CN111328395B - 用于提供对网络设备的硬件组件接口的受限访问的方法 - Google Patents
用于提供对网络设备的硬件组件接口的受限访问的方法 Download PDFInfo
- Publication number
- CN111328395B CN111328395B CN201880072321.9A CN201880072321A CN111328395B CN 111328395 B CN111328395 B CN 111328395B CN 201880072321 A CN201880072321 A CN 201880072321A CN 111328395 B CN111328395 B CN 111328395B
- Authority
- CN
- China
- Prior art keywords
- interface
- network
- access
- type
- hardware component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000007246 mechanism Effects 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 8
- 238000013524 data verification Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 101000667209 Homo sapiens Vacuolar protein sorting-associated protein 72 homolog Proteins 0.000 description 3
- 102100039098 Vacuolar protein sorting-associated protein 72 homolog Human genes 0.000 description 3
- 101100264195 Caenorhabditis elegans app-1 gene Proteins 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- GVGLGOZIDCSQPN-PVHGPHFFSA-N Heroin Chemical compound O([C@H]1[C@H](C=C[C@H]23)OC(C)=O)C4=C5[C@@]12CCN(C)[C@@H]3CC5=CC=C4OC(C)=O GVGLGOZIDCSQPN-PVHGPHFFSA-N 0.000 description 1
- 101150102320 SWC3 gene Proteins 0.000 description 1
- 101100478997 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SWC3 gene Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 229940012720 subsys Drugs 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于通过所述网络设备(1)的一个或多个软件组件(SWC)来提供对网络设备(1)的硬件组件接口(HWCI)的受限访问的方法,其中在强制访问控制MAC安全策略(MAC‑SP)的基础上,通过被实现为网络设备(1)的操作系统(OS)的一部分的MAC机制来准许由软件组件(SWC)请求的对硬件组件接口(HWCI)的访问,所述MAC安全策略(MAC‑SP)包括访问权限,所述访问权限被定义为分配给软件组件类型的软件组件安全标签(SWC‑SL)和分配给硬件组件接口类型的硬件组件接口安全标签(HWCI‑SL)之间的访问关系。
Description
技术领域
本发明涉及一种用于通过相应网络设备的一个或多个软件组件来提供对网络设备的硬件组件接口的受限访问的方法和装置。
背景技术
在许多用例中,要求的是,数据通信不以不允许的方式被影响。例如,在工业控制网络中,控制设备之间的数据通信可能不会被损坏。在这样的工业控制网络中,仅使用允许的设备。不允许将可能用于诊断目的或用于抢先维护的外部系统直接与这样的控制网络连接。在常规的系统中,实现了所谓的数据二极管或单向网关来从控制网络传输数据,以使得提供了非反应性单向数据流。然而,如果存在位于单独的控制网络内或连接到这样的单向网关的设备的故障或操纵,则使用常规的数据二极管实体不提供保护。
公开了一种采用基于流的网络访问控制系统的形式的基于流的网络访问控制,所述系统包括在计算机上操作并且具有网络端点属性的软件进程。软件进程被配置为通过基于流的网络协议栈将分组传送到包括接口属性的网络接口卡。会话过滤器模块和网络过滤器模块与网络协议栈通信。与会话过滤器模块和网络过滤器模块相关联的网络属性表将网络端点属性与网络属性表中的接口属性进行比较,以确定软件进程是否可以访问网络接口卡。
在“配置SELinux策略”(“Configuring the SELinuxPolicy”)中公开了“传统TE模型”,其将称为域的安全属性结合到每个进程,并且将称为类型的安全属性结合到每个对象。访问矩阵对指定域可以如何访问类型,以及域可以如何与其它域交互。每个用户被授权在某些域中操作。TE模型支持对程序执行和域转变的强控制。程序像任何其它对象一样被分配类型,并且TE访问矩阵指定可以由每个域执行什么类型。另外,在D2中公开了网络对象上下文配置准许规范用于端口、网络接口和节点(主机)的安全上下文。这里,网络接口具有两个相关联的安全上下文:接口的上下文和分配给接口上接收的未标记分组的默认上下文(参见D2的“4.6.4. 网络对象上下文”)。
发明内容
因此,存在需要以提供一种增加在安全关键控制网络的操作中使用的组件的安全性和可靠性的方法和装置。
根据本发明的第一方面,该目的通过包括权利要求1的特征的方法来实现。
根据第一方面,本发明提供了一种用于通过网络设备的一个或多个软件组件来提供对所述网络设备的硬件组件接口的受限访问的方法,
其中在MAC安全策略的基础上,通过被实现为网络设备的操作系统的一部分的强制访问控制机制来准许由软件组件请求的对硬件组件接口的访问,所述MAC安全策略包括访问权限,所述访问权限被定义为分配给软件组件类型的软件组件安全标签和分配给硬件组件接口类型的硬件组件接口安全标签之间的访问关系。
在根据本发明的第一方面的方法的可能实施例中,由所述MAC机制准许的请求软件组件对所请求的硬件组件接口的受限访问提供了非反应性单向数据流。
在根据本发明的第一方面的方法的可能实施例中,访问关系指示由根据MAC安全策略的访问权限所准许的软件组件对硬件组件接口的访问的访问类型。
在根据本发明的第一方面的方法的又进一步可能实施例中,所述访问关系的访问类型包括
只读RO访问类型,
只写WO访问类型,
读和写RW访问类型,
客户端模式访问类型,以及
服务器模式访问类型。
在根据本发明的第一方面的方法的进一步可能实施例中,所述软件组件包括应用,所述应用包括控制应用、实时控制应用、安全应用、设备状态应用、配置应用以及数据验证应用。
在根据本发明的第一方面的方法的进一步可能实施例中,所述硬件组件接口包括
IO接口、网络接口、存储器接口以及配置接口。
在根据本发明的第一方面的方法的又进一步可能实施例中,所述硬件组件接口类型包括配置类型、设备实习类型、控制网络类型以及开放网络类型。
在根据本发明的第一方面的方法的进一步可能实施例中,所述软件组件类型包括控制网络域、开放网络域、域实习域、控制域、外部通信域以及设备实习跨域。
在根据本发明的第一方面的方法的又进一步可能实施例中,所述MAC安全策略存储在所述网络设备的文件系统中在网络设备的操作系统的引导期间被加载。
在根据本发明的第一方面的方法的进一步可能替代的实施例中,所述MAC安全策略被编译到设备的操作系统的操作系统内核中。
在根据本发明的第一方面的方法的又进一步可能实施例中,所述操作系统包括非实时操作系统。
在根据本发明的第一方面的方法的又进一步可能替代的实施例中,所述操作系统包括实时操作系统。
根据第二方面,本发明还提供了包括权利要求12的特征的网络设备。
根据第二方面,本发明提供了一种对其硬件组件接口具有受限访问的网络设备,所述网络设备包括
操作系统内核,其在所述网络设备的处理器中实现并且包括强制访问控制MAC机制,所述MAC机制适于基于MAC安全策略通过所述网络设备的一个或多个软件组件来控制对所述网络设备的硬件组件接口的访问,所述MAC安全策略包括访问权限,所述访问权限被定义为分配给软件组件类型的软件组件安全标签和分配给硬件组件接口类型的硬件组件接口安全标签之间的访问关系。
在根据本发明的第一方面的网络设备的可能实施例中,所述网络设备的硬件组件接口包括IO接口、网络接口、存储器接口和/或配置接口。
在根据本发明的第一方面的网络设备的进一步可能实施例中,所述网络设备的网络接口包括到内部控制网络的至少一个内部网络接口以及到外部网络的至少一个外部网络接口。
在可能的实施例中,根据本发明的第一方面的网络设备是可编程逻辑控制器。
在根据本发明的第一方面的网络设备的进一步可能实施例中,所述网络设备是IoT网关。
在根据本发明的第二方面的网络设备的进一步可能实施例中,所述网络设备是由控制设备形成的。
附图说明
在下文中,参考附图更详细地描述了本发明的不同方面的不同实施例。
图1示出了用于图示根据本发明的方法和装置的示意图。
图2示出了用于实现根据本发明的方法和装置的可能示例性用例的框图。
图3示出了用于图示根据本发明的方法和装置的进一步示意图。
图4示出了用于图示由根据本发明的方法和装置使用的可能示例性MAC安全策略的进一步图。
具体实施方式
如从图1的示意图可以看出的,根据本发明的方面的网络设备1包括操作系统OS,其可以由网络设备1的处理单元2来操作。操作系统OS可以例如在网络设备1的CPU上实现。操作系统OS具有操作系统内核OSK,所述操作系统内核OSK在网络设备1的处理器中实现并且包括强制访问控制MAC机制,所述MAC机制适于基于如图1中所图示的MAC安全策略MAC-SP通过所述网络设备的一个或多个软件组件SWC来控制对所述网络设备1的硬件组件接口HWCI的访问。强制访问控制机制被实现为网络设备的操作系统OS的一部分。
在可能的实施例中,操作系统OS是非实时操作系统。在可能的实施例中,操作系统OS是Linux操作系统、Windows操作系统、macOS操作系统或OpenBSD。在进一步可能实施例中,在处理单元2中实现的网络设备1的操作系统OS可以包括实时操作系统(RTOS),诸如VxWorks或FreeRTOS。MAC安全策略MAC-SP包括访问权限,所述访问权限被定义为分配给软件组件类型的软件组件安全标签SWC-SL和分配给硬件组件接口HWCI的硬件组件接口安全标签HWCI-SL之间的访问关系。网络设备1可以包括不同硬件组件接口类型的不同硬件组件接口HWCI。例如,网络设备1的硬件组件接口HWCI可以包括网络设备1的IO接口、网络接口、存储器接口和/或配置接口。不同的硬件组件接口HWCI可以具有相同或不同的硬件组件接口类型。这些硬件组件接口类型可以包括例如配置类型、设备实习类型、控制网络类型或开放网络类型。在可能的实施例中,图3中图示的软件组件SWC可以包括应用,所述应用包括控制应用、设备状态应用、配置应用和/或数据验证应用。软件组件SWC可以形成所谓的用户空间的一部分。并且,软件组件可以具有相同或不同的软件组件类型。这些软件组件类型还可以称作软件组件域。在可能的示例性实施例中,软件组件类型或软件组件域包括控制网络域、开放网络域、域实习域、控制域、外部通信域和/或设备实习跨域。
通过被实现为在处理单元2上运行的网络设备的操作系统OS的一部分的强制访问控制机制来准许由软件组件SWC所请求的对硬件组件接口HWCI的访问。基于包括预定义的访问权限的MAC安全策略MAC-SP来控制访问。这些访问权限被定义为分配给不同软件组件类型的软件组件安全标签SWC-SL和分配给硬件组件接口类型的硬件组件接口安全标签HWCI-SL之间的访问关系。在可能的实施例中,通过MAC机制准许由请求软件组件SWC所请求的对硬件组件接口HWCI的访问,以提供非反应性单向数据流。在可能的实施方式中,访问关系可以指示由根据MAC安全策略MAC-SP的访问权限准许的软件组件SWC对相应硬件组件接口HWCI的访问的不同的访问类型。在可能的实施例中,访问关系的这些访问类型可以包括只读RO访问类型、只写WO访问类型、读和写RW访问类型、客户端模式访问类型和/或服务器模式访问类型。
在可能的实施例中,MAC安全策略MAC-SP可以存储在网络设备1的文件系统中,并且可以在网络设备的操作系统OS引导期间被加载。在替代的实施例中,MAC安全策略MAC-SP可以被编译到设备的操作系统OS的操作系统内核OSK中。
在可能的实施例中,图1的示意图中所示出的网络设备1可以是可编程逻辑控制器PLC。在替代的实施例中,网络设备1还可以是两个网络之间的IoT网关。在又进一步可能实施例中,网络设备1还可以包括用于在工业自动化网络内控制机器的控制设备。
图2示出了根据本发明的方面的定位为控制网络CNW和外部网络ENW之间的网关的网络设备1的示例。在所图示的实施例中,如图2中所示出的,网络设备1-0包括连接到内部控制网络CNW的至少一个内部网络接口3-1。网络设备1-0还包括连接到外部网络ENW的至少一个外部网络接口3-2。控制网络CNW可以形成自动化系统的一部分,所述自动化系统可以包括另外的网络设备,诸如控制设备或可编程逻辑控制器PLC。如图2中所示出的,剩余的网络设备1-1到1-n全部连接到控制网络CNW,所述控制网络CNW借助于网关的第一接口3-1连接到网关1-0。在可能的实施例中,用于提供对网络设备的硬件组件接口HWCI的受限访问的方法在图2中所示出的系统的网关网络设备1-0中实现。在可能的实施例中,用于提供对网络设备1的硬件组件接口HWCI的受限访问的方法还可以在连接到控制网络CNW的剩余网络设备1-1到1-n中的一个或多个中实现。外部网络ENW可以包括后端网络,诸如另外的实体或组件可以连接到的局域网LAN。例如,服务器S可以连接到外部网络ENW,以用于分析由控制网络CNW的组件生成的数据。该数据通过网关网络设备1-0经由其第二接口3-2并且经由外部网络ENW转发到分析服务器S。要由服务器S分析的数据的数据流是单向的并且非反应性的。
网络设备1的硬件组件接口HWCI可以包括任何种类的网络接口,特别是无线或有线接口。硬件组件接口HWCI可以包括有线接口,诸如USB、串行UART接口或诸如PCI接口之类的并行数据接口。另外的可能硬件组件接口HWCI可以包括网络端口、HDMI或以太网接口。硬件组件接口HWCI还可以包括无线接口,特别是蓝牙接口、ZigBee接口或WLAN接口。
对于不同的硬件组件接口HWCI,对应的数据结构存在于操作系统OS中。数据结构可以例如指示硬件组件接口HWCI的名称、硬件组件接口HWCI的地址、硬件组件接口HWCI的状态以及信号电平。由操作系统OS提供的数据结构允许标记相应的硬件组件接口HWCI。硬件组件接口HWCI可以用分配给相应硬件组件接口HWCI的硬件组件接口类型的硬件组件接口安全标签HWCI-SL来标记。如图2的示例性系统中所图示的,硬件组件接口HWCI可以包括网络接口3。另外,硬件组件接口HWCI还可以包括用于致动器和/或传感器的IO接口。硬件组件接口HWCI还可以包括存储器接口,例如,闪速存储器和/或配置存储器的存储器接口。硬件组件接口HWCI还可以包括网络设备1的配置接口。
MAC安全策略MAC-SP包括访问权限,所述访问权限被定义为软件组件安全标签SWC-SL和分配给硬件组件接口类型的硬件组件接口安全标签HWCI-SL之间的访问关系。访问权限的访问关系可以指示由不同的软件组件SWC对硬件组件接口HWCI的允许访问的不同的访问类型。这些访问关系可以是限制性的或较少限制性的。例如,访问关系可以仅允许对特定硬件组件接口类型的硬件组件接口HWCI的只读RO访问。另外,在可能的实施例中,访问类型可以允许特定软件组件类型的软件组件SWC仅写WO到特定硬件组件接口类型的硬件组件接口HWCI。较少限制性的访问类型允许通过特定软件组件类型的软件组件SWC来对特定硬件组件接口类型的硬件组件接口HWCI进行访问,使得软件组件SWC可以在相应硬件组件接口HWCI上执行读和写操作RW二者。在图4的示意图中所示出的示例中还图示了软件组件接口类型和硬件组件接口类型之间的访问关系。
在图2的所图示的实施例中,网络设备1形成了IoT网关,所述IoT网关例如经由OPCUA从控制网络CNW的其它网络设备1-1到1-n读取数据并且将数据转发到后端网络ENW。这样的IoT网关1-0可以包括不同的软件组件SWC,其提供例如诊断功能,或者形成用于与后端网络ENW通信的消息传递代理。另外,IoT网关1-0可以包括软件组件SWC,其用于预处理从控制网络CNW的其它网络设备1-i所接收的原始数据。该原始数据处理可以包括例如数据压缩或数据模式识别。这些不同的软件组件或应用可以包括安装在网络设备1上或可以由网络设备1加载的应用。
在诸如图2中所示出的IoT网关1-0之类的相应网络设备上实现的软件组件SWC受到以下事实威胁:它们可能(例如,通过使用操作系统OS中的未修补的漏洞)从外部网络接口3-2被攻击并且被操纵。尤其地,用于与后端系统或外部网络ENW通信的软件组件SWC可能是来自国外的操纵或攻击的对象。此外,可加载的应用或软件组件SWC可以包括故障。根据本发明的方法增加了网络设备1的可靠性,并且增加了其抵抗外部攻击(特别是网络攻击)的鲁棒性。甚至当存在网络设备上实现的软件组件SWC的攻击或故障时,也防止了对安全性关键控制网络CNW或网络设备1的控制功能的不容许的影响。根据本发明的方法不仅可以用于如图2中所图示的网关网络设备1-0,而且可以用于连接到控制网络CNW的其它网络设备1-i。用根据本发明的方法,通过使用基于操作系统的安全功能(诸如SELinux),防止了未分配有相应功能的网络设备1的软件组件SWC对内部控制网络CNW或相应网络设备1的其它组件的不希望的影响。根据本发明的方法允许对网络通信进行软件组件特定过滤,并且限制对系统的敏感组件(诸如网络设备1的配置存储器或硬件安全模块)的容许访问。
设备或网络设备1的基于硬件的资源,特别是用于与控制网络CNW连接的网络接口接收所分配的安全标签SL。另外,每个软件组件SWC也接收所分配的安全标签SL。在基于内核的MAC系统的MAC安全策略MAC-SP的基础上,依赖于所分配的安全标签SL来定义哪些软件组件安全标签SWC-SL具有与哪些硬件组件安全标签HWC-SL的访问关系。因此,用本发明的方法,基于内核的MAC安全系统可以用于限制由不同种类的软件组件SWC对设备的硬件组件HWC和/或硬件组件接口HWCI的访问。软件组件SWC可以安装在网络设备1上,或者可以由网络设备1经由来自系统的另一实体的接口来加载。
根据本发明的方法的优点在于,其允许限制哪些软件组件SWC具有对设备的硬件组件HWC的反应性或非反应性访问。例如,只读RO访问是提供单向数据流的非反应性单向访问。相反,读和写RW访问不提供非反应性单向数据流。甚至当软件组件SWC包括故障或已经被操纵时,由例如只读访问类型定义的非反应性单向数据流也确保受影响的软件组件SWC不能消极地影响控制网络CNW的组件。
仅具有对网络设备1的硬件组件接口HWCI的只读RO访问的软件组件SWC可以用于在网络接口处实现数据二极管策略。用根据本发明的机制,不需要复杂的特殊硬件来保证特定软件组件SWC非反应性地操作,即不能影响连接到设备或者诸如经由IO接口连接到网络设备1的传感器或致动器之类的其它外部组件的特定控制网络CNW。
在可能的实施例中,被提供以用于与外部网络ENW连接的第二外部网络接口3-2获得第二安全标签,所述第二安全标签不同于分配给其它网络接口3-1的第一安全标签。实现安全策略SP是可能的,其中通过使用预定义的安全标签来定义对外部网络接口3-2的访问。例如,诸如某个软件组件类型的进程或应用之类的仅特定软件组件SWC获得安全标签SL,所述安全标签SL允许它们访问特定外部硬件组件接口HWCI,诸如图2中所示出的外部硬件组件接口3-2。
在可能的实施例中,不允许软件组件SWC访问两个安全标签,即用于访问内部网络接口3-1的安全标签SL和用于访问外部网络接口3-2的安全标签SL。这保证了没有进程或应用同时或在相同时间获得对外部网络接口3-2和内部网络接口3-1的访问。
在进一步可能实施例中,软件组件SWC可以接收特定安全标签SL,所述特定安全标签SL指示软件组件SWC既不能够访问外部网络接口也不能访问内部网络接口。然而,这样的软件组件SWC(即这样的软件组件类型的软件组件SWC)可以被其它软件组件SWC用作数据二极管,以实现能够访问内部网络接口3-1的第一软件组件SWC和能够访问外部网络接口3-2的第二软件组件SWC之间的数据业务。在可能的实施例中,具有这样的特定安全标签SL的这样的数据二极管软件组件SWCd可以监视或检查经由二极管软件组件SWCd链接的两个其它软件组件之间的数据流。例如,二极管软件组件SWCd可以检查从能够访问第一网络接口的第一软件组件SWC和能够访问第二网络接口的第二软件组件SWC流出的数据格式。另外,二极管软件组件SWCd可以检查数据值是否在容许值范围内。在可能的实施例中,使用预定义的规则根据它们的内容来指定数据是可能的。例如,数据可以根据数据的类型(配置数据、程序代码、日志数据)或它们的安全关键度(内部的或机密的)来分类。这样的分类也被称为数据损失预防DLP。
在又进一步可能实施例中,定义了安全级别SL,其可以被分配给软件组件类型,使得具有该特定安全标签的该软件组件类型的软件组件SWC能够访问传感器或致动器可以被连接到的IO接口。借助于IO接口,例如,安全网关网络设备可以提供篡改传感器或状态信号的值,诸如自测OK或建立的VPN隧道。任何种类的传感器和致动器可以经由IO网络接口连接到网络设备1。例如,通信总线或模拟传感器和致动器可以连接到IoT网关网络设备1。
在可能的实施例中,具有至少两个网络接口的网络设备1确实在实现为网络设备的操作系统OS的一部分的MAC安全策略SP的控制下仅能够访问两个接口中的一个。
在可能的实施例中,诸如Docker容器或RKT容器之类的网络设备1的可加载的网络应用或软件组件SWC可以获得在安装应用期间或当启动应用时分配的安全标签SL。在可能的实施例中,该安全标签SL可以是固定的标签,使得应用或软件组件SWC不能直接访问安全性关键系统组件。在进一步可能实施例中,安全标签SL可以依赖于应用的签名或其它信息来确定。在该实施例中,一些应用或软件组件SWC可以能够访问扩展的设备资源集。
在可能的实施例中,操作系统OS由Linux操作系统形成。在可能的实施例中,这样的Linux操作系统的强制访问控制MAC安全功能可以用作用于根据本发明的方法的平台,并且可以用于提供对网络设备1的硬件组件接口HWCI的受限访问。这样的操作系统OS的强制访问控制安全功能可以用于防止受操纵的软件组件SWC对安全性关键控制网络或控制功能的不希望的影响。另外,可以实现的是,仅预确定的软件组件SWC可以将数据传输给诸如互联网或办公室网络之类的开放外部网络ENW,或者能够访问装置的关键硬件组件。
这允许使用诸如可加载的应用或容器之类的新功能,而不会危及控制网络CNW的操作。另外,增加嵌入式遗留系统的安全性是可能的,其中所有进程都用根权限或用相同的用户识别运行,而不必须修改用户访问权限。用根据本发明的方法,可能的是,精确地定义网络设备1的哪种软件组件SWC可以能够访问相同网络设备1的哪种硬件组件。该方法可以在现存的系统上实现,而不需要特殊的安全管理程序。
图3示出了用于图示根据本发明的方法和装置的可能示例性实施例的图。图3示出了具有处理器或CPU的嵌入式控制系统ECS,其中实现了用户空间USP和操作系统内核OSK。用户空间USP可以包括不同种类的软件组件SWC,特别是进程或应用程序。在所图示的实施例中,用户空间USP包括四个应用App1、App2、App3、App4。第一应用App1例如是控制App。第二应用App2可以例如是后端设备状态应用。第三App3例如是跨域数据验证应用。第四App4可以例如包括设备配置网络服务器。操作系统内核OSK可以例如是Linux操作系统的Linux内核。该操作系统内核OSK包括MAC安全子系统MAC-S-SUBSYS,诸如SELinux。在所图示的实施例中,MAC安全子系统MAC-S-SUBSYS包括由根据本发明的方法使用的MAC安全策略MAC-SP,以用于提供对嵌入式控制系统ECS的硬件组件接口HWCI的受限访问。在所图示的实施例中,嵌入式控制系统ECS包括不同种类的硬件组件接口HWCI。在所图示的实施例中,嵌入式控制系统ECS包括四个不同种类的硬件组件接口HWCI。在所图示的实施例中,嵌入式控制系统ECS包括可以由配置存储器形成的第一硬件组件接口HWCI1。第二硬件组件接口HWCI2是IO接口,其可以用于连接致动器和/或传感器S。第三硬件组件接口HWCI3包括内部网络接口。第四硬件组件接口HWCI4包括例如外部网络接口。嵌入式控制系统ECS可以包括另外的组件,诸如RAM存储器和/或闪速存储器。在可能的实施例中,MAC安全策略MAC-SP可以存储在嵌入式控制系统ECS的文件系统中,并且可以在操作系统OS的引导期间被加载。在另一可能的实施例中,MAC安全策略MAC-SP还可以被编译到设备的操作系统OS的操作系统内核OSK中。操作系统内核OSK的代码可以例如存储在闪速存储器中。
在图3的所图示的实施例中,诸如所图示的应用之类的应用软件组件SWC可以在用户空间USP中执行。CPU可以例如包括系统的微控制器。操作系统内核OSK包括用于强制访问控制MAC的功能,例如,SELinux、SMACK或AppArmor。用根据本发明的系统,在操作系统内核OSK的MAC安全子系统中实现的MAC安全策略MAC-SP包括访问权限,所述访问权限被定义为软件组件安全标签SWC-SL和硬件组件接口安全标签HWCI-SL之间的访问关系。
这在图4的图中图示。如图4中可以看出的,访问权限被定义为软件组件安全标签SWC-SL和硬件组件接口安全标签HWCI-SL之间的访问关系AR。软件组件安全标签SWC-SL被分配给软件组件类型SWC-T,并且硬件组件接口安全标签HWCI-SL被分配给硬件组件接口类型HWCI-T。在所图示的示例中,软件组件安全标签“开放网络d”被分配给软件组件类型“设备配置网络服务器”。第二软件组件安全级别“控制d”被分配给软件组件类型控制器应用。第三软件组件安全标签“开放网络d”被分配给软件组件类型“后端设备状态应用”。第四软件组件安全标签“设备内部跨域d”被分配给软件组件类型“跨域数据验证”。
另外,在图4的所图示的示例中,网络设备1包括不同硬件组件接口类型HWCI-T的硬件组件接口HWCI。如图4中所示出的,硬件组件接口类型HWCI-T可以包括例如配置类型、设备实习类型、控制网络类型以及开放网络类型。网络设备1的配置存储器形成了配置类型的硬件组件接口HWCI。网络设备1的IO接口形成了硬件组件接口类型“设备实习类型”的硬件组件接口HWCI。在所图示的实施例中,内部网络接口包括硬件组件接口类型“控制网络”。在所图示的实施例中,外部网络接口具有硬件组件接口类型“开放网络类型”。根据图4中所示出的访问关系,形成具有软件组件安全标签“开放网络d”的设备配置网络服务器的软件组件SWC能够访问硬件组件接口类型“控制网络类型”的外部网络接口。在可能的实施例中,访问关系AR还可以指示相应访问的访问类型。在图4的所图示的示例中,设备配置网络服务器软件组件SWC1 具有对SMA网络设备1的外部网络接口NWIF(ext)的服务器模式访问。这允许打开并且监听其它节点或网络设备可以与其建立连接的服务器套接字。另外,其具有对配置存储器的RW访问。
形成另一类型的第二软件组件SWC2的控制App具有允许对配置存储器只读RO访问的控制网络域的软件组件安全标签SWC-SL。另外,控制App SWC2具有对相应装置的IO接口的读和写访问RW。此外,在客户端和服务器模式访问操作CMA、SMA中,控制App SWC2能够访问内部网络接口NWIF(int)。在所图示的示例中,后端设备状态应用SWC3具有对装置的外部网络接口NWIF(ext)的客户端模式访问CMA。客户端模式访问CMA允许建立到外部服务器的连接,然而,不能开放服务器套接字。
图4中所示出的策略示例是仅示例性的。可以预确定不同种类的软件组件类型SWC-T和/或硬件组件接口类型HWCI-T。在系统的操作期间,可以预配置和/或改变MAC安全策略MAC-SP。如图4中所图示的,MAC安全策略MAC-SP具有定义为安全标签SL之间的访问关系AR的访问权限,并且可以依赖于用例而改变。因此,MAC安全策略允许系统的灵活重配置。用于提供对网络设备1的硬件组件接口HWCI的受限访问的方法允许增加系统的安全、安全性和隐私。其可以用于提供不同组件和/或网络之间的非反应性单向数据流。其允许在进程级别上而不仅在装置级别上提供非反应性单向数据流。
Claims (14)
1.一种用于通过网络设备(1)的一个或多个软件组件(SWC)来提供对所述网络设备(1)的硬件组件接口(HWCI)的受限访问的方法,其中在强制访问控制MAC安全策略(MAC-SP)的基础上,通过被实现为网络设备(1)的操作系统(OS)的一部分的MAC机制来准许由软件组件(SWC)请求的对硬件组件接口(HWCI)的访问,
其特征在于
所述MAC安全策略(MAC-SP)包括访问权限,所述访问权限被定义为分配给软件组件类型的软件组件安全标签(SWC-SL)和分配给硬件组件接口类型的硬件组件接口安全标签(HWCI-SL)之间的访问关系;
其中所述网络设备的硬件组件接口(HWCI)包括网络接口,其中所述网络设备的网络接口包括到内部控制网络的至少一个内部网络接口和到外部网络的至少一个外部网络接口,并且其中第二安全标签分配给外部网络接口,所述第二安全标签不同于分配给内部网络接口的第一安全标签。
2.根据权利要求1所述的方法,其中由所述MAC机制准许的请求软件组件(SWC)对所请求的硬件组件接口(HWCI)的受限访问提供了非反应性单向数据流。
3.根据权利要求1或2所述的方法,其中所述访问关系指示由根据MAC安全策略(MAC-SP)的访问权限所准许的软件组件(SWC)对硬件组件接口(HWCI)的访问的访问类型。
4.根据权利要求3所述的方法,其中所述访问关系的访问类型包括
只读RO访问类型,
只写WO访问类型,
读和写RW访问类型,
客户端模式访问类型,以及
服务器模式访问类型。
5.根据前述权利要求1到4中任一项所述的方法,其中所述软件组件(SWC)包括应用,所述应用包括
控制应用,
实时控制应用,
安全性应用,
设备状态应用,
配置应用以及
数据验证应用。
6.根据前述权利要求1到5中任一项所述的方法,其中所述硬件组件接口(HWCI)包括IO接口,
存储器接口以及
配置接口。
7.根据前述权利要求1到6中任一项所述的方法,其中所述硬件组件接口(HWCI)类型包括
配置类型,
设备实习类型,
控制网络类型,
实时控制类型,
安全性控制类型,以及
开放网络类型。
8.根据前述权利要求1到7中任一项所述的方法,其中所述软件组件SWC类型包括控制网络域,
开放网络域,
域实习域,
控制域,
实时控制域,
安全性控制域,
外部通信域以及
设备实习跨域。
9.根据前述权利要求1到8中任一项所述的方法,其中所述MAC安全策略(MAC-SP)存储在所述网络设备(1)的文件系统中在网络设备的操作系统(OS)的引导期间被加载。
10.根据前述权利要求1到8中任一项所述的方法,其中所述MAC安全策略(MAC-SP)被编译到设备(1)的操作系统(OS)的操作系统内核(OSK)中。
11.根据前述权利要求1到10中任一项所述的方法,其中所述操作系统(OS)包括非实时操作系统或实时操作系统。
12.一种对其硬件组件接口(HWCI)具有受限访问的网络设备,
所述网络设备(1)包括
操作系统OS内核(OSK),其在所述网络设备(1)的处理器中实现并且包括强制访问控制MAC机制,所述MAC机制适于基于MAC安全策略(MAC-SP)通过所述网络设备(1)的一个或多个软件组件(SWC)来控制对所述网络设备(1)的硬件组件接口(HWCI)的访问,
其特征在于
所述MAC安全策略(MAC-SP)包括访问权限,所述访问权限被定义为分配给软件组件SWC类型的软件组件安全标签(SWC-SL)和分配给硬件组件接口HWCI类型的硬件组件接口安全标签(HWCI-SL)之间的访问关系;
其中所述网络设备的硬件组件接口(HWCI)包括网络接口,其中所述网络设备的网络接口包括到内部控制网络的至少一个内部网络接口和到外部网络的至少一个外部网络接口,并且其中第二安全标签分配给外部网络接口,所述第二安全标签不同于分配给内部网络接口的第一安全标签。
13.根据权利要求12所述的网络设备,其中所述网络设备的硬件组件接口(HWCI)包括IO接口,
存储器接口和/或
配置接口。
14.根据前述权利要求12到13中任一项所述的网络设备,
其中所述网络设备(1)包括
可编程逻辑控制器PLC,
IoT网关或
控制设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17200614.0A EP3483769A1 (en) | 2017-11-08 | 2017-11-08 | A method for providing restricted access to hardware component interfaces of a network device |
| EP17200614.0 | 2017-11-08 | ||
| PCT/EP2018/078479 WO2019091738A1 (en) | 2017-11-08 | 2018-10-18 | A method for providing restricted access to hardware component interfaces of a network device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111328395A CN111328395A (zh) | 2020-06-23 |
| CN111328395B true CN111328395B (zh) | 2024-03-26 |
Family
ID=60327072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880072321.9A Active CN111328395B (zh) | 2017-11-08 | 2018-10-18 | 用于提供对网络设备的硬件组件接口的受限访问的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11657183B2 (zh) |
| EP (2) | EP3483769A1 (zh) |
| CN (1) | CN111328395B (zh) |
| WO (1) | WO2019091738A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3609240A1 (de) | 2018-08-09 | 2020-02-12 | Siemens Aktiengesellschaft | Computerimplementiertes verfahren und netzwerkzugangsserver zum verbinden einer netzwerkkomponente mit einem netzwerk, insbesondere einem mobilfunknetz, mit einem erweiterten netzwerkzugangskennzeichen |
| AU2020289963B2 (en) | 2019-06-14 | 2022-10-20 | Siemens Mobility GmbH | Computing system and method for operating a computing system |
| CN111049855B (zh) * | 2019-12-25 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种基于标签的策略配置方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN104335220A (zh) * | 2012-03-30 | 2015-02-04 | 爱迪德加拿大公司 | 用于防止和检测安全威胁的方法和系统 |
| CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
| CN106326738A (zh) * | 2015-06-30 | 2017-01-11 | 卡巴斯基实验室股份公司 | 计算机安全体系架构及相关的计算方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6801948B2 (en) * | 2000-12-15 | 2004-10-05 | Hewlett-Packard Development Company, L.P. | System and method for a streams based network access control for a computer |
| US8510805B2 (en) * | 2008-04-23 | 2013-08-13 | Samsung Electronics Co., Ltd. | Safe and efficient access control mechanisms for computing environments |
| US10802990B2 (en) * | 2008-10-06 | 2020-10-13 | International Business Machines Corporation | Hardware based mandatory access control |
| US8813210B2 (en) * | 2011-11-29 | 2014-08-19 | Samsung Electronics Co., Ltd. | Enhancing network controls in mandatory access control computing environments |
| US10691739B2 (en) * | 2015-12-22 | 2020-06-23 | Mcafee, Llc | Multi-label content recategorization |
-
2017
- 2017-11-08 EP EP17200614.0A patent/EP3483769A1/en not_active Withdrawn
-
2018
- 2018-10-18 WO PCT/EP2018/078479 patent/WO2019091738A1/en unknown
- 2018-10-18 EP EP18793615.8A patent/EP3665607B1/en active Active
- 2018-10-18 CN CN201880072321.9A patent/CN111328395B/zh active Active
- 2018-10-18 US US16/758,062 patent/US11657183B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101727545A (zh) * | 2008-10-10 | 2010-06-09 | 中国科学院研究生院 | 一种安全操作系统强制访问控制机制的实施方法 |
| CN101567888A (zh) * | 2008-12-29 | 2009-10-28 | 郭世泽 | 网络反馈主机安全防护方法 |
| CN101997912A (zh) * | 2010-10-27 | 2011-03-30 | 苏州凌霄科技有限公司 | 基于Android平台的强制访问控制装置及控制方法 |
| CN104335220A (zh) * | 2012-03-30 | 2015-02-04 | 爱迪德加拿大公司 | 用于防止和检测安全威胁的方法和系统 |
| CN106326738A (zh) * | 2015-06-30 | 2017-01-11 | 卡巴斯基实验室股份公司 | 计算机安全体系架构及相关的计算方法 |
| CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3665607B1 (en) | 2024-02-28 |
| US11657183B2 (en) | 2023-05-23 |
| EP3483769A1 (en) | 2019-05-15 |
| CN111328395A (zh) | 2020-06-23 |
| EP3665607C0 (en) | 2024-02-28 |
| WO2019091738A1 (en) | 2019-05-16 |
| US20210192083A1 (en) | 2021-06-24 |
| EP3665607A1 (en) | 2020-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10361998B2 (en) | Secure gateway communication systems and methods | |
| US20220198047A1 (en) | Process Control Software Security Architecture Based On Least Privileges | |
| CN111328395B (zh) | 用于提供对网络设备的硬件组件接口的受限访问的方法 | |
| CN100492300C (zh) | 在微处理器实现的设备上执行进程的系统和方法 | |
| CN110326268B (zh) | 用于保护现场设备的透明防火墙 | |
| EP3129884A1 (en) | Method and system for providing security aware applications | |
| JP7374792B2 (ja) | 技術的システムの要素のitセキュリティを段階的に増加させるシステムおよび方法 | |
| Wang et al. | Enhanced security of building automation systems through microkernel-based controller platforms | |
| RU2746105C2 (ru) | Система и способ конфигурирования шлюза для защиты автоматизированных систем | |
| RU2724796C1 (ru) | Система и способ защиты автоматизированных систем при помощи шлюза | |
| EP3509004A1 (en) | Adaption of mac policies in industrial devices | |
| CN111343000B (zh) | 用于配置网关以保护自动化系统的系统和方法 | |
| EP3113066B1 (en) | Computer security architecture and related computing method | |
| CN111343084B (zh) | 使用网关保护自动化系统的系统和方法 | |
| CN103812850A (zh) | 控制病毒访问网络的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |