近日，《紐約時報》報道了一篇名為“你家里的燈泡將來可能成為黑客攻擊目標”的文章，文章稱某大學研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問題，有可能被黑客利用來控制燈泡等無線物聯(lián)網(wǎng)設備。隨著該消息幾經(jīng)報道后，已經(jīng)引起國內(nèi)外行業(yè)人士和消費者的諸多討論和猜想。

　　隨后，為使大家對ZigBee標準和技術(shù)有更為清晰正確的了解，ZigBee聯(lián)盟在11月8日，就關于近期黑客攻擊燈泡報告所涉及的安全性問題言論進行了聲明，表示：ZigBee各項標準均不存在報告所描述的缺陷。

　　ZigBee認為，該報告中提到的缺陷是某家芯片廠商應用程序中的軟件錯誤導致的。這不是ZigBee協(xié)議的問題，而更多是實現(xiàn)的問題。所述攻擊利用了這個軟件升級的內(nèi)部接口缺陷，并不適用于整個系統(tǒng)或產(chǎn)品線。另外報告中提及到的這款智能燈泡的問題也已經(jīng)得到解決。飛利浦Hue已經(jīng)完成了補丁程序，并且將更新的固件發(fā)布至所有已售產(chǎn)品。而ZigBee標準本身并無需要更改的地方。

　　那么，ZigBee的安全性能是否有效地得到保證?如何解決zigbee的漏洞帶來的互聯(lián)網(wǎng)安全問題?這到底是互聯(lián)網(wǎng)通訊發(fā)展過程中的通病，還是只是個個案?

　　對此阿拉丁照明網(wǎng)新媒體記者采訪了復旦大學電光源研究所青年副研究員田朋飛老師(以下簡稱“田老師”)、以及已經(jīng)在超市上有LiFi項目試點的廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷(以下簡稱“許總”)，就此事咨詢了他們的看法。

　　田老師表示，這一次《紐約時報》刊出的文章——《你家里的燈泡將來可能成為黑客攻擊目標》，談到某大學研究人員發(fā)現(xiàn)ZigBee技術(shù)中存在安全問題。他并沒有感到多大的奇怪，因為對很多關注無線通信協(xié)議的人來說，ZigBee其實已經(jīng)不是第一次出現(xiàn)問題了。

　　就在去年8月6日，三星旗下SmartThings公司以初創(chuàng)會員級別加入ZigBee聯(lián)盟，成為物聯(lián)網(wǎng)標準非營利性組織ZigBee聯(lián)盟董事會的新成員。該事的發(fā)生不到一周，在世界信息安全行業(yè)最高盛會，黑帽子大會上，Cognosec公司發(fā)表了論文，并指出ZigBee協(xié)議中的一個缺陷，稱 “該缺陷涉及多種類型的設備，黑客有可能以此危害ZigBee網(wǎng)絡，并‘接管該網(wǎng)絡內(nèi)所有互聯(lián)設備的控制權(quán)’?！?/p>

　　ZigBee協(xié)議向來以可靠、安全以及保密著稱。當然，這篇文章并沒有把矛頭直接通信協(xié)議，而是指出漏洞的來源是因為生產(chǎn)商生產(chǎn)過程中，為了壓低成本并且與其他網(wǎng)絡設備實現(xiàn)通信連接所造成的。三星、飛利浦、摩托羅拉、德州儀器等制造商均在其產(chǎn)品中使用了ZigBee協(xié)議。

　　ZigBee在這幾年相比較與Wi-Fi、藍牙與射頻等無線通信技術(shù)協(xié)議，不可否認地在智能家居領域賺足了眼球，而智能家居則是物聯(lián)網(wǎng)中最重要的組成部分。在前幾年的發(fā)展中，ZigBee鮮有負面消息，因此漸漸地被業(yè)界很多人認為是最適合做智能家居的一個無線通信協(xié)議標準。另一方面，雖然ZigBee最初主要應用在工業(yè)領域，但是由于不少實力公司，包括飛思卡爾、德州儀器、飛利浦與施耐德等的宣揚，樹立口碑，ZigBee在物聯(lián)網(wǎng)上的應用對工程師們來說還是充滿著魅力。

　　田老師說：“采用AES 128加密算法的ZigBee的Key是16個字節(jié)的強密碼，在ZigBee實際進行數(shù)據(jù)傳輸時通過暴力破解其網(wǎng)絡Key，據(jù)我所知還沒有先例，事實上，這也是一種效率極其低下的方式。”

　　那么ZigBee所謂的安全漏洞究竟出在那里呢?

　　田老師認為有如下可能性存在。

　　第一，生產(chǎn)商為了壓低成本并且方便與其他設備通信所造成的。這里就可能會有如下的可能性，比如說，生產(chǎn)商為了方便他顧客的使用，或者說為了他公司生產(chǎn)的各個設備能夠互聯(lián)，可能會規(guī)定他的某種聯(lián)網(wǎng)產(chǎn)品的初始密碼為統(tǒng)一的密碼。

　　其次，往往為了設備會有更好的用戶體驗，設備商也不會設置過長的密碼長度。你也不會想每一次登陸，取得設備的控制權(quán)時候，要輸入十六個密碼吧?

　　最后就是ZigBee網(wǎng)絡中存在一瞬間的不安全存在，也即在于設備之間需要通過一個連接密鑰來加密，每一次使用，你要么預先在設備中配置好，要么就在這一瞬間中通過明文傳送。因此，網(wǎng)絡中存在明文傳送的這一瞬間給了黑客們機會。

　　但無可否認的是，ZigBee相對于其他的無線通訊協(xié)議來說，其安全性已經(jīng)是較高的了。我個人看法，為了解決ZigBee中存在的安全問題，可能可以有以下改進的發(fā)展趨勢。網(wǎng)絡設備擁有主動探測并應付黑客的功能，也即在一個網(wǎng)絡設備被黑客入侵之后，他能夠發(fā)現(xiàn)并告訴同一網(wǎng)絡里面的其他設備，或者中斷與其他設備的通信功能，以此阻止病毒在網(wǎng)絡中的傳播。

　　當然，用戶在選購智能家居產(chǎn)品時需要更加謹慎，選擇比較好的品牌。ZigBee的產(chǎn)品開發(fā)成本高、周期長、難度大，大多數(shù)初創(chuàng)企業(yè)較難承受開發(fā)風險，這也是ZigBee技術(shù)目前在全球只有幾家企業(yè)掌握的原因。另一方面使用智能家居產(chǎn)品的同時，也要有良好的習慣，設置相對復雜的密碼或定期修改密碼。

　　廣州偉志全資子公司-極匯科技總經(jīng)理許廣廷許總則表示，軟件或者通信協(xié)議出現(xiàn)漏洞是常見的，就比如微軟windows系統(tǒng)經(jīng)常需要更新打補丁一樣，我們需要做的是及時的安裝軟件補丁。如果要在安全性上得到較大的提升，一般會考慮采用物理手段比如隔斷等，而這對于傳統(tǒng)的無線通信來說是一件非常難辦到的時候，無線信號無影無形無處不在。如果未來需要使用LiFi技術(shù)用于通信的話，那可以借助其得天獨厚的安全性方面的優(yōu)勢，可以很容易的做到通信信號的隔離。

　　目前偉志光電的LiFi主要應用在室內(nèi)定位，通過在LED燈內(nèi)植入控制電路，使LED燈成為我們的室內(nèi)定位衛(wèi)星，不停的通過燈光發(fā)送定位信息。在安全性當面比起傳統(tǒng)無線通信優(yōu)勢，因為LiFi是通過可見光作為傳輸媒介，所見即所得，光信號的遮擋非常容易。

　　在報道中提及的ZigBee安全性問題里的無線通信應用主要是用于通信控制，和偉志光電目前LiFi室內(nèi)定位應用需求是不一樣的，偉志光電在安全性問題方面采用的是業(yè)界主流的安全手段，而在該應用中的安全性主要是依靠支付寶以及微信自帶的安全機制，所以不會有類似的問題。偉志光電目前落地的應用是超市導購，已經(jīng)在卜蜂蓮花黃岐店試點運行。

　　許總還透露，目前該超市LiFi導購系統(tǒng)的安全方面的考慮主要有以下兩個方面：

　　第一，定位系統(tǒng)只有下行的信號，同時定位基站發(fā)送的信號本來就是要求所有人都能接受的，因此不存在任何保密信息。

　　第二，安全性主要體現(xiàn)在終端的信息處理以及支付過程。

　　田老師表示，近年來，物聯(lián)網(wǎng)的蓬勃發(fā)展將大量原來漏洞百出的系統(tǒng)暴露在網(wǎng)絡中，很多時候網(wǎng)絡漏洞存在的不僅僅是在通信協(xié)議上，它將以各種各樣的形式存在。在越來越多的人投入物聯(lián)網(wǎng)浪潮的時候，大量從事這些工作核心技術(shù)工程師，安全開發(fā)的意識比較缺乏，使得很多低級安全問題出現(xiàn)在物聯(lián)網(wǎng)設備中，因而這些設備的安全問題隨著物聯(lián)網(wǎng)的發(fā)展而不斷暴露。

　　《你家里的燈泡將來可能成為黑客攻擊目標》一文中提及的ZigBee技術(shù)中存在安全問題，這可能并不是一種通病，但也不能說是一個個案。在無線通信網(wǎng)絡中不僅僅只存在ZigBee無線通信協(xié)議，也有可能存在很多過去的通信技術(shù)，網(wǎng)絡技術(shù)與協(xié)議。因為漏洞存在的方式的不同，黑客們散播病毒的方式也不一樣。

　　在萬物互聯(lián)的大背景下，作為一個新領域的老問題，隨著ZigBee等各種無線通信協(xié)議的廣泛應用，網(wǎng)絡中還會有更多關于汽車交通安全、工業(yè)控制安全、醫(yī)療網(wǎng)絡安全與監(jiān)控攝像頭安全等等，都會成為大家關注的熱點問題。而不僅僅是控制一個燈泡那么簡單。當然，不管怎么樣，這個領域的大量安全問題正等待著大家來發(fā)現(xiàn)。