搜索
暨南大学本科生课程论文【仅供参考学习!】论文题目:物联网中数据内容的保护及其法律上的国际合作学院:学系:专业:课程名称:物联网:技术、应用与商业模式学生姓名:学号:指导教师:2015年12月10日[物联网中数据内容的保护及其法律上的国际合作]2物联网中数据内容的保护及其法律上的国际合作[摘要]:随着物联网技术的不断发展,物联网中数据内容的保护已成为目前研究的热点,其在法律上的国际合作也有着比较深刻的变化,本文介绍了物联网及其数据内容的保护及其法律上的国际合作:包括物联网的概念、物联网的安全现状、物联网隐私的保护机制;以及对物联网数据内容保护的法律研究及其国际合作。[关键词]物联网;数据保护;法律;国际合作[物联网中数据内容的保护及其法律上的国际合作]31.物联网中数据内容的保护1.1.物联网的概念1991年美国麻省理工学院(MIT)的KevinAsh-ton教授首次提出物联网(TheInternetofthings)的概念。1999年麻省理工大学(MIT)成立了自动识别中心,提出了产品电子码(EPC)的概念,形成了将RFID与传感器技术应用于日常物品中构成一个“物联网”的设想。通常,物联网可以看作是通过信息传感设备,按约定的协议实现人与人、人与物、物与物全面互联的网络,其主要特征是通过射频识别、传感器等方式获取物理世界的各种信息,利用互联网、移动通信网等网络进行信息的传输与交互,采用智能计算技术对信息进行分析处理,从而提高对物质世界的感知能力,实现智能化的决策和控制[1]。1.2.物联网的安全现状1.2.1物联网的发展现状广东省物联网发展起步早、势头好,近年来物联网基础设施不断完善,新型业态加快发展,行业应用日益深化,自主创新能力稳步提升,产业规模持续壮大,物联网发展总体水平在全国领先。2012年,全省固定宽带网络和3G以上无线网络覆盖所有行政村;物联网相关专利申请量和技术标准发布量达1216项;物流与供应链领域重点企业射频识别(RFID)应用普及率达36%;物联网应用在生产制造、公共管理、社会民生等领域广泛渗透;物联网产业市场规模超过1300亿元,同比增长超过30%。但我省物联网发展也面临着关键共性技术研发能力不强、集成创新不足、市场对产业发展引导不够、大规模应用市场尚未形成等问题。[2]除此之外,物联网发展过程中的数据安全问题也值得关注。1.2.2物联网安全物联网包含了数据采集、传输、处理、存储和应用的全过程,在其早期发展中就已暴露出数据泄露方面的安全隐患,解决物联网的数据安全问题将是物联网在实际应用过程中的一个重大挑战。例如,一个用于监测生产机器工作状态的监测仪收集机器的工装状态、生产件数等数据,这些数据按传输路线先被传送至本地中心暂时存储并处理,而非直接传送到工程办公室。传输路径上的转载点越多时,数据泄露或遭窃取的概率就越[物联网中数据内容的保护及其法律上的国际合作]4大。根据物联网中所需保护的数据内容,物联网的数据安全威胁分为以下3类[3]:1)个人隐私个人隐私是物联网保护的重要内容,主要指物联网应用过程中涉及的用户身份信息、位置信息、生活喜好等个人私密信息。除了用户身份信息等最基本的敏感信息外,由于物联网的很多应用与人们的日常生活息息相关,因此在其应用过程中还需要收集与个人生活、爱好习惯、言行举止等方面相关的信息,而这些信息一般属于个人隐私范畴。2)系统数据系统数据是指存储在物联网相关软硬件设备中或是由相关设备收发的控制、命令、警告等设备系统信息,其安全(特别是数据完整性)直接影响到物联网设备及系统的正常运行,并有可能间接影响到组织的安全运行或人员的人身财产安全。3)应用数据除了上述个人隐私数据和系统数据以外,应用数据是物联网保护的另一个关键内容,主要包含在物联网数据采集、传输、处理、存储和应用过程中感知和监测到的各类业务应用数据,这些数据的安全直接影响到物联网应用系统服务对象的生命财产安全,甚至危害到社会公共利益和国家安全。1.2.3物联网安全需求[3]物联网中的数据安全需求基本上与传统网络中的数据安全需求相同,即数据的保密性、完整性和可用性。也就是说,数据的来源和内容应当真实可靠,同时仅为授权的实体所用,且一经授权数据必须有效可用。(1)数据保密性。在物联网应用中,数据通常需要经过许多转载点才能从数据源传输到达最终目的地,因此,需要保护在各转载点上保存、处理和传送的数据,确保未经授权的实体无法获知相关数据内容。(2)数据完整性。物联网中的应用数据通常都是具有敏感性的关键数据,因此,在数据保密之外必须确保数据的完整性,要求数据在保存、处理和传送过程中不会未经授权而被篡改。(3)数据可用性。在保证数据保密性和完整性的基础上,应当尽可能考虑数据和系统的可用性,确保系统正常运行以及针对授权用户的服务不被拒绝。在物联网应用过[物联网中数据内容的保护及其法律上的国际合作]5程中,特别需要防范发生拒绝服务类攻击(DDoS)。1.3物联网数据内容的保护机制[4]对于物联网的隐私保护问题,可以参考的传统网络安全机制如下所述,但要针对物联网网络特征甄别使用。1.3.1认证机制用户认证是用户向系统出示自己身份证明的一种模式,保证只有合法的用户才能存取系统中的信息。用户认证可以使通信双方确认对方的身份并进行会话密钥交换。用户认证是物联网系统对访问者授权的前提,功能完善的表示与认证机制是访问控制机制有效实施的基础。对于多用户系统的开放网络环境,认证是物联网隐私保护的第一个重要环节。保密性和及时性是用户认证的重要需求。为了防止假冒会话密钥和防止会话密钥的泄露,用户标识和会话密钥在传输时首先要进行加密,用于加密的公钥需要受到特别的保护,以防止在恶意攻击者利用重放攻击等行为威胁会话密钥或者成功假冒通信方。近年来用户认证技术发展迅速,一些实体认证新技术在物联网集成环境中得到应用,如通行字认证、数字证书认证、智能卡认证、个人特征识别等。1.3.2访问控制机制采用访问控制机制进行隐私保护的方法,是目前国内外普遍开展的一个研究方向,访问控制的目的是保证只有授权用户可以对数据进行经过授权的相关操作。受到广泛关注的基于角色的访问控制可以通过控制访问者的角色范围权限,进而赋予不同角色不同权限,只需要分配不同用户相应角色就可以区分不用用户的权限大小,并可以仅改变角色的权限范围改变用户权限范围。访问控制的目的是保证用户对物联网系统只能进行经过授权的操作。访问控制机制中,一般把被访问的资源称为客体,以用户名义进行的资源访问等实体称为主体。1.3.3加密技术加密技术只能对通信数据的内容进行保护,在电子商务等一些特殊应用领域,用户身份、行为、位置等隐私信息的保护是平衡整个系统安全的重要因素之一。采用数据加密的方法,诸如基于安全多方计算的隐私保护方法,就是基于密码学方法的技术。1.3.4匿名技术常用的隐私保护技术是利用匿名技术抵抗窃听和篡改攻击,匿名技术在增强用户身[物联网中数据内容的保护及其法律上的国际合作]6份等隐私数据保护的同时,恶意窃听者也受到了保护,如何保护授权用户的同时又能防止恶意攻击的行为是推动物联网技术大规模应用的关键。物联网将安全与隐私的要求提到了一个新的高度。物联网隐私保护的关键问题可归纳为基于位置的隐私保护问题;基于身份的隐私保护问题和基于数据的隐私保护问题。采用匿名技术进行隐私保护,采用中间代理来隐藏用户的身份,达到保护隐私安全的需要。除了传统的匿名技术有k-匿名技术,还有很多新的分支,如基于基于洋葱路由的匿名技术;基于路由的匿名技术;代理服务器的匿名技术等。这几种匿名技术较为传统,都存在不用程度的缺陷,最主要的缺点在于匿名技术隐藏了用户的身份,但当身份被泄露,用户的其他相关信息就都泄露了。1.3.5P3P技术采用P3P技术支持隐私保护的方法,是通过一种标准的机器可读的XML格式描述隐私政策,用户可以自定义自己的隐私偏好,用户可以自动或半自动地决定是否接受网站的隐私政策。P3P本身可以告知用户是否同意隐私被收集,但不能保证各网站是否履行其隐私政策[5],所以P3P技术不能完全解决隐私保护问题。1.3.6三方会话机制网站的用户,通过第三方的参与网络进行信息交换,这样从根本上就存在用户个人信息泄露的可能性是通常意义的三方会话机制保护方式。1.3.7推理控制的方法采用推理控制的方法解决隐私保护问题正处于理论探讨阶段,推理的基本原理是用户根据低密级的隐私信息和模式的完整性约束推导出高密级的隐私信息,造成未授权的信息泄露。目前常采用的方法为语义数据模型方法、形式化方法、多实例方法和查询限制方法。这些方法可以防止通过推理泄露未授权的访问,也可能会限制合法用户的正常查询,存在用户对于服务的需求和隐私保护需求之间的矛盾。[物联网中数据内容的保护及其法律上的国际合作]72.物联网法律研究及其国际合作2.1.物联网相关法律研究2.1.1物联网发展面临的法律问题[5](一)难以遏制的物联网犯罪科技和犯罪总是形影相随的,物联网产业也是如此。随着RFID的触角逐渐伸展到我们生产、生活的每一个角落,利用物联网技术的犯罪活动也开始崭露头角。但由于不能超前制定法律制度,所以司法机关只能“善用自由裁量权”,这样做的结果就是对犯罪分子量刑时要么过轻,要么过重,是有争议的法治。(二)隐患重重的国家机密安全当下我国政府正在大规模建设必要的基础设施,而我国物联网产业的发展也已涉及物流、智能交通、环境保护、政府工作、公共安全、水系监测等多个领域,甚至包括军事领域。这些关乎国计民生的基础设施一旦遭遇风险,根据“级联效应”,势必会产生重大的政治和军事后果。由于RFID自身的特点和物联网所具有的能力,将世界上的万事万物互通互联,交织成了一张天罗地网。所以想要再像过去那样,用物理隔离等强制手段来人为地干预信息交换是完全不可能的。这样一个被包围在天罗地网下的国家,就是一个透明的国家。如果信息安全措施不到位,或者数据管理存在漏洞,那么国家安全将会遭到灭顶之灾。再加上我国国有大型企业、地方政府与外方合作项目,也都会由于目前我国的信息产业“自主可控”程度及技术发展水平的落后,而使得国家、地方政府的机密面临泄露、黑客攻击等安全风险。(三)令人堪忧的个人隐私与商业机密的保护传统法律对隐私权的保护模式因为物联网时代的到来而被彻底地颠覆了。这是因为,通过物体上被植入的各种微型感应芯片,物联网上的“物’就可以“说话”了,而这个“物’一旦开口说话自然罄会存在泄密的风险了。任何人都可以很容易地获得该“物’上的任何信异当然也包括了商业机密和个人隐私。例外通过供应链中的被标记的商品,企业的竞争对手可以很方便地远程收集企业的供应链数据;商品的标签标明制造商、产品类型和其它特征,在顾客购买商品时暴露顾客的品质偏好和个性特征等等。所以物联[物联网中数据内容的保护及其法律上的国际合作]8网时代我们对“自己的’那一小部分数据正在逐渐失去“控制”,“无私可隐’将会是摆在所有人面前的一个现实问题。另外,由于物联网上的每一个“物”都可以是一个终端,每一个“物”都有一个唯一可识别的属性。因此在对物联网产业的管理过程中,出现了影响“债权和物权’的法律概念的情况,出现了电子证据严格证明力纷争和货物流通诉讼管辖范围扩大等法律问题,所有的这些都已对现行的法律法规体系构成了法律上的挑战,亟待得到解决。2.1.2物联网安全和隐私的行政法律保护[6](1)抽象行政行为。目前,我国关于物联网安全和隐私方面的法律法规几乎是空白,而世界上已经有不少国家制定了相关的法律法规。为此,我国行政机关也应该制定相关的法规、规章来保护社会安全和隐私。比如:制定关于通过RFID技术损害社会安全和隐私的代价的法规,并对如何防范其他的安全和隐私威胁做出明确的说明。针对物联网隐私规章的地域性影响数据所有权等问题,明晰统一的法律诠释并建立完善的保护机制。通过政策法规加大对物联网信息涉及到的国家安全企业机密和个人隐私的保护力度,完善监管组织体系,形成监管合力。(2)具体行政行为。行政机关可以对破坏物联网设备,窃取他人信息的违法行为给予行政处罚,包括:警告、罚款、没