新聞中心

EEPW首頁(yè) > 設(shè)計(jì)應(yīng)用 > 智能家居安全風(fēng)險(xiǎn)與防護(hù)研究

智能家居安全風(fēng)險(xiǎn)與防護(hù)研究

作者:付凱 李莉 楊子羿 張洋 時(shí)間:2019-04-28 來(lái)源:電子產(chǎn)品世界 收藏

  Research On Smart Home Security Risk And Protection

本文引用地址:http://butianyuan.cn/article/201904/400025.htm

  付凱,李莉,楊子羿,張洋

 ?。ㄖ袊?guó)信息通信研究院,北京 100191)

  摘要:隨著物聯(lián)網(wǎng)、大數(shù)據(jù)與人工智能等技術(shù)的不斷發(fā)展,產(chǎn)業(yè)日益繁榮。由于應(yīng)用場(chǎng)景的特殊性與私密性,其安全問(wèn)題不容忽視,安全漏洞的存在可能導(dǎo)致嚴(yán)重后果,不僅會(huì)泄露用戶家庭住址、談話內(nèi)容等隱私信息,還可能造成經(jīng)濟(jì)損失甚至人身安全威脅。因此,越來(lái)越多的研究者開(kāi)始關(guān)注安全,但目前相關(guān)研究仍處于起步階段。本文總結(jié)了現(xiàn)狀,梳理了已有的智能家居標(biāo)準(zhǔn),分析智能家居存在的安全隱患并給出了相應(yīng)的。

  關(guān)鍵詞:智能家居;;;

  1 現(xiàn)狀

  智能家居以家庭住宅為載體,通過(guò)自動(dòng)控制、計(jì)算機(jī)以及物聯(lián)網(wǎng)等技術(shù),將家電控制、環(huán)境監(jiān)控、信息管理、影音娛樂(lè)等功能有機(jī)結(jié)合,為用戶提供更具便捷性、舒適性、與節(jié)能性的家庭生活環(huán)境。智能家居不單指某一獨(dú)立產(chǎn)品,而是一個(gè)廣泛的系統(tǒng)性安全性產(chǎn)品概念。

  智能家居起源于20世紀(jì)80年代,其發(fā)展歷程大致分為四個(gè)階段:第一階段主要基于同軸線、兩芯線進(jìn)行家庭組網(wǎng),實(shí)現(xiàn)燈光、窗簾控制和少量安防等功能。第二階段主要基于RS-485線,部分基于IP技術(shù)組網(wǎng),實(shí)現(xiàn)可視對(duì)講、安防等功能。第三階段實(shí)現(xiàn)了家庭智能控制的集中化,實(shí)現(xiàn)安防、控制、計(jì)量等業(yè)務(wù)。第四階段依靠全I(xiàn)P技術(shù),終端設(shè)備基于Zigbee、藍(lán)牙等技術(shù),業(yè)務(wù)提供采用“云”技術(shù),并可根據(jù)用戶實(shí)現(xiàn)定制化、個(gè)性化 [1] 。

  目前,智能家居發(fā)展正處于第四階段,涌現(xiàn)了眾多智能家居平臺(tái)廠商。蘋(píng)果、亞馬遜、三星等眾多國(guó)際互聯(lián)網(wǎng)巨頭均推出了智能家居平臺(tái),旨在為傳統(tǒng)硬件廠商提供智能化解決方案。國(guó)內(nèi)小米、百度等公司也積極發(fā)展智能家居,推出小愛(ài)同學(xué)與小度音箱等AI產(chǎn)品,推進(jìn)智慧生活落地。

  隨著智能家居產(chǎn)業(yè)蓬勃發(fā)展,其安全問(wèn)題也日益突出,安全事件頻頻發(fā)生,安全漏洞也逐漸增多。

  1.1 安全問(wèn)題頻發(fā)

  有關(guān)智能家居的安全事件日益增多。亞馬遜物聯(lián)網(wǎng)操作系統(tǒng)FreeRTOS以及AWS連接模塊被爆出存在13個(gè)安全漏洞。攻擊者可以利用這些漏洞破壞設(shè)備,獲取內(nèi)存中敏感信息以及遠(yuǎn)程運(yùn)行代碼,甚至可以獲得設(shè)備完全的控制權(quán) [2] 。思科研究人員發(fā)現(xiàn)三星智能家居平臺(tái)SmartThings Hub存在20多個(gè)漏洞。通過(guò)這些漏洞,攻擊者可執(zhí)行任意代碼(包括系統(tǒng)操作命令),進(jìn)而可攻擊第三方智能家居設(shè)備 [3] 。除平臺(tái)之外,研究人員也發(fā)現(xiàn)智能家居設(shè)備存在一些漏洞。電視里廣播的漢堡王廣告可以令Google Home音箱自動(dòng)訪問(wèn)維基百科 [4] ,卡通動(dòng)畫(huà)《南方公園》可以令A(yù)mazon Echo訪問(wèn)Amazon商城并自動(dòng)填滿用戶購(gòu)物車(chē) [5] 。據(jù)《智能門(mén)鎖網(wǎng)絡(luò)安全分析報(bào)告》分析,市面上一些智能門(mén)鎖存在安全問(wèn)題,攻擊者無(wú)需知道密碼即可打開(kāi)門(mén)鎖,可能給使用者造成經(jīng)濟(jì)甚至人身安全損失 [6]

  此外,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計(jì),2017年國(guó)家信息安全漏洞共享平臺(tái)(CNVD)共收錄了2440個(gè)有關(guān)聯(lián)網(wǎng)智能設(shè)備(此處聯(lián)網(wǎng)智能設(shè)備指物聯(lián)網(wǎng)設(shè)備)的安全漏洞,同比增長(zhǎng)高達(dá)118.4% [7] 。

  1.2 安全研究現(xiàn)狀

  隨著安全事件與安全漏洞的不斷增多,智能家居安全逐漸成為安全領(lǐng)域的重點(diǎn)研究方向。在《智能家居安全綜述》 [8] 中,作者歸納總結(jié)近幾年國(guó)內(nèi)外有關(guān)智能家居安全的文獻(xiàn),將安全問(wèn)題劃分為3個(gè)方面:平臺(tái)安全、設(shè)備安全和通信安全,并分析了這3方面智能家居安全研究現(xiàn)狀。

  平臺(tái)安全主要指智能家居平臺(tái)存在的各類安全問(wèn)題,包括用戶身份認(rèn)證、設(shè)備訪問(wèn)控制、設(shè)備聯(lián)動(dòng)安全以及智能音箱安全等方面。因此,目前平臺(tái)安全研究主要集中在身份認(rèn)證與訪問(wèn)控制方案設(shè)計(jì),發(fā)現(xiàn)設(shè)備聯(lián)動(dòng)與智能音箱等新場(chǎng)景的安全問(wèn)題。智能家居設(shè)備多種多樣,其安全漏洞數(shù)量也日益增多。

  相應(yīng)的,目前設(shè)備安全研究主要集中在設(shè)備固件漏洞挖掘和設(shè)備側(cè)信道分析等方向。

  通信協(xié)議安全主要用于保護(hù)用戶敏感信息在傳輸過(guò)程中不被泄露或竊取。因此,通信安全研究主要集中在協(xié)議漏洞挖掘和網(wǎng)絡(luò)流量分析,旨在發(fā)現(xiàn)流行的ZigBee、Bluetooth等協(xié)議中潛在的漏洞以及管控智能家居設(shè)備隱私泄露狀況,緩解智能家居安全威脅。

  1.3 安全標(biāo)準(zhǔn)現(xiàn)狀

  為更好的進(jìn)行智能家居安全研究工作,我們梳理了國(guó)內(nèi)外智能家居相關(guān)的標(biāo)準(zhǔn)。但目前國(guó)內(nèi)外關(guān)于智能家居的標(biāo)準(zhǔn)較少。

  國(guó)內(nèi)標(biāo)準(zhǔn)主要有《GB/T 35136-2017 智能家居自動(dòng)控制設(shè)備通用技術(shù)要求》 [9] ,該標(biāo)準(zhǔn)規(guī)定了家庭自動(dòng)化系統(tǒng)中家用電子設(shè)備自主協(xié)同工作所涉及的術(shù)語(yǔ)和定義、縮略語(yǔ)、通信要求、設(shè)備要求、控制要求和控制安全要求?!禛B/T 35143-2017 物聯(lián)網(wǎng)智能家居 數(shù)據(jù)和設(shè)備編碼》 [10] ,該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居中各種設(shè)備的基礎(chǔ)數(shù)據(jù)和運(yùn)行數(shù)據(jù)的編碼序號(hào),設(shè)備類型劃分和設(shè)備編碼規(guī)則。《GB/T 35134-2017 物聯(lián)網(wǎng)智能家居設(shè)備描述方法》 [11] ,該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居設(shè)備的描述方法、描述文件的格式要求、功能對(duì)象類型、描述文件元素的定義域和編碼、描述文件的使用流程和功能對(duì)象數(shù)據(jù)結(jié)構(gòu)。《GB/T 36464.2-2018 信息技術(shù) 智能語(yǔ)音交互系統(tǒng) 第2部分:智能家居》 [12] ,該標(biāo)準(zhǔn)規(guī)定了智能家居語(yǔ)音交互系統(tǒng)的術(shù)語(yǔ)和定義、系統(tǒng)框架、要求和測(cè)試方法(該標(biāo)準(zhǔn)將于2019年1月1日實(shí)施)?!禛B/T 34043-2017 物聯(lián)網(wǎng)智能家居 圖形符號(hào)》 [13] ,該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居系統(tǒng)圖形符號(hào)分類以及系統(tǒng)中智能家居用電器類、安防監(jiān)控類、環(huán)境監(jiān)控類、公共服務(wù)類、網(wǎng)絡(luò)設(shè)備類、影音娛樂(lè)類、通信協(xié)議類的圖形符號(hào)。中國(guó)智能家居產(chǎn)業(yè)聯(lián)盟團(tuán)標(biāo)《智能家居網(wǎng)絡(luò)系統(tǒng)安全技術(shù)要求》 [14] ,該標(biāo)準(zhǔn)規(guī)定了具有網(wǎng)絡(luò)功能的智能家居設(shè)備以及由這些設(shè)備組成的網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)要求。此外,TC260 WG6 通信安全標(biāo)準(zhǔn)工作組在研標(biāo)準(zhǔn)《信息安全技術(shù) 智能家居安全通用技術(shù)要求》。國(guó)際標(biāo)準(zhǔn)有《ISO/IEC TR 29108-2013 信息技術(shù).智能家居術(shù)語(yǔ)》 [15] ,該標(biāo)準(zhǔn)規(guī)定了未來(lái)在國(guó)際標(biāo)準(zhǔn)和其他智能家居規(guī)范中使用的術(shù)語(yǔ)。

  經(jīng)過(guò)梳理分析,我們發(fā)現(xiàn)國(guó)內(nèi)外有關(guān)智能家居安全標(biāo)準(zhǔn)相對(duì)較少,只有一個(gè)團(tuán)標(biāo)與在研標(biāo)準(zhǔn)。此外,目前的智能家居標(biāo)準(zhǔn)還沒(méi)有形成一個(gè)完整的體系,應(yīng)加大智能家居安全標(biāo)準(zhǔn)化工作。

1557034265922778.png

  2 智能家居

  基于以上研究,本部分著重分析智能家居存在的安全隱患。目前市面上流行的智能家居系統(tǒng)架構(gòu)主要包括云端、設(shè)備終端以及手機(jī)終端,如下圖1所示。基于文獻(xiàn)[8]與《智能硬件安全》 [16] ,本文將從智能家居云端、智能家居設(shè)備終端、智能家居手機(jī)終端以及智能家居通信四個(gè)方面分析其可能存在的。

  2.1 智能家居云端安全風(fēng)險(xiǎn)

  智能家居系統(tǒng)的云端一般用來(lái)存放智能家居設(shè)備收集的數(shù)據(jù)、管理控制程序以及管理平臺(tái)內(nèi)容等,主要實(shí)現(xiàn)的功能有:

 ?。?)數(shù)據(jù)聚合與分析:云端將智能家居設(shè)備終端收集的數(shù)據(jù)進(jìn)行存儲(chǔ)及智能處理分析。

 ?。?)管理、控制與協(xié)調(diào)不同的設(shè)備、系統(tǒng)與服務(wù):用戶可以通過(guò)APP與云端相結(jié)合進(jìn)行智能家居設(shè)備控制管理操作,進(jìn)而享受更便捷的家庭居住環(huán)境。

  云端面臨的安全風(fēng)險(xiǎn)主要有以下幾點(diǎn):

 ?。?)身份認(rèn)證與鑒別安全:身份認(rèn)證主要用來(lái)驗(yàn)證使用者身份,防范非法用戶對(duì)云端與設(shè)備的訪問(wèn),是信息安全的一個(gè)重要方面。攻擊者可利用云端身份認(rèn)證技術(shù)存在的漏洞進(jìn)行攻擊,譬如進(jìn)行弱口令爆破攻擊、挖掘用戶密碼修改流程中的漏洞以及嘗試認(rèn)證繞過(guò)等。

 ?。?)訪問(wèn)控制安全:訪問(wèn)控制技術(shù)的目的主要是阻止用戶(包括非法與合法用戶)對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問(wèn)。云端訪問(wèn)控制機(jī)制不健全時(shí),會(huì)造成嚴(yán)重的后果,譬如用戶A可以非法獲取用戶B的敏感信息或非法操作其智能家居設(shè)備。

  (3)Web安全:云端一般支持Web服務(wù),可能會(huì)存在XSS、CSRF以及SQL注入等常見(jiàn)的Web漏洞。與傳統(tǒng)攻擊手段類似,攻擊者可利用SQL注入竊取云端數(shù)據(jù)庫(kù)內(nèi)容,進(jìn)而獲取使用者賬號(hào)與密碼,從而可進(jìn)行查看用戶隱私與非法操控用戶智能家居設(shè)備等違法行為。

  (4)數(shù)據(jù)安全:云端收集大量用戶數(shù)據(jù),因此會(huì)存在信息泄露等風(fēng)險(xiǎn)。因此云端應(yīng)加密存儲(chǔ)數(shù)據(jù),防止數(shù)據(jù)泄露與被修改、刪除等。

 ?。?)系統(tǒng)安全:當(dāng)云端服務(wù)器或路由器等網(wǎng)絡(luò)設(shè)備使用的系統(tǒng)、軟件存在高危漏洞時(shí),攻擊者可通過(guò)這些漏洞進(jìn)行攻擊,進(jìn)而攻陷云端網(wǎng)絡(luò)設(shè)備,甚至可以控制整個(gè)服務(wù)。

  2.2 智能家居設(shè)備終端安全風(fēng)險(xiǎn)

  智能家居設(shè)備多種多樣,包括智能攝像頭、智能門(mén)鎖、智能音箱以及智能網(wǎng)關(guān)等,通常會(huì)存放用戶密碼、與云端交互的指令、控制協(xié)議等重要信息。我們可以從設(shè)備固件與其提供的服務(wù)等角度分析其存在的安全風(fēng)險(xiǎn)。

  智能家居設(shè)備終端也面臨身份認(rèn)證與鑒別以及訪問(wèn)控制兩大安全風(fēng)險(xiǎn)。為了便于遠(yuǎn)程管理,智能攝像頭、智能網(wǎng)關(guān)等設(shè)備往往都支持Web服務(wù),因此部分智能家居設(shè)備終端也面臨常見(jiàn)的Web漏洞威脅。此外,智能家居設(shè)備終端還存在以下安全風(fēng)險(xiǎn):(1)固件安全:因受資源環(huán)境限制,智能家居設(shè)備固件往往較簡(jiǎn)單。攻擊者可下載固件文件進(jìn)行反編譯,提取其文件系統(tǒng),通過(guò)靜態(tài)分析與動(dòng)態(tài)調(diào)試挖掘可能存在的漏洞,并嘗試?yán)冒l(fā)現(xiàn)的漏洞進(jìn)行攻擊。

 ?。?)軟件安全:當(dāng)設(shè)備系統(tǒng)軟件存在已知安全漏洞時(shí),其受到攻擊的風(fēng)險(xiǎn)將大大增加。此外,設(shè)備廠商應(yīng)提供可靠的軟件更新渠道,防止用戶因無(wú)法升級(jí)而受到已知漏洞攻擊。

  (3)側(cè)信道安全:攻擊者可使用側(cè)信道攻擊,通過(guò)分析智能家居設(shè)備運(yùn)行過(guò)程中時(shí)間消耗、功率消耗以及電磁輻射等信息來(lái)猜測(cè)有關(guān)用戶家庭環(huán)境和個(gè)人活動(dòng)的各種敏感數(shù)據(jù)。

  (4)芯片安全:隨著“英特爾芯片門(mén)事件”的爆發(fā),芯片安全也亟需重視。當(dāng)設(shè)備使用含有安全漏洞的芯片時(shí),將毫無(wú)安全可言。

 ?。?)端口與服務(wù)安全:攻擊者可對(duì)設(shè)備開(kāi)放的端口與服務(wù)進(jìn)行分析,尋找潛在的攻擊點(diǎn)。譬如當(dāng)智能家居設(shè)備開(kāi)啟Telnet服務(wù)時(shí),攻擊者可暴力破解用戶密碼。

  2.3 智能家居手機(jī)終端安全風(fēng)險(xiǎn)

  手機(jī)終端安全風(fēng)險(xiǎn)主要指與智能家居相關(guān)的APP面臨的安全威脅。APP一般會(huì)存放與云端交互的API接口,用戶注冊(cè)流程、密碼修改流程以及登錄流程等重要信息,一般存在身份認(rèn)證與鑒別、訪問(wèn)控制等安全風(fēng)險(xiǎn)。此外,因其特殊性,手機(jī)APP還會(huì)面臨以下安全風(fēng)險(xiǎn):

 ?。?)APP源代碼安全:為快速上線搶占市場(chǎng),大量手機(jī)APP客戶端并未對(duì)代碼進(jìn)行混淆,也未進(jìn)行加固。因此,攻擊者可較容易逆向找出源代碼,進(jìn)而可以通過(guò)代碼審計(jì)來(lái)挖掘漏洞,譬如可以對(duì)接口代碼進(jìn)行分析,獲取控制流程與登錄流程的內(nèi)容,亦可獲取密鑰與測(cè)試接口等敏感信息。

 ?。?)APP更新安全:有些手機(jī)APP客戶端未提供更新包驗(yàn)證機(jī)制,攻擊者可以將惡意程序植入APP更新包并誘導(dǎo)用戶安裝,從而達(dá)到控制智能家居設(shè)備的目的。

 ?。?)短信驗(yàn)證碼安全:一般情況下,APP客戶端賬戶注冊(cè)及修改密碼都需要短信驗(yàn)證碼。但有些APP并未對(duì)驗(yàn)證碼進(jìn)行有效性驗(yàn)證。攻擊者可利用短信驗(yàn)證碼繞過(guò)漏洞任意修改其他用戶密碼,進(jìn)而進(jìn)行違法犯罪行為。

 ?。?)越權(quán)控制:越權(quán)控制漏洞屬于訪問(wèn)與控制范疇。部分手機(jī)APP客戶端中部分功能存在越權(quán)漏洞,攻擊者可越權(quán)橫向控制其他用戶設(shè)備或縱向獲取云端或手機(jī)最高管理員權(quán)限。

  2.4 智能家居通信安全風(fēng)險(xiǎn)

  智能家居通信協(xié)議主要包括ZigBee、Bluetooth、MQTT以及CoAP等。對(duì)于通信安全,我們主要考慮分析手機(jī)端、云端與設(shè)備終端之間的流量關(guān)系,總結(jié)其面臨的安全風(fēng)險(xiǎn)。

 ?。?)協(xié)議加密:手機(jī)端與云端、云端與設(shè)備終端以及設(shè)備終端與云端之間數(shù)據(jù)傳輸若采取明文協(xié)議傳輸,將大大增大信息泄露的風(fēng)險(xiǎn)。譬如一些智能攝像頭使用未加密的RTSP協(xié)議進(jìn)行視頻傳輸,攻擊者只需把地址復(fù)制到一個(gè)能夠支持RTSP協(xié)議的播放器中,即可獲得當(dāng)前攝像頭的拍攝畫(huà)面。

 ?。?)協(xié)議破解:攻擊者可嘗試分析破解通信協(xié)議,進(jìn)而解密加密數(shù)據(jù)或進(jìn)行攻擊,譬如分析用戶登錄過(guò)程,破解出用戶與設(shè)備之間的對(duì)應(yīng)關(guān)系,進(jìn)而可通過(guò)修改設(shè)備標(biāo)識(shí)來(lái)橫向越權(quán)控制其他用戶的設(shè)備。

 ?。?)重放攻擊:部分協(xié)議設(shè)計(jì)之初未考慮安全因素,可能導(dǎo)致重放攻擊。

 ?。?)網(wǎng)絡(luò)流量分析:攻擊者可通過(guò)分析設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量,進(jìn)而得到用戶家庭環(huán)境或隱私等敏感信息。

  3

  3.1 智能家居云端防護(hù)建議

  對(duì)于智能家居云端,我們建議從以下幾方面進(jìn)行防護(hù)。

 ?。?)設(shè)計(jì)安全的身份訪問(wèn)與鑒別機(jī)制。

 ?。?)設(shè)計(jì)安全的訪問(wèn)控制機(jī)制。

 ?。?)采取設(shè)置防火墻等Web防護(hù)手段,保護(hù)Web安全,并定期進(jìn)行已知漏洞掃描與滲透攻擊工作,盡可能降低被攻擊的可能性。

 ?。?)對(duì)用戶密碼等敏感信息進(jìn)行加密存儲(chǔ),防止用戶隱私泄露,并做好備份與修復(fù)工作。

 ?。?)安裝必要的殺毒軟件,及時(shí)關(guān)注系統(tǒng)與軟件升級(jí)公告并做好升級(jí)工作,定期進(jìn)行已知漏洞掃描工作,減少已知漏洞威脅。

  3.2 智能家居設(shè)備終端防護(hù)建議

  對(duì)于智能家居設(shè)備終端,我們建議從以下幾方面進(jìn)行防護(hù)。

 ?。?)設(shè)計(jì)安全的身份訪問(wèn)與鑒別機(jī)制。

  (2)設(shè)計(jì)安全的訪問(wèn)控制機(jī)制。

 ?。?)固件采取必要的加固與混淆處理,增加逆向破解的成本。

  (4)做好軟件開(kāi)發(fā)與測(cè)試工作,防止系統(tǒng)軟件存在已知漏洞,譬如采取SDL開(kāi)發(fā)。

  (5)及時(shí)關(guān)注固件與軟件更新公告,做好升級(jí)工作,減少被入侵風(fēng)險(xiǎn)。

 ?。?)采取必要的手段抵御側(cè)信道攻擊。

 ?。?) 使 用 或 研 發(fā) 安 全 芯 片 , 防 止 出 現(xiàn) 類 似Meltdown和Spectre等漏洞。

 ?。?)根據(jù)實(shí)際情況,采用“最小權(quán)限原則”與“默認(rèn)拒絕”策略,默認(rèn)關(guān)閉不必要的服務(wù)與端口,譬如關(guān)閉Telnet、FTP服務(wù)等。

  3.3 智能家居手機(jī)終端防護(hù)建議

  對(duì)于手機(jī)APP,我們建議從以下幾方面進(jìn)行防護(hù)。

 ?。?)設(shè)計(jì)安全的身份訪問(wèn)與鑒別機(jī)制。

 ?。?)設(shè)計(jì)安全的訪問(wèn)控制機(jī)制。

 ?。?)增強(qiáng)身份驗(yàn)證,明確用戶與權(quán)限之間的對(duì)應(yīng)關(guān)系,采取“最小權(quán)限原則”與“默認(rèn)拒絕”策略,防止出現(xiàn)越權(quán)漏洞,此外服務(wù)端需要做好驗(yàn)證,防止出現(xiàn)短信驗(yàn)證碼繞過(guò)問(wèn)題。

  (4)源代碼進(jìn)行必要的加固、混淆處理,增加逆向破解的成本。

 ?。?)手機(jī)安裝必要?dú)⒍拒浖?,及時(shí)關(guān)注APP升級(jí)公告,做好升級(jí)工作,減少被入侵風(fēng)險(xiǎn),且必須在正規(guī)官方下載地址下載升級(jí)包。

  3.4 智能家居通信防護(hù)建議

  對(duì)于通信協(xié)議,我們建議從以下幾方面進(jìn)行防護(hù)。

 ?。?)加密傳輸數(shù)據(jù),并使用安全強(qiáng)度較高的加密算法,如AES、SM4等國(guó)內(nèi)外標(biāo)準(zhǔn)加密算法,避免使用base64、DES等不安全算法,防止信息泄露與竊取。

 ?。?)使用成熟且安全強(qiáng)度較高的通信協(xié)議,防止協(xié)議被破解。

 ?。?)加強(qiáng)認(rèn)證過(guò)程,確保傳輸數(shù)據(jù)與用戶隱私內(nèi)容等不被第三方越權(quán)獲取。

 ?。?)采取添加隨機(jī)數(shù)、時(shí)間戳等方式防止重放攻擊。

  4 結(jié)論

  智能家居安全問(wèn)題愈發(fā)嚴(yán)峻,逐漸成為熱點(diǎn)研究問(wèn)題,但目前相關(guān)研究仍處于起步階段。本文總結(jié)了智能家居安全現(xiàn)狀,梳理了目前的智能家居標(biāo)準(zhǔn)化情況,并基于已有文獻(xiàn)與安全案例,歸納分析智能家居存在的安全隱患并給出了相應(yīng)的防護(hù)建議。希望為智能家居安全與安全標(biāo)準(zhǔn)化工作提供一定的參考。

  參考文獻(xiàn)

  [1]童曉渝, 房秉毅, 張?jiān)朴? 物聯(lián)網(wǎng)智能家居發(fā)展分析[J]. 移動(dòng)通信, 2010, 34(9):16-20.[2018-11-30].

  [2]Khandelwal S. Critical Flaws Found in Amazon FreeRTOS IoT Operating System. [EB/OL].

  [2018-11-30]. https://thehackernews.com/2018/10/amazon-freertos-iot-os.html

  [3]Paganini P. Tens of flaws in Samsung SmartThings Hub expose smart home to attack. [EB/OL]. [2018-11-30].https://securityaffairs.co/wordpress/74888/hacking/samsung-smartthings-hub-flaws.html

  [4]Wong V. Burger King’s new ad will hijack your Google home. [EB/OL]. [2018-11-30].https://www.cnbc.com/2017/04/12/burger-kings-ad-will-hijack-your-google-home.html

  [5]Pullen J P. Amazon echo owners were pranked by south park and their alexas will makethem laugh for weeks. [EB/OL]. [2018-11-30]. http://fortyne.com/2017/09/14/watch-south-park-alexa-echo

  [6]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室, 啟明星辰積極防御實(shí)驗(yàn)室(ADLab),北京同余科技有限公司, 云丁網(wǎng)絡(luò)技術(shù)(北京)有限公司. 智能門(mén)鎖網(wǎng)絡(luò)安全分析報(bào)告. [EB/OL]. [2018-11-30]. https://mp.weixin.qq.com/s/ErK_HlBnohMy4lrIdvhxqA

  [7]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心. 2017年我國(guó)股聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL]. [2018-11-30]. http://www.cac.gov.cn/2018-05/30/c_1122910613.htm

  [8]王基策,李意蓮,賈巖,周威,王宇成,王鶴,張玉清.智能家居安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2018,55(10):2111-2124

  [9]GB/T 35136-2017 智能家居自動(dòng)控制設(shè)備通用技術(shù)要求

  [10]GB/T 35143-2017 物聯(lián)網(wǎng)智能家居 數(shù)據(jù)和設(shè)備編碼

  [11]GB/T 35134-2017 物聯(lián)網(wǎng)智能家居 設(shè)備描述方法

  [12]GB/T 36464.2-2018 信息技術(shù) 智能語(yǔ)音交互系統(tǒng) 第2部分:智能家居

  [13]GB/T 34043-2017 物聯(lián)網(wǎng)智能家居 圖形符號(hào)

  [14]T/CSHIA 001-2018 智能家居網(wǎng)絡(luò)系統(tǒng)安全技術(shù)要求

  [15]ISO/IEC TR 29108-2013 信息技術(shù).智能家居術(shù)語(yǔ)

  [16]劉健皓, 王奧博, 賈文曉, 嚴(yán)敏睿: 智能硬件安全 [M]. 北京: 電子工業(yè)出版社.

  [2018-11-30].

  [17]付凱, 倪平. 網(wǎng)絡(luò)攝像機(jī)系統(tǒng)安全隱患及防護(hù)研究[J]. 現(xiàn)代電信科技, 2017(6).

  [2018-11-30].

  本文來(lái)源于科技期刊《電子產(chǎn)品世界》2019年第5期第72頁(yè),歡迎您寫(xiě)論文時(shí)引用,并注明出處



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉