基于物聯(lián)網(wǎng)的安全研究

黃石平

摘要：近年來物聯(lián)網(wǎng)技術(shù)作為一種新興的信息產(chǎn)業(yè)飛速發(fā)展，該文從物聯(lián)網(wǎng)的基本特征、物聯(lián)網(wǎng)的安全問題以及智能設(shè)備的自身問題開展研究，并給出一些建議，促進物聯(lián)網(wǎng)健康快速發(fā)展。

關(guān)鍵詞：物聯(lián)網(wǎng)；安全

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-5039（2018）17-0035-02

Abstract： In recent years， Internet technology is emerging as a rapid development of information industry， the problem of security problems of basic features， this article from the network networking and intelligent equipment to carry out research， and puts forward some suggestions to promote the healthy， rapid development of the Internet of things.

Key words： Internet of things； safety

物聯(lián)網(wǎng)作為新興產(chǎn)業(yè)代名詞，具有其自身的很多特點[1]：

1）傳感器作為物聯(lián)網(wǎng)上的重要單元，發(fā)揮著至關(guān)重要的作用。類型不同，獲取的信息與內(nèi)容也不同。但是傳感器需要不斷更新，實時維護，才能提供更有價值的數(shù)據(jù)。

2）物聯(lián)網(wǎng)是架構(gòu)于互聯(lián)網(wǎng)技術(shù)之上的，無論是wifi形式還是固定的有線網(wǎng)絡(luò)都可以傳輸物聯(lián)網(wǎng)數(shù)據(jù)，由于物聯(lián)網(wǎng)的內(nèi)在特點，它在互聯(lián)網(wǎng)上的傳輸?shù)男畔⑿枰獪?zhǔn)確、實時，并且數(shù)據(jù)量大，因此對互聯(lián)網(wǎng)的要求非常高。

3）在物聯(lián)網(wǎng)上主要通過傳感器與智能控制相結(jié)合，利用大數(shù)據(jù)云、信息識別等智能技術(shù)，從物聯(lián)網(wǎng)中傳輸?shù)拇罅啃畔⑦M行整理并計算分析出可用的數(shù)據(jù)，這些數(shù)據(jù)不僅用于滿足用戶的相關(guān)需求，更重要的是這些數(shù)據(jù)不僅可以滿足不同用戶的需求，更重要的是用于未來的擴展應(yīng)用。

物聯(lián)網(wǎng)目前應(yīng)用廣泛，涉及領(lǐng)域較多，主要包括無人駕駛飛機、汽車、智能電視、冰箱、智能廚具等等，通過互聯(lián)網(wǎng)對這些物聯(lián)網(wǎng)設(shè)備進行遠(yuǎn)程控制和操作。由于這些智能設(shè)備是基于互聯(lián)網(wǎng)的，因此網(wǎng)絡(luò)安全就成了必須面對的重要問題。如何解決網(wǎng)絡(luò)安全問題，如何降低網(wǎng)絡(luò)安全危害，這是目前物聯(lián)網(wǎng)時代大家共同關(guān)心的話題。

1 物聯(lián)網(wǎng)的漏洞問題

根據(jù)Gartner報告預(yù)測，2020年全球物聯(lián)網(wǎng)設(shè)備數(shù)量將高達260億。目前物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)滯后、智能設(shè)備制造商缺乏安全意識，上述因素都為物聯(lián)網(wǎng)安全埋下極大隱患。物聯(lián)網(wǎng)當(dāng)前階段主要存在以下安全問題[2]：

1）個人信息泄露

未被妥善處理的大量數(shù)據(jù)會對用戶的個人隱私造成極大的侵害。因為我們每個人都是數(shù)據(jù)，實際上只要用網(wǎng)絡(luò)服務(wù)商提供的網(wǎng)絡(luò)服務(wù)，我們的數(shù)據(jù)都會被傳送到云端，信息被存儲起來。在2016年年初，國外著名網(wǎng)絡(luò)漏洞搜索引擎Shodan開放了關(guān)于IOT漏洞的搜索。我們可以看到在IOT漏洞中搜索最多的就是智能攝像頭和工業(yè)安防攝像頭的漏洞。眾所周知，智能攝像頭的隱私泄露，造成的安全問題尤為嚴(yán)重 。人們面臨的威脅不僅僅是個人隱私泄露，還包括網(wǎng)絡(luò)服務(wù)提供商基于海量數(shù)據(jù)對人們身份和行為的預(yù)測。例如，零售商通過歷史，比父母更早知道女兒懷孕的事實，并發(fā)送廣告信息；通過對社交網(wǎng)絡(luò)用戶Facebook信息的分析，用戶可以發(fā)現(xiàn)團隊的政治傾向、消費習(xí)慣和偏好。

2）傳統(tǒng)的防護邊界消弱，物聯(lián)網(wǎng)易被攻擊

當(dāng)所有的設(shè)備變得更加智能并接入到網(wǎng)絡(luò)上時，網(wǎng)絡(luò)安全問題就暴露在我們面前。物聯(lián)網(wǎng)的設(shè)備越多，意味著物聯(lián)網(wǎng)遭受攻擊的幾率越高，尤其是一些物聯(lián)網(wǎng)設(shè)備通過無線網(wǎng)絡(luò)連接或者紅外以及藍牙連接到網(wǎng)絡(luò)上，這種網(wǎng)絡(luò)連接方式安全性問題更大，很多攻擊者利用密碼破譯輕松地進行物聯(lián)網(wǎng)攻擊，造成不良后果。

物聯(lián)網(wǎng)時代還存在著傳統(tǒng)的網(wǎng)絡(luò)攻擊。如阻塞攻擊、碰撞攻擊、洪泛攻擊與信息篡改等威脅。這些網(wǎng)絡(luò)攻擊的存在，阻礙著互聯(lián)網(wǎng)安全的發(fā)展。

2 智能設(shè)備自身的問題

物聯(lián)網(wǎng)時代的智能設(shè)備也存在著諸多問題，在不經(jīng)意間很可能就會泄露自己的隱私信息。為了直觀的揭露設(shè)備中存在問題，曾對某款產(chǎn)品的智能攝像頭做過一次詳細(xì)測評，我們發(fā)現(xiàn)了設(shè)備中隱藏的安全問題[3]：

1）沒有對數(shù)據(jù)進行加密

我們曾對某款家居攝像頭進行研究和測試，發(fā)現(xiàn)該物聯(lián)網(wǎng)設(shè)備在網(wǎng)絡(luò)被攻擊時主要原因是數(shù)據(jù)在傳輸過程中并沒有采用加密方式，完全將自身暴露在互聯(lián)網(wǎng)上，這對于攻擊者來說是輕而易舉的。

2）用戶隱私泄露

在物聯(lián)網(wǎng)大會上，專家稱大量的物聯(lián)網(wǎng)設(shè)備根本沒有采取任何安全防范措施，更重要的是通過對大量的物聯(lián)網(wǎng)設(shè)備進行隨機檢查測試，發(fā)現(xiàn)很少有物聯(lián)網(wǎng)設(shè)備進過了安全認(rèn)證，還有一部分的智能家庭攝像頭在用戶獲得token之后，通過分析可以查看到用戶和設(shè)備的對應(yīng)關(guān)系， 修改設(shè)備標(biāo)識，就可以橫向越權(quán)控制其他用戶的攝像頭，看到攝像頭中的內(nèi)容。因此這樣的操作基本等同于形同虛設(shè)，毫無安全可言。

3）未存在人機識別機制

網(wǎng)絡(luò)專家通過測試發(fā)現(xiàn)，智能相機由于缺乏人機識別機制，在注冊過程中，密碼恢復(fù)過程等。，從而導(dǎo)致用戶密碼可以被強制修改，從而獲得相機的控制權(quán)限。用戶不知道整個過程，因此對他們的隱私有很大的影響。

4）未對客戶端進行安全加固

網(wǎng)絡(luò)專家在測試中還發(fā)現(xiàn)，該智能攝像頭的手機APP端代碼沒有進行混淆，可以被輕易地逆向分析出源代碼，對APP接口代碼實現(xiàn)流程進行逆向分析，可以得到控制流程，登錄流程方面的邏輯。這就造成可以通過APP而不需要設(shè)備就可以直接控制智能攝像頭的目的。

5）智能設(shè)備存在漏洞接口

目前，大部分智能物聯(lián)網(wǎng)設(shè)備由于都是基于互聯(lián)網(wǎng)，因此需要遠(yuǎn)程對其認(rèn)證，調(diào)試并運行。由于開放的接口并沒有相應(yīng)的網(wǎng)絡(luò)安全保障，對于攻擊者來說，遠(yuǎn)程認(rèn)證或者調(diào)試就是對設(shè)備的完全操作，他們可以很輕松地進行設(shè)備密碼修改，設(shè)備的智能操作，進而完全控制，造成嚴(yán)重的后果。

6）未存在遠(yuǎn)程更新機制

網(wǎng)絡(luò)專家發(fā)現(xiàn)該款智能攝像頭未存在遠(yuǎn)程固件更新機制，無法隨時隨地的給設(shè)備打補丁。因此攝像頭即使出現(xiàn)了嚴(yán)重漏洞，也無法及時的修補該漏洞。從而設(shè)備產(chǎn)生的風(fēng)險就需要由所有的用戶來承擔(dān)。

隨著安全威脅的不斷發(fā)展和我們對安全認(rèn)識的加深，我們已經(jīng)開始思考安全的本質(zhì)。木桶原理簡單地說就是整個系統(tǒng)的安全系數(shù)取決于短板理論中最薄弱的部分，所有的安全邊界。因此整個安全系統(tǒng)的構(gòu)建就是尋找整個網(wǎng)絡(luò)，然后保護這些安全邊界，避免安全短板。

物聯(lián)網(wǎng)設(shè)備的不斷推出應(yīng)該建立在其經(jīng)過了良好的網(wǎng)絡(luò)安全測試之后，達到了相應(yīng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)級別，同時還應(yīng)該出臺相應(yīng)的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全制度，如加強認(rèn)同相關(guān)的認(rèn)證，在數(shù)據(jù)傳輸加密系統(tǒng)的過程增強，相關(guān)漏洞及時檢測，定期更新補?。唤鉀Q方案甚至可以在所有提供云安全、基于三層網(wǎng)絡(luò)全新架構(gòu)的安全模型可以解決安全問題的很好的。

同時，操作物聯(lián)網(wǎng)智能設(shè)備的用戶本身應(yīng)該具有一定的網(wǎng)絡(luò)安全意識，注重隱私信息的傳播，如何確?；蛘呓档臀锫?lián)網(wǎng)設(shè)備隱私信息不會泄露出去也是至關(guān)重要的。

首先，消費者在購買智能家居時需要調(diào)查一些品牌，以了解互聯(lián)網(wǎng)上相關(guān)設(shè)備是否存在漏洞。選擇一個安全性低、聲譽好、價格好的智能家居。

使用智能家居時，應(yīng)注意設(shè)置一定強度的密碼，并及時注意智能家電軟件的提醒。如果發(fā)現(xiàn)軟件經(jīng)常提示接收短信驗證碼信息，用戶會及時修改相關(guān)密碼。

用戶不定期登錄智能家居的控制界面。如果發(fā)現(xiàn)軟件中設(shè)置的參數(shù)經(jīng)常發(fā)生變化，就需要提高自己的警惕性，以確保智能家居的控制權(quán)掌握在自己手中。

提高用戶的安全意識，重視網(wǎng)絡(luò)安全協(xié)商，關(guān)注智能家居的安全信息。即使設(shè)備中有bug，也不要驚慌，等待制造商的軟件版本更新。

3 結(jié)束語

隨著信息化的飛躍式發(fā)展，智能化，物聯(lián)網(wǎng)等大批的新興產(chǎn)業(yè)油然而生。但是隨之而來的就是他們所帶來的網(wǎng)絡(luò)安全，信息安全等問題。在當(dāng)前形勢下，只有主動認(rèn)知網(wǎng)絡(luò)安全，主動著手加以防范，才能最大限度地降低網(wǎng)絡(luò)安全問題對于新興產(chǎn)業(yè)的大力沖擊，才能促進物聯(lián)網(wǎng)時代智能化健康快速發(fā)展，才能發(fā)揮物聯(lián)網(wǎng)時代更大的價值。

參考文獻：

[1] 何渝君，龔國成.區(qū)塊鏈技術(shù)在物聯(lián)網(wǎng)安全相關(guān)領(lǐng)域的研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2017（5）.

[2] 于笑，趙金峰，張瀾.基于SDN的物聯(lián)網(wǎng)安全架構(gòu)研究[J].移動通信，2017（02）.

[3] 謝輝，王健.區(qū)塊鏈技術(shù)及其應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2016（09）.