随着物联网终端设备大规模接入网络,终端攻击成为了物联网安全的重要问题。物联网终端设备由于种类的多样性,难以统一访问控制管理机制;同时传统的基于复杂加密协议和认证客户端的认证技术不再适用于计算和存储资源受限制的物联网设备;此外部分历史遗留设备难以通过更新升级以支持安全的认证管理。基于此,本文提出了一种基于设备指纹和行为可信的物联网访问控制方案。该方案首先提取设备在启动阶段的网络流量特征,并利用机器学习算法识别设备的类型。设备的类型信息将作为权限初始分配的依据。此过程适用于多样的设备类型,降低了对设备计算和存储资源的要求,同时避免了对历史遗留设备的更新升级。然后基于设备当前网络行为和历史网络行为的偏离程度计算其行为可信度。行为可信度将作为设备与权限分配关系动态调整的依据,以实现对同类型设备的访问控制策略的细粒度管理。本文的主要工作和创新点如下:1.针对传统的基于复杂加密协议和认证客户端的访问控制技术不再适用于计算和存储资源受限制的物联网设备的问题,本文提出了一种基于设备指纹和行为可信的物联网访问控制方案。该方案首先基于设备启动阶段的网络流量特征识别设备的类型,实现权限的初始分配。然后基于设备的当前行为和历史行为的偏离程度计算其行为可信度,实现设备与权限分配关系的动态调整。2.针对现有设备指纹识别算法对同厂商相似型号设备类型的识别准确率低的问题,提出了一种二阶段指纹识别算法——TSMC-SVM。该算法将修正余弦相似度引入多分类机器学习模型中,提升了相似型号设备类型的识别准确率。实验表明,TSMC-SVM的平均识别准确率达到了93.2%。同时为降低相似度匹配的时间复杂度,提出了一种样本预处理方法。该方法通过计算样本预处理因子,将相似度匹配的时间复杂度从O(nm)降低到了O(n)。3.为实现对设备个体访问控制策略的细粒度管理,本文提出了一种基于设备行为可信度的访问控制模型。该模型将设备网络行为可信度和权限可信度阈值引入基于角色访问控制模型中。对于设备行为可信度,模型从多个维度观察设备当前网络行为和历史网络行为的偏离程度生成评价因子,然后通过模糊综合评价方法计算最终的可信度。权限可信度阈值可以根据资源的环境上下文动态设置。4.为了在物联网场景下实现上述基于网络流量的设备指纹识别以及基于行为可信的访问控制机制,本文提出了一种基于VLAN的旁路式访问控制实现方案。该方案首先将资源划分到不同VLAN中,然后依据设备指纹和设备行为可信度知识调整设备与VLAN的隶属关系,以实现设备对资源访问的动态管理。5.在此基础上,本文开发实现了基于设备指纹和行为可信的物联网访问控制原型系统。从逻辑视图、过程视图、实现视图、物理视图和场景视图完整介绍了系统的设计与实现过程。