What is the Industrial Internet of Things
這篇報導相關到實體與虛擬的 Access Control 的架構、機制與運作,涉及場域的 IT、OT 之監控、資安、安全、保全的完整報導,能夠了解本文的描述,才能堪稱專業,是從事 Security、Surveillance、Safety 行業相關業者必讀寶典!
—— 3S MARKET 推薦
內文提要
工業物聯網(IIoT)是一個生態系統,其中包括各種網路感測器和執行器,主要實現了與降低生產成本,和提供工作流靈活性的相關進步。在這種環境中,引入訪問存取控制,被認為是一項挑戰,主要是由於 IIoT 設備和網路中的技術和協議,多種多樣。
因此,應檢查各種訪問存取控制模式和機制,以及這些工業環境提出的其他訪問存取控制要求。為了實現這些目標,我們將詳細介紹現有的,最新訪問存取控制模式和體系結構,並分別研究 IIoT 中的訪問存取控制要求。
這些步驟提供了,有關哪種訪問存取控制模式和體系結構,可能對 IIoT 中的應用,會有益的、有價值的指示。我們描述了一種訪問存取控制架構,該架構能夠使用分層方法,並基於現有虛擬化概念(例如雲端),在 IIoT 中實現訪問存取控制。
此外,我們提供有關各個訪問存取控制,相關組件功能的資訊,以及這些組件在整個體系結構中,應放置的位置。考慮到該研究領域具有挑戰性,我們最終討論了未解決的問題,並展望了這些方向,以提供業界和學術界有趣的多學科見解。
1. 簡介
物聯網(IoT)是一個術語,廣泛用於描述生態系統的存在,在該生態系統中,普遍使用的計算技術,可提供與實體事物的連接,並使它們成為人、設備和事物,共存網路的一部分和互動。物聯網從無線和行動網路中,基礎技術的發展中受益匪淺,這反過來又推動了雲端和無線感測器網路(WSN)的發展。 WSN 為事物提供了感測器和執行器,用於感應和產生數據,以及消耗數據,並與環境進行交互。
物聯網領域的進步是如此之快,以至於儘管 2020 年對 500 億個設備的估計,似乎是樂觀的,但這一趨勢是模稜兩可的,但至少有 20 - 30 億個設備,似乎是可行的。
物聯網目前在許多領域中使用,例如智慧家庭、智慧城市、醫療和工業應用。隨著時間的前進,一些技術的重大進步,被公認為是工業發展的里程碑,甚至代表了整個時代的特徵:在 19 世紀,蒸汽機為機器開發提供了手段,並使第一個工業時代成為可能。
此後,從第二個時代開始的重要發展,是電力的佈署,及其對行業的影響。第三個時代的特徵,是採用了資訊和通信技術(ICT),從而允許開發可編程邏輯控制器(PLC),和監督控制與數據採集(SCADA)系統。
今天,我們見證了向第四次工業時代的轉移,這是將整個網路感測器和執行器生態系統,整合到生產階段的各個方面的幫助。工業 4.0 倡議,最初描述了傳統工業資訊系統,與 IoT 之間的這種整合,該倡議主要在德國開發,目的在透過降低生產成本,和提供工作流程靈活性,來提供競爭優勢。
前述整合的結果,稱為工業物聯網(IIoT)。與許多新興技術一樣,IIoT 中的 ICT 技術適應,也帶來了有關標準化和安全性的問題。因此,許多商業實體創建了工業網路協會(IIC),該協會發布了,有關體系結構和安全性的,許多可公開訪問存取的白皮書。
在 ICT 以及 IoT 中,資訊安全性(即機密性、完整性和可用性)是主要關注的問題。但是,在 IIoT 中,應考慮有關應用環境中的適用性,以及對安全性的需求的其他概念。控制生態系統利益相關者,獲得資源的途徑,對於實現這兩個目標非常重要。
在工業物聯網中引入訪問存取控制,被認為是一項具有挑戰性的任務,因為這些工業環境具有多樣性。多樣性主要是由 IIoT 設備和網路支持的多種技術和協議引入的。 已經研究了網路實體系統(CPS)中的訪問存取控制,在此比較了訪問存取控制模式,並檢查了一組需求。
但是,我們預計可能需要進一步調查,以應對 IIoT 中的訪問存取控制挑戰。本章的目的是提供有關,IIoT 最有前途的訪問存取控制模式的其他資訊,研究能夠支持所描述模式的訪問存取控制機制,並提出基於虛擬化技術的 IIoT 訪問存取控制架構。
具體而言,在本章以下的第 2 節中,我們提供了有關 IIoT 體系結構趨勢的背景資訊,這對於獲得生態系統的可見性和提取,訪問存取控制要求是必不可少的。在第 3 節中,廣泛介紹了訪問存取控制模型和機制的主要家族。
文獻中提出的用於 IIoT 的訪問存取控制方法,將在第 4 節中進行研究。構成 IIoT 的訪問存取控制體系結構的各個組件,將在第 5 節中進行研究。
最後,在第 6 節中,我們簡要地闡述了一系列開放性問題,關於 IIoT 的訪問存取控制,並提供總結性說明。
2. 背景
物聯網是由事物的普遍存在所定義的,這些事物被唯一標識,並且能夠在它們之間,以及與網路的其餘部分進行交互。物聯網最初由 RFID 標籤引入,以提供電子產品代碼(EPC),如今,物聯網包括許多使用各種協議,和技術相互連接的異構設備,以提供最有效的連接和互操作方式。
具體而言,物聯網描述了一個對象網路,該對象網路可以自主方式收集和共享數據,而無需人工協助。此類對象的示例,被認為是監視和測量環境的溫度或濕度,對象的加速度或位置等的,各種類型的感測器。
IoT 的應用場景被認為是多種多樣的,從智慧設備(例如智慧照明和加熱設備)到健身設備(例如Fitbit)。國際電信聯盟(ITU)發布了 ITU-T Y.2060 ,該建議書對 IoT 進行了概述。根據建議,物聯網在已經存在的「隨時」和「任何地方」通信中,增加了第三個軸,甚至可以由傳統的 ICT 系統提供。
新軸稱為「任何東西」,不僅代表電腦設備之間的通信,還代表人與人之間,人與物之間,以及物與物之間的通信。事物是存在於實體世界中的物體,可以被感知和辨識。可以利用虛擬實體來執行辨識,這些虛擬實體,可以不存在實體而存在。
由於物聯網的巨大成功和採用率,物聯網技術也被業界所接受,並被引入工業環境中,以作為提高營運效率的一種手段。因此,IIoT、「 IoT 版本 4.0」或「 Manufacturing IoT」是常用來表示將 IoT 用於工業目的的表述。到 2020 年底,據估計,超過 100 億個設備將構成 IIoT,佔物聯網支出的 57%。
物聯網已經成為日常生活的一部分,包括但不限於智慧城市、醫療保健、農業、休閒(智慧家庭)、建築、智慧交通系統等。有許多目的在工業環境中,利用物聯網的計劃,例如智慧工廠、工業網路未來工廠等。
儘管物聯網和基礎技術,已經很好地建立並不斷發展,但是考慮到不同的環境,以及已經存在完善的 ICT 系統(例如,分佈式控制系統 DCS 和 SCADA)的事實,行業內的採用是一項具有挑戰性的任務系統),來控制和監視生產過程。
工業 4.0 是一項在支持製造業優化生產效率,和提高產品質的計劃。該計劃的基本概念,是將 IoT 整合到舊的生產現場工業資訊系統中,從而能夠創建一個新概念 IIoT。
IIoT 得益於 4G 和 5G 開發,以及 6LoWPAN 和 LoRaWAN 等協議,在機器對機器(M2M)通信、網路效率,和簡單性方面的進步,並面臨物聯網中存在的所有挑戰,例如資源受限的設備、異構性,在工業環境中,重要的因素也是對安全性的要求。儘管安全不是與資訊安全直接相關的,資訊安全是 IIoT 運行的主要目標,但必須將其考慮在內,以防止可能威脅到人和機器的完整性,以及服務可用性的事故。
訪問存取控制模式,並未將安全性作為固有的設計特徵考慮在內,因此在創建訪問存取控制策略時,應盡可能考慮安全性。
2.1 IIoT 架構
2014 年 3 月,AT&T、思科、通用電氣、英特爾和 IBM,共同創立了工業網路聯盟(IIC),目的在促進 IIoT 的成長。 IIC 已發布了 IIoT 參考架構的 1.8 版,其中 IIoT 分析定義了四個不同的觀點,即業務、使用、功能和實施觀點。
在本章中,我們主要關注可以揭示和檢查技術方面的實現觀點。關於實現觀點,IIC 定義了三層架構,即邊緣層、平台層和企業層。邊緣層是其中從工業和其他終端設備(例如車輛、機械、工作站、自動化設備,以及代表工業領域中,「事物」的所有其他感測器)執行數據收集。
從邊緣層收集的數據被發送到平台層,後者是數據收集和數據利用之間的媒介,後者發生在企業層(上層)。這些層上的節點,使用不同類型的網路,進行內部和內部連接。其中包括連接邊緣層內資產的鄰近網路,將邊緣連接到平台層的訪問存取網路,最後是將平台與企業層連接的服務網路。
邊緣層包括,位於生產空間中的所有 ICT 組件。此類組件的示例是感測器、執行器,以及所有其他舊式設備和 CPS。物聯網的發展,導致邊緣節點的數量成倍成長,其特徵是計算和能源的實體限制。
平台層包括邊緣設備置備和數據整合,所需的所有必要處理,然後再將這些交付到開發服務的企業層。IIC 不提供與拓撲相關的約束,因此,以最簡單的形式,平台和企業層可以實體上位於企業內部,或由雲端提供支持。
考慮到收集到的數據量,雲端可以成為一種啟用的計算範例,因為它可以為大數據處理,提供最佳的候選者。但是,考慮到許多邊緣設備的資源限制,和邏輯距離引起的延遲,將邊緣節點直接連接到雲端可能具有挑戰性。
後者可能對服務供應和系統安全,構成潛在威脅,因為引起的延遲,可能導致延遲的操作,從而可能造成損害。為了克服這個問題,霧計算可以用作邊緣和雲端之間的中間層,從而減少距離和延遲。
思科系統最初提出了 Fog ,目的是在邊緣和雲端之間,提供位置感知和低延遲的虛擬化層,從而使服務更接近實際的利益相關者。霧層由私有、社區、公共或混合霧節點填充,這些霧節點處理來自邊緣設備的資訊,並在必要時與雲端進行通信。在霧概念中,所有資訊處理都在霧節點中執行,而在邊緣設備中很少或根本不執行。
但是,由於當今網路結構,還可以提供將處理整合到網路本身的方法,因此可以在邊緣和霧之間,開發新的層。這是由低資源,基於微控制器的低資源設備創建的,稱為薄霧層。
霧節點實際上與邊緣設備,嵌入在同一環境中,從而提供更準確的上下文資訊,並支持在網路邊緣進行處理,從而進一步減少了總體延遲,提供了上下文準確性,並降低了來自終端設備的電源需求。
儘管 IIC 邊緣層顯然與邊緣層相匹配,但是如何映射平台層和企業層,還不是很清楚。這種映射通常取決於特定的應用領域和拓撲。在圖1 中,示出了指示性映射。
2.2 訪問控制要求
訪問控制在所有需要控制,和限制使用者或進程,在一組系統資源上執行的動作,或操作的系統中,都是必不可少的。訪問存取控制系統被認為是三個抽象,即訪問存取控制策略、模式和機制。基於這些抽象,使訪問存取控制系統負責執行訪問存取控制策略,並防止其被顛覆。
訪問存取控制策略的特徵是高級要求,用於指定使用者或進程,可以和何時訪問存取資源。
訪問存取控制策略,透過訪問存取控制機制強制執行,該機制負責授予或拒絕訪問存取。訪問存取控制模式是實現的集合的抽象容器,能夠透過概念框架,保留對訪問存取控制策略推理的支持。因此,訪問存取控制模式,彌合了訪問存取控制系統中,策略和機制之間的抽象鴻溝。
一種在智慧交通系統(ITSs)中,利用霧計算概念的支持物聯網的生態系統。考慮到此處提出的訪問存取控制問題的數量,可以提取以下要求:
‧上下文感知:上下文資訊,表徵了實體和環境的狀況。上下文會影響訪問存取控制決策,並允許創建考慮主體和客體身份之外的因素的策略。具有上下文可見性,訪問存取控制策略也可以在資訊安全性之上著眼於安全性。
‧域間操作:IIoT 被佈署在多個域中,以在同一管理權限下,支援遠端扇區的操作。任何訪問存取控制解決方案,都應該能夠支援不同域之間的一致操作。
‧隱私保證:當今,隱私已成為佈署每個 ICT 解決方案(設計隱私)時必須考慮的重要因素。自 2018 年以來,它也是歐盟的法律義務,由通用數據保護條例(GDPR)定義。訪問存取控制機制的設計,應避免洩露任何私有數據。
‧資源效率:邊緣上的大多數設備,目的在執行特定任務,並消耗盡可能少的功率。這在處理能力和儲存空間方面,都限制了可用資源,因此任何設計為在這些資源上,運行的組件都應考慮這些限制。
‧可管理性:應該有一種集中的方式來創建、儲存和執行策略,該策略不會引起額外的延遲,並且可以在低頻寬網路上運行,甚至有時變得不可用。
‧問責制:應支持審核,以使各自的涉眾能夠監視和揭示,任何違規或系統濫用情況。前述要求的列表並不詳盡,而是在選擇更合適的授權方案時,充當了墊腳石。
在下文中,我們將提供有關訪問存取控制模型,和框架系列的更多資訊,以在 IIoT 環境中進行調查。
3. 訪問存取控制方法
儘管存在大量適用於 IIoT 環境的訪問存取控制模式,但以下我們將詳細介紹,主要的訪問存取控制模式家族。這樣可以避免在具有相同模式家族,根源的模式之間複製資訊,並有助於描述這些模式提供的主要特徵。
具體來說,我們提供有關基於角色,基於屬性,基於功能和使用控制系列模式的資訊。
3.1基於訪問存取控制的角色
在基於訪問存取控制的角色(RBAC)中,對系統資源訪問存取的角色使用者和角色分配,這些角色具有與之關聯的預定義權限。 RBAC 可能支持幾種原則,例如,最低特權、職責分離和行政職能分離,這使其更適合在組織環境中使用。
核心 RBAC 模式是由三個靜態元素組成,即用戶、角色和權限,後者由應用於對象的操作組成。關於元素之間的關係,將角色分配給使用者,並將權限分配給角色。這些類型的關係可以是多對多的,即可以將一個使用者分配給多個角色,並且可以將許多使用者分配給單個角色。權限分配的角色也是如此。
RBAC 不支持負權限。 RBAC 具有兩個不同的階段,即設計和運行時。在設計階段,系統管理員可以定義電腦系統中,各個元素之間的許多分配。在運行時階段,系統中的分配由安全策略指定的模型強制執行,而安全策略是在設計階段指定的。
運行時,強制透過會話的概念實例化。後者將 RBAC 與其他基於組的機制區分開來。在會話期間,允許啟動一部分使用者的角色。這意味著可以在設計階段,為使用者分配各種角色,但是不必總是或同時啟動這些角色。 RBAC 使用後一種機制,為最小的特權原則提供支持。在會話期間,許多約束也可以強制執行。
除了核心模型之外,RBAC 還支持角色之間的層次結構。當涉及到策略管理時,該機制提供了極大的靈活性。具體來說,可以輕鬆將分配給角色的權限,繼承給另一個角色,而無需將相同的權限,重新分配給另一個角色。
例如,我們假設兩個角色 R1 和 R2,以及兩個權限集 PR1 =(P1,P2)和 PR2 =(P3,P4),它們最初分別分配給角色 R1 和 R2。如果角色 R1 繼承了角色 R2,則意味著 R2 可以使用所有 R2 的權限。角色 R1 的可用權限,由集合 PR1 和 PR2 上權限的並集表示。
當層次結構以圖形表示時,直接繼承關係顯示為 →。箭頭或弧的頭部定義權限,和使用者成員資格繼承。在前面的 9 個案例中,我們有 R1 → R2。使用者成員資格,是指將使用者分配給層次結構中的角色。在這種情況下,使用者被授權直接或透過繼承關係,訪問分配給角色的所有權限。但是,分層 RBAC 中提供的另一個功能,是對通用角色層和有限角色層的支持。
通用層次結構是角色繼承中最常見的情況,它們被描述為部分順序集。但是,在更加嚴格的環境中,可能會出現支持有限層次結構的需求。這通常涉及在樹狀層次結構中,存在單個直接提升角色或後代角色。
RBAC 還能夠透過靜態和動態,分離職責關係來支持約束。兩種類型的約束的主要目的,是維護系統的安全性,並防止其受到損害。約束通常用於交付業務需求。職責關係的靜態分離,可以應對利益衝突政策的執行。
例如,讓 R1和 R2 為兩個衝突的角色,並將使用者 U1 分配給角色 R1。透過在角色 R1 和 R2 之間,強制執行職責限制的靜態分離,RBAC 禁止為使用者 U1 分配角色 R2,因為這兩個角色是衝突的。
在設計階段,此類約束在 RBAC 中定義和實施。在角色層次結構的存在下,對所有直接分配和繼承的角色,以相同的方式強制執行職責限制的靜態分離。職責關係的動態分離,可在會議期間處理利益衝突策略。
在這種情況下,使用者具有一組啟動的角色。在設計時描述了動態的職責分離關係,但在運行時(在會話的上下文中)強制執行了職責分離關係,以防止同時啟動兩個或更多衝突角色。
在角色層次結構中,應用了與靜態分離約束類似的機制,但是約束僅在激活的角色集合上強制執行。
3.2 基於功能的訪問存取控制(CapBAC)
基於功能的概念,眾所皆知,這些功能是可通信,且不可偽造的權限令牌。功能包含對像已授予訪問存取控制權限的資源條目。因此,以類似於訪問存取控制列表的方式,認為訪問存取控制矩陣M可以包括主題、對象和權限。在 CapBAC 中,權限是分配給主題的,因此支持主題和對象之間的一對多關係。主題和對像是指系統的使用者和資源(與 RBAC 相似)。權限是對象可以依對象,執行的授權操作。
CapBAC 還支持功能的委派和吊銷機制。這些要求分別將訪問權限(間接)委派給其他主題並撤消訪問權限。通常,功能是在簡單公鑰基礎結構(SPKI)的上下文中發布的,以應對從一個主體到另一個主體的授權委派。這樣的解決方案,可以適用於多域聯合環境。
3.3 使用控制典型的使用控制方法是 UCON ,它基於現代概念框架。
UCON 概念框架,包括用於保護數位資源的傳統訪問存取控制,信任管理和數位權限管理。但是,仍然缺少諸如管理和委派的功能。與 RBAC 和其他基於屬性的模型相比,UCON 引入了許多新穎性,例如對可變屬性的支持和訪問決策的連續性。還研究了它在協作系統中的使用。
UCON 由八個部分組成,即主題、主題屬性、對象、對象屬性、權利、授權、義務和條件。主題和客體的概念,以及與它們的屬性的關聯很簡單。主題可以是系統中的實體,其定義以及其表示形式,由關聯主題屬性中的許多屬性或功能給出。
例如,可以透過使用主題屬性,來形成類似於 RBAC 的角色層次結構。關於對象,它們還代表系統中的一組實體。每個對象都可以與對象屬性關聯。
主題可以擁有對象的權利,透過這些權利,可以授予主題訪問或使用對象的權限。透過代表類,安全性標籤等等,這種類型的屬性,可用於例如關聯對象的分類。值得一提的是,主題和客體屬性都是可變的。這意味著可以透過訪問來修改屬性的值。相反,當屬性被描述為不可變時,只能透過管理操作,而不是使用者活動來修改其數值。
UCON 的特點是具有許多新穎性,主要來自其其餘部分。權利的組成部分,代表了可以從主體到客體持有,和行使的許多特權。與 RBAC 的角色類似,UCON 概念框架支持權利之間的層次結構。請注意,權限不是先驗設置的,而是在訪問期間確定的。透過考慮以下主題和對象屬性、授權、義務和條件的因素,可以從使用功能中得出訪問決策。
UCON 中的授權是功能性謂詞,其評估用於做出決定,即是否授予對對象的訪問權。以與使用功能相同的方式,對授權的評估基於主題屬性和對象屬性,請求的權限和一組授權規則。授權可以被表徵為預授權或正在進行的授權。
前前綴在訪問時間跨度內,指的是被請求的權利之前的即時,和正在進行的前綴。此外,UCON 中的義務用於捕獲請求使用對象的主體必須滿足的要求。它們被表示為功能謂詞,並且如上所述,它們被用於使用功能,以及授權中的訪問評估。
義務也分為先期義務和持續性義務。前者通常用於歷史資訊的檢索,而後者則用於檢查在訪問時間段內,是否滿足所要求的要求。最後,UCON 中的條件用於捕獲系統環境中產生的因素。條件與其他變量(即授權和義務)之間的語義差異,在於前者不能可變,因為與主體沒有直接的語義關聯。
3.4 基於屬性的訪問存取控制
基於分佈式系統和網路(例如Internet)的發展,基於屬性的訪問存取控制(ABAC)得到了極大的關注,被認為是一種邏輯訪問存取控制方法。與 RBAC 相比,仍然缺少標準化的 ABAC 定義,因此已經提出了一些定義。但是,NIST 提供了一套指南。
ABAC 可以根據屬性值,策略規則和環境條件的評估,來提供訪問決策,具體取決於 ABAC 的定義。與其他模型相比,ABAC 的一個優點是,它的策略以屬性表示,而無需事先瞭解系統中的主體和對象。
而且,系統中的主體和對象可以被分配屬性值,而無需事先瞭解策略細節,這確實大大簡化了授權管理。
ABAC 模型由以下六類元素組成:屬性、主題、對象、操作、策略,和環境條件。屬性是對象,對像或環境條件的特徵。屬性可以包含由名稱 - 值對給出的資訊,即,形式為(Name,Value)的元組。主題和客體屬性,都能夠支持元屬性的使用。後者提供了一個額外的索引,用於指代主題和對象本身的組。透過元屬性功能本質上,支持 ABAC 中的層次結構。
這為 ABAC 提供了表達相同類型元素之間,強大層次結構的潛力。通常將主題解釋為發出訪問請求,以對對象執行操作的使用者或過程,可以為主題分配一個或多個屬性。對象可以是 ABAC 系統對其進行訪問管理的系統資源。這些可能是包含或接收資訊的設備、文件、記錄、表、進程、程序、網路或域。
它可以是資源或請求的實體,也可以是可由對象在其上執行操作的任何實體,包括數據、應用、服務、設備和網路。操作是根據對象依對象的請求執行的功能。操作示例包括讀取、寫入、編輯、刪除、複製、執行和修改命令。策略是規則或關係的表示,可以在給定主題,對象的屬性值和可能的環境條件的情況下,確定是否應允許請求的訪問。
環境條件,是其中發生訪問請求的操作或情境。環境條件是可檢測的環境特徵。環境特徵與主體或對象無關,並且可以包括當前時間、星期幾、使用者位置、當前威脅級別等。以上定義隨後可為 ABAC 和正式形式提供參考模型、規格。
在下文中,提供了對眾所皆知的 ABAC 框架的簡要描述。在考慮實施訪問存取控制系統時,訪問存取控制框架可能會提供有用的指導。關於基於屬性的方法,可擴展訪問存取控制標記語言(XACML),和下一代訪問存取控制(NGAC)似乎是最突出的框架。兩者都提供管理策略、評估決策、執行策略等的操作。儘管提供了有關功能操作,和組件組成的規範(例如,策略決策點、策略),但 XACML 和 NGAG 可能有助於執行點採用基於屬性的方法。)。
在下文中,我們提供有關 XACML 和 NGAC 的資訊,以便在考慮提出適用於 IIoT 環境的執行點系統時作為先驅。
3.4.1 可擴展訪問控制標記語言 XACML 是 OASIS 標準,當前版本為 3.0,它提供了用於佈署 ABAC 的框架。為此,XACML 提供了一個數據流模型(稱為 XACML 上下文)和一個策略語言模型。數據流模型描述了主要功能組件,例如,策略執行點(PEP)、策略決策點(PDP)、策略授權點(PAP)等,以及它們之間的交互。這些用於訪問儲存庫(包含策略或屬性)並獲取授權決策。
XACML 上下文使用 XML 模式,表示訪問請求和反應,該模式由 PDP 出於授權目的實現。策略語言模型用於在三個分層組件(即規則、策略和策略集)的上下文中使用屬性,來規範訪問存取控制要求。
除了主要組成部分以外,還可以參考 XACML 標準,與 NIST 提供的 ABAC 指南之間的術語差異。顯然,儘管某些術語,用不同的方式表達,但兩者均指的是相同的概念。
在下文中,我們將簡要參考中標識的此映射。XACML 和 ABAC 中的主題和動作,都引用相同的概念。主體是指請求訪問的實體,而動作是指對所請求的實體執行的操作。
XACML 中的資源,被映射到 ABAC 中的對象–資源或對像是主題請求訪問的實體。XACML中的環境,映射到 ABAC 中的環境條件–這是一個動態因素,獨立於主體和對象。最後,雖然 NIST 的指導原則文檔中使用了「元素」一詞來指代主題、對象、動作和環境條件,但是在 XACML 中使用了術語「類別」來指代主題、資源、動作和環境。
XACML 和 ABAC 中的主題和動作,都引用相同的概念。主體是指請求訪問的實體,而動作是指對所請求的實體執行的操作。XACML中的資源,被映射到ABAC中的對象–資源或對象是主題請求訪問的實體。
XACML 中的環境映射到 ABAC 中的環境條件–這是一個動態因素,獨立於主體和對象。最後,雖然 NIST 的指導原則文檔中,使用了「元素」一詞來指代主題、對象、動作和環境條件,但是在 XACML 中,使用了術語「類別」來指代主題,資源、動作和環境。
3.4.2 新一代訪問存取控制(NGAC)NGAC 是用於標準化 ABAC 機制的 NIST 計劃。它能夠表達和執行各種政策。 NGAC 根據 ABAC 定義以滿足其要求,分別使用數據/關係和屬性,來表達策略並提供功能。它還提供了一組管理操作和功能,用於配置數據和實施策略。
在下文中,我們將根據 NIST 計劃中的內容,簡要提供有關 NGAC 的資訊。NGAC 中的訪問存取控制數據,包括元素、容器和關係。元素可以是使用者、操作或對象。這些分別映射到 ABAC 的主題、動作和對象。透過容器支持使用者和對象屬性,後者用於管理和制訂屬性和策略。容器用於在其中關聯和分組元素。同樣,策略類容器用於提供策略集合。
NGAC 中的屬性,以與 ABAC 類似的方式使用 - 它們表示使用者或對象的特徵。例如,使用者屬性可以表示使用者角色等,而對象的屬性可以表示其儲存的數據。 NGAC 提供了一組基本操作,來與對象的數據交互,而管理操作則負責創建數據元素和關係。
NGAC 中的關係,用於表達訪問存取控制策略。支持四種不同類型的關係,即分配、關聯、禁止和義務。分配用於定義容器的成員資格。這透過以下形式的元組表示:(a,b)或等效地aàb。語義是將元素 a 分配給元素 b。關聯用於導出特權,並表示為 3 元組,包括使用者屬性 ua,一組訪問寫 asr 和 at 處的使用者或對象屬性。後者的關聯使用以下語義表示為 ua – ars –:ua 中的使用者,可以對 at 引用的策略元素,執行 ars 訪問權限,禁止用於派生特權異常。
支持三種類型的禁止,即使用者拒絕(u_deny)、使用者屬性拒絕(ua_deny)和進程拒絕(p_deny)。每個禁止使用一個三元組表示,該三元組分別包括使用者 u,使用者屬性 ua 和進程 p,後跟訪問權限(ars)和策略元素(pe)。使用者拒絕禁止可以採用以下形式:u_deny(u,ars,pe)。後一種禁止的語義是使用者 u,無法對 pe 中的策略元素,執行 ars 中的訪問權限。以類似的方式,屬性拒絕和過程,拒絕分別表示為ua_deny(a,ars,pe)和 p_deny(p,ars,pe)。
最後,使用義務來動態更改訪問狀態。義務表示為事件模式對 ep 和響應 r(即管理操作的順序)對。前者由條件組成,條件被評估為 true 時,將導致響應 r 執行。
4. IIoT中的訪問存取控制
如上所述,訪問存取控制可以在系統中,引入適當的機制,以限制對合法使用者或系統中,進程的訪問。 IIoT 可以被描述為系統的系統,其新興的特徵,例如自動化、自適應、設備的高度異構性、空間多樣性等,都需要重新審視訪問存取控制的概念。
儘管已在 IoT 環境中進行了幾項工作,但 IIoT 中的訪問存取控制,仍是一個相對較新的研究領域。在本節的其餘部分,我們將介紹在訪問存取控制,和物聯網方面的最新成就,這些成就對於 IIoT 環境中的應用而言,似乎很重要。但是,我們確定已經在 IIoT 環境中,進行過的研究工作。
A. Ouaddah 等人對物聯網訪問存取控制模式和框架,進行了廣泛的審查,該調查包括從 2011 年開始的五年內提出的方法。這些方法可能潛在地適用於 IoT / IIoT 環境。該調查的一個有趣的結果,是針對訪問存取控制模式和框架的分類法的彙編。
包括了豐富的訪問存取控制模式,但所有這些都已歸類為代表性的模式/類別家族,例如 ABAC、RBAC、使用控制、CapBAC,基於組織的訪問存取控制模式等。
在下文中,我們簡要闡述似乎省略的單個模型,並詳細闡述通用框架 - 可能適用於 IIoT 環境。RBAC 模式,該模型適用於協作多域系統。提議的模型(domRBAC)支持基於角色的標準模式(ANSI INCITS 359-2004)的所有組件,包括對核心 RBAC、分層RBAC、靜態和動態職責分離的支持。此外,domRBAC 能夠在安全互操作下強制執行訪問存取控制,這是多域環境中的先決條件。
建議將 RBAC 模型應用於 IIoT,並將其視為多域協作環境。具體來說,正在調查的需求包括資源共享,和流程協作的需求。作者將 RBAC 策略定義為授權路由優化問題,並透過提出一種解決算法,來提供解決方案。儘管提出的解決方案可以提供最佳的解決方案,但正如作者所說(例如,假設設備和角色過多),其性能在某些情況下可能會受到限制。它僅作為管理工具提供,缺乏自動化,即不適用於策略決策點。ABAC 模式是在正式定義,並遵循 NIST 的建議。
該模式可以參與授權過程的主要元素,並提供了其主要管理操作和審查功能的說明。由於透過屬性值傳達的上下文資訊,ABAC 方法本質上支持高度分佈式的環境。
UseCON 模式是基於概念使用控制的下一代模式。與現有的基於使用情況的方法(例如,UCON)相比,UseCON 能夠支持複雜且更具表達力的策略。
儘管未在 IoT / IIoT 上下文中對其進行明確定義,但其主要特徵(如決策的連續性和屬性可變性)可能使其適用於工業環境。儘管缺少該模式的實現,但已提供有關其內部功能的正式證明。獨立於訪問存取控制模式及其支持的策略,需要一組功能組件,才能在訪問存取控制系統體系結構中,實例化訪問控制存取機制。
ITU 的電信標準化部門,在 X.812 中提出了有關安全框架的建議,該建議除其他外定義了開放系統中,支持訪問存取控制服務和機制,所需的主要功能。因此,基於 X.812,主要功能可以包括:發起方(例如,使用者或進程)、目標(即,需要資源訪問),訪問存取控制強制功能(AEF)和訪問存取控制決策功能(ADF),後者負責訪問控制決策。這些決策是基於訪問存取控制策略規則,所應用的資訊,進行訪問請求的上下文,以及訪問存取控制決策資訊(ADI)進行的。
ADI是訪問存取控制資訊(ACI)功能的一部分,該功能包括用於訪問存取控制目的的所有資訊,包括上下文資訊。最後,AEF 的職責是執行 ADF 做出的決定。遵循 X.812 的核心思想,現有的訪問存取控制框架(如 XACML 和 NGAC),提供了自己的一組功能,來支持 X.812 功能。
XACML 的主要功能是 PEP、PDP,策略資訊點(PIP)、PAP 和上下文處理程序(CH)。 OASIS XACML 標準文檔中提供了有關各個功能支持的操作的更多資訊。
NGAC 也以類似的方式,提供自己的功能架構。它的主要功能組件是:至少一個 PEP;至少一個 PDP;零個或一個事件處理點(EPP);一個 PAP;一個 PIP;以及一個或多個資源訪問點(RAP)。有關 NGAC 中各個功能的操作的更多資訊。
值得一提的是,儘管 XACML 和 NGAC 框架都共享某些功能,但是它們卻有所不同。例如,PAP、PDP 和 PIP 在每個框架中似乎提供了稍有不同的功能。當涉及到訪問決策過程時,差異也適用。這是基於 XACML 的邏輯,在 NGAC 中已枚舉。
5. 組件的放置
從以上顯而易見,考慮為 IIoT 環境中的應用,設計訪問控制架構,需要仔細研究其所有功能組件。根據所應用的框架(例如XACML,NGAC),這將提供關於各功能組件,相對於各層放置位置的指示,如圖1 所示。在特定上下文中會影響所應用框架的功能和效率。
雲端是 IIoT 發展中的重要元素。它為數據共享,提供了一個統一的、無所不在的平台,並且可以在 IIoT 的上下文中支持各種應用。 Alsheri 等為物聯網中的訪問控制佈署,提出了一種支持雲端的架構。該體系結構包括一個分層的環境,該環境由對象層、應用層和中間中間層組成。
具體來說,對象層包括位於邊緣的事物,而中間層包括虛擬對象和雲端服務層。虛擬對象層是用於提供事物的持續存在的抽象,包括當前資訊和歷史資訊。雲端服務層為對象提供資源,最後,應用層提供與對象進行通信的接口。
在這種方法中,訪問存取控制決策,是由放置在雲端層中的 PDP 提供的;訪問控制決策的實施,是由放置在對象層中的 PEP 執行的。訪問控制管理在管理層中執行。是一種 ABAC 特定佈署,其中雲層、霧層和邊緣層,用於訪問控制系統的各個組件。訪問控制管理由 PAP 提供,該 PAP 與儲存主題、對象和系統屬性的 PIP 一起位於雲中。
PDP 依次位於各個霧節點中,並與雲中的 PAP 和 PIP 交互。最後,在邊緣層執行 PEP。考慮到所有資源限制和對象的異質性,將 PEP 整合到邊緣,是一項艱鉅的任務。
PAP 是 ABAC 模式用來描述用於創建和管理,訪問控制系統策略的實體的術語。如果已佈署所有必需的機制(例如,身份驗證),則在雲中佈署 PAP,使其可以在整個企業範圍內使用,並且簡化了有關遠端聯盟之間,策略交換的任何考慮。對於策略管理,這同樣適用於任何其他模式實現。
另一方面,PDP 提供時間緊迫的服務,因為它們的使用是為了達成訪問控制決策。訪問控制決策一方面需要資源,以允許快速處理策略,另一方面需要低延遲,以在決策時立即將決策傳達給執行點。將 PDP 放在雲上,可能不是最有效的體系結構決策,這主要是由於利益相關者,與雲本身之間的距離所致。
但是,在利用霧計算的情況下,將雲擴展到邊緣附近會降低距離,並使霧層成為承載 PDP 的主要候選對象。在 ABAC 的情況下,這是實現上下文感知訪問控制機制的合適模式,因此是使用上下文為使用者提供相關資訊,和/或服務的機制,其中相關性取決於使用者的任務,所需屬性從 PDP 檢索,以執行訪問決策。根據向 PIP 的請求,此資訊將提供給 PDP。
為了實現這一點,PIP 應該既瞭解所有可用屬性,又應能夠即時檢索和交付屬性,而不會拖延整個過程。由於大多數屬性在工業環境中,都是特定於某區域的,因此考慮到每個佈署的唯一性,PIP 需要對特定區域具有可見性。為了實現這種迷霧,可以利用它並託管一個額外的「本地」 PIP,以在利益相關者附近提供雲功能。
除了 PDP 和 PIP 之間的通信外,前者還需要獲得要考慮的政策。將 PAP 放在雲中,而將 PDP 放在霧中,可能會導致兩者之間的延遲或連接問題。但是,考慮到雲提供的策略管理的好處,執行策略傳播和不連貫的決策,只是上下文處理程序實現的問題,訪問控制決策應從 PEP 強制執行。
執法通常發生在,利益相關者存在的邊緣。考慮到工業環境,該層的主要問題是資源限制、設備異構性和專有通信方法。結果,難以實現 PEP 佈署的一致性。 IIoT 佈署引入的薄霧層,可以提供佈署 PEP 的區域。
身份或角色,在基於 ABAC 的方案中,潛在的無限數量的屬性需要交換。應當在組成聯盟的域之間,以及在聯盟之間,建立信任關係。而且,儘管提出將 PIP 放置在域的霧化區域中,是一種有效的方法(即,用於檢索屬性值),但是 PIP 之間的互連性和屬性值的交換,仍是進一步研究和分析的問題。
訪問控制組件之間的通信,應該進行優化,以便它可以安全有效。朝這個方向努力,可以考慮在工業環境中,使用的通信協議,例如約束應用協議(CoAP)或消息隊列遙測傳輸(MQTT)。無論如何,系統組件之間的通信應輕巧可靠,而且還應確保所交換資訊的機密性和完整性。
安全與電腦安全沒有直接關係。儘管如此,IIoT 已佈署在人類生命受到威脅的區域和環境(例如工廠、倉庫、醫院、道路)中,並可能因配置錯誤的策略,或無效的屬性值,而導致不受歡迎的訪問控制決策受到威脅。應該包括可能基於機器學習技術的保護措施,以防止系統故障或配置錯誤。
工業應用嚴重依賴系統可用性。這是一個應考慮的關鍵因素,因此訪問控制的實施,絕不應威脅到它。在訪問控制系統發生故障的情況下,提供保護措施,以確保業務連續性是研究的問題。 IIoT 引發了第四次工業革命。它提高了對上下文的可見性,並允許佈署新的創新應用。但是,應保護工業系統免受惡意訪問,以確保業務連續性和平穩運行。
應根據所選模式或框架,來考慮和實施訪問控制。因此,在 IIoT 的訪問控制實施的正式規範、驗證和認證方面,仍需要完成大量工作。在 IIoT 的背景下,訪問控制似乎是一個具有挑戰性的研究主題。在本章中,我們詳細介紹了 IIoT 的概念,以及可能適用於 IIoT 的訪問控制模式和框架。
我們預計這些方向,將為工業界和學術界提供有趣的多學科見解,並激發這一重要研究領域的進一步研究。
AKD 寰楚專業級全系列監控設備 |
沒有留言:
張貼留言