新型电信智能卡安全分析及发展建议

随着物联网终端的快速发展，数以百亿计的新设备将接入网络。为了满足物联网设备小型化，远程管理以及适应高温、振动等复杂苛刻的外部环境等需求，新型电信智能卡（eSIM）应运而生，并逐渐渗透到消费电子、车联网、工业互联网等领域。目前，三大运营商、卡商、终端厂商已积极部署eSIM管理和应用系统。与传统SIM卡相比，签约数据、个人化密钥、证书等敏感信息由内部定制改为通过空口传输再写入eSIM中，eSIM技术面临的安全风险由此凸显出来，如何保障eSIM的安全性并促进其健康发展是业界高度关注的问题。

一、新型电信智能卡生态处于高速发展时期

市场需求推动eSIM应用高速发展。近年来，国内外eSIM技术发展迅速，与eSIM相结合的创新应用不断涌现。据GSMA报告，eSIM在国内应用需求集中在车联网、物流和能源及公用事业、农业、医疗和制造业。据麦肯锡预测，到2022年，eSIM的市场规模将达54亿美元。未来，5G的应用将促进eSIM在工业互联网、医疗、智能制造和智慧城市等领域的落地。

多样化eSIM技术解决方案迅速推进标准化工作。由于不同场景对eSIM解决方案的需求存在差异，且不同解决方案的成本和安全级别不同，业界推出了多样化的技术方案。eUICC是GSMA最早推行的技术方案，此外还包括基于TEE的eSIM、基于SE的eSIM和iUICC等多种eSIM技术方案。为了满足业界的不同需求，国内外标准化组织都在积极推进标准化工作。国际上由GSMA主导针对eUICC制定了较为完善的技术实现方案、安全保护轮廓、远程管理测试等系列技术规范，针对iUICC的规范还在讨论中。国内则以GSMA系列标准为参考在CCSA和TAF标准工作组中开展标准编制工作。

国内外监管与行业认证逐步开展。国际上由GSMA推出了安全认证计划（SAS），SAS分为对eUICC的安全认证和对管理平台及eUICC的安全审计。eUICC安全认证由各国CC（Common Criteria）负责，要求eUICC到达CC EAL4+的安全级别；审计由GSMA指定的SRC等审计公司负责对生产环境和流程安全进行审计。目前已有数十家厂商的上百个产品通过SAS认证。国内则由中国信息通信研究院联合三大运营商成立eSIM管理工作委员会，正在讨论EID号码核发、eSIM证书发放和eUICC安全认证等内容。

二、新型电信智能卡安全风险分析

区别于传统SIM卡，eSIM卡由于采用基于公众通信网的用户数据下载和远程管理模式，具备更大的开放性。eSIM技术的应用将增加签约数据、用户信息等敏感信息在空中接口的传输，相比于传统SIM卡，eSIM面临的安全风险范围更大。根据eSIM的系统架构，可以将其面临的安全风险分为四个部分，一是远程管理平台易遭受拒绝服务、病毒入侵、信息窃取等常见的网络攻击，从而导致大规模数据泄露或eSIM服务失控。二是空口传输增加密钥、证书等信息的生成和写入，易遭受窃听、干扰或滥用网络服务、身份伪装等攻击，从而导致签约数据泄露或无法完成正常的签发数据流程。三是终端加载了eSIM管理应用，该应用负责eSIM业务的处理，若该应用存在安全漏洞，易被非法控制或被植入恶意代码，从而导致签约数据泄露。四是eSIM卡片上不仅保存了签约数据、证书等重要数据，还要进行网络用户身份鉴别，是攻击者攻击的重点对象。eSIM卡片易遭受克隆、身份篡改、逻辑攻击、物理攻击等攻击，从而使攻击者可以利用获取的数据非法复制卡片。

三、新型电信智能卡安全防护机制分析

在大规模部署和商用eSIM之前，确保其安全性是至关重要的。为了减少eSIM面临的安全风险，目前可采用的安全防护机制包括，一是针对远程管理平台，通过设置防火墙、关闭无用端口、定期杀毒打补丁等方式抵御来自网络的大量攻击，减少eSIM服务失控的风险。此外，还可以通过数据加密、数据备份等措施减少数据窃取和数据丢失的风险。二是针对空口传输，增加多级身份认证、高安全等级加密算法机制防止eSIM数据在传输过程中被恶意窃取，增加空口传输的重放和完整性校验机制抵御重放攻击。三是针对终端内的eSIM管理应用增加签名校验、反逆向、反调试、反注入的保护机制，防止攻击者破坏eSIM应用处理流程和篡改eSIM数据。四是针对eSIM卡片应支持签约数据、证书的保护机制和权限管理机制，抵御身份篡改、克隆等攻击。此外，eSIM卡还应支持侧信道攻击和错误注入攻击的保护机制，防止密钥泄露。若eSIM卡片支持多应用，还应支持应用间的安全隔离机制，保证其他应用无法访问和篡改eSIM应用数据。

四、我国需多方努力积极推动行业应用安全健康发展

新型智能卡将广泛应用于物联网、车联网、可穿戴设备、智能家居、健康医疗、智能计量和移动支付等行业，发展趋势已经势不可挡。我国应鼓励eSIM创新型的业务尝试，多方共同努力积极推动行业应用安全健康发展。

一是推进规范制定，加大宣贯力度。标准组织需积极推进国内外标准进度。针对5G、物联网、工业互联网等细分领域，研究eSIM应用安全问题。联合产业链上下游构建一套完善的标准体系，同时在行业积极发声，提高安全标准的执行力。

二是加强安全检测，提高保障能力。检测机构需不断跟进新型电信智能卡技术发展，加大检测基础设施的投入，推进相关技术标准及产品验证方法的完善，提升对新型电信智能卡及相关平台的安全测试能力。

三是推行试点应用，开展安全评估。监管机构需开展新型电信智能卡应用试点示范，制定管理规定和实施细则。在试点范围内联合运营商、认证机构、检测实验室，开展新型电信智能卡应用的安全审查和评估，加强新型电信智能卡应用的安全监管。

作者简介

魏凡星，中国信息通信研究院泰尔终端实验室工程师，主要从事芯片安全、物联网终端安全测试技术和标准化研究。

联系方式：weifanxing@caict.ac.cn。

袁琦，中国信息通信研究院泰尔终端实验室信息安全部副主任，长期从事移动互联网及安全技术研究和标准制定工作。

联系方式：yuanqi@caict.ac.cn。