关键词 物联网 隐私
中图分类号:C913 文献标识码:A
Talking about the Problems of Internet Things Privacy
HUANG Ling
(College of Electronics and Information Engineering, Nanjing Institute of
Information Technology, Nanjing, Jiangsu 210046)
Abstract IOT(Internet of Things), as an emerging technology, attracts much attention form domestic academia and industry For its trend, this paper describes the basic concept and technical background Its development has an impact on the security and privacy of the involved stakeholders Measures ensuring the architecture"s resilience to attacks, data authentication, access control and client privacy need to be established
Key words Internet of things; privacy
1 物联网:概念和技术背景
物联网(IOT)是一个新兴的基于互联网的信息体系结构,促进商品和服务在全球供应链网络的交流。例如,某类商品的缺货,会自动报告给供应商,这反过来又立即引起电子或实物交付。从技术角度来看,物联网是基于数据通信的工具,主要是RFID(无线电射频识别)标签的物品,通过提供的IT基础设施,促进一个安全和可靠的 “物”的交流的方式。
基于目前普遍的看法,物联网的新的IT基础设施是由EPCglobal和GS1引入的电子产品代码(EPC)。“物”是携带一个特定EPC 的RFID标签的物理对象;基础设施可以给本地和远程的用户提供和查询EPC信息服务(EPCIS)。信息并不完全保存在RFID标签上,通过对象名称解析服务(ONS)的连接和互联。信息可由互联网上的分布式服务器提供,
ONS是权威的(连接元数据和服务),在这个意义上,实体可以拥有―集中―改变对有关EPC信息的控制。从而,该架构还可以作为无处不在的计算的骨干,使智能环境识别和确定对象,并接收来自互联网的资料,以方便他们的自适应功能。
ONS是基于知名的域名系统(DNS)。从技术上讲,为了使用DNS来找到有关物品的信息,该物品的EPC必须转换成DNS可以理解的格式,这是典型的“点”分隔的,由左往右形式的域名。EPC编码语法上是正确的域名,然后在使用现有的DNS基础设施,ONS可以考虑是DNS子集。然而,由于这个原因,ONS也将继承所有的DNS弱点。
2 安全和隐私需求
21 物联网技术的要求
物联网的技术架构对所涉及的利益相关者产生安全和隐私的影响。隐私权包括个人信息的隐蔽性以及能够控制此类信息的能力。隐私权可以看作一个基本的和不可剥夺的人权,或作为个人的权利。用户可能并不知道物体的标签的归属性,并有可能不是声音或视觉信号来引起使用物体的用户注意。因此不需要知道它们个体也可以被跟踪,留下它们的数据或可在其网络空间被追踪。
既然涉及到商业过程,高度的可靠性是必要的。在本文中,对所要求的安全和隐私进行了说明:(1)抗攻击的恢复能力:该系统应避免单点故障,并应自动调节到节点故障;(2)数据验证:作为一项原则,检索到的地址和对象的信息必须经过验证;(3)访问控制:信息供应商必须能够实现对所提供的数据访问控制;(4)客户隐私:只有信息供应商从观察一个特定的客户查询系统的使用可以进行推断,至少,对产品的推断应该是很难进行。
使用物联网技术的民营企业在一般的经营活动将这些要求纳入其风险管理意识中。
22 隐私增强技术(PET)
履行对客户隐私的要求是相当困难的。多项技术已经开发,以实现信息的隐私目标。这些隐私增强技术(PET)的可描述如下。(1)虚拟专用网络()是由商业伙伴的紧密团体建立的外联网。作为唯一的合作伙伴,他们承诺要保密。但是,这个方案不会允许一个动态的全球信息交换,考虑到外联网以外的第三方是不切实际的。(2)传输层安全(TLS),基于一个全球信托机构,还可以提高物联网的保密性和完整性。然而,每个ONS委派都需要一个新的TLS连接,信息搜索由于许多额外的层将产生负面影响。(3)DNS安全扩展(DNSSEC)的公共密钥加密技术记录资源记录,以保证提供的信息来源的真实性和完整性。然而,如果整个互联网界采用它。DNSSEC只能保证全球ONS信息的真实性。(4)洋葱路由对许多不同来源来编码和混合互联网上的数据,即数据可以打包到多个加密层,使用传输路径上的洋葱路由器的公共密钥加密。这个过程会妨碍一个特定的源与特定的互联网协议包匹配。然而,洋葱路由增加了等待时间,从而导致性能问题。(5)一旦提供了EPCIS私人信息检索系统(PIR)将隐瞒客户感兴趣的信息,然而,可扩展性和密钥管理,以及性能问题,会出现在诸如ONS的一个全球性的接入系统中,这使得这种方法变得不切实际的。(6)另一种方法来增加安全性和保密性是同行对等(P2P)系统,它表现出良好的的可扩展性和应用程序的性能。这些P2P系统是基于分布式哈希表(DHT)的。然而,访问控制,必须落实在实际的EPCIS本身,而不是在DHT中存储的数据,因为这两项设计没有提供加密。在这种情况下,使用普通的互联网和Web服务安全框架,EPCIS连接和客户身份验证的加密可以容易地实现,特别是,客户身份验证可以通过发布共享机密或使用公共密钥来实现。
重要的是,附加到一个对象RFID标签可以在稍后阶段被禁用,以便为客户来决定他们是否要使用标签。 RFID标签可及将其放入保护箔网格而禁用,网格称为“法拉第笼”,由于某些频率的无线电信号不能穿过,或将其“杀”死,如移除和销毁。然而,这两个选择有一定的缺点。虽然将标签放在笼子,相对比较安全的,如果客户需要,它需要每一个产品的每个标签都在笼中。某些标签将被忽略并留在客户那里,她/他仍然可以追溯到。发送一个“杀”命令给标签,留下重新激活的可能性或一些识别的信息在标签上。此外,企业可能倾向于为客户提供奖励机制不破坏标签或暗中给他们标签,不用杀死标签,解散标签和可识别对象之间的连接可以实现。ONS上面的信息可被删除,以保护对象的所有者的隐私。虽然标签仍然可以被读取,但是,关于各人的进一步信息,是不可检索。
此外,由RFID撷取的非个人可识别信息需要透明化。有源RFID可以实时跟踪游客的运动,不用识别哪个游客是匿名的 ;然而,在没有任何限制的情况下收集这些资料是否被传统隐私权的法律涵盖,这一问题仍然存在。
人们对隐私的关心的确是合理的,事实上,在物联网中数据的采集、处理和提取的实现方式与人们现在所熟知的方式是完全不同的, 在物联网中收集个人数据的场合相当多,因此,人类无法亲自掌控私人信息的公开。此外,信息存储的成本在不断降低,因此信息一旦产生, 将很有可能被永久保存,这使得数据遗忘的现象不复存在。实际上物联网严重威胁了个人隐私,而且在传统的互联网中多数是使用互联网的用户会出现隐私问题, 但是在物联网中,即使没有使用任何物联网服务的人也会出现隐私问题。确保信息数据的安全和隐私是物联网必须解决的问题,如果信息的安全性和隐私得不到保证,人们将不会将这项新技术融入他们的环境和生活中。
物联网的兴起既给人们的生活带来了诸多便利, 也使得人们对它的依赖性越来越大。如果物联网被恶意地入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。国家层面从一开始就要注意物联网的安全、可信、隐私等重大问题,如此才能保障物联网的可持续健康发展。安全问题需要从技术和法律上得到解决。
参考文献
[1] 吴功宜智慧的物联网[M]北京:机械工业出版社,2010.
[2] 宋文无线传感器网络技术与应用[M]北京:电子工业出版社,2007.
[3] ITU ITU In ternet Reports 2005: The Intern et of Th ings [R] Tun is, 2005
[4] In tern at ion alTelecomm unicat ion Un ion U IT ITU In ternetR eports 2005: The Internet of Th ings[R]2005信息安全审计概述
美国国防部1985年发布了可信计算机安全评估准则(TCSEC),计算机系统的安全可信性分为4大类:D、C、B和A。A为最高一类,C分为两个子类,B分为3个子类,共有7级。
中华人民共和国国家军用标准按处理的信息等级和采取的相应措施,将计算机系统的安全分为4等8级,分别为:
D等:最小保护。
C等:自主保护。
C1级:自主安全保护。
C2级:可控制访问保护。
B等:强制保护。
B1级:有标号的安全保护。
B2级:结构化保护。
B3级:安全域。
A等:验证保护。
A1级:验证设计。
超A1级。
中华人民共和国国家标准规定了计算机系统安全保护能力的5个等级,分别为:
第一级:用户自主保护级。
第二级:系统审计保护级。
第三级:安全标记保护级。
第四级:结构化保护级。
第五级:访问验证保护级。
安全审计是指将主体对客体访问和使用的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
安全审计是信息安全保障系统中的一个重要组成部分,具体包括两方面的内容:
采用网络监控与入侵防范系统,识别网络各种违规 *** 作与攻击行为,即时响应并进行阻断。
对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
安全审计系统的作用如下:
对潜在的攻击者起到震慑作用。
对已经发生的系统破坏行为提供追纠证据。
提供日志便于及时发现入侵行为和系统漏洞。
提供日志便于发现系统性能不足之处。
网络安全审计的具体内容有:
监控网络内部的用户活动。
侦查系统中存在的潜在威胁。
对日常运行状况的统计和分析。
对突发案件和异常事件的事后分析。
辅助侦破和取证。
CC标准将安全审计功能分为6个部分,分别为:
安全审计自动响应功能。
安全审计自动生成功能。
安全审计分析功能。
安全审计浏览功能。
安全审计事件选择功能。
安全审计事件存储功能。
建立安全审计系统
安全审计系统的主体建设方案有:
利用入侵检测预警系统实现网络与主机信息检测审计。
对重要应用系统运行情况的审计。
基于网络旁路监控方式安全审计。
安全审计系统S_Audit简介
S_Audit网络安全审计系统是国内复旦光华公司自主知识产权的产品,它在设计上采用了分步式审计和多层次审计相结合的方案。
S_Audit系统由审计中心、审计控制台和审计Agent组成。
审计中心是对整个审计系统的数据进行集中存储和管理,并进行应急响应的专有软件,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守的情况下长期运行。
审计控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件。
审计Agent将报警数据和需要记录的数据自动报送到审计中心,并由审计中心进行统一的调度管理。
评估安全威胁的方法主要有以下4种:
(1)查阅。查阅一些以网络安全为主题的信息资源,包括书籍、技术论文、报刊文章、新闻组以及邮件列表等。
(2)实验。获知入侵者进入系统的困难性的一种方法是进行自我攻击。
(3)调查。安全调查所获得的统计数据可以提供给管理者一些有用信息以便做出决断。
(4)测量。对潜在的威胁进行测量,通常使用陷阱。
通常使用一些陷阱可以有效地对威胁做出真实的评估而没有将个人和组织暴露的危险,使用陷阱主要有3个方面的好处:
(1)陷阱提供了真实世界的信息。如果通过适当的设计,入侵者会完全意识不到陷阱的存在。
(2)精心设计的陷阱能够安全地提供一些测量手段。
(3)陷阱能够用于延缓将来的攻击。
一个陷阱主要有3个组成部分,分别是诱饵、触发机关以及圈套。一个好的陷阱应该具备以下特征:
(1)良好的隐蔽性。网络陷阱对于入侵者来说,必须是不可见的。陷阱对外暴露的部分只有诱饵,只需要确保诱饵的特性不会暴露陷阱的存在。例如,可以使用SCSI分析器、网络协议分析器和日志信息。
(2)有吸引力的诱饵。诱饵的选择必须与环境相适应,例如,可以把冠以敏感信息的文件或文件夹作为诱饵。
(3)准确的触发机关。一个好的陷阱应该捕获入侵者而不应该捕获无辜者,触发机关的设置应该使失误率降到最低。设计时必须考虑由于失误所引起的信用问题,这是非常重要的。
(4)强有力的圈套。一个有效的陷阱必须有足够的能力来抵抗入侵者,这一点是设计好陷阱最为困难的事情。好的陷阱通常具有保留证据的能力。
不包括;
自然事件风险和人为事件风险
软件系统风险和软件过程风险
项目管理风险和应用风险
功能风险和效率风险以互联网为代表的计算机网络技术是二十世纪计算机科学的一项伟大成果,给我们的生活带来了深刻的变化,物联网是在互联网基础上发展而来的新一代网络。 物联网通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器、传感器等信息传感设备,按照约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,使现实世界中的所有物品与网络进行连接,实现了智能化识别、定位、跟踪、监控和管理。
物联网的应用
物联网发展至今,产业规模不断扩大,产业价值不断增加,物联网带来的价值和社会效应日益明显。 未来物联网将广泛用于智能交通、地防入侵、环境保护、政府工作、公共安全、智能电网、工业监测等多个领域。物联网是继计算机、互联网与移动通信网之后的又一次信息产业浪潮。有专家预测10 年内物联网将大规模普及,这一技术将会发展成为一个上万亿元规模的高科技市场。
例如,电力企业经营管理就体现了运用物联网关键技术的最佳实践。应用物联网技术和现代管理理念对燃料的管理流程进行规范化,采用先进的RFID 射频识别、视频监控、红外线感应、车辆跟踪定位、自动化计量系统,与企业原有的管理信息系统紧密结合,对企业燃料采购计划、计量检验、入库和结算进行全方位监管,对燃料实行集中控制,为每批次燃料均准备独立的身份标签,对燃料本身与燃料合同、计量检验等进行一体化管理,实现燃料管理全过程的自动、闭环控制。还可以把传感器嵌入到电力企业的生产设备、物资运输设备等各个环节中去,去捕获、收集设备运行状况以及技术人员管理的信息,进而通过软件应用系统进行处理和分析,提出辅助决策或预案,整合电力系统中环境基础设施、材料设备以及人员的控制和管理,使人们可以更加精细和灵活的管理生产经营。
物联网风险及其管理
发展物联网的价值无疑是巨大的,物联网对于当前社会的影响也是不容忽视的,在安全与隐私方面的不利影响已经被人们所认识和关注,成为影响物联网发展的风险因素。物联网从技术上体现了现代科技进步,然而物联网的发展在社会生活的各领域存在诸多风险,需要细致的分析新技术对社会的影响,特别是要积极的应对物联网面临的风险。
物联网接入的各种传感器很可能成为“监听和监视”的工具,物联网的商业应用,为了创造商机挖掘个人隐私,极大地威胁隐私安全,比如传感器在何处设置、由谁设置、谁能阅读物联网信息等等,这些物联网隐私和信息权利的复杂性加剧了物联网商业滥用的风险。 物联网电子标签的使用使风险威胁来自两个方面:首先是标签信息泄露问题,其次是通过标签的唯一标识符进行恶意追踪问题。信息泄露是指暴露标签发送信息,当电子标签应用在药品上时,可能暴露药物使用者的病理;当电子档案、生物特征添加到电子标签中时,标签信息泄露问题便极大地危害了个人隐私。恶意追踪可以在不同的时间不同的地点识别标签,得出标签的定位信息。因此可以通过标签的定位信息获得标签持有者的行踪,并且标签识别装备相对价格低廉,极易隐藏并且使用寿命很长,这就加剧了恶意追踪的风险。
对此,笔者建议,在物联网的风险管理中,应深入研究物联网的影响,构建统一的物联网监管体系,综合治理物联网风险,以切实可行的综合措施引导物联网健康发展,减少物联网风险。 关键技术逐渐成熟,管理机制逐步规范,隐私保护与信息安全同步推进,推动物联网内不同对象间的信息交换更加便捷、高效、安全、低成本、自主式、智能化。从技术现代性的角度,思考物联网的问题和风险,对物联网的未来发展富有启发意义。结构类型的物联网不包括会话层。
尽管在物联网体系结构上尚未形成全球统一规范,但目前大多数文献将物联网体系结构分为三层,即感知层、网络层和应用层。
感知层或感知执行层是物联网的基础,是联系物理世界与虚拟信息世界的纽带。物联网的应用领域不包括智能通信。
物联网的应用领域:
1、智慧物流。
2、智能交通。
3、智能安防。
4、智慧能源环保。
5、智能医疗。
6、智慧建筑。
7、智能制造。
8、智能家居。
9、智能零售。
10智慧农业。
在这十大行业中,采用物联网技术的主要作用就是为了获取数据,而后可根据获取的数据运用云计算、边缘计算以及人工智能等技术进行处理,帮助人们更好的进行决策。物联网等相关技术作为数据获取的主要方式,在未来的发展中至关重要。
物联网是一个大的产业,涉及方方面面。面对新一轮的科技革命和产业革命,物联网正孕育着巨大的潜能,物联网产业的未来发展,我们拭目以待。亲 您好,很高兴能够为您解答问题!亲亲物联网平台不包括海量数据存储呢,物联网(Internet of Things,简称IoT)是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、 连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络[1物联网典型功能不包括改变信息采集。物联网典型功能包括,数据检索,数据维护,数据存储。不包括信息采集。物联网是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)