可穿戴設(shè)備安全檢測方法

◎江蘇出入境檢驗檢疫局 封亞輝 戴東情 王亞春

◎中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 毛圣兵

隨著物聯(lián)網(wǎng)（IoT）和可穿戴設(shè)備廣泛應(yīng)用，無數(shù)裝載傳感器的小型嵌入式設(shè)備從周圍環(huán)境收集信息，對其進(jìn)行處理，并將其轉(zhuǎn)發(fā)到遠(yuǎn)程位置進(jìn)行進(jìn)一步分析?？纱┐髟O(shè)備在為人們提供智能生活的同時，也存在多種安全隱患。在數(shù)據(jù)安全方面，可穿戴設(shè)備采用了各種類型的生理傳感器，用戶的佩戴時間越長，獲取的信息量就越大，用戶的個人信息數(shù)據(jù)存在泄漏風(fēng)險，用戶的個人隱私得不到保護(hù)；在設(shè)備安全方面，出于用戶隱私和生命財產(chǎn)安全的考慮，對設(shè)備用戶來說必須具有唯一的自主控制權(quán)，尤其在可穿戴設(shè)備緊密連接物聯(lián)網(wǎng)的情況下更為重要；在軟件安全方面，可穿戴設(shè)備依賴應(yīng)用軟件來實現(xiàn)多種功能，一旦這些軟件被攻擊，可穿戴設(shè)備的數(shù)據(jù)安全和設(shè)備安全都將得不到保障。

針對上述安全問題，已經(jīng)提出的安全保護(hù)措施包括：數(shù)據(jù)加密機(jī)制、認(rèn)證及完整性保護(hù)機(jī)制和隱私保護(hù)機(jī)制等。數(shù)據(jù)加密機(jī)制使得原始數(shù)據(jù)變?yōu)榧用軘?shù)據(jù)，保證了數(shù)據(jù)安全存儲和傳輸；認(rèn)證及完整性保護(hù)機(jī)制能夠防止攻擊者向網(wǎng)絡(luò)注入偽造或錯誤信息，主要包括可穿戴設(shè)備對用戶的實體認(rèn)證，以及可穿戴設(shè)備在網(wǎng)絡(luò)中傳輸消息的認(rèn)證及完整性保護(hù)；隱私保護(hù)機(jī)制是在實際的應(yīng)用場景中，針對不法分子通過非法途徑獲取用戶的位置數(shù)據(jù)，進(jìn)行用戶行動軌跡的分析、推測來獲取用戶個人隱私的問題，其中比較典型的解決辦法是在位置服務(wù)中使用位置匿名隱私保護(hù)算法和軌跡匿名隱私保護(hù)算法等。

本文基于可穿戴設(shè)備的安全現(xiàn)狀，結(jié)合可穿戴設(shè)備的硬件設(shè)計與功能結(jié)構(gòu)，進(jìn)行了針對可穿戴設(shè)備特性的安全風(fēng)險分析，并提出了三層立體安全檢測認(rèn)證框架、方法及判定。

一、安全風(fēng)險分析

可穿戴設(shè)備有多種設(shè)計樣式，可以從頭到腳佩戴在人體上，如眼鏡、襯衫、腕帶、手表等。它不僅可以像智能手機(jī)一樣執(zhí)行基本任務(wù)，而且嵌入式可穿戴傳感器還可以在實時環(huán)境中識別并提供佩戴者的可操作信息?？纱┐髟O(shè)備具有以下特性：

（1）不受限制：以便用戶在使用可穿戴設(shè)備時可以做其他事情。

（2）可控：它是一個響應(yīng)系統(tǒng)，因為它始終處于ON狀態(tài)，因此用戶可以隨時獲取對它的控制權(quán)。

（3）環(huán)境感知（專注性）：可穿戴設(shè)備具有環(huán)保意識，多模式和多感官特性。

（4）可觀察：它可以在用戶需要時持續(xù)關(guān)注用戶，例如接收警報、消息或提醒。

（5）可連接（通信）：可穿戴設(shè)備連接到無線網(wǎng)絡(luò)，以便在實時情況下進(jìn)行信息交換。

（6）非壟斷：這意味著可穿戴設(shè)備不會將用戶從外界切斷。

為此，我們將可穿戴設(shè)備主要面臨的安全風(fēng)險列為三項：

（1）系統(tǒng)開源：為了實現(xiàn)可穿戴設(shè)備的功能性和兼容性，可穿戴設(shè)備的設(shè)計大多基于Android或其他的開放系統(tǒng)，在提供方便的功能擴(kuò)展的同時，開放系統(tǒng)也會帶來諸多的安全隱患。

（2）無線網(wǎng)絡(luò)連接：可穿戴設(shè)備的數(shù)據(jù)通常通過藍(lán)牙、Wi-Fi等方式傳遞，存在數(shù)據(jù)被截獲、惡意篡改等危險。同時，可穿戴設(shè)備為了降低性能損耗，通常會將安全規(guī)則部署在客戶端，從而缺少對客戶端輸入數(shù)據(jù)的輸入檢查和標(biāo)準(zhǔn)化，因此導(dǎo)致存在被黑客非法注入和侵入服務(wù)器的可能。同時在服務(wù)端也會存在設(shè)備認(rèn)證、校驗以及識別等方面的困難。

（3）安全與隱私：關(guān)于可穿戴設(shè)備的安全問題可以進(jìn)一步分為三個主要部分，即安全漏洞、攻擊和安全解決方案。其中安全漏洞可被一系列可能的安全和隱私攻擊所利用。安全攻擊可以根據(jù)兩種主要類型進(jìn)一步劃分：被動攻擊和主動攻擊。被動攻擊試圖獲取用戶的密碼和敏感信息，而不會破壞和影響系統(tǒng)，而主動攻擊與被動攻擊形成對比，在被動攻擊中試圖破壞和改變系統(tǒng)。當(dāng)利用安全漏洞時，數(shù)據(jù)將會丟失，包括數(shù)據(jù)機(jī)密性、完整性、可用性和真實性方面的損失。另一方面，隱私攻擊根據(jù)用戶身份和數(shù)據(jù)完整性攻擊以及基于時間和位置的攻擊進(jìn)行分類。

二、可穿戴設(shè)備安全檢測框架

可穿戴設(shè)備網(wǎng)絡(luò)安全檢測技術(shù)旨在通過相關(guān)技術(shù)對可穿戴設(shè)備的網(wǎng)絡(luò)安全進(jìn)行檢測，預(yù)防設(shè)備威脅，以將設(shè)備威脅降到最低。

（一）安全檢測框架

可穿戴設(shè)備的安全檢測框架主要由感知層、網(wǎng)絡(luò)層以及應(yīng)用層構(gòu)成。具體的檢測框架圖如圖1所示。

圖1 可穿戴設(shè)備檢測框架

其中三個橫向安全層主要針對可穿戴設(shè)備的總體技術(shù)架構(gòu)而提出的安全：頂層為應(yīng)用層安全，中間層為傳輸層安全，最底層為感知層安全。感知層涉及到的安全策略主要有設(shè)備認(rèn)證、數(shù)據(jù)加密、安全編碼、TPM可信模塊、安全協(xié)議、訪問控制等。網(wǎng)絡(luò)層主要有漏洞掃描、主動防御、安全協(xié)議、網(wǎng)絡(luò)過濾和授權(quán)管理等安全策略。應(yīng)用層主要包括安全審計、入侵檢測、熱機(jī)災(zāi)備、虛擬隔離、云殺毒、用戶權(quán)限、安全管理等安全策略和手段。

三個縱向安全主要針對可穿戴設(shè)備整體的安全架構(gòu)、安全標(biāo)準(zhǔn)及安全評測，具體實施內(nèi)容包括安全架構(gòu)與服務(wù)，安全標(biāo)準(zhǔn)制定、風(fēng)險評估和安全測評，其中安全測評包括感知設(shè)備安全檢測服務(wù)平臺、可穿戴設(shè)備系統(tǒng)安全檢測服務(wù)平臺、可穿戴設(shè)備系統(tǒng)風(fēng)險評估服務(wù)平臺等，以及云平臺風(fēng)險評估、虛擬服務(wù)風(fēng)險平臺、云資源集成化安全檢測等。

（二）安全檢測標(biāo)準(zhǔn)

可穿戴設(shè)備系統(tǒng)的網(wǎng)絡(luò)安全檢測標(biāo)準(zhǔn)主要由可穿戴設(shè)備感知層、傳輸層和應(yīng)用層這三個部分的安全檢測標(biāo)準(zhǔn)組成。由于各個部分所應(yīng)用到的內(nèi)容不同，因此各自的安全要求也不同。

相關(guān)的技術(shù)體系架構(gòu)圖，如圖2所示。

（1）感知層是可穿戴設(shè)備上層應(yīng)用的支撐，主要包含單向讀取類業(yè)務(wù)和雙向讀取類兩項業(yè)務(wù)。因此所涉及的安全檢測標(biāo)準(zhǔn)如下：

感知靈敏安全標(biāo)準(zhǔn)：目的是確保設(shè)備在傳感這一部分靈敏有效，不要傳感錯誤的數(shù)據(jù)。數(shù)據(jù)分辨標(biāo)準(zhǔn)：目的是確保對傳感的數(shù)據(jù)能夠根據(jù)具體的應(yīng)用分類識別數(shù)據(jù)。這兩者的結(jié)合才能確保感知層的整體安全。

（2）傳輸層是可穿戴設(shè)備數(shù)據(jù)傳輸?shù)年P(guān)鍵，主要功能是實現(xiàn)信息的傳輸，與可穿戴設(shè)備的網(wǎng)絡(luò)安全息息相關(guān)。因此其涉及到的安全檢測標(biāo)準(zhǔn)如下：

圖2 可穿戴設(shè)備安全體系

傳輸層數(shù)據(jù)安全標(biāo)準(zhǔn)：目的是保證數(shù)據(jù)是加密的，不是明文傳輸。傳輸通道的安全標(biāo)準(zhǔn)：目的是保證數(shù)據(jù)在傳輸過程中的安全的。傳輸?shù)膬啥说陌踩珮?biāo)準(zhǔn)：目的是保證數(shù)據(jù)的接收端和傳送端是安全的。這三者的結(jié)合才能保證傳輸層的整體安全。

（3）應(yīng)用層是可穿戴設(shè)備應(yīng)用的基礎(chǔ)，主要包含的是應(yīng)用的運(yùn)行。要想確保應(yīng)用正確的運(yùn)行，與可穿戴設(shè)備網(wǎng)絡(luò)的安全是密不可分的。其涉及的安全標(biāo)準(zhǔn)如下：

應(yīng)用信息安全標(biāo)準(zhǔn)：目的是確保應(yīng)用對應(yīng)的是正確的端口，避免端口被惡意打開。應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)：目的是確保應(yīng)用使用的過程中，數(shù)據(jù)沒有被惡意篡改，保證應(yīng)用正常使用。

（三）安全檢測手段

本文中的檢測主要從人為檢測、組織檢測以及設(shè)備自身實踐技術(shù)檢測三方面入手。

（1）人為檢測

對那些使用和管理信息系統(tǒng)的個人進(jìn)行責(zé)任評估，判斷其是否認(rèn)真負(fù)責(zé)，有沒有意外泄露的失職問題存在。

（2）組織檢測

在許多情況下，員工是組織信息系統(tǒng)中最薄弱的環(huán)節(jié)(例如，將密碼保存在便簽上，將敏感數(shù)據(jù)存儲在不受保護(hù)的USB驅(qū)動器上)。我們可以對員工進(jìn)行抽樣檢測，看其在相關(guān)安全操作上是否存在問題。

（3）設(shè)備自身實踐技術(shù)檢測

利用相關(guān)的網(wǎng)絡(luò)檢測技術(shù)，例如殺毒軟件、入侵檢測系統(tǒng)等對可穿戴設(shè)備網(wǎng)絡(luò)進(jìn)行檢測，查看其存在哪些漏洞。也可以使用一些網(wǎng)絡(luò)攻擊技術(shù)，例如，端口攻擊、提權(quán)攻擊、網(wǎng)絡(luò)嗅探等對可穿戴設(shè)備網(wǎng)絡(luò)進(jìn)行攻擊，查看哪些攻擊可以實現(xiàn)，來判斷其還存在哪些網(wǎng)絡(luò)完全問題。判斷其對網(wǎng)絡(luò)安全的三大目標(biāo)是否產(chǎn)生影響。

三、安全檢測方法設(shè)計

本文針對利用相關(guān)的網(wǎng)絡(luò)監(jiān)測技術(shù)進(jìn)行可穿戴設(shè)備的安全防護(hù)，提出了以下的安全檢測與防護(hù)方法：

（一）訪問控制與認(rèn)證技術(shù)

基于云輔助無線可穿戴通信架構(gòu)，設(shè)計了可穿戴設(shè)備的本地身份驗證和遠(yuǎn)程身份驗證。在本地認(rèn)證模式中，聯(lián)合應(yīng)用基于散列的選擇性公開機(jī)制和Chebyshev混沌映射來實現(xiàn)可穿戴設(shè)備與智能手機(jī)之間的相互認(rèn)證。在遠(yuǎn)程認(rèn)證模式下，采用Merkle哈希樹的選擇性公開機(jī)制改進(jìn)證書中數(shù)據(jù)字段的結(jié)構(gòu)，實現(xiàn)了兩個可穿戴設(shè)備和智能電話之間的交互，并且進(jìn)一步傳輸?shù)皆品?wù)器用于同步驗證。同時，基于BAN邏輯執(zhí)行安全形式分析，以證明所提出的遠(yuǎn)程認(rèn)證協(xié)議具有理論設(shè)計正確性。它表明所提出的認(rèn)證方案對于普遍存在的可穿戴設(shè)備是可用且靈活的。為了滿足數(shù)據(jù)隱私、匯聚結(jié)果隱私、匯聚結(jié)果可驗證以及高效等需求，其中隱私保護(hù)的數(shù)據(jù)匯聚方法通常使用3種實現(xiàn)技術(shù)：安全多方計算、全同態(tài)加密和單向陷門函數(shù)。

構(gòu)建的云輔助無線可穿戴通信架構(gòu)如圖3所示。

（二）身份鑒別與數(shù)據(jù)加密

構(gòu)建可穿戴設(shè)備節(jié)點(diǎn)網(wǎng)絡(luò)，采用節(jié)點(diǎn)身份鑒別技術(shù)，可以實現(xiàn)節(jié)點(diǎn)與節(jié)點(diǎn)、節(jié)點(diǎn)與網(wǎng)絡(luò)之間的認(rèn)證；對單個節(jié)點(diǎn)或節(jié)點(diǎn)集群采用訪問控制技術(shù)，控制節(jié)點(diǎn)設(shè)備之間的路由、資源等訪問；對可以數(shù)據(jù)訪問操作進(jìn)行監(jiān)控與記錄。

圖3 云輔助無線可穿戴通信架構(gòu)

可穿戴網(wǎng)絡(luò)的加密算法通?；诿荑€。如果捕獲系統(tǒng)的密鑰，則可能導(dǎo)致系統(tǒng)暴露?；贗CMetric感知靈敏安全標(biāo)準(zhǔn)的加密系統(tǒng)的設(shè)計和實現(xiàn)解決了這個問題，該系統(tǒng)使用設(shè)備的特征來創(chuàng)建秘密組密鑰，然后將其用于加密服務(wù)。其中利用可穿戴設(shè)備傳感器中的加速度計和陀螺儀偏差已用于確定設(shè)備的標(biāo)識。設(shè)計系統(tǒng)的機(jī)密性服務(wù)基于AES128,ASE256和Rabbit流密碼。該方案基于集成強(qiáng)大的加密元素，以便該方案在有限的資源需求下提供最高級別的安全性。設(shè)計的方案功能無需人工干預(yù)，因此相關(guān)的系統(tǒng)組件在不需要用戶輸入的情況下運(yùn)行。使用該算法具有額外的優(yōu)點(diǎn)，即可以使用存在的不同數(shù)量的組成員生成組。此方案可以適應(yīng)于在多方環(huán)境中存在許多系統(tǒng)的其他挑戰(zhàn)性環(huán)境，且不會增加目標(biāo)系統(tǒng)的資源需求。圖4展示了基于ICMetric的加密系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計。

另外，由對稱加密技術(shù)和非對稱加密技術(shù)結(jié)合組成的數(shù)據(jù)多模加密技術(shù)也是一種面向可穿戴設(shè)備的可行的數(shù)據(jù)加密技術(shù)。對于設(shè)備采集到的數(shù)據(jù)根據(jù)不同的環(huán)境安全需求，采用不同的加密模式，從本源上保證數(shù)據(jù)的安全性，具有針對性、全面性和靈活性的特點(diǎn)。多模加密技術(shù)使用高強(qiáng)度的加密方式，針對于不同的使用場景，進(jìn)行數(shù)據(jù)挖掘時，采用匿名原則，對個人隱私數(shù)據(jù)進(jìn)行模糊化處理，并去掉用戶識別程度高的數(shù)據(jù)，保護(hù)用戶的身份和隱私的安全。

（三）網(wǎng)絡(luò)安全模型設(shè)計

根據(jù)可穿戴設(shè)備的三層安全框架，設(shè)計了合理高效的安全檢測模型，并根據(jù)模型準(zhǔn)確率、檢測覆蓋率、檢測命中率、安全性能提升率等數(shù)據(jù)來優(yōu)化安全模型，另外在網(wǎng)絡(luò)模型中加入抗干擾技術(shù)可主動廣播無線信號阻止或破壞非授權(quán)閱讀器讀??；還可以預(yù)先在設(shè)備中添加惡意代碼防范，部署惡意代碼掃描軟件識別惡意代碼或構(gòu)建程序執(zhí)行可信鏈。安全模型投入檢測工作之后，通過數(shù)據(jù)準(zhǔn)備、模型建立、模型評估，利用歷史數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行反復(fù)測試，檢驗網(wǎng)絡(luò)模型的魯棒性，直到網(wǎng)絡(luò)性能穩(wěn)定。

（四）接入控制與業(yè)務(wù)管理

接入傳輸層規(guī)則包括數(shù)字接入系統(tǒng)中接入業(yè)務(wù)的可管理性、可控性、信息保密性、完整性和可用性的規(guī)則要求，視頻接入系統(tǒng)實現(xiàn)外部視頻資源單向傳輸至內(nèi)網(wǎng)，視頻控制信令和數(shù)據(jù)的會話終止于應(yīng)用服務(wù)區(qū)，包含對視頻信令格式進(jìn)行檢查及內(nèi)容過濾、合法的協(xié)議和數(shù)據(jù)通過、視頻數(shù)據(jù)和視頻控制信令安全傳輸?shù)确矫娴囊?guī)則，無線接入系統(tǒng)接入內(nèi)網(wǎng)，需要與內(nèi)網(wǎng)的各種信息系統(tǒng)交互信息，包含敏感信息、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、抗攻擊、安全審計以及物理安全等方面的規(guī)則。

四、結(jié)論

為了增加可穿戴設(shè)備的安全性，進(jìn)入市場前，對可穿戴設(shè)備進(jìn)行網(wǎng)絡(luò)安全、數(shù)據(jù)安全、設(shè)備安全三方面的檢測是非常必要的。本文介紹了可穿戴設(shè)備技術(shù)所面臨的主要安全問題，分析了可穿戴設(shè)備常見的安全風(fēng)險，并根據(jù)所面臨的風(fēng)險設(shè)計了三層安全檢測框架，機(jī)制及方法等，總結(jié)了物聯(lián)網(wǎng)設(shè)備主流的安全檢測技術(shù)，并針對可穿戴設(shè)備獨(dú)特的網(wǎng)絡(luò)架構(gòu)及功能特性提出了接入控制與雙向認(rèn)證技術(shù)，以及多模加密等數(shù)據(jù)安全技術(shù)。