電力物聯(lián)網(wǎng)場景下基于零信任的分布式數(shù)據(jù)庫細粒度訪問控制

黃 杰 余若晨 毛 冬

1(東南大學網(wǎng)絡空間安全學院 南京 211189) 2(網(wǎng)絡通信與安全紫金山實驗室 南京 211189) 3(江蘇省計算機網(wǎng)絡技術重點實驗室 南京 211189) 4(國家電網(wǎng)浙江省電力有限公司信息通信分公司 杭州 310020)

隨著泛在物聯(lián)技術在電力系統(tǒng)物聯(lián)管理平臺中的應用，電力系統(tǒng)中電力生產(chǎn)、傳輸、消費等環(huán)節(jié)中的能量流、信息流、業(yè)務流將在傳統(tǒng)電網(wǎng)物聯(lián)架構(gòu)中得到進一步整合[1]，現(xiàn)有電力物聯(lián)體系需要進行改進.未來電力物聯(lián)體系結(jié)構(gòu)中，云端分布式物聯(lián)數(shù)據(jù)庫向上承載了為電力基礎設施、電力行業(yè)各機構(gòu)及相關主管部門、用戶以及供應商提供服務的電力物聯(lián)應用，向下需要匯聚、集成、存儲電力物聯(lián)網(wǎng)感知層設備數(shù)據(jù)、邊緣設備信息、電力用戶信息、電力基礎設施監(jiān)測數(shù)據(jù)，稱為電力物聯(lián)網(wǎng)核心基礎設施和重要資產(chǎn).由于物聯(lián)網(wǎng)數(shù)據(jù)中心建立于開放網(wǎng)絡環(huán)境中，系統(tǒng)內(nèi)部的用戶、網(wǎng)絡環(huán)境、數(shù)據(jù)流、應用流較為復雜，極易受到來自不同網(wǎng)絡位置的惡意攻擊，造成關鍵隱私數(shù)據(jù)泄露、服務異常終止等不良后果[2]，因此，物聯(lián)網(wǎng)數(shù)據(jù)中心需要應對日益增加的網(wǎng)絡安全威脅.

零信任架構(gòu)(zero trust architecture, ZTA)最早由John Kindervag提出，建立在傳統(tǒng)網(wǎng)絡邊界信任體系逐漸失效的背景下，提倡打破單一網(wǎng)絡邊界的概念，對用戶、設備和應用進行全面、動態(tài)訪問控制.而美國國家標準與技術研究院(NIST)對零信任原則、架構(gòu)中的邏輯組件、架構(gòu)的部署場景進行了標準化描述[3].谷歌于2017年完成了零信任安全防護Beyond Corp項目，在分布式用戶業(yè)務訪問場景中應用零信任原則保護數(shù)據(jù)隱私，防止企業(yè)內(nèi)滲透攻擊.國際云安全聯(lián)盟(CSA)在零信任的基礎上提出軟件定義邊界網(wǎng)絡安全模型，并于2019年發(fā)布軟件定義邊界標準規(guī)范1.0.工信部于2019年9月在《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見》中將“零信任安全”列入網(wǎng)絡安全亟需重點突破的關鍵技術.

根據(jù)零信任原則，系統(tǒng)的內(nèi)部網(wǎng)絡和外部網(wǎng)絡所有實體被認為不可信，任何主體對系統(tǒng)內(nèi)資源客體的任意一次連接或訪問都需要通過動態(tài)的、基于實時屬性的認證和授權.但傳統(tǒng)安全防護系統(tǒng)的訪問控制難以滿足“內(nèi)網(wǎng)一切實體不可信”的假定，因此需要對架構(gòu)內(nèi)資源建立持續(xù)的、細粒度的訪問控制模型，以此實現(xiàn)對資源訪問的最小化授權.

泛在電力物聯(lián)網(wǎng)數(shù)據(jù)中心提供數(shù)據(jù)存儲服務時,多數(shù)存儲業(yè)務請求來自于企業(yè)或相關機構(gòu)的內(nèi)網(wǎng)用戶或內(nèi)部服務器，這些內(nèi)部應用或服務器的安全防御策略難以統(tǒng)一，一些基礎軟硬件設施較為陳舊[4]，因此傳統(tǒng)邊界防御政策難以抵御來自內(nèi)部用戶的越權、非法訪問等，也無法控制網(wǎng)絡安全攻擊造成的負面影響在企業(yè)內(nèi)網(wǎng)中擴散.NIST提出的零信任基本原則適用于上述場景，數(shù)據(jù)中心中部署零信任架構(gòu)，能夠有效提高數(shù)據(jù)中心對系統(tǒng)內(nèi)惡意節(jié)點橫向移動以及網(wǎng)絡滲透攻擊的防御能力.

1 電力物聯(lián)網(wǎng)DDB的零信任防護架構(gòu)

1.1 電力物聯(lián)網(wǎng)分布式數(shù)據(jù)中心安全風險分析

本文討論的物聯(lián)網(wǎng)分布式數(shù)據(jù)庫(distributed database, DDB)處于泛在電力物聯(lián)網(wǎng)體系結(jié)構(gòu)的數(shù)據(jù)層，基于電力能源網(wǎng)全業(yè)務數(shù)據(jù)，對應用層應用提供數(shù)據(jù)存儲、數(shù)據(jù)讀寫與備份、數(shù)據(jù)分析、數(shù)據(jù)融合、數(shù)據(jù)發(fā)掘等服務[5].

如圖1所示，數(shù)據(jù)來源包括物聯(lián)網(wǎng)中匯聚層和應用層.匯聚層的數(shù)據(jù)主要是能源網(wǎng)中感知層終端設備(傳感器、智能配變電終端、設備狀態(tài)監(jiān)測傳感器、設備環(huán)境感知器)在發(fā)電、輸電、變電、配電、用電中產(chǎn)生的能源數(shù)據(jù)，此類數(shù)據(jù)需要通過接入層、網(wǎng)絡層、匯聚層，經(jīng)過標準化后接入平臺并上傳至云端的分布式數(shù)據(jù)庫.消費數(shù)據(jù)的上層應用包括電力內(nèi)部企業(yè)中運行的能源基礎設施監(jiān)測、計量、配電、變電系統(tǒng)；在用戶側(cè)運行的電力消費計費、樓宇能量管理系統(tǒng)；電力主管部門應用；電力合作部門.

圖1 電力物聯(lián)網(wǎng)分布式數(shù)據(jù)庫網(wǎng)絡環(huán)境

數(shù)據(jù)層數(shù)據(jù)中心的網(wǎng)絡連接包括：匯聚層通過接入網(wǎng)接入、數(shù)據(jù)層內(nèi)部數(shù)據(jù)分析、數(shù)據(jù)中臺的數(shù)據(jù)訪問請求接入、企業(yè)應用層通過業(yè)務網(wǎng)進行數(shù)據(jù)流和控制流接入.零信任架構(gòu)假定接入網(wǎng)和業(yè)務網(wǎng)可信，對接入的資源訪問請求進行控制，因此，系統(tǒng)需要動態(tài)、實時、多維度地獲取資源訪問請求相關的信息[6]，以實現(xiàn)細粒度資源訪問控制.

在業(yè)務統(tǒng)一數(shù)據(jù)中心部署零信任安全防護架構(gòu)需要對數(shù)據(jù)中心內(nèi)部安全風險較大的資源，即重要資產(chǎn)進行評估[2]，因此應對數(shù)據(jù)中心網(wǎng)絡安全風險的途徑包括數(shù)據(jù)層數(shù)據(jù)的安全管理以及應用層與數(shù)據(jù)層數(shù)據(jù)中心之間的安全交互；數(shù)據(jù)層數(shù)據(jù)中心需要根據(jù)感知層產(chǎn)生的邊緣數(shù)據(jù)標簽進行分類，嚴格控制內(nèi)網(wǎng)用戶、應用、服務對敏感數(shù)據(jù)的訪問權限，遵循最小權限原則[7].

在現(xiàn)行電力物聯(lián)體系中數(shù)據(jù)中心為一組分布式數(shù)據(jù)庫服務器集群.數(shù)據(jù)庫服務器集群包括若干計算能力與存儲容量不同的存儲節(jié)點，通過基于Paxos,Raft等一致性協(xié)議完成數(shù)據(jù)同步，各節(jié)點均能接收、處理用戶發(fā)出的數(shù)據(jù)讀寫請求并給出反饋，以此提高整個數(shù)據(jù)庫集群的并發(fā)請求處理能力.服務器中運行的數(shù)據(jù)庫系統(tǒng)為NoSQL數(shù)據(jù)庫，相較于傳統(tǒng)SQL關系型數(shù)據(jù)庫，具備更好的水平擴展和遷移能力，原生具備承載大數(shù)據(jù)分析和數(shù)據(jù)挖掘應用的能力.數(shù)據(jù)節(jié)點之間通過遠程進程調(diào)用(remote procedure call, RPC)進行實時數(shù)據(jù)同步，傳統(tǒng)分布式數(shù)據(jù)庫系統(tǒng)中通過預設密鑰分發(fā)完成節(jié)點間互信和認證[8]，在零信任思想下存在集群內(nèi)部滲透攻擊的風險.

1.2 零信任模型部署

將零信任架構(gòu)應用于分布式數(shù)據(jù)中心的動機是利用ZTA組件作為數(shù)據(jù)資源的前置邊界，以實現(xiàn)有效的資源訪問控制[3].圖2所示為基于以上思路的零信任組件部署方式.

策略執(zhí)行點(policy enforcement points, PEP)作為資源訪問主客體之間的媒介組件存在，在本文場景中，訪問主體(用戶、應用)與PEP建立一個C/S(client/server)連接，PEP通過代理網(wǎng)關的形式收集訪問主體的數(shù)據(jù)資源訪問請求，并交付給策略管理器(policy administer, PA)進行處理.

PA根據(jù)策略引擎(policy engine, PE)中的策略判決結(jié)果來決定是否允許訪問主體的資源連接請求.PA首先接收PEP處發(fā)生的訪問請求，將其轉(zhuǎn)發(fā)至PE，收到策略判決通過消息后為訪問主體生成身份認證令牌，授權其對數(shù)據(jù)資源的訪問行為.

PE以數(shù)據(jù)訪問請求信息作為初始輸入，并根據(jù)初始輸入，在組件連接的周邊信息源中獲取信任判決輸入信息、網(wǎng)絡安全態(tài)勢感知情報等，結(jié)合訪問控制策略庫進行動態(tài)評估與訪問控制策略判決，最終輸出授權或拒絕訪問請求的決定，交付給PA.

圖2 零信任架構(gòu)組件的部署方式

圖2中的零信任組件部署方式，將PEP作為資源訪問代理，數(shù)據(jù)資源只能通過PEP處的代理網(wǎng)關對外交互，能夠有效屏蔽內(nèi)部數(shù)據(jù)資源，同時ZTA組件能夠與內(nèi)部數(shù)據(jù)資源松耦合，不影響系統(tǒng)功能.

1.3 電力物聯(lián)網(wǎng)DDB零信任架構(gòu)設計

圖3所示為ZTA在分布式數(shù)據(jù)庫中的基本部署方式，遵循NIST對ZTA架構(gòu)邏輯組件的描述，將任意一個分布式數(shù)據(jù)庫服務器的網(wǎng)關與代理網(wǎng)關相連，代理網(wǎng)關運行在獨立的安全服務器上.

圖3 分布式數(shù)據(jù)庫ZTA安全防護方案設計

根據(jù)1.1節(jié)對電力物聯(lián)網(wǎng)場景的描述，數(shù)據(jù)訪問主體包括企業(yè)應用或服務、感知層數(shù)據(jù)輸入與分布式存儲集群中其他對等節(jié)點.任意一個訪問主體在發(fā)出數(shù)據(jù)資源訪問請求時，需提供全局唯一的用戶標識、服務標識或設備標識.

圖4 基于ZTA的細粒度訪問控制模型

訪問請求以業(yè)務流或數(shù)據(jù)流的形式到達策略執(zhí)行點PEP，PEP進程首先基于請求主體發(fā)出的數(shù)字證書或者基于設備指紋庫進行身份認證，數(shù)字證書和密鑰簽發(fā)由PKI完成.通過認證后，將資源訪問請求進行歸一化描述，然后轉(zhuǎn)發(fā)至PA，并最終到達PE所在的判決平面.

判決平面中的組件包括網(wǎng)絡安全情報庫(來自外部源)，用戶、應用、服務數(shù)據(jù)庫，數(shù)據(jù)訪問日志，電力基礎設施/設備信息庫，策略數(shù)據(jù)庫，信任評估引擎等.PE基于訪問客體和判決平面組件進行策略判決，并向PA反饋是否允許訪問.PE將訪問判決結(jié)果寫入數(shù)據(jù)資源訪問日志，用于后續(xù)基于上下文的動態(tài)信任評估.

PEP在收到PA授權后，將解析后的數(shù)據(jù)庫訪問請求發(fā)送至數(shù)據(jù)平面，獲取數(shù)據(jù)內(nèi)容后轉(zhuǎn)發(fā)至訪問主體，以此完成數(shù)據(jù)訪問流程.

2 基于零信任的細粒度訪問控制

2.1 細粒度資源訪問控制模型概述

基于屬性的訪問控制模型[9]利用不同的屬性權威將接收的原始訪問請求定義為基于屬性的訪問請求，以此描述訪問請求的主體、資源、動作和環(huán)境.零信任架構(gòu)中對數(shù)據(jù)資源的訪問控制模型建立在策略引擎和策略執(zhí)行點的協(xié)同工作基礎上，即策略執(zhí)行點通過訪問代理獲取訪問請求中的相關靜態(tài)屬性，策略引擎基于本地信息源進行部分屬性的動態(tài)信任判決，匯聚為訪問請求與策略集進行比對，以決定訪問允許或拒絕.

圖4描述的訪問控制策略模型基于零信任訪問控制組件.訪問主體以部署在數(shù)據(jù)資源前端的ZTA控制組件作為訪問媒介，因此需要向PEP處的代理提供主體屬性集合.PE在獲取到PEP經(jīng)由PA發(fā)送的主體屬性與動作屬性后，在數(shù)據(jù)庫中獲取對應數(shù)據(jù)資源屬性集合與環(huán)境屬性集合，生成1條訪問屬性元組(access attribute tuple, AAT)后，在本地的策略庫進行訪問策略的評估.

2.2 ZTA的資源訪問策略形式化描述

1) 主體屬性集合.主體屬性Subjects={s_kAttr1,s_kAttr2,…,s_kAttrm,s_uAttr1,s_uAttr2,…,s_uAttrn}.Subjects集合規(guī)范描述了當前訪問主體的狀態(tài).屬性被標記為s_kAttr，表示策略庫在本地存儲了該屬性的取值范圍(domain)，常見的包括用戶/組數(shù)據(jù)、服務數(shù)據(jù)庫、設備信息等等；類似網(wǎng)絡位置、訪問全局時間戳等則被標記為s_uAttr.

2)動作屬性集合.Acts={update,delete, create, retrieve}，描述了對數(shù)據(jù)資源動作.

3)環(huán)境屬性集合.Environments={E_value1,E_value2,…,E_valuen}.環(huán)境屬性集合包括對當前ZTA組件后系統(tǒng)的網(wǎng)絡環(huán)境安全的信任評估結(jié)果，多個E_value表示基于不同因素的評估，例如外部安全威脅情報評估、日志審計評估、分布式數(shù)據(jù)庫集群健壯性評估.

4)資源屬性集合.Resources={R_Attr1,R_Attr2,…,R_Attrm,SecurityLevel}.本文中數(shù)據(jù)資源屬性為某行數(shù)據(jù)所在的服務器、數(shù)據(jù)庫、數(shù)據(jù)表等訪問控制粒度，以及該行數(shù)據(jù)在零信任部署時的指定安全級別.

5)訪問屬性元組的描述形式由一組動作、主體、環(huán)境屬性子集以及資源屬性頭組合而成.如表1所示，一個屬性子集由訪問請求抽象獲得，并基于原始訪問請求對相應的屬性子集進行實例化(在策略引擎中對屬性變量進行賦值)，最后與資源屬性集合R_A連接.因此AAT的形式化描述為AAT:R_A←{sub,act,env}.

表1 訪問屬性元組的形式化描述

6)訪問策略(policy)由資源屬性集合進行主要標識，并為某一資源屬性集合的多條策略維護全局唯一、自增的序列號.其形式化描述為Policy:R_A(ID)←D(ψ){sub,act,env}.其中，ψ表示對單個屬性的限制，D(ψ)為屬性子集的限制集合.訪問策略通過對給定AAT施加限制集進行訪問控制.

7)訪問策略的評估.訪問策略評估被形式化描述為Policy→{deny,permission}.AAT通過資源屬性集合在訪問策略庫中定位對應資源的策略集合，并通過動作、環(huán)境、主體的優(yōu)先級將屬性子集與策略集合按限制集依次進行關系匹配[10].訪問策略的匹配需要當前AAT的屬性落在D(ψ)的每一個對應限制域中.若當前策略子集遍歷完成后，AAT未能實現(xiàn)與某條訪問策略的匹配，PE向PA返回授權拒絕(deny)，反之則返回授權通過(permission).

2.3 ZTA的信任計算方法

分布式數(shù)據(jù)庫系統(tǒng)作為一個可動態(tài)水平拓展的分布式系統(tǒng)，在開放網(wǎng)絡環(huán)境下需要處理來自不同主體的訪問請求，因此在主體、動作、環(huán)境屬性集中加入基于對動態(tài)信任評估的量化屬性能提高資源訪問控制的有效性[11].

1) 主體靜態(tài)屬性信任.ZTA收集訪問主體的身份信息、主體的網(wǎng)絡位置、主體的設備類型、主體的網(wǎng)絡接入方式[12]等靜態(tài)信息，根據(jù)企業(yè)配置進行量化、加權求和之后獲取主體靜態(tài)屬性信任值，表示對當前訪問主體所處狀態(tài)的信任度[13].

2) 主體上下文屬性信任.ZTA獲取主體到當前數(shù)據(jù)資源的交互歷史，作為行為證據(jù)進行信任計算.上下文特征行為包括：平均網(wǎng)絡延時、用戶失敗訪問請求計數(shù)、用戶違規(guī)數(shù)據(jù)庫訪問指令輸入統(tǒng)計、用戶服務異常終止歷史、用戶IP丟包率、用戶連接建立成功率、用戶IP響應時間等等，進行加權計算后得到上下文屬性信任值.上下文屬性信任計算綜合近期信任與信任更新的思想[14-15]，能夠表征對主體一段時間內(nèi)的狀態(tài)的信任度.

3) 動作屬性信任.該信任值表征對某一資源是否存在異常動作.以動作屬性集{update,delete,insert}為例，以某一資源的動作日志作為數(shù)據(jù)源，利用統(tǒng)計學習方法或自相關性分析，將針對當前資源的系列動作進行二分類，判定是否為異常動作，并量化為信任值，用于策略評估.

4) 環(huán)境屬性信任.結(jié)合CVE,ATT&CK等外圍網(wǎng)絡安全情報信息庫，評估電力物聯(lián)網(wǎng)內(nèi)應用、設備、操作系統(tǒng)是否存在漏洞，并維護物聯(lián)網(wǎng)內(nèi)設備的安全評級信息庫進行對環(huán)境屬性的信任計算.一個可行的例子是根據(jù)網(wǎng)絡安全攻擊高發(fā)時段對單日時段進行切分，取得當前訪問請求發(fā)生時間的環(huán)境屬性信任度.

3 ZTA訪問控制性能優(yōu)化

3.1 多粒度訪問控制策略匹配效率優(yōu)化

3.1.1 多級控制粒度

一個典型的資源屬性全集形式R_A={集群ID，服務器ID, 數(shù)據(jù)庫名，表名，主鍵，安全級別}.對資源屬性全集進行實例化，對數(shù)據(jù)的訪問控制粒度將細化到關系型數(shù)據(jù)庫中由主鍵標識的元組.海量數(shù)據(jù)場景中，ZTA網(wǎng)關響應一條數(shù)據(jù)訪問請求在細粒度訪問控制下需要承受從請求解析到動態(tài)信任評估、數(shù)據(jù)庫查詢、策略生成、策略匹配、授權等串行程序帶來的延時，這將會嚴重影響數(shù)據(jù)庫系統(tǒng)整體的服務質(zhì)量，難以滿足現(xiàn)實要求.引入不同資源控制粒度的方式是允許訪問控制策略圍繞一條資源屬性子集描述[16].

表2給出了3種控制粒度的資源屬性子集的示例，通過提高控制粒度降低策略集的復雜度，一方面能夠減少對部分非敏感資源進行不必要的安全防護帶來的系統(tǒng)資源開銷，另一方面能夠?qū)崿F(xiàn)資源訪問控制精準化.

表2 多級粒度的資源屬性集合形式化描述

3.1.2 樹狀多粒度訪問控制策略集

由于在多粒度的資源訪問控制模型下可將訪問策略集合組織為樹狀結(jié)構(gòu)，如圖5所示，樹中節(jié)點處搭載從屬于當前資源的訪問策略子集.由上而下訪問控制粒度逐級變細，1對父子節(jié)點中的資源變量在數(shù)據(jù)庫邏輯上也具備直接的從屬關系.

圖5 多粒度訪問控制策略的樹狀組織與匹配方式

對樹狀策略集從根節(jié)點開始匹配，在某一節(jié)點處若當前AAT和當前節(jié)點內(nèi)的策略集中某條對應，且滿足限制域，則視為匹配成功；若沒有匹配成功，則在樹中尋找下一個粒度的資源節(jié)點，直至匹配成功，或?qū)ぶ返阶罴氋Y源粒度(葉子節(jié)點)且匹配失敗.

3.1.3 多粒度訪問控制策略優(yōu)化驗證

本節(jié)討論樹狀訪問控制策略集與有聚類的線性策略集在訪問控制策略匹配速度上的性能差異.有聚類的線性策略集中，歸屬于同一條資源訪問子集的策略順序存儲，可認為2種策略集組織方式在給定資源訪問子集下進行策略匹配的時間相等，匹配開銷的差異取決于對資源屬性子集的定位.易知在線性組織下，資源屬性子集的定位時間復雜度為O(n).

1條隨機資源屬性子集在樹狀訪問控制策略集中進行匹配的時間開銷推導如下：

1) 1次未命中匹配表示資源屬性子集迭代到當前資源粒度節(jié)點時無法匹配.

2) 假設某一粒度下對應的子資源數(shù)量為R，比如1個Cluster下有R個Server等，考慮由N個隨機資源屬性子集構(gòu)造的樹狀訪問控制策略集中1個未命中查找所需的平均節(jié)點數(shù)量.

3) 所有N個屬性子集與1個隨機的需要匹配的子集的前t個資源粒度至少有1個粒度不匹配的概率為(1-R-t)N，則一次匹配操作至少需要比較t個粒度的概率為1-(1-R-t)N.

4)匹配的平均成本為

1-(1-R-1)N+1-(1-R-2)N+…+

1-(1-R-t)N+….

5)進行指數(shù)近似，匹配的平均成本的近似函數(shù)為

1-(1-e-N/R1)+1-(1-e-N/R2)+…+

(1-e-N/Rt)+….

當Rt?N時，相對應的約logRN項的值接近于1，當Rt?N時，所對應的所有項的值均接近0，當Rt≈N時，對應項總和約為logRN，即樹狀策略集下平均資源子集定位時間復雜度約為O(logRN)，能夠改善平均策略匹配效率.

采取仿真實驗驗證樹狀策略匹配方式的優(yōu)化.實驗用CPU為Intel i7-7700HQ，模擬生成策略集，樹內(nèi)單節(jié)點平均子節(jié)點樹設為25，樹最大高度(策略最大長度)為30，策略集規(guī)模設置為2萬條到24萬條，模擬策略集在排序后線性搜索匹配與在樹狀策略集中匹配2種情況.如圖6所示，在多粒度訪問控制策略下，進行線性掃描的時間開銷隨策略集規(guī)模的增長呈指數(shù)趨勢，樹狀策略集方法進行策略匹配的速度具備顯著優(yōu)化，匹配用時在測試數(shù)據(jù)集規(guī)模下能減少97%以上，但該方法為離線匹配方法，在構(gòu)建策略集與更新策略時需要考慮預處理開銷.

圖6 多粒度線性策略匹配與樹狀策略匹配開銷對比

3.2 訪問權限的擴展

第2節(jié)中訪問控制基于零信任思想，不信任一切訪問主體，對每一次資源訪問請求進行評估授權.在實際ZTA部署中，可通過擴展單次訪問控制判決后授予的權限來保證系統(tǒng)業(yè)務響應能力.

一種權限擴展的方式是信任企業(yè)內(nèi)物理安全主體，并以身份認證的方式提高單次授權的有效期.比如在分布式數(shù)據(jù)庫集群中，對等存儲節(jié)點間的數(shù)據(jù)一致性通信可以在訪問授權通過后返回一個基于非對稱加密的具備生命期的身份令牌，在令牌生命周期內(nèi)同一主體能夠利用身份令牌繞過ZTA直接訪問本地數(shù)據(jù)資源[16].

另一種權限拓展的方式是擴充訪問判決評估的結(jié)果集.可基于動態(tài)信任評估的時效性與信任衰落曲線，在當前結(jié)果集{permission,deny}的基礎上增加授權有效時間戳，在時間戳失效之前，ZTA在策略執(zhí)行點處能夠直接基于評估結(jié)果緩存來決定允許數(shù)據(jù)訪問或直接拒絕訪問[17].

4 結(jié)束語

本文針對電力物聯(lián)網(wǎng)場景中數(shù)據(jù)層的數(shù)據(jù)安全問題，提出了一種基于零信任的細粒度訪問控制模型并進行形式化描述.基于該模型能夠開發(fā)對應的服務化組件，保護數(shù)據(jù)層任意一個網(wǎng)絡資源實體，實現(xiàn)細粒度的資源訪問控制.在此基礎上，介紹了基于ZTA的訪問控制組件在電力物聯(lián)網(wǎng)中一種可行部署方式.根據(jù)ZTA思想，在資源訪問控制模型中引入了動態(tài)評估方法，討論如何進行動態(tài)的、上下文的訪問主客體間信任評估方式，并將評估結(jié)果用于訪問控制策略模型.在引入多種資源訪問控制粒度后，提出了樹狀訪問控制策略集的組織與匹配方法，通過理論推導與仿真實驗驗證該方法對訪問控制判決效率的優(yōu)化.最后根據(jù)權限擴充的方法，提出現(xiàn)實場景中細粒度訪問控制模型的效率優(yōu)化方式.