关键词 物联网 隐私
中图分类号:C913 文献标识码:A
Talking about the Problems of Internet Things Privacy
HUANG Ling
(College of Electronics and Information Engineering, Nanjing Institute of
Information Technology, Nanjing, Jiangsu 210046)
Abstract IOT(Internet of Things), as an emerging technology, attracts much attention form domestic academia and industry For its trend, this paper describes the basic concept and technical background Its development has an impact on the security and privacy of the involved stakeholders Measures ensuring the architecture"s resilience to attacks, data authentication, access control and client privacy need to be established
Key words Internet of things; privacy
1 物联网:概念和技术背景
物联网(IOT)是一个新兴的基于互联网的信息体系结构,促进商品和服务在全球供应链网络的交流。例如,某类商品的缺货,会自动报告给供应商,这反过来又立即引起电子或实物交付。从技术角度来看,物联网是基于数据通信的工具,主要是RFID(无线电射频识别)标签的物品,通过提供的IT基础设施,促进一个安全和可靠的 “物”的交流的方式。
基于目前普遍的看法,物联网的新的IT基础设施是由EPCglobal和GS1引入的电子产品代码(EPC)。“物”是携带一个特定EPC 的RFID标签的物理对象;基础设施可以给本地和远程的用户提供和查询EPC信息服务(EPCIS)。信息并不完全保存在RFID标签上,通过对象名称解析服务(ONS)的连接和互联。信息可由互联网上的分布式服务器提供,
ONS是权威的(连接元数据和服务),在这个意义上,实体可以拥有―集中―改变对有关EPC信息的控制。从而,该架构还可以作为无处不在的计算的骨干,使智能环境识别和确定对象,并接收来自互联网的资料,以方便他们的自适应功能。
ONS是基于知名的域名系统(DNS)。从技术上讲,为了使用DNS来找到有关物品的信息,该物品的EPC必须转换成DNS可以理解的格式,这是典型的“点”分隔的,由左往右形式的域名。EPC编码语法上是正确的域名,然后在使用现有的DNS基础设施,ONS可以考虑是DNS子集。然而,由于这个原因,ONS也将继承所有的DNS弱点。
2 安全和隐私需求
21 物联网技术的要求
物联网的技术架构对所涉及的利益相关者产生安全和隐私的影响。隐私权包括个人信息的隐蔽性以及能够控制此类信息的能力。隐私权可以看作一个基本的和不可剥夺的人权,或作为个人的权利。用户可能并不知道物体的标签的归属性,并有可能不是声音或视觉信号来引起使用物体的用户注意。因此不需要知道它们个体也可以被跟踪,留下它们的数据或可在其网络空间被追踪。
既然涉及到商业过程,高度的可靠性是必要的。在本文中,对所要求的安全和隐私进行了说明:(1)抗攻击的恢复能力:该系统应避免单点故障,并应自动调节到节点故障;(2)数据验证:作为一项原则,检索到的地址和对象的信息必须经过验证;(3)访问控制:信息供应商必须能够实现对所提供的数据访问控制;(4)客户隐私:只有信息供应商从观察一个特定的客户查询系统的使用可以进行推断,至少,对产品的推断应该是很难进行。
使用物联网技术的民营企业在一般的经营活动将这些要求纳入其风险管理意识中。
22 隐私增强技术(PET)
履行对客户隐私的要求是相当困难的。多项技术已经开发,以实现信息的隐私目标。这些隐私增强技术(PET)的可描述如下。(1)虚拟专用网络()是由商业伙伴的紧密团体建立的外联网。作为唯一的合作伙伴,他们承诺要保密。但是,这个方案不会允许一个动态的全球信息交换,考虑到外联网以外的第三方是不切实际的。(2)传输层安全(TLS),基于一个全球信托机构,还可以提高物联网的保密性和完整性。然而,每个ONS委派都需要一个新的TLS连接,信息搜索由于许多额外的层将产生负面影响。(3)DNS安全扩展(DNSSEC)的公共密钥加密技术记录资源记录,以保证提供的信息来源的真实性和完整性。然而,如果整个互联网界采用它。DNSSEC只能保证全球ONS信息的真实性。(4)洋葱路由对许多不同来源来编码和混合互联网上的数据,即数据可以打包到多个加密层,使用传输路径上的洋葱路由器的公共密钥加密。这个过程会妨碍一个特定的源与特定的互联网协议包匹配。然而,洋葱路由增加了等待时间,从而导致性能问题。(5)一旦提供了EPCIS私人信息检索系统(PIR)将隐瞒客户感兴趣的信息,然而,可扩展性和密钥管理,以及性能问题,会出现在诸如ONS的一个全球性的接入系统中,这使得这种方法变得不切实际的。(6)另一种方法来增加安全性和保密性是同行对等(P2P)系统,它表现出良好的的可扩展性和应用程序的性能。这些P2P系统是基于分布式哈希表(DHT)的。然而,访问控制,必须落实在实际的EPCIS本身,而不是在DHT中存储的数据,因为这两项设计没有提供加密。在这种情况下,使用普通的互联网和Web服务安全框架,EPCIS连接和客户身份验证的加密可以容易地实现,特别是,客户身份验证可以通过发布共享机密或使用公共密钥来实现。
重要的是,附加到一个对象RFID标签可以在稍后阶段被禁用,以便为客户来决定他们是否要使用标签。 RFID标签可及将其放入保护箔网格而禁用,网格称为“法拉第笼”,由于某些频率的无线电信号不能穿过,或将其“杀”死,如移除和销毁。然而,这两个选择有一定的缺点。虽然将标签放在笼子,相对比较安全的,如果客户需要,它需要每一个产品的每个标签都在笼中。某些标签将被忽略并留在客户那里,她/他仍然可以追溯到。发送一个“杀”命令给标签,留下重新激活的可能性或一些识别的信息在标签上。此外,企业可能倾向于为客户提供奖励机制不破坏标签或暗中给他们标签,不用杀死标签,解散标签和可识别对象之间的连接可以实现。ONS上面的信息可被删除,以保护对象的所有者的隐私。虽然标签仍然可以被读取,但是,关于各人的进一步信息,是不可检索。
此外,由RFID撷取的非个人可识别信息需要透明化。有源RFID可以实时跟踪游客的运动,不用识别哪个游客是匿名的 ;然而,在没有任何限制的情况下收集这些资料是否被传统隐私权的法律涵盖,这一问题仍然存在。
人们对隐私的关心的确是合理的,事实上,在物联网中数据的采集、处理和提取的实现方式与人们现在所熟知的方式是完全不同的, 在物联网中收集个人数据的场合相当多,因此,人类无法亲自掌控私人信息的公开。此外,信息存储的成本在不断降低,因此信息一旦产生, 将很有可能被永久保存,这使得数据遗忘的现象不复存在。实际上物联网严重威胁了个人隐私,而且在传统的互联网中多数是使用互联网的用户会出现隐私问题, 但是在物联网中,即使没有使用任何物联网服务的人也会出现隐私问题。确保信息数据的安全和隐私是物联网必须解决的问题,如果信息的安全性和隐私得不到保证,人们将不会将这项新技术融入他们的环境和生活中。
物联网的兴起既给人们的生活带来了诸多便利, 也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。国家层面从一开始就要注意物联网的安全、可信、隐私等重大问题,如此才能保障物联网的可持续健康发展。安全问题需要从技术和法律上得到解决。
参考文献
[1] 吴功宜智慧的物联网[M]北京:机械工业出版社,2010.
[2] 宋文无线传感器网络技术与应用[M]北京:电子工业出版社,2007.
[3] ITU ITU In ternet Reports 2005: The Intern et of Th ings [R] Tun is, 2005
[4] In tern at ion alTelecomm unicat ion Un ion U IT ITU In ternetR eports 2005: The Internet of Th ings[R]2005据外媒ZDNet报道,近期有超过45万家中文网站被发现容易遭到来自黑客的攻击,而导致这一安全风险出现的根源仅仅是因为一个ThinkPHP漏洞。
报道称,有多家网络安全公司在近期都发现了针对运行着基于ThinkPHP的Web应用程序的服务器的扫描活动。ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持Windows/Unix/Linux等服务器环境,以及MySql、PgSQL、Sqlite多种数据库和PDO插件,在国内 Web 开发领域非常受欢迎。
另外,所有这些扫描活动都是在网络安全公司VulnSpy将一个ThinkPHP漏洞的概念验证代码(PoC)发布到ExploitDB网站上之后开始进行的。这里需要说明的是,ExploitDB是一家提供免费托管漏洞利用代码的热门网站。
VulnSpy公司发布的概念验证代码利用了一个存在于ThinkPHP开发框架invokeFunction 函数中的漏洞,以在底层服务器上执行任意代码。值得注意的是,这个漏洞可以被远程利用,且允许攻击者获得对服务器的完全控制权限。
“PoC是在12月11日发布的,我们在不到24小时之后就看到了相关的互联网扫描。” 网络安全公司Bad Packets LLC的联合创始人Troy Mursch告诉ZDNet。
随后,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也报道了类似的扫描。并且,这些扫描在接下来的几天里一直呈上升趋势。
与此同时,开始利用这个ThinkPHP 漏洞来开展攻击活动的黑客组织也在不断增加。到目前为止,被确认的黑客组织至少包括:最初利用该漏洞的攻击者、一个被安全专家命名为“D3c3mb3r”的黑客组织、以及另一个利用该漏洞传播Miori IoT恶意软件的黑客组织。
由Trend Micro检测到的最后一组数据还表明,旨在传播Miori IoT恶意软件的黑客组织似乎想要利用该漏洞来入侵家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。
此外,从NewSky Security检测到另一组扫描来看,攻击者试图在运行着基于ThinkPHP的Web应用程序的服务器上运行Microsoft Powershell命令。NewSky Security的首席安全研究员Ankit Anubhav告诉ZDNet,“这些Powershell命令看上去有些多余。实际上,攻击者拥有的一些代码完全可以用来检查 *** 作系统的类型,并为不同的Linux服务器运行不同的漏洞利用代码,运行Powershell命令可能只是为了碰碰运气。”
事实上,最大规模扫描的发起者应该是上述被被安全专家命名为“D3c3mb3r”的黑客组织。但这个组织并没有做任何特别的事情。他们没有使用加密货币矿工或其他任何恶意软件来感染服务器。他们只是扫描易受攻击的服务器,然后运行一个基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告诉ZDNet:“我不确定他们的动机。”
根据Shodan搜索引擎的统计,目前有超过45800台运行着基于ThinkPHP的Web应用程序的服务器可在线访问。其中,有超过40000台托管在中国IP地址上。这主要是由于ThinkPHP的文档仅提供了中文版本,因此不太可能在国外被使用。这也是解释了为什么被认为易遭到攻击的网站大部分都是中文网站。
安全专家认为,随着越来越多的黑客组织了解到这种入侵 Web 服务器的方法,对中文网站的攻击也必然会有所增加。
此外,F5 Labs已经公布了有关这个ThinkPHP 漏洞的技术分析和POC的工作原理,大家可以通过点击这里进行查看。
本文由 黑客视界 综合网络整理,源自网络;转载请注明“转自黑客视界”,并附上链接。1: 学习他人经验
企业决策者都听到过有关物联网的炒作,但很多人不知道物联网如何能对业务带来实际影响。因此,企业在考虑部署物联网设备时,应该先花些时间与实际应用物联网的企业进行沟通,了解他们如何利用物联网。
2: 制定战略
每个企业都有独特的需求,并没有适合所有人的物联网项目。在你试验物联网或提交项目申请书之前,应该与企业关键决策者共同制定战略。这有助于确保用户认同物联网项目,还可以确保物联网项目为企业提供最高价值。
3:先实现较容易的目标
你引进的新技术需要快速的高度可见的成功。如果你的企业IoT战略与其他公司已经有着良好记录的IoT项目一致,应该先专注这些项目,因为这些项目相对容易实现和产生结果。此外,如果有的IoT项目可展示“项目部署之前和之后”的数据对比指标,这可以为新的IoT项目奠定基础。
4: 清理你的数据
物联网设备产生的数据或通过互联网传输的数据可能堵塞网络,IoT项目应该确定你想要的IoT数据,还应该确定你想要清除的IoT数据,你可以自己进行数据清理过程,或者外包给供应商
5: 想想你的客户
最佳IoT项目通常专注于客户的需求。这里很好的例子是市政电车系统,该系统现在使用IoT传感器来预测系统设备和跟踪故障,让维修人员可以主动地解决这些问题。这些IoT系统甚至可以在系统故障时发送消息到客户的手机,建议客户改变路线。
6:不要忘记故障转移
对于依赖于稳定IoT数据流的系统,通常都可能面临机器或互联网故障的威胁,导致数据流停止。如果你在使用IoT数据驱动的自动化工作流,特别重要的是,你的故障转移系统需要可以将这些工作流的控制转移到手动模式。
7: 加强安全防范
如果你使用来自互联网的原始物联网数据,这些数据可能给你带来恶意软件、病毒和其他安全威胁。对于考虑使用互联网IoT数据的企业,应该重新评估其安全做法,以确保本地和广域网的安全。
8: 结合IoT数据与现有数据
最大限度地利用物联网的最佳方式是结合内部系统记录中的数据。例如,如果你在收集你网站客户行为的数据,你可以将这些数据结合已有的客户信息,例如客户住在哪里以及其他关键数据。这让你可以更好地了解每个客户及其购买行为和喜好。
9: 设置基线和指标
你的IoT项目应该可以与过去公司业绩基准进行对比,通过这种方式,你可以很容易地展示物联网项目的成效,这可能是收入提高、更好的客户服务、更快的内部 *** 作完成时间、成本节约等。
10: 定义你的下一代IoT应用程序
当你的IoT项目取得阶段性成功时,你应该开始考虑如何应对更多的IoT应用程序。与参与制定战略的业务决策者商讨这个问题可以帮助你的IoT项目向前推进。
最后,你还要有一个符合项目的域名,用于平台的搭建,市场上域名的选择比较多,有com、cn、top,看实际情况选择简单介绍一下
一是统筹产业创新发展与保障数据安全。
二是尽快出台数据分类分级指南和管理细则,智能网联汽车行业可以借鉴金融、工业互联网等领域出台的相应的分类分级指南。
三是建立事前风险评估和事后应急响应机制。
四是重点关注跨境数据流动问题,希望后续在借鉴全球通用做法的同时,细化相应的数据流动规则。1、工业领域的应用:产品设备管理、能源管理、工业安全生产管理
2、农业领域的应用:温室环境信息的采集和控制、节水灌溉的控制和管理、环境信息和动植物信息的监测
3、智能家居领域的应用:家庭智能化、小区智能化和城市智能化三者之间融成一个真正广义的智能控制网
4、医疗领域的应用:整合的医疗保健平台、电子健康档案系统
5、城市安保领域的应用:实对城市安全的统一监控、统一存储和统一管理
6、环境监测领域的应用:主要是通过实施地表水水质的自动监测,实现水质的实施连续监测和远程监控
7、智能交通领域的应用:公交行业无线视频监控平台、智能公交站台、电子票务、车管专家和公交手机“一卡通”
8、物流领域的应用:供应链网络优化、供应链的可视性
9、智能校园领域的应用:电子钱包、身份识别和银行圈存
Windows 10系统成为了智能手机、PC、平板、Xbox One、物联网和其他各种办公设备的心脏,使设备之间提供无缝的 *** 作体验。通常为了对付恶意软件,win10系统也自带了恶意软件删除工具。下面,我就向大家介绍下win10系统自带恶意软件删除工具的打开方法。
具体如下:
1、按Win+R打开运行窗口,输入mrt回车就能打开系统自带的恶意软件删除工具;
2、点击“下一步”,开始选择扫描类型,若要指定位置可以使用自定义扫描,若要全盘搜索则选择完全扫描,若只扫描敏感位置可使用快速扫描;
3、选好类型后点击下一步开始扫描,根据扫描区域的大小消耗的时间也会不同,扫描完成后会显示扫描结果,可根据提示进行 *** 作。
想要使用win10系统自带恶意软件删除工具的朋友,可以按照上述步骤 *** 作看看!方法并不复杂,有需要的朋友不妨试着 *** 作看看!
补充:win10常用功能技巧
一、Win10技巧1窗口1/4分屏
从Win7时代开始,微软便引入了屏幕热区概念,即当你需要将一个窗口快速缩放至屏幕1/2尺寸时,只需将它直接拖拽到屏幕两边即可。在Win10中你会发现这项功能大大加强,除了左、右、上这三个热区外,我们还能拖拽至左上、左下、右上、右下四个边角,来实现更加强大的1/4分屏。(按住鼠标左键拖动某个窗口到屏幕任意一角,直到鼠标指针接触屏幕的一角,你就会看到显示一个虚化的大小为四分之一屏的半透明背景)
二、Win10技巧2强制调出Charm栏
Win10取消了桌面环境下的Charm边栏,即使在选项中勾选“当我指向右上角时,显示超级按钮”也无济于事,如果你用惯了它该怎么办呢很简单,按Win+C就可以实现!(右侧出现了Charm栏,左下角出现了时间和日期;在Charm栏中点击设置 - 电源,具有与Windows8系统中Charm栏同样的功能。)
三、Win10技巧3智能化窗口排列
Win10很好地解决了这个问题。当我们通过拖拽法将一个窗口分屏显示时(目前仅限1/2比例), *** 作系统就会利用屏幕剩余区域自动将其他窗口的缩略图展示出来。如果你希望哪个和当前窗口并排显示的话,那就直接点它吧!(点击任务栏上如图所示的按钮或Windows键+Tab键也可以出现分屏选择)
四、Win10技巧4游戏栏自定义快捷键
Game Bar在新版中独立于设置面板显示,但更重要的是,我们终于可以修改与之相关的快捷键了。虽然这不是一项普惠大众的设计,并非所有人都会用上它,但却彰显了Win10在人性化方面上的进步!
五、Win10技巧5小娜全屏响应
因为大家知道,黑客将无处不在。2016年10月21日,Dyn公司遭遇了一系列分布式拒绝服务(DDoS)攻击,这是由恶意软件僵尸网络Mirai造成的。一些知名的域名系统提供商的数百个主要网站都遭到攻击,其中包括Netflix,Twitter和PayPal公司。恶意软件在遭到黑客攻击的网络连接的摄像机和数字记录器的帮助下通过系统感染并传播。并且安全专家表示,他们对家庭电子和物联网(IoT)新威胁十分关注。
大数据的领导者应该特别注意最近的攻击行为,这就是为什么将物联网融入分析项目,其安全需要成为头等大事。
研究机构Gartner公司预计到2020年将部署260亿个物联网设备。这些物联网设备和传感器将连接到货运集装箱,设施报警,数据中心,HVAC环境监测设备,医院手术室等,并且将期望企业对从这些设备收集的信息。
已经部署在现场的物联网应用中,其中包括电气和燃气公用事业使用的智能电表。估计到2020年,全球将安装超过9亿部智能电表。亚洲正在向智能电网转型,其次是欧洲和北美。安装这些智能电表的成本超过1000亿美元,但预计的财务效益将达到1600亿美元。所以投资回报率(ROI)是存在的,但是企业还有什么需要担心的呢?
而使用智能电表,这些数百万计的具有物理暴露风险的设备,能够从多个入口点植入软件攻击,其损害的程度将会更大,这种物联网的暴露风险也适用于制造,物流和其他公司在企业边缘 *** 作物联网设备,甚至到业务高度集中的公司,其中恶意软件可能通过物联网监控的HVAC或环境监控设备实施破坏。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)