【技术实现步骤摘要】
用于动态制造系统的访问控制实施架构
[0001]本公开涉及工业自动化和控制系统(IACS)内的网络安全机制的领域。给出了实际上可用于动态改变访问控制场景的多个访问控制实施架构。此外,通过实现示例示出了具体的策略表达模型如何能够与符合特定工业标准的建议架构相结合。
技术介绍
[0002]访问控制是任何现代信息系统中的主要安全机制之一。在诸如工业控制系统、后勤、制造等工业系统中,网络安全是日益受到关注的属性。鉴于最近的网络攻击,以及朝向日益增加的连接和数字制造系统的技术演进,显然必须修改许多网络安全实践。访问控制在控制系统的较低层中也日益重要,因为这些层也适用于更多基于服务的方法。
[0003]在工业制造系统的新兴特征中,自适应制造,如针对例如模块化自动化[1]、[2]、[3]所描述的,意味着生产设备的不断变化的集合,以不同的方式组合并且遵循不同的工作流方案以满足快速转移的生产需要。该特性使得用于描述和实施访问控制策略的传统方法在例如管理努力和遵循最小特权原则的可能性方面不太有用[4]。
[0004]在问卷调查研究中,部分地在[5]中提出,瑞典业内活跃的网络安全专家被问及与访问控制相关的技术和感知挑战。所标识的挑战中的若干挑战与实施架构的功能性直接相关,例如,发现可用性与安全性之间的正确平衡的问题,以及将策略数据分发给设备的挑战。本公开旨在提出对抗这些感知挑战中的一些的机制。
[0005]为了处理未来制造系统的动态特性,访问控制策略必须提供灵活性和动态性。基于属性的访问控制(ABAC)是一种可以提 ...
【技术保护点】
【技术特征摘要】
1.一种计算机系统(200),包括:一个或多个具有资源(223)的资源服务器(220),对所述资源(223)的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制;以及集中式授权服务器(240),所述集中式授权服务器(240)对于所述资源服务器(220)是公共的并且实现第二类型策略决策点(240
’
),所述计算机系统的特征在于第一类型策略决策点PDP(241
’
),由所述授权服务器实现并且被配置为决定动态策略特权;以及一个或多个第二类型PDP(241”),由所述资源服务器中的相应的资源服务器实现并且被配置为决定所述静态策略特权。2.根据权利要求1所述的计算机系统,其中所述动态策略特权基于用户的至少一个显式许可/限制而被决定。3.根据权利要求1或2所述的计算机系统,其中所述静态策略特权基于与用户相关联的至少一个角色而被决定。4.根据前述权利要求中任一项所述的计算机系统,其中所述第一类型PDP被配置为生成访问令牌,所述访问令牌指示与用户相关联的至少一个角色和用于访问所述资源中的至少一个资源的至少一个显式许可/限制,其中每个许可/限制直接引用所述至少一个资源,并且每个角色仅经由所述访问控制策略间接引用所述资源。5.根据权利要求4所述的计算机系统,其中所述第一类型PDP被配置为响应于来自用户客户端(210)的访问令牌请求来生成所述访问令牌,所述访问令牌请求标识与所述用户客户端相关联的用户。6.根据前述权利要求中任一项所述的计算机系统,其中所述第一类型PDP还被配置为生成单操作访问令牌,所述单操作访问令牌指示访问声明,所述访问声明允许用于访问要被仅行使一次的资源的许可。7.根据权利要求6所述的计算机系统,其中所述第一类型PDP被配置为响应于来自用户客户端(210)的特定请求来生成所述单操作访问令牌,所述特定请求标识与所述用户客户端相关联的用户以及所述资源。8.根据前述权利要求中任一项所述的计算机系统,其中每个第二类型PDP与本地策略数据储存库(230”)相关联,所述本地策略数据储存库(230”)存储独立于所述动态策略特权的所述访问控制策略的一部分。9.一种用于在计算机系统(200)中使用的授权服务器(240),所述计算机系统(200)还包括具有资源(223)的一个或多个资源服务器(220),对所述资源(223)的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制,所述授权服务器的特征在于,所述授权服务器实现第一类型的策略决策点PDP(241
’
),所述PDP(241
’
)被配置为决定动态策略特权,以及将关于静态策略特权的决策提交给由资源服务器中的一个资源服务器实现的第二类型PDP(241”)。10.一种访问计算机系统(200)的资源服务器(220)中的资源(223)的方法(500),其中
对所述资源的访问根据计算机可读访问控制语言中被指定的访问控制策略而被控制,其中所述方法在用户客户端(210)中被实现并且包括:向授权服务器(240)提交(510)访问令牌请求,所述访问令牌请求标识所述用户客户端的用户并且与所述资源相...
【专利技术属性】
技术研发人员:比约恩,
申请(专利权)人:ABB瑞士股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。