1、內容提要從信息安全和信息安全和隱私保護隱私保護的角度講，物聯網終端（RFID,傳感器，智能信息設備）的廣泛引入在提供更豐富信息的同時也增加了暴露這些信息的危險。本章將重點討論RFID安全和位置隱私兩大安全隱私問題。第13章介紹了物聯網的智能決策數據挖掘技術。數據挖掘的基本流程典型的數據挖掘算法物聯網中數據挖掘技術的廣泛應用本章重點介紹物聯網中RFID安全和位置隱私隱患以及典型的安全機制。內容回顧14.1 概述概述14.2 RFID安全和隱私14.3 RFID安全和隱私保護機制14.4 位置信息與個人隱私14.5 保護位置隱私的手段網絡安全的一般性指標有哪些？本章內容網絡信息安全的一般性指標可靠

2、性：可靠性：三種測度標準（抗毀、生存、有效）可用性：可用性：用正常服務時間 和整體工作時間之比衡量保密性：保密性：常用的保密技術（防偵聽、防輻射、加密、物理保密）完整性：完整性：未經授權不能改變信息；與保密性的區別：保密性要求信息不被泄露給未授權的人，完整性要求信息不受各種原因破壞。不可抵賴性：不可抵賴性：參與者不能抵賴已完成的操作和承諾的特性可控性：可控性：對信息傳播和內容的控制特性什么是隱私？隱私權：隱私權：個人信息的自我決定權 ，包含個人信息、身體、財產或者自我決定等。物聯網與隱私物聯網與隱私不當使用會侵害隱私恰當的技術可以保護隱私14.1 概述14.2 RFID安全和隱私安全和隱私14

3、.3 RFID安全和隱私保護機制14.4 位置信息與個人隱私14.5 保護位置隱私的手段RFID安全的現狀如何？有哪些主要安全和隱私隱患？本章內容RFID安全現狀概述RFID安全隱私標準規范和建議安全隱私標準規范和建議EPCglobal在超高頻第一類第二代標簽空中接口規范中說明了RFID標簽需支持的功能組件，其安全性要求有：物品級標簽協議要求文檔ISO/IEC：RFID數據安全準則歐盟： RFID隱私和數據保護的若干建議主要安全隱患竊聽竊聽(eavesdropping)標簽和閱讀器之間通過無線射頻通信攻擊者可以在設定通信距離外偷聽信息中間人攻擊中間人攻擊(man-in-the-middle a

4、ttack, MITM)對reader(tag)偽裝成tag(reader)，傳遞、截取或修改通信消息“扒手”系統主要安全隱患欺騙、重放、克隆欺騙、重放、克隆欺騙欺騙(spoofing)：基于已掌握的標簽數據通過閱讀器重放重放(replaying)：將標簽的回復記錄并回放克隆克隆(cloning)：形成原來標簽的一個副本拒絕服務攻擊拒絕服務攻擊(Denial-of-service attack, DoS)通過不完整的交互請求消耗系統資源，如：產生標簽沖突，影響正常讀取發起認證消息，消耗系統計算資源對標簽的DoS消耗有限的標簽內部狀態，使之無法被正常識別主要安全隱患物理破解物理破解(corrup

5、t)標簽容易獲取標簽可能被破解：通過逆向工程等技術破解之后可以發起進一步攻擊推測此標簽之前發送的消息內容推斷其他標簽的秘密篡改信息篡改信息(modification)非授權的修改或擦除標簽數據主要安全隱患RFID病毒病毒(virus, malware)標簽中可以寫入一定量的代碼讀取tag時，代碼被注入系統SQL注入其他隱患其他隱患電子破壞屏蔽干擾拆除主要隱私問題隱私信息泄露隱私信息泄露姓名、醫療記錄等個人信息跟蹤跟蹤監控，掌握用戶行為規律和消費喜好等。進一步攻擊效率和隱私保護的矛盾效率和隱私保護的矛盾標簽身份保密快速驗證標簽需要知道標簽身份，才能找到需要的信息平衡：平衡：恰當、可用的安全和隱私

6、14.1 概述14.2 RFID安全和隱私14.3 RFID安全和隱私保護機制安全和隱私保護機制14.4 位置信息與個人隱私14.5 保護位置隱私的手段典型的隱私保護機制有哪些？本章內容早期物理安全機制早期物理安全機制滅活(kill)：殺死標簽，使標簽喪失功能，不能響應攻擊者的掃描。法拉第網罩：屏蔽電磁波，阻止標簽被掃描。主動干擾：用戶主動廣播無線信號阻止或破壞RFID閱讀器的讀取。阻止標簽(block tag)：通過特殊的標簽碰撞算法阻止非授權閱讀器讀取那些阻止標簽預定保護的標簽。物理安全機制通過犧牲標簽的部分功能滿足隱私保護的要求。14.3 RFID安全和隱私保護機制1500 Eurosi

7、n walletSerial numbers:597387,389473Replacement hipmedical part #459382Mad-cowhamburgerlunchCounterfeit!Counterfeit!Good readers, bad tagsMr. Joness car!Mr. Jones in 2020The authentication problemEPC tags 5 cents. 1000 gates 1 centGate CountGate Count1000-10000gates equivalents.Symmetric encryption

8、is also too costly. We cant fit DES, AES, or SHA-1 in 2000 gates.Second Approach Juels, Rivest, & Szydlo CCS 03: The “Blocker” Tag“Blocker” TagBlocker simulates all (billions of) possible tag serial numbers!1,2,3, , 2023 pairs of sneakers and(reading fails) 基于密碼學的安全機制基于密碼學的安全機制哈希鎖(hash-lock)14.3

9、 RFID安全和隱私保護機制優點：優點：初步訪問控制威脅：威脅：偷聽，跟蹤基于密碼學的安全機制基于密碼學的安全機制隨機哈希鎖(randomized hash-lock)14.3 RFID安全和隱私保護機制優點：優點：增強的安全和隱私線性復雜度key-search: O(N)基于密碼學的安全機制基于密碼學的安全機制哈希鏈(hash chain)14.3 RFID安全和隱私保護機制優點：優點：前向安全性威脅：威脅：DoS基于密碼學的安全機制基于密碼學的安全機制同步方法(synchronization approach)預計算并存儲標簽的可能回復，如：在哈希鏈方法中，可以為每個標簽存儲m個可能的回復

10、，標簽響應時直接在數據庫中查找高效key-search: O(1)威脅：威脅：回放，DoS14.3 RFID安全和隱私保護機制si+k = Hk(si), (0 k m-1)ai+k = G(Hk(si), (0 k m-1)基于密碼學的安全機制基于密碼學的安全機制樹形協議(tree-based protocol)14.3 RFID安全和隱私保護機制基于密碼學的安全機制基于密碼學的安全機制樹形協議(tree-based protocol)（續）對數復雜度key-search: O(logN)，受破解攻擊威脅，攻擊成功率：14.3 RFID安全和隱私保護機制其他方法其他方法Physical un

11、clonable function, (PUF)：利用制造過程中必然引入的隨機性，用物理特性實現函數。具有容易計算，難以特征化的特點。掩碼：使用外加設備給閱讀器和標簽之間的通信加入額外保護。通過網絡編碼(network coding)原理得到信息可拆卸天線帶方向的標簽14.3 RFID安全和隱私保護機制如何面對安全和隱私挑戰？可用性與安全的統一可用性與安全的統一無需為所有信息提供安全和隱私保護，信息分級別管理。與其他技術結合與其他技術結合生物識別近場通信(Near field communication, NFC)法律法規法律法規從法律法規角度增加通過RFID技術損害用戶安全與隱私的代價，并為

12、如何防范做出明確指導。14.1 概述14.2 RFID安全和隱私14.3 RFID安全和隱私保護機制14.4 位置信息與個人隱私位置信息與個人隱私14.5 保護位置隱私的手段什么是位置隱私？本章內容移動通信和移動定位技術的快速發展促進了一個新的研究領域基于位置的服務（LBS）基于位置的服務(Location Based Service，LBS)是定位技術、GIS 技術、互聯網技術和移動通訊技術相結合的產物。確定移動設備或用戶所在位置提供與位置相關的各種信息服務基于位置的緊急救援服務基于位置的緊急救援服務（查詢“離我最近醫院”）基于位置的信息娛樂服務基于位置的信息娛樂服務（查詢“距離我最近的電影

13、院”）基于位置的廣告服務基于位置的廣告服務（如“向所有在我咖啡店10 m 范圍內的客人發送優惠券”） 另一方面，在人們享受各種位置服務的同時，移動對象個人位置信息泄露的隱私威脅也漸漸成為一個嚴重的問題，引起了研究者的廣泛關注。位置隱私：是一種特殊的信息隱私。信息隱私是由個人、組織或機構定義的何時、何地、用何種方式與他人共享信息，以及共享信息的內容；而位置隱私則指的是Psychiatric patientLocation PrivacyChinese Food FanConsumer habits protection14.4 位置信息與個人隱私位置信息與基于位置的服務（LBS）14.4 位置信

14、息與個人隱私位置隱私的定義位置隱私的定義用戶對自己位置信息的掌控能力，包括：是否發布發布給誰詳細程度保護位置隱私的重要性保護位置隱私的重要性三要素：時間、地點、人物人身安全隱私泄露位置隱私面臨的威脅位置隱私面臨的威脅通信服務商攻擊者14.4 位置信息與個人隱私14.1 概述14.2 RFID安全和隱私14.3 RFID安全和隱私保護機制14.4 位置信息與個人隱私14.5 保護位置隱私的手段保護位置隱私的手段保護位置隱私的手段有哪些？本章內容14.5 保護位置隱私的手段制度約束制度約束5條原則（知情權、選擇權、參與權、采集者、強制性）優點優點一切隱私保護的基礎有強制力確保實施缺點缺點各國隱私法

15、規不同，為服務跨區域運營造成不便一刀切，難以針對不同人不同的隱私需求進行定制只能在隱私被侵害后發揮作用立法耗時甚久，難以趕上最新的技術進展14.5 保護位置隱私的手段隱私方針：隱私方針：定制的針對性隱私保護分類分類用戶導向型，如PIDF（Presence Information Data Format）服務提供商導向型，如P3P（Privacy Preferences Project）優點優點可定制性好，用戶可根據自身需要設置不同的隱私級別缺點缺點缺乏強制力保障實施對采用隱私方針機制的服務商有效，對不采用該機制的服務商無效14.5 保護位置隱私的手段身份匿名：身份匿名：認為“一切服務商皆可疑”

16、隱藏位置信息中的“身份”服務商能利用位置信息提供服務，但無法根據位置信息推斷用戶身份常用技術：K匿名14.5 保護位置隱私的手段身份匿名（續）身份匿名（續）優點不需要強制力保障實施對任何服務商均可使用在隱私被侵害前保護用戶隱私缺點犧牲服務質量通常需要借助“中間層”保障隱私無法應用于需要身份信息的服務K匿名基本思想：基本思想：讓K個用戶的位置信息不可分辨兩種方式兩種方式空間上：擴大位置信息的覆蓋范圍時間上：延遲位置信息的發布例：例：3-匿名匿名綠點：用戶精確位置藍色方塊：向服務商匯報的位置信息K-匿名技術 k 值是由用戶定義，用戶自定義的隱私需求參數之一。一般情況下，假設提出查詢請求的用戶要求k=100 的匿名度，如果此時用戶正在一個招聘會上，一個很小的空間即可滿足用戶的需求，但如果用戶此時在沙漠中，則返回的匿名空間可能非常大。K-匿名技術 14.5 保護位置隱私的手段數據混淆：數據混淆：保留身份，混淆位置信息中的其他部分，讓攻擊者無法