權(quán)限可控傳遞的物聯(lián)網(wǎng)共享設(shè)備委托授權(quán)訪問(wèn)機(jī)制1

宋宇波，戚姍姍，胡愛(ài)群

?

權(quán)限可控傳遞的物聯(lián)網(wǎng)共享設(shè)備委托授權(quán)訪問(wèn)機(jī)制1

宋宇波，戚姍姍，胡愛(ài)群

（東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 211111）

為了解決在共享模式下設(shè)備所有者在委托授權(quán)時(shí)權(quán)限敏感度保護(hù)以及中間代理濫用授權(quán)的問(wèn)題，綜合基于信任度訪問(wèn)控制模型和代理簽名的特征，提出了一種基于信任度的可控部分權(quán)限委托授權(quán)機(jī)制。該機(jī)制采用基于角色和信任度值的授權(quán)策略，通過(guò)代理簽名實(shí)現(xiàn)可控的部分權(quán)限委托傳遞。經(jīng)安全分析證明，該機(jī)制可滿(mǎn)足權(quán)限傳遞所需的可驗(yàn)證性、不可否認(rèn)性、可區(qū)分性、可識(shí)別性和不可濫用性等安全屬性，確保了設(shè)備所有者權(quán)限的可控安全傳遞，有效防止中間代理過(guò)度授權(quán)的問(wèn)題。

共享設(shè)備；委托授權(quán)；信任度；代理簽名

1 引言

隨著物聯(lián)網(wǎng)的迅速發(fā)展和智能手機(jī)的廣泛使用，人們可以在任何時(shí)間、任何地點(diǎn)方便地訪問(wèn)智能設(shè)備。靈活的共享服務(wù)和設(shè)施建立了一個(gè)開(kāi)放的、以個(gè)人為中心的無(wú)處不在的網(wǎng)絡(luò)。在這個(gè)開(kāi)放的物聯(lián)網(wǎng)共享環(huán)境下，個(gè)人被鼓勵(lì)以服務(wù)提供者的身份，與其他人分享他們的設(shè)施或資源，如停車(chē)場(chǎng)、公寓、倉(cāng)庫(kù)、電子儲(chǔ)物柜、展覽室等[1]。

在一個(gè)典型的與多用戶(hù)共享的公民設(shè)施中，所有者將權(quán)限分配給第一個(gè)用戶(hù)，然后，第一用戶(hù)可以通過(guò)社交網(wǎng)絡(luò)將權(quán)限轉(zhuǎn)移給其他用戶(hù)。如果用戶(hù)想要訪問(wèn)共享設(shè)備，將通過(guò)Wi-Fi、藍(lán)牙或RFID驗(yàn)證自己與智能手機(jī)的身份，然后，設(shè)備根據(jù)用戶(hù)的社會(huì)屬性做出訪問(wèn)決策[2]。

在共享過(guò)程中，應(yīng)該認(rèn)真考慮以下安全問(wèn)題：如何管理權(quán)限從一個(gè)用戶(hù)到另一個(gè)用戶(hù)的傳播，如何在保護(hù)隱私的情況下驗(yàn)證用戶(hù)的身份，如何對(duì)不同的用戶(hù)進(jìn)行細(xì)粒度的訪問(wèn)控制。傳統(tǒng)的安全機(jī)制無(wú)法提供可控的權(quán)限傳播、用戶(hù)和所有者的隱私保護(hù)以及靈活的細(xì)粒度訪問(wèn)控制，因此需要設(shè)計(jì)新的安全機(jī)制來(lái)解決這些安全問(wèn)題。

Sandhu[3]最早提出了物聯(lián)網(wǎng)權(quán)限管理方案，他提出了一種基于角色的訪問(wèn)控制模型，該模型中引入了角色的概念從而將設(shè)備所有者和其權(quán)限邏輯分離，并將權(quán)限授予角色，用戶(hù)通過(guò)設(shè)備所有者為其分配的角色獲得相應(yīng)的權(quán)限，該模型有效地減小了授權(quán)管理的代價(jià)，并較好地實(shí)現(xiàn)了對(duì)授權(quán)的約束。Zhang等[4]基于角色的訪問(wèn)控制提出了一種可擴(kuò)展的訪問(wèn)控制模型，該方案通過(guò)上下文信息對(duì)權(quán)限的訪問(wèn)控制的實(shí)現(xiàn)方法進(jìn)行描述，將對(duì)象的操作轉(zhuǎn)換成對(duì)服務(wù)的操作，通過(guò)收集系統(tǒng)和用戶(hù)環(huán)境中的上下文信息對(duì)授予權(quán)限的規(guī)則進(jìn)行定義。Fu等[5]基于屬性的訪問(wèn)控制提出了通過(guò)可擴(kuò)展的訪問(wèn)控制標(biāo)記語(yǔ)言對(duì)環(huán)境屬性進(jìn)行描述，設(shè)備所有者通過(guò)屬性對(duì)權(quán)限和對(duì)用戶(hù)的約束條件進(jìn)行描述，從而在開(kāi)放的物聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)基于用戶(hù)身份和屬性的訪問(wèn)控制方案。在物聯(lián)網(wǎng)設(shè)備共享環(huán)境中，存在許多對(duì)設(shè)備所有者來(lái)說(shuō)陌生的用戶(hù)，當(dāng)這些用戶(hù)申請(qǐng)?jiān)L問(wèn)設(shè)備時(shí)，設(shè)備所有者很難直接依據(jù)其陌生的身份進(jìn)行授權(quán)，Li等[6]基于角色的信任管理，提出了一種在開(kāi)放的物聯(lián)網(wǎng)環(huán)境中陌生用戶(hù)間進(jìn)行授權(quán)的方案，其核心的授權(quán)機(jī)制是通過(guò)委托實(shí)現(xiàn)的，但卻沒(méi)有很好地處理委托深度的問(wèn)題。Kolev[7]通過(guò)信任關(guān)系實(shí)現(xiàn)陌生用戶(hù)到設(shè)備所有者權(quán)限角色的分配，同樣該文也沒(méi)有對(duì)委托深度的進(jìn)行限制。翟征德等[8]提出了一種基于角色細(xì)粒度的可控委托授權(quán)模型，該模型根據(jù)用戶(hù)的信任度對(duì)設(shè)備所有者的敏感權(quán)限進(jìn)行傳播控制，但是該方案中用戶(hù)間的信任度值都是由用戶(hù)主觀指定的，不具有通用性。

目前，對(duì)物聯(lián)網(wǎng)共享設(shè)備的權(quán)限管理主要集中在設(shè)備所有者對(duì)用戶(hù)進(jìn)行直接授權(quán)管理上[9-10]，對(duì)于通過(guò)中間代理進(jìn)行權(quán)限的可控傳遞缺乏研究，沒(méi)有一個(gè)通用客觀的信任度計(jì)算方法來(lái)表示用戶(hù)間的信任程度。在由中間代理授權(quán)的物聯(lián)網(wǎng)設(shè)備共享場(chǎng)景中設(shè)備的權(quán)限管理包括兩方面[11]：第一，設(shè)備所有者對(duì)中間代理的委托授權(quán)；第二，物聯(lián)網(wǎng)設(shè)備對(duì)獲取權(quán)限用戶(hù)的訪問(wèn)控制。針對(duì)設(shè)備所有者委托授權(quán)時(shí)的權(quán)限敏感度保護(hù)問(wèn)題，本文提出了一種基于信任度的可控的部分權(quán)限委托授權(quán)機(jī)制，設(shè)備所有者根據(jù)中間代理的信任度委托其相應(yīng)范圍的授權(quán)權(quán)限；針對(duì)中間代理過(guò)度授權(quán)的問(wèn)題，提出了一種基于信任度的訪問(wèn)控制機(jī)制，該機(jī)制采用基于角色和信任度的訪問(wèn)控制模型，根據(jù)用戶(hù)間的信任度和設(shè)備所有者設(shè)定的信任度閾值確定是否向訪問(wèn)用戶(hù)授權(quán)，該機(jī)制可以有效防止中間代理過(guò)度授權(quán)的問(wèn)題。

2 基于角色和信任度的授權(quán)策略

在可委托授權(quán)的物聯(lián)網(wǎng)設(shè)備共享場(chǎng)景中，設(shè)備所有者將授權(quán)使用設(shè)備的能力委托給中間代理，由中間代理向用戶(hù)授權(quán)，同時(shí)中間代理也可以將授權(quán)使用設(shè)備的能力委托給下一級(jí)中間代理，依次類(lèi)推，形成了設(shè)備權(quán)限的多次委托傳遞。在此場(chǎng)景下，存在中間代理過(guò)度授權(quán)的問(wèn)題，隨著權(quán)限委托深度的增加，距離設(shè)備所有者越遠(yuǎn)的用戶(hù)，其信任度越低，且隨著用戶(hù)間關(guān)系的變化，信任度也會(huì)動(dòng)態(tài)變化，然而設(shè)備的不同權(quán)限是存在敏感度差異的，其中某些權(quán)限可能涉及設(shè)備所有者的隱私是具有高度敏感性的。因此為了實(shí)現(xiàn)設(shè)備所有者敏感權(quán)限保護(hù)，針對(duì)不同信任度的用戶(hù)釋放相應(yīng)的權(quán)限顯得尤為重要。本文提出了一種基于動(dòng)態(tài)信任度的訪問(wèn)控制機(jī)制，該機(jī)制采用基于角色和信任度的訪問(wèn)控制模型，根據(jù)用戶(hù)的信任度和設(shè)備所有者設(shè)定的信任度閾值確定是否對(duì)訪問(wèn)用戶(hù)授權(quán)，從而可以防止中間代理過(guò)度授權(quán)的問(wèn)題。

在物聯(lián)網(wǎng)設(shè)備共享系統(tǒng)中，將設(shè)備所有者與其權(quán)限分離，為設(shè)備所有者設(shè)置角色，并為不同的角色分配不同的權(quán)限，因此角色實(shí)質(zhì)上是一組權(quán)限的集合且每個(gè)角色對(duì)應(yīng)的權(quán)限是存在敏感性差異的。

本文通過(guò)給每個(gè)角色對(duì)應(yīng)的權(quán)限設(shè)置一個(gè)關(guān)聯(lián)的信任度閾值來(lái)反映權(quán)限的隱私程度，信任度閾值越大，權(quán)限越敏感，只有當(dāng)某個(gè)用戶(hù)獲得該角色且其信任度大于角色對(duì)應(yīng)的權(quán)限的信任度閾值時(shí)才可以激活該角色。在本文方案中，用戶(hù)不僅可以擁有其被分配的角色的權(quán)限，還可以繼承角色鏈中低于其角色的所有角色的權(quán)限。高級(jí)角色與低級(jí)角色的關(guān)系稱(chēng)為繼承關(guān)系，然而其中存在的問(wèn)題是怎樣確定高級(jí)角色從低級(jí)角色中繼承來(lái)的權(quán)限的信任度閾值，如果只是逐一地指定每個(gè)繼承的權(quán)限的信任度閾值，是不具有拓展性的，且實(shí)現(xiàn)過(guò)程很煩瑣。本文在角色繼承關(guān)系中引進(jìn)了信任度閾值衰減因子的概念，在角色繼承關(guān)系鏈中，對(duì)于同一個(gè)權(quán)限，低級(jí)角色中該權(quán)限關(guān)聯(lián)的信任度閾值通過(guò)信任度閾值衰減因子后獲得了高級(jí)角色中該權(quán)限對(duì)應(yīng)的新的信任度閾值，下面進(jìn)行具體說(shuō)明。

定義3 用戶(hù)角色鏈：用戶(hù)的角色鏈?zhǔn)且环N樹(shù)形結(jié)構(gòu)，樹(shù)中的每一個(gè)節(jié)點(diǎn)是角色，每個(gè)角色按照對(duì)應(yīng)權(quán)限敏感度大小由高到低排列，角色鏈中上級(jí)角色可以繼承下級(jí)角色的所有權(quán)限，但是同一級(jí)的角色是并列的，不可以相互繼承。

以房屋共享為例對(duì)角色鏈的概念進(jìn)行說(shuō)明，表1說(shuō)明了房主設(shè)定的角色、對(duì)應(yīng)的權(quán)限和權(quán)限的信任度閾值。

從表1中可以看出，房主設(shè)定了4種角色，在角色鏈中由低到高為Guest、General、Close和VIP，其中，General和Close是并列角色。角色Guest可以獲取房主車(chē)庫(kù)的使用權(quán)p_garage，角色General獲得客廳p_livingroom和衛(wèi)生間p_bathroom的權(quán)限，角色Close獲得客房p_guestroom的權(quán)限，角色VIP獲得書(shū)房p_studyroom和主臥p_masterroom的權(quán)限。具有角色VIP的用戶(hù)可以繼承角色Guest、General和Close的所有權(quán)限。從表1中可以看出，主臥是一個(gè)高度涉及房主隱私的權(quán)限，因此將它的信任度閾值設(shè)定得比較高。

表1 房屋共享角色權(quán)限分配

在房主的角色鏈中，角色VIP級(jí)別最高，General和Close是同等級(jí)的角色，沒(méi)有繼承關(guān)系，角色Guest級(jí)別最低。角色VIP繼承了角色Close的所有權(quán)限，只獲得角色Close的用戶(hù)的信任度必須高于信任度閾值0.8才可以獲得權(quán)限p_guestroom，那么角色VIP繼承到的權(quán)限p_guestroom需要設(shè)置多大的信任度閾值？通常認(rèn)為對(duì)于同一個(gè)權(quán)限，具有角色級(jí)別高的用戶(hù)比角色級(jí)別低的用戶(hù)更加可信，如對(duì)于房主而言，父母比普通朋友更加可信，因此可以認(rèn)為獲得角色VIP的用戶(hù)可以以低于信任度閾值0.8的信任度獲得權(quán)限p_guestroom，所以，通過(guò)在角色鏈中引入信任度閾值衰減因子使高級(jí)角色繼承來(lái)的低級(jí)角色的權(quán)限的信任度閾值變小是符合實(shí)際情況的。圖1是房主設(shè)定的角色鏈中的信任度閾值衰減，圖中角色與角色之間邊上的值是信任度閾值衰減因子。

圖1 角色鏈上的信任度閾值衰減

例如，間接關(guān)系VIP→Close→Guest的角色累積衰減值為0.9×1.0=0.9。另外，當(dāng)從一個(gè)角色到另一條角色有多條路徑時(shí)，如VIP→Guest有VIP→Close→Guest和VIP→General→Guest這2條路徑，選擇累積衰減值最小的一條路徑作為最終的信任度閾值衰減因子。本文方案中信任度閾值衰減因子是由設(shè)備所有者設(shè)置的，如果設(shè)備所有者認(rèn)為某一角色繼承來(lái)的權(quán)限對(duì)該角色來(lái)說(shuō)比較隱私，就可以將衰減因子設(shè)置較大，若希望該權(quán)限被高等級(jí)角色很容易獲得，就可以將衰減因子設(shè)置較小。

3 基于信任度的可控部分委托授權(quán)機(jī)制

物聯(lián)網(wǎng)設(shè)備共享中常見(jiàn)的場(chǎng)景之一是通過(guò)中間代理授權(quán)的物聯(lián)網(wǎng)設(shè)備共享平臺(tái)，在該場(chǎng)景下設(shè)備所有者將物聯(lián)網(wǎng)設(shè)備委托給中間代理，由中間代理負(fù)責(zé)向用戶(hù)授予權(quán)限，用戶(hù)利用中間代理頒發(fā)的授權(quán)憑證獲得設(shè)備的使用權(quán)，整個(gè)交互過(guò)程中通過(guò)中間代理進(jìn)行權(quán)限的傳遞，設(shè)備所有者無(wú)須與用戶(hù)進(jìn)行線下的交互。中間代理可以有效解決設(shè)備所有者有自己的工作、無(wú)法實(shí)時(shí)對(duì)設(shè)備的訪問(wèn)權(quán)限進(jìn)行管理的問(wèn)題，其可以代替設(shè)備所有者對(duì)用戶(hù)的申請(qǐng)做出快速有效的回應(yīng)，從而減輕設(shè)備所有者管理設(shè)備的負(fù)擔(dān)，提高了物聯(lián)網(wǎng)設(shè)備共享系統(tǒng)的效率；另外，由于設(shè)備所有者通常是向其認(rèn)識(shí)或熟悉的用戶(hù)分享自己的個(gè)人閑置設(shè)備，所以可獲得使用權(quán)的用戶(hù)范圍有限，通過(guò)中間代理的集客效應(yīng)可以擴(kuò)大用戶(hù)的范圍，提高系統(tǒng)的實(shí)用性。

在該物聯(lián)網(wǎng)設(shè)備共享場(chǎng)景下需要考慮的一個(gè)重要問(wèn)題是如何實(shí)現(xiàn)設(shè)備所有者權(quán)限的可控傳遞，即如何實(shí)現(xiàn)設(shè)備所有者對(duì)中間代理的可控委托授權(quán)，在該場(chǎng)景下設(shè)備所有者對(duì)中間代理的委托授權(quán)需要滿(mǎn)足以下性質(zhì)。

1) 臨時(shí)委托：設(shè)備所有者對(duì)中間代理的委托是有時(shí)間限制的，超過(guò)委托時(shí)間，中間代理的授權(quán)能力就會(huì)失效。

2) 單一性：當(dāng)設(shè)備所有者委托中間代理對(duì)用戶(hù)授權(quán)后，設(shè)備所有者仍可以對(duì)申請(qǐng)權(quán)限的用戶(hù)進(jìn)行授權(quán)。

3) 部分委托：由于設(shè)備所有者的權(quán)限是存在敏感性差異的，設(shè)備所有者將依據(jù)中間代理的信任度委托其相應(yīng)范圍的授權(quán)權(quán)限。

4) 自己管理：委托關(guān)系是由設(shè)備所有者直接管理的，其可以撤銷(xiāo)行為表現(xiàn)不好的中間代理。

本文采用代理簽名技術(shù)，由中間代理代替設(shè)備所有者對(duì)用戶(hù)簽發(fā)授權(quán)證書(shū)。中間代理的代理簽名私鑰由其和設(shè)備所有者共同生成，該方案可以有效實(shí)現(xiàn)委托授權(quán)的可驗(yàn)證性和不可否認(rèn)性、授權(quán)者的可區(qū)分性和授權(quán)能力的不可濫用性，確保設(shè)備所有者權(quán)限的可控安全傳遞。

下面對(duì)本文用到的符號(hào)進(jìn)行說(shuō)明。

委托授權(quán)協(xié)議中的參與者包括設(shè)備所有者、中間代理、用戶(hù)和物聯(lián)網(wǎng)設(shè)備，圖2是委托授權(quán)的流程。

接下來(lái)，對(duì)委托授權(quán)協(xié)議運(yùn)行的具體步驟進(jìn)行介紹。

圖2 委托授權(quán)流程

4 基于信任度的訪問(wèn)控制

在一個(gè)角色鏈中等級(jí)高的角色可以繼承等級(jí)低的角色的權(quán)限，并且為了保護(hù)物主敏感度高的權(quán)限，對(duì)每個(gè)權(quán)限設(shè)置信任度閾值，只要獲得該角色的用戶(hù)的信任度大于對(duì)應(yīng)權(quán)限的信任度閾值時(shí)就可以激活角色的訪問(wèn)權(quán)限。根據(jù)信任關(guān)系類(lèi)型，將用戶(hù)劃分為直接關(guān)系用戶(hù)和間接關(guān)系用戶(hù)。

圖3 用戶(hù)關(guān)系

在開(kāi)放的物聯(lián)網(wǎng)環(huán)境中，想要獲取設(shè)備使用權(quán)的用戶(hù)也可能是設(shè)備所有者陌生的用戶(hù)，他無(wú)法與物主直接建立聯(lián)系，但是他可以通過(guò)一個(gè)或多個(gè)“中介”間接地向物主申請(qǐng)權(quán)限，因此形成了一個(gè)以物主為核心的關(guān)系網(wǎng)絡(luò)。圖3給出本文假設(shè)的關(guān)系，圖中的節(jié)點(diǎn)表示用戶(hù)，通過(guò)邊相連的用戶(hù)是相互認(rèn)識(shí)的。

綜上所述，用戶(hù)最終獲取角色的信任度值取決于權(quán)限傳遞鏈中每一段直接關(guān)系間的信任度，且權(quán)限越往下傳遞，用戶(hù)的信任度是衰減的，離物主關(guān)系越遠(yuǎn)的用戶(hù)獲得物主角色權(quán)限的可能性越低。本文方案實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備共享環(huán)境中物主權(quán)限的可控傳遞，實(shí)現(xiàn)了對(duì)不同信任度用戶(hù)的訪問(wèn)控制。同時(shí)，用戶(hù)間的信任度不是固定不變的，而是在一段時(shí)間內(nèi)隨用戶(hù)間的關(guān)系變化而動(dòng)態(tài)變化的，直接或間接用戶(hù)最終獲得的信任度也是動(dòng)態(tài)變化的，因此，用戶(hù)在不同時(shí)間訪問(wèn)設(shè)備時(shí)可能獲得不同的訪問(wèn)權(quán)限。

5 安全性分析

委托授權(quán)過(guò)程的本質(zhì)是代理簽名技術(shù)的應(yīng)用，而一個(gè)安全的代理簽名方案需要滿(mǎn)足可驗(yàn)證性、不可否認(rèn)性、可區(qū)分性、可識(shí)別性和不可濫用性等安全屬性，本文根據(jù)這些屬性對(duì)所有者委托授權(quán)協(xié)議的安全性進(jìn)行分析。

1) 可驗(yàn)證性

2) 不可否認(rèn)性

3) 不可偽造性

4) 可識(shí)別性

由于在代理簽名私鑰中包含中間代理的私鑰，因此只有利用中間代理的公鑰才能生成正確的代理簽名驗(yàn)證公鑰，從而對(duì)代理簽名的有效性進(jìn)行驗(yàn)證。任何得到代理簽名的用戶(hù)都可以通過(guò)中間代理的公鑰確定中間代理的真實(shí)身份。

5) 不可濫用性

6) 強(qiáng)密鑰依賴(lài)性

中間代理簽名時(shí)的代理簽名私鑰依賴(lài)于設(shè)備所有者的私鑰和中間代理的私鑰。

綜上所述，本文方案具有更高的安全性和實(shí)現(xiàn)效率，并且計(jì)算量小和通信復(fù)雜度低。該方案可以實(shí)現(xiàn)委托授權(quán)時(shí)設(shè)備所有者權(quán)限的可控傳遞，有效解決當(dāng)設(shè)備的使用出現(xiàn)糾紛問(wèn)題時(shí)，設(shè)備所有者和中間代理相互抵賴(lài)的問(wèn)題；另外，該方案還根據(jù)由中間代理的用戶(hù)關(guān)系計(jì)算的信任度授予其相應(yīng)的授權(quán)范圍，保護(hù)了設(shè)備所有者的敏感權(quán)限。

6 結(jié)束語(yǔ)

本文主要介紹了基于信任度的委托授權(quán)和訪問(wèn)控制方案，首先針對(duì)物聯(lián)網(wǎng)設(shè)備共享場(chǎng)景中設(shè)備所有者委托授權(quán)時(shí)權(quán)限敏感度保護(hù)的問(wèn)題，提出了一種基于信任度可控的部分權(quán)限委托授權(quán)機(jī)制，中間代理在設(shè)備所有者許可范圍內(nèi)將部分被委托的權(quán)限授權(quán)給用戶(hù)，其使用的代理簽名私鑰由設(shè)備所有者和中間代理共同生成，防止設(shè)備所有者和中間代理相互抵賴(lài)的問(wèn)題，提供了權(quán)限敏感度保護(hù)；針對(duì)用戶(hù)訪問(wèn)物聯(lián)網(wǎng)設(shè)備時(shí)中間代理過(guò)度授權(quán)的問(wèn)題，提出了一種基于信任度的訪問(wèn)控制機(jī)制，該機(jī)制采用基于角色和信任度的訪問(wèn)控制模型，根據(jù)用戶(hù)動(dòng)態(tài)關(guān)系所生成的信任度和設(shè)備所有者設(shè)定的信任度閾值確定是否授權(quán)。

[1] JIN J, GUBBI J, MARUSIC S, et al. An information framework for creating a smart city through Internet of things[J]. IEEE Internet of Things Journal, 2016, 1(2): 112-121.

[2] MC-KINLAY P. Make way for smart cities: opportunities, challenges and capacities of New Zealand local governments[J]. Asia Pacific Journal of Public Administration, 2017, 39(4): 297-303.

[3] SANDHU R S, COYNE E J, FEINSTEIN H L, et al. Role-based access control models[J]. Computer, 1996, 29(2): 38-47.

[4] ZHANG G, TIAN J. An extended role based access control model for the Internet of things[C]//2010 International Conference on Information Networking and Automation (ICINA). 2010: 319-323.

[5] FU Y, YE C. Using XACML to define access control policy in information system[C]//IET Conference on Wireless, Mobile and Sensor Networks (CCWMSN 17). 2017: 676-679.

[6] LI N, WINSBOROUGH W H, MITCHELL J C. Distributed credential chain discovery in trust management: extended abstract[C]//ACM Conference on Computer and Communications Security. 2016: 156-165.

[7] KOLEV A, ?OBANOV S. Trustbac—integrating trust relationships into the rbac model for access control in open systems[C]//ACM Symposium on Access Control Models and Technologies. 2016: 49-58.

[8] 翟征德, 馮登國(guó), 徐震. 細(xì)粒度的基于信任度的可控委托授權(quán)模型[J]. 軟件學(xué)報(bào),2017,18(8). ZHAI Z D, FENG D G, XU Z. Fine-grained controllable delegation authorization model based on trustworthiness[J]. Journal of Software, 2017, 18(8).

[9] YU J, WANG G, MU Y, et al. An efficient generic framework for three-factor authentication with provably secure instantiation[J]. IEEE Transactions on Information Forensics and Security, 2016, 9(12): 2302-2313.

[10] XUE K, MA C, HONG P, et al. A temporal credential based mutual authentication and key agreement scheme for wireless sensor networks[J]. Journal of Network and Computer Applications, 2017, 36(1): 316-323.

[11] JIANG Q, MA J, LU X, et al. An efficient two-factor user authentication scheme with unlinkability for wireless sensor networks[J]. Peer-to-Peer Networking and Applications, 2016, 8(6): 1070-1081.

Delegation authorization mechanism with controllable permissions propagation for IoT devices sharing

SONG Yubo, QI Shanshan, HU Aiqun

School of Cyber Science and Engineering, Southeast University, Nanjing 211111, China

In order to solve the problems of privilege sensitivity protection and the abuse of authorization by the agent when the device owner delegates authorization in IoT devices sharing environment, a trust-based delegation mechanism for controllable partial permissions was proposed with the trust access control model and the proxy signature. This mechanism generates trust values and authorization policies based on the relationship between the users, and implements controllable partial authority delegation through the proxy signature. According to the security analysis, the mechanism can meet the security attributes such as verifiability, non-repudiation, distinguishability, identifiability and non-abuse required by the permission transfer, and ensure the controllable security transfer of the device owner's permission. The problem of over authorization of an intermediary agent is effectively prevented.

devices sharing, delegation authorization, trust value, proxy signature

The National Natural Science Foundation of China (No.61601113), CERNET Innovation Project (No.NGII20150409), Fundamental Research Funds for the Central Universities (No.2242017K40013)

TP309

A

10.11959/j.issn.2096-109x.2019015

宋宇波（1977? ），男，江蘇無(wú)錫人，博士，東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授，主要研究方向?yàn)橐苿?dòng)通信安全，物聯(lián)網(wǎng)安全及安全協(xié)議設(shè)計(jì)。

戚姍姍（1992? ），女，浙江余姚人，東南大學(xué)博士生，主要研究方向?yàn)槲锫?lián)網(wǎng)安全。

胡愛(ài)群（1952? ），男，江蘇南通人，博士，東南大學(xué)教授，主要研究方向?yàn)橥ㄐ啪W(wǎng)絡(luò)安全。

2018?11?20；

2018?12?20

宋宇波，songyubo@sec.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61601113）；賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新基金資助項(xiàng)目（No.NGII20150409）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)基金資助項(xiàng)目（No.2242017K40013）

宋宇波，戚姍姍，胡愛(ài)群. 權(quán)限可控傳遞的物聯(lián)網(wǎng)共享設(shè)備委托授權(quán)訪問(wèn)機(jī)制[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(2): 40-49.

SONG Y B, QI S S, HU A Q. Delegation authorization mechanism with controllable permissions propagation for IoT devices sharing[J]. Chinese Journal of Network and Information Security, 2019, 5(2): 40-49.