（洛阳理工学院 计算机与信息工程学院，河南 洛阳 471023）

0 引 言

近几年，在日益成熟的AI技术、云计算、大数据、语音识别等技术的推动下，智能家居产业正迎来“黄金时代”。随着5G的到来，智能家居产品的普及乃大势所趋。智能家居系统在提供有效的能源管理、远程控制、娱乐系统、家庭安全和生活/医疗保健等服务的同时，还收集了大量的用户数据，其中一些数据较敏感，如日常行为、位置信息、健康/医疗状况、家庭监控等。这些数据很可能被第三方以及攻击者滥用，使用户受到严重的安全威胁。

智能家居产品以家庭为核心使用场景，使用场景的特殊性决定了对安全问题的高要求和用户对产品安全的高度敏感及高关注。一旦智能家居产品存在安全问题，不仅将威胁用户的隐私、财产和生命安全，也将对厂商造成难以估量的损失。目前，尽管业界已经对智能家居系统进行了大量研究，但是对安全性和隐私问题的关注却很少，并且有其局限性。大多数研究主要集中在智能家居系统的漏洞发现和安全威胁分析方面。为了帮助研究人员深入了解智能家居的安全问题并做进一步的研究，本文从设备、通信、应用平台和用户等角度分析了智能家居可能存在的安全和隐私问题，并理清其本质。基于这些分析，文中深入研究了适用于智能家居现有解决方案的不足之处及面临的安全挑战，提出了适用于智能家居安全的关键技术，并指出了未来的研究方向。

1 智能家居系统架构

智能家居系统中的设备是由不同供应商使用不同的通信协议和标准开发，这些设备之间需要彼此协作；系统需要集中收集设备生成的大量数据，并做进一步的分析和处理，这就需要高处理能力和足够的存储空间。但大多数物联网设备通常只具备有限的存储空间和计算能力，为解决异构问题和资源不足的问题，研究人员提出了基于云的解决方案[1]。云具有无限的存储空间和低成本的高处理能力，不仅拥有足够的资源来收集、处理和存储智能家居环境产生的数据，而且还可以满足高动态特性的即时响应要求。通过将数据存储在云端，可以实现多个服务共享数据。

基于云的智能家居系统典型架构如图1所示。该体系结构由传感层、网络层和服务层组成。传感层通过使用一组物理设备（蓝牙设备、GPS、RFID、环境传感器等）负责数据收集，但传感器本身资源极其有限。网络层负责将收集的数据移至管理或使用它的应用程序。在智能家居中，每个设备彼此独立运行并使用本地网络通信，家庭网关作为接入点，使智能家居用户可以远程监视、控制和管理家用电器或传感器。此外，家庭网关还可用作聚合点，在特定时间段或特定时间间隔内聚合数据，并通过Internet将设备信息中继到云服务器。但网关的存储和计算功能亦有限。服务层的主要作用是提供服务，云服务器处理接收到的数据，并将处理后的数据发送到相应的服务程序，该服务程序使用该数据为用户提供服务。云服务器通常归物联网制造商所有，它为平台提供一个API接入点，应用程序通过该接入点与家用设备交互。

图1 基于云的智能家居系统典型架构

将智能家居设备生成的大量数据上传到云端，不可避免地使用户的隐私面临巨大风险。另外，云服务通常是为一大批客户而不是一个特定用户开发的，因此，数据泄露的可能性更大。尽管云计算的应用增加了智能家居的普及，但是如何保护云端数据的安全和隐私是智能家居行业进一步发展需要解决的关键问题。

2 智能家居安全问题分析

智能家居系统具有异构、动态和互联的特性，本文从设备、通信协议、应用平台和用户四个方面，深入研究和分析智能家居系统安全问题产生的根本原因。

2.1 智能设备

智能家居中设备安全性是当前最为重要的问题。部署在家中的智能设备和家用电器收集大量有关家庭环境和用户状况的敏感数据，然而，研究人员发现，许多设备都存在潜在的安全漏洞，使它们成为入侵点。例如，一个联网的冰箱可能被恶意黑客用作进入家庭网络的入口，一旦攻击者进入，他们便可以访问用户的计算机，从而窃取私人信息。据报道，过去几年一些流行的联网设备（例如SimpliSafe、Ring、SmartThings和Nest）都存在严重的安全漏洞，可能会使用户面临各种各样的安全问题[2]。另一项研究表明，70%的常用物联网设备都存在严重漏洞，平均每台设备有25个漏洞[3]。

智能设备易受攻击由几个因素造成，其中最明显的原因是智能设备本身缺乏安全措施。一方面，多数智能设备往往资源有限，这使得无法在其上实现功能强大的安全防护；另一方面，智能家居无统一的行业安全标准，大部分厂商为了降低成本仅实现最低限度的功能，不增加额外的安全措施，导致部分智能设备存在默认口令、明文传输密钥等高危漏洞。

固件无法定期更新是导致该问题的另一个原因。由于担心降低用户体验，许多供应商不愿通过固件升级来修复漏洞。智能设备应该具有自动更新功能，一旦发现问题，供应商可以及时发布修复程序。但智能设备的生命周期较长，并且数量不断增加，使得固件更新非常具有挑战性，如果缺少适当的防护措施，固件更新也会成为安全漏洞。

2.2 通信协议

智能家居中物联网设备主要通过无线信道通信。ZigBee、WiFi和Z-Wave是智能家居中常用的无线通信标准。但研究发现，这些无线协议本身具有一些漏洞，通过不安全的无线信道传输的数据可能会被拦截、窃听和篡改。

ZigBee是智能家居中广泛应用的无线通信技术，其安全性取决于密钥的保密性。然而，默认链路密钥的使用给密钥的保密性带来了极大的风险，使得黑客有机会从外部嗅探出网络的交换密钥，密钥截获将带来严重的安全隐患。

WiFi通信技术已经发展成为智能家居环境中通信的实际标准。尽管WiFi通信技术结合了一系列旨在保护通信机密性和完整性的安全特性，但其协议的性质和设计仍使其在一定程度上容易受到流量分析攻击造成隐私泄露的威胁。利用WiFi网络的安全设置，攻击者可以拦截和篡改从智能设备到中央集线器、智能手机或云的通信。即使使用安全加密，攻击者仍然能够窃听家中传感器的无线传输，以推断用户的活动。此外，通过窃听加密的流量，攻击者可以推断出智能设备访问的网站。研究人员通过一组实验探究了WiFi通信技术固有的信息泄漏漏洞，表明该协议中的安全机制并不能有效防御信息泄漏攻击[4]。

2.3 智能家居平台

近年来出现的一些支持第三方应用程序开发的智能家居平台虽然为用户带来了很多好处，但同时也存在一些设计缺陷，使得攻击者可在不需要访问家庭网络的情况下进行攻击。

Comcast的Xfinity是一款远程警报系统，可以在门窗打开时发出警报，并对家庭进行实时可视化监控。但据披露，该系统存在一些缺陷，会导致系统在门窗未关闭的情况下发出“门窗已关且安全状态良好”的虚假报告。此外，这些缺陷还会导致系统无法感知入侵者在家中的活动。问题的根源在于Xfinity系统使用的ZigBee无线通信协议。相对成熟的SmartThings平台也被发现存在安全漏洞。通过对SmartThings功能模型和事件子系统的研究，研究人员发现，不仅SmartThings本身，SmartThings应用商店中的SmartApps都存在严重的安全设计缺陷：存在过度授权问题；敏感数据保护不足；不安全的第三方集成；不受限制的外部通信访问控制；不安全地使用Groovy动态方法调用。

对SmartThings平台的进一步研究表明，商店中超过55%的SmartApps存在权限粒度过粗导致的授权过度问题[5]。

另外，智能家居环境中用户通常通过Web界面与连接的设备进行交互。然而，许多Web接口都存在众所周知的应用程序漏洞。针对设计缺陷的攻击会产生更深远的影响，一旦有大量应用程序使用该框架，那么很难在不造成重大破坏的情况下对编程框架进行更改。

2.4 用户

除设备漏洞和系统设计中的安全漏洞外，智能家居用户的安全意识薄弱也将造成安全威胁和隐私泄漏。当今多数智能设备既无键盘来输入密码，也无屏幕显示随机的“配对码”，导致用户放弃使用强密码而选择使用默认密码，这给黑客访问智能设备提供了机会。虽然智能家居安全应该由供应商在设备和系统层面解决，但用户也有责任保护自己免受安全威胁。除了黑客攻击导致的个人数据泄露外，用户数据也可能在未经授权的情况下被非法收集和共享。随着连接设备和可穿戴设备的普及和数据共享需求的增长，用户应该树立起足够的安全和隐私保护意识，防范隐私泄露、数据被盗。

3 解决方案与挑战

在智能家居系统中，主要的风险来自黑客攻击和恶意软件，而这些威胁大多可以通过设备认证、访问控制、通信加密以及固件更新来解决。然而，智能设备资源受限的特性使得这些安全机制的实施非常具有挑战性。

3.1 身份认证

在智能家居环境中，实施身份验证以防止设备和系统被非法使用非常必要。身份认证的主要目的是验证设备用户的身份，防止非法用户操作智能家居设备。身份验证包括对云服务、移动接口以及设备本地管理会话的验证。尤其是连接到Internet并允许第三方进行操作和控制的设备，需要强大的身份验证和授权控制机制。虽然目前已经提出了许多认证方案，但大多数都会带来大量开销[6-7]。智能家居系统通常由多种多样的设备组成，并且资源有限，因此需要设计轻量、高效的认证方式来确保智能家居的安全。

Kim等人[8]提出了一种动态、节能的用于识别IoT设备的认证方案（DAoT）。DAoT使用反馈控制方案来动态选择节能认证策略，可以通过验证目标设备提供的安全信息来实现IoT设备真实性的验证。但该方案并未考虑匿名性和不可链接性。2015年，Kumar等[9]提出了用于智能家居环境的轻量级安全会话密钥建立方案，该方案允许每个实体在加入家庭网络之前进行轻量级相互身份验证，并使用短身份验证令牌建立安全会话密钥。该方案可抵御流行的攻击，例如拒绝服务和窃听攻击。但该方案需要将智能设备密钥存储在家庭网关中，且未考虑匿名性和不可链接性。Kumar等人[3]在2017年提出了一种匿名安全框架（ASF），通过利用哈希和对称密码系统在通信设备间提供有效的身份验证，与之前的方案[9]相比，ASF实现了匿名性和不可链接性。

Meng等[10]提出了一种基于椭圆曲线密码技术（ECC）的高效匿名认证方案，能够有效抵御窃听、重放、中间人等攻击。Alshahrani等[11]提供了一个轻量级身份验证框架，该框架使用动态身份和临时密钥为智能家居中的IoT节点提供支持。同时，Alshahrani基于临时身份和Key-hash链提出了一种轻量级相互认证和密钥交换协议[12]。节点可以使用动态身份和对称密钥以不可链接的方式匿名认证并与控制器节点建立会话。该协议可以安全且有效地部署在功率和资源有限的节点上。Parikshit等[13]提出了一种基于阈值的组认证（TCGA）方案，可以验证参与组通信的所有设备的真实性。TCGA方案可以减轻电池电量耗尽攻击及重播、中间人攻击的影响，但未考虑智能设备之间的身份认证和密钥协商，且组认证过程过于复杂。在智能家居中，认证机制的实现对于保护用户的安全和隐私非常必要。目前提出的方案未考虑家庭中多个用户使用同一智能设备的多用户场景。因此，如何对不同身份的用户进行认证和身份管理还需深入研究。

3.2 访问控制

授权机制用于控制智能家居环境中已认证实体对网络服务和敏感资源的访问权限。一般来说，对敏感数据的访问应加以控制，以避免第三方非法访问。对于虚拟化Web服务和设备，可以通过数据隔离实现访问控制。然而，现有智能家居平台的权限模型在设计中通常存在如下2个明显的安全缺陷：粒度过粗导致的过度授权问题；缺乏对敏感资源的隔离。

如何实现对敏感资源的细粒度访问控制，成为智能家居首先需要解决的问题。

为了解决粒度过粗问题，Lee等[14]提出了一种基于设备功能的访问控制系统，简称为FACT，该系统使用Linux容器隔离设备的每个功能，并授予主体访问每个所需功能的权限。与基于权限的访问控制系统相比，FACT可以获得更细粒度的访问控制。为了实现对敏感动作的有效访问控制，Jia等[15]提出了一种基于上下文的权限系统，该系统提供带有上下文信息的运行提示，以帮助用户执行有效的访问控制。然而，由于这些提示过于专业，因此难以被用户理解使用。Rahmati等[16]设计了一种基于风险的权限访问控制，根据设备的风险相似性对设备操作进行分组，并按组授予相应的访问权限，实验表明，该方案能够显著降低安全风险。Tian等人[17]提出了一种以用户为中心的、基于语义的授权系统，能够自动从智能家居APP的自然语言描述、代码和注释中提取与安全性相关的信息，并生成授权用户界面，使得设备访问符合用户期望。为防止恶意应用程序在获得用户授权后访问敏感数据，Fernandes等[18]设计了一个基于标签的信息流控制系统，该系统使用污点跟踪方法来限制敏感数据的流出，但这种方法未考虑侧通道分析问题。

智能家居系统应用场景多样且复杂，如何设计细粒度的访问控制方案与适用于多用户使用设备场景的访问控制方案，还需要进一步研究。

3.3 协议加密

加密是一项重要的安全措施，然而，智能家居中的大多数设备资源受限，传统的加密算法不适用。最近，大量研究致力于为智能家居中资源受限的设备设计轻量级加密协议。Zegers等人[19]开发了一种轻量级加密和握手协议，该协议可以在数据传输到云端之前对其进行保护。Salami等人[20]提出了一种基于身份的轻量级加密解决方案，通过分离密钥加密和数据加密，提高了加密密钥管理的灵活性，并显著提高了加密操作的效率。Saurabh等[21]提出了一种对称和非对称混合的轻量级加密算法（HLA），使用设备的4个参数作为输入：数据大小、内存空间、计算能力和电池电量，每个参数的阈值可以通过特定算法计算。HLA方案适合于资源受限的智能设备。Zhou等[22]提出了一种轻量级加密协议，该协议将无证书签名和双线性配对的加密基元集成后，可用于计算能力有限的设备。Homin等[23]提出了一种节能、轻量级、低延迟的算法，用于在虚拟家庭环境中创建针对旁通道攻击（侧信道攻击）的虚拟活动。通过使用这些伪装活动，可以灵活控制虚假数据传输的数量，以便在能源效率和隐私保护之间进行权衡。

目前大部分智能家居设备资源有限，如何设计轻量级的加密协议成为解决智能家居安全问题的一大挑战。

3.4 入侵防御

智能家居安全涉及很多方面，任何一个环节出现问题都会给用户带来安全隐患，导致不可预期的后果。目前，研究人员提出了许多用于智能家居系统的测试框架、安全评估模型和入侵防御系统。Kirkham等[24]提出了一种风险评估架构，从安全性、隐私和资源管理方面协助设备管理，该体系结构确保用户能够很好地管理智能家居环境中的风险。Etienne等[25]提出了一种基于Web本体的异常管理框架，用于检测智能家居中的硬件、软件、网络、环境故障。该框架基于推理器，可以推断出某些上下文异常，并采取相应措施使系统恢复到正常运行状态。Kang等人[26]提出了一种智能家居设备的内部安全框架，使用自签名和访问控制技术，为确保设备认证、数据完整性和可用性提供安全服务，防止诸如数据修改、泄漏和代码伪造之类的安全威胁。孟岩等[27]利用推测技术设计并实现了智能家居应用的异常行为检测系统。该系统通过利用智能家居无线网络中的侧信道信息来推测当前活跃的应用。通过与源代码或用户交互界面中提取的预期应用行为进行比较，可以有效检测应用与智能设备交互中可能存在的异常情况。但这些框架和工具可以检测到的安全性问题并不全面，其使用范围受到限制。

4 未来研究展望

未来，智能家居将成为人们生活必不可少的部分，其安全性是首先要解决的重要问题。尽管已提出了一些可以在一定程度上解决安全问题的解决方案，但仍然有一些领域需要进一步的研究。智能家居应具有自动分析和检测威胁的能力，并在发现威胁后立即做出反应以阻止威胁，此类功能的实现需要机器学习和用户行为分析技术的支持。机器学习用于读取和分析智能家居中生成的大量数据，并确定设备的行为和使用方式，从而发现并防止异常活动和潜在的有害行为。安全威胁自动检测功能的实现将依赖于云服务器终端设备的海量数据。因此，云服务器中用户数据的安全性已成为未来必然的研究工作。同时，随着数据挖掘和机器学习技术在智能家居中的应用，恶意应用对不直接包含隐私信息的数据进行分析可能会带来隐私泄露的风险。基于隐私保护的更加实用的数据挖掘和机器学习方法是未来研究的另一项重要内容。

5 结 语

智能家居使我们的生活比以往任何时候都更加舒适和便捷，并且变得越来越受欢迎。但部署智能家居可能会给个人信息和家庭隐私带来潜在的安全威胁。本文概述了智能家居的现状和发展趋势，从设备、通信、应用程序和用户等角度对智能家居中的安全问题进行了详细研究，针对这些问题提出了一些解决方案。最后，指出了未来工作的研究方向。