电力物联网零信任架构下的分布式认证模型.pdf

1、学术论文DOl:10.12379/j.issn.2096-1057.2024.01.11ResearchPapers电力物联网零信任架构下的分布式认证模型唐大圆曹翔林青胡绍谦汤震宇（南京南瑞继保电气有限公司()Distributed Authentication Model Under Power IoT Zero Trust Architecture南京2 1110 2)Tang Dayuan,Cao Xiang,Lin Qing,Hu Shaoqian,and Tang Zhenyu(NR Electric Co.,Ltd.,Nanjing 21l102)Abstract Addressi

2、ng the new network security challenges brought to the power system by thechanging trend of a large number of distributed heterogeneous terminals such as unlimited publicnetwork access,new power interactive services,and new information technology application in thepower system.This paper proposes a d

3、istributed authentication model based on the zero trustsecurity architecture,giving full play to the advantages of zero trust security concept andtechnology under the overall security architecture of the power Internet of Things(IoT).Themodel integrates the trusted root of trust technology provided

4、by the trusted computing module ofthe power terminal hardware.It also expands and extends the active security protection capabilitiesof power intelligent terminals and accesses networks to meet new cybersecurity challenges faced byintelligent grids.The distributed authentication model proposed in th

5、is paper sinks the dynamictrust evaluation and southbound terminal authentication module in the zero trust securityarchitecture to the edge intelligent device,and subdivides and expands the trust and access controlbased on the trusted root provided by the terminal trusted module,and gives full play

6、to thespecific advantages of zero trust security concept and technology in terminal security access,security monitoring,and fine-grained business protection on the basis of compatibility with theexisting power IoT authentication model,so as to improve the overall network security protectioncapabilit

7、y of the power IoT system.Key words power IoT;zero trust;trust computing;distributed authentication;SDP摘要针对智能电网大量分布式异构终端无限公网接入、新型电力交互业务、新信息技术应用在电力系统等行业发展趋势给电力系统带来的新型网络安全挑战，基于零信任安全架构，提出一种分布式认证模型，在电力物联网整体安全架构下，充分发挥零信任安全理念和技术的优势，结合电力终端硬件可信计算模块提供的可信信任根技术，拓展和延伸电力智能终端和接入网络的主动安全防护能力，以应对智能电网所面临的新型网络安全挑战.该模型

8、将零信任安全架构中的动态信任评估收稿日期：2 0 2 3-0 5-17基金项目：国家重点研发计划项目（2 0 2 1YFB2401002）引用格式：唐大圆，曹翔，林青，等.电力物联网零信任架构下的分布式认证模型J.信息安全研究，2 0 2 4，10（1）：6 7-7 4网址http:/wwW167信息安全研究第10 卷第1期2 0 2 4年1月Journalot Informatien Security ResearchVol.10No.1Jan.2024和南向终端认证模块下沉到边缘智能设备，以终端可信模块提供的信任根为基础，进行信任和访问控制的细分及扩展，在兼容现有电力物联网认证模型基础上，

9、充分发挥零信任安全理念和技术在终端安全接入、安全监控、业务细粒度防护方面的具体优势，提升电力物联网系统整体网络安全防护能力.关键词电力物联网；零信任；可信计算；分布式认证；软件定义边界中图法分类号TP309.1近年来，随着经济社会发展对新型电力业务的需求，电网越来越智能化.智能电网的建设适应了发电多样化、用电多元化的服务需求，同时电力业务走向开放也给电力系统的网络安全防护提出了新的挑战.当前电力系统的网络安全防护秉承“安全分区、网络专用、横向隔离、纵向认证”的总方针，以“纵向防御十边界防御”为主的安全防御体系，在配用电力终端和边缘侧电力设备安全防护上难以全面覆盖.一方面，“大云物移智链边”新技

10、术促进了智能电网与物联网、互联网的深度融合，也在一定程度上模糊了网络边界；另一方面，分布式新能源业务的发展，海量异构智能化终端的接人，增加了终端信息泄露、非法接人、失陷控制的风险.相较于硬件芯片身份的物联终端安全接人模型，本文零信任认证模型采用软件数字身份和持续监测的方式实现终端接入认证，降低了对终端设备的侵人改造.相对于外置加密认证装置方案，内置于终端设备的认证模型能基于访问控制防御来自开放网络的攻击行为，提升设备内生安全能力。本文提出的电力物联网零信任架构下的分布式认证模型，采用零信任安全理念和安全技术，对认证模型进行动态扩展，屏蔽了异构终端在接人能力上的差异,形成向上统一、向下兼容的分布

11、式认证模型.无论边缘设备还是异构物联终端均可实现安全接人和持续信任监测，将网络安全防护框架延伸到边缘侧和感知层设备，提升了电力物联网整体安全防护能力.1相关研究随着电力物联网面临的网络安全威胁越来越广泛、越来越严峻，国内外针对电力物联网面临的新型网络安全挑战的研究也逐渐增多.近些年新能681源业务快速发展，越来越多新能源企业和用户的智能电力终端通过无线公共网络接人电力系统，使得原先相对清晰的电力系统网络边界逐渐模糊，电力系统的网络安全防护也从主站、子站机房延伸到用户侧终端设备.为应对电力系统边界逐渐模糊的问题，文献 1-2 提出了一种基于零信任的安全防护框架，通过零信任安全思想和安全技术重新定

12、义网络安全防护边界.此外，智能终端设备通过无线公网接入必然导致这些终端直接面临来自于开发网络的攻击威胁，相对于传统电力专网，这些威胁呈爆发式增长，部分智能终端遭受网络攻击失陷而被控制的情况已无法避免，为降低因终端失陷导致的大面积电力系统异常风险，文献 3 提出了一种电力物联网场景下对抗失陷终端威胁的边缘信任模型，采用零信任引擎的分布式部署和基于区块链的信任评估模型，以达到对失陷终端威胁的抑制效果.文献 4-6 分别探讨了物联网终端设备身份识别和认证方法，在众多异构物联网终端设备中，基于终端设备软硬件特点，建立终端设备的认证模型，以达到安全与业务、功能与性能的平衡.文献 7-9 介绍了零信任安全

13、架构下终端设备的动态信任评估模型，通过持续信任评估发现电力终端设备运行状态下的网络安全风险。2享零信任身份认证机制零信任架构(zero trust architecture，ZT A)建立在传统网络边界信任体系逐渐失效的背景下，提倡打破单一网络边界的概念，对用户、设备和应用进行全面、动态的访问控制.通过身份识别与访问管理(identity and access management，IA M)构建统一的权限管理平台，通过定义并管理设备或用户的唯一身份，确保合适的身份在合适的时间获得合适的访问权限；使用软件定义边界（soft-学术论文.ResearchPaperswaredefineperime

14、ter，SD P）架构重构业务安全访问边界，基于5层安全访问控制（单包认证、双向传输层安全、设备认证、动态防火墙、应用绑定），提供多层次细粒度的网络安全边界防护能力.电力物联网应用场景下，大量分布式异构终端通过无线公共网络接人电网，这些设备没有统一的身份标识，也不具备唯一的生物特征，很难建立统一的身份管理平台和实现设备间的身份认证.当前，电力物联网中设备和终端安全接人通常是采用导人或内置数字证书的方式为设备提供统一的身份，进而实现安全接入时的身份认证和通信加解密.然而这些数字身份证书无法覆盖所有的感知层设备，同时基于数字证书的身份认证只能解决终端设备接人时的设备身份可信问题，对于业务逻辑漏洞、

15、设备安全状态、业务隔离等安全问题没有很好的解决方案.因此本文基于零信任安全架构，结合电力物联网“云管边端”安全分层防护特点和可信计算技术，提出采用灵活的分布式认证架构，将电力物联网场景下的设备身份认证进行分层设计，既能集中管理又易于扩展.3分布式认证模型为解决电力物联网场景下边缘设备和感知终端的身份认证问题，基于电力物联网使用数字证书进行身份认证的基本要求，本文提出一种分布式认证架构，将身份认证进行时间上的动态扩展和设备类型上的横向扩展，形成包括3个层次的分布式认证架构，如图1所示：安全接入网关安全接入认证边缘设备本地认证器本地设备认证南向终端认证感知终端图1分布式认证分层架构在图1所示的分布

16、式认证方案中，将电力物联网场景下对边缘设备和终端设备的接入认证功能拆分成由3层认证组合的分布式认证架构，包括安全接入认证、本地设备认证、南向终端认证.其中安全接入认证沿用电力物联网数字证书方式进行身份认证，由安全接入区的接人网关认证边缘代理的本地认证器，本地设备认证是边缘设备上身份认证的动态扩展，由本地认证器持续认证边缘代理设备，物联终端认证是边缘设备上对南向终端的认证类型扩展，由本地认证器认证南向感知终端设备.电力物联网采用“云管边端”业务接人和安全防护架构，“云”是指物联管理平台及上层应用；“管”指网络接入，对应安全接人区“边”是指边缘物联代理设备；“端”则是指感知层传感设备.本文的分布式

17、认证架构则对应其中的网络防护和终端防护，如图2 所示.3.1安全接入认证安全接人认证是由安全接人区的零信任控制器对边缘设备中的本地认证器进行认证，边缘设备中的本地认证器应具备零信任控制器可识别、可信赖的身份信息，通常是由公钥基础设施（pub-lickeyinfrastructure，PK I)颁发的数字证书身份信息，数字证书的颁发过程不在本文所讨论范围内.本地认证器的安全接入认证过程基于零信任SPA单包认证流程，如图3所示.边缘设备在发起安全接人认证之前，先由本地认证器完成设备本地认证，本地设备认证通过后，通知SPA客户端模块发起SPA认证流程：1）本地认证器将接人认证请求发送给SPA客户端，

18、携带LaID,LaTr,其中LaID是本地认证器的身份标识（数字证书）,LaTr是本地设备认证时的信任列表；2）SPA 客户端通过UDP协议将认证请求发送给零信任控制器，携带 Enc(LalD,LaTr）,Pu b _ctrl),LaSign,其中 Enc(LalD,LaTr),Pub_ctrl)设备身份是使用控制器的公钥 Pub_ctrl 对(LaID,LaTr)进行加密后的信息，LaSign是本地认证器证书私钥对 Enc(LaID,LaTr),Pub_ctrl)的签名;3）零信任控制器接收到SPA认证请求消息后，使用私钥进行解密，获得LaID,使用LaID对应的公钥Pub_Laid对LaS

19、ign进行签名验证；4）零信任控制器SPA请求认证成功后，通知网址http:/169信息安全研究第10 卷第1期2 0 2 4年1月Journal of Information Security BesearchVol.10No.1Jan.2024网络防护业务应用PKI基础设施安全检测平台安全接入区安全接入认证边缘代理本地南向认证结果SPA客户端设备终端认证认证本地认证器证书管理本体可信南向信任安全计算监测评估信任列表边缘设备安全监测防护软件硬件安全芯片（可选）HDLP串口感知终端感知终端图2 电力物联网终端接人认证架构本地认证器边缘设备SPA客户端完成本地设备认证发送接入认证请求LalD,L

20、aTr更新本地信任列表更新本地访问控制策略平台防护采集前置服务器物联管理平台信息网络安全隔离装置动态信任评估零信任接入网关零信任控制器零信任客户端代理配电专业应用应用个蓝牙有限网络感知终端感知终端零信任接入网关零信任控制器认证鉴权流程（同）发送SPA认证请求（UDP)Enc(LalD,LaTr),LaSign更新信任列表和访问控制策略请求访问拒绝认证通过双向访问控制策略更新信任列表和访问控制策略请求返回最新信任列表和访问控制策略终端防护其他应用容器应用内网应用服务单包授权认证双向授权访问图3安全接人认证流程零信任接入网关开放零信任控制器的策略更新访问端口Port_pu;5）SPA 客户端尝试访

21、问零信任控制器策略更新端口Port_pu;7016）零信任控制器接收到策略更新请求后返回最新访问控制策略和信任列表；7）SPA 客户端向本地认证器更新信任列表，用于边缘设备本地身份的认证。学术论文.ResearchPapers3.2本地设备认证本地设备认证是指本地认证器对边缘智能终端设备进行身份认证.边缘智能终端设备的身份信息不是永恒不变的，随着地理位置、网络环境、信任等级、设备硬件替换、设备归属等众多自身或外界因素发生变化而发生变化.电力边缘智能终端北向通过无线专网或公共网络接人调度网络或其他电力业务聚合商，南向通过本地网络管理感知层终端设备，其设备本身直接面临来自公共网络的安全威胁，而缺少

22、专业网络安全边界设备的防护，是电力物联网安全防护中的薄弱点和重要环节.通过对智能终端设备进行威胁建模分析，发现其存在的安全风险，如图4所示：远程网络攻击无线专网边缘智能终端数据库文件系统系统内核CVE漏洞系统进程Rootkit后门本地网络攻击无线公网内网渗透入侵点APN+VPNVPN业务漏洞入侵点2业务容器业务容器容器安全边界数据泄露内核转发逃逸串口()命令算改网口()图4智能终端威胁模型通过分析发现，边缘智能终端主要面临的威胁来自于远程网络攻击，远程攻击发生后，可以穿过设备内部的安全边界向系统内核渗透，甚至通过电力业务逻辑漏洞向调度主站或聚合商内网渗透.本地认证器基于信任列表和信任策略对边缘

23、智能设备持续进行动态信任评估.动态信任评估综合考虑影响智能终端安全的多方面因素，如网络接入环境、终端异常行为、终端数字身份等.电力业务连接一旦建立，往往会长时间保持连接状态，传统方式是在连接建立时进行身份认证，在后续的业务交互时无法识别终端实时安全状态，可能导致业务漏洞被终端上的非法程序利用，而动态信任评估是持续进行的，能及时发现智能终端上的异常行为，进而根据评估策略决定是否关闭当前的业务连接.为节省智能终端的网络带宽和减少对零信任网关和控制器的访问请求，认证结果保存在本地认证器中，在本地业务发起SPA请求时（如图3所示)，将本地设备认证结果发送给零信任控制器.3.3百南向终端认证南向物联终端

24、处于电力物联网感知层，通过边缘智能终端汇聚接入，其身份认证由边缘智能终端上的本地认证器完成.物联终端类型和处理能力各异，对终端设备的身份认证难以形成统一的标准，文献 10 分析对比了南向物联终端设备的各种认证协议和认证方法，这些协议和方法各有网址http:/171信息安全研究第10 卷第1期2 0 2 4年1月Journalotinformatien Security ResearchVol.10No.1Jan.2024优缺点.针对电力物联网的终端设备特点，本文采用可扩展的终端认证方案，既支持具备认证能力的接入协议，如Lora、蓝牙等；对于无认证方式接人的终端也能通过被动指纹技术自动发现和识别

25、，并建立设备的指纹身份信息。本地认证器采用的被动指纹识别技术采用多层网络流量特征的识别功能，包括MAC指纹，系统指纹、网络指纹、电力协议指纹识别.其中MAC指纹属于硬件指纹，具有较高的识别度，容易被伪造，实际使用过程中需要配合其他的检测方式共同使用.系统指纹是指通过网络流量分析终端操作系统类型；网络指纹是针对工控协议业务流量比较固定的特点，对某些固定位置网络报文进行时序探测，形成设备或业务指纹；电力协议指纹是在网络指纹基础上增加具体电力网络协议报文特征进行探测，形成“特征十时序”模式，提高设备或业务指纹的准确率.不同被动指纹模型的测试结果如表1所示：表1南向终端被动指纹检测测试结果识别率测试项

26、目系统指纹终端上电过程0.64业务建立过程0.64数据篡改0中间人探0注：1)本次测试采用远动、逆变器、台区终端、交互终端、模拟终端作为南向感知终端接人设备；终端操作系统覆盖无操作系统、通用Linux操作系统、自主可控操作系统、容器；2）本次测试终端的接入协议使用网络Modbus，D L/T 510 4协议；3)CLRT(cross-layer response time).3.4基基于可信计算的信任传递可信计算为智能终端提供了主动免疫防御能力，基于硬件的密码模块和动态度量技术为智能终端关键系统软件提供了完整性保护。本地认证器基于可信计算提供的信任根进行信任扩展，将信任链扩展到SPA代理，再经

27、SPA认证扩展到零信任网络的接入认证.支持可信计算的智能终端上操作系统内核是经过静态度量的，被认为是安全可靠的运行环境，本地认证器可对内核进行扩展，基于内核对本地认证器中的数据（如设备证书私钥和信任列表）进行访问控制，以721实现基于BLP模型的安全访问.具体实施步骤如图5所示：更新信任列表设备认证API接口证书应用（签名/验签）主体可读可写信息设备信任证书私钥列表本地认证器密级：高图5基于BLP模型的安全访问控制实验与分析4.1实验环境本文主要针对边缘智能终端设备通过不同认CLRT电力协议指纹0.760.920.600.920.880.960.800.92获取设备认证结果更新设备证书不可读写

28、证方案的安全性进行测试，采用新能源光伏配电网络搭建本文实验的测试环境，配电终端作为边缘智能终端设备，通过4G网络接入模拟主站.配电终端与主站之间分别采用IPsecVPN、SD P、分布式认证方案进行安全性测试，测试环境如图6所示.在图6 所示的拓扑结构中，边缘智能终端及北向网络为本文测试对象，感知终端和南向网络无关本文测试的实验结果。4.2实验内容根据测试拓扑依次将智能交互终端通过IPsecVPN、SD P、分布式认证方案接入到模拟主站的安全接人区，通过攻击终端模拟ATT&CK模型中的不同阶段战术措施对接入网络和边缘终端设备实施的网络攻击根据电力物联网对终端接入认证和业务数据安全传输的要求，本

29、文实验在攻击战术的选择上侧重于针对设备身份认证、数据泄露和服务可靠性的攻击战术，包括身份验证、启动执行、行为隐藏、中间人攻击、服务扫描、网络数据嗅探、本地数据嗅探,C2 Channels、D D o S攻击.SPA代理证书更新业务应用业务应用设备证书应用程序低学术论文ResearchPapers模拟主站安全接入区纵密网关攻击终端SDP接入网关分布式认证接入网关4G无线网络IPsecVPN方案SDP方案微型纵密SDP客户端智能交互终端(）无线智能交互终端分布式认证方案分布式认证客户端智能交互终端I型RS-485(）无线HPLC图6 本文实验拓扑结构4.3实验结果分析在3种安全接人方案的接人认证和

30、接人后业务运行过程中，分别采用3.2 节选择的攻击战术对边缘智能终端设备或接人网络进行攻击，测试结果如表2 所示：表2 电力物联网安全防护方案测试结果防御方案（是否支持防御或检测）攻击战术IPsecVPNSDP分布式认证（本文）身份验证支持支持启动执行不支持不支持行为隐藏不支持不支持中间人攻击支持支持服务扫描不支持支持网络数据嗅探支持支持本地数据嗅探不支持不支持C2 Channels不支持支持本体 DDoS 攻击/pps100服务DDoS攻击/pps2000注：1)本体DDoS攻击是针对认证架构本身的攻击行为，服务DDoS攻击是针对所保护的内部业务的攻击行为；2)本文测试所选用的攻击战术来自于

31、ATT&CK模型.由表2 可知，分布式认证方案在接入认证和数据安全方面均可提供较好的防护能力.相较于传统VPN认证方案,SDP能提供对服务扫描和非法数据回传通道的阻断；分布式认证方案则在SDP基础上提升了智能终端本地安全防护能力.另外，SDP和分布式认证方案均基于SPA单包认证实现接人终端的认证，在认证流程的DDoS防护上，相较于IPsecVPN方案流程和算法上的资源消耗降低8 0%，而在隧道建立后的业务DDoS防护上，支持性能提升2 5倍,因为IPsecVPN提供的是粗粒度支持的网络层隧道加密方案，业务DDoS攻击防护需支持要在解密报文后由防火墙或服务器处理，而SDP支持和分布式认证方案则是

32、采用mTLS提供细粒度业支持务加密隧道，在接入网关上可直接对业务DDoS支持攻击进行防护阻断，无需解密报文，具有较高的防支持护性能.支持50050050000500005结语本文提出了一种基于电力物联网零信任架构下的分布式认证模型，该模型以电力物联网设备接入身份认证模型为基础，结合零信任安全理念，网址http:/173信息安全研究第10 卷第1期2 0 2 4年1月Journalotinformatien Security ResearchVol.10No.1Jan.2024采用认证下沉的方式，提升对边缘智能终端设备和南向感知设备的安全防护能力.实验结果表明，该方法可有效提升终端的网络安全攻击

33、防护和业务数据防泄露、防篡改能力，并在DDoS防护性能上得到大幅提升.参考文献1余海，郭庆，房利国.零信任体系技术研究 J.通信技术，2020,53(8)：2 0 2 1-2 0 342 刘涛，马越，姜和芳，等.基于零信任的电网安全防护架构研究 J.电力信息与通信技术，2 0 2 1，19（7）：2 5-323冯景瑜，于婷婷，王梓莹，等.电力物联场景下抗失陷终端威胁的边缘信任模型 J.计算机研究与发展，2 0 2 2，59(5):1120-11324刘隽良，刘羽，王月兵，等。基于零信任软件定义边界可信设备准人认证技术.信息安全研究，2 0 2 1，7（增刊2）：110-1135J Shah S

34、 W,Syed N F,Shaghaghi A,et al.LCDA:Lightweight continuous device-to-device authentication fora zero trust architecture（ZT A)J.Co mp u t e r s&Se c u r i t y,2021，9(10 8)：10 2 3516Ying B,Nayak A.Anonymous and lightweight authenticationfor secure vehicular networks JI.IEEE Trans on VehicularTechnology

35、,2017,66:10626-106367张刘天，陈丹伟。基于零信任的动态访问控制模型研究J.浙江电力，2 0 2 2，8（10）：10 0 8-10 178曹翔，姜敏.基于业务关联模型的变电站网络安全风险评估方法。电力信息与通信技术，2 0 2 2，2 0（11）：57-6 49 Alagappan A,Venkatachary S K,Andrews L J B.Augmenting zero trust network architecture to enhancesecurity in virtual power plants J.Energy Reports,2022,8:1309-

36、132010行徐超，王纪军，吴小虎，等。一种基于流量指纹的物联网设备实时自动检测及识别 J.信息安全研究，2 0 2 1，7（6）：543-54911韩丽芳，张晓，应欢，等.电力关键信息基础设施网络安全攻防演练研究 J.电力信息与通信技术，2 0 2 2，2 0（7）：26-3212 马靖，许勇刚，刘增明，等.基于零信任框架的泛在电力物联网安全防护研究 J.网络安全与应用技术，2 0 2 0（1)：116-118唐大圆硕士，工程师.主要研究方向为电力系统网络安全攻防。曹翔硕士，高级工程师.主要研究方向为变电网络安全防护方案和风险评估。林青硕士，高级工程师.主要研究方向为变电网络安全防护和电力设备可信计算安全。胡绍谦硕士，正高级工程师.主要研究方向为变电站自动化系统和网络安全防护。汤震宇硕士，正高级工程师.主要研究方向为电力监控系统网络安全防护。tangzynrec,com74