基于零信任架构与最小权限原则的配电终端物联网数据共享访问控制方法

信息安全研究 ›› 2024, Vol. 10 ›› Issue (10): 937-.

基于零信任架构与最小权限原则的配电终端物联网数据共享访问控制方法

林奕夫1陈雪2徐梦宇3陈云3

1(国网福建省电力有限公司福州350003)
2(国网福建省电力有限公司经济技术研究院福州350013)
3(上海物盾信息科技有限公司上海201100)

出版日期:2024-10-15 发布日期:2024-10-26
通讯作者: 林奕夫硕士，工程师.主要研究方向为电气工程. yf.lin@qq.com
作者简介:林奕夫硕士，工程师.主要研究方向为电气工程. yf.lin@qq.com 陈雪硕士，高级工程师.主要研究方向为配电技术. 50580111@qq.com 徐梦宇工程师.主要研究方向为电力数智化. xumy@wudun.net 陈云工程师.主要研究方向为物联网安全. yun.chen@wudun.net

Data Sharing Access Control Method for Distribution Terminal IoT #br# Based on Zero Trust Architecture and Least Privilege Principle#br#

Lin Yifu1, Chen Xue2, Xu Mengyu3, and Chen Yun3

1(State Grid Fujian Electric Power Co., Ltd., Fuzhou 350003)
2(Research Institute of Economics and Technology, State Grid Fujian Electric Power Co., Ltd., Fuzhou 350013)
3(Shanghai Wudun Information Technology Co., Ltd., Shanghai 201100)

Online:2024-10-15 Published:2024-10-26

摘要/Abstract

摘要： 为最大程度保护配电终端物联网数据共享安全，提出基于零信任架构与最小权限原则的配电终端物联网数据共享访问控制方法.构建基于零信任的物联网数据共享访问控制框架，通过身份认证模块检验用户身份和访问控制权限，利用IDS模块辨别用户入网后的明显网络攻击行为，用户行为度量模块的行为信任度量代理，依据存储在信任度量数据库中的用户历史行为度量数据计算用户信任度，对用户的行为信任等级进行周期性评估，识别长期潜伏且高度隐蔽的网络攻击行为，基于行为信任的访问决策代理以用户信任等级为依据，依据最小权限原则进行用户角色分配，制定和实施访问决策；物联网控制器根据信任度量结果动态调整用户资源访问的权限，通过发送流表的方式实现用户配电终端物联网资源访问权限的动态调整.实验结果表明，该方法能够准确控制物联网数据的共享访问，且综合性能更全面，在完成用户访问任务的同时拥有的冗余权限最少，既满足了用户访问要求又保证了网络数据安全.

关键词: 零信任架构, 最小权限原则, 配电终端, 物联网, 用户信用度, 冗余权限

Abstract: To maximize the security of IoT data sharing in distribution terminals, a data sharing access control method for distribution terminal IoT based on zero trust architecture and least privilege principle is proposed. We have developed a zerotrustbased IoT data sharing access control framework, which verifies user identity and access control permissions through identity authentication modules. After user access, IDS modules identify obvious network attack behaviors, while behavior trust measurement proxies in user behavior measurement modules, calculate user trust based on historical user behavior measurement data stored in trust measurement databases, and periodically evaluate user behavior trust levels, identify longterm and highly covert network attack behaviors. These proxies also periodically evaluate user behavior trust levels, identify longterm and highly covert network attack behaviors, and use behavioral trustbased access decision agents to allocate user roles based on the user trust level and the principle of least privilege, formulating and implementing access decisions. The IoT controller dynamically adjusts user resource access permissions based on trust measurement results, and achieves dynamic adjustment of user distribution terminal IoT resource access permissions by sending flow tables. The experimental results show that this method can accurately control the shared access of IoT data, and has more comprehensive performance. It has the least redundant permissions while completing user access tasks, which not only meets user access requirements but also ensures network data security.

Key words: zero trust architecture, the principle of least privilege, distribution terminal, Internet of things, user credit, redundant permission

中图分类号:

TP309

林奕夫, 陈雪, 徐梦宇, 陈云, . 基于零信任架构与最小权限原则的配电终端物联网数据共享访问控制方法[J]. 信息安全研究, 2024, 10(10): 937-.

参考文献

［1］应俊, 蔡月明, 刘明祥, 等. 适用于配电物联网的低压智能终端自适应接入方法［J］. 电力系统自动化, 2020, 44(2): 2227［2］殷浩然, 苗世洪, 韩佶, 等. 基于三维卷积神经网络的配电物联网异常辨识方法［J］. 电力系统自动化, 2022, 46(1): 4250［3］张怀天, 刘科研, 盛万兴, 等. 基于AFUKF组合滤波的配电物联网数据平差方法［J］. 高电压技术, 2021, 47(12): 45024509［4］李杨, 徐龙, 李研强, 等. 基于智能合约的物联网访问控制架构与验证［J］. 计算机应用, 2022, 42(6): 19221931［5］孙学军. 基于集群架构的物联网终端动态认证仿真［J］. 计算机仿真, 2020, 37(4): 312316［6］何国锋. 零信任架构在5G云网中应用防护的研究［J］. 电信科学, 2020, 36(12): 123132［7］刘东, 任海玲. 基于差分隐私的大数据安全访问权限认证仿真［J］. 计算机仿真, 2021, 38(8): 421424, 486［8］王群, 袁泉, 李馥娟, 等. 零信任网络及其关键技术综述［J］. 计算机应用, 2023, 43(4): 11421150［9］郭宝霞, 王佳慧, 马利民, 等. 基于零信任的敏感数据动态访问控制模型研究［J］. 信息网络安全, 2022, 22(6): 8693［10］诸葛程晨, 王群, 刘家银, 等. 零信任网络综述［J］. 计算机工程与应用, 2022, 58(22): 1229［11］刘晶, 董志红, 张喆语, 等. 基于联邦增量学习的工业物联网数据共享方法［J］. 计算机应用, 2022, 42(4): 12351243［12］韩宗芮, 郭渊博, 秦晰. 基于NGAC的物联网访问控制授权方案［J］. 小型微型计算机系统, 2022, 43(9): 19681975［13］王艳, 陈浩, 赵洪山, 等. 网络模式下配电物联网载波通信匹配组网方法［J］. 电力自动化设备, 2021, 41(6): 5966, 80［14］吴云坤, 姜博, 潘瑞萱, 等. 一种基于零信任的SDN网络访问控制方法［J］. 信息网络安全, 2020, 20(8): 3746［15］巩坪, 王九如, 宋万水, 等. 基于智能合约的物联网权限传递访问控制模型［J］. 郑州大学学报: 理学版, 2023, 55(3): 2833

[1]	韩刚, 马炜燃, 张应辉, 刘伟, 盛丽玲, . 物联网感知环境中抗投毒可验证安全联邦学习方案[J]. 信息安全研究, 2024, 10(9): 804-.
[2]	张光华, 王子昱, 蔡明伟, . 基于不平衡数据的物联网异常流量检测[J]. 信息安全研究, 2024, 10(11): 1012-.
[3]	王若晗, 向继, 管长御, 王雷, . 零信任架构的回望与未来发展研究[J]. 信息安全研究, 2024, 10(10): 896-.
[4]	张逸飞, 李梦婕, . 零信任模型下的智能权限管理系统研究与实践[J]. 信息安全研究, 2024, 10(10): 912-.
[5]	管桂林, 支婷, 陶政坪, 曹扬, . 物联网中多密钥同态加密的联邦学习隐私保护方法[J]. 信息安全研究, 2024, 10(10): 958-.
[6]	唐大圆, 曹翔, 林青, 胡绍谦, 汤震宇, . 电力物联网零信任架构下的分布式认证模型[J]. 信息安全研究, 2024, 10(1): 67-.
[7]	钟国辉, 乌洪峰, 夏建豪, 周悦, . 金融物联网安全管理解决方案[J]. 信息安全研究, 2023, 9(E2): 82-.
[8]	黄童祎, 李长连, 张小飞. 基于级联失效的标准物联网抗毁性研究[J]. 信息安全研究, 2022, 8(5): 506-.
[9]	李涛, 田迎军, 葛阳晨, 田源, 李剑, . 物联网固件漏洞安全检测综述[J]. 信息安全研究, 2022, 8(12): 1146-.
[10]	秦体红, 汪宗斌, 张宇, 刘洋, . 物联网PKI技术研究[J]. 信息安全研究, 2022, 8(12): 1156-.
[11]	王冠, 高壮, . 基于群体认证的远程证明方案研究[J]. 信息安全研究, 2022, 8(11): 1121-.
[12]	梁忠辉, 王燕青. 智慧园区大数据网络安全管理平台解决方案[J]. 信息安全研究, 2021, 7(E1): 143-.
[13]	黄杰余若晨毛冬. 电力物联网场景下基于零信任的分布式数据库细粒度访问控制[J]. 信息安全研究, 2021, 7(6): 535-542.
[14]	徐超王纪军吴小虎张明远 . 一种基于流量指纹的物联网设备实时自动检测及识别[J]. 信息安全研究, 2021, 7(6): 543-549.
[15]	李俊柴海新. 基于FIDO技术的物联网身份认证解决方案[J]. 信息安全研究, 2021, 7(4): 358-366.