基于风险度量的电力设备与用户持续信任评价

摘要

在强大的物联网环境下，现有的基于边界的保护体系和“一次性认证、一次性授权、长期有效”的方式难以应对内外设备和合法权限用户的攻击威胁。为了解决电力设备和用户的授权接入问题，结合行为风险评估，提出了一种电力设备和用户的持续信任评估方案。采用直接信任、间接信任和综合信任相结合的方法对方案进行评价，并加入惩罚奖励因子和时间衰减函数，提高了结果的可靠性。此外，本文将电力设备和用户行为的风险进行量化，并将其视为影响信任程度的因素，从而实现对设备和用户的持续信任评价。

1.介绍

1．1.背景

物联网技术主要依靠相关的传感设备，根据协议将物体连接到网络上。在电力系统中，运用物联网技术可以更好地控制电力设备、电力人员和运行环境，具体表现在感知、识别、互联和控制四个方面。通过电力物联网技术，可以大大提高电力系统的运行效率。例如，智能电表可以通过网络将用户侧数据上传到电网公司，避免人工抄错电表。通过将电站接入电力系统，利用电力物联网实现调度控制。

在强大的物联网环境下，随着海量终端设备和用户的广泛接入，网络曝光量增加，给现有的保护体系带来了严峻的挑战。但现有的物联网终端设备和用户的认证和访问控制大多采用“一次认证、一次授权、长期有效”的方式。认证通过后，长期拥有合法权限，可以在权限范围内进行任何操作。由于缺乏持续的行为分析、认证和访问控制措施，无法解决合法终端设备或用户被攻击者非法控制，以合法身份访问公司数据和业务资源的问题。同时，对于内部人来说，由于对内部人预设的信任机制，如果内部人进行非法操作或恶意攻击，很难得到有效控制，会造成巨大的损失。

仅仅依靠以边境保护为基础的传统安全架构是很难满足这种安全需求的。零信任体系结构的核心思想是:默认情况下，网络内外不允许信任任何人、设备或系统，在认证授权的基础上重构访问控制的信任基础。这意味着永远不要信任并始终进行身份验证的安全模型。在零信任架构模式下，可以很好地解决内部人员违规或恶意攻击的问题，为实现“任何时间、任何地点、任何人、任何事物”的信息连接和安全交互提供保障[1］．

零信任架构需要研究持续的身份认证和信任评估，通过实时评估设备和用户的信任程度，调整用户的权限级别，实现精确的管控。为了了解信任评价计算的问题，本文提出了一种基于风险度量的电力物联网设备和用户信任评价方案。一般的信任计算没有考虑行为风险因素对信任的影响。本文将行为风险值加入到信任度计算中，通过量化电力设备和用户的行为风险值，将其作为信任度计算的一部分进行计算。另外，在计算信任度时，将信任度划分为直接信任度和间接信任度，得到综合信任度，增强了计算的动态适应性和系统抵抗恶意攻击的能力。

2.Zero-Trust模型

零信任架构是网络/数据安全的端到端方法[2］．零信任是一种关注数据保护的体系结构方法。它的重点是限制那些“需要知道”的人获得资源。传统的安全架构以边界防御为主，授权用户可以自由访问资源。这个模型对来自网络内部的攻击无能为力。零信任保护架构旨在消除未经授权的访问数据和服务，并使访问控制的实施尽可能详细[3.］．为了减少不确定性(因为不能完全消除不确定性)，重点是身份验证、授权和缩小隐式信任区域，同时尽量减少网络身份验证机制中的时间延迟。访问规则被限制在最小的权限，并且尽可能详细。图中显示了一个公共的零信任体系结构模型1．

关键组成部分包括（1）策略引擎(PE):该组件负责最终决定是否授予指定的访问主体对资源(访问对象)的访问权。它将数据提供给信任引擎来计算信任值。（2)策略管理员(PA):该组件负责在客户端和资源之间建立连接(逻辑责任，而不是物理连接)。它生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎密切相关，并取决于策略引擎最终是否允许连接。（3）策略实施点(PEP):该系统负责启用、监视并最终终止主体与企业资源之间的连接。

策略引擎是零信任架构的核心，它根据信任算法的输出决定是否授予对资源的访问权。策略引擎使用外部信息(如IP黑名单和威胁情报服务)作为信任算法的输入，以决定是否允许或拒绝对资源的访问。策略引擎与策略管理员组件配对。策略引擎做出(并记录)决策，策略管理员执行决策(批准或拒绝)。使用合适的信任算法对整个系统的安全保护起着至关重要的作用。在本文的下一节中，我们将详细讨论在电力物联网系统中部署零信任架构时信任引擎所使用的算法。

3.信任评价模型

Eigen Trust模型[4]是一种基于信任的访问控制模型，该模型在信任计算过程中赋予直接信任程度高的用户更多的权重，认为直接信任程度高的用户更值得信任。但是，该方法没有考虑信任的主观性和不确定性。在Claudiu的模型中加入了惩罚因素[5]，提高了模型的动态适应性，在一定程度上增强了抗攻击能力，但模型没有考虑历史值，将误操作视为攻击，导致访问失败。

通过对上述典型信任模型的分析研究，本文在信任计算过程中充分考虑历史交互记录的信任程度，并在每次交互完成后利用记录更新信任，有利于信任的良性循环。维护具有良好服务的云环境。结果被实时反馈，用于更新信任度。此外，本文还在信任度的计算中加入了风险因素，使得信任度的计算更有预见性，更符合实际。

本文使用的信任评估模型如图所示2．

信任引擎获取通过策略引擎传输的接入设备或用户的相关信息，如请求的资源、接入设备的IP地址、用户的身份信息等。该信息首先用于计算初始信任度。初始信任度由直接信任度和间接信任度组成。初始信任计算完成后，信任引擎将对该行为的风险进行评估，得到一个风险值，用于计算新的信任程度。最后，将信任程度反馈给策略引擎进行后续访问控制。

3．1.直接信任度的计算

直接信任度(DT)由直接经验(DE)和直接知识(DK)组成[6］．直接信任的计算公式如下: 在哪里N为最近一段时间内交互事件的数量，为失败交互的次数，是交互失败时用来调整信任值的惩罚因子，还是是服务水平因素。

3．2．间接信任程度的计算

间接信任程度主要通过信任的传递性来计算。根据推荐路径的数量，间接信任值可以分为单路径推荐和多路径推荐。显然，多路径推荐更符合实际情况。但是，简单地积累信任值显然是不合理的。根据实际情况，可以通过对多路径下不同阶段采用不同权重来计算间接信任度。

本文介绍了动态声誉树的基本模型[7］．通过动态声誉树模型，可以清晰地构建与主体有间接信任关系的其他个体。同时，我们可以根据被推荐人与被推荐人信任程度的不同，指定不同等级的权重。一般的原则是，越接近主题，推荐的权重越大。这种动态信誉树的维护开销较小，并可根据间接信任个体和主体的重要性调整相应的权重，实现动态、方便的控制。

动态声誉树中间接信任度的计算公式如下: 在哪里n是否间接转介的数量和为主讲人的权重因子，可根据不同的推荐级别进行调整: 在哪里 表示的直接信任值到它的后续节点。

3．3.综合信任度计算

之前，本文已经说明了直接信任值和间接信任值的计算方法，综合信任值的计算是基于这两个值的相应合成，得到此时的用户信任值[8］．具体计算公式如下: 在哪里n系统中历史交互记录的总数是否与N是系统中历史交互记录的最大总数。为直接信任和间接信任的权重，计算方法如下: 在哪里 ， 是多少值得信赖的推荐，和与之有直接信任关系的实体的数量 ．

4.风险评估算法

现有的信任评价算法往往采用直接信任度和间接信任度的加权计算方法[9，忽略用户行为风险对信任程度的影响。本文将用户行为风险量化，并将其加入到用户信任的计算中，实现基于风险度量的电力物联网设备和用户的信任评价。

4．1.电力设备与用户行为分析

随着云计算的发展，大量物联网设备将其服务放在云服务器上，可以在一定程度上减轻服务器的压力，加快响应时间，但用户的行为也会带来安全风险。本文将设备终端和用户在power things环境下的行为分为以下两类:（1）异常行为:异常行为集主要是指物联网终端或用户在访问时，某些属性与正常属性存在较大差异，如着陆位置、访问资源、历史记录等。具体情况见表1．

（2)恶意行为集如表所示2．

5.电力设备与用户行为的风险分析

本文结合信息安全风险评估规范中信息安全风险因素的定义，对电力物联网环境下物联网设备和用户的行为风险因素进行如下定义:（1）资源值(RV):设备访问的资源可以是硬件资源，如特定的电能表;也可以是软件资源，如某些数据。不同层次的资源价值是不同的。本文将资源价值分为 ；它们分别代表不重要、一般、重要和极其重要。（2)资源脆弱性(V):资源脆弱性是指资源容易受到攻击的难度。根据脆弱性的难度，将资源划分为 ；它们分别代表容易、普通、困难和极难。（3）行为风险等级(L):本文将上述异常行为和恶意行为视为危险行为，并根据行为的影响程度将行为的风险等级划分为 ；它们分别代表了可忽略的、低、中、高水平的行为风险。

5．1.电力设备与用户行为风险的计算

以上，将电力设备和用户的行为风险因素转化为资源价值R、资源脆弱性V，行为风险等级l；然后是行为风险评估方程 可以获得。

为了以后参与信任度的计算，需要将风险值映射到区间 ．变换公式如下:

以上公式只能静态地反映设备和用户某次访问的风险程度。然后介绍了危险行为次数c；当用户连续进行危险操作时，风险值应呈指数增长。另外，风险衰减因子，最终行为风险评估公式如下:

在上式中，表示最近行为风险计算的结果。当(a)表示正常行为时，计算用户风险值 用于调整用户风险值的衰减率。当用户连续正常行为时，用户的风险值减小。(b)表示用户有危险行为时的风险值计算过程 用于调整风险值。

5.2。电力设备与用户信赖度计算

本文基于改进的信息安全风险评估方程和基于行为风险演化的信任模型(TMBRE)，对危险行为次数进行了分析c，得到改进后的用户信任度计算公式:

在上式中，为电力设备和用户行为风险值的阈值常数。超过此值表示高风险行为。表示上次计算的用户信任级别。信任修正系数是否在高风险值下，和为低风险值下的信任校正因子。(a)用于计算电力设备在高风险状态下的信任程度和用户行为。(b)用于计算低风险状态下电力设备的信任程度和用户行为。

6.结论

为了应对当前电力物联网系统,很难应对来自内部和外部的攻击设备和用户法律权威,有必要研究连续身份验证、信任评估,和访问控制技术和建立zero-trust访问控制模型。本文提出了一种基于风险度量的电力物联网设备和用户持续信任评估算法，可用于计算零信任架构的信任程度。在分析信任特征的基础上，为了提高信任价值计算方法的动态适应性和客观性，提出了一种包含惩罚因子、服务水平因子和动态适应因子的信任价值计算方法。此外，本文还在信任度的计算中加入了风险因素，通过对用户行为的分析，量化了用户的风险行为，并在风险计算中加入了危险行为的数量;对于连续的危险行为，恶意系数呈指数增长。

数据可用性

本文的实验数据来源于国家电网公司的实际生产运行过程，仅在公司内部网络上提供。

的利益冲突

作者声明他们没有利益冲突。

致谢

国家电网公司科技计划项目(批准号:no. 20161023002);5700-201958466A-0-0-00):“普适电力物联网的端到端安全威胁分析和精确保护。”

参考文献

1. R. Vanickis, P. Jacob, S. Dehghanzadeh等人，“零信任网络的访问控制策略实施”2018年第29届爱尔兰信号和系统会议论文集(ISSC)2018年6月，英国贝尔法斯特。视图:谷歌学者
2. E. Bogner，“零信任的命令:永远不要信任，不断地核实，”软件世界，第50卷，第5期。4，第9-10页，2019。视图:谷歌学者
3. a . Ghafourifar和J. K. Monroe，“零信任分布式系统中的多方认证”，美国专利10,110,585,2018。视图:谷歌学者
4. D. K. Sepandar, T. S. Mario，和G. M. Hector，“在P2P网络中声誉管理的特征信任算法”第12届国际万维网会议论文集，第640-651页，ACM出版社，匈牙利布达佩斯，2003年5月。视图:谷歌学者
5. L. P. Kaelbling, M. L. Littman, a . W. Moore，《强化学习:一项调查》，人工智能研究杂志，第4卷，第4期。1，第237-285页，1996。视图:谷歌学者
6. “基于信任评估访问控制的医疗保健大数据隐私保护模型”，《中国医疗保健杂志》，2014年第1期。智能与模糊系统学报，第5卷，第1-12页，2020。视图:出版商的网站|谷歌学者
7. 王涛，罗浩，贾伟等，“基于传感器云的工业物联网智能信任评估方案”，工业信息学学报，第16卷，第5期。3, pp. 2054-2062, 2020。视图:出版商的网站|谷歌学者
8. 张锐，吴旭东，苏勇。周,X.-S。基于实体行为风险评估的信任模型计算机科学杂志，第32卷，第2期4，第688-698页，2009。视图:出版商的网站|谷歌学者
9. 陈建军，田振华，崔旭东，尹磊，王旭东，“物联网的信任架构与信誉评估”，《中国管理科学》，2014年第4期。环境智能与人性化计算杂志， vol. 10, pp. 3099-3107, 2019。视图:出版商的网站|谷歌学者

版权

版权所有©2020石聪聪等。这是一篇发布在知识共享署名许可协议，允许在任何媒介上不受限制地使用、传播和复制，但必须正确引用原作。