物联网和网络物理系统2(2022)120货运港口安全参考体系结构爱德华多湾Fernandez*,Virginia M.罗梅罗佛罗里达大西洋大学,博卡拉顿,佛罗里达州,33431,美国自动清洁装置保留字:货物港口安全安全参考架构安全模式网络物理系统A B标准安全系统必须以系统和整体的方式构建,其中安全性是开发生命周期的组成部分,并贯穿所有架构层。这种需求在网络物理系统(CPS)中更为明显,攻击不仅针对系统的信息模型,还针对其物理实体。CPS系统是异构的,通常非常复杂。其可能的众多组件和跨域复杂性使得攻击易于传播,安全性难以实现。此外,这种复杂性导致相当多的各种漏洞和大的攻击面。要设计安全的CPS系统,一个好的方法是抽象它们的复杂性并开发一个通用框架,即参考架构(RA),我们在适当的地方添加安全机制以阻止其威胁,从而定义安全参考架构(SRA)。SRA是描述安全性概念模型的抽象体系结构,它提供了一种为广泛的派生具体体系结构指定安全性需求的CPS的一个重要类型是海运集装箱码头,这是一种在船舶和陆地车辆之间运输货物集装箱以进行向前运输的设施我们在这里提出了一个基于模式的货运港口SRA,它超越了现有的模型,提供了一个全局视图和一个比框图更精确的描述。从RA开始,我们分析了系统的进程的每个活动中的安全问题,并列举其威胁。我们使用误用模式来描述威胁,并从中选择实现防御解决方案的安全模式1. 介绍网络物理系统(CPS)是将物理过程、计算资源和通信能力与物理世界中的实体的监视和/或控制相集成的系统CPS,例如,电网往往是高度复杂的系统,要研究它们的安全性,我们需要从它们的全局架构出发,并使用抽象。参考体系结构(RA)是一种通用软件体系结构,基于一个或多个域,描述功能而没有实现细节[1,2]。RA可以被看作是整个架构的一种模式 模式是对经常性系统问题的封装解决方案,并定义了一个词汇表,简明地表达了需求和解决方案,并为各种利益相关者提供了一个沟通词汇表[3,4]。 软件模式现在经常被用来构建复杂的系统[3,4];它们在构建安全系统中显示出重要价值的系统的一个特定方面[16- 19 ]。参考架构通常不用于设计系统,直到最近,它们的设计价值才被揭示出来[15,44将模式与参考体系结构相结合,成为描述系统并分析其安全性和其他非功能性方面的一种具体来说,对于CPS,这些抽象不仅对理解和构建这些复杂系统非常有用,而且有可能统一其计算,通信和控制方面的请注意,模式和RA不是实现,而是代表了可以从它们派生的许多实现的范围;它们是概念模型,专注于系统的基本特征,并建议可能的解决方案来构建它们或解决特定问题。CPS系统涉及各种嵌入式设备,传感器,执行器和连接到它们的无线链路,并且可能需要不同的部署模型,所有这些都导致高度复杂的系统[5,33],复杂CPS的一个示例是货运港口,其中船舶的调度和集装箱跟踪可以由云系统处理,而集装箱的物理处理由起重机(物联网系统)执行,从货物中心远程控制 这种复杂性产生了许多安全问题。此外,出于经济和生产力的原因,开放式网络对于CPS来说是一种有吸引力的通信媒介,但* 通讯作者。电子邮件地址:fernande@fau.edu(E.B. Fernandez),vromero@fau.edu(V.M. Romero)。https://doi.org/10.1016/j.iotcps.2022.07.001接收日期:2022年1月27日;接收日期:2022年7月2日;接受日期:2022年7月14日2022年7月19日在线提供2667-3452/©2022作者。由爱思唯尔公司出版我代表科爱通信公司,公司这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表物联网和网络物理系统期刊主页:www.keaipublishing.com/en/journals/E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120121这样做会增加他们遭受攻击的脆弱性攻击的目标可能各不相同,从破坏到经济目标,如收集私人信息或勒索软件。现代CPS的复杂性使其安全设计和维护变得非常困难,CPS攻击也在增加;例如,对港口集装箱物流的网络操纵已成为现实攻击[6],Stu X net证明了使用蠕虫攻击物理系统的可行性[7- 9 ],并且类似的攻击是可能的和预期的[ 10 ]。在有人类存在的CPS中,安全攻击可能会影响这些系统的隐私和安全,并可能产生灾难性的后果[11- 14 ]。虽然有大量的工作是关于控制特定CPS的行为或列举它们的威胁[14,63基于CPS-IoT的应用程序的安全设计必须能够处理这种异构性和复杂性,而模式是一种很好的方法,因为它们的抽象能力。我们的方法是基于这样一种想法,即安全系统需要以系统和整体的方式构建,安全性是开发生命周期的一个组成部分,而不仅仅是组件的附加组件,并且安全性必须应用于所有架构级别1[15]。请注意,没有单一的安全方法或算法;安全性不是系统的一个单独属性,可以在系统构建后添加到系统中,我们需要“通过设计确保安全”的我们的方法是首先建立一个RA。一般的CPSRA会相当模糊,更准确地说,我们考虑了一种特定类型的系统,一种运输系统,特别是一个海上集装箱货运港口,我们构建了它的RA。此RA在以前的工作中提出[52],并使用基于系统用例的现在,我们通过分析他们的工作流程的活动图中的活动来识别和列举威胁,并考虑他们如何受到攻击。这种分析是基于在参考文献中介绍的方法。 [30],其中对应于系统的工作流程的活动图用于识别威胁。我们为每一个已识别的威胁提供可能的对策(安全模式)。安全模式以简洁和可重用的方式封装了对威胁的防御[16最后,我们将这些安全模式系统地应用到我们的RA中,并构建了SRA。这个SRA是半正式的,并且依赖于使用包括UML模型的模式的面向对象的方法UML模型可以用OCL等形式化描述来补充[20]。 模式是对最佳实践的经验性定义,过于形式化会使它们过于僵化,它们需要根据具体架构的要求进行定制;此外,对于大多数从业者来说,形式化方法是困难的[21]。我们相信,半形式化的方法是唯一实用的方法,我们正在考虑的系统的复杂性,这并不是说,部分架构不能正式建模。请注意,这不是构建安全CPS应用程序的方法。这样的方法学需要一组专门的基于生命周期的过程步骤,如参考文献中的步骤[35、66、67]。拥有SRA将通过帮助定位架构中具有关键漏洞的位置来使这种方法更加有效事实上,这种组合定义了一个重要的研究方向,以扩展我们的结果。我们的体系结构由四种类型的模式构建而成,(描述功能)、过程模式(描述信息流)、安全模式(控制威胁)和误用模式(描述攻击)。 我们在这里介绍了安全货物港口拖运模式[22]、安全货物港口装卸模式[23]和受控访问货物港口码头物理结构的安全模式[24]。此外,我们提出了四种误用,这些误用来自于在操纵集装箱时控制集装箱码头起重机的射频遥控器的威胁[25]。滥用模式1这里的从攻击者的角度描述了如何执行攻击[26,27]。我们的工作目标是提出一个安全的参考架构的货运港口。通过检查威胁是否可以在SRA中停止或减轻,我们可以评估其安全级别请注意,向RA添加安全性并不是在构建系统后添加安全性; RA是一个概念模型,而不是一个特定的软件实现;因此,我们可以考虑每个包含的服务或功能可能受到的攻击此外,SRA不是架构的视图[71](仅适用于特定架构),而是用于不同目的的不同模型,尽管是从RA构建的。构建一个完整的RA和一个完整的SRA是一个非常大的企业,对于两个人的团队来说是不可行的;因此,我们只是打算在这里定义构建这种架构的方法。完整的架构有许多相似的组件,只是在小细节上与其他组件不同,因此构建完整的架构虽然对企业很重要,但从研究的角度来看并不是特别有趣。我们的贡献是:- 货运港口部分安全参考体系结构及其实现方法。- 一组用于构建SRA的特定安全和误用模式。- 演示如何通过列举对其功能的威胁并找出对策,将参考架构转换- 展示了使用不同类型的模式来构建复杂系统。据我们所知,没有人提出一个货运港口的SRA或显示一种方法来建立一个。本文的其余部分结构如下:第2节介绍了一些关于模式和参考体系结构的背景信息,总结了我们枚举威胁的方法,以及我们的参考体系结构。在第3节中,我们提出了三种安全模式的货运港口和滥用模式造成的威胁,以集装箱码头起重机的远程控制器。第4节介绍了一个安全参考体系结构(SRA)的货物港口和评估其安全性。第5节讨论相关工作。最后,我们将在第6节中给出结论和未来的工作。2. 背景和以前的工作我们假设我们的受众了解安全的基本概念,并且能够阅读通常用于表示复杂系统模型的UML模型。我们在这里解释模式、参考架构和安全参考架构。在本节中,我们还将描述我们的威胁枚举方法,并总结我们以前在货运港口参考架构方面的工作2.1. 模式和参考体系结构模式是在特定上下文中对一个经常性问题的解决方案[3,4]。有几种类型的软件模式,如设计和架构模式,用于构建灵活和可扩展的系统;安全模式用于通过描述控制威胁、修复漏洞和提供安全属性的方法来构建安全系统[17]。分析模式描述了应用程序的概念方面[72]。误用模式用于描述从攻击者的角度如何执行攻击[26,27];它们还定义了执行攻击的环境,需要什么安全机制作为阻止攻击的对策,以及如何找到取证信息以在攻击发生后跟踪攻击。参考体系结构[1,2]是一种通用的抽象软件体系结构,用于在高抽象级别上理解、分析和设计复杂系统RA由来自某个知识领域的分析模式组成安全参考体系结构是RAE.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120122在适当的地方添加安全机制来处理已识别的威胁。 具体的架构是通过将它们映射到特定的平台而从RA中派生出来的,例如,微软,特定的选择,如使用给定类型的起重机,以及特定的实现结构,如客户端-服务器分布。这些选择增加或修改了抽象威胁,需要进一步分析,但SRA提供了有关威胁类型及其在体系结构中出现的位置的指导方针。请注意,模式和RA不是代码实现,它们是可以以多种方式实现的建议(实例化)。因此,利用特定实施细节的威胁不会出现在RA中。类似地,对策也是以概念的方式描述的;例如,SRA可以指示“身份验证”,但不指示特定类型的身份验证,因为这取决于RA的特定实例化。在第3节中,我们提出了一个元模型,将威胁与可用作防御的模式联系起来这个元模型将有助于评估我们的结果。2.2. 列举威胁用例,例如,“将集装箱装载到船上”,定义了与系统的所有可能的交互。 每个用例都包括一系列活动,例如“从特定位置拾取容器”。 每个活动可以在应用资产中执行操作。攻击者会试图破坏这些活动来实现她的目标。例如,攻击者会试图将起重机加速到超出其物理限制并试图摧毁它。特定的策略,如强制执行这些策略的安全模式足以阻止这种攻击。在执行策略时,我们还必须考虑威胁的来源,以及威胁代理执行攻击的权限。我们将攻击者分为几组:外部人员,没有权限访问系统的任何部分;授权内部人员,可以访问系统的人员;以及未授权内部人员,具有系统访问权限,但没有访问系统的权限。正在分析的活动对策应用在攻击的序列图中(由误用模式描述),以这样的方式,它们可以阻止这些攻击。 我们枚举威胁的方法[30]已用于各种系统,包括云计算,网络功能虚拟化[47]和业务应用程序[16]。由于该方法以图形方式描述了攻击的作案手法,因此设计人员可以清楚地了解如何阻止攻击威胁枚举允许通过测量系统中包含的安全模式控制的威胁百分比来评估设计中达到的安全程度[68]。2.3. 一个货运港口参考体系结构在以前的工作中,我们已经开发了一个RA,它提供了一个货运港口系统的概念视图[28,52]。在这项工作中,我们提出了一个使用模式的货运港口的部分参考架构由于货运港口是一个非常复杂的系统,我们只介绍了其基本的功能流程,主要单元,以及它们之间的关系。 这包括描述安全工作流程的流程模式,以及描述用户和系统之间完整交互的用例。 每个流程模式描述了一个主要的端口功能,它包括一些用例,其中每个用例与一组参与者相关联。参与者代表与系统交互的用户或自动化系统[29,31]。我们描述了货运港口的涉众,其中一些也是所示用例中的参与者,并使用功能流程模式构建了其RA图1的模型是货物港口系统的高级表示,其主要目的是提供其功能单元及其关联的透视图它以类图的形式显示,并且它将用于构建RA的模式的贡献相互关联起来。每个组件都可以被细化以定义具体的架构。一个典型的货运港口,港口,包含许多集装箱码头,码头,这反过来又包含起重机,存储和运输手段,如火车和卡车。 有三个港口区用于起重机,集装箱和建筑物。在他们的船停留期间,船舶带来Fig. 1. 货物港口的部分参考架构。E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120123容器.日志与每个容器相关联。人员角色与职能相关联,并有权访问特定的端口区域。 拖船在船只到达和离开期间负责船只。 每次卡车司机进入或离开港口时,他们都会执行与门访问有关的DrayageTransactions。我们使用三种流程模式和一种描述集装箱码头物理结构的模式构建了这个货物港口RA。我们在会议上发表了这些模式该RA包括:在货物港口装载设施处将集装箱装载到船舶上或从船舶上卸载集装箱的模式[23];货物港口集装箱(拖运)安全交付的模式[22];船舶到达和离开的模式;以及集装箱码头物理结构的模式模式可以表现出重叠的类。每个集装箱码头都有保安功能。 到达入口的司机,打算拿起或放下一个集装箱,分别用于进口或出口。集装箱在港口码头和内陆配送点或铁路码头之间的运输称为港口拖运。 每一个单一的港口拖运事务都是DrayageTransaction的一个实例。对于每一个货运交易,有一个卡车司机负责卡车和集装箱。在卸货过程中,起重机操作员将集装箱从船上移到仓库,在装货过程中,起重机操作员将集装箱移到船上。起重机操作员负责将起重机操作员分配到起重机上。仓储经理负责分配仓储位置和仓储设施.员工是港务局组织的成员。到达港口和离开港口是船舶航行中两个独立但非常重要的方面ShipStay表示船舶在泊位中的每次停留,船舶到达或离开。船舶还可能需要拖船的协助,以便在港区内进行操纵,并完成入口和系泊操作。当船舶离开港区时,也进行类似的操作多艘拖船可以与多艘船舶相关联,这些关联是临时的。TransportMean表示所有的运输工具;将集装箱运入和运出码头的卡车、运载集装箱运入和运出码头的铁路列车,或者可能是其他船舶。3. 构建货运港口安全参考架构为了设计一个安全的系统,我们需要了解威胁导致的攻击如何泄漏/更改数据或中断流程执行,并提供对策来阻止或减轻它们。 为了有效,我们必须提供一个跨系统所有元素的整体安全视图,并分析用户与系统交互产生的安全问题;也就是说,作为业务工作流程一部分所需的用例。第2.1节介绍了我们用于架构建模的不同类型的模式图2显示了在这项工作中使用的安全概念的关系。攻击利用了系统中的漏洞 漏洞是由实施错误或不正确的配置和使用造成的系统中的缺陷或弱点。威胁可以被描述为误用模式的一部分,并且可以通过删除相应的漏洞或插入适当的安全模式来阻止,该安全模式可以避免传播攻击所需的交互安全模式可以中和攻击并减少误用。 模式用于构建RA,即RA由模式组成,安全模式可以保护RA。 SRA是一种应用了安全模式以控制其检测到的威胁的RA。图 3描述了构建SRA的过程,我们需要定义需要什么安全防御以及将它们插入体系结构中的位置。其步骤如下:我们从流程模式开始,分析它们的用例中涉及的活动。请注意,图中的用例。 3在本图中不需要理解,它们在RA中详细显示[52]。我们分析每个用例活动图,寻找漏洞和威胁。这意味着检查每个活动,看看它是如何图二. 安全概念的关系。袭击了这种方法导致了第2.2节中讨论的威胁的系统枚举。我们可以通过应用破坏或修改攻击交互的安全模式来阻止已识别的威胁 如果没有合适的模式,防御可能来自最佳实践列表。通常,一种安全模式就足以切断攻击链。为了完善防御,我们考虑了较低的级别,其中威胁由滥用模式描述。这些步骤背后的推理是基于用例定义了与系统的所有可能交互的事实 如果我们分析每个用例中的每个活动,我们就可以识别出所有威胁,然后我们可以找到防御措施。 值得一提的是,对于我们在活动图中识别的每个威胁,我们可以产生一个或多个可以使用误用模式描述的误用。在本节中,我们介绍了三种货运港口的安全模式和一种误用模式,该模式源自货运港口装卸模式中起重机的远程操纵。最终的SRA可以通过聚合这些安全模式来获得;然而,由于用例不考虑特定的实现,我们可以基于误用模式来细化安全模式(参见第3.2节)。3.1. 货运港口我们现在提出一个模式为“安全货物港口拖“和模式为“安全货物港口装卸”。这些去重化是以前对这些过程模式的工作的扩展(它们没有安全控制)[22,23]。此外,我们还包括一个模式,该模式描述了货运港口的功能单元到其物理位置的映射,并定义了与这些单元相关联的个人或角色访问这些位置的权利,“受控访问货运港口码头物理结构”[ 24 ]。 我们识别每个模式中的威胁和相应的防御措施,以创建RA过程模式的安全版本。3.1.1. 安全货物港口拖运3.1.1.1. 意提供所有典型的功能和安全机制,以确保在海运港口安全地交付和提取集装箱3.1.1.2. 上下文港口拖运是指集装箱在港口码头和内陆配送点或铁路码头之间的移动。●●●●E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120124图三. 固定货物端口RA一个典型的拖运任务涉及将出口集装箱运送到海运码头或拾取已抵达船舶的进口集装箱[32]。3.1.1.3. 问题. 港口拖运中的安全攻击可能严重扰乱对海运货物港口的运作至关重要的业务流程。这种中断可能导致整个供应链的停顿或严重中断,影响一个国家的经济安全和稳定。例如,闸口操作系统中任何组件的可用性下降可能导致卡车在码头内外空转,造成空气污染、严重的健康问题以及通往码头和海港附近社区的道路拥堵更严重的袭击可能会造成人员和经济损失,因为即使是货物运输的短暂中断的潜在后果也会导致杂货店的货架和加油站的油箱空空如也。在某些港口,影响能源供应的中断可能不仅会引起涟漪,还会对一个国家乃至全球经济产生冲击波安全攻击也会影响到处理集装箱的人员的安全。在可能发生袭击的情况下,我们如何确保这些活动顺利进行?安全问题的解决受到以下力量的指导能力-可能涉及多个内部和外部角色,例如,卡车操作员、存储区工人和管理员、起重机操作员等。所使用的资源和设备及其相应的操作必须灵活,以适应各种角色。警报-任何偏离终端正常操作的尝试都必须产生警报并应记录。日志记录一般来说,每次访问都应记录,以跟踪对设施的任何访问所有集装箱都必须登记和记录。位置跟踪-我们需要能够找到每一个集装箱。容器放错了地方会延误操作。威胁--我们需要列举过程中的威胁,并为它们定义对策(见下一小节)。3.1.1.4. 威胁 活动图显示组成用例的活动,例如,验证驱动程序。一个角色或一个组件的所有活动都遵循泳道,例如,门卫 过渡(暗条)是同步点。 图 4、对于港口集货活动图中的每一个活动,我们都可以分析其可能的威胁。 再次强调,我们只考虑RA中涉及的概念模型的威胁,RA的特定实例化将具有更多可以利用实现漏洞的威胁。该图描述了集装箱卸下过程的活动,然而,集装箱拾取过程的活动是类似的,只是相反。我们并不试图做到详尽无遗,只是为了展示列举威胁的程序;即。我们没有详细展示在其他用例中可能发生的威胁。 此用例中的活动存在以下威胁:a1验证驾驶员身份:被盗证件或伪造的运输工人身份证件(TWICID)可能会让冒名顶替者进入航站楼。未经授权的个人可能拥有高功率武器,违禁品或非法药物。拥有非法购买的假冒TWIC可能有助于在无人陪同的情况下进入港口受管制设施的安全区域a2认证卡车:不正确的卡车信息可能会允许未注册的卡车进入终端,造成广泛的后果。这些后果包括:轻微的影响后果,如大门延误或拥堵,或更严重的后果,如人员生命损失,因为这些车辆可用作敌对车辆的武器攻击a3验证装载:集装箱信息被删除、修改或无法访问可能允许武器、致命化学品、爆炸物,人类交通到进入的终端a4获取位置:接收到不正确的集装箱卸货位置A5丢弃容器:容器可能被放置在错误的位置,扰乱其他容器的未来放置或使其难以找到。●●●●●●●●●●E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120125见图4。 活动图显示了落箱交易中的威胁。a6更新日志:日志中的错误条目将导致后续中断。删除条目或删除日志可能会导致永远找不到集装箱和完全混乱,因为货物的流动将被中断。a7出口门:不核实正确的文件离开终端可能会导致大规模杀伤性武器进入该国,人口贩运或走私货物。3.1.1.5. 溶液我们保护未经授权的个人进入航站楼。司机和他们的货物在大门口被认证 只有特定的个人或角色被授权并允许进入港口的特定区域。我们记录每个集装箱的移动。所有活动都需要记录下来,以便将来在发生安全违规时进行审计。 集装箱被贴上标签、跟踪并记录其位置以供识别。每次访问都有记录。3.1.1.6. 对策我们可能无法阻止所列举的威胁所暗示的所有攻击,但是当我们将它们与适当的防御相匹配时,它们中的许多将被最小化和控制。使用应用程序的语义,我们还可以对威胁进行分类,估计它们的影响,这有助于优先考虑添加防御。在图的活动中识别的威胁。4(a1,a2,a3,a4,a5,a6,a7)可以通过使用身份验证、授权和日志记录模式来停止。对于授权,我们使用基于角色的访问控制(RBAC)模型,该模型将权限分配给角色,以便在资源中执行某些操作每个用户可以被分配一个或多个角色。我们可以使用安全模式和OCL断言来定义安全策略,以阻止已识别的威胁和安全断言,以避免不安全的情况。这些断言实现基于规则和设备约束的预先指定的策略可能的断言包括:图五. 安全货物港口拖运类图。●●E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120126●对于每次进入码头港口,所有条件都必须有效(验证驾驶员,验证卡车和验证集装箱装载)。对于存放在堆场的每个集装箱,必须在日志中输入条目。3.1.1.7. 安全系统的结构图图5给出了港口货物安全拖运作业的类图及其各组成部分之间的关系。 该图基于货物港口拖运模式[22],其中添加了如上所述确定的安全模式并突出显示。我们在这里使用的标准安全模式从参考。[16 ]第10段。ClassQuay码头是船舶装卸的平台。GateAccess代表终端的入口每个集装箱码头只有一个入口。 DrayageProcess表示单个拖运事务;其中拖运事务意味着将集装箱交付或拾取到码头。 对于每一个货运交易,有一个卡车司机负责一辆卡车和一到两个集装箱,这取决于集装箱的大小,以及他们是否卸下和拿起不同的一个。 GateAccess必须验证运输操作是否合法。 存储表示码头上指定用于堆放集装箱的表面。每个集装箱在堆场都有一个独特的位置这些唯一位置在日志中保存和更新。为了防止安全攻击,卡车和卡车司机在进入港口之前都要经过身份验证。拖运事务和大门访问都有记录。基于角色的访问控制只允许授权的个人(相应角色的成员)更新日志。3.1.1.8. 已知用途。 洛杉矶港和长滩港在南加州,美国,正在申请的防御类型在这里使用的港口拖运业务[55,73]。我们使用他们的港口拖运流程作为此模式的基础。迈阿密港[57]和劳德代尔堡的大沼泽地港[56]也为他们的港口拖运作业应用了类似的防御措施3.1.1.9. 后果这种模式的优点包括:基于角色的访问控制(RBAC)允许我们容纳参与系统的多个角色,它允许所有类型的用户。执行同样任务的人被赋予同样的警报-我们可以使用警报监视和安全记录器和审计器模式来记录与安全相关的所有活动。将记录任何偏离正常活动的情况,如有必要,将显示警报。记录-集装箱放置的地点被记录。所有交易都将被记录并在以后进行审核,以确保符合安全法规。● 位置跟踪威胁-所有的威胁都已处理,如“对策”所示。这种模式有一些缺点:安全性所需的所有机制都有一些开销,需要维护,并有额外的成本。集装箱可能有危险的负载,需要采取物理措施来检测它们,例如X射线和辐射门户监测器,这些监测器可能很昂贵。3.1.2. 安全的货物港口装卸3.1.2.1. 意提供集装箱码头的典型功能,特别是将集装箱装载到船舶上和从船舶上卸下;包括保安和安全机制。3.1.2.2. 上下文港口作业是指管理和控制港口所必需的活动和过程。在货柜码头内,三个主要作业区域,即:海边作业、码头作业和陆上作业。每个区域可能对不同类型的威胁敏感[34]。威胁类型包括:网络威胁、恐怖主义、犯罪活动、货物盗窃、勒索、贩运、腐败和偷渡。 地震和飓风等自然灾害也是威胁。我们特别考虑网络攻击-以这种方式触发其他攻击的可能性。港口物流系统必须跟踪许多集装箱位置,这是数据驱动的安全关键系统的一个安全性在这些系统中尤为重要,因为未经授权修改其数据可能会影响人员的安全,产生严重的经济影响或造成广泛的损害。3.1.2.3. 问题. 港口装卸设施缺乏安保和安全可能是一个严重的问题,因为这些活动很重要,而且袭击可能造成很大影响。我们如何才能建立一个安全可靠的港口装卸设施?这个问题的解决是由以下力量引导的灵活性. 各种各样的用户都参与了港口。 他们必须操作设施,并有指定的角色。 某些外部用户也可以出于管理或管理目的进行访问。 我们需要为这些角色分配权限。威胁用户的多样性和设施与互联网连接的事实带来了许多威胁。我们应该做好准备,应对可能扰乱港口运作的各种袭击参见下一小节的枚举。安全为代价的安全攻击可能危及安全;例如,超过设备的物理限制可能会损坏设备并危及港口工人。记录我们需要记录以后可能需要审计的所有活动,以调查安全或安全违规行为。 我们需要跟踪集装箱的位置。3.1.2.4. 威胁在图6中,对于装载和卸载集装箱的活动图中的每个活动,我们可以分析其可能的威胁。此图描述了卸载流程的活动;然而,加载流程的活动是类似的,只是相反。 此用例中的活动呈现激活威胁、起重机控制威胁、拾取威胁和日志威胁,如下所示:a1发送请求:攻击者可以通过消息覆盖系统,crane不接收消息,不激活。a2拾取集装箱(船):修改、损坏或删除起重机的控制信息。拿错了集装箱。 使起重机加速超过其物理极限(可能导致其损坏);随意移动起重机可能会伤害人员并损坏设施或设备。a3存放容器(拖车):命令注入,掉落容器可能会破坏容器,损坏其内容物,或伤害人员。集装箱放置在不正确的拖车上可能会导致集装箱中断或错位。移动集装箱:拖车司机将集装箱带到不正确的区域,导致延误,集装箱错位或货物被盗。a5拾取容器:跌落容器可能会损坏容器,损坏其内容物或伤害人员。拿错了集装箱。a6存放容器:容器可能被放置在错误的位置,干扰其他容器的未来放置或找到该容器。a7更新日志:在日志中写入不正确的信息可能会导致以后的中断。在过去的几十年里,传感器和导航技术已经使操作员从集装箱装卸机或货运港口的运输车辆上移开并远程控制成为可能RF远程●●●●●●●●●●●●●●●●E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120127≤¼≤89见图6。 活动图显示卸载容器过程中的威胁。控制器广泛地用于集装箱码头起重机中。这些创新对所使用的远程控制器和通信网络提出了额外的威胁此外,还在集装箱内放置了跟踪装置可能的威胁包括:拦截、修改或删除控制信息、拒绝服务(DoS)、欺骗或干扰GPS集装箱跟踪设备以及修改集装箱信息。3.1.2.5. 溶液港口包括装卸设施,如起重机和储存装置。在卸载期间,操作员将集装箱从船舶移动到存储单元,在装载期间,操作员将集装箱从存储单元移动到船舶。我们需要限制和控制个人与系统交互的能力,并跟踪所有活动。3.1.2.6. 对策在活动中识别的威胁图。6可以通过以下方式阻止入侵检测(IDS)和流量过滤机制(a1)、加密器(a2、a3、a5)、外部攻击者的身份验证和授权模式[16]对于(a4,a6,a7)中的内部攻击者为了强制执行只有主管才能分配起重机操作员的约束,我们使用内容相关授权模式[53]。我们需要添加OCL断言来定义安全约束,以阻止已识别的威胁和避免不安全条件的安全断言这些断言实现了基于规则和设备约束的预先指定的策略可能的断言和安全约束包括:安全:crane [active] crane_operator(每个处于活动状态的起重机必 须 有 一 名 操 作 员 ) aCrane.speed Speed_Limit; aCrane-ne_accelerationAcceleration_Limit安全性:aCrane_operator.assign aPortLoadSupervisor.assign(只有港口装载主管可以分配起重机操作员)。见图7。 安全加载和卸载的类图。E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)1201283.1.2.7. 安全系统的结构图7给出了一个安全的货物港口装卸系统的类图。它由一组起重机、几名起重机操作员和一些存储单元(例如仓库、垃圾箱、特定区域)组成在一个给定的时刻,该系统装载或卸载一组船舶,每一个携带一组集装箱。 该模型增加了起重机控制器的概念,这是一个图中没有的较低级别组件。1.一、起重机操作员使用起重机控制器执行起重机事务。同样,安全模式来自Ref。[16 ]第10段。如上所述,图的威胁。 6可以使用IDS、加密和流量过滤机制来中和。集装箱配备有跟踪设备,为了避免RFID标签的篡改或重新编程,可以使用将跟踪设备与入侵传感器相结合的集装箱安全设备(CSD) 我们依靠身份验证和RBAC授权器来限制和控制与系统交互的个人的能力。 安全记录器/审计器用于收集信息以提高系统安全性。3.1.2.8. 已知用途。比利时安特卫普港的集装箱公司在遭受严重袭击后,正在应用其中一些防御措施[6]。美国和中国正在就如何保护港口设施交换最佳实践,其中包括这里讨论的防御类型[54]。3.1.2.9. 后果这种模式的优点包括:灵活性. RBAC允许容纳任何类型的角色,适用于所有类型的用户。威胁我们可以系统地列举威胁 我们不知道我们是否找到了所有这些,但我们可以通过将它们与它们的防御(安全模式)相匹配来控制我们找到的那些。 使用应用程序的语义,我们还可以估计它们的影响。如果系统的设计是按照系统化的方法进行的,我们就不需要识别所有的威胁,只需要识别那些有重大影响的威胁实际效果取决于SRA的具体实例,如果我们处理爆炸物或玩具,则实施方式会有所不同安全为代价的设备的物理限制可以通过安全断言来控制其他断言可以防止对人类有危险的情况记录我们可以使用Security Logger/Auditor模式来记录与安全相关的活动。这种模式也有一些缺点:安全机制具有成本,具有一些开销,并且需要维护。集装箱也可能装载危险货物,我们需要采取实际措施来检测它们。3.1.3. 对货物港口终端物理结构的受控访问3.1.3.1. 意 描述货运港口的功能单元到其物理位置的映射,并定义与这些单元相关的部门或角色访问这些位置的权限分配。3.1.3.2. 上下文物理位置由区域定义。区域是一个可以识别的物理单元,可以控制对其的访问。一个区域可以包含其他区域。货物港口码头中的区域之一的示例是远程起重机操作站。起重机正配备先进的自动化及遥控系统。尽管未来的起重机操作可能没有“物理距离”,即,它们可以位于世界任何地方,现在大多数控制室都位于货运码头内。图图8示出了物理位置区域A的示例,该区域是由较小的区域区域1和区域2组成的区域,其可以是见图8。 远程起重机操作站的物理位置。限制访问。区域W、X、Y和Z是起重机操作员的工作站,起重机操作员在集装箱堆中远程执行装载和卸载操作,并且也可以限制操作员的访问这些都位于1区,W、X、Y和Z的所有操作员都有相同的访问权限区域2在该示例中仅具有一个工作站V。阴影区域描绘特定区域的入口访问控制系统应该能够处理嵌套的受限房间和工作站(例如)。在货物港口的其他区域,它可能是存储区。3.1.3.3. 问题. 一些区域可能包含危险或非常有价值的材料;其他区域可能包含关键功能。进入这些区域必须限制在特定的角色或个人,否则我们可能会发生盗窃和潜在的破坏。这个问题的解决是由以下力量指导的灵活性-物理结构的描述应该是可扩展的和可伸缩的。物理单元可能会在限制范围内改变它们的功能,我们可能需要更多的某种类型的物理单元。安全性-对物理单元(包括子单元)的访问需要动态控制(即,在任何给定时间提供或拒绝访问),并在需要时具有附加限制(时间、日期、ID.)。记录和审计应定期对客户进行审计,以发现可疑活动。警报和警报监控任何使用无效凭证访问终端区域的尝试也必须产生警报,并应记录并报告给相关方。边界3.1.3.4. 溶液 将操作功能映射到可用区域。明确界定货柜码头内区域的界限,并只根据角色及营运需要提供进入该等区域的途径,包括与内容有关的途径。允许动态定义或重新定义访问控制策略。如果授予了对分区的访问权限,则将继承对其组件分区的访问权限另一方面,对某些特定区域的访问只能授予特定角色,覆盖继承的访问。货物港口码头中的区域的示例可以是集装箱停放的存储区区域,一些限制可以包括仅访问穿梭卡车和分配的拖运司机及其卡车,并且仅在特定的日期和时间。一些容器可能●●●●●●●●●●●E.B. Fernandez,V.M. 罗梅罗物联网和网络物理系统2(2022)120129进一步限制。3.1.3.5. 结构 图图9示出了货物港口码头的功能单元:港口、码头、起重机和仓库。存储现在分为ImportStorage和E X portStorage; Zone、Building、ContainerZone和CraneZone代表端口区域。Port和uay具有通常的含义。起重机代表了码头和仓库中所有类型的起重机,用于停放集装箱的不同区域。区域表示所有区域的抽象共同特征;例如,CraneZone表示起重机正在操作的区域,ContainerZone是用于存储集装箱的区域对区域的每次访问都由安全日志记录器/审计器模式记录,并由身份验证器进行身份验证引用监视器强制执行每个区域的授权规则警报与每个区域相关联角色CraneOperator、CraneManager、CraneManager、Employee分别与其相应的功能单元Crane、Storage和Port相关联;其他角色也类似请注意,这些是货物港口中所有可能角色的子集基于角色的访问控制(RBAC)模式有三个实例。引用监视器强制使用角色权限[16]。每个角色都被赋予一组权限Right,描述他们对物理单元的访问。这些权限可能具有由内容相关访问控制规则定义的附加约束。3.1.3.6. 动力学 图图10是一个UML序列图,描述了从角色到区域的请求访问用例的动态方面,其中每个场景步骤对应于图中的交互。其他用例包括:从角色到区域分配受控访问,从角色到区域删除受控访问,以及将其扩展为区域。3.1.3.6.1.用例请求从角色到区域的访问权限。摘要:特定职能或角色中的个人请求访问区域。演员:人。前提条件:参考监视器具有定义角色物理访问的规则,并且每个区域存储身份验证信息。产品描述:1. Person通过指示其ID来请求访问区域2. 区域验证人员3. 如果成功,则区域检查访问此区域的人员的授权4. 它还检查任何约束。5. “区”打开门,让“人”进入。6. 该人被通知可以进入,包括特定的限制(时间限制,禁止的行为等)。7. 区域写入日志(安全记录器/审计器的一部分),指示人员已进入。后置条件:允许给定角色的人员访问货物港口码头物理结构中的3.1.3.7. 已知用途。沙特阿拉伯的达曼、阿曼的苏哈尔、荷兰的阿姆斯特丹和鹿特丹以及巴士拉的港口都部署了远程控制的龙门起重机,
我的内容管理
展开
