物联网(IoT)正在迅速普及。预计到 2025 年,物联网设备将从目前的 307.3 亿台增至 754.4 亿台。这些设备无处不在,已经延伸到我们生活的方方面面,包括健身追踪、智能家电、工业解决方案和战场传感器。然而,移动物联网设备对网络的动态扩展给安全带来了重大挑战,尤其是与隐私和个人信息披露相关的挑战。传统的计算机安全模型无法扩展到这些设备的有限资源。为此,用户既不知道也无法控制设备分析数据向云端的永久流动。这个问题与海军密切相关。随着单个作战人员使用物联网设备,这一问题已经超出了海军官方系统的范围,扩展到每个水手和海军陆战队员所拥有和操作的系统。随着物联网设备在本土和部署环境中的广泛使用,出现了一系列相关的不同物联网安全威胁。这项研究工作的目标是培养预备役军官训练营学生在多学科研究计划中的研究能力,研究基于物联网的网络安全威胁,这些威胁涉及广泛的海军作战领域。这包括:(1) 了解进出这些设备的相互关联的信息流以及对隐私的威胁;(2) 制定提供保护的战略政策;(3) 研究用户如何与设备互动。六名预备役军官训练营学生担任该项目的专职研究助理,每周工作 10-15 个小时,为研究工作提供支持。其次,约有 20 名预备役军官训练营的学生作为研究参与者参与其中,为他们提供了接触研究方法的机会。
这些工作包括战术网络安全研究,我们首先创建了一个自动标注的物联网设备行为数据集,从多个数据源构建标签,包括查询供应商应用程序编程接口、连接配套应用程序的通知子系统,以及利用触发行动框架生成和识别设备活动。我们进一步利用该数据集了解物联网设备的安全和隐私侵犯情况,报告了物联网设备中的七个关键漏洞,并确定了物联网配套应用程序加密的系统缺陷设计方法。此外,我们还开展了战略性网络安全研究,利用 CSADL/architecture 中的本体论和设备表示法对物联网设备的组成进行了分析,从而分析了可能导致违规(如披露私人信息)的潜在行为。然后对与物联网设备交互的人类行为进行建模,以识别更多安全漏洞,从而进一步帮助创建基于安全的策略。最后,我们还开展了人为因素研究,对 179 位物联网设备用户进行了调查,以了解用户对物联网设备隐私的看法、知识、行为和经验。这些调查结果显示,用户对物联网设备如何使用其数据缺乏了解,也没有采取用户知道会增加其隐私的安全预防措施。基于这些发现,我们提出了指导安全方法的建议,并开发了一个测试平台来评估旨在提高用户安全行为的干预措施。然后,我们对 100 多名参与者进行了实验,以评估干预措施在影响用户安全行为方面的效果,结果表明干预措施使用户阅读了物联网设备的相关条款和条件,并适当调整了设置。以下报告详细介绍了这些研究工作的方法和结果。
主要研究目标
这项研究工作的主要目标是培养预备役军官训练营学生在多学科研究计划中的研究能力,该计划(1)研究基于物联网的网络安全威胁,这些威胁横跨广泛的海军作战领域;(2)开发缓解措施,以减少这些威胁对作战人员的影响。该研究领域是(a)战术网络安全防御、(b)战略网络安全政策和(c)人类网络安全决策之间有趣的交叉点。物联网设备/网络的设计必须能够在操作层面上抵御网络安全威胁。这包括了解和控制进出这些设备的互联信息流,以及对隐私和机密或秘密信息披露的相关威胁。然而,鉴于这些设备是由其他设备和物体组成的网络的一部分,有必要制定提供保护的战略政策。与这些保护措施的战术和战略实施都息息相关的是,用户将如何与这些设备互动并对所实施的政策做出反应。为了实现和谐的人机系统,必须综合考虑这些方面,并让一个领域的研究成果最终为其他领域的研究和开发提供参考。
原文
相关内容
微信扫码咨询专知VIP会员