Технология, которая позволяет быстро, автоматизированная идентификация физических объектов, является также главным продуктом для многих отраслей промышленности – фабрики и склады используют его, чтобы отследить инвентарь и управлять системами поставок, фармацевтические компании развертывают его, чтобы отследить наркотики, и курьерские службы используют его, чтобы пометить доставки. Но что произошло бы, если бы технология RFID поставилась под угрозу?«Нарушение правил безопасности в заявлениях RFID пропустило бы ценную информацию о физических объектах лишенным полномочий сторонам», говорит Ли Йингджиу, Адъюнкт-профессор в Школе Singapore Management University (SMU) Информационных систем. Профессор Ли, эксперт по безопасности RFID и частной жизни, а также другие аспекты мобильной безопасности, пытается встроить лучшие гарантии в технологию.
Улучшение протоколов безопасности RFIDПоскольку работа признаков RFID телерадиовещательной информацией к электронным RFID-считывателям, нарушения правил безопасности могут произойти, если хакеры подслушивают этот разговор и умеют получить доступ к или вмешаться в информацию.
Последствия такого нападения могли быть серьезными, говорит профессор Ли. «В контексте управления цепями поставок, например, это означает, что промышленный шпионаж может получить конфиденциальную информацию об уровнях инвентаря, объемах торговли, торговых партнерах, и даже бизнес-планах», объясняет он.Чтобы защитить связи между признаками и читателями, профессором Ли и его командой проектируют и проверяют новые протоколы RFID с расширенными механизмами безопасности, такими как те в 2010 учатся, «Достигая высокой степени безопасности и эффективности в RFID-теговых системах поставок», издал в Международном журнале Прикладной Криптографии. Эти стратегии включают создание непредсказуемой продукции протокола, создание двух признаков, неразличимых хакеру и препятствованию тому, чтобы хакеры получили полезную информацию, даже если им удается взаимодействовать с признаками.
Кроме того, есть много случаев, где разделение информации RFID – между поставщиками и ритейлерами, например, или между различными компонентами Интернета Вещей – обладало бы очевидными преимуществами, говорит профессор Ли. Но без соответствующих средств управления безопасностью, однако, большинство компаний отказалось бы сделать ценные данные легко доступными.
Чтобы решить эту проблему, команда профессора Ли также проектирует улучшенные механизмы управления доступом, которые защищают информацию RFID, когда это разделено в Интернете.Безопасность смартфона стресс-тестирования
Мы на самом деле несем RFID вокруг в наших карманах – системы мобильного платежа, такие как Apple Pay и Google Wallet используют специализированную форму технологии. Учитывая нашу увеличивающуюся уверенность в смартфонах для повседневных функций – банковских операций и бесконтактных платежей, например – мобильная безопасность стала областью жизненной важности.Профессор Ли особенно владеет мастерством пронюхивания потенциальных слабых мест в операционных системах смартфона. В 2012 его команда определила много нападений, которые хакеры могли использовать, чтобы предназначаться для Apple iPhone.
Кодекс, чтобы пойти в это наступление – который включал взламывание код-пароля, вмешательство с или контроль функциональности телефонии и отправление твитов без разрешения пользователя – мог быть включен в рамках сторонних приложений, которые были доступны в магазине iTunes.Команда сообщила об их результатах службе безопасности Apple, и компания включила эти лазейки, когда ее новая операционная система была выпущена в следующем году. Они также описали свои результаты в статье 2013 года, «Идя в универсальное наступление на iOS с принятыми сторонними заявлениями», которая была издана на Слушаниях Прикладной Криптографии и сетевой безопасности: 11-я Международная конференция, ACNS 2013.
Позже, команда профессора Ли также сообщила о слабых местах структуры Android и потенциальных нападениях к Google, который продолжал признавать результаты группы SMU в ее бюллетенях безопасности. Команда также развивала ряд аналитических инструментов уязвимости смартфона в сотрудничестве с китайской телекоммуникационной компанией Huawei; два патента, являющиеся результатом этого проекта, были оценены как «потенциально высокая стоимость» компанией.
«Мы видим возможности работать с промышленностью в этой области, потому что для производителей смартфонов важно сделать их продукты лучше с точки зрения безопасности», говорит профессор Ли.Устранение разрыва между академией и промышленностьюЕсть много ситуаций, которым владельцы данных могут не полностью доверять поставщикам услуг – когда мы храним данные в облачных сервисах или обмениваем их по безопасным передающим системам, например. В сотрудничестве с профессором Робертом Дэном, также в Школе SMU Информационных систем, профессор Ли теперь работает, чтобы развивать новые решения для основанного на признаке шифрования – форма шифрования, которое дает владельцам данных лучший контроль над тем, кто может получить доступ к их данным.
Решения пары, говорит профессор Ли, которого они разделили в статье, «Полностью безопасная ключевая политика основанное на признаке шифрование с зашифрованными текстами постоянного размера и быстрое декодирование», для АЗИИ CCS ’14: у Слушаний 9-го Симпозиума ACM по информации, Компьютеру и Коммуникационной безопасности, есть много применений в реальных сценариях.Несмотря на его обещание, однако, выводя это исследование рынка, все еще оказывается, проблема. «В то время как мы можем доказать в теории и прототипах доказательства понятия использования, что наше решение лучше, чем существующие решения с точки зрения безопасности и гибкости, все еще трудно убедить промышленность принимать его, не развивая его в конечный продукт», указывает профессор Ли.Действительно, одна из самых сложных задач области защиты информации – расширяющийся промежуток между академией и промышленностью, говорит он.
В то время как люди в промышленности знакомы с рынком, они главным образом изолированы от ультрасовременного исследования; с другой стороны академики обращают слишком много внимания на исследование и недостаточно на понимание рынка.«Будущее защиты информации, в моем видении, то, как сократить разрыв и соединить эти два сообщества, у которых есть совершенно другие стимулы и критерии оценки», говорит профессор Ли.
С его стороны он добавляет, он стремится исследовать способы увеличить промышленное воздействие его исследования.