智能家居安全風(fēng)險(xiǎn)與防護(hù)研究

　　Research On Smart Home Security Risk And Protection

　　付凱，李莉，楊子羿，張洋

　　（中國(guó)信息通信研究院，北京 100191）

　　摘要：隨著物聯(lián)網(wǎng)、大數(shù)據(jù)與人工智能等技術(shù)的不斷發(fā)展，智能家居產(chǎn)業(yè)日益繁榮。由于智能家居應(yīng)用場(chǎng)景的特殊性與私密性，其安全問題不容忽視，安全漏洞的存在可能導(dǎo)致嚴(yán)重后果，不僅會(huì)泄露用戶家庭住址、談話內(nèi)容等隱私信息，還可能造成經(jīng)濟(jì)損失甚至人身安全威脅。因此，越來越多的研究者開始關(guān)注智能家居安全，但目前相關(guān)研究仍處于起步階段。本文總結(jié)了智能家居安全現(xiàn)狀，梳理了已有的智能家居標(biāo)準(zhǔn)，分析智能家居存在的安全隱患并給出了相應(yīng)的防護(hù)建議。

　　關(guān)鍵詞：智能家居；智能家居安全；安全風(fēng)險(xiǎn)；防護(hù)建議

　　1 智能家居安全現(xiàn)狀

　　智能家居以家庭住宅為載體，通過自動(dòng)控制、計(jì)算機(jī)以及物聯(lián)網(wǎng)等技術(shù)，將家電控制、環(huán)境監(jiān)控、信息管理、影音娛樂等功能有機(jī)結(jié)合，為用戶提供更具便捷性、舒適性、與節(jié)能性的家庭生活環(huán)境。智能家居不單指某一獨(dú)立產(chǎn)品，而是一個(gè)廣泛的系統(tǒng)性安全性產(chǎn)品概念。

　　智能家居起源于20世紀(jì)80年代，其發(fā)展歷程大致分為四個(gè)階段：第一階段主要基于同軸線、兩芯線進(jìn)行家庭組網(wǎng)，實(shí)現(xiàn)燈光、窗簾控制和少量安防等功能。第二階段主要基于RS-485線，部分基于IP技術(shù)組網(wǎng)，實(shí)現(xiàn)可視對(duì)講、安防等功能。第三階段實(shí)現(xiàn)了家庭智能控制的集中化，實(shí)現(xiàn)安防、控制、計(jì)量等業(yè)務(wù)。第四階段依靠全I(xiàn)P技術(shù)，終端設(shè)備基于Zigbee、藍(lán)牙等技術(shù)，業(yè)務(wù)提供采用“云”技術(shù)，并可根據(jù)用戶實(shí)現(xiàn)定制化、個(gè)性化 ^[1] 。

　　目前，智能家居發(fā)展正處于第四階段，涌現(xiàn)了眾多智能家居平臺(tái)廠商。蘋果、亞馬遜、三星等眾多國(guó)際互聯(lián)網(wǎng)巨頭均推出了智能家居平臺(tái)，旨在為傳統(tǒng)硬件廠商提供智能化解決方案。國(guó)內(nèi)小米、百度等公司也積極發(fā)展智能家居，推出小愛同學(xué)與小度音箱等AI產(chǎn)品，推進(jìn)智慧生活落地。

　　隨著智能家居產(chǎn)業(yè)蓬勃發(fā)展，其安全問題也日益突出，安全事件頻頻發(fā)生，安全漏洞也逐漸增多。

　　1.1 安全問題頻發(fā)

　　有關(guān)智能家居的安全事件日益增多。亞馬遜物聯(lián)網(wǎng)操作系統(tǒng)FreeRTOS以及AWS連接模塊被爆出存在13個(gè)安全漏洞。攻擊者可以利用這些漏洞破壞設(shè)備，獲取內(nèi)存中敏感信息以及遠(yuǎn)程運(yùn)行代碼，甚至可以獲得設(shè)備完全的控制權(quán) ^[2] 。思科研究人員發(fā)現(xiàn)三星智能家居平臺(tái)SmartThings Hub存在20多個(gè)漏洞。通過這些漏洞，攻擊者可執(zhí)行任意代碼（包括系統(tǒng)操作命令），進(jìn)而可攻擊第三方智能家居設(shè)備 ^[3] 。除平臺(tái)之外，研究人員也發(fā)現(xiàn)智能家居設(shè)備存在一些漏洞。電視里廣播的漢堡王廣告可以令Google Home音箱自動(dòng)訪問維基百科 ^[4] ，卡通動(dòng)畫《南方公園》可以令A(yù)mazon Echo訪問Amazon商城并自動(dòng)填滿用戶購(gòu)物車 ^[5] 。據(jù)《智能門鎖網(wǎng)絡(luò)安全分析報(bào)告》分析，市面上一些智能門鎖存在安全問題，攻擊者無需知道密碼即可打開門鎖，可能給使用者造成經(jīng)濟(jì)甚至人身安全損失 ^[6] 。

　　此外，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計(jì)，2017年國(guó)家信息安全漏洞共享平臺(tái)（CNVD）共收錄了2440個(gè)有關(guān)聯(lián)網(wǎng)智能設(shè)備（此處聯(lián)網(wǎng)智能設(shè)備指物聯(lián)網(wǎng)設(shè)備）的安全漏洞，同比增長(zhǎng)高達(dá)118.4% ^[7] 。

　　1.2 安全研究現(xiàn)狀

　　隨著安全事件與安全漏洞的不斷增多，智能家居安全逐漸成為安全領(lǐng)域的重點(diǎn)研究方向。在《智能家居安全綜述》 ^[8] 中，作者歸納總結(jié)近幾年國(guó)內(nèi)外有關(guān)智能家居安全的文獻(xiàn)，將安全問題劃分為3個(gè)方面：平臺(tái)安全、設(shè)備安全和通信安全，并分析了這3方面智能家居安全研究現(xiàn)狀。

　　平臺(tái)安全主要指智能家居平臺(tái)存在的各類安全問題，包括用戶身份認(rèn)證、設(shè)備訪問控制、設(shè)備聯(lián)動(dòng)安全以及智能音箱安全等方面。因此，目前平臺(tái)安全研究主要集中在身份認(rèn)證與訪問控制方案設(shè)計(jì)，發(fā)現(xiàn)設(shè)備聯(lián)動(dòng)與智能音箱等新場(chǎng)景的安全問題。智能家居設(shè)備多種多樣，其安全漏洞數(shù)量也日益增多。

　　相應(yīng)的，目前設(shè)備安全研究主要集中在設(shè)備固件漏洞挖掘和設(shè)備側(cè)信道分析等方向。

　　通信協(xié)議安全主要用于保護(hù)用戶敏感信息在傳輸過程中不被泄露或竊取。因此，通信安全研究主要集中在協(xié)議漏洞挖掘和網(wǎng)絡(luò)流量分析，旨在發(fā)現(xiàn)流行的ZigBee、Bluetooth等協(xié)議中潛在的漏洞以及管控智能家居設(shè)備隱私泄露狀況，緩解智能家居安全威脅。

　　1.3 安全標(biāo)準(zhǔn)現(xiàn)狀

　　為更好的進(jìn)行智能家居安全研究工作，我們梳理了國(guó)內(nèi)外智能家居相關(guān)的標(biāo)準(zhǔn)。但目前國(guó)內(nèi)外關(guān)于智能家居的標(biāo)準(zhǔn)較少。

　　國(guó)內(nèi)標(biāo)準(zhǔn)主要有《GB/T 35136-2017 智能家居自動(dòng)控制設(shè)備通用技術(shù)要求》 ^[9] ，該標(biāo)準(zhǔn)規(guī)定了家庭自動(dòng)化系統(tǒng)中家用電子設(shè)備自主協(xié)同工作所涉及的術(shù)語和定義、縮略語、通信要求、設(shè)備要求、控制要求和控制安全要求?！禛B/T 35143-2017 物聯(lián)網(wǎng)智能家居 數(shù)據(jù)和設(shè)備編碼》 ^[10] ，該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居中各種設(shè)備的基礎(chǔ)數(shù)據(jù)和運(yùn)行數(shù)據(jù)的編碼序號(hào)，設(shè)備類型劃分和設(shè)備編碼規(guī)則?！禛B/T 35134-2017 物聯(lián)網(wǎng)智能家居設(shè)備描述方法》 ^[11] ，該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居設(shè)備的描述方法、描述文件的格式要求、功能對(duì)象類型、描述文件元素的定義域和編碼、描述文件的使用流程和功能對(duì)象數(shù)據(jù)結(jié)構(gòu)?！禛B/T 36464.2-2018 信息技術(shù) 智能語音交互系統(tǒng) 第2部分：智能家居》 ^[12] ，該標(biāo)準(zhǔn)規(guī)定了智能家居語音交互系統(tǒng)的術(shù)語和定義、系統(tǒng)框架、要求和測(cè)試方法（該標(biāo)準(zhǔn)將于2019年1月1日實(shí)施）?！禛B/T 34043-2017 物聯(lián)網(wǎng)智能家居 圖形符號(hào)》 ^[13] ，該標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)智能家居系統(tǒng)圖形符號(hào)分類以及系統(tǒng)中智能家居用電器類、安防監(jiān)控類、環(huán)境監(jiān)控類、公共服務(wù)類、網(wǎng)絡(luò)設(shè)備類、影音娛樂類、通信協(xié)議類的圖形符號(hào)。中國(guó)智能家居產(chǎn)業(yè)聯(lián)盟團(tuán)標(biāo)《智能家居網(wǎng)絡(luò)系統(tǒng)安全技術(shù)要求》 ^[14] ，該標(biāo)準(zhǔn)規(guī)定了具有網(wǎng)絡(luò)功能的智能家居設(shè)備以及由這些設(shè)備組成的網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)要求。此外，TC260 WG6 通信安全標(biāo)準(zhǔn)工作組在研標(biāo)準(zhǔn)《信息安全技術(shù) 智能家居安全通用技術(shù)要求》。國(guó)際標(biāo)準(zhǔn)有《ISO/IEC TR 29108-2013 信息技術(shù).智能家居術(shù)語》 ^[15] ，該標(biāo)準(zhǔn)規(guī)定了未來在國(guó)際標(biāo)準(zhǔn)和其他智能家居規(guī)范中使用的術(shù)語。

　　經(jīng)過梳理分析，我們發(fā)現(xiàn)國(guó)內(nèi)外有關(guān)智能家居安全標(biāo)準(zhǔn)相對(duì)較少，只有一個(gè)團(tuán)標(biāo)與在研標(biāo)準(zhǔn)。此外，目前的智能家居標(biāo)準(zhǔn)還沒有形成一個(gè)完整的體系，應(yīng)加大智能家居安全標(biāo)準(zhǔn)化工作。

　　2 智能家居安全風(fēng)險(xiǎn)

　　基于以上研究，本部分著重分析智能家居存在的安全隱患。目前市面上流行的智能家居系統(tǒng)架構(gòu)主要包括云端、設(shè)備終端以及手機(jī)終端，如下圖1所示。基于文獻(xiàn)[8]與《智能硬件安全》 ^[16] ，本文將從智能家居云端、智能家居設(shè)備終端、智能家居手機(jī)終端以及智能家居通信四個(gè)方面分析其可能存在的安全風(fēng)險(xiǎn)。

　　2.1 智能家居云端安全風(fēng)險(xiǎn)

　　智能家居系統(tǒng)的云端一般用來存放智能家居設(shè)備收集的數(shù)據(jù)、管理控制程序以及管理平臺(tái)內(nèi)容等，主要實(shí)現(xiàn)的功能有：

　?。?）數(shù)據(jù)聚合與分析：云端將智能家居設(shè)備終端收集的數(shù)據(jù)進(jìn)行存儲(chǔ)及智能處理分析。

　　（2）管理、控制與協(xié)調(diào)不同的設(shè)備、系統(tǒng)與服務(wù)：用戶可以通過APP與云端相結(jié)合進(jìn)行智能家居設(shè)備控制管理操作，進(jìn)而享受更便捷的家庭居住環(huán)境。

　　云端面臨的安全風(fēng)險(xiǎn)主要有以下幾點(diǎn)：

　?。?）身份認(rèn)證與鑒別安全：身份認(rèn)證主要用來驗(yàn)證使用者身份，防范非法用戶對(duì)云端與設(shè)備的訪問，是信息安全的一個(gè)重要方面。攻擊者可利用云端身份認(rèn)證技術(shù)存在的漏洞進(jìn)行攻擊，譬如進(jìn)行弱口令爆破攻擊、挖掘用戶密碼修改流程中的漏洞以及嘗試認(rèn)證繞過等。

　　（2）訪問控制安全：訪問控制技術(shù)的目的主要是阻止用戶（包括非法與合法用戶）對(duì)受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。云端訪問控制機(jī)制不健全時(shí)，會(huì)造成嚴(yán)重的后果，譬如用戶A可以非法獲取用戶B的敏感信息或非法操作其智能家居設(shè)備。

　?。?）Web安全：云端一般支持Web服務(wù)，可能會(huì)存在XSS、CSRF以及SQL注入等常見的Web漏洞。與傳統(tǒng)攻擊手段類似，攻擊者可利用SQL注入竊取云端數(shù)據(jù)庫(kù)內(nèi)容，進(jìn)而獲取使用者賬號(hào)與密碼，從而可進(jìn)行查看用戶隱私與非法操控用戶智能家居設(shè)備等違法行為。

　?。?）數(shù)據(jù)安全：云端收集大量用戶數(shù)據(jù)，因此會(huì)存在信息泄露等風(fēng)險(xiǎn)。因此云端應(yīng)加密存儲(chǔ)數(shù)據(jù)，防止數(shù)據(jù)泄露與被修改、刪除等。

　?。?）系統(tǒng)安全：當(dāng)云端服務(wù)器或路由器等網(wǎng)絡(luò)設(shè)備使用的系統(tǒng)、軟件存在高危漏洞時(shí)，攻擊者可通過這些漏洞進(jìn)行攻擊，進(jìn)而攻陷云端網(wǎng)絡(luò)設(shè)備，甚至可以控制整個(gè)服務(wù)。

　　2.2 智能家居設(shè)備終端安全風(fēng)險(xiǎn)

　　智能家居設(shè)備多種多樣，包括智能攝像頭、智能門鎖、智能音箱以及智能網(wǎng)關(guān)等，通常會(huì)存放用戶密碼、與云端交互的指令、控制協(xié)議等重要信息。我們可以從設(shè)備固件與其提供的服務(wù)等角度分析其存在的安全風(fēng)險(xiǎn)。

　　智能家居設(shè)備終端也面臨身份認(rèn)證與鑒別以及訪問控制兩大安全風(fēng)險(xiǎn)。為了便于遠(yuǎn)程管理，智能攝像頭、智能網(wǎng)關(guān)等設(shè)備往往都支持Web服務(wù)，因此部分智能家居設(shè)備終端也面臨常見的Web漏洞威脅。此外，智能家居設(shè)備終端還存在以下安全風(fēng)險(xiǎn)：（1）固件安全：因受資源環(huán)境限制，智能家居設(shè)備固件往往較簡(jiǎn)單。攻擊者可下載固件文件進(jìn)行反編譯，提取其文件系統(tǒng)，通過靜態(tài)分析與動(dòng)態(tài)調(diào)試挖掘可能存在的漏洞，并嘗試?yán)冒l(fā)現(xiàn)的漏洞進(jìn)行攻擊。

　?。?）軟件安全：當(dāng)設(shè)備系統(tǒng)軟件存在已知安全漏洞時(shí)，其受到攻擊的風(fēng)險(xiǎn)將大大增加。此外，設(shè)備廠商應(yīng)提供可靠的軟件更新渠道，防止用戶因無法升級(jí)而受到已知漏洞攻擊。

　?。?）側(cè)信道安全：攻擊者可使用側(cè)信道攻擊，通過分析智能家居設(shè)備運(yùn)行過程中時(shí)間消耗、功率消耗以及電磁輻射等信息來猜測(cè)有關(guān)用戶家庭環(huán)境和個(gè)人活動(dòng)的各種敏感數(shù)據(jù)。

　?。?）芯片安全：隨著“英特爾芯片門事件”的爆發(fā)，芯片安全也亟需重視。當(dāng)設(shè)備使用含有安全漏洞的芯片時(shí)，將毫無安全可言。

　?。?）端口與服務(wù)安全：攻擊者可對(duì)設(shè)備開放的端口與服務(wù)進(jìn)行分析，尋找潛在的攻擊點(diǎn)。譬如當(dāng)智能家居設(shè)備開啟Telnet服務(wù)時(shí)，攻擊者可暴力破解用戶密碼。

　　2.3 智能家居手機(jī)終端安全風(fēng)險(xiǎn)

　　手機(jī)終端安全風(fēng)險(xiǎn)主要指與智能家居相關(guān)的APP面臨的安全威脅。APP一般會(huì)存放與云端交互的API接口，用戶注冊(cè)流程、密碼修改流程以及登錄流程等重要信息，一般存在身份認(rèn)證與鑒別、訪問控制等安全風(fēng)險(xiǎn)。此外，因其特殊性，手機(jī)APP還會(huì)面臨以下安全風(fēng)險(xiǎn)：

　　（1）APP源代碼安全：為快速上線搶占市場(chǎng)，大量手機(jī)APP客戶端并未對(duì)代碼進(jìn)行混淆，也未進(jìn)行加固。因此，攻擊者可較容易逆向找出源代碼，進(jìn)而可以通過代碼審計(jì)來挖掘漏洞，譬如可以對(duì)接口代碼進(jìn)行分析，獲取控制流程與登錄流程的內(nèi)容，亦可獲取密鑰與測(cè)試接口等敏感信息。

　?。?）APP更新安全：有些手機(jī)APP客戶端未提供更新包驗(yàn)證機(jī)制，攻擊者可以將惡意程序植入APP更新包并誘導(dǎo)用戶安裝，從而達(dá)到控制智能家居設(shè)備的目的。

　　（3）短信驗(yàn)證碼安全：一般情況下，APP客戶端賬戶注冊(cè)及修改密碼都需要短信驗(yàn)證碼。但有些APP并未對(duì)驗(yàn)證碼進(jìn)行有效性驗(yàn)證。攻擊者可利用短信驗(yàn)證碼繞過漏洞任意修改其他用戶密碼，進(jìn)而進(jìn)行違法犯罪行為。

　?。?）越權(quán)控制：越權(quán)控制漏洞屬于訪問與控制范疇。部分手機(jī)APP客戶端中部分功能存在越權(quán)漏洞，攻擊者可越權(quán)橫向控制其他用戶設(shè)備或縱向獲取云端或手機(jī)最高管理員權(quán)限。

　　2.4 智能家居通信安全風(fēng)險(xiǎn)

　　智能家居通信協(xié)議主要包括ZigBee、Bluetooth、MQTT以及CoAP等。對(duì)于通信安全，我們主要考慮分析手機(jī)端、云端與設(shè)備終端之間的流量關(guān)系，總結(jié)其面臨的安全風(fēng)險(xiǎn)。

　?。?）協(xié)議加密：手機(jī)端與云端、云端與設(shè)備終端以及設(shè)備終端與云端之間數(shù)據(jù)傳輸若采取明文協(xié)議傳輸，將大大增大信息泄露的風(fēng)險(xiǎn)。譬如一些智能攝像頭使用未加密的RTSP協(xié)議進(jìn)行視頻傳輸，攻擊者只需把地址復(fù)制到一個(gè)能夠支持RTSP協(xié)議的播放器中，即可獲得當(dāng)前攝像頭的拍攝畫面。

　?。?）協(xié)議破解：攻擊者可嘗試分析破解通信協(xié)議，進(jìn)而解密加密數(shù)據(jù)或進(jìn)行攻擊，譬如分析用戶登錄過程，破解出用戶與設(shè)備之間的對(duì)應(yīng)關(guān)系，進(jìn)而可通過修改設(shè)備標(biāo)識(shí)來橫向越權(quán)控制其他用戶的設(shè)備。

　?。?）重放攻擊：部分協(xié)議設(shè)計(jì)之初未考慮安全因素，可能導(dǎo)致重放攻擊。

　　（4）網(wǎng)絡(luò)流量分析：攻擊者可通過分析設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量，進(jìn)而得到用戶家庭環(huán)境或隱私等敏感信息。

　　3 防護(hù)建議

　　3.1 智能家居云端防護(hù)建議

　　對(duì)于智能家居云端，我們建議從以下幾方面進(jìn)行防護(hù)。

　?。?）設(shè)計(jì)安全的身份訪問與鑒別機(jī)制。

　?。?）設(shè)計(jì)安全的訪問控制機(jī)制。

　?。?）采取設(shè)置防火墻等Web防護(hù)手段，保護(hù)Web安全，并定期進(jìn)行已知漏洞掃描與滲透攻擊工作，盡可能降低被攻擊的可能性。

　　（4）對(duì)用戶密碼等敏感信息進(jìn)行加密存儲(chǔ)，防止用戶隱私泄露，并做好備份與修復(fù)工作。

　?。?）安裝必要的殺毒軟件，及時(shí)關(guān)注系統(tǒng)與軟件升級(jí)公告并做好升級(jí)工作，定期進(jìn)行已知漏洞掃描工作，減少已知漏洞威脅。

　　3.2 智能家居設(shè)備終端防護(hù)建議

　　對(duì)于智能家居設(shè)備終端，我們建議從以下幾方面進(jìn)行防護(hù)。

　?。?）設(shè)計(jì)安全的身份訪問與鑒別機(jī)制。

　　（2）設(shè)計(jì)安全的訪問控制機(jī)制。

　?。?）固件采取必要的加固與混淆處理，增加逆向破解的成本。

　?。?）做好軟件開發(fā)與測(cè)試工作，防止系統(tǒng)軟件存在已知漏洞，譬如采取SDL開發(fā)。

　?。?）及時(shí)關(guān)注固件與軟件更新公告，做好升級(jí)工作，減少被入侵風(fēng)險(xiǎn)。

　　（6）采取必要的手段抵御側(cè)信道攻擊。

　?。?） 使 用 或 研 發(fā) 安 全 芯 片 ， 防 止 出 現(xiàn) 類 似Meltdown和Spectre等漏洞。

　?。?）根據(jù)實(shí)際情況，采用“最小權(quán)限原則”與“默認(rèn)拒絕”策略，默認(rèn)關(guān)閉不必要的服務(wù)與端口，譬如關(guān)閉Telnet、FTP服務(wù)等。

　　3.3 智能家居手機(jī)終端防護(hù)建議

　　對(duì)于手機(jī)APP，我們建議從以下幾方面進(jìn)行防護(hù)。

　　（1）設(shè)計(jì)安全的身份訪問與鑒別機(jī)制。

　?。?）設(shè)計(jì)安全的訪問控制機(jī)制。

　?。?）增強(qiáng)身份驗(yàn)證，明確用戶與權(quán)限之間的對(duì)應(yīng)關(guān)系，采取“最小權(quán)限原則”與“默認(rèn)拒絕”策略，防止出現(xiàn)越權(quán)漏洞，此外服務(wù)端需要做好驗(yàn)證，防止出現(xiàn)短信驗(yàn)證碼繞過問題。

　　（4）源代碼進(jìn)行必要的加固、混淆處理，增加逆向破解的成本。

　?。?）手機(jī)安裝必要?dú)⒍拒浖?，及時(shí)關(guān)注APP升級(jí)公告，做好升級(jí)工作，減少被入侵風(fēng)險(xiǎn)，且必須在正規(guī)官方下載地址下載升級(jí)包。

　　3.4 智能家居通信防護(hù)建議

　　對(duì)于通信協(xié)議，我們建議從以下幾方面進(jìn)行防護(hù)。

　?。?）加密傳輸數(shù)據(jù)，并使用安全強(qiáng)度較高的加密算法，如AES、SM4等國(guó)內(nèi)外標(biāo)準(zhǔn)加密算法，避免使用base64、DES等不安全算法，防止信息泄露與竊取。

　　（2）使用成熟且安全強(qiáng)度較高的通信協(xié)議，防止協(xié)議被破解。

　　（3）加強(qiáng)認(rèn)證過程，確保傳輸數(shù)據(jù)與用戶隱私內(nèi)容等不被第三方越權(quán)獲取。

　?。?）采取添加隨機(jī)數(shù)、時(shí)間戳等方式防止重放攻擊。

　　4 結(jié)論

　　智能家居安全問題愈發(fā)嚴(yán)峻，逐漸成為熱點(diǎn)研究問題，但目前相關(guān)研究仍處于起步階段。本文總結(jié)了智能家居安全現(xiàn)狀，梳理了目前的智能家居標(biāo)準(zhǔn)化情況，并基于已有文獻(xiàn)與安全案例，歸納分析智能家居存在的安全隱患并給出了相應(yīng)的防護(hù)建議。希望為智能家居安全與安全標(biāo)準(zhǔn)化工作提供一定的參考。

　　參考文獻(xiàn)

　　[1]童曉渝, 房秉毅, 張?jiān)朴? 物聯(lián)網(wǎng)智能家居發(fā)展分析[J]. 移動(dòng)通信, 2010, 34(9):16-20.[2018-11-30].

　　[2]Khandelwal S. Critical Flaws Found in Amazon FreeRTOS IoT Operating System. [EB/OL].

　　[2018-11-30]. https://thehackernews.com/2018/10/amazon-freertos-iot-os.html

　　[3]Paganini P. Tens of flaws in Samsung SmartThings Hub expose smart home to attack. [EB/OL]. [2018-11-30].https://securityaffairs.co/wordpress/74888/hacking/samsung-smartthings-hub-flaws.html

　　[4]Wong V. Burger King’s new ad will hijack your Google home. [EB/OL]. [2018-11-30].https://www.cnbc.com/2017/04/12/burger-kings-ad-will-hijack-your-google-home.html

　　[5]Pullen J P. Amazon echo owners were pranked by south park and their alexas will makethem laugh for weeks. [EB/OL]. [2018-11-30]. http://fortyne.com/2017/09/14/watch-south-park-alexa-echo

　　[6]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室, 啟明星辰積極防御實(shí)驗(yàn)室（ADLab）,北京同余科技有限公司, 云丁網(wǎng)絡(luò)技術(shù)（北京）有限公司. 智能門鎖網(wǎng)絡(luò)安全分析報(bào)告. [EB/OL]. [2018-11-30]. https://mp.weixin.qq.com/s/ErK_HlBnohMy4lrIdvhxqA

　　[7]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心. 2017年我國(guó)股聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL]. [2018-11-30]. http://www.cac.gov.cn/2018-05/30/c_1122910613.htm

　　[8]王基策,李意蓮,賈巖,周威,王宇成,王鶴,張玉清.智能家居安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2018,55(10):2111-2124

　　[9]GB/T 35136-2017 智能家居自動(dòng)控制設(shè)備通用技術(shù)要求

　　[10]GB/T 35143-2017 物聯(lián)網(wǎng)智能家居 數(shù)據(jù)和設(shè)備編碼

　　[11]GB/T 35134-2017 物聯(lián)網(wǎng)智能家居 設(shè)備描述方法

　　[12]GB/T 36464.2-2018 信息技術(shù) 智能語音交互系統(tǒng) 第2部分：智能家居

　　[13]GB/T 34043-2017 物聯(lián)網(wǎng)智能家居 圖形符號(hào)

　　[14]T/CSHIA 001-2018 智能家居網(wǎng)絡(luò)系統(tǒng)安全技術(shù)要求

　　[15]ISO/IEC TR 29108-2013 信息技術(shù).智能家居術(shù)語

　　[16]劉健皓, 王奧博, 賈文曉, 嚴(yán)敏睿: 智能硬件安全 [M]. 北京: 電子工業(yè)出版社.

　　[2018-11-30].

　　[17]付凱, 倪平. 網(wǎng)絡(luò)攝像機(jī)系統(tǒng)安全隱患及防護(hù)研究[J]. 現(xiàn)代電信科技, 2017(6).

　　[2018-11-30].

　　本文來源于科技期刊《電子產(chǎn)品世界》2019年第5期第72頁，歡迎您寫論文時(shí)引用，并注明出處