基于零信任的5G网络切片安全研究

随着5G网络的广泛部署和网络切片技术的出现,安全问题逐渐成为5G网络建设中不可忽视的一部分。在5G网络中,传统基于边界的安全防护架构无法满足更高安全需求的挑战,而不再划分信任区域、持续验证的零信任架构逐渐得到认可。分析切片现有安全技术缺陷,结合软件定义安全边界的思想,设计了基于零信任的切片安全架构。在信任评估中引入基于服务质量参数的可信度量方法,从可用性、可靠性和实时性角度建立可信度量过程,为持续验证用户是否可信、提供细粒度的访问控制决策奠定了基础。试验结果初步验证了可信度量方法的可行性。所设计的零信任网络安全架构和可信度量方法对信息安全防御相关研究和工程技术人员具有借鉴意义。     

零信任网络综述

针对目前网络安全形势日益严峻的问题,零信任网络给出了一种能够有效缓解传统网络安全威胁的架构及其设计与实现方法。零信任的核心思想是“永不信任,始终验证”,零信任网络是在传统网络架构中有效融入零信任机制的一种新型网络安全架构,将实现对网络中所有的对象进行验证,并授予其最小访问权限,同时对所有的访问行为进行持续、动态的评估决策。介绍了零信任网络的基本定义,指出了传统网络架构的不足之处,给出了零信任网络架构。重点从身份和访问管理、微分段以及软件定义边界等方面简述了零信任网络的关键技术,评价了各自的技术特点及应用场景。对目前零信任网络在大数据、云计算、5G和物联网等相关领域内的研究进展和成果进行了分析。对零信任网络进行了总结,并对未来的发展进行了展望。     

零信任网络及其关键技术综述

在网络安全威胁日趋严峻、安全防御手段日益复杂的情况下，零信任网络能够对传统边界安全架构进行全新的评估和审视。零信任强调不要永远信任，而且要持续验证，而零信任网络不以位置标识身份，所有访问控制严格执行最小权限，所有访问过程被实时跟踪和动态评估。首先，给出了零信任网络的基本定义，指出了传统边界安全暴露出的主要问题，并描述了零信任网络模型；其次，分析了软件定义边界（SDP）、身份和访问管理、微隔离、自动配置管理系统（ACMS）等零信任网络中的关键技术；最后，对零信任网络进行了总结，并展望未来发展。     

零信任在气象网络安全中的应用研究

分析了气象信息网络面临的新形势和存在的问题，设计了一种基于零信任的气象网络安全模型，采用全流量网络数据包认证的方法，解决了模型中零信任服务的主机安全问题以及资源请求全过程的通信安全问题，结合气象网络的实际特点，给出了零信任气象网络的部署方式，并将模型应用在重庆气象业务中的互联网远程访问、互联网/气象专网统一访问和气象云/政务云统一访问等场景，实践证明，该模型提高了气象数据资源的安全性。     

雾化零信任组件的5G电力失陷终端威胁检测

5G技术在电力行业的普及推进了海量电力终端接入网络,但众多电力终端暴露在互联网中,攻击者可以先入侵脆弱的电力终端进行远程控制,然后以失陷终端作为跳板,纵向渗透到5G电力物联网内部从而窃取敏感数据。零信任的出现为失陷终端威胁检测提供了可能,然而电力终端分布具有广泛性,致使中心化零信任安全架构无法直接应用于5G电力物联网。提出一种雾化零信任组件的失陷终端威胁检测方案。采用分布式多点方式将零信任组件雾化部署到电力终端周围,并设计一套宕机组件应急响应流程用于及时发现单点失效的零信任组件。建立一种突发信任评估模型,充分利用安装在电力终端的零信任代理持续性地收集终端行为因素,从中提取突发因子并量化反映到信任值,以快速发现和阻断具有突发异常行为的失陷终端。仿真结果表明,该方案能有效缓解零信任组件部署于5G电力物联网时的检测压力,在失陷终端比例为20%的条件下对突变异常失陷终端的检测率高达92.3%,具有较好的非法访问抑制效果。     

基于零信任体系的数字身份安全平台设计与研究

高校在统一身份认证和访问控制方面的防控仍较薄弱,面对层出不穷的网络安全威胁显得力不从心。为此,提出基于零信任体系的数字身份安全平台解决方案。引入零信任SDP技术搭建高校零信任安全架构,重构统一身份认证与访问授权平台,按功能划分DMZ微隔离区,实现用户身份统一管理、平台多因素多维认证、服务端口和设备信息对外动态隐藏、访问链接动态授权。结合四网融合场景分析校内外5G用户、校内Wi-Fi用户、校园网用户和校外互联网用户访问数字身份安全平台的准入方式。研究成果极大地丰富了智慧校园研究内容,也为高校重构和升级统一身份认证和访问授权平台提供一种全新的解决思路。     

基于零信任架构的安全网关设计

随着用户访问位置的不确定性和企业内部资源部署的云化/Saas化，传统的基于边界的防护理念已经不能适应新的安全挑战，为了解决这一问题，本着“从不信任，持续验证”的零信任防护理念应运而生。基于该理念下的零信任架构也成为了研究的热点，本文在研究了软件定义边界（SDP）的基础上，以零信任网关产品的设计实现为出发点，重点介绍了接入控制方案中的端口隐身技术和持续验证技术，并提出了一种两级验证的持续验证方法。     

信任在访问控制中的应用及研究

根据大规模、开放式的分布式网络环境的特点,分析了传统安全机制的不足,把信任机制引入到访问控制中,并给出了信任的定义和分类,重点讨论了行为信任的性质和计算方法,给出相应的访问控制模型.通过同时对身份信任和行为信任的验证,增强了资源访问的安全性.     

基于零信任的省级气象信息网络防护技术研究

随着省级气象部门对外服务统一出口要求,系统和数据逐步集约化,部分省级单位建立了专门对外提供数据服务的数据中台,传统网络安全技术在当前新的业务形态和场景下显得捉襟见肘。零信任作为一种全新的网络安全理念,为重构网络安全架构提供了理论指引。设计了一种基于零信任的适用于省级气象部门的安全架构体系,并基于零信任构建了气象网络的可信访问通道解决数据访问管道安全问题,提出了一种数据动态授权访问的方法解决气象数据安全访问授信问题,给出终端可信空间方案解决端上数据泄露问题。     

可信网络中一种基于行为信任预测的博弈控制机制

近年来,网络可信的研究已成为一个研究热点,其中用户的行为信任研究是网络可信研究的重要内容之一.由于用户行为信任的评估是基于过去交往的行为证据之上,而我们需要的是未来的用户行为信任等级,因此科学地预测未来用户的行为信任等级是非常必要的,文中首先论述了如何利用贝叶斯网络对用户的行为信任进行预测,提供的机制不仅可以预测单属性条件下的行为信任等级,而且可以预测多属性条件下的行为信任等级.由于信任和风险是并存的,单独依靠预测的信任等级进行决策是非常片面和危险的,因此该文的其余部分将行为信任预测结果和博弈分析相结合对双方的支付矩阵进行分析,计算出了基于用户安全行为属性的混合纳什均衡策略,证明了服务提供者进行控制的决策条件,得出了相关的一些重要性质,最后通过一个例子来说明论文的应用.该文的结果对于量化分析用户行为信任具有重要的理论意义.文章在分析过程和实例中结合了数字化电子资源的实际网络应用背景,因此该机制在实际的网络应用中同样具有重要的指导意义.     

基于反馈相关性的P2P网络信任模型

用户对P2P网络安全性的需求刺激了信任模型的发展。在分析现有信任模型的基础上,提出了基于反馈相关性的动态信任模型—CoDyTrust。其在时间帧的基础上,采用虚假信任过滤机制和信任聚合机制,并在信任值计算中引入信任相关系数、信任遗忘因子、滥用信任值和推荐信任度等,通过反馈控制机制动态调节这些模型因子,在准确评价节点对不同资源信任的同时,实现网络中恶意行为检测。比较分析结果表明,CoDyTrust能够更好地反映网络中节点行为,准确检测恶意节点,有效抵御振荡、撒谎和合谋等攻击。     

基于安全信任的网络切片部署策略研究

5G移动通信网虚拟化场景下,如何安全部署网络切片是未来5G大规模商用的前提。针对5G网络切片部署的安全性,提出一种基于安全信任的网络切片部署策略。该部署策略通过提出安全信任值概念,来有效量化分析VNF和网络资源的安全性,并以此为基础,利用0-1整数线性规划方法构建网络切片部署的数学模型,利用启发式算法进行求解,找到网络切片部署成本最小的部署方案。仿真实验表明,该部署策略在保证部署安全的前提下,减少了部署成本,同时获得较好的安全收益和部署收益率。     

基于可信计算平台的自动信任协商

可信计算平台的应用保证了终端的可信性,为网络安全问题的解决和可信网络的构建提供了必要的安全支持.网络安全的首要问题是信任关系的建立,自动信任协商是解决该问题的一种有效的方法.在介绍了可信计算平台的基本组成、自动信任协商的概念之后给出了一种基于可信计算平台的信任协商模型,阐述了可信计算平台为信任协商提供的安全支持并探讨了自动信任协商中的若干关键问题.最后,给出了一个基于可信计算平台的信任协商的示例.     

对等网络信任机制研究

对等网络环境下的信任机制是作为一种新颖的安全问题解决方案被引入的,基本思想是让交易参与方在交易完成后相互评价,根据对某个参与方(主体)的所有评价信息,计算该主体的信任度,为对等网络中其他主体以后选择交易对象时提供参考.文中介绍了对等网络环境下信任的基本定义.深入剖析了信任机制与网络安全的关系,并讨论了信任机制的体系结构.根据信任机制研究的内容分别归纳总结了信任模型和信任推理方法的最新研究成果,并选取典型的信任模型进行了评述.最后探讨了目前研究中存在的问题,并展望了需要进一步研究的方向.     

基于区块链的分布式可信网络连接架构

可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述：（1）提出了面向访问控制、数据保护和身份认证的3种区块链系统;（2）提出了基于区块链技术构建分布式的可信验证者;（3）提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.     

A computational trust model for access control in P2P

Trust brings a new method for building scalable and fine-grained access control mechanism in P2P systems. The quantificational expression of trust and the calculation of trust in a trust network are the basis of trust degree based access control. In this paper, the properties of trust is analyzed by referring to the fruits from social science; the semantics of trust in the context of access control is described, and a trust degree based access control model named TDBAC is introduced. Basing on the propertie...     

面向智能家居的区块链轻量级认证机制

5G技术为智能家居行业开拓了更大的发展空间,但安全问题也日益突出,用户身份认证作为信息安全防护的第一道关卡备受关注.智能家居系统传统的认证方法存在中心化信任挑战,且资源开销大.区块链技术因其去中心化、不可篡改等优势成为研究热点,为实现分布式智能家居系统安全认证提供了新思路.但无中心认证面临着用户与多个分布式终端认证的效率问题和用户隐私泄露问题两个方面的挑战.提出了一种基于区块链的动态可信轻量级认证机制(dynamic trusted lightweight authentication mechanism, DTL). DTL机制采用联盟链构建区块链系统,既保证了仅授权的智能家居传感器节点可加入网络,又满足分布式高效认证和安全访问需求.DTL具有以下优点:(1)针对认证效率问题,通过改进共识算法建立面向智能家居的动态可信传感设备组(DTsensorgroup,DTSG)认证机制,避免了传统的用户端与传感终端或者网关节点之间一对一的频繁认证引起的接入效率低和用户访问速率低问题,实现了轻量级认证;(2)针对用户隐私保护问题,创新性地设计了DTSG机制和零知识证明结合的认证方案,在不泄露用户...     

信任机制及其在网格安全中的应用

分析了网格计算环境对信任机制的需求,将信任机制分为理性信任和感性信任,并给出了相应的两种信任机制模型,结合网格计算的安全功能,给出了有感性信任参与下的网格安全服务,最后结合基于角色的访问控制（RBAC）机制给出了该模型的一个实例,即通过理性信任和感性信任的评判得到信任度等级,根据该信任度等级来决定用户所分配的角色和权限集。