CN113542291A - 物联网安全访问控制策略 - Google Patents
物联网安全访问控制策略 Download PDFInfo
- Publication number
- CN113542291A CN113542291A CN202110824641.9A CN202110824641A CN113542291A CN 113542291 A CN113542291 A CN 113542291A CN 202110824641 A CN202110824641 A CN 202110824641A CN 113542291 A CN113542291 A CN 113542291A
- Authority
- CN
- China
- Prior art keywords
- access
- role
- subject
- authority
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011217 control strategy Methods 0.000 title claims description 9
- 230000009471 action Effects 0.000 claims description 6
- 230000007423 decrease Effects 0.000 claims description 3
- 230000003068 static effect Effects 0.000 description 8
- 230000007613 environmental effect Effects 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
一种物联网安全访问控制策略,该策略包括:根据访问主体的角色,以及相应的角色权限,给予该访问主体相应的访问操作权限;根据访问主体和被访问主体的属性,以及访问操作类型,给予该访问主体相应的访问操作权限;根据动态环境因素,确定访问主体信任值,据此给予该访问主体相应的访问操作权限。所述的动态环境因素包括漏洞、APT攻击以及访问主体状态因子。
Description
技术领域
本发明属于物联网技术领域,具体地说涉及一种动静态结合的安全访问控制策略。
背景技术
随着零信任概念的提出,以及物联网在生产生活的各个领域中的使用越来越广泛,尤其是在电力系统中,物联网终端的数量庞大,种类繁多,并且随着电力系统的智能化,终端的数量和种类还会进一步增加,这给电力系统的安全防护和运维带来了巨大的压力。因此,对海量物联网设备访问,制定控制策略以确保其访问安全的必要性迫在眉睫。
发明内容
本发明公开了一种通过动态和静态等多种参数对访问进行控制策略。目的是解决现有物联网访问控制问题的压力。
本发明的实施例之一的技术方案包括:
(1)基于角色的规则定义访问功能,对于不同角色的主体,对不同的最小权限及定向权限的规则策略;
(2)基于访问主题与被访问主题直接的规则策略;
(3)根据动态环境因素,规定自身的不可信任值,用于基础信任分数上的增加或减少。
本发明通过动态和静态等多种参数对物联网终端设备访问进行控制的方法,从而对物联网设备的访问策略进行优化,增加可信认证和动态评估的准确度,提高物联网设备的安全性。
具体实施方式
由于物联网终端数量众多,针对各式各样不同类型及厂商的设备,使用传统的访问策略,仅是通过对访问设备的属性及访问路径进行识别,对管控度和安全性都是一种及其大的考验。
例如对于摄像头设备的视频上传访问,若要通过对设备的设备信息及访问路径来判定的话,其一,IP信息是可以伪造的;其二,假如存在一个释放间谍程序的脚本,这个脚本可能是不会被检测出来的;其三,单一的安全策略过于片面,容易存在漏网之鱼;其四,没有访问策略规定,一旦威胁进程突破防线很可能造成大规模信息泄露或者设备瘫痪。
根据一个或者多个实施例,一种动静态结合的物联网访问控制策略,包括步骤:
(1)基于角色的规则定义访问功能,通过对访问角色以及对应角色的权限进行评估,对于不同角色的主体如服务器server、边缘物联代理、端点等,对其进行对应的角色范围进行操作,给与不同的最小权限及定向权限的规则策略;
(2)基于访问主体与被访问主题直接的规则策略,对于访问主体和被访问主体的属性以及操作类型进行评估;
(3)根据动态环境因素,规定自身的不可信任值,用于基础信任分数上的增加或减少,其中动态环境因素包括漏洞因素,APT攻击以及主体状态因子如电压温度电流等;其中,
对于访问主体,需要定义其角色性质以及规定对应角色所该拥有的最小权限和定向权限。同时对访问主体和被访问主体和访问的操作类型进行标记,记录创建此次操作的创建者。对应赋予角色及其对应功能的访问主体,需要对其周围的动态环境因素进行分析判定,如对其访问的被访问主体的频度,以及如设备的温度,电流,电压等外在环境因素。
根据一个或者多个实施例,一种动静态结合的访问控制策略,包括步骤:
(1)基于角色的规则定义访问功能,通过对访问角色以及对应角色的权限进行评估,对于不同角色的主体如server、边代、端点等,对其进行对应的角色范围进行操作,给与不同的最小权限及定向权限的规则策略;
(2)基于访问主体与被访问主题直接的规则策略,对于访问主体和被访问主体的属性以及操作类型进行为参考的规则策略;
(3)根据动态环境因素,规定自身的不可信任值,用于基础信任分数上的增加或减少,其中动态环境因素包括漏洞因素,APT攻击以及主体状态因子如电压温度电流等。
在本发明实施例中,利用对多维度动静态因素的分析,优化了访问控制策略的模式,在业务场景中极大程度上提高了只用静态数据导致的设备被篡改或者替换导致的数据泄露。
步骤(1)中,基于角色权限的访问控制策略,具体内容包括:
定义角色类型,设定不同的角色或者说部门,分组等类型说法,对权限进行划分,如管理员,普通员工,访客等,或者对于设备主体的角色比如边代,服务,端口等等,不同的角色对应不同的权限内容,如表1所示。
表1基于角色的访问控制策略表
字段 | 关键字 | 类型 | 描述 | 默认值 |
类型 | type | 规则类型 | role:角色 | |
规则名 | name | str | 现则的唯一ID | |
角色名 | role | str | 角色的唯 | |
权限模块 | list | |||
str | action:动作事件 | |||
str | target:动作目标:目标ID/host | |||
Str | type:目标类型 | server/host/ | ||
data:具体访问内容 | ip/url/domain/server | |||
等级 | level | int | 角色策略等级 | 0-100 |
创建人 | create_usel | str/uuid | 用户ID | 创建用户 |
创建时间 | Create_time | datetime | 规则创建时间 | daterime.now() |
对于设定好的角色策略,可以设定不同的最小权限或者定向权限,如:
1、基于服务器server:
最小权限规则:server_base_role:允许访问一些基本的get之类的请求任务,定向权限规则:server_${special}_role:自定义server的角色权限;
2、基于边缘物联代理:
最小权限规则:agent_base_role:允许访问一些基本的server访问功能,定向权限规则:agent_${special}_role:自定义组合server的角色权限;
3、基于端点:
最小权限规则:client_base_role:允许访问一些server、边代或者端点请求任务角色权限,
定向权限规则:client_${special}_role:自定义server、边代或者端点请求任务角色权限。
对于不同的角色策略,设置不同的基础信任值权重要求,综合以上参数,对于不满足该策略规则的访问进行阻断。
步骤(2)中基于访问主体和被访问主体的访问控制策略,具体内容如下,
基于访问主体及被访问主体的访问策略。通过对流量解析,识别访问主体的信息的采集和识别,获取访问主体信息,及对于被访问主体及访问方式(包括增删改查等),以A->B的进程作为一次访问流程(如A对B执行访问操作)具体参数如表2所示。
表2基于访问与被访问主体的访问控制策略表
针对访问主体和被访问主体,以及设定的角色最小权限,操作类型和权重等级等多方位因素,进行访问许可判定,对不满足该策略的访问进行阻断。
步骤(3)中,基于动态环境因素,规定自身的不可信任值,用于基础信任分数上的增加或减少,对于动态环境因素的规定可分为如表3所示的分类。将环境因子作为判定本体安全的一大重要因素,那么对于带有动态环境因素的访问,请求参数如表4所示。通过制定动态因子的一个加减分策略规则,对带有特定动态环境因子的访问主体进行信任分修正,如在一定时间内高频率电流与额定电流区间存在较大偏差的主体,将其的基础信任评分降低。那么对于长期由于动态因子的偏差导致信任分降低以至于不满足其控制策略的访问,进行阻断。
表3动态环境因子的示例表
表4基于动态环境因子的访问控制策略表
本发明具有的有益效果包括,
通过结合动静态访问控制策略,以此通过多种维度多因素策略方法,对访问主体及访问请求进行更为精准的判定,仿制威胁程序有机可乘,大大的提高了物联终端设备的安全性,以及日志等信息的安全性。
值得说明的是,虽然前述内容已经参考若干具体实施方式描述了本发明创造的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (7)
1.一种物联网安全访问控制策略,其特征在于,该策略包括:
根据访问主体的角色,以及相应的角色权限,给予该访问主体相应的访问操作权限;
根据访问主体和被访问主体的属性,以及访问操作类型,给予该访问主体相应的访问操作权限;
根据动态环境因素,确定访问主体信任值,据此给予该访问主体相应的访问操作权限。
2.根据权利要求1所述的物联网安全访问控制策略,其特征在于,所述的动态环境因素包括漏洞、APT攻击以及访问主体状态因子。
3.根据权利要求2所述的物联网安全访问控制策略,其特征在于,所述访问主体状态因子包括,电压、温度和/或电流。
7.根据权利要求1所述的物联网安全访问控制策略,其特征在于,基于角色权限的访问控制策略,包括:
定义角色类型,设定不同的角色,对权限进行划分,不同的角色对应不同的权限内容,如下表所示,
。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110824641.9A CN113542291A (zh) | 2021-07-21 | 2021-07-21 | 物联网安全访问控制策略 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110824641.9A CN113542291A (zh) | 2021-07-21 | 2021-07-21 | 物联网安全访问控制策略 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113542291A true CN113542291A (zh) | 2021-10-22 |
Family
ID=78100690
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110824641.9A Pending CN113542291A (zh) | 2021-07-21 | 2021-07-21 | 物联网安全访问控制策略 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542291A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
CN102347958A (zh) * | 2011-11-18 | 2012-02-08 | 上海电机学院 | 一种基于用户信任的动态分级访问控制方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
-
2021
- 2021-07-21 CN CN202110824641.9A patent/CN113542291A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
CN102347958A (zh) * | 2011-11-18 | 2012-02-08 | 上海电机学院 | 一种基于用户信任的动态分级访问控制方法 |
CN104967620A (zh) * | 2015-06-17 | 2015-10-07 | 中国科学院信息工程研究所 | 一种基于属性访问控制策略的访问控制方法 |
Non-Patent Citations (3)
Title |
---|
黄延森: "《基于属性的访问控制策略合成研究》", 《万方学位论文库》 * |
黄延森: "《基于属性的访问控制策略合成研究》", 《万方学位论文库》, 24 April 2013 (2013-04-24), pages 15 * |
黄廷森: "基于属性的访问控制策略合成研究", pages 15 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10164993B2 (en) | Distributed split browser content inspection and analysis | |
EP2933973B1 (en) | Data protection method, apparatus and system | |
CN101894225B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
Ma et al. | Research on SQL injection attack and prevention technology based on web | |
US7702693B1 (en) | Role-based access control enforced by filesystem of an operating system | |
US10009370B1 (en) | Detection and remediation of potentially malicious files | |
US20130133026A1 (en) | System, method, and apparatus for data, data structure, or encryption cognition incorporating autonomous security protection | |
US20050114673A1 (en) | Method and system for establishing a consistent password policy | |
US20060272021A1 (en) | Scanning data in an access restricted file for malware | |
US20140201526A1 (en) | System, method, and apparatus for data, data structure, or encryption key cognition incorporating autonomous security protection | |
WO2020000749A1 (zh) | 一种越权漏洞检测方法及装置 | |
US20120167164A1 (en) | System, method, and apparatus for encryption key cognition incorporating autonomous security protection | |
US20230297676A1 (en) | Systems and methods for code injection detection | |
LeMay et al. | The common misuse scoring system (CMSS): Metrics for software feature misuse vulnerabilities | |
CN113542291A (zh) | 物联网安全访问控制策略 | |
Sheng | Research on SQL injection attack and defense technology of power dispatching data network: Based on data mining | |
Seong et al. | Security Improvement of File System Filter Driver in Windows Embedded OS. | |
US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
US11425092B2 (en) | System and method for analytics based WAF service configuration | |
Helmer et al. | Anomalous intrusion detection system for hostile Java applets | |
Muntjir et al. | Security Issues and Their Techniques in DBMS-A Novel Survey | |
Song et al. | Operating system security and host vulnerability evaluation | |
Liu et al. | A sensitive file abnormal access detection method based on application classification | |
Kim et al. | A Study on Vulnerabilities of Linux Password and Countermeasures | |
Viswanathan et al. | Dynamic monitoring of website content and alerting defacement using trusted platform module |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211022 |