Capabilities-based access control for IoT devices using Verifiable Credentials

Fotiou N, Siris V A, Polyzos G C, et al. Capabilities-based access control for IoT devices using Verifiable Credentials[C]//2022 IEEE Security and Privacy Workshops (SPW). IEEE, 2022: 222-228.

1.摘要

现有的访问控制系统不可互操作，并且存在局限性，例如缺乏所有权证明、无效的撤销机制以及对可信第三方的依赖。现有的CapBAC 解决方案，将用户的capabilities编码到token中，设备自身验证token的有效性。为了克服这些局限，本文为设备访问控制定义了新的可验证凭证（Verifiable Credential，VC）类型，可选择性展示某些属性，并利用DID对VC issuers和subjects进行身份认证。

这篇文章主要是将capabilities写到VC中来进行授权。

贡献：

• 本文设计了一个可轻松集成到现有系统中的互操作访问控制解决方案。
• 本文的方案具有轻量级、安全和隐私特征。
• 本文方案提供一个轻量级、保护隐私的撤销机制，并考虑了多种部署策略。
• 本文支持DIDs，但并未绑定具体的DID method，因此适合广泛应用。
• 实现了该解决方案的原型，并使用受限设备评估其性能。

Solution

A. Overview

本文解决方案设定IoT系统包含以下实体：IoT devices和其所有者owners，用户users使用client app来与设备进行交互，授权方issuers通过授权服务器authorization server授予用户权限来访问设备。

本文方案中的owner和issuer的考虑。在智能家居中，设备的owner和issuer是同一个实体；当某层写字楼被租给一个公司办公时，owner是房东，而公司应该是issuer，公司需要发布凭证给员工，本文对这种情况的处理是在设备中设置了一个可信任的issuer表单。

相关定义如下：

Suser	用户的账户信息，用来请求凭证
URLdevice	设备标识符
Rname =[Oa,Ob,..,Ox]	资源name可执行的操作
Cname = [Oa, Ob, .., Ox]	用户对资源name可进行的操作
	为用户对设备URLdevice上资源拥有的capabilities集合

 B. VC类型-CapabilitiesCredential

 

C. Operation

1）Setup

用户注册S_user （类似账户和密码），配置设备的信任表单issuer，根据用户的capabilities配置授权服务器（也就是服务器需要事先知道用户对某个设备的权限）。

2）Credential request

用户生成一个新的DID_subject ，

users generate a new DID DIDsubject, which will be used as the DID of the VC subject for this particular device.（不是很懂），DIDsubject 会与VC绑定，且这是用户为特定设备创建的DID，会在每次使用后更换它们。

 如上图第一行所示，用户将S_user ，URL_device，DID_subject 发送给issuer，issuer会返回VC给用户。

从上述可知，VC是用户每次需要请求数据时根据提供的相关信息授权方生成的，可以理解为另类的访问令牌。

3）Access request

一个用户需要提供 VC 和 proof of possession 才能对设备进行相应操作。proof 相当于是证明 VC 所有权的，以防止重放攻击。一旦接受到请求后，设备进行以下操作：

 

 D. Revocation

本文撤销机制借鉴文献[1]和W3C的相关方法。

[1]T. Smith, L. Dickinson, and K. Seamons, “Let’s revoke: Scalable global certificate revocation,” in Network and Distributed System Security Symposium, 2020.

主要就是issuer会保留一个撤销列表，每个可撤销的VC都含一个revocationListIndex，这个属性指明了该VC在撤销列表中的位置。