(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210407668.2 (22)申请日 2022.04.19 (71)申请人 国网天津市电力公司电力科 学研究 院 地址 300384 天津市西青区海 泰华科四路8 号 申请人 国网天津市电力公司 　 国电南瑞南京控制系统有限公司 (72)发明人 张磐　徐科　尚学军　吴彬　 霍现旭　刘明祥　张腾飞　孙建东　 蔡月明　周霞　邹花蕾　吴巨爱　 李雪　范巍　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 李家平(51)Int.Cl. H04W 12/06(2021.01) H04W 12/60(2021.01) H04W 12/71(2021.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于零信任的5 G馈线自动化访问控制方法、 装置及介质 (57)摘要 本发明公开了一种基于零信任的5G馈线自 动化访问控制方法、 装置及介质， 所述方法包括： 获取5G馈线终端的设备信息以及访问行为信息； 接收5G馈线终端的身份认证请求， 并生成 网络鉴 权向量和身份向量， 根据网络鉴权向量对5G馈线 终端进行请求认证， 根据身份向量对5G馈线终端 进行身份认证； 根据所述设备信息和所述访问行 为信息计算得到所述5G馈线终端的信任度； 将所 述信任度与预设阈值进行比较， 若所述信任度超 过所述预设阈值， 则授权所述5G馈线终端进行访 问； 若所述信任度不超过所述预设阈值， 则拒绝 所述5G馈线终端进行访问。 本发明通过对5G馈线 终端进行二次认 证， 能够有效预防来自内外部的 攻击行为， 拒绝未授权的访问， 提高配电网的安 全性和可靠性。 权利要求书2页 说明书10页 附图2页 CN 114513786 A 2022.05.17 CN 114513786 A 1.一种基于零信任的5G馈线自动化访问控制方法， 其特 征在于， 包括： 获取5G馈线终端的设备信息以及访问行为信息； 其中， 所述设备信息包括所述5G馈线 终端的序列号、 IP地址、 上行流量以及下行流量； 所述访问行为信息包括所述5G馈线终端的 访问总次数以及尝试越权访问的次数； 接收所述5G馈线终端的身份认证请求， 并生成网络鉴权向量和身份向量， 根据所述网 络鉴权向量对 所述5G馈线终端进 行请求认证， 根据所述身份向量对所述5 G馈线终端进 行身 份认证； 根据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度； 将所述信任度与预设阈值进行比较， 若所述信任度超过所述预设阈值， 则授权所述5G 馈线终端 进行访问； 若所述信任度不超过 所述预设阈值， 则拒绝所述5G馈线终端 进行访问。 2.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述获 取5G馈线终端的设备信息以及 访问行为信息， 具体为： 通过5G切片中的mMTC海量机器接入切片对所述5G馈线终端 的所述设备信息以及所述 访问行为信息进行自动化采集。 3.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述网 络鉴权向量包括对第一随机数和 服务器识别码进行加密后的第一密文以及第一消息验证 码， 其中， 所述第一随机数由认证服 务器生成； 所述身份向量包括对第二随机数和终端身份识别码进行加密后的第二密文以及第二 消息验证码， 其中， 所述第二随机数由所述5G馈线终端生成。 4.如权利要求3所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述第 一消息验证码满足 h1=f1k（M1，RANDDN） ； 其中，h1表示第一消息验证码； f1k为5G安全结构中定义的算 法， 用于产生消息验证码； M1 表示第一密文， M1= Ek（RANDDN||IDDN） ，Ek(X)为使用对称密钥k加密 X得到的密文， RANDDN表示 第一随机数， IDDN表示服务器识别码， IDDN=TS， TS表示时间戳； 所述第二消息验证码满足 h2 =f1k（M2，RANDUE） ； 其中，h2表示第二消息验证码； M2表示第二密 文，M2= Ek（RANDUE ||IDUE） ，RANDUE表示第二 随机数，IDUE表示终端身份识别码， ， TS表示时间戳， SN表示所述5G馈线 终端 的序列号。 5.如权利要求3所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述接 收所述5G馈线终端的身份认证请求， 并生成网络鉴权 向量和身份 向量， 根据所述网络鉴权 向量对所述5G馈线终端进行请求认证， 根据所述身份向量对所述5G馈线终端进行身份认 证， 具体包括： 接收所述5G馈线终端的身份认证请求， 并生成网络鉴权向量和身份向量； 将所述网络鉴权向量发送给所述5G馈线终端， 并对所述网络鉴权向量进行解密计算得 到第一验证码； 将所述第一验证码与所述第一消息验证码进行比较， 若二者相等， 则完成对所述5G馈 线终端的请求认证； 若二 者不等， 则终止会话； 将所述身份向量发送给认证服务器， 并对所述身份向量进行解密计算得到第二验证 码；权　利　要　求　书 1/2 页 2 CN 114513786 A 2将所述第二验证码与所述第二消息验证码进行比较， 若二者相等， 则所述5G馈线终端 身份认证成功； 若二 者不等， 则所述5G馈线终端 身份认证失败。 6.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述根 据所述设备信息和所述访问行为信息计算得到所述5G馈线终端的信任度， 具体包括： 根据所述设备信息中的所述IP地址、 所述上行流量、 所述下行流量以及公式 TDeq=a1ST+ a2DY， 计算得到所述5G馈线终端的设备信任度； 其中，TDeq表示设备信任度， ST表示设备静态参数， 所述设备静态参数包括所述IP 地址； DY表示设备动态参 数， 所述设备动态参 数包括所述上行流量和所述 下行流量； a1和a2分别表 示设备静态参数 ST和设备动态参数 DY所占的权 重； 根据所述访问行为信息中的所述访问总次数、 所述尝试越权访问的次数以及公式 TDin= EX /NX， 计算得到所述5G馈线终端的访问信任度； 其中，TDin表示访问信任度， NX表示5G馈线终端 X的访问总次数， EX表示5G馈线终端 X尝试 越权访问的次数； 根据所述设备信任度以及所述访问信任度确定所述5G馈线终端的信任度。 7.如权利要求1所述的基于零信任的5G馈线自动化访问控制方法， 其特征在于， 所述方 法还包括： 当所述5G馈线终端的设备信息或访问行为信 息发生变化时， 对所述信任度进行实时更 新。 8.一种基于零信任的5G馈线自动化访问控制装置， 其特 征在于， 包括： 获取模块， 用于获取5G馈线终端的设备信 息以及访问行为信 息； 其中， 所述设备信息包 括所述5G馈线终端的序列号、 IP地址、 上行流量以及下行流量； 所述访问行为信息包括所述 5G馈线终端的访问总次数以及尝试越权访问的次数； 认证模块， 用于接收所述5G馈线终端的身份认证请求， 并生成网络鉴权向量和身份向 量， 根据所述网络鉴权向量对所述5G馈线终端进行请求认证， 根据所述身份向量对所述5G 馈线终端 进行身份认证； 信任度计算模块， 用于根据 所述设备信 息和所述访问行为信 息计算得到所述5G馈线终 端的信任度； 访问控制模块， 用于将所述信任度与预设阈值进行比较， 若所述信任度超过所述预设 阈值， 则授权所述5 G馈线终端进 行访问； 若所述信任度不超过所述预设阈值， 则拒绝所述5 G 馈线终端 进行访问。 9.一种基于零信任的5G馈线自动化访问控制装置， 其特征在于， 包括处理器、 存储器以 及存储在所述存储器中且被配置为由所述处理器执行的计算机程序， 所述处理器执行所述 计算机程序时实现如权利要求1至7中任意一项所述的基于零信任的5G馈线自动化访问控 制方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质包括存储的计算 机程序， 其中， 在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权 利要求1至7中任意 一项所述的基于零信任的5G馈线自动化访问控制方法。权　利　要　求　书 2/2 页 3 CN 114513786 A 3