權限可控傳遞的物聯網共享設備委托授權訪問機制1

宋宇波，戚姍姍，胡愛群

?

權限可控傳遞的物聯網共享設備委托授權訪問機制1

宋宇波，戚姍姍，胡愛群

（東南大學網絡空間安全學院，江蘇 南京 211111）

為了解決在共享模式下設備所有者在委托授權時權限敏感度保護以及中間代理濫用授權的問題，綜合基于信任度訪問控制模型和代理簽名的特征，提出了一種基于信任度的可控部分權限委托授權機制。該機制采用基于角色和信任度值的授權策略，通過代理簽名實現可控的部分權限委托傳遞。經安全分析證明，該機制可滿足權限傳遞所需的可驗證性、不可否認性、可區分性、可識別性和不可濫用性等安全屬性，確保了設備所有者權限的可控安全傳遞，有效防止中間代理過度授權的問題。

共享設備；委托授權；信任度；代理簽名

1 引言

隨著物聯網的迅速發展和智能手機的廣泛使用，人們可以在任何時間、任何地點方便地訪問智能設備。靈活的共享服務和設施建立了一個開放的、以個人為中心的無處不在的網絡。在這個開放的物聯網共享環境下，個人被鼓勵以服務提供者的身份，與其他人分享他們的設施或資源，如停車場、公寓、倉庫、電子儲物柜、展覽室等[1]。

在一個典型的與多用戶共享的公民設施中，所有者將權限分配給第一個用戶，然后，第一用戶可以通過社交網絡將權限轉移給其他用戶。如果用戶想要訪問共享設備，將通過Wi-Fi、藍牙或RFID驗證自己與智能手機的身份，然后，設備根據用戶的社會屬性做出訪問決策[2]。

在共享過程中，應該認真考慮以下安全問題：如何管理權限從一個用戶到另一個用戶的傳播，如何在保護隱私的情況下驗證用戶的身份，如何對不同的用戶進行細粒度的訪問控制。傳統的安全機制無法提供可控的權限傳播、用戶和所有者的隱私保護以及靈活的細粒度訪問控制，因此需要設計新的安全機制來解決這些安全問題。

Sandhu[3]最早提出了物聯網權限管理方案，他提出了一種基于角色的訪問控制模型，該模型中引入了角色的概念從而將設備所有者和其權限邏輯分離，并將權限授予角色，用戶通過設備所有者為其分配的角色獲得相應的權限，該模型有效地減小了授權管理的代價，并較好地實現了對授權的約束。Zhang等[4]基于角色的訪問控制提出了一種可擴展的訪問控制模型，該方案通過上下文信息對權限的訪問控制的實現方法進行描述，將對象的操作轉換成對服務的操作，通過收集系統和用戶環境中的上下文信息對授予權限的規則進行定義。Fu等[5]基于屬性的訪問控制提出了通過可擴展的訪問控制標記語言對環境屬性進行描述，設備所有者通過屬性對權限和對用戶的約束條件進行描述，從而在開放的物聯網環境中實現基于用戶身份和屬性的訪問控制方案。在物聯網設備共享環境中，存在許多對設備所有者來說陌生的用戶，當這些用戶申請訪問設備時，設備所有者很難直接依據其陌生的身份進行授權，Li等[6]基于角色的信任管理，提出了一種在開放的物聯網環境中陌生用戶間進行授權的方案，其核心的授權機制是通過委托實現的，但卻沒有很好地處理委托深度的問題。Kolev[7]通過信任關系實現陌生用戶到設備所有者權限角色的分配，同樣該文也沒有對委托深度的進行限制。翟征德等[8]提出了一種基于角色細粒度的可控委托授權模型，該模型根據用戶的信任度對設備所有者的敏感權限進行傳播控制，但是該方案中用戶間的信任度值都是由用戶主觀指定的，不具有通用性。

目前，對物聯網共享設備的權限管理主要集中在設備所有者對用戶進行直接授權管理上[9-10]，對于通過中間代理進行權限的可控傳遞缺乏研究，沒有一個通用客觀的信任度計算方法來表示用戶間的信任程度。在由中間代理授權的物聯網設備共享場景中設備的權限管理包括兩方面[11]：第一，設備所有者對中間代理的委托授權；第二，物聯網設備對獲取權限用戶的訪問控制。針對設備所有者委托授權時的權限敏感度保護問題，本文提出了一種基于信任度的可控的部分權限委托授權機制，設備所有者根據中間代理的信任度委托其相應范圍的授權權限；針對中間代理過度授權的問題，提出了一種基于信任度的訪問控制機制，該機制采用基于角色和信任度的訪問控制模型，根據用戶間的信任度和設備所有者設定的信任度閾值確定是否向訪問用戶授權，該機制可以有效防止中間代理過度授權的問題。

2 基于角色和信任度的授權策略

在可委托授權的物聯網設備共享場景中，設備所有者將授權使用設備的能力委托給中間代理，由中間代理向用戶授權，同時中間代理也可以將授權使用設備的能力委托給下一級中間代理，依次類推，形成了設備權限的多次委托傳遞。在此場景下，存在中間代理過度授權的問題，隨著權限委托深度的增加，距離設備所有者越遠的用戶，其信任度越低，且隨著用戶間關系的變化，信任度也會動態變化，然而設備的不同權限是存在敏感度差異的，其中某些權限可能涉及設備所有者的隱私是具有高度敏感性的。因此為了實現設備所有者敏感權限保護，針對不同信任度的用戶釋放相應的權限顯得尤為重要。本文提出了一種基于動態信任度的訪問控制機制，該機制采用基于角色和信任度的訪問控制模型，根據用戶的信任度和設備所有者設定的信任度閾值確定是否對訪問用戶授權，從而可以防止中間代理過度授權的問題。

在物聯網設備共享系統中，將設備所有者與其權限分離，為設備所有者設置角色，并為不同的角色分配不同的權限，因此角色實質上是一組權限的集合且每個角色對應的權限是存在敏感性差異的。

本文通過給每個角色對應的權限設置一個關聯的信任度閾值來反映權限的隱私程度，信任度閾值越大，權限越敏感，只有當某個用戶獲得該角色且其信任度大于角色對應的權限的信任度閾值時才可以激活該角色。在本文方案中，用戶不僅可以擁有其被分配的角色的權限，還可以繼承角色鏈中低于其角色的所有角色的權限。高級角色與低級角色的關系稱為繼承關系，然而其中存在的問題是怎樣確定高級角色從低級角色中繼承來的權限的信任度閾值，如果只是逐一地指定每個繼承的權限的信任度閾值，是不具有拓展性的，且實現過程很煩瑣。本文在角色繼承關系中引進了信任度閾值衰減因子的概念，在角色繼承關系鏈中，對于同一個權限，低級角色中該權限關聯的信任度閾值通過信任度閾值衰減因子后獲得了高級角色中該權限對應的新的信任度閾值，下面進行具體說明。

定義3 用戶角色鏈：用戶的角色鏈是一種樹形結構，樹中的每一個節點是角色，每個角色按照對應權限敏感度大小由高到低排列，角色鏈中上級角色可以繼承下級角色的所有權限，但是同一級的角色是并列的，不可以相互繼承。

以房屋共享為例對角色鏈的概念進行說明，表1說明了房主設定的角色、對應的權限和權限的信任度閾值。

從表1中可以看出，房主設定了4種角色，在角色鏈中由低到高為Guest、General、Close和VIP，其中，General和Close是并列角色。角色Guest可以獲取房主車庫的使用權p_garage，角色General獲得客廳p_livingroom和衛生間p_bathroom的權限，角色Close獲得客房p_guestroom的權限，角色VIP獲得書房p_studyroom和主臥p_masterroom的權限。具有角色VIP的用戶可以繼承角色Guest、General和Close的所有權限。從表1中可以看出，主臥是一個高度涉及房主隱私的權限，因此將它的信任度閾值設定得比較高。

表1 房屋共享角色權限分配

在房主的角色鏈中，角色VIP級別最高，General和Close是同等級的角色，沒有繼承關系，角色Guest級別最低。角色VIP繼承了角色Close的所有權限，只獲得角色Close的用戶的信任度必須高于信任度閾值0.8才可以獲得權限p_guestroom，那么角色VIP繼承到的權限p_guestroom需要設置多大的信任度閾值？通常認為對于同一個權限，具有角色級別高的用戶比角色級別低的用戶更加可信，如對于房主而言，父母比普通朋友更加可信，因此可以認為獲得角色VIP的用戶可以以低于信任度閾值0.8的信任度獲得權限p_guestroom，所以，通過在角色鏈中引入信任度閾值衰減因子使高級角色繼承來的低級角色的權限的信任度閾值變小是符合實際情況的。圖1是房主設定的角色鏈中的信任度閾值衰減，圖中角色與角色之間邊上的值是信任度閾值衰減因子。

圖1 角色鏈上的信任度閾值衰減

例如，間接關系VIP→Close→Guest的角色累積衰減值為0.9×1.0=0.9。另外，當從一個角色到另一條角色有多條路徑時，如VIP→Guest有VIP→Close→Guest和VIP→General→Guest這2條路徑，選擇累積衰減值最小的一條路徑作為最終的信任度閾值衰減因子。本文方案中信任度閾值衰減因子是由設備所有者設置的，如果設備所有者認為某一角色繼承來的權限對該角色來說比較隱私，就可以將衰減因子設置較大，若希望該權限被高等級角色很容易獲得，就可以將衰減因子設置較小。

3 基于信任度的可控部分委托授權機制

物聯網設備共享中常見的場景之一是通過中間代理授權的物聯網設備共享平臺，在該場景下設備所有者將物聯網設備委托給中間代理，由中間代理負責向用戶授予權限，用戶利用中間代理頒發的授權憑證獲得設備的使用權，整個交互過程中通過中間代理進行權限的傳遞，設備所有者無須與用戶進行線下的交互。中間代理可以有效解決設備所有者有自己的工作、無法實時對設備的訪問權限進行管理的問題，其可以代替設備所有者對用戶的申請做出快速有效的回應，從而減輕設備所有者管理設備的負擔，提高了物聯網設備共享系統的效率；另外，由于設備所有者通常是向其認識或熟悉的用戶分享自己的個人閑置設備，所以可獲得使用權的用戶范圍有限，通過中間代理的集客效應可以擴大用戶的范圍，提高系統的實用性。

在該物聯網設備共享場景下需要考慮的一個重要問題是如何實現設備所有者權限的可控傳遞，即如何實現設備所有者對中間代理的可控委托授權，在該場景下設備所有者對中間代理的委托授權需要滿足以下性質。

1) 臨時委托：設備所有者對中間代理的委托是有時間限制的，超過委托時間，中間代理的授權能力就會失效。

2) 單一性：當設備所有者委托中間代理對用戶授權后，設備所有者仍可以對申請權限的用戶進行授權。

3) 部分委托：由于設備所有者的權限是存在敏感性差異的，設備所有者將依據中間代理的信任度委托其相應范圍的授權權限。

4) 自己管理：委托關系是由設備所有者直接管理的，其可以撤銷行為表現不好的中間代理。

本文采用代理簽名技術，由中間代理代替設備所有者對用戶簽發授權證書。中間代理的代理簽名私鑰由其和設備所有者共同生成，該方案可以有效實現委托授權的可驗證性和不可否認性、授權者的可區分性和授權能力的不可濫用性，確保設備所有者權限的可控安全傳遞。

下面對本文用到的符號進行說明。

委托授權協議中的參與者包括設備所有者、中間代理、用戶和物聯網設備，圖2是委托授權的流程。

接下來，對委托授權協議運行的具體步驟進行介紹。

圖2 委托授權流程

4 基于信任度的訪問控制

在一個角色鏈中等級高的角色可以繼承等級低的角色的權限，并且為了保護物主敏感度高的權限，對每個權限設置信任度閾值，只要獲得該角色的用戶的信任度大于對應權限的信任度閾值時就可以激活角色的訪問權限。根據信任關系類型，將用戶劃分為直接關系用戶和間接關系用戶。

圖3 用戶關系

在開放的物聯網環境中，想要獲取設備使用權的用戶也可能是設備所有者陌生的用戶，他無法與物主直接建立聯系，但是他可以通過一個或多個“中介”間接地向物主申請權限，因此形成了一個以物主為核心的關系網絡。圖3給出本文假設的關系，圖中的節點表示用戶，通過邊相連的用戶是相互認識的。

綜上所述，用戶最終獲取角色的信任度值取決于權限傳遞鏈中每一段直接關系間的信任度，且權限越往下傳遞，用戶的信任度是衰減的，離物主關系越遠的用戶獲得物主角色權限的可能性越低。本文方案實現了物聯網設備共享環境中物主權限的可控傳遞，實現了對不同信任度用戶的訪問控制。同時，用戶間的信任度不是固定不變的，而是在一段時間內隨用戶間的關系變化而動態變化的，直接或間接用戶最終獲得的信任度也是動態變化的，因此，用戶在不同時間訪問設備時可能獲得不同的訪問權限。

5 安全性分析

委托授權過程的本質是代理簽名技術的應用，而一個安全的代理簽名方案需要滿足可驗證性、不可否認性、可區分性、可識別性和不可濫用性等安全屬性，本文根據這些屬性對所有者委托授權協議的安全性進行分析。

1) 可驗證性

2) 不可否認性

3) 不可偽造性

4) 可識別性

由于在代理簽名私鑰中包含中間代理的私鑰，因此只有利用中間代理的公鑰才能生成正確的代理簽名驗證公鑰，從而對代理簽名的有效性進行驗證。任何得到代理簽名的用戶都可以通過中間代理的公鑰確定中間代理的真實身份。

5) 不可濫用性

6) 強密鑰依賴性

中間代理簽名時的代理簽名私鑰依賴于設備所有者的私鑰和中間代理的私鑰。

綜上所述，本文方案具有更高的安全性和實現效率，并且計算量小和通信復雜度低。該方案可以實現委托授權時設備所有者權限的可控傳遞，有效解決當設備的使用出現糾紛問題時，設備所有者和中間代理相互抵賴的問題；另外，該方案還根據由中間代理的用戶關系計算的信任度授予其相應的授權范圍，保護了設備所有者的敏感權限。

6 結束語

本文主要介紹了基于信任度的委托授權和訪問控制方案，首先針對物聯網設備共享場景中設備所有者委托授權時權限敏感度保護的問題，提出了一種基于信任度可控的部分權限委托授權機制，中間代理在設備所有者許可范圍內將部分被委托的權限授權給用戶，其使用的代理簽名私鑰由設備所有者和中間代理共同生成，防止設備所有者和中間代理相互抵賴的問題，提供了權限敏感度保護；針對用戶訪問物聯網設備時中間代理過度授權的問題，提出了一種基于信任度的訪問控制機制，該機制采用基于角色和信任度的訪問控制模型，根據用戶動態關系所生成的信任度和設備所有者設定的信任度閾值確定是否授權。

[1] JIN J, GUBBI J, MARUSIC S, et al. An information framework for creating a smart city through Internet of things[J]. IEEE Internet of Things Journal, 2016, 1(2): 112-121.

[2] MC-KINLAY P. Make way for smart cities: opportunities, challenges and capacities of New Zealand local governments[J]. Asia Pacific Journal of Public Administration, 2017, 39(4): 297-303.

[3] SANDHU R S, COYNE E J, FEINSTEIN H L, et al. Role-based access control models[J]. Computer, 1996, 29(2): 38-47.

[4] ZHANG G, TIAN J. An extended role based access control model for the Internet of things[C]//2010 International Conference on Information Networking and Automation (ICINA). 2010: 319-323.

[5] FU Y, YE C. Using XACML to define access control policy in information system[C]//IET Conference on Wireless, Mobile and Sensor Networks (CCWMSN 17). 2017: 676-679.

[6] LI N, WINSBOROUGH W H, MITCHELL J C. Distributed credential chain discovery in trust management: extended abstract[C]//ACM Conference on Computer and Communications Security. 2016: 156-165.

[7] KOLEV A, ?OBANOV S. Trustbac—integrating trust relationships into the rbac model for access control in open systems[C]//ACM Symposium on Access Control Models and Technologies. 2016: 49-58.

[8] 翟征德, 馮登國, 徐震. 細粒度的基于信任度的可控委托授權模型[J]. 軟件學報,2017,18(8). ZHAI Z D, FENG D G, XU Z. Fine-grained controllable delegation authorization model based on trustworthiness[J]. Journal of Software, 2017, 18(8).

[9] YU J, WANG G, MU Y, et al. An efficient generic framework for three-factor authentication with provably secure instantiation[J]. IEEE Transactions on Information Forensics and Security, 2016, 9(12): 2302-2313.

[10] XUE K, MA C, HONG P, et al. A temporal credential based mutual authentication and key agreement scheme for wireless sensor networks[J]. Journal of Network and Computer Applications, 2017, 36(1): 316-323.

[11] JIANG Q, MA J, LU X, et al. An efficient two-factor user authentication scheme with unlinkability for wireless sensor networks[J]. Peer-to-Peer Networking and Applications, 2016, 8(6): 1070-1081.

Delegation authorization mechanism with controllable permissions propagation for IoT devices sharing

SONG Yubo, QI Shanshan, HU Aiqun

School of Cyber Science and Engineering, Southeast University, Nanjing 211111, China

In order to solve the problems of privilege sensitivity protection and the abuse of authorization by the agent when the device owner delegates authorization in IoT devices sharing environment, a trust-based delegation mechanism for controllable partial permissions was proposed with the trust access control model and the proxy signature. This mechanism generates trust values and authorization policies based on the relationship between the users, and implements controllable partial authority delegation through the proxy signature. According to the security analysis, the mechanism can meet the security attributes such as verifiability, non-repudiation, distinguishability, identifiability and non-abuse required by the permission transfer, and ensure the controllable security transfer of the device owner's permission. The problem of over authorization of an intermediary agent is effectively prevented.

devices sharing, delegation authorization, trust value, proxy signature

The National Natural Science Foundation of China (No.61601113), CERNET Innovation Project (No.NGII20150409), Fundamental Research Funds for the Central Universities (No.2242017K40013)

TP309

A

10.11959/j.issn.2096-109x.2019015

宋宇波（1977? ），男，江蘇無錫人，博士，東南大學網絡空間安全學院副教授，主要研究方向為移動通信安全，物聯網安全及安全協議設計。

戚姍姍（1992? ），女，浙江余姚人，東南大學博士生，主要研究方向為物聯網安全。

胡愛群（1952? ），男，江蘇南通人，博士，東南大學教授，主要研究方向為通信網絡安全。

2018?11?20；

2018?12?20

宋宇波，songyubo@sec.edu.cn

國家自然科學基金資助項目（No.61601113）；賽爾網絡下一代互聯網技術創新基金資助項目（No.NGII20150409）；中央高校基本科研業務費專項基金資助項目（No.2242017K40013）

宋宇波，戚姍姍，胡愛群. 權限可控傳遞的物聯網共享設備委托授權訪問機制[J]. 網絡與信息安全學報, 2019, 5(2): 40-49.

SONG Y B, QI S S, HU A Q. Delegation authorization mechanism with controllable permissions propagation for IoT devices sharing[J]. Chinese Journal of Network and Information Security, 2019, 5(2): 40-49.