第14章物联网中的信息安全与隐私保护内容提要从信息安全和隐私保护的角度讲,物联网终端(RFID,传感器,智能信息设备)的广泛引入在提供更丰富信息的同时也增加了暴露这些信息的危险。本章将重点讨论RFID安全和位置隐私两大安全隐私问题。•第13章介绍了物联网的智能决策——数据挖掘技术。•数据挖掘的基本流程•典型的数据挖掘算法•物联网中数据挖掘技术的广泛应用•本章重点介绍物联网中RFID安全和位置隐私隐患以及典型的安全机制。内容回顾14.1概述14.2RFID安全和隐私14.3RFID安全和隐私保护机制14.4位置信息与个人隐私14.5保护位置隐私的手段网络安全的一般性指标有哪些?本章内容网络信息安全的一般性指标可靠性:三种测度标准(抗毁、生存、有效)可用性:用正常服务时间和整体工作时间之比衡量保密性:常用的保密技术(防侦听、防辐射、加密、物理保密)完整性:未经授权不能改变信息;与保密性的区别:保密性要求信息不被泄露给未授权的人,完整性要求信息不受各种原因破坏。不可抵赖性:参与者不能抵赖已完成的操作和承诺的特性可控性:对信息传播和内容的控制特性什么是隐私?隐私权:个人信息的自我决定权,包含个人信息、身体、财产或者自我决定等。物联网与隐私•不当使用会侵害隐私•恰当的技术可以保护隐私14.1概述14.2RFID安全和隐私14.3RFID安全和隐私保护机制14.4位置信息与个人隐私14.5保护位置隐私的手段RFID安全的现状如何?有哪些主要安全和隐私隐患?本章内容RFID安全现状概述RFID安全隐私标准规范和建议•EPCglobal在超高频第一类第二代标签空中接口规范中说明了RFID标签需支持的功能组件,其安全性要求有:物品级标签协议要求文档ISO/IEC:RFID数据安全准则•欧盟:《RFID隐私和数据保护的若干建议》主要安全隐患窃听(eavesdropping)•标签和阅读器之间通过无线射频通信•攻击者可以在设定通信距离外偷听信息中间人攻击(man-in-the-middleattack,MITM)•对reader(tag)伪装成tag(reader),传递、截取或修改通信消息•“扒手”系统主要安全隐患欺骗、重放、克隆•欺骗(spoofing):基于已掌握的标签数据通过阅读器•重放(replaying):将标签的回复记录并回放•克隆(cloning):形成原来标签的一个副本拒绝服务攻击(Denial-of-serviceattack,DoS)•通过不完整的交互请求消耗系统资源,如:产生标签冲突,影响正常读取发起认证消息,消耗系统计算资源•对标签的DoS消耗有限的标签内部状态,使之无法被正常识别主要安全隐患物理破解(corrupt)•标签容易获取•标签可能被破解:通过逆向工程等技术•破解之后可以发起进一步攻击推测此标签之前发送的消息内容推断其他标签的秘密篡改信息(modification)•非授权的修改或擦除标签数据主要安全隐患RFID病毒(virus,malware)•标签中可以写入一定量的代码•读取tag时,代码被注入系统SQL注入其他隐患•电子破坏•屏蔽干扰•拆除•…主要隐私问题隐私信息泄露•姓名、医疗记录等个人信息跟踪•监控,掌握用户行为规律和消费喜好等。•进一步攻击效率和隐私保护的矛盾•标签身份保密•快速验证标签需要知道标签身份,才能找到需要的信息•平衡:恰当、可用的安全和隐私14.1概述14.2RFID安全和隐私14.3RFID安全和隐私保护机制14.4位置信息与个人隐私14.5保护位置隐私的手段典型的隐私保护机制有哪些?本章内容早期物理安全机制•灭活(kill):杀死标签,使标签丧失功能,不能响应攻击者的扫描。•法拉第网罩:屏蔽电磁波,阻止标签被扫描。•主动干扰:用户主动广播无线信号阻止或破坏RFID阅读器的读取。•阻止标签(blocktag):通过特殊的标签碰撞算法阻止非授权阅读器读取那些阻止标签预定保护的标签。物理安全机制通过牺牲标签的部分功能满足隐私保护的要求。14.3RFID安全和隐私保护机制基于密码学的安全机制哈希锁(hash-lock)14.3RFID安全和隐私保护机制优点:初步访问控制威胁:偷听,跟踪基于密码学的安全机制随机哈希锁(randomizedhash-lock)14.3RFID安全和隐私保护机制优点:增强的安全和隐私线性复杂度key-search:O(N)基于密码学的安全机制哈希链(hashchain)14.3RFID安全和隐私保护机制优点:前向安全性威胁:DoS基于密码学的安全机制同步方法(synchronizationapproach)•预计算并存储标签的可能回复,如:•在哈希链方法中,可以为每个标签存储m个可能的回复,标签响应时直接在数据库中查找高效key-search:O(1)威胁:回放,DoS14.3RFID安全和隐私保护机制si+k=Hk(si),(0≦k≦m-1)ai+k=G(Hk(si)),(0≦k≦m-1)siai+1aisi+1HHHGG基于密码学的安全机制树形协议(tree-basedprotocol)14.3RFID安全和隐私保护机制基于密码学的安全机制树形协议(tree-basedprotocol)(续)对数复杂度key-search:O(logN),受破解攻击威胁,攻击成功率:14.3RFID安全和隐私保护机制其他方法•Physicalunclonablefunction,(PUF):利用制造过程中必然引入的随机性,用物理特性实现函数。具有容易计算,难以特征化的特点。•掩码:使用外加设备给阅读器和标签之间的通信加入额外保护。•通过网络编码(networkcoding)原理得到信息•可拆卸天线•带方向的标签14.3RFID安全和隐私保护机制如何面对安全和隐私挑战?•可用性与安全的统一无需为所有信息提供安全和隐私保护,信息分级别管理。•与其他技术结合生物识别近场通信(Nearfieldcommunication,NFC)•法律法规从法律法规角度增加通过RFID技术损害用户安全与隐私的代价,并为如何防范做出明确指导。14.1概述14.2RFID安全和隐私14.3RFID安全和隐私保护机制14.4位置信息与个人隐私14.5保护位置隐私的手段什么是位置隐私?本章内容14.4位置信息与个人隐私位置信息与基于位置的服务(LBS)14.4位置信息与个人隐私位置隐私的定义•用户对自己位置信息的掌控能力,包括:是否发布发布给谁详细程度保护位置隐私的重要性•三要素:时间、地点、人物•人身安全•隐私泄露位置隐私面临的威胁•通信•服务商•攻击者14.4位置信息与个人隐私14.1概述14.2RFID安全和隐私14.3RFID安全和隐私保护机制14.4位置信息与个人隐私14.5保护位置隐私的手段保护位置隐私的手段有哪些?本章内容14.5保护位置隐私的手段制度约束•5条原则(知情权、选择权、参与权、采集者、强制性)•优点一切隐私保护的基础有强制力确保实施•缺点各国隐私法规不同,为服务跨区域运营造成不便一刀切,难以针对不同人不同的隐私需求进行定制只能在隐私被侵害后发挥作用立法耗时甚久,难以赶上最新的技术进展14.5保护位置隐私的手段隐私方针:定制的针对性隐私保护•分类用户导向型,如PIDF(PresenceInformationDataFormat)服务提供商导向型,如P3P(PrivacyPreferencesProject)•优点可定制性好,用户可根据自身需要设置不同的隐私级别•缺点缺乏强制力保障实施对采用隐私方针机制的服务商有效,对不采用该机制的服务商无效14.5保护位置隐私的手段身份匿名:•认为“一切服务商皆可疑”•隐藏位置信息中的“身份”•服务商能利用位置信息提供服务,但无法根据位置信息推断用户身份•常用技术:K匿名14.5保护位置隐私的手段身份匿名(续)•优点不需要强制力保障实施对任何服务商均可使用在隐私被侵害前保护用户隐私•缺点牺牲服务质量通常需要借助“中间层”保障隐私无法应用于需要身份信息的服务K匿名•基本思想:让K个用户的位置信息不可分辨•两种方式空间上:扩大位置信息的覆盖范围时间上:延迟位置信息的发布•例:3-匿名绿点:用户精确位置蓝色方块:向服务商汇报的位置信息14.5保护位置隐私的手段数据混淆:保留身份,混淆位置信息中的其他部分,让攻击者无法得知用户的确切位置•三种方法模糊范围:精确位置-区域声东击西:偏离精确位置含糊其辞:引入语义词汇,例如“附近”•优点服务质量损失相对较小不需中间层,可定制性好支持需要身份信息的服务•缺点运行效率低支持的服务有限本章小结内容回顾本章介绍了RFID安全和典型的安全机制,以及位置隐私隐患和相应的保护手段。重点掌握•了解网络信息安全的一般性指标。•掌握主要的RFID安全隐患。•了解RFID安全保护机制,重点掌握基于密码学的安全机制。•理解位置信息的定义,举例说明保护位置信息的手段。Thankyou!