基于零信任框架的泛在电力物联网安全防护研究

◆马 靖 许勇刚 刘增明 姚晓斌

基于零信任框架的泛在电力物联网安全防护研究

◆马 靖1许勇刚1刘增明1姚晓斌2

（1.国网思极网安科技（北京）有限公司 北京 102209；2.英大国际信托有限责任公司 北京 100005）

建设泛在电力物联网是充分应用“大云物移智”等现代化信息技术，实现电力系统各个环节的万物互联、人机交互。在这种新场景下，身份认证、数据安全、信息交互等网络安全问题迫切需要解决，本文从零信任框架出发，构建泛在电力物联网安全防护方案，重点从身份认证、动态授权、监测审计三个方面提出防护建议，打破传统以边界防护为基础的网络安全框架，为泛在电力物联网安全防护提供新思路、新方法，以适应泛在电力物联网的业务发展需求。

泛在电力物联网；零信任框架；身份认证；动态授权

泛在电力物联网的提出，引起社会各界强烈反响，尤其是泛在电力物联网的建设引入新的网络安全问题成为热点问题。随着泛在物联网业务的发展，新技术的引入让网络边界越来越模糊，现有基于边界的安全防护方法不再适用；同时随着物联网终端数量的大量增加，传统基于中心式的数字证书认证体系难以满足泛在电力物联网万物可信高效互联的需求，新的身份认证方式亟待建立；此外，在泛在电力物联网的应用场景下，海量的敏感数据和用户信息存储于云端，数据的全生命周期也超出了传统网络安全范畴，存在巨大的安全风险。

因此，为了保障泛在电力物联网的安全，需构建与公司“三型两网”相适应的全场景安全防护体系，开展可信互联、安全互动、智能防御等技术的研究与应用，为各类物联网业务做好全环节安全服务保障。本文将通过引入零信任安全框架，重新构建泛在电力物联网的身份认证、动态授权和监测审计方法，对泛在电力物联网全场景安全防护提出具体防护建议。

1 什么是泛在电力物联网

泛在电力物联网是国家电网有限公司董事长寇伟同志在公司2019年“两会”报告首次提出的。两会报告中提出围绕“三型两网”建设世界一流能源互联网企业，其中“三型”指枢纽型、平台型、共享型。“两网”指“坚强智能电网”和“泛在电力物联网”。

泛在物联是指任何时间、任何地点、任何人、任何物之间的信息连接和交互，泛在电力物联网是泛在物联网在电力行业的具体表现形式和应用落地。

在国家电网有限公司泛在电力物联网建设工作部署电视电话会议中，董事长寇伟表示，泛在电力物联网是围绕电力系统各环节，充分应用移动互联、人工智能等现代信息技术和先进通信技术，实现电力系统各个环节万物互联、人机交互，打造状态全面感知、信息高效处理、应用便捷灵活的智慧服务系统，包含感知层、网络层、平台层、应用层四层结构。在终端感知层表现为万物互联的连接能力，在网络层表现为无处不在、无时不有的通信能力，在平台层表现为对全景设备和数据的管控能力。

2 泛在电力物联网面临的网络安全问题

2.1 传统基于边界安全防护不适用泛在电力物联网

传统的安全解决方案设计理念是基于边界安全防护。由于泛在电力物联网中云计算、移动应用等技术的使用使得终端侧安全边界模糊、主网侧核心边界全面收缩，业务灵活性进一步提高，同时使得物理隔离边界越来越模糊。传统基于网络位置确定的信任模型变得不再可靠；并且企业内部威胁越来越多，对于企业内部可信的假设，成为安全体系架构的薄弱环节。

2.2 身份认证方式需要发生变化

随着公司泛在电力物联网建设的逐步落地，公司将接入数以亿计的泛在物联网终端，涉控类终端、非涉控类终端、用户终端等各类设备，出现海量接入、异构认证、频繁交互等新的需求。除此之外，身份认证还存在以下问题。一是实际应用中，较高频次的应用通常安全风险低，更看重便捷性，安全风险高的应用频次通常不高，更重视安全性，因此，需要分层次采用不同安全等级的身份认证技术。二是传统基于中心式的数字证书认证体系难以满足泛在电力物联网万物可信高效互联的需求。三是随着泛在电力物联网建设过程中微服务、微应用的应用，使得仅考虑人的身份管理不再足够，设备间、服务间同样需要身份认证。因此需要将人、设备、应用和服务的身份都统一抽象成“身份”，为人员、设备建立详尽、完备的身份标识库，进行统一身份管理。

2.3 数据安全面临新风险

随着《网络安全法》的出台，国家对数据安全的要求，尤其是对关键信息基础设施和用户重要信息保护提出更高要求。在泛在电力物联网的应用场景下，海量的敏感数据和用户信息存储于云端，数据的全生命周期也超出了传统网络安全范畴，存在巨大的安全风险。近年来，个人信息泄露事件频发、屡禁不止，严重威胁个人生命与财产安全。一旦敏感数据被窃取、篡改和滥用，有触犯法律的风险，因此需要加强企业重要数据和客户隐私保护，加强建立针对应用、服务接口、数据进行自适应的细粒度访问控制授权。

2.4 关键信息基础设施安全防护带来挑战

泛在电力物联网属于关键信息基础设施的重要领域，其安全稳定运行直接影响社会安全和国家安全。由于泛在电力物联网网络无限延伸和极为广泛的应用场景，安全问题变得错综复杂，远非传统网络安全可比。泛在电力物联网部分业务将直接暴露于公共网络，传统防护手段不再适用。和互联网安全问题相比，泛在电力物联网安全问题破坏性更大，如发生窃取、篡改等，给人民的生活带来一定的影响，甚至对关键基础设施造成冲击，威胁国家安全。

3 基于零信任的泛在电力物联网安全防护体系

3.1 零信任安全的概念及优势

零信任最早是由John Kindervag在2010年提出的，其核心思想是默认情况下不应该信任网络内部和外部的任何人、设备、系统，需要基于认证和授权重构访问控制的信任基础。谷歌经过多年实践，于2014发布零信任架构BeyondComp，零信任架构逐渐为业内认可。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行访问控制。

在泛在电力物联网的推进过程中，“大云物移智链”等现代信息技术的应用，实现电力系统各个环节万物互联、人机交互，终端侧网络边界将变得模糊化和复杂化，传统基于边界的安全架构很难进行防护。电网资产数量庞大分散、类型众多、所处环境复杂。泛在电力物联网的建设，将以构建统一身份标识为基础，基于“零信任”的安全防护能够打破传统边界防护思维，为“三型两网、世界一流”能源互联网助力。

基于“零边界”的泛在电力物联网安全防护体系，以零信任网络安全架构为参照，进行统一身份管理，实现泛在物联网设备间、服务间的身份认证。根据设备的环境属性、访问属性进行动态的权限控制。

3.2 感知层识别和身份化

随着公司的不断发展，目前公司系统接入终端设备超过5亿台，规划到2030年，接入泛在电力物联网系统的设备数量将达到20亿台，整个泛在电力物联网将是接入设备规模最大的物联网生态圈。除了设备多样化，用户、应用程序也在不断地增加，为解决上述问题，提高公司信息安全保障能力，需要全面身份化，完成身份治理。

通过构建泛在电力物联网统一标识库，为业务提供基础密钥标识，保证业务系统主体的标准统一。建立针对所有实体对象的统一标识体系，为身份及访问控制管理提供统一的标识技术和互操作基础。以公司内外部人员、终端设备、业务应用等各维度的统一用户标识中心数据库，在业务系统之间进行身份跨应用全面管理机制。

3.3 可信的统一身份认证机制

在实现全面身份化后，为满足泛在电力物联网统一的身份认证需求，需完善现有身份认证体系，建设安全可靠、灵活轻量的身份认证机制，提高公司信息安全保障能力。

基于零信任架构的身份认证方面，以身份为中心，将用户、设备、应用全面身份化完成集中的身份治理，通过设备清单服务达到认证持续化，通过持续认证手段进行信任评估。初次登录基于易用性考虑，完善多因子认证要素。二次认证根据安全等级或持续认证风险评估，需进行多因子认证。

在这种使用场景下，基于线上快速身份验证（FIDO，Fast Identity Online）的密钥标识和鉴别技术对解决身份认证问题具有较好的适用性。FIDO以非对称密码算法为基础，采用本地生物识别认证方式，实现对用户身份快速识别，无须证书或口令，且无须向服务端传输生物特征信息，有效防范用户隐私泄露。对于各类实体对象（人员、设备、应用等）提供了多维度的身份标识（包括用户标识符、公钥标识符、生物特征标识符、设备标识符、应用标识符、可信应用列表标识符等），并实现了鉴别方式与鉴别协议解耦合的统一身份鉴别机制，可充分利用多种电子凭证，如生物特征（指纹、人脸、声纹、虹膜等）、图形密码、PIN码等，进行身份鉴别。FIDO规范泛了电力物联网的终端安全策略管控原则，将传统的对称密钥的生物特征识别技术转换为非对称密钥体制的生物特征识别技术，保障用户隐私，同时提高安全性和便捷性，构建基于密码基础设施的快速、灵活、互认的身份认证机制，解决了口令天然存在弱口令、撞库、难以确认用户真实身份等安全问题以及难以记忆、不易维护等易用性问题，可以实现泛在电力物联网的可信互联。

3.4 多维度访问控制授权策略

访问控制授权需要充分考虑主体、客体和环境的多维属性进行安全评估，基于多源感知的数据，度量潜在的安全风险和信任等级，规范安全量化标准，形成动态的访问控制策略，并建立策略中心，确保访问权限安全可控。

在移动终端交互场景中，采用基于属性的动态访问控制策略，对服务、应用以及数据进行自适应的细粒度访问控制授权，移动用户身份属性基于多源数据分析（组织级安全策略和规则、访问者的多维属性、访问目标的多维属性、环境属性、行为异常性评估），评估访问授权，获取其信任等级。如评估得出的信任等级高于访问目标要求的最低信任等级，授权通过。

传统的安全防护基于系统应用本身，导致安全防护和系统应用紧密耦合，缺乏弹性。需建立中间层管控，通过访问策略进行动态配置和管理，有利于业务灵活发展，也有利于动态管控安全防护。通过可信代理可以将业务和应用接口隐藏在可信代理之后，默认不可见。

基于零信任的认证鉴权模式通过规范设备、用户和服务的访问途径，对原来运维通道获取数据途径的更进一步收敛，保留审计和日志，系统的数据安全得以保障。

3.5 监测审计

通过风险、信任的动态计算对应用访问采取阻断、允许并审计、允许等判定，持续监测泛在终端状态，调整相应接入控制策略。持续监测应用对策略中心的访问，将访问日志输出到分析平台进行风险评估，流量可视化，采用大数据分析和人工智能技术，对风险进行分析，支撑风险度量化，实现应用对策略中心的访问的监测审计。

基于大数据与人工智能技术，运用流量采集、行为模式学习、安全攻击监测、安全威胁响应等方式，实现对泛在电力物联网安全场景的动态感知、智能分析，及时对攻击进行联动响应处置，保障泛在电力物联网系统安全稳定运行。

4 结束语

本文针对基于零信任框架的物联网安全防护进行了分析研究，通过分析现有防护不足给出了具体的防护建议：

（1）构建泛在电力物联网统一标识库，为业务提供基础密钥标识，保证业务系统主体的标准统一。在实现全面身份化后，完善现有身份认证体系，运用基于线上快速身份验证（FIDO）的密钥标识和鉴别技术，建设安全可靠、灵活轻量的身份认证机制，实现泛在电力物联网的可信互联。

（2）建立动态访问控制授权策略，充分考虑主体、客体和环境的多维属性进行安全评估，基于多源感知的数据，度量潜在的安全风险和信任等级，规范安全量化标准，确保访问权限安全可控。建立中间层管控，通过访问策略进行动态配置和管理，实现业务灵活发展。

（3）持续监测应用对策略中心的访问，将访问日志输出到分析平台进行风险评估，流量可视化，采用大数据分析和人工智能技术，对风险进行分析，支撑风险度量化，实现应用对策略中心的访问的监测审计。

[1]能源评论.打造“泛在电力物联网”应规划先行[J].物联网技术，2019，9（03）：5-7.

[2]汪洋，苏斌，赵宏波.电力物联网的理念和发展趋势[J].电信科学，2010，26（S3）：9-14.

[3]张玉清，周威，彭安妮.物联网安全综述[J].计算机研究与发展，2017，54（10）：2130-2143.

[4]A Survey on the Internet of Things Security. Zhao K，Ge L. Proc of the 9th International Conference on Computational Intelligence and Security （CIS）. 2013.

[5]张玉清，周威，彭安妮.物联网安全综述[J].计算机研究与发展，2017，54（10）：2130-2143.

[6]邹维福，陈景晖，翁晓锋，张翼英，杨成月.电力物联网的风险分析及安全措施研究[J].电力信息与通信技术，2014，12（08）：121-125.

[7]Security，privacy and trust in Internet of Things：The road ahead[J].S. Sicari，A. Rizzardi，L.A.Grieco，A. Coen-Porisini. Computer Networks.

[8]赵婷，高昆仑，郑晓崑，徐兴坤.智能电网物联网技术架构及信息安全防护体系研究[J].中国电力，2012，45（05）：87-90.

[9]Security，privacy and trust in Internet of Things： The road ahead[J].S. Sicari，A.Rizzardi，L.A. Grieco，A. Coen-Porisini. Computer Networks . 2015.

[10]梅沁，李大伟，虎啸.基于NB-IoT的电力物联网安全技术研究[J].电力信息与通信技术，2019，17（01）：100-104.

[11]殷树刚，许勇刚，李祉岐，李宁，孙磊，刘圣龙，王利斌，冯磊.基于泛在电力物联网的全场景网络安全防护体系研究[J].供用电，2019，36（06）：83-89.

[12]薛朝晖，向敏.零信任安全模型下的数据中心安全防护研究[J].通信技术，2017（06）.

[13]焦仃.为什么说“零信任”将成为网络安全流行框架之一[J].计算机与网络，2018，44（04）：54-55.