用于动态制造系统的访问控制实施架构的制作方法

本公开涉及工业自动化和控制系统(iacs)内的网络安全机制的领域。给出了实际上可用于动态改变访问控制场景的多个访问控制实施架构。此外，通过实现示例示出了具体的策略表达模型如何能够与符合特定工业标准的建议架构相结合。

背景技术：

1、访问控制是任何现代信息系统中的主要安全机制之一。在诸如工业控制系统、后勤、制造等工业系统中，网络安全是日益受到关注的属性。鉴于最近的网络攻击，以及朝向日益增加的连接和数字制造系统的技术演进，显然必须修改许多网络安全实践。访问控制在控制系统的较低层中也日益重要，因为这些层也适用于更多基于服务的方法。

2、在工业制造系统的新兴特征中，自适应制造，如针对例如模块化自动化[1]、[2]、[3]所描述的，意味着生产设备的不断变化的集合，以不同的方式组合并且遵循不同的工作流方案以满足快速转移的生产需要。该特性使得用于描述和实施访问控制策略的传统方法在例如管理努力和遵循最小特权原则的可能性方面不太有用[4]。

3、在问卷调查研究中，部分地在[5]中提出，瑞典业内活跃的网络安全专家被问及与访问控制相关的技术和感知挑战。所标识的挑战中的若干挑战与实施架构的功能性直接相关，例如，发现可用性与安全性之间的正确平衡的问题，以及将策略数据分发给设备的挑战。本公开旨在提出对抗这些感知挑战中的一些的机制。

4、为了处理未来制造系统的动态特性，访问控制策略必须提供灵活性和动态性。基于属性的访问控制(abac)是一种可以提供这种增加的灵活性的策略模型[6]、[7]。同样重要的方面是用于实施策略的机制可以支持及时和最新的策略决策。访问控制实施架构的两个最重要的功能是：1)提供访问决策、以及2)根据访问决策准许或拒绝对资源的访问。

5、开放过程通信统一自动化(opc ua)是在操作技术(ot)环境中越来越多地用作可互操作协议的通信协议。该协议在iec 62541[8]标准系列中描述，并且包括关于如何达到高级通信安全的描述。所描述的与授权相关的准则实质上将可互操作部分限制为基于角色的访问控制(rbac)[9]，这可能不是动态改变系统的最佳配合[10]。

6、chandramouli等人[11]描述了如何使用用于基于微服务的应用的服务网格来构建用于基于属性的访问控制的实施架构。该方法基于存在于所有簇节点上并作为策略实施点(pep)工作的“边车(side-car)”容器。该架构支持完全调解，因为所有访问请求都通过“边车”容器被路由。该方法被设计用于在集装箱化平台上执行的云本地微服务。此外，本发明涉及制造系统，通常包括在专用设备上运行的应用，其不允许以这种方式进行调解。然而，将策略实施分离到单独过程的概念是令人感兴趣的，并且对于制造系统中的多服务设备也是有用的。

7、martinelli等人[10]提出了用于opc-ua的实施架构，其允许包括可变属性，如使用控制(ucon)访问控制模型(abac的扩展)所描述的。然而，该架构不利用opc-ua标准所描述的用于授权的任何标准组件。例如，pdp被完全放置在“使用控制系统”上，该使用控制系统包含未被标准描述的多个组件，pep被扩展为在客户端和服务器等上具有组件。这意味着，与本文建议的方法相比，解决方案绝不与当前的opc-ua标准互操作，这原则上利用可用的标准化方法。

8、sudarsan等人[12]提供了在iot和cps的上下文中，特别是从非受限设备的上下文中，访问控制模型、子授权模型和授权管理的可用技术的调查。其焦点在于子授权模型，即如何委托许可。这里详细讨论oauth，提供对描述使用oauth令牌的授权委托的优点和弱点的若干工作的参考。讨论了基于属性的访问控制(abac)和下一代访问控制(ngac)，特别指出了ngac与xacml相比在规则推理所需的复杂度和时间方面的优点。该上下文与本公开中讨论的用例很好地对准，因为与例如可能是底层模块组成的一部分的简单传感器相比，基于模块化工作流的制造系统的交互设备通常相对强大。

9、dramé-maigné等人[13]提供了对用于iot系统的实施架构的广泛的现有技术研究，尤其关注用于基于令牌的实施的可用解决方案。它们呈现四个主要架构概念：集中、分级、联合和分布、以及对若干垂直线的评估。原则上，该方法遵循混合集中式/分布式方法，具有用于动态许可和角色分配的集中式策略决策，以及用于静态角色许可的本地决定。

技术实现思路

1、本公开的目的是提出一种用于构造访问控制实施架构的方法，该访问控制实施架构减轻了可察觉的挑战并且在工业自动化和控制系统(iacs)中特别是在制造环境中实际上是有用的。实施架构应优选地支持动态和灵活的制造系统(以及与这些系统相关联的控制系统)的特征，并且可以使用可用的工业标准来实现。另一目的是提出使用基于声明的令牌作为执行机制的一部分的不同策略，包括如何使用访问令牌来制定使用标准化abac策略模型表达的访问控制策略。

2、这些目的中的至少一些通过如独立权利要求所限定的本发明来实现。从属权利要求涉及本发明的有利实施例。

3、在本发明的第一方面中，提供了一种具有根据权利要求1的技术特征的计算机系统。

4、该技术特征使得动态策略特权和静态策略特权能够被不同地处理。这种区别的目的是将相对更经常(动态)改变或期望改变的访问控制策略的这些部分与相对更稳定的其余部分分开。在资源服务器中本地执行所有决策减少了计算机系统内的必要通信量，但也可能带来在改变的情况下必须更新访问控制策略的所有本地存储的副本的不便。如果涉及动态策略特权的决策被提交给集中式授权服务器，则大量减少被保持，并且不便被减少。影响动态策略特权的访问控制策略的那些部分的频繁更新可以用有限的努力进行，因为集中式授权服务器对于资源服务器是公共的。如果第二类型pdp与仅存储访问控制策略的一部分的本地策略数据仓库相关联，则该优点将更加显著，访问控制策略的一部分独立于动态策略特权，因此，除非要改变静态策略特权，否则不需要更新访问控制策略的一部分。

5、应当理解，授权服务器与一些或所有资源服务器不同(独立)。优选地，授权服务器和资源服务器各自都包括用于与计算机系统中的其它实体通信的输入/输出接口，其中两个输入/输出接口应该是不同的。这允许频繁地进行可变显式许可/限制的重新配置，而不会显著增加对资源服务器的输入/输出接口的调用次数。

6、在一些实施例中，存在单个集中式授权服务器，其因此为计算机系统中的所有资源服务器所共用。在其它实施例中，资源服务器被群集为多个组，每个组共享授权服务器，通过这些授权服务器，访问控制策略可以被方便地更新，以影响其中所决定的动态策略特权。

7、在一些实施例中，基于用户对资源的至少一个显式许可/限制来决定动态策略特权，其中显式许可/限制直接引用资源。附加地或备选地，基于与用户相关联的至少一个角色来决定静态策略特权，其中每个角色仅经由访问控制策略间接地引用资源。在此意义上的“角色”可以在功能上理解为授予访问控制策略中规定的一组特权或许可的组成员资格的指示。角色不必永久地与用户相关联，而是可以重新配置关联。然而，为了有效地管理策略特权，预期的使用是让角色表示用户的静态或半静态属性，并依赖于对次要和/或短期修改的显式许可/限制。

8、在本发明的第一方面的其它实施例中，第一类型pdp被配置为生成(例如，根据用户或用户客户端的请求)访问令牌，该访问令牌指示与用户相关联的至少一个角色和用于访问资源中的至少一个资源的至少一个显式许可/限制，其中每个许可/限制直接引用至少一个资源，并且每个角色仅经由访问控制策略间接引用资源。访问令牌的内容结合了角色和显式许可/限制，角色允许简明地表达静态策略特权的束，显式许可/限制增加了动态特权的重新配置的特异性和容易性。另外，可以控制授权服务器生成的访问令牌的大小，这限制了专用于访问控制事务的内部通信容量的共享和/或有助于遵守对访问令牌的预定大小限制。静态和动态策略特权之间的二分法不仅可以基于上面讨论的因素(动态特权的方便的中央重新配置，静态特权的本地决策)来定义，而且可以考虑控制访问权标的大小的需要来定义。如果静态类别吸收策略特权的更大份额，则可以预期访问令牌的平均大小会减小。

9、在又一实施例中，第一类型pdp还被配置为(例如，根据用户或用户客户端的请求)生成指示允许用于访问资源的许可仅被行使一次的访问声明的单操作访问令牌。单操作访问令牌可用于隔离的资源请求。它还可用于打开用户客户端和资源服务器之间的新会话，或刷新当前会话。这将允许针对零星资源请求的策略评估的任何级别的动态性，而不是发布足够完整的新访问令牌来替换当前有效的访问令牌。例如，考虑到必须指示(对于所有打开的会话)所有潜在动作的不便，允许操作方在复杂的制造环境中在替代访问令牌中相对于所有处理对象来做。有利地，单操作访问令牌的可用性允许策略甚至更接近于在计算机系统中表达和实施的最小特权的原理。单操作访问令牌还可以提供用于指定策略特权的有用快捷方式，这些策略特权在角色和/或来自这些角色的显式许可/限制方面难以表达或难以表达。

10、设想用于单操作访问令牌的另一使用情况是实现双重批准(dual approval)，即，访问控制策略仅在用户获得一个或多个其他用户的补充批准时才允许访问。双重批准可用作防止在计算机系统中无意中使用昂贵或危险的资源的安全措施，例如，在制造期间使机器停止，使大容器排出处理液体等。在双重批准设置中，然后，每个子批准可以单操作访问令牌的形式来表达和传送。

11、根据第一方面的计算机系统可以被包括在分布式控制网络、安全网络、工厂自动化网络、工业自动化网络(例如，用于支持动态制造系统)、移动机器人控制系统中、或者它可以被用在类似的工业应用中。

12、在本发明的第二方面中，提供了一种具有权利要求9的技术特征的授权服务器。授权服务器被配置为包括在计算机系统中，其中动态和静态策略特权的决策被分配给不同的实体。更准确地，授权服务器具有第一类型pdp，其响应于用户客户端的请求而决定动态策略特权，但是将关于静态策略特权的任何决策提交到资源服务器中的第二类型pdp。授权服务器是所有这些资源服务器所共有的，因此能够方便地、集中地重新配置动态策略特权，如上所述。

13、在第三方面，提供了一种用户客户端中的方法，其包括权利要求10中定义的步骤。该方法包括获取访问令牌，该访问令牌指示与用户相关联的至少一个角色和访问资源中的至少一个的至少一个显式许可/限制，以及当用户客户端将要访问其中的资源时将该访问令牌提交给资源服务器(资源请求)。访问令牌的内容结合了角色和显式许可/限制，角色允许简明地表达静态策略特权的束，显式许可/限制增加了动态特权的重新配置的特异性和容易性。此外，可以控制授权服务器生成的访问令牌的大小，这限制了专用于访问控制事务的内部通信容量的共享和/或有助于遵守对访问令牌的预定大小限制。

14、在第四方面，提供了一种在具有根据权利要求12的步骤的授权服务器中用于生成访问令牌的方法。如已经解释的，访问令牌的内容结合了角色和显式许可/限制，角色允许简明地表达静态策略特权的捆绑，显式许可/限制增加了动态特权的重新配置的特异性和容易性。这也使得能够有效地控制访问令牌的大小。

15、在授权服务器中的处理排除了基于用户的一个或多个角色(例如，与用户的角色相关的许可/限制)的对策略特权的任何决策的实施例中，该方法适用于在将对动态和静态策略特权的决策分配给不同实体的计算机系统中执行。实际上，对从用户角色流出的策略特权的决策可以被提交给计算机系统中的资源服务器中的第二类型pdp。

16、在本发明的第五方面中，提供了一种在资源服务器中的方法，其具有根据权利要求14的步骤，其中处理访问令牌，并且至少部分地基于授予对资源服务器中的资源的访问。策略决策的结果可以被描述为与用户角色相关的许可(如通过评估访问控制策略所确定的)以及在扣除访问令牌所指示的显式限制之后由访问令牌所指示的显式许可。访问令牌的内容结合了角色和显式许可/限制，角色允许简明地表达一组静态策略特权，显式许可/限制增加了动态特权的重新配置的特异性和容易性。此外，可以限制要发送到资源服务器的访问令牌的大小。

17、在第五方面的一些实施例中，当用户客户端作出资源请求时，执行关于许可/限制的决策。在其他实施例中，例如在接收到访问令牌时提前执行决策，在这种情况下，可以临时存储结果以供以后使用。

18、本发明的其他方面提供了被配置为执行第三方面的方法的用户客户端、被配置为执行第四方面的方法的授权服务器、以及被配置为执行第五方面的方法的资源服务器。这些另外的方面可以预期与方法相同的技术效果和优点，并且它们可以以相应的变化程度来实现。

19、本发明还涉及包含指令的计算机程序，该指令用于使计算机或特别是设备和系统执行上述方法。计算机程序可以存储或分布在数据载体上。如这里所使用的，“数据载体”可以是诸如调制的电磁波或光波的瞬态数据载体，或非瞬态数据载体。非瞬态数据载体包括易失性和非易失性存储器，例如磁，光或固态类型的永久和非永久存储介质。仍然在“数据载体”的范围内，这样的存储器可以是固定安装的或便携式的。

20、在一些实施例中，例如可以在基于属性的访问控制(abac)语言中指定访问控制策略。目前存在着丰富表达细粒度条件和依赖于外部数据的条件的通用ac语言。abac语言的一个具体示例是可扩展访问控制标记语言(xacml)，它是组织促进结构化信息标准的技术委员会(oasis，www.oasis-open.org)中的标准化工作的主题。用xacml编码的策略基于主题、资源和主题想要在资源上执行的动作(例如，读、写)的属性来定义访问控制许可。该策略由属性值中的函数表达式组成，并且该策略的返回值(决定)是许可、拒绝、不适用或不确定之一。在这些实施例中，用户的角色被表示为访问控制策略中的属性的值。有助于实现本发明的基本abac概念的潜在改进是添加用于查询关于客户端(用户客户端)和资源之间的关系的完整许可集的功能。

21、在本公开的术语中，术语“用户”应被广义地解释。它可以指人类用户、联网处理器、服务器、机器或其部分、执行软件过程、或可以根据访问控制策略被分配访问权限的任何其他实体。在这个意义上，“用户”可以等同于ngac和其它标准化术语中的“主题”。

22、术语“用户客户端”指的是使用户能够一般地与计算机系统交互并且具体地与资源交互的硬件或软件。

23、“服务器”或主机计算机被理解为能够向附接到网络的其他设备(客户端)提供特定设施的设备或计算机子系统。服务器可以被表征为网络连接的处理器或存储器，使得其能力至少部分地和至少暂时地由客户端处理。

24、“资源”可以是例如个人存储配额的一部分、商业单元存储配额、信息检索系统、数据库(的一部分)、在线服务、受保护网页或物理设备。在工业访问控制系统的特定上下文中，资源可以是连接到工业过程的输入/输出信号和控制该过程的应用代码。术语“资源”可以与“对象”互换。在权利要求的意义上，设置在用户客户端与之交互的资源之下(即，远离用户客户端)的资源服务器也是“资源”。这种类型的分层拓扑可以用于在传统系统中实现本发明，其中如果内部资源服务器的pep具有这种能力，则外部资源服务器不需要配备能够在根据本发明的访问令牌中执行显式许可/限制的pep。

25、“属性”是可以在abac策略内的表达式，特别是谓词、条件和规则中引用的元素的特性。

26、通常，权利要求中使用的所有术语将根据其在技术领域中的普通含义来解释，除非在此另外明确定义。所有对“一/一个/该元件、装置、组件、手段、步骤等”的引用。除非另外明确说明，否则将被开放地解释为涉及元件、装置、组件、手段、步骤等的至少一个实例。除非明确说明，本文公开的任何方法的步骤不必以所述的确切顺序执行。