智慧城市建设的物联网数据安全和隐私挑战
未来的互联网是知识社会的一个重要组成部分,将提供新的信息化业务。物联网,尤其是部分关键系统的大范围使用,对解决信任和安全问题提出了前所未有的要求。
SMARTIE(安全及智慧城市信息管理)的愿景是为应用程序建立基于物联网的分布式架构,以共享大量异构信息。这个框架的设想目的是,使端到端信息传递的安全性可以满足数据拥有者的隐私要求。
以此满足数据的安全、可信、可靠所面临的新挑战:
在共享信息模型中,提供可信、高质量的信息,满足其各种再次应用、使用。
保证物联网设备和其使用者之间的数据安全交换。
为易受攻击的设备提供保护机制。
SMARTIE将针对智慧城市中的数据面临的挑战进行一一阐述。
本文将专注于从物联网的基础设施和生成数据所涉及的安全、可信和隐私等方面来介绍SMARTIE。
数据的传播和信息的使用必须得到保护,以防止其危害到公民及智慧城市基础设施。对数据的隐私保护和访问控制,是说服数据拥有者为了让这个城市提供更好的服务而共享信息的有效途径。
SMARTIE设想了一个以数据为中心的模式,这将为智慧城市应用提供高度可扩展和安全的信息。这种模式的核心是,“信息管理与服务”犹如一把保护伞,它将操作上述的异构网络设备和数据源,并提供先进的安全信息服务,以保障强大的更高层次应用。
智慧城市相关技术的主要目的之一是为不同层面的数据管理提供不同的优化机制,尽管数据来源各不相同。
值得注意的部分是,从公共和私有的传输提供商处得到的数据,从移动终端处得到的数据,从私有和公共机构、嵌入机器和设备的大量传感器和仪表处获得监控数据和视频,遍布整个城市。
所有这些信息都存储在不同的地方。例如,在传感器或公司内部数据库,在社交网络上,在私有数据中心,或是在一个公有云存储平台上。
同时,信息需要跨多个行政边界,同时有多种用途。事实上,在收集信息的时候,并不知道它将被用于何处。多个控制中心或数据提供者之间的协作也可以做出动态的决策。
因此很显然,一个能够对来自各种渠道,不同行政边界的数据进行安全和隐私保护的信息共享平台是必然所需。为了确保这一点,在平台设计之初就要加入安全和隐私部分,而不是在后期加入。
设计该解决方案的目标和挑战在于允许用户/服务控制数据访问的同时,对过程进行便宜的配置管理。
整个系统涉及的所有部分,如:传感器和执行器,最终用户、数据拥有者以及服务提供商,他们都需要强大可靠的安全机制。系统的使用者和居民将需要细粒度的访问,他们希望实施基于细粒度数据隐私的政策。
例如,用户可能愿意与家人和朋友共享位置信息,并形成数据集以便于在公共网络上的传输。但是,却不希望其信息被其他第三方机构利用。
如果多个领域之间可以共享数据,必将产生新的应用和协同效应。然而,要实现这一可能需要克服许多挑战。而创建一个能够分享物联网型数据的平台本身,就是一个巨大挑战。
我们预测,由于资源和计算性能的高可扩展性及降低维护和操作成本的需求,智慧城市数据最终将被存储在云端并使用云计算技术进行处理。在这种情况下,云计算的安全和隐私风险也转嫁给了智慧城市管理系统。比如云服务器的宕机或来自内部的攻击所造成的数据滥用。
此外,智慧城市的基础设施也要与传感器和执行器进行交互,以便收集数据和控制关键基础设施。这时便需要进行身份验证和访问授权,并通过一种安全和隐私保护的方式提供可信的信息。
这些例子和发展表明安全、隐私和可信在智慧城市应用中的重要性。从系统中的小干扰到个人隐私信息的泄漏,都是造成实际损害的潜在威胁。随着信息、管理和控制等智慧城市数据资产越来越多的在通信网络中传输,对交流造成深远影响和严重后果的安全或隐私威胁将不断增加。
一个智慧城市的基础设施,是要承受一些风险的。例如,对控制设施的攻击,数据中毒,和机密数据泄露等。
SMARTIE专注于智慧城市建设所隐含的隐私和安全问题,专注于攻击者可以同时攻击多个层次:
操纵传感器的测量结果,使系统得到错误的数据;
攻击传感器和执行器本身,以获得认证;
攻击或冒充网络组件进行中间人攻击;
用伪造的请求或恶意攻击获取共享平台上的敏感数据或造成骚动
标准的网络安全工具,如防火墙,监测或一般的访问控制是不足以防止由于物联网的分布式特性带来的安全问题的。至关重要的是,其安全性必须和基础设施同步建设,而不能被作为额外的插件随时加入。
有效的保护方法是将数据和服务由若干独立的系统进行保护。我们面临的挑战将是如何不让一台服务器的能力强大到可以控制基础设施或访问重要数据。
建立安全平台的第一步
开放异构网络中的可信、优质信息
在SMARTIE和其他物联网系统中,属于不同的所有者的系统需要协作。
这种协作系统可以被看作是一个系统的系统(SoS)。它是由一系列的单个系统组合而成,以提供一些单个系统不能完成的特定服务。
SoS的主要特性便是像SMARTIE所要求的:可靠、安全和隐私。其可靠性体现在以下几个方面:
可用性——随时准备着提供正确的服务;
可靠性——可持续提供正确的服务;
安全性——不会对系统用户及其环境造成灾难性的后果;廉正性——不会造成系统的不当交替;
可维护性——接受更新和修复;
在过去几年里,数据安全以及重要性得到广泛认可,尤其是像蠕虫病毒这样的事故发生后,大家对这一点认识更加清晰。
安全性主要包括保密性(未经授权的情况下披露信息)、廉正性(防止未经授权的修改或删除信息)和授权行为的可实现性。
SoS所包含的所有系统都有自己的生命,可以在不与其它系统互动时独立工作,并由不同的部门进行管理。
为了确保SoS中的各个系统能够恰当协作,及达到预期的可靠性和安全性要求,必须设计和开发一个SoS管理平台。
有限地展现了一个SoS该如何管理。
作者提出了认识和管理SoS的5大特点:
自治性——具备独立选择的能力:SoS 拥有比其任何一个成员系统都高的目标权限。
归属性——在一个安全的关系中所建立起服从于SoS的归属管理:在作为SoS的一部分时,每个系统都可能需要进行一些改变。
连接性——能够与其它系统自由链接:系统是异构的,所以不可能符合原有的连接协议,且SoS依赖于动态操作下的有效连接。
多样性——拥有不同元素,SoS可以通过利用其成员系统的多样性达到其目的。
敏捷性——该新属性会显示在开发或进化过程的SoS动态边界中,而且是始终明确规定的;SoS应能够以其更强的敏捷性适应该动态新属性。
基于ISO标准的互联网管理准则:ISO / IEC 7498可以用于SoS的管理。该ISO定义了IT网络管理的术语,结构,活动。这些规则是以系统为考虑核心而设立的。所以,它可以考虑用于对其它类型网络的描述。
由于我们主要关心的是异构群体中的设备/服务,所以我们称这样的SoS系统为系统联盟。
一个系统联盟对协作的需要,要求单个系统必须是可信的,并且相关的系统间要有一个最低信任值。可信传递可以用来提升群体间的信赖关系。
Kamvar et al.提出了一种P2P可信系统,该系统可在保证复杂信息下的最小系统开销,同时通过一种自然的方法聚集所有用户的本地可信价值。该方法是基于可信传递的概念。可信传递的设计引导了一个系统:通过计算一个本地常态可信矩阵值的主要特征向量,推算出对等的全球信任值。
Boukerch et al.展现了对无线传感器网络的非可信传递和信誉管理策略。该方法使用了本地信誉管理策略,从而避免了信息的全网泛滥。网络中的每个节点都能够与其他可交互的实体建立信任值。
可信节点展现了如何至少在某个领域的基站和传感器节点之间建立并保持信任。其弹性强度体现在集成层的兼容性,它可很好的适用于中型或大型传感器网络。
在智慧城市解决方案中,小型的传感器更合适,因此,我们为可信的优质信息计算提出了一种变体,特别适合于小型无人值守的网络。
该变体的基础是一个两步聚合和确认方法。在每个阶段的开始都以三种角色的伪随机分布于各个节点之间:聚合器节点,普通节点和存储节点。该协议包括两个消息回合,对每条信息进行认证:
(1)聚合节点周期性地触发网络启动一聚集过程,每个节点感知环境后将结果传回。
(2)聚合节点收集所有值,通过异或验算总和;由此包含结果和测量的精准性。以此精确表达“货真价实”的分散性数据包。基于该数据包,每个节点通过将结果与自己的测量进行比较来检验其正确性,并通过一个与基站配对的秘钥,输出一个确认的加密字节。存储节点收集则存储那些被确认的信息。
左图大概描述了这两个协议。基站不在聚合过程中发挥任何作用,它只是检索汇总结果并将其传递给最终用户。
为了达到这个目的,基站将阶段所需的认证传播到网络。其后,每个节点将统一发回经过筛选和认证的记录结果信息;在这个阶段,每个节点都是一个存储节点。通过数据包的两个参数,基站可以对信息进行评估,以评价信息收集过程的质量。
物联网数据隐私保护的共享
很大程度上,物联网数据都是个性化的,因此,防止未经授权的实体对它进行访问便极其重要。隐私是有关物联网数据安全的讨论中最敏感的话题之一。
因此,数据隐私是物联网的关键环节之一。物联网所产生的数据量将是巨大的。
在大多数情况下,单条信息,或者说单次检测信息,并不会(在一个位置,一个人在一给定的时刻,即使心脏速率)给物联网设备使用者带来威胁。然而,当该设备连续生成数据时,一旦被未经授权的访问者获取,便有可能损害到数据所有者的利益。因此,物联网数据的隐私保护是非常重要的。
另一方面,物联网的力量在于能够结合来自不同领域的共享数据,并进行处理,从而创造附价值。因此,防止未被授权的使用者非法获取数据的同时,确保能够访问其他物联网设备所采集的数据同样重要。
隐私问题涉及授权和认证机制。它包括一些专业术语,可以定义哪些属性(角色,身份等)和凭据是进行资源访问时必须的,以及来定义所请求的数据(属性和证书)是如何处理的以及将传递给谁。同时,还包括释放及验证这些属性和凭证的手段。
同样重要的是,要考虑能够满足基于安全存储中加密算法的信息保护机制。对隐私策略本身而言,最有效的解决方案之一是在进行架构设计时便把保护隐私考虑在内,这样,用户便可以用他们自己的工具管理数据。
基本保密机制依赖于智能数据管理。数据要尽可能是匿名的。此外,依照一条严格的规则,收集数据的过程必须最短化,只能收集到所需的数据,并要被及时删除,以至于它不能被再次使用。目前提到的做法是检测冗余,共同定义与适合资源受限环境的高效加密算法安全存储机制。
在过去几年,对“个人身份信息”的误解已经造成了许多隐私丑闻。那些天真地以为,可以通过“标识”和“非标识”进行区分的匿名数据,其实很容易受到重新鉴定的攻击。
匿名数据泄漏的著名案例如美国的AOL搜索查询和Netflix数据集,两者最终结果都是以诉诸公堂而告终。某些属性可以被自行识别,然而所有属性都可以与他人协同识别。例如:87 %的美国人会将邮编,性别和出生日期作为认证口令。
信息泄漏访问控制必须通过数据分析,评估出隐私被侵犯带来的真正风险。为了做到这一点,如K-匿名和微分隐私等概念将被使用。
信息泄漏最小化
个人希望控制自己线上信息地安全,特别是当身上的传感产品越来越多时。组织应该对个人数据安全负责,而从过去几年大量的严重数据泄露事件可以看出,他们完全没有考虑公众的这个愿望。
数据泄露最小化这个指导原则,几乎从来没实现过,甚至从来没执行过,这导致了只有极少数的用户访问是建立在隐私保护的基础之上的。
另一方面,用户要求信息服务提供商提供个性化数据服务;提供更准确,更详细的信息,尤其是那些能通过像政府这样的可信机构认证的信息。
网络空间可信身份国家战略(NSTIC)非正式地描述了隐私友好凭据的三个特点:
( 1 )即使发行人及信赖信息共享方,凭证的签发也不能和使用发布相关联,除非拥有发行人认证,并可以向依赖方展示的属性。
( 2 )同一凭证以两种方式展现,不管是否来自同一依赖方都不能关联在一起,即使依赖信息共享方。
(3)用户代理可以披露部分信息。例如,它可以根据一个生日属性证明用户是否超过21岁,单不能暴露用户的生日。
为减少信息的泄漏,业界已经在研发U-Prove和IdeMiX等相关技术。
嵌入式系统,尤其是无线传感器节点很容易受到攻击。这是因为所使用的加密方法保护不了这些节点。
因为这两种类型的设备都属于严重的资源限制型设备,例如能量供应和处理能力,以至于标准的加密方法无法达到它们的保密需求。因此,一个既能解决资源问题,又能达到上述安全需求的轻量级加密解决方案是当前所需。
有许多专为无线传感器网络设计的轻量级安全方案,如SPINS协议,围绕身份验证,保密通信及验证传输展开。使用非对称加密法对传感器节点间的数据交换进行加密,使用对称加密法对数据进行加密。
LiSP轻量级安全协议,支持所有的安全属性,但相对来讲功耗过高。另外一种是基于RC4流密码的轻量级安全方案。它提供数据保密,数据验证,数据修复和数据更新,且低功耗,易操作。
还有一种基于椭圆曲线密码修改的轻量级安全方案。该方案中安全参数长度的缩短影响了安全级别,但是同时也有助于降低能耗。此外,还有一种类似方案,但是使用寿命过短,相对物联网的信息(> 512bit)来讲就太昂贵了。
在处理物联网数据的访问控制时,首先考虑使用现有的广泛应用于互联网的安全密钥管理机制,即允许两个实体之间的相互认证,同时编制用于建立安全通信通道的秘钥。然而,由于物联网数据的计算和功耗限制,现有的机制还不能适用于对物联网服务的安全访问。
例如,当公共密钥加密解决方案需要高效计算时,基于公钥的方案并不适用,因为它们将需要预先建立物联网设备与每一个互联网主机之间的对称密钥通道。
出于这个原因,不同的方案都有替代解决方案,以解决物联网的访问控制问题。
例如,在班奈森等人发表的早期著作中,提出了一种协作访问控制解决方案。
在这个方案中,用户认证是由一组特定物联网节点共同协作完成的。但是这个方案的问题在于,尽管计划了如何减少物联网设备的计算开销,但是却在不知不觉中提高了通信开销。
然而,得益于这一方案的贡献,各种各样物联网访问控制解决方案相继面世。根据不同的使用场景,基本可分为公钥加密法和共享密钥加密法。
为了减少对物联网节点的计算需求,公钥加密法是基于椭圆曲线密码学(ECC)的。不同的方案用不同的方式来实现基于ECC的认证。
例如,有些解决方案需要一个24小时提供服务的密钥分发中心,有些却需要基于证书的本地认证。然而,这些方法的缺点是进行用户认证的时间太长(在某些情况下需要的认证时间超过10秒)。
共享秘钥加密法提出了一种基于对称密钥加密算法的用户认证方法。这种方法,需要物联网节点和用户共享一个可相互认证的密钥,相比公钥加密法更为高。同时,相较于公钥加密法,共享密钥加密法方案需要较少的运算和功耗。
然而,这种方法存在严重可扩展性问题,因为它们需要密钥预建立和预分配。
综上所述,现有的物联网服务的访问控制解决方案不适用于未来的物联网。此外,基于ECC的公钥加密法方案可扩展性较强,因为它们不需要进行秘钥材料的预建立和预分配。然而,共享密钥加密法方案在计算效率和功耗方面更胜一筹。
Smartie方法
SMARTIE将设计和建立一个数据中心信息共享平台。在该平台上,用户可以通过运行在异构网络设备和数据源上的信息服务层进行数据访问,并以透明的方式提供不同的应用服务。该方法的优点是,对数据进行了从感知层到应用层的层层保护。这些机制相互协作提供一个贯穿各层的整体解决方案。
SMARTIE将聚焦于加强对物联网各层的安全、隐私和信任的关键技术和关键应用的创新,具体如下: 一.智能交通
应用场景
改善对公共交通网络的管理,以促进更广泛地使用可持续的交通模式,并提高旅客出行的时间和成本效益。
关联用户的智能手机,为其出行提供即时信息。
改善对私家车的管理,以使其减少在中心城区的行车时间,改善交通流量并降低PM2.5微尘污染。
使交通控制系统与移动交通控制系统相结合,以快速反映诸如道路改造、意外事故等异常情况。
在公共运输车辆和环境(街道等)中部署异构无线传感器网络,如将传感器/执行器放置在交通网络的关键点。
运行方式
公共交通公司可以检测到旅客对某些公交线路的即时需求,随即优化车辆配置。同时,还可以监控到所有公交车辆的位置。
基于云架构的旅行方案组件将根据旅客的当前位置、预期到达时间、当前路况等为其计算出最佳出行路线。然后将这些信息通过智能手机相关的应用程序展现给旅客。
城市交通部门了解当前交通状况:
是否需要优化交通信号灯,以更好的控制交通流。
是否需要设置车辆限速标志。
是否需要标记弯道,以防道路维修,交通事故或其他紧急情况造成行车不畅或事故。
是否要通过调整交通灯配时、更新电子交通标志为私家车指示路况。安全和隐私挑战
依据访问条例和隐私规则,用户必须可访问与公共车辆位置相关的信息。
传感器,执行器和后端服务器之间的所有数据交换都必须以安全的方式来实现。
所有涉及到旅客的位置和活动的数据都应被视为私有,并按保密协议进行处理。
由不同部门,如公共部门和私人公司所拥有的集成系统可以提供智能交通服务。
二.智慧校园
校园能耗监控系统。
评估系统是否为一个可持续的生态系统。
系统需具备与用户互动的能力,以方便提高能效。
运行方式
主机能够收集不同来源的实时信息:如建筑能耗和能源补给(光伏发电)等。
能源监测端将收集来自传感器,及从各种能源生产者那里收集和提取的数据,以发送给系统中的各种决策执行器。
能源生产者将根据既定协议,提供监测数据,并提供更详细的数据给作为主要调配器的能源主控机。
在某些情况下,用户会通过建筑或者街道路灯中的传感器,给能源监测端提供自己的位置和状态信息。
安全和隐私挑战
基于访问控制和隐私规则,应可控对传感器的数据访问。因此,只有某些实体的监控信息可以被读取或改写,尤其在监视实体为第三方的情况下。
此时的数据交换机制必须保证数据的安全和完整传输。
安全可扩展的管理协议,将允许验证新部署的传感器,并确保部署环境中的新设备其可信度是可扩展的。
机构实际上仅限于使用基于国家数据保护法的数据。他们喜欢探索如何将数据重复使用,并可能会分享给第三方,但也要依法对哪些可分享,哪些不可分享进行控制。
实体之间的数据交换需要遵循数据最小化原则,并允许被追溯。
用户数据信息的交换,在某些情况下,需要匿名;在另一些情况下,还需要对数据的分布有一定的控制。
三.结论
未来的互联网将是当前和未来的异构基础设施集群(网络,服务,数据,虚拟实体等)和以分散安全和信任为主的应用集群。传感和致动装置的出现,用户生成的内容和新生服务交付业务,推动了对解决数据可信和安全的需求。
物联网带来了关于信息安全的新挑战,如隐私、可信、可靠等。主要问题有:
防火墙等知名安全产品已不能保护许多物联网设备,因为它们会通过无线信道被直接攻击。另外,攻击者还会盗取设备并通过分析得到它们的秘钥。
整合信息是另一个主要难题。因为数据提供者和数据消费者之间不存在信任关系,至少一开始是没有的。
物联网设备和消费者之间的信息交换必须是安全的。对信息安全的大量研究精力都放在了被认为数据来源之一的无线传感器网络上,但无线传感器的异构集成架构仍然是一个悬而未决的问题。
相反,这些机制经过不断的发展,目前在互联网领域的发展趋势,正在引导通过事前自动访问控制和保密技术来保证信息安全。然而,历史告诉我们要考虑的是使用规则,而不是访问规则或采集规则;要依靠透明度,问责制和执行力,才能在我们的互联网社会中建立信任。
SMARTIE解决方案将提供一整套的创新和改进,以解决由应用程序带来的挑战。
作者: 来源:物联网与云计算 2013年6期
上一篇:SSD的数据安全问题
下一篇:大数据环境下的数据安全研究