馮景瑜 于婷婷 王梓瑩 張文波 韓 剛 黃文華

1(西安郵電大學無線網(wǎng)絡(luò)安全技術(shù)國家工程實驗室 西安 710121) 2(國網(wǎng)江蘇省電力有限公司電力科學研究院 南京 211103)

電力物聯(lián)網(wǎng)是應(yīng)用于電力行業(yè)的工業(yè)級物聯(lián)網(wǎng)，可以快速提升電網(wǎng)的感知、互動與調(diào)節(jié)能力，保障電力系統(tǒng)“發(fā)、輸、變、配、用”環(huán)節(jié)的安全、穩(wěn)定、持續(xù)、高效運行[1].作為關(guān)乎國計民生的重要基礎(chǔ)設(shè)施，電力物聯(lián)網(wǎng)一直都是網(wǎng)絡(luò)攻擊的重點目標.

隨著“大云物移智鏈邊”等新興技術(shù)在電力行業(yè)的廣泛應(yīng)用，電力物聯(lián)網(wǎng)中接入的終端種類和數(shù)量大幅增加[2].海量終端的接入進一步增加了電力物聯(lián)網(wǎng)的暴露面，這對以邊界隔離為特征的網(wǎng)絡(luò)安全防御系統(tǒng)提出了嚴峻的挑戰(zhàn)[3].研究表明，大部分智能終端存在著安全隱患和漏洞，相關(guān)終端的固件同時還存在廠商植入的后門[4].智能終端的安全性極大程度上決定了電力物聯(lián)網(wǎng)的安全穩(wěn)定[5]，一旦遭受攻擊，可能失去對電力終端的正?？刂颇芰6].于是，攻擊者可以尋找具有脆弱性的電力終端進行入侵控制或竊取身份，繞過邊界網(wǎng)絡(luò)安全防御系統(tǒng)后，以失陷終端為跳板實施內(nèi)部威脅.攻擊者一旦通過某種跳板侵入電力網(wǎng)絡(luò)內(nèi)部，極易偽造虛假數(shù)據(jù)和發(fā)送惡意控制命令[7].

Ponemon研究所發(fā)布的《2020內(nèi)部威脅成本：全球報告》[8]顯示：內(nèi)部威脅造成的數(shù)據(jù)泄露成本在2年間增長了31%，達到1000余萬美元.現(xiàn)有的內(nèi)部威脅檢測方法多關(guān)注惡意內(nèi)部人員檢測[9].其實，失陷終端造成的內(nèi)部威脅可能危害性更大，其主要原因在于以量取勝和行為突變.由于電力終端種類和數(shù)量眾多，攻擊者通過廣泛撒網(wǎng)方式控制的失陷終端越多，攻擊機會就越大，從而達到以量取勝的目的.失陷終端未被入侵控制前，一直從事正常行為.攻擊者可以披著“合法身份”的外衣突然干壞事，這種行為突變能充分利用攻擊檢測的時間滯后性，出奇制勝.

遵循“永不信任，始終認證”的原則，網(wǎng)絡(luò)中所有設(shè)備、用戶和流量都應(yīng)經(jīng)過認證和授權(quán)，零信任已成為對抗內(nèi)部威脅的一種有效手段[10].然而，現(xiàn)有研究方案多偏向于零信任引擎的中心化部署，難以應(yīng)對海量終端接入電力物聯(lián)場景下的認證需求.此外，零信任引擎的部署若距離電力終端過遠，容易延遲認證時間，不利于零信任在時延敏感的電力物聯(lián)場景下的應(yīng)用推進.

深入分析海量終端接入電力物聯(lián)場景下的認證需求，零信任應(yīng)該從中心走向邊緣，圍繞密集的電力終端部署零信任引擎，對抗其中潛在的失陷終端威脅，從而構(gòu)建出一種邊緣零信任模型.本文的主要創(chuàng)新之處有3方面：

1) 將零信任賦予的網(wǎng)絡(luò)內(nèi)部監(jiān)控和認證職能，下沉到電力物聯(lián)網(wǎng)邊緣，靠近電力終端，分布式多點部署零信任引擎，防止單點失效和拒絕服務(wù)攻擊.明確了零信任核心組件之間的相互協(xié)作運行機制，使用虛擬化方式配置零信任核心組件，減輕了對邊緣服務(wù)器的消耗.

2) 邊緣分離信任評估涉及信任因素收集、存儲和計算.充分利用安裝在電力終端上的零信任客戶端，實時收集信任因素，提交給就近的邊緣服務(wù)器.引入聯(lián)盟區(qū)塊鏈——信任因素區(qū)塊鏈(trust factors chain, TF_chain)，由存儲型邊緣服務(wù)器共同維護，實現(xiàn)電力終端在移動中產(chǎn)生的信任因素共享，有助于追蹤溯源和防止信息被篡改.零信任引擎只負責認證，調(diào)度TF_chain上的數(shù)據(jù)，就可快速計算出電力終端的信任值，避免了零信任引擎更替過程中容易出現(xiàn)延時的數(shù)據(jù)遷移工作.從信任因素中提取異常因子和敏感因子，形成邊緣動態(tài)信任評估方案，迅速反應(yīng)失陷終端的行為突變，做到及時阻斷.

3) 設(shè)計了適用于邊緣認證信息傳遞的簽密方案，基于橢圓曲線的無證書策略，避免了密鑰托管問題.該方案在計算效率上具有較好的輕量性，可以抵抗邊緣認證信息的篡改，確保安全傳遞到云端.之后，位于云端的電力數(shù)據(jù)中心僅需驗證和發(fā)放授權(quán)憑證，依據(jù)資源訪問請求類型提供相應(yīng)的服務(wù)，有效緩解了安全認證壓力.

1 相關(guān)工作

隨著網(wǎng)絡(luò)安全邊界的逐漸淡化，零信任越來越受到產(chǎn)業(yè)界重視.自從遭遇Google極光事件后，谷歌開始啟動零信任領(lǐng)域的研究計劃，其為員工打造的BeyondCorp[11]架構(gòu)成為第一個真正實現(xiàn)零信任的落地方案，明確了用戶、設(shè)備與應(yīng)用之間的安全關(guān)系，通過持續(xù)鑒權(quán)模式建立可信鏈條，允許合法用戶訪問受保護的業(yè)務(wù).騰訊在《零信任解決方案白皮書》[12]中概括了零信任的核心思想，指出不以網(wǎng)絡(luò)內(nèi)外來區(qū)分訪問主體，未驗證的流量都默認為不可信.工業(yè)和信息化部在《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》中，首次將零信任安全列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”[13].

美國國家標準技術(shù)研究院(National Institute of Standards and Technology, NIST)發(fā)布的《零信任安全架構(gòu)》標準草案[14]指出，零信任安全架構(gòu)是一種端到端的網(wǎng)絡(luò)/數(shù)據(jù)保護方法，包括身份、憑證、訪問管理、運營、終端、主機環(huán)境和互聯(lián)的基礎(chǔ)設(shè)施等多個方面.作為目前最具權(quán)威性的零信任安全架構(gòu)，NIST提出的架構(gòu)主要包括主體、受訪資源、輔助系統(tǒng)和零信任引擎等，如圖1所示：

Fig. 1 Zero trust security architecture proposed by NIST[14]圖1 NIST提出的零信任安全架構(gòu)[14]

主體就是網(wǎng)絡(luò)內(nèi)部可以訪問資源的用戶、設(shè)備或終端.通常在主體上安裝零信任客戶端進行風險感知，實時監(jiān)控設(shè)備的安全狀態(tài)，如出現(xiàn)越權(quán)操作、惡意數(shù)據(jù)注入等可疑行為，會及時被零信任客戶端發(fā)現(xiàn)，告知零信任網(wǎng)關(guān)攔截.如未安裝零信任客戶端或出現(xiàn)對零信任客戶端的操控行徑，主體就無法在網(wǎng)絡(luò)內(nèi)容進行通信活動和請求訪問資源.

鑒于零信任客戶端的風險感知機制能及時阻斷異常流量方面的可疑行為，策略引擎(policy engine, PE)、策略管理器(policy administrator, PA)、策略執(zhí)行點(policy enforcement point, PEP)等核心組件構(gòu)成的零信任引擎，則注重保護網(wǎng)絡(luò)內(nèi)部的受訪資源，防范敏感信息被竊取的威脅.其中，PE對主體的可信情況進行分析，形成認證結(jié)果；PA根據(jù)認證結(jié)果，判決允許或拒絕連接；PEP負責持續(xù)監(jiān)控和結(jié)束主體與受訪資源之間的連接，通常被稱為零信任網(wǎng)關(guān).

零信任能夠有效提高數(shù)據(jù)中心對系統(tǒng)內(nèi)惡意節(jié)點橫向移動以及網(wǎng)絡(luò)滲透攻擊的防御能力[15].因此，零信任也迅速成為學術(shù)界的研究熱點，研究者主要依托NIST提出的零信任安全架構(gòu)開展相關(guān)研究.文獻[16]在云架構(gòu)的軟件定義網(wǎng)絡(luò)框架中針對MAC欺騙的問題，提出了一種基于零信任網(wǎng)絡(luò)的訪問控制策略.文獻[17]提出一種基于零信任的物聯(lián)網(wǎng)安全架構(gòu)，采用全面認證和實時監(jiān)控的策略實現(xiàn)電力物聯(lián)網(wǎng)的安全.文獻[18]提出了一種云環(huán)境下的概念性零信任策略，防范數(shù)據(jù)泄露風險，保障數(shù)據(jù)的完整性和機密性.文獻[19]針對當前電力移動互聯(lián)面臨的安全風險，從身份識別和訪問控制2個方面設(shè)計了基于零信任的安全防護框架.文獻[20]提出了一種基于零信任模型的醫(yī)療健康數(shù)據(jù)漏洞的防御系統(tǒng)，經(jīng)過身份驗證的用戶和設(shè)備才能與網(wǎng)絡(luò)交互，確保數(shù)據(jù)傳輸?shù)陌踩?

在零信任安全架構(gòu)中，對實體的認證大多基于信任評估.目前，已經(jīng)存在一些相關(guān)的信任評估機制.文獻[21]設(shè)計了一種多維信任評估方案，包括評估節(jié)點的綜合信任值和相鄰節(jié)點的推薦信任值.文獻[22]在云環(huán)境中提出了一種信任管理框架，設(shè)置信任反饋模塊以增強信任值計算和更新的可信度.文獻[23]通過發(fā)送無人機感知物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)來評估移動車輛的信任值，保證數(shù)據(jù)收集過程中低成本的安全性.文獻[24]提出了一種電力終端信任共識方法，基于Beta分布建立了多元信任評價主體機制，得出綜合信任值.

綜合國內(nèi)外研究現(xiàn)狀，零信任引擎的部署多偏向于中心化，在終端數(shù)量有限的場景下，可以有效監(jiān)控失陷終端，阻斷惡意數(shù)據(jù)注入和防止敏感信息的竊取威脅.對于海量終端接入的電力物聯(lián)場景，中心化的零信任引擎部署容易出現(xiàn)單點失效故障.此外，契合零信任原則的信任評估方法較為缺乏，現(xiàn)有的信任評估方案多采用靜態(tài)的信任值計算方法，信任值的更新滯后于主體行為的變化，難以及時應(yīng)對行為突變的失陷終端威脅.

對此，面向海量終端接入的電力物聯(lián)場景，本文提出了一種抗失陷終端威脅的邊緣零信任模型.表1展示了本文模型相對于最新相關(guān)研究工作的優(yōu)勢.

Table 1 Comparison with Related Works

Fig. 2 Network architecture of edge zero-trust model圖2 邊緣零信任模型的系統(tǒng)架構(gòu)

2 系統(tǒng)架構(gòu)

邊緣計算作為電力物聯(lián)網(wǎng)的重要技術(shù)，其實質(zhì)是一種分散式運算架構(gòu)[25].將云計算和存儲能力下沉到網(wǎng)絡(luò)邊緣，可以實現(xiàn)應(yīng)用、服務(wù)和內(nèi)容的本地化、近距離、分布式部署[26].另外，就地化分布式保護[27]已成為保障電力物聯(lián)網(wǎng)穩(wěn)定運行的重要思路.

鑒于此，可將零信任賦予的網(wǎng)絡(luò)內(nèi)部監(jiān)控和認證職能，下沉到按照電力系統(tǒng)“發(fā)、輸、變、配、用”環(huán)節(jié)劃分的每個邊緣區(qū)域，在電力終端周圍進行零信任引擎的分布式部署和相關(guān)信任評估.

電力物聯(lián)場景下的邊緣零信任模型,可建立在“端”“邊”“云”系統(tǒng)架構(gòu)上實現(xiàn).如圖2所示，該架構(gòu)包括終端層、邊緣層和云層.

1) 終端層.對每個聯(lián)網(wǎng)的電力終端安裝零信任客戶端，實時監(jiān)控其網(wǎng)絡(luò)活動和資源訪問請求.零信任客戶端帶有的風險感知機制，能對異常流量方面的可疑行為進行及時阻斷.對于電力終端的資源訪問請求，零信任客戶端一般難以確定可疑情況，需要提交給零信任引擎進行認證研判.

2) 邊緣層.根據(jù)業(yè)務(wù)范圍，電力物聯(lián)網(wǎng)可以劃分為f個邊緣區(qū)域，定義為集合Γ={EA1,EA2,…,EAk,…,EAf}.在每個區(qū)域，統(tǒng)一分配邊緣服務(wù)器集合Λ={Θ,Φ}.其中，Θ={TSE1,TSE2,…,TSEk,…,TSEg}為g臺邊緣服務(wù)器組成的信任存儲引擎集合，共同維護一個TF_chain實現(xiàn)可追蹤、防篡改的終端信任因素存儲；Φ={ZTE1,ZTE2,…,ZTEk,…,ZTEh}為h臺邊緣服務(wù)器組成的零信任引擎集合，包含1個主引擎和h-1個次引擎.當主引擎宕機時，會自動升級一個次引擎為主引擎.對裝載零信任引擎的每臺ZTE邊緣服務(wù)器，按其硬軟件資源進行虛擬化，統(tǒng)一虛擬成執(zhí)行PE，PA和PEP等零信任核心組件功能的3個虛擬機.

3) 云層.輸電、配電、售電等任何一個過程都需要電力數(shù)據(jù)中心對其進行服務(wù)[28].下沉零信任的監(jiān)控和認證職能到網(wǎng)絡(luò)邊緣后，電力數(shù)據(jù)中心(power data center, PDC)僅需驗證和發(fā)放授權(quán)憑證，然后依據(jù)資源訪問請求類型提供相應(yīng)的服務(wù)，在保障電力物聯(lián)網(wǎng)內(nèi)部安全的前提下，有效提高了認證效率.

3 邊緣零信任模型設(shè)計

為適應(yīng)電力物聯(lián)場景下海量終端的監(jiān)控和認證需求，做到失陷終端檢測快速而有效，構(gòu)建出一種邊緣零信任模型.

3.1 邊緣零信任引擎部署

在每個邊緣區(qū)域分布式部署零信任引擎，是構(gòu)建邊緣零信任模型的首要環(huán)節(jié).采用虛擬化方式，PE,PA和PEP等零信任核心組件可配置在單臺邊緣服務(wù)器的3個虛擬機上，而不用花費3臺邊緣服務(wù)器分別去配置.

零信任核心組件之間的相互協(xié)作構(gòu)成了零信任模型的運行機制，主要包含6個步驟：1)電力終端發(fā)出的資源訪問請求，會被零信任客戶端生成一個認證需求上報給PEP；2)PEP首先攔截資源訪問請求，而后轉(zhuǎn)發(fā)認證需求給PE；3)PE調(diào)用存儲在TF_chain上的信任因素，計算終端信任值，對資源訪問請求進行認證，并將認證結(jié)果分發(fā)給PA和PEP；4)對于認證通過的主體，PA生成授權(quán)憑據(jù)交給PEP；5)PEP將認證結(jié)果和授權(quán)憑據(jù)提交給云層的PDC；6)驗證授權(quán)結(jié)果有效后，PDC通知PEP釋放資源訪問請求的攔截.

即使對零信任引擎進行了邊緣化部署，某個邊緣區(qū)域的電力終端發(fā)出的訪問請求若較為頻繁，也可能使零信任引擎宕機.特別地，攻擊者可以在未探知零信任引擎具體位置的情況下，控制一些失陷終端制造大量沒有注入任何惡意代碼的正常流量，經(jīng)由零信任客戶端自動流向零信任引擎，形成拒絕服務(wù)攻擊.

對此，應(yīng)該對零信任引擎在每個邊緣區(qū)域?qū)嵤┓植际蕉帱c部署，組成零信任引擎集合Φ={ZTE1,ZTE2,…,ZTEk,…,ZTEh}.邊緣分布式多點部署規(guī)則如下:

規(guī)則1.Φ集合中的h個零信任引擎分散于每個邊緣區(qū)域的不同位置，避免攻擊者的位置探測.主引擎處于工作狀態(tài)，負責監(jiān)控整個邊緣區(qū)域的電力終端.其余的h-1個次引擎處于待機狀態(tài)，并建立輪值次引擎集合Ξ，依次等待成為主引擎.

規(guī)則2. 假設(shè)ZTEk為主引擎，ck代表其處理能力.設(shè)置處理能力的告警閾值為δ.一旦出現(xiàn)ck≥δ，ZTEk就向Ξ集合中的h-1個次引擎廣播離線通知.

規(guī)則3. 主引擎長時間處于高強度工作狀態(tài)，也可能給邊緣服務(wù)器造成壓力過載.給定ZTEk的輪值時間為tk，設(shè)置最高輪值時長為τ.當tk≥τ時，ZTEk向Ξ集合中的h-1個次引擎廣播離線通知.

規(guī)則4. 為避免主引擎因突發(fā)宕機而無法發(fā)送離線通知，Ξ集合中排名第一的次引擎(假設(shè)為ZTEp)需要一直監(jiān)測主引擎的活動狀態(tài).

規(guī)則5.ZTEp如果監(jiān)測到ZTEk突發(fā)宕機，就向Ξ集合中其后的次引擎廣播ZTEk的離線通知及其成為主引擎的上線消息.

規(guī)則6. 宕機的主引擎恢復后，加載到Ξ集合中，成為最后一個次引擎.

3.2 邊緣動態(tài)信任評估

動態(tài)信任評估是零信任模型實現(xiàn)電力終端快速認證的核心環(huán)節(jié).隨著零信任引擎的邊緣化部署，適時提出邊緣動態(tài)信任評估方案，有助于減輕云端計算負載.

如圖3所示，邊緣動態(tài)信任評估方案的實現(xiàn)涉及信任因素收集與上鏈存儲，以及為PE調(diào)用服務(wù)的終端信任值計算.

Fig. 3 Edge dynamic trust evaluation scheme圖3 邊緣動態(tài)信任評估方案

3.2.1 信任因素收集與上鏈存儲

零信任客戶端在監(jiān)測電力終端網(wǎng)絡(luò)活動過程中，需要根據(jù)終端行為變化情況，實時收集信任因素，提交給就近的TSE邊緣服務(wù)器上鏈存儲.

定義邊緣區(qū)域EAk中的電力終端集合Δ={PT1,PT2,…,PTi,…,PTm}.以PTi為例，ZTCi表示安裝在其上的零信任客戶端.PTi的信任因素集合包含3種類型,即BTF,ATF,STF，典型的信任因素如表2所示.

BTF表示基本信任因素，用于計算PTi的基本信任值；ATF表示異常信任因素，用于衰減PTi的基本信任值；STF表示敏感信任因素，用于及時阻斷PTi可能被失陷控制的情況.

每當PTi的某個信任因素發(fā)生變化時，ZTCi就實時向就近的TSE邊緣服務(wù)器發(fā)送更新信息.

鑒于聯(lián)盟區(qū)塊鏈[29]的預(yù)選共識礦工特點，ZTCi周圍就近的TSE邊緣服務(wù)器擔任當前TF_chain區(qū)塊鏈的共識礦工頭.每當一個信任因素發(fā)生變化時，就會生成一個新區(qū)塊.

Table 2 Trust Factors

Fig. 4 Block storage structure for trust factors圖4 信任因素的區(qū)塊存儲結(jié)構(gòu)

由于邊緣區(qū)域按照“發(fā)、輸、變、配、用”環(huán)節(jié)業(yè)務(wù)劃分，電力終端的移動一般不會超出本區(qū)域.但是，ZTCi實時向就近的TSE邊緣服務(wù)器發(fā)送PTi的信任因素更新信息，每發(fā)送一個信任因素更新，就會促使一個新區(qū)塊生成，可能造成大量的冗余區(qū)塊，加重各個TSE邊緣服務(wù)器的存儲負載.對此，結(jié)合區(qū)塊鏈的時序特征和信任因素的區(qū)塊存儲結(jié)構(gòu)，提出算法1消除冗余區(qū)塊.

算法1可以嵌入到TF_chain區(qū)塊鏈的智能合約中定期自動運行，向前消除冗余區(qū)塊，為TSE邊緣服務(wù)器減輕存儲壓力.

算法1.冗余區(qū)塊消除.

輸入：Δ,Υ,ri,TF_chain；

輸出：TF_chain.

① forPTi∈Δthen

② ifri≥1 then

④ 消除TF_chain的當前冗余區(qū)塊；

⑥ end if

⑦ end if

⑧ end for

信任因素存儲在TF_chain區(qū)塊鏈上的最大優(yōu)勢在于防篡改性.區(qū)塊鏈是一種鏈式存儲結(jié)構(gòu)，下一區(qū)塊保存了上一區(qū)塊的哈希值.如果攻擊者對其中一個區(qū)塊進行篡改，該區(qū)塊后面的所有區(qū)塊都必須被修改.假設(shè)區(qū)塊B_IDp后面有l(wèi)p個區(qū)塊，則篡改該區(qū)塊后，還需繼續(xù)篡改的區(qū)塊個數(shù)Zp為

(1)

例如，當TSE邊緣服務(wù)器個數(shù)g=5，lp=6時，Zp=19 530，因此，TF_chain區(qū)塊鏈幾乎無法被篡改.

3.2.2 終端信任值計算

Beta分布能與信任分布很好地擬合，其數(shù)學期望可用于節(jié)點信任值計算，是最經(jīng)典、最廣泛使用的信任評估模型之一[31].Beta分布具有計算簡單、靈活性好、統(tǒng)計能力強和適用性強等特點[24].因此，采用Beta分布作為計算電力終端的基本信任值概率統(tǒng)計模型.Beta分布大概率密度函數(shù)為[32]

(2)

其中，τ表示電力終端行為的可能性，0<τ<1,α>0,β>0.

在電力物聯(lián)網(wǎng)中，使用BTF信任因素次數(shù)計算基本信任值.當PTi認證成功時，α=btfi1+1.否則β=btfi2+1.因此，PTi的基本信任值可以用Beta分布函數(shù)計算：

bti=Beta(α+1,β+1)，

(3)

顯然，α和β都為整數(shù).Beta分布函數(shù)的期望值推導為

(4)

進一步計算bti：

(5)

然而，bti帶有的靜態(tài)信任評估特性，對于電力終端的失陷威脅行為反應(yīng)具有一定的滯后性.假如PTi失陷，bti由于無法迅速衰減，會給攻擊者帶來多次實施威脅的機會.信任作為一種主觀狀態(tài),可隨用戶交互經(jīng)驗、時間等因素的動態(tài)變化而發(fā)生變化，利用靜態(tài)信任進行計算會使推薦結(jié)果漸漸偏離現(xiàn)實狀態(tài)[33].因此，有必要引入異常衰減因子改進基本信任值，開啟動態(tài)信任評估.

在電力物聯(lián)網(wǎng)中，使用ATF信任因素次數(shù)計算異常衰減因子，協(xié)助零信任引擎的異常監(jiān)測認證.PTi的異常因子計算如下：

(6)

其中，Ai={atfi1,…,atfiq,…,atfis}為PTi的ATF信任因素次數(shù)集合;max(Ai)為集合中的最大值，用于歸一化異常因子.

算法2.電力終端可信認證.

輸入：Ω；

輸出：ari.

① 計算基本信任值bti；

② ifbti<σthen

③ari=0認證失敗；

④ else

⑤ 計算動態(tài)信任值dti；

⑥ ifdti<σthen

⑦ari=0認證失?。?/p>

⑧ else

⑨ 計算終端信任值ti；

⑩ end if

引入異常衰減因子afi后，PTi的動態(tài)信任值可計算為

(7)

同時，利用零信任客戶端的風險感知機制，實時感知和收集STF信任因素次數(shù)，計算敏感因子sfi，及時應(yīng)對失陷終端的突變行為，即

(8)

當任意一個STF信任因素次數(shù)大于或等于1時，sfi的賦值為信任門限值σ.待清除失陷終端上的惡意代碼或指令，重新奪回控制權(quán)，加固安全后，PTi的STF信任因素次數(shù)清零.零信任客戶端進入新的實時感知和收集階段.

敏感因子sfi的作用在于迅速調(diào)節(jié)PTi的動態(tài)信任值低于門限值.因此，最終的終端信任值可計算為

(9)

PE調(diào)用存儲在TF_chain上的信任因素集合Ω，通過算法2得到關(guān)于PTi的認證結(jié)果ari.

3.3 邊緣認證信息簽密傳遞

認證成功后，PA根據(jù)PE提交的認證結(jié)果ari生成授權(quán)憑據(jù)aci發(fā)送給PEP，形成邊緣認證信息mi=(PTi‖ari‖aci‖tsi).其中，tsi為該認證信息的時間戳.

若向PDC傳遞的邊緣認證信息處于明文狀態(tài)，攻擊者可以在傳輸過程中劫持并篡改.對mi進行簽密傳遞，可以確保邊緣認證信息的安全性和完整性.

如圖5所示，簽密傳遞的參與方有密鑰生成中心( key generation center, KGC)、PEP和PDC.其中，KGC負責隨機生成密鑰；PEP對mi加密和簽名；PDC負責接收和驗證密文的正確性.簽密傳遞方案的實現(xiàn)包括5個過程.

Fig. 5 Signcryption for edge authentication information圖5 邊緣認證信息的簽密

1) 系統(tǒng)參數(shù)生成

KGC選擇一個安全參數(shù)K，生成2個大素數(shù)p和q.G是階為q的加法循環(huán)群，P是G的一個生成元.定義哈希函數(shù)H1:{0,1}*×G×G→Z*q，H2:G×G×G→{0,1}*，H3:{0,1}*×{0,1}*×G×G×G×G→Z*q.KGC隨機選取x∈Z*q作為主密鑰.計算系統(tǒng)公鑰Ppub=x×P.KGC秘密保存主密鑰x，并公開系統(tǒng)參數(shù)params=(p,q,P,Ppub,H1,H2,H3).

2) 部分密鑰生成

3) 用戶密鑰生成

4) 簽密

同樣，可以計算出PDC的公私鑰分別為PKPDC=(RPDC,PPDC)，SKPDC=(sPDC,xPDC).PEP對邊緣認證信息mi的簽密過程有5步：

① PEP隨機選取uPEP∈Z*q,vPEP∈Z*q，計算UPEP=uPEP×P，VPEP=vPEP×P.

③ 計算ci=mi‖IDPEP⊕H2(Q,UPEP,VPEP).

PEP生成簽密后的密文δi=(VPEP,UPEP,ci,sigPEP)，將其發(fā)送給PDC.

5) 解簽密

PDC接收到密文δi，進行解簽密，驗證密文的正確性.解簽密過程有4步：

② 計算Q′=UPEP×sPDC+xPDC×VPEP.

③ 計算mi=ci‖IDPEP⊕H2(Q′,UPEP,VPEP).

下面證明簽密方案的正確性.

驗證消息的真實性.由式(10)可知Q′=Q，據(jù)此可以正確解密出明文mi‖IDPEP=ci⊕H2(Q′,UPEP,VPEP).

Q′=sPDC×UPEP+xPDC×VPEP=sPDC×uPEP×P+

vPEP×PPDC=Q.

(10)

驗證簽名消息的真實性，驗證式為

sPEP))×P.

(11)

4 仿真分析

4.1 仿真環(huán)境設(shè)置

本文使用Matlab搭建實驗平臺，對所提方案進行仿真分析，驗證抗擊失陷終端威脅的抑制效果和邊緣零信任安全模型的實施效率.

仿真環(huán)境參數(shù)設(shè)置如表3所示:

Table 3 Simulation Parameters Table

4.2 抗擊失陷終端威脅仿真分析與結(jié)果

在零信任安全架構(gòu)中，信任值是實現(xiàn)電力終端快速認證的有效依據(jù). 通過50輪實驗仿真，觀測3種信任評估方案下失陷終端的信任值變化情況.

如圖6所示，在前20輪，電力終端未失陷，3種方案的信任值都趨于增加；到了第20輪，該電力終端突然被失陷控制，觀測結(jié)果發(fā)生變化.

Fig. 6 Variation of trust value for a compromised terminal圖6 失陷終端的信任值變化情況

對于靜態(tài)信任評估方案，信任值的反應(yīng)滯后性使失陷終端總能認證成功，反而造成信任值的持續(xù)增長.引入異常因子afi的動態(tài)信任評估方案，可以快速反應(yīng)電力終端的失陷情況，但信任值的衰減幅度有限，在門限值附近緩慢波動.隨著輪數(shù)的增加，其會衰減到門限值以下，但可能給予失陷終端過多的威脅機會.引入異常因子afi和敏感因子sfi的動態(tài)信任評估方案，能及時應(yīng)對電力終端的突變失陷，迅速將其信任值衰減到門限值以下.

當失陷終端的信任值低于門限值時，則無法認證成功，從而失去了惡意威脅機會.隨機選取一個邊緣區(qū)域為例，其中，電力終端數(shù)為200，失陷終端比例為30%.如圖7所示，靜態(tài)信任評估方案不能衰減失陷終端的信任值，該邊緣區(qū)域出現(xiàn)的惡意威脅次數(shù)無法被抑制.引入異常因子afi的動態(tài)信任評估方案，難以將失陷終端的信任值衰減到門限值以下，也存在著抑制惡意威脅次數(shù)的困難.引入異常因子afi和敏感因子sfi的動態(tài)信任評估方案，能及時阻斷失陷終端，惡意威脅次數(shù)在突發(fā)時就被迅速清零.

Fig. 7 Suppression of malicious threats圖7 惡意威脅次數(shù)抑制情況

進一步觀察在該邊緣區(qū)域內(nèi)的失陷終端檢測情況.如圖8所示，引入異常因子afi和敏感因子sfi的動態(tài)信任評估方案，表現(xiàn)出較好的失陷終端檢測率，在出現(xiàn)失陷苗頭時就被及時掐斷和檢測出來.

Fig. 8 Detection rate of compromised terminals圖8 失陷終端檢測率

4.3 邊緣零信任模型效率仿真結(jié)果與分析

采用邊緣化部署方案，能極大地減輕云端PDC的零信任處理負載.如圖9所示，隨著資源訪問請求的增加，中心化部署方案下的零信任處理負載呈線性增長趨勢.分散給邊緣區(qū)域后，劃分的邊緣區(qū)域越多，每個邊緣區(qū)域承接的零信任處理負載就越少.

Fig. 9 Comparison of processing overload圖9 處理負載對比

在每個邊緣區(qū)域部署零信任引擎時，可以采取實體化配置或虛擬化配置2種方案.如圖10所示,虛擬化配置零信任引擎的PE,PA和PEP核心組件到一臺邊緣服務(wù)器上，相對于給每個核心組件各實體化配置一臺邊緣服務(wù)器的方案，有效減輕了邊緣服務(wù)器的消耗數(shù)量.

Fig. 10 Edge server consumption圖10 邊緣服務(wù)器消耗情況

最后，采用簽密方案將生成的邊緣認證信息傳遞給PDC，可以有效防止篡改.為證明本文簽密方案的計算效率輕量性，與最新的典型簽密方案進行對比.

簽密方案的計算效率，主要取決于橢圓曲線上的點乘Em和點加Ea運算.結(jié)合具體測量結(jié)果(Em=0.484 7 ms,Ea=0.002 1 ms)[34]，從表4可以看出，本文方案在計算效率上優(yōu)勢明顯.因此，本文簽密方案可在確保邊緣認證信息安全傳遞的同時，具有較好的計算效率輕量性.

Table 4 Comparison of Computation Efficiency

5 總 結(jié)

針對零信任面臨海量電力終端接入的中心化部署壓力，提出了一種邊緣零信任模型.在電力終端周圍進行零信任引擎的分布式多點部署，設(shè)計信任因素的實時收集與區(qū)塊鏈存儲方案.引入異常因子和敏感因子，通過動態(tài)信任評估，能應(yīng)對失陷終端的突變行為，迅速衰減其信任值.采用輕量級簽密方案，確保及時阻斷失陷終端威脅的邊緣認證信息到云端傳遞的安全性.仿真結(jié)果表明，本文提出的邊緣零信任模型，在抑制失陷終端威脅方面的效果顯著，具有較好的失陷終端檢測率.未來的研究工作是深入分析東西向流量特征，針對失陷終端在電力物聯(lián)網(wǎng)內(nèi)部發(fā)出的加密型惡意流量，設(shè)計有效的快速檢測方法，進一步增強失陷終端威脅的抑制效果.

作者貢獻聲明：馮景瑜設(shè)計論文整體架構(gòu)、系統(tǒng)模型和實驗方案，并完成論文初稿的寫作；于婷婷參與了系統(tǒng)模型和實驗方案的設(shè)計、論文初稿的寫作及修改；王梓瑩和張文波負責實驗仿真和實驗結(jié)果分析；韓剛和黃文華對系統(tǒng)模型和實驗方案提出建設(shè)性意見.