随着物联网（IoT）设备的广泛应用，大量专用设备被部署在家庭、办公室、车辆、公共空间等日常环境中，执行感知和/或控制任务。许多设备处理敏感的个人数据，例如温度、运动、音频或视频等环境感知信息。如果缺乏保护，这些传感数据可能泄露用户隐私。现有技术通常通过认证通信端点、加密传输数据或混淆流量模式来保护传感数据，但这些方法假设设备本身是安全的。然而，针对物联网的攻击规模和频率不断增长，一个关键问题是如何在设备上的所有软件都被攻陷的情况下，仍然保护传感数据。理想情况下，传感数据必须从产生之时起就受到保护，即从物理模拟量转换为数字量并可供软件访问的那一刻开始。本文将此属性称为“从出生即隐私”（Privacy-from-Birth, PfB）。本文形式化定义了 PfB，并设计了一种名为 VERSA（Verified Remote Sensing Authorization）的架构。VERSA 是一种可证明安全且经过形式化验证的架构，保证只有经过预期且明确授权的软件的正确执行才能访问和操作传感接口，特别是通用输入输出（GPIO），它是物联网设备上模拟世界与数字世界之间的常见边界。VERSA 只需极少的硬件支持，即可确保即使所有设备软件都被攻陷，恶意软件也无法访问 GPIO 映射内存中的传感数据，也无法获得任何痕迹。VERSA 已通过形式化验证，其开源实现面向资源受限的物联网边缘设备（常用于传感）。实验结果表明，对于此类设备，PfB 既可行又开销可接受。本文的主要贡献包括：首次形式化定义了 PfB 概念，设计了 VERSA 架构，提供了形式化安全保障，并在真实硬件上验证了可行性。适合安全研究人员、物联网设备设计者以及关注硬件安全、信任根和隔离技术的从业者阅读。

该论文探讨了无线安全摄像头在未购买云订阅（即仅使用免费层）时的安全隐患。许多用户为节约成本只购买硬件而不订阅云服务，这导致摄像头在检测到运动时仅发送警报或提供实时流，但录像功能受限。研究者发现，摄像头在响应运动刺激时产生的无线流量模式会泄露其是否正在上传视频或开启实时查看模式。由此，攻击者（如窃贼）可利用此信息识别出那些未录像或未开启实时流的“弱摄像头”，从而在摄像头监控区域内实施犯罪行为而不被记录。论文提出一种名为WeakCamID的非侵入式技术：通过人工制造运动刺激（如在摄像头前移动物体），同时嗅探摄像头周围的无线流量，分析流量模式以推断摄像头的状态（是否录像/实时流）。该方法无需与摄像头交互，仅依赖被动监听。作者对220名用户进行了调查，结果显示所有用户均认为摄像头无论订阅状态如何都能提供一致的安全保障，而WeakCamID打破了这一“常识”。实验在11款主流无线摄像头上进行，平均识别准确率约95%，识别时间不超过19秒。该研究揭示了免费层带来的隐藏风险，并促使厂商和用户重新评估安全摄像头的实际防护能力。

该论文针对物联网（IoT）安全与零信任（ZT）原则的融合趋势，首次采用多声部文献综述（MLR）方法，系统整合了68篇学术文献和36篇行业报告。研究发现，学术界与工业界在零信任与IoT安全融合的路径上存在互补但分歧的视角：学术界主要关注通过修改IoT设备使其符合零信任原则，而工业界则更侧重于在现有零信任框架（如NIST标准）中实现实用集成。该综述还识别出关键研究空白，包括社会技术理解不足、成本效益评估缺乏以及跨学科合作缺失，并指出这些是未来研究的重要方向。对于安全从业者而言，该论文有助于理解零信任架构在IoT环境中的落地挑战与行业实践差异，为制定策略提供参考。