摘 要:智能硬件即通过软硬件结合的方式,对传统设备进行改造使其拥有智能化的功能。智能化之后,硬件具备连接的能力,实现互联网服务的加载,形成“云+端”的典型架构,具备了大数据等附加价值。本文从分析智能硬件的“云”、“端”和“连接”等几方面的安全威胁,并根据已有的安全技术手段提出了扩展等级保护的智能硬件安全防护措施,在一定程度上能够解决智能硬件的安全问题,为智能硬件安全防护提供一定的理论指导。
关键词:智能硬件;云计算安全;等级保护;移动应用安全
中图分类号:TP309 文献标识码:A 文章编号:2096-4706(2018)10-0153-03
Abstract:Intelligent hardware is a combination of hardware and software,the transformation of traditional equipment to enable it to have the function of intelligent. After intelligent,the hardware has the ability to connect,to achieve the loading of internet services,the formation of the cloud + end typical architecture,with the additional value of the big data. Based on the analysis of intelligent hardware cloud,end and connected and so on several aspects of security threats,and puts forward the intelligent hardware safety protection measures extended protection according to existing security technology,security problems to a certain extent can solve the problem of intelligent hardware,provide some theoretical guidance for intelligence hardware security protection.
Keywords:intelligent hardware;cloud computing security;hierarchical protection;mobile application security
0 引 言
随着互联网技术的智能化发展,智能家居、智能汽车、智能家居、可穿戴设备、智能终端等智能和服务从概念逐渐走向产业。然而,在经济社会各领域与互联网深度融合的过程中,网络安全问题愈發凸显和尖锐,进而引起了全社会的普遍关注。智能设备都具备一定的自动控制功能,一旦出现信息安全问题,不仅软件系统会遭到破坏,更有可能导致大规模的隐私泄露、经济损失,甚至造成人身伤害[1]。
本文从智能硬件的基本架构分析出发,通过分析硬件安全自身、智能硬件控制端、无线网络、云端等面临的安全威胁,并针对性提出解决办法,并最终形成基于等级保护的智能设备安全测评研究,进而保障智能硬件的安全。
1 智能硬件概述
几乎所有的智能硬件均存在云端,终端以及控制端几大组成部分[2]。因此,智能硬件基本应用示意图如图1所示。
根据图1所示,智能家居主要需考虑四方面的问题:(1)控制端。包括APP控制端、智能硬件控制端等与智能硬件直接通讯的控制端。APP主要采用Android和iOS操作系统APP软件;智能控制系统可以依赖传统的电脑以及专用的设备,以实现智能家电和智能家居的集中控制;(2)智能硬件无线网络连接。智能硬件的联网主要采用WIFI、蓝牙、ZigBee等无线通讯方式;其存在智能设备之间通讯问题,智能硬件与控制端的安全通信,控制端与云平台之间的数据通信问题;(3)云端。主要涉及云安全管理、云平台自身安全以及数据存储的问题,以及智能终端与云端的通信安全问题;(4)智能硬件。智能硬件自身的安全性也同样重要,其主要表现在设计缺陷、硬编码、固件逆向等问题。
1.1 控制端安全威胁
如果控制端APP出现了漏洞,将直接威胁到智能设备以及隐私数据。APP控制端可能存在的安全风险如表1所示。
1.2 智能硬件无线网络安全威胁
ZigBee是一种新兴的短距离无线通信技术。ZigBee技术即代表距离近、复杂度低、成本低、功耗低、数据速率低的无线通信技术。主要适用于自动控制和远程控制领域,可以嵌入各种设备。ZigBee以无线标准为基础而开发研制的有关组网、安全和应用软件方面的通信技术标准。是针对低速率无线个人区域网络制定的无线通信标准[3]。ZigBee协议安全性主要在密钥的保密性上,比如将密钥明文传输或将密钥明文写在固件中,这些都可能直接导致传输的敏感信息被窃取,甚至伪造设备去控制智能家居产品[4]。
蓝牙是作为一种近距离无线通信技术的标准,其主要在于实现最高数据传输速率为1Mb/s(有效传输速率为721Kb/s),最大传输距离为10m的无线通信。很多智能硬件基于低功耗蓝牙(BLE),如小米手环等,主要存在BLE嗅探、伪造BLE通信、分析BLE私有数据协议等安全问题[5]。
WIFI是一个无限网络通信技术的品牌。是由接入点AP(AccessPoint)和无线网卡组成的无线网络。当前,WIFI技术可使用的标准分别为IEEE802.11a以及IEEE802.11b[6],其速率可到54Mbps。WIFI安全威胁[7]主要包括熟知的WEP密码破解、WPA/WPA2爆破、PIN码穷举攻击(WPS破解)等攻击WIFI密码,另外还包括中间人嗅探、DHCP资源耗尽的DOS攻击等。
1.3 云端安全威胁
云端安全主要考虑技术和管理两方面的安全问题,从管理角度需考虑如何防止数据丢失和泄露、恶意的内部行为防范、管理和审计的问题,法律风险等;从技术角度上下上需要考虑所面临的网络攻击、不安全的接口信息、云计算服务的DDOS、技术漏洞。
1.4 智能硬件安全
对常见的智能终端漏洞的分析如表2所示。
2 智能硬件安全防护技术
2.1 控制端安全防护
APP软件加固:通过内置APP防篡改功能避免APP被二次打包。通过防调试/反编译/防汇编,确保攻击者无法获取系统源代码,对Java代码容易被反编译的问题,采用代码混淆进行隐私保护;对于C代码交叉编译生成的Bin文件,进行加载器的安全加载,在加载器中实现完整性校验等函数,实现对抗动态调试,反编译等攻击手段[8]。
智能手机终端:智能手机终端作为智能硬件的控制端,其主要通过密码来解锁,通过指纹识别等技术,可以增强智能硬件控制端的安全性,必要时可以对专用终端进行双因素认证[9]。
安全编码:由于智能设备涉及领域较广,因此传统的Web、APP安全检测依然需要使用到安全编码。无论是固件层开发,还是网站、手机APP,都应遵循相应的安全开发规范[10]。
2.2 智能硬件无线网络安全防护
无线网络安全是重要的环节,所有的信息均依赖网络,其安全性出现问题,则影响智能硬件的整体安全性。
密钥强度及密钥管理:采用强的密码且密钥分发过程需采用可信的分发过程,避免将密钥明文写到固件或明文分发密钥。
无线传输加密保护:智能硬件通讯过程中的所有信息均应该采用加密手段,不仅局限于Web传输,其它蓝牙、ZigBee等无线传输途径均需要做好敏感信息的保护工作,避免传输过程被中间人嗅探和截获。
2.3 云端安全防护
云端安全主要考虑技术和管理两方面的安全问题,从管理角度需考虑如何防止数据丢失和泄露、恶意的内部行为防范、管理和审计的问题,法律风险等;从技术角度上考虑所面临的网络攻击、不安全的接口信息、云计算服务的DDOS、技术漏洞。另外包括虚拟化技术、云计算管理平台以及数据存储的安全问题,基于上实现云平台的整体安全。
OWASP的基本安全防护:利用开放式Web应用程序安全项目(OWASP)提供的安全编码规范[11]和OWASP应用程序安全设计项目对应用程序业务服务端进行安全设计和开发,确保应用程序不存在OWASP TOP 10中存在的安全风险,确保管理平台不会存在泄漏智能硬件的敏感信息,如通信密钥、设备ID、认证方式等[12]。
2.4 智能硬件自身安全防护
智能硬件自身的安全防护需要考虑智能硬件固件安全。
固件安全保护:对升级固件进行签名校验,防止提取固件进行逆向。
敏感信息防护:避免将敏感信息固化到固件或硬件模块当作,尤其禁止采用默认的出厂设置对智能硬件进行维护管理和维护。
硬件逆向:对智能硬件自身保护,同时尽量避免留硬件调试针脚或防止硬件拆卸,从而避免直接通过专用分析仪对智能硬件的无线接口或Flash等部件進行数据嗅探和逆向。
3 智能硬件安全与等级保护的融合
信息安全等级保护制度已经被确立为我国信息安全基本政策,信息安全等级保护基本要求(GBT 22239-2008《信息安全技术信息系统安全等级保护基本要求》)是指导信息系统建设的安全基线标准,各行业也正在依据等级保护基本要求制定本行业的基本要求满足业务安全需求。
智能硬件安全测评涉及多个大类的安全问题,包括网络安全、应用安全和安全管理三个大类控制点。通过对等级保护基本要求的扩展,可以对智能硬件安全提供相对安全的防护,既保障智能硬件安全,又能够保证云端和控制端满足等级保护的安全防护方案,进而为智能硬件提供提供可靠的安全保障。
4 结 论
智能硬件安全采用基于“云+端”的典型架构,“云”、“端”以及“连接线”都存在安全威胁,任何一个环节出现问题都会导致智能硬件被控制或个人隐私泄漏。等级保护作为一种安全防护解决方案提供了有效的安全思路,本文从分析智能硬件的“云”、“端”和“连接”等几方面的安全威胁,并根据已有的安全技术手段提出了扩展等级保护的智能硬件安全防护措施,在一定程度上能够解决智能硬件的安全问题。所以,智能硬件迫切需要厂商、安全机构等各方面联合制定标准和规范,以确保智能硬件的安全。
参考文献:
[1] 王婷,戴忠华.打点万物互联智能设备安全 [J].中国信息安全,2015(9):54-58.
[2] 陈根.硬黑客:智能硬件生死之战 [M].北京:机械工业出版社,2015.
[3] 姜浩.基于ZigBee无线网状网络在智能家居领域的实现 [D].大连:大连理工大学,2010.
[4] 路染妮,张刚.ZigBee无线传感网络的路由协议研究 [J].电子设计工程,2010,18(11):182-185.
[5] 罗玮.一种新兴的蓝牙技术——超低功耗蓝牙技术 [J].现代电信科技,2010,40(10):31-34+38.
[6] 陈国钊.中国wifi网络技术的应用和市场发展 [J].中国新通信,2013,15(1):62.
[7] 杨丰瑞,刘孟娟.无线WIFI安全问题及对策研究 [J].现代商贸工业,2015,36(5):174-176.
[8] 李胜琴,张国荣,许岩.基于ARM的交叉编译工具的制作 [J].太原师范学院学报(自然科学版),2010,9(2):56-59.
[9] 彭小红,莫思捷,彭嘉杰,等.基于手机终端的智能家居照明控制系统设计 [J].现代计算机(专业版),2015(31):44-48.
[10] 金波,吴松洋,熊雄,等.新型智能终端取证技术研究 [J].信息安全学报,2016,1(3):37-51.
[11] 王青国.浅析Web应用软件开发安全 [J].计算机系统应用,2013,22(2):5-9.
[12] 王希忠,马遥.云计算中的信息安全风险评估 [J].计算机安全,2014(9):37-40.
作者简介:陈武(1989-),男,汉族,福建仙游人,大项目经理,工程师,学士学位。研究方向:信息化技术支撑。
