逻辑感知提升智能家居安全

提升智能家居安全：将逻辑感知集成到智能家居

摘要

本文阐述了现有家庭自动化系统中的各种安全问题，并提出使用基于逻辑的安全算法来提升家庭安全。该研究根据使用情况将进入住宅的自然访问点分为主要和次要访问点。通过识别用户在这些访问点的正常行为，并在必要时请求用户验证，从而实现基于逻辑的感知。当各个访问点状态发生改变时，还会考虑用户位置。此外，该算法通过测量温度、湿度和一氧化碳浓度的变化来验证火灾报警的合法性，从而防御操纵性攻击者。本论文实验采用传感器、微控制器、树莓派和ZigBee通信相结合的方式，识别各访问点的用户行为并实现逻辑感知算法。实验中，所提出的逻辑感知算法在单间公寓成功运行一个月。在此期间，该算法能够检测所有主要和次要访问点的状态变化，并成功完成55次用户身份验证，产生14次警告和5次警报。

索引术语 — 家居自动化，智能家居，无线传感器网络，访问控制， ZigBee。

I. 引言

研究人员自20世纪70年代末以来一直在试验并改进智能家居的概念。随着技术的进步，电子设备和互联网变得越来越普及且价格实惠，因此家庭自动化概念以及人们对智能家居的期望发生了巨大变化。现代智能家居是各种普适计算设备和无线传感器/执行器网络[1]的复杂结合体。这些新的用户期望、复杂的电子设备以及不可预测的用户行为给家庭自动化带来了新的安全挑战。家庭自动化安全的概念也随着时间演变，传感器和执行器被集成到家中，以检测、警示和防止入侵。在过去，一个普通的家庭只需应对与常见的掠夺和抓捕罪犯不同，现代家庭必须应对那些技术娴熟的攻击者，他们知道如何寻找漏洞并操纵安全设备以获得访问权限或对住户造成困扰[2]。

尽管智能家居安全至关重要，但现有系统仍存在一些漏洞[3][4]。多年来，研究人员展示了与现代智能家居中使用的设备和技术相关的各种安全问题。现代智能家居中用于设备到设备通信的无线传感器网络容易受到各种路由[5]和虫洞攻击[6]的影响。智能家居中常用的通信技术如ZigBee和802.15.4容易受到重放攻击[7]的影响。所有这些因素导致了过去十年中入室盗窃案件迅速增加[8][9]，并凸显了现代世界中家庭安全的重要性。我们在智能家居安全方面的前期工作[10][11]解释了现代家居安全系统的演变角色，并定义了现代家庭自动化系统的功能：能够识别、报警并防止家庭中的入侵尝试，同时保留入侵或未遂入侵的证据，以便识别并起诉肇事者。

创新点 ：改善家庭安全并防御入侵的理想方法是识别家庭中的授权住户，并始终确定他们在家庭内部的位置，同时不给住户带来不便。鉴于人类行为的不可预测性以及家庭可能被客人和其他可信人员占用，这一目标极具挑战性和复杂性。识别家庭的访问点并控制对这些访问点的访问，是保障家庭安全的下一个合乎逻辑的步骤。本文提出，用户在家庭访问点的正常行为遵循一组可预测行为。通过我们新颖的逻辑感知算法分析这些用户行为，可以区分正常与攻击行为。

工作的目标 ：
- 根据使用方式区分家中的主要和次要访问点。检测这些访问点处的所有用户动作。
- 了解接入点状态变化之后的用户行为。
- 通过使用我们的逻辑感知算法分析用户在各个访问点的行为，识别并隔离攻击行为。根据情况触发警告或发出警报。

本研究采用树莓派、微控制器和传感器来检测并区分各个访问点的正常与攻击性用户行为。

本文的其余部分组织如下：第二节讨论了关于智能家居安全的不同文献。第三节阐述了用于识别主要和次要访问点入侵的方法论。第四节描述了实验和硬件设置。第五节陈述了实验结果，并讨论了实验结果以及本工作的优势。最后，论文提出了该研究可能的未来方向。

II. 相关工作

B.N. Schilit 等人[12]提出使用红外（IR）网格和可穿戴身份识别（ID）徽章来确定用户在家中的位置，并预测用户动作的上下文。事实证明，红外（IR）网格在家庭环境中难以实现，而可穿戴ID标签则显得不方便，并且对于缺乏经验且粗心的用户会提供误导性信息。作者还提出了静态物体检测方法，通过用户相对于家中某个静态物体的位置来确定住户位置。然而，静态物体检测严重限制了家庭环境的灵活性，当这些静态物体被移动时，所提出的系统很容易被欺骗且无法自适应。J. Choi[13]等人的研究利用体温、脉搏、面部表情、室温、时间和位置来预测和学习用户上下文。他们的工作未能考虑到用户的体温、脉搏或面部表情可能会因心理状态、疾病等因素而发生变化。此外，他们的工作使用摄像头读取面部表情，一旦被技术娴熟的攻击者[14]攻破，将给家庭带来新的安全与隐私问题。

V. 贝洛蒂等人[15]指出，人们有时会做出冲动决策，这些决策可能是不可预测且不合理的。此外，O. 尤鲁尔等人[16]提出，上下文感知会因用户环境、对近期事件模式的先验知识、用户感知和上下文的不同而有所变化。在人们处于放松、冲动且行为不可预测的家庭环境中，准确预测各种用户动作的上下文极具挑战性。这使得上下文感知计算难以实现，除非系统对上下文具有深入的了解，而这需要复杂的感知技术和高处理能力。此类先进的感知技术和高处理能力使得上下文感知在智能家居中成为一种昂贵的方案。此外，在进行上下文感知计算时，系统会处理有关用户及其习惯的非常私密的信息，为了成功实施该概念，这些信息必须被共享，从而引发严重的隐私问题。S. 萨波纳拉[17]的研究表明，攻击者可以通过观察某一时刻的功耗来判断家中哪些设备正在运行。因此，在智能家居中实施完全基于上下文的安全系统既存在风险又成本高昂。因此，本文未考虑用户做出决策时所处的上下文。但重点关注各个访问点的用户行为。

A. Alheraish[18]讨论了一种使用短消息服务（SMS）的家庭自动化安全系统。该系统通过发光二极管（LED）和红外传感器监控家门的状态，以识别对家的未经授权访问。所提出的系统还允许合法用户通过短信控制家中灯光并设置四位密码。然而，用于识别入侵的LED和红外传感器可能容易被复杂攻击者伪造。通过短信向用户通知入侵并不是一种好的做法，因为用户可能不在手机附近，无法及时收到警报。

在他们的研究中，A.Z. Alkar 和 U. Buhur[19]开发了一种利用互联网实现对家的远程访问、并使用红外技术实现家庭内部设备通信的家庭自动化系统。他们采用RS232作为通信接口，并提出使用SSL证书来确保服务器真实性。但作者所提出的SSL证书使系统面临SSL证书颁发机构黑客攻击、虚假证书颁发机构和证书窃取等问题。此外，通过互联网基于用户名和密码的访问方式使家容易受到暴力破解、字典[20],和彩虹表攻击[21][22]的威胁。

S.R. Das 等人[23]提出了一种使用通用分组无线服务（GPRS）的基于iOS的家庭自动化安全系统。研究人员开发了一款可在客户端设备上运行的iOS应用程序。家中的设备和iOS应用程序通过云连接，云在此充当服务器。该系统使用摄像头、麦克风和运动传感器来保障家的安全。摄像头为运动触发，用户可通过客户端应用程序或网页浏览器在其支持GPRS的设备上查看视频画面。通过网页浏览器访问安全系统会带来一系列与浏览相关的安全问题，例如会话劫持、Cookie窃取和跨站脚本[24][25]。

由 K. Atukorala 等人提出的基于中央控制器的安全系统„智能眼‟[26]，使用 GPRS 实现了实时家庭自动化与监控系统。所提出的系统会在发生入侵时向用户发出警报，用户可随后通过实时摄像头查看家中的情况。每个家庭都连接到中央服务器，用户向服务器发送控制命令，家庭系统从中央服务器读取这些命令并执行。当家中设备状态发生变化时，会将信息发送至中央服务器，供用户访问。S. Tsai 等人提出的基于中央控制器的安全系统[27]，名为„智能网络家庭安全系统‟，未能集成任何现代安全硬件，也未考虑抵御复杂入侵尝试的防御措施。基于中央控制器的安全系统由于在中央控制器上汇集了大规模用户数据，引发严重的隐私和安全问题，并增加了大规模监控的风险。此外，基于中央控制器的安全系统不适用于单一孤立家庭。

D. M. Konidala 等人[28]的研究建议使用用于成功识别智能冰箱内部各种物品的射频识别（RFID）标签。该技术可进一步推广以提升家庭安全，但它要求家中的大多数物品乃至住户都配备RFID标签，考虑到人类容易遗忘的天性，这种做法既不方便也难以实施。

S. Lee 等人[29]使用红外（IR）网格来识别智能家居内部的住户位置。他们的研究在天花板上部署了多个红外传感器，构建了一个红外网格，用于预测家中的住户位置。随后，H. H. Kim 等人[30]提出使用贝叶斯分类器来提高家中住户位置预测的准确率。P. Kumar 和 P. Kumar[31]的研究利用 Arduino Uno 微控制器和红外运动传感器来识别家庭中的入侵尝试，当发生入侵时，相关信息通过 GPRS 发送至用户的个人数字助理（PDA）。在所提出的系统中，用户必须靠近手机才能收到入侵尝试的警报。此外，研究人员部署的红外传感器可能被技术娴熟的入侵者伪造。因此，本文不仅依赖红外运动传感器，还结合了超声波接近传感器、压力传感器、接触传感器和气体传感器用于入侵检测。

Y. Zhao 和 Z. Ye[32]提出了一种低成本且灵活的家庭安全系统，该系统通过短信向管理员发出入侵警报。他们的方法缺乏任何复杂的入侵检测算法来识别攻击尝试。

S. Morsalin 等人[33]提出了一种利用近场通信（NFC）标签、密码和指纹的家庭安全系统。该系统还配备了一个嵌入式全球移动通信系统（GSM）模块，通过机器对机器（M2M）通信将记录的密码发送到远程服务器。每次用户想要进入家中时，都必须输入密码并验证指纹，这带来了不便。该研究中提到的近场通信（NFC）标签可能被粗心的用户丢失，或被攻击者窃取。

P. H. Huang 等人[34]提出了一种通过分析视频进行火灾检测与识别的方法，但该方法成本较高，难以应用于智能家居场景。此外，该方法需要在家中内部安装摄像头，一旦被破坏，将对居住者的隐私构成严重威胁。本文所采用的火灾检测系统利用温湿度传感器和气体传感器来识别火灾。

III. 方法

A. 主要出入口

前门是任何住宅的主要出入口，住户通常使用此门作为进出家中的主要通道。根据建筑结构和住户需求，可能会有一个或多个主要出入口。本文提出使用运动和接近传感器来检测用户在主要出入口的行为。当用户离开有人居住的住宅时，安装在家内部出入口附近的运动和接近传感器会在门打开之前被触发。一旦用户走出并关闭门，运动和接近传感器将不再被触发。当有人进入空置房屋时，他们是从外部进入的，因此在门打开之前，运动和接近传感器不会被触发。一旦门被打开且用户进入家中，安装在内部的运动和接近传感器将被触发。

表一 主门可能处于的状态

状态	初始状态 →	中间状态	最终状态	运动传感器触发器	接近传感器触发器	Home
1	碳 → 氧	O				F
2	碳 → 氧	O				F
3	碳 → 氧	O				F
4	碳 → 氧	C				F
5	碳 → 氧	C				F
6	碳 → 氧	C				F
7	氧 → 碳	C				F
8	氧 → 碳	C				F
9	氧 → 碳	C				F
10	氧 → 碳	O				F
11	氧 → 碳	O				F
12	氧 → 碳	O				F
13	碳 → 氧	O				F
14	氧 → 碳	C				F
15	碳 → 氧	C				F
16	氧 → 碳	O				F
17	碳 → 氧	O				T
18	碳 → 氧	O				T
19	碳 → 氧	O				T
20	碳 → 氧	O				T
21	碳 → 氧	C				T
22	碳 → 氧	C				T
23	碳 → 氧	C				T
24	氧 → 碳	C				T
25	氧 → 碳	C				T
26	氧 → 碳	O				T
27	氧 → 碳	O				T
28	氧 → 碳	O				T
29	氧 → 碳	O				T
30	碳 → 氧	O				T
31	氧 → 碳	C				T
32	氧 → 碳	O				T

表一展示了当家处于已占用和空置状态时，主门在状态变化之前和之后的所有可能的初始状态、中间状态（用„→‟表示）、最终状态以及运动和接近传感器的触发情况。表II表示该算法在运行过程中可能遇到的特殊情况。表II中的状态仅由某些特定的先前状态触发，这些情况在本节（第三节A部分）中进行了解释。运动和接近传感器应被战略性地布置，以确保它们仅被家内部人员触发，而不会因开门或关门的动作而触发。传感器的布置还应确保任何通过门进出家的人都无法在不触发运动和接近传感器的情况下完成动作。该算法通过分析门打开或关闭前后多个接近和运动传感器的值来工作。门从初始状态到最终状态之间的时间段，以及算法中考虑的初始状态之前和最终状态之后的传感器值数量，可根据家的结构以及运动和接近传感器相对于门的位置而变化。

门状态改变后，该算法会考虑门状态改变之前接近和运动传感器的数值数量，以判断门是从内部还是外部打开的。初始状态改变后，算法会在一个称为“门观察时间”的特定时间段内持续观察门的状态；此期间的门状态称为门的中间状态。该算法在门观察时间内监测运动和接近传感器的数值，以识别用户在接入点的动作。

表一中的状态1至16仅在家中有人时被触发，而状态17至32仅在家中无人时发生。当家中有人且用户从内部打开一扇关闭的门时，接近和运动传感器会在开门过程中被触发。开门之后，用户可以选择：
(a) 打开门后，触发运动和接近传感器，保持门开着并返回屋内（表一中的状态1）。
(b) 打开门后，在未触发运动和接近传感器的情况下走出家外（表一中的状态13）。这会使住宅容易受到入侵者侵入，因此在经过一段固定时间后，家庭状态将变为空，用户再次进入家时需要验证其身份。当用户开门后离开且门保持开着时，算法更改家庭状态所需的时间称为“状态切换时间”。在更改家庭状态之前，算法会发出警告，提醒用户即将发生的状态改变。根据住宅位置、门与公共区域的接近程度以及用户偏好，该算法的状态切换时间可能会有所不同。

（c）走出并在门内关上门 算法允许的观察时间而不触发 门关闭后（状态）的运动和接近传感器 表一中的4）。当状态4在单人占用时发生当门观察计时器过期后，家的家庭状态从已占用变为空。
（d）在算法允许的门观察时间内从内部关闭门并返回，在门关闭后触发运动和接近传感器（表一中的状态6）。当家处于已占用状态且门打开时，可以从内部或外部关闭门。关闭门之后，根据用户的位置，用户可以回到家中或外出。这些状态将在下面讨论。
(e) 用户从内部关闭门并返回家中。在门关闭之前和之后，运动和接近传感器被触发（表一中的状态7）。
(f) 用户从内部关闭打开的门并走出家门，使家中无人。由于门是从内部关闭的，运动和接近传感器在门关闭之前被触发，但在门关闭之后传感器未被触发，因为用户已经离开（表一中的状态8）。触发状态8后，当门观察计时器过期时，家庭状态由已占用变为无人。
(g) 用户从内部关闭打开的门，并在门观察时间内再次打开并走出家外，leaving the door open。当用户从家中内部走向门时，运动和接近传感器在门关闭之前被触发。随后用户打开门，使之前的门状态（关闭）成为中间状态，当前状态（打开）成为最终状态。由于用户从家外执行最终状态，传感器在最终状态之后未被触发。由于用户已走出家外且门保持打开，“状态变化计时器”启动，计时结束后将家庭状态更改为 空（表一中的状态11）。
(h) 用户从内部关闭一扇打开的门，并在门观察时间内重新打开门并返回家中。与状态11类似，门在门观察时间内被关闭后再次打开，使得前者（关闭）成为中间状态，后者（打开）成为最终状态。运动和接近传感器在门关闭之前（初始状态）和门打开之后（最终状态）被触发，因为用户最初从内部出来关闭门，并在离开后重新进入家中（表一中的状态12）。

所提出的算法持续监控门和传感器值以检测不同的状态变化。表一中的某些状态（如状态2、3、5和15）只有在其先前状态为状态5或状态9时才会被触发。图2展示了所提出的系统在触发状态2、3、5和15之前所经历的状态。

显示状态2的转换以及状态9和状态10的转换；(b) 状态3的转换； (c) 状态5的转换 (d)家运行期间状态15的转换)

当用户从外部打开门时，会触发状态2。图2 (a) 显示了状态2的转换；当家处于有人居住状态且关闭的门在未触发运动和接近传感器的情况下被打开，但在开门之后传感器被触发时，将触发状态2。在单人居住家庭中，此类事件仅会在以下情况下发生：用户走出家门并使门保持打开（表一中的状态11和状态13），并且在状态变化计时器的过期时段内触发了状态5或状态9。当状态2被触发时，意味着用户重新进入

表II 特殊情况

状态	初始状态 →	最终状态	运动传感器触发器	接近传感器触发器	Home	算法操作
33	氧 → 氧	O			F	重置/开始 状态改变定时器
34	氧 → 氧	O			T	激活IVM

表III 特定状态的可能下一个状态

状态	可能的先前状态	IVM触发器	定时器状态
0	17, 19, 20, 27, 31, 32	No	None
1	0, 5, 6, 7, 9, 14, 15	No	None
2	5, 9	No	重置状态变化定时器
3	5, 9	No	继续状态更改定时器
4	0, 5, 6, 7, 9, 14, 15	No	None
5	5, 9	No	继续状态更改定时器
6	0, 5, 6, 7, 9, 14, 15	No	None
7	0, 1, 2, 10, 12, 16	No	None
8	0, 1, 2, 10, 12, 16	No	None
9	3, 10, 11, 13	No	继续状态更改定时器
10	3, 10, 11, 13	No	继续状态更改定时器
11	0, 1, 2, 10, 12, 16	No	启动状态变化计时器
12	0, 1, 2, 10, 12, 16	No	None
13	0, 5, 6, 7, 9, 14, 15	No	启动状态变化计时器
14	3, 10, 11, 13	No	重置状态变化定时器
15	5, 9	No	重置状态变化定时器
16	3, 10, 11, 13	No	重置状态变化定时器
17	4, 8, 17, 26, 22	Yes	启动身份验证定时器
18	无关	警报已触发，因此无定时器
19	4, 8, 22, 26	Yes	启动身份验证定时器
20	4, 8, 22, 26	No	None
21	无关	警报已触发，因此无定时器
22	4, 8, 22, 26	No	None
23	无关	警报已触发，因此无定时器
24	无关	警报已触发，因此无定时器
25	无关	警报已触发，因此无定时器
26	11, 13, 20, 27	No	None
27	11, 13, 20, 27	No	None
28	无关	警报已触发，因此无定时器
29	无关	警报已触发，因此无定时器
30	无关	警报已触发，因此无定时器
31	11, 13, 27	Yes	启动身份验证定时器
32	11, 13, 27	Yes	启动身份验证定时器
33	3, 10, 11, 13, 33	No	重置/启动状态更改计时器
34	20, 27	Yes	启动身份验证定时器

当状态11、13、4和8被触发时，单人居住家庭变为空。当触发状态11和13时，算法会如上文(b)和(g)所述使用状态变化计时器。当触发状态4和8时，如上文(c)和(e)所述，当门观察计时器过期时，家庭状态发生改变。门观察时间是一个相对较短的时间段到状态切换时间。

当某个状态被触发时，还会考虑门的先前状态，以准确确定可能的下一个状态以及家的占用状态。表III显示了在所提出的系统中，当家处于占用和空两种状态时，特定状态及定时器动作的可能的先前状态。每当家的状态从占用变为空时，算法会检查通往家的次要出入口是否安全。如果未安全，则向用户发出警告，提示其确保次要出入口的安全。图3展示了当家变为空时，对次要访问点进行检查的流程图。

当一扇打开的门首次从外部关闭然后再打开，且在初始状态和最终状态之前或之后均未触发运动和接近传感器时，将触发状态10。当先前状态为状态11、13或3，并且状态变化计时器仍在运行时，也会触发状态10。状态10也可以是状态10的先前状态，即状态10可以重复自身，直到状态变化计时器过期。类似地，状态9、14和16只有在其先前状态为3、10、11或13时才会被触发。在单人居住家庭中，触发状态14和16意味着用户已重新进入家中，因此状态变化计时器会被重置。

每当状态3、10、11和13被触发时（门保持打开且状态变化计时器正在运行），算法会持续监控前门和传感器直到另一个门状态被触发或状态变化计时器过期。当用户在状态变化计时器过期之前重新进入家并触发运动和接近传感器，而门状态未改变（门仍然保持打开）时，将触发表II中的状态33。由于用户重新进入了家，算法停止并重置状态变化计时器。在重置状态变化计时器后，由于门仍然处于打开状态，算法继续观察传感器值。当用户再次走出家而未改变门的状态（门仍然保持打开）时，触发传感器并启动状态变化计时器，该计时器在过期后将家庭状态更改为 空。因此，状态33可以是其自身的前一状态。

当房屋状态从空置变为已占用时，必须验证导致状态改变的人员身份。用于验证用户身份的技术可以多种多样，从简单的四位数密码、面部识别、视网膜扫描验证、指纹验证，到复杂的生物特征步态识别、静脉识别和语音识别。根据所保护区域、用户偏好和安全要求，可采用一种或多种身份验证机制(IVM)。用户身份验证应在称为“验证时间段”的固定时间内完成。当空置房屋的门被打开并有人进入时，验证计时器启动；当有效用户身份被确认后，计时器停止。若计时器超过验证时间段，则触发入侵警报。根据安全级别和用户偏好，入侵警报可以是用于吓退入侵者并提醒邻居的audible报警、用于通知有关部门的静音报警，或其他防御措施。“验证时间段”取决于用户习惯和IVM的位置。图4说明了空置房屋的门被打开时的算法流程。图5展示了该算法中的身份验证过程。

当家中无人且主门从外部被打开而未触发运动和接近传感器时。开门后，用户可以：
(i) 在算法允许的门观察时间内关闭主门并进入家中，在关门后进入家时触发运动和接近传感器（表一中的状态17）。当家中为空且用户开门进入后，必须在验证时间段内确认其身份。
(j) 让门保持打开并进入家，同时在移动到家中的过程中触发运动和接近传感器（表一中的状态19）。一旦门被打开，验证计时器即被触发，因此用户必须使用IVM验证其身份。
(k) 门开着，决定站在门口或走出房屋，且不触发运动和接近传感器（表一中的状态20）。触发状态20之后，门保持打开，因此算法持续监控运动和接近传感器直到另一个门状态被触发；每当在状态20之后运动和接近传感器立即被触发时，意味着有人通过打开的门进入家，从而从表II触发状态34，因此激活IVM并验证用户身份。
(l) 在算法允许的感应时间内关闭门，并在门关闭后（表一中的状态22）走出家门，且未触发运动和接近传感器。因此，在门的初始状态之前或最终状态之后均未触发传感器，且无人进入家中，因此未验证用户身份，家中保持空置且门处于关闭状态。

当在空置房屋中，关闭的门在初始状态和最终状态之前和之后通过触发运动和接近传感器而被打开时，将触发状态18。类似地，当关闭的门在初始状态和最终状态之前和之后通过触发运动和接近传感器而被打开并再次关闭时，会发生状态23。当打开的门被关闭，并且在初始状态和最终状态之前和之后触发了运动和接近传感器时，将触发状态24。同样，当打开的门被关闭然后再次打开，并在初始状态和最终状态之前和之后触发传感器时，会发生状态29。上述所有状态18、23、24和29均发生在门被打开之前就已触发接近和运动传感器的情况下，这种情况不会发生在空置房屋中。因此，当这些状态中的任何一个被触发时，无论之前的状态如何，都将立即触发入侵防御机制，而无需等待用户身份确认。

状态21、25、28和30发生在家中无人居住且关闭的门从内部被打开时。在空置房屋中，这种情况仅当有人通过次要访问点或其它方式进入房屋时才会发生。因此，无论先前状态如何，都将触发入侵防御机制，而无需激活IVM来确认用户身份。

当状态变化计时器在触发状态11或13之后过期，门保持打开且房屋变为空置；此时用户可触发状态26、27、31或32。当用户在未触发运动或接近传感器的情况下关闭打开的门时，触发状态26，这意味着门是从外部关闭的，且用户停留在外部。由于没有进入房屋，房屋状态仍保持为空，无需进行用户身份识别。在状态27中，用户在初始状态之前或之后未触发任何传感器的情况下关闭并重新打开门，这表示门是从外部关闭和打开的，且无人进入空置房屋。与状态26类似，在状态27中房屋仍保持为空，且无人进入房屋，因此无需用户身份识别。状态27可以以自身作为前一状态，从而形成重复。触发状态27后，门保持打开，因此算法继续监控运动和接近传感器，直到触发另一个门状态。与状态20类似，每当在状态27之后立即触发运动和接近传感器时，表示有人通过打开的门进入了房屋，因此激活IVM并验证用户身份。

当用户关闭打开的系统时，系统进入状态31门并返回家中，触发运动和接近传感器。系统无法确定重新进入家中的人员的身份，因此激活IVM以验证用户身份。在状态32中，用户关闭一扇打开的门，然后再次打开并返回家中，触发运动和接近传感器。与状态31类似，在触发状态32之后，需要验证用户身份。

状态11和状态13之后，如果用户在状态变化计时器已过期后重新进入家并触发传感器，但门的状态未改变（门保持打开），算法将激活IVM以验证用户身份。IVM位于家中内部，每当成功验证用户身份后，家即变为已占用状态，所有门的先前状态均被清除，当前状态设置为状态0。

如果住宅中有多个主要接入点，为了确定用户在各个接入点的动作，必须在每个接入点部署运动和接近传感器。在单人居住家庭中，用户一次只能使用一个主要接入点进出。

从家中离开。该算法可独立地在每个主要出入口实施。当一个以上的主要出入口处于打开状态，且用户走出家门并使门保持开启时，状态变化计时器将启动，算法会监测每个打开的主要出入口处的运动和接近传感器读数，因为用户可能通过任何一个打开的主要出入口重新进入家中。如果任一打开的出入口处的接近和运动传感器被触发，则状态变化计时器将重置。如果所有接近和运动传感器均未被触发，则在状态变化计时器到期后，算法将家庭状态更改为“空”。当用户在未改变门的状态下重新进入家中时，对应出入口将触发表II中的特殊情况34，并激活IVM，要求用户确认其身份。当重新进入的用户改变了主要出入口状态时，对应出入口将触发表一中的相应状态。

仅当用户关闭了一个主要出入口且家庭状态变为空置时，才会检查其他主要出入口的状态。如果用户关闭了一个主要出入口并导致家庭状态发生变化，这可能意味着用户正离开家附近，因此算法会检查其他主要和次要出入口的状态，并在它们处于开启状态时提醒用户将其关闭。如果用户在保持某个主要出入口开启的情况下通过该出入口离开，并且在状态变化计时器到期后家庭状态被更改为“空置”，则表明用户可能仍在靠近房屋的区域，此时不会检查其他主要出入口的状态以提醒用户。当用户重新进入空置房屋时，IVM 将被触发，无论其他任何主要出入口的状态如何，都会对用户身份进行验证。

当多个访问点处于开启状态时，如果用户通过其中一个访问点离开家并使其保持开启状态，随后通过另一个开启的访问点进入家，且在状态变化计时器过期之前未改变其状态，则该特定访问点将触发表II中的特殊状态33。如果用户改变了其进入时所使用的主要出入口的状态，则该访问点将触发表一中对应的状态。系统会结合用户进出家所使用的各个访问点的运动传感器触发与接近传感器触发之间的时间差以及接入点之间的距离，来区分正常用户行为与隐蔽攻击行为。该算法考虑了用户在访问点之间移动所需的最短时间，以识别攻击行为。

B. 次要出入口

阳台门和窗户构成了家中的次要出入口。在典型的住宅中，阳台门通常不用作进出家的主要出入口。通常阳台门通向一个相对安全且私密的区域，有时甚至位于几层楼高处。因此，在家中有人时，这些阳台门可以长时间保持开启状态。当家处于空置状态时，细心、有手段且熟练的入侵者可能会利用这扇门进入家中。为避免这种情况，阳台门必须当家处于空置状态时，阳台门应保持关闭。此外，当家为空置时，阳台门在任何情况下都不应被打开。该算法会持续监控阳台门的状态，因此在空置房屋中，一旦阳台门被打开，系统将立即触发入侵防御机制，而无需等待任何身份验证。

在典型的家庭环境中，窗户通常是在内部从内部打开的
因此，通过在家中窗户附近的内部放置运动和接近传感器，我们可以识别窗户是从内部还是外部打开的。接近和运动传感器应进行战略性部署，以确保在不触发传感器的情况下无法从内部打开窗户。与阳台门类似，当家中无人时，不应打开窗户，因此当家中为空且窗户被打开时，系统将立即触发入侵防御机制，而无需等待身份确认。此外，当家中有人且窗户从外部被打开，但未触发放置在窗户附近的运动和接近传感器时，系统将触发警告并要求用户确认其身份，因为在正常情况下，很少会从外部打开窗户。

所提出的系统还会观察用户睡觉的床，以确定用户是否在床上。该算法通过监测放置在床垫下方的压力传感器读数，来判断用户是否占用床铺。多个压力传感器被放置在床垫下方，用于识别床上不同区域的受力情况。算法利用这些传感器读数来区分用户占用床铺与外来物体放置在床上的情况。要识别床是否被占用，并区分用户与床上的外来物体，无需对床下受力进行高精度测量。当床为空时，其受力明显小于用户占用时的情况。

在单人居住家庭中，如果用户在床上时任何出入口状态发生变化，则表明住宅发生入侵。如果这种情况发生在夜间，入侵的可能性会显著增加，因为大多数入侵者倾向于利用黑暗作为掩护来潜入目标。因此，如果用户在床上，且在晚上10:00至早上6:00之间的夜间时段内，任一主要或次要出入口状态发生变化，算法将立即激活入侵防御机制，而无需等待身份验证。如果该情况发生在白天的早上6:01至晚上9:59之间，算法将触发警告，提示访问点状态变化，并要求用户确认其身份。警报触发的时间可根据用户偏好、住宅位置、次要出入口的外部可达性等因素进行调整。在某些情况下，由于风力作用，阳台门或窗户可能在用户在床上时被自动关闭而无需用户干预，因此所提出的系统在判定入侵前也会考虑此类情况。

即使存在两个以上的次要出入口，该算法仍可通过单独观察每个次要出入口，并对窗户实施逻辑感知算法，实时识别入侵尝试以及在必要时考虑用户在床上的位置。

C. 火灾报警器

B. 费拉迪[2]的工作讨论了现有智能家居架构中的弱点，并演示了攻击者如何破坏家庭中的各种联网设备。将住户从家中引出的最简单方法是触发火灾报警器等紧急警报。当火灾报警器被触发时，家中的所有自动锁都会被解除。在发生家庭火灾时，起火区域的一氧化碳浓度和环境温度会上升，而该区域及周围湿度则会下降。如果湿度、温度或一氧化碳浓度没有发生变化，算法将向用户发出可能存在攻击尝试的警告，用户可对此进行核实。

将温度、湿度和一氧化碳传感器读数的每十二秒平均值进行比较，以检测火灾。如果十二秒平均温度之间的差异超过 2°C，且十二秒平均湿度存在3%的差异，则验证触发的火灾警报。一氧化碳传感器需要约24小时才能稳定，因此只有在系统已激活至少24小时后才考虑一氧化碳读数。如果所采用的MQ 9气体传感器在十二秒内的平均Rs/Ro电阻值小于8.9，则确认火灾报警器已触发。每当火灾报警器被触发时，所提出的算法会检查火灾区域的一氧化碳、温度和湿度水平，以确保警报是由火灾引发，而非由恶意攻击者操纵所致。所提出的系统采用MQ 9气体传感器、温湿度传感器来检测家中的火灾。

当发生异常情况时，会触发警告以引起用户注意。在所提出的系统中，以下情况将生成警告：
（a）当用户离开家并走到外部，且门处于打开状态，同时状态变化计时器即将过期时；当状态变化计时器剩余20秒时，将触发警告，以提醒用户家即将很快变为“空”状态。收到警告后，用户可以选择返回家中，触发运动和接近传感器，或选择忽略警告，让家在状态变化计时器结束时变为“空”状态。
（b）当家变为“空”状态，且至少有一个次要出入口处于不安全状态时；算法会向用户发出有关未关闭的次要出入口的警告。用户收到警告后需返回家中并将次要出入口设为安全状态。警告将持续存在，直到所有次要出入口均被设为安全。
（c）当家处于“已占用”状态时，若有一个或多个次要出入口的窗户从外部被打开，则激活身份验证计时器，并要求用户确认其身份，因为在正常操作情况下，很少会从外部打开窗户。
（d）当用户在床上时，在早上6:01至晚上9:59之间，任意次要出入口的状态发生改变，系统将要求用户确认其身份，并启动身份验证计时器。因为白天当用户在床上时，次要出入口的状态发生变化的可能性较小，所以启动该机制。
（e）在湿度、环境温度或一氧化碳浓度没有足够变化的情况下，火灾报警器被触发。该警告会提醒用户可能存在火灾报警器的操纵行为，用户可现场进行核实。

当算法确定家中发生入侵时，会触发警报。通常情况下，当用户未能在身份验证时间内确认其身份，或连续三次身份验证失败时，将触发警报。当家中为空时，若主要出入口从内部被打开，算法无需等待身份验证即会发出警报。同样，当家中为空时，若任何次要出入口被打开，也会立即触发警报，无需等待用户身份确认。当用户在床上且在晚上10:00至早上6:00之间，任何关闭的次要出入口状态发生变化时，警报将被激活，且无需等待用户身份确认。该算法使用警报作为主要的入侵警示机制。

当家中有多个住户时，主门的状态保持不变。当出现使家庭状态变为空的情况时，系统会要求用户确认空置状态的改变。当家处于无人居住状态时，用户确认状态为空，算法将家庭状态更改为“空”。无论住户数量如何，只要家中为空，第三节中提出的防御机制即适用。当公寓中有额外住户时，次要访问点在白天和夜间的行为会发生变化。如果住户使用同一张床睡觉，则会分析他们共同在床上以及单独在床时对应的力传感器值，以确定夜间床上住户的占用状态。如果两人都在床上，且在夜间（晚上10:00至早上6:00）有任何关闭的次要出入口被打开，则触发警报；若发生在白天（早上6:01至晚上9:59），则触发警告，算法会要求用户确认其身份。如果住户使用不同的床，则考虑来自不同床的力传感器读数来确定用户在床上的占用情况。

IV. 硬件与实验设置

所提出的家庭访问监控与控制机制采用树莓派3实现，该设备配备 4× ARM Cortex‐A53处理器（运行频率为 1.2吉赫兹）、博通VideoCore IV图形处理器、1GB LPDDR2（900兆赫兹）内置内存、一个10/100兆比特每秒以太网端口、2.4吉赫兹802.11n内置无线适配器，以及一张32GB Class 10微型安全数字（SD）卡作为硬盘存储。树莓派运行专为树莓派优化的Raspbian操作系统（OS）。该操作系统通过笔记本电脑烧录到SD卡上，然后将SD卡插入树莓派中。算法使用Java作为编程平台，MySQL作为数据库。Java 7开发工具包和MySQL通过APT（高级打包工具）从Debian软件仓库安装到树莓派中。

在接入点处，使用基于ATmega328P芯片的 Arduino Uno微控制器进行数据采集。Arduino Uno模块具有14个数字输入/输出引脚（其中6个可用作脉冲宽度调制（PWM）输出）、6个模拟输入、一个USB连接端口、一个16 MHz陶瓷谐振器、一个电源插孔、一个在线串行编程（ICSP）接口头以及一个复位按钮。Arduino具有良好灵活性，提供多种数字和模拟引脚，可通过USB连接到 PC，既可独立运行，也可作为与PC连接的接口使用。Arduino成本低廉，是一个开源项目，并拥有强大的在线社区支持。实验中的每个微控制器均通过USB连接到PC，并使用Arduino集成开发环境（IDE）进行编程。

在门窗处使用微动/限位开关来检测门窗的状态。采用可调节的被动红外（PIR）运动传感器和能够进行非接触式测量（范围为2厘米至400厘米）的HC‐SR04超声波距离传感器，用于识别靠近出入口的家中的用户活动。任何温度高于绝对零度的物体都会以辐射形式发射热能，这种辐射虽然肉眼不可见，但可以被PIR传感器检测到。此处使用的PIR传感器的视场角小于180°。

微控制器与树莓派之间的通信是无线的。无线通信技术易于安装并能降低系统成本。我们考虑了多种无线技术，如Wi‐Fi和蓝牙。Wi‐Fi因功耗高、成本高而被舍弃，蓝牙则因功耗高、范围有限以及安全问题而被舍弃[36]。所提出的系统采用基于IEEE 802.15.4标准的ZigBee技术实现，通信范围在10至100米之间。ZigBee支持大规模网络配置，并利用低功耗无线电，具备250 kb/s的数据速率能力。这些特性使ZigBee成为智能家居网络中的理想通信技术。此外，许多针对ZigBee的安全通信技术[37] –[39]已被提出并成功实施，这使得ZigBee成为一种相对安全的无线通信技术。

实验在一个单间公寓中进行，持续时间为一个月。该公寓位于一栋六层公寓楼的二楼。阳台门通向一个面积为 15平方英尺的小阳台，位于二楼。只有通过家内或攀爬建筑物才能实现对阳台的物理访问。前门通向一个公共区域，公寓楼的所有住户均可进入该区域。公寓的窗户位于二楼，因此在正常情况下不会从外部打开。开着的阳台门或窗户有可能被风吹关，但在任何情况下，关闭的窗户或门都不会在无人为干预的情况下自行打开。主门作为主要出入口，无法在没有用户干预的情况下被关闭或打开。为了获取逻辑传感参数[40, 41], ，考虑了家中的四个主要位置：主要出入口（进出公寓的主门）、次要出入口（阳台门和窗户）、用户睡觉的床、以及收集火灾检测参数的厨房。图 6显示了实验期间公寓内传感器部署的布局和位置。

设计了四个板子以获取逻辑传感参数。板I部署在主要出入口附近。它由导线连接到接近、运动和接触传感器，以获取各种逻辑传感参数。该板连接到Arduino Uno模块，该模块为传感器提供电源。Arduino Uno微控制器随后连接到ZigBee通信模块[42, 43]。图7 (a)显示了板I和微控制器在主要出入口的部署，图7 (b)显示了板一在主要出入口的安装[44]。板II部署在次要出入口附近。它连接有两个接触传感器、一个运动传感器和接近传感器。每个接触传感器分别连接到窗户和阳台门。运动和接近传感器部署在窗户附近，用于识别窗户打开前的用户移动。板II还预留了与板IV的连接接口，板IV连接到床的力传感器。与板I类似，板II也连接到Arduino Uno微控制器，该微控制器为板供电，并通过ZigBee模块将传感器值传输到树莓派。图7 (c)显示了板二在次要出入口的安装，图8 (a)显示了板 II和微控制器在次要出入口的部署。

主要出入口处的传感器、板和微控制器部署；(b) 主要出入口处的板一安装；(c) 实验设置中次要出入口处的板二安装)

板III 部署在厨房，连接了 MQ 9一氧化碳传感器 和 DHT 11温湿度传感器。板III 用于测量一氧化碳，检测该区域的温度和湿度水平以发现火灾。与板I和板II类似，板III依赖Arduino Uno模块供电，并通过ZigBee模块进行通信。图8(b)为板III在厨房中的安装示意图。板IV部署在床附近，连接有两个直径为0.5英寸的圆形力敏电阻。两个压力传感器均部署在床垫下方。一个位于用户肩部放置的区域，另一个靠近中部，通常是用户的腹部和骨盆区域所处的位置。两个力传感器的满量程测量精度均为 ±5%。此外，实验中使用的压力传感器易于获取、成本低、柔韧性好，并且能够提供无阻碍的力测量。

显示次要访问点处的传感器、板和微控制器部署；(b) 实验设置中厨房内的三号板安装)

板IV通过导线与板II相连，和板II一样，它也从连接到板II的Arduino模块获取电源，并使用相同的ZigBee模块将数据传送到树莓派。简而言之，实验设置包括一个作为中央服务器的树莓派3，该服务器连接一个ZigBee模块，用于接收来自各个板的传感器数据，并连接一个蜂鸣器警报以提示入侵；四个连接各种传感器的板，用于收集逻辑传感参数；三个Arduino Uno板，各自带有电源并连接 ZigBee通信模块，用于将传感器数据发送到树莓派。每个Arduino Uno开发板的电源均通过移动电源供电。移动电源需要向Arduino开发板提供9V–1000mA直流输出。任何具有5000mAh或更高容量、且具备5V– 1000mA USB电源输出的可靠移动电源，均可满足备用电源需求。当通过USB转2.1mm直流9V升压线连接到 Arduino开发板时，移动电源输出的5V电压将升压至9V。移动电源通过5V–1000mA交流转直流适配器接入公寓的 230V–50Hz交流电源。即使公寓断电，Arduino Uno开发板和传感器仍可通过移动电源供电保持运行，并能够检测入侵尝试。与AA或AAA电池相比，移动电源在长时间内提供更可靠、更持久的电力供应，无需更换。此外，移动电源价格相对便宜、易于获取，并可在无需充电的情况下为Arduino开发板和传感器持续供电一周。

所有ZigBee通信均使用ZigBee Series 1模块实现。树莓派上的ZigBee模块配置为ZigBee协调器(ZC)，而连接到微控制器的模块则配置为ZigBee终端设备(ZED)。所有 ZigBee模块的数据速率均设置为9600比特每秒(bps)。所有实现的ZigBee模块均使用AES加密，为了增强安全性，协调器被配置为不允许非安全加入网络，因此在任何情况下加密密钥都不会以明文形式通过空中传输。每个ZigBee模块都使用免费的XCTU软件工具进行编程，该工具允许与 Digi射频模块通信。

MQ 9传感器使用5V供电电压和10 kΩ的负载电阻，可测量200ppm至1000ppm的一氧化碳浓度以及液化石油气和甲烷气体。MQ 9传感器可在温度范围为‐20 °C至 50 °C、相对湿度为95%、氧气浓度范围为2%至21%的条件下工作。随着一氧化碳气体浓度的增加，测量电压也随之上升。空气电阻Rs与Ro的比值给出浓度所测气体的空气电阻Rs，可以使用以下公式计算：
( )
其中Vcc是供电电压，V是传感器两端的测量电压。根据MQ 9传感器数据手册可知，洁净空气中Rs与 Ro的比值为9.9，因此将传感器置于洁净空气中，通过计算得到的Rs值，并利用以下公式求得Ro的值：
传感器在洁净空气中放置24小时以达到稳定状态，然后计算Ro值；计算得到的Ro值为2.05。随后将传感器板移至其工作区域并安装。在运行期间，使用计算得到的 Ro值来计算Rs与Ro的比值。

力传感器通过一个10 kΩ电阻连接到电路板，并使用 5V供电电压。该力传感器由厚膜聚合物(PTF)制成，当压力施加到传感器表面时，其电阻会降低。在实验中，通过测量电阻两端的电压来确定床位占用状态。力敏电阻 (FSR)通过以下公式计算：
( )
其中Vcc为供电电压，V为传感器两端的测量电压， R为连接的电阻。使用FSR，可计算出电导和施加的力。

运动传感器部署在距离前门2.5英尺的位置，接近传感器部署在距离前门3英尺的位置，以便它们仅能感知室内活动。用户的身份验证通过一台使用无线调制解调器连接到树莓派的笔记本电脑完成。笔记本电脑通过安全外壳协议(SSH)使用用户名和密码访问树莓派。用户输入八字符密码以验证其身份。一旦警报被触发，可以通过输入12字符密码来解除。主入口门的门观察时间设置为15秒，身份验证计时器设置为90秒，用户走出家门后主门保持开启状态，在家庭状态发生改变之前允许返回家中的时间（家庭状态变更定时器）设置为120秒。

V. 结果与分析

A. 结果

在一个月期间，主要出入口的状态改变了305次。该算法能够检测到所有这些变化，并通过识别和消除表一中提到的中间状态变化，将其减少到190次状态变化。最常被触发的状态是表一中的状态4，共触发了46次。而状态17被触发了33次，使其成为第二受欢迎的状态。状态13被触发了20次，成为第三多被触发的状态。状态6和状态1分别被触发了12次和11次。状态31发生了6次，状态19被触发了13次，状态9和状态16各被触发了五次；状态7、14和15各被触发了四次；状态5、11、20、22和26各被触发了三次；状态2、8、3、10、18、21、27、12、32各被触发了两次；其余状态在一个月时间周期内仅被触发了一次。状态23、24、25、28、29和30在一个月时间周期内未被触发。

该算法共生成了14条警告，其中8条与打开的主要出入口有关，3条与离开家之前未锁好次要出入口有关，另外3条与白天床被占用时打开阳台门有关。实验期间，入侵警报触发了5次，其中4次与主要接入点相关，1次与次要接入点相关。IVM触发了59次，用户成功验证身份55次。警报通过12字符密码解除5次。状态变化计时器启动了23次，而用户在状态变化计时器过期前重新进入家中的情况发生了15次，因此由于状态变化计时器超时导致家庭状态改变共8次。图9中的图表显示了主要接入点的状态变化次数、生成的警告总数、IVM触发、用户身份验证次数以及生成的警报数量。图10显示了频繁触发的状态（即状态1、4、6、9、13、17、19、31）的状态触发次数。

次要出入口状态改变了56次；阳台门状态改变了27次，窗户状态改变了29次。在阳台门状态改变的全部27次中，用户均在家，但其中有3次发生在用户在床上，因此产生了3次警告，并激活了IVM以及身份验证计时器，该计时器为当用户确认其身份后重置。有一次，由于风力作用，阳台门在用户躺在床上时关闭，因此未启动身份验证机制。在阳台窗状态改变的全部29次中，家始终处于已占用状态。有一次，在夜间用户躺在床上时，窗户从外部被打开；入侵防御机制（audible报警）立即触发，无需等待任何用户身份验证。图11显示了次要出入口、阳台门和窗户的状态变化次数、次要出入口触发IVM、以及由次要出入口引起警告和警报的总数。

MQ 9传感器值仅在传感器允许稳定24小时之后才被考虑。当未检测到一氧化碳时，测量电压在0.23V至 0.21V之间变化，计算得到的Rs值在20.73至22.27之间， Rs与Ro的比值在10.11至10.86之间。在传感器附近的封闭空间内点燃多根火柴以确定火灾发生时的传感器值。当检测到火灾和一氧化碳时，测量电压在0.26V至0.28V之间变化，计算得到的Rs值在16.85至18.24之间，Rs与Ro的比值在8.22至8.9之间。

火灾期间，还记录了温湿度传感器的十二秒平均值。火灾之前，公寓内部的十二秒平均温度为24 °C，12秒内平均温度升高了2.5 °C，达到26.5 °C，36秒后进一步上升至30 °C。火灾前公寓内的十二秒平均湿度为32%，火灾发生后12秒内下降了3%，降至29%，36秒后进一步下降至 25.5%。图12显示了MQ 9传感器在正常工作条件和火灾期间的测量电压、Rs值、Rs与Ro的比值以及温湿度传感器的值。

当床无人居住时，床顶部的力传感器的平均读数在0 到2牛顿之间，床底部的力传感器的平均读数在0到3牛顿。当堆放的书籍或一些重箱子等物体放置在床的不同区域时，肩部区域的平均力介于1到3牛顿之间，腹部区域的平均力介于2到4牛顿之间。当用户占用床时，部署在肩部区域的力传感器值平均在5到8牛顿之间变化，而部署在腹部区域的力传感器值则在7到10牛顿之间变化。

B. 讨论实验结果

状态1至16发生在家中已占用时。最常见的触发状态是状态4，当家中有人且用户从内部打开关闭的主要出入口，触发了运动和接近传感器，走出家门并随后将门关闭时，就会发生该状态。状态4通常在用户离开家时被触发。门关闭后，算法会等待15秒以检测任何中间状态变化；由于门保持关闭，系统将家庭状态更改为“空”。当用户从内部打开门，触发运动和接近传感器后返回家中，并再次让门保持打开从而再次触发传感器时，会触发状态1。状态7发生在用户从内部关闭打开的门并返回家中时，在初始状态之前和最终状态之后均触发了运动和接近传感器。

当用户从家中内部走出并关闭一扇打开的门时，发生了状态8：在用户走向门的过程中，运动和接近传感器在门关闭之前被触发；门关闭之后传感器未被触发。状态8之后，算法等待门观察计时器超时，并将家庭状态更改为“空”。当居住者从家中内部出来，打开一扇关闭的门，在门观察计时器过期之前再次将其关闭并返回家中时，触发状态6，使得门的打开状态成为一个中间状态。运动和接近传感器在门打开之前以及关闭之后均被触发。当用户从家中内部走出，将一扇打开的门关闭后又重新打开，并在打开门后返回家中时，发生状态12。运动和接近传感器在门关闭之前以及门打开之后均被触发。

当用户从家中内部触发运动和接近传感器，关闭一扇打开的门后又在门观察计时器超时之前重新打开该门，并在门的最终状态之后离开家且未触发传感器时，发生状态11。在状态11之后，门保持打开状态，家中无人，因此启动家庭状态变更定时器，在接近过期时向用户发出即将发生家庭状态改变的警告，并在过期时将家庭状态更改为“空”。当用户从家中进入，打开一扇关闭的门并触发运动和接近传感器，随后让门保持打开状态并离开家时，发生状态13。与状态11类似，在触发状态13之后，门保持打开，家中为空，因此启动家庭状态变更定时器，该定时器在过期时向用户发出警告并将家庭状态更改为“空”。在实验过程中，状态11和状态13共被触发23次。每当状态11或状态13被触发时触发的状态变化计时器已启动，因此家庭状态变更定时器已启动了23次。当打开的门从外部关闭且用户停留在外部时，运动和接近传感器在关门前后均未被触发，此时发生状态9。当状态9被触发时，正在运行的状态变化计时器不会重置，而是继续运行，因为用户并未重新进入家中，因此当计时器过期后，家庭状态变为空。当打开的门从外部关闭后再从外部打开，且在关门或开门前后均未触发任何运动或接近传感器时，将触发状态10。与状态9类似，在触发状态10后，状态变化计时器不会重置，而是继续运行，计时器过期后家庭状态变为空。状态9和状态10仅在先前状态为状态3、状态10、状态11或状态13时才会被触发。当关闭的门从外部打开，且在初始状态之前或最终状态之后未触发运动或接近传感器时，发生状态3。状态3发生在状态变化计时器运行期间，且先前状态为状态5或状态9时。由于在状态3中用户仍停留在家外，状态变化计时器未被重置，而是允许继续运行。

状态14发生在打开的门被关闭，且用户从外部返回家中时。在门关闭之前，运动和接近传感器未被触发，但在用户关门后进入家中时被触发。当用户重新进入家时触发状态14，家庭状态变更定时器被重置，但家庭状态未更改为“空”。当用户打开一扇关闭的门并返回家中时，触发状态2。当状态变化计时器仍在运行，且用户重新进入家中（先前状态为状态5或状态9）时，发生状态2，因此状态变化计时器被重置，而家庭状态保持不变。

当关闭的门在状态变化计时器仍在运行且先前状态为状态5或状态9时被打开并关闭，触发了状态15。在打开门之前，运动和接近传感器未被触发，但当用户重新进入家时，传感器在之后被触发门已关闭。与状态14和状态2类似，状态变化计时器被重置，但家庭状态未改变。当打开的门被关闭后再次打开，且家庭状态变更定时器仍在运行时，进入状态16。当用户从外部进入家时，在关门之前运动和接近传感器未被触发，但在用户开门进入后传感器被触发。与状态14、2和15相同，状态变化计时器被重置，但家庭状态未改变。每当状态14、2、15或16被触发时，状态切换计时器被重置，而家庭状态未更改为“空”。在实验期间，状态14、2、15和16共发生了15次，因此状态变化计时器被重置了15次。由于状态变化定时器到期，家庭状态从“已占用”变为“空”共8次，这导致算法产生了14个警告中的8个。在这8次用户重新进入家时，IVM被激活，并要求用户确认其身份。其中有两次用户忘记在重新进入时确认其身份，导致触发了5个入侵警报中的2个。

当房屋处于空置状态且主要出入口的状态发生变化时，将触发状态17至32。当房屋为空且有人从外部打开主门，在进入家中并关闭身后的门后触发了运动和接近传感器时，将触发状态17。当发生状态17时，表示有人进入了空置房屋，因此触发IVM。如果在身份验证时间段（90秒）内未完成用户验证，或验证失败，则触发警报。如果算法确认了用户身份，则家庭状态将从“空”变为“已占用”。

当一扇关闭的门从外部被打开，且用户使门保持开启状态并进入家中，触发了运动和接近传感器时，发生了状态19。由于用户进入的是空置房屋，必须验证用户身份，因此激活了IVM。状态17和状态19共触发了46次，占57次 IVM激活中的46次。在状态17和状态19之后发生的全部46次IVM激活中，用户身份均成功验证，未触发任何警报。当关闭的主门从外部被打开并再次关闭，而用户未进入家时，发生了状态22。在开门之前和关门之后，运动和接近传感器均未被触发。由于无人进入家，IVM未被激活，门保持关闭状态，因此算法等待门的另一次状态改变。触发状态22之后，可能触发的状态包括状态17、状态19、状态20和状态22。

当主门在外部被关闭，且在关门之前或之后均未触发运动和接近传感器时，触发状态26。在状态26被触发后，无人进入家中，因此无需进行用户识别。当主要出入口从外部被关闭后再打开，且在关门之前或开门之后均未触发运动和接近传感器时，触发状态27。在状态27被触发后，主要出入口保持打开状态，因此算法持续监控运动和接近传感器，直到另一个状态改变被触发，以确定用户是否进入家中。状态26和状态27仅在先前状态为状态11、状态13、状态27或状态20时才会被触发。

当关闭的门从外部被打开并保持开启状态时，触发了状态20。在开门之前和之后，运动和接近传感器均未被触发，因此在触发状态20时无人进入家中，IVM未被激活。与情况27类似，在触发状态20后，算法继续监测运动和接近传感器，直到发生另一次状态改变，以确定用户是否进入家中。在实验过程中，状态20共触发了三次；在这三次中，有一次用户重新进入家中但未改变门的状态，触发了表II中的特殊情况34。算法通过运动和接近传感器的触发识别了该动作，因此立即激活了IVM并确认了用户身份。另外两次，在用户关闭门并进入空置房屋后，状态20之后触发了状态31。

当用户关闭打开的门并进入空置房屋，在关门后触发了运动和接近传感器时，触发了状态31。在用户进入空置房屋时，用户身份得到了验证。当用户进入房屋时，主门被打开然后关闭，从而发生了状态32。当门被打开后，用户走进空置房屋，运动和接近传感器被触发，因此用户身份被验证。状态31和状态32共发生了7次，占IVM激活次数的七次。

状态21和状态18各被触发了一次。当这些状态被触发时，在门打开之前，运动和接近传感器已被触发。这种情况在空置房屋中不会发生。因此，在未等待用户身份确认的情况下即激活了入侵警报。这占到了生成的5次入侵警报中的2次。白天用户在床上时，有三次阳台门被打开，这是由于公寓内存在第二人所致；因此触发了3次IVM和警告。用户在用户验证计时器过期之前确认了其身份。另有一次，在状态13之后，状态变化定时器到期（家庭状态变为空）后，用户通过触发状态31重新进入家中，但忘记确认其身份，因此触发了入侵警报。在身份验证计时器过期之后触发。类似地，在进入状态13并经过状态变化计时器到期后，用户重新进入家中触发了状态27，但忘记确认其身份，因此触发了入侵警报。夜间当用户在床上时，阳台窗从外部被打开，但未触发部署在窗户附近家内部的运动或接近传感器。当用户在床上时，窗户永远不会从外部被打开，因此在未等待身份确认的情况下直接触发了入侵警报。

当发生火灾时，MQ 9传感器两端的测量电压上升， Rs与Ro的比值从无火时的10.86变为有火时的8.22。12秒平均温度在火灾发生时升高了2.5°C，平均湿度在12秒内下降了3%。当床处于无人居住状态时，力传感器仍会输出读数，因为它们被床垫的重量触发，传感器位于床垫下方。当在床的不同位置放置书籍堆或重箱子等物体时，由于这些物体的重量，传感器值增加，但床顶部和底部传感器的数值不会同时增加，因为所放置物体的重量分布不足以同时触发两个传感器。当物体靠近床的顶部放置时，肩部区域的力传感器值增加，而腹部区域的力传感器值保持恒定，仅有微小变化。类似地，当物体靠近床的底部放置时，腹部区域的力传感器值发生变化，而肩部区域检测到的力保持不变。

C. 特征与比较

本研究通过观察主要和次要访问点来识别逻辑传感参数并检测入侵，且不会因使用可穿戴标签或激光网格而给用户带来不便。与B. 希利特等人提出的安全系统[12]相比，该系统具有更高的实现便捷性和灵活性。该系统仅需最少的用户输入即可识别家中变为空置或有人居住的情况，能够观测家中的多个访问点，并推断家庭状态的变化。该算法能够成功预测家庭状态变化，并在必要时激活身份验证机制。

在他们的研究中，B. 费拉迪[2]通过窃听家庭网络中的ZigBee通信获取了系统访问权限并对其进行操控，并成功以明文形式捕获了加密密钥。本文所使用的所有 ZigBee无线通信均采用128位AES加密，且加密密钥从不在空中以明文形式交换，因此窃听攻击者将无法访问系统或对其进行操控。O. 尤鲁尔等人[16]利用上下文感知计算来提升家庭安全，通过保存、分析和共享有关用户行为和上下文的数据来识别用户上下文，但这引发了安全和隐私问题。在本文提出的工作中，访问点数据存储在位于家中的树莓派上的数据库中，并通过物理锁进行保护，仅限授权人员访问。此外，存储的数据不会被共享，并可进行加密以进一步提高安全性。

Morsalin 等人[33] 利用近场通信标签来预测用户在家中位置，用户每次想要进入其家中时都必须验证指纹并输入密码。论文中提出的安全算法未使用近场通信标签，从而降低了系统的复杂性并提高了用户便利性。此外，仅当有人进入空置房屋时才会触发 IVM。该算法还能够识别用户发起的次要访问点动作，并能将其与入侵者动作区分开来。

VI. 结论

本文通过使用不同的传感器来检测家中主要和次要访问点的用户动作。这些检测到的用户动作和行为与各个访问点的正常用户行为进行比较，以识别入侵或入侵尝试。