黎艷，盧燕青，張榮，郭茂文

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

1 引言

互聯(lián)網(wǎng)技術(shù)的高速發(fā)展使人們對家居生活安全和便利的需求日益提高。隨著智能家居和物聯(lián)網(wǎng)各種技術(shù)的涌現(xiàn)，智慧家庭設(shè)備、云端控制中心和用戶之間可以進(jìn)行有效的信息交互[1]。用戶在獲得更多家庭內(nèi)部信息的同時，對認(rèn)證的安全要求也越來越高。

傳統(tǒng)的認(rèn)證大多使用業(yè)務(wù)賬號和密碼或短信驗證碼，其存在密碼泄露、短信被截獲等風(fēng)險。目前，已經(jīng)暴露了很多設(shè)備安全事件，比如，攝像頭被非法訪問、物聯(lián)網(wǎng)設(shè)備被非法平臺操控等。同時，用戶授權(quán)機(jī)制的完善也有待考慮。如何實現(xiàn)終端設(shè)備與認(rèn)證平臺之間的高強(qiáng)度雙向認(rèn)證，并且與用戶授權(quán)相結(jié)合，是物聯(lián)網(wǎng)時代智能家居面臨的一大挑戰(zhàn)。

2 智能家居安全隱患

2.1 訪問認(rèn)證漏洞

智能家居設(shè)備收集了用戶大量的隱私數(shù)據(jù)，首要的安全問題就是數(shù)據(jù)訪問漏洞。目前，大多數(shù)智能家居設(shè)備的訪問都是使用簡單的用戶名和密碼，并沒有嚴(yán)謹(jǐn)?shù)陌踩刂撇呗浴?016年10月，黑客攻破大量物聯(lián)網(wǎng)智能設(shè)備，集中向美國最主要的 DNS 服務(wù)商 Dyn服務(wù)器發(fā)起史上最嚴(yán)重的DDoS攻擊，導(dǎo)致數(shù)百家網(wǎng)站無法訪問。2017年6月，中央電視臺（以下簡稱央視）調(diào)查曝光大量攝像頭被入侵，通過IP地址掃描，大量弱口令攝像頭被破解，用戶隱私視頻曝光。數(shù)據(jù)訪問控制問題亟待解決。

主要的訪問認(rèn)證安全隱患包括以下幾個方面。

（1）用戶名和密碼強(qiáng)度弱

目前，大多數(shù)家庭設(shè)備都是使用用戶名和密碼的方式登錄和管理設(shè)備，但普遍對用戶名和密碼的強(qiáng)度沒有要求，甚至直接使用弱口令，很多終端設(shè)備更是直接在終端設(shè)備表面印刷默認(rèn)的用戶名和密碼，而用戶也很少會更改密碼。密碼強(qiáng)度不足及密碼管理不嚴(yán)導(dǎo)致了用戶名和密碼存在容易泄露、被掃描、被暴力破解和被劫持的風(fēng)險。

（2）訪問授權(quán)缺失

絕大部分智能家居設(shè)備訪問無需額外授權(quán)，設(shè)備被攻破并非法訪問時，設(shè)備所有者并不知情，導(dǎo)致設(shè)備輕易被操控，用戶隱私無形之中被暴露無遺。

（3）IP地址暴露

通過掃描器，使用弱口令暗碼（如 user、admin）做大規(guī)模的 IP地址和端口掃描就可以獲取家居智能設(shè)備（如攝像頭）的IP地址，一旦IP地址暴露且弱口令匹配，即可直接獲取數(shù)據(jù)資源。除了智能家居設(shè)備存在此安全隱患，很多公共戶外網(wǎng)絡(luò)設(shè)備同樣有被破解的風(fēng)險。

2.2 設(shè)備側(cè)漏洞

由于智能家居設(shè)備承擔(dān)著數(shù)據(jù)收集、數(shù)據(jù)上報、指令執(zhí)行等重要職責(zé)[2]，智能設(shè)備的身份保護(hù)尤其重要。

設(shè)備側(cè)安全隱患主要有以下幾方面。

（1）設(shè)備偽造

設(shè)備關(guān)鍵信息被非法讀取之后，偽造者利用關(guān)鍵信息進(jìn)行設(shè)備偽造，如偽造設(shè)備號、偽造設(shè)備 MAC地址等。用偽造的身份冒充原設(shè)備侵入系統(tǒng)，并且在交互過程利用偽造的身份欺騙服務(wù)器。這種情況多出現(xiàn)在使用弱身份標(biāo)識或身份憑證存儲失當(dāng)?shù)闹悄芗揖酉到y(tǒng)中。

（2）隱私數(shù)據(jù)被竊取

智能家居設(shè)備采集的用戶隱私數(shù)據(jù)如果沒有高強(qiáng)度的安全存儲、加密或者讀取鑒權(quán)，就極易被竊取。隱私數(shù)據(jù)除了設(shè)備所存儲的安全憑證和設(shè)備所采集的用戶數(shù)據(jù)之外，也包括設(shè)備與服務(wù)器或App之間的業(yè)務(wù)邏輯等。

（3）指令偽造

通過逆向工程獲知通信邏輯，繼而偽造 App或者服務(wù)器，向智能家居設(shè)備下發(fā)惡意消息序列或非法指令。通過指令偽造，達(dá)到惡意控制設(shè)備的目的，如聯(lián)網(wǎng)的烤箱被惡意控制干燒或聯(lián)網(wǎng)洗衣機(jī)被惡意控制空轉(zhuǎn)等。如果智能家居設(shè)備對指令來源并未做任何認(rèn)證，而只是盲目執(zhí)行，則極易被非法用戶惡意控制。

2.3 數(shù)據(jù)交互（傳輸）安全

智能家居設(shè)備與App或者云端服務(wù)器之間的通信涉及各種指令的傳輸、關(guān)鍵數(shù)據(jù)的同步、采集數(shù)據(jù)的上傳，這些數(shù)據(jù)的安全保障也是至關(guān)重要的。

常見的數(shù)據(jù)安全隱患如下。

（1）數(shù)據(jù)偵聽截獲

利用傳輸過程開放協(xié)議的漏洞，偵聽并截獲設(shè)備與應(yīng)用、設(shè)備與云端服務(wù)器的交互數(shù)據(jù)；通過對交互數(shù)據(jù)的進(jìn)一步解析，破解相關(guān)通信邏輯或非法獲取當(dāng)中的關(guān)鍵隱私數(shù)據(jù)。

（2）數(shù)據(jù)被篡改

在截獲傳輸?shù)慕换?shù)據(jù)之后，對當(dāng)中的關(guān)鍵數(shù)據(jù)進(jìn)行篡改，如用戶的計費(fèi)賬號信息、指令的類別和內(nèi)容等。如果設(shè)備側(cè)、應(yīng)用側(cè)或云端服務(wù)器側(cè)沒有對數(shù)據(jù)的完整性和可靠性進(jìn)行校驗，很容易帶來家居安全隱患。

（3）偽造數(shù)據(jù)造成阻塞

通過非法偽造數(shù)據(jù)造成設(shè)備或云端阻塞不可用，如模擬平臺向同一臺終端設(shè)備下發(fā)大量指令，超出設(shè)備處理能力導(dǎo)致設(shè)備發(fā)生故障。抑或模擬設(shè)備向平臺發(fā)送大量請求，從而占用過多的服務(wù)資源使服務(wù)器超負(fù)荷，導(dǎo)致合法設(shè)備無法得到服務(wù)響應(yīng)。

（4）數(shù)據(jù)重放攻擊

不需了解分析通信協(xié)議，在身份認(rèn)證過程，直接將竊聽到的通信數(shù)據(jù)原封不動重新發(fā)送給接收方，從而達(dá)到欺騙系統(tǒng)的目的。

3 智能家居安全認(rèn)證思路和總體設(shè)計

針對目前智慧家庭應(yīng)用中賬號/密碼認(rèn)證強(qiáng)度弱、設(shè)備ID容易被篡改和遠(yuǎn)程配置管理弱的情況，提出了基于eUICC實現(xiàn)設(shè)備側(cè)和云端的雙向認(rèn)證，主要優(yōu)勢如下。

· 硬件級認(rèn)證的引入。實現(xiàn)高安全等級的身份認(rèn)證和訪問控制，保障家庭設(shè)備的信息安全，可以作為電信智慧家庭業(yè)務(wù)（如機(jī)頂盒家悅業(yè)務(wù)、家庭視頻監(jiān)控）的一大賣點。

· 實現(xiàn)設(shè)備認(rèn)證與eUICC之間的通信之后，可以應(yīng)用到物聯(lián)網(wǎng)其他設(shè)備，利用 eUICC內(nèi)卡應(yīng)用的安全加解密能力，實現(xiàn)設(shè)備與應(yīng)用平臺的雙向認(rèn)證。目前已有類似行業(yè)應(yīng)用需求。

· eUICC基于Java平臺，支持PKI非對稱計算能力，軟硬件能力比普通SIM卡強(qiáng)，能夠兼容各種卡認(rèn)證的能力需求[3]。

· 現(xiàn)有家庭網(wǎng)絡(luò)設(shè)備基于線路綁定和用戶名密碼綁定的方式實現(xiàn)認(rèn)證，使應(yīng)用的物理空間和認(rèn)證方式都有所限制。eUICC的引入可以突破這些局限性，應(yīng)用上更加靈活。

設(shè)備認(rèn)證思路具體如下。

（1）為每臺設(shè)備配置高強(qiáng)度的唯一身份。

（2）設(shè)備的身份認(rèn)證需使用安全加密算法，如對稱的OCRA動態(tài)口令或更高安全的PKI非對稱密鑰體系。

（3）設(shè)備側(cè)與云端服務(wù)器側(cè)實行雙向認(rèn)證，可在設(shè)備側(cè)和云端分別存儲對方的非對稱密鑰對的公鑰，基于PKI實現(xiàn)雙向身份認(rèn)證[4]。

（4）數(shù)據(jù)傳輸需經(jīng)過安全加密，安全加密密鑰的協(xié)商可以使用數(shù)字信封技術(shù)。

訪問認(rèn)證（授權(quán)）思路具體如下。

（1）用戶手機(jī)側(cè)使用SIM卡認(rèn)證實現(xiàn)設(shè)備訪問的控制、授權(quán)，目前，國內(nèi)三大運(yùn)營商基本上已經(jīng)在用戶卡上實現(xiàn)了快捷認(rèn)證和數(shù)字證書認(rèn)證，可以通過應(yīng)用安全需求選擇合適的認(rèn)證方式。

（2）由云端服務(wù)端或者認(rèn)證平臺管理和維護(hù)設(shè)備與授權(quán)手機(jī)的關(guān)系[5]，并通過空口SCP80協(xié)議向授權(quán)手機(jī)下發(fā)授權(quán)請求。

以下是智能家居安全認(rèn)證總體的架構(gòu)如圖 1所示，各模塊具體介紹如下。

（1）eUICC

eUICC內(nèi)裝載認(rèn)證卡應(yīng)用，負(fù)責(zé)設(shè)備側(cè)各加密密鑰的生成、數(shù)據(jù)的加/解密等認(rèn)證相關(guān)數(shù)據(jù)的處理。

（2）家庭中心設(shè)備（或使用其他承載網(wǎng)絡(luò)如NB-IoT的設(shè)備）

管理家庭其他設(shè)備的接入，通過ISO 7816或SPI協(xié)議與eUICC內(nèi)裝載的認(rèn)證卡應(yīng)用進(jìn)行通信，從而獲取相關(guān)加密認(rèn)證數(shù)據(jù)，并向認(rèn)證服務(wù)器上傳設(shè)備信息及提交訪問授權(quán)請求。

（3）認(rèn)證服務(wù)器

驗證設(shè)備上傳的認(rèn)證數(shù)據(jù)，管理設(shè)備與用戶手機(jī)之間的關(guān)聯(lián)關(guān)系，并根據(jù)設(shè)備—手機(jī)的對應(yīng)關(guān)系向相應(yīng)的管理手機(jī)下發(fā)授權(quán)請求數(shù)據(jù)短信。

（4）用戶手機(jī)卡

用戶手機(jī)卡內(nèi)裝載認(rèn)證卡應(yīng)用，實現(xiàn)快捷認(rèn)證（免賬號/密碼登錄）及數(shù)字證書認(rèn)證，使用卡應(yīng)用進(jìn)行身份認(rèn)證的基礎(chǔ)上用戶可以接收并處理認(rèn)證服務(wù)器的授權(quán)請求。

圖1 智能家居認(rèn)證系統(tǒng)總體架構(gòu)

4 智能家居認(rèn)證方案

基于設(shè)備雙向認(rèn)證和用戶卡認(rèn)證授權(quán)的思路，本方案利用eUICC的物理和安全特性，為智能家居設(shè)備實現(xiàn)高強(qiáng)度的身份認(rèn)證。之所以使用eUICC作為處理認(rèn)證安全數(shù)據(jù)的關(guān)鍵，是因為eUICC具有如下特性：

· eUICC芯片達(dá)到EAL5+，通過國家商用密碼安全認(rèn)證；

· 相對普通SIM卡有更強(qiáng)的處理能力，具有DES/AES/RSA/SM（國密算法）的硬件協(xié)處理器；

· eUICC與設(shè)備之間是機(jī)卡一體并強(qiáng)綁定的，其EID可以作為設(shè)備的唯一識別碼；

· eUICC 支持 FOTA（firmware over the air），可以很方便地進(jìn)行云端升級，實現(xiàn)系統(tǒng)修復(fù)和優(yōu)化，如卡應(yīng)用的升級等[6]；

· eUICC與其他SIM一樣，一卡一密，通過空中加密通道下發(fā)的數(shù)據(jù)短信只有唯一對應(yīng)的eUICC才能解密獲取相關(guān)數(shù)據(jù)。

智能家居設(shè)備與eUICC之間的通信如圖2所示，各模塊具體介紹如下。

圖2 智能家居設(shè)備與eUICC之間的通信示意

（1）eUICC認(rèn)證卡應(yīng)用

負(fù)責(zé)認(rèn)證數(shù)據(jù)的加/解密，包括密鑰生成、存儲及同步，對稱加/解密（DES/3DES/AES/SM4）和非對稱加/解密（RSA1024/RSA2048/SM2）。

（2）eUICC SDK

負(fù)責(zé)終端設(shè)備協(xié)議轉(zhuǎn)換、APDU指令封裝以及向終端應(yīng)用程序開放eUICC認(rèn)證卡應(yīng)用的相關(guān)接口，SDK向終端設(shè)備應(yīng)用程序提供并集成。

（3）終端設(shè)備應(yīng)用程序與eUICC之間的通信通道

通過在終端側(cè)進(jìn)行協(xié)議轉(zhuǎn)換，終端設(shè)備可以通過ISO 7816協(xié)議或SPI協(xié)議與eUICC進(jìn)行通信。

圖3 設(shè)備接入及綁定認(rèn)證流程

4.1 設(shè)備接入認(rèn)證流程

假設(shè)終端設(shè)備綁定的eUICC EID在CRM側(cè)已經(jīng)與用戶、管理、手機(jī)信息進(jìn)行綁定并同步到認(rèn)證服務(wù)器，具體的設(shè)備接入及綁定認(rèn)證流程如圖3所示，具體介紹如下。

（1）終端設(shè)備上電并接入網(wǎng)絡(luò)。

（2）設(shè)備檢測設(shè)備綁定標(biāo)識，若已綁定，則結(jié)束設(shè)備接入認(rèn)證流程；若未綁定，則繼續(xù)檢查密鑰對生成標(biāo)識。

（3）若密鑰對已生成，則將密鑰對公鑰上傳到認(rèn)證服務(wù)器進(jìn)行綁定。

（4）認(rèn)證服務(wù)器將接入綁定請求數(shù)據(jù)短信下發(fā)到用戶的管理手機(jī)，請求授權(quán)。

（5）用戶確認(rèn)之后，認(rèn)證服務(wù)器返回綁定結(jié)果（使用認(rèn)證服務(wù)器私鑰加密）。

（6）終端設(shè)備使用認(rèn)證服務(wù)器公鑰對返回的綁定結(jié)果進(jìn)行解密，完成綁定。

（7）中心終端設(shè)備完成綁定認(rèn)證之后，一旦有其他設(shè)備接入中心設(shè)備，中心設(shè)備會使用自己的非對稱密鑰對私鑰對接入的設(shè)備信息進(jìn)行加密，提交到認(rèn)證服務(wù)器。

圖4 設(shè)備訪問認(rèn)證及授權(quán)流程

4.2 訪問認(rèn)證流程

以攝像頭訪問為例，當(dāng)外部連接需要訪問網(wǎng)絡(luò)攝像頭的視頻內(nèi)容時，攝像頭會向攝像頭云端服務(wù)器發(fā)送視頻數(shù)據(jù)，使用如圖4所示訪問認(rèn)證方案可以對此動作進(jìn)行放行或阻攔。

假設(shè)中心終端設(shè)備（通常是網(wǎng)關(guān)、機(jī)頂盒、路由器等中心控制設(shè)備）已經(jīng)完成設(shè)備接入綁定流程，具體訪問認(rèn)證流程如下。

（1）家庭中心設(shè)備檢測到設(shè)備向外的數(shù)據(jù)分組。

（2）家庭中心設(shè)備調(diào)用eUICC簽名接口，使用eUICC私鑰對事件描述進(jìn)行簽名，發(fā)送到認(rèn)證服務(wù)器。

（3）認(rèn)證服務(wù)器驗簽，對設(shè)備身份進(jìn)行認(rèn)證。

（4）完成認(rèn)證之后，認(rèn)證服務(wù)器向用戶管理手機(jī)下發(fā)授權(quán)請求數(shù)據(jù)短信。

（5）用戶卡完成授權(quán)之后，認(rèn)證服務(wù)器使用服務(wù)器私鑰對授權(quán)結(jié)果進(jìn)行加密。

（6）家庭中心設(shè)備使用認(rèn)證服務(wù)公鑰進(jìn)行解密，對認(rèn)證服務(wù)器身份進(jìn)行認(rèn)證。

（7）家庭中心設(shè)備根據(jù)授權(quán)結(jié)果對數(shù)據(jù)進(jìn)行放行或阻攔。

5 結(jié)束語

本文首先分析了當(dāng)前智能家居的各種主要安全隱患。針對隱患原因，提出智能家居安全認(rèn)證思路及基于eUICC的總體設(shè)計方案。通過使用具有物理及安全特性的eUICC實現(xiàn)設(shè)備與服務(wù)器端的雙向認(rèn)證，可以有效避免設(shè)備偽造、設(shè)備非法控制、非法指令下發(fā)、數(shù)據(jù)竊聽篡改等智能家居安全隱患。而運(yùn)營商使用eUICC進(jìn)行智能家居安全認(rèn)證部署，可以把統(tǒng)一認(rèn)證擴(kuò)展到智慧家庭領(lǐng)域，開拓一片新的價值藍(lán)海。

參考文獻(xiàn)：

[1] 朱敏玲, 李寧.智能家居發(fā)展現(xiàn)狀及未來淺析[J].電視技術(shù),2015, 39(4)： 82-96.ZHU M L, LI N.State of art and trend of smart home in China[J].Video Engineering, 2015, 39(4)： 82-96.

[2] 韓建亭.可運(yùn)營智慧家庭系統(tǒng)的構(gòu)建[J].電信科學(xué), 2015,3(11)： 109-115.HAN J T.Construction of smart home system architecture for operating[J].Telecommunications Science, 2015, 3(11)：109-115.

[3] 楊紅梅.eUICC的關(guān)鍵技術(shù)及相關(guān)標(biāo)準(zhǔn)[J].電信網(wǎng)技術(shù),2015(6)： 58-62.YANG H M.Key technologies and related standards of eUICC[J].Telecommunications Network Technology, 2015(6)： 58-62.

[4] 劉麗萍.基于智能卡和密碼保護(hù)的 WSN遠(yuǎn)程用戶安全認(rèn)證方案[J].電信科學(xué), 2015, 31(12)： 105-110.LIU L P.A remote user security authentication scheme using smart card and password protection for WSN [J].Telecommunications Science, 2015, 31(12)： 105-110.

[5] 王斌, 楊曉玲, 肖冬娣.基于云服務(wù)實現(xiàn)智能家居應(yīng)用控制的方案[J].電信科學(xué), 2015, 31(11)： 140-145.WANG B, YANG X L, XIAO D D.Scheme of smart home application control based on cloud service[J].Telecommunications Science, 2015, 31(11)： 140-145.

[6] 楊劍, 戴國華, 李培煜.電信運(yùn)營商eUICC發(fā)展關(guān)鍵問題分析及建議[J].移動通信, 2015(12)： 158-165.YANG J, DAI G H, LI P Y.Analysis and suggestions on key problems of eUICC development in telecom operators[J].Mobile Communications, 2015(12)： 158-165.