一种5G双域专网的零信任安全可信接入方法与流程

一种5g双域专网的零信任安全可信接入方法
技术领域
1.本发明涉及5g通信技术领域，更具体地说，本发明涉及一种5g双域专网的零信任安全可信接入方法。


背景技术：

2.5g虚拟校园网（5g双域专网），指的是以5g移动通信网络及边缘计算技术为基础，满足学校业务连接、高速计算、信息安全等需求的校园虚拟专用网络。作为原校园有线网络及无线网络的延展与补充，这张虚拟校园网将极大提高校园网络覆盖面。通过该业务解决高校师生在校内、本地和全国范围无需vpn拨号，通过5g网络登录校内管理系统和访问校内学术资源的需求。在运营商侧，通过ulcl分流、签约专用dnn和多dnn分流等技术满足校园师生在校内、本地和全国范围内“不换卡、不换号、无须设置”访问校园内网和互联网。
3.零信任安全架构是以身份为核心，以持续认证、动态授权、全局防御安全理念，以“永不信任、持续认证”的方式变被动为主动防御，在不可信开放网络上，构建端到端的动态授权可信通信网络。通过身份认证、微隔离控制、权限控制、环境持续评估等多种手段实施访问过程的精细化控制。
4.现如今随着5g与校园网的深度融合，运营商双域专网业务实现高职校的不断拓展与落地，越来越多场景需要解决海量终端的安全可信接入等问题，这些问题诸如：用户可信接入（二次鉴权）、用户权限分级、校园内网应用数据安全分级等问题，这些问题的解决需要依赖于更安全、可靠的技术用户认证及细粒度访问控制等技术来解决。
5.针对上述问题，本发明提出一种解决方案。


技术实现要素：

6.为了克服现有技术的上述缺陷，本发明的实施例提供一种5g双域专网的零信任安全可信接入方法，通过将5g校园网的用户信息与其校内信息相结合，并对5g校园网的用户信息的身份进行二次鉴权，以解决上述背景技术中提出的问题。
7.为实现上述目的，本发明提供如下技术方案：一种5g双域专网的零信任安全可信接入方法，包括如下步骤：步骤s11，用户将自身msisdn信息与校内信息进行绑定；步骤s12，upf设备上启用头增强功能，并在传输的报文中添加用户msisdn信息；步骤s14，安全网关模块接收到传输的报文后，识别报文中的用户msisdn信息并对其校内信息绑定进行确认，完成二次鉴权。
8.在一个优选的实施方式中，所述安全网关模块的二次鉴权具体指的是：安全网关模块识别到报文中的用户msisdn信息后，从校内自服务平台进行查询，确定接收的用户msisdn信息是否绑定校内信息成功，若如果不成功，阻断访问，反之则进行放行。
9.在一个优选的实施方式中，在步骤s14前，还包括步骤s13：
安全网关模块设置有会话认证名单，对于经过认证的用户msisdn信息的会话进行直接放行。
10.在一个优选的实施方式中，所述会话认证名单是指经过认证的用户msisdn信息。
11.在一个优选的实施方式中，所述安全网关模块每隔单位时间对会话认证名单进行再次校验，对其中绑定的校内账号信息失效的用户msisdn信息进行删除处理。
12.在一个优选的实施方式中，所述安全网关模块确认用户msisdn信息的校内绑定信息时，还对其校内剩余时间进行确定，并记录对应的校内剩余时间；安全网关模块在用户msisdn信息对应的校内剩余时间到达时，对用户msisdn信息绑定的校内信息进行再次确认，判断绑定的校内信息是否失效，若失效，则将用户msisdn信息从会话认证名单中移除。
13.在一个优选的实施方式中，所述校内剩余时间是指师生的离校时间。
14.在一个优选的实施方式中，还包括多设备接入访问时的验证方法，具体包括如下步骤：步骤s21，当用户msisdn信息访问时，若已存在通过该用户msisdn信息访问的ue，安全网关模块根据首末ue的接入信息判断接入是否有异常；若接入无异常则对该次访问进行放行，反之则进行预警；步骤s22，当安全网关模块进行预警时，清除会话认证名单中该用户msisdn信息，并对已访问设备进行弹窗，提示其进行身份确认。
15.在一个优选的实施方式中，在步骤s21中，首末ue的接入信息是指首末ue接入所在ip距离信息以及接入间隔时间信息；安全网关模块通过公式计算盗用预警系数r，并将盗用预警系数r与标准盗用阈值进行比较：若盗用预警系数r大于等于标准盗用阈值，则安全网关模块发出预警弹窗，反之，安全网关模块对用户访问进行放行。
16.在一个优选的实施方式中，在步骤s22中，当用户对预警弹窗进行身份否认后，对该ue使用该msisdn信息进行禁用；当用户对预警弹窗进行身份确定后，则将用户对应的msisdn信息再次加入会话认证名单中。
17.本发明一种5g双域专网的零信任安全可信接入方法的技术效果和优点：本发明通过将5g校园网的用户信息与其校内信息相结合，并对5g校园网的用户信息的身份进行二次鉴权，能够对所有访问终端的真实身份判断，拒绝非校内师生的访问，确保只为在校的师生提供相关5g校园网服务；本发明通过设置维护会话认证名单，无需每次登录均对用户msisdn信息进行验证，实现了实现用户5g快速无感知认证，同时通过定时认证与根据离校时间认证的双重手段保证了5g校内服务的准确性；本发明通过将5g校园网的用户信息与其校内信息相结合，并对5g校园网的用户信息的身份进行二次鉴权，用户在接入5g校园网时，无需输入常规的账号密码，只需输入手机号验证即可；本发明通过对多接入设备之间的差异进行预警分析，能够及时对账号盗用进行预警提示，确保了5g校园网用户的唯一性与准确性。
附图说明
18.图1为本发明一种5g双域专网的零信任安全可信接入方法的流程图；图2为本发明5g双域专网数据传输逻辑示意图；图3为本发明多设备接入访问时的验证方法的流程图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本发明一种5g双域专网的零信任安全可信接入方法，通过将5g校园网的用户信息与其校内信息相结合，并对5g校园网的用户信息的身份进行二次鉴权，确保只为在校的师生提供相关5g校园网服务。
21.由于本技术实施例涉及5g双域专网的数据传输过程，为了便于理解，下面先对本技术实施例涉及的相关术语及相关概念进行介绍：ue：用户终端，即手机、电脑等；msisdn:5g网用户的手机号码；ggsn/pgw：2g/3g/4g设备，5g设备雷同；upf：(user plane function，用户平面功能)用于数据传输的网关网元。
22.实施例1图1给出了本发明一种5g双域专网的零信任安全可信接入方法的流程图，图2给出了本发明5g双域专网数据传输逻辑示意图；包括如下步骤：步骤s11，用户将自身msisdn信息与校内信息进行绑定；步骤s12，upf设备上启用头增强功能，并在传输的报文中添加用户msisdn信息；步骤s14，安全网关模块接收到传输的报文后，识别报文中的用户msisdn信息并对其校内信息绑定进行确认，完成二次鉴权。
23.具体的，在步骤s11中，用户指的是5g双域专网用户，即具有校园网使用资格的用户，5g双域专网用户通过登录校内自服务平台，进行手机号码和校内信息绑定，校内信息可以为校内账号信息，即校内网的账号，该账号一般情况下只为在校师生开放，当师生离校后会对账号进行冻结作废处理，因此，能够验证用户校内身份。
24.在步骤s12中，由于在现有5g信令交互流程中upf设备与校内数据网络无法直接建立请求发送，因此在二次鉴权请求中添加头增强信息，upf头增强模式对接的优势是5g双域网用户访问校内资源时候，无需输入校内用户名和密码，能够通过5g手机号码和校内账号结合进行可信接入。同时，由于msisdn（用户手机号）是在局端upf处临时加入的，有些服务器是不能识别该数据包（例如https），因此，安全网关模块需要去除msisdn包头，然后传输数据包到相关服务器，实现了校内服务器访问的诉求。同时，由于数据包经过安全网关模块后，已经没有msisdn（用户手机号），也保证了用户是隐私性。
25.在步骤s14中，安全网关模块的二次鉴权具体指的是：安全网关模块识别到报文中的用户msisdn信息后，从校内自服务平台进行查询，
确定接收的用户msisdn信息是否绑定校内信息成功，若如果不成功，阻断访问，反之则进行放行。
26.需要说明的是，由于5g运营商网络规划和校园网网络规划不一致，从5g双域专网到校园网时候进行安全网关模块进行nat转换，实现网络访问的便利。校内自服务平台主要用于5g双域专网用户与校内信息的绑定，其为现有技术，在此不做赘述。
27.在一个可选的例子中，对于5g双域专网用户访问校内服务器时，进行访问日志留存和审计。由于安全网关设备可以通过读到msisdn（用户手机号）信息，因此安全网关将相关访问的记录传给安全网关设备日志系统，实现的5g用户访问校内资源的日志记录，从而完成相关审计工作。
28.本方法的工作原理如下：5g双域专网用户先将自身msisdn信息与校内账号信息进行绑定，其msisdn信息可以为校内账号信息中绑定的msisdn信息，也可以为新的msisdn信息，将二者绑定后，在接入5g校园网时，安全网关模块会确定接入用户的msisdn信息是否绑定有校内账号信息，若查询到绑定记录则放行，否则拒绝访问。
29.对于5g双域专网签约用户，由于其在运营商服务期限内校内身份可能发生变化。本方法能够使校方对5g接入校园网用户的身份二次鉴权，确保对所有访问终端的真实身份判断，拒绝非校内师生的访问。例如：张三属于某的学生，在大学一年级时候购买运营商5g双域专网套餐，服务期限是4年。但在大二时候，张三因为某种原因转学，不再是该校学生。对于学校来说，张三不能再访问校内的服务器和图书资源。此时，通过本方法的二次鉴权能够确保只为在校的师生提供相关5g校园网服务。同时由于用户msisdn信息与校内账号信息的结合，用户在接入5g校园网时，无需输入常规的账号密码，只需输入手机号验证即可。
30.实施例2本发明实施例2与上述实施例的区别在于，上述实施例主要通过对用户身份的二次鉴权，确保只为在校的师生提供相关5g校园网服务。但若在每次登录时均对用户身份的二次鉴权，其接入手段依旧较为繁琐，可信程度不足。
31.本实施例中在步骤s14前，还包括步骤s13，安全网关模块设置有会话认证名单，对于经过认证的用户msisdn信息的会话进行直接放行，从而实现用户5g无感知认证。
32.具体的，会话认证名单是指经过认证的用户msisdn信息，对经过认证的信息进行直接放行，能够进一步提高访问双方的可信程度，实现用户5g无感知认证。
33.进一步的，在本实施例中，在设置维护会话认证名单时，也需定时对会话认证名单进行定期检验，以保证会话认证名单的具有时效性，即安全网关模块每隔单位时间便对会话认证名单进行再次校验，对其中绑定的校内账号信息失效的用户msisdn信息进行删除处理，保证服务提供的准确性，即只为在校的师生提供相关5g校园网服务。
34.需要说明的是，单位时间可根据实际情况进行设置，例如单位时间可为1个月，6个月，1年等等。
35.更进一步的，为了进一步地在保证用户5g无感知认证的前提下，提高服务的准确性（确保只为在校的师生提供相关5g校园网服务），安全网关模块确认用户msisdn信息的校内绑定信息时，还对其校内剩余时间进行确定，并记录对应的校内剩余时间，安全网关模块在用户msisdn信息对应的校内剩余时间到达时，对用户msisdn信息绑定的校内信息进行再
次确认，判断其是否符合访问条件，若不符合访问条件，则将用户msisdn信息从会话认证名单中移除，以保证5g校内服务的准确性。
36.需要说明的是，校内剩余时间指的是，师生的离校时间，其可通过学生的验证时间与离校日期进行计算，也可通过教师的验证时间与合同到期时间进行计算，当离校时间到达后，安全网关模块对用户msisdn信息进行再次确认，核实离校时间的准确性，并根据结果判断是否将用户msisdn信息移除会话认证名单。同时也避免了离校时间不准导致用户访问时需要重复验证的场景。
37.实施例3本发明实施例3与上述实施例的区别在于，上述实施例主要介绍了5g双域专网用户可信接入方法的具体步骤，但对于实际使用时，用户可能会同时使用多个ue终端设备访问5g校园网，此时可能会存在冒用情况。
38.本实施例介绍了一种在多设备接入访问时的验证方法，如图3所示，具体包括如下步骤：步骤s21，当用户msisdn信息访问时，已存在通过该用户msisdn信息访问的ue时，安全网关模块根据首末ue的接入信息判断接入是否有异常；若接入无异常则对该次访问进行放行，反之则进行预警；步骤s22，当安全网关模块进行预警时，清除会话认证名单中该用户msisdn信息，并对已访问设备进行弹窗，提示其进行身份确认。
39.具体的，在步骤s21中，首末ue的接入信息是指首末ue接入所在ip距离信息以及接入间隔时间信息；接入所在ip距离信息指的是首末ue接入的位置偏差距离，位置偏差距离越大，则越有可能非本身操作，即其他人利用非本身账号登录的可能性越大；接入间隔时间信息是指首末ue访问的时间间隔，时间间隔越大同样会使其他人利用非本身账号登录的可能性增大。
40.安全网关模块分别将接入所在ip距离信息与接入间隔时间信息标定为s与t；并通过公式计算盗用预警系数r，具体计算表达式如下：
41.式中，、分别为接入所在ip距离信息与接入间隔时间信息的预设比例系数，且。
42.安全网关模块将盗用预警系数r与标准盗用阈值进行比较，确定msisdn信息盗用的风险；若盗用预警系数r大于等于标准盗用阈值，则说明多ue接入的盗用风险较大，此时安全网关模块发出预警弹窗，反之，则说明多ue接入的盗用风险较小，安全网关模块对用户访问进行放行。
43.在步骤s22中，进行弹窗后，用户进行身份认证的方法可采用多种常规选择，例如确认是本人进行操作时，进行手机验证码验证，确认非本人操作时，断开非本人操作ue连接。
44.需要说明的是，当用户对预警弹窗进行身份否认后，即否认某一访问ue为本身操作，对该ue使用该msisdn信息进行禁用，避免后续再次发生此类事件；当用户对预警弹窗进
行身份确定后，即确认接入终端身份是用户本身，则将用户对应的msisdn信息再次加入会话认证名单中。从而确保了5g校园网用户的唯一性与准确性。
45.上述公式均是去量纲取其数值计算，公式是由采集大量数据进行软件模拟得到最近真实情况的一个公式，公式中的预设参数由本领域的技术人员根据实际情况进行设置。
46.上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，dvd）、或者半导体介质。半导体介质可以是固态硬盘。
47.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
48.另外，在本技术各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。
49.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。
50.最后：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。