透過NB－IoT，看低功耗廣域網(wǎng)背后的安全隱患

第一章 緒論

1．1 LPWAN概述

物聯(lián)網(wǎng)作為戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分，已成為當(dāng)前世界新一輪經(jīng)濟(jì)和科技發(fā)展的戰(zhàn)略制高點(diǎn)之一。物聯(lián)網(wǎng)通信技術(shù)有很多種，從傳輸距離上區(qū)分，可以分為兩類：一類是短距離通信技術(shù)，代表技術(shù)有Zigbee、Wi－Fi、Bluetooth、Z－wave等；一類是廣域網(wǎng)通信技術(shù)，業(yè)界一般定義為LPWAN（Low－Power Wide－Area Network，低功耗廣域網(wǎng)），典型的應(yīng)用場景如智能抄表。

LPWAN技術(shù)又可分為兩類：一類是工作在非授權(quán)頻段的技術(shù)，如Lora、Sigfox等，這類技術(shù)大多是非標(biāo)準(zhǔn)化、自定義實現(xiàn)；一類是工作在授權(quán)頻段的技術(shù)，如GSM、CDMA、WCDMA等較成熟的2G／3G蜂窩通信技術(shù)，以及目前逐漸部署應(yīng)用、支持不同category終端類型的LTE及其演進(jìn)技術(shù)。

作為LPWAN的主要技術(shù)代表，NB－IoT技術(shù)、LoRa技術(shù)逐步成為物聯(lián)網(wǎng)領(lǐng)域的研究熱點(diǎn)，其面臨的安全問題以及安全技術(shù)手段隨之成為重要的研究內(nèi)容。

1．2 LoRa技術(shù)及其體系架構(gòu)

LoRa是LPWAN通信技術(shù)中的一種，是美國Semtech公司采用和推廣的一種基于擴(kuò)頻技術(shù)的超遠(yuǎn)距離無線傳輸方案。這一方案為用戶提供一種簡單的能實現(xiàn)遠(yuǎn)距離、長電池壽命、大容量的系統(tǒng)，進(jìn)而擴(kuò)展傳感網(wǎng)絡(luò)。目前，LoRa 主要在全球免費(fèi)頻段運(yùn)行，包括433、868、915 MHz等。

2015年3月，Semtech公司牽頭成立了開放的、非盈利的組織LoRa聯(lián)盟，一年時間里，LoRa聯(lián)盟已經(jīng)發(fā)展成員公司150余家，整個產(chǎn)業(yè)鏈從終端硬件產(chǎn)商、芯片產(chǎn)商、模塊網(wǎng)關(guān)產(chǎn)商到軟件廠商、系統(tǒng)集成商、網(wǎng)絡(luò)運(yùn)營商等每一環(huán)均有大量的企業(yè)，這種技術(shù)的開放性，競爭與合作的充分性促使了LoRa的快速發(fā)展與生態(tài)繁盛。

LoRa網(wǎng)絡(luò)主要由終端（可內(nèi)置LoRa模塊）、網(wǎng)關(guān)（或稱基站）、Server和云四部分組成。應(yīng)用數(shù)據(jù)可雙向傳輸。

1．3 NB－IoT技術(shù)及其體系架構(gòu)

NB－IoT（Narrow Band－Internet of Things）是2015年9月在3GPP標(biāo)準(zhǔn)組織中立項提出的一種新的窄帶蜂窩通信LPWAN技術(shù)，它基于現(xiàn)有的蜂窩網(wǎng)絡(luò)構(gòu)建，只消耗約180kHz，可直接部署在GSM網(wǎng)絡(luò)、UMTS網(wǎng)絡(luò)和LTE網(wǎng)絡(luò)。其核心是面向低端物聯(lián)網(wǎng)終端（低耗流），適合廣泛部署在智能家居、智慧城市、智能生產(chǎn)等領(lǐng)域。

NB－IoT具有四大優(yōu)勢：一是低功耗，NB－IoT終端模塊的待機(jī)時間可長達(dá)10年；二是低成本，模塊預(yù)期價格不超過5美元；三是高覆蓋，室內(nèi)覆蓋能力強(qiáng)，比現(xiàn)有的網(wǎng)絡(luò)增益高出20dB，相當(dāng)于提升了100倍覆蓋區(qū)域能力；四是強(qiáng)連接，NB－IoT一個扇區(qū)能夠支持10萬個連接。NB－IoT使用授權(quán)頻譜，領(lǐng)先于LoRa等技術(shù)。

第二章 LPWAN安全

2．1 傳統(tǒng)物聯(lián)網(wǎng)與LPWAN物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)系統(tǒng)架構(gòu)通?？梢苑譃楦兄獙?、傳輸層和應(yīng)用層。物聯(lián)網(wǎng)三層架構(gòu)如圖2－1所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖2－1 物聯(lián)網(wǎng)系統(tǒng)三層架構(gòu)

相比較于傳統(tǒng)的物聯(lián)網(wǎng)架構(gòu)，LPWAN物聯(lián)網(wǎng)的安全問題和傳統(tǒng)物聯(lián)網(wǎng)的安全問題并不完全相同。按照物聯(lián)網(wǎng)DCM三個邏輯層次劃分，二者的安全問題相同的部分如圖2－2所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖2－2 傳統(tǒng)物聯(lián)網(wǎng)

和LPWAN物聯(lián)網(wǎng)的安全問題雖然從表現(xiàn)出的結(jié)果來看，二者的安全問題是類似的，但低功耗物聯(lián)網(wǎng)在具體安全問題上又與傳統(tǒng)物聯(lián)網(wǎng)存在較大區(qū)別，主要包括低功耗物聯(lián)網(wǎng)的硬件設(shè)備、網(wǎng)絡(luò)通信方式、以及設(shè)備相關(guān)的實際業(yè)務(wù)需求等方面。例如傳統(tǒng)物聯(lián)網(wǎng)的終端設(shè)備搭載的系統(tǒng)一般具有較強(qiáng)的運(yùn)算能力、使用復(fù)雜的網(wǎng)絡(luò)傳輸協(xié)議和較為嚴(yán)密的安全加固方案、功耗大、需要經(jīng)常充電，而低功耗物聯(lián)網(wǎng)設(shè)備具有低功耗、長時間無需充電、低運(yùn)算能力的特點(diǎn)，這也意味著同類的安全問題更容易對其造成威脅，簡單的資源消耗就可能造成拒絕服務(wù)狀態(tài)。此外，低功耗物聯(lián)網(wǎng)終端設(shè)備在實際部署中，其數(shù)量遠(yuǎn)大于傳統(tǒng)的物聯(lián)網(wǎng)，任何微小的安全漏洞都可能引起更加巨大的安全事故，其嵌入式系統(tǒng)也更加輕量級和更加簡單，對于攻擊者來說，更加容易掌握系統(tǒng)的完整信息。

2．2 應(yīng)用層安全

物聯(lián)網(wǎng)的應(yīng)用層將根據(jù)底層采集的數(shù)據(jù)，形成與業(yè)務(wù)需求相適應(yīng)的、實時更新的動態(tài)數(shù)據(jù)資源庫，為各類業(yè)務(wù)提供統(tǒng)一的信息資源支撐，最終實現(xiàn)物聯(lián)網(wǎng)各個行業(yè)領(lǐng)域的應(yīng)用。應(yīng)用層的安全問題主要有：拒絕服務(wù)攻擊、SQL注入攻擊、APT攻擊、運(yùn)維安全及云間接口風(fēng)險等。

2．3 傳輸層安全

傳輸層也被稱為網(wǎng)絡(luò)層，主要完成接入和傳輸功能，是進(jìn)行信息交換和信息傳遞的數(shù)據(jù)通路，包括接入網(wǎng)與傳輸網(wǎng)兩種。其主要的安全問題有：WEB應(yīng)用漏洞、重放攻擊、通信劫持、訪問鑒權(quán)漏洞以及明文傳輸安全等。

2．4 感知層安全

感知層由各種具有感知能力的設(shè)備組成，主要用于感知和采集物理世界中發(fā)生的物理事件和數(shù)據(jù)。在物聯(lián)網(wǎng)三層架構(gòu)中，又以感知層的安全隱患和問題最為突出，包括固件安全、源碼安全、加密算法等。

相比較于傳統(tǒng)物聯(lián)網(wǎng)，要在LPWAN物聯(lián)網(wǎng)中解決這些安全隱患和問題，需要“對癥下藥”地在低功耗、低帶寬、低運(yùn)算能力的條件下完成。因此，輕量級安全技術(shù)的應(yīng)用則變得至關(guān)重要。圖2－3展示了LPWAN物聯(lián)網(wǎng)感知層的安全問題。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖2－3 LPWAN物聯(lián)網(wǎng)感知層的安全問題

第三章 LPWAN安全技術(shù)

由于基于LoRa和基于NB－IoT的物聯(lián)網(wǎng)終端設(shè)備的系統(tǒng)輕量級、低功耗，其中NB－IoT還具有網(wǎng)絡(luò)低帶寬等特性，傳統(tǒng)的大型系統(tǒng)所具有的安全問題和人機(jī)交互涉及的安全問題范圍將極大的縮小，主要的安全問題都集中在感知層的終端設(shè)備上。同時，基于LoRa和NB－IoT物聯(lián)網(wǎng)均部署海量終端，感知層終端設(shè)備的安全問題將被迅速擴(kuò)大到整個網(wǎng)絡(luò)，其安全威脅不容小覷。因此，安全技術(shù)的研究重心也將圍繞感知層終端設(shè)備的各個方面。

3．1 輕量級加解密算法

由于系統(tǒng)輕量級、低功耗等性能特點(diǎn)，LPWAN物聯(lián)網(wǎng)感知層終端設(shè)備將具有更小的運(yùn)算能力，在通信的過程中，很難在安全性和系統(tǒng)性能做到優(yōu)秀的平衡，也正是由于這個因素，在身份認(rèn)證和數(shù)據(jù)校驗方面也可能存在較大的安全問題，攻擊者可以偽造終端設(shè)備與基站通信，發(fā)送虛假消息等。由此可以看出，安全的數(shù)據(jù)加密對于實際的應(yīng)用有著至關(guān)重要的作用，研究輕量級加解密技術(shù)有著重大的理論和實用價值。

在物聯(lián)網(wǎng)發(fā)展的巨大影響之下，目前已有密碼學(xué)者提出了很多輕量級分組密碼算法。比較知名的輕量級分組加密算法有LBlock、PRESENT、HIGHT、CGEN、MIBS等。LBlock是一種變種Feistel結(jié)構(gòu)的國產(chǎn)加密算法，分組長度是64比特，密鑰長度是80比特，它的硬件實現(xiàn)需要大約1320GE和866．3RAM。PRESENT是典型的SPN類型的超輕量級加密算法，它包含31輪的迭代結(jié)構(gòu)，分組長度是 64 比特，密鑰分為80比特和128比特兩種類型，由于支持迭代，所以能更緊湊的在硬件平臺上實現(xiàn)，效率更高。HIGHT分組長度是64比特，密鑰長度是128比特，它是主要面向硬件的加密算法，支持32輪的中間迭代結(jié)構(gòu)，也是一種低能耗、超輕量級的密碼算法。CGEN是一種基于AES設(shè)計準(zhǔn)則的輕量級加密算法。MIBS是基于Feistel結(jié)構(gòu)和SPN作為輪函數(shù)的輕量級加密算法。

3．2 終端設(shè)備加固

終端設(shè)備安全加固又細(xì)分為3個方面，即終端設(shè)備固件安全、終端設(shè)備與基站的通信安全以及業(yè)務(wù)安全。

（1） 終端設(shè)備固件安全

終端設(shè)備安全研究主要集中在設(shè)備固件及應(yīng)用程序上，目前絕大多數(shù)物聯(lián)網(wǎng)終端設(shè)備的本地應(yīng)用都存在信息泄露和濫用的風(fēng)險，對于數(shù)據(jù)的處理、存儲等過程未經(jīng)加密，終端使用明文固件等。隨著LPWAN的應(yīng)用，雖然終端設(shè)備的固件會更加輕量化，但還是需要對終端設(shè)備采取必要的安全保護(hù)措施。由此可見，新開發(fā)的輕量化LPWAN終端模塊，其協(xié)議棧的實現(xiàn)仍可能存在安全漏洞。另一方面，原有的物聯(lián)網(wǎng)終端設(shè)備廠商在發(fā)布支持LPWAN標(biāo)準(zhǔn)的新設(shè)備時，仍可能沿用之前支持WiFi、藍(lán)牙、ZigBee等協(xié)議的固件，只是新增了對LPWAN的支持，并沒有按照最小化原則來保護(hù)終端設(shè)備。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖3－1 終端設(shè)備固件安全研究

從LPWAN物聯(lián)網(wǎng)終端設(shè)備的整個開發(fā)過程來看，可能出現(xiàn)各種安全漏洞和安全隱患，比如硬件開發(fā)過程中沒有保護(hù)好調(diào)試端口；芯片級開發(fā)存在固件代碼植入、任意代碼執(zhí)行等；運(yùn)用了不安全的弱加密算法；在設(shè)備需要更新升級時未進(jìn)行固件更新檢查、固件完整性檢查；在軟件開發(fā)過程中可能出現(xiàn)的設(shè)備綁定漏洞、敏感信息泄露等安全問題，如圖3－1所示。

發(fā)現(xiàn)LPWAN終端設(shè)備的固件安全問題，提出相應(yīng)的加固方案是解決此類問題的關(guān)鍵。

（2） 終端設(shè)備與基站的通信安全

由于低帶寬、低功耗的性能特點(diǎn)，LPWAN終端設(shè)備將具有更小的運(yùn)算能力，在通信的過程中，傳輸數(shù)據(jù)加密的安全性不能得到保證，甚至不加密。也正是由于這個因素，在身份認(rèn)證和數(shù)據(jù)校驗方面也可能存在較大的安全問題，攻擊者可以偽造終端設(shè)備與基站通信、發(fā)送虛假消息等。設(shè)備與基站通信安全問題如圖3－2所示

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖3－2 設(shè)備與基站通信安全研究

目前，LPWAN物聯(lián)網(wǎng)終端設(shè)備向基站發(fā)送的數(shù)據(jù)采用的傳輸層協(xié)議主要為不穩(wěn)定的無連接的UDP協(xié)議，應(yīng)用層協(xié)議為HTTP、XMPP、MQTT、CoAP等通用協(xié)議。網(wǎng)絡(luò)數(shù)據(jù)通信劫持工具可在終端設(shè)備和基站之間進(jìn)行會話監(jiān)聽，捕獲終端設(shè)備發(fā)往基站的數(shù)據(jù)包，從而完成通信劫持，從劫持的通信報文中提取數(shù)據(jù)，用于安全隱患的分析檢測。

（3） 業(yè)務(wù)安全

作為LPWAN的代表技術(shù)，LoRa和NB－IoT都有覆蓋廣、連接多、速率低、成本低、功耗少等特點(diǎn)，可滿足對低功耗、長待機(jī)、深覆蓋、大容量有所要求的低速率業(yè)務(wù)，適用于靜態(tài)業(yè)務(wù)、對時延低敏感、非連續(xù)移動、實時傳輸數(shù)據(jù)的業(yè)務(wù)場景，業(yè)務(wù)類型主要有以下幾種。

自主異常報告業(yè)務(wù)類型：如煙霧報警探測器，上行數(shù)據(jù)量極?。ㄊ止?jié)量級），周期多以年、月為單位。

自主周期報告業(yè)務(wù)類型：如公共事業(yè)的遠(yuǎn)程抄表、環(huán)境監(jiān)測等，上行數(shù)據(jù)量較?。ò僮止?jié)量級），周期多以天、小時為單位。

遠(yuǎn)程控制指令業(yè)務(wù)類型：如設(shè)備遠(yuǎn)程開啟／關(guān)閉，下行數(shù)據(jù)量極小（十字節(jié)量級），周期多以天、小時為單位。

軟件遠(yuǎn)程更新業(yè)務(wù)類型：如軟件補(bǔ)?。?，上下行數(shù)據(jù)量均較大（千字節(jié)量級），周期多以天、小時為單位。

上述業(yè)務(wù)類型，自主異常報告業(yè)務(wù)和周期報告業(yè)務(wù)中，誤報和漏報是最大的安全問題；遠(yuǎn)程控制指令業(yè)務(wù)可能存在惡意指令的風(fēng)險；遠(yuǎn)程軟件更新業(yè)務(wù)，需要確保更新的加密認(rèn)證。在業(yè)務(wù)安全方面，需要制定合理的心跳控制策略，以確認(rèn)終端設(shè)備的良好；設(shè)備故障時要有完善的故障排查機(jī)制，降低誤報和漏報率；此外還需要制定合理的指令控制策略，以抵御一定程度上的惡意操控等。

3．3 整體安全防護(hù)

LPWAN物聯(lián)網(wǎng)感知層安全問題除了上述提到的內(nèi)容之外，還包括終端的運(yùn)維安全（如心跳策略，業(yè)務(wù)監(jiān)控等）、DoS攻擊（電量消耗、存儲資源消耗、計算資源消耗、電磁干擾、分布式拒絕服務(wù)攻擊DDoS等）、固件升級檢查等一系列安全問題。

在LoRa物聯(lián)網(wǎng)方面，由于采用非授權(quán)的免費(fèi)頻段，LoRa物聯(lián)網(wǎng)的整體安全性主要依靠各組網(wǎng)單位自行提供保障。LoRa Alliance聯(lián)盟目前比較成熟的方案是采用AES加密技術(shù)提供數(shù)據(jù)保護(hù)和身份認(rèn)證，推出的一個基于開源的MAC層協(xié)議的LPWAN標(biāo)準(zhǔn)，即LoRaWAN，其中包括了安全的雙向通信解決方案。其整體安全架構(gòu)如圖3－4所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖3－4 LoRaWAN整體安全架構(gòu)

在NB－IoT物聯(lián)網(wǎng)方面，由于采用了運(yùn)營商授權(quán)的頻段，除了自行構(gòu)建整體安全方案之外，還可以借由運(yùn)營商的大力支持而得到更好的安全保障。其整體安全架構(gòu)如圖3－5所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術(shù)研究

圖3－5 NB－IoT整體安全架構(gòu)

LPWAN物聯(lián)網(wǎng)還未完全成熟，安全性建設(shè)處于起步階段，感知層終端設(shè)備的整體安全體系與其他層次不能完全割離開來，主要研究的問題包括：對終端訪問的身份安全認(rèn)證機(jī)制，有效的防止攻擊者的惡意連接和操作，一定程度上抵御來自網(wǎng)絡(luò)的拒絕服務(wù)攻擊；對固件的完整性驗證機(jī)制，有效的保證終端設(shè)備的正常升級，同時防止攻擊者對終端設(shè)備的偽造等行為；終端運(yùn)維策略的制定，LPWAN的應(yīng)用場景需要考慮無人值守、能力受限等因素，因此還需要設(shè)計和實現(xiàn)對終端設(shè)備的態(tài)勢感知系統(tǒng)，對終端設(shè)備的固件信息、運(yùn)行狀態(tài)等能夠保持掌控。

第四章 結(jié)束語

本文通過研究基于非授權(quán)頻段的LoRa物聯(lián)網(wǎng)技術(shù)以及NB－IoT窄帶物聯(lián)網(wǎng)技術(shù)，重點(diǎn)分析LPWAN物聯(lián)網(wǎng)感知層的安全問題，并針對所面臨的問題，從輕量級加解密算法、終端設(shè)備加固、整體安全防護(hù)三個方面，提出了相應(yīng)的解決方案及關(guān)鍵技術(shù)。