左 然
(公安部第三研究所,上海 200100)
家庭物联网安全应用与防范
左 然
(公安部第三研究所,上海 200100)
文章通过对家庭互联网的应用现状及其特性的阐述,详细分析了家庭互联网系统面临的安全问题,并给出了相应的安全对策与机制,为家庭物联网的大规模应用提供了基础性的建议。
家庭物联网;通信安全;信息泄露;数据安全
随着物联网时代的到来,物联网的触角正在悄悄进入采购与分配、商业贸易、生产制造、物流、防盗以及军事等多个领域,其中,家庭物联网作为与民生社稷相关性最高的一环也受到了广泛的关注,全球各大科技巨头都将大量的资源投入家庭物联网的研发中,试图在家庭物联网环节分一杯羹。
与此同时,与家庭物联网相关的安全隐患也随之产生。因为家庭物联网涉及综合布线、网络通信、自动控制、数据流转分析等多个方面,其安全性问题也显得较为复杂,包括线路安全、网络安全、数据安全和保护隐私等方面。目前,家庭物联网系统的安全问题已成为制约其技术推广与应用的主要因素之一。越来越多的商家和用户担心系统的安全和隐私保护问题,即在使用家庭互联网过程中如何确保其安全性和隐私性,不至于导致个人信息、业务信息和财产等丢失或被他人盗用。可以设想,如果哪天家庭物联网受到攻击,社会最小最基础的单元受到攻击,其危害不仅限于财物损失,直接威胁人的生命安全也不是没有可能。
因此,在家庭物联网大规模应用的大趋势下,对其安全性进行分析与考虑很有必要。
互联网自诞生以来,经历了以电脑为核心节点的电脑互联阶段,到以手机为主流的移动终端为核心节点的移动互联阶段,可以预测,以整套家电为连接节点进行信息共享的家庭互联网或可成为下一个互联网发展节点,并将以物为节点逐步发展为以人为中心的星状互联。
家庭物联网是一种家庭控制系统,立足家庭应用环境,以电视、冰箱、空调等多种智能家电为主要承载而形成的智能家居平台,利用综合布线技术、网络通信技术、安全防范技术、自动控制技术、音视频技术将家居生活有关的设施整合集成,构建一个以人为核心的高效的住宅设施与家庭日程事务的管理系统和生态系统,其完整的技术架构可以做到集中管理和分类管理,并能远程管理,使得各终端间可广泛互联和智能协同,提升家居安全性、便利性、舒适性、艺术性,并实现环保节能的居住环境。
微软提出了家庭自动化系统HomeOS,三星推出了SmartThings,苹果推出了HomeKit,谷歌的works with nest,Lowe's也早在2012年推出的智能家居解决方案Iris。国内该领域发展也非常活跃,海尔推出的U_home平台、联发科技推出mt7697家庭物联网方案、格力等家电巨头都推出自己的家庭物联网平台或系列智能家居产品。
各个行业巨头推出的解决方案均是让用户可以通过电脑、智能手机或平板电脑,随时随地操控家中的一切。让用户能够以一种简单的方式来监测和自动控制家,包括家中的众多设备。
同时可以看到,无论是智能化的单品,还是现有的智能家居平台及系统,都只是停留在初级层面,仅能实现局部智能,与用户所期待的家庭物联网仍有巨大落差。
为何家庭物联网多年来处于设想阶段及浅层尝试阶段,其安全问题恐怕是制约家庭物联网发展的关键因素之一。家庭物联网的安全问题主要涉及无线通信安全和数据安全2个层面。
3.1数据安全
家庭物联网旨在打造更加便利舒适的智能家居环境,在为屋主提供远程控制、语音控制等等便利的同时,为黑客、病毒、未授权用户的非法介入也提供了捷径。
家庭物联网中传输的数据越多,信息暴露的可能性就越大,存在的安全隐患随之剧增,以下仅举其中最易实现的2种情况讨论。
(1)家庭基础信息泄露,如用电、用水、煤气消耗等数据实现智能化读取后,极易被网络中的第三者嗅探到。通过监控分析家庭的各时段用电情况,了解家庭的作息习惯甚至家电使用情况便不是难事;用水数据的获取也可观测到家庭人员的人数、生活习惯等隐私内容。相信不久你何时打开了空调,何时洗澡并用时多久这些信息,能比站在你家里观察还详尽地被第三者掌握。
(2)语音操控隐患,家庭物联网基础上的智能家居一大噱头就是语音操控,不必使用复杂的开关或遥控器,只要说句话,电视就会开启进入你想看的频道,空调启动并且设置到你设置的温度、方向。然而这种极致便利的体验背后,却是家庭物联网节点之一的智能设备。在使用内置的语音控制功能时,麦克风也在默默收集用户语音信息。家庭物联网节点变身为一个又一个拾音器,全天候记录着你家里发出的语音信息,设想一下,在让人类最具安全感的家庭环境,家庭成员之间的畅所欲言被你的电视厂商、空调厂商等等逐一掌握,而这些厂商的设备平台极易被黑客攻破,用户数据显然不仅仅被用于分析数据、智能设备学习训练,更有可能被传播或贩卖至商业公司。
3.2通信安全
目前国内主流家庭物联网通信技术涉及微波技术(433,315)、蓝牙,Wi-Fi,Zwave和ZigBee,这几种连接方式各有其优点,但各自的安全缺陷也非常明显。
RF315/433的无线射频技术,其具有传输快、成本低的特点,但它采用单向通讯,容易受干预,安全性较差。
蓝牙技术是一个开放性,短距离的无线通信的标准,工作在全球通用的2.4GHz ISM频段。它可能会受到窃听、中间人攻击、拒绝服务攻击、重放攻击、位置攻击等多种方式的攻击,其安全性难以保证。
Wi-Fi主要基于IEEE802.11a/b/g/x协议,是目前无线接入的主流标准。使用的主要加密机制为WPA及WPA2。常见的攻击方法有窃听、非授权访问、人为干扰等。早在2009年,已有研究人员研发出一种可以在一分钟内利用无线路由器攻破WPA2加密系统的办法。鉴于其广泛应用,受到的攻击也是最多的。
Zwave的数据传输速率为9.6kbps,信号的有效覆盖在室内30米,在安全方面,Zwave没有加密方式,容易受到攻击。如果应用于家庭物联网,势必成为一个安全薄弱环节。
ZigBee具备特有的安全层,采用128K的高级加密技术,具有非常高的安全性,至今在全球没有破解先例。基本没有被攻击的可能性。缺点是网络延时不可控,而且需要路由与网络连接,连接设置复杂,安装费用高,应用不广泛。
3.3应对方法
针对数据安全问题,最安全有效的方法是严格控制各节点权限及信息知悉范围。
针对通信安全,建议根据现场环境的最小需求原则,采用有线与无线结合,无线的各种通信途径交叉应用的方式,最大程度避免单一途径组建网络,保障家庭物联网的应用安全。
家庭物联网作为物联网领域的重要应用,解决其安全问题显得尤为重要。如何避免家庭用户的隐私及财产安全受到损失,如何用强有力的技术措施增强用户对该应用的信心,如何在保障便利、智能的情况下保障安全使用,将是接下来一个阶段的核心问题。
[1]高瑛.浅谈蓝牙的安全性[J].中国科技纵横,2012(24):41.
[2]喻宗泉.蓝牙技术基础[M].北京:机械工业出版社,2006.
[3]夏勤艳,马立磊.浅谈智能家居系统的功能及发展前景[J].民营科技,2010(2):167-168.
[4]赵起越.浅谈智能家居系统[J].林区教学,2011(12):2-3.
Application and Prevention of Home Networking Security
Zuo Ran
(Third Research Institute of Ministry of Public Security, Shanghai 200100, China)
In this paper, through elaboration and characteristics of the present situation of the application of the family of the Internet and home internet system of security problems are analyzed in detail, and gives the corresponding security strategy and mechanism,large-scale application of family network provides basic suggestions.
home Internet of things; communication security; information leakage; data security
左然(1985-),女,陕西宝鸡,硕士,实习研究员;研究方向:信息网络安全研究。