这些智能家电安全知识 你值得了解

其微弱的电能实现传统WiFi设备的传输功能，而耗电量仅为传统WiFi设备的耗电量的万分之一。

　　四、新的协议Thread

　　现在比较常用的网络协议有WiFi、蓝牙、ZigBee，不过都有不足：WiFi的功耗比较大，适合传输大量的数据；蓝牙功耗比较低，但现在还存在蓝牙2.0与蓝牙4.0并存的混乱局面，且不支持IPv6；ZigBee布线比较复杂，更适合商用。

　　三星、ARM、Nest三家公司，强强联手，推出Thread，改进了上述协议中的不足，通过6LoWPAN技术支持IPv6。Thread可支持250个以上设备同时联网，能够覆盖到家中所有的灯泡、开关、传感器和智能设备。优化了功耗，超低能耗，设备可以运行数年。此外，Thread是基于ZigBee的，也就是说原有的ZigBee设备只需更新软件即可兼容Thread。

　　前两期智能家电破解介绍了智能家电的安全体系和智能家电所使用的协议。从本期开始会分别介绍智能家电的网络拓扑结构、安全漏洞和修补方案建议。

　　一、智能家电网络拓扑图

　　图1：智能家电网络拓扑图

　　（1）智能家电分为两种类型，第一种类型是安装Android操作系统的智能家电，比如冰箱、电视等带有智能操作系统的智能家电。设备可以和云端交互，用户手机端的APP可以对设备进行控制和管理。

　　（2）第二种类型的智能家电没有安装操作系统，但是可以和云端交互，并且用户的APP可以通过向云端发送指令后对设备进行控制和管理。如洗衣机和空调等。

　　（3）不同类型的智能家电由于使用的控制模式以及和云端的通讯方式不同，所面临的安全威胁也不同。

　　二、智能家电安全加固方案

　　基于http协议的攻击大多数是利用指令捕获，然后使用电脑进行指令重放，最后对指令进行个性化改造尝试各种可能性。

　　1.使用https协议传输数据，https的数据包经过了加密处理，看不到有意义的明文信息，那么攻击者很难获取指令信息，也无法进行指令重放攻击。

　　2.避免弱密钥的使用，当攻击者遇到相对复杂的密码时一般很难以继续进行下去。

　　3.服务器不要返回过多没必要的信息，攻击者往往需要根据服务器的返回信息进行测试以确认一些信息

　　4.尽量避免明文传送信息，可以使用私有加密算法对信息进行加密

　　5.每次指令都需要对指令来源进行身份认证，可以加入设备信息。