CN108712369B - 一种工业控制网多属性约束访问控制决策***和方法 - Google Patents
一种工业控制网多属性约束访问控制决策***和方法 Download PDFInfo
- Publication number
- CN108712369B CN108712369B CN201810272873.6A CN201810272873A CN108712369B CN 108712369 B CN108712369 B CN 108712369B CN 201810272873 A CN201810272873 A CN 201810272873A CN 108712369 B CN108712369 B CN 108712369B
- Authority
- CN
- China
- Prior art keywords
- information
- constraint
- network
- user
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工业控制网多属性约束访问控制决策***和方法,该策***和方法属于工控安全领域。为解决关键设施工业控制网面临的控制信息完整性破坏和非法控制等问题,结合关键设施工业控制网具有承载业务确定、网络组件及其状态有限、可描述、可预期、可观测的特点,本方法采用控制业务中主体、客体及操作具有可描述的多属性约束条件来实现更细粒度的访问控制决策分析,能够有效防止控制软件或控制信息被篡改导致的***或装置错误或损毁,为工控网络非法行为提供更细粒度的溯源取证信息。
Description
技术领域
本发明涉及一种约束访问控制决策***和方法,具体是一种工业控制网多属性约束访问控制决策***和方法。
背景技术
国家关键基础设施和大型装置中,越来越多的方面通过业务***来完成业务数据的管理、处置等,大多业务***都是通过访问控制来约束用户对特定***资源的访问,包括自主访问控制、强制访问控制以及基于角色的访问控制等技术。在工控网络中虽然已有部分***采用传统访问控制方法来实现对***的防护,以强制访问控制为主,安全防护强度不足以遏止复杂网络攻击行为。同时随着国家级信息安全对抗技术的不断发展,针对关键基础设施中工控网络***的定向攻击与日俱增。关键基础设施或大型装置中大量基于工业控制网业务***来实现特定的服务,以目前的技术防护手段很难有效的发现异常、违规、攻击行为并进行取证溯源。
传统的访问控制通过角色来限制用户对特定***资源的访问,重点在于对指定的***角色赋予相应的操作权限,再通过会话来实现账户和角色的关联映射。随着网络攻击技术的进步,攻击者很容易利用漏洞来篡改或取得对非授权资源的访问修改权限,本发明提出的工业控制网多属性约束访问控制决策方法能够根据上位机、网络、控制***业务的多维属性约束矩阵进行决策分析,拒绝攻击、异常操作的执行,同时为取证溯源提供帮助。
发明内容
本发明的目的在于提供一种工业控制网多属性约束访问控制决策***和方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
本发明的工业控制网多属性约束访问控制决策方法,依次包括如下内容:
USER,ROLES,OPS,OBS分别是用户、角色、操作和对象。
由用户信息单元101和角色信息单元102建立用户与角色的映射
assigned_users:(r:ROLES)→2USERS是角色到一组用户幂集的映射,进入由权限集合单元103。
由权限集合单元103根据用户、角色之间的匹配关系,建立权限和操作、权限和客体之间的映射集合,PRMS=2(OPS×OBS)全部权限集,assigned_permissions:(r:ROLES)→2PRMS是角色到一组权限的映射,OP:(p:PRMS)→{op∈OPS}是权限到操作的映射,将权限映射为它对应的一组操作。OB:(p:PRMS)→{ob∈OBS}是权限到客体的映射,将权限映射为它对应的一组客体,进入会话管理单元104。
会话管理单元104建立会话,管理用户发起的会话信息(包括会话的建立、关闭等)。user_sessions:(u:USERS)→2SESSIONS,是用户到一组会话的映射,sessions_users:(s:SESSIONS)→USERS,是会话到建立此会话的用户的映射,sessions_roles:(s:SESSIONS)→2ROLES,是会话到一组角色的映射,满足
允许或拒绝单元107。
属性约束提取单元105提取模型元素(用户、角色、权限、会话)之间关系的确定性限制条件,形成用户约束、终端约束、网络约束、业务约束的多维属性约束矩阵。属性约束矩阵的形成过程如下:
对于网络节点N,每个组件有其固有属性值域,由硬件层H(计算、内存、存储等)、中间件层M(操作***、驱动等)、应用层S(应用软件、控制信息、控制参数)构成N=(H,M,S);有k个组件,如内存(进程、线程)、网络连接;交换机:转发表、IP地址表、路由表、ARP表、接口表、MAC转发表;防火墙:连接状态、当前连接数、收到发出的字节数、IP或TCP或UDP或ICMP或ARP报文数、分片、校验错误、拒绝连接等;服务器:内存(进程、线程)、Session、网络连接等;业务控制信息、控制参数等,得到属性矩阵NA=(HA,MA,SA):
根据业务模型约束提取约束条件,支持类型包括:1)对象编码、数据长度约束支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件。2)数据约束条件支持数据类型设置(整数或字符串),并依据数据类型支持不同的约束条件,整数类型支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件,字符串支持和字符串匹配的与、或、非约束条件。形成约束条件矩阵NC=(HC,MC,SC):
进入访问决策单元106;
会话管理单元104后,用户在确定网络环境的一次会话中可获得的权限的映射为avail_perms:{(s:SESSIONS)→2PRMS}。属性约束提取单元105后,属性矩阵和约束条件矩阵由访问决策单元106来处理,处理规则是判别属性矩阵NA=(HA,MA,SA)是否满足约束条件矩阵NC=(HC,MC,SC),即HA、MA、SA中haij、maij、saij分别满足hcij、mcij、scij(1≤i,j≤k),允许或拒绝单元107。
允许或拒绝单元107确定信息交互是否通过,即当(NA)match(Nc)和
同时满足时,信息交互允许通过。
与现有技术相比,本发明的有益效果是:
本发明工业控制网多属性约束访问控制决策***和方法采用控制业务中主体、客体及操作具有可描述的多属性约束条件来实现更细粒度的访问控制决策分析,能够有效防止控制软件或控制信息被篡改导致的***或装置错误或损毁,为工控网络非法行为提供更细粒度的溯源取证信息。
附图说明
图1为一种工业控制网多属性约束访问控制决策***和方法的模型框图。
图2为一种工业控制网多属性约束访问控制决策***和方法的框架图。
图3为一种工业控制网多属性约束访问控制决策***和方法的分析流程图。
具体实施方式
下面结合具体实施方式对本发明的技术方案作进一步详细地说明。
USER,ROLES,OPS,OBS分别是用户、角色、操作和对象。
图1为本发明的工业控制网多属性约束访问控制决策方法模型框图,从图中可以看出:用户信息单元101是用户身份标识的集合,以账户的形式与角色信息建立关联关系;角色信息单元102是***角色集合,用户通过角色获得特定的***权限,与用户、会话之间具有关联关系,用户信息单元101和角色信息单元102建立用户与角色的映射
assigned_users:(r:ROLES)→2USERS是角色到一组用户幂集的映射;权限集单元103是主体对客体的所有操作权限集,权限集合单元103根据用户、角色之间的匹配关系,建立权限和操作、权限和客体之间的映射集合,PRMS=2(OPS×OBS)全部权限集,assigned_permissions:(r:ROLES)→2PRMS是角色到一组权限的映射,OP:(p:PRMS)→{op∈OPS}是权限到操作的映射,将权限映射为它对应的一组操作。OB:(p:PRMS)→{ob∈OBS}是权限到客体的映射,将权限映射为它对应的一组客体;会话管理单元104对用户发起的会话信息进行管理,包括会话的建立、关闭等,user_sessions:(u:USERS)→2SESSIONS,是用户到一组会话的映射,sessions_users:(s:SESSIONS)→USERS,是会话到建立此会话的用户的映射,sessions_roles:(s:SESSIONS)→2ROLES,是会话到一组角色的映射,满足
属性约束提取单元105分别采集终端、网络、业务信息构建属性矩阵,同时根据业务确定性特征及建模分析构建约束条件矩阵,属性约束矩阵的形成过程为对于网络节点N,每个组件有其固有属性值域,由硬件层H(计算、内存、存储等)、中间件层M(操作***、驱动等)、应用层S(应用软件、控制信息、控制参数)构成N=(H,M,S);有k个组件,如内存(进程、线程)、网络连接;交换机:转发表、IP地址表、路由表、ARP表、接口表、MAC转发表;防火墙:连接状态、当前连接数、收到发出的字节数、IP或TCP或UDP或ICMP或ARP报文数、分片、校验错误、拒绝连接等;服务器:内存(进程、线程)、Session、网络连接等;业务控制信息、控制参数等,得到属性矩阵NA=(HA,MA,SA):
根据业务模型约束提取约束条件,支持类型包括:1)对象编码、数据长度约束支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件。2)数据约束条件支持数据类型设置(整数或字符串),并依据数据类型支持不同的约束条件,整数类型支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件,字符串支持和字符串匹配的与、或、非约束条件。
形成约束条件矩阵NC=(HC,MC,SC):
会话管理单元104后,用户在确定网络环境的一次会话中可获得的权限的映射为avail_perms:{(s:SESSIONS)→2PRMS}。属性约束提取单元105后,属性矩阵和约束条件矩阵由访问决策单元106来处理,处理规则是判别属性矩阵NA=(HA,MA,SA)是否满足约束条件矩阵NC=(HC,MC,SC),即HA、MA、SA中haij、maij、saij分别满足hcij、mcij、scij(1≤i,j≤k);访问决策单元106根据会话提供信息以及属性约束矩阵对信息交互请求进行决策分析。允许或拒绝单元107根据决策分析结果对信息交互请求进行处置,并进行详细日志记录,允许或拒绝单元107确定信息交互是否通过,即当(NA)match(Nc)和
图2为本发明专利申请的多属性约束访问控制决策方法流程图,其实施方式,包括以下步骤:
步骤201:终端状态采集,分别采集终端的硬件、中间件及应用信息,包括IP、MAC、操作***基本信息、登陆用户信息、安装软件信息、进程信息及文件信息等。
步骤202:网络状态感知,采集IP、MAC、通信进程、通信端口、通信协议、通信量等。
步骤203:控制网状态采集,采集现场控制总线数据流,对业务进行解析。
步骤204:确定性业务建模。结合工业控制网业务可描述、可预期、可观测的特点,基于组件配置、组件状态、组件行为和约束行为的安全策略构建确定性业务模型,确定网络节点配置及关系、业务行为状态、业务安全策略等信息。
步骤205:步骤204后,基于安全策略等提取业务约束条件。执行步骤207。
步骤206:步骤201、202、203后,执行终端、网络及控制网业务要素的提取,提取信息包括属性、状态、行为等。
步骤207:步骤205后,形成业务的确定性特征库,包括软件特征、终端特征、业务规则约束等。
步骤208:根据步骤206提取的终端、网络及业务要素,构建多维度属性矩阵NA=(HA,MA,SA)。
步骤209:根据步骤207形成的确定性特征库,构建多维度约束条件矩阵Nc=(Hc,Mc,Sc)。
步骤210:以步骤208和209构建的属性矩阵NA=(HA,MA,SA)和约束条件矩阵Nc=(Hc,Mc,Sc),结合安全策略的强约束条件,实现对矩阵取值范围的限定,依据该矩阵可构建合法行为的正常基线。
图3为本发明的本发明进行访问控制决策分析的流程图,从图中可以看出:
步骤301:读取访问会话信息,分别执行步骤302、303;
步骤302:提取主体和客体信息,包括账户、客体名称、ID、约束等信息;
步骤303:获取操作信息,包括操作的类型、涉及范围等信息;
步骤304:提取终端、网络、业务属性信息,包括内存(进程、线程)、网络连接;交换机:转发表、IP地址表、路由表、ARP表、接口表、MAC转发表;防火墙:连接状态、当前连接数、收到发出的字节数、IP或TCP或UDP或ICMP或ARP报文数、分片、校验错误、拒绝连接等;服务器:内存(进程、线程)、Session、网络连接等;业务控制信息、控制参数等信息;
步骤305:构建属性矩阵NA=(HA,MA,SA)及业务约束条件矩阵Nc=(Hc,Mc,Sc)。作为步骤308的输入;
步骤306:根据业务建模提取终端、网络、业务的确定性约束条件,包括软件、进程、中间件、网络流、业务操作、控制参数等约束条件。作为步骤305构建约束条件矩阵的输入;
步骤307:根据步骤302提取的主题、角色、客体信息,生成当前权限集;
步骤308:步骤303、305、307执行完成后,根据当前用户具备的权限集和属性约束矩阵对信息交互操作进行决策分析。判别属性矩阵NA=(HA,MA,SA)是否满足约束条件矩阵NC=(HC,MC,SC),即HA、MA、SA中haij、maij、saij分别满足hcij、mcij、scij(1≤i,j≤k)。判别操作类型包括:1)数值型属性要素约束支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件。2)字符型属性要素约束支持和字符串匹配的与、或、非约束条件;
步骤309:步骤308过程中,如果用户操作符合权限集及属性约束条件,则执行步骤310。如果用户操作不符合权限集及属性约束条件,则执行步骤311;
步骤310:执行用户操作并记录日志,日志详情包括用户名、用户角色、操作时间、操作详情、执行详情等;
步骤311:拒绝操作并记录日志,日志详情包括用户名、用户角色、操作详情、拒绝详情等。
上面对本发明的较佳实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域的普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (3)
1.一种工业控制网多属性约束访问控制决策方法,其特征在于,应用于工业控制网多属性约束访问控制决策***,所述工业控制网多属性约束访问控制决策***包括用户信息单元、角色信息单元、权限集合单元、会话管理单元、属性约束提取单元、访问决策单元、允许或拒绝单元;具体步骤如下:
(1)用户信息单元管理用户信息,包括用户账号、ID信息,协同角色信息单元建立用户与角色间的映射关系,协同会话管理单元建立网络会话;
(2)由权限集合单元主体对客体的所有操作权限集,包括权限和操作之间的映射集合和权限和客体之间的映射集合;
(3)会话管理单元管理用户发起的会话信息,会话管理单元包括会话的建立、关闭,所述会话是用户为了获得其拥有的某些角色所对应的权限,去完成一个特定任务的特定场景和操作过程;
(4)属性约束提取单元提取模型元素之间关系的限制条件,形成用户约束、终端约束、网络约束、业务约束的多维属性约束矩阵;
(5)访问决策单元根据会话信息及属性约束提取单元采集的多维属性约束对信息交互请求进行决策分析;
(6)允许或拒绝单元根据决策分析结果对信息交互请求进行处置,并进行详细日志记录;
所述工业控制网多属性约束访问控制决策方法还包括读取访问会话信息后进行提取主体和客体信息和获取操作信息,所述读取访问会话信息后进行提取主体和客体信息和获取操作信息,提取主体和客体信息,包括账户、客体名称、ID、约束信息,获取操作信息,包括操作的类型、涉及范围信息;提取终端、网络、业务属性信息,包括进程、线程、网络连接;交换机,转发表、IP地址表、路由表、ARP表、接口表、MAC转发表;防火墙,连接状态、当前连接数、收到发出的字节数、IP或TCP或UDP或ICMP或ARP报文数、分片、校验错误、拒绝连接;服务器,进程、线程、Session、网络连接;业务控制信息、控制参数信息;构建属性矩阵NA=(HA,MA,SA)及业务约束条件矩阵Nc=(Hc,Mc,Sc),其中,N表示网络节点,H表示每个组件的固有属性值域中的硬件层,M表示每个组件的固有属性值域中的中间件层、S表示每个组件的固有属性值域中的应用层;根据业务建模提取终端、网络、业务的确定性约束条件,包括软件、进程、中间件、网络流、业务操作、控制参数约束条件,作为构建约束条件矩阵的输入;根据提取主体和客体信息提取的主题、角色、客体信息,生成当前权限集;根据当前用户具备的权限集和属性约束矩阵对信息交互操作进行决策分析,判别属性矩阵NA=(HA,MA,SA)是否满足约束条件矩阵NC=(HC,MC,SC),即HA、MA、SA中haij、maij、saij分别满足hcij、mcij、scij,1≤i,j≤k,k表示k个组件,判别操作类型包括,1)数值型属性要素约束支持小于、等于、大于、小于等于、大于等于、集合、与、或约束条件,2)字符型属性要素约束支持和字符串匹配的与、或、非约束条件;用户操作符合权限集及属性约束条件,则执行用户操作并记录日志,日志详情包括用户名、用户角色、操作时间、操作详情、执行详情;用户操作不符合权限集及属性约束条件,则执行拒绝操作并记录日志,日志详情包括用户名、用户角色、操作详情、拒绝详情;
所述工业控制网多属性约束访问控制决策方法还包括终端状态采集,所述终端状态采集,分别采集终端的硬件、中间件及应用信息,包括IP、MAC、操作***基本信息、登陆用户信息、安装软件信息、进程信息及文件信息;网络状态感知,采集IP、MAC、通信进程、通信端口、通信协议、通信量;控制网状态采集,采集现场控制总线数据流,对业务进行解析;确定性业务建模;结合工业控制网业务可描述、可预期、可观测的特点,基于组件配置、组件状态、组件行为和约束行为的安全策略构建确定性业务模型,确定网络节点配置及关系、业务行为状态、业务安全策略信息;确定性业务建模后,基于安全策略提取业务约束条件;步骤终端状态采集、网络状态感知、控制网状态采集后,执行终端、网络及控制网业务要素的提取,提取信息包括属性、状态、行为;安全策略提取业务约束条件后形成业务的确定性特征库,包括软件特征、终端特征、业务规则约束;根据提取的终端、网络及业务要素,构建多维度属性矩阵NA=(HA,MA,SA);根据形成业务的确定性特征库,构建多维度约束条件矩阵Nc=(Hc,Mc,Sc);以属性矩阵NA=(HA,MA,SA)和约束条件矩阵Nc=(Hc,Mc,Sc),结合安全策略的强约束条件,实现对矩阵取值范围的限定,依据该矩阵可构建合法行为的正常基线。
2.根据权利要求1所述的一种工业控制网多属性约束访问控制决策方法,其特征在于,所述角色信息单元是***角色的集合,用户通过角色获得特定的***权限,分别协同用户信息单元、环境信息单元和会话管理单元建立角色和用户、角色和环境、角色和会话间的映射关系。
3.根据权利要求1所述的一种工业控制网多属性约束访问控制决策方法,其特征在于,访问决策单元中根据用户发起的会话信息进行访问决策时不仅包括用户信息和角色信息作为全部输入,还包括属性约束提取单元形成的多维属性约束矩阵,综合考虑终端约束、网络约束、业务约束、用户约束信息对信息交互请求进行决策分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810272873.6A CN108712369B (zh) | 2018-03-29 | 2018-03-29 | 一种工业控制网多属性约束访问控制决策***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810272873.6A CN108712369B (zh) | 2018-03-29 | 2018-03-29 | 一种工业控制网多属性约束访问控制决策***和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108712369A CN108712369A (zh) | 2018-10-26 |
| CN108712369B true CN108712369B (zh) | 2022-01-07 |
Family
ID=63866999
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810272873.6A Active CN108712369B (zh) | 2018-03-29 | 2018-03-29 | 一种工业控制网多属性约束访问控制决策***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108712369B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109756483B (zh) * | 2018-12-12 | 2021-05-25 | 杭州华威信安科技有限公司 | 一种针对melsec协议的安全防护方法 |
| CN112765603B (zh) * | 2021-01-28 | 2022-04-05 | 电子科技大学 | 一种结合***日志与起源图的异常溯源方法 |
| CN114726547A (zh) * | 2022-05-16 | 2022-07-08 | 中国信息通信研究院 | 基于数据交换中间件工业互联网访问控制方法和可读介质 |
| CN115086075B (zh) * | 2022-07-21 | 2022-12-27 | 深圳市永达电子信息股份有限公司 | 一种行为可信的强制访问控制方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771683A (zh) * | 2009-01-07 | 2010-07-07 | 北京航空航天大学 | 访问控制策略生成方法及装置 |
| CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
| CN102932328A (zh) * | 2012-09-26 | 2013-02-13 | 上海交通大学 | 一种基于二进制序列集合的访问控制策略合成方法 |
| CN103312722A (zh) * | 2013-07-04 | 2013-09-18 | 河北科技大学 | 一种细粒度强制访问的控制设计方法 |
| CN104683348A (zh) * | 2015-03-13 | 2015-06-03 | 河南理工大学 | 一种基于属性的访问控制策略合成方法 |
| CN107147665A (zh) * | 2017-06-06 | 2017-09-08 | 西安电子科技大学 | 基于属性的访问控制模型在工业4.0***中的应用方法 |
| CN107623684A (zh) * | 2017-09-08 | 2018-01-23 | 西安电子科技大学 | 利用abac模型控制网络服务组合的访问方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090025063A1 (en) * | 2007-07-18 | 2009-01-22 | Novell, Inc. | Role-based access control for redacted content |
| US9471798B2 (en) * | 2013-09-20 | 2016-10-18 | Oracle International Corporation | Authorization policy objects sharable across applications, persistence model, and application-level decision-combining algorithm |
| US9818085B2 (en) * | 2014-01-08 | 2017-11-14 | International Business Machines Corporation | Late constraint management |
-
2018
- 2018-03-29 CN CN201810272873.6A patent/CN108712369B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101771683A (zh) * | 2009-01-07 | 2010-07-07 | 北京航空航天大学 | 访问控制策略生成方法及装置 |
| CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
| CN102932328A (zh) * | 2012-09-26 | 2013-02-13 | 上海交通大学 | 一种基于二进制序列集合的访问控制策略合成方法 |
| CN103312722A (zh) * | 2013-07-04 | 2013-09-18 | 河北科技大学 | 一种细粒度强制访问的控制设计方法 |
| CN104683348A (zh) * | 2015-03-13 | 2015-06-03 | 河南理工大学 | 一种基于属性的访问控制策略合成方法 |
| CN107147665A (zh) * | 2017-06-06 | 2017-09-08 | 西安电子科技大学 | 基于属性的访问控制模型在工业4.0***中的应用方法 |
| CN107623684A (zh) * | 2017-09-08 | 2018-01-23 | 西安电子科技大学 | 利用abac模型控制网络服务组合的访问方法 |
Non-Patent Citations (4)
| Title |
|---|
| An environment-based RBAC model for internal network;Yunsheng Fu;《IEEE International Conference on Computer Communication and the Internet (ICCCI)》;20161212;全文 * |
| Role and attribute based collaborative administration of intra-tenant cloud IaaS;Xin Jin,Ram Krishnan;《IEEE International Conference on Collaborative Computing: Networking, Applications and Worksharing》;20150122;全文 * |
| 基于属性和RBAC的混合扩展访问控制模型;熊厚仁;《计算机应用研究》;20160731;第33卷(第7期);第2163-2169页 * |
| 基于属性扩展的ABAC协同设计访问控制研究;陈凯;《中国优秀硕士论文全文数据库 信息科技辑》;20140915(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108712369A (zh) | 2018-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测*** | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策***和方法 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及*** | |
| CN100581170C (zh) | 一种基于三元对等鉴别可信网络连接的可信网络管理方法 | |
| Alcaraz et al. | Policy enforcement system for secure interoperable control in distributed smart grid systems | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN110719250B (zh) | 基于PSO-SVDD的Powerlink工控协议异常检测方法 | |
| CN107222508B (zh) | 安全访问控制方法、设备及*** | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和*** | |
| EP4128698A1 (en) | Multiple sourced classification | |
| CN113542339A (zh) | 一种电力物联网安全防护设计方法 | |
| CN116938507A (zh) | 一种电力物联网安全防御终端及其控制*** | |
| Ovaz Akpinar et al. | Development of the ECAT preprocessor with the trust communication approach | |
| CN110099041A (zh) | 一种物联网防护方法及设备、*** | |
| Zhang et al. | A dynamic security control architecture for industrial cyber-physical system | |
| CN116208401A (zh) | 一种基于零信任的云主站访问控制方法及装置 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| CN113569236A (zh) | 一种物联网终端安全监测防护方法和*** | |
| Li et al. | Towards quantifying the (in) security of networked systems | |
| Sukiasyan | Secure data exchange in IIoT | |
| Shah et al. | Disclosing malicious traffic for Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |