设为首页   在线评论   推广技巧   发布求购   免费注册   激活帐号
一卡通世界
当前位置:一卡通世界 >> 新闻中心 >> 专家观点 >> 智能卡 >> 【干货】eSIM安全问题分析及监管建议

【干货】eSIM安全问题分析及监管建议

来源:中国信息通信研究院CAICT      作者:翟世俊      2017-9-5 9:06:27

  物联网的应用推广正在逐步加速,传统SIM卡由于其使用寿命短、操作环境要求苛刻、运营商绑定等特点,无法满足物联网、可穿戴等场景下的通信需求。eSIM(embedded SIM)是一种嵌入式SIM技术,将SIM卡封装在终端设备中不可插拔,用户可通过远程管理平台对eSIM进行生命周期管理。eSIM具备体积小、成本低、环境适应性强、可靠性高等特点,已在物联网终端、可穿戴设备等领域得到了广泛应用。同时,eSIM的应用也引入了新的安全问题。下面概要总结分析eSIM安全问题,并提出相应的监管建议。

  一、eSIM概述

  eSIM的核心思想是将SIM卡硬件生产与运营商卡数据的生产分离,首先将SIM卡硬件预先置入终端设备,用户在使用终端设备时,通过公众通信网络将运营商卡数据从远程服务器下载、安装到终端设备的SIM卡硬件中,然后eSIM卡可以像普通插拔式SIM卡一样使用,完成终端入网鉴权等功能。eSIM卡具备更小的体积、更耐磨损的物理连接、更灵活的远程管理更新机制,能够满足终端设备小型化和轻薄化的需求,适应更加复杂苛刻的外部环境。目前已广泛应用于物联网领域,并逐步向消费电子终端领域扩展。

  二、eSIM安全问题分析

  eSIM在使用激活时通过公众网络以空口传输的方式将eSIM文件下载到终端设备中,并可利用远程管理平台对终端中的eSIM卡进行管理。因此,eSIM技术的应用将增加eSIM文件、用户信息等敏感信息在空中接口的传输,相比于传统SIM卡,eSIM可能面临更多的安全风险:

  (1) 远程管理平台易遭受拒绝服务、信息窃取等网络攻击威胁

  终端需通过远程管理平台下载eSIM文件,因此远程管理平台需提供网络开放接口,极易面临传统网络服务器相同的攻击威胁,例如DDoS攻击,应用层协议逻辑攻击等。远程管理平台存储了大量的eSIM文件,攻击者易通过开放的web接口窃取eSIM文件,增加了eSIM文件被窃取的风险。如果失窃的eSIM文件被用于违法犯罪,还将造成更大的社会问题。

  传统SIM卡上的数据信息完全由运营商管理,运营商对卡数据有绝对的管理权。eSIM在产生、下载、安装、切换签约数据的过程,远程管理平台可能还需要与其它的厂商(如终端企业、虚拟运营企业)的管理平台进行对接,这也会增加eSIM文件被窃取的可能,引发身份盗用、篡改窃听等安全威胁。且电信用户数据作为我国关键基础设施的核心数据,数据源头多样化也将增加监管挑战。

  (2) 空口传输增加eSIM数据文件等敏感信息泄露风险

  SIM卡用于存储用户信息和密钥,eSIM技术需要将用户信息和密钥封装成eSIM文件从eSIM服务器通过空中接口传输到终端,传输路径包括eSIM终端、运营商移动通信网络、eSIM服务器三部分。因此,引入eSIM技术将增加用户账号信息、鉴权密钥等用户敏感信息在空中接口的传输,增加用户敏感信息泄露的风险。

  (3) eSIM文件在终端上易遭受非法访问和恶意篡改等攻击威胁

  对于传统SIM卡,执行安全功能的算法和数据均在SIM卡内固化存储,整个SIM卡处于一个相对封闭的物理环境,不易受到外界攻击,具有一定的安全保障。对于eSIM,运营商数据等eSIM文件需经智能终端存储并写入相应的芯片或存储区,eSIM需要开放更多的访问接口。另外,智能终端通常搭载开放环境的操作系统,数据在智能终端上的传输、读写过程中易遭受非法访问或恶意篡改等攻击威胁,导致eSIM信息泄露。

  三、eSIM安全监管建议

  eSIM将在未来移动通信业务中扮演重要角色,同时其安全性问题也受产业链各方的广泛关注。针对目前eSIM发展态势及产业生态所面临的安全问题,我们应做好顶层设计,产业链各方应采取措施积极应对。

  第一,加快技术标准制定工作,引导产业积极提升eSIM安全水平。鉴于eSIM产业、技术要求都处在起步阶段,缺乏安全技术标准。建议在现有CCSA、TAF等相关标准的基础上,针对eSIM的特点,制定并明确eSIM在用户数据保护、数据传输、云平台安全方面的技术要求,引导和鼓励企业加大eSIM安全方面加大研究投入,提高eSIM产品的安全水平。

  第二,完善检测手段,加强eSIM安全检测。加强eSIM安全检测技术手段建设,积极推动检测相关标准和技术手段研究工作。检测机构需不断跟进eSIM技术发展,完善相关技术标准及产品验证方法,提高eSIM安全检测技术水平和专业技术力量。

  第三,积极宣传,提高企业和用户安全防范意识。指导企业严格落实eSIM安全技术系列标准,提高eSIM安全防护能力。同时,充分利用各种渠道,对eSIM以及终端的安全风险进行广泛宣传,积极引导用户加强自我保护意识。

  作者简介:翟世俊,就职于中国信息通信研究院泰尔终端实验室,工学博士,主要从事智能终端、移动应用相关的安全技术研究以及相关标准的制定工作。联系方式:zhaishijun@caict.ac.cn。

分享到新浪微博     分享到腾讯微博         责任编辑:苏洁   投稿邮箱:editor@yktworld.com
关于 eSIM  eSIM卡  SIM卡 的新闻
  • 捷德中国王映洲:eSIM的第二个风口是消费电子领域
  • 【新闻周评】MWC上海参展感受:枯竭与盛行
  • 捷德中国成功完成与Windows10系统eSIM互通测试
  • eSIM的革命,中国移动的自我救赎
  • PC业界拥抱eSIM,开启全无线联网时代
  • 首款基于内置eSIM卡物联网芯片无线通信模组问世
  • 捷德中国王映洲:eSIM的第二个风口是消费电子领域
    捷德中国王映洲:eSIM的第二个风口是消费电子领域
    Visa:信用卡仍有颠覆式创新机会 解读三个发展核心
    Visa:信用卡仍有颠覆式创新机会 解读三个发展核心
    人民银行参与单用途预付卡监管的必要性及对策建议
    人民银行参与单用途预付卡监管的必要性及对策建议
    中信银行蔡宁伟:商业银行Ⅱ、Ⅲ类账户互联互通的意义与影响
    中信银行蔡宁伟:商业银行Ⅱ、Ⅲ类账户互联互通的意义与影响
    相关产品
    最新收录
    新闻   产品   企业   招标   求购
    技术   方案   下载
    关于我们
    网站介绍   广告服务   会员分类   联系方式
    企业推广   产品推广
    Copyright © 一卡通世界网
    粤ICP备11061396号-3   粤公网安备 44030602000993号