可穿戴设备的安全问题与对策分析
2016-11-14夏平
夏平
摘要:可穿戴设备作为智能科技的新生力量,具备着无限的潜能。但随着可穿戴设备的迅猛发展,其突显的安全隐患将成为制约其发展的关键因素。可穿戴设备的安全问题主要体现在数据安全、设备安全以及软件安全三个方面。在应对策略上,通过在硬件芯片层加密、接入控制与双向认证、数据多模加密等核心技术提高可穿戴设备的安全性。
关键词:可穿戴设备;芯片层加密;多模加密;双向认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0038-02
Abstract: Wearable devices as a new force of intelligent technology, with unlimited potential.However, with the rapid development of wearable devices, its security risks will become a key factor restricting its development. Wearable device security issues are mainly reflected in three aspects of data, equipment and software. In response to the strategy, through the hardware chip layer encryption, access control and mutual authentication, data multimode encryption and other core technologies to improve the security of wearable devices.
Key words: wearable device; chip layer encryption; multimode encryption; mutual authentication
可穿戴设备出现在公众视野虽然只有短短几年,但已经成为了一支最火热的科技新势力。它作为物联网的重要应用,如今也是工业革命的核心技术之一。2014年作为可穿戴设备的发展元年,其市场规模得到了前所未有的扩展,各大IT界巨头如苹果、索尼、三星、谷歌等公司,纷纷发布可穿戴产品,将目光投向了可穿戴设备这片蓝海市场[1]。
近三年来,在全球闻名的CES国际电子产品展览会上,可穿戴设备、智能家居成为了绝对的主角。经过这几年的创新与发展,可穿戴市场虽然火热,但普及时代还未来临,人们关注更多的不仅仅是功能和质量,而是令人思索的安全问题。
1 可穿戴设备的发展
可穿戴设备,指的是可以穿戴在人体上的智能化的交互式产品,它通常融合了无线传感技术、多媒体、GPS定位、生物识别等多种技术于一身[2]。可穿戴设备的种类繁多,典型的代表有智能眼镜、智能手表、智能手环这三大类,另外智能内衣、智能头盔、智能戒指、智能跑鞋等类型的产品也层出不穷。在可穿戴产品中,谷歌公司在2012年发布的“拓展现实”的Google Glass最具影响力,该眼镜集智能手机、相机的功能于一体,实现全球首款支持“脑控”完成操作的智能设备。可穿戴设备倡导的是“以人为本”的设计理念,以微型传感器通过与人体的无缝连接,支持手势、眼动操作,实现身体数据(如心率、步数、体温、卡路里、睡眠等)的采集。通过云服务对数据进行计算与分析,最后上传到云端存储或者通过智能手机反馈给用户,帮助用户管理身体和设计健康的生活方式。
根据前瞻产业研究院的数据报告,在2016年国内的智能硬件市场规模将突破500亿大关,其中智能手环的销量最高,第五位为智能手表。从国内的消费情况来看,可穿戴设备的市场前景是非常广阔的。目前大多数可穿戴设备只是作为智能手机的一种补充和延伸,需要结合使用,而可穿戴设备真正的意义与价值是作为独立产品的形式存在,释放人们的双手,提供智能化,健康化、人性化的生活。但在短期以内,可穿戴设备是很难取代智能手机实现大爆发。究其原因,可穿戴设备作为一种新生代产品,在吸引了无数关注的同时,突显的安全隐患也将成为制约其发展的关键性因素。越来越多的人会意识到,当可穿戴产品日夜与人体无缝接触,它也必将成为下一个信息安全隐患的重要源头。在2015年5月被证实,我国军方发出禁令,禁止军人使用可穿戴设备,原因是这类产品很可能会泄漏国家军事机密。这不得不引发人们的思索,当可穿戴设备的功能愈加丰富,逐渐摆脱“鸡肋”角色时,它所潜在的安全问题终究会不会成为令人望而却步的“拦路虎”呢?
2 可穿戴设备的安全问题
智能穿戴产品颠覆性地改变用户的生活和工作方式的同时,也会带来更多新的社会问题,如信息安全问题。可穿戴设备所面临的安全问题主要体现在数据安全、设备安全以及软件安全这三方面。
① 数据安全:可穿戴设备采用了各种类型的生理传感器、甚至配备了摄像头,通过与人的无缝连接,隐私数据的感知能力更强,信息的处理和分析能力也大大提升[3]。而目前简单的穿戴设备都可以记录用户的运动轨迹,GPS定位等等。当用户佩戴的时间越长,获取的信息量就越大,用户的健康状况和生活喜好均被数据化呈现。这些隐私数据通常会上传给云服务器端进行处理和存储,或者反馈给智能手机进行数据共享。在这个大数据的时代,用户的个人隐私数据将会变得更加透明化。如果云服务器被攻击,用户的个人隐私将毫无安全可言,更重要的是对于用户的人身安全也将会是极大的威胁。
② 设备安全:可穿戴设备未来的发展方向势必与物联网联系更为紧密,将有可能成为智能家居、汽车驾驶的关键“钥匙”,一旦可穿戴设备被非法控制,那么关乎的不仅仅是数据的安全性,更是有关用户的住宅和生命财产安全。另外,可穿戴设备的使用会长时间接触人体皮肤,饱受质疑的是其设备本身的化学安全,人体辐射、电池安全等问题是否符合安全需求。
③ 软件安全:具有独立操作系统平台的可穿戴设备需要中间软件拓展更多的功能和服务,但这些软件一旦被恶意病毒感染,那么可穿戴设备的数据安全和设备安全就无从谈起了。
3 可穿戴设备的安全风险
3.1 操作系统的开源性
可穿戴设备为了结构和操作方式的灵活性,方便与其他设备的兼容对接,获得更好的用户体验,往往会采用的是开放性操作系统[4]。2014年3月谷歌推出了Android Wear操作系统,这是一个专门提供给第三方厂商的智能手表的开放平台,免费开源,并且数据挖掘和分析能力强大。基于Android的系统的开放性,提供方便的功能扩展的同时,更会带来诸多的安全隐患,如黑客的攻击,恶意代码的植入等等。
3.2 无线网络连接
目前的可穿戴设备普遍采用的是蓝牙、WiFi这样的逻辑设计来连接智能手机,通过手机端的APP或者GPS定位实现数据的同步和共享,在数据传输的各个环节中,都有可能遭受到网络攻击[5]。在未来,可穿戴设备采用NFC短距离传输技术实现门禁解锁与移动支付也将会成为潮流和趋势,而这无疑将会变成网络黑客眼中的“肥肉”。无线网络连接相比于有线连接更容易受到射频干扰,传输的数据容易被非法截获,造成信息的泄漏。
3.3 智能硬件的自身漏洞和缺陷
可穿戴产品为了保证形态小巧精致,外观时尚,会采用较小体积的传感器,有的设备甚至连芯片或系统都没有,就其本身的硬件结构上看,缺乏一定的硬件层安全保障。在软件层次上,各大生产厂商为产品设计越来越多的中间层软件,拓展丰富的功能,但这也相应地带来了更多的安全风险。在2015年Hack Pwn安全极客狂欢节上,有黑客展示了通过小米手环的漏洞成功获取了控制权,这实际上也不是个例,大多数穿戴产品都会存在一些硬件漏洞或者缺陷。
3.4 网络恶意攻击
可穿戴设备目前正处于初步发展阶段,各种安全措施均不够完善,极容易遭受到不法攻击。黑客为了获取有价值的数据,不仅仅是对设备进行攻击,更会上升到整个应用链中。网络中的攻击主要体现在对设备的远程控制、隐私数据的窃取以及物理设备的破坏等。
4 可穿戴设备的安全应对措施
基于以上的分析,可见可穿戴设备在目前阶段的安全系数并不高,针对于安全问题的应对措施的研究也是势在必行。随着可穿戴应用市场的不断发展,在提高质量和用户体验的同时,其安全问题已经成为必须要攻克的一块“致命短板”。
4.1制定统一规范的安全技术标准
由于行业内缺乏统一的技术规范,各大厂商设计和开发的可穿戴产品在质量上、功能上层次不齐,形态各异。尤其在网络安全技术标准这一块,缺乏相应的技术指导,没有权威的安全监管机制,导致安全问题成为众多产品的一大“硬伤”。另外,可穿戴设备行业的信息安全防护也需要在国家法律层面上有所体现,针对于敏感信息采集和个人隐私的保护需要法律化规范。最后,在可穿戴产品的安全检测上,需要制定一套可靠的权威的认证机制来规范行业产品的发展,让用户能够更简单化、有效化地评估产品和购买产品。
4.2 硬件厂商对芯片层加密
大多数可穿戴产品都不是以独立的形态出现,而是依附于智能手机或者云服务器端实现数据的共享与处理。硬件生产厂商在对芯片层进行设计时,增加安全硬件模块,植入厂商独立自主的底层安全架构。可穿戴设备通过无线网络与智能手机或者云端进行数据交互时,数据会被加密,秘钥存放在可穿戴设备的硬件芯片中。当需要查看手机端或者云端数据时,必须身份认证和秘钥都匹配通过才能实现操作。这种芯片级的加密处理,可以大大提高隐私数据的安全性。
4.3 接入控制与双向认证机制
用户使用可穿戴设备联网时,启用接入控制机制,首先需要进行对连接的网络环境进行安全评估,并采用WPA2加密机制保障无线网络的安全性[6]。在与其他终端进行交互时,必须先进行双向身份认证,确保通信实体之间身份的合法性。在身份识别上,采用基于生物特征的增强型认证,如指纹、心率等。生物特征很难被复制和窃取,用于用户身份认证上安全程度是非常高的。
4.4数据的多模加密
用户使用智能产品时,最关心的问题莫过于数据的安全性。可穿戴设备最重要的不在于硬件,也是在于数据的价值。数据的多模加密是由对称加密技术和非对称加密技术结合组成。对于设备采集到的数据根据不同的环境安全需求,采用不同的加密模式,从本源上保证数据的安全性,具有针对性、全面性和灵活性的特点。使用多模加密的同时,为了保证隐私数据的安全,应使用高强度的加密方式,秘钥的长度不少于256位。针对于不同的使用场景,进行数据挖掘时,采用匿名原则,对个人隐私数据进行模糊化处理,并去掉用户识别程度高的数据,保护用户的身份和隐私的安全。
4.5日志审计和入侵检测
在可穿戴产品安全模块上,集成日志审计和入侵检测功能。入侵检测是对进出可穿戴设备的数据流量进行分析和控制,对具备安全风险和入侵企图的流量进行拦截,防止网络入侵的发生。对于设备的常规操作进行日志记录,包括连接的网络属性、设备状态,操作详情,与其他设备的交互等。通过日志审计和分析,能够做到全面而详细的设备监控。
5 结语
可穿戴设备未来的路还很长,但终究能不能得到一个爆发,安全问题成为了亟待解决的难题和障碍。在可穿戴设备的持续发展中,需要国家政府、生产厂商、服务提供商和消费者等多方努力,来推动可穿戴市场的整体发展。
参考文献:
[1] 陈根.可穿戴设备[M].北京: 机械工业出版社,2014:17-18.
[2] 王倩.可穿戴设备的信息安全问题研究[J].情报探索,2016(3):122-128.
[3] 张晓睿,张世奇.可穿戴设备发展趋势及信息安全风险研究[J].中国新技术新产品,2016:184.
[4] 落红卫,魏亮徐,迎阳.可穿戴设备的安全威胁与防护措施[J].电信网技术.2013(11):9-11.
[5] 刘金芳.可穿戴设备的信息安全风险及我国的应对建议[J].信息安全技术,2014(11):10-12.
[6] 姚永康.可穿戴设备的安全隐患及应对措施[J].电脑编程技巧与维护,2015(24):127-128.