霧化零信任組件的5G 電力失陷終端威脅檢測(cè)

顧智敏，王梓瑩，郭靜，郭雅娟，馮景瑜

（1.國(guó)網(wǎng)江蘇省電力有限公司電力科學(xué)研究院，南京 211103；2.西安郵電大學(xué) 無(wú)線(xiàn)網(wǎng)絡(luò)安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，西安 710121）

0 概述

5G 技術(shù)在電力行業(yè)的廣泛應(yīng)用解決了散布于各個(gè)區(qū)域的電力終端的孤立性問(wèn)題，使得海量電力終端成功接入網(wǎng)絡(luò)，但電力信息系統(tǒng)的建設(shè)規(guī)模不斷擴(kuò)大，導(dǎo)致其復(fù)雜程度提高，接入網(wǎng)絡(luò)的設(shè)備種類(lèi)和數(shù)量大幅增加，系統(tǒng)提供的服務(wù)和功能呈現(xiàn)多樣化、優(yōu)質(zhì)化和精準(zhǔn)化特性［1］。越來(lái)越多的電力終端暴露在互聯(lián)網(wǎng)中，造成5G 電力物聯(lián)網(wǎng)的安全邊界越來(lái)越模糊，對(duì)傳統(tǒng)以邊界隔離為特征的網(wǎng)絡(luò)安全防御體系提出了嚴(yán)峻的挑戰(zhàn)［2］，如何保證電網(wǎng)安全已成為電力系統(tǒng)迫切需要解決的問(wèn)題［3］。

在5G 環(huán)境下，智能電表、巡檢無(wú)人機(jī)/機(jī)器人、電能計(jì)量器、高清攝像頭、智能有序充電樁等接入電力物聯(lián)網(wǎng)后失去了物理隔離的天然保護(hù)。對(duì)于大部分電力終端，往往其自身的計(jì)算與存儲(chǔ)資源有限，同時(shí)存在安全漏洞，所處的位置與狀態(tài)復(fù)雜多變［4］。因此，攻擊者可以先入侵脆弱的電力終端進(jìn)行遠(yuǎn)程控制，在繞過(guò)強(qiáng)大的邊界網(wǎng)絡(luò)安全防御體系后，以失陷終端作為跳板縱向滲透到5G 電力物聯(lián)網(wǎng)內(nèi)部的主站，通過(guò)用戶(hù)憑證濫用、APT 攻擊、供應(yīng)鏈攻擊等方式構(gòu)成竊取敏感數(shù)據(jù)的失陷終端威脅。

零信任能夠采用最小權(quán)限策略和嚴(yán)格執(zhí)行訪(fǎng)問(wèn)控制策略來(lái)減少惡意訪(fǎng)問(wèn)和攻擊［5］。零信任假設(shè)失陷是不可避免的或已經(jīng)發(fā)生的，采取“永不信任，始終驗(yàn)證”的原則，主要防止敏感數(shù)據(jù)的竊取威脅。為了彌補(bǔ)邊界網(wǎng)絡(luò)安全防御體系的不足，業(yè)界對(duì)零信任的關(guān)注度越來(lái)越高。谷歌、微軟、思科、騰訊、中興、奇安信等國(guó)內(nèi)外知名企業(yè)已經(jīng)陸續(xù)推出了相應(yīng)的解決方案［6］。工業(yè)和信息化部在《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》中，將零信任等網(wǎng)絡(luò)安全新理念首次列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”中。

面對(duì)攻擊者控制失陷終端滲透到5G 電力物聯(lián)網(wǎng)內(nèi)部竊取敏感數(shù)據(jù)的威脅，本文提出一種霧化零信任組件的檢測(cè)方案。采用分布式多點(diǎn)的零信任組件霧化部署，將檢測(cè)失陷終端威脅的壓力分散到各個(gè)霧區(qū)域，并引入策略監(jiān)管器，通過(guò)區(qū)塊鏈輔助數(shù)據(jù)共享方法保障分布式零信任安全架構(gòu)的可用性。構(gòu)建一種突發(fā)信任評(píng)估模型，持續(xù)性地收集終端行為因素以提取突發(fā)因子，從而實(shí)現(xiàn)失陷終端的快速檢測(cè)。對(duì)霧層認(rèn)證信息進(jìn)行簽密，使其安全傳輸?shù)皆茖樱娏υ瓶刂浦行模≒ower Cloud Control Center，P3C）驗(yàn)證認(rèn)證信息的有效性并提供相應(yīng)服務(wù)，從而降低對(duì)抗失陷終端威脅的處理負(fù)載。

1 相關(guān)工作

零信任的理念和相關(guān)技術(shù)正在快速推動(dòng)網(wǎng)絡(luò)安全行業(yè)的發(fā)展和變革，所有的實(shí)名訪(fǎng)問(wèn)場(chǎng)景都可以逐步升級(jí)到零信任網(wǎng)絡(luò)的安全架構(gòu)下［7］。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布的《Zero Trust Network Architecture》標(biāo)準(zhǔn)草案［8］指出，零信任安全架構(gòu)是一種端到端的網(wǎng)絡(luò)/數(shù)據(jù)保護(hù)方法，包括身份、憑證、訪(fǎng)問(wèn)管理、運(yùn)營(yíng)、終端、主機(jī)環(huán)境、互聯(lián)的基礎(chǔ)設(shè)施等多個(gè)方面，其核心由策略引擎（Policy Engine，PE）、策略管理器（Policy Administrator，PA）、策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）等組件構(gòu)成。

在NIST 所提架構(gòu)的基礎(chǔ)上，結(jié)合相關(guān)應(yīng)用場(chǎng)景的零信任安全架構(gòu)研究方案已經(jīng)出現(xiàn)。文獻(xiàn)［9］提出一種基于零信任網(wǎng)絡(luò)的用戶(hù)上下文共享方法，通過(guò)用戶(hù)控制上下文共享機(jī)制來(lái)保護(hù)用戶(hù)隱私。文獻(xiàn)［10］針對(duì)分布式系統(tǒng)建立零信任架構(gòu)，同時(shí)提出一種共識(shí)算法，確保了訪(fǎng)問(wèn)過(guò)程中數(shù)據(jù)的安全性。文獻(xiàn)［11］基于Elastic Stack 構(gòu)建零信任網(wǎng)絡(luò)模型，保密單位可以在保證機(jī)密性的同時(shí)提高工作效率。文獻(xiàn)［12］為5G 智能醫(yī)療平臺(tái)提出一種零信任醫(yī)療安全架構(gòu)，實(shí)現(xiàn)了實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和細(xì)粒度的訪(fǎng)問(wèn)控制。然而，現(xiàn)有零信任安全架構(gòu)研究方案默認(rèn)零信任組件為中心化部署，無(wú)法直接應(yīng)用于海量電力終端接入和分布廣泛的5G 電力物聯(lián)網(wǎng)場(chǎng)景中，在面向海量電力終端的頻繁訪(fǎng)問(wèn)請(qǐng)求認(rèn)證時(shí)容易延遲認(rèn)證時(shí)間，甚至導(dǎo)致中心化的零信任組件單點(diǎn)失效。

在零信任安全架構(gòu)中，信任評(píng)估是發(fā)現(xiàn)失陷終端的關(guān)鍵技術(shù)，是識(shí)別網(wǎng)絡(luò)中異常行為的重要工具［13］。文獻(xiàn)［14］通過(guò)節(jié)點(diǎn)內(nèi)存的內(nèi)在屬性建立信任評(píng)估機(jī)制，保證了無(wú)線(xiàn)傳感網(wǎng)絡(luò)的可信目標(biāo)節(jié)點(diǎn)和源節(jié)點(diǎn)的可信度。文獻(xiàn)［15］使用加權(quán)求和方法獲得具有推薦和反饋的間接信任值，通過(guò)模糊邏輯和貝葉斯推理計(jì)算信任級(jí)別，據(jù)此判斷網(wǎng)絡(luò)節(jié)點(diǎn)的可信度。文獻(xiàn)［16］針對(duì)電力物聯(lián)網(wǎng)環(huán)境提出一種基于模糊的信任評(píng)估機(jī)制，使用貝葉斯和DS 證據(jù)理論計(jì)算電網(wǎng)路由的綜合信任值，確保了電網(wǎng)路由的安全性。文獻(xiàn)［17］基于車(chē)聯(lián)網(wǎng)的感知層提出一種考慮節(jié)點(diǎn)周?chē)h(huán)境因素的信任評(píng)估模型。但是，現(xiàn)有信任評(píng)估模型較少考慮突發(fā)性問(wèn)題，計(jì)算出的信任值滯后于終端行為，難以快速預(yù)警和檢測(cè)行為突發(fā)異常的失陷終端威脅。

2 系統(tǒng)架構(gòu)

5G 技術(shù)在電力行業(yè)的快速普及促使接入網(wǎng)絡(luò)的電力終端數(shù)目眾多且覆蓋范圍較廣［18］，給零信任組件的中心化部署帶來(lái)了巨大挑戰(zhàn)，減緩了零信任在5G 電力物聯(lián)網(wǎng)中的應(yīng)用。因此，需要一種分布式架構(gòu)來(lái)提升失陷終端威脅的檢測(cè)效率，規(guī)避中心化部署的單點(diǎn)失效問(wèn)題。

霧計(jì)算是一種系統(tǒng)性的水平計(jì)算架構(gòu)，其部分計(jì)算、存儲(chǔ)、通信、控制和決策由接近用戶(hù)的邊緣網(wǎng)絡(luò)設(shè)備完成［19］，可以有效緩解云計(jì)算中存在的時(shí)延問(wèn)題，因此，其在智慧城市、智能醫(yī)療、智能電網(wǎng)等對(duì)低時(shí)延需求較高的領(lǐng)域被廣泛應(yīng)用［20］。鑒于此，可以將零信任組件部署于電力終端周?chē)撵F區(qū)域，在“端”“霧”“云”系統(tǒng)架構(gòu)上實(shí)現(xiàn)5G 電力物聯(lián)網(wǎng)場(chǎng)景下的失陷終端威脅檢測(cè)。如圖1 所示，失陷終端威脅檢測(cè)系統(tǒng)架構(gòu)包括端層、霧層和云層。

圖1 失陷終端威脅檢測(cè)系統(tǒng)架構(gòu)Fig.1 Threat detection system architecture of compromised terminals

端層、霧層和云層具體功能如下：

1）端層。接入5G 電力物聯(lián)網(wǎng)“發(fā)、輸、變、配、用”五大環(huán)節(jié)的電力終端構(gòu)成端層。每個(gè)連接互聯(lián)網(wǎng)的電力終端配置零信任代理，負(fù)責(zé)監(jiān)控電力終端的網(wǎng)絡(luò)活動(dòng)和資源訪(fǎng)問(wèn)請(qǐng)求。對(duì)于控制命令篡改、惡意代碼注入等可疑行為，零信任代理監(jiān)控發(fā)現(xiàn)后直接告知零信任網(wǎng)關(guān)（PEP）進(jìn)行攔截；對(duì)于無(wú)法確定可疑情況的資源訪(fǎng)問(wèn)請(qǐng)求，則需要提交給零信任組件。

2）霧層。根據(jù)5G 電力物聯(lián)網(wǎng)的業(yè)務(wù)范圍，可以將霧層劃分為m個(gè)霧計(jì)算區(qū)域，定義為集合Ъ=｛FA1，…，F(xiàn)Ae，…，F(xiàn)Am｝。每個(gè)區(qū)域中分配n個(gè)霧服務(wù)器，定義為集合€=｛SEF1，…，SEFf，…，SEFn｝，主要包括：實(shí)現(xiàn)PR監(jiān)測(cè)職能的1 臺(tái)計(jì)算型霧服務(wù)器和3 臺(tái)存儲(chǔ)型霧服務(wù)器；構(gòu)成PE、PA、PEP 主節(jié)點(diǎn)的3 臺(tái)計(jì)算型霧服務(wù)器，并為每個(gè)主節(jié)點(diǎn)搭配用于次節(jié)點(diǎn)的（n-7）/3 臺(tái)計(jì)算型霧服務(wù)器。主節(jié)點(diǎn)負(fù)責(zé)響應(yīng)零信任代理發(fā)來(lái)的認(rèn)證請(qǐng)求，對(duì)于通過(guò)綜合分析研判出的可疑行為，可直接攔截阻斷，而對(duì)于涉及敏感數(shù)據(jù)訪(fǎng)問(wèn)的請(qǐng)求，需要將授權(quán)結(jié)果提交給云層，方便電力終端接入云層。當(dāng)負(fù)責(zé)某個(gè)零信任組件的主節(jié)點(diǎn)宕機(jī)或癱瘓時(shí)，相關(guān)次節(jié)點(diǎn)立即啟動(dòng)，從而保障零信任組件的監(jiān)控職責(zé)正常運(yùn)行。

3）云層。零信任組件產(chǎn)生的認(rèn)證信息若是明文狀態(tài)，則在傳輸過(guò)程中容易被攻擊者篡改和偽造。因此，系統(tǒng)對(duì)霧層認(rèn)證信息進(jìn)行無(wú)證書(shū)簽密，確保其安全傳輸?shù)皆茖印ｋ娏υ瓶刂浦行腜3C 解簽密認(rèn)證信息，結(jié)合訪(fǎng)問(wèn)權(quán)限進(jìn)行驗(yàn)證：若驗(yàn)證通過(guò)，則返回驗(yàn)證有效性和訪(fǎng)問(wèn)許可給霧層的相關(guān)零信任組件，對(duì)主體提供相應(yīng)的數(shù)據(jù)類(lèi)型；若驗(yàn)證未通過(guò)，則返回驗(yàn)證無(wú)效和訪(fǎng)問(wèn)拒絕消息。

3 方案設(shè)計(jì)

為滿(mǎn)足5G 電力物聯(lián)網(wǎng)場(chǎng)景下海量終端的認(rèn)證和監(jiān)控需求，本文提出一種失陷終端威脅檢測(cè)方案，主要包括霧化零信任組件、突發(fā)性信任評(píng)估和簽密傳輸霧層認(rèn)證信息部分。

3.1 霧化零信任組件

本文系統(tǒng)采用分布式多點(diǎn)方式將零信任組件霧化部署到電力終端周?chē)瑫r(shí)，提出一種宕機(jī)組件應(yīng)急響應(yīng)流程，用于及時(shí)發(fā)現(xiàn)單點(diǎn)失效的零信任組件，此時(shí)立即啟用相關(guān)霧服務(wù)器次節(jié)點(diǎn)，避免一個(gè)零信任組件停止運(yùn)轉(zhuǎn)而導(dǎo)致整個(gè)零信任安全架構(gòu)失效。

3.1.1 分布式多點(diǎn)霧化部署

PEP、PE 和PA 這3 個(gè)零信任組件相互協(xié)作構(gòu)成了零信任安全架構(gòu)的運(yùn)行機(jī)制。霧化部署主要包含5 個(gè)步驟：

1）主體在5G 電力物聯(lián)網(wǎng)內(nèi)部活動(dòng)發(fā)出的數(shù)據(jù)和資源訪(fǎng)問(wèn)請(qǐng)求，都會(huì)被零信任代理打包成認(rèn)證需求上報(bào)給PEP。

2）PEP 通常稱(chēng)為零信任網(wǎng)關(guān)，轉(zhuǎn)發(fā)上報(bào)的認(rèn)證需求給PE。

3）PE 根據(jù)主體的認(rèn)證情況，通過(guò)突發(fā)信任評(píng)估模型計(jì)算其信任值，對(duì)網(wǎng)絡(luò)活動(dòng)和訪(fǎng)問(wèn)請(qǐng)求進(jìn)行認(rèn)證，并將認(rèn)證結(jié)果發(fā)給PA 和PEP。

4）對(duì)于認(rèn)證通過(guò)的主體，PA 生成訪(fǎng)問(wèn)授權(quán)憑據(jù)交給PEP。

5）PEP 將認(rèn)證結(jié)果和授權(quán)憑據(jù)打包簽密后發(fā)送給P3C，若收到P3C 返回的驗(yàn)證有效性和訪(fǎng)問(wèn)許可，則轉(zhuǎn)發(fā)給主體。

為了防止零信任組件的單點(diǎn)失效故障，在霧化部署過(guò)程中，PEP、PE 和PA 這3 個(gè)零信任組件不僅需要分布式多點(diǎn)部署，還要分別部署在不同的霧服務(wù)器上，獨(dú)立運(yùn)行相關(guān)職能，從而降低其宕機(jī)風(fēng)險(xiǎn)，保障零信任安全架構(gòu)的有效性。

本文引入策略監(jiān)管器PR 對(duì)PEP、PE 和PA 這3 個(gè)組件的霧服務(wù)器主節(jié)點(diǎn)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)。PR可以訪(fǎng)問(wèn)和關(guān)聯(lián)分析所有零信任組件的運(yùn)行數(shù)據(jù)，當(dāng)發(fā)現(xiàn)某個(gè)主節(jié)點(diǎn)宕機(jī)時(shí)，在相關(guān)霧服務(wù)器次節(jié)點(diǎn)集合中選取新的主節(jié)點(diǎn)繼續(xù)工作。

在一個(gè)霧計(jì)算區(qū)域內(nèi)，定義零信任組件節(jié)點(diǎn)集合為Γ=｛ZCPEP，ZCPE，ZCPA｝。圖2 所示為平等隨機(jī)選取算法的執(zhí)行過(guò)程。

圖2 平等隨機(jī)選取算法流程Fig.2 Procedure of equal random selection algorithm

平等隨機(jī)選取算法執(zhí)行步驟具體如下：

步驟1初始時(shí)刻，PR 為3 個(gè)零信任組件分配含有g(shù)個(gè)不重復(fù)整數(shù)的隨機(jī)數(shù)集合R1、R2和R3，集合R1中的隨機(jī)數(shù)分別一對(duì)一匹配給PEP 組件的g個(gè)霧服務(wù)器。

步驟2按隨機(jī)數(shù)大小排列，形成PEP 組件集合ZCPEP=｛PEP1，…，PEPb，…，PEPg｝，其中，PEP1為初始PEP主節(jié)點(diǎn)，其余為處于依次待命狀態(tài)的g-1個(gè)PEP次節(jié)點(diǎn)。按類(lèi)似方式，可得到PE組件集合ZCPE=｛PE1，…，PEb，…，PEg｝和PA 組件集合ZCPA=｛PA1，…，PAb，…，PAg｝。

步驟3PR 監(jiān)測(cè)到某個(gè)組件主節(jié)點(diǎn)（比如PEP1）宕機(jī)時(shí)，向排在其后的PEP2發(fā)出上線(xiàn)通告。PEP2屬于優(yōu)先待命的次節(jié)點(diǎn)，一直等待來(lái)自PR 的上線(xiàn)通告，同時(shí)實(shí)時(shí)關(guān)注PEP1的運(yùn)行狀況。若PEP2在上線(xiàn)通告來(lái)臨之前發(fā)現(xiàn)PEP1即將宕機(jī)，應(yīng)及時(shí)向PR 申請(qǐng)正式上線(xiàn)通告。

步驟4處于優(yōu)先待命狀態(tài)的次節(jié)點(diǎn)（比如PEP2）接到上線(xiàn)通告后成為新的主節(jié)點(diǎn)，并向其后的PEP3發(fā)送優(yōu)先待命指令，接替PEP2的位置。

步驟5PR 向霧區(qū)域內(nèi)所有電力終端的零信任代理廣播PEP2上位消息，后續(xù)的認(rèn)證需求將發(fā)給PEP2。

步驟6PEP1重新恢復(fù)后排入集合ZCPEP，成為最后一個(gè)PEP 次節(jié)點(diǎn)。

3.1.2 零信任組件宕機(jī)應(yīng)急響應(yīng)

針對(duì)零信任的全網(wǎng)監(jiān)控職責(zé)，攻擊者控制一些失陷終端產(chǎn)生大量的正常數(shù)據(jù)包，經(jīng)由零信任代理自動(dòng)流向零信任組件。攻擊者沒(méi)有在這些數(shù)據(jù)包中注入任何攻擊代碼和指令，主要目的是致癱零信任引擎。維持零信任安全架構(gòu)的各組件都被分別部署在不同的霧服務(wù)器上，如果其中一臺(tái)宕機(jī)，零信任安全架構(gòu)就會(huì)失效，無(wú)法對(duì)電力終端的網(wǎng)絡(luò)活動(dòng)行為進(jìn)行監(jiān)控，從而給予失陷終端潛在的竊取敏感數(shù)據(jù)的機(jī)會(huì)。

對(duì)于分布式多點(diǎn)部署，為確保次節(jié)點(diǎn)上線(xiàn)后能快速進(jìn)入工作狀態(tài)，通過(guò)區(qū)塊鏈輔助方法，在零信任組件的主節(jié)點(diǎn)和次節(jié)點(diǎn)之間實(shí)現(xiàn)運(yùn)行數(shù)據(jù)共享。區(qū)塊鏈?zhǔn)切滦托畔⒒A(chǔ)設(shè)施的重要支撐技術(shù)，在電力系統(tǒng)中被廣泛應(yīng)用［21］。

如圖3 所示，對(duì)PE、PA、PEP 生成3 種類(lèi)型的區(qū)塊鏈，分別為Per-blockchain、Par-blockchain 和Peprblockchain，它們都具有聯(lián)盟區(qū)塊鏈去中心化、可追溯、防篡改和預(yù)定共識(shí)節(jié)點(diǎn)的特點(diǎn)。Per-blockchain由PR 和集合ZCPEP中的所有節(jié)點(diǎn)共同維護(hù)。PEP 主節(jié)點(diǎn)充當(dāng)Per-blockchain 共識(shí)頭的角色，將其固定時(shí)間內(nèi)新產(chǎn)生的運(yùn)行數(shù)據(jù)創(chuàng)建成一個(gè)新區(qū)塊，廣播給PR 和其余次節(jié)點(diǎn)。按類(lèi)似方式，可得到Parblockchain 和Pepr-blockchain 的共同維護(hù)和區(qū)塊產(chǎn)生機(jī)制。進(jìn)一步地，為保障PR 的正常運(yùn)轉(zhuǎn)，PR 除了由1 臺(tái)計(jì)算型霧服務(wù)器和3 臺(tái)存儲(chǔ)型霧服務(wù)器構(gòu)成外，只負(fù)責(zé)監(jiān)測(cè)PE、PA 和PEP 這3 個(gè)組件的主節(jié)點(diǎn)運(yùn)行數(shù)據(jù)，不接收和處理來(lái)自其他用戶(hù)、設(shè)備、終端的任何交互和通信數(shù)據(jù)，具有更好的抗宕機(jī)性。

圖3 策略監(jiān)管器的可視化架構(gòu)Fig.3 Visual architecture of the policy regulator

區(qū)塊鏈可以在弱信任或無(wú)信任網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)共享［22］。結(jié)合區(qū)塊鏈輔助的零信任組件運(yùn)行數(shù)據(jù)共享方法，PR 可以發(fā)現(xiàn)被攻擊者致癱的宕機(jī)組件。如圖4 所示，一旦出現(xiàn)宕機(jī)組件，應(yīng)急響應(yīng)流程如下：

圖4 宕機(jī)組件應(yīng)急響應(yīng)流程Fig.4 Emergency response procedure of downed component

1）當(dāng)PEP 接收到電力終端發(fā)起的訪(fǎng)問(wèn)請(qǐng)求時(shí)，同步觸發(fā)PR 的實(shí)時(shí)監(jiān)視。

2）PEP 將綜合評(píng)價(jià)因素發(fā)送給PE，同時(shí)向PR 提交一份綜合評(píng)價(jià)因素的副本。

3）PE 的授權(quán)結(jié)果通過(guò)Per-blockchain 共享給PR，如果PR 發(fā)現(xiàn)授權(quán)結(jié)果錯(cuò)誤，則PE 可能是失陷組件。

4）PA 生成的授權(quán)憑證通過(guò)Par-blockchain 共享給PR，如果PR 發(fā)現(xiàn)授權(quán)憑證與授權(quán)結(jié)果不匹配，則PA 可能是宕機(jī)組件。

5）PEP 的訪(fǎng)問(wèn)決策通過(guò)Pepr-blockchain 共享給PR，如果PR 發(fā)現(xiàn)訪(fǎng)問(wèn)決策不是由授權(quán)憑證所做出，則PEP 可能是宕機(jī)組件。

6）當(dāng)PR 發(fā)現(xiàn)某個(gè)組件發(fā)生宕機(jī)，立即通告相關(guān)組件的優(yōu)先待命次節(jié)點(diǎn)進(jìn)行替換。

3.2 突發(fā)信任評(píng)估

信任評(píng)估是零信任網(wǎng)絡(luò)的核心部分，維護(hù)整個(gè)零信任網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)［23］。檢測(cè)失陷終端威脅的關(guān)鍵在于信任評(píng)估需要快速捕捉到突發(fā)行為，并量化反映到信任值。在5G 電力物聯(lián)網(wǎng)中，結(jié)合零信任組件的霧化部署，本文建立一種突發(fā)信任評(píng)估模型，以快速發(fā)現(xiàn)具有突發(fā)異常行為的失陷終端。

定義霧區(qū)域FAe內(nèi)的電力終端集合?=｛PT1，…，PTk，…，PTp｝。終端行為因素是信任評(píng)估模型的數(shù)據(jù)輸入來(lái)源，充分利用零信任代理監(jiān)測(cè)霧區(qū)域FAe內(nèi)電力終端的行為，持續(xù)性地收集終端行為因素，將其提交給所屬霧區(qū)域的Per-blockchain 鏈上存儲(chǔ)。

以PTk為例，終端行為因素集合，。當(dāng)電力終端PTk通過(guò)認(rèn)證，則視為連接成功，加1；否則，連接失敗，加1。為提取出的突發(fā)因子。若零信任代理監(jiān)測(cè)出現(xiàn)惡意提權(quán)、橫向越權(quán)、縱向越權(quán)等行為時(shí)，設(shè)置=1。在零信任組件中，PE 調(diào)用Per-blockchain 鏈上的￡，從而計(jì)算電力終端的信任值。

貝葉斯信任具有簡(jiǎn)潔有效的特點(diǎn)，是目前主流的信任評(píng)估方案之一。貝葉斯分布概率密度函數(shù)Beta（α，β）［24］如下：

其中：τ表示電力終端行為的可能性，0<τ<1，α>0，β>0。

在5G 電力物聯(lián)網(wǎng)中，使用和計(jì)算信任值。當(dāng)PTk連接 成功，α=+1；否則，β=+1。PTk的信任值計(jì)算公式為：

顯然，α和β都為正整數(shù)，因此，根據(jù)Beta 分布函數(shù)的期望值，進(jìn)一步得到PTk的信任值計(jì)算公式為：

屬于靜態(tài)評(píng)估方式，存在一定的滯后性，難以及時(shí)反映失陷終端的突發(fā)異常行為。當(dāng)電力終端PTk失陷后，攻擊者可以控制失陷終端竊取敏感數(shù)據(jù)。因此，本文引入突發(fā)因子進(jìn)一步優(yōu)化信任值計(jì)算，及時(shí)實(shí)現(xiàn)突發(fā)的信任評(píng)估。當(dāng)=1時(shí)，PTk的突發(fā)信任值計(jì)算公式為：

顯然，和都在［0，1］區(qū)間范圍內(nèi)，門(mén)限值σ可以取為一個(gè)中間值0.5。根據(jù)式（4），當(dāng)出現(xiàn)=1時(shí)，會(huì)迅速衰減其信任值到門(mén)限值以下。

根據(jù)門(mén)限值σ，可以給出關(guān)于PTk的認(rèn)證結(jié)果。當(dāng)≥σ時(shí)，=1，表示認(rèn)證通過(guò)；當(dāng)<σ時(shí)，=0，表示認(rèn)證不通過(guò)。最后，PE將發(fā)送給PA 和PEP。

3.3 無(wú)證書(shū)簽密霧層認(rèn)證信息

若=0，則PEP 快速認(rèn)定PTk為失陷終端，攔截其訪(fǎng)問(wèn)請(qǐng)求；若=1，PA 則生成訪(fǎng)問(wèn)授權(quán)憑據(jù)并發(fā)送給PEP。PEP 打包霧層認(rèn)證信息mk=｛PTk，，｝，傳輸?shù)皆茖拥腜3C。為防止霧層認(rèn)證信息在傳輸過(guò)程中被篡改和偽造，對(duì)mk進(jìn)行無(wú)證書(shū)簽密，以保障mk的安全性。無(wú)證書(shū)簽密過(guò)程如圖5 所示。

圖5 霧層認(rèn)證信息的簽密過(guò)程Fig.5 Signcryption process of fog layer authentication information

無(wú)證書(shū)簽密具體由以下4 個(gè)步驟組成：

1）初始化

2）用戶(hù)密鑰生成

3）簽密

計(jì)算出P3C 的完整公鑰PKP3C=（KP3C，LP3C），完整私鑰SKP3C=（kP3C，YP3C）。PEP 發(fā)送消息mk給P3C 時(shí)的簽密過(guò)程如下：

PEP 生成簽密后的密文δk=（RPEP，ck，sigPEP）并發(fā)送給P3C。

4）解簽密

P3C 在收到簽密消息δk后，使用相應(yīng)的私鑰SKP3C和PEP 的公鑰PKPEP進(jìn)行解簽密，過(guò)程如下：

通過(guò)第3 步恢復(fù)明文mk。如果第4 步成立，則簽名有效，接收mk；否則，拒絕接收mk。

對(duì)上述簽密方案進(jìn)行正確性分析，如下：

1）驗(yàn)證消息的真實(shí)性。由式（5）可知W′=W，因此，可以正確解密出明文mk||IDPEP=ck⊕H2（W′）。

2）驗(yàn)證簽名的正確性，驗(yàn)證過(guò)程為：

在本文簽密方案中，PEP 和P3C 的密鑰由自身及KGC 共同生成。PEP 通過(guò)計(jì)算進(jìn)行簽名，P3C 通過(guò)計(jì)算mk=（ck||IDPEP）⊕H2（RPEP·（YP3C+kP3C））解密密文。假設(shè)攻擊者成功獲取PEP 或P3C 的身份信息，但是計(jì)算其私鑰屬于橢圓曲線(xiàn)離散對(duì)數(shù)困難問(wèn)題，因此，本文方案可以抵抗霧層認(rèn)證信息的篡改和造假攻擊。

4 仿真分析

4.1 仿真環(huán)境設(shè)置

本文使用Python3.9 搭建仿真環(huán)境，對(duì)檢測(cè)方案進(jìn)行實(shí)驗(yàn)分析，驗(yàn)證失陷終端威脅的抑制效果。仿真環(huán)境參數(shù)設(shè)置如表1 所示。

表1 仿真環(huán)境參數(shù)設(shè)置 Table 1 Simulation environment parameters setting

4.2 仿真結(jié)果分析

本文方案將零信任賦予的認(rèn)證和全網(wǎng)監(jiān)控職責(zé)下沉到5G 電力物聯(lián)網(wǎng)邊緣，對(duì)零信任組件進(jìn)行霧化部署。在仿真中，首先對(duì)比分析中心化和霧化部署后零信任組件的處理負(fù)載。如圖6 所示，隨著訪(fǎng)問(wèn)請(qǐng)求的不斷增加，中心化部署所面臨的處理負(fù)載呈線(xiàn)性增長(zhǎng)趨勢(shì)，霧化部署則會(huì)分解掉這些處理負(fù)載。當(dāng)霧區(qū)域數(shù)量F=10時(shí)，每個(gè)霧區(qū)域承擔(dān)的處理負(fù)載明顯降低。特別地，隨著霧區(qū)域劃分?jǐn)?shù)量的增加，分?jǐn)偟矫總€(gè)霧區(qū)域的處理負(fù)載降低。

圖6 處理負(fù)載對(duì)比Fig.6 Processing load comparison

設(shè)置霧區(qū)域數(shù)量為10，采用循環(huán)仿真的方法進(jìn)行100 輪仿真，通過(guò)3 組仿真實(shí)驗(yàn)觀察本文方案對(duì)抗失陷終端威脅的效果。

在本文方案中，信任值可用于快速識(shí)別失陷終端。第一組仿真實(shí)驗(yàn)中隨機(jī)選擇一個(gè)失陷終端，觀察其信任值變化情況，并與貝葉斯方案［25］進(jìn)行對(duì)比。假設(shè)該終端在前35 輪未失陷，從第36 輪開(kāi)始被攻擊者控制而失陷。如圖7 所示，在前35輪，該終端在2 種方案下的信任值都不斷增加，從第36 輪開(kāi)始，該終端出現(xiàn)突發(fā)異常行為，在貝葉斯方案下信任值緩慢衰減，而在本文方案中極速衰減。貝葉斯方案未在信任值計(jì)算中考慮對(duì)突發(fā)異常行為的量化，難以迅速衰減信任值，本文方案充分借助零信任代理的監(jiān)測(cè)功能，當(dāng)發(fā)現(xiàn)=1時(shí)，觸發(fā)突發(fā)信任值計(jì)算，在圖7中，直觀表現(xiàn)為信任值在第36 輪極速衰落到門(mén)限值以下。

圖7 失陷終端的信任值變化情況Fig.7 Changes of trust values of compromised terminal

本文方案的主要設(shè)計(jì)目的在于檢測(cè)失陷終端。在第二組仿真實(shí)驗(yàn)中，深入到一個(gè)霧區(qū)域，觀察失陷終端的檢測(cè)率情況。以其中一個(gè)霧區(qū)域FAm為例，電力終端數(shù)量為300，失陷電力終端比例為20%，設(shè)置失陷終端從第36 輪開(kāi)始統(tǒng)一出現(xiàn)突發(fā)異常行為。如圖8 所示，貝葉斯方案難以檢測(cè)出失陷終端，本文方案引入突發(fā)信任評(píng)估機(jī)制，具有快速的失陷終端檢測(cè)效率，在第36 輪有效檢測(cè)出92.3%的失陷終端，到第39 輪則檢測(cè)出了所有的失陷終端。

圖8 失陷終端檢測(cè)率Fig.8 Compromised terminals detection rate

阻斷敏感數(shù)據(jù)的竊取威脅表現(xiàn)為限制失陷終端的非法訪(fǎng)問(wèn)次數(shù)。第三組仿真實(shí)驗(yàn)延續(xù)上一組仿真參數(shù)，進(jìn)一步觀察本文方案抑制失陷終端發(fā)出的非法訪(fǎng)問(wèn)次數(shù)的效果。如圖9 所示，貝葉斯方案難以抑制該霧區(qū)域產(chǎn)生的非法訪(fǎng)問(wèn)次數(shù)，而本文方案能及時(shí)發(fā)現(xiàn)失陷終端，迅速將非法訪(fǎng)問(wèn)次數(shù)降至零。

圖9 非法訪(fǎng)問(wèn)次數(shù)的抑制情況Fig.9 Suppression of the number of illegal access

5 結(jié)束語(yǔ)

在5G 電力物聯(lián)網(wǎng)環(huán)境下，越來(lái)越多的電力終端暴露在互聯(lián)網(wǎng)中，提高了攻擊者控制失陷終端從而縱向滲透的可能，因此，需要更加有效的數(shù)據(jù)安全保障機(jī)制。為滿(mǎn)足海量電力終端接入網(wǎng)絡(luò)的敏感數(shù)據(jù)保護(hù)需求，本文提出一種霧化零信任組件的失陷終端威脅檢測(cè)方案。通過(guò)分布式多點(diǎn)方式對(duì)圍繞密集的電力終端進(jìn)行零信任組件霧化部署，并設(shè)計(jì)一種宕機(jī)組件的應(yīng)急響應(yīng)流程。建立突發(fā)信任評(píng)估模型，快速檢測(cè)出具有突發(fā)異常行為的失陷終端，同時(shí)采用簽密方案保障霧層認(rèn)證信息傳輸過(guò)程的安全性。仿真結(jié)果表明，霧化部署能夠分?jǐn)傊行幕Ｊ较铝阈湃谓M件的處理負(fù)載，該方案可以有效檢測(cè)失陷終端威脅。下一步將結(jié)合深度學(xué)習(xí)算法，建立基于卷積神經(jīng)網(wǎng)絡(luò)的動(dòng)態(tài)信任評(píng)估模型，以實(shí)現(xiàn)更優(yōu)的失陷終端抑制效果。