物联网技术 2023年 / 第10期
800 引 言
随着互联网的发展,人们可以通过车联网[1-3]实现对车辆的远程控制及访问,极大地方便了人车交互。但由于车联网脱胎于互联网,互联网中存在的安全问题在车联网中仍然存在;此外由于车辆在使用的过程中自身存在一定危险性,这更加凸显了车联网安全防护的重要性。车联网安全可以分为车内网安全以及车际互联网安全,这其中包括网络通信安全、网络终端安全等问题。目前传统的网络安全模型多基于角、属性、任务或工作流的访问控制,这些传统的访问控制模型以边界防护为主要思想,在车联网终端数量、种类都爆炸式发展的场景下,由于传统防护边界的存在,这些访问控制模型会出现安全性不够、策略过于复杂等问题,导致车辆和人、其他车辆、路边单元、云服务平台之间传递消息时可能遭到窃听、篡改、阻断,
造成多方隐私泄露,甚至造成严重的交通事故。零信任[4-5]网络的实质是在具有身份、设备属性的访问主体与包含各种数据资源、应用资源的访问客体之间,根据访问需要临时建立的动态可信安全访问体系。零信任网络的实现方法是以受限资源安全保护需要为出发点,以身份认证为前提,以持续信任评估和动态访问控制为手段,最终实现访问主体与访问客体之间的安全访问控制。车联网终端同样是网络攻击者的目标之一,
用户终端、车联终端、云计算平台可能在遭到攻击后产生数据泄露、拒绝服
务等问题。同时车联网的到来使得道路交通系统的终端海量化、异构化的问题更加突出,也造成了大规模的安全边界模糊,使得安全方面面临重大挑战。针对道路交通系统中终端海量、通信时延低容忍、安全等级要求高、部分终端计算能力弱等问题,本文提出一种基于零信任的大规模车联网安全模型。
1 车联网安全模型
如图1所示,零信任车联网模型由用户平面、控制平面、数据平面[6]组成。用户平面直接与用户进行交互,对用户进行身份识别、认证,获取用户访问时的各种身份属性、网络属性、设备属性,用于评价用户的真实性、可信性,凭借用户属性数据确保用户与系统之间交互的安全性。控制平面为用户提供授权服务,根据用户属性、访问控制策略对用户授予权限。数据平面由网络安全设备组成,控制模型的流量交互
。
图1 车联网零信任模型
许盛伟,田 宇,邓 烨,刘昌赫
(北京电子科技学院,北京 100070)
摘 要:
针对当前大规模车联网终端海量化、异构化带来的安全边界模糊、海量异构终端难以互联互通等问题,本文提出一种基于零信任思想的车联网安全模型。模型由用户平面、控制平面、数据平面3个平面构成。在用户平面设计了零信任数字身份管理系统,以及扁平化、网格化数字身份连接方式的车联网数字身份服务云;在控制平面设计了“云-管-边-端”的访问控制服务体系,以及基于多终端的访问控制策略和安全参数基础设施;在数据平面使用网关等网络安全设备实现对用户流量的控制,并通过分级分域数据同步模型同步海量节点的资源数据。经过模型分析,本文中零信任车联网安全模型相较于传统安全模型对网络威胁具有较好的抵抗能力,解决了大规模车联网中海量终端难以互联互通的问题。
关键词:
车联网;零信任;访问控制;身份管理;道路交通系统;数据安全中图分类号:TP393.08 文献标识码:A 文章编号:
2095-1302(2023)10-0080-03收稿日期:2023-07-11 修回日期:2023-08-08
基金项目:国家重点研发计划(2022YFB3104402);
中央高校基本科研业务费专项资金资助(328202221)
2023年 / 第10期 物联网技术
81
管理目标,实现用户数字身份管理、用户身份验证、权限管理等功能。数字身份管理模型如图2所示
。
图2 数字身份管理模型整体架构
数字身份管理模块在证书或标识的基础上建立身份信息的注册、签发、验证、共享发布功能,并收集用户属性值。用户身份验证将根据用户属性、标识密码体系和证书管理,规范鉴别用户身份,通过用户属性动态计算信任值,量化用户可信任程度,实现异构设备鉴别与身份认证。权限管理模块与控制平面的引擎进行对接,将控制层面的策略执行结果反馈至用户,实现了用户身份权限信息的分发、共享和推送。
为了应对车联网中多级身份信息管理模型复杂的问题,在数字身份管理模型中添加与外部系统之间的连接关系以及内部系统的连接关系,以此设计了一种分级分域的车联网数字身份服务云平台,从而使各级各域的车联网身份管理系统信息同步。车联网数字身份服务云平台如图3所示
。
图3 车联网数字身份服务云平台
为了满足道路交通系统中终端海量、异构的问题,平台使用分级分域策略,在身份管理上根据管理职责和范围进行分域管理,使得各个单位机构实现海量终端分解化,实现分布式数字身份管理模型的构建。平台采用扁平化网格化的数
纵向到底、纵横交错、全面覆盖。所有连接方式实现受限制的按需连接和无限制的直连相结合,保证连接的安全可控和高效迅速,满足道路交通系统在连接方式上的需求。
连接协议采用国密SM2、SM3、SM4算法[7]保证连接的真实性、完整性、机密性,以及协议的抗重放、抗抵赖,并对隐私信息进行保护,实现道路交通终端之间互认互信互通。由于不同终端之间算力差别巨大,平台将提供证书、标识加密、轻量级等多种加密方式。例如,车辆终端与道路交通基础设施通信时车辆终端使用V2I 安全通信;车辆终端与其他交通基础设施通信时车辆终端采用国密SSL 协议安全通信;车辆终端与其他交通基础设施内部应用均采用密码应用中间件实现安全通信与身份验证;管理平台内部采用安全网关进行通信。
1.2 车联网控制平面
车联网控制平面是整个车联网模型的控制中心,在模型初始策略以及系统管理员的干预下依靠用户平面的各种数据对用户进行访问控制,并将控制平面的策略下放给数据平面执行。此外,控制平面还为用户提供加密通信所需的密钥、临时凭证、临时端口等参数,具有安全参数基础设施的属性。为了解决以上功能实现中存在的道路交通海量终端异构的问题,平面在典型道路交通系统架构上采用“云-管-边-端”分级分域的安全防护体系框架,框架基于国产商用密码等多种密码技术搭建,例如IBC 标识密码、数字证书服务技术和对称密钥分散技术等,提供贯穿“云-管-边-端”四个层面的道路交通系统安全服务。框架如图4所示
。
图4 “云-管-边-端”身份认证服务体系框架图
端提供授权服务。信任评估引擎根据用户平面中的用户信任值等因素,结合设备、应用等因素,针对用户的每次请求,动态产生评估结果,为策略授权引擎提供评判依据。信任评估引擎在控制平面维护用户集、角集两个集合,两个集合之间存在映射关系,引擎将为每个用户分配一个角。用户集中包含访问用户属性、信任值、访问终端类型等因素,信任评估引擎根据用户集以及访问过程中的端口、协议、传输路径等信息进行实时分析,最终为访问用户动态分配角。
策略授权引擎设在“管-边”层面上,实现对访问授权请求的动态授权分析,将分析结果上传至用户层面告知用户,并将分析结果下放至数据层面的策略执行引擎执行。策略授权引擎在控制平面维护角集、权限集两个集合,两个集合之间存在映射关系,每个角都具有一个或多个权限子集所包含的权限。
1.2.2 “云-管-边-端”安全参数基础设施
模型在端侧采用标识密码体系或对称密钥分散体系提供高性能、轻量级的安全接入认证服务,在“云-管-边”侧采用数字证书体系,便于管理和兼容已有的基础设施。
数据平面通过密码基础设备为模型提供加密功能,包括密码管理与服务平台,提供所有的密码服务,包括密码服务以及密钥服务等,具体如密钥生成、数据加密运算、数据解密运算、签名运算、验签运算等。
1.3 车联网数据平面
车联网数据平面执行上层控制平面的指令,在控制平面通过访问用户的请求后,数据平面接收访问用户的流量。策略执行引擎作为数据平面的中枢接收策略授权引擎的指令并指挥网关等网络设备落实对用户流量的授权。数据平面由网络软件、设备组成,负责对数据资源进行处理,其中安全网关南向对接车联网终端及设备,北向对接接入的业务应用系统,提供中间通道功能,控制零信任车联网模型的流量交互。
为了解决道路交通中海量异构终端资源数据不同步的问题,模型采用分级分域的资源数据同步协议。道路交通系统跨地域、跨层级数据同步协议结构示意图如图5所示,A节点为上级服务系统,A1、A2、A3为下级管理服务系统,B 为同层次不同系统节点,B1、B2同理。域内的节点可以直接连接,若信息跨域则必须通过中心节点。
数据同步协议遵守“逐层向上、按需转发”的要求。资源数据在代理转发时会以产生道路交通数据的节点为起点,根据当前系统级联关系向上传递数据至上级节点系统直至根节点,之后根节点向下级节点以及不同层次节点系统同步,则会根据本节点系统配置的向上数据同步层级参数,逐级向上进行数据同步
。
图5 分级分域数据同步结构示意图
2 模型分析
本文中的车联网模型结合了零信任思想,与传统的访问控制模型相比,对网络威胁的抵抗能力有所提高。与基于角的车联网访问控制模型[8-9]相比,使用零信任架构的访问控制模型为用户动态分配角,实现了细粒度的动态授权。与基于属性的访问控制[10-11]相比,本模型解决了实体属性难以设置的问题,将属性与角相结合,避免了复杂的策略配置。与基于任务和工作流的访问控制模型[12]相比,本模型有着近似细粒度的表现,并通过动态评估访问主体的方式加强了对访问主体的控制力度。此外,针对目前道路交通系统海量异构终端的问题,本模型相较于传统车联网采用了分级分域的思想,实现了扁平化、网格化的管理,有效地实现了大规模异构设备的安全管理以及不同设备之间信息的互联互通。
3 结语
本文提出了一种零信任架构的海量异构终端的车联网安全模型,基于零信任架构下的用户平面、控制平面、数据平面构建了数字身份管理模型、“云-管-边-端”访问控制服务体系和安全参数基础设施、分级分域数据同步模型,解决了传统车联网中存在的安全问题,以及大规模车联网中终端海量化、异构化所导致的终端难以互联互通的问题。
注:本文通讯作者为田宇。
参考文献
[1]李兴华,钟成,陈颖,等.车联网安全综述[J].信息安全学报,
2019,4(3):17-33.
[2]《中国公路学报》编辑部.中国汽车工程学术研究综述·2017 [J].
中国公路学报,2017,30(6):1-197.
[3]王建强,吴辰文,李晓军.车联网架构与关键技术研究[J].微计
算机信息,2011,27(4):156-158.
[4]张泽洲,王鹏.零信任安全架构研究综述[J].保密科学技术,
2021,12(8):8-16.
(下转第86页)
汽车资源网
一系列解决方案,并优化了开锁的便捷性,但对于开锁的绝对安全性没有较好的解决方式,如人脸识别开锁存在盗用人脸信息的隐患,并且由于开锁模式的多元化,模块的体积也相应增长。进一步优化开锁安全性、缩小智能锁体积,将是下一步研究的重点。
图5 部分软件展示图
学(中国科学院国家授时中心),2023.
[3]刘伟业,鲁慧民,李玉鹏,等.指静脉识别技术研究综述[J].计算机科学,2022,49(S1):1-11.
[4]刘超,王容川,许晓伟,等.基于改进LBP 的手指静脉识别算法[J].计算机仿真,2019,36(1):381-386.
[5]许晓萍.基于K210开发板的人脸识别考勤系统的设计与研究[J].信息与电脑(理论版),2022,34(12):158-161.
[6]吴必瑞,蒙永富,金志扬.基于K210型芯片的摄像头智能追踪稳定器[J].河南工程学院学报(自然科学版),2021,33(4):53-56.
[7]龙达鑫. 基于Java 的二维码批量生成与快速识别[J]. 信息技术与信息化,2021,46(10):156-158.
[8]陈思宇,刘彦,田富林.基于深度学习的批量二维码识别系统[J].信息技术与信息化,2021,46(1):232-235.
[9]陈进慧,申永,徐林,等.基于动态密码和双向认证的安全光控门锁设计[J].广东通信技术,2021,41(12):72-76.
[10]魏明然,李红伟,冯长卿,等.智能门锁功能安全测试方法研
究与验证[J].家电科技,2021,41(S1):151-154.
作者简介: 樊 (2001—),女,就读于北京信息科技大学信息与通信工程学院通信2001班。
张 越(2002—),女,就读于北京信息科技大学信息与通信工程学院通信2001班。 吴韶波(1970—),女,硕士研究生,副教授,研究方向为智慧感知与信息处理。 赵卓凡(2002—),女,就读于北京信息科技大学信息与通信工程学院通信2001班。 于竞妍(2002—),女,就读于北京信息科技大学信息与通信工程学院通信2001班。 吴辉祥(2002—),男,就读于北京信息科技大学信息与通信工程学院通信2001班。
[5]张宇,张妍.零信任研究综述[J].信息安全研究,2020,6(7):
608-614.
[6]王,袁泉,李馥娟,等.零信任网络及其关键技术综述[J].计算机应用,2023,43(4):1142-1150.
[7]赵宇亮,胡威,张冰,等. 国家商用密码算法综述[C]//2016电力行业信息化年会论文集.北京:中国工信出版集团,2016.
[8]黄兰英,熊曾刚,叶从欢.一种面向云计算的信任-角访问控制模型[J].湖北工程学院学报,2016,36(6):57-61.
[9]熊厚仁,陈性元,杜学绘,等.基于角的访问控制模型安
全性分析研究综述[J].计算机应用研究,2015,32(11): 3201-3208.
[10]余波,台宪青,马治杰.云计算环境下基于属性和信任的RBAC
模型研究[J].计算机工程与应用,2020,56(9):84-92.
[11]房梁,殷丽华,郭云川,等.基于属性的访问控制关键技术研究
综述[J].计算机学报,2017,40(7):1680-1698.
[12]李阳,刘更,王海伟,等.面向产品研发工作流的基于属性和
任务访问控制模型[J].计算机集成制造系统,2015,21(12):3127-3134.
作者简介: 许盛伟(1976—),男,博士,研究方向为大数据安全、密码应用。
田 宇(1998—),男,硕士在读,研究方向为网络安全。 邓 烨(1999—),男,硕士在读,研究方向为密码应用。 刘昌赫(1999—),男,硕士在读,研究方向为网络安全。
(上接第82页)
发布评论