物联网,Internet of things(IoT),连接物品的网络,物物相连的互联网。物联网并非是一个孤立的网络,其本质与核心还是互联网,也就是说物联网其实属于互联网一个延伸网络,物联网使得网络的触角深入到更为广阔环境、更加细微的层面。其服务的对象主要是各类物品,其主要工作就是从各类物品中感知、搜集信息数据,在物品间进行信息的传递、交换和通信。
物联网能够拓展网络维度,提高人们生活质量,但也会带来新的安全问题。
智能手机、智能手表、智能手环、智能摄像头、智能电插座……现在的智能移动终端可谓是五花八门,种类繁多。那么今儿就先从智能手机这个人们最熟悉的智能终端开始吧,智能手机和物联网有关系么?没有关系么?有关系么?嗯,那我们就来认真研究研究吧。
“按照国际电信联盟(ITU)的定义,物联网主要解决物品与物品(Thing to Thing,T2T),人与物品 (Human to Thing,H2T),人与人(Human to Human,H2H)之间的互连。但是与传统互联网不同的是,H2T是指人利用通用装置与物品之间的连接,从而使得物品连接更加的简化,而H2H是指人之间不依赖于PC而进行的互连。因为互联网并没有考虑到对于任何物品连接的问题,故我们使用物联网来解决这个传统意义上的问题。”——源自百度百科
智能手机——物联网的终端?!
就在数年以前,我们掌中的手机能打电话、能收发短信彩信,甚至能录音、拍照、听音乐、看电影,不过就是不能和互联网相连接。但是从另外一个角度看下,手机的录音、拍照其实就属于一种数据信息采集动作,而手机的语音通话、文字短信图片彩信收发过程中则包含有数据信息传输这一动作。人利用手机(通用装置)与人之间相互联系沟通,而没有依赖于互联网,这应该算是物联网的雏形了吧。
提到物联网,人们的脑海里想到的可能就是成千上万数不胜数的各类传感器、扫描器、定位器、感应器等终端,密布于不同的环境里,实时的进行数据搜集、存储、计算、传输、交换等操作。而这些终端的主要特征在于,要有数据传输通路,要有一定的存储功能,要有CPU、操作系统、专门的应用程序,遵循物联网的通信协议,并在世界网络中有可被识别的唯一编号。
智能手机由CPU、GPU、ROM、RAM、外部存储器、摄像头、重力感应、各类传感器、蓝牙、无线连接、操作系统、应用等组成,智能手机一个最显著的特征就是能够与互联网连接进行信息交互,同时智能手机所内置的传感器能够获取更多数据信息,智能手机自身还拥有一定存储能力、计算能力,同时属于手机范畴内的智能手机同样有唯一的入网识别编号。智能手机这个智能移动终端的种种特征,与物联网终端的特征完全符合。也就是说,智能手机同样可以作为物联网的一类终端。
说了半天,总算是把物联网和智能手机的关系捋了出来,下面就看看智能手机这个物联网终端的各类隐患会给物联网带来哪些安全问题。
不安全的智能手机,不安全的物联网
某些方面而言,上面的小标题算是一句“废话”,物联网的“根”——终端——都“坏”了,物联网还能好到哪里去么!下面就让我们来看看不安全的智能手机将带给物联网哪些危机。
安全需求永远都落后用户需求一步,智能手机同样遵循了这个“规律”,所以智能手机从本质上就是一个存在各类安全隐患的智能终端。
先从软件层面谈起,从操作系统到应用程序,没有一个让人省心的,漏洞依然是主旋律。被各大手机厂商修改得面目全非的各种版本安卓操作系统,由PC软件攻城狮转行编写的各类移动应用,智能手机里自带的浏览器等,存在各类代码漏洞、逻辑漏洞、输入漏洞……而且许多应用在安装过程中都要求获取用户的这个权限、那个权限,每到这个时候笔者就会腹诽,“你一个投票类应用,要求获取我的通讯录干嘛,想私下读取我们通讯录信息暗地里搞推广么?”
再来看看数据,许多应用在运行过程中都会在手机上产生、保留一些数据,考虑到运行速度、计算资源、手机电量消耗等因素,这些数据大多没有进行加密操作。而手机在软件层面、数据传输层面所存在的诸多漏洞、安全隐患,也使得恶意攻击者能够很“方便”的偷走这些数据。
如果手机“无意中丢失”了,那就更惨了,各类“门”事件已经一再证明“有心人”总是有办法读取手机里的各类数据信息。更不要提手机信号被截取等以往在大片里才能看到的场景。
其实不仅仅是智能手机,智能手环、智能手表等智能可穿戴设备存在同样的安全隐患。而这类智能移动终端设备所组成的物联网络能够获取人们的移动信息、声明体征信息等,从而实现对人们人身安全、生命安全的保护。但这些终端脆弱的安全防线,将可能在物联网络里传递错误的数据信息,非但无法发挥正向作用,反倒可能对人身安全造成威胁。
如果,用于人员追踪定位的智能手表却传输了错误的坐标信息;如果,用于监控老人心跳、血压的智能手环不能及时获取数据、发生传输延迟问题;如果,智能摄像头却被恶意攻击者控制……这一切所造成的后果将不堪设想。
如此的物联网络谁敢加入?谁敢使用?
物联网的安全思索从终端开始
随着物联网从理论到在人们的工作、生活中逐步显露头角,物联网的安全问题也在开始引发人们的思考。物联网不是凭空而现的产物,所以其继承了之前IT系统以及架构里的各类安全问题,那么对于物联网的防护动作至少也要从终端、传输通道以及云端这三个方面进行。
例如在终端方面,需要建立安全可靠的操作系统,需要对应用进行安全加固,从数据输入、数据传输、应用程序代码等多个方面进行安全防护。另外,要尽可能减少在移动终端上所存储的数据,要对数据进行加密、验证等操作,保证数据的安全性与真实性。
在云端,需要类似安全云的平台,对传输到云端的数据信息进行过滤鉴别,实施安全存储。而数据传输过程的安全性同样重要,因为即便是公认安全性很高的苹果应用商店,攻击者通过跟踪终端向应用商店发出的数据传输信号进行定位,就可以对目标终端发起攻击,植入病毒木马等。
梆梆安全的专家们认为,面对物联网安全问题,需要建立端管云的安全架构,实现对终端设备、终端应用、数据传输通道及云端中心的整体防护。终端是物联网数据搜集的重要节点,同时,智能移动终端的安全防护思想也在逐渐成熟起来。所以,解决物联网的安全问题可以先从终端开始。
物联网将是一个很有趣的世界,其即有互联网与移动互联网的相关特征,也有自身的特点,比如数不胜数的终端、更为海量的数据、更快的数据交换等等。那么物联网对于安全防护的要求也就更高、更全面。同时,不同种类的物联网也需要不同的安全防护侧重点,比如车联网可能就需要更为注重数据传输的安全性,智慧家庭网络需要加强各类终端的安全性,并建立安全的家庭内部网络,而医联网则需要全面的端管云安全防御。
物联网的安全问题还有许多值得探讨的地方,不过——各位看官,预知后事如何,请听下回分解。