可穿戴設(shè)備的安全問題與對策分析

夏平

摘要：可穿戴設(shè)備作為智能科技的新生力量，具備著無限的潛能。但隨著可穿戴設(shè)備的迅猛發(fā)展，其突顯的安全隱患將成為制約其發(fā)展的關(guān)鍵因素?？纱┐髟O(shè)備的安全問題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全三個(gè)方面。在應(yīng)對策略上，通過在硬件芯片層加密、接入控制與雙向認(rèn)證、數(shù)據(jù)多模加密等核心技術(shù)提高可穿戴設(shè)備的安全性。

關(guān)鍵詞：可穿戴設(shè)備；芯片層加密；多模加密；雙向認(rèn)證

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）24-0038-02

Abstract： Wearable devices as a new force of intelligent technology， with unlimited potential.However， with the rapid development of wearable devices， its security risks will become a key factor restricting its development. Wearable device security issues are mainly reflected in three aspects of data， equipment and software. In response to the strategy， through the hardware chip layer encryption， access control and mutual authentication， data multimode encryption and other core technologies to improve the security of wearable devices.

Key words： wearable device； chip layer encryption； multimode encryption； mutual authentication

可穿戴設(shè)備出現(xiàn)在公眾視野雖然只有短短幾年，但已經(jīng)成為了一支最火熱的科技新勢力。它作為物聯(lián)網(wǎng)的重要應(yīng)用，如今也是工業(yè)革命的核心技術(shù)之一。2014年作為可穿戴設(shè)備的發(fā)展元年，其市場規(guī)模得到了前所未有的擴(kuò)展，各大IT界巨頭如蘋果、索尼、三星、谷歌等公司，紛紛發(fā)布可穿戴產(chǎn)品，將目光投向了可穿戴設(shè)備這片藍(lán)海市場[1]。

近三年來，在全球聞名的CES國際電子產(chǎn)品展覽會上，可穿戴設(shè)備、智能家居成為了絕對的主角。經(jīng)過這幾年的創(chuàng)新與發(fā)展，可穿戴市場雖然火熱，但普及時(shí)代還未來臨，人們關(guān)注更多的不僅僅是功能和質(zhì)量，而是令人思索的安全問題。

1 可穿戴設(shè)備的發(fā)展

可穿戴設(shè)備，指的是可以穿戴在人體上的智能化的交互式產(chǎn)品，它通常融合了無線傳感技術(shù)、多媒體、GPS定位、生物識別等多種技術(shù)于一身[2]?？纱┐髟O(shè)備的種類繁多，典型的代表有智能眼鏡、智能手表、智能手環(huán)這三大類，另外智能內(nèi)衣、智能頭盔、智能戒指、智能跑鞋等類型的產(chǎn)品也層出不窮。在可穿戴產(chǎn)品中，谷歌公司在2012年發(fā)布的“拓展現(xiàn)實(shí)”的Google Glass最具影響力，該眼鏡集智能手機(jī)、相機(jī)的功能于一體，實(shí)現(xiàn)全球首款支持“腦控”完成操作的智能設(shè)備?？纱┐髟O(shè)備倡導(dǎo)的是“以人為本”的設(shè)計(jì)理念，以微型傳感器通過與人體的無縫連接，支持手勢、眼動操作，實(shí)現(xiàn)身體數(shù)據(jù)（如心率、步數(shù)、體溫、卡路里、睡眠等）的采集。通過云服務(wù)對數(shù)據(jù)進(jìn)行計(jì)算與分析，最后上傳到云端存儲或者通過智能手機(jī)反饋給用戶，幫助用戶管理身體和設(shè)計(jì)健康的生活方式。

根據(jù)前瞻產(chǎn)業(yè)研究院的數(shù)據(jù)報(bào)告，在2016年國內(nèi)的智能硬件市場規(guī)模將突破500億大關(guān)，其中智能手環(huán)的銷量最高，第五位為智能手表。從國內(nèi)的消費(fèi)情況來看，可穿戴設(shè)備的市場前景是非常廣闊的。目前大多數(shù)可穿戴設(shè)備只是作為智能手機(jī)的一種補(bǔ)充和延伸，需要結(jié)合使用，而可穿戴設(shè)備真正的意義與價(jià)值是作為獨(dú)立產(chǎn)品的形式存在，釋放人們的雙手，提供智能化，健康化、人性化的生活。但在短期以內(nèi)，可穿戴設(shè)備是很難取代智能手機(jī)實(shí)現(xiàn)大爆發(fā)。究其原因，可穿戴設(shè)備作為一種新生代產(chǎn)品，在吸引了無數(shù)關(guān)注的同時(shí)，突顯的安全隱患也將成為制約其發(fā)展的關(guān)鍵性因素。越來越多的人會意識到，當(dāng)可穿戴產(chǎn)品日夜與人體無縫接觸，它也必將成為下一個(gè)信息安全隱患的重要源頭。在2015年5月被證實(shí)，我國軍方發(fā)出禁令，禁止軍人使用可穿戴設(shè)備，原因是這類產(chǎn)品很可能會泄漏國家軍事機(jī)密。這不得不引發(fā)人們的思索，當(dāng)可穿戴設(shè)備的功能愈加豐富，逐漸擺脫“雞肋”角色時(shí)，它所潛在的安全問題終究會不會成為令人望而卻步的“攔路虎”呢？

2 可穿戴設(shè)備的安全問題

智能穿戴產(chǎn)品顛覆性地改變用戶的生活和工作方式的同時(shí)，也會帶來更多新的社會問題，如信息安全問題?？纱┐髟O(shè)備所面臨的安全問題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全這三方面。

① 數(shù)據(jù)安全：可穿戴設(shè)備采用了各種類型的生理傳感器、甚至配備了攝像頭，通過與人的無縫連接，隱私數(shù)據(jù)的感知能力更強(qiáng)，信息的處理和分析能力也大大提升[3]。而目前簡單的穿戴設(shè)備都可以記錄用戶的運(yùn)動軌跡，GPS定位等等。當(dāng)用戶佩戴的時(shí)間越長，獲取的信息量就越大，用戶的健康狀況和生活喜好均被數(shù)據(jù)化呈現(xiàn)。這些隱私數(shù)據(jù)通常會上傳給云服務(wù)器端進(jìn)行處理和存儲，或者反饋給智能手機(jī)進(jìn)行數(shù)據(jù)共享。在這個(gè)大數(shù)據(jù)的時(shí)代，用戶的個(gè)人隱私數(shù)據(jù)將會變得更加透明化。如果云服務(wù)器被攻擊，用戶的個(gè)人隱私將毫無安全可言，更重要的是對于用戶的人身安全也將會是極大的威脅。

② 設(shè)備安全：可穿戴設(shè)備未來的發(fā)展方向勢必與物聯(lián)網(wǎng)聯(lián)系更為緊密，將有可能成為智能家居、汽車駕駛的關(guān)鍵“鑰匙”，一旦可穿戴設(shè)備被非法控制，那么關(guān)乎的不僅僅是數(shù)據(jù)的安全性，更是有關(guān)用戶的住宅和生命財(cái)產(chǎn)安全。另外，可穿戴設(shè)備的使用會長時(shí)間接觸人體皮膚，飽受質(zhì)疑的是其設(shè)備本身的化學(xué)安全，人體輻射、電池安全等問題是否符合安全需求。

③ 軟件安全：具有獨(dú)立操作系統(tǒng)平臺的可穿戴設(shè)備需要中間軟件拓展更多的功能和服務(wù)，但這些軟件一旦被惡意病毒感染，那么可穿戴設(shè)備的數(shù)據(jù)安全和設(shè)備安全就無從談起了。

3 可穿戴設(shè)備的安全風(fēng)險(xiǎn)

3.1 操作系統(tǒng)的開源性

可穿戴設(shè)備為了結(jié)構(gòu)和操作方式的靈活性，方便與其他設(shè)備的兼容對接，獲得更好的用戶體驗(yàn)，往往會采用的是開放性操作系統(tǒng)[4]。2014年3月谷歌推出了Android Wear操作系統(tǒng)，這是一個(gè)專門提供給第三方廠商的智能手表的開放平臺，免費(fèi)開源，并且數(shù)據(jù)挖掘和分析能力強(qiáng)大?；贏ndroid的系統(tǒng)的開放性，提供方便的功能擴(kuò)展的同時(shí)，更會帶來諸多的安全隱患，如黑客的攻擊，惡意代碼的植入等等。

3.2 無線網(wǎng)絡(luò)連接

目前的可穿戴設(shè)備普遍采用的是藍(lán)牙、WiFi這樣的邏輯設(shè)計(jì)來連接智能手機(jī)，通過手機(jī)端的APP或者GPS定位實(shí)現(xiàn)數(shù)據(jù)的同步和共享，在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)中，都有可能遭受到網(wǎng)絡(luò)攻擊[5]。在未來，可穿戴設(shè)備采用NFC短距離傳輸技術(shù)實(shí)現(xiàn)門禁解鎖與移動支付也將會成為潮流和趨勢，而這無疑將會變成網(wǎng)絡(luò)黑客眼中的“肥肉”。無線網(wǎng)絡(luò)連接相比于有線連接更容易受到射頻干擾，傳輸?shù)臄?shù)據(jù)容易被非法截獲，造成信息的泄漏。

3.3 智能硬件的自身漏洞和缺陷

可穿戴產(chǎn)品為了保證形態(tài)小巧精致，外觀時(shí)尚，會采用較小體積的傳感器，有的設(shè)備甚至連芯片或系統(tǒng)都沒有，就其本身的硬件結(jié)構(gòu)上看，缺乏一定的硬件層安全保障。在軟件層次上，各大生產(chǎn)廠商為產(chǎn)品設(shè)計(jì)越來越多的中間層軟件，拓展豐富的功能，但這也相應(yīng)地帶來了更多的安全風(fēng)險(xiǎn)。在2015年Hack Pwn安全極客狂歡節(jié)上，有黑客展示了通過小米手環(huán)的漏洞成功獲取了控制權(quán)，這實(shí)際上也不是個(gè)例，大多數(shù)穿戴產(chǎn)品都會存在一些硬件漏洞或者缺陷。

3.4 網(wǎng)絡(luò)惡意攻擊

可穿戴設(shè)備目前正處于初步發(fā)展階段，各種安全措施均不夠完善，極容易遭受到不法攻擊。黑客為了獲取有價(jià)值的數(shù)據(jù)，不僅僅是對設(shè)備進(jìn)行攻擊，更會上升到整個(gè)應(yīng)用鏈中。網(wǎng)絡(luò)中的攻擊主要體現(xiàn)在對設(shè)備的遠(yuǎn)程控制、隱私數(shù)據(jù)的竊取以及物理設(shè)備的破壞等。

4 可穿戴設(shè)備的安全應(yīng)對措施

基于以上的分析，可見可穿戴設(shè)備在目前階段的安全系數(shù)并不高，針對于安全問題的應(yīng)對措施的研究也是勢在必行。隨著可穿戴應(yīng)用市場的不斷發(fā)展，在提高質(zhì)量和用戶體驗(yàn)的同時(shí)，其安全問題已經(jīng)成為必須要攻克的一塊“致命短板”。

4.1制定統(tǒng)一規(guī)范的安全技術(shù)標(biāo)準(zhǔn)

由于行業(yè)內(nèi)缺乏統(tǒng)一的技術(shù)規(guī)范，各大廠商設(shè)計(jì)和開發(fā)的可穿戴產(chǎn)品在質(zhì)量上、功能上層次不齊，形態(tài)各異。尤其在網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)這一塊，缺乏相應(yīng)的技術(shù)指導(dǎo)，沒有權(quán)威的安全監(jiān)管機(jī)制，導(dǎo)致安全問題成為眾多產(chǎn)品的一大“硬傷”。另外，可穿戴設(shè)備行業(yè)的信息安全防護(hù)也需要在國家法律層面上有所體現(xiàn)，針對于敏感信息采集和個(gè)人隱私的保護(hù)需要法律化規(guī)范。最后，在可穿戴產(chǎn)品的安全檢測上，需要制定一套可靠的權(quán)威的認(rèn)證機(jī)制來規(guī)范行業(yè)產(chǎn)品的發(fā)展，讓用戶能夠更簡單化、有效化地評估產(chǎn)品和購買產(chǎn)品。

4.2 硬件廠商對芯片層加密

大多數(shù)可穿戴產(chǎn)品都不是以獨(dú)立的形態(tài)出現(xiàn)，而是依附于智能手機(jī)或者云服務(wù)器端實(shí)現(xiàn)數(shù)據(jù)的共享與處理。硬件生產(chǎn)廠商在對芯片層進(jìn)行設(shè)計(jì)時(shí)，增加安全硬件模塊，植入廠商獨(dú)立自主的底層安全架構(gòu)?？纱┐髟O(shè)備通過無線網(wǎng)絡(luò)與智能手機(jī)或者云端進(jìn)行數(shù)據(jù)交互時(shí)，數(shù)據(jù)會被加密，秘鑰存放在可穿戴設(shè)備的硬件芯片中。當(dāng)需要查看手機(jī)端或者云端數(shù)據(jù)時(shí)，必須身份認(rèn)證和秘鑰都匹配通過才能實(shí)現(xiàn)操作。這種芯片級的加密處理，可以大大提高隱私數(shù)據(jù)的安全性。

4.3 接入控制與雙向認(rèn)證機(jī)制

用戶使用可穿戴設(shè)備聯(lián)網(wǎng)時(shí)，啟用接入控制機(jī)制，首先需要進(jìn)行對連接的網(wǎng)絡(luò)環(huán)境進(jìn)行安全評估，并采用WPA2加密機(jī)制保障無線網(wǎng)絡(luò)的安全性[6]。在與其他終端進(jìn)行交互時(shí)，必須先進(jìn)行雙向身份認(rèn)證，確保通信實(shí)體之間身份的合法性。在身份識別上，采用基于生物特征的增強(qiáng)型認(rèn)證，如指紋、心率等。生物特征很難被復(fù)制和竊取，用于用戶身份認(rèn)證上安全程度是非常高的。

4.4數(shù)據(jù)的多模加密

用戶使用智能產(chǎn)品時(shí)，最關(guān)心的問題莫過于數(shù)據(jù)的安全性?？纱┐髟O(shè)備最重要的不在于硬件，也是在于數(shù)據(jù)的價(jià)值。數(shù)據(jù)的多模加密是由對稱加密技術(shù)和非對稱加密技術(shù)結(jié)合組成。對于設(shè)備采集到的數(shù)據(jù)根據(jù)不同的環(huán)境安全需求，采用不同的加密模式，從本源上保證數(shù)據(jù)的安全性，具有針對性、全面性和靈活性的特點(diǎn)。使用多模加密的同時(shí)，為了保證隱私數(shù)據(jù)的安全，應(yīng)使用高強(qiáng)度的加密方式，秘鑰的長度不少于256位。針對于不同的使用場景，進(jìn)行數(shù)據(jù)挖掘時(shí)，采用匿名原則，對個(gè)人隱私數(shù)據(jù)進(jìn)行模糊化處理，并去掉用戶識別程度高的數(shù)據(jù)，保護(hù)用戶的身份和隱私的安全。

4.5日志審計(jì)和入侵檢測

在可穿戴產(chǎn)品安全模塊上，集成日志審計(jì)和入侵檢測功能。入侵檢測是對進(jìn)出可穿戴設(shè)備的數(shù)據(jù)流量進(jìn)行分析和控制，對具備安全風(fēng)險(xiǎn)和入侵企圖的流量進(jìn)行攔截，防止網(wǎng)絡(luò)入侵的發(fā)生。對于設(shè)備的常規(guī)操作進(jìn)行日志記錄，包括連接的網(wǎng)絡(luò)屬性、設(shè)備狀態(tài)，操作詳情，與其他設(shè)備的交互等。通過日志審計(jì)和分析，能夠做到全面而詳細(xì)的設(shè)備監(jiān)控。

5 結(jié)語

可穿戴設(shè)備未來的路還很長，但終究能不能得到一個(gè)爆發(fā)，安全問題成為了亟待解決的難題和障礙。在可穿戴設(shè)備的持續(xù)發(fā)展中，需要國家政府、生產(chǎn)廠商、服務(wù)提供商和消費(fèi)者等多方努力，來推動可穿戴市場的整體發(fā)展。

參考文獻(xiàn)：

[1] 陳根.可穿戴設(shè)備[M].北京： 機(jī)械工業(yè)出版社，2014：17-18.

[2] 王倩.可穿戴設(shè)備的信息安全問題研究[J].情報(bào)探索，2016（3）：122-128.

[3] 張曉睿，張世奇.可穿戴設(shè)備發(fā)展趨勢及信息安全風(fēng)險(xiǎn)研究[J].中國新技術(shù)新產(chǎn)品，2016：184.

[4] 落紅衛(wèi)，魏亮徐，迎陽.可穿戴設(shè)備的安全威脅與防護(hù)措施[J].電信網(wǎng)技術(shù).2013（11）：9-11.

[5] 劉金芳.可穿戴設(shè)備的信息安全風(fēng)險(xiǎn)及我國的應(yīng)對建議[J].信息安全技術(shù)，2014（11）：10-12.

[6] 姚永康.可穿戴設(shè)備的安全隱患及應(yīng)對措施[J].電腦編程技巧與維護(hù)，2015（24）：127-128.