智能家居安全綜述

王基策 李意蓮 賈 巖 周 威 王宇成 王 鶴 張玉清,

1(中國科學院大學國家計算機網絡入侵防范中心 北京 101408)2(西安電子科技大學網絡與信息安全學院 西安 710071)

信息通信產業歷經互聯網時代、移動互聯網時代，正在走向物聯網時代，這將帶來更多創新應用與發展.其中智能家居是物聯網技術運用的典型代表，智能家居以家庭住宅為平臺，利用物聯網技術將家居生活有關的設施集成，為人們提供舒適、便利、安全和娛樂的居住環境.2012年工業和信息化部就將智能家居列入“物聯網十二五發展規劃”的九大重點產業[1].目前智能家居產業呈現出快速發展態勢,根據Strategy Analytics的統計數據顯示，2017年全球智能家居市場規模達到840億美元，預測2018年將高達960億美元，并在未來5年內持續增長，2023年將增長至1 550億美元[2].

智能家居的發展為人們帶來了諸多益處，但同時也面臨著嚴重的安全問題.智能家居系統的安全漏洞將不僅給用戶帶來隱私泄露風險，還可能造成用戶財產損失，甚至威脅用戶人身安全.例如竊賊可以通過控制智能門鎖進行盜竊活動，縱火犯可以通過控制智能烤箱致使受害者遭受火災威脅，僵尸網絡的控制者還可以利用智能攝像頭、智能網關、智能家電等設備發動大規模 DDOS 攻擊[3].

通過調研2014—2018年網絡與信息安全領域四大頂級會議S&P(IEEE Symposium on Security and Privacy)，CCS(ACM Conference on Computer and Communications Security)，Security(Usenix Security Symposium)，NDSS(ISOC Network and Distributed System Security Symposium)論文，我們發現智能家居安全相關研究成果逐年增多.圖1展示了相應變化趨勢，并可看出在近2年相關研究呈現爆發趨勢.經過分析與總結，現有研究尚存在一些局限性，大多數研究側重于挖掘智能家居系統安全漏洞，分析安全威脅，但研究僅關注于系統的單一層次或環節.同時智能家居安全防護的研究文獻較少，且大多數研究成果適用范圍較窄，應用價值不高.此外，目前關注于智能家居安全領域的調研綜述或報告極少[4-7]，并且存在著調研范圍窄、揭示問題不深、跟蹤最新成果不及時等問題.為了便于研究者深入了解智能家居安全問題并進一步開展研究工作，本文對智能家居安全研究現狀進行了深入分析，指出了智能家居安全面臨的挑戰和機遇以及未來的研究方向.

Fig. 1 Number of smart home security papers in the top4 security conferences圖1 四大安全頂會智能家居安全論文統計

本文主要貢獻包括3個方面：

1) 分析了智能家居的發展歷程與現狀，總結并介紹了當前智能家居系統架構.

2) 深入調研了近幾年國內外智能家居安全研究文獻，從平臺安全、設備安全和通信安全這3個方面介紹并總結了智能家居安全研究現狀.

3) 通過分析智能家居的安全問題以及現有研究工作的不足，指出了智能家居安全研究中面臨的挑戰與機遇，并為相關研究者指出了未來的熱點研究方向.

1 背景介紹

1.1 智能家居發展歷程

智能家居起源很早：20世紀80年代初，隨著大量采用電子技術的家用電器面市，住宅電子化開始實現；80年代中期，將家用電器、通信設備與安全防范設備各自獨立的功能綜合為一體，形成了住宅自動化概念；至80年代末，由于通信與信息技術的發展，出現了通過總線技術對住宅中各種通信、家電、安防設備進行監控與管理的商用系統，這在美國被稱為Smart Home，就是現在智能家居的原型.進入21世紀后，智能家居的發展更為多樣化，技術實現方式也更加豐富.總體而言，智能家居發展大致經歷了4代：第1代主要基于同軸線兩芯線進行家庭組網，實現燈光、窗簾控制和少量安防等功能；第2代主要基于RS-485線，部分基于IP技術進行組網，實現可視對講、安防等功能；第3代實現了家庭智能控制的集中化，實現安防、控制、計量等業務；第4代基于全IP技術，終端設備基于Zigbee、藍牙等技術，業務提供采用“云”技術，并可根據用戶需要實現定制化、個性化[8].

目前，智能家居發展正處于第4代，市場上涌現了數量龐大的智能家居平臺廠商，據不完全統計已經超過120家[9].眾多國際互聯網巨頭如蘋果、亞馬遜、三星等[10-12]均推出了智能家居平臺，為傳統硬件廠商提供智能化解決方案.國內企業如小米[13]也在積極推進智慧生活落地，更是聯合百度以AI+IoT構建生態體系，讓人們智慧生活成為可能.

1.2 智能家居系統架構

目前，盡管智能家居平臺廠商數量眾多，卻遵循著相似的系統架構.如圖2所示，智能家居系統主要由終端設備、移動App、物聯網云端、通信網絡4部分組成.各種各樣的終端設備與物聯網云端聯通，一部分終端設備可直接接入有線或無線網絡從而與云端聯通，另一部分設備由于缺乏直接接入互聯網的通信接口，從而以網關或智能手機為跳板與云端聯通.聯通后，設備會將自身感知或收集到的數據發送至云端，云端對數據進行存儲、管理與分析處理.

Fig. 2 Smart home system architecture圖2 智能家居系統架構

1.2.1 智能家居平臺

智能家居平臺是為方便終端設備接入，加快智能家居應用發展而構建的消費領域平臺.在智能家居系統架構中，移動App及物聯網云端屬于平臺的一部分，它們的主要功能包括：

1) 云端數據聚合與分析.平臺將從設備端收集到的數據進行存儲及智能分析處理.

2) 管理、控制和協調不同的設備、系統和服務.平臺提供認證管理功能，防止非法設備接入平臺；平臺提供設備控制功能，用戶可通過平臺提供的移動App控制終端設備；平臺協調不同的終端設備，提供了設備聯動(trigger-action)功能，設備之間可通過用戶預先設置的規則自動化調用.

1.2.2 終端設備

智能家居系統中的終端設備是最終服務于用戶并提供家居服務的實體，不同設備為人們生活提供了不同的服務.在一些研究中，從實施信息安全機制硬件資源多少的角度出發，將終端設備分為受限設備和能力設備2類[14-15].

1) 受限設備.指功率、計算、存儲或通信資源有限的設備，例如智能燈泡、智能電表、傳感器等，由于設備資源的約束，對安全機制的實施帶來了限制.

2) 能力設備.指由主電源供電、具有足夠的計算、存儲和通信資源的設備，例如家庭網關、電視等.由于資源充足，安全機制可以得到較好實施.

1.2.3 通信網絡

在智能家居中，設備與云端、設備與設備之間使用了多種協議進行通信，我們按照TCP/IP協議分層模型對其進行分層，常用的網絡通信協議如圖3所示.

1) 物理與鏈路層.關注網絡節點間的數據通信及接口技術，包括以太網、WiFi,IEEE 802.15.4等協議.

2) 網絡層.確定分組從源端到目的端的路由選擇，包括IP,6LowPan等協議.

3) 傳輸層.負責實現端到端的通信.最著名的2個互聯網協議TCP和UDP就位于這一層.

4) 應用層.負責定義數據格式并解讀數據，實現應用程序到應用程序間的通信.大部分平臺支持HTTP協議，但為了更高效快速地交換數據，MQTT[16](Message Queuing Telemetry Transport)，CoAP[17](Constrained Application Protocol)，AMQP(Advanced Message Queuing Protocol)，XMPP[18](Extensible Messaging and Presence Protocol)等協議也被廣泛應用.應用層支持的協議較多，在智能家居系統設計時，需考慮實際場景的通信需求，選擇合適的應用協議.

Fig. 3 Communication protocol of smart home圖3 智能家居中常用通信協議

不同層次的協議可以組合起來形成協議棧，目前常用的協議棧包括Bluetooth,ZigBee等.其中，ZigBee以其低成本、低功耗、自組網、安全性高的特性成為工業控制領域和智能家居領域中最流行的協議之一，例如飛利浦的生態系統已全面支持ZigBee3.0[19].

2 智能家居安全研究現狀

除了網絡與信息安全領域四大頂級會議外，本文還調研了2013年1月到2018年6月智能家居安全領域的高引論文、預印本數據庫arXiv論文以及中國計算機學會CCF A類和CCF B類會議與期刊論文，我們將目前智能家居安全研究分為三大方面：平臺安全、設備安全和通信安全.平臺安全是指智能家居平臺廠商在平臺設計與實施中存在的各類安全問題，設備安全是指與智能家居終端設備直接相關的安全問題，通信安全是指與網絡通信相關的安全問題.在表1中列出了各方面的研究問題，并以此分類為主題介紹智能家居系統安全問題與研究現狀.

Table 1 Smart Home Security Research Issues表1 智能家居安全研究問題

2.1 平臺安全

通過第1節介紹可知，平臺聯系著各種各樣的智能家居設備與服務.平臺的安全問題將會對廠商的智能家居生態帶來嚴重威脅，會影響該平臺下所有的設備及終端用戶，因此平臺是智能家居安全研究的重點.研究發現：平臺的安全問題主要存在于以下方面：智能家居用戶身份認證、智能家居設備訪問控制、設備聯動安全以及智能音箱安全.

2.1.1 智能家居用戶身份認證

認證技術是信息安全理論與技術的一個重要方面.在智能家居系統中，用戶身份認證的主要目的是驗證設備使用者的身份，防范非法用戶對智能家居設備進行操控.

智能家居系統中認證機制的缺失會對用戶安全與隱私造成極大危害.例如由于智能音箱缺乏對使用者聲音的認證，研究人員發現電視里播放的漢堡王廣告可以觸發Google Home音箱的語音控制指令，使其訪問維基百科網頁[20]；卡通動畫南方公園可以觸發Amazon Echo，使其訪問Amazon商城并自動填滿用戶購物車[21]；甚至，攻擊者可以通過將惡意語音命令嵌入歌曲中完全控制用戶的語音助手或智能音箱[22].此外，Zhang等人[23]研究發現現有平臺的認證機制存在安全漏洞，攻擊者能夠發動設備偽造攻擊，導致家庭局域網WiFi密碼泄露.

研究人員設計了多種多樣的身份認證方案.早期的研究工作關注于設計安全的身份認證協議.Liu等人[24]設計了一套基于橢圓曲線密碼系統(elliptic curve cryptography, ECC)的認證協議，能夠有效抵御竊聽、重放、中間人等攻擊.John等人[25]提出了一套基于設備自身獨特物理特性(physical unclonable functions, PUF)算法的安全協議，用于設備注冊、認證、解密以及數字簽名生成，該協議能夠安全有效地部署在受限功率和資源的智能家居設備上.另一部分研究工作關注于設計適用于智能家居場景下的認證方式，在表2中對這些工作進行了對比分析.Vaidya等人[26]提出了基于智能卡的密碼認證方案，該方案的缺點是需要額外的智能設備且難以抵御智能卡的遺失與竊取.Feng等人[27]為語音助手設計了一個基于語音的認證方案，該方案需要可穿戴設備支持.Zhang等人[23]設計了基于近鄰的設備認證方案，要求用戶手持智能手機在智能家居設備附近完成移動或旋轉操作，實現了手機與設備間的相互認證，該方案能夠有效抵御攻擊者進行側信道攻擊.Han等人[28]提出了一個基于上下文的設備配對方案，它使用固定時間內傳感器測量信息作為密鑰協商協議的秘密，實現了智能家居場景下不同設備的自動配對.

Table 2 Comparison and Analysis of Existing Identity Authentication Schemes表2 現有身份認證方案對比分析

在智能家居場景下，實施身份認證機制對于保護用戶安全與隱私十分必要.由于許多智能家居設備缺乏屏幕、鍵盤等輸入方式，以往基于口令的身份認證機制難以實施，故目前大部分研究工作關注于如何設計有效的設備身份認證方式.第1類方法需借助智能卡、可穿戴設備等額外設備支持，實施起來不夠便利；第2類方法利用智能手機作為設備認證的中介，他們研究智能手機與設備之間的認證方式，而手機與平臺間的認證仍使用基于口令的認證方式.然而，目前的研究均未考慮智能家居設備使用場景，智能家居設備通常由多個用戶共同使用，如何對不同身份的用戶進行認證及身份管理還需深入研究.

2.1.2 智能家居設備訪問控制

目前，大部分智能家居平臺(例如Samsung Smart-things,Apple Homekit,Google Weave/Brillo)為第三方開發者提供了編程框架，使得第三方開發者可以開發移動App用于控制相應的智能家居設備.在此情景下，訪問控制機制扮演了重要角色，它們決定了移動App如何訪問敏感資源.研究人員對現有平臺的訪問控制機制進行研究，發現其存在安全缺陷.Fernandes等人[29]分析了SmartThings平臺，發現其權限模型粒度過粗，應用能夠獲得超出用戶期望的過度授權，從而有可能對用戶生命財產造成威脅.

現階段，已有一些研究工作關注于如何設計更加安全的訪問控制機制.為應對權限粒度過粗問題，Lee等人[30]設計了一個基于設備功能的訪問控制系統，相比基于權限的訪問控制系統粒度更細.2017年Jia等人[31]提出了基于上下文的權限控制系統ContexIoT，提供細粒度的上下文來鑒定敏感動作以及帶有上下文信息的運行時提示來幫助用戶進行訪問控制，但是提示過于專業化，難以被用戶理解使用.2018年Rahmati等人[32]設計了一個基于風險的權限訪問控制，它將設備操作按其風險相似度分組，并以組為單位授予相應的訪問權限.通過實驗，證明該方案能夠顯著降低安全風險.除了直接關注訪問控制機制設計，為應對App的描述與其實際操作不符的安全隱患，Tian等人[33]設計了一種以用戶為中心、基于語義的智能授權系統SmartAuth，能自動地從智能家居App的自然語言描述、程序、和注釋中提取安全相關信息并生成授權用戶接口，使得設備訪問符合用戶期望.為防范惡意應用獲得用戶授權之后訪問并竊取敏感數據，Fernandes等人[34]設計了一個基于標簽的信息流控制系統，使用污點追蹤方法限制敏感數據流出，但該方法未考慮側信道分析問題.

智能家居場景下越權訪問的危害較智能手機更為嚴重，對不同智能家居平臺的訪問控制機制進行深入分析尤為必要，然而目前研究局限于Smart-Things平臺，對其余平臺的分析仍非常缺乏.目前許多研究工作致力于彌補權限訪問控制模式下權限粒度過粗的問題，主要思想是將設備按其功能或風險進行分組，并以組為單位授予不同的訪問權限.此外，還有一些工作不再局限于訪問控制方案設計，而是關注于如何限制惡意應用對敏感資源的訪問，研究包括如何防止惡意應用獲得敏感訪問權限、如何在惡意應用獲得訪問權限之后保護敏感資源等問題.總的來說，研究人員從不同角度對智能家居設備訪問控制機制展開了研究，然而智能家居系統應用場景多樣復雜，如何設計細粒度的訪問控制方案、如何對設備聯動(trigger-action)操作、多用戶使用設備等場景設計訪問控制方案均需要進一步研究.

2.1.3 智能家居設備聯動安全

智能家居設備聯動是一種自動化的設備使用模式，它使得智能家居設備不僅僅可以通過手機或音箱進行控制，還可以使用用戶預先定義的觸發規則，使得設備之間進行聯動操作.例如用戶可以自定義聯動規則，當檢測到空氣中的一氧化碳超標時，就觸發家中所有的燈變為紅色，或檢測到PM2.5時開啟空氣凈化.許多智能家居平臺以及第三方自動化平臺(If-This-Then-That(IFTTT)[35],Zapier[36]和Microsoft Flow[37])支持設備聯動，這些平臺也擁有訪問用戶在線服務和物理設備的特權，一旦被攻陷，攻擊者便能任意竊取數據并操作設備.

目前，一些研究者對使用此平臺的安全與隱私問題展開了研究.Fernandes等人[38]分析了包括IFTTT平臺在內的7個聯動平臺(trigger-action platform)，發現攻擊者可能獲得過度授權的OAuth令牌從而對設備進行提權攻擊，為此作者設計了一個去中心化的聯動平臺，使得攻擊者無法使用與用戶定義規則不一致的OAuth令牌.不僅聯動平臺設計存在缺陷，用戶自定義的聯動規則也潛藏風險，Surbatovich等人[39]構建了一個信息流模型用于評估用戶自定義聯動規則的安全性，發現50%的規則存在安全風險，其不僅給個人使用帶來不便，還能夠被攻擊者用于分發惡意軟件或者發動拒絕服務攻擊.文獻[40-41]研究了聯動規則錯誤檢測技術，文獻[42]發現了一類由于觸發條件不足導致的聯動規則錯誤，之后開發了TrigGen技術用于自動生成正確的聯動規則.

隨著智能家居設備功能的不斷增多，設備聯動的使用情景也將愈加豐富，許多研究工作關注于設備聯動規則的合理性和安全性，他們分析了聯動規則的安全問題，開發出了相應的分析工具，并進一步設計出自動化的聯動規則生成工具，對于幫助用戶構建安全的設備聯動場景具有重要意義.但另一方面，對于設備聯動平臺的分析還較為欠缺.大部分智能家居平臺支持設備聯動操作，而各自方案實現存在差異，研究人員需更加深入挖掘現有聯動平臺的安全威脅并設計相應的安全防護方案.

2.1.4 智能音箱安全與隱私

語音識別技術在近幾年取得了顯著進步，生產廠商通過將語音識別模塊與傳統音箱結合，創造出智能音箱這一新的產品，其典型代表是Amazon Echo、Google Home、天貓精靈、小米AI音箱等.在家居生活中，通過語音控制智能家居設備是最自然、高效的一種方式，人們通過與智能音箱進行語音交互，可以點播歌曲、上網購物，還可以對智能家居設備進行控制，比如打開窗簾、打開電燈、設置冰箱溫度等，其已經成為與移動App并駕齊驅的智能家居控制中心.一旦攻破智能音箱，攻擊者可以完全控制家庭中所有智能家居設備，為智能家居安全帶來了極為嚴重的威脅.

近年來，研究者開始關注于語音識別以及智能音箱的安全與隱私問題.其研究重點一方面為構造惡意的語音樣本攻擊語音識別系統，另一方面為研究智能音箱控制系統的漏洞.Zhang等人[43]使用人耳無法聽到的超聲波指令攻擊智能音箱的語音識別系統，從而能夠使用任意命令完全控制音箱.其優點是人耳無法聽見，缺點是攻擊距離較近，僅為5英尺(1.524 m).Roy等人[44]將攻擊距離提高至25英尺(7.62 m)，使得攻擊更易實現，同時還為此類攻擊提供了防御方案.文獻[45-46]觀察到語音識別系統依靠音頻中提取的語音特征識別語音信息，從而首次生成了機器可以識別而人耳無法分辨的惡意語音命令，其缺點是生成的語音對于人類如噪聲一般毫無意義.Yuan等人[22]對此進行了改進，他們利用語音識別系統中人工智能算法的漏洞，將控制指令嵌入到歌曲中，構造成惡意的對抗樣本欺騙語音識別系統，從而控制智能音箱.該優點是人耳同樣無法識別，缺點是攻擊條件較為苛刻，必須誘使被攻擊者播放惡意樣本.Zhang等人[47]研究智能音箱語音命令的相似度，發現可以通過構造惡意語音命令以劫持用戶發出的正常語音命令，從而竊取用戶的談話數據.

智能音箱將在智能家居系統中扮演越來越重要的角色，也將成為安全研究的熱點.目前的研究大部分關注于構造用戶無法分辨的惡意語音樣本，可將其分為2類：1)用戶聽不見聲音，2)用戶聽不出命令.構造以上2類惡意樣本利用了智能音箱不同模塊軟件或硬件的安全漏洞，而智能音箱系統復雜，系統的任一層次與環節都可能潛藏著安全漏洞，如何挖掘音箱的安全漏洞并設計相應的防護方案仍需要深入研究.除此之外，智能音箱還能夠聽取家居生活的各種對話或聲音，如何防范智能音箱竊取用戶隱私數據，發現隱私泄露風險點并設計防護方案也亟待研究.

2.2 設備安全

2.2.1 智能家居設備漏洞挖掘

智能家居設備多種多樣，智能設備安全漏洞的數目也十分驚人且危害非常嚴重，其不僅使攻擊者能夠以本地或遠程的方式控制設備，竊取用戶隱私數據，甚至還會威脅人身及財產安全.根據國家互聯網應急中心(CNCERT)發布的《2017年我國互聯網網絡安全態勢綜述》顯示，2017年國家信息安全漏洞共享平臺(CNVD)收錄的安全漏洞中關于聯網智能設備(此統計中聯網智能設備指物聯網設備)安全漏洞有2 440個，同比增長高達118.4%[48]，漏洞類型分布如圖4所示:

Fig. 4 Type distribution of smart device vulnerabilities圖4 智能設備漏洞類型分布

目前，在學術界也有許多研究工作關注于智能家居設備安全漏洞挖掘與分析.研究集中于設備固件安全，Ur等人[49]發現了Philips Hue照明系統和Kwikset智能門鎖存在訪問控制問題，影響設備的基本使用.Ronen等人[50]發現了智能燈泡的安全漏洞并對其實施了擴展功能攻擊，它可以竊取用戶隱私，此外更嚴重的是攻擊者可以控制智能燈泡發光的顏色、強度和頻率，這可能誘發患有光敏性癲癇病的人癲癇發作.

現階段許多研究工作局限于分析單一設備漏洞，而針對智能設備固件進行系統性安全分析與漏洞挖掘的研究尚處于起步階段，在表3中對現有工作進行了對比分析.2015年Shoshitaishvi等人[51]發表了關于二進制固件中認證繞過漏洞檢測的文章，該文提出了一個二進制分析框架Firmalice，用于檢測二進制固件中存在的認證繞過漏洞.然而，該文只對3種商用設備的固件進行了分析，數據集不夠豐富；同時它在檢測每個固件樣本時，需要安全分析人員事先對固件進行分析來提取一份安全策略，嚴重降低了工具的自動化性能.2016年Subramanyan等人[52]對固件中的安全屬性進行了研究.他們通過符號執行來檢測檢測固件信息流的安全性，通過對商業系統芯片設計的評估，發現了仿真測試漏掉的復雜安全漏洞.2017年Hernandez等人[53]開發了一個針對USB的特定固件分析框架FirmUSB，使用USB協議的領域知識檢查固件文件并分析它們可以產生的活動，基于特定的領域知識他們開發了定位算法，相比于無約束的完全符號執行，其速度增長了6倍.2018年Muench等人[54]分析了模糊測試設備固件時面臨的主要挑戰，隨后提出6個能夠用于挖掘內存破壞漏洞的啟發式方法，實驗驗證了這些方法的有效性.同年，Chen等人[55]觀察到大部分智能家居設備由移動App控制，從而在App端生成畸形數據對設備進行模糊測試，克服了固件獲取與分析的難題.

漏洞廣泛存在于智能家居設備，尤其是設備固件之中.現階段一些研究工作結合了固件逆向分析、通信協議分析、模糊測試等方法挖掘設備固件漏洞，但其研究多局限于單一設備分析.系統性的挖掘固件漏洞是研究的努力方向，主要方法是將模糊測試、符號執行、污點分析等常用漏洞挖掘技術應用于設備固件分析，但目前研究尚在起步階段.對于靜態符號執行、靜態污點分析等靜態分析技術，目前尚缺乏對于ARM架構和其他輕量級架構的支持.對于模糊測試技術，現有研究的阻礙在于無法對輕量級固件進行模擬執行，因而難以監控固件運行情況，模糊測試難以實施.以上問題均需要研究人員深入研究并開發出相應工具.

Table 3 Comparison and Analysis of Existing Vulnerability Discovery Technology of Firmware表3 現有設備固件漏洞挖掘技術對比分析

2.2.2 智能家居設備側信道分析

側信道攻擊是針對電子設備在運行過程中的時間消耗、功率消耗或電磁輻射之類的信息進行攻擊的方法.智能家居的設備接收、交換、傳輸有關用戶家庭環境和個人活動的各種數據.然而，智能設備在執行這些特定的數據任務時往往會伴隨著一些物理現象，這使得他們很容易受到側信道攻擊.通過調研近幾年的智能家居平臺下的側信道攻擊文獻，本文將智能家居平臺下的側信道攻擊劃分為設備攻擊和網絡通信攻擊2種.

1) 設備攻擊.設備攻擊是通過破解智能設備在使用過程中產生的如聲音、光線、溫度等物理現象來獲取用戶的隱私信息.在文獻[56]中，作者成功地在幾秒鐘時間內利用光線變化識別出70 m外的電視播放內容.Barbosa等人[57]發現可以通過觀察智能電表的細粒度的儀表讀數來推斷出住戶的特定的活動或行為模式.

2) 網絡通信攻擊.當設備與設備或設備與云端進行網絡通信時，帶寬、流量的消耗可能會發生變化，攻擊者通過分析這些信息的變化來獲取相關的隱私數據.Fafoutis等人[58]發現可穿戴設備中傳感器收集的身體活動水平信息與無線信道的變化密切相關，而無線信道的變化恰好可以通過測量被竊聽幀的信號強度來捕獲，因而佩戴者的身體活動信息通過物理層泄露給竊聽者.Copos等人[59]發現可以使用流量分類技術來推斷建筑物內發生的事件，通過分析Nest恒溫器及煙霧二氧化碳檢測器的網絡流量信息獲取家中的敏感信息.目前，視頻監控已被廣泛采用以確保家庭安全，大多數的視頻編碼采用差分編碼來有效壓縮視頻流.Li等人[60]發現即使是加密的視頻流，在進行差分編碼壓縮時也會導致旁道信息泄露.攻擊者可以根據加密視頻流的流量大小數據來容易地推斷用戶的日常生活的基本活動，并利用2個相機驗證了這種攻擊的可行性.

智能家居的出現給我們的生活帶來了極大的便利.智能設備大多通過攝像頭、麥克風、運動探測器等傳感器來收集信息以便為人們提供更有用的服務，但是，設備在收集和傳輸信息的同時也可能增加了隱私安全風險.目前發現的攻擊主要是針對設備自身特性和網絡通信2方面進行分析，從而獲得用戶的隱私信息.智能家居的隱私泄露已經成為其被廣泛應用的重要阻礙之一，用戶對分享家庭活動的信息仍存在不同的擔憂.因此，如何有效地抵抗側信道分析攻擊并提出切實可行的用戶隱私保護方案至關重要.

2.3 通信安全

2.3.1 協議漏洞挖掘

通信協議安全是用戶敏感信息傳輸保護的基礎，發現通信協議的安全問題一直是網絡安全研究的重點.在智能家居安全研究中，研究者主要關注于流行的ZigBee,Bluetooth等協議以及常用的MQTT,CoAP等應用層協議在配置和實施中的安全問題.

1) 物理層安全漏洞.物理層的協議主要解決的是物體互聯以及接入網絡的問題.其常用的協議有ZigBee、WiFi、藍牙等.Cognose公司[61]在2015年的黑客大會中指出由于ZigBee的標準協議支持不安全的初始密鑰的傳輸，再加上部分制造商直接使用默認的鏈路密鑰，使得黑客有機會從外部嗅出網絡的交換密鑰；為了將新設備快速接入到ZigBee網絡，ZigBee技術提供了輕觸連接調試模式，Armknecht等人[62]指出這種調試是不安全的，并利用該漏洞實現了對設備接管和數據的獲取.Mathy等人[63]采用“KRACK”密鑰重裝攻擊演示了對WPA2的攻擊，該攻擊可攻陷所有的WiFi網絡.通過這種新型攻擊，攻擊者能夠讀取安全加密的信息.Qu等人[64]揭露了部分通信協議在特定場景下使用是存在安全問題，例如在自動打開智能鎖這一場景下，使用藍牙低功耗(BLE)的傳輸范圍作為物理鄰近的驗證是極為不安全的.Fouladi等人[65]發現Z-Wave在應用于智能門鎖時存在漏洞，利用該漏洞可以繞過密碼直接打開門鎖.Aghili等人[66]證明了超輕量級RFID并不安全，并實現了對該協議的DOS和去同步攻擊.通過去同步攻擊，攻擊者可以得到用戶隱私數據.

2) 應用層協議安全漏洞.應用層的協議主要是用于應用之間的數據交換.MQTT協議是一個即時通信的協議.Andy等人[67]演示了多種針對MQTT協議的數據完整性、數據隱私和身份認證的攻擊方案，如：對連接在MQTT公共服務器的客戶端進行拒絕服務、嗅探及修改網絡數據包等攻擊.CoAP協議是一種專門針對受限設備的傳輸協議，并很容易被轉換成HTTP協議來與Web應用集成.Rathod等人[68]發現CoAP代理存在安全漏洞，在其中以明文格式轉換的數據易受攻擊.

目前，智能家居設備通信沒有統一的標準，各類協議都有各自的應用場景.智能家居平臺常在配置和實施這些協議時產生不規范行為，從而引發安全漏洞.隨著智能家居的流行，智能家居生產企業應更加重視協議的規范使用，研究者也需深入研究適用于智能家居場景的輕量級通信協議.

2.3.2 智能家居網絡流量分析

網絡流量分析是計算機信息安全研究的一個重要方法，它將一組設備產生的網絡流量作為輸入，將與這些設備、用戶、應用程序或流量本身有關的信息作為輸出.分析智能家居系統的網絡流量，了解網絡流量特征與設備行為之間的關系，能夠評估智能家居系統的安全狀況，管控智能家居設備隱私泄露，緩解智能家居系統安全威脅，在網絡層對智能家居系統進行安全管理.

智能家居系統網絡流量分析的研究尚在起步階段.Amar等人[69]分析了智能家居設備的網絡軌跡，并構建了一套設備行為指紋識別方法，從而能夠評估設備的隱私安全風險.DeMarinis等人[70]則根據網絡流量分析結果構建了一套基于策略的惡意流量限制框架，能夠提供智能家居系統網絡層的安全性.

目前，智能家居系統網絡流量分析相關研究仍不夠深入，關鍵問題在于如何模擬真實的智能家居系統并得到大規模的網絡數據，從而提高分析結果的準確性.

3 挑戰與機遇

在深入調研現階段智能家居安全在平臺安全、設備安全、通信安全3方面研究現狀的基礎上，指出智能家居安全面臨的六大挑戰，并給出可用于應對這些挑戰的安全技術機遇，其對應關系如表4所示:

Table 4 Security Research Challenges and Opportunities of Smart Home表4 智能家居的安全研究的挑戰與機遇

3.1 用戶身份認證缺失

智能手機、平板電腦和智能手表等傳統設備通常僅由單一用戶使用，因而僅需完成單一用戶身份認證.然而，在智能家居場景下，多個用戶會與單個智能家居設備進行交互，例如家庭的共享語音助手和互聯網門鎖均由多人使用.因此在多用戶場景下，如何對用戶身份進行認證成為了前所未有的研究問題.同時，智能家居設備多為輕量級設備，它們缺乏屏幕、鍵盤等人機交互設施，這也為認證方案的設計帶來了極大的挑戰.

3.2 訪問控制機制缺陷

設計良好的訪問控制機制能夠有效地保護設備敏感資源.然而目前各智能家居平臺的訪問控制機制以智能手機的權限模型為基礎，存在著權限粒度過粗的問題，威脅設備使用安全.如何對智能設備敏感資源和操作進行分類分級，從而劃分更細粒度的權限組，實施細粒度的訪問控制機制成為了亟待解決的一大挑戰.

3.3 設備聯動規則錯誤

現有的智能家居平臺均提供了設備聯動功能，用戶可根據自身需要對家中燈光、窗簾、空調等若干設備進行任意組合，形成自定義的設備聯動規則，也可使用其他用戶共享的聯動規則.然而，大量的設備聯動規則存在著安全風險，多個設備同時觸發執行多個操作可能存在著沖突及危險.設備聯動規則與用戶期望的智能家居使用情景一一對應，挖掘設備聯動規則的缺陷就需要充分考慮智能設備的功能特點，考慮設備組合使用的安全風險.然而智能家居設備數量眾多，功能各異，能夠組合變化出無數的使用場景，如何對設備功能組合進行抽象，并建立模型對設備聯動規則進行系統安全分析成為提高智能家居設備使用安全的一大關鍵挑戰.

3.4 大量存在的設備固件漏洞

智能家居設備中存在著大量的內存漏洞和邏輯漏洞，然而目前的研究工作局限于2個方面：1)僅能對某種架構的設備固件進行挖掘，缺乏對多元架構固件的支持[71]；2)僅能夠挖掘特定類型的內存漏洞或邏輯漏洞，漏洞挖掘的種類少，效率低.如何系統化的挖掘設備固件漏洞成為一大挑戰，主要困難在于目前基于模擬器、基于符號執行等固件分析技術都無法支持多元化的構架.此外，智能家居設備固件難以獲取，通常智能家居供應商不會公開其設備固件.若從主板中提取固件需要啟用調試端口，但是許多設備并不開放這些調試端口.

3.5 智能音箱語音識別漏洞

智能音箱逐漸成為智能家居系統的控制中心，其語音識別系統的安全漏洞成為了攻擊者關注的對象.然而語音識別系統的安全漏洞與傳統的軟件安全漏洞有所不同，其漏洞源自算法設計時的固有問題.例如目前的語音識別算法使用基于深度學習的語言模型，而深度學習算法存在誤分類問題，攻擊者能夠利用此特點構造惡意的語音對抗樣本，如何增強深度學習的泛化能力也是設計深度學習算法的一大挑戰.對于智能音箱的語音識別系統而言，語音識別系統包括了語音信號處理、特征提取、聲學模型處理、語言模型處理等步驟，各層次都可能存在安全漏洞，如何設計一套安全防護方案成為了更重大的挑戰.

3.6 通信協議安全漏洞

智能家居系統網絡通信協議的漏洞主要來自于應用層，各平臺在應用層設計了諸多不同的應用協議.一旦攻擊者發現協議層的安全漏洞，輕則可以進行信道竊聽，重則可以遠程控制設備.目前大部分智能家居設備為受限設備，它們的計算、內存、通信資源不足，因而如何設計輕量級的安全通信協議成為了保護智能家居安全的一大挑戰.

4 未來研究展望

根據第3節介紹的智能家居安全挑戰與機遇，結合智能家居安全研究現狀，我們指出4個未來的研究方向：

1) 多用戶場景下認證與訪問控制方案設計

隨著智能家居產業的快速發展，智能攝像頭、智能音箱、智能門鎖等設備逐漸走進人們的家庭.這些智能設備通常由家庭成員共同使用，在使用設備時需考慮對用戶身份進行認證，否則會引發潛在的安全風險.同時，不同身份的用戶應該被授予不同的訪問權限，例如孩子可以使用智能音箱播放歌曲，而不應使用音箱控制家中微波爐、烤箱等危險的電氣設備，成人則應擁有完全的使用權限.如何對多用戶身份進行認證，如何授予不同用戶訪問權限，如何撤銷、管理訪問權限，如何設計細粒度的訪問控制方案均需深入研究.

2) 設備聯動規則錯誤檢測

智能家居設備種類及功能不斷增加，設備聯動操作將覆蓋越來越多的家居生活場景，用戶根據生活需要也將自定義數目繁多的設備聯動規則.然而由于用戶經驗的不足，自定義的聯動規則本身即有可能對用戶安全與隱私造成威脅.同時，眾多的聯動規則之間可能存在沖突操作.如何檢驗聯動規則的安全性及合理性，如何檢測并消除聯動規則之間的沖突操作需要得到研究人員的重視.

3) 設備固件漏洞挖掘技術

智能家居產品及其漏洞數量巨大，能夠系統性的挖掘智能家居設備漏洞意義重大.現階段挖掘智能家居設備固件漏洞多依賴于人工分析設備固件，此種方法效率較低，而以往常用的模糊測試、污點分析、符號執行等漏洞挖掘技術均面臨著不同的挑戰，目前難以適用于固件漏洞挖掘.因此，如何構建固件模擬執行環境以利于動態漏洞挖掘，如何支持多元化架構的固件靜態分析以利于靜態漏洞挖掘成為了當前亟待解決的研究問題.

4) 智能音箱語音識別漏洞挖掘與防護

智能音箱成為了智能家居設備的控制中心，其存在的安全漏洞對智能家居安全造成了極大的威脅.研究人員已發現了一些智能音箱語音識別系統的安全漏洞，并利用這些漏洞生成了人耳無法辨別的惡意語音命令.然而，智能音箱識別語音命令需經過語音信號處理、特征提取、聲學模型處理、語言模型處理等一系列繁雜步驟，任一環節都可能潛藏安全漏洞，目前的研究尚不夠充分.另一方面，研究人員需設計出一套易于實施的安全防護方案，能夠高效的抵御惡意語音樣本攻擊.

5 總 結

關于智能家居系統安全的研究在逐漸增多，但其整體還處于起步階段.本文在調研大量智能家居安全論文后，首先介紹了智能家居的發展歷程及當前的系統架構.然后，我們以平臺安全、設備安全、通信安全為主題闡述了智能家居安全研究現狀.通過深入分析智能家居的安全問題以及現有研究工作的不足，指出了智能家居安全面臨的挑戰與機遇.最后對智能家居安全研究方向進行了展望，指出了多用戶場景下認證與訪問控制方案設計、設備聯動規則錯誤檢測、設備固件漏洞挖掘技術、智能音箱語音識別漏洞挖掘與防護等未來熱點研究方向.