一种5G终端接入安全风险评估系统及方法技术方案

本发明专利技术公开了一种5G终端接入安全风险评估系统，涉及5G通信安全技术领域，包括5G终端安全风险评估模型、威胁因素初值获取模块、模糊映射模块一、模糊映射模块二、信息熵权重计算模块一、信息熵权重计算模块二。本发明专利技术还公开了一种5G终端接入安全风险评估方法，包括：S100、准备工作，S200、5G终端接入，S300、威胁因素的初值赋值，S400、评估层隶属度矩阵计算，S500、威胁因素权重向量计算，S600、评估层输入初值计算，S700、安全指数权重向量计算，S800、5G终端接入安全等级划分。本发明专利技术全面涵盖5G终端接入5G网络的威胁，客观反映了5G终端接入的安全状况，使得评估结果具有全面性，减少了传统权重确定法的主观偏差值，增强了5G终端接入安全风险评估的客观性。安全风险评估的客观性。安全风险评估的客观性。

【技术实现步骤摘要】
一种5G终端接入安全风险评估系统及方法


[0001]本专利技术涉及5G通信安全
，尤其涉及一种5G终端接入安全风险评估系统及方法。

技术介绍

[0002]5G作为通信技术发展方向，从人与人的连接到万物互联的演变，给我们带来超高带宽，超低延时和超大规模连接的用户体验，网络切片、能力开放使得垂直行业的应用带来多样化的业务需求。但是5G架构和技术的演进带来新的威胁，尤其是5G终端接入安全威胁。
[0003]5G终端接入安全威胁可分为非法用户接入、终端隐私泄露、数据完整性、通信链路非法劫持这四个方面。非法用户接入分为基于不同接入方式的攻击、“物理”实现非法接入攻击和基于不同切片的接入攻击。由于5G同时支持3GPP接入网络和非3GPP接入网络，如Wi
‑
Fi和有线网络，但是不合法的终端可能通过不同的接入方式访问网络，例如3GPP接入和非3GPP接入，导致网络资源被恶意使用，实现不同接入方式的攻击。由于很多5G终端处于户外，终端内嵌的USIM卡被外部攻击者盗用，将合法USIM卡插入恶意终端假冒合法终端，从而顺利接入5G网络实现“物理”非法接入。端到端网络切片是5G架构的基石，使得同一网络能支持多种具有不同性能要求的业务场景，满足差异化服务对网络的不同需求，但是不合法终端接入切片并且成功访问切片内的信息或者合法终端未能成功接入对应业务映射的切片，造成切片资源滥用，严重的话造成DoS攻击。尽管5G网络中用户永久身份标识符(SUPI,Subscribe Permanent Identifier)在空口加密传输实现用户隐私保护，但在实际应用场景中某些5G终端由于自身硬件资源问题无法实现加密或者复杂加密，导致身份标识符被窃取造成用户隐私泄露。数据完整性威胁包括控制面数据威胁和用户面数据威胁。5G网络在用户数据保护方面，其安全需求不再是一致和单一的，而是按需而定的，可以按需决定是否在用户面使用加密和完整性保护的安全措施，此外控制面信令可能被篡改漫游接口上的信令消息明文传输，没有加密和完整性保护，导致攻击者可以截获或者篡改漫游信令消息中的信令参数，造成控制面数据威胁。一般5G终端会选择附近信号最强的基站，若该基站是恶意放置的，经过一系列鉴权认证后，接入伪基站，造成通信链路非法劫威胁。
[0004]对5G终端接入进行安全风险评估是一种主动防御技术，通过合适的安全风险评估模型对5G终端接入安全风险进行分析评估，预测5G终端风险事件发生的可能性、影响范围和危害程度，以便管理人员提前采取安全策略，减少安全事件的发生。
[0005]《电力监控系统无线接入安全风险的模糊评估方法研究》(官丽、焦阳、张彩霞、李昕钰、孙骏，能源与环保，2021，43(06)：163
‑
167)以无线通信网络的有效性、可用性、安全性和可靠性为一级指标，二级指标为威胁因子，采用基于模糊理论的综合评价方法，实现无线接入的科学分级，保证电力监控系统的无故障运行。但是该方法存在两方面问题：
[0006]一、在威胁因子输入侧考虑的因素单一，仅包含了常规的影响终端接入的威胁因素，并没有考虑到由于不同终端由于自身业务带来的不同接入安全等级的需要、终端是否加密带来的安全等级的变化以及通信链路被伪基站劫持等威胁因素；
[0007]二、仅仅采用模糊评估的方法，对于各个威胁因素的权重判定采用专家打分法直接获取各因素的权重，存在较大主观偏差。
[0008]因此，本领域的技术人员致力于开发一种5G终端接入安全风险评估系统及方法。

技术实现思路

[0009]有鉴于现有技术的上述缺陷，本专利技术所要解决的技术问题是如何对5G终端接入安全风险进行分析评估，减少5G终端接入安全风险权重确定的主观偏差，增强5G终端接入安全风险评估的全面性和客观性，准确预测5G终端风险事件发生的可能性、影响范围和危害程度，方便管理人员提前采取安全策略，减少安全事件的发生。
[0010]专利技术人分析了5G的网络结构，对5G终端、切片、业务服务器进行了定义：
[0011]5G终端包括传感器、控制元件和业务智能5G终端，负责业务数据采集、信号传输和控制执行；
[0012]切片，即端到端的网络，由无线接入网(即5G基站)、5G承载网和5G核心网的结构组成，按照用户的业务需求，逻辑划分业务切片，提供专属定制服务，如超可靠低时延通信uRLLC(Ultra
‑
Reliable and Low Latency Communication)切片、增强移动宽带eMBB(Enhanced Mobile Broadband))切片、海量机器类通信mMTC(Massive Machine Type Communication)切片；
[0013]业务服务器：用来运行业务的服务器，通常用于处理企业业务。
[0014]专利技术人分析了5G终端接入的场景，从5G网络结构层次的五个方面考虑5G终端接入面临的安全风险，包括5G终端类别及能力面临的威胁、5G终端接入控制面面临的威胁、5G终端接入用户面面临的威胁、5G通信链路状态面临的威胁以及5G基站能力面临的威胁。其中，5G终端类别及能力指5G终端自带的安全能力属性，包含切片能力、防隐私泄露能力(即终端加密能力)、数据信令完整性保护能力；5G终端接入控制面指5G终端接入的认证过程，包含主认证、二次认证和切片认证，主认证是5G设备访问移动网络时执行的认证，二次认证是外部数据网进行的认证，对于具有切片能力5G终端，结合切片业务进行切片内的认证；5G终端接入用户面指数据传输特性，包括传输速率、传输时延、丢包率和错误率，以及终端接入的切片类型；5G通信链路状态是指信号状态的变化，包括通信中断率和通信信号特征，即终端信号卡的信号变化，5G基站能力包括伪基站检测能力和基站负载。专利技术人对5G终端接入的威胁因素进行分类，并研究了威胁因素的初值的赋值规则，对5G终端接入的威胁因素的初值进行了赋值，初值越高对5G终端接入安全的危害性越大，专利技术人把5G终端接入的威胁因素分类及其初值存储在漏洞数据库中。然后，专利技术人从威胁因素对机密性、完整性和可用性的影响进行风险评估，得到5G终端接入安全指数。
[0015]本专利技术的一个实施例中，提供了一种5G终端接入安全风险评估系统，设置在5G的网络侧，方便获取网络侧的信息，包括5G终端安全风险评估模型、威胁因素初值获取模块、模糊映射模块一、模糊映射模块二、信息熵权重计算模块一、信息熵权重计算模块二：
[0016]5G终端安全风险评估模型，利用评估算法得到5G终端接入安全指数，获得5G终端接入的安全等级，包含目标层、评估层和威胁因素层，目标层是5G终端接入安全指数的输出层，5G终端接入安全指数反映5G终端接入的安全等级，5G终端接入安全指数越高，5G终端接入安全等级越低，评估层从机密性、可用性和完整性对5G终端接入进行评估，威胁因素层包
含5G终端接入的威胁因素；
[0017]威胁因素初值获取模块，获得5G终端接入的威胁因素的初值，通过5G终端认证完成信息、5本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种5G终端接入安全风险评估系统，其特征在于，设置在5G的网络侧，包括：5G终端安全风险评估模型，利用评估算法得到5G终端接入安全指数，获得5G终端接入的安全等级，包含目标层、评估层和威胁因素层，所述目标层是所述5G终端接入安全指数的输出层，所述5G终端接入安全指数反映5G终端接入的安全等级，所述5G终端接入安全指数越高，5G终端接入安全等级越低，所述评估层从机密性、可用性和完整性对5G终端接入进行评估，所述威胁因素层包含5G终端接入的威胁因素；威胁因素初值获取模块，获得所述5G终端接入的威胁因素的初值，通过5G终端认证完成信息、5G终端接入的切片类型、5G网络性能指标和5G终端接入的基站信息从漏洞数据库获得所述5G终端接入的威胁因素的初值，所述5G终端接入的威胁因素与所述5G终端接入安全模型中所述威胁因素层的威胁因素对应；模糊映射模块一，构建所述5G终端接入安全模型中所述威胁因素层与所述评估层间威胁因素集和评估层评判集，通过模糊映射函数构建所述威胁因素集对于所述评估层评判集的评估层隶属度矩阵，所述评估层隶属度矩阵反映所述威胁因素集与所述评估层评判集的模糊关系，所述评估层隶属度矩阵的元素大小反映所述5G终端接入安全模型的威胁因素集对所述评估层评判集的支持度。模糊映射模块二，构建所述5G终端接入安全模型中所述评估层与所述目标层之间评估因素集E和目标层评判集V
F
，通过模糊映射函数构建所述评估因素集E对于所述目标层评判集V
F
的目标层隶属度矩阵，所述目标层隶属度矩阵反映评估因素集E与目标层评判集V
F
的模糊关系，所述目标层隶属度矩阵的元素大小反映所述5G终端接入安全模型的所述评估因素集E对所述目标层评判集V
F
的支持度。信息熵权重计算模块一，接收所述模糊映射模块一输出的所述评估层隶属度矩阵，利用信息熵归一化得到威胁因素权重向量；信息熵权重计算模块二，接收所述模糊映射模块二输出的所述目标层隶属度矩阵，利用信息熵归一化得到5G终端接入安全指数权重向量；所述威胁因素初值获取模块、所述模糊映射模块一、所述信息熵权重计算模块一、所述模糊映射模块二、所述信息熵权重计算模块二依次串行通信连接，并分别和所述5G终端安全风险评估模型通信连接；响应于所述威胁因素初值获取模块获取的所述5G终端接入的威胁因素的初值，经过所述模糊映射模块一构建所述评估层隶属度矩阵，再将所述评估层隶属度矩阵输入所述信息熵权重计算模块一得到所述威胁因素权重向量，将所述威胁因素的初值与所述威胁因素权重向量相乘得到评估层输入初值；将所述评估层输入所述初值输入模糊映射模块二得到所述目标层隶属度矩阵，再将所述目标层隶属度矩阵输入所述信息熵权重计算模块二得到所述5G终端接入安全指数权重向量，最后所述5G终端安全风险评估模型的所述目标层将所述评估层输入初值和所述5G终端接入安全指数权重向量相乘计算得到所述5G终端接入安全指数，并划分5G终端接入安全等级。2.如权利要求1所述的5G终端接入安全风险评估系统，其特征在于，所述5G终端接入的威胁因素包括5G终端类别及能力面临的威胁、5G终端接入控制面面临的威胁、5G终端接入用户面面临的威胁、5G通信链路状态面临的威胁以及5G基站能力面临的威胁。3.如权利要求2所述的5G终端接入安全风险评估系统，其特征在于，所述5G终端类别及能力面临的威胁包括隐私泄露威胁、数据信令完整性威胁和切片能力威胁，所述5G终端接
入控制面面临的威胁包括主认证威胁、二次认证威胁和切片认证威胁，所述5G终端接入用户面面临的威胁包括输速率威胁、传输时延威胁、丢包率威胁、错误率威胁和切片类型威胁，所述5G通信链路状态面临的威胁包括通信中断率威胁和通信信号特征威胁，所述5G基站能力面临的威胁包括伪基站检测能力威胁和基站负载威胁。4.如权利要求3所述的5G终端接入安全风险评估系统，其特征在于，所述威胁因素集和所述评判集，即所述威胁因素集和所述评估层评判集，描述所述威胁因素层与所述评估层之间的关系，所述威胁因素集包括所述威胁因素层中机密性威胁因素集U1、完整性威胁因素集U2和可用性威胁因素集U3，所述评估层评判集包括所述评估层中机密性评判集V1、完整性评判集V2和可用性评判集V3，所述机密性评判集V1表示所述机密性威胁因素集U1对所述评估层中机密性的影响程度，所述完整性评判集V2表示所述完整性威胁因素集U2对所述评估层中完整性的影响程度，所述可用性评判集V3表示所述可用性威胁因素集U3对所述评估层中可用性的影响程度。5.如权利要求4所述的5G终端接入安全风险评估系统，其特征在于，所述评估因素集E和所述目标层评判集V
F
，描述所述评估层和所述目标层之间的关系，所述评估因素集E是所述评估层中机密性、完整性、可用性的集合，所述目标层评判集V
F
表示所述评估因素集E对所述5G终端接入安全指数的影响程度。6.一种5G终端接入安全风险评估方法，使用如权利要求1
‑
5任一所述的5G终端接入安全风险评估系统，其特征在于，包括如下步骤：S100、准备工作，包括建立所述漏洞数据库和创建所述5G终端安全风险评估模型；S200、5G终端接入，5G终端通过5G基站接入5G网络，进行认证；S300、威胁因素的初值赋值，结合网络侧的信息和所述漏洞数据库，所述威胁因素初值获取模块获取所述5G终端接入的威胁因素的初值；S400、评估层隶属度矩阵计算，把所述5G终端接入的威胁因素的初值输入所述模糊映射模块一，计算5G终端接入的威胁因素相对于机密性、完整性、可用性的权重，通过所述模糊映射函数计算所述评估层隶属度矩阵；S500、威胁因素权重向量计算，把所述评估层隶属度矩阵输入所述信息熵权重计算模块一，计算得到所述5G终端接入的威胁因素权重向量；S600、评估层输入初值计算，根据所述5G终端接入的威胁因素权重向量计算威胁因素集的危害值，所述信息熵权重计算模块一计算得到所述5G终端安全风险评估模型的所述评估层输入初值；S700、安全指数权重向量计算，根据所述评估层输入初值，所述模糊映射模块二和所述信息熵权重计算模块二计算机密性、完整性、可用性指标相对于所述5G终端接入安全指数权重向量；S800、5G终端接入安全等级划分，计算所述5G终端接入安全指数，并划分所述5G终端接入安全等级。7.如权利要求6所述的5G终端接入安全风险评估方法，其特征在于，步骤S100包括：S110、建立漏洞数据库，存储已挖掘的所述5G终端接入的威胁因素和所述5G终端接入的威胁因素的初值，所述5G终端接入的威胁因素的初值越高对5G终端接入安全危害性越大；
S120、创建5G终端安全风险评估模型，结合所述5G终端接入的威胁风险因素建立所述5G终端安全风险评估模型，包括目标层、评估层和威胁因素层，其中所述目标层是所述5G终端接入安全指数的输出层，所述5G终端接入安全指数反映5G终端接入的安全等级，所述5G终端接入安全指数越高，所述5G终端接入安全等级越低，所述评估层从机密性、可用性和完整性对5G终端接入进行评估，所述威胁因素层包含所述5G终端接入的威胁因素，当所述5G终端接入的威胁因素的初值给定后，所述5G终端安全风险评估模型利用评估算法得到所述5G终端接入安全指数，获得所述5G终端接入的安全等级。8.如权利要求6所述的5G终端接入安全风险评估方法，其特征在于，所述步骤S400包括：S410、构建机密性威胁因素集U1和机密性评判集V1，将机密性威胁因素的初值输入机密性模糊映射子模块，对机密性(A1)构造所述机密性威胁因素集U1＝{a1，a2，...，a7}，其中机密性威胁因素a1，a2，...，a7分别表示隐私泄露威胁、数据信令完整性威胁、主认证威胁、二次认证威胁、切片认证威胁、通信信号特征威胁、伪基站检测能力威胁；所述构造机密性评判集V1＝{V
11
，V
12
，V
13
，V
14
，V
15
}，其中V
11
到V
15
分别表示机密性威胁因素对机密性的影响从低、较低、中等、较高到高；S420、构建完整性威胁因素集U2和完整性评判集V2，将完整性威胁因素的初值输入完整性模糊映射子模块，对完整性(A2)构造所述完整性威胁因素集U2＝{b1，b2，b3，b4}，其中完整性威胁因素b1，b2，b3，b4分别表示隐私泄露威胁、数据信令完整性威胁、通信信号特征威胁、伪基站检测能力威胁；构造所述完整性评判集V2＝{V
21
，V
22

【专利技术属性】
技术研发人员：项海波，鲍聪颖，曹炯，吴迪权，孙健，吴昊，唐金辉，伏玉笋，
申请(专利权)人：国网浙江省电力有限公司宁波市镇海区供电公司，
类型：发明
国别省市：