基于non-IP+SCEF技術(shù)增強(qiáng)物聯(lián)網(wǎng)終端安全性的研究

何峣，黃海

（中國(guó)電信股份有限公司廣州研究院，廣東 廣州510630）

基于non-IP+SCEF技術(shù)增強(qiáng)物聯(lián)網(wǎng)終端安全性的研究

何峣，黃海

（中國(guó)電信股份有限公司廣州研究院，廣東 廣州510630）

研究了智能終端安卓系統(tǒng)，提出了基于證書(shū)鏈驗(yàn)證機(jī)制的智能終端安卓系統(tǒng)安全加固方案，并對(duì)安卓原生系統(tǒng)所表現(xiàn)出來(lái)的安全問(wèn)題進(jìn)行深入的分析與研究，比較了采用安全加固的系統(tǒng)較之安卓原生系統(tǒng)在安全性上表現(xiàn)出的優(yōu)勢(shì)。通過(guò)結(jié)合證書(shū)鏈機(jī)制，以完整性驗(yàn)證為核心的安全架構(gòu)，能夠達(dá)到最大限度保護(hù)智能終端安全的目標(biāo)。

物聯(lián)網(wǎng)；安全；非IP；服務(wù)能力開(kāi)放功能

1 引言

隨著物聯(lián)網(wǎng)技術(shù)與業(yè)務(wù)的迅速發(fā)展，針對(duì)物聯(lián)網(wǎng)的安全威脅也日益增大。2016年第三季度，網(wǎng)絡(luò)信息安全處于高防御級(jí)別的美國(guó)，仍然發(fā)生了兩起利用海量物聯(lián)網(wǎng)終端實(shí)施大規(guī)模DDoS攻擊的事件，傳統(tǒng)IP網(wǎng)絡(luò)的安全威脅已延伸到物聯(lián)網(wǎng)領(lǐng)域，敲響了物聯(lián)網(wǎng)終端安全的警鐘。

如何防止海量的物聯(lián)網(wǎng)終端受到攻擊和感染，為非頻繁小數(shù)據(jù)業(yè)務(wù)類型的物聯(lián)網(wǎng)終端構(gòu)建安全防護(hù)體系，避免物聯(lián)網(wǎng)終端僵尸化成為物聯(lián)網(wǎng)發(fā)展過(guò)程中不可回避的問(wèn)題。

2 DDoS攻擊事件分析

分析2016年發(fā)生在美國(guó)的DDos攻擊事件，不難發(fā)現(xiàn)以下問(wèn)題。

2.1 攻擊事件反映出的問(wèn)題

（1）號(hào)稱安全防護(hù)能力最強(qiáng)的國(guó)家也難以防止攻擊事件的發(fā)生

網(wǎng)站以及美國(guó)DNS服務(wù)器提供商Dyn的DNS服務(wù)，均受到了基于IP網(wǎng)絡(luò)的DDoS攻擊，攻擊來(lái)源于受Mirai惡意軟件感染的約5萬(wàn)臺(tái)物聯(lián)網(wǎng)終端組成的僵尸網(wǎng)絡(luò)，攻擊流量高達(dá)600 Gbit/s，導(dǎo)致服務(wù)中斷數(shù)小時(shí)。雖然美國(guó)的網(wǎng)絡(luò)防攻擊能力處于世界領(lǐng)先水平，但也未能有效防止攻擊事件的發(fā)生，近半個(gè)美國(guó)的大型Web網(wǎng)站服務(wù)受到這次攻擊事件的影響?？梢?jiàn)，利用海量物聯(lián)網(wǎng)終端實(shí)施攻擊的威脅相當(dāng)巨大。

（2）傳統(tǒng)IP網(wǎng)的安全威脅已延伸到物聯(lián)網(wǎng)領(lǐng)域

有別于以往手機(jī)類及消費(fèi)電子類智能終端的攻擊，黑客不再局限于以用戶個(gè)體的隱私竊取、支付釣魚(yú)、詐騙以及勒索等直接獲利為目標(biāo)，而是把目光延伸到物聯(lián)網(wǎng)終端，其目的很明確，就是把海量的物聯(lián)網(wǎng)終端構(gòu)建成巨型的僵尸網(wǎng)絡(luò)，用以實(shí)施大型DDoS攻擊，此類攻擊事件往往伴隨著政治目的，其影響已上升到社會(huì)和國(guó)家層面，一旦漫延，造成的惡劣影響和破壞力不容忽視。

（3）受感染終端大多為中國(guó)設(shè)備

在這些受感染的物聯(lián)網(wǎng)終端中，大部分是中國(guó)大華和雄邁公司生產(chǎn)的網(wǎng)絡(luò)攝像頭設(shè)備?？梢?jiàn)，防攻擊能力相對(duì)薄弱的國(guó)內(nèi)物聯(lián)網(wǎng)終端已成為全球黑客的目標(biāo)，如果類似攻擊發(fā)生在國(guó)內(nèi)，情況可能更為嚴(yán)重。

2.2 攻擊原理

綜上分析，不同類型的智能終端或物聯(lián)網(wǎng)終端都有一個(gè)共同特征，就是它們都運(yùn)行著IP協(xié)議棧并直接與IP網(wǎng)絡(luò)通信，暴露在IP網(wǎng)絡(luò)上。黑客通過(guò)IP網(wǎng)絡(luò)，可以輕易發(fā)現(xiàn)并攻擊它們，終端一旦被攻陷，就加入了僵尸網(wǎng)絡(luò)，成為攻擊網(wǎng)絡(luò)的一員，隨時(shí)聽(tīng)候黑客的差遣。黑客的攻擊方式一般有如下兩種。

·黑客通過(guò)IP網(wǎng)絡(luò)直接遠(yuǎn)程攻擊終端，原理如圖1所示。

圖1 基于IP網(wǎng)絡(luò)直接遠(yuǎn)程攻擊終端示意

· 黑客通過(guò)近距離或本地攻擊，先入侵少量終端，以此為跳板，繼而攻擊同一IP子網(wǎng)下的其他終端，原理如圖2所示。

圖2 基于IP子網(wǎng)跳板攻擊終端示意

利用傳統(tǒng)的安全防御措施，無(wú)論是為操作系統(tǒng)和應(yīng)用程序打補(bǔ)丁、關(guān)閉不必要的端口，還是做好賬號(hào)/密碼管理等，都不能完全彌補(bǔ)采用IP通信帶來(lái)的缺陷。

電信運(yùn)營(yíng)商即將大規(guī)模開(kāi)展物聯(lián)網(wǎng)業(yè)務(wù)，使用IP技術(shù)進(jìn)行通信的終端同樣面臨上述安全問(wèn)題。既然專業(yè)的安全防御方法不能從根源上解決問(wèn)題，那么能否換一種思路，從通信網(wǎng)絡(luò)的架構(gòu)切入，挖掘容易被忽略但又能把終端在網(wǎng)絡(luò)中隱藏起來(lái)的方案，黑客找不到這些終端，自然就無(wú)法實(shí)施攻擊了。

3 安全防御方案

3GPP R13版本關(guān)于 NB-IoT（narrow band internet of things，窄帶物聯(lián)網(wǎng)）和 eMTC（enhanced machine type communication，增強(qiáng)機(jī)器類通信）基于蜂窩網(wǎng)的物理網(wǎng)通信系統(tǒng)規(guī)范中，定義了一項(xiàng)新的數(shù)據(jù)通信技術(shù)——non-IP技術(shù)。non-IP技術(shù)在NB-IoT中是必選，在eMTC中是可選。non-IP數(shù)據(jù)重要特征是無(wú)IP分組頭，傳輸效率高，更重要的是，終端可以完全不需要IP協(xié)議棧，這意味著終端可以不暴露在IP網(wǎng)絡(luò)上，從而避免一切基于IP技術(shù)的攻擊和遠(yuǎn)程控制，也意味著黑客沒(méi)有辦法直接驅(qū)使這些海量的非IP化的終端發(fā)動(dòng)基于IP網(wǎng)絡(luò)的DDoS攻擊，從根源上遏制了這些終端進(jìn)入僵尸網(wǎng)絡(luò)。黑客常年以來(lái)積累的諸如端口掃描、腳本注入、SQL注入、密碼窮盡等強(qiáng)大的攻擊工具集（黑客的“核武器庫(kù)”），都將派不上用場(chǎng)，因?yàn)樗鼈兌际腔贗P技術(shù)的，黑客要破解non-IP，不得不從零開(kāi)始研究新的入侵手段和攻擊方案。因此，non-IP的使用，將為物聯(lián)網(wǎng)的大規(guī)模商用發(fā)展贏得相當(dāng)長(zhǎng)的一段安全時(shí)間窗口。下面以NB-IoT系統(tǒng)為例，詳細(xì)介紹這種新型的防御技術(shù)，eMTC系統(tǒng)與之相似。

3GPP R13新增了控制面優(yōu)化（control plane optimization，CP優(yōu)化）和用戶面優(yōu)化（user plane optimization，UP優(yōu)化）兩種數(shù)據(jù)傳輸方案：CP優(yōu)化方案通過(guò)NAS信令傳輸數(shù)據(jù)，減少了終端、空口和核心網(wǎng)的信令開(kāi)銷，并為non-IP的數(shù)據(jù)傳輸增設(shè)了SCEF（service capability exposure function，服務(wù)能力開(kāi)放功能）網(wǎng)元，SCEF在NB-IoT中的具體網(wǎng)絡(luò)位置如圖3所示；UP優(yōu)化方案增加了RRC掛起和恢復(fù)兩種狀態(tài)，減少了空口信令交互。

在終端附著網(wǎng)絡(luò)的過(guò)程中，會(huì)攜帶建立數(shù)據(jù)通道的參數(shù)，這決定了終端在完成附著后，以何種類型的方式進(jìn)行數(shù)據(jù)通信，每種方案對(duì)應(yīng)的參數(shù)配置和數(shù)據(jù)路徑見(jiàn)表1。

由表1可知，方案1、方案4和方案7屬于傳統(tǒng)IP通信方式，終端獲得IP地址并直接接入IP網(wǎng)絡(luò)；方案6只提供短信通信方式，不涉及數(shù)據(jù)通信，不在本文研究范圍內(nèi)；方案2和方案5都屬于non-IP通信，網(wǎng)絡(luò)出口點(diǎn)是PGW；方案3也屬于non-IP通信，但網(wǎng)絡(luò)出口點(diǎn)是SCEF。下面介紹與IP和non-IP相關(guān)的3類方案的機(jī)制、優(yōu)點(diǎn)、缺點(diǎn)、安全性和適用場(chǎng)景。

3.1 控制面或用戶面的IP通信方案（方案1、方案4和方案7）

該類方案通過(guò)控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨(dú)或NAS+PDCP層共同負(fù)責(zé)用戶數(shù)據(jù)安全，PGW為終端分配IP地址，終端具有IP協(xié)議棧并獲得IP地址，網(wǎng)絡(luò)出口點(diǎn)是PGW，終端直接與SCS/AS進(jìn)行IP通信。終端與云端直接IP通信方案如圖4所示，該類方案的優(yōu)/缺點(diǎn)、安全性及適用場(chǎng)景介紹如下。

圖3 NB-IoT網(wǎng)絡(luò)架構(gòu)

表1 附著過(guò)程建立數(shù)據(jù)通道參數(shù)與數(shù)據(jù)路徑對(duì)應(yīng)

·優(yōu)點(diǎn)：基于傳統(tǒng)IP通信，終端側(cè)與云端應(yīng)用開(kāi)發(fā)門檻低；經(jīng)過(guò)優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點(diǎn)：IP技術(shù)的開(kāi)放性導(dǎo)致運(yùn)營(yíng)商仍只承擔(dān)通信管道的角色，難以從海量終端和數(shù)據(jù)中深挖價(jià)值。

·安全性：終端直接與IP網(wǎng)絡(luò)通信，易被黑客發(fā)現(xiàn)并攻擊。

·適用場(chǎng)景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.2 控制面或用戶面的non-IP隧道通信方案 （方案2和方案5）

該類方案通過(guò)控制面NAS信令或者用戶面?zhèn)鬏斢脩魯?shù)據(jù)，NAS層單獨(dú)或NAS+PDCP層共同負(fù)責(zé)用戶數(shù)據(jù)安全，PGW為終端分配IP地址但不分發(fā)給終端 （基于UDP/ IP的PtP隧道），或者不為終端分配IP地址（其他類型PtP隧道），終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡(luò)出口點(diǎn)是PGW，終端經(jīng)過(guò)PGW與SCS/AS通過(guò)IP隧道通信，不直接進(jìn)行IP通信?？刂泼婊蛴脩裘鎛on-IP傳輸+ PGW IP隧道方案如圖5所示，該類方案的優(yōu)/缺點(diǎn)、安全性及適用場(chǎng)景介紹如下。

·優(yōu)點(diǎn)：使用non-IP技術(shù)，用戶數(shù)據(jù)無(wú)IP分組頭，轉(zhuǎn)發(fā)效率高；經(jīng)過(guò)優(yōu)化的控制面和用戶面方案，可減少終端、空口和核心網(wǎng)的信令消耗。

· 缺點(diǎn)：終端側(cè)與云端應(yīng)用需要適應(yīng)新的隧道開(kāi)發(fā)模式；隧道轉(zhuǎn)發(fā)的模式令運(yùn)營(yíng)商仍只負(fù)責(zé)管道運(yùn)營(yíng)。

·安全性：PGW與SCS/AS間建立授信隧道通信，終端不直接與IP網(wǎng)絡(luò)進(jìn)行通信，有效隱藏終端，不易受到黑客攻擊。

· 適用場(chǎng)景：基于控制面的方案適合非頻繁小數(shù)據(jù)傳輸，基于用戶面的方案適合各種類型的數(shù)據(jù)傳輸。

3.3 控制面non-IP能力開(kāi)放方案（方案3）

該類方案通過(guò)控制面NAS信令傳輸用戶數(shù)據(jù)，NAS層負(fù)責(zé)數(shù)據(jù)安全，終端不需要IP協(xié)議棧且不需要獲得IP地址，網(wǎng)絡(luò)出口點(diǎn)是服務(wù)能力開(kāi)放單元SCEF，終端經(jīng)過(guò)SCEF與SCS/AS進(jìn)行API通信?？刂泼鎛on-IP傳輸+SCEF服務(wù)能力開(kāi)放方案如圖6所示，該類方案的優(yōu)/缺點(diǎn)，安全性及適用場(chǎng)景介紹如下。

圖4 終端與云端直接IP通信方案

圖5 控制面或用戶面non-IP傳輸+PGW IP隧道方案

圖6 控制面non-IP傳輸+SCEF服務(wù)能力開(kāi)放方案

· 優(yōu)點(diǎn)：使用non-IP技術(shù)，用戶數(shù)據(jù)無(wú)IP分組頭，轉(zhuǎn)發(fā)效率高；減少了終端、空口和核心網(wǎng)信令消耗；SCEF匯聚了non-IP的終端和數(shù)據(jù)，并以API形式向云端應(yīng)用方提供服務(wù)，而非直接把數(shù)據(jù)轉(zhuǎn)發(fā)出去，運(yùn)營(yíng)商在這個(gè)節(jié)點(diǎn)上可以沉淀數(shù)據(jù)并進(jìn)行大數(shù)據(jù)分析，從中挖掘出具有商業(yè)價(jià)值的信息，由于使用了API形式開(kāi)放服務(wù)，而不是簡(jiǎn)單的數(shù)據(jù)轉(zhuǎn)發(fā)，為實(shí)施更靈活、更多樣化的資費(fèi)策略奠定了基礎(chǔ)，運(yùn)營(yíng)商不再淪為純管道的角色。

· 缺點(diǎn)：終端側(cè)與云端應(yīng)用需要適應(yīng)新的API開(kāi)發(fā)模式。

· 安全性：SCEF引入了non-IP數(shù)據(jù)傳輸授權(quán)檢查技術(shù)，SCEF根據(jù)終端的外部標(biāo)識(shí)或MSISDN，檢查是否為該終端創(chuàng)建了 SCEF承載。SCEF檢查請(qǐng)求non-IP數(shù)據(jù)投遞的 SCS/AS是否被授權(quán)允許發(fā)起 non-IP數(shù)據(jù)投遞，并且檢查該 SCS/AS是否已經(jīng)超出 non-IP數(shù)據(jù)投遞的限額（如24 h內(nèi)允許1000byte），或已經(jīng)超出速率限額（如100byte/h)。只有當(dāng)上述安全檢查通過(guò)后，SCEF才做后續(xù)的投遞工作?；谝陨系陌踩珯C(jī)制，SCEF可以安全地對(duì)3GPP網(wǎng)絡(luò)中的non-IP數(shù)據(jù)與互聯(lián)網(wǎng)云端應(yīng)用方的IP數(shù)據(jù)進(jìn)行轉(zhuǎn)換，有效地在IP網(wǎng)絡(luò)中隱藏了終端，終端不直接與IP網(wǎng)絡(luò)通信，而是在IP網(wǎng)絡(luò)中隱身了，黑客難以對(duì)其實(shí)施攻擊。

· 適用場(chǎng)景：非頻繁小數(shù)據(jù)傳輸。

3.4 方案對(duì)比分析

對(duì)比以上幾類方案，在安全性、傳輸效率、信令優(yōu)化、開(kāi)放性、產(chǎn)業(yè)成熟度以及對(duì)運(yùn)營(yíng)商利弊等方面各有優(yōu)缺點(diǎn)。運(yùn)營(yíng)商希望選擇一種既能解決安全問(wèn)題，也能在商業(yè)模式上打破運(yùn)營(yíng)商純管道運(yùn)營(yíng)角色困局的技術(shù)方案。

物聯(lián)網(wǎng)主要的應(yīng)用場(chǎng)景如自動(dòng)抄表、環(huán)境監(jiān)控、車場(chǎng)管理、智慧城市、物流跟蹤等，其通信特征主要是非頻繁的小數(shù)據(jù)傳輸，此類終端數(shù)量和業(yè)務(wù)規(guī)模相當(dāng)巨大，并涵蓋了大多數(shù)的物聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用場(chǎng)景，運(yùn)營(yíng)商應(yīng)牢牢地抓住這類業(yè)務(wù)。運(yùn)營(yíng)商面對(duì)每一次新技術(shù)選擇時(shí)，除了滿足高效快速開(kāi)展業(yè)務(wù)外，還要兼顧網(wǎng)絡(luò)和業(yè)務(wù)可持續(xù)發(fā)展，過(guò)于開(kāi)放的技術(shù)架構(gòu)雖然能“短平快”地產(chǎn)生規(guī)模效應(yīng)，但也意味著后續(xù)商業(yè)價(jià)值的分流。

綜上所述，基于IP通信的方案（方案1、方案4和方案7），終端暴露于IP網(wǎng)絡(luò)中不能滿足所需要的安全性要求；基于non-IP的隧道方案（方案2和方案5），non-IP技術(shù)能在網(wǎng)絡(luò)中很好地隱藏終端，雖能滿足安全性要求，但隧道模式無(wú)法幫助運(yùn)營(yíng)商突破純管道運(yùn)營(yíng)者的困局。

基于控制面non-IP的能力開(kāi)放方案 （方案3），non-IP技術(shù)能在網(wǎng)絡(luò)中很好地隱藏終端，SCEF也承擔(dān)了non-IP網(wǎng)絡(luò)與IP網(wǎng)絡(luò)之間的安全轉(zhuǎn)換角色，能有效防御來(lái)自IP網(wǎng)絡(luò)的惡意刺探和攻擊，因此，基于non-IP+SCEF的方案能很好地滿足安全要求，也能滿足物聯(lián)網(wǎng)非頻繁小數(shù)據(jù)的主要業(yè)務(wù)需求。從網(wǎng)絡(luò)位置上看，SCEF的定位近似但不等同于物聯(lián)網(wǎng)連接管理平臺(tái)或物聯(lián)網(wǎng)云服務(wù)平臺(tái)，也就是說(shuō)，對(duì)于還沒(méi)擁有成型的連接管理平臺(tái)或云服務(wù)平臺(tái)的運(yùn)營(yíng)商，SCEF也是一種選擇，可幫助運(yùn)營(yíng)商突破純管道運(yùn)營(yíng)的困局，擴(kuò)大管道業(yè)務(wù)以外的利益。non-IP和 SCEF都已經(jīng)在標(biāo)準(zhǔn)層面得到定稿，只要運(yùn)營(yíng)商明確需求并推動(dòng)產(chǎn)業(yè)鏈參與跟進(jìn)，就能有效降低開(kāi)發(fā)與運(yùn)營(yíng)的門檻。

4 結(jié)束語(yǔ)

2016年，運(yùn)營(yíng)商開(kāi)始規(guī)模建設(shè)并試點(diǎn)物聯(lián)網(wǎng)業(yè)務(wù)，物聯(lián)網(wǎng)終端的快速發(fā)展以及網(wǎng)絡(luò)擴(kuò)張所帶來(lái)的安全隱患不可忽視，需要從終端、網(wǎng)絡(luò)和平臺(tái)等各方面尋求綜合解決方案，雖然目前IP技術(shù)仍是主流通信技術(shù)，但從發(fā)生的安全大事件來(lái)看，通過(guò)各種基于IP的傳統(tǒng)防御手段遏止物聯(lián)網(wǎng)終端僵尸化，仍有很大的不確定性。因此，通過(guò)在終端、空口和核心網(wǎng)啟用non-IP技術(shù)，在網(wǎng)絡(luò)出口點(diǎn)部署SCEF網(wǎng)元相結(jié)合的方案，不僅是一種通信方案，還將是解決物聯(lián)網(wǎng)終端僵尸化的安全方案之一，該思路開(kāi)拓了NB-IoT和eMTC在安全領(lǐng)域的全新研究方向，為物聯(lián)網(wǎng)的安全發(fā)展贏得時(shí)間窗口。同時(shí)，運(yùn)營(yíng)商可基于這種物聯(lián)網(wǎng)安全解決方案，打造“安全物聯(lián)網(wǎng)”的品牌，實(shí)現(xiàn)安全差異化，吸引更多的行業(yè)用戶。

[1]3GPP.Architecture enhancements to facilitate communicationswith packet data networks and applications (release 13)：3GPPTS 23.682[S/OL].(2016-12-10)[2016-12-10].https：//www.baidu. com/link?url=ltCYaC0JN0 NkFgyGi6I33 PViwmH78SQ3ytlr OBdA9NEUVHVB9qbNW6eNBN 9yqcIZGfxK 8TWAXU5C-9eGbH-VOK&wd=&eqid=de14 a62d0008d 4210000000 358844583.

[2]3GPP.General packet radio service (GPRS)enhancements forevolved universal terrestrial radio access network(E-UTRAN) access (release 13)：3GPP TS 23.401[S/OL].(2008-10-10) [2016-12-10].http：//www.etsi.org/deliver/etsi_TS/123400_123499/ 123401/08.03.00_60/ts_123401v080300p.pdf.

[3]3GPP.Non-access-stratum (NAS)protocol for evolved packet system (EPS);stage 3(release 13)：3GPP TS 24.301[S/OL]. (2009-03-10)[2016-12-10].http：//max.book118.com/html/2015/ 1019/27540606.shtm.

[4]3GPP.Evolved universal terrestrial radio access (E-UTRA)and evolved universal terrestrial radio access network(E-UTRAN); overall description;stage 2(release 13)：3GPP TS 36.300[S/OL]. (2007-12-10)[2016-12-10].http：//xueshu.baidu.com/s?wd= paperuri：(be81e93a0601e10eb42f7c072c2c2b6a)&filter=sc_long_ sign&sc_ks_para=q%3DEvolved+Universal+Terrestrial+Radio+ Access+%28E-UTRA%29+%3B+LTE+Physical+Layer-General+Description&tn=SE_baiduxueshu_c1gjeupa&ie=utf-8&sc_us=5075368087671280276.

[5]3GPP.Evolved universal terrestrial radio access(E-UTRA);radio resource control(RRC);protocol specification(release 13)：3GPP TS 36.331[S/OL].(2007-12-10)[2016-12-10].http：//xueshu. baidu.com/s?wd=paperuri：(be81e93a0601e10eb42f7c072c2c2b6a) &filter=sc_long_sign&sc_ks_para=q%3DEvolved+Universal+ Terrestrial+Radio+Access+%28E-UTRA%29+%3B+LTE+ Physical+Layer-General+Description&tn=SE_baiduxueshu_ c1gjeupa&ie=utf-8&sc_us=50753680876712 80276.

Research on enhancing the security of IoT terminals based on non-IP and SCEF technology

HE Yao,HUANG Hai
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

Android intelligent terminal system was studied,and Android security reinforcing scheme of intelligent terminal based on certificate chain authentication mechanism was put forward.The security problems that Android system showed were analyzed,and the advantage of the Android security reinforcing scheme was compared with Android system.The certificate chain authentication mechanism played a critical role as protecting the core of the terminals against some intrusion attacks in the security phases.

IoT,security,non-IP,SCEF

TN929

A

10.11959/j.issn.1000-0801.2017035

何峣（1977-），男，中國(guó)電信股份有限公司廣州研究院高級(jí)工程師，主要研究方向?yàn)槲锫?lián)網(wǎng)終端通信、安全、測(cè)試技術(shù)等。

2016-12-11；

2017-01-23

黃海（1973-），男，中國(guó)電信股份有限公司廣州研究院高級(jí)工程師，主要研究方向?yàn)橐曨l流媒體、物聯(lián)網(wǎng)相關(guān)技術(shù)及應(yīng)用。