关键词 物联网 隐私
中图分类号:C913 文献标识码:A
Talking about the Problems of Internet Things Privacy
HUANG Ling
(College of Electronics and Information Engineering, Nanjing Institute of
Information Technology, Nanjing, Jiangsu 210046)
Abstract IOT(Internet of Things), as an emerging technology, attracts much attention form domestic academia and industry For its trend, this paper describes the basic concept and technical background Its development has an impact on the security and privacy of the involved stakeholders Measures ensuring the architecture"s resilience to attacks, data authentication, access control and client privacy need to be established
Key words Internet of things; privacy
1 物联网:概念和技术背景
物联网(IOT)是一个新兴的基于互联网的信息体系结构,促进商品和服务在全球供应链网络的交流。例如,某类商品的缺货,会自动报告给供应商,这反过来又立即引起电子或实物交付。从技术角度来看,物联网是基于数据通信的工具,主要是RFID(无线电射频识别)标签的物品,通过提供的IT基础设施,促进一个安全和可靠的 “物”的交流的方式。
基于目前普遍的看法,物联网的新的IT基础设施是由EPCglobal和GS1引入的电子产品代码(EPC)。“物”是携带一个特定EPC 的RFID标签的物理对象;基础设施可以给本地和远程的用户提供和查询EPC信息服务(EPCIS)。信息并不完全保存在RFID标签上,通过对象名称解析服务(ONS)的连接和互联。信息可由互联网上的分布式服务器提供,
ONS是权威的(连接元数据和服务),在这个意义上,实体可以拥有―集中―改变对有关EPC信息的控制。从而,该架构还可以作为无处不在的计算的骨干,使智能环境识别和确定对象,并接收来自互联网的资料,以方便他们的自适应功能。
ONS是基于知名的域名系统(DNS)。从技术上讲,为了使用DNS来找到有关物品的信息,该物品的EPC必须转换成DNS可以理解的格式,这是典型的“点”分隔的,由左往右形式的域名。EPC编码语法上是正确的域名,然后在使用现有的DNS基础设施,ONS可以考虑是DNS子集。然而,由于这个原因,ONS也将继承所有的DNS弱点。
2 安全和隐私需求
21 物联网技术的要求
物联网的技术架构对所涉及的利益相关者产生安全和隐私的影响。隐私权包括个人信息的隐蔽性以及能够控制此类信息的能力。隐私权可以看作一个基本的和不可剥夺的人权,或作为个人的权利。用户可能并不知道物体的标签的归属性,并有可能不是声音或视觉信号来引起使用物体的用户注意。因此不需要知道它们个体也可以被跟踪,留下它们的数据或可在其网络空间被追踪。
既然涉及到商业过程,高度的可靠性是必要的。在本文中,对所要求的安全和隐私进行了说明:(1)抗攻击的恢复能力:该系统应避免单点故障,并应自动调节到节点故障;(2)数据验证:作为一项原则,检索到的地址和对象的信息必须经过验证;(3)访问控制:信息供应商必须能够实现对所提供的数据访问控制;(4)客户隐私:只有信息供应商从观察一个特定的客户查询系统的使用可以进行推断,至少,对产品的推断应该是很难进行。
使用物联网技术的民营企业在一般的经营活动将这些要求纳入其风险管理意识中。
22 隐私增强技术(PET)
履行对客户隐私的要求是相当困难的。多项技术已经开发,以实现信息的隐私目标。这些隐私增强技术(PET)的可描述如下。(1)虚拟专用网络()是由商业伙伴的紧密团体建立的外联网。作为唯一的合作伙伴,他们承诺要保密。但是,这个方案不会允许一个动态的全球信息交换,考虑到外联网以外的第三方是不切实际的。(2)传输层安全(TLS),基于一个全球信托机构,还可以提高物联网的保密性和完整性。然而,每个ONS委派都需要一个新的TLS连接,信息搜索由于许多额外的层将产生负面影响。(3)DNS安全扩展(DNSSEC)的公共密钥加密技术记录资源记录,以保证提供的信息来源的真实性和完整性。然而,如果整个互联网界采用它。DNSSEC只能保证全球ONS信息的真实性。(4)洋葱路由对许多不同来源来编码和混合互联网上的数据,即数据可以打包到多个加密层,使用传输路径上的洋葱路由器的公共密钥加密。这个过程会妨碍一个特定的源与特定的互联网协议包匹配。然而,洋葱路由增加了等待时间,从而导致性能问题。(5)一旦提供了EPCIS私人信息检索系统(PIR)将隐瞒客户感兴趣的信息,然而,可扩展性和密钥管理,以及性能问题,会出现在诸如ONS的一个全球性的接入系统中,这使得这种方法变得不切实际的。(6)另一种方法来增加安全性和保密性是同行对等(P2P)系统,它表现出良好的的可扩展性和应用程序的性能。这些P2P系统是基于分布式哈希表(DHT)的。然而,访问控制,必须落实在实际的EPCIS本身,而不是在DHT中存储的数据,因为这两项设计没有提供加密。在这种情况下,使用普通的互联网和Web服务安全框架,EPCIS连接和客户身份验证的加密可以容易地实现,特别是,客户身份验证可以通过发布共享机密或使用公共密钥来实现。
重要的是,附加到一个对象RFID标签可以在稍后阶段被禁用,以便为客户来决定他们是否要使用标签。 RFID标签可及将其放入保护箔网格而禁用,网格称为“法拉第笼”,由于某些频率的无线电信号不能穿过,或将其“杀”死,如移除和销毁。然而,这两个选择有一定的缺点。虽然将标签放在笼子,相对比较安全的,如果客户需要,它需要每一个产品的每个标签都在笼中。某些标签将被忽略并留在客户那里,她/他仍然可以追溯到。发送一个“杀”命令给标签,留下重新激活的可能性或一些识别的信息在标签上。此外,企业可能倾向于为客户提供奖励机制不破坏标签或暗中给他们标签,不用杀死标签,解散标签和可识别对象之间的连接可以实现。ONS上面的信息可被删除,以保护对象的所有者的隐私。虽然标签仍然可以被读取,但是,关于各人的进一步信息,是不可检索。
此外,由RFID撷取的非个人可识别信息需要透明化。有源RFID可以实时跟踪游客的运动,不用识别哪个游客是匿名的 ;然而,在没有任何限制的情况下收集这些资料是否被传统隐私权的法律涵盖,这一问题仍然存在。
人们对隐私的关心的确是合理的,事实上,在物联网中数据的采集、处理和提取的实现方式与人们现在所熟知的方式是完全不同的, 在物联网中收集个人数据的场合相当多,因此,人类无法亲自掌控私人信息的公开。此外,信息存储的成本在不断降低,因此信息一旦产生, 将很有可能被永久保存,这使得数据遗忘的现象不复存在。实际上物联网严重威胁了个人隐私,而且在传统的互联网中多数是使用互联网的用户会出现隐私问题, 但是在物联网中,即使没有使用任何物联网服务的人也会出现隐私问题。确保信息数据的安全和隐私是物联网必须解决的问题,如果信息的安全性和隐私得不到保证,人们将不会将这项新技术融入他们的环境和生活中。
物联网的兴起既给人们的生活带来了诸多便利, 也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。国家层面从一开始就要注意物联网的安全、可信、隐私等重大问题,如此才能保障物联网的可持续健康发展。安全问题需要从技术和法律上得到解决。
参考文献
[1] 吴功宜智慧的物联网[M]北京:机械工业出版社,2010.
[2] 宋文无线传感器网络技术与应用[M]北京:电子工业出版社,2007.
[3] ITU ITU In ternet Reports 2005: The Intern et of Th ings [R] Tun is, 2005
[4] In tern at ion alTelecomm unicat ion Un ion U IT ITU In ternetR eports 2005: The Internet of Th ings[R]2005计算机网络面临的安全威胁大体可分为两种:一是对网络本身的威胁,二是对网络中信息的威胁。对网络本身的威胁包括对网络设备和网络软件系统平台的威胁;对网络中信息的威胁除了包括对网络中数据的威胁外,还包括对处理这些数据的信息系统应用软件的威胁。
影响计算机网络安全的因素很多,对网络安全的威胁主要来自人为的无意失误、人为的恶意攻击和网络软件系统的漏洞和逗后门地三个方面的因素。
人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任,还面临越来越大的压力。稍有考虑不周,安全配置不当,就会造成安全漏洞。另外,用户安全意识不强,不按照安全规定 *** 作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会对网络安全带来威胁。
人为的恶意攻击是目前计算机网络所面临的最大威胁。人为攻击又可以分为两类:一类是主动攻击,它以各种方式有选择地破坏系统和数据的有效性和完整性;另一类是被动攻击,它是在不影响网络和应用系统正常运行的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,导致网络瘫痪或机密泄漏。
网络软件系统不可能百分之百无缺陷和无漏洞。另外,许多软件都存在设计编程人员为了方便而设置的逗后门地。这些漏洞和逗后门地恰恰是黑客进行攻击的首选目标。1、国内研究现状:目前中科院信息口相关研究所几乎都在开展无线传感网的研究工作。中科院上海微系统与信息技术研究所、中科院声学所、中科院微电子所、中科院半导体所、中科院自动化所、中科院沈阳自动化所、中科院电子锁、中科院上海硅酸盐研究所、中科院软件所、中科院计算所等中科院单位均在从事物联网的研究。国内许多高校也掀起了无线传感网的研究热潮,清华大学、东南大学、中国科技大学、浙江大学、华中科技大学、天津大学、南开大学等高校纷纷开展了有关无线传感器网络方面的研究工作。国内物联网先头单位——中科院工作基础,中国科学院在传感器与微系统、传感网与宽带接入等领域已有长期的工作基础,并在知识创新工程中进行了更大的前瞻性战略布局:1999年,将“无线传感网及其应用”列入知识创新工程重点方向。2001年,成立“中国科学院上海微系统与信息技术研究所”。2001年,成立“中国科学院微系统中心”(非法人事业机构),作为顶层协调机构负责组织全院相应研究所开展微系统和传感网相关的创新工作。全院开展相关工作的研究所有:上海微系统所、声学所、电子所、微电子所、半导体所、计算所、长光所、沈阳自动化所、自动化所、物理所、上海技物所、中国科技大学等十几个单位。 中国科学院、江苏省、无锡市共建“中国物联网研究发展中心”总体目标:形成从研发、系统集成到典型应用示范的创新价值链,成为国家级“感知中国”创新基地。成为中国物联网产业培育中心、集成创新中心和行业应用示范中心,成为中国物联网产业大发展的核心技术引擎。针对“感知中国”战略产业发展过程中的应用瓶颈和技术难点,开展重大技术研究;汇集各方力量和现有成果进行集成创新,推进成果转化和产品孵化;开展应用示范,推动产业发展。 2、美国物联网发展现状:美国很多大学在无线传感器网络方面已开展了大量工作,如加州大学洛杉矶分校的嵌入式网络感知中心实验室、无线集成网络传感器实验室、网络嵌入系统实验室等。另�,麻省理工学院从事着极低功耗的无线传感器网络方面的研究;奥本大学也从事了大量关于自组织传感器网络方面的研究,并完成了一些实验系统的研制;宾汉顿大学计算机系统研究实验室在移动自组织网络协议、传感器网络系统的应用层设计等方面做了很多研究工作;州立克利夫兰大学(俄亥俄州)的移动计算实验室在基于IP的移动网络和自组织网络方面结合无线传感器网络技术进行了研究。 除了高校和科研院所之外,国外的各大知名企业也都先后参与开展了无线传感器网络的研究。克尔斯博公司是国际上率先进行无线传感器网络研究的先驱之一,为全球超过2000所高校以及上千家大型公司提供无线传感器解决方案;Crossbow公司与软件巨头微软、传感器设备巨头霍尼韦尔、硬件设备制造商英特尔、网络设备制造巨头、著名高校加州大学伯克利分校等都建立了合作关系。IBM提出的“智慧地球”概念已上升至美国的国家战略。2009年,IBM与美国智库机构向奥巴马政府提出通过信息通信技术(ICT)投资可在短期内创造就业机会,美国政府只要新增300亿美元的ICT投资(包括智能电网、智能医疗、宽带网络三个领域),鼓励物联网技术发展政策主要体现在推动能源、宽带与医疗三大领域开展物联网技术应用。2009年美国振兴经济法案中与ICT相关计划整理见下表所示。②美国ICT相关发展计划1、 欧盟物联网发展现状:2009年,欧盟委员会向欧盟议会、理事会、欧洲经济和社会委员会及地区委员会递交了《欧盟物联网行动计划》,以确保欧洲在建构物联网的过程中起主导作用。行动计划共包括14项内容:管理、隐私及数据保护、“芯片沉默”的权利、潜在危险、关键资源、标准化、研究、公私合作、创新、管理机制、国际对话、环境问题、统计数据和进展监督等。该行动方案,描绘了物联网技术应用的前景,并提出要加强欧盟政府对物联网的管理,其行动方案提出的政策建议主要包括:(1)加强物联网管理。(2)完善隐私和个人数据保护。(3)提高物联网的可信度、接受度、安全性。2009年10月,欧盟委员会以政策文件的形式对外发布了物联网战略,提出要让欧洲在基于互联网的智能基础设施发展上领先全球,除了通过ICT研发计划投资4亿欧元,启动90多个研发项目提高网络智能化水平外,欧盟委员会还将于2011年~2013年间每年新增2亿欧元进一步加强研发力度,同时拿出3亿欧元专款,支持物联网相关公私合作短期项目建设。2、 日本物联网发展现状:自上世纪90年代中期以来,日本政府相继制定了e-Japan、u-Japan、i-Japan等多项国家信息技术发展战略,从大规模开展信息基础设施建设入手,稳步推进,不断拓展和深化信息技术的应用,以此带动本国社会、经济发展。其中,日本的u-Japan、i-Japan战略与当前提出的物联网概念有许多共同之处。2004年,日本信息通信产业的主管机关总务省提出2006至2010年间IT发展任务——u-Japan战略。该战略的理念是以人为本,实现所有人与人、物与物、人与物之间的连接(即4U,Ubiquitous、Universal、User-oriented、Unique),希望在2010年将日本建设成一个“实现随时、随地、任何物体、任何人均可连接的泛在网络社会”。2008年,日本总务省提出将u-Japan政策的重心从之前的单纯关注居民生活品质提升拓展到带动产业及地区发展,即通过各行业、地区与ICT的化融合,进而实现经济增长的目的。具体说就是通过ICT的有效应用,实现产业变革,推动新应用的发展;通过ICT以电子方式联系人与地区社会,促进地方经济发展;有效应用ICT达到生活方式变革,实现无所不在的网络社会环境。2009年7月,日本IT战略本部颁布了日本新一代的信息化战略——“i-Japan”战略,为了让数字信息技术融入每一个角落。首先,将政策目标聚焦在三大公共事业:电子化政府治理、医疗健康信息服务、教育与人才培育。提出到2015年,透过数位技术达到“新的行政改革”,使行政流程简化、效率化、标准化、透明化,同时推动电病历、远程医疗、远程教育等应用的发展。日本政府对企业的重视也毫不逊色。另外,日本企业为了能够在技术上取得突破,对研发同样倾注极大的心血。在日本爱知世博会的日本展厅,呈现的是一个凝聚了机器人、纳米技术、下一代家庭网络和高速列车等众多高科技和新产品的未来景象,支撑这些的是大笔的研发投入。3、 韩国物联网发展现状:韩国也经历了类似日本的发展过程。韩国是目前全球宽带普及率最高的国家,同时它的移动通信、信息家电、数字内容等也居世界前列。面对全球信息产业新一轮“u”化战略的政策动向,韩国制定了u-Korea略。在具体实施过程中,韩国信通部推出IT839战略以具体呼应u-Korea。韩国信通部发布的《数字时代的人本主义:IT839战略》报告指出,无所不在网络社会将是由智能网络、最先进的计算技术,以及其它领先的数字技术基础设施武装而成的技术社会形态。在无所不在的网络社会中,所有人可以在任何地点、任何时刻享受现代信息技术带来的便利。u-Korea意味着信息技术与信息服务的发展不仅要满足于产业和经济的增长,而且在国民生活中将为生活文化带来革命性的进步。由此可见,日、韩两国各自制定并实施的“u”计划都是建立在两国已夯实的信息产硬件基础上的,是完成“e”计划后启动的新一轮国家信息化战略。从“e”到“u”是信息化战略的转移,能够帮助人类实现许多“e”时代无法企及的梦想。继日本提出u-Japan战略后,韩国在2006年确立了u-Korea战略。u-Korea旨在建立无所不在的社会,也就是在民众的生活环境里,布建智能型网络、最新的技术应用等先进的信息基础建设,让民众可以随时随地享有科技智慧服务。其最终目的,除运用IT科技为民众创造食衣住行育乐各方面无所不在的便利生活服务,亦希望扶植IT产业发展新兴应用技术,强化产业优势与国家竞争力。为实现上述目标,u-Korea包括了四项关键基础环境建设以及五大应用领域的研究开发。四项关键基础环境建设是平衡全球领导地位、生态工业建设、现代化社会建设、透明化技术建设,五大应用领域是亲民政府、智慧科技园区、再生经济、安全社会环境、u生活定制化服务。u-Korea主要分为发展期与成熟期两个执行阶段。发展期(2006至2010年)的重点任务是基础环境的建设、技术的应用以及u社会制度的建立;成熟期(2011至2015年)的重点任务为推广u化服务。自1997年起,韩国政府出台了一系列推动国家信息化建设的产业政策。目前,韩国的RFID发展已经从先应用开始全面推广;而USN也进入实验性应用阶段。2009年,韩通信委员会通过了《物联网基础设施构建基本规划》,将物联网市场确定为新增长动力。该规划树立了到2012年“通过构建世界最先进的物联网基础实施,打造未来广播通信融合领域超一流ICT强国”的目标,为实现这一目标,确定了构建物联网基础设施、发展物联网服务、研发物联网技术、营造物联网扩散环境等4大领域、12项详细课题。在世界物联网领域,中国与德国、美国、韩国一起成为国际标准制定的主导国之一。2009年9月,经国家标准化管理委员会批准,全国信息技术标准化技术委员会组建了传感器网络标准工作。标准工作组聚集了科学院、等中国传感网主要的技术研究和应用单位,将积极开展传感网标准制订工作,深度参与国际标准化活动,旨在通过标准化为产业发展奠定坚实技术基础。目前,我国传感网标准体系已形成初步框架,向国际标准化组织提交的多项标准提案被采纳,物联网标准化工作已经取得积极进展。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)