王宏 福建省政協(xié)辦公廳信息技術(shù)中心

物聯(lián)網(wǎng)安全淺析

王宏 福建省政協(xié)辦公廳信息技術(shù)中心

由于計算機網(wǎng)絡(luò)技術(shù)飛速發(fā)展，人們對于互聯(lián)網(wǎng)應(yīng)用普及，人們也越來越關(guān)注很多智能化的應(yīng)用，物聯(lián)網(wǎng)技術(shù)正是順應(yīng)這樣的需求而出現(xiàn)的。本文簡要的探討物聯(lián)網(wǎng)技術(shù)的智能化在智能家居發(fā)展過程中存在安全方面的相關(guān)問題，并根據(jù)分析提出相應(yīng)的物聯(lián)網(wǎng)安全建議措施，以促進物聯(lián)網(wǎng)的持續(xù)發(fā)展。

物聯(lián)網(wǎng) 智能家居 安全問題 安全建議

1 物聯(lián)網(wǎng)具有的特征

物聯(lián)網(wǎng)被譽為繼計算機、互聯(lián)網(wǎng)之后信息產(chǎn)業(yè)的第三次科技浪潮。和傳統(tǒng)的互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)具有以下鮮明的特征：

它是各種感知技術(shù)的廣泛應(yīng)用。物聯(lián)網(wǎng)上部署了海量的不同類型傳感器，每個傳感器都是一個信息源，不同類別的傳感器所捕獲得信息內(nèi)容和格式不同。而且數(shù)據(jù)具有實時性，需要周期性的采集環(huán)境信息，從而不斷更新數(shù)據(jù)。

物聯(lián)網(wǎng)技術(shù)的重要基礎(chǔ)和核心仍舊是互聯(lián)網(wǎng)，它通過各種有線、無線網(wǎng)絡(luò)與互聯(lián)網(wǎng)融合，將物體的信息實時準確傳遞出去。在物聯(lián)網(wǎng)上的傳感器定時采集的信息需要通過網(wǎng)絡(luò)傳輸，數(shù)據(jù)量非常大。在傳輸過程中，為了保障數(shù)據(jù)的準確性和及時性，物聯(lián)網(wǎng)的傳輸模式必須適應(yīng)各種異構(gòu)網(wǎng)絡(luò)協(xié)議。

物聯(lián)網(wǎng)除了連接，它還能夠?qū)ξ矬w實施智能控制。物聯(lián)網(wǎng)將傳感器和智能處理相結(jié)合，利用云計算、模式識別等各種智能技術(shù)，對傳感器獲得的海量信息進行分析、加工、整理出可用數(shù)據(jù)，這些數(shù)據(jù)既能滿足不同用戶的需求，還可以擴展智能技術(shù)的應(yīng)用領(lǐng)域。

2 智能家居中存在的安全問題

目前包括無人機、智能電源、智能洗衣機、智能微波爐、智能攝像頭等智能硬件產(chǎn)品，只要保持電源連接、網(wǎng)絡(luò)連接狀態(tài)就有可能被黑客通過電腦進行遠程控制，存在較大的安全隱患。這些問題的曝光不僅給智能家居企業(yè)敲響了一個警鐘，也讓正在享受智能家居的消費者熱情冷卻下來。該如何解決這一安全漏洞，成了大家一致關(guān)心的問題。

3 物聯(lián)網(wǎng)的安全問題

傳統(tǒng)的防護邊界削弱，物聯(lián)網(wǎng)易被攻擊，當所有設(shè)備都變的更具有智能化，并且將他們接入到互聯(lián)網(wǎng)后，網(wǎng)絡(luò)邊界的概念會被削弱。接入點越來越多，整個系統(tǒng)也越大，被攻破的可能性也會越大。例如，現(xiàn)在很多設(shè)備都會通過藍牙、WiFi模塊接入互聯(lián)網(wǎng)。這樣的連接方式會存在很多被黑客利用的點，而且攻擊形式多變，使得安全防守端的挑戰(zhàn)越來越大。

3.1 傳輸過程未加密

在攻防團隊測試過程中，發(fā)現(xiàn)該款智能家庭攝像頭在傳輸過程中使用了一定的加密方式，采用了HTTPS協(xié)議對請求控制的內(nèi)容進行傳輸加密。但是由于廠商對API接口的配置不當，造成了用戶可以通過80端口與設(shè)備建立連接，并對通信的數(shù)據(jù)包進行截獲，修改請求的端口號就可以獲得明文的數(shù)據(jù)。

3.2 用戶隱私泄露

在RSA2016大會上隱私顧問Rebecca Herold表示，大量物聯(lián)網(wǎng)設(shè)備發(fā)布，沒有任何安全和隱私控制。設(shè)備泄露的隱私里面會包含用戶的生活數(shù)據(jù)包括家里的溫度、位置、關(guān)照等信息。最主要的還包括家庭內(nèi)部的視頻信息，通過對大量的智能家庭攝像頭的使用和測試發(fā)現(xiàn)，大部分的智能家庭攝像頭都存在繞過身份驗證控制設(shè)備的問題。這樣的操作是在遠程并且沒有任何感知的情況下就能完成了。這對于用戶隱私的危害是非常大的。

3.3 未存在人機識別機制

功防團隊通過測試發(fā)現(xiàn)，智能攝像頭由于未采用人機識別機制，在注冊流程、找回密碼流程等過程中，導(dǎo)致可以強制修改用戶密碼，從而獲取攝像機的控制權(quán)限。整個過程中用戶都毫無感知，因此對用戶的隱私造成了巨大影響。

3.4 智能家居設(shè)備存在著硬件調(diào)試接口

目前智能設(shè)備安全措施包括身份認證、數(shù)據(jù)加密、反硬件調(diào)試等。攻擊者接觸智能設(shè)備后，可以通過物理調(diào)試接口對設(shè)備進行修改，進而達到攻擊的目的；同時攻擊者可以通過遠程連接智能設(shè)備，通過暴力破解的方法攻破口令，進而控制智能家居設(shè)備。

4 物聯(lián)網(wǎng)相關(guān)安全建議

隨著安全威脅的不斷發(fā)展，以及我們對安全理解的不斷加深，開始對安全的本質(zhì)進行思考，正因為如此出現(xiàn)了基于木桶原理的安全防護體系。我們呼吁相關(guān)廠商在推出智能設(shè)備的同時，也應(yīng)當將物聯(lián)網(wǎng)設(shè)備的安全性放在更加重要的位置上。同時建立相關(guān)的防護體系，如：加強對身份的認證識別，增強數(shù)據(jù)傳輸過程中的加密體系，及時發(fā)現(xiàn)相關(guān)云安全的解決方案，畢竟基于云+端+邊界的安全模型可以很好的解決這一安全問題。另外，智能家居的使用者也需要對設(shè)備帶來的風(fēng)險有一定的認知，更加注重個人隱私安全。如何能夠保障自己的智能家居設(shè)備的隱私不會被泄露，這里提供了一些建議。首先，用戶在購買時候要對所選智能家居的品牌進行一些調(diào)查，在互聯(lián)網(wǎng)上能不能搜索到相關(guān)設(shè)備的一些漏洞。要挑選一個安全問題少，口碑不錯，價格合適的智能家居設(shè)備。在使用智能家居的時候，要注意設(shè)置一定強度的密碼，并且及時關(guān)注智能家居設(shè)備軟件的提醒。若發(fā)現(xiàn)軟件頻繁的提示收到短信驗證碼的信息，使用者就要及時修改相關(guān)密碼。使用者要不定期登錄智能家居的控制界面。若發(fā)現(xiàn)軟件中設(shè)定的參數(shù)經(jīng)常變動的情況，就需要提高自己的警惕，保障智能家居的控制權(quán)在自己的手中。

5 結(jié)束語

隨著物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)的應(yīng)用領(lǐng)域必將會越來越大，這種趨勢給人們的生產(chǎn)和生活帶來極大便利的同時，也將面臨著各類安全威脅。只有從認清楚當前的安全威脅，才能從安全技術(shù)防范和法律兩個方面入手，有效防止物聯(lián)網(wǎng)中的信息在傳輸過程中出現(xiàn)安全問題，從而促進物聯(lián)網(wǎng)健康快速發(fā)展，為人類社會做出突出的貢獻。

[1]魏震，李勝東.物聯(lián)網(wǎng)安全問題技術(shù)分析[J].無線互聯(lián)科技，2013(4)：33-34

[2]饒柳，嚴炎.物聯(lián)網(wǎng)安全問題分析及機制設(shè)計[J].廣東通信技術(shù)，2013(2)：33-36