【技术实现步骤摘要】
本专利技术涉及通信安全,具体为一种5g双域专网的零信任安全可信审计方法及装置。
技术介绍
1、5g双域专网指的是以5g移动通信网络及边缘计算技术为基础,满足在教育、政务、企业办公、文旅行业、医疗等领域需求的虚拟专用网络。
2、比如在学校业务连接、高速计算、信息安全等需求的校园虚拟专用网络。作为原校园有线网络及无线网络的延展与补充,这张虚拟校园网将极大提高校园网络覆盖面。通过该业务解决高校师生在校内、本地和全国范围无需vpn拨号,通过5g网络登录校内管理系统和访问校内学术资源的需求。在运营商侧,通过ulcl分流、签约专用dnn和多dnn分流等技术满足校园师生在校内、本地和全国范围内“不换卡、不换号、无须设置”访问校园内网和互联网。
3、公告号为cn116074843b的中国专利技术专利公开了一种5g双域专网的零信任安全可信审计方法,先将用户的访问记录进行入侵检测,确保其可靠性与完整性,再根据用户多方面的日志信息对5g双域专网用户的访问记录进行监测,并对异常情况及时标记,便于后期进行统计分析,从而保证用户的访问安全;通过统计分析审计时间t内的异常访问次数,确实是否具有大批量访问异常的现象,并针对性对访问异常原因进行确定分析,同时还对访问异常的趋势进行初步分析,对访问的趋势进行了一定的预警提示。
技术实现思路
1、针对现有技术的不足,本专利技术提供了一种5g双域专网的零信任安全可信审计方法及装置,解决了提供更高级别的网络安全保护,减少潜在的网络威胁和攻击,确保5g
2、为实现以上目的,本专利技术通过以下技术方案予以实现:一种5g双域专网的零信任安全可信审计方法,包括以下步骤:对5g双域专网进行零信任网络隔离,每个域单独进行用户验证和授权;进行设备安全性认证,包括认证设备的健康状态和合规状态;对用户进行多因素身份验证,分析用户访问是否具有安全风险,所述多因素身份验证包括知识因素验证和生物识别因素验证;进行网络安全审计,定期评估和验证网络安全。
3、进一步地,进行零信任网络隔离的过程如下:根据网络资源的敏感程度划分不同的域,包括低敏感域和高敏感域;识别并确定5g双域专网内的所有网络资源,所述包括网络资源核心网络资源、边缘节点资源、应用程序资源、数据库资源;根据网络资源的性质、重要性和敏感性来确定其所属的敏感性级别,并将分类后的网络资源分别分配到低敏感域和高敏感域;定义每个域的边界,确保域内网络资源和通信在边界内完成,并实施严格的访问控制策略。
4、进一步地,所述访问控制策略具体为低敏感域进行知识因素验证,高敏感域进行知识因素验证和生物识别因素验证;所述知识因素验证包括密码验证,pin码验证和个人识别号验证,所述生物识别因素验证包括指纹验证、虹膜扫描验证和面部识别验证。
5、进一步地,所述进行设备安全性认证的过程如下:识别每个设备都必须具有的唯一标识符,所述标识符包括mac地址、设备证书和硬件id;在设备连接到网络时进行健康状态检查,获得设备健康分数;基于设定的合规性标准检查设备的合规状态,获取设备合规性分数,所述合规性标准包括nist标准和iso标准;基于获取的设备健康分数和设备合规性分数评估设备允许接入5g双域专网的信任系数xrx,若信任系数xrx低于设定的信任阈值,则不允许接入5g双域专网。
6、进一步地,所述信任系数xrx的计算公式如下:其中,为设备健康分数,bugc为存在的安全漏洞的数量,bugy为已修复的安全漏洞的数量,e为自然常数,为设备合规性分数,xmyc为检查设备的合规状态时检查的项目数,xmf为符合设定的合规性标准的项目数,λ1和λ2分别为设备健康分数和设备合规性分数的权重因子。
7、进一步地,所述对用户进行多因素身份验证,分析用户访问是否具有安全风险的过程如下:对于低敏感域:用户进行知识因素验证,若验证成功输出知识因素验证分数zsyz为1,允许用户访问低敏感域,若验证不成功则输出知识因素验证分数zsyz为0,不允许用户访问低敏感域;对于高敏感域:用户先进行知识因素验证,若验证不成功输出知识因素验证分数zsyz为0,不允许用户访问高敏感域;若验证成功则允许用户进行生物识别因素验证;基于用户验证时的知识因素,获取用户预先存储的生物识别信息;获取用户进行生物识别因素验证时的生物验证信息;提取生物验证信号的验证特征向量和生物识别信息的对比特征向量,对比验证特征向量与对比特征向量的符合程度,获取相似度分数;基于相似度分数和知识因素验证分数获取验证通过指标λfh,通过验证通过指标λfh评估用户是否通过生物识别因素验证,若通过则允许用户访问高敏感域,若否则不允许访问高敏感域。
8、进一步地,所述基于相似度分数zsyz和知识因素验证分数获取验证通过指标λfh的计算公式如下:其中i=1,2,3,...,n为验证特征向量与对比特征向量的数量,fiy为第i个验证特征向量,fid为第i个对比特征向量,fiy·fid为第i个验证特征向量和第i个对比特征向量的点积,||fiy||和||fid||分别为第i个验证特征向量和第i个对比特征向量的模,θ为预先存储的调制系数,为知识因素验证分数。
9、进一步地,所述进行网络安全审计,定期评估和验证网络安全的过程如下:在设定的审计周期t内获取用户验证成功率、设备允许接入5g双域专网的信任系数以及日志信息的完整程度系数;基于用户验证成功率、设备允许接入5g双域专网的信任系数以及日志信息的完整程度系数计算网络安全程度指标γwa,计算公式为:其中为用户验证成功率,yzz为审计周期t内的验证次数,yzc为审计周期t内验证成功的次数,wzx为日志信息的完整程度系数,ψ为指标计算调制因子,γ1,γ2和λ3分别为用户验证成功率、设备允许接入5g双域专网的信任系数以及日志信息的完整程度系数的权重因子;判断网络安全程度指标是否大于设定的安全阈值,若是则5g双域专网网络安全符合要求,若否则网络安全不符合要求。
10、进一步地,所述日志信息的完整程度系数的计算过程如下:对用户的不同日志信息分别应用哈希函数来生成不同日志信息的日志哈希值;将生成的日志哈希值与相应的日志信息一起存储;当需要验证日志信息的完整性时,再次应用哈希函数来计算当前日志信息的验证哈希值,验证当前日志信息的验证哈希值与存储的日志哈希值是否相同,若相同则输出当前日志信息的验证分数为1,若不相同则输出当前日志信息的验证分数为0;对所有的日志信息进行验证,获取日志信息的完整程度系数,计算公式为:其中hari为需要验证的日志信息的总个数,haxt为验证分数为1的日志信息的个数。
11、一种用于5g双域专网的零信任安全可信审计方法的装置,包括5g双域专网隔离模块、设备安全性认证模块、用户身份验证模块和网络安全审计模块,其中:所述5g双域专网隔离模块用于对5g双域专网进行零信任网络隔离,每个域单独进行用户验证和授权;所述设备安全性认证模块用于进行设备安全性认证,包括认证设备的健康状态和合规状态;所本文档来自技高网...
【技术保护点】
1.一种5G双域专网的零信任安全可信审计方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,进行零信任网络隔离的过程如下:
3.根据权利要求2所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述访问控制策略具体为低敏感域进行知识因素验证,高敏感域进行知识因素验证和生物识别因素验证;
4.根据权利要求3所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述进行设备安全性认证的过程如下:
5.根据权利要求4所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述信任系数XRx的计算公式如下:
6.根据权利要求5所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述对用户进行多因素身份验证,分析用户访问是否具有安全风险的过程如下:
7.根据权利要求6所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述基于相似度分数ZSyz和知识因素验证分数获取验证通过指标Λfh的计算公式如下:
8.根据权利要
9.根据权利要求8所述的一种5G双域专网的零信任安全可信审计方法,其特征在于,所述日志信息的完整程度系数的计算过程如下:
10.一种用于5G双域专网的零信任安全可信审计方法的装置,其特征在于,包括5G双域专网隔离模块、设备安全性认证模块、用户身份验证模块和网络安全审计模块,其中:
...【技术特征摘要】
1.一种5g双域专网的零信任安全可信审计方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种5g双域专网的零信任安全可信审计方法,其特征在于,进行零信任网络隔离的过程如下:
3.根据权利要求2所述的一种5g双域专网的零信任安全可信审计方法,其特征在于,所述访问控制策略具体为低敏感域进行知识因素验证,高敏感域进行知识因素验证和生物识别因素验证;
4.根据权利要求3所述的一种5g双域专网的零信任安全可信审计方法,其特征在于,所述进行设备安全性认证的过程如下:
5.根据权利要求4所述的一种5g双域专网的零信任安全可信审计方法,其特征在于,所述信任系数xrx的计算公式如下:
6.根据权利要求5所述的一种5g双域专网的零信任安全可信审计方法,...
【专利技术属性】
技术研发人员:宋永胜,戴永红,黄劲安,郑锐生,黎穗卿,韩钰昕,
申请(专利权)人:中通服中睿科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。