王宏 福建省政協(xié)辦公廳信息技術(shù)中心

物聯(lián)網(wǎng)安全淺析

王宏 福建省政協(xié)辦公廳信息技術(shù)中心

由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，人們對(duì)于互聯(lián)網(wǎng)應(yīng)用普及，人們也越來越關(guān)注很多智能化的應(yīng)用，物聯(lián)網(wǎng)技術(shù)正是順應(yīng)這樣的需求而出現(xiàn)的。本文簡(jiǎn)要的探討物聯(lián)網(wǎng)技術(shù)的智能化在智能家居發(fā)展過程中存在安全方面的相關(guān)問題，并根據(jù)分析提出相應(yīng)的物聯(lián)網(wǎng)安全建議措施，以促進(jìn)物聯(lián)網(wǎng)的持續(xù)發(fā)展。

物聯(lián)網(wǎng) 智能家居 安全問題 安全建議

1 物聯(lián)網(wǎng)具有的特征

物聯(lián)網(wǎng)被譽(yù)為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后信息產(chǎn)業(yè)的第三次科技浪潮。和傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)具有以下鮮明的特征：

它是各種感知技術(shù)的廣泛應(yīng)用。物聯(lián)網(wǎng)上部署了海量的不同類型傳感器，每個(gè)傳感器都是一個(gè)信息源，不同類別的傳感器所捕獲得信息內(nèi)容和格式不同。而且數(shù)據(jù)具有實(shí)時(shí)性，需要周期性的采集環(huán)境信息，從而不斷更新數(shù)據(jù)。

物聯(lián)網(wǎng)技術(shù)的重要基礎(chǔ)和核心仍舊是互聯(lián)網(wǎng)，它通過各種有線、無線網(wǎng)絡(luò)與互聯(lián)網(wǎng)融合，將物體的信息實(shí)時(shí)準(zhǔn)確傳遞出去。在物聯(lián)網(wǎng)上的傳感器定時(shí)采集的信息需要通過網(wǎng)絡(luò)傳輸，數(shù)據(jù)量非常大。在傳輸過程中，為了保障數(shù)據(jù)的準(zhǔn)確性和及時(shí)性，物聯(lián)網(wǎng)的傳輸模式必須適應(yīng)各種異構(gòu)網(wǎng)絡(luò)協(xié)議。

物聯(lián)網(wǎng)除了連接，它還能夠?qū)ξ矬w實(shí)施智能控制。物聯(lián)網(wǎng)將傳感器和智能處理相結(jié)合，利用云計(jì)算、模式識(shí)別等各種智能技術(shù)，對(duì)傳感器獲得的海量信息進(jìn)行分析、加工、整理出可用數(shù)據(jù)，這些數(shù)據(jù)既能滿足不同用戶的需求，還可以擴(kuò)展智能技術(shù)的應(yīng)用領(lǐng)域。

2 智能家居中存在的安全問題

目前包括無人機(jī)、智能電源、智能洗衣機(jī)、智能微波爐、智能攝像頭等智能硬件產(chǎn)品，只要保持電源連接、網(wǎng)絡(luò)連接狀態(tài)就有可能被黑客通過電腦進(jìn)行遠(yuǎn)程控制，存在較大的安全隱患。這些問題的曝光不僅給智能家居企業(yè)敲響了一個(gè)警鐘，也讓正在享受智能家居的消費(fèi)者熱情冷卻下來。該如何解決這一安全漏洞，成了大家一致關(guān)心的問題。

3 物聯(lián)網(wǎng)的安全問題

傳統(tǒng)的防護(hù)邊界削弱，物聯(lián)網(wǎng)易被攻擊，當(dāng)所有設(shè)備都變的更具有智能化，并且將他們接入到互聯(lián)網(wǎng)后，網(wǎng)絡(luò)邊界的概念會(huì)被削弱。接入點(diǎn)越來越多，整個(gè)系統(tǒng)也越大，被攻破的可能性也會(huì)越大。例如，現(xiàn)在很多設(shè)備都會(huì)通過藍(lán)牙、WiFi模塊接入互聯(lián)網(wǎng)。這樣的連接方式會(huì)存在很多被黑客利用的點(diǎn)，而且攻擊形式多變，使得安全防守端的挑戰(zhàn)越來越大。

3.1 傳輸過程未加密

在攻防團(tuán)隊(duì)測(cè)試過程中，發(fā)現(xiàn)該款智能家庭攝像頭在傳輸過程中使用了一定的加密方式，采用了HTTPS協(xié)議對(duì)請(qǐng)求控制的內(nèi)容進(jìn)行傳輸加密。但是由于廠商對(duì)API接口的配置不當(dāng)，造成了用戶可以通過80端口與設(shè)備建立連接，并對(duì)通信的數(shù)據(jù)包進(jìn)行截獲，修改請(qǐng)求的端口號(hào)就可以獲得明文的數(shù)據(jù)。

3.2 用戶隱私泄露

在RSA2016大會(huì)上隱私顧問Rebecca Herold表示，大量物聯(lián)網(wǎng)設(shè)備發(fā)布，沒有任何安全和隱私控制。設(shè)備泄露的隱私里面會(huì)包含用戶的生活數(shù)據(jù)包括家里的溫度、位置、關(guān)照等信息。最主要的還包括家庭內(nèi)部的視頻信息，通過對(duì)大量的智能家庭攝像頭的使用和測(cè)試發(fā)現(xiàn)，大部分的智能家庭攝像頭都存在繞過身份驗(yàn)證控制設(shè)備的問題。這樣的操作是在遠(yuǎn)程并且沒有任何感知的情況下就能完成了。這對(duì)于用戶隱私的危害是非常大的。

3.3 未存在人機(jī)識(shí)別機(jī)制

功防團(tuán)隊(duì)通過測(cè)試發(fā)現(xiàn)，智能攝像頭由于未采用人機(jī)識(shí)別機(jī)制，在注冊(cè)流程、找回密碼流程等過程中，導(dǎo)致可以強(qiáng)制修改用戶密碼，從而獲取攝像機(jī)的控制權(quán)限。整個(gè)過程中用戶都毫無感知，因此對(duì)用戶的隱私造成了巨大影響。

3.4 智能家居設(shè)備存在著硬件調(diào)試接口

目前智能設(shè)備安全措施包括身份認(rèn)證、數(shù)據(jù)加密、反硬件調(diào)試等。攻擊者接觸智能設(shè)備后，可以通過物理調(diào)試接口對(duì)設(shè)備進(jìn)行修改，進(jìn)而達(dá)到攻擊的目的；同時(shí)攻擊者可以通過遠(yuǎn)程連接智能設(shè)備，通過暴力破解的方法攻破口令，進(jìn)而控制智能家居設(shè)備。

4 物聯(lián)網(wǎng)相關(guān)安全建議

隨著安全威脅的不斷發(fā)展，以及我們對(duì)安全理解的不斷加深，開始對(duì)安全的本質(zhì)進(jìn)行思考，正因?yàn)槿绱顺霈F(xiàn)了基于木桶原理的安全防護(hù)體系。我們呼吁相關(guān)廠商在推出智能設(shè)備的同時(shí)，也應(yīng)當(dāng)將物聯(lián)網(wǎng)設(shè)備的安全性放在更加重要的位置上。同時(shí)建立相關(guān)的防護(hù)體系，如：加強(qiáng)對(duì)身份的認(rèn)證識(shí)別，增強(qiáng)數(shù)據(jù)傳輸過程中的加密體系，及時(shí)發(fā)現(xiàn)相關(guān)云安全的解決方案，畢竟基于云+端+邊界的安全模型可以很好的解決這一安全問題。另外，智能家居的使用者也需要對(duì)設(shè)備帶來的風(fēng)險(xiǎn)有一定的認(rèn)知，更加注重個(gè)人隱私安全。如何能夠保障自己的智能家居設(shè)備的隱私不會(huì)被泄露，這里提供了一些建議。首先，用戶在購(gòu)買時(shí)候要對(duì)所選智能家居的品牌進(jìn)行一些調(diào)查，在互聯(lián)網(wǎng)上能不能搜索到相關(guān)設(shè)備的一些漏洞。要挑選一個(gè)安全問題少，口碑不錯(cuò)，價(jià)格合適的智能家居設(shè)備。在使用智能家居的時(shí)候，要注意設(shè)置一定強(qiáng)度的密碼，并且及時(shí)關(guān)注智能家居設(shè)備軟件的提醒。若發(fā)現(xiàn)軟件頻繁的提示收到短信驗(yàn)證碼的信息，使用者就要及時(shí)修改相關(guān)密碼。使用者要不定期登錄智能家居的控制界面。若發(fā)現(xiàn)軟件中設(shè)定的參數(shù)經(jīng)常變動(dòng)的情況，就需要提高自己的警惕，保障智能家居的控制權(quán)在自己的手中。

5 結(jié)束語

隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)的應(yīng)用領(lǐng)域必將會(huì)越來越大，這種趨勢(shì)給人們的生產(chǎn)和生活帶來極大便利的同時(shí)，也將面臨著各類安全威脅。只有從認(rèn)清楚當(dāng)前的安全威脅，才能從安全技術(shù)防范和法律兩個(gè)方面入手，有效防止物聯(lián)網(wǎng)中的信息在傳輸過程中出現(xiàn)安全問題，從而促進(jìn)物聯(lián)網(wǎng)健康快速發(fā)展，為人類社會(huì)做出突出的貢獻(xiàn)。

[1]魏震，李勝東.物聯(lián)網(wǎng)安全問題技術(shù)分析[J].無線互聯(lián)科技，2013(4)：33-34

[2]饒柳，嚴(yán)炎.物聯(lián)網(wǎng)安全問題分析及機(jī)制設(shè)計(jì)[J].廣東通信技術(shù)，2013(2)：33-36