一种用于授权计算机化系统中的实体(9)对对象(12)的访问的方法,包括以下步骤:提供(S1)访问控制列表(ACL),所述访问控制列表(ACL)针对每个对象(12)指定对计算机化系统的对象(12)的访问权限;向访问控制列表(ACL)中的对象中的至少一个分配(S2)能力要求信息;将能力信息分配给计算机化系统中的实体中的至少一个实体(9);请求(S11)实体(9)对对象(12)的访问;根据ACL检查请求实体(99)是否具有访问权限;以及仅当分配给请求实体(9)的能力信息与分配给被请求对象(12)的能力要求信息匹配时,才授权(S5)请求实体(9)对被请求对象(12)的访问。对文件的基于ACL的访问与能力的组合提高了系统的安全性。组合提高了系统的安全性。组合提高了系统的安全性。
【技术实现步骤摘要】
【国外来华专利技术】授权对计算机化系统中的对象的访问的方法、计算机程序产品和现场设备
[0001]本公开涉及一种用于授权对计算机化系统(例如自动化系统)中的对象(诸如文件或进程)的访问的方法。本公开进一步涉及自动化系统中的现场设备。
[0002]授权对计算机化系统(诸如工业自动化或控制系统)中对象的访问需要安全且有保障。授权或拒绝对自动化系统中涉及的设备中的文件、接口或功能的访问是提高相应自动化系统完整性的一个关键措施。
[0003]自动化系统通常在涉及的控制器上运行操作系统。例如,常规的操作系统依据访问控制列表(ACL)对操作系统的资源(如例如文件)使用访问控制方法。例如,访问控制列表(ACL)规定了是否允许某些用户访问文件。诸如Linus、UNIX、BSD、Windows或MacOS之类的常规的操作系统都使用ACL模型。
[0004]访问权限的管理通常基于自由访问控制(DAC)模型,其中用户可以定义对他们在系统中拥有的对象的访问权限。在强制访问控制(MAC)系统中,访问权限是针对整个系统定义的,并且不能被用户更改。ACL、DAC或MAC模型对于工业应用、如例如在计算机化自动化系统中可能不够充分和灵活。
[0005]因此,本公开的目的是提供一种用于授权对计算机化系统中的对象的访问的改进方法。
[0006]根据本公开的一个方面,一种用于向计算机化系统中的实体授权对对象的访问的方法包括以下步骤:提供访问控制列表(ACL),所述访问控制列表(ACL)针对每个对象指定对计算机化系统的对象的访问权限;将能力要求信息分配给访问控制列表中的至少一个对象;将能力信息分配给计算机化系统的实体中的至少一个实体;请求由实体对对象的访问;根据ACL检查请求实体是否具有的访问权限;和仅当分配给请求实体的能力信息与分配给被询问对象的能力要求信息相匹配时,才向请求实体授权对被请求对象的访问。
[0007]计算机化系统中的术语“实体”被用作请求对系统中特定对象的访问的主体的名称。进一步理解,“匹配”将解释为彼此一致或符合。因此,能力要求信息指定请求实体必须具有什么能力才能访问所请求的对象。
[0008]计算机化系统可以是包括通信耦合设备的分布式系统。提出的用于授权访问的方法将常规的基于ACL的访问控制方法与对分配给主体(即请求实体)的附加的基于能力的能力验证相组合。能力要求信息指示,为了访问所请求的对象,可以由能力信息定义的特定能力是必要的。特别是,在自动化系统或工业网络中,基于能力的附加验证可以容易地实现。特别是,关于安全性相关的访问,可以实现ACL与能力检查相组合来提高安全性。
[0009]在该方法的实施例中,所述至少一个对象是文件、接口、组件、服务和/或操作系统的注册表条目。例如,文件可以根据操作系统依据文件系统来存储。接口可以是网络接口,
或者是可连接到传感器或致动器的输入/输出接口。计算机化系统的组件可以是电源管理单元、看门狗组件或集成实时时钟。在实施例中,通过文件系统中的文件访问来实现对接口的访问。服务可以是允许或实现计算机化系统中某些动作的软件服务。
[0010]在该方法的实施例中,所述至少一个实体是用户或进程。在操作计算机化系统的方法中,诸如读或写操作之类的进程不仅依据ACL来记录,而且具有依据能力信息来分配的它们的能力。这同样适用于指示特定身份的用户或用户ID,能力信息被分配给所述用户或用户ID。
[0011]在实施例中,能力要求信息是ACL中的数据标志,指示在授权访问之前要检查能力要求。能力要求信息可以是能力要求数据条目(CRDE)和/或指向能力要求数据条目的指针。
[0012]例如,数据标志指示除了成功的ACL检查之外,还需要在授权对对象的访问之前执行能力检查,使得请求实体可以访问该对象。标志或CRDE可以依据文件头、文件属性、文件名或文件扩展名来存储。特别是,如果对象是文件系统中的文件,则CRDE可以显式或隐式地被包括在文件名中。例如,例如self
‑
check.execap的文件扩展名可以指示,只有在证明了特定能力的情况下,才能访问该文件。还可以考虑将CRDE直接包括在文件头中,例如要存储的文件的前八或十六个字节中。
[0013]在实施例中,CRDE可以是文件属性的一部分,该文件属性可以是与相应计算机文件相关联的元数据。常规的操作系统已经提供了文件属性,因此可以添加附加的能力属性。这还包括可以用于存储CRDE的诸如扩展属性的文件系统特定的字段。
[0014]在实施例中,CRDE存储在与ACL分离的数据库中。可以设想计算机化系统中的可信硬件模块、安全元件和/或密码保护元件。
[0015]在该方法的实施例中,能力信息是能力表中的条目,包括实体的标识符和分配的能力数据条目CDE。能力表可以存储在能力配置文件中。还可以考虑使用硬件安全性模块或安全性加密狗(dongle)来存储能力表。
[0016]在实施例中,诸如Linux安全性模块的内核级组件被用于存储能力表。例如,如果用户被认为是访问请求实体,则用户名或用户ID可以用作实体的标识符。可替代地或附加地,当进程需要访问由实现所提出方法的各方面的相应操作系统管理的某些文件时,进程ID可以用作标识符。
[0017]可以考虑将能力表存储为用户数据库的一部分。
[0018]在实施例中,CDE被分配给每个用户或用户组。CRDE可以被包括在二进制文件的属性中,如例如包含程序代码的文件或属于程序代码库的文件。属性可以定义访问和执行文件中的程序代码所需的能力数据条目的特性。
[0019]在一些实施例中,在操作系统下运行的进程是请求实体。然后,进程可以具有分配的能力数据条目,该能力数据条目可以被传送到结果得到的进程(子进程),使得能力可以从一个进程继承到另一个进程。
[0020]检查或验证能力信息是否与特定进程的能力要求相匹配可以包括对外部凭证的请求,例如从服务器或从专用硬件安全性模块检索附加能力或安全性数据。
[0021]在实施例中,CRDE包括用于验证CDE的验证数据条目VDE,其中CDE特别包括作为指示实体身份的数据的函数计算的密码校验和。
[0022]在实施例中,使用单独的安全元件来执行验证CDE。可以设想,实现所提出的方法
的操作系统为用户生成专用的能力存储器区段。这样的专用能力存储器区段可以用作能力白板,用户可以在其中安全地存储他们的能力条目。
[0023]例如,计算机化系统可以包括工业PC、现场设备和/或根据操作系统操作的控制器设备。当启动计算机化系统时,能力信息可以作为随机变量的函数来存储。因此,每次系统启动时,专用能力存储器区段改变其外观,这提高了安全性。
[0024]验证CDE可以包括身份检查,即如果CDE在位序列方面与相应的CRDE中所需的位序列相同,则CDE和CRDE彼此匹配。例如,位序列可以具有32、64、128、256或512位的长度。所述位可以随机选择,使得实际上不能猜测有效的CDE。这提供了高级别的保护。
[0025]如果C本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于授权计算机化系统中的实体(9)对对象(12)的访问的方法,包括:提供(S1)访问控制列表(ACL),所述访问控制列表(ACL)针对每个对象(12)指定对计算机化系统的对象(12)的访问权限;向访问控制列表(ACL)中的对象中的至少一个分配(S2)能力要求信息;将能力信息分配给计算机化系统中的实体中的至少一个实体(9);请求(S11)由实体(9)对对象(12)的访问;根据ACL检查请求实体(9)是否具有访问权限;和仅当分配给请求实体(9)的能力信息与分配给被请求对象(12)的能力要求信息匹配时,才授权(S5)请求实体(9)对被请求对象(12)的访问。2.根据权利要求1所述的方法,其中所述至少一个对象(12)是文件、服务和/或注册表条目。3.根据权利要求1或2所述的方法,其中所述至少一个实体(9)是用户或进程。4.根据权利要求1
‑
3中任一项所述的方法,其中,能力要求信息是ACL中的数据标志,指示能力要求、能力要求数据条目(CRDE)和/或指向能力要求数据条目(CRDE)的指针。5.根据权利要求1
‑
4中任一项所述的方法,其中所述对象(12)是文件,并且CRDE被实现为文件的头部数据、文件属性、文件名和/或文件扩展名的一部分。6.根据权利要求4或5所述的方法,其中CRDE存储在与ACL分离的数据库中,特别是存储在可信硬件模块(TPM)、安全元件(SE)和/或密码保护元件中。7.根据权利要求1
‑
6中任一项所述的方法,其中能力信息是能力表中的条目,所述能力表包括实体的标识符和所分配的能力数据...
【专利技术属性】
技术研发人员:F,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。