基于零信任网络的云主站业务动态访问控制方法和系统技术方案

本申请公开了基于零信任网络的云主站业务动态访问控制方法和系统，云基础设施安全平台基于零信任网络实现云主站业务动态访问控制，云基础设施安全平台包括身份安全管理中心、信任持续评估中心、动态访问控制中心和安全代理中心；所述动态访问控制方法包括：身份安全管理中心对云主站的新业务场景和新访问主体进行动态身份和权限管理与认证；信任持续评估中心基于深度学习算法持续进行访问信任评估，得到业务访问主体的信任度和环境的风险；动态访问控制中心结合安全代理中心，对访问信任评估结果进行动态判定和授权。本发明专利技术可实现持续身份认证和动态访问控制。实现持续身份认证和动态访问控制。实现持续身份认证和动态访问控制。

【技术实现步骤摘要】
基于零信任网络的云主站业务动态访问控制方法和系统


[0001]本专利技术属于配电网络安全防护
，涉及基于零信任网络的云主站业务动态访问控制方法和系统。

技术介绍

[0002]随着电力物联网的建设和发展，配电主站、配电终端、运维技术都将向智能化、互联化发展，各环节业务模式、功能定位以及工作方式相比传统配电监控系统“主站
‑
通信网
‑
终端”架构，变得更加灵活、开放、高效，例如：配电终端升级边缘计算功能、低压设备广泛接入、边边设备通信交互、主站系统云化部署等。当前配电自动化系统的安全防护体系以“安全分区、网络专用、横向隔离、纵向认证”为原则，形成了横跨生产控制大区与管理信息大区、覆盖主站、通信、终端、边界等层面的纵深防御体系，但是网络安全的防御重心主要在边界防护，针对配电业务云化部署、终端智能化的安全防护体系尚不完善，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。因此，当前配电二次系统业务安全防护存在以下技术需求：
[0003](1)配电自动化主站云化部署带来了虚拟资源共享、业务系统边界模糊的安全问题。
[0004]配电自动化主站云化部署后具有服务虚拟化、物理/存储资源共享、数据集中处理、广泛共享、多方交叉等特点。一方面，若云平台自身虚拟资源的隔离措施不到位，可能会造成不同应用之间的非法访问或信息泄露；另一方面，云平台多系统、多应用导致存在漏洞的概率上升，若云平台对异常行为的预防不到位，则面临攻击者可利用漏洞潜入系统，导致系统瘫痪或失控事件发生。
[0005](2)智能物联终端“硬件平台化、软件APP化”发展，作为应用软件运行载体的容器新技术大规模应用，引入了新的安全风险。
[0006]一方面“硬件平台化、软件APP化”较多采用linux操作系统，软件快速迭代、系统复杂漏洞增多、开放性增强、攻击难度降低。另一方面各专业定制开发了多款APP应用支撑能源互联业务的发展，多采用容器化部署方式，终端APP的容器化部署在提升能源互联网的感知水平和用户响应能力，同时也给智能物联终端的网络安全带来了新的风险和挑战。
[0007](3)现有的配电自动化信任体系不完整。
[0008]一方面现有配电自动化保护方案以边界防护为主，强调了终端接入安全，但是现有的信任体系中尚未建立“人、服务、设备”统一安全认证体系，无法满足服务与服务、服务与人、服务与设备、设备与设备安全交互需求。另一方面智能分布式馈线自动化、配网差动保护等快速保护业务快速的推广应用，智能终端横向之间采用明文传输的通信方式极易导致单点风险向系统、网络风险发展，缺少对边端侧横向交互保护，缺少身份认证和数据加密，存在身份欺骗、中间人攻击可能，现有加密技术无法满足信息快速加解密的需求。
[0009](4)现有安全防护要求与一线运维便捷需求存在矛盾。
[0010]一方面现有大多数配电终端运维需要通过现场工人爬杆接网线的方式开展，人身
安全风险大。另一方面，当前基于串口的运维管控技术，无法满足形态各异、碎片化物联终端设备、末端感知设备的运维需求，造成终端巡检、维护、调试等工作效率低下。
[0011]综上所述，配电二次系统主站逐步向云化部署演进，通过引入虚拟化技术，将物理资源池化，按需分配给用户。随着业务流程移动性、可访问性和敏捷性的提高，用户资源的跨容器部署，导致业务系统边界模糊，传统以边界隔离防护为主的安全防护体系已无法满足云部署环境下的主站安全防护要求。

技术实现思路

[0012]为解决现有技术中的不足，本申请提供基于零信任网络的云主站业务动态访问控制方法，研究面向配电主站用户、设备、业务统一的数字身份标识技术，建立零信任网络认证基础；研究持续信任评估技术，汇聚海量数据源对云主站业务主体、环境进行持续信任评估，形成评估结果；研究基于属性的云主站业务动态访问控制技术，建立云访问安全代理，实现配电主站业务访问的动态访问授权。
[0013]为了实现上述目标，本专利技术采用如下技术方案：
[0014]基于零信任网络的云主站业务动态访问控制方法，云基础设施安全平台基于零信任网络实现所述云主站业务动态访问控制；
[0015]所述零信任网络基于软件定义边界技术构建，以用于对云主站的新业务场景和新访问主体进行动态身份和权限管理与认证；
[0016]云基础设施安全平台包括身份安全管理中心、信任持续评估中心、动态访问控制中心和安全代理中心；
[0017]所述动态访问控制方法包括以下步骤：
[0018]身份安全管理中心进行配电自动化系统云主站的主体的身份化及身份生命周期管理，并对授权策略进行细粒度的管理和跟踪分析；
[0019]信任持续评估中心基于深度学习算法持续进行访问信任评估，得到业务访问主体的信任度和环境的风险；
[0020]动态访问控制中心结合安全代理中心，对访问信任评估结果进行动态判定和授权。
[0021]本专利技术进一步包括以下优选方案：
[0022]优选地，零信任网络基于PKI的安全认证基础上，针对配电主站业务云化部署的特点，结合设备物理指纹、用户身份和业务特征，将安全边界延伸至身份主体，为用户、设备、应用程序、业务系统实体建立统一的数字身份标识，将应用、服务、接口、数据视作业务资源，实现动态身份和权限管理与认证。
[0023]优选地，零信任网络基于国密算法和TLS协议实现对所有的访问流量的加密传输，具体数据交互过程如下：
[0024]1)主体访问连接到安全接入网关，要求创建安全连接并列出受支持的密码算法组合，开始握手；
[0025]2)安全接入网关从访问主体列出的密码算法组合中选取加密算法和三列算法，并通知访问主体；
[0026]3)安全接入网关发送自身数字证书，该证书包含安全接入网关名称、颁发机构名
和安全接入网关公钥；
[0027]4)访问主体验证安全接入网关公钥有效性；
[0028]5)访问主体利用安全接入网关公钥加密，采用国密算法生成的随机数，并将其发送给安全接入网关，安全接入网关利用私钥解密获取访问主体生成随机数；
[0029]6)利用随机数，主体访问和安全接入网关双方生成用于加解密的对称密钥，并用对称加密密钥加密、解密会话数据。
[0030]优选地，建立基于卷积神经网络、循环神经网络和孪生网络深度学习算法的持续信任评估模型，持续地对访问主体、上下文环境和访问习惯进行记录、分析和识别，动态评估用户的信任度，得到业务访问主体的信任度、环境的风险。
[0031]优选地，信任持续评估中心的信任持续评估结果生成和维护信任库，为后续动态访问控制提供决策依据。
[0032]优选地，信任持续评估中心还接收云基础设施安全平台中信任持续评估中心的分析结果，补充身份分析所需的场景数据从而进行更精准的风险识别和信任评估。
[0033]优选地，动态访问控制中心建立基于属性的云主站业务动态访问控制模型，实现对业务访问主体的信任度、环境的风本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于零信任网络的云主站业务动态访问控制方法，云基础设施安全平台基于零信任网络实现所述云主站业务动态访问控制，其特征在于：所述零信任网络基于软件定义边界技术构建，以用于对云主站的新业务场景和新访问主体进行动态身份和权限管理与认证；云基础设施安全平台包括身份安全管理中心、信任持续评估中心、动态访问控制中心和安全代理中心；所述动态访问控制方法包括以下步骤：身份安全管理中心进行配电自动化系统云主站的主体的身份化及身份生命周期管理，并对授权策略进行细粒度的管理和跟踪分析；信任持续评估中心基于深度学习算法持续进行访问信任评估，得到业务访问主体的信任度和环境的风险；动态访问控制中心结合安全代理中心，对访问信任评估结果进行动态判定和授权。2.根据权利要求1所述的基于零信任网络的云主站业务动态访问控制方法，其特征在于：零信任网络基于PKI的安全认证基础上，针对配电主站业务云化部署的特点，结合设备物理指纹、用户身份和业务特征，将安全边界延伸至身份主体，为用户、设备、应用程序、业务系统实体建立统一的数字身份标识，将应用、服务、接口、数据视作业务资源，实现动态身份和权限管理与认证。3.根据权利要求1所述的基于零信任网络的云主站业务动态访问控制方法，其特征在于：零信任网络基于国密算法和TLS协议实现对所有的访问流量的加密传输，具体数据交互过程如下：1)主体访问连接到安全接入网关，要求创建安全连接并列出受支持的密码算法组合，开始握手；2)安全接入网关从访问主体列出的密码算法组合中选取加密算法和三列算法，并通知访问主体；3)安全接入网关发送自身数字证书，该证书包含安全接入网关名称、颁发机构名和安全接入网关公钥；4)访问主体验证安全接入网关公钥有效性；5)访问主体利用安全接入网关公钥加密，采用国密算法生成的随机数，并将其发送给安全接入网关，安全接入网关利用私钥解密获取访问主体生成随机数；6)利用随机数，主体访问和安全接入网关双方生成用于加解密的对称密钥，并用对称加密密钥加密、解密会话数据。4.根据权利要求1所述的基于零信任网络的云主站业务动态访问控制方法，其特征在于：建立基于卷积神...

【专利技术属性】
技术研发人员：陈岑，李暖暖，郭志民，吕卓，蔡军飞，杨文，张铮，李鸣岩，常昊，
申请(专利权)人：国网河南省电力公司电力科学研究院，
类型：发明
国别省市：