CN111314348A - 信任度模型建立、信任评价、设备认证的方法及装置 - Google Patents
信任度模型建立、信任评价、设备认证的方法及装置 Download PDFInfo
- Publication number
- CN111314348A CN111314348A CN202010102336.4A CN202010102336A CN111314348A CN 111314348 A CN111314348 A CN 111314348A CN 202010102336 A CN202010102336 A CN 202010102336A CN 111314348 A CN111314348 A CN 111314348A
- Authority
- CN
- China
- Prior art keywords
- trust
- equipment
- node
- connection
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本公开提供一种连接信任度模型的建立方法,包括:构建第一信任函数和第二信任函数;根据第一信任函数和第二信任函数构建连接信任度模型。进一步地,还提供一种认证信任度模型的建立方法、通信网络的信任评价方法、设备认证的方法、通信网络的信任评价装置和电子装置,通过构建有效的信任评价模型,以用于评价有连接请求的设备的信任度,从而解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种连接信任度模型和认证信任度模型的建立方法、通信网络的信任评价方法、设备认证的方法、通信网络的信任评价装置和电子装置。
背景技术
在通信网络中,网络节点通常需要连接大量的终端设备,终端设备也经常会动态地加入或离开通信网络,当新的终端设备连接(或离开)通信网络时,网络节点需要确保对已注册终端设备的不间断服务,还需要限制或拒绝来自恶意或受损终端节点的服务请求。一旦有恶意终端接入通信网络,可能危害与之连接的网络节点甚至整个通信网络的安全性。
由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,且缺乏有效的信任评价模型对有连接请求的设备进行评价,致使对有恶意连接请求终端设备的检测较为困难。
发明内容
本公开所要解决的技术问题是针对现有技术的上述不足,提供一种连接信任度模型和认证信任度模型的建立方法、通信网络的信任评价方法、设备认证的方法、通信网络的信任评价装置和电子装置,通过构建有效的信任评价模型,用于评价有连接请求的设备的信任度,从而解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
为解决上述技术问题,第一方面,本公开实施例提供一种连接信任度模型的建立方法,包括:
构建第一信任函数fd(TD(i,j)n-1,Pj(a)n)和第二信任函数fd(TD(i,j)n-1,Nj(a)n),其中,
TD(i,j)n-1为设备j与节点i第n-1次连接后节点i对设备j的连接信任度,n为大于等于1的正整数,α为设备j的通信行为,Pj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为,Nj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,i为通信网络中的任一节点;
根据第一信任函数和第二信任函数构建连接信任度模型,具体为:
TD(i,j)n=∑a∈Afd(TD(i,j)n-1,Pj(a)n)Pw(a)-∑a∈Afd(TD(i,j)n-1,Nj(a)n)Nw(a),
其中,TD(i,j)n为设备j与节点i第n次连接后节点i对设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为设备j与节点i第n次连接后的预设时长内的通信行为集合。
优选地,第一信任函数具体包括:
第二信任函数具体包括:
其中,l为设定的正数。
优选地,所述通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种,区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括:
若所述通信行为的取值小于第一阈值时,确定为所述通信行为中的积极行为Pj(α)n,
若所述通信行为的取值大于或等于第一阈值时,确定为所述通信行为中的消极行为Nj(α)n,和/或,
所述通信行为包括传输速率,区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括;
若所述通信行为的取值大于零,确定为所述通信行为中的积极行为Pj(α)n,
若所述通信行为的取值等于零时,确定为所述通信行为中的消极行为Nj(α)n。
第二方面,本公开实施例提供一种认证信任度模型的建立方法,包括:获取第一方面中所述的连接信任度模型,根据所述连接信任度模型构建认证信任度模型,具体为:
TR=∑k∈N,k≠iTD(i,j)TD(k,j)
其中,TR为认证信任度,TD(i,j)为节点i对设备j的连接信任度,TD(k,j)为与节点i相邻的节点k对设备j的连接信任度,N为节点i的所有相邻节点的集合。
第三方面,本公开实施例提供一种通信网络的信任评价方法,包括:
在设备j与节点i进行第n+1次连接前,根据权利要求4所述的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR;
判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
第四方面,本公开实施例提供一种设备认证方法,应用于雾计算节点,包括:初始化;根据设备j发送的连接请求,验证设备j的设备证书是否已注册,其中,连接请求包括唯一设备标识码、设备类型、设备证书信息:若验证结果为设备j的设备证书未注册,则允许设备j接入网络;若验证结果为设备j的设备证书已注册,则根据所述的通信网络的信任评价方法确定设备j是否可信;在确定设备j可信的情况下,允许设备j接入网络。
优选地,所述根据设备j发送的连接请求,验证设备j的设备证书是否已注册,包括:
根据设备j发送的连接请求,获取设备j的设备信息,其中设备信息包括唯一设备标识码和设备类型;
对获取的设备j设备信息进行加密,得到设备j的加密结果;
比对得到的设备j的加密结果与自身存储的所有设备的加密结果,若比对结果一致,则验证结果为设备j的设备证书已注册,否则验证结果为设备j的设备证书未注册。
优选地,所述在验证结果为设备j的设备证书已注册之后,根据所述的通信网络的信任评价方法确定设备j是否可信之前,还包括:
检测设备j是否合法,
若检测结果为设备j合法,则执行上述的通信网络的信任评价方法,若检测结果为设备j非法,则拒绝设备j接入网络,
所述检测设备j是否合法,具体包括:
根据设备j发送的连接请求,获取设备j的设备证书信息;
匹配获取的设备证书信息与自身存储的所有设备的设备证书信息,若匹配结果为一致,则检测结果为设备j合法,否则检测结果为设备j非法。
第五方面,本公开实施例提供一种通信网络的信任评价装置,包括:计算模块和判断模块,
所述计算模块,用于在设备j与节点i进行第n+1次连接前,根据所述的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR;
所述判断模块,用于判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
第六方面,本公开实施例提供一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如第一方面至第四方面中所述的方法。
本公开实施例的有益技术效果有:
本公开实施例提供的连接信任度模型的建立方法中,通过设备与网络节点连接成功后的预设时长内的通信行为进行积极行为或者消极行为的区分,并根据通信行为中的积极行为和通信行为中的消极行为的差值建立连接信任度模型,使得积极行为正相关影响该模型的连接信任度,消极行为反相关影响该模型的连接信任度,并且根据网络安全性要求合理设置权值,使得该连接信任度模型更为合理,从而根据该连接信任度模型获得的信任度结果更为准确,从而用于解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
附图说明
图1:本公开实施例3的一种通信网络的信任评价方法流程图;
图2:本公开实施例4的一种设备认证方法流程图;
图3:本公开实施例7的一种通信网络的信任评价装置的结构图。
具体实施方式
为使本领域技术人员更好地理解本公开的技术方案,下面结合附图和实施例对本公开的一种连接信任度模型和认证信任度模型的建立方法、通信网络的信任评价方法、设备认证的方法、通信网络的信任评价装置和电子装置作进一步详细描述。
实施例1:
本实施例提供一种连接信任度模型的建立方法,可应用于通信网络,如云网络、雾网络等。本实施例中以雾网络作为示例,雾网络包括许多雾计算节点,每个雾计算节点可连接多个终端设备。所述连接信任度模型的建立方法的应用场景包括如下示例:未曾与雾网络连接过的终端设备请求连接雾网络中某一个雾计算节点;或者是某终端设备从雾计算节点A离开雾网络,一段时间后又请求连接雾计算节点A;或者是某终端设备从雾计算节点A离开雾网络,一段时间后又请求连接雾计算节点B。
本实施例中的连接信任度模型的建立方法,包括如下步骤:
步骤101,构建第一信任函数fd(TD(i,j)n-1,Pj(a)n)和第二信任函数fd(TD(i,j)n-1,Nj(a)n)。其中,TD(i,j)n-1为设备j与节点i第n-1次连接后节点i对设备j的连接信任度,n为大于等于1的正整数,α为设备j的通信行为,Pj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为,Nj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,节点i为通信网络中的任一节点。
本实施例中,第一信任函数具体包括式(1):
第二信任函数具体包括式(2):
其中,l为设定的正数。
本实施例中,l的取值为设定的任意正数,例如l可以为1、1.5、4等数值。设备j第1次连接节点i之前,节点i存储有设备j的连接信任度初始值TD(i,j)0,该连接信任度初始值TD(i,j)0是由用户预设的,初始值的取值可以根据用户需求进行设定。
步骤102,根据第一信任函数和第二信任函数构建连接信任度模型,具体为式(3):
TD(i,j)n=∑a∈Afd(TD(i,j)n-1,Pj(a)n)Pw(a)-∑a∈Afd(TD(i,j)n-1,Nj(a)n)Nw(a)(3)
其中,TD(i,j)n为设备j与节点i第n次连接后节点i对设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为设备j与节点i第n次连接后的预设时长内的通信行为集合。
本实施例中,当设备j与节点i每成功连接一次之后,节点i均会根据连接信任度模型(3)计算当次连接后的连接信任度TD(i,j)n,并替换存储的前一次连接后所计算的连接信任度TD(i,j)n-1,以便于设备j与节点i下一次连接成功后的连接信任度的计算。因此,与设备j有连接历史的所有网络节点i均存储有节点i对设备j的连接信任度TD(i,j)n。
可选的,通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种,则区别设备j与节点i第n次连接后的预设时长(比如设置为10分钟)内的通信行为中的积极行为和消极行为,具体包括:若通信行为的取值小于第一阈值时,确定为通信行为中的积极行为Pj(α)n,若通信行为的取值大于或等于第一阈值时,确定为通信行为中的消极行为Nj(α)n,和/或,
通信行为包括传输速率,则区别设备j与节点i第n次连接后预设时长(比如设置为10分钟)内的通信行为中的积极行为和消极行为,具体包括:若通信行为的取值大于零,确定为通信行为中的积极行为Pj(α)n,若通信行为的取值等于零时,确定为通信行为中的消极行为Nj(α)n。
本实施例中,通信行为包括数据分组丢失率、路由失败率、数据分组错误率中的一种或多种,或者还可以包括传输速率,或者不局限于以上四种数据。
其中,连接后的预设时长内的通信行为,此处的预设时长为大于0的值,具体的取值可根据用户需求进行设定。此外,本实施例中的权值Pw(α)和Nw(α)的取值范围分别为Pw(α)≥0,Nw(α)≥0,用户可根据实际场景进行权值Pw(α)和Nw(α)的具体取值的设定。例如,在安全条件要求较高的环境下,可相应增大权值Nw(α)的取值,则连接信任度会因消极行为的增多下降得更厉害;在连接成功率要求较高的环境下,可相应增大权值Pw(α)的取值,从而突出积极行为,则连接信任度会因积极行为的增多上升更快一些。根据网络安全性要求设定相应的权值,使得连接信任度模型可满足于实际的网络安全性需求。
本实施例的连接信任度模型的建立方法中,通过对设备与网络节点连接成功后的预设时长内的通信行为进行积极行为或者消极行为的区别,并根据通信行为中的积极行为和通信行为中的消极行为的差值建立连接信任度模型,使得积极行为正相关影响该模型的连接信任度,消极行为反相关影响该模型的连接信任度,并且根据网络安全性要求合理设置权值,使得该连接信任度模型更为合理,从而根据该连接信任度模型获得的信任度结果更为准确,从而用于解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
实施例2:
本实施例提供一种认证信任度模型的建立方法,包括如下步骤:
步骤201,获取实施例1所述的连接信任度模型。
步骤202,根据所述连接信任度模型构建认证信任度模型,具体为式(4):
TR=∑k∈N,k≠iTD(i,j)TD(k,j) (4)
其中,TR为认证信任度,TD(i,j)为节点i对设备j的连接信任度,TD(k,j)为与节点i相邻的节点k对设备j的连接信任度,N为节点i的所有相邻节点的集合。其中,TD(k,j)同样适用于采用式(3)的公式计算得到。
本实施例中,节点i对设备j的连接信任度TD(i,j)即为节点i存储的TD(i,j)n。
以下示例将介绍设备j与某一个雾计算节点i两次连接时获取连接信任度模型和认证信任度模型的过程:
第一次连接:设备j与节点i第一次连接前,将设备j的连接信任度初始值TD(i,j)0设置为0,当然也可以设置为其他数值。通常,设定通信网络对于任何设备的第一次连接请求是允许该设备接入网络的。设定本实施例中通信行为包括数据分组丢失率,路由失败率,数据分组错误率,传输速率四种通信行为。且区别通信行为是否为积极行为或消极行为的第一阈值设置示例为:(1)设置数据分组丢失率的第一阈值为20%:则具有小于20%的数据分组丢失率的通信行为为积极行为,大于或等于20%的为消极行为。(2)设置路由失败率的第一阈值为20%:则具有小于20%的路由失败率的通信行为为积极行为,大于或等于20%的为消极行为。(3)设置数据分组错误率的第一阈值为20%:则具有小于20%的数据分组错误率的通信行为为积极行为,大于或等于20%的为消极行为。(4)设置传输速率的第一阈值为0:则具有大于0的传输速率的通信行为为积极行为,一直保持为0的传输速率为消极行为。当设备j与节点i第一次连接成功后,统计第一次连接后的预设时长(例如10分钟)内的设备j的通信行为。若统计结果为设备j的数据分组丢失率为5%,路由失败率为0,数据分组错误率为25%,传输速率为5bps。则根据如上第一阈值的设置示例,得出数据分组错误率行为为消极行为,其余三种均为积极行为。设置权值Pw(α)和Nw(α)均为1,且设置l=1,将上述数据代入连接信任度模型(3)得到:
TD(i,j)1=fd(0,5%)*1+fd(0,0)*1+fd(0,5)*1-fd(0,25%)*1=0+1+0-0=1
即设备j与节点i第一次连接成功后的节点i对设备j的连接信任度的值为1,并将该连接信任度替换掉连接信任度初始值并存储该第一次连接后的连接信任度,即存储数值1。一段时间(例如30分钟)后,设备j与节点i断开,然后再间隔一段时间(例如10分钟)后,设备j与节点i进行了第二次连接。需要说明的是,进行第二次连接前,节点i可根据下文所述的先计算设备j的认证信任度再确定是否允许设备j进行第二次连接。
第二次连接:设备j与节点i第二次连接成功后的10分钟之内统计的设备j的通信行为包括:数据分组丢失率为10%,路由失败率为0,数据分组错误率为15%,传输速率为10bps。则根据如上第一阈值的设置示例,以上四种通信行为均为积极行为。同样设置权值Pw(α)和Nw(α)均为1,且设置l=1,将上述数据代入连接信任度模型(3)得到:
TD(i,j)2=fd(1,10%)*1+fd(1,0)*1+fd(1,10)*1+fd(1,15%)*1=1+2+1+1=5
即设备j与节点i第二次连接成功后的连接信任度的值为5,并将该连接信任度(数值5)替换节点i对设备j的第一次连接后的连接信任度(数值1),并存储本次的节点i对设备j的连接信任度(数值5)。
在经过一段时间(例如30分钟)后,设备j又与节点i断开,然后又间隔了一段时间(例如20分钟)后,设备j又请求与节点i进行第三次连接。在节点i接收到设备j的连接请求后,节点i对设备j采用认证信任度模型计算出设备j的认证信任度。设与节点i相邻的所有网络节点有节点k1,节点k2,节点k3,节点k4,节点k5,节点k6,通过采用式(3)的公式进行计算,例如计算出以上相邻的网络节点对设备j的连接信任度分别为:TD(k1,j)=-1,TD(k2,j)=1,TD(k3,j)=-3,TD(k4,j)=3,TD(k5,j)=0,TD(k6,j)=6,则将如上实施例得到的节点i对设备j的连接信任度为5等数值代入认证信任度模型得到:
TR=5*(-1)+5*1+5*(-3)+5*3+5*0+5*6=30。
可选地,为减少节点i对设备j的认证信任度的计算量,在与节点i相邻的所有网络节点中选取存储的连接信任度超过第三阈值的相邻节点,用来计算设备j的认证信任度。例如,设置第三阈值为-0.5,则从如上6个相邻节点中选取相邻节点k2,节点k4,节点k5,节点k6计算认证信任度,将其代入认证信任度模型中得到:
TR=5*1+5*3+5*0+5*6=50。
本实施例中,若仅依靠连接信任度模型对设备j进行信任度评价,可能会因为某一次的网络原因导致连接信任度波动较大,信任评价机制不够稳定,因此需综合考虑与节点i相邻的其他网络节点对设备j的连接信任度,故根据与节点i相邻的网络节点的连接信任度建立认证信任度模型。此外,通信网络构建完毕后,与节点i相邻的其他网络节点则是固定的,因此计算出的认证信任度是可靠的。
实施例3:
如图1所示,本实施例提供一种通信网络的信任评价方法,包括:
步骤301,在设备j与节点i第n+1次连接前,根据实施例2所述的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR;
步骤302,判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
本实施例中,节点i可在设备j每次发送连接请求后都进行对设备j的信任评价,即计算设备j的认证信任度,并根据认证信任度确定设备j是否可信,若设备j可信,则允许设备j与节点j连接。其中,第二阈值可根据用户需求进行设定,第二阈值的取值可为任意数值(例如,可以是正数或者负数),当网络的安全性要求较高,则可以将第二阈值设置为较大的数值,当网络的安全性要求较低,则可以将第二阈值设置为较小的数值。本实施例中设置第二阈值为0,则根据设备j的认证信任度为30,可确定上述实施例中的设备j可信。
本实施例的通信网络的信任评价方法,通过设备在与网络节点连接成功后的通信行为中的积极行为和消极行为的差值建立连接信任度模型和认证信任度模型,计算出请求与节点连接的设备的认证信任度,并根据认证信任度与第二阈值的比较,判断设备是否可信,从而获得一种有效的信任评价机制,使用该信任评价机制获得的对设备的信任评价度,准确性高。
实施例4:
如图2所示,本实施例提供一种设备认证方法,应用于雾计算节点,包括如下步骤:
步骤401,初始化。
本实施例中,初始化具体是指对雾计算节点初始化,对雾计算节点初始化是将整个网络的所有雾节点进行初始化,启动操作系统,等待设备请求连接。
步骤402,根据设备j发送的连接请求,验证设备j的设备证书是否已注册,其中,连接请求包括唯一设备标识码、设备类型、设备证书信息:若验证结果为设备j的设备证书未注册,则允许设备j接入网络;若验证结果为设备j的设备证书已注册,则根据实施例3中所述的通信网络的信任评价方法确定设备j是否可信。
本实施例中,设备请求连接雾计算节点时的连接方式包括WiFi(Wireless-Fidelity,无线连接)、ZigBee(也称紫蜂,是一种低速短距离传输的无线网上协议)、蓝牙、315射频和UART(Universal Asynchronous Receiver/Transmitter,通用异步收发传输器)等。设备类型可以是传统网络设备(例如先前已部署在网络中的路由器、交换机、网关等等),也可以是专门部署的本地服务器。
具体地,根据设备j发送的连接请求,验证设备j的设备证书是否已注册,包括:根据设备j发送的连接请求,获取设备j的设备信息,其中设备信息包括唯一设备标识码和设备类型;采用对称加密算法对获取的设备j设备信息进行加密,得到设备j的加密结果,加密结果可用字符串表示;比对得到的设备j的加密结果与自身存储的所有设备的加密结果,若比对结果一致,则验证结果为设备j的设备证书已注册;若比对结果不一致,说明该雾计算节点存储的设备的加密结果不包含该设备j的加密结果,则验证结果为设备证书未注册,说明该设备j为新节点。
当验证结果为设备证书未注册,则设备j为新设备,雾计算节点存储该设备j的唯一设备标识码、设备类型、加密结果、设备证书信息和设备j的连接信任度初始值,其中连接信任度初始值设置为与第二阈值相同的数值,例如设置连接信任度初始值为0,存在两种允许设备j接入的方法:一种是针对初次请求连接雾网络的设备,第一次始终允许其接入雾网络;还有一种是根据认证信任度模型计算出设备j的认证信任度为0,且设置第二阈值为0,则根据实施例3所述的信任评价方法,确定设备j可信。
步骤403,在确定设备j可信的情况下,允许设备j接入网络。
可选地,在验证结果为设备j的设备证书已注册之后,根据实施例3所述的通信网络的信任评价方法确定设备j是否可信之前,还包括:
检测设备j是否合法,
若检测结果为设备j合法,则执行实施例3所述的通信网络的信任评价方法,若检测结果为设备j非法,则拒绝设备j接入网络。
所述检测设备j是否合法,具体包括:
根据设备j发送的连接请求,获取设备j的设备证书信息;
匹配获取的设备证书信息与自身存储的所有设备的设备证书信息,若匹配结果为一致,则检测结果为设备j合法,否则检测结果为设备j非法。
本实施例中,雾计算节点检测设备是否合法,包括:雾计算节点根据设备发送的连接请求,获取设备证书信息;雾计算节点将获取的设备证书信息与自身存储的多个终端的设备证书信息进行匹配,若匹配结果为一致,说明雾计算节点先前存储有该设备的设备证书信息,则检测结果为设备合法,则执行实施例3所述的通信网络的信任评价方法,若确定设备可信,则允许其接入雾计算节点,从而接入雾网络,否则检测结果为设备非法,则拒绝设备接入网络。
本实施例提供的设备认证方法,基于准确性高的信任评价机制进行设备的认证,从而实现对恶意连接的准确检测,用于解决雾网络中对恶意连接请求检测较为困难的问题。
实施例5:
本实施例提供一种连接信任度模型的构建装置,包括函数构建模块和连接信任度构建模块。
函数构建模块,用于构建第一信任函数fd(TD(i,j)n-1,Pj(a)n)和第二信任函数fd(TD(i,j)n-1,Nj(a)n),其中,
TD(i,j)n-1为设备j与节点i第n-1次连接后节点i对设备j的连接信任度,n为大于等于1的正整数,α为设备j的通信行为,Pj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为,Nj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,节点i为通信网络中的任一节点;
连接信任度构建模块,与函数构建模块连接,用于根据第一信任函数和第二信任函数构建连接信任度模型,具体为:
TD(i,j)n=∑a∈Afd(TD(i,j)n-1,Pj(a)n)Pw(a)-∑a∈Afd(TD(i,j)n-1,Nj(a)n)Nw(a),
其中,TD(i,j)n为设备j与节点i第n次连接后节点i对设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为设备j与节点i第n次连接后的预设时长内的通信行为集合。
实施例6:
本实施例提供一种认证信任度模型的构建装置,与连接信任度模型的构建装置连接,包括获取模块和认证信任度构建模块。
获取模块,用于获取实施例5的连接信任度模型的构建装置中连接信任度构建模块构建的连接信任度模型,
认证信任度构建模块,与获取模块连接,用于根据所述连接信任度模型构建认证信任度模型,具体为:
TR=∑k∈N,k≠iTD(i,j)TD(k,j)
其中,TR为认证信任度,TD(i,j)为节点i对设备j的连接信任度,TD(k,j)为与节点i相邻的节点k对设备j的连接信任度,N为节点i的所有相邻节点的集合。
实施例7:
如图3所示,本实施例提供一种通信网络的信任评价装置,与认证信任度模型的构建装置连接,该通信网络的信任评价装置包括:计算模块71和判断模块72。
计算模块71,用于在设备j与节点i第n+1次连接前,根据实施例6中认证信任度构建模块构建的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR。
所述判断模块72,与计算模块71连接,用于判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
实施例8:
本实施例提供一种设备认证装置,应用于雾计算节点,包括设备及雾计算节点。
设备,用于向初始化后的雾计算节点发送连接请求,其中,连接请求包括唯一设备标识码、设备类型、设备证书信息;
雾计算节点,用于根据设备j发送的连接请求,验证设备j的设备证书是否已注册。
本实施例中,每个雾计算节点包括一个实施例7中的通信网络的信任评价装置,还包括一个存储模块,存储模块用于存储与当前雾计算节点有连接历史的设备的信息,包括设备的证书信息、设备的连接信任度、加密结果等。雾计算节点还包括验证模块,验证模块与存储模块、通信网络的信任评价装置连接,用于检测到设备的连接请求后,提取设备的请求信息,通过对称加密算法,对设备信息(包括终端唯一设备标识码、设备类型)进行加密,并将加密结果发送至存储模块,验证该设备证书是否已注册,并接收存储模块反馈的结果,如果存储模块反馈设备证书信息,则说明该设备证书已注册;如果存储模块反馈不存在该设备,则说明该设备证书未注册,该设备为新设备。
如果设备为新设备,验证模块用于将设备的唯一设备标识码、设备类型、加密结果、设备证书信息、设备连接信任度初始值发送给存储模块,由存储模块进行存储。雾计算节点还包括执行模块,执行模块与验证模块和通信网络的信任评价装置连接,用于在验证模块输出设备证书未注册时,允许该设备接入网络。
如果设备已注册,验证模块用于将设备的证书信息与存储模块反馈的证书结果进行匹配,若匹配结果为一致,则输出检测结果为设备合法给执行模块,否则输出检测结果为设备非法给执行模块。执行模块用于在接收到设备合法的结果且通信网络的信任评价装置输出的设备可信的结果时,允许设备接入网络,执行模块还用于在接收到设备非法的结果时,拒绝设备接入网络,以及在接收到通信网络的信任评价装置输出的设备不可信的结果时,拒绝设备接入网络。
实施例9:
本实施例提供一种电子装置,包括存储器和处理器,存储器上存储有可在处理器上运行的计算机指令,处理器运行计算机指令时执行实施例1-4中的方法。
其中,存储器与处理器连接,存储器可采用闪存或只读存储器或其他存储器,处理器可采用中央处理器或单片机。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种连接信任度模型的建立方法,其特征在于,包括:
构建第一信任函数fd(TD(i,j)n-1,Pj(a)n)和第二信任函数fd(TD(i,j)n-1,Nj(a)n),其中,
TD(i,j)n-1为设备j与节点i第n-1次连接后节点i对设备j的连接信任度,n为大于等于1的正整数,α为设备j的通信行为,Pj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为,Nj(α)n为设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,节点i为通信网络中的任一节点;
根据第一信任函数和第二信任函数构建连接信任度模型,具体为:
TD(i,j)n=∑a∈Afd(TD(i,j)n-1,Pj(a)n)Pw(a)-∑a∈Afd(TD(i,j)n-1,Nj(a)n)Nw(a),
其中,TD(i,j)n为设备j与节点i第n次连接后节点i对设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为设备j与节点i第n次连接后的预设时长内的通信行为集合。
3.根据权利要求1所述的连接信任度模型的建立方法,其特征在于,所述通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种,
区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括:
若所述通信行为的取值小于第一阈值时,确定为所述通信行为中的积极行为Pj(α)n,
若所述通信行为的取值大于或等于第一阈值时,确定为所述通信行为中的消极行为Nj(α)n,和/或,
所述通信行为包括传输速率,
区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括:
若所述通信行为的取值大于零,确定为所述通信行为中的积极行为Pj(α)n,
若所述通信行为的取值等于零时,确定为所述通信行为中的消极行为Nj(α)n。
4.一种认证信任度模型的建立方法,其特征在于,包括:
获取权利要求1-3任一项所述的连接信任度模型,
根据所述连接信任度模型构建认证信任度模型,具体为:
TR=∑k∈N,k≠iTD(i,j)TD(k,j)
其中,TR为认证信任度,TD(i,j)为节点i对设备j的连接信任度,TD(k,j)为与节点i相邻的节点k对设备j的连接信任度,N为节点i的所有相邻节点的集合。
5.一种通信网络的信任评价方法,其特征在于,包括:
在设备j与节点i第n+1次连接前,根据权利要求4所述的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR;
判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
6.一种设备认证方法,应用于雾计算节点,其特征在于,包括:
初始化;
根据设备j发送的连接请求,验证设备j的设备证书是否已注册,其中,连接请求包括唯一设备标识码、设备类型、设备证书信息:
若验证结果为设备j的设备证书未注册,则允许设备j接入网络;若验证结果为设备j的设备证书已注册,则根据权利要求5所述的通信网络的信任评价方法确定设备j是否可信;
在确定设备j可信的情况下,允许设备j接入网络。
7.根据权利要求6所述的设备认证方法,其特征在于,所述根据设备j发送的连接请求,验证设备j的设备证书是否已注册,包括:
根据设备j发送的连接请求,获取设备j的设备信息,其中设备信息包括唯一设备标识码和设备类型;
对获取的设备j设备信息进行加密,得到设备j的加密结果;
比对得到的设备j的加密结果与自身存储的所有设备的加密结果,若比对结果一致,则验证结果为设备j的设备证书已注册,否则验证结果为设备j的设备证书未注册。
8.根据权利要求6所述的设备认证方法,其特征在于,所述在验证结果为设备j的设备证书已注册之后,根据权利要求5所述的通信网络的信任评价方法确定设备j是否可信之前,还包括:
检测设备j是否合法,
若检测结果为设备j合法,则执行权利要求5所述的通信网络的信任评价方法,若检测结果为设备j非法,则拒绝设备j接入网络,
所述检测设备j是否合法,具体包括:
根据设备j发送的连接请求,获取设备j的设备证书信息;
匹配获取的设备证书信息与自身存储的所有设备的设备证书信息,若匹配结果为一致,则检测结果为设备j合法,否则检测结果为设备j非法。
9.一种通信网络的信任评价装置,其特征在于,包括:计算模块和判断模块,
所述计算模块,用于在设备j与节点i进行第n+1次连接前,根据权利要求4所述的认证信任度模型计算设备j的认证信任度,得到设备j的认证信任度TR;
所述判断模块,用于判断设备j的认证信任度TR与第二阈值的大小;
在判断结果为设备j的认证信任度TR小于第二阈值时,确定设备j不可信,在判断结果为设备j的认证信任度TR大于或等于第二阈值时,确定设备j可信。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010102336.4A CN111314348B (zh) | 2020-02-19 | 2020-02-19 | 信任度模型建立、信任评价、设备认证的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010102336.4A CN111314348B (zh) | 2020-02-19 | 2020-02-19 | 信任度模型建立、信任评价、设备认证的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314348A true CN111314348A (zh) | 2020-06-19 |
CN111314348B CN111314348B (zh) | 2022-07-12 |
Family
ID=71161846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010102336.4A Active CN111314348B (zh) | 2020-02-19 | 2020-02-19 | 信任度模型建立、信任评价、设备认证的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314348B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112929361A (zh) * | 2021-02-03 | 2021-06-08 | 中国联合网络通信集团有限公司 | 设备认证方法、接入节点及计算机可读存储介质 |
CN112968893A (zh) * | 2021-02-20 | 2021-06-15 | 中国联合网络通信集团有限公司 | 一种终端设备的接入控制方法及装置 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090172776A1 (en) * | 2007-12-31 | 2009-07-02 | Petr Makagon | Method and System for Establishing and Managing Trust Metrics for Service Providers in a Federated Service Provider Network |
CN106888430A (zh) * | 2017-04-17 | 2017-06-23 | 华侨大学 | 一种可信的传感云数据收集评估方法 |
US20170302663A1 (en) * | 2016-04-14 | 2017-10-19 | Cisco Technology, Inc. | BLOCK CHAIN BASED IoT DEVICE IDENTITY VERIFICATION AND ANOMALY DETECTION |
CN107968998A (zh) * | 2017-11-28 | 2018-04-27 | 浙江理工大学 | 一种基于信任机制的分布式无线网络安全保障方法 |
CN108632259A (zh) * | 2018-04-17 | 2018-10-09 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的雾计算节点设备认证系统及方法 |
CN108684038A (zh) * | 2018-05-14 | 2018-10-19 | 华侨大学 | 基于雾计算和分层信任评价机制的隐藏数据攻击检测方法 |
CN109218090A (zh) * | 2018-09-10 | 2019-01-15 | 中国民航大学 | 一种物联网节点信任度评估方法 |
CN109408734A (zh) * | 2018-09-28 | 2019-03-01 | 嘉兴学院 | 一种融合信息熵相似度与动态信任的协同过滤推荐方法 |
CN109451459A (zh) * | 2018-12-18 | 2019-03-08 | 华侨大学 | 一种基于移动雾节点的传感云底层节点信任评价方法 |
CN110636495A (zh) * | 2019-09-12 | 2019-12-31 | 北京电子科技学院 | 一种雾计算系统中的终端用户安全漫游认证的方法 |
US20200013062A1 (en) * | 2018-07-06 | 2020-01-09 | At&T Intellectual Property I, L.P. | Services for entity trust conveyances |
-
2020
- 2020-02-19 CN CN202010102336.4A patent/CN111314348B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090172776A1 (en) * | 2007-12-31 | 2009-07-02 | Petr Makagon | Method and System for Establishing and Managing Trust Metrics for Service Providers in a Federated Service Provider Network |
US20170302663A1 (en) * | 2016-04-14 | 2017-10-19 | Cisco Technology, Inc. | BLOCK CHAIN BASED IoT DEVICE IDENTITY VERIFICATION AND ANOMALY DETECTION |
CN106888430A (zh) * | 2017-04-17 | 2017-06-23 | 华侨大学 | 一种可信的传感云数据收集评估方法 |
CN107968998A (zh) * | 2017-11-28 | 2018-04-27 | 浙江理工大学 | 一种基于信任机制的分布式无线网络安全保障方法 |
CN108632259A (zh) * | 2018-04-17 | 2018-10-09 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的雾计算节点设备认证系统及方法 |
CN108684038A (zh) * | 2018-05-14 | 2018-10-19 | 华侨大学 | 基于雾计算和分层信任评价机制的隐藏数据攻击检测方法 |
US20200013062A1 (en) * | 2018-07-06 | 2020-01-09 | At&T Intellectual Property I, L.P. | Services for entity trust conveyances |
CN109218090A (zh) * | 2018-09-10 | 2019-01-15 | 中国民航大学 | 一种物联网节点信任度评估方法 |
CN109408734A (zh) * | 2018-09-28 | 2019-03-01 | 嘉兴学院 | 一种融合信息熵相似度与动态信任的协同过滤推荐方法 |
CN109451459A (zh) * | 2018-12-18 | 2019-03-08 | 华侨大学 | 一种基于移动雾节点的传感云底层节点信任评价方法 |
CN110636495A (zh) * | 2019-09-12 | 2019-12-31 | 北京电子科技学院 | 一种雾计算系统中的终端用户安全漫游认证的方法 |
Non-Patent Citations (5)
Title |
---|
J. DUAN,ET.AL: "TC-BAC: A trust and centrality degree based access control", 《AD HOC NETWORKS》 * |
刘建生等: "网络信任研究进展", 《计算机科学》 * |
汤汉伊等: "情境感知的网络用户可信评估模型", 《无线电通信技术》 * |
王亮等: "电子商务系统的信任建模与评估", 《计算机工程》 * |
王田等: "传感云中的信任评价机制研究进展", 《通信学报》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112929361A (zh) * | 2021-02-03 | 2021-06-08 | 中国联合网络通信集团有限公司 | 设备认证方法、接入节点及计算机可读存储介质 |
CN112968893A (zh) * | 2021-02-20 | 2021-06-15 | 中国联合网络通信集团有限公司 | 一种终端设备的接入控制方法及装置 |
CN112968893B (zh) * | 2021-02-20 | 2023-05-02 | 中国联合网络通信集团有限公司 | 一种终端设备的接入控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111314348B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
JP7033467B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
US9984365B2 (en) | Device identification based on deep fingerprint inspection | |
US8918660B2 (en) | Power sourcing network port reset | |
CN110417717B (zh) | 登录行为的识别方法及装置 | |
CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
US10581849B2 (en) | Data packet transmission method, data packet authentication method, and server thereof | |
CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
US9386031B2 (en) | System and method for detection of targeted attacks | |
TW201631510A (zh) | 身份認證方法、裝置、伺服器及終端 | |
CN111131310A (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
CN107454040B (zh) | 应用的登录方法和装置 | |
CN111314348B (zh) | 信任度模型建立、信任评价、设备认证的方法及装置 | |
CN106656966B (zh) | 一种拦截业务处理请求的方法和装置 | |
CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN110933055B (zh) | 一种基于物联网设备的认证系统 | |
CN116527391A (zh) | 端口扫描检测 | |
CN112583774A (zh) | 一种攻击流量检测的方法、装置、存储介质及电子设备 | |
CN112929361B (zh) | 设备认证方法、接入节点及计算机可读存储介质 | |
CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
CN111064565B (zh) | 缓解DDoS攻击的方法 | |
CN108683670B (zh) | 基于网站应用系统访问的恶意流量识别方法及系统 | |
CN113810330A (zh) | 发送验证信息的方法、装置及存储介质 | |
CN112968893B (zh) | 一种终端设备的接入控制方法及装置 | |
CN112219416A (zh) | 用于认证通过蜂窝网络传输的数据的技术 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |