CN117201077A - 一种物联网接入场景身份建模及信任评估方法 - Google Patents

一种物联网接入场景身份建模及信任评估方法 Download PDF

Info

Publication number
CN117201077A
CN117201077A CN202310970633.4A CN202310970633A CN117201077A CN 117201077 A CN117201077 A CN 117201077A CN 202310970633 A CN202310970633 A CN 202310970633A CN 117201077 A CN117201077 A CN 117201077A
Authority
CN
China
Prior art keywords
identity
security
evaluation
trust
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310970633.4A
Other languages
English (en)
Inventor
方圆
李明
宫帅
尹晓宇
曹弯弯
董小菱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Original Assignee
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd filed Critical Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Priority to CN202310970633.4A priority Critical patent/CN117201077A/zh
Publication of CN117201077A publication Critical patent/CN117201077A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

本发明涉及物联网技术领域,公开了一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据,具备通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据的优点。

Description

一种物联网接入场景身份建模及信任评估方法
技术领域
本发明涉及物联网技术领域,具体为一种物联网接入场景身份建模及信任评估方法。
背景技术
随着新型电力系统建设发展,大规模的终端设备接入电力物联网,产生海量的采集数据,电力物联网借助数量巨大的传感设备和各种异构通信网络实现了电网实时感知、动态控制,同时海量外部数据的接入影响电力系统的控制决策,增加了运行和控制的复杂性。当前电力物联网面临海量终端接入,根据当前电力物联网建设特点,不同平台下的物联网设备之间协同工作及信息共享难以实现,彼此之间缺乏联系、组织松散,在面临安全威胁时,往往各自为战,不能形成合力应对各类安全威胁、易被攻陷,进而导致业务瘫痪,且海量异构终端由于多代际通信协议并存,以及物联网设备移动或者频繁加入/退出网络,造成网络拓扑结构急剧变化,安全问题异常复杂。
此外,存在很多恶意的物联网终端设备试图接入网络对网络资源进行信息窃取、篡改以及破坏,当前安全认证体系无法实现物联网设备身份认证的安全性,无法确保网络信息资源被合法访问。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种物联网接入场景身份建模及信任评估方法,具备通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据的优点。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
优选的,包含基于账户、设备和应用的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据,详细内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果,通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
优选的,持续信任评估通过3个维度来进行整体安全评估:
1.设备安全维度,采集数据维度:设备本体数据:如操作系统版本、运行进程、文件变化、容器情况、设备性能情况、系统漏洞情况、关键文件变动情况、新增软件安装情况、异常命令执行情况、sudo操作情况;
2.身份安全维度,采集数据维度:身份认证数据:身份认证全过程情况、认证失败阶段、证书有效性、证书颁发机构、认证评率、身份认证成功次数、公网IP变动情况、身份认证失败次数、证书表动情况;
3.网络安全维度,采集数据维度:网络交互数据:原IP、原MAC、端口、目标IP、请求评率、请求行为、请求数据变化、数据上报频率、上报参数数量、数据上报数量、如访问成功次数、访问被拒绝次数、访问时间段、相关应用层协议、非法访问情况、访问资源列表。
优选的,持续信任评估,在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少造成的损失。
优选的,动态信任度评估还包括,融合多种身份认证技术,进行多重身份认证,只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
(三)有益效果
与现有技术相比,本发明提供了一种物联网接入场景身份建模及信任评估方法,具备以下有益效果:
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据;通过属性感知用户的访问上下文行为,动态调整用户信任级别,配置最小用户权限,结合持续信任评估结论做动态访问控制能力决策;融合多种身份认证技术,进行多重身份认证。只有多重身份认证全部通过,系统才最终确认用户的合法身份。
附图说明
图1为本发明多维信任评估示意图;
图2为本发明多重身份认证(MFA)示意图。
具体实施方式
为了更好地了解本发明的目的、结构及功能,下面结合附图,对本发明一种物联网接入场景身份建模及信任评估方法做进一步详细的描述。
请参阅图1-2,本发明包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
1、研究基于账户、设备和应用等的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。详细研究内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果。通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
持续信任评估通过3个维度来进行整体安全评估,其中为:
持续信任评估案例
可以在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少可能造成的损失。如:
攻击者通过拿下一台无人机后,首先让无人机正常接入,因为攻击者对无人机没有任何动作,所以无人机可以正常通过终端身份认证从而接入系统并正常工作,信任评估机制会给无人机一个信任评估值。下一步,攻击者通过篡改无人机正常访问路径或发送一些非法、恶意的指令进行攻击达到他想要的目的,这期间持续信任评估机制不间断对该无人机进行判定,当发现无人机行为超出它本身默认的基线后,降低无人机信任评估值,并将无人机发送的数据包丢弃,同时中断该无人机的连接。
3、研究基于多重身份认证的本体安全防护技术
融合多种身份认证技术,进行多重身份认证。只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力,详细内容如下:
多重身份认证(MFA)技术是一种保护物理和逻辑访问的分层方法,要求物联终端提供两个或多个不同身份验证器的组合,以验证终端的身份。MFA提高了安全性,即使其中一个身份验证器受到威胁,未经授权的物联终端也无法满足第二个身份验证要求。通过多重身份认证,增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
可以理解,本发明是通过一些实施例进行描述的,本领域技术人员知悉的,在不脱离本发明的精神和范围的情况下,可以对这些特征和实施例进行各种改变或等效替换。另外,在本发明的教导下,可以对这些特征和实施例进行修改以适应具体的情况及材料而不会脱离本发明的精神和范围。因此,本发明不受此处所公开的具体实施例的限制,所有落入本申请的权利要求范围内的实施例都属于本发明所保护的范围内。

Claims (5)

1.一种物联网接入场景身份建模及信任评估方法,包含有物联接入场景身份建模和信任评估算法,其特征在于:通过设备安全维度、身份安全维度和网络安全维度进行整体安全评估,实现与访问控制联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估评估数据。
2.根据权利要求1所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:包含基于账户、设备和应用的动态信任度评估技术
通过基于账户、设备和应用等多维信任度评估,根据样本数据进行机器学习,最终达到安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据,详细内容如下:
从多个维度研究信任评估技术,基于账户、设备和应用等,从多维度刻画可信度,根据物联网应用环境提出多维属性信任评估因子选取方案,结合环境、行为和其他属性对资源能力状态和交互服务结果进行动态可信度量;基于信任与交互行为的关联性进行信任建模;依靠多维信任决策属性的评估来较为全面地根据表现与状态预测其身份和交互结果,通过多维信任建模,可以为提升交互成功率、构建可信群体提供数值评价基础。
根据样本数据进行机器学习,通过机器学习算法,实现安全和风险的平衡,与访问控制引擎联动,持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据,作为访问控制策略判定依据。
3.根据权利要求2所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:持续信任评估通过3个维度来进行整体安全评估:
1.设备安全维度,采集数据维度:设备本体数据:如操作系统版本、运行进程、文件变化、容器情况、设备性能情况、系统漏洞情况、关键文件变动情况、新增软件安装情况、异常命令执行情况、sudo操作情况;
2.身份安全维度,采集数据维度:身份认证数据:身份认证全过程情况、认证失败阶段、证书有效性、证书颁发机构、认证评率、身份认证成功次数、公网IP变动情况、身份认证失败次数、证书表动情况;
3.网络安全维度,采集数据维度:网络交互数据:原IP、原MAC、端口、目标IP、请求评率、请求行为、请求数据变化、数据上报频率、上报参数数量、数据上报数量、如访问成功次数、访问被拒绝次数、访问时间段、相关应用层协议、非法访问情况、访问资源列表。
4.根据权利要求3所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:持续信任评估,在访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较,持续地对用户进行信任评估,动态调整用户访问权限,以即时应对各类入侵行为,减少造成的损失。
5.根据权利要求2所述的一种物联网接入场景身份建模及信任评估方法,其特征在于:动态信任度评估还包括,融合多种身份认证技术,进行多重身份认证,只有多重身份认证全部通过,系统才最终确认用户的合法身份。增加了认证过程的复杂性,降低了认证系统被攻克的风险,增强本体安全防护能力。
CN202310970633.4A 2023-08-03 2023-08-03 一种物联网接入场景身份建模及信任评估方法 Pending CN117201077A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310970633.4A CN117201077A (zh) 2023-08-03 2023-08-03 一种物联网接入场景身份建模及信任评估方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310970633.4A CN117201077A (zh) 2023-08-03 2023-08-03 一种物联网接入场景身份建模及信任评估方法

Publications (1)

Publication Number Publication Date
CN117201077A true CN117201077A (zh) 2023-12-08

Family

ID=88996897

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310970633.4A Pending CN117201077A (zh) 2023-08-03 2023-08-03 一种物联网接入场景身份建模及信任评估方法

Country Status (1)

Country Link
CN (1) CN117201077A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834301A (zh) * 2024-03-05 2024-04-05 江苏社汇通智能科技有限公司 一种基于物联网的网络安全通信控制方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117834301A (zh) * 2024-03-05 2024-04-05 江苏社汇通智能科技有限公司 一种基于物联网的网络安全通信控制方法及系统
CN117834301B (zh) * 2024-03-05 2024-05-17 江苏社汇通智能科技有限公司 一种基于物联网的网络安全通信控制方法及系统

Similar Documents

Publication Publication Date Title
Aujla et al. Blocksdn: Blockchain-as-a-service for software defined networking in smart city applications
Liu et al. A survey: Typical security issues of software-defined networking
Almaiah A new scheme for detecting malicious attacks in wireless sensor networks based on blockchain technology
CN115189927B (zh) 一种基于零信任的电力网络安全防护方法
Shokry et al. Systematic survey of advanced metering infrastructure security: Vulnerabilities, attacks, countermeasures, and future vision
Wang et al. Perm-guard: Authenticating the validity of flow rules in software defined networking
CN101771702B (zh) 点对点网络中防御分布式拒绝服务攻击的方法及系统
CN111447067A (zh) 一种电力传感设备加密认证方法
CN110830446A (zh) 一种spa安全验证的方法和装置
CN117201077A (zh) 一种物联网接入场景身份建模及信任评估方法
Nam Nguyen et al. A survey of Blockchain technologies applied to software‐defined networking: Research challenges and solutions
McLaughlin et al. Secure communications in smart grid: Networking and protocols
CN112015111B (zh) 基于主动免疫机理的工业控制设备安全防护系统和方法
Chen et al. A Summary of Security Techniques‐Based Blockchain in IoV
Cao et al. Towards cyber security for low-carbon transportation: Overview, challenges and future directions
Mogadem et al. A survey on internet of energy security: related fields, challenges, threats and emerging technologies
Sudha et al. A review on privacy requirements and application layer security in internet of things (IoT)
Naanani Security in Industry 4.0: Cyber-attacks and countermeasures
Patidar et al. Information theory-based techniques to detect DDoS in SDN: A survey
Bekri et al. Intelligent IoT Systems: security issues, attacks, and countermeasures
Hasan et al. Towards a threat model and privacy analysis for V2P in 5G networks
Jena et al. A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment
Olakanmi et al. Throttle: An efficient approach to mitigate distributed denial of service attacks on software‐defined networks
Gu et al. IoT security and new trends of solutions
Phiri et al. Petri Net-Based (PN) Cyber Risk Assessment and Modeling for Zambian Smart Grid (SG) ICS and SCADA Systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication