CN112073969A - 5g网络安全防护方法及*** - Google Patents

Abstract

本申请实施例提供一种5G网络安全防护方法及***，该方法在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，从而基于调整后的安全值对于终端、网元，进行风险发现预防等，解决现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

Description

5G网络安全防护方法及***

技术领域

本申请实施例涉及网络安全技术领域，尤其涉及一种5G网络安全防护方法及***。

背景技术

第五代移动通信技术(5th generation mobile networks，5G)时代，万物互联，新技术新应用的发展将给人类生产、生活带来深刻变革，而5G网络将成为构筑万物互联的基础设施，5G网络安全问题将对国家与社会公共安全带来巨大影响。5G的安全体系中，安全威胁可以归为三类：“已知的已知，已知的未知，未知的未知”：已知的已知(A类)：如已知漏洞、病毒、木马、攻击行为等，可以通过目前传统安全技术进行防御，如：病毒查杀、入侵防御、防火墙等；已知的未知(B类)：能预测到可能会发生的，可以一定程度上进行防范的。如已经在其他地方发生，但还没有在本地发生的攻击等。此类威胁可以通过威胁情报、态势感知等手段防御。未知的未知(C类)：无法预测，无从防范的威胁，最可怕的是未知的未知，如0Day攻击、社会工程学攻击。

现有5G安全防护手段从攻防角度分析，都是基于暴露面的风险防护即处置技术，根本上仍属于边界防护，能够应对A类、B类安全威胁的事前预防、事中检测、事后处理，但是对于C类安全威胁的事前预防、事中检测、事后处理缺乏有效手段。

针对C类安全威胁，当前市场上出现的基本都是满足集团客户需求的安全产品及解决方案。随着5G网络的建设及业务发展，如何在5G网络尤其是面向行业客户提供的5G网络切片中应用网络安全防护产品及方案，还没有出现此类方法。其中，5G网络切片是5G网络为了满足不同应用场景的业务需求引入的。其根据服务对象的类型不同分为两类：公共切片和专属切片，分别为公众客户和专属客户提供服务。

发明内容

本申请实施例提供一种5G网络安全防护方法及***，以克服现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

第一方面，本申请实施例提供一种5G网络安全防护方法，包括：

在零信任客户端完成5G网络二次认证，接入专属切片后，零信任管控平台向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向所述零信任客户端和所述零信任网关下发安全通道参数；

所述动态***平台根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值，所述零信任网关根据所述第二安全策略，进行安全事件监测；

所述零信任客户端根据所述安全通道参数，与所述零信任网关建立安全通道。

在一种可能的设计中，上述方法还包括：

在所述专属切片内的终端的安全值超过预设终端阈值时，所述动态***平台通知所述零信任管控平台将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，所述动态***平台通知所述零信任网关对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

在一种可能的设计中，上述方法还包括：

所述零信任网关在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台上报所述安全事件；

所述零信任管控平台根据所述安全事件，从所述零信任网关中获取所述安全事件的信息，根据所述安全事件的信息，对所述安全事件进行分析，并将分析结果反馈至所述零信任网关。

在一种可能的设计中，所述零信任客户端根据所述安全通道参数，与所述零信任网关建立安全通道，包括：

所述零信任客户端根据所述安全通道参数，向所述零信任网关发起安全通道建立请求，所述安全通道建立请求携带所述安全通道参数；

所述零信任网关判断所述安全通道建立请求携带的安全通道参数与所述零信任管控平台下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

在一种可能的设计中，所述零信任管控平台向动态***平台下发安全基线和第一安全策略，包括：

所述零信任管控平台向所述动态***平台下发所述安全基线；

所述动态***平台根据所述安全基线，更新本地数据，并向所述零信任管控平台反馈更新结果；

所述零信任管控平台向所述动态***平台下发针对所述专属切片内的终端和网元的所述第一安全策略；

所述动态***平台根据所述第一安全策略，更新本地策略，并向所述零信任管控平台反馈更新结果。

第二方面，本申请实施例提供一种5G网络安全防护***，包括：

零信任管控平台，用于在零信任客户端完成5G网络二次认证，接入专属切片后，向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向所述零信任客户端和所述零信任网关下发安全通道参数；

所述动态***平台，用于根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值；

所述零信任网关，用于根据所述第二安全策略，进行安全事件监测；

所述零信任客户端，用于根据所述安全通道参数，与所述零信任网关建立安全通道。

在一种可能的设计中，所述动态***平台，还用于：

在所述专属切片内的终端的安全值超过预设终端阈值时，通知所述零信任管控平台将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，通知所述零信任网关对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

在一种可能的设计中，所述零信任网关，还用于：

在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台上报所述安全事件；

所述零信任管控平台，还用于：

根据所述安全事件，从所述零信任网关中获取所述安全事件的信息，根据所述安全事件的信息，对所述安全事件进行分析，并将分析结果反馈至所述零信任网关。

在一种可能的设计中，所述零信任客户端具体用于：

根据所述安全通道参数，向所述零信任网关发起安全通道建立请求，所述安全通道建立请求携带所述安全通道参数；

所述零信任网关具体用于：

判断所述安全通道建立请求携带的安全通道参数与所述零信任管控平台下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

在一种可能的设计中，所述零信任管控平台具体用于：

向所述动态***平台下发所述安全基线，所述动态***平台根据所述安全基线，更新本地数据，并向所述零信任管控平台反馈更新结果；

向所述动态***平台下发针对所述专属切片内的终端和网元的所述第一安全策略，所述动态***平台根据所述第一安全策略，更新本地策略，并向所述零信任管控平台反馈更新结果。

本申请实施例提供的5G网络安全防护方法及***，该方法在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，从而基于调整后的安全值对于终端、网元，进行风险发现预防等，解决现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的5G网络切片在面向专属客户提供服务的示意图；

图2为本申请实施例提供的5G网络安全防护***架构示意图；

图3为本申请实施例提供的一种5G网络安全防护方法的流程示意图；

图4为本申请实施例提供的另一种5G网络安全防护方法的流程示意图；

图5为本申请实施例提供的再一种5G网络安全防护方法的流程示意图；

图6为本申请实施例提供的一种5G网络安全防护***的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

相关技术中，5G安全防护手段从攻防角度分析，都是基于暴露面的风险防护即处置技术，根本上仍属于边界防护，能够应对A类、B类安全威胁的事前预防、事中检测、事后处理，但是对于C类安全威胁的事前预防、事中检测、事后处理缺乏有效手段。

针对C类安全威胁，当前市场上出现的基本都是满足集团客户需求的安全产品及解决方案。随着5G网络的建设及业务发展，如何在5G网络尤其是面向行业客户提供的5G网络切片中应用网络安全防护产品及方案，还没有出现此类方法。

其中，5G网络切片是5G网络为了满足不同应用场景的业务需求引入的。其根据服务对象的类型不同分为两类：公共切片和专属切片，分别为公众客户和专属客户提供服务。公共切片中为公众用户提供通用的安全防护及质量保证。而专属切片则是为专属客户(行业客户)提供专属服务的切片，可以根据客户需求提供定制化带宽、时延、传输优先级控制、终端权限控制、安全隔离和加密传输等等质量保障，对安全要求较高，未来有望成为专属客户标配。

因此，考虑到上述问题，本申请提供一种5G网络安全防护方法，目标是将零信任产品及方案与5G网络尤其是面向专属客户的网络切片结合，通过此方法，能够对5G网络实现如下防护：在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，从而基于调整后的安全值对于终端、网元，进行风险发现预防等。

为了说明本申请技术方案，首先介绍一下5G网络切片在面向专属客户提供服务时的基本过程。如图1所示，行业终端首先通过5G主认证后，进入运营商默认提供的公共切片(注意，在物联网应用场景中，此公共切片并不是移动互联网，而是运营商的物联网大区专网)。行业终端按照5G标准协议，完成5G网络二次认证后进入行业专属切片。

为了在上述5G网络切片场景中应用零信任方案，需要遵循的原则包括：不改变5G核心网架构，不改变核心网网元功能；充分利用5G标准技术规范及相关接口，实现零信任体系与5G网络的融合。

可选地，依据上述原则，本申请实施例提供的一种5G网络安全防护***架构，具体的，如图2所示，包括：零信任管控平台、零信任客户端、零信任网关和动态***平台。

其中，零信任管控平台是本申请所述的5G网络安全防护方法中的核心组件。此平台首先依据业务特点确定安全基线类型(黑名单、白名单、威胁情报、病毒库等)，并创建安全基线，依据安全基线，制定相应的安全策略等。在SaaS业务模式下，此平台的位于运营商侧；在客户自建业务模式下，此平台可以部署在客户侧。

零信任客户端位于行业终端内，可以被业务APP集成，也可以独立APP的方式体现。零信任客户端首先与零信任管控平台交互完成5G二次认证，随后在零信任管控平台的统一协调下完成与零信任网关之间的安全通道的建立。

零信任网关是行业专属切片的统一闸门，对外屏蔽全部资源。只有在接收到管控平台的安全处置指令后，才能面向可信用户、可信设备，开放有限可信资源的访问权限。

动态***平台动态监控专属切片内的网络行为，依据从零信任管控平台接收的安全基线以及安全策略，判定异常行为，动态修改终端及各个网元的安全值等。

在本申请实施例中，可以支持两种业务模式，分别是SaaS云平台租用模式和客户自建模式。

在SaaS云平台租用模式下，零信任管控平台位于运营商侧。行业终端在公共切片内，通过零信任客户端即可发现并于此零信任管控平台交互。SaaS模式下，部署在运营商一侧的零信任管控平台与客户侧的零信任网关、动态***平台需要建立安全连接，可以考虑专线、vpn等多种方式实现，本申请实施例对此不做限制，只需要保障通道安全即可。

在客户自建模式下，零信任管控平台、零信任网关、动态***平台都位于客户侧。但是零信任管控平台需要经由公共网络被零信任客户端发现，可以考虑在将其部署在客户侧DMZ区或者通过代理触达，本申请实施例对此不做限制，只需要保障通道安全即可。但是，客户侧的零信任网关、动态***平台必须位于客户专属切片内。在客户侧，由于此三个网元处于不同的网络区域，因此零信任管控平台与零信任网关、动态***平台之间也需要建立安全连接，具体安全连接的实现方式，由客户自行确定，本申请实施例对此不做限制。

示例性的，上述零信任管控平台、零信任网关、零信任客户端和动态***平台的功能可以如下所述：

零信任管控平台的总体功能分为三层：接口层、决策层、呈现层：

对于接口层：负责与其他内、外部的网络功能实体进行数据交互，具体接口包括如下：

外部数据源同步接口：零信任管控平台与外部安全数据源(病毒库、威胁情报库等)的数据双向同步接口，不仅从外部获取源数据，同时在平台运行过程中，如果产生新的安全数据，通过此接口同步至外部数据源。

5G二次认证接口：零信任管控平台通过此接口与5G网络核心功能(AMF、SMF等)交互，按照标准规范完成对终端的5G二次认证。

网关处置命令接口：零信任管控平台根据5G二次认证结果或者根据动态监管数值上报请求的内容，向网关下发相关命令，以更新网关相关配置参数，达到连接建立或断开连接的目的。

客户端处置命令接口：零信任管控平台根据5G二次认证结果或者根据动态监管数值上报请求的内容，向零信任客户端下发相关命令，以更新客户端中的相关配置参数，达到连接建立或断开连接的目的。

安全基线下发接口：零信任管控平台向零信任网关和动态***平台下发安全基线(如行为白名单、行为黑名单)。

安全策略下发接口：零信任管控平台向零信任网关和动态***平台下发安全策略，例如出现N此黑名单行为即触发告警等。

日志更新接口：零信任管控平台主动从零信任网关、动态***平台和零信任客户端获取日志。

动态安全事件上报接口:零信任网关和动态***平台根据安全策略判断某安全事件发生后，通过此接口向零信任管控平台上报安全事件。

动态监管处置上报接口：动态***平台根据安全策略判定异常行为，动态修改终端及各个网元的安全值。对于超出安全阈值的终端、网元，通过此接口请求零信任管控平台采取相应处置。

对于女决策层：是零信任管控平台的大脑，核心分析决策功能都在此完成。

外部数据源分析：从外部数据源获取了安全源数据后，需要进行格式转换、冲突检测等，形成平台标准格式安全数据。

行为基线配置：为各个业务配置安全基线，对于业务逻辑清晰的业务，默认使用业务行为白名单基线(即明确业务过程中正常的行为，并作为行为基线白名单，超出此基线的行为均为异常)；对于业务逻辑不清晰的业务，使用业务行为黑名单基线(即只能将已知的风险行为作为行为基线黑名单，不允许黑名单的行为发生，黑名单外的行为默认为允许)。此外，也将外部安全数据源配置为外部安全基线(黑名单行为基线)。

安全策略生成：依据业务规则，结合安全基线即外部安全数据，设定每个业务对应的安全策略，例如黑名单行为发生后及时告警、检测出潜在异常行为(例如发生了外部安全基线定义的异常)后，如何修改安全评估值等。

安全策略编排：对于已经生成的每个安全策略进行冲突检测、效率优化，形成针对每个业务的最有安全策略。

5G二次认证中心：平台作为AAA服务器，与客户端交互，配合5G核心网络功能完成5G二次认证，认证中心应支持多种认证技术，包括不限于用户名/密码、数字证书、生物认证、标识认证等。

动态安全评估决策：零信任管控平台收到来自动态***平台的处置请求后，进行相应分析记录，确认无误后，将根据具体情况进行处理，包括：如果是针对终端，则向5G网络针对此终端触发二次认证，通过拒绝接入，将终端移出5G网络切片，同时向客户端下发处置命令，停止一切业务行为；如果是针对网元，则向零信任网关下发命令，屏蔽该网元的内外部网络访问，达到隔离目的。

安全事件日志分析：对于来自零信任网关、动态***平台、零信任客户端的日志数据进行分析，为事件分析、追踪溯源提供数据支撑。

对于呈现层：是管控平台的运维界面，为平台各级管理员及客户提供支持，主要的功能模块包括：

统计分析：支持多视角、多粒度的业务统计，为运营商和客户提供业务安全分析能力。

态势感知地图：基于地图，在线展示安全事件全网态势趋势等数据。

安全事件呈现：针对某具体的安全事件，展示其相关的详细内容，如事件时间、事件描述、影响对象等。

安全处置跟踪：对于需要进行处置的各个命令进行跟踪，展示命令内容以及当前的命令进展状态。

安全报告：根据当月、当季、当年的业务统计分析结果，以及安全事件、态势感知结果等数据，为客户形成安全报告。

运营支撑：各类平台的信息化支撑功能，如性能检测、网管、平台自身日志审计等。

零信任网关的总体功能分为两层：接口层、执行层：

对于接口层：

安全策略接口：从零信任管控平台接收安全策略，以更新本地策略。

命令接收接口：从零信任管控平台接收指令，更新本地配置或触发连接管理相关操作。

安全通道接口：与零信任客户端交互完成安全通道的建立/断开连接。

安全事件上报接口：网关检测到安全事件后，通过此接口上报至零信任管控平台。

日志上报：将网关自身的日志反馈至零信任管控平台。

对于执行层：

配置更新：依据零信任管控平台的处置命令，更新本地网关配置(主要指安全行为基线维护与配置，例如根据黑名单、白名单进行相关配置)，为安全通道的建立做准备。

连接管理：网关本地的连接状态监测，提供各种数据，并可以依据零信任管控平台的处置命令，主动断开连接。

日志审计：本地日志审计能力。

安全策略：接收零信任管控平台下发的安全策略，更新并维护本地安全策略，并依据安全策略执行相应操作(例如白名单策略模式下，发生了超出范围内行为，则直接拒绝并上报)，而无需请求管控平台。

异常检测：根据安全策略，动态检测网关上的网络行为，发现异常后及时通过安全事件上报接口反馈至零信任管控平台。

零信任客户端的总体功能分为两层：接口层、执行层：

对于接口层：

命令接收接口：从零信任管控平台接收指令，更新本地配置，并根据调用安全通道接口建立或者断开连接，以及关闭本地业务行为。

安全通道接口：与零信任网关交互完成安全通道的建立或断开。

认证接口：5G二次认证接口。

日志上报：将零信任客户端自身的日志反馈至管控平台。

对于执行层：

配置更新：依据零信任管控平台的处置命令，更新本地配置(例如远端网关的安全端口等)，为安全通道的建立做准备。

5G二次认证管理：按5G标准规范实现5G二次认证，并与零信任管控平台中的5G二次认证中心支持相同的认证技术。

日志审计：本地日志功能。

动态***平台的总体功能分为两层：接口层、执行层：

对于接口层：

安全基线接收接口：从零信任管控平台接收安全基线数据，以作为动态监测的依据。

安全策略接收接口：从零信任管控平台接收安全策略，以作为动态评估、处置的依据。

安全事件上报接口：动态监管平台根据安全基线(包括黑名单、白名单、威胁病毒特征库等)，检测到安全事件后，通过此接口上报至零信任管控平台。

处置命令请求接口：动态***平台根据安全策略判定异常行为，动态修改终端及各个网元的安全值。对于超出安全阈值的终端、网元，通过此接口请求零信任管控平台采取相应处置。

日志接口：将动态***平台自身的日志反馈至零信任管控平台。

对于执行层

安全基线更新：依据零信任管控平台下发的安全基线，更新本地维护的基线数据。

安全策略更新：依据零信任管控平台下发的安全策略，更新本地维护的安全策略。

动态评估分析：此模块有两个功能，首先动态监测网络行为，依据安全基线数据，发现安全事件，依据安全策略的设定决定是否上报零信任管控平台。其次，在监测过程中，动态修正终端、网元的安全值，当达到安全策略中设定的安全阈值后，向零信任管控平台发起处置命令。

日志审计：本地日志功能。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体地实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图3为本申请实施例提供的一种5G网络安全防护方法的流程示意图，如图3所示，该方法可以包括：

S301：在零信任客户端完成5G网络二次认证，接入专属切片后，零信任管控平台向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向零信任客户端和零信任网关下发安全通道参数。

这里，零信任客户端设置在行业终端中，行业终端经由零信任客户端与零信任管控平台交互。零信任管控平台可以通过公共切片被零信任客户端访问。在SaaS业务模式下，零信任管控平台位于运营商侧；在客户自建业务模式下，零信任管控平台可以部署在客户侧。

零信任客户端遵循5G网络二次认证规范，完成5G网络二次认证后，接入专属切片。在5G二次认证过程中，零信任客户端与零信任管控平台之间可以通过多种认证方式实现，例如用户名/密码、数字证书、生物认证、标识认证等。

示例性的，上述零信任管控平台向动态***平台下发安全基线和第一安全策略，包括：

零信任管控平台向动态***平台下发安全基线；

动态***平台根据上述安全基线，更新本地数据，并向零信任管控平台反馈更新结果；

零信任管控平台向动态***平台下发针对上述专属切片内的终端和网元的第一安全策略；

动态***平台根据上述第一安全策略，更新本地策略，并向零信任管控平台反馈更新结果。

可选地，零信任管控平台向零信任网关下发第二安全策略，包括：

零信任管控平台向零信任网关下发网关的第二安全策略；

零信任网关更新本地安全策略，并向管控平台反馈更新结果。

另外，零信任客户端完成5G网络二次认证，接入专属切片，包括：

零信任客户端(终端)向5G网络功能(包含AMF、AUSF等网元)认证；

5G网络功能按标准完成对终端的认证，此处的认证针对的是运营商默认的公共切片，向客户端反馈主认证结果；

零信任客户端收到主认证结果后，接入公共切片；

零信任管控平台作为外部网络的AAA服务器，与5G网络功能交互完成二次认证的初始化，例如网络切片id的分配确认等；

5G网络向终端发起二次认证指令；

零信任客户端与零信任管控平台的认证中心交互，完成认证(支持多种认证技术，如用户名/密码、生物认证、数字证书等)；

零信任管控平台向5G网络功能反馈认证结果；

5G网络功能将认证结果传递至零信任客户端；

零信任客户端通过二次认证后，成功接入专属切片。

S302：动态***平台根据上述安全基线和第一安全策略，对上述专属切片内的终端和网元进行监测，并根据监测结果调整上述专属切片内的终端或网元的安全值，零信任网关根据上述第二安全策略，进行安全事件监测。

S303：零信任客户端根据上述安全通道参数，与零信任网关建立安全通道。

这里，零信任客户端与零信任网关之间，分别依据接收的参数更新配置，并相互配合建立安全的链接。

可选地，零信任客户端根据上述安全通道参数，与零信任网关建立安全通道，包括：

零信任客户端根据上述安全通道参数，向零信任网关发起安全通道建立请求，该安全通道建立请求携带上述安全通道参数；

零信任网关判断上述安全通道建立请求携带的安全通道参数与零信任管控平台下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

从上述描述可知，本申请实施例在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，从而基于调整后的安全值对于终端、网元，进行风险发现预防等，解决现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

另外，本申请实施例中动态***平台根据上述安全基线和第一安全策略，对上述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值后，还考虑调整后的安全值是否超出阈值，图4为本申请实施例提供的另一种5G网络安全防护方法的流程示意图，如图4所示，该方法可以包括：

S401：在零信任客户端完成5G网络二次认证，接入专属切片后，零信任管控平台向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向零信任客户端和零信任网关下发安全通道参数。

S402：动态***平台根据上述安全基线和第一安全策略，对上述专属切片内的终端和网元进行监测，并根据监测结果调整上述专属切片内的终端或网元的安全值，零信任网关根据上述第二安全策略，进行安全事件监测。

S403：零信任客户端根据上述安全通道参数，与零信任网关建立安全通道。

其中，步骤S401-S403与上述步骤S301-S303的实现方式相同，此处不再赘述。

S404：在上述专属切片内的终端的安全值超过预设终端阈值时，动态***平台通知零信任管控平台将上述专属切片内的终端移出专属切片；在上述专属切片内的网元的安全值超过预设网元阈值时，动态***平台通知零信任网关对所述网元启动风险处置机制，该风险处置机制包括屏蔽上述专属切片内的网元的出、入两个方向的全部链接。

其中，上述预设终端阈值和上述预设网元阈值可以根据实际情况确定，本申请实施例对此不做限制。

这里，如果终端安全值超出阈值，动态***平台将通知零信任管控平台，再经由5G网络断开终端链接，将具有潜在风险的终端移出专属切片。如果专属切片中的某个网元的安全值超出了阈值，动态***平台将通知零信任网关，针对该网元，启动风险处置机制，例如屏蔽该网元的出、入两个方向的全部连接，达到网络隔离的目标。

本申请实施例在零信任客户端完成5G网络二次认证前，使得切片信息对终端不可见；在终端完成5G网络二次认证，进入切片后，切片信息仍不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护；监测专属切片内的各种行为，基于监测结果，动态修正每个终端、网元对应的安全值，实时评判每个终端、网元的安全值，对于超出安全阈值的终端、网元，采取主动断网、隔离等手段，做到对风险的提前发现预防，解决现有在5G网络尤其是面向行业客户提供的5G网络切片中没有应用网络安全防护产品及方案的问题。

另外，本申请实施例中零信任网关根据所述第二安全策略，进行安全事件监测后，如果监测到安全事件发生，还考虑记录并上报相关事件，图5为本申请实施例提供的再一种5G网络安全防护方法的流程示意图，如图5所示，该方法可以包括：

S501：在零信任客户端完成5G网络二次认证，接入专属切片后，零信任管控平台向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向零信任客户端和零信任网关下发安全通道参数。

S502：动态***平台根据上述安全基线和第一安全策略，对上述专属切片内的终端和网元进行监测，并根据监测结果调整上述专属切片内的终端或网元的安全值，零信任网关根据上述第二安全策略，进行安全事件监测。

S503：零信任客户端根据上述安全通道参数，与零信任网关建立安全通道。

其中，步骤S501-S503与上述步骤S301-S303的实现方式相同，此处不再赘述。

S504：零信任网关在监测到安全事件发生时，记录该安全事件的信息，并向零信任管控平台上报上述安全事件；零信任管控平台根据上述安全事件，从零信任网关中获取上述安全事件的信息，根据上述安全事件的信息，对上述安全事件进行分析，并将分析结果反馈至零信任网关。

这里，零信任网关监测到安全事件发生，如管理员异常登录等，根据从管控平台接受的安全策略对此异常进行响应，如拒绝登录，同时记录该安全事件的详细信息，向零信任管控平台上报安全事件详情；

零信任管控平台向零信任网关获取该事件的全部日志信息，零信任网关反馈日志详情；

零信任管控平台针对日志，以及本地安全基线库(主要是病毒库、威胁库等外部安全数据源)进行分析判断，形成相关分析结论留存、展示，向零信任网关反馈事件处理结果，根据该反馈，零信任网关决定是否恢复对该异常的处置。

另外，动态***平台对上述专属切片内的网元进行监测的流程可以包括：

动态***平台监测到切片内某个网元出现异常后，根据安全策略的设定，修改该网元的安全值，向零信任管控平台上报安全事件详情；

零信任管控平台向动态***平台获取该事件的全部日志信息，动态***平台反馈日志详情；

零信任管控平台针对日志，以及本地安全基线库(主要是病毒库、威胁库等外部安全数据源)进行分析判断，形成相关分析结论留存、展示，向动态***平台反馈事件处理结果；

动态***平台根据该反馈，确定是否恢复对该网元的安全值修正。

如果动态***平台监测到某个网元的安全值超过安全策略中设定的阈值，向管控平台发起处置命令请求，管控平台接收命令，判断无误后，立即向零信任网关下达处置命令，零信任网关根据该命令，关闭该异常网元对应的入网、出网、或双向的网络通道；并反馈命令执行结果，管控平台向动态***平台反馈命令反馈，如果异常处理完成，网元恢复，则管控平台可以根据基线及策略下发流程再次对该网元安全值及相关安全基线、安全策略进行初始化。

动态***平台对上述专属切片内的终端进行监测的流程可以包括：

动态***平台监测到切片内某个终端出现异常后，根据安全策略的设定，修改该网元的安全值，向管控平台上报安全事件详情；

管控平台向客户端获取该事件的全部日志信息，客户端反馈日志详情；

管控平台针对日志，以及本地安全基线库(主要是病毒库、威胁库等外部安全数据源)进行分析判断，形成相关分析结论留存、展示，向动态***平台反馈事件处理结果；

动态***平台根据该反馈，确定是否恢复对该终端的安全值修正。

如果动态***平台监测到某个终端的安全值超过安全策略中设定的阈值，向管控平台发起处置命令请求，管控平台接收命令，判断无误后，立即向零信任网关下达处置命令，零信任网关根据该命令，关闭该异常终端的安全通道，反馈命令执行结果。

为了防止终端持续发起安全通道建立请求，管控平台针对该终端向5G网络功能再次发起5G二次认证，5G网络功能向终端发起二次认证，终端与零信任管控平台的认证中心交互完成5G二次认证，管控平台向5G网络功能反馈拒绝接入，5G网络功能告知终端被拒绝接入行业切片，终端退出切片，抹除全部零信任参数。

从上述描述可知，本申请实施例通过零信任产品与5G网络紧密融合，使得终端在成功通过5G二次认证前，切片信息对终端不可见；终端通过二次认证后，虽然终端可以进入行业切片内，但是切片内资源仍然不可见，只有在终端与零信任网关之间建立了安全通道后，终端才能看到其权限内的资源；通过安全基线及安全策略，提供基于用户角色的业务访问控制防护。监测行业切片内的各种网络行为，基于监测结果，动态修正每个终端、网元对应的安全值。实时评判每个终端、网元的安全值，对于超出安全阈值的终端、网元，采取主动断网、隔离等手段，做到对风险的提前发现预防。

对应于上文实施例的5G网络安全防护方法，图6为本申请实施例提供的5G网络安全防护***的结构示意图。为了便于说明，仅示出了与本申请实施例相关的部分。图6为本申请实施例提供的一种5G网络安全防护***的结构示意图。如图6所示，该5G网络安全防护***60包括：零信任管控平台601、动态***平台602、零信任网关603和零信任客户端604。

其中，零信任管控平台601，用于在零信任客户端完成5G网络二次认证，接入专属切片后，向动态***平台602下发安全基线和第一安全策略，向零信任网关603下发第二安全策略，并向所述零信任客户端604和所述零信任网关603下发安全通道参数。

所述动态***平台602，用于根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值。

所述零信任网关603，用于根据所述第二安全策略，进行安全事件监测。

所述零信任客户端604，用于根据所述安全通道参数，与所述零信任网关603建立安全通道。

在一种可能的设计中，所述动态***平台602，还用于：

在所述专属切片内的终端的安全值超过预设终端阈值时，通知所述零信任管控平台601将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，通知所述零信任网关603对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

在一种可能的设计中，所述零信任网关603，还用于：

在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台601上报所述安全事件；

所述零信任管控平台601，还用于：

根据所述安全事件，从所述零信任网关603中获取所述安全事件的信息，根据所述安全事件的信息，对所述安全事件进行分析，并将分析结果反馈至所述零信任网关603。

在一种可能的设计中，所述零信任客户端604具体用于：

根据所述安全通道参数，向所述零信任网关603发起安全通道建立请求，所述安全通道建立请求携带所述安全通道参数；

所述零信任网关603具体用于：

判断所述安全通道建立请求携带的安全通道参数与所述零信任管控平台601下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

在一种可能的设计中，所述零信任管控平台601具体用于：

向所述动态***平台602下发所述安全基线，所述动态***平台602根据所述安全基线，更新本地数据，并向所述零信任管控平台601反馈更新结果；

向所述动态***平台602下发针对所述专属切片内的终端和网元的所述第一安全策略，所述动态***平台602根据所述第一安全策略，更新本地策略，并向所述零信任管控平台601反馈更新结果。

本申请实施例提供的装置，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本申请实施例此处不再赘述。

本申请提供一种计算机可读存储介质，所述计算机程序产品包括计算机指令，所述计算机指令指示计算设备执行本申请提供的上述5G网络安全防护方法。

本申请提供一种芯片，包括至少一个处理器和通信接口，所述通信接口为所述至少一个处理器提供信息输入和/或输出。进一步，所述芯片还可以包含至少一个存储器，所述存储器用于存储计算机指令。所述至少一个处理器用于调用并运行该计算机指令，以执行本申请提供的上述5G网络安全防护方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

Claims (10)

1.一种5G网络安全防护方法，其特征在于，包括：

在零信任客户端完成第五代移动通信技术5G网络二次认证，接入专属切片后，零信任管控平台向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向所述零信任客户端和所述零信任网关下发安全通道参数；

所述动态***平台根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值，所述零信任网关根据所述第二安全策略，进行安全事件监测；

所述零信任客户端根据所述安全通道参数，与所述零信任网关建立安全通道。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述专属切片内的终端的安全值超过预设终端阈值时，所述动态***平台通知所述零信任管控平台将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，所述动态***平台通知所述零信任网关对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述零信任网关在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台上报所述安全事件；

所述零信任管控平台根据所述安全事件，从所述零信任网关中获取所述安全事件的信息，根据所述安全事件的信息，对所述安全事件进行分析，并将分析结果反馈至所述零信任网关。

4.根据权利要求1所述的方法，其特征在于，所述零信任客户端根据所述安全通道参数，与所述零信任网关建立安全通道，包括：

所述零信任客户端根据所述安全通道参数，向所述零信任网关发起安全通道建立请求，所述安全通道建立请求携带所述安全通道参数；

所述零信任网关判断所述安全通道建立请求携带的安全通道参数与所述零信任管控平台下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

5.根据权利要求1所述的方法，其特征在于，所述零信任管控平台向动态***平台下发安全基线和第一安全策略，包括：

所述零信任管控平台向所述动态***平台下发所述安全基线；

所述动态***平台根据所述安全基线，更新本地数据，并向所述零信任管控平台反馈更新结果；

所述零信任管控平台向所述动态***平台下发针对所述专属切片内的终端和网元的所述第一安全策略；

所述动态***平台根据所述第一安全策略，更新本地策略，并向所述零信任管控平台反馈更新结果。

6.一种5G网络安全防护***，其特征在于，包括：

零信任管控平台，用于在零信任客户端完成5G网络二次认证，接入专属切片后，向动态***平台下发安全基线和第一安全策略，向零信任网关下发第二安全策略，并向所述零信任客户端和所述零信任网关下发安全通道参数；

所述动态***平台，用于根据所述安全基线和所述第一安全策略，对所述专属切片内的终端和网元进行监测，并根据监测结果调整所述专属切片内的终端或所述网元的安全值；

所述零信任网关，用于根据所述第二安全策略，进行安全事件监测；

所述零信任客户端，用于根据所述安全通道参数，与所述零信任网关建立安全通道。

7.根据权利要求6所述的***，其特征在于，所述动态***平台，还用于：

在所述专属切片内的终端的安全值超过预设终端阈值时，通知所述零信任管控平台将所述专属切片内的终端移出所述专属切片；

在所述专属切片内的网元的安全值超过预设网元阈值时，通知所述零信任网关对所述网元启动风险处置机制，所述风险处置机制包括屏蔽所述专属切片内的网元的出、入两个方向的全部链接。

8.根据权利要求6所述的***，其特征在于，所述零信任网关，还用于：

在监测到安全事件发生时，记录所述安全事件的信息，并向所述零信任管控平台上报所述安全事件；

所述零信任管控平台，还用于：

根据所述安全事件，从所述零信任网关中获取所述安全事件的信息，根据所述安全事件的信息，对所述安全事件进行分析，并将分析结果反馈至所述零信任网关。

9.根据权利要求6所述的***，其特征在于，所述零信任客户端具体用于：

根据所述安全通道参数，向所述零信任网关发起安全通道建立请求，所述安全通道建立请求携带所述安全通道参数；

所述零信任网关具体用于：

判断所述安全通道建立请求携带的安全通道参数与所述零信任管控平台下发的安全通道参数是否一致，如果一致，则建立所述安全通道。

10.根据权利要求6所述的***，其特征在于，所述零信任管控平台具体用于：

向所述动态***平台下发所述安全基线，所述动态***平台根据所述安全基线，更新本地数据，并向所述零信任管控平台反馈更新结果；

向所述动态***平台下发针对所述专属切片内的终端和网元的所述第一安全策略，所述动态***平台根据所述第一安全策略，更新本地策略，并向所述零信任管控平台反馈更新结果。

Images