CN111212069B - 一种5g功能开放设备接口的脆弱性评估方法 - Google Patents

Abstract

本发明涉及一种5G功能开放设备接口的脆弱性评估方法，属于5G网络安全技术领域，包括：计算漏洞对5G网络功能模块接口的损害度，计算各个网络功能模块接口的可利用性，得到接口连接5G网络功能模块的脆弱性风险值，计算连接到的5G网络功能模块接口的权重，计算连接到APIinvoker的接口整体脆弱性风险值，定义漏洞得分区间，判断脆弱性严重等级，进而确定报警顺序。本发明能够合理地将定性与定量的决策结合起来。通过判断连接到APIinvoker的接口脆弱性风险值R，判断脆弱性严重程度，是一种有效的评估方法。

Description

一种5G功能开放设备接口的脆弱性评估方法

技术领域

本发明属于5G网络安全技术领域，涉及一种5G功能开放设备接口的脆弱性评估方法。

背景技术

5G不仅满足了人们超高流量密度、超高连接数密度和超高移动性需求，还将渗透到物联网领域，与工业设施、交通物流等深度结合，全面实现“万物互联”。4G阶段语音、流量加速等已成为特色业务，能力逐步开放，5G阶段是网络使能到业务使能(全接入使能中心、全业务使能中心)的转变，调用程度更广更深，能力开放的种类和范围更多。随之而来也带来了许多安全漏洞问题，网络安全问题层出不穷。

发明内容

有鉴于此，本发明的目的在于提供一种5G功能开放设备接口的脆弱性评估方法，有效的监测各5G功能开放模块接口的脆弱性严重程度，并及时触发报警。

为达到上述目的，本发明提供如下技术方案：

一种5G功能开放设备接口的脆弱性评估方法，包括以下步骤：

S1：网络N内设有多个接口，分别连接APIinvoker(API调用者)、NEF-GW(NEF网关)、5G网络功能模块；每个接口作为一个参考点point，网络中接口集合为IN，网络中每个设备对应一个接口，point_i为第i个接口，总接口数为n；r_i为第i个接口对应的脆弱性风险值，风险值集合为Risk＝{r₁，r₂…，r_n}；w_i为每个接口的业务权重，总的接口IN的权重集合为W＝{w₁，w₂…，w_n}；

S2：计算漏洞对5G网络功能模块接口的损害度D；

S3：计算各个网络功能模块接口的可利用性E；

S4：由损害度D、可利用性E得到第i个接口point_i连接的5G网络功能模块的脆弱性风险值：

r_i＝D×E

S5：采用层次分析法AHP计算出连接到的5G网络功能模块接口的权重w_i；

S6：计算连接到APIinvoker的接口整体脆弱性风险值R：

S7：根据CVSS漏洞评分系统，定义漏洞得分区间，将脆弱性风险值R与CVSS评估分数相比较，判断脆弱性严重等级，进而确定报警顺序。

进一步，步骤S2中所述损害度D计算公式如下：

D＝10.41×(1-(1-C)×(1-I)×(1-A))

其中，根据CVSS漏洞评分系统，C代表机密性、I代表完整性、A代表可用性，划分为高、低、无影响三个等级。

进一步，步骤S2中，所述三个等级对应的分值分别为高：0.56；低：0.22；无影响：0。

进一步，步骤S3中所述各个网络功能模块接口的可利用性E计算公式如下：

E＝2M_AC×M_PR×M_AV

其中，根据CVSS漏洞评分系统，M_AC为攻击复杂度量化值；M_PR为访问权限要求量化值；M_AV为攻击向量量化值；

进一步，步骤S3中，攻击复杂度分为高、低两种，对应的攻击复杂度量化值M_AC分别为0.44，0.77；访问权限要求分为高、低、无，对应的访问权限要求量化值M_PR分别为0.27，0.62和0.85；攻击途径有远程网络、局域网、本地三种可能情况，对应的攻击向量量化值M_AV分别为0.85，0.62和0.55。

进一步，步骤S5中，AHP方法将定性与定量的分析相结合，将决策的目标、考虑的因素(决策准则)和决策对象按它们之间的相互关系分为三个层次，分别为应用层、开放层和能力层；

设能力层有n'个脆弱点，构造各脆弱点的判断矩阵可表示为

其中k_i’j’(i',j'＝1，…，n')表示第i'个脆弱点相对于第j'个脆弱点的重要程度，分值由r_i＝D×E计算出值，设第i个接口脆弱性风险值r_i的值为x，第j个接口脆弱性风险值r_j的值为y，则有

求出判断矩阵K的特征向量W＝{w₁，w₂…，w_n}，其中w_i为连接第i个5G网络功能模块接口的权重值。

进一步，步骤S7中，所述漏洞得分区间取值范围为0～10，其中，0为无漏洞，0.1_～3.9为低级漏洞，4.0_～6.9为中级漏洞，7.0_～8.9为高级漏洞，9.0_～10为严重漏洞。

进一步，步骤S7中，通过颜色预警表示报警顺序，由低到高分别为绿色、蓝色、黄色、橙色、红色。

本发明的有益效果在于：目前没有专门针对5G功能开放设备接口的脆弱性评估方法，而5G网络支持多样化的接入，也较容易被黑客入侵。采用AHP方法计算每个5G网络功能模块的权重值，该方法能够合理地将定性与定量的决策结合起来。通过判断连接到APIinvoker的接口脆弱性风险值R，判断脆弱性严重程度，是一种有效的评估方法。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为本发明实施例所述的5G功能开放设备接口的脆弱性评估方法流程图；

图2为本发明实施例所述的5G功能开放设备接口的三层架构示意图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

5G网络能力开放是通过服务化的架构，直接或者通过能力开放平台向外部应用提供网络服务，包括及时准确的用户状态信息、定制化的网络功能参数和个性化切片和流量路径管理等，从而更加精细化和智能化的满足外部对网络服务的要求。

APIinvoker向NEF-GW发出请求，通过不同的接口调用不同的5G网络功能模块，容易被黑客攻击，本发明提出的5G功能开放设备接口的脆弱性评估方法，有效的监测5G网络中的脆弱点，及时发出颜色报警。

本发明提供的5G功能开放设备接口的脆弱性评估方法包括下列步骤：

步骤1：参见图1，网络N内设有多个接口，分别连接APIinvoker(API调用者)、NEF-GW(NEF网关)、5G网络功能模块；每个接口作为一个参考点point，网络中接口集合为IN，网络中每个设备对应一个接口，point_i为第i个接口，总接口数为n；r_i为第i个接口对应的脆弱性风险值，风险值集合为Risk＝{r₁，r₂…，r_n}；w_i为每个接口的业务权重，总的接口IN的权重集合为W＝{w₁，w₂…，w_n}；

步骤2：漏洞对5G网络功能模块接口的损害度

D＝10.41×(1-(1-C)×(1-I)×(1-A))

如表1所示，根据CVSS漏洞评分系统，C代表机密性、I代表完整性、A代表可用性，划分为高、低、无影响三个等级，各等级对应的分值分别为0.56、0.22和0。

表1 CVSS度量值

步骤3：各个网络功能模块接口的可利用性

E＝2M_AC×M_PR×M_AV

根据CVSS漏洞评分系统，M_AC为攻击复杂度量化值；M_PR为访问权限要求量化值；M_AV为攻击向量量化值。攻击复杂度分为高、低两种，量化值分别为0.44，0.77；访问权限要求分为高、低、无，对应的量化值分别为0.27，0.62和0.85；攻击途径有远程网络、局域网、本地3种可能情况，对应的量化值分别为0.85，0.62和0.55。

步骤4：损害度D、可利用性E得到第i个接口point_i连接的5G网络功能模块的脆弱性风险值：

r_i＝D×E

步骤5：采用AHP(层次分析法)方法计算出连接到的5G网络功能模块接口的权重w_i，AHP方法将定性与定量的分析相结合，将决策的目标、考虑的因素(决策准则)和决策对象按它们之间的相互关系分为3个层次，分别为应用层、开放层和能力层，绘出层次结构图如图2。

设能力层有n个脆弱点，构造各脆弱点的判断矩阵可表示为

其中k_i’j’(i',j'＝1，…，n')表示第i'个脆弱点相对于第j'个脆弱点的重要程度，分值由r_i＝D×E计算出值，设第i个接口脆弱性风险值r_i的值为x，第j个接口脆弱性风险值r_j的值为y，则有

求出判断矩阵K的特征向量W＝{w₁，w₂…，w_n}，其中w_i为连接第i个5G网络功能模块接口的权重值。

步骤6：连接到APIinvoker的接口整体脆弱性风险值R可由下式求出：

步骤7：根据CVSS漏洞评分系统，取值范围为0～10，定义得分区间0为无漏洞，0.1_～3.9为低级漏洞，4.0_～6.9为中级漏洞，7.0_～8.9为高级漏洞，9.0_～10为严重漏洞。脆弱性风险值R与CVSS评估分数相比较，判断脆弱性严重等级，进而确定报警顺序，按照颜色预警由低到高，分为绿色、蓝色、黄色、橙色、红色。

表2脆弱性严重等级评定表

等级	CVSS分数	报警颜色
			无	0	绿色
低	0.1～3.9	蓝色
			中	4.0～6.9	黄色
高	7.0～8.9	橙色
			严重	9.0～10	红色

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.一种5G功能开放设备接口的脆弱性评估方法，其特征在于：包括以下步骤：

S1：网络N内设有多个接口，分别连接API invoker、NEF-GW、5G网络功能模块；每个接口作为一个参考点point，网络中接口集合为IN，网络中每个设备对应一个接口，point_i为第i个接口，总接口数为n；r_i为第i个接口对应的脆弱性风险值，风险值集合为Risk＝{r₁，r₂…，r_n}；w_i为每个接口的业务权重，总的接口IN的权重集合为W＝{w₁，w₂…，w_n}；

S2：计算漏洞对5G网络功能模块接口的损害度D，计算公式如下：

D＝10.41×(1-(1-C)×(1-I)×(1-A))

其中，根据CVSS漏洞评分系统，C代表机密性、I代表完整性、A代表可用性，划分为高、低、无影响三个等级；

S3：计算各个网络功能模块接口的可利用性E，计算公式如下：

E＝2M_AC×M_PR×M_AV

其中，根据CVSS漏洞评分系统，M_AC为攻击复杂度量化值；M_PR为访问权限要求量化值；M_AV为攻击向量量化值；

S4：由损害度D、可利用性E得到第i个接口point_i连接的5G网络功能模块的脆弱性风险值：

r_i＝D×E

S5：采用层次分析法AHP计算出连接到的5G网络功能模块接口的权重w_i；

S6：计算连接到API invoker的接口整体脆弱性风险值R：

S7：根据CVSS漏洞评分系统，定义漏洞得分区间，将脆弱性风险值R与CVSS评估分数相比较，判断脆弱性严重等级，进而确定报警顺序。

2.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法，其特征在于：步骤S2中，所述三个等级对应的分值分别为高：0.56；低：0.22；无影响：0。

3.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法，其特征在于：步骤S3中，攻击复杂度分为高、低两种，对应的攻击复杂度量化值M_AC分别为0.44，0.77；访问权限要求分为高、低、无，对应的访问权限要求量化值M_PR分别为0.27，0.62和0.85；攻击途径有远程网络、局域网、本地三种可能情况，对应的攻击向量量化值M_AV分别为0.85，0.62和0.55。

4.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法，其特征在于：步骤S5中，AHP方法将定性与定量的分析相结合，将决策的目标、考虑的因素和决策对象按它们之间的相互关系分为三个层次，分别为应用层、开放层和能力层；

设能力层有n'个脆弱点，构造各脆弱点的判断矩阵表示为

其中k_i’j’(i',j'＝1，…，n')表示第i'个脆弱点相对于第j'个脆弱点的重要程度，分值由r_i＝D×E计算出值，设第i个接口脆弱性风险值r_i的值为x，第j个接口脆弱性风险值r_j的值为y，则有

求出判断矩阵K的特征向量W＝{w₁，w₂…，w_n}，其中w_i为连接第i个5G网络功能模块接口的权重值。

5.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法，其特征在于：步骤S7中，所述漏洞得分区间取值范围为0～10，其中，0为无漏洞，0.1_～3.9为低级漏洞，4.0_～6.9为中级漏洞，7.0～8.9为高级漏洞，9.0～10为严重漏洞。

6.根据权利要求1所述的5G功能开放设备接口的脆弱性评估方法，其特征在于：步骤S7中，通过颜色预警表示报警顺序，由低到高分别为绿色、蓝色、黄色、橙色、红色。

Images