摘要

在当前部署的技术不能在具有复杂社会关系的多个用户与单个设备交互的设置中提供可用的访问控制规范或认证。
在本文中，我们开始重新构想家用物联网设备的访问控制和认证。
我们建议访问控制关注物联网功能（即设备可以执行的某些操作），而不是关注每个设备的粒度。
在一项由425名参与者组成的在线用户研究中，我们发现参与者对于单个设备内的不同功能和他们自身能力的匹配很不相同。
从这些所需的策略中，我们确定了默认策略的可能候选者。我们还指出了用于更复杂但需要的访问控制策略的必要原语。
这些原语的范围从一天的时间范围到用户的当前位置。
最后，我们将讨论不同的身份验证方法对所需策略的潜在支持程度。

1 介绍

近年来，面向消费家庭的物联网设备激增。到目前为止，物联网安全和隐私研究的重点是此类设备的不安全软件工程实践、不正当的信息流以及修补联网设备的固有困难。

令人惊讶的是，很少有人关注家庭物联网中的访问控制策略规范（表示允许哪些特定用户，在哪些上下文中访问资源）或身份验证（验证用户是否为其声称的身份）。这种交易令人担忧，因为物联网有别于以前计算域的特点需要重新考虑访问控制和身份验证。像电脑、手机、平板电脑和智能手表这样的传统设备通常只有一个人使用。因此，一旦用户向自己的设备进行身份验证，则只需要最小限度的进一步访问控制。这些设备都有屏幕和键盘，因此认证过程通常涉及密码、个人识别码、指纹生物识别或类似的方法。

家庭物联网设备由于许多用户和单个家庭物联网设备交互，用于指定访问控制策略和验证用户的广泛部署的技术是不够的。让事情变得复杂的是，家庭中的用户彼此之间往往有着复杂的社会关系，这改变了威胁模式。例如，顽皮的孩子、好奇自己的孩子在做什么的父母、虐待的恋人，这些都是在家庭物联网环境中被放大的本地化威胁。

此外，很少有物联网设备有屏幕或键盘，因此用户不能只输入密码。虽然用户可能会使用手机作为中央身份验证机制，但这将失去物联网设备的免提的便利性，而像语音助手说密码这样的解决方案通常是不安全的。

针对家用物联网设备的当前访问控制策略规范和身份验证缺陷的真实例子已经开始出现。我们可以想象，例如一个好奇的保姆暂时进入一个家庭，仔细阅读设备的交互历史，或者一个有事业心的窃贼通过一扇破裂的窗户要求语音助手打开前门。

在本文中，我们向重新思考家庭物联网的访问控制策略和认证规范迈出了第一步。我们的调查围绕四个研究问题展开，我们在一项425人参与的用户研究中对这些问题进行了研究。这些研究问题的攻击使我们观察到，许多家用物联网设备在单个设备中结合了各种功能。例如，一个家庭枢纽或一个语音助手可以执行从打开灯到控制门锁的各种任务。当前的访问控制和身份验证通常基于以设备为中心的模型，其中允许或拒绝每个设备的访问。我们转向以功能为中心的模型，在该模型中，我们将功能定义为可以在特定设备（例如语音助理）上执行的特定操作（例如在线订购商品）。直觉表明，不同的能力有不同的敏感性，这就引出了我们的第一个研究问题。

• RQ1： 所需的访问控制策略在单个家庭物联网设备的不同功能中是否有所不同？

我们通过让每个研究参与者为我们确定的22个家庭物联网功能之一指定他们想要的访问控制策略来研究这个问题。对于具有六种不同关系的家庭成员（例如，配偶、孩子和保姆），参与者指定何时应该允许该人使用该功能。我们的发现证实了我们的直觉，即关于功能的策略化比关于设备的策略更能捕捉用户的偏好。语音助力和门的不同功能尤其引起了截然不同的策略。
虽然细粒度地指定谁应该能够使用哪些功能来捕获用户策略是必要的，但它会带来高昂的可用性成本。为了通过默认策略将这一负担降至最低，我们要求：

• RQ2：对于那些关系（例如，孩子）和功能（例如，打开灯），希望参与者之间保持一致的访问控制策略？这些可以是默认设置。

在我们的研究中，几乎所有的参与者都希望他们的配偶在任何时候能够使用日志删除以外的能力。参与者还希望其他人在家时能够控制灯光和恒温器。正如先前的策略所暗示的那样，特定个人使用某项功能的上下文可能很重要。孩子们可能会被允许控制灯光，但可能不会像孩子们习惯的那样连续开灯和关灯数百次。孩子们也不应该被允许在父母不在家的时候操作大多数家用设备，特别是在兄弟姐妹的房间里的设备。

• RQ3： 基于哪些上下文因素（例如，位置）

访问控制依赖什么吗？
除了用户的位置，我们发现参与者希望根据用户的年龄、设备的位置和其他因素指定访问控制策略。目前的设备几乎不支持这些上下文因素。最后，为了确定在家庭物联网中涉及身份验证机制的有前途的方向，我们提出了以下几个问题：

• RQ4： 哪些类型的身份验证方法平衡了方便性和安全性，有可能成功平衡错误允许和拒绝访问的后果？

通过分析参与者因错误允许或拒绝访问功能而引起的后果，我们确定了一系列看似有希望对用户进行身份验证的方法，从而实现了对家庭物联网实施用户所需的访问控制策略。

贡献： 通过425名参与者的用户研究，我们开始重新设想家庭物联网的访问控制和身份验证。我们的贡献包括：

1. 提出了基于能力的多用户家庭物联网访问控制规范，该规范比目前的方法更符合用户的期望。
2. 显示访问控制策略的频繁上下文依赖性，确定未来界面应支持的众多上下文因素。
3. 根据将错误允许或拒绝访问的后果降至最低的方法，为家庭物联网中的身份验证制定议程。

2 背景

在本节中，我们将介绍我们对家用物联网设备的概念，确定我们的威胁模型，并回顾当前设备对访问控制和身份验证的支持。我们将家庭物联网设备定义为连接物联网并主要在家庭中使用的小家电。联网的灯和恒温器就是两个例子。许多此类设备都通过集线器进行管理，该集线器可促进设备之间的通信、执行策略，并且通常允许创建最终用户程序或使用应用程序。

2.1 威胁模型

智能家居中的两大类对手是外部的第三方和哪些拥有合法物理访问权限的人。前者包括哪些利用平台、设备或协议中的软件漏洞造成物理、财务或隐私相关损害的人。后一类包括拥有合法数字或物理访问权限的家庭成员，例如临时工或儿童。这些内部威胁在研究中受到的关注要少得多，但却是本文研究的重点。内部人士可能出于各种原因，从好奇心到故意不服从（例如，一个孩子试图采取父母禁止的行为），或者试图纠正引入的设备造成的不平衡，这些设备的监控意味着赋予家庭中的某些成员不对称的权利（例如，父母跟踪青少年），这些原因可能会促使他们颠覆智能家居系统的访问控制。

我们假设在家庭环境中，居住者通过智能手机、语音助理、规则和物理交互来控制家用物联网设备。例如，维修人员可能会使用智能手机应用程序打开前门，而孩子可能会通过对语音助手说话来关灯。我们的目标是指定平衡安全性、保密性和功能性的访问控制规则。

2.2 当前设备的承受能力

目前的家用物联网设备在访问控制和身份验证方面的负担相对有限。以五年来对家庭物联网前景的调查为起点，我们调查了当前设备的负担能力，下图显示了具有代表性的样本。

为了控制许多当前的设备，人们使用智能手机应用程序，这些应用程序必须与设备配对。这些应用程序提供各种访问控制设置。例如，Nest恒温器支持二进制模式，在这种模式下，其他用户可以完全使用或不能使用恒温器的所有功能。八月智能锁提供了类似的客人和所有者级别的模式。通过无线称重，用户可以创建单独的账户，从而将他们的体重测量与其他用户隔离开来。在Apple HomeKit上，用户可以邀请更多用户，将他们限制为：完全控制、只读控制、本地或远程控制。

一些设备提供了稍微丰富的访问控制策略规范。Kwikset Kavo智能锁允许基于时间的访问控制规则；所有者可以在有限的时间内向二级用户授予访问权限。在我们的用户研究中，我们发现时间是一个理想的上下文因素，但只是众多因素中的一个。我们关注的是功能，而不是设备。虽然目前的大多数设备都不支持按功能区分的访问控制策略，但三星SmartThings允许用户限制第三方应用程序访问某些功能。我们发现，限制用户而不仅仅是应用程序对特定功能的访问是必要的。

通过这种分析，我们发现当前的机制还很初级，并且缺乏在复杂的多用户环境中指定访问控制规则所需的词汇，我们的目标是建立更丰富的词汇。

目前家庭物联网的身份验证方法似乎是从智能手机和台式机模式移植而来的。密码广泛与智能手机配合使用。例如，SmartThings有一款应用程序，用户可以通过它来控制设备。用户首先使用密码验证此应用程序。基于语音的身份验证目前非常初级，不是用于安全，而是用于个性化。例如，GoogleHome将说话者识别用于定制提醒，但不用于与安全相关的任务。

3 相关工作

当前的研究集中于分析和修复平台、协议和设备的安全性。Fernandes等人讨论智能家居应用程序如何在访问设备方面拥有过高的特权，并利用应用程序访问控制机制的缺陷进行攻击，缓解措施涉及重新考虑许可授予。

相对较少的工作集中在授权和认证人类使用家用物联网设备。以前的工作集中在家庭访问控制的困难上，而不是解决方案。此外，在这些初步研究之后的几年里，消费设备的格局发生了迅速的变化。

一些较早的工作检查了已部署的家用物联网设备的身份验证和访问控制，发现这样的负担非常无效。最近的研究试图引起用户对物联网环境的广泛安全和隐私关注，特别是指出多用户复杂性是一个关键的安全挑战。这种复杂性源于家庭物联网环境中的社会关系。例如，研究人员指出，在多用户环境中，室友、客人、邻居和孩子都是重要的考虑因素。我们在这项工作的基础上，确定家庭物联网设备所需的访问控制规则，并将家庭居住者和设备的个人功能之间的关系推向前台。

以前对物联网身份验证的研究主要集中在协议（例如，类似Kerberos的框架）上，而没有考虑用户的限制。Feng等人推出了语音助理的基于语音的身份验证VAuth。然而，VAuth需要使用可穿戴硬件来建立身份验证通道，我们的目标之一（RQ4）是确定可能适用于多用户设备的身份验证机制。

智能手机可以被认为是物联网的前身。然而，关于指定哪些应用程序可以访问哪些资源的大量文献仅部分翻译为家用物联网设备。Enck等人讨论应用程序如何通过请求用户的许可来访问资源，而Feel等人讨论用户如何可能不总是注意到这样的提示。一个共同的主题是，应用程序访问手机资源，而手机是通常不与其他人共享的单用户设备。在当前版本的Android上，人们可以通过限制应用程序的使用来配置辅助账户，然而单独的账户并不能解决家庭物联网设备的所用户挑战。

4 预研究

作为探索基于家庭物联网功能和关系的访问控制的第一步，我们进行了一项预研究，以确定引起代表性或重要用户关注的功能和关系。为了让我们对消费者可能遇到的设备的家用物联网功能进行调查，我们根据一些消费者推荐创建了家用物联网设备列表。（附录A）我们根据设备的核心功能将其分类，包括智能家居集线器、门锁和语音助理。

对于每一类设备，我们收集了该类别中当前市场上的设备提供的功能。我们添加了未来可能的功能，以及编写最终用户程序的能力。我们向每位研究前参与者展示了针对单个给定设备类别确定的所有功能。参与者回答了有关使用该功能的正面和负面影响的问题，他们还确定了他们期望设备具有的附加功能。我们使用这个过程来确定一套全面而多样的功能，范围从引起大量关注的功能到不引起关注的功能。

为了确定在主要研究中要调查的小组关系，我们还向参与者展示了一张包含24个关系（例如，十几岁的孩子、家庭健康助手）的表格，并要求他们将这些关系分成五个有序的访问智能家居设备的级别。根据自主访问控制（DAC）系统中的现有用户和组以及家庭中常见的社会关系，我们选择了这份包含24个关系的列表。

我们在Amazon的Mechanical Turk上对31名参与者进行了前期研究。与会者除了确定很少引起关注的功能（例如，打开灯）外，还确定了许多功能的潜在问题。我们使用这些结果生成功能列表，将设备间的类似功能分组为查看设备当前状态等类别。我们选择了22项功能，他们的预先研究的结果显示了各种观点和关注点，同时维护了代表智能家居的功能集。

为了将我们最初列出的24种关系缩小到一个容易处理的数字，我们检查了研究前的参与者如何将每种关系分配给想要访问家用设备的五个有序类别中的一个。我们选择了六种关系，这些关系跨越了所需访问的全部范围，并且参与者在分配给某个类别时最一致。

5 方法论

为了得出家庭物联网所需的访问控制策略，我们的主要研究是基于在线调查的用户研究。我们在Mechanical Turk上招募了参与者，将研究对象限制在18岁以上、居住在美国且支持率至少为95的员工。

5.1 协议

每个参与者都被呈现了从预先研究中确定的22个能力中随机选择的一种能力（例如，“看看家里哪些灯是亮着的或关着的”）。附录B给出了参与者看到的完整功能列表和描述。


然后，我们向参与者呈现六种关系中的一种：配偶；十几岁的孩子；上小学的孩子；拜访家庭成员；保姆；邻居。用于描述每种关系的文本在附录C中。我们首先询问这样的人是否应该被允许“总是”、“从不”或“有时，取决于特定的因素”。对于前两个选项，我们需要简短的自由文本对齐。为了更好地理解正确识别相关人员的身份验证方法和系统正确执行访问控制策略的重要性，我们要求回答“总是”或“从不”的参与者说明如果系统错误地拒绝或（分别）允许该特定用户访问该功能会带来多大的不便，参与者从“不是不便”、“轻微不便”或“重大不便”中选择，并提供简短的自由文本理由。

如果参与者选择“有时”，我们需要额外的解释来进一步描述他们想要访问控制策略。他们首先以自由文本的形式解释了什么时候应该允许该人使用该功能，然后是什么时候不应该允许他们这样做。按照从“不重要”到“极其重要”的五分制，我们询问他们拥有（或不拥有）访问该功能的重要性。

我们按随机顺序对其他五个关系重复了这些问题。因此，每个参与者都回答了关于单一能力的所有六个关系。

之后，我们询问了有关为该功能指定访问控制策略的更多一般性问题。特别是，我们以随机顺序列出了八个上下文因素，询问这些因素是否应该影响是否应该允许任何人使用该功能。可能的回答是“是的”、“不是”和“不适用的”，然后是自由回答的理由。我们询问了以下因素：一天中的时间；该人相对于该设备的位置（例如，在同一个房间中）；该人的年龄；目前还有谁在家里；执行该操作的成本（例如，电费或其他金钱成本）；该设备的当前状态；该设备在家中的位置；该人最近使用该设备的情况。此外，我们要求参与者列出可能影响他们对该功能的决定的任何其他因素。

最后，我们提出了一些关于人口统计学的问题，以及参与者所在的实体房屋和他们的家庭成员的特征。我们还询问了他们的所有权和以前使用过的联网设备的情况。附录D给出了调查工具。我们向参与者补偿了3.5美元的研究费用，这项研究花了大约20分钟，并得到了IRB的批准。

5.2 分析

受试者对他们的访问控制偏好的反应包括定性的自由文本反应和多项选择反应。两名独立的研究人员对定性数据进行了编码。第一个研究人员进行开放编码，开发了一个捕捉主题的代码簿，而第二个编码者独立地使用相同的代码簿。

5.3 限制

由于我们是在Mechanical Turk上的样本进行比较，本研究的生态效度和概括性受到了限制。我们的大多数问题都是基于假设的情景，参与者想象我们向他们提出的关系和能力，并自我报告他们的预期的反应。此外，虽然一些参与者是家用物联网设备的活跃用户，但其他参与者不是，这使得一些参与者完全是假设的情景。我们选择接受这一限制，并将招募人员包括在内，而不考虑以前使用家用联网设备的经验，以避免样本偏向较早采用者，因为他们往往更富有，更精通技术。

结果

在接下来的几节，我们将介绍我们的发现。我们首先提供参与者的概述。接下来，我们将介绍所需访问控制策略在不同功能之间的差异（RQ1）以及所需策略在不同关系之间的差异程度（RQ1）。之后，我们将显示哪些关系和功能对需要的访问控制策略在参与者之间是一致的。我们使用这些对来派生默认策略（RQ2）。接下来，我们评估哪些上下文因素（例如，年龄、位置、使用）对“有时”情况印象最大，从而解释用户为什么不总是允许访问某项功能（RQ3）。最后，我们分析了错误授权的后果，并展示了错误允许/拒绝访问特定功能对关系级别的影响（RQ4）。

6.1 参与者

共有426人参与了这项研究，其中425人被认为是有效的回答。我们的数据中排除了一个回复，因为他们的自由文本回复与我们的问题无关。我们的样本几乎是性别平衡的。年龄中位数为25-34岁。大多数参与者的年龄在25-45岁之间。一些参与者（19%）报告说，他们主修专业，获得学位，或在计算机科学或相关领域工作。

我们参与者的大多数（67%）生活在单亲家庭，而25%的人住在公寓里。近一半的参与者（49%）拥有自己居住的地方，47%的人租房。此外，我们询问有多少人（包括参与者）住在同一个家庭中。大约20%的参与者报告生活在一人家庭，27%生活在二人家庭，23%生活在三人家庭，17%生活在四人家庭。

6.2 功能（RQ1）

当前智能家居系统中的访问控制实现在很大程度上是基于设备的。但是，我们的数据激发了更细粒度、更灵活的访问控制机制。在接下的部分中，我们将讨论我们的主要发现，如下图所示。

1. 单个设备内的功能差异

我们观察到，在同一设备中，参与者对各种功能的态度不同。例如，语音助手可以用来播放音乐和在线订购物品。然而，参与者更愿意让他人播放音乐，而不是在网上订购物品。

在单个设备内的不同功能之间存在不同意见的另一个示例包括删除物联网门锁的活动日志并开门、查看锁的当前状态以及设置锁的规则。在人际关系中，参与者对开门等能力持宽容态度。因为孩子们可能没有智能手机，所以我们没有询问他们执行这一操作的情况，我们将他们排除在这一分析之外。相比之下，76.8%的参与者表示，他们永远不会允许他人删除活动日志。这些差异有显著性。即使是像配偶这样基于信任的关系，一些参与者仍然选择从不。当被问及原因时，一位参与者写道：“任何人都不应该能够删除安全日志。”

即使像邻居或保姆这样有关系的人不住在同一所房子里，有时也会在房主不在的时候给予许可。对于邻居何时应该访问某个功能，一个典型的回答是：“也许是在我度假的时候，我让他们照看我的家。”

2. 上下文相关功能

我们发现“Answering the Doorbell”是一种高度依赖于上下文的能力。40%的参与者有时会选择这种能力。与此同时，平均有25.6%的参与者在恋爱中从未选择过。

房主是否在场是影响反应的关键因素。许多参与者有时会选择保姆，因为这份工作本身就意味着父母不再身边。如果送货员在保姆在家的时候按门铃，保姆应该被允许处理这一事件。大多数参与者有时也会新人具有相同访问权限的来访家庭成员。一些参与者甚至会考虑将这一权限给他们的邻居，这样如果家人度假时发生紧急情况，他们的邻居可以通过他们的智能手机看到谁在门口。

6.3 关系（RQ1）

关系在参与者首选的访问控制策略中起着重要作用。

1. 保姆VS拜访亲戚

在前期的研究中，我们确定了保姆和一名来访的家庭成员是一个类似客人的团体的成员。在主要研究中，参与者对保姆和来访家庭成员的总体态度相当一致。在我们的两两卡方检验中，这两种关系没有显著差异。这是可以理解的，因为这两种关系都与房主有一定的信任，而这两种关系都不住在同一个家庭。

一般来说，对来访的家庭成员的政策比对保姆的政策稍微宽松一些。然而，通过对定性数据的分析，我们发现情况更为复杂。有一些特定的功能，比如“直播视频”，在这些功能中，保姆被授予的权限比来访的家庭成员要高。57.1%的参与者认为来访的家庭成员永远无法使用这一功能，而只有33.3%的参与者认为保姆也是如此。原因是保姆的工作是在父母不在的时候照看孩子。因此，该功能本身可能会帮助保姆更好地照顾孩子，导致有时会有很高的准许率。

与此同时，一些功能显示出强烈的主观差异，包括授予保姆和探望家人“Answering the Doorbell”的许可。一些参与者发现总是允许访问是有用的，而另一些参与者则对让不是他们的家庭成员的人访问这一特殊功能感到不舒服。

通过这些观察，我们得出结论，在智能家居中同时拥有基于关系和基于能力的访问控制模型是很重要的。 这样的模型应该足够灵活，以应对可能出现的复杂需求和用例。

2. 孩子VS青少年

虽然儿童和青少年都在父母或监护人的监视下，但青少年（16岁）和儿童（8岁）被赋予了非常不同的访问范围。在去除了5项不适用于儿童（我们假设儿童没有智能手机）的能力后，在剩下的17项能力中，有12项给了青少年更多的机会。一名16岁的青少年被许多参与者视为年轻人，并被更广泛地信任能负责任地使用能力。因此，经常选择Always许可，在他们的自由文本回复中没有提到需要监督。

与此同时，允许一名8岁儿童畅通无阻地进入更令参与者担忧。一些参与者提到，他们担心幼儿会有意或无意地滥用这些能力，从而破坏所有的设置。一些参与者甚至表达了他们的担忧，担心小孩子可能会因为进入通道而陷入危险。例如，一位参与者选择了Never，因为他能够看到哪扇门当前是锁着的或没有锁的，他写道：“一个小学生不应该主动离开家。”一个8岁的孩子对智能家居系统的理解水平也是值得怀疑的。因此，孩子们很少被赋予总是访问除与灯光相关的功能之外的其他功能的权限。

即使对于参与者为青少年和幼儿选择了相对严格的设置的能力（例如，“在线订购”），态度也是不同的。虽然只有5.3%的参与者同意让青少年完全可以在网上订购，但是还是有73.7%的人有时会选择，而不是不从，这使得他们的青少年在亚马逊上购买自己需要的东西的权限有限。对于年幼的孩子，94.7%的参与者认为这个年龄段的孩子永远不应该接触它，他们经常辩解说，更小的孩子没有必要自己在网上订购东西。许多参与者提到了对青少年在亚马逊上购买商品的监管或限制，但他们承认，如果青少年有理由的话，他们会让他们自己从亚马逊购买东西。

2. 对限制性政策的总体偏好

我们发现，除了配偶和青少年，大多数参与者更喜欢更严格的访问控制政策，而不是宽松的访问控制政策。 在所有关系的22种能力中，平均有9种能力，有一半的参与者选择的频率从来不比有时更高，有时比通常更高。在所有能力中，只有18.1%的参与者选择always对自己的拜访亲戚，10.3%对保姆，8.3%对小孩子和0.7%对邻居。只有一小部分能力是参与者普遍允许的：控制灯光和音乐，这些能力不会造成太大的伤害或损害。

6.4 默认策略（QR2）

在本节中，我们将概述我们观察到的捕获大多数参与者响应的默认拒绝/允许访问策略。我们根据关系对这些政策进行分类，并对我们的发现进行深入分析。

6.4.1 默认允许

1. 配偶是高度信任的

平均来看，93.5%的参与者同意总是与配偶接触，而只有4.15%的人偶尔会回答，2.35%的人表示从不回答。对于总是选择的参与者来说，他们最常见的原因是他们完全信任自己的配偶，婚姻中应该保证平等。一半的不允许响应来自伤处智能门锁日志文件的功能。

2. 控制灯光

与灯光相关的访问控制政策是最宽松的。看一下关于开灯和关灯功能的回答，大多数回答都与提出的默认政策一致，即人们只有在灯实际出现在家里的情况下才能控制灯。与此相关的是，一些参与者会选择拜sometimes对拜访家人和保姆，这取决于他们是否亲自出现在家里。

6.4.2 默认拒绝

1. 锁定日志敏感度

如上面所述，“Delet Lock Log”是最不允许的功能，因此默认情况下应该拒绝访问。即使是配偶，默认情况下也不应该使用此功能。超过75%的参与者从未选择过所有其他关系。作为回顾使用历史的主要方式，日志不会被删除。

2. 监督儿童

小学年龄的孩子（表现为8岁）是最受限制的关系之一。平均而言，在所有能力中，69.4%的参与者从未选择过孩子。只有邻居收到的权限较少。在我们的菱形测试中，我们没有观察到当前与孩子一起生活的参与者、以前与孩子一起生活的参与者以及从未与孩子一起生活的参与者在儿童期望的访问控制设置上的显著差异。我们没有一种能力被认为是对儿童友好的，即使是大多数参与者也总是允许他们的小学年龄的孩子总是可以使用这种能力。仅仅只有“Light State”和“Play Music”的能力被少于一半的参与者选择为never。尽管是直系亲属，并住在一起，但许多参与者都表示担心，那个年龄的孩子可能会玩弄这些功能，无意中扰乱他们的设置，甚至给自己带来危险。然而，在监督下，许多参与者会考虑让他们的孩子暂时接触，逐渐教他们如何使用这种新技术。

3. 在线订购

网上购物的能力一般仅限于配偶；78.9%的参与者表示，只有他们的配偶才能在网上购物，但84.2%的参与者也表示，如果得到房主的明确许可，非配偶用户也可以这样做。

4. 管理能力

默认情况下，只有配偶才能访问管理功能，例如添加用户、连接新设备和安装软件更新。89.7%的参与者总是让他们的配偶接触到这些管理能力，而只有39.7%的参与者总是给他们十几岁的孩子类似的机会。不出所料，不到20%的参与者愿意完全接触其他关系。

6.5 环境的影响（RQ3）

由于访问控制策略规范过程中有许多因素在一起作用，因此确定哪些上下文因素在此过程中的影响最大，以及它们对最终决策有何影响非常重要。完整的结果如下图所示，我们还运行了菱形测试，以查看每个上下文因素对某些功能的影响是否比其他功能的影响更大。虽然我们没有观察到“附近的人”、“成本”和“使用历史”这三个上下文因素在能力上的显著差异，但我们观察到其他五个上下文因素存在显著的差异。

1. 年龄

平均而言，用户年龄是八种功能中最具影响力的因素，不同功能中年龄的重要参与者的比例不同。年龄影响较小的主要能力是改变相机角度。许多参与者关心的是让年轻人有机会获得某些能力。“他们需要足够成熟，才能负责任地使用它。”这是一个典型的回答。然而，另一位参与者解释说：“关键在于人本身，以及他们对科技的能力，我不在乎年龄。”

2. 设备的位置

设备位置的影响访问控制策略的参与者的比例因功能而异。不出所料，与摄像头相关的功能对位置最为敏感。“摄像头角度”是唯一一个设备位置比用户年龄对其影响更大的功能。设备位置是打开或关闭摄像头和观看实时视频的第二个最常被调用的因素。如果将智能摄像头安装在室内，特别是卧室或浴室，它的隐私敏感度会高得多。参与者反映了这一点，例如，“我可以看到客人/房屋保姆可能需要进入外面或车库的景色，但不需要进入里面。”因此，在设计摄像头时，应该考虑摄像头是在室内使用还是在室外使用，并将其反映在默认的访问控制策略中。

3. 最近使用历史记录

设备最近的使用历史影响其访问控制策略的参与者比例在不同功能之间没有显著差异。平均而言，51.7%的参与者同意此因素会影响他们关于访问控制策略的决策。对于哪些认为该设备最近的使用历史会改变他们的决定的参与者来说，主要有两个理由。一方面，如果历史记录表明用户正在滥用某项功能，则所有者可以撤销访问权限。一位参与者写道：“如果有人滥用这个设备，你最好打赌他们不会有第二次机会。好吧，也许我会给他们第二次机会，但肯定不会再给他们第三次机会！”另一方面，如果用户被证明是值得信任的，那么所有者可能会考虑让他们保留访问权限，甚至扩展权限。“如果我的孩子一直在负责任地使用这款设备，我会觉得他们更多的接触机会会更舒服。”“然而，一些参与者认为最近的使用历史并不是特别相关，主要有两个原因。首先，一些参与者认为最近的使用历史本身不会造成太大的麻烦，比如“Light Scheme”，通常的推理是“很难滥用这个能力，所以对我来说无关紧要”。”其次，如果功能本身非常重要，以至于参与者不愿给予他人访问权限（例如，“删除视频”），则使用历史不起作用。

4. 一天中的时间

时间上下文因素的重要性因功能而异，“播放音乐”和与割草机相关的功能对一天中的时间特别敏感。为了不打扰其他人休息，参与者倾向于将割草机的使用限制在白天，并在傍晚播放音乐。

5. 用户的位置

当试图控制设备时，改变设备行为的功能往往对用户所处的物理位置更加敏感，因为许多功能在没有接近的情况下是无法享受的。例如，创建控制灯光的功能和“面部识别”就是最好的例子。许多参与者写道，他们不希望任何目前不在房子里的人使用这些功能，除非是房主或是他们的配偶。

行使一项能力的成本的影响并不能因能力而异。我们认为这在一定程度上是因为我们的研究升级没有包括高瓦数的电器。然而，我们观察到一些证据表明，人们对白天开着灯等低瓦数设备的成本感到担忧。一些与会者提到，虽然电灯不会消耗大量电力，但如果涉及重型电器，成本可能很快会成为一个令人担忧的问题。另外，由于对成本的不同理解，成本对网购的影响也不同。对于参与者确实表示成本是一个问题的情况，他们的解释是基于购买商品的成本，而不是下订单所用的电力。

6. 周围的人

43.6%的参与者表示，附近的其他人可能会影响他们的访问控制决策。附近人员的角色在不同能力之间没有显著差异。对于认为这一因素很重要的参与者来说，有两个截然不同的结论。有些人自己在的时候可能会觉得更宽容，因为这一位着他们可以监督一切。然而，其他人感觉不那么宽容，因为如果他们在附近，就没有必要让其他人进入，因为其他人只需要询问所有者就可以了。因此，重要的是系统配置要考虑到这些不同的心理模型，让用户决定他们可能选择的方向。

7. 设备的状态

总体来说，设备的当前状态在参与者的访问控制决策中总体上是最不重要的因素，尽管这种重要性因功能不同而有所不同。值得注意的是，在回答“面部识别”功能的参与者中，46.7%的人将设备的状态标记为一个影响因素。这是因为如果摄像头当前处于关闭状态，则任何人都没有理由启用或禁用面部识别。

8. 其他因素

我们加入了一个自由文本问题，参与者可以同构该问题列出他们认为在其访问控制策略规范过程中起作用的其他因素。在他们的回应中，我们观察到一长串附加的背景因素，包括天气、人们对技术的熟悉程度、他们与所有者的距离有多近，以及一个人获得某种能力的频率。

6.6 错误决策的后果（RQ4）

通过分析不正确授权策略后果，我们可以了解在给定功能和关系对的情况下，用户对政策失败的容忍度。重要的是要了解，如果系统发生故障，用户会有多强烈的感受，我们分别分析了错误的允许和错误的拒绝决定。

6.6.1 错误的允许

请注意，关于错误允许访问的响应属于那些打算永远不想特定关系授予对特定功能的访问权限的参与者。因此，这些参与者可能会在某些方面比其他与会者更担心，这导致与前几节中看到的更广泛的趋势之间存在一些狭隘的紧张关系。下图总结了这些结果。

1. 邻居错误会给带来极大的不便

在所有功能中，64.1%的参与者表示，如果授权系统不小心允许他们的邻居访问，会带来很大的不便。打开或关闭安全摄像头（100%是重大不便）和为智能门锁创建规则是最令人担忧的功能。请注意，在这项研究中，我们将代表邻居关系的人描述为“好人，包括友好地闲聊和偶尔的晚餐邀请。”尽管如此，隐私和安全仍是主要问题。

2. 配偶的错误允许会带来严重的后果

虽然对配偶关系的错误允许回答的数量相当少（n=10），但它仍然提供了一些有趣的见解。50%的答案基于从智能锁中删除日志文件。4/5的受访者认为允许配偶删除日志文件不会带来不便。一个典型的回答是：“我不会真的介意我的配偶删除它，但系统不安全会让我烦恼。”

还有五个其他能力的回应。其中，4/5的人表示，错误的允许决定是一大不便。令人惊讶的是，一些参与者认为，如果该机制允许他们的配偶错误地访问某些功能，这是一个重大问题。

3. 探亲亲戚的错误允许会导致小问题

虽然我们早些时候提出，参与者对来访的家庭成员和保姆的放任非常相似（而且倾向于不放任），但当涉及到错误的允许时，我们观察到了不同之处。参与者对不正确地接触来访地家庭成员地担忧远远低于对保姆的担忧。“他是我的家人，所以我有点信任他”这样的回复很常见。虽然参与者认为来访的家庭成员不会造成太大的上海，但虚假的允许仍然会让他们感到有点不安。

4. 禁止儿童购物/割草机

在所有功能中，不正确地允许幼儿在网上订购和为割草机指定规则是允许儿童使用False的两个功能，这两个功能引起极大的关注。这么小的孩子通常不会被信任在网上订货，一位参与者写道：“孩子可能会花一大笔钱买我们不需要的产品。”割草机被认为是危险的。一位参与者简单地写道：“（割草机）可能会对孩子造成伤害。”

6.6.2 错误拒绝

此部分中错误拒绝访问地响应来自打算授予特定关系访问权限的参与者。下图显示了完整的结果。

1. 参与者不想被拒之门外

与锁相关的功能引起了最大的关注。参与者往往对智能锁非常谨慎。尽管查看锁定状态与锁门或开锁没有直接关系，但参与者仍然担心门禁系统出现故障会不会将人锁在门外，从而将这些错误的否认标记为重大不便。

2. 配偶和信任问题

参与者给予配偶完全访问权限的一个常见的原因是，他们认为婚姻中的两个人应该是平等的，这意味着双方应该拥有相同的访问系统的权限。因此，如果他们的配偶意外地被系统拒绝，可能会引发信任问题，并在婚姻中引发争着。我们发现了许多类似于“我不想让我的配偶认为我不信任他们”的回答。有趣的是，不仅关系会影响访问控制策略，而且关系还会收到授权结果的影响。因此，这种关系需要格外小心。

7 讨论

功能、关系和上下文。虽然目前智能家居中的访问控制通常是以设备为中心的，但我们的用户研究表明，以功能为中心的模式更符合用户的期望。家庭物联网技术允许以多种方式实现相同的最终结果，而设备通常会带来截然不同的功能。例如，要增加房间的亮度，你可以使用智能手机应用程序远程打开灯，远程打开百叶窗，或者让语音助手来做这两件事中的任何一件。该模型揭示了设备中心模型中遗漏的细微差别。从RQ1的数据中，我们可以看到，根据访问关系和环境，所需的策略在单个设备中可能会有很大的不同。虽然其中一些区别是直观的（例如，儿童和青少年），但其他的区别则更加微妙和令人惊讶（例如，保姆和来访的家庭成员）。它们还为未来智能家居设备的开发者提供了具体的访问控制词汇。

访问控制系统中的一个困难决策涉及默认策略。在多用户社交环境中，直觉表明默认策略会很复杂。令人惊讶的是，我们第二季度的数据显示，潜在的默认策略实际上很简单，让人联想到非物联网策略。例如，我们的默认策略是，如果一个人在身体上接近它，就可以启动它。虽然物联网灯光可以远程启动，但接近和使用灯光之间的关系并未被打破。虽然概念上很简单，但该规则的实施并不简单，需要在智能手机之外创建和部署身份验证方法。

RQ3的数据表明，影响访问控制决策的因素严重依赖于上下文。目前的家用物联网设备仅支持基本形式的情景，一些背景因素，比如年龄，目前出现在智能手机和云服务器中（例如，苹果的iCloud Family Sharing支持添加一个孩子的ID，需要父母批准才能购买，而Netflix有孩子的选项）。我们建议，对于家庭物联网设置，这些情景因素应该是一阶原语。

基于这些发现（RQ1-3），我们遇见了智能家居设置的几个变化。此过程目前涉及使用一组粗粒度账户安装集线器和设备。我们的工作表明，未来的智能家居可以通过引导用户完成一份调查问卷来访问控制策略，问卷的词汇来源于我们的用户研究。这更接近于安装软件的体检，在软件安装过程中，软件包附带针对特定安装定制的安全默认设置。使用从我们的结果派生的默认策略将最大程度地减少用户负担，因为它将在默认情况下反映共同意见。物理控制（例如，交换机）已经启用了某些默认策略，因此在某些情况下，软件授权似乎是不必要的。但是，交换机通常是IoT初学者套件的附加组件，这使得软件授权成为获得令人满意的用户体验的先决条件。

授权词汇。 基于我们的研究成果，我们讨论了一个潜在的授权词汇表，该词汇表有助于构建未来家庭物联网平台的授权和认证。词汇表的基本单位包含的三元组。如前所述，与设备相比，功能更好地捕捉到了家庭访问控制的细微差别。附录A列出了当前家庭物联网平台通常支持的功能。UserType捕获用户与房屋以及所有者之间的关系。从我们的研究来看，这些类型应该不详尽地包括：配偶、青少年、儿童、保姆和邻居。配偶往往是拥有最高访问级别的用户，通常相当于传统计算系统中的管理员。上下文是指可能影响访问控制决策的环境因素。例如，某些父母可能会更宽容地允许孩子在没有监督的情况下看电视。根据我们的研究，至少上下文应该包括：时间、用户位置、年龄、附近的人、资源成本、设备状态、设备位置和使用历史。根据三元组的功能和UserType组件的不同，上下文的重要性可能会有所不同。例如，对于用户类型为Child的用户，“附近的人”上下文因素在访问控制决策中起着重要作用。然而，对于配偶来说，这通常是没有影响的。能力也是如此，“设备位置”上下文因素对于摄像头相关功能至关重要，但对于添加新用户的功能则不那么重要。

映射授权和身份验证。 虽然我们重点分析了访问控制，但简要讨论了我们的发现如何影响身份验证机制的设计。下面，我们将讨论一组身份验证机制，并评论它们识别用户、关系和上下文因素的能力。我们还讨论了隐私限制及假阳性和假阴性的影响。

智能手机是家庭中访问物联网设备使用最广泛的设备。用户可以使用密码、PIN或最近的指纹向设备显示其身份。家用物联网设备可以使用这些身份来确定尝试访问的人的身份，从而确定其关系。从误报/漏报的角度来看，智能手机可以非常符合用户的期望。然而，它们对临时访问者来说并不方便，因为它们需要访问者安装一款应用程序，并需要所有者授权。

手表、眼镜、甚至服装等可穿戴设备可能会充当代理设备，比如智能手机具有更自然的交互功能。例如，用户可以向附近的设备打手势来控制它（例如，向灯挥手以打开或关闭它）。由于每个用户执行手指的方式不同，它也可以作为身份验证的一种形式，因此可以用来识别一个人和他们之间的关系。此外，可穿戴设备的近在性有助于识别几个上下文因素，包括用户位置和附近的人。从假阳性/假阴性的角度来看，生物识别需要相当多的调整，这可能会影响所有者使用这种方法的选择，特别是在认证高权限配偶或操作割草机等危险设备时。

语音助手在家庭中变得越来越无处不在。虽然这样的助手可以执行说话人识别（例如，Google Home Voice Match），但它们目前被用作个性化提示而不是安全边界。然而，使用额外硬件的未来版本可能有助于确定说话者的身份和关系，以实现访问控制的目的。这样的助手可以帮助识别上下文因素，例如用户的位置或附近的人（例如，儿童附近的监督成年人）。从假阳性/假阴性的角度来看，任何基于语音的方法都需要调整。音频对背景噪声特别敏感。音频身份验证还会带来隐私问题，以及窃听和重播攻击的可能性。

计算机视觉的进步也可以被用来识别用户、他们的关系以及他们在有摄像头的家里的位置。然而，计算机视觉系统可能会错误地识别个人身份或混淆身份。因此，需要一定程度的错误正/负调谐，特别是当一个家庭预计有许多临时住户时。这种机制的一个很大的缺点是隐私风险——摄像头可以高精度地跟踪家里的活动。然而，一些隐私问题可能会通过使用本地处理或隐私保护的视觉算法来缓解。

双边或连续认证机制体现了这样的想法：即用户必须：（A）实际在场，以及（B）当前使用设备。这样的机制能够容易地识别用户和关系，并支持涉及用户在场的上下文因素。错误的正/负调谐根据具体的实例化而有所不同。如果使用具有连续身份验证算法的可穿戴设备，则必须考虑假阳性/阴性的比率。如果以分散的方式实现该机制，则可以减轻隐私问题-只有用户的代理设备和目标设备参与建立认证的通道。它还可以为取消身份验证问题提供简单的解决方案（如果不再欢迎临时访问者，则撤销访问权限）。

总而言之，我们已经朝着重新设想家庭物联网中的访问控制规范和身份验证迈出了初步步骤。要继续将这些观察结果转化为完全可用的原型，以及支持更丰富的功能和交互，还有很多工作要做。