電力物聯網零信任架構下的分布式認證模型

唐大圓 曹 翔 林 青 胡紹謙 湯震宇

(南京南瑞繼保電氣有限公司 南京 211102)

近年來,隨著經濟社會發展對新型電力業務的需求,電網越來越智能化.智能電網的建設適應了發電多樣化、用電多元化的服務需求,同時電力業務走向開放也給電力系統的網絡安全防護提出了新的挑戰.當前電力系統的網絡安全防護秉承“安全分區、網絡專用、橫向隔離、縱向認證”的總方針,以“縱向防御+邊界防御”為主的安全防御體系,在配用電力終端和邊緣側電力設備安全防護上難以全面覆蓋.一方面,“大云物移智鏈邊”新技術促進了智能電網與物聯網、互聯網的深度融合,也在一定程度上模糊了網絡邊界;另一方面,分布式新能源業務的發展,海量異構智能化終端的接入,增加了終端信息泄露、非法接入、失陷控制的風險.

相較于硬件芯片身份的物聯終端安全接入模型,本文零信任認證模型采用軟件數字身份和持續監測的方式實現終端接入認證,降低了對終端設備的侵入改造.相對于外置加密認證裝置方案,內置于終端設備的認證模型能基于訪問控制防御來自開放網絡的攻擊行為,提升設備內生安全能力.

本文提出的電力物聯網零信任架構下的分布式認證模型,采用零信任安全理念和安全技術,對認證模型進行動態擴展,屏蔽了異構終端在接入能力上的差異,形成向上統一、向下兼容的分布式認證模型.無論邊緣設備還是異構物聯終端均可實現安全接入和持續信任監測,將網絡安全防護框架延伸到邊緣側和感知層設備,提升了電力物聯網整體安全防護能力.

1 相關研究

隨著電力物聯網面臨的網絡安全威脅越來越廣泛、越來越嚴峻,國內外針對電力物聯網面臨的新型網絡安全挑戰的研究也逐漸增多.近些年新能源業務快速發展,越來越多新能源企業和用戶的智能電力終端通過無線公共網絡接入電力系統,使得原先相對清晰的電力系統網絡邊界逐漸模糊,電力系統的網絡安全防護也從主站、子站機房延伸到用戶側終端設備.為應對電力系統邊界逐漸模糊的問題,文獻[1-2]提出了一種基于零信任的安全防護框架,通過零信任安全思想和安全技術重新定義網絡安全防護邊界.此外,智能終端設備通過無線公網接入必然導致這些終端直接面臨來自于開發網絡的攻擊威脅,相對于傳統電力專網,這些威脅呈爆發式增長,部分智能終端遭受網絡攻擊失陷而被控制的情況已無法避免,為降低因終端失陷導致的大面積電力系統異常風險,文獻[3]提出了一種電力物聯網場景下對抗失陷終端威脅的邊緣信任模型,采用零信任引擎的分布式部署和基于區塊鏈的信任評估模型,以達到對失陷終端威脅的抑制效果.文獻[4-6]分別探討了物聯網終端設備身份識別和認證方法,在眾多異構物聯網終端設備中,基于終端設備軟硬件特點,建立終端設備的認證模型,以達到安全與業務、功能與性能的平衡.文獻[7-9]介紹了零信任安全架構下終端設備的動態信任評估模型,通過持續信任評估發現電力終端設備運行狀態下的網絡安全風險.

2 零信任身份認證機制

零信任架構(zero trust architecture, ZTA)建立在傳統網絡邊界信任體系逐漸失效的背景下,提倡打破單一網絡邊界的概念,對用戶、設備和應用進行全面、動態的訪問控制.通過身份識別與訪問管理(identity and access management, IAM)構建統一的權限管理平臺,通過定義并管理設備或用戶的唯一身份,確保合適的身份在合適的時間獲得合適的訪問權限;使用軟件定義邊界(software define perimeter, SDP)架構重構業務安全訪問邊界,基于5層安全訪問控制(單包認證、雙向傳輸層安全、 設備認證、動態防火墻、應用綁定),提供多層次細粒度的網絡安全邊界防護能力.

電力物聯網應用場景下,大量分布式異構終端通過無線公共網絡接入電網,這些設備沒有統一的身份標識,也不具備唯一的生物特征,很難建立統一的身份管理平臺和實現設備間的身份認證.

當前,電力物聯網中設備和終端安全接入通常是采用導入或內置數字證書的方式為設備提供統一的身份,進而實現安全接入時的身份認證和通信加解密.然而這些數字身份證書無法覆蓋所有的感知層設備,同時基于數字證書的身份認證只能解決終端設備接入時的設備身份可信問題,對于業務邏輯漏洞、設備安全狀態、業務隔離等安全問題沒有很好的解決方案.因此本文基于零信任安全架構,結合電力物聯網“云管邊端”安全分層防護特點和可信計算技術,提出采用靈活的分布式認證架構,將電力物聯網場景下的設備身份認證進行分層設計,既能集中管理又易于擴展.

3 分布式認證模型

為解決電力物聯網場景下邊緣設備和感知終端的身份認證問題,基于電力物聯網使用數字證書進行身份認證的基本要求,本文提出一種分布式認證架構,將身份認證進行時間上的動態擴展和設備類型上的橫向擴展,形成包括3個層次的分布式認證架構,如圖1所示:

在圖1所示的分布式認證方案中,將電力物聯網場景下對邊緣設備和終端設備的接入認證功能拆分成由3層認證組合的分布式認證架構,包括安全接入認證、本地設備認證、南向終端認證.其中安全接入認證沿用電力物聯網數字證書方式進行身份認證,由安全接入區的接入網關認證邊緣代理的本地認證器,本地設備認證是邊緣設備上身份認證的動態擴展,由本地認證器持續認證邊緣代理設備,物聯終端認證是邊緣設備上對南向終端的認證類型擴展,由本地認證器認證南向感知終端設備.電力物聯網采用“云管邊端”業務接入和安全防護架構,“云”是指物聯管理平臺及上層應用;“管”指網絡接入,對應安全接入區;“邊”是指邊緣物聯代理設備;“端”則是指感知層傳感設備.本文的分布式認證架構則對應其中的網絡防護和終端防護,如圖2所示.

3.1 安全接入認證

安全接入認證是由安全接入區的零信任控制器對邊緣設備中的本地認證器進行認證,邊緣設備中的本地認證器應具備零信任控制器可識別、可信賴的身份信息,通常是由公鑰基礎設施(public key infrastructure, PKI)頒發的數字證書身份信息,數字證書的頒發過程不在本文所討論范圍內.本地認證器的安全接入認證過程基于零信任SPA單包認證流程,如圖3所示.

邊緣設備在發起安全接入認證之前,先由本地認證器完成設備本地認證,本地設備認證通過后,通知SPA客戶端模塊發起SPA認證流程:

1) 本地認證器將接入認證請求發送給SPA客戶端,攜帶LaID,LaTr,其中LaID是本地認證器的身份標識(數字證書),LaTr是本地設備認證時的信任列表;

2) SPA客戶端通過UDP協議將認證請求發送給零信任控制器,攜帶Enc((LaID,LaTr),Pub_ctrl), LaSign,其中Enc((LaID,LaTr),Pub_ctrl) 是使用控制器的公鑰Pub_ctrl對(LaID,LaTr)進行加密后的信息,LaSign是本地認證器證書私鑰對Enc((LaID,LaTr),Pub_ctrl)的簽名;

3) 零信任控制器接收到SPA認證請求消息后,使用私鑰進行解密,獲得LaID,使用LaID對應的公鑰Pub_Laid對LaSign進行簽名驗證;

4) 零信任控制器SPA請求認證成功后,通知零信任接入網關開放零信任控制器的策略更新訪問端口Port_pu;

5) SPA客戶端嘗試訪問零信任控制器策略更新端口Port_pu;

6) 零信任控制器接收到策略更新請求后返回最新訪問控制策略和信任列表;

7) SPA客戶端向本地認證器更新信任列表,用于邊緣設備本地身份的認證.

3.2 本地設備認證

本地設備認證是指本地認證器對邊緣智能終端設備進行身份認證.邊緣智能終端設備的身份信息不是永恒不變的,隨著地理位置、網絡環境、信任等級、設備硬件替換、設備歸屬等眾多自身或外界因素發生變化而發生變化.

電力邊緣智能終端北向通過無線專網或公共網絡接入調度網絡或其他電力業務聚合商,南向通過本地網絡管理感知層終端設備,其設備本身直接面臨來自公共網絡的安全威脅,而缺少專業網絡安全邊界設備的防護,是電力物聯網安全防護中的薄弱點和重要環節.通過對智能終端設備進行威脅建模分析,發現其存在的安全風險,如圖4所示:

圖4 智能終端威脅模型

通過分析發現,邊緣智能終端主要面臨的威脅來自于遠程網絡攻擊,遠程攻擊發生后,可以穿過設備內部的安全邊界向系統內核滲透,甚至通過電力業務邏輯漏洞向調度主站或聚合商內網滲透.

本地認證器基于信任列表和信任策略對邊緣智能設備持續進行動態信任評估.動態信任評估綜合考慮影響智能終端安全的多方面因素,如網絡接入環境、終端異常行為、終端數字身份等.電力業務連接一旦建立,往往會長時間保持連接狀態,傳統方式是在連接建立時進行身份認證,在后續的業務交互時無法識別終端實時安全狀態,可能導致業務漏洞被終端上的非法程序利用,而動態信任評估是持續進行的,能及時發現智能終端上的異常行為,進而根據評估策略決定是否關閉當前的業務連接.

為節省智能終端的網絡帶寬和減少對零信任網關和控制器的訪問請求,認證結果保存在本地認證器中,在本地業務發起SPA請求時(如圖3所示),將本地設備認證結果發送給零信任控制器.

3.3 南向終端認證

南向物聯終端處于電力物聯網感知層,通過邊緣智能終端匯聚接入,其身份認證由邊緣智能終端上的本地認證器完成.物聯終端類型和處理能力各異,對終端設備的身份認證難以形成統一的標準,文獻[10]分析對比了南向物聯終端設備的各種認證協議和認證方法,這些協議和方法各有優缺點.針對電力物聯網的終端設備特點,本文采用可擴展的終端認證方案,既支持具備認證能力的接入協議,如Lora、藍牙等;對于無認證方式接入的終端也能通過被動指紋技術自動發現和識別,并建立設備的指紋身份信息.

本地認證器采用的被動指紋識別技術采用多層網絡流量特征的識別功能,包括MAC指紋,系統指紋、網絡指紋、電力協議指紋識別.其中MAC指紋屬于硬件指紋,具有較高的識別度,容易被偽造,實際使用過程中需要配合其他的檢測方式共同使用.系統指紋是指通過網絡流量分析終端操作系統類型;網絡指紋是針對工控協議業務流量比較固定的特點,對某些固定位置網絡報文進行時序探測,形成設備或業務指紋;電力協議指紋是在網絡指紋基礎上增加具體電力網絡協議報文特征進行探測,形成“特征+時序”模式,提高設備或業務指紋的準確率.不同被動指紋模型的測試結果如表1所示:

注:1)本次測試采用遠動、逆變器、臺區終端、交互終端、模擬終端作為南向感知終端接入設備;終端操作系統覆蓋無操作系統、通用Linux操作系統、自主可控操作系統、容器;2)本次測試終端的接入協議使用網絡Modbus,DL/T 5104協議;3)CLRT(cross-layer response time).

3.4 基于可信計算的信任傳遞

可信計算為智能終端提供了主動免疫防御能力,基于硬件的密碼模塊和動態度量技術為智能終端關鍵系統軟件提供了完整性保護.

本地認證器基于可信計算提供的信任根進行信任擴展,將信任鏈擴展到SPA代理,再經SPA認證擴展到零信任網絡的接入認證.支持可信計算的智能終端上操作系統內核是經過靜態度量的,被認為是安全可靠的運行環境,本地認證器可對內核進行擴展,基于內核對本地認證器中的數據(如設備證書私鑰和信任列表)進行訪問控制,以實現基于BLP模型的安全訪問.具體實施步驟如圖5所示:

圖5 基于BLP模型的安全訪問控制

4 實驗與分析

4.1 實驗環境

本文主要針對邊緣智能終端設備通過不同認證方案的安全性進行測試,采用新能源光伏配電網絡搭建本文實驗的測試環境,配電終端作為邊緣智能終端設備,通過4G網絡接入模擬主站.配電終端與主站之間分別采用IPsec VPN、SDP、分布式認證方案進行安全性測試,測試環境如圖6所示.

圖6 本文實驗拓撲結構

在圖6所示的拓撲結構中,邊緣智能終端及北向網絡為本文測試對象,感知終端和南向網絡無關本文測試的實驗結果.

4.2 實驗內容

根據測試拓撲依次將智能交互終端通過IPsec VPN、SDP、分布式認證方案接入到模擬主站的安全接入區,通過攻擊終端模擬ATT&CK模型中的不同階段戰術措施對接入網絡和邊緣終端設備實施的網絡攻擊.

根據電力物聯網對終端接入認證和業務數據安全傳輸的要求,本文實驗在攻擊戰術的選擇上側重于針對設備身份認證、數據泄露和服務可靠性的攻擊戰術,包括身份驗證、啟動執行、行為隱藏、中間人攻擊、服務掃描、網絡數據嗅探、本地數據嗅探、C2 Channels、DDoS攻擊.

4.3 實驗結果分析

在3種安全接入方案的接入認證和接入后業務運行過程中,分別采用3.2節選擇的攻擊戰術對邊緣智能終端設備或接入網絡進行攻擊,測試結果如表2所示:

表2 電力物聯網安全防護方案測試結果

注:1)本體DDoS攻擊是針對認證架構本身的攻擊行為,服務DDoS攻擊是針對所保護的內部業務的攻擊行為;2)本文測試所選用的攻擊戰術來自于ATT&CK模型.

由表2可知,分布式認證方案在接入認證和數據安全方面均可提供較好的防護能力.相較于傳統VPN認證方案,SDP能提供對服務掃描和非法數據回傳通道的阻斷;分布式認證方案則在SDP基礎上提升了智能終端本地安全防護能力.另外,SDP和分布式認證方案均基于SPA單包認證實現接入終端的認證,在認證流程的DDoS防護上,相較于IPsec VPN方案流程和算法上的資源消耗降低80%,而在隧道建立后的業務DDoS防護上,性能提升25倍,因為IPsec VPN提供的是粗粒度的網絡層隧道加密方案,業務DDoS攻擊防護需要在解密報文后由防火墻或服務器處理,而SDP和分布式認證方案則是采用mTLS提供細粒度業務加密隧道,在接入網關上可直接對業務DDoS攻擊進行防護阻斷,無需解密報文,具有較高的防護性能.

5 結 語

本文提出了一種基于電力物聯網零信任架構下的分布式認證模型,該模型以電力物聯網設備接入身份認證模型為基礎,結合零信任安全理念,采用認證下沉的方式,提升對邊緣智能終端設備和南向感知設備的安全防護能力.實驗結果表明,該方法可有效提升終端的網絡安全攻擊防護和業務數據防泄露、防篡改能力,并在DDoS防護性能上得到大幅提升.