公务员期刊网 精选范文 网络隐私安全问题范文

网络隐私安全问题精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络隐私安全问题主题范文,仅供参考,欢迎阅读并收藏。

网络隐私安全问题

第1篇:网络隐私安全问题范文

综观2012年十大安全事件,不难发现,其中5个与用户隐私泄露有关,3个涉及安全厂商之间的竞争与合作,可以说,“个人隐私安全”毫无争议的成为2012年安全领域最受关注的话题,而以360为首的中国互联网安全厂商“口水战”似乎是这个行业永不落幕的旋律。

个人隐私安全被呼唤

从2012国内网络安全十大事件来看,隐私安全问题最为严峻。随着“电商用户信息遭集体泄漏”、“360涉嫌窃取用户隐私”、“快递单信息被泄露”等一系列安全事件的爆发,引发了网民对“个人隐私安全”的异常关注。

2012年2月9日,有商户向亿邦动力网爆料称,收到了某公司发来的电子邮件,其中包括当当、淘宝、1号店、麦考林在内的多家主流B2C网站用户个人信息。7月,京东商城、当当网、1号店等多家电商网站再“集体”被曝账户信息泄露,致使用户财产损失、隐私泄露,电商信息安全问题再次引发“围观”。

2012年11月,包括EMS在内的10余家主流快递企业的快递单号信息被大面积泄露,并衍生出多个专门从事快递单号信息交易的网站。在“淘单114”和“单号吧”两家网站上,展示快递单号的信息均被明码标价,售价从0.4-2元不等,并附带“生成底单(发件联)”等配套服务。由此引发的快递信息安全问题,成为社会关注的焦点。

比之电商和快递行业信息泄露更为严重的是网络安全行业的监守自盗。2012年10月9日,方舟子在微博上发文称360安全浏览器根本不安全,建议司马南这样的特殊人士慎用,从此拉开了“方周大战”的序幕。随后,有关360软件涉嫌窃取用户隐私的各种质疑及举证相继浮现,工信部等主管部门介入调查。号称中国最大的安全软件竟是用户隐私安全的最大威胁,此事因此在社会上引起了广泛热议与关注,隐私安全问题成为社会关注焦点。

移动隐私安全同样不容乐观。2012年8月,复旦大学计算机科学技术学院抽查安卓系统7个应用商城300余款应用,58%存在泄露用户隐私的行为,其中25%的程序还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难,移动安全已面临巨大威胁。

道德自律与监管震慑成共识

2012年11月12日,首次由中国互联网企业承办的AVAR2012大会在杭州召开,“中国当前网络安全形势及应对策略”成为大会关注的核心议题之一;保护隐私安全、加强行业自律、行业联合打击网络钓鱼,成为此次大会中达成共识,将对中国互联网安全发展产生深远影响。

2012年11月28日,由易观国际举办的主题为“网络安全路在何方”第二期易士堂论坛再次就网络安全话题进行了更深入的交流和探讨,“道德自律与监管震慑”成为与会专家达成的最强呼声。

论坛上,来自企业界、学术界、法律界、新闻媒体及国家信息安全委员会的专家系数出席并阐述了自己对网络信息安全、隐私保护方面的现状认识及思考,督促安全企业应秉承开放、透明、自律的态度,并呼吁行业制定规范标准,同时国家监管部门应该加大处罚监管力度,尽快出台更严格的安全立法。

腾讯电脑管家安全专家马劲松则呼吁“安全要回归到本人,安全就是解决用户安全问题,而不是借着安全名义去恐吓用户达到自己的商业目的”,网络首先要有相关行业标准,同时加大处罚力度,使得法律可以起到必要的威慑作用。

安全厂商竞合风云

有人笑称,中国互联网有360,就不会缺乏战争,因此,在360所在的安全行业,各种混乱的“口水战”自然不可避免。其中最抢眼的,非“3B大战”莫属。有消息称,虽然“3B”大战难分胜负,但借此公关战争,再加上360安全卫士和360浏览器捆绑推广,360公司号称已经占据了中国搜索引擎10%的市场份额。于此同时,360产品安全隐私问题也相继被曝光。

360一向善于“公关”,去年 12月360公司主动发起了一场名为“360重金悬赏黑公关”的公关炒作事件,谓为“3B大战”的延伸。360认为,“黑公关”打击的目标主要是360浏览器,目的则是抹黑360品牌与声誉。但在360大声喊捉拿黑公关的同时,也遭到了很多业内的质疑:贼喊捉贼。

有竞争就有合作,在互联网企业之间大打出手的同时,也浮现出了安全厂商联盟合作的身影。2012年9月10日,百度宣布发起成立首个互联网“安全联盟”,腾讯电脑管家、金山、瑞星、小红伞、知道创宇等5家知名安全厂商成为首批百度安全联盟成员。

2012年是不平凡的一年,个人信息大量暴露在互联网上是这个时代的巨大的隐患,网络安全与个人信息保护被全社会提升到一个前所未有的高度和关注度,如何有力的解决这个问题,不但要依靠强有力的网络安全技术产品,还要我们的用户有足够的安全意识和知识,在一定程度上更要依靠强力的法律作为保障,比如2012年底人大审议通过的《加强网络信息保护决定草案》。

第2篇:网络隐私安全问题范文

关键词:物联网安全;安保机制;模型构建

计算机技术的飞速发展为物联网的进步提供了软硬件方面前所未有的支持,使其在近几年获得了突破性的进展。已经研发并实施的物联网方案,为人民群众的生产和生活提供了极大的便捷。但是任何技术的发展都是一个渐进的过程,在这个过程中,安全问题的发现和解决显得尤为重要。所以说,通过对物联网技术的深入研究,发现其中的安全漏洞,打造一套行之有效的安全防御体系,使得物联网内的信息等内容得到保全,在此基础之上才能推动物联网技术健康、持续的发展。

1 物联网安全分析

目前物联网的普遍结构主要有感知层、安全层、网络层以及应用层。下面就针对各个层的安全问题进行细化分析,逐层发现其中存在的安全问题,并进行总结。

(一)感知层安全问题

1、节点窃听、被控风险

在物联网中分布了大量的感知节点,它们缺乏自主防御的保护能力,由于数量巨大,安全机制缺乏其的控制,是外来攻击的重点位置。受到外来破坏的形式主要有被窃听、被控制,造成物联网内信息的混乱。如果被窃听或者控制的数量过多,则会导致网络瘫痪的情况发生,进而导致全网信息的外泄。

2、节点伪装风险

受到节点防御能力较差的影响,黑客可以通过多变的网络拓扑结构来分析节点信息,从而对物联网系统内部的软硬件进行修改,黑客伪装为正常用户开展破坏活动,造成网络安保机制的失效。

3、人为因素破坏风险

物联网内部的感知节点在正常状态下缺少专人管理和监控,且节点的分布情况非常复杂,这就极容易受到周边环境影响而遭受到人为破坏,无论是故意还是无意的破坏行动,都会对整个物联网安全造成负面的影响。

(二)网络层安全问题

1、通信网络的固有安全问题

通信网络先天就存在较多的安全问题,这非物联网所独有。虽然随着信息网络技术的不断发展,通信网络安全问题得到了较好的处理,但是一直存在安全机制和黑客破坏之剑的博弈,物联网因为与通信网络互联互通,导致其本身的通信安全也受到持续的考验。

2、异构网络的安全性

目前物联网在接入通信网络时往往有多种方式,这种异构型的网络连接方式大大降低了安全防御极致的作用,成为了物联网安全体系同的薄弱部分。

3、集群庞大

物联网代表了庞大的信息连接体系,往往呈现出集群化的系统特点,这种特点带来的安全问题是,一旦网络安全出现问题,大量的体系内用户将会受到波及,影响范围巨大。

(三)处理层安全问题

1、数据量大、处理能力存疑

物联网内众多的安全节点导致了对网络系统处理能力的较高要求,如果物联网内信息处理能力不足,则会导致服务堵塞和网络终端。

2、数据容灾和恢复能力

物联网内设计大量的用户敏感信息,如果物联网内的信息通道安全性能不足,则极有可能导致用户数据的丢失,如果信息涉及关键信息,则可能对整个系统造成毁灭性的破坏。数据的容灾和恢复能力,决定了物联网发展的程度和预期。

(四)应用层安全问题

1、用户身份验证

在应用称重,用户通过系统对自身身份的验证来获取信息。必须从用户资格认证方面加强管理,杜绝黑客利用认证漏洞来伪装用户窃取和破坏信息。

2、用户隐私的保护

物联网目前已经深入到了用户生产和生活的方方面面,如果用户信息泄露,将会对用户隐私造成破坏,这是互联网发展需要解决的最敏感问题。

2 强化安全技术升级,打造物联网安全机制

(一)强化认证管理

在目前的物联网环境中,身份认证与蜜月的管理是被大量运用的重点安全技术,也是安全机制打造的过程中必须具备的条件。当前通信网络的认证与密钥协商机制为AKA机制,AKA是较成熟的认证机制,下一代网络也将继续沿用并改进AKA机制。目前的物联网感知层的网络连接过程中必须要强调认证机制的兼容性和统一性。受到物联网信息内通信网络原有安全机制的影响,我们在构建物联网安全机制时要高度重视认证统筹,使物联网的通信连接能够与原有安全机制有机融合。

(二)加强安全路由的协议签署

物联网路由器承担的责任与传统通信网络相比更重,分别要从异构化的网络中介入协议,同时又要接入感知层的协议。在解决相关问题时,可以将感知层将节点的身份标志映射成IPv6地址的方式,接入IPv6通信网络,实现基于IPv6的统一路由体系。

(三)加强入侵检测,提升防御能力

强化对于感知点的关键信息收集,并进行全面的分析,过滤接入信息的合法性,跟踪接入用户的系统内操作是否对系统安全造成安全影响。打造一套能够对接入信息进行数据筛选、入侵分析、响应处理3部分能力在内的入侵检测系统。目前针对网络攻击的多种形式,物联网的入侵检测系统一般具备了验证防御、成员组防御、用户信誉对比防御、受攻击节点的防御等手段。我们反复提到物联网节点数多,数据量大,所以急需加强入侵检测技术的处理功能和全面性防御功能。

(四)信息安全和隐私保护

在物联网层面上,信息安全有两个方面的内涵,首先是信息自身的安全,为了维护信息安全,网络和防御体系一般采用主动防护的手段,通过添加密码算法来确保物联网内信息的安全;其次就是信息防护的安全,一般来说,目前常用的信息防护手段,主要是通过进行数据备份后异地安置,形成容灾减灾的能力。而对于信息的隐私性,则是为了保护物联网内用户不愿意被外界知晓的信息进行有效加密,避免被外界获取和内部的泄露。

数据在物联网内通过感知点感知、转化、加密、传递、接受、识别、储存、利用和控制等流程,期间不只信息本身的安全需要受到控制,整个流程进行的过程都需要全程的安全机制实时进行外部入侵和内部泄露的防御,要避免物联网内的信息被窃取和破坏,又要保证物联网具有可用性和安全性。

参考文献

[1]朱琳彤. 物联网安全模型分析与研究[D].南京理工大学,2013.

[2]张文奇. 基于RFID的物联网安全接入机制研究[D].北京交通大学,2013.

[3]张俊松. 物联网环境下的安全与隐私保护关键问题研究[D].北京邮电大学,2014.

[4]刘杰. 智慧城市建设的信息安全保障问题研究[D].华南理工大学,2015.

[5]龚雪红. 基于信任的物联网感知节点安全成簇机制研究[D].重c邮电大学,2014.

第3篇:网络隐私安全问题范文

【关键词】物联网;医疗物联网;RFID;安全

物联网的基本特征是信息的全面感知、可靠传送和智能处理,其核心是物与物以及人与物之间的信息交互。

随着医疗改革的不断深入,医院的信息化已经成为医改和医院快速发展的基础和支撑。各级各类医院都在与时俱进、快速发展,这给医院信息化的工作提出了更高的要求, 必须确保医院的信息化工作跟上医院发展的步伐,为医院的快速发展提供更有力的支持和帮助。与此同时,物联网作为当前最具潜力的新兴技术,需要与行业应用紧密结合。物联网技术在医疗健康领域的应用将带动传统信息技术向医疗行业的全面渗透和整合。

物联网除了具有传统网络的安全问题外,还产生了新的安全和隐私问题,如对物体进行感知交互的数据保密性、可靠性、完整性,以及未经授权不能进行身份识别和跟踪等。

在医疗物联网蓬勃发展之时,需要注意的是相关的安全问题急需完善解决。

1.医疗物联网现状

物联网技术在医疗领域中的应用几乎遍及该领域的各个环节,涉及从医疗信息化、身份识别、医院急救、远程监护和家庭护理、药品与耗材领域、以及医疗设备和医疗垃圾的监控、血液管理、传染控制等多个方面。目前国内大多数医院都采用了医院管理信息系统HIS,HIS 的普及使用已使医院医疗实现了一定程度的信息化,但这种传统HIS 也有很多不足的地方,如医疗信息需人工录入、信息点固定、组网方式固定、功能单一、各科室之间相对独立等,使HIS 的作用发挥受到了制约。物联网技术以其终端可移动性、接入灵活方便等特点彻底突破了这些局限性,使医院能够更有效地提高整体信息化水平和服务能力。

在为医院信息化建设提供方便的同时,医疗领域物联网中数据安全及隐私保护与网络安全等问题也日趋明显。

医疗物联网有三个基本要素:

一是“物”,包括对象,指医护人员、病人、医疗器械、医疗用品等;

二是“网”,就是标准化的医疗流程;

三是“联”,指的是信息交互。

使用移动物联网技术实现业务流程标准化,运营管理的精细化,实现对医疗对象的全生命周期、全流程的闭环管理。使医院能够更有效地提高整体信息化水平和服务能力,可以明显改观传统的就医流程。

在医疗行业中物联网除了具有传统网络的安全问题外,还产生了新的安全和隐私问题,如对物体进行感知交互的数据保密性、可靠性、完整性,以及未经授权不能进行身份识别和跟踪等。[10]例如,非法用户可利用干扰信号使物联网中RFID标签与阅读器之间的无线通信链路发生阻塞,甚至可能伪造RFID标签向阅读器发送信息,致使医院信息系统处理混乱,对病人的安全造成严重影响;再如前面所讲的电子病历记录了病人的基本信息和诊疗信息,这都属于病人的隐私,必须严格保证其数据安全,否则将会威胁病人的合法权益,对医院和病人造成不利影响。

2.物联网安全

物联网数据安全与隐私保护技术既需要隐私保护相关技术来防止隐私信息泄漏和被篡改,同时需要传感器网络数据管理相关技术来完成数据聚集、数据查询和访问控制等任务,并进行性能优化以减少能量消耗、时间延迟和数据丢失率。目前隐私保护技术在数据库领域的应用主要集中在数据挖掘和匿名两个领域 。综合现有的研究成果,隐私保护技术主要可分为3类:数据扰动技术 、数据加密技术 和数据匿名化技术 。在物联网应用中,对RFID系统实现有效数据管理的前提在于保障RFID数据的安全性与私密性。RFID系统的安全威胁主要来自于阅读器对标签的非法访问以及伪造标签的存在。对RFID系统而言,其安全问题是指存在伪造标签时,如何有效地对标签进行认证;其隐私问题是指存在恶意阅读器时,如何防止阅读器对标签的非法访问,来有效地保护用户的隐私。

第4篇:网络隐私安全问题范文

【关键词】社交网络 安全问题 解决对策

社交网络是人类交流中不可或缺的重要工具,人们通过网络与亲朋好友保持联系,并且社交网站也提供和陌生人游戏和娱乐的平台,是拓展人脉,与朋友交流的重要途径。

1 社交网络的定义

社交网络早期是网络社交,构建的基础为E-mail,由于电子邮件的传输解决远方人们的通讯问题,可以通过即时通讯进行文字交流,因而应用较为广泛。之后BBS的出现,让网络社交更上一层楼,可以高度的整合信息的群发和转发,让更多的参与者共同的讨论某一个话题,网络社交此时从点对点,走向点对面。通过网络社交的发展,形成完整的社交网络体系。其实交友只能是社交的开端,当Facebook、微博等新兴的即时通讯进入网络平台后,虚拟社交和现实世界叠加的部分越来越多,社交网络与社交变革相一致。现在社交网络已经进入成熟发展阶段。主要表现为以下几方面特点:

(1)让用户信息在一定范围内公开或者半公开,提供资源共享平台;

(2)交往平台的构建主要基础是用户列表;

(3)构建过程中需要较好的拓展性以及开放性,为用户提供针对性较强的插件,所以社交平台在这里的作用除了能够承载正常的网络聊天、交友的功能,另外还能分享视频或者音乐,进行评论。

正是这些特征,逐步吸引用户,相反这类自由化平台,让用户的各类信息分享无限制,信息量的巨大,让整个后台管理更为困难,所以容易引发网络安全问题,如果不能进行及时或者妥善的处理,信息的泄露和假冒问题将会威胁用户安全。

2 分析网络安全问题

2.1 社交网站产生的安全威胁

社交网络中的重要组成部分就是社交网站,但是当前很多社交网站都存在安全隐患,其中比较常见的安全风险为CSRF攻击也就是蠕虫攻击。这些攻击能够破坏社交网站的根本原因是由于完整建设中都运用Ajax技术,该技术能够快速的创建网页,在后台进行数据交流,作用是让网页异步更新,就是在不加载整个网页的过程中,部分更新网页,所以让整个网页更新更便捷。

但是和后台的部分数据交换,可以给网络蠕虫机会攻击某个用户,并且通过该用户发送一些木马或者病毒,盗用信息。蠕虫攻击主要是截取用户的cookie,然后利用用户的cookie登入,进行非法操作。上述的漏洞,影响社交网络的安全性能,这也说明网络安全及时还有可上升空间。

2.2 无线通信安全威胁

当前智能手机和通信技术的发展,很多人都通过手机或者无限设备上网,尤其是青年人,并且手机也成为他们日常生活中不可或缺的组成部分。但是由于手机中覆盖面加大,部分手机的无限网络安全不能得到满足,甚至也不能适应行业发展要求。因而就会引发用户信息不安全的现状,不能妥善的保管用户信息。根据调查了解,很多用户的通讯被监听,由于中病毒所以通讯录被拦截,并且现在手机的过功能应用,很多便捷的软件也应用在手机上面,因而手机的下载量也在大幅度提升,这让手机成为仅次于电脑的病毒传播媒介,不法分子抓住这一漏洞,通过手机信息,盗用用户的姓名和头像,从事诈骗活动。

3 社交网络隐患以及风险防护措施

3.1 自身安全性建设

社交网站或者社交平台与很多网站比较相似,Ajsx技术的广泛应用,让该网站成为被攻击的焦点,所以在检测的时候需要关注有关跨站的脚本攻击(CRoss Site Scriping,XSS),那么网站需要运用一下的方法解决漏洞问题。

(1)检测用户输入内容的可靠性,详细的测试页面输入代码,检查漏洞是否存在;

(2)运用漏洞检测工具全面的检测网站,尽量让所有的网站问题都暴漏出来;

(3)进行参数替换测试;

(4)网站不同的开发阶段,引入黑盒和百盒测试,运用自动化测试工具,进行自动化测试,并在过滤文本的过程中,确保网站没有大的漏洞出现。

(5)监测不良信息以技术手段为切入点保障用户自由讨论的同时,要确保国家的信息安全。

3.2 提高用户自身的隐私信息意识

很多社交网站存在风险和隐患其根本原因在于用户没有保护自己隐私的意识,只有当用户了解隐私保护的重要性才能真正的降低信息泄露比率,降低安全风险,保护社交网站的措施需要从以下几方面入手:

(1)用户需要安装杀毒软件以及相关的安全卫士拦截产生的各类病毒和蠕虫,这样可以有效的弥补系统中的各类漏洞,确保社交网站不被蠕虫攻击;

(2)很多调查或者注册账号上不要填写过于详细的个人资料和个人介绍,另外没有特别要求,尽量不要用本人真实姓名;

(3)添加好友要慎重,另外对于异常的好友要提高警惕,比如经常不联系的好友借钱,要求你帮忙交电话费、支付账单等,需要提高警惕,最好和好友电话确认,不要给任何不法分子可乘之机。

(4)社交网站的使用过程中,要运用其内部的保护和信息安全应用,比如设置的密码要不要过于简单,不要纯数字,根据要求设置密码保护,这样能够规避部分风险。

3.3 管理部门提高监管

高速信息网络的飞速发展,信息传播速度也逐步加快,传播形式也更具多样化,如果不能高效的监管网络,就会在网络中形成不良影响,由于网络的安全与个人、企业和国家之间联系密切。所以社交网络的强化十分必要。

国家与之相关部门要根据情况,提出相应的法律和法规,运用法律的手段保护个人信息安全,保护企业的内部信息,要严惩盗用个人信息谋求暴利的违法情况。另外网站自身也要有一定的规范,并且严格要求网站的各项规章制度,需要建立一些保护用户隐私的相关设置,开发新技术保障用户隐私安全,可以在此基础上借鉴有关BBS的经验,尤其在信息安全以及市场引入等方面。

4 结语

社交网络安全问题已经阻碍社交网络的进一步发展,另外这些安全问题威胁用户的安全隐患,所以采用针对性的方法完善社交网站的建设,为广大用户提供一个放心的使用环境意义重大。

参考文献

[1]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014(09):3-5.

[2]熊芳芳.浅谈计算机网络安全问题及其对策[J].电子世界,2012(22):11-12.

第5篇:网络隐私安全问题范文

 

一、网络个人信息安全现状

 

当今,随着计算机和网络技术的发展,个人数据资料被越来越广泛地收集和使用,各行业的内部和跨区域的私人数据资料交换也正在加速进行。而且网上交易和电子商务的发展,个人信息网上流通日益频繁,加上“产业化”的一个明显标志是病毒制造者从单纯的炫耀技术,转变为以获利为目的。个人信息被泄露、被非法窃取滥用已经到了相当严重的地步,因此网络上个人信息安全问题已经日益凸显。

 

很多网络用户对个人信息安全保护意识并不强烈,个人信息安全意识淡薄。很多网络用户为了省去麻烦,把所有的密码都设置成一样的,而且越简单、好记越好。在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。

 

个人信息在网络环境下所受的安全侵害,可分为以下几种情况:1、大量的网站通过合法的手段(要求用户填写注册表格等)或者是隐蔽的技术手段搜集到网络用户的个人信息。2、大批专门从事网上调查业务的公司,使用木马程序及具有跟踪功能的工具浏览和定时跟踪用户站上所进行的操作、自动记录用户访问的站点和内容,非法获取、利用他人的隐私,甚至以极其低廉的价格出售。3、有些软件和硬件厂商开发出的各种互联网跟踪工具,用于收集用户的隐私。4、黑客未经授权进入他人系统收集资料或打扰他人安宁,截获或复制他人信息。

 

二、网络个人信息安全保护措施

 

自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。网络用户都应该意识到自己拥有维护自己个人信息资料的权利。网络用户应对自己的个人资料随时查询及更正;随时删除及处理,以避免遭到不必要的麻烦。在未经个人同意及确认之前,个人不允许网站披露个人资料。再次,要懂得网站公共论坛等区域内,用户公布的任何信息都会成为公开的信息。因此,用户应慎重考虑是否有必要在这些区域公开自己的个人信息。

 

必要时还要采用一定的技术保护措施,如网络防火墙技术、杀毒软件监控手段。网络个人信息主要是由病毒和木马进行窃取,一般可以采用集中式防病毒管理模式,对整个局域网中所有节点实行集中管理和控制,通过各种检测方法检测病毒,自动进行特征码更新,实时清除病毒。并且还要及时清理上网后的垃圾及相关遗留痕迹,如Cookie信息等等。

 

作为网络用户还要注意使用管理严格,资质优良的网站。保护网络用户的个人信息安全和网络隐私是网站应尽的义务,提供了相关的隐私保护条款,在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其它目的。如在网上银行管理中,身份验证和访问授权是网上管理用户的基本措施,保证用户的安全性,或通过采用访问授权来控制或限制用户对资源的利用。

 

很多网络个人信息安全问题的产生,一方面是利益的驱动,但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁,并且被侵权者也不能够借助法律的武器有效的保护自己的利益,这就更加助长了侵权行为的发生。网站如何才能建立安全有效的保障机制,用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。

 

强化公民的网络隐私权的保护意识,使公民个人明白隐私权保护的重要性,了解、知悉网络隐私保护政策与法律、法规。自觉采取防范措施、方法。保护个人隐私,同时尊重他人隐私,从而整体提高社会的隐私权保护意识。加强对网络经营者的监督管理,规范网络经营商的行为。政府对网络经营商的守法及自律情况要进行严格的监督检查,堵住网络隐私侵权的“源头”,行政执法机关一旦发现违法、违规情况,应及时做出处理,增大网络经营商违法经营的成本,进而加强他们的守法意识。

 

目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全,建立网络安全国家应急体系,加大对网络安全领域犯罪的打击,完善立法。制定保护网络隐私权的行政规章,在规章中对个人数据的安全保护的权利和义务,不当使用个人数据的法律责任等做出明确的规定,且具有可操作性。借鉴国际社会的相关规定,完善我国网站传播的行业自律。建立网络隐私达标认证体制,推进行业自身发展。及时修改、完善相关法律的规定。将侵犯隐私权的行为、侵权责任等问题做出具体的规定。制订个人信息保护相关法规,确立个人信息的保护原则。加大对侵犯隐私权行为的打击力度。

 

如何使个人信息在网上得到充分的保护,如何使网络用户的个人信息资料被合理的利用,以使之在发挥巨大价值的同时,又能够保证不被滥用,这需要包括提高网络用户个人信息安全意识、制定网络信息(隐私)保护法、实行行业自律、采取技术保护措施等多个方面的共同努力。只要社会各有关方面和公民个人共同努力,相互协作,必能营造一个安全、高效、健康的网络新环境。

第6篇:网络隐私安全问题范文

关键词:物联网安全机制

中图分类号:TP391 文献标识码:A 文章编号:1007-9416(2013)12-0192-01

所谓物联网就是物物相连的互联网,即将各种各样的信息传感设备与互联网结合起来,而且物联网也是继通信网之后的新一代信息产业浪潮,未来物联网将在智能交通、智能家居、智能物流等多个领域中得到广泛应用,进而给人们的生产生活带来极大的便利。然而,如何确保物联网的安全是其发展过程中不容忽视的一个重要问题,怎样依据物联网的特点构建相应的安全机制是目前研究的热点问题之一。本文简要分析了物联网发展过程中安全方面存在的一些问题,并对如何构建物联网的安全机制提出了一些看法。

1 物联网的安全问题

由于机器、物、数据是物联网处理的主要对象,导致物联网的安全需求比以文本处理为主的互联网要高很多,这些安全问题主要体现在如下几方面:

(1)机器与感知节点的本地安全问题。通过利用物联网可以代替人来完成机械式的工作,甚至很多复杂、危险的工作都可以被物联网应用取代,然而物联网机器中的这些感知节点通常都是部署在无人看管的环境中,这样如果攻击者想要破坏物联网中的机器设备,他们则可以非常容易地利用这些感知节点来操纵机器设备来达到破坏的目的,甚至还可以直接更换掉机器上的相关部件,以扰乱并破坏机器设备的正常功能。

(2)感知网络的传输与信息安全问题。功能简单、携带能量少是物联网中感知节点的主要特点,导致这些感知节点自身的安全保护能力较弱,根本无法避免被他人操纵。另外,物联网中存在有形式多样的感知网络,而且目前这些感知网络相互间没有统一的数据传输标准,导致无法为整个物联网提供一套统一的安全保护体系,进而使得感知网络的传输面临着巨大的潜在安全威胁。

(3)核心网络的传输与信息安全问题。由于物联网可以将各种各样的信息传感设备与互联网结合起来,以形成的一个庞大且多样化的网络环境,如此情况下,可以想象其节点数量将非常巨大,这样很可能会容易导致其在数据传播时出现网络拥塞的情况,进而产生拒绝服务的问题。虽然现有通信网具有较为完善的安全机制,但是其并没有考虑物联网机器间的这种复杂逻辑关系,所以当前通信网的安全机制还难以适应物联网间这种物物相连的通信安全需求,需要将来进一步的补充、完善。

(4)物联网业务的安全问题。相对互联网而言,物联网是一个更加庞大、更加复杂且多样化的网络环境,互联网中不是问题的问题在物联网中都有可能成为新的问题,如怎样对物联网设备进行远程签约信息和业务信息配置、怎样对物联网机器的日志等安全信息进行管理等,这些问题的存在很可能会导致很多潜在安全问题的产生。另外,物联网是由大量机器设备构成的,而且这些机器又无人看守、管理,这样就必然需要一个强大而统一的安全管理平台。

2 物联网安全对策

物联网主要是在现有网络基础上集成相关感知网络和应用平台,所以现有网络中的很多安全机制也可适用于物联网的安全需求,但还需要针对物联网的特征进行相应地调整和补充,以下将从技术和法律两方面对物联网安全措施进行探讨:

一方面,技术层面。物联网传感网络感知节点纵是一个无法避免的安全问题,所以必须要采用相关技术来提高感知节点本身的安全性,进而提升整个物联网的安全防御能力,如身份认证、加密、标签阻隔等都是比较常用的一些安全处理机制,而且随着网络技术的不断发展,相关安全机制也在不断完善。通过技术完善来提升物联网的安全需要在片级别的物理安全技术、信息传输的安全技术和访问、认证技术三方面来努力,其中,访问、认证是最为核心的内容。在传统网络环境中,身份鉴别、认证需要分别在网络层和业务层完成,由于物联网主要是由大量机器设备构成的,其业务应用与网络通信集成在一起,这样可根据业务由谁来提供和业务的安全敏感程度来设计相应的认证机制。

另一方面,法律层面。物联网可以涵盖人们日常生活的任何物品,很容易导致物品拥有者在不受察觉时被定位或追踪,这不仅仅是技术方面需要解决的安全问题,而且还涉及到个人隐私保护的法律问题。然而,目前我国对物联网还没有统一标准和针对性的法律法规,这样容易被某些不法分子通过法律漏洞来窃取利益。因此,一方面,相关政府部门需要依据我国基本的实际国情,明确、详细地确定物联网应保护的人们的隐私范围,进而制定出相应的法律法规。另一方面,物联网用户要提升自身隐私保护意识,如及时安装和更新安全防护软件,不随意打开陌生网络链接,在删除废弃电脑中的重要文件时,要做不可恢复性处理等等。

目前,我国物联网还处在起步阶段,但已得到各级政府、企业的广泛重视,其发展也在逐渐加速,如何解决物联网安全问题已成为满足物联网产业快速发展的重中之重,同时也是关系我国物联网产业能否安全可持续发展的核心内容之一。

参考文献

[1]郑滕滕.物联网安全保障机制探析[J].消费电子,2013,(18).

[2]魏震.物联网安全问题技术分析[J].无线互联科技,2013,(4).

[3]李志清.物联网安全问题研究[J].网络安全技术与应用,2011,(10)

[4]孙伟,刘志杰.物联网发展的安全需求[J].邮电设计技术,2013,(6).

第7篇:网络隐私安全问题范文

关键词:可穿戴设备;芯片层加密;多模加密;双向认证

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0038-02

Abstract: Wearable devices as a new force of intelligent technology, with unlimited potential.However, with the rapid development of wearable devices, its security risks will become a key factor restricting its development. Wearable device security issues are mainly reflected in three aspects of data, equipment and software. In response to the strategy, through the hardware chip layer encryption, access control and mutual authentication, data multimode encryption and other core technologies to improve the security of wearable devices.

Key words: wearable device; chip layer encryption; multimode encryption; mutual authentication

可穿戴设备出现在公众视野虽然只有短短几年,但已经成为了一支最火热的科技新势力。它作为物联网的重要应用,如今也是工业革命的核心技术之一。2014年作为可穿戴设备的发展元年,其市场规模得到了前所未有的扩展,各大IT界巨头如苹果、索尼、三星、谷歌等公司,纷纷可穿戴产品,将目光投向了可穿戴设备这片蓝海市场[1]。

近三年来,在全球闻名的CES国际电子产品展览会上,可穿戴设备、智能家居成为了绝对的主角。经过这几年的创新与发展,可穿戴市场虽然火热,但普及时代还未来临,人们关注更多的不仅仅是功能和质量,而是令人思索的安全问题。

1 可穿戴设备的发展

可穿戴设备,指的是可以穿戴在人体上的智能化的交互式产品,它通常融合了无线传感技术、多媒体、GPS定位、生物识别等多种技术于一身[2]。可穿戴设备的种类繁多,典型的代表有智能眼镜、智能手表、智能手环这三大类,另外智能内衣、智能头盔、智能戒指、智能跑鞋等类型的产品也层出不穷。在可穿戴产品中,谷歌公司在2012年的“拓展现实”的Google Glass最具影响力,该眼镜集智能手机、相机的功能于一体,实现全球首款支持“脑控”完成操作的智能设备。可穿戴设备倡导的是“以人为本”的设计理念,以微型传感器通过与人体的无缝连接,支持手势、眼动操作,实现身体数据(如心率、步数、体温、卡路里、睡眠等)的采集。通过云服务对数据进行计算与分析,最后上传到云端存储或者通过智能手机反馈给用户,帮助用户管理身体和设计健康的生活方式。

根据前瞻产业研究院的数据报告,在2016年国内的智能硬件市场规模将突破500亿大关,其中智能手环的销量最高,第五位为智能手表。从国内的消费情况来看,可穿戴设备的市场前景是非常广阔的。目前大多数可穿戴设备只是作为智能手机的一种补充和延伸,需要结合使用,而可穿戴设备真正的意义与价值是作为独立产品的形式存在,释放人们的双手,提供智能化,健康化、人性化的生活。但在短期以内,可穿戴设备是很难取代智能手机实现大爆发。究其原因,可穿戴设备作为一种新生代产品,在吸引了无数关注的同时,突显的安全隐患也将成为制约其发展的关键性因素。越来越多的人会意识到,当可穿戴产品日夜与人体无缝接触,它也必将成为下一个信息安全隐患的重要源头。在2015年5月被证实,我国军方发出禁令,禁止军人使用可穿戴设备,原因是这类产品很可能会泄漏国家军事机密。这不得不引发人们的思索,当可穿戴设备的功能愈加丰富,逐渐摆脱“鸡肋”角色时,它所潜在的安全问题终究会不会成为令人望而却步的“拦路虎”呢?

2 可穿戴设备的安全问题

智能穿戴产品颠覆性地改变用户的生活和工作方式的同时,也会带来更多新的社会问题,如信息安全问题。可穿戴设备所面临的安全问题主要体现在数据安全、设备安全以及软件安全这三方面。

① 数据安全:可穿戴设备采用了各种类型的生理传感器、甚至配备了摄像头,通过与人的无缝连接,隐私数据的感知能力更强,信息的处理和分析能力也大大提升[3]。而目前简单的穿戴设备都可以记录用户的运动轨迹,GPS定位等等。当用户佩戴的时间越长,获取的信息量就越大,用户的健康状况和生活喜好均被数据化呈现。这些隐私数据通常会上传给云服务器端进行处理和存储,或者反馈给智能手机进行数据共享。在这个大数据的时代,用户的个人隐私数据将会变得更加透明化。如果云服务器被攻击,用户的个人隐私将毫无安全可言,更重要的是对于用户的人身安全也将会是极大的威胁。

② 设备安全:可穿戴设备未来的发展方向势必与物联网联系更为紧密,将有可能成为智能家居、汽车驾驶的关键“钥匙”,一旦可穿戴设备被非法控制,那么关乎的不仅仅是数据的安全性,更是有关用户的住宅和生命财产安全。另外,可穿戴设备的使用会长时间接触人体皮肤,饱受质疑的是其设备本身的化学安全,人体辐射、电池安全等问题是否符合安全需求。

③ 软件安全:具有独立操作系统平台的可穿戴设备需要中间软件拓展更多的功能和服务,但这些软件一旦被恶意病毒感染,那么可穿戴设备的数据安全和设备安全就无从谈起了。

3 可穿戴设备的安全风险

3.1 操作系统的开源性

可穿戴设备为了结构和操作方式的灵活性,方便与其他设备的兼容对接,获得更好的用户体验,往往会采用的是开放性操作系统[4]。2014年3月谷歌推出了Android Wear操作系统,这是一个专门提供给第三方厂商的智能手表的开放平台,免费开源,并且数据挖掘和分析能力强大。基于Android的系统的开放性,提供方便的功能扩展的同时,更会带来诸多的安全隐患,如黑客的攻击,恶意代码的植入等等。

3.2 无线网络连接

目前的可穿戴设备普遍采用的是蓝牙、WiFi这样的逻辑设计来连接智能手机,通过手机端的APP或者GPS定位实现数据的同步和共享,在数据传输的各个环节中,都有可能遭受到网络攻击[5]。在未来,可穿戴设备采用NFC短距离传输技术实现门禁解锁与移动支付也将会成为潮流和趋势,而这无疑将会变成网络黑客眼中的“肥肉”。无线网络连接相比于有线连接更容易受到射频干扰,传输的数据容易被非法截获,造成信息的泄漏。

3.3 智能硬件的自身漏洞和缺陷

可穿戴产品为了保证形态小巧精致,外观时尚,会采用较小体积的传感器,有的设备甚至连芯片或系统都没有,就其本身的硬件结构上看,缺乏一定的硬件层安全保障。在软件层次上,各大生产厂商为产品设计越来越多的中间层软件,拓展丰富的功能,但这也相应地带来了更多的安全风险。在2015年Hack Pwn安全极客狂欢节上,有黑客展示了通过小米手环的漏洞成功获取了控制权,这实际上也不是个例,大多数穿戴产品都会存在一些硬件漏洞或者缺陷。

3.4 网络恶意攻击

可穿戴设备目前正处于初步发展阶段,各种安全措施均不够完善,极容易遭受到不法攻击。黑客为了获取有价值的数据,不仅仅是对设备进行攻击,更会上升到整个应用链中。网络中的攻击主要体现在对设备的远程控制、隐私数据的窃取以及物理设备的破坏等。

4 可穿戴设备的安全应对措施

基于以上的分析,可见可穿戴设备在目前阶段的安全系数并不高,针对于安全问题的应对措施的研究也是势在必行。随着可穿戴应用市场的不断发展,在提高质量和用户体验的同时,其安全问题已经成为必须要攻克的一块“致命短板”。

4.1制定统一规范的安全技术标准

由于行业内缺乏统一的技术规范,各大厂商设计和开发的可穿戴产品在质量上、功能上层次不齐,形态各异。尤其在网络安全技术标准这一块,缺乏相应的技术指导,没有权威的安全监管机制,导致安全问题成为众多产品的一大“硬伤”。另外,可穿戴设备行业的信息安全防护也需要在国家法律层面上有所体现,针对于敏感信息采集和个人隐私的保护需要法律化规范。最后,在可穿戴产品的安全检测上,需要制定一套可靠的权威的认证机制来规范行业产品的发展,让用户能够更简单化、有效化地评估产品和购买产品。

4.2 硬件厂商对芯片层加密

大多数可穿戴产品都不是以独立的形态出现,而是依附于智能手机或者云服务器端实现数据的共享与处理。硬件生产厂商在对芯片层进行设计时,增加安全硬件模块,植入厂商独立自主的底层安全架构。可穿戴设备通过无线网络与智能手机或者云端进行数据交互时,数据会被加密,秘钥存放在可穿戴设备的硬件芯片中。当需要查看手机端或者云端数据时,必须身份认证和秘钥都匹配通过才能实现操作。这种芯片级的加密处理,可以大大提高隐私数据的安全性。

4.3 接入控制与双向认证机制

用户使用可穿戴设备联网时,启用接入控制机制,首先需要进行对连接的网络环境进行安全评估,并采用WPA2加密机制保障无线网络的安全性[6]。在与其他终端进行交互时,必须先进行双向身份认证,确保通信实体之间身份的合法性。在身份识别上,采用基于生物特征的增强型认证,如指纹、心率等。生物特征很难被复制和窃取,用于用户身份认证上安全程度是非常高的。

4.4数据的多模加密

用户使用智能产品时,最关心的问题莫过于数据的安全性。可穿戴设备最重要的不在于硬件,也是在于数据的价值。数据的多模加密是由对称加密技术和非对称加密技术结合组成。对于设备采集到的数据根据不同的环境安全需求,采用不同的加密模式,从本源上保证数据的安全性,具有针对性、全面性和灵活性的特点。使用多模加密的同时,为了保证隐私数据的安全,应使用高强度的加密方式,秘钥的长度不少于256位。针对于不同的使用场景,进行数据挖掘时,采用匿名原则,对个人隐私数据进行模糊化处理,并去掉用户识别程度高的数据,保护用户的身份和隐私的安全。

4.5日志审计和入侵检测

在可穿戴产品安全模块上,集成日志审计和入侵检测功能。入侵检测是对进出可穿戴设备的数据流量进行分析和控制,对具备安全风险和入侵企图的流量进行拦截,防止网络入侵的发生。对于设备的常规操作进行日志记录,包括连接的网络属性、设备状态,操作详情,与其他设备的交互等。通过日志审计和分析,能够做到全面而详细的设备监控。

5 结语

可穿戴设备未来的路还很长,但终究能不能得到一个爆发,安全问题成为了亟待解决的难题和障碍。在可穿戴设备的持续发展中,需要国家政府、生产厂商、服务提供商和消费者等多方努力,来推动可穿戴市场的整体发展。

参考文献:

[1] 陈根.可穿戴设备[M].北京: 机械工业出版社,2014:17-18.

[2] 王倩.可穿戴设备的信息安全问题研究[J].情报探索,2016(3):122-128.

[3] 张晓睿,张世奇.可穿戴设备发展趋势及信息安全风险研究[J].中国新技术新产品,2016:184.

[4] 落红卫,魏亮徐,迎阳.可穿戴设备的安全威胁与防护措施[J].电信网技术.2013(11):9-11.

第8篇:网络隐私安全问题范文

关键词:无线射频识别系统,安全,标签

 

0 引言

RFID是近年来的一项热门技术,现在它广泛应用于物流、交通、商业、管理等各个领域。。RFID系统由标签、阅读器(Reader)、应用软件和现有的互联网的基础上组成[1]。

在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通,如图1所示。

图1 RFID系统结构图

RFID的应用越来越广泛,它像计算机网络一样也存在着安全隐患,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题

一样考验人们的智慧。随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。这些安全问题将会严重阻碍RFID系统的应用推广。

因此,在RFID技术大规模应用之前有必要提前解决预计出现的安全及隐私问题或者把这种危害降低到相对低点。

1 存在的安全隐患

RFID系统和其他信息系统一样存在许多安全隐患,这些隐患无疑威胁着RFID系统的正常运行,并且不同于其他信息系统的安全问题。根据上边的RFID系统结构图,我们把系统存在的安全问题分为三类:标签集安全、软件级安全和网络级安全,下面分别分析这三种安全隐患。

1.1 标签级安全

目前RFID处于初级起步阶段,标签级安全主要集中在以下三个方面:

(1)对电子标签信息的盗读和篡改[2]

RFID标签和条码不同,体积小,容量小,通过天线就可以与外界交互信息,因此射频识别系统很容易受到攻击。RFID标签拥有惟一的ID,一旦攻击者获得ID,也就获得了目标对象的数据信息。未被保护的标签易遭受来自未授权方的监听,未授权的读写器在没有访问控制协议下可随时访问其附近的标签从而获得机密数据。

在篡改电子标签内数据方面,存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能,从而可能使整个供应链陷入瘫痪状态,因此存在标签数据被篡改的危险。

(2)读写器受到干扰或其他攻击

由于RFID的开放式环境,非法用户通过发射干扰信号来影响读写器读取信号,或用其他方式释放攻击信号直接攻击读写器,使读写器无法接收正常的标签数据。

(3)对环境的适应性

由于零售业和物流业的RFID应用环境比较复杂,因此需要RFID具有较强的适应性,包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。

1.2 软件级安全

数据进入后端系统之后,则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。。

1.3 网络级安全

RFID系统中标签数据进入系统软件,然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患,这是Internet安全的问题。

2 主要技术对策及分析

RFID系统存在三个不同层面上的安全隐患:标签、软件、网络。尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。RFID技术本身就包含了比计算机和网络中更多更容易泄密的不安全节点。对于网络和软件安全方面我们已经耳熏目染,这里只讨论RFID系统特有的安全问题即标签级安全的对策。

RFID芯片本身就存在一些需要我们解决的安全难题。由于RFID芯片很小,内存和存储容量也同样小,这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情[3]。

标签级安全对策主要有以下几种:

(1) 只读标签

这种方式消除了数据被篡改和删除的风险,但仍然具有被非法阅读的风险。

(2 ) 限制标签和读写器之间的通信距离

采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。

(3) 实现专有的通信协议

在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力[4]。

(4) 屏蔽

可以使用法拉第网来屏蔽标签,使其丧失了RF特征。。在不需要阅读和通信的时候,这也是一个主要的保护手段,特别是包含有金融价值和敏感数据的标签的场合,可以在需要通信的时候解除屏蔽。(5) 使用销毁指令(KillCommand)

如果标签支持Kill指令,当标签接收到读写器发送的Kill命令便会将自己销毁,无法被再次激活,以后它将对读写器的任何指令都无法反应。特别是在零售场合,消费者可以在购买产品后执行Kill命令使标签失效,从而消除了消费者在隐私方面的顾虑。但是使用这种方式影响到商品的反向跟踪,比如退货、维修和售后服务等。因为标签卷标已经无效,相应的信息系统将不能再识别该标签的数据。

(6) 使用休眠指令(Sleep)

当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态,不会响应任何读写器的操作;当标签收到读写器的唤醒(WakeUp)命令才会恢复正常。

(7) 物理损坏

物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心标签是否失效,但是对一些嵌入的、难以接触的标签则难以做到。

(8) 认证和加密

可使用各种认证和加密手段来确保标签和读写器之间的数据安全[5]。读写器操作标签时必须同时发送密码,标签验证密码成功才响应读写器,之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。

(9) 选择性锁定[6]

这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的读写器读取某个标签的子集。

选择性锁定克服或者平衡了以上各种方法的缺点,也消除了加密和认证方案带来的高成本性,这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他读写器读取和跟踪其附近的标签,而在不需要的时候,则可以取消这种阻止,使标签得以重新生效。

以上这些方法各有自己的特色和不足,没有任何一个单一的手段可以彻底保证RFID应用的安全,所以必须针对不同应用灵活选择和组合采用综合性的解决方案,考虑成本和收益之间的关系。

3 结束语

RFID安全问题是个系统问题, 关注的焦点不应该只局限在RFID产品本身上,RFID系统的安全, 不仅仅是RFID标签本身的安全技术, 关键是应用系统上的安全方案和管理制度。RFID系统安全会在应用过程中逐步改善,而随着安全问题的逐步完善它的应用会越来越广泛。

参考文献:

[1]甘勇,郑富娥,吉星.RFID中间件关键技术研究[J].电子技术应用,2007,33(9):130-132.

[2]蒋文娟.RFID存在的隐私问题及应用建议[J],计算机安全2005(10):21-22

[3]杨志和.基于中间件和RFID技术的物流管理系统的应用研究[D]:硕士学位论文.广西:广西大学.2006:30-45

[4]周永彬,冯登国.RFID安全协议的设计与分析[J].计算机学报,2006,4:7-8

[5]李晓东.射频识别技术中的隐私安全问题及策略[J].微电子学与计算机.2005:137-140

[6]RFIDPrivacyWorkshop,IEEESECURITY&PRIVACY,MARCH/APRIL2004,p48-50

第9篇:网络隐私安全问题范文

关键词:物联网;安全层次;技术

中图分类号:F253.9 文献标识码:A

Abstract: This paper introduced the security hierarchy structure and common security issues of the internet of things based on its characters, discussed common threats during the internet of things' entity and communication, analyzed and elaborated the key technologies such as key management, security about information acquisition and transmission, personal privacy protection and so on, in order to provide theoretical basis for realizing all levels of technology security's seamless joint.

Key words: the internet of thing; security hierarchy; technology

物联网是将互联网、移动通信网络和传感网络等融合在一起,在互联网的基础上延伸和扩展出来的一种网络。物联网的用户可扩展延伸到任何物品与物品之间,可以进行通信信息的交换。它利用RFID、传感器等设备可以随时随地获取物体的信息,获得全面感知能力,并通过融合网络将物体的现状、属性等特征实时准确传递出去;利用云计算、模糊识别等各种智能计算技术,实现对大量数据和信息的分析与处理,对物品实施智能化控制;可以根据各个行业、各种业务的具体特点形成独特的业务应用,或者给整个行业或系统的建成提供解决方案。

1 物联网安全层次结构

物联网的底层是用来进行信息采集的感知层,中间层是用来数据传输的网络层,顶层则是应用/中间件层[1]。

物联网信息安全的总体需求就是实现物理安全、信息采集安全、信息传输安全和个人隐私的保护,最终能够确保信息的机密性、完整性、真实性和数据实时性。结合物联网的以上特性,本文给出物联网的系统模型,如图1所示,并对每一层的关键技术进行阐述。

2 物联网信息安全问题

从物联网对信息处理的过程来看,从感知信息到采集、汇聚、融合、传输、决策与控制都体现了物联网的安全特征和对安全的要求。与传统网络相比物联网的感知节点大都部署在无人监控的环境,能力脆弱、资源受限,并且由于物联网是在现有网络基础上扩展出来的感知网络和应用平台,传统网络的安全措施不足以为物联网提供可靠的安全保障,这就使得物联网的安全问题具有特殊性。表1统计了物联网中实体和通信遇到的主要威胁。因此,须根据自身特点来设计物联网的相关安全机制[2]。

2.1 感知层

物联网的信息层感知节点趋于多样化,无线链路相对脆弱,网络拓扑呈动态变化,节点的计算能力、存储能力和能源均有限,无线通讯过程中易受到外界干扰,这使得它们无法拥有复杂的自我安全保护能力。RFID标签本身存在访问缺陷,而且标签的可重写性使得标签中数据的安全性、有效性和完整性都不能得到有效保证。另外,从道路导航到温度监测感知网络也是多种多样,对于数据传输和属性并没有特定的规定和标准,因此系统无法提供统一、全面的安全保护体系。

2.2 网络层

信息的转发和传送主要由物联网的网络层来实现。作为数据在远端进行智能处理和分析决策的基础,网络层负责将采集获取的信息快速安全的传送到远端。各种设备在接入物联网时使用了多种无线技术,鉴于接入层的异构性,保证在异构网络间节点间漫游和无缝移动服务来为终端提供移动性管理是研究的重点对象。而无线接口多为开放式,任何使用无线设备的个体都可以通过监听无线信道而截获通道中传输的信息,更有甚者还可以私自修改、插入、删除或重传无线接口中传输的消息,假冒用户身份欺骗网络端。

在进行数据传输时面临最大的问题是网络地址空间的空缺,正在推进的IPv6技术采纳IPsec协议,虽然在IP层上对数据包进行了高强度安全处理,但风险依旧存在,并且替换IPv4协议向IPv6协议过渡需要一个过程,这个过程只能逐步推进,而在解决两者互通问题上所采取的各种过渡措施也有可能给网络带来新的风险。

2.3 应用层

应用层的安全问题主要包括数据库的访问管理认证机制、隐私保护和中间件等。物联网信息处理业务和控制策略涉及到的范围广、数据种类多,安全需求各不相同,面对同一安全信息服务,如果只提供一种精度的信息,将会增加信息泄露的风险。针对不同需求来提供适宜的精度信息,是应用层安全面临的一个重要问题。

中间件一般存在于物联网的集成服务器端、感知层以及传输层的嵌入式设备中。集成服务器端的中间件称为物联网业务基础中间件,不同通信协议的模块和运行环境则是由嵌入式中间件提供支持。一般情况下,某种中间件的内部已经固化了某些特定通用功能,但如需在具体应用中实现个性化的业务需求还需进行二次开发,为此物联网中间件都提供了快速开发(RAD)工具。

3 物联网安全关键技术

3.1 密钥管理安全

密钥系统是网络安全的基础,是实现信息隐私保护的主要手段之一。互联网面临的安全隐患主要来源于其开放式管理模式,没有严格管理中心的网络。移动通信网络是相对集中管理的一种网络,由于计算资源的限制,使得无线传感器网络和感知节点对密钥系统提出了更多的要求。因此物联网密钥管理系统的安全主要在两个方面存在问题,一是构建一个贯穿多个网络并与物联网的体系结构相适应的统一密钥管理系统,二是如何对传感器网络密钥进行管理问题,如密钥的分配、更新、组播等问题。可以采用以互联网为中心的集中式管理方式和以各自网络为中心的分布式管理方式来实现统一的密钥管理系统安全。有线网络和传统的资源不受无线网络的限制,这使得无线传感器网络的密钥管理安全系统的设计,要充分考虑到无线传感器网络传感节点的限制和网络组网与路由的特征[3]。

3.2 信息采集安全

在物联网中,传感器、RFID、短距离无线通信等负责感知物体的信息,识别和捕获物体的动态属性。信息采集安全问题主要表现为数据信息在采集过程中的机密性、完整性、可用性等方面的要求。

在传感器网络中存在很多相对简单的路由协议,使其系统更容易受到攻击。可以在路由中加入容侵策略来提高物联网的安全性;也可采用多径路由选择的方法减少非法用户控制数据流的计划,以起到保护的作用;还可在路由设计中加入广播半径,每个节点都只能在限制内的半径区域发送数据。基于RFID标签本身的访问缺陷,任何用户都可利用合法阅读器直接对标签信息进行读取、篡改设置删除操作。还可以利用植入到标签中的读写芯片来假冒合法读写器的身份,如果没有足够的安全策略保护,标签中的数据的机密性、完整性、安全性和可用性都得不到保证。可以使用物理方法、密码机制和将两者有机结合的方法来保证RFID标签安全。

3.3 信息传输安全

物联网系统的功能是实现高层对网络末梢实体的实时感知和精确控制,可以使用双向认证技术来建立二者之间的互信机制。但在物联网网络环境下,网络层的最大问题是现有的地址空间短缺,认证过程中末梢网络资源有限,因此认证机制的计算和通信开销应尽可能小。对外部网络而言,其连接的末梢网络数量巨大,结构不尽相同,须建立一个高效的识别机制以区分这些网络及其内部节点,并赋予其唯一的身份标识。认证可采用分段加密口令来保证网络的运行效率和可扩展性。

3.4 个体隐私保护

基于位置服务中的隐私内容涉及两个方面,一是基于位置隐私,二是在查询信息处理过程中的隐私保护问题。位置隐私是指用户过去或现在位置的隐私,而查询隐私是指在数据处理过程中对敏感信息的查询与挖掘。想要系统在能够提供尽可能精确的位置服务的同时,又希望个人的隐私得到保护,这就需要提供足够的技术保证。目前常见的隐私保护方法主要有时空匿名、位置伪装和空间加密等。

4 结 论

物联网安全是一个新兴的领域,作为一个整体,各层安全机制的简单相加并不能实现系统的深度防御,保障系统安全。因此构建控制与信息相结合的安全体系,并实现各层次简单与技术安全的无缝衔接,是物联网安全研究发展的重要方向。

参考文献:

[1] 沈苏彬,范曲立,宗平,等. 物联网的体系结构与相关技术研究[J]. 南京邮电大学学报(自然科学版),2009,29(6):1-11.