物联网应用层安全：动态口令和访问控制的有效保障

物联网的应用领域非常广泛。不管哪种应用模式，都离不开身份认证、访问控制和隐私保护等安全技术。

（一）身份认证

1.用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，从安全性上考虑，用户需要养成定期和非定期修改密码的习惯，并尽量采用字母数字混合模式，保证密码长度大于8位。尽管用户名/密码方式被广泛使用，但这是一种极不安全的身份认证方式。

2.智能卡认证

智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是基于“what you have”的手段，通过智能卡硬件的不可复制性来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此它还是存在安全隐患。

3.动态口令

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户地无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，使用起来非常不方便。

4.USB Key认证

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。基于USB Key的身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式；二是基于PKI体系的认证模式。

5.生物识别

传统的身份认证技术，一直游离于人类体外，有关身份验证的技术手段一直在兜圈子，而且兜得越来越大，越来越复杂，以“用户名+口令”方式过渡到智能卡方式为例，首先人们需要随时携带智能卡，其次智能卡容易丢失或失窃，补办手续烦琐冗长，并且仍然需要你出具能够证明身份的其他文件，使用很不方便。直到生物识别技术得到成功的应用，这个圈子才终于又兜了回来。

生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。其中身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。目前部分学者将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将血管纹理识别、人体气味识别、DNA识别等归为超级生物识别技术。

生物识别技术具有传统的身份认证手段无法比拟的优点。采用生物识别技术，人们可不必再记忆和设置密码，使用更加方便。目前，指纹识别正在得到广泛应用，如有些笔记本电脑通过指纹识别合法用户；某些单位通过指纹考勤机实施考勤，以防止作弊。

6.步态识别

步态识别作为一种新兴的生物特征识别技术，旨在根据人们走路的姿势进行身份识别。步态特征是在远距离情况下唯一可提取的生物特征，早期的医学研究证明了步态具有唯一性，因此可以通过对步态的分析来进行人的身份识别。

（二）访问控制

访问控制（access control）就是在身份认证的基础上，依据授权对提出的资源访问请求加以控制。访问控制是网络安全防范和保护的主要策略，它可以限制对关键资源的访问，防止非法用户的侵入或合法用户的不慎操作所造成的破坏。

1.访问控制系统的构成

访问控制系统一般包括：主体、客体、安全访问策略。

主体：发出访问操作、存取要求的发起者，通常指用户或用户的某个进程。

客体：被调用的程序或欲存取的数据，即必须进行控制的资源或目标，如网络中的进程等活跃元素、数据与信息、各种网络服务和功能、网络设备与设施。

安全访问策略：一套规则，用以确定一个主体是否对客体拥有访问能力，它定义了主体与客体可能的相互作用途径。如授权读、写、执行等访问权限。

访问控制根据主体和客体之间的访问授权关系，对访问过程做出限制。从数学角度来分析，访问控制本质上是一个矩阵，行表示资源，列表示用户，行和列的交叉点表示某个用户对某个资源的访问权限（读、写、执行、修改、删除等）。

2.BLP访问控制模型

BLP（Bell-La Padula）模型是由David Bell和Leonard La Padula于1973年创立，是一种典型的强制访问模型。在该模型中，用户、信息及系统的其他元素都被认为是一种抽象实体。其中，读和写数据的主动实体被称为“主体”，接收主体动作的实体被称为“客体”。BLP模型的存取规则是每个实体都被赋予一个安全级，系统只允许信息从低级流向高级或在同一级内流动。

BLP强制访问策略将每个用户及文件赋予一个访问级别，如最高秘密级（Top Secret）、秘密级（Secret）、机密级（Confidential）及无级别级（Unclassified）。其级别为T＞S＞C＞U，系统根据主体和客体的敏感标记来决定访问模式，访问模式包括以下几种：

（1）下读（read down）：用户级别大于文件级别的读操作。

（2）上写（write up）：用户级别小于文件级别的写操作。

（3）下写（write down）：用户级别等于文件级别的写操作。

（4）上读（read up）：用户级别小于文件级别的读操作。

依据BLP安全模型所制定的原则是利用不上读/不下写来保证数据的保密性，即不允许低信任级别的用户读高敏感度的信息，也不允许高敏感度的信息写入低敏感度区域，禁止信息从高级别流向低级别。强制访问控制通过这种梯度安全标签实现信息的单向流通。

依据BLP安全模型所制定的原则是利用不下读/不上写来保证数据的完整性。在实际应用中，完整性保护主要是为了避免应用程序修改某些重要的系统程序或系统数据库。

关于BLP模型更多的细节可参考有关文献。

3.基于角色的安全访问控制模型

基于角色的访问控制（Role-based Access Control，RBAC）是美国NIST提出的一种新的访问控制技术。该技术的基本思想是将用户划分成与其所在组织结构体系一致的角色，通过将权限授予角色而不是直接授予主体，主体通过角色分派来得到客体操作权限从而实现授权。由于角色在系统中具有相对于主体的稳定性，更便于直观的理解，从而大大减少了系统授权管理的复杂性，降低了安全管理员的工作复杂性和工作量。

基于角色访问控制的要素包括用户、角色、许可等基本定义。

在RBAC中，用户就是一个可以独立访问计算机系统中的数据或者用数据表示的其他资源的主体。角色是指一个组织或任务中的工作或者位置，它代表了一种权利、资格和责任。许可（特权）就是允许对一个或多个客体执行的操作。一个用户可经授权而拥有多个角色，一个角色可由多个用户构成；每个角色可拥有多种许可，每个许可也可授权给多个不同的角色。每个操作可施加于多个客体（受控对象），每个客体也可以接受多个操作。

（三）数字签名

公钥密码体制在实际应用中包含数字签名和数字信封两种方式。

数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。(www.chuimin.cn)

数字信封的功能类似于普通信封。普通信封在法律的约束下保证了只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。在传递信息时，信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性。

1999年美国参议院通过了立法，规定数字签名与手写签名的文件、邮件在美国具有同等的法律效力。数字签名（Digital Signatures）实现的基本原理很简单，即假设A要发送一个电子文件给B，A、B双方只需经过下面3个步骤即可：

（1）A用其私钥加密文件，这便是签名过程；

（2）A将加密的文件送到B；

（3）B用A的公钥解开A送来的文件。

数字签名技术是保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的一种有效解决方案，是保障计算机信息安全性的重要技术之一。

数字签名就是通过某种密码运算生成一系列符号及代码，组成电子密码进行签名来代替书写签名或印章。对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可，它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。

数字签名在ISO 7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（如接收者）进行伪造”。美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释：“利用一套规则和一个参数对数据进行计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。

下面对数字签名的过程进行说明。如果持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：

①甲准备好要传送的数字信息（明文）；

②甲对数字信息进行哈希（hash）运算，得到一个信息摘要；

③甲用自己的私钥（SK）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上；

④甲随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文；

⑤甲用乙的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙；

⑥乙收到甲传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥；

⑦乙然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）；

⑧乙用甲的公钥（PK）对甲的数字签名进行解密，得到信息摘要。

（四）隐私保护

随着感知定位技术的发展，人们可以更加快速、精确地获知自己的位置，基于位置的服务（Location-Based Service，LBS）应运而生。利用用户的位置信息，服务提供商可以提供一系列的便捷服务。例如，当用户在逛街时感到饿了，他们可以快速地搜索附近都有哪些餐馆，并可以获取到每家餐馆的菜单，提前选定好一家餐馆，选定要吃的饭菜并发出预定，然后用户就可以在指定的时间段内上门消费，这大大缩短了等待的时间。又比如LBS服务提供商可以根据用户的位置，向用户推荐其所在地附近的旅游景点，并附上相关的介绍。此类服务目前已经在手机平台上获得了大量的应用，只要拥有一台带有GPS定位功能的手机，用户就可以随时享受到物联网所带来的生活上的便捷。但是，当用户在享受位置服务的过程中，可能会泄露自己的个人爱好、社会关系和健康信息。因此，保护用户隐私成为物联网环境必须实施的技术。

1.LBS隐私保护系统结构

LBS的隐私保护系统中，一般有三种系统结构。集中式匿名服务器结构由移动终端、第三方可信匿名服务器、LBS服务器三个部件组成。移动用户使用移动终端设备向LBS服务器发送基于位置的服务查询请求并获得最终的查询结果。第三方可信匿名服务器包含了匿名处理模块和查询结果精炼模块，其中匿名处理模块负责把移动终端提交过来的精确位置模糊化为空间区域并提交给LBS服务器；查询结果精炼模块负责接受服务提供商返回的候选结果集，对其精炼，并将精炼后的最终结果返回给移动终端。集中式匿名服务器结构的优点有：具有全局信息，隐私保护效果好；移动终端和匿名服务器之间的通信开销较小，这已经成为目前最常用的系统结构。但是该结构也具有明显的缺点：第三方可信匿名服务器可能成为系统的性能瓶颈和唯一攻击点；第三方可信匿名服务器拥有所有用户的位置信息和查询内容的完整知识，一旦匿名服务器被攻破，可能会带来严重的隐私威胁；现实生活中，部署具有大量用户基的可信匿名服务器是非常困难的。

分布式移动终端结构由移动终端和LBS服务器两部分组成。移动终端之间通过P2P协议，利用单跳和多跳通信形成一个匿名组，请求服务的移动用户匿名其精确位置（为包含组内所有移动用户的空间区域）并提交给LBS服务器，LBS服务器返回包含正确结果的候选集，移动用户之间通过彼此协作完成隐私保护过程。分布式移动终端结构的优点是：消除了系统的性能瓶颈；具有全局信息，隐私保护效果好。但也具有明显的缺点：它增加了移动终端通信开销和计算开销，且在实际应用中无法有效地保证参与隐私保护的其他用户是可信的；当服务请求用户附近没有足够的对等用户时，匿名过程很难完成。

混合型的隐私保护系统结构HiSC可以平衡客户端和匿名服务器之间的负载。混合型结构主要有三个部分组成：移动终端、可信匿名服务器、LBS服务器。移动终端可以通过可信匿名服务器请求服务，也可以基于个性化的隐私、响应时间以及服务质量需求使用P2P协议完成隐私保护过程。匿名服务器是可信的，且拥有移动用户的身份、服务请求、精确位置等信息的完整知识。这种结构集成了中心服务器结构和分布式结构的优点，能够在有效地保护查询隐私的同时提供高质量的服务。混合型结构的优点有：能够方便地为系统中的所有各方分配工作负载，减少匿名服务器由于大量移动终端用户的位置更新所导致的负荷；在用户很稀疏的情况下，仍然能够保证服务的可用性，可以提供更加灵活和连续的服务。通过调整系统参数和用户参数，能够提供个性化的隐私需求、良好响应时间和服务质量。其缺点是：系统参数多，设置和调整复杂。

2.基于隐私政策的位置隐私保护方法

过去几年，匿名和混淆技术已成为LBS隐私保护研究的主流技术。匿名指的是有很多对象组成的一个集合，这个集合中的各个对象从集合外来看是不可区分的。在LBS上下文中，隐私保护主要涉及两类信息标识：用户身份标识和位置信息标识。基于匿名的隐私保护技术主要是隐藏用户身份标识，即将用户的身份标识和其绑定的位置信息的关联性分割开，如利用假名代替用户的身份、k-匿名、混合区域等。基于混淆的隐私保护技术主要是隐藏位置信息标识，即模糊与用户身份绑定的位置信息，通过降低位置信息的精确度来保护隐私，如基于某个区域内多个用户历史轨迹的空间隐形算法等。

简单来说，基于匿名和混淆技术的隐私保护方法主要遵循如下两个原则：

（1）隐藏用户的身份标识，切断用户标识和位置信息及查询信息的关联；

（2）隐藏用户的位置信息，降低位置数据的精度。

基于匿名和混淆技术的隐私保护方法的关键是如何设计出更强的隐私保护方法来隐藏用户的身份标识或位置信息从而降低隐私披露风险且尽可能提高服务质量。

根据位置匿名化处理方法的不同，位置匿名技术可以分为以下3类。

（1）位置k-匿名

Gruteser和Grunwald最早将数据库中的k-匿名概念引入LBS隐私保护研究领域，提出位置k-匿名，即当一个移动用户的位置无法与其他k-1个用户的位置相区别时，称此位置满足位置k-匿名。

（2）假位置

如果不能找到其他k-1个用户进行k-匿名，则可以通过发布假位置达到以假乱真的效果。用户可以生成一些假位置（Dummies），并同真实位置一起发送给服务提供者。这样，服务提供者就不能分辨出用户的真实位置，从而使得用户位置隐私得到保护。如图12-1所示，黑色圆点表示用户的真实位置点，白色的圆点表示假位置（哑元），方框表示位置数据。为了保护用户的隐私，用户提交给位置服务器的是白色的假位置。因为攻击者不知道用户的真实位置，从而保护了用户的位置隐私。隐私保护水平以及服务质量与假位置和真实位置的距离有关，假位置距离真实位置越远，服务质量越差，但是隐私保护度越高；相反，距离越近，服务质量越好，但是隐私保护度越差。

图12-1　假数据示意

（3）空间加密

空间加密方法不需要向服务提供者发送其他的位置，而是通过对位置加密达到匿名的效果。例如，Khoshgozaran等人提出了一种基于Hilbert曲线的位置匿名方法，其核心思想是将空间中的用户位置及查询点位置单向转换到一个加密空间，在加密空间中进行查询。该方法首先将整个空间旋转一个角度，在旋转后的空间中建立Hilbert曲线。用户提出查询时，根据Hilbert曲线将自己的位置转换成Hilbert值，提交给服务提供者；服务提供者从被查询点中找出Hilbert值与用户Hilbert值最近的点，并将其返回给用户。

采用标准Hilbert曲线（Standard Hilbert Curve，SHC）对兴趣点进行转换，没有考虑到兴趣点的分布特征，为了获得需要的转换效果，需要多次调整曲线参数，且Hilbert曲线对空间区域采用相同的划分粒度，数据拥有者在将曲线参数即转换密钥共享给授权用户时，就给予了该用户全部区域的访问权限，无法实现对空间区域的分级别访问控制。

针对以上问题，借鉴标准Hilbert曲线对空间划分并进行转换的思想，又提出了一种新的空间数据转换方法，并对该方法的安全性与效率进行了定量分析。这种方法提出了一种根据空间区域内兴趣点分布特征而变化的自适应Hilbert曲线（Adaptive Hilbert Curve，AHC），支持数据拥有者对空间区域的自定义授权。设计了基于AHC的空间查询处理方案，支持兴趣点的索引值计算、范围查询与KNN查询处理。定义了空洞指数，用于量化空间填充曲线构建兴趣点索引所引发的隐私信息泄露风险。在真实数据集与模拟数据集的实验结果表明，与标准Hilbert曲线相比，AHC在进行空间转换方面具有更高的安全性与更优的查询效率。