INSComment深度：现阶段物联网应用面临的安全风险

导读

360近日发布的《典型IoT设备网络安全分析报告》是国内首次通过大数据分析检测智能设备安全状况的分析报告。该报告指出，用户对IoT设备安全的担忧，排名为首的是隐私泄露及盗窃；其次是人身安全、支付安全、病毒攻击和WIFI风险。远程弱口令、预置后门、敏感信息泄露则是IoT设备的三大常见漏洞。

2018年以来，物联网的安全风险事件频频曝光，同时，央视也进行了相关信息安全风险的通报！在用户的心中，智能设备的安全正逐步成为购买产品开始关注的主要问题。

而随着通讯技术的快速发展，智能设备如果离开信息安全防御，那它的智能将变得没有价值可言。

在物联网中，由于设备多、分布广，所以大部分的通讯都是通过无线通讯来解决的。目前对于室外无线通讯的方式来讲，一个是4G/5G宽带，一个就是NB窄带。随着通讯技术的发展，相信在今后家庭网络的使用也会逐步向这两种无线通讯方式靠拢，那些传统的WIFI、蓝牙、zigbee等通讯也许将会被逐步替代。

随着运营商通讯的覆盖，5年后，无论是在室内还是室外，每个智能产品的通讯都会是独立的，家庭网关等这类设备可能会逐步转型消亡。物联网应用的大部分通讯都将基于运营商5G和NB技术。

由于无线通讯技术的快速迭代，运营商们对安全技术又严重缺失，所以运营商无线通讯应用的安全风险也会随之而来，基于无线通讯的安全防御刻不容缓。这一点，也说明在无线通讯领域，信息安全行业具有巨大的市场潜力。

5G与NB这两种通讯技术应用，有着各自不同的应用场景。对于5G来讲，由于是宽带，所以可以进行大流量传输。比如：电影视频、语音、高质量图片等。但用户在享受流量的同时，也会带来高额的通讯费用。

而对于运营商来讲，流量费用是他们获取利润的基础，所以即便是将来通讯资费会越来越低，却很难做到彻底免费。而NB由于是窄带通讯，所以仅适合那些短数据的通讯场景，当然资费自然就会低的很多，成本也会降低很多。所以，在通讯资费和成本投入上，NB通讯技术会有更大的优势。当然，选择哪种通讯方式，核心还是应用场景。

在物联网实际应用场景中，两种通讯往往会集中在一起使用。比如一辆智能驾驶汽车，它可能一方面需要通过5G来满足车辆使用者在车里的娱乐要求，也需要通过NB来及时回传行车的关键数据，从而下发正确的指令来指导汽车的行驶。所以，对于智能驾驶汽车来讲，基于无线应用的安全防御手段就变得尤为重要，否则一旦出现信息安全问题，后果不敢想象。今年特斯拉出事就涉及到智能汽车的信息安全防御问题。

对于5G通讯的信息数据保护，至少要实现对数据发送方及发送数据的加密验证。这些发送的数据中，有些数据本身可能就是可公开的，安全级别要求也并不高，所以控制好数据发送的源头，加入对数据发出方的认证识别，同时对数据流进行防篡改处理就可以实现基本的安全防御。

由于5G是宽带通讯，所以通讯安全的实现可以采用传统的互联网网络安全手段进行实现。但对于NB窄带通讯的应用，一般终端节点较多，且上传的数据往往都是关键的用于业务分析的短数据。这些数据上传服务端经分析后，再从服务端下发执行指令至设备，设备进行指令执行。所以，一旦传输数据被修改，执行指令被替换，那结果就会变得非常可怕。

由于NB属于窄带通讯，本身的带宽就不够，所以往往在加入安全防御手段后，可能会导致通讯数据量加大，设备功耗加大，这样不仅拖慢了整个设备的执行效率，有的甚至根本无法使用。因此，在无线通讯的物联网应用中，如何解决NB窄带通讯的安全防御是今后物联网应用安全防御的一个重要问题。

如何让NB窄带通讯可以得以妥善解决，在不影响整个通讯速率和执行效率的前提下，实现智能设备应用的安全，是目前众多安全专家、技术人员在思考的问题。

从目前可行的安全防御技术中，我们知道：要实现数据的安全可靠，必须要通过非对称安全体系才可以实现数据的安全可靠。因为非对称体系实现了对数据安全的两个核心：加密解密和签名验证。然而目前的现状是：有很多设备仅仅采用对称加密、自有协议，甚至口令登陆就想实现设备的安全防御，这种防御对于一个技术高手来讲，实际上形同虚设。

从实际应用上来讲，非对称体系可以完成在网络中各类设备的接入身份认证，设备与设备之间的数据机密传输，以及服务端与设备通讯的指令防劫持篡改。而实现这些安全防御的核心就是密钥，在NB窄带应用中，要实现高强度、短密钥、轻量级的安全系统就变得非常重要了。

面对物联网应用的安全现状，国内很多安全公司都推出了物联网安全解决方案，但实际上大多还都是原有互联网信息安全解决方案的延续。从物联网安全的普及的角度来讲，一方面很多的物联网应用还没有完全成熟起来，另一方面，安全作为事后感知的技术，也还没有让用户真正的认知。

所以在这种情况下，商业利益至上的设备商、运营商们也就逐步省略了安全，加大功能宣传，将尽快获得商业利益作为第一位了。360发布的《典型IoT设备网络安全分析报告》其实也是从另一个角度让大家看到了智能设备的安全现状。

近期，工业信息化部网络安全管理局的检查通报，也让每个人大跌眼镜。

现状如此，连这些知名的大企业、甚至是大巨头们都是如此面对安全，就更不必说其他的企业了。

所以，引石老王也提醒广大用户：面对越来越多的安全风险，在选择智能设备的时候，一定要关注设备的信息安全防护，设备安全就是保障自身的信息安全。这一点，随着国家安全法律的出台，时间证明将会让每一个用户逐步成熟起来。

随着物联网、人工智能技术的发展，信息安全将成为无法避开的风险。本文开篇就讲过，2018年，用户已经逐步开始关注安全。而信息安全也一定会成为物联网参与者的重点解决的问题。

近年来，安全专家、技术高手们也一直在研究物联网应用安全的各种防御手段。由华北电力大学物联网专业带头人、信息安全专家魏振华博士提出的IPK标识公钥技术，基于非对称安全体系，与传统的PKI证书体系相互融合，不仅解决了宽带通讯的证书应用，也将窄带通讯的安全进行了很好的解决，可以完全满足基于NB窄带通讯的业务应用。

早在2015年，麦肯锡《物联网：超越市场炒作之外的价值》报告中预测全球物联网市场规模将在2025以前成长达到3.9-11.1万亿美元，在2025年达到约11%的全球经济占有率。

针对即将到来巨大市场，已经有更多的设备商、产品商意识到安全的重要性，资本市场对安全企业也开始关注。更多的企业、团队加入其中，都希望通过自身的努力，为我们即将到来的智能生活做好安全保障。