下载本文的 PDF 版本 PDF

使用 FDO 和非信任安装程序模型的设备入职

FDO 的非信任模型与 Wi-Fi Easy Connect 进行了对比,以说明每种机制的优势。

杰弗里·H·库珀

物联网 (IoT) 市场已发展成为一项重要的业务,数百万台设备和服务器致力于跟踪、记录和测量现实世界的功能。这涵盖了社会的许多领域,包括家庭、零售、制造业、街道照明和交通运输。

所有这些领域的设备都具有一个重要的共同特征:它们最初都是在某种所有权下制造的,并且都被转移到其目标应用程序中,归属于另一个所有权。只有在目标环境中,物联网设备才能在与支持服务器交互的同时执行其预期功能。挑战在于以快速、可靠和安全的方式设置这种交互。这个过程被称为入职

表 1 概述了本文中简化的入职术语。机器和人类实体都参与其中。入职涉及在目标设备和目标服务器之间建立信任,并具有足够的机制,以便服务器随后可以与设备通信并控制其部分或全部功能。安装程序是一个人,被信任将物理设备安装在特定位置;报告哪个设备安装在哪里;以及将设备连接到电源,并在必要时连接网络电缆或无线网络。在某些情况下,安装程序使用统称为配置器的工具与设备和服务器上的程序进行交互。

Device Onboarding using FDO and the Untrusted Installer Model

入职物联网设备最简单的方法是让安装程序(人员)将设备重置为出厂设置,然后手动安装应用程序访问目标服务所需的所有软件和凭据。当安装程序按下最终的回车键时,设备即完成入职并投入使用。

这是传统应用程序中设备入职的默认模型,但其扩展性较差。可能出现的问题包括

解决所有这些问题的显而易见的答案是自动化入职流程。通常,这意味着运行一个脚本,该脚本在设备上安装所有正确的软件和凭据,验证安装,然后保护设备的安全。要安装和运行脚本,需要设备至少禁用某些安全性,因此脚本还必须启用安全性。

但是设备无法免受运行入职脚本的安装程序的侵害。安装程序需要特权状态(例如,root 访问权限)和对添加到设备的所有凭据的可见性。在入职完成的那一刻,以前受信任的安装程序就成为错误或攻击的薄弱环节。如果安装程序是另一家公司或组织的合同雇员,那么在公司安全边界之外知晓这些秘密本身就构成了内置的安全漏洞。

另一种选择是自动化入职,因此坚持“最小权限”原则的安装程序仅为了物理安装和启动自动入职过程的目的而访问设备和服务器。安装程序永远不会了解足够的信息来破坏入职期间创建的安全关系。

各种机制用于在自动入职中为安装程序实施最小权限访问,例如信任安装程序非信任安装程序协议。在信任安装程序协议中,安装程序(人员)传输特定信息,使设备和服务器能够建立信任。在此之后,设备和服务器执行入职协议的其余部分,因此安装程序不会了解入职过程派生的凭据。在非信任安装程序协议中,安装程序在入职通信协议中不扮演任何角色。设备和服务器必须使用预编程的凭据和/或网络环境中的线索来相互查找。

信任安装程序模型的一个示例是 Wi-Fi 联盟的 Wi-Fi Easy Connect 协议,该协议允许设备连接到本地 Wi-Fi 路由器。12 安装程序运行连接到同一路由器的配置器应用程序。入职的目标是网络准入;为入职传递的凭据相对简单。

FDO(FIDO 设备入职)协议是非信任安装程序的示例。6 在 FDO 中,为每个设备颁发一个显式凭据,称为所有权凭证。此凭据安装到服务器中,以允许设备入职。FDO 是应用程序入职的一个示例,因此它具有丰富的原语集,允许配置凭据和其他入职材料。

本文研究了这些协议中的每一个,以对比信任和非信任安装程序模型进行入职。

 

入职的基本密码学

入职协议使用密码学。虽然这不是关于入职密码学方法的讨论,但对这些技术的基本概述是必要的。

正在讨论的两种协议使用的密码学细节各不相同,但基本组件符合以下模型。

首先,服务器和设备必须进行身份验证,以便彼此确认对方入职的可信度。在某些协议中,服务器身份验证基于环境,被认为是可选的。

客户端(设备)身份验证始终是强制性的。身份验证通常使用数字签名。在某些情况下,公钥被包装在数字证书中,通常采用 X.509 格式,这意味着 PKI(公钥基础设施)。5

由于证书具有到期日期,并且由于供应链中的设备可能会在货架上放置数月才安装,因此传统的 PKI 方法对自动入职提出了挑战。有时,为此目的会延长到期日期。或者,部署不带证书的公钥密码学,以便公钥的密码材料仅被协议字段包围。

身份验证后,执行密码密钥交换。1 一种流行的方法是 ECDH(椭圆曲线 Diffie-Hellman)。由于 ECDH 容易受到所谓的 MITM(中间人)攻击,11 因此在这种情况下也需要数字签名。身份验证和密钥交换元素有时在协议中组合在一起,以便一个数字签名可以同时覆盖身份验证和密钥交换,同时还可以优化消息往返次数。这使得将协议消息映射到上述操作变得更加困难。

密钥交换建立设备和服务器独有的共享秘密。KDF(密钥派生函数)3 用于生成通用凭据并在服务器和设备之间建立经过身份验证的加密隧道。然后可以通过隧道共享入职信息,这些信息仅对隧道“两端”的设备和服务器可见。

 

Wi-Fi Easy Connect

Wi-Fi Easy Connect 是 Wi-Fi 联盟 WPA3(Wi-Fi Protected Access 3)的一项功能。它使用信任安装程序模型提供设备的自动配置以访问 Wi-Fi 网络。安装程序使用配置器程序,该程序必须已连接到目标网络。

配置器可以是手机或 Wi-Fi 网关上的应用程序。它在入职中承担服务器角色,与设备建立信任,并与其共享网络的凭据。之后,设备可以使用这些凭据根据需要进入网络。

Wi-Fi 联盟规范很复杂,它是为满足许多不同的通信要求而开发的。Wi-Fi Easy Connect 有许多选项,并且可以与其他 Wi-Fi 标准交互。本文描述了这些标准中的简化单路径,并非旨在代表集体 Wi-Fi 标准的全部功能。(有关更多详细信息,请参阅 Wi-Fi Easy Connect 规范。12

为了支持 Wi-Fi Easy Connect,设备包含一个识别非对称密钥对。私钥嵌入在设备中,并且只有设备的软件或固件才能访问。公钥印在设备随附的 QR 码(矩形扫描码)上,可能在背面贴的标签上。QR 码中还存在其他信息(例如,频段列表),但不会影响入职的完整性或安全性。Wi-Fi Easy Connect 也可以使用 QR 码以外的机制。

希望将新设备连接到网络的安装程序使用配置器扫描设备的 QR 码。此操作标识设备并授权配置器对其进行入职。设备(仍然断电)现在可以使用其私钥对其自身进行身份验证。默认情况下,配置器到设备没有强身份验证。Wi-Fi WPA3 可选择添加双向身份验证(例如,对于企业网络)。图 1 说明了使用 Wi-Fi Easy Connect 的安装过程。

Device Onboarding using FDO and the Untrusted Installer Model

接下来,安装程序打开设备电源。由于设备尚未连接到 Wi-Fi 网络,因此它会发送广播 Wi-Fi 信标消息以宣布其可用性。这允许配置器感知设备并使用称为 Wi-Fi Direct 的一对一 Wi-Fi 连接连接到设备。如果由于硬件限制而需要,配置器可以暂时断开与目标 Wi-Fi 网络的连接,而仅与设备通信。

一旦配置器连接到设备,设备就会启动密钥交换协议,该协议使用其私钥签名。配置器从 QR 码扫描中收到设备的公钥后,使用它来验证签名和密钥交换,并共享其自己的密钥交换信息,从而可以创建互共享秘密。从这个共享秘密中,派生出用于身份验证和加密的密钥,足以创建一个安全、经过身份验证的加密隧道。入职有效负载通过此隧道传输,其中包含目标 Wi-Fi 网络的长期参数。例如,可能会传输家庭网络的 SSID(服务集标识符)和密码。

一旦收到入职有效负载并确认,入职操作即完成。设备和配置器终止其私有连接,并且配置器继续作为目标 Wi-Fi 网络的成员。设备现在也能够使用其下载的网络参数连接到目标网络。

尽管 Wi-Fi Easy Connect 的入职有效负载很小,但这并不是该技术的限制。由于它创建了经过身份验证的隧道,因此信任安装程序方法能够向设备预配任意大小的有效负载。

信任安装程序已充当入职的关键组件,选择要入职的设备并选择要与设备交互的网络和配置器程序。即便如此,也不需要安装程序修改设备的软件或固件,或者对设备执行任何重大操作,只需打开电源即可。尽管安装程序已安排在设备和配置器之间共享凭据,但设备和配置器都不需要向安装程序公开这些凭据。

实际上,只要安装程序可以使配置器扫描条形码,安装程序实际上可能根本无法登录到网络。对安装程序的信任仅限于介绍性角色。例如,家用路由器可能包含配置器程序(和条形码扫描仪),从而无需安装程序访问本地网络。安装家用洗碗机的管道工可以使用家庭网关扫描 Easy Connect QR 码,并提供洗碗机对家庭网络的访问权限。随安装程序离开的唯一网络信息是新洗碗机已连接到网络。

另一方面,仅仅在家中可能并不意味着安装程序就值得信任。配置器必须通过临时机制来保护;否则,在家中或附近的人都可以将设备接入家庭网络。例如,具有配置器访问权限的访客可以安装并留下一个摄像头,该摄像头将视频流式传输到互联网。

如果配置器程序是安全的,则信任安装程序为入职设备提供了一种强大且易于实施的技术。它通常用于家庭网络中的设备。在商业或工业环境中,当与安装程序的信任关系得到充分理解时,它是合适的。例如,这可能要求只有直接雇员才能在企业网络中承担信任安装程序角色。

 

FDO 凭据

FDO 通过凭据之间的交互来实现,这些凭据包括

 

FIDO 设备入职

FDO 由 FIDO 联盟作为标准发布。它是 FIDO 联盟 IoT 技术工作组的第一个技术出版物。FDO 与 FIDO 以前发布的基于身份验证的标准(有时称为 FIDO2)不同。7 此处的描述基于 FDO 1.1 版。6

FDO 数据格式建立在多个 IETF(互联网工程任务组)标准之上。FDO 消息和数据对象(包括所有权凭证)使用 CBOR(简洁二进制对象表示)格式进行编码。2 数字签名使用 COSE(CBOR 对象签名和加密)格式10 或 EAT(实体证明令牌)。8

FDO 是一种基于非信任安装程序模型的自动入职协议。由于安装程序不被信任参与协议,因此没有配置器角色。服务器和设备拥有入职设备所需的所有信息。安装程序所做的只是按下设备的电源按钮。

在 FDO 中,当设备初始化时(通常在制造过程中)会创建两组相关的凭据。一组凭据放置在设备中。另一组凭据用于创建称为所有权凭证的对象。它在密码学上链接到设备的凭据,允许使用凭证来验证服务器。图 2 说明了使用 FDO 的安装过程。

Device Onboarding using FDO and the Untrusted Installer Model

设备和服务器都通过非对称密钥对进行标识。设备的私钥隐藏在设备中,设备的公钥位于设备制造商创建的 X.509 证书中,该证书本身嵌入在所有权凭证内。服务器通过非对称密钥对进行标识。私钥位于服务器中,公钥位于所有权凭证中。

所有权凭证的创新之处在于,它允许在不知道服务器凭据的情况下制造和分发设备。

所有权凭证最初包含设备制造商拥有的公钥。此公钥也嵌入在设备中。当设备发送给供应链合作伙伴时,所有权凭证会扩展为包含合作伙伴的公钥,并由制造商签名。这相当于为第三方背书银行支票。合作伙伴可以使用数字签名进一步扩展所有权凭证,直到最终扩展到希望入职设备的服务器。此服务器现在使用所有权凭证、设备凭据和 FDO 协议来入职设备。

所有权凭证中的签名链形成一条信任链,该链反映了供应链。其逻辑是,允许物理设备与其基本配置一起使用的相同信任也允许对其进行入职。相反,如果设备入职失败,则通过相同的供应链退回故障设备。所有权凭证签名链最初由英特尔公司的 Ernie Brickell 提出。

所有权凭证中的签名账本允许设备根据“按需确定”的基础从供应商路由到供应商。分销商可以储备大量设备,然后通过将所有权凭证签名扩展到发货目标,将设备发送给其他分销商或最终客户。扩展所有权凭证需要为预期的产品目的地提供或保留公钥。

为了帮助理解这种新的数据结构,以下几个账本的“构建规则”很有帮助。对于供应链的给定子段

  A. 如果每个实体独立决定设备的下一个目的地,则所有权凭证的账本包含每个实体的密钥。

  B. 如果一组任意实体始终将设备路由到一个目的地,则所有权凭证的账本仅包含该一个目的地。

规则 A 适用于经销商,他们随着买家的出现而扩展供应链。规则 B 适用于交付服务和预定的供应链。

规则 B 也适用于所有设备都入职到单个云服务的情况。在这种情况下,有一种技巧是可能的,即云服务为每个租户分配一个用于 FDO 的密钥。设备制造商将每个所有权凭证扩展到购买租户的密钥,而不是拆开设备包装以插入租户令牌。当设备入职时,所有权凭证中的密钥标识租户。

选择 128 位的密码学随机标识符作为 FDO 的设备标识符,或 GUID(全局唯一标识符),并将其存储在设备和所有权凭证中。这充当协议的标识符,使服务器更容易为给定设备选择正确的所有权凭证。随机性使得攻击者难以预测 GUID 值。GUID 一直持续到设备成功入职;然后将其替换为新的 GUID。

 

FDO 协议

FDO 指定了四种协议

在可以直接找到预期服务器的特殊环境中(例如,使用网络广播),可以跳过 TO0 和 TO1 协议,而 TO2 协议可以独立存在。

 

网络连接

作为应用程序入职协议,FDO 没有专门解决网络层连接问题。对于未经身份验证的有线以太网,安装程序插入连接器。对于 Wi-Fi 网络,FDO 使用具有固定参数的 Wi-Fi 网段作为入职网络。这可以限制为通用访问。或者,可以将 FDO 设备手动连接到 Wi-Fi 网络。

已经提出了将 FDO 主机自动连接到 Wi-Fi 网络的机制,这是 FDO 积极开发的领域。

 

设备和服务器 rendezvous(TO0 和 TO1 协议)

当 FDO 设备首次通电时,它具有其 FDO 凭据,但没有关于其连接的网络或服务器身份的信息。找到正确的服务器是它的首要任务。“正确”的服务器是指具有包含设备 GUID 的所有权凭证的服务器。这是通过 rendezvous 服务器以及 TO0 和 TO1 协议完成的。

所有权凭证和设备凭据包括查找兼容 rendezvous 服务器集的说明。预期服务器使用 TO0 协议向 rendezvous 服务器注册其 GUID 及其地址(例如,IP 地址和 TCP 端口)。设备在其 TO1 协议中使用其 GUID 来获取预期服务器的地址。然后,设备使用 TO2 协议直接向服务器进行身份验证。

rendezvous 协议在概念上类似于 DNS 查找,但具有一些优势

一种转义允许特定于网络的机制替代 rendezvous 协议。例如,企业网络可以使用 DNS_SD(DNS 服务发现)机制来查找 FDO 所有者。4

 

使用 TO2 协议入职

已安装的设备首先使用 rendezvous 协议确定预期服务器的位置。然后,它使用 TO2 协议尝试入职到此服务器。如果 TO2 协议不成功,则设备会尝试其他 rendezvous 服务器(如果有),然后延迟并重复该过程。

TO2 协议首先进行设备和服务器的相互身份验证。通过基于设备密钥生成证明来验证设备的身份。证明使用 EAT 和配置的设备密钥。服务器可以使用所有权凭证中提供的设备证书来验证 EAT 消息。

服务器通过“遍历”所有权凭证签名链并到达服务器自身的公钥来验证身份。(请参阅本文前面关于所有权凭证的描述。)然后,服务器对质询进行签名以验证自身身份并完成相互身份验证。

接下来,执行密钥交换(通常是 ECDH 操作)以在连接上创建共享秘密。共享秘密通过密钥定义函数传递,以获得凭据以创建经过完整性验证的加密隧道。在实际的 FDO 协议消息中,身份验证和密钥交换操作打包在一起,以允许身份验证消息也授权密钥交换。

一旦 FDO 加密隧道完成,协议即进入入职阶段。由于 FDO 旨在用于通用应用程序入职,因此此阶段的行为是灵活的。连接转换为允许子协议运行,称为 FSIM(FDO 服务信息模块)。由于它们仅在加密隧道上运行,因此 FSIM 操作对于特定的服务器和设备是独有的,并允许服务器使用密码隐私和安全性将凭据配置到设备中。

FSIM 的基本集提供

对于命令处理能力有限的设备,可以添加自定义 FSIM 以执行固件更新或访问安全元件或可信平台模块 (TPM) 等设备。

从概念上讲,服务器所有者为每种设备开发和维护一个脚本,该脚本调用 FSIM。随着 FSIM 变得更加标准化,很可能使用单个脚本入职各类设备,这可能是基于操作系统(例如,基本 Linux 功能)。

具有特殊硬件或固件的设备需要自定义命令;这些可以使用适合此类硬件的 FSIM 进行抽象。例如,CSR FSIM 处理 TPM 和安全元件的密钥预配功能以进行入职。从特定设备特性到通用设备特性的演变在 FDO 中尚处于早期阶段。

入职期间的失败会导致设备再次运行 FDO。从部分入职中恢复取决于服务器;FSIM 中的幂等操作可以提高部分入职后的稳健性。

当所有入职操作都成功完成后,服务器会下载设备凭据的关键元素的替换项。这会使以前的所有权凭证副本无效。设备会响应信息以创建新的所有权凭证,只有入职服务器拥有该凭证。然后,设备设置一个标志,指示入职已完成,完成协议连接,然后重新启动自身。当设备启动时,该标志会导致其绕过 FDO 处理,并且设备根据 FDO 入职的结果投入使用。

由于 FDO 以一组新的设备凭据和匹配的所有权凭证结束,因此可以根据需要再次使用 FDO 协议。例如,可以在几个月后使用新的所有权凭证使用 FDO 来重新调整设备的用途,但是它没有用于准备重新调整用途的设备的独立功能。此功能必须由设备管理机制在重新启用 FDO 之前处理。

 

信任和非信任安装程序技术的比较

信任和非信任安装程序技术在安装设备时表现出不同的权衡。本节讨论每种技术的实用性。信任和非信任安装程序技术都允许自动安装复杂设备,并且都解决了入职的基本问题

对于信任和非信任安装程序技术,建立对设备的信任都是通过使用设备中密钥的数字签名来完成的。密钥(如果安全存储)在供应链的公钥或证书的上下文中建立设备的身份。作者的经验是,即使在转售情况下,设备制造商的密钥和证书也是用户最容易接受的。也许用户认为设备的质量基于制造商的声誉,而这种声誉延伸到证书。

在 Wi-Fi Easy Connect 中,设备的公钥由信任安装程序传达给服务器。该协议对安装程序保密入职信息,因此入职的安全性不受影响。对安装程序的信任会影响设备选择的准确性。如果环境中有不太受信任但仍有权访问配置器的人员,这可能会影响结果的安全性。例如,如果朋友或访客有权访问家庭 Wi-Fi 网络(和配置器),他们可以冒充安装程序并将设备接入网络。

如前所述,服务器身份验证是 Wi-Fi Easy Connect 的一个选项。

在非信任安装程序方面(FDO),所有权凭证具有与服务器绑定的显式信任机制,可防止攻击者冒充服务器的信任。通过这种方式,FDO 将供应链的信任扩展到识别服务器,但代价是在供应链中传输新对象。

为了便于安装,FDO 不需要安装程序执行任何协议操作。信任安装程序协议需要特定的安装程序操作,但这些操作高效且简单。

在大型安装中,可能难以并行排序信任安装程序操作。当入职许多设备时,信任安装程序花费的时间会累积起来。信任安装程序安装 1,000 台设备会花费大量时间扫描 QR 码。Wi-Fi Easy Connect 规范可以选择组合多个 QR 码(例如,在包装“智能”灯泡的包装上)。但是,这项技术尚未扩展到商业安装级别。

相比之下,非信任安装程序能够并行入职设备,并且设备在通电后自主入职。安装程序时间与安装时间重叠。

在封闭网络(无互联网访问)中运行是另一个重要问题。实际上,任何所提出的设备入网技术都不要求直接访问互联网。在 Wi-Fi Easy Connect 中,所有通信都与 Wi-Fi 网络进行。当设备、拥有权凭证的服务器和会合服务器彼此可访问时,FDO 可以进行入网。表 2 总结了可信安装程序和非可信安装程序之间的主要区别。

Device Onboarding using FDO and the Untrusted Installer Model

 

比较总结

 

结论

设备的自动入网是处理日益增多的“边缘”和物联网设备的重要技术。设备的入网与大多数设备管理功能不同,因为设备的信任从工厂和供应链过渡到目标应用程序。为了加快自动入网流程,必须在设备中正式确定供应链中的信任关系,以实现自动化过渡。

自动入网协议的两个通用类别是使用可信安装程序(人员)的协议(以 Wi-Fi Easy Connect 为代表)和使用非可信安装程序的协议(例如 FIDO Device Onboard)。

可信安装程序使用配置工具参与构建设备和服务器之间的信任关系。这种参与可以是可靠的、直接的,并且与对可信安装程序的信任一样值得信赖。然而,如果信任度较低的人员可以访问网络或设施,或者可以冒充可信人员,则入网保证可能会被破坏。可信安装程序设备每次安装都需要一些操作,因此大量安装会导致安装程序开销呈线性增加。

在非可信安装程序的情况下,安装程序可以放置或连接设备,但在信任转移中不起作用。这需要一种外部机制。在 FDO 中,该机制是所有权凭证,并且必须在供应链实体之间传递,并带有授权数字签名。必须仔细选择供应链合作伙伴,因为 FDO 信任关系依赖于他们对所有权凭证的准确处理。在供应链做出这种额外努力之后,入网本身没有每个设备的开销,并且设备可以并行入网。

 

参考文献

1. Barker, E., 等. 2018. 使用离散对数密码学的成对密钥建立方案建议。美国国家标准与技术研究院,计算机安全资源中心 (四月); https://csrc.nist.gov/publications/detail/sp/800-56a/rev-3/final

2. Bormann, C., Hoffman, P. 2020. 简洁二进制对象表示 (CBOR),STD 94, RFC 8949。《RFC 编辑器》。IETF; https://www.rfc-editor.org/info/std94

3. Chen, L. 2022. 使用伪随机函数的密钥派生建议(修订版)。《NIST 技术系列出版物》,美国国家标准与技术研究院; https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-108r1.pdf

4. Cheshire, S., Krochmal, M. 2013. 基于 DNS 的服务发现,RFC 6763。IETF; https://www.ietf.org/rfc/rfc6763.txt

5. Cooper, D., 等. 2008. X.509 证书和证书吊销列表 (CRL) 配置文件,RFC 5280。IETF; https://www.ietf.org/rfc/rfc5280.txt

6. Cooper, G., 等. 2022. FIDO 设备入网规范 1.1。FIDO 联盟; https://fidoalliance.org/specs/FDO/FIDO-Device-Onboard-PS-v1.1-20220419/FIDO-Device-Onboard-PS-v1.1-20220419.html

7. FIDO 联盟。2022. 首页 FIDO 联盟规范概述。FIDO 联盟; https://fidoalliance.org/specifications/

8. Lundblade, L., 等. 2022. 实体证明令牌 (EAT),draft-ietf-rats-eat-15。《IETF Datatracker》。IETF; https://datatracker.ietf.org/doc/draft-ietf-rats-eat/

9. Nystrom, M., Kaliski, B. 2000. PKCS #10:证书请求语法规范版本 1.7,RFC 2986。《RFC 编辑器》。IETF; https://www.rfc-editor.org/rfc/rfc2986

10. Schaad, J., Cellars, A. 2017. CBOR 对象签名和加密 (COSE),RFC 8152。《IETF Datatracker》。IETF; https://datatracker.ietf.org/doc/html/rfc8152

11. Sheffer, Y., 等. 2015. 传输层安全 (TLS) 和数据报 TLS (DTLS) 的已知攻击总结,RFC 7457。《IETF Datatracker》。IETF; https://www.rfc-editor.org/rfc/rfc7457.html

12. Wi-Fi 联盟。2020. Wi-Fi Easy Connect 规范。Wi-Fi 联盟; https://www.wi-fi.org/file/wi-fi-easy-connect-specification

 

Geoffrey H. Cooper 于 1980 年代初期获得麻省理工学院 (Massachusetts Institute of Technology) 的 SB 和 SM 学位。他在 1980 年代和 1990 年代从事网络嵌入式系统开发工作。他于 1998 年成为安全初创公司 “Securify” 的负责人。通过收购,这使他得以在 Secure Computing、McAfee 以及后来的英特尔公司 (Intel Corporation) 工作。他目前是英特尔公司 (Intel Corporation) 的首席工程师,从事自动入网工作已超过五年。

版权 © 2023 归所有者/作者所有。出版权已授权给

acmqueue

最初发表于 Queue 第 21 卷,第 5 期
数字图书馆 中评论本文




更多相关文章

David Collier-Brown - 关于带宽,你一窍不通
当您的员工或客户说他们的互联网性能很差时,带宽可能不是问题。一旦他们拥有大约 50 到 100 Mbps 的带宽,问题就出在延迟上,即 ISP 路由器处理其流量所需的时间。如果您是一家 ISP 并且所有客户都讨厌您,请振作起来。现在,由于一群专门的人员找到了这个问题、解决了这个问题,然后在家庭路由器中验证了他们的解决方案,因此这是一个可以解决的问题。


Brian Eaton, Jeff Stewart, Jon Tedesco, N. Cihan Tas - 通过关键路径跟踪进行分布式延迟分析
低延迟是许多 Google 应用程序(如搜索)的重要功能,延迟分析工具在维持大规模低延迟方面发挥着关键作用。对于包含功能和数据不断演变的服务的复杂分布式系统,将总体延迟保持在最低水平是一项具有挑战性的任务。在大型、真实的分布式系统中,现有的工具(如 RPC 遥测、CPU 分析和分布式跟踪)对于理解整个系统的子组件很有价值,但在实践中不足以执行端到端延迟分析。


David Crawshaw - 一切 VPN 都焕然一新
VPN(虚拟专用网络)已有 24 年的历史。这个概念是为与我们今天所知的互联网截然不同的互联网而创建的。随着互联网的发展和变化,VPN 用户和应用程序也在发展和变化。VPN 在 2000 年代的互联网中经历了尴尬的青春期,与其他广泛流行的抽象概念互动不良。在过去的十年中,互联网再次发生了变化,这个新的互联网为 VPN 提供了新的用途。一种全新的协议 WireGuard 的开发为构建这些新的 VPN 提供了技术基础。


Yonatan Sompolinsky, Aviv Zohar - 比特币的潜在激励机制
激励机制对于比特币协议的安全至关重要,并有效地驱动其日常运行。矿工们竭尽全力最大化他们的收入,并且经常找到创造性的方法来做到这一点,有时这与协议相悖。加密货币协议应建立在更强大的激励机制基础上。还有许多领域有待改进,从挖矿奖励的基础知识及其如何与共识机制互动,到矿池中的奖励,再到交易费市场本身。



© 保留所有权利。

© . All rights reserved.