消費物聯網的用戶數據管理
前言
隨著物聯網的快速發展與普及,消費者物聯網與工業物聯網一樣獲得了較多的應用。相較于工業物聯網,消費者物聯網產生的數據更加復雜多樣,更重要的是,消費者物聯網對數據隱私與安全性的要求更高。事實上,消費者物聯網的數據安全性在整個數據安全領域是最高的之一。消費者物聯網由于更貼近用戶端,所有接入設備的數據都將在網絡上流通,這就要求網絡在保持靈活性的同時,還要時刻保持安全性。此外,消費者物聯網的接入設備更貼近用戶生活,有些生物設備用戶數據高度涉及用戶隱私,此類數據被泄露往往造成比其它數據更大的危害。因此,如何保證消費者物聯網的用戶數據安全性,儼然已成為物聯網發展的重要命題,同時也是消費者對于物聯網發展的必然要求。
針對這一問題,提出一個基本的、統一的、具有建設性的標準是十分有意義的,這不僅僅是物聯網的健康發展所需,更是消費者的迫切需求所想。在此背景下,由歐洲電信標準化協會(ETSI)于2020年6月份提出的《消費者物聯網的網絡安全:基本要求》一文為我們提供了有價值的參考。該文提出的有關消費者物聯網數據安全的基本原則,無論是對于相關從業人員,還是普通消費者,都具有十分重要的借鑒意義,也為消費者物聯網的發展提出了一種基本的要求框架。本文接下來將介紹該篇文章有關消費者用戶數據安全的部分內容。
消費者物聯網結構
常見消費者物聯網結構如下圖1所示,以家庭環境為例,所有硬件設備將直接通過IP 連接(如通過以太網或 Wi-Fi)或間接通過網關或集線器連接到 LAN。這種與 LAN 的間接連接通常使用非 IP 連接(例如基于 IEEE 802.15.4的協議族),然后,路由器將LAN 連接到 WAN(即互聯網)。然而,在某些情況下,家庭中的設備可以通過其他非 IP 或IP 連接(如 GSM 或 WAN)直接連接到 WAN。
此外,家庭中的消費者物聯網設備通常會向外連接到(或通過)在線或本地服務。在線服務通常包括各種云服務、即時更新服務等,該類服務必須通過網絡與互聯網進行數據交互。
圖1 家庭環境中消費者物聯網部署的參考體系結構示例
上圖展示了一個在家庭中實際部署消費者物聯網的模型示例。現今越來越多的設備都支持遠程控制、數據共享等云服務,這也就意味著將會有越來越多的設備通過各種方式接入互聯網,對于其中某些較大的設備,比如智能電視等,其主要資源還有可能采用實時獲取最新資源的方式與互聯網連接,最終,從與互聯網的連接方式上看,大致可以分為IP連接與非IP連接,IP網關提供主要的互聯網連接,使用戶方便享有各種云服務,對于某些其他的特殊設備,例如位于室外的環境傳感器等,由于遠離家庭環境本身,因此無法通過家庭網關連接至互聯網,此時可以采用GSM等方式直接與廣域網通信。
確保個人數據安全
設備和服務之間傳輸的個人數據,尤其是相關服務的機密性,應采用業界最佳加密技術加以保護。設備和相關服務之間交流的敏感個人數據的機密性應受到保護,并采用適合的加密技術。
在上述原則中,“敏感個人數據”是指其披露極有可能對個人造成傷害的數據。被視為“敏感個人數據”的內容因產品和用例的差異而不同,例如:家庭安全攝像頭的視頻流、支付信息、通信數據的內容和時間戳位置數據。執行安全和數據保護影響評估可以幫助制造商做出適當的選擇。此外,相關服務通常是云服務,并且這些服務受到制造商的控制或影響,通常不由用戶操作。保密保護通常使用業界最佳密碼技術進行完整性保護。
裝置的所有外部感應能力應以對用戶清晰透明的方式記錄在案。例如:外部感應能力可以是光學或聲學傳感器。
方便用戶刪除用戶數據
用戶數據是指存儲在物聯網設備上的所有個人數據,包括個人數據、用戶配置和加密材料,如用戶口令或密鑰。任何廠商的軟硬件產品應提供用戶數據刪除功能,以便以簡單的方式從相關服務中刪除個人數據。此類功能旨在用于所有權轉移、消費者希望刪除個人數據、消費者希望從設備中刪除服務或消費者希望處置設備的情況。有關“輕松”刪除用戶數據的含義是指完成該操作所需的步驟較少,每項操作的復雜性最低。
同時,應向用戶提供關于如何刪除其個人數據的明確指示,并提供明確的確認,即個人數據已從服務、設備和應用程序中刪除。
消費者物聯網設備通常會改變所有權,并最終被回收或處置。當消費者希望完全刪除其個人數據時,他們還希望備份副本被追溯刪除。因此,可以提供允許消費者保持控制并從服務、設備和應用程序中刪除個人數據的機制。
從設備或服務中刪除個人數據通常不是簡單地通過將設備重置回其出廠默認狀態來實現的。在許多用例中,消費者不是設備的所有者,但希望從設備和所有相關服務(如云服務或移動應用程序)中刪除他們自己的個人數據。例如:用戶可以在租用的公寓內臨時使用消費物聯網產品,對產品進行出廠重置可能會刪除配置設置或禁用設備,從而損害公寓所有者和未來用戶的利益,因為出廠重置(從物聯網設備中刪除所有數據)不是以諸如刪除共享使用上下文中單個用戶的個人數據的簡單方式來執行。
檢查系統的無線傳感數據
若使用和測量從消費者物聯網設備和服務收集的無線傳感數據,,則應檢查其是否存在安全異常,以避免用戶數據通過潛在的安全漏洞被泄露。其中,安全異常可以通過偏離設備的正常行為來表示,如受監控的指示器警報異常等。例如,在登錄失敗后短時間內嘗試重新登錄的次數異常增加,這是一種典型的登錄異常行為。
來自多種設備的無線傳感器制造商應注意到,由于無效的軟件更新真實性檢查而導致更新失敗的安全風險,定期檢查傳感器數據(包括日志數據)有助于安全評估,并允許盡早識別和處理異常情況,最大限度地降低安全風險,并允許快速定位及解決問題。
驗證輸入數據
消費者物聯網設備軟件應驗證通過用戶界面輸入的數據,或通過應用編程接口(API)傳輸的數據,或在服務和設備中的網絡之間傳輸的數據。
跨不同類型的接口傳輸的數據或代碼格式不正確,可能會破壞系統。攻擊者或測試人員可以使用 Fuzzer 等自動化工具,以利用由于未驗證數據而出現的潛在漏洞和弱點。
例如,設備接收的數據類型不是預期的文本類型,而是可執行代碼時,設備上的軟件應當能夠對此提供機制來防御,使得任何輸入都能夠被參數化或“轉義”為預期的安全類型,從而阻止運行注入的未知代碼。另一種情況是,如果溫度傳感器接收超出范圍的數據,便不應嘗試各種方式來處理該輸入。當識別出該數據超出了可能的界限,正確的做法是丟棄,并且應在運行日志中有所體現。
消費者物聯網的數據保護規定
許多消費物聯網設備處理個人數據,制造商應在這類設備中提供支持此類個人數據保護的功能。此外,應當制定并不斷完善消費者物聯網設備中個人數據保護相關的法律法規。
制造商應向消費者提供清晰、透明的信息,說明每種設備和服務的個人數據處理方式、使用方式、使用者以及用途。這也適用于可能涉及的第三方,例如廣告商。
在消費者同意的基礎上處理個人數據的,應以有效方式獲得該同意。上述原則中,“以有效方式”獲得同意通常包括讓消費者自由、明顯和明確地選擇其個人數據是否可用于特定目的。并且,同意處理其個人數據的消費者有權隨時撤回其個人數據。
消費者希望通過適當配置物聯網設備和服務功能來保護他們的隱私。如果從消費者物聯網設備和服務收集遙測數據,個人數據的處理應保持在預期功能所需的最低限度。如果遙測數據是從消費者物聯網設備和服務收集的,則應向消費者提供關于收集了哪些傳感器數據、如何使用、由誰使用以及用于什么目的的信息。
設備狀態管理
消費物聯網每一個設備的整個生命周期可以看作為幾個狀態之間的停留與轉換。根據用戶操作,設備將在幾個狀態之間切換。這些轉換如圖7-1所示,該圖明確了如何在設備中使用定義的狀態。在該圖示例的模型中,停用設備將處于出廠默認狀態,因為出廠重置過程可能是用于刪除所有用戶數據和配置過程。同時,設備停用后,便意味著該設備可以被安全回收、轉售或銷毀。
圖2消費者物聯網設備狀態圖
上圖中,一臺嶄新的設備默認為出廠狀態,該狀態下一般不能正常使用完整功能,需要用戶或管理員輔助配置相關設置項,例如常見的網絡信息、賬戶信息等。若該設備需要在線服務,則可能需要配置更多的其他信息。配置完畢后,該設備已經包含了一定的用戶數據,進入生命周期中的前期,此時用戶可以正常地使用完整功能,并在使用過程中產生包含隱私項在內的多種敏感數據。這些敏感數據包括但不限于傳感器數據、地理位置、使用時長、歷史記錄等,且高度涉及用戶隱私。隨著使用程度的增加,設備可能不僅僅為一個用戶提供服務,而被添加多個賬戶,狀態也被轉移至使用過程中的第三個狀態。
理論上,隨著正常使用時長或次數的增加,一個設備的用戶數據總是不斷增多的,回退至初始狀態的成本也會不斷增大,此時要求設備廠商或開發者們應當提供最終回退至出廠狀態的選項,以便設備能較快地停用。
