提高物联网安全性能的解决方案
开篇:润墨网以专业的文秘视角,为您筛选了一篇提高物联网安全性能的解决方案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘 要】为了应对物联网的安全挑战,以及根据其安全需求,本文建立了一套统一的安全架构,提出了提高物联网安全性能的解决方案。通过对请求者进行身份验证和对其授予访问权、实现单点登录的联合身份验证、基于基本信任模型请求消息的传播安全、审核重要事件,契约管理,以及有效地保护数据和内容,通过物联网安全架构,帮助企业形成一套完整的保护基于组件的物联网环境。
【关键词】物联网 安全性能 解决方案
一、构建物联网环境下基于属性的访问控制
在物联网的安全解决方案中,采用的访问控制思想主要包括了自主访问控制(Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC)、RBAC等传统访问控制模型,而这些模型并不能完全适应物联网的访问控制要求,它们在实现较为复杂的多因素、细粒度访问控制策略时比较困难,缺乏对主体和资源的详细描述,而且没有考虑上下文的信息。因此,本文参照基于属性的访问控制思想,为提高物联网的安全性能,设计出基于属性的访问控制模型。
(一)传统访问控制模型分析
针对物联网的特点,传统的访问控制模型在实都存在一定的不足:
首先,传统的DAC、MAC以及RBAC的访问控制非常适合于单个安全管理域内的访问控制,但对于跨域的安全访问控制上存在缺陷。
其次,传统访问控制系统的控制模式难于满足物联网的细粒度的访问控制要求。在多个系统形成的联邦内部,无论是基于属性的访问控制,还是直接针对用户的访问控制,在实现细粒度系统功能模块的授权时,其策略往往较为复杂,修改不便且难于管理,对于结构相对复杂的物联网来说,灵活的策略控制就很难实现。
再次,传统访问控制模型的策略通用性较差,难于实现多系统之间的统一。传统的访问控制策略通常存储在XML文件、数据库、目录服务中,使用时通过专用程序接口进行调用,每个系统都使用独立的策略编制规则,相同的策略在不同的系统中有不同的描述方式和手段,这就加大了物联网的策略通用性的难度,不利于策略共享和统一,而对于联盟中需要适用于所有系统的策略来说,其实现难度就更大。
那么,有没有一种既可以灵活实现分布式系统的集中控制,又能够实现细粒度的访问控制,还可以方便的描述复杂的访问控制规则,并且可以与已存系统的访问控制策略进行无缝集成的访问控制模型呢?基于属性的访问控制模型就可以解决上述问题。
(二)物联网中基于属性的访问控制系统结构
基于属性的访问控制(Attribute Based Access Control,ABAC)模型基于任何与访问安全相关的特征进行授权,这些特征称为属性,分别包括主体属性、资源属性和环境属性。以下我们对ABAC的属性进行定义,并给出ABAC的策略模型和ABAC访问控制架构。
1.属性定义
主体属性。主体是对资源执行操作的实体,如用户、应用程序或进程等。每个主体都拥有相关属性,这些属性定义了主体的身份和特征。属性可以包括主体标识、姓名、单位、职位、年龄、IP地址、Email地址等等。主体的角色也可看作是一个属性。
资源属性。资源是被主体执行操作的实体,如:服务、数据或系统组件等。与主体一样,资源也拥有可用于访问控制的属性。资源属性通常来自于资源的“元数据”。元数据中的元素也可以作为访问控制相关的属性,例如:URL、解决方案、参数等。
环境属性。在大多访问控制模型中环境属性往往被忽略。环境属性描述了访问发生时的环境或上下文信息,比如当前日期和时间、当前的病毒/黑客活动和网络安全等级等。它不同于主体或资源属性,但可用于制定访问控制策略和进行策略决策。
2.物联网中基于属性的访问控制架构
(1)AA(Attribute Authority,属性权威),负责创建和管理主体、资源或环境的属性。AA是一个逻辑实体,本身可以存储属性信息,也可以不存储(比如,一个主体可以选择从机构的LDAP目录获取属性)。但是,它负责把属性绑定到相应的实体,在提供和发现属性方面扮演重要的角色。
(2)PEP(Policy Enforcement Point,策略实施点),负责请求授权决策并实施决策。它截取主体对资源的请求,实施访问控制。PEP被表示为一个单一的实施点,实际上它可以是网络中物理分布的多个点。PEP实现中需要考虑主体对保护资源访问时PEP能否被旁路的问题。
(3)PDP(Policy Decision Point,策略决策点),负责评估适用的策略,做出授权决策(允许/拒绝)。PDP本质上是一个策略评估引擎。当请求中没有给出策略需要的主体、资源或环境属性时,它从相应的AA中获取属性值。
二、构建全面的物联网安全架构
在物联网的安全架构中,身份管理模块与消息安全模块是整个架构中最关键的两个模块。它们为物联网中的通信提供可靠的安全保护。
(一)身份管理模块:主要由单点登录、凭证令牌、断言三个子模块构成。使用身份管理模块可以进行身份认证、授权、实现单点登录的业务流程。单点登录、断言、凭证令牌子模块都支持基于安全断言标记语言( SAML)和Liberty Alicance规范的协议。这些标准和规范满足了交换安全断言信息,以及单点访问多项资源方面的重要业务需求。
(二)消息安全模块:主要由消息拦截器、消息拦截网关、消息路由器、契约管理等模块组成。
三、结束语
所有物联网安全的核心都是基于策略的基础设施和策略的管理。实际上,安全因素涉及范围很广,只有把安全措施落实到整个应用过程中,才能真正确保物联网应用安全性。
参考文献:
[1]姚晓霞. 我国物联网发展现状及策略[J]. 商场现代化. 2010(30) .
[2]袁国智,董毅明. 我国物联网产业现状及其发展对策分析[J]. 商业时代. 2011(04) .
作者简介:
刘君;1986.1.16; 女;硕士;研究方向:企业信息化与数据库系统集成。