电力物联网零信任架构下的分布式认证模型

信息安全研究 ›› 2024, Vol. 10 ›› Issue (1): 67-.

电力物联网零信任架构下的分布式认证模型

唐大圆曹翔林青胡绍谦汤震宇

(南京南瑞继保电气有限公司南京211102)

出版日期:2024-01-10 发布日期:2024-01-21
通讯作者: 唐大圆硕士，工程师.主要研究方向为电力系统网络安全攻防. tangdy@nrec.com
作者简介:唐大圆硕士，工程师.主要研究方向为电力系统网络安全攻防. tangdy@nrec.com 曹翔硕士，高级工程师.主要研究方向为变电网络安全防护方案和风险评估. caoxiang@nrec.com 林青硕士，高级工程师.主要研究方向为变电网络安全防护和电力设备可信计算安全. linq@nrec.com 胡绍谦硕士，正高级工程师.主要研究方向为变电站自动化系统和网络安全防护. husq@nrec.com 汤震宇硕士，正高级工程师.主要研究方向为电力监控系统网络安全防护. tangzy@nrec.com

Distributed Authentication Model Under Power IoT Zero Trust Architecture

Tang Dayuan, Cao Xiang, Lin Qing, Hu Shaoqian, and Tang Zhenyu

(NR Electric Co., Ltd., Nanjing 211102)

Online:2024-01-10 Published:2024-01-21

摘要/Abstract

摘要： 针对智能电网大量分布式异构终端无限公网接入、新型电力交互业务、新信息技术应用在电力系统等行业发展趋势给电力系统带来的新型网络安全挑战，基于零信任安全架构，提出一种分布式认证模型，在电力物联网整体安全架构下，充分发挥零信任安全理念和技术的优势，结合电力终端硬件可信计算模块提供的可信信任根技术，拓展和延伸电力智能终端和接入网络的主动安全防护能力，以应对智能电网所面临的新型网络安全挑战.该模型将零信任安全架构中的动态信任评估和南向终端认证模块下沉到边缘智能设备，以终端可信模块提供的信任根为基础，进行信任和访问控制的细分及扩展，在兼容现有电力物联网认证模型基础上，充分发挥零信任安全理念和技术在终端安全接入、安全监控、业务细粒度防护方面的具体优势，提升电力物联网系统整体网络安全防护能力.

关键词: 电力物联网, 零信任, 可信计算, 分布式认证, 软件定义边界

Abstract: Addressing the new network security challenges brought to the power system by the changing trend of a large number of distributed heterogeneous terminals such as unlimited public network access, new power interactive services, and new information technology application in the power system. This paper proposes a distributed authentication model based on the zero trust security architecture, giving full play to the advantages of zero trust security concept and technology under the overall security architecture of the power Internet of Things(IoT). The model integrates the trusted root of trust technology provided by the trusted computing module of the power terminal hardware. It also expands and extends the active security protection capabilities of power intelligent terminals and accesses networks to meet new cybersecurity challenges faced by intelligent grids. The distributed authentication model proposed in this paper sinks the dynamic trust evaluation and southbound terminal authentication module in the zero trust security architecture to the edge intelligent device, and subdivides and expands the trust and access control based on the trusted root provided by the terminal trusted module, and gives full play to the specific advantages of zero trust security concept and technology in terminal security access, security monitoring, and finegrained business protection on the basis of compatibility with the existing power IoT authentication model, so as to improve the overall network security protection capability of the power IoT system.

Key words: Power IoTs, zero trust, trusted computing, distributed authentication, SDP

中图分类号:

TP309.1

唐大圆, 曹翔, 林青, 胡绍谦, 汤震宇, . 电力物联网零信任架构下的分布式认证模型[J]. 信息安全研究, 2024, 10(1): 67-.

参考文献

［1］余海, 郭庆, 房利国. 零信任体系技术研究［J］. 通信技术, 2020, 53(8): 20212034［2］刘涛, 马越, 姜和芳, 等. 基于零信任的电网安全防护架构研究［J］. 电力信息与通信技术, 2021, 19(7): 2532［3］冯景瑜, 于婷婷, 王梓莹, 等. 电力物联场景下抗失陷终端威胁的边缘信任模型［J］. 计算机研究与发展, 2022, 59(5): 11201132［4］刘隽良, 刘羽, 王月兵, 等. 基于零信任软件定义边界可信设备准入认证技术［J］. 信息安全研究, 2021, 7(增刊2): 110113［5］Shah S W, Syed N F, Shaghaghi A, et al. LCDA: Lightweight continuous devicetodevice authentication for a zero trust architecture (ZTA)［J］. Computers & Security, 2021, 9(108): 102351［6］Ying B, Nayak A. Anonymous and lightweight authentication for secure vehicular networks［J］. IEEE Trans on Vehicular Technology, 2017, 66: 1062610636［7］张刘天, 陈丹伟. 基于零信任的动态访问控制模型研究［J］. 浙江电力, 2022, 8(10): 10081017［8］曹翔, 姜敏. 基于业务关联模型的变电站网络安全风险评估方法［J］. 电力信息与通信技术, 2022, 20(11): 5764［9］Alagappan A, Venkatachary S K, Andrews L J B. Augmenting zero trust network architecture to enhance security in virtual power plants［J］. Energy Reports, 2022, 8: 13091320［10］徐超, 王纪军, 吴小虎, 等. 一种基于流量指纹的物联网设备实时自动检测及识别［J］. 信息安全研究, 2021, 7(6): 543549［11］韩丽芳, 张晓, 应欢, 等. 电力关键信息基础设施网络安全攻防演练研究［J］. 电力信息与通信技术, 2022, 20(7): 2632［12］马靖, 许勇刚, 刘增明, 等. 基于零信任框架的泛在电力物联网安全防护研究［J］. 网络安全与应用技术, 2020 (1): 116118

[1]	林奕夫, 陈雪, 许媛媛, 汤晓冬, 唐仁杰, 边珊, . 基于零信任安全模型的电力敏感数据访问控制方法[J]. 信息安全研究, 2024, 10(1): 88-.
[2]	殷晨磊, . 基于可信计算的火电百万千瓦机组国产DCS系统安全防护方案[J]. 信息安全研究, 2023, 9(E2): 33-.
[3]	邱勤, 张高山, 徐天妮, 倪宁宁, 朱华, . 算力网络安全信链技术研究与应用[J]. 信息安全研究, 2023, 9(E2): 87-.
[4]	杜君, 王杨, 郑锟, 贾胜男, . 可信计算3.0创新发展与应用实践[J]. 信息安全研究, 2023, 9(E1): 179-.
[5]	余晗, 李俊妮, 刘文思, 宣东海, . 基于区块链的能源数据共享访问控制方案[J]. 信息安全研究, 2023, 9(3): 220-.
[6]	覃锦端, 王月兵, 周杰, 毛菲, . 基于动态风险评估机制的零信任IAM架构设计[J]. 信息安全研究, 2023, 9(12): 1190-.
[7]	鲍聪颖, 吴昊, 陆凯, 曹松钱, 卢秋呈, . 基于可信执行环境的5G边缘计算安全研究[J]. 信息安全研究, 2023, 9(1): 38-.
[8]	王振宇, 田楠, . 大力推进可信计算协同攻关，加速构建可信计算产业生态[J]. 信息安全研究, 2022, 8(E2): 8-.
[9]	韩现群, 张建标. 基于BMC构建TPCM可信根[J]. 信息安全研究, 2022, 8(E2): 23-.
[10]	李璇, 周庆飞, 张希璐, 吴正龙, . 基于PKS安全可信架构的数字档案应用研究[J]. 信息安全研究, 2022, 8(E2): 28-.
[11]	侯伟星, 罗海林, 付颖芳. 基于海光CPU的硬件可信平台方案设计及实现[J]. 信息安全研究, 2022, 8(E2): 43-.
[12]	苗维杰, 夏春宇, 赵峰, . 基于可信技术的工控系统安全解决方案研究[J]. 信息安全研究, 2022, 8(E2): 48-.
[13]	高军辉. 基于可信计算3.0的安全增强打印机解决方案[J]. 信息安全研究, 2022, 8(E2): 53-.
[14]	颜志鑫, 侯海波. 基于可信计算3.0的安全增强型打印机设计[J]. 信息安全研究, 2022, 8(E2): 56-.
[15]	张兴, 赵卫国, 覃艺, 陈谦, 王影, . 基于可信计算3.0的大数据安全计算管控系统设计与实现[J]. 信息安全研究, 2022, 8(E2): 61-.