消費(fèi)物聯(lián)網(wǎng)的用戶數(shù)據(jù)管理

夢(mèng)見星空
消費(fèi)者物聯(lián)網(wǎng)設(shè)備通常會(huì)改變所有權(quán),并最終被回收或處置。當(dāng)消費(fèi)者希望完全刪除其個(gè)人數(shù)據(jù)時(shí),他們還希望備份副本被追溯刪除。因此,可以提供允許消費(fèi)者保持控制并從服務(wù)、設(shè)備和應(yīng)用程序中刪除個(gè)人數(shù)據(jù)的機(jī)制。

隨著物聯(lián)網(wǎng)的快速發(fā)展與普及,消費(fèi)者物聯(lián)網(wǎng)與工業(yè)物聯(lián)網(wǎng)一樣獲得了較多的應(yīng)用。相較于工業(yè)物聯(lián)網(wǎng),消費(fèi)者物聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)更加復(fù)雜多樣,更重要的是,消費(fèi)者物聯(lián)網(wǎng)對(duì)數(shù)據(jù)隱私與安全性的要求更高。事實(shí)上,消費(fèi)者物聯(lián)網(wǎng)的數(shù)據(jù)安全性在整個(gè)數(shù)據(jù)安全領(lǐng)域是最高的之一。消費(fèi)者物聯(lián)網(wǎng)由于更貼近用戶端,所有接入設(shè)備的數(shù)據(jù)都將在網(wǎng)絡(luò)上流通,這就要求網(wǎng)絡(luò)在保持靈活性的同時(shí),還要時(shí)刻保持安全性。此外,消費(fèi)者物聯(lián)網(wǎng)的接入設(shè)備更貼近用戶生活,有些生物設(shè)備用戶數(shù)據(jù)高度涉及用戶隱私,此類數(shù)據(jù)被泄露往往造成比其它數(shù)據(jù)更大的危害。因此,如何保證消費(fèi)者物聯(lián)網(wǎng)的用戶數(shù)據(jù)安全性,儼然已成為物聯(lián)網(wǎng)發(fā)展的重要命題,同時(shí)也是消費(fèi)者對(duì)于物聯(lián)網(wǎng)發(fā)展的必然要求。

2345截圖20211028093243.png

針對(duì)這一問題,提出一個(gè)基本的、統(tǒng)一的、具有建設(shè)性的標(biāo)準(zhǔn)是十分有意義的,這不僅僅是物聯(lián)網(wǎng)的健康發(fā)展所需,更是消費(fèi)者的迫切需求所想。在此背景下,由歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)(ETSI)于2020年6月份提出的《消費(fèi)者物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全:基本要求》一文為我們提供了有價(jià)值的參考。該文提出的有關(guān)消費(fèi)者物聯(lián)網(wǎng)數(shù)據(jù)安全的基本原則,無論是對(duì)于相關(guān)從業(yè)人員,還是普通消費(fèi)者,都具有十分重要的借鑒意義,也為消費(fèi)者物聯(lián)網(wǎng)的發(fā)展提出了一種基本的要求框架。本文接下來將介紹該篇文章有關(guān)消費(fèi)者用戶數(shù)據(jù)安全的部分內(nèi)容。

消費(fèi)者物聯(lián)網(wǎng)結(jié)構(gòu)

常見消費(fèi)者物聯(lián)網(wǎng)結(jié)構(gòu)如下圖1所示,以家庭環(huán)境為例,所有硬件設(shè)備將直接通過IP連接(如通過以太網(wǎng)或Wi-Fi)或間接通過網(wǎng)關(guān)或集線器連接到LAN。這種與LAN的間接連接通常使用非IP連接(例如基于IEEE 802.15.4的協(xié)議族),然后,路由器將LAN連接到WAN(即互聯(lián)網(wǎng))。然而,在某些情況下,家庭中的設(shè)備可以通過其他非IP或IP連接(如GSM或WAN)直接連接到WAN。

此外,家庭中的消費(fèi)者物聯(lián)網(wǎng)設(shè)備通常會(huì)向外連接到(或通過)在線或本地服務(wù)。在線服務(wù)通常包括各種云服務(wù)、即時(shí)更新服務(wù)等,該類服務(wù)必須通過網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交互。

2345截圖20211028093243.png

圖1家庭環(huán)境中消費(fèi)者物聯(lián)網(wǎng)部署的參考體系結(jié)構(gòu)示例

上圖展示了一個(gè)在家庭中實(shí)際部署消費(fèi)者物聯(lián)網(wǎng)的模型示例?,F(xiàn)今越來越多的設(shè)備都支持遠(yuǎn)程控制、數(shù)據(jù)共享等云服務(wù),這也就意味著將會(huì)有越來越多的設(shè)備通過各種方式接入互聯(lián)網(wǎng),對(duì)于其中某些較大的設(shè)備,比如智能電視等,其主要資源還有可能采用實(shí)時(shí)獲取最新資源的方式與互聯(lián)網(wǎng)連接,最終,從與互聯(lián)網(wǎng)的連接方式上看,大致可以分為IP連接與非IP連接,IP網(wǎng)關(guān)提供主要的互聯(lián)網(wǎng)連接,使用戶方便享有各種云服務(wù),對(duì)于某些其他的特殊設(shè)備,例如位于室外的環(huán)境傳感器等,由于遠(yuǎn)離家庭環(huán)境本身,因此無法通過家庭網(wǎng)關(guān)連接至互聯(lián)網(wǎng),此時(shí)可以采用GSM等方式直接與廣域網(wǎng)通信。

確保個(gè)人數(shù)據(jù)安全

設(shè)備和服務(wù)之間傳輸?shù)膫€(gè)人數(shù)據(jù),尤其是相關(guān)服務(wù)的機(jī)密性,應(yīng)采用業(yè)界最佳加密技術(shù)加以保護(hù)。設(shè)備和相關(guān)服務(wù)之間交流的敏感個(gè)人數(shù)據(jù)的機(jī)密性應(yīng)受到保護(hù),并采用適合的加密技術(shù)。

在上述原則中,“敏感個(gè)人數(shù)據(jù)”是指其披露極有可能對(duì)個(gè)人造成傷害的數(shù)據(jù)。被視為“敏感個(gè)人數(shù)據(jù)”的內(nèi)容因產(chǎn)品和用例的差異而不同,例如:家庭安全攝像頭的視頻流、支付信息、通信數(shù)據(jù)的內(nèi)容和時(shí)間戳位置數(shù)據(jù)。執(zhí)行安全和數(shù)據(jù)保護(hù)影響評(píng)估可以幫助制造商做出適當(dāng)?shù)倪x擇。此外,相關(guān)服務(wù)通常是云服務(wù),并且這些服務(wù)受到制造商的控制或影響,通常不由用戶操作。保密保護(hù)通常使用業(yè)界最佳密碼技術(shù)進(jìn)行完整性保護(hù)。

裝置的所有外部感應(yīng)能力應(yīng)以對(duì)用戶清晰透明的方式記錄在案。例如:外部感應(yīng)能力可以是光學(xué)或聲學(xué)傳感器。

方便用戶刪除用戶數(shù)據(jù)

用戶數(shù)據(jù)是指存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上的所有個(gè)人數(shù)據(jù),包括個(gè)人數(shù)據(jù)、用戶配置和加密材料,如用戶口令或密鑰。任何廠商的軟硬件產(chǎn)品應(yīng)提供用戶數(shù)據(jù)刪除功能,以便以簡(jiǎn)單的方式從相關(guān)服務(wù)中刪除個(gè)人數(shù)據(jù)。此類功能旨在用于所有權(quán)轉(zhuǎn)移、消費(fèi)者希望刪除個(gè)人數(shù)據(jù)、消費(fèi)者希望從設(shè)備中刪除服務(wù)或消費(fèi)者希望處置設(shè)備的情況。有關(guān)“輕松”刪除用戶數(shù)據(jù)的含義是指完成該操作所需的步驟較少,每項(xiàng)操作的復(fù)雜性最低。

同時(shí),應(yīng)向用戶提供關(guān)于如何刪除其個(gè)人數(shù)據(jù)的明確指示,并提供明確的確認(rèn),即個(gè)人數(shù)據(jù)已從服務(wù)、設(shè)備和應(yīng)用程序中刪除。

消費(fèi)者物聯(lián)網(wǎng)設(shè)備通常會(huì)改變所有權(quán),并最終被回收或處置。當(dāng)消費(fèi)者希望完全刪除其個(gè)人數(shù)據(jù)時(shí),他們還希望備份副本被追溯刪除。因此,可以提供允許消費(fèi)者保持控制并從服務(wù)、設(shè)備和應(yīng)用程序中刪除個(gè)人數(shù)據(jù)的機(jī)制。

從設(shè)備或服務(wù)中刪除個(gè)人數(shù)據(jù)通常不是簡(jiǎn)單地通過將設(shè)備重置回其出廠默認(rèn)狀態(tài)來實(shí)現(xiàn)的。在許多用例中,消費(fèi)者不是設(shè)備的所有者,但希望從設(shè)備和所有相關(guān)服務(wù)(如云服務(wù)或移動(dòng)應(yīng)用程序)中刪除他們自己的個(gè)人數(shù)據(jù)。例如:用戶可以在租用的公寓內(nèi)臨時(shí)使用消費(fèi)物聯(lián)網(wǎng)產(chǎn)品,對(duì)產(chǎn)品進(jìn)行出廠重置可能會(huì)刪除配置設(shè)置或禁用設(shè)備,從而損害公寓所有者和未來用戶的利益,因?yàn)槌鰪S重置(從物聯(lián)網(wǎng)設(shè)備中刪除所有數(shù)據(jù))不是以諸如刪除共享使用上下文中單個(gè)用戶的個(gè)人數(shù)據(jù)的簡(jiǎn)單方式來執(zhí)行。

檢查系統(tǒng)的無線傳感數(shù)據(jù)

若使用和測(cè)量從消費(fèi)者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集的無線傳感數(shù)據(jù),,則應(yīng)檢查其是否存在安全異常,以避免用戶數(shù)據(jù)通過潛在的安全漏洞被泄露。其中,安全異??梢酝ㄟ^偏離設(shè)備的正常行為來表示,如受監(jiān)控的指示器警報(bào)異常等。例如,在登錄失敗后短時(shí)間內(nèi)嘗試重新登錄的次數(shù)異常增加,這是一種典型的登錄異常行為。

來自多種設(shè)備的無線傳感器制造商應(yīng)注意到,由于無效的軟件更新真實(shí)性檢查而導(dǎo)致更新失敗的安全風(fēng)險(xiǎn),定期檢查傳感器數(shù)據(jù)(包括日志數(shù)據(jù))有助于安全評(píng)估,并允許盡早識(shí)別和處理異常情況,最大限度地降低安全風(fēng)險(xiǎn),并允許快速定位及解決問題。

驗(yàn)證輸入數(shù)據(jù)

消費(fèi)者物聯(lián)網(wǎng)設(shè)備軟件應(yīng)驗(yàn)證通過用戶界面輸入的數(shù)據(jù),或通過應(yīng)用編程接口(API)傳輸?shù)臄?shù)據(jù),或在服務(wù)和設(shè)備中的網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)。

跨不同類型的接口傳輸?shù)臄?shù)據(jù)或代碼格式不正確,可能會(huì)破壞系統(tǒng)。攻擊者或測(cè)試人員可以使用Fuzzer等自動(dòng)化工具,以利用由于未驗(yàn)證數(shù)據(jù)而出現(xiàn)的潛在漏洞和弱點(diǎn)。

例如,設(shè)備接收的數(shù)據(jù)類型不是預(yù)期的文本類型,而是可執(zhí)行代碼時(shí),設(shè)備上的軟件應(yīng)當(dāng)能夠?qū)Υ颂峁C(jī)制來防御,使得任何輸入都能夠被參數(shù)化或“轉(zhuǎn)義”為預(yù)期的安全類型,從而阻止運(yùn)行注入的未知代碼。另一種情況是,如果溫度傳感器接收超出范圍的數(shù)據(jù),便不應(yīng)嘗試各種方式來處理該輸入。當(dāng)識(shí)別出該數(shù)據(jù)超出了可能的界限,正確的做法是丟棄,并且應(yīng)在運(yùn)行日志中有所體現(xiàn)。

消費(fèi)者物聯(lián)網(wǎng)的數(shù)據(jù)保護(hù)規(guī)定

許多消費(fèi)物聯(lián)網(wǎng)設(shè)備處理個(gè)人數(shù)據(jù),制造商應(yīng)在這類設(shè)備中提供支持此類個(gè)人數(shù)據(jù)保護(hù)的功能。此外,應(yīng)當(dāng)制定并不斷完善消費(fèi)者物聯(lián)網(wǎng)設(shè)備中個(gè)人數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)。

制造商應(yīng)向消費(fèi)者提供清晰、透明的信息,說明每種設(shè)備和服務(wù)的個(gè)人數(shù)據(jù)處理方式、使用方式、使用者以及用途。這也適用于可能涉及的第三方,例如廣告商。

在消費(fèi)者同意的基礎(chǔ)上處理個(gè)人數(shù)據(jù)的,應(yīng)以有效方式獲得該同意。上述原則中,“以有效方式”獲得同意通常包括讓消費(fèi)者自由、明顯和明確地選擇其個(gè)人數(shù)據(jù)是否可用于特定目的。并且,同意處理其個(gè)人數(shù)據(jù)的消費(fèi)者有權(quán)隨時(shí)撤回其個(gè)人數(shù)據(jù)。

消費(fèi)者希望通過適當(dāng)配置物聯(lián)網(wǎng)設(shè)備和服務(wù)功能來保護(hù)他們的隱私。如果從消費(fèi)者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集遙測(cè)數(shù)據(jù),個(gè)人數(shù)據(jù)的處理應(yīng)保持在預(yù)期功能所需的最低限度。如果遙測(cè)數(shù)據(jù)是從消費(fèi)者物聯(lián)網(wǎng)設(shè)備和服務(wù)收集的,則應(yīng)向消費(fèi)者提供關(guān)于收集了哪些傳感器數(shù)據(jù)、如何使用、由誰使用以及用于什么目的的信息。

設(shè)備狀態(tài)管理

消費(fèi)物聯(lián)網(wǎng)每一個(gè)設(shè)備的整個(gè)生命周期可以看作為幾個(gè)狀態(tài)之間的停留與轉(zhuǎn)換。根據(jù)用戶操作,設(shè)備將在幾個(gè)狀態(tài)之間切換。這些轉(zhuǎn)換如圖7-1所示,該圖明確了如何在設(shè)備中使用定義的狀態(tài)。在該圖示例的模型中,停用設(shè)備將處于出廠默認(rèn)狀態(tài),因?yàn)槌鰪S重置過程可能是用于刪除所有用戶數(shù)據(jù)和配置過程。同時(shí),設(shè)備停用后,便意味著該設(shè)備可以被安全回收、轉(zhuǎn)售或銷毀。

2345截圖20211028093243.png

圖2消費(fèi)者物聯(lián)網(wǎng)設(shè)備狀態(tài)圖

上圖中,一臺(tái)嶄新的設(shè)備默認(rèn)為出廠狀態(tài),該狀態(tài)下一般不能正常使用完整功能,需要用戶或管理員輔助配置相關(guān)設(shè)置項(xiàng),例如常見的網(wǎng)絡(luò)信息、賬戶信息等。若該設(shè)備需要在線服務(wù),則可能需要配置更多的其他信息。配置完畢后,該設(shè)備已經(jīng)包含了一定的用戶數(shù)據(jù),進(jìn)入生命周期中的前期,此時(shí)用戶可以正常地使用完整功能,并在使用過程中產(chǎn)生包含隱私項(xiàng)在內(nèi)的多種敏感數(shù)據(jù)。這些敏感數(shù)據(jù)包括但不限于傳感器數(shù)據(jù)、地理位置、使用時(shí)長(zhǎng)、歷史記錄等,且高度涉及用戶隱私。隨著使用程度的增加,設(shè)備可能不僅僅為一個(gè)用戶提供服務(wù),而被添加多個(gè)賬戶,狀態(tài)也被轉(zhuǎn)移至使用過程中的第三個(gè)狀態(tài)。

理論上,隨著正常使用時(shí)長(zhǎng)或次數(shù)的增加,一個(gè)設(shè)備的用戶數(shù)據(jù)總是不斷增多的,回退至初始狀態(tài)的成本也會(huì)不斷增大,此時(shí)要求設(shè)備廠商或開發(fā)者們應(yīng)當(dāng)提供最終回退至出廠狀態(tài)的選項(xiàng),以便設(shè)備能較快地停用。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論