时间:2023-06-08 11:17:02
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络隐私安全问题,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
综观2012年十大安全事件,不难发现,其中5个与用户隐私泄露有关,3个涉及安全厂商之间的竞争与合作,可以说,“个人隐私安全”毫无争议的成为2012年安全领域最受关注的话题,而以360为首的中国互联网安全厂商“口水战”似乎是这个行业永不落幕的旋律。
个人隐私安全被呼唤
从2012国内网络安全十大事件来看,隐私安全问题最为严峻。随着“电商用户信息遭集体泄漏”、“360涉嫌窃取用户隐私”、“快递单信息被泄露”等一系列安全事件的爆发,引发了网民对“个人隐私安全”的异常关注。
2012年2月9日,有商户向亿邦动力网爆料称,收到了某公司发来的电子邮件,其中包括当当、淘宝、1号店、麦考林在内的多家主流B2C网站用户个人信息。7月,京东商城、当当网、1号店等多家电商网站再“集体”被曝账户信息泄露,致使用户财产损失、隐私泄露,电商信息安全问题再次引发“围观”。
2012年11月,包括EMS在内的10余家主流快递企业的快递单号信息被大面积泄露,并衍生出多个专门从事快递单号信息交易的网站。在“淘单114”和“单号吧”两家网站上,展示快递单号的信息均被明码标价,售价从0.4-2元不等,并附带“生成底单(发件联)”等配套服务。由此引发的快递信息安全问题,成为社会关注的焦点。
比之电商和快递行业信息泄露更为严重的是网络安全行业的监守自盗。2012年10月9日,方舟子在微博上发文称360安全浏览器根本不安全,建议司马南这样的特殊人士慎用,从此拉开了“方周大战”的序幕。随后,有关360软件涉嫌窃取用户隐私的各种质疑及举证相继浮现,工信部等主管部门介入调查。号称中国最大的安全软件竟是用户隐私安全的最大威胁,此事因此在社会上引起了广泛热议与关注,隐私安全问题成为社会关注焦点。
移动隐私安全同样不容乐观。2012年8月,复旦大学计算机科学技术学院抽查安卓系统7个应用商城300余款应用,58%存在泄露用户隐私的行为,其中25%的程序还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难,移动安全已面临巨大威胁。
道德自律与监管震慑成共识
2012年11月12日,首次由中国互联网企业承办的AVAR2012大会在杭州召开,“中国当前网络安全形势及应对策略”成为大会关注的核心议题之一;保护隐私安全、加强行业自律、行业联合打击网络钓鱼,成为此次大会中达成共识,将对中国互联网安全发展产生深远影响。
2012年11月28日,由易观国际举办的主题为“网络安全路在何方”第二期易士堂论坛再次就网络安全话题进行了更深入的交流和探讨,“道德自律与监管震慑”成为与会专家达成的最强呼声。
论坛上,来自企业界、学术界、法律界、新闻媒体及国家信息安全委员会的专家系数出席并阐述了自己对网络信息安全、隐私保护方面的现状认识及思考,督促安全企业应秉承开放、透明、自律的态度,并呼吁行业制定规范标准,同时国家监管部门应该加大处罚监管力度,尽快出台更严格的安全立法。
腾讯电脑管家安全专家马劲松则呼吁“安全要回归到本人,安全就是解决用户安全问题,而不是借着安全名义去恐吓用户达到自己的商业目的”,网络首先要有相关行业标准,同时加大处罚力度,使得法律可以起到必要的威慑作用。
安全厂商竞合风云
有人笑称,中国互联网有360,就不会缺乏战争,因此,在360所在的安全行业,各种混乱的“口水战”自然不可避免。其中最抢眼的,非“3B大战”莫属。有消息称,虽然“3B”大战难分胜负,但借此公关战争,再加上360安全卫士和360浏览器捆绑推广,360公司号称已经占据了中国搜索引擎10%的市场份额。于此同时,360产品安全隐私问题也相继被曝光。
360一向善于“公关”,去年 12月360公司主动发起了一场名为“360重金悬赏黑公关”的公关炒作事件,谓为“3B大战”的延伸。360认为,“黑公关”打击的目标主要是360浏览器,目的则是抹黑360品牌与声誉。但在360大声喊捉拿黑公关的同时,也遭到了很多业内的质疑:贼喊捉贼。
有竞争就有合作,在互联网企业之间大打出手的同时,也浮现出了安全厂商联盟合作的身影。2012年9月10日,百度宣布发起成立首个互联网“安全联盟”,腾讯电脑管家、金山、瑞星、小红伞、知道创宇等5家知名安全厂商成为首批百度安全联盟成员。
2012年是不平凡的一年,个人信息大量暴露在互联网上是这个时代的巨大的隐患,网络安全与个人信息保护被全社会提升到一个前所未有的高度和关注度,如何有力的解决这个问题,不但要依靠强有力的网络安全技术产品,还要我们的用户有足够的安全意识和知识,在一定程度上更要依靠强力的法律作为保障,比如2012年底人大审议通过的《加强网络信息保护决定草案》。
关键词:物联网安全;安保机制;模型构建
计算机技术的飞速发展为物联网的进步提供了软硬件方面前所未有的支持,使其在近几年获得了突破性的进展。已经研发并实施的物联网方案,为人民群众的生产和生活提供了极大的便捷。但是任何技术的发展都是一个渐进的过程,在这个过程中,安全问题的发现和解决显得尤为重要。所以说,通过对物联网技术的深入研究,发现其中的安全漏洞,打造一套行之有效的安全防御体系,使得物联网内的信息等内容得到保全,在此基础之上才能推动物联网技术健康、持续的发展。
1 物联网安全分析
目前物联网的普遍结构主要有感知层、安全层、网络层以及应用层。下面就针对各个层的安全问题进行细化分析,逐层发现其中存在的安全问题,并进行总结。
(一)感知层安全问题
1、节点窃听、被控风险
在物联网中分布了大量的感知节点,它们缺乏自主防御的保护能力,由于数量巨大,安全机制缺乏其的控制,是外来攻击的重点位置。受到外来破坏的形式主要有被窃听、被控制,造成物联网内信息的混乱。如果被窃听或者控制的数量过多,则会导致网络瘫痪的情况发生,进而导致全网信息的外泄。
2、节点伪装风险
受到节点防御能力较差的影响,黑客可以通过多变的网络拓扑结构来分析节点信息,从而对物联网系统内部的软硬件进行修改,黑客伪装为正常用户开展破坏活动,造成网络安保机制的失效。
3、人为因素破坏风险
物联网内部的感知节点在正常状态下缺少专人管理和监控,且节点的分布情况非常复杂,这就极容易受到周边环境影响而遭受到人为破坏,无论是故意还是无意的破坏行动,都会对整个物联网安全造成负面的影响。
(二)网络层安全问题
1、通信网络的固有安全问题
通信网络先天就存在较多的安全问题,这非物联网所独有。虽然随着信息网络技术的不断发展,通信网络安全问题得到了较好的处理,但是一直存在安全机制和黑客破坏之剑的博弈,物联网因为与通信网络互联互通,导致其本身的通信安全也受到持续的考验。
2、异构网络的安全性
目前物联网在接入通信网络时往往有多种方式,这种异构型的网络连接方式大大降低了安全防御极致的作用,成为了物联网安全体系同的薄弱部分。
3、集群庞大
物联网代表了庞大的信息连接体系,往往呈现出集群化的系统特点,这种特点带来的安全问题是,一旦网络安全出现问题,大量的体系内用户将会受到波及,影响范围巨大。
(三)处理层安全问题
1、数据量大、处理能力存疑
物联网内众多的安全节点导致了对网络系统处理能力的较高要求,如果物联网内信息处理能力不足,则会导致服务堵塞和网络终端。
2、数据容灾和恢复能力
物联网内设计大量的用户敏感信息,如果物联网内的信息通道安全性能不足,则极有可能导致用户数据的丢失,如果信息涉及关键信息,则可能对整个系统造成毁灭性的破坏。数据的容灾和恢复能力,决定了物联网发展的程度和预期。
(四)应用层安全问题
1、用户身份验证
在应用称重,用户通过系统对自身身份的验证来获取信息。必须从用户资格认证方面加强管理,杜绝黑客利用认证漏洞来伪装用户窃取和破坏信息。
2、用户隐私的保护
物联网目前已经深入到了用户生产和生活的方方面面,如果用户信息泄露,将会对用户隐私造成破坏,这是互联网发展需要解决的最敏感问题。
2 强化安全技术升级,打造物联网安全机制
(一)强化认证管理
在目前的物联网环境中,身份认证与蜜月的管理是被大量运用的重点安全技术,也是安全机制打造的过程中必须具备的条件。当前通信网络的认证与密钥协商机制为AKA机制,AKA是较成熟的认证机制,下一代网络也将继续沿用并改进AKA机制。目前的物联网感知层的网络连接过程中必须要强调认证机制的兼容性和统一性。受到物联网信息内通信网络原有安全机制的影响,我们在构建物联网安全机制时要高度重视认证统筹,使物联网的通信连接能够与原有安全机制有机融合。
(二)加强安全路由的协议签署
物联网路由器承担的责任与传统通信网络相比更重,分别要从异构化的网络中介入协议,同时又要接入感知层的协议。在解决相关问题时,可以将感知层将节点的身份标志映射成IPv6地址的方式,接入IPv6通信网络,实现基于IPv6的统一路由体系。
(三)加强入侵检测,提升防御能力
强化对于感知点的关键信息收集,并进行全面的分析,过滤接入信息的合法性,跟踪接入用户的系统内操作是否对系统安全造成安全影响。打造一套能够对接入信息进行数据筛选、入侵分析、响应处理3部分能力在内的入侵检测系统。目前针对网络攻击的多种形式,物联网的入侵检测系统一般具备了验证防御、成员组防御、用户信誉对比防御、受攻击节点的防御等手段。我们反复提到物联网节点数多,数据量大,所以急需加强入侵检测技术的处理功能和全面性防御功能。
(四)信息安全和隐私保护
在物联网层面上,信息安全有两个方面的内涵,首先是信息自身的安全,为了维护信息安全,网络和防御体系一般采用主动防护的手段,通过添加密码算法来确保物联网内信息的安全;其次就是信息防护的安全,一般来说,目前常用的信息防护手段,主要是通过进行数据备份后异地安置,形成容灾减灾的能力。而对于信息的隐私性,则是为了保护物联网内用户不愿意被外界知晓的信息进行有效加密,避免被外界获取和内部的泄露。
数据在物联网内通过感知点感知、转化、加密、传递、接受、识别、储存、利用和控制等流程,期间不只信息本身的安全需要受到控制,整个流程进行的过程都需要全程的安全机制实时进行外部入侵和内部泄露的防御,要避免物联网内的信息被窃取和破坏,又要保证物联网具有可用性和安全性。
参考文献
[1]朱琳彤. 物联网安全模型分析与研究[D].南京理工大学,2013.
[2]张文奇. 基于RFID的物联网安全接入机制研究[D].北京交通大学,2013.
[3]张俊松. 物联网环境下的安全与隐私保护关键问题研究[D].北京邮电大学,2014.
[4]刘杰. 智慧城市建设的信息安全保障问题研究[D].华南理工大学,2015.
[5]龚雪红. 基于信任的物联网感知节点安全成簇机制研究[D].重c邮电大学,2014.
【关键词】物联网;医疗物联网;RFID;安全
物联网的基本特征是信息的全面感知、可靠传送和智能处理,其核心是物与物以及人与物之间的信息交互。
随着医疗改革的不断深入,医院的信息化已经成为医改和医院快速发展的基础和支撑。各级各类医院都在与时俱进、快速发展,这给医院信息化的工作提出了更高的要求, 必须确保医院的信息化工作跟上医院发展的步伐,为医院的快速发展提供更有力的支持和帮助。与此同时,物联网作为当前最具潜力的新兴技术,需要与行业应用紧密结合。物联网技术在医疗健康领域的应用将带动传统信息技术向医疗行业的全面渗透和整合。
物联网除了具有传统网络的安全问题外,还产生了新的安全和隐私问题,如对物体进行感知交互的数据保密性、可靠性、完整性,以及未经授权不能进行身份识别和跟踪等。
在医疗物联网蓬勃发展之时,需要注意的是相关的安全问题急需完善解决。
1.医疗物联网现状
物联网技术在医疗领域中的应用几乎遍及该领域的各个环节,涉及从医疗信息化、身份识别、医院急救、远程监护和家庭护理、药品与耗材领域、以及医疗设备和医疗垃圾的监控、血液管理、传染控制等多个方面。目前国内大多数医院都采用了医院管理信息系统HIS,HIS 的普及使用已使医院医疗实现了一定程度的信息化,但这种传统HIS 也有很多不足的地方,如医疗信息需人工录入、信息点固定、组网方式固定、功能单一、各科室之间相对独立等,使HIS 的作用发挥受到了制约。物联网技术以其终端可移动性、接入灵活方便等特点彻底突破了这些局限性,使医院能够更有效地提高整体信息化水平和服务能力。
在为医院信息化建设提供方便的同时,医疗领域物联网中数据安全及隐私保护与网络安全等问题也日趋明显。
医疗物联网有三个基本要素:
一是“物”,包括对象,指医护人员、病人、医疗器械、医疗用品等;
二是“网”,就是标准化的医疗流程;
三是“联”,指的是信息交互。
使用移动物联网技术实现业务流程标准化,运营管理的精细化,实现对医疗对象的全生命周期、全流程的闭环管理。使医院能够更有效地提高整体信息化水平和服务能力,可以明显改观传统的就医流程。
在医疗行业中物联网除了具有传统网络的安全问题外,还产生了新的安全和隐私问题,如对物体进行感知交互的数据保密性、可靠性、完整性,以及未经授权不能进行身份识别和跟踪等。[10]例如,非法用户可利用干扰信号使物联网中RFID标签与阅读器之间的无线通信链路发生阻塞,甚至可能伪造RFID标签向阅读器发送信息,致使医院信息系统处理混乱,对病人的安全造成严重影响;再如前面所讲的电子病历记录了病人的基本信息和诊疗信息,这都属于病人的隐私,必须严格保证其数据安全,否则将会威胁病人的合法权益,对医院和病人造成不利影响。
2.物联网安全
物联网数据安全与隐私保护技术既需要隐私保护相关技术来防止隐私信息泄漏和被篡改,同时需要传感器网络数据管理相关技术来完成数据聚集、数据查询和访问控制等任务,并进行性能优化以减少能量消耗、时间延迟和数据丢失率。目前隐私保护技术在数据库领域的应用主要集中在数据挖掘和匿名两个领域 。综合现有的研究成果,隐私保护技术主要可分为3类:数据扰动技术 、数据加密技术 和数据匿名化技术 。在物联网应用中,对RFID系统实现有效数据管理的前提在于保障RFID数据的安全性与私密性。RFID系统的安全威胁主要来自于阅读器对标签的非法访问以及伪造标签的存在。对RFID系统而言,其安全问题是指存在伪造标签时,如何有效地对标签进行认证;其隐私问题是指存在恶意阅读器时,如何防止阅读器对标签的非法访问,来有效地保护用户的隐私。
【关键词】社交网络 安全问题 解决对策
社交网络是人类交流中不可或缺的重要工具,人们通过网络与亲朋好友保持联系,并且社交网站也提供和陌生人游戏和娱乐的平台,是拓展人脉,与朋友交流的重要途径。
1 社交网络的定义
社交网络早期是网络社交,构建的基础为E-mail,由于电子邮件的传输解决远方人们的通讯问题,可以通过即时通讯进行文字交流,因而应用较为广泛。之后BBS的出现,让网络社交更上一层楼,可以高度的整合信息的群发和转发,让更多的参与者共同的讨论某一个话题,网络社交此时从点对点,走向点对面。通过网络社交的发展,形成完整的社交网络体系。其实交友只能是社交的开端,当Facebook、微博等新兴的即时通讯进入网络平台后,虚拟社交和现实世界叠加的部分越来越多,社交网络与社交变革相一致。现在社交网络已经进入成熟发展阶段。主要表现为以下几方面特点:
(1)让用户信息在一定范围内公开或者半公开,提供资源共享平台;
(2)交往平台的构建主要基础是用户列表;
(3)构建过程中需要较好的拓展性以及开放性,为用户提供针对性较强的插件,所以社交平台在这里的作用除了能够承载正常的网络聊天、交友的功能,另外还能分享视频或者音乐,进行评论。
正是这些特征,逐步吸引用户,相反这类自由化平台,让用户的各类信息分享无限制,信息量的巨大,让整个后台管理更为困难,所以容易引发网络安全问题,如果不能进行及时或者妥善的处理,信息的泄露和假冒问题将会威胁用户安全。
2 分析网络安全问题
2.1 社交网站产生的安全威胁
社交网络中的重要组成部分就是社交网站,但是当前很多社交网站都存在安全隐患,其中比较常见的安全风险为CSRF攻击也就是蠕虫攻击。这些攻击能够破坏社交网站的根本原因是由于完整建设中都运用Ajax技术,该技术能够快速的创建网页,在后台进行数据交流,作用是让网页异步更新,就是在不加载整个网页的过程中,部分更新网页,所以让整个网页更新更便捷。
但是和后台的部分数据交换,可以给网络蠕虫机会攻击某个用户,并且通过该用户发送一些木马或者病毒,盗用信息。蠕虫攻击主要是截取用户的cookie,然后利用用户的cookie登入,进行非法操作。上述的漏洞,影响社交网络的安全性能,这也说明网络安全及时还有可上升空间。
2.2 无线通信安全威胁
当前智能手机和通信技术的发展,很多人都通过手机或者无限设备上网,尤其是青年人,并且手机也成为他们日常生活中不可或缺的组成部分。但是由于手机中覆盖面加大,部分手机的无限网络安全不能得到满足,甚至也不能适应行业发展要求。因而就会引发用户信息不安全的现状,不能妥善的保管用户信息。根据调查了解,很多用户的通讯被监听,由于中病毒所以通讯录被拦截,并且现在手机的过功能应用,很多便捷的软件也应用在手机上面,因而手机的下载量也在大幅度提升,这让手机成为仅次于电脑的病毒传播媒介,不法分子抓住这一漏洞,通过手机信息,盗用用户的姓名和头像,从事诈骗活动。
3 社交网络隐患以及风险防护措施
3.1 自身安全性建设
社交网站或者社交平台与很多网站比较相似,Ajsx技术的广泛应用,让该网站成为被攻击的焦点,所以在检测的时候需要关注有关跨站的脚本攻击(CRoss Site Scriping,XSS),那么网站需要运用一下的方法解决漏洞问题。
(1)检测用户输入内容的可靠性,详细的测试页面输入代码,检查漏洞是否存在;
(2)运用漏洞检测工具全面的检测网站,尽量让所有的网站问题都暴漏出来;
(3)进行参数替换测试;
(4)网站不同的开发阶段,引入黑盒和百盒测试,运用自动化测试工具,进行自动化测试,并在过滤文本的过程中,确保网站没有大的漏洞出现。
(5)监测不良信息以技术手段为切入点保障用户自由讨论的同时,要确保国家的信息安全。
3.2 提高用户自身的隐私信息意识
很多社交网站存在风险和隐患其根本原因在于用户没有保护自己隐私的意识,只有当用户了解隐私保护的重要性才能真正的降低信息泄露比率,降低安全风险,保护社交网站的措施需要从以下几方面入手:
(1)用户需要安装杀毒软件以及相关的安全卫士拦截产生的各类病毒和蠕虫,这样可以有效的弥补系统中的各类漏洞,确保社交网站不被蠕虫攻击;
(2)很多调查或者注册账号上不要填写过于详细的个人资料和个人介绍,另外没有特别要求,尽量不要用本人真实姓名;
(3)添加好友要慎重,另外对于异常的好友要提高警惕,比如经常不联系的好友借钱,要求你帮忙交电话费、支付账单等,需要提高警惕,最好和好友电话确认,不要给任何不法分子可乘之机。
(4)社交网站的使用过程中,要运用其内部的保护和信息安全应用,比如设置的密码要不要过于简单,不要纯数字,根据要求设置密码保护,这样能够规避部分风险。
3.3 管理部门提高监管
高速信息网络的飞速发展,信息传播速度也逐步加快,传播形式也更具多样化,如果不能高效的监管网络,就会在网络中形成不良影响,由于网络的安全与个人、企业和国家之间联系密切。所以社交网络的强化十分必要。
国家与之相关部门要根据情况,提出相应的法律和法规,运用法律的手段保护个人信息安全,保护企业的内部信息,要严惩盗用个人信息谋求暴利的违法情况。另外网站自身也要有一定的规范,并且严格要求网站的各项规章制度,需要建立一些保护用户隐私的相关设置,开发新技术保障用户隐私安全,可以在此基础上借鉴有关BBS的经验,尤其在信息安全以及市场引入等方面。
4 结语
社交网络安全问题已经阻碍社交网络的进一步发展,另外这些安全问题威胁用户的安全隐患,所以采用针对性的方法完善社交网站的建设,为广大用户提供一个放心的使用环境意义重大。
参考文献
[1]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014(09):3-5.
[2]熊芳芳.浅谈计算机网络安全问题及其对策[J].电子世界,2012(22):11-12.
一、网络个人信息安全现状
当今,随着计算机和网络技术的发展,个人数据资料被越来越广泛地收集和使用,各行业的内部和跨区域的私人数据资料交换也正在加速进行。而且网上交易和电子商务的发展,个人信息网上流通日益频繁,加上“产业化”的一个明显标志是病毒制造者从单纯的炫耀技术,转变为以获利为目的。个人信息被泄露、被非法窃取滥用已经到了相当严重的地步,因此网络上个人信息安全问题已经日益凸显。
很多网络用户对个人信息安全保护意识并不强烈,个人信息安全意识淡薄。很多网络用户为了省去麻烦,把所有的密码都设置成一样的,而且越简单、好记越好。在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。
个人信息在网络环境下所受的安全侵害,可分为以下几种情况:1、大量的网站通过合法的手段(要求用户填写注册表格等)或者是隐蔽的技术手段搜集到网络用户的个人信息。2、大批专门从事网上调查业务的公司,使用木马程序及具有跟踪功能的工具浏览和定时跟踪用户站上所进行的操作、自动记录用户访问的站点和内容,非法获取、利用他人的隐私,甚至以极其低廉的价格出售。3、有些软件和硬件厂商开发出的各种互联网跟踪工具,用于收集用户的隐私。4、黑客未经授权进入他人系统收集资料或打扰他人安宁,截获或复制他人信息。
二、网络个人信息安全保护措施
自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。网络用户都应该意识到自己拥有维护自己个人信息资料的权利。网络用户应对自己的个人资料随时查询及更正;随时删除及处理,以避免遭到不必要的麻烦。在未经个人同意及确认之前,个人不允许网站披露个人资料。再次,要懂得网站公共论坛等区域内,用户公布的任何信息都会成为公开的信息。因此,用户应慎重考虑是否有必要在这些区域公开自己的个人信息。
必要时还要采用一定的技术保护措施,如网络防火墙技术、杀毒软件监控手段。网络个人信息主要是由病毒和木马进行窃取,一般可以采用集中式防病毒管理模式,对整个局域网中所有节点实行集中管理和控制,通过各种检测方法检测病毒,自动进行特征码更新,实时清除病毒。并且还要及时清理上网后的垃圾及相关遗留痕迹,如Cookie信息等等。
作为网络用户还要注意使用管理严格,资质优良的网站。保护网络用户的个人信息安全和网络隐私是网站应尽的义务,提供了相关的隐私保护条款,在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其它目的。如在网上银行管理中,身份验证和访问授权是网上管理用户的基本措施,保证用户的安全性,或通过采用访问授权来控制或限制用户对资源的利用。
很多网络个人信息安全问题的产生,一方面是利益的驱动,但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁,并且被侵权者也不能够借助法律的武器有效的保护自己的利益,这就更加助长了侵权行为的发生。网站如何才能建立安全有效的保障机制,用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。
强化公民的网络隐私权的保护意识,使公民个人明白隐私权保护的重要性,了解、知悉网络隐私保护政策与法律、法规。自觉采取防范措施、方法。保护个人隐私,同时尊重他人隐私,从而整体提高社会的隐私权保护意识。加强对网络经营者的监督管理,规范网络经营商的行为。政府对网络经营商的守法及自律情况要进行严格的监督检查,堵住网络隐私侵权的“源头”,行政执法机关一旦发现违法、违规情况,应及时做出处理,增大网络经营商违法经营的成本,进而加强他们的守法意识。
目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全,建立网络安全国家应急体系,加大对网络安全领域犯罪的打击,完善立法。制定保护网络隐私权的行政规章,在规章中对个人数据的安全保护的权利和义务,不当使用个人数据的法律责任等做出明确的规定,且具有可操作性。借鉴国际社会的相关规定,完善我国网站传播的行业自律。建立网络隐私达标认证体制,推进行业自身发展。及时修改、完善相关法律的规定。将侵犯隐私权的行为、侵权责任等问题做出具体的规定。制订个人信息保护相关法规,确立个人信息的保护原则。加大对侵犯隐私权行为的打击力度。
如何使个人信息在网上得到充分的保护,如何使网络用户的个人信息资料被合理的利用,以使之在发挥巨大价值的同时,又能够保证不被滥用,这需要包括提高网络用户个人信息安全意识、制定网络信息(隐私)保护法、实行行业自律、采取技术保护措施等多个方面的共同努力。只要社会各有关方面和公民个人共同努力,相互协作,必能营造一个安全、高效、健康的网络新环境。
关键词:物联网安全机制
中图分类号:TP391 文献标识码:A 文章编号:1007-9416(2013)12-0192-01
所谓物联网就是物物相连的互联网,即将各种各样的信息传感设备与互联网结合起来,而且物联网也是继通信网之后的新一代信息产业浪潮,未来物联网将在智能交通、智能家居、智能物流等多个领域中得到广泛应用,进而给人们的生产生活带来极大的便利。然而,如何确保物联网的安全是其发展过程中不容忽视的一个重要问题,怎样依据物联网的特点构建相应的安全机制是目前研究的热点问题之一。本文简要分析了物联网发展过程中安全方面存在的一些问题,并对如何构建物联网的安全机制提出了一些看法。
1 物联网的安全问题
由于机器、物、数据是物联网处理的主要对象,导致物联网的安全需求比以文本处理为主的互联网要高很多,这些安全问题主要体现在如下几方面:
(1)机器与感知节点的本地安全问题。通过利用物联网可以代替人来完成机械式的工作,甚至很多复杂、危险的工作都可以被物联网应用取代,然而物联网机器中的这些感知节点通常都是部署在无人看管的环境中,这样如果攻击者想要破坏物联网中的机器设备,他们则可以非常容易地利用这些感知节点来操纵机器设备来达到破坏的目的,甚至还可以直接更换掉机器上的相关部件,以扰乱并破坏机器设备的正常功能。
(2)感知网络的传输与信息安全问题。功能简单、携带能量少是物联网中感知节点的主要特点,导致这些感知节点自身的安全保护能力较弱,根本无法避免被他人操纵。另外,物联网中存在有形式多样的感知网络,而且目前这些感知网络相互间没有统一的数据传输标准,导致无法为整个物联网提供一套统一的安全保护体系,进而使得感知网络的传输面临着巨大的潜在安全威胁。
(3)核心网络的传输与信息安全问题。由于物联网可以将各种各样的信息传感设备与互联网结合起来,以形成的一个庞大且多样化的网络环境,如此情况下,可以想象其节点数量将非常巨大,这样很可能会容易导致其在数据传播时出现网络拥塞的情况,进而产生拒绝服务的问题。虽然现有通信网具有较为完善的安全机制,但是其并没有考虑物联网机器间的这种复杂逻辑关系,所以当前通信网的安全机制还难以适应物联网间这种物物相连的通信安全需求,需要将来进一步的补充、完善。
(4)物联网业务的安全问题。相对互联网而言,物联网是一个更加庞大、更加复杂且多样化的网络环境,互联网中不是问题的问题在物联网中都有可能成为新的问题,如怎样对物联网设备进行远程签约信息和业务信息配置、怎样对物联网机器的日志等安全信息进行管理等,这些问题的存在很可能会导致很多潜在安全问题的产生。另外,物联网是由大量机器设备构成的,而且这些机器又无人看守、管理,这样就必然需要一个强大而统一的安全管理平台。
2 物联网安全对策
物联网主要是在现有网络基础上集成相关感知网络和应用平台,所以现有网络中的很多安全机制也可适用于物联网的安全需求,但还需要针对物联网的特征进行相应地调整和补充,以下将从技术和法律两方面对物联网安全措施进行探讨:
一方面,技术层面。物联网传感网络感知节点纵是一个无法避免的安全问题,所以必须要采用相关技术来提高感知节点本身的安全性,进而提升整个物联网的安全防御能力,如身份认证、加密、标签阻隔等都是比较常用的一些安全处理机制,而且随着网络技术的不断发展,相关安全机制也在不断完善。通过技术完善来提升物联网的安全需要在片级别的物理安全技术、信息传输的安全技术和访问、认证技术三方面来努力,其中,访问、认证是最为核心的内容。在传统网络环境中,身份鉴别、认证需要分别在网络层和业务层完成,由于物联网主要是由大量机器设备构成的,其业务应用与网络通信集成在一起,这样可根据业务由谁来提供和业务的安全敏感程度来设计相应的认证机制。
另一方面,法律层面。物联网可以涵盖人们日常生活的任何物品,很容易导致物品拥有者在不受察觉时被定位或追踪,这不仅仅是技术方面需要解决的安全问题,而且还涉及到个人隐私保护的法律问题。然而,目前我国对物联网还没有统一标准和针对性的法律法规,这样容易被某些不法分子通过法律漏洞来窃取利益。因此,一方面,相关政府部门需要依据我国基本的实际国情,明确、详细地确定物联网应保护的人们的隐私范围,进而制定出相应的法律法规。另一方面,物联网用户要提升自身隐私保护意识,如及时安装和更新安全防护软件,不随意打开陌生网络链接,在删除废弃电脑中的重要文件时,要做不可恢复性处理等等。
目前,我国物联网还处在起步阶段,但已得到各级政府、企业的广泛重视,其发展也在逐渐加速,如何解决物联网安全问题已成为满足物联网产业快速发展的重中之重,同时也是关系我国物联网产业能否安全可持续发展的核心内容之一。
参考文献
[1]郑滕滕.物联网安全保障机制探析[J].消费电子,2013,(18).
[2]魏震.物联网安全问题技术分析[J].无线互联科技,2013,(4).
[3]李志清.物联网安全问题研究[J].网络安全技术与应用,2011,(10)
[4]孙伟,刘志杰.物联网发展的安全需求[J].邮电设计技术,2013,(6).
关键词:可穿戴设备;芯片层加密;多模加密;双向认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0038-02
Abstract: Wearable devices as a new force of intelligent technology, with unlimited potential.However, with the rapid development of wearable devices, its security risks will become a key factor restricting its development. Wearable device security issues are mainly reflected in three aspects of data, equipment and software. In response to the strategy, through the hardware chip layer encryption, access control and mutual authentication, data multimode encryption and other core technologies to improve the security of wearable devices.
Key words: wearable device; chip layer encryption; multimode encryption; mutual authentication
可穿戴设备出现在公众视野虽然只有短短几年,但已经成为了一支最火热的科技新势力。它作为物联网的重要应用,如今也是工业革命的核心技术之一。2014年作为可穿戴设备的发展元年,其市场规模得到了前所未有的扩展,各大IT界巨头如苹果、索尼、三星、谷歌等公司,纷纷可穿戴产品,将目光投向了可穿戴设备这片蓝海市场[1]。
近三年来,在全球闻名的CES国际电子产品展览会上,可穿戴设备、智能家居成为了绝对的主角。经过这几年的创新与发展,可穿戴市场虽然火热,但普及时代还未来临,人们关注更多的不仅仅是功能和质量,而是令人思索的安全问题。
1 可穿戴设备的发展
可穿戴设备,指的是可以穿戴在人体上的智能化的交互式产品,它通常融合了无线传感技术、多媒体、GPS定位、生物识别等多种技术于一身[2]。可穿戴设备的种类繁多,典型的代表有智能眼镜、智能手表、智能手环这三大类,另外智能内衣、智能头盔、智能戒指、智能跑鞋等类型的产品也层出不穷。在可穿戴产品中,谷歌公司在2012年的“拓展现实”的Google Glass最具影响力,该眼镜集智能手机、相机的功能于一体,实现全球首款支持“脑控”完成操作的智能设备。可穿戴设备倡导的是“以人为本”的设计理念,以微型传感器通过与人体的无缝连接,支持手势、眼动操作,实现身体数据(如心率、步数、体温、卡路里、睡眠等)的采集。通过云服务对数据进行计算与分析,最后上传到云端存储或者通过智能手机反馈给用户,帮助用户管理身体和设计健康的生活方式。
根据前瞻产业研究院的数据报告,在2016年国内的智能硬件市场规模将突破500亿大关,其中智能手环的销量最高,第五位为智能手表。从国内的消费情况来看,可穿戴设备的市场前景是非常广阔的。目前大多数可穿戴设备只是作为智能手机的一种补充和延伸,需要结合使用,而可穿戴设备真正的意义与价值是作为独立产品的形式存在,释放人们的双手,提供智能化,健康化、人性化的生活。但在短期以内,可穿戴设备是很难取代智能手机实现大爆发。究其原因,可穿戴设备作为一种新生代产品,在吸引了无数关注的同时,突显的安全隐患也将成为制约其发展的关键性因素。越来越多的人会意识到,当可穿戴产品日夜与人体无缝接触,它也必将成为下一个信息安全隐患的重要源头。在2015年5月被证实,我国军方发出禁令,禁止军人使用可穿戴设备,原因是这类产品很可能会泄漏国家军事机密。这不得不引发人们的思索,当可穿戴设备的功能愈加丰富,逐渐摆脱“鸡肋”角色时,它所潜在的安全问题终究会不会成为令人望而却步的“拦路虎”呢?
2 可穿戴设备的安全问题
智能穿戴产品颠覆性地改变用户的生活和工作方式的同时,也会带来更多新的社会问题,如信息安全问题。可穿戴设备所面临的安全问题主要体现在数据安全、设备安全以及软件安全这三方面。
① 数据安全:可穿戴设备采用了各种类型的生理传感器、甚至配备了摄像头,通过与人的无缝连接,隐私数据的感知能力更强,信息的处理和分析能力也大大提升[3]。而目前简单的穿戴设备都可以记录用户的运动轨迹,GPS定位等等。当用户佩戴的时间越长,获取的信息量就越大,用户的健康状况和生活喜好均被数据化呈现。这些隐私数据通常会上传给云服务器端进行处理和存储,或者反馈给智能手机进行数据共享。在这个大数据的时代,用户的个人隐私数据将会变得更加透明化。如果云服务器被攻击,用户的个人隐私将毫无安全可言,更重要的是对于用户的人身安全也将会是极大的威胁。
② 设备安全:可穿戴设备未来的发展方向势必与物联网联系更为紧密,将有可能成为智能家居、汽车驾驶的关键“钥匙”,一旦可穿戴设备被非法控制,那么关乎的不仅仅是数据的安全性,更是有关用户的住宅和生命财产安全。另外,可穿戴设备的使用会长时间接触人体皮肤,饱受质疑的是其设备本身的化学安全,人体辐射、电池安全等问题是否符合安全需求。
③ 软件安全:具有独立操作系统平台的可穿戴设备需要中间软件拓展更多的功能和服务,但这些软件一旦被恶意病毒感染,那么可穿戴设备的数据安全和设备安全就无从谈起了。
3 可穿戴设备的安全风险
3.1 操作系统的开源性
可穿戴设备为了结构和操作方式的灵活性,方便与其他设备的兼容对接,获得更好的用户体验,往往会采用的是开放性操作系统[4]。2014年3月谷歌推出了Android Wear操作系统,这是一个专门提供给第三方厂商的智能手表的开放平台,免费开源,并且数据挖掘和分析能力强大。基于Android的系统的开放性,提供方便的功能扩展的同时,更会带来诸多的安全隐患,如黑客的攻击,恶意代码的植入等等。
3.2 无线网络连接
目前的可穿戴设备普遍采用的是蓝牙、WiFi这样的逻辑设计来连接智能手机,通过手机端的APP或者GPS定位实现数据的同步和共享,在数据传输的各个环节中,都有可能遭受到网络攻击[5]。在未来,可穿戴设备采用NFC短距离传输技术实现门禁解锁与移动支付也将会成为潮流和趋势,而这无疑将会变成网络黑客眼中的“肥肉”。无线网络连接相比于有线连接更容易受到射频干扰,传输的数据容易被非法截获,造成信息的泄漏。
3.3 智能硬件的自身漏洞和缺陷
可穿戴产品为了保证形态小巧精致,外观时尚,会采用较小体积的传感器,有的设备甚至连芯片或系统都没有,就其本身的硬件结构上看,缺乏一定的硬件层安全保障。在软件层次上,各大生产厂商为产品设计越来越多的中间层软件,拓展丰富的功能,但这也相应地带来了更多的安全风险。在2015年Hack Pwn安全极客狂欢节上,有黑客展示了通过小米手环的漏洞成功获取了控制权,这实际上也不是个例,大多数穿戴产品都会存在一些硬件漏洞或者缺陷。
3.4 网络恶意攻击
可穿戴设备目前正处于初步发展阶段,各种安全措施均不够完善,极容易遭受到不法攻击。黑客为了获取有价值的数据,不仅仅是对设备进行攻击,更会上升到整个应用链中。网络中的攻击主要体现在对设备的远程控制、隐私数据的窃取以及物理设备的破坏等。
4 可穿戴设备的安全应对措施
基于以上的分析,可见可穿戴设备在目前阶段的安全系数并不高,针对于安全问题的应对措施的研究也是势在必行。随着可穿戴应用市场的不断发展,在提高质量和用户体验的同时,其安全问题已经成为必须要攻克的一块“致命短板”。
4.1制定统一规范的安全技术标准
由于行业内缺乏统一的技术规范,各大厂商设计和开发的可穿戴产品在质量上、功能上层次不齐,形态各异。尤其在网络安全技术标准这一块,缺乏相应的技术指导,没有权威的安全监管机制,导致安全问题成为众多产品的一大“硬伤”。另外,可穿戴设备行业的信息安全防护也需要在国家法律层面上有所体现,针对于敏感信息采集和个人隐私的保护需要法律化规范。最后,在可穿戴产品的安全检测上,需要制定一套可靠的权威的认证机制来规范行业产品的发展,让用户能够更简单化、有效化地评估产品和购买产品。
4.2 硬件厂商对芯片层加密
大多数可穿戴产品都不是以独立的形态出现,而是依附于智能手机或者云服务器端实现数据的共享与处理。硬件生产厂商在对芯片层进行设计时,增加安全硬件模块,植入厂商独立自主的底层安全架构。可穿戴设备通过无线网络与智能手机或者云端进行数据交互时,数据会被加密,秘钥存放在可穿戴设备的硬件芯片中。当需要查看手机端或者云端数据时,必须身份认证和秘钥都匹配通过才能实现操作。这种芯片级的加密处理,可以大大提高隐私数据的安全性。
4.3 接入控制与双向认证机制
用户使用可穿戴设备联网时,启用接入控制机制,首先需要进行对连接的网络环境进行安全评估,并采用WPA2加密机制保障无线网络的安全性[6]。在与其他终端进行交互时,必须先进行双向身份认证,确保通信实体之间身份的合法性。在身份识别上,采用基于生物特征的增强型认证,如指纹、心率等。生物特征很难被复制和窃取,用于用户身份认证上安全程度是非常高的。
4.4数据的多模加密
用户使用智能产品时,最关心的问题莫过于数据的安全性。可穿戴设备最重要的不在于硬件,也是在于数据的价值。数据的多模加密是由对称加密技术和非对称加密技术结合组成。对于设备采集到的数据根据不同的环境安全需求,采用不同的加密模式,从本源上保证数据的安全性,具有针对性、全面性和灵活性的特点。使用多模加密的同时,为了保证隐私数据的安全,应使用高强度的加密方式,秘钥的长度不少于256位。针对于不同的使用场景,进行数据挖掘时,采用匿名原则,对个人隐私数据进行模糊化处理,并去掉用户识别程度高的数据,保护用户的身份和隐私的安全。
4.5日志审计和入侵检测
在可穿戴产品安全模块上,集成日志审计和入侵检测功能。入侵检测是对进出可穿戴设备的数据流量进行分析和控制,对具备安全风险和入侵企图的流量进行拦截,防止网络入侵的发生。对于设备的常规操作进行日志记录,包括连接的网络属性、设备状态,操作详情,与其他设备的交互等。通过日志审计和分析,能够做到全面而详细的设备监控。
5 结语
可穿戴设备未来的路还很长,但终究能不能得到一个爆发,安全问题成为了亟待解决的难题和障碍。在可穿戴设备的持续发展中,需要国家政府、生产厂商、服务提供商和消费者等多方努力,来推动可穿戴市场的整体发展。
参考文献:
[1] 陈根.可穿戴设备[M].北京: 机械工业出版社,2014:17-18.
[2] 王倩.可穿戴设备的信息安全问题研究[J].情报探索,2016(3):122-128.
[3] 张晓睿,张世奇.可穿戴设备发展趋势及信息安全风险研究[J].中国新技术新产品,2016:184.
[4] 落红卫,魏亮徐,迎阳.可穿戴设备的安全威胁与防护措施[J].电信网技术.2013(11):9-11.
关键词:无线射频识别系统,安全,标签
0 引言
RFID是近年来的一项热门技术,现在它广泛应用于物流、交通、商业、管理等各个领域。。RFID系统由标签、阅读器(Reader)、应用软件和现有的互联网的基础上组成[1]。
在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通,如图1所示。
图1 RFID系统结构图
RFID的应用越来越广泛,它像计算机网络一样也存在着安全隐患,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题
一样考验人们的智慧。随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。这些安全问题将会严重阻碍RFID系统的应用推广。
因此,在RFID技术大规模应用之前有必要提前解决预计出现的安全及隐私问题或者把这种危害降低到相对低点。
1 存在的安全隐患
RFID系统和其他信息系统一样存在许多安全隐患,这些隐患无疑威胁着RFID系统的正常运行,并且不同于其他信息系统的安全问题。根据上边的RFID系统结构图,我们把系统存在的安全问题分为三类:标签集安全、软件级安全和网络级安全,下面分别分析这三种安全隐患。
1.1 标签级安全
目前RFID处于初级起步阶段,标签级安全主要集中在以下三个方面:
(1)对电子标签信息的盗读和篡改[2]
RFID标签和条码不同,体积小,容量小,通过天线就可以与外界交互信息,因此射频识别系统很容易受到攻击。RFID标签拥有惟一的ID,一旦攻击者获得ID,也就获得了目标对象的数据信息。未被保护的标签易遭受来自未授权方的监听,未授权的读写器在没有访问控制协议下可随时访问其附近的标签从而获得机密数据。
在篡改电子标签内数据方面,存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能,从而可能使整个供应链陷入瘫痪状态,因此存在标签数据被篡改的危险。
(2)读写器受到干扰或其他攻击
由于RFID的开放式环境,非法用户通过发射干扰信号来影响读写器读取信号,或用其他方式释放攻击信号直接攻击读写器,使读写器无法接收正常的标签数据。
(3)对环境的适应性
由于零售业和物流业的RFID应用环境比较复杂,因此需要RFID具有较强的适应性,包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。
1.2 软件级安全
数据进入后端系统之后,则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。。
1.3 网络级安全
RFID系统中标签数据进入系统软件,然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患,这是Internet安全的问题。
2 主要技术对策及分析
RFID系统存在三个不同层面上的安全隐患:标签、软件、网络。尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。RFID技术本身就包含了比计算机和网络中更多更容易泄密的不安全节点。对于网络和软件安全方面我们已经耳熏目染,这里只讨论RFID系统特有的安全问题即标签级安全的对策。
RFID芯片本身就存在一些需要我们解决的安全难题。由于RFID芯片很小,内存和存储容量也同样小,这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情[3]。
标签级安全对策主要有以下几种:
(1) 只读标签
这种方式消除了数据被篡改和删除的风险,但仍然具有被非法阅读的风险。
(2 ) 限制标签和读写器之间的通信距离
采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。
(3) 实现专有的通信协议
在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力[4]。
(4) 屏蔽
可以使用法拉第网来屏蔽标签,使其丧失了RF特征。。在不需要阅读和通信的时候,这也是一个主要的保护手段,特别是包含有金融价值和敏感数据的标签的场合,可以在需要通信的时候解除屏蔽。(5) 使用销毁指令(KillCommand)
如果标签支持Kill指令,当标签接收到读写器发送的Kill命令便会将自己销毁,无法被再次激活,以后它将对读写器的任何指令都无法反应。特别是在零售场合,消费者可以在购买产品后执行Kill命令使标签失效,从而消除了消费者在隐私方面的顾虑。但是使用这种方式影响到商品的反向跟踪,比如退货、维修和售后服务等。因为标签卷标已经无效,相应的信息系统将不能再识别该标签的数据。
(6) 使用休眠指令(Sleep)
当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态,不会响应任何读写器的操作;当标签收到读写器的唤醒(WakeUp)命令才会恢复正常。
(7) 物理损坏
物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心标签是否失效,但是对一些嵌入的、难以接触的标签则难以做到。
(8) 认证和加密
可使用各种认证和加密手段来确保标签和读写器之间的数据安全[5]。读写器操作标签时必须同时发送密码,标签验证密码成功才响应读写器,之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。
(9) 选择性锁定[6]
这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的读写器读取某个标签的子集。
选择性锁定克服或者平衡了以上各种方法的缺点,也消除了加密和认证方案带来的高成本性,这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他读写器读取和跟踪其附近的标签,而在不需要的时候,则可以取消这种阻止,使标签得以重新生效。
以上这些方法各有自己的特色和不足,没有任何一个单一的手段可以彻底保证RFID应用的安全,所以必须针对不同应用灵活选择和组合采用综合性的解决方案,考虑成本和收益之间的关系。
3 结束语
RFID安全问题是个系统问题, 关注的焦点不应该只局限在RFID产品本身上,RFID系统的安全, 不仅仅是RFID标签本身的安全技术, 关键是应用系统上的安全方案和管理制度。RFID系统安全会在应用过程中逐步改善,而随着安全问题的逐步完善它的应用会越来越广泛。
参考文献:
[1]甘勇,郑富娥,吉星.RFID中间件关键技术研究[J].电子技术应用,2007,33(9):130-132.
[2]蒋文娟.RFID存在的隐私问题及应用建议[J],计算机安全2005(10):21-22
[3]杨志和.基于中间件和RFID技术的物流管理系统的应用研究[D]:硕士学位论文.广西:广西大学.2006:30-45
[4]周永彬,冯登国.RFID安全协议的设计与分析[J].计算机学报,2006,4:7-8
[5]李晓东.射频识别技术中的隐私安全问题及策略[J].微电子学与计算机.2005:137-140
[6]RFIDPrivacyWorkshop,IEEESECURITY&PRIVACY,MARCH/APRIL2004,p48-50
关键词:物联网;安全层次;技术
中图分类号:F253.9 文献标识码:A
Abstract: This paper introduced the security hierarchy structure and common security issues of the internet of things based on its characters, discussed common threats during the internet of things' entity and communication, analyzed and elaborated the key technologies such as key management, security about information acquisition and transmission, personal privacy protection and so on, in order to provide theoretical basis for realizing all levels of technology security's seamless joint.
Key words: the internet of thing; security hierarchy; technology
物联网是将互联网、移动通信网络和传感网络等融合在一起,在互联网的基础上延伸和扩展出来的一种网络。物联网的用户可扩展延伸到任何物品与物品之间,可以进行通信信息的交换。它利用RFID、传感器等设备可以随时随地获取物体的信息,获得全面感知能力,并通过融合网络将物体的现状、属性等特征实时准确传递出去;利用云计算、模糊识别等各种智能计算技术,实现对大量数据和信息的分析与处理,对物品实施智能化控制;可以根据各个行业、各种业务的具体特点形成独特的业务应用,或者给整个行业或系统的建成提供解决方案。
1 物联网安全层次结构
物联网的底层是用来进行信息采集的感知层,中间层是用来数据传输的网络层,顶层则是应用/中间件层[1]。
物联网信息安全的总体需求就是实现物理安全、信息采集安全、信息传输安全和个人隐私的保护,最终能够确保信息的机密性、完整性、真实性和数据实时性。结合物联网的以上特性,本文给出物联网的系统模型,如图1所示,并对每一层的关键技术进行阐述。
2 物联网信息安全问题
从物联网对信息处理的过程来看,从感知信息到采集、汇聚、融合、传输、决策与控制都体现了物联网的安全特征和对安全的要求。与传统网络相比物联网的感知节点大都部署在无人监控的环境,能力脆弱、资源受限,并且由于物联网是在现有网络基础上扩展出来的感知网络和应用平台,传统网络的安全措施不足以为物联网提供可靠的安全保障,这就使得物联网的安全问题具有特殊性。表1统计了物联网中实体和通信遇到的主要威胁。因此,须根据自身特点来设计物联网的相关安全机制[2]。
2.1 感知层
物联网的信息层感知节点趋于多样化,无线链路相对脆弱,网络拓扑呈动态变化,节点的计算能力、存储能力和能源均有限,无线通讯过程中易受到外界干扰,这使得它们无法拥有复杂的自我安全保护能力。RFID标签本身存在访问缺陷,而且标签的可重写性使得标签中数据的安全性、有效性和完整性都不能得到有效保证。另外,从道路导航到温度监测感知网络也是多种多样,对于数据传输和属性并没有特定的规定和标准,因此系统无法提供统一、全面的安全保护体系。
2.2 网络层
信息的转发和传送主要由物联网的网络层来实现。作为数据在远端进行智能处理和分析决策的基础,网络层负责将采集获取的信息快速安全的传送到远端。各种设备在接入物联网时使用了多种无线技术,鉴于接入层的异构性,保证在异构网络间节点间漫游和无缝移动服务来为终端提供移动性管理是研究的重点对象。而无线接口多为开放式,任何使用无线设备的个体都可以通过监听无线信道而截获通道中传输的信息,更有甚者还可以私自修改、插入、删除或重传无线接口中传输的消息,假冒用户身份欺骗网络端。
在进行数据传输时面临最大的问题是网络地址空间的空缺,正在推进的IPv6技术采纳IPsec协议,虽然在IP层上对数据包进行了高强度安全处理,但风险依旧存在,并且替换IPv4协议向IPv6协议过渡需要一个过程,这个过程只能逐步推进,而在解决两者互通问题上所采取的各种过渡措施也有可能给网络带来新的风险。
2.3 应用层
应用层的安全问题主要包括数据库的访问管理认证机制、隐私保护和中间件等。物联网信息处理业务和控制策略涉及到的范围广、数据种类多,安全需求各不相同,面对同一安全信息服务,如果只提供一种精度的信息,将会增加信息泄露的风险。针对不同需求来提供适宜的精度信息,是应用层安全面临的一个重要问题。
中间件一般存在于物联网的集成服务器端、感知层以及传输层的嵌入式设备中。集成服务器端的中间件称为物联网业务基础中间件,不同通信协议的模块和运行环境则是由嵌入式中间件提供支持。一般情况下,某种中间件的内部已经固化了某些特定通用功能,但如需在具体应用中实现个性化的业务需求还需进行二次开发,为此物联网中间件都提供了快速开发(RAD)工具。
3 物联网安全关键技术
3.1 密钥管理安全
密钥系统是网络安全的基础,是实现信息隐私保护的主要手段之一。互联网面临的安全隐患主要来源于其开放式管理模式,没有严格管理中心的网络。移动通信网络是相对集中管理的一种网络,由于计算资源的限制,使得无线传感器网络和感知节点对密钥系统提出了更多的要求。因此物联网密钥管理系统的安全主要在两个方面存在问题,一是构建一个贯穿多个网络并与物联网的体系结构相适应的统一密钥管理系统,二是如何对传感器网络密钥进行管理问题,如密钥的分配、更新、组播等问题。可以采用以互联网为中心的集中式管理方式和以各自网络为中心的分布式管理方式来实现统一的密钥管理系统安全。有线网络和传统的资源不受无线网络的限制,这使得无线传感器网络的密钥管理安全系统的设计,要充分考虑到无线传感器网络传感节点的限制和网络组网与路由的特征[3]。
3.2 信息采集安全
在物联网中,传感器、RFID、短距离无线通信等负责感知物体的信息,识别和捕获物体的动态属性。信息采集安全问题主要表现为数据信息在采集过程中的机密性、完整性、可用性等方面的要求。
在传感器网络中存在很多相对简单的路由协议,使其系统更容易受到攻击。可以在路由中加入容侵策略来提高物联网的安全性;也可采用多径路由选择的方法减少非法用户控制数据流的计划,以起到保护的作用;还可在路由设计中加入广播半径,每个节点都只能在限制内的半径区域发送数据。基于RFID标签本身的访问缺陷,任何用户都可利用合法阅读器直接对标签信息进行读取、篡改设置删除操作。还可以利用植入到标签中的读写芯片来假冒合法读写器的身份,如果没有足够的安全策略保护,标签中的数据的机密性、完整性、安全性和可用性都得不到保证。可以使用物理方法、密码机制和将两者有机结合的方法来保证RFID标签安全。
3.3 信息传输安全
物联网系统的功能是实现高层对网络末梢实体的实时感知和精确控制,可以使用双向认证技术来建立二者之间的互信机制。但在物联网网络环境下,网络层的最大问题是现有的地址空间短缺,认证过程中末梢网络资源有限,因此认证机制的计算和通信开销应尽可能小。对外部网络而言,其连接的末梢网络数量巨大,结构不尽相同,须建立一个高效的识别机制以区分这些网络及其内部节点,并赋予其唯一的身份标识。认证可采用分段加密口令来保证网络的运行效率和可扩展性。
3.4 个体隐私保护
基于位置服务中的隐私内容涉及两个方面,一是基于位置隐私,二是在查询信息处理过程中的隐私保护问题。位置隐私是指用户过去或现在位置的隐私,而查询隐私是指在数据处理过程中对敏感信息的查询与挖掘。想要系统在能够提供尽可能精确的位置服务的同时,又希望个人的隐私得到保护,这就需要提供足够的技术保证。目前常见的隐私保护方法主要有时空匿名、位置伪装和空间加密等。
4 结 论
物联网安全是一个新兴的领域,作为一个整体,各层安全机制的简单相加并不能实现系统的深度防御,保障系统安全。因此构建控制与信息相结合的安全体系,并实现各层次简单与技术安全的无缝衔接,是物联网安全研究发展的重要方向。
参考文献:
[1] 沈苏彬,范曲立,宗平,等. 物联网的体系结构与相关技术研究[J]. 南京邮电大学学报(自然科学版),2009,29(6):1-11.
随着网络和信息化的全球化普及,搜索软件已经在各种各样的软件和程序中被使用,然而搜索软件带来便捷的同时也伴随着黑客和病毒的入侵。网络安全一般分为硬件安全和软件安全两类,软件安全主要分为个人信息的泄露和各种有害信息的拦截。搜索软件带来的安全隐患主要在软件安全上面,只有在使用电脑的时候注意到安全问题,提高安全意识,才能从源头上防止搜索软件所带来的不安全问题。本文分析了网络安全的基本内涵,然后阐述了其影响和应对策略,以供参考。
【关键词】
搜索软件;网络安全;信息泄露;个人隐私
互联网让地球变成了地球村,这给人们的生活和生产带来了极大的便利。但是伴随而来的网络安全也是近来大多学者所担心和极力解决的问题。同时,随着手机、平板、手提电脑和无线网络的普及,网络安全不再是像过去那样只在电脑上存在,而是渗透进了我们周围的方方面面。这其中包括隐私泄露、个人信息泄露、木马攻击等不安全因素。在搜索软件大量运用,提高搜索效率和运行与处理速度时,把自身的漏洞更加明显的暴露了出来。在搜索软件运用之下所产生的网络安全问题,前所未有的密集起来。
1网络安全分类及其重要性
从20世纪发现第一个网络病毒开始至今,不管是手机还是电脑发现的病毒数不胜数,而现在随着搜索软件的应用普及,每年新病毒以一倍多的速度增长着。自发现病毒开始,不少的学者和专家对网络安全就进行了不懈的研究。在大量的研究数据的支持下,网络安全分为两类:①硬件安全;②软件安全。硬件安全也可以叫系统安全,主要是指网络设备、硬件、操作系统的安全问题。其中网络设备和硬件是指网络的传输路线和相关设备都达到了传输信息和国家的相关标准,不影响信息的正常传输或是对信息的传输有促进作用。操作系统的安全是指各个操作系统均可实现操作者的一般诉求,跟随着操作者发出的指令顺利进行各项指令的完成和实现。软件安全也可称为信息安全,主要是指在信息的传输和存储过程中不出现信息泄露和遗失。它所反映出来的是信息的安全性和完整性,不被某些恶意的程序或是木马侵入和盗取,这其中最主要的便是当今搜索软件下个人信息的泄露。还有一种信息安全,是针对青少年群体的,是指在搜索指令的结果中不出现不健康的,有碍于青少年健康成长的内容,比如成人内容、暴力、反政府和人民的内容。当然,大多数网络安全问题的出现是由于人为植入了木马或是病毒,导致信息泄露或是系统瘫痪,但是在搜索软件的命令写入中也存在着某些不经意的漏洞,造成软件的使用出现停滞、无响应。这就需要在网络安全上提出一个安全管理的过程,旨在网络安全问题出现时及时高效地解决问题,恢复网络的正常使用。网络安全的重要性不言而喻。网络已经和柴米油盐一样成为了我们生活和工作不可分割的一部分,网络安全问题直接影响到我们的工作和学习,生活和健康,甚至是影响到国家经济和政治的健康有序发展。良好的网络环境可以提高人们的工作效率,生活质量,促进经济政治稳步向前发展。恶意的程序和木马破坏了网络的整体平衡,导致数据丢失,个人信息严重泄漏,给人们的生活和工作带来不可估量的损失。其中在搜索软件上产生的网络安全问题是如今主要的安全问题,它不亚于一场车祸,一次坠机,一场雷暴,它造成的影响是无形的,产生的后果是严重的。
2搜索软件对网络安全的影响
搜索软件越来越兴盛,在网络普及的基础上极大方便了人们的生活,这种搜索形式给生活和工作带来的便利使人类社会发展水平一瞬间进步了近一百年。但随之而来的对网络安全的影响也在潜移默化进行着。
2.1搜索软件的匿名
绝大多数搜索软件的运行模式是通过使用者给出一定的命令,在互联网搜集到相关的信息。这一特征很容易被黑客所利用,黑客们使用嵌套技术或是网络技术随着命令一起侵入网站,窃取自身需要的,或是不愿让用户使用的数据。
2.2病毒侵入
很多病毒在被发现之前,都能够毫无迹象地进入某些网站篡改数据和内容,同时写上自己想要写上的内容。这种形式的病毒最大程度上改变了网站的内容,对于一些群体论坛来说,产生了大量负面的舆论,控制了舆论导向,对社会各界都会造成不同程度的伤害。
2.3批量黑客攻击技术
在很多的搜索软件上都存在着批量黑客搜索攻击技术,这种技术主要用于植入搜索软件中发现软件自身存在的漏洞,并加以利用。当人们搜索到这些网页时,这些漏洞就暴漏在黑客面前,造成信息泄露和篡改。
2.4系统自身缺陷
某些网络系统自身存在的缺陷可能一时并没有开发者或是维护者使用者发现,然而有些病毒在侵入网络中时先是潜藏起来,没有发动攻击,而是找到该系统中最薄弱的地方,然后搜集大量的相关信息,最后进行攻击。这种情况主要针对那些没有安全管理软件和及时更新补丁的新电脑。
2.5桌面特性攻击计算机
有一款叫做“谷歌桌面”的软件可以让使用者轻易发现该电脑里面的所有信息和数据,包括已被隐藏的文件内容。这样,在使用一些社交软件时,当登出后,使用的痕迹和一些重要信息并没有随着登出而消失不见,而是储存在某些文件之中,利用“谷歌桌面”这一工具就能很轻易地盗取到社交软件上的隐私信息。
3网络安全策略
针对搜索软件给网络带来的安全问题,网络安全的策略就显得尤为重要。这其中最主要的防治策略就是控制访问。还有一系列非常规的策略,比如屏蔽cookie程序,及时清理电脑中的cookie文件,浏览记录,各种社交软件的密码定期修改,安装安全软件和防木马软件并定期查杀木马和清理电脑。控制访问是针对内部网络出现安全问题的一种常规方法。其中包括控制访问权限,控制访问量,控制文件的安全属性,控制网络服务器的安全,控制网络端口和节点的安全。这些控制措施可以防止恶意登陆,防止恶意访问,对哪些网站内容可以访问,哪些网站内容不能访问做一个明确规定,避免一些带着木马程序和病毒的网站被打开。同时,对于网络接口和端口的控制也是极为重要的,这从源头上控制了各种网络安全问题的产生。而现今各种wifi极大的普及,在使用公共wifi时要谨慎、小心,大多数时候数据的盗取和病毒的植入就是通过公共wifi网络实现的。现在是一个网络信息的时代,各种社交软件层出不穷,相应的搜索功能也一应俱全。在使用社交软件的时候要注意个人隐私和信息的保护,定期修改密码,定期查杀木马和病毒,定期清理社交软件使用后产生的缓存。在使用搜索软件时要注意搜索的内容,搜索的方式和结果,从日常生活中一点一滴上防止网络安全问题的发生。
4结束语
网络安全问题已经上升到了一个新的高度,网络安全意识也是在这个时代不容忽视的问题,只有提高人们的意识,在思想上有所防范,在行为上防微杜渐才能共同打造一个良好的网络环境,让那些恶意程度或是网络犯罪无可乘之机。同时,也要清楚地认识到搜索软件的大量应用给生活和工作带来便利的同时潜在的危害,使用搜索软件时要小心谨慎,养成良好的网络生活的习惯,加强网络安全的设置,安装最新的防毒软件,大力打击各种恶意程序和软件。
作者:刘建军 单位:河北科怡科技开发有限公司
参考文献
[1]雷江涛.搜索软件对网络安全的影响[J].电子技术与软件工程,2015(03):78.
[2]徐炯.论搜索软件对网络安全的影响[J].网络安全技术与应用,2014(10):206~207.
随着我国互联网技术的快速发展,互联网功能已经逐渐遍及了各大领域中。大多软件都需要在互联网的支持下进行,尤其是时下热门的各类社交软件。互联网支持下的软件具有强大的信息资源获取,查询以及日常交流功能。因此受到了人们一致的热爱。随着互联网系统的日益更新。其网络中除了一些充满正能量的日常所需软件外,同时还存在着许多盗取个人信息,影响网络安全的恶意软件。互联网在恶意软件的作用下经常会出现个人信息的窃取以及企业内部信息的篡改等问题。因此如何在网络化的软件中进行个人信息的安全防护成为了目前学者们热议的话题。本文针对目前网络化软件现状进行了分析。并对该网络化软件中的个人信息安全防护系统进行了设计。
关键词:
系统设计;网络环境;个人信息;安全防护
1引言
随着我国互联网时代的快速发展,互联网已经逐渐成为了人们进行日常交流资源获取的必备工具。目前我国大多数软件均需要在互联网环境下运行。互联网环境在为国民日常生活带来便利的同时也为个人信息安全带来了一定的隐患。由于各大软件都需要在互联网的环境下运行,因此,其在运行和使用过程中很容易受到外界不法软件的非法入侵。入侵后的个人信息会遭到窃取,篡改等一系列的不法行为。目前,各大软件的用户注册方式均需要实名制注册。实名制注册一方面可以为软件的使用带来便利,但是同时也为不法分子的个人信息窃取提供了渠道。今年来,我国发生了多起软件个人信息盗取事件。导致用户受到了一系列的财务以及名义的损失。因此,如何在网络环境下对软件应用中的个人信息进行安全防护成为了国民十分关注的问题。本文针对目前这一问题,进行了深入的分析,并提出了相应的安全系统设计。
2网络化软件中信息安全问题
近年来,互联网软件逐渐在我国国民生活中盛行起来。互联网软件为我国过国民日常交流以及娱乐活动提供了相应的平台。同时也为国民个人信息的安全问题带来了一定的隐患。互联网软件在使用前大多需要提供实名制的注册方式。因此,当软件受到外来恶意信息的攻击下,则会造成一定的个人信息盗取。导致个人信息遭受不法分子盗取,从而从事一系列的诈骗等不法行为。近些年来,我国国内已发生多起因个人隐私信息被盗取而发生的诈骗事件。在众多的软件个人信息安全中以恶意骚扰和隐私泄露为最为常见的安全问题。其中恶意骚扰通常包括短信骚扰以及电话骚扰两种骚扰形式。短信骚扰一般为一些不法的广告商或群发商同过发送大量垃圾短信的形式造成手机资源被大量耗费,有些恶意软件入侵后的系统可以通过发送垃圾短信的形式来收取运营商的费用。导致用户话费被恶意扣除。而骚扰电话则会给用户的正常通话带来一定的困扰。除此之外,部分社交软件中存在着大量不法分子进行个人信息的盗取,隐私的泄露主要是由于木马软件或恶意程序造成。恶意程序会通过各种网络途径向外发送搜集到的用户隐私信息,从而危害用户个人信息安全。除此之外,某些软件开发商出于商业目的也会在在正常应用软件运行中搜集用户信息,而用户对这些行为却毫无察觉。对于时下热门的社交软件,恶意程序通常会利用用户盗取的方式来向用户的朋友群发诈骗消息等,以此来进行不法钱财的获取。
3安全防护系统设计及功能
网络环境下的恶意程序主要包括短信盗贼,X卧底,窃听猫和跟踪隐形人四个大类。短信大盗顾名思义就是通过窃取用户短信内容和地理位置来进行个人隐私信息的窃取。X卧底和窃听猫主要是通过窃听用户语音交流或手机通话来进行录音,从而窃取用户个人隐私。跟踪隐形人则是通过跟踪用户的地理位置,以及窃取用户所使用的IP地址来进行个人信息的恶意盗取,或恶意收取运营商费用等。根据软件恶意程序的现状我们将个人信息安全防护系统主要设计为四大系统板块。分别是个人信息实时监控板块,外来信息数据分析板块,数据信息管理板块以及数据信息丢失保护板块。个人信息实时监控板块的主要功能是对用户在软件使用过程中的信息安全实施实时的系统监控。其监控内容包括对软件日常信息交流的监控,软件语音信息的监控,手机通话记录的监控,软件连网后的实时定位信息监控等。一旦发现有第三方非法进行程序访问时,立即将该信息记录下来并提交给分析模块进行处理,在根据系统分析结果由用户进行接受或拒绝访问选择。数据信息管理模块是系统根据恶意软件的分类将恶意程序分别设置在允许访问或拒绝访问黑名单中。将设置信息存储于系统数据信息库中,并随时对数据库中的恶意程序种类进行更新。数据信息分析模块则是根据监控信息模块中提交的第三方访问程序数据进行与信息管理模块中的数据进行对比。并分析其第三方访问程序的安全性。并将其安全性分析结果反馈给监控模块,由监控模块向用户递交允许或拒绝访问请求。数据信息丢失保护板块则主要是负责对窃取的个人信息进行保护的模块。其板块主要适用于手机客户端以及各大社交软件客户端等。对于手机客户端的用户一旦出现手机丢失的情况,则可以统一其他手机客户端进行远程锁屏设置,并执行备份隐私信息以及丢失手机隐私信息删除等操作。而对于社交软件发生用户账号窃取时,则可以通过隐私密码防护在第一时间清空所有聊天记录以及个人隐私,并进行账号找回,锁定,更改密码等操作。
4结论
近年来,互联网软件的使用在我国国民生活中逐渐普及,其软件在为国民日常生活带来便利的同时也存在着一定的安全风险。近年来,我国已发生多起因个人信息恶意盗取而发生的诈骗等不法事件。在极大程度上影响了国民的个人隐私安全。本文针对这一现状。对网络化软件中的个人信息安全系统进行了设计。系统设置有个人信息实时监控板块,外来信息数据分析板块,数据信息管理板块以及数据信息丢失保护板块四大板块,对软件个人信息进行实时的监控,并将时下所有的恶意程序进行记录。一旦有第三方软件进行入侵时,系统将在第一时间进行程序的分析以及对比。当个人隐私信息被窃取后,可以通过安全防护系统进行远程的信息删除以及锁定等操作。在极大程度上增大了网络软件的个人信息安全性。
参考文献
[1]刘小林,刘克胜.手机恶意软件的原理分析及防护措施研究[J].网络安全技术与应用,2012(09):41-43.
[2]王亚.基于的木马关键技术研究[D].成都:电子科技大学,2011.
[3]李硕.电子文档防泄密软件的设计与实现[C].上海:上海交通大学(硕士学位论文),2013:30-32.
[关键词]移动电子商务信息安全自组网隐私法律
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
