姓名：*** 学号：****** 班级：******信息安全法律法规课程总结报告Report of Course 《Laws and Rules of Information security》关于物联网的安全与法律法规Security And Legislation About IOT***西安电子科技大学 0696信箱****@摘要：目前，物联网在人们的生活中被广泛的应用，它的出现改变了人们传统的生活及生产方式，本文针对物联网存在的安全问题，在分析物联网安全现状及物联网安全体系的基础上，阐述了物联网在安全实施中主要用到的措施及方法，结合物联网安全在技术方面的应用实践，在物联网安全方面得出了理论性的总结。

并给出一些关于物联网使用的建议。

关键词物联网安全问题法律法规引言物联网（Internet of Things，缩写IOT）是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。

物联网用途广泛，遍及智能交通、环境保护、政府工作、公共安全、平安家居、智能消防、环境监测、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。

所以在物联网飞速发展的时代，物联网安全以及物联网相关的法律法规就成了我们所关注的主要问题。

1、物联网无处不在物联网的应用十分广泛，遍及在生活的方方面面，可谓是已经融入到了我们的学习生活中，下面是关于物联网的一些具体应用。

（1）物联网传感器产品已率先在上海浦东国际机场防入侵系统中得到应用。

系统铺设了3万多个传感节点，可以防止人员的翻越、偷渡、恐怖袭击等攻击性入侵。

（2）ZigBee路灯控制系统点亮济南园博园。

（3）首家手机物联网落户广州，将移动终端与电子商务相结合的模式，广州闪购通过手机扫描条形码、二维码等方式，可以进行购物、比价、鉴别产品等功能。

（4）中国已开始将RFID射频识别技术运用于现代化的动物养殖加工企业，该系统能够实时监控生产的全过程，自动、实时、准确的采集主要生产工序与卫生检验、检疫等关键环节的有关数据，使过去市场上常出现的肉质问题得到了妥善的解决。

可见物联网是真的发展起来了，成为了与我们的生活密不可分的一部分。

用的人多了自然会出现一系列的问题。

2、物联网的安全问题传统PC时代的遇到的安全问题，后果最严重电脑死机重装系统，各种利害数据丢失。

但在物联网时代的安全后果可能要更加严重，不仅仅是软件系统破坏，不仅仅是数据丢失，不仅仅是被监控和隐私泄露，还有可能是人身安全。

因为新的硬件很多是可穿戴设备，人体的各种特征数据被泄露了，可能会伤害到人体本身，比如智能驾车，智能导航，可能带来车祸等。

在物联网时代网络已经无处不在，还有PC要快很多倍。

在《中国移动安全产业生态连发展报告》中预计中国用户将迈入移动智能时代，在便捷的同时，恶意软件、钓鱼网站、隐私窃取等移动设备安全问题也伴随而来。

调查数据显示：高达96.7%的用户曾不同程度的遭遇过移动安全问题。

而这个数字会随着物联网的发展变的越发严重。

而同时伴随物联网技术的高速发展，智能眼镜、智能手表、智能腕带、3D 打印机等逐渐成为大众追逐的时尚。

而同时新的硬件时代，安全问题将可能更加严峻。

简单地列举一些发生在我们身边的关于物联网安全事件：（1）2014年，前可信计算集团主席Jesus Molina在深圳瑞吉酒店，已经完成利用驱动应用的KNX/IP家庭自动协议，对提供给酒店客户使用的“Digital Butler”iPad应用进行反向工程。

Molina只是演示了一下利用这种漏洞控制走廊里的“请勿打扰”灯的触发装置，不过他说这一漏洞还可以控制电灯、电视、温度调节器、室内音乐等，甚至200多个房间内的自动窗帘，而黑客在别的国家就能完成这样的攻击。

（2）在北京举行的GeekPwn上，国内顶尖安全团队Keen Team的极客们就为大家展示了远程控制特斯拉。

另一家网络公司经过对特斯拉Model S安全性能的一系列测试发现，可利用该车应用程序中的设计缺陷对其进行攻击，远程控制车辆，实现开锁、鸣笛、闪灯、开启天窗等操作。

（3）美国黑客组织GTVHacker本周曝光了Nest智能恒温器Nest Learning Thermostat的一个漏洞。

通过该漏洞，黑客可以基于运动探测器信息、网络流量，或房间温度来了解用户是否正在家中，同时不必开启这一设备。

黑客们可以通过引导用户进行配置后加载自己安装的程序，而用户几乎无法察觉。

整个过程无需用户授权，而未来的物联网缺少的就是相应的保护措施。

（4）关于婴儿监听器，今年4月，俄亥俄州的一对夫妇告诉Fox19电视台：他们有一天半夜醒来，听到了10个月大的女儿的联网婴儿监控器里传出了一个奇怪的男声，该名男子发出猥琐的尖叫并试图唤醒宝宝。

可见，物联网的安全问题已经成为了隐患，它正在逐渐的影响着我们的生活，物联网安全隐患将成为未来的一个重大问题，一旦发生后果会非常严重。

甚至威胁到人们的生命安全。

3、物联网的安全机制（一）程序的问题程序在完成后，对其进行审计、Fuzz（模糊测试），通过大量的数据输入，检查是否出现异常情况，并适当优化加密算法等内容。

（二）访问控制许多物联网设备安全问题的产生都是因为用户权限分配不合理，导致存在越权访问、未授权访问。

因此需要对用户访问网络资源的权限进行严格的多等级认证和访问控制，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。

例如，可以在通信前进行节点与节点的身份认证，如果从非法节点接入就拒绝访问；设计新的密钥协商方案，使得即使有一小部分节点被操纵后，攻击者也不能或很难从获取的节点信息推导出其他节点的密钥信息。

另外，做好ACL（访问控制表），以防越权操作等问题的发生。

（三）认证（1）节点间的认证物联网设备的各个节点间的通信，通过硬认证来实现。

比如对采集节点硬件的CPU、mac地址以及硬盘信息进行加密，将加密结果作为通信密钥。

这样，即使有黑客进入节点的通信信道，也无法获得下一节点的认证。

（2）用户与节点的认证用户在与节点通信时，采用用户名+密码+用户机器识别码（或者USB-Key）进行认证；通信信息采用256bit等更高级别的加密。

（3）用户与用户的认证用户与用户间的认证，要确立双认证机制，即A给B发送信息时，A要对B完成认证，B也要对A完成认证。

这样确保了信息不会被中间人“诱骗”。

通信仍采用高强度加密，以防破解。

（四）数据加密数据加密需要一个灵活、强健的密钥交换和管理方案，密钥管理方案必须容易部署而且适合感知节点资源有限的特点。

另外，密钥管理方案还必须保证当部分节点被操纵后不会破坏整个网络的安全性。

目前，加密技术很多，但是在资源受限的情况下，或在人和物体相对运动彼此断裂的情况下，进行安全加密和认证，是物联网发展对加密技术提出的更高挑战和要求。

（五）安管云平台移动互联网云-管-端生态下需要一种全新的安全解决方案，移动安全开放平台的出现成为大势所趋。

国内主流移动安全企业之一——安全管家，在2012年9月推出了安管云开放平台。

该移动安全开放平台的诞生为移动安全生态环境注入了一种全新的移动安全解决方案与安全服务，让移动产业链每个环节都能具备安全防御能力，颠覆了目前已有的移动安全产业生态环境。

4、物联网引起的相关法律问题（一）个人隐私问题借助RFID和互联网，人们身边的各类物品都可升级为“网民”，标签有可能预先被嵌入任何物品中，比如人们的日常生活物品中，人们可能被扫描、定位和追踪，这势必会使个人的隐私问题受到侵犯。

因此，如何确保标签物的拥有者个人隐私不受侵犯便成为物联网推广的关键问题。

（二）国家安全问题“物联网”使地球联系得更紧密，必然涉及国家、政府机密、以及企业的商业秘密的保护问题，这不仅是技术问题，更是国家的安全问题。

如果物联网技术在中国普及实施，如何保证国家安全的信息不被泄露，尤其重要。

（三）物联网的政策和法规问题物联网涉及到各行各业，是多种力量的整合。

物联网需要国家的产业政策和立法上要走在前面，要制定出适合这个行业发展的政策和法规，保证行业的正常发展。

从上述分析可知安全是物联网时代的基石，用户、硬件设备商、应用开发商、运营商等都需要安全的保障，法律法规也需要相应改善，但仅靠某一环，也没有能力保障全方位的安全。

而随着物联网的发展这种安全需要已经刻不容缓，需要各个层面的共同努力。

5、物联网各层安全对策（一）感知层安全对策感知层中，为保障其通信安全，需要有效的密钥管理机制。

其次，感知层也需要认证机制，阻止标签或节点被非法访问。

如：销毁标签、休眠标签、标签加密、阻塞标签、静电屏蔽方法、主动干扰、阅读器改变频率、标签改变频率等。

此外，将加密技术应用于RFID 标签中。

方式有散列锁定(Hash lock)、临时地址（Temporary change of ID）、通用重加密（Universal re-encryption）等。

（二）网络层安全对策网络层安全机制分节点到节点的机密性和端到端的机密性。

节点到节点的机密性需要节点间的认证和密钥协商协议，可以根据需求选择或省略机密性算法和数据完整性服务。

端到端的机密性需要建立的安全机制包括端到端认证机制、密钥协商和管理机制和机密性算法选取机制等，可根据需要增加数据完整性服务。

（三）应用层安全对策对于相应的安全需求，需要的安全机制包括数据库访问控制和内容筛选机制，信息泄露追踪机制，隐私信息保护技术，取证技术，数据销毁技术等。

由此需要发展的相关密码技术有访问控制、门限密码、匿名签名、密文验证(含同态加密)、叛逆追踪、数字水印和指纹技术等。

6、物联网安全的对策和建议—法律法规（一）立法保护目前监管体系存在着执法主体不集中，多重多头管理对重要程度不同的信息网络的管理要求没有差异、没有标准，缺乏针对性等问题，对应该重点保护的单位和信息系统无从入手实施管控。

因此，我国需要从立法角度，针对物联网隐私规章的地域性影响数据所有权等问题，明晰统一的法律诠释并建立完善的保护机制。

通过政策法规加大对物联网信息涉及到的国家安全、企业机密和个人隐私的保护力度，进一步加强对监管机构的人、财、物的投入，完善监管组织体系，形成监管合力，这些都是解决物联网安全和隐私问题的重要手段。

（二）完善国家信息安全组织体系工信部2011年3月公布的《卫星移动通信系统终端地球站管理办法》已于2011年6月1日正式施行，其中对物联网行业安全制定了防范措施，从机制上确保了我国物联网安全，规范了物联网市场竞争，但在法律层面的约束还是空白，因此制定相关的物联网隐私法律法规，明确将隐私权作为独立民事权利对物联网安全至关重要。

此外，还需要从完善国家信息安全组织体系、建立国家信息安全技术保障体系等多方面进行全面规划和不断完善，加紧制定出台个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法及计算机安全监督法等可以保证信息空间正常运作的配套法规。