用于动态制造系统的访问控制实施架构技术方案

本公开的实施例涉及用于动态制造系统的访问控制实施架构。一种计算机系统，包括：一个或多个具有资源(223)资源服务器(220)，对资源(223)的访问根据计算机可读访问控制语言中被指定的控制策略而被控制，以及集中式授权服务器(240)，该集中式授权服务器(240)对于资源服务器(220)是公共的并且实现第二类型策略决策点(240

【技术实现步骤摘要】
用于动态制造系统的访问控制实施架构


[0001]本公开涉及工业自动化和控制系统(IACS)内的网络安全机制的领域。给出了实际上可用于动态改变访问控制场景的多个访问控制实施架构。此外，通过实现示例示出了具体的策略表达模型如何能够与符合特定工业标准的建议架构相结合。

技术介绍

[0002]访问控制是任何现代信息系统中的主要安全机制之一。在诸如工业控制系统、后勤、制造等工业系统中，网络安全是日益受到关注的属性。鉴于最近的网络攻击，以及朝向日益增加的连接和数字制造系统的技术演进，显然必须修改许多网络安全实践。访问控制在控制系统的较低层中也日益重要，因为这些层也适用于更多基于服务的方法。
[0003]在工业制造系统的新兴特征中，自适应制造，如针对例如模块化自动化[1]、[2]、[3]所描述的，意味着生产设备的不断变化的集合，以不同的方式组合并且遵循不同的工作流方案以满足快速转移的生产需要。该特性使得用于描述和实施访问控制策略的传统方法在例如管理努力和遵循最小特权原则的可能性方面不太有用[4]。
[0004]在问卷调查研究中，部分地在[5]中提出，瑞典业内活跃的网络安全专家被问及与访问控制相关的技术和感知挑战。所标识的挑战中的若干挑战与实施架构的功能性直接相关，例如，发现可用性与安全性之间的正确平衡的问题，以及将策略数据分发给设备的挑战。本公开旨在提出对抗这些感知挑战中的一些的机制。
[0005]为了处理未来制造系统的动态特性，访问控制策略必须提供灵活性和动态性。基于属性的访问控制(ABAC)是一种可以提供这种增加的灵活性的策略模型[6]、[7]。同样重要的方面是用于实施策略的机制可以支持及时和最新的策略决策。访问控制实施架构的两个最重要的功能是：1)提供访问决策、以及2)根据访问决策准许或拒绝对资源的访问。
[0006]开放过程通信统一自动化(OPC UA)是在操作技术(OT)环境中越来越多地用作可互操作协议的通信协议。该协议在IEC 62541[8]标准系列中描述，并且包括关于如何达到高级通信安全的描述。所描述的与授权相关的准则实质上将可互操作部分限制为基于角色的访问控制(RBAC)[9]，这可能不是动态改变系统的最佳配合[10]。
[0007]Chandramouli等人[11]描述了如何使用用于基于微服务的应用的服务网格来构建用于基于属性的访问控制的实施架构。该方法基于存在于所有簇节点上并作为策略实施点(PEP)工作的“边车(side
‑
car)”容器。该架构支持完全调解，因为所有访问请求都通过“边车”容器被路由。该方法被设计用于在集装箱化平台上执行的云本地微服务。此外，本专利技术涉及制造系统，通常包括在专用设备上运行的应用，其不允许以这种方式进行调解。然而，将策略实施分离到单独过程的概念是令人感兴趣的，并且对于制造系统中的多服务设备也是有用的。
[0008]Martinelli等人[10]提出了用于OPC
‑
UA的实施架构，其允许包括可变属性，如使用控制(UCON)访问控制模型(ABAC的扩展)所描述的。然而，该架构不利用OPC
‑
UA标准所描述的用于授权的任何标准组件。例如，PDP被完全放置在“使用控制系统”上，该使用控制系
统包含未被标准描述的多个组件，PEP被扩展为在客户端和服务器等上具有组件。这意味着，与本文建议的方法相比，解决方案绝不与当前的OPC
‑
UA标准互操作，这原则上利用可用的标准化方法。
[0009]Sudarsan等人[12]提供了在IoT和CPS的上下文中，特别是从非受限设备的上下文中，访问控制模型、子授权模型和授权管理的可用技术的调查。其焦点在于子授权模型，即如何委托许可。这里详细讨论OAuth，提供对描述使用OAuth令牌的授权委托的优点和弱点的若干工作的参考。讨论了基于属性的访问控制(ABAC)和下一代访问控制(NGAC)，特别指出了NGAC与XACML相比在规则推理所需的复杂度和时间方面的优点。该上下文与本公开中讨论的用例很好地对准，因为与例如可能是底层模块组成的一部分的简单传感器相比，基于模块化工作流的制造系统的交互设备通常相对强大。
[0010]Dram
é‑
Maign
é
等人[13]提供了对用于IoT系统的实施架构的广泛的现有技术研究，尤其关注用于基于令牌的实施的可用解决方案。它们呈现四个主要架构概念：集中、分级、联合和分布、以及对若干垂直线的评估。原则上，该方法遵循混合集中式/分布式方法，具有用于动态许可和角色分配的集中式策略决策，以及用于静态角色许可的本地决定。

技术实现思路

[0011]本公开的目的是提出一种用于构造访问控制实施架构的方法，该访问控制实施架构减轻了可察觉的挑战并且在工业自动化和控制系统(IACS)中特别是在制造环境中实际上是有用的。实施架构应优选地支持动态和灵活的制造系统(以及与这些系统相关联的控制系统)的特征，并且可以使用可用的工业标准来实现。另一目的是提出使用基于声明的令牌作为执行机制的一部分的不同策略，包括如何使用访问令牌来制定使用标准化ABAC策略模型表达的访问控制策略。
[0012]这些目的中的至少一些通过如独立权利要求所限定的本专利技术来实现。从属权利要求涉及本专利技术的有利实施例。
[0013]在本专利技术的第一方面中，提供了一种具有根据权利要求1的技术特征的计算机系统。
[0014]该技术特征使得动态策略特权和静态策略特权能够被不同地处理。这种区别的目的是将相对更经常(动态)改变或期望改变的访问控制策略的这些部分与相对更稳定的其余部分分开。在资源服务器中本地执行所有决策减少了计算机系统内的必要通信量，但也可能带来在改变的情况下必须更新访问控制策略的所有本地存储的副本的不便。如果涉及动态策略特权的决策被提交给集中式授权服务器，则大量减少被保持，并且不便被减少。影响动态策略特权的访问控制策略的那些部分的频繁更新可以用有限的努力进行，因为集中式授权服务器对于资源服务器是公共的。如果第二类型PDP与仅存储访问控制策略的一部分的本地策略数据仓库相关联，则该优点将更加显著，访问控制策略的一部分独立于动态策略特权，因此，除非要改变静态策略特权，否则不需要更新访问控制策略的一部分。
[0015]应当理解，授权服务器与一些或所有资源服务器不同(独立)。优选地，授权服务器和资源服务器各自都包括用于与计算机系统中的其它实体通信的输入/输出接口，其中两个输入/输出接口应该是不同的。这允许频繁地进行可变显式许可/限制的重新配置，而不会显著增加对资源服务器的输入/输出接口的调用次数。
[0016]在一些实施例中，存在单个集中式授权服务器，其因此为计算机系统中的所有资源服务器所共用。在其它实施例中，资源服务器被群集为多个组，每个组共享授权服务器，通过这些授权服务器，访问控制策略可以被方便地更新，以影响其中所决定的动态策略特权。
[0017]在一些实施例中，基于用户对资源的至少一个显本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机系统(200)，包括：一个或多个具有资源(223)的资源服务器(220)，对所述资源(223)的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制；以及集中式授权服务器(240)，所述集中式授权服务器(240)对于所述资源服务器(220)是公共的并且实现第二类型策略决策点(240
’
)，所述计算机系统的特征在于第一类型策略决策点PDP(241
’
)，由所述授权服务器实现并且被配置为决定动态策略特权；以及一个或多个第二类型PDP(241”)，由所述资源服务器中的相应的资源服务器实现并且被配置为决定所述静态策略特权。2.根据权利要求1所述的计算机系统，其中所述动态策略特权基于用户的至少一个显式许可/限制而被决定。3.根据权利要求1或2所述的计算机系统，其中所述静态策略特权基于与用户相关联的至少一个角色而被决定。4.根据前述权利要求中任一项所述的计算机系统，其中所述第一类型PDP被配置为生成访问令牌，所述访问令牌指示与用户相关联的至少一个角色和用于访问所述资源中的至少一个资源的至少一个显式许可/限制，其中每个许可/限制直接引用所述至少一个资源，并且每个角色仅经由所述访问控制策略间接引用所述资源。5.根据权利要求4所述的计算机系统，其中所述第一类型PDP被配置为响应于来自用户客户端(210)的访问令牌请求来生成所述访问令牌，所述访问令牌请求标识与所述用户客户端相关联的用户。6.根据前述权利要求中任一项所述的计算机系统，其中所述第一类型PDP还被配置为生成单操作访问令牌，所述单操作访问令牌指示访问声明，所述访问声明允许用于访问要被仅行使一次的资源的许可。7.根据权利要求6所述的计算机系统，其中所述第一类型PDP被配置为响应于来自用户客户端(210)的特定请求来生成所述单操作访问令牌，所述特定请求标识与所述用户客户端相关联的用户以及所述资源。8.根据前述权利要求中任一项所述的计算机系统，其中每个第二类型PDP与本地策略数据储存库(230”)相关联，所述本地策略数据储存库(230”)存储独立于所述动态策略特权的所述访问控制策略的一部分。9.一种用于在计算机系统(200)中使用的授权服务器(240)，所述计算机系统(200)还包括具有资源(223)的一个或多个资源服务器(220)，对所述资源(223)的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制，所述授权服务器的特征在于，所述授权服务器实现第一类型的策略决策点PDP(241
’
)，所述PDP(241
’
)被配置为决定动态策略特权，以及将关于静态策略特权的决策提交给由资源服务器中的一个资源服务器实现的第二类型PDP(241”)。10.一种访问计算机系统(200)的资源服务器(220)中的资源(223)的方法(500)，其中
对所述资源的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制，其中所述方法在用户客户端(210)中被实现并且包括：向授权服务器(240)提交(510)访问令牌请求，所述访问令牌请求标识所述用户客户端的用户并且与所述资源相...

【专利技术属性】
技术研发人员：比约恩，
申请(专利权)人：ABB瑞士股份有限公司，
类型：发明
国别省市：