基于零信任架构的电力融合终端可信接入方法及系统与流程

1.本发明涉及电网安全技术领域，具体而言，涉及一种基于零信任架构的电力融合终端可信接入方法及系统。


背景技术：

2.随着能源互联网转型升级过程的推进，智慧物联体系物管平台的架构和功能不断完善，物管平台接入对象逐渐呈现量级与种类上涨趋势。在为业务提供强有力支撑的同时，配网一二次融合终端带来新的风险，接入的边缘海量电力融合终端因其异构、边界模糊等特性，很容易遭受安全攻击，在南北向接入过程中对其提出了更高的安全要求。由于物联网智能终端海量分布在户外，易被盗取与入侵，传统一次性认证永久接入的方法已无法满足新型互联网的要求。
3.因此，需要对满足电力物联网嵌入式、低时延约束条件下的电力融合终端边缘侧零信任安全防护技术进行研究，如何消除边缘侧电力融合设备的接入和业务访问安全问题成为一个亟需解决的问题。


技术实现要素：

4.为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种基于零信任架构的电力融合终端可信接入方法及系统，基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。
5.本发明的实施例是这样实现的：
6.第一方面，一种基于零信任架构的电力融合终端可信接入方法，包括以下步骤：
7.为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；
8.基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；
9.获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；
10.基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。
11.为解决现有技术中的问题，本方法通过永不信任、始终验证的零信任理念对物联网智能设备进行持续信任评估，保障互联互通的接入安全。通过软件的方式，为物联网系统构建起虚拟的边界，为系统应用和服务提供隐身保护，进而保证后续操作处理的安全性；零信任架构实现过程中，持续信任评估模块为其核心组件之一，与访问控制引擎联动，持续为其提供多个方面的评估数据，作为访问控制策略判定依据；然后，根据电力物联网系统中的基础网络、设备、用户以及应用等多个对象构建访问控制体系，以便更好的基于对象身份进行精准的控制，基于动态的访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入，保证接入安全。本发明基于多方面的对象的身份构建合理的访问控制体系，实
现边缘侧电力融合设备的可信接入。
12.基于第一方面，在本发明的一些实施例中，上述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。
13.基于第一方面，在本发明的一些实施例中，上述动态访问控制架构包括访问控制策略和访问控制基础权限。
14.基于第一方面，在本发明的一些实施例中，上述根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构的方法包括以下步骤：
15.基于数据平面的访问会话，对电力物联网系统中的基础网络、设备、用户以及应用的所有访问请求建立访问控制策略；
16.基于安全策略和基础信任等级，建立基础网络、设备、用户以及应用各个对象的访问控制基础权限。
17.基于第一方面，在本发明的一些实施例中，上述基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入的方法包括以下步骤：
18.根据安全上下文最小化访问控制原则进行持续信任评估，以得到并将评估数据作为访问控制策略判定依据；
19.根据访问控制策略判定依据动态调整各个对象的访问控制基础权限，并执行对应的访问控制策略，对无访问权限的请求进行阻断。
20.基于第一方面，在本发明的一些实施例中，该基于零信任架构的电力融合终端可信接入方法还包括以下步骤：
21.根据电力物联网系统的云管边端架构在边缘计算层建立端点探针，在异构的端点操作系统上构建统一的抽象层；
22.在云端侧构建并通过统一的端点应用接口网关给端点探针下达安全管控指令，阻止对应的电力融合终端的接入。
23.第二方面，本发明实施例提供一种基于零信任架构的电力融合终端可信接入系统，包括虚拟边界构建模块、持续信任评估模块、访问架构构建模块以及终端接入控制模块，其中：
24.虚拟边界构建模块，用于为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；
25.持续信任评估模块，用于基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；
26.访问架构构建模块，用于获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；
27.终端接入控制模块，用于基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。
28.为解决现有技术中的问题，本系统通过虚拟边界构建模块、持续信任评估模块、访问架构构建模块以及终端接入控制模块等多个模块的配合，通过永不信任、始终验证的零信任理念对物联网智能设备进行持续信任评估，保障互联互通的接入安全。通过软件的方式，为物联网系统构建起虚拟的边界，为系统应用和服务提供隐身保护，进而保证后续操作处理的安全性；零信任架构实现过程中，持续信任评估模块为其核心组件之一，与访问控制
引擎联动，持续为其提供多个方面的评估数据，作为访问控制策略判定依据；然后，根据电力物联网系统中的基础网络、设备、用户以及应用等多个对象构建访问控制体系，以便更好的基于对象身份进行精准的控制，基于动态的访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入，保证接入安全。本发明基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。
29.基于第二方面，在本发明的一些实施例中，上述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。
30.第三方面，本技术实施例提供一种电子设备，其包括存储器，用于存储一个或多个程序；处理器。当一个或多个程序被处理器执行时，实现如上述第一方面中任一项的方法。
31.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述第一方面中任一项的方法。
32.本发明实施例至少具有如下优点或有益效果：
33.本发明实施例提供一种基于零信任架构的电力融合终端可信接入方法及系统，通过永不信任、始终验证的零信任理念对物联网智能设备进行持续信任评估，保障互联互通的接入安全。本发明基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。
附图说明
34.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
35.图1为本发明实施例一种基于零信任架构的电力融合终端可信接入方法的流程图；
36.图2为本发明实施例一种基于零信任架构的电力融合终端可信接入方法中访问控制架构构建的流程图；
37.图3为本发明实施例一种基于零信任架构的电力融合终端可信接入方法中终端接入控制的流程图；
38.图4为本发明实施例一种基于零信任架构的电力融合终端可信接入系统的原理框图；
39.图5为本发明实施例提供的一种电子设备的结构框图。
40.附图标记说明：100、虚拟边界构建模块；200、持续信任评估模块；300、访问架构构建模块；400、终端接入控制模块；101、存储器；102、处理器；103、通信接口。
具体实施方式
41.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
42.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
44.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
45.在本发明实施例的描述中，“多个”代表至少2个。
46.实施例：
47.如图1-图3所示，第一方面，一种基于零信任架构的电力融合终端可信接入方法，包括以下步骤：
48.s1、为电力物联网系统构建虚拟边界，为系统应用和服务提供隐身保护功能；网络隐身技术旨通过软件的方式，为物联网系统构建起虚拟的边界，为系统应用和服务提供隐身保护，使得网络黑客因看不到目标而无法对系统的资源发动攻击，有效保护物联网系统的网络安全。
49.s2、基于零信任架构的持续信任评估模块持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；上述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。
50.零信任架构实现过程中，持续信任评估模块为其核心组件之一，与访问控制引擎联动，持续为其提供设备信任等级评估、身份安全等级评估以及网络安全评估等评估数据，作为访问控制策略判定依据。
51.s3、获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；上述动态访问控制架构包括访问控制策略和访问控制基础权限。
52.进一步地，如图2所示，包括：
53.s31、基于数据平面的访问会话，对电力物联网系统中的基础网络、设备、用户以及应用的所有访问请求建立访问控制策略；
54.s32、基于安全策略和基础信任等级，建立基础网络、设备、用户以及应用各个对象的访问控制基础权限。
55.s4、基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。
56.进一步地，如图3所示，包括：
57.s41、根据安全上下文最小化访问控制原则进行持续信任评估，以得到并将评估数据作为访问控制策略判定依据；
58.s42、根据访问控制策略判定依据动态调整各个对象的访问控制基础权限，并执行对应的访问控制策略，对无访问权限的请求进行阻断。
59.在本发明的一些实施例中，基于数据平面的访问会话，对所有访问请求建立访问控制策略；基于安全策略和基础信任等级，建立访问控制基础权限；根据安全上下文，最小化访问控制原则，持续开展信任评估，动态调整访问权限，严格执行动态访问控制策略，对无访问权限的请求进行阻断。
60.为解决现有技术中的问题，本方法通过永不信任、始终验证的零信任理念对物联网智能设备进行持续信任评估，保障互联互通的接入安全。通过软件的方式，为物联网系统构建起虚拟的边界，为系统应用和服务提供隐身保护，进而保证后续操作处理的安全性；零信任架构实现过程中，持续信任评估模块为其核心组件之一，与访问控制引擎联动，持续为其提供多个方面的评估数据，作为访问控制策略判定依据；然后，根据电力物联网系统中的基础网络、设备、用户以及应用等多个对象构建访问控制体系，以便更好的基于对象身份进行精准的控制，基于动态的访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入，保证接入安全。本发明基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。
61.基于第一方面，在本发明的一些实施例中，该基于零信任架构的电力融合终端可信接入方法还包括以下步骤：
62.根据电力物联网系统的云管边端架构在边缘计算层建立端点探针，在异构的端点操作系统上构建统一的抽象层；
63.在云端侧构建并通过统一的端点应用接口网关给端点探针下达安全管控指令，阻止对应的电力融合终端的接入。
64.按照电力系统云管边端的总体规划架构，在边缘计算层进行端点探针建设，旨在异构的端点操作系统上，构建一个统一的抽象层，基于此，将抽象之后的结果通过数据查询即服务和处置即服务两大服务能力向外输出，而在云端侧通过统一的端点应用接口网关为各个应用平台(如泛态势感知系统、物安盾平台、安全接入等)提供端点资讯数据查询，还通过接口网关给端点探针下达安全管控指令如封堵恶意端口和进程等。同时端点探针v2内置端点安全计算即服务，包括文件监测、异常进程监测等，通过该服务，可以尽早获取到可能的安全事件信息。
65.由于边端侧的硬件异构、操作系统异构等因素，通过构建统一的抽象层oal抹平这些异构因素，在此之上通过超微探针的查询、处置、安全计算能力的构建，形成了核心能力，超微探针即服务产品尝试通过跨cpu基础架构，跨不同类型操作系统，提供含义语义相同的oal系统抽象层，隔离底层不同，提供统一的数据查询即服务和处置即服务的功能。上层通过网络协议解析和查询及处置指令的接受和解析来进行对外提供服务。支持电网的104协议或者mqtt协议等标准作为云边通讯的基础通讯协议，满足特定用户在特定通讯线路上无痛部署实施的需求。
66.如图4所示，第二方面，本发明实施例提供一种基于零信任架构的电力融合终端可信接入系统，包括虚拟边界构建模块100、持续信任评估模块200、访问架构构建模块300以及终端接入控制模块400，其中：
67.虚拟边界构建模块100，用于为电力物联网系统构建虚拟边界，为系统应用和服务
提供隐身保护功能；
68.持续信任评估模块200，用于基于零信任架构的持续信任评估模块200持续为访问控制引擎提供多个方面的评估数据，作为访问控制策略判定依据；上述多个方面的评估数据包括设备信任等级评估、身份安全等级评估以及网络安全评估。
69.访问架构构建模块300，用于获取并根据电力物联网系统中的基础网络、设备、用户以及应用多个对象构建动态访问控制架构；
70.终端接入控制模块400，用于基于动态访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入。
71.为解决现有技术中的问题，本系统通过虚拟边界构建模块100、持续信任评估模块200、访问架构构建模块300以及终端接入控制模块400等多个模块的配合，通过永不信任、始终验证的零信任理念对物联网智能设备进行持续信任评估，保障互联互通的接入安全。通过软件的方式，为物联网系统构建起虚拟的边界，为系统应用和服务提供隐身保护，进而保证后续操作处理的安全性；零信任架构实现过程中，持续信任评估模块200为其核心组件之一，与访问控制引擎联动，持续为其提供多个方面的评估数据，作为访问控制策略判定依据；然后，根据电力物联网系统中的基础网络、设备、用户以及应用等多个对象构建访问控制体系，以便更好的基于对象身份进行精准的控制，基于动态的访问控制架构结合访问控制策略判定依据实现对电力融合终端的可信接入，保证接入安全。本发明基于多方面的对象的身份构建合理的访问控制体系，实现边缘侧电力融合设备的可信接入。
72.如图5所示，第三方面，本技术实施例提供一种电子设备，其包括存储器101，用于存储一个或多个程序；处理器102。当一个或多个程序被处理器102执行时，实现如上述第一方面中任一项的方法。
73.还包括通信接口103，该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块，处理器102通过执行存储在存储器101内的软件程序及模块，从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
74.其中，存储器101可以是但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
75.处理器102可以是一种集成电路芯片，具有信号处理能力。该处理器102可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
76.在本技术所提供的实施例中，应该理解到，所揭露的方法及系统和方法，也可以通过其它的方式实现。以上所描述的方法及系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的方法及系统、方法和计算机程序产品的可能实
现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
77.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
78.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器102执行时实现如上述第一方面中任一项的方法。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
79.以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
80.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其它的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。