A Review of Lightweight Security and Privacy for Resource-Constrained IoT Devices

The widespread and growing interest in the Internet of Things(IoT)may be attributed to its usefulness in many different fields.Physical settings are probed for data,which is then transferred via linked networks.There are several hurdles to overcome when putting IoT into practice,from managing server infrastructure to coordinating the use of tiny sensors.When it comes to deploying IoT,everyone agrees that security is the biggest issue.This is due to the fact that a large number of IoT devices exist in the physicalworld and thatmany of themhave constrained resources such as electricity,memory,processing power,and square footage.This research intends to analyse resource-constrained IoT devices,including RFID tags,sensors,and smart cards,and the issues involved with protecting them in such restricted circumstances.Using lightweight cryptography,the information sent between these gadgets may be secured.In order to provide a holistic picture,this research evaluates and contrasts well-known algorithms based on their implementation cost,hardware/software efficiency,and attack resistance features.We also emphasised how essential lightweight encryption is for striking a good cost-to-performance-to-security ratio.

Conceivable Security Risks and Authentication Techniques for Smart Devices: A Comparative Evaluation of Security Practices

With the rapidly escalating use of smart devices and fraudulent transaction of users＇ data from their devices, efficient and reliable techniques for authentication of the smart devices have become an obligatory issue. This paper reviews the security risks for mobile devices and studies several authentication techniques available for smart devices. The results from field studies enable a comparative evaluation of user-preferred authentication mechanisms and their opinions about reliability, biometric authentication and visual authentication techniques.

Phishing Techniques in Mobile Devices

The rapid evolution in mobile devices and communication technology has increased the number of mobile device users dramatically. The mobile device has replaced many other devices and is used to perform many tasks ranging from establishing a phone call to performing critical and sensitive tasks like money payments. Since the mobile device is accompanying a person most of his time, it is highly probably that it includes personal and sensitive data for that person. The increased use of mobile devices in daily life made mobile systems an excellent target for attacks. One of the most important attacks is phishing attack in which an attacker tries to get the credential of the victim and impersonate him. In this paper, analysis of different types of phishing attacks on mobile devices is provided. Mitigation techniques—anti-phishing techniques—are also analyzed. Assessment of each technique and a summary of its advantages and disadvantages is provided. At the end, important steps to guard against phishing attacks are provided. The aim of the work is to put phishing attacks on mobile systems in light, and to make people aware of these attacks and how to avoid them.

智能安防物联网设备的网络级安全与隐私控制

智能设备及应用庞大的使用规模以及数据云端存储存在隐私安全问题。通过常见设备实例给出了智能设备存在的威胁,基于智能设备对隐私安全的挑战,使用第三方安全架构以及API定制功能,提出了一个在网络级别监测、识别以及阻止这些威胁的解决方案。原型测试结果表明,所提方案能够增强智能设备应用数据保护;监测网络活动、分析可疑行为;进一步地,可以动态地阻止或者隔离具有可疑行为的智能设备。提高了物联网设备的安全性以及隐私安全控制能力。

移动社交应用的用户隐私泄漏问题研究

智能移动终端以其强大的处理能力和丰富的功能应用迅速得到普及,成为人们日常生活中存储和处理个人信息必不可少的工具.在众多的移动应用中,社交通信类应用致力于为人们提供便捷的日常通信服务,这类应用相比移动通信运营商提供的传统短消息服务更加经济实用,同时提供多媒体通信方式进一步增强用户的社交体验,从而迅速地被广泛接受.为了进一步巩固自身的用户群体,增加用户黏度,这类应用在其内部增添了一种称为"通讯录匹配"的功能.该功能能够向用户推荐其手机通讯录中已经注册过该应用的线下联系人为好友,从而帮助用户快速地将线下社交圈移植到应用线上.然而,用户在获得便利的同时也面临着潜在的隐私泄露风险.文中首次提出了一种独立于各移动智能平台的、能有效利用移动社交通信类应用的通讯录匹配功能实现大规模收集用户私人数据的方法,该方法能够收集到存储于目标应用服务器的用户个人资料,包括手机号码和虚拟应用账户资料以及两者之间的映射关系;其次,为了获取规模更大,内容更全面、更真实的用户资料,文本提出了基于多款社交通信类应用的跨应用整合分析方法以及针对不同应用来源的用户资料数据一致性与真实性分析;最后,在信息获取和分析方法的指导下,文中建立了利用上述漏洞的原型系统,进行了大规模数据实验,最终验证了上述方法的有效性和良好的可扩展性.

移动互联网:终端、网络与服务

随着宽带无线接入技术和移动终端技术的飞速发展,人们迫切希望能够随时随地乃至在移动过程中都能方便地从互联网获取信息和服务,移动互联网应运而生并迅猛发展.然而,移动互联网在移动终端、接入网络、应用服务、安全与隐私保护等方面还面临着一系列的挑战.其基础理论与关键技术的研究,对于国家信息产业整体发展具有重要的现实意义.文中从移动终端、接入网络、应用服务及安全与隐私保护4个方面对移动互联网的研究进展进行阐述与分析,并介绍了作者在WLAN基站原型系统及无线Mesh网络性能优化方面的研究工作.最后对未来的研究方向进行展望.

面向可穿戴设备的数据安全隐私保护技术综述

基于可穿戴设备的移动计算被视为支撑泛在感知型应用的重要技术,它使用大范围部署的传感器持续不断地感知环境信息,利用短距通信和数据挖掘/机器学习技术传递和处理感知数据.现有的可穿戴设备相关工作主要关注新型移动应用、信息采集、产品形态和人性化用户接口等方面的设计与实现.然而,面向可穿戴设备的数据安全隐私保护技术研究尚处于起步阶段.从数据分析者的视角来看,研究者分析可穿戴设备的数据源特点与隐私安全隐患,重点研究基于多源感知数据的个体活动识别方法和数据挖掘机制;从隐私安全保护者的视角来看,面向可穿戴设备的隐私保护技术亟需解决云辅助的隐私保护机制、隐私感知的个人信息发布和基于策略的访问控制等方面的问题.以可穿戴健康跟踪设备Fitbit为对象展开了可穿戴设备安全与隐私实例分析.最后,总结了面向可穿戴设备的隐私保护的8条技术途径,并展望了需要进一步研究的热点问题.

移动云服务的数据安全与隐私保护综述

移动云服务相比传统云具有移动互联、灵活终端应用和便捷数据存取等特点。然而,丰富的移动云服务应用也带来了更多的安全与隐私泄露问题。在阐述移动云服务的基本概念、应用与安全问题的基础上,给出了其安全与隐私保护体系结构,主要围绕安全协议与认证、访问控制、完整性验证、移动可信计算和基于加密、匿名、混淆的隐私保护等关键技术,分析其研究现状,论述已有技术的优势和不足,并探讨了未来的研究方向。

健康医疗可穿戴设备数据安全与隐私研究进展

广泛应用于健康医疗领域的可穿戴技术,已成为智慧健康、智慧医疗的重要组成部分,但健康医疗可穿戴设备的数据隐私安全问题一直备受关注,且亟待解决。为了解健康医疗可穿戴设备数据安全与隐私保护的发展情况,分析了健康医疗可穿戴设备数据、数据隐私特点,并与传统医疗数据隐私的特点进行对比,总结了国内外的相关研究及部分法律,对国内外研究经验和不足进展、进行了对比分析,以期为构建健康医疗可穿戴设备数据安全与隐私保护的机制提供参考。

在线/离线密文策略属性基可搜索加密

在云计算环境中,越来越多的手机用户通过移动网路来共享自己的数据文件.但是由于云不是完全可信的,所以会出现一些安全隐私上的问题,针对这些问题,随之提出了各种基于属性基加密的解决方案.然而,其中大部分的工作要么是在加解密阶段存在大量的在线计算成本,要么是不支持加密数据的关键字搜索功能.而且大多的属性基加密机制会对数据共享、信息查询、数据细粒度管理等方面的效率性产生影响.为了解决这些问题带来的挑战,提出了一种新的密码学原语:在线/离线密文策略属性基可搜索加密方案(online/offline ciphertext-policy attribute-based searchable encryption scheme,OOCP-ABSE).通过利用现有的在线/离线属性加密技术和属性基加密的外包解密技术,构造出高效的OO-CP-ABSE方案,使得数据拥有者端的在线计算代价最小化,同时使得数据用户端的解密计算代价最低;还给出了在云计算环境下,OO-CP-ABSE方案在移动设备上的应用;最后,给出了OO-CP-ABSE方案的安全性分析(数据机密性、关键字隐私安全、搜索可控性、陷门安全性)以及同现有其他方案的效率比较.

基于移动智能终端的超轻量级移动RFID安全认证协议

文章对比分析了传统RFID系统与移动RFID系统在结构上的区别,指出传统RFID认证协议通常难以适应移动RFID系统,由此提出了一种适用于移动RFID系统的基于移动智能终端的超轻量级安全认证协议。协议采用位逻辑运算、伪随机数、单向Hash函数等设计实现。安全性分析指出,协议能有效抵抗标签的匿名性、标签的位置隐私、前向安全、重放攻击等已有的各种攻击。与现有的结构类似的超轻量级RFID认证协议和移动RFID认证协议相比,文章协议扩展性更好,安全性和性能更优。

Android平台安全威胁及其应对策略

文中综述了Android平台目前的安全威胁及应对安全威胁的策略。概述了中国移动互联网及Android系统平台的发展现状;剖析了Android现有的安全机制,归纳了Android智能移动终端在移动互联网中所面临的各种安全威胁;全面梳理隐私数据泄露、恶意软件/病毒防护、终端丢失/被盗、网络接口、恶意刷机等各类安全隐患具体的表现形式。文中在给出深入分析各类安全隐患及其具体表现形式的同时,还给出了安全隐患存在的原因,并简要给出如何解决这些安全隐患的建议。

移动互联网安全问题与对策思考

以国家网络信息安全技术研究所的研究数据为依据,介绍我国移动互联网安全现状与问题,从"源头→路径→终端"三个层次提出移动互联网安全技术框架,从移动应用商店安全监管提出移动互联网安全管理建议,为提高我国移动互联网安全水平提供新的思路。

移动智能终端安全回顾与展望

移动智能终端越来越多的安全威胁,严重阻碍了新技术的应用和推广,影响了用户使用智能终端的信心。特别是随着4G网络牌照的发放、可穿戴终端的飞速发展以及各种新业务应用的推广,更大的安全挑战呈现在我们面前。文章首先回顾了2013年移动智能终端安全形势和热点事件,进而深入分析移动智能终端安全问题根源,最后展望未来移动智能终端的安全趋势。

基于可信根的移动设备安全研究

随着移动通信技术的不断成熟,移动用户数量飞速增长,人们希望在工作场合使用自带设备(Bring your own device,BYOD)的意愿不断增强。移动设备的运用在给用户带来随时随地接入系统、方便快捷获取数据和交流业务的同时,也给用户带来了移动设备固有的相关安全风险。目前的移动设备由于缺乏基于硬件的可信根功能,不能为用户提供强有力的安全保证。文章详细介绍移动设备安全组件,给出移动设备体系架构,着重描述使移动设备能够更安全使用所需的基本安全功能。

基于图模式与内存足迹的Android恶意应用与行为检测

现有的各个Android应用商店大多检查已知的静态恶意应用,难以检测新颖、动态加载的恶意应用与行为,对此提出一种基于图结构与内存足迹分析的恶意应用检测系统。首先,采集应用的内存信息,分析应用的足迹与序列号,检测动态打包的恶意代码与新颖的恶意应用;然后,提取应用所请求的共生权限,将权限建模为图结构,并使用图的度量指标分析图的分类模式与中心权限,根据中心权限值选择可表示各类的最优图指标;最终,计算应用的隐私分数与风险阈值,基于该阈值检测各种恶意软件或恶意行为。仿真实验结果表明,本算法对不同类型的恶意应用均具有较好的效果,对于未知的恶意应用也具有较好的检测率。

当前移动应用软件常用安全检测技术

在各类移动应用给人们的生活带来便利的同时,恶意应用对终端安全的威胁也在逐渐增多。文章针对恶意应用安全检测的问题,总结了四种常用的检测技术:静置检测、特征码扫描、二进制代码逆向分析和动态行为监测,给出了这四种技术的检测方法、检测流程以及关键技术,分析了每种技术的优点和不足。

电力行业移动应用安全体系关键技术研究

电力行业在推广移动应用为企业带来便利的同时,如何应对随之而来的安全挑战成为亟需解决的问题。文章从分析电力行业移动应用面临的安全风险入手,通过对传统PPDR模型进行优化提出了电力行业移动应用安全模型,并在此模型基础上构建了电力行业移动应用安全体系;之后从移动端、服务端、网络层等方面对该体系涉及的关键技术进行了研究。实践表明,通过建设移动应用安全体系,可以形成一套涵盖安全技术、安全策略和管理制度在内的完整移动应用安全解决方案,有效满足电力行业移动应用需求。

智能穿戴设备的安全与隐私威胁研究

文章从设备架构和数据通信两方面研究了智能穿戴设备广泛存在的安全问题。以Apple Watch为例,基于智能手表上敏感数据的存储和传输方式,提出敏感数据的提取模型,该模型创新性地结合设备本机及配对设备来分析智能穿戴设备收集存储的敏感数据存在的安全风险。文章通过提取实例验证了模型的有效性,智能手表类穿戴计算设备不仅具有采集大量敏感数据的能力,且在数据存储和配对机制方面存在安全与隐私威胁。文章提出的模型及实验验证过程对进一步研究物联网环境下的各类智能终端设备安全具有重要意义。

移动设备加密流量的用户信息探测研究展望

移动设备加密流量分析可以用主动或被动的方式获取多种类型的用户信息,为网络安全管理和用户隐私保护提供保障。重点分析、归纳了用户信息探测所涉及的数据采集、特征选择、模型与方法以及评价体系的基本原理和关键方法。总结了现有方案中存在的问题,以及未来研究方向和面临的挑战。