CN114513786A - 基于零信任的5g馈线自动化访问控制方法、装置及介质 - Google Patents

基于零信任的5g馈线自动化访问控制方法、装置及介质 Download PDF

Info

Publication number
CN114513786A
CN114513786A CN202210407668.2A CN202210407668A CN114513786A CN 114513786 A CN114513786 A CN 114513786A CN 202210407668 A CN202210407668 A CN 202210407668A CN 114513786 A CN114513786 A CN 114513786A
Authority
CN
China
Prior art keywords
feeder
trust
access
line terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210407668.2A
Other languages
English (en)
Inventor
张磐
徐科
尚学军
吴彬
霍现旭
刘明祥
张腾飞
孙建东
蔡月明
周霞
邹花蕾
吴巨爱
李雪
范巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Tianjin Electric Power Co Ltd
Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
NARI Nanjing Control System Co Ltd
Original Assignee
State Grid Tianjin Electric Power Co Ltd
Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
NARI Nanjing Control System Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Tianjin Electric Power Co Ltd, Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd, NARI Nanjing Control System Co Ltd filed Critical State Grid Tianjin Electric Power Co Ltd
Priority to CN202210407668.2A priority Critical patent/CN114513786A/zh
Publication of CN114513786A publication Critical patent/CN114513786A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于零信任的5G馈线自动化访问控制方法、装置及介质,所述方法包括:获取5G馈线终端的设备信息以及访问行为信息;接收5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据网络鉴权向量对5G馈线终端进行请求认证,根据身份向量对5G馈线终端进行身份认证;根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。本发明通过对5G馈线终端进行二次认证,能够有效预防来自内外部的攻击行为,拒绝未授权的访问,提高配电网的安全性和可靠性。

Description

基于零信任的5G馈线自动化访问控制方法、装置及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于零信任的5G馈线自动化访问控制方法、装置及介质。
背景技术
随着5G通信和智能电网等技术的兴起,在能源物联网的大背景下,智能分布式馈线终端越来越多。由于智能分布式馈线终端所处的位置环境复杂、情况多变,使得网络安全边界越来越模糊,造成原来物理隔离的网络安全边界逐渐瓦解,内外部威胁愈演愈烈,攻击范围也已扩展到更广泛的领域。
馈线自动化是一种重要的配电网故障自愈控制技术,其功能是检测故障、隔离故障、最后再恢复供电。通信是实现馈线自动化的关键环节,目前智能分布式馈线终端在农村和城郊等不便铺设光纤的区域仍受到制约。而5G通信作为一种新兴通信技术,具有高可靠、低时延和覆盖广等特点,可以为馈线终端统提供超低时延的通信网络保证。但是,目前5G馈线终端身份认证手段单一且局限,存在非法终端接入电力内网的风险。一旦馈线自动化网络遭到来自内外部的恶意网络攻击,会造成整个配电网故障,进而影响人民正常生产生活、造成经济损失。
发明内容
本发明实施例所要解决的技术问题在于,提供一种基于零信任的5G馈线自动化访问控制方法、装置及介质,通过对5G馈线终端进行二次认证,能够有效预防来自内外部的攻击行为,拒绝未授权的访问,提高配电网的安全性和可靠性。
为了实现上述目的,本发明实施例提供了一种基于零信任的5G馈线自动化访问控制方法,包括:
获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
作为上述方案的改进,所述获取5G馈线终端的设备信息以及访问行为信息,具体为:
通过5G切片中的mMTC海量机器接入切片对所述5G馈线终端的所述设备信息以及所述访问行为信息进行自动化采集。
作为上述方案的改进,所述网络鉴权向量包括对第一随机数和服务器识别码进行加密后的第一密文以及第一消息验证码,其中,所述第一随机数由认证服务器生成;
所述身份向量包括对第二随机数和终端身份识别码进行加密后的第二密文以及第二消息验证码,其中,所述第二随机数由所述5G馈线终端生成。
作为上述方案的改进,所述第一消息验证码满足h 1=f 1kM 1RAND DN );
其中,h 1表示第一消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 1表示第一密文,M 1= E k RAND DN ||ID DN ),E k (X)为使用对称密钥k加密X得到的密文,RAND DN 表示第一随机数,ID DN 表示服务器识别码,ID DN =TS,TS表示时间戳;
所述第二消息验证码满足h 2 =f 1kM 2RAND UE );
其中,h 2 表示第二消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 2表示第二密文,M 2= E k RAND UE ||ID UE ),E k (X)为使用对称密钥k加密X得到的密文,RAND UE 表示第二随机数,ID UE 表示终端身份识别码,
Figure 448219DEST_PATH_IMAGE001
,TS表示时间戳,SN表示所述5G馈线终端的序列号。
作为上述方案的改进,所述接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证,具体包括:
接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量;
将所述网络鉴权向量发送给所述5G馈线终端,并对所述网络鉴权向量进行解密计算得到第一验证码;
将所述第一验证码与所述第一消息验证码进行比较,若二者相等,则完成对所述5G馈线终端的请求认证;若二者不等,则终止会话;
将所述身份向量发送给认证服务器,并对所述身份向量进行解密计算得到第二验证码;
将所述第二验证码与所述第二消息验证码进行比较,若二者相等,则所述5G馈线终端身份认证成功;若二者不等,则所述5G馈线终端身份认证失败。
作为上述方案的改进,所述根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度,具体包括:
根据所述设备信息中的所述IP地址、所述上行流量、所述下行流量以及公式TD eq =a 1 ST+a 2 DY,计算得到所述5G馈线终端的设备信任度;
其中,TD eq 表示设备信任度,ST表示设备静态参数,所述设备静态参数包括所述IP地址;DY表示设备动态参数,所述设备动态参数包括所述上行流量和所述下行流量;a 1 a 2 分别表示设备静态参数ST和设备动态参数DY所占的权重;
根据所述访问行为信息中的所述访问总次数、所述尝试越权访问的次数以及公式TD in =E X /N X ,计算得到所述5G馈线终端的访问信任度;
其中,TD in 表示访问信任度,N X 表示5G馈线终端X的访问总次数,E X 表示5G馈线终端X尝试越权访问的次数;
根据所述设备信任度以及所述访问信任度确定所述5G馈线终端的信任度。
作为上述方案的改进,所述方法还包括:
当所述5G馈线终端的设备信息或访问行为信息发生变化时,对所述信任度进行实时更新。
本发明实施例还提供了一种基于零信任的5G馈线自动化访问控制装置,包括:
获取模块,用于获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
认证模块,用于接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
信任度计算模块,用于根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
访问控制模块,用于将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
本发明实施例还提供了一种基于零信任的5G馈线自动化访问控制装置,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的基于零信任的5G馈线自动化访问控制方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一项所述的基于零信任的5G馈线自动化访问控制方法。
相对于现有技术,本发明实施例提供的一种基于零信任的5G馈线自动化访问控制方法、装置及介质的有益效果在于:通过获取5G馈线终端的设备信息以及访问行为信息;接收5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据网络鉴权向量对5G馈线终端进行请求认证,根据身份向量对5G馈线终端进行身份认证;认证成功后,根据设备信息和访问行为信息计算得到5G馈线终端的信任度;将该信任度与预设阈值进行比较,若信任度超过所述预设阈值,则授权5G馈线终端进行访问;若信任度不超过所述预设阈值,则拒绝5G馈线终端进行访问。本发明实施例通过对5G馈线终端进行二次认证,能够有效预防来自内外部的攻击行为,拒绝未授权的访问,提高配电网的安全性和可靠性。
附图说明
图1是本发明提供的一种基于零信任的5G馈线自动化访问控制方法的一个优选实施例的流程示意图;
图2是本发明提供的一种基于零信任的5G馈线自动化访问控制装置的一个优选实施例的结构示意图;
图3是本发明提供的一种基于零信任的5G馈线自动化访问控制装置的另一个优选实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1是本发明提供的一种基于零信任的5G馈线自动化访问控制方法的一个优选实施例的流程示意图。所述基于零信任的5G馈线自动化访问控制方法,包括:
S1,获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
S2,接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
S3,根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
S4,将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
具体的,本实施例首先获取5G馈线终端的设备信息以及访问行为信息。其中,设备信息包括5G馈线终端的序列号(Serial Number , SN)、IP地址、上行流量以及下行流量;访问行为信息包括5G馈线终端的访问总次数以及尝试越权访问的次数。然后,5G馈线终端向认证服务器发起身份认证请求,认证服务器接收5G馈线终端的身份认证请求,并生成网络鉴权向量,根据该网络鉴权向量对5G馈线终端先进行请求认证,完成对5G馈线终端网络合法身份的认证。之后,5G馈线终端生成身份向量,根据该身份向量对5G馈线终端再进行身份认证。在认证过程中,利用5G馈线终端和认证服务器共享的对称密钥,安全地将身份认证成功声明发送至5G馈线终端,以使5G馈线终端获得访问5G局域网的权限。认证成功后,对5G馈线终端的整个访问过程进行监控分析,根据5G馈线终端的设备信息和访问行为信息计算得到5G馈线终端的信任度,并持续更新其信任度。将该信任度作为授权策略判定的依据,实现对5G馈线终端的访问权限动态调整和访问身份认证的动态调整。动态访问控制平台会根据信任度评估结果,遵照动态授权最小化原则,设置访问控制策略:将该信任度与预设阈值进行比较,若信任度超过预设阈值,则授权5G馈线终端进行访问;若信任度不超过预设阈值,则拒绝5G馈线终端进行访问,并将判断结果推送到可信接入网关,实施访问控制。
需要说明的是,本实施例中的信任度评估遵循以下原则:
(1)不可信原则,5G馈线终端中所有通信行为均受到保护,所有访问权均需管控,所有数据和计算服务都被认为是资源.在允许访问之前,所有资源的认证和授权都是不可信的;
(2)最小化原则,通过控制平台获取用户信任度评估结果,遵照动态授权最小化原则,即零信任要求将用户的访问权限限制为完成特定任务所需的最低限度,设置访问控制策略,联动数据平面策略执行点执行访问控制.控制平面指网关设备中执行访问控制操作,数据平面指网络设备中执行网络连接和数据传输操作;
(3)动态评分原则,信任度评估会根据当前运行环境和安全威胁的变化动态调整,对汇集安全数据进行分析,在安全态势评估基础上进行信任度评估;这种模糊性的度量机制考虑了用户网络行为的变化,可以用于防御未知威胁。
本实施例对5G馈线终端先后进行请求认证和身份认证,通过二次认证能够有效预防来自内外部的攻击行为,拒绝未授权的访问,提高配电网的安全性和可靠性。
在另一个优选实施例中,所述S1,获取5G馈线终端的设备信息以及访问行为信息,具体为:
通过5G切片中的mMTC海量机器接入切片对所述5G馈线终端的所述设备信息以及所述访问行为信息进行自动化采集。
具体的,通过5G切片中的mMTC海量机器接入切片对5G馈线终端的设备信息以及访问行为信息进行自动化采集。信息的采集过程包括两部分:一个是5G馈线终端作为消息请求方进行消息订阅的过程,另一个是5G馈线终端作为消息发布方进行消息发布的过程。
消息订阅过程主要包括5G馈线终端和mMTC切片的交互,mMTC切片中消息解析、订阅处理和消息队列功能模块之间进行内部消息通信。
其中,消息订阅过程如下:
(1)5G馈线终端接入mMTC切片后申请信息订阅,向mMTC切片中的消息解析模块发送相应的消息请求;
(2)消息解析模块对消息请求进行解析,判断为订阅请求后向订阅处理模块发送topic请求;
(3)订阅处理模块利用订阅树对topic进行查找,如果无该主题则添加topic,并将当前用户挂载在该topic的订阅列表中;
(4)若用户同时请求该topic下的历史数据,则向消息队列中发送查询请求,然后消息队列模块查找到相应数据后向5G馈线终端返回该用户订阅的历史消息。
消息发布过程与消息订阅流程不同的地方在于消息发布过程中mMTC切片中消息解析、发布处理、订阅处理和消息队列功能模块间的通信,同时消息发布完成后发送到对应的消息订阅终端。
其中,消息发布过程如下:
(1)5G馈线终端接入mMTC切片后申请信息发布,向mMTC切片中的消息解析模块发送相应的消息请求;
(2)消息解析模块对消息请求进行解析,判断为消息发布请求后向订阅处理模块发送topic查询请求;
(3)订阅处理模块根据topic获得对应的订阅topic列表,订阅topic列表以树形结构存储,获得订阅topic列表后将订阅该topic的所有用户返回给发布处理模块;
(4)发布处理模块通过发送消息发布请求向消息队列中写入消息,将发布信息持久化;
(5)发布处理模块向查询到的所有订阅topic的5G馈线终端发送该topic发布的消息。
在又一个优选实施例中,所述网络鉴权向量包括对第一随机数和服务器识别码进行加密后的第一密文以及第一消息验证码,其中,所述第一随机数由认证服务器生成;
所述身份向量包括对第二随机数和终端身份识别码进行加密后的第二密文以及第二消息验证码,其中,所述第二随机数由所述5G馈线终端生成。
具体的,认证服务器生成第一随机数RAND DN ,将时间戳(Time Stamp , TS)封装生成服务器识别码ID DN ,对第一随机数RAND DN 和服务器识别码ID DN 进行加密后生成第一密文M 1。网络鉴权向量AV包括第一密文M 1 以及第一消息验证码h 1 ,即AV=(M 1 , h 1
其中,M 1= E k RAND DN ||ID DN ),E k (X)为使用对称密钥k加密X得到的密文。
5G馈线终端生成第二随机数RAND UE ,将时间戳TS和5G馈线终端序列号(SerialNumber , SN)作为输入参数,封装生成终端身份识别码ID UE ,对第二随机数RAND UE 和终端身份识别码ID UE 进行加密后生成第二密文M 2。身份向量IV包括第二密文M 2以及第二消息验证码h 2 ,即IV=(M 2 , h 2
其中,M 2 = E k RAND UE ||ID UE ),E k (X)为使用对称密钥k加密X得到的密文。
作为优选方案,所述第一消息验证码满足h 1=f 1kM 1RAND DN ),
其中,h 1表示第一消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 1表示第一密文,M 1= E k RAND DN ||ID DN ),E k (X)为使用对称密钥k加密X得到的密文,RAND DN 表示第一随机数,ID DN 表示服务器识别码,ID DN =TS,TS表示时间戳;
所述第二消息验证码满足h 2 =f 1kM 2RAND UE ),
其中,h 2 表示第二消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 2表示第二密文,M 2 = E k RAND UE ||ID UE ),E k (X)为使用对称密钥k加密X得到的密文,RAND UE 表示第二随机数,ID UE 表示终端身份识别码,
Figure 67419DEST_PATH_IMAGE001
,TS表示时间戳,SN表示所述5G馈线终端的序列号。
在又一个优选实施例中,所述S2,接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证,具体包括:
S201,接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量;
S202,将所述网络鉴权向量发送给所述5G馈线终端,并对所述网络鉴权向量进行解密计算得到第一验证码;
S203,将所述第一验证码与所述第一消息验证码进行比较,若二者相等,则完成对所述5G馈线终端的请求认证;若二者不等,则终止会话;
S204,将所述身份向量发送给认证服务器,并对所述身份向量进行解密计算得到第二验证码;
S205,将所述第二验证码与所述第二消息验证码进行比较,若二者相等,则所述5G馈线终端身份认证成功;若二者不等,则所述5G馈线终端身份认证失败。
具体的,本实施例使用一种基于可扩展的身份认证协议(ExtensibleAuthentication Protocol,EAP)的二次身份认证方案完成对5G馈线终端的身份认证,认证流程如下:
5G馈线终端向认证服务器发起身份认证请求,认证服务器接收5G馈线终端的身份认证请求,并生成网络鉴权向量AV,5G馈线终端生成身份向量IV
认证服务器将网络鉴权向量AV发送给5G馈线终端,5G馈线终端对接收到的网络鉴权向量AV进行解密得到RAND DN ID DN ,再由RAND DN ID DN 计算得到第一验证码h 10
将计算得到的第一验证码h 10与接收到的网络鉴权向量AV中的第一消息验证码h 1进行比较,若二者相等,则完成对5G馈线终端的请求认证,实现对5G馈线终端网络合法身份的认证;若二者不等,则终止会话;
将5G馈线终端生成的身份向量IV发送给认证服务器,认证服务器对接收到的身份向量IV进行解密得到RAND UE ID UE ,再由RAND UE ID UE 计算得到第二验证码h 20
将计算得到的第二验证码h 20与接收到的身份向量IV中的第二消息验证码h 2 进行比较,若二者相等,则5G馈线终端身份认证成功;若二者不等,则5G馈线终端身份认证失败。
在又一个优选实施例中,所述S3,根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度,具体包括:
S301,根据所述设备信息中的所述IP地址、所述上行流量、所述下行流量以及公式TD eq =a 1 ST+a 2 DY,计算得到所述5G馈线终端的设备信任度;
其中,TD eq 表示设备信任度,ST表示设备静态参数,所述设备静态参数包括所述IP地址;DY表示设备动态参数,所述设备动态参数包括所述上行流量和所述下行流量;a 1 a 2 分别表示设备静态参数ST和设备动态参数DY所占的权重;
S302,根据所述访问行为信息中的所述访问总次数、所述尝试越权访问的次数以及公式TD in = E X /N X ,计算得到所述5G馈线终端的访问信任度;
其中,TD in 表示访问信任度,N X 表示5G馈线终端X的访问总次数,E X 表示5G馈线终端X尝试越权访问的次数;
S303,根据所述设备信任度以及所述访问信任度确定所述5G馈线终端的信任度。
具体的,5G馈线终端的信任度TD包括设备信任度TD eq 和访问信任度TD in
设备信任度TD eq 由设备静态参数ST和设备动态参数DY综合衡量。设备静态参数ST由5G馈线终端的IP地址决定,设备动态参数DY由5G馈线终端的上行流量和下行流量决定,则设备信任度TD eq 的计算公式为:
TD eq =a 1 ST+a 2 DY
其中,a 1 a 2 分别表示设备静态参数ST和设备动态参数DY所占的权重,
Figure 665278DEST_PATH_IMAGE002
,且a 1 + a 2 = 1。
访问信任度TD in 由5G馈线终端尝试越权访问的频率f 衡量,用N X 表示5G馈线终端X的访问总次数,E X 表示5G馈线终端X尝试越权访问的次数,则访问信任度TD in 的计算公式为:
TD in =f X = E X /N X
根据计算得到的设备信任度TD eq 以及访问信任度TD in 确定5G馈线终端的信任度TDTD=(TD in TD eq )。
作为优选方案,所述方法还包括:
当所述5G馈线终端的设备信息或访问行为信息发生变化时,对所述信任度进行实时更新。
具体的,在5G馈线终端认证成功后,对5G馈线终端的整个访问过程进行监控分析,当5G馈线终端的设备信息或访问行为信息发生变化时,对信任度进行实时更新,以实现对5G馈线终端的访问权限动态调整和访问身份认证的动态调整。
相应地,本发明还提供一种基于零信任的5G馈线自动化访问控制装置,能够实现上述实施例中的基于零信任的5G馈线自动化访问控制方法的所有流程。
请参阅图2,图2是本发明提供的一种基于零信任的5G馈线自动化访问控制装置的一个优选实施例的结构示意图。所述基于零信任的5G馈线自动化访问控制装置,包括:
获取模块201,用于获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
认证模块202,用于接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
信任度计算模块203,用于根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
访问控制模块204,用于将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
优选地,所述获取模块201,具体用于:
通过5G切片中的mMTC海量机器接入切片对所述5G馈线终端的所述设备信息以及所述访问行为信息进行自动化采集。
优选地,所述网络鉴权向量包括对第一随机数和服务器识别码进行加密后的第一密文以及第一消息验证码,其中,所述第一随机数由认证服务器生成;
所述身份向量包括对第二随机数和终端身份识别码进行加密后的第二密文以及第二消息验证码,其中,所述第二随机数由所述5G馈线终端生成。
优选地,所述第一消息验证码满足h 1=f 1kM 1RAND DN );
其中,h 1表示第一消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 1表示第一密文,M 1= E k RAND DN ||ID DN ),E k (X)为使用对称密钥k加密X得到的密文,RAND DN 表示第一随机数,ID DN 表示服务器识别码,ID DN =TS,TS表示时间戳;
所述第二消息验证码满足h 2 =f 1kM 2RAND UE );
其中,h 2 表示第二消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 2表示第二密文,M 2 = E k RAND UE ||ID UE ),E k (X)为使用对称密钥k加密X得到的密文,RAND UE 表示第二随机数,ID UE 表示终端身份识别码,
Figure 864178DEST_PATH_IMAGE001
,TS表示时间戳,SN表示所述5G馈线终端的序列号。
优选地,所述认证模块202,具体包括:
接收单元212,用于接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量;
第一解密单元222,用于将所述网络鉴权向量发送给所述5G馈线终端,并对所述网络鉴权向量进行解密计算得到第一验证码;
请求认证单元232,用于将所述第一验证码与所述第一消息验证码进行比较,若二者相等,则完成对所述5G馈线终端的请求认证;若二者不等,则终止会话;
第二解密单元242,用于将所述身份向量发送给认证服务器,并对所述身份向量进行解密计算得到第二验证码;
身份认证单元252,用于将所述第二验证码与所述第二消息验证码进行比较,若二者相等,则所述5G馈线终端身份认证成功;若二者不等,则所述5G馈线终端身份认证失败。
优选地,所述信任度计算模块203,具体包括:
设备信任度计算单元213,用于根据所述设备信息中的所述IP地址、所述上行流量、所述下行流量以及公式TD eq =a 1 ST+a 2 DY,计算得到所述5G馈线终端的设备信任度;
其中,TD eq 表示设备信任度,ST表示设备静态参数,所述设备静态参数包括所述IP地址;DY表示设备动态参数,所述设备动态参数包括所述上行流量和所述下行流量;a 1 a 2 分别表示设备静态参数ST和设备动态参数DY所占的权重;
访问信任度计算单元223,用于根据所述访问行为信息中的所述访问总次数、所述尝试越权访问的次数以及公式TD in = E X /N X ,计算得到所述5G馈线终端的访问信任度;
其中,TD in 表示访问信任度,N X 表示5G馈线终端X的访问总次数,E X 表示5G馈线终端X尝试越权访问的次数;
信任度计算单元233,用于根据所述设备信任度以及所述访问信任度确定所述5G馈线终端的信任度。
优选地,所述装置还用于:
当所述5G馈线终端的设备信息或访问行为信息发生变化时,对所述信任度进行实时更新。
在具体实施当中,本发明实施例提供的基于零信任的5G馈线自动化访问控制装置的工作原理、控制流程及实现的技术效果,与上述实施例中的基于零信任的5G馈线自动化访问控制方法对应相同,在此不再赘述。
请参阅图3,图3是本发明提供的一种基于零信任的5G馈线自动化访问控制装置的另一个优选实施例的结构示意图。所述基于零信任的5G馈线自动化访问控制装置包括处理器301、存储器302以及存储在所述存储器302中且被配置为由所述处理器301执行的计算机程序,所述处理器301执行所述计算机程序时实现上述任一实施例所述的基于零信任的5G馈线自动化访问控制方法。
优选地,所述计算机程序可以被分割成一个或多个模块/单元(如计算机程序1、计算机程序2、……),所述一个或者多个模块/单元被存储在所述存储器302中,并由所述处理器301执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述基于零信任的5G馈线自动化访问控制装置中的执行过程。
所述处理器301可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,通用处理器可以是微处理器,或者所述处理器301也可以是任何常规的处理器,所述处理器301是所述基于零信任的5G馈线自动化访问控制装置的控制中心,利用各种接口和线路连接所述基于零信任的5G馈线自动化访问控制装置的各个部分。
所述存储器302主要包括程序存储区和数据存储区,其中,程序存储区可存储操作系统、至少一个功能所需的应用程序等,数据存储区可存储相关数据等。此外,所述存储器302可以是高速随机存取存储器,还可以是非易失性存储器,例如插接式硬盘,智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡和闪存卡(Flash Card)等,或所述存储器302也可以是其他易失性固态存储器件。
需要说明的是,上述基于零信任的5G馈线自动化访问控制装置可包括,但不仅限于,处理器、存储器,本领域技术人员可以理解,图3的结构示意图仅仅是上述基于零信任的5G馈线自动化访问控制装置的示例,并不构成对上述基于零信任的5G馈线自动化访问控制装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一实施例所述的基于零信任的5G馈线自动化访问控制方法。
本发明实施例提供了一种基于零信任的5G馈线自动化访问控制方法、装置及介质,通过获取5G馈线终端的设备信息以及访问行为信息;接收5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据网络鉴权向量对5G馈线终端进行请求认证,根据身份向量对5G馈线终端进行身份认证;认证成功后,根据设备信息和访问行为信息计算得到5G馈线终端的信任度;将该信任度与预设阈值进行比较,若信任度超过所述预设阈值,则授权5G馈线终端进行访问;若信任度不超过所述预设阈值,则拒绝5G馈线终端进行访问。本发明实施例通过对5G馈线终端进行二次认证,能够有效预防来自内外部的攻击行为,拒绝未授权的访问,提高配电网的安全性和可靠性。
需说明的是,以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的系统实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种基于零信任的5G馈线自动化访问控制方法,其特征在于,包括:
获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
2.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述获取5G馈线终端的设备信息以及访问行为信息,具体为:
通过5G切片中的mMTC海量机器接入切片对所述5G馈线终端的所述设备信息以及所述访问行为信息进行自动化采集。
3.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述网络鉴权向量包括对第一随机数和服务器识别码进行加密后的第一密文以及第一消息验证码,其中,所述第一随机数由认证服务器生成;
所述身份向量包括对第二随机数和终端身份识别码进行加密后的第二密文以及第二消息验证码,其中,所述第二随机数由所述5G馈线终端生成。
4.如权利要求3所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述第一消息验证码满足h 1=f 1kM 1RAND DN );
其中,h 1表示第一消息验证码;f 1k为5G安全结构中定义的算法,用于产生消息验证码;M 1表示第一密文,M 1= E k RAND DN ||ID DN ),E k (X)为使用对称密钥k加密X得到的密文,RAND DN 表示第一随机数,ID DN 表示服务器识别码,ID DN =TS,TS表示时间戳;
所述第二消息验证码满足h 2 =f 1kM 2RAND UE );
其中,h 2 表示第二消息验证码;M 2表示第二密文,M 2= E k RAND UE ||ID UE ),RAND UE 表示第二随机数,ID UE 表示终端身份识别码,
Figure 647656DEST_PATH_IMAGE001
,TS表示时间戳,SN表示所述5G馈线终端的序列号。
5.如权利要求3所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证,具体包括:
接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量;
将所述网络鉴权向量发送给所述5G馈线终端,并对所述网络鉴权向量进行解密计算得到第一验证码;
将所述第一验证码与所述第一消息验证码进行比较,若二者相等,则完成对所述5G馈线终端的请求认证;若二者不等,则终止会话;
将所述身份向量发送给认证服务器,并对所述身份向量进行解密计算得到第二验证码;
将所述第二验证码与所述第二消息验证码进行比较,若二者相等,则所述5G馈线终端身份认证成功;若二者不等,则所述5G馈线终端身份认证失败。
6.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度,具体包括:
根据所述设备信息中的所述IP地址、所述上行流量、所述下行流量以及公式TD eq =a 1 ST+a 2 DY,计算得到所述5G馈线终端的设备信任度;
其中,TD eq 表示设备信任度,ST表示设备静态参数,所述设备静态参数包括所述IP地址;DY表示设备动态参数,所述设备动态参数包括所述上行流量和所述下行流量;a 1 a 2 分别表示设备静态参数ST和设备动态参数DY所占的权重;
根据所述访问行为信息中的所述访问总次数、所述尝试越权访问的次数以及公式TD in = E X /N X ,计算得到所述5G馈线终端的访问信任度;
其中,TD in 表示访问信任度,N X 表示5G馈线终端X的访问总次数,E X 表示5G馈线终端X尝试越权访问的次数;
根据所述设备信任度以及所述访问信任度确定所述5G馈线终端的信任度。
7.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法,其特征在于,所述方法还包括:
当所述5G馈线终端的设备信息或访问行为信息发生变化时,对所述信任度进行实时更新。
8.一种基于零信任的5G馈线自动化访问控制装置,其特征在于,包括:
获取模块,用于获取5G馈线终端的设备信息以及访问行为信息;其中,所述设备信息包括所述5G馈线终端的序列号、IP地址、上行流量以及下行流量;所述访问行为信息包括所述5G馈线终端的访问总次数以及尝试越权访问的次数;
认证模块,用于接收所述5G馈线终端的身份认证请求,并生成网络鉴权向量和身份向量,根据所述网络鉴权向量对所述5G馈线终端进行请求认证,根据所述身份向量对所述5G馈线终端进行身份认证;
信任度计算模块,用于根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度;
访问控制模块,用于将所述信任度与预设阈值进行比较,若所述信任度超过所述预设阈值,则授权所述5G馈线终端进行访问;若所述信任度不超过所述预设阈值,则拒绝所述5G馈线终端进行访问。
9.一种基于零信任的5G馈线自动化访问控制装置,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的基于零信任的5G馈线自动化访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至7中任意一项所述的基于零信任的5G馈线自动化访问控制方法。
CN202210407668.2A 2022-04-19 2022-04-19 基于零信任的5g馈线自动化访问控制方法、装置及介质 Pending CN114513786A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210407668.2A CN114513786A (zh) 2022-04-19 2022-04-19 基于零信任的5g馈线自动化访问控制方法、装置及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210407668.2A CN114513786A (zh) 2022-04-19 2022-04-19 基于零信任的5g馈线自动化访问控制方法、装置及介质

Publications (1)

Publication Number Publication Date
CN114513786A true CN114513786A (zh) 2022-05-17

Family

ID=81555303

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210407668.2A Pending CN114513786A (zh) 2022-04-19 2022-04-19 基于零信任的5g馈线自动化访问控制方法、装置及介质

Country Status (1)

Country Link
CN (1) CN114513786A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115802357A (zh) * 2023-02-08 2023-03-14 国网天津市电力公司电力科学研究院 一种5g配电网馈线自动化控制方法、装置及存储介质
CN116032798A (zh) * 2022-12-28 2023-04-28 天翼云科技有限公司 一种针对零信任身份授权的自动化测试方法及装置
CN116112226A (zh) * 2022-12-28 2023-05-12 南京邮电大学盐城大数据研究院有限公司 一种基于分布式可信溯源的网络访问监督系统
CN116567624A (zh) * 2023-07-10 2023-08-08 南京邮电大学 一种5g馈线终端通信安全防护方法、装置及存储介质
CN117692898A (zh) * 2023-12-25 2024-03-12 北京中电普华信息技术有限公司 具有风险自动识别的监督预警方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140215575A1 (en) * 2013-01-30 2014-07-31 International Business Machines Corporation Establishment of a trust index to enable connections from unknown devices
CN107222433A (zh) * 2017-04-18 2017-09-29 中国科学院信息工程研究所 一种基于sdn网络路径的访问控制方法及系统
CN111541677A (zh) * 2020-04-17 2020-08-14 中国科学院上海微系统与信息技术研究所 一种基于窄带物联网的安全混合加密方法
CN112055029A (zh) * 2020-09-16 2020-12-08 全球能源互联网研究院有限公司 零信任电力物联网设备和用户实时信任度评估方法
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140215575A1 (en) * 2013-01-30 2014-07-31 International Business Machines Corporation Establishment of a trust index to enable connections from unknown devices
CN107222433A (zh) * 2017-04-18 2017-09-29 中国科学院信息工程研究所 一种基于sdn网络路径的访问控制方法及系统
CN111541677A (zh) * 2020-04-17 2020-08-14 中国科学院上海微系统与信息技术研究所 一种基于窄带物联网的安全混合加密方法
CN112055029A (zh) * 2020-09-16 2020-12-08 全球能源互联网研究院有限公司 零信任电力物联网设备和用户实时信任度评估方法
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032798A (zh) * 2022-12-28 2023-04-28 天翼云科技有限公司 一种针对零信任身份授权的自动化测试方法及装置
CN116112226A (zh) * 2022-12-28 2023-05-12 南京邮电大学盐城大数据研究院有限公司 一种基于分布式可信溯源的网络访问监督系统
CN116112226B (zh) * 2022-12-28 2024-01-26 南京邮电大学盐城大数据研究院有限公司 一种基于分布式可信溯源的网络访问监督系统
CN115802357A (zh) * 2023-02-08 2023-03-14 国网天津市电力公司电力科学研究院 一种5g配电网馈线自动化控制方法、装置及存储介质
CN116567624A (zh) * 2023-07-10 2023-08-08 南京邮电大学 一种5g馈线终端通信安全防护方法、装置及存储介质
CN116567624B (zh) * 2023-07-10 2023-09-29 南京邮电大学 一种5g馈线终端通信安全防护方法、装置及存储介质
CN117692898A (zh) * 2023-12-25 2024-03-12 北京中电普华信息技术有限公司 具有风险自动识别的监督预警方法及系统
CN117692898B (zh) * 2023-12-25 2024-05-17 北京中电普华信息技术有限公司 具有风险自动识别的监督预警方法及系统

Similar Documents

Publication Publication Date Title
CN112055029B (zh) 用于零信任电力物联网设备的用户实时信任度评估方法
CN110324287B (zh) 接入认证方法、装置及服务器
Alves et al. Embedding encryption and machine learning intrusion prevention systems on programmable logic controllers
CN114513786A (zh) 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN114553568B (zh) 一种基于零信任单包认证与授权的资源访问控制方法
EP3090520B1 (en) System and method for securing machine-to-machine communications
US7698555B2 (en) System and method for enabling secure access to a program of a headless server device
CN115189927B (zh) 一种基于零信任的电力网络安全防护方法
JPH09128337A (ja) コンピュータ・ネットワークにおけるマスカレード・アタック保護方法及びその装置
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN112231692A (zh) 安全认证方法、装置、设备及存储介质
WO2016188335A1 (zh) 用户数据的访问控制方法、装置及系统
CN113872944A (zh) 一种面向区块链的零信任安全架构及其集群部署框架
CN113572791B (zh) 一种视频物联网大数据加密服务方法、系统及装置
Musa et al. Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security
CN116170806B (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
EP3143724B1 (en) Three-tiered security and computational architecture
US11177958B2 (en) Protection of authentication tokens
CN114362997B (zh) 变电站智能设备的数据传输方法、装置、智能设备及介质
CN114189370A (zh) 一种访问方法及装置
US20210336947A1 (en) Rogue certificate detection
KR20210123811A (ko) 토큰 기반 계층적 접속 제어 장치 및 방법
CN112822217A (zh) 一种服务器访问方法、装置、设备和存储介质
Sebbar et al. BCDS-SDN: Privacy and Trusted Data Sharing Using Blockchain Based on a Software-Defined Network's Edge Computing Architecture
Foltz et al. Secure Endpoint Device Agent Architecture.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220517

RJ01 Rejection of invention patent application after publication