超级会员免费看
物联网安全:以意图为核心的设计范式
在当今数字化时代,物联网(IoT)的发展日新月异,设备之间的互联互通变得前所未有的紧密。然而,随之而来的安全问题也日益凸显,如何保障物联网设备的安全性成为了亟待解决的问题。本文将介绍两种新兴的安全范式——语言理论安全(LangSec)和基于ELF的访问控制(ELFbac),它们在保护开发者意图、抵御安全漏洞方面发挥着重要作用。
1. 意图不一致带来的安全隐患
设计的核心在于意图,即驱动技术创建和使用的主要目标和目的。然而,在技术的生产过程中,往往涉及多个参与者,他们对意图的理解各不相同。设计师对产品的功能和实现方式有自己的想法;开发者根据自己对设计师意图的理解编写代码;而用户则根据自己的目标和需求使用产品,其意图可能与设计师和开发者的意图不一致。
这种意图的不一致导致了许多严重且普遍的安全漏洞,在物联网时代,这种情况愈发严重。例如,Mirai僵尸网络利用缓冲区溢出感染路由器,这是由于路由器输入验证不足,违反了设计师只接受格式正确输入的假设。Spectre漏洞的第一种变体则体现了处理器设计师和操作系统开发者意图的不匹配,推测执行违反了开发者的某些假设。此外,未更改的默认密码也是开发者和用户意图不一致的表现。
物联网的独特性质加剧了这些意图不匹配的安全后果。物联网将计算能力引入到传统上缺乏这种能力的物理设备中,合并了以前分离的设计目标。缺乏安全背景或培训的设计师可能会在没有充分考虑安全的情况下开发临时协议或拼凑临时设备。物联网的大规模也带来了额外的挑战,例如用户不更改默认密码可能导致数百万台不安全设备被攻击,形成大规模僵尸网络。
2. LangSec:语言理论安全
LangSec认为,
订阅专栏 解锁全文
扫一扫
1064
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
