CN107592969A - 用于在受约束的环境中访问控制列表处理的系统、装置和方法 - Google Patents

用于在受约束的环境中访问控制列表处理的系统、装置和方法 Download PDF

Info

Publication number
CN107592969A
CN107592969A CN201680027071.8A CN201680027071A CN107592969A CN 107592969 A CN107592969 A CN 107592969A CN 201680027071 A CN201680027071 A CN 201680027071A CN 107592969 A CN107592969 A CN 107592969A
Authority
CN
China
Prior art keywords
equipment
access
control list
request
accesses control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680027071.8A
Other languages
English (en)
Other versions
CN107592969B (zh
Inventor
N·M·史密斯
M·G·阿格斯坦
N·黑尔特-谢勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN107592969A publication Critical patent/CN107592969A/zh
Application granted granted Critical
Publication of CN107592969B publication Critical patent/CN107592969B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

一种方法包括从第一设备接收要对系统的第一资源进行访问的第一请求,并且基于存储在系统中的第一访问控制列表来确定是否准许对第一资源的访问,第一设备具有第一相关性值,并且基于所述确定来准许对第一资源的访问;以及从第二设备接收要对所述系统的第二资源进行访问的第二请求,并且将所述第二请求转发给访问管理器服务以基于存储在与所述第二设备相关联的访问管理器服务中的第二访问控制列表来确定是否准许对所述第二资源的访问,所述第二设备具有第二相关性值,从所述访问管理器服务接收访问准许,并且基于所述访问准许来准许对所述第二资源的访问。

Description

用于在受约束的环境中访问控制列表处理的系统、装置和 方法
背景技术
与企业和云网络不同,物联网(IoT)网络理应在即使在中央服务器发生故障或不可用时也能运行。IoT网络可能被设计为在不利条件下能够生存;例如,当建筑物可能被烧毁、由于自然行为或由于物理世界的不幸而部分毁坏时。损坏建筑物的一部分导致在那里的IoT网络的损坏,不应该导致在建筑物未触动部分中的IoT网络的故障。安全机制是在生存能力情况中保持运营完整性的特征之一。
附图说明
图1是根据实施例的系统的框图。
图2是根据实施例的本地ACL的实现的框图。
图3是根据实施例的具有远程决策的本地ACL的实现的框图。
图4是根据实施例的ACL重定向的实现的框图。
图5是根据实施例的资源优化方法的流程图。
图6是可以使用实施例的示例系统的框图。
图7是根据本发明的另一实施例的系统的框图。
图8是根据另一实施例的可佩戴模块的框图。
具体实施方式
在各种实施例中,针对IoT类设备简化了访问控制策略的系统。另外,提供不同程度的分布和聚结,使得尽可能多的访问控制决策可以尽可能近地应用于设备(资源许可),如果不是由设备本身直接应用。
实施例使用用于描述IoT设备交互的相同名词和动词(例如,资源和约束应用协议(CoAP)命令)来定义访问策略,以便避免对诸如可扩展访问控制标记语言(XACML)、开放授权(OAuth)、安全断言标记语言(SAML)等访问控制语法的映射或转换。处理资源访问请求由端点设备(也称为资源服务器)应用。访问控制策略列表(ACL)资源捕获设备到资源的交互语义,并应用以资源可能被操纵的可能方式(例如,CRUDN,创建(Create),读取(Read),更新(Update),删除(Delete)和通知(Notify))来表示的允许/拒绝策略。其他行为被设想为IoT设备交互语义演变。
注意,ACL的表示也可以被认为是IoT资源。这种抽象允许使用用于与应用程序资源交互的相同的IoT消息传递机制执行安全操作。以这种方式,实现了诸如存储器和存储之类的系统资源的更高的互操作性和更有效的使用。
IoT设备通常是资源受约束的,因此对于使用多少设备资源来实现弹性属性vs.可扩展性属性进行折衷。例如,本地存储的ACL使得设备能够处理访问控制请求,即使当与网络其他部分的连接被阻止或者当授权服务器关停时。然而,由于设备资源有限,只有少量的ACL可以在本地驻留。可扩展性目标可以将请求者划分为弹性类别,其中对可能保护关键基础设施、保护生命或保护财产资产的设备的访问可能占用本地资源。不太关键的功能设备可以采用访问控制机制,其将访问决策提交到附近的但资源不那么有限的IoT设备。可扩展性的代价是网络延迟以及不得不依赖于相邻IoT设备的单点故障成本。另一类设备可能依赖中央服务来发布ACL策略,但这些设备可能暂时占用设备资源。在有效期内,与中央设施的连接可能被切断,但是维持了访问控制。完全可扩展的解决方案依赖于用于所有ACL处理和决策的中央服务。中央策略服务的连接或运行失败导致设备访问失败。
使用一个实施例,访问控制机制可以为IoT网络拓扑量身定制。例如,设备资源可以按照设备功能进行划分,因其与弹性目标相关。特别是:ACL结构以与设备资源和功能范围相同的格式表示;ACL结构可以分布在许多设备上;ACL结构可以是自我完备的,使得端点设备可以完全应用策略(没有网络连接超出在请求设备(requesting device)和本地资源服务器之间可用的网络连接);ACL结构可以分为本地组件和远程组件,其中远程组件根据设备拓扑识别附近的辅助设备(helper device);ACL结构可被动态地供应并被本地缓存/存储,使得占用的空间可以根据请求设备的热图(heat graph)被重复使用;ACL结构可以由远程设备托管,使得来自特定请求者的所有请求被转发到指定的设备;ACL结构可以由远程设备托管,使得请求设备被重定向到远程设备,以获得准许对设备的特定资源或属性的访问的单用途令牌。
在一个实施例中,选择要使用的ACL结构由网络设置实用程序确定,该网络设置实用程序帮助网络设计者确定哪些设备功能对于保护关键基础设施、半关键基础设施、保护人类生命、保护健康和实物财产是有用的。关于对实物资产和网络资产的潜在影响,可以针对弹性vs.可扩展性的权衡来做出判定。
现在参考图1,示出了根据实施例的系统的框图。IoT网络通常由子网络组成,其中网络的一部分被量身定制以改善IoT命令和控制的弹性、可用性和安全性,而网络的其他部分被优化以改善移动性、数据可用性和完整性。因此,访问管理系统可以被配置为适应这些差异和设计目标。
在图1的图示中,系统100包括在网络架构中被连接在一起的各种组件。第一网络部分110被配置为用于在该网络部分内的诸如IoT设备的各种设备的自主操作。通过网络100的分布式布置,安全策略可以跨不同网络部分内的节点层级分布。以这种方式,可以在第一网络部分110中本地做出“高可用性低延迟”的安全性决策,而随着安全决策跨网络的不同部分分布,可以遵循更大量的延迟和更低的可用性。
如进一步所示,网络100包括第二网络部分120,其可以被配置为,为ACL安全决策提供半自主操作。此外,第三网络部分130提供诸如根据传统的客户端-服务器模型,例如针对非安全和/或非关键操作做出更高延迟的ACL安全性决策。
如所看到的,这样的设备可以包括多个传感器设备1120-112n和多个致动器设备1140-114n。通常,传感器设备112可以被配置为感测一个或多个特定条件,例如一个或多个环境条件,与该设备或与另一个设备相关联的操作条件等。通常,致动器114可以被配置为执行某种类型的感测操作,并且基于一个或多个感测参数执行一个或多个动作。为了提供包括ACL处理在内的自主操作,这些设备中的每一个可以包括内部存储,用于存储对应的ACL,显示为ACL 1130-113n,每个ACL包括传感器设备112中的一个,以及ACL 1150-115n,每个包括在致动器设备114之一中。因此,传感器112和致动器115可以借助于所包括的该ACL用作为其自己的安全执行点。
为了高效地进行联网操作,包括状态、控制和其他操作,传感器112和致动器114中的每一个可以耦合到一个或多个主控制器116。一般来说,主控制器116可以向相应的传感器设备和致动器设备提供控制信息,以及从这些设备接收报告,所述报告可用于进行命令决策以及向网络的其他部分提供信息。在各种实施例中,主控制器116可以被配置为控制器(诸如给定硬件电路),其用于向传感器112和致动器115提供控制动作。还有,主控制器116可以接收对一个或多个安全策略的更新,并将这种更新的安全策略应用于传感器和/或致动器。
在图1的图示中,第二网络部分120可以被配置为包括各种组件,包括一个或多个辅助控制器125。在一个实施例中,这样的辅助控制器可以是各种类型的计算设备,诸如智能手机、平板计算机、个人计算机、服务器计算机等、网关或其他联网设备。辅助控制器125可以包括能够存储如本文所述的ACL的高速缓存存储器126,或可以与该高速缓存存储器126相关联。在一些情况下,存储在高速缓冲存储器126中的至少一些量的ACL可以例如至少临时地供应给第一网络部分110内的传感器设备112和/或致动器114中的一个或多个。
如进一步所示,资源访问请求可以在辅助控制器125内生成或从第一网络部分110内的设备接收,可以被路由到第三网络部分130。在各种实施例中,第三网络部分130可以由一种传统的客户端-服务器模型形成,其中存在可以实现为一个或多个服务器计算机(作为示例)的一个或多个计算设备135。中央服务器135可以被配置成为网络100提供集中的安全策略,并且使得能够利用网络向其他设备分发各种安全确定和执行动作。在各种实施例中,服务器计算机135可提供各种各样服务,包括云服务,企业服务,车间服务等。如所看到的,服务器计算机135可以包括存储136或以其他方式与存储器136相关联,在一个实施例中,存储136可以采用高速缓冲存储器的形式。在各种实施例中,存储136中的该数据库可以是用于给定网络的所有ACL的权威数据库。为此,响应于要进行ACL处理的请求,服务器计算机135可以发送认证令牌,其可以是单用途令牌,来准许对给定设备的所请求资源的访问,或响应于对ACL本身的请求,ACL可以至少暂时地向设备动态供应。
实施例通过支持用于ACL管理和操作的多种方法来实现安全目标。自主操作的IoT网络在做出决策和控制方面具有低延迟。资源访问决策开销要最小化。网络延迟是整体延迟预算的主要考虑因素。实施例可以通过将ACL存储在与托管有资源之处最靠近的传感器和致动器中来消除网络延迟。对于半自主操作,由于预期的策略更新频率,辅助控制器负责维护访问控制策略。然而,高效的低延迟操作可以在一段时间内或针对特定的一组设备来实现。在这种场景中,可以将临时ACL供应给自主操作的设备,同时,非安全关键的任务可能取决于辅助控制器的可用性。如果不可用,访问决策将被搁置,对安全关键功能的负面影响最小。
对于非安全关键操作,更传统的客户端-服务器方法可能是足够的,其中对于每个访问请求,可以构造授权令牌并将其呈现给资源主机以进行评估。资源主机可以验证发布令牌的服务,以确定请求是否被授权。然而,权衡(trade-off)是多次交换,在每次交换处都会导致网络延迟。因此,使用客户端-服务器操作无法满足实时的和近实时的控制应用。但是,如果存在大量请求实体,则服务器可以缩放比例以满足容量。
现在参考图2-4,示出了根据实施例的用于评估ACL策略的不同技术。请注意,每个技术可能针对特定的操作优化目标进行调整。
图2是可以支持最高的安全性要求的本地ACL的实现的框图。设备D1(客户端设备210)请求访问由资源服务器(设备5)(服务器设备220)所托管的资源R1。本地主机ACL策略允许对R1的R(读)访问。评估此策略,无需额外的网络延迟。
如图2所示,布置200包括客户端设备210和服务器设备220。通常,客户端设备210可以是服务器设备220中可用的资源的请求者。应理解的是,客户端和服务器设备可以在不同的实施例中采用许多不同的形式。然而,为了本文中说明的目的,假设客户端设备210是请求设备,例如主控制器或辅助控制器(如图1中所描述的),并且服务器设备220是给定的IoT设备,例如传感器设备或致动器设备(例如图1中所描述的),其在所示的情况下包括驻留ACL 225。如图所示,客户端设备210发出访问服务器设备220中包括的资源R1-R5中的特定资源R1的请求。反过来,服务器设备220访问ACL 225。如所看到的,ACL 225包括各种字段,包括主体字段226、资源字段227和许可字段228。如所看到的,主体字段226标识请求的来源,并且这里标识客户端设备210。资源字段227标识可被主体访问的一个或多个资源,这里包括被请求的资源R1,其可以是存储在诸如传感器寄存器或其他存储等特定位置的数据值。接下来,许可字段228指示被批准的许可的类型。在这种实例中,批准读(R)许可。因此,所请求的资源R1被提供在从服务器设备220到客户端设备210的回复中。注意,许可字段228可以指示要批准的一个或多个特定类型的许可。在IoT设备的实施例中,除了CRUDN(创建、读取、更新、删除以及通知)之外,这样的许可还可以包括允许发布的附加许可,并且因此可以提供发布许可。请注意,在某些情况下,ACL结构可以分为本地组件(ACL 225)和远程组件,其中远程组件根据设备拓扑结构识别可能在本地区域内或以其他方式与设备相关联的辅助设备。换句话说,可以使用本地组件来匹配本地驻留的资源,但是依赖于远程服务来提供访问许可指导。
图3是具有远程决策的本地ACL的实现的框图,其可以支持适度的高弹性和安全性目标。在该实现方式中,客户端设备D3(310)请求对由设备D5(320)托管的资源R3的访问,但是根据ACL条目325(具有主体字段326、资源字段327和分发字段328),访问决策被分发给访问管理器服务(AMS1)330。AMS具有指定D3的访问权限的ACL策略335(具有主体字段336、资源字段337和许可字段338)。原始请求由D5中继到AMS1,且响应R(读)被返回。对于中继的请求和响应,会产生额外的网络延迟,但由于AMS1稍微接近D5,因此可以满足既定的弹性和安全性目标。注意,在各种实施例中,访问管理器服务330可以是辅助控制器(如图1所示)或传统服务器(也在图1中示出)。
图4是ACL重定向的实现的框图,其可以支持对弹性的较低期望。这里,请求设备D4(410)请求访问由D5托管的资源R4(420)。最初,D5不具有合适的ACL策略,因此请求被拒绝或重定向到访问管理器服务(AMS1)(430)。这种情况因此可以反映按需供应流程,其中在该初始实例中,服务器设备420不具有用于该主体设备的存储的ACL。D4向AMS呈现该请求,AMS转而发出/签署满足该请求的临时ACL。D4将已签署的ACL传递给D5,然后重试该请求。因此,如图4中的虚线框所示,服务器设备420接收并存储ACL 425,其包括作为其组成部分的主体字段426、资源字段427和许可字段428。这次,该请求成功。只要ACL签名有效,相同内容的后续请求也可能成功。因此,可以将ACL的该高速缓存副本425至少临时地存储在服务器设备420中,以便为进一步的请求启用减少的延迟。这种技术的变体可能会产生一个令牌,该令牌包含对一次性使用许可(其允许访问)的授权。这可以是图3和图4的杂糅,并且可以限制对由资源定义的特定属性或接口的访问。
实施例可以进一步确定如何最好地利用各种传感器、致动器控制器和其他服务器的受限资源来优化安全性和弹性。现在参考图5,示出了根据实施例的资源优化方法的流程图,其可以用于在给定有限的设备资源的情况下确保安全和有弹性的操作。
作为一个示例,方法500可以经由网络设置实用程序来执行,网络设置实用程序协助网络设计者确定哪些设备功能可以被用来保护各种资源。在某些情况下,该实用程序可以在网络设计期间使用,以及在将设备配置入网(on-boarding)到网络中期间使用,这可以在已经配置好的网络(例如本文所述的分布式网络)的系统操作期间动态地进行。
如所看到的,方法500开始于根据安全相关性值(SRV)的等级来对系统设备进行定型(框510)。作为一个示例,可以将设备识别为是安全相关的,这是根据它们是否执行一个或多个安全关键功能。例如,紧急逃生路线可以包括紧急路径照明,使得逃生者可以在在烟线下方爬行的同时找到逃生路线。此外,逃生路线可以具有自动关闭以防止火势蔓延的门。此外,为了紧急情况被激活的门被防止锁定关闭,以便不阻挡逃生路线。安全分类方案还可能涉及安全等级的分配,其中在部署期间将设备标记为与安全考虑低度(L)相关、中度(M)相关或高度(H)相关。例如,具有H等级的设备可被赋予对加密密钥存储资源、本地设备上的访问策略以及CPU调度的优先访问权,以更好地确保安全关键操作可以以最少的外部依赖关系完成执行。这样的指定可以进一步涉及不同的安全模型的应用,例如使得对诸如AMS之类的外部支持服务的依赖最小化的模型。
在其他情况下,可能会将低、中、高级别分配给设备。无论如何,在向网络中的给定设备(安全性的和/或其他的)分配相关性值之后,可以为每个设备D执行访问控制策略生成循环。
如所看到的,该循环可以通过从系统的设备列表中选择设备Dn并确定该列表是否为非空(菱形515)而开始。若为非空(if not),则控制转到菱形520以确定设备D是否与设备Dn交互。如果是这样,则控制转到菱形525,在此可以确定这两个设备的安全相关性值是否至少近似相等。涉及H-H交互的设备与设备交互,可以被赋予高于M-M或L-L的调度和网络带宽优先权。在菱形325处,可以确定被标为H安全性的设备针对本地操作被赋予优先权。也就是说,本地资源首先被分配给H任务,并且如果约束环境被完全分配并且还有其他H操作要执行,则下一个最接近的地点(例如,辅助控制器)将对H请求赋予优先权,并且可能将M或L请求转发到远离地点的控制器的下一跳,等等。基于菱形525处的确定,控制转到菱形530以确定设备D是否具有足够的存储器资源来存储本地ACL策略(其将Dn命名为其主体)。如果是这样,则控制转到框535,其中可以在设备D中创建针对设备Dn的本地ACL并将其存储在设备D中。如上所述,该ACL可以存储至少包括主体字段、资源字段和许可字段等各种字段。然后控制返回到上面讨论的菱形515。
注意,如果在菱形530处确定设备D没有足够的存储器资源,则控制转到框540,在框540处可以向管理员/用户通知可能的安全考虑。响应于该通知,可以创建安全日志,其向安全审核员提醒网络状况,这可能是网络安全设计中的“弱点”的迹象。检查安全日志可能导致重新设计网络以消除安全缺口。注意,如果在菱形525处确定SRV不至少近似相等,则控制转到菱形550。具有安全奇偶校验(H-H)交互的设备交互被赋予高于M-M或L-L的优先权。注意,H-M或H-L交互可被赋予高于M-M或L-L的优先权。向日志写入安全相关事件可能是H-M或H-L关系的一个实例。
在菱形550处,可以确定是否存在这样的耦合到设备D的主控制器或辅助控制器,其具有足够的存储器资源来处理设备Dn的访问控制策略的维护,并且还显示对于设备D的低的网络延迟。返回参考图1,这样的主控制器或辅助控制器可以位于第一网络部分110或第二网络部分120中。如果存在这样的主控制器或辅助控制器,则控制转到框560,其中可以在这样的控制器中创建访问策略,该访问策略针对设备D的资源定义了访问权限。因此,这样的一个或多个ACL可以存储在这样的控制器中或与其相关联。
否则,如果在菱形550处确定不存在可用的主要或辅助控制器,则控制转到菱形570以确定设备D是否对访问管理器服务有访问权。如果是这样,则控制转到框580,其中可以在访问管理器服务中创建访问策略,其针对D的资源定义Dn的访问权限。因此,这样的ACL可以被存储在和/或与该访问管理器服务相关联。如果没有这样的访问管理器服务可用于由设备D访问,则控制转而转到上面讨论的框540。应理解的是,虽然在图5的实施例中以此高级别示出,许多变化和替代方案是可能的。
因此,实施例可以提供,在网络延迟可能阻止现有(互联网)方法进行授权管理的情况下,针对具有有限资源并且可能对安全操作具有强烈要求的IoT类设备的访问控制技术的组合。更具体地说,可以使用供应到本地设备存储器中的ACL,其中可以对被定型为需要强安全属性的请求者快速评估访问决策。还可以在主控制器或辅助控制器中供应ACL,其中ACL策略接近资源服务器(在资源服务器中应用访问决策)。
在实施例中,访问管理服务可以动态地构建本地评估的ACL并指定寿命,其中给定设备的后续请求可以在不招致生命期内的网络延迟开销的情况下得到履行。访问管理服务还可以发出在一次使用基础上授权对资源或该资源的属性进行访问的令牌。实施例还可以使用IoT网络管理和供应实用程序来建立安全相关性值,其也用于管理对于安全操作优化同时还对安全操作进行留存的有限设备资源。因此,可以根据IoT网络的拓扑和可用的设备资源来分配ACL表示。
现在参考图6,示出了可以使用实施例的示例系统的框图。如所看到的,系统900可以是智能手机或其他无线通信器或任何其他的IoT设备。基带处理器905被配置为对要从系统发送或接收的通信信号执行各种信号处理。反过来,除了诸如许多众所周知的社交媒体和多媒体应用之类的用户应用之外,基带处理器905耦合到应用处理器910,应用处理器910可以是系统的主CPU,用于执行OS和其他系统软件。应用处理器910还可以被配置为执行设备的各种其他计算操作。
反过来,应用处理器910可以耦合到用户界面/显示器920,例如触摸屏显示器。此外,应用处理器910可以耦合到包括非易失性存储器(即闪速存储器930)以及系统存储器(即DRAM 935)的存储器系统。在一些实施例中,闪速存储器930可以包括安全部分932,其中可以存储秘密和其他敏感信息。进一步看到,应用处理器910还耦合到捕获设备945,例如可以记录视频和/或静像的一个或多个图像捕获设备。
仍然参考图6,通用集成电路卡(UICC)940包括订户身份模块,其在一些实施例中包括用于存储安全用户信息的安全存储942。系统900还可以包括安全处理器950,安全处理器950可以实现如前所述的TEE并且可以耦合到应用处理器910。此外,应用处理器910可以实现安全操作模式,诸如用于对TEE进行托管的 SGX,如之前所述的。包括一个或多个多轴加速度计的多个传感器925可以耦合到应用处理器910以使能输入各种感测信息,如运动和其他环境信息。此外,一个或多个认证设备995可以用于接收例如用于认证操作的用户生物特征输入。
如进一步所示,提供了通过NFC天线965在NFC近场中通信的近场通信(NFC)非接触式接口960。虽然图6中示出了单独的天线,应理解的是,在一些实现方式中,可以提供一个天线或不同的天线组,以实现各种无线功能。
功率管理集成电路(PMIC)915耦合到应用处理器910以执行平台级功率管理。为此,PMIC 915可以向应用处理器910发出功率管理请求,以根据需要进入某些低功率状态。此外,基于平台约束,PMIC 915还可以控制系统900的其他组件的功率电平。
为了使得能够发送和接收诸如在一个或多个IoT网络中的通信,各种电路可以耦合在基带处理器905和天线990之间。具体地,射频(RF)收发机970和无线局域网(WLAN)收发机975可以存在。通常,RF收发机970可以用于根据给定无线通信协议诸如3G或4G无线通信协议等来接收和发送无线数据和呼叫,例如根据码分多址(CDMA)、全球移动系统通信(GSM)、长期演进(LTE)或其他协议。此外,可以存在GPS传感器980,当要在配对过程中使用上下文信息时,位置信息被提供给安全处理器950以如本文所述使用。还可以提供其他无线通信,诸如例如对AM/FM和其他信号的无线电信号的接收或发送。此外,通过WLAN收发机975,还可以实现诸如根据BluetoothTM或IEEE 802.11标准的本地无线通信。
现在参考图7,示出了根据本发明的另一个实施例的系统的框图。如图7所示,多处理器系统1000是诸如服务器系统的点对点互连系统,并且包括经由点对点互连1050耦合的第一处理器1070和第二处理器1080。如图7所示,处理器1070和1080中的每一个可以是诸如SoC的多核处理器,包括第一和第二处理器核(即,处理器核1074a和1074b以及处理器核1084a和1084b),但是处理器中可能存在更多的核。此外,处理器1070和1080各自可以包括安全引擎1075和1085,以执行安全操作,例如证明、IoT网络配置入网等等。
仍然参考图7,第一处理器1070还包括存储器控制器中枢(MCH)1072和点对点(P-P)接口1076和1078。类似地,第二处理器1080包括MCH 1082和P-P接口1086和1088。如图7所示,MCH 1072和1082将处理器耦合到相应的存储器,即存储器1032和存储器1034,存储器1032和存储器1034可以是本地附接到各个处理器的主存储器(例如,DRAM)的部分。第一处理器1070和第二处理器1080可以分别经由P-P互连1052和1054耦合到芯片组1090。如图7所示,芯片组1090包括P-P接口1094和1098。
此外,芯片组1090包括通过P-P互连1039将芯片组1090与高性能图形引擎1038耦合的接口1092。接下来,芯片组1090可以经由接口1096耦合到第一总线1016。如图7所示,各种输入/输出(I/O)设备1014可以耦合到第一总线1016以及将第一总线1016耦合到第二总线1020的总线桥1018。各种设备可以耦合到第二总线1020,包括例如,键盘/鼠标1022、通信设备1026、以及诸如非易失性存储器或其他大容量存储设备的数据存储单元1028。如图所示,在一个实施例中,数据存储单元1028可以包括代码1030。进一步可以看出,数据存储单元1028还包括用于存储要保护的敏感信息的可信存储1029。此外,音频I/O 1024可以耦合到第二总线1020。
实施例可以用于其中IoT设备可以包括可穿戴设备或其它小形状因数IoT设备的环境中。现在参考图8,其示出为根据另一个实施例的可穿戴模块1300的框图。在一个特定的实现方式中,模块1300可以是 CurieTM模块,其包括适配在可实现为可穿戴设备的全部或部分的单个小模块内的多个组件。如所看到的,模块1300包括核1310(当然在其他实施例中可以存在多于一个核)。这种核可以是相对低复杂度的有序核,诸如基于Intel QuarkTM设计。在一些实施例中,核1310可以实现如本文所述的TEE。核1310耦合到各个组件,包括传感器中枢1320,其可以配置为与多个传感器1380交互,诸如一个或多个生物测定传感器、运动环境传感器或其它传感器。存在电力输送电路1330,以及非易失性存储1340。在实施例中,该电路可以包括可充电电池和充电电路,在一个实施例中它们可以无线地接收充电电力。可以存在一个或多个输入/输出(IO)接口1350,诸如与USB/SPI/I2C/GPIO协议中的一个或多个兼容的一个或多个接口。此外,存在无线收发机1390,其可以是一个BluetoothTM低功耗或其他短距离无线收发信机,用于实现如本文所述的无线通信。应理解,在不同的实现方式中,可穿戴模块可以采取许多其他形式。
以下示例涉及另外的实施例。
在示例1中,一种装置包括:处理器;用于感测至少一个参数的传感器;用于存储所述至少一个参数的第一存储;以及用于存储与第一设备相关联的第一访问控制列表的第二存储。处理器可以被配置为基于第一访问控制列表来确定是否准许从第一设备接收到的要对装置的第一资源进行访问的访问请求。装置和第一设备可以耦合在分布式网络中,该分布式网络具有分布式访问控制策略,其中,装置本地地托管用于第一设备子集的访问控制策略,并且至少一个访问管理器服务远程地托管用于第二设备子集的访问控制策略。
在示例2中,示例1的装置从第二设备接收要对装置的第二资源进行访问的第二请求,并将第二请求转发给访问管理器服务,其中第二设备属于第二设备子集。
在示例3中,上述示例中的一个或多个的装置响应于从第三设备接收到的第三请求而向第三设备发送重定向消息,以使第三设备将所述第三请求发送到访问管理器服务,以使得与第三设备相关联的第三访问控制列表被动态地供应给第二存储。
在示例4中,第一设备子集包括安全相关设备,并且第二设备子集包括非安全相关设备。
在示例5中,第一设备属于第一设备子集,第一资源和第一设备具有共同安全标签,并且中间设备至少部分地基于包括共同安全标签的主体凭证而使访问请求能够被发送到装置。
在示例6中,第一访问控制列表包括:用于存储第一设备的标识符的主体字段,用于存储第一资源的资源标识符的资源字段、以及用于存储待准许给第一设备的一个或多个访问类型的许可字段。
在示例7中,上述示例中的一个或多个的第二存储用于存储第三访问控制列表,所述第三访问控制列表包括:用于存储第三设备的标识符的主体字段、用于存储装置的第三资源的资源标识符的资源字段、以及用于标识要对第三设备执行访问决策的分布式实体的分布字段。
在示例8中,上述示例中的一个或多个的装置至少部分地基于与第一设备相关联的相关性值而被动态地供应第一访问控制列表。
在示例9中,示例8的装置随后基于第一设备的请求活动而从第二存储中删除第一访问控制列表。
在示例10中,上述示例中的一个或多个的装置包括传感器设备。
在示例11中,上述示例中的一个或多个的装置还包括耦合在第一设备和装置之间的联网设备。联网设备可以被配置为使得能够将来自第一设备的第一通信递送到所述装置,其中第一设备和所述装置具有共同安全标签,第一通信具有与共同安全设备相关联的第一凭证。
在示例12中,一种方法包括:从第一设备接收要对系统的第一资源进行访问的第一请求,并且基于存储在系统中的第一访问控制列表来确定是否准许对第一资源的访问,第一访问控制列表与所述第一设备相关联,所述第一设备具有第一相关性值,并且基于所述确定来准许对所述第一资源的访问。该方法还包括,从第二设备接收要对系统的第二资源进行访问的第二请求,并将第二请求转发给耦合到系统的访问管理器服务,以基于存储在访问管理器服务中的第二访问控制列表来确定是否准许对第二资源的访问,第二访问控制列表与第二设备相关联,第二设备具有第二相关性值,从访问管理器服务接收访问准许,并且基于所述访问准许来准许对第二资源的访问。
在示例13中,该方法还包括:从第三设备接收要对系统的第三资源进行访问的第三请求,其中,在接收到第三请求时,系统不存储与第三设备相关联的第三访问控制列表;向所述第三设备发送重定向消息,以使得所述第三设备向所述访问管理器服务发送所述第三请求;从所述第三设备接收所述第三访问控制列表,所述第三访问控制列表是在所述第三设备中从所述访问管理器服务获得的;以及从所述第三设备接收要对所述第三资源进行访问的第四请求,并且基于存储在所述系统中的所述第三访问控制列表来确定是否准许对所述第三资源的访问。
在示例14中,第三访问控制列表包括已签署的访问控制列表,并且该方法还包括从第三设备接收要对所述第三资源进行访问的第五请求,并且如果已签署的访问控制列表的签名是无效的则阻止访问。
在示例15中,该方法还包括基于第一相关性值将第一访问控制列表存储在系统中,并且基于第二相关性值不将第二访问控制列表存储在系统中。
在示例16中,该方法还包括使第二访问控制列表存储在位于与系统共同的网络部分中的控制器中。
在示例17中,系统包括传感器设备,传感器设备包括用于存储第一访问控制列表的存储,并且其中传感器设备位于第一网络部分中并且耦合到位于第一网络部分中的控制器,所述控制器包括用于存储所述第二访问控制列表的所述访问管理器服务。
在示例18中,对第一资源的访问准许包括以下之一:创建、读取、更新、删除、通知和发布访问。
在示例19中,该方法还包括将第一访问控制列表动态地供应到系统中,并且此后基于第一设备的请求活动从系统中删除第一访问控制列表。
在示例20中,该方法还包括,从访问管理器服务接收授权令牌,验证授权令牌,以及响应于所述授权令牌的验证使得第四设备能够访问所述系统的第四资源。
在示例21中,该方法还包括从请求者设备接收对所请求的系统的资源进行访问的资源访问请求,将资源访问请求重定向到访问管理器服务,之后接收访问管理器服务生成的令牌,并准许对所请求资源的访问。
在另一示例中,包括指令的计算机可读介质执行上述任何示例的方法。
在另一个示例中,包括数据的计算机可读介质由至少一个机器使用以制造至少一个集成电路以执行上述示例中的任一个的方法。
在另一示例中,装置包括用于执行上述示例中任一个的方法的单元。
在示例22中,系统包括:至少一个传感器设备,包括处理器和用于存储与第一设备相关联的第一访问控制列表的存储,其中处理器基于所述第一访问控制列表来确定是否准许从第一设备接收的要对所述至少一个传感器设备的第一资源进行访问的访问请求,所述至少一个传感器设备和所述第一设备耦合在分布式网络中,该分布式网络具有分布式访问控制策略,其中,所述至少一个传感器设备本地地托管用于第一设备子集的访问控制策略,并且至少一个访问管理器服务远程地托管用于第二设备子集的访问控制策略,所述至少一个传感器设备位于第一网络部分中。所述系统还可包括耦合到所述至少一个传感器设备的第一控制器,所述第一控制器控制所述至少一个传感器设备,所述第一控制器包括用于存储第二访问控制列表的第二存储,并且基于所述第二访问控制列表确定是否允许第二设备访问所述至少一个传感器设备,所述第一控制器位于第二网络部分中。
在示例23中,第一网络部分包括自主网络部分,而第二网络部分包括半自主网络部分。
在示例24中,上述示例中的一个或多个的系统还包括耦合到第一控制器的服务器,服务器包括访问管理器服务以及用于存储第三访问控制列表的存储。访问管理器服务转而基于第三访问控制列表来确定是否允许第三设备访问至少一个传感器设备,服务器位于网络的第三部分中。
在示例25中,访问管理器服务将第三访问控制列表作为临时访问控制列表动态地供应给至少一个传感器设备,以使得至少一个传感器设备可以在时间窗口内执行关于第三设备的访问控制决策。
在示例26中,系统包括:用于感测的传感器单元。传感器单元可以包括处理器单元和用于存储与第一设备相关联的第一访问控制列表的存储单元,其中处理器单元用于基于第一访问控制列表确定是否准许从第一设备接收到的要对至少一个传感器设备的第一资源进行访问的访问请求。传感器单元和第一设备可以耦合在分布式网络中,分布式网络具有分布式访问控制策略,其中,传感器单元本地地托管用于第一设备子集的访问控制策略,并且至少一个访问管理器服务远程地托管用于第二设备子集的访问控制策略,所述传感器单元位于第一网络部分中。所述系统还可以包括耦合到所述至少一个传感器设备的第一控制器单元,第一控制器单元控制所述至少一个传感器设备,所述第一控制器单元包括用于存储第二访问控制表的第二存储单元,并且基于第二访问控制列表确定是否允许第二设备访问传感器单元,第一控制器单元位于第二网络部分中。
在示例27中,第一网络部分包括自主网络部分,而第二网络部分包括半自主网络部分。
在示例28中,系统还包括耦合到第一控制器单元的服务器单元,服务器单元包括访问管理器服务和用于存储第三访问控制列表的存储单元。接下来,访问管理器服务是基于第三访问控制列表确定是否允许第三设备访问传感器单元,服务器单元位于第三网络部分中。
在示例29中,访问管理器服务将第三访问控制列表作为临时访问控制列表动态地递送到传感器单元,传感器单元在时间窗口内执行关于第三设备的访问控制决策。
实施例可以用在许多不同类型的系统中。例如,在一个实施例中,通信设备可被布置成执行本文描述的各种方法和技术。当然,本发明的范围不限于通信设备,相反地,其他实施例可以涉及其它类型的:用于处理指令的装置,或者包括响应于在计算设备上被执行而使得设备执行本文描述的一种或多种方法和技术的指令的一个或多个机器可读介质。
实施例可以以代码实现,并且可以存储在其上存储有指令的非暂时性存储介质上,所述指令可用于对系统进行编程以执行指令。实施例也可以是以数据实现的,并且可以存储在非暂时性存储介质上,其如果由至少一个机器使用,则使该至少一个机器制造至少一个集成电路以执行一个或多个操作。存储介质可以包括但不限于包括以下的任何类型:盘诸如软盘、光盘、固态驱动器(SSD)、光盘只读存储器(CD-ROM)、光盘可重写(CD-RW)、磁光盘,半导体器件诸如只读存储器(ROM),随机存取存储器(RAM)诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器EPROM)、闪速存储器、电可擦除可编程只读存储器(EEPROM)、磁卡或光卡,或适于存储电子指令的任何其它类型的介质。
虽然已经相对于有限数量的实施例描述了本发明,但是本领域技术人员将会从中理解许多实施例修改和变化。所附权利要求旨在涵盖落入本发明的真实精神和范围内的所有这些修改和变化。

Claims (25)

1.一种装置,包括:
处理器;
传感器,用于感测至少一个参数;
第一存储,用于存储所述至少一个参数;以及
第二存储,用于存储与第一设备相关联的第一访问控制列表,其中,所述处理器基于所述第一访问控制列表来确定是否准许从所述第一设备接收的要对所述装置的第一资源进行访问的访问请求,所述装置和所述第一设备耦合在分布式网络中,所述分布式网络具有分布式访问控制策略,其中,所述装置本地地托管用于第一设备子集的访问控制策略,并且至少一个访问管理器服务远程地托管用于第二设备子集的访问控制策略。
2.根据权利要求1所述的装置,其中,所述装置从第二设备接收要对所述装置的第二资源进行访问的第二请求,并将所述第二请求转发给所述访问管理器服务,其中所述第二设备属于所述第二设备子集。
3.根据权利要求1所述的装置,其中,所述装置响应于从第三设备接收到的第三请求而向所述第三设备发送重定向消息,以使得所述第三设备将所述第三请求发送到所述访问管理器服务,使得与所述第三设备相关联的第三访问控制列表被动态地供应给所述第二存储。
4.根据权利要求1所述的装置,其中,所述第一设备子集包括安全相关设备,并且所述第二设备子集包括非安全相关设备。
5.根据权利要求4所述的装置,其中,所述第一设备属于所述第一设备子集,所述第一资源和所述第一设备具有共同安全标签,其中,中间设备至少部分地基于包括所述共同安全标签的主体凭证来使所述访问请求能够发送到所述装置。
6.根据权利要求1所述的装置,其中,所述第一访问控制列表包括:用于存储所述第一设备的标识符的主体字段、用于存储所述第一资源的资源标识符的资源字段、以及用于存储待准许给第一设备的一个或多个访问类型的许可字段。
7.根据权利要求1所述的装置,其中,所述第二存储用于存储第三访问控制列表,所述第三访问控制列表包括:用于存储第三设备的标识符的主体字段、用于存储所述装置的第三资源的资源标识符的资源字段、以及用于标识要对第三设备执行访问决策的分布式实体的分布字段。
8.根据权利要求1所述的装置,其中,所述装置至少部分地基于与所述第一设备相关联的相关性值而被动态地供应所述第一访问控制列表。
9.根据权利要求8所述的装置,其中,所述装置随后基于所述第一设备的请求活动从所述第二存储中删除所述第一访问控制列表。
10.根据权利要求1所述的装置,其中,所述装置包括传感器设备。
11.根据权利要求1所述的装置,还包括耦合在所述第一设备和所述装置之间的联网设备,所述联网设备使得来自所述第一设备的第一通信能够被递送到所述装置,其中所述第一设备和所述装置具有共同安全标签,所述第一通信具有与共同安全设备相关联的第一凭证。
12.一种方法,包括:
从第一设备接收要对系统的第一资源进行访问的第一请求,并且基于存储在所述系统中的第一访问控制列表来确定是否准许对所述第一资源的访问,所述第一访问控制列表与所述第一设备相关联,所述第一设备具有第一相关性值,并且基于所述确定来准许对所述第一资源的访问;以及
从第二设备接收要对所述系统的第二资源进行访问的第二请求,并将所述第二请求转发给耦合到所述系统的访问管理器服务,以基于存储在所述第二管理器服务中的第二访问控制列表来确定是否准许对所述第二资源的访问,所述第二访问控制列表与所述第二设备相关联,所述第二设备具有第二相关性值,从所述访问管理器服务接收访问准许,并且基于所述访问准许来准许对所述第二资源的访问。
13.根据权利要求12所述的方法,还包括:
从第三设备接收要对所述系统的第三资源进行访问的第三请求,其中,在接收到所述第三请求时,所述系统不存储与所述第三设备相关联的第三访问控制列表;
向所述第三设备发送重定向消息,以使得所述第三设备向所述访问管理器服务发送所述第三请求;
从所述第三设备接收所述第三访问控制列表,所述第三访问控制列表是在所述第三设备中从所述访问管理器服务获得的;以及
从所述第三设备接收要对所述第三资源进行访问的第四请求,并且基于存储在所述系统中的所述第三访问控制列表来确定是否准许对所述第三资源的访问。
14.根据权利要求13所述的方法,其中,所述第三访问控制列表包括已签署的访问控制列表,并且还包括从所述第三设备接收要对所述第三资源进行访问的第五请求,并且如果已签署的访问控制列表的签名是无效的则阻止所述访问。
15.根据权利要求12所述的方法,还包括基于所述第一相关性值将所述第一访问控制列表存储在所述系统中、并且基于所述第二相关性值不将所述第二访问控制列表存储在所述系统中的指令。
16.根据权利要求12所述的方法,还包括使所述第二访问控制列表存储在位于与所述系统共同的网络部分中的控制器中。
17.根据权利要求12所述的方法,其中,所述系统包括传感器设备,所述传感器设备包括用于存储所述第一访问控制列表的存储,并且其中,所述传感器设备位于第一网络部分中并且耦合到位于所述第一网络部分中的控制器,所述控制器包括用于存储所述第二访问控制列表的所述访问管理器服务。
18.根据权利要求12所述的方法,其中,对所述第一资源的访问准许包括以下之一:创建、读取、更新、删除、通知以及发布访问。
19.根据权利要求12所述的方法,还包括:将所述第一访问控制列表动态地供应到所述系统中,并且随后基于所述第一设备的请求活动从所述系统中删除所述第一访问控制列表。
20.根据权利要求12所述的方法,还包括从所述访问管理器服务接收授权令牌,验证所述授权令牌,以及响应于所述授权令牌的验证使得第四设备能够访问所述系统的第四资源。
21.一种机器可读存储介质,包括机器可读指令,所述机器可读指令在被执行时实现如权利要求12至20中任一项所述的方法。
22.一种系统,包括:
至少一个传感器设备,包括处理器和存储,所述存储用于存储与第一设备相关联的第一访问控制列表,其中,处理器基于所述第一访问控制列表来确定是否准许从所述第一设备接收的要对所述至少一个传感器设备的第一资源进行访问的访问请求,所述至少一个传感器设备和所述第一设备耦合在分布式网络中,所述分布式网络具有分布式访问控制策略,其中,所述至少一个传感器设备本地地托管用于第一设备子集的访问控制策略,并且至少一个访问管理器服务远程地托管用于第二设备子集的访问控制策略,所述至少一个传感器设备位于第一网络部分中;以及
第一控制器,耦合到所述至少一个传感器设备,所述第一控制器控制所述至少一个传感器设备,所述第一控制器包括用于存储第二访问控制列表的第二存储,并且基于所述第二访问控制列表来确定是否允许第二设备访问所述至少一个传感器设备,所述第一控制器位于第二网络部分中。
23.根据权利要求22所述的系统,其中,所述第一网络部分包括自主网络部分,并且所述第二网络部分包括半自主网络部分。
24.根据权利要求22所述的系统,还包括耦合到所述第一控制器的服务器,所述服务器包括访问管理器服务以及用于存储第三访问控制列表的存储,所述访问管理器服务基于所述第三访问控制列表来确定是否允许第三设备访问所述至少一个传感器设备,所述服务器位于第三网络部分中。
25.根据权利要求24所述的系统,其中,所述访问管理器服务将所述第三访问控制列表作为临时访问控制列表动态地供应给所述至少一个传感器设备,以使得所述至少一个传感器设备能够在时间窗口内执行关于所述第三设备的访问控制决策。
CN201680027071.8A 2015-06-09 2016-05-23 用于在受约束的环境中访问控制列表处理的系统、装置和方法 Active CN107592969B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562172906P 2015-06-09 2015-06-09
US62/172,906 2015-06-09
US14/856,857 2015-09-17
US14/856,857 US9912704B2 (en) 2015-06-09 2015-09-17 System, apparatus and method for access control list processing in a constrained environment
PCT/US2016/033831 WO2016200598A1 (en) 2015-06-09 2016-05-23 System, apparatus and method for access control list processing in a constrained environment

Publications (2)

Publication Number Publication Date
CN107592969A true CN107592969A (zh) 2018-01-16
CN107592969B CN107592969B (zh) 2021-02-02

Family

ID=57504106

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680027071.8A Active CN107592969B (zh) 2015-06-09 2016-05-23 用于在受约束的环境中访问控制列表处理的系统、装置和方法

Country Status (4)

Country Link
US (2) US9912704B2 (zh)
EP (1) EP3308523B1 (zh)
CN (1) CN107592969B (zh)
WO (1) WO2016200598A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235325A (zh) * 2020-12-14 2021-01-15 中国电力科学研究院有限公司 一种对与智能终端相连接的功能模组进行访问控制的方法及系统
CN113505090A (zh) * 2021-06-22 2021-10-15 中国联合网络通信集团有限公司 访问控制方法及访问控制装置
WO2022000155A1 (en) * 2020-06-29 2022-01-06 Nokia Shanghai Bell Co., Ltd. Access control of service based management framework

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10013540B2 (en) 2015-03-10 2018-07-03 Lenovo (Singapore) Pte. Ltd. Authentication based on body movement
US11503035B2 (en) * 2017-04-10 2022-11-15 The University Of Memphis Research Foundation Multi-user permission strategy to access sensitive information
US9923881B2 (en) 2015-10-14 2018-03-20 Mcafee, Llc System, apparatus and method for migrating a device having a platform group
US10205631B1 (en) * 2015-10-30 2019-02-12 Intuit Inc. Distributing an access control service to local nodes
US10715518B2 (en) * 2015-12-08 2020-07-14 Lenovo (Singapore) Pte. Ltd. Determination of device with which to establish communication based on biometric input
US10333918B2 (en) * 2017-02-22 2019-06-25 Accenture Global Solutions Limited Automated system identification, authentication, and provisioning
US10623410B2 (en) 2017-04-24 2020-04-14 Microsoft Technology Licensing, Llc Multi-level, distributed access control between services and applications
US11509644B2 (en) 2017-07-05 2022-11-22 Intel Corporation Establishing connections between IOT devices using authentication tokens
US11025627B2 (en) * 2017-07-10 2021-06-01 Intel Corporation Scalable and secure resource isolation and sharing for IoT networks
US10938821B2 (en) * 2018-10-31 2021-03-02 Dell Products L.P. Remote access controller support registration system
CN110213400B (zh) * 2019-06-11 2021-06-22 四川长虹电器股份有限公司 一种快速自动构建dns调度acl的方法
US10609041B1 (en) * 2019-07-24 2020-03-31 Palantir Technologies Inc. Enforcing granular access control policy
US11089029B2 (en) 2019-07-24 2021-08-10 Palantir Technologies Inc. Enforcing granular access control policy
US11599828B2 (en) * 2020-02-27 2023-03-07 Microsoft Technology Licensing, Llc Management and operation of loosely coupled internet of things devices
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404726A (zh) * 2011-11-18 2012-04-04 重庆邮电大学 一种对用户访问物联网信息的分布式控制方法
KR101391729B1 (ko) * 2014-02-27 2014-05-27 주식회사 에이에스티소프트 사물인터넷 보안시스템 및 방법
CN104135459A (zh) * 2013-05-03 2014-11-05 北京优联实科信息科技有限公司 一种访问控制系统及其进行访问控制的方法
CN104137007A (zh) * 2012-03-02 2014-11-05 皇家飞利浦有限公司 用于针对楼宇自动化和控制系统的访问判决评估的系统和方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7380271B2 (en) 2001-07-12 2008-05-27 International Business Machines Corporation Grouped access control list actions
US7092942B2 (en) 2002-05-31 2006-08-15 Bea Systems, Inc. Managing secure resources in web resources that are accessed by multiple portals
US9197668B2 (en) 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
KR100553273B1 (ko) 2003-11-14 2006-02-22 주식회사 넷츠 엑스트라넷 액세스제어 장치 및 방법
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US7506102B2 (en) * 2006-03-28 2009-03-17 Cisco Technology, Inc. Method and apparatus for local access authorization of cached resources
US20070271362A1 (en) * 2006-05-18 2007-11-22 Yehuda Bamnolker Implementation of reflexive access control lists on distributed platforms
US9253151B2 (en) 2006-05-25 2016-02-02 International Business Machines Corporation Managing authentication requests when accessing networks
US8375430B2 (en) * 2006-06-27 2013-02-12 Intel Corporation Roaming secure authenticated network access method and apparatus
US8468579B2 (en) 2007-06-15 2013-06-18 Microsoft Corporation Transformation of sequential access control lists utilizing certificates
US8418238B2 (en) 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
US8763082B2 (en) * 2008-05-13 2014-06-24 At&T Mobility Ii Llc Interactive client management of an access control list
KR101310542B1 (ko) 2009-03-19 2013-10-24 닛본 덴끼 가부시끼가이샤 액세스 제어 리스트 변환 시스템, 그 방법 및 컴퓨터 판독가능 기록 매체
US20110137947A1 (en) * 2009-12-03 2011-06-09 International Business Machines Corporation Dynamic access control for documents in electronic communications within a cloud computing environment
US9088580B2 (en) 2009-12-31 2015-07-21 Microsoft Technology Licensing, Llc Access control based on user and service
KR101118524B1 (ko) 2010-05-25 2012-03-06 동아대학교 산학협력단 센서노드의 인증관리와 Subscription 기능을 가진 시스템과, 그 시스템의 운용 방법
CA2746587C (en) 2010-07-16 2016-10-25 Research In Motion Limited System and method for performing access control
JP5494816B2 (ja) 2010-10-20 2014-05-21 日本電気株式会社 通信制御装置、システム、方法及びプログラム
KR101221097B1 (ko) 2011-06-28 2013-01-11 주식회사 아이티스테이션 웹기반 원격 전력정보 관리 시스템 및 방법
KR101310631B1 (ko) 2011-09-09 2013-11-21 삼성에스디에스 주식회사 네트워크 접근 제어 시스템 및 방법
US9002890B2 (en) 2012-03-14 2015-04-07 International Business Machines Corporation Rule-based access control list management
WO2014142848A1 (en) * 2013-03-13 2014-09-18 Intel Corporation Device-to-device communication for resource sharing
US9900172B2 (en) 2013-04-25 2018-02-20 Qualcomm Incorporated Coordinated resource sharing in machine-to-machine communication using a network-based group management and floor control mechanism
US9712491B2 (en) * 2014-03-03 2017-07-18 Qualcomm Connected Experiences, Inc. Access control lists for private networks of system agnostic connected devices
US9692748B2 (en) 2014-09-24 2017-06-27 Oracle International Corporation Unified provisioning of applications on devices in an enterprise system
US20160366183A1 (en) 2015-06-09 2016-12-15 Ned M. Smith System, Apparatus And Method For Access Control List Processing In A Constrained Environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404726A (zh) * 2011-11-18 2012-04-04 重庆邮电大学 一种对用户访问物联网信息的分布式控制方法
CN104137007A (zh) * 2012-03-02 2014-11-05 皇家飞利浦有限公司 用于针对楼宇自动化和控制系统的访问判决评估的系统和方法
CN104135459A (zh) * 2013-05-03 2014-11-05 北京优联实科信息科技有限公司 一种访问控制系统及其进行访问控制的方法
KR101391729B1 (ko) * 2014-02-27 2014-05-27 주식회사 에이에스티소프트 사물인터넷 보안시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022000155A1 (en) * 2020-06-29 2022-01-06 Nokia Shanghai Bell Co., Ltd. Access control of service based management framework
CN112235325A (zh) * 2020-12-14 2021-01-15 中国电力科学研究院有限公司 一种对与智能终端相连接的功能模组进行访问控制的方法及系统
CN113505090A (zh) * 2021-06-22 2021-10-15 中国联合网络通信集团有限公司 访问控制方法及访问控制装置
CN113505090B (zh) * 2021-06-22 2023-09-01 中国联合网络通信集团有限公司 访问控制方法及访问控制装置

Also Published As

Publication number Publication date
US20160381081A1 (en) 2016-12-29
EP3308523A4 (en) 2018-12-12
WO2016200598A1 (en) 2016-12-15
US20160366188A1 (en) 2016-12-15
US10244001B2 (en) 2019-03-26
CN107592969B (zh) 2021-02-02
EP3308523A1 (en) 2018-04-18
EP3308523B1 (en) 2024-06-26
US9912704B2 (en) 2018-03-06

Similar Documents

Publication Publication Date Title
CN107592969A (zh) 用于在受约束的环境中访问控制列表处理的系统、装置和方法
US11425111B2 (en) Attestation token sharing in edge computing environments
EP3972295B1 (en) Geofence-based edge service control and authentication
EP3975476B1 (en) Trust-based orchestration of an edge node
US20220255796A1 (en) Object identification for groups of iot devices
US11888858B2 (en) Calculus for trust in edge computing and named function networks
US12010144B2 (en) End-to-end device attestation
NL2029044B1 (en) Intelligent data forwarding in edge networks
CN107660332B (zh) 用于控制数据在设备中的有状态的应用的系统、装置和方法
US20170221288A1 (en) Decentralized virtual trustless ledger for access control
JP2006099777A (ja) レガシー・オートメーション・システムのための集中管理プロキシ・ベースのセキュリティ
CN108959972A (zh) 合作的基于规则的安全
CN105637915A (zh) 用于从第一设备注册表向第二设备注册表指派代理设备的方法
US20210021594A1 (en) Biometric security for edge platform management
KR20220048927A (ko) 에지 컴퓨팅 환경에서 컨테이너의 재사용을 위한 방법 및 장치
CN104462982A (zh) 跨应用共享的授权策略对象、目标定义和决策合并算法
CN114254336A (zh) 用于通过使用边界标签来实施数据边界的方法、装置和系统
US20240022550A1 (en) Systems and methods for key access distribution and management
JP2014089581A (ja) データ処理方法及びセンサノード
Peng et al. Zone of control: the basic computing unit for web of everything
US20210150837A1 (en) Decentralized virtual trustless database for access control
JP2009116767A (ja) 権限委譲システム、権限委譲方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant