一种5G双域专网的零信任安全可信接入方法技术

本发明专利技术公开了一种5G双域专网的零信任安全可信接入方法，具体涉及5G通信技术领域，用于解决现如今随着5G与校园网的深度融合，运营商双域专网业务实现高职校的不断拓展与落地，越来越多场景需要解决海量终端的安全可信接入的问题；包括UPF设备上启用头增强功能，并在传输的报文中添加用户MSISDN信息；安全网关模块接收到传输的报文后，识别报文中的用户MSISDN信息并对其校内信息绑定进行确认，完成二次鉴权；本发明专利技术通过将5G校园网的用户信息与其校内信息相结合，并对5G校园网的用户信息的身份进行二次鉴权，能够对所有访问终端的真实身份判断，拒绝非校内师生的访问，确保只为在校的师生提供相关5G校园网服务。校的师生提供相关5G校园网服务。校的师生提供相关5G校园网服务。

【技术实现步骤摘要】
一种5G双域专网的零信任安全可信接入方法


[0001]本专利技术涉及5G通信
，更具体地说，本专利技术涉及一种5G双域专网的零信任安全可信接入方法。

技术介绍

[0002]5G虚拟校园网（5G双域专网），指的是以5G移动通信网络及边缘计算技术为基础，满足学校业务连接、高速计算、信息安全等需求的校园虚拟专用网络。作为原校园有线网络及无线网络的延展与补充，这张虚拟校园网将极大提高校园网络覆盖面。通过该业务解决高校师生在校内、本地和全国范围无需VPN拨号，通过5G网络登录校内管理系统和访问校内学术资源的需求。在运营商侧，通过ULCL分流、签约专用DNN和多DNN分流等技术满足校园师生在校内、本地和全国范围内“不换卡、不换号、无须设置”访问校园内网和互联网。
[0003]零信任安全架构是以身份为核心，以持续认证、动态授权、全局防御安全理念，以“永不信任、持续认证”的方式变被动为主动防御，在不可信开放网络上，构建端到端的动态授权可信通信网络。通过身份认证、微隔离控制、权限控制、环境持续评估等多种手段实施访问过程的精细化控制。
[0004]现如今随着5G与校园网的深度融合，运营商双域专网业务实现高职校的不断拓展与落地，越来越多场景需要解决海量终端的安全可信接入等问题，这些问题诸如：用户可信接入（二次鉴权）、用户权限分级、校园内网应用数据安全分级等问题，这些问题的解决需要依赖于更安全、可靠的技术用户认证及细粒度访问控制等技术来解决。
[0005]针对上述问题，本专利技术提出一种解决方案。
专利
技术实现思路

[0006]为了克服现有技术的上述缺陷，本专利技术的实施例提供一种5G双域专网的零信任安全可信接入方法，通过将5G校园网的用户信息与其校内信息相结合，并对5G校园网的用户信息的身份进行二次鉴权，以解决上述
技术介绍
中提出的问题。
[0007]为实现上述目的，本专利技术提供如下技术方案：一种5G双域专网的零信任安全可信接入方法，包括如下步骤：步骤S11，用户将自身MSISDN信息与校内信息进行绑定；步骤S12，UPF设备上启用头增强功能，并在传输的报文中添加用户MSISDN信息；步骤S14，安全网关模块接收到传输的报文后，识别报文中的用户MSISDN信息并对其校内信息绑定进行确认，完成二次鉴权。
[0008]在一个优选的实施方式中，所述安全网关模块的二次鉴权具体指的是：安全网关模块识别到报文中的用户MSISDN信息后，从校内自服务平台进行查询，确定接收的用户MSISDN信息是否绑定校内信息成功，若如果不成功，阻断访问，反之则进行放行。
[0009]在一个优选的实施方式中，在步骤S14前，还包括步骤S13：
安全网关模块设置有会话认证名单，对于经过认证的用户MSISDN信息的会话进行直接放行。
[0010]在一个优选的实施方式中，所述会话认证名单是指经过认证的用户MSISDN信息。
[0011]在一个优选的实施方式中，所述安全网关模块每隔单位时间对会话认证名单进行再次校验，对其中绑定的校内账号信息失效的用户MSISDN信息进行删除处理。
[0012]在一个优选的实施方式中，所述安全网关模块确认用户MSISDN信息的校内绑定信息时，还对其校内剩余时间进行确定，并记录对应的校内剩余时间；安全网关模块在用户MSISDN信息对应的校内剩余时间到达时，对用户MSISDN信息绑定的校内信息进行再次确认，判断绑定的校内信息是否失效，若失效，则将用户MSISDN信息从会话认证名单中移除。
[0013]在一个优选的实施方式中，所述校内剩余时间是指师生的离校时间。
[0014]在一个优选的实施方式中，还包括多设备接入访问时的验证方法，具体包括如下步骤：步骤S21，当用户MSISDN信息访问时，若已存在通过该用户MSISDN信息访问的UE，安全网关模块根据首末UE的接入信息判断接入是否有异常；若接入无异常则对该次访问进行放行，反之则进行预警；步骤S22，当安全网关模块进行预警时，清除会话认证名单中该用户MSISDN信息，并对已访问设备进行弹窗，提示其进行身份确认。
[0015]在一个优选的实施方式中，在步骤S21中，首末UE的接入信息是指首末UE接入所在IP距离信息以及接入间隔时间信息；安全网关模块通过公式计算盗用预警系数R，并将盗用预警系数R与标准盗用阈值进行比较：若盗用预警系数R大于等于标准盗用阈值，则安全网关模块发出预警弹窗，反之，安全网关模块对用户访问进行放行。
[0016]在一个优选的实施方式中，在步骤S22中，当用户对预警弹窗进行身份否认后，对该UE使用该MSISDN信息进行禁用；当用户对预警弹窗进行身份确定后，则将用户对应的MSISDN信息再次加入会话认证名单中。
[0017]本专利技术一种5G双域专网的零信任安全可信接入方法的技术效果和优点：本专利技术通过将5G校园网的用户信息与其校内信息相结合，并对5G校园网的用户信息的身份进行二次鉴权，能够对所有访问终端的真实身份判断，拒绝非校内师生的访问，确保只为在校的师生提供相关5G校园网服务；本专利技术通过设置维护会话认证名单，无需每次登录均对用户MSISDN信息进行验证，实现了实现用户5G快速无感知认证，同时通过定时认证与根据离校时间认证的双重手段保证了5G校内服务的准确性；本专利技术通过将5G校园网的用户信息与其校内信息相结合，并对5G校园网的用户信息的身份进行二次鉴权，用户在接入5G校园网时，无需输入常规的账号密码，只需输入手机号验证即可；本专利技术通过对多接入设备之间的差异进行预警分析，能够及时对账号盗用进行预警提示，确保了5G校园网用户的唯一性与准确性。
附图说明
[0018]图1为本专利技术一种5G双域专网的零信任安全可信接入方法的流程图；图2为本专利技术5G双域专网数据传输逻辑示意图；图3为本专利技术多设备接入访问时的验证方法的流程图。
具体实施方式
[0019]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0020]本专利技术一种5G双域专网的零信任安全可信接入方法，通过将5G校园网的用户信息与其校内信息相结合，并对5G校园网的用户信息的身份进行二次鉴权，确保只为在校的师生提供相关5G校园网服务。
[0021]由于本申请实施例涉及5G双域专网的数据传输过程，为了便于理解，下面先对本申请实施例涉及的相关术语及相关概念进行介绍：UE：用户终端，即手机、电脑等；MSISDN:5G网用户的手机号码；GGSN/PGW：2G/3G/4G设备，5G设备雷同；UPF：(User Plane Function，用户平面功能)用于数据传输的网关网元。
[0022]实施例1图1给出了本专利技术一种5G双域专网的零信任安全可信接入方法的流程图，图2给出了本专利技术5G双域专网数据传输逻辑示意图；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种5G双域专网的零信任安全可信接入方法，其特征在于：包括如下步骤：步骤S11，用户将自身MSISDN信息与校内信息进行绑定；步骤S12，UPF设备上启用头增强功能，并在传输的报文中添加用户MSISDN信息；步骤S14，安全网关模块接收到传输的报文后，识别报文中的用户MSISDN信息并对其校内信息绑定进行确认，完成二次鉴权。2.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法，其特征在于：所述安全网关模块的二次鉴权具体指的是：安全网关模块识别到报文中的用户MSISDN信息后，从校内自服务平台进行查询，确定接收的用户MSISDN信息是否绑定校内信息成功，若如果不成功，阻断访问，反之则进行放行。3.根据权利要求1所述的一种5G双域专网的零信任安全可信接入方法，其特征在于：在步骤S14前，还包括步骤S13：安全网关模块设置有会话认证名单，对于经过认证的用户MSISDN信息的会话进行直接放行。4.根据权利要求3所述的一种5G双域专网的零信任安全可信接入方法，其特征在于：所述会话认证名单是指经过认证的用户MSISDN信息。5.根据权利要求3所述的一种5G双域专网的零信任安全可信接入方法，其特征在于：所述安全网关模块每隔单位时间对会话认证名单进行再次校验，对其中绑定的校内账号信息失效的用户MSISDN信息进行删除处理。6.根据权利要求3所述的一种5G双域专网的零信任安全可信接入方法，其特征在于：所述安全网关模块确认用户MSISDN信息的校内绑定信息时，还对其校内剩余时间进行确定，并记录对应的校内剩余时间；安全网关模块在用户MSISD...

【专利技术属性】
技术研发人员：赵奇峰，毛守焱，姚杰译，万翔，
申请(专利权)人：北京派网科技有限公司，
类型：发明
国别省市：