CN117201077A - 一种物联网接入场景身份建模及信任评估方法 - Google Patents
一种物联网接入场景身份建模及信任评估方法 Download PDFInfo
- Publication number
- CN117201077A CN117201077A CN202310970633.4A CN202310970633A CN117201077A CN 117201077 A CN117201077 A CN 117201077A CN 202310970633 A CN202310970633 A CN 202310970633A CN 117201077 A CN117201077 A CN 117201077A
- Authority
- CN
- China
- Prior art keywords
- identity
- security
- evaluation
- trust
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000010801 machine learning Methods 0.000 claims description 20
- 230000006399 behavior Effects 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 11
- 230000003993 interaction Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000005259 measurement Methods 0.000 claims description 3
- 230000008520 organization Effects 0.000 claims description 3
- 238000011217 control strategy Methods 0.000 claims description 2
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及物联网技术领域,公开了一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据,具备通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据的优点。
Description
技术领域
本发明涉及物联网技术领域,具体为一种物联网接入场景身份建模及信任评估方法。
背景技术
随着新型电力系统建设发展,大规模的终端设备接入电力物联网,产生海量的采集数据,电力物联网借助数量巨大的传感设备和各种异构通信网络实现了电网实时感知、动态控制,同时海量外部数据的接入影响电力系统的控制决策,增加了运行和控制的复杂性。当前电力物联网面临海量终端接入,根据当前电力物联网建设特点,不同平台下的物联网设备之间协同工作及信息共享难以实现,彼此之间缺乏联系、组织松散,在面临安全威胁时,往往各自为战,不能形成合力应对各类安全威胁、易被攻陷,进而导致业务瘫痪,且海量异构终端由于多代际通信协议并存,以及物联网设备移动或者频繁加入/退出网络,造成网络拓扑结构急剧变化,安全问题异常复杂。
此外,存在很多恶意的物联网终端设备试图接入网络对网络资源进行信息窃取、篡改以及破坏,当前安全认证体系无法实现物联网设备身份认证的安全性,无法确保网络信息资源被合法访问。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种物联网接入场景身份建模及信任评估方法,具备通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据的优点。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
优选的,包含基于账户、设备和应用的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据,详细内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果,通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
优选的,持续信任评估通过3个维度来进行整体安全评估:
1.设备安全维度,采集数据维度:设备本体数据:如操作系统版本、运行进程、文件变化、容器情况、设备性能情况、系统漏洞情况、关键文件变动情况、新增软件安装情况、异常命令执行情况、sudo操作情况;
2.身份安全维度,采集数据维度:身份认证数据:身份认证全过程情况、认证失败阶段、证书有效性、证书颁发机构、认证评率、身份认证成功次数、公网IP变动情况、身份认证失败次数、证书表动情况;
3.网络安全维度,采集数据维度:网络交互数据:原IP、原MAC、端口、目标IP、请求评率、请求行为、请求数据变化、数据上报频率、上报参数数量、数据上报数量、如访问成功次数、访问被拒绝次数、访问时间段、相关应用层协议、非法访问情况、访问资源列表。
优选的,持续信任评估,在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少造成的损失。
优选的,动态信任度评估还包括,融合多种身份认证技术,进行多重身份认证,只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
(三)有益效果
与现有技术相比,本发明提供了一种物联网接入场景身份建模及信任评估方法,具备以下有益效果:
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据;通过属性感知用户的访问上下文行为,动态调整用户信任级别,配置最小用户权限,结合持续信任评估结论做动态访问控制能力决策;融合多种身份认证技术,进行多重身份认证。只有多重身份认证全部通过,系统才最终确认用户的合法身份。
附图说明
图1为本发明多维信任评估示意图;
图2为本发明多重身份认证(MFA)示意图。
具体实施方式
为了更好地了解本发明的目的、结构及功能,下面结合附图,对本发明一种物联网接入场景身份建模及信任评估方法做进一步详细的描述。
请参阅图1-2,本发明包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
1、研究基于账户、设备和应用等的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。详细研究内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果。通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
持续信任评估通过3个维度来进行整体安全评估,其中为:
持续信任评估案例
可以在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少可能造成的损失。如:
攻击者通过拿下一台无人机后,首先让无人机正常接入,因为攻击者对无人机没有任何动作,所以无人机可以正常通过终端身份认证从而接入系统并正常工作,信任评估机制会给无人机一个信任评估值。下一步,攻击者通过篡改无人机正常访问路径或发送一些非法、恶意的指令进行攻击达到他想要的目的,这期间持续信任评估机制不间断对该无人机进行判定,当发现无人机行为超出它本身默认的基线后,降低无人机信任评估值,并将无人机发送的数据包丢弃,同时中断该无人机的连接。
3、研究基于多重身份认证的本体安全防护技术
融合多种身份认证技术,进行多重身份认证。只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力,详细内容如下:
多重身份认证(MFA)技术是一种保护物理和逻辑访问的分层方法,要求物联终端提供两个或多个不同身份验证器的组合,以验证终端的身份。MFA提高了安全性,即使其中一个身份验证器受到威胁,未经授权的物联终端也无法满足第二个身份验证要求。通过多重身份认证,增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
可以理解,本发明是通过一些实施例进行描述的,本领域技术人员知悉的,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等效替换。另外,在本发明的教导下,可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此,本发明不受此处所公开的具体实施例的限制,所有落入本申请的权利要求范围内的实施例都属于本发明所保护的范围内。
Claims (5)
1.一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
2.根据权利要求1所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:包含基于账户、设备和应用的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据,详细内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果,通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
3.根据权利要求2所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:持续信任评估通过3个维度来进行整体安全评估:
1.设备安全维度,采集数据维度:设备本体数据:如操作系统版本、运行进程、文件变化、容器情况、设备性能情况、系统漏洞情况、关键文件变动情况、新增软件安装情况、异常命令执行情况、sudo操作情况;
2.身份安全维度,采集数据维度:身份认证数据:身份认证全过程情况、认证失败阶段、证书有效性、证书颁发机构、认证评率、身份认证成功次数、公网IP变动情况、身份认证失败次数、证书表动情况;
3.网络安全维度,采集数据维度:网络交互数据:原IP、原MAC、端口、目标IP、请求评率、请求行为、请求数据变化、数据上报频率、上报参数数量、数据上报数量、如访问成功次数、访问被拒绝次数、访问时间段、相关应用层协议、非法访问情况、访问资源列表。
4.根据权利要求3所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:持续信任评估,在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少造成的损失。
5.根据权利要求2所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:动态信任度评估还包括,融合多种身份认证技术,进行多重身份认证,只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310970633.4A CN117201077A (zh) | 2023-08-03 | 2023-08-03 | 一种物联网接入场景身份建模及信任评估方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310970633.4A CN117201077A (zh) | 2023-08-03 | 2023-08-03 | 一种物联网接入场景身份建模及信任评估方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117201077A true CN117201077A (zh) | 2023-12-08 |
Family
ID=88996897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310970633.4A Pending CN117201077A (zh) | 2023-08-03 | 2023-08-03 | 一种物联网接入场景身份建模及信任评估方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117201077A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117834301A (zh) * | 2024-03-05 | 2024-04-05 | 江苏社汇通智能科技有限公司 | 一种基于物联网的网络安全通信控制方法及系统 |
-
2023
- 2023-08-03 CN CN202310970633.4A patent/CN117201077A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117834301A (zh) * | 2024-03-05 | 2024-04-05 | 江苏社汇通智能科技有限公司 | 一种基于物联网的网络安全通信控制方法及系统 |
CN117834301B (zh) * | 2024-03-05 | 2024-05-17 | 江苏社汇通智能科技有限公司 | 一种基于物联网的网络安全通信控制方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Aujla et al. | Blocksdn: Blockchain-as-a-service for software defined networking in smart city applications | |
Liu et al. | A survey: Typical security issues of software-defined networking | |
Almaiah | A new scheme for detecting malicious attacks in wireless sensor networks based on blockchain technology | |
CN115189927B (zh) | 一种基于零信任的电力网络安全防护方法 | |
Shokry et al. | Systematic survey of advanced metering infrastructure security: Vulnerabilities, attacks, countermeasures, and future vision | |
Wang et al. | Perm-guard: Authenticating the validity of flow rules in software defined networking | |
CN101771702B (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及系统 | |
CN111447067A (zh) | 一种电力传感设备加密认证方法 | |
CN110830446A (zh) | 一种spa安全验证的方法和装置 | |
CN117201077A (zh) | 一种物联网接入场景身份建模及信任评估方法 | |
Nam Nguyen et al. | A survey of Blockchain technologies applied to software‐defined networking: Research challenges and solutions | |
McLaughlin et al. | Secure communications in smart grid: Networking and protocols | |
CN112015111B (zh) | 基于主动免疫机理的工业控制设备安全防护系统和方法 | |
Chen et al. | A Summary of Security Techniques‐Based Blockchain in IoV | |
Cao et al. | Towards cyber security for low-carbon transportation: Overview, challenges and future directions | |
Mogadem et al. | A survey on internet of energy security: related fields, challenges, threats and emerging technologies | |
Sudha et al. | A review on privacy requirements and application layer security in internet of things (IoT) | |
Naanani | Security in Industry 4.0: Cyber-attacks and countermeasures | |
Patidar et al. | Information theory-based techniques to detect DDoS in SDN: A survey | |
Bekri et al. | Intelligent IoT Systems: security issues, attacks, and countermeasures | |
Hasan et al. | Towards a threat model and privacy analysis for V2P in 5G networks | |
Jena et al. | A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment | |
Olakanmi et al. | Throttle: An efficient approach to mitigate distributed denial of service attacks on software‐defined networks | |
Gu et al. | IoT security and new trends of solutions | |
Phiri et al. | Petri Net-Based (PN) Cyber Risk Assessment and Modeling for Zambian Smart Grid (SG) ICS and SCADA Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |