1、2023-4-26通信与信息工程学院1第第14章章 物联网中的信息安全物联网中的信息安全与隐私保护与隐私保护2023-4-26通信与信息工程学院2物联网终端(物联网终端(RFID,传感器,智能信息设备)的广泛引入在,传感器,智能信息设备)的广泛引入在提供更丰富信息的同时也增加了暴露这些信息的危险提供更丰富信息的同时也增加了暴露这些信息的危险重点讨论重点讨论RFID安全和位置隐私两大安全隐私问题安全和位置隐私两大安全隐私问题14.1 物联网安全和隐私概述物联网安全和隐私概述14.2 RFID安全和隐私安全和隐私14.3 RFID安全和隐私保护机制安全和隐私保护机制14.4 位置信息与个人隐私位置
2、信息与个人隐私14.5 保护位置隐私的手段保护位置隐私的手段第第14章章 物联网中的信息安全与隐私保护物联网中的信息安全与隐私保护2023-4-26通信与信息工程学院314.1 物联网安全和隐私概述物联网安全和隐私概述2023-4-26通信与信息工程学院414.1 物联网隐私和安全概述物联网隐私和安全概述网络信息安全的一般性指标网络信息安全的一般性指标可靠性:可靠性:系统在规定条件与规定时间内完成规定功能的特性系统在规定条件与规定时间内完成规定功能的特性三种测度标准三种测度标准抗毁:系统在被破坏的情况下仍能提供部分服务抗毁:系统在被破坏的情况下仍能提供部分服务生存:在随机破坏或网络结构发生变化
3、时仍保持一定可靠性生存:在随机破坏或网络结构发生变化时仍保持一定可靠性有效:系统部分部件失灵时,依然可满足业务要求有效:系统部分部件失灵时,依然可满足业务要求可用性:可用性:系统服务可被授权实体访问并按需求使用。可用正常系统服务可被授权实体访问并按需求使用。可用正常服务时间和整体工作时间之比进行衡量服务时间和整体工作时间之比进行衡量2023-4-26通信与信息工程学院514.1 物联网隐私和安全概述物联网隐私和安全概述保密性:保密性:信息只能被授权用户使用,不被泄露信息只能被授权用户使用,不被泄露常用的保密技术(防侦听、防辐射、加密、物理保密)常用的保密技术(防侦听、防辐射、加密、物理保密)完
4、整性:完整性:未经授权不能改变信息未经授权不能改变信息(设备故障、误码、攻击)(设备故障、误码、攻击)与保密性的区别:与保密性的区别:保密性要求信息不被泄露给未授权的人,完保密性要求信息不被泄露给未授权的人,完整性要求信息不受各种原因破坏整性要求信息不受各种原因破坏不可抵赖性:不可抵赖性:参与者不能抵赖已完成的操作和承诺的特性参与者不能抵赖已完成的操作和承诺的特性(信(信源证据与接收证据)源证据与接收证据)可控性:可控性:对信息传播和内容的控制特性对信息传播和内容的控制特性2023-4-26通信与信息工程学院614.1 物联网隐私和安全概述物联网隐私和安全概述1、隐私权:、隐私权:个人信息的自
5、我决定权个人信息的自我决定权,包含个人信息、身体、,包含个人信息、身体、财产或者自我决定等财产或者自我决定等2、物联网是否会侵害隐私权、物联网是否会侵害隐私权l 物联网或物联网数据的不当使用会侵害隐私物联网或物联网数据的不当使用会侵害隐私l 需采用适当的技术保护隐私需采用适当的技术保护隐私2023-4-26通信与信息工程学院714.2 RFID安全和隐私安全和隐私2023-4-26通信与信息工程学院814.2 RFID安全和隐私安全和隐私14.2.1 RFID的安全现状的安全现状RFID安全隐私标准规范和建议安全隐私标准规范和建议l 全球电子产品编码(全球电子产品编码(EPCglobal)组织
6、:规范了)组织:规范了RFID标签需标签需要支持的功能组件,其安全性要求包括:要支持的功能组件,其安全性要求包括:物品级标签协议要求文档物品级标签协议要求文档 ISO/IEC:RFID数据安全准则数据安全准则l 欧盟:欧盟:RFID隐私和数据保护的若干建议隐私和数据保护的若干建议2023-4-26通信与信息工程学院914.2 RFID安全和隐私安全和隐私14.2.2 主要安全和隐私隐患主要安全和隐私隐患RFID系统分为阅读器、天线和标签系统分为阅读器、天线和标签三大组件三大组件安全隐私问题集中在标签本身及标签和阅读器之间的通信上安全隐私问题集中在标签本身及标签和阅读器之间的通信上1、主要安全隐
7、患、主要安全隐患(1)窃听:标签和阅读器之间通过无线射频通信,攻击者可)窃听:标签和阅读器之间通过无线射频通信,攻击者可在设定通信距离外偷听信息在设定通信距离外偷听信息(2)中间人攻击:对)中间人攻击:对reader(tag)伪装成伪装成tag(reader),传递、截,传递、截取或修改通信消息取或修改通信消息“扒手扒手”系统(公交卡读卡器)系统(公交卡读卡器)2023-4-26通信与信息工程学院1014.2 RFID安全和隐私安全和隐私(3)欺骗、重放、克隆欺骗、重放、克隆(超市购物与门禁系统)(超市购物与门禁系统)欺骗:基于已掌握的标签数据骗过阅读器欺骗:基于已掌握的标签数据骗过阅读器重放
8、:将标签的回复记录并回放重放:将标签的回复记录并回放克隆:形成原来标签的一个副本克隆:形成原来标签的一个副本(4)物理破解:标签容易获取,通过逆向工程即可破解)物理破解:标签容易获取,通过逆向工程即可破解破解后发起进一步攻击,推测标签之前发送的消息内容,并推破解后发起进一步攻击,推测标签之前发送的消息内容,并推断其它标签的秘密断其它标签的秘密(5)篡改信息:非授权修改或擦除标签数据篡改信息:非授权修改或擦除标签数据2023-4-26通信与信息工程学院1114.2 RFID安全和隐私安全和隐私(6)拒绝服务攻击:通过不完整交互请求消耗系统资源,如:)拒绝服务攻击:通过不完整交互请求消耗系统资源,
9、如:产生标签冲突,影响正常读取。从而消耗有限的标签内部状态,产生标签冲突,影响正常读取。从而消耗有限的标签内部状态,使之无法被正常识别使之无法被正常识别(7)RFID病毒:标签中可写入一定量的代码,读取时,代码病毒:标签中可写入一定量的代码,读取时,代码注入系统注入系统(8)其它隐患:电子破坏、屏蔽干扰、拆除等)其它隐患:电子破坏、屏蔽干扰、拆除等2023-4-26通信与信息工程学院1214.2 RFID安全和隐私安全和隐私2、主要隐私问题、主要隐私问题(1)隐私信息泄露:姓名、医疗记录等个人敏感信息)隐私信息泄露:姓名、医疗记录等个人敏感信息(2)跟踪:监控掌握用户行为规律和消费喜好等)跟踪
10、:监控掌握用户行为规律和消费喜好等14.2.3 安全性与效率(互为安全性与效率(互为矛盾)矛盾)标签身份保密标签身份保密 快速验证标签需要知道标签身份,才能找到所需快速验证标签需要知道标签身份,才能找到所需 成本约束下,平衡安全、隐私和系统可用性之间的关系成本约束下,平衡安全、隐私和系统可用性之间的关系2023-4-26通信与信息工程学院1314.3 RFID安全和隐私安全和隐私保护机制保护机制2023-4-26通信与信息工程学院1414.3 RFID安全和隐私保护机制安全和隐私保护机制14.3.1 早期物理安全机制早期物理安全机制1、灭活:、灭活:由由RFID三大标准组织之一的三大标准组织之
11、一的Auto-ID Center提出提出杀死标签,使标签丧失功能,不能响应攻击者的扫描杀死标签,使标签丧失功能,不能响应攻击者的扫描l破坏了标签功能,合法用户无法继续使用标签破坏了标签功能,合法用户无法继续使用标签2、法拉第网罩:、法拉第网罩:屏蔽电磁波,阻止标签被扫描屏蔽电磁波,阻止标签被扫描l标签使用不便利,且不适应泛在的物联网服务标签使用不便利,且不适应泛在的物联网服务3、主动干扰:、主动干扰:用户主动广播无线信号阻止非法阅读器的读取用户主动广播无线信号阻止非法阅读器的读取l产生非法干扰,影响其它无线系统的正常工作产生非法干扰,影响其它无线系统的正常工作2023-4-26通信与信息工程学
12、院1514.3 RFID安全和隐私保护机制安全和隐私保护机制4、阻止标签:、阻止标签:通过特殊标签碰撞算法阻止非授权阅读器读取通过特殊标签碰撞算法阻止非授权阅读器读取预定保护的标签,需要时再取消阻止,使标签可读预定保护的标签,需要时再取消阻止,使标签可读l标签使用不便利,且不适应泛在的物联网服务标签使用不便利,且不适应泛在的物联网服务物理安全机制通过物理安全机制通过牺牲标签的部分功能牺牲标签的部分功能满足隐私保护的要求满足隐私保护的要求2023-4-26通信与信息工程学院1614.3 RFID安全和隐私保护机制安全和隐私保护机制14.3.2 基于密码学的安全机制基于密码学的安全机制*1、哈希锁
13、、哈希锁使用密码学中的哈希函数实现使用密码学中的哈希函数实现锁定与解锁过程锁定与解锁过程优点:初步访问控制优点:初步访问控制缺点:易被偷听与跟踪缺点:易被偷听与跟踪2023-4-26通信与信息工程学院1714.3 RFID安全和隐私保护机制安全和隐私保护机制2、随机哈希锁、随机哈希锁哈希锁的扩展哈希锁的扩展优点:增强的安全和隐私优点:增强的安全和隐私缺点:操作复杂度大大增加缺点:操作复杂度大大增加2023-4-26通信与信息工程学院1814.3 RFID安全和隐私保护机制安全和隐私保护机制3、哈希链、哈希链阅读器收到标签响应后进行计算,利用哈希值与收到信息进阅读器收到标签响应后进行计算,利用哈
14、希值与收到信息进行匹配行匹配优点:前向安全性优点:前向安全性缺点:系统负荷过大,有时甚至会无法正常工作缺点:系统负荷过大,有时甚至会无法正常工作2023-4-26通信与信息工程学院1914.3 RFID安全和隐私保护机制安全和隐私保护机制4、同步方法、同步方法对标签所有可能的回复进行预计算并存储至数据库对标签所有可能的回复进行预计算并存储至数据库在哈希链方法中,可以为每个标签存储在哈希链方法中,可以为每个标签存储m个可能的回复,标个可能的回复,标签响应时直接在数据库中查找签响应时直接在数据库中查找5、树形协议、树形协议标签含有多个秘钥,秘钥组织于树形结构中,秘钥个数取决标签含有多个秘钥,秘钥组
15、织于树形结构中,秘钥个数取决于树形结构的层次于树形结构的层次秘钥破解几率(表秘钥破解几率(表14.1,P287)2023-4-26通信与信息工程学院2014.3 RFID安全和隐私保护机制安全和隐私保护机制14.3.3 其它方法其它方法1、基于物理不可克隆函数(、基于物理不可克隆函数(PUF:Physical Unclonable Function)的方法)的方法利用制造过程中引入的随机性,用物理特性实现函数利用制造过程中引入的随机性,用物理特性实现函数具有容易计算,难以特征化的特点具有容易计算,难以特征化的特点2、基于掩码的方法、基于掩码的方法使用外加设备给阅读器和标签之间的通信加入额外保护
16、使用外加设备给阅读器和标签之间的通信加入额外保护l需要外加设备,影响标签便利性需要外加设备,影响标签便利性2023-4-26通信与信息工程学院2114.3 RFID安全和隐私保护机制安全和隐私保护机制14.3.4 如何面对安全和隐私挑战如何面对安全和隐私挑战1、可用性与安全的统一:、可用性与安全的统一:无需为所有信息提供安全和隐私无需为所有信息提供安全和隐私保护,信息可分级别进行管理保护,信息可分级别进行管理2、与其它技术结合解决安全问题:、与其它技术结合解决安全问题:生物识别技术、近场通生物识别技术、近场通信(信(NFC:Near Field Communication)3、法律法规:、法律
17、法规:从法律法规角度提高通过从法律法规角度提高通过RFID技术损害用技术损害用户安全与隐私的违法代价,并为如何防范做出明确指导户安全与隐私的违法代价,并为如何防范做出明确指导2023-4-26通信与信息工程学院2214.4 位置信息与个人隐私位置信息与个人隐私2023-4-26通信与信息工程学院2314.4 位置信息与个人隐私位置信息与个人隐私定位技术快速发展,带来对用户位置信息保护的思考定位技术快速发展,带来对用户位置信息保护的思考14.4.1 位置隐私的定义位置隐私的定义用户对自身位置信息的掌控能力,包括:是否发布、发布给用户对自身位置信息的掌控能力,包括:是否发布、发布给谁、详细程度谁、
18、详细程度14.4.2 保护位置隐私的重要性保护位置隐私的重要性 三要素:时间、地点、人物三要素:时间、地点、人物 隐私泄露引发人身安全问题,同时会泄露过多的个人信息隐私泄露引发人身安全问题,同时会泄露过多的个人信息2023-4-26通信与信息工程学院2414.4 位置信息与个人隐私位置信息与个人隐私14.4.3 位置隐私面临的威胁位置隐私面临的威胁窃取位置隐私的手段窃取位置隐私的手段(1)通信线路遭遇他人窃听)通信线路遭遇他人窃听(2)服务提供商对用户信息保护不力)服务提供商对用户信息保护不力(3)服务提供商与攻击者串通一气,甚至合二为一)服务提供商与攻击者串通一气,甚至合二为一2023-4-
19、26通信与信息工程学院2514.5 保护位置隐私的手段保护位置隐私的手段2023-4-26通信与信息工程学院2614.5 保护位置隐私的手段保护位置隐私的手段保护手段分为保护手段分为4类类(1)制度约束:通过法律规章制度规范对位置信息的使用)制度约束:通过法律规章制度规范对位置信息的使用(2)隐私方针:允许用户根据自身需要制定相应的位置隐私)隐私方针:允许用户根据自身需要制定相应的位置隐私 方针方针(3)身份匿名:用匿名代号替换位置信息中的真实身份)身份匿名:用匿名代号替换位置信息中的真实身份(4)数据混淆:位置信息中提供伪装数据,混淆攻击者视听)数据混淆:位置信息中提供伪装数据,混淆攻击者视
20、听为保护位置隐私,总要牺牲服务的质量。故要在位置隐私与为保护位置隐私,总要牺牲服务的质量。故要在位置隐私与服务质量之间找到均衡点服务质量之间找到均衡点2023-4-26通信与信息工程学院2714.5 保护位置隐私的手段保护位置隐私的手段14.5.1 制度约束制度约束遵循五条原则遵循五条原则(1)知情权:在用户知晓的前提下进行位置信息采集)知情权:在用户知晓的前提下进行位置信息采集(2)选择权:用户可自由选择位置信息被用于何种用途)选择权:用户可自由选择位置信息被用于何种用途(3)参与权:用户能对自己位置信息进行修正)参与权:用户能对自己位置信息进行修正(4)安全性:采集者需对数据妥善保管,不得
21、泄露)安全性:采集者需对数据妥善保管,不得泄露(5)强制性:当采集者违反条款时,应受到问责与制裁)强制性:当采集者违反条款时,应受到问责与制裁优点:优点:一切隐私保护的基础,有强制力确保实施一切隐私保护的基础,有强制力确保实施缺点:缺点:各国隐私法规不同,为服务跨区域运营造成不便各国隐私法规不同,为服务跨区域运营造成不便 难以针对不同人不同的隐私需求进行定制难以针对不同人不同的隐私需求进行定制 只能在隐私被侵害后发挥作用只能在隐私被侵害后发挥作用 立法实施滞后立法实施滞后2023-4-26通信与信息工程学院2814.5 保护位置隐私的手段保护位置隐私的手段14.5.2 隐私方针隐私方针定制的针
22、对性隐私保护定制的针对性隐私保护分为两大类:分为两大类:用户导向型,如用户导向型,如PIDF(Presence Information Data Format)服务提供商导向型,如服务提供商导向型,如P3P(Privacy Preferences Project)优点:优点:可定制,用户根据自身需要设置不同的隐私级别可定制,用户根据自身需要设置不同的隐私级别缺点:缺点:缺乏强制力保障实施缺乏强制力保障实施 对采用隐私方针机制的服务商有效,对不采用该机制对采用隐私方针机制的服务商有效,对不采用该机制 的服务商无效的服务商无效2023-4-26通信与信息工程学院2914.5 保护位置隐私的手段保护
23、位置隐私的手段14.5.3 身份匿名身份匿名 认为认为“一切服务商皆可疑一切服务商皆可疑”,并隐藏位置信息中的,并隐藏位置信息中的“身份身份”服务商能利用位置信息提供服务,但无法根据位置信息推服务商能利用位置信息提供服务,但无法根据位置信息推断用户身份断用户身份 常用技术:常用技术:K匿名匿名优点:优点:不需要强制力保障实施,对任何服务商均可使用,在不需要强制力保障实施,对任何服务商均可使用,在 隐私被侵害前保护用户隐私隐私被侵害前保护用户隐私缺点:缺点:牺牲服务质量,通常需要借助牺牲服务质量,通常需要借助“中间层中间层”保障隐私,保障隐私,无法应用于需要身份信息的服务无法应用于需要身份信息的
24、服务2023-4-26通信与信息工程学院3014.5 保护位置隐私的手段保护位置隐私的手段K匿名匿名基本思想:让基本思想:让K个用户的位置信息不可分辨个用户的位置信息不可分辨两种方式两种方式空间上:扩大位置信息的覆盖范围空间上:扩大位置信息的覆盖范围时间上:延迟位置信息的发布时间上:延迟位置信息的发布例:例:3-匿名匿名绿点:用户精确位置绿点:用户精确位置蓝色方块:向服务商汇报的位置信息蓝色方块:向服务商汇报的位置信息2023-4-26通信与信息工程学院3114.5 保护位置隐私的手段保护位置隐私的手段14.5.4 数据混淆数据混淆保留身份,混淆位置信息中的其它部分,让攻击者无法得知保留身份,
25、混淆位置信息中的其它部分,让攻击者无法得知用户的确切位置用户的确切位置三种方法三种方法模糊范围:精确位置模糊范围:精确位置-区域区域声东击西:偏离精确位置声东击西:偏离精确位置含糊其辞:引入语义词汇,例如含糊其辞:引入语义词汇,例如“附近附近”优点:优点:服务质量损失相对较小,无需中间层,可定制性支持服务质量损失相对较小,无需中间层,可定制性支持 身份信息的服务身份信息的服务缺点:缺点:运行效率低,支持的服务有限运行效率低,支持的服务有限2023-4-26通信与信息工程学院32第第10章章 数据库管理系统数据库管理系统第第11章章 海量信息存储海量信息存储第第12章章 搜索引擎搜索引擎第第13章章 物联网中的智能决策物联网中的智能决策第第14章章 物联网中的信息安全与隐私保护物联网中的信息安全与隐私保护第四篇第四篇 管理服务管理服务
