英语原文共 16 页,剩余内容已隐藏,支付完成后下载完整资料
对设备信任的反思:在物联网背景下的人类信任非正式调查
盖尔·科恩
在线发布:2011年8月23日
Springer Science Business Media,LLC.2011
摘要:信任是每一次互动的重要组成部分。 对于一些交易,我们需要非常少的信任,而对于其他交易,我们可能会面临风险厌恶。 在本文中我们调查对互联网环境的信任。 我们可以信任设备吗? 怎么能我们量化对设备的信任?
关键词:信任,互联网,软件,硬件,主观逻辑
1 介绍
在本文中,我们研究的主题是在物联网(IOT)环境中的设备信任问题。主要关注的是人类对设备的信任。
-
- 物联网
物联网环境是一个多元化和异质性的环境,其中将有一个众多不同的设备。这些设备中的一些将是我们的移动设备的个人设备电话和一些将是匿名和消耗性设备,有些将是高保证其他设备会便宜又不可靠,有些设备被保护而其余设备被分配到敌对环境中。他们都有共同之处是(a)沟通能力(b)计算结果的能力。因此,IOT设备将是小型连接的计算机来满足一些高度专用和其他更通用的目的。他们也会有执行任务共同点。
-
-
- 假说
-
在本文中,我们主要研究人机交互的信任方面。 许多观察结果也适用于机器到机器。 一般来说,设备访问是无线的(即不能直接观察到人类消费者),这一点设备无处不在,他们的身份或地址对于人类消费者来说是未知的。因此,我们认为人类消费者一般不能100%肯定他/她正在互动,而且他/他不知道身份和/或设备地址。 我们可以假设人类用户知道该服务我们也可以假定人类用户有什么类型的指示他/她正在与(或意图进行交互)交互。
-
-
信任和信赖
- 信任
-
信任和信赖
通过信任,意味着我们依赖于实体的完整性,能力或特性。控制的必要性在这里发挥作用,我们可能被迫依靠实体,因为它们的强大权力(控制)或缺乏替代品(必要性)。 信任可以进一步解释为对实体的真实或价值的信心条件。这里的抓住是我们把这应用于于人类对“真相或价值”的非人类设备的评估。
-
-
- 信赖
-
这个概念与信任有关,并指出信任或信仰的价值。一个实体值得信赖的意思是其他方认为该实体将对其负责行为及其义务。 当然,对于一部分可信赖的实体,当然也有意愿和能力来对这种信念做出回应。不用说,可信度是关系和相对的,它可能意味着不同的实体不同的东西。
对于人类来说,有道德的维度是值得信赖的; 这个概念很清楚不适用于设备。相反,对于设备,留下了具有意图和能力的概率概念(即设备将“意图”按预期结合其实际执行能力的概率)。在不利条件下必须存在“预期的行为能力”。
-
- 本文的大纲
在下一节(第2节)中,我们简要地调查了对软件,硬件和信号的限制设备一般。 然后在第3节我们更详细地分析了物联网环境,在我们在第4节前简要的地反映了人类的信任。人的信任很难量化,但在研究。在第5节,我们研究一个有前途的方法。该方法不仅限于人类对设备的信任,而是以主观逻辑为基础。它不能单独解决对我们的信任问题,它至少可以为我们提供一个工具来增强我们的理解,并使信任的粗粒度估计。我们在论文中第6节简要总结,可能的进一步研究方向和一些结语。
2对数字世界信任的反思
一个工作的IoT设备由物理硬件(处理器,内存,I / O硬件,传感器/执行器等),软件(固件,操作系统,驱动程序,应用程序)和最重要的一个电源组成。 对物联网设备的信任意味着这些组件本身必须可靠和可靠,并且至少符合一些最低限度的操作标准。设备及其组件不仅必须按预期的方式运行,而且必须能够在敌对状态下执行 环境。 在本节中,我们调查对软件和硬件组件的信任和信任的价值。 我们还简要介绍了可能构成许多IoT设备的基础的移动设备以及可信赖的平台概念。
2.1 对软件信任的有限性
2.1.1 对信任可信度高的软件的思考
在1984年ACM图灵奖的接受演讲中,肯·汤普森(Ken Thompson)介绍了这篇论文“信任的思考”[1]。 汤普森概述了一个入侵者的方案访问C编译器的源代码,然后修改C编译器以包含木马代码。攻击代码是这样的,当编译器编译登录程序时,它将使登录接受预期密码或预定义(由入侵者)密码。这本身就是一个聪明的小黑客,但如汤普森所说:
这样的公然代码长期以来不会被发现。 即使是最随意的仔细阅读C编译器的来源会引起怀疑。
然而,真正的伎俩是有第二个木马程序代码。此代码针对C编译器本身。“干净”原始C编译器(二进制)用于编译受感染的编译器源并生成一个木马(二进制)C编译器。 然后,原始的C编译器源被还原,但是每当有人尝试重新编译C编译器时,感染的二进制文件将会看到新的生成的C编译器二进制文件同样被感染。那么,没有任何数量的源代码检查将不会显示该木马。
那么我们可以从上面的小技巧中学到什么呢? 汤普森认为:
道德是显而易见的 你不能信任你没有完全创造自己的代码。(特别是雇用像我这样的人的公司的代码)。没有数量源级验证或审查将保护您不要使用不受信任的代码。
上述故事强调了信任和计算机程序的两个重要方面,即:(a)不能信任程序(二进制)和(b)不能用源代码信任程序!
2.1.2 关于开放源
考虑到C编译器的例子,人们可能会问:无论对手是否可以访问源代码,它在多大程度上都是重要的? 也许 开源软件是内在问题吗? 源代码可用的事实似乎是问题的一部分,但当然也可能是解决方案的一部分(“许多眼睛,所有的bug都很浅”[2])。 在文献中,人们会发现有关安全的“开源”和间接的可信赖的论据。安德森使用可靠性增长理论,发现没有明确的答案[3],利弊倾向于互相抵消。 所以看来,开放源码既不是问题,也不是安全漏洞的解决方案,通过关联,我们没有理由相信开源软件或多或少基于这个属性。
2.1.3 对硬件信任的有限性
提供安全执行环境的一个尝试是所谓的可信平台模块(TPM)。 TPM概念是标准化的,它详细说明了一个安全的密码处理器,它具有安全的存储和提供安全的处理。 TPM概念由可信计算组指定,并转换为ISO / IEC标准(ISO / IEC 11889 [4])。在3GPP蜂窝系统(SIM卡/ UICC卡)中的移动站中使用的智能卡是另一个例子 的可信执行平台[5]。 3GPP还定义了一种在基于3GPP的毫微微小区中使用的可信环境(TrE)。
2.2 限制硬件信任
所以我们知道我们不能完全信任软件。那么这个解决方案似乎就是要有专门的硬件来实现安全和安全策略。存在这种类型的硬件,并且安全环境硬件确实按预期执行,许多软件安全问题可能被解决或减轻。但是,即使放弃了关于可执行性和可执行性的哲学观点,也应该意识到硬件不能保证安全。硬件不能免受攻击,而对于对硬件的信任,应该牢记这一点。
2.2.1 可信平台模块和其他可信环境
提供安全执行环境的一个尝试是所谓的可信平台。模块(TPM)。 TPM概念是标准化的,它详细说明了一个安全的密码处理器,它具有安全的存储和提供安全的处理。TPM概念由可信计算组指定并转换为ISO / IEC标准(ISO / IEC 11889 [4])。
在3GPP蜂窝系统中的移动站中使用的智能卡(SIM卡/ UICC卡)是可信执行平台的另一个例子[5]。 3GPP还定义了一种在基于3GPP的毫微微小区中使用的可信环境(TrE)[6]。
2.2.2 进入木马硬件程序
典型的IoT设备中的处理单元不一定是最强大的,但它仍然可以包含数百万个晶体管。这就提出了一个问题:如何确保电路不包含恶意指令?
在文章“硬件木马:威胁和新兴解决方案”[7]中,作者概述硬件木马的概念,并且意味着确保和信任安全关键应用。他们指出,自动设计工具可能会插入恶意指令,非常像Thompson的例子中的仪器化C编译器,损坏了登录程序。他们还指出,新设计通常围绕预制建筑建造。
具有自动布线等的块。因此,除非充分保证所有这些工具(软件和硬件)和制造过程本身,我们有(为了释义汤普森)“你不能信任你没有完全创造自己的硬件”。
在[8]中,作者提出了硬件木马的分类法,以及它们如何实施,[9]作者报告了他们设计和实施硬件木马的经验。所以,虽然硬件木马可能有点异国情调,而他们也许是一个今天有点遥远的威胁,将来可能会找到硬件木马被使用网络战或网络犯罪,如臭名昭着的Stuxnet病毒/木马[10]。
总而言之,我们有硬件木马是可行的或变得可行,而他们有效地限制了我们在硬件上的信任。
2.3 信任个人设备
我们现在已经确定,一个人不能完全信任软件,这毕竟不是什么惊喜。我们还进一步证明,恶意代码也可能存在于硬件中。因此,即使信任的平台模块也不能完全信任。 以此作为我们信任的上限,那么关于个人设备呢?
2.3.1 手机
今天的大部分手机都是比较简单的设备,但这正在快速变化,智能手机正成为成熟市场的主导平台。什么意思是智能手机?那么,除了提供无缝的蜂窝连接等等,一个典型的智能手机是一个相当强大的计算平台,它运行着先进的操作系统,它拥有大量的内存,并且有很多应用。 这些应用程序可能来自第三方,它们可以根据需要由消费者下载。
2.3.2 信任手机通信安全
有一个常见的误解,即手机提供端到端的安全性。事实上,他们提供蜂窝/无线安全的原始设计理由是往往只能提供空中保护。例如,3GPP系统基本上为用户提供(空中)链路层安全性。表1提供了3GPP系统的范围和覆盖范围。请注意,表1略有误导,只有3G / 4G数据完整性保护为控制面。此外,当密钥是128位宽的完整性校验和只有32位宽。 在[11]中提出和分析了3GPP系统中的接入安全性,我们发现保护被限制在接入网络中的无线段。
2.3.3 信任手机设备
与任何硬件设备一样,移动电话可能被硬件木马破坏,但是尽管这是可能的,但我们现在看不到它是一个非常现实的场景。因此,移动电话硬件可能是可信赖的,但是应该记住,硬件将包含可以被入侵者用于用户的测试电路,数字版权管理电路等。
2.3.4 信任手机软件
没有理由假设智能手机软件比其他通用计算平台的软件更糟糕或更好。苹果iPhone OS软件部分建模在苹果MAC操作系统上,Android操作系统基于Linux,Windows Phone 7操作系统则基于Windows 7平台,这一假设得到了支持。在这些平台上运行的应用程序是黑客的诱人目标,所以似乎审慎地假设他们与通用的个人计算软件一样容易受到恶意软件的攻击。
2.3.5 信任安全模块(智能卡)。
SIM卡或最近的UICC [5]代表了移动电话的可信环境。然而,其使用主要限于蜂窝链路保护的安全功能[11]。UICC可能有其他功能来促进银行和电子商务。但是,由于UICC的所有用户I / O都是通过手机,所以必须谨慎地信任基于UICC的功能。此外,UICC和移动电话之间通常没有认证,所以不能信任依赖于用户I / O的基于UICC的应用,除非有人信任手机。 这并不意味着基于UICC的安全性是没有价值的,它只是意味着对基于UICC的安全性的信任必须是有条件的。我们补充说,作为平台的UICC的信任意味着对UICC制造商以及移动网络运营商(发布UICC)的信任。
2.4信任安全程序和软件更新
2.4.1 信任系统功能的安全更新和更新
安全程序/产品是否值得信赖?
安全程序/产品可能似乎是值得信赖的,确实如此应该值得信赖。但是,安全性与环境一样静态,日常经验有“安全更新”和“病毒定义”要安装。这当然有助于突出安全功能的一个事实是(a)不完美和无错误,(b)安全是一个移动目标,而且如果定期更新,这只能是值得信赖的。
为了更新安全程序或者其他核心系统的功能是明确的本身就是一个需要得到保护和充分信任的操作。当谈到基本的由操作系统提供的安全功能,我们可以相对自信有一个正式的程序到位。此外,我们也可以假设安全更新功能本身是安全的,并且(功能上)已经过测试,并且可以按预期工作。因此,对于系统更新功能,我们可能期望这些意图是良好的,并且具有强大的能力。但不完美。
2.4.2 更新应用
对于专用的IoT设备,我们期望在设备上只运行几个选定的应用程序。另一方面,典型的智能手机可能会支持大量的应用程序(应用程序)。根据平台,应用程序可能会通过平台功能(例如通过Android Market)进行更新,但最终更新的质量将取决于开发人员。
2.4.3 信任更新程序
原则上可以执行两种类型的更新; (a)核心功能更新和纠错(包括安全性)和(b)功能更新(提供新功能)。
核心功能更新通常被视为开销,除非它们是至关重要的可能会延迟更新的趋势,也可能忽略更新。然而,核心更新也可能是如此重要,以致它们成为强制性的。功能更新可能会带来自己的激励,因此更有可能及时安装。从安全的角度来看,我们观察到攻击者可能会利用这一点,并且不会有虚假的更新,试图欺骗人类用户下载和安装恶意软件。
关于更新过程的可信度将取决于(至少)下列:
- 更新的可用性/及时性
- 更新的正确性和完整性
- 能够安全地下载和应用更新
对于带宽有限的计算能力和有限的功率(电池提供)最后一项是重
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[25866],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
