CN117750467A - 一种5g双域专网的零信任安全可信接入方法 - Google Patents
一种5g双域专网的零信任安全可信接入方法 Download PDFInfo
- Publication number
- CN117750467A CN117750467A CN202311758260.0A CN202311758260A CN117750467A CN 117750467 A CN117750467 A CN 117750467A CN 202311758260 A CN202311758260 A CN 202311758260A CN 117750467 A CN117750467 A CN 117750467A
- Authority
- CN
- China
- Prior art keywords
- access
- network
- coefficient
- trust
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 36
- 230000036541 health Effects 0.000 claims abstract description 31
- 238000011217 control strategy Methods 0.000 claims abstract description 27
- 238000012795 verification Methods 0.000 claims abstract description 20
- 230000008859 change Effects 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims abstract description 5
- 238000011156 evaluation Methods 0.000 claims description 63
- 230000002354 daily effect Effects 0.000 claims description 31
- 230000002159 abnormal effect Effects 0.000 claims description 18
- 238000002955 isolation Methods 0.000 claims description 15
- 230000007613 environmental effect Effects 0.000 claims description 12
- 241000700605 Viruses Species 0.000 claims description 9
- 230000003203 everyday effect Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000009977 dual effect Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 claims description 6
- 230000009545 invasion Effects 0.000 claims description 6
- 238000001556 precipitation Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000012937 correction Methods 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000003442 weekly effect Effects 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims description 3
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- BCNZYOJHNLTNEZ-UHFFFAOYSA-N tert-butyldimethylsilyl chloride Chemical compound CC(C)(C)[Si](C)(C)Cl BCNZYOJHNLTNEZ-UHFFFAOYSA-N 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011867 re-evaluation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种5G双域专网的零信任安全可信接入方法,涉及5G通信网络安全技术领域,该方法通过实时采集设备的硬件、软件信息以及网络切片数据,建立可信监测模型,使得网络访问控制具备全面分析设备状态和网络实时情况的能力。有助于及时识别设备健康状况和网络负载情况,使网络能够更灵敏地适应动态变化的网络威胁,提高整体网络的安全性,引入零信任安全可信接入方法,通过多因素身份验证、实时监测和动态访问控制策略手段,实现了对设备接入的零信任管理。根据每日风险系数Fxx的变化,动态地调整监测频率,促进有效地利用资源,减轻系统负担,提高系统的实时性和效率。在风险较低时降低监测频率,进一步提高系统的整体性能表现。
Description
技术领域
本发明涉及5G通信网络安全技术领域,具体为一种5G双域专网的零信任安全可信接入方法。
背景技术
5G是第五代移动通信技术,是对移动通信网络的一次重大升级。相比前一代技术(如4GLTE),5G提供了更高的数据传输速度、更低的延迟和更大的连接密度。它支持更多设备同时连接,并能够满足新兴应用场景,如物联网、智能城市、工业自动化等。"双域"表示该网络覆盖了两个不同的领域。这些领域可能代表不同的网络架构,业务用例,或者物理部署。而"专网"则表示这是一个专用网络,通常是为特定的行业、企业或应用场景而设计和部署的网络,以满足其独特的需求。
在当前网络环境中,由于网络设备众多、复杂多样的硬件和软件配置,以及各种网络威胁的存在,对网络的安全性和可信度提出了更高的要求。传统的网络访问控制方法往往基于静态规则,缺乏对设备当前状态、网络实时情况以及接入设备当前环境的全面分析,导致难以应对动态变化的网络威胁。此外,传统的信任模型存在固定的信任阈值,对于不同设备和网络环境难以进行灵活调整,因此无法适应复杂多变的网络环境。
发明内容
针对现有技术的不足,本发明提供了一种5G双域专网的零信任安全可信接入方法,以解决背景技术中提到的问题。
为实现以上目的,本发明通过以下技术方案予以实现:一种5G双域专网的零信任安全可信接入方法,包括以下步骤:
步骤一、采集设备发起的连接请求后,网络要求设备进行身份验证后,获取第一已验证设备信息;
步骤二、针对第一已验证设备信息的网络设备,进行硬件、软件信息、安全策略状态、网络历史数据进行实时采集,并利用5G网络切片技术,对每个网络设备创建独立的网络切片信息,获取网络切片数据集;
步骤三、建立可信监测模型,依据网络切片数据集进行分析计算获得每个代接入设备的设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx;并将设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx进行相关联,通过以下公式生成综合评估系数PG:式中,Y1、Y2、Y3、Y4、Y5、Y6和Y7分别表示设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx的权重值,且Y1+Y2+Y3+Y4+Y5+Y6+Y7=1.0;步骤四、将综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,生成相对应的可信访问控制策略,所述可信访问控制策略包括:动态调整允许访问资源的时间段、配置网络切片和设置虚拟专用网络;并持续监测访问设备的安全事件和访问日志,分析计算获得每日风险系数Fxx,当每日风险系数Fxx≥预设风险阈值时,重启步骤一至步骤四的流程,重新获取评估结果进行修正。
优选的,所述步骤一包括:S11、采集设备发起的连接请求后,引入多因素身份验证,使用短信验证码、硬件令牌和数字证书进行认证;S12、当身份验证成功后,生成临时的访问令牌,用于后续设备信息采集和网络访问;访问令牌包含设备身份信息、访问权限和有效期信息。
优选的,所述步骤二包括:S21、采集访问设备的扩展硬件信息和软件信息,扩展硬件信息和软件信息包括CPU型号、CPU温度、磁盘I/O速率、实时网络接口流量、CPU核心数、CPU使用率、内存运行速度、内存使用率、内存故障率、存储容量、存储使用率、数据包丢失率、网络延迟值和带宽;S22、采集访问设备安全策略状态,所述安全策略状态包括防火墙规则集、ACL规则和匹配条件、安全补丁配置信息和网络隔离策略信息;S23、采集访问设备相对应地区的气象数据,气象数据通过气象站设备采集获得,所述气象数据包括实时温度、实时空气湿度值、降水强度、空气质量指数AQI、实时大气压力值、是否有雷暴或风暴预警级别和持续时间;S24、采集访问设备网路历史数据,包括身份认证历史记录、病毒侵入次数、异常时间次数、历史数据包丢失率、网络延迟的历史趋势数据以及入流量和出流量历史占比值
优选的,所述步骤三包括:S31、从每个待接入设备中收集网络切片数据集,并对网络切片数据集进行清理、处理缺失值和异常值后;将处理后的网络切片数据集进行标准化;S32、从网络切片数据集中提取CPU温度wd、磁盘I/O速率cpsL和内存使用率ncsly,通过以下公式计算获得设备硬件健康系数YJx:式中,yz1表示为接入可信设备预设的CPU温度的标准阈值,yz2表示为接入可信设备预设的磁盘I/O速率的标准阈值,yz3表示为接入可信设备预设的内存使用率预设阈值;w1、w2和w3表示为权重值,且w1+w2+w3=1.0;S33、从网络切片数据集中提取安全配置信息、病毒侵入次数bdcs,通过以下公式计算获得软件健康系数RJx:/> 式中,yz4表示接入可信设备预设的病毒侵入阈值,BJpg表示安全补丁配置信息符合度,根据安全配置信息中已安装的补丁列表、版本号、更新时间与预期规则的符合情况,计算符合度的分数,是指实际配种满足预测规则的设备数量fhsbsl,zsbsl表示总设备预期规则的设备数量,w4和w5表示为权重值,w4+w5=1.0。
优选的,所述步骤三还包括:S34、从网络切片数据集中提取历史异常事件次数Lsyc和数据包丢失率sjds,通过以下公式计算获得历史异常系数Lsx:式中,yz6表示接入可信设备预设的异常次数预设阈值,yz7表示接入可信设备预设的数据包丢失率阈值,w6、w7表示权重值,w6+w7=1.0;S35、从网络切片数据集中提取带宽dksj和实时网络接口流量ssll,通过以下公式计算获得网络负载拥堵系数Fzx:/>式中,yz8表示接入可信设备预设的带宽预设阈值,yz9表示接入可信设备预设的网络接口流量阈值,w7、w8表示权重值,w7+w8=1.0
优选的,所述步骤三还包括:S36、获取网络切片数据集中,设备地区的实时温度T、实时湿度C、降水强度D、平均气温K以及平均空气湿度G,无量纲处理后,关联获取地区环境影响系数Dqx;地区环境影响系数Dqx的获取方式如下:其中,/>,/>,且,/>为权重,其具体值由用户调整设置;S37、从网络切片数据集中提取网络切片的冗余路径空闲度RFA,通过统计冗余路径的可用性进行计算,其中N为冗余路径数量,Ai为第i条冗余路径的可用性;计算冗余路径空闲度RFA通过以下公式进行获得:并衡量d待接入设备网络切片中不同租户或服务质之间的隔离强度,评估获得隔离值IS,并通过以下公式计算获得网络切片资源可用性系数Kyx:式中,yz10表示接入可信设备预设的冗余路径空闲预设阈值,yz9表示接入可信设备预设的隔离强度阈值,w9、w10表示权重值,w9+w10=1.0。
优选的,所述步骤四包括:S41、将计算得到的综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,包括:若综合评估系数PG<第一信任阈值,表示待接入设备的网络切片资源可用性处于低信任水平,即不合格,获得第一评估结果;第一信任阈值≤若综合评估系数PG<第二信任阈值,则表示及格,生成第二评估结果;若综合评估系数PG≥第二信任阈值,则生成第三评估结果。
优选的,所述步骤四还包括:S42、依据相对应的评估结果生成相对应的可信访问控制策略,包括:第一评估结果生成第一访问控制策略,表示不合格或低信任水平,系统根据用户或设备的历史行为模式,动态调整设备允许方位资源的时间段,设置在非工作时间段限制对敏感数据的访问,并引入虚拟专用网络VPN以提供额外的隔离层;并设置加密通信流量;且设置采用双验证授权的双重机制,对低信任水平下的用户或设备进行细粒度的权限管理;第二评估结果生成第二访问控制策略,表示合格,调整允许访问资源的时间段以适应工作流程,设置在工作时段允许用户对敏感数据的访问,每日获取的资源设置固定流量,设置为10MB以内;第三评估结果生成第三访问哦内阁制策略,表示高水平信任,允许接入设备访问资源的时间段包括工作时段和非工作时段,并设置每日获取的资源固定流量为不超过100MB。
优选的,所述步骤四还包括:S43、系统每日,监测访问设备的安全事件和访问日志,提取异常访问尝试次数C1、身份验证失败次数C2和资源超出固定流量获取失败次数C3,通过以下公式生成每日风险系数Fxx:并在每日结束后,将每日风险系数Fxx与预设的风险阈值进行比较,若每日风险系数Fxx≥风险阈值,表示存在潜在风险,若每日风险系数Fxx<风险阈值时,授权接入设备继续访问权限;当获取存在潜在风险时,系统自动触发执行步骤一至步骤四的流程,重新评估结果后,按照新的评估结果生成相对应的访问控制策略。
优选的,当每日风险系数Fxx连续一周均<风险阈值时,触发监测频率的相对应调整,动态地将监测频率从每日调整为每周或每月,一旦监测频率发生调整,系统记录这个变化,并在未来的监测周期中持久化应用这个新的频率。
本发明提供了一种5G双域专网的零信任安全可信接入方法。具备以下有益效果:
(1)传统的网络访问控制方法基于静态规则,缺乏对设备当前状态和网络实时情况的全面分析。本技术方案通过实时采集设备的硬件、软件信息以及网络切片数据,建立可信监测模型,实现对设备状态和网络实时情况的全面分析。这有助于及时识别设备健康状况、网络负载情况等信息,增强对动态变化的网络威胁的适应能力。
(2)传统信任模型存在固定的信任阈值,难以根据不同设备和网络环境进行灵活调整。本技术方案通过综合评估系数与信任阈值的对比,动态调整信任阈值。这样可以根据具体情境灵活设定阈值,提高对不同网络环境和设备的适应性,增强网络的可信度和安全性。
(3)传统的网络访问控制方法缺乏零信任的思想,难以在设备接入时实现高度的安全性。本技术方案引入零信任安全可信接入方法,通过多因素身份验证、实时监测、动态访问控制策略等手段,实现对设备接入的零信任管理。这有助于最小化潜在风险,提高整体网络的安全性。
(4)传统的监测频率固定,无法灵活应对网络环境的变化。本技术方案根据每日风险系数的变化,动态地调整监测频率,从每日调整为每周或每月。这有助于有效利用资源,减轻系统负担,并在风险较低时降低监测频率,提高系统的实时性和效率。
附图说明
图1为本发明一种5G双域专网的零信任安全可信接入方法步骤示意图。
实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本发明提供一种5G双域专网的零信任安全可信接入方法,请参阅图1,包括以下步骤:
步骤一、采集设备发起的连接请求后,网络要求设备进行身份验证后,获取第一已验证设备信息;
步骤二、针对第一已验证设备信息的网络设备,进行硬件、软件信息、安全策略状态、网络历史数据进行实时采集,并利用5G网络切片技术,对每个网络设备创建独立的网络切片信息,获取网络切片数据集;
步骤三、建立可信监测模型,依据网络切片数据集进行分析计算获得每个代接入设备的设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx;并将设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx进行相关联,通过以下公式生成综合评估系数PG:式中,Y1、Y2、Y3、Y4、Y5、Y6和Y7分别表示设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx的权重值,且Y1+Y2+Y3+Y4+Y5+Y6+Y7=1.0;步骤四、将综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,生成相对应的可信访问控制策略,所述可信访问控制策略包括:动态调整允许访问资源的时间段、配置网络切片和设置虚拟专用网络;并持续监测访问设备的安全事件和访问日志,分析计算获得每日风险系数Fxx,当每日风险系数Fxx≥预设风险阈值时,重启步骤一至步骤四的流程,重新获取评估结果进行修正。
本实施例中,采用可信监测模型,通过实时监测和综合评估设备的多个因素,动态调整访问策略,确保网络资源只被授予合适设备的访问权限。利用5G网络切片技术,为每个网络设备创建独立的网络切片信息,使得针对每个设备的访问控制更为精细和灵活,提高网络资源的利用效率。通过硬件、软件、历史数据、设备当前环境数据多个维度对设备的健康状况进行评估,从而更全面、准确地判断设备的可信度,提高网络整体的安全性。提供可调整的信任阈值,使得可信监测模型可以根据具体设备和网络环境的变化进行灵活调整,适应不同场景下的信任水平需求。当每日风险系数Fxx超过预设风险阈值时,自动触发重新评估和修正流程,确保网络安全策略的实时性和有效性。该方法适用于复杂多变的网络环境,为各种行业和场景提供了可信的网络接入方式,包括物联网、智能城市和工业自动化。
实施例2,本实施例是在实施例1中进行的解释说明,具体的,所述步骤一包括:S11、采集设备发起的连接请求后,引入多因素身份验证,使用短信验证码、硬件令牌和数字证书进行认证;S12、当身份验证成功后,生成临时的访问令牌,用于后续设备信息采集和网络访问;访问令牌包含设备身份信息、访问权限和有效期信息。
本实施例中,引入多因素身份验证,采用短信验证码、硬件令牌和数字证书的组合,增加了身份验证的复杂性和安全性。这样可以有效减少未经授权的设备访问。生成临时的访问令牌后,令牌中包含设备身份信息、访问权限和有效期信息,使得访问令牌具备了一定的安全性。此临时令牌的引入有助于在后续的设备信息采集和网络访问中进行有效的身份识别和授权管理。通过这一多因素身份验证和访问令牌生成的流程,有效地提高了网络接入的安全性,确保只有经过合法身份验证的设备才能够进一步访问网络资源。
实施例3,本实施例是在实施例1中进行的解释说明,具体的,所述步骤二包括:S21、采集访问设备的扩展硬件信息和软件信息,扩展硬件信息和软件信息包括CPU型号、CPU温度、磁盘I/O速率、实时网络接口流量、CPU核心数、CPU使用率、内存运行速度、内存使用率、内存故障率、存储容量、存储使用率、数据包丢失率、网络延迟值和带宽;S22、采集访问设备安全策略状态,所述安全策略状态包括防火墙规则集、ACL规则和匹配条件、安全补丁配置信息和网络隔离策略信息;S23、采集访问设备相对应地区的气象数据,气象数据通过气象站设备采集获得,所述气象数据包括实时温度、实时空气湿度值、降水强度、空气质量指数AQI、实时大气压力值、是否有雷暴或风暴预警级别和持续时间;S24、采集访问设备网路历史数据,包括身份认证历史记录、病毒侵入次数、异常时间次数、历史数据包丢失率、网络延迟的历史趋势数据以及入流量和出流量历史占比值。
本实施例中,通过采集这些信息,系统可以全面了解访问设备的硬件状况、软件配置、安全策略、气象环境和历史网络表现,为后续的可信评估提供了更多的数据基础。这些采集的信息将有助于建立更为全面和精准的可信监测模型,从而更准确地评估每个代接入设备的安全性和可信度。
实施例4,本实施例是在实施例1中进行的解释说明,具体的,所述步骤三包括:S31、从每个待接入设备中收集网络切片数据集,并对网络切片数据集进行清理、处理缺失值和异常值后;将处理后的网络切片数据集进行标准化;S32、从网络切片数据集中提取CPU温度wd、磁盘I/O速率cpsL和内存使用率ncsly,通过以下公式计算获得设备硬件健康系数YJx:式中,yz1表示为接入可信设备预设的CPU温度的标准阈值,yz2表示为接入可信设备预设的磁盘I/O速率的标准阈值,yz3表示为接入可信设备预设的内存使用率预设阈值;w1、w2和w3表示为权重值,且w1+w2+w3=1.0;S33、从网络切片数据集中提取安全配置信息、病毒侵入次数bdcs,通过以下公式计算获得软件健康系数RJx:/> 式中,yz4表示接入可信设备预设的病毒侵入阈值,BJpg表示安全补丁配置信息符合度,根据安全配置信息中已安装的补丁列表、版本号、更新时间与预期规则的符合情况,计算符合度的分数,是指实际配种满足预测规则的设备数量fhsbsl,zsbsl表示总设备预期规则的设备数量,w4和w5表示为权重值,w4+w5=1.0。
S34、从网络切片数据集中提取历史异常事件次数Lsyc和数据包丢失率sjds,通过以下公式计算获得历史异常系数Lsx:式中,yz6表示接入可信设备预设的异常次数预设阈值,yz7表示接入可信设备预设的数据包丢失率阈值,w6、w7表示权重值,w6+w7=1.0;S35、从网络切片数据集中提取带宽dksj和实时网络接口流量ssll,通过以下公式计算获得网络负载拥堵系数Fzx:/>式中,yz8表示接入可信设备预设的带宽预设阈值,yz9表示接入可信设备预设的网络接口流量阈值,w7、w8表示权重值,w7+w8=1.0
S36、获取网络切片数据集中,设备地区的实时温度T、实时湿度C、降水强度D、平均气温K以及平均空气湿度G,无量纲处理后,关联获取地区环境影响系数Dqx;地区环境影响系数Dqx的获取方式如下:其中,,/>,且/>,/>为权重,其具体值由用户调整设置;S37、从网络切片数据集中提取网络切片的冗余路径空闲度RFA,通过统计冗余路径的可用性进行计算,其中N为冗余路径数量,Ai为第i条冗余路径的可用性;计算冗余路径空闲度RFA通过以下公式进行获得:/>并衡量d待接入设备网络切片中不同租户或服务质之间的隔离强度,评估获得隔离值IS,并通过以下公式计算获得网络切片资源可用性系数Kyx:/>式中,yz10表示接入可信设备预设的冗余路径空闲预设阈值,yz9表示接入可信设备预设的隔离强度阈值,w9、w10表示权重值,w9+w10=1.0。
本实施例中,设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx分别代表了设备的硬件健康、软件健康、历史异常、网络负载拥堵、地区环境影响和网络切片资源可用性的情况,综合评估设备的整体状况。通过考虑硬件、软件、历史异常、网络负载、环境等多个方面的因素,更全面地评估设备的可信度和安全性。引入权重因子,可以根据不同指标的重要性对评估结果进行调整,使其更符合实际情况。基于实时采集的网络切片数据进行评估,使系统能够更及时地捕获设备状态的变化,提高对动态网络环境的适应能力。
实施例5,本实施例是在实施例1中进行的解释说明,具体的,所述步骤四包括:S41、将计算得到的综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,包括:若综合评估系数PG<第一信任阈值,表示待接入设备的网络切片资源可用性处于低信任水平,即不合格,获得第一评估结果;第一信任阈值≤若综合评估系数PG<第二信任阈值,则表示及格,生成第二评估结果;若综合评估系数PG≥第二信任阈值,则生成第三评估结果。S42、依据相对应的评估结果生成相对应的可信访问控制策略,包括:第一评估结果生成第一访问控制策略,表示不合格或低信任水平,系统根据用户或设备的历史行为模式,动态调整设备允许方位资源的时间段,设置在非工作时间段限制对敏感数据的访问,并引入虚拟专用网络VPN以提供额外的隔离层;并设置加密通信流量;且设置采用双验证授权的双重机制,对低信任水平下的用户或设备进行细粒度的权限管理;第二评估结果生成第二访问控制策略,表示合格,调整允许访问资源的时间段以适应工作流程,设置在工作时段允许用户对敏感数据的访问,每日获取的资源设置固定流量,设置为10MB以内;第三评估结果生成第三访问哦内阁制策略,表示高水平信任,允许接入设备访问资源的时间段包括工作时段和非工作时段,并设置每日获取的资源固定流量为不超过100MB。
本实施例中,这些策略根据评估结果的不同,灵活地调整访问控制,以适应不同的信任水平和安全需求。有益效果包括:动态适应性控制:系统根据实时的综合评估结果灵活调整访问控制策略,使其适应不同的设备状态和信任水平。多层次的访问控制:根据信任水平的不同,实现多层次、差异化的访问控制,提高网络安全性。资源合理利用:通过限制低信任水平设备的访问权限,有助于保护系统资源免受潜在威胁,同时合理利用高信任水平设备的资源。
实施例6,本实施例是在实施例1中进行的解释说明,具体的,所述步骤四还包括:S43、系统每日,监测访问设备的安全事件和访问日志,提取异常访问尝试次数C1、身份验证失败次数C2和资源超出固定流量获取失败次数C3,通过以下公式生成每日风险系数Fxx:并在每日结束后,将每日风险系数Fxx与预设的风险阈值进行比较,若每日风险系数Fxx≥风险阈值,表示存在潜在风险,若每日风险系数Fxx<风险阈值时,授权接入设备继续访问权限;当获取存在潜在风险时,系统自动触发执行步骤一至步骤四的流程,重新评估结果后,按照新的评估结果生成相对应的访问控制策略。
具体的,当每日风险系数Fxx连续一周均<风险阈值时,触发监测频率的相对应调整,动态地将监测频率从每日调整为每周或每月,一旦监测频率发生调整,系统记录这个变化,并在未来的监测周期中持久化应用这个新的频率。
本实施例中,这一步骤增加了对每日风险的监测和根据风险情况动态调整监测频率的功能,以更灵活地适应网络环境的变化,有益于提高系统的安全性和实时性。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种5G双域专网的零信任安全可信接入方法,其特征在于:包括以下步骤:
步骤一、采集设备发起的连接请求后,网络要求设备进行身份验证后,获取第一已验证设备信息;
步骤二、针对第一已验证设备信息的网络设备,进行硬件、软件信息、安全策略状态、网络历史数据进行实时采集,并利用5G网络切片技术,对每个网络设备创建独立的网络切片信息,获取网络切片数据集;
步骤三、建立可信监测模型,依据网络切片数据集进行分析计算获得每个代接入设备的设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx;并将设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx进行相关联,通过以下公式生成综合评估系数PG:
式中,Y1、Y2、Y3、Y4、Y5、Y6和Y7分别表示设备硬件健康系数YJx、软件健康系数RJx、历史异常系数Lsx、设备网络负载拥堵系数Fzx、地区环境影响系数Dqx和网络切片资源可用性系数Kyx的权重值,且Y1+Y2+Y3+Y4+Y5+Y6+Y7=1.0;步骤四、将综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,生成相对应的可信访问控制策略,所述可信访问控制策略包括:动态调整允许访问资源的时间段、配置网络切片和设置虚拟专用网络;并持续监测访问设备的安全事件和访问日志,分析计算获得每日风险系数Fxx,当每日风险系数Fxx≥预设风险阈值时,重启步骤一至步骤四的流程,重新获取评估结果进行修正。
2.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤一包括:S11、采集设备发起的连接请求后,引入多因素身份验证,使用短信验证码、硬件令牌和数字证书进行认证;S12、当身份验证成功后,生成临时的访问令牌,用于后续设备信息采集和网络访问;访问令牌包含设备身份信息、访问权限和有效期信息。
3.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤二包括:S21、采集访问设备的扩展硬件信息和软件信息,扩展硬件信息和软件信息包括CPU型号、CPU温度、磁盘I/O速率、实时网络接口流量、CPU核心数、CPU使用率、内存运行速度、内存使用率、内存故障率、存储容量、存储使用率、数据包丢失率、网络延迟值和带宽;S22、采集访问设备安全策略状态,所述安全策略状态包括防火墙规则集、ACL规则和匹配条件、安全补丁配置信息和网络隔离策略信息;S23、采集访问设备相对应地区的气象数据,气象数据通过气象站设备采集获得,所述气象数据包括实时温度、实时空气湿度值、降水强度、空气质量指数AQI、实时大气压力值、是否有雷暴或风暴预警级别和持续时间;S24、采集访问设备网路历史数据,包括身份认证历史记录、病毒侵入次数、异常时间次数、历史数据包丢失率、网络延迟的历史趋势数据以及入流量和出流量历史占比值。
4.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤三包括:S31、从每个待接入设备中收集网络切片数据集,并对网络切片数据集进行清理、处理缺失值和异常值后;将处理后的网络切片数据集进行标准化;S32、从网络切片数据集中提取CPU温度wd、磁盘I/O速率cpsL和内存使用率ncsly,通过以下公式计算获得设备硬件健康系数YJx:式中,yz1表示为接入可信设备预设的CPU温度的标准阈值,yz2表示为接入可信设备预设的磁盘I/O速率的标准阈值,yz3表示为接入可信设备预设的内存使用率预设阈值;w1、w2和w3表示为权重值,且w1+w2+w3=1.0;S33、从网络切片数据集中提取安全配置信息、病毒侵入次数bdcs,通过以下公式计算获得软件健康系数RJx:/> 式中,yz4表示接入可信设备预设的病毒侵入阈值,BJpg表示安全补丁配置信息符合度,根据安全配置信息中已安装的补丁列表、版本号、更新时间与预期规则的符合情况,计算符合度的分数,是指实际配种满足预测规则的设备数量fhsbsl,zsbsl表示总设备预期规则的设备数量,w4和w5表示为权重值,w4+w5=1.0。
5.根据权利要求4所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤三还包括:
S34、从网络切片数据集中提取历史异常事件次数Lsyc和数据包丢失率sjds,通过以下公式计算获得历史异常系数Lsx:式中,yz6表示接入可信设备预设的异常次数预设阈值,yz7表示接入可信设备预设的数据包丢失率阈值,w6、w7表示权重值,w6+w7=1.0;S35、从网络切片数据集中提取带宽dksj和实时网络接口流量ssll,通过以下公式计算获得网络负载拥堵系数Fzx:/>式中,yz8表示接入可信设备预设的带宽预设阈值,yz9表示接入可信设备预设的网络接口流量阈值,w7、w8表示权重值,w7+w8=1.0。
6.根据权利要求5所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤三还包括:S36、获取网络切片数据集中,设备地区的实时温度T、实时湿度C、降水强度D、平均气温K以及平均空气湿度G,无量纲处理后,关联获取地区环境影响系数Dqx;地区环境影响系数Dqx的获取方式如下:其中,/>,,且/>,/>为权重,其具体值由用户调整设置;S37、从网络切片数据集中提取网络切片的冗余路径空闲度RFA,通过统计冗余路径的可用性进行计算,其中N为冗余路径数量,Ai为第i条冗余路径的可用性;计算冗余路径空闲度RFA通过以下公式进行获得:/>并衡量d待接入设备网络切片中不同租户或服务质之间的隔离强度,评估获得隔离值IS,并通过以下公式计算获得网络切片资源可用性系数Kyx:式中,yz10表示接入可信设备预设的冗余路径空闲预设阈值,yz9表示接入可信设备预设的隔离强度阈值,w9、w10表示权重值,w9+w10=1.0。
7.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤四包括:S41、将计算得到的综合评估系数PG与第一信任阈值和第二信任阈值进行对比,第一信任阈值<第二信任阈值,对比后获得相对应的评估结果,并依据相对应的评估结果,包括:若综合评估系数PG<第一信任阈值,表示待接入设备的网络切片资源可用性处于低信任水平,即不合格,获得第一评估结果;第一信任阈值≤若综合评估系数PG<第二信任阈值,则表示及格,生成第二评估结果;若综合评估系数PG≥第二信任阈值,则生成第三评估结果。
8.根据权利要求7所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤四还包括:S42、依据相对应的评估结果生成相对应的可信访问控制策略,包括:第一评估结果生成第一访问控制策略,表示不合格或低信任水平,系统根据用户或设备的历史行为模式,动态调整设备允许方位资源的时间段,设置在非工作时间段限制对敏感数据的访问,并引入虚拟专用网络VPN以提供额外的隔离层;并设置加密通信流量;且设置采用双验证授权的双重机制,对低信任水平下的用户或设备进行细粒度的权限管理;第二评估结果生成第二访问控制策略,表示合格,调整允许访问资源的时间段以适应工作流程,设置在工作时段允许用户对敏感数据的访问,每日获取的资源设置固定流量,设置为10MB以内;第三评估结果生成第三访问哦内阁制策略,表示高水平信任,允许接入设备访问资源的时间段包括工作时段和非工作时段,并设置每日获取的资源固定流量为不超过100MB。
9.根据权利要求8所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:所述步骤四还包括:S43、系统每日,监测访问设备的安全事件和访问日志,提取异常访问尝试次数C1、身份验证失败次数C2和资源超出固定流量获取失败次数C3,通过以下公式生成每日风险系数Fxx:并在每日结束后,将每日风险系数Fxx与预设的风险阈值进行比较,若每日风险系数Fxx≥风险阈值,表示存在潜在风险,若每日风险系数Fxx<风险阈值时,授权接入设备继续访问权限;当获取存在潜在风险时,系统自动触发执行步骤一至步骤四的流程,重新评估结果后,按照新的评估结果生成相对应的访问控制策略。
10.根据权利要求9所述的一种5G双域专网的零信任安全可信接入方法,其特征在于:当每日风险系数Fxx连续一周均<风险阈值时,触发监测频率的相对应调整,动态地将监测频率从每日调整为每周或每月,一旦监测频率发生调整,系统记录这个变化,并在未来的监测周期中持久化应用这个新的频率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311758260.0A CN117750467B (zh) | 2023-12-20 | 2023-12-20 | 一种5g双域专网的零信任安全可信接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311758260.0A CN117750467B (zh) | 2023-12-20 | 2023-12-20 | 一种5g双域专网的零信任安全可信接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117750467A true CN117750467A (zh) | 2024-03-22 |
| CN117750467B CN117750467B (zh) | 2024-06-11 |
Family
ID=90254082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311758260.0A Active CN117750467B (zh) | 2023-12-20 | 2023-12-20 | 一种5g双域专网的零信任安全可信接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117750467B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118132345A (zh) * | 2024-05-06 | 2024-06-04 | 深圳市阿尔丰科技有限公司 | 一种面向自助终端的移动支付方法及系统 |
| CN118200188A (zh) * | 2024-04-08 | 2024-06-14 | 北京云讯科技有限公司 | 一种物联网卡分销管理方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116074843A (zh) * | 2023-02-16 | 2023-05-05 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信审计方法 |
| WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
-
2023
- 2023-12-20 CN CN202311758260.0A patent/CN117750467B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023216641A1 (zh) * | 2022-05-07 | 2023-11-16 | 国网浙江省电力有限公司电力科学研究院 | 一种电力终端安全防护方法及系统 |
| CN116074843A (zh) * | 2023-02-16 | 2023-05-05 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信审计方法 |
Non-Patent Citations (2)
| Title |
|---|
| ABDUL MANAN等: "Extending 5G services with Zero Trust security pillars: a modular approach", 2022 IEEE/ACS 19TH INTERNATIONAL CONFERENCE ON COMPUTER SYSTEMS AND APPLICATIONS (AICCSA), 20 January 2023 (2023-01-20) * |
| 曾玲 等: "基于零信任的安全架构", 通信技术, vol. 53, no. 7, 31 July 2020 (2020-07-31), pages 1750 - 1754 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118200188A (zh) * | 2024-04-08 | 2024-06-14 | 北京云讯科技有限公司 | 一种物联网卡分销管理方法及装置 |
| CN118132345A (zh) * | 2024-05-06 | 2024-06-04 | 深圳市阿尔丰科技有限公司 | 一种面向自助终端的移动支付方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117750467B (zh) | 2024-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117750467B (zh) | 一种5g双域专网的零信任安全可信接入方法 | |
| CN115189927B (zh) | 一种基于零信任的电力网络安全防护方法 | |
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| CN111953679A (zh) | 内网用户行为度量方法及基于零信任的网络访问控制方法 | |
| US20200287920A1 (en) | Endpoint network traffic analysis | |
| US20070050777A1 (en) | Duration of alerts and scanning of large data stores | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| CN117812094A (zh) | 一种基于物联网设备的数据共享方法和系统 | |
| CN116032629A (zh) | 一种告警流量的分类治理方法、系统电子设备及存储介质 | |
| CN113691498B (zh) | 一种电力物联终端安全状态评估方法、装置及存储介质 | |
| CN114389896A (zh) | 一种建立安全数据通讯的方法及装置 | |
| CN117319064A (zh) | 基于可信计算的网络空间安全管控系统 | |
| CN117955667A (zh) | 一种配电安全防护的安全监测和安全访问控制方法及系统 | |
| CN111769632B (zh) | 一种采用nb-iot技术的分布式电源安全通信方法及系统 | |
| CN111447168B (zh) | 一种多维的网络安全预测方法 | |
| Saeed et al. | Machine learning based intrusion detection system in cloud environment | |
| CN118316715B (zh) | 一种企业网络安全风险评估方法及系统 | |
| CN118473826B (zh) | 一种多网口防护方法、装置、电子设备和存储介质 | |
| CN118075007A (zh) | 一种安全防护方法、装置、电子设备和存储介质 | |
| CN116405328B (zh) | 一种多级联动的电力监控系统网络安全监管系统及方法 | |
| US11792209B2 (en) | Robust learning of web traffic | |
| CN115589322A (zh) | 一种基于流量监测的网络安全防护系统 | |
| Han et al. | Security situation analysis and prediction system for large-scale network SSAP | |
| CN118827722A (zh) | 一种物联网平台的数据交互方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |