本發(fā)明涉及安全防護系統(tǒng)，具體為一種面向5g核心網(wǎng)控制面數(shù)據(jù)的安全防護系統(tǒng)，本發(fā)明還提供了該系統(tǒng)的使用方法。

背景技術(shù)：

1、移動通信網(wǎng)是我國信息化建設(shè)和數(shù)字經(jīng)濟發(fā)展的基石，負責通信服務(wù)的管理，其安全性對信息化建設(shè)和數(shù)字經(jīng)濟的發(fā)展至關(guān)重要。近年來，隨著5g技術(shù)的迅猛發(fā)展，移動通信網(wǎng)絡(luò)的復雜性和數(shù)據(jù)量大幅增加，核心網(wǎng)控制面數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的重要目標。核心網(wǎng)控制面數(shù)據(jù)作為移動通信網(wǎng)絡(luò)中的核心數(shù)據(jù)，承載了大量用戶的通信信息.和控制指令，一旦信令網(wǎng)被攻擊，不僅會導致個人隱私泄露，還可能間接引發(fā)大規(guī)模的網(wǎng)絡(luò)癱瘓和服務(wù)中斷。不法分子通過多種手段如竊取、篡改、重放等方式，對信令流數(shù)據(jù)進行非法利用，嚴重威脅通信網(wǎng)絡(luò)的安全性和穩(wěn)定性。例如，竊取信令數(shù)據(jù)可以獲取用戶的敏感信息，進行身份盜用和詐騙；篡改信令數(shù)據(jù)可以偽造或修改通信內(nèi)容，導致誤導性的操作；重放攻擊則可以重復發(fā)送合法信令，擾亂正常的網(wǎng)絡(luò)通信流程。隨著5g技術(shù)的普及，這些威脅變得更加復雜和隱蔽，對網(wǎng)絡(luò)安全提出了更高的要求。因此，加強網(wǎng)絡(luò)安全防護，解決5g核心網(wǎng)場景下的數(shù)據(jù)隱私保護，建立健全的網(wǎng)絡(luò)安全體系迫在眉睫。

2、與公開號cn118013560b(一種基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)信息安全防護方法)專利方法對比，該方法主要通過區(qū)塊鏈技術(shù)解決網(wǎng)絡(luò)安全中的數(shù)據(jù)存儲、傳輸和隱私保護問題，強調(diào)去中心化、智能合約安全性和合規(guī)性監(jiān)管等。而本發(fā)明則專注于5g網(wǎng)絡(luò)控制面數(shù)據(jù)的安全防護，特別是信令流威脅檢測和行為分析等方面。本發(fā)明針對5g網(wǎng)絡(luò)的特殊需求，設(shè)計了針對信令流的模擬生成與驗證模塊，通過模擬真實的5g信令流數(shù)據(jù)并捕獲異常行為，增強了威脅流檢測的精準性。與區(qū)塊鏈方法的去中心化存儲方式相比，本方法更加專注于5g信令流的安全防護、實時檢測和應對網(wǎng)絡(luò)攻擊。

技術(shù)實現(xiàn)思路

1、本發(fā)明旨在解決以上現(xiàn)有技術(shù)的問題。提出了一種面向5g核心網(wǎng)控制面數(shù)據(jù)的安全防護系統(tǒng)。本發(fā)明的技術(shù)方案如下：

2、一種面向5g核心網(wǎng)控制面數(shù)據(jù)的安全防護系統(tǒng)，其包括信令流模擬生成與驗證模塊、身份驗證與訪問控制模塊、數(shù)據(jù)加密與解密模塊、威脅流檢測分析模塊及數(shù)據(jù)可視化模塊，所述信令流模擬生成與驗證模塊用于模擬生成接近真實的正常5g信令流數(shù)據(jù)、信令威脅流數(shù)據(jù)及數(shù)據(jù)流捕獲分析；所述身份驗證與訪問控制模塊用于用戶身份校驗，確保經(jīng)過嚴格驗證與授權(quán)的用戶方可訪問本系統(tǒng)的特定資源，包括身份注冊、身份驗證、訪問控制；所述數(shù)據(jù)加密與解密模塊用于數(shù)據(jù)保護，確保用戶上傳的信令數(shù)據(jù)敏感信息在傳輸和存儲過程中不會被泄露；所述威脅流檢測分析模塊用于實現(xiàn)對信令數(shù)據(jù)的檢測分析，包括數(shù)據(jù)預處理、威脅流檢測、行為特征及溯源圖譜刻畫；所述數(shù)據(jù)可視化模塊用于可視化關(guān)鍵數(shù)據(jù)信息，包括信令流數(shù)據(jù)信息實時顯示、網(wǎng)元信息實時顯示、實時攻擊進度顯示，以及攻擊完成后的實時信令數(shù)據(jù)包和信令數(shù)據(jù)信息獲??；其中，信令流模擬生成與驗證模塊和威脅流檢測分析模塊間的接口交互采用json數(shù)據(jù)格式傳遞傳遞信令特征和威脅規(guī)則，以支持威脅檢測分析模塊的實時分析需求。

3、進一步的，所述信令流模擬生成與驗證模塊集成了5g核心網(wǎng)信令風暴仿真測試平臺、開源軟件free5gc平臺、ueransim模擬器以及kali攻擊系統(tǒng)，通過生成正常信令數(shù)據(jù)與威脅信令數(shù)據(jù)相結(jié)合來構(gòu)建完整的信令數(shù)據(jù)集。

4、進一步的，所述信令流模擬生成與驗證模塊包括正常信令流模擬生成模塊、威脅信令流模擬生成模塊和數(shù)據(jù)流捕獲分析模塊；其中，

5、所述正常信令流模擬生成模塊用于實現(xiàn)正常信令流的模擬生成與測試，通過使用xpro儀表仿真與搭建free5gc平臺來模擬生成真實可靠的5g信令流數(shù)據(jù)，包括接入過程、認證過程、鑒權(quán)過程、連接建立過程，生成符合3gpp?5g標準的信令流數(shù)據(jù)；

6、所述威脅信令流模擬生成模塊用于實現(xiàn)威脅信令流數(shù)據(jù)的獲取，既可通過配置xpro儀表參數(shù)模擬多種業(yè)務(wù)組合流程實現(xiàn)威脅信令行為并采集數(shù)據(jù)；也可使用kali平臺模擬外部攻擊者發(fā)起對核心網(wǎng)的攻擊行為生成威脅信令流；還可以基于free5gc環(huán)境提供的openapi，通過深入研究通信信令網(wǎng)的各網(wǎng)元通信機理并對網(wǎng)元通信接口進行分析，利用5g通信內(nèi)部接口間的權(quán)限漏洞，推演潛在的邏輯威脅成因，從而發(fā)現(xiàn)控制面漏洞生成威脅信令流；

7、所述數(shù)據(jù)流捕獲分析模塊用于實時捕獲下載用戶、基站與核心網(wǎng)之間的信令數(shù)據(jù)包以及分析網(wǎng)絡(luò)流量。

8、進一步的，所述身份驗證與訪問控制模塊包括身份注冊模塊、身份驗證模塊、訪問控制權(quán)限模塊，其中，

9、所述身份注冊模塊用于實現(xiàn)用戶注冊的信息管理；允許用戶提交身份信息進行注冊，在注冊時對數(shù)據(jù)進行加密處理，將用戶所提供的身份信息將被轉(zhuǎn)換成適合存儲在hyperledger?fabric聯(lián)盟鏈上的格式，通過智能合約進行鏈上存儲，防止信息泄露；

10、所述身份驗證模塊對用戶身份信息進行驗證并確定其合法性，基于零知識證明算法的用戶身份驗證機制用于確保只有經(jīng)過驗證的用戶才能訪問系統(tǒng)資源，同時保護了用戶的隱私信息不被泄露；

11、所述訪問控制權(quán)限模塊根據(jù)用戶的身份信息和在身份驗證中獲得的權(quán)限，對系統(tǒng)資源實施細粒度的訪問控制，確保只有通過身份驗證并被授予相應權(quán)限的用戶，才能夠訪問特定的資源；根據(jù)身份驗證的結(jié)果，決定用戶是否具有訪問特定資源的權(quán)限。

12、進一步的，所述數(shù)據(jù)加密與解密模塊基于paillier算法的數(shù)據(jù)隱私保護模型來實現(xiàn)對信令數(shù)據(jù)的加密與解密操作，包括數(shù)據(jù)加密模塊、數(shù)據(jù)解密模塊和數(shù)據(jù)上傳與下載模塊。

13、所述加密模塊用于保護信令數(shù)據(jù)隱私，通過paillier算法實現(xiàn)數(shù)據(jù)加密操作，paillier算法是一種基于同態(tài)加密的公鑰加密算法，具有加法同態(tài)性。使得加密后的數(shù)據(jù)可以在不解密的情況下進行加法運算，從而支持隱私保護的計算操作。在不暴露原始數(shù)據(jù)內(nèi)容的前提下，對用戶上傳的信令數(shù)據(jù)進行加密處理，密文數(shù)據(jù)被上傳到區(qū)塊鏈網(wǎng)絡(luò)，并存儲在鏈碼中；

14、所述解密模塊用于恢復加密信令數(shù)據(jù)并確保只有授權(quán)用戶才能訪問，基于paillier算法實現(xiàn)解密功能確保信令數(shù)據(jù)在下載和解密過程中能夠被正確還原；

15、所述數(shù)據(jù)上傳與下載模塊支持安全的信令數(shù)據(jù)上傳和下載操作，可以對經(jīng)過身份驗證的用戶所上傳明文信令數(shù)據(jù)進行自動加密處理。

16、進一步的，所述威脅流檢測分析模塊包括數(shù)據(jù)預處理模塊、威脅流檢測模塊、圖譜刻畫模塊，其中

17、所述數(shù)據(jù)預處理模塊用于對信令數(shù)據(jù)進行清洗，通過降維技術(shù)對數(shù)據(jù)進行壓縮；

18、所述威脅流檢測模塊根據(jù)由真實信令威脅流數(shù)據(jù)訓練完成的算法模型對上傳的信令數(shù)據(jù)流進行分析檢測；模型訓練過程包括參數(shù)初始化、迭代優(yōu)化和模型評估；模型訓練的目標是最小化損失函數(shù)；

19、所述圖譜刻畫模塊用于表征威脅方式與特征之間的關(guān)聯(lián)強度，對信令數(shù)據(jù)流的威脅種類檢測以及行為特征分析，并將復雜的數(shù)據(jù)和威脅關(guān)聯(lián)以可視化的方式展現(xiàn)。

20、進一步的，所述數(shù)據(jù)可視化模塊包括信令流數(shù)據(jù)信息實時顯示模塊、網(wǎng)元信息實時顯示模塊、攻擊過程實時顯示模塊、網(wǎng)元監(jiān)控模塊，其中，

21、所述信令流數(shù)據(jù)信息實時顯示模塊用于實時顯示捕獲的信令流數(shù)據(jù)信息，幫助用戶迅速識別網(wǎng)絡(luò)通信模式，及時發(fā)現(xiàn)信令網(wǎng)威脅；

22、所述網(wǎng)元信息實時顯示模塊用于展示網(wǎng)元的基本信息，包括ip地址、端口、連接狀態(tài)和性能指標，提供詳細的日志信息；

23、所述攻擊過程實時顯示模塊用于實時監(jiān)控攻擊活動的進展情況，利用進度條展示攻擊的各個階段，攻擊結(jié)束后自動捕獲攻擊過程中產(chǎn)生的信令威脅流數(shù)據(jù)包；

24、所述網(wǎng)元監(jiān)控模塊用于實時監(jiān)控核心網(wǎng)中所有關(guān)鍵網(wǎng)元的ip地址及其狀態(tài)，實時響應網(wǎng)元的異常狀態(tài)。

25、進一步的，系統(tǒng)架構(gòu)采用了前后端分離的b/s(browser/server)架構(gòu)設(shè)計。前端開發(fā)選擇vue.js框架，后端開發(fā)采用springboot框架，系統(tǒng)用戶通過瀏覽器直接訪問系統(tǒng)，而后端服務(wù)器則負責為前端提供必要的接口和算法服務(wù)。數(shù)據(jù)庫作為數(shù)據(jù)的存儲層，其接口不直接對外公開。

26、本發(fā)明的優(yōu)點及有益效果如下：

27、1、功能新穎：本發(fā)明提出的面向5g核心網(wǎng)控制面數(shù)據(jù)的安全防護系統(tǒng)不僅實現(xiàn)了正常與威脅信令流的模擬生成、驗證，還設(shè)計了基于零知識證明的身份驗證與訪問控制模型、同態(tài)加密的區(qū)塊鏈數(shù)據(jù)隱私保護模型以及威脅流檢測分析方法。通過提供全面的信令數(shù)據(jù)隱私保護方案，從系統(tǒng)實用性的角度解決了信令網(wǎng)中數(shù)據(jù)隱私保護的難題，為信令網(wǎng)的數(shù)據(jù)安全與隱私保護提供了一種智能化的解決方案。

28、2、開放性和穩(wěn)定性：本發(fā)明提出的軟件系統(tǒng)采用springboot和vue框架的開發(fā)模式，兩者兼有開放性和穩(wěn)定性的特點，可以加速系統(tǒng)的開發(fā)和擴展，具有維護和升級簡單方便、成本低、數(shù)據(jù)安全、實時同步等優(yōu)點。

29、3、易維護性：本發(fā)明的軟件系統(tǒng)采用前后端分離的模塊化開發(fā)模式，使得在后期維護和需求擴展方面更加便捷，對開發(fā)者更加友好，可以輕松地增加或修改功能。

30、4、安全性：本發(fā)明采用基于零知識證明的身份驗證與訪問控制模型，用戶在不泄露任何個人信息的情況下證明自己的身份，驗證通過后獲得身份令牌作為后續(xù)操作的通信證。這種方式為用戶提供了一種安全且隱私友好的驗證手段，有效保障了用戶身份信息的安全。

31、5、真實性：本發(fā)明的實驗數(shù)據(jù)集由現(xiàn)網(wǎng)的真實信令威脅數(shù)據(jù)和高度仿真平臺模擬的威脅流數(shù)據(jù)組成，威脅流檢測模型也均由真實信令威脅數(shù)據(jù)訓練。通過對真實網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)進行仿真和測試，系統(tǒng)能夠提供高度可靠的安全分析和驗證結(jié)果，具有較高的應用價值和實用性。

32、6、本發(fā)明的巧妙之處在于，信令流模擬生成與驗證模塊實現(xiàn)了正常與威脅信令流的模擬與驗證，精確識別潛在威脅；零知識證明和同態(tài)加密模型提供了強化的身份驗證和數(shù)據(jù)隱私保護，有效解決了5g網(wǎng)絡(luò)中數(shù)據(jù)隱私和安全性問題；威脅流檢測分析方法結(jié)合真實與仿真數(shù)據(jù)，提高了檢測的準確性與可靠性。通過這些創(chuàng)新，本發(fā)明在確保系統(tǒng)安全性和隱私保護的同時，也提供了高效、智能化的解決方案，具有較高的實用價值和應用前景。