Survey on Internet of Things Access Control Security
-
摘要: 近年来物联网安全事件频发,物联网访问控制作为重要的安全机制发挥着举足轻重的作用.但物联网与互联网存在诸多差异,无法直接应用互联网访问控制.现有的物联网访问控制方案并未重视其中的安全性问题,物联网访问控制一旦被打破,将造成隐私数据泄露、权限滥用等严重后果,亟需对物联网访问控制的安全性问题与解决方案进行综合研究.根据物联网架构复杂、设备多样且存储与计算性能较低的特性,梳理了物联网访问控制中的保护面和信任关系,形成信任链,并论述了信任链中的风险传递规律.围绕保护面和信任链,从感知层、网络层、应用层分别综述了现有的访问控制攻击面,分析了存在的安全风险.针对安全风险提出了应有的访问控制安全性要求,包括机制完善、应对攻击面、多级认证与授权、结合具体场景,基于这4个要求总结了现有的安全性解决方案和针对性的访问控制框架.最后讨论了物联网访问控制设计中所面临的挑战,指出了深入研究物联网云平台访问控制、物联网云对接标准化、引入零信任理念3个未来的研究方向.Abstract: In recent years, Internet of things (IoT) security incidents have occurred frequently. As an important security mechanism, IoT access control plays an important role. However, the existing Internet access control policies cannot be directly applied to the IoT scenarios because of the differences between IoT and Internet. At present, the IoT access control schemes have not paid attention to the security issues. Once the IoT access control is broken, it will cause serious consequences such as privacy data leakage and authority abuse. Thus, it is urgent to comprehensively study the security issues and solutions for access control of IoT. According to the complex architecture, the variety of devices, low storage and computing performance of IoT, the protection surface and trust relationship in IoT access control is combed, the trust chain is built and the risk transmission law in the trust chain is discussed. Around the protection surface and trust chain, we summarize the existing access control attack surface from the perception layer, network layer, and application layer, and analyze the existing security risks. In view of these security risks, we present the necessary access control security demand, including mechanism improvement, attack surface answer, multilevel authentication and authorization, and the combination with specific scenarios. Based on the requirements, the existing security solutions and targeted access control framework are summarized. Finally, we discuss the challenges faced in IoT access control and point out the future research direction that consists of an in-depth study on access control of the cloud platform of IoT, IoT cloud docking standardization, and the introduction of zero trust concept.
-
Keywords:
- Internet of things (IoT) /
- access control /
- security /
- trust chain /
- attack surface
-
-
期刊类型引用(18)
1. 薛俊伟,吴凯,周静. 耳机式物联网血氧监护系统的设计. 中国医学物理学杂志. 2024(01): 60-65 . 
百度学术
2. 商钰玲,李鹏,朱枫,王汝传. 基于模糊逻辑的物联网流量攻击检测技术综述. 计算机科学. 2024(03): 3-13 . 百度学术
3. 吴平,孙浩洋,周莉梅,尚宇炜,高飞. 基于软件定义安全的配电物联网分组转发异常检测. 信息工程大学学报. 2024(02): 227-234 . 百度学术
4. 郭文俊,杨泽民. 基于区块链的物联网可信访问控制研究. 软件工程. 2024(06): 30-33 . 百度学术
5. 蒋伟进,李恩,罗田甜,周文颖,杨莹. 基于区块链和可信执行环境的细粒度访问控制方案研究与应用——以物联网为例. 系统工程理论与实践. 2024(07): 2394-2410 . 百度学术
6. 刘立鹏,左兆迎,滕卉卉. 实验室铁矿石水分检测的数智化探究. 实验室检测. 2024(08): 56-60 . 百度学术
7. 王勇,熊毅,杨天宇,沈益冉. 一种面向耳戴式设备的用户安全连续认证方法. 计算机研究与发展. 2024(11): 2821-2834 . 本站查看
8. 夏清洁,攸彩红,赵英杰. 改进向量空间模型的相似专利检测技术研究. 粘接. 2024(11): 193-196 . 百度学术
9. 张力文,张宏亮,沈蓉,黄春烨. 基于物联网技术的轨道交通智能手操箱系统研究. 物联网技术. 2024(11): 140-145+148 . 百度学术
10. 谢志利,李文昭. 物联网产品安全监管研究. 标准科学. 2023(01): 117-121 . 百度学术
11. 刘艳芳,侯钰龙,高凯. 基于MQTT的液漏监测系统的设计与实现. 计算机测量与控制. 2023(03): 76-82 . 百度学术
12. 章俊. 零信任架构下基于属性的访问控制在远程急救中的应用. 通信技术. 2023(02): 250-254 . 百度学术
13. 唐雪雯. 物联网背景下个人信息保护优化路径研究. 重庆科技学院学报(社会科学版). 2023(03): 27-36 . 百度学术
14. 马晋,蒲晓虎,赵思亮. 零信任在气象网络安全中的应用研究. 自动化与仪器仪表. 2023(07): 138-142 . 百度学术
15. 李欢,卢延荣. 随机博弈下的工业机器人物联网主动防御研究. 无线电工程. 2023(09): 2135-2142 . 百度学术
16. 张学旺,姚亚宁,付佳丽,谢昊飞. 策略隐藏的高效多授权机构CP-ABE物联网数据共享方案. 计算机研究与发展. 2023(10): 2193-2202 . 本站查看
17. 吴杰成. 基于物联网的智能家居网络安全风险与保障措施. 玩具世界. 2023(05): 132-134 . 百度学术
18. 陈鸿龙,林凯,闫娜,刘宝. 基于指纹的射频识别标签定位实验平台设计与实现. 实验室研究与探索. 2023(11): 50-53 . 百度学术
其他类型引用(22)
计量
- 文章访问数: 554
- HTML全文浏览量: 54
- PDF下载量: 286
- 被引次数: 40
下载:
