并且收集用戶數(shù)據(jù)。只有用戶感到隱私能得到尊重和保護(hù)時(shí)，才可能信任物聯(lián)網(wǎng)業(yè)務(wù)提供商。當(dāng)前，世界范圍都已經(jīng)建立了運(yùn)營商需要遵守的數(shù)據(jù)保護(hù)和隱私法律。運(yùn)營商可以使用現(xiàn)有的數(shù)據(jù)保護(hù)條例和準(zhǔn)則處理物聯(lián)網(wǎng)業(yè)務(wù)和技術(shù)中的隱私問題。但是，物聯(lián)網(wǎng)業(yè)務(wù)包括運(yùn)營商和業(yè)務(wù)提供商的合作，因此需要有明確的條例和法律適用于物聯(lián)網(wǎng)業(yè)務(wù)，物聯(lián)網(wǎng)業(yè)務(wù)提供商需要執(zhí)行隱私和數(shù)據(jù)保護(hù)條例。運(yùn)營商對(duì)于涉及數(shù)據(jù)的業(yè)務(wù)，需要與業(yè)務(wù)提供商簽訂數(shù)據(jù)處理協(xié)議。對(duì)于物聯(lián)網(wǎng)業(yè)務(wù)的數(shù)據(jù)保護(hù)和安全措施應(yīng)考慮用戶的個(gè)人隱私風(fēng)險(xiǎn)以及個(gè)人數(shù)據(jù)在收集、分發(fā)和使用環(huán)境中的風(fēng)險(xiǎn)。監(jiān)管機(jī)構(gòu)應(yīng)對(duì)風(fēng)險(xiǎn)性行為進(jìn)行干預(yù)。

四、 結(jié)語

網(wǎng)絡(luò)運(yùn)營商由于身份的特殊性，既是物聯(lián)網(wǎng)業(yè)務(wù)的承載者，又可作為物聯(lián)網(wǎng)業(yè)務(wù)的提供者，在保證物聯(lián)網(wǎng)業(yè)務(wù)安全方面具有重要地位，因此應(yīng)從多角度考慮提供安全可靠的保障措施，維護(hù)物聯(lián)網(wǎng)業(yè)務(wù)健康、快速發(fā)展。

參 考 文 獻(xiàn)

[1]IoT Security Guidelines overview document[s] www.gsma.com/connectedliving

[2]IoT Security Guidelines for IoT Service Ecosystem[s] www.gsma.com/connectedliving

[4]IoT Security Guidelines for IoT Endpoint Ecosystem[s] www.gsma.com/connectedliving

[3]IoT Security Guidelines for Network Operators[s] www.gsma.com/connectedliving