CN114915972A - 一种网络切片安全架构及信任度量方法 - Google Patents

一种网络切片安全架构及信任度量方法 Download PDF

Info

Publication number
CN114915972A
CN114915972A CN202210527174.8A CN202210527174A CN114915972A CN 114915972 A CN114915972 A CN 114915972A CN 202210527174 A CN202210527174 A CN 202210527174A CN 114915972 A CN114915972 A CN 114915972A
Authority
CN
China
Prior art keywords
trust
access
network slice
submodule
credibility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210527174.8A
Other languages
English (en)
Inventor
鲍聪颖
项海波
曹炯
吴迪权
孙健
潘杰峰
杨跃平
吴昊
黄致远
曹松钱
焦阳
贝斌斌
乐程毅
田亚伟
于亚
伏玉笋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ningbo Yongyao Power Investment Group Co ltd
Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Ningbo Yongyao Power Investment Group Co ltd
Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ningbo Yongyao Power Investment Group Co ltd, Ningbo Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Ningbo Yongyao Power Investment Group Co ltd
Priority to CN202210527174.8A priority Critical patent/CN114915972A/zh
Publication of CN114915972A publication Critical patent/CN114915972A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络切片安全系统,涉及通信安全技术领域,包括QoS监测模块和可信访问代理模块,可信访问代理模块包括可信度量子模块、动态访问控制子模块和SDP网关子模块。本发明还公开了一种网络切片安全方法,包括:S100、终端接入;S200、选择可信度量子模块;S300、实时监测QoS参数;S400、信任度量;S500、做出信任决策;S600、执行信任决策。本发明实现了对网络切片访问用户的实时认证和持续监控,有效保护了业务资源。

Description

一种网络切片安全架构及信任度量方法
技术领域
本发明涉及通信安全技术领域,尤其涉及一种网络切片的零信任安全架构及信任度量方法。
背景技术
为了实现5G网络场景的多样化,第三代合作伙伴计划(3rd GenerationPartnership Project,3GPP)定义了5G网络的三大应用场景,分别是增强移动宽带(enhance Mobile Broadband,eMBB),大规模机器类通信(massive Machine Type ofCommunication,mMTC)和高可靠低时延通信(ultra-Reliable Low LatencyCommunication,uRLLC)。不同场景下的业务需求是各不相同的,例如,eMBB场景下的业务需求是大带宽、高流量,mMTC场景下业务需求是网络能提供很高的连接数密度,uRLLC场景下业务需求则是低时延、高可靠等。此外,不同场景的业务对网络管理、网络安全等方面的要求也存在差异。因此,针对以上情况,3GPP正式提出了网络切片的概念。
网络切片(Network Slicing,NS)由单个网络切片选择辅助信息(Single NetworkSlice Selection Assistance Information,S-NSSAI)唯一标识,每个网络切片是一个相对独立的网络域,由支持特定用例的通信服务需求的逻辑网络功能集合组成,具备各自的网络资源和业务信息。网络切片本质上是一个端到端的网络,由接入网、承载网和核心网的结构组成,核心网分为控制面和用户面,控制面网元主要包含(Access And MobilityManagement Function,AMF)AMF、会话管理功能(Session Management Function,SMF)等,用户面网元主要是用户面功能(User Plane Function,UPF),网络切片1、网络切片2、网络切片3分别对应5G三大场景eMBB,mMTC,uRLLC。一方面,网络切片的应用满足了不同的业务场景需求,使运营商能够针对市场的各种业务需求创建定制化网络能力,从而提供优化的通信解决方案,降低了成本;另一方面,网络切片改变了传统网络架构,引入了更加复杂的网络管理技术,也因此带来了更棘手的网络安全问题。例如网络切片间的信息泄露、干扰和攻击,网络切片的非授权访问,以及与第三方的交互安全等。现有的网络切片安全认证技术主要是基于可扩展认证协议(Extensible Authentication Protocol,EAP)框架下协议的二次认证技术,认证后对访问用户就不再进行监测,不能很好地保护网络切片安全。并且随着软件定义网络(Software Defined Network,SDN)、网络功能虚拟化(Network FunctionVirtualization,NFV)、移动边缘计算(Mobile Edge Computing,MEC)、云等新技术应用于网络切片后,在增加了网络切片灵活性的同时也扩大了攻击暴露面,使安全边界模糊化,传统的边界防护无法生效,面临拒绝服务攻击(Denial of Service,DoS)、分布式拒绝服务攻击(Distributed Denial of Service,DDoS)等安全问题。
专利《互斥切片接入方法、装置、电子设备及计算机可读介质》(CN114258017A),针对网络切片接入安全,提出了密钥更新、派生,预设多组密钥的方法,有效解决网络切片间前向性的安全问题,降低了新网络切片内的信令和数据被泄漏的风险。但5G网络切片新引入的SDN/NFV技术,使得网络结构愈加复杂,该专利的加密技术以及密钥长度并不能够满足需求。此外,该专利针对网络切片进行一次性认证,不能达到永不信任,持续验证的效果。
因此,本领域的技术人员致力于开发一种网络切片的零信任安全架构及信任度量方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是网络切片安全认证导致的网络切片信息泄露、干扰和攻击,网络切片的非授权访问,DoS、DDoS攻击等。
发明人针对网络切片安全边界日益模糊的问题,引入零信任理念的解决思路。区别于传统的基于防火墙隔离的网络安全架构,在零信任安全架构中,假设所有网络区域均具有危险性,位于任何网络区域中的设备、设备间的通信、资源的访问用户均是不可信的,并且对访问用户实时监测,根据监测数据动态调整信任决策。零信任强调“永不信任”与“持续验证”,认为网络的任何部分都充满了威胁,对访问用户进行实时持续的认证,软件定义安全边界(Software Defined Perimeter,SDP)是实现零信任的一种技术手段,通过建立虚拟边界,对网络访问业务不断进行监控并实时调整策略,保护访问客体资源安全。发明人在零信任的理念基础上,通过SDP技术搭建了网络切片的安全架构,并结合服务质量(Qualityof Service,QoS)参数,给出信任度的信任度量方法,以实时监测的数据与预期的QoS参数偏差作为可信度量的基础,提出了基于零信任与SDP的网络切片安全系统及可信度量方法,实现对网络切片用户的实时认证,持续监控。
本发明的一个实施例中,提供了一种网络切片安全系统,包括:
QoS监测模块,对访问用户QoS参数实时采集,并将实时采集的QoS参数进行存储;
可信访问代理模块,实时对访问用户进行信任度量,做出并执行信任决策;可信访问代理模块包括:
可信度量子模块,对访问用户进行信任度量,得到信任度并存入信任库,同时把信任度发送给动态访问控制子模块,每一个网络切片对应一个可信度量子模块,网络切片1对应可信度量子模块1,网络切片2对应可信度量子模块2,依此类推,不同网络切片的可信度量子模块预置的QoS参数可以不同;
动态访问控制子模块,做出信任决策,响应于可信度量子模块发来的信任度,把信任度映射成信任等级,授予访问用户不同的权限,对访问用户做出信任决策,把信任决策发送SDP网关子模块执行;
SDP网关子模块,执行信任决策,响应于动态访问控制子模块发来的信任决策,启用、监控和终止访问用户与业务资源的连接,对网络传输流量加密保护;
QoS监测模块和可信访问代理模块通信连接,QoS监测模块实时监测访问用户QoS参数,可信访问代理模块对访问用户进行信任度计算,把信任度映射成信任等级,对访问用户进行动态授权判定,做出并执行信任决策,及时阻断存在风险的会话或允许访问业务资源。
可选地,在上述实施例的网络切片安全系统中,可信度量子模块预置对应网络切片的QoS参数。
进一步地,在上述实施例的网络切片安全系统中,信任度量包括可信度量子模块根据预置的对应网络切片的QoS参数与实时监测的访问用户QoS参数,结合信任库存储的历史信任度进行信任度计算,计算得到的信任度存入信任库并发送给动态访问控制子模块,作为动态访问控制子模块信任决策的依据。
进一步地,在上述实施例的网络切片安全系统中,结合历史信任度,信任度量使用的信任度计算公式如下:
Figure BDA0003645043160000031
其中,wi代表第i个QoS参数的权重,满足
Figure BDA0003645043160000041
Qi表示第i个QoS参数,i≥0,i∈N,N为非负整数,TUt表示t时刻的信任度,TUt-1表示t-1时刻的信任度,t≥0,t∈N,α为权重因子,0≤α≤1,代表当前信任度的比重。
优选地,在上述实施例的网络切片安全系统中,信任度量使用的指标包括3个QoS参数,即N=3,稳定性(Q1)、可靠性(Q2)和实时性(Q3),稳定性由传输速率的偏离程度来表示,稳定性计算公式如下:
Figure BDA0003645043160000042
其中,Vr为当前实时监测的传输速率,V0为预置传输速率即期望的传输速率;
可靠性由丢包率的偏离程度表示,丢包率指固定时间内丢失数据包数占总数据包数的比例,可靠性计算公式如下:
Figure BDA0003645043160000043
其中,Dr,Dt分别是接收到的数据包数与发送的总数据包数,Pr,P0分别是当前丢包率与网络切片预置的丢包率;
实时性由时延的偏离程度表示,实时性计算公式如下:
Figure BDA0003645043160000044
其中,Tr是当前监测模块实时得到的时延数据,T0是该网络切片的预期时延。
进一步地,在上述实施例的网络切片安全系统中,SDP网关子模块通过单包授权技术(Single Packet Authorization,SPA)进行网络隐身,将业务资源隐藏在SDP网关子模块之后,只有符合信任等级要求的访问用户才能访问,有效防护恶意攻击。
进一步地,在上述实施例的网络切片安全系统中,访问用户通过终端上安装的SDP客户端与SDP网关子模块通过SPA数据包进行通信。
进一步地,在上述实施例的网络切片安全系统中,业务资源存储在业务服务器,业务服务器隐藏在SDP网关子模块后。
进一步地,在上述实施例的网络切片安全系统中,恶意攻击包括DoS、DDoS。
基于上述实施例的网络切片安全系统,本发明的另一个实施例中,提供了一种网络切片安全方法,包括如下步骤:
S100、终端接入,访问用户发起访问请求,进行基于零信任与SDP的网络切片认证过程;
S200、选择可信度量子模块,可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息,选择对应的可信度量子模块,初始化QoS参数;
S300、实时监测QoS参数,QoS监测模块实时监测QoS参数,作为信任度量的基础;
S400、信任度量,可信度量子模块进行信任度量,计算访问用户的信任度,发送到动态访问控制子模块;
S500、做出信任决策,响应于可信度量子模块发来的信任度,动态访问控制子模块把信任度映射成信任等级,对访问用户做出信任决策,把信任决策发送SDP网关子模块执行;
S600、执行信任决策,响应于动态访问控制子模块发来的信任决策,SDP网关子模块启用、监控和终止访问用户与业务资源的连接。
可选地,在上述实施例的网络切片安全方法中,访问用户通过终端访问业务资源,访问用户包括个人用户、企业用户、供应商、现场检测设备,终端安装SDP客户端,与可信访问代理模块间进行交互,获取授权后,才能经网络切片访问业务资源。
可选地,在上述任一实施例的网络切片安全方法中,步骤S400中的信任度量使用的信任度计算公式如下:
Figure BDA0003645043160000051
其中,wi代表第i个QoS参数的权重,满足
Figure BDA0003645043160000052
Qi表示第i个QoS参数,i≥0,i∈N,N为正整数,TUt表示t时刻的信任度,TUt-1表示t-1时刻的信任度,t≥0,t∈N,α为权重因子,0≤α≤1,代表当前信任度的比重。
优选地,在上述实施例的网络切片安全系统中,信任度量使用的指标包括3个QoS参数,即N=3,稳定性(Q1)、可靠性(Q2)和实时性(Q3),稳定性由传输速率的偏离程度来表示,稳定性计算公式如下:
Figure BDA0003645043160000061
其中,Vr为当前实时监测的传输速率,V0为预置传输速率即期望的传输速率;
可靠性由丢包率的偏离程度表示,丢包率指固定时间内丢失数据包数占总数据包数的比例,可靠性计算公式如下:
Figure BDA0003645043160000062
其中,Dr,Dt分别是接收到的数据包数与发送的总数据包数,Pr,P0分别是当前丢包率与网络切片预置的丢包率;
实时性由时延的偏离程度表示,实时性计算公式如下:
Figure BDA0003645043160000063
其中,Tr是当前监测模块实时得到的时延数据,T0是该网络切片的预期时延。
可选地,在上述任一实施例的网络切片安全方法中,步骤S200包括:
S210、选择对应的网络切片,访问用户接入网络切片时,可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息选择对应的网络切片;
S220、匹配对应的可信度量子模块,响应于网络切片选择信息,可信访问代理模块自动匹配对应的可信度量子模块,不同网络切片的可信度量子模块预置的QoS参数可以不同。
可选地,在上述任一实施例的网络切片安全方法中,步骤S600包括:
S610、信任等级满足权限要求,允许访问用户访问,SDP网关子模块按信任等级分配权限允许用户访问业务资源,并持续监控访问用户的信任度,重复执行S200—S600;
S620、信任等级不满足权限要求,终止访问用户访问,SDP网关子模块终止访问用户访问业务资源。
本发明区别于传统基于EAP框架下的网络切片认证过程,在零信任的基础上,通过SDP技术设计了网络切片的安全方案,并结合QoS参数给出信任度的信任度量方法,实现了对网络切片访问用户的实时认证和持续监控,有效保护了业务资源。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是图示根据示例性实施例的网络切片安全系统结构示意图;
图2是图示根据示例性实施例的可信度量子模块结构示意图;
图3是图示根据示例性实施例的网络切片安全方法流程图;
图4是图示根据示例性实施例的访问用户访问业务资源流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方示意性地适当夸大了部件的厚度。
发明人设计了一种网络切片安全系统,如图1所示,包括:
QoS监测模块,对访问用户QoS参数实时采集,并将实时采集的QoS参数进行存储;
可信访问代理模块,实时对访问用户进行信任度量,做出并执行信任决策;如图2所示,可信访问代理模块包括:
可信度量子模块,对访问用户进行信任度量,得到信任度并存入信任库,同时把信任度发送给动态访问控制子模块,每一个网络切片对应一个可信度量子模块,网络切片1对应可信度量子模块1,网络切片2对应可信度量子模块1,依此类推,可信度量子模块预置对应网络切片的QoS参数,不同网络切片的可信度量子模块预置的QoS参数可以不同;信任度量包括可信度量子模块根据预置的对应网络切片的QoS参数与实时监测的访问用户QoS参数,结合信任库存储的历史信任度进行信任度计算,计算得到的信任度存入信任库并发送给动态访问控制子模块,作为动态访问控制子模块信任决策的依据;信任度量使用的信任度计算公式如下:
Figure BDA0003645043160000081
其中,wi代表第i个QoS参数的权重,满足
Figure BDA0003645043160000082
Qi表示第i个QoS参数,i≥0,i∈N,N为正整数,TUt表示t时刻的信任度,TUt-1表示t-1时刻的信任度,t≥0,t∈N,α为权重因子,0≤α≤1,代表当前信任度的比重。
优选地,在上述实施例的网络切片安全系统中,信任度量使用的指标包括3个QoS参数,即N=3,稳定性(Q1)、可靠性(Q2)和实时性(Q3),稳定性由传输速率的偏离程度来表示,稳定性计算公式如下:
Figure BDA0003645043160000083
其中,Vr为当前实时监测的传输速率,V0为预置传输速率即期望的传输速率;
可靠性由丢包率的偏离程度表示,丢包率指固定时间内丢失数据包数占总数据包数的比例,可靠性计算公式如下:
Figure BDA0003645043160000084
其中,Dr,Dt分别是接收到的数据包数与发送的总数据包数,Pr,P0分别是当前丢包率与网络切片预置的丢包率;
实时性由时延的偏离程度表示,实时性计算公式如下:
Figure BDA0003645043160000085
其中,Tr是当前监测模块实时得到的时延数据,T0是该网络切片的预期时延;
动态访问控制子模块,做出信任决策,响应于可信度量子模块发来的信任度,把信任度映射成信任等级,授予访问用户不同的权限,对访问用户做出信任决策,把信任决策发送SDP网关子模块执行;
SDP网关子模块,执行信任决策,响应于动态访问控制子模块发来的信任决策,启用、监控和终止访问用户与业务资源的连接,对网络传输流量加密保护;SDP网关子模块通过单包授权技术(Single Packet Authorization,SPA)进行网络隐身,业务资源存储在业务服务器,业务服务器隐藏在SDP网关子模块后,访问用户通过终端上安装的SDP客户端与SDP网关子模块通过SPA数据包进行通信,只有符合信任等级要求的访问用户才能访问,有效防护恶意攻击,恶意攻击包括DoS、DDoS;
QoS监测模块和可信访问代理模块通信连接,QoS监测模块实时监测访问用户QoS参数,可信访问代理模块对访问用户进行信任度计算,把信任度映射成信任等级,对访问用户进行动态授权判定,做出并执行信任决策,及时阻断存在风险的会话或允许访问业务资源。
基于上述实施例,发明人提供了一种网络切片安全方法,如图3所示,包括如下步骤:
S100、终端接入,访问用户发起访问请求,进行基于零信任与SDP的网络切片认证过程;如图4所示,访问用户通过终端访问业务资源,访问用户包括个人用户、企业用户、供应商、现场检测设备,终端安装SDP客户端,与可信访问代理模块间进行交互,获取授权后,才能经网络切片访问业务资源;
S200、选择可信度量子模块,可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息,选择对应的可信度量子模块,初始化QoS参数;
S210、选择对应的网络切片,访问用户接入网络切片时,可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息选择对应的网络切片;
S220、匹配对应的可信度量子模块,响应于网络切片选择信息,可信访问代理模块自动匹配对应的可信度量子模块,不同网络切片的可信度量子模块预置的QoS参数可以不同。
S300、实时监测QoS参数,QoS监测模块实时监测QoS参数,作为信任度量的基础;
S400、信任度量,可信度量子模块进行信任度量,计算访问用户的信任度,发送到动态访问控制子模块;信任度量使用的信任度计算公式如下:
Figure BDA0003645043160000091
其中,wi代表第i个QoS参数的权重,满足
Figure BDA0003645043160000092
Qi表示第i个QoS参数,i≥0,i∈N,N为正整数,TUt表示t时刻的信任度,TUt-1表示t-1时刻的信任度,t≥0,t∈N,α为权重因子,0≤α≤1,代表当前信任度的比重;优选地,信任度量使用的指标包括3个QoS参数,即N=3,稳定性(Q1)、可靠性(Q2)和实时性(Q3),稳定性由传输速率的偏离程度来表示,稳定性计算公式如下:
Figure BDA0003645043160000101
其中,Vr为当前实时监测的传输速率,V0为预置传输速率即期望的传输速率;
可靠性由丢包率的偏离程度表示,丢包率指固定时间内丢失数据包数占总数据包数的比例,可靠性计算公式如下:
Figure BDA0003645043160000102
其中,Dr,Dt分别是接收到的数据包数与发送的总数据包数,Pr,P0分别是当前丢包率与网络切片预置的丢包率;
实时性由时延的偏离程度表示,实时性计算公式如下:
Figure BDA0003645043160000103
其中,Tr是当前监测模块实时得到的时延数据,T0是该网络切片的预期时延;
S500、做出信任决策,响应于可信度量子模块发来的信任度,动态访问控制子模块把信任度映射成信任等级,对访问用户做出信任决策,把信任决策发送SDP网关子模块执行;
S600、执行信任决策,响应于动态访问控制子模块发来的信任决策,SDP网关子模块启用、监控和终止访问用户与业务资源的连接,具体包括:
S610、信任等级满足权限要求,允许访问用户访问,SDP网关子模块按信任等级分配权限允许用户访问业务资源,并持续监控访问用户的信任度,重复执行S200—S600;
S620、信任等级不满足权限要求,终止访问用户访问,SDP网关子模块终止访问用户访问业务资源。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种网络切片安全系统,其特征在于,包括:
QoS监测模块,对访问用户QoS参数实时采集,并将实时采集的QoS参数进行存储;
可信访问代理模块,实时对所述访问用户进行信任度量,做出并执行信任决策;所述可信访问代理模块包括:
可信度量子模块,对所述访问用户进行信任度量,得到信任度并存入信任库,同时把所述信任度发送给动态访问控制子模块,每一个网络切片对应一个可信度量子模块,网络切片1对应可信度量子模块1,网络切片2对应可信度量子模块2,依此类推,不同网络切片的可信度量子模块预置的QoS参数可以不同;
动态访问控制子模块,做出信任决策,响应于所述可信度量子模块发来的信任度,把所述信任度映射成信任等级,授予所述访问用户不同的权限,对所述访问用户做出信任决策,把所述信任决策发送SDP网关子模块执行;
SDP网关子模块,执行所述信任决策,响应于所述动态访问控制子模块发来的所述信任决策,启用、监控和终止所述访问用户与业务资源的连接,对网络传输流量加密保护;
所述QoS监测模块和所述可信访问代理模块通信连接,所述QoS监测模块实时监测所述访问用户QoS参数,所述可信访问代理模块对所述访问用户进行信任度计算,把所述信任度映射成信任等级,对所述访问用户进行动态授权判定,做出并执行信任决策,及时阻断存在风险的会话或允许访问业务资源。
2.如权利要求1所述的网络切片安全系统,其特征在于,所述信任度量包括所述可信度量子模块根据预置的对应网络切片的QoS参数与实时监测的访问用户QoS参数,结合信任库存储的历史信任度进行信任度计算,计算得到的所述信任度存入信任库并发送给所述动态访问控制子模块,作为所述动态访问控制子模块信任决策的依据。
3.如权利要求2所述的网络切片安全系统,其特征在于,结合历史信任度,所述信任度量使用的信任度计算公式如下:
Figure FDA0003645043150000021
4.如权利要求3所述的网络切片安全系统,其特征在于,所述信任度量使用的指标包括3个QoS参数,即N=3,稳定性、可靠性和实时性,所述稳定性由传输速率的偏离程度来表示,稳定性计算公式如下:
Figure FDA0003645043150000022
所述可靠性由丢包率的偏离程度表示,所述丢包率指固定时间内丢失数据包数占总数据包数的比例,可靠性计算公式如下:
Figure FDA0003645043150000023
所述实时性由时延的偏离程度表示,实时性计算公式如下:
Figure FDA0003645043150000024
5.如权利要求1所述的网络切片安全系统,其特征在于,所述SDP网关子模块通过单包授权技术(Single Packet Authorization,SPA)进行网络隐身,将业务资源隐藏在所述SDP网关子模块之后,只有符合信任等级要求的访问用户才能访问,有效防护恶意攻击。
6.如权利要求5所述的网络切片安全系统,其特征在于,所述业务资源存储在业务服务器,所述业务服务器隐藏在SDP网关子模块后。
7.一种网络切片安全方法,使用如权利要求1-6任一所述的网络切片安全系统,其特征在于,包括如下步骤:
S100、终端接入,访问用户发起访问请求,进行基于零信任与SDP的网络切片认证过程;
S200、选择可信度量子模块,所述可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息,选择对应的可信度量子模块,初始化QoS参数;
S300、实时监测QoS参数,所述QoS监测模块实时监测QoS参数,作为信任度量的基础;
S400、信任度量,所述可信度量子模块进行信任度量,计算所述访问用户的信任度,发送到所述动态访问控制子模块;
S500、做出信任决策,响应于所述可信度量子模块发来的所述信任度,所述动态访问控制子模块把所述信任度映射成信任等级,对所述访问用户做出信任决策,把所述信任决策发送所述SDP网关子模块执行;
S600、执行信任决策,响应于所述动态访问控制子模块发来的所述信任决策,所述SDP网关子模块启用、监控和终止所述访问用户与业务资源的连接。
8.如权利要求7所述的网络切片安全方法,其特征在于,所述访问用户通过终端访问业务资源,所述访问用户包括个人用户、企业用户、供应商、现场检测设备,终端安装SDP客户端,与所述可信访问代理模块间进行交互,获取授权后,才能经网络切片访问所述业务资源。
9.如权利要求7或8所述的网络切片安全方法,其特征在于,所述步骤S200包括:
S210、选择对应的网络切片,所述访问用户接入网络切片时,所述可信访问代理模块接收来自网络切片选择功能(Network Slice Selection Function,NSSF)的网络切片选择信息选择对应的网络切片;
S220、匹配对应的可信度量子模块,响应于所述网络切片选择信息,所述可信访问代理模块自动匹配对应的可信度量子模块,不同网络切片的可信度量子模块预置的QoS参数可以不同。
10.如权利要求9所述的网络切片安全方法,其特征在于,所述步骤S600包括:
S610、所述信任等级满足权限要求,允许所述访问用户访问,所述SDP网关子模块按信任等级分配权限允许所述用户访问所述业务资源,并持续监控所述访问用户的信任度,重复执行S200—S600;
S620、所述信任等级不满足权限要求,终止所述访问用户访问,所述SDP网关子模块终止所述访问用户访问所述业务资源。
CN202210527174.8A 2022-05-16 2022-05-16 一种网络切片安全架构及信任度量方法 Pending CN114915972A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210527174.8A CN114915972A (zh) 2022-05-16 2022-05-16 一种网络切片安全架构及信任度量方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210527174.8A CN114915972A (zh) 2022-05-16 2022-05-16 一种网络切片安全架构及信任度量方法

Publications (1)

Publication Number Publication Date
CN114915972A true CN114915972A (zh) 2022-08-16

Family

ID=82767303

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210527174.8A Pending CN114915972A (zh) 2022-05-16 2022-05-16 一种网络切片安全架构及信任度量方法

Country Status (1)

Country Link
CN (1) CN114915972A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545775A (zh) * 2023-07-06 2023-08-04 北京长扬软件有限公司 基于nfv的远程可信网络连接方法、装置及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545775A (zh) * 2023-07-06 2023-08-04 北京长扬软件有限公司 基于nfv的远程可信网络连接方法、装置及系统
CN116545775B (zh) * 2023-07-06 2023-09-15 北京长扬软件有限公司 基于nfv的远程可信网络连接方法、装置及系统

Similar Documents

Publication Publication Date Title
CN113949573B (zh) 一种零信任的业务访问控制系统及方法
CN111490993B (zh) 一种应用访问控制安全系统及方法
US5923849A (en) Method of auditing communication traffic
JP4586071B2 (ja) 端末へのユーザポリシーの提供
US7207062B2 (en) Method and apparatus for protecting web sites from distributed denial-of-service attacks
US10498754B2 (en) Systems and methods for policing and protecting networks from attacks
US7944836B2 (en) Adaptive method and apparatus for adjusting network traffic volume reporting
US8041812B2 (en) System and method for supplicant based accounting and access
US20070150934A1 (en) Dynamic Network Identity and Policy management
CN115699840A (zh) 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质
US20020075844A1 (en) Integrating public and private network resources for optimized broadband wireless access and method
Fadlullah et al. GT-QoSec: A game-theoretic joint optimization of QoS and security for differentiated services in next generation heterogeneous networks
WO2007111721A9 (en) Network client validation of network management frames
JP2008505400A (ja) 高度化されたネットワーククライアントのセキュリティに関係するアプリケーションのためのシステムおよび方法
EP1284558B1 (en) Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks
Sharma et al. Secure authentication protocol for 5G enabled IoT network
US8370917B1 (en) Security bridging
CN112769568A (zh) 雾计算环境中的安全认证通信系统、方法、物联网设备
CN114915972A (zh) 一种网络切片安全架构及信任度量方法
Feng et al. A dual-layer zero trust architecture for 5G industry MEC applications access control
EP4135376A1 (en) Method and device for secure communication
Boubakri et al. Access control in 5G communication networks using simple PKI certificates
Kamoun-Abid et al. DVF-fog: distributed virtual firewall in fog computing based on risk analysis
Agrawal et al. A proactive defense method for the stealthy EDoS attacks in a cloud environment
Daoud et al. A Distributed Access Control Scheme based on Risk and Trust for Fog-cloud Environments.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination