智能家居与安防系统的网络安全探讨

    【CPS中安网 cps.com.cn】  随着国内互联网基础设施的成熟，越来越多的基于互联网的应用设想也日趋完善。2014年更是4G移动终端的普及元年，借此东风，各种依托于移动互联网的应用如雨后春笋般涌现，智慧物业已经开始进入市场培育期。一时间市场涌现出数以千计的产品，在带给用户方便的同时，也引发了相应的安全问题。本文尝试针对智能家居、智能安防系统安全问题做一定深度的探讨。

　　如果没有公众网络，就没有黑客。借助公众网络，黑客才有机会访问到远程的设备，即使他们的肉眼看不到这些设备。所有的黑客都以远程入侵未经授权的设备为成功标志，早期的黑客的动机相当单纯----只是为了简单地证明自己的技术能力，“你看，我成功地入侵了某系统，我技术厉害吧?”这些黑客做的无非是远程篡改网页、恶意删除数据等等近似于“恶作剧”的行为，这些行为所造成的恶果远远低于当今黑客。而最近几年，黑客的行为动机早已和利益密切挂钩----窃取远程用户数据、窃取用户银行密码、身份证号等等各种个人隐私数据，并依靠出卖或者使用这些数据来获得不当的经济利益。时至今日，在各种媒体上看到的黑客入侵导致巨额经济损失的案例数不胜数，在这些案例中，黑客所攻陷的设备都是以电脑、手机为主。智能家居、安防系统作为互联网终端的新接入者，同样面临安全方面的问题，甚至有可能会比传统的设备更严重。

　　在现阶段的市场上，比较普及的接入互联网的设备有这几大类

　　l 互联网摄像头、智能开关

　　l 智能家居控制中心

　　l 智能路由器

　　互联网摄像头、智能开关的网络安全提示

　　由于市场上的确存在很大的远程摄像头需求，此类产品在3-4年前就已经开始率先进入家居安防领域。小区的公众区域需要监控，家里的公共区域也需要监控，业主对于这些摄像头的远程访问需求都成为了互联网摄像头的“刚需”。顺应市场需要，各个摄像头方案商都给摄像头加入了很多贴心的功能：手机远程访问、高清本地录制、远程视频录制、移动侦测、入侵报警、入侵拍照。如果不考虑安全因素，目前的摄像头的功能已经是相当地强大。

　　但是事情往往有两面：便捷的背面可能就是危险。首先，远程摄像头都是通过设置一个密码来校验用户的远程访问权限，由于各种原因，不少用户选用了极为简单的密码，或者干脆就用厂商出厂时的默认密码，殊不知黑客最爱的就是这类密码，往往可以通过简单的嗅探器穷举攻击(也叫字典攻击)来获取到他们想要的东西。对于这种情况，有一种临时的防范方法：更改摄像头传输数据的TCP端口、并尽量使用复杂的密码。

　　其次，市面上众多的摄像头中，有相当大的部分是由小厂商生产的，我们不妨恶意地揣测：如同山寨手机，这些摄像头在出厂前，很可能被内置了一些不明目的的恶意程序，这些程序主动将用户所设定的密码上传到某处的服务器。如果真有这种内嵌的恶意程序，那前面所提到的临时防范手段将会变得形同虚设。

　　当然，有矛就有盾，终极的解决方案也会存在，只要做到以下几点，就算摄像头内有恶意程序也不会给黑客任何可乘之机。

　　l 使用一个安全的“智能家居控制中心”作为摄像头转发设备

　　l 摄像头自身不连接互联网，只与智能家居控制中心在家庭局域网中连接

　　l 智能家居控制中心用摄像头所设置好的远程访问账号与摄像头保持连接，并使用更强大的鉴权机制提供远程访问

　　从网络安全的角度出发，智能开关和网络摄像头的本质是一样的，只有采取同样的应对措施，不难保证其安全性。

　　智能家居控制中心的网络安全提示

　　可以简单地认为，这个设备是家里所有智能设备的中心控制器，有了这个设备，其它的智能家居终端如：冰箱、洗衣机、窗帘、电灯、摄像头、地暖、空调、智能插座都无需直接暴露在互联网下。这种架构最大的好处就是：在家居的所有智能终端与互联网之间搭建一个物理防火墙，让智能终端的系统漏洞、预留后门都不再成为黑客攻击的入口。其原理异常简单----无法直接访问到的设备是无法被攻击的。

　　使用智能家居控制中心的另外一个好处也显而易见：只需要关注一个设备的网络安全，即这个控制中心，无需去逐个检查分布在家里的所有不同类型的设备的安全性。

　　作为整个家庭的智能家居的防火墙、总接口，智能家居控制中心身上所背负的安全责任不可谓不大，如何让它尽可能地安全并不是一件简单的事情，可以说，这个设备的安全性是众多经验丰富的网络安全工程师的心血凝聚。深圳宝路在嵌入式设备上研发多年，并投入了大量的人力物力在嵌入式设备的安全性研究上，所幸这些投入都已经初见成效，宝路的拳头产品BR3810、BR3807这两款设备在作为智能门禁对讲机的同时承担起智能家居控制中心的重担。

　　尽管智能家居控制中心可以提供一个可信赖的物理防火墙，但是与传统的网络服务器相比，它所能承载的东西还是太少----毕竟，它只是一个运算、存储能力都无法和服务器相匹敌的嵌入式设备。（点击下页）