该论文针对物联网设备准确识别这一关键安全问题，提出了一种基于制造商使用描述（MUD）配置文件的语义识别方法。现有方法通常从数据包或流记录中学习设备签名，但这些低层通信观测的流量模式会随部署环境、软件版本和用户交互而变化，导致识别鲁棒性不足。MUD配置文件通过访问控制条目（ACE）描述设备行为，每个ACE包含协议、端点、方向和端口语义，构成行为原语。论文贡献包括三个方面：第一，利用28个公开MUD配置文件中的1023个ACE实例，构建了紧凑行为文本的ACE级语义表示，并分析其几何特性。实验表明，ACE级表示比整体配置文件嵌入更有效地保留设备级行为区分，且经过白化校准后仍然有效。第二，在受控运行时变化下（包括未见ACE、主机名漂移、部分运行时观测）评估语义ACE匹配性能。精确ACE匹配在规范MUD重叠率高时表现良好，但重叠稀疏或消失时性能急剧下降；而语义ACE匹配能在这些条件下保持有用的识别证据。第三，在包含超过80万条观测流量的真实IoT流量轨迹上评估。结果表明，当存在稳定重叠时精确匹配最强，但在观测早期语义匹配提供更强的识别证据，通常能将正确设备保留在最高候选之中，并在稀疏重叠的运行时流量下保持有效性。该研究为IoT设备识别提供了不依赖流量模式变化的语义级解决方案，特别适用于零日设备或动态环境。

该论文针对 Thread 低功耗无线 Mesh 网络中 IoT 设备难以应用 IETF MUD（制造商使用说明）标准进行网络访问控制的问题，提出了 MeshGuard 框架。MUD 标准依赖完整 IP 协议栈，而 Thread 设备因资源受限仅支持部分 TCP/IP 功能，现有扩展方案仅适用于单一边界路由器的简单拓扑，无法应对多边界路由器的大规模部署。MeshGuard 对 Thread 的 Mesh 链路建立（MLE）协议进行了扩展，使受限设备能将其 MUD URL 信息通过 MLE 消息传递给任意数量的边界路由器，无需依赖上层网络层。同时引入软件定义网络（SDN）技术，在多个异构边界路由器之间同步访问控制列表（ACL），实现统一的策略实施。实验基于 nRF5340、nRF52833 等真实硬件和 Raspberry Pi 3 构建原型，测试结果表明：与现有方案相比，MeshGuard 在增强安全性（如防止非法流量绕过）的同时，仅引入极小的运行时开销（CPU 和内存占用增加 <5%），且随着边界路由器数量增加，控制面同步延迟呈线性增长，验证了其良好的可扩展性。该工作为大规模 Thread 网络提供了一种实用的、基于标准的零信任访问控制方案。

本文提出 FIDEM，一个符合 MUD（Manufacturer Usage Description）标准的框架，用于安全绑定 IoT 设备与其 MUD 配置文件。MUD 标准允许制造商通过在线 MUD 文件指定设备的预期网络流量，从而在网络边缘实施访问控制。设备会广播一个指向该文件的 URL，但标准并未定义如何安全地将设备与其配置文件绑定。这导致恶意设备可以通过广告其他合法设备的 MUD URL 来操纵网络策略执行。现有解决方案存在依赖公钥基础设施（PKI）、不符合标准、需要制造商过多参与或无法支持安全配置文件更新等问题。FIDEM 通过基于零知识证明（ZKP）的认证机制，在 DHCP 扩展中实现设备与配置文件的加密绑定，无需 PKI，最小化制造商参与，并支持安全配置文件更新。形式化分析表明，FIDEM 能抵御比先前工作更强的攻击者模型，包括供应链妥协和利用合法设备作为加密预言机的攻击。在 ESP32-S3 和 ESP32-C6 两种参考受限设备上的实际评估显示，与标准 DHCP 相比，FIDEM 仅引入约 5ms 延迟和 20mJ 能量开销，相较于基于证书的方案速度提升约 20 倍，能耗降低 35%。该研究为 IoT 安全策略的自动实施提供了实用且符合标准的解决方案。