《物联网隐私风险控制策略》由会员分享,可在线阅读,更多相关《物联网隐私风险控制策略(10页珍藏版)》请在金锄头文库上搜索。
1、物联网隐私风险控制策略一、物联网隐私风险主要特征隐私概念深深地植入人类现代文明中。对隐私保护的关注已经证明是影响物联网技术发展的一个显著屏障。事实上,物联网上的数据采集、挖掘和提供以完全不同于我们现在所知道的方式进行。物联网对个人数据采集数量惊人。对于公众个体而言,自身很难控制个人信息不被披露。随着信息存储成本持续下降,信息一旦产生,将可能被永远保留,从而“拒绝数字遗忘”。物联网意味一种潜在的环境:个人隐私以多种方式受到威胁。物联网隐私风险主要特征表现在:1. 存有上的必然性当越来越多的日常物体都贴上无线射频识别( RFID)标签时,物联网隐私问题具有泛在性和必然性,无时不在,无处不在,涵盖物
2、联网系统中个人数据的使用、存储和采集等方面。物联网技术的目的是让人生活得更美好,让环境更适应人。而让环境更适应人的前提是获悉人的生活习惯、偏好、精神状态、地理位置、健康状况、身份等“隐私”信息。配置有传感器、摄像头等物联网设备的环境可以监测所有人或物的运动、温度、湿度、声音、光线等方面。所有的数据可以通过在线数据库存储。通过数据分析、挖掘技术可以搜索到这些数据以发现相关的模式,对人或物的行为做出预测,以提供符合个人偏好的产品或服务。物联网技术渗透到社会的方方面面,每个人都是物联网技术的接受者和被接受者,都是物联网技术的用户。这些数据和信息的采集、通信传输、分析计算需要以一种不干扰他人生活、通信
3、自动的、人性化的方式进行。从技术上讲,私人生活、家庭生活、家居生活和公共生活无任何秘密可言。所以,生活更美好与隐私风险就如同一枚硬币的两面:同时存有而又不可避免。2. 操作上的非自主性以无线射频识别技术为代表的物联网技术有令人不安之处:主要集中在自动收集个人数据,这些数据在没有经过当事人同意的情况下有可能被第三方使用,从而对公民的隐私和人身安全产生威胁。在进入安装有传感器网络地域的时候,个人不能控制、难以选择他们的何种信息正被采集和处理,没有自决权。例如,某一地域安装有摄像头组成的传感器网络,个人避开摄像头摄取其图像的唯一方法就是不进入该地域。虽然可以将个人头像进行模糊处理以保护他们的隐私,但
4、是图像复原技术仍然能够按原样重新修复相关人员的头像。操作上非自主性还表现在信息采集上的隐秘、无处无时不在的监控和泛在的传播等方面。个人可能对这些“被观察”、“被跟踪”、“被分析”、“被定位”等全然不知。数据采集过程本身很可能就是技术暗箱。事实上不可能详细地知道谁采集数据,数据转发给谁,他们使用的目的是什么。任何涉及隐私的通信,任何私人的接触,任何信息都会在任何时间被捕获、被复制。3. 安全上的脆弱性在物联网环境中,隐私将受到更大的威胁:大量的微系统参与到高动态、自组织的物联网。物联网感知层、通信层和应用层任何一方面都可能成为攻击的对象。系统越复杂越脆弱。一旦系统被侵入,就发生多米诺骨牌效应,隐
5、私信息一览无余。首先,物联网感知系统在大多数时间里无人值守,容易受到物理攻击;其次,大多数通信是有线的,极易被窃听(即使是无线的,通信也有可能被截取);最后,就能耗和计算资源(特别在无源组件情形)而言,大多数物联网组件计算能力较低,它们不能实施复杂的方案以支持安全。更具体地说,与安全相关的主要问题是认证和数据完整性问题。以认证为例,它常常需要合适的认证基础设施和服务器,通过和其他节点进行合适的信息交换以实现其目标。在物联网情境下,如果无源无线射频识别标签不能和认证服务器交换很多信息的话,这些方法就不能得到应用。同样的道理也适用于传感器节点。4. 认知上的差异性作为一种现象,信息隐私可能与文化相
6、关。大量相关隐私的研究文献表明隐私风险感知因国别而异。不同的文化中,公众对隐私风险做出不同的反应。这就意味着隐私风险蕴含着不同的利益取向、标准和价值观。就国家和地区而言,美国、欧盟制定了相对严格的隐私规范。而亚洲国家公众的隐私观念相对淡薄。即使就欧盟成员国来说,公众对隐私的认知也有差异。根据欧盟委员会报告, 66%的顾客要求商场明确标明商品是否采用无线射频识别标签。74%的雇员关心雇主是否用无线射频识别跟踪其行为。不过,在跟踪危险物品时,公众更乐意接受无线射频识别的使用。认为隐私保护方法重要、需要采取技术措施对商品实行保护的占70%,认为隐私意识需要提升的占67%,认为法律制度重要的占55%。
7、多数人认为共同标准和规范能提升隐私保护水平,也有很多受访者相信研究的重点是隐私增强技术。尽管欧盟成员国已经制定了广泛的数据保护法,但是一些调查者指出隐私问题的根源在于缺乏统一标准。一些调查者提出制定特别法。还有些调查者提出应对无线射频识别技术进行风险评估。随着信息和通信技术的迅速发展,公众对“隐私究竟是什么”的问题越来越困惑。隐私到底是什么?概括而言,隐私是一种权利、商品、“隐匿、独处、保留、亲密”的生活状态、控制。但是公众对于隐私的观念因人而异。以隐私是一种权利为例,公众在权利的内容、重要性以及经营者应遵守的隐私保护义务和禁令及其重要性等方面存有差异。除此之外,认知上的差异性很大水准上归因于
8、信息的不对称性。二、物联网隐私风险的技术控制策略物联网隐私威胁来自信息和通信技术的进步,大多数研究者和技术开发者首先从技术层面考虑对隐私风险的控制。1. 隐私保护增强技术物联网的隐私风险一方面来源于互联网和 IT 基础结构提出的安全问题,比如蠕虫、拒绝式服务攻击、身份窃取、病毒等;另一方面来源于新的技术挑战,比如无线射频识别技术。读取器和标签可以隐匿式地嵌入物品。通过这种方式,可以静悄悄地识别和跟踪携带有无线射频识别标签的人。因而无线射频识别技术的扩散会带来严重的数据保护问题。为了维持数据的机密性,需要新的机制来限制获取存储在物体(比如无线射频识别)上的信息。需要进一步控制是否允许物体在任何时
9、间或者特定时间接入(连接、传输或接收)物联网。因此,为了确保信息的机密性和完整性,需要提供防止未授权获取、编辑数据的机制(比如端对端编码、使用数字签名等)。目前隐私增强技术主要有虚拟专用网、传输层安全、DN眩全扩展、洋葱路由加密等。在行业实践中, EPCglobal 提出使用无线射频识别技术的准则。但是这些准则存有缺陷,原因是有两个主要的隐私个人隐私和位置隐私容易被标签泄露。其解决办法有:灭活标签(用 32 位密码完成)、暂时废止标签法(让标签休眠,然后发送密码来激活它)、动态改变标识符法、重新标记标签法、最低限度地加密法(标签包含一个假名的集合,基于读取器的查询释放不同的假名)、重新加密法、
10、静电屏蔽法(将标签隔离于任何电磁波)、有源干扰法(让RF射频通道挤满无线信号以致标签隔离于电磁波)、标签信号拦截法等。另一种增强安全和隐私保护的方法是对等( Peer-to-Peer,P2P )网络系统,客户身份认证可以通过发布共享机密或使用公共密钥实现加密。标签的存废需要由用户来决定。无线射频识别标签要么放在受保护的“法拉第笼”的铝箔网(特定频率的无线电信号无法穿越)中,要么“灭活”,即将它们移除和销毁。这两种方法都有一定的缺点。虽然把标签放在特制的笼中相对安全,但是将每个产品上的标签放置在笼中,增加了使用标签的繁琐水准。客户有可能携带标签而不知悉。因此,用户依然被跟踪。虽然在物联网情境中,
11、灭活选择是最有效的防止隐私泄露的方法,它可以永远阻绝任何使用无线射频识别的意图,但是灭活方案也存有问题:发送“灭活”指令到标签,这为标签重新激活留下空间,或者一些标识信息留在标签里。此外,企业为了保留个人隐私信息,可能为不销毁标签的用户提供奖励,使得隐私泄露成为可能。还有一种方法是解除标签和识别对象之间的连接而不用灭活标签。比如将对象命名服务(ONS上的信息删除以保护用户的隐私。虽然标签可以依旧读取,但是不能检索相关个人的进一步潜在信息。2. 身份管理技术隐私增强技术的标签方案常常是基于自动授权访问标签读取器的应用程序。标签要能够执行复杂的加密功能(取决于加密技术的应用)、后台数据库或公共密钥
12、管理基础设施。该方法可以阻拦读取未经授权的无线射频识别标签,但是并没有给用户提供控制或通知的可能性,这就需要一种身份上的管理。身份管理有两种方案:代理和假名。代理方案旨在以一种智能的方式为用户或标签所有权人处理授权行为,而将隐私管理功能赋予代理工具。这些代理工具可以执行不同的任务,从提供读取进程、拦截无线射频识别通信的信息到复杂的依赖语境的管理个人隐私偏好,相对应地选择允许或干扰无线 射频识别通信。这一功能可以由数字助理来执行,其核心是用户配置 方案。用户配置方案关联到用户的通知或同意。当标签所有权人离开 商店,用户配置方案建议锁定无线射频识别标签,将锁定程序直接交 给所有权人控制(所有权人可
13、以选择一个密码用来锁定或批准访问)。 用户配置方案在实践中并不可行,因为配置方案可能增加硬件要求, 也增加了系统复杂性,没有可操作性。代理工具概念也仅仅是能够祛 除一些隐私威胁,保护无线射频识别通信。不过,该概念也存有脆弱 性和危险。代理的隐私偏好管理降低或消除用户直接认知。如果错误 地解释用户的偏好或者没有觉察到损坏的代理工具,将会降低技术的 效率和信任。大数据挖掘能提供有价值的隐私信息,会增加隐私风险。 因而有效的避免隐私风险问题方法是移除数据之间的链接、对数据进 行匿名或假名处理。而这种身份管理技术意味着对物联网系统的构成 和功能施加诸多限制。匿名仅仅在传统的服务方面提供形式上的意义。
14、例如,对于信息服务访问,用户必须主动查询。但是在物联网环境下, 这些情况并不可行,因为提供匿名服务的技术过于复杂。物联网环境 下需要假名来关联用户配置。这种方法优点在于假名可以使职业等信 息从隐私生活中隔离开来,或者通过定期创建新的身份以防止不同时 期的数据相互关联。该框架允许用户完全控制配置文件,并提供零选 择。零选择意味着能够防止任何物联网的交互行为;在一个隐私兼容 的物联网环境,零选择可以理解为拒绝任何数据采集行为。同时,对 于在同一地点出现几个同一的身份,必须对这些身份加以限制。在当 前的信息系统中,该方法的有效性也受到极大的限制。越来越强大而 有效力的海量数据分析和挖掘技术在很大水准
15、上抵消假名功能,并限 制假名所提供的保护。在互动连接中,假名必须具有排他性。这就意 味着身份识别方法不能并行应用,不能存储声音或录像信息,因为这 些数据可以进行生物识别。匿名或假名限制传感器的能力及其利用, 如果物联网系统内采用匿名或假名身份管理,就会与物联网效率目的 不兼容。身份管理也不能为个人数据提供充分的保护。虽然身份管理 可能有助于减轻个人对任何数据记录行为同意的烦扰行为,但是个人 数据助理可以存储个人的隐私偏好,并有可能永久同意或不同意数据采集行为这一方式。万维网联盟(W3C的“列明隐私偏好平台”就是一个典型的技术例子。是否同意数据采集、处理等行为将取决于各自物联网系统的隐私政策是否与用户偏好一致。这个概念原则上可以转移到物联网应用,但是在互联网领域这是一个失败的方法。万维网联盟缺乏兴趣,没有进一步研发,也对在物联网环境是否能应用成功有疑问。3. 数字权利管理技术数字权利管理可以规定一个特殊的数据隐私政策,决定谁可以使用数据,以及如何使用。从理论上讲,将数字权利管理技术扩展到物联网系统的好处是,构建更为隐私友好的系统设计,例如通过集成新的维度,比如“附近”或“位置”。以“附近”为例,如果其主人在场,内置的辅助设备可以自动运行或访问存储信息。“位置”意味
