开放性特征,因此WiFi网络很容易被非法窃听,如果WiFi网络传输关键信息时没有加密或者加密方式不可靠,很容易造成如用户密码、银行账户等关键信息的泄漏,这就要求智能家居厂家设计的产品在传输信号前需要对信号进行加密,目前WEP这种加密方式网上已经出现了暴力破解工具,建议把WiFi网络设置为WPA2的加密方式。
4.3非法攻击
由于WiFi的网络信号是裸露在空气中的,室内室外只要在覆盖范围内都能进行尝试连接,而且很多路由器厂家生产的设备使用是的相同频率,这就使得恶意攻击者可以使用专业设备攻击WiFi网络,比如使用DDOS攻击方式让WiFi网络瘫痪,使得智能家居无法正常连接网络,使智能家居失去原有功能,比如将使没有本地存储功能的监控设备失去作用。
5基于WiFi的智能家居安全性设计
针对上节提到的WiFi网络存在的威胁,提出了基于WiFi网络的智能家居安全性设计,避免上节提到的WiFi网络存在的问题。
5.1身份认证
身份认证是智能家居安全的关键技术,系统认证身份后能够验证用户的有效身份,目前身份认证普遍采用的方法有动态口令、短信验证码、数字证书、外部设备认证等方法,使用短信验证码的验证方式会增加成本,使用数字证书方式存在兼容性问题,比如浏览器版本等,使用外部设备认证方式存在携带不方便的问题,这里推荐使用Google Authenticator实现二步认证,使用Google Authenticator的二步认证功能需要服务器端和客户端的支持。在服务器端使用保存在数据库中的密钥和时间戳通过一种算法生成一个6位数字的一次性密码,客户端(手机或者电脑)使用相同算法、相同密钥、相同时间戳计算出一样的一次性密码。服务器验证时两者的一次性密码如果一样,则登录成功,完成身份认证。
5.2数据加密
数据加密是保护数据安全的一种有效方式,通过对数据加密,保护WiFi数据的安全传输。目前无线路由器WEP加密已被淘汰,安全的加密方式为WPA2-PSK模式,虽然在2017年10月WPA2也已被人破解,它能够让第三者在WiFi的信号范围内,随意监听网络、注入数据,但该漏洞主要影响WiFi接入设备,并不利用无线路由器,因此只需要通过升级智能家居接入设备就能修补漏洞,所以WPA2-PSK模式仍然是安全的加密模式。
5.3访问控制
智能家居需要面对很多不同的家庭成员及访客,不同的角色需要不同的权限,因此对用户进行分组,针对不同用户组授予智能家居设备的状态查看、数据访问、数据管理权限等不同的权限,访问控制既要防止非法用户的非法访问,也要防止合法用户越权访问,对不同用户组授予不同的访问、使用、管理权限。基于角色的访问控制的智能家居解决方案是比较好的一种方案。
5.4入侵检测
由于WiFi信号的开放特性,容易受到不法分子的攻击,比如WiFi信号的DDOS攻击等,入侵检测就是在早期能识别出非正常活动,可以设计入侵检测系统先被动学习正常的网络行为活动,提取网络活动的特征,建立一个特征库,再通过与网络活动特征库进行比对来识别是否为非法入侵。
5.5日志审计
智能家居日志记录了智能家居各设备的运行状态,是入侵检测分析、设备活动分析、用户访问记录等活动的原始数据,日志审计能够分析智能家居设备的异常情况,对及时发现问题、定位问题、解决问题均有重要作用。
6小结
通过对WiFi网络的威胁分析,对基于WiFi的智能家居进行了安全性设计,能够避免WiFi网络的违法接入、非法窃听、非法攻击等问题,但仍存在一些问题,比如如何提高WiFi网络活动的特征库的精度,使得对非法入侵的检测更加精准等问题,这些问题将是后面的研究和学习方向。