1、概述
????????物联网终端安全能力依赖于终端上的安全介质,SIM卡是物联网终端上的安全载体之一,具有普适性好、安全性高、实施成本低等特点,是性价比很高的安全载体。
?2、基于SIM卡的终端安全方案介绍
????????下面对SIM卡进行介绍。
2.1 SIM卡简介
????????SIM卡(Subscriber Identification Module),即用户标识模块,是插在手机、穿戴设备以及各种物联网设备中,接入运营商网络过程中的鉴权模块。除了基本的网络鉴权功能以外,SIM卡也可以根据需要对功能进行扩展,包括提供多应用能力,以及各种安全服务,如:加密解密、身份认证等。
????????传统SIM卡的物理形态是插拔卡,而近些年在物联网等领域的需求的推动下,衍生出了芯片形态的SIM卡,即eSIM,eSIM在SIM卡功能的基础上,增加了鉴权数据动态下载的能力。
????????由于SIM卡是接入蜂窝网络必须的身份标识模块,而利用SIM卡的安全能力基本不增加新的硬件成本,因此,对物联网终端来说,SIM卡是一种高性价比的安全介质。
2.2 SIM卡的基础安全能力介绍
????????SIM卡是一张IC卡,IC卡内集成了一块安全芯片,这个安全芯片一方面可以为SIM卡提供登网鉴权过程中的安全运算,同时也可以提供通用的安全能力,包括密码运算、安全存储等,目前主流的安全芯片可以支持各种密码算法,如:3DES、AES、RSA、ECC等国际算法,还可以支持SM1/2/3/4等国家密码算法,从而从硬件层面上支持各种密码运算的场景和需求。
????????SIM卡安全芯片的安全级别高、防攻击能力强,其安全级别达到EAL4+或以上级别,可以防范各种针对软硬件的攻击,尤其是物理攻击,比如:剖片攻击、激光照射,以及各种侧信道攻击,如SPA、DPA等,因此非常适用于在SIM卡上存储敏感信息或者部署高安全应用。
2.3 基于SIM卡的终端认证方案
????????SIM卡的基础能力之一是SIM卡作为用户身份标识以及登网鉴权的安全介质,提供设备的认证能力,包括:短信验证、移动号码认证、GBA等。基于SIM卡也可以提供可扩展的安全认证能力,也就是以SIM卡的安全运算能力为依托,提供扩展的安全认证接口,为终端提供服务,包括信任根的安全存储、安全认证过程中的安全运算、密钥协商等过程。
?2.4 基于SIM卡的通信安全方案
????????SIM卡的安全认证能力的基础上,基于SIM卡的安全运算能力,还可以提供通信安全服务,包括为数据传输提供加解密运算及完整性校验服务,确保数据传输的安全性。
?2.5 基于SIM卡的本地安全存储方案
????????SIM卡具有安全的存储单元,这个存储单元是基于安全芯片的基础能力提供的安全存储,基于该能力可以实现敏感数据的安全写入、数据授权读取等数据安全访问机制,从而可以为物联网终端提供安全存储服务。
????????物联网终端上的密码、密钥、终端ID等敏感信息都可以存储在SIM卡中,从而保证终端上的这些信息不会被恶意篡改、窃取。
3、小结
????????本文针对基于SIM卡这个物联网终端的重要安全载体的安全方案做了介绍,下一篇会对其它方案进行讨论,敬请关注。