CN114385442A - 零信任引擎雾化部署的认证系统及其防宕机、防失陷方法 - Google Patents

Abstract

本发明公开了电力安全技术领域的一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法，所述系统包括云层、雾层和端层，端层与雾层通信连接，雾层与云层通信连接；端层包括接入5G电力物联网的若干个电力终端；雾层包括部署在电力终端周围的若干个雾计算区域，每个雾计算区域中包括若干个雾节点服务器；零信任引擎包括PEP组件、PE组件和PA组件，雾节点服务器用于实现零信任引擎的各组件的主节点和次节点，且零信任引擎的各组件分别部署在不同的雾节点服务器上；电力终端通过雾化部署在电力终端周围的零信任引擎的认证后，从云层获得指定的服务。本发明能有效预防零信任引擎面临海量终端接入时的单点失效故障，提高海量终端接入时的认证效率。

Description

零信任引擎雾化部署的认证系统及其防宕机、防失陷方法

技术领域

本发明属于电力安全技术领域，具体涉及一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法。

背景技术

随着5G技术在电力行业地广泛应用，打破了散布于各个区域电力终端的孤立性，大量的电力终端逐渐接入网络。越来越多的电力终端暴露在互联网之中，造成5G电力物联网的安全边界越来越模糊，对传统以边界隔离为特征的网络安全防御体系提出了严峻的挑战。

5G环境下，智能电表、巡检无人机／机器人、电能计量器、高清摄像头、智能有序充电桩等电力终端联网后，丧失了物理隔离的天然保护。对于大部分电力终端，往往自身的计算与存储资源有限，存在着安全漏洞，所处位置与情况复杂多变。因此，攻击者可以先入侵脆弱的电力终端进行远程控制，绕过强大的边界网络安全防御体系后，以失陷终端为跳板横移到5G电力物联网内部，实施用户凭证滥用、APT攻击、供应链攻击、越权操作、恶意代码注入等威胁。

为了弥补边界网络安全防御体系的不足，零信任越来越受到业界重视。零信任既针对已经突破网络的外部攻击者，又针对恶意内部人员，通过假设失陷是不可避免的或已经发生的，对任何一个用户、终端、服务采取“永不信任，始终验证”的原则，主要在网络内部阻断恶意数据注入和防止敏感信息的窃取威胁。

美国国家标准技术研究院（NIST）发布的《Zero Trust Network Architecture》标准草案指出，零信任安全架构是一种端到端的网络/数据保护方法，包括身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施等多个方面。如图1所示，零信任安全架构主要包括主体、受访资源、辅助系统和零信任引擎等。主体就是网络内部可以访问资源的用户设备或终端，配置有零信任客户端进行风险感知，实时监控设备的安全状态，如出现越权操作、恶意代码注入等可疑行为，会立即被零信任客户端发现，告知零信任网关进行拦截。受访资源则是在网络内部可被访问和获取的资源。在整个零信任安全架构中，零信任引擎是核心，由策略引擎(policy engine, PE)、策略管理器(policy administrator, PA)、策略执行点(policy enforcement point, PEP)等组件构成。

这三个零信任引擎组件的相互协作构成了零信任安全架构的运行机制，主要包含5个步骤：1）主体在网络内部活动发出的数据和资源访问请求，都会被零信任客户端打包成认证信息上报给PEP组件；2）PEP组件通常称为零信任网关，转发上报的认证信息给PE组件；3）PE组件根据主体的认证情况，结合其使用的应用、协议及加密情况等诸多因素进行综合分析，对其网络活动和访问请求进行授权，并将授权结果发给PA组件和PEP组件；4）对于授权许可的主体，PA组件生成身份验证令牌或凭据后交给PEP组件；5）PEP组件根据授权结果决定是否许可，向通过许可的主体发送身份验证令牌或凭据。

作为零信任安全架构的核心，零信任引擎在部署过程中，将会面临一些技术问题，具体如下：

（1）现有注重零信任引擎的中心化部署方式，不适用于5G电力物联网。电力终端的频繁网络活动或资源访问请求会产生海量的认证信息，可能导致中心化的零信任引擎出现单点失效故障；

（2）零信任引擎的中心化部署若距离电力终端过远，容易延迟认证时间，将难以适用于时延敏感的电力环境，不利于零信任在5G电力物联网场景下的应用推进；

（3）针对零信任引擎的全网监控职责，攻击者控制一些失陷终端产生大量的正常数据包，经由零信任客户端自动流向零信任引擎。攻击者没有在这些数据包中注入任何攻击代码和指令，主要目的是致瘫零信任引擎；

（4）零信任引擎的各组件都部署在一台服务上，容易产生较大的工作负载。一旦宕机或被攻击者控制，零信任安全架构就会失效，无法对电力终端的网络活动行为进行监控，从而给予失陷终端潜在的内部威胁实施机会。

发明内容

为解决现有技术中的不足，本发明提供一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法，能有效预防海量终端接入时面临的单点失效故障，提高海量终端接入时的认证效率。

为达到上述目的，本发明所采用的技术方案是：

第一方面，提供一种零信任引擎雾化部署的认证系统，包括云层、雾层和端层，所述端层与雾层通信连接，所述雾层与云层通信连接；所述端层包括接入5G电力物联网的若干个电力终端；所述雾层包括部署在电力终端周围的若干个雾计算区域，每个所述雾计算区域中包括若干个雾节点服务器；所述零信任引擎包括PEP组件、PE组件和PA组件，所述雾节点服务器用于实现所述零信任引擎的各组件的主节点和次节点，且所述零信任引擎的各组件分别部署在不同的雾节点服务器上；所述电力终端通过雾化部署在电力终端周围的零信任引擎的认证后，从云层获得指定的服务。

进一步地，每个连接互联网的所述电力终端配置有零信任客户端。

进一步地，所述主节点负责响应零信任客户端发来的认证信息，并在授权范围内拦截阻断可疑的访问请求，并将超出授权范围的可疑的访问请求提交至云层。

进一步地，当负责零信任引擎的某个组件的主节点宕机或瘫痪时，相关次节点立即启动。

进一步地，所述零信任引擎还包括策略监管器PR，用于对零信任引擎的PEP组件、PE组件和PA组件的主节点运行情况进行实时监测；策略监管器PR访问和关联分析所有零信任引擎的各组件的运行数据，当发现某个主节点宕机时，在相关次节点集合中选取新的主节点继续工作。

进一步地，零信任引擎的PEP组件、PE组件和PA组件分别生成三种类型的区块链，分别为PEP区块链、PE区块链和PA区块链。

第二方面，提供一种零信任引擎雾化部署的认证系统的防宕机方法，基于第一方面所述的一种零信任引擎雾化部署的认证系统，当策略监管器PR发现某个主节点宕机时，启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作，包括：Step1、初始时刻，策略监管器PR为零信任引擎的三个组件分配含有g个不重复整数的随机数集合R ₁、R ₂和R ₃；集合R ₁中的随机数分别一对一匹配给PEP组件的g个雾服务器；Step2、按随机数大小排列，形成PEP组件集合ZC _PEP ={PEP ₁,…, PEP _k ,…, PEP _g }；其中，PEP ₁为初始PEP主节点，其余为处于依次待命状态的g-1个PEP次节点；同理，可得到PE组件集合ZC _PE ={PE ₁,…, PE _k ,…, PE _g }和PA组件集合ZC _PA ={PA ₁,…, PA _k ,…, PA _g }；Step3、策略监管器PR监测到某个组件的主节点宕机时，向排在其后的次节点发出上线通告；Step4、处于优先待命状态的次节点，接到上线通告后成为新的主节点，并向其后的次节点发送优先待命指令；Step5、策略监管器PR向雾计算区域的所有电力终端的零信任客户端广播新的主节点的上位消息，后续的认证信息将发给新的主节点；Step6、宕机的主节点重新恢复后，排入对应的组件集合，成为该集合中的最后一个次节点。

第三方面，提供一种零信任引擎雾化部署的认证系统的防失陷方法，基于第一方面所述的一种零信任引擎雾化部署的认证系统，包括：Step1、当PEP组件接收到电力终端发起访问请求时，同步触发策略监管器PR的实时监视；Step2、PEP组件将综合评价因素发送给PE组件的同时，还向策略监管器PR提交一份综合评价因素的副本；Step3、PE组件的授权结果通过PE区块链共享给策略监管器PR，如果策略监管器PR发现授权结果错误，则PE组件是失陷组件；Step4、PA组件生成的授权凭证通过PA区块链共享给策略监管器PR，如果策略监管器PR发现授权凭证与授权结果不匹配，则PA组件是失陷组件；Step5、PEP组件的访问决策通过PEP区块链共享给策略监管器PR，如果策略监管器PR发现访问决策不是由授权凭证做出的，则PEP组件是失陷组件；Step6、当策略监管器PR发现某个组件发生失陷，立即通告相关组件的优先待命次节点替换。

与现有技术相比，本发明所达到的有益效果：

（1）本发明通过将零信任引擎雾化部署在电力终端周围，同时零信任引擎的各组件分别部署在不同的雾节点服务器上；分担了中心化部署的零信任处理负载，并进一步提高了5G电力物联网面对海量终端接入时的认证效率，能有效预防海量终端接入时面临的单点失效故障，有效防范其中的失陷终端威胁；

（2）本发明通过引入策略监管器PR对PEP、PE和PA三个组件的主节点运行情况进行实时监测，能快速发现宕机的主节点，并通过平等随机选取算法在相关组件次节点集合中选出新的主节点继续工作；

（3）本发明通过引入策略监管器PR只查看PE、PA和PEP三个组件的主节点运行数据，不接收来自其它用户、设备、终端的任何交互和通信数据，可确保PR的抗攻击性；

（4）本发明通过联盟区块链在零信任引擎的各个组件节点和策略监管器PR之间共享操作数据，便于追踪PE、PA和PEP三个组件的运行状态，以及优先待命的次节点能迅速替换主节点，及时进入工作状态，避免了零信任安全架构的失效。

附图说明

图1是一种零信任引擎的安全架构示意图；

图2是本发明实施例提供的一种零信任引擎雾化部署的认证系统的系统结构示意图；

图3是本发明实施例中平等随机选取算法的流程示意图；

图4是本发明实施例中引入策略监管器后的零信任引擎的架构示意图；

图5是本发明实施例中失陷组件检测流程。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图2所示，本实施例提供一种面向5G电力物联网的零信任引擎雾化部署的认证系统，包括云层、雾层和端层，端层与雾层通信连接，雾层与云层通信连接。

端层：接入5G电力物联网“发、输、变、配、用”五大环节的电力终端构成了端层。每个连接互联网的电力终端配置有零信任客户端，负责监控电力终端的网络活动和资源访问请求。对于越权操作、恶意代码注入等可疑行为，零信任客户端监控发现后，直接告知PEP组件（PEP组件也称为零信任网关）进行拦截；对于无法确定可疑情况的资源访问请求，则需要提交给零信任引擎进行综合研判。

雾层：根据电力物联网的业务范围，可以划分为m个雾计算区域（Fog1、Fog2、···、Fogm），每个区域中分配n个雾节点服务器，主要包括实现零信任引擎各组件的主节点和次节点，主节点负责响应零信任客户端发来的认证信息，对于通过综合分析研判出的可疑进行，可直接拦截阻断，而对于涉及敏感数据的资源访问请求，需要将授权结果提交给云层，方便电力终端接入云层。当负责某个组件的主节点宕机或瘫痪时，相关次节点立即启动，保障零信任引擎的监控职责正常运行。零信任引擎的各组件分别部署在不同的雾节点服务器上。

云层：通过零信任引擎的认证后，电力终端可以从云层获得数据存储、资源访问和计算等相关服务。

本实施例将零信任引擎雾化部署在电力终端周围，保障5G电力物联网的内部安全，并根据电力业务范围划分多个雾计算区域。与传统的中心部署零信任引擎方案相比，分区雾化部署能有效缓解云端认证压力。在雾化部署过程中，将零信任引擎的各个组件分布式多点部署，并且分别部署在不同雾服务器上，独立运行相关职能，能有效预防海量终端接入时面临的单点失效故障；将零信任引擎雾化部署在电力终端周围可以避免因零信任引擎距离电力终端过远，导致的延迟认证问题，适用于时延敏感的电力环境，有利于零信任引擎在5G电力物联网场景下的应用推进。

为了防止零信任引擎的单点失效故障，在雾化部署过程中，各个组件不仅应该分布式多点部署，还要分别部署在不同雾服务器上，独立运行相关职能。在此基础上，本实施例引入策略监管器(Policy Regulator, PR)对PEP、PE和PA三个组件的主节点运行情况进行实时监测。策略监管器PR可以访问和关联分析所有零信任引擎组件的运行数据，发现某个主节点宕机时，启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作。

本实施例同时提供一种零信任引擎雾化部署的认证系统的防宕机方法，当策略监管器PR发现某个主节点宕机时，启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作，在一个雾计算区域内，定义零信任引擎组件节点集合Γ={ZC _PEP , ZC _PE , ZC _PA }。如图3所示，平等随机选取算法的执行过程如下：

Step1、初始时刻，策略监管器PR为零信任引擎的三个组件分配含有g个不重复整数的随机数集合R ₁、R ₂和R ₃；集合R ₁中的随机数分别一对一匹配给PEP组件的g个雾服务器；

Step2、按随机数大小排列，形成PEP组件集合ZC _PEP ={PEP ₁,…, PEP _k ,…, PEP _g }；其中，PEP ₁为初始PEP主节点，其余为处于依次待命状态的g-1个PEP次节点；同理，可得到PE组件集合ZC _PE ={PE ₁,…, PE _k ,…, PE _g }和PA组件集合ZC _PA ={PA ₁,…, PA _k ,…, PA _g }；

Step3、策略监管器PR监测到某个组件的主节点宕机时，向排在其后的次节点发出上线通告；例如，PEP ₁宕机时，PEP ₂属于优先待命的次节点，一直等待来自策略监管器PR的上线通告，同时实时关注PEP ₁的运行状况；若PEP ₂在上线通告来临之前，发现PEP ₁即将宕机，应及时向策略监管器PR申请正式上线通告；

Step4、处于优先待命状态的次节点，接到上线通告后成为新的主节点，并向其后的次节点发送优先待命指令；例如，处于优先待命状态的PEP ₂，接到上线通告后成为新的主节点，并向其后的PEP ₃发送优先待命指令，接替PEP ₂的位置；

Step5、策略监管器PR向雾计算区域的所有电力终端的零信任客户端广播新的主节点的上位消息，后续的认证信息将发给新的主节点；例如，策略监管器PR向雾计算区域的所有电力终端的零信任客户端广播PEP ₂上位消息，后续的认证信息将发给PEP ₂。

Step6、宕机的主节点重新恢复后，排入对应的组件集合，成为该集合中的最后一个次节点，例如，PEP ₁重新恢复后，排入集合ZC _PEP ，成为最后一个PEP次节点。

为确保次节点上线后，能快速进入工作状态，通过区块链辅助方法，在零信任引擎组件的主节点和次节点之间实现运行数据共享。

本实施例引入策略监管器PR对PEP、PE和PA三个组件的主节点运行情况进行实时监测，能快速发现宕机的主节点，并通过平等随机选取算法在相关组件次节点集合中选出新的主节点继续工作；本实施例引入的策略监管器PR只查看PE、PA和PEP三个组件的主节点运行数据，不接收来自其它用户、设备、终端的任何交互和通信数据，可确保PR的抗攻击性。

如图4所示，对PE组件、PA组件、PEP组件生成三种类型的区块链，分别为PE区块链（Per-blockchain）、PA区块链（Par-blockchain）和PEP区块链（Pepr-blockchain），都具有联盟区块链去中心化、可追溯、防篡改和预定共识节点的特点。

Per-blockchain由策略监管器PR和集合ZC _PEP 中的所有节点共同维护。PEP主节点充当Per-blockchain共识头的角色，将其固定时间内新产生的运行数据，创建成一个新区块，广播给策略监管器PR和其余次节点。按类似方式，可得到Par-blockchain和Pepr-blockchain的共同维护和区块产生机制。进一步地，为保障PR的监测职能正常运转，策略监管器PR可由1台计算型雾服务器和3台存储型服务器构成。

本实施例同时提供一种零信任引擎雾化部署的认证系统的防失陷方法，结合区块链辅助的零信任引擎组件运行数据共享方法，策略监管器PR可以检测被攻击者控制的失陷组件。如图5所示，零信任引擎的失陷组件检测流程如下：

Step1、当PEP组件接收到电力终端发起访问请求时，同步触发策略监管器PR的实时监视；

Step2、PEP组件将综合评价因素发送给PE组件的同时，还向策略监管器PR提交一份综合评价因素的副本；

Step3、PE组件的授权结果通过PE区块链共享给策略监管器PR，如果策略监管器PR发现授权结果错误，则PE组件是失陷组件；

Step4、PA组件生成的授权凭证通过PA区块链共享给策略监管器PR，如果策略监管器PR发现授权凭证与授权结果不匹配，则PA组件是失陷组件；

Step5、PEP组件的访问决策通过PEP区块链共享给策略监管器PR，如果策略监管器PR发现访问决策不是由授权凭证做出的，则PEP组件是失陷组件；

Step6、当策略监管器PR发现某个组件发生失陷，立即通告相关组件的优先待命次节点替换。

本实施例分别为PE组件、PA组件、PEP组件生成Per-blockchain、Par-blockchain、Pepr-blockchain三种类型的区块链，并将数据共享给PR，实现PR的监视功能，通过联盟区块链在零信任引擎的各个组件节点和PR之间共享操作数据，便于追踪PE组件、PA组件和PEP组件的运行状态，以及优先待命的次节点能迅速替换主节点，及时进入工作状态，避免了零信任安全架构的失效。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种零信任引擎雾化部署的认证系统，其特征在于，包括云层、雾层和端层，所述端层与雾层通信连接，所述雾层与云层通信连接；

所述端层包括接入5G电力物联网的若干个电力终端；

所述雾层包括部署在电力终端周围的若干个雾计算区域，每个所述雾计算区域中包括若干个雾节点服务器；所述零信任引擎包括PEP组件、PE组件和PA组件，所述雾节点服务器用于实现所述零信任引擎的各组件的主节点和次节点，且所述零信任引擎的各组件分别部署在不同的雾节点服务器上；

所述电力终端通过雾化部署在电力终端周围的零信任引擎的认证后，从云层获得指定的服务。

2.根据权利要求1所述的一种零信任引擎雾化部署的认证系统，其特征在于，每个连接互联网的所述电力终端配置有零信任客户端。

3.根据权利要求1所述的一种零信任引擎雾化部署的认证系统，其特征在于，所述主节点负责响应零信任客户端发来的认证信息，并在授权范围内拦截阻断可疑的访问请求，并将超出授权范围的可疑的访问请求提交至云层。

4.根据权利要求1所述的一种零信任引擎雾化部署的认证系统，其特征在于，当负责零信任引擎的某个组件的主节点宕机或瘫痪时，相关次节点立即启动。

5.根据权利要求1所述的一种零信任引擎雾化部署的认证系统，其特征在于，所述零信任引擎还包括策略监管器PR，用于对零信任引擎的PEP组件、PE组件和PA组件的主节点运行情况进行实时监测；策略监管器PR访问和关联分析所有零信任引擎的各组件的运行数据，当发现某个主节点宕机时，在相关次节点集合中选取新的主节点继续工作。

6.根据权利要求5所述的一种零信任引擎雾化部署的认证系统，其特征在于，零信任引擎的PEP组件、PE组件和PA组件分别生成三种类型的区块链，分别为PEP区块链、PE区块链和PA区块链。

7.一种零信任引擎雾化部署的认证系统的防宕机方法，其特征在于，基于权利要求5所述的一种零信任引擎雾化部署的认证系统，当策略监管器PR发现某个主节点宕机时，启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作，包括：

Step1、初始时刻，策略监管器PR为零信任引擎的三个组件分配含有g个不重复整数的随机数集合R ₁、R ₂和R ₃；集合R ₁中的随机数分别一对一匹配给PEP组件的g个雾服务器；

Step2、按随机数大小排列，形成PEP组件集合ZC _PEP ={PEP ₁,…, PEP _k ,…, PEP _g }；其中，PEP ₁为初始PEP主节点，其余为处于依次待命状态的g-1个PEP次节点；同理，可得到PE组件集合ZC _PE ={PE ₁,…, PE _k ,…, PE _g }和PA组件集合ZC _PA ={PA ₁,…, PA _k ,…, PA _g }；

Step3、策略监管器PR监测到某个组件的主节点宕机时，向排在其后的次节点发出上线通告；

Step4、处于优先待命状态的次节点，接到上线通告后成为新的主节点，并向其后的次节点发送优先待命指令；

Step5、策略监管器PR向雾计算区域的所有电力终端的零信任客户端广播新的主节点的上位消息，后续的认证信息将发给新的主节点；

Step6、宕机的主节点重新恢复后，排入对应的组件集合，成为该集合中的最后一个次节点。

8.一种零信任引擎雾化部署的认证系统的防失陷方法，其特征在于，基于权利要求6所述的一种零信任引擎雾化部署的认证系统，包括：

Step1、当PEP组件接收到电力终端发起访问请求时，同步触发策略监管器PR的实时监视；

Step2、PEP组件将综合评价因素发送给PE组件的同时，还向策略监管器PR提交一份综合评价因素的副本；

Step3、PE组件的授权结果通过PE区块链共享给策略监管器PR，如果策略监管器PR发现授权结果错误，则PE组件是失陷组件；

Step4、PA组件生成的授权凭证通过PA区块链共享给策略监管器PR，如果策略监管器PR发现授权凭证与授权结果不匹配，则PA组件是失陷组件；

Step5、PEP组件的访问决策通过PEP区块链共享给策略监管器PR，如果策略监管器PR发现访问决策不是由授权凭证做出的，则PEP组件是失陷组件；

Step6、当策略监管器PR发现某个组件发生失陷，立即通告相关组件的优先待命次节点替换。

Images