夏平

摘要：可穿戴設(shè)備作為智能科技的新生力量，具備著無(wú)限的潛能。但隨著可穿戴設(shè)備的迅猛發(fā)展，其突顯的安全隱患將成為制約其發(fā)展的關(guān)鍵因素?？纱┐髟O(shè)備的安全問(wèn)題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全三個(gè)方面。在應(yīng)對(duì)策略上，通過(guò)在硬件芯片層加密、接入控制與雙向認(rèn)證、數(shù)據(jù)多模加密等核心技術(shù)提高可穿戴設(shè)備的安全性。

關(guān)鍵詞：可穿戴設(shè)備；芯片層加密；多模加密；雙向認(rèn)證

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）24-0038-02

Abstract： Wearable devices as a new force of intelligent technology， with unlimited potential.However， with the rapid development of wearable devices， its security risks will become a key factor restricting its development. Wearable device security issues are mainly reflected in three aspects of data， equipment and software. In response to the strategy， through the hardware chip layer encryption， access control and mutual authentication， data multimode encryption and other core technologies to improve the security of wearable devices.

Key words： wearable device； chip layer encryption； multimode encryption； mutual authentication

可穿戴設(shè)備出現(xiàn)在公眾視野雖然只有短短幾年，但已經(jīng)成為了一支最火熱的科技新勢(shì)力。它作為物聯(lián)網(wǎng)的重要應(yīng)用，如今也是工業(yè)革命的核心技術(shù)之一。2014年作為可穿戴設(shè)備的發(fā)展元年，其市場(chǎng)規(guī)模得到了前所未有的擴(kuò)展，各大IT界巨頭如蘋果、索尼、三星、谷歌等公司，紛紛發(fā)布可穿戴產(chǎn)品，將目光投向了可穿戴設(shè)備這片藍(lán)海市場(chǎng)[1]。

近三年來(lái)，在全球聞名的CES國(guó)際電子產(chǎn)品展覽會(huì)上，可穿戴設(shè)備、智能家居成為了絕對(duì)的主角。經(jīng)過(guò)這幾年的創(chuàng)新與發(fā)展，可穿戴市場(chǎng)雖然火熱，但普及時(shí)代還未來(lái)臨，人們關(guān)注更多的不僅僅是功能和質(zhì)量，而是令人思索的安全問(wèn)題。

1 可穿戴設(shè)備的發(fā)展

可穿戴設(shè)備，指的是可以穿戴在人體上的智能化的交互式產(chǎn)品，它通常融合了無(wú)線傳感技術(shù)、多媒體、GPS定位、生物識(shí)別等多種技術(shù)于一身[2]?？纱┐髟O(shè)備的種類繁多，典型的代表有智能眼鏡、智能手表、智能手環(huán)這三大類，另外智能內(nèi)衣、智能頭盔、智能戒指、智能跑鞋等類型的產(chǎn)品也層出不窮。在可穿戴產(chǎn)品中，谷歌公司在2012年發(fā)布的“拓展現(xiàn)實(shí)”的Google Glass最具影響力，該眼鏡集智能手機(jī)、相機(jī)的功能于一體，實(shí)現(xiàn)全球首款支持“腦控”完成操作的智能設(shè)備?？纱┐髟O(shè)備倡導(dǎo)的是“以人為本”的設(shè)計(jì)理念，以微型傳感器通過(guò)與人體的無(wú)縫連接，支持手勢(shì)、眼動(dòng)操作，實(shí)現(xiàn)身體數(shù)據(jù)（如心率、步數(shù)、體溫、卡路里、睡眠等）的采集。通過(guò)云服務(wù)對(duì)數(shù)據(jù)進(jìn)行計(jì)算與分析，最后上傳到云端存儲(chǔ)或者通過(guò)智能手機(jī)反饋給用戶，幫助用戶管理身體和設(shè)計(jì)健康的生活方式。

根據(jù)前瞻產(chǎn)業(yè)研究院的數(shù)據(jù)報(bào)告，在2016年國(guó)內(nèi)的智能硬件市場(chǎng)規(guī)模將突破500億大關(guān)，其中智能手環(huán)的銷量最高，第五位為智能手表。從國(guó)內(nèi)的消費(fèi)情況來(lái)看，可穿戴設(shè)備的市場(chǎng)前景是非常廣闊的。目前大多數(shù)可穿戴設(shè)備只是作為智能手機(jī)的一種補(bǔ)充和延伸，需要結(jié)合使用，而可穿戴設(shè)備真正的意義與價(jià)值是作為獨(dú)立產(chǎn)品的形式存在，釋放人們的雙手，提供智能化，健康化、人性化的生活。但在短期以內(nèi)，可穿戴設(shè)備是很難取代智能手機(jī)實(shí)現(xiàn)大爆發(fā)。究其原因，可穿戴設(shè)備作為一種新生代產(chǎn)品，在吸引了無(wú)數(shù)關(guān)注的同時(shí)，突顯的安全隱患也將成為制約其發(fā)展的關(guān)鍵性因素。越來(lái)越多的人會(huì)意識(shí)到，當(dāng)可穿戴產(chǎn)品日夜與人體無(wú)縫接觸，它也必將成為下一個(gè)信息安全隱患的重要源頭。在2015年5月被證實(shí)，我國(guó)軍方發(fā)出禁令，禁止軍人使用可穿戴設(shè)備，原因是這類產(chǎn)品很可能會(huì)泄漏國(guó)家軍事機(jī)密。這不得不引發(fā)人們的思索，當(dāng)可穿戴設(shè)備的功能愈加豐富，逐漸擺脫“雞肋”角色時(shí)，它所潛在的安全問(wèn)題終究會(huì)不會(huì)成為令人望而卻步的“攔路虎”呢？

2 可穿戴設(shè)備的安全問(wèn)題

智能穿戴產(chǎn)品顛覆性地改變用戶的生活和工作方式的同時(shí)，也會(huì)帶來(lái)更多新的社會(huì)問(wèn)題，如信息安全問(wèn)題?？纱┐髟O(shè)備所面臨的安全問(wèn)題主要體現(xiàn)在數(shù)據(jù)安全、設(shè)備安全以及軟件安全這三方面。

① 數(shù)據(jù)安全：可穿戴設(shè)備采用了各種類型的生理傳感器、甚至配備了攝像頭，通過(guò)與人的無(wú)縫連接，隱私數(shù)據(jù)的感知能力更強(qiáng)，信息的處理和分析能力也大大提升[3]。而目前簡(jiǎn)單的穿戴設(shè)備都可以記錄用戶的運(yùn)動(dòng)軌跡，GPS定位等等。當(dāng)用戶佩戴的時(shí)間越長(zhǎng)，獲取的信息量就越大，用戶的健康狀況和生活喜好均被數(shù)據(jù)化呈現(xiàn)。這些隱私數(shù)據(jù)通常會(huì)上傳給云服務(wù)器端進(jìn)行處理和存儲(chǔ)，或者反饋給智能手機(jī)進(jìn)行數(shù)據(jù)共享。在這個(gè)大數(shù)據(jù)的時(shí)代，用戶的個(gè)人隱私數(shù)據(jù)將會(huì)變得更加透明化。如果云服務(wù)器被攻擊，用戶的個(gè)人隱私將毫無(wú)安全可言，更重要的是對(duì)于用戶的人身安全也將會(huì)是極大的威脅。

② 設(shè)備安全：可穿戴設(shè)備未來(lái)的發(fā)展方向勢(shì)必與物聯(lián)網(wǎng)聯(lián)系更為緊密，將有可能成為智能家居、汽車駕駛的關(guān)鍵“鑰匙”，一旦可穿戴設(shè)備被非法控制，那么關(guān)乎的不僅僅是數(shù)據(jù)的安全性，更是有關(guān)用戶的住宅和生命財(cái)產(chǎn)安全。另外，可穿戴設(shè)備的使用會(huì)長(zhǎng)時(shí)間接觸人體皮膚，飽受質(zhì)疑的是其設(shè)備本身的化學(xué)安全，人體輻射、電池安全等問(wèn)題是否符合安全需求。

③ 軟件安全：具有獨(dú)立操作系統(tǒng)平臺(tái)的可穿戴設(shè)備需要中間軟件拓展更多的功能和服務(wù)，但這些軟件一旦被惡意病毒感染，那么可穿戴設(shè)備的數(shù)據(jù)安全和設(shè)備安全就無(wú)從談起了。

3 可穿戴設(shè)備的安全風(fēng)險(xiǎn)

3.1 操作系統(tǒng)的開源性

可穿戴設(shè)備為了結(jié)構(gòu)和操作方式的靈活性，方便與其他設(shè)備的兼容對(duì)接，獲得更好的用戶體驗(yàn)，往往會(huì)采用的是開放性操作系統(tǒng)[4]。2014年3月谷歌推出了Android Wear操作系統(tǒng)，這是一個(gè)專門提供給第三方廠商的智能手表的開放平臺(tái)，免費(fèi)開源，并且數(shù)據(jù)挖掘和分析能力強(qiáng)大?；贏ndroid的系統(tǒng)的開放性，提供方便的功能擴(kuò)展的同時(shí)，更會(huì)帶來(lái)諸多的安全隱患，如黑客的攻擊，惡意代碼的植入等等。

3.2 無(wú)線網(wǎng)絡(luò)連接

目前的可穿戴設(shè)備普遍采用的是藍(lán)牙、WiFi這樣的邏輯設(shè)計(jì)來(lái)連接智能手機(jī)，通過(guò)手機(jī)端的APP或者GPS定位實(shí)現(xiàn)數(shù)據(jù)的同步和共享，在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)中，都有可能遭受到網(wǎng)絡(luò)攻擊[5]。在未來(lái)，可穿戴設(shè)備采用NFC短距離傳輸技術(shù)實(shí)現(xiàn)門禁解鎖與移動(dòng)支付也將會(huì)成為潮流和趨勢(shì)，而這無(wú)疑將會(huì)變成網(wǎng)絡(luò)黑客眼中的“肥肉”。無(wú)線網(wǎng)絡(luò)連接相比于有線連接更容易受到射頻干擾，傳輸?shù)臄?shù)據(jù)容易被非法截獲，造成信息的泄漏。

3.3 智能硬件的自身漏洞和缺陷

可穿戴產(chǎn)品為了保證形態(tài)小巧精致，外觀時(shí)尚，會(huì)采用較小體積的傳感器，有的設(shè)備甚至連芯片或系統(tǒng)都沒(méi)有，就其本身的硬件結(jié)構(gòu)上看，缺乏一定的硬件層安全保障。在軟件層次上，各大生產(chǎn)廠商為產(chǎn)品設(shè)計(jì)越來(lái)越多的中間層軟件，拓展豐富的功能，但這也相應(yīng)地帶來(lái)了更多的安全風(fēng)險(xiǎn)。在2015年Hack Pwn安全極客狂歡節(jié)上，有黑客展示了通過(guò)小米手環(huán)的漏洞成功獲取了控制權(quán)，這實(shí)際上也不是個(gè)例，大多數(shù)穿戴產(chǎn)品都會(huì)存在一些硬件漏洞或者缺陷。

3.4 網(wǎng)絡(luò)惡意攻擊

可穿戴設(shè)備目前正處于初步發(fā)展階段，各種安全措施均不夠完善，極容易遭受到不法攻擊。黑客為了獲取有價(jià)值的數(shù)據(jù)，不僅僅是對(duì)設(shè)備進(jìn)行攻擊，更會(huì)上升到整個(gè)應(yīng)用鏈中。網(wǎng)絡(luò)中的攻擊主要體現(xiàn)在對(duì)設(shè)備的遠(yuǎn)程控制、隱私數(shù)據(jù)的竊取以及物理設(shè)備的破壞等。

4 可穿戴設(shè)備的安全應(yīng)對(duì)措施

基于以上的分析，可見可穿戴設(shè)備在目前階段的安全系數(shù)并不高，針對(duì)于安全問(wèn)題的應(yīng)對(duì)措施的研究也是勢(shì)在必行。隨著可穿戴應(yīng)用市場(chǎng)的不斷發(fā)展，在提高質(zhì)量和用戶體驗(yàn)的同時(shí)，其安全問(wèn)題已經(jīng)成為必須要攻克的一塊“致命短板”。

4.1制定統(tǒng)一規(guī)范的安全技術(shù)標(biāo)準(zhǔn)

由于行業(yè)內(nèi)缺乏統(tǒng)一的技術(shù)規(guī)范，各大廠商設(shè)計(jì)和開發(fā)的可穿戴產(chǎn)品在質(zhì)量上、功能上層次不齊，形態(tài)各異。尤其在網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)這一塊，缺乏相應(yīng)的技術(shù)指導(dǎo)，沒(méi)有權(quán)威的安全監(jiān)管機(jī)制，導(dǎo)致安全問(wèn)題成為眾多產(chǎn)品的一大“硬傷”。另外，可穿戴設(shè)備行業(yè)的信息安全防護(hù)也需要在國(guó)家法律層面上有所體現(xiàn)，針對(duì)于敏感信息采集和個(gè)人隱私的保護(hù)需要法律化規(guī)范。最后，在可穿戴產(chǎn)品的安全檢測(cè)上，需要制定一套可靠的權(quán)威的認(rèn)證機(jī)制來(lái)規(guī)范行業(yè)產(chǎn)品的發(fā)展，讓用戶能夠更簡(jiǎn)單化、有效化地評(píng)估產(chǎn)品和購(gòu)買產(chǎn)品。

4.2 硬件廠商對(duì)芯片層加密

大多數(shù)可穿戴產(chǎn)品都不是以獨(dú)立的形態(tài)出現(xiàn)，而是依附于智能手機(jī)或者云服務(wù)器端實(shí)現(xiàn)數(shù)據(jù)的共享與處理。硬件生產(chǎn)廠商在對(duì)芯片層進(jìn)行設(shè)計(jì)時(shí)，增加安全硬件模塊，植入廠商獨(dú)立自主的底層安全架構(gòu)。可穿戴設(shè)備通過(guò)無(wú)線網(wǎng)絡(luò)與智能手機(jī)或者云端進(jìn)行數(shù)據(jù)交互時(shí)，數(shù)據(jù)會(huì)被加密，秘鑰存放在可穿戴設(shè)備的硬件芯片中。當(dāng)需要查看手機(jī)端或者云端數(shù)據(jù)時(shí)，必須身份認(rèn)證和秘鑰都匹配通過(guò)才能實(shí)現(xiàn)操作。這種芯片級(jí)的加密處理，可以大大提高隱私數(shù)據(jù)的安全性。

4.3 接入控制與雙向認(rèn)證機(jī)制

用戶使用可穿戴設(shè)備聯(lián)網(wǎng)時(shí)，啟用接入控制機(jī)制，首先需要進(jìn)行對(duì)連接的網(wǎng)絡(luò)環(huán)境進(jìn)行安全評(píng)估，并采用WPA2加密機(jī)制保障無(wú)線網(wǎng)絡(luò)的安全性[6]。在與其他終端進(jìn)行交互時(shí)，必須先進(jìn)行雙向身份認(rèn)證，確保通信實(shí)體之間身份的合法性。在身份識(shí)別上，采用基于生物特征的增強(qiáng)型認(rèn)證，如指紋、心率等。生物特征很難被復(fù)制和竊取，用于用戶身份認(rèn)證上安全程度是非常高的。

4.4數(shù)據(jù)的多模加密

用戶使用智能產(chǎn)品時(shí)，最關(guān)心的問(wèn)題莫過(guò)于數(shù)據(jù)的安全性?？纱┐髟O(shè)備最重要的不在于硬件，也是在于數(shù)據(jù)的價(jià)值。數(shù)據(jù)的多模加密是由對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)結(jié)合組成。對(duì)于設(shè)備采集到的數(shù)據(jù)根據(jù)不同的環(huán)境安全需求，采用不同的加密模式，從本源上保證數(shù)據(jù)的安全性，具有針對(duì)性、全面性和靈活性的特點(diǎn)。使用多模加密的同時(shí)，為了保證隱私數(shù)據(jù)的安全，應(yīng)使用高強(qiáng)度的加密方式，秘鑰的長(zhǎng)度不少于256位。針對(duì)于不同的使用場(chǎng)景，進(jìn)行數(shù)據(jù)挖掘時(shí)，采用匿名原則，對(duì)個(gè)人隱私數(shù)據(jù)進(jìn)行模糊化處理，并去掉用戶識(shí)別程度高的數(shù)據(jù)，保護(hù)用戶的身份和隱私的安全。

4.5日志審計(jì)和入侵檢測(cè)

在可穿戴產(chǎn)品安全模塊上，集成日志審計(jì)和入侵檢測(cè)功能。入侵檢測(cè)是對(duì)進(jìn)出可穿戴設(shè)備的數(shù)據(jù)流量進(jìn)行分析和控制，對(duì)具備安全風(fēng)險(xiǎn)和入侵企圖的流量進(jìn)行攔截，防止網(wǎng)絡(luò)入侵的發(fā)生。對(duì)于設(shè)備的常規(guī)操作進(jìn)行日志記錄，包括連接的網(wǎng)絡(luò)屬性、設(shè)備狀態(tài)，操作詳情，與其他設(shè)備的交互等。通過(guò)日志審計(jì)和分析，能夠做到全面而詳細(xì)的設(shè)備監(jiān)控。

5 結(jié)語(yǔ)

可穿戴設(shè)備未來(lái)的路還很長(zhǎng)，但終究能不能得到一個(gè)爆發(fā)，安全問(wèn)題成為了亟待解決的難題和障礙。在可穿戴設(shè)備的持續(xù)發(fā)展中，需要國(guó)家政府、生產(chǎn)廠商、服務(wù)提供商和消費(fèi)者等多方努力，來(lái)推動(dòng)可穿戴市場(chǎng)的整體發(fā)展。

參考文獻(xiàn)：

[1] 陳根.可穿戴設(shè)備[M].北京： 機(jī)械工業(yè)出版社，2014：17-18.

[2] 王倩.可穿戴設(shè)備的信息安全問(wèn)題研究[J].情報(bào)探索，2016（3）：122-128.

[3] 張曉睿，張世奇.可穿戴設(shè)備發(fā)展趨勢(shì)及信息安全風(fēng)險(xiǎn)研究[J].中國(guó)新技術(shù)新產(chǎn)品，2016：184.

[4] 落紅衛(wèi)，魏亮徐，迎陽(yáng).可穿戴設(shè)備的安全威脅與防護(hù)措施[J].電信網(wǎng)技術(shù).2013（11）：9-11.

[5] 劉金芳.可穿戴設(shè)備的信息安全風(fēng)險(xiǎn)及我國(guó)的應(yīng)對(duì)建議[J].信息安全技術(shù)，2014（11）：10-12.

[6] 姚永康.可穿戴設(shè)備的安全隱患及應(yīng)對(duì)措施[J].電腦編程技巧與維護(hù)，2015（24）：127-128.