2016年2月23日，央视核心访谈节目再次报道儿童定位手表，此次的主题是黑客入侵，即黑客可能入侵儿童定位手表厂家的办事器，从而获取理应家长才能控制的孩子位置、行走路线、通话语音和情况声音，“找娃神器”变成了“窥娃鹰眼”。

　　令人可惜的是，央视的报道也未必精确，例如2015年9月份的“儿童定位手表辐射超千倍”报道就具有着严峻错误，我结合相关手艺人员做了尝试，发布了查询拜访演讲《儿童定位手表辐射问题的再查询拜访》，结论是央视的儿童定位手表查询拜访所利用的手艺尺度、测试方式、数据阐发等均具有着严峻错误，其辐射严峻超标的说法并不成立。此文被国内浩繁媒体节选转载，“儿童定位手表辐射超千倍”的说法还被中国科学手艺学会列为2015年度八大科学流言之一。

　　一些用户感觉杂牌货的性价比高，这是他们的严重曲解。此刻是互联网时代，基于互联网的智能电子产物的好坏，不只取决于用户看获得的质量和功能，更多地取决于用户看不到的收集平安机能。外行们看不到躲藏在背后的收集平安机能的价值，认为本人占了廉价，其实是吃了暗亏。

　　以小天才德律风手表为例阐发。一是加密手艺，手表与办事器之间的数据加密体例分两种，第一种是语音及数据加密，它采用RSA非对称式加密手艺，您可能对这个手艺不领会，但告诉您这是各大银行网银暗码盾所采用的手艺，您就会安心了吧。第二种是用户名和暗码加密，它采用了https加密传输手艺，以包管账号环节消息不被窃取，https也是拜候收集银行的账号暗码时利用的平安和谈。

　　有个概念必需澄清，儿童定位手表的平安性并不取决于厂家的平安手艺程度有多高，而是取决于厂家预备投入几多钱。很较着，越支流的厂家投的钱就越多，其产物就越平安。

　　虽然该平安机构发布了一些有平安缝隙的儿童定位手表的厂家名，但央视在节目中并没有援用，由于一项具有权势巨子性的产质量量判定至多要明白两个要素，一是检测方的天分，二是所根据的国度尺度。很可惜，这家平安机构并不是国度指定的判定机构，检测方式也没有国度尺度为根据，其检测结论只供参考，不克不及作为当局认定的判定结论。

　　领取条码是随时间变化，而小天才的账户认证是按次变化的，每次的认证数据都不不异，这种“一次一密”的认证体例比力高级，它也是军用保密手机的鉴权体例。

　　二是认证手艺，小天才采用了账户认证+随机独一性ID的体例，每次的账号数据其实都是纷歧样的。若是您在超市收银台用领取宝或微信付过账，必然会发觉手机上的领取条码是随时间变化的，假设领取条码是固定不变的，那被人偷偷拍照后岂不是就能够盗用了，所以说认证消息的动态变化是必需的。

　　比拟之下，杂牌厂家的裸奔做法几乎无法容忍，核心访谈节目中的平安专家也说过，这长短常初级的错误，稍加投入就能处理。为什么他们敢裸奔?没有穿戴式智能电子产物的国度尺度是环节，杂牌厂家借此降低成本和遁藏惩罚，并依托低价分得市场份额，它们产物的售价往往只要支流产物的几分之一，外旁观得也还不错，简直也吸引了不罕用户。

　　所以说，央视没有贸然发布这家平安机构的查询拜访成果，这是隆重稳妥的做法，但成果却并不很抱负，由于问题抛出来了，却没告诉用户事实是哪些厂家的产物有问题，容易令观众发生所有的儿童定位手表都有问题的曲解。其实，支流厂商是但愿央视点名的，像如许“一杆子打翻一船人”的做法令他们躺了枪，不得不纷纷颁发声明。

　　您必然会问：央视曝光过良多黑心企业，从来都手不软啊，为什么此次央视不点名呢?这源于一个很尴尬的现状，那就是此刻还没有穿戴式智能电子产物的国度尺度。也就是说，那些平安性乌烟瘴气的杂牌儿童定位手表，其实是通过了3C认证等现有产物尺度的及格产物，指控人家产物不及格于法无据，以至可能会被控诉离间。

　　前面我阐发他们利用的网银用户名和暗码、暗码盾、领取宝和微信付帐、军用加密手机，听起来很高峻上的样子，其实这些都不是什么高科技了，而是成熟的互联网消息平安手段，只需花钱就能够买到。

　　该消息平安机构的查询拜访演讲显示，像如许严峻轻忽消息平安的杂牌厂家竟然有良多家，这令我感应惊讶。其实，该平安机构做测试发觉缝隙后，曾经通知了相关厂家，但这些厂家并没有改良。

　　别的，小天才的暗码存储很有特色，采用的是64位加盐hash，内行人晓得这是很强的。啥是hash呢?不妨举个例子，有两列很是类似的数据，只要极个体的几位分歧，用统一种算法加密，您感觉所生成的两列暗码是不是也该当有点像呢?

　　总结：2016年2月23日的核心访谈节目揭露了某些儿童定位手表具有严峻平安缺陷，提示我们不要图廉价采办杂牌货，必然要采办具有加密通信、用户鉴权、办事器抗攻击能力的支流商家产物，消息平安方案都是成熟靠得住的，舍得为此投入的支流厂商的产物能够相信。

　　我找来节目视频逐字逐句地旁观了五遍，发觉央视吸收了前次走麦城的教训，此次请到的是靠谱专家，节目中的言语也比力严谨，我没发觉这期节目在手艺方面有啥错误。可是节目也有问题，由于通俗观众并不会像我一样细心关心“可能会”、“只需”的限制词，和产物平安性“参差不齐”等措辞，容易得出“所有的儿童定位手表都不平安”这个误导性结论。现实上，只是某些杂牌产物有隐患，而支流产物是平安的。

　　并且，产物查验还有个全面性的问题，被平安机构点名的杂牌厂家有问题，但这不代表未被点名的厂家就必然没问题，有可能没有测试到，还有可能测试发觉了产物有问题，但因背后好处关系而选择性地不发布。

　　若是相像的话就不平安，由于纪律容易被黑客推导嘛。但若是两列很是类似的数据，即便只要一位的差别，用不异算法处置后，所生成的两列暗码也会涣然一新，这就能够避免黑客推导了。这种特征叫做雪崩，即极细小的扰动城市带来庞大的变化。

　　啥样的儿童定位手表才是平安的呢?按照消息平安理论，应把握三种手艺：一是加密手艺，手表与厂家办事器之间的通信应是加密的，以包管通信链路中的数据平安;二是认证手艺，即完美鉴权机制，包管拜候孩子数据的只是能家长，而不克不及是外人;三是办事器具有抗攻击手艺，以防止黑客的入侵。调查儿童定位手表的平安性，应从这三个方面来进行阐发。

　　为什么有些杂牌厂家的儿童定位手表能够令黑客侵入呢?缘由很是简单：本应做好办事器数据的加密和鉴权，厂家出于成本考虑给省略了，成果是手表的定位消息和语音消息在收集上裸奔，以至让黑客接管了家长的全数权限。

　　儿童定位手表是个好工具，但在国度尺度出台之前，其平安性只能依托厂商的盲目性，万万甭图廉价，必然要选择支流产物，这是一位处置通信专业20余年的内行人的警告。

　　三是办事器抗攻击手艺，大部门焦点办事器摆设在阿里云上，阿里云有先辈的防DDOS攻击手段，小部门办事器摆设在私有云上，而且设有专业防火墙和阿里云备份方案。

　　儿童定位手表是个好创意，不只能够打德律风，还能够定位，家长可及时控制孩子的位置和行走路线，能够监听孩子四周的声音，并且还有SOS告急求救按钮，这令家长很安心。此刻儿童定位手表市场很热，惹起了媒体的高度关心，仅央视就曾4次报道过这个行业。

　　为什么要以小天才为案例阐发呢?由于它是市场拥有率排名第一的支流产物，我跟这家的手艺人员比力熟悉，一路会商过平安防护问题，也领会他们的手艺方案。

　　文章转自：科学松鼠会会员、通信专业教师、新浪微博社区委员会专家成员、微博签约自媒体—奥卡姆剃刀