科学研究 RESEARCH
权威发布
caict观点
专家团队
研究领域
科研奖项
CAICT观点
 
您的位置:科学研究>CAICT观点
eSIM安全问题分析及监管建议
0

  物联网的应用推广正在逐步加速,传统SIM卡由于其使用寿命短、操作环境要求苛刻、运营商绑定等特点,无法满足物联网、可穿戴等场景下的通信需求。eSIM(embedded SIM)是一种嵌入式SIM技术,将SIM卡封装在终端设备中不可插拔,用户可通过远程管理平台对eSIM进行生命周期管理。eSIM具备体积小、成本低、环境适应性强、可靠性高等特点,已在物联网终端、可穿戴设备等领域得到了广泛应用。同时,eSIM的应用也引入了新的安全问题。下面概要总结分析eSIM安全问题,并提出相应的监管建议。

  1. eSIM概述

  eSIM的核心思想是将SIM卡硬件生产与运营商卡数据的生产分离,首先将SIM卡硬件预先置入终端设备,用户在使用终端设备时,通过公众通信网络将运营商卡数据从远程服务器下载、安装到终端设备的SIM卡硬件中,然后eSIM卡可以像普通插拔式SIM卡一样使用,完成终端入网鉴权等功能。eSIM卡具备更小的体积、更耐磨损的物理连接、更灵活的远程管理更新机制,能够满足终端设备小型化和轻薄化的需求,适应更加复杂苛刻的外部环境。目前已广泛应用于物联网领域,并逐步向消费电子终端领域扩展。

  2. eSIM安全问题分析

  eSIM在使用激活时通过公众网络以空口传输的方式将eSIM文件下载到终端设备中,并可利用远程管理平台对终端中的eSIM卡进行管理。因此,eSIM技术的应用将增加eSIM文件、用户信息等敏感信息在空中接口的传输,相比于传统SIM卡,eSIM可能面临更多的安全风险:

  (1) 远程管理平台易遭受拒绝服务、信息窃取等网络攻击威胁

  终端需通过远程管理平台下载eSIM文件,因此远程管理平台需提供网络开放接口,极易面临传统网络服务器相同的攻击威胁,例如DDoS攻击,应用层协议逻辑攻击等。远程管理平台存储了大量的eSIM文件,攻击者易通过开放的web接口窃取eSIM文件,增加了eSIM文件被窃取的风险。如果失窃的eSIM文件被用于违法犯罪,还将造成更大的社会问题。

  传统SIM卡上的数据信息完全由运营商管理,运营商对卡数据有绝对的管理权。eSIM在产生、下载、安装、切换签约数据的过程,远程管理平台可能还需要与其它的厂商(如终端企业、虚拟运营企业)的管理平台进行对接,这也会增加eSIM文件被窃取的可能,引发身份盗用、篡改窃听等安全威胁。且电信用户数据作为我国关键基础设施的核心数据,数据源头多样化也将增加了监管挑战。

  (2) 空口传输增加eSIM数据文件等敏感信息泄露风险

  SIM卡用于存储用户信息和密钥,eSIM技术需要将用户信息和密钥封装成eSIM文件从eSIM服务器通过空中接口传输到终端,传输路径包括eSIM终端、运营商移动通信网络、eSIM服务器三部分。因此,引入eSIM技术将增加用户账号信息、鉴权密钥等用户敏感信息在空中接口的传输,增加用户敏感信息泄露的风险。

  (3) eSIM文件在终端上易遭受非法访问和恶意篡改等攻击威胁

  对于传统SIM卡,执行安全功能的算法和数据均在SIM卡内固化存储,整个SIM卡处于一个相对封闭的物理环境,不易受到外界攻击,具有一定的安全保障。对于eSIM,运营商数据等eSIM文件需经智能终端存储并写入相应的芯片或存储区,eSIM需要开放更多的访问接口。另外,智能终端通常搭载开放环境的操作系统,数据在智能终端上的传输、读写过程中易遭受非法访问或恶意篡改等攻击威胁,导致eSIM信息泄露。

  3. eSIM安全监管建议

  eSIM将在未来移动通信业务中扮演重要角色,同时其安全性问题也受产业链各方的广泛关注。针对目前eSIM发展态势及产业生态所面临的安全问题,我们应做好顶层设计,产业链各方应采取措施积极应对。

  第一,加快技术标准制定工作,引导产业积极提升eSIM安全水平。鉴于eSIM产业、技术要求都处在起步阶段,缺乏安全技术标准。建议在现有CCSA、TAF等相关标准的基础上,针对eSIM的特点,制定并明确eSIM在用户数据保护、数据传输、云平台安全方面的技术要求,引导和鼓励企业加大eSIM安全方面加大研究投入,提高eSIM产品的安全水平。

  第二,完善检测手段,加强eSIM安全检测。加强eSIM安全检测技术手段建设,积极推动检测相关标准和技术手段研究工作。检测机构需不断跟进eSIM技术发展,完善相关技术标准及产品验证方法,提高eSIM安全检测技术水平和专业技术力量。

  第三,积极宣传,提高企业和用户安全防范意识。指导企业严格落实eSIM安全技术系列标准,提高eSIM安全防护能力。同时,充分利用各种渠道,对eSIM以及终端的安全风险进行广泛宣传,积极引导用户加强自我保护意识。


  个人简介:翟世俊,就职于中国信息通信研究院泰尔终端实验室,工学博士,主要从事智能终端、移动应用相关的安全技术研究以及相关标准的制定工作。

  联系地址:北京市海淀区花园北路52号泰尔终端实验室

  邮箱:zhaishijun@caict.ac.cn


国家高端专业智库 行业创新发展平台
欢迎关注中国信息通信研究院(工信部电信研究院)公众账号!
微信号:工信部电信研究院CATR

Copyright © 2008-2013 中国信息通信研究院(工业和信息化部电信研究院)版权所有

京ICP备09013372号 京公网安备11010802010351号       网站声明       联系我们