前言随着物联网的快速发展和普及,消费物联网与工业物联网一样获得了更多的应用。与工业物联网相比,消费物联网产生的数据更加复杂多样。更重要的是,消费物联网对数据隐私和安全性提出了更高的要求。事实上,消费者物联网中的数据安全是整个数据安全领域中最高的之一。由于消费物联网离用户端更近,所有连接设备的数据都会在网络上流通,这就要求网络时刻保持灵活性的同时保持安全性。此外,消费物联网的接入设备更加贴近用户的生活。一些生物设备用户数据与用户隐私高度相关,此类数据的泄露往往造成比其他数据更大的危害。因此,如何保障消费物联网中用户数据的安全成为物联网发展的重要命题,也是消费者对物联网发展的必然要求。针对这一问题,提出一个基础的、统一的、建设性的标准是非常有意义的,这既是物联网健康发展的需要,也是消费者的迫切需求。在此背景下,欧洲电信标准协会(ETSI)于2020年6月提出的文章《消费者物联网的网络安全:基本要求》为我们提供了有价值的参考。本文提出的消费物联网数据安全基本原则对相关从业者和普通消费者具有非常重要的参考意义,同时也对消费物联网框架的发展提出了基本要求。本文剩余部分将介绍文章中关于消费者用户数据安全的部分内容。消费物联网结构常见的消费物联网结构如下图1所示。以家庭环境为例,所有硬件设备都将通过IP连接(例如通过以太网或Wi-Fi)直接或通过网关或集线器间接连接到局域网。.这种与LAN的间接连接通常使用非IP连接(例如基于IEEE802.15.4的协议族),然后路由器将LAN连接到WAN(即Internet)。但是,在某些情况下,家中的设备可以通过其他非IP或IP连接(例如GSM或WAN)直接连接到WAN。此外,家庭中的消费者物联网设备通常会向外连接(或通过)在线或本地服务。在线服务通常包括各种云服务、即时更新服务等,这些服务必须通过网络与互联网进行数据交换。图1家庭环境中消费者物联网部署的示例参考架构上图显示了家庭中实际消费者物联网部署的示例模型。如今,越来越多的设备支持远程控制、数据共享等云服务,这意味着越来越多的设备将以各种方式连接到互联网。对于一些比较大的设备,比如智能电视等,它的主要资源也可以联网,实时获取最新的资源。最后,从与Internet的连接来看,大致可以分为IP连接和非IP连接,IP网关提供主要的Internet连接,让用户可以方便的享受各种云服务。对于其他一些特殊的设备,比如位于室外的环境传感器,由于远离家庭环境本身,无法通过家庭网关连接到互联网。这时可以采用GSM等方式直接与广域网通信。确保个人数据安全在设备和服务之间传输的个人数据,尤其是相关服务的机密性,应该采用业界最好的加密技术进行保护。设备与相关服务之间传输的敏感个人数据的机密性应使用适当的加密技术加以保护。在上述原则中,“个人敏感数据”是指披露后极有可能对个人造成伤害的数据。什么被视为“敏感个人数据”因产品和用例而异,例如:来自家庭安全摄像头的视频流、支付信息、通信数据内容和带时间戳的位置数据。执行安全和数据保护影响评估可以帮助制造商做出适当的选择。此外,相关服务通常为云服务,这些服务受厂商控制或影响,一般不由用户运营。机密性保护通常使用行业最佳加密技术进行完整性保护。设备的所有外部传感功能都应以对用户清晰透明的方式记录。例如:外部传感能力可以是光学或声学传感器。用户数据方便用户删除用户数据。用户数据是指存储在物联网设备上的所有个人数据,包括个人数据、用户配置和加密材料,如用户密码或密钥。任何供应商的软件和硬件产品都应提供用户数据删除功能,以方便地从相关服务中删除个人数据。此类功能旨在用于所有权转移、消费者希望删除个人数据、消费者希望从设备中删除服务或消费者希望处置设备的情况。我所说的“轻松”删除用户数据的意思是完成操作所需的步骤更少,每个操作的复杂性最小。同时,应向用户提供关于如何删除其个人数据的明确说明,并明确确认个人数据已从服务、设备和应用程序中删除。消费者物联网设备经常改变所有权并最终被回收或处置。当消费者希望完全删除他们的个人数据时,他们也希望备份副本被追溯删除。因此可以提供允许消费者保持控制并从服务、设备和应用程序中删除个人数据的机制。从设备或服务中删除个人数据通常不能简单地通过将设备重置回其出厂默认状态来完成。在许多用例中,消费者不是设备的所有者,但希望从设备和所有相关服务(如云服务或移动应用程序)中删除自己的个人数据。示例:用户可能会在租用的公寓中临时使用消费类物联网产品,并且出厂重置产品可能会删除配置设置或禁用设备,这对公寓所有者和未来用户造成损害,因为出厂重置(从物联网设备)不是以简单的方式执行的,例如在共享使用上下文中删除单个用户的个人数据。检查使用和测量从消费者物联网设备和服务收集的无线传感器数据的系统的无线传感器数据,并检查其是否存在安全异常,以避免用户数据因潜在的安全漏洞而泄露。其中,安全异常可以表现为设备偏离正常行为,如监控指标异常告警等。登录是典型的异常登录行为。来自多个设备的无线传感器制造商应该意识到由于无效的软件更新真实性检查而导致更新失败的安全风险。定期检查传感器数据(包括日志数据)有助于安全评估,并允许及早识别和处理异常,最大限度地减少安全风险并允许快速定位和解决问题。验证输入数据消费者IoT设备软件应验证通过用户界面输入的数据,或通过应用程序编程接口(API)传输的数据,或在服务与设备网络之间的数据。通过不同类型的接口传输的格式不正确的数据或代码可能会损坏系统。攻击者或测试人员可以使用模糊器等自动化工具来利用由于未经验证的数据而产生的潜在漏洞和弱点。例如,当设备接收到的数据类型不是预期的文本类型,而是可执行代码时,设备上的软件应该能够提供机制来防御这种情况,以便任何输入都可以参数化或“转义”到预期的安全类型,从而防止注入的未知代码运行。另一种情况是,如果温度传感器接收到超出范围的数据,则不应尝试以各种方式处理输入。当识别出数据超出了可能的边界时,正确的做法是丢弃,应该在操作日志中体现出来。消费者物联网的数据保护要求许多消费者物联网设备处理个人数据,制造商应在此类设备中提供支持此类个人数据保护的功能。此外,应制定并不断完善与消费者物联网设备中个人数据保护相关的法律法规。制造商应向消费者提供清晰透明的信息,说明每个设备和服务如何处理个人数据、如何使用、由谁使用以及用于什么目的。这也适用于可能涉及的第三方,例如广告商。经消费者同意处理个人数据的,应当以有效方式取得同意。在上述原则中,“以有效方式”获得同意通常包括允许消费者自由、明确、明确地选择其个人数据是否可以用于特定目的。此外,同意处理其个人数据的消费者有权随时撤回其个人数据。消费者希望通过正确配置物联网设备和服务功能来保护他们的隐私。如果遥测数据是从消费者物联网设备和服务中收集的,个人数据的处理应保持在预期功能所需的最低限度。如果遥测数据是从消费者物联网设备和服务中收集的,则应向消费者提供有关收集了哪些传感器数据、如何使用、由谁使用以及用于什么目的的信息。设备状态管理消费物联网中每个设备的整个生命周期都可以看作是几种状态之间的停留和转换。根据用户操作,设备将在几种状态之间切换。这些转换如图7-1所示,其中显示了如何在设备中使用定义的状态。在图中所示的模型中,停用的设备将处于出厂默认状态,因为出厂重置过程可能会删除所有用户数据和配置过程。同时,设备退役后,意味着该设备可以安全回收、转售或销毁。图2消费物联网设备状态图上图中,一个全新的设备默认为出厂状态。此状态下无法正常使用全部功能,需要用户或管理员协助配置相关设置,如常用网络信息、账户信息等。如果设备需要在线服务,可能还需要更多其他信息被配置。配置完成后,设备已经包含一定的用户数据,进入生命周期初期。此时用户可以正常使用全部功能,并在使用过程中产生包括隐私项在内的各种敏感数据。这些敏感数据包括但不限于传感器数据、地理位置、使用时长、历史记录等,与用户隐私高度相关。随着使用程度的增加,设备可能不再只为一个用户提供服务,而是增加了多个账户,在使用过程中状态也转移到第三种状态。理论上,随着正常使用时间或频率的增加,设备的用户数据总会增加,回到初始状态的成本也会增加。此时,设备制造商或开发商需要提供最终返回选项以返回到出厂状态,以便更快地进行设备退役。点此阅读作者更多好文
