物聯網訪問控制技術探討及實際應用

汪 垚

（河南工業貿易職業學院信息工程學院 河南 鄭州 450053）

0 引言

近年來，物聯網安全事件頻發，電網、攝像頭、智能家居等基礎設備因遭受網絡攻擊而給人們帶來了巨大的經濟損失，公民個人隱私也面臨安全風險［1］。 訪問控制技術是防范物聯網安全事件的重要手段。 當前大部分的物聯網系統由于缺乏安全的訪問控制機制，可能會出現潛在的漏洞，被惡意用戶非法訪問，從而威脅用戶和企業數據的安全和隱私［2］。 本文針對物聯網訪問控制技術進行了探討，對基于角色的訪問控制技術進行了詳細的架構分析，并對其在物聯網系統登錄及身份認證中的實際應用進行了詳細設計和開發實現。

1 訪問控制技術的基本概念

訪問控制技術是保護資源不被未授權用戶使用和訪問的一種手段［3］。 目前互聯網廣泛采用訪問控制技術來保護網絡空間安全［4］。 訪問控制技術應具備身份認證、授權、文件保護和審計等主要功能。

（1）身份認證

身份認證就是對訪問者的身份進行檢驗，看是否是合法用戶，并以此決定允許或拒絕對相關資源的訪問。

（2）授權

系統正確認證用戶后，根據不同的用戶標志分配給其不同的使用資源，這項任務稱為授權，授權的實現是依靠訪問控制技術完成的。

（3）文件保護

文件保護是指對文件提供的附加保護，可使非授權用戶不可讀取文件。 一般采用對文件加密的附加保護。

（4）審計

審計是記錄用戶系統所進行的所有活動的過程，即記錄用戶違反安全規定使用系統的時間、日期以及用戶活動。

2 基于角色的訪問控制技術架構和設計詳解

基于角色的訪問控制（role-based access control，RBAC）技術的基本思想是將訪問許可權分配給一定的角色，用戶通過飾演不同的角色來獲得角色所擁有的訪問許可權。

在RBAC 模型中，會根據網絡安全訪問系統的實際需求設置“角色”的客體，而角色掌管著系統中資源信息的訪問控制權限，可以及時根據用戶的訪問需求進行網絡資源的權限管理［5］。

RBAC 模型通過引入角色來對用戶和權限進行解耦，簡化了授權操作和安全管理。 系統管理員可以根據職能或機構的需求策略來創建角色、給角色分配權限并給用戶分配角色，他把整個訪問控制過程分成兩步：訪問權限與角色相關聯，角色再與用戶關聯，從而實現用戶與訪問權限的邏輯分離。 基于角色的訪問控制技術架構如圖1所示。

圖1 基于角色的訪問控制技術架構

操作：對管理功能的操作，主要是增、刪、改、查。

管理欄目：系統的管理功能，如用戶管理、角色管理、數據管理等。

3 物聯網系統登錄及身份認證需求分析

在物聯網管理系統中，有很多不同身份的用戶，比如普通用戶、編輯人員、普通管理員、超級管理員等，用戶的身份不同，相應的用戶管理權限也不同。 當用戶登錄物聯網管理系統時，需要對用戶的身份進行認證，根據用戶的不同身份來授權訪問相應的物聯網系統和設備。

要想實現上述功能，需要開發用戶登錄和身份認證、用戶管理、角色管理、角色權限分配管理等功能模塊。 除了這些功能性需求以外，在設計開發過程中還需要注意系統界面美觀、響應迅速、運行穩定、安全可靠等非功能性需求。

4 基于角色的訪問控制技術在物聯網系統登錄及身份認證中的實際應用

4.1 應用架構及實現技術

（1）應用架構和實現流程概述

基于角色的訪問控制技術在物聯網系統登錄及身份認證中的應用流程如下：管理員可以在用戶注冊時按照用戶的職責和身份為用戶指定相應的角色，在用戶登錄時先驗證其是否是合法用戶。 如果是合法用戶，則進一步驗證其在物聯網系統中的角色，后按照角色給予其相應的訪問權限；如果是不合法用戶，則需要重新進行身份驗證或直接拒絕訪問。 具體的應用架構和實現流程如圖2 所示。

圖2 應用架構和實現流程圖

（2）實現技術說明

為了方便用戶的使用，本系統采用基于B／S 結構的架構應用模式。 采用LNMP（Linux＋Nginx＋MySQL＋PHP）的開發和運行環境，即采用安全高效的Linux 系統作為應用服務器，并在Linux 下搭建開發和運行環境。 采用輕便高效的Nginx 服務器作為Web 服務器，使用關系型數據庫管理系統（my structured query language，MySQL）作為數據庫服務器來存儲系統的業務數據，采用流行的Web 開發語言超文本預處理器（hypertext preprocessor，PHP）來實現系統業務邏輯的處理。

4.2 功能模塊的設計及開發實現

要想在物聯網系統安全管理中實現基于角色的訪問控制，需要進行如下功能模塊的設計和開發實現：

4.2.1 相關數據庫表的設計

基于角色的訪問控制技術的實現，至少需要設計4 張核心數據庫表，分別是用戶表（user），角色表（role），欄目表（column），角色權限分配管理表（allocation），以MySQL數據庫為例，其數據表結構如表1 所示。

表1 用戶表（user）

表2 角色表（role）

表3 欄目表（column）

表4 角色權限分配管理表（allocation）

4.2.2 相關功能模塊開發實現的詳細說明

（1）用戶注冊模塊

用戶如果需要加入物聯網系統的平臺，則首先需要在系統平臺上進行注冊。 填寫相關用戶的個人信息以后，如用戶姓名、性別、手機號、用戶身份等相關信息，再通過表單提交到后臺，由后臺程序PHP 進行業務處理，PHP 處理完成以后寫入到MySQL 數據庫用戶表（user）中。

設計開發用戶注冊模塊時需要注意SQL 注入攻擊和機器人灌水攻擊。 對每個數據字段的格式和輸入內容要進行嚴格的驗證和過濾，以防止SQL 注入攻擊；另外還要加入算法復雜的驗證碼技術，以防止機器人灌水注冊攻擊。 用戶注冊模塊的實現是實現用戶登錄和身份驗證的基礎和前提。

具體實現思路是：用戶在前臺表單填寫注冊信息，把注冊信息提交到后臺PHP 程序進行處理。 PHP 接受前端提交過來的數據以后，首先對這些數據的合法性進行檢測和過濾，如果這些數據不合法，則直接提示非法攻擊，并重新定向到注冊頁面；如果數據合法合理，則在用戶表中查詢當前用戶名是否被注冊過，如果注冊過，則回到注冊頁面讓用戶重新填寫用戶名信息；如果沒有注冊過，則將用戶注冊信息寫入用戶表中。

（2）用戶登錄和身份認證模塊

用戶注冊模塊開發完成以后，下面開始對用戶登錄模塊進行設計和開發實現。 用戶登錄模塊通過在前端設計表單實現，該表單需要設置用戶名、用戶密碼、驗證碼數據字段，在前端要通過js 或js 框架來驗證數據的格式合法，在后臺通過PHP 程序來過濾用戶輸入的字段內容是否合法。 用戶登錄模塊和用戶注冊模塊一樣，也需要防止客戶端SQL 注入攻擊和機器人攻擊。

具體實現思路是：在前端設計用戶登錄表單，設置用戶名、用戶密碼和驗證碼字段。 用戶輸入用戶名、密碼和驗證碼以后，通過表單把這些數據信息提交到后臺PHP程序。 后臺PHP 程序接收到表單字段內容以后，首先要驗證驗證碼是否正確，如果驗證碼錯誤，則返回到登錄頁面讓用戶重新輸入驗證碼；如果驗證碼正確，則進入下一步，驗證用戶輸入的用戶名和密碼是否是合法字符，如果用戶輸入的字符不合法，則結束登錄過程，返回到登錄頁面；如果用戶輸入的字符合法，則進入驗證用戶名和密碼是否正確的流程，首先根據用戶輸入的用戶名去用戶表進行匹配查找，找不到則提示用戶名錯誤或不存在，同時返回用戶登錄頁面；能找到則根據用戶表中的reviewed 字段判斷該用戶是否審核通過，如果未審核或審核未通過，則對用戶進行提示并返回到用戶登錄頁面；如果審核通過則對用戶輸入的密碼和通過用戶名查詢到的密碼進行匹配，如果匹配失敗則提示用戶密碼錯誤，同時返回用戶登錄頁面；如果匹配成功，則通過session 記錄用戶的登錄狀態，然后通過角色ID 字段判定用戶在物聯網系統中的角色，并根據角色和該角色的操作權限進入相關的操作界面。

（3）用戶管理模塊

用戶管理模塊是系統管理員對普通用戶進行管理的功能模塊，屬于物聯網系統管理后臺的權限范圍。 用戶管理模塊包括對新注冊用戶的審核，以及相關用戶信息的查詢、修改、刪除等功能。

用戶審核功能的實現思路是：用戶通過前臺頁面提交注冊信息以后，有審核權限的系統管理員登錄后臺管理系統對用戶提交的注冊信息進行審核，如果用戶提交的注冊信息合法，則通過PHP 操作數據庫修改用戶表的reviewed字段值為1，表示審核通過；反之，如果用戶提交的注冊信息不合法，則修改用戶表的reviewed 字段值為2，表示審核不通過。

用戶信息查詢功能的實現思路是：用戶可以在查找表單中輸入查找關鍵字，該關鍵字可以是用戶名、手機號或用戶姓名，PHP 程序可根據該關鍵字在用戶表中進行模糊匹配，并將匹配結果通過表格形式展現。

用戶信息修改功能的實現思路是：管理員在用戶管理列表中點擊某一個用戶信息，進入該用戶信息的表單詳情頁面，在表單中修改用戶相關信息以后，通過表單提交到后臺PHP 程序，PHP 程序則根據該用戶的唯一ID 在用戶表中存儲最新的用戶信息。

用戶信息刪除功能的實現思路是：當管理員點擊刪除用戶按鈕時，提示管理員是否真的要刪除相關用戶，如果管理員點擊確認按鈕，則向后臺PHP 程序傳遞該用戶的唯一ID，后臺PHP 程序通過該用戶的唯一ID 在用戶表中執行刪除任務；反之，如果管理員點擊取消按鈕，則取消刪除操作。

（4）角色管理模塊

角色管理模塊就是系統管理員對用戶角色進行添加、修改、刪除等操作，該管理模塊相關功能的實現思路與用戶管理模塊類似，此處不再詳述。

（5）欄目管理模塊

欄目管理模塊是系統管理員對后臺功能欄目進行的管理，具體包括功能欄目的添加、修改、刪除、隱藏等。 欄目管理模塊添加、修改、刪除功能的實現思路與用戶管理模塊類似，此處不再詳述，下面重點描述一下欄目管理模塊欄目隱藏功能的實現思路：

默認情況下欄目是顯示的，當系統管理員點擊“隱藏”按鈕時，可以向后臺PHP 程序傳遞該欄目的唯一ID。隨之，PHP 程序根據欄目ID 修改欄目表的show 字段值為0，實現該欄目的隱藏功能；反之，當系統管理員點擊該欄目的“顯示”按鈕時，PHP 程序根據欄目ID 修改欄目表的show 字段值為1，實現該欄目的顯示功能。

（6）角色權限分配管理模塊

該模塊主要是為不同的用戶角色分配后臺欄目的管理權限，比如數據信息管理欄目，編輯人員只能查找、瀏覽和修改數據信息，普通管理員則可以查找、瀏覽、修改甚至刪除數據信息。 超級管理員登錄物聯網系統管理后臺以后，可以針對不同的用戶角色進行權限分配。 如果是普通用戶則只能查看和修改其個人相關信息，如果是普通管理員用戶則可以給其分配相應的管理權限。

該功能模塊的實現思路是：超級管理員可以在后臺欄目列表中選擇某一個或多個欄目，針對所選擇的欄目設置查找、瀏覽、修改或刪除權限，并把這些權限分配信息通過表單傳遞到后臺PHP 處理程序，PHP 處理程序則把這些信息寫入角色權限分配管理表中，從而實現不同用戶角色權限的分配和設置。

5 結語

綜上所述，訪問控制技術是保障物聯網安全的重要技術措施，認真研究和探討物聯網訪問控制技術，可以最大程度地保護物聯網資源的安全。 本文研究和開發實現了基于角色的訪問控制技術，在物聯網系統訪問控制中使用廣泛，對于保護物聯網系統的資源和數據安全起到了很好的防護作用。