阿拉丁照明网首页| 绿色| 检测认证| 古建筑| 道路| 酒店| 店铺| 建筑| 家居| 办公| 夜景| 娱乐| 工业| 博物馆| 体育| 公共 登录 注册

当前位置:首页 > 人物邦 > 正文

ZigBee技术中存在安全问题是互联网通讯通病还是个案?

大件事要分享到:
2016-11-18 作者:林静霞 来源:阿拉丁照明网微信公众号 浏览量: 网友评论: 0
此文章为付费阅读,您已消费过,可重复打开阅读,个人中心可查看付费阅读消费记录。

摘要: ZigBee的安全性能是否有效地得到保证?如何解决zigbee的漏洞带来的互联网安全问题?这到底是互联网通讯发展过程中的通病,还是只是个个案?记者采访了复旦大学主攻micro-LED、LiFi物联网的青年副研究员田朋飞老师、以及已经在超市上有LiFi项目试点的深圳伟志光电许广廷,就此事咨询了他们的看法。

  近日,《纽约时报》报道了一篇名为“你家里的灯泡将来可能成为黑客攻击目标”的文章,文章称某大学研究人员发现ZigBee技术中存在安全问题,有可能被黑客利用来控制灯泡等无线物联网设备。随着该消息几经报道后,已经引起国内外行业人士和消费者的诸多讨论和猜想。

  随后,为使大家对ZigBee标准和技术有更为清晰正确的了解,ZigBee联盟在11月8日,就关于近期黑客攻击灯泡报告所涉及的安全性问题言论进行了声明,表示:ZigBee各项标准均不存在报告所描述的缺陷。

  ZigBee认为,该报告中提到的缺陷是某家芯片厂商应用程序中的软件错误导致的。这不是ZigBee协议的问题,而更多是实现的问题。所述攻击利用了这个软件升级的内部接口缺陷,并不适用于整个系统或产品线。另外报告中提及到的这款智能灯泡的问题也已经得到解决。飞利浦Hue已经完成了补丁程序,并且将更新的固件发布至所有已售产品。而ZigBee标准本身并无需要更改的地方。

  那么,ZigBee的安全性能是否有效地得到保证?如何解决zigbee的漏洞带来的互联网安全问题?这到底是互联网通讯发展过程中的通病,还是只是个个案?

  对此阿拉丁照明网新媒体记者采访了复旦大学电光源研究所青年副研究员田朋飞老师(以下简称“田老师”)、以及已经在超市上有LiFi项目试点的广州伟志全资子公司-极汇科技总经理许广廷(以下简称“许总”),就此事咨询了他们的看法。

  田老师表示,这一次《纽约时报》刊出的文章——《你家里的灯泡将来可能成为黑客攻击目标》,谈到某大学研究人员发现ZigBee技术中存在安全问题。他并没有感到多大的奇怪,因为对很多关注无线通信协议的人来说,ZigBee其实已经不是第一次出现问题了。

  就在去年8月6日,三星旗下SmartThings公司以初创会员级别加入ZigBee联盟,成为物联网标准非营利性组织ZigBee联盟董事会的新成员。该事的发生不到一周,在世界信息安全行业最高盛会,黑帽子大会上,Cognosec公司发表了论文,并指出ZigBee协议中的一个缺陷,称 “该缺陷涉及多种类型的设备,黑客有可能以此危害ZigBee网络,并‘接管该网络内所有互联设备的控制权’。”

  ZigBee协议向来以可靠、安全以及保密著称。当然,这篇文章并没有把矛头直接通信协议,而是指出漏洞的来源是因为生产商生产过程中,为了压低成本并且与其他网络设备实现通信连接所造成的。三星、飞利浦、摩托罗拉、德州仪器等制造商均在其产品中使用了ZigBee协议。

  ZigBee在这几年相比较与Wi-Fi、蓝牙与射频等无线通信技术协议,不可否认地在智能家居领域赚足了眼球,而智能家居则是物联网中最重要的组成部分。在前几年的发展中,ZigBee鲜有负面消息,因此渐渐地被业界很多人认为是最适合做智能家居的一个无线通信协议标准。另一方面,虽然ZigBee最初主要应用在工业领域,但是由于不少实力公司,包括飞思卡尔、德州仪器、飞利浦与施耐德等的宣扬,树立口碑,ZigBee在物联网上的应用对工程师们来说还是充满着魅力。

  田老师说:“采用AES 128加密算法的ZigBee的Key是16个字节的强密码,在ZigBee实际进行数据传输时通过暴力破解其网络Key,据我所知还没有先例,事实上,这也是一种效率极其低下的方式。”

  那么ZigBee所谓的安全漏洞究竟出在那里呢?

  田老师认为有如下可能性存在。

  第一,生产商为了压低成本并且方便与其他设备通信所造成的。这里就可能会有如下的可能性,比如说,生产商为了方便他顾客的使用,或者说为了他公司生产的各个设备能够互联,可能会规定他的某种联网产品的初始密码为统一的密码。

  其次,往往为了设备会有更好的用户体验,设备商也不会设置过长的密码长度。你也不会想每一次登陆,取得设备的控制权时候,要输入十六个密码吧?

  最后就是ZigBee网络中存在一瞬间的不安全存在,也即在于设备之间需要通过一个连接密钥来加密,每一次使用,你要么预先在设备中配置好,要么就在这一瞬间中通过明文传送。因此,网络中存在明文传送的这一瞬间给了黑客们机会。

  但无可否认的是,ZigBee相对于其他的无线通讯协议来说,其安全性已经是较高的了。我个人看法,为了解决ZigBee中存在的安全问题,可能可以有以下改进的发展趋势。网络设备拥有主动探测并应付黑客的功能,也即在一个网络设备被黑客入侵之后,他能够发现并告诉同一网络里面的其他设备,或者中断与其他设备的通信功能,以此阻止病毒在网络中的传播。

  当然,用户在选购智能家居产品时需要更加谨慎,选择比较好的品牌。ZigBee的产品开发成本高、周期长、难度大,大多数初创企业较难承受开发风险,这也是ZigBee技术目前在全球只有几家企业掌握的原因。另一方面使用智能家居产品的同时,也要有良好的习惯,设置相对复杂的密码或定期修改密码。

  广州伟志全资子公司-极汇科技总经理许广廷许总则表示,软件或者通信协议出现漏洞是常见的,就比如微软windows系统经常需要更新打补丁一样,我们需要做的是及时的安装软件补丁。如果要在安全性上得到较大的提升,一般会考虑采用物理手段比如隔断等,而这对于传统的无线通信来说是一件非常难办到的时候,无线信号无影无形无处不在。如果未来需要使用LiFi技术用于通信的话,那可以借助其得天独厚的安全性方面的优势,可以很容易的做到通信信号的隔离。

  目前伟志光电的LiFi主要应用在室内定位,通过在LED灯内植入控制电路,使LED灯成为我们的室内定位卫星,不停的通过灯光发送定位信息。在安全性当面比起传统无线通信优势,因为LiFi是通过可见光作为传输媒介,所见即所得,光信号的遮挡非常容易。

  在报道中提及的ZigBee安全性问题里的无线通信应用主要是用于通信控制,和伟志光电目前LiFi室内定位应用需求是不一样的,伟志光电在安全性问题方面采用的是业界主流的安全手段,而在该应用中的安全性主要是依靠支付宝以及微信自带的安全机制,所以不会有类似的问题。伟志光电目前落地的应用是超市导购,已经在卜蜂莲花黄岐店试点运行。

  许总还透露,目前该超市LiFi导购系统的安全方面的考虑主要有以下两个方面:

  第一,定位系统只有下行的信号,同时定位基站发送的信号本来就是要求所有人都能接受的,因此不存在任何保密信息。

  第二,安全性主要体现在终端的信息处理以及支付过程。

  田老师表示,近年来,物联网的蓬勃发展将大量原来漏洞百出的系统暴露在网络中,很多时候网络漏洞存在的不仅仅是在通信协议上,它将以各种各样的形式存在。在越来越多的人投入物联网浪潮的时候,大量从事这些工作核心技术工程师,安全开发的意识比较缺乏,使得很多低级安全问题出现在物联网设备中,因而这些设备的安全问题随着物联网的发展而不断暴露。

  《你家里的灯泡将来可能成为黑客攻击目标》一文中提及的ZigBee技术中存在安全问题,这可能并不是一种通病,但也不能说是一个个案。在无线通信网络中不仅仅只存在ZigBee无线通信协议,也有可能存在很多过去的通信技术,网络技术与协议。因为漏洞存在的方式的不同,黑客们散播病毒的方式也不一样。

  在万物互联的大背景下,作为一个新领域的老问题,随着ZigBee等各种无线通信协议的广泛应用,网络中还会有更多关于汽车交通安全、工业控制安全、医疗网络安全与监控摄像头安全等等,都会成为大家关注的热点问题。而不仅仅是控制一个灯泡那么简单。当然,不管怎么样,这个领域的大量安全问题正等待着大家来发现。


凡本网注明“来源:阿拉丁照明网”的所有作品,版权均属于阿拉丁照明网,转载请注明。
凡注明为其它来源的信息,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点及对其真实性负责。若作者对转载有任何异议,请联络本网站,我们将及时予以更正。
| 收藏本文
最新评论

用户名: 密码:

本周热点新闻

    灯具欣赏

    更多

    工程案例

    更多