物聯(lián)網(wǎng)訪問(wèn)控制安全性綜述

劉奇旭 靳 澤 陳燦華 高新博 鄭寧軍 方儀偉 馮 云

1(中國(guó)科學(xué)院信息工程研究所 北京 100093) 2(中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 100049)

物聯(lián)網(wǎng)(Internet of things, IoT)起源于20世紀(jì)90年代末期，最初的概念是建立一套無(wú)線射頻識(shí)別(radio frequency identification, RFID)系統(tǒng)，以實(shí)現(xiàn)智能化的RFID管理[1].隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，物聯(lián)網(wǎng)已經(jīng)從最初的幾個(gè)設(shè)備互相連接的小型網(wǎng)絡(luò)，發(fā)展成了人與物、物與物之間復(fù)雜而龐大的網(wǎng)絡(luò).到了今天我們的生活中的物聯(lián)網(wǎng)設(shè)備已經(jīng)隨處可見(jiàn)，比如智能網(wǎng)關(guān)、智能監(jiān)控、智能手表、智能臺(tái)燈，涉及家具、醫(yī)療、交通、辦公等各個(gè)領(lǐng)域.在2021年，全球的物聯(lián)網(wǎng)市場(chǎng)增長(zhǎng)了22%，達(dá)到了1 580億美元，盡管受到了新冠疫情影響，但增長(zhǎng)速度仍然十分迅猛.根據(jù)IoT Analytics的預(yù)測(cè)，“到2022年全球的物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到145億臺(tái)”[2].在物聯(lián)網(wǎng)產(chǎn)業(yè)飛速發(fā)展的同時(shí)，其所面臨的安全問(wèn)題日益劇增.根據(jù)Gartner在2020年1月發(fā)布的統(tǒng)計(jì)，有大約20%的組織和機(jī)構(gòu)受到過(guò)基于物聯(lián)網(wǎng)的攻擊，絕大部分的組織和機(jī)構(gòu)暴露在物聯(lián)網(wǎng)的風(fēng)險(xiǎn)之下[3].

物聯(lián)網(wǎng)秉承著“萬(wàn)物互聯(lián)”的理念，深入滲透人類社會(huì)生產(chǎn)生活的方方面面，面臨著多種多樣的安全威脅.一方面，物聯(lián)網(wǎng)承載了規(guī)模龐大的隱私數(shù)據(jù)，并且這些數(shù)據(jù)在物聯(lián)網(wǎng)的終端、網(wǎng)絡(luò)、云端之間傳播，擴(kuò)大了隱私數(shù)據(jù)的暴露面，增加了數(shù)據(jù)泄露風(fēng)險(xiǎn)；另一方面，物聯(lián)網(wǎng)具備了一定的控制和操作權(quán)限，一旦被攻擊者滲透并實(shí)施篡改或破壞，將對(duì)人類社會(huì)正常的生產(chǎn)生活造成嚴(yán)重威脅.

近年來(lái)發(fā)生了多起物聯(lián)網(wǎng)相關(guān)的攻擊事件，比如大眾汽車的Polo被發(fā)現(xiàn)其信息娛樂(lè)系統(tǒng)存在安全漏洞，攻擊者有可能獲取大量的個(gè)人信息包括電話聯(lián)系人和位置信息[4].而一些醫(yī)療用途的物聯(lián)網(wǎng)設(shè)備的安全漏洞甚至?xí)绊懭藗兊纳踩?017年就有報(bào)道指出一些植入式心臟起搏器或除顫器存在安全漏洞，攻擊者利用這些安全漏洞可以使得設(shè)備無(wú)法正常工作[5].這些安全威脅不僅可以影響物聯(lián)網(wǎng)設(shè)備的使用者，還可以通過(guò)控制這些物聯(lián)網(wǎng)設(shè)備來(lái)攻擊其他目標(biāo)，比如2016年爆發(fā)的Mirai僵尸網(wǎng)絡(luò)通過(guò)利用物聯(lián)網(wǎng)設(shè)備進(jìn)行了大規(guī)模的分布式拒絕服務(wù)攻擊[6].物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)是物聯(lián)網(wǎng)發(fā)展中的巨大挑戰(zhàn)，如果能成功緩解這些安全危機(jī)，物聯(lián)網(wǎng)將給人們的生活帶來(lái)極大的便利，否則，如果物聯(lián)網(wǎng)漏洞被惡意的組織利用，那么對(duì)國(guó)家的安全、個(gè)人的隱私都會(huì)造成嚴(yán)重的威脅.因此，必須要加強(qiáng)物聯(lián)網(wǎng)在數(shù)據(jù)、資源、權(quán)限等方面的安全研究，提升物聯(lián)網(wǎng)資源請(qǐng)求、權(quán)限授予等訪問(wèn)控制的安全性.

本文將聚焦物聯(lián)網(wǎng)的訪問(wèn)控制，從物聯(lián)網(wǎng)的3個(gè)層次[7]：感知層、網(wǎng)絡(luò)層、應(yīng)用層，分別展開(kāi)探討.訪問(wèn)控制是計(jì)算機(jī)中關(guān)鍵的安全機(jī)制，它通過(guò)控制什么權(quán)限的主體可以訪問(wèn)什么類型的客體，來(lái)保證數(shù)據(jù)和資源免受未經(jīng)授權(quán)的讀取或修改，并且確保合法用戶可以正常訪問(wèn)資源.訪問(wèn)控制作為信息安全的基石，有效地保證了網(wǎng)絡(luò)空間的安全與秩序，一個(gè)完善的訪問(wèn)控制機(jī)制，可以為信息資源建立一個(gè)有效的屏障，以阻止其被非法地讀取或修改，但在新型的物聯(lián)網(wǎng)領(lǐng)域，相關(guān)的訪問(wèn)控制技術(shù)仍然不夠完善.物聯(lián)網(wǎng)有著相比于互聯(lián)網(wǎng)更復(fù)雜的組織架構(gòu)，涉及到應(yīng)用、協(xié)議、硬件、云等一系列的訪問(wèn)控制參與環(huán)節(jié)，無(wú)法像傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用的訪問(wèn)控制一樣簡(jiǎn)單地控制用戶與資源的關(guān)系.物聯(lián)網(wǎng)在不同的場(chǎng)景下需要不同的訪問(wèn)控制策略，因此應(yīng)當(dāng)分層次、分場(chǎng)景地進(jìn)行設(shè)計(jì)，才能有效地保證物聯(lián)網(wǎng)訪問(wèn)控制的安全性[8].

目前，已經(jīng)有學(xué)者就物聯(lián)網(wǎng)安全性問(wèn)題[9-10]、智能家居場(chǎng)景中的安全性[11-12]、物聯(lián)網(wǎng)操作系統(tǒng)安全性[13]等方面的研究工作進(jìn)行了綜述，但還沒(méi)有工作聚焦于物聯(lián)網(wǎng)訪問(wèn)控制的安全性進(jìn)行系統(tǒng)性梳理.鑒于物聯(lián)網(wǎng)訪問(wèn)控制安全性的重要意義，本文對(duì)近10年網(wǎng)絡(luò)與信息安全領(lǐng)域四大頂級(jí)會(huì)議、期刊等來(lái)源的相關(guān)研究進(jìn)行了廣泛調(diào)研與梳理，從物聯(lián)網(wǎng)訪問(wèn)控制的風(fēng)險(xiǎn)脆弱點(diǎn)入手，歸納可能的攻擊面，從而提出應(yīng)有的安全性要求，總結(jié)現(xiàn)有工作進(jìn)展，為后續(xù)進(jìn)一步的研究指明方向.本文的主要貢獻(xiàn)總結(jié)為3個(gè)方面：

1)分析了物聯(lián)網(wǎng)3個(gè)層次間的數(shù)據(jù)流向與信任關(guān)系，提出了物聯(lián)網(wǎng)訪問(wèn)控制信任鏈模型，圍繞3個(gè)層次并結(jié)合信任鏈帶來(lái)的風(fēng)險(xiǎn)傳遞，調(diào)研并總結(jié)了現(xiàn)有物聯(lián)網(wǎng)訪問(wèn)控制的安全威脅研究，在物聯(lián)網(wǎng)不同層次結(jié)構(gòu)中分析了其安全問(wèn)題和暴露出的攻擊面；

2)調(diào)研并總結(jié)了不同層次結(jié)構(gòu)中針對(duì)不同的訪問(wèn)控制安全問(wèn)題和攻擊方法的解決方案以及應(yīng)有的安全性設(shè)計(jì)要求；

3)基于現(xiàn)有的研究基礎(chǔ)，分析了物聯(lián)網(wǎng)訪問(wèn)控制安全性研究的挑戰(zhàn)與機(jī)遇，并給出了未來(lái)的研究方向.

1 研究背景

本節(jié)首先對(duì)相關(guān)的研究背景與基礎(chǔ)知識(shí)進(jìn)行介紹，明確物聯(lián)網(wǎng)及訪問(wèn)控制領(lǐng)域的相關(guān)概念，并提出一個(gè)針對(duì)物聯(lián)網(wǎng)復(fù)雜組織架構(gòu)的“信任鏈”概念，從而探討安全的物聯(lián)網(wǎng)訪問(wèn)控制設(shè)計(jì).

1.1 物聯(lián)網(wǎng)基礎(chǔ)知識(shí)

設(shè)備、網(wǎng)絡(luò)協(xié)議、云平臺(tái)和應(yīng)用App之間的相互作用構(gòu)成了物聯(lián)網(wǎng)的體系大廈，學(xué)術(shù)界通常將物聯(lián)網(wǎng)系統(tǒng)的體系架構(gòu)分為感知層、網(wǎng)絡(luò)層、應(yīng)用層3個(gè)層次[10].感知層對(duì)應(yīng)的是物聯(lián)網(wǎng)各類設(shè)備，其上搭載了紅外感應(yīng)、射頻識(shí)別等多種類型的傳感器，主要負(fù)責(zé)識(shí)別和采集物理世界的數(shù)據(jù)；網(wǎng)絡(luò)層對(duì)應(yīng)的是各類通信協(xié)議，負(fù)責(zé)在感知層和應(yīng)用層之間傳遞數(shù)據(jù)；應(yīng)用層對(duì)應(yīng)的云平臺(tái)和應(yīng)用App中的各類接口和服務(wù)，也是用戶與物聯(lián)網(wǎng)的接口，負(fù)責(zé)數(shù)據(jù)處理、計(jì)算以及智能決策.物聯(lián)網(wǎng)業(yè)務(wù)的全生命周期的本質(zhì)即數(shù)據(jù)的流轉(zhuǎn)過(guò)程.網(wǎng)絡(luò)協(xié)議存在于設(shè)備、云平臺(tái)、應(yīng)用App這3類實(shí)體之間，以及設(shè)備與設(shè)備之間、云平臺(tái)與云平臺(tái)之間，使得它們能夠及時(shí)進(jìn)行各類交互，在交互中傳遞數(shù)據(jù)，形成物聯(lián)網(wǎng)數(shù)據(jù)鏈.通過(guò)物聯(lián)網(wǎng)數(shù)據(jù)鏈，一個(gè)簡(jiǎn)單的物聯(lián)網(wǎng)設(shè)備可以將自己的數(shù)據(jù)(如傳感器數(shù)據(jù))傳遞給用戶App或云平臺(tái)，而物聯(lián)網(wǎng)用戶或物聯(lián)網(wǎng)的控制者也可以借助云平臺(tái)，遠(yuǎn)程控制或監(jiān)控自己的物聯(lián)網(wǎng)設(shè)備.下面本文將針對(duì)4個(gè)簡(jiǎn)單的使用場(chǎng)景，對(duì)物聯(lián)網(wǎng)數(shù)據(jù)流進(jìn)行描述.值得注意的是，以下敘述的場(chǎng)景僅僅是相對(duì)流行的方案，現(xiàn)實(shí)中同樣的使用場(chǎng)景可能出現(xiàn)完全不同的解決方案.

1)遠(yuǎn)程控制設(shè)備

當(dāng)用戶遠(yuǎn)程使用App控制物聯(lián)網(wǎng)設(shè)備時(shí)，App端將會(huì)與云平臺(tái)建立通信，并將控制指令發(fā)送給云平臺(tái)，云平臺(tái)接收到控制指令，將會(huì)把用戶的控制指令翻譯為設(shè)備能夠理解的控制信息，并發(fā)送給設(shè)備.

2)遠(yuǎn)程監(jiān)控設(shè)備

設(shè)備和云平臺(tái)之間首先建立通信.設(shè)備將數(shù)據(jù)發(fā)送給云，云端會(huì)將這部分?jǐn)?shù)據(jù)暫存.當(dāng)用戶打開(kāi)App并查看設(shè)備狀態(tài)時(shí)，云端將暫存的最新設(shè)備上報(bào)數(shù)據(jù)發(fā)送給用戶.

3)本地控制設(shè)備

本地控制設(shè)備一般依賴于近場(chǎng)通信協(xié)議或局域網(wǎng)通信.但對(duì)于以云通信為主的設(shè)備，需要設(shè)備先在云平臺(tái)上進(jìn)行注冊(cè).也就是說(shuō)，本地控制設(shè)備在遠(yuǎn)程控制設(shè)備條件存在的情況下，通常是遠(yuǎn)程控制設(shè)備的一種簡(jiǎn)化.

4)自動(dòng)化編程控制設(shè)備

自動(dòng)化編程控制設(shè)備是指在云平臺(tái)上編寫(xiě)程序，通過(guò)觸發(fā)器觸發(fā)程序執(zhí)行(例如當(dāng)溫度達(dá)到28攝氏度時(shí)打開(kāi)空調(diào))，這種情況下需要用戶將自己的程序上傳到云平臺(tái).

1.2 訪問(wèn)控制基礎(chǔ)知識(shí)

訪問(wèn)控制是一種通過(guò)對(duì)資源的訪問(wèn)、獲取和操作進(jìn)行身份驗(yàn)證和授權(quán)管理，使資源能夠在合法范圍內(nèi)被使用或受限使用的技術(shù)，是維護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要措施.

訪問(wèn)控制是主體根據(jù)策略對(duì)客體進(jìn)行不同權(quán)限訪問(wèn)的過(guò)程，主要包括五大要素：主體、客體、認(rèn)證、授權(quán)以及策略.

1)主體.主體是能夠訪問(wèn)客體的實(shí)體，包括人、進(jìn)程或者設(shè)備等具有能夠訪問(wèn)客體屬性的實(shí)體，主體可以在系統(tǒng)中執(zhí)行操作、在客體之間傳遞信息或者修改系統(tǒng)狀態(tài).

2)客體.客體是系統(tǒng)中需要被保護(hù)的實(shí)體的集合，包括文件、記錄、數(shù)據(jù)塊等靜態(tài)實(shí)體，也包括進(jìn)程等可執(zhí)行指令的實(shí)體.

3)認(rèn)證.認(rèn)證是指訪問(wèn)控制客體對(duì)主體進(jìn)行身份確認(rèn)的過(guò)程，從而確保主體具有其所請(qǐng)求的權(quán)限.

4)授權(quán).授權(quán)是指授予某個(gè)主體對(duì)某資源的訪問(wèn)權(quán)限的過(guò)程，強(qiáng)調(diào)的是某個(gè)主體可以對(duì)某資源進(jìn)行哪些操作(讀、寫(xiě)、執(zhí)行等).

5)策略.策略是指主體對(duì)客體訪問(wèn)的規(guī)則集合，規(guī)定了主體對(duì)客體可以實(shí)施讀、寫(xiě)和執(zhí)行等操作的行為，以及客體對(duì)主體的條件約束.策略體現(xiàn)的是一種授權(quán)行為，授予主體對(duì)客體何種類型的訪問(wèn)權(quán)限，這種權(quán)限應(yīng)該被限制在規(guī)則集合中.

有效的訪問(wèn)控制保證只有經(jīng)過(guò)授權(quán)的主體才能夠在權(quán)限范圍內(nèi)訪問(wèn)客體，未經(jīng)授權(quán)的主體禁止訪問(wèn)客體，能夠很好地防止隱私信息的泄露和權(quán)限的濫用.

訪問(wèn)控制技術(shù)經(jīng)過(guò)多年的演進(jìn)，已經(jīng)產(chǎn)生了多種類型的訪問(wèn)控制模型，包括自主訪問(wèn)控制(dis-cretionary access control, DAC)[14]、強(qiáng)制訪問(wèn)控制(mandatory access control, MAC)[15]、基于角色的訪問(wèn)控制(role-based access control, RBAC)[16]、基于屬性的訪問(wèn)控制(attributed based access control, ABAC)[17]、基于使用控制的訪問(wèn)控制(usage control, UCON)[18]、基于權(quán)能的訪問(wèn)控制(capability-based access control, CapBAC)[19]等.

1)自主訪問(wèn)控制.自主訪問(wèn)控制的核心思想是自主授權(quán)，主體可以完全控制客體，并可以自己決定是否將對(duì)客體的訪問(wèn)權(quán)限或部分訪問(wèn)權(quán)限授予其他主體.這種訪問(wèn)控制方式權(quán)限管理分散，而且需要手動(dòng)對(duì)權(quán)限進(jìn)行管理，在面對(duì)龐大且復(fù)雜的物聯(lián)網(wǎng)時(shí)，難以適應(yīng)物聯(lián)網(wǎng)的動(dòng)態(tài)自發(fā)性、可操作性等特性.

2)強(qiáng)制訪問(wèn)控制.強(qiáng)制訪問(wèn)控制的核心思想是系統(tǒng)強(qiáng)制主體服從訪問(wèn)控制策略，系統(tǒng)為主體和客體分配不同的安全標(biāo)識(shí)，主體和客體不能夠自行改變自身的安全標(biāo)識(shí)，只能由系統(tǒng)或管理員強(qiáng)制分配，根據(jù)安全標(biāo)識(shí)決定主體對(duì)客體的訪問(wèn)許可，本質(zhì)是利用非循環(huán)單項(xiàng)信息流保證數(shù)據(jù)的機(jī)密性和完整性.

3)基于角色的訪問(wèn)控制.基于角色的訪問(wèn)控制的核心思想是將訪問(wèn)權(quán)限與角色相關(guān)聯(lián)，通過(guò)將權(quán)限分配給角色，再讓用戶成為適當(dāng)?shù)慕巧瑥亩沟糜脩舻玫竭@些角色的權(quán)限，根據(jù)用戶的角色決定用戶對(duì)資源的訪問(wèn)權(quán)限.這種訪問(wèn)控制方式在涉及大量角色的物聯(lián)網(wǎng)環(huán)境中會(huì)存在角色爆炸問(wèn)題，同時(shí)也難以滿足物聯(lián)網(wǎng)中細(xì)粒度、多層次的訪問(wèn)控制需求.

4)基于屬性的訪問(wèn)控制.基于屬性的訪問(wèn)控制的核心思想是根據(jù)主體的屬性授予訪問(wèn)權(quán)限，主體和客體都是通過(guò)與特征相關(guān)的屬性進(jìn)行識(shí)別，當(dāng)用戶發(fā)起訪問(wèn)請(qǐng)求時(shí)，根據(jù)他的屬性授予相應(yīng)的訪問(wèn)權(quán)限.這種訪問(wèn)控制方式由于其屬性在訪問(wèn)過(guò)程中不可以改變，無(wú)法滿足物聯(lián)網(wǎng)中節(jié)點(diǎn)屬性動(dòng)態(tài)改變的需求，同時(shí)隨著設(shè)備數(shù)量的增加，會(huì)增加策略管理的工作量和復(fù)雜性.

5)基于使用控制的訪問(wèn)控制.基于使用控制的訪問(wèn)控制的核心思想是屬性可變和持續(xù)檢查，當(dāng)主體發(fā)起訪問(wèn)請(qǐng)求時(shí)，授權(quán)元素檢查主體和客體的安全屬性以決定是否允許訪問(wèn)，這種檢查持續(xù)伴隨著整個(gè)訪問(wèn)過(guò)程，在訪問(wèn)過(guò)程中，一旦主體或者客體的安全屬性發(fā)生改變，授權(quán)將相應(yīng)地改變，撤銷授權(quán)或支持繼續(xù)訪問(wèn).

6)基于權(quán)能的訪問(wèn)控制.基于權(quán)能的訪問(wèn)控制的核心思想是根據(jù)權(quán)能(密鑰、令牌等)授予用戶相對(duì)應(yīng)的訪問(wèn)權(quán)限，一種權(quán)能擁有對(duì)某些資源的訪問(wèn)權(quán)限，系統(tǒng)僅允許權(quán)能擁有者對(duì)這些資源的訪問(wèn)，拒絕其他訪問(wèn).此外，主體可以將其全部或部分訪問(wèn)權(quán)限通過(guò)委托機(jī)制授予其他主體，同時(shí)支持主體撤銷其所授予的權(quán)能，這使得CapBAC具有分布式、細(xì)粒度等優(yōu)點(diǎn).

隨著云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)和新場(chǎng)景的不斷涌現(xiàn)，引發(fā)了源源不斷的新威脅、新風(fēng)險(xiǎn).尤其是面對(duì)復(fù)雜多變的物聯(lián)網(wǎng)環(huán)境，傳統(tǒng)的訪問(wèn)控制模型的靈活性和擴(kuò)展性不足，難以適應(yīng)規(guī)模龐大、數(shù)據(jù)激增、變化迅速的物聯(lián)網(wǎng)環(huán)境；固化的訪問(wèn)控制策略難以應(yīng)對(duì)物聯(lián)網(wǎng)中訪問(wèn)控制參與對(duì)象類型多樣的特性.

1.3 物聯(lián)網(wǎng)訪問(wèn)控制

物聯(lián)網(wǎng)訪問(wèn)控制即物聯(lián)網(wǎng)場(chǎng)景下的訪問(wèn)控制技術(shù)，用于保障設(shè)備、用戶、云端之間資源請(qǐng)求與權(quán)限授予過(guò)程的安全合規(guī).相較于互聯(lián)網(wǎng)訪問(wèn)控制，其區(qū)別主要在于4點(diǎn)：

1)計(jì)算與存儲(chǔ)能力不同.物聯(lián)網(wǎng)中存在大量的各類輕量級(jí)感知層設(shè)備，通常設(shè)備容量低，不支持復(fù)雜的運(yùn)算、數(shù)據(jù)存儲(chǔ)，難以參照互聯(lián)網(wǎng)設(shè)備建立較強(qiáng)的安全邊界，也因此成為攻擊者的重點(diǎn)目標(biāo).

2)體系架構(gòu)不同.由于設(shè)備的性能較低，物聯(lián)網(wǎng)中的運(yùn)算、決策主要依靠云平臺(tái)來(lái)實(shí)施、對(duì)接并下發(fā)，無(wú)法復(fù)用互聯(lián)網(wǎng)中心化的訪問(wèn)控制架構(gòu).同時(shí)物聯(lián)網(wǎng)架構(gòu)導(dǎo)致數(shù)據(jù)的傳輸和交互更加頻繁，擴(kuò)大了風(fēng)險(xiǎn)暴露面.

3)通信協(xié)議不同.在互聯(lián)網(wǎng)中，有線通信協(xié)議更加普及，而物聯(lián)網(wǎng)中由于大量設(shè)備的存在，無(wú)線通信協(xié)議更加常用，因此無(wú)線通信協(xié)議的安全性更加重要.物聯(lián)網(wǎng)設(shè)備的異構(gòu)性也提高了對(duì)通信協(xié)議的要求.在協(xié)議模型方面，互聯(lián)網(wǎng)中“請(qǐng)求/響應(yīng)”模型的通信協(xié)議更加普及，而物聯(lián)網(wǎng)由于大量設(shè)備存在，并且通信存在大量不穩(wěn)定因素，引入了很多“發(fā)布/訂閱”模型的通信協(xié)議.

4)業(yè)務(wù)場(chǎng)景不同.互聯(lián)網(wǎng)訪問(wèn)控制的業(yè)務(wù)場(chǎng)景主要是控制數(shù)據(jù)資源的訪問(wèn)，而物聯(lián)網(wǎng)的業(yè)務(wù)場(chǎng)景更加多樣化、與物理世界更加密切相關(guān)，包含家居、醫(yī)療、工業(yè)控制等，不同場(chǎng)景中的設(shè)備性能、具體架構(gòu)、安全需求都有所區(qū)別，需要具體問(wèn)題具體分析.

因此，物聯(lián)網(wǎng)訪問(wèn)控制與互聯(lián)網(wǎng)訪問(wèn)控制不盡相同.真實(shí)世界中發(fā)生的安全威脅雖然只是由某一個(gè)物聯(lián)網(wǎng)實(shí)體(設(shè)備、云等)的安全缺陷觸發(fā)，但危害卻可以通過(guò)物聯(lián)網(wǎng)數(shù)據(jù)鏈傳遞到其他實(shí)體，而物聯(lián)網(wǎng)數(shù)據(jù)鏈構(gòu)建的基礎(chǔ)是實(shí)體之間的信任關(guān)系，也就是訪問(wèn)控制信任鏈.

如圖1所示，用戶App、云平臺(tái)、設(shè)備都有各自獨(dú)立的訪問(wèn)控制模型.對(duì)于云平臺(tái)，云平臺(tái)作為訪問(wèn)控制客體，設(shè)備和用戶作為訪問(wèn)控制主體，云平臺(tái)需要對(duì)設(shè)備和用戶進(jìn)行認(rèn)證，在接入層面需要驗(yàn)證設(shè)備和用戶是否有權(quán)接入云平臺(tái)，在交互層面需要驗(yàn)證用戶是否有權(quán)訪問(wèn)設(shè)備；對(duì)于用戶App，App作為訪問(wèn)控制客體，設(shè)備和云平臺(tái)作為訪問(wèn)控制主體，App需要首先驗(yàn)證云平臺(tái)的真實(shí)性，防止中間人攻擊；對(duì)于設(shè)備，設(shè)備作為客體，云平臺(tái)和用戶App作為主體，設(shè)備要對(duì)云平臺(tái)進(jìn)行認(rèn)證.這樣，用戶App、云平臺(tái)、設(shè)備之間通過(guò)各自獨(dú)立的訪問(wèn)控制模型形成一個(gè)相互的信任關(guān)系，產(chǎn)生訪問(wèn)控制信任鏈.

Fig.1 Trust chain of IoT access control

對(duì)于訪問(wèn)控制信任鏈，存在3個(gè)攻擊面:1)攻擊者可以直接繞過(guò)物聯(lián)網(wǎng)設(shè)備對(duì)用戶的認(rèn)證，從而直接控制設(shè)備;2)攻擊者通過(guò)中間人攻擊等手段劫持物聯(lián)網(wǎng)設(shè)備與云平臺(tái)的連接，從而注入或竊取數(shù)據(jù);3)攻擊者繞過(guò)云平臺(tái)對(duì)用戶的認(rèn)證，從而通過(guò)云平臺(tái)間接地控制物聯(lián)網(wǎng)設(shè)備.因此，在物聯(lián)網(wǎng)場(chǎng)景下，信任鏈中的一環(huán)出現(xiàn)訪問(wèn)控制失效，惡意的控制流和數(shù)據(jù)流就會(huì)沿著信任鏈傳遞，造成難以預(yù)估的危害.

本文在1.1節(jié)中簡(jiǎn)單介紹了4種控制設(shè)備的場(chǎng)景，這些場(chǎng)景在信任鏈中可能存在3種風(fēng)險(xiǎn)傳遞模式.

1)設(shè)備端風(fēng)險(xiǎn)傳遞

利用設(shè)備對(duì)云平臺(tái)或用戶的訪問(wèn)控制漏洞，可以近距離接觸設(shè)備并對(duì)云平臺(tái)進(jìn)行控制或?qū)е聰?shù)據(jù)泄露.通過(guò)訪問(wèn)控制信任鏈，設(shè)備端的安全問(wèn)題可能傳遞到云平臺(tái)和用戶端，造成更嚴(yán)重的安全問(wèn)題.需要注意的是，設(shè)備對(duì)云平臺(tái)也需要進(jìn)行訪問(wèn)控制，設(shè)備需要首先確認(rèn)云平臺(tái)的身份，也需要確認(rèn)來(lái)自云平臺(tái)消息的完整性，防止諸如DNS污染等問(wèn)題.設(shè)備端產(chǎn)生的風(fēng)險(xiǎn)，一方面直接作用于設(shè)備；另一方面，借助云平臺(tái)的信任，設(shè)備端風(fēng)險(xiǎn)可以傳遞到用戶側(cè)，例如1.1節(jié)中介紹的遠(yuǎn)程監(jiān)控設(shè)備，設(shè)備端的數(shù)據(jù)如果受到篡改，用戶會(huì)通過(guò)云平臺(tái)接收到假的設(shè)備狀態(tài)而導(dǎo)致嚴(yán)重后果，如虛假的火災(zāi)警報(bào).

2)云平臺(tái)風(fēng)險(xiǎn)傳遞

云平臺(tái)作為數(shù)據(jù)的傳輸中轉(zhuǎn)站，一旦出現(xiàn)安全風(fēng)險(xiǎn)，可能對(duì)大量的設(shè)備和用戶造成影響.攻擊者可以利用遠(yuǎn)場(chǎng)通信協(xié)議的安全漏洞[20]或云平臺(tái)處理邏輯的安全問(wèn)題，對(duì)連接在云平臺(tái)上的設(shè)備進(jìn)行控制或監(jiān)聽(tīng)或?qū)B接在云平臺(tái)上的用戶App進(jìn)行欺騙.由于訪問(wèn)控制信任鏈中，設(shè)備和用戶App對(duì)云平臺(tái)的信任，這種攻擊的隱蔽性強(qiáng)，受害者很難發(fā)現(xiàn).另外，我們?cè)?.1節(jié)中介紹了云平臺(tái)自動(dòng)化編程控制設(shè)備的新模式.從數(shù)據(jù)鏈的角度分析，云平臺(tái)應(yīng)用發(fā)起的控制指令，仍然是由云平臺(tái)發(fā)起的，數(shù)據(jù)的傳遞基于設(shè)備端對(duì)云平臺(tái)的信任鏈，一旦云平臺(tái)應(yīng)用出現(xiàn)安全問(wèn)題，可以造成難以估量的后果.因此，云平臺(tái)應(yīng)用程序的復(fù)雜安全威脅也是目前研究的重點(diǎn)之一.

值得注意的是，即使是1.1節(jié)中提到的本地控制設(shè)備場(chǎng)景，在當(dāng)今智能家居等行業(yè)的發(fā)展背景下，云平臺(tái)也會(huì)在設(shè)備綁定、客戶端鑒權(quán)等方面扮演非常重要的角色.即使用戶App和設(shè)備在同一個(gè)局域網(wǎng)下，云平臺(tái)也有可能在綁定設(shè)備的過(guò)程中扮演必不可少的角色.

3)客戶端風(fēng)險(xiǎn)傳遞

客戶端安全風(fēng)險(xiǎn)主要是用戶移動(dòng)端App的安全問(wèn)題.由于移動(dòng)端App的安全問(wèn)題很難通過(guò)信任鏈將惡意數(shù)據(jù)傳遞到其他物聯(lián)網(wǎng)實(shí)體，因此目前對(duì)物聯(lián)網(wǎng)移動(dòng)端App的研究相對(duì)較少.

2 物聯(lián)網(wǎng)訪問(wèn)控制現(xiàn)有研究

物聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)存在著巨大差異，尤其是物聯(lián)網(wǎng)架構(gòu)不同于互聯(lián)網(wǎng)的架構(gòu)，而且物聯(lián)網(wǎng)設(shè)備具有容量低、計(jì)算能力低等特性[21]，這些特性也給物聯(lián)網(wǎng)訪問(wèn)控制提出了更高的要求，導(dǎo)致物聯(lián)網(wǎng)無(wú)法簡(jiǎn)單復(fù)用互聯(lián)網(wǎng)的訪問(wèn)控制系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施.作為物聯(lián)網(wǎng)安全性保障的重要環(huán)節(jié)之一，有很多學(xué)者在物聯(lián)網(wǎng)訪問(wèn)控制領(lǐng)域開(kāi)展了相關(guān)研究，總結(jié)了物聯(lián)網(wǎng)訪問(wèn)控制應(yīng)該遵循的原則，并提出了諸多類型的模型與架構(gòu)設(shè)計(jì).

2.1 物聯(lián)網(wǎng)訪問(wèn)控制原則

Ouaddah等人在文獻(xiàn)[22]中結(jié)合物聯(lián)網(wǎng)的特性總結(jié)了物聯(lián)網(wǎng)訪問(wèn)控制應(yīng)該遵循的8個(gè)原則：

1)協(xié)同性.物聯(lián)網(wǎng)環(huán)境下可能存在多個(gè)不可信的個(gè)人或者組織進(jìn)行協(xié)同，訪問(wèn)控制系統(tǒng)必須允許各個(gè)主體制定自己的政策，且能與其他組織的政策兼容合作.

2)自適應(yīng)策略.由于各個(gè)主體的動(dòng)作是動(dòng)態(tài)、不可預(yù)測(cè)的，必須允許訪問(wèn)控制的策略可以針對(duì)上下文進(jìn)行動(dòng)態(tài)調(diào)整更新來(lái)適應(yīng)不同的需求.

3)細(xì)粒度.因?yàn)槲锫?lián)網(wǎng)系統(tǒng)中的各種設(shè)備會(huì)受到各種環(huán)境因素的影響而被觸發(fā)，訪問(wèn)控制也應(yīng)該同樣考慮到這些環(huán)境因素，將環(huán)境信息引入到系統(tǒng)中進(jìn)行更細(xì)粒度的決策(例如，根據(jù)當(dāng)前的時(shí)間、位置、目標(biāo)設(shè)備等信息決定是否允許操作).

4)易用性.訪問(wèn)控制應(yīng)該易于管理和修改，以方便缺少相關(guān)技術(shù)的普通用戶使用.

5)分布式自治系統(tǒng).每個(gè)實(shí)體的訪問(wèn)控制策略的實(shí)施和管理應(yīng)由其自己的規(guī)則來(lái)控制，以適應(yīng)物聯(lián)網(wǎng)環(huán)境下分布式安裝的智能設(shè)備.

6)異構(gòu)性.由于物聯(lián)網(wǎng)設(shè)備之間存在各種物理上的差異，在進(jìn)行管理時(shí)應(yīng)存在一個(gè)統(tǒng)一的虛擬接口，來(lái)方便控制管理存在不同特性的設(shè)備.

7)輕量性.訪問(wèn)控制系統(tǒng)應(yīng)保證輕量來(lái)節(jié)省各種物聯(lián)網(wǎng)設(shè)備本就不富裕的計(jì)算能力和能源消耗.

8)可擴(kuò)展性.訪問(wèn)控制系統(tǒng)應(yīng)可以隨時(shí)擴(kuò)展，以應(yīng)對(duì)當(dāng)前越來(lái)越多的物聯(lián)網(wǎng)設(shè)備、應(yīng)用和用戶.

2.2 現(xiàn)有研究

當(dāng)前物聯(lián)網(wǎng)訪問(wèn)控制相關(guān)研究主要集中在訪問(wèn)控制架構(gòu)、機(jī)制流程、模型3個(gè)方面.

在架構(gòu)方面，由于物聯(lián)網(wǎng)場(chǎng)景通常由多種類型的設(shè)備組合連接而成，訪問(wèn)控制不再是傳統(tǒng)互聯(lián)網(wǎng)中的少量幾個(gè)系統(tǒng)之間的互相授權(quán)，而是大量設(shè)備之間的權(quán)限管理，因此互聯(lián)網(wǎng)場(chǎng)景下常用的中心化訪問(wèn)控制架構(gòu)難以適用.此外，這些設(shè)備一般互為異構(gòu)且計(jì)算能力弱，難以處理加解密、智能策略生成等復(fù)雜算法，更無(wú)法將傳統(tǒng)互聯(lián)網(wǎng)中的訪問(wèn)控制系統(tǒng)直接進(jìn)行移植，需要探索適用于物聯(lián)網(wǎng)場(chǎng)景的訪問(wèn)控制系統(tǒng)，重點(diǎn)滿足輕量性、異構(gòu)性等原則.在較早的研究中，有學(xué)者就中心化的物聯(lián)網(wǎng)訪問(wèn)控制進(jìn)行研究[23-25]，而隨著物聯(lián)網(wǎng)架構(gòu)的進(jìn)一步演進(jìn)，現(xiàn)有研究出于將計(jì)算負(fù)載分散化和增加容災(zāi)能力的目的，主要探索去中心化、分布式架構(gòu)的設(shè)計(jì).區(qū)塊鏈?zhǔn)侨缃穹浅Ａ餍械娜ブ行幕夹g(shù)，眾多研究提出了將區(qū)塊鏈、智能合約等技術(shù)引入到系統(tǒng)中，利用區(qū)塊鏈技術(shù)的分布式、可驗(yàn)證等特性來(lái)實(shí)現(xiàn)可擴(kuò)展、分布式、可協(xié)作的訪問(wèn)控制.文獻(xiàn)[26-28]均提出了基于區(qū)塊鏈的物聯(lián)網(wǎng)分布式體系架構(gòu)，并在其中整合了智能合約來(lái)實(shí)現(xiàn)在物聯(lián)網(wǎng)環(huán)境下對(duì)設(shè)備基于屬性的域內(nèi)和跨域訪問(wèn)控制，并達(dá)到了靈活、動(dòng)態(tài)、自動(dòng)化的目標(biāo).霧計(jì)算和邊緣計(jì)算是通過(guò)將計(jì)算需求遷移到其他設(shè)備來(lái)提高計(jì)算性能和架構(gòu)擴(kuò)展性的技術(shù)，也已經(jīng)有研究[29]提出將霧計(jì)算和邊緣計(jì)算運(yùn)用到物聯(lián)網(wǎng)訪問(wèn)控制的架構(gòu)設(shè)計(jì)中.

在機(jī)制流程方面，當(dāng)前研究主要針對(duì)訪問(wèn)控制系統(tǒng)中的各種交互協(xié)議與數(shù)據(jù)格式，由于物聯(lián)網(wǎng)設(shè)備的特殊性，通常無(wú)法采用有線連接，而是使用移動(dòng)網(wǎng)絡(luò)、藍(lán)牙、ZigBee等無(wú)線方式與服務(wù)器連接.無(wú)線連接與有線連接相比存在延遲高、帶寬小、抗干擾能力弱等特點(diǎn)，無(wú)法直接使用互聯(lián)網(wǎng)中復(fù)雜的交互協(xié)議與框架，當(dāng)前研究主要是將輕量級(jí)的協(xié)議與框架引入物聯(lián)網(wǎng)訪問(wèn)控制系統(tǒng)當(dāng)中.在交互協(xié)議方面，研究人員圍繞MQTT，CoAP等物聯(lián)網(wǎng)通信協(xié)議進(jìn)行訪問(wèn)控制相關(guān)設(shè)計(jì)[30-32].在數(shù)據(jù)格式方面，研究人員傾向于結(jié)合JSON(javascript object notation),XACML(extensible access control markup language),SAML(security assertion markup language)等數(shù)據(jù)格式靈活、簡(jiǎn)單的優(yōu)點(diǎn)，提出了物聯(lián)網(wǎng)授權(quán)框架，使得資源受限的物聯(lián)網(wǎng)設(shè)備也能進(jìn)行細(xì)粒度和靈活的訪問(wèn)控制[33-35].這些研究能夠降低物聯(lián)網(wǎng)訪問(wèn)控制流程中的流量、內(nèi)存、性能損耗，且同時(shí)能保證訪問(wèn)控制系統(tǒng)的正常運(yùn)行.

在模型方面，當(dāng)前研究主要是將互聯(lián)網(wǎng)中已有的RBAC,ABAC,UCON,CapBAC等訪問(wèn)控制模型進(jìn)行移植.進(jìn)行移植的原因之一是這些傳統(tǒng)模型已經(jīng)在互聯(lián)網(wǎng)的悠久歷史中證明了其可靠性和實(shí)用性，只需要針對(duì)物聯(lián)網(wǎng)環(huán)境下的分布式等特性進(jìn)行少量修改就可以直接使用.Gusmeroli等人[19]和Zhang等人[36]分別將CapBAC和UCON等訪問(wèn)控制模型移植到物聯(lián)網(wǎng)環(huán)境下，使其適應(yīng)分布式系統(tǒng).另一原因是直接移植模型可以使得現(xiàn)有的互聯(lián)網(wǎng)系統(tǒng)可以方便地與物聯(lián)網(wǎng)設(shè)備進(jìn)行對(duì)接交互，讓原有的互聯(lián)網(wǎng)用戶可以無(wú)縫地接入物聯(lián)網(wǎng)中來(lái)實(shí)現(xiàn)WoT(Web of things)，從而減少企業(yè)開(kāi)發(fā)程序上的人力成本.Jia等人[37]和Barka等人[38]將RBAC模型進(jìn)行了移植并集成到系統(tǒng)中，而B(niǎo)ai等人[39]則將UCON模型進(jìn)行了移植，這使得互聯(lián)網(wǎng)系統(tǒng)與物聯(lián)網(wǎng)設(shè)備之間的訪問(wèn)控制成為現(xiàn)實(shí).

從現(xiàn)有相關(guān)研究來(lái)看，當(dāng)前物聯(lián)網(wǎng)訪問(wèn)控制研究更注重功能性，主要針對(duì)物聯(lián)網(wǎng)環(huán)境下由于架構(gòu)不同和資源受限帶來(lái)的計(jì)算能力低、帶寬小等問(wèn)題，需對(duì)互聯(lián)網(wǎng)下訪問(wèn)控制所用的方法進(jìn)行修改后移植到物聯(lián)網(wǎng)場(chǎng)景中.具體來(lái)說(shuō)，在訪問(wèn)控制架構(gòu)上，從中心化的架構(gòu)逐漸轉(zhuǎn)向分布式架構(gòu)，借助區(qū)塊鏈等先進(jìn)的分布式技術(shù)進(jìn)行設(shè)計(jì)；在機(jī)制流程上，則圍繞適用于物聯(lián)網(wǎng)的通信協(xié)議和輕量級(jí)數(shù)據(jù)格式進(jìn)行研究；在模型上，主要研究將成熟的互聯(lián)網(wǎng)訪問(wèn)控制模型向物聯(lián)網(wǎng)移植并適配.

但現(xiàn)有研究并未重視物聯(lián)網(wǎng)環(huán)境下訪問(wèn)控制系統(tǒng)的安全性.一方面，當(dāng)前的物聯(lián)網(wǎng)由于設(shè)備類型多樣、業(yè)務(wù)需求多樣，其體系結(jié)構(gòu)非常復(fù)雜且處在持續(xù)的演進(jìn)中.另一方面，物聯(lián)網(wǎng)中的設(shè)備通常與用戶物理相鄰，它可以是身邊的攝像頭、煙霧報(bào)警器，也可以是工控系統(tǒng)中的水閘電閘，這些設(shè)備能夠以多種形式影響到用戶本身，所以，直接使用從互聯(lián)網(wǎng)移植現(xiàn)有訪問(wèn)控制技術(shù)的系統(tǒng)架構(gòu)、機(jī)制流程、權(quán)限模型而不對(duì)安全性進(jìn)行額外的驗(yàn)證和適配是不充分的，可能引發(fā)安全上的隱患與風(fēng)險(xiǎn)，導(dǎo)致敏感數(shù)據(jù)泄露，危害到工業(yè)生產(chǎn)安全、人身安全甚至是國(guó)家安全.因此，本文聚焦物聯(lián)網(wǎng)訪問(wèn)控制的安全性，調(diào)研并綜述相關(guān)研究進(jìn)展.

2.3 物聯(lián)網(wǎng)訪問(wèn)控制安全性

物聯(lián)網(wǎng)訪問(wèn)控制是保護(hù)用戶數(shù)據(jù)、保障設(shè)備合法操作指令的安全技術(shù)，而要使訪問(wèn)控制真正生效，則需要保障訪問(wèn)控制自身的安全性，包括主體、客體、機(jī)制策略、身份認(rèn)證、權(quán)限授予等方面的安全.由于物聯(lián)網(wǎng)體系架構(gòu)的復(fù)雜性和業(yè)務(wù)場(chǎng)景的多樣性，物聯(lián)網(wǎng)難以建立傳統(tǒng)的安全邊界，其訪問(wèn)控制系統(tǒng)難以實(shí)現(xiàn)端到端的設(shè)計(jì).為實(shí)現(xiàn)安全的訪問(wèn)控制，需要圍繞物聯(lián)網(wǎng)數(shù)據(jù)鏈、信任鏈和業(yè)務(wù)場(chǎng)景，研究從哪些層面入手保障訪問(wèn)控制安全性，即物聯(lián)網(wǎng)訪問(wèn)控制保護(hù)面.

1)設(shè)備安全

設(shè)備上搭載的傳感器所采集的指紋、聲紋是物聯(lián)網(wǎng)進(jìn)行用戶身份認(rèn)證的重要數(shù)據(jù)來(lái)源，關(guān)系到用戶的身份信息是否獨(dú)立、安全，若該類數(shù)據(jù)被偽造或竊取，將產(chǎn)生身份冒用風(fēng)險(xiǎn)，導(dǎo)致訪問(wèn)控制失效.

2)流量安全

物聯(lián)網(wǎng)在感知層、網(wǎng)絡(luò)層、應(yīng)用層之間的數(shù)據(jù)傳輸依賴網(wǎng)絡(luò)流量，對(duì)于訪問(wèn)控制場(chǎng)景，則需要在3個(gè)層次之間進(jìn)行身份認(rèn)證信息、授權(quán)指令等的傳輸.因此，流量的安全性至關(guān)重要，需要在該層面防范數(shù)據(jù)竊取、中間人攻擊等風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)協(xié)議的安全性對(duì)于流量安全的保障.

3)應(yīng)用安全

根據(jù)物聯(lián)網(wǎng)的數(shù)據(jù)鏈與訪問(wèn)控制信任鏈，應(yīng)用是用戶與設(shè)備、設(shè)備與云平臺(tái)的接口，向上傳遞身份認(rèn)證信息，向下傳達(dá)授權(quán)決策與操作指令，因此需要在應(yīng)用App層面保障安全.

4)云安全

云平臺(tái)承擔(dān)著復(fù)雜的數(shù)據(jù)計(jì)算、處理與存儲(chǔ)任務(wù)，在更多的訪問(wèn)控制場(chǎng)景中負(fù)責(zé)授權(quán)策略管理，并且，物聯(lián)網(wǎng)中既存在云平臺(tái)與設(shè)備、應(yīng)用的交互，也存在云平臺(tái)與云平臺(tái)之間的交互，因此，云安全是保障安全的物聯(lián)網(wǎng)訪問(wèn)控制生效的重要著力點(diǎn).

5)接口安全

物聯(lián)網(wǎng)多個(gè)層次之間以及各個(gè)層次內(nèi)部的數(shù)據(jù)流轉(zhuǎn)都依賴接口，不安全的接口存在信息泄露、篡改的風(fēng)險(xiǎn).

接下來(lái)，本文基于上述保護(hù)面和物聯(lián)網(wǎng)，圍繞物聯(lián)網(wǎng)體系架構(gòu)的3個(gè)層次進(jìn)行訪問(wèn)控制攻擊面的分析，并歸納相應(yīng)的安全解決方案研究.如圖2所示，本文結(jié)合IoT云平臺(tái)、用戶、設(shè)備構(gòu)成的信任鏈端點(diǎn)，主要以信任鏈上的3個(gè)物聯(lián)網(wǎng)層次(應(yīng)用層、網(wǎng)絡(luò)層、感知層)為基礎(chǔ)進(jìn)行闡述，包括對(duì)每個(gè)層次的主要內(nèi)容和應(yīng)用場(chǎng)景的攻擊面總結(jié)和解決方案總結(jié).其中，應(yīng)用層主要有云應(yīng)用、云對(duì)接、設(shè)備綁定3個(gè)方面；網(wǎng)絡(luò)層主要有近場(chǎng)通信和遠(yuǎn)程通信2方面；感知層主要有傳感器和設(shè)備軟硬件2方面.最終再根據(jù)不同的互聯(lián)網(wǎng)安全維度進(jìn)行保護(hù)面總結(jié)，保護(hù)面包含設(shè)備安全、流量安全、云安全、應(yīng)用安全和接口安全5個(gè)維度.

Fig.2 Research on security of IoT access control

3 物聯(lián)網(wǎng)訪問(wèn)控制攻擊面

2.3節(jié)結(jié)合物聯(lián)網(wǎng)數(shù)據(jù)鏈與信任鏈傳遞的特點(diǎn)闡述了物聯(lián)網(wǎng)訪問(wèn)控制安全性的內(nèi)涵與保護(hù)面，而與保護(hù)面相對(duì)應(yīng)的就是攻擊面，為保障安全性，需要對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行研究與把握.物聯(lián)網(wǎng)訪問(wèn)控制主要是多個(gè)實(shí)體的訪問(wèn)控制模型相互連接、相互交互、互為主客體.在本節(jié)中，我們以3個(gè)物聯(lián)網(wǎng)層次作為切入點(diǎn)，介紹針對(duì)物聯(lián)網(wǎng)訪問(wèn)控制的主要攻擊面.

3.1 感知層攻擊面

感知層是物聯(lián)網(wǎng)架構(gòu)中最基礎(chǔ)的層次，負(fù)責(zé)向上層提供數(shù)據(jù)支持，是一個(gè)具有物理設(shè)備的實(shí)體，感知層分為傳感器和設(shè)備軟硬件2個(gè)層次.傳感器負(fù)責(zé)收集外界信息，設(shè)備軟硬件負(fù)責(zé)驅(qū)動(dòng)傳感器工作，并與上層建立連接.感知層的訪問(wèn)控制模型主要有2方面：一方面設(shè)備傳感器作為主體，采集外界信息；另一方面設(shè)備作為客體，與多種主體(如App和云)進(jìn)行交互.在現(xiàn)有的針對(duì)感知層的研究中，主要考慮傳感器數(shù)據(jù)的可靠性以及感知層軟硬件的設(shè)計(jì)與實(shí)現(xiàn).

3.1.1 感知層傳感器安全問(wèn)題

對(duì)于感知層傳感器而言，有研究[40-41]表明現(xiàn)有的安全方案和訪問(wèn)控制系統(tǒng)無(wú)法為傳感器提供足夠的安全防護(hù)，產(chǎn)生了漏洞：偽造傳感器所收集的數(shù)據(jù)，使得傳感器無(wú)法獲取相應(yīng)的外部信息.在現(xiàn)有的研究中存在很多偽造傳感器數(shù)據(jù)的攻擊案例，這種攻擊可能導(dǎo)致應(yīng)用層基于錯(cuò)誤的傳感器數(shù)據(jù)產(chǎn)生錯(cuò)誤的判斷，由于應(yīng)用層的訪問(wèn)控制模型無(wú)法涉及到感知層的細(xì)節(jié)，應(yīng)用層的訪問(wèn)控制模型會(huì)被完全欺騙.

Tukur等人[42]進(jìn)行了一項(xiàng)研究，模擬了內(nèi)部攻擊者對(duì)物聯(lián)網(wǎng)系統(tǒng)中的傳感器實(shí)施的數(shù)據(jù)偽造，證明了篡改感知層的物理環(huán)境對(duì)整個(gè)物聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)完整性造成直接的負(fù)面影響.這種偽造數(shù)據(jù)的攻擊可以在GPS傳感器、光線傳感器、麥克風(fēng)、攝像頭上實(shí)施.與傳統(tǒng)的訪問(wèn)控制不同的是，傳感器獲取的客體數(shù)據(jù)大多來(lái)自于真實(shí)的物理世界，導(dǎo)致傳感器的訪問(wèn)控制幾乎無(wú)法使用現(xiàn)有的技術(shù)，只能在一定程度上針對(duì)每一種數(shù)據(jù)來(lái)源的真實(shí)性進(jìn)行判斷.而一旦傳感器的判斷錯(cuò)誤，上層的其他訪問(wèn)控制模型也會(huì)無(wú)條件相信傳感器的錯(cuò)誤數(shù)據(jù)，導(dǎo)致信任鏈的底層出現(xiàn)疏漏.

比較典型的案例是針對(duì)GPS信號(hào)接收器的信號(hào)偽造，Tippenhauer等人[43]分析了欺騙GPS傳感器的可能性，他們使用GPS信號(hào)模擬器嘗試干擾了Atmel公司的ATR0600 GPS芯片，其實(shí)驗(yàn)結(jié)果證實(shí)了GPS信號(hào)接收器可以很容易地被欺騙到任意一個(gè)位置.Park等人[44]提出了一種針對(duì)醫(yī)用輸液泵中紅外液滴傳感器的數(shù)據(jù)偽造攻擊，該文作者發(fā)現(xiàn)紅外液滴傳感器沒(méi)有持續(xù)地對(duì)飽和輸入進(jìn)行檢測(cè)，因此可以通過(guò)使用額外的紅外線發(fā)射器來(lái)干擾傳感器，可以實(shí)現(xiàn)對(duì)輸液速度的控制.

對(duì)傳感器的欺騙同樣也會(huì)發(fā)生在指紋、聲紋等直接用于身份認(rèn)證的傳感器.指紋識(shí)別技術(shù)現(xiàn)在已經(jīng)十分成熟，但也存在著簡(jiǎn)單有效的指紋欺騙方法，比如使用塑料制作指紋模型，在文獻(xiàn)[45]中對(duì)指紋傳感器的欺騙進(jìn)行了全面的綜述.相比于指紋識(shí)別技術(shù)，聲紋識(shí)別技術(shù)起步較晚，聲紋識(shí)別依賴音頻中的音色、韻律和語(yǔ)言內(nèi)容，攻擊者可以通過(guò)模仿、重放、語(yǔ)音合成、語(yǔ)音轉(zhuǎn)換等手段欺騙聲紋識(shí)別，在文獻(xiàn)[46-47]中綜述了這4種欺騙手法以及相應(yīng)的對(duì)策.同時(shí)也存在一些針對(duì)語(yǔ)音控制系統(tǒng)的攻擊，Zhang等人[48]設(shè)計(jì)了一種人類無(wú)法聽(tīng)到但智能語(yǔ)音助手可以正常識(shí)別的攻擊方法DolphinAttack，并在Siri,Google Now等平臺(tái)上進(jìn)行了概念驗(yàn)證，成功完成了在iPhone上發(fā)起FaceTime通話、使用Google Now將手機(jī)切換到飛行模式等命令攻擊.傳感器還可能受到拒絕服務(wù)的攻擊，破壞其數(shù)據(jù)的可用性.有一項(xiàng)研究證實(shí)了可以通過(guò)噪音干擾MEMS陀螺儀工作，并在實(shí)驗(yàn)中成功使得配備有MEMS陀螺儀的無(wú)人機(jī)墜毀[49].

3.1.2 感知層設(shè)備安全問(wèn)題

感知層設(shè)備作為訪問(wèn)控制的客體，被多種主體訪問(wèn).感知層設(shè)備主要分為軟件和硬件2個(gè)層面，軟件涉及操作系統(tǒng)和上層的應(yīng)用程序[13].感知層設(shè)備的訪問(wèn)控制的失效可能發(fā)生在非法的控制端或惡意用戶獲取了設(shè)備的信息或?qū)υO(shè)備進(jìn)行了修改.

在感知層設(shè)備的軟件層面，訪問(wèn)控制攻擊面主要包括：弱口令、訪問(wèn)控制失效的通信接口、缺乏認(rèn)證的更新機(jī)制.一些感知層設(shè)備可能提供了遠(yuǎn)程訪問(wèn)的功能，比如通過(guò)FTP查看文件、使用Telnet或SSH與設(shè)備進(jìn)行交互.Kumar等人[50]進(jìn)行了一項(xiàng)調(diào)查，使用弱口令字典掃描物聯(lián)網(wǎng)設(shè)備的FTP和Telnet服務(wù)，發(fā)現(xiàn)有17.4%的FTP服務(wù)和2.1%的Telnet服務(wù)使用了弱口令.很多物聯(lián)網(wǎng)設(shè)備使用Web服務(wù)或藍(lán)牙等無(wú)線協(xié)議與上層應(yīng)用進(jìn)行通信，這些服務(wù)提供了一些數(shù)據(jù)接口供上層服務(wù)調(diào)用，如果這些數(shù)據(jù)接口未能實(shí)現(xiàn)鑒權(quán)功能或存在越權(quán)訪問(wèn)等邏輯漏洞，可能導(dǎo)致傳感器數(shù)據(jù)泄露或執(zhí)行非法指令等后果.在Rapid7公司的一項(xiàng)調(diào)查中列舉了一些關(guān)于嬰兒攝像頭的漏洞，其中CVE-2015-2882是相機(jī)設(shè)備中運(yùn)行的Web服務(wù)存在硬編碼的賬號(hào)“admin”和密碼“M100-4674448”，攻擊者可以在相機(jī)設(shè)備所處的本地局域網(wǎng)中訪問(wèn)其Web操作界面[51].一些感知層設(shè)備在提供固件升級(jí)時(shí)，缺少對(duì)固件的完整性認(rèn)證，從而導(dǎo)致攻擊者可以將惡意的固件寫(xiě)入到設(shè)備中.Ronen等人[52]通過(guò)相關(guān)功率分析(correlation power analysis, CPA)[53]的側(cè)信道方法推測(cè)出Philips燈泡用于加密和驗(yàn)證固件更新的密鑰，他們利用推測(cè)出的更新密鑰刷新燈泡固件從而實(shí)現(xiàn)了完全控制，并且實(shí)現(xiàn)了蠕蟲(chóng)攻擊，即利用一個(gè)燈泡來(lái)攻擊另一個(gè)燈泡.

在感知層設(shè)備硬件層面，針對(duì)設(shè)備客體訪問(wèn)控制的攻擊面包括了針對(duì)硬件的側(cè)信道攻擊和調(diào)試接口暴露.利用側(cè)信道和密碼學(xué)分析可以泄露CPU中的狀態(tài)信息[54]，比如，Gnad等人[55]提出，利用模數(shù)轉(zhuǎn)換器(analog-to-digital converter, ADC)可以推斷系統(tǒng)中CPU的活動(dòng)，并成功進(jìn)行了AES密鑰恢復(fù)攻擊.而Ronen等人[52]實(shí)施了一種未知明文選擇差分CPA攻擊來(lái)推測(cè)Philips燈泡固件更新時(shí)的AES-CCM(advanced encryption standard-counter with cipher lock chaining message authentication code)算法的驗(yàn)證密鑰.對(duì)于某些感知層設(shè)備可能保留有調(diào)試用的硬件接口，具有物理接觸這些設(shè)備的攻擊者可以繞過(guò)軟件層面的認(rèn)證服務(wù)，直接獲取系統(tǒng)內(nèi)的信息，甚至獲取操作系統(tǒng)交互權(quán)限.一些物聯(lián)網(wǎng)設(shè)備在出廠后仍然保留了調(diào)試接口，這使得某些能夠物理接觸設(shè)備的人員可以通過(guò)調(diào)試接口獲取硬件上的信息(比如加密密鑰)，導(dǎo)出固件代碼，甚至可以向設(shè)備中寫(xiě)入惡意代碼[56].

當(dāng)設(shè)備的軟硬件的訪問(wèn)控制模型被打破時(shí)，其危害可能被信任鏈傳遞到其他層次.例如，云平臺(tái)的訪問(wèn)控制模型會(huì)無(wú)條件接受設(shè)備傳遞的數(shù)據(jù)，因?yàn)樵破脚_(tái)已經(jīng)沒(méi)有任何辦法驗(yàn)證設(shè)備是否已經(jīng)被攻擊者控制，進(jìn)而也會(huì)被應(yīng)用層的訪問(wèn)控制模型認(rèn)可，影響應(yīng)用層邏輯.但針對(duì)感知層設(shè)備的攻擊需要攻擊者接觸設(shè)備，利用條件較苛刻.

3.1.3 小 結(jié)

感知層攻擊面總結(jié)如表1所示.感知層作為主要的信息收集層，其最常見(jiàn)的訪問(wèn)控制安全風(fēng)險(xiǎn)在于：作為訪問(wèn)控制主體，身份認(rèn)證信息存在采集和上傳中的偽造問(wèn)題；而同時(shí)感知層在執(zhí)行操作的客體角色中，存在著由設(shè)備容量小、計(jì)算能力低等因素所導(dǎo)致的認(rèn)證機(jī)制不完善的攻擊面.設(shè)備自身的漏洞也是明顯的攻擊面.

Table 1 Perception Layer Access Control Attack Surface

3.2 網(wǎng)絡(luò)層攻擊面

網(wǎng)絡(luò)層是位于物聯(lián)網(wǎng)架構(gòu)中間的層次，主要支撐感知層和應(yīng)用層之間，以及位于感知層的設(shè)備之間和位于應(yīng)用層的云平臺(tái)與應(yīng)用App之間的通信，是由不同的通信協(xié)議組成的一個(gè)層次，網(wǎng)絡(luò)層的訪問(wèn)控制威脅也主要分布在各種不同的通信協(xié)議中.按照設(shè)備的近場(chǎng)性，可以將網(wǎng)絡(luò)層分為近場(chǎng)通信層和遠(yuǎn)場(chǎng)通信層.近場(chǎng)通信層主要涉及設(shè)備配對(duì)、設(shè)備間近距離通信、設(shè)備和App之間近距離通信等；遠(yuǎn)場(chǎng)通信主要涉及設(shè)備和云服務(wù)器之間、云服務(wù)器和App之間的通信等.

網(wǎng)絡(luò)層向上對(duì)接云平臺(tái)和應(yīng)用層的訪問(wèn)控制模型，向下對(duì)接感知層設(shè)備的訪問(wèn)控制模型.

3.2.1 網(wǎng)絡(luò)層近場(chǎng)通信安全威脅

IoT近場(chǎng)通信協(xié)議主要有BLE(bluetooth low energy),ZigBee,Z-Wave,6LoWPAN等.近場(chǎng)通信協(xié)議的設(shè)計(jì)問(wèn)題和漏洞能夠破壞客體設(shè)備的訪問(wèn)控制模型，也包括用戶設(shè)備(手機(jī))，主要漏洞是設(shè)備未授權(quán)訪問(wèn)、用戶隱私泄露、設(shè)備劫持等.近場(chǎng)通信協(xié)議的安全問(wèn)題能夠繞過(guò)設(shè)備的訪問(wèn)控制模型，進(jìn)而通過(guò)信任鏈傳遞到云或其他主體，并且這些安全問(wèn)題的避免難度較大，目前主流研究集中在對(duì)協(xié)議的漏洞進(jìn)行研究，并改進(jìn)協(xié)議，進(jìn)行安全加固.

BLE是由傳統(tǒng)藍(lán)牙發(fā)展而來(lái)的，為物聯(lián)網(wǎng)的設(shè)備間近場(chǎng)通信提供了一種低功耗、低成本的通信協(xié)議，由BLE引入的安全威脅是當(dāng)前研究的熱點(diǎn)之一.Fawaz等人[57]對(duì)BLE隱私保護(hù)規(guī)范中的地址隨機(jī)化在現(xiàn)實(shí)世界的部署中是否真正能夠保護(hù)用戶隱私的問(wèn)題進(jìn)行了探究，收集并分析了214種不同類型BLE設(shè)備的廣播，發(fā)現(xiàn)由于開(kāi)發(fā)者和制造商沒(méi)有正確執(zhí)行BLE隱私保護(hù)規(guī)范、地址弱隨機(jī)化、地址長(zhǎng)時(shí)間不改變等原因?qū)е铝说刂冯S機(jī)化失效，泄露了大量的信息.Celosia等人[58]利用BLE中的GATT(generic attribute)配置文件創(chuàng)建了一個(gè)指紋，成功規(guī)避了BLE隱私保護(hù)規(guī)范的反跟蹤特性(即MAC地址隨機(jī)化)，利用該指紋可以跟蹤用戶、推斷用戶敏感信息等.Zuo等人[59]從配套的移動(dòng)應(yīng)用程序中提取具有靜態(tài)UUID(universally unique identifier)的BLE設(shè)備指紋，對(duì)BLE設(shè)備進(jìn)行指紋識(shí)別，侵犯用戶隱私；該文作者還發(fā)現(xiàn)許多BLE設(shè)備采用Just Works配對(duì)，允許攻擊者在不需要認(rèn)證的情況下主動(dòng)連接這些設(shè)備，造成未授權(quán)訪問(wèn)攻擊，使用UUID指紋定位這些設(shè)備，配合Just Works配對(duì)或弱認(rèn)證，攻擊者可以完全控制這些設(shè)備.Sivakumaran等人[60]成功實(shí)施了針對(duì)BLE的應(yīng)用共存攻擊，即當(dāng)手機(jī)中有一個(gè)應(yīng)用程序已經(jīng)與BLE設(shè)備建立連接時(shí)，手機(jī)中另一個(gè)惡意的應(yīng)用程序能夠未授權(quán)訪問(wèn)受保護(hù)的BLE設(shè)備中的敏感數(shù)據(jù).Wen等人[61]設(shè)計(jì)實(shí)現(xiàn)了FirmXRay自動(dòng)靜態(tài)二進(jìn)制分析工具，用于BLE鏈路層漏洞檢測(cè)，還收集了793個(gè)獨(dú)特的固件來(lái)評(píng)估FirmXRay，實(shí)驗(yàn)結(jié)果表明，98.1%的設(shè)備配置了隨機(jī)靜態(tài)MAC地址，71.5%的設(shè)備配置了Just Works配對(duì)，98.5%的設(shè)備配置了不安全密鑰交換.這些漏洞會(huì)導(dǎo)致用戶的敏感信息泄露、設(shè)備的未授權(quán)訪問(wèn)等安全問(wèn)題.Wu等人[62]研究了BLE鏈路層的安全性，聚焦BLE設(shè)備重新連接的場(chǎng)景，發(fā)現(xiàn)了其認(rèn)證機(jī)制的2個(gè)設(shè)計(jì)缺陷(可選認(rèn)證和認(rèn)證繞過(guò))，利用設(shè)計(jì)缺陷該文作者提出了BLESA(BLE spoofing attacks)，即BLE欺騙攻擊，攻擊者模擬BLE服務(wù)器設(shè)備，向之前配對(duì)的BLE客戶端設(shè)備發(fā)送欺騙數(shù)據(jù)，成功欺騙了BLE客戶端設(shè)備.Ludant等人[63]發(fā)現(xiàn)了藍(lán)牙芯片設(shè)計(jì)中的鏈接漏洞，將BLE廣播鏈接到了經(jīng)典藍(lán)牙幀(BTC)，該文作者利用該漏洞將BLE廣播與全球唯一標(biāo)識(shí)符(globally unique identifier, GUID)鏈接，利用BDADDR標(biāo)識(shí)符可以跟蹤BLE用戶，從BLE廣播中竊取用戶敏感信息.

ZigBee也是最常使用的物聯(lián)網(wǎng)近場(chǎng)通信協(xié)議之一，由ZigBee協(xié)議引入的安全威脅也受到了學(xué)術(shù)界廣泛的關(guān)注.Morgner等人[64]利用ZigBee3.0新增加的touchlink調(diào)試功能對(duì)ZigBee發(fā)起攻擊，并且在touchlink預(yù)配置的鏈接密鑰泄露的場(chǎng)景下成功獲取了ZigBee網(wǎng)絡(luò)中所有節(jié)點(diǎn)控制權(quán).Akestoridis等人[65]研究了當(dāng)集中式ZigBee網(wǎng)絡(luò)中禁用MAC層安全的設(shè)計(jì)選擇的后果發(fā)現(xiàn)，攻擊者可以從ZigBee流量的被動(dòng)檢查中獲得有價(jià)值的信息，包括識(shí)別某些加密的NWK命令，然后使用這些命令開(kāi)發(fā)選擇性干擾和欺騙攻擊，以迫使最終用戶重置目標(biāo)設(shè)備，并最終暴露網(wǎng)絡(luò)密鑰，造成敏感信息泄露.

近場(chǎng)通信協(xié)議的安全問(wèn)題主要打破設(shè)備的訪問(wèn)控制模型，進(jìn)而通過(guò)信任鏈影響到云端訪問(wèn)控制模型、應(yīng)用層訪問(wèn)控制模型，由于通信協(xié)議的漏洞相對(duì)較難避免，因此具有很強(qiáng)的隱蔽性.但利用近場(chǎng)通信協(xié)議需要攻擊者在較近的物理距離內(nèi)發(fā)起攻擊，影響面相對(duì)較小.

3.2.2 網(wǎng)絡(luò)層遠(yuǎn)場(chǎng)通信安全威脅

網(wǎng)絡(luò)層遠(yuǎn)場(chǎng)通信主要聚焦于各種物聯(lián)網(wǎng)流行的通信協(xié)議上，目前使用較為廣泛的協(xié)議包括MQTT(Message Queuing Telemetry Transport),CoAP(Constrained Application Protocol),AMQP(Advanced Message Queuing Protocol),HTTP(Hyper Text Transfer Protocol),XMPP(Extensible Messaging and Presence Protocol),DDS(Data Distribution Service for Real-time Systems).遠(yuǎn)場(chǎng)通信協(xié)議的安全疏忽能夠打破云平臺(tái)或云端數(shù)據(jù)的訪問(wèn)控制體系，遠(yuǎn)場(chǎng)通信協(xié)議對(duì)于訪問(wèn)控制模型的挑戰(zhàn)，成為了目前學(xué)術(shù)界的關(guān)注重點(diǎn)之一.

網(wǎng)絡(luò)層遠(yuǎn)場(chǎng)通信協(xié)議大多在設(shè)計(jì)之初就缺乏對(duì)適用物聯(lián)網(wǎng)的安全性設(shè)計(jì)，對(duì)于保密性，通常都是由TLS協(xié)議(Transport Layer Security)或DTLS協(xié)議(Datagram Transport Layer Security)保證的.Al Fardan等人[66]基于對(duì)TLS和DTLS協(xié)議中解密處理的精確時(shí)間分析，利用明文恢復(fù)攻擊竊取了敏感信息.對(duì)于協(xié)議本身的安全問(wèn)題與協(xié)議適用物聯(lián)網(wǎng)時(shí)協(xié)議對(duì)接云平臺(tái)和云端數(shù)據(jù)的訪問(wèn)控制模型時(shí)存在的安全問(wèn)題，目前的研究較少.Jia等人[20]通過(guò)對(duì)MQTT通信機(jī)制的安全分析發(fā)現(xiàn)了MQTT協(xié)議在物聯(lián)網(wǎng)場(chǎng)景下產(chǎn)生的多個(gè)漏洞，例如不安全的MQTT消息管理、不安全的MQTT會(huì)話管理、未授權(quán)的MQTT身份等.

由于云平臺(tái)和協(xié)議特性之間的安全鴻溝，云平臺(tái)很難利用現(xiàn)有的訪問(wèn)控制技術(shù)去限制物聯(lián)網(wǎng)協(xié)議，攻擊者可以利用協(xié)議的特性，打破云平臺(tái)的訪問(wèn)控制模型，進(jìn)而欺騙云平臺(tái)去修改云端設(shè)備元數(shù)據(jù)，并成功控制受害者設(shè)備，竊取用戶敏感信息.Wang等人[67]提出了MPInspector框架，實(shí)現(xiàn)了自動(dòng)化分析遠(yuǎn)場(chǎng)通信消息傳遞協(xié)議的安全性，在9個(gè)廣泛使用的物聯(lián)網(wǎng)平臺(tái)上對(duì)MQTT,CoAP,AMQP協(xié)議進(jìn)行分析，并且使用MPInspector框架評(píng)估這些協(xié)議的安全性，發(fā)現(xiàn)了針對(duì)物聯(lián)網(wǎng)遠(yuǎn)場(chǎng)通信協(xié)議的11種類型的攻擊方式，其中包括客戶端身份劫持攻擊、惡意主題訂閱、未經(jīng)授權(quán)的消息響應(yīng)等.這些攻擊方式可以在協(xié)議的層面突破云平臺(tái)甚至云端數(shù)據(jù)的訪問(wèn)控制模型，并通過(guò)信任鏈將危害傳遞到大量物聯(lián)網(wǎng)設(shè)備.

遠(yuǎn)場(chǎng)通信協(xié)議主要通過(guò)打破云平臺(tái)的訪問(wèn)控制模型或應(yīng)用層的訪問(wèn)控制模型來(lái)修改云端數(shù)據(jù)，并通過(guò)信任鏈將危害傳遞到設(shè)備和用戶App，遠(yuǎn)場(chǎng)通信協(xié)議因?yàn)榭梢孕薷脑贫藬?shù)據(jù)，其安全問(wèn)題具有影響面大、破壞性大的特點(diǎn)，在極端情況下，一個(gè)攻擊者甚至可以利用遠(yuǎn)場(chǎng)通信協(xié)議和訪問(wèn)控制模型之間的安全鴻溝，對(duì)整個(gè)云上連接的設(shè)備進(jìn)行低成本的大規(guī)模攻擊.

3.2.3 小 結(jié)

網(wǎng)絡(luò)層攻擊面總結(jié)如表2所示.網(wǎng)絡(luò)層在訪問(wèn)控制中主要負(fù)責(zé)身份認(rèn)證信息和授權(quán)策略的傳輸，場(chǎng)景包括近場(chǎng)通信和遠(yuǎn)場(chǎng)通信，其安全性由各類通信協(xié)議、加密協(xié)議來(lái)保障，而攻擊面也存在于尚不完善的通信協(xié)議的認(rèn)證機(jī)制、加解密、粒度等性能方面.

Table 2 Network Layer Access Control Attack Surface

3.3 應(yīng)用層攻擊面

在當(dāng)前的IoT架構(gòu)中，應(yīng)用層一般是物聯(lián)網(wǎng)頂層設(shè)計(jì)的邏輯，如在智能家居場(chǎng)景下的用戶、家庭等概念均運(yùn)行在應(yīng)用層之上.物聯(lián)網(wǎng)應(yīng)用層是一個(gè)抽象層，應(yīng)用層之上一般只是數(shù)據(jù)和訪問(wèn)控制邏輯.正因如此，一旦應(yīng)用層訪問(wèn)控制出現(xiàn)問(wèn)題，運(yùn)行在其他層次的安全手段(如網(wǎng)絡(luò)層的安全防護(hù))難以發(fā)現(xiàn).另外，由于云平臺(tái)需要存儲(chǔ)幾乎所有的應(yīng)用層數(shù)據(jù)，一旦云平臺(tái)的應(yīng)用層訪問(wèn)控制邏輯出現(xiàn)問(wèn)題，借助1.3節(jié)中提到的信任鏈，可能導(dǎo)致大量IoT設(shè)備淪陷.

應(yīng)用層的主要載體是物聯(lián)網(wǎng)管理者或用戶的IoT App，以及各種IoT云平臺(tái).目前相當(dāng)多的IoT設(shè)備都擁有連接WiFi或者通過(guò)BLE，ZigBee連接智能網(wǎng)關(guān)從而訪問(wèn)互聯(lián)網(wǎng)的能力.如1.1節(jié)中的4種常見(jiàn)場(chǎng)景，物聯(lián)網(wǎng)的合法用戶通過(guò)IoT App修改應(yīng)用層數(shù)據(jù)，云平臺(tái)或者軟件自身自動(dòng)地將應(yīng)用層數(shù)據(jù)翻譯為設(shè)備可讀的指令.

而現(xiàn)有的IoT云平臺(tái)根據(jù)其功能可以分為2類：

第1類是IoT設(shè)備廠商自身的云平臺(tái).例如小米米家、涂鴉智能等，一般可以與本廠商的IoT設(shè)備進(jìn)行連接，通過(guò)網(wǎng)頁(yè)/手機(jī)App控制IoT設(shè)備，并提供接口可以與其他云平臺(tái)或者Trigger Action平臺(tái)進(jìn)行對(duì)接，部分平臺(tái)例如SmartThings，甚至允許用戶上傳自己的程序在云平臺(tái)上，允許用戶自己編程控制IoT設(shè)備.云應(yīng)用大大拓展了物聯(lián)網(wǎng)的使用范圍，但也使得應(yīng)用層訪問(wèn)控制變得極為復(fù)雜，大大增加了安全的不確定性.

第2類是自動(dòng)化流程平臺(tái).例如IFTTT，Zapier等，除了可以與第1類的廠商云平臺(tái)進(jìn)行對(duì)接，還可以與推特、Dropbox等非IoT廠商的云平臺(tái)對(duì)接.以此提供除了IoT設(shè)備之外的觸發(fā)和應(yīng)用能力，例如通過(guò)發(fā)送短信操控IoT設(shè)備，或者由IoT設(shè)備觸發(fā)短信的發(fā)送.而少部分IoT設(shè)備，例如門鎖、牙刷、醫(yī)療設(shè)備、攝像頭等，可能廠商并沒(méi)有建設(shè)云平臺(tái)，或者這個(gè)設(shè)備本身并不具備連接互聯(lián)網(wǎng)的能力，實(shí)際上是直接通過(guò)局域網(wǎng)或者BLE連接用戶手機(jī)App，并以此被用戶所控制.

對(duì)于直接受到IoT平臺(tái)操控的設(shè)備，攻擊威脅主要來(lái)自云平臺(tái)的訪問(wèn)控制失效；而受App近場(chǎng)通信直接操控的IoT設(shè)備，攻擊威脅主要來(lái)自手機(jī)App本身和設(shè)備端不完善的訪問(wèn)控制的聯(lián)合作用.

3.3.1 云平臺(tái)中的云應(yīng)用產(chǎn)生的漏洞

當(dāng)前的云平臺(tái)一般都會(huì)允許用戶創(chuàng)建一些簡(jiǎn)單的規(guī)則或者應(yīng)用，以方便用戶滿足自己的一些特殊需求.其中一些平臺(tái)，例如IFTTT與SmartThings，還允許用戶發(fā)布自己的云應(yīng)用并共享給其他人使用.而大量創(chuàng)建的應(yīng)用不可能做到每個(gè)都被人工審計(jì)過(guò)，導(dǎo)致其中會(huì)存在難以對(duì)云平臺(tái)應(yīng)用程序訪問(wèn)控制的基本問(wèn)題，從平臺(tái)的接口盜取用戶隱私數(shù)據(jù)，甚至控制用戶的IoT設(shè)備.

Fernandes等人[68]對(duì)SmartThings平臺(tái)進(jìn)行了安全評(píng)估，發(fā)現(xiàn)其事件子系統(tǒng)存在安全缺陷，且由于其訪問(wèn)控制設(shè)計(jì)的精細(xì)度不足，即使應(yīng)用只申請(qǐng)了設(shè)備的有限訪問(wèn)，但實(shí)際上也獲得了設(shè)備的完全控制權(quán).將這些缺陷結(jié)合起來(lái)，使得攻擊者可以通過(guò)惡意的SmartApp來(lái)實(shí)現(xiàn)竊取鎖密碼、引發(fā)假火警等操作.而Surbatovich[69]與Cobb等人[70]則對(duì)IFTTT進(jìn)行了分析，發(fā)現(xiàn)約有一半左右的云應(yīng)用可能不安全，這些應(yīng)用可能會(huì)破壞用戶信息的機(jī)密性和完整性，例如：當(dāng)用戶家地下室門打開(kāi)后發(fā)送消息的云應(yīng)用存在泄露用戶活動(dòng)行為的隱患.

除了惡意應(yīng)用，還有不少應(yīng)用本身并不是惡意的.單一應(yīng)用不會(huì)產(chǎn)生安全風(fēng)險(xiǎn)，但是多個(gè)應(yīng)用之間的物理或者非物理上的意外組合或交互，導(dǎo)致在應(yīng)用層構(gòu)建了一條邏輯上的、云平臺(tái)未曾預(yù)料到的數(shù)據(jù)鏈和信任鏈，引發(fā)訪問(wèn)控制漏洞.例如，根據(jù)Balliu等人[71]的研究，如果一個(gè)應(yīng)用的功能為無(wú)人在家時(shí)打開(kāi)恒溫器，而另一個(gè)應(yīng)用的功能為室溫過(guò)高時(shí)打開(kāi)窗戶，當(dāng)一個(gè)用戶同時(shí)使用這2種應(yīng)用時(shí)，則可能出現(xiàn)屋子主人出門辦事，恒溫器啟動(dòng)后卻自動(dòng)觸發(fā)了打開(kāi)窗戶的云應(yīng)用，為入室盜竊創(chuàng)造了條件.

3.3.2 云平臺(tái)與云平臺(tái)對(duì)接時(shí)產(chǎn)生的漏洞

目前，云平臺(tái)的互相連接非常常見(jiàn)，尤其是在消費(fèi)級(jí)物聯(lián)網(wǎng)云平臺(tái)，這便于消費(fèi)者將多個(gè)廠商的物聯(lián)網(wǎng)設(shè)備或者非物聯(lián)網(wǎng)服務(wù)進(jìn)行聯(lián)動(dòng)和管理.比如，一個(gè)智能安防和智能家居的開(kāi)發(fā)者可以通過(guò)IFTTT將某個(gè)品牌的智能門鎖與另一個(gè)品牌的智能燈進(jìn)行聯(lián)動(dòng)，在門打開(kāi)時(shí)亮起燈光.IFTTT作為頂層云平臺(tái)，需要與2個(gè)其他廠商的云平臺(tái)進(jìn)行對(duì)接，以方便接受門的開(kāi)啟信息和發(fā)出開(kāi)燈的命令.云平臺(tái)之間的交互顯著加長(zhǎng)了物聯(lián)網(wǎng)數(shù)據(jù)鏈，使訪問(wèn)控制安全的攻擊面延伸，云平臺(tái)之間對(duì)接的協(xié)議也沒(méi)有標(biāo)準(zhǔn)化方案.

目前廠商的主要做法是使用OAuth(open auth-orization)協(xié)議來(lái)進(jìn)行平臺(tái)之間的授權(quán)和鑒權(quán)[72]，但OAuth本身為一個(gè)集中式的權(quán)限管理協(xié)議，這種集中式的服務(wù)會(huì)使得攻擊者在攻陷一個(gè)系統(tǒng)后就可以利用系統(tǒng)中保存的令牌同時(shí)獲得當(dāng)前系統(tǒng)中所有用戶的物聯(lián)網(wǎng)設(shè)備權(quán)限.另外，由于OAuth協(xié)議中缺少對(duì)被授權(quán)主體的驗(yàn)證，在云平臺(tái)與云平臺(tái)對(duì)接授權(quán)后，設(shè)備主人通過(guò)云平臺(tái)將設(shè)備共享給其他用戶(例如：授予短期住宿的客人開(kāi)門權(quán)限)，如果云平臺(tái)的實(shí)現(xiàn)不當(dāng)，不慎將OAuth令牌泄露給用戶，會(huì)導(dǎo)致用戶意外獲得這個(gè)門鎖的完全控制權(quán)，即使主人在平臺(tái)上撤回權(quán)限也無(wú)法真正回收權(quán)限.

此外，由于目前各個(gè)平臺(tái)的對(duì)接標(biāo)準(zhǔn)不統(tǒng)一，各個(gè)平臺(tái)都存在特有的格式和要求，導(dǎo)致對(duì)接時(shí)的信息可能會(huì)被另一方錯(cuò)誤使用，導(dǎo)致訪問(wèn)控制漏洞.例如：Yuan等人[73]發(fā)現(xiàn)Google Home與SmartThings對(duì)接時(shí)，SmartThings會(huì)向Google Home傳遞設(shè)備Device ID，對(duì)于SmartThings平臺(tái)來(lái)說(shuō)，這是一個(gè)需要保密的信息，但是Google Home卻認(rèn)為其是一個(gè)可以公開(kāi)的普通字段，因此Google Home在授權(quán)給其他用戶時(shí)會(huì)將Device ID傳遞給其他用戶，導(dǎo)致惡意用戶可以偽造設(shè)備的觸發(fā)事件.

3.3.3 IoT設(shè)備綁定存在漏洞

設(shè)備綁定漏洞主要存在于智能家居領(lǐng)域.當(dāng)云平臺(tái)設(shè)備進(jìn)行綁定時(shí)，需要用戶手機(jī)App、云平臺(tái)、IoT設(shè)備三方共同協(xié)作完成，最后才能將IoT設(shè)備綁定到用戶手機(jī)App的賬號(hào)中.而如果在云平臺(tái)中進(jìn)行設(shè)備綁定的狀態(tài)模型出現(xiàn)問(wèn)題，則可能導(dǎo)致設(shè)備被敵手重綁定、解綁定等.Zhou[74]與Chen等人[75]展示了多種狀態(tài)模型漏洞的利用方法，他們發(fā)現(xiàn)目前云平臺(tái)綁定IoT設(shè)備時(shí)用到的均為類似設(shè)備ID、設(shè)備網(wǎng)卡地址、設(shè)備型號(hào)等公開(kāi)或者容易被嗅探出來(lái)的信息，使得攻擊者在獲得這些信息后可以偽造出一個(gè)“幻影“設(shè)備，將真正的設(shè)備綁定到攻擊者的帳號(hào)下，或者將“幻影”設(shè)備綁定在原有帳號(hào)下偽造各種數(shù)據(jù)，這種攻擊方式本質(zhì)上利用的是云平臺(tái)對(duì)設(shè)備接入的訪問(wèn)控制邏輯錯(cuò)誤，利用物聯(lián)網(wǎng)數(shù)據(jù)鏈，使有害信息傳遞到用戶App.

3.3.4 App與設(shè)備端應(yīng)用層漏洞

與手機(jī)App有關(guān)的訪問(wèn)控制漏洞，主要發(fā)生在本文1.1節(jié)中提到的本地控制設(shè)備，或控制一些不支持云平臺(tái)的IoT設(shè)備上.在這種情況下，IoT設(shè)備受到手機(jī)App的直接操作，由于App與IoT之間的交互通常使用局域網(wǎng)、藍(lán)牙等本地通信方式，使得攻擊者如果在本地或者已經(jīng)取得手機(jī)部分權(quán)限的情況下，可以利用物聯(lián)網(wǎng)設(shè)備訪問(wèn)控制模型的安全問(wèn)題進(jìn)行攻擊.例如Sivakumaran等人[60]發(fā)現(xiàn)，在安卓系統(tǒng)中手機(jī)App與IoT設(shè)備配對(duì)完成后，如果設(shè)備上裝有攻擊者的App且有藍(lán)牙權(quán)限，可以與此IoT設(shè)備的藍(lán)牙連接，如果設(shè)備沒(méi)有實(shí)現(xiàn)額外的通信加密，將會(huì)導(dǎo)致惡意App也可以控制IoT設(shè)備.

設(shè)備端應(yīng)用層的訪問(wèn)控制漏洞比較復(fù)雜，主要發(fā)生于設(shè)備端允許多種控制主體的情況下.值得注意的是，設(shè)備端應(yīng)用層漏洞與設(shè)備端感知層漏洞具有顯著區(qū)別，感知層漏洞主要是設(shè)備軟硬件本身的安全漏洞，而設(shè)備端應(yīng)用層漏洞則主要利用設(shè)備狀態(tài)機(jī)模型和控制邏輯的問(wèn)題.例如，Jia等人[76]發(fā)現(xiàn)，一臺(tái)設(shè)備可能被多個(gè)控制主體同時(shí)控制，如Apple HomeKit和設(shè)備廠商的云服務(wù)，這2種控制方式的狀態(tài)機(jī)完全獨(dú)立，當(dāng)設(shè)備主人沒(méi)有占用Apple HomeKit的控制通道，一個(gè)潛在的攻擊者可以悄無(wú)聲息地占用這條控制通道.借助于這種多通道控制，一個(gè)設(shè)備可以在應(yīng)用層對(duì)應(yīng)多個(gè)主人.

3.3.5 小 結(jié)

應(yīng)用層攻擊面總結(jié)如表3所示.應(yīng)用層在物聯(lián)網(wǎng)架構(gòu)中具有最高的計(jì)算和存儲(chǔ)能力，因而在訪問(wèn)控制中也主要承擔(dān)策略的維護(hù)和權(quán)限的下發(fā).由于物聯(lián)網(wǎng)信任鏈的風(fēng)險(xiǎn)傳遞，存在邏輯缺陷或機(jī)制不對(duì)等的云、應(yīng)用、設(shè)備或接口成為了訪問(wèn)控制安全性的短板，引發(fā)訪問(wèn)控制機(jī)制與協(xié)議缺陷、系統(tǒng)漏洞等攻擊面.

Table 3 Application Layer Access Control Attack Surface

4 物聯(lián)網(wǎng)訪問(wèn)控制安全性解決方案

如2.2節(jié)所述，已經(jīng)有相關(guān)工作提出了物聯(lián)網(wǎng)訪問(wèn)控制框架的特性與原則，但并未針對(duì)安全性問(wèn)題進(jìn)行細(xì)致的研究探索.為了實(shí)現(xiàn)安全的物聯(lián)網(wǎng)訪問(wèn)控制，需要結(jié)合物聯(lián)網(wǎng)的特性，滿足4點(diǎn)要求：

1)機(jī)制完善

物聯(lián)網(wǎng)結(jié)構(gòu)與數(shù)據(jù)流轉(zhuǎn)復(fù)雜，因此，需要更加細(xì)致、完善的訪問(wèn)控制機(jī)制與流程.

2)應(yīng)對(duì)攻擊面

安全的訪問(wèn)控制除了在機(jī)制上要完善，還應(yīng)該在具體的技術(shù)建設(shè)層面解決脆弱點(diǎn)與攻擊面帶來(lái)的安全風(fēng)險(xiǎn).

3)多級(jí)認(rèn)證與授權(quán)

由于物聯(lián)網(wǎng)的數(shù)據(jù)流轉(zhuǎn)在多個(gè)層次之間進(jìn)行流轉(zhuǎn)，存在信任鏈條的傳遞，在每一個(gè)環(huán)節(jié)都可能存在不同類型的風(fēng)險(xiǎn)，因此，安全的物聯(lián)網(wǎng)訪問(wèn)控制應(yīng)該向著多級(jí)認(rèn)證、逐級(jí)授權(quán)的細(xì)粒度方向演進(jìn).

4)結(jié)合具體場(chǎng)景

物聯(lián)網(wǎng)與人類社會(huì)的生產(chǎn)生活息息相關(guān)，其業(yè)務(wù)場(chǎng)景包括了智能家居、智慧醫(yī)療、工業(yè)控制、車聯(lián)網(wǎng)等，不同場(chǎng)景的數(shù)據(jù)敏感程度與被控風(fēng)險(xiǎn)程度有所不同，在具體建立訪問(wèn)控制時(shí)需要結(jié)合具體場(chǎng)景進(jìn)行設(shè)計(jì)規(guī)劃.

本節(jié)圍繞訪問(wèn)控制在物聯(lián)網(wǎng)架構(gòu)各個(gè)層次中的攻擊面以及各個(gè)層次在訪問(wèn)控制中的角色，對(duì)現(xiàn)有的訪問(wèn)控制安全性解決方案的相關(guān)研究進(jìn)行歸納總結(jié).

4.1 感知層訪問(wèn)控制安全性解決方案

感知層主要包含設(shè)備及設(shè)備上搭載的傳感器.在訪問(wèn)控制場(chǎng)景中，一方面作為主體，負(fù)責(zé)收集數(shù)據(jù)作為身份認(rèn)證信息；另一方面負(fù)責(zé)執(zhí)行云端通過(guò)認(rèn)證與授權(quán)后下發(fā)的指令.

4.1.1 傳感器層面

傳感器在物聯(lián)網(wǎng)系統(tǒng)中廣泛存在，其形式多樣、種類豐富，在物聯(lián)網(wǎng)架構(gòu)中扮演著收集信息的角色，其主要的訪問(wèn)控制安全威脅在于收集到的有關(guān)身份認(rèn)證的信息(如指紋、聲紋等)可能被篡改、被偽造，因此，很多研究工作從信息防偽造的角度著手，強(qiáng)化傳感器層面的訪問(wèn)控制安全.

在傳感器層面，大多數(shù)的訪問(wèn)控制解決方案需要針對(duì)特定傳感器的特定攻擊方法來(lái)實(shí)施，比如較為常見(jiàn)的指紋和聲紋偽造2種場(chǎng)景.針對(duì)指紋傳感器欺騙檢測(cè)的方法一般分為2類[45]：基于硬件的檢測(cè)和基于軟件的檢測(cè).

對(duì)于硬件檢測(cè)，可以通過(guò)增加傳感器設(shè)備來(lái)收集生命特征，比如溫度、血壓、導(dǎo)電率等，這種硬件檢測(cè)方法準(zhǔn)確度較高但增加了設(shè)備的成本，且無(wú)法應(yīng)用于舊設(shè)備中.

軟件檢測(cè)僅通過(guò)增強(qiáng)對(duì)圖像的識(shí)別來(lái)區(qū)分真實(shí)指紋和偽造的指紋[77].目前基于機(jī)器學(xué)習(xí)的軟件圖像檢測(cè)方法較為流行，比如Xia等人[78]提出了一種新的韋伯局部二值描述符(Weber local binary descriptor, WLBD)用于指紋活性檢測(cè)，他們?cè)谠械捻f伯局部描述符的基礎(chǔ)上進(jìn)行了改進(jìn)，并在公共數(shù)據(jù)庫(kù)中取得了更好的準(zhǔn)確性.而對(duì)于聲紋偽造的識(shí)別，可以從不同的角度進(jìn)行分析，比如口腔運(yùn)動(dòng)、咽部震動(dòng)、磁場(chǎng)、聲場(chǎng)分析.Yan等人[79]通過(guò)聲音在空氣中傳播產(chǎn)生的聲能物理場(chǎng)來(lái)區(qū)分人類和揚(yáng)聲器，實(shí)現(xiàn)了一種與文本無(wú)關(guān)的人聲驗(yàn)證方法CaField，在多種語(yǔ)音輸入的測(cè)試中實(shí)現(xiàn)了99.16%的檢測(cè)準(zhǔn)確率.

4.1.2 設(shè)備層面

設(shè)備感知層的訪問(wèn)控制模型較簡(jiǎn)單，攻擊面與傳統(tǒng)的嵌入式設(shè)備攻擊面大致相同，主要的薄弱點(diǎn)為設(shè)備軟硬件漏洞，因此設(shè)備層面的安全防御主要是漏洞的發(fā)現(xiàn)和修復(fù)以及可信計(jì)算加固，防止?jié)撛诘穆┒蠢玫?

文獻(xiàn)[80]提出了一種針對(duì)物聯(lián)網(wǎng)設(shè)備的自動(dòng)模糊測(cè)試框架IoTFuzzer，它可以在不獲取固件的情況下發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備中的內(nèi)存安全漏洞，通過(guò)分析可以操作物聯(lián)網(wǎng)設(shè)備的移動(dòng)App的代碼來(lái)生成測(cè)試樣例，再使用API鉤子對(duì)目標(biāo)物聯(lián)網(wǎng)設(shè)備進(jìn)行測(cè)試.在文獻(xiàn)[80]的作者給出的測(cè)試結(jié)果中，IoTFuzzer成功識(shí)別到17臺(tái)物聯(lián)網(wǎng)設(shè)備中的15個(gè)內(nèi)存安全漏洞.而Zheng等人[81]實(shí)現(xiàn)的FIRM-AFL框架可以用于物聯(lián)網(wǎng)設(shè)備固件的灰盒測(cè)試.與文獻(xiàn)[80]不同的是，F(xiàn)IRM-AFL需要對(duì)物聯(lián)網(wǎng)設(shè)備固件進(jìn)行仿真運(yùn)行，文獻(xiàn)[81]提出了一種增強(qiáng)過(guò)程仿真的技術(shù)，結(jié)合了全系統(tǒng)仿真和用戶態(tài)仿真，提升了仿真的運(yùn)行效率.文獻(xiàn)[81]的評(píng)估表明，F(xiàn)IRM-AFL可以發(fā)現(xiàn)現(xiàn)實(shí)物聯(lián)網(wǎng)設(shè)備固件中的漏洞，并且平均吞吐量可以達(dá)到全系統(tǒng)仿真的8.2倍.除了使用自動(dòng)模糊測(cè)試的手段及時(shí)發(fā)現(xiàn)漏洞外，還可以通過(guò)可信執(zhí)行環(huán)境、控制流保護(hù)、數(shù)據(jù)執(zhí)行保護(hù)等手段防御漏洞攻擊.在物聯(lián)網(wǎng)設(shè)備中提供可信執(zhí)行環(huán)境可以隔離可信應(yīng)用和普通應(yīng)用，在一定程度上緩解了遠(yuǎn)程漏洞攻擊影響，保證了可信應(yīng)用的安全，同時(shí)也可以避免具有物理權(quán)限的攻擊者提取敏感信息.

文獻(xiàn)[82]中對(duì)比了2種目前可用于物聯(lián)網(wǎng)設(shè)備的可信執(zhí)行環(huán)境，即ARM TrustZone和安全控制器(security controller, SC)，發(fā)現(xiàn)ARM TrustZone更加靈活高效，但安全控制器能更有效地抵抗物理入侵.而物聯(lián)網(wǎng)設(shè)備的控制流保護(hù)也可以在一定程度增加漏洞攻擊的利用難度，避免攻擊者利用漏洞控制物聯(lián)網(wǎng)設(shè)備，從而直接打破訪問(wèn)控制體系.文獻(xiàn)[83]中提出了一個(gè)名為Silhouette的編譯器執(zhí)行流保護(hù)技術(shù)，可以用于常見(jiàn)的嵌入式設(shè)備中，該技術(shù)可以有效地保護(hù)返回地址的完整性，緩解了控制流執(zhí)行攻擊.感知層設(shè)備作為物聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)來(lái)源，任何的漏洞攻擊都會(huì)導(dǎo)致整個(gè)系統(tǒng)的訪問(wèn)控制失效，因此設(shè)備中的軟件和硬件都應(yīng)實(shí)施一定程度上的漏洞防御機(jī)制才能保護(hù)整個(gè)物聯(lián)網(wǎng)系統(tǒng)的安全.

4.2 網(wǎng)絡(luò)層訪問(wèn)控制安全性解決方案

網(wǎng)絡(luò)層在物聯(lián)網(wǎng)中主要負(fù)責(zé)數(shù)據(jù)的傳輸，為了更安全地訪問(wèn)控制，需要保障數(shù)據(jù)傳輸過(guò)程中的安全，通過(guò)完善加密算法、傳輸協(xié)議等避免訪問(wèn)控制場(chǎng)景中的身份認(rèn)證信息、授權(quán)信息被竊取或篡改.

4.2.1 網(wǎng)絡(luò)層近場(chǎng)通信

面對(duì)網(wǎng)絡(luò)層近場(chǎng)通信的安全威脅通常有2種解決方案：

1)設(shè)計(jì)全新的安全通信協(xié)議，使其不僅適用物聯(lián)網(wǎng)的低功耗、低成本的需求特性，并且盡可能保障通信的安全，安全的設(shè)計(jì)貼合物聯(lián)網(wǎng)的復(fù)雜架構(gòu).Luo等人[84]提出了一種適用于異構(gòu)物聯(lián)網(wǎng)環(huán)境的輕量級(jí)近場(chǎng)通信協(xié)議，基于對(duì)稱密鑰和混沌系統(tǒng)實(shí)現(xiàn)了設(shè)備間的安全通信.

2)在原有協(xié)議的基礎(chǔ)上進(jìn)行擴(kuò)展或者改進(jìn)，利用擴(kuò)展部分保障原有通信協(xié)議的安全或者改進(jìn)原有協(xié)議以便消除威脅.Fawaz等人[57]針對(duì)由于BLE設(shè)備廣播的訪問(wèn)控制失效引起的安全威脅提出了BLE-Guardian系統(tǒng)，用于保護(hù)BLE設(shè)備、物聯(lián)網(wǎng)用戶、環(huán)境的隱私.Alshahrani等人[85]基于ZigBee提出了一種新的協(xié)議，實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備間的相互認(rèn)證，并且使得認(rèn)證具備匿名性，同時(shí)多角度評(píng)估驗(yàn)證了協(xié)議的安全性.Wang等人[86]提出了一種新的無(wú)證書(shū)ZigBee加入?yún)f(xié)議，解決了由ZigBee預(yù)共享密鑰泄露導(dǎo)致的訪問(wèn)控制失效問(wèn)題.Wu等人[87]提出了LIGHTBLUE工具，該工具應(yīng)用控制流和數(shù)據(jù)流分析的組合來(lái)刪除BLE主機(jī)中未使用的代碼，最大限度地減少了攻擊面，減少了由于訪問(wèn)控制失效等導(dǎo)致的各種安全威脅.

4.2.2 網(wǎng)絡(luò)層遠(yuǎn)場(chǎng)通信

網(wǎng)絡(luò)層遠(yuǎn)場(chǎng)通信的安全威脅解決方案與近場(chǎng)通信的解決方案類似，通常有2種方案：1)設(shè)計(jì)新的適用于物聯(lián)網(wǎng)遠(yuǎn)場(chǎng)通信并有安全通信保障的新協(xié)議；2)在原有協(xié)議基礎(chǔ)上進(jìn)行擴(kuò)展或改進(jìn).Kumar等人[88]設(shè)計(jì)實(shí)現(xiàn)了物聯(lián)網(wǎng)端對(duì)端加密協(xié)議JEDI(Joining Encryption and Delegation for IoT)，可以用于解耦多對(duì)多通信，具有對(duì)數(shù)據(jù)的細(xì)粒度訪問(wèn)和支持密鑰過(guò)期等各種適用于物聯(lián)網(wǎng)遠(yuǎn)場(chǎng)通信的特性，特別是低成本、低功耗特性；JEDI協(xié)議還允許主體將密鑰委托給其他主體，從而授予對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，并以可擴(kuò)展的分布式方式管理訪問(wèn)控制.Jia等人[20]提出了新的控制關(guān)鍵協(xié)議實(shí)體的設(shè)計(jì)原則和增強(qiáng)訪問(wèn)模型MOUCON(message-oriented usage control model)，以解決MQTT缺乏協(xié)議內(nèi)實(shí)體保護(hù)和原始的MQTT協(xié)議的安全模型不支持身份、消息、會(huì)話狀態(tài)等保護(hù)導(dǎo)致的安全威脅.Lohachab[89]基于橢圓曲線密碼體制和MQTT協(xié)議提出了一種適用于分布式物聯(lián)網(wǎng)環(huán)境的輕量級(jí)認(rèn)證和授權(quán)框架.

4.3 應(yīng)用層訪問(wèn)控制安全性解決方案

應(yīng)用層包含云平臺(tái)和用戶App，其中存在云平臺(tái)與用戶的交互、云平臺(tái)與設(shè)備的交互、云平臺(tái)與云平臺(tái)之間的交互等，在各種類型的交互中都存在著訪問(wèn)控制過(guò)程.而應(yīng)用層在物聯(lián)網(wǎng)架構(gòu)中作為具備高性能運(yùn)算與存儲(chǔ)的層次，需要建立更完善的訪問(wèn)控制模型、更安全的認(rèn)證與授權(quán)機(jī)制.

4.3.1 基于云平臺(tái)上云應(yīng)用行為的訪問(wèn)控制

目前，云平臺(tái)中云應(yīng)用所廣泛運(yùn)用的訪問(wèn)控制系統(tǒng)均基于權(quán)限，多項(xiàng)研究[90-92]已經(jīng)證明基于權(quán)限的訪問(wèn)控制系統(tǒng)因其控制粒度不足，無(wú)法控制應(yīng)用獲得權(quán)限后的使用方式，使其仍不能阻止云應(yīng)用的惡意行為.當(dāng)前的學(xué)者為了解決這個(gè)問(wèn)題，主要通過(guò)不同方式收集當(dāng)前應(yīng)用的行為，直接對(duì)應(yīng)用行為進(jìn)行安全審計(jì)，從而構(gòu)建擁有更加細(xì)致的控制粒度的訪問(wèn)控制系統(tǒng)，這讓?xiě)?yīng)用即使擁有權(quán)限也無(wú)法做出惡意的行為.

目前的研究方向有3種，分別通過(guò)靜態(tài)分析、動(dòng)態(tài)插樁和監(jiān)聽(tīng)流量來(lái)收集應(yīng)用行為.

1)靜態(tài)分析.直接對(duì)應(yīng)用的代碼進(jìn)行行為分析，判斷應(yīng)用是否存在惡意的行為.例如：SOTERIA[92]和SAINT[93]均通過(guò)靜態(tài)分析來(lái)識(shí)別應(yīng)用的行為.其中，SAINT主要跟蹤應(yīng)用中的信息流，避免用戶敏感信息的泄露；而SOTERIA則主要分析應(yīng)用中對(duì)IoT設(shè)備的控制，構(gòu)建設(shè)備的狀態(tài)機(jī)并分析安全性，防止惡意應(yīng)用控制IoT設(shè)備，從而危害用戶的生命財(cái)產(chǎn)安全.

2)動(dòng)態(tài)插樁.通過(guò)在已有的代碼中手動(dòng)或者自動(dòng)的方式插入用于審計(jì)的代碼，從而直接限制數(shù)據(jù)的流向或者在運(yùn)行時(shí)收集上下文信息并分析出當(dāng)前應(yīng)用的行為.其中FlowFence[94]通過(guò)開(kāi)發(fā)人員在當(dāng)前應(yīng)用代碼上增加、修改代碼來(lái)控制數(shù)據(jù)的流向從而實(shí)現(xiàn)動(dòng)態(tài)插樁，使得敏感數(shù)據(jù)只能流向預(yù)期的目標(biāo).ContexIoT[90]，Tyche[91]，ProvThings[95]，IoTGuard[96]，SmartAuth[97]均實(shí)現(xiàn)了自動(dòng)插樁，不需要額外消耗開(kāi)發(fā)人員的時(shí)間，能夠自動(dòng)跟蹤數(shù)據(jù)的流向并分析程序操控IoT設(shè)備的行為.例如ContexIoT,ProvThings等還實(shí)現(xiàn)了用戶界面，允許向用戶警告程序的危險(xiǎn)行為，讓用戶決定是否放行；而SmartAuth還額外有一套基于自然語(yǔ)言處理(natural language processing, NLP)的分析系統(tǒng)，可以自動(dòng)獲得程序正常的行為，從而減少向用戶告警的次數(shù).

3)監(jiān)聽(tīng)流量.這個(gè)方面最具有代表性的解決方案是Homonit[98]，其通過(guò)解析捕捉到ZigBee或者Z-wave等無(wú)線協(xié)議的流量，然后將這些流量中的特征進(jìn)行分析從而得出應(yīng)用是否存在不當(dāng)行為.這種方式相對(duì)來(lái)說(shuō)限制較小，不需要應(yīng)用的源代碼也可以對(duì)應(yīng)用的行為進(jìn)行檢測(cè)，但是也最容易受到干擾導(dǎo)致誤報(bào).

4.3.2 統(tǒng)一且去中心化的云平臺(tái)對(duì)接授權(quán)協(xié)議

在當(dāng)前的云平臺(tái)與云平臺(tái)對(duì)接中，主要沿用了互聯(lián)網(wǎng)中的OAuth協(xié)議，其作為一個(gè)集中式的權(quán)限管理協(xié)議，容易導(dǎo)致系統(tǒng)被攻陷后憑據(jù)被攻擊者獲取從而使得其破壞訪問(wèn)控制，因此授權(quán)協(xié)議應(yīng)該是去中心化的.對(duì)于這個(gè)問(wèn)題，已經(jīng)有Andersen等人[72]和Fernandes等人[99]給出了WAVE和XToken的解決方案，他們都使用了基于密碼學(xué)的方法，將集中式的權(quán)限模型變?yōu)榉植际降臋?quán)限模型，這使得即使一方權(quán)限被攻陷，攻擊者也無(wú)法完全控制其所擁有的權(quán)限.另外，由于OAuth并非為IoT場(chǎng)景所設(shè)計(jì)，對(duì)接時(shí)往往需要傳遞額外的信息，比如設(shè)備、用戶相關(guān)的資料，而這些信息本身可能是需要保密的，卻可能被對(duì)接方錯(cuò)誤地泄露出去，導(dǎo)致訪問(wèn)控制問(wèn)題.為了解決這個(gè)問(wèn)題，需要目前的云平臺(tái)聯(lián)合起來(lái)，基于XToken,WAVE等去中心化協(xié)議，共同商議出一套統(tǒng)一的對(duì)接授權(quán)協(xié)議.

4.3.3 云平臺(tái)設(shè)備綁定

目前發(fā)現(xiàn)的設(shè)備綁定時(shí)漏洞的成因主要來(lái)自于在更改綁定狀態(tài)模型時(shí)沒(méi)有驗(yàn)證綁定狀態(tài)轉(zhuǎn)換的合法性和認(rèn)證時(shí)使用靜態(tài)設(shè)備身份認(rèn)證信息.為此，應(yīng)研究動(dòng)態(tài)生成的設(shè)備綁定信息和經(jīng)過(guò)驗(yàn)證的綁定狀態(tài)模型.IoT設(shè)備的設(shè)備ID等信息應(yīng)在注冊(cè)時(shí)由云平臺(tái)通過(guò)算法生成后下發(fā)，而不是在出廠時(shí)硬編碼進(jìn)芯片中，并且生成算法中應(yīng)包含用戶ID、隨機(jī)數(shù)等難以被攻擊者猜測(cè)、枚舉出的信息.同時(shí)，為了防止攻擊者進(jìn)行惡意的綁定狀態(tài)轉(zhuǎn)換，云平臺(tái)在對(duì)綁定狀態(tài)進(jìn)行轉(zhuǎn)換時(shí)，應(yīng)驗(yàn)證狀態(tài)轉(zhuǎn)換請(qǐng)求的發(fā)送用戶的綁定狀態(tài)、目標(biāo)綁定的設(shè)備狀態(tài)和請(qǐng)求消息中的認(rèn)證信息，避免狀態(tài)的非法轉(zhuǎn)換[74].

4.4 小 結(jié)

當(dāng)前物聯(lián)網(wǎng)訪問(wèn)控制安全性解決方案總結(jié)如表4所示.總結(jié)當(dāng)前的物聯(lián)網(wǎng)訪問(wèn)控制安全性解決方案相關(guān)研究，漏洞的檢測(cè)是各個(gè)層次都重點(diǎn)關(guān)注的研究方向.而根據(jù)訪問(wèn)控制業(yè)務(wù)功能的區(qū)別，各層次的安全性解決方案也有所側(cè)重.其中，感知層側(cè)重認(rèn)證信息偽造的規(guī)避；網(wǎng)絡(luò)層側(cè)重通信協(xié)議的安全加固；應(yīng)用層側(cè)重認(rèn)證與授權(quán)機(jī)制以及協(xié)議的設(shè)計(jì)和完善.

Table 4 Security Solution of IoT Access Control

根據(jù)當(dāng)前的相關(guān)研究，物聯(lián)網(wǎng)訪問(wèn)控制側(cè)重架構(gòu)與機(jī)制的設(shè)計(jì)、移植和應(yīng)對(duì)攻擊面的安全解決方案研究，在架構(gòu)與安全性整體化設(shè)計(jì)方面還有所欠缺.

5 挑戰(zhàn)與機(jī)遇

本節(jié)針對(duì)當(dāng)前安全的物聯(lián)網(wǎng)訪問(wèn)控制所面臨的困難與挑戰(zhàn)進(jìn)行了總結(jié).

1)物聯(lián)網(wǎng)設(shè)備種類規(guī)模巨大在當(dāng)前環(huán)境下，物聯(lián)網(wǎng)已經(jīng)廣泛滲透到各行各業(yè)中，在智能家居、智慧城市、工業(yè)4.0等各種場(chǎng)景中，都可以看到大量物聯(lián)網(wǎng)設(shè)備的影子.規(guī)模如此巨大的物聯(lián)網(wǎng)設(shè)備對(duì)訪問(wèn)控制系統(tǒng)的性能和架構(gòu)提出了巨大的挑戰(zhàn).除了規(guī)模巨大，物聯(lián)網(wǎng)設(shè)備由于在不同場(chǎng)景下的廣泛運(yùn)用，其種類也同樣繁多，這些設(shè)備往往都針對(duì)特定場(chǎng)景進(jìn)行了特殊的設(shè)計(jì)，導(dǎo)致不同設(shè)備之間存在巨大差異，包括計(jì)算能力、處理器架構(gòu)、操作系統(tǒng)等多個(gè)方面，這使得訪問(wèn)控制系統(tǒng)不僅需要覆蓋到所有場(chǎng)景下不同的設(shè)備類型，還要協(xié)調(diào)擁有不同特性的設(shè)備遵守其控制.為解決這些問(wèn)題，需要研究讓訪問(wèn)控制系統(tǒng)在擁有強(qiáng)大性能的同時(shí)還擁有良好的安全性和兼容性的方法.

2)物聯(lián)網(wǎng)安全架構(gòu)復(fù)雜

物聯(lián)網(wǎng)設(shè)備由于其天生的“萬(wàn)物互聯(lián)”特性，一般采用分布式部署，物聯(lián)網(wǎng)設(shè)備之間會(huì)直接進(jìn)行通信而不依賴額外的中心服務(wù)器進(jìn)行中轉(zhuǎn).但同時(shí)由于物聯(lián)網(wǎng)設(shè)備需要提供給用戶使用，一般仍然會(huì)存在一個(gè)中心的服務(wù)用于對(duì)用戶提供接入、下發(fā)用戶的命令或者接受來(lái)自設(shè)備的信息.這種復(fù)雜的中心化與去中心化混合的架構(gòu)對(duì)訪問(wèn)控制系統(tǒng)提出了巨大的挑戰(zhàn)，系統(tǒng)需要同時(shí)滿足設(shè)備、用戶、云端服務(wù)三者之間的訪問(wèn)控制，使得安全架構(gòu)非常復(fù)雜，難以保證安全性.然而，當(dāng)前的訪問(wèn)控制系統(tǒng)通常只著力于兩者之間的訪問(wèn)控制，例如用戶和設(shè)備之間的訪問(wèn)控制，而忽略云端，目前需要一種新的訪問(wèn)控制系統(tǒng)能夠同時(shí)滿足三者之間的安全訪問(wèn)控制，但同時(shí)保證系統(tǒng)能夠適應(yīng)物聯(lián)網(wǎng)的特殊環(huán)境而不會(huì)變得過(guò)于復(fù)雜.

3)解決方案以點(diǎn)為主缺乏統(tǒng)一

目前現(xiàn)有的物聯(lián)網(wǎng)系統(tǒng)為了保證安全性，一般都會(huì)存在訪問(wèn)控制系統(tǒng)，但由于缺少類似互聯(lián)網(wǎng)Web中的OAuth，XACML等統(tǒng)一的訪問(wèn)控制框架和協(xié)議，使得各個(gè)物聯(lián)網(wǎng)系統(tǒng)均為“點(diǎn)”，需要通過(guò)自己編寫(xiě)實(shí)現(xiàn)的系統(tǒng)進(jìn)行訪問(wèn)控制.這些系統(tǒng)往往缺少相關(guān)安全性測(cè)試，無(wú)法保證用戶和設(shè)備的安全，且這些系統(tǒng)也無(wú)法互相對(duì)接，讓“點(diǎn)”無(wú)法連成“線”和“面”，導(dǎo)致各個(gè)系統(tǒng)之間無(wú)法在保證安全的情況下方便地共享數(shù)據(jù)，與“萬(wàn)物互聯(lián)”的理念相違背.因此，需要研究人員和當(dāng)前廣大的物聯(lián)網(wǎng)設(shè)備公司進(jìn)行合作，開(kāi)發(fā)出一套統(tǒng)一而具有通用性的訪問(wèn)控制系統(tǒng).

6 未來(lái)研究方向

為了實(shí)現(xiàn)更安全、更高效的物聯(lián)網(wǎng)訪問(wèn)控制，本節(jié)提出了3個(gè)未來(lái)研究方向.

1)深入研究物聯(lián)網(wǎng)云平臺(tái)訪問(wèn)控制

云平臺(tái)作為物聯(lián)網(wǎng)的數(shù)據(jù)中心和控制中心，其中接入了大量的設(shè)備并存儲(chǔ)了大量的數(shù)據(jù)，一旦訪問(wèn)控制失效，將造成嚴(yán)重危害.然而，目前云平臺(tái)的訪問(wèn)控制問(wèn)題是物聯(lián)網(wǎng)訪問(wèn)控制問(wèn)題中的重災(zāi)區(qū)，包括云平臺(tái)內(nèi)部訪問(wèn)控制問(wèn)題、云平臺(tái)間的訪問(wèn)控制問(wèn)題，以及云平臺(tái)與設(shè)備、手機(jī)App等交互時(shí)的訪問(wèn)控制問(wèn)題.由于云平臺(tái)內(nèi)部的復(fù)雜性、云平臺(tái)中應(yīng)用和設(shè)備的多樣性、不同云平臺(tái)廠商間的封閉性，以及云和設(shè)備、協(xié)議之間的安全鴻溝，目前難以找到統(tǒng)一適用的訪問(wèn)控制模型解決云平臺(tái)的訪問(wèn)控制問(wèn)題.深入研究物聯(lián)網(wǎng)云平臺(tái)訪問(wèn)控制，是未來(lái)亟需研究的方向之一.

2)研究物聯(lián)網(wǎng)云對(duì)接標(biāo)準(zhǔn)化

當(dāng)前物聯(lián)網(wǎng)云平臺(tái)廠商各自都有自己的對(duì)接標(biāo)準(zhǔn)和訪問(wèn)控制機(jī)制，這些對(duì)接標(biāo)準(zhǔn)和訪問(wèn)控制機(jī)制能夠很好地適配本廠商生產(chǎn)的設(shè)備，然而面對(duì)其他廠商生產(chǎn)的設(shè)備接入，或者本廠商生產(chǎn)的設(shè)備接入其他云平臺(tái)時(shí)，就會(huì)引發(fā)訪問(wèn)控制失效問(wèn)題.由于物聯(lián)網(wǎng)具有分布式、靈活、動(dòng)態(tài)接入的特性，很多廠商不僅允許與本廠商的IoT設(shè)備進(jìn)行連接，還允許與其他廠商的云平臺(tái)進(jìn)行連接，甚至允許與自建云平臺(tái)進(jìn)行連接，這些連接過(guò)程由于不同的廠商有不同的標(biāo)準(zhǔn)規(guī)范，對(duì)連接后的平臺(tái)和設(shè)備的訪問(wèn)控制安全性造成了極大的沖擊.為延續(xù)物聯(lián)網(wǎng)分布式、靈活、動(dòng)態(tài)接入的特性，并使得對(duì)接入后的平臺(tái)和設(shè)備的安全性得到保證，本文認(rèn)為標(biāo)準(zhǔn)化這些對(duì)接過(guò)程是非常必要的.

3)在物聯(lián)網(wǎng)訪問(wèn)控制中引入零信任理念

在應(yīng)對(duì)物聯(lián)網(wǎng)場(chǎng)景中的應(yīng)用安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全方面，僅在傳統(tǒng)安全方案的基礎(chǔ)上做邊界加固和單點(diǎn)增強(qiáng)，難以系統(tǒng)性地緩解各類安全威脅，而零信任是一個(gè)新興的模型，作為一種可以支撐未來(lái)發(fā)展的安全防護(hù)方式正逐漸受到越來(lái)越多的關(guān)注.零信任模型并非全盤否定，而是秉承網(wǎng)絡(luò)始終存在內(nèi)部和外部威脅，所有的設(shè)備、用戶和流量在驗(yàn)證前不存在固有信任的原則，堅(jiān)持持續(xù)驗(yàn)證、最小權(quán)限.因此，訪問(wèn)控制作為物聯(lián)網(wǎng)場(chǎng)景中數(shù)據(jù)安全和網(wǎng)絡(luò)安全防護(hù)的重要關(guān)口，需要引入零信任模型的理念進(jìn)行物聯(lián)網(wǎng)場(chǎng)景的適配和流程架構(gòu)的設(shè)計(jì)，從而實(shí)現(xiàn)動(dòng)態(tài)、實(shí)時(shí)、持續(xù)、精準(zhǔn)、安全的訪問(wèn)控制.

7 總 結(jié)

近年來(lái)物聯(lián)網(wǎng)安全事件頻發(fā)，物聯(lián)網(wǎng)安全越來(lái)越得到重視.而訪問(wèn)控制作為保護(hù)資源和信息的關(guān)鍵機(jī)制，在物聯(lián)網(wǎng)生態(tài)中發(fā)揮著重要作用.本文針對(duì)物聯(lián)網(wǎng)訪問(wèn)控制的安全性進(jìn)行了充分的調(diào)研梳理，從物聯(lián)網(wǎng)的3個(gè)層次分別展開(kāi)，分析了每個(gè)層次中存在的風(fēng)險(xiǎn)脆弱點(diǎn)以及對(duì)應(yīng)的攻擊面，總結(jié)了近年來(lái)針對(duì)這些攻擊面的防御理論和方法，并提出了物聯(lián)網(wǎng)訪問(wèn)控制安全性設(shè)計(jì)要求.基于現(xiàn)有的理論研究基礎(chǔ)，分析了安全的物聯(lián)網(wǎng)訪問(wèn)控制中存在的挑戰(zhàn)，最后給出了未來(lái)的研究熱點(diǎn).

作者貢獻(xiàn)聲明：劉奇旭負(fù)責(zé)論文的總體規(guī)劃、指導(dǎo)與論文的撰寫(xiě)工作；靳澤負(fù)責(zé)論文主要內(nèi)容的調(diào)研和撰寫(xiě)；陳燦華、高新博、鄭寧軍分層次負(fù)責(zé)相關(guān)工作的調(diào)研和梳理；方儀偉負(fù)責(zé)相關(guān)文獻(xiàn)的整理和內(nèi)容校對(duì)工作；馮云負(fù)責(zé)論文內(nèi)容和結(jié)構(gòu)的梳理.