近日，第31届国际网络和分布式系统安全研讨会议（The Network and Distributed System Security, NDSS 2024）在美国加州圣地亚哥召开，国家网络安全学院2022级硕士生肖悦在本届大会上做学术报告。

报告题目为“From Hardware Fingerprint to Access Token: Enhancing the Authentication on IoT Devices”（从硬件指纹到访问令牌：增强IoT设备的认证），论文指导老师为国家网络安全学院王骞教授，与清华大学李琦教授、清华大学徐恪教授、浙江工业大学张晓丽教授、George Mason University Sun Kun教授合作完成。清华大学博士生何艺（共同第一作者）、清华大学博士生谢仁杰也参与了该研究工作。

图注：基于硬件指纹为用户指令生成认证令牌的流程

嵌入式设备逐渐走进了人类生活，出现在我们生活的方方面面。然而，传统基于令牌（Token）的认证面临着严重的令牌伪造风险。作者结合IoT设备的实际场景，探讨了“如何在不安全的信道下提供安全可靠的设备身份认证”这一问题。作者首先系统调研了IoT设备上的硬件指纹信息，对硬件指纹进行了挖掘与归类。其次，基于硬件指纹，作者利用消息映射、数据投毒等手段为每一条用户指令生成特定的访问令牌，实现了指令级别的令牌绑定。在完成认证的同时，可以成功抵御中间人篡改攻击、硬件模仿攻击、软件模仿攻击等各类攻击。作者在3种共计60台不同设备上进行了实验，认证正确率达到97%。在抵御不同攻击的防御效果上，攻击者篡改攻击的成功率低于0.1%，硬件模仿攻击的成功率低于10%，软件模仿攻击的成功率低于2%。实验结果显示了设计方案的安全性和有效性。本成果原文、论文代码、分享录像已在网上公开，详情请见https://nisplab.whu.edu.cn/Publications.htm。

NDSS是国际公认的信息安全领域旗舰会议，与IEEE S&P、USENIX Security、ACM CCS并称为信息安全领域国际四大顶级学术会议，也是中国计算机学会（CCF）推荐的A类会议。