基于零信任架构实现的物联网终端接入安全分析

关键词：零信任架构；物联网终端；访问控制；认证授权

0 引言

近年来，物联网技术快速发展，相应的网络连接设备也大量增加。面对网络连接设备安全挑战，传统的安全架构通常基于边界防护理念，即假定内网环境是安全的[1]。然而，在遭受网络攻击时，由于物联网终端的数量庞大、类型多样且分布广泛，它们成为网络攻击者主要的目标。因此，寻求一种新型的安全框架来应对物联网安全挑战已成为必然趋势。在这样的背景下，零信任架构应运而生。本文将重点讨论零信任架构在物联网终端接入安全方面的实际应用和突出优势。

1 零信任架构概述

1.1 零信任架构的基本概念

零信任架构是一种应对现代网络安全挑战的安全模型。它的核心原则是“永不信任，始终验证”。这意味着无论是网络内部用户还是外部用户，甚至来自公司内部不同部门的员工，每一次访问请求都必须经过严格的身份验证和授权检查。与传统边界防御模型相比，零信任架构有根本性的区别。它不再默认信任网络内部用户和设备，而是要求每一次访问都必须进行身份验证和授权检查。而且，这些检查是动态的，能够根据当前环境和风险状况进行调整。

1.2 零信任架构的核心原则

零信任架构构建在最小权限、动态访问和严格身份认证等多种原则之上。这些核心原则是零信任网络运作方式的基石，共同定义了其安全模型。表1简要概述了这些核心原则。

2 物联网终端接入安全威胁及局限性

2.1 物联网终端面临的安全威胁

物联网终端面临着来自设备自身、网络通信以及系统架构等多个层面的安全威胁。具体如表2所示：

2.2 传统安全架构的局限性

传统物联网安全架构在现代网络环境中存在许多限制。这些架构依赖于网络边缘安全设备和基于All大数据网络安全态势感知技术，将保护措施的重点放在网络外围，对内部威胁的防护能力有限。该模式采用了先连接后认证的机制，基于TCP/IP协议并结合VPN来实现端对端的通信[2]，如图1。

在物联网环境中，传统的安全架构面临着许多挑战。首先，难以应对大量设备接入和高速数据传输的需求。其次，传统安全架构无法有效隔离并解决跨设备和跨网络安全问题。此外，在网络攻击手段日益多样化的趋势下，传统的防火墙、入侵检测系统和防病毒软件无法全面保护物联网终端免受攻击[3]。

3 零信任架构在物联网终端接入中的应用

3.1 零信任架构的技术实现

统一身份管理系统的作用是为每个实体，如用户、设备和服务，创建唯一的数字身份，并使用加密算法如SM来确保身份的安全性。数字身份生成可表示为：

其中PKentity 表示实体公钥，Infoentity 则表示实体信息。统一身份管理系统采用高级加密算法，例如国密SM算法，为每个实体生成一对公钥和私钥。通过这种方法，可以确保身份信息的安全性，并支持强验证机制。其中，数字身份可以表示为ID = hash（实体公钥 || 实体信息）。这种结构使得任何试图冒充身份的行为变得极为困难，因为攻击者需要同时拥有正确的公钥和对应的实体信息才能通过验证。该系统还支持多因素认证，包括但不限于生物识别、智能卡、短信验证码等，以增加登录过程的安全性。此外，统一身份管理系统可以与企业现有的目录服务如LDAP、Ac⁃tive Directory集成，实现对用户身份的无缝验证，从而在简化管理过程的同时提高安全性。

终端权限管控系统基于最小权限原则动态分配访问权限，通过访问策略公式实现：

其中Rterminal 为终端请求资源，Snetwork 则表示网络状态。终端权限管控系统根据一系列因素动态地分配访问权限。这些因素包括用户的角色、设备类型、安全状态、当前网络环境以及特定的时间条件等。例如，在公司内部网络中，设备可以获得比远程设备更多的访问权限，而已经进行多因素认证的用户可能比未认证用户拥有更多权限。为了实现这种动态权限控制，系统会利用策略引擎来定义和执行访问控制策略[4]。

3.2 基于零信任架构的物联网终端认证与授权

在物联网终端接入零信任架构中，采用了一个三层安全模型，包括云端安全认证中心、接入层安全认证网关和感知层物联网终端。

1） 平台侧安全机制

在平台侧部署了统一身份管理系统、终端权限管控系统和智能态势感知系统。这些系统共同工作，为物联网环境提供了坚实的安全基础。

2） 统一身份管理系统

该系统负责为所有实体（包括用户、设备、服务等）创建和管理数字身份。每个实体在系统中注册时，都会被赋予一个唯一的数字身份，用于后续的认证和授权过程。

3） 终端权限管控系统

该系统基于最小权限原则，确保每个终端只能访问其被授权的资源和服务。通过动态调整访问策略，响应终端的行为和网络环境的变化。

4） 智能态势感知系统

结合大数据分析和风险评估模型，该系统能够实时监测网络状态，预测和响应潜在的安全威胁。

网络侧安全认证网关配备了零信任安全套件，对所有经过网关的数据进行严格的检查和验证。零信任安全套件包括一系列安全协议和算法，如TLS/IPSEC。物联网终端和边缘网关配备了零信任安全代理客户端，以确保设备的身份数据安全。零信任安全代理客户端利用SIM卡的唯一标识（ICCID和IMSI） 作为基础身份信息，并在此基础上生成动态的临时身份，用于接入时的认证。

在该零信任架构中，采用了基于SM2和SM3算法的网络接入认证新协议。SM2算法用于数字签名和密钥交换的功能，而SM3算法则用于消息的完整性校验。

具体步骤如下：物联网终端首先生成一对SM2密钥，包括私钥SK和公钥PK。私钥由终端保密存储，而公钥则可以通过安全通道进行公开传输。当终端需要接入网络时，使用其私钥SK对一个包含认证信息，例如终端ID、时间戳等的消息M进行签名。签名过程可以表示为：

如果Result为真，则表明消息确实来自拥有对应私钥的终端且未被篡改。SM3算法应用于消息完整性校验，用于生成消息摘要。在网络接入认证新协议中，SM3用来验证消息在传输过程中完整性，物联网终端在发送认证请求时使用SM3算法对请求消息M 生成哈希值H。

终端将生成的哈希值H与认证请求一起发送给网络接入点，网络接入点收到认证请求、哈希值后，独立计算收到消息的SM3哈希值并与终端发送的哈希值H进行比较。如果两者一致，则说明消息在传输过程中未被篡改。

3.3 零信任架构的访问控制策略

SM2 算法是一种非对称加密算法，支持数字签名、密钥交换和公钥加密。在这些用户角色访问控制协议中，SM2主要用于数字签名，确保用户角色信息真实性、不可篡改性。具体实施步骤如下：系统中每个用户根据其职责被分配一个或多个角色，这些信息经过SM2算法加密后存储在系统中。

EncryptedRoleInfo = SN2Encrypt（PKsystem，RoleInfo） （6）

其中PKsystem 是系统公钥，RoleInfo为用户角色信息。当用户尝试访问资源时，系统使用SM2算法验证用户的角色：

其中SKsystem 是系统私钥，Signature则表示随请求发送的数字签名。SM9算法是一种基于身份的加密算法，适用于属性基访问控制。在这种技术中，访问控制策略是根据用户的属性而不是其身份进行定义的。实施步骤包括定义一组属性，每个属性关联不同的访问权限。

其中每个Atti 均代表一个属性，根据属性集定义访问控制策略，例如某一策略可能要求用户必须拥有属性A和B才能访问某个资源。例如在智能家居系统中，用户地理位置（属性A） 和时间（属性B） 用作访问控制条件。如果用户在晚上10点至早上6点间位于家的位置，系统可以自动调整家中设备如灯光和安全系统的设置。

为了实现这一目标，工厂采用了基于SM2、SM9 的零信任安全架构。工厂为每位员工创建唯一数字身份，并使用SM2算法对其角色进行加密签名。例如一名员工被标记为“机械操作员”，另一名员工标记为“质量检验员”。这些角色信息用于决定员工所能访问的系统资源。接着工厂定义了一组基于属性的访问控制策略，使用SM9算法进行管理。例如策略规定只有同时拥有“机械操作员”角色，在特定工作站地理位置内员工才能启动或停止生产线上机器。即使有员工设备丢失或被盗，由于缺乏必要角色属性、位置属性，设备也无法用来访问关键系统。

4 零信任架构的安全性分析与案例研究

4.1 零信任架构的安全性优势

零信任架构的安全性优势显著，以Google的Be⁃yondCorp项目为例，该项目成功实践了零信任模型。在实施BeyondCorp之前，Google面临内部网络频繁遭受入侵的问题，员工和访客可以轻易地访问公司内部资源。实施零信任架构后，Google将访问控制策略从基于网络位置转变为基于用户和设备身份状态，显著降低了内部威胁和数据泄露的风险。根据Google的报告，实施BeyondCorp后，有85%的员工采用了零信任模型进行远程工作，而这一转变并未增加安全事件的发生频率。Google还发现，在采用零信任架构后，恶意软件感染率下降了50%，并且能够实时阻止96% 的登录欺诈尝试[5]。

进一步分析可以发现，零信任架构的安全性优势关键在于其“不信任任何人”的原则以及对每一次访问请求的严格审查。这种模式迫使所有用户无论其物理位置如何，都必须通过强身份验证才能访问资源。从而减少了因凭证被盗用而引发的安全事件，使攻击者即使获得了网络接入权限也难以进一步渗透关键系统。

4.2 零信任架构在实际应用中的案例分析

考虑某全球性金融机构的案例，该机构实施零信任模型来保护交易系统和客户数据。他们采用了严格的身份和设备验证措施，并结合微细分网络技术，成功地阻止了97%的未经授权访问尝试。在部署零信任架构的前六个月内，该机构处理了大约150万次的登录尝试，其中只有4.5万次因未能通过增强型多因素认证而失败。此外，利用自适应访问控制技术，该机构能够实时监控和调整员工的访问权限，有效地减少了内部威胁。

其次，考察一家大型电信公司的案例，该公司引入零信任架构来防御日益复杂的网络攻击并保护庞大的用户数据。通过对所有网络交互进行加密并实施严格的访问控制，该公司在实施零信任架构一年后，网络入侵事件下降了60%，同时数据泄露事件几乎降至零。值得一提的是，该公司在实施零信任架构后对超过1亿条数据传输进行了监控，发现并阻止了约0.03%的异常数据交互行为，显示了极高的数据完整性维护能力。

最后，探讨一家制造企业的案例，该企业将零信任架构应用于其工业互联网平台，以确保生产数据和知识产权的安全。他们实施了终端设备的强制验证和细化的单个传感器级别的访问控制。在引入零信任架构的第一年内，该企业遭遇的网络攻击和数据泄露事件减少了80%。该企业在10万个终端设备上应用了这一模型，并成功识别和隔离了约0.5%的设备，这些设备因为行为异常或配置不符合安全策略而被判定为高风险。

5 结论

基于零信任架构的物联网终端接入安全分析表明，该架构凭借其核心原则——不信任任何内外网络、显式验证和动态权限分配，为物联网设备提供了更高水平的安全保护。研究表明，应用零信任模型可以显著提升终端的认证和授权安全性，并有效细化访问控制策略。案例研究证实，在真实环境中，零信任架构能够阻断非法访问尝试，以尽可能地防止数据泄露。