近日，实验室硕士生吴宇晗（导师袁斌副教授）的论文“SmartPatch: Verifying the Authenticity of the Trigger-Event in the IoT Platform”被 IEEE Transactions on Dependable and Secure Computing (TDSC) 录用。

随着物联网的高速发展，智能家居以新兴物联网云为基础，帮助用户实现智能设备的自动化管理，极大地便利了用户的生活。为了提供更好的设备控制等功能，第三方服务供应商提供了功能强大的编程框架，以SmartThings为例，它将控制逻辑与真实设备分离，使得开发人员创建满足用户需求的应用程序更加容易。然而，研究表明SmartThings存在事件管理方面的安全问题。具体来说，论文首次发现SmartThings云平台中的多个安全漏洞，利用这些漏洞，可以进行伪造事件攻击，如在用户不知情的情况下擅自开锁，这将会严重影响用户的财产和生命安全等。

针对上述安全漏洞，论文提出了基于签名和属性的事件真实性和完整性的验证方法，实现对伪造事件攻击的防御。具体来说，对于设备事件，将在设备事件的生成阶段，根据事件属性生成独特的签名，在触发操作之前进行验证；而对于位置事件，则是通过位置事件相关属性进行验证。然后，为了帮助用户加固系统，实现了SmartPatch工具自动修补应用。实验结果表明，论文提出的防御方法可以在兼容现有框架的情况下抵御伪造事件的攻击，以及进一步的模拟攻击、重放攻击，而且SmartPatch工具对官方开源SmartApp和Device Handler的平均修补时间为308.20 ms和254.85ms，工作引入的额外时延基本低于900ms，足够有效。

IEEE Transactions on Dependable and Secure Computing期刊每年出版6期，主要关注计算机及网络安全、可信计算等领域的前沿研究，2021年影响因子是7.329，属于中国计算机学会CCF A类期刊。

（通讯员：吴宇晗）