本發(fā)明公開了一種基于屬性的安全便捷的智能門鎖訪問控制方法，用于解決市場上大多數(shù)智能門鎖結(jié)構(gòu)存在的惡意用戶通過斷線逃避權(quán)限撤銷、對于不同場景的角色多元化適用程度不夠以及用戶分級管理產(chǎn)生的級聯(lián)刪除等問題。本發(fā)明用智能門鎖為中心，在設備端進行訪問控制，減少對于服務器的依賴。訪問者、門鎖和環(huán)境因素都使用屬性進行描述，實現(xiàn)靈活的訪問控制。同時用sRole屬性關聯(lián)上下級的用戶，能夠?qū)Χ嗉売脩暨M行級聯(lián)刪除。

技術領域

本發(fā)明涉及一種基于屬性的安全便捷的智能門鎖訪問控制系統(tǒng)，屬于物聯(lián)網(wǎng)領域。

背景技術

隨著人們對物聯(lián)網(wǎng)的興趣日益濃厚，許多用于個人用途的網(wǎng)絡物理設備已經(jīng)商品化，如智能家電、可穿戴設備和新型汽車。這些新興的智能設備通過將機械設備與允許外部計算機系統(tǒng)控制它們的電子元件集成在一起，擴展了機械設備。然而，便利也帶來了更多的風險，如智能語音助手、車聯(lián)網(wǎng)、智能家居。

智能家居是在互聯(lián)網(wǎng)的影響下物聯(lián)化的存在，它通過物聯(lián)網(wǎng)技術將家庭中的各類設備(如音視頻設備、照明設備、窗簾控制、智能門鎖、安防系統(tǒng)、空調(diào)設置等)連接在一起，提供家電控制、空調(diào)控制、照明控制等多種功能和手段。智能家居由大量低功耗資源受限的設備組成，在通信過程中涉及大量小數(shù)據(jù)交換。不安全的智能家居物聯(lián)網(wǎng)網(wǎng)絡在數(shù)量和規(guī)模上不斷增長，由于資源有限，在物聯(lián)網(wǎng)中實施標準的安全解決方案是一個挑戰(zhàn)。脆弱的智能家居物聯(lián)網(wǎng)構(gòu)成了巨大的安全威脅。它將智能家居網(wǎng)絡安全置于危險之中，因為它可以作為一個進入網(wǎng)絡的入口點，同時它手機的大量個人數(shù)據(jù)也暴露了用戶的隱私。除此之外，智能家居的物聯(lián)網(wǎng)系統(tǒng)中，一些設備在變得更加方便的同時，也帶來了普通家庭沒有的風險。作為一個家庭物理安全的最重要的保障，智能門鎖對家庭人員及設備的訪問控制尤為重要。

隨著智能家居的逐步發(fā)展，越來越多的設備接入智能家居系統(tǒng)，產(chǎn)生了大量數(shù)據(jù)。很多設備產(chǎn)生的數(shù)據(jù)涉及用戶的隱私，這使得智能家居的發(fā)展很可能產(chǎn)生隱私泄露等原本不存在的風險。與此同時，智能門鎖的發(fā)展使得解鎖的過程越來越簡單。而更加智能的解鎖過程也帶來新的危險，如斷線躲避、重放攻擊、中繼攻擊、意外解鎖、越權(quán)解鎖、權(quán)限級聯(lián)刪除等。

面臨眾多的問題，多數(shù)的研究雖然解決了一些問題，但仍然依賴服務器。大多依然是靠服務器來管理權(quán)限，雖然能從一定程度上解決用戶斷線的問題但是在一些特殊情況下依舊存在風險。一些協(xié)議能夠防止沒有全限的人攻擊，但是不能很好的處理惡意用戶斷線保留權(quán)限的問題，或者需要要求用戶手機不能斷網(wǎng)。而一些特殊技術在解決一些問題的同時自身也存在問題，如NFC易被中繼攻擊。且多數(shù)方案都缺少對多級用戶的問題的考慮。我們研究發(fā)現(xiàn)基于屬性的訪問控制(ABAC)能夠適應多變的用戶和角色。

在ABAC中，我們將屬性分為四種類型:S、O、P和e。S是指發(fā)起訪問并希望對其進行解鎖的用戶主體的屬性，如sID、sRole等。O表示被訪問對象的屬性(如智能門鎖或訪問日志)，如oID。P表示用戶的權(quán)限屬性，表示用戶可以執(zhí)行的各種操作，如打開智能門鎖或訪問日志。E表示環(huán)境屬性，即訪問控制過程發(fā)生時的環(huán)境信息，如用戶發(fā)起訪問的時間、系統(tǒng)的地理網(wǎng)絡位置等。可以從多個級別對不同身份的用戶進行分類和控制。它獨立于訪問器和要訪問的資源。ABAC允許在訪問控制決策中動態(tài)更改屬性，比如一天中的時間和位置。

ABAC能做到細粒度的授權(quán)管理，我們知道，在policy中，我們的準許訪問的判斷是可以寫的很靈活的，我們甚至可以判斷請求中的某個屬性是否滿足于一個正則表達式，或者字符串相等(這個很常見，特別是在使用AWS IAM做最小權(quán)限原則時)，我們也可以使用邏輯與、邏輯或的關系自由組合很多不同的訪問規(guī)則。你可以使用之前提到的SpecificationPattern很輕松的實現(xiàn)靈活的policy，解析JSON或者XML去動態(tài)的創(chuàng)建規(guī)則，而這些含有規(guī)則的JSON或XML，則是可以被編程實現(xiàn)的(可編程的policy是動態(tài)的授權(quán)驗權(quán)的前提)。你的policy甚至可以做到，只有姓張的工程師在某個項目時才能訪問某個資源，在RBAC的時代，這是很難的。

發(fā)明內(nèi)容