Title: Safeguarding IoT Protocols: New Challenges and Verifiable Solutions

腾讯会议：863 348 000

会议时间：5月17号上午9:30-11:00

Abstract:

The cloud-centered IoT infrastructure has emerged to help IoT manufacturers connect their devices to their users. In the infrastructure, IoT protocols determine how IoT devices communicate with users and how they are access-controlled. However, IoT protocols come with fundamental security challenges, and can hardly guide the implementation of trusted IoT systems. In this talk, I will introduce the latest security analysis on IoT protocols in the context of real-world systems, and new insights and techniques to safeguard IoT systems.

简介：随着物联网（IoT）的日益普及，出现了许多IoT云平台来帮助IoT制造商将其设备连接到用户。为设备-用户交互提供服务和支持的是IoT通信和访问控制协议。在本次演讲中，我将介绍我们有关IoT协议和系统的最新的安全分析 (security analysis)。这些工作发表在IEEE S＆P 2020和USENIX Security 2020。工作的第一部分讨论了IoT云（例如AWS IoT）上的messaging protocols。 用于设备与用户之间的通信。这些协议（例如，MQTT）通常不适用于物联网的对抗环境，因此会给物联网系统带来新的风险和攻击。工作的第二部分分析了主流IoT云平台的access delegation protocols。我们发现这些协议是heterogeneous 并且是ad-hoc的，从而可以进行实际的攻击。这些问题的发现是基于系统的formal verification。这些问题的产生往往是由于缺乏适用于物联网系统和场景的标准化协议。在本次演讲中，我将介绍我们发现的最新安全问题，并讨论其原因，新的安全挑战以及可能的解决方案。

邢璐祎，印第安纳大学布卢明顿分校助理教授，博士生导师。邢老师在安全四大会议和Black Hat上发表论文20篇，并担任安全顶级会议ACM CCS和NDSS程序委员会（Program Committee）成员 。他目前的研究兴趣包括对IoT、移动系统（iOS和Android），云平台和服务的安全分析和隐私保护。他的研究广泛涉及协议设计和分析，程序分析，形式化验证，机器学习/ 自然语言处理等。邢老师是iOS和Apple系统安全科研的最早的先驱之一。他的课题组揭示了众多实际系统中根本上的设计缺陷和漏洞，区别于因程序员疏忽而导致的编程实现失误/错误。基于对系统和设计缺陷的深入理解和分析，他的课题组也开发了众多安全防护方案来保护实际系统和厂商，包括Apple，Google，Amazon / AWS，Microsoft，Samsung，IBM，Alibaba，PayPal， Firefox，腾讯等。他的研究得到了世界主流媒体的多次报道，包括时代，CNN，福布斯，镜报，福克斯新闻，雅虎，CNET，The Register，新浪，163，搜狐等。