[发明专利]物联网安全访问控制策略

说明书

一种物联网安全访问控制策略，该策略包括：根据访问主体的角色，以及相应的角色权限，给予该访问主体相应的访问操作权限；根据访问主体和被访问主体的属性，以及访问操作类型，给予该访问主体相应的访问操作权限；根据动态环境因素，确定访问主体信任值，据此给予该访问主体相应的访问操作权限。所述的动态环境因素包括漏洞、APT攻击以及访问主体状态因子。

技术领域

本发明属于物联网技术领域，具体地说涉及一种动静态结合的安全访问控制策略。

背景技术

随着零信任概念的提出，以及物联网在生产生活的各个领域中的使用越来越广泛，尤其是在电力系统中，物联网终端的数量庞大，种类繁多，并且随着电力系统的智能化，终端的数量和种类还会进一步增加，这给电力系统的安全防护和运维带来了巨大的压力。因此，对海量物联网设备访问，制定控制策略以确保其访问安全的必要性迫在眉睫。

发明内容

本发明公开了一种通过动态和静态等多种参数对访问进行控制策略。目的是解决现有物联网访问控制问题的压力。

本发明的实施例之一的技术方案包括：

(1)基于角色的规则定义访问功能，对于不同角色的主体，对不同的最小权限及定向权限的规则策略；

(2)基于访问主题与被访问主题直接的规则策略；

(3)根据动态环境因素，规定自身的不可信任值，用于基础信任分数上的增加或减少。

本发明通过动态和静态等多种参数对物联网终端设备访问进行控制的方法，从而对物联网设备的访问策略进行优化，增加可信认证和动态评估的准确度，提高物联网设备的安全性。

具体实施方式

由于物联网终端数量众多，针对各式各样不同类型及厂商的设备，使用传统的访问策略，仅是通过对访问设备的属性及访问路径进行识别，对管控度和安全性都是一种及其大的考验。

例如对于摄像头设备的视频上传访问，若要通过对设备的设备信息及访问路径来判定的话，其一，IP信息是可以伪造的；其二，假如存在一个释放间谍程序的脚本，这个脚本可能是不会被检测出来的；其三，单一的安全策略过于片面，容易存在漏网之鱼；其四，没有访问策略规定，一旦威胁进程突破防线很可能造成大规模信息泄露或者设备瘫痪。

根据一个或者多个实施例，一种动静态结合的物联网访问控制策略，包括步骤：

(1)基于角色的规则定义访问功能，通过对访问角色以及对应角色的权限进行评估，对于不同角色的主体如服务器server、边缘物联代理、端点等，对其进行对应的角色范围进行操作，给与不同的最小权限及定向权限的规则策略；

(2)基于访问主体与被访问主题直接的规则策略，对于访问主体和被访问主体的属性以及操作类型进行评估；

(3)根据动态环境因素，规定自身的不可信任值，用于基础信任分数上的增加或减少，其中动态环境因素包括漏洞因素，APT攻击以及主体状态因子如电压温度电流等；其中，

对于访问主体，需要定义其角色性质以及规定对应角色所该拥有的最小权限和定向权限。同时对访问主体和被访问主体和访问的操作类型进行标记，记录创建此次操作的创建者。对应赋予角色及其对应功能的访问主体，需要对其周围的动态环境因素进行分析判定，如对其访问的被访问主体的频度，以及如设备的温度，电流，电压等外在环境因素。

根据一个或者多个实施例，一种动静态结合的访问控制策略，包括步骤：

(1)基于角色的规则定义访问功能，通过对访问角色以及对应角色的权限进行评估，对于不同角色的主体如server、边代、端点等，对其进行对应的角色范围进行操作，给与不同的最小权限及定向权限的规则策略；