CN114070600A - 一种基于零信任模型的工业互联网领域身份访问控制方法 - Google Patents
一种基于零信任模型的工业互联网领域身份访问控制方法 Download PDFInfo
- Publication number
- CN114070600A CN114070600A CN202111332682.2A CN202111332682A CN114070600A CN 114070600 A CN114070600 A CN 114070600A CN 202111332682 A CN202111332682 A CN 202111332682A CN 114070600 A CN114070600 A CN 114070600A
- Authority
- CN
- China
- Prior art keywords
- access
- user
- trust
- strategy
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于零信任模型的工业互联网领域身份访问控制方法,包括注册、审核、管理、发布应用、订阅和管理、管理策略和集中授权、用户身份认证、请求访问代理、信任计算、策略执行、判决、应用网关处理步骤。本发明将网络安全技术领域的零信任模型应用到工业互联网行业领域,从而解决客户、工业设备、应用系统和服务之间数据访问时的身份验证、权限控制和数据防护的不足,形成了一套高效完备的用户访问控制系统。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于零信任模型的工业互联网领域身份访问控制方法。
技术背景
网络安全技术是指保障网络系统硬件、软件、数据及其服务的安全而采取的信息安全技术。
当前仅靠基于边界的安全防护(如:网段隔离)以及静态的安全策略(如:权限控制)等手段不足以应对日趋复杂的现代网络安全风险。于是零信任概念被提出,其核心理念是“从不信任,持续校验”。即不再由一个清晰的边界来划分可信或不可信的网络和用户,而是当一个用户或设备想要访问某资源时,需要先证明自己的身份、获取相应的信任和权限,才能访问该资源,并且之前获得的信任和权限也仅限于本次该资源的访问,下一次访问或是其它资源的访问需要重新获取信任和权限。但它不是一种新技术,而是一种新的网络架构或模型。
传统工业互联网领域的身份认证方式通常是验证IP或MAC地址、账号与口令或单点登录等单一方式,缺乏有效和完备的解决方案。
本申请人通过潜心研发,将零信任理念应用到工业互联网领域的身份访问控制中,在实现用户身份可信、设备可信的同时,还提供用户身份的多因子认证、用户和设备访问的风险识别、用户验证通过后集中授权以及资源管理,从而提供一套高效完备的用户访问控制系统。
发明内容
本发明的目的在于提供一种基于零信任模型的工业互联网领域身份访问控制方法,将网络安全技术领域的零信任模型应用到工业互联网行业领域,从而解决客户、工业设备、应用系统和服务之间数据访问时的身份验证、权限控制和数据防护的不足,最终形成一套高效完备的用户访问控制系统。
实现上述目的的技术方案是:一种基于零信任模型的工业互联网领域身份访问控制方法,包括如下步骤:
注册步骤,工业互联网平台机构成员通过零信任平台注册,提交企业资料申请为租户管理员;
审核步骤,工业互联网平台管理员审核机构成员提交的资料,审核通过后创建租户信息,并发审核结果通知给机构成员;
管理步骤,租户管理员管理机构的组织和视图信息、用户和用户组信息、角色和角色组信息,以及用户组和角色组的关联关系;
发布应用步骤,第一机构成员的租户管理员通过应用市场发布自己的应用,平台管理员审核通过后,该应用信息对其他租户可见;
订阅和管理步骤,第二机构成员的租户管理员订阅第一机构成员发布的应用后,管理应用和角色的关联关系,并管理应用所属的资源;
管理策略和集中授权步骤,第二机构成员的租户管理员通过零信任平台管理集中授权策略,管理策略和资源的关联关系;
用户身份认证步骤,第二机构成员的用户将身份请求与数字证书一起发送访问代理,访问代理通过零信任平台,根据注册的设备、身份和数字证书的有效性决定是否继续处理数据访问请求,并结合访问主体的上下文、操作风险、行为分析多重因素进行多因子认证;
请求访问代理步骤,第二机构成员的用户将访问请求与认证通过后的令牌一起发送访问代理;
信任计算步骤,访问代理经过零信任平台的访问控制引擎,访问控制引擎获取用户信息、环境因素的实时、动态信息进行信任计算;
策略执行步骤,访问控制引擎结合信任计算结果,生成针对当前访问请求的实例化访问属性元组,通过实施策略指定授权服务器接受到请求时策略如何执行;
判决步骤,访问控制引擎结合匹配的策略执行结果和决策策略进行判决,以决定相应的资源是否能获得授权;
应用网关处理步骤,访问控制引擎根据策略判决结果和策略实施结果进行资源访问,若信息为访问拒绝信息,则告知访问代理终止与访问主体的本次连接;若信息为访问允许信息,则对主体授权,并将数据访问请求转发至工业互联网平台应用网关,工业互联网平台应用网关收到数据访问请求,执行请求中的应用访问指令,并将指令执行结果经由访问代理返回至用户处。
在上述的一种基于零信任模型的工业互联网领域身份访问控制方法中,在所述管理步骤中,关联关系如下:
1)一个机构有多个组织视图,一个组织视图由多个组织构成的组织树组成;
2)一个用户组有多个用户,一个用户可以加入不同的用户组;
3)一个角色组有多个角色组成,一个角色可以属于不同的角色组;
4)一个用户组可以分配一个角色组,一个角色组可以赋予不同用户组角色。
在上述的一种基于零信任模型的工业互联网领域身份访问控制方法中,在所述的管理策略和集中授权步骤中,具体操作如下:
1)定义不同类型的资源策略,资源策略支持三种类型:基于角色组、时间段、规则等策略类型,其中基于规则的资源策略支持访问主体上下文属性以及信任度的配置;
2)定义应用以及应用所属的资源,其中资源包含不同的API和操作方法;3)赋予资源不同的资源策略,以控制资源能访问的权限。
在上述的一种基于零信任模型的工业互联网领域身份访问控制方法,在所述的信任计算步骤中,在用户访问资源时,需要向系统提供用户的信息和环境的信息,所述信息会影响用户访问资源的信任度,所述的信任度计算方式如下:
1)将用户访问系统的评估属性分为用户属性和环境属性,对这些属性分解为多个评估因子;每个评估因子依据系统安全相关度进行计算,其值为负1到正1,负数是负面评估值,正数是正面评估值;
2)并赋予计算权重,所有评估因子的权重值事先由租户管理员在零信任平台配置,其值为正1到正10的整数;
3)累计多个评估因子的计算总和为可信度结果值,即:信任度计算结果值={评估因子得分*权重值}累计求和。
进一步地,所述评估因子包括用户身份、访问设备、组织、租户、访问时间、访问位置、访问网络IP地址、数字证书、威胁等级,以下评估因子均支持配置:
用户身份:最近一天新注册用户0分,已注册一周以上未登录负1分,其他正分;
访问设备:未登记过的设备0分,已登记但与历史设备不同负1分,其他正1分;
组织:安全要求相关部门0分,其他正1分;
租户:核心企业0分,其他正1分;
访问时间:非办公时间且非历史访问时间段负1分,非办公时间但属于历史访问时间段0分,其他正1分;
访问位置:非办公地点且非历史访问位置负1分,非办公地点但属于历史访问位置0分,其他正1分;
访问网络IP地址:非办公网络IP段0分,其他正1分;
数字证书:已过期或无效证书负1分,临过期1周内0分,其他正1分;
威胁等级:高风险负1分,中风险0分,其他正1分。
在上述的一种基于零信任模型的工业互联网领域身份访问控制方法中,在所述的策略执行步骤中,实施策略支持以下配置:
1)当资源没有配置关联的访问控制策略时,选择以下一种策略:拒绝用户访问、允许用户访问、依据配置的应用角色确定是否允许用户访问;否则执行访问控制策略配置的规则,获取策略执行结果;
2)禁用所有资源的所有访问策略,禁用后拒绝用户访问,并且不再执行访问控制策略配置的规则;
3)设置信任度阈值,当系统识别到风险时即信任度计算结果低于阈值,策略引擎下发指令进行处置,动态缩小访问主体的访问权限,或者禁止用户访问。
在上述的一种基于零信任模型的工业互联网领域身份访问控制方法中,在所述的判决步骤中,决策策略支持三种类型判决:
1)至少一个策略执行做出正向决定;
2)多数策略执行做出正向决定;
3)所有策略执行均做出正向决定。反向决定只需一个策略执行做出即符合访问拒绝条件。决策判决过程中,为优化决策性能,根据决策策略的配置,当有一个策略执行做出满足访问拒绝或允许条件时,其他决策不再继续执行。
由于采用了上述的技术解决方案,通过信任度的计算持续校验了访问主体自身的安全性,实时识别访问主体的风险,以确保身份、设备以及环境可信;通过策略的实施动态调整访问主体的权限,避免访问资源受攻击;通过策略规则的执行和决策策略的判决,细粒度控制了资源的访问权限。这种从访问主体的持续校验到资源的访问控制方法提高了工业互联网平台的网络访问安全性。
附图说明
图1是本发明方法的流程框图。
具体实施方式
下面将结合附图对本发明作进一步说明。
请参阅图1,本发明一种基于零信任模型的工业互联网领域身份访问控制方法,该方法包括以下步骤:
S1.工业互联网平台机构成员通过零信任平台注册,提交企业资料申请为租户管理员。
S2.工业互联网平台管理员审核机构成员提交的资料,审核通过后创建租户信息,并发审核结果通知给机构成员。
S3.租户管理员管理机构的组织和视图信息、用户和用户组信息、角色和角色组信息,以及用户组和角色组的关联关系。关联关系如下:1)一个机构有多个组织视图,一个组织视图由多个组织构成的组织树组成;2)一个用户组有多个用户,一个用户可以加入不同的用户组;3)一个角色组有多个角色组成,一个角色可以属于不同的角色组;4)一个用户组可以分配一个角色组,一个角色组可以赋予不同用户组角色。
S4.第一机构成员的租户管理员通过应用市场发布自己的应用,平台管理员审核通过后,该应用信息对其他租户可见。
S5.第二机构成员的租户管理员订阅第一机构成员发布的应用后,管理应用和角色的关联关系,并管理应用所属的资源。
S6.第二机构成员的租户管理员通过零信任平台管理集中授权策略,管理策略和资源的关联关系。具体操作如下:1)定义不同类型的资源策略,资源策略支持三种类型:基于角色组、时间段、规则等策略类型,其中基于规则的资源策略支持访问主体上下文属性以及信任度的配置;2)定义应用以及应用所属的资源,其中资源包含不同的API和操作方法;3)赋予资源不同的资源策略,以控制资源能访问的权限。
S7.第二机构成员的用户将身份请求与数字证书一起发送访问代理,访问代理通过零信任平台,根据注册的设备、身份和数字证书的有效性决定是否继续处理数据访问请求,并结合访问主体的上下文、操作风险、行为分析多重因素进行多因子认证。
S8.第二机构成员的用户将访问请求与认证通过后的令牌一起发送访问代理;
S9.访问代理经过零信任平台的访问控制引擎,访问控制引擎获取用户信息、环境因素的实时、动态信息进行信任计算。在用户访问资源时,需要向系统提供用户的信息和环境的信息,这些信息会影响用户访问资源的信任度。信任度的计算如下:1)将用户访问系统的评估属性分为用户属性和环境属性,对这些属性分解为多个评估因子;每个评估因子依据系统安全相关度进行计算,其值为负1到正1,负数是负面评估值,正数是正面评估值;2)并赋予计算权重,所有评估因子的权重值事先由租户管理员在零信任平台配置,其值为正1到正10的整数;3)累计多个评估因子的计算总和为可信度结果值。
评估因子分为用户身份、访问设备、组织、租户、访问时间、访问位置、访问网络IP地址、数字证书、威胁等级。以下评估因子均支持配置:
用户身份:最近一天新注册用户0分,已注册一周以上未登录负1分,其他正分。
访问设备:未登记过的设备0分,已登记但与历史设备不同负1分,其他正1分。
组织:安全要求相关部门0分,其他正1分。
租户:核心企业0分,其他正1分。
访问时间:非办公时间且非历史访问时间段负1分,非办公时间但属于历史访问时间段0分,其他正1分。
访问位置:非办公地点且非历史访问位置负1分,非办公地点但属于历史访问位置0分,其他正1分。
访问网络IP地址:非办公网络IP段0分,其他正1分。
数字证书:已过期或无效证书负1分,临过期1周内0分,其他正1分。
威胁等级:高风险负1分,中风险0分,其他正1分。
信任度计算结果值={评估因子得分*权重值}累计求和。
S10.访问控制引擎结合信任计算结果,生成针对当前访问请求的实例化访问属性元组,通过实施策略指定授权服务器接受到请求时策略如何执行。实施策略支持以下配置:1)当资源没有配置关联的访问控制策略时,选择以下一种策略:拒绝用户访问、允许用户访问、依据配置的应用角色确定是否允许用户访问;否则执行访问控制策略配置的规则,获取策略执行结果;2)禁用所有资源的所有访问策略,禁用后拒绝用户访问,并且不再执行访问控制策略配置的规则;3)设置信任度阈值,当系统识别到风险时即信任度计算结果低于阈值,策略引擎下发指令进行处置,动态缩小访问主体的访问权限,或者禁止用户访问。
S11.访问控制引擎结合匹配的策略执行结果和决策策略进行判决,以决定相应的资源是否能获得授权。决策策略支持三种类型判决:1)至少一个策略执行做出正向决定;2)多数策略执行做出正向决定;
3)所有策略执行均做出正向决定。反向决定只需一个策略执行做出即符合访问拒绝条件。决策判决过程中,为优化决策性能,根据决策策略的配置,当有一个策略执行做出满足访问拒绝或允许条件时,其他决策不再继续执行。
S12.访问控制引擎根据策略判决结果和策略实施结果进行资源访问。若信息为访问拒绝信息,则告知访问代理终止与访问主体的本次连接;若信息为访问允许信息,则对主体授权,并将数据访问请求转发至工业互联网平台应用网关,工业互联网平台应用网关收到数据访问请求,执行请求中的应用访问指令,并将指令执行结果经由访问代理返回至用户处。
本发明的关键技术点:
通过信任度的计算持续校验了访问主体自身的安全性,实时识别访问主体的风险,以确保身份、设备以及环境可信;通过策略的实施动态调整访问主体的权限,避免访问资源受攻击;通过策略规则的执行和决策策略的判决,细粒度控制了资源的访问权限。这种从访问主体的持续校验到资源的访问控制方法提高了工业互联网平台的网络访问安全性。
以上结合附图实施例对本发明进行了详细说明,本领域中普通技术人员可根据上述说明对本发明做出种种变化例。因而,实施例中的某些细节不应构成对本发明的限定,本发明将以所附权利要求书界定的范围作为本发明的保护范围。
Claims (7)
1.一种基于零信任模型的工业互联网领域身份访问控制方法,包括如下步骤:
注册步骤,工业互联网平台机构成员通过零信任平台注册,提交企业资料申请为租户管理员;
审核步骤,工业互联网平台管理员审核机构成员提交的资料,审核通过后创建租户信息,并发审核结果通知给机构成员;
管理步骤,租户管理员管理机构的组织和视图信息、用户和用户组信息、角色和角色组信息,以及用户组和角色组的关联关系;
发布应用步骤,第一机构成员的租户管理员通过应用市场发布自己的应用,平台管理员审核通过后,该应用信息对其他租户可见;
订阅和管理步骤,第二机构成员的租户管理员订阅第一机构成员发布的应用后,管理应用和角色的关联关系,并管理应用所属的资源;
管理策略和集中授权步骤,第二机构成员的租户管理员通过零信任平台管理集中授权策略,管理策略和资源的关联关系;
用户身份认证步骤,第二机构成员的用户将身份请求与数字证书一起发送访问代理,访问代理通过零信任平台,根据注册的设备、身份和数字证书的有效性决定是否继续处理数据访问请求,并结合访问主体的上下文、操作风险、行为分析多重因素进行多因子认证;
请求访问代理步骤,第二机构成员的用户将访问请求与认证通过后的令牌一起发送访问代理;
信任计算步骤,访问代理经过零信任平台的访问控制引擎,访问控制引擎获取用户信息、环境因素的实时、动态信息进行信任计算;
策略执行步骤,访问控制引擎结合信任计算结果,生成针对当前访问请求的实例化访问属性元组,通过实施策略指定授权服务器接受到请求时策略如何执行;
判决步骤,访问控制引擎结合匹配的策略执行结果和决策策略进行判决,以决定相应的资源是否能获得授权;
应用网关处理步骤,访问控制引擎根据策略判决结果和策略实施结果进行资源访问,若信息为访问拒绝信息,则告知访问代理终止与访问主体的本次连接;若信息为访问允许信息,则对主体授权,并将数据访问请求转发至工业互联网平台应用网关,工业互联网平台应用网关收到数据访问请求,执行请求中的应用访问指令,并将指令执行结果经由访问代理返回至用户处。
2.根据权利要求1所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:
在所述的管理步骤中,关联关系如下:
1)一个机构有多个组织视图,一个组织视图由多个组织构成的组织树组成;
2)一个用户组有多个用户,一个用户可以加入不同的用户组;
3)一个角色组有多个角色组成,一个角色可以属于不同的角色组;
4)一个用户组可以分配一个角色组,一个角色组可以赋予不同用户组角色。
3.根据权利要求1所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:
在所述的管理策略和集中授权步骤中,具体操作如下:
1)定义不同类型的资源策略,资源策略支持三种类型:基于角色组、时间段、规则等策略类型,其中基于规则的资源策略支持访问主体上下文属性以及信任度的配置;
2)定义应用以及应用所属的资源,其中资源包含不同的API和操作方法;
3)赋予资源不同的资源策略,以控制资源能访问的权限。
4.根据权利要求1所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:
在所述的信任计算步骤中,在用户访问资源时,需要向系统提供用户的信息和环境的信息,所述信息会影响用户访问资源的信任度,所述的信任度计算方式如下:
1)将用户访问系统的评估属性分为用户属性和环境属性,对这些属性分解为多个评估因子;每个评估因子依据系统安全相关度进行计算,其值为负1到正1,负数是负面评估值,正数是正面评估值;
2)并赋予计算权重,所有评估因子的权重值事先由租户管理员在零信任平台配置,其值为正1到正10的整数;
3)累计多个评估因子的计算总和为可信度结果值,即:信任度计算结果值={评估因子得分*权重值}累计求和。
5.根据权利要求4所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:其中:
所述评估因子包括用户身份、访问设备、组织、租户、访问时间、访问位置、访问网络IP地址、数字证书、威胁等级,以下评估因子均支持配置:
用户身份:最近一天新注册用户0分,已注册一周以上未登录负1分,其他正分;
访问设备:未登记过的设备0分,已登记但与历史设备不同负1分,其他正1分;
组织:安全要求相关部门0分,其他正1分;
租户:核心企业0分,其他正1分;
访问时间:非办公时间且非历史访问时间段负1分,非办公时间但属于历史访问时间段0分,其他正1分;
访问位置:非办公地点且非历史访问位置负1分,非办公地点但属于历史访问位置0分,其他正1分;
访问网络IP地址:非办公网络IP段0分,其他正1分;
数字证书:已过期或无效证书负1分,临过期1周内0分,其他正1分;
威胁等级:高风险负1分,中风险0分,其他正1分。
6.根据权利要求1所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:
在所述的策略执行步骤中,实施策略支持以下配置:
1)当资源没有配置关联的访问控制策略时,选择以下一种策略:拒绝用户访问、允许用户访问、依据配置的应用角色确定是否允许用户访问;否则执行访问控制策略配置的规则,获取策略执行结果;
2)禁用所有资源的所有访问策略,禁用后拒绝用户访问,并且不再执行访问控制策略配置的规则;
3)设置信任度阈值,当系统识别到风险时即信任度计算结果低于阈值,策略引擎下发指令进行处置,动态缩小访问主体的访问权限,或者禁止用户访问。
7.根据权利要求1所述的一种基于零信任模型的工业互联网领域身份访问控制方法,其特征在于:
在所述的判决步骤中,决策策略支持三种类型判决:
1)至少一个策略执行做出正向决定;
2)多数策略执行做出正向决定;
3)所有策略执行均做出正向决定。反向决定只需一个策略执行做出即符合访问拒绝条件。决策判决过程中,为优化决策性能,根据决策策略的配置,当有一个策略执行做出满足访问拒绝或允许条件时,其他决策不再继续执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111332682.2A CN114070600B (zh) | 2021-11-11 | 2021-11-11 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111332682.2A CN114070600B (zh) | 2021-11-11 | 2021-11-11 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114070600A true CN114070600A (zh) | 2022-02-18 |
CN114070600B CN114070600B (zh) | 2023-09-29 |
Family
ID=80274997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111332682.2A Active CN114070600B (zh) | 2021-11-11 | 2021-11-11 | 一种基于零信任模型的工业互联网领域身份访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114070600B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114615030A (zh) * | 2022-02-27 | 2022-06-10 | 江苏欧软信息科技有限公司 | 一种基于工业互联网平台的身份认证方法和系统 |
CN114726547A (zh) * | 2022-05-16 | 2022-07-08 | 中国信息通信研究院 | 基于数据交换中间件工业互联网访问控制方法和可读介质 |
CN115051851A (zh) * | 2022-06-09 | 2022-09-13 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
CN115051877A (zh) * | 2022-08-12 | 2022-09-13 | 国网浙江省电力有限公司杭州供电公司 | 基于零信任模型的电网云业务安全访问方法 |
CN115065564A (zh) * | 2022-08-18 | 2022-09-16 | 天津天元海科技开发有限公司 | 一种基于零信任机制的访问控制方法 |
CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
CN115361186A (zh) * | 2022-08-11 | 2022-11-18 | 哈尔滨工业大学(威海) | 一种面向工业互联网平台的零信任网络架构 |
CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
CN115865606A (zh) * | 2022-12-06 | 2023-03-28 | 国网天津市电力公司 | 一种零信任下的分布式网络构建方法 |
CN116015930A (zh) * | 2022-12-30 | 2023-04-25 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
CN116015930B (zh) * | 2022-12-30 | 2024-05-28 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871880A (zh) * | 2016-05-10 | 2016-08-17 | 华中科技大学 | 一种云环境下基于信任模型的跨租户访问控制方法 |
CN110334489A (zh) * | 2019-07-12 | 2019-10-15 | 广州大白互联网科技有限公司 | 一种统一身份认证系统和方法 |
CN110915247A (zh) * | 2017-07-20 | 2020-03-24 | T移动美国公司 | 订阅管理服务数据馈送 |
US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
CN112966245A (zh) * | 2021-04-07 | 2021-06-15 | 中国南方电网有限责任公司 | 一种基于信息度量的电网信息系统访问控制方法和系统 |
CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
-
2021
- 2021-11-11 CN CN202111332682.2A patent/CN114070600B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105871880A (zh) * | 2016-05-10 | 2016-08-17 | 华中科技大学 | 一种云环境下基于信任模型的跨租户访问控制方法 |
CN110915247A (zh) * | 2017-07-20 | 2020-03-24 | T移动美国公司 | 订阅管理服务数据馈送 |
CN110334489A (zh) * | 2019-07-12 | 2019-10-15 | 广州大白互联网科技有限公司 | 一种统一身份认证系统和方法 |
US20210044623A1 (en) * | 2019-08-07 | 2021-02-11 | Cisco Technology, Inc. | Dynamically tailored trust for secure application-service networking in an enterprise |
CN113051602A (zh) * | 2021-01-22 | 2021-06-29 | 东南大学 | 一种基于零信任架构的数据库细粒度访问控制方法 |
CN112966245A (zh) * | 2021-04-07 | 2021-06-15 | 中国南方电网有限责任公司 | 一种基于信息度量的电网信息系统访问控制方法和系统 |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114615030A (zh) * | 2022-02-27 | 2022-06-10 | 江苏欧软信息科技有限公司 | 一种基于工业互联网平台的身份认证方法和系统 |
CN114615030B (zh) * | 2022-02-27 | 2023-09-19 | 江苏欧软信息科技有限公司 | 一种基于工业互联网平台的身份认证方法和系统 |
CN114726547A (zh) * | 2022-05-16 | 2022-07-08 | 中国信息通信研究院 | 基于数据交换中间件工业互联网访问控制方法和可读介质 |
CN115051851B (zh) * | 2022-06-09 | 2023-04-07 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
CN115051851A (zh) * | 2022-06-09 | 2022-09-13 | 北京交通大学 | 物联网场景下的用户访问行为管控系统和方法 |
CN115118465A (zh) * | 2022-06-13 | 2022-09-27 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
CN115118465B (zh) * | 2022-06-13 | 2023-11-28 | 北京寰宇天穹信息技术有限公司 | 一种基于可信标签的云边端协同零信任访问控制方法及系统 |
CN115361186B (zh) * | 2022-08-11 | 2024-04-19 | 哈尔滨工业大学(威海) | 一种面向工业互联网平台的零信任网络架构 |
CN115361186A (zh) * | 2022-08-11 | 2022-11-18 | 哈尔滨工业大学(威海) | 一种面向工业互联网平台的零信任网络架构 |
CN115051877A (zh) * | 2022-08-12 | 2022-09-13 | 国网浙江省电力有限公司杭州供电公司 | 基于零信任模型的电网云业务安全访问方法 |
CN115051877B (zh) * | 2022-08-12 | 2022-11-01 | 国网浙江省电力有限公司杭州供电公司 | 基于零信任模型的电网云业务安全访问方法 |
CN115065564A (zh) * | 2022-08-18 | 2022-09-16 | 天津天元海科技开发有限公司 | 一种基于零信任机制的访问控制方法 |
CN115065564B (zh) * | 2022-08-18 | 2022-11-01 | 天津天元海科技开发有限公司 | 一种基于零信任机制的访问控制方法 |
CN115622785A (zh) * | 2022-10-24 | 2023-01-17 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
CN115865606A (zh) * | 2022-12-06 | 2023-03-28 | 国网天津市电力公司 | 一种零信任下的分布式网络构建方法 |
CN116015930A (zh) * | 2022-12-30 | 2023-04-25 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
CN116015930B (zh) * | 2022-12-30 | 2024-05-28 | 四川启睿克科技有限公司 | 基于工业互联网的零信任接入安全管理系统 |
CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114070600B (zh) | 2023-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114070600A (zh) | 一种基于零信任模型的工业互联网领域身份访问控制方法 | |
US10055561B2 (en) | Identity risk score generation and implementation | |
CN113051602B (zh) | 一种基于零信任架构的数据库细粒度访问控制方法 | |
US7568218B2 (en) | Selective cross-realm authentication | |
US7614078B1 (en) | Threshold access based upon stored credentials | |
US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
CN112765639B (zh) | 基于零信任访问策略的安全微服务架构及实现方法 | |
Pal et al. | A new trusted and collaborative agent based approach for ensuring cloud security | |
US9635029B2 (en) | Role-based access control permissions | |
EP1764978B1 (en) | Attested identities | |
US7447755B1 (en) | Method and apparatus for policy management in a network device | |
US20180026987A1 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
US10165008B2 (en) | Using events to identify a user and enforce policies | |
US8881273B2 (en) | Device reputation management | |
EP3545451B1 (en) | Automatic forwarding of access requests and responses thereto | |
CN116708037B (zh) | 云平台访问权限控制方法及系统 | |
CN113472820A (zh) | 一种基于零信任模型的云资源安全隔离控制方法及系统 | |
Riad et al. | Multi-factor synthesis decision-making for trust-based access control on cloud | |
CN116418568A (zh) | 一种基于动态信任评估的数据安全访问控制方法、系统及存储介质 | |
US7072969B2 (en) | Information processing system | |
US20220038502A1 (en) | Method and system for processing authentication requests | |
CN109120607B (zh) | DDoS攻击的识别方法及系统 | |
Bahkali et al. | How Can Organizations Prevent Cyber Attacks Using Proper Cloud Computing Security? | |
CN117082084A (zh) | 一种基于数据接口池的数据开放共享系统与方法 | |
JP2003316745A (ja) | アクセス制御システムおよびアクセス権管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |