當前物聯(lián)網(wǎng)設(shè)備很少考慮到基本的安全問題,黑客們已將目標鎖定在路由器和網(wǎng)絡(luò)攝像頭等物聯(lián)網(wǎng)設(shè)備上�,因為這些設(shè)備天生缺乏安全保障�,很容易被攻破。至少有近30萬個網(wǎng)絡(luò)攝像頭可以輕松被黑客入侵��,而一些連接互聯(lián)網(wǎng)的兒童智能手表也被發(fā)現(xiàn)存在安全漏洞����,黑客可以追蹤佩戴者的位置,竊聽對話���,甚至與用戶直接進行通信�。當智能物體的制造成本越低����,使用越普及的時候,這些問題就會變得越發(fā)普遍和棘手�,物聯(lián)網(wǎng)擁有潛在的、巨大的隱私和安全問題�����。物聯(lián)網(wǎng)的商業(yè)模式尤其會涉及到部分隱私數(shù)據(jù)的出售,物聯(lián)網(wǎng)數(shù)據(jù)與其他數(shù)據(jù)結(jié)合在一起,創(chuàng)造出一個個令人驚訝的用戶“個人畫像”��。
下面將著重介紹幾種在保護智能物聯(lián)網(wǎng)安全及數(shù)據(jù)隱私方面發(fā)揮重要作用的技術(shù):
(1)身份證明技術(shù)
EPC代表電子產(chǎn)品代碼����,這是GS1定義的標準。EPC概述了一種系統(tǒng)��,用于根據(jù)產(chǎn)品類別信息(例如UPC)和標識一種對象類型的唯一實例的序列號����,對世界上任何物理對象的通用唯一標識符進行編碼和解碼。
ucode是一個獨特的標識系統(tǒng)�����,其工作方式與ICANN域名注冊和DNS管理系統(tǒng)相似����。唯一代碼由一組冗余ID服務(wù)器管理�����,這些服務(wù)器可以發(fā)布ucode ID并解析它們,返回設(shè)備信息�,就像DNS服務(wù)器將唯一URL解析為IP地址一樣。
MAC地址所有具有網(wǎng)絡(luò)連接的設(shè)備都為每個網(wǎng)絡(luò)接口分配了一個MAC地址�。MAC地址是唯一的,并且已批量分配給設(shè)備制造商�,然后由設(shè)備制造商來確保他們將批次中的編號分配給設(shè)備,以使每個設(shè)備只有一個唯一的編號MAC地址��。
(2)身份認證技術(shù)
將認證功能前移實現(xiàn)接入認證�����,或者構(gòu)建二次認證體系實現(xiàn)再次認證�。對于二次認證,根據(jù)邊緣計算及業(yè)務(wù)平臺的特點����,認證可以駐留在邊緣網(wǎng)關(guān)、邊緣云��、業(yè)務(wù)數(shù)據(jù)中心等不同的位置����,以滿足實際認證在性能、時延等方面的需求��。
(3)可信免疫技術(shù)
基于可信計算技術(shù),對監(jiān)控終端����、邊緣計算平臺、云平臺建立可信免疫體系�����,保證設(shè)備計算環(huán)境��、業(yè)務(wù)應(yīng)用的安全可信����,防止針對設(shè)備、節(jié)點���、數(shù)據(jù)��、業(yè)務(wù)的非法篡改和偽造�����。
(4)安全隔離技術(shù)
AIoT與邊緣計算往往伴隨云、虛擬化等應(yīng)用�����,在進行安全防護時,應(yīng)當基于密碼技術(shù)進行安全隔離����,確保邊緣物理資源及虛擬資源的安全。如果AIoT與邊緣計算平臺規(guī)模較大��,存在著敏感區(qū)域及非敏感區(qū)域����,可以使用網(wǎng)閘技術(shù)對物理網(wǎng)絡(luò)進行隔離,防止敏感信息外泄�。由于輕量化部署原因,AIoT與邊緣計算往往采用Docker容器承載業(yè)務(wù)資源���。Docker容器基于進程安全���,其隔離性較差,存在著非法資源訪問�����、數(shù)據(jù)泄露等風(fēng)險�����,應(yīng)當基于密碼技術(shù)實現(xiàn)Docker安全域保護、Docker資源訪問控制�����、敏感數(shù)據(jù)密碼保護等����,保障Docker虛擬化安全。
(5)DDos防護���、Web漏洞防護
從攻擊者來看�,傳統(tǒng)的安全包括挖漏洞�����、軟件漏洞����、系統(tǒng)漏洞、業(yè)務(wù)模型漏洞等�����。但現(xiàn)在會增加新的攻擊�,比如基于傳感器的,基于硬件fresh提取的����,這都是基于硬件等方面要求。對于AI模型這塊的攻擊���,需要有對抗樣本的能力���,要有惡意數(shù)據(jù)級的構(gòu)造能力。在通訊層基于SSL加密通訊機制��,提供Mesalink��,DNS反劫持���。
(6)視覺物聯(lián)網(wǎng)數(shù)據(jù)安全
中國國家標準化管理委員會發(fā)布的《GB35114公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》強制性國家標準是應(yīng)對目前視覺物聯(lián)網(wǎng)安全風(fēng)險的一種解決方案��。GB35114標準是密碼技術(shù)與視頻監(jiān)控相關(guān)技術(shù)高度融合的產(chǎn)物���,原始視頻數(shù)據(jù)壓縮后使用密碼進行直接加密,這種加密方法較為直接,且不因任何視頻數(shù)據(jù)的特性而改變加密對象�����,加密過程在壓縮編碼過程之后進行����。
此外,加密算法的不同工作模式產(chǎn)生和使用密鑰的方法也是不一樣的�����;加密算法常見的加密模式有OFB模式�、CFB模式、CBC模式��、ECB模式等�����。這些工作模式的主要方法通常都是基本密鑰����、反饋和簡單運算的組合,國標明確要求對稱密碼算法使用SM1���、SM4分組密碼算法OFB模式�����。
GB35114主要應(yīng)對視覺物聯(lián)設(shè)備被非法劫持風(fēng)險����、視頻信息泄露風(fēng)險��、視頻信息被非法篡改風(fēng)險�����。在監(jiān)控行業(yè)��,編碼標準一直是一個被反復(fù)探討的焦點問題�����,GB35114的安全實現(xiàn)與編碼標準技術(shù)密切相關(guān)��。
目前安防領(lǐng)域應(yīng)用最為廣泛的編解碼標準就是H.264�����。這個標準是由ITU-T(國際電信聯(lián)盟通信標準部)和ISO/IEC(國際標準化組織/國際電工技術(shù)委員會)合作開發(fā)的。采用了多參考幀的運動補償���、變塊尺寸運動補償��、幀內(nèi)預(yù)測編碼等一些新特性���。以其較其他編碼標準具備更高的視頻質(zhì)量和更低的碼率,從而結(jié)束了視頻壓縮多標準的時代�,使整個安防行業(yè)標準趨向統(tǒng)一,為視覺物聯(lián)網(wǎng)的網(wǎng)絡(luò)互聯(lián)提供了基礎(chǔ)����。
鑒于H.264是面向廣播電視和即時通訊等專業(yè)領(lǐng)域的編解碼技術(shù),在安全防范領(lǐng)域直接使用還是有些不適應(yīng)性���,主要表現(xiàn)在:
①沒有考慮對智能分析和機器識別的支持����。
②缺少對監(jiān)控專用信息(如絕對時間�����、智能分析結(jié)果等)的支持���。
③對視音頻內(nèi)容的真實性�����、完整性和安全性保護不足����。
SVAC標準因其“專為安防制定”,SVAC技術(shù)也成為應(yīng)對視覺物聯(lián)網(wǎng)安全風(fēng)險的一種很重要的技術(shù)手段��。具備以下幾點不可替代的優(yōu)勢:
①加密認證���、高安全:SVAC標準規(guī)定了加密和認證接口及數(shù)據(jù)格式,保證數(shù)據(jù)的安全性��、完整性�、非否認性。密碼不是編到視頻信息里���,提取時需要輸入認證數(shù)據(jù)�����,既保證格式的統(tǒng)一�����,便于互聯(lián)互通��,也保留足夠的擴展靈活性�����。
②感興趣區(qū)域(RIO)編碼:圖像分為若干個感興趣區(qū)域和一個背景區(qū)域����,在重點監(jiān)控區(qū)域保證實時視頻信息,幀率較高�����,節(jié)省非感興趣區(qū)域的開銷��。
③視頻信息嵌入:編碼算法不是簡單的字符疊加����,聲音識別特征參數(shù)、特殊事件��、時間等信息都可嵌入編碼里��,在不解開視頻的前提下,可輸入關(guān)鍵信息量直接調(diào)出某段視頻��,針對性地提取����、解碼,便于快速檢索�、分類查詢、視音頻同步和監(jiān)控數(shù)據(jù)的綜合應(yīng)用���。
來源:中國安防
在線咨詢
在線咨詢
0371-63319761