物联网电力台区智能融合终端的零信任安全防护实现方法技术

本发明专利技术涉及物联网安全防护技术领域，尤其涉及物联网电力台区智能融合终端的零信任安全防护实现方法。物联网电力台区智能融合终端的零信任安全防护实现方法包括包括：步骤S1：在安盾云管理平台的物理网络基础之上建立具有可管性的可信虚拟网络，可信虚拟网络基于现有网络的叠加部署，并通过对所有IoT/IIoT访问在控制器与统一探针中控制和认证，实现对可信网络的持续的观察、身份验证、加密与访问控制；步骤S2：在步骤S1中建立的可信虚网络中设置持续信任评估模块，通过与步骤S1中的访问控制单元引擎联动。本发明专利技术提供的物联网电力台区智能融合终端的零信任安全防护实现方法具有访问控制管理方便安全和数据输出安全性高的优点。控制管理方便安全和数据输出安全性高的优点。控制管理方便安全和数据输出安全性高的优点。

【技术实现步骤摘要】
物联网电力台区智能融合终端的零信任安全防护实现方法


[0001]本专利技术涉及物联网安全防护
，尤其涉及物联网电力台区智能融合终端的零信任安全防护实现方法。

技术介绍

[0002]随着电网向能源互联网方向转型升级过程的推进，智慧物联体系物管平台的架构和功能不断完善，终端设备呈现量级与种类上涨趋势。智慧物联体系以其创新的商业模式、巨大的市场需求、迅猛的增长速度，有着较大的市场潜力而台区智能融合终端是中低压配电物联网的关键设备。其采用“硬件平台化、功能软件化、结构模块化、软硬件解耦、通信协议自适配”的设计思路，具备信息采集、物联网代理及边缘计算功能，支持营销、配电及用户侧的新兴应用，从而强力支撑配电物联网“物理互联、信息互联、商业互联”，让配电物联网及能源互联网不断趋近能源流、信息流、业务流、资金流和价值流的最优配置而物联网是基于互联网、传统电信网等信息承载体，让所有能行使独立功能的普通物体实现互联互通的网络。
[0003]而基于传统物联网中感知层、网络层、中间件层、应用层这四层结构模型，分析各层以及连接它们的网关层可能存在的以下安全问题：
[0004]感知层可能存在的安全问题：1)节点捕获攻击、2)恶意代码注入攻击、3)错误数据注入攻击、4)旁路攻击、5)窃听和干扰、6)睡眠剥夺攻击、7)启动攻击；
[0005]网络层可能存在的安全问题：1)钓鱼网络攻击、2)访问攻击、3)DDoS/DoS攻击、4)数据传输攻击、5)路由攻击；
[0006]中间件层可能存在的安全问题：1)中间人攻击、2)SQL注入攻击、3)签名包装攻击、4)云恶意软件注入、5)云中的泛洪攻击；
[0007]应用层可能存在的安全问题：1)数据盗窃、2)访问控制攻击、3)服务中断攻击、4)恶意代码注入攻击、5)嗅探攻击；
[0008]网关层可能存在的安全问题：1)入门安全、2)多余接口、3)难以保证端到端加密、4)固件更新。
[0009]因此，有必要提供一种新的物联网电力台区智能融合终端的零信任安全防护实现方法解决上述技术问题。

技术实现思路

[0010]为解决上述技术问题，本专利技术提供一种物联网电力台区智能融合终端的零信任安全防护实现方法。
[0011]本专利技术提供的物联网电力台区智能融合终端的零信任安全防护实现方法包括：智能融合终端以及接入智能融合终端的物安盾云管理平台；
[0012]所述方法包括：步骤S1：在物安盾云管理平台的物理网络基础之上建立具有可管性的可信虚拟网络，可信虚拟网络基于现有网络的叠加部署，并通过对所有IoT/IIoT访问
在控制器与统一探针中控制和认证，实现对可信网络的持续的观察、身份验证、加密与访问控制；其中，所述可信虚拟网络包括访问控制单元和设备凭证单元；步骤S2：在步骤S1中建立的可信虚网络中设置持续信任评估模块，通过与步骤S1中的访问控制单元引擎联动，持续为其提供设备信任评估、身份安全评估、网络安全评估以及数据安全评估，作为访问控制策略判定依据；
[0013]其中，所述持续信任评估模块包括持续评估单元、数据安全单元、检测和响应单元、编排单元、可管理性单元和事件日志单元。
[0014]优选的，所述访问控制单元通过物安盾对接入智能融合终端访问步骤S1可信虚拟网络的用户的身份权限查验和网络观察，从而进行零信任访问控制授权，零信任授权的用户、设备、网络、应用、数据的零信任细粒度访问控制，并具有基于策略执行点的的实时过滤能力。
[0015]优选的，所述设备凭证单元通过物安盾实现接入设备的身份验证代理，集成证书体系与安全芯片能力和自动凭证轮换能力。
[0016]优选的，所述持续评估单元是基于设备、身份、网络、用户和身份的多维度的持续信任评估，然后根据多维度持续信任评估与访问控制单元引擎联动，实现零信任访问授权。
[0017]优选的，所述数据安全单元通过端到端的通道加密再配合安全芯片实现关键敏感数据应用加密，然后再通过对数据元基于能力集的细粒度能力结合基于数据的持续信任评估实现数据通信的安全防护。
[0018]优选的，所述检测和响应单元包括细粒度访问控制来预防攻击，恶意设备检测如设备指纹识别、被动结合主动的安全检测。
[0019]优选的，所述编排单元具有开放与集成能力集、开放访问控制编排能力和提供态势感知集成能力。
[0020]优选的，所述可管理性单元包括基于能力集的自动动态规则，由所有执行点中管理的分布式动态规则执行策略。
[0021]优选的，所述事件日志单元通过绑定到用户/设备标识执行者、事件、定位、时间、协议、读/写操作、参数，其包括身份认证失败事件、单包验证失败事件和访问控制过程日志事件。
[0022]优选的，所述物安盾云管理平台边端与云之间：基于能力集的访问控制，具备SPA单包验证的服务隐藏机制；边端与边端之间：细粒度控制特定设备对特点设备；细粒度控制特定准许的工业协议；来自每个边端的数据签名，不需要中心的实时验证可统一管理可信虚拟网络，从而实现边端到边端的实时加密通信零信任访问。
[0023]与相关技术相比较，本专利技术提供的物联网电力台区智能融合终端的零信任安全防护实现方法具有如下有益效果：
[0024]1、本专利技术提供物联网电力台区智能融合终端的零信任安全防护实现方法，通过在物理网络基础之上建立具有可管性的可信虚网络，实现可信网络的持续的观察、身份验证、加密与访问控制，客戶可以根据自身需求来组建一个或多个基于边端侧可信虚拟网络，并能就行统一可视与管理，极大地简化了访问管理；
[0025]2、通过设置持续信任评估模块，利用持续评估单元、数据安全单元、检测和响应单元、编排单元、可管理性单元和事件日志单元对持续信任评估提供的设备、网络、身份、属性
情况与风险的可观测性，帮助组织在数字化建设过程中提供了直观安全分析基础设施，为物联网安全处置决策提供了闭环依据，然后进行持续零信任授权，确保整个网络访问和数据传输的安全性。
附图说明
[0026]图1为本专利技术提供的物联网电力台区智能融合终端的零信任安全防护实现方法步骤框序图；
[0027]图2为本专利技术提供的物联网电力台区智能融合终端的零信任安全防护实现方法的工作原理框序图。
具体实施方式
[0028]为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0029]以下结合具体实施例对本专利技术的具体实现进行详细描述。
[0030]请参阅图1至图2，本专利技术实施例提供的物联网电力台区智能融合终端的零信任安全防护实现方法，物联网电力台区智能融合终端的零信任安全防护实现方法包括：智能融合终端和物安盾云管理平台，方法包括如下：
[0031]步骤S1：在物安盾云管理平台的物理网络基础之上建立具有可管性的可信虚拟网络，可信虚拟网络基于现有网络的叠加部署，并通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.物联网电力台区智能融合终端的零信任安全防护实现方法，包括：智能融合终端以及接入智能融合终端的物安盾云管理平台；其特征在于，所述方法包括：步骤S1：在安盾云管理平台的物理网络基础之上建立具有可管性的可信虚拟网络，可信虚拟网络基于现有网络的叠加部署，并通过对所有IoT/IIoT访问在控制器与统一探针中控制和认证，实现对可信网络的持续的观察、身份验证、加密与访问控制；其中，所述可信虚拟网络包括访问控制单元和设备凭证单元；步骤S2：在步骤S1中建立的可信虚网络中设置持续信任评估模块，通过与步骤S1中的访问控制单元引擎联动，持续为其提供设备信任评估、身份安全评估、网络安全评估以及数据安全评估，作为访问控制策略判定依据；其中，所述持续信任评估模块包括持续评估单元、数据安全单元、检测和响应单元、编排单元、可管理性单元和事件日志单元。2.根据权利要求1所述的物联网电力台区智能融合终端的零信任安全防护实现方法，其特征在于，所述访问控制单元通过物安盾对接入智能融合终端访问步骤S1可信虚拟网络的用户的身份权限查验和网络观察，从而进行零信任访问控制授权，零信任授权的用户、设备、网络、应用、数据的零信任细粒度访问控制，并具有基于策略执行点的的实时过滤能力。3.根据权利要求1所述的物联网电力台区智能融合终端的零信任安全防护实现方法，其特征在于，所述设备凭证单元通过物安盾实现接入设备的身份验证代理，集成证书体系与安全芯片能力和自动凭证轮换能力。4.根据权利要求1所述的物联网电力台区智能融合终端的零信任安全防护实现方法，其特征在于，所述持续评估单元是基于设备、身份、网络、用户和身份的多维度的持续信任评估，然后根据多维度持续信任评估与访问控制单元引擎联...

【专利技术属性】
技术研发人员：钱锦，李昂，孙歆，吕磅，韩荣杰，孙智卿，杜猛俊，来益博，陈炜，冯兴隆，吕斌，陈元中，熊凯骅，徐汉麟，
申请(专利权)人：国网浙江省电力有限公司电力科学研究院，
类型：发明
国别省市：