一种基于5G网络的信息安全鉴权方法及系统

摘要

本发明公开了一种基于5G网络的信息安全鉴权方法及系统，用于5G网络下不同节点之间的鉴权，方法包括：初始化配置；鉴权线索传递；根据请求进行鉴权。本发明通过预设的丢包率控制鉴权线索每次传递后的损耗，由于发起节点所在的虚拟网络是确定的，每次传递后的丢包率是确定的，因此可以判断鉴权线索的完整率是否符合真实的传递情况。在本申请的鉴权措施下，外部访问者想要仿冒身份，需要知道完整鉴权线索、丢包率、传递次数等，并且缺少任何消息都无法通过鉴权，而这些信息本身并不在网络中传递，难以获取，基本杜绝了仿冒的可能性，因此安全性极高。

说明书

技术领域

本发明涉及网络通信领域，特别涉及一种基于5G网络的信息安全鉴权方法及系统。

背景技术

电力系统的安全至关重要，出于数据安全考虑，电力监控系统的内网网络规划中，相互之间通常具有隔离措施，以确保数据传输的安全性，而随着智能化进程的加速，特别是5G的普及使越来越多的设备能够快速、高效地联网，因此互联网安全也逐渐影响整个电力系统。对于电力系统的每个节点来说，确认访问者的身份至关重要，而传统的利用固定的密码或密钥进行验证，安全性较低。

因此，在电力系统内各设备、节点依靠互联网进行跨内网数据访问时，如何防止可能存在的访问者身份伪造，确保访问安全，是亟需解决的问题。

发明内容

针对现有技术进行跨内网数据访问时，访问者身份容易伪造，导致访问不安全的问题，本发明提供了一种基于5G网络的信息安全鉴权方法及系统，通过隔离容器以及虚拟网络的层级控制数据的传播情况，利用鉴权线索进行鉴权，由于鉴权过程中融入了网络特征和数据传播特征，因此外部访问者无法伪造，具有较高的安全性。

以下是本发明的技术方案。

一种基于5G网络的信息安全鉴权方法，用于5G网络下不同节点之间的鉴权，包括以下步骤：

S1：初始化配置：为每个节点配置虚拟的隔离容器，并创建虚拟网络，每个虚拟网络内连接有若干隔离容器，隔离容器被配置为完整接收数据并以预设的丢包率输出数据；

S2：鉴权线索传递：每个节点通过隔离容器定期向所在虚拟网络发送鉴权线索，其他隔离容器从虚拟网络接收所述鉴权线索后输出至所在节点，其中，中间节点利用两个隔离容器在不同虚拟网络间进行鉴权线索的跨网传递；

S3：根据请求进行鉴权：任意节点产生访问请求后，利用5G网络发送来自目标节点的鉴权线索至目标节点，所述目标节点根据鉴权线索计算完整率，如根据预设丢包率与发起节点所在虚拟网络的层级关系计算得到的结果与完整率相同则通过鉴权。

本发明通过隔离容器隔离节点与虚拟网络，并通过预设的丢包率控制鉴权线索每次传递后的损耗，发起节点将收到的鉴权线索发送至目标节点后，目标节点可根据原始的完整鉴权线索进行比对，由于发起节点所在的虚拟网络是确定的，每次传递后的丢包率是确定的，因此可以判断鉴权线索的完整率是否符合真实的传递情况，如果符合则通过鉴权。在本申请的鉴权措施下，外部访问者想要仿冒身份，需要知道完整鉴权线索、丢包率、传递次数（丢包次数），而这些信息本身并不在网络中传递，难以获取，并且缺少任何消息都无法通过鉴权，基本杜绝了仿冒的可能性，因此安全性极高。

作为优选，所述S1中，为每个节点配置虚拟的隔离容器，并创建虚拟网络，每个虚拟网络内连接有若干隔离容器，包括：

为每个节点隔离部分存储空间并配置虚拟的隔离容器，节点本体与隔离容器之间遵守传递协议，节点本体通过隔离容器及传递协议与虚拟网络隔离。

作为优选，所述S1中，隔离容器被配置为完整接收数据并以预设的丢包率输出数据，包括：

隔离容器接收数据时，将接收的数据完整保存；

隔离容器输出数据时，将保存的数据以预设的丢包率输出；

所述预设的丢包率根据需要进行更新。

作为优选，所述S2中，每个节点通过隔离容器定期向所在虚拟网络发送鉴权线索，其他隔离容器从虚拟网络接收所述鉴权线索后输出至所在节点，包括：

节点根据预设时间周期，向自身的隔离容器输入鉴权线索；

隔离容器将接收的鉴权线索完整保存，并根据预设的丢包率将鉴权线索发送至虚拟网络中的其他隔离容器；

隔离容器从虚拟网络收到鉴权线索后，根据预设的丢包率将鉴权线索输出至所在节点。

作为优选，所述S2中，中间节点利用两个隔离容器在不同虚拟网络间进行鉴权线索的跨网传递，包括：

中间节点配置有两个分别连接不同虚拟网络的隔离容器，中间节点将自身任意一个隔离容器输出的鉴权线索转发至另一个隔离容器，以实现鉴权线索在不同虚拟网络间的跨网传递。

本发明中，中间节点可以从自身的两个隔离容器中下载鉴权线索，并转发至另一个隔离容器，能够实现鉴权线索在不同虚拟网络间的跨网传递，在传递过程中，也产生了新的一次丢包率的叠加。

作为优选，所述S3中，任意节点产生访问请求后，利用5G网络发送来自目标节点的鉴权线索至目标节点，包括：

任意节点产生访问请求，根据访问目标确定目标节点，将时间周期内接收到的鉴权线索打包发送至目标节点。

作为优选，所述S3中，目标节点根据鉴权线索计算完整率，如根据预设丢包率与发起节点所在虚拟网络的层级关系计算得到的结果与完整率相同则通过鉴权，包括：

目标节点收到打包的鉴权线索后，进行线索匹配，提取与自身对应的鉴权线索；

根据收到的对应的鉴权线索以及自身保存的完整鉴权线索，计算得到完整率；

根据发起节点所在虚拟网络与目标节点所在虚拟网络的层级差，计算完整鉴权线索经过的传递次数，根据预设丢包率以及所述传递次数计算得到残存比，如完整率与残存比相同，则通过鉴权。

本发明还提供一种基于5G网络的信息安全鉴权系统，包括5G基站及若干节点，执行上述的一种基于5G网络的信息安全鉴权方法。

本发明还提供一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述的一种基于5G网络的信息安全鉴权方法的步骤。

本发明还提供一种存储介质，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现上述的一种基于5G网络的信息安全鉴权方法的步骤。

本发明的实质性效果包括：本发明在配置完虚拟网络和虚拟容器后，利用鉴权线索经过虚拟容器的非对称传递，将完整的鉴权线索在虚拟网络中一层层损耗，当利用鉴权线索进行鉴权时，鉴权线索的产生者只需要确认损耗程度与对方节点所在的虚拟网络是否匹配即可，而想要模仿损耗程度，需要准确获取原始的鉴权线索、预设丢包率、传递次数（丢包次数），由于这些数据均不在网络中传输而是根据实际情况获得，因此外部访问者在掌握整个系统网络框架之前几乎不可能被仿冒。本发明的鉴权方案特别适用于多节点多网络隔离的系统，具有较高的安全性。

附图说明

图1是本发明实施例的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合实施例，对本技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本发明中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含，“包含A、B或C”是指包含A、B、C三者之一，“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。

下面以具体的实施例对本发明的技术方案进行详细说明。实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

实施例

一种基于5G网络的信息安全鉴权方法，如图1所示，用于5G网络下不同节点之间的鉴权，包括以下步骤：

S1：初始化配置：为每个节点配置虚拟的隔离容器，并创建虚拟网络，每个虚拟网络内连接有若干隔离容器，隔离容器被配置为完整接收数据并以预设的丢包率输出数据。

本实施例的S1具体包括：

为每个节点隔离部分存储空间并配置虚拟的隔离容器，节点本体与隔离容器之间遵守传递协议，节点本体通过隔离容器及传递协议与虚拟网络隔离。

隔离容器接收数据时，将接收的数据完整保存；

隔离容器输出数据时，将保存的数据以预设的丢包率输出；

所述预设的丢包率根据需要进行更新。

在本实施例中，节点可以是电力系统内的带有5G模块的任意设备，通常是一些采集参数或执行控制指令的设备。虚拟容器的隔离配置方面，能够实现所需功能即可，例如采用如Kubernetes、OpenShift等类似的技术。

本实施例的虚拟容器的输入和输出被配置为，当向虚拟容器写入数据时，数据全盘保留，当从虚拟容器请求数据时，虚拟容器以预设的丢包率输出。如丢包率为20%，则每份数据输出其中的80%，可以是规律性地每五个字节输出四个有效字节，也可以是随机地输出字符，保证只输出其中的80%。预设丢包率的更新方式，可以是离线设置，也可以通过网络设置。

S2：鉴权线索传递：每个节点通过隔离容器定期向所在虚拟网络发送鉴权线索，其他隔离容器从虚拟网络接收所述鉴权线索后输出至所在节点，其中，中间节点利用两个隔离容器在不同虚拟网络间进行鉴权线索的跨网传递。

包括：

节点根据预设时间周期，向自身的隔离容器输入鉴权线索；

隔离容器将接收的鉴权线索完整保存，并根据预设的丢包率将鉴权线索发送至虚拟网络中的其他隔离容器；

隔离容器从虚拟网络收到鉴权线索后，根据预设的丢包率将鉴权线索输出至所在节点。

例如，每10分钟，节点A向自身的隔离容器A输入新的鉴权线索，隔离容器A以预设的丢包率向同一虚拟网络中的其他节点的隔离容器传递鉴权线索，如丢包率是20%，则同一虚拟网络下节点B的隔离容器B收到该鉴权线索的80%，以此类推，同一虚拟网络收到的检索完整程度相同。

其中，中间节点配置有两个分别连接不同虚拟网络的隔离容器，中间节点将自身任意一个隔离容器输出的鉴权线索转发至另一个隔离容器，以实现鉴权线索在不同虚拟网络间的跨网传递。

本实施例中，中间节点可以从自身的两个隔离容器中下载鉴权线索，并转发至另一个隔离容器，能够实现鉴权线索在不同虚拟网络间的跨网传递，在传递过程中，也产生了新的一次丢包率的叠加。

例如，中间节点C配置有两个分别连接不同虚拟网络的隔离容器C1和C2，其中隔离容器C1接收到了隔离容器A发来的80%的鉴权线索，则中间节点C从隔离容器C1下载得到64%（80%基础上叠加20%的丢包率）的鉴权线索，将其转发至隔离容器C2，再由隔离容器C2将51.2%（64%基础上叠加20%的丢包率）的鉴权线索转发至另一虚拟网络，以此类推。

S3：根据请求进行鉴权：任意节点产生访问请求后，利用5G网络发送来自目标节点的鉴权线索至目标节点，所述目标节点根据鉴权线索计算完整率，如根据预设丢包率与发起节点所在虚拟网络的层级关系计算得到的结果与完整率相同则通过鉴权。

包括：

任意节点产生访问请求，根据访问目标确定目标节点，将时间周期内接收到的鉴权线索打包发送至目标节点。

目标节点收到打包的鉴权线索后，进行线索匹配，提取与自身对应的鉴权线索；

根据收到的对应的鉴权线索以及自身保存的完整鉴权线索，计算得到完整率；

根据发起节点所在虚拟网络与目标节点所在虚拟网络的层级差，计算完整鉴权线索经过的传递次数，根据预设丢包率以及所述传递次数计算得到残存比，如完整率与残存比相同，则通过鉴权。

例如，目标节点收到打包的鉴权线索后，进行线索匹配，找到了与自身完整线索匹配的残缺的鉴权线索，经过比对发现完整率是51.2%，则根据丢包率20%可知，该残缺的鉴权线索经过了三次丢包率的叠加。而根据发起节点所在虚拟网络与目标节点所在虚拟网络的层级差，需要经过三次传递，结合丢包率计算得到的结果是51.2%，则两个数值相同，显然信息都匹配，通过鉴权。

而如果结合传递次数、丢包率计算得到的残存比与完整率不同，则显然发起节点存在身份造假，它不是出自其所声称的虚拟网络。而虚拟网络之间的层级、丢包率以及完整的鉴权线索，都是外人无法获取的，因此几乎不可仿造。

本实施例通过隔离容器隔离节点与虚拟网络，并通过预设的丢包率控制鉴权线索每次传递后的损耗，发起节点将收到的鉴权线索发送至目标节点后，目标节点可根据原始的完整鉴权线索进行比对，由于发起节点所在的虚拟网络是确定的，每次传递后的丢包率是确定的，因此可以判断鉴权线索的完整率是否符合真实的传递情况，如果符合则通过鉴权。在本申请的鉴权措施下，外部访问者想要仿冒身份，需要知道完整鉴权线索、丢包率、传递次数（丢包次数），而这些信息本身并不在网络中传递，难以获取，并且缺少任何消息都无法通过鉴权，基本杜绝了仿冒的可能性，因此安全性极高。

本实施例还提供一种基于5G网络的信息安全鉴权系统，包括5G基站及若干节点，执行上述的一种基于5G网络的信息安全鉴权方法。

本实施例还提供一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述的一种基于5G网络的信息安全鉴权方法的步骤。

本实施例还提供一种存储介质，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现上述的一种基于5G网络的信息安全鉴权方法的步骤。

本实施例的实质性效果包括：本实施例在配置完虚拟网络和虚拟容器后，利用鉴权线索经过虚拟容器的非对称传递，将完整的鉴权线索在虚拟网络中一层层损耗，当利用鉴权线索进行鉴权时，鉴权线索的产生者只需要确认损耗程度与对方节点所在的虚拟网络是否匹配即可，而想要模仿损耗程度，需要准确获取原始的鉴权线索、预设丢包率、传递次数（丢包次数），而这些数据均不在网络中传输，至少不在近期的通讯信息中，因此几乎不可能被仿冒。因此本实施例的鉴权方案特别适用于多节点多网络隔离的系统，具有较高的安全性。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中可以根据需要而将上述功能分配由不同的功能模块完成，即将具体装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的实施例中，应该理解到，所揭露的结构和方法，可以通过其它的方式实现。例如，以上所描述的关于结构的实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个结构，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，结构或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。