關(guān)鍵詞：零信任架構(gòu)；物聯(lián)網(wǎng)終端；訪(fǎng)問(wèn)控制；認(rèn)證授權(quán)

0 引言

近年來(lái)，物聯(lián)網(wǎng)技術(shù)快速發(fā)展，相應(yīng)的網(wǎng)絡(luò)連接設(shè)備也大量增加。面對(duì)網(wǎng)絡(luò)連接設(shè)備安全挑戰(zhàn)，傳統(tǒng)的安全架構(gòu)通常基于邊界防護(hù)理念，即假定內(nèi)網(wǎng)環(huán)境是安全的[1]。然而，在遭受網(wǎng)絡(luò)攻擊時(shí)，由于物聯(lián)網(wǎng)終端的數(shù)量龐大、類(lèi)型多樣且分布廣泛，它們成為網(wǎng)絡(luò)攻擊者主要的目標(biāo)。因此，尋求一種新型的安全框架來(lái)應(yīng)對(duì)物聯(lián)網(wǎng)安全挑戰(zhàn)已成為必然趨勢(shì)。在這樣的背景下，零信任架構(gòu)應(yīng)運(yùn)而生。本文將重點(diǎn)討論零信任架構(gòu)在物聯(lián)網(wǎng)終端接入安全方面的實(shí)際應(yīng)用和突出優(yōu)勢(shì)。

1 零信任架構(gòu)概述

1.1 零信任架構(gòu)的基本概念

零信任架構(gòu)是一種應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)安全挑戰(zhàn)的安全模型。它的核心原則是“永不信任，始終驗(yàn)證”。這意味著無(wú)論是網(wǎng)絡(luò)內(nèi)部用戶(hù)還是外部用戶(hù)，甚至來(lái)自公司內(nèi)部不同部門(mén)的員工，每一次訪(fǎng)問(wèn)請(qǐng)求都必須經(jīng)過(guò)嚴(yán)格的身份驗(yàn)證和授權(quán)檢查。與傳統(tǒng)邊界防御模型相比，零信任架構(gòu)有根本性的區(qū)別。它不再默認(rèn)信任網(wǎng)絡(luò)內(nèi)部用戶(hù)和設(shè)備，而是要求每一次訪(fǎng)問(wèn)都必須進(jìn)行身份驗(yàn)證和授權(quán)檢查。而且，這些檢查是動(dòng)態(tài)的，能夠根據(jù)當(dāng)前環(huán)境和風(fēng)險(xiǎn)狀況進(jìn)行調(diào)整。

1.2 零信任架構(gòu)的核心原則

零信任架構(gòu)構(gòu)建在最小權(quán)限、動(dòng)態(tài)訪(fǎng)問(wèn)和嚴(yán)格身份認(rèn)證等多種原則之上。這些核心原則是零信任網(wǎng)絡(luò)運(yùn)作方式的基石，共同定義了其安全模型。表1簡(jiǎn)要概述了這些核心原則。

2 物聯(lián)網(wǎng)終端接入安全威脅及局限性

2.1 物聯(lián)網(wǎng)終端面臨的安全威脅

物聯(lián)網(wǎng)終端面臨著來(lái)自設(shè)備自身、網(wǎng)絡(luò)通信以及系統(tǒng)架構(gòu)等多個(gè)層面的安全威脅。具體如表2所示：

2.2 傳統(tǒng)安全架構(gòu)的局限性

傳統(tǒng)物聯(lián)網(wǎng)安全架構(gòu)在現(xiàn)代網(wǎng)絡(luò)環(huán)境中存在許多限制。這些架構(gòu)依賴(lài)于網(wǎng)絡(luò)邊緣安全設(shè)備和基于All大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，將保護(hù)措施的重點(diǎn)放在網(wǎng)絡(luò)外圍，對(duì)內(nèi)部威脅的防護(hù)能力有限。該模式采用了先連接后認(rèn)證的機(jī)制，基于TCP/IP協(xié)議并結(jié)合VPN來(lái)實(shí)現(xiàn)端對(duì)端的通信[2]，如圖1。

在物聯(lián)網(wǎng)環(huán)境中，傳統(tǒng)的安全架構(gòu)面臨著許多挑戰(zhàn)。首先，難以應(yīng)對(duì)大量設(shè)備接入和高速數(shù)據(jù)傳輸?shù)男枨?。其次，傳統(tǒng)安全架構(gòu)無(wú)法有效隔離并解決跨設(shè)備和跨網(wǎng)絡(luò)安全問(wèn)題。此外，在網(wǎng)絡(luò)攻擊手段日益多樣化的趨勢(shì)下，傳統(tǒng)的防火墻、入侵檢測(cè)系統(tǒng)和防病毒軟件無(wú)法全面保護(hù)物聯(lián)網(wǎng)終端免受攻擊[3]。

3 零信任架構(gòu)在物聯(lián)網(wǎng)終端接入中的應(yīng)用

3.1 零信任架構(gòu)的技術(shù)實(shí)現(xiàn)

統(tǒng)一身份管理系統(tǒng)的作用是為每個(gè)實(shí)體，如用戶(hù)、設(shè)備和服務(wù)，創(chuàng)建唯一的數(shù)字身份，并使用加密算法如SM來(lái)確保身份的安全性。數(shù)字身份生成可表示為：

其中PKentity 表示實(shí)體公鑰，Infoentity 則表示實(shí)體信息。統(tǒng)一身份管理系統(tǒng)采用高級(jí)加密算法，例如國(guó)密SM算法，為每個(gè)實(shí)體生成一對(duì)公鑰和私鑰。通過(guò)這種方法，可以確保身份信息的安全性，并支持強(qiáng)驗(yàn)證機(jī)制。其中，數(shù)字身份可以表示為ID = hash（實(shí)體公鑰 || 實(shí)體信息）。這種結(jié)構(gòu)使得任何試圖冒充身份的行為變得極為困難，因?yàn)楣粽咝枰瑫r(shí)擁有正確的公鑰和對(duì)應(yīng)的實(shí)體信息才能通過(guò)驗(yàn)證。該系統(tǒng)還支持多因素認(rèn)證，包括但不限于生物識(shí)別、智能卡、短信驗(yàn)證碼等，以增加登錄過(guò)程的安全性。此外，統(tǒng)一身份管理系統(tǒng)可以與企業(yè)現(xiàn)有的目錄服務(wù)如LDAP、Ac?tive Directory集成，實(shí)現(xiàn)對(duì)用戶(hù)身份的無(wú)縫驗(yàn)證，從而在簡(jiǎn)化管理過(guò)程的同時(shí)提高安全性。

終端權(quán)限管控系統(tǒng)基于最小權(quán)限原則動(dòng)態(tài)分配訪(fǎng)問(wèn)權(quán)限，通過(guò)訪(fǎng)問(wèn)策略公式實(shí)現(xiàn)：

其中Rterminal 為終端請(qǐng)求資源，Snetwork 則表示網(wǎng)絡(luò)狀態(tài)。終端權(quán)限管控系統(tǒng)根據(jù)一系列因素動(dòng)態(tài)地分配訪(fǎng)問(wèn)權(quán)限。這些因素包括用戶(hù)的角色、設(shè)備類(lèi)型、安全狀態(tài)、當(dāng)前網(wǎng)絡(luò)環(huán)境以及特定的時(shí)間條件等。例如，在公司內(nèi)部網(wǎng)絡(luò)中，設(shè)備可以獲得比遠(yuǎn)程設(shè)備更多的訪(fǎng)問(wèn)權(quán)限，而已經(jīng)進(jìn)行多因素認(rèn)證的用戶(hù)可能比未認(rèn)證用戶(hù)擁有更多權(quán)限。為了實(shí)現(xiàn)這種動(dòng)態(tài)權(quán)限控制，系統(tǒng)會(huì)利用策略引擎來(lái)定義和執(zhí)行訪(fǎng)問(wèn)控制策略[4]。

3.2 基于零信任架構(gòu)的物聯(lián)網(wǎng)終端認(rèn)證與授權(quán)

在物聯(lián)網(wǎng)終端接入零信任架構(gòu)中，采用了一個(gè)三層安全模型，包括云端安全認(rèn)證中心、接入層安全認(rèn)證網(wǎng)關(guān)和感知層物聯(lián)網(wǎng)終端。

1） 平臺(tái)側(cè)安全機(jī)制

在平臺(tái)側(cè)部署了統(tǒng)一身份管理系統(tǒng)、終端權(quán)限管控系統(tǒng)和智能態(tài)勢(shì)感知系統(tǒng)。這些系統(tǒng)共同工作，為物聯(lián)網(wǎng)環(huán)境提供了堅(jiān)實(shí)的安全基礎(chǔ)。

2） 統(tǒng)一身份管理系統(tǒng)

該系統(tǒng)負(fù)責(zé)為所有實(shí)體（包括用戶(hù)、設(shè)備、服務(wù)等）創(chuàng)建和管理數(shù)字身份。每個(gè)實(shí)體在系統(tǒng)中注冊(cè)時(shí)，都會(huì)被賦予一個(gè)唯一的數(shù)字身份，用于后續(xù)的認(rèn)證和授權(quán)過(guò)程。

3） 終端權(quán)限管控系統(tǒng)

該系統(tǒng)基于最小權(quán)限原則，確保每個(gè)終端只能訪(fǎng)問(wèn)其被授權(quán)的資源和服務(wù)。通過(guò)動(dòng)態(tài)調(diào)整訪(fǎng)問(wèn)策略，響應(yīng)終端的行為和網(wǎng)絡(luò)環(huán)境的變化。

4） 智能態(tài)勢(shì)感知系統(tǒng)

結(jié)合大數(shù)據(jù)分析和風(fēng)險(xiǎn)評(píng)估模型，該系統(tǒng)能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)狀態(tài)，預(yù)測(cè)和響應(yīng)潛在的安全威脅。

網(wǎng)絡(luò)側(cè)安全認(rèn)證網(wǎng)關(guān)配備了零信任安全套件，對(duì)所有經(jīng)過(guò)網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查和驗(yàn)證。零信任安全套件包括一系列安全協(xié)議和算法，如TLS/IPSEC。物聯(lián)網(wǎng)終端和邊緣網(wǎng)關(guān)配備了零信任安全代理客戶(hù)端，以確保設(shè)備的身份數(shù)據(jù)安全。零信任安全代理客戶(hù)端利用SIM卡的唯一標(biāo)識(shí)（ICCID和IMSI） 作為基礎(chǔ)身份信息，并在此基礎(chǔ)上生成動(dòng)態(tài)的臨時(shí)身份，用于接入時(shí)的認(rèn)證。

在該零信任架構(gòu)中，采用了基于SM2和SM3算法的網(wǎng)絡(luò)接入認(rèn)證新協(xié)議。SM2算法用于數(shù)字簽名和密鑰交換的功能，而SM3算法則用于消息的完整性校驗(yàn)。

具體步驟如下：物聯(lián)網(wǎng)終端首先生成一對(duì)SM2密鑰，包括私鑰SK和公鑰PK。私鑰由終端保密存儲(chǔ)，而公鑰則可以通過(guò)安全通道進(jìn)行公開(kāi)傳輸。當(dāng)終端需要接入網(wǎng)絡(luò)時(shí)，使用其私鑰SK對(duì)一個(gè)包含認(rèn)證信息，例如終端ID、時(shí)間戳等的消息M進(jìn)行簽名。簽名過(guò)程可以表示為：

如果Result為真，則表明消息確實(shí)來(lái)自擁有對(duì)應(yīng)私鑰的終端且未被篡改。SM3算法應(yīng)用于消息完整性校驗(yàn)，用于生成消息摘要。在網(wǎng)絡(luò)接入認(rèn)證新協(xié)議中，SM3用來(lái)驗(yàn)證消息在傳輸過(guò)程中完整性，物聯(lián)網(wǎng)終端在發(fā)送認(rèn)證請(qǐng)求時(shí)使用SM3算法對(duì)請(qǐng)求消息M 生成哈希值H。

終端將生成的哈希值H與認(rèn)證請(qǐng)求一起發(fā)送給網(wǎng)絡(luò)接入點(diǎn)，網(wǎng)絡(luò)接入點(diǎn)收到認(rèn)證請(qǐng)求、哈希值后，獨(dú)立計(jì)算收到消息的SM3哈希值并與終端發(fā)送的哈希值H進(jìn)行比較。如果兩者一致，則說(shuō)明消息在傳輸過(guò)程中未被篡改。

3.3 零信任架構(gòu)的訪(fǎng)問(wèn)控制策略

SM2 算法是一種非對(duì)稱(chēng)加密算法，支持?jǐn)?shù)字簽名、密鑰交換和公鑰加密。在這些用戶(hù)角色訪(fǎng)問(wèn)控制協(xié)議中，SM2主要用于數(shù)字簽名，確保用戶(hù)角色信息真實(shí)性、不可篡改性。具體實(shí)施步驟如下：系統(tǒng)中每個(gè)用戶(hù)根據(jù)其職責(zé)被分配一個(gè)或多個(gè)角色，這些信息經(jīng)過(guò)SM2算法加密后存儲(chǔ)在系統(tǒng)中。

EncryptedRoleInfo = SN2Encrypt（PKsystem，RoleInfo） （6）

其中PKsystem 是系統(tǒng)公鑰，RoleInfo為用戶(hù)角色信息。當(dāng)用戶(hù)嘗試訪(fǎng)問(wèn)資源時(shí)，系統(tǒng)使用SM2算法驗(yàn)證用戶(hù)的角色：

其中SKsystem 是系統(tǒng)私鑰，Signature則表示隨請(qǐng)求發(fā)送的數(shù)字簽名。SM9算法是一種基于身份的加密算法，適用于屬性基訪(fǎng)問(wèn)控制。在這種技術(shù)中，訪(fǎng)問(wèn)控制策略是根據(jù)用戶(hù)的屬性而不是其身份進(jìn)行定義的。實(shí)施步驟包括定義一組屬性，每個(gè)屬性關(guān)聯(lián)不同的訪(fǎng)問(wèn)權(quán)限。

其中每個(gè)Atti 均代表一個(gè)屬性，根據(jù)屬性集定義訪(fǎng)問(wèn)控制策略，例如某一策略可能要求用戶(hù)必須擁有屬性A和B才能訪(fǎng)問(wèn)某個(gè)資源。例如在智能家居系統(tǒng)中，用戶(hù)地理位置（屬性A） 和時(shí)間（屬性B） 用作訪(fǎng)問(wèn)控制條件。如果用戶(hù)在晚上10點(diǎn)至早上6點(diǎn)間位于家的位置，系統(tǒng)可以自動(dòng)調(diào)整家中設(shè)備如燈光和安全系統(tǒng)的設(shè)置。

為了實(shí)現(xiàn)這一目標(biāo)，工廠采用了基于SM2、SM9 的零信任安全架構(gòu)。工廠為每位員工創(chuàng)建唯一數(shù)字身份，并使用SM2算法對(duì)其角色進(jìn)行加密簽名。例如一名員工被標(biāo)記為“機(jī)械操作員”，另一名員工標(biāo)記為“質(zhì)量檢驗(yàn)員”。這些角色信息用于決定員工所能訪(fǎng)問(wèn)的系統(tǒng)資源。接著工廠定義了一組基于屬性的訪(fǎng)問(wèn)控制策略，使用SM9算法進(jìn)行管理。例如策略規(guī)定只有同時(shí)擁有“機(jī)械操作員”角色，在特定工作站地理位置內(nèi)員工才能啟動(dòng)或停止生產(chǎn)線(xiàn)上機(jī)器。即使有員工設(shè)備丟失或被盜，由于缺乏必要角色屬性、位置屬性，設(shè)備也無(wú)法用來(lái)訪(fǎng)問(wèn)關(guān)鍵系統(tǒng)。

4 零信任架構(gòu)的安全性分析與案例研究

4.1 零信任架構(gòu)的安全性?xún)?yōu)勢(shì)

零信任架構(gòu)的安全性?xún)?yōu)勢(shì)顯著，以Google的Be?yondCorp項(xiàng)目為例，該項(xiàng)目成功實(shí)踐了零信任模型。在實(shí)施BeyondCorp之前，Google面臨內(nèi)部網(wǎng)絡(luò)頻繁遭受入侵的問(wèn)題，員工和訪(fǎng)客可以輕易地訪(fǎng)問(wèn)公司內(nèi)部資源。實(shí)施零信任架構(gòu)后，Google將訪(fǎng)問(wèn)控制策略從基于網(wǎng)絡(luò)位置轉(zhuǎn)變?yōu)榛谟脩?hù)和設(shè)備身份狀態(tài)，顯著降低了內(nèi)部威脅和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。根據(jù)Google的報(bào)告，實(shí)施BeyondCorp后，有85%的員工采用了零信任模型進(jìn)行遠(yuǎn)程工作，而這一轉(zhuǎn)變并未增加安全事件的發(fā)生頻率。Google還發(fā)現(xiàn)，在采用零信任架構(gòu)后，惡意軟件感染率下降了50%，并且能夠?qū)崟r(shí)阻止96% 的登錄欺詐嘗試[5]。

進(jìn)一步分析可以發(fā)現(xiàn)，零信任架構(gòu)的安全性?xún)?yōu)勢(shì)關(guān)鍵在于其“不信任任何人”的原則以及對(duì)每一次訪(fǎng)問(wèn)請(qǐng)求的嚴(yán)格審查。這種模式迫使所有用戶(hù)無(wú)論其物理位置如何，都必須通過(guò)強(qiáng)身份驗(yàn)證才能訪(fǎng)問(wèn)資源。從而減少了因憑證被盜用而引發(fā)的安全事件，使攻擊者即使獲得了網(wǎng)絡(luò)接入權(quán)限也難以進(jìn)一步滲透關(guān)鍵系統(tǒng)。

4.2 零信任架構(gòu)在實(shí)際應(yīng)用中的案例分析

考慮某全球性金融機(jī)構(gòu)的案例，該機(jī)構(gòu)實(shí)施零信任模型來(lái)保護(hù)交易系統(tǒng)和客戶(hù)數(shù)據(jù)。他們采用了嚴(yán)格的身份和設(shè)備驗(yàn)證措施，并結(jié)合微細(xì)分網(wǎng)絡(luò)技術(shù)，成功地阻止了97%的未經(jīng)授權(quán)訪(fǎng)問(wèn)嘗試。在部署零信任架構(gòu)的前六個(gè)月內(nèi)，該機(jī)構(gòu)處理了大約150萬(wàn)次的登錄嘗試，其中只有4.5萬(wàn)次因未能通過(guò)增強(qiáng)型多因素認(rèn)證而失敗。此外，利用自適應(yīng)訪(fǎng)問(wèn)控制技術(shù)，該機(jī)構(gòu)能夠?qū)崟r(shí)監(jiān)控和調(diào)整員工的訪(fǎng)問(wèn)權(quán)限，有效地減少了內(nèi)部威脅。

其次，考察一家大型電信公司的案例，該公司引入零信任架構(gòu)來(lái)防御日益復(fù)雜的網(wǎng)絡(luò)攻擊并保護(hù)龐大的用戶(hù)數(shù)據(jù)。通過(guò)對(duì)所有網(wǎng)絡(luò)交互進(jìn)行加密并實(shí)施嚴(yán)格的訪(fǎng)問(wèn)控制，該公司在實(shí)施零信任架構(gòu)一年后，網(wǎng)絡(luò)入侵事件下降了60%，同時(shí)數(shù)據(jù)泄露事件幾乎降至零。值得一提的是，該公司在實(shí)施零信任架構(gòu)后對(duì)超過(guò)1億條數(shù)據(jù)傳輸進(jìn)行了監(jiān)控，發(fā)現(xiàn)并阻止了約0.03%的異常數(shù)據(jù)交互行為，顯示了極高的數(shù)據(jù)完整性維護(hù)能力。

最后，探討一家制造企業(yè)的案例，該企業(yè)將零信任架構(gòu)應(yīng)用于其工業(yè)互聯(lián)網(wǎng)平臺(tái)，以確保生產(chǎn)數(shù)據(jù)和知識(shí)產(chǎn)權(quán)的安全。他們實(shí)施了終端設(shè)備的強(qiáng)制驗(yàn)證和細(xì)化的單個(gè)傳感器級(jí)別的訪(fǎng)問(wèn)控制。在引入零信任架構(gòu)的第一年內(nèi)，該企業(yè)遭遇的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件減少了80%。該企業(yè)在10萬(wàn)個(gè)終端設(shè)備上應(yīng)用了這一模型，并成功識(shí)別和隔離了約0.5%的設(shè)備，這些設(shè)備因?yàn)樾袨楫惓；蚺渲貌环习踩呗远慌卸楦唢L(fēng)險(xiǎn)。

5 結(jié)論

基于零信任架構(gòu)的物聯(lián)網(wǎng)終端接入安全分析表明，該架構(gòu)憑借其核心原則——不信任任何內(nèi)外網(wǎng)絡(luò)、顯式驗(yàn)證和動(dòng)態(tài)權(quán)限分配，為物聯(lián)網(wǎng)設(shè)備提供了更高水平的安全保護(hù)。研究表明，應(yīng)用零信任模型可以顯著提升終端的認(rèn)證和授權(quán)安全性，并有效細(xì)化訪(fǎng)問(wèn)控制策略。案例研究證實(shí)，在真實(shí)環(huán)境中，零信任架構(gòu)能夠阻斷非法訪(fǎng)問(wèn)嘗試，以盡可能地防止數(shù)據(jù)泄露。