Una breve discusión sobre cuestiones de privacidad en Internet de las cosas_Dos cuestiones importantes de seguridad y privacidad en Internet de las cosas
Resumen Como tecnología emergente, Internet de las cosas ha atraído gran atención en los círculos académicos nacionales. Ante la tendencia de desarrollo del Internet de las Cosas, se introducen sus conceptos básicos y antecedentes técnicos, así como el impacto en la seguridad y privacidad de las partes involucradas. Es necesario tomar medidas para garantizar que la arquitectura sea resistente a los ataques, realice autenticación de datos, control de acceso y establezca la privacidad del cliente.
Palabras clave Privacidad de Internet de las cosas
CLC No.: C913 Código de identificación del documento: A
Hablando de los problemas de la privacidad de Internet de las cosas
HUANG Ling
(Facultad de Electrónica e Ingeniería de la Información, Instituto de Tecnología de la Información de Nanjing, Nanjing, Jiangsu 210046)
Resumen IOT (Internet de las cosas) Como tecnología emergente, atrae mucha atención de la academia y la industria nacionales. Por su tendencia, este documento describe el concepto básico y los antecedentes técnicos. Su desarrollo tiene un impacto en la seguridad y la privacidad de las partes interesadas. es necesario establecer resiliencia ante ataques, autenticación de datos, control de acceso y privacidad del cliente
Palabras clave Internet de las cosas
1 Internet de las cosas: concepto y antecedentes técnicos
El Internet de las Cosas (IOT) es una arquitectura de información emergente basada en Internet que promueve el intercambio de bienes y servicios en la red de la cadena de suministro global. Por ejemplo, la falta de existencias de un determinado tipo de bienes aumentará. se informará automáticamente al proveedor, quien a su vez procederá y surgirá inmediatamente la entrega electrónica o física. Desde una perspectiva técnica, IoT se basa en herramientas de comunicación de datos, principalmente etiquetas RFID (Identificación por Radiofrecuencia), mediante la provisión de infraestructura de TI que. facilita una "forma" segura de comunicar las "cosas".
Basado en la visión común actual, la nueva infraestructura de TI de Internet de las cosas es el Código Electrónico de Producto (EPC) introducido por EPCglobal y GS1. Las "cosas" que llevan etiquetas RFID EPC específicas son objetos físicos que la infraestructura puede proporcionar y consultar servicios de información EPC (EPCIS) a usuarios locales y remotos. La información no se almacena completamente en la etiqueta RFID, sino que se conecta e interconecta a través del Servicio de resolución de nombres de objetos (ONS). La información puede ser proporcionada por servidores distribuidos en Internet.
ONS tiene autoridad (conectando metadatos y servicios), en el sentido de que las entidades pueden tener control "centralizado" sobre la información sobre EPC. Por lo tanto, la arquitectura también puede servir como columna vertebral de la computación ubicua, permitiendo que entornos inteligentes reconozcan y localicen objetos y reciban información de Internet para facilitar sus funciones adaptativas.
ONS se basa en el conocido Sistema de Nombres de Dominio (DNS). Técnicamente hablando, para utilizar DNS para buscar información sobre un elemento, el EPC del elemento debe convertirse a un formato que DNS pueda comprender, que es el típico nombre de dominio separado por "puntos" de izquierda a derecha.
EPC codifica un nombre de dominio sintácticamente correcto y luego, utilizando la infraestructura DNS existente, ONS puede considerarse un subconjunto de DNS. Sin embargo, por esta razón, ONS también heredará todas las vulnerabilidades de DNS.
2 Requisitos de seguridad y privacidad
2.1 Requisitos para la tecnología de Internet de las cosas
La arquitectura técnica de Internet de las cosas tiene implicaciones de seguridad y privacidad para las partes interesadas involucradas . La privacidad incluye la confidencialidad de la información personal y la capacidad de controlar dicha información. El derecho a la privacidad puede verse como un derecho humano básico e inalienable o como un derecho individual. Es posible que el usuario no conozca la atribución de la etiqueta del objeto y puede que no sea la señal sonora o visual lo que atraiga la atención del usuario que utiliza el objeto. Por lo tanto, se les puede rastrear sin conocerlos individualmente, dejando atrás sus datos o siendo rastreables en su ciberespacio.
Dado que están involucrados procesos de negocio, es necesario un alto grado de confiabilidad. En este artículo, se explican la seguridad y privacidad requeridas: (1) Resiliencia contra ataques: el sistema debe evitar puntos únicos de falla y debe ajustarse automáticamente a las fallas de los nodos (2) Verificación de datos: como principio, la dirección y el objeto recuperados; la información debe ser verificada; (3) Control de acceso: el proveedor de información debe poder implementar un control de acceso a los datos proporcionados; (4) Privacidad del cliente: solo el proveedor de información observa una consulta específica del cliente. Se pueden hacer inferencias sobre el uso de la información; sistema y, al menos, debería ser difícil hacer inferencias sobre el producto.
Las empresas privadas que utilizan la tecnología de Internet de las cosas incorporarán estos requisitos en su conciencia de gestión de riesgos en sus actividades comerciales generales.
2.2 Tecnología de mejora de la privacidad (PET)
Cumplir con los requisitos de privacidad del cliente es bastante difícil. Se han desarrollado varias tecnologías para lograr objetivos de privacidad de la información. Estas tecnologías de mejora de la privacidad (PET) se pueden describir de la siguiente manera. (1) Una red privada virtual (VPN) es una extranet establecida por un grupo cercano de socios comerciales. Como únicos socios, se les prometió confidencialidad. Sin embargo, esta solución no permitiría un intercambio global dinámico de información y considerar a terceros fuera de la extranet no sería práctico. (2) Transport Layer Security (TLS), basada en una organización de confianza global, también puede mejorar la confidencialidad y la integridad del Internet de las cosas. Sin embargo, cada delegación ONS requiere una nueva conexión TLS y la búsqueda de información tendrá un impacto negativo debido a las muchas capas adicionales. (3) La tecnología de cifrado de clave pública de Extensiones de seguridad DNS (DNSSEC) registra los registros de recursos para garantizar la autenticidad e integridad de la fuente de la información proporcionada. Sin embargo, si toda la comunidad de Internet lo adopta. DNSSEC sólo puede garantizar la autenticidad de la información global del ONS. (4) El enrutamiento cebolla codifica y mezcla datos en Internet de muchas fuentes diferentes, es decir, los datos se pueden empaquetar en múltiples capas de cifrado y cifrarse utilizando la clave pública del enrutador cebolla en la ruta de transmisión. Este proceso evita que una fuente específica coincida con paquetes de protocolo de Internet específicos. Sin embargo, el enrutamiento cebolla aumenta la latencia y provoca problemas de rendimiento. (5) Una vez proporcionado, el Sistema de recuperación de información privada (PIR) de EPCIS ocultará información de interés para los clientes. Sin embargo, surgirán problemas de escalabilidad y gestión de claves, así como de rendimiento, en un sistema de acceso global como ONS. este enfoque resulta poco práctico. (6) Otro método para aumentar la seguridad y la confidencialidad es el sistema peer-to-peer (P2P), que presenta una buena escalabilidad y rendimiento de las aplicaciones. Estos sistemas P2P se basan en Distributed Hash Tables (DHT). Sin embargo, el control de acceso debe implementarse en el propio EPCIS, en lugar de en los datos almacenados en el DHT, ya que ambos diseños no proporcionan cifrado. En este caso, el cifrado de las conexiones EPCIS y la autenticación del cliente se pueden lograr fácilmente utilizando marcos de seguridad comunes de Internet y servicios web. En particular, la autenticación del cliente se puede realizar publicando un secreto compartido o utilizando una clave pública para lograrlo.
Es importante destacar que las etiquetas RFID adheridas a un objeto se pueden desactivar en una etapa posterior, lo que permite a los clientes decidir si quieren usar las etiquetas. Las etiquetas RFID se pueden desactivar colocándolas en una rejilla protectora de aluminio, llamada "jaula de Faraday" porque las señales de radio en ciertas frecuencias no pueden pasar, o "matándolas" quitándolas y destruyéndolas. Sin embargo, ambas opciones tienen ciertos inconvenientes. Aunque colocar etiquetas en jaulas es relativamente seguro, si el cliente lo requiere, requiere que todas las etiquetas de cada producto estén en la jaula.
Algunas etiquetas se ignorarán y se dejarán en manos del cliente, que aún podrá rastrearlas. Envíe un comando "matar" a la etiqueta, dejando la posibilidad de reactivación o alguna información de identificación en la etiqueta. Además, las empresas pueden inclinarse a ofrecer incentivos a los clientes por no destruir etiquetas o por darles implícitamente etiquetas sin matarlas, donde se puede lograr disolver la conexión entre la etiqueta y el objeto identificable. La información del ONS se puede eliminar para proteger la privacidad del propietario del objeto. Aunque las etiquetas aún se pueden leer, no se puede recuperar más información sobre el individuo.
Además, la información de identificación no personal capturada por RFID debe ser transparente. La RFID activa puede rastrear los movimientos de los visitantes en tiempo real sin identificar qué visitante es anónimo; sin embargo, la pregunta sigue siendo si la recopilación de dichos datos sin restricciones está cubierta por las leyes de privacidad tradicionales;
La preocupación de la gente por la privacidad es realmente razonable. De hecho, la forma de recopilar, procesar y extraer datos en el Internet de las cosas es completamente diferente de la forma en que la gente los conoce ahora. Hay muchas ocasiones en las que se recopilan datos personales, por lo que los humanos no pueden controlar personalmente la divulgación de información privada. Además, el costo del almacenamiento de información disminuye constantemente, por lo que una vez que se genera la información, es probable que se almacene de forma permanente, lo que hace que el fenómeno del olvido de datos ya no exista. De hecho, Internet de las cosas amenaza seriamente la privacidad personal. En la Internet tradicional, la mayoría de los usuarios que usan Internet tendrán problemas de privacidad. Sin embargo, en la Internet de las cosas, incluso las personas que no utilizan ningún servicio de Internet de las cosas tendrán privacidad. problemas. Garantizar la seguridad y la privacidad de los datos de la información es un problema que debe resolver el Internet de las cosas. Si no se puede garantizar la seguridad y la privacidad de la información, las personas no integrarán esta nueva tecnología en su entorno y en sus vidas.
El auge del Internet de las cosas no solo ha traído muchas comodidades a la vida de las personas, sino que también ha hecho que la gente dependa cada vez más de él. Si el Internet de las cosas es invadido y destruido maliciosamente, se robará la privacidad y la información personal, sin mencionar la seguridad militar y de propiedad del país. El nivel nacional debe prestar atención a cuestiones importantes como la seguridad, la confiabilidad y la privacidad de Internet de las cosas desde el principio, a fin de garantizar el desarrollo sostenible y saludable de Internet de las cosas. Es necesario abordar las cuestiones de seguridad tanto desde el punto de vista técnico como jurídico.
Referencias
[1] Wu Gongyi. Internet inteligente de las cosas [M Beijing: Machinery Industry Press, 2010].
[2] Song Wen. Tecnología y aplicación de redes de sensores inalámbricos[M]. Beijing: Electronic Industry Press, 2007.
[3] UIT. Informes de Internet de la UIT 2005: La Internet de las cosas [R].Túnez, 2005.
[4] In tern ac ion alTelecom unicat ion Union UIT. UIT InternetReports 2005: Internet de las cosas[R].2005.