[发明专利]一种工业控制网多属性约束访问控制决策系统和方法

说明书

本发明公开了一种工业控制网多属性约束访问控制决策系统和方法，该策系统和方法属于工控安全领域。为解决关键设施工业控制网面临的控制信息完整性破坏和非法控制等问题，结合关键设施工业控制网具有承载业务确定、网络组件及其状态有限、可描述、可预期、可观测的特点，本方法采用控制业务中主体、客体及操作具有可描述的多属性约束条件来实现更细粒度的访问控制决策分析，能够有效防止控制软件或控制信息被篡改导致的系统或装置错误或损毁，为工控网络非法行为提供更细粒度的溯源取证信息。

技术领域

本发明涉及一种约束访问控制决策系统和方法，具体是一种工业控制网多属性约束访问控制决策系统和方法。

背景技术

国家关键基础设施和大型装置中，越来越多的方面通过业务系统来完成业务数据的管理、处置等，大多业务系统都是通过访问控制来约束用户对特定系统资源的访问，包括自主访问控制、强制访问控制以及基于角色的访问控制等技术。在工控网络中虽然已有部分系统采用传统访问控制方法来实现对系统的防护，以强制访问控制为主，安全防护强度不足以遏止复杂网络攻击行为。同时随着国家级信息安全对抗技术的不断发展，针对关键基础设施中工控网络系统的定向攻击与日俱增。关键基础设施或大型装置中大量基于工业控制网业务系统来实现特定的服务，以目前的技术防护手段很难有效的发现异常、违规、攻击行为并进行取证溯源。

传统的访问控制通过角色来限制用户对特定系统资源的访问，重点在于对指定的系统角色赋予相应的操作权限，再通过会话来实现账户和角色的关联映射。随着网络攻击技术的进步，攻击者很容易利用漏洞来篡改或取得对非授权资源的访问修改权限，本发明提出的工业控制网多属性约束访问控制决策方法能够根据上位机、网络、控制系统业务的多维属性约束矩阵进行决策分析，拒绝攻击、异常操作的执行，同时为取证溯源提供帮助。

发明内容

本发明的目的在于提供一种工业控制网多属性约束访问控制决策系统和方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

本发明的工业控制网多属性约束访问控制决策方法，依次包括如下内容：

USER,ROLES,OPS,OBS分别是用户、角色、操作和对象。

由用户信息单元101和角色信息单元102建立用户与角色的映射assigned_users:(r:ROLES)→2^USERS是角色到一组用户幂集的映射，进入由权限集合单元103。

由权限集合单元103根据用户、角色之间的匹配关系，建立权限和操作、权限和客体之间的映射集合，PRMS＝2^(OPS×OBS)全部权限集，assigned_permissions:(r:ROLES)→2^PRMS是角色到一组权限的映射，OP:(p:PRMS)→{op∈OPS}是权限到操作的映射，将权限映射为它对应的一组操作。OB:(p:PRMS)→{ob∈OBS}是权限到客体的映射，将权限映射为它对应的一组客体，进入会话管理单元104。

会话管理单元104建立会话，管理用户发起的会话信息(包括会话的建立、关闭等)。user_sessions:(u:USERS)→2^SESSIONS，是用户到一组会话的映射，sessions_users:(s:SESSIONS)→USERS，是会话到建立此会话的用户的映射，sessions_roles:(s:SESSIONS)→2^ROLES，是会话到一组角色的映射，满足允许或拒绝单元107。

属性约束提取单元105提取模型元素(用户、角色、权限、会话)之间关系的确定性限制条件，形成用户约束、终端约束、网络约束、业务约束的多维属性约束矩阵。属性约束矩阵的形成过程如下：