霧化零信任組件的5G 電力失陷終端威脅檢測

顧智敏，王梓瑩，郭靜，郭雅娟，馮景瑜

（1.國網江蘇省電力有限公司電力科學研究院，南京 211103；2.西安郵電大學 無線網絡安全技術國家工程實驗室，西安 710121）

0 概述

5G 技術在電力行業的廣泛應用解決了散布于各個區域的電力終端的孤立性問題，使得海量電力終端成功接入網絡，但電力信息系統的建設規模不斷擴大，導致其復雜程度提高，接入網絡的設備種類和數量大幅增加，系統提供的服務和功能呈現多樣化、優質化和精準化特性［1］。越來越多的電力終端暴露在互聯網中，造成5G 電力物聯網的安全邊界越來越模糊，對傳統以邊界隔離為特征的網絡安全防御體系提出了嚴峻的挑戰［2］，如何保證電網安全已成為電力系統迫切需要解決的問題［3］。

在5G 環境下，智能電表、巡檢無人機/機器人、電能計量器、高清攝像頭、智能有序充電樁等接入電力物聯網后失去了物理隔離的天然保護。對于大部分電力終端，往往其自身的計算與存儲資源有限，同時存在安全漏洞，所處的位置與狀態復雜多變［4］。因此，攻擊者可以先入侵脆弱的電力終端進行遠程控制，在繞過強大的邊界網絡安全防御體系后，以失陷終端作為跳板縱向滲透到5G 電力物聯網內部的主站，通過用戶憑證濫用、APT 攻擊、供應鏈攻擊等方式構成竊取敏感數據的失陷終端威脅。

零信任能夠采用最小權限策略和嚴格執行訪問控制策略來減少惡意訪問和攻擊［5］。零信任假設失陷是不可避免的或已經發生的，采取“永不信任，始終驗證”的原則，主要防止敏感數據的竊取威脅。為了彌補邊界網絡安全防御體系的不足，業界對零信任的關注度越來越高。谷歌、微軟、思科、騰訊、中興、奇安信等國內外知名企業已經陸續推出了相應的解決方案［6］。工業和信息化部在《關于促進網絡安全產業發展的指導意見（征求意見稿）》中，將零信任等網絡安全新理念首次列入需要“著力突破的網絡安全關鍵技術”中。

面對攻擊者控制失陷終端滲透到5G 電力物聯網內部竊取敏感數據的威脅，本文提出一種霧化零信任組件的檢測方案。采用分布式多點的零信任組件霧化部署，將檢測失陷終端威脅的壓力分散到各個霧區域，并引入策略監管器，通過區塊鏈輔助數據共享方法保障分布式零信任安全架構的可用性。構建一種突發信任評估模型，持續性地收集終端行為因素以提取突發因子，從而實現失陷終端的快速檢測。對霧層認證信息進行簽密，使其安全傳輸到云層，電力云控制中心（Power Cloud Control Center，P3C）驗證認證信息的有效性并提供相應服務，從而降低對抗失陷終端威脅的處理負載。

1 相關工作

零信任的理念和相關技術正在快速推動網絡安全行業的發展和變革，所有的實名訪問場景都可以逐步升級到零信任網絡的安全架構下［7］。美國國家標準技術研究院（NIST）發布的《Zero Trust Network Architecture》標準草案［8］指出，零信任安全架構是一種端到端的網絡/數據保護方法，包括身份、憑證、訪問管理、運營、終端、主機環境、互聯的基礎設施等多個方面，其核心由策略引擎（Policy Engine，PE）、策略管理器（Policy Administrator，PA）、策略執行點（Policy Enforcement Point，PEP）等組件構成。

在NIST 所提架構的基礎上，結合相關應用場景的零信任安全架構研究方案已經出現。文獻［9］提出一種基于零信任網絡的用戶上下文共享方法，通過用戶控制上下文共享機制來保護用戶隱私。文獻［10］針對分布式系統建立零信任架構，同時提出一種共識算法，確保了訪問過程中數據的安全性。文獻［11］基于Elastic Stack 構建零信任網絡模型，保密單位可以在保證機密性的同時提高工作效率。文獻［12］為5G 智能醫療平臺提出一種零信任醫療安全架構，實現了實時網絡安全態勢感知和細粒度的訪問控制。然而，現有零信任安全架構研究方案默認零信任組件為中心化部署，無法直接應用于海量電力終端接入和分布廣泛的5G 電力物聯網場景中，在面向海量電力終端的頻繁訪問請求認證時容易延遲認證時間，甚至導致中心化的零信任組件單點失效。

在零信任安全架構中，信任評估是發現失陷終端的關鍵技術，是識別網絡中異常行為的重要工具［13］。文獻［14］通過節點內存的內在屬性建立信任評估機制，保證了無線傳感網絡的可信目標節點和源節點的可信度。文獻［15］使用加權求和方法獲得具有推薦和反饋的間接信任值，通過模糊邏輯和貝葉斯推理計算信任級別，據此判斷網絡節點的可信度。文獻［16］針對電力物聯網環境提出一種基于模糊的信任評估機制，使用貝葉斯和DS 證據理論計算電網路由的綜合信任值，確保了電網路由的安全性。文獻［17］基于車聯網的感知層提出一種考慮節點周圍環境因素的信任評估模型。但是，現有信任評估模型較少考慮突發性問題，計算出的信任值滯后于終端行為，難以快速預警和檢測行為突發異常的失陷終端威脅。

2 系統架構

5G 技術在電力行業的快速普及促使接入網絡的電力終端數目眾多且覆蓋范圍較廣［18］，給零信任組件的中心化部署帶來了巨大挑戰，減緩了零信任在5G 電力物聯網中的應用。因此，需要一種分布式架構來提升失陷終端威脅的檢測效率，規避中心化部署的單點失效問題。

霧計算是一種系統性的水平計算架構，其部分計算、存儲、通信、控制和決策由接近用戶的邊緣網絡設備完成［19］，可以有效緩解云計算中存在的時延問題，因此，其在智慧城市、智能醫療、智能電網等對低時延需求較高的領域被廣泛應用［20］。鑒于此，可以將零信任組件部署于電力終端周圍的霧區域，在“端”“霧”“云”系統架構上實現5G 電力物聯網場景下的失陷終端威脅檢測。如圖1 所示，失陷終端威脅檢測系統架構包括端層、霧層和云層。

圖1 失陷終端威脅檢測系統架構Fig.1 Threat detection system architecture of compromised terminals

端層、霧層和云層具體功能如下：

1）端層。接入5G 電力物聯網“發、輸、變、配、用”五大環節的電力終端構成端層。每個連接互聯網的電力終端配置零信任代理，負責監控電力終端的網絡活動和資源訪問請求。對于控制命令篡改、惡意代碼注入等可疑行為，零信任代理監控發現后直接告知零信任網關（PEP）進行攔截；對于無法確定可疑情況的資源訪問請求，則需要提交給零信任組件。

2）霧層。根據5G 電力物聯網的業務范圍，可以將霧層劃分為m個霧計算區域，定義為集合Ъ=｛FA1，…，FAe，…，FAm｝。每個區域中分配n個霧服務器，定義為集合€=｛SEF1，…，SEFf，…，SEFn｝，主要包括：實現PR監測職能的1 臺計算型霧服務器和3 臺存儲型霧服務器；構成PE、PA、PEP 主節點的3 臺計算型霧服務器，并為每個主節點搭配用于次節點的（n-7）/3 臺計算型霧服務器。主節點負責響應零信任代理發來的認證請求，對于通過綜合分析研判出的可疑行為，可直接攔截阻斷，而對于涉及敏感數據訪問的請求，需要將授權結果提交給云層，方便電力終端接入云層。當負責某個零信任組件的主節點宕機或癱瘓時，相關次節點立即啟動，從而保障零信任組件的監控職責正常運行。

3）云層。零信任組件產生的認證信息若是明文狀態，則在傳輸過程中容易被攻擊者篡改和偽造。因此，系統對霧層認證信息進行無證書簽密，確保其安全傳輸到云層。電力云控制中心P3C 解簽密認證信息，結合訪問權限進行驗證：若驗證通過，則返回驗證有效性和訪問許可給霧層的相關零信任組件，對主體提供相應的數據類型；若驗證未通過，則返回驗證無效和訪問拒絕消息。

3 方案設計

為滿足5G 電力物聯網場景下海量終端的認證和監控需求，本文提出一種失陷終端威脅檢測方案，主要包括霧化零信任組件、突發性信任評估和簽密傳輸霧層認證信息部分。

3.1 霧化零信任組件

本文系統采用分布式多點方式將零信任組件霧化部署到電力終端周圍，同時，提出一種宕機組件應急響應流程，用于及時發現單點失效的零信任組件，此時立即啟用相關霧服務器次節點，避免一個零信任組件停止運轉而導致整個零信任安全架構失效。

3.1.1 分布式多點霧化部署

PEP、PE 和PA 這3 個零信任組件相互協作構成了零信任安全架構的運行機制。霧化部署主要包含5 個步驟：

1）主體在5G 電力物聯網內部活動發出的數據和資源訪問請求，都會被零信任代理打包成認證需求上報給PEP。

2）PEP 通常稱為零信任網關，轉發上報的認證需求給PE。

3）PE 根據主體的認證情況，通過突發信任評估模型計算其信任值，對網絡活動和訪問請求進行認證，并將認證結果發給PA 和PEP。

4）對于認證通過的主體，PA 生成訪問授權憑據交給PEP。

5）PEP 將認證結果和授權憑據打包簽密后發送給P3C，若收到P3C 返回的驗證有效性和訪問許可，則轉發給主體。

為了防止零信任組件的單點失效故障，在霧化部署過程中，PEP、PE 和PA 這3 個零信任組件不僅需要分布式多點部署，還要分別部署在不同的霧服務器上，獨立運行相關職能，從而降低其宕機風險，保障零信任安全架構的有效性。

本文引入策略監管器PR 對PEP、PE 和PA 這3 個組件的霧服務器主節點運行情況進行實時監測。PR可以訪問和關聯分析所有零信任組件的運行數據，當發現某個主節點宕機時，在相關霧服務器次節點集合中選取新的主節點繼續工作。

在一個霧計算區域內，定義零信任組件節點集合為Γ=｛ZCPEP，ZCPE，ZCPA｝。圖2 所示為平等隨機選取算法的執行過程。

圖2 平等隨機選取算法流程Fig.2 Procedure of equal random selection algorithm

平等隨機選取算法執行步驟具體如下：

步驟1初始時刻，PR 為3 個零信任組件分配含有g個不重復整數的隨機數集合R1、R2和R3，集合R1中的隨機數分別一對一匹配給PEP 組件的g個霧服務器。

步驟2按隨機數大小排列，形成PEP 組件集合ZCPEP=｛PEP1，…，PEPb，…，PEPg｝，其中，PEP1為初始PEP主節點，其余為處于依次待命狀態的g-1個PEP次節點。按類似方式，可得到PE組件集合ZCPE=｛PE1，…，PEb，…，PEg｝和PA 組件集合ZCPA=｛PA1，…，PAb，…，PAg｝。

步驟3PR 監測到某個組件主節點（比如PEP1）宕機時，向排在其后的PEP2發出上線通告。PEP2屬于優先待命的次節點，一直等待來自PR 的上線通告，同時實時關注PEP1的運行狀況。若PEP2在上線通告來臨之前發現PEP1即將宕機，應及時向PR 申請正式上線通告。

步驟4處于優先待命狀態的次節點（比如PEP2）接到上線通告后成為新的主節點，并向其后的PEP3發送優先待命指令，接替PEP2的位置。

步驟5PR 向霧區域內所有電力終端的零信任代理廣播PEP2上位消息，后續的認證需求將發給PEP2。

步驟6PEP1重新恢復后排入集合ZCPEP，成為最后一個PEP 次節點。

3.1.2 零信任組件宕機應急響應

針對零信任的全網監控職責，攻擊者控制一些失陷終端產生大量的正常數據包，經由零信任代理自動流向零信任組件。攻擊者沒有在這些數據包中注入任何攻擊代碼和指令，主要目的是致癱零信任引擎。維持零信任安全架構的各組件都被分別部署在不同的霧服務器上，如果其中一臺宕機，零信任安全架構就會失效，無法對電力終端的網絡活動行為進行監控，從而給予失陷終端潛在的竊取敏感數據的機會。

對于分布式多點部署，為確保次節點上線后能快速進入工作狀態，通過區塊鏈輔助方法，在零信任組件的主節點和次節點之間實現運行數據共享。區塊鏈是新型信息基礎設施的重要支撐技術，在電力系統中被廣泛應用［21］。

如圖3 所示，對PE、PA、PEP 生成3 種類型的區塊鏈，分別為Per-blockchain、Par-blockchain 和Peprblockchain，它們都具有聯盟區塊鏈去中心化、可追溯、防篡改和預定共識節點的特點。Per-blockchain由PR 和集合ZCPEP中的所有節點共同維護。PEP 主節點充當Per-blockchain 共識頭的角色，將其固定時間內新產生的運行數據創建成一個新區塊，廣播給PR 和其余次節點。按類似方式，可得到Parblockchain 和Pepr-blockchain 的共同維護和區塊產生機制。進一步地，為保障PR 的正常運轉，PR 除了由1 臺計算型霧服務器和3 臺存儲型霧服務器構成外，只負責監測PE、PA 和PEP 這3 個組件的主節點運行數據，不接收和處理來自其他用戶、設備、終端的任何交互和通信數據，具有更好的抗宕機性。

圖3 策略監管器的可視化架構Fig.3 Visual architecture of the policy regulator

區塊鏈可以在弱信任或無信任網絡中進行數據共享［22］。結合區塊鏈輔助的零信任組件運行數據共享方法，PR 可以發現被攻擊者致癱的宕機組件。如圖4 所示，一旦出現宕機組件，應急響應流程如下：

圖4 宕機組件應急響應流程Fig.4 Emergency response procedure of downed component

1）當PEP 接收到電力終端發起的訪問請求時，同步觸發PR 的實時監視。

2）PEP 將綜合評價因素發送給PE，同時向PR 提交一份綜合評價因素的副本。

3）PE 的授權結果通過Per-blockchain 共享給PR，如果PR 發現授權結果錯誤，則PE 可能是失陷組件。

4）PA 生成的授權憑證通過Par-blockchain 共享給PR，如果PR 發現授權憑證與授權結果不匹配，則PA 可能是宕機組件。

5）PEP 的訪問決策通過Pepr-blockchain 共享給PR，如果PR 發現訪問決策不是由授權憑證所做出，則PEP 可能是宕機組件。

6）當PR 發現某個組件發生宕機，立即通告相關組件的優先待命次節點進行替換。

3.2 突發信任評估

信任評估是零信任網絡的核心部分，維護整個零信任網絡的正常運轉［23］。檢測失陷終端威脅的關鍵在于信任評估需要快速捕捉到突發行為，并量化反映到信任值。在5G 電力物聯網中，結合零信任組件的霧化部署，本文建立一種突發信任評估模型，以快速發現具有突發異常行為的失陷終端。

定義霧區域FAe內的電力終端集合?=｛PT1，…，PTk，…，PTp｝。終端行為因素是信任評估模型的數據輸入來源，充分利用零信任代理監測霧區域FAe內電力終端的行為，持續性地收集終端行為因素，將其提交給所屬霧區域的Per-blockchain 鏈上存儲。

以PTk為例，終端行為因素集合，。當電力終端PTk通過認證，則視為連接成功，加1；否則，連接失敗，加1。為提取出的突發因子。若零信任代理監測出現惡意提權、橫向越權、縱向越權等行為時，設置=1。在零信任組件中，PE 調用Per-blockchain 鏈上的￡，從而計算電力終端的信任值。

貝葉斯信任具有簡潔有效的特點，是目前主流的信任評估方案之一。貝葉斯分布概率密度函數Beta（α，β）［24］如下：

其中：τ表示電力終端行為的可能性，0<τ<1，α>0，β>0。

在5G 電力物聯網中，使用和計算信任值。當PTk連接 成功，α=+1；否則，β=+1。PTk的信任值計算公式為：

顯然，α和β都為正整數，因此，根據Beta 分布函數的期望值，進一步得到PTk的信任值計算公式為：

屬于靜態評估方式，存在一定的滯后性，難以及時反映失陷終端的突發異常行為。當電力終端PTk失陷后，攻擊者可以控制失陷終端竊取敏感數據。因此，本文引入突發因子進一步優化信任值計算，及時實現突發的信任評估。當=1時，PTk的突發信任值計算公式為：

顯然，和都在［0，1］區間范圍內，門限值σ可以取為一個中間值0.5。根據式（4），當出現=1時，會迅速衰減其信任值到門限值以下。

根據門限值σ，可以給出關于PTk的認證結果。當≥σ時，=1，表示認證通過；當<σ時，=0，表示認證不通過。最后，PE將發送給PA 和PEP。

3.3 無證書簽密霧層認證信息

若=0，則PEP 快速認定PTk為失陷終端，攔截其訪問請求；若=1，PA 則生成訪問授權憑據并發送給PEP。PEP 打包霧層認證信息mk=｛PTk，，｝，傳輸到云層的P3C。為防止霧層認證信息在傳輸過程中被篡改和偽造，對mk進行無證書簽密，以保障mk的安全性。無證書簽密過程如圖5 所示。

圖5 霧層認證信息的簽密過程Fig.5 Signcryption process of fog layer authentication information

無證書簽密具體由以下4 個步驟組成：

1）初始化

2）用戶密鑰生成

3）簽密

計算出P3C 的完整公鑰PKP3C=（KP3C，LP3C），完整私鑰SKP3C=（kP3C，YP3C）。PEP 發送消息mk給P3C 時的簽密過程如下：

PEP 生成簽密后的密文δk=（RPEP，ck，sigPEP）并發送給P3C。

4）解簽密

P3C 在收到簽密消息δk后，使用相應的私鑰SKP3C和PEP 的公鑰PKPEP進行解簽密，過程如下：

通過第3 步恢復明文mk。如果第4 步成立，則簽名有效，接收mk；否則，拒絕接收mk。

對上述簽密方案進行正確性分析，如下：

1）驗證消息的真實性。由式（5）可知W′=W，因此，可以正確解密出明文mk||IDPEP=ck⊕H2（W′）。

2）驗證簽名的正確性，驗證過程為：

在本文簽密方案中，PEP 和P3C 的密鑰由自身及KGC 共同生成。PEP 通過計算進行簽名，P3C 通過計算mk=（ck||IDPEP）⊕H2（RPEP·（YP3C+kP3C））解密密文。假設攻擊者成功獲取PEP 或P3C 的身份信息，但是計算其私鑰屬于橢圓曲線離散對數困難問題，因此，本文方案可以抵抗霧層認證信息的篡改和造假攻擊。

4 仿真分析

4.1 仿真環境設置

本文使用Python3.9 搭建仿真環境，對檢測方案進行實驗分析，驗證失陷終端威脅的抑制效果。仿真環境參數設置如表1 所示。

表1 仿真環境參數設置 Table 1 Simulation environment parameters setting

4.2 仿真結果分析

本文方案將零信任賦予的認證和全網監控職責下沉到5G 電力物聯網邊緣，對零信任組件進行霧化部署。在仿真中，首先對比分析中心化和霧化部署后零信任組件的處理負載。如圖6 所示，隨著訪問請求的不斷增加，中心化部署所面臨的處理負載呈線性增長趨勢，霧化部署則會分解掉這些處理負載。當霧區域數量F=10時，每個霧區域承擔的處理負載明顯降低。特別地，隨著霧區域劃分數量的增加，分攤到每個霧區域的處理負載降低。

圖6 處理負載對比Fig.6 Processing load comparison

設置霧區域數量為10，采用循環仿真的方法進行100 輪仿真，通過3 組仿真實驗觀察本文方案對抗失陷終端威脅的效果。

在本文方案中，信任值可用于快速識別失陷終端。第一組仿真實驗中隨機選擇一個失陷終端，觀察其信任值變化情況，并與貝葉斯方案［25］進行對比。假設該終端在前35 輪未失陷，從第36 輪開始被攻擊者控制而失陷。如圖7 所示，在前35輪，該終端在2 種方案下的信任值都不斷增加，從第36 輪開始，該終端出現突發異常行為，在貝葉斯方案下信任值緩慢衰減，而在本文方案中極速衰減。貝葉斯方案未在信任值計算中考慮對突發異常行為的量化，難以迅速衰減信任值，本文方案充分借助零信任代理的監測功能，當發現=1時，觸發突發信任值計算，在圖7中，直觀表現為信任值在第36 輪極速衰落到門限值以下。

圖7 失陷終端的信任值變化情況Fig.7 Changes of trust values of compromised terminal

本文方案的主要設計目的在于檢測失陷終端。在第二組仿真實驗中，深入到一個霧區域，觀察失陷終端的檢測率情況。以其中一個霧區域FAm為例，電力終端數量為300，失陷電力終端比例為20%，設置失陷終端從第36 輪開始統一出現突發異常行為。如圖8 所示，貝葉斯方案難以檢測出失陷終端，本文方案引入突發信任評估機制，具有快速的失陷終端檢測效率，在第36 輪有效檢測出92.3%的失陷終端，到第39 輪則檢測出了所有的失陷終端。

圖8 失陷終端檢測率Fig.8 Compromised terminals detection rate

阻斷敏感數據的竊取威脅表現為限制失陷終端的非法訪問次數。第三組仿真實驗延續上一組仿真參數，進一步觀察本文方案抑制失陷終端發出的非法訪問次數的效果。如圖9 所示，貝葉斯方案難以抑制該霧區域產生的非法訪問次數，而本文方案能及時發現失陷終端，迅速將非法訪問次數降至零。

圖9 非法訪問次數的抑制情況Fig.9 Suppression of the number of illegal access

5 結束語

在5G 電力物聯網環境下，越來越多的電力終端暴露在互聯網中，提高了攻擊者控制失陷終端從而縱向滲透的可能，因此，需要更加有效的數據安全保障機制。為滿足海量電力終端接入網絡的敏感數據保護需求，本文提出一種霧化零信任組件的失陷終端威脅檢測方案。通過分布式多點方式對圍繞密集的電力終端進行零信任組件霧化部署，并設計一種宕機組件的應急響應流程。建立突發信任評估模型，快速檢測出具有突發異常行為的失陷終端，同時采用簽密方案保障霧層認證信息傳輸過程的安全性。仿真結果表明，霧化部署能夠分攤中心化模式下零信任組件的處理負載，該方案可以有效檢測失陷終端威脅。下一步將結合深度學習算法，建立基于卷積神經網絡的動態信任評估模型，以實現更優的失陷終端抑制效果。