前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >智慧城市安全体系实例——智能门锁安全吗?

智慧城市安全体系实例——智能门锁安全吗?

作者头像
FB客服
发布2018-12-28 11:17:30
9510
发布2018-12-28 11:17:30
举报
文章被收录于专栏:FreeBuf

当前,智慧城市建设成为全球热点,据国际会计师事务所德勤发布《超级智能城市》管理咨询报告显示,当前全球已启动或在建的智慧城市数量超过1000个,中国以 500 个试点城市居于首位,成为了全球最大的智慧城市实施国。

然而,由于智慧城市中存在大量涉及国家安全、经济发展、社会公共利益和个人的重要数据,一旦出现安全问题,将对城市的运行和管理造成重大打击并难以恢复,导致城市日常生活瘫痪或造成重大经济损失,所以安全保障作为智慧城市可持续发展的根基,重要性凸显。

一、城市智慧化是大势所趋

推进新型智慧城市建设,是党中央、国务院基于我国信息化和新型城镇化发展现状作出的重大决策。国家“十三五”规划纲要明确提出“加强现代信息基础设施建设,推进大数据和物联网发展,建设智慧城市”。党的十九大对建设网络强国、数字中国、智慧社会作出战略部署,各地依托大数据和现代信息技术的发展,打造智慧城市,正是建设数字中国、智慧社会的题中之义。

1.中国城镇化进程带来空前的市场规模

到2020年要实现常住人口城镇化率达到60%,户籍人口城镇化率达到45%,争取建设500座新城,1000座左右的特色小镇,市场规模空前。

2.物联网时代建设智慧化的新城小镇成主流

如同互联网、移动互联网一样,物联网技术的出现为发展带来了新的变量

3.围绕物联智慧化新城小镇将形成万亿产业

2017-2021年,我国智慧城市IT投资规模年复合增长率约为31.12%,到2020年将突破1万亿。

二、城市智慧化面临新的安全“大考”

智慧城市是以物联网、云计算、大数据、移动互联网等先进的信息通信技术为基础,提供更智慧的民生服务、城市管理等功能,但是在网络化、数字化、智能化、智慧化演进的过程中,城市也变得“脆弱”,数据泄露事件频发,用户隐私安全面临“大考”。

从智慧城市应用领域来看,在家居、医疗、交通等重点领域,将加强运用物联网技术实现自动感知和精细管理。在城市管理来看,感知设施的布局大幅提升城市运行监测能力,一方面有助于形成统一感知设备管理平台和城市级数据汇集和信息共享,另一方面,从决策支撑快速反应的内在要求更是需要高效率的同时必须兼顾高安全性。

在智慧城市部署中,大量智能终端设备和传感器接入综合网络,产生了复杂的接入环境、多样化的接入方式和数量庞大的智能接入终端,全面加大了智慧城市系统的接入风险智慧城市中传感感知、通信传输、应用服务、智能分析处理等诸多层面安全风险和脆弱性日益凸显,使得智慧城市的可持续发展面临严峻的安全威胁。

图1 智慧城市ICT视角的技术参考模型

为推动智慧城市健康、可持续发展,国家在《智慧城市评价模型及基础评价指标体系》(GB/T 34680.1-2017)中明确了智慧城市评价指标体系,其中网络安全指标包括网络安全管理、监测预警与应急、信息系统安全可控、要害数据安全。

表1 智慧城市评价指标体系网络安全指标评价要素及说明

三、智慧城市安全体系

智慧城市安全体系框架以安全保障措施为视角,从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设运营保障和智慧城市安全基础支撑五个方面给出了智慧城市安全要素。

图2 智慧城市安全体系框架

1.智慧城市安全战略保障

智慧城市安全战略保障要素包括国家法律法规、政策文件及标准规范。通过智慧城市安全战略保障可以指导和约束智慧城市的安全管理、技术与建设运营活动。

2.智慧城市安全管理保障

智慧城市安全管理保障是实现智慧城市协调管理、协同运作、信息融合和开放共享的关键。本标准参考了信息安全管理体系并结合智慧城市特征,梳理出智慧城市安全管理要素,包括决策规划、组织管理、协调监督、评价改进。

3.智慧城市安全技术保障

智慧城市安全技术保障以建立城市纵深防御体系为目标,从物联感知层、网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次采用多种安全防御手段实现对系统的防护、检测、响应和恢复,以应对智慧城市安全技术风险。智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。

四、智慧城市安全体系实例——智能门锁安全

智慧城市是一个庞大的体系,涉及到众多环节,安全隐患无孔不入。而智慧城市安全保障更是一项庞大的工程,不止需要有一个完善的安全体系,还需要根据不同环节不同应用特征进行细化分析,从细微处着手、从纵深去挖掘安全隐患细节,并进行周全的加固才能保障其安全性真正落实。

以智能门锁为例,作为智慧城市中适用于多场景的共性产品,其应用场景除了在家居,还在公司、写字楼、社区、公共场合办公区等诸多场景应用到。市场发展潜力非常巨大,2017年智能门锁产值超过百亿元,市场规模接近800万把,预计2020年智能门锁市场规模将达到4000万把。

随着智能门锁的流行,各种安全隐患也不断被暴露出来,指纹复制、密码猜解、强磁干扰、APP漏洞、近场通信劫持、WIFI流量劫持和云端服务漏洞等各种智能门锁的安全事件已经被媒体广泛报道。

2018年5月26日,第九届中国(永康)国际门业博览会上,一位女士以一个小黑盒连续打开了多家品牌的智能门锁,最短的时间只有3秒,一篇名为《那个女人毁了整个指纹锁行业》的文章迅速蹿红,成为智能门锁圈的恶梦。“小黑盒”的原理是特斯拉线圈通电后,可能产生两种效果:一是利用智能门锁电路的馈电系统驱动电流打开门锁;二是该线圈产生强电磁脉冲攻击智能门锁芯片,会造成芯片死机并重启,有的智能门锁默认重启后会自动开锁。

1.安全隐患分析

从智能门锁系统架构看可分成感知层、传输层和应用层,包括智能门锁设备、智能家庭网关、手机APP和云端服务等组件。其中传输层与应用层技术为现有互联网技术,相对成熟稳定。在感知层,用户身份认证方式主要有固定密码、临时密码、指纹、掌纹、人脸、RFID、NFC和APP等,近场接入技术主要有WIFI、蓝牙、Zigbee、433Mhz和 315MHz等。

图3 智能门锁系统结构示意图

根据智能门锁的系统架构,其安全风险可以划分为以下五个方面:

(1)智能门锁安全风险(针对智能门锁设备的攻击);

(2)移动应用安全风险(针对智能门锁手机APP的攻击);

(3)近场通信安全风险(针对WIFI、ZigBee、蓝牙等通信方式的攻击);

(4)网络安全风险(针对家庭智能网关和有线数据拦截的攻击);

(5)应用安全风险(针对智能门锁云平台的攻击)。

产品标准化需要一个过程,在研发的过程中存在诸多的安全问题,比如密钥硬编码,明文传输数据等,攻击者获取固件和APP终端代码,逆向破解代码信息,即可获取核心的密钥和业务逻辑,针对分析业务逻辑脆弱点发起攻击,可以实现远程控制开关门。

2.攻击原理分析

攻击者获取目标硬件固件,对固件核心业务逻辑进行分析:

图4 固件核心业务逻辑分析图

针对APP业务逻辑攻击获取:

图5 APP业务逻辑攻击分析图

3.安全防护策略建议

(1)云管端防护策略

目前使用非常广泛的通信策略“云管端”,客户端和通信管道相对云端而言是不可信的但不可或缺的基础功能点,在这种情况下,客户端和通信管道即存在非常大的安全风险,需要对客户端和管道进行强有力的安全加固,来保证终端管道在不可控端的安全。

(2)终端固件和APP代码虚拟化保护

保护智能门锁最核心的部分(固件+APP),确保最核心的密钥和业务逻辑不被攻击者逆向破解,从而保障智能锁不被攻击。传统的安全加固只能针对黑盒的APP(.apk/.ipa)状态的应用进行安全加密,KiwiVM虚拟机基于LLVM从源代码编译阶段虚拟化源代码,可以适用于各个平台和架构,换句话说,只要研发平台可以使用LLVM编译器,均可使用KiwiVM针对源代码进行虚拟化加密。这样才有KiwiVM即可同时对固件和APP进行安全加固,保障两者不被攻击者逆向分析破解。

(3)虚拟化实现

通过前端代码采集套件,采集源代码,利用LLVM-IR进行代码虚拟化,最终编译为适用平台的可执行文件

图6 虚拟化实现流程图

五、结语

通过物联网、智能终端、云计算、大数据、AI等构建新型智慧城市在为城市生活和管理带来便利的同时,给网络空间带来日益严峻的安全形势,也提出智慧城市要从保障安全开始的新要求。而安全保障既需要有完善的保障体系,更需要根据具体环节不同应用不同技术特性进行细密周全的细节安全加固和具体安全部署。在推进城市智慧化的同时,需要打好安全的基石,为智慧城市的健康、可持续发展保驾护航。

*本文作者:jiweianquan,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、城市智慧化是大势所趋
    • 1.中国城镇化进程带来空前的市场规模
      • 2.物联网时代建设智慧化的新城小镇成主流
        • 3.围绕物联智慧化新城小镇将形成万亿产业
        • 二、城市智慧化面临新的安全“大考”
        • 三、智慧城市安全体系
          • 1.智慧城市安全战略保障
            • 2.智慧城市安全管理保障
              • 3.智慧城市安全技术保障
              • 四、智慧城市安全体系实例——智能门锁安全
                • 1.安全隐患分析
                  • 2.攻击原理分析
                    • 3.安全防护策略建议
                    • 五、结语
                    相关产品与服务
                    物联网
                    腾讯连连是腾讯云物联网全新商业品牌,它涵盖一站式物联网平台 IoT Explorer,连连官方微信小程序和配套的小程序 SDK、插件和开源 App,并整合腾讯云内优势产品能力,如大数据、音视频、AI等。同时,它打通腾讯系 C 端内容资源,如QQ音乐、微信支付、微保、微众银行、医疗健康等生态应用入口。提供覆盖“云-管-边-端”的物联网基础设施,面向“消费物联”和 “产业物联”两大赛道提供全方位的物联网产品和解决方案,助力企业高效实现数字化转型。
                    领券
                    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档