前言
随着物联网的快速发展和普及,消费者物联网和工业物联网得到了更多的应用。与工业物联网相比,消费者物联网产生的数据更加复杂和多样化,更重要的是,消费者物联网对数据隐私和安全的要求更高。事实上,消费者物联网的数据安全性是整个数据安全领域最高的数据之一。由于消费者物联网更接近用户端,所有访问设备的数据都将在网络上流通,这要求网络始终保持灵活性和安全性。此外,消费者物联网的访问设备更接近用户的生活。一些生物设备的用户数据高度涉及用户隐私,这些数据泄露往往比其他数据造成更大的危害。因此,如何确保消费者物联网的用户数据安全已成为物联网发展的重要命题,也是消费者对物联网发展的必然要求。
针对这一问题,提出基本、统一、建设性的标准是非常有意义的,这不仅是物联网健康发展的需要,也是消费者的迫切需要。在此背景下,欧洲电信标准化协会(ETSI)2020年6月提出的《消费者物联网网络安全:基本要求》一文为我们提供了有价值的参考。本文提出的消费者物联网数据安全的基本原则对相关从业人员和普通消费者都具有重要的参考意义,也为消费者物联网的发展提出了基本的要求框架。本文将介绍本文关于消费者用户数据安全的部分内容。
消费者物联网结构
以家庭环境为例,所有硬件设备1所示。以家庭环境为例,所有硬件设备将直接通过IP 连接(如通过以太网或 Wi-Fi)或通过网关或集线器间接连接到 LAN。这种与 LAN通常使用非 IP 连接(如基于 IEEE 802.15.4协议),然后,路由器将LAN 与 相连WAN(即互联网)。然而,在某些情况下,家庭设备可以通过其他非 IP 或IP 连接(如 GSM 或 WAN)直接连接到 WAN。
此外,家庭中的消费者物联网设备通常连接到(或通过)在线或本地服务。在线服务通常包括各种云服务、即时更新服务等,必须通过网络与互联网进行数据交互。
图1 消费者物联网部署在家庭环境中的参考体系结构示例
上图显示了消费者物联网在家庭中实际部署的模型示例。如今,越来越多的设备支持远程控制、数据共享等云服务,这意味着越来越多的设备将通过各种方式访问互联网。对于一些较大的设备,如智能电视,其主要资源可以通过实时获取最新资源与互联网连接。最后,从与互联网的连接方式来看,大致可以分为IP连接与非IP连接,IP网关提供主要的互联网连接,方便用户享受各种云服务。对于户外环境传感器等其他特殊设备,由于远离家庭环境本身,无法通过家庭网关连接到互联网,此时可以使用GSM直接与广域网通信。
确保个人数据安全
设备与服务之间传输的个人数据,特别是相关服务的机密性,应采用行业内最佳加密技术进行保护。保护设备与相关服务之间敏感个人数据的机密性,采用合适的加密技术。
在上述原则中,“敏感的个人数据”它是指披露可能对个人造成伤害的数据。“敏感的个人数据”内容因产品和用例的不同而不同,如家庭安全摄像头的视频流量、支付信息、通信数据的内容和时间戳位置数据。安全和数据保护影响评估的实施可以帮助制造商做出适当的选择。此外,相关服务通常是云服务,由制造商控制或影响,通常不由用户操作。保密通常使用行业中最好的密码技术进行完整性保护。
设备的所有外部感应能力都应以清晰透明的方式记录在案。例如,外部感应能力可以是光学或声学传感器。
方便用户删除用户数据
用户数据是指存储在物联网设备上的所有个人数据,包括个人数据、用户配置和加密材料,如用户密码或密钥。任何制造商的软件和硬件产品都应提供用户数据删除功能,以便以简单的方式从相关服务中删除个人数据。该功能旨在用于所有权转移、消费者想要删除个人数据、消费者想要删除设备或消费者想要处理设备关信息“轻松”删除用户数据的味着完成操作所需的步骤较少,每个操作的复杂性最低。
同时,应向用户提供关于如何删除个人数据的明确指示,并从服务、设备和应用程序中删除个人数据。
消费者的物联网设备通常会改变所有权,最终被回收或处置。当消费者想要完全删除他们的个人数据时,他们也想要可追溯地删除备份副本。因此,可以提供一种机制,允许消费者从服务、设备和应用程序中保持控制和删除个人数据。
从设备或服务中删除个人数据通常不仅仅是通过将设备重置回其默认状态来实现的。在许多用例中,消费者并不是设备的所有者,而是希望从设备和所有相关服务(如云服务或移动应用程序)中删除自己的个人数据。例如:用户可以在租赁公寓临时使用消费物联网产品,产品可以删除配置设置或禁止设备,从而损害公寓所有者和未来用户的利益,因为工厂重置(从物联网设备中删除所有数据)不是简单的删除共享使用单个用户的个人数据。
检查系统的无线传感数据
如果使用和测量从消费者物联网设备和服务中收集的无线传感数据,应检查是否存在安全异常,以避免用户数据通过潜在的安全漏洞泄露。其中,安全异常可以通过偏离设备的正常行为来表示,如监控指示器报警异常。例如,在登录失败后短时间内尝试重新登录的次数异常增加是典型的异常登录行为。
来自各种设备的无线传感器制造商应注意到,由于无效的软件更新真实性检查,定期检查传感器数据(包括日志数据)有助于安全评估,允许尽快识别和处理异常情况,降低安全风险,并允许快速定位和解决问题。
验证输入数据
消费者物联网设备软件应验证通过用户界面或应用程序编程接口输入的数据(API)在服务和设备中的网络之间传输数据或数据。
不同类型接口传输的数据或代码格式不正确,可能会损坏系统。攻击者或测试人员可以使用 Fuzzer 等自动化工具利用未验证数据的潜在漏洞和弱点。
例如,当设备接收的数据类型不是预期的文本类型,而是可执行代码时,设备上的软件应该能够提供防御机制,使任何输入都可以参数化或“转义”为预期的安全类型,以防止未知代码注入运行。另一种情况是,如果温度传感器接收超出范围的数据,则不应尝试以各种方式处理输入。当识别数据超过可能的边界时,正确的方法是丢弃并反映在操作日志中。
《消费者物联网数据保护条例》
许多消费物联网设备处理个人数据,制造商应提供支持此类个人数据保护的功能。此外,还应制定并不断完善消费物联网设备中个人数据保护的相关法律法规。
制造商应向消费者提供清晰透明的信息,解释个人数据处理、使用、用户和各种设备和服务的用途。这也适用于可能涉及的第三方,如广告商。
在消费者同意的基础上处理个人数据的,应当以有效的方式获得同意。在上述原则中,“以有效方式”获得同意通常包括让消费者自由、明显、明确地选择他们的个人数据是否可以用于特定目的。此外,同意处理其个人数据的消费者有权随时撤回其个人数据。
消费者希望通过适当配置物联网设备和服务功能来保护他们的隐私。如果遥测数据是从消费者的物联网设备和服务中收集的,个人数据的处理应保持在预期功能所需的最低限度。如果遥测数据是从消费者的物联网设备和服务中收集的,则应向消费者提供关于收集哪些传感器数据、如何使用、谁使用以及目的的信息。
设备状态管理
消费物联网各设备的整个生命周期可视为几种状态之间的停留和转换。根据用户操作,设备将在几种状态之间切换。这些转换如图所示7-1如图所示,何在设备中使用定义的状态。在图示例模型中,由于出厂重置过程可能用于删除所有用户数据和配置过程,停止设备将处于默认状态。同时,设备停止后,意味着设备可以安全回收、转售或销毁。
图2消费者物联网设备状态图
在上图中,默认情况下,新设备不能正常使用完整的功能,需要用户或管理员协助配置相关设置项目,如常见的网络信息、账户信息等。如果该设备需要在线服务,则可能需要配置更多的其他信息。配置完成后,该设备包含了一定的用户数据,进入了生命周期的早期阶段。此时,用户可以正常使用完整的功能,并在使用过程中产生各种敏感数据,包括隐私项目。这些敏感数据包括但不限于传感器数据、地理位置、使用时间、历史记录等,并高度涉及用户隐私。随着使用程度的增加,该设备不仅可以为用户提供服务,还可以添加多个账户,状态也可以转移到使用过程中的第三个状态。
理论上,随着正常使用时间或次数的增加,设备的用户数据总是增加,返回到初始状态的成本也会增加。此时,设备制造商或开发商应提供最终返回到工厂状态的选项,以便设备能够快速停止使用。
戳这里,看作者更好的文章