CN115696332B - 基于跨层零信任的5g边缘计算安全访问控制系统和方法 - Google Patents
基于跨层零信任的5g边缘计算安全访问控制系统和方法 Download PDFInfo
- Publication number
- CN115696332B CN115696332B CN202211702311.3A CN202211702311A CN115696332B CN 115696332 B CN115696332 B CN 115696332B CN 202211702311 A CN202211702311 A CN 202211702311A CN 115696332 B CN115696332 B CN 115696332B
- Authority
- CN
- China
- Prior art keywords
- access control
- terminal
- access
- behavior
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于跨层零信任的5G边缘计算安全访问控制系统和方法,属于无线通信技术领域,系统包括第一策略决策模块、第二策略决策模块和访问策略执行模块;第一策略决策模块从核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;第二策略决策模块获取终端的应用层访问行为信息,确定应用层访问控制决策;根据网络层访问控制决策和应用层访问控制决策,得到终端访问控制策略;访问策略执行模块根据终端访问控制策略执行对终端的访问控制。本发明基于网络层和应用层跨层行为评估,根据网络层和应用层访问控制决策进行访问控制,边缘用户接入网络得到双重访问安全保障,降低了非法伪装的终端非法访问5G边缘计算应用的风险。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于跨层零信任的5G边缘计算安全访问控制系统和方法。
背景技术
5G作为通用网络技术,已成为承载多类型行业应用的重要网络通道。5G网络引入多接入边缘计算(Multi-access Edge Computing,MEC)技术,在网络边缘对用户的数据进行分流、分析,从而实现垂直行业低时延、高可靠的业务需求。边缘计算平台(Multi-accessEdge platform,MEP)通过云化方式部署,承载众多MEC应用和服务。在终端用户接入5G网络访问MEC应用(MEC application, MEC APP)服务的过程中,如果没有对用户进行有效的访问鉴权,会导致恶意用户非法访问边缘应用,造成服务攻击或者窃取其他用户的敏感数据(如位置信息等)。
为了解决上述网络接入和访问信任的问题,现有技术将零信任系统部署在边缘节点,只在边缘用户面对用户进行基于目的地址访问策略判定后,即允许用户接入边缘计算应用,存在非法伪装的终端绕过5G网络非法访问边缘计算应用的风险。
发明内容
本发明提供一种基于跨层零信任的5G边缘计算安全访问控制系统和方法,用以解决现有技术中只在边缘用户面对用户进行基于目的地址访问策略判定后,即允许用户接入,存在非法伪装的终端绕过5G网络非法访问边缘计算应用风险的缺陷。
本发明提供了一种基于跨层零信任的5G边缘计算安全访问控制系统,包括部署于核心网单元的第一策略决策模块、部署于多接入边缘计算单元的第二策略决策模块以及部署于所述多接入边缘计算单元的访问策略执行模块;
所述第一策略决策模块,用于从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块,用于获取所述终端的应用层访问行为信息,确定应用层访问控制决策;根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
所述访问策略执行模块,用于根据所述终端访问控制策略执行对所述终端的访问控制。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制系统,所述第二策略决策模块通过所述核心网单元的网络开放功能接口获取所述网络层访问控制决策。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制系统,所述访问策略执行模块,还用于响应于终端的访问请求,向所述第一策略决策模块和所述第二策略决策模块发起终端访问控制请求;
所述第一策略决策模块根据所述终端访问控制请求,从所述核心网单元获取所述终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块根据所述终端访问控制请求,获取所述终端的应用层访问行为信息,确定应用层访问控制决策。
本发明还提供了一种基于跨层零信任的5G边缘计算安全访问控制方法,包括:
从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
根据所述终端访问控制策略执行对所述终端的访问控制。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制方法,所述从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策,包括:
从所述核心网单元获取终端的历史网络层行为和网络层访问行为信息;
对所述终端的历史网络层行为进行分类,确定每类历史网络层访问行为集的第一先验概率;
根据所述第一先验概率对所述终端的网络层访问行为进行评估分类,确定所述网络层访问行为的第一行为特征;
根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率;
根据所述第一贝叶斯概率和所述网络层访问行为信息,确定所述网络层访问控制决策。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制方法,所述根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率,还包括:
确定所述第一行为特征的条件概率;
根据所有所述第一行为特征的条件概率和预先设定的第一权重参数,确定每类所述历史网络层访问行为集的第一加权贝叶斯概率。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制方法,所述获取所述终端的应用层访问行为信息,确定应用层访问控制决策,包括:
获取所述终端的历史应用层行为和应用层访问行为信息;
对所述终端的历史应用层行为进行分类,确定每类历史应用层访问行为集的第二先验概率;
根据所述第二先验概率对所述终端的应用层访问行为进行评估分类,确定所述应用层访问行为的第二行为特征;
根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率;
根据所述第二贝叶斯概率和所述应用层访问行为信息,确定所述应用层访问控制决策。
根据本发明提供的一种基于跨层零信任的5G边缘计算安全访问控制方法,所述根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率,还包括:
确定所述第二行为特征的条件概率;
根据所有所述第二行为特征的条件概率和预先设定的第二权重参数,确定每类所述历史应用层访问行为集的第二加权贝叶斯概率。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现所述基于跨层零信任的5G边缘计算安全访问控制方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述基于跨层零信任的5G边缘计算安全访问控制方法。
本发明提供的基于跨层零信任的5G边缘计算安全访问控制系统和方法,基于网络层和应用层跨层行为评估,根据网络层访问控制决策和应用层访问控制决策综合进行访问控制,边缘用户接入网络得到双重访问安全保障,降低了非法伪装的终端绕过5G网络非法访问边缘计算应用的风险。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于跨层零信任的5G边缘计算安全访问控制系统的原理框图之一;
图2是本发明提供的基于跨层零信任的5G边缘计算安全访问控制系统的原理框图之二;
图3是本发明提供的基于跨层零信任的5G边缘计算安全访问控制方法的流程示意图之一;
图4是本发明提供的确定网络层访问控制决策的流程示意图;
图5是本发明提供的确定应用层访问控制决策的流程示意图;
图6是本发明提供的基于跨层零信任的5G边缘计算安全访问控制方法的流程示意图之二;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请实施例的描述中,需要说明的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请实施例的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请实施例的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请实施例中的具体含义。
在本申请实施例中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
图1是本发明提供的基于跨层零信任的5G边缘计算安全访问控制系统的原理框图之一,参照图1,本发明提供了一种基于跨层零信任的5G边缘计算安全访问控制系统,包括部署于核心网单元的第一策略决策模块110、部署于多接入边缘计算单元的第二策略决策模块120以及部署于所述多接入边缘计算单元的访问策略执行模块130;
所述第一策略决策模块110,用于从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块120,用于获取所述终端的应用层访问行为信息,确定应用层访问控制决策;根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
所述访问策略执行模块130,用于根据所述终端访问控制策略执行对所述终端的访问控制。
作为一个实施例,所述第二策略决策模块120通过所述核心网单元的网络开放功能接口获取所述网络层访问控制决策。
作为一个实施例,所述访问策略执行模块130,还用于响应于终端的访问请求,向所述第一策略决策模块和所述第二策略决策模块发起终端访问控制请求;
所述第一策略决策模块110根据所述终端访问控制请求,从所述核心网单元获取所述终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块120根据所述终端访问控制请求,获取所述终端的应用层访问行为信息,确定应用层访问控制决策。
作为一个实施例,所述第一策略决策模块110还用于:
从所述核心网单元获取终端的历史网络层行为和网络层访问行为信息;
对所述终端的历史网络层行为进行分类,确定每类历史网络层访问行为集的第一先验概率;
根据所述第一先验概率对所述终端的网络层访问行为进行评估分类,确定所述网络层访问行为的第一行为特征;
根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率;
根据所述第一贝叶斯概率和所述网络层访问行为信息,确定所述网络层访问控制决策。
作为一个实施例,所述第一策略决策模块110还用于:
确定所述第一行为特征的条件概率;
根据所有所述第一行为特征的条件概率和预先设定的第一权重参数,确定每类所述历史网络层访问行为集的第一加权贝叶斯概率。
作为一个实施例,所述第二策略决策模块120还用于:
获取所述终端的历史应用层行为和应用层访问行为信息;
对所述终端的历史应用层行为进行分类,确定每类历史应用层访问行为集的第二先验概率;
根据所述第二先验概率对所述终端的应用层访问行为进行评估分类,确定所述应用层访问行为的第二行为特征;
根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率;
根据所述第二贝叶斯概率和所述应用层访问行为信息,确定所述应用层访问控制决策。
作为一个实施例,所述第二策略决策模块120还用于:
确定所述第二行为特征的条件概率;
根据所有所述第二行为特征的条件概率和预先设定的第二权重参数,确定每类所述历史应用层访问行为集的第二加权贝叶斯概率。
作为一个实施例,所述多接入边缘计算单元部署有零信任网关,所述核心网单元部署有动态信任评估模块,通过服务化接口获取所述网络层访问行为信息,所述动态信任评估模块根据所述网络层访问行为信息确定所述网络层访问控制决策,将所述网络层访问控制决策传输至所述零信任网关。
可以理解的是,本发明将零信任的主要功能进行了拆分,将零信任网关部署在5G用户面功能(UPF),将动态信任评估模块部署在5G核心网,通过5G核心网服务化接口(Service Based Interface)获得用户实时的网络信息,对用户网络行为进行信任值动态计算和动态评估,并根据信任值得到访问控制策略,通过核心网与MEC之间的API接口将访问控制策略发送至MEC的零信任网关,能实现跨层行为评估,降低了安全风险。
作为一个实施例,所述核心网单元还用于执行所述终端与核心网之间的鉴权认证和注册,配置所述终端的用户面转发规则。
图2是本发明提供的基于跨层零信任的5G边缘计算安全访问控制系统的原理框图之二;为了实现5G终端通过零信任的方式与MEC APP之间进行访问,5G终端应配置零信任代理模块。其中5G边缘计算零信任实现过程主要通过核心网策略决策点(5G core policydecision point, cPDP)、MEC策略决策点(MEC policy decision point, mPDP)和策略执行点(policy enforcement point,PEP)配合来实现。
可选的,cPDP部署在5G核心网网络域,cPDP通过5G核心网标准化的服务化接口SBI与5G核心网网元互通,对于核心网来说,cPDP是可信的网络功能,其作用是通过SBI接口向5G核心网网元获取终端网络层的实时动态信息,例如位置信息、接入状态、所在切片等,并根据相关策略算法对网络层行为信息进行动态评估,生成终端网络层访问控制策略。
可选的,mPDP部署在MEC侧,具体可以与MEC APP共同部署在虚拟化的MEC平台(MEP)上,mPDP并与MEC APP通信。一方面,mPDP获取终端访问MEC APP的应用层行为信息,例如终端请求的url资源、终端访问流量大小、访问资源频类等,并根据相关策略算法对应用层行为信息进行动态评估,生成终端应用层访问控制策略。另一方面,mPDP通过核心网NEF对外API接口向NEF请求终端网络层行为策略,NEF通过服务化接口向cPDP获得网络层策略后,返回至mPDP,mPDP基于网络层和应用层的策略最后生成终端访问策略。
可选的,PEP部署在MEC平台上,具体可以通过虚拟化方式部署。PEP接受来自于mPDP的访问控制策略,并对终端访问MEC APP的数据流进行访问控制,如果访问控制策略为拒绝访问,则PEP拒绝终端对MEC APP资源的访问,反之则允许终端访问数据流通过。
可选的,cPDP也可以与3GPP标准中定义的NWDAF网元融合,其中网络数据分析功能(NWDAF,Network Data Analytics Function)网元,可以从5G网元或运维管理系统收集数据,并用于机器学习模型训练,形成对相关网络行为和事件的推理分析。
可选的,PEP也可以集成在UPF中,在终端数据流经过UPF时,PEP执行对数据流的放行或阻断操作。如果访问被拒绝,则UPF不在转发终端访问流量。
可选的,PEP可以部署在MEC的虚拟化或容器平台上,也可以作为物理设备单独部署。
下面对本发明提供的基于跨层零信任的5G边缘计算安全访问控制方法进行描述,下文描述的基于跨层零信任的5G边缘计算安全访问控制方法与上文描述的基于跨层零信任的5G边缘计算安全访问控制系统可相互对应参照。
图3是本发明提供的基于跨层零信任的5G边缘计算安全访问控制方法的流程示意图之一;参照图3,本发明提供一种基于跨层零信任的5G边缘计算安全访问控制方法,基于MEC实现,控制方法包括但不限于以下步骤:
步骤310,从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
步骤320,获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
步骤330,根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
步骤340,根据所述终端访问控制策略执行对所述终端的访问控制。
可选的,在步骤310中,网络层访问行为信息包括5G终端的位置信息、接入状态、所在切片等。应用层访问行为信息包括但不限于终端请求的url资源、终端访问流量大小、访问资源频类等。
可选的,5G核心网在获得终端访问控制请求后,通过服务化接口向5G核心网网元获取终端网络层信息,并进行网络层行为评估,生成访问控制策略。例如,通过N_amf服务化接口向AMF(Access and Mobility management Function,接入和移动性管理功能)网元获取终端用户此时的位置信息(如TAI/TAC/NCGI等)、终端用户所在切片标识NSSAI(NetworkSlice Selection Assistance Information,网络切片选择辅助信息)等,这些信息作为终端网络行为的特征值,被用来评估终端网络层行为的合法性。其中,TAI为Tracking AreaIdentity,跟踪区识别码Tracking Area identity;TAC为Tracking Area Code,跟踪区代码;NCGI为NR Cell Global Identity,NR小区标识符。
可选的,在步骤320中,在根据所述应用层访问行为信息,确定应用层访问控制决策之前,会发起终端访问控制请求,根据终端应用层的行为信息,执行终端应用层行为合法性评估。应用层的信息可以包括终端发起的应用层协议、请求访问的URL资源、访问流量和吞吐率等。
可选的,在步骤330中,根据所述网络层访问控制决策和所述应用层访问控制决策生成最终的终端访问控制策略。
对所述5G终端的访问控制包括根据最终的终端访问控制策略,对终端的访问控制流进行允许或阻断操作,如果策略允许终端访问,则放行终端访问数据流,否则对访问数据流进行阻断。
可以理解的是,本发明基于网络层和应用层跨层行为评估,根据网络层访问控制决策和应用层访问控制决策综合进行访问控制,边缘用户接入网络得到双重访问安全保障,降低了非法伪装的终端绕过5G网络非法访问风险。
图4是本发明提供的确定网络层访问控制决策的流程示意图;参照图4,在上述实施例的基础上,作为一个可选的实施例,所述从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策,包括:
步骤410,从所述核心网单元获取终端的历史网络层行为和网络层访问行为信息;
步骤420,对所述终端的历史网络层行为进行分类,确定每类历史网络层访问行为集的第一先验概率;
步骤430,根据所述第一先验概率对所述终端的网络层访问行为进行评估分类,确定所述网络层访问行为的第一行为特征;
步骤440,根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率;
步骤450,根据所述第一贝叶斯概率和所述网络层访问行为信息,确定所述网络层访问控制决策。
可选的,本发明基于朴素贝叶斯算法确定访问控制决策。
在步骤420中,朴素贝叶斯算法需要已知样本空间,获取5G终端的历史网络层行为,对其进行分类,可归纳为三类:
其中,
NA对应正常访问(Normal Access,
NA)行为,
AA对应异常访问行为(AbnormalAccess,
AA),
SA对应可疑访问(Suspicious Access,
SA)行为。
可选的,在步骤430中,对某5G终端进行访问控制时,会基于训练得到的先验概率对5G终端的实时访问行为进行评估分类。访问行为包含个行为特征属性,其中,表示终端访问时第
i个行为特征取值。网络层访问行为的行为特征取值可以包括但不限于以下几类:
(1)终端5G注册/去注册特征,例如一定时间内终端注册/去注册的次数,如果次数频繁代表终端可能被非法劫持发起信令风暴攻击;
(2)终端位置特征,终端在5G网络中的位置信息,通常该信息为跟踪区标识(TAI)、5G小区标识(NCGI)等。如果终端频繁更换网络位置,则可能出现被物理劫持攻击的风险。
(3)终端切片特征,终端在5G网络中所请求服务的切片信息,通常该信息为单个网络切片选择辅助信息(Single Network Slice Selection Assistance Information),如果终端经常请求不允许访问的切片,则可能存在被劫持攻击的风险。
可选的,在步骤440中,终端访问的网络层行为进行分析评估,获得行为特征分别在三类网络行为中出现的条件概率分别为:,和。例如,cPDP获取到在终端在个
NA访问、个
AA访问和个
SA访问中的特征出现次数为,和,则,,。
可选的,在步骤450中,进一步计算所有特征值的统计条件概率,得到NA,SA和AA的贝叶斯概率为
根据朴素贝叶斯定理,以上三个概率最大的值为评估终端网络层访问行为所属的行为类别结果,即如果最大,则认为终端访问为正常访问行为,访问策略记为。如果,认为终端访问行为异常,记为。如果,认为终端访问行为可疑,记为。
可以理解的是,本发明提出了通过朴素贝叶斯的方法实现对终端网络层行为的评估,并基于多种行为特征值的统计概率值计算获得终端的网络层访问控制策略,是零信任过程中的一种有效的动态持续评估的方法,能够增强垂直行业终端对边缘APP的可信访问。
在上述实施例的基础上,作为一个可选的实施例,所述根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率,还包括:
确定所述第一行为特征的条件概率;
根据所有所述第一行为特征的条件概率和预先设定的第一权重参数,确定每类所述历史网络层访问行为集的第一加权贝叶斯概率。
可选的,第一加权贝叶斯概率的计算公式如下:
可以理解的是,本发明提出了通过加权朴素贝叶斯的方法实现对终端网络层行为的评估,提高了多种行为特征值的统计概率值的准确性。
图5是本发明提供的确定应用层访问控制决策的流程示意图;参照图5,在上述实施例的基础上,作为一个可选的实施例,所述获取所述终端的应用层访问行为信息,确定应用层访问控制决策,包括:
步骤510,获取所述终端的历史应用层行为和应用层访问行为信息;
步骤520,对所述终端的历史应用层行为进行分类,确定每类历史应用层访问行为集的第二先验概率;
步骤530,根据所述第二先验概率对所述终端的应用层访问行为进行评估分类,确定所述应用层访问行为的第二行为特征;
步骤540,根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率;
步骤550,根据所述第二贝叶斯概率和所述应用层访问行为信息,确定所述应用层访问控制决策。
第二先验概率计算公式如下:
可选的,第二行为特征的特征值可以包括但不限于以下几类:
(1)终端访问的特定资源,例如终端访问的url资源,如果终端突然访问某些不经常访问的url次数增加,终端可能被攻击发起渗透。
(2)终端访问MEC APP的应用流量大小,例如在一段时间内终端应用流量大小,如果流量突发增大或者降低,可能终端出现异常。
第二贝叶斯概率的计算公式如下:
可以理解的是,本发明提出了通过朴素贝叶斯的方法实现对终端应用层行为的评估,并基于多种行为特征值的统计概率值计算获得终端的应用层访问控制策略,是零信任过程中的一种有效的动态持续评估的方法,提高了访问控制策略的准确性,确保安全访问。
在上述实施例的基础上,作为一个可选的实施例,所述根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率,还包括:
确定所述第二行为特征的条件概率;
根据所有所述第二行为特征的条件概率和预先设定的第二权重参数,确定每类所述历史应用层访问行为集的第二加权贝叶斯概率。
可选的,第二权重参数可以根据终端网络层访问过程的学习和训练中设置经验值。
可以理解的是,本发明提出了通过加权朴素贝叶斯的方法实现对终端应用层行为的评估,提高了多种行为特征值的统计概率值的准确性。
在上述实施例的基础上,作为一个可选的实施例,根据所述网络层访问控制决策和所述应用层访问控制决策生成最终的终端访问控制策略,包括:
在上述实施例的基础上,作为一个可选的实施例,在获取5G终端的访问行为信息之前,需要完成对5G终端的注册和认证鉴权,完成5G终端与MEC之间的认证与访问授权。
为了实现5G终端通过零信任的方式与MEC APP之间进行访问,5G终端应配置零信任代理模块。其中5G边缘计算零信任实现过程主要通过核心网策略决策点(5G corepolicy decision point, cPDP)、MEC策略决策点(MEC policy decision point, mPDP)和策略执行点(policy enforcement point,PEP)配合来实现。
图6是本发明提供的基于跨层零信任的5G边缘计算安全访问控制方法的流程示意图之二;参照图6,本发明的实现流程包括以下步骤:
(1)5G终端依据3GPP标准定义的接入认证和鉴权流程,与5G基站和5G网络完成认证和注册,注册在5G核心网的终端为合法接入终端;
(2)终端依据3GPP标准定义的PDU会话流程,建立与5G网络之间的PDU会话,5G核心网根据终端在网络中的签约信息,配置5G终端用户面数据转发规则,将终端流量转发至5G边缘UPF,终端可以通过5G基站、边缘UPF与MEC进行通信;
(3)终端通过5G网络发起对MEC APP访问请求,访问可以是请求获取MEC APP的资源或者是向MEC APP上传资源数据;
(4)PEP监测到终端访问行为,通过NEF对外开放接口向5G核心网发起终端访问控制请求;
(5)PEP同时向部署在MEP上的mPDP发起终端访问控制请求;
(6)cPDP从NEF获得终端访问控制请求后,通过服务化接口向5G核心网网元获取终端网络层信息,并进行网络层行为评估,生成访问控制策略。例如,cPDP通过N_amf服务化接口向AMF网元获取终端用户此时的位置信息(如TAI/TAC/NGCI等)、终端用户所在切片标识NSSAI等,这些信息作为终端网络行为的特征值,被用来评估终端网络层行为的合法性,具体的算法在后面详细说明。cPDP可以通过3GPP标准定义的“订阅-通知”的服务化接口访问方式在NEF网元订阅终端访问控制事件;
(7)mPDP执行类似的过程,根据终端应用层的行为信息,执行终端应用层行为合法性评估。 应用层的信息可以包括终端发起的应用层协议、请求访问的URL资源、访问流量和吞吐率等;
(8)mPDP通过NEF对外开放接口获得5G核心网cPDP的访问控制策略结果,实际过程中可以由mPDP向NEF请求cPDP控制策略,或者cPDP主动将策略结果通过NEF推送给mPDP;
(9)mPDP基于cPDP的访问控制策略结果和mPDP访问控制策略结果,生成最终的终端访问控制策略,并将访问控制策略返回至PEP,具体如何生成在后面详细介绍;
(10)PEP根据访问控制策略,对终端的访问控制流进行允许或阻断操作,如果策略允许终端访问,则PEP放行终端访问数据流,否则对访问数据流进行阻断。
综上所述,可以理解的是,本发明提出了基于零信任系统的5G MEC场景下的用户访问控制方法,对5G MEC多应用场景下的用户访问授权安全问题进行了改进:
(1)提出一种5G MEC访问控制的零信任系统实现架构和流程。本方法将零信任的主要功能进行了拆分,将零信任网关部署在5G用户面功能(UPF),将动态信任评估模块部署在5G核心网,通过5G核心网服务化接口(Service Based Interface)获得用户实时的网络信息,对用户网络行为进行信任值动态计算和动态评估,并根据信任值得到访问控制策略,通过核心网与MEC之间的API接口将访问控制策略发送至MEC的零信任网关。
(2)提出了基于网络层与应用层双层行为评估的访问控制方法。本方案综合评估用户接入5G网络行为与访问MEC应用行为,通过5G核心网能力开放功能(NEF),核心网访问控制策略与MEC平台进行交互,再有MEC平台告知UPF零信任网关,零信任网关根据网络层控制策略和应用层控制策略综合进行访问控制,零信任网关根据控制策略执行允许或拒绝访问操作,使得行业终端用户接入网络得到双重访问安全保障,避免了非法用户通过5G网络访问应用,或者跨MEC APP访问的威胁,能够增强垂直行业终端对边缘APP的可信访问。
(3)提出基于加权朴素贝叶斯的动态信任评估方法。本方案提出了通过加权朴素贝叶斯的方法实现对终端网络层行为和应用层行为的评估,并基于多种行为特征值的统计概率值计算获得终端的网络层和应用层访问控制策略,是零信任过程中的一种有效的动态持续评估的方法。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行基于跨层零信任的5G边缘计算安全访问控制方法,该方法包括:
从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
根据所述终端访问控制策略执行对所述终端的访问控制。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的基于跨层零信任的5G边缘计算安全访问控制方法,该方法包括:
从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
根据所述终端访问控制策略执行对所述终端的访问控制。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于跨层零信任的5G边缘计算安全访问控制方法,该方法包括:
从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
根据所述终端访问控制策略执行对所述终端的访问控制。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于跨层零信任的5G边缘计算安全访问控制系统,其特征在于,包括部署于核心网单元的第一策略决策模块、部署于多接入边缘计算单元的第二策略决策模块以及部署于所述多接入边缘计算单元的访问策略执行模块;
所述第一策略决策模块,用于从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块,用于获取所述终端的应用层访问行为信息,确定应用层访问控制决策;根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
所述访问策略执行模块,用于根据所述终端访问控制策略执行对所述终端的访问控制;
所述多接入边缘计算单元部署有零信任网关,所述核心网单元部署有动态信任评估模块,通过服务化接口获取所述网络层访问行为信息,所述动态信任评估模块根据所述网络层访问行为信息确定所述网络层访问控制决策,将所述网络层访问控制决策传输至所述零信任网关。
2.根据权利要求1所述的一种基于跨层零信任的5G边缘计算安全访问控制系统,其特征在于,所述第二策略决策模块通过所述核心网单元的网络开放功能接口获取所述网络层访问控制决策。
3.根据权利要求1所述的一种基于跨层零信任的5G边缘计算安全访问控制系统,其特征在于,所述访问策略执行模块,还用于响应于终端的访问请求,向所述第一策略决策模块和所述第二策略决策模块发起终端访问控制请求;
所述第一策略决策模块根据所述终端访问控制请求,从所述核心网单元获取所述终端的网络层访问行为信息,确定网络层访问控制决策;
所述第二策略决策模块根据所述终端访问控制请求,获取所述终端的应用层访问行为信息,确定应用层访问控制决策。
4.一种基于跨层零信任的5G边缘计算安全访问控制方法,其特征在于,包括:
从核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策;
获取所述终端的应用层访问行为信息,确定应用层访问控制决策;
根据所述网络层访问控制决策和所述应用层访问控制决策,得到终端访问控制策略;
根据所述终端访问控制策略执行对所述终端的访问控制;
其中,多接入边缘计算单元部署有零信任网关,所述核心网单元部署有动态信任评估模块,通过服务化接口获取所述网络层访问行为信息,所述动态信任评估模块根据所述网络层访问行为信息确定所述网络层访问控制决策,将所述网络层访问控制决策传输至所述零信任网关。
5.根据权利要求4所述的基于跨层零信任的5G边缘计算安全访问控制方法,其特征在于,所述从所述核心网单元获取终端的网络层访问行为信息,确定网络层访问控制决策,包括:
从所述核心网单元获取终端的历史网络层行为和网络层访问行为信息;
对所述终端的历史网络层行为进行分类,确定每类历史网络层访问行为集的第一先验概率;
根据所述第一先验概率对所述终端的网络层访问行为进行评估分类,确定所述网络层访问行为的第一行为特征;
根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率;
根据所述第一贝叶斯概率和所述网络层访问行为信息,确定所述网络层访问控制决策。
6.根据权利要求5所述的基于跨层零信任的5G边缘计算安全访问控制方法,其特征在于,所述根据所述第一行为特征,确定每类所述历史网络层访问行为集的第一贝叶斯概率,还包括:
确定所述第一行为特征的条件概率;
根据所有所述第一行为特征的条件概率和预先设定的第一权重参数,确定每类所述历史网络层访问行为集的第一加权贝叶斯概率。
7.根据权利要求4所述的基于跨层零信任的5G边缘计算安全访问控制方法,其特征在于,所述获取所述终端的应用层访问行为信息,确定应用层访问控制决策,包括:
获取所述终端的历史应用层行为和应用层访问行为信息;
对所述终端的历史应用层行为进行分类,确定每类历史应用层访问行为集的第二先验概率;
根据所述第二先验概率对所述终端的应用层访问行为进行评估分类,确定所述应用层访问行为的第二行为特征;
根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率;
根据所述第二贝叶斯概率和所述应用层访问行为信息,确定所述应用层访问控制决策。
8.根据权利要求7所述的基于跨层零信任的5G边缘计算安全访问控制方法,其特征在于,所述根据所述第二行为特征,确定每类所述历史应用层访问行为集的第二贝叶斯概率,还包括:
确定所述第二行为特征的条件概率;
根据所有所述第二行为特征的条件概率和预先设定的第二权重参数,确定每类所述历史应用层访问行为集的第二加权贝叶斯概率。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求4至8任一项所述基于跨层零信任的5G边缘计算安全访问控制方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求4至8任一项所述基于跨层零信任的5G边缘计算安全访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211702311.3A CN115696332B (zh) | 2022-12-29 | 2022-12-29 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211702311.3A CN115696332B (zh) | 2022-12-29 | 2022-12-29 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115696332A CN115696332A (zh) | 2023-02-03 |
CN115696332B true CN115696332B (zh) | 2023-04-11 |
Family
ID=85056160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211702311.3A Active CN115696332B (zh) | 2022-12-29 | 2022-12-29 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115696332B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
EP2884717A1 (en) * | 2013-12-12 | 2015-06-17 | Avvasi, Inc. | Systems for media policy decision and control and methods for use therewith |
CN113938525A (zh) * | 2021-08-30 | 2022-01-14 | 武汉武钢绿色城市技术发展有限公司 | 5g泛终端接入管理和资源调度平台服务器、系统及方法 |
CN115280735A (zh) * | 2020-04-06 | 2022-11-01 | 思科技术公司 | 第五代蜂窝网络切片的应用容器的安全创建 |
-
2022
- 2022-12-29 CN CN202211702311.3A patent/CN115696332B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101369995A (zh) * | 2008-05-30 | 2009-02-18 | 国网南京自动化研究院 | 一种基于安全可信连接技术的拨号网关 |
EP2884717A1 (en) * | 2013-12-12 | 2015-06-17 | Avvasi, Inc. | Systems for media policy decision and control and methods for use therewith |
CN115280735A (zh) * | 2020-04-06 | 2022-11-01 | 思科技术公司 | 第五代蜂窝网络切片的应用容器的安全创建 |
CN113938525A (zh) * | 2021-08-30 | 2022-01-14 | 武汉武钢绿色城市技术发展有限公司 | 5g泛终端接入管理和资源调度平台服务器、系统及方法 |
Non-Patent Citations (1)
Title |
---|
Huawei, HiSilicon. "Solution to Key Issue on Policy Framework".3GPP SA WG2 Meeting #114 S2-161640.2016,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN115696332A (zh) | 2023-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848016B2 (en) | Identifying malicious devices within a computer network | |
CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
US9130977B2 (en) | Techniques for separating the processing of clients' traffic to different zones | |
US11570203B2 (en) | Edge network-based account protection service | |
EP2779574A1 (en) | Attack detection and prevention using global device fingerprinting | |
CN114465807B (zh) | 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统 | |
CN108605264B (zh) | 用于网络管理的方法和设备 | |
CN114124583B (zh) | 基于零信任的终端控制方法、系统及装置 | |
US11765590B2 (en) | System and method for rogue device detection | |
US20230093293A1 (en) | Access point registration in a network | |
CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
CN115664693A (zh) | 资源访问系统、方法、电子设备和存储介质 | |
Feng et al. | A dual-layer zero trust architecture for 5G industry MEC applications access control | |
US20210329459A1 (en) | System and method for rogue device detection | |
CN115696332B (zh) | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 | |
US12022292B2 (en) | Partial limitation of a mobile network device | |
US10148619B1 (en) | Identity-based application-level filtering of network traffic | |
Daoud et al. | A Distributed Access Control Scheme based on Risk and Trust for Fog-cloud Environments. | |
JP2018516398A (ja) | 通信におけるデータ検出の最適化 | |
US11997490B2 (en) | Network access based on AI filtering | |
US11974120B2 (en) | System and method for securing a communication network | |
CN113297629B (zh) | 一种鉴权方法、装置、系统、电子设备和存储介质 | |
CN109510828B (zh) | 一种网络中的威胁处置效果的确定方法及系统 | |
Varadharajan et al. | Software Enabled Security Architecture and Mechanisms for Securing 5G Network Services | |
WO2023225211A1 (en) | Method and system for protection of cloud-based infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |