A survey on Access Control in the Age of Internet of Things

---

A B S T R A C T

随着物联网技术的发展，各种类型的信息，如社会资源和物理资源，被深度集成，用于不同的综合应用。社交、车联网、医疗服务、视频监控等形式的物联网信息服务模式逐渐改变着人们的日常生活。面对海量的物联网信息数据，物联网搜索技术被用来快速找到准确的信息，以满足用户的实时搜索需求。然而，物联网搜索需要使用大量用户私人信息，如个人健康信息、位置信息和社会关系信息，以提供个性化服务。如果在物联网搜索过程中缺少有效的访问控制机制，使用用户的私人信息将遇到安全问题。访问控制机制可以有效地监控资源的访问活动，确保授权用户在合法条件下访问信息资源。这项调查调查了越来越多的关于物联网搜索访问控制的文献。分析了访问控制机制的问题和挑战，以促进在现实生活中采用访问控制解决方案。本文旨在为大规模动态异构环境中的物联网搜索访问控制机制提供理论、方法和技术指导。在文献综述的基础上，我们还分析了物联网时代访问控制的未来发展方向。

---

引言

物联网概念实现了车辆和家用电器等各种设备之间的连接、交互和数据交换。物联网设备正在从互联网、传感器网络和在线社交网络收集各种数据，如电力消耗、位置信息和传感器数据。随着物联网规模的不断扩大，物联网设备产生的数据规模也在与日俱增。为了应对这一巨大挑战，物联网搜索技术被提出用以集成不同类型的数据，提供各种数据检索服务，快速准确地满足实时搜索需求[2，3]。物联网搜索是一把“双刃剑”。一方面，如果使用得当，它将给人们的生活带来便利。另一方面，这也是对个人隐私和国家安全的严重威胁。物联网搜索能否被广泛接受和普及，取决于其防止敏感信息泄露的能力。

访问控制作为确保信息安全的骨干技术，为克服物联网的上述挑战带来了机遇。访问控制可以有效地监控资源的访问，防止未经授权的信息流。然而，物联网搜索是一个相对较新的研究领域，传统的访问控制方法和技术无法完全解决物联网搜索面临的访问控制问题。

物联网搜索环境涵盖互联网、传感器网络、在线社交网络等。信息的使用从传统的网络信息扩展到涵盖人类、网络和物理的信息。物联网搜索环境下的数据访问具有以下特点。
1） 巨大。研究人员解释说，在美国，2011年只有M2M的流量增长了250%，预计到2020年，它将占据互联网总流量的近一半[1]。海量数据给数据维护、存储和检索带来了新的挑战。
2） 动态。在物联网搜索环境中，节点和用户不断变化，访问对象可能不断添加和删除。这种动态特性使得很难提前预测所有用户信息并准确理解用户和权限结构。
3） 强大的隐私。随着数据共享水平的提高，数据隐私和安全越来越受到重视。为了保护个人隐私，政府和研究人员提出了许多隐私原则，如ISO/IEC 29100:2011[6]、设计隐私[7]、通用数据保护条例[8]和公平信息实践原则[9]。然而，许多研究人员怀疑这些原则是否有利于隐私，因为其中一些原则主要是最大限度地提高个人对数据的控制，而不是保护数据[10]。
4） 多方通用性。物联网搜索中的数据不再局限于单一的封闭环境，而是由不同的合作组织生成。物联网搜索服务实际上是由几个动态连接的信息系统组成的。通过不同合作组织之间的信息交流与共享，满足复杂的应用需求。

访问控制作为保证信息安全的骨干技术，可以有效地监控资源的访问，防止信息的非法流动。然而，物联网搜索是一个相对较新的研究领域，传统的访问控制方法和技术无法完全解决物联网搜索面临的访问控制问题。在物联网环境中，数据在事物和用户之间不断传输和共享，以实现特定目标[11，12]。身份验证、机密性和访问控制对于确保在此共享环境中的安全通信非常重要[13]。在这种共享环境下，建立一个安全的通信系统需要身份验证和保密性。例如，如何确保边缘设备能够可靠地确定查询或命令来自授权设备，以及边缘设备如何确认该权限。公钥密码学、签名和身份验证通常用于实现身份验证和机密性[14]。与传统的数据库管理系统相比，物联网环境下的访问控制对象更多地是数据流。在这种情况下，访问控制的挑战包括保证访问权限、管理可扩展的物联网架构、处理大量数据流等。

总之，尽管访问控制可以使物联网搜索受益，但也有许多挑战需要解决。本文旨在对物联网搜索访问控制的最新特点、要求、技术、挑战和开放研究问题进行深入调查

A. Comparison Between This Paper and Existing Surveys

访问控制是确保每个资源和数据请求都由一个系统管理的过程，该系统可以决定批准或拒绝请求。对于任何信息管理系统来说，最重要的是保护资源和数据的隐私和完整性。根据不同系统所需的不同安全策略，做出并执行不同的访问控制决策，以确保只能进行授权访问。因此，禁止对资源和数据进行任何未经授权的披露和修改，同时资源和数据可供合法使用。大量文献综述了访问控制的发展。在[15]中，访问控制系统的开发分为三个阶段，即安全策略、安全模型和安全机制。文献对不同的访问控制策略和模型进行了综述，同时对安全机制也进行了深入研究。在[16]中，对访问控制机制及其部署细节进行了调查，以说明不同应用程序域需要的不同访问控制模型，以及不同使用环境需要的不同部署细节。

在物联网时代，信息搜索对象从静态内容扩展到动态内容（各种事物或对象，如多媒体和手机）[17]，环境从单个域变为多域协作环境。如上所述，不同的应用领域和环境需要不同的访问控制模型和机制特征[18-20]。面向物联网应用的访问控制一直是大量研究工作的主题。有许多文献综述对这些研究工作进行了总结，我们在这里简要讨论。

在[21]中，讨论了协作系统中早期访问模型的优点和缺点，以显示2005年之前的发展状况。这是对协作系统中访问控制的一个非常全面的综述。作者首先分析了协作的访问控制需求，然后考察了协作环境中现有的访问控制模型，最后给出了一组评估这些模型的标准。本文对协同环境下访问控制模型的设计和评估有很大的帮助。随着WBSN（基于网络的社交网络）服务的广泛使用，信息共享和传播变得越来越方便，这带来了严重的安全和隐私问题。在[22]中，作者讨论了与访问控制和隐私强制相关的主要要求以及WBSN的特点。根据这些要求，他们审查了2008年之前提出的关于该领域访问控制的研究活动。在[23]中，选择在线社交网络（OSN）作为应用领域，讨论访问控制模型和解决方案如何满足OSN的安全和隐私要求。在[24]中，访问控制模型分为基于关系、基于属性、基于社区结构和以用户活动为中心的模型。作者根据这些类别回顾了社交网络中不同的访问控制模型。在[25]中，作者专注于基于属性的访问控制（ABAC），这是面向物联网应用的流行访问控制模型。从分类学的角度讨论了ABAC的研究现状。在[26]中，调查了以社区为中心的协作系统访问控制的研究建议。首先，在深入分析文献、现实场景和以社区为中心的协作系统现状的基础上，总结了以社区为核心的协作系统的特点。然后总结了从政策规范、治理、透明度到评估的几个重要要求。为了满足这些要求，对门禁系统的特点进行了识别和分析。通过概述以社区为中心的系统的许多模型和机制，确定了主要的研究趋势和主要的差距，以指导未来的研究。作者还总结了该领域需要解决的挑战。

然而，大多数现有的调查都存在以下局限性：1）物联网搜索没有明确的定义；2） 没有专门针对物联网搜索的访问控制概述（其中一些旨在提供对各种使用环境中的访问控制的全面理解，一些侧重于特定的物联网场景）；3） 政策挖掘等其他重要问题也不见了。

表一提供了我们的调查与其他相关调查的比较。比较基于我们调查中物联网搜索的访问控制方面的类型，即策略描述方法、策略和模型组合、冲突检测和解决、属性发现机制、策略挖掘、以及策略授权。与我们的工作相比，文献综述Suhendra[16]、Asim&Malik[24]和Paci等人[26]，侧重于本文总结的六个方面中的五个，没有考虑政策挖掘。Servos&Osborn[25]在不考虑冲突检测和解决的情况下，审查了策略挖掘的方面。Samarati和Vimercati[15]没有考虑策略挖掘，他们讨论了基于逻辑的授权语言不能访问我们在策略描述方法中提到的策略语言。Kayes&Iamunichi[23]和Tolone等人[21]回顾了六个方面中的三个。相比之下，我们的调查对专注于物联网环境中访问控制的现有研究工作进行了更全面的回顾。

B. Contributions

鉴于先前的工作，我们的目标是：1）提供物联网搜索和访问控制技术的概念介绍；2） 对当前最先进的物联网搜索访问控制技术进行了深入分析；以及3）讨论了实现物联网搜索访问控制的技术挑战。本文的主要贡献如下。
1） 首先简要介绍了访问控制，包括经典的访问控制模型和新应用场景中的访问控制技术。
2） 然后给出了物联网搜索的定义，总结了物联网检索的关键特征，并对物联网检索所需的访问控制模型和机制的要求进行了分类。
3） 为了提供准确的访问控制策略管理，需要集成不同代理的异构策略。然后讨论了政策组合和冲突解决。
4） 基于策略组合和冲突解决，需要协作编写访问控制策略。访问控制策略授权还从属性发现机制、策略挖掘和策略授权三个方面进行了讨论。
5） 此外，本文总结了研究空白和有待解决的问题，以指导未来物联网搜索访问控制的研究。

这篇文章的组织结构如下。下一节介绍物联网搜索访问控制的背景。第三节分析了物联网应用的特点，并阐述了访问控制模型和机制在该领域应满足的主要要求。第四节回顾了有关访问控制策略组合和冲突解决技术的现有文献，并分析了满足这一要求的可用访问控制模型。第五节综述了访问控制策略授权的最新发展，包括属性发现机制、策略挖掘和授权模型。第六节确定了有待未来研究的悬而未决的问题。文章的结论见第七节。

II.ACCESS CONTROL BACKGROUND

物联网搜索在为人们提供便利的同时，使用了大量授权的个人隐私数据。然而，对这些私人数据的保护是不够的。一旦私人数据泄露，可能会给组织带来巨大损失。访问控制技术确保资源只能由授权用户根据预定义的访问控制策略访问，因此可以防止对私人信息的未经授权的访问。到20世纪70年代，访问控制系统主要用于大型机系统，如BLP模型[27]和Biba模型[28]。BLP模型是根据军事安全策略设计的，旨在解决具有机密层次信息的访问控制问题。它是第一个具有严格理论证明的访问控制模型的数学模型。Biba模型是由Kenneth J。1975年的Biba。它是计算机安全策略的正式状态转换系统，描述了一组旨在确保数据完整性的访问控制规则。克拉克-威尔逊模型是克拉克和威尔逊于1987年提出的。该模型用于控制和审计主体的状态转换和低水位线策略参数的运行时间调整。与Biba相比，Clark–Wilson模型通过受控状态事务提供了完整的完整性保护，而Biba模型提供了简单的多级完整性访问控制方案，但需要引入可信主体来确保可用性。

到了20世纪80年代，随着对计算机可信度要求的不断提高，研究提出了更灵活的访问控制机制。其中一个代表作是由美国国防部（DoD）创建的可信计算机系统评估标准（TCSEC）。TCSEC是一个为评估安全有效性设定基本要求的标准。根据TCSEC，根据访问权限用户的不同角色，访问控制可分为自由访问控制（DAC）[29]和强制访问控制（MAC）[30]。DAC模型允许合法用户以用户或组的身份访问对象，同时防止未经授权的用户访问对象，一些用户还可以将自己拥有的对象的访问权限独立授予其他用户。DAC模型可以满足资源所有者的安全需求；然而，由于访问依赖于用户授权，DAC模型中对访问权限的管理更加分散。同时，DAC需要手动管理用户、权限和资源，由于管理工作的复杂性，这使得它不适合物联网搜索。MAC模型是一种根据中央机构的规定分配访问权限的方法。这类政策包括行业和政府的例子。MAC的应用通常基于多级安全模型。虽然MAC模型通过集中授权管理解决了分散资源管理的问题，但对于物联网搜索的用户来说，MAC模型的管理效率较低。

到2000年左右，随着互联网的发展和信息系统在企业中的大规模应用，传统的访问控制模型（即DAC、MAC及其扩展模型）在满足复杂的应用层访问要求方面遇到了困难。为了解决这个问题，提出了基于角色的访问控制（RBAC）[31]，以限制授权用户对系统的访问。RBAC的组件（即角色权限、用户角色和角色-角色关系）使执行用户分配变得简单。图1显示了RBAC模型中角色和用户之间的关系。RBAC可用于促进大型组织的安全管理，并满足信息系统的信息完整性要求。RBAC不同于MAC和DAC；然而，它可以在不复杂的情况下执行这些政策。

物联网搜索等新型计算环境的快速发展给访问控制技术的应用带来了巨大挑战。传统的面向封闭环境的访问控制模型（即DAC、MAC、RBAC）不适应新的计算环境。在这种情况下，基于属性的访问控制（ABAC）[32]被认为是一种新兴的访问控制形式，其中，基于主体的指定属性、对象的指定属性，环境条件以及根据这些属性和条件指定的一组策略，主体对对象执行操作的请求被授予或拒绝[25]。角色的概念在现实生活中很常见。Ferraolo和Kuhn于1992年首次将其引入信息系统访问控制研究所，并将其命名为RBAC[31]。与由系统管理员手动分配角色、所有权或安全标签的传统访问控制模型不同，ABAC允许基于系统中用户和对象的现有属性创建访问策略。

由于属性可以在不同的视图中描述实体，因此它们允许用户根据实际情况更改访问控制策略。时态RBAC（TRBAC）[33]是RBAC模型的扩展，它通过使用角色触发器支持周期性的角色启用、禁用和时态依赖关系。除了时间信息，物联网环境中还需要考虑位置约束。时空RBAC（STRBAC）[34]是研究人员提出的，用于在访问资源需要同时考虑时间和位置信息时提供访问控制的高级描述。概念使用控制（UCON）是在[35]中开发的，与传统的访问控制策略和模型相比，它能够对数字对象的使用进行更细粒度的控制。ABAC的优点可以有效地解决动态大规模环境中细粒度访问控制的问题。ABAC是新计算环境下一种理想的访问控制模型，具有广阔的应用前景。

ABAC根据访问控制实体的属性做出访问控制决策。这些属性通常由四元组表示$<S,O,P,E>$ , 其中，S是主题属性，O是对象属性，P是权限属性，E是环境属性。

图2给出了一个简化的ABAC模型，其中属性分配（AA）旨在为主体和对象分配属性，策略权限关系（PPR）是策略和它们授予的权限之间的关系，策略是控制系统中访问的所有策略的集合。尽管ABAC实现了对用户访问资源的有效控制，但并没有充分考虑私有数据的安全性。

基于传统ABAC的思想，研究人员提出了基于属性的加密（ABE）[36]，其中基于基于属性的访问策略对对象进行加密。ABE主要由密钥策略ABE（KP-ABE）[37]或密文策略ABE。在KP-ABE中，访问结构与用户的私钥相结合，属性集与要访问的资源相关联。数据所有者无法设置相应的访问控制策略，因为在该模型中只能使用属性来描述数据，并且用户自由度相对较高，而数据所有者自由度较低。CP-ABE与KP-ABE相反，使用用于加密对象的基于属性的策略，其中用于描述访问控制策略的访问结构与要访问的资源相结合，并且属性集与用户的私钥相关联。在该模型中，访问控制策略由数据所有者设置，因此数据所有者的自由度更高。

不同的应用场景对访问控制有不同的要求。网络控制系统是一个集通信网络和控制系统于一体的复杂的全分布式控制系统。在网络中的数据传输过程中，来自不同网络节点的信息组之间经常发生数据冲突、阻塞和丢包，这限制了控制网络的控制效果和实时性能。针对CDMA/CD和令牌传输两种接入控制模式的优缺点，根据运筹学中的排队理论，[39]提出了一种应用于控制网络的接入控制模式，该模式基于QoS对令牌网络进行优化。制造业物联网（MIoT）是制造业和物联网的深度融合，具有资源共享和流程协作两个重要特征。在[40]中，针对多域MIoT环境，提出了一种基于角色访问控制的资源共享访问控制模型。首先，定义了授权路由优化问题。其次，在图规划算法和AO-star算法的基础上，设计了一种求解算法PGAO*，以寻找最佳授权路径。实验表明，所提出的访问控制模型和算法可以减少安全管理员的工作量，增强资源共享中的访问安全。在物联网环境中，机器类型通信（MTC）提供机器之间的自主连接。MTC设备的并发和大规模接入尝试可能会导致许多问题，例如分组丢失和无法容忍的延迟。在[41]中，提出了一种联合接入控制和随机接入信道资源分配策略，以解决具有接入延迟约束的随机接入效率最大化的优化问题。通过使用离散时间马尔可夫链进行分析和仿真，证明了该策略的有效性。在[42]中，作者关注无线网络的隐患，特别是对无线网关的恶意攻击。本文介绍了一种自适应智能无线安全网关产品，该产品采用802.1x协议，集成了访问控制功能和数据包过滤功能。

III. ACCESS CONTROL CHALLENGES IN IOT SEARCH

目前，物联网已成为信息科技领域最热门的研究领域之一[43，44]。大规模和异构的传感器和设备在各种物联网系统中进行连接和管理。在物联网系统环境中构建了一个大数据场景，因为大量和高度异构的数据是从不同的设备以高频率自动实时采样的。在这种情况下，主要关注静态或缓慢发展的网络数据的传统搜索技术不适合物联网环境中动态生成的采样数据。因此，越来越多的研究工作致力于物联网中的搜索引擎技术，称为物联网搜索[45]。

A. Characteristics of IoT search

物联网搜索是指能够根据一定的策略和方法，从物联网和传感器网络中快速准确地实时获取各种物理实体信息的系统。物联网搜索技术帮助我们充分整合各种类型的资源和数据。随着物联网的快速发展，物联网搜索将在医疗、教育、交通、社交等多个领域得到广泛应用。一些研究人员表明，网络空间中的大型搜索，尤其是物联网搜索，可以极大地节省用户的时间，提高工作效率，这将对未来的全球经济产生巨大影响[2]。

物联网搜索涵盖了多种传感器、摄像头、SCADA网络等。物联网支持的搜索引擎是多维搜索，如时间维度搜索、空间维度搜索和内容维度搜索。内容搜索包括搜索人、对象及其状态等信息。基于多维搜索的特点，物联网搜索引擎可以在传统互联网搜索引擎的基础上提供许多新的搜索服务。首先，多媒体信息搜索服务，如基于语义网的物联网搜索引擎[3]，具有基于社交和传感器的多媒体搜索引擎[50，51]。其次，对象状态信息实时搜索服务包括搜索对象的属性、位置和轨迹信息，例如基于RFID标签的实时搜索引擎[46-55]。第三，人员搜索服务可以通过分析在线社交网络来发现人们的社交关系[53，54]。通过总结物联网搜索的上述研究工作，不难发现，数据和服务的搜索、发现以及访问控制方法和解决方案在物联网环境中面临着许多新的挑战。由于分布、规模，物联网环境、数据和服务的异质性和动态性应该从各种资源中有效地发现、排序、选择、访问、集成和理解。在表2中，我们总结了物联网搜索和传统互联网搜索之间的差异。对于传统的互联网搜索，信息检索技术用于基于关键字的匹配。然而，对于物联网搜索，时空搜索和基于价值的搜索也是用户所需要的，而搜索内容包括信息、人员和对象。

物联网搜索在为我们的日常生活提供便利的同时，也需要使用大量的私人信息和数据，如个人健康信息、位置信息、社会关系信息等。通过物联网搜索引擎，这些私人数据可以在没有有效访问控制机制的情况下与其他实体共享。因此，防止未经授权的资源和数据搜索是物联网搜索的强烈需求之一。

B. Requirements for access control in IoT search

与传统的单域搜索服务环境不同，如图3所示，物联网搜索服务由部署在不同网络和系统中的几个搜索引擎代理组成。资源和数据在不同的管理域之间进行交换和共享。在这一过程中，不同的网络和系统采用了不同的访问控制策略、模型和机制，同时分别定义了不同级别的数据隐私和安全属性。传统访问控制模型和机制不能直接应用于物联网搜索环境。
为了支持物联网搜索中的访问控制，我们总结了一个基于我们在上一节中讨论的物联网搜索特征的分类要求。访问控制策略管理包括收集和构建访问控制策略，以实现策略描述和匹配。物联网搜索的访问控制策略管理面临许多挑战，如集成不同代理的异构策略、策略检测、策略冲突解决、用户权限调整、策略匹配等。总结的需求可分为两大类。第一类是访问控制策略组合，可分为策略标准化和策略冲突解决。第二类是访问控制策略创作，包括权限分配和策略匹配。

（1） 访问控制策略组合和冲突解决。物联网搜索是一个典型的多域环境，由不同的搜索代理组成。根据每个域的不同访问控制要求，需要集成不同的访问控制策略，以确保跨不同域共享的资源和数据的安全。策略组成包括两个步骤：
a） 政策规范与组合。这以标准化的方式表示不同的访问控制策略。然后，将不同的访问控制策略结合起来，实现对跨不同域资源的统一访问控制。

b） 策略冲突检测和解决。物联网搜索需要解决大量的多方共享资源。由于不同的资源主体具有不同的安全要求，因此可能会引发访问控制策略冲突。因此，策略冲突的识别和解决是物联网搜索访问控制的重要要求。物联网搜索的访问控制包括两种类型的策略冲突解决：

（2） 访问控制策略编写。物联网搜索是一个庞大、动态、开放的环境，这些特性需要实时更新访问控制策略。物联网搜索环境下的访问控制策略授权包括以下两部分：
a） 属性发现。基于属性的访问控制在物联网搜索中得到了广泛的应用，因为将属性作为访问控制策略的基本元素可以有效地解决海量主体和对象的动态变化问题。如何选择合适的属性直接影响访问控制系统的性能
b）策略挖掘。物联网搜索平台包含大量的数据和用户，这些数据和用户对应着大量的访问控制策略。一种有效的策略挖掘算法是物联网搜索的要求。
c） 策略授权。为了将权限授予正确的用户，身份验证是物联网搜索的必要处理程序。
在以下各节中，我们将讨论旨在实现这些要求的建议。

---

IV. POLICY COMBINATION AND CONFLICTS RESOLUTION

物联网搜索具有多方共享的特点。为了实现多方共享环境下访问控制策略的统一授权，有必要对多方策略进行分析和组合。在策略组合过程中，不同资源所有者的隐私要求不同，因此对同一资源的授权设置可能不同。这将导致政策冲突，影响资源传播效率，降低搜索服务质量。因此，策略组合和冲突解决是物联网搜索访问控制中非常重要的研究内容。

A. Policy Description Method

由于物联网暴露的信息可能是私有的或敏感的，它给传统的访问控制模型和协议带来了新的挑战。对不同用户和资源的安全要求进行准确有效的形式化描述，确保访问控制系统准确响应各种访问请求。因此，设计一种表达型访问控制策略的描述方法是访问控制的研究重点。

研究人员使用策略语言来描述访问控制策略，主要基于算术概念。有两种类型的策略语言，一种是通用访问控制语言标准（如语言），另一种是专门为与单个模型一起使用而创建的语言。“公共策略语言（CPL）”[56]旨在开发一个正式的ABAC模型，该模型的表达能力足以捕获DAC、MAC和RBAC。可扩展访问控制标记语言（XACML）是结构化信息标准促进组织（OASIS）创建的一种标准，是一种基于XML的访问控制策略语言，以支持基于属性的策略而闻名，并用于多种访问控制产品[57]。同样，同样由OASIS开发的安全断言标记语言（SAML）[58]提供了一种标准化的标记语言和协议，用于在服务提供商、身份/属性提供商和用户之间交换基于属性的授权和身份验证信息。

针对XACML和SAML在实际应用中面临的挑战，研究人员提出了不同的解决方案。针对网格系统中大量的易失性数据，通过扩展XACML或将XACML与SAML相结合的方式对数据进行封装和重新描述。研究人员结合XACML和SAML提出了一种支持网格计算的授权框架[59]。为了确保云计算的安全性，通过扩展原有的XACML[60]，提出了一种分布式细粒度授权方法。[61]提出了一种基于XACML的云计算外包数据的分层ABAC控制框架，增加了访问控制策略描述方法的灵活性，可以在策略变化时有效地进行准确的调整。针对物联网感知层资源有限的问题，[62]简化了XACML，提出了一种轻量级的XACML并给出了相应的实现。由于XACML中的嵌套递归匹配方法，计算复杂度更高。[63]中提出的XEngine系统通过将XACML策略规则和请求转换为数字表示，降低了XACML中嵌套递归匹配的时间复杂性，并提高了策略匹配的效率。然而，当将原始策略转换为数字形式时引入的辅助算术数据结构引入了额外的计算量。

B. Policy and Model Combination

为了协调不同域之间的不同访问控制策略，实现资源的统一访问控制，需要将不同的访问控制策略结合起来。如[64]所述，在将传统的访问控制方法应用于物联网场景方面，已经做了很多工作，例如将web服务中的ABAC引入物联网网络，以减少规则的数量。

为了结合安全策略，[65]提出了一个带有代数运算符的三元组集合的表达式。作者将策略表示为由主体、对象和动作组成的三元组的集合，并使用代数运算符如合取、减法、加法等。这种方法具有一定的通用性，为后续的研究提供了基础。然而，简单的交集、交集和差分运算不能准确地反映真正的综合策略。[66]融合了访问策略，有效地实现了合成代数的计算，并通过将访问控制策略转换为多终端二进制策略树，为访问控制策略的合成提供了一种新的解决方案。在此基础上，[67]设计了一种基于MTBDD的策略相似性分析方法，根据用户的查询机制构建策略查询树进行策略查询分析，而[68]提出了一种将MTBDD与三值逻辑相结合的细粒度策略来合成代数。然而，三值逻辑的表达相对简单。当需要协同确定多个策略，并且无法描述多个策略之间的关系时，不能仅基于三值逻辑做出准确的访问控制决策。针对这个问题，研究人员提出了一种基于四值逻辑[69]、六值逻辑[70]或八值逻辑[71]的方法，以扩展XACML策略和策略综合的形式化描述。

文献[72]表明，先前的工作集中在设计无监督的冲突解决机制和基于关系的访问控制（ReBAC），以支持多重所有权，其中为共同所有者制定了策略协商协议，以结构化的方式确定并同意访问控制策略。如[25]中所述，总结了ABAC中的研究和开放问题，ABAC的混合模型旨在将属性组合到现有的访问控制模型中，或用无身份或基于策略的访问控制概念扩展传统模型。因此，[73]提出了具有ABAC和RBAC优点的ARBAC（属性和基于角色的访问控制），以满足高度分布式网络环境的需求，并进行冲突检测和策略优化。然而，如[74]所述，RBAC和ABAC（基于属性的访问控制）等授权框架不提供足够的可扩展、可管理和有效的机制，以支持具有许多交互服务的分布式系统以及物联网文本的动态和可扩展需求。ACL（访问控制列表）、RBAC和ABAC常见的一个问题是，在这些系统中，很难强制执行最小权限访问原则。

由于这些原因和ABAC的其他限制，研究人员试图将更多信息（如上下文或位置）与ABAC集成，以增强访问模型。[75]提出了CSAAC模型，该模型将RBAC和ABAC与额外的上下文状态感知相结合。该模型是利用语义Web技术实现的，并为该模型提供了一个示例本体和一些SWRL（语义Web规则语言）访问控制策略。为了保证公平性，一些博弈论模型，如谈判模型，被认为是未来的工作。[76]提出了位置约束的访问控制模型和验证方法。作者使用环境模型描述网络空间和物理空间的静态拓扑配置，而使用LCRBAC模型描述网络实体和物理实体的动态行为。他们还使用基于标记过渡系统验证结果的反应规则和政策修改建议来利用网络物理交互。

C. Conflicts Detection and Resolution

为了确保在物联网搜索中安全准确地访问信息，有必要准确识别和消除访问控制策略冲突。当合并多方策略时，这会导致策略冲突。必须准确解决这些策略冲突，以确保搜索服务质量。

通常，两种类型的冲突，不一致的政策冲突和共存的冲突，是研究的重点。对不合格政策冲突的检测和解决进行了大量研究。例如，引入隐私损失、通信收入和关系强度的概念来检测和解决冲突。研究人员通过引入数据隐私级别的概念，量化了政策冲突造成的隐私损失和通信收入，并提出了一种基于博弈论的冲突解决机制[77]。为了解决这个问题，[78]使用关系强度和其他属性来计算资源冲突对用户决策的影响，并提出了一种自适应访问控制策略冲突解决机制。此外，[79]通过定义不同的主体权限映射、对象权限映射和权限间转移关系，提出了一种基于关系的访问控制策略冲突解决技术。

根据表达和解决方法，策略冲突检测和解决中常用的技术有四种：命名描述语言、形式逻辑、本体推理和有向图。基于描述语言的检测方法可以检测多个模型的访问控制策略。它具有结构简单、面向对象的特点，因此更容易掌握[80]。但是，检测方法只能应用于特定的描述语言，应用范围有一定的局限性。基于形式逻辑的检测方法通过逻辑推理来检测冲突策略的存在，即在推理过程中执行策略检测。

通过逻辑推理的严格展示，检测过程与推理过程紧密结合，然后在推理过程中检测到相关的策略冲突[81]。但是，在实施过程中，策略管理员不仅要有坚实的应用逻辑基础，还要有开发基础。

相应的战略逻辑推理验证工具的能力以及基于表单的检测方法在策略检测中的应用，进一步提高了对管理员的基本知识要求，实现过程更加复杂。基于本体的冲突检测方法具有自己的描述和推理能力，在异构网络互操作过程中更为强大[82]。其局限性在于，本体库可能过度依赖策略检测过程，本体库本身的构建过程复杂繁琐。本体库构建过程中一旦出现问题，将直接影响检测结果。基于有向图的策略冲突检测方法避免了复杂的形式化证明过程，将抽象的策略冲突转化为可视化的图结构，并将策略冲突检测问题转化为三元组或有向图节点的连接[83，84]。传统的访问控制模型将策略检测的主体和对象分离，在访问控制检测中没有考虑主体和对象之间的客观联系。

现有的大多数关于冲突检测和解决的研究仍然需要策略制定者手动参与策略的调整，这是主观的，缺乏灵活性。此外，在冲突并存的新环境下，没有有效的战略冲突检测和解决机制。因此，研究人员试图利用人工智能等现代技术来设计半自动方法。[85]将协作入侵检测的激励机制公式化为进化博弈，并实现了帮助节点决定是否参与检测的最优解。所提出的机制可以解决协作节点不拥有关于其他节点的完整知识的问题。[86]提出了一种解决此类环境中物联网设备提供的服务之间冲突的机制，通过将冲突解决重新表述为规划问题，创建用于检测物联网环境中冲突的语义策略框架，并使用具有软约束（偏好）的规划来解决在使用不同服务实现多个目标时出现的冲突。[26]提供了对现有访问控制模型和系统的全面分析，这些模型和系统是为以社区为中心的协作系统量身定制的。正如作者所建议的那样，在出现不一致的情况下，访问控制机制应该支持易于使用的半自动冲突解决方法，而不是采用一揽子政策，并以连贯的方式实现透明的数据管理。我们将我们的调查与表III中冲突类型、表达方法和冲突解决类型的其他相关工作进行了比较。

---

V. ACCESS AUTHORIZATION

物联网安全漏洞包括身份验证和授权不足、缺乏传输加密、网络接口不安全、软件更新不安全等。安全机制中的物联网安全是从头开始构建的。因此，用户、设备、应用程序和进程等每个参与者都必须具有唯一的身份。所有网络通信都必须加密并相互验证。对设备功能的所有访问都必须经过授权和审核。

A. Attribute Discovery Mechanism

访问实体和被访问实体具有许多内在属性。如何选择合适的属性直接影响访问控制系统的性能。属性聚合的概念模型融合了多个IdP（身份提供者）中包含的许多用户属性，并基于每个LS（链接服务）提供的信息的可靠性进一步生成完整的用户属性[87]。由于不考虑IdP信誉的动态变化，提出了一种基于多节点协作的属性聚合方法[88]，以在出现系统不识别的属性时，从多个相互协作的节点中获取属性。参与合作的节点根据其背景知识计算相邻节点的信誉值，然后在SP（服务提供商）进行属性查询时上传信誉值。SP计算出所有信誉值后，根据预设阈值确定提供数据的节点是否可信，并过滤不可信节点提供的信息。该方法解决了属性聚合中的信誉问题。虽然通过多向量收敛算子[89]解决了多属性聚合问题，但该解决方案没有考虑属性聚合带来的安全性（例如：隐私暴露）。因此，最近对基于物联网的服务的隐私保护进行了一些研究。PAgIoT是一种适用于IoT设置的隐私保护聚合协议，可实现实体组的多属性聚合，同时允许隐私保护值相关性[90]。该机制能够在单个操作中聚合与每个实体的几个属性有关的数据，从而确保数据的真实性和隐私性。文献[91，92]利用OpenID或 pseudo-ID实现了用于隐私保护的属性聚合方案。位置匿名化试图在开放环境中使用户的位置与一定数量的其他用户无法区分，因此它是物联网最重要的技术之一。适用于移动设备的FINE框架采用了基于加密技术的匿名属性[93]。属性发现依赖于数据聚合，数据聚合负责增加网络寿命和降低能耗[94]。文献[95]提出了一种寿命平衡的数据聚合方法，其中以协作的方式一起调整相邻设备的聚合延迟。

由于数据聚合在物联网中具有重要作用，目前还没有任何系统、全面的研究来分析其重要机制[95]。此外，尽管物联网的属性发现研究已经取得了一定的研究成果，但在嘈杂的环境中，缺乏对大规模数据进行独立完整属性挖掘的方法。独立完整的属性集是构建ABAC的基础。属性的独立性确保构建访问控制所需的一组属性不包含含义重复的冗余属性。属性的完整性确保了属性集包括准确响应访问请求所需的所有属性。因此，在满足独立和完全约束的条件下，如何设计一种优秀的算法，以较低的计算复杂度获得最佳的查询属性集，是未来需要解决的关键科学问题。

B. Policy Mining

访问控制是信息系统的基本服务之一，可保护底层数据免受未经授权的访问和不当修改。尽管可以通过枚举授权访问的每个实例来指定访问控制策略，但现代访问控制策略模型需要一种更抽象、更灵活的方法来指定授权。

（1） 安全技术挖掘。物联网中的大多数节点缺乏足够的存储容量、电源和CPU；由于这个原因，不能直接应用一些安全技术，例如传统网络中使用的公钥加密算法。此外，许多RFID系统缺乏合适的身份验证机制，因此入侵者可以跟踪标记的节点，然后读取或修改携带的数据[96]。因此，物联网中感知层、网络层和应用层使用的认证和授权安全技术如表Ⅳ所示。

（2） 模式挖掘。根据节点的拓扑结构，物联网可以使用三种策略模式。
a） 集中式策略。节点将访问请求发送到提供集中身份验证和授权的专用服务器[97]。该模式易于实现，仅适用于小规模节点。随着节点数量的增加，服务器的负担增加，效率降低。同时，集中式服务器容易受到网络攻击，影响系统的健壮性。
b） 分布式策略。没有集中的身份验证和授权服务器[98]。在这种模式下，服务器具有用于身份验证和授权的相同数据副本。这种模式使系统具有很强的鲁棒性。但是，随着某些节点的更改，服务器中的所有数据副本都需要同步更新。
c） 本地集中式和全局分布式策略。该模式提取了集中式策略和分布式策略的优点。节点仅注册或需要对本地集中式域服务器的访问授权[99]。域服务器之间的信任关系是全局分布的，并由证书建立。在这种视图中，对于节点，其身份验证和授权仅限于本地区域。同时，它们可以通过域服务器之间的信任关系获得对其他域的访问权限。此模式灵活且易于扩展。
策略模式的选择不仅应考虑新的身份验证框架和访问授权模型，还应考虑现有设备的集成。在实际应用中，应根据系统的规模和节点的性质，最终确定策略模式。

（3） 特征挖掘。挖掘和分析节点特征至关重要，如属性特征[100]、角色特征[101]、能力特征[102]、生物特征等。属性挖掘以ABAC为代表。在ABAC中，访问规则可以根据各种属性来确定，如主题属性、对象属性、环境属性等。角色挖掘由RBAC表示。RBAC由静态元素组成，如用户、角色、权限、条件和设备。这些要素之间的关系是多对多的。因此，挖掘关系是RBAC的核心任务之一。功能挖掘是将功能映射到每个域中的角色和权限，如密钥、票证、令牌等。在不同的域中，同一用户具有不同的访问权限。物联网中的一些设备具有移动性，例如移动计步器和车辆设备。因此，挖掘移动设备不变的物理特征成为重点，如在生物识别、设备产品ID等方面。生物特征包括声音、步态等。

C. Authorization model

授权模型包括以下两个阶段。

根据系统需求，我们应该首先确定安全策略模式和上一小节中讨论的每一层的技术。然后，我们必须设计访问控制模型来封装已定义的策略[103]。随着时间的推移或位置的变化，用户和设备的访问权限正在发生变化。因此，如何实现访问权限的变更和撤销就成为了一个需要研究的问题。我们按类别将授权描述为下：

（1） 基于ABAC。主体和对象都是通过与特征相关联的属性来识别的[103]。在ABAC模型中，用户在提交访问请求时会根据其属性被授予适当的访问权限。由于属性可能携带用户的隐私信息，其泄露严重阻碍了ABAC的进一步发展，因此最近的研究集中在确保用户隐私的前提下。杨旭[100]提出了保护隐私的ABAC（P-ABAC）方案来防止隐私泄露。在P-ABAC中，敏感属性在用户端使用同态加密进行处理。在基于同态加密的安全多方计算技术的帮助下，授权服务还能够根据接收到的属性密文做出准确的访问决策，同时不学习隐私信息。

（2） 基于RBAC。RBAC提供了一个授权框架，根据用户的角色指定用户对资源的访问权限，并支持最小权限、管理功能划分和职责分离等安全原则。当资源量增长或访问规则覆盖许多管理域时，纯RBAC模型存在角色爆炸问题。为了在更多的物联网场景中使用，Spiess Patrik[104]提出了一种基于服务的RBAC模型，在该模型中，设备将其功能作为标准web服务。为了实现进一步的可扩展、灵活和轻量级的访问控制机制，张国平[105]提出了一种使用上下文信息的扩展RBAC模型，该模型可以用作上下文约束。Ezedine Barka[106]提出了物联网中的RBAC（WoTs），通过网络对智能对象进行RBAC。

（3） 基于CapBAC。在CapBAC模型中，基于授权令牌（如密钥、票证等）以及授权链授予用户访问权限。身份管理不是一个关键角色，它提供了巨大的优势，尤其是在跨域场景中执行用户访问控制时。Gusmeroli[107]讨论了ACL和CapBAC的区别。在ACL模型中，访问控制的责任在服务器提供方。相比之下，在CapBAC模型中，访问控制的责任在用户端。徐荣华[108]提出了一种BlendCAC模型，该模型是一种基于区块链的去中心化CapBAC。在BlendCAC模型中，提出了一种鲁棒的基于身份的能力令牌管理策略，该策略利用智能合约来注册、传播和撤销访问授权。Luciano Barreto[109]提出了一种基于云的身份验证框架。物联网云允许用户访问基于物联网的资源和能力，以管理许多不同的智能普及环境。徐荣华[110]提出了一种用于大规模物联网系统的联邦CapBAC（FedCAC）框架。FedCAC提出了一种基于身份的能力令牌管理策略，该策略涉及访问的注册、传播和撤销。

（4） 基于使用控制（UCON）。[111]中的UCON模型在访问执行之前、执行期间和之后以连续的方式提出了授权问题。此外，还支持各种访问属性，这意味着在用户访问过程中，可以撤销授予的访问权限，并取消使用权限。Aliaksandr Lazouski[112]指出，在开放、分布式、异构和网络连接的计算机环境中，使用控制是一种新颖而有前途的访问控制方法。Xinwen Zhang[113]提出了一种基于UCON的安全框架PEI，该框架遵循分层方法，包括策略、强制和模型实现。在策略模型层中，UCON策略由主体和对象属性上的谓词指定，系统属性作为条件约束，用户操作作为义务。UCON中的条件约束可用于在临时协作中执行基于上下文的授权。需要指出的是，访问属性的值只能通过管理操作进行修改，而不能通过用户的活动进行修改。 Zhang Guoping [114]指出，UCON的进一步研究将使物联网访问控制的授权变得更容易、更可行。在参考文献[115]中，UCON有助于通过监控和评估专用安全性中定义的属性来实现对访问的细粒度动态控制。为了提高UCON的可扩展性和运行效率，建议在UCON的基础上增加策略风险聚合框架，用于动态角色分配和服务分组管理。Antonio La[116]应用UCON，通过实现对订阅者随时间访问数据和数据流的权限的细粒度动态控制，来提高MQTT协议的安全性。

（5） 基于组织的访问控制（OrBAC）。OrBAC扩展了RBAC模型，并引入了“组织”的概念作为一个新的维度。Khalifa Toumi[117]提出了信托或BAC模型，该模型将信托管理的概念添加到了orBAC中。Trust orBAC定义了两个动态信任向量，其中一个用于组织，另一个用于具有不同参数的用户。为了增强不同组织的协作并避免恶意行为，Nawal-Ait-Aali[118]还提出了将信任集成到其中的Tr-OrBAC模型。Imane Bouij Pasquier[119]提出了SmartOrBAC模型，将问题划分为不同的功能层。SmartOrBAC在受约束的设备和受约束程度较低的设备之间分配处理成本。为了限制对数据所有者无法控制的敏感数据的访问，它确保一些用户可以提前根据任务/行动计划访问这些数据。因此，Khalida Guesmia[120]提出了使用时间非单调描述逻辑对OrBAC模型进行扩展。此逻辑可用于将策略规则正式表示为分层计划。该计划包括一组有序的任务，在特殊情况下可能会允许例外情况。当提出访问请求时，所提出的OrBAC模型可以根据当前上下文环境动态推断出适当的动作序列。

（6） 基于生物识别功能或区块链。随着物联网设备的丰富，生物特征正迅速成为用于验证物联网设备及其用户的关键元素之一。Mohamed Amine Ferrag[121]对移动物联网设备的身份验证和授权方案所使用的生物特征进行了全面综述，包括语音、指纹等。

Aafaf Ouadah[122]提出了一个名为FairAccess的框架，用于基于区块链的物联网访问控制。FairAccess引入了用于授予、获取、委派和撤销访问权限的新型事务。在FairAccess中，访问令牌是获得对受保护资源的访问所必需的，但在满足访问控制条件之前，不能触发访问令牌。在使用区块链的UTXO模型实现过程中，FairAccess的主要限制是区块链的实时性和膨胀性问题。Oscar Novo[123]讨论了区块链、访问控制和物联网的结合问题。它提出的架构是一个完全分布式的访问控制系统，而访问控制信息是使用区块链技术存储和分发的。节点可以使用区块链接口来存储和全局访问特定设备的访问控制策略。

（7） 基于开放授权（OAuth）。OAuth是一个访问控制框架，用于客户端访问web服务器上的资源。web和云应用程序的大多数传统解决方案都不能直接在上下文环境中使用。Savio Sciancalepore[124]提出了用于访问控制的OAuth物联网框架。OAuth物联网充分利用并适当协调现有的开放标准。OAuth IoT本机支持任何令牌格式，以正确处理应用程序的身份验证和授权。Federico Fernández[125]提出了一种OAuth模型，该模型允许管理应用程序范围授权的角色和权限。对于令牌提供的所有必需信息，OAuth 2.0使授权变得非常轻。此外，可以将授权委托给外部系统，从而提供即服务访问控制机制。Jalaluddin Khan[126]提出了一种基于OAuth 2.0的身份验证方案，该方案通过比较安全管理器本地数据库中的用户信息和访问令牌，只允许授权为真正的用户。

---

VI. OPEN RESEARCH ISSUES

访问控制有着悠久的研究和发展历史。许多访问控制模型已经应用于现实世界的应用中。随着物联网技术的发展，各种信息资源深度集成，实现全面应用。物联网系统的节点异构性、开放环境、多方资源共享等特点，对访问控制模型和机制提出了新的要求。尽管存在这些问题，但许多研究工作都集中在提出新的模型和机制，以提供对物联网系统及其资源的细粒度访问。仍然有许多重要问题和挑战需要解决。

（1） 不同授权导致的策略冲突。我们的研究介绍了许多用于物联网环境的访问控制模型，如RBAC和ABAC。许多与RBAC相关的提案侧重于将人际关系纳入访问决策；然而，他们认为资源由单一实体所有，忽略了多方共享的特点。许多ABAC相关提案都使用一种简单的策略来解决这种情况，例如只有当所有用户都允许访问时，才能授权访问。然而，这种策略过于严格，无法在实际应用中使用，因为它会降低资源的可用性。需要更多的努力来关注不同授权引起的策略冲突解决，这有助于提高策略组成和冲突解决的自动化程度。

（2） 多方关系导致的政策冲突。这种政策冲突问题是由于物联网搜索环境的新颖性造成的。在多方访问控制策略集成过程中，不同代理的策略包含许多约束。一个资源可能有不同的所有者，他们将对资源访问设置不同的限制。根据这些约束，可以获得与每个资源相对应的几个访问控制决策。每个访问控制决策都可以满足单个用户的要求。然而，这些决定可能是相互排斥的。这些约束的结合往往会导致不一致和冲突。因此，如何快速、动态地选择和调整不同用户的访问控制决策是一个亟待解决的问题。

（3） 噪波数据中的属性权限分配。物联网搜索是一个多领域的协作环境。不同的域使用不同的访问控制策略。为了实现访问控制策略的统一管理，需要将其他访问控制模型转换为ABAC模型，因为属性是ABAC的基本元素，并且访问控制决策是基于请求者的属性集做出的。这使得ABAC通过将策略管理与访问控制决策分离，适合物联网搜索环境。要将其他类型的策略转换为ABAC，需要基于角色权限和用户权限关系生成高质量的属性权限对应关系。特别是原始用户权限关系中经常存在噪声数据，极大地影响了策略生成的准确性，给访问控制系统带来了极大的安全风险。如何解决噪声数据中的属性权限分配问题是物联网搜索控制访问中的一个相当大的研究挑战。

（4） 物联网安全搜索的建模与评估。在物联网搜索过程中，我们需要平衡质量、安全性和效率。随着物联网的快速发展，物联网的安全性越来越受到关注。在过去的几十年里，建模与仿真（MS）已经成功地应用于许多类似的复杂安全问题。物联网有一个独特的地址，并使用标准的通信协议进行通信，因此MS方法和工具也适用于解决物联网问题。然而，在物联网安全搜索的建模和评估方面做得很少。

（5） 物联网中物理设备的身份验证和匿名保护。在工业控制安全物联网领域，有许多认证方法旨在实现云平台与传感设备之间的实时通信。然而，在大多数情况下，这些方法的效率和安全性无法同时得到保证。因此，应该更加重视设备认证和匿名保护技术，以确保数据源的可信度、隐私性和数据可用性。

---

VII.CONCLUSION

本文重点回顾了物联网搜索环境中现有的访问控制模型和系统。首先，我们介绍了访问控制的背景。然后，确定了两类主要需求，以支持物联网搜索中的访问控制。一个是访问控制策略组合，另一个是创建访问控制策略。通过匹配这两个要求，我们调查了当前最先进的文献，并介绍了相应的模型和系统。特别是，我们总结了开放的研究问题，以帮助指导未来的研究。我们的目标是推动物联网搜索环境的新型访问控制模型和机制的研发。