[发明专利]基于属性的访问控制模型在工业4.0系统中的应用方法

摘要

本发明提供了基于属性的访问控制模型在工业4.0系统中的应用方法，实现对工业4.0系统中设备终端的访问操作权限控制，杜绝非法用户对设备的越权存取，并减少用户的隐私泄露。实现步骤为：根据工业4.0系统的特点对基于属性的访问控制模型ABAC进行改进；将工业4.0系统与改进的ABAC模型的对应；为工业4.0系统中成员分配责任；用户申请访问设备，在用户自主选择用户级别并在设备上进行注册后，设备对用户是否具有操作权限进行验证。本发明杜绝了非法用户对设备的越权存取，减少了用户隐私泄露，并将用户隐私泄露对用户造成的影响减小，同时消除了策略库膨胀及策略冲突对ABAC模型的影响。

主权项

1.基于属性的访问控制模型在工业4.0系统中的应用方法，其特征在于，包括如下步骤：/n(1)获取改进的基于属性的访问控制模型ABAC：/n(1a)创建与客体相关联的权限许可表，将ABAC模型策略库中的访问控制策略作为客体的权限属性存储于权限许可表中，同时删除访问控制策略中的客体属性和ABAC模型中的策略库；/n(1b)删除ABAC模型访问控制策略中的不允许权限，并将允许权限存储在权限许可表中；/n(1c)重新制定权限许可表中权限匹配规则：/nPermission＝(PA,EA),PA＝(SA,OA)/n其中，Permission为权限许可表中的权限属性，PA为由SA以及OA组成的二元组(SA,OA)，SA和OA分别为允许某一种或多种主体进行相应操作的主体属性和操作属性，EA为允许主体对客体进行操作时的环境属性集合；/n(2)将工业4.0系统与改进的ABAC模型相对应：/n将工业4.0系统中每个企业内部的权限管理人员作为改进的ABAC模型的一个系统管理员，每个设备作为改进的ABAC模型的一个客体，每个设备的用户作为改进的ABAC模型的一个主体；/n(3)设定工业4.0系统中的各成员的责任：/n(i)设定企业内部权限管理人员责任：对本企业的设备进行初始化，包括配置并更新设备中的权限许可表和对权限许可表中权限属性进行初始化，其中在对权限许可表中权限属性进行初始化时，权限属性中的主体属性为用户的级别，不同级别用户拥有的主体属性数量不同，其权限级别不同；/n(ii)设定设备的责任：设备内部存储权限许可表；在用户注册后自动更新内部权限属性；使用权限匹配规则判断是否对用户授权；/n(iii)设定用户的责任：申请对设备的访问权限；初次使用设备时选择用户级别并进行注册后申请访问设备，非初次使用设备时选择用户级别后申请访问设备；/n(4)设备对用户是否具有操作权限进行验证：/n(4a)用户申请访问设备：新用户在设备注册界面上选择用户级别进行注册并输入用户属性，老用户选择用户级别后输入用户属性；/n(4b)设备使用新用户的属性代替权限许可表中权限属性的用户级别，得到与权限匹配规则相匹配的权限属性；/n(4c)设备根据权限匹配规则，判断用户输入的用户属性是否存在于权限许可表的权限属性中，若是，设备允许用户登录，否则提示用户退出系统，并执行步骤(4i)；/n(4d)用户在初始界面申请对设备的操作权限；/n(4e)设备收集用户属性、用户申请的操作属性和当前环境属性，并根据属性匹配规则判断这些属性是否存在于权限许可表的权限属性中，若是，给用户授权，并执行步骤(4f)，否则提示禁止用户获得操作权限，并执行步骤(4g)；/n(4f)用户执行所申请对设备的操作后返回初始界面，若申请下一操作权限则执行步骤(4d)，否则执行步骤(4i)；/n(4g)设备判断禁止用户获得操作权限的原因是否为用户属性不正确，而操作属性和环境属性正确，若是，提示用户进行更高级别注册，并执行步骤(4h)，否则执行步骤(4i)；/n(4h)用户判断是否进行更高级别注册，若是，返回注册界面，并执行步骤(4a)，否则，执行步骤(4i)；/n(4i)用户结束对设备的访问，并退出系统。/n