工业互联网中抗APT窃取身份的零信任动态认证

信息安全研究 ›› 2024, Vol. 10 ›› Issue (10): 928-.

工业互联网中抗APT窃取身份的零信任动态认证

安宇航1冯景瑜1庹善德2翟天旭1任柯岩1

1(西安邮电大学网络空间安全学院西安710121)
2(中国市政工程中南设计研究总院有限公司上海200122)

出版日期:2024-10-15 发布日期:2024-10-15
通讯作者: 安宇航硕士研究生.主要研究方向为工业互联网安全、Web漏洞挖掘. 867112452@qq.com
作者简介:安宇航硕士研究生.主要研究方向为工业互联网安全、Web漏洞挖掘. 867112452@qq.com 冯景瑜博士，教授.主要研究方向为工业互联网安全、零信任内网安全、漏洞挖掘. fengjy@xupt.edu.cn 庹善德高级工程师.主要研究方向为工业互联网安全. sd_tuo@163.com 翟天旭硕士研究生.主要研究方向为零信任内网安全、工业互联网安全. 2456348544@qq.com 任柯岩主要研究方向为工业互联网安全. 2368877281@qq.com

Zerotrust Dynamic Authentication to Resist APT Identity Compromise

An Yuhang1, Feng Jingyu1, Tuo Shande2, Zhai Tianxu1, and Ren Keyan1

1(School of Cyberspace Security, Xi’an University of Posts and Telecommunications, Xi’an 710121)
2(China Municipal Engineering Zhongnan Design and Research Institute Co., Ltd., Shanghai 200122)

Online:2024-10-15 Published:2024-10-15

摘要/Abstract

摘要： 新一代信息技术与工业系统深度融合，提升了工业控制系统和工业设备网络的连接性，使得工业互联网成为APT攻击的重点目标.针对现有偏向于静态认证的方法难以识别APT攻击者控制内部失陷终端获取的“傀儡身份”，进而造成敏感数据泄露的问题，提出一种面向工业互联网的零信任动态认证方案.融合CNNBiLSTM构建混合神经网络，利用其时序特性设计行为因子预测模型.通过多个残差块组成的深度卷积网络提取特征，双向长短时记忆网络(bidirectional long shortterm memory, BiLSTM)进行时间序列分析，生成对主体的行为因子预测，作为零信任动态认证重要凭据.为快速识别“傀儡身份”，融入行为因子设计IPKSPA动态认证机制.利用轻量级标识公钥技术适应工业互联网海量末梢，借助零信任单包授权技术隐藏工控网络边界.安全性分析和实验结果表明，提出的动态认证方案具有较好的“傀儡身份”识别能力，有助于抗击工业互联网环境下因APT攻击者窃取身份导致的数据窃密威胁.

关键词: 工业互联网, APT攻击, 零信任, 动态认证, CNNBiLST

Abstract: The deep integration of newgeneration information technology and industrial systems has improved the connectivity of industrial control systems and industrial equipment networks, making the industrial Internet a key target for APT attacks. In view of the problem that existing methods that prefer static authentication make it difficult to identify the “puppet identity” obtained by APT attackers controlling internal compromised terminals, thereby causing sensitive data leakage, a zerotrust dynamic authentication solution for the industrial Internet is proposed. Fusion of CNNBiLSTM to build a hybrid neural network, and use its time series characteristics to design a behavioral factor prediction model. Features are extracted through a deep convolutional network composed of multiple residual blocks, and a twoway long shortterm memory network performs time series analysis to generate behavioral factor predictions for the subject, which serve as important credentials for zerotrust dynamic authentication. In order to quickly identify the “puppet identity”, the IPKSPA dynamic authentication mechanism is designed by incorporating behavioral factors. Use lightweight identification public key technology to adapt to the massive number of terminals in the industrial Internet, and use zerotrust singlepackage authorization technology to hide the boundaries of industrial control networks. Security analysis and experimental results show that the proposed dynamic authentication scheme has better “puppet identity” identification capabilities and is helpful in combating the threat of data theft caused by APT identity compromise in the industrial Internet environment.

Key words: industrial Internet, APT attack, zerotrust, dynamic authentication, CNNBiLSTM

中图分类号:

TP393.0

安宇航, 冯景瑜, 庹善德, 翟天旭, 任柯岩, . 工业互联网中抗APT窃取身份的零信任动态认证[J]. 信息安全研究, 2024, 10(10): 928-.

参考文献

［1］Li J Q, Yu F R, Deng G, et al. Industrial Internet: A survey on the enabling technologies, applications, and challenges［J］. IEEE Communications Surveys & Tutorials, 2017, 19(3): 15041526［2］殷树刚, 李祉岐, 刘晓蕾, 等. 基于APT组织攻击行为的网络安全主动防御方法研究［J］. 信息安全研究, 2023, 9(5): 423432［3］Singh J, Gimekar A, Venkatesan S. An efficient lightweight authentication scheme for humancentered industrial Internet of things［J］. International Journal of Communication Systems, 2023, 36(12): e4189［4］Li X, Peng J, Niu J, et al. A robust and energy efficient authentication protocol for industrial Internet of things［J］. IEEE Internet of Things Journal, 2017, 5(3): 16061615［5］Das A K, Wazid M, Kumar N, et al. Biometricsbased privacypreserving user authentication scheme for cloudbased industrial Internet of things deployment［J］. IEEE Internet of Things Journal, 2018, 5(6): 49004913［6］Rais R, Morillo C, Gilman E, et al. Zero Trust Network: Building Secure Systems in Untrusted Network［M］. Sebastopol: O’Reilly Media, 2024［7］许盛伟, 田宇, 邓烨, 等. 基于角色和属性的零信任访问控制模型研究［J］. 信息安全研究, 2024, 10(3): 241247［8］林奕夫, 陈雪, 许媛媛, 等. 基于零信任安全模型的电力敏感数据访问控制方法［J］. 信息安全研究, 2024, 10(1): 8893［9］Wang Z, Jin M, Jiang L, et al. Secure access method of power Internet of things based on zero trust architecture［C］ Proc of Int Conf on Swarm Intelligence. Berlin: Springer, 2023: 386399［10］Liu H, Ai M, Huang R, et al. Identity authentication for edge devices based on zerotrust architecture［J］. Concurrency and Computation: Practice and Experience, 2022, 34(23): e7198［11］吴青松, 张玉. 基于SDP2.0的工业互联网安全接入技术研究［J］. 工业信息安全, 2023 (1): 2834［12］Choi Y, Lee D, Kim J, et al. Security enhanced user authentication protocol for wireless sensor networks using elliptic curves cryptography［J］. Sensors, 2014, 14(6): 1008110106［13］Jiang Q, Ma J, Wei F, et al. An untraceable temporalcredentialbased twofactor authentication scheme using ECC for wireless sensor networks［J］. Journal of Network and Computer Applications, 2016, 76: 3748［14］Wang D, He D, Wang P, et al. Anonymous twofactor authentication in distributed systems: Certain goals are beyond attainment［J］. IEEE Trans on Dependable and Secure Computing, 2014, 12(4): 428442

[1]	王莉, 周威, 刘明辉, . 基于等保2.0标准的SDP技术应用研究[J]. 信息安全研究, 2024, 10(E1): 161-.
[2]	齐景锋, 刘厚荣, 马朝远, 王鹏飞, . 煤矿行业OTIT一体化网络安全建设方案研究[J]. 信息安全研究, 2024, 10(E1): 120-.
[3]	王伟忠, 闫瑞泽, 查奇文, 王聪, . 工业互联网商用密码应用体系研究[J]. 信息安全研究, 2024, 10(6): 519-.
[4]	林晨, 刚占慧, 韦彦, 郭娴, 曲海阔, 王冲华, . 面向工业互联网设备的异常行为关联分析攻击溯源技术研究[J]. 信息安全研究, 2024, 10(6): 532-.
[5]	许盛伟, 田宇, 邓烨, 刘昌赫, 刘家兴, . 基于角色和属性的零信任访问控制模型研究[J]. 信息安全研究, 2024, 10(3): 241-.
[6]	张光华, 王子昱, 蔡明伟, . 基于不平衡数据的物联网异常流量检测[J]. 信息安全研究, 2024, 10(11): 1012-.
[7]	高能, 彭佳, 王识潇, . 零信任的安全模型研究[J]. 信息安全研究, 2024, 10(10): 886-.
[8]	王若晗, 向继, 管长御, 王雷, . 零信任架构的回望与未来发展研究[J]. 信息安全研究, 2024, 10(10): 896-.
[9]	池亚平, 刘佳辉, 梁家铭, . 基于联邦学习的SDP信任评估模型设计[J]. 信息安全研究, 2024, 10(10): 903-.
[10]	张逸飞, 李梦婕, . 零信任模型下的智能权限管理系统研究与实践[J]. 信息安全研究, 2024, 10(10): 912-.
[11]	金志刚, 林亮成, 陈旭阳, . 行为异常检测技术在零信任访问控制中的应用[J]. 信息安全研究, 2024, 10(10): 921-.
[12]	林奕夫, 陈雪, 徐梦宇, 陈云, . 基于零信任架构与最小权限原则的配电终端物联网数据共享访问控制方法[J]. 信息安全研究, 2024, 10(10): 937-.
[13]	左敏, 刘泓辰, 汪颢懿, 钟睿哲, 张青川, . 基于零信任机制的粮食溯源区块链访问控制模型[J]. 信息安全研究, 2024, 10(10): 944-.
[14]	唐大圆, 曹翔, 林青, 胡绍谦, 汤震宇, . 电力物联网零信任架构下的分布式认证模型[J]. 信息安全研究, 2024, 10(1): 67-.
[15]	林奕夫, 陈雪, 许媛媛, 汤晓冬, 唐仁杰, 边珊, . 基于零信任安全模型的电力敏感数据访问控制方法[J]. 信息安全研究, 2024, 10(1): 88-.