關(guān)鍵詞：零信任架構(gòu)；物聯(lián)網(wǎng)終端；訪問控制；認證授權(quán)

0 引言

近年來，物聯(lián)網(wǎng)技術(shù)快速發(fā)展，相應(yīng)的網(wǎng)絡(luò)連接設(shè)備也大量增加。面對網(wǎng)絡(luò)連接設(shè)備安全挑戰(zhàn)，傳統(tǒng)的安全架構(gòu)通常基于邊界防護理念，即假定內(nèi)網(wǎng)環(huán)境是安全的[1]。然而，在遭受網(wǎng)絡(luò)攻擊時，由于物聯(lián)網(wǎng)終端的數(shù)量龐大、類型多樣且分布廣泛，它們成為網(wǎng)絡(luò)攻擊者主要的目標。因此，尋求一種新型的安全框架來應(yīng)對物聯(lián)網(wǎng)安全挑戰(zhàn)已成為必然趨勢。在這樣的背景下，零信任架構(gòu)應(yīng)運而生。本文將重點討論零信任架構(gòu)在物聯(lián)網(wǎng)終端接入安全方面的實際應(yīng)用和突出優(yōu)勢。

1 零信任架構(gòu)概述

1.1 零信任架構(gòu)的基本概念

零信任架構(gòu)是一種應(yīng)對現(xiàn)代網(wǎng)絡(luò)安全挑戰(zhàn)的安全模型。它的核心原則是“永不信任，始終驗證”。這意味著無論是網(wǎng)絡(luò)內(nèi)部用戶還是外部用戶，甚至來自公司內(nèi)部不同部門的員工，每一次訪問請求都必須經(jīng)過嚴格的身份驗證和授權(quán)檢查。與傳統(tǒng)邊界防御模型相比，零信任架構(gòu)有根本性的區(qū)別。它不再默認信任網(wǎng)絡(luò)內(nèi)部用戶和設(shè)備，而是要求每一次訪問都必須進行身份驗證和授權(quán)檢查。而且，這些檢查是動態(tài)的，能夠根據(jù)當前環(huán)境和風險狀況進行調(diào)整。

1.2 零信任架構(gòu)的核心原則

零信任架構(gòu)構(gòu)建在最小權(quán)限、動態(tài)訪問和嚴格身份認證等多種原則之上。這些核心原則是零信任網(wǎng)絡(luò)運作方式的基石，共同定義了其安全模型。表1簡要概述了這些核心原則。

2 物聯(lián)網(wǎng)終端接入安全威脅及局限性

2.1 物聯(lián)網(wǎng)終端面臨的安全威脅

物聯(lián)網(wǎng)終端面臨著來自設(shè)備自身、網(wǎng)絡(luò)通信以及系統(tǒng)架構(gòu)等多個層面的安全威脅。具體如表2所示：

2.2 傳統(tǒng)安全架構(gòu)的局限性

傳統(tǒng)物聯(lián)網(wǎng)安全架構(gòu)在現(xiàn)代網(wǎng)絡(luò)環(huán)境中存在許多限制。這些架構(gòu)依賴于網(wǎng)絡(luò)邊緣安全設(shè)備和基于All大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，將保護措施的重點放在網(wǎng)絡(luò)外圍，對內(nèi)部威脅的防護能力有限。該模式采用了先連接后認證的機制，基于TCP/IP協(xié)議并結(jié)合VPN來實現(xiàn)端對端的通信[2]，如圖1。

在物聯(lián)網(wǎng)環(huán)境中，傳統(tǒng)的安全架構(gòu)面臨著許多挑戰(zhàn)。首先，難以應(yīng)對大量設(shè)備接入和高速數(shù)據(jù)傳輸?shù)男枨?。其次，傳統(tǒng)安全架構(gòu)無法有效隔離并解決跨設(shè)備和跨網(wǎng)絡(luò)安全問題。此外，在網(wǎng)絡(luò)攻擊手段日益多樣化的趨勢下，傳統(tǒng)的防火墻、入侵檢測系統(tǒng)和防病毒軟件無法全面保護物聯(lián)網(wǎng)終端免受攻擊[3]。

3 零信任架構(gòu)在物聯(lián)網(wǎng)終端接入中的應(yīng)用

3.1 零信任架構(gòu)的技術(shù)實現(xiàn)

統(tǒng)一身份管理系統(tǒng)的作用是為每個實體，如用戶、設(shè)備和服務(wù)，創(chuàng)建唯一的數(shù)字身份，并使用加密算法如SM來確保身份的安全性。數(shù)字身份生成可表示為：

其中PKentity 表示實體公鑰，Infoentity 則表示實體信息。統(tǒng)一身份管理系統(tǒng)采用高級加密算法，例如國密SM算法，為每個實體生成一對公鑰和私鑰。通過這種方法，可以確保身份信息的安全性，并支持強驗證機制。其中，數(shù)字身份可以表示為ID = hash（實體公鑰 || 實體信息）。這種結(jié)構(gòu)使得任何試圖冒充身份的行為變得極為困難，因為攻擊者需要同時擁有正確的公鑰和對應(yīng)的實體信息才能通過驗證。該系統(tǒng)還支持多因素認證，包括但不限于生物識別、智能卡、短信驗證碼等，以增加登錄過程的安全性。此外，統(tǒng)一身份管理系統(tǒng)可以與企業(yè)現(xiàn)有的目錄服務(wù)如LDAP、Ac?tive Directory集成，實現(xiàn)對用戶身份的無縫驗證，從而在簡化管理過程的同時提高安全性。

終端權(quán)限管控系統(tǒng)基于最小權(quán)限原則動態(tài)分配訪問權(quán)限，通過訪問策略公式實現(xiàn)：

其中Rterminal 為終端請求資源，Snetwork 則表示網(wǎng)絡(luò)狀態(tài)。終端權(quán)限管控系統(tǒng)根據(jù)一系列因素動態(tài)地分配訪問權(quán)限。這些因素包括用戶的角色、設(shè)備類型、安全狀態(tài)、當前網(wǎng)絡(luò)環(huán)境以及特定的時間條件等。例如，在公司內(nèi)部網(wǎng)絡(luò)中，設(shè)備可以獲得比遠程設(shè)備更多的訪問權(quán)限，而已經(jīng)進行多因素認證的用戶可能比未認證用戶擁有更多權(quán)限。為了實現(xiàn)這種動態(tài)權(quán)限控制，系統(tǒng)會利用策略引擎來定義和執(zhí)行訪問控制策略[4]。

3.2 基于零信任架構(gòu)的物聯(lián)網(wǎng)終端認證與授權(quán)

在物聯(lián)網(wǎng)終端接入零信任架構(gòu)中，采用了一個三層安全模型，包括云端安全認證中心、接入層安全認證網(wǎng)關(guān)和感知層物聯(lián)網(wǎng)終端。

1） 平臺側(cè)安全機制

在平臺側(cè)部署了統(tǒng)一身份管理系統(tǒng)、終端權(quán)限管控系統(tǒng)和智能態(tài)勢感知系統(tǒng)。這些系統(tǒng)共同工作，為物聯(lián)網(wǎng)環(huán)境提供了堅實的安全基礎(chǔ)。

2） 統(tǒng)一身份管理系統(tǒng)

該系統(tǒng)負責為所有實體（包括用戶、設(shè)備、服務(wù)等）創(chuàng)建和管理數(shù)字身份。每個實體在系統(tǒng)中注冊時，都會被賦予一個唯一的數(shù)字身份，用于后續(xù)的認證和授權(quán)過程。

3） 終端權(quán)限管控系統(tǒng)

該系統(tǒng)基于最小權(quán)限原則，確保每個終端只能訪問其被授權(quán)的資源和服務(wù)。通過動態(tài)調(diào)整訪問策略，響應(yīng)終端的行為和網(wǎng)絡(luò)環(huán)境的變化。

4） 智能態(tài)勢感知系統(tǒng)

結(jié)合大數(shù)據(jù)分析和風險評估模型，該系統(tǒng)能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)狀態(tài)，預(yù)測和響應(yīng)潛在的安全威脅。

網(wǎng)絡(luò)側(cè)安全認證網(wǎng)關(guān)配備了零信任安全套件，對所有經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)進行嚴格的檢查和驗證。零信任安全套件包括一系列安全協(xié)議和算法，如TLS/IPSEC。物聯(lián)網(wǎng)終端和邊緣網(wǎng)關(guān)配備了零信任安全代理客戶端，以確保設(shè)備的身份數(shù)據(jù)安全。零信任安全代理客戶端利用SIM卡的唯一標識（ICCID和IMSI） 作為基礎(chǔ)身份信息，并在此基礎(chǔ)上生成動態(tài)的臨時身份，用于接入時的認證。

在該零信任架構(gòu)中，采用了基于SM2和SM3算法的網(wǎng)絡(luò)接入認證新協(xié)議。SM2算法用于數(shù)字簽名和密鑰交換的功能，而SM3算法則用于消息的完整性校驗。

具體步驟如下：物聯(lián)網(wǎng)終端首先生成一對SM2密鑰，包括私鑰SK和公鑰PK。私鑰由終端保密存儲，而公鑰則可以通過安全通道進行公開傳輸。當終端需要接入網(wǎng)絡(luò)時，使用其私鑰SK對一個包含認證信息，例如終端ID、時間戳等的消息M進行簽名。簽名過程可以表示為：

如果Result為真，則表明消息確實來自擁有對應(yīng)私鑰的終端且未被篡改。SM3算法應(yīng)用于消息完整性校驗，用于生成消息摘要。在網(wǎng)絡(luò)接入認證新協(xié)議中，SM3用來驗證消息在傳輸過程中完整性，物聯(lián)網(wǎng)終端在發(fā)送認證請求時使用SM3算法對請求消息M 生成哈希值H。

終端將生成的哈希值H與認證請求一起發(fā)送給網(wǎng)絡(luò)接入點，網(wǎng)絡(luò)接入點收到認證請求、哈希值后，獨立計算收到消息的SM3哈希值并與終端發(fā)送的哈希值H進行比較。如果兩者一致，則說明消息在傳輸過程中未被篡改。

3.3 零信任架構(gòu)的訪問控制策略

SM2 算法是一種非對稱加密算法，支持數(shù)字簽名、密鑰交換和公鑰加密。在這些用戶角色訪問控制協(xié)議中，SM2主要用于數(shù)字簽名，確保用戶角色信息真實性、不可篡改性。具體實施步驟如下：系統(tǒng)中每個用戶根據(jù)其職責被分配一個或多個角色，這些信息經(jīng)過SM2算法加密后存儲在系統(tǒng)中。

EncryptedRoleInfo = SN2Encrypt（PKsystem，RoleInfo） （6）

其中PKsystem 是系統(tǒng)公鑰，RoleInfo為用戶角色信息。當用戶嘗試訪問資源時，系統(tǒng)使用SM2算法驗證用戶的角色：

其中SKsystem 是系統(tǒng)私鑰，Signature則表示隨請求發(fā)送的數(shù)字簽名。SM9算法是一種基于身份的加密算法，適用于屬性基訪問控制。在這種技術(shù)中，訪問控制策略是根據(jù)用戶的屬性而不是其身份進行定義的。實施步驟包括定義一組屬性，每個屬性關(guān)聯(lián)不同的訪問權(quán)限。

其中每個Atti 均代表一個屬性，根據(jù)屬性集定義訪問控制策略，例如某一策略可能要求用戶必須擁有屬性A和B才能訪問某個資源。例如在智能家居系統(tǒng)中，用戶地理位置（屬性A） 和時間（屬性B） 用作訪問控制條件。如果用戶在晚上10點至早上6點間位于家的位置，系統(tǒng)可以自動調(diào)整家中設(shè)備如燈光和安全系統(tǒng)的設(shè)置。

為了實現(xiàn)這一目標，工廠采用了基于SM2、SM9 的零信任安全架構(gòu)。工廠為每位員工創(chuàng)建唯一數(shù)字身份，并使用SM2算法對其角色進行加密簽名。例如一名員工被標記為“機械操作員”，另一名員工標記為“質(zhì)量檢驗員”。這些角色信息用于決定員工所能訪問的系統(tǒng)資源。接著工廠定義了一組基于屬性的訪問控制策略，使用SM9算法進行管理。例如策略規(guī)定只有同時擁有“機械操作員”角色，在特定工作站地理位置內(nèi)員工才能啟動或停止生產(chǎn)線上機器。即使有員工設(shè)備丟失或被盜，由于缺乏必要角色屬性、位置屬性，設(shè)備也無法用來訪問關(guān)鍵系統(tǒng)。

4 零信任架構(gòu)的安全性分析與案例研究

4.1 零信任架構(gòu)的安全性優(yōu)勢

零信任架構(gòu)的安全性優(yōu)勢顯著，以Google的Be?yondCorp項目為例，該項目成功實踐了零信任模型。在實施BeyondCorp之前，Google面臨內(nèi)部網(wǎng)絡(luò)頻繁遭受入侵的問題，員工和訪客可以輕易地訪問公司內(nèi)部資源。實施零信任架構(gòu)后，Google將訪問控制策略從基于網(wǎng)絡(luò)位置轉(zhuǎn)變?yōu)榛谟脩艉驮O(shè)備身份狀態(tài)，顯著降低了內(nèi)部威脅和數(shù)據(jù)泄露的風險。根據(jù)Google的報告，實施BeyondCorp后，有85%的員工采用了零信任模型進行遠程工作，而這一轉(zhuǎn)變并未增加安全事件的發(fā)生頻率。Google還發(fā)現(xiàn)，在采用零信任架構(gòu)后，惡意軟件感染率下降了50%，并且能夠?qū)崟r阻止96% 的登錄欺詐嘗試[5]。

進一步分析可以發(fā)現(xiàn)，零信任架構(gòu)的安全性優(yōu)勢關(guān)鍵在于其“不信任任何人”的原則以及對每一次訪問請求的嚴格審查。這種模式迫使所有用戶無論其物理位置如何，都必須通過強身份驗證才能訪問資源。從而減少了因憑證被盜用而引發(fā)的安全事件，使攻擊者即使獲得了網(wǎng)絡(luò)接入權(quán)限也難以進一步滲透關(guān)鍵系統(tǒng)。

4.2 零信任架構(gòu)在實際應(yīng)用中的案例分析

考慮某全球性金融機構(gòu)的案例，該機構(gòu)實施零信任模型來保護交易系統(tǒng)和客戶數(shù)據(jù)。他們采用了嚴格的身份和設(shè)備驗證措施，并結(jié)合微細分網(wǎng)絡(luò)技術(shù)，成功地阻止了97%的未經(jīng)授權(quán)訪問嘗試。在部署零信任架構(gòu)的前六個月內(nèi)，該機構(gòu)處理了大約150萬次的登錄嘗試，其中只有4.5萬次因未能通過增強型多因素認證而失敗。此外，利用自適應(yīng)訪問控制技術(shù)，該機構(gòu)能夠?qū)崟r監(jiān)控和調(diào)整員工的訪問權(quán)限，有效地減少了內(nèi)部威脅。

其次，考察一家大型電信公司的案例，該公司引入零信任架構(gòu)來防御日益復(fù)雜的網(wǎng)絡(luò)攻擊并保護龐大的用戶數(shù)據(jù)。通過對所有網(wǎng)絡(luò)交互進行加密并實施嚴格的訪問控制，該公司在實施零信任架構(gòu)一年后，網(wǎng)絡(luò)入侵事件下降了60%，同時數(shù)據(jù)泄露事件幾乎降至零。值得一提的是，該公司在實施零信任架構(gòu)后對超過1億條數(shù)據(jù)傳輸進行了監(jiān)控，發(fā)現(xiàn)并阻止了約0.03%的異常數(shù)據(jù)交互行為，顯示了極高的數(shù)據(jù)完整性維護能力。

最后，探討一家制造企業(yè)的案例，該企業(yè)將零信任架構(gòu)應(yīng)用于其工業(yè)互聯(lián)網(wǎng)平臺，以確保生產(chǎn)數(shù)據(jù)和知識產(chǎn)權(quán)的安全。他們實施了終端設(shè)備的強制驗證和細化的單個傳感器級別的訪問控制。在引入零信任架構(gòu)的第一年內(nèi)，該企業(yè)遭遇的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件減少了80%。該企業(yè)在10萬個終端設(shè)備上應(yīng)用了這一模型，并成功識別和隔離了約0.5%的設(shè)備，這些設(shè)備因為行為異常或配置不符合安全策略而被判定為高風險。

5 結(jié)論

基于零信任架構(gòu)的物聯(lián)網(wǎng)終端接入安全分析表明，該架構(gòu)憑借其核心原則——不信任任何內(nèi)外網(wǎng)絡(luò)、顯式驗證和動態(tài)權(quán)限分配，為物聯(lián)網(wǎng)設(shè)備提供了更高水平的安全保護。研究表明，應(yīng)用零信任模型可以顯著提升終端的認證和授權(quán)安全性，并有效細化訪問控制策略。案例研究證實，在真實環(huán)境中，零信任架構(gòu)能夠阻斷非法訪問嘗試，以盡可能地防止數(shù)據(jù)泄露。