物联网迎来大爆发元年，IFAA联盟共筑IoT安全生态

反派塞隆成功入侵了智能汽车系统，远程操控其自动驾驶功能，组成了可怖的僵尸车队：数十辆失控的汽车从天而降；成百辆汽车如同僵尸一般疯狂碰撞引起连环爆炸；巨大的冲击波把跑车抛向天空，电影主角身陷火海之中。

不要以为这些精彩剧情，仅仅存在于电影《速度与激情8》里。在现实生活中，智能汽车、智能家居等智能终端，都有可能被黑客入侵。

万物互联的IoT时代，处于大爆发前夜，但各种安全隐患也如影随形。

3月28日，由IFAA（互联网金融身份认证联盟）主办的“IFAA 物联网可信连接研讨会”（以下简称研讨会）在京召开，来自主管部门、学术界、产业界的参会者，就如何打造聚焦物联网时代的安全生态联盟，进行了深入的探讨。

IoT安全黑洞：入侵、劫持、盗窃、勒索

小米的IoT平台联网设备已经超过了1亿台；

BAT已经或者即将发布多款智能音箱产品，天猫精灵已经成为全球第三大智能音箱品牌；

百度刚刚获得了北京市颁发的首张自动驾驶测试牌照；阿里巴巴集团和上汽集团联手出品的首款互联网汽车荣威RX5成为了炙手可热的畅销车；

受益于AI交互技术的成熟，云计算的快速发展，以及产业链软硬件企业的大力推动，IoT有望在2018年迎来大爆发元年，已经成为产学研界的共识。

IoT大爆发的同时，嗅觉灵敏、趁虚而入的黑客们也开始出手了。过去十年至今，智能设备遭遇攻击的案例只增不减。

在研讨会上，浙江大学教授、IFAA科研基金评委徐文渊介绍了语音攻击的案例。

上海交通大学特别研究员、IFAA科研基金获选人孔令和的发言，聚焦于RFID如何通过并行识别技术，提升IoT设备身份识别效率。

而西安交通大学副教授、IFAA科研基金获选人沈超的演讲，则把关注点放在工业互联网领域。

徐文渊和她的研究团队通过上千次试验，利用麦克风收集使用者语音，并将之加载至人耳无法听到的超声波上，然后操控语音助手，可以实现对智能手机、智能手表等智能终端的远程操控。

实验室将这种攻击形式，命名为“海豚攻击”。实验显示，语音助手所存在的漏洞，广泛出现在包括苹果、三星、华为、谷歌、亚马逊等品牌中。

在论坛现场，徐文渊播放了一段视频，极为噪杂的声场环境中，徐文渊和其团队，实现了对苹果iwatch的系统破解。

不止在实验室里，在外部的真实世界，智能设备遭遇黑客成功攻击的案例也普遍存在。

3月18日，Facebook被曝出超过5000万用户信息被滥用。

2015年，浙江公司海康威视的智能摄像头遭到入侵，用户个人隐私被该摄像头在公开网络上现场直播。互联网上，甚至已经出现了破解摄像头的专业软件和教程，一个完整的黑产链条雏形初现。

沈超则对工控网络脆弱的防控体系表达了担忧。

2000年，澳大利亚马卢奇污水处理厂遭遇了非法入侵，在前后三个多月的时间里,总计约100万升未经处理的污水直接经雨水渠排入了公园、河流等自然水系。

2010年7月，震网病毒攻击了伊朗布什尔核电站，这种病毒能够更改离心机中的发动机转速，足以摧毁离心机运转能力且无法修复。措手不及的伊朗政府，不得不在发电站即将启动之前，暂时卸载了其核电站的核燃料。而在此前7年，美国的核电站也曾遭遇攻击。

2015年6月，波兰航空公司的地面操作系统遭遇黑客攻击。

对于工业互联网领域陆续发生的攻击事件，沈超在演讲中表示，工控网络的漏洞，甚至比传统互联网还要严重，“工控网络的“操作系统、技术零件器以及网络节点更新速度很慢，甚至基本不更新，处理能力非常有限，很容易被攻击、控制。航空、电厂、水厂、电网的漏洞都很多，随便搞一搞就能看出来。”

沈超和其团队，在实验室通过窃听、探测信息网络，成功实现了对美国加州一家发电站的简单攻击。

主要专注于智能安防和家居领域的飞天诚信技术总监伍妙君，分享主题聚焦于智能家居行业。伍妙君认为，信息安全有三个核心，“机密性，也就是说数据不泄露；完整性，我的数据不被中间人篡改；可用性，数据实时可用，不会影响中断和服务，对应到智能家居领域，则被细化为：人的认证；安全链路；指令的确认。”但伍妙君同时也特意强调，针对消费者端的智能家居产品，在保证安全之余，用户体验始终是第一位的。

8位来自不同领域的嘉宾，发言既前瞻又务实，初步描绘了IoT身份识别和安全生态构建的草图。尽快构建与IoT时代适配的全方位的安全生态体系，成为了参会人员的共识。

IFAA助力，搭建IoT安全生态联盟

面对汹汹而来的IoT安全事故，与会的产学研人士达成了共识，必须构建一套融合产业链上下游力量的全方位的安全风控体系，合力狙击虎视眈眈的黑客军团。

“与智能手机行业不同，整个IoT领域相当碎片化、多元化。IoT行业有几百家芯片厂商，在这上面可能有成千上万的整机厂商，再往上有几十万上百万的软件开发者”，全球领先的半导体知识产权 (IP) 提供商ARM公司的资深市场经理王骏超说，“IoT的安全体系，需要芯片厂商、安全厂商、智能终端、服务商等，一块来搭建。单独一家企业的力量远远不够。”

在IoT大爆发前夜，亟需类似IFAA这样的联盟组织，集合全产业链上下游企业的力量，共筑适配IoT时代的安全生态联盟。

作为国内主流的身份识别技术行业标准组织，IFAA目前已经汇集了超过160家全产业链不同角色的会员单位，覆盖设备厂商、芯片厂商、算法厂商、安全厂商、标准机构、检测机构等等产业链上下游单位。

通过技术合作与标准制定，IFAA对外输出的“身份识别技术行业解决方案”，充分保障了从芯片层到硬件层、应用层等全链路的协议及传输安全，降低了行业开发及适配的成本，有助于支持硬件及应用厂商的快速发展，目前，已有超过36个品牌、230多款机型使用了IFAA提供的解决方案。

ARM于2016年1月加入了IFAA联盟，王骏超表示，“我们非常关注服务商对底层安全架构的需求，加入IFAA之后，我们能够更深入的了解服务商对IP的需求，我们知道该往哪个方向做，希望能跟产业链一起推广安全架构，分担安全责任。”

作为学术界代表，徐文渊介绍完语音攻击的两个案例后，给IFAA联盟提出了建议，“希望在考虑制订标准时，能把相关问题考虑进去。”

中国电子技术标准化研究院物联网研究中心、物联网标准与应用工业和信息化部重点实验室主任王文峰，强调了构建物联网技术与标准化的重要性。他作为指导部门的代表，点赞了IFAA联盟的活力和价值，并对IFAA联盟提出了建议，“搭建一个活跃的好联盟很不容易。一个好的联盟，第一应该始终坚持初心和使命，第二，应该以联盟成员利益为先，第三，应该构建共赢的利益生态体系。”

据悉，IFAA联盟正在调研成员企业的需求，筹备建立IoT工作组。

0