摘要

在当前部署的技术不能在具有复杂社会关系的多个用户与单个设备交互的设置中提供可用的访问控制规范或认证。
在本文中，我们开始重新构想家用物联网设备的访问控制和认证。
我们建议访问控制关注物联网功能（即设备可以执行的某些操作），而不是关注每个设备的粒度。
在一项由425名参与者组成的在线用户研究中，我们发现参与者对于单个设备内的不同功能和他们自身能力的匹配很不相同。
从这些所需的策略中，我们确定了默认策略的可能候选者。我们还指出了用于更复杂但需要的访问控制策略的必要原语。
这些原语的范围从一天的时间范围到用户的当前位置。
最后，我们将讨论不同的身份验证方法对所需策略的潜在支持程度。

1 介绍

近年来，面向消费家庭的物联网设备激增。到目前为止，物联网安全和隐私研究的重点是此类设备的不安全软件工程实践、不正当的信息流以及修补联网设备的固有困难。

令人惊讶的是，很少有人关注家庭物联网中的访问控制策略规范（表示允许哪些特定用户，在哪些上下文中访问资源）或身份验证（验证用户是否为其声称的身份）。这种交易令人担忧，因为物联网有别于以前计算域的特点需要重新考虑访问控制和身份验证。像电脑、手机、平板电脑和智能手表这样的传统设备通常只有一个人使用。因此，一旦用户向自己的设备进行身份验证，则只需要最小限度的进一步访问控制。这些设备都有屏幕和键盘，因此认证过程通常涉及密码、个人识别码、指纹生物识别或类似的方法。

家庭物联网设备由于许多用户和单个家庭物联网设备交互，用于指定访问控制策略和验证用户的广泛部署的技术是不够的。让事情变得复杂的是，家庭中的用户彼此之间往往有着复杂的社会关系，这改变了威胁模式。例如，顽皮的孩子、好奇自己的孩子在做什么的父母、虐待的恋人，这些都是在家庭物联网环境中被放大的本地化威胁。

此外，很少有物联网设备有屏幕或键盘，因此用户不能只输入密码。虽然用户可能会使用手机作为中央身份验证机制，但这将失去物联网设备的免提的便利性，而像语音助手说密码这样的解决方案通常是不安全的。

针对家用物联网设备的当前访问控制策略规范和身份验证缺陷的真实例子已经开始出现。我们可以想象，例如一个好奇的保姆暂时进入一个家庭，仔细阅读设备的交互历史，或者一个有事业心的窃贼通过一扇破裂的窗户要求语音助手打开前门。

在本文中，我们向重新思考家庭物联网的访问控制策略和认证规范迈出了第一步。我们的调查围绕四个研究问题展开，我们在一项425人参与的用户研究中对这些问题进行了研究。这些研究问题的攻击使我们观察到，许多家用物联网设备在单个设备中结合了各种功能。例如，一个家庭枢纽或一个语音助手可以执行从打开灯到控制门锁的各种任务。当前的访问控制和身份验证通常基于以设备为中心的模型，其中允许或拒绝每个设备的访问。我们转向以功能为中心的模型，在该模型中，我们将功能定义为可以在特定设备（例如语音助理）上执行的特定操作（例如在线订购商品）。直觉表明，不同的能力有不同的敏感性，这就引出了我们的第一个研究问题。

• RQ1： 所需的访问控制策略在单个家庭物联网设备的不同功能中是否有所不同？

我们通过让每个研究参与者为我们确定的22个家庭物联网功能之一指定他们想要的访问控制策略来研究这个问题。对于具有六种不同关系的家庭成员（例如，配偶、孩子和保姆），参与者指定何时应该允许该人使用该功能。我们的发现证实了我们的直觉，即关于功能的策略化比关于设备的策略更能捕捉用户的偏好。语音助力和门的不同功能尤其引起了截然不同的策略。
虽然细粒度地指定谁应该能够使用哪些功能来捕获用户策略是必要的，但它会带来高昂的可用性成本。为了通过默认策略将这一负担降至最低，我们要求：

• RQ2：对于那些关系（例如，孩子）和功能（例如，打开灯），希望参与者之间保持一致的访问控制策略？这些可以是默认设置。

在我们的研究中，几乎所有的参与者都希望他们的配偶在任何时候能够使用日志删除以外的能力。参与者还希望其他人在家时能够控制灯光和恒温器。正如先前的策略所暗示的那样，特定个人使用某项功能的上下文可能很重要。孩子们可能会被允许控制灯光，但可能不会像孩子们习惯的那样连续开灯和关灯数百次。孩子们也不应该被允许在父母不在家的时候操作大多数家用设备，特别是在兄弟姐妹的房间里的设备。

• RQ3： 基于哪些上下文因素（例如，位置）

访问控制依赖什么吗？
除了用户的位置，我们发现参与者希望根据用户的年龄、设备的位置和其他因素指定访问控制策略。目前的设备几乎不支持这些上下文因素。最后，为了确定在家庭物联网中涉及身份验证机制的有前途的方向，我们提出了以下几个问题：

• RQ4： 哪些类型的身份验证方法平衡了方便性和安全性，有可能成功平衡错误允许和拒绝访问的后果？

通过分析参与者因错误允许或拒绝访问功能而引起的后果，我们确定了一系列看似有希望对用户进行身份验证的方法，从而实现了对家庭物联网实施用户所需的访问控制策略。

贡献： 通过425名参与者的用户研究，我们开始重新设想家庭物联网的访问控制和身份验证。我们的贡献包括：

1. 提出了基于能力的多用户家庭物联网访问控制规范，该规范比目前的方法更符合用户的期望。
2. 显示访问控制策略的频繁上下文依赖性，确定未来界面应支持的众多上下文因素。
3. 根据将错误允许或拒绝访问的后果降至最低的方法，为家庭物联网中的身份验证制定议程。

2 背景

在本节中，我们将介绍我们对家用物联网设备的概念，确定我们的威胁模型，并回顾当前设备对访问控制和身份验证的支持。我们将家庭物联网设备定义为连接物联网并主要在家庭中使用的小家电。联网的灯和恒温器就是两个例子。许多此类设备都通过集线器进行管理，该集线器可促进设备之间的通信、执行策略，并且通常允许创建最终用户程序或使用应用程序。

2.1 威胁模型

智能家居中的两大类对手是外部的第三方和哪些拥有合法物理访问权限的人。前者包括哪些利用平台、设备或协议中的软件漏洞造成物理、财务或隐私相关损害的人。后一类包括拥有合法数字或物理访问权限的家庭成员，例如临时工或儿童。这些内部威胁在研究中受到的关注要少得多，但却是本文研究的重点。内部人士可能出于各种原因，从好奇心到故意不服从（例如，一个孩子试图采取父母禁止的行为），或者试图纠正引入的设备造成的不平衡，这些设备的监控意味着赋予家庭中的某些成员不对称的权利（例如，父母跟踪青少年），这些原因可能会促使他们颠覆智能家居系统的访问控制。

我们假设在家庭环境中，居住者通过智能手机、语音助理、规则和物理交互来控制家用物联网设备。例如，维修人员可能会使用智能手机应用程序打开前门，而孩子可能会通过对语音助手说话来关灯。我们的目标是指定平衡安全性、保密性和功能性的访问控制规则。

2.2 当前设备的承受能力

目前的家用物联网设备在访问控制和身份验证方面的负担相对有限。以五年来对家庭物联网前景的调查为起点，我们调查了当前设备的负担能力，下图显示了具有代表性的样本。

为了控制许多当前的设备，人们使用智能手机应用程序，这些应用程序必须与设备配对。这些应用程序提供各种访问控制设置。例如，Nest恒温器支持二进制模式，在这种模式下，其他用户可以完全使用或不能使用恒温器的所有功能。八月智能锁提供了类似的客人和所有者级别的模式。通过无线称重，用户可以创建单独的账户，从而将他们的体重测量与其他用户隔离开来。在Apple HomeKit上，用户可以邀请更多用户，将他们限制为：完全控制、只读控制、本地或远程控制。

一些设备提供了稍微丰富的访问控制策略规范。Kwikset Kavo智能锁允许基于时间的访问控制规则；所有者可以在有限的时间内向二级用户授予访问权限。在我们的用户研究中，我们发现时间是一个理想的上下文因素，但只是众多因素中的一个。我们关注的是功能，而不是设备。虽然目前的大多数设备都不支持按功能区分的访问控制策略，但三星SmartThings允许用户限制第三方应用程序访问某些功能。我们发现，限制用户而不仅仅是应用程序对特定功能的访问是必要的。

通过这种分析，我们发现当前的机制还很初级，并且缺乏在复杂的多用户环境中指定访问控制规则所需的词汇，我们的目标是建立更丰富的词汇。

目前家庭物联网的身份验证方法似乎是从智能手机和台式机模式移植而来的。密码广泛与智能手机配合使用。例如，SmartThings有一款应用程序，用户可以通过它来控制设备。用户首先使用密码验证此应用程序。基于语音的身份验证目前非常初级，不是用于安全，而是用于个性化。例如，GoogleHome将说话者识别用于定制提醒，但不用于与安全相关的任务。

3 相关工作

当前的研究集中于分析和修复平台、协议和设备的安全性。Fernandes等人讨论智能家居应用程序如何在访问设备方面拥有过高的特权，并利用应用程序访问控制机制的缺陷进行攻击，缓解措施涉及重新考虑许可授予。

相对较少的工作集中在授权和认证人类使用家用物联网设备。以前的工作集中在家庭访问控制的困难上，而不是解决方案。此外，在这些初步研究之后的几年里，消费设备的格局发生了迅速的变化。

一些较早的工作检查了已部署的家用物联网设备的身份验证和访问控制，发现这样的负担非常无效。最近的研究试图引起用户对物联网环境的广泛安全和隐私关注，特别是指出多用户复杂性是一个关键的安全挑战。这种复杂性源于家庭物联网环境中的社会关系。例如，研究人员指出，在多用户环境中，室友、客人、邻居和孩子都是重要的考虑因素。我们在这项工作的基础上，确定家庭物联网设备所需的访问控制规则，并将家庭居住者和设备的个人功能之间的关系推向前台。

以前对物联网身份验证的研究主要集中在协议（例如，类似Kerberos的框架）上，而没有考虑用户的限制。Feng等人推出了语音助理的基于语音的身份验证VAuth。然而，VAuth需要使用可穿戴硬件来建立身份验证通道，我们的目标之一（RQ4）是确定可能适用于多用户设备的身份验证机制。

智能手机可以被认为是物联网的前身。然而，关于指定哪些应用程序可以访问哪些资源的大量文献仅部分翻译为家用物联网设备。Enck等人讨论应用程序如何通过请求用户的许可来访问资源，而Feel等人讨论用户如何可能不总是注意到这样的提示。一个共同的主题是，应用程序访问手机资源，而手机是通常不与其他人共享的单用户设备。

标签：家居,用户,访问控制,IoT,身份验证,联网,访问,认证,设备
来源： https://blog.csdn.net/weixin_43880225/article/details/121060353