5.4 RFID安全和隐私
从信息安全和隐私保护的角度讲,物联网终端(RFID、传感器、智能信息设备)的广泛引入在提供更丰富信息的同时也增加了暴露这些信息的危险。本节将重点讨论RFID安全和位置隐私两大安全隐私问题。
5.4.1 RFID安全和隐私概述
随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品,在用户没有感知的情况下,可能被附近的阅读器读取,从而泄露个人的敏感信息,例如携带的金钱、药物(与特殊的疾病相关联)、书(可能包含个人的特殊喜好)等物品被读取后泄露个人信息,特别是可能暴露用户的位置隐私,使得用户被跟踪。
因此,在RFID应用时,必须仔细分析所存在的安全威胁,研究和采取适当的安全措施,既需要技术方面的措施,也需要政策、法规方面的制约。
1.主要安全隐患
基本的RFID系统如图5.2所示,电子标签中一般保存有约定格式的电子数据,在实际应用中,电子标签附着在待识别物体的表面。读写器可无接触地读取并识别电子标签中所保存的电子数据,从而达到自动识别物体的目的。通常读写器与电脑相连,所读取的标签信息被传送到电脑上进行下一步处理,在以上基本配置之外,还应包括相应的应用软件。
图5.2 基本的RFID系统
(1)窃听
窃听即信息泄露,如图5.3所示,在末端设备或RFID标签使用者不知情的情况下,信息被读取(信息隐私泄露)。
(2)追踪
利用RFID标签上的固定信息,对RFID标签携带者进行跟踪(地点隐私泄露)。
(3)欺骗、重放、克隆
欺骗:攻击者将获取的标签数据发送给阅读器,以此来骗过阅读器。
重放:攻击者窃听电子标签的响应信息并将此信息重新传给合法的读写器,以实现对系统的攻击。
克隆:克隆末端设备,冒名顶替,对系统造成攻击。
图5.3 信息窃听
(4)信息篡改
将窃听到的信息进行修改之后再将信息传给原本的接收者。
(5)中间人攻击
攻击者伪装成合法的读写器获得电子标签的响应信息,并用这一信息伪装成合法的电子标签来响应读写器。这样,在下一轮通信前,攻击者可以获得合法读写器的认证。
案例分析
“扒手”系统
2005年以色列特拉维夫大学的Ziv Kfir和AvishaiWool发表了一篇如何攻击电子钱包的论文。在这篇论文中,作者构建了一个简单的“扒手”系统,这个系统可以神不知鬼不觉地使用受害者的RFID卡片来消费。这个攻击系统包含两个RFID设备:“幽灵”和“吸血鬼”,如图5.4所示。“吸血鬼”可以在距离受害者50 cm左右,盗取受害者储值卡的信息。“吸血鬼”将盗取来的信息通过某种方式快速直接地转交给“幽灵”,“幽灵”进而通过读卡器盗刷储值卡中的存款。使用“扒手”系统,“幽灵”和“吸血鬼”之间可以相距很远。这样一来,即使受害者和读卡器相距千里,储值卡也存在被盗刷的危险。中间人攻击成本低廉,与使用的安全协议无关,是RFID系统面临的重大挑战之一。
图5.4 “扒手”系统
(6)物理破解
获取标签后,通过逆向工程等技术,将其破解,破解之后可以发起进一步攻击,推测此标签之前发送的消息内容,推断其他标签的秘密。
(7)拒绝服务攻击(DDoS)
通过不完整的交互请求消耗系统资源,如:产生标签冲突,影响正常读取;发起认证消息,消耗系统计算资源;消耗有限的标签内部状态,使之无法被正常识别等。
(8)RFID病毒
RFID标签能携带病毒吗?听起来有点天方夜谭,但这是可能的。RFID标签本身不能检测所存储的数据是否有病毒或者蠕虫。攻击者可以事先把病毒代码写入到标签中,然后让合法的阅读器读取其中的数据。这样,病毒就有可能被注入到系统中。当病毒、蠕虫或恶意程序入侵数据库,就有可能迅速传播并摧毁整个系统及重要资料。
过去认为RFID标签不容易受到病毒攻击,主要因为标签的存储容量十分有限。但2006年研究人员发现:病毒可以通过RFID标签从阅读器传播到中间件,进而传播到后台数据库和系统中。即使RFID标签的存储容量有限,攻击者还是可以通过SQL注入或缓冲区溢出攻击系统。下面是一个可能的例子:
机场在行李箱上附着一个标签,标签中的数据可能记载了目的地机场。攻击者可能将标签数据从“SHA”改为“SHA;shutdown”。如果后台数据库发起查询“select* from destine_table where destine=<tag data>”,这个查询命令会变成“select* from destine_ table where destine=<SHA;shutdown>”。这就有可能导致数据库系统关闭,从而造成机场混乱,如图5.5所示。标签中可以写入一定量的代码,读取tag时,代码被注入系统,如SQL注入等。
图5.5 RFID病毒
(9)其他隐患
电子破坏:攻击者可以用物理或者电子的方法破坏一个标签,此后此标签无法再为用户提供服务。
屏蔽干扰:攻击者还有可能通过干扰或者屏蔽来破坏标签的正常访问。干扰是使用电子设备来破坏阅读器的正常访问。屏蔽是指用机械的方法阻止标签的读取。这两种手段因为可以影响阅读器对标签的访问,也能用来阻止非法阅读器对标签的访问。
标签拆除:攻击者可能将物品上附着的标签拆除。这样,他可以带走这个物品而不担心被阅读器发现。阅读器可能会认为标签所对应的物品仍然存在,没有丢失。
案例分析
RFID破解案例
(1)2008年8月,美国麻省理工学院的3名学生宣布成功破解了波士顿地铁资费卡。而世界各地的公共交通系统都采用几乎同样的智能卡技术,这意味着使用他们的破解方法可以“免费搭车游世界”。
(2)国内某职业技术学院的学生破解了德克士消费卡,可以进行不断地充值。
(3)破解RFID芯片启动汽车。
捷克的RadkoSoucek是一个32岁的汽车窃贼。根据调查,他使用一个收讯器与一台笔记本电脑,在布拉格市内与郊区偷了数台名贵的汽车。Soucek并不是个新手,他从11岁时就开始偷车。但直到最近他发现,使用高科技来偷车是十分容易的事情。
讽刺的是,让他身陷囹圄的,也是他的笔记本电脑,因为里面存有过去所有他尝试解码的证据。在他的硬盘里还有一个成功解码字串的数据库,有了这个数据库,他可以在极短时间内把从未谋面的汽车的锁解开。
现在新型的免钥匙发动系统为人们提供了方便性,只需要按下遥控按钮便可以发动。无线遥控跟上述的电子锁一样,只有使用正确的芯片才能启动汽车。然而它不同于传统的无线遥控,传统的遥控锁需要安装电池,而且有效距离较短,免钥匙启动系统是被动的,不需要装电池。它依赖汽车本身发送的信号来运作。
因为汽车会持续对附近发送信号,收取回应,所以理论上窃贼有可能测试不同的密码,来看看汽车的回应是什么。
2.主要隐私问题
(1)隐私信息泄露
信息泄露是指暴露标签发送的信息,该信息包括标签用户或者是识别对象的相关信息。例如,当RFID标签应用于图书馆管理时,图书馆信息是公开的,读者的读书信息可以被任何其他人获得。当RFID标签应用于医院处方药物管理时,很可能暴露药物使用者的病理,隐私侵犯者可以通过扫描服用的药物推断出某人的健康状况,如图5.6所示,黑客用笔记本电脑窃取信息。当个人信息比如电子档案、物理特征添加到RFID标签里时,标签信息泄露问题便会极大地危害个人隐私。如美国原计划2005年8月在入境护照上装备电子标签的计划,因为考虑到信息泄露的安全问题而被延迟。
图5.6 黑客窃取信息
(2)跟踪
RFID系统后台服务器提供有数据库,标签一般不需包含和传输大量的信息。通常情况下,标签只需要传输简单的标识符,然后,通过这个标识符访问数据库获得目标对象的相关数据和信息。因此,可通过标签固定的标识符实施跟踪,即使标签进行加密后不知道标签的内容,仍然可以通过固定的加密信息跟踪标签。也就是说,人们可以在不同的时间和不同的地点识别标签,获取标签的位置信息。这样,攻击者可以通过标签的位置信息获取标签携带者的行踪,比如得出他的工作地点,以及到达和离开工作地点的时间。
虽然利用其他的一些技术,如视频监视、全球移动通信系统(GSM)、蓝牙等,也可进行跟踪。但是,RFID标签识别装备相对低廉,特别是RFID进入普通人的日常生活以后,拥有阅读器的人都可以扫描并跟踪他人。而且,被动标签信号不能切断,尺寸很小极易隐藏,使用寿命长,可自动识别和采集数据,从而使恶意跟踪更容易。
(3)效率和安全性的矛盾
标签身份保密增加了标签检索的代价,影响了系统的吞吐量。快速验证标签需要知道标签身份,才能找到需要的信息,安全的标签身份验证降低了检索速度。如何平衡安全、隐私和系统可用性,是所有RFID系统都必须考虑的问题。
案例分析
RFID应用失败的案例
迄今为止,工业企业所谓失败的RFID项目和RFID技术与能否正常工作以及能否带来预期的投资回报并没有太多的直接关系。而更多的是,当人们把这项应用技术和顾客隐私权联系到一起时,他们就开始抱怨这项技术的失败。他们认为RFID标签是“间谍芯片”(Spychip),这些芯片通过RFID侵犯人们的隐私权。
(1)班尼腾(Benetton)
2003年,著名的半导体制造商菲利普宣布其将为著名的服装制造商班尼腾(Benetton)实施服装RFID管理。当隐私权保护者组织得到这个消息后,他们发起了联合抵制Benetton的运动。他们甚至还建立了专门的网站(www boycottbenetton com)来进行抵制活动。他们向公众呼吁“送给Benetton一句话:我们将不会购买具有跟踪标签的服装”。还提出了一个更加露骨的口号:“我们宁愿裸体也不会穿戴采用间谍芯片的服装。”
面对如此大的公众压力,Benetton最终退却了,几个星期后,Benetton宣布,他们取消了对服装进行单品级RFID管理的应用项目。
(2)麦托集团(Metro)
麦托集团,德国最大的零售商,建立了其未来商店,也就是为测试新技术而建立的实验性场所。2004年,麦托集团在其会员卡中采用了RFID技术,但是,他们并没有预先对消费者进行告知。隐私权保护主义者借此大做文章,竭力反对,还积极准备集会抵制。麦托让步了。就在隐私权保护主义者组织的集会前两天,麦托的领导层宣布他们不会再在会员卡中使用RFID,而且还会替换已经发出的RFID会员卡。但是,麦托集团依然在其未来商店进行关于包括RFID在内的新技术的创新性的、具有冒险性的试验探索。他们已经对其供应商提出了RFID应用要求,供应商必须在包装级或者托盘级层面上使用RFID为其供货。
下面简单总结一下Benetton和麦托两个失败的RFID应用项目的经验教训:
●对隐私权应有足够的重视。理解顾客对RFID的警觉性只是这项工作的第一步,还要坦诚面对消费者,或者可以聘请消费者代表组织参与RFID项目的实施。
●采取积极的措施,减轻对隐私权的侵犯。例如,可以采用可以“杀死”的RFID标签或者采用可以撕下的纸标签,提醒消费者按照说明撕毁。这些措施都会减少对消费者隐私权的侵犯。
●面对面地为消费者演示已经采取了措施来保护隐私权,可以让消费者自己进行测试。这样做的目的是为了向消费者证明系统并没有侵犯其隐私权。
●给RFID标签加上一个屏蔽封套。麦托在给消费者发放RFID会员卡时犯了一个严重的错误,它没有给会员卡加上任何屏蔽封套。屏蔽封套可以使得从RFID标签中非法获取信息变得几乎不可能。
Benetton和Metro是前车之鉴,制造商和零售商越来越关注消费者隐私权的问题。他们在实施RFID项目之前,都会预先充分考虑隐私权的保护问题,采取积极措施,减少对隐私权的侵犯,改善通信安全,减少消费者对隐私权的担心。
5.4.2 RFID安全和隐私保护机制
1.早期物理安全机制
(1)灭活(kill):杀死标签,使标签丧失功能,不能响应攻击者的扫描。例如,在超市买完物品后,可以杀死消费者所购买商品上的标签,以保护消费者的隐私。完全杀死标签可以完美地防止扫描和跟踪,但是这种方法破坏了RFID标签的功能,无法让消费者继续享受到以RFID标签为基础的物联网服务。比如,如果商品卖出去后,标签上的信息无法再使用,则售后服务以及跟此商品有关的其他服务都无法进行了。另外,如果Kill命令的识别序列号(PIN)一旦泄露,则攻击者可以使用这个PIN来杀死超市中商品上的标签,然后把对应的商品偷走而不被察觉。
(2)法拉第网罩:屏蔽电磁波,阻止标签被扫描。法拉第网罩由金属网或者金属箔形成,根据电磁场理论,法拉第网罩可以屏蔽电磁波,这样无论是外部信号还是内部信号,都无法穿过法拉第网罩。因此,如果把标签放在法拉第网罩内,则外部的阅读器查询信号无法到达标签,而被动标签不能获得查询信号,也就没有能量和动机发送响应。对应主动标签,它的信号也无法穿过法拉第网罩,因此无法被攻击者接收到。这样,把标签放进法拉第网罩内就可以阻止标签被扫描,从而阻止攻击者扫描标签来获取隐私信息。比如,当把标签放到带有法拉第网罩构造的钱包后,就可以避免攻击者知道钱包里所装的物品。
这种方法的缺点是,在使用标签时又需要把标签从法拉第网罩中取出,这样就无法便利地使用标签;另外,如果要提供广泛的物联网服务,不能把标签一直屏蔽起来,而更多时候需要让标签能够跟阅读器自由的通信。
(3)主动干扰:用户可以主动广播无线信号来阻止或者破坏对RFID阅读器的读取,从而确保消费者隐私。这种方法的缺点是可能会产生非法烦扰,使得附近其他RFID系统无法正常工作;更严重的是可能会干扰附近其他无线系统的正常运作。
(4)阻止标签(block tag):阻止标签(block tag)又称为锁定者(blocker)。这种标签可以通过特殊的标签碰撞算法来阻止非授权的阅读器读取那些阻止标签预订保护的标签。在需要的时候,阻止标签可以防止非法阅读器扫描和跟踪标签,而在需要的时候,则可以取消阻止,使标签开放可读。
以上的这些物理安全机制通过牺牲标签的部分功能来满足隐私保护的要求。这些方法可以一定程度上保护低成本的标签,但由于验证、成本和法律等约束,物理安全机制还存在各种各样的缺点
2.基于密码学的安全机制
(1)哈希锁(hash-lock)
哈希锁(hash-lock)是一个抵制标签未授权访问的隐私增强协议,2003年由麻省理工学院和Auto-ID Center提出。整个协议只需要采用单向密码学哈希函数(one-way cryptographic hash function)实现简单的访问控制,因此可以保证较低的标签成本。在哈希锁协议中,标签不使用真实ID,而是使用一个metaID来代替。每个标签内部都有一个哈希函数和一个用来存储临时metaID的内存。使用哈希锁机制的标签有锁定和非锁定两种状态,在锁定状态下,标签用metaID响应所有查询;在非锁定状态下,标签向阅读器提供自己的信息。
小知识
哈希函数可以把任意长的输入压缩变换成固定长度的输出。单向密码学哈希函数在给定输入的时候,很容易计算出其结果;而当给定结果的时候,很难计算出输入。这种函数的输出可以当作输入信息的指纹来使用。
哈希锁协议如图5.7所示,其协议执行过程如下:
图5.7 哈希锁协议
①阅读器向标签发送Query认证请求。
②标签将metaID发送给阅读器。
③阅读器将metaID转发给后端数据库。
④后端数据库查询自己的数据库,如找到与metaID匹配的项,则将该项的(key、ID)发送给阅读器。公式为metaID=H(key),否则,返回给阅读器认证失败消息。
⑤阅读器将接受自后端数据库的部分信息key发送给标签。
⑥标签验证metaID=H(key)是否成立,如果是,将其ID发送给标签阅读器。
⑦阅读器比较自标签接收到的ID是否与后端数据库发送过来的ID一致,如果一致,则认证通过。
哈希锁方案为标签提供了初步的访问控制,可以在一定程度上保护标签数据。但是metaID不会更新,因此每次标签响应时都使用固定的metaID。攻击者可以将这个固定的metaID当作对应标签的一个别名,然后通过这个别名来跟踪标签及其携带者。而且,由于key是通过明文传输,因此很容易被攻击者偷听获取。攻击者因而可以计算或者记录(metaID,key,ID)的组合,并在与合法的标签或者阅读器的交互中假冒阅读器或者标签,实施欺骗。
(2)随机哈希锁
随机哈希锁(randomized hash lock)是哈希锁协议的扩展,在这个协议中,阅读器每次访问标签得到的输出信息都不同。在随机哈希锁协议中,标签需要包含一个单向密码学哈希函数和一个伪随机数发生器;阅读器也拥有同样的哈希函数和伪随机数发生器;在后台系统数据库中存储所有标签的ID;阅读器还与每一个标签共享一个唯一的密钥key,这个key将作为密码学哈希函数的密钥用于计算。
随机哈希锁协议如图5.8所示,基于随机数的询问应答机制,协议的执行过程如下:
图5.8 随机哈希锁协议
①阅读器向标签发送Query认证请求。
②标签生成一个随机数R,计算H(IDk‖R),其中IDk为标签的表示。标签将(R,H (IDk‖R))发送给阅读器。
③阅读器向后端数据库提出获得所有标签标识的请求。
④后端数据库将自己数据库中的所有标签标识发送给阅读器。
⑤阅读器检查是否有某个IDj,使得H(ID j‖R)=H(IDk‖R)成立。如果有则认证通过,并将IDk发给标签,对标签进行解锁,认证通过。
在该方案中,标签每次发送的应答由两部分组成,一个随机数R和一个由这个随机数作为参数计算的哈希值。由于R是随机产生的,因此对应的哈希值也是随机的。这样,每次标签的响应都会随机变化,故而不能对其进行跟踪。
但这个协议不能够防止重放攻击。这是因为在标签返回的消息中只含有标签内的一些信息,而不含有来自阅读器的信息,也即没有可以唯一确定本次会话的信息。若攻击者偷听一个标签的响应,然后在阅读器查询时回放这个响应,就可以伪装为这个标签。另外,每次确认一个标签身份都需要穷尽整个数据库中所存的所有ID,并进行哈希运算,整个认证过程耗时较多,因此本方法不具有很强的可扩展性,只能适用于小规模的应用。
(3)哈希链
基于共享秘密的询问应答协议,哈希链(Hash Chain Scheme)协议中,标签和阅读器共享两个单向密码学哈希函数G(·)和H(·),其中G(·)用来计算响应消息,H(·)用来进行更新;它们还共享一个初始的随机化标识符S。当阅读器查询标签时,标签返回当前标识符Si的哈希值ai=G(Si),同时标签更新当前标识符Si至Si 1=G(Si)。哈希链协议如图5 9所示。
图5.9 哈希链协议
它的优点是提供了“前向安全性”,即在标签被破解之前的所有标签信息都是正确有效的。
(4)同步方法
阅读器可以将标签的所有可能回复(表示为一系列状态)预先计算出来,并存储到数据库中。在收到标签的回复时,阅读器直接在数据库中进行查找和匹配,达到快速认证标签的目的。在这种方法中,阅读器需要知道标签的状态,即和标签保持状态同步,以保证标签的回复可以根据其状态预先计算和存储,因此被称为同步方法。
(5)树形协议
树形协议(Tree-Based Protocol)是一类重要的RFID认证协议,在树形协议中,标签含有多个密钥,标签中的密钥被组织在一个树形结构中,图5.10是一个有8个标签的系统,每个标签存储log2 8= 3个密钥,对应于从根节点到标签所在的叶节点的路径。
其中,标签T4拥有(k1,1,k2,2,k3,4)作为它的密钥,阅读器和标签共享密码学哈希函数h(·),并记录所有标签的密钥。
3.其他方法
①物理不可克隆函数(Physical unclonable function,PUF):利用制造过程中必然引入的随机性,用物理特性实现函数。具有容易计算,难以特征化的特点。
②掩码:使用外加设备给阅读器和标签之间的通信加入额外保护。
③通过网络编码(network coding)原理得到信息。
④可拆卸天线。
⑤带方向的标签。
图5.10 树形协议
4.如何面对安全和隐私挑战
①可用性与安全的统一:无需为所有信息提供安全和隐私保护,信息分级别管理。
②与其他技术结合。
●生物识别:生物识别技术根据人体自身的生理特征来对人的身份进行识别,比较方便易用,私人化程度高,也不容易被窃取。生物识别技术将为RFID的标签使用提供所有者的授权和确认,从而阻止非授权的访问,提高系统的安全性和隐私性。
●近场通信(Near Field Communication,NFC):NFC由RFID及互联互通技术整合演变而来,在单一芯片上结合了阅读器、标签的功能。NFC手机内置NFC芯片,组成RFID模块的一部分,既可以当作RFID标签使用,又可以当作RFID阅读器使用。
这些方法将RFID阅读器和标签的功能与其他一些技术结合起来,可以提供更高的安全性。
③法律法规:从法律法规角度增加通过RFID技术损害用户安全与隐私的代价,并为如何防范做出明确指导。
5.4.3 位置信息与个人隐私
随着感知定位技术的发展,人们可以更加快速、精确地获知自己的位置。基于位置的服务(Location-Based Service,LBS)应运而生。利用用户的位置信息,服务提供商可以提供一系列便捷的服务。例如在逛街的时候饿了,可以快速地搜索出所在地点附近有哪些餐馆,并获取它们提供的菜单;又比如根据用户的位置,推荐附近的旅游景点,并附上相关的介绍。这一类服务已经在手机平台大量应用,只要拥有一台带有定位功能的手机,就可以随时享受到物联网给生活带来的便捷。
然而新科技也同时带来了新的隐患。随着位置信息的精度变得越来越高,位置信息的使用变得越来越频繁,用户位置隐私受到侵害的隐忧也渐渐浮上水面。
1.位置隐私的定义
位置隐私可以说是用户自己位置信息的掌控能力。所谓掌控能力,是指用户能自由决定是否发布自己的位置信息,将信息发布给谁,通过何种方式来发布,以及发布的位置信息有多详细。假如这几点都能做到,那么该用户的位置信息就是高度隐私的;反过来,倘若有一点未能满足。例如:
①用户本不想发布自己的位置信息,但是自己的位置却被他人得知了。
②用户A只想将自己的位置信息告诉用户B,但这个信息也被用户C得知了。
③用户A本只想公开自己在哪个城市,但是却被他人知道了自己在哪条街道。
在这些情况下,这个用户的隐私就遭到了侵害。
2.保护位置隐私的重要性
位置隐私的重要性往往被人们低估。对大多数人来说,位置隐私看似远不及其他的个人隐私重要。位置泄露最直接的危险是可能被不法分子利用,对当事人进行跟踪,从而造成人身安全的威胁。一条位置信息记录同时包含了时间、空间以及人物三大要素,其内涵可谓十分丰富。
根据位置信息,有时候可以推知用户进行的活动。在一个特殊的时候,一个特殊的地点,出现一个特殊的人,这个人做的事情也许就可以推断出来——而这些事情,当事人往往不希望被他人知晓。譬如在上课时间一个学生出现在公园,显而易见他旷课了;再如某员工出现在所属公司竞争对手的大楼里面,那这名员工很可能正在与对方洽谈跳槽事宜。除了所从事的活动,用户的健康状况、宗教信仰、政治面貌、生活习惯、兴趣爱好等个人隐私信息,都可以从位置信息中推断出来。访问某专科病诊所的人很有可能罹患该种疾病,定期前往清真寺的人很可能是回教徒,常常出现在风景名胜区的很可能是个旅游爱好者。
由此可见,保护位置隐私,保护的不只是个人的位置信息,还有其他各种各样的个人隐私信息。随着位置信息的精度不断提高,其包含的信息量也越来越大,攻击者通过截获位置信息可以窃取的个人隐私也变得越来越多。因此,保护位置隐私也刻不容缓。
图5.11 位置隐私面临的威胁
3.位置隐私面临的威胁
在了解了位置隐私的重要性之后,再来看看位置隐私面临哪些威胁,如图5.11所示。
①用户和服务提供商之间的通信线路遭到了攻击者的窃听。当用户发送位置信息给服务提供商的时候,就会被攻击者得知。
②服务提供商对用户的信息保护不力。服务提供商可能会在自己数据库中存储用户的位置信息,攻击者通过攻击服务提供商的数据库,就可能窃取到用户的位置信息。
③服务提供商与攻击者沆瀣一气,甚至服务提供商就是由攻击者伪装而成。在这种情况下,假如用户将自己的位置信息对服务商全盘托出,那用户的位置隐私可以说彻底暴露在攻击者面前了。
5.4.4 保护位置隐私的手段
为了应对与日俱增的针对位置隐私的威胁,人们想出了种种手段来保护位置隐私。这些保护手段,大致来说可以分成4类。
①制度约束:通过法律和规章制度来规范物联网中对位置信息的使用。
②隐私方针:允许用户根据自己的需要来制订相应的位置隐私方针,以此指导移动设备与服务提供商之间的交互。
③身份匿名:将位置信息中的真实身份信息替换为一个匿名的代号,以此来避免攻击者将位置信息与用户的真实身份挂钩。
④数据混淆:对位置信息的数据进行混淆,避免让攻击者得知用户的精确位置。
其中,前两类手段可以说是“以行政对抗技术”,而后两种手段可以说是“以技术对抗技术”,它们都有各自的优缺点。需要注意的是,天下没有免费的午餐,为了保护位置隐私,往往需要牺牲服务的质量。如果需要得到完全彻底的隐私保护,只有彻底切断与外界的通信。换言之,只要设备还连接在网络中,还在享受着各种服务的便利,就不可能完全保护隐私。隐私的保护,往往是在位置隐私的安全程度和服务质量之间找一个均衡点。
下面将对这4大类的位置隐私保护手段一一解说。
1.制度约束
遵循5条原则:①用户享有知情权;②用户享有选择权;③用户享有参与权;④数据采集者有确保数据准确性和安全性的义务;⑤强制性,上述条款须有强制力的保证执行。
优点:一切隐私保护的基础,有强制力确保实施。
缺点:各国隐私法规不同,为服务跨区域运营造成不便;一刀切,难以针对不同的人不同的隐私需求进行定制;只能在隐私被侵害后发挥作用;立法耗时甚久,难以赶上最新的技术进展。
2.隐私方针
可以为不同的用户定制针对性隐私保护。分为两类:
①用户导向型:由用户指定一套位置隐私的要求,例如限定信息的用途,指定信息的保存期限,限制数据的重传等。
②服务提供商导向型:由服务提供商公布自己对于用户信息的使用方式,由用户来决定是否将位置信息提供给服务方。
优点:可定制性好,用户可根据自身需要设置不同的隐私级别。
缺点:缺乏强制力保障实施;对采用隐私方针机制的服务商有效,对不采用该机制的服务商无效。
3.身份匿名
“身份匿名”的思想认为“一切服务商皆可疑”;隐藏位置信息中的“身份”;服务商能利用位置信息提供服务,但无法根据位置信息推断用户身份。
常用技术是K匿名。K匿名的基本思想是,让用户发布的位置信息和另外k 1个用户的位置信息变得不可分辨,这样,即使攻击者通过某些途径得知了这k个用户的真实身份,他也难将k个匿名代号和k个真实身份一一对应起来。为了达到这个效果,需要对位置信息进行一些处理,为此需要引入一个可信的中介。当用户需要和服务提供商进行通信的时候,用户将真实精确的位置信息发送给中介,而中介对信息进行处理之后,再将处理后的信息发送给服务提供商,并将提供商返回的数据传递给用户。
中介又是如何对数据进行处理的呢?大致有两种方式:一种是对空间信息进行处理,首先将所有用户所在的区域划分为许多个小块,每个小块中至少有k个用户,然后当用户要提交位置信息的时候,将信息中的空间位置调包成用户所在的小块区域,这样任何一个提交的位置信息,都至少有k个处在同一个小块中的一模一样的位置信息,让攻击者无从分辨。第二种方法是对时间信息进行处理,将用户的位置信息延迟发布,直到有k个不同的用户都到过这一个位置之后,再将这k条信息一起发布。这两种方法各有缺点,空间处理会造成位置精度的下降,有时候为了达成k匿名,不得不提交一个巨大的空间范围,这会造成服务质量的下降;而时间处理则损失了信息的时效性,信息发布前的等待时间往往过长,用户因此无法得到及时的服务。实际中,这两种方法往往结合使用,在空间精度和时效性之间找到一个平衡。
图5.12 3-匿名
身份匿名的隐私保护策略有两个主要缺陷:其一,由于掩盖了真实身份,一部分依赖于用户身份的服务将无法正常进行,譬如在员工到达办公地点后自动进行签到的服务,如果不知道位置信息的真实身份,自然就无法正常运作。其二,要实现身份匿名,往往需要借助一个中介来统合不同用户的位置信息,从而造成用户的身份变得不可分辨,而中介的引入势必带来不菲的额外开销。
例如:3-匿名,如图5.12所示。
圆圈:3个用户精确位置。
灰色方块:向服务商汇报的位置信息。
4.数据混淆
“即使攻击者知道我是谁,也不知道我正在做什么。”为了达到这个目的,需要对位置信息进行混淆。
数据混淆主要有3种方法:①模糊范围是降低位置信息的精度,扩大其位置范围,不采用精确的坐标,如图5.13中的03、05所示。例如,假设用户此时正在北京的人民英雄纪念碑前游览,模糊范围是用“我在天安门广场”作为发布的位置信息。②声东击西则是指用附近的一个随机地点来代替真实的位置,例如,假设用户此时正在北京的人民英雄纪念碑前游览,用“我在人民大会堂”作为发布的位置。③含糊其词则是在发布的位置中引入一些模糊的语义词汇,例如,假设用户此时正在北京的人民英雄纪念碑前游览,用“我在毛主席纪念堂附近”作为发布的位置信息。
图5.13 数据混淆
与身份匿名相比,数据混淆的优势在于支持各种依赖用户真实身份、需要认证的服务,同时不需要中介,可以进行轻量化、分布式的部署。
优点:服务质量损失相对较小;不需中间层,可定制性好;支持需要身份信息的服务。
缺点:运行效率低;支持的服务有限。
技能练习
搜索查看并分析校园卡的安全隐患。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
