透過NB－IoT，看低功耗廣域網(wǎng)背后的安全隱患

第一章 緒論

1．1 LPWAN概述

物聯(lián)網(wǎng)作為戰(zhàn)略性新興產業(yè)的重要組成部分，已成為當前世界新一輪經濟和科技發(fā)展的戰(zhàn)略制高點之一。物聯(lián)網(wǎng)通信技術有很多種，從傳輸距離上區(qū)分，可以分為兩類：一類是短距離通信技術，代表技術有Zigbee、Wi－Fi、Bluetooth、Z－wave等；一類是廣域網(wǎng)通信技術，業(yè)界一般定義為LPWAN（Low－Power Wide－Area Network，低功耗廣域網(wǎng)），典型的應用場景如智能抄表。

LPWAN技術又可分為兩類：一類是工作在非授權頻段的技術，如Lora、Sigfox等，這類技術大多是非標準化、自定義實現(xiàn)；一類是工作在授權頻段的技術，如GSM、CDMA、WCDMA等較成熟的2G／3G蜂窩通信技術，以及目前逐漸部署應用、支持不同category終端類型的LTE及其演進技術。

作為LPWAN的主要技術代表，NB－IoT技術、LoRa技術逐步成為物聯(lián)網(wǎng)領域的研究熱點，其面臨的安全問題以及安全技術手段隨之成為重要的研究內容。

1．2 LoRa技術及其體系架構

LoRa是LPWAN通信技術中的一種，是美國Semtech公司采用和推廣的一種基于擴頻技術的超遠距離無線傳輸方案。這一方案為用戶提供一種簡單的能實現(xiàn)遠距離、長電池壽命、大容量的系統(tǒng)，進而擴展傳感網(wǎng)絡。目前，LoRa 主要在全球免費頻段運行，包括433、868、915 MHz等。

2015年3月，Semtech公司牽頭成立了開放的、非盈利的組織LoRa聯(lián)盟，一年時間里，LoRa聯(lián)盟已經發(fā)展成員公司150余家，整個產業(yè)鏈從終端硬件產商、芯片產商、模塊網(wǎng)關產商到軟件廠商、系統(tǒng)集成商、網(wǎng)絡運營商等每一環(huán)均有大量的企業(yè)，這種技術的開放性，競爭與合作的充分性促使了LoRa的快速發(fā)展與生態(tài)繁盛。

LoRa網(wǎng)絡主要由終端（可內置LoRa模塊）、網(wǎng)關（或稱基站）、Server和云四部分組成。應用數(shù)據(jù)可雙向傳輸。

1．3 NB－IoT技術及其體系架構

NB－IoT（Narrow Band－Internet of Things）是2015年9月在3GPP標準組織中立項提出的一種新的窄帶蜂窩通信LPWAN技術，它基于現(xiàn)有的蜂窩網(wǎng)絡構建，只消耗約180kHz，可直接部署在GSM網(wǎng)絡、UMTS網(wǎng)絡和LTE網(wǎng)絡。其核心是面向低端物聯(lián)網(wǎng)終端（低耗流），適合廣泛部署在智能家居、智慧城市、智能生產等領域。

NB－IoT具有四大優(yōu)勢：一是低功耗，NB－IoT終端模塊的待機時間可長達10年；二是低成本，模塊預期價格不超過5美元；三是高覆蓋，室內覆蓋能力強，比現(xiàn)有的網(wǎng)絡增益高出20dB，相當于提升了100倍覆蓋區(qū)域能力；四是強連接，NB－IoT一個扇區(qū)能夠支持10萬個連接。NB－IoT使用授權頻譜，領先于LoRa等技術。

第二章 LPWAN安全

2．1 傳統(tǒng)物聯(lián)網(wǎng)與LPWAN物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)系統(tǒng)架構通?？梢苑譃楦兄獙印鬏攲雍蛻脤?。物聯(lián)網(wǎng)三層架構如圖2－1所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖2－1 物聯(lián)網(wǎng)系統(tǒng)三層架構

相比較于傳統(tǒng)的物聯(lián)網(wǎng)架構，LPWAN物聯(lián)網(wǎng)的安全問題和傳統(tǒng)物聯(lián)網(wǎng)的安全問題并不完全相同。按照物聯(lián)網(wǎng)DCM三個邏輯層次劃分，二者的安全問題相同的部分如圖2－2所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖2－2 傳統(tǒng)物聯(lián)網(wǎng)

和LPWAN物聯(lián)網(wǎng)的安全問題雖然從表現(xiàn)出的結果來看，二者的安全問題是類似的，但低功耗物聯(lián)網(wǎng)在具體安全問題上又與傳統(tǒng)物聯(lián)網(wǎng)存在較大區(qū)別，主要包括低功耗物聯(lián)網(wǎng)的硬件設備、網(wǎng)絡通信方式、以及設備相關的實際業(yè)務需求等方面。例如傳統(tǒng)物聯(lián)網(wǎng)的終端設備搭載的系統(tǒng)一般具有較強的運算能力、使用復雜的網(wǎng)絡傳輸協(xié)議和較為嚴密的安全加固方案、功耗大、需要經常充電，而低功耗物聯(lián)網(wǎng)設備具有低功耗、長時間無需充電、低運算能力的特點，這也意味著同類的安全問題更容易對其造成威脅，簡單的資源消耗就可能造成拒絕服務狀態(tài)。此外，低功耗物聯(lián)網(wǎng)終端設備在實際部署中，其數(shù)量遠大于傳統(tǒng)的物聯(lián)網(wǎng)，任何微小的安全漏洞都可能引起更加巨大的安全事故，其嵌入式系統(tǒng)也更加輕量級和更加簡單，對于攻擊者來說，更加容易掌握系統(tǒng)的完整信息。

2．2 應用層安全

物聯(lián)網(wǎng)的應用層將根據(jù)底層采集的數(shù)據(jù)，形成與業(yè)務需求相適應的、實時更新的動態(tài)數(shù)據(jù)資源庫，為各類業(yè)務提供統(tǒng)一的信息資源支撐，最終實現(xiàn)物聯(lián)網(wǎng)各個行業(yè)領域的應用。應用層的安全問題主要有：拒絕服務攻擊、SQL注入攻擊、APT攻擊、運維安全及云間接口風險等。

2．3 傳輸層安全

傳輸層也被稱為網(wǎng)絡層，主要完成接入和傳輸功能，是進行信息交換和信息傳遞的數(shù)據(jù)通路，包括接入網(wǎng)與傳輸網(wǎng)兩種。其主要的安全問題有：WEB應用漏洞、重放攻擊、通信劫持、訪問鑒權漏洞以及明文傳輸安全等。

2．4 感知層安全

感知層由各種具有感知能力的設備組成，主要用于感知和采集物理世界中發(fā)生的物理事件和數(shù)據(jù)。在物聯(lián)網(wǎng)三層架構中，又以感知層的安全隱患和問題最為突出，包括固件安全、源碼安全、加密算法等。

相比較于傳統(tǒng)物聯(lián)網(wǎng)，要在LPWAN物聯(lián)網(wǎng)中解決這些安全隱患和問題，需要“對癥下藥”地在低功耗、低帶寬、低運算能力的條件下完成。因此，輕量級安全技術的應用則變得至關重要。圖2－3展示了LPWAN物聯(lián)網(wǎng)感知層的安全問題。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖2－3 LPWAN物聯(lián)網(wǎng)感知層的安全問題

第三章 LPWAN安全技術

由于基于LoRa和基于NB－IoT的物聯(lián)網(wǎng)終端設備的系統(tǒng)輕量級、低功耗，其中NB－IoT還具有網(wǎng)絡低帶寬等特性，傳統(tǒng)的大型系統(tǒng)所具有的安全問題和人機交互涉及的安全問題范圍將極大的縮小，主要的安全問題都集中在感知層的終端設備上。同時，基于LoRa和NB－IoT物聯(lián)網(wǎng)均部署海量終端，感知層終端設備的安全問題將被迅速擴大到整個網(wǎng)絡，其安全威脅不容小覷。因此，安全技術的研究重心也將圍繞感知層終端設備的各個方面。

3．1 輕量級加解密算法

由于系統(tǒng)輕量級、低功耗等性能特點，LPWAN物聯(lián)網(wǎng)感知層終端設備將具有更小的運算能力，在通信的過程中，很難在安全性和系統(tǒng)性能做到優(yōu)秀的平衡，也正是由于這個因素，在身份認證和數(shù)據(jù)校驗方面也可能存在較大的安全問題，攻擊者可以偽造終端設備與基站通信，發(fā)送虛假消息等。由此可以看出，安全的數(shù)據(jù)加密對于實際的應用有著至關重要的作用，研究輕量級加解密技術有著重大的理論和實用價值。

在物聯(lián)網(wǎng)發(fā)展的巨大影響之下，目前已有密碼學者提出了很多輕量級分組密碼算法。比較知名的輕量級分組加密算法有LBlock、PRESENT、HIGHT、CGEN、MIBS等。LBlock是一種變種Feistel結構的國產加密算法，分組長度是64比特，密鑰長度是80比特，它的硬件實現(xiàn)需要大約1320GE和866．3RAM。PRESENT是典型的SPN類型的超輕量級加密算法，它包含31輪的迭代結構，分組長度是 64 比特，密鑰分為80比特和128比特兩種類型，由于支持迭代，所以能更緊湊的在硬件平臺上實現(xiàn)，效率更高。HIGHT分組長度是64比特，密鑰長度是128比特，它是主要面向硬件的加密算法，支持32輪的中間迭代結構，也是一種低能耗、超輕量級的密碼算法。CGEN是一種基于AES設計準則的輕量級加密算法。MIBS是基于Feistel結構和SPN作為輪函數(shù)的輕量級加密算法。

3．2 終端設備加固

終端設備安全加固又細分為3個方面，即終端設備固件安全、終端設備與基站的通信安全以及業(yè)務安全。

（1） 終端設備固件安全

終端設備安全研究主要集中在設備固件及應用程序上，目前絕大多數(shù)物聯(lián)網(wǎng)終端設備的本地應用都存在信息泄露和濫用的風險，對于數(shù)據(jù)的處理、存儲等過程未經加密，終端使用明文固件等。隨著LPWAN的應用，雖然終端設備的固件會更加輕量化，但還是需要對終端設備采取必要的安全保護措施。由此可見，新開發(fā)的輕量化LPWAN終端模塊，其協(xié)議棧的實現(xiàn)仍可能存在安全漏洞。另一方面，原有的物聯(lián)網(wǎng)終端設備廠商在發(fā)布支持LPWAN標準的新設備時，仍可能沿用之前支持WiFi、藍牙、ZigBee等協(xié)議的固件，只是新增了對LPWAN的支持，并沒有按照最小化原則來保護終端設備。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖3－1 終端設備固件安全研究

從LPWAN物聯(lián)網(wǎng)終端設備的整個開發(fā)過程來看，可能出現(xiàn)各種安全漏洞和安全隱患，比如硬件開發(fā)過程中沒有保護好調試端口；芯片級開發(fā)存在固件代碼植入、任意代碼執(zhí)行等；運用了不安全的弱加密算法；在設備需要更新升級時未進行固件更新檢查、固件完整性檢查；在軟件開發(fā)過程中可能出現(xiàn)的設備綁定漏洞、敏感信息泄露等安全問題，如圖3－1所示。

發(fā)現(xiàn)LPWAN終端設備的固件安全問題，提出相應的加固方案是解決此類問題的關鍵。

（2） 終端設備與基站的通信安全

由于低帶寬、低功耗的性能特點，LPWAN終端設備將具有更小的運算能力，在通信的過程中，傳輸數(shù)據(jù)加密的安全性不能得到保證，甚至不加密。也正是由于這個因素，在身份認證和數(shù)據(jù)校驗方面也可能存在較大的安全問題，攻擊者可以偽造終端設備與基站通信、發(fā)送虛假消息等。設備與基站通信安全問題如圖3－2所示

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖3－2 設備與基站通信安全研究

目前，LPWAN物聯(lián)網(wǎng)終端設備向基站發(fā)送的數(shù)據(jù)采用的傳輸層協(xié)議主要為不穩(wěn)定的無連接的UDP協(xié)議，應用層協(xié)議為HTTP、XMPP、MQTT、CoAP等通用協(xié)議。網(wǎng)絡數(shù)據(jù)通信劫持工具可在終端設備和基站之間進行會話監(jiān)聽，捕獲終端設備發(fā)往基站的數(shù)據(jù)包，從而完成通信劫持，從劫持的通信報文中提取數(shù)據(jù)，用于安全隱患的分析檢測。

（3） 業(yè)務安全

作為LPWAN的代表技術，LoRa和NB－IoT都有覆蓋廣、連接多、速率低、成本低、功耗少等特點，可滿足對低功耗、長待機、深覆蓋、大容量有所要求的低速率業(yè)務，適用于靜態(tài)業(yè)務、對時延低敏感、非連續(xù)移動、實時傳輸數(shù)據(jù)的業(yè)務場景，業(yè)務類型主要有以下幾種。

自主異常報告業(yè)務類型：如煙霧報警探測器，上行數(shù)據(jù)量極?。ㄊ止?jié)量級），周期多以年、月為單位。

自主周期報告業(yè)務類型：如公共事業(yè)的遠程抄表、環(huán)境監(jiān)測等，上行數(shù)據(jù)量較?。ò僮止?jié)量級），周期多以天、小時為單位。

遠程控制指令業(yè)務類型：如設備遠程開啟／關閉，下行數(shù)據(jù)量極小（十字節(jié)量級），周期多以天、小時為單位。

軟件遠程更新業(yè)務類型：如軟件補?。?，上下行數(shù)據(jù)量均較大（千字節(jié)量級），周期多以天、小時為單位。

上述業(yè)務類型，自主異常報告業(yè)務和周期報告業(yè)務中，誤報和漏報是最大的安全問題；遠程控制指令業(yè)務可能存在惡意指令的風險；遠程軟件更新業(yè)務，需要確保更新的加密認證。在業(yè)務安全方面，需要制定合理的心跳控制策略，以確認終端設備的良好；設備故障時要有完善的故障排查機制，降低誤報和漏報率；此外還需要制定合理的指令控制策略，以抵御一定程度上的惡意操控等。

3．3 整體安全防護

LPWAN物聯(lián)網(wǎng)感知層安全問題除了上述提到的內容之外，還包括終端的運維安全（如心跳策略，業(yè)務監(jiān)控等）、DoS攻擊（電量消耗、存儲資源消耗、計算資源消耗、電磁干擾、分布式拒絕服務攻擊DDoS等）、固件升級檢查等一系列安全問題。

在LoRa物聯(lián)網(wǎng)方面，由于采用非授權的免費頻段，LoRa物聯(lián)網(wǎng)的整體安全性主要依靠各組網(wǎng)單位自行提供保障。LoRa Alliance聯(lián)盟目前比較成熟的方案是采用AES加密技術提供數(shù)據(jù)保護和身份認證，推出的一個基于開源的MAC層協(xié)議的LPWAN標準，即LoRaWAN，其中包括了安全的雙向通信解決方案。其整體安全架構如圖3－4所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖3－4 LoRaWAN整體安全架構

在NB－IoT物聯(lián)網(wǎng)方面，由于采用了運營商授權的頻段，除了自行構建整體安全方案之外，還可以借由運營商的大力支持而得到更好的安全保障。其整體安全架構如圖3－5所示。

低功耗廣域物聯(lián)網(wǎng)（LPWAN-IOT）安全技術研究

圖3－5 NB－IoT整體安全架構

LPWAN物聯(lián)網(wǎng)還未完全成熟，安全性建設處于起步階段，感知層終端設備的整體安全體系與其他層次不能完全割離開來，主要研究的問題包括：對終端訪問的身份安全認證機制，有效的防止攻擊者的惡意連接和操作，一定程度上抵御來自網(wǎng)絡的拒絕服務攻擊；對固件的完整性驗證機制，有效的保證終端設備的正常升級，同時防止攻擊者對終端設備的偽造等行為；終端運維策略的制定，LPWAN的應用場景需要考慮無人值守、能力受限等因素，因此還需要設計和實現(xiàn)對終端設備的態(tài)勢感知系統(tǒng)，對終端設備的固件信息、運行狀態(tài)等能夠保持掌控。

第四章 結束語

本文通過研究基于非授權頻段的LoRa物聯(lián)網(wǎng)技術以及NB－IoT窄帶物聯(lián)網(wǎng)技術，重點分析LPWAN物聯(lián)網(wǎng)感知層的安全問題，并針對所面臨的問題，從輕量級加解密算法、終端設備加固、整體安全防護三個方面，提出了相應的解決方案及關鍵技術。