消费物联网的用户数据管理
前 言
随着物联网的快速发展与普及,消费者物联网与工业物联网一样获得了较多的应用。相较于工业物联网,消费者物联网产生的数据更加复杂多样,更重要的是,消费者物联网对数据隐私与安全性的要求更高。事实上,消费者物联网的数据安全性在整个数据安全领域是最高的之一。消费者物联网由于更贴近用户端,所有接入设备的数据都将在网络上流通,这就要求网络在保持灵活性的同时,还要时刻保持安全性。此外,消费者物联网的接入设备更贴近用户生活,有些生物设备用户数据高度涉及用户隐私,此类数据被泄露往往造成比其它数据更大的危害。因此,如何保证消费者物联网的用户数据安全性,俨然已成为物联网发展的重要命题,同时也是消费者对于物联网发展的必然要求。
针对这一问题,提出一个基本的、统一的、具有建设性的标准是十分有意义的,这不仅仅是物联网的健康发展所需,更是消费者的迫切需求所想。在此背景下,由欧洲电信标准化协会(ETSI)于2020年6月份提出的《消费者物联网的网络安全:基本要求》一文为我们提供了有价值的参考。该文提出的有关消费者物联网数据安全的基本原则,无论是对于相关从业人员,还是普通消费者,都具有十分重要的借鉴意义,也为消费者物联网的发展提出了一种基本的要求框架。本文接下来将介绍该篇文章有关消费者用户数据安全的部分内容。
消费者物联网结构
常见消费者物联网结构如下图1所示,以家庭环境为例,所有硬件设备将直接通过IP 连接(如通过以太网或 Wi-Fi)或间接通过网关或集线器连接到 LAN。这种与 LAN 的间接连接通常使用非 IP 连接(例如基于 IEEE 802.15.4的协议族),然后,路由器将LAN 连接到 WAN(即互联网)。然而,在某些情况下,家庭中的设备可以通过其他非 IP 或IP 连接(如 GSM 或 WAN)直接连接到 WAN。
此外,家庭中的消费者物联网设备通常会向外连接到(或通过)在线或本地服务。在线服务通常包括各种云服务、即时更新服务等,该类服务必须通过网络与互联网进行数据交互。
图1 家庭环境中消费者物联网部署的参考体系结构示例
上图展示了一个在家庭中实际部署消费者物联网的模型示例。现今越来越多的设备都支持远程控制、数据共享等云服务,这也就意味着将会有越来越多的设备通过各种方式接入互联网,对于其中某些较大的设备,比如智能电视等,其主要资源还有可能采用实时获取最新资源的方式与互联网连接,最终,从与互联网的连接方式上看,大致可以分为IP连接与非IP连接,IP网关提供主要的互联网连接,使用户方便享有各种云服务,对于某些其他的特殊设备,例如位于室外的环境传感器等,由于远离家庭环境本身,因此无法通过家庭网关连接至互联网,此时可以采用GSM等方式直接与广域网通信。
确保个人数据安全
设备和服务之间传输的个人数据,尤其是相关服务的机密性,应采用业界最佳加密技术加以保护。设备和相关服务之间交流的敏感个人数据的机密性应受到保护,并采用适合的加密技术。
在上述原则中,“敏感个人数据”是指其披露极有可能对个人造成伤害的数据。被视为“敏感个人数据”的内容因产品和用例的差异而不同,例如:家庭安全摄像头的视频流、支付信息、通信数据的内容和时间戳位置数据。执行安全和数据保护影响评估可以帮助制造商做出适当的选择。此外,相关服务通常是云服务,并且这些服务受到制造商的控制或影响,通常不由用户操作。保密保护通常使用业界最佳密码技术进行完整性保护。
装置的所有外部感应能力应以对用户清晰透明的方式记录在案。例如:外部感应能力可以是光学或声学传感器。
方便用户删除用户数据
用户数据是指存储在物联网设备上的所有个人数据,包括个人数据、用户配置和加密材料,如用户口令或密钥。任何厂商的软硬件产品应提供用户数据删除功能,以便以简单的方式从相关服务中删除个人数据。此类功能旨在用于所有权转移、消费者希望删除个人数据、消费者希望从设备中删除服务或消费者希望处置设备的情况。有关“轻松”删除用户数据的含义是指完成该操作所需的步骤较少,每项操作的复杂性最低。
同时,应向用户提供关于如何删除其个人数据的明确指示,并提供明确的确认,即个人数据已从服务、设备和应用程序中删除。
消费者物联网设备通常会改变所有权,并最终被回收或处置。当消费者希望完全删除其个人数据时,他们还希望备份副本被追溯删除。因此,可以提供允许消费者保持控制并从服务、设备和应用程序中删除个人数据的机制。
从设备或服务中删除个人数据通常不是简单地通过将设备重置回其出厂默认状态来实现的。在许多用例中,消费者不是设备的所有者,但希望从设备和所有相关服务(如云服务或移动应用程序)中删除他们自己的个人数据。例如:用户可以在租用的公寓内临时使用消费物联网产品,对产品进行出厂重置可能会删除配置设置或禁用设备,从而损害公寓所有者和未来用户的利益,因为出厂重置(从物联网设备中删除所有数据)不是以诸如删除共享使用上下文中单个用户的个人数据的简单方式来执行。
检查系统的无线传感数据
若使用和测量从消费者物联网设备和服务收集的无线传感数据,,则应检查其是否存在安全异常,以避免用户数据通过潜在的安全漏洞被泄露。其中,安全异常可以通过偏离设备的正常行为来表示,如受监控的指示器警报异常等。例如,在登录失败后短时间内尝试重新登录的次数异常增加,这是一种典型的登录异常行为。
来自多种设备的无线传感器制造商应注意到,由于无效的软件更新真实性检查而导致更新失败的安全风险,定期检查传感器数据(包括日志数据)有助于安全评估,并允许尽早识别和处理异常情况,最大限度地降低安全风险,并允许快速定位及解决问题。
验证输入数据
消费者物联网设备软件应验证通过用户界面输入的数据,或通过应用编程接口(API)传输的数据,或在服务和设备中的网络之间传输的数据。
跨不同类型的接口传输的数据或代码格式不正确,可能会破坏系统。攻击者或测试人员可以使用 Fuzzer 等自动化工具,以利用由于未验证数据而出现的潜在漏洞和弱点。
例如,设备接收的数据类型不是预期的文本类型,而是可执行代码时,设备上的软件应当能够对此提供机制来防御,使得任何输入都能够被参数化或“转义”为预期的安全类型,从而阻止运行注入的未知代码。另一种情况是,如果温度传感器接收超出范围的数据,便不应尝试各种方式来处理该输入。当识别出该数据超出了可能的界限,正确的做法是丢弃,并且应在运行日志中有所体现。
消费者物联网的数据保护规定
许多消费物联网设备处理个人数据,制造商应在这类设备中提供支持此类个人数据保护的功能。此外,应当制定并不断完善消费者物联网设备中个人数据保护相关的法律法规。
制造商应向消费者提供清晰、透明的信息,说明每种设备和服务的个人数据处理方式、使用方式、使用者以及用途。这也适用于可能涉及的第三方,例如广告商。
在消费者同意的基础上处理个人数据的,应以有效方式获得该同意。上述原则中,“以有效方式”获得同意通常包括让消费者自由、明显和明确地选择其个人数据是否可用于特定目的。并且,同意处理其个人数据的消费者有权随时撤回其个人数据。
消费者希望通过适当配置物联网设备和服务功能来保护他们的隐私。如果从消费者物联网设备和服务收集遥测数据,个人数据的处理应保持在预期功能所需的最低限度。如果遥测数据是从消费者物联网设备和服务收集的,则应向消费者提供关于收集了哪些传感器数据、如何使用、由谁使用以及用于什么目的的信息。
设备状态管理
消费物联网每一个设备的整个生命周期可以看作为几个状态之间的停留与转换。根据用户操作,设备将在几个状态之间切换。这些转换如图7-1所示,该图明确了如何在设备中使用定义的状态。在该图示例的模型中,停用设备将处于出厂默认状态,因为出厂重置过程可能是用于删除所有用户数据和配置过程。同时,设备停用后,便意味着该设备可以被安全回收、转售或销毁。
图2消费者物联网设备状态图
上图中,一台崭新的设备默认为出厂状态,该状态下一般不能正常使用完整功能,需要用户或管理员辅助配置相关设置项,例如常见的网络信息、账户信息等。若该设备需要在线服务,则可能需要配置更多的其他信息。配置完毕后,该设备已经包含了一定的用户数据,进入生命周期中的前期,此时用户可以正常地使用完整功能,并在使用过程中产生包含隐私项在内的多种敏感数据。这些敏感数据包括但不限于传感器数据、地理位置、使用时长、历史记录等,且高度涉及用户隐私。随着使用程度的增加,设备可能不仅仅为一个用户提供服务,而被添加多个账户,状态也被转移至使用过程中的第三个状态。理论上,随着正常使用时长或次数的增加,一个设备的用户数据总是不断增多的,回退至初始状态的成本也会不断增大,此时要求设备厂商或开发者们应当提供最终回退至出厂状态的选项,以便设备能较快地停用。
参考文献
ETSI TS 103 645, Cyber Security for Consumer Internet of Things: Baseline Requirements.
中国保密协会
科学技术分会
长按扫码关注我们
作者:梁飞 中国科学院信息工程研究所
责编:何洁
2020年精彩文章TOP5回顾
近期精彩文章回顾
大数据全生命周期安全与隐私(上篇)浅谈文本对抗攻击与防御方法(下篇)