物联网访问控制安全性综述

摘 要 近年来物联网安全事件频发，物联网访问控制作为重要的安全机制发挥着举足轻重的作用.但物联网与互联网存在诸多差异，无法直接应用互联网访问控制.现有的物联网访问控制方案并未重视其中的安全性问题，物联网访问控制一旦被打破，将造成隐私数据泄露、权限滥用等严重后果，亟需对物联网访问控制的安全性问题与解决方案进行综合研究.根据物联网架构复杂、设备多样且存储与计算性能较低的特性，梳理了物联网访问控制中的保护面和信任关系，形成信任链，并论述了信任链中的风险传递规律.围绕保护面和信任链，从感知层、网络层、应用层分别综述了现有的访问控制攻击面，分析了存在的安全风险.针对安全风险提出了应有的访问控制安全性要求，包括机制完善、应对攻击面、多级认证与授权、结合具体场景，基于这4个要求总结了现有的安全性解决方案和针对性的访问控制框架.最后讨论了物联网访问控制设计中所面临的挑战，指出了深入研究物联网云平台访问控制、物联网云对接标准化、引入零信任理念3个未来的研究方向.

关键词 物联网；访问控制；安全性；信任链；攻击面

物联网(Internet of things, IoT)起源于20世纪90年代末期，最初的概念是建立一套无线射频识别(radio frequency identification, RFID)系统，以实现智能化的RFID管理[1].随着网络技术的发展，物联网已经从最初的几个设备互相连接的小型网络，发展成了人与物、物与物之间复杂而庞大的网络.到了今天我们的生活中的物联网设备已经随处可见，比如智能网关、智能监控、智能手表、智能台灯，涉及家具、医疗、交通、办公等各个领域.在2021年，全球的物联网市场增长了22%，达到了1 580亿美元，尽管受到了新冠疫情影响，但增长速度仍然十分迅猛