SmartAuth: User-Centered Authorization for the Internet of Things
摘要
- 提出了云APP实际权限与描述不一致的检测技术,一方面通过代码分析提取出云APP的实际权限,另一方面利用自然语言处理技术获取云APP描述的权限,通过两种分析结果的一致性检查,并在用户使用时给用户相应的提示以用于决策,减少不安全应用带来的风险。
- 设计了一种新的策略执行机制,与当前的家庭自动化框架兼容,以较低的开销执行复杂的、场景敏感的安全策略。
- 对SmartAuth在现实中的应用程序和受试者进行了评估,证明了其方法在降低权限不安全使用的物联网应用程序的安全风险方面的有效性和可用性。
问题
- 云APP实际权限与描述不一致
- 需要支持跨设备联动场景
- 安全和隐私问题取决于场景
- 远程访问,它使应用程序能够向第三方服务器发送敏感数据并从第三方服务器接收命令
方法
设计目标
- 最小权限:系统应该仅向iot app授予最少权限和可以共享的数据,支持所需功能即可
- 物联网特定:设备联动、基于场景、自动化操作
- 易用性:支持高效授权决策的同时最小化用户的负担
- 轻量级:减少overhead
- 兼容性:易于与现有物联网平台和应用兼容
组成模块
- program analyzer
- content inspector
- consistency checker
- authorization creator
- policy enforcer
方法简述
收集smartthing开源代码
程序分析,建立AST,提取
- entity
- Context clue
- action
- condition
应用描述分析,提取
- entity
- action
- condition
基于知识的因果关系模型,进行两种分析结果的一致性检查
认证接口生成
Proxy Server 策略执行
限制
攻击者可以通过自定义属性名、命令和应用描述欺骗程序分析和描述分析
友好的UI和用户的选择