ZigBee技術(shù)中存在安全問(wèn)題是互聯(lián)網(wǎng)通訊通病還是個(gè)案?

　　近日，《紐約時(shí)報(bào)》報(bào)道了一篇名為“你家里的燈泡將來(lái)可能成為黑客攻擊目標(biāo)”的文章，文章稱某大學(xué)研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問(wèn)題，有可能被黑客利用來(lái)控制燈泡等無(wú)線物聯(lián)網(wǎng)設(shè)備。隨著該消息幾經(jīng)報(bào)道后，已經(jīng)引起國(guó)內(nèi)外行業(yè)人士和消費(fèi)者的諸多討論和猜想。

　　隨后，為使大家對(duì)ZigBee標(biāo)準(zhǔn)和技術(shù)有更為清晰正確的了解，ZigBee聯(lián)盟在11月8日，就關(guān)于近期黑客攻擊燈泡報(bào)告所涉及的安全性問(wèn)題言論進(jìn)行了聲明，表示：ZigBee各項(xiàng)標(biāo)準(zhǔn)均不存在報(bào)告所描述的缺陷。

　　ZigBee認(rèn)為，該報(bào)告中提到的缺陷是某家芯片廠商應(yīng)用程序中的軟件錯(cuò)誤導(dǎo)致的。這不是ZigBee協(xié)議的問(wèn)題，而更多是實(shí)現(xiàn)的問(wèn)題。所述攻擊利用了這個(gè)軟件升級(jí)的內(nèi)部接口缺陷，并不適用于整個(gè)系統(tǒng)或產(chǎn)品線。另外報(bào)告中提及到的這款智能燈泡的問(wèn)題也已經(jīng)得到解決。飛利浦Hue已經(jīng)完成了補(bǔ)丁程序，并且將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標(biāo)準(zhǔn)本身并無(wú)需要更改的地方。

　　那么，ZigBee的安全性能是否有效地得到保證?如何解決zigbee的漏洞帶來(lái)的互聯(lián)網(wǎng)安全問(wèn)題?這到底是互聯(lián)網(wǎng)通訊發(fā)展過(guò)程中的通病，還是只是個(gè)個(gè)案?

　　對(duì)此阿拉丁照明網(wǎng)新媒體記者采訪了復(fù)旦大學(xué)電光源研究所青年副研究員田朋飛老師(以下簡(jiǎn)稱“田老師”)、以及已經(jīng)在超市上有LiFi項(xiàng)目試點(diǎn)的廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷(以下簡(jiǎn)稱“許總”)，就此事咨詢了他們的看法。

　　田老師表示，這一次《紐約時(shí)報(bào)》刊出的文章——《你家里的燈泡將來(lái)可能成為黑客攻擊目標(biāo)》，談到某大學(xué)研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問(wèn)題。他并沒(méi)有感到多大的奇怪，因?yàn)閷?duì)很多關(guān)注無(wú)線通信協(xié)議的人來(lái)說(shuō)，ZigBee其實(shí)已經(jīng)不是第一次出現(xiàn)問(wèn)題了。

　　就在去年8月6日，三星旗下SmartThings公司以初創(chuàng)會(huì)員級(jí)別加入ZigBee聯(lián)盟，成為物聯(lián)網(wǎng)標(biāo)準(zhǔn)非營(yíng)利性組織ZigBee聯(lián)盟董事會(huì)的新成員。該事的發(fā)生不到一周，在世界信息安全行業(yè)最高盛會(huì)，黑帽子大會(huì)上，Cognosec公司發(fā)表了論文，并指出ZigBee協(xié)議中的一個(gè)缺陷，稱 “該缺陷涉及多種類型的設(shè)備，黑客有可能以此危害ZigBee網(wǎng)絡(luò)，并‘接管該網(wǎng)絡(luò)內(nèi)所有互聯(lián)設(shè)備的控制權(quán)’。”

　　ZigBee協(xié)議向來(lái)以可靠、安全以及保密著稱。當(dāng)然，這篇文章并沒(méi)有把矛頭直接通信協(xié)議，而是指出漏洞的來(lái)源是因?yàn)樯a(chǎn)商生產(chǎn)過(guò)程中，為了壓低成本并且與其他網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)通信連接所造成的。三星、飛利浦、摩托羅拉、德州儀器等制造商均在其產(chǎn)品中使用了ZigBee協(xié)議。

　　ZigBee在這幾年相比較與Wi-Fi、藍(lán)牙與射頻等無(wú)線通信技術(shù)協(xié)議，不可否認(rèn)地在智能家居領(lǐng)域賺足了眼球，而智能家居則是物聯(lián)網(wǎng)中最重要的組成部分。在前幾年的發(fā)展中，ZigBee鮮有負(fù)面消息，因此漸漸地被業(yè)界很多人認(rèn)為是最適合做智能家居的一個(gè)無(wú)線通信協(xié)議標(biāo)準(zhǔn)。另一方面，雖然ZigBee最初主要應(yīng)用在工業(yè)領(lǐng)域，但是由于不少實(shí)力公司，包括飛思卡爾、德州儀器、飛利浦與施耐德等的宣揚(yáng)，樹立口碑，ZigBee在物聯(lián)網(wǎng)上的應(yīng)用對(duì)工程師們來(lái)說(shuō)還是充滿著魅力。

　　田老師說(shuō)：“采用AES 128加密算法的ZigBee的Key是16個(gè)字節(jié)的強(qiáng)密碼，在ZigBee實(shí)際進(jìn)行數(shù)據(jù)傳輸時(shí)通過(guò)暴力破解其網(wǎng)絡(luò)Key，據(jù)我所知還沒(méi)有先例，事實(shí)上，這也是一種效率極其低下的方式?！?/p>

　　那么ZigBee所謂的安全漏洞究竟出在那里呢?

　　田老師認(rèn)為有如下可能性存在。

　　第一，生產(chǎn)商為了壓低成本并且方便與其他設(shè)備通信所造成的。這里就可能會(huì)有如下的可能性，比如說(shuō)，生產(chǎn)商為了方便他顧客的使用，或者說(shuō)為了他公司生產(chǎn)的各個(gè)設(shè)備能夠互聯(lián)，可能會(huì)規(guī)定他的某種聯(lián)網(wǎng)產(chǎn)品的初始密碼為統(tǒng)一的密碼。

　　其次，往往為了設(shè)備會(huì)有更好的用戶體驗(yàn)，設(shè)備商也不會(huì)設(shè)置過(guò)長(zhǎng)的密碼長(zhǎng)度。你也不會(huì)想每一次登陸，取得設(shè)備的控制權(quán)時(shí)候，要輸入十六個(gè)密碼吧?

　　最后就是ZigBee網(wǎng)絡(luò)中存在一瞬間的不安全存在，也即在于設(shè)備之間需要通過(guò)一個(gè)連接密鑰來(lái)加密，每一次使用，你要么預(yù)先在設(shè)備中配置好，要么就在這一瞬間中通過(guò)明文傳送。因此，網(wǎng)絡(luò)中存在明文傳送的這一瞬間給了黑客們機(jī)會(huì)。

　　但無(wú)可否認(rèn)的是，ZigBee相對(duì)于其他的無(wú)線通訊協(xié)議來(lái)說(shuō)，其安全性已經(jīng)是較高的了。我個(gè)人看法，為了解決ZigBee中存在的安全問(wèn)題，可能可以有以下改進(jìn)的發(fā)展趨勢(shì)。網(wǎng)絡(luò)設(shè)備擁有主動(dòng)探測(cè)并應(yīng)付黑客的功能，也即在一個(gè)網(wǎng)絡(luò)設(shè)備被黑客入侵之后，他能夠發(fā)現(xiàn)并告訴同一網(wǎng)絡(luò)里面的其他設(shè)備，或者中斷與其他設(shè)備的通信功能，以此阻止病毒在網(wǎng)絡(luò)中的傳播。

　　當(dāng)然，用戶在選購(gòu)智能家居產(chǎn)品時(shí)需要更加謹(jǐn)慎，選擇比較好的品牌。ZigBee的產(chǎn)品開發(fā)成本高、周期長(zhǎng)、難度大，大多數(shù)初創(chuàng)企業(yè)較難承受開發(fā)風(fēng)險(xiǎn)，這也是ZigBee技術(shù)目前在全球只有幾家企業(yè)掌握的原因。另一方面使用智能家居產(chǎn)品的同時(shí)，也要有良好的習(xí)慣，設(shè)置相對(duì)復(fù)雜的密碼或定期修改密碼。

　　廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷許總則表示，軟件或者通信協(xié)議出現(xiàn)漏洞是常見的，就比如微軟windows系統(tǒng)經(jīng)常需要更新打補(bǔ)丁一樣，我們需要做的是及時(shí)的安裝軟件補(bǔ)丁。如果要在安全性上得到較大的提升，一般會(huì)考慮采用物理手段比如隔斷等，而這對(duì)于傳統(tǒng)的無(wú)線通信來(lái)說(shuō)是一件非常難辦到的時(shí)候，無(wú)線信號(hào)無(wú)影無(wú)形無(wú)處不在。如果未來(lái)需要使用LiFi技術(shù)用于通信的話，那可以借助其得天獨(dú)厚的安全性方面的優(yōu)勢(shì)，可以很容易的做到通信信號(hào)的隔離。

　　目前偉志光電的LiFi主要應(yīng)用在室內(nèi)定位，通過(guò)在LED燈內(nèi)植入控制電路，使LED燈成為我們的室內(nèi)定位衛(wèi)星，不停的通過(guò)燈光發(fā)送定位信息。在安全性當(dāng)面比起傳統(tǒng)無(wú)線通信優(yōu)勢(shì)，因?yàn)長(zhǎng)iFi是通過(guò)可見光作為傳輸媒介，所見即所得，光信號(hào)的遮擋非常容易。

　　在報(bào)道中提及的ZigBee安全性問(wèn)題里的無(wú)線通信應(yīng)用主要是用于通信控制，和偉志光電目前LiFi室內(nèi)定位應(yīng)用需求是不一樣的，偉志光電在安全性問(wèn)題方面采用的是業(yè)界主流的安全手段，而在該應(yīng)用中的安全性主要是依靠支付寶以及微信自帶的安全機(jī)制，所以不會(huì)有類似的問(wèn)題。偉志光電目前落地的應(yīng)用是超市導(dǎo)購(gòu)，已經(jīng)在卜蜂蓮花黃岐店試點(diǎn)運(yùn)行。

　　許總還透露，目前該超市LiFi導(dǎo)購(gòu)系統(tǒng)的安全方面的考慮主要有以下兩個(gè)方面：

　　第一，定位系統(tǒng)只有下行的信號(hào)，同時(shí)定位基站發(fā)送的信號(hào)本來(lái)就是要求所有人都能接受的，因此不存在任何保密信息。

　　第二，安全性主要體現(xiàn)在終端的信息處理以及支付過(guò)程。

　　田老師表示，近年來(lái)，物聯(lián)網(wǎng)的蓬勃發(fā)展將大量原來(lái)漏洞百出的系統(tǒng)暴露在網(wǎng)絡(luò)中，很多時(shí)候網(wǎng)絡(luò)漏洞存在的不僅僅是在通信協(xié)議上，它將以各種各樣的形式存在。在越來(lái)越多的人投入物聯(lián)網(wǎng)浪潮的時(shí)候，大量從事這些工作核心技術(shù)工程師，安全開發(fā)的意識(shí)比較缺乏，使得很多低級(jí)安全問(wèn)題出現(xiàn)在物聯(lián)網(wǎng)設(shè)備中，因而這些設(shè)備的安全問(wèn)題隨著物聯(lián)網(wǎng)的發(fā)展而不斷暴露。

　　《你家里的燈泡將來(lái)可能成為黑客攻擊目標(biāo)》一文中提及的ZigBee技術(shù)中存在安全問(wèn)題，這可能并不是一種通病，但也不能說(shuō)是一個(gè)個(gè)案。在無(wú)線通信網(wǎng)絡(luò)中不僅僅只存在ZigBee無(wú)線通信協(xié)議，也有可能存在很多過(guò)去的通信技術(shù)，網(wǎng)絡(luò)技術(shù)與協(xié)議。因?yàn)槁┒创嬖诘姆绞降牟煌诳蛡兩⒉ゲ《镜姆绞揭膊灰粯印?/p>

　　在萬(wàn)物互聯(lián)的大背景下，作為一個(gè)新領(lǐng)域的老問(wèn)題，隨著ZigBee等各種無(wú)線通信協(xié)議的廣泛應(yīng)用，網(wǎng)絡(luò)中還會(huì)有更多關(guān)于汽車交通安全、工業(yè)控制安全、醫(yī)療網(wǎng)絡(luò)安全與監(jiān)控?cái)z像頭安全等等，都會(huì)成為大家關(guān)注的熱點(diǎn)問(wèn)題。而不僅僅是控制一個(gè)燈泡那么簡(jiǎn)單。當(dāng)然，不管怎么樣，這個(gè)領(lǐng)域的大量安全問(wèn)題正等待著大家來(lái)發(fā)現(xiàn)。