可穿戴設(shè)備的安全問題與對(duì)策分析作者：夏平來源：《電腦知識(shí)與技術(shù)》2016年第24期摘要：可穿戴設(shè)備作為智能科技的新生力量，具備著無限的潛能。但隨著可穿戴設(shè)備的迅猛發(fā)展，其突顯的安全隱患將成為制約其發(fā)展的關(guān)鍵因素?？纱┐髟O(shè)備的安全問題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全三個(gè)方面。在應(yīng)對(duì)策略上，通過在硬件芯片層加密、接入控制與雙向認(rèn)證、數(shù)據(jù)多模加密等核心技術(shù)提高可穿戴設(shè)備的安全性。關(guān)鍵詞：可穿戴設(shè)備；芯片層加密；多模加密；雙向認(rèn)證中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2016）24-0038-02Abstract:Wearabledevicesasanewforceofintelligenttechnology,withunlimitedpotential.However，withtherapiddevelopmentofwearabledevices,itssecurityriskswillbecomeakeyfactorrestrictingitsdevelopment.Wearabledevicesecurityissuesaremainlyreflectedinthreeaspectsofdata，equipmentandsoftware.Inresponsetothestrategy，throughthehardwarechiplayerencryption,accesscontrolandmutualauthentication,datamultimodeencryptionandothercoretechnologiestoimprovethesecurityofwearabledevices.Keywords:wearabledevice；chiplayerencryption；multimodeencryption；mutualauthentication可穿戴設(shè)備出現(xiàn)在公眾視野雖然只有短短幾年，但已經(jīng)成為了一支最火熱的科技新勢(shì)力。它作為物聯(lián)網(wǎng)的重要應(yīng)用，如今也是工業(yè)革命的核心技術(shù)之一。2014年作為可穿戴設(shè)備的發(fā)展元年，其市場(chǎng)規(guī)模得到了前所未有的擴(kuò)展，各大IT界巨頭如蘋果、索尼、三星、谷歌等公司，紛紛發(fā)布可穿戴產(chǎn)品，將目光投向了可穿戴設(shè)備這片藍(lán)海市場(chǎng)［1］。近三年來，在全球聞名的CES國際電子產(chǎn)品展覽會(huì)上，可穿戴設(shè)備、智能家居成為了絕對(duì)的主角。經(jīng)過這幾年的創(chuàng)新與發(fā)展，可穿戴市場(chǎng)雖然火熱，但普及時(shí)代還未來臨，人們關(guān)注更多的不僅僅是功能和質(zhì)量，而是令人思索的安全問題。1可穿戴設(shè)備的發(fā)展可穿戴設(shè)備，指的是可以穿戴在人體上的智能化的交互式產(chǎn)品，它通常融合了無線傳感技術(shù)、多媒體、GPS定位、生物識(shí)別等多種技術(shù)于一身⑵。可穿戴設(shè)備的種類繁多，典型的代表有智能眼鏡、智能手表、智能手環(huán)這三大類，另外智能內(nèi)衣、智能頭盔、智能戒指、智能跑鞋等類型的產(chǎn)品也層出不窮。在可穿戴產(chǎn)品中，谷歌公司在2012年發(fā)布的“拓展現(xiàn)實(shí)”的GoogleGlass最具影響力，該眼鏡集智能手機(jī)、相機(jī)的功能于一體，實(shí)現(xiàn)全球首款支持“腦控”完成操作的智能設(shè)備。可穿戴設(shè)備倡導(dǎo)的是'以人為本”的設(shè)計(jì)理念，以微型傳感器通過與人體的無縫連接，支持手勢(shì)、眼動(dòng)操作，實(shí)現(xiàn)身體數(shù)據(jù)（如心率、步數(shù)、體溫、卡路里、睡眠等）的采集。通過云服務(wù)對(duì)數(shù)據(jù)進(jìn)行計(jì)算與分析，最后上傳到云端存儲(chǔ)或者通過智能手機(jī)反饋給用戶，幫助用戶管理身體和設(shè)計(jì)健康的生活方式。根據(jù)前瞻產(chǎn)業(yè)研究院的數(shù)據(jù)報(bào)告，在2016年國內(nèi)的智能硬件市場(chǎng)規(guī)模將突破500億大關(guān)，其中智能手環(huán)的銷量最高，第五位為智能手表。從國內(nèi)的消費(fèi)情況來看，可穿戴設(shè)備的市場(chǎng)前景是非常廣闊的。目前大多數(shù)可穿戴設(shè)備只是作為智能手機(jī)的一種補(bǔ)充和延伸，需要結(jié)合使用，而可穿戴設(shè)備真正的意義與價(jià)值是作為獨(dú)立產(chǎn)品的形式存在，釋放人們的雙手，提供智能化，健康化、人性化的生活。但在短期以內(nèi)，可穿戴設(shè)備是很難取代智能手機(jī)實(shí)現(xiàn)大爆發(fā)。究其原因，可穿戴設(shè)備作為一種新生代產(chǎn)品，在吸引了無數(shù)關(guān)注的同時(shí)，突顯的安全隱患也將成為制約其發(fā)展的關(guān)鍵性因素。越來越多的人會(huì)意識(shí)到，當(dāng)可穿戴產(chǎn)品日夜與人體無縫接觸，它也必將成為下一個(gè)信息安全隱患的重要源頭。在2015年5月被證實(shí)，我國軍方發(fā)出禁令，禁止軍人使用可穿戴設(shè)備，原因是這類產(chǎn)品很可能會(huì)泄漏國家軍事機(jī)密。這不得不引發(fā)人們的思索，當(dāng)可穿戴設(shè)備的功能愈加豐富，逐漸擺脫'雞肋”角色時(shí)，它所潛在的安全問題終究會(huì)不會(huì)成為令人望而卻步的“攔路虎”呢？2可穿戴設(shè)備的安全問題智能穿戴產(chǎn)品顛覆性地改變用戶的生活和工作方式的同時(shí)，也會(huì)帶來更多新的社會(huì)問題，如信息安全問題?？纱┐髟O(shè)備所面臨的安全問題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全這三方面。數(shù)據(jù)安全：可穿戴設(shè)備采用了各種類型的生理傳感器、甚至配備了攝像頭，通過與人的無縫連接，隱私數(shù)據(jù)的感知能力更強(qiáng)，信息的處理和分析能力也大大提升［3］。而目前簡(jiǎn)單的穿戴設(shè)備都可以記錄用戶的運(yùn)動(dòng)軌跡，GPS定位等等。當(dāng)用戶佩戴的時(shí)間越長，獲取的信息量就越大，用戶的健康狀況和生活喜好均被數(shù)據(jù)化呈現(xiàn)。這些隱私數(shù)據(jù)通常會(huì)上傳給云服務(wù)器端進(jìn)行處理和存儲(chǔ)，或者反饋給智能手機(jī)進(jìn)行數(shù)據(jù)共享。在這個(gè)大數(shù)據(jù)的時(shí)代，用戶的個(gè)人隱私數(shù)據(jù)將會(huì)變得更加透明化。如果云服務(wù)器被攻擊，用戶的個(gè)人隱私將毫無安全可言，更重要的是對(duì)于用戶的人身安全也將會(huì)是極大的威脅。設(shè)備安全：可穿戴設(shè)備未來的發(fā)展方向勢(shì)必與物聯(lián)網(wǎng)聯(lián)系更為緊密，將有可能成為智能家居、汽車駕駛的關(guān)鍵'鑰匙”，一旦可穿戴設(shè)備被非法控制，那么關(guān)乎的不僅僅是數(shù)據(jù)的安全性，更是有關(guān)用戶的住宅和生命財(cái)產(chǎn)安全。另外，可穿戴設(shè)備的使用會(huì)長時(shí)間接觸人體皮膚，飽受質(zhì)疑的是其設(shè)備本身的化學(xué)安全，人體輻射、電池安全等問題是否符合安全需求。軟件安全：具有獨(dú)立操作系統(tǒng)平臺(tái)的可穿戴設(shè)備需要中間軟件拓展更多的功能和服務(wù)，但這些軟件一旦被惡意病毒感染，那么可穿戴設(shè)備的數(shù)據(jù)安全和設(shè)備安全就無從談起了。3可穿戴設(shè)備的安全風(fēng)險(xiǎn)3.1操作系統(tǒng)的開源性可穿戴設(shè)備為了結(jié)構(gòu)和操作方式的靈活性，方便與其他設(shè)備的兼容對(duì)接，獲得更好的用戶體驗(yàn)，往往會(huì)采用的是開放性操作系統(tǒng)［4］。2014年3月谷歌推出了AndroidWear操作系統(tǒng)，這是一個(gè)專門提供給第三方廠商的智能手表的開放平臺(tái)，免費(fèi)開源，并且數(shù)據(jù)挖掘和分析能力強(qiáng)大?；贏ndroid的系統(tǒng)的開放性，提供方便的功能擴(kuò)展的同時(shí)，更會(huì)帶來諸多的安全隱患，如黑客的攻擊，惡意代碼的植入等等。3.2無線網(wǎng)絡(luò)連接目前的可穿戴設(shè)備普遍采用的是藍(lán)牙、WiFi這樣的邏輯設(shè)計(jì)來連接智能手機(jī)，通過手機(jī)端的APP或者GPS定位實(shí)現(xiàn)數(shù)據(jù)的同步和共享，在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)中，都有可能遭受到網(wǎng)絡(luò)攻擊［5］。在未來，可穿戴設(shè)備采用NFC短距離傳輸技術(shù)實(shí)現(xiàn)門禁解鎖與移動(dòng)支付也將會(huì)成為潮流和趨勢(shì)，而這無疑將會(huì)變成網(wǎng)絡(luò)黑客眼中的'肥肉”。無線網(wǎng)絡(luò)連接相比于有線連接更容易受到射頻干擾，傳輸?shù)臄?shù)據(jù)容易被非法截獲，造成信息的泄漏。3.3智能硬件的自身漏洞和缺陷可穿戴產(chǎn)品為了保證形態(tài)小巧精致，外觀時(shí)尚，會(huì)采用較小體積的傳感器，有的設(shè)備甚至連芯片或系統(tǒng)都沒有，就其本身的硬件結(jié)構(gòu)上看，缺乏一定的硬件層安全保障。在軟件層次上，各大生產(chǎn)廠商為產(chǎn)品設(shè)計(jì)越來越多的中間層軟件，拓展豐富的功能，但這也相應(yīng)地帶來了更多的安全風(fēng)險(xiǎn)。在2015年HackPwn安全極客狂歡節(jié)上，有黑客展示了通過小米手環(huán)的漏洞成功獲取了控制權(quán)，這實(shí)際上也不是個(gè)例，大多數(shù)穿戴產(chǎn)品都會(huì)存在一些硬件漏洞或者缺陷。3.4網(wǎng)絡(luò)惡意攻擊可穿戴設(shè)備目前正處于初步發(fā)展階段，各種安全措施均不夠完善，極容易遭受到不法攻擊。黑客為了獲取有價(jià)值的數(shù)據(jù)，不僅僅是對(duì)設(shè)備進(jìn)行攻擊，更會(huì)上升到整個(gè)應(yīng)用鏈中。網(wǎng)絡(luò)中的攻擊主要體現(xiàn)在對(duì)設(shè)備的遠(yuǎn)程控制、隱私數(shù)據(jù)的竊取以及物理設(shè)備的破壞等。4可穿戴設(shè)備的安全應(yīng)對(duì)措施基于以上的分析，可見可穿戴設(shè)備在目前階段的安全系數(shù)并不高，針對(duì)于安全問題的應(yīng)對(duì)措施的研究也是勢(shì)在必行。隨著可穿戴應(yīng)用市場(chǎng)的不斷發(fā)展，在提高質(zhì)量和用戶體驗(yàn)的同時(shí)，其安全問題已經(jīng)成為必須要攻克的一塊'致命短板”。4.1制定統(tǒng)一規(guī)范的安全技術(shù)標(biāo)準(zhǔn)由于行業(yè)內(nèi)缺乏統(tǒng)一的技術(shù)規(guī)范，各大廠商設(shè)計(jì)和開發(fā)的可穿戴產(chǎn)品在質(zhì)量上、功能上層次不齊，形態(tài)各異。尤其在網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)這一塊，缺乏相應(yīng)的技術(shù)指導(dǎo)，沒有權(quán)威的安全監(jiān)管機(jī)制，導(dǎo)致安全問題成為眾多產(chǎn)品的一大'硬傷”。另外，可穿戴設(shè)備行業(yè)的信息安全防護(hù)也需要在國家法律層面上有所體現(xiàn)，針對(duì)于敏感信息采集和個(gè)人隱私的保護(hù)需要法律化規(guī)范。最后，在可穿戴產(chǎn)品的安全檢測(cè)上，需要制定一套可靠的權(quán)威的認(rèn)證機(jī)制來規(guī)范行業(yè)產(chǎn)品的發(fā)展，讓用戶能夠更簡(jiǎn)單化、有效化地評(píng)估產(chǎn)品和購買產(chǎn)品。4.2硬件廠商對(duì)芯片層加密大多數(shù)可穿戴產(chǎn)品都不是以獨(dú)立的形態(tài)出現(xiàn)，而是依附于智能手機(jī)或者云服務(wù)器端實(shí)現(xiàn)數(shù)據(jù)的共享與處理。硬件生產(chǎn)廠商在對(duì)芯片層進(jìn)行設(shè)計(jì)時(shí)，增加安全硬件模塊，植入廠商獨(dú)立自主的底層安全架構(gòu)?？纱┐髟O(shè)備通過無線網(wǎng)絡(luò)與智能手機(jī)或者云端進(jìn)行數(shù)據(jù)交互時(shí)，數(shù)據(jù)會(huì)被加密，秘鑰存放在可穿戴設(shè)備的硬件芯片中。當(dāng)需要查看手機(jī)端或者云端數(shù)據(jù)時(shí)，必須身份認(rèn)證和秘鑰都匹配通過才能實(shí)現(xiàn)操作。這種芯片級(jí)的加密處理，可以大大提高隱私數(shù)據(jù)的安全性。4.3接入控制與雙向認(rèn)證機(jī)制用戶使用可穿戴設(shè)備聯(lián)網(wǎng)時(shí)，啟用接入控制機(jī)制，首先需要進(jìn)行對(duì)連接的網(wǎng)絡(luò)環(huán)境進(jìn)行安全評(píng)估，并采用WPA2加密機(jī)制保障無線網(wǎng)絡(luò)的安全性［6］。在與其他終端進(jìn)行交互時(shí)，必須先進(jìn)行雙向身份認(rèn)證，確保通信實(shí)體之間身份的合法性。在身份識(shí)別上，采用基于生物特征的增強(qiáng)型認(rèn)證，如指紋、心率等。生物特征很難被復(fù)制和竊取，用于用戶身份認(rèn)證上安全程度是非常高的。4.4數(shù)據(jù)的多模加密用戶使用智能產(chǎn)品時(shí)，最關(guān)心的問題莫過于數(shù)據(jù)的安全性?？纱┐髟O(shè)備最重要的不在于硬件，也是在于數(shù)據(jù)的價(jià)值。數(shù)據(jù)的多模加密是由對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)結(jié)合組成。對(duì)于設(shè)備采集到的數(shù)據(jù)根據(jù)不同的環(huán)境安全需求，采用不同的加密模式，從本源上保證數(shù)據(jù)的安全性，具有針對(duì)性、全面性和靈活性的特點(diǎn)。使用多模加密的同時(shí)，為了保證隱私數(shù)據(jù)的安全，應(yīng)使用高強(qiáng)度的加密方式，秘鑰的長度不少于256位。針對(duì)于不同的使用場(chǎng)景，進(jìn)行數(shù)據(jù)挖掘時(shí)，采用匿名原則，對(duì)個(gè)人隱私數(shù)據(jù)進(jìn)行模糊化處理，并去掉用戶識(shí)別程度高的數(shù)據(jù)，保護(hù)用戶的身份和隱私的安全。4.5日志審計(jì)和入侵檢測(cè)在可穿戴產(chǎn)品安全模塊上，集成日志審計(jì)和入侵檢測(cè)功能。入侵檢測(cè)是對(duì)進(jìn)出可穿戴設(shè)備的數(shù)據(jù)流量進(jìn)行分析和控制，對(duì)具備安全風(fēng)險(xiǎn)和入侵企圖的流量進(jìn)行攔截，防止網(wǎng)絡(luò)入侵的發(fā)生。對(duì)于設(shè)備的常規(guī)操作進(jìn)行日志記錄，包括連接的網(wǎng)絡(luò)屬性、設(shè)備狀態(tài)，操作詳情，與其他設(shè)備的交互等。通過日志審計(jì)和分析，能夠做到全面而詳細(xì)的設(shè)備監(jiān)控。5結(jié)語可穿戴設(shè)備未來的路還很長，但終究能不能得到一個(gè)爆發(fā)，安全問題成為了亟待解決的難題和障礙。在可穿戴設(shè)備的持續(xù)發(fā)展中，需要國家政府、生產(chǎn)廠商、服務(wù)提供商和消費(fèi)者等多方努力，來推動(dòng)可穿戴市場(chǎng)的整體發(fā)展。參考文獻(xiàn)：陳根.可穿戴設(shè)備[M].北京：機(jī)械工業(yè)出版社，2014:17-18.