ContexIoT: 为应用化的IoT平台提供场景完整性

ContexIoT: 为应用化的IoT平台提供场景完整性

作者:贾云瀚   密西根大学

物联网(IoT) 设备已经进入了日常生活中的各个领域,并且随着技术的发展,IoT设备市场已经从最初的不同厂家推出围绕自家硬件的一套封闭的生态系统 (例如 飞利浦 Hue 照明系统),发展到了一种被称之为“应用化”(appified) 的新阶段。 在一个appified 的平台之上, 任何第三方的开发者被允许为这个平台开发应用程序(app), 去控制来自不同厂家的IoT设备来更好地为用户提供便利的功能。 三星推出的SmartThings 平台便是一个例子,它支持了来自不同制造商的80多种IoT设备,并且为第三方开发者提供了API去为自己的应用商店开发app。 之前无法完成的一些功能,比如用三星生产的运动传感器(motion sensor) 数据去控制飞利浦生产的灯泡,都可以在SmartThings平台上实现。

Continue reading

伪基站电信诈骗的大规模识别与定位

作者:李振华   清华大学软件学院助理教授、博导

近年来全球移动电信产业蓬勃发展,运营商不断部署移动基站以提升服务性能与此同时,也出现了大量非法的伪基站设备,通过使用极高信号强度、迫使周围的移动设备断开与合法基站的连接、从而连接到伪基站,趁机向用户发送垃圾或诈骗短信,并且往往使用权威号码(如1008695588等)使用户放松警惕。据新闻媒体报道,2016年中国手机用户总共收到数十亿条伪基站短信,造成上百亿元的经济损失

Continue reading

TLS 1.3多重握手安全性研究

作者:李新宇   中科院软件所

TLS (Transport Layer Security)作为 SSL (Secure Sockets Layer)协议的后继者,是目前网络通信中应用最广泛的密码协议,也是把密码学应用到实际中最重要、最典型的实例之一。TLS 1.2是目前最常用的TLS版本,主要用于保护通过HTTPs传输的信息,为各种应用提供安全的通信信道,比如电子货币交易、邮件传输、VPN以及手机安卓应用等等。 Continue reading

TLS 1.3概述

作者:李新宇 中科院软件所

TLS 1.3是IETF正在制定的TLS 新标准。TLS 自标准化至今已有近20年的时间,自1999年TLS 1.0标准颁布,到后来的TLS 1.1(2006年)和目前得到广泛使用的TLS 1.2(2008年),TLS是保障网络传输安全最重要的安全标准之一。然而,广泛的应用也使得TLS成为了攻击的“众矢之的”,这些攻击或利用TLS设计本身存在的不足(如幸运十三攻击[1]、三次握手攻击[2]、跨协议攻击 [3]等),或利用TLS所用密码原语本身的缺陷(如RC4加密 [4]、RSA-PKCS#1 v1.5加密 [5]等),或利用TLS实现库中的漏洞(如心脏出血攻击[6]等)。面对这一系列的攻击,一直以来我们采取的措施是“打补丁”,即针对新的攻击做新的修补。然而,由于TLS的应用规模过于庞大,不断地打补丁在如此大规模的实际应用中并不容易全面实施。除此之外,交互双方必须运行复杂的TLS握手协议才能开始传输信息,很多情况下我们希望在握手轮数和握手延迟方面可以有更多的选择。出于以上以及其他种种因素的考虑,IETF从2014年开始着手制定一个“clean”的TLS1.3。 Continue reading

蚂蚁金服与InForSec联合发布2017年百万科研基金

蚂蚁金服与InForSec联合发2017年百万科研基金

近期,蚂蚁金服与InForSec网安国际学术论坛联合发起《2017科研基金计划》,聚焦当下的互联网产学研热点、助力青年学者学术研究,将科学研究成果与产业发展需求有效结合、不断创新,以推动行业发展。即日起到2017年6月30日,开放申报通道。申报请关注蚂蚁金服评论公众号,并点击本文后的“阅读原文”下载申报表(现场答疑见文末)。相关内容如下: Continue reading

中国电子信息技术年会专题论坛三:大数据驱动的网络安全研究与实战

中国电子信息技术年会专题论坛三:大数据驱动的网络安全研究与实战

4月27日,一年一度的中国电子信息技术年会将在石家庄盛大开幕。本次年会以“信息科技驱动智能产业,引领京津冀协同发展”为主题,主论坛加六大专题论坛,来自信息科技领域的院士专家、行业大咖和技术大牛们将就这些引人关注的话题进行深入剖析探讨,一场超乎想象的信息科技高端学术交流与火花碰撞即将呈现。 Continue reading

“软件智能分析”学术沙龙在中科院软件所举办

“软件智能分析”学术沙龙中科院软件所举办

2017年4月14日,“软件智能分析”学术沙龙第一次活动在中国科学院软件研究所成功举行。本次活动由中科院软件所软件智能分析协同创新团队和InForSec论坛共同举办,阿里云安全首席架构师李晓宁、新加坡国立大学梁振凯教授和中科院软件所协同创新团队成员时磊副研究员等出席沙龙并分别做了精彩报告。 Continue reading

大数据驱动的智能化网络安全 ——InforSec学术论坛在南京成功召开

大数据驱动的智能化网络安全

——InforSec学术论坛在南京成功召开

2017年4月17日,网络安全研究国际学术论坛InForSec在南京举办了以“大数据驱动的智能化网络安全”为主题的学术论坛。本次论坛分“大数据与网络空间安全”论坛及“漏洞挖掘与智能攻防”论坛,分别由清华大学教授段海新及美国乔治亚大学教授李康主持。 Continue reading

SSL/TLS的近年相关攻击研究综述(六)

SSL/TLS的近年相关攻击研究综述(六)

证书相关研究

作者:韦俊琳  清华大学

简介

数字证书(简称证书)基于公钥加密机制一种数据结构,可以绑定一个实体的身份和其拥有的公钥。证书可以为两个实体间通信提供安全保障。SSL/TLS也是通过证书来确保客户端和服务器进行安全,保密的通信。服务器发送证书,客户端(如浏览器)检验证书的有效性。然而证书的安全性验证却一直是一个难题。目前针对证书安全性的研究非常广泛,近几年有几项重点的相关研究,值得学习。本文将选择性地总结相关研究。 Continue reading

SSL/TLS的近年相关攻击研究综述(五)

SSL/TLS的近年相关攻击研究综述(五)

协议实现不足的漏洞

作者:韦俊琳 清华大学

简介:SSL/TLS协议的设计是非常复杂的,其中在一些RFC的定义并没有被很好的实现,或者说在实现过程中存在偏差,导致存在着一些致命的漏洞。近几年有很多研究人员对TLS的实现做了深入的研究,如OpenSSL,MatrixSSL等,发现了一些比较有意义的漏洞,如HeartBleed,FREAK等。在发现漏洞的工程中,研究人员开发了很多新的方式,其中利用自动状态机来发现漏洞的方式就具有很强的影响力。

Continue reading