基于零信任的5G网络切片安全研究

随着5G网络的广泛部署和网络切片技术的出现,安全问题逐渐成为5G网络建设中不可忽视的一部分。在5G网络中,传统基于边界的安全防护架构无法满足更高安全需求的挑战,而不再划分信任区域、持续验证的零信任架构逐渐得到认可。分析切片现有安全技术缺陷,结合软件定义安全边界的思想,设计了基于零信任的切片安全架构。在信任评估中引入基于服务质量参数的可信度量方法,从可用性、可靠性和实时性角度建立可信度量过程,为持续验证用户是否可信、提供细粒度的访问控制决策奠定了基础。试验结果初步验证了可信度量方法的可行性。所设计的零信任网络安全架构和可信度量方法对信息安全防御相关研究和工程技术人员具有借鉴意义。     

零信任网络综述

针对目前网络安全形势日益严峻的问题,零信任网络给出了一种能够有效缓解传统网络安全威胁的架构及其设计与实现方法。零信任的核心思想是“永不信任,始终验证”,零信任网络是在传统网络架构中有效融入零信任机制的一种新型网络安全架构,将实现对网络中所有的对象进行验证,并授予其最小访问权限,同时对所有的访问行为进行持续、动态的评估决策。介绍了零信任网络的基本定义,指出了传统网络架构的不足之处,给出了零信任网络架构。重点从身份和访问管理、微分段以及软件定义边界等方面简述了零信任网络的关键技术,评价了各自的技术特点及应用场景。对目前零信任网络在大数据、云计算、5G和物联网等相关领域内的研究进展和成果进行了分析。对零信任网络进行了总结,并对未来的发展进行了展望。     

零信任网络及其关键技术综述

在网络安全威胁日趋严峻、安全防御手段日益复杂的情况下，零信任网络能够对传统边界安全架构进行全新的评估和审视。零信任强调不要永远信任，而且要持续验证，而零信任网络不以位置标识身份，所有访问控制严格执行最小权限，所有访问过程被实时跟踪和动态评估。首先，给出了零信任网络的基本定义，指出了传统边界安全暴露出的主要问题，并描述了零信任网络模型；其次，分析了软件定义边界（SDP）、身份和访问管理、微隔离、自动配置管理系统（ACMS）等零信任网络中的关键技术；最后，对零信任网络进行了总结，并展望未来发展。     

零信任在气象网络安全中的应用研究

分析了气象信息网络面临的新形势和存在的问题，设计了一种基于零信任的气象网络安全模型，采用全流量网络数据包认证的方法，解决了模型中零信任服务的主机安全问题以及资源请求全过程的通信安全问题，结合气象网络的实际特点，给出了零信任气象网络的部署方式，并将模型应用在重庆气象业务中的互联网远程访问、互联网/气象专网统一访问和气象云/政务云统一访问等场景，实践证明，该模型提高了气象数据资源的安全性。     

雾化零信任组件的5G电力失陷终端威胁检测

5G技术在电力行业的普及推进了海量电力终端接入网络，但众多电力终端暴露在互联网中，攻击者可以先入侵脆弱的电力终端进行远程控制，然后以失陷终端作为跳板，纵向渗透到5G电力物联网内部从而窃取敏感数据。零信任的出现为失陷终端威胁检测提供了可能，然而电力终端分布具有广泛性，致使中心化零信任安全架构无法直接应用于5G电力物联网。提出一种雾化零信任组件的失陷终端威胁检测方案。采用分布式多点方式将零信任组件雾化部署到电力终端周围，并设计一套宕机组件应急响应流程用于及时发现单点失效的零信任组件。建立一种突发信任评估模型，充分利用安装在电力终端的零信任代理持续性地收集终端行为因素，从中提取突发因子并量化反映到信任值，以快速发现和阻断具有突发异常行为的失陷终端。仿真结果表明，该方案能有效缓解零信任组件部署于5G电力物联网时的检测压力，在失陷终端比例为20%的条件下对突变异常失陷终端的检测率高达92.3%，具有较好的非法访问抑制效果。     

基于零信任体系的数字身份安全平台设计与研究

高校在统一身份认证和访问控制方面的防控仍较薄弱,面对层出不穷的网络安全威胁显得力不从心。为此,提出基于零信任体系的数字身份安全平台解决方案。引入零信任SDP技术搭建高校零信任安全架构,重构统一身份认证与访问授权平台,按功能划分DMZ微隔离区,实现用户身份统一管理、平台多因素多维认证、服务端口和设备信息对外动态隐藏、访问链接动态授权。结合四网融合场景分析校内外5G用户、校内Wi-Fi用户、校园网用户和校外互联网用户访问数字身份安全平台的准入方式。研究成果极大地丰富了智慧校园研究内容,也为高校重构和升级统一身份认证和访问授权平台提供一种全新的解决思路。     

基于零信任架构的安全网关设计

随着用户访问位置的不确定性和企业内部资源部署的云化/Saas化，传统的基于边界的防护理念已经不能适应新的安全挑战，为了解决这一问题，本着“从不信任，持续验证”的零信任防护理念应运而生。基于该理念下的零信任架构也成为了研究的热点，本文在研究了软件定义边界（SDP）的基础上，以零信任网关产品的设计实现为出发点，重点介绍了接入控制方案中的端口隐身技术和持续验证技术，并提出了一种两级验证的持续验证方法。     

无线自组网中基于匿名电子投票的信任评估

无线自组网中的信任评估对安全的通信与路由有着重要的作用,传统的信任评估需要事先对事件进行好坏分类,然后采取一定的算法对事件进行统计分析,得出量化的信任评估结果.在移动自组网中,由于网络的动态性,网络环境的不可预测性,新出现的事件难以很快确定类型,传统评估方法应用效果有限,提出了一个基于匿名电子投票的信任评估机制,该机制不需要事先对网络事件进行好坏分类,直接对各个节点的投票进行统计以确定被投票节点的信任程度,该信任评估机制具有客观性、唯一性、可靠性以及匿名性的特点.     

基于自适应交互反馈的电力终端信任度评估机制

在电力系统中,终端设备的信任度评估是实现访问权限分级、数据安全采集的关键技术,对于保证电网安全稳定运行具有重要意义。传统的信任度评估模型通常基于终端设备身份识别、运行状态和交互记录等直接计算信任度评分,在面临间接攻击和节点共谋时,性能较差。针对上述问题,提出一种基于自适应交互反馈的信任度评估（Adaptive Interaction Feedback based Trust evaluation, AIFTrust）机制。所提机制通过直接信任评估模块、信任推荐模块和信任聚合模块全面地度量设备的信任等级,针对电力信息系统中海量协作终端精准地评估信任度。首先,直接信任评估模块引入交互成本,并基于信任衰减策略计算恶意目标终端的直接信任评分;其次,信任推荐模块引入经验相似性,并通过二次聚类推荐相似终端以提高推荐信任度评分的可靠性;然后,信任聚合模块基于信任评分准确性自适应地聚合直接信任度评分和推荐信任度评分。在真实数据集和生成数据集上的仿真实验结果均表明,在攻击概率为30%、信任衰减率为0.05时,AIFTrust相较于基于相似度的信任评估方法 SFM(Similarity FraMework...     

一种基于多域安全信任的访问控制模型

访问控制是一种可同时服务于用户与资源的安全机制。安全域通过使用访问控制机制为用户访问资源提供方便,同时亦对用户行为进行监视与控制。然而,由于P2P网络缺乏集中控制,现有的访问控制技术无法对P2P网络的网络节点进行控制,特别是网络中节点行为缺乏指导和约束。基于当前P2P网络访问控制中存在的不足,提出一种基于多域安全信任的访问控制模型：MDTBAC。MDTBAC模型通过扩展多级安全机制来实现访问控制,将信任算法计算所得的节点信任度作为访问级别划分标准,根据各个节点的信任度来分配相应的访问控制级别,不同的访问控制级别拥有不同的权限。     

基于反馈相关性的P2P网络信任模型

用户对P2P网络安全性的需求刺激了信任模型的发展。在分析现有信任模型的基础上,提出了基于反馈相关性的动态信任模型—CoDyTrust。其在时间帧的基础上,采用虚假信任过滤机制和信任聚合机制,并在信任值计算中引入信任相关系数、信任遗忘因子、滥用信任值和推荐信任度等,通过反馈控制机制动态调节这些模型因子,在准确评价节点对不同资源信任的同时,实现网络中恶意行为检测。比较分析结果表明,CoDyTrust能够更好地反映网络中节点行为,准确检测恶意节点,有效抵御振荡、撒谎和合谋等攻击。     

信任在访问控制中的应用及研究

根据大规模、开放式的分布式网络环境的特点,分析了传统安全机制的不足,把信任机制引入到访问控制中,并给出了信任的定义和分类,重点讨论了行为信任的性质和计算方法,给出相应的访问控制模型.通过同时对身份信任和行为信任的验证,增强了资源访问的安全性.     

基于安全信任的网络切片部署策略研究

5G移动通信网虚拟化场景下,如何安全部署网络切片是未来5G大规模商用的前提。针对5G网络切片部署的安全性,提出一种基于安全信任的网络切片部署策略。该部署策略通过提出安全信任值概念,来有效量化分析VNF和网络资源的安全性,并以此为基础,利用0-1整数线性规划方法构建网络切片部署的数学模型,利用启发式算法进行求解,找到网络切片部署成本最小的部署方案。仿真实验表明,该部署策略在保证部署安全的前提下,减少了部署成本,同时获得较好的安全收益和部署收益率。     

基于可信计算平台的自动信任协商

可信计算平台的应用保证了终端的可信性,为网络安全问题的解决和可信网络的构建提供了必要的安全支持.网络安全的首要问题是信任关系的建立,自动信任协商是解决该问题的一种有效的方法.在介绍了可信计算平台的基本组成、自动信任协商的概念之后给出了一种基于可信计算平台的信任协商模型,阐述了可信计算平台为信任协商提供的安全支持并探讨了自动信任协商中的若干关键问题.最后,给出了一个基于可信计算平台的信任协商的示例.     

基于区块链的分布式可信网络连接架构

可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述：（1）提出了面向访问控制、数据保护和身份认证的3种区块链系统;（2）提出了基于区块链技术构建分布式的可信验证者;（3）提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.     

A computational trust model for access control in P2P

Trust brings a new method for building scalable and fine-grained access control mechanism in P2P systems. The quantificational expression of trust and the calculation of trust in a trust network are the basis of trust degree based access control. In this paper, the properties of trust is analyzed by referring to the fruits from social science; the semantics of trust in the context of access control is described, and a trust degree based access control model named TDBAC is introduced. Basing on the propertie...     

对等网络信任机制研究

对等网络环境下的信任机制是作为一种新颖的安全问题解决方案被引入的,基本思想是让交易参与方在交易完成后相互评价,根据对某个参与方(主体)的所有评价信息,计算该主体的信任度,为对等网络中其他主体以后选择交易对象时提供参考.文中介绍了对等网络环境下信任的基本定义.深入剖析了信任机制与网络安全的关系,并讨论了信任机制的体系结构.根据信任机制研究的内容分别归纳总结了信任模型和信任推理方法的最新研究成果,并选取典型的信任模型进行了评述.最后探讨了目前研究中存在的问题,并展望了需要进一步研究的方向.     

面向智能家居的区块链轻量级认证机制

5G技术为智能家居行业开拓了更大的发展空间,但安全问题也日益突出,用户身份认证作为信息安全防护的第一道关卡备受关注.智能家居系统传统的认证方法存在中心化信任挑战,且资源开销大.区块链技术因其去中心化、不可篡改等优势成为研究热点,为实现分布式智能家居系统安全认证提供了新思路.但无中心认证面临着用户与多个分布式终端认证的效率问题和用户隐私泄露问题两个方面的挑战.提出了一种基于区块链的动态可信轻量级认证机制(dynamic trusted lightweight authentication mechanism, DTL). DTL机制采用联盟链构建区块链系统,既保证了仅授权的智能家居传感器节点可加入网络,又满足分布式高效认证和安全访问需求.DTL具有以下优点:(1)针对认证效率问题,通过改进共识算法建立面向智能家居的动态可信传感设备组(DTsensorgroup,DTSG)认证机制,避免了传统的用户端与传感终端或者网关节点之间一对一的频繁认证引起的接入效率低和用户访问速率低问题,实现了轻量级认证;(2)针对用户隐私保护问题,创新性地设计了DTSG机制和零知识证明结合的认证方案,在不泄露用户...     

信任机制及其在网格安全中的应用

分析了网格计算环境对信任机制的需求，将信任机制分为理性信任和感性信任，并给出了相应的两种信任机制模型，结合网格计算的安全功能，给出了有感性信任参与下的网格安全服务，最后结合基于角色的访问控制（RBAC）机制给出了该模型的一个实例，即通过理性信任和感性信任的评判得到信任度等级，根据该信任度等级来决定用户所分配的角色和权限集。