安全問(wèn)題不可忽視，五大物聯(lián)網(wǎng)安全隱患你知道多少？

　　如今，如果你還沒聽說(shuō)過(guò)物聯(lián)網(wǎng)（IoT），那你就真的OUT了，在對(duì)物聯(lián)網(wǎng)不僅賦予猜想，并且已經(jīng)上升到實(shí)踐的科技社會(huì)里，人們好像被這種新奇的東西沖昏了頭腦，忽略了安全問(wèn)題。一位藍(lán)牙技術(shù)專家揭露物聯(lián)網(wǎng)的理想化，提出了解決麻煩的方法，結(jié)果引起了一場(chǎng)物聯(lián)網(wǎng)混戰(zhàn)。

　　現(xiàn)在的社會(huì)是一個(gè)高速發(fā)展的科技社會(huì)，每一天都將有新的智能產(chǎn)品發(fā)布，將獨(dú)立的產(chǎn)品進(jìn)行連接實(shí)現(xiàn)一體化的好處無(wú)可厚非，但伴隨而來(lái)的安全和隱私問(wèn)題也值得關(guān)注。SIG對(duì)26000個(gè)成員公司進(jìn)行調(diào)查，結(jié)果顯示，在任一種新產(chǎn)品的研發(fā)和安全策略的設(shè)置當(dāng)中，都會(huì)出現(xiàn)5種相同的問(wèn)題。

　　1.安全性能引爭(zhēng)論

　　當(dāng)產(chǎn)品與工具進(jìn)行連接時(shí)，安全性就受到了威脅。傳統(tǒng)的安全手段給開發(fā)者和使用者留下了不好的印象，同時(shí)一些過(guò)時(shí)的做法也無(wú)法滿足安全性的要求。舉個(gè)例子，開發(fā)者常認(rèn)為，藍(lán)牙配對(duì)對(duì)消費(fèi)者來(lái)說(shuō)是具有挑戰(zhàn)性的，從2004年起，配對(duì)技術(shù)上的巨大變化、配對(duì)規(guī)范的更新不僅使設(shè)備與設(shè)備的連接過(guò)程變得容易，許多的安全特性，例如加密、信任、數(shù)據(jù)的完整性、用戶隱私也被保護(hù)得更好?；谟脩粜枨蠛蛯?duì)設(shè)備的適應(yīng)度，藍(lán)牙為用戶友好、安全連接提供了幾個(gè)配對(duì)方案以供選擇。

　　最新版本的智能藍(lán)牙技術(shù)建立在政府級(jí)別上，兼容FIPS安全性能，使用AES加密，ECDH加密和最新的低耗安全連接。然而有一些應(yīng)用并不需要ECDH密鑰生成或128位AES加密，藍(lán)牙工具使得開發(fā)者可以根據(jù)自己所希望的加密程度來(lái)進(jìn)行設(shè)計(jì)。

　　2.缺乏方法普及

　　一個(gè)常見的誤解是，信標(biāo)會(huì)追蹤人們或者用戶，事實(shí)上任何信標(biāo)要完成的動(dòng)作只是發(fā)送一個(gè)實(shí)時(shí)信號(hào)。一款智能設(shè)備上的應(yīng)用能夠通過(guò)在進(jìn)行用戶進(jìn)程訪問(wèn)時(shí)設(shè)備是否接收到一個(gè)消息來(lái)判定訪問(wèn)是否成功，當(dāng)用戶下載和激活應(yīng)用時(shí)，與這個(gè)信息的唯一連接消息發(fā)出。信標(biāo)本身不做任何的數(shù)據(jù)收集。

　　明確的相互作用原理和用戶控制設(shè)備安全性的方法可迅速消除他們對(duì)安全性的恐懼和誤解。例如，藍(lán)牙的配對(duì)不僅僅是建立設(shè)備的連接，更是一種讓用戶去自主控制其設(shè)備安全性的模式。

　　3.忽略用戶權(quán)限

　　給用戶提供一種輕松、清晰的權(quán)限去管理他們?cè)O(shè)備的安全性，讓他們相信設(shè)備與設(shè)備之間的信息交流是安全的。打個(gè)比方，我們經(jīng)常使用的APP中有時(shí)會(huì)用到位置信息，開發(fā)者要做到的是，讓用戶自己去決定哪一款應(yīng)用可以使用位置信息，哪一款不可以。當(dāng)設(shè)計(jì)下一款智能產(chǎn)品時(shí)，開發(fā)者應(yīng)該注重改善用戶的權(quán)限管理能力。

　　在版本4.2中有一個(gè)新功能，這項(xiàng)功能使得****連接藍(lán)牙后在未經(jīng)允許時(shí)很難追蹤到設(shè)備信息。這項(xiàng)功能使得廣告包里的MAC地址被替換為隨機(jī)值，這些值的變化由制造商確定。

　　4.功能性與安全性失衡

　　在任何情況下，開發(fā)者必須評(píng)估該設(shè)備的安全性要求，在許多情況下，附加的安全性能會(huì)排除一些連接類型，這樣便會(huì)限制設(shè)備的功能完整性。例如，計(jì)步器和智能鎖的安全需求并不相同，消費(fèi)者購(gòu)買一個(gè)計(jì)步器去測(cè)量步數(shù)，由于用戶個(gè)人的身份信息不會(huì)與之相關(guān)太多，那么這些有關(guān)步數(shù)的數(shù)據(jù)將不會(huì)被過(guò)分保護(hù)，但是對(duì)于智能鎖來(lái)說(shuō)則不然，安全性自然要比其功能更重要，這也就要求設(shè)計(jì)者們?cè)谧⒅匕踩缘耐瑫r(shí)，盡量完善設(shè)備的功能。

　　5.安全性

　　安全性不能被當(dāng)作開發(fā)過(guò)程中最后需要考慮的因素，必須在一開始就納入開發(fā)計(jì)劃當(dāng)中，在之后的每一步也都要考慮。一開始最好考慮到所有涉及到的安全問(wèn)題，深入思考潛在的問(wèn)題，從自身或他人成功和失敗的經(jīng)驗(yàn)中汲取教訓(xùn)，為你的產(chǎn)品提供全方位的安全保護(hù)。

　　編者的話：

　　安全性是現(xiàn)今最具熱議性的話題，尤其在信息傳播如此迅速的今天，隨著各種監(jiān)聽丑聞的曝光，大到一個(gè)國(guó)家，小到個(gè)人，人們更加關(guān)注個(gè)人隱私的安全，如何做到絕對(duì)化保護(hù)個(gè)人隱私不受侵害也是未來(lái)包括硬件軟件系統(tǒng)的挑戰(zhàn)。我們都希望在享受生活的同時(shí)也不被無(wú)關(guān)緊要的信息打擾。