本发明专利技术公开了电力安全技术领域的一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法,所述系统包括云层、雾层和端层,端层与雾层通信连接,雾层与云层通信连接;端层包括接入5G电力物联网的若干个电力终端;雾层包括部署在电力终端周围的若干个雾计算区域,每个雾计算区域中包括若干个雾节点服务器;零信任引擎包括PEP组件、PE组件和PA组件,雾节点服务器用于实现零信任引擎的各组件的主节点和次节点,且零信任引擎的各组件分别部署在不同的雾节点服务器上;电力终端通过雾化部署在电力终端周围的零信任引擎的认证后,从云层获得指定的服务。本发明专利技术能有效预防零信任引擎面临海量终端接入时的单点失效故障,提高海量终端接入时的认证效率。入时的认证效率。入时的认证效率。
【技术实现步骤摘要】
零信任引擎雾化部署的认证系统及其防宕机、防失陷方法
[0001]本专利技术属于电力安全
,具体涉及一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法。
技术介绍
[0002]随着5G技术在电力行业地广泛应用,打破了散布于各个区域电力终端的孤立性,大量的电力终端逐渐接入网络。越来越多的电力终端暴露在互联网之中,造成5G电力物联网的安全边界越来越模糊,对传统以边界隔离为特征的网络安全防御体系提出了严峻的挑战。
[0003]5G环境下,智能电表、巡检无人机/机器人、电能计量器、高清摄像头、智能有序充电桩等电力终端联网后,丧失了物理隔离的天然保护。对于大部分电力终端,往往自身的计算与存储资源有限,存在着安全漏洞,所处位置与情况复杂多变。因此,攻击者可以先入侵脆弱的电力终端进行远程控制,绕过强大的边界网络安全防御体系后,以失陷终端为跳板横移到5G电力物联网内部,实施用户凭证滥用、APT攻击、供应链攻击、越权操作、恶意代码注入等威胁。
[0004]为了弥补边界网络安全防御体系的不足,零信任越来越受到业界重视。零信任既针对已经突破网络的外部攻击者,又针对恶意内部人员,通过假设失陷是不可避免的或已经发生的,对任何一个用户、终端、服务采取“永不信任,始终验证”的原则,主要在网络内部阻断恶意数据注入和防止敏感信息的窃取威胁。
[0005]美国国家标准技术研究院(NIST)发布的《Zero Trust Network Architecture》标准草案指出,零信任安全架构是一种端到端的网络/数据保护方法,包括身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施等多个方面。如图1所示,零信任安全架构主要包括主体、受访资源、辅助系统和零信任引擎等。主体就是网络内部可以访问资源的用户设备或终端,配置有零信任客户端进行风险感知,实时监控设备的安全状态,如出现越权操作、恶意代码注入等可疑行为,会立即被零信任客户端发现,告知零信任网关进行拦截。受访资源则是在网络内部可被访问和获取的资源。在整个零信任安全架构中,零信任引擎是核心,由策略引擎(policy engine, PE)、策略管理器(policy administrator, PA)、策略执行点(policy enforcement point, PEP)等组件构成。
[0006]这三个零信任引擎组件的相互协作构成了零信任安全架构的运行机制,主要包含5个步骤:1)主体在网络内部活动发出的数据和资源访问请求,都会被零信任客户端打包成认证信息上报给PEP组件;2)PEP组件通常称为零信任网关,转发上报的认证信息给PE组件;3)PE组件根据主体的认证情况,结合其使用的应用、协议及加密情况等诸多因素进行综合分析,对其网络活动和访问请求进行授权,并将授权结果发给PA组件和PEP组件;4)对于授权许可的主体,PA组件生成身份验证令牌或凭据后交给PEP组件;5)PEP组件根据授权结果决定是否许可,向通过许可的主体发送身份验证令牌或凭据。
[0007]作为零信任安全架构的核心,零信任引擎在部署过程中,将会面临一些技术问题,
具体如下:(1)现有注重零信任引擎的中心化部署方式,不适用于5G电力物联网。电力终端的频繁网络活动或资源访问请求会产生海量的认证信息,可能导致中心化的零信任引擎出现单点失效故障;(2)零信任引擎的中心化部署若距离电力终端过远,容易延迟认证时间,将难以适用于时延敏感的电力环境,不利于零信任在5G电力物联网场景下的应用推进;(3)针对零信任引擎的全网监控职责,攻击者控制一些失陷终端产生大量的正常数据包,经由零信任客户端自动流向零信任引擎。攻击者没有在这些数据包中注入任何攻击代码和指令,主要目的是致瘫零信任引擎;(4)零信任引擎的各组件都部署在一台服务上,容易产生较大的工作负载。一旦宕机或被攻击者控制,零信任安全架构就会失效,无法对电力终端的网络活动行为进行监控,从而给予失陷终端潜在的内部威胁实施机会。
技术实现思路
[0008]为解决现有技术中的不足,本专利技术提供一种零信任引擎雾化部署的认证系统及其防宕机、防失陷方法,能有效预防海量终端接入时面临的单点失效故障,提高海量终端接入时的认证效率。
[0009]为达到上述目的,本专利技术所采用的技术方案是:第一方面,提供一种零信任引擎雾化部署的认证系统,包括云层、雾层和端层,所述端层与雾层通信连接,所述雾层与云层通信连接;所述端层包括接入5G电力物联网的若干个电力终端;所述雾层包括部署在电力终端周围的若干个雾计算区域,每个所述雾计算区域中包括若干个雾节点服务器;所述零信任引擎包括PEP组件、PE组件和PA组件,所述雾节点服务器用于实现所述零信任引擎的各组件的主节点和次节点,且所述零信任引擎的各组件分别部署在不同的雾节点服务器上;所述电力终端通过雾化部署在电力终端周围的零信任引擎的认证后,从云层获得指定的服务。
[0010]进一步地,每个连接互联网的所述电力终端配置有零信任客户端。
[0011]进一步地,所述主节点负责响应零信任客户端发来的认证信息,并在授权范围内拦截阻断可疑的访问请求,并将超出授权范围的可疑的访问请求提交至云层。
[0012]进一步地,当负责零信任引擎的某个组件的主节点宕机或瘫痪时,相关次节点立即启动。
[0013]进一步地,所述零信任引擎还包括策略监管器PR,用于对零信任引擎的PEP组件、PE组件和PA组件的主节点运行情况进行实时监测;策略监管器PR访问和关联分析所有零信任引擎的各组件的运行数据,当发现某个主节点宕机时,在相关次节点集合中选取新的主节点继续工作。
[0014]进一步地,零信任引擎的PEP组件、PE组件和PA组件分别生成三种类型的区块链,分别为PEP区块链、PE区块链和PA区块链。
[0015]第二方面,提供一种零信任引擎雾化部署的认证系统的防宕机方法,基于第一方面所述的一种零信任引擎雾化部署的认证系统,当策略监管器PR发现某个主节点宕机时,启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作,包括:Step1、初始
时刻,策略监管器PR为零信任引擎的三个组件分配含有g个不重复整数的随机数集合R1、R2和R3;集合R1中的随机数分别一对一匹配给PEP组件的g个雾服务器;Step2、按随机数大小排列,形成PEP组件集合ZC
PEP
={PEP1,
…
, PEP
k
,
…
, PEP
g
};其中,PEP1为初始PEP主节点,其余为处于依次待命状态的g
‑
1个PEP次节点;同理,可得到PE组件集合ZC
PE
={PE1,
…
, PE
k
,
…
, PE
g
}和PA组件集合ZC
PA
={PA1,
…
, PA
k
,
…
, PA
g
};Step3、策本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种零信任引擎雾化部署的认证系统,其特征在于,包括云层、雾层和端层,所述端层与雾层通信连接,所述雾层与云层通信连接;所述端层包括接入5G电力物联网的若干个电力终端;所述雾层包括部署在电力终端周围的若干个雾计算区域,每个所述雾计算区域中包括若干个雾节点服务器;所述零信任引擎包括PEP组件、PE组件和PA组件,所述雾节点服务器用于实现所述零信任引擎的各组件的主节点和次节点,且所述零信任引擎的各组件分别部署在不同的雾节点服务器上;所述电力终端通过雾化部署在电力终端周围的零信任引擎的认证后,从云层获得指定的服务。2.根据权利要求1所述的一种零信任引擎雾化部署的认证系统,其特征在于,每个连接互联网的所述电力终端配置有零信任客户端。3.根据权利要求1所述的一种零信任引擎雾化部署的认证系统,其特征在于,所述主节点负责响应零信任客户端发来的认证信息,并在授权范围内拦截阻断可疑的访问请求,并将超出授权范围的可疑的访问请求提交至云层。4.根据权利要求1所述的一种零信任引擎雾化部署的认证系统,其特征在于,当负责零信任引擎的某个组件的主节点宕机或瘫痪时,相关次节点立即启动。5.根据权利要求1所述的一种零信任引擎雾化部署的认证系统,其特征在于,所述零信任引擎还包括策略监管器PR,用于对零信任引擎的PEP组件、PE组件和PA组件的主节点运行情况进行实时监测;策略监管器PR访问和关联分析所有零信任引擎的各组件的运行数据,当发现某个主节点宕机时,在相关次节点集合中选取新的主节点继续工作。6.根据权利要求5所述的一种零信任引擎雾化部署的认证系统,其特征在于,零信任引擎的PEP组件、PE组件和PA组件分别生成三种类型的区块链,分别为PEP区块链、PE区块链和PA区块链。7.一种零信任引擎雾化部署的认证系统的防宕机方法,其特征在于,基于权利要求5所述的一种零信任引擎雾化部署的认证系统,当策略监管器PR发现某个主节点宕机时,启用平等随机选取算法在相关次节点集合中选取新的主节点继续工作,包括:Step1、初始时刻,策略监管器PR为零信任引擎的三个组件分配含有g个不重复整数的随机数集合R1、R2和R3;集合R1中的随机数分别一对一匹配给PEP组件的g个雾服务器;Step2、按随机数大小排列,形成PEP组件集合ZC
PEP
【专利技术属性】
技术研发人员:顾智敏,周超,郭静,王梓莹,黄伟,赵新冬,郭雅娟,姜海涛,朱道华,孙云晓,
申请(专利权)人:江苏省电力试验研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。