CN114503632A - 用于动态和多样性多域网络的自适应互信模型 - Google Patents
用于动态和多样性多域网络的自适应互信模型 Download PDFInfo
- Publication number
- CN114503632A CN114503632A CN201980101087.2A CN201980101087A CN114503632A CN 114503632 A CN114503632 A CN 114503632A CN 201980101087 A CN201980101087 A CN 201980101087A CN 114503632 A CN114503632 A CN 114503632A
- Authority
- CN
- China
- Prior art keywords
- trust
- change
- model
- combination
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003044 adaptive effect Effects 0.000 title claims abstract description 48
- 230000008859 change Effects 0.000 claims description 63
- 238000000034 method Methods 0.000 claims description 60
- 230000006870 function Effects 0.000 claims description 54
- 230000015654 memory Effects 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 38
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
提供一种实体,该实体由装置的信任模型适配器创建自适应信任模型,自适应信任模型被配置为根据从另一装置的信任评估器得到的另一装置的信任的组合和从装置的信任评估器得到的装置的信任的组合来建立与另一装置的信任关系。该实体基于自适应信任模型和自适应信任模型中定义的策略来认证另一装置;基于自适应信任模型和自适应信任模型中定义的策略来定义另一装置的接入控制规则;基于自适应信任模型和自适应信任模型中定义的策略利用所述另一装置来构建安全信道;以及在装置上记录另一装置的行为。
Description
技术领域
一些示例实施例通常可以涉及移动或无线电信***,诸如长期演进(LTE)或第五代(5G)无线电接入技术或新无线电(NR)接入技术,或其他通信***。例如,某些实施例可以涉及用于实现用于动态和多样性多域网络的自适应互信模型的***和/或方法。
背景技术
移动或无线电信***的示例可以包括通用移动电信***(UMTS)地面无线电接入网络(UTRAN)、长期演进(LTE)演进式UTRAN(E-UTRAN)、高级LTE(LTE-A)、MulteFire、LTE-APro和/或第五代(5H)无线电接入技术或新无线电(NR)接入技术。5G无线***是指下一代(NG)无线电***和网络架构。5G主要构建于新无线电(NR)上,而5G(或NG)网络还能够构建于E-UTRA无线电上。据估计,NR提供大约10-20千兆位或更高的比特率,并且能够支持至少高级移动宽带(eMBB)和超可靠低延时通信(URLLC)以及海量机器类型通信(mMTC)。NR被预期传送超宽带和超稳定低延时连接性和海量网络连接,以支持物联网(IoT)。随着IoT和机器间(M2M)通信变得更广泛,将出现对于网络的不断增长的需求,该网络满足功率低、数据率低和电池寿命长的需求。下一代无线电接入网络(NG-RAN)表示用于5G的RAN,其能够提供NR和LTE无线电接入两者。注意,在5G中,能够向用户装备提供无线电接入功能性的节点(即类似于UTRAN中的节点B或LTE中的eNB)可以在构建于NR无线电上时被称为gNB,并且可以在构建于E-UTRA无线电上时被称为NG-eNB。
发明内容
根据一些实施例,一种方法可以包括:由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。方法还可以包括在装置与另一装置之间应用安全控制。
根据一些实施例,一种装置可以包括至少一个处理器和至少一个存储器,所述至少一个存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置为与至少一个处理器一起,使装置至少由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。至少一个存储器和计算机程序代码还可以被配置为于至少一个处理器一起,使装置至少在装置与另一装置之间应用安全控制。
根据一些实施例,一种装置可以包括用于由装置的信任模型适配器创建自适应信任模型的部件,该自适应信任模型被配置为根据另一装置的信任的组合和装置的信任的组合来建立与另一装置的信任关系。装置还可以包括用于在装置与另一装置之间应用安全控制的部件。
根据一些实施例,一种非瞬态计算机可读介质可以利用指令来编码,该指令可以在硬件中执行时执行一方法。该方法可以由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。方法还可以在装置与另一装置之间应用安全控制。
根据一些实施例,一种方法可以包括:由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。方法还可以包括在装置与另一装置之间应用安全控制。方法还可以包括从另一装置接收另一装置的改变的指示。方法还可以包括得到新信任模型,并且建立新信任关系以基于改变反映新信任组合。
根据一些实施例,一种装置可以包括至少一个处理器和至少一个存储器,该至少一个存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置为与至少一个处理器一起,使装置至少由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起,使装置至少在装置与另一装置之间应用安全控制。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起,使装置至少从另一装置接收另一装置的改变的指示。至少一个存储器和计算机程序代码还可以被配置为与至少一个处理器一起,使装置至少得到新信任模型,并且建立新信任关系以基于改变反映新信任组合。
根据一些实施例,一种装置可以包括:用于由装置的信任模型适配器创建自适应信任模型的部件,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。装置还可以包括用于在装置与另一装置之间应用安全控制的部件。装置还可以包括用于从另一装置接收另一装置的改变的指示的部件。装置还可以包括用于得到新信任模型并且建立新信任关系以基于改变反映新信任组合的部件。
根据一些实施例,一种非瞬态计算机可读介质可以利用指令来编码,该指令可以在硬件中实施时实施一方法。方法可以由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。方法还可以在装置与另一装置之间应用安全控制。方法还可以从另一装置接收另一装置的改变的指示。方法还可以得到新信任模型,并且建立新信任关系以基于改变反映新信任组合。
附图说明
应参考附图以正确理解示例实施例,其中:
图1图示了示例网络;
图2图示了示例零接触服务和网络管理框架参考架构;
图3图示了示例零接触服务和基于网络管理的多域管理***;
图4图示了根据实施例的模型的示例框图;
图5图示了根据实施例的模型的示例框图;
图6图示了根据实施例的方法的示例流程图;
图7a图示了根据实施例的装置的示例框图;以及
图7b图示了根据实施例的装置的示例框图。
具体实施方式
将容易地理解,如本文图式中通常所描述和说明的某些示例实施例的组件可以通过广泛多种不同配置来布置和设计。因此,用于实现动态和多样性多域网络的自适应互信模型的***、方法、装置和计算机程序产品的一些示例实施例的以下详细描述不限于限制某些实施例的范围,而是表示所选择的示例实施例。
贯穿本说明书描述的示例实施例的特征、结构或特性可以在一个或多个示例实施例中以任何适当的方式组合。例如,贯穿本说明书的短语“某些实施例”、“一些实施例”或其他类似语言的使用是指可以在至少一个实施例中包括结合实施例描述的特定特征、结构或特性的事实。因此,贯穿本说明书的短语“在某些实施例中”、“在一些实施例中”、“在其他实施例中”或其他类似语言的出现不必均指同一组实施例,并且所描述特征、结构或特性可以在一个或多个示例实施例中以任何适当的方式组合。
附加地,如有必要,那么下文讨论的不同功能或过程可以按不同顺序执行和/或彼此同时执行。此外,如有必要,所描述功能或过程中的一项或多项可以是可选的或可以被组合。因此,以下描述应仅视为说明某些示例实施例的原理和教导,而非其限制。
图1示出了示例5G生态***100和其技术突破,诸如网络切片、软件驱动和基于服务的架构,其允许跨多个行业域101的新商业模型和价值创造,包括垂直行业、移动网络运营方、基础设施服务提供方和应用提供方。
5G网络的破坏性部署以管理和统筹(orchestrate)网络和服务的方式触发网络改造和根本改变的需要。图2示出了零接触服务和网络管理(ZSM)200的示例,其是网络和服务管理框架和解决方案的完全端对端自动化,被设计来管理和统筹未来服务和网络(包括5G网络)。
互信应在其彼此相互作用以用于服务预约和消费以及服务、网络管理和统筹之前在域内或不同域间在实体之间建立,从而确保每个实体的可信度、完整性、可用性和规程合规性。
为了构建不同实体之间的信任关系,传统上,定义若干信任模型以在不同实体之间建立信任关系,其允许一个实体获得形成合伙关系、与其他组织合作、共享信息或接收信息/服务所需的信任水平。在NIST800-39中定义常规信任模型,包括验证信任、直接历史信任、介导信任、强制信任和混合信任。此外,欧洲电信标准协会(ETSI)网络功能虚拟化(NFV)将传递信任分解为若干更精细的模型,诸如直接委托信任、协作信任、传递信任和声誉信任。那些信任模型能够静态地被应用于各种实体以构建不同信任水平。
ETSI NFV引入动态性概念。然而,其仍聚焦于VNF与服务虚拟基础设施之间的关系,并且总是将虚拟基础设施组件(例如HW上的TPM)、管理和统筹(MANO)实体或证书机构(CA)视为信任根,以构建VNF或MANO实体的静态传递/协作信任模型。因此,由于NFV生态***的动态性,NFV不提供处理潜在信任模型转换的解决方案。
图1图示了涉及来自多个行业域101(比如企业、金融、政府、网络规模、运营方和云端提供方)的玩家的5G生态***100的开放。不同域所需的信任水平发生变化,并且不同上下文中的相同域的信任水平也能够是不同的。附加地,基于云端本地服务的架构被ZSM采用以促进服务的快速部署和更新,从而满足来自各种垂直消费方的多样性需求。相同域或不同域的管理功能之间的信任上下文和关系能够随管理功能本身、其消费方或其生产方的改变而动态地改变。
5G网络和ZSM框架的动态性和多样性使得现有信任模型(单个信任模型或多个信任模型的组合)不足以确保5G网络和ZSM服务和数据的可信度、完整性和可用性。
图3示出了5G核心管理域(MnD)302中的管理功能(MnF)C1 301与NFV MnD 304中的MnF V1 303之间的信任关系300的示例,其中5G RAN MnD 306中的MnF R1 305与NFV MnD304中的MnF V1 303之间的信任关系能够是不同的,这是因为5G核心MnD302和5G RAN MnD306的信任能力和保障是不同的。附加地,MnF C1 301与MnF V1 303之间的信任关系能够不时地改变,这是因为MnFs(例如MnF的操作状态和安全态势、支持新特征的封装升级、缩放到其他区域等)的改变、其服务消费方(例如来自新行业域的新消费方,诸如大规模)和其服务生产方(例如服务生产方的损害等)改变。上文提及的所有现有信任模型不能够单独地和静态地使用以满足***的基本安全保障需求。
图4图示了根据某些实施例的模型的示例框图。如图4中所说明,某些实施例的示例引入反映和自适应互信模型400,以适应具有集中式信任评估器和分布式信任适配器的5G网络连接和ZSM框架的动态性和多样性。
自适应互信模型400可以包括基于公共知识的信任评估器402,该信任评估器402充当智能功能块(FB),以基于实体的风险链、信任档案、信任保障和其他上下文数据评估跨域实体的可信度。
基于分布式知识的信任评估器401可以充当自适应互信模型的400智能FB,以基于实体的风险链、信任档案、信任保障和其他上下文数据评估域间实体的可信度。在单个域中能够存在一个或多个信任评估器。
基于公共知识的信任模型适配器404可以充当自适应互信模型的400智能FB,以基于来自信任评估器的信任组合在两个域间实体之间创建信任关系和信任模型。
基于分布式知识的信任模型适配器403可以充当自适应互信模型的400智能FB,以基于来自信任评估器的信任组合在两个域间/域内实体之间创建信任关系和信任模型。在单个域中能够存在一个或多个信任模型适配器。
信任组合可以是由信任评估器根据对实体的风险链、信任档案、信任保障和其他上下文数据的分析而评估的信息。实体可以是服务消费方或服务生产方或两者。
图5图示了根据实施例的自适应信任模型500的功能块的示例。某些实施例提供信任评估器A 502或信任评估器B 507能够与公共信任评估器511组合;信任模型适配器A 503或信任模型适配器B 508能够与公共信任模型适配器512组合。
在某些实施例中,动态5G网络和网络管理***中的多样性实体之间的自适应互信模型的工作流可以包括实体A 501的信任模型适配器A 503创建自适应信任模型以根据实体B 506的信任的组合和实体A 501的信任的组合来建立与实体B 506的信任关系。
基于信任模型和信任模型中定义的相关策略,实体A 501可以在装置与另一装置(诸如认证实体B 506)之间应用安全控制,可以定义实体B 506的接入控制规则,可以利用实体B 506来构建安全信道,并且可以在实体A 501上记录实体B 506的行为。
实体A 501和实体B 506可以是服务消费方、服务生产方或两者。所创建的信任模型可以是验证/直接信任模型、介导/传递信任模型、强制信任模型和/或混合信任模型等。
上文提及的实体A 501的信任的组合可以根据实体A 501的风险链、信任档案、信任保障和其他上下文数据由实体A 501的信任评估器A 502得到。
上文提及的实体B 506的信任的组合可以根据实体B 506的风险链、信任档案、信任保障和其他上下文数据由实体A 501的信任评估器得到,或直接从其他受信实体接收。
上文提及的风险链可以根据实体的信任档案、信任保障以及其他服务消费方上下文数据链和服务生产方链由实体的信任评估器得到。
上文讨论的服务消费方链可以是包括实体的直接消费方的实体的服务消费方和其消费方的消费方的列表。服务消费方能够是管理功能、网络功能、租户、运营方或任何软件或人类实体。
上文提及的服务生产方链可以是包括实体的直接生产方的实体的服务生产方和其生产方的生产方的列表。服务生产方能够是管理功能、网络功能、运营方或任何软件或硬件。
上文提及的信任档案可以定义实体的安全特性(例如安全威胁和风险、所应用对策、安全策略、规程等)和安全能力(例如可用安全功能等)。信任档案能够根据以下项而改变:实体的升级、缩放,或由实体提供的服务的添加/删除/更新,实体的消费方或生产方的添加/去除/改变,实体本身或其消费方或生产方的安全状态和威胁表面改变,实体的策略或规程改变等。
信任保障可以定义安全实施的能力和水平、实体的验证、监测和合规性。信任保障能够基于实体的改变或其信任档案的改变等而动态地改变。
类似地,实体B 506的信任模型适配器B 508可以创建自适应信任模型,以根据实体B 506和实体A 501的信任组合来建立与实体A 501的信任关系。
如果存在实体A 501的改变,那么信任评估器A 502可以根据实体A 501的改变得到实体A 501的新信任组合,并且可以基于实体A 501与实体B 506之间的信任模型直接地或间接地向实体B 506通知实体A 501的改变。
为了反映实体A 501的新信任组合,信任模型适配器A 503可以更新/删除信任模型和/或建立新信任关系或删除与实体B 506的信任关系。类似地,为了反映实体A 501的改变,实体B 506的信任模型适配器B 508可以更新/删除信任模型和/或建立新信任关系或删除与实体A 501的信任关系。
上文提及的实体A 501的改变可以包括实体升级、缩放、移动、安全状态改变,添加/删除实体的实体的消费方/生产方,其消费方或生产方的安全上下文的改变,与实体相关的威胁表面的改变,以及与实体相关的安全策略或规程的改变等。
基于实体A 501与实体B 506之间的信任模型,由实体B 506接收的实体A 501的改变包括实体A 501的经更新的信任组合或经更新的风险链、实体A 501的信任档案和信任保障。
基于新信任模型和新信任模型中定义的相关策略,实体A 501和实体B 506可以在装置与另一装置(诸如认证另一实体)之间应用安全控制,定义另一实体的接入控制规则,利用另一实体来构建安全信道,和/或记录另一实体的行为。
在示例情景中,实体A 501与实体B 506之间的信任关系被建立。作为先决条件,管理***是具有基于服务的管理架构(SBMA)的***(例如基于ETSI ZSM框架的***,3GPPRel15定义的网络管理***等)或具有基于服务的架构(SBA)的网络(例如3GPP定义的5G核心),并且在实体能够与另一实体相互作用之前,应当在实体与框架之间以及两个实体之间建立互信,以确保两个实体和框架的可信度、完整性、可用性和规程合规性。
在此示例中,实体A 501使用由实体B 506提供的服务,并且在SBA/SBMA框架中部署实体A 501和实体B 506两者。估框架实体(例如共同信任评估器511、共同信任模型适配器512)的可信度已经被自评,并且相关信任组合已经被得到。
从实体A 501和实体B 506到框架实体的单边信任关系已经(例如基于信任根)被建立。鉴于此假设,实体A 501和实体B 506基于所建立信任模型信任由框架实体(例如公共信任评估器511、公共信任模型适配器512等)提供的服务和信息,并且实体A 501和实体B506允许框架实体基于所建立信任模型使用其服务。
公共信任评估器511能够在其利用实体构建相关信任之后从受信第三方实体或从实体本身获得框架中的实体的信任相关信息。在实施例中,AI/ML技术能够被用于信任评估器和信任模型适配器上,以用于基于知识的评估和适配。
在示例情景中,在向实体A 501提供任何服务之前,框架的公共信任评估器511根据来自受信实体的实体A 501的风险链、信任档案、信任保障和其他上下文数据评估实体A501的可信度,并且得到实体A 501的信任组合。受信实体可以是第三方实体或实体A 501本身。第三方实体能够是硬件、软件或人类等。
基于公共信任评估器511的信任组合和实体A 501的信任组合,共同信任模型适配器512创建相关信任模型,以建立从公共信任评估器到实体A 501的单边信任关系。类似地,公共信任模型适配器512创建相关信任模型,以建立从公共信任评估器511到实体B 506的单边信任关系。
在使用由实体B 506提供的任何服务之前,实体A 501的信任评估器A 502利用公共信任评估器511来检查实体B 506的可信度。基于实体A 501与公共信任评估器511之间的互信模型以及实体B 506与公共信任评估器511之间的互信模型,公共信任评估器511向实体A 501返回实体B 506的信任组合,或向实体A 501返回实体B 506的风险链、信任档案、信任保障和其他上下文数据。在一些情况下,公共信任评估器511可以向实体A 501返回错误。
如果公共信任评估器511向实体A 501返回实体B 506的风险链、信任档案、信任保障和其他上下文数据,那么信任评估器A 502根据实体B 506的风险链、信任档案、信任保障和其他上下文数据评估实体B 506的可信度,并且得到实体B 506的信任组合。
信任评估器A 502根据实体A 501的风险链、信任档案、信任保障和其他上下文数据自评估实体A的可信度,并且得到实体A 501的信任组合。基于实体B 506的信任组合和实体A 501的信任组合,信任模型适配器A 503创建相关信任模型(例如验证/直接信任、介导/传递信任、强制信任等),以建立从实体A 501到实体B 506的单边信任关系。
基于信任模型和信任模型中定义的相关策略,实体A 501在装置与另一装置(诸如实体A 501认证实体B 506)之间应用安全控制,并且利用实体B 506来构建安全信道以接入实体B 506的服务。
在向实体A 501提供任何服务之前,实体B 506的信任评估器B 507利用公共信任评估器511来检查实体A 501的可信度。
基于实体B 506与公共信任评估器511之间的互信模型以及实体A 501与公共信任评估器511之间的互信模型,公共信任评估器511向实体B 506返回实体A 501的信任组合,或向实体B 506返回实体A 501的风险链、信任档案、信任保障和其他上下文数据。在一些情况下,公共信任评估器511可以向实体B 506返回错误。
如果公共信任评估器511向实体B 506返回实体A 501的风险链、信任档案、信任保障和其他上下文数据,那么信任评估器B 507根据实体A的风险链、信任档案、信任保障和其他上下文数据评估实体A 501的可信度,并且得到实体A 501的信任组合。
信任评估器B 507根据实体B 506的风险链、信任档案、信任保障和其他上下文数据自评估实体B 506的可信度,并且得到实体B 506的信任组合。
基于实体B 506的信任组合和实体A 501的信任组合,信任模型适配器B 508创建相关信任模型(例如验证/直接信任、介导/传递信任、强制信任等),以建立从实体B 506到实体A 501的单边信任关系。
基于信任模型和信任模型中定义的相关策略,实体B 506在装置与另一装置(诸如实体B 506认证实体A 501)之间应用安全控制,定义实体A 501的接入控制规则,利用实体A501来构建安全信道以向实体A 501提供服务,以及在实体B 506上记录实体A 501的行为。
在另一示例情景中,实体A 501与实体B 506之间的信任关系根据实体A 501、实体B 506或其生产方504、509或消费方505、510的动态改变而改变。
作为此示例的先决条件,实体A 501与公共评估器511之间的互信已利用具体信任模型建立,实体B 506与公共评估器511之间的互信已利用具体信任模型建立,并且实体A501与实体B 506之间的互信已利用具体信任模型建立。
在实施例中,实体之间的信任关系和相关信任模型可以基于实体的改变而动态地改变。实体的改变可以包括实体本身的改变中的一项或多项(例如,实体升级,引入新特征、新服务,或使用新技术、软件或硬件等),实体可以被缩放或移动尤其到新的地理位置,实体的安全状态可以改变(例如,实体被损害或损坏等),实体的上下文的改变(例如添加/删除实体的消费方/生产方,添加具体行业域的消费方),其消费方或生产方的安全上下文可以改变(例如其消费方的安全策略改变),与实体相关的威胁表面改变(例如,可能暴露新的易损性,或公开新攻击模式等),和/或与实体相关的安全策略或规程可以改变。
在示例情景中,根据某些实施例,当实体A 501存在改变时,信任评估器A 502根据实体A 501的风险链、信任档案、信任保障和其他上下文数据重新评估实体A 501的可信度,并且得到实体A 501的新信任组合。
基于实体A 501与公共信任评估器511之间的信任关系,信任评估器A 511可以利用公共信任评估器511同步实体A 511的改变,并且基于公共信任评估器511与实体A 501之间的信任关系以及公共信任评估器511与实体B 506之间的信任关系,公共信任评估器511还可以同步实体A 501到实体B 506的改变。
基于实体A 501与实体B 506之间的信任关系,信任评估器A 502可以直接地利用实体B 506同步实体A 501的改变。
同步信息能够是实体A 501的经更新的信任组合,或实体A 501的经更新的风险链、信任档案、信任保障和其他上下文数据等。
为了反映实体A 501的新信任组合,信任模型适配器A 503可以将用于新信任关系的信任模型(例如验证/直接信任、介导/传递信任、强制信任等)更新为公共信任评估器511和/或实体B 506。基于新信任模型和新信任模型中定义的相关策略,实体A 501在装置与另一装置(诸如实体A 501认证实体B 506)之间应用安全控制,并且利用实体B 506来构建安全信道以接入实体B 506的服务。
如果实体B 506从公共信任评估器511或实体A 501接收实体A 501的风险链、信任档案和信任保障,那么信任评估器B 507根据实体A 501的经更新的风险链、信任档案和信任保障重新评估实体A 501的可信度,并且得到实体A 501的新信任组合。基于实体A 501的新信任组合,信任模型适配器B 508可以更新用于从实体B 506到实体A 501的新信任关系的信任模型(例如验证/直接信任、介导/传递信任、强制信任等)。
基于新信任模型和新信任模型中定义的相关策略,实体B 506在装置与另一装置(诸如实体B 506认证实体A 501)之间应用安全控制,定义实体A 501的接入控制规则,利用实体A 501来构建安全信道以向实体A 501提供服务,以及在实体B 506上记录实体A 501的行为。
图6图示了用于实现根据实施例的用于动态和多样性多域网络的自适应互信模型的示例流程图。
如图6的示例中所图示,方法可以包括:在601处,由装置的信任模型适配器创建自适应信任模型,该自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由装置的信任评估器得到的信任的组合来建立与另一装置的信任关系。方法还可以包括:在602处,基于自适应信任模型和自适应信任模型中定义的策略来认证另一装置,并且在603处,方法可以包括基于自适应信任模型和自适应信任模型中定义的策略来定义另一装置的接入控制规则。
在实施例中,在604处,方法可以包括基于自适应信任模型和自适应信任模型中定义的策略利用另一装置来构建安全信道,以及在605处在装置上记录另一装置的行为。如所示,方法还可以包括在606处基于新信任模型来认证另一装置,在607处基于新信任模型来定义另一装置的接入控制规则,在608处基于新信任模型利用另一装置来构建安全信道,以及在609处基于新信任模型来记录另一装置的行为。
图7a图示了根据实施例的装置10的示例。在实施例中,装置10可以是通信网络、网络/服务管理***中的节点、主机或服务器或服务此网络。例如,装置10可以是通信服务管理功能、网络切片管理功能、网络切片子网管理功能、网络功能管理功能、基站、节点B、演进式节点B(eNB)、5G节点B或接入点、下一代节点B(NG-NB或gNB)、gNB的CU、WLAN接入点、接入和移动性管理功能(AMF)、会话管理功能(SMF)、用户平面功能(UPF)、认证服务器功能(AUSF)、网络存储库功能(NRF)、网络切片选择功能(NSSF)、数据管理实体(例如UDM)或与无线电接入网络相关联的其他实体,诸如5G或NR。在一个示例中,装置10可以表示管理服务生产方。
如图7a的示例中所图示,装置10可以包括用于处理信息并执行指令或操作的处理器12。处理器12可以是任何类型的通用或专用处理器。实际上,作为示例,处理器12可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核心处理器架构的处理器中的一项或多项。尽管在图7a中示出单个处理器12,但根据其他示例实施例可以利用多个处理器。例如,应当理解,在某些实施例中,装置10可以包括可以形成多处理器***的两个或更多处理器(例如,在此情况下,处理器12可以表示多处理器),该多处理器***可以支持多处理。在某些实施例中,多处理器***可以紧密耦合或松散耦合(例如以形成计算机集群)。
处理器12可以执行与装置10的操作相关联的功能,其可以包括例如管理和统筹以及装置10的总体控制,包括与通信资源的管理相关的过程。
装置10还可以包括或耦合到存储器14(内部或外部),该存储器14可以被耦合到处理器12,以用于存储可以由处理器12执行的信息和指令。存储器14可以是一个或多个存储器并且是适合于本地应用环境的任何类型,并且可以使用任何适当易失性或非易失性数据存储技术来实现,该数据存储技术诸如基于半导体的存储器设备、磁性存储器设备和***、光存储器设备和***、固定存储器和/或可移动存储器。例如,存储器14能够包括随机接入存储器(RAM)、只读存储器(ROM)、静态存储装置(诸如磁盘或光盘)、硬盘驱动器(HDD)或任何其他类型的非瞬态机器或计算机可读介质的任何组合。存储在存储器14中的指令可以包括程序指令或计算机程序代码,该程序指令或计算机程序代码在由处理器12执行时使得装置10能够执行如本文中所描述的任务。
在实施例中,装置10还可以包括或被耦合到(内部或外部)驱动或端口,该驱动或端口被配置为容纳和读取外部计算机可读存储介质,诸如光盘、USB驱动器、闪存驱动器或任何其他存储介质。例如,外部计算机可读存储介质可以存储用于由处理器12和/或装置10执行的计算机程序或软件。
在实施例中,存储器14可以存储软件模块,该软件模块在由处理器12执行时提供功能性。模块可以包括例如操作***,该操作***提供用于装置10的操作***功能性。存储器还可以存储一个或多个功能模块(诸如应用或程序),以提供用于装置10的附加功能性。装置10的组件可以在硬件中被实现,或实现为硬件和软件的任何适当组合。
根据一些实施例,处理器12和存储器14可以被包括在内,或可以形成处理电路***或控制电路***的一部分。附加地,在一些实施例中,收发器18可以被包括在内,或可以形成收发电路***的一部分。
如本文中所使用,术语“电路***”可以指代纯硬件电路***实现(例如模拟和/或数字电路***)、硬件电路和软件的组合、模拟和/或数字硬件电路与软件/固件的组合、一起工作以使装置(例如装置10)执行各种功能的(多个)硬件处理器与软件(包括数字信号处理器)的任何部分,和/或(多个)硬件电路和/或(多个)处理器或其部分,其使用软件用于操作,但其中当不需要用于操作时可以不存在软件。作为另外的示例,如本文中所使用,术语“电路***”还可以涵盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的部分和其伴随软件和/或固件的实现。术语电路***还可以涵盖例如服务器、蜂窝网络节点或设备或其他计算或网络设备中的基带集成电路。
如上所述,在某些实施例中,装置10可以是网络节点或实体,诸如管理服务生产方等。根据某些实施例,装置10可以由存储器14和处理器12控制,以实施与本文中所描述的实施例中的任一实施例相关联的功能。例如,在一些实施例中,装置10可以被配置为执行本文中所描述的流程图或信号图中的任一项(诸如图6)中描绘的过程中的一个或多个过程。
图7b图示了根据示例实施例的装置20的示例。在示例实施例中,装置20可以是节点或服务器,该节点或服务器与无线电接入网络、网络/服务管理***(诸如LTE网络)、5G或NR或可能受益于等效过程的其他无线电***相关联。例如,装置20可以是通信服务管理功能、网络切片管理功能、网络切片子网管理功能、网络功能管理功能、基站、节点B、演进式节点B(eNB)、5G节点B或接入点、下一代节点B(NG-NB或gNB)、接入&移动性管理功能(AMF)、会话管理功能(SMF)、用户平面功能(UPF)、认证服务器功能(AUSF)、网络存储库功能(NRF)、网络切片选择功能(NSSF)和/或与无线电接入网络相关联的gNB的DU或CU,诸如5G或NR。在一个示例中,装置20可以表示客户端,诸如管理服务消费方、网络功能、网络元件或管理功能。
应当理解,在一些示例实施例中,装置20可以包括作为分布式计算***的边缘云端服务器,其中服务器和无线电节点可以是经由无线电路径或经由有线连接彼此通信的独立装置,或其可以位于经由有线连接通信的同一实体中。例如,在装置20表示gNB的某些示例实施例中,其可以被配置在中央单元(CU)和划分gNB功能性的分布式单元(DU)架构中。在此架构中,CU可以是包括gNB功能的逻辑节点,该gNB功能为诸如传送用户数据、移动性控制、无线电接入网络共享、定位和/或会话管理等。CU可以通过控制前传(front-haul)接口上的(多个)DU的操作。取决于功能拆分选项,DU可以为逻辑节点,该逻辑节点包括gNB功能的子集。应注意,所属领域的技术人员将理解,装置20可以包括图7b中未示出的组件或特征。
如图7b的示例中所说明,装置20可以包括或被耦合到用于处理信息并执行指令或操作的处理器22。处理器22可以是任何类型的通用或专用处理器。实际上,作为示例,处理器22可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和基于多核心处理器架构的处理器中的一项或多项。尽管在图7b中示出单个处理器22,但根据其他示例实施例多个处理器可以被利用。例如,应当理解,在某些示例实施例中,装置20可以包括可以形成多处理器***的两个或更多处理器(例如,在此情况下,处理器22可以表示多处理器),该多处理器***可以支持多处理。在某些示例实施例中,多处理器***可以被紧密耦合或松散耦合(例如以形成计算机集群)。
装置20还可以包括或被耦合到存储器24(内部或外部),该存储器24可以被耦合到处理器22,以用于存储可以由处理器22执行的信息和指令。存储器24可以是一个或多个存储器并且是适合本地应用环境的任何类型,并且可以使用任何适当的易失性或非易失性数据存储技术来实现,该数据存储技术诸如基于半导体的存储器设备、磁性存储器设备和***、光存储器设备和***、固定存储器和/或可移动存储器。例如,存储器24能够包括随机接入存储器(RAM)、只读存储器(ROM)、静态存储装置(诸如磁盘或光盘)、硬盘驱动器(HDD)或任何其他类型的非瞬态机器或计算机可读介质的任何组合。存储在存储器24中的指令可以包括程序指令或计算机程序代码,该程序指令或计算机程序代码在由处理器22执行时使得装置20能够执行如本文中所描述的任务。
在示例实施例中,装置20还可以包括或被耦合到(内部或外部)驱动器或端口,该驱动器或端口被配置为容纳和读取外部计算机可读存储介质,诸如光盘、USB驱动、闪存驱动或任何其他存储介质。例如,外部计算机可读存储介质可以存储用于由处理器22和/或装置20执行的计算机程序或软件。
在示例实施例中,装置20还可以包括或被耦合到用于接收下行链路信号且用于经由上行链路从装置20发送的一个或多个天线25。装置20还可以包括收发器28,该收发器28被配置为发送和接收信息。收发器28还可以包括耦合到天线25的无线电接口(例如调制解调器)。
在示例实施例中,存储器24存储软件模块,该软件模块在由处理器22执行时提供功能性。模块可以包括例如操作***,该操作***提供用于装置20的操作***功能性。存储器还可以存储一个或多个功能模块(诸如应用或程序),以提供用于装置20的附加功能性。装置20的组件可以在硬件中被实现,或被实现为硬件和软件的任何合适组合。根据示例实施例,装置20可以可选地被配置为根据任何无线电接入技术(诸如NR)经由无线或有线通信链路70与装置10通信。
根据一些示例实施例,处理器22和存储器24可以被包括在内,或可以形成处理电路***或控制电路***的一部分。附加地,在一些示例实施例中,收发器28可以被包括在内,或可以形成收发电路***的一部分。
如上所述,在某些实施例中,装置20可以是网络节点或实体,诸如管理服务生产方等。根据某些实施例,装置20可以由存储器24和处理器22控制,以执行与本文中所描述的实施例中的任一实施例相关联的功能。例如,在一些实施例中,装置20可以被配置为执行本文中所描述的流程图或信号图中的任一项(诸如图6)中描绘的过程中的一个或多个过程。
在一些示例实施例中,本文中描述的方法、过程、图示或流程图中的任一项的功能性可以由存储在存储器或其他计算机可读或有形介质中的软件和/或计算机程序代码或代码的部分实现,且由处理器行。
在一些示例实施例中,装置可以被包括在内或与被配置为(多个)算术运算或配置为程序或其部分(包括增加或经更新的软件例程)、由至少一个操作处理器执行的至少一个软件应用、模块、单元或实体相关联。包括软件例程、小程序和宏的程序(也称为程序产品或计算机程序)可以被存储在任何装置可读数据存储介质中,并且可以包括用于执行特定任务的程序指令。
计算机程序产品可以包括一个或多个计算机可执行组件,该计算机可执行组件在当程序运行时被配置为执行一些示例实施例。一个或多个计算机可执行组件可以是至少一个软件代码或代码的部分。用于实现示例实施例的功能性所需的修改和配置可以被执行为(多个)例程,该(多个)例程可以被实现为经增加或经更新的(多个)软件例程。在一个示例中,(多个)软件例程可以被下载到装置中。
作为示例,软件或计算机程序代码或代码的部分可以呈源代码形式、对象码形式或呈某一中间形式,并且其可以存储在某一类载体、分布介质或计算机可读介质中,其可以为能够携载程序的任何实体或设备。例如,此类载波可以包括记录介质、计算机存储器、只读存储器、光电和/或电载波信号、电信信号和/或软件分布包。取决于所需处理功率,计算机程序可以在单个电子数字计算机中被执行,或其可以在多个计算机当中分布。计算机可读介质或计算机可读存储介质可以是非瞬态介质。
在其他示例实施例中,功能性可以由装置(例如装置10或装置20)中包括的硬件或电路***实施,例如经由使用专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA),或硬件和软件的任何其他组合。在又一示例实施例中,功能性可以被实现为信号,诸如无形部件,其能够由从互联网或其他网络下载的电磁信号携载。
根据示例实施例,装置(诸如节点、设备或对应组件)可以被配置为电路***、计算机或微处理器,诸如单芯片计算机元件,或被配置为芯片组,其可以至少包括用于提供用于(多个)算术运算的存储能力的存储器和/或用于执行(多个)算术运算的运算处理器。
因此,某些示例实施例提供优于现有技术工艺的若干技术改进、增强和/或优势,并且构成至少对无线网络控制和管理的技术领域的改进。例如,根据某些实施例,信任模型能够适用于动态和/或多域网络。因此,使用某些示例实施例引起通信网络和其节点的改进运行,诸如基站、eNB、gNB和/或UE或移动站。
所属领域的技术人员将容易地理解,上述示例实施例可以按不同顺序使用过程和/或在与所公开的配置不同的配置中使用硬件元件来实践。因此,尽管已基于这些示例实施例来描述一些实施例,但对于所属领域的技术人员将明显的是,某些修改、变化和备选构造将是明显的,同时保持在示例实施例的精神和范围内。
Claims (36)
1.一种装置,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码,
所述至少一个存储器和计算机程序代码被配置为与所述至少一个处理器一起,使所述装置至少:
由所述装置的信任模型适配器创建自适应信任模型,所述自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由所述装置的信任评估器得到的信任的组合来建立与所述另一装置的信任关系;以及
在所述装置与所述另一装置之间应用安全控制。
2.根据权利要求1所述的装置,其中所述装置或所述另一装置中任一项包括服务消费方和/或服务生产方。
3.根据权利要求1或2所述的装置,其中所述自适应信任模型包括以下至少一项:验证/直接信任模型、介导/传递信任模型、强制信任模型和/或混合信任模型。
4.根据权利要求1至3中任一项所述的装置,其中所述装置的信任的所述组合根据以下至少一项得到:所述装置的风险链、所述装置的信任档案、所述装置的信任保障和所述装置的上下文数据。
5.根据权利要求1至4中任一项所述的装置,其中所述另一装置的信任的所述组合是以下中的一项:
根据以下至少一项得到:所述另一装置的风险链、所述另一装置的信任档案、所述另一装置的信任保障和所述另一装置的上下文数据;或者
从其他受信实体接收。
6.根据权利要求1至5中任一项所述的装置,其中每个所述风险链根据以下项由每个相应装置的所述信任评估器得到:每个相应装置的所述信任档案、每个相应装置的所述信任保障、每个相应装置的服务消费方上下文数据链和每个相应装置的服务生产方上下文数据链。
7.根据权利要求1至6中任一项所述的装置,其中每个所述服务消费方链包括每个相应装置的服务消费方和每个相应装置的所述服务消费方的消费方的列表。
8.根据权利要求1至7中任一项所述的装置,其中每个所述服务生产方链包括每个相应装置的服务生产方和每个相应装置的所述服务生产方的生产方的列表。
9.根据权利要求1至8中任一项所述的装置,其中每个信任档案定义每个相应装置的安全特性和每个相应装置的安全能力,其中每个信任档案被配置为根据以下至少一项而改变:每个相应装置的升级、缩放,或由每个相应装置提供的服务的改变,每个相应装置的服务消费方的改变,每个相应装置的所述服务生产方的改变,每个相应装置的安全状态和威胁表面改变,每个相应装置的策略/规程的改变。
10.根据权利要求1至9中任一项所述的装置,其中每个信任保障定义安全实施的能力、安全实施的水平、每个相应装置的验证、每个相应装置的监测和每个相应装置的合规性,并且每个信任保障被配置为基于每个相应装置的改变或每个相应装置的所述信任档案的改变而动态地改变。
11.根据权利要求1至10中任一项所述的装置,其中当所述装置存在改变时,所述装置的所述信任评估器被配置为根据所述改变:
得到新信任组合;以及
基于所述信任模型直接地或间接地向所述另一装置通知所述装置的所述改变。
12.根据权利要求11所述的装置,其中每个所述信任模型适配器被配置为得到新信任模型,并且建立新信任关系以反映所述新信任组合。
13.根据权利要求11所述的装置,其中所述装置的所述改变包括以下至少一项:所述装置的升级、缩放、移动、安全状态改变,添加/删除所述装置的消费方或生产方,其消费方或生产方的安全上下文的改变,与所述装置相关的威胁表面的改变,以及与所述装置相关的安全策略或规程的改变。
14.根据权利要求11所述的装置,其中被通知的所述装置的所述改变包括以下至少一项:所述装置的经更新的信任组合、经更新的风险链、经更新的信任档案和经更新的信任保障。
15.根据权利要求12所述的装置,其中所述至少一个存储器和计算机程序代码被配置为与所述至少一个处理器一起,使所述装置基于所述新信任模型至少:
认证所述另一装置,
定义针对所述另一装置的接入控制规则,
利用所述另一装置来构建安全信道,以及
记录所述另一装置的行为。
16.根据权利要求11所述的装置,其中每个所述信任模型适配器被配置为在信任度基于所述新信任组合为零时或所述另一装置被终止时删除所述信任模型并且终止与所述另一装置的所述信任关系。
17.一种装置,包括:
至少一个处理器;以及
至少一个存储器,包括计算机程序代码,
所述至少一个存储器和计算机程序代码被配置为与所述至少一个处理器一起,使所述装置至少:
由所述装置的信任模型适配器创建自适应信任模型,所述自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由所述装置的信任评估器得到的信任的组合来建立与所述另一装置的信任关系;
在所述装置与所述另一装置之间应用安全控制;
从所述另一装置接收所述另一装置的改变的指示;
得到新信任模型,并且建立新信任关系以基于所述改变反映新信任组合。
18.一种方法,包括:
由所述装置的信任模型适配器创建自适应信任模型,所述自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由所述装置的信任评估器得到的信任的组合来建立与所述另一装置的信任关系;以及
在所述装置与所述另一装置之间应用安全控制。
19.根据权利要求16所述的方法,其中所述装置或所述另一装置中任一项包括服务消费方和/或服务生产方。
20.根据权利要求16或17所述的方法,其中所述自适应信任模型包括以下至少一项:验证/直接信任模型、介导/传递信任模型、强制信任模型和/或混合信任模型。
21.根据权利要求16至18中任一项所述的方法,其中所述装置的信任的所述组合根据以下至少一项得到:所述装置的风险链、所述装置的信任档案、所述装置的信任保障和所述装置的上下文数据。
22.根据权利要求16至19中任一项所述的方法,其中所述另一装置的信任的组合是以下中的一项:
根据以下至少一项得到:所述另一装置的风险链、所述另一装置的信任档案、所述另一装置的信任保障和所述另一装置的上下文数据;或者
从其他受信实体接收。
23.根据权利要求16至20中任一项所述的方法,其中每个所述风险链根据以下项由每个相应装置的所述信任评估器得到:每个相应装置的所述信任档案、每个相应装置的所述信任保障、每个相应装置的服务消费方上下文数据链和每个相应装置的服务生产方上下文数据链。
24.根据权利要求16至21中任一项所述的方法,其中每个所述服务消费方链包括每个相应装置的服务消费方和每个相应装置的所述服务消费方的消费方的列表。
25.根据权利要求16至22中任一项所述的方法,其中每个所述服务生产方链包括每个相应装置的服务生产方和每个相应装置的所述服务生产方的生产方的列表。
26.根据权利要求16至23中任一项所述的方法,其中每个信任档案定义每个相应装置的安全特性和每个相应装置的安全能力,其中每个信任档案被配置为根据以下至少一项而改变:每个相应装置的升级、缩放,或由每个相应装置提供的服务的改变,每个相应装置的服务消费方的改变,每个相应装置的所述服务生产方的改变,每个相应装置的安全状态和威胁表面改变,每个相应装置的策略/规程的改变。
27.根据权利要求16至24中任一项所述的方法,其中每个信任保障定义安全实施的能力、安全实施的水平、每个相应装置的验证、每个相应装置的监测和每个相应装置的合规性,并且每个信任保障被配置为基于每个相应装置的改变或每个相应装置的所述信任档案的改变而动态地改变。
28.根据权利要求16至25中任一项所述的方法,其中当所述装置存在改变时,所述装置的所述信任评估器被配置为根据所述改变:
得到新信任组合;以及
基于所述新信任模型直接地或间接地向所述另一装置通知所述装置的所述改变。
29.根据权利要求26所述的方法,其中每个所述信任模型适配器被配置为得到新信任模型,并且建立新信任关系以反映所述新信任组合。
30.根据权利要求26所述的方法,其中所述装置的所述改变包括以下至少一项:所述装置的升级、缩放、移动、安全状态改变,添加/删除所述装置的消费方或生产方,其消费方或生产方的安全上下文的改变,与所述装置相关的威胁表面的改变,以及与所述装置相关的安全策略或规程的改变。
31.根据权利要求26所述的方法,其中被通知的所述装置的所述改变包括以下至少一项:所述装置的经更新的信任组合、经更新的风险链、经更新的信任档案和经更新的信任保障。
32.根据权利要求27所述的方法,其中所述方法还包括基于所述新信任模型,
认证所述另一装置,
定义针对所述另一装置的接入控制规则,
利用所述另一装置来构建安全信道,以及
记录所述另一装置的行为。
33.根据权利要求26所述的方法,其中每个所述信任模型适配器被配置为在信任度基于所述新信任组合为零时或所述另一装置被终止时删除所述信任模型且终止与所述另一装置的所述信任关系。
34.一种方法,包括:
由装置的信任模型适配器创建自适应信任模型,所述自适应信任模型被配置为根据由另一装置的信任评估器得到的信任的组合和由所述装置的信任评估器得到的信任的组合来建立与所述另一装置的信任关系;
在所述装置与所述另一装置之间应用安全控制;
从所述另一装置接收所述另一装置的改变的指示;
得到新信任模型,并且建立新信任关系以基于所述改变反映新信任组合。
35.一种装置,包括:
用于由装置的信任模型适配器创建自适应信任模型的部件,所述自适应信任模型被配置为根据另一装置的信任的组合和所述装置的信任的组合来建立与所述另一装置的信任关系;以及
用于在所述装置与所述另一装置之间应用安全控制的部件。
36.一种计算机可读介质,包括程序指令,所述程序指令存储在其上以用于至少执行以下操作:
由装置的信任模型适配器创建自适应信任模型,所述自适应信任模型被配置为根据另一装置的信任的组合和所述装置的信任的组合来建立与所述另一装置的信任关系;以及
在所述装置与所述另一装置之间应用安全控制。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/109850 WO2021068096A1 (en) | 2019-10-07 | 2019-10-07 | Adaptive mutual trust model for dynamic and diversity multi-domain network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114503632A true CN114503632A (zh) | 2022-05-13 |
Family
ID=75436723
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980101087.2A Pending CN114503632A (zh) | 2019-10-07 | 2019-10-07 | 用于动态和多样性多域网络的自适应互信模型 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230128998A1 (zh) |
| EP (1) | EP4042650A4 (zh) |
| CN (1) | CN114503632A (zh) |
| WO (1) | WO2021068096A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024037215A1 (zh) * | 2022-08-18 | 2024-02-22 | 华为技术有限公司 | 通信方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12010538B2 (en) * | 2020-02-11 | 2024-06-11 | Intel Corporation | Method and apparatus to support performance data streaming end-to-end (E2E) procedures |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5012515A (en) * | 1989-07-20 | 1991-04-30 | International Computers Limited | Security method for a distributed data processing system |
| US20130145419A1 (en) * | 2011-12-06 | 2013-06-06 | Sap Ag | Systems and Methods for Generating Trust Federation Data from BPMN Choreography |
| CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9130921B2 (en) * | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
| CN101753565A (zh) * | 2009-12-08 | 2010-06-23 | 东南大学 | 计算机网络中跨信任域信任关系的构建方法 |
| WO2018075965A1 (en) * | 2016-10-20 | 2018-04-26 | IsoNetic, Inc. | Dark virtual private networks and secure services |
| US20220377092A1 (en) * | 2019-06-18 | 2022-11-24 | David Michael Vigna | Method of implementing enterprise cyber reports |
| US20230030124A1 (en) * | 2021-07-30 | 2023-02-02 | Mastercard Technologies Canada ULC | Trust scoring service for fraud prevention systems |
| US20230239325A1 (en) * | 2022-01-26 | 2023-07-27 | Zscaler, Inc. | Software security agent updates via microcode |
-
2019
- 2019-10-07 US US17/766,424 patent/US20230128998A1/en active Pending
- 2019-10-07 EP EP19948395.9A patent/EP4042650A4/en active Pending
- 2019-10-07 CN CN201980101087.2A patent/CN114503632A/zh active Pending
- 2019-10-07 WO PCT/CN2019/109850 patent/WO2021068096A1/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5012515A (en) * | 1989-07-20 | 1991-04-30 | International Computers Limited | Security method for a distributed data processing system |
| US20130145419A1 (en) * | 2011-12-06 | 2013-06-06 | Sap Ag | Systems and Methods for Generating Trust Federation Data from BPMN Choreography |
| CN106575323A (zh) * | 2014-08-22 | 2017-04-19 | 诺基亚技术有限公司 | 用于虚拟化网络的安全性和信任框架 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024037215A1 (zh) * | 2022-08-18 | 2024-02-22 | 华为技术有限公司 | 通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4042650A1 (en) | 2022-08-17 |
| US20230128998A1 (en) | 2023-04-27 |
| WO2021068096A1 (en) | 2021-04-15 |
| EP4042650A4 (en) | 2023-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Liyanage et al. | A comprehensive guide to 5G security | |
| US20210329450A1 (en) | Drop-in probe that facilitates management and configuration of internet of things network connected devices | |
| US20230292123A1 (en) | Authenticating radio access network components using distributed ledger technology | |
| US11290876B2 (en) | Key derivation method and apparatus | |
| Kalla et al. | A survey on the use of blockchain for future 6G: Technical aspects, use cases, challenges and research directions | |
| US11470181B2 (en) | Application management of network slices with ledgers | |
| US20210357507A1 (en) | Framework for automated penetration testing | |
| US11979371B2 (en) | Gateway for mobile terminated wireless communication in a 5G or other next generation wireless network | |
| CN112668913A (zh) | 基于联邦学习的网络构建方法、装置、设备及存储介质 | |
| CN114503632A (zh) | 用于动态和多样性多域网络的自适应互信模型 | |
| Ali et al. | A maturity framework for zero‐trust security in multiaccess edge computing | |
| US10515318B2 (en) | Automated resolution of Wi-Fi connectivity issues over SMS | |
| Nencioni et al. | 5G multi-access edge computing: A survey on security, dependability, and performance | |
| Hoffmann et al. | A secure and resilient 6G architecture vision of the German flagship project 6G-ANNA | |
| WO2021174439A1 (en) | Allocation resource of network slice | |
| Settembre | A 5G core network challenge: Combining flexibility and security | |
| US11729055B1 (en) | Utilizing templates with associated naming policies to deploy network equipment | |
| US20230100203A1 (en) | Autonomous onsite remediation of adverse conditions for network infrastructure in a fifth generation (5g) network or other next generation wireless communication system | |
| Ahmad et al. | An overview of the security landscape of virtual mobile networks | |
| US20220264316A1 (en) | Launching radio spectrum resources into a fifth generation (5g) network or other next generation networks | |
| US11576109B2 (en) | Modifying capacity assigned to support a network slice allocated to a user device in a 5G or other next generation wireless network | |
| Siokis et al. | 5G experimentation environment for third party media services: the 5GMediaHUB project | |
| WO2022259024A1 (en) | Proxy certificate management for nfv environment (pcs) | |
| Moussaoui et al. | Distributed ledger technologies for cellular networks and beyond 5g: a survey | |
| US20240046153A1 (en) | Abnormal model behavior detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |