邻近感知服务的基于上下文的身份验证设计

理论计算机科学电子笔记236（2009）47-64www.elsevier.com/locate/entcs邻近感知服务体系结构设计：基于主观逻辑Gabriele Lenzini1Telematica Instituut7523 XC Enschede，荷兰摘要本文讨论了邻近感知服务的架构设计与非侵扰和基于上下文的识别和认证功能。当服务自动检测其附近的实体的存在时，它是“接近感知”的。当认证过程使用上下文信息来辨别不同的身份并评估它们是否真实时，认证过程是“基于上下文的”。我们参考了我们研究所现有的架构，其中传感器网络用于检测建筑物中各个位置的存在用户和用户设备。邻近感知服务在智能角落，用户在接近时会被不显眼地识别和认证。 接近的身份的认证级别被计算为总体期望信仰（即，信任）该身份（而不是另一个）有效地站在被预订者空间处。 我们使用主观逻辑作为信念计算的理论框架。 根据我们以前的研究，我们管理每个传感器，因为它是一个推荐给主观的“意见”有关用户的位置的声明。非正式地说，身份在某个地方具有更高的认证级别，传感器识别器越相信该身份在那个地方。我们提出并评论了一系列实验的结果，我们展示了如何信任可以用来验证一个身份在一个房间里。我们在不同的环境下进行实验，即我们改变房间的面积和传感器的相对布置。 我们评论的结果，我们指出了一些指导方针的设计旨在从我们的认证框架中最大限度地获益关键词：邻近感知应用程序设计，基于上下文的身份验证，主观逻辑，信任和安全1介绍当服务仅对接近服务被提供的位置的用户可用时，服务是用户的存在由传感器检测摄像机红外线摄像机压力垫和计数门实际上，本文所涉及的服务只提供给某些用户，而不是其他人，或访问资源，是用户依赖。例如，邻近感知服务在预定的演示就绪的情况下打开本地PC1电子邮件：Gabriele. telin.nl1571-0661/© 2009 Elsevier B. V.根据CC BY-NC-ND许可证开放访问。doi：10.1016/j.entcs.2009.03.01448G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）47以便发言者一进入会议室就使用。出于这个原因，除了用户的存在之外，我们还必须识别谁正在接近（例如，是爱丽丝还是鲍勃在靠近？一些存在检测传感器，如摄像机、压力垫等，已经能够以一定的精度推断用户的身份。此外，用户可以通过被称为ID令牌的便携式对象来识别，这些对象与用户相关联并且被认为由用户携带。ID令牌的示例是便携式设备（移动电话、PDA、膝上型计算机）和射频识别（RFID）徽章。因为存在检测传感器可能被欺骗（例如，可以将Bob的照片放在摄像机前面），并且ID令牌可以被遗忘，被盗，或由非所有者的实体使用，我们也利用 以验证身份的真实性（例如，真的是Bob还是试图访问该服务的携带Bob的移动电话的其他人？）。我们解决了所谓的基于上下文的身份验证[2]。本文只关注两种特定类型的上下文信息，即位置和时间。第3节解释了我们的方法在基于位置的认证接近感知应用程序。 基本的想法很简单。 传感器可以在固定位置检测用户的存在，并以一定程度的准确性识别其身份。误差;因此，当询问关于用户位置的陈述时，传感器可以表达主观的“意见”。例如，摄像机识别（具有一定的错误概率）鲍勃进入建筑物，不相信（具有相同的错误概率）鲍勃坐在第三层的会议室里。几分钟后，如果摄像机没有看到鲍勃离开大楼，那么摄像机就没有太多证据来怀疑鲍勃坐在会议室里。事实上，鲍勃可能在大楼里的任何地方。 如果被询问，摄像机可以说它不确定Bob的位置（他可能在会议室，也可能不在）。因此，上下文感知服务可以收集所有传感器的意见，可以解决可能的矛盾，并可以估计身份和接近身份的真实性。一些技术细节需要安排：如何在数学上定义传感器的意见，如何计算它，以及如何合并不同的意见。 作为意见的代数，我们使用主观逻辑[9]。在主观逻辑中，可以根据信念、不相信和不确定性对事件的真实性进行建模。 用于认证的其他置信逻辑， 像BAN逻辑[3]，是不合适的，因为我们寻找信念的定量分析（即，我们的信念、不信念和不确定性都是实数）。我们还没有研究模糊逻辑的使用，但是根据[14]，模糊逻辑方法更适合于信念的“客观”分析，而在我们的设置中，我们看用于（传感器的）“主观”信念分析。 主观逻辑及其在我们的方法分别在第4节和第5节中解释实际上，传感器并不是我们到目前为止所描述的能够拥有意见的自主代理。为了管理传感器，我们使用专有的上下文管理框架[5]。隐藏传感器的技术特征，上下文管理框架为服务开发人员提供了一个抽象的（从技术方面）传感器网络的第2节描述了上下文管理框架-G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）4749工作及其在基于上下文的身份验证中的作用。第6节描述了我们的实验装置。它说明并评论了我们为衡量识别和认证算法的可靠性而进行的实验结果。我们的测试案例场景有两个身份，Bob和Alice，从一个房间移动到另一个房间。第7节评论了上下文感知认证和位置定位系统中的一些相关工作。第8节总结了本文的结论，讨论了未来的工作。2上下文管理框架我们的研究所有一百名员工，分布在两栋相连的大楼里。每栋楼有四个走廊，在不同项目工作的员工（相当随机）分布在不同的办公地点。该建筑配备了高密度的传感器，允许通过使用蓝牙加密狗、RFID读取器、WLAN接入点绑定、摄像机和压力垫进行设备发现和人体检测大多数员工携带可检测的设备（例如，支持蓝牙的移动电话、PDA和支持WLAN的笔记本电脑）。所有员工还佩戴RFID徽章，这是打开门和进入大楼不同楼层所必需的。员工使用的传感器网络和可检测设备构成了丰富的上下文源基础设施，我们研究所的研究人员利用这些基础设施来验证设计并测试存在感知和基于上下文的框架和应用程序的实现。例如，上下文管理框架（CMF）[5]，在荷兰项目Freeband AWARENESS2中开发，是一种软件架构，旨在收集和管理来自各种上下文源的原始数据。CMF提供分布式和上下文感知环境中的互操作性：它处理和推理低级信息，并且它可以提供上下文消费者（例如，应用程序、分布式服务）具有统一的、更高级别和更高质量的上下文信息。开发人员从管理多种类型的低级传感器数据（例如，硬件信号）。CMF的其中一项应用是同事雷达，该雷达安装在我们大厦每个楼层的智能客户处图1显示了同事角的外观，而图2描述了Colleague Radar应用程序的用户界面。CMF促进了基于上下文的身份验证。事实上，传感器网络是一种通用的信息源，可以用来理解上下文（这里是ID令牌的位置）和站在任何感兴趣的位置（例如，在一个共同的角落）。在比本文所考虑的更广泛的场景中，用户的MSOutlook议程中的约会也是上下文的一部分[16]。基于上下文的认证是一个量化的过程。在被接收者角落中检测到的ID令牌（例如，BobBob）。但是身份仅以一定的概率被认为是真实的（例如，可能是查理用鲍勃2小时http：www.freeband.nl50G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）47Fig. 1.一个共同的角落。RFID阅读器、蓝牙加密狗和WiFi接入点等传感器能够检测到配备RFID的徽章、智能手机、笔记本电脑和PDA等ID令牌的存在。媒体垫和摄像头可以识别用户的存在，并在一定的错误概率下推断出他们的身份。Bob）。从传感器网络中出现的上下文信息（由CMF提供）用于评估身份认证的总体水平。级别越高（0到1之间的实数），新兴身份的可信度就越高。由于上下文信息是连续收集的（以一定的收集速率），因此身份验证也是一个连续的过程。这意味着用户一旦通过身份验证，就保持身份验证，除非上下文发生变化。 例如，当用户（或一个用户）例如，当一个RFID阅读器检测到的位置信息变得无效时， 因为用户可以在阅读器前挥动他的徽章后离开。因此，我们的系统支持自动登录，这是上下文感知认证解决方案（例如，见[2]）。我们基于上下文的身份验证解决方案的设计并不简单。首先，我们希望避免使用PIN、密码或信用卡号码等高度机密的信息;客户角落是社交和公共空间，很容易窃听个人秘密。其次，显式的身份验证操作（如键入PIN）是侵扰性的，而我们的目标是不侵扰和无缝的身份验证和身份验证。第三，每个传感器仅提供部分信息，例如，Bob的移动电话（而不是Bob）接近于受试者空间。传感器也不是100%可靠的，因为它们的假阳性和假阴性错误率。只有对所有传感器数据进行全面分析才能正确估计认证级别。我们的邻近感知应用程序，同事雷达，允许一个同事采取可视化在墙上的屏幕上的位置，他/她的同事。隐私政策控制员工位置的可视化。已同意跟踪其位置的同事只允许特定用户（例如，#21453;看他们的位置。他们还可以要求Bob的身份必须经过超过特定阈值的验证，然后才能披露他们的位置数据：Alice希望避免使用Bob的手机并假装是Bob的人可以看到她的位置。在该应用的未来版本中，策略将允许Alice在Bob不是独自站在顾客角落时也隐藏她的数据（即，当其他同事陪同鲍勃）。这种存在感知应用程序的成功在很大程度上取决于保护应用程序不被滥用的身份验证方法的G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）4751(a)（b）第（1）款图二. (a)同事雷达界面的屏幕截图。允许Bob跟踪他们的同事的位置（此处用箭头和圆圈突出显示，这不是界面的一部分）是可视化的一个建筑物的三维模型一些同事可以要求Bob (b)显示身份验证级别（小标签表示所使用的上下文信息的类型）和策略列表，Bob的身份验证级别。 例如，在这里，Alice要求Bob通过级别至少90英里才能显示她的位置由于Bob的等级为85，她的位置没有显示，并标记为“拒绝”。在本文的研究范围内进行的实验对一些相关的问题有一定的启示。3信任增强的基于上下文的身份验证我们根据信任来定义认证级别，即“相信真实身份（而不是其他身份）有效地位于给定位置的期望”。 信任增强认证的主要思想已经在[13]中介绍和描述。我们使用主观逻辑（也见第4节）作为信任的代数。主观逻辑是与二元逻辑、概率演算和经典概率逻辑兼容的演算[8]。概率逻辑结合了二进制逻辑和概率的能力来表达某些论点的信任程度。主观逻辑的优点是表达关于可能性的不确定性。价值观本身。真实情况可以更现实地建模，结论更多地反映了对输入参数的无知和不确定性。我们的方法是相关的推荐网络的研究。 在概念层面上，传感器被视为传感器。当一个传感器被要求提供一个意见（关于某个陈述是真的）时，它会给出一个值来回答，这个值表示它对从它的角度来看该陈述是真的信任度，也就是说，从它在环境中感知到的东西。 对信仰的总体评价在真理的声明是通过合并的意见，现有的传感器.将传感器视为推荐器是一种抽象。真正的传感器是52G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）47···x∈2 Θ mΘ（x）=1。 这里，2是Θ的幂集。 因此，mΘ p）表示被动物体，大多没有智能能力。 事实上，CMF会随着时间的推移收集传感器数据，并代表传感器计算意见。CMF知道传感器的技术特征，并且可以访问其记录的数据。在下文中，我们坚持认为我们的传感器是自主的传感器，但读者必须意识到，这种有用的解释确实是由我们的CMF的存在所将传感器视为传感器的优势是什么？将传感器视为传感器的观点为传感器融合算法的设计提供了一种高度可扩展的方法。只要我们能够提供一个代表用户计算意见的组件，就可以在架构中轻松引入一种新型传感器 的传感器。合并意见的算法不需要修改。合并是线性的意见，然后传感器的数量。我们的解决方案优于以前的工作，基于条件概率的融合算法是指数的传感器的数量[7]。此外，作为声誉网络管理中使用的主观逻辑[10]，我们看到了有趣扩展的可能性。例如，我们可以用传感器的信誉网络来扩展我们的框架。因此，传感器的意见可以被打折，甚至被丢弃，这取决于传感器在给出诚实或准确反馈方面的声誉。这种设计的细节留待以后的工作。哪种建议/意见可以给传感器？传感器可以确定身份在其控制的区域中是否变得明显。例如，压力垫可以检测到体重与鲍勃相同的人的存在。WiFi接入点可以说鲍勃的笔记本电脑在范围内。 传感器可以组织其知识来回答有关Bob位置的问题。例如，如果停留在Bob的房间中的压力垫检测到Bob的存在，则该垫不相信“Bob的房间在被睡者角落处而不在他的房间中”。这个不相信的量是由这个特定材料的假阳性和假阴性错误概率决定的。总之，如果u是单位元，l，lJ是位置，则每个传感器可以提供关于由形式u∈l，u∈lJ等的简单命题构造的命题公式的意见。接下来的部分描述了我们的理论框架，定义了传感器的意见是什么4主观逻辑这一部分提醒了主观逻辑（SL）的基础知识。所有的定义都取自[9，8]。当一个有限集合Θ的元素被解释为某个问题的可能答案时，它被称为识别框架，或者简称为框架框架是一个认识对象，它的元素相对于一个实体的主观知识是正确的，比如说s。状态是Θ中元素的非空子集。给定辨识框架Θ，s的主观知识中的信念质量分配，是一个函数ms：2Θ→[0，1]，使得对eachx∈2Θ，ms（x）≤1，ms（x）=0，和θsθΘs（ΘG. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）4753∈ΣΘΘΘp|∩| ||||pp∧⊗pLLpPJ根据s分配给状态p的置信度。它并不特别表示对p的子状态的任何信念。定义4.1[SL意见]给定一个识别框架Θ，SL对状态p 2Θ的意见是四元组ωp=（b（p），d（p），u（p），a（p））。b（p）、d（p）和u（p）分别被称为信念、不信任和不确定性 它们的范围在[0，1]上，并且使得b（p）+d（p）+u（p）=1。项a（p）被称为相对原子性，是一个从2 Θ到[0，1]的函数，满足a（p）=0和x∈2Θa（p）（x）= 1。SL意见表达了对状态p在s的主观知识中为真的信念、怀疑和不确定性。 原子性a（p）在接收到任何证据之前对先验概率期望进行建模。给定一个信念质量分配ms，一个SL在p上的意见，在sωs=Θp（b（p），d（p），u（p），a（p）如下计算（x范围超过2Θ）：b（p）=ms（x）d（p）=mms（x）u（p）=0ms（x）X轴xp=xp/=，x/pa（p）的选择取决于具体情况。 一个常见的定义是a（p）（x）= p x / x，其中x是集合x的基数。给定一个观点ω s，期望p为真的概率E（p）计算为E（p）=b（p）+a（p）u（p）。请注意，相对原子性加权了不确定性对信任期望的影响。主观逻辑理论既有基本的逻辑算子，也有一些非常规的算子，用于组合主观逻辑观点. 我们使用SL的以下运算符：贝叶斯共识（Bayesianconsensus）、否定（negation）和合取（conjunction）。二元运算符用于如果ωs和ωSJ是两种SL在主体s的主观观点下对p的看法p p且sJ是实数，则ωs<$ωsJ是虚数的SL意见ωp{s，sJ}{s，sJ};它以公平和平等的方式反映s和s j的SL意见。如果ωs和s是同一实体s分别在p和pJ上的两个SL意见，则<$ωs是s超过<$p的SL意见ωsp和ωs<$ωs是s关于JppJppJpp.本文中提到的另一种SL算子是二元算子，用于根据其来源的（引用）信任度对意见a进行折扣，以及平均共识[12]，用于合并相关来源的意见。所有SL操作符都在[8]中描述5从传感器本节介绍如何计算传感器的SL意见。它扩展了在[13]中首次引入的想法，在那里我们展示了如何在简单的陈述中建立意见在本文中，传感器可以给出意见的复合语句，如让 成为所有地点的空间。 我们称之为“细胞”，控制传感器。有了l1，。我们表示由独立传感器S1，...， s n，分别。当传感器si检测到ω54G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）47L∈∈|∈∈|∈L|/∈|/∈⎪⎪⎪⎪⎪p（l）p（l）∈|∈∈ ∩∅∈∈∩∅Θi-/∈ |我 我Θi我 我与身份u相关的ID令牌（写作si（u）= 1），si以概率P（ul i si（u）= 1）“相信”ul i。u在细胞内的确切位置是未知的。 它可以以相同的概率占据细胞内的任何位置。 当s i没有检测到u时（写为s i（u）=0），u可以停留在l i之外的任何地方（即， ul i或等价地ul i），概率为P（ul is i（u）=0）。 概率P（ul is i（u）=0）和P（ ul is i（u）= 1）通过将贝叶斯定理应用于传感器的假阳性和假阴性误差技术规范[13]来计算;假设传感器是条件独立的。 每当传感器s i被询问关于陈述ul的SL意见时，框架Θ i可以被定义在由l i（由传感器控制）和l i截取的区域所标识的（相互不相交的）命题上。框架被定义如下（我们使用p（x）作为u∈ x的捷径）：Θi ={p（lil），p（li|l），p（l|li），p（L |（lil））}根据si的知识并取决于其在时间t是否检测到u，si关联置信质量msi（u）=1（x）或msi（u）=0（x），ΘiΘi分别对应于帧Θi。这些质量定义如下：n（u ∈ l i|s i（u）=1），如果x={p（li\l），p（lil）}，则为msi=1（x）=1− P（u ∈ l |s（u）=1），1 − P（u/∈ l i|s i= 0），如果x={p（li\l），p（lil）}，则为msi=0（x）=P（u/∈ l |s（u）=0），如果x={p（l\li），p（L\（li<$l））}00，否则如果x={p（l\li），p（L\（li<$l））}00，否则这些相信群众代表的知识，当地的si，关于真理的，构成Θi的语句。si在命题中的SL意见ωsip（l）根据定义4.1计算。(Here我们假设，稍微滥用一下符号，p（l）<$p（lJ）i <$l<$lJ，p（l）<$p（lJ）=<$i <$l<$lJ=<$l）。图3和-在图画中，在ω s i的构造下， . 比如说，让我们考虑当s i检测到u时的情况。 在图3中，它对应于从左数第二个正方形。传感器没有理由相信。相反，传感器具有不相信的证据，因为根据其知识，s i的不信任程度是概率P = P（ul i s i = 1），即在s i被正确触发的情况下，ul i被正确触发的概率。传感器也有一定的不确定性，这取决于概率，1 P=P（ul is i=1），即s i行为不端。后者是不确定性发挥作用的典型案例;事实上，根据SL，不确定性出现在既没有证据可以相信也没有证据可以不相信的地方。 计算相对原子性（图中未示出，但在算法1中报告）以加权这种不确定性对置信度预期的影响;在我们描述的情况下，它取决于l的大小与l i的补数的大小之间 的 比 率 （即， 取决于不在L i中的用户偶然在L中的概率）。G. Lenzini/Electronic Notes in Theoretical Computer Science 236（2009）4755≤−Lp（l）SL···图3.第三章。 根据l和li之间的相对位置，我们有不同的识别框架，信仰群众，因此，SL意见。 在左边，当传感器si检测到单元li中存在u（u是黑点）时出现的四种情况（左边第一个方框总结了两种情况）。第五种情况，省略，当l= l i时发生。在右边，四个案例（右边最后一个方框总结了两种情况），当传感器S1没有检测到单元L1中U（U是黑点）时，Oc发生。第五种情况，省略，当l= l i时发生。这里还有一点值得一提 因为不是所有传感器同时扫描它们的区域，所以当在时间t咨询si时，它可能没有新的观测。我们允许si回看它在时间tJt收集的数据，其中tJ是最近一次观察的时间这里，我们要求传感器 Δ t = t tJ

下载后可阅读完整内容，剩余1页未读，立即下载