【编者按】随着可穿戴设备技术的迅速发展,其展现的诸多安全隐患也将成为制约其发展的关键因素。本文从数据、设备以及软件架构三个方面进行了可穿戴设备的安全风险分析,提出了基于三层架构的安全检测框架及标准,并着重讨论了针对可穿戴设备访问控制与认证以及数据加密等方面的安全检测方法,以便为人们提供更加便捷、安全的智能生活服务。
可穿戴设备安全检测方法
江苏出入境检验检疫局 封亚辉 戴东情 王亚春
中国网络安全审查技术与认证中心 毛圣兵
随着物联网(IoT)和可穿戴设备广泛应用,无数装载传感器的小型嵌入式设备从周围环境收集信息,对其进行处理,并将其转发到远程位置进行进一步分析。可穿戴设备在为人们提供智能生活的同时,也存在多种安全隐患。在数据安全方面,可穿戴设备采用了各种类型的生理传感器,用户的佩戴时间越长,获取的信息量就越大,用户的个人信息数据存在泄漏风险,用户的个人隐私得不到保护;在设备安全方面,出于用户隐私和生命财产安全的考虑,对设备用户来说必须具有唯一的自主控制权,尤其在可穿戴设备紧密连接物联网的情况下更为重要;在软件安全方面,可穿戴设备依赖应用软件来实现多种功能,一旦这些软件被攻击,可穿戴设备的数据安全和设备安全都将得不到保障。
针对上述安全问题,已经提出的安全保护措施包括:数据加密机制、认证及完整性保护机制和隐私保护机制等。数据加密机制使得原始数据变为加密数据,保证了数据安全存储和传输;认证及完整性保护机制能够防止攻击者向网络注入伪造或错误信息,主要包括可穿戴设备对用户的实体认证,以及可穿戴设备在网络中传输消息的认证及完整性保护;隐私保护机制是在实际的应用场景中,针对不法分子通过非法途径获取用户的位置数据,进行用户行动轨迹的分析、推测来获取用户个人隐私的问题,其中比较典型的解决办法是在位置服务中使用位置匿名隐私保护算法和轨迹匿名隐私保护算法等。
本文基于可穿戴设备的安全现状,结合可穿戴设备的硬件设计与功能结构,进行了针对可穿戴设备特性的安全风险分析,并提出了三层立体安全检测认证框架、方法及判定。
一、安全风险分析
可穿戴设备有多种设计样式,可以从头到脚佩戴在人体上,如眼镜、衬衫、腕带、手表等。它不仅可以像智能手机一样执行基本任务,而且嵌入式可穿戴传感器还可以在实时环境中识别并提供佩戴者的可操作信息。可穿戴设备具有以下特性:
(1)不受限制:以便用户在使用可穿戴设备时可以做其他事情。
(2)可控:它是一个响应系统,因为它始终处于ON状态,因此用户可以随时获取对它的控制权。
(3)环境感知(专注性):可穿戴设备具有环保意识,多模式和多感官特性。
(4)可观察:它可以在用户需要时持续关注用户,例如接收警报、消息或提醒。
(5)可连接(通信):可穿戴设备连接到无线网络,以便在实时情况下进行信息交换。
(6)非垄断:这意味着可穿戴设备不会将用户从外界切断。
为此,我们将可穿戴设备主要面临的安全风险列为三项:
(1)系统开源:为了实现可穿戴设备的功能性和兼容性,可穿戴设备的设计大多基于Android或其他的开放系统,在提供方便的功能扩展的同时,开放系统也会带来诸多的安全隐患。
(2)无线网络连接:可穿戴设备的数据通常通过蓝牙、Wi-Fi等方式传递,存在数据被截获、恶意篡改等危险。同时,可穿戴设备为了降低性能损耗,通常会将安全规则部署在客户端,从而缺少对客户端输入数据的输入检查和标准化,因此导致存在被黑客非法注入和侵入服务器的可能。同时在服务端也会存在设备认证、校验以及识别等方面的困难。
(3)安全与隐私:关于可穿戴设备的安全问题可以进一步分为三个主要部分,即安全漏洞、攻击和安全解决方案。其中安全漏洞可被一系列可能的安全和隐私攻击所利用。安全攻击可以根据两种主要类型进一步划分:被动攻击和主动攻击。被动攻击试图获取用户的密码和敏感信息,而不会破坏和影响系统,而主动攻击与被动攻击形成对比,在被动攻击中试图破坏和改变系统。当利用安全漏洞时,数据将会丢失,包括数据机密性、完整性、可用性和真实性方面的损失。另一方面,隐私攻击根据用户身份和数据完整性攻击以及基于时间和位置的攻击进行分类。
二、可穿戴设备安全检测框架
可穿戴设备网络安全检测技术旨在通过相关技术对可穿戴设备的网络安全进行检测,预防设备威胁,以将设备威胁降到最低。
图1 可穿戴设备检测框架
(一)安全检测框架
可穿戴设备的安全检测框架主要由感知层、网络层以及应用层构成。具体的检测框架图如图1所示。
其中三个横向安全层主要针对可穿戴设备的总体技术架构而提出的安全:顶层为应用层安全,中间层为传输层安全,最底层为感知层安全。感知层涉及到的安全策略主要有设备认证、数据加密、安全编码、TPM可信模块、安全协议、访问控制等。网络层主要有漏洞扫描、主动防御、安全协议、网络过滤和授权管理等安全策略。应用层主要包括安全审计、入侵检测、热机灾备、虚拟隔离、云杀毒、用户权限、安全管理等安全策略和手段。
三个纵向安全主要针对可穿戴设备整体的安全架构、安全标准及安全评测,具体实施内容包括安全架构与服务,安全标准制定、风险评估和安全测评,其中安全测评包括感知设备安全检测服务平台、可穿戴设备系统安全检测服务平台、可穿戴设备系统风险评估服务平台等,以及云平台风险评估、虚拟服务风险平台、云资源集成化安全检测等。
(二)安全检测标准
可穿戴设备系统的网络安全检测标准主要由可穿戴设备感知层、传输层和应用层这三个部分的安全检测标准组成。由于各个部分所应用到的内容不同,因此各自的安全要求也不同。
相关的技术体系架构图,如图2所示。
图2 可穿戴设备安全体系
(1)感知层是可穿戴设备上层应用的支撑,主要包含单向读取类业务和双向读取类两项业务。因此所涉及的安全检测标准如下:
感知灵敏安全标准:目的是确保设备在传感这一部分灵敏有效,不要传感错误的数据。数据分辨标准:目的是确保对传感的数据能够根据具体的应用分类识别数据。这两者的结合才能确保感知层的整体安全。
(2)传输层是可穿戴设备数据传输的关键,主要功能是实现信息的传输,与可穿戴设备的网络安全息息相关。因此其涉及到的安全检测标准如下:
传输层数据安全标准:目的是保证数据是加密的,不是明文传输。传输通道的安全标准:目的是保证数据在传输过程中的安全的。传输的两端的安全标准:目的是保证数据的接收端和传送端是安全的。这三者的结合才能保证传输层的整体安全。
(3)应用层是可穿戴设备应用的基础,主要包含的是应用的运行。要想确保应用正确的运行,与可穿戴设备网络的安全是密不可分的。其涉及的安全标准如下:
应用信息安全标准:目的是确保应用对应的是正确的端口,避免端口被恶意打开。应用数据安全标准:目的是确保应用使用的过程中,数据没有被恶意篡改,保证应用正常使用。
(三)安全检测手段
本文中的检测主要从人为检测、组织检测以及设备自身实践技术检测三方面入手。
(1)人为检测
对那些使用和管理信息系统的个人进行责任评估,判断其是否认真负责,有没有意外泄露的失职问题存在。
(2)组织检测
在许多情况下,员工是组织信息系统中最薄弱的环节(例如,将密码保存在便签上,将敏感数据存储在不受保护的USB驱动器上)。我们可以对员工进行抽样检测,看其在相关安全操作上是否存在问题。
(3)设备自身实践技术检测
利用相关的网络检测技术,例如杀毒软件、入侵检测系统等对可穿戴设备网络进行检测,查看其存在哪些漏洞。也可以使用一些网络攻击技术,例如,端口攻击、提权攻击、网络嗅探等对可穿戴设备网络进行攻击,查看哪些攻击可以实现,来判断其还存在哪些网络完全问题。判断其对网络安全的三大目标是否产生影响。
三、安全检测方法设计
本文针对利用相关的网络监测技术进行可穿戴设备的安全防护,提出了以下的安全检测与防护方法:
(一)访问控制与认证技术
基于云辅助无线可穿戴通信架构,设计了可穿戴设备的本地身份验证和远程身份验证。在本地认证模式中,联合应用基于散列的选择性公开机制和Chebyshev混沌映射来实现可穿戴设备与智能手机之间的相互认证。在远程认证模式下,采用Merkle哈希树的选择性公开机制改进证书中数据字段的结构,实现了两个可穿戴设备和智能电话之间的交互,并且进一步传输到云服务器用于同步验证。同时,基于BAN逻辑执行安全形式分析,以证明所提出的远程认证协议具有理论设计正确性。它表明所提出的认证方案对于普遍存在的可穿戴设备是可用且灵活的。为了满足数据隐私、汇聚结果隐私、汇聚结果可验证以及高效等需求,其中隐私保护的数据汇聚方法通常使用3种实现技术:安全多方计算、全同态加密和单向陷门函数。
构建的云辅助无线可穿戴通信架构如图3所示。
图3 云辅助无线可穿戴通信架构
(二)身份鉴别与数据加密
构建可穿戴设备节点网络,采用节点身份鉴别技术,可以实现节点与节点、节点与网络之间的认证;对单个节点或节点集群采用访问控制技术,控制节点设备之间的路由、资源等访问;对可以数据访问操作进行监控与记录。
可穿戴网络的加密算法通常基于密钥。如果捕获系统的密钥,则可能导致系统暴露。基于ICMetric感知灵敏安全标准的加密系统的设计和实现解决了这个问题,该系统使用设备的特征来创建秘密组密钥,然后将其用于加密服务。其中利用可穿戴设备传感器中的加速度计和陀螺仪偏差已用于确定设备的标识。设计系统的机密性服务基于AES128,ASE256和Rabbit流密码。该方案基于集成强大的加密元素,以便该方案在有限的资源需求下提供最高级别的安全性。设计的方案功能无需人工干预,因此相关的系统组件在不需要用户输入的情况下运行。使用该算法具有额外的优点,即可以使用存在的不同数量的组成员生成组。此方案可以适应于在多方环境中存在许多系统的其他挑战性环境,且不会增加目标系统的资源需求。图4展示了基于ICMetric的加密系统网络架构设计。
图4 基于ICMetric的网络架构
另外,由对称加密技术和非对称加密技术结合组成的数据多模加密技术也是一种面向可穿戴设备的可行的数据加密技术。对于设备采集到的数据根据不同的环境安全需求,采用不同的加密模式,从本源上保证数据的安全性,具有针对性、全面性和灵活性的特点。多模加密技术使用高强度的加密方式,针对于不同的使用场景,进行数据挖掘时,采用匿名原则,对个人隐私数据进行模糊化处理,并去掉用户识别程度高的数据,保护用户的身份和隐私的安全。
(三)网络安全模型设计
根据可穿戴设备的三层安全框架,设计了合理高效的安全检测模型,并根据模型准确率、检测覆盖率、检测命中率、安全性能提升率等数据来优化安全模型,另外在网络模型中加入抗干扰技术可主动广播无线信号阻止或破坏非授权阅读器读取;还可以预先在设备中添加恶意代码防范,部署恶意代码扫描软件识别恶意代码或构建程序执行可信链。安全模型投入检测工作之后,通过数据准备、模型建立、模型评估,利用历史数据对网络进行反复测试,检验网络模型的鲁棒性,直到网络性能稳定。
(四)接入控制与业务管理
接入传输层规则包括数字接入系统中接入业务的可管理性、可控性、信息保密性、完整性和可用性的规则要求,视频接入系统实现外部视频资源单向传输至内网,视频控制信令和数据的会话终止于应用服务区,包含对视频信令格式进行检查及内容过滤、合法的协议和数据通过、视频数据和视频控制信令安全传输等方面的规则,无线接入系统接入内网,需要与内网的各种信息系统交互信息,包含敏感信息、数据完整性保护、数据保密性保护、抗攻击、安全审计以及物理安全等方面的规则。
四、结论
为了增加可穿戴设备的安全性,进入市场前,对可穿戴设备进行网络安全、数据安全、设备安全三方面的检测是非常必要的。本文介绍了可穿戴设备技术所面临的主要安全问题,分析了可穿戴设备常见的安全风险,并根据所面临的风险设计了三层安全检测框架,机制及方法等,总结了物联网设备主流的安全检测技术,并针对可穿戴设备独特的网络架构及功能特性提出了接入控制与双向认证技术,以及多模加密等数据安全技术。
本文刊登于《网信军民融合》杂志2019年5月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。