黄 超

（北京歌华有线电视网络股份有限公司，北京 100007）

1 研究背景

根据调研机构报告，未来五年中国智慧家庭用户数将可能达到甚至超过5亿户。智能家居是智慧家庭中重要的一种业务类型或者实现方式，是结合5G、物联网、人工智能、家庭网络、大数据、云计算、边缘计算等现代科学技术和人文居住环境，通过技术手段结合在一起的综合体[1]，目的是为人们提供更智能、舒适、安全、环保、节能以及高品位的生活服务，实现人与环境的可持续发展。

目前，在电信运营商和OTT互联网视频服务供应商竞争的背景下，广电网络运营商普遍面临收视用户数和固网宽带用户数下降和利润下滑的局面，求创新和主动变革是提升竞争力与缓解经营压力的唯一途径。智能家居作为创新业务的新兴战略要地，广电网络运营商必须要考虑如何利用好自己的已有用户基础、终端网络平台资源，抓紧时间大胆探索智能家居技术方案，发展用户业务，寻找新的业务增长点。

智能家居在给用户带来生活方便的同时，复杂的网络接入模式和丰富的智能设备给用户带来了异常复杂的安全问题，用户数据通过网络端到端地无保护传输会让用户隐私泄露的问题成为重大的安全隐患[2]。比如，智能摄像头可以远程监测家里的一举一动，及时发现孩子偷看电视、陌生人闯入或者老人摔倒等特殊情况，以便及时采取补救措施，但也存在其他人（如黑客等非法人员）利用专业技术手段让个人隐私暴露在外人眼前，而用户却一无所知。这不仅有隐私泄露风险，还可能造成用户财产损失，甚至威胁人身安全。

解决智能家居的安全问题除考虑法律法规、行业规则和行政管理手段之外，必须研究有效的技术手段来规避已知风险。因此，在建设智能家居系统之初就需要将安全方案的技术研究放在首位。本文将在介绍各类智能家居系统的基础上，对智能家居系统的安全方案进行技术研究和阐述。

2 智能家居系统分类

智能家居系统一般包括4个逻辑模块。

（1）智能家居云服务：满足用户（手机）在互联网范围或者私网内使用智能家居设备和服务。

（2）智能家居设备：为用户提供智能家居服务的硬件设备，如摄像头、智能开关、各类传感器等。

（3）智能家居应用软件：用户通过运行在手机、PC等第三方设备上的智能家居应用软件，实现对智能家居设备的控制与设置、查看用户数据、实现智能家居增值服务。

（4）设备汇聚服务：智能家居设备的控制指令和用户数据的汇聚点、汇聚的位置和方式的不同，将严重影响智能家居系统的组网方式、架构、服务提供方式和安全方案。根据智能家居设备汇聚服务所在位置和方式的不同，可将智能家居系统组网方式分为公网汇聚、私网汇聚和家庭汇聚三种，对应的智能家居系统可分为公网汇聚智能家居系统、私网汇聚智能家居系统和家庭汇聚智能家居系统三种。

2.1 公网汇聚智能家居系统

公网汇聚智能家居系统是互联网公司最常用的一种方案，设备汇聚服务直接部署在互联网（即公网）上，智能家居设备可以在互联网可达的任何节点迅速部署，容易实现规模化发展，系统架构也较为简单。例如，小米、阿里巴巴、华为等公司均通过公网汇聚的方式提供智能家居类服务。智能设备通过Wi-Fi或有线方式，接入部署在互联网上的智能家居云服务和设备汇聚服务。公网汇聚智能家居系统的逻辑架构如图1所示。

图1 公网汇聚智能家居系统的逻辑架构

由此可见，公网汇聚智能家居系统的优点是系统架构简单，系统建设成本低，各类终端厂商可依赖互联网巨头公司提供的私有协议快速实现智能家居设备生产，为互联网内的海量用户提供服务，该方案也为互联网公司构建私有的智能家居生态圈，跑马圈地形成部分垄断效应实现商业价值。

该方案缺点是互联网生态一直面临较大安全风险，设备控制指令数据和用户私人数据都暴露在互联网中，存储在这些互联网公司的云端，稍有处理不慎就容易产生隐私纠纷。直接暴露在互联网中的设备也可能成为黑客入侵的目标，如这几年频繁报道的互联网摄像头隐私泄露事故。私有的智能家居技术协议标准也将限制整个生态发展，智能家居设备和系统服务提供商的责任边界不清。

2.2 私网汇聚智能家居系统

私网汇聚智能家居系统将设备汇聚服务部署在接入网络（即内部网络、私网）中，而不是互联网上，智能设备通过Wi-Fi或有线方式接入部署在私网中的智能家居云服务和设备汇聚服务。私网汇聚智能家居系统一般由服务提供商用于为内部网络用户提供专业服务，服务对象为集中于内部网络用户，服务内容来源于定制化的用户需求。重点在于专业的团队提供专业的智能家居定制服务，技术协议标准没有特殊约束。私网汇聚智能家居系统的逻辑架构如图2所示。

图2 私网汇聚智能家居系统的逻辑架构

私网汇聚智能家居系统的优点是设备汇聚服务部署在内部网络中，通过可控的网间互联方式（外联网关）联通互联网公网。智能家居设备不直接暴露在互联网公网的方式大幅减低了互联网攻击的可能性，设备控制指令数据和用户私人数据在内部网络传输和存储也降低了泄露的风险，定制化服务模式的服务责任边界较为清晰。

此方案缺点是服务提供商和内部网络运营商触及的数据需要对用户做出相关隐私承诺，存在一定的用户数据安全风险。不同内部网络建设的私网汇聚智能家居系统都存在定制化成分，势必提高相关建设成本和周期，可选的智能家居设备或者服务体验也会受制于服务提供商的能力。

2.3 家庭汇聚智能家居系统

家庭汇聚智能家居系统将设备汇聚服务部署在用户侧的智能家居网关中，智能家居云服务部署在私网中，智能家居网关负责在用户侧组建“设备网络域”，实现智能家居设备的网络接入并完成用户隐私数据的本地保护工作。智能家居设备接入智能家居网关的设备网络域，通过智能家居网关与智能家居应用软件（如手机App）通信，提供统一的智能家居服务。家庭汇聚智能家居系统常被网络运营商采用，因为他们拥有自己承建的可控的规模巨大的私网。家庭汇聚智能家居系统的系统逻辑架构如图3所示。

图3 家庭汇聚智能家居系统的逻辑架构

家庭汇聚智能家居系统的最大优点是解决大规模用户群体隐私保护的问题，设备汇聚服务部署在用户侧智能家居网关中，降低用户数据通过网络上传到云端而产生的安全风险和管理成本。智能家居设备连接的是本地的设备网络域，与互联网网络隔离，多重网络隔离也降低了被互联网黑客攻击的可能性。智能家居网关的特点是所有数据都存储在用户侧，对数据的清洗、脱敏都在用户侧进行，用户数据在智能家居网关上处理脱敏保护隐私后，才会将必要数据通过网络传输到云平台用于大数据应用。智能家居设备在家庭汇聚并进行边缘计算，减少了互联网的不确定性，可以提供更高标准的精准服务。通过采用相对开放或者统一的技术协议标准，也可以形成开放式生态。

此方案缺点是技术标准的开放性和统一性程度将决定生态的开放程度，如果存在过多定制化成分，也将势必提高相关建设成本和周期，智能家居网关设备也会增加用户侧部署成本，可选的智能家居设备或者服务也会受制于服务提供商的能力。

如上所述，三种智能家居系统方案各有特点，优缺点不同，但是面临的安全风险都大同小异，都需要研究合适的安全方案来应对各种风险。下面将以常见的网络运营商家庭汇聚智能家居系统为例进行详细的安全方案说明。

3 智能家居系统安全方案研究

家庭汇聚智能家居系统由智能家居云服务平台、智能家居网关（设备汇聚服务）、智能家居设备和智能家居应用软件四部分组成。本文阐述的安全方案主要分为智能家居云服务平台安全、智能家居网关安全和智能家居设备安全三部分，应用软件的安全主要指通用应用软件安全，不属于本文的研究范围。

3.1 智能家居云服务平台安全

它是指智能家居云服务平台在平台设计与实施中存在的各类安全问题。平台侧需提供完整的安全架构设计，构筑多层防御系统的安全对策，确保安全性。智能家居云服务平台安全设计根据功能划分，按最小授权、多层独立防护的原则要求设计各部件安全属性，如系统安全、数据安全、平台网络安全、口令账户安全、SaaS和PaaS安全。

（1）系统安全。智能家居云服务平台运行的系统应具有防病毒能力；系统应具备访问权限的识别和控制功能，提供多级密码或使用硬件钥匙等保护措施；对各种管理员应授予不同级别的管理权限；对远程登录进行管理；系统应提供完整的操作系统监控、报警和故障处理能力，对可执行程序进行完整性检查，以防止被恶意修改，能够监控应用程序的运行情况；数据库应支持C2或以上级安全标准、多级安全控制；支持数据库存储加密、数据传输通道加密及相应冗余控制；系统应提供相应措施保证交易信息、业务信息的完整性/安全性/可靠性；系统应具有安全审计功能。

（2）数据安全。它是指保障智能家居系统所有数据在采集、传输、存储、处理、共享、销毁等关键环节的数据安全。存储数据包括原始日志数据、定购关系数据、用户原始业务数据、统计数据等；系统数据和业务数据可联机备份、联机恢复。采用可靠备份存储机制将重要数据存储。

（3）平台网络安全。智能家居云服务平台使用的网络系统应支持访问控制、安全检测、攻击监控等一系列安全功能，应提供完整的网络监控、报警和故障处理功能和入侵检测功能。采取的措施包括实时报警、自动阻断通信连接或执行用户自定义的安全策略；定期检查安全漏洞，更正网络安全漏洞和系统中的错误配置；使用加密技术对传输的数据加密；科学配置防火墙。

（4）口令账户安全要求。智能家居云服务平台应能够自动检测账号和密码安全性，拒绝创建不符合安全设置条件的账号和密码，包括平台账号密码长度不得低于6位，密码应由大小写字母、数字以及特殊字符组成；平台能够保存有关用户登录等安全内容的日志。

（5）SaaS和PaaS安全。智能家居云服务平台的SaaS和PaaS中的用户管理、权限管理应充分利用操作系统和数据库的安全性。基于PKI证书体系，采用相应的证书链和策略对智能家居网关进行校验，确保只有合法的智能家居网关才能接入到智能家居云服务平台，确保服务安全。

3.2 智能家居网关安全

家庭汇聚智能家居系统的家庭智能网关作为智能家居在家庭的中心节点，在公网、家庭网络和设备网络三个网络域中起网络隔离和业务桥接的作用，如图4所示。设备网络对智能设备的连接进行权限管理，使家庭内部的设备管理可以分级、分区域进行，方便行为更加复杂的应用开发，例如，对儿童监督的设备和涉及成年人隐私的设备进行分权限管理等。家庭智能设备通过隔离的设备网络接入家庭网络，使得互联网侧和家庭网络侧都不能直接访问智能设备。运营商只通过智能网关的服务接口对智能家居设备进行访问、管理和使用。各种智能家居设备（如摄像头、智能穿戴设备等）可以通过Zigbee 3.0、Wi-Fi、蓝牙或其他USB扩展的连接接口联接到家庭设备网络。用户的移动终端（如手机、PAD等）通过互联网远程接入家庭智能网关，智能网关通过与移动终端建立点对点的安全通道，保证移动终端和家庭网关连接的私密和安全。下面分物理安全、网络安全、业务安全三方面阐述智能家居网关的安全性要求。

图4 智能网关网络位置

3.2.1 物理安全

物理安全要求网关应具有存储安全、防篡改、防克隆等功能，要求物理主芯片具有UID（网关芯片ID）、内嵌安全信息和通用的安全处理器功能。当网关启动时通过Boot签名校验，代码通过数据签名校验，确保代码完整性。网关启动、软件运行、系统升级、网关软件升级（OTA、IP、USB）等都具备安全验证机制，确保“网关无法被克隆”“未经运营商签名认证的程序无法在网关安装和运行”。

智能家居网关设备应支持与云平台建立基于数字证书的安全体系，通过标准数字证书构建网关和前端的信任关系，数字证书管理应基于PKI。各信任链的根证书采用X.509标准格式，每个信任链均与具体业务相关联，以遵循密钥用途专一的基本原则；证书应在生产过程中完成安装，由网关设备的固件负责维护；信任链不能更改；网关采取预埋证书、固件签名的安全措施来保证设备的物理安全。

3.2.2 网关网络安全

网络安全包括网络传输、防火墙、网络隔离三个部分。网络传输基于TLS/SSL安全协议，确保网络传输安全，防火墙可防止网络攻击，网络隔离实现对不同的业务采用不同的网段，使前端各业务系统之间互相隔离，网关侧不同安全类别业务对应的客户端运行环境之间互相隔离。

网关应具备防火墙功能，实现MAC控制、IPv4/6源或目标地址过滤、URL/包含的关键字过滤、源或目标端口访问控制、VPN控制、网络隔离、禁止危险的网络服务（如SSH、TELNET、HTTP、UDP、TFTP、FTP、Serial Console等）。其中，网络隔离包括WANLAN网络隔离和LAN-LAN网络隔离，WAN-LAN网络隔离可解决家庭网络的安全性和家庭网络开放性矛盾的问题；LAN-LAN网络隔离可实现专网专用，访客Wi-Fi不能访问家庭网络，不能使用家庭网络中的家庭服务，只能访问互联网上网。

3.2.3 业务安全业务安全基于PKI证书体系，根据业务服务类型分类认证，采用相应的证书链和策略进行校验，确保智能家居业务安全。通过网关中预埋的前端服务器认证机构证书（根证书）和设备根证书，实现SaaS和PaaS中的服务与网关之间的通信双向认证，加强智能家居业务安全。

3.3 智能家居设备安全

智能家居设备包含成千上万的智能家居设备和传感器，它们是成千上万的生产厂家根据一定的标准生产制造的。智能家居设备是真正用户日常接触使用的设备终端，通过接入智能家居网关为用户提供智能家居服务。智能家居设备的安全直接关系用户的服务使用安全。智能家居设备接入智能家居网关设备网络的示意图如图5所示。

图5 智能家居设备接入智能家居网关设备网络示意图

智能家居设备安全首先基于设备主芯片的高级安全能力，提供从芯片启动到软件运行整个过程的安全信任链保护，确保设备操作系统安全、数据存储安全、应用软件安全、备启动安全、软件升级安全。其次，智能家居设备安全可以通过与智能家居网关进行互相安全认证的方式来实现，智能家居网关应通过认证接入终端设备的合法性，智能家居设备也可以反向验证智能家居网关的合法性。

4 结束语

随着5G、物联网、人工智能以及大数据等技术不断的成熟与进步，智能家居服务已经成为电信、广电网络运营商、传统家电厂商以及互联网企业争相进入的战略新赛道。安全威胁和个人隐私泄露是广电网络运营商发展智能家居面临的严重问题，本文在介绍智能家居系统分类的基础上，从智能家居云服务平台安全、智能家居网关安全和智能家居设备安全三个方面，对目前智能家居系统的常用安全方案进行了较为深入的技术研究和阐述。安全问题没有上限，只能在智能家居系统实践过程中不断加强和完善安全技术方案。广电网络运营商在网络建设和运营方面具备深厚经验积累，持续解决好安全问题将有利于智能家居服务的全面推广运营，为用户提供安全、可靠、具有竞争力的智能家居产品，在新的市场竞争战场中占领一席之地。■