唐大圓 曹 翔 林 青 胡紹謙 湯震宇

(南京南瑞繼保電氣有限公司 南京 211102)

近年來,隨著經(jīng)濟社會發(fā)展對新型電力業(yè)務(wù)的需求,電網(wǎng)越來越智能化.智能電網(wǎng)的建設(shè)適應(yīng)了發(fā)電多樣化、用電多元化的服務(wù)需求,同時電力業(yè)務(wù)走向開放也給電力系統(tǒng)的網(wǎng)絡(luò)安全防護提出了新的挑戰(zhàn).當(dāng)前電力系統(tǒng)的網(wǎng)絡(luò)安全防護秉承“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總方針,以“縱向防御+邊界防御”為主的安全防御體系,在配用電力終端和邊緣側(cè)電力設(shè)備安全防護上難以全面覆蓋.一方面,“大云物移智鏈邊”新技術(shù)促進了智能電網(wǎng)與物聯(lián)網(wǎng)、互聯(lián)網(wǎng)的深度融合,也在一定程度上模糊了網(wǎng)絡(luò)邊界;另一方面,分布式新能源業(yè)務(wù)的發(fā)展,海量異構(gòu)智能化終端的接入,增加了終端信息泄露、非法接入、失陷控制的風(fēng)險.

相較于硬件芯片身份的物聯(lián)終端安全接入模型,本文零信任認(rèn)證模型采用軟件數(shù)字身份和持續(xù)監(jiān)測的方式實現(xiàn)終端接入認(rèn)證,降低了對終端設(shè)備的侵入改造.相對于外置加密認(rèn)證裝置方案,內(nèi)置于終端設(shè)備的認(rèn)證模型能基于訪問控制防御來自開放網(wǎng)絡(luò)的攻擊行為,提升設(shè)備內(nèi)生安全能力.

本文提出的電力物聯(lián)網(wǎng)零信任架構(gòu)下的分布式認(rèn)證模型,采用零信任安全理念和安全技術(shù),對認(rèn)證模型進行動態(tài)擴展,屏蔽了異構(gòu)終端在接入能力上的差異,形成向上統(tǒng)一、向下兼容的分布式認(rèn)證模型.無論邊緣設(shè)備還是異構(gòu)物聯(lián)終端均可實現(xiàn)安全接入和持續(xù)信任監(jiān)測,將網(wǎng)絡(luò)安全防護框架延伸到邊緣側(cè)和感知層設(shè)備,提升了電力物聯(lián)網(wǎng)整體安全防護能力.

1 相關(guān)研究

隨著電力物聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全威脅越來越廣泛、越來越嚴(yán)峻,國內(nèi)外針對電力物聯(lián)網(wǎng)面臨的新型網(wǎng)絡(luò)安全挑戰(zhàn)的研究也逐漸增多.近些年新能源業(yè)務(wù)快速發(fā)展,越來越多新能源企業(yè)和用戶的智能電力終端通過無線公共網(wǎng)絡(luò)接入電力系統(tǒng),使得原先相對清晰的電力系統(tǒng)網(wǎng)絡(luò)邊界逐漸模糊,電力系統(tǒng)的網(wǎng)絡(luò)安全防護也從主站、子站機房延伸到用戶側(cè)終端設(shè)備.為應(yīng)對電力系統(tǒng)邊界逐漸模糊的問題,文獻[1-2]提出了一種基于零信任的安全防護框架,通過零信任安全思想和安全技術(shù)重新定義網(wǎng)絡(luò)安全防護邊界.此外,智能終端設(shè)備通過無線公網(wǎng)接入必然導(dǎo)致這些終端直接面臨來自于開發(fā)網(wǎng)絡(luò)的攻擊威脅,相對于傳統(tǒng)電力專網(wǎng),這些威脅呈爆發(fā)式增長,部分智能終端遭受網(wǎng)絡(luò)攻擊失陷而被控制的情況已無法避免,為降低因終端失陷導(dǎo)致的大面積電力系統(tǒng)異常風(fēng)險,文獻[3]提出了一種電力物聯(lián)網(wǎng)場景下對抗失陷終端威脅的邊緣信任模型,采用零信任引擎的分布式部署和基于區(qū)塊鏈的信任評估模型,以達(dá)到對失陷終端威脅的抑制效果.文獻[4-6]分別探討了物聯(lián)網(wǎng)終端設(shè)備身份識別和認(rèn)證方法,在眾多異構(gòu)物聯(lián)網(wǎng)終端設(shè)備中,基于終端設(shè)備軟硬件特點,建立終端設(shè)備的認(rèn)證模型,以達(dá)到安全與業(yè)務(wù)、功能與性能的平衡.文獻[7-9]介紹了零信任安全架構(gòu)下終端設(shè)備的動態(tài)信任評估模型,通過持續(xù)信任評估發(fā)現(xiàn)電力終端設(shè)備運行狀態(tài)下的網(wǎng)絡(luò)安全風(fēng)險.

2 零信任身份認(rèn)證機制

零信任架構(gòu)(zero trust architecture, ZTA)建立在傳統(tǒng)網(wǎng)絡(luò)邊界信任體系逐漸失效的背景下,提倡打破單一網(wǎng)絡(luò)邊界的概念,對用戶、設(shè)備和應(yīng)用進行全面、動態(tài)的訪問控制.通過身份識別與訪問管理(identity and access management, IAM)構(gòu)建統(tǒng)一的權(quán)限管理平臺,通過定義并管理設(shè)備或用戶的唯一身份,確保合適的身份在合適的時間獲得合適的訪問權(quán)限;使用軟件定義邊界(software define perimeter, SDP)架構(gòu)重構(gòu)業(yè)務(wù)安全訪問邊界,基于5層安全訪問控制(單包認(rèn)證、雙向傳輸層安全、 設(shè)備認(rèn)證、動態(tài)防火墻、應(yīng)用綁定),提供多層次細(xì)粒度的網(wǎng)絡(luò)安全邊界防護能力.

電力物聯(lián)網(wǎng)應(yīng)用場景下,大量分布式異構(gòu)終端通過無線公共網(wǎng)絡(luò)接入電網(wǎng),這些設(shè)備沒有統(tǒng)一的身份標(biāo)識,也不具備唯一的生物特征,很難建立統(tǒng)一的身份管理平臺和實現(xiàn)設(shè)備間的身份認(rèn)證.

當(dāng)前,電力物聯(lián)網(wǎng)中設(shè)備和終端安全接入通常是采用導(dǎo)入或內(nèi)置數(shù)字證書的方式為設(shè)備提供統(tǒng)一的身份,進而實現(xiàn)安全接入時的身份認(rèn)證和通信加解密.然而這些數(shù)字身份證書無法覆蓋所有的感知層設(shè)備,同時基于數(shù)字證書的身份認(rèn)證只能解決終端設(shè)備接入時的設(shè)備身份可信問題,對于業(yè)務(wù)邏輯漏洞、設(shè)備安全狀態(tài)、業(yè)務(wù)隔離等安全問題沒有很好的解決方案.因此本文基于零信任安全架構(gòu),結(jié)合電力物聯(lián)網(wǎng)“云管邊端”安全分層防護特點和可信計算技術(shù),提出采用靈活的分布式認(rèn)證架構(gòu),將電力物聯(lián)網(wǎng)場景下的設(shè)備身份認(rèn)證進行分層設(shè)計,既能集中管理又易于擴展.

3 分布式認(rèn)證模型

為解決電力物聯(lián)網(wǎng)場景下邊緣設(shè)備和感知終端的身份認(rèn)證問題,基于電力物聯(lián)網(wǎng)使用數(shù)字證書進行身份認(rèn)證的基本要求,本文提出一種分布式認(rèn)證架構(gòu),將身份認(rèn)證進行時間上的動態(tài)擴展和設(shè)備類型上的橫向擴展,形成包括3個層次的分布式認(rèn)證架構(gòu),如圖1所示:

在圖1所示的分布式認(rèn)證方案中,將電力物聯(lián)網(wǎng)場景下對邊緣設(shè)備和終端設(shè)備的接入認(rèn)證功能拆分成由3層認(rèn)證組合的分布式認(rèn)證架構(gòu),包括安全接入認(rèn)證、本地設(shè)備認(rèn)證、南向終端認(rèn)證.其中安全接入認(rèn)證沿用電力物聯(lián)網(wǎng)數(shù)字證書方式進行身份認(rèn)證,由安全接入?yún)^(qū)的接入網(wǎng)關(guān)認(rèn)證邊緣代理的本地認(rèn)證器,本地設(shè)備認(rèn)證是邊緣設(shè)備上身份認(rèn)證的動態(tài)擴展,由本地認(rèn)證器持續(xù)認(rèn)證邊緣代理設(shè)備,物聯(lián)終端認(rèn)證是邊緣設(shè)備上對南向終端的認(rèn)證類型擴展,由本地認(rèn)證器認(rèn)證南向感知終端設(shè)備.電力物聯(lián)網(wǎng)采用“云管邊端”業(yè)務(wù)接入和安全防護架構(gòu),“云”是指物聯(lián)管理平臺及上層應(yīng)用;“管”指網(wǎng)絡(luò)接入,對應(yīng)安全接入?yún)^(qū);“邊”是指邊緣物聯(lián)代理設(shè)備;“端”則是指感知層傳感設(shè)備.本文的分布式認(rèn)證架構(gòu)則對應(yīng)其中的網(wǎng)絡(luò)防護和終端防護,如圖2所示.

3.1 安全接入認(rèn)證

安全接入認(rèn)證是由安全接入?yún)^(qū)的零信任控制器對邊緣設(shè)備中的本地認(rèn)證器進行認(rèn)證,邊緣設(shè)備中的本地認(rèn)證器應(yīng)具備零信任控制器可識別、可信賴的身份信息,通常是由公鑰基礎(chǔ)設(shè)施(public key infrastructure, PKI)頒發(fā)的數(shù)字證書身份信息,數(shù)字證書的頒發(fā)過程不在本文所討論范圍內(nèi).本地認(rèn)證器的安全接入認(rèn)證過程基于零信任SPA單包認(rèn)證流程,如圖3所示.

邊緣設(shè)備在發(fā)起安全接入認(rèn)證之前,先由本地認(rèn)證器完成設(shè)備本地認(rèn)證,本地設(shè)備認(rèn)證通過后,通知SPA客戶端模塊發(fā)起SPA認(rèn)證流程:

1) 本地認(rèn)證器將接入認(rèn)證請求發(fā)送給SPA客戶端,攜帶LaID,LaTr,其中LaID是本地認(rèn)證器的身份標(biāo)識(數(shù)字證書),LaTr是本地設(shè)備認(rèn)證時的信任列表;

2) SPA客戶端通過UDP協(xié)議將認(rèn)證請求發(fā)送給零信任控制器,攜帶Enc((LaID,LaTr),Pub_ctrl), LaSign,其中Enc((LaID,LaTr),Pub_ctrl) 是使用控制器的公鑰Pub_ctrl對(LaID,LaTr)進行加密后的信息,LaSign是本地認(rèn)證器證書私鑰對Enc((LaID,LaTr),Pub_ctrl)的簽名;

3) 零信任控制器接收到SPA認(rèn)證請求消息后,使用私鑰進行解密,獲得LaID,使用LaID對應(yīng)的公鑰Pub_Laid對LaSign進行簽名驗證;

4) 零信任控制器SPA請求認(rèn)證成功后,通知零信任接入網(wǎng)關(guān)開放零信任控制器的策略更新訪問端口Port_pu;

5) SPA客戶端嘗試訪問零信任控制器策略更新端口Port_pu;

6) 零信任控制器接收到策略更新請求后返回最新訪問控制策略和信任列表;

7) SPA客戶端向本地認(rèn)證器更新信任列表,用于邊緣設(shè)備本地身份的認(rèn)證.

3.2 本地設(shè)備認(rèn)證

本地設(shè)備認(rèn)證是指本地認(rèn)證器對邊緣智能終端設(shè)備進行身份認(rèn)證.邊緣智能終端設(shè)備的身份信息不是永恒不變的,隨著地理位置、網(wǎng)絡(luò)環(huán)境、信任等級、設(shè)備硬件替換、設(shè)備歸屬等眾多自身或外界因素發(fā)生變化而發(fā)生變化.

電力邊緣智能終端北向通過無線專網(wǎng)或公共網(wǎng)絡(luò)接入調(diào)度網(wǎng)絡(luò)或其他電力業(yè)務(wù)聚合商,南向通過本地網(wǎng)絡(luò)管理感知層終端設(shè)備,其設(shè)備本身直接面臨來自公共網(wǎng)絡(luò)的安全威脅,而缺少專業(yè)網(wǎng)絡(luò)安全邊界設(shè)備的防護,是電力物聯(lián)網(wǎng)安全防護中的薄弱點和重要環(huán)節(jié).通過對智能終端設(shè)備進行威脅建模分析,發(fā)現(xiàn)其存在的安全風(fēng)險,如圖4所示:

圖4 智能終端威脅模型

通過分析發(fā)現(xiàn),邊緣智能終端主要面臨的威脅來自于遠(yuǎn)程網(wǎng)絡(luò)攻擊,遠(yuǎn)程攻擊發(fā)生后,可以穿過設(shè)備內(nèi)部的安全邊界向系統(tǒng)內(nèi)核滲透,甚至通過電力業(yè)務(wù)邏輯漏洞向調(diào)度主站或聚合商內(nèi)網(wǎng)滲透.

本地認(rèn)證器基于信任列表和信任策略對邊緣智能設(shè)備持續(xù)進行動態(tài)信任評估.動態(tài)信任評估綜合考慮影響智能終端安全的多方面因素,如網(wǎng)絡(luò)接入環(huán)境、終端異常行為、終端數(shù)字身份等.電力業(yè)務(wù)連接一旦建立,往往會長時間保持連接狀態(tài),傳統(tǒng)方式是在連接建立時進行身份認(rèn)證,在后續(xù)的業(yè)務(wù)交互時無法識別終端實時安全狀態(tài),可能導(dǎo)致業(yè)務(wù)漏洞被終端上的非法程序利用,而動態(tài)信任評估是持續(xù)進行的,能及時發(fā)現(xiàn)智能終端上的異常行為,進而根據(jù)評估策略決定是否關(guān)閉當(dāng)前的業(yè)務(wù)連接.

為節(jié)省智能終端的網(wǎng)絡(luò)帶寬和減少對零信任網(wǎng)關(guān)和控制器的訪問請求,認(rèn)證結(jié)果保存在本地認(rèn)證器中,在本地業(yè)務(wù)發(fā)起SPA請求時(如圖3所示),將本地設(shè)備認(rèn)證結(jié)果發(fā)送給零信任控制器.

3.3 南向終端認(rèn)證

南向物聯(lián)終端處于電力物聯(lián)網(wǎng)感知層,通過邊緣智能終端匯聚接入,其身份認(rèn)證由邊緣智能終端上的本地認(rèn)證器完成.物聯(lián)終端類型和處理能力各異,對終端設(shè)備的身份認(rèn)證難以形成統(tǒng)一的標(biāo)準(zhǔn),文獻[10]分析對比了南向物聯(lián)終端設(shè)備的各種認(rèn)證協(xié)議和認(rèn)證方法,這些協(xié)議和方法各有優(yōu)缺點.針對電力物聯(lián)網(wǎng)的終端設(shè)備特點,本文采用可擴展的終端認(rèn)證方案,既支持具備認(rèn)證能力的接入?yún)f(xié)議,如Lora、藍(lán)牙等;對于無認(rèn)證方式接入的終端也能通過被動指紋技術(shù)自動發(fā)現(xiàn)和識別,并建立設(shè)備的指紋身份信息.

本地認(rèn)證器采用的被動指紋識別技術(shù)采用多層網(wǎng)絡(luò)流量特征的識別功能,包括MAC指紋,系統(tǒng)指紋、網(wǎng)絡(luò)指紋、電力協(xié)議指紋識別.其中MAC指紋屬于硬件指紋,具有較高的識別度,容易被偽造,實際使用過程中需要配合其他的檢測方式共同使用.系統(tǒng)指紋是指通過網(wǎng)絡(luò)流量分析終端操作系統(tǒng)類型;網(wǎng)絡(luò)指紋是針對工控協(xié)議業(yè)務(wù)流量比較固定的特點,對某些固定位置網(wǎng)絡(luò)報文進行時序探測,形成設(shè)備或業(yè)務(wù)指紋;電力協(xié)議指紋是在網(wǎng)絡(luò)指紋基礎(chǔ)上增加具體電力網(wǎng)絡(luò)協(xié)議報文特征進行探測,形成“特征+時序”模式,提高設(shè)備或業(yè)務(wù)指紋的準(zhǔn)確率.不同被動指紋模型的測試結(jié)果如表1所示:

注:1)本次測試采用遠(yuǎn)動、逆變器、臺區(qū)終端、交互終端、模擬終端作為南向感知終端接入設(shè)備;終端操作系統(tǒng)覆蓋無操作系統(tǒng)、通用Linux操作系統(tǒng)、自主可控操作系統(tǒng)、容器;2)本次測試終端的接入?yún)f(xié)議使用網(wǎng)絡(luò)Modbus,DL/T 5104協(xié)議;3)CLRT(cross-layer response time).

3.4 基于可信計算的信任傳遞

可信計算為智能終端提供了主動免疫防御能力,基于硬件的密碼模塊和動態(tài)度量技術(shù)為智能終端關(guān)鍵系統(tǒng)軟件提供了完整性保護.

本地認(rèn)證器基于可信計算提供的信任根進行信任擴展,將信任鏈擴展到SPA代理,再經(jīng)SPA認(rèn)證擴展到零信任網(wǎng)絡(luò)的接入認(rèn)證.支持可信計算的智能終端上操作系統(tǒng)內(nèi)核是經(jīng)過靜態(tài)度量的,被認(rèn)為是安全可靠的運行環(huán)境,本地認(rèn)證器可對內(nèi)核進行擴展,基于內(nèi)核對本地認(rèn)證器中的數(shù)據(jù)(如設(shè)備證書私鑰和信任列表)進行訪問控制,以實現(xiàn)基于BLP模型的安全訪問.具體實施步驟如圖5所示:

圖5 基于BLP模型的安全訪問控制

4 實驗與分析

4.1 實驗環(huán)境

本文主要針對邊緣智能終端設(shè)備通過不同認(rèn)證方案的安全性進行測試,采用新能源光伏配電網(wǎng)絡(luò)搭建本文實驗的測試環(huán)境,配電終端作為邊緣智能終端設(shè)備,通過4G網(wǎng)絡(luò)接入模擬主站.配電終端與主站之間分別采用IPsec VPN、SDP、分布式認(rèn)證方案進行安全性測試,測試環(huán)境如圖6所示.

圖6 本文實驗拓?fù)浣Y(jié)構(gòu)

在圖6所示的拓?fù)浣Y(jié)構(gòu)中,邊緣智能終端及北向網(wǎng)絡(luò)為本文測試對象,感知終端和南向網(wǎng)絡(luò)無關(guān)本文測試的實驗結(jié)果.

4.2 實驗內(nèi)容

根據(jù)測試拓?fù)湟来螌⒅悄芙换ソK端通過IPsec VPN、SDP、分布式認(rèn)證方案接入到模擬主站的安全接入?yún)^(qū),通過攻擊終端模擬ATT&CK模型中的不同階段戰(zhàn)術(shù)措施對接入網(wǎng)絡(luò)和邊緣終端設(shè)備實施的網(wǎng)絡(luò)攻擊.

根據(jù)電力物聯(lián)網(wǎng)對終端接入認(rèn)證和業(yè)務(wù)數(shù)據(jù)安全傳輸?shù)囊?本文實驗在攻擊戰(zhàn)術(shù)的選擇上側(cè)重于針對設(shè)備身份認(rèn)證、數(shù)據(jù)泄露和服務(wù)可靠性的攻擊戰(zhàn)術(shù),包括身份驗證、啟動執(zhí)行、行為隱藏、中間人攻擊、服務(wù)掃描、網(wǎng)絡(luò)數(shù)據(jù)嗅探、本地數(shù)據(jù)嗅探、C2 Channels、DDoS攻擊.

4.3 實驗結(jié)果分析

在3種安全接入方案的接入認(rèn)證和接入后業(yè)務(wù)運行過程中,分別采用3.2節(jié)選擇的攻擊戰(zhàn)術(shù)對邊緣智能終端設(shè)備或接入網(wǎng)絡(luò)進行攻擊,測試結(jié)果如表2所示:

表2 電力物聯(lián)網(wǎng)安全防護方案測試結(jié)果

注:1)本體DDoS攻擊是針對認(rèn)證架構(gòu)本身的攻擊行為,服務(wù)DDoS攻擊是針對所保護的內(nèi)部業(yè)務(wù)的攻擊行為;2)本文測試所選用的攻擊戰(zhàn)術(shù)來自于ATT&CK模型.

由表2可知,分布式認(rèn)證方案在接入認(rèn)證和數(shù)據(jù)安全方面均可提供較好的防護能力.相較于傳統(tǒng)VPN認(rèn)證方案,SDP能提供對服務(wù)掃描和非法數(shù)據(jù)回傳通道的阻斷;分布式認(rèn)證方案則在SDP基礎(chǔ)上提升了智能終端本地安全防護能力.另外,SDP和分布式認(rèn)證方案均基于SPA單包認(rèn)證實現(xiàn)接入終端的認(rèn)證,在認(rèn)證流程的DDoS防護上,相較于IPsec VPN方案流程和算法上的資源消耗降低80%,而在隧道建立后的業(yè)務(wù)DDoS防護上,性能提升25倍,因為IPsec VPN提供的是粗粒度的網(wǎng)絡(luò)層隧道加密方案,業(yè)務(wù)DDoS攻擊防護需要在解密報文后由防火墻或服務(wù)器處理,而SDP和分布式認(rèn)證方案則是采用mTLS提供細(xì)粒度業(yè)務(wù)加密隧道,在接入網(wǎng)關(guān)上可直接對業(yè)務(wù)DDoS攻擊進行防護阻斷,無需解密報文,具有較高的防護性能.

5 結(jié) 語

本文提出了一種基于電力物聯(lián)網(wǎng)零信任架構(gòu)下的分布式認(rèn)證模型,該模型以電力物聯(lián)網(wǎng)設(shè)備接入身份認(rèn)證模型為基礎(chǔ),結(jié)合零信任安全理念,采用認(rèn)證下沉的方式,提升對邊緣智能終端設(shè)備和南向感知設(shè)備的安全防護能力.實驗結(jié)果表明,該方法可有效提升終端的網(wǎng)絡(luò)安全攻擊防護和業(yè)務(wù)數(shù)據(jù)防泄露、防篡改能力,并在DDoS防護性能上得到大幅提升.