嵌入式UICC远程签约管理安全威胁分析

顾旻霞 刘廉如,2 陈 豪 张忠平 张 尼

1 中国联合网络通信有限公司 北京 100033

2 北京邮电大学 北京 100876

3 中国联通研究院 北京 100032

引言

智能卡作为运营商码号资源的物理载体，是物联网终端设备的重要组成部分，为其接入移动通信网络提供身份认证、安全机制保障，并为装载的各种增值应用提供支撑[1-2]。

物联网业务的快速发展对智能卡提出更高要求，诸如：使用环境更为恶劣，要求智能卡的物理电气特性大幅提高；读写操作更加频繁，要求智能卡有更长的使用寿命和更高的可靠性；大幅颠簸的使用场景，要求智能卡的物理连接触点更加可靠和更耐磨损；终端的小巧便携，要求智能卡须相应减小尺寸；焊接式的安装方式，要求智能卡具备远程下载、配置和更换运营商签约信息等需求。针对物理特性、应用承载和发行管理的新兴需求，嵌入式UICC(embedded Universal Integrated Circuit Card，以下简称“eUICC”)应运而生。

GSMA于2011年2月成立特别工作组，针对eUICC的未来商用用例和技术方向展开研究，发布eUICC远程签约管理的用例和需求，即《Embedded SIM Task Force Requirements and Use Cases》白皮书[3]。该白皮书主要定义了五个核心用例，分别为：新设备配置签约、更换设备签约、批量配置多个M2M设备、终止签约和终端之间转移签约。

1 嵌入式UICC远程签约管理平台架构

参与eUICC远程签约管理的角色包括eUICC制造商(eUICC Manufacturer)、移动运营商(MNO)和远程签约管理平台(SM)，如图1所示。远程签约管理平台是eUICC远程签约管理的核心。

图1 eUICC远程签约管理总体架构

数据准备和数据路由是eUICC远程签约管理平台的两个主要功能模块[4]。其中，数据准备主要负责profile数据包的生成和管理；数据路由主要负责profile数据包和eUICC管理命令等数据的安全传输。

1) 数据准备。数据准备主要负责profile数据包的组织与准备，并且经由数据路由模块提供的安全通道，将profile数据包(包括NAA、文件系统、管理策略和安全域等)下载，并安装到eUICC上。

2) 数据路由。数据路由主要负责为profile数据包和eUICC管理命令提供安全、可靠的传输通道。数据路由通过密钥协商机制生成用于加密传输数据(profile数据包和eUICC管理命令等)所需的密钥，加密后的传输数据经由安全的空中传输通道传送到eUICC。

2 基于矩阵图的安全威胁分析方法

传统的信息系统安全威胁分析方法主要有两种，一是将系统分解成为一个分层架构，以不同的层为研究对象，展开安全威胁研究；二是从系统的业务流程入手，分析核心信息资产在业务流程中流经的实体面临的安全威胁。本文提出了一种基于矩阵图的安全威胁分析方法，如图2所示，矩阵的横向表示系统面临安全威胁的种类，纵向表示系统在业务流程中涉及到的物理实体。下文将以嵌入式UICC远程签约管理为需求场景，使用此方法进行安全威胁的分析。

图2 基于矩阵图的安全分析方法示意图

2.1 嵌入式UICC远程签约管理横向安全威胁

在eUICC远程签约管理平台中，存储并管理运营商的签约信息、安全算法、用户资料等信息，通过与运营商现有支撑系统的接口获取卡片及签约敏感数据(如IMSI、Ki和OPC等)，并通过空中接口向卡片下发，因此存在不同维度的安全威胁。主要包括：接口安全威胁、数据安全威胁和功能安全威胁。

2.1.1 接口安全威胁

在进行远程激活、更换、终止、删除等操作时，eUICC卡与eUICC远程签约管理平台之间涉及到大量敏感数据的传输，传输的敏感数据可能遭到窃听、伪装、篡改等恶意攻击，需要确保各个实体之间数据传输的安全。

eUICC远程签约管理平台主要包括以下两类接口。1)卡上(on card)接口：eUICC与安全路由模块的接口，eUICC与数据准备模块的接口以及eUICC与运营商OTA平台的接口。2)卡下(off card)接口：初始eUICC信息交付接口，eUICC远程签约管理平台间接口以及eUICC远程签约管理平台与MNO间接口。

2.1.2 数据安全威胁

eUICC中保存用户签约信息、安全算法、安全参数、策略控制数据等信息。这些数据是eUICC远程签约管理体系中最重要的无形资产与信息资源，各实体需要频繁访问这些数据来完成各种既定功能，因此对这些数据的管理至关重要。签约信息、各级密钥、安全算法、控制策略规则等是整个体系中最为核心的数据，一旦其受到影响，整个eUICC远程签约管理体系将受到破坏。考虑到密钥和安全算法可能在不同实体之间传输，因此必须设计高强度的安全机制以确保其在传输过程中免受攻击。敏感数据的安全等级分析如表1所示[5]。

表1 敏感数据的安全等级

安全等级用于描述当安全措施失效后对整个eUICC远程签约管理体系的影响程度，其定义如下。等级4：整个系统可能处在商业服务风险中；等级3：受影响的运营方可能遭受强烈的冲击，并危及整体业务；等级2：服务可能会中断，受影响的运营方可能受到暂时影响且受影响的业务是有限的；等级1：服务的影响是有限的(如临时的)，对业务的影响较小。

2.1.3 功能安全威胁

eUICC远程签约管理主要提供三种功能：profile数据包创建、profile数据包传输和profile数据包管理，所有功能都可能受到攻击，主要风险如表2所示。

表2 eUICC远程签约管理功能风险

2.2 嵌入式UICC远程签约管理纵向安全威胁

eUICC远程签约管理架构中包含eUICC、eUICC远程签约管理平台、物联网终端设备等网元实体，上述各网元实体面临的安全威胁如下。

2.2.1 eUICC安全威胁

1) 非授权的profile管理或平台管理。①非授权的profile管理：例如在profile下载之前非法修改profile，或者泄露存储在profile中的网络认证参数。②非授权的卡平台管理： 例如非法终止一个处于激活状态的profile。

这两类威胁又细分为以下四种具体威胁：①泄露/修改eUICC运营商数据容器的内容或功能；②泄露/修改eUICC传输模块的内容或功能；③伪造/拦截/修改/重放运营商卡数据传输的命令或profile数据包；④伪造/拦截/修改/重放安全路由模块传输的命令或信任状。

2) 身份标识篡改。①未授权的身份标识管理；②篡改eUICC ID、eUICC公钥或CI公钥；③修改共享会话密钥的生成函数方法；④身份标识拦截。

3) Profile克隆。攻击者将合法的profile安装到未授权的eUICC上，或者其他未授权载体上(如软SIM)。

4) 未授权的移动网络接入。卡上或卡外的攻击者取代合法profile执行移动网络接入认证。

2.2.2 eUICC远程签约管理平台安全威胁

1) 数据准备模块。嵌入式UICC远程签约管理过程中，数据准备模块涉及到的流程如图3所示[6]。

图3 数据准备模块涉及流程示意图

数据准备模块面临的安全威胁主要包括可用性、机密性及完整性等方面，如表3所示。

表3 数据准备模块的安全威胁

2) 安全路由模块。安全路由模块涉及流程示意图，如图4所示[6]。安全路由模块的主要威胁集中在可用性、保密性和完整性等方面，其具体威胁如表4所示。

图4 安全路由模块涉及流程示意图

表4 安全路由模块的安全威胁

2.2.3 物联网终端设备

物联网终端设备面临的安全威胁包括：1)物联网设备受到物理攻击；2)物联网设备受到欺骗，采集错误的信息(如网络信号质量)；3)如物联网设备有操作系统，可能被攻击者植入恶意代码；4)终端与eUICC、终端与网络通信可被窃听或破坏；5)终端上存储的数据被窃取或破坏。

3 总结

eUICC在未来的物联网业务发展中将扮演重要角色。eUICC远程签约管理可以满足海量物联网设备批量开卡、降低国际漫游成本等行业需求，突破传统的由运营商管控的UICC线性流程管理，改变传统的系统架构和产业链角色，导致了用户关系管理前所未有的复杂和灵活，对现有安全机制产生重大影响。

无论运营商、卡商亦或第三方平台提供商承担eUICC远程签约管理平台的建设者角色，都需要对系统所面临的安全威胁做细致的分析。本文通过一种横纵结合的矩阵图方法，对eUICC远程签约管理面临的安全威胁进行了分析，为进一步规划安全需求、制定安全目标、设计安全框架提供了有力基础。

参考文献

[1]姚海鹏,张智江,刘韵洁.物联网嵌入式SIM卡技术初探[J].信息通信技术,2012,6(5):52-55

[2]张尼,姚海鹏.物联网嵌入式智能卡远程管理技术[J].电信工程技术与标准化,2012,25(6):16-20

[3]GSMA.Embedded SIM Task Force Requirements and Use Cases[S].2011

[4]GSMA.Embedded SIM Remote Provisioning Architecture[S].2013

[5]GSMA.Remote Provisioning Architecture for Embedded UICC Technical Specification[S].2013

[6]GSMA.SAS Standard for Subscription Manager Roles[S].2014