◎江蘇出入境檢驗檢疫局 封亞輝 戴東情 王亞春

◎中國網(wǎng)絡安全審查技術與認證中心 毛圣兵

隨著物聯(lián)網(wǎng)（IoT）和可穿戴設備廣泛應用，無數(shù)裝載傳感器的小型嵌入式設備從周圍環(huán)境收集信息，對其進行處理，并將其轉發(fā)到遠程位置進行進一步分析?？纱┐髟O備在為人們提供智能生活的同時，也存在多種安全隱患。在數(shù)據(jù)安全方面，可穿戴設備采用了各種類型的生理傳感器，用戶的佩戴時間越長，獲取的信息量就越大，用戶的個人信息數(shù)據(jù)存在泄漏風險，用戶的個人隱私得不到保護；在設備安全方面，出于用戶隱私和生命財產(chǎn)安全的考慮，對設備用戶來說必須具有唯一的自主控制權，尤其在可穿戴設備緊密連接物聯(lián)網(wǎng)的情況下更為重要；在軟件安全方面，可穿戴設備依賴應用軟件來實現(xiàn)多種功能，一旦這些軟件被攻擊，可穿戴設備的數(shù)據(jù)安全和設備安全都將得不到保障。

針對上述安全問題，已經(jīng)提出的安全保護措施包括：數(shù)據(jù)加密機制、認證及完整性保護機制和隱私保護機制等。數(shù)據(jù)加密機制使得原始數(shù)據(jù)變?yōu)榧用軘?shù)據(jù)，保證了數(shù)據(jù)安全存儲和傳輸；認證及完整性保護機制能夠防止攻擊者向網(wǎng)絡注入偽造或錯誤信息，主要包括可穿戴設備對用戶的實體認證，以及可穿戴設備在網(wǎng)絡中傳輸消息的認證及完整性保護；隱私保護機制是在實際的應用場景中，針對不法分子通過非法途徑獲取用戶的位置數(shù)據(jù)，進行用戶行動軌跡的分析、推測來獲取用戶個人隱私的問題，其中比較典型的解決辦法是在位置服務中使用位置匿名隱私保護算法和軌跡匿名隱私保護算法等。

本文基于可穿戴設備的安全現(xiàn)狀，結合可穿戴設備的硬件設計與功能結構，進行了針對可穿戴設備特性的安全風險分析，并提出了三層立體安全檢測認證框架、方法及判定。

一、安全風險分析

可穿戴設備有多種設計樣式，可以從頭到腳佩戴在人體上，如眼鏡、襯衫、腕帶、手表等。它不僅可以像智能手機一樣執(zhí)行基本任務，而且嵌入式可穿戴傳感器還可以在實時環(huán)境中識別并提供佩戴者的可操作信息?？纱┐髟O備具有以下特性：

（1）不受限制：以便用戶在使用可穿戴設備時可以做其他事情。

（2）可控：它是一個響應系統(tǒng)，因為它始終處于ON狀態(tài)，因此用戶可以隨時獲取對它的控制權。

（3）環(huán)境感知（專注性）：可穿戴設備具有環(huán)保意識，多模式和多感官特性。

（4）可觀察：它可以在用戶需要時持續(xù)關注用戶，例如接收警報、消息或提醒。

（5）可連接（通信）：可穿戴設備連接到無線網(wǎng)絡，以便在實時情況下進行信息交換。

（6）非壟斷：這意味著可穿戴設備不會將用戶從外界切斷。

為此，我們將可穿戴設備主要面臨的安全風險列為三項：

（1）系統(tǒng)開源：為了實現(xiàn)可穿戴設備的功能性和兼容性，可穿戴設備的設計大多基于Android或其他的開放系統(tǒng)，在提供方便的功能擴展的同時，開放系統(tǒng)也會帶來諸多的安全隱患。

（2）無線網(wǎng)絡連接：可穿戴設備的數(shù)據(jù)通常通過藍牙、Wi-Fi等方式傳遞，存在數(shù)據(jù)被截獲、惡意篡改等危險。同時，可穿戴設備為了降低性能損耗，通常會將安全規(guī)則部署在客戶端，從而缺少對客戶端輸入數(shù)據(jù)的輸入檢查和標準化，因此導致存在被黑客非法注入和侵入服務器的可能。同時在服務端也會存在設備認證、校驗以及識別等方面的困難。

（3）安全與隱私：關于可穿戴設備的安全問題可以進一步分為三個主要部分，即安全漏洞、攻擊和安全解決方案。其中安全漏洞可被一系列可能的安全和隱私攻擊所利用。安全攻擊可以根據(jù)兩種主要類型進一步劃分：被動攻擊和主動攻擊。被動攻擊試圖獲取用戶的密碼和敏感信息，而不會破壞和影響系統(tǒng)，而主動攻擊與被動攻擊形成對比，在被動攻擊中試圖破壞和改變系統(tǒng)。當利用安全漏洞時，數(shù)據(jù)將會丟失，包括數(shù)據(jù)機密性、完整性、可用性和真實性方面的損失。另一方面，隱私攻擊根據(jù)用戶身份和數(shù)據(jù)完整性攻擊以及基于時間和位置的攻擊進行分類。

二、可穿戴設備安全檢測框架

可穿戴設備網(wǎng)絡安全檢測技術旨在通過相關技術對可穿戴設備的網(wǎng)絡安全進行檢測，預防設備威脅，以將設備威脅降到最低。

（一）安全檢測框架

可穿戴設備的安全檢測框架主要由感知層、網(wǎng)絡層以及應用層構成。具體的檢測框架圖如圖1所示。

圖1 可穿戴設備檢測框架

其中三個橫向安全層主要針對可穿戴設備的總體技術架構而提出的安全：頂層為應用層安全，中間層為傳輸層安全，最底層為感知層安全。感知層涉及到的安全策略主要有設備認證、數(shù)據(jù)加密、安全編碼、TPM可信模塊、安全協(xié)議、訪問控制等。網(wǎng)絡層主要有漏洞掃描、主動防御、安全協(xié)議、網(wǎng)絡過濾和授權管理等安全策略。應用層主要包括安全審計、入侵檢測、熱機災備、虛擬隔離、云殺毒、用戶權限、安全管理等安全策略和手段。

三個縱向安全主要針對可穿戴設備整體的安全架構、安全標準及安全評測，具體實施內(nèi)容包括安全架構與服務，安全標準制定、風險評估和安全測評，其中安全測評包括感知設備安全檢測服務平臺、可穿戴設備系統(tǒng)安全檢測服務平臺、可穿戴設備系統(tǒng)風險評估服務平臺等，以及云平臺風險評估、虛擬服務風險平臺、云資源集成化安全檢測等。

（二）安全檢測標準

可穿戴設備系統(tǒng)的網(wǎng)絡安全檢測標準主要由可穿戴設備感知層、傳輸層和應用層這三個部分的安全檢測標準組成。由于各個部分所應用到的內(nèi)容不同，因此各自的安全要求也不同。

相關的技術體系架構圖，如圖2所示。

（1）感知層是可穿戴設備上層應用的支撐，主要包含單向讀取類業(yè)務和雙向讀取類兩項業(yè)務。因此所涉及的安全檢測標準如下：

感知靈敏安全標準：目的是確保設備在傳感這一部分靈敏有效，不要傳感錯誤的數(shù)據(jù)。數(shù)據(jù)分辨標準：目的是確保對傳感的數(shù)據(jù)能夠根據(jù)具體的應用分類識別數(shù)據(jù)。這兩者的結合才能確保感知層的整體安全。

（2）傳輸層是可穿戴設備數(shù)據(jù)傳輸?shù)年P鍵，主要功能是實現(xiàn)信息的傳輸，與可穿戴設備的網(wǎng)絡安全息息相關。因此其涉及到的安全檢測標準如下：

圖2 可穿戴設備安全體系

傳輸層數(shù)據(jù)安全標準：目的是保證數(shù)據(jù)是加密的，不是明文傳輸。傳輸通道的安全標準：目的是保證數(shù)據(jù)在傳輸過程中的安全的。傳輸?shù)膬啥说陌踩珮藴剩耗康氖潜ＷC數(shù)據(jù)的接收端和傳送端是安全的。這三者的結合才能保證傳輸層的整體安全。

（3）應用層是可穿戴設備應用的基礎，主要包含的是應用的運行。要想確保應用正確的運行，與可穿戴設備網(wǎng)絡的安全是密不可分的。其涉及的安全標準如下：

應用信息安全標準：目的是確保應用對應的是正確的端口，避免端口被惡意打開。應用數(shù)據(jù)安全標準：目的是確保應用使用的過程中，數(shù)據(jù)沒有被惡意篡改，保證應用正常使用。

（三）安全檢測手段

本文中的檢測主要從人為檢測、組織檢測以及設備自身實踐技術檢測三方面入手。

（1）人為檢測

對那些使用和管理信息系統(tǒng)的個人進行責任評估，判斷其是否認真負責，有沒有意外泄露的失職問題存在。

（2）組織檢測

在許多情況下，員工是組織信息系統(tǒng)中最薄弱的環(huán)節(jié)(例如，將密碼保存在便簽上，將敏感數(shù)據(jù)存儲在不受保護的USB驅(qū)動器上)。我們可以對員工進行抽樣檢測，看其在相關安全操作上是否存在問題。

（3）設備自身實踐技術檢測

利用相關的網(wǎng)絡檢測技術，例如殺毒軟件、入侵檢測系統(tǒng)等對可穿戴設備網(wǎng)絡進行檢測，查看其存在哪些漏洞。也可以使用一些網(wǎng)絡攻擊技術，例如，端口攻擊、提權攻擊、網(wǎng)絡嗅探等對可穿戴設備網(wǎng)絡進行攻擊，查看哪些攻擊可以實現(xiàn)，來判斷其還存在哪些網(wǎng)絡完全問題。判斷其對網(wǎng)絡安全的三大目標是否產(chǎn)生影響。

三、安全檢測方法設計

本文針對利用相關的網(wǎng)絡監(jiān)測技術進行可穿戴設備的安全防護，提出了以下的安全檢測與防護方法：

（一）訪問控制與認證技術

基于云輔助無線可穿戴通信架構，設計了可穿戴設備的本地身份驗證和遠程身份驗證。在本地認證模式中，聯(lián)合應用基于散列的選擇性公開機制和Chebyshev混沌映射來實現(xiàn)可穿戴設備與智能手機之間的相互認證。在遠程認證模式下，采用Merkle哈希樹的選擇性公開機制改進證書中數(shù)據(jù)字段的結構，實現(xiàn)了兩個可穿戴設備和智能電話之間的交互，并且進一步傳輸?shù)皆品掌饔糜谕津炞C。同時，基于BAN邏輯執(zhí)行安全形式分析，以證明所提出的遠程認證協(xié)議具有理論設計正確性。它表明所提出的認證方案對于普遍存在的可穿戴設備是可用且靈活的。為了滿足數(shù)據(jù)隱私、匯聚結果隱私、匯聚結果可驗證以及高效等需求，其中隱私保護的數(shù)據(jù)匯聚方法通常使用3種實現(xiàn)技術：安全多方計算、全同態(tài)加密和單向陷門函數(shù)。

構建的云輔助無線可穿戴通信架構如圖3所示。

（二）身份鑒別與數(shù)據(jù)加密

構建可穿戴設備節(jié)點網(wǎng)絡，采用節(jié)點身份鑒別技術，可以實現(xiàn)節(jié)點與節(jié)點、節(jié)點與網(wǎng)絡之間的認證；對單個節(jié)點或節(jié)點集群采用訪問控制技術，控制節(jié)點設備之間的路由、資源等訪問；對可以數(shù)據(jù)訪問操作進行監(jiān)控與記錄。

圖3 云輔助無線可穿戴通信架構

可穿戴網(wǎng)絡的加密算法通?；诿荑€。如果捕獲系統(tǒng)的密鑰，則可能導致系統(tǒng)暴露?；贗CMetric感知靈敏安全標準的加密系統(tǒng)的設計和實現(xiàn)解決了這個問題，該系統(tǒng)使用設備的特征來創(chuàng)建秘密組密鑰，然后將其用于加密服務。其中利用可穿戴設備傳感器中的加速度計和陀螺儀偏差已用于確定設備的標識。設計系統(tǒng)的機密性服務基于AES128,ASE256和Rabbit流密碼。該方案基于集成強大的加密元素，以便該方案在有限的資源需求下提供最高級別的安全性。設計的方案功能無需人工干預，因此相關的系統(tǒng)組件在不需要用戶輸入的情況下運行。使用該算法具有額外的優(yōu)點，即可以使用存在的不同數(shù)量的組成員生成組。此方案可以適應于在多方環(huán)境中存在許多系統(tǒng)的其他挑戰(zhàn)性環(huán)境，且不會增加目標系統(tǒng)的資源需求。圖4展示了基于ICMetric的加密系統(tǒng)網(wǎng)絡架構設計。

另外，由對稱加密技術和非對稱加密技術結合組成的數(shù)據(jù)多模加密技術也是一種面向可穿戴設備的可行的數(shù)據(jù)加密技術。對于設備采集到的數(shù)據(jù)根據(jù)不同的環(huán)境安全需求，采用不同的加密模式，從本源上保證數(shù)據(jù)的安全性，具有針對性、全面性和靈活性的特點。多模加密技術使用高強度的加密方式，針對于不同的使用場景，進行數(shù)據(jù)挖掘時，采用匿名原則，對個人隱私數(shù)據(jù)進行模糊化處理，并去掉用戶識別程度高的數(shù)據(jù)，保護用戶的身份和隱私的安全。

（三）網(wǎng)絡安全模型設計

根據(jù)可穿戴設備的三層安全框架，設計了合理高效的安全檢測模型，并根據(jù)模型準確率、檢測覆蓋率、檢測命中率、安全性能提升率等數(shù)據(jù)來優(yōu)化安全模型，另外在網(wǎng)絡模型中加入抗干擾技術可主動廣播無線信號阻止或破壞非授權閱讀器讀取；還可以預先在設備中添加惡意代碼防范，部署惡意代碼掃描軟件識別惡意代碼或構建程序執(zhí)行可信鏈。安全模型投入檢測工作之后，通過數(shù)據(jù)準備、模型建立、模型評估，利用歷史數(shù)據(jù)對網(wǎng)絡進行反復測試，檢驗網(wǎng)絡模型的魯棒性，直到網(wǎng)絡性能穩(wěn)定。

（四）接入控制與業(yè)務管理

接入傳輸層規(guī)則包括數(shù)字接入系統(tǒng)中接入業(yè)務的可管理性、可控性、信息保密性、完整性和可用性的規(guī)則要求，視頻接入系統(tǒng)實現(xiàn)外部視頻資源單向傳輸至內(nèi)網(wǎng)，視頻控制信令和數(shù)據(jù)的會話終止于應用服務區(qū)，包含對視頻信令格式進行檢查及內(nèi)容過濾、合法的協(xié)議和數(shù)據(jù)通過、視頻數(shù)據(jù)和視頻控制信令安全傳輸?shù)确矫娴囊?guī)則，無線接入系統(tǒng)接入內(nèi)網(wǎng)，需要與內(nèi)網(wǎng)的各種信息系統(tǒng)交互信息，包含敏感信息、數(shù)據(jù)完整性保護、數(shù)據(jù)保密性保護、抗攻擊、安全審計以及物理安全等方面的規(guī)則。

四、結論

為了增加可穿戴設備的安全性，進入市場前，對可穿戴設備進行網(wǎng)絡安全、數(shù)據(jù)安全、設備安全三方面的檢測是非常必要的。本文介紹了可穿戴設備技術所面臨的主要安全問題，分析了可穿戴設備常見的安全風險，并根據(jù)所面臨的風險設計了三層安全檢測框架，機制及方法等，總結了物聯(lián)網(wǎng)設備主流的安全檢測技術，并針對可穿戴設備獨特的網(wǎng)絡架構及功能特性提出了接入控制與雙向認證技術，以及多模加密等數(shù)據(jù)安全技術。