近年來(lái)，“云物移大智”等顛覆性技術(shù)正日益成為網(wǎng)絡(luò)信息技術(shù)應(yīng)用趨之若鶩的新方向，也自然成為網(wǎng)絡(luò)安全矛頭所向的主戰(zhàn)場(chǎng)。比如，隨著5G時(shí)代的臨近，物聯(lián)網(wǎng)的快速發(fā)展以及它無(wú)所不在的應(yīng)用，讓隨之而來(lái)的安全風(fēng)險(xiǎn)成為人們廣泛的擔(dān)心。

A：“之前我給你推薦那個(gè)電影看了嗎，就電腦啊攝像頭啊被黑了那個(gè)，現(xiàn)在這社會(huì)，真是啥都不安全。”

B：“我家沒(méi)有智能音箱，沒(méi)有智能攝像頭，連智能掃地機(jī)器人都沒(méi)有，是不是就安全了？”

......

想必這是很多人內(nèi)心真實(shí)的寫(xiě)照，認(rèn)為家里沒(méi)有什么智能聯(lián)網(wǎng)設(shè)備，物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)就會(huì)離自己很遙遠(yuǎn)。

但事實(shí)上，物聯(lián)網(wǎng)時(shí)代，我們正在面臨著越來(lái)越多的新安全威脅，讓人防不勝防。

就拿攝像頭來(lái)說(shuō)。

當(dāng)下，不論是安防監(jiān)控、智能交通還是智慧城市、智能生活，都離不開(kāi)網(wǎng)絡(luò)攝像頭的身影。猶記得電影《速度與激情》中仿佛無(wú)所不在“天眼”給我留下了多大的震撼，近期爆火的英劇《真相捕捉》也從另一個(gè)角度讓我看見(jiàn)了來(lái)自于攝像頭的“欺騙”——你親眼所見(jiàn)的也可能是黑客攻入系統(tǒng)想讓你看見(jiàn)的。

電視劇全都是想象，離現(xiàn)實(shí)太遠(yuǎn)？不。

2018年6月份，Axis攝像頭被ADOO安全公司發(fā)現(xiàn)存在7個(gè)安全漏洞，攻擊者可以利用這些漏洞以root權(quán)限執(zhí)行任意命令。8月份，Swann攝像頭被發(fā)現(xiàn)存在訪問(wèn)控制缺陷，該漏洞可以將一個(gè)攝像頭的視頻流切換到另一個(gè)攝像頭上，攻擊者可以利用該漏洞訪問(wèn)任意攝像頭。

這些還是被動(dòng)的風(fēng)險(xiǎn)，有些你主動(dòng)參與卻察覺(jué)不到風(fēng)險(xiǎn)的才更可怕。

就像前端時(shí)間刷爆朋友圈引爆輿論的知名換臉程序ZAO你一定還有印象吧。你以為只是玩樂(lè)，轉(zhuǎn)眼你的專(zhuān)屬生物信息就被采集而不知道應(yīng)用到哪里去了，那如果以后真的實(shí)現(xiàn)了萬(wàn)物互聯(lián)，你被采集的可能就不僅僅是臉部信息了。隱私被侵犯、數(shù)據(jù)被泄露，僅暴露出來(lái)的這些安全漏洞就已經(jīng)讓我們膽寒。

眼看著萬(wàn)物互聯(lián)的時(shí)代就要來(lái)了，我們的安全，誰(shuí)來(lái)保護(hù)呢？

1、物聯(lián)網(wǎng)安全有什么特點(diǎn)？

物聯(lián)網(wǎng)系統(tǒng)的安全和一般IT系統(tǒng)的安全基本一樣，主要有8個(gè)尺度： 讀取控制，隱私保護(hù)，用戶認(rèn)證，不可抵賴(lài)性，數(shù)據(jù)保密性，通訊層安全，數(shù)據(jù)完整性，隨時(shí)可用性。前4項(xiàng)主要處在物聯(lián)網(wǎng)DCM三層架構(gòu)的應(yīng)用層，后4項(xiàng)主要位于傳輸層和感知層。其中“隱私權(quán)”和“可信度”(數(shù)據(jù)完整性和保密性)問(wèn)題在物聯(lián)網(wǎng)體系中尤其受關(guān)注。

物聯(lián)網(wǎng)應(yīng)用的特有的安全問(wèn)題有如下幾種：

1、 Skimming：在末端設(shè)備或RFID持卡人不知情的情況下，信息被讀??；

2、 Eavesdropping：在一個(gè)通訊通道的中間，信息被中途截取；

3、 Spoofing：偽造復(fù)制設(shè)備數(shù)據(jù)，冒名輸入到系統(tǒng)中；

4、 Cloning：克隆末端設(shè)備，冒名頂替；

5、 Killing：損壞或盜走末端設(shè)備；

6、 Jamming：偽造數(shù)據(jù)造成設(shè)備阻塞不可用；

7、 Shielding：用機(jī)械手段屏蔽電信號(hào)讓末端無(wú)法連接。

2、如何保護(hù)物聯(lián)網(wǎng)安全？

互聯(lián)網(wǎng)安全離不開(kāi)密碼技術(shù)，物聯(lián)網(wǎng)安全也同樣離不開(kāi)密碼技術(shù)，也就是說(shuō)，密碼技術(shù)是互聯(lián)網(wǎng)安全與物聯(lián)網(wǎng)安全的基礎(chǔ)支撐，具有不可替代的重要作用。

密碼學(xué)中單項(xiàng)散列算法、對(duì)稱(chēng)加密算法、消息認(rèn)證碼算法、公鑰密碼算法、數(shù)字簽名算法和隨機(jī)數(shù)生成器等主要密碼技術(shù)已得到廣泛應(yīng)用，著名的安全框架TLS（傳輸層安全性協(xié)議）以及知名的工具包OpenSSL中包含了大量的密碼應(yīng)用，互聯(lián)網(wǎng)安全協(xié)議HTTPS也是基于TLS/SSL協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議。

而國(guó)密算法是我國(guó)自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列算法。從SM2-SM4分別實(shí)現(xiàn)了對(duì)稱(chēng)、非對(duì)稱(chēng)、摘要等算法功能。特別適合應(yīng)用于嵌入式物聯(lián)網(wǎng)等相關(guān)領(lǐng)域，完成身份認(rèn)證和數(shù)據(jù)加解密等功能。

國(guó)密算法的安全性說(shuō)明：

SM2算法：SM2橢圓曲線公鑰密碼算法是我國(guó)自主設(shè)計(jì)的公鑰密碼算法，包括SM2-1橢圓曲線數(shù)字簽名算法，SM2-2橢圓曲線密鑰交換協(xié)議，SM2-3橢圓曲線公鑰加密算法，分別用于實(shí)現(xiàn)數(shù)字簽名密鑰協(xié)商和數(shù)據(jù)加密等功能。SM2算法與RSA算法不同的是，SM2算法是基于橢圓曲線上點(diǎn)群離散對(duì)數(shù)難題，相對(duì)于RSA算法，256位的SM2密碼強(qiáng)度比2048位的RSA密碼強(qiáng)度要高。

SM3算法：SM3雜湊算法是我國(guó)自主設(shè)計(jì)的密碼雜湊算法，適用于商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證消息認(rèn)證碼的生成與驗(yàn)證以及隨機(jī)數(shù)的生成，可滿足多種密碼應(yīng)用的安全需求。為了保證雜湊算法的安全性，其產(chǎn)生的雜湊值的長(zhǎng)度不應(yīng)太短，例如MD5輸出128比特雜湊值，輸出長(zhǎng)度太短，影響其安全性。SHA-1算法的輸出長(zhǎng)度為160比特，SM3算法的輸出長(zhǎng)度為256比特，因此SM3算法的安全性要高于MD5算法和SHA-1算法。

SM4算法：SM4分組密碼算法是我國(guó)自主設(shè)計(jì)的分組對(duì)稱(chēng)密碼算法，用于實(shí)現(xiàn)數(shù)據(jù)的加密/解密運(yùn)算，以保證數(shù)據(jù)和信息的機(jī)密性。要保證一個(gè)對(duì)稱(chēng)密碼算法的安全性的基本條件是其具備足夠的密鑰長(zhǎng)度，SM4算法與AES算法具有相同的密鑰長(zhǎng)度分組長(zhǎng)度128比特，因此在安全性上高于3DES算法。

3、密碼技術(shù)在物聯(lián)網(wǎng)安全中具體起到什么作用？

物聯(lián)網(wǎng)中大量的需要密碼保護(hù)云端、管理端、設(shè)備端的交互和聯(lián)系。

1、 保證身份的可信

通過(guò)建立基于國(guó)產(chǎn)算法的PKI/CA基礎(chǔ)設(shè)施，為物聯(lián)網(wǎng)場(chǎng)景下的各個(gè)設(shè)備以及云端都頒發(fā)證書(shū)，通過(guò)對(duì)設(shè)備的識(shí)別和認(rèn)證并且與證書(shū)進(jìn)行綁定，對(duì)每個(gè)設(shè)備都能進(jìn)行備案，這樣在進(jìn)行身份認(rèn)證階段，通過(guò)雙向的身份認(rèn)證機(jī)制，設(shè)備無(wú)法被冒充同時(shí)云端服務(wù)也無(wú)法被攔截。

2、 保證數(shù)據(jù)可信

通過(guò)SM2和SM4的組合使用，在未建立SSL安全通道的傳輸鏈路中對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行簽名和加密，同樣也保證了數(shù)據(jù)的安全可信。

3、 通訊通道可信

建立基于國(guó)密標(biāo)準(zhǔn)的SSL雙向鏈接通訊，通過(guò)雙證書(shū)體系，簽名證書(shū)進(jìn)行簽名確認(rèn)雙方身份以及握手，加密證書(shū)進(jìn)行數(shù)據(jù)安全通訊。更加保證了通訊通道的安全性。

好的，知道你沒(méi)怎么聽(tīng)懂，那就舉個(gè)具體的例子來(lái)說(shuō)吧。

比如，作為物聯(lián)網(wǎng)在家居領(lǐng)域的一種新應(yīng)用形式，智能貓眼的主要功能是取代傳統(tǒng)入戶門(mén)的光學(xué)貓眼，提供錄像、拍照、報(bào)警、實(shí)時(shí)監(jiān)控等功能。在某些智能家居聯(lián)動(dòng)場(chǎng)景中，還可以實(shí)現(xiàn)和其他設(shè)備，比如指紋鎖的聯(lián)動(dòng)功能。智能貓眼的數(shù)據(jù)主要有本地?cái)?shù)據(jù)采集和云端數(shù)據(jù)保存兩大類(lèi)，并且可以實(shí)現(xiàn)通過(guò)手機(jī)App進(jìn)行遠(yuǎn)程連接和操作，增加現(xiàn)代住宅的便利性，提高安全性。

那么，就會(huì)面臨這些安全威脅：

第一、智能貓眼本地存儲(chǔ)的數(shù)據(jù)，涉及到對(duì)人臉的圖像采集，比如快遞員、外賣(mài)員、物業(yè)人員等，數(shù)據(jù)本身涉及個(gè)人隱私問(wèn)題，需要授權(quán)訪問(wèn)。

第二、智能貓眼的報(bào)警功能，可以實(shí)現(xiàn)家里無(wú)人應(yīng)答門(mén)鈴的時(shí)候，將訪客信息通過(guò)電話等語(yǔ)音或者App內(nèi)報(bào)警等手段發(fā)送給業(yè)主進(jìn)行通知。這就涉及到報(bào)警能否成功發(fā)送、以及是否減少誤報(bào)的問(wèn)題。如果攻擊者對(duì)智能貓眼進(jìn)行控制，則不法分子可以實(shí)現(xiàn)破門(mén)而入?yún)s不觸發(fā)報(bào)警，給業(yè)主造成損失。

而這兩個(gè)問(wèn)題就可以通過(guò)符合國(guó)家法律的國(guó)家密碼標(biāo)準(zhǔn)進(jìn)行防護(hù)。

首先，對(duì)于智能貓眼存儲(chǔ)的視頻、影像等數(shù)據(jù)進(jìn)行加密保存，并在發(fā)送到云端的過(guò)程中對(duì)鏈路進(jìn)行加密，即使本地存儲(chǔ)介質(zhì)被盜取，也無(wú)法恢復(fù)加密數(shù)據(jù)。這個(gè)過(guò)程中會(huì)應(yīng)用到SM2，SM3，SM4以及TLS協(xié)議等國(guó)密標(biāo)準(zhǔn)。

其次，第二個(gè)問(wèn)題，可以在應(yīng)用加密技術(shù)的前提下，對(duì)電子貓眼采取強(qiáng)認(rèn)證手段，基于證書(shū)加密碼的多重認(rèn)證，確保設(shè)備即使在被攻擊的情況下，也無(wú)法用來(lái)偽造報(bào)警，這是SM2數(shù)字簽名和SM3密碼雜湊技術(shù)的應(yīng)用場(chǎng)景。

結(jié)語(yǔ)

在安全體系中，密碼學(xué)以及相關(guān)技術(shù)是其中的核心有著舉足輕重的地位。密碼算法和標(biāo)準(zhǔn)的完全自主可控，對(duì)于國(guó)家社會(huì)經(jīng)濟(jì)平穩(wěn)運(yùn)行，確保人民數(shù)據(jù)隱私不受到侵犯等方面，有著巨大的意義和價(jià)值。

國(guó)家密碼管理部門(mén)經(jīng)過(guò)多年的不懈努力，制定了一系列的國(guó)家商用密碼標(biāo)準(zhǔn)，時(shí)至今日已經(jīng)形成了相對(duì)完善的、自主可控的商用密碼行業(yè)技術(shù)標(biāo)準(zhǔn)體系，已經(jīng)可以較好的應(yīng)用在各個(gè)行業(yè)中。

物聯(lián)網(wǎng)的特殊安全形勢(shì)，導(dǎo)致了該領(lǐng)域逐漸變成國(guó)家商用密碼算法的重要應(yīng)用領(lǐng)域。使用國(guó)產(chǎn)算法解決了物聯(lián)網(wǎng)領(lǐng)域中的身份安全、數(shù)據(jù)安全、通道安全，并隨著物聯(lián)網(wǎng)的應(yīng)用越來(lái)越廣范圍越來(lái)越大，可以更加快速的推動(dòng)國(guó)家商用密碼算法的應(yīng)用范圍，實(shí)現(xiàn)關(guān)鍵應(yīng)用領(lǐng)域的技術(shù)自主可控的長(zhǎng)遠(yuǎn)目標(biāo)。

【天威誠(chéng)信原創(chuàng)文章，首發(fā)于微信公眾號(hào)-天威誠(chéng)信】