CN115051851B - 物联网场景下的用户访问行为管控系统和方法 - Google Patents

物联网场景下的用户访问行为管控系统和方法 Download PDF

Info

Publication number
CN115051851B
CN115051851B CN202210647830.8A CN202210647830A CN115051851B CN 115051851 B CN115051851 B CN 115051851B CN 202210647830 A CN202210647830 A CN 202210647830A CN 115051851 B CN115051851 B CN 115051851B
Authority
CN
China
Prior art keywords
user
access control
internet
identity
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210647830.8A
Other languages
English (en)
Other versions
CN115051851A (zh
Inventor
周华春
宋昊翔
涂哲
杨雨铮
李曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiaotong University
Original Assignee
Beijing Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiaotong University filed Critical Beijing Jiaotong University
Priority to CN202210647830.8A priority Critical patent/CN115051851B/zh
Publication of CN115051851A publication Critical patent/CN115051851A/zh
Application granted granted Critical
Publication of CN115051851B publication Critical patent/CN115051851B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供物联网场景下的用户访问行为管控系统和方法,属于网络信息安全技术领域,访问控制模块对用户访问物联网设备数据资源的请求进行决策和记录;身份与位置分离模块为LISP核心网中的数据包提供报文解封装和路由转发服务;安全反馈模块实时检测LISP网络中的恶意通信流量,利用模块间接口定位恶意通信用户、反馈恶意用户信息,并禁止各模块继续为恶意用户提供服务。本发明可满足物联网场景下的访问控制需求;能够持续监视访问控制的后续通信过程,根据通信行为动态的进行防御和响应,保障物联网设备产生的数据资源的安全;能够为用户访问物联网资源提供跨域的、身份与位置分离的网络场景,减小因传统互联网IP地址的“二义性”引发的安全风险。

Description

物联网场景下的用户访问行为管控系统和方法
技术领域
本发明涉及网络信息安全技术领域,具体涉及一种物联网场景下的用户访问行为管控系统和方法。
背景技术
随着物联网的飞速发展,物联网设备越发普及。在当今的数据化时代,海量物联网设备产生的大量异构数据的安全性和隐私性将比从前任何时候都更为重要。在物联网场景下,数据资源面临的挑战主要有下几个方面:
在访问控制方面,目前传统的访问控制方法都是集中式设计,存在单点故障、扩展困难、可靠性低、决策过程不透明等缺点,考虑到物联网设备数量多、分布广,且可能具有一定的移动性,集中式的访问控制往往难以满足物联网场景下的访问控制需求。但是,分布式的访问控制又需要设计复杂的数据同步和信任建立等机制,导致其实现过于困难。不过,随着区块链技术的兴起,区块链通过非对称加密算法和时间戳建立了信任机制,保证了信息在传输和共享过程中的及时性、安全性和可追溯性,能够给分布式的访问控制方法的实现提供天然的平台。因此,物联网场景下的访问控制需结合区块链技术,以提供分布式的技术支持,实现对数据资源灵活、透明且细粒度的管控。
此外,现有的访问控制方法多是片面且静态的,并不关注实体进行访问控制之后的通信过程,即使系统进行实时检测,后续也缺乏灵活动态的管控和策略调整能力,无法采用动态的防御手段和响应措施应对不同的安全需求和安全威胁。申请号为CN202111466329.3中国专利申请公开了一种基于区块链技术的大规模物联网访问控制方法,用于解决现有物联网访问控制技术必须基于中心化节点,难以应用于大规模物联网中多方介入场景的问题,但却没有考虑恶意用户可能伪装自己的身份以通过访问控制,从而对物联网设备发起攻击。鉴于物联网设备性能有限,无法对数据资源访问者的访问行为进行监督,因此需要在访问控制流程之后引入一个安全反馈机制,保障数据资源在整个被访过程中的动态安全性。
在网络架构方面,大部分物联网场景下的访问控制研究都默认用户、网关和物联网设备之间通过传统类型的网络进行通信,均没有考虑传统网络类型中IP地址具有“二义性”的问题(即网络中节点的身份与位置相互绑定)。身份与位置绑定的问题在物联网场景下是灾难性的,海量物联网设备的接入会让路由信息表快速增长,使路由器查找路由表项的压力急剧增大,如果路由器因此瘫痪,那么物联网设备产生的海量数据资源将失去价值。同时,如果核心网路由信息泄露,那么物联网设备的数据资源也很容易被定位和窃取。LISP协议提出的目的正是为了解决传统IP地址身份与位置分离的问题,为了提高物联网场景下访问控制系统的效率和安全性能,需要将LISP网络应用于物联网场景下的访问控制方法中。
发明内容
本发明的目的在于提供一种物联网场景下的用户访问行为管控系统和方法,以解决上述背景技术中存在的至少一项技术问题。
为了实现上述目的,本发明采取了如下技术方案:
一方面,本发明提供一种物联网场景下的用户访问行为管控系统,包括:
访问控制模块,用于采用基于属性的访问控制方法,根据用户属性、设备属性、环境属性和资源部署策略,对用户访问物联网设备数据资源的请求进行决策和记录;
身份与位置分离模块,用于基于身份与位置分离协议,为LISP接入网中的数据包提供IP地址解析映射、报文封装和路由转发服务,为LISP核心网中的数据包提供报文解封装和路由转发服务;
安全反馈模块,用于实时检测LISP网络中的恶意通信流量,利用模块间接口定位恶意通信用户、反馈恶意用户信息,并禁止各模块继续为恶意用户提供服务。
优选的,所述访问控制模块具体配置为:
接收用户的身份注册请求;通过调用访问控制智能合约,将表征用户身份的UID(User ID)以及该用户的用户属性存储在分布式区块链中,向用户返回注册结果;
接收物联网设备发送的资源策略部署请求;通过调用访问控制智能合约,将表征资源身份的RID(Resource ID)以及设备管理者部署的访问控制策略存储在分布式区块链中,向物联网设备返回资源策略部署结果;
接收用户的访问控制请求,用户发送的访问控制请求报文中应包含用于描述用户通信设备特征的设备属性;调用访问控制智能合约,根据用户身份UID获取区块链上存储的用户属性,根据资源RID获取区块链上存储的访问控制策略。根据当前时刻系统中可检测的环境特征获取环境属性;调用访问控制智能合约,根据用户属性、环境属性、设备属性以及访问控制策略对用户访问资源的请求进行决策,将该次访问控制记录存储在分布式区块链中,并向用户返回访问控制结果。
优选的,所述身份与位置分离模块具体被配置为:
接收用户的映射条目注册请求;调用访问控制智能合约获取用户访问控制记录中获权访问的资源RID集合;调用身份与位置分离智能合约,将表征用户身份的UID、用户在LISP接入网中的EID地址、接入网关在LISP核心网中的RLOC地址以及用户获权访问的资源RID集合以映射条目的形式存储在分布式区块链中,并向用户返回注册结果;
接收物联网设备的映射条目注册请求;通过调用身份与位置分离智能合约,将表征物联网设备资源的RID、物联网设备的在LISP接入网中的EID地址以及接入网关在LISP核心网中的RLOC地址以映射条目的形式存储在分布式区块链中,并向物联网设备返回注册结果;
接收LISP接入网中被转发至本模块所在网关的报文,通过调用身份与位置分离智能合约,将报文中的源IP地址(发端的EID地址)和目的IP地址(收端的EID地址)分别映射为对应映射条目中的RLOC地址;若两RLOC地址不相等,则表明该报文需要被跨域路由转发,则在原报文外新封装一个IP报头,新报头的源IP地址和目的IP地址分别旧报头中源IP地址和目的IP地址所映射的RLOC地址。将封装后的报文转发至LISP核心网;
接收LISP核心网中被转发至本模块所在网关的报文,通过去除报文的外层IP头对报文进行解封装,并将解封装后的原始报文转发至目的节点,即原报头中的目的IP地址。
优选的,所述安全反馈模块具体被配置为:
通过流量监测软件或应用程序持续监测LISP接入网中的通信流量,实时推送被识别为疑似恶意通信流量的五元组信息;
对五元组信息中的源地址和目的地址,调用身份与位置分离智能合约,映射其用户身份UID;
对被映射身份的用户进行安全管控,根据其访问控制历史记录决策该用户是否可被认为正在进行恶意通信行为;
对决策为正在进行恶意通信行为的用户,调用模块间接口反馈用户信息,禁止各模块继续为该类用户提供服务,从而有效阻止恶意通信行为,实现用户访问过程的安全闭环。
优选的,访问控制决策过程为,根据用户属性、设备属性、环境属性判断其取值是否均满足设备管理者所部署的访问控制策略。若是,则授权用户访问指定物联网设备资源;若不是,则禁止授权;若策略或属性不存在,则返回相应的错误信息;
通过访问控制智能合约获取用户UID的累计访问控制成功次数和累计访问控制失败次数;
通过下式
Figure BDA0003686703690000051
判断该UID用户是否为恶意通信用户。
第二方面,本发明提供一种物联网场景下的用户访问行为管控方法,包括:
采用基于属性的访问控制方法,根据用户属性、设备属性、环境属性和资源部署策略,对用户访问物联网设备数据资源的请求进行决策和记录;
基于身份与位置分离协议,为LISP接入网中的数据包提供IP地址解析映射、报文封装和路由转发服务,为LISP核心网中的数据包提供报文解封装和路由转发服务;
实时检测LISP网络中的恶意通信流量,利用模块间接口定位恶意通信用户、反馈恶意用户信息,并禁止各模块继续为恶意用户提供服务。
优选的,所述的访问控制过程具体包括:
接收用户的身份注册请求;
接收物联网设备的策略部署请求;
通过调用访问控制智能合约,将用户的注册信息和物联网设备的注册信息存储在分布式区块链中;
接收用户的访问控制请求,获取描述用户通信设备特性的设备属性;
通过调用访问控制智能合约,获取用户属性以及物联网设备管理者所部署的访问控制策略;
检测系统当前时刻的环境特征以获取环境属性;
通过调用访问控制智能合约进行访问控制决策,获取访问控制结果;
将访问控制结果发送给用户,存储该次访问控制记录于分布式区块链中。
优选的,所述的报文通信过程具体包括:
接受用户和物联网设备的映射条目注册请求;
通过调用访问控制智能合约,判断用户是否通过访问控制模块授权,是则调用身份与位置分离智能合约,将用户的映射条目注册信息存储在分布式区块链中,否则禁止用户注册映射条目;
调用身份与位置分离智能合约,将物联网设备的映射条目注册信息存储在分布式区块链中;
经过访问控制模块授权和映射条目注册的用户方能和物联网设备进行通信,二者相互发送数据报,若数据报需要跨域,则会通过默认路由被转发至本域接入网关;
源节点域的接入网关接收LISP接入网中的跨域数据报,调用身份与位置分离智能合约对其源地址和目的地址进行解析映射和新报头封装,随后将数据报路由至LISP核心网中的目的节点;
目的节点域的接入网关接收LISP核心网中的数据报,对其进行报头解封装并转发至LISP接入网中的目的节点;
所述的安全反馈过程包括:
实时监测LISP网络中的通信流量,获取疑似恶意通信流的EID地址;
调用身份与位置分离智能合约,将EID地址映射为表征用户身份的UID;
调用访问控制智能合约,获取用户的访问控制历史记录;
通过式
Figure BDA0003686703690000061
对用户进行分类,判断用户是否为恶意通信用户;
调用身份与位置分离智能合约,删除分布式区块链的解析映射表中恶意通信用户的映射条目,各模块不再为这些用户提供服务,从而阻止其恶意通信行为,最终实现对用户整个访问过程的安全管控。
第三方面,本发明提供一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如上所述的物联网场景下的用户访问行为管控方法。
第四方面,本发明提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如上所述的物联网场景下的用户访问行为管控方法。
第五方面,本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的物联网场景下的用户访问行为管控方法。
本发明有益效果:能够进行分布式的访问控制,满足物联网场景下的访问控制需求;能够持续监视访问控制的后续通信过程,并根据通信行为动态的进行防御和响应,保障物联网设备产生的数据资源的安全;能够为用户访问物联网资源提供跨域的、身份与位置分离的网络场景,减小因传统互联网IP地址的“二义性”引发的安全风险。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所述的物联网场景下的用户访问行为管控系统的结构示意图。
图2为本发明实施例所述的物联网场景下的用户访问行为管控系统的访问控制模块中对用户进行访问控制的流程示意图。
图3为本发明实施例所述的物联网场景下的用户访问行为管控系统的身份与位置分离模块中用户和物联网设备进行跨域通信的流程示意图。
图4为本发明实施例所述的物联网场景下的用户访问行为管控系统的安全反馈模块中对用户通信行为进行安全管控和反馈的流程示意图。
图5为本发明实施例所述的物联网场景下的用户访问行为管控方法的流程示意图。
具体实施方式
下面详细叙述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。
还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件和/或它们的组。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
为便于理解本发明,下面结合附图以具体实施例对本发明作进一步解释说明,且具体实施例并不构成对本发明实施例的限定。
本领域技术人员应该理解,附图只是实施例的示意图,附图中的部件并不一定是实施本发明所必须的。
实施例1
参见图1,本实施例1提供一种物联网场景下的用户访问行为管控系统包括:
访问控制模块10,使用基于属性的访问控制方法对用户访问物联网设备资源的请求进行决策;
身份与位置分离模块20,用于为用户和物联网设备提供跨域通信服务以及为安全反馈模块阻止恶意用户通信行为。
安全反馈模块30,用于识别网络中的恶意通信流量,并根据具体的安全反馈机制阻止对应用户的访问行为。
在本实施例1中,访问控制模块10,具体部署于接入网关中,通过运行服务器程序,开启指定端口供用户和物联网设备建立连接,接收用户身份注册请求、资源发布策略部署请求以及用户访问控制请求。通过调用访问控制智能合约执行用户身份注册过程、资源策略部署过程以及用户访问控制过程,在分布式区块链上存储用户的注册信息、资源策略以及用户访问控制记录,并向用户或物联网设备返回请求执行结果。
其中,用户注册请求信息包括用户注册标志位、用户身份标识UID、用户密码、用户属性。用户访问控制请求信息包括用户访问控制标志位、用户身份标识UID、资源身份标识RID以及设备属性。物联网设备资源策略部署请求信息包括资源策略部署标志位、资源标识RID、资源密码和访问控制策略。
用户注册标志位,数值为“ur”,用于网关访问控制模块识别该条请求信息为用户注册请求。
用户身份标识UID,数值为128位,由用户自定义,要求数值在整个LISP网络中唯一,用于网关识别用户身份。
用户密码,数值为128位,由用户自定义,用于用户申请修改用户注册信息时鉴别自身身份。
用户访问控制标志位,数值为“ac”,用于网关访问控制模块识别该条用户请求信息为用户访问控制请求。
资源标识RID,数值为128位,由物联网设备自定义,要求数值在整个LISP网络中唯一,用于网关识别物联网设备身份,用于用户定位物联网设备数据资源。
资源密码,数值为128位,由物联网设备管理者自定义,用于物联网设备申请修改资源策略时鉴别自身身份。
访问控制模块10采用分布式的基于属性的访问控制方法,根据用户属性、环境属性和设备属性判断用户是否满足访问控制策略。
用户属性包括角色属性、群组属性、权限属性和动作属性。角色属性用于表示具有不同身份的用户,取值可以为管理员、维护人员、普通用户等。群组属性用于表示用户所处的群组,取值可以为财务处、保卫处等。权限属性用于表示用户在系统中的级别,取值可以为1,2,3等。动作属性用于表示用户对物联网设备数据资源的操作,取值可以是读、写、添加等。
设备属性包括设备系统类型属性、设备IP地址属性、设备内核版本属性。设备系统类型属性用于表示用户设备的系统类型,取值可以是Linux、Windows、iOS等。设备IP地址属性用于表示用户设备的EID地址,取值可以是124.8.7.5、251.188.36.7等。设备内核版本属性用于表示用户设备的内核版本,取值可以是Windows10、iOS14、Linux-5.4.0-107-generic等。
环境属性包括时间属性、位置属性、期限属性和系统状态属性。时间属性用于表示当前访问控制时刻的系统时间,取值可以是08:28、11:18等。位置属性用于表示当前访问控制时刻用户所处的位置,取值可以是海淀区、朝阳区等。期限属性用于表示当前用户所请求访问的数据资源是否已过期,取值可以是未过期、已过期。系统状态属性用于表示当前访问控制时刻系统的运行状态,取值可以是生产状态、测试状态、维护状态等。
访问控制策略由所有可能的用户属性取值、设备属性取值和环境属性取值组成,只有具有策略内指定属性的用户才能被授权访问物联网设备资源。
访问控制的结果为授权访问或者不予授权访问。授权访问表示根据访问控制策略进行判定,允许用户访问资源;不予授权访问表示用户有一种或者一种以上的属性取值无法匹配访问控制策略,禁止用户访问物联网设备资源。
比如,某一用户欲访问某一物联网设备——监控摄像头的实时视频数据。用户的权限属性为3,群组属性为保卫处,角色属性为管理员,访问动作为拷贝;用户的通信设备的IP地址属性为192.168.200.4,操作系统属性为Windows,内核版本为Windows10;当前时刻的时间属性为15:00,位置属性为北京交通大学主校区,期限属性为资源未过期,系统状态属性为测试状态。监控摄像头管理者所部署的策略为:用户属性策略为:权限属性取值为4——9,群组属性取值为保卫处或后勤集团,角色属性取值为管理员,访问动作属性取值为读或拷贝;设备属性策略为:IP地址属性取值为192.168.0.0/16网段,操作系统属性取值为Windows或iOS,内核版本属性取值为Windows8——Windows11或iOS10——iOS15;环境属性策略为:时间属性取值为8:00——17:00,位置属性取值为北京交通大学东校区或北京交通大学主校区,期限属性取值为资源未过期,系统状态属性取值为测试状态或维护状态。由于用户属性中的权限属性取值未满足访问控制策略,因此该次访问控制结果为不予授权。
本系统中的区块链环境可以通过以太坊Ethereum、波尔卡多Polkadot、雪崩、超级账本HyperledgerFabric等开源分布式区块链平台搭建。
在本实施例1中,智能合约通过区块链平台的指定编译语言编写并发布在区块链上,在满足特定条件时会自动化执行智能合约中指定的函数,完成特定的功能。访问控制智能合约的功能具体为存储用户的身份注册信息、存储资源策略的注册信息、存储用户的访问控制历史记录以及依据ABAC流程进行访问控制。
用户的身份注册信息包括用户标识UID、用户密码,用户属性的属性取值。
资源策略的注册信息包括物联网设备数据资源的RID、部署的资源策略集P、资源密码。
用户的访问控制历史记录包括用户标识UID,该用户最近一次访问控制的时间、该用户访问控制的总成功次数、该用户访问控制的总失败次数、允许该用户访问的资源RID集。
在本实施例1中,身份与位置分离模块20,具体部署于各接入网关中,通过运行服务器程序,开启指定端口供用户以及物联网设备建立连接,接收用户和资源的的映射条目注册请求、接受网关的解析映射请求、接收接入网侧的数据包以及核心网侧的数据包。通过调用身份与位置分离智能合约执行用户和资源的映射条目注册过程、数据报中EID地址至RLOC地址的解析映射过程。
用户的映射条目注册请求信息包括映射条目注册请求标志位、用户身份标识UID、用户密码以及用户的EID地址。资源的映射条目注册请求信息包括映射条目注册请求标志位、资源身份标识RID、资源密码以及物联网设备的EID地址。网关的解析映射请求信息包括请求解析的EID地址串。LISP接入网中的数据报包括以太网帧报头、IP数据报头、TCP/UDP报头、高层协议报头以及数据部分。LISP核心网中的数据报包括以太网帧报头、新IP数据报头、原IP数据报头、TCP/UDP报头、高层协议报头以及数据部分。
映射条目注册标志位,数值为“er”,用于网关身份与位置分离模块识别该条请求信息为映射条目注册请求。
用户身份标识UID与访问控制模块10中的UID一致。
用户密码与访问控制模块10中的用户密码一致。
资源标识RID与访问控制模块10中的资源标识RID一致。
资源密码与访问控制模块10中的资源密码一致。
EID地址,32位,为用户、物联网资源以及接入网关在其所处的LISP接入网域中持有的全网唯一的IP地址,用于用户与物联网设备资源间的通信。
RLOC地址,32位,为接入网关在LISP核心网中所持有的IP地址,用于网关之间在LISP核心网中的通信。
LISP接入网的数据报中IP数据报头的源地址和目的地址均为EID地址。
LISP核心网的数据报中新IP数据报头的源地址和目的地址均为RLOC地址。
在每个LISP接入网域中的每个用户和每台物联网设备都需要将自身路由表中默认路由的下一跳地址配置为本LISP接入网域中接入网关的EID地址,才能将跨域通信的数据报转发至接入网关处。
所有接入网关之间使用RLOC地址,通过有线接口互连形成LISP核心网,并通过配置静态路由、使用RIP协议或OSPF协议等形成LISP核心网中的路由表。
在本实施例中,身份与位置分离智能合约的功能具体为存储用户的映射条目注册信息、存储资源的映射条目注册信息、形成和维护由多个映射条目组成的解析映射表、根据解析映射表由EID映射对应的UID和RLOC地址。
解析映射表分为两类子表。
第一类为资源表,存储的映射条目为物联网设备EID地址、资源RID、资源所在LISP接入网域中接入网关的RLOC地址。
第二类为用户表,存储的映射条目为用户EID地址、用户UID、用户所在LISP接入网域中接入网关的RLOC地址以及授权用户访问的资源RID。
用户映射条目注册请求的结果为True、False或OK。True表示用户映射条目注册成功,该条目成功添加至解析映射表中。False表示用户映射条目注册失败,因为用户未通过访问控制或者用户被禁止通信。OK表示用户EID更新成功,该条目成功更新至解析映射表中。
资源映射条目注册请求的结果为True或OK。True表示资源映射条目注册成功,该条目成功添加至解析映射表中。OK表示资源EID更新成功,该条目成功更新至解析映射表中。
解析映射请求的结果为RLOC地址或False。若解析映射成功,则返回解析映射表中EID地址对应映射条目中的RLOC地址。若解析映射失败,则返回False,表示该EID未注册,未能映射对应RLOC地址。
在本实施例中,安全反馈模块30部署在接入网关处,通过对接入网域内流量进行实时监控以检测疑似恶意通信流量。根据身份与位置分离模块中的解析映射表,将疑似恶意通信流量五元组信息中的EID地址映射成用户UID。根据访问控制模块10中的用户历史访问控制信息,将疑似恶意通信用户进行分类。利用身份与位置分离模块20提供的接口,删除解析映射表中被划为恶意通信用户的解析映射条目,完成安全反馈功能。
恶意通信行为可以是针对物联网设备服务器的DDoS攻击、重放攻击、资源窃取等行为。流量监控和检测过程可通过知识图谱、机器学习、统计学等方法实现。
通过身份与位置分离智能合约查询疑似恶意通信流量中EID地址对应的用户UID。
通过访问控制智能合约查询用户UID的历史访问控制失败次数和访问控制成功次数。
通过式
Figure BDA0003686703690000151
对疑似恶意通信用户进行分类。
通过身份与位置分离智能合约删除被分类为恶意通信用户的映射条目,致使网关对其数据包中IP地址的解析映射结果为False,故网关无法进行新IP报头封装,只能丢弃数据报,从而成功的阻止恶意用户继续进行恶意通信行为,完成安全反馈闭环。
本实施例1中利用上述的系统实现基于区块链的访问控制和安全反馈方法,包括访问控制过程、报文通信过程以及安全反馈过程。
所述的访问控制过程包括:根据用户属性、设备属性和环境属性,基于物联网设备管理者部署的访问控制策略对用户是否具有权访问资源进行决策。
所述的报文通信过程包括:基于LISP协议,对LISP接入网中的报文进行IP地址解析映射、新IP报头封装以及路由转发,对于LISP核心网中的报文进行IP报头解封装以及路由转发。
所述的安全反馈过程包括:实时检测LISP网络中的疑似恶意通信流量,并依据用户的访问控制历史记录对疑似恶意流量对应用户进行分类,禁止被分类为恶意通信的用户继续实施跨域的恶意通信行为。
所述的访问控制过程具体包括:
接收用户的身份注册请求;
接收物联网设备的策略部署请求;
通过调用访问控制智能合约,将用户的注册信息和物联网设备的注册信息存储在分布式区块链中;
接收用户的访问控制请求,获取描述用户通信设备特性的设备属性;
通过调用访问控制智能合约,获取用户属性以及物联网设备管理者所部署的访问控制策略;
检测系统当前时刻的环境特征以获取环境属性;
通过调用访问控制智能合约进行访问控制决策,获取访问控制结果;
将访问控制结果发送给用户,存储该次访问控制记录于分布式区块链中;
所述的报文通信过程具体包括:
接受用户和物联网设备的映射条目注册请求;
通过调用访问控制智能合约,判断用户是否通过访问控制模块授权,是则调用身份与位置分离智能合约,将用户的映射条目注册信息存储在分布式区块链中,否则禁止用户注册映射条目。
调用身份与位置分离智能合约,将物联网设备的映射条目注册信息存储在分布式区块链中。
经过访问控制模块授权和映射条目注册的用户方能和物联网设备进行通信,二者相互发送数据报,若数据报需要跨域,则会通过默认路由被转发至本域接入网关。
源节点域的接入网关接收LISP接入网中的跨域数据报,调用身份与位置分离智能合约对其源地址和目的地址进行解析映射和新报头封装,随后将数据报路由至LISP核心网中的目的节点;
目的节点域的接入网关接收LISP核心网中的数据报,对其进行报头解封装并转发至LISP接入网中的目的节点;
所述的安全反馈过程包括:
实时监测LISP网络中的通信流量,获取疑似恶意通信流的EID地址;
调用身份与位置分离智能合约,将EID地址映射为表征用户身份的UID;
调用访问控制智能合约,获取用户的访问控制历史记录;
通过式
Figure BDA0003686703690000171
对用户进行分类,判断用户是否为恶意通信用户;
调用身份与位置分离智能合约,删除分布式区块链的解析映射表中恶意通信用户的映射条目,各模块不再为这些用户提供服务,从而阻止其恶意通信行为,最终实现对用户整个访问过程的安全管控。
实施例2
本实施例2中,提供了物联网场景下的用户访问行为管控系统和方法的具体应用实例,如图1所示,系统包括:访问控制模块、身份与位置分离模块和安全反馈模块。
访问控制模块10,用于对用户访问物联网设备资源的行为进行细粒度管控;身份与位置分离模块20,用于为用户与物联网设备之间的交互提供网络通信服务。安全反馈模块30,用于监测用户与物联网设备的通信过程,实时反馈并阻止恶意用户的通信流量。
上述访问控制模块提供了一种基于属性的访问控制方法。该模块接收用户的身份注册请求,通过调用访问控制智能合约,将表征用户身份的UID和用户属性存储在分布式区块链中,向用户返回注册结果。接收物联网设备发送的资源策略部署请求。通过调用访问控制智能合约,将资源的RID和对应访问控制策略存储在分布式区块链中,向物联网设备返回资源策略部署结果。接收用户的资源访问请求,调用访问控制智能合约,根据用户身份UID获取其用户属性,根据资源RID获取其访问控制策略,根据报文内容获取用户的设备属性,根据当前时刻系统中的环境特征获取环境属性。再次调用访问控制智能合约进行访问控制,将访问控制结果存储在分布式区块链中,并向用户返回访问控制结果。
具体的,图2为本发明实施例提供的访问控制模块的流程示意图。整个访问控制过程包括如下步骤:
(1)用户向访问控制模块发送用户身份注册请求报文。报文中包含用户注册请求标志位Flag、用户身份标识UID、用户密码Password以及经过LISP接入网域内管理员确认的用户属性UAttri;
(2)访问控制模块对报文格式和参数取值进行合法性检验;
(3)访问控制模块调用访问控制智能合约,将合法的用户身份注册信息存储于分布式区块链中;
(4)访问控制模块返回用户身份注册结果报文。报文中包含用户注册结果标志位Flag以及用户身份注册结果Result。以上为用户身份注册过程。
(5)物联网设备向访问控制模块发送资源策略注册请求报文。报文中包含资源策略注册请求标志位Flag、资源标识RID、物联网设备密码Password以及物联网设备定义的访问控制策略Policy;
(6)访问控制模块对报文格式和参数取值进行合法性检验;
(7)访问控制模块调用访问控制智能合约,将合法的资源注册信息存储于分布式区块链中;
(8)访问控制模块返回资源策略注册结果报文。报文中包含资源策略注册结果标志位Flag以及资源策略注册结果Result。以上为物联网设备的资源发布和策略部署过程。
(9)用户向访问控制模块发送用户访问控制请求报文。报文中包含用户访问控制请求标志位Flag、用户身份标识UID、资源标识RID以及表征用户所使用的通信设备特征的设备属性DAttri;
(10)访问控制模块获取当前时刻系统中的环境属性EAttri;
(11)访问控制模块调用访问控制智能合约,区块链会根据用户UID获取用户属性UAttri,根据资源RID获取访问控制策略Policy,并结合DAttri和EAttri进行访问控制;
(12)访问控制智能合约将用户的该次访问控制结果存储于区块链中;
(13)访问控制智能合约返回本次访问控制结果至访问控制模块;
(14)访问控制模块返回用户访问控制结果报文。报文中包含用户访问控制结果标志位Flag以及访问控制结果Result。以上为用户访问控制过程。
具体的,上述身份与位置分离模块提供了一种基于LISP协议的身份与位置分离方法。该模块接收用户的映射条目注册请求。调用访问控制智能合约获取用户访问控制记录中获权访问的资源RID集合。调用身份与位置分离智能合约,将表征用户身份的UID、用户在LISP接入网中的EID地址、接入网关在LISP核心网中的RLOC地址以及用户获权访问的资源RID集合以映射条目的形式存储在分布式区块链中,并向用户返回注册结果。接收物联网设备的映射条目注册请求。通过调用身份与位置分离智能合约,将表征物联网设备资源的RID、物联网设备的在LISP接入网中的EID地址以及接入网关在LISP核心网中的RLOC地址以映射条目的形式存储在分布式区块链中,并向物联网设备返回注册结果。接收LISP接入网中被转发至本模块所在网关的报文,通过调用身份与位置分离智能合约,将报文中的源IP地址(发端的EID地址)和目的IP地址(收端的EID地址)分别映射为对应映射条目中的RLOC地址。若两RLOC地址不相等,则表明该报文需要被跨域路由转发,于是在原报文外新封装一个IP报头,新报头的源IP地址和目的IP地址分别旧报头中源IP地址和目的IP地址所映射的RLOC地址。将封装后的报文转发至LISP核心网。接收LISP核心网中被转发至本模块所在网关的报文,通过去除报文的外层IP头对报文进行解封装,并将解封装后的原始报文转发至目的节点,即原报头中的目的IP地址。
具体的,图3为本发明实施例提供的身份与位置分离模块的流程示意图。整个模块的过程包括以下几个步骤:
(1)用户向网关的访问控制模块发送用户映射条目注册请求报文。报文中包含用户映射条目注册标志位Flag、用户身份标识UID以及用户在当前LISP接入网内的IP地址EID;
(2)身份与位置分离模块对报文格式和参数取值进行合法性检验;
(3)身份与位置分离模块获取网关在LISP核心网中的IP地址RLOC,调用访问控制智能合约获取用户被允许访问的资源RID,调用身份与位置分离智能合约,将该用户映射条目EID-RLOC-UID-RID存储于区块链中的解析映射表;
(4)身份与位置分离模块返回用户映射条目注册结果报文。报文中包含映射条目注册结果报文标志位Flag以及映射条目注册结果Result。以上为用户映射条目注册过程。
(5)物联网设备向网关的访问控制模块发送物联网设备映射条目注册请求报文。报文中包含物联网设备映射条目注册标志位Flag、资源标识RID以及物联网设备在当前LISP接入网内的IP地址EID;
(6)身份与位置分离模块对报文格式和参数取值进行合法性检验;
(7)身份与位置分离模块获取网关在LISP核心网中的IP地址RLOC,调用身份与位置分离智能合约,将该条目EID-RLOC-Flag-RID存储于区块链中的解析映射表,Flag表示该条目为物联网设备映射条目;
(8)身份与位置分离模块返回物联网设备映射条目注册结果报文。报文中包含映射条目注册结果报文标志位Flag以及映射条目注册结果Result。以上为物联网设备映射条目注册过程。
(9)LISP接入网A中已注册EID的用户发送通信报文至LISP接入网B中的物联网设备,IP报头中的源地址和目的地址分别为EID1和EID2。用户通信设备查找路由表,未找到匹配项,于是将报文转发至默认路由的下一跳,即接入网关A;
(10)接入网关收到报文,获取其IP报头的源地址和目的地址,调用身份与位置分离智能合约请求EID地址解析映射;
(11)区块链通过用户的EID1和物联网设备的EID2查找解析映射表,返回查找结果,即对应接入网关的RLOC地址RLOC1和RLOC2;
(12)接入网关A封装新IP报头于域内通信报文前,源地址和目的地址分别为RLOC1和RLOC2;
(13)接入网关A查找路由表,将封装后的跨域通信报文路由至LISP核心网中的下一跳;
(14)跨域通信报文最终路由至新报头的目的节点接入网关B;
(15)接入网关B对报文进行解封装,获取原来的域内通信报文;
(16)接入网关B查找路由表,转发域内通信报文;
(17)经过LISP接入网B,域内通信报文最终被转发至目的节点,物联网设备。以上为一次用户和物联网设备通信过程中产生的数据包的跨域转发流程。
具体的,上述安全反馈模块提供了对用户访问控制的后续行为的安全管控与反馈,包括:对网络流量进行实时监测;对疑似恶意通信用户进行分类;对恶意用户进行安全反馈,阻止其继续进行恶意通信行为。
具体的,图4为本发明实施例提供的安全反馈模块的流程示意图。整个模块的过程包括以下几个步骤:
(1)IP地址为EID1等的攻击主机利用伪造身份等手段骗取了访问控制模块的授权,并通过某些恶意流量脚本对IP地址为EID2等的物联网设备进行DDoS攻击等恶意通信行为,其流量经过网关转发至目的节点;
(2)安全反馈模块部署对接入网中的流量进行实时监测;
(3)安全反馈模块检测出某些流量异常,并列举出异常流量中的IP地址,将其视为疑似恶意EID地址;
(4)安全反馈模块调用身份与位置分离智能合约,请求身份与位置分离模块解析映射恶意EID地址;
(5)身份与位置分离模块以EID为关键字,查找解析映射表;
(6)身份与位置分离模块返回解析映射结果。其中部分疑似恶意EID的解析映射结果为物联网设备的身份标识RID,即受害者。
(7)安全反馈模块忽略RID,调用访问控制模块,请求获取疑似恶意UID的访问控制历史记录;
(8)访问控制模块以UID为关键字查找用户数据;
(9)访问控制模块返回查找结果;
(10)安全反馈模块获取每个UID的访问控制历史记录,对其进行疑似恶意用户分类;
(11)安全反馈模块调用身份与位置分离智能合约,反馈所有被分类为恶意用户的UID;
(12)身份与位置分离模块删除所有恶意用户的映射条目,身份与位置分离模块和访问控制模块将所有恶意用户加入黑名单;
(13)恶意用户尝试继续进行恶意通信行为;
(14)网关请求身份与位置分离模块解析映射EID;
(15)身份与位置分离模块无法解析已被删除的恶意用户EID,恶意通信流量无法通过LISP核心网被转发至目的节点,成功实现了对用户访问控制后续行为的细粒度的安全反馈和管控。
实施例3
图5所示,为本实施例提供的一种物联网场景下的用户访问行为管控方法的工作流程示意图。包括用户进行身份注册、用户进行映射条目注册、物联网设备发布资源部署策略、物联网设备进行映射条目注册、用户和物联网设备进行通信、安全反馈模块监测通信流量并对恶意用户进行管控。
具体的,一种物联网场景下的用户访问行为管控方法的包括如下步骤:
(1)用户向访问控制模块注册用户身份信息;
(2)物联网设备向访问控制模块部署资源策略;
(3)物联网设备向身份与位置分离模块注册映射条目;
(4)用户向访问控制模块请求访问控制;
(5)被授权访问某一物联网设备资源的用户能够向身份与位置分离模块注册映射条目;
(6)用户和物联网设备进行跨域通信;
(7)安全反馈模块利用流量监测软件实时检测恶意通信流量;
(8)安全反馈模块请求身份与位置分离模块映射用户身份信息;
(9)安全反馈模块向访问控制模块获取用户访问控制历史记录
(10)安全反馈模块根据用户访问控制历史记录判别恶意通信用户;
(11)安全反馈模块向其他模块反馈恶意通信用户,各模块不再为恶意通信用户提供服务,从而成功对用户访问行为进行安全管控。
实施例4
本发明实施例4提供一种电子设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行物联网场景下的用户访问行为管控方法。
实施例5
本发明实施例5提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现物联网场景下的用户访问行为管控方法。
实施例6
本发明实施例6提供一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行物联网场景下的用户访问行为管控方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明公开的技术方案的基础上,本领域技术人员在不需要付出创造性劳动即可做出的各种修改或变形,都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种物联网场景下的用户访问行为管控系统,其特征在于,包括:
访问控制模块,用于采用基于属性的访问控制方法,根据用户属性、设备属性、环境属性和资源部署策略,对用户访问物联网设备数据资源的请求进行决策和记录;
身份与位置分离模块,用于基于身份与位置分离协议,为LISP接入网中的数据包提供IP地址解析映射、报文封装和路由转发服务,为LISP核心网中的数据包提供报文解封装和路由转发服务;
安全反馈模块,用于实时检测LISP网络中的恶意通信流量,利用模块间接口定位恶意通信用户、反馈恶意用户信息,并禁止各模块继续为恶意用户提供服务;
访问控制模块中,接收用户的身份注册请求;接收物联网设备的策略部署请求;通过调用访问控制智能合约,将用户的注册信息和物联网设备的注册信息存储在分布式区块链中;接收用户的访问控制请求,获取描述用户通信设备特性的设备属性;通过调用访问控制智能合约,获取用户属性以及物联网设备管理者所部署的访问控制策略;检测系统当前时刻的环境特征以获取环境属性;通过调用访问控制智能合约进行访问控制决策,获取访问控制结果;将访问控制结果发送给用户,存储该次访问控制记录于分布式区块链中;
身份与位置分离模块中,接受用户和物联网设备的映射条目注册请求;通过调用访问控制智能合约,判断用户是否通过访问控制模块授权,是则调用身份与位置分离智能合约,将用户的映射条目注册信息存储在分布式区块链中,否则禁止用户注册映射条目;调用身份与位置分离智能合约,将物联网设备的映射条目注册信息存储在分布式区块链中;经过访问控制模块授权和映射条目注册的用户方能和物联网设备进行通信,二者相互发送数据报,若数据报需要跨域,则会通过默认路由被转发至本域接入网关;源节点域的接入网关接收LISP接入网中的跨域数据报,调用身份与位置分离智能合约对其源地址和目的地址进行解析映射和新报头封装,随后将数据报路由至LISP核心网中的目的节点;目的节点域的接入网关接收LISP核心网中的数据报,对其进行报头解封装并转发至LISP接入网中的目的节点;
安全反馈模块中,通过流量监测软件或应用程序持续监测LISP接入网中的通信流量,实时推送被识别为疑似恶意通信流量的五元组信息;对五元组信息中的源地址和目的地址,调用身份与位置分离智能合约,映射其用户身份UID;对被映射身份的用户进行安全管控,根据其访问控制历史记录决策该用户是否可被认为正在进行恶意通信行为;对决策为正在进行恶意通信行为的用户,调用模块间接口反馈用户信息,禁止各模块继续为该类用户提供服务,从而有效阻止恶意通信行为,实现用户访问过程的安全闭环。
2.根据权利要求1所述的物联网场景下的用户访问行为管控系统,其特征在于,所述访问控制模块具体配置为:
接收用户的身份注册请求;通过调用访问控制智能合约,将表征用户身份的UID(UserID)以及该用户的用户属性存储在分布式区块链中,向用户返回注册结果;
接收物联网设备发送的资源策略部署请求;通过调用访问控制智能合约,将表征资源身份的RID(Resource ID)以及设备管理者部署的访问控制策略存储在分布式区块链中,向物联网设备返回资源策略部署结果;
接收用户的访问控制请求,用户发送的访问控制请求报文中应包含用于描述用户通信设备特征的设备属性;调用访问控制智能合约,根据用户身份UID获取区块链上存储的用户属性,根据资源RID获取区块链上存储的访问控制策略;根据当前时刻系统中可检测的环境特征获取环境属性;调用访问控制智能合约,根据用户属性、环境属性、设备属性以及访问控制策略对用户访问资源的请求进行决策,将该次访问控制记录存储在分布式区块链中,并向用户返回访问控制结果。
3.根据权利要求1所述的物联网场景下的用户访问行为管控系统,其特征在于,所述身份与位置分离模块具体被配置为:
接收用户的映射条目注册请求;调用访问控制智能合约获取用户访问控制记录中获权访问的资源RID集合;调用身份与位置分离智能合约,将表征用户身份的UID、用户在LISP接入网中的EID地址、接入网关在LISP核心网中的RLOC地址以及用户获权访问的资源RID集合以映射条目的形式存储在分布式区块链中,并向用户返回注册结果;
接收物联网设备的映射条目注册请求;通过调用身份与位置分离智能合约,将表征物联网设备资源的RID、物联网设备的在LISP接入网中的EID地址以及接入网关在LISP核心网中的RLOC地址以映射条目的形式存储在分布式区块链中,并向物联网设备返回注册结果;
接收LISP接入网中被转发至本模块所在网关的报文,通过调用身份与位置分离智能合约,将报文中的源IP地址(发端的EID地址)和目的IP地址(收端的EID地址)分别映射为对应映射条目中的RLOC地址;若两RLOC地址不相等,则表明该报文需要被跨域路由转发,则在原报文外新封装一个IP报头,新报头的源IP地址和目的IP地址分别旧报头中源IP地址和目的IP地址所映射的RLOC地址;将封装后的报文转发至LISP核心网;
接收LISP核心网中被转发至本模块所在网关的报文,通过去除报文的外层IP头对报文进行解封装,并将解封装后的原始报文转发至目的节点,即原报头中的目的IP地址。
4.根据权利要求1所述的物联网场景下的用户访问行为管控系统,其特征在于,访问控制决策过程为,根据用户属性、设备属性、环境属性判断其取值是否均满足设备管理者所部署的访问控制策略;若是,则授权用户访问
指定物联网设备资源;若不是,则禁止授权;若策略或属性不存在,则返回相应的错误信息;
通过访问控制智能合约获取用户UID的累计访问控制成功次数和累计访问控制失败次数;
通过下式
用户uID为
Figure FDA0004086317090000041
判断该UID用户是否为恶意通信用户。
5.一种物联网场景下的用户访问行为管控方法,其特征在于,包括:
采用基于属性的访问控制方法,根据用户属性、设备属性、环境属性和资源部署策略,对用户访问物联网设备数据资源的请求进行决策和记录;
基于身份与位置分离协议,为LISP接入网中的数据包提供IP地址解析映射、报文封装和路由转发服务,为LISP核心网中的数据包提供报文解封装和路由转发服务;
实时检测LISP网络中的恶意通信流量,利用模块间接口定位恶意通信用户、反馈恶意用户信息,并禁止各模块继续为恶意用户提供服务;
所述的访问控制方法具体包括:
接收用户的身份注册请求;
接收物联网设备的策略部署请求;
通过调用访问控制智能合约,将用户的注册信息和物联网设备的注册信息存储在分布式区块链中;
接收用户的访问控制请求,获取描述用户通信设备特性的设备属性;
通过调用访问控制智能合约,获取用户属性以及物联网设备管理者所部署的访问控制策略;
检测系统当前时刻的环境特征以获取环境属性;
通过调用访问控制智能合约进行访问控制决策,获取访问控制结果;
将访问控制结果发送给用户,存储该次访问控制记录于分布式区块链中;
所述的报文通信过程具体包括:
接受用户和物联网设备的映射条目注册请求;
通过调用访问控制智能合约,判断用户是否通过访问控制模块授权,是则调用身份与位置分离智能合约,将用户的映射条目注册信息存储在分布式区块链中,否则禁止用户注册映射条目;
调用身份与位置分离智能合约,将物联网设备的映射条目注册信息存储在分布式区块链中;
经过访问控制模块授权和映射条目注册的用户方能和物联网设备进行通信,二者相互发送数据报,若数据报需要跨域,则会通过默认路由被转发至本域接入网关;
源节点域的接入网关接收LISP接入网中的跨域数据报,调用身份与位置分离智能合约对其源地址和目的地址进行解析映射和新报头封装,随后将数据报路由至LISP核心网中的目的节点;
目的节点域的接入网关接收LISP核心网中的数据报,对其进行报头解封装并转发至LISP接入网中的目的节点;
所述的安全反馈过程包括:
实时监测LISP网络中的通信流量,获取疑似恶意通信流的EID地址;
调用身份与位置分离智能合约,将EID地址映射为表征用户身份的UID;
调用访问控制智能合约,获取用户的访问控制历史记录;
通过式
用户UID为
Figure FDA0004086317090000051
对用户进行分类,判断用户是否为恶意通信用户;
调用身份与位置分离智能合约,删除分布式区块链的解析映射表中恶意通信用户的映射条目,各模块不再为这些用户提供服务,从而阻止其恶意通信行为,最终实现对用户整个访问过程的安全管控。
6.一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5所述的物联网场景下的用户访问行为管控方法。
7.一种计算机设备,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如权利要求5所述的物联网场景下的用户访问行为管控方法。
8.一种电子设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器相互通信,所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令执行如权利要求5所述的物联网场景下的用户访问行为管控方法。
CN202210647830.8A 2022-06-09 2022-06-09 物联网场景下的用户访问行为管控系统和方法 Active CN115051851B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210647830.8A CN115051851B (zh) 2022-06-09 2022-06-09 物联网场景下的用户访问行为管控系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210647830.8A CN115051851B (zh) 2022-06-09 2022-06-09 物联网场景下的用户访问行为管控系统和方法

Publications (2)

Publication Number Publication Date
CN115051851A CN115051851A (zh) 2022-09-13
CN115051851B true CN115051851B (zh) 2023-04-07

Family

ID=83161996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210647830.8A Active CN115051851B (zh) 2022-06-09 2022-06-09 物联网场景下的用户访问行为管控系统和方法

Country Status (1)

Country Link
CN (1) CN115051851B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565453A (zh) * 2020-12-22 2021-03-26 内蒙古大学 一种物联网下的区块链访问控制策略模型及策略保护方案
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
CN114070600A (zh) * 2021-11-11 2022-02-18 上海电气集团数字科技有限公司 一种基于零信任模型的工业互联网领域身份访问控制方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2957080B1 (en) * 2013-02-12 2020-06-10 Hewlett-Packard Enterprise Development LP Network control using software defined flow mapping and virtualized network functions
CN107682331B (zh) * 2017-09-28 2020-05-12 复旦大学 基于区块链的物联网身份认证方法
CN113242230B (zh) * 2021-05-07 2022-09-06 中国科学技术大学 一种基于智能合约的多级认证与访问控制系统及方法
CN113839945B (zh) * 2021-09-23 2023-05-19 北京交通大学 一种基于身份的可信接入控制系统和方法
CN114462098A (zh) * 2021-12-30 2022-05-10 南京航空航天大学 一种基于区块链的物联网数据安全共享方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112565453A (zh) * 2020-12-22 2021-03-26 内蒙古大学 一种物联网下的区块链访问控制策略模型及策略保护方案
CN113992402A (zh) * 2021-10-27 2022-01-28 北京房江湖科技有限公司 一种基于零信任策略的访问控制方法、系统及介质
CN114070600A (zh) * 2021-11-11 2022-02-18 上海电气集团数字科技有限公司 一种基于零信任模型的工业互联网领域身份访问控制方法

Also Published As

Publication number Publication date
CN115051851A (zh) 2022-09-13

Similar Documents

Publication Publication Date Title
US10462188B2 (en) Computer network security system
CN110113328B (zh) 一种基于区块链的软件定义机会网络DDoS防御方法
Yan et al. Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges
EP3270564B1 (en) Distributed security provisioning
Karmakar et al. Mitigating attacks in software defined networks
US7900240B2 (en) Multilayer access control security system
US7464407B2 (en) Attack defending system and attack defending method
EP2283670B1 (en) Security message processing within constrained time
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
Chang et al. Deciduous: Decentralized source identification for network-based intrusions
Ling et al. Protocol-level hidden server discovery
JP3618245B2 (ja) ネットワーク監視システム
KR20230004222A (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
CN108243143A (zh) 一种基于web代理的网闸穿透方法及系统
CN116055254A (zh) 一种安全可信网关系统、控制方法、介质、设备及终端
Rafique et al. A blockchain-based framework for information security in intelligent transportation systems
CN112929200A (zh) 一种面向sdn多控制器的异常检测方法
KR102414334B1 (ko) 자율협력주행 도로인프라 위협탐지 방법 및 장치
CN115051851B (zh) 物联网场景下的用户访问行为管控系统和方法
CN112350939A (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
CN110581843B (zh) 一种拟态Web网关多应用流量定向分配方法
CN1822565A (zh) 具有mac表溢出保护的网络
JP2002164938A (ja) 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム
CN106533688A (zh) 安全认证的方法及装置
Subburaj et al. Discover Crypto-Jacker from Blockchain Using AFS Method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant