【技术实现步骤摘要】
本专利技术属于网络安全,尤其涉及一种基于零信任机制的工业互联网资源访问控制方法。
技术介绍
1、随着云计算、大数据、物联网、人工智能等信息技术的发展,企业为了提高生产效率,工业控制系统内部生产数据与外界网络的交互需求增加,工控网络已经不再具有传统模式(工业防火墙和工业网闸等)的安全防护边界,从而导致工业互联网暴露面增大;以及由于海量工业终端的接入,一旦有终端设备被来自互联网的攻击者攻陷,整个工业互联网的资源和数据易遭受横向移动攻击而陷入巨大的安全风险。因此,迫切需要可靠的工业互联网资源访问控制方法保障工业互联网的安全。
技术实现思路
1、鉴于上述的分析,本专利技术旨在提供一种基于零信任机制的工业互联网资源访问控制方法,对工业互联网用户进行可信评估并制定动态访问策略来实现访问控制,保障工业互联网资源的安全。具体包括如下步骤:
2、获取用户发起的资源访问请求;
3、判断发起资源访问请求的所述用户与被请求资源是否属于同一企业;
4、如果是,则基于所述企业各边缘区的实时异常检测结果确定所述用户对该企业内各边缘区资源的第一访问控制策略,以及,基于所述第一访问控制策略建立或断开所述用户与被请求资源的通信;
5、如果否,则基于工业互联网中各企业的各边缘区的实时异常检测结果确定所述用户对各企业各边缘区资源的第二访问控制策略,以及,基于所述第二访问控制策略建立或拒绝所述用户与所述被请求资源的通信。
6、进一步的,各边缘区的所述实时异常检测结
7、基于用户所在边缘区的所述实时异常检测结果评估所述用户的可信度;
8、基于资源所在边缘区的所述实时异常检测结果得到资源的动态可信阈值;
9、基于所述用户的可信度和所述资源的动态可信阈值确定第一或第二访问控制策略。
10、进一步的,所述基于用户所在边缘区的所述实时异常检测结果评估所述用户的可信度,包括:
11、确定用户身份、用户行为、用户所在边缘区的环境安全性相关的定性评估指标和定量评估指标;
12、将所述定性评估指标转换为相应的第一定量评估指标;
13、归一化处理所有所述定量评估指标的值和所述第一定量评估指标的值得到归一化指标值;
14、计算各所述归一化指标的权重;
15、基于各所述归一化指标的值和所述权重得到用户可信度。
16、进一步的,所述将所述定性评估指标转换为相应的第一定量评估指标包括:
17、用表示第k个定性指标的n个评价等级;
18、量化每个评价等级为其中表示每个等级量化后的数值,i∈[1,n];
19、基于单因素评判得到所述第k个定性指标对应于n个评价等级的隶属关系表示为
20、基于所述评价等级和所述隶属关系得到所述第k个定性指标转换后的第一定量评估指标的取值表示为
21、进一步的,所述归一化指标的权重的计算方法表示为:
22、
23、其中,wm表示第m个归一化指标的权重,cm表示该指标的信息量,cm=em·rm,em和rm分别表示该指标的对比强度和冲突强度,m表示所述归一化指标的个数。
24、进一步的,所述基于所述归一化指标的值和所述权重得到用户可信度的计算公式为:
25、
26、其中,tj表示第j个用户的用户可信度,m表示所述归一化指标的个数,表示第j个用户的第m个所述归一化指标的值。
27、进一步的,所述基于资源所在边缘区的所述实时异常检测结果得到资源的动态可信阈值包括:
28、基于所述实时异常检测结果计算用户所要访问的资源的环境安全系数;
29、基于所述环境安全系数动态调整资源访问权限的基础可信阈值得到动态可信阈值。
30、进一步的,所述环境安全系数的计算公式为:
31、所述动态可信阈值表示为td=min(1,th/st);
32、其中,st表示t时刻的环境安全系数,计算结果范围为(0,1],m表示检测时间窗内检测到的异常次数,ti表示检测时间窗内检测到的第i次异常时间戳,α表示(0,1)范围内的超参数,th为基础可信阈值,取值范围为[0.8,1]。
33、进一步的,所述基于所述用户的可信度tj和所述资源的动态可行阈值td确定第一或第二访问控制策略包括:
34、若所述用户可信度tj≥td,所述第一或第二访问控制策略为同意访问请求;若所述用户可信度tj<td,所述第一或第二访问控制策略为拒绝访问请求。
35、进一步的,所述确定所述第一或第二访问控制策略后,还包括:
36、为所述第一或第二访问控制策略所同意访问资源的用户生成用于与被请求资源通信的身份凭证;
37、基于所述身份凭证建立所述用户与所述被请求资源的通信。
38、本专利技术至少可以实现下述之一的有益效果:
39、通过基于用户身份、用户行为、用户所在边缘区的环境安全性的评估指标等多方面对用户可信度进行评估,能有效反映用户的可信情况,增强系统访问的安全性;并通过使用对比强度和冲突强度计算指标权重,降低指标信息的冗余度,提升可信度指标的准确性,进一步有效反映用户的可信情况,增强用户访问的安全性。
40、通过基于网络中异常访问情况的实时异常检测结果计算资源所在边缘区的安全系数,能够实时地反映网络环境安全状况;在用户访问资源的通信过程中,通过持续评估用户可信度,基于安全系数动态调整资源访问权限的动态可信阈值,一旦发现用户可信度低于访问权限的动态可信阈值,则断开通信保护资源安全,能实时有效地阻断风险,保护系统安全。
41、通过对用户访问不同企业资源的请求进行决策,可以有效阻断企业之间的异常访问造成的风险,保护各企业内资源的安全,防止因企业间异常攻击造成的数据泄露,提高企业之间的安全防护能力。
42、通过将各边缘区的资源相互隔离,可以有效避免因个别设备被攻陷后整个工业互联网遭受横向移动攻击带来的严重风险,提高工业互联网对企业内恶意节点横向移动以及网络渗透攻击的防御能力。
43、通过使用第一访问控制策略,实现对在同一企业内用户对相同或不同边缘区资源的访问请求不需要上传到工业互联网云平台,而是由所在企业进行决策,可以缩短资源访问控制决策的时间延迟、降低工业互联网海量终端访问请求造成的云平台的数据传输压力和计算负载、降低云平台的评估认证压力、保护企业内通信的私密性避免通信数据信息泄露,从而可以避免因云平台压力造成的无法满足工业生产过程的实时性需求的问题,并增强了企业数据的安全性。
44、本专利技术的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过说明书本文档来自技高网...
【技术保护点】
1.一种基于零信任机制的工业互联网资源访问控制方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的访问控制方法,其特征在于,各边缘区的所述实时异常检测结果基于该边缘区的资源异常访问情况得到;确定所述第一访问控制策略或确定所述第二访问控制策略的过程,包括:
3.根据权利要求2所述的访问控制方法,其特征在于,所述基于用户所在边缘区的所述实时异常检测结果评估所述用户的可信度,包括:
4.根据权利要求3所述的访问控制方法,其特征在于,所述将所述定性评估指标转换为相应的第一定量评估指标包括:
5.根据权利要求3或4所述的访问控制方法,其特征在于,所述归一化指标的权重的计算方法表示为:
6.根据权利要求5所述的访问控制方法,其特征在于,所述基于所述归一化指标的值和所述权重得到用户可信度的计算公式为:
7.根据权利要求2所述的访问控制方法,其特征在于,所述基于资源所在边缘区的所述实时异常检测结果得到资源的动态可信阈值包括:
8.根据权利要求7所述的访问控制方法,其特征在于,所述环境安全系数的计算公式为:<...
【技术特征摘要】
1.一种基于零信任机制的工业互联网资源访问控制方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的访问控制方法,其特征在于,各边缘区的所述实时异常检测结果基于该边缘区的资源异常访问情况得到;确定所述第一访问控制策略或确定所述第二访问控制策略的过程,包括:
3.根据权利要求2所述的访问控制方法,其特征在于,所述基于用户所在边缘区的所述实时异常检测结果评估所述用户的可信度,包括:
4.根据权利要求3所述的访问控制方法,其特征在于,所述将所述定性评估指标转换为相应的第一定量评估指标包括:
5.根据权利要求3或4所述的访问控制方法,其特征在于,所述归一化指标的权重的计算方法表...
【专利技术属性】
技术研发人员:王斐,任磊,王雅哲,孔宇升,赖李媛君,
申请(专利权)人:北京中关村实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。