顧智敏，王梓瑩，郭靜，郭雅娟，馮景瑜

（1.國網(wǎng)江蘇省電力有限公司電力科學研究院，南京 211103；2.西安郵電大學 無線網(wǎng)絡安全技術國家工程實驗室，西安 710121）

0 概述

5G 技術在電力行業(yè)的廣泛應用解決了散布于各個區(qū)域的電力終端的孤立性問題，使得海量電力終端成功接入網(wǎng)絡，但電力信息系統(tǒng)的建設規(guī)模不斷擴大，導致其復雜程度提高，接入網(wǎng)絡的設備種類和數(shù)量大幅增加，系統(tǒng)提供的服務和功能呈現(xiàn)多樣化、優(yōu)質(zhì)化和精準化特性［1］。越來越多的電力終端暴露在互聯(lián)網(wǎng)中，造成5G 電力物聯(lián)網(wǎng)的安全邊界越來越模糊，對傳統(tǒng)以邊界隔離為特征的網(wǎng)絡安全防御體系提出了嚴峻的挑戰(zhàn)［2］，如何保證電網(wǎng)安全已成為電力系統(tǒng)迫切需要解決的問題［3］。

在5G 環(huán)境下，智能電表、巡檢無人機/機器人、電能計量器、高清攝像頭、智能有序充電樁等接入電力物聯(lián)網(wǎng)后失去了物理隔離的天然保護。對于大部分電力終端，往往其自身的計算與存儲資源有限，同時存在安全漏洞，所處的位置與狀態(tài)復雜多變［4］。因此，攻擊者可以先入侵脆弱的電力終端進行遠程控制，在繞過強大的邊界網(wǎng)絡安全防御體系后，以失陷終端作為跳板縱向滲透到5G 電力物聯(lián)網(wǎng)內(nèi)部的主站，通過用戶憑證濫用、APT 攻擊、供應鏈攻擊等方式構(gòu)成竊取敏感數(shù)據(jù)的失陷終端威脅。

零信任能夠采用最小權限策略和嚴格執(zhí)行訪問控制策略來減少惡意訪問和攻擊［5］。零信任假設失陷是不可避免的或已經(jīng)發(fā)生的，采取“永不信任，始終驗證”的原則，主要防止敏感數(shù)據(jù)的竊取威脅。為了彌補邊界網(wǎng)絡安全防御體系的不足，業(yè)界對零信任的關注度越來越高。谷歌、微軟、思科、騰訊、中興、奇安信等國內(nèi)外知名企業(yè)已經(jīng)陸續(xù)推出了相應的解決方案［6］。工業(yè)和信息化部在《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》中，將零信任等網(wǎng)絡安全新理念首次列入需要“著力突破的網(wǎng)絡安全關鍵技術”中。

面對攻擊者控制失陷終端滲透到5G 電力物聯(lián)網(wǎng)內(nèi)部竊取敏感數(shù)據(jù)的威脅，本文提出一種霧化零信任組件的檢測方案。采用分布式多點的零信任組件霧化部署，將檢測失陷終端威脅的壓力分散到各個霧區(qū)域，并引入策略監(jiān)管器，通過區(qū)塊鏈輔助數(shù)據(jù)共享方法保障分布式零信任安全架構(gòu)的可用性。構(gòu)建一種突發(fā)信任評估模型，持續(xù)性地收集終端行為因素以提取突發(fā)因子，從而實現(xiàn)失陷終端的快速檢測。對霧層認證信息進行簽密，使其安全傳輸?shù)皆茖?，電力云控制中心（Power Cloud Control Center，P3C）驗證認證信息的有效性并提供相應服務，從而降低對抗失陷終端威脅的處理負載。

1 相關工作

零信任的理念和相關技術正在快速推動網(wǎng)絡安全行業(yè)的發(fā)展和變革，所有的實名訪問場景都可以逐步升級到零信任網(wǎng)絡的安全架構(gòu)下［7］。美國國家標準技術研究院（NIST）發(fā)布的《Zero Trust Network Architecture》標準草案［8］指出，零信任安全架構(gòu)是一種端到端的網(wǎng)絡/數(shù)據(jù)保護方法，包括身份、憑證、訪問管理、運營、終端、主機環(huán)境、互聯(lián)的基礎設施等多個方面，其核心由策略引擎（Policy Engine，PE）、策略管理器（Policy Administrator，PA）、策略執(zhí)行點（Policy Enforcement Point，PEP）等組件構(gòu)成。

在NIST 所提架構(gòu)的基礎上，結(jié)合相關應用場景的零信任安全架構(gòu)研究方案已經(jīng)出現(xiàn)。文獻［9］提出一種基于零信任網(wǎng)絡的用戶上下文共享方法，通過用戶控制上下文共享機制來保護用戶隱私。文獻［10］針對分布式系統(tǒng)建立零信任架構(gòu)，同時提出一種共識算法，確保了訪問過程中數(shù)據(jù)的安全性。文獻［11］基于Elastic Stack 構(gòu)建零信任網(wǎng)絡模型，保密單位可以在保證機密性的同時提高工作效率。文獻［12］為5G 智能醫(yī)療平臺提出一種零信任醫(yī)療安全架構(gòu)，實現(xiàn)了實時網(wǎng)絡安全態(tài)勢感知和細粒度的訪問控制。然而，現(xiàn)有零信任安全架構(gòu)研究方案默認零信任組件為中心化部署，無法直接應用于海量電力終端接入和分布廣泛的5G 電力物聯(lián)網(wǎng)場景中，在面向海量電力終端的頻繁訪問請求認證時容易延遲認證時間，甚至導致中心化的零信任組件單點失效。

在零信任安全架構(gòu)中，信任評估是發(fā)現(xiàn)失陷終端的關鍵技術，是識別網(wǎng)絡中異常行為的重要工具［13］。文獻［14］通過節(jié)點內(nèi)存的內(nèi)在屬性建立信任評估機制，保證了無線傳感網(wǎng)絡的可信目標節(jié)點和源節(jié)點的可信度。文獻［15］使用加權求和方法獲得具有推薦和反饋的間接信任值，通過模糊邏輯和貝葉斯推理計算信任級別，據(jù)此判斷網(wǎng)絡節(jié)點的可信度。文獻［16］針對電力物聯(lián)網(wǎng)環(huán)境提出一種基于模糊的信任評估機制，使用貝葉斯和DS 證據(jù)理論計算電網(wǎng)路由的綜合信任值，確保了電網(wǎng)路由的安全性。文獻［17］基于車聯(lián)網(wǎng)的感知層提出一種考慮節(jié)點周圍環(huán)境因素的信任評估模型。但是，現(xiàn)有信任評估模型較少考慮突發(fā)性問題，計算出的信任值滯后于終端行為，難以快速預警和檢測行為突發(fā)異常的失陷終端威脅。

2 系統(tǒng)架構(gòu)

5G 技術在電力行業(yè)的快速普及促使接入網(wǎng)絡的電力終端數(shù)目眾多且覆蓋范圍較廣［18］，給零信任組件的中心化部署帶來了巨大挑戰(zhàn)，減緩了零信任在5G 電力物聯(lián)網(wǎng)中的應用。因此，需要一種分布式架構(gòu)來提升失陷終端威脅的檢測效率，規(guī)避中心化部署的單點失效問題。

霧計算是一種系統(tǒng)性的水平計算架構(gòu)，其部分計算、存儲、通信、控制和決策由接近用戶的邊緣網(wǎng)絡設備完成［19］，可以有效緩解云計算中存在的時延問題，因此，其在智慧城市、智能醫(yī)療、智能電網(wǎng)等對低時延需求較高的領域被廣泛應用［20］。鑒于此，可以將零信任組件部署于電力終端周圍的霧區(qū)域，在“端”“霧”“云”系統(tǒng)架構(gòu)上實現(xiàn)5G 電力物聯(lián)網(wǎng)場景下的失陷終端威脅檢測。如圖1 所示，失陷終端威脅檢測系統(tǒng)架構(gòu)包括端層、霧層和云層。

圖1 失陷終端威脅檢測系統(tǒng)架構(gòu)Fig.1 Threat detection system architecture of compromised terminals

端層、霧層和云層具體功能如下：

1）端層。接入5G 電力物聯(lián)網(wǎng)“發(fā)、輸、變、配、用”五大環(huán)節(jié)的電力終端構(gòu)成端層。每個連接互聯(lián)網(wǎng)的電力終端配置零信任代理，負責監(jiān)控電力終端的網(wǎng)絡活動和資源訪問請求。對于控制命令篡改、惡意代碼注入等可疑行為，零信任代理監(jiān)控發(fā)現(xiàn)后直接告知零信任網(wǎng)關（PEP）進行攔截；對于無法確定可疑情況的資源訪問請求，則需要提交給零信任組件。

2）霧層。根據(jù)5G 電力物聯(lián)網(wǎng)的業(yè)務范圍，可以將霧層劃分為m個霧計算區(qū)域，定義為集合Ъ=｛FA1，…，F(xiàn)Ae，…，F(xiàn)Am｝。每個區(qū)域中分配n個霧服務器，定義為集合€=｛SEF1，…，SEFf，…，SEFn｝，主要包括：實現(xiàn)PR監(jiān)測職能的1 臺計算型霧服務器和3 臺存儲型霧服務器；構(gòu)成PE、PA、PEP 主節(jié)點的3 臺計算型霧服務器，并為每個主節(jié)點搭配用于次節(jié)點的（n-7）/3 臺計算型霧服務器。主節(jié)點負責響應零信任代理發(fā)來的認證請求，對于通過綜合分析研判出的可疑行為，可直接攔截阻斷，而對于涉及敏感數(shù)據(jù)訪問的請求，需要將授權結(jié)果提交給云層，方便電力終端接入云層。當負責某個零信任組件的主節(jié)點宕機或癱瘓時，相關次節(jié)點立即啟動，從而保障零信任組件的監(jiān)控職責正常運行。

3）云層。零信任組件產(chǎn)生的認證信息若是明文狀態(tài)，則在傳輸過程中容易被攻擊者篡改和偽造。因此，系統(tǒng)對霧層認證信息進行無證書簽密，確保其安全傳輸?shù)皆茖?。電力云控制中心P3C 解簽密認證信息，結(jié)合訪問權限進行驗證：若驗證通過，則返回驗證有效性和訪問許可給霧層的相關零信任組件，對主體提供相應的數(shù)據(jù)類型；若驗證未通過，則返回驗證無效和訪問拒絕消息。

3 方案設計

為滿足5G 電力物聯(lián)網(wǎng)場景下海量終端的認證和監(jiān)控需求，本文提出一種失陷終端威脅檢測方案，主要包括霧化零信任組件、突發(fā)性信任評估和簽密傳輸霧層認證信息部分。

3.1 霧化零信任組件

本文系統(tǒng)采用分布式多點方式將零信任組件霧化部署到電力終端周圍，同時，提出一種宕機組件應急響應流程，用于及時發(fā)現(xiàn)單點失效的零信任組件，此時立即啟用相關霧服務器次節(jié)點，避免一個零信任組件停止運轉(zhuǎn)而導致整個零信任安全架構(gòu)失效。

3.1.1 分布式多點霧化部署

PEP、PE 和PA 這3 個零信任組件相互協(xié)作構(gòu)成了零信任安全架構(gòu)的運行機制。霧化部署主要包含5 個步驟：

1）主體在5G 電力物聯(lián)網(wǎng)內(nèi)部活動發(fā)出的數(shù)據(jù)和資源訪問請求，都會被零信任代理打包成認證需求上報給PEP。

2）PEP 通常稱為零信任網(wǎng)關，轉(zhuǎn)發(fā)上報的認證需求給PE。

3）PE 根據(jù)主體的認證情況，通過突發(fā)信任評估模型計算其信任值，對網(wǎng)絡活動和訪問請求進行認證，并將認證結(jié)果發(fā)給PA 和PEP。

4）對于認證通過的主體，PA 生成訪問授權憑據(jù)交給PEP。

5）PEP 將認證結(jié)果和授權憑據(jù)打包簽密后發(fā)送給P3C，若收到P3C 返回的驗證有效性和訪問許可，則轉(zhuǎn)發(fā)給主體。

為了防止零信任組件的單點失效故障，在霧化部署過程中，PEP、PE 和PA 這3 個零信任組件不僅需要分布式多點部署，還要分別部署在不同的霧服務器上，獨立運行相關職能，從而降低其宕機風險，保障零信任安全架構(gòu)的有效性。

本文引入策略監(jiān)管器PR 對PEP、PE 和PA 這3 個組件的霧服務器主節(jié)點運行情況進行實時監(jiān)測。PR可以訪問和關聯(lián)分析所有零信任組件的運行數(shù)據(jù)，當發(fā)現(xiàn)某個主節(jié)點宕機時，在相關霧服務器次節(jié)點集合中選取新的主節(jié)點繼續(xù)工作。

在一個霧計算區(qū)域內(nèi)，定義零信任組件節(jié)點集合為Γ=｛ZCPEP，ZCPE，ZCPA｝。圖2 所示為平等隨機選取算法的執(zhí)行過程。

圖2 平等隨機選取算法流程Fig.2 Procedure of equal random selection algorithm

平等隨機選取算法執(zhí)行步驟具體如下：

步驟1初始時刻，PR 為3 個零信任組件分配含有g個不重復整數(shù)的隨機數(shù)集合R1、R2和R3，集合R1中的隨機數(shù)分別一對一匹配給PEP 組件的g個霧服務器。

步驟2按隨機數(shù)大小排列，形成PEP 組件集合ZCPEP=｛PEP1，…，PEPb，…，PEPg｝，其中，PEP1為初始PEP主節(jié)點，其余為處于依次待命狀態(tài)的g-1個PEP次節(jié)點。按類似方式，可得到PE組件集合ZCPE=｛PE1，…，PEb，…，PEg｝和PA 組件集合ZCPA=｛PA1，…，PAb，…，PAg｝。

步驟3PR 監(jiān)測到某個組件主節(jié)點（比如PEP1）宕機時，向排在其后的PEP2發(fā)出上線通告。PEP2屬于優(yōu)先待命的次節(jié)點，一直等待來自PR 的上線通告，同時實時關注PEP1的運行狀況。若PEP2在上線通告來臨之前發(fā)現(xiàn)PEP1即將宕機，應及時向PR 申請正式上線通告。

步驟4處于優(yōu)先待命狀態(tài)的次節(jié)點（比如PEP2）接到上線通告后成為新的主節(jié)點，并向其后的PEP3發(fā)送優(yōu)先待命指令，接替PEP2的位置。

步驟5PR 向霧區(qū)域內(nèi)所有電力終端的零信任代理廣播PEP2上位消息，后續(xù)的認證需求將發(fā)給PEP2。

步驟6PEP1重新恢復后排入集合ZCPEP，成為最后一個PEP 次節(jié)點。

3.1.2 零信任組件宕機應急響應

針對零信任的全網(wǎng)監(jiān)控職責，攻擊者控制一些失陷終端產(chǎn)生大量的正常數(shù)據(jù)包，經(jīng)由零信任代理自動流向零信任組件。攻擊者沒有在這些數(shù)據(jù)包中注入任何攻擊代碼和指令，主要目的是致癱零信任引擎。維持零信任安全架構(gòu)的各組件都被分別部署在不同的霧服務器上，如果其中一臺宕機，零信任安全架構(gòu)就會失效，無法對電力終端的網(wǎng)絡活動行為進行監(jiān)控，從而給予失陷終端潛在的竊取敏感數(shù)據(jù)的機會。

對于分布式多點部署，為確保次節(jié)點上線后能快速進入工作狀態(tài)，通過區(qū)塊鏈輔助方法，在零信任組件的主節(jié)點和次節(jié)點之間實現(xiàn)運行數(shù)據(jù)共享。區(qū)塊鏈是新型信息基礎設施的重要支撐技術，在電力系統(tǒng)中被廣泛應用［21］。

如圖3 所示，對PE、PA、PEP 生成3 種類型的區(qū)塊鏈，分別為Per-blockchain、Par-blockchain 和Peprblockchain，它們都具有聯(lián)盟區(qū)塊鏈去中心化、可追溯、防篡改和預定共識節(jié)點的特點。Per-blockchain由PR 和集合ZCPEP中的所有節(jié)點共同維護。PEP 主節(jié)點充當Per-blockchain 共識頭的角色，將其固定時間內(nèi)新產(chǎn)生的運行數(shù)據(jù)創(chuàng)建成一個新區(qū)塊，廣播給PR 和其余次節(jié)點。按類似方式，可得到Parblockchain 和Pepr-blockchain 的共同維護和區(qū)塊產(chǎn)生機制。進一步地，為保障PR 的正常運轉(zhuǎn)，PR 除了由1 臺計算型霧服務器和3 臺存儲型霧服務器構(gòu)成外，只負責監(jiān)測PE、PA 和PEP 這3 個組件的主節(jié)點運行數(shù)據(jù)，不接收和處理來自其他用戶、設備、終端的任何交互和通信數(shù)據(jù)，具有更好的抗宕機性。

圖3 策略監(jiān)管器的可視化架構(gòu)Fig.3 Visual architecture of the policy regulator

區(qū)塊鏈可以在弱信任或無信任網(wǎng)絡中進行數(shù)據(jù)共享［22］。結(jié)合區(qū)塊鏈輔助的零信任組件運行數(shù)據(jù)共享方法，PR 可以發(fā)現(xiàn)被攻擊者致癱的宕機組件。如圖4 所示，一旦出現(xiàn)宕機組件，應急響應流程如下：

圖4 宕機組件應急響應流程Fig.4 Emergency response procedure of downed component

1）當PEP 接收到電力終端發(fā)起的訪問請求時，同步觸發(fā)PR 的實時監(jiān)視。

2）PEP 將綜合評價因素發(fā)送給PE，同時向PR 提交一份綜合評價因素的副本。

3）PE 的授權結(jié)果通過Per-blockchain 共享給PR，如果PR 發(fā)現(xiàn)授權結(jié)果錯誤，則PE 可能是失陷組件。

4）PA 生成的授權憑證通過Par-blockchain 共享給PR，如果PR 發(fā)現(xiàn)授權憑證與授權結(jié)果不匹配，則PA 可能是宕機組件。

5）PEP 的訪問決策通過Pepr-blockchain 共享給PR，如果PR 發(fā)現(xiàn)訪問決策不是由授權憑證所做出，則PEP 可能是宕機組件。

6）當PR 發(fā)現(xiàn)某個組件發(fā)生宕機，立即通告相關組件的優(yōu)先待命次節(jié)點進行替換。

3.2 突發(fā)信任評估

信任評估是零信任網(wǎng)絡的核心部分，維護整個零信任網(wǎng)絡的正常運轉(zhuǎn)［23］。檢測失陷終端威脅的關鍵在于信任評估需要快速捕捉到突發(fā)行為，并量化反映到信任值。在5G 電力物聯(lián)網(wǎng)中，結(jié)合零信任組件的霧化部署，本文建立一種突發(fā)信任評估模型，以快速發(fā)現(xiàn)具有突發(fā)異常行為的失陷終端。

定義霧區(qū)域FAe內(nèi)的電力終端集合?=｛PT1，…，PTk，…，PTp｝。終端行為因素是信任評估模型的數(shù)據(jù)輸入來源，充分利用零信任代理監(jiān)測霧區(qū)域FAe內(nèi)電力終端的行為，持續(xù)性地收集終端行為因素，將其提交給所屬霧區(qū)域的Per-blockchain 鏈上存儲。

以PTk為例，終端行為因素集合，。當電力終端PTk通過認證，則視為連接成功，加1；否則，連接失敗，加1。為提取出的突發(fā)因子。若零信任代理監(jiān)測出現(xiàn)惡意提權、橫向越權、縱向越權等行為時，設置=1。在零信任組件中，PE 調(diào)用Per-blockchain 鏈上的￡，從而計算電力終端的信任值。

貝葉斯信任具有簡潔有效的特點，是目前主流的信任評估方案之一。貝葉斯分布概率密度函數(shù)Beta（α，β）［24］如下：

其中：τ表示電力終端行為的可能性，0<τ<1，α>0，β>0。

在5G 電力物聯(lián)網(wǎng)中，使用和計算信任值。當PTk連接 成功，α=+1；否則，β=+1。PTk的信任值計算公式為：

顯然，α和β都為正整數(shù)，因此，根據(jù)Beta 分布函數(shù)的期望值，進一步得到PTk的信任值計算公式為：

屬于靜態(tài)評估方式，存在一定的滯后性，難以及時反映失陷終端的突發(fā)異常行為。當電力終端PTk失陷后，攻擊者可以控制失陷終端竊取敏感數(shù)據(jù)。因此，本文引入突發(fā)因子進一步優(yōu)化信任值計算，及時實現(xiàn)突發(fā)的信任評估。當=1時，PTk的突發(fā)信任值計算公式為：

顯然，和都在［0，1］區(qū)間范圍內(nèi)，門限值σ可以取為一個中間值0.5。根據(jù)式（4），當出現(xiàn)=1時，會迅速衰減其信任值到門限值以下。

根據(jù)門限值σ，可以給出關于PTk的認證結(jié)果。當≥σ時，=1，表示認證通過；當<σ時，=0，表示認證不通過。最后，PE將發(fā)送給PA 和PEP。

3.3 無證書簽密霧層認證信息

若=0，則PEP 快速認定PTk為失陷終端，攔截其訪問請求；若=1，PA 則生成訪問授權憑據(jù)并發(fā)送給PEP。PEP 打包霧層認證信息mk=｛PTk，，｝，傳輸?shù)皆茖拥腜3C。為防止霧層認證信息在傳輸過程中被篡改和偽造，對mk進行無證書簽密，以保障mk的安全性。無證書簽密過程如圖5 所示。

圖5 霧層認證信息的簽密過程Fig.5 Signcryption process of fog layer authentication information

無證書簽密具體由以下4 個步驟組成：

1）初始化

2）用戶密鑰生成

3）簽密

計算出P3C 的完整公鑰PKP3C=（KP3C，LP3C），完整私鑰SKP3C=（kP3C，YP3C）。PEP 發(fā)送消息mk給P3C 時的簽密過程如下：

PEP 生成簽密后的密文δk=（RPEP，ck，sigPEP）并發(fā)送給P3C。

4）解簽密

P3C 在收到簽密消息δk后，使用相應的私鑰SKP3C和PEP 的公鑰PKPEP進行解簽密，過程如下：

通過第3 步恢復明文mk。如果第4 步成立，則簽名有效，接收mk；否則，拒絕接收mk。

對上述簽密方案進行正確性分析，如下：

1）驗證消息的真實性。由式（5）可知W′=W，因此，可以正確解密出明文mk||IDPEP=ck⊕H2（W′）。

2）驗證簽名的正確性，驗證過程為：

在本文簽密方案中，PEP 和P3C 的密鑰由自身及KGC 共同生成。PEP 通過計算進行簽名，P3C 通過計算mk=（ck||IDPEP）⊕H2（RPEP·（YP3C+kP3C））解密密文。假設攻擊者成功獲取PEP 或P3C 的身份信息，但是計算其私鑰屬于橢圓曲線離散對數(shù)困難問題，因此，本文方案可以抵抗霧層認證信息的篡改和造假攻擊。

4 仿真分析

4.1 仿真環(huán)境設置

本文使用Python3.9 搭建仿真環(huán)境，對檢測方案進行實驗分析，驗證失陷終端威脅的抑制效果。仿真環(huán)境參數(shù)設置如表1 所示。

表1 仿真環(huán)境參數(shù)設置 Table 1 Simulation environment parameters setting

4.2 仿真結(jié)果分析

本文方案將零信任賦予的認證和全網(wǎng)監(jiān)控職責下沉到5G 電力物聯(lián)網(wǎng)邊緣，對零信任組件進行霧化部署。在仿真中，首先對比分析中心化和霧化部署后零信任組件的處理負載。如圖6 所示，隨著訪問請求的不斷增加，中心化部署所面臨的處理負載呈線性增長趨勢，霧化部署則會分解掉這些處理負載。當霧區(qū)域數(shù)量F=10時，每個霧區(qū)域承擔的處理負載明顯降低。特別地，隨著霧區(qū)域劃分數(shù)量的增加，分攤到每個霧區(qū)域的處理負載降低。

圖6 處理負載對比Fig.6 Processing load comparison

設置霧區(qū)域數(shù)量為10，采用循環(huán)仿真的方法進行100 輪仿真，通過3 組仿真實驗觀察本文方案對抗失陷終端威脅的效果。

在本文方案中，信任值可用于快速識別失陷終端。第一組仿真實驗中隨機選擇一個失陷終端，觀察其信任值變化情況，并與貝葉斯方案［25］進行對比。假設該終端在前35 輪未失陷，從第36 輪開始被攻擊者控制而失陷。如圖7 所示，在前35輪，該終端在2 種方案下的信任值都不斷增加，從第36 輪開始，該終端出現(xiàn)突發(fā)異常行為，在貝葉斯方案下信任值緩慢衰減，而在本文方案中極速衰減。貝葉斯方案未在信任值計算中考慮對突發(fā)異常行為的量化，難以迅速衰減信任值，本文方案充分借助零信任代理的監(jiān)測功能，當發(fā)現(xiàn)=1時，觸發(fā)突發(fā)信任值計算，在圖7中，直觀表現(xiàn)為信任值在第36 輪極速衰落到門限值以下。

圖7 失陷終端的信任值變化情況Fig.7 Changes of trust values of compromised terminal

本文方案的主要設計目的在于檢測失陷終端。在第二組仿真實驗中，深入到一個霧區(qū)域，觀察失陷終端的檢測率情況。以其中一個霧區(qū)域FAm為例，電力終端數(shù)量為300，失陷電力終端比例為20%，設置失陷終端從第36 輪開始統(tǒng)一出現(xiàn)突發(fā)異常行為。如圖8 所示，貝葉斯方案難以檢測出失陷終端，本文方案引入突發(fā)信任評估機制，具有快速的失陷終端檢測效率，在第36 輪有效檢測出92.3%的失陷終端，到第39 輪則檢測出了所有的失陷終端。

圖8 失陷終端檢測率Fig.8 Compromised terminals detection rate

阻斷敏感數(shù)據(jù)的竊取威脅表現(xiàn)為限制失陷終端的非法訪問次數(shù)。第三組仿真實驗延續(xù)上一組仿真參數(shù)，進一步觀察本文方案抑制失陷終端發(fā)出的非法訪問次數(shù)的效果。如圖9 所示，貝葉斯方案難以抑制該霧區(qū)域產(chǎn)生的非法訪問次數(shù)，而本文方案能及時發(fā)現(xiàn)失陷終端，迅速將非法訪問次數(shù)降至零。

圖9 非法訪問次數(shù)的抑制情況Fig.9 Suppression of the number of illegal access

5 結(jié)束語

在5G 電力物聯(lián)網(wǎng)環(huán)境下，越來越多的電力終端暴露在互聯(lián)網(wǎng)中，提高了攻擊者控制失陷終端從而縱向滲透的可能，因此，需要更加有效的數(shù)據(jù)安全保障機制。為滿足海量電力終端接入網(wǎng)絡的敏感數(shù)據(jù)保護需求，本文提出一種霧化零信任組件的失陷終端威脅檢測方案。通過分布式多點方式對圍繞密集的電力終端進行零信任組件霧化部署，并設計一種宕機組件的應急響應流程。建立突發(fā)信任評估模型，快速檢測出具有突發(fā)異常行為的失陷終端，同時采用簽密方案保障霧層認證信息傳輸過程的安全性。仿真結(jié)果表明，霧化部署能夠分攤中心化模式下零信任組件的處理負載，該方案可以有效檢測失陷終端威脅。下一步將結(jié)合深度學習算法，建立基于卷積神經(jīng)網(wǎng)絡的動態(tài)信任評估模型，以實現(xiàn)更優(yōu)的失陷終端抑制效果。