《M2M通信.薛建彬译.10》由会员分享,可在线阅读,更多相关《M2M通信.薛建彬译.10(37页珍藏版)》请在金锄头文库上搜索。
1、M2M技术基础第十章 M2M通信中的智能卡主要内容10.2 M2M通信的安全性及隐私问题 10.3 采用基于硬件的安全解决方案的 理由 10.4 独立安全要素及可信环境 10.5 M2M环境下特定智能卡属性 10.6 智能卡在M2M环境中的未来演变 10.7 M2M的安全要素的远程管理本章内容本章探讨如何以最好的方式来应对M2M方面日益 敏感的安全和隐私问题,同时最大限度地减少终 端设备和管理基础设施的成本。10.2 M2M通信的安全性及隐私问题在网络层面,需要以负担得起的方式对大量的连 接设备进行有效管理,并可使用官博和多播技术 加强对设备管理基础设施与组寻址能力需求的建 立。在设备层面,M
2、2M通信设备本身可以是复杂系统 的一部分,其不容易接入。在其他情况下,业主 机构无人值守该设备和/该设备位于难以到达的地 方,其造成的结果是派维修人员将过于昂贵。因此,当考虑预见的M2M应用的广泛多样性时, 需要重新考虑应用于常规移动终端的一些假设:l现有设备相关的服务订阅应防止被一些意想不 到的目的重新使用。l一些规章进一步要求不论用户决定什么时候更 改提供商,都应在字段中交换订阅数据。以上突出强调了一个事实,即对于处理M2M应用 的巨大差异性没有一个“通用”的解决方案。评估 最适合的解决方案需要考虑市场的具体情况。而 安全的远程管理功能提供的灵活性应成为M2M网 络中的战略性方案。在M2M
3、环境中往往需要特定设备的特性,如: 设备寿命:在某些领域如智能计量,期望设备寿 命可长达20年。 环境条件:存储和操作温度或湿度,以及暴露于 化学腐蚀之下多种情况,如碱性空气或如冲击和 振动的机械约束条件。一些M2M应用需要更高的安全性: 如智能电网或医疗设备,在安全性(和可靠性) 方面比普通通信服务有更迫切的需求,因为它们 会影响更重要的人类需求。最后,从用户周围的设备(如家庭能源、水表、 汽车和医疗设备)中手机数据量的增加有可能危 害个人隐私权。10.3 采用基于硬件的安全解决方案的理由理由一:任何基于软件的安全实施,都对潜在的 软件攻击开放,如木马、蠕虫或病毒。理由二:逆向工程技术,导致
4、潜在的敏感秘密组 件如算法、私钥和其他被假设是安全信息的暴露 。因此基于硬件的机制总是需要提供足够的保护。 这包括简单的物理攻击无法读取或改变的防篡改 存储器,对重要操作进行保密的物理保护机制, 以及免于传统攻击的硬件探测器。我们可以进一步将基于硬件的安全解决方案分为 三类: 可移动的独立安全要素;如SIM卡 固定的独立安全要素;usb身份锁 嵌入式(非独立)硬件10.4 独立安全要素及可信环境在一个开放平台上,对敏感数据进行安全的存储 、处理、输入和输出是至关重要的。这就是为什 么出现确保通用计算平台安全的举措的原因,如 可信计算机组(TCG)。TCG(Trusted Computing G
5、roup)可信计算组织,1999年由 Compaq、HP、IBM、Intel和Microsoft牵头组织TCPA( Trusted Computing Platform Alliance),已发展成员190家, 遍布全球各大洲主力厂商。TCPA专注于从计算平台体系结构上 增强其安全性,并于2001年1月发布了可信计算平台标准规范。 2003年3月TCPA改组为TCG(Trusted Computing Group),其 目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的 可信计算平台,以提高整体的安全性。 TCG组织制定了TPM(Trusted Platform Moudle)的标准,很
6、 多安全芯片都是符合这个规范的。而且由于其硬件实现安全防护 ,正逐渐成为PC,尤其是便携式PC的标准配置。l已制定的安全标准一般很少有适用于通信模块 或M2M设备的 l不同实现的功能也不尽相同 l漫游时,会涉及不同的服务提供商,在现代通 信网络中,安全链中最薄弱的连接由一个服务 提供商造成,其可能会影响到所有相关的服务 提供商。另一方面,独立安全要素,如智能卡,即使在字 段中设备部署之后,它也可以安全地将新的应用 程序化并更新,这都要归功于虚拟机的支持,如 JavaCard平台。l服务提供商的远程管理数据必须与设备的配置 和应用管理无关。 l保护服务提供商资产的加密算法必须与设备制 造商无关。
7、在M2M背景下,设备或其安全模块认证程序面临 以下困难: 定义边界部分的安全; 定义每个特殊行业的特定保护配置文件; 安全目标范围的风险可能比较大;为了确保安全要素的完整性,至关重要的是确保 供应商方面制造环境的安全性。在最初的设备制造期间,必须要执行可信凭据的 一些配置,以使服务提供商可以信任的设备能够 高呼自己接入凭据的安全容器。为了防止这些凭据暴露,需要验证所有的人、设 施和线管操作凭据的进程,以在字段中提供值得 信赖的设备进行准备工作。智能卡模型的优点ETSI TC SCP已制定应用无关的UICC平台提供 用于将独立安全要素嵌入M2M设备的通用的多应 用智能卡平台。此平台提供了一个可远
8、程管理的高度安全环境, 并将向本地连接设备提供安全服务;UICC本身作 为一个安全应用平台执行管理功能。世界各地的许多国家已证明,基于智能卡的单独 配置提供的灵活性对于上述技术的成功配置起到 了促进作用。10.5 M2M环境下特定智能卡属性UICC Universal Integrated Circuit Card通用集成电路卡是定义了物理特性的智能卡的总称。作 为3G用户终端的一个重要的、可移动的组成部分, UICC主要用于存储用户信息、鉴权密钥、短消、付费方 式等信息。在3G用户终端的入网测试中,要求满足 UICC的一致性测试要求。UICC的一致性测试包括物理 特性、电气特性和传输协议测试
9、等几个方面,其中传输 协议测试涉及到对UICC的文件访问和安全操作。 ISO/IEC国际化标准组织制定了一系列的智能卡安全特 性协议,以确保3G用户终端对UICC文件的安全访问。UICC引入了多应用平台的概念,实现了多个逻辑应用同 时运行的多通道机制。在UICC中可以包括多种逻辑模块 ,如用户标识模块(Subscriber Identity Module, SIM)、通用用户标识模块(Universal Subscriber Identity Module,USIM)、IP多媒体业务标识模块( IP Multi Media Service Identity Module,ISIM),以 及其他
10、如电子签名认证、电子钱包等非电信应用模块。 UICC中的逻辑模块可以单独存在,也可以多个同时存在 。不同的3G用户终端可以根据无线接入网络的类型,来 选择使用相应的逻辑模块。使用可移动的UICC的优势有两点: 服务订阅的复杂性;安全模块可以升级;M2M安全要素分布及物流影响 对于非移动UICC,物流和部署与传统可移动智能 卡有很大的不同。这样安全要素一般不交付于服 务提供商,但交付于将其纳入M2M设备的M2M设 备制造商。为了进一步降低成本: 在配置过程中减少智能卡成本;重复使用智能卡并向毛细网络中的多台设备提供 安全性。减少网络方面的成本。10.5.2 UICC抗环境制约可以在各种环境中使用
11、M2M设备,如某些M2M设 备可用于极端温度、湿度、化学成分或机械暴露 的环境。使用寿命 由于各种使用情况和市场模型各不相同,故M2M 设备期望的寿命从两年至20年不等。l存储和工作温度暴露-25+85 -40+85 -40+105 -40+125暴露于湿度之中的生产和寿命在制造过程中,湿度、回流条件分类适用于固定 的UICC 在潮湿环境下的工作状况在碱性气体中的腐蚀用于无人值守设备的自适应卡应用工具包主要考虑的是,移动电话业务中依赖于移动手机 的用户界面启用的客户互动的许多增值服务,另 一方面,大部分M2M设备是无人值守的,尤其在 工业应用中,并且有些M2M设备没有界面功能。使用工具包命令到
12、达UICC外围设备 要考虑到的另外一个因素是M2M设计可能会与手 机设计在一些方面有所不同。第三方应用的安全及远程管理M2M和移动通信方之间的另一个区别是,参与 M2M业务协议的一些实体,如M2M服务提供商和 接入网络运行商。10.6 智能卡在M2M环境中的未来演变l基于集成电路的M2M服务标识模块应用基于UICC应用管理接入M2M服务层的规范仍有 待于在ETSI SCP内进行完善。此“M2M服务识别 模块”应用联通网络接入应用可以相同的方式在 同一UICC内进行操作。lUICC的互联网协议集成 分配一个IP地址使其集成与主机终端的本地IP网 络,而无需用户交互。 在是网络上发布和查找可用的服
13、务。 在设备中通过TCP/IP解决设备和应用问题。10.7 M2M的安全要素的远程管理ETSI SCP和GlobalPlatform规范已使用IP连接 或无线网络载体实现了智能卡的安全远程管理功 能。在当前标准下,现有UICC远程管理协议具有局限 性,其需要在M2M背景下进行解决。l现场远程管理订阅l在这些嵌入式安全要素上,也需要以安全远程 的配置方式接入凭据,并在现场发行之后,管 理服务提供商的订阅变化,并可能在寿命期间 不止一次地进行这种方式。l标准化工作l目前,ETSI SCP正对嵌入式UICC的远程个性 化和订阅管理方案进行标准化。l预期效益l安全要素的分布成本降低 l安装之后才具有订阅费用 l具有更大的订阅灵活性 l对所有属于同一组的订阅做大量有效地变化。
