CN112333159A - 基于区块链的移动物联网终端访问控制方法、装置及系统 - Google Patents

基于区块链的移动物联网终端访问控制方法、装置及系统 Download PDF

Info

Publication number
CN112333159A
CN112333159A CN202011137451.1A CN202011137451A CN112333159A CN 112333159 A CN112333159 A CN 112333159A CN 202011137451 A CN202011137451 A CN 202011137451A CN 112333159 A CN112333159 A CN 112333159A
Authority
CN
China
Prior art keywords
behavior
network access
mobile internet
access behavior
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011137451.1A
Other languages
English (en)
Other versions
CN112333159B (zh
Inventor
阚志刚
卢佐华
陈彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Bangcle Technology Co ltd
Original Assignee
Beijing Bangcle Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Bangcle Technology Co ltd filed Critical Beijing Bangcle Technology Co ltd
Priority to CN202011137451.1A priority Critical patent/CN112333159B/zh
Publication of CN112333159A publication Critical patent/CN112333159A/zh
Application granted granted Critical
Publication of CN112333159B publication Critical patent/CN112333159B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种基于区块链的移动物联网终端访问控制方法、装置及系统,以解决现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。所述方法应用于移动物联网终端,所述方法包括:监听针对移动物联网终端的网络访问行为,并获取网络访问行为的五元组信息;基于所述五元组信息,从区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对网络访问行为进行控制。

Description

基于区块链的移动物联网终端访问控制方法、装置及系统
技术领域
本申请涉及计算机技术领域,尤其涉及一种基于区块链的移动物联网终端访问控制方法、装置及系统。
背景技术
物联网技术的广泛普及使移动物联网终端容易成为攻击目标,因而对移动物联网终端的网络访问行为进行监控,是保障移动物联网终端的安全性的重要手段。
现有技术中,对移动物联网终端的访问控制主要采用预先配置的防火墙策略或者白名单策略,利用防火墙策略或者白名单策略对移动物联网终端出现的网络访问行为的行为特征参数进行识别,过滤攻击行为或者仅允许指定的网络访问行为。然而,由于移动物联网终端面对的网络威胁种类来源较多,这就需要由移动物联网终端的管理方定期对发生的网络威胁进行感知、风险识别以及策略更新,进而导致整个访问控制过程的周期耗时长、效率低且消耗大量人力资源。
发明内容
本申请实施例提供一种基于区块链的移动物联网终端访问控制方法、装置及系统,以解决现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。
为了解决上述技术问题,本申请实施例采用下述技术方案:
第一方面,本申请实施例提供一种基于区块链的移动物联网终端访问控制方法,应用于移动物联网终端,所述方法包括:
监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
可选地,基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制,包括:
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,确定发生所述网络访问行为的移动物联网终端的数量;
在所述数量小于或等于预设阈值的情况下,禁止所述网络访问行为。
可选地,在基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录之前,所述方法还包括:
基于本地存储的访问控制策略和所述网络访问行为的五元组信息,对所述网络访问行为进行识别;
确定所述网络访问行为属于异常行为,所述异常行为包括以下行为中的至少一种:不被所述访问控制策略允许的网络访问行为、所述访问控制策略指示禁止的网络访问行为、在所述移动物联网终端中首次出现的网络访问行为、超过设定的有效期的网络访问行为。
可选地,在基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录之前,所述方法还包括:
在所述网络访问行为不属于所述访问控制策略允许的网络访问行为及禁止的网络访问行为、且所述网络访问行为首次出现在所述移动物联网终端的情况下,禁止针对所述网络访问行为。
可选地,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组信息进行哈希运算,得到哈希值;将生成的行为记录和所述哈希值发送给所述区块链节点,以使所述区块链节点将生成的行为记录和所述哈希值关联保存至所述区块链中。
可选地,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组进行哈希运算,得到哈希值;
将所述哈希值作为所述移动物联网终端的私钥,基于集成加密框架IES算法、所述移动物联网终端的私钥及预置的CA证书公钥,生成加密密钥;
基于所述加密密钥对生成的行为记录进行加密,得到行为记录加密数据;
将所述行为记录加密数据发送给所述区块链节点,以使所述区块链节点将所述行为记录加密数据保存至所述区块链中。
可选地,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,从所述区块链节点获取针对所述网络访问行为的决策策略,所述决策策略为策略控制节点基于各个移动物联网终端关于所述网络访问行为的行为记录生成并发送给所述区块链节点的;
基于所述决策策略对所述访问控制策略进行更新。
第二方面,本申请实施例提供一种基于区块链的移动物联网终端访问控制装置,应用于移动物联网终端,所述装置包括:
网络访问控制模块,用于监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
区块链接入模块,用于基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
防火墙管理模块,用于基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
第三方面,本申请实施例提供一种基于区块链的移动物联网终端访问控制系统,包括多个物联网终端和接入区块链的区块链节点;
所述物联网终端用于:
所述移动物联网终端,用于监听针对自身的网络访问行为,并获取所述网络访问行为的五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,以及基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为;
所述区块链节点,用于接收各个所述移动物联网终端上报关于所述网络访问行为的行为记录,并接收到的行为记录保存至所述区块链中。
可选地,所述系统还包括策略控制节点;
所述策略控制节点,用于基于所述网络访问行为的五元组信息,从所述区块链节点获取各个所述移动物联网终端关于所述网络访问行为的行为记录,基于获取到的行为记录生成针对所述网络访问行为的决策策略,并将所述决策策略发送给所述区块链节点;
所述区块链节点,还用于接收所述策略控制节点发送的所述决策策略,将所述决策策略保存至所述区块链中,以及向所述移动物联网终端提供所述决策策略;
所述移动物联网终端,还用于基于所述网络访问行为的五元组信息,从所述区块链节点获取针对所述网络访问行为的决策策略,以及基于所述决策策略和所述网络访问行为的五元组信息,对所述网络访问行为进行控制。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过接入区块链的区块链节点将各个移动物联网终端串接起来形成一个整体,使得各个移动物联网可将各自关于网络访问行为的行为记录通过区块链节点保存至区块链中,实现彼此之间的行为记录共享,进一步利用攻击者攻击的是少数移动物联网终端的特点,基于其他移动物联网终端关于同一网络访问行为的行为记录来自动识别和控制该网络访问行为,通过使每个移动物联网移动终端都参与彼此的访问控制,进而可以实现海量物联网终端的网络防护,且整个过程无需人工参与网络威胁感知、风险识别以及策略更新等操作,克服了现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请提供的基于区块链的移动物联网终端访问控制方法的应用场景示意图;
图2为本申请提供的一种基于区块链的移动物联网终端访问控制方法的流程图;
图3为本申请提供的另一种基于区块链的移动物联网终端访问控制方法的流程图;
图4A为本申请提供的一种移动物联网终端与区块链节点之间的交互示意图;
图4B为本申请提供的另一种移动物联网终端与区块链节点之间的交互示意图;
图5为本申请提供的一种移动物联网终端、区块链节点以及策略控制节点之间的交互示意图;
图6为本申请提供的一种电子设备的结构示意图;
图7为本申请提供的一种基于区块链的移动物联网终端访问控制装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了解决现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题,本申请实施例提供一种基于区块链的移动物联网终端访问控制方法、装置及系统。
以下结合附图,详细说明本申请各实施例提供的技术方案。
参照图1,图1为本申请提供的基于区块链的移动物联网终端访问控制方法的应用场景示意图。该场景可以包括多个移动物联网终端、边缘节点、策略控制节点以及接入区块链的区块链节点,移动物联网终端、边缘节点以及策略控制节点通过网络通信的形式与区块链节点进行通信连接。其中,图1仅示出两个移动物联网终端(即移动物联网终端1和移动物联网终端2)、两个边缘节点(即边缘节点1和边缘节点2)以及两个区块链节点。
其中,区块链节点是指完整参与节点,其通过常识构建和验证新区块以添加到区块链来参与区块链的共识处理。
其中,移动物联网终端可以是任意形式的移动终端,如手机、电脑、智能可穿戴设备、车联网设备等,本申请实施例对移动物联网终端的类型不做具体限定。
具体来说,如图1所示,移动物联网终端涉及的功能可以例如包括但不限于:区块链节点接入、网络访问控制、防火墙管理以及异常情况上报。
移动物联网终端可通过区块链节点接入功能启动SPV(Simplified PaymentVerification,简单支付验证)模式,使得移动物联网终端可以作为SPV节点与区块链节点通信连接,其不参与区块链的共识处理,无需同步所有的区块链数据,而仅同步区块头,从而可以向区块链节点发送相应数据,如针对物联网终端的网络访问行为的五元组信息,以使区块链节点将这些数据保存至区块链中;当然,物联网终端也可以向区块链网络中的其他具备查询功能的节点查询区块链上的相应数据,如其他物联网终端的网络访问行为的行为记录等。当然,移动物联网终端还可通过区块链节点接入功能从区块链节点获取其他节点(如策略控制节点)生成的针对网络访问行为的决策策略,以基于该决策策略对网络访问行为进行识别和控制。
通过网络访问控制可监听针对自身的网络访问行为,并获取网络访问行为的五元组信息。
通过防火墙管理可以基于从区块链节点获取到的其他移动物联网终端关于该网络访问行为的行为记录,对所述网络访问行为进行控制,以及基于本地存储的访问控制策略对网络访问行为进行初步识别,以识别网络访问行为是否属于异常行为。
通过异常情况上报可以将识别出的异常行为的五元组信息上报给区块链节点,以使区块链节点将该异常行为的五元组信息保存至区块链中。
其中,边缘节点可以是任意形式的非移动物联网终端,其可以向接入区块链网络的其他节点提供服务,例如,边缘节点可以是车联网中的RSU(Road Side Unit,路侧单元)。边缘节点可以保持与区块链节点的长期连接,同步区块链数据,并向移动物联网终端提供查询功能。具体来说,边缘节点可以是全节点,也可以是全节点的剪裁(即仅存储与所属的物联网相关的区块链数据)。并且,边缘节点可以将同步的区块链数据保存在区块链证据库中。
其中,策略控制节点可以是管理方的计算设备(如服务器)。策略控制节点可以接入到区块链节点,通过区块链节点对移动物联网终端进行身份管理,为每个移动物联网终端分配CA(Certificate Authority,电子认证服务机构)证书及身份证书,以便各个移动物联网终端能够根据各自的身份证书来验证彼此是否为相同的设备。
策略控制节点还可以从区块链节点获取各个移动物联网终端关于网络访问行为的行为记录,基于获取到的行为记录生成针对网络访问行为的决策策略并发送给区块链节点,由区块链节点将决策策略保存至区块链中以及向其他节点提供决策策略。例如,策略控制节点可通过AI(Artificial Intelligence,人工智能)、大数据分析以及人工管理等技术,基于获取到的行为记录生成针对网络访问行为的决策策略。
需要说明的是,上述场景中,移动物联网终端和边缘节点可以部署于不同的区域,图1仅以区域1和区域2示意。
基于上述应用场景架构,请参见图2,本申请实施例提供了一种基于区块链的移动物联网终端访问控制方法,该方法能够由图1中的移动物联网终端执行。如图2所示,该方法包括以下步骤:
S22,监听针对移动物联网终端的网络访问行为并获取网络访问行为的五元组信息。
其中,五元组信息可以包括源IP(Internet Protocol,互联网协议)地址、源端口的信息、目的IP地址、目的端口的信息和传输层协议。
由于五元组信息能够区分不同的网络访问行为、且对应的网络访问行为是唯一的,因而可获取网络访问行为的五元组信息,以基于五元组信息对网络访问行为进行识别。
S24,基于网络访问行为的五元组信息,从区块链中的区块链节点获取其他移动物联网终端关于该网络访问行为的行为记录。
其中,移动物联网终端关于网络访问行为的行为记录用于描述针对移动物联网终端的网络访问行为,所述行为记录为移动物联网终端基于针对自身的网络访问行为的五元组信息生成并上报给区块链节点。
具体地,移动物联网终端可在需要查询时,如监控到网络访问行为时,向区块链节点发送行为记录获取请求,以请求获取其他移动物联网终端关于该网络访问行为的行为记录,其中,行为记录获取请求中携带有网络访问行为的五元组信息。区块链节点可基于该五元组信息查询区块链,从区块链中获取其他网络节点关于该网络访问行为的行为记录并返回给该移动物联网终端。当然,移动物联网终端也可以定期向区块链节点获取其他移动物联网终端关于该网络访问行为的行为记录。
S26,基于其他移动物联网终端关于网络访问行为的行为记录,对该网络访问行为进行控制。
考虑到通常情况下攻击者攻击的是少数移动物联网终端,而大部分移动物联网终端仍处于正常业务逻辑处理状态,因此,移动物联网终端在监控到网络访问行为时,可根据其他移动物联网终端中发生该网络访问行为的情况来识别该网络访问行为来识别该网络访问行为是正常业务逻辑处理还是攻击行为。进一步地,若识别出该网络访问行为是正常业务逻辑处理,则允许该网络访问行为,以保证业务的正常处理;若识别出该网络访问行为是攻击行为,则禁止该网络访问行为,以保障移动物联网终端的安全性。
由于攻击者攻击的是少数移动物联网终端,因此通常情况下出现攻击行为的移动物联网终端占少数,在较为优选的方案中,可基于出现同一网络访问行为的移动物联网终端的数量来判断该网络访问行为是否为攻击行为。
具体来说,对于监控到的每一网络访问行为而言,移动物联网终端可以基于其他移动物联网终端关于该网络访问行为的行为记录,确定发生该网络访问行为的移动物联网终端的数量,若该数量小于或等于预设阈值,则确定少数移动网络设备都出现该网络访问行为,可确定该网络访问行为是攻击行为,进而禁止该网络访问行为;若该数量大于预设阈值,则可确定大部分移动网络设备都出现该网络访问行为,进而可确定该网络访问行为是正常业务逻辑处理,进而允许该网络访问行为。
需要说明的是,预设阈值可以基于移动物联网终端的总数自定义设置,例如,若移动物联网终端的总数为20,则可确定预设阈值为15,本申请实施例对预设阈值的设置方式和具体数值不做限定。
可以理解,在上述方案中,通过判断出现同一网络访问行为的移动物联网终端的数量来识别该网络访问行为是否为攻击行为,实现简单,整个过程无需人工参与,也不需要定期下发和更新策略,进一步提高了访问控制的效率。
通过本申请实施例提供的基于区块链的移动物联网终端访问控制方法,通过接入区块链的区块链节点将各个移动物联网终端串接起来形成一个整体,使得各个移动物联网可将各自关于网络访问行为的行为记录通过区块链节点保存至区块链中,实现彼此之间的行为记录共享,进一步利用攻击者攻击的是少数移动物联网终端的特点,基于其他移动物联网终端关于同一网络访问行为的行为记录来自动识别和控制该网络访问行为,通过使每个移动物联网移动终端都参与彼此的访问控制,进而可以实现海量物联网终端的网络防护,且整个过程无需人工参与网络威胁感知、风险识别以及策略更新等操作,克服了现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。
进一步地,由于移动物联网终端与区块链节点之间频繁的数据交互会占用较多的带宽资源,在较为优选的方案中,移动物联网终端本地可存储用于对网络访问行为进行初步识别和控制的访问控制策略,移动物联网终端可先基于该访问控制策略对网络访问行为进行初步识别和控制,在网络访问行为无法识别的情况下,再与区块链节点进行数据交互以进一步对网络访问行为进行识别和控制。
具体来说,请参见图3,本申请实施例提供了另一种基于区块链的移动物联网终端访问控制方法,该方法能够由图1中的移动物联网终端执行。如图3所示,该方法包括以下步骤S32至步骤S38,其中,步骤S32与上述图2所示实施例中的步骤S22大致相同,步骤S36与上述图2所示实施例中的步骤S24大致相同,步骤S38与上述图2所示实施例中的步骤S26大致相同,此处不再赘述。下面介绍不同之处,未在本实施例中详尽描述的技术细节,可参见图2所示实施例提供的基于区块链的移动物联网终端访问控制方法,此处不再赘述。
S32,监听针对移动物联网终端的网络访问行为并获取网络访问行为的五元组信息。
其中,五元组信息可以包括源IP地址、源端口的信息、目的IP地址、目的端口的信息和传输层协议。
S34,基于本地存储的访问控制策略和该网络访问行为的五元组信息,对该网络访问行为进行识别。
其中,访问控制策略指示了允许的网络访问行为和禁止的网络访问行为。例如,表1示出了一种访问控制策略的示例。
表1
Figure BDA0002737182710000111
移动物联网终端对于监控到的每一网络访问行为,可基于该网络访问行为的五元组信息,识别该网络访问行为是否为该访问控制策略指示允许的网络访问行为以及是否为该访问控制策略指示禁止的网络访问行为。
另外,为了进一步提高移动物联网终端的安全性,访问控制策略还可以包括允许的每种网络访问行为的有效期,允许的每种网络访问行为在其对应的有效期内有效,即若超过其对应的有效期,则禁止该网络访问行为。
需要说明的是,移动物联网终端本地存储的访问控制策略可以是管理方预先配置并部署在移动物联网终端本地的;或者,也可以由策略控制节点基于从区块链节点获取的各个移动物联网终端关于网络访问行为的行为记录生成并通过区块链节点保存到区块链中,进而移动物联网终端在需要时或定期通过区块链节点从区块链中获取和更新。
S36,在确定该网络访问行为属于异常行为的情况下,基于网络访问行为的五元组信息,从区块链中的区块链节点获取其他移动物联网终端关于该网络访问行为的行为记录。
其中,所述异常行为包括以下行为中的至少一种:不被访问控制策略允许的网络访问行为、访问控制策略指示禁止的网络访问行为、在移动物联网终端中首次出现的网络访问行为、超过设定的有效期的网络访问行为。
S38,基于其他移动物联网终端关于网络访问行为的行为记录,对该网络访问行为进行控制。
可以理解,通过上述实施例提供的方案,移动物联网终端可先基于本地存储的访问控制策略对网络访问行为进行初步识别和控制,在网络访问行为属于异常行为的情况下,再从区块链节点获取其他移动物联网终端关于该网络访问行为的行为记录并进一步对网络访问行为进行识别和控制,进而可以减少移动物联网终端与区块链节点之间的数据交互次数,从而减少对带宽资源的占用。
进一步地,本申请上述实施例提供的方法中,对于监控到的每一网络访问行为,在通过步骤S34确定该网络访问行为属于访问控制策略允许的网络访问行为且未超过对应的有效期的情况下,可允许该网络访问行为,以保证相关业务的正常处理;在通过上述步骤S34确定该网络访问行为不属于访问控制策略允许的网络访问行为,也不属于访问控制策略禁止的网络访问行为、且该网络访问行为首次出现的情况下,可禁止针对网络访问行为,以避免该网络访问行为对移动物联网终端造成威胁,进一步提高移动物联网终端的安全性,保证移动物联网终端所属的整个物联网系统正常运行。
进一步地,本申请上述实施例提供的方案中,移动物联网终端还可以向区块链节点上报异常行为的五元组信息,以使区块链节点将该异常行为的五元组信息保存至区块链中,从而,接入区块链的任一节点或者与区块链节点通信连接的任一节点(如其他移动物联网终端)均可获取到该异常行为的五元组信息。
具体来说,在一种可选的方案中,在上述步骤S34之后,如图4A所示,移动物联网终端在确定监控到的网络访问行为属于异常行为的情况下,可以基于网络访问行为的五元组信息,生成自身关于该网络访问行为的行为记录,其中,该行为记录中包含该网络访问行为的五元组信息;接着,移动物联网终端可对该网络访问行为的五元组进行哈希计算,得到哈希值,如Hash(srcIP|srcPort|dstIP|dstPort|protocol),其中,srcIP表示源IP地址,srcPort表示源端口的信息,dstIP表示目的IP地址,dstPort表示目的端口的信息,protocol表示传输层协议;最后,移动物联网终端将生成的行为记录和哈希值发送给区块链节点,以使区块链节点将该行为记录和哈希值关联保存至区块链中。
从而,网络访问行为的五元组信息的哈希值可作为该网络访问行为的行为记录在区块链中的存储索引,便于接入到区块链的节点能够通过该哈希值从区块链中获取该网络访问行为的行为记录。并且,对于发生同一网络访问行为的移动物联网终端而言,由于该网络访问行为的五元组信息相同,基于相同的五元组信息得到的哈希值相同,进而使得这些移动物联网终端能够较为方便地基于该哈希值可以得到其他所有发生该网络访问行为的移动物联网终端关于该网络访问行为的行为记录。在此基础上,使得发生同一网络访问行为的移动物联网终端彼此之间能够对该网络访问行为的行为记录的共享以便对该网络访问行为进行识别,由此实现了对海量移动物联网终端的访问控制。
进一步地,移动物联网终端在向区块链节点发送生成的行为记录及哈希值时,可以基于预置的身份证书对生成的行为记录和哈希值进行签名,得到行为记录签名数据,将行为记录签名数据发送给区块链节点,以使区块链节点将该行为记录签名数据保存至区块链中。由此,与区块链节点通信连接的其他移动物联网终端等节点或者连接到区块链的任一节点可以基于移动物联网终端的身份证书对其行为记录签名数据进行验证,以确定该行为记录是否被篡改,由此可以进一步提高移动物联网终端的安全性。
为了避免移动物联网终端生成的行为记录被非法节点获取和利用,在另一个可选的方案中,移动物联网终端可以在上述步骤S34之后,如图4B所示,移动物联网终端在确定监控到的网络访问行为属于异常行为的情况下,可以基于网络访问行为的五元组信息,生成自身关于该网络访问行为的行为记录,其中,该行为记录中包含该网络访问行为的五元组信息;接着,移动物联网终端可对该网络访问行为的五元组进行哈希计算,得到哈希值,并将该哈希值作为移动物联网终端的私钥,基于IES(Integrated Encryption Schema,集成加密框架)算法、该私钥及CA证书公钥,生成加密密钥;最后,移动物联网终端基于该加密密钥对生成的行为记录进行加密,得到行为记录加密数据并发送给区块链节点,以使区块链节点将该行为记录加密数据保存至区块链中。
可以理解,在该方案中,由于同一种网络访问行为的五元组信息相同,进而该五元组信息的哈希值相同,且通常情况下,移动物联网终端的CA证书公钥是公开的、能够被获取的,因此,发生同一网络访问行为的移动物联网终端各自生成的行为记录相同、且均能够通过IES算法得到相同的加密密钥,进而生成的行为记录加密数据相同,因此,行为记录加密数据本身就能够作为行为记录在区块链中的存储索引,使得任一物联网终端可直接向区块链节点查询其他移动物联网终端的同一行为记录加密数据,在不解密行为记录加密数据的情况下,确定行为记录加密数据是否对应同一网络访问行为,进而可以对发生同一网络访问行为的移动物联网终端进行统计,以便进一步对该网络访问行为进行识别和控制,不仅可以避免网络访问行为的五元组信息被非法节点获取和利用,还可以减小移动物联网终端的工作量。并且,对于其他节点而言,若需要获取各个移动物联网终端关于同一网络访问行为的行为记录,也只需对一份行为记录加密数据进行解密,进而可以减少对海量行为记录处理时的性能开销。
进一步地,在该方案中,移动物联网终端在向区块链节点发送行为记录加密数据时,也可以基于预置的身份证书对生成的行为记录加密数据进行签名,得到行为记录签名数据,将行为记录签名数据发送给区块链节点,以使区块链节点将该行为记录签名数据保存至区块链中。由此,与区块链节点通信连接的其他移动物联网终端等节点或者连接到区块链的任一节点可以基于移动物联网终端的身份证书对其行为记录签名数据进行验证,以确定该行为记录加密数据是否被篡改,由此可以进一步提高移动物联网终端的安全性。
进一步地,本申请上述实施例提供的方法中,对于监控到的每一网络访问行为,在通过上述步骤S34确定该网络访问行为属于异常行为的情况下,如图5所示,移动物联网终端还可以基于该网络访问行为的五元组信息,从区块链节点获取针对该网络访问行为的决策策略,并基于决策策略更新本地存储的访问控制策略,以便后续再次出现该网络访问行为时,能够基于更新的访问控制策略快速、准确地对该网络访问行为进行识别和控制。其中,所述决策策略为策略控制节点基于各个移动物联网终端关于该网络访问行为的行为记录生成并发送给区块链节点、由区块链节点保存至区块链中的。
例如,若该决策策略指示禁止该网络访问行为,则将该网络访问行为及其五元组信息增加到本地存储的访问控制策略中指示禁止的网络访问行为列表中;若该决策策略指示允许该网络访问行为,则将该网络访问行为及其五元组信息添加到本地存储的访问控制策略中指示允许的网络访问行为列表中。
可以理解,上述方案中,针对网络访问行为的决策策略是由策略控制节点生成并分发到区块链节点中的,移动物联网终端从区块链节点处获取该决策策略,而非直接向策略控制节点获取,从而避免策略控制节点的网络访问压力,并实现可靠而高效的决策分发。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
图6是本申请的一个实施例电子设备的结构示意图。请参考图6,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成基于区块链的移动物联网终端访问控制装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
上述如本申请图2所示实施例揭示的基于区块链的移动物联网访问控制装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图2的方法,并实现基于区块链的移动物联网终端访问控制装置在图2至图5所示实施例的功能,本申请实施例在此不再赘述。
当然,除了软件实现方式之外,本申请的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的便携式电子设备执行时,能够使该便携式电子设备执行图2所示实施例的方法,并具体用于执行以下操作:
监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
图7是本申请的一个实施例基于区块链的移动物联网终端访问控制装置的结构示意图。请参考图7,在一种软件实施方式中,所述装置700可包括:
网络访问控制模块710,用于监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息。
区块链接入模块720,用于基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点。具体来说,区块链接入模块720可以采用SPV模式,使得所述装置700可作为SPV节点接入到区块链网络中,与区块链网络中的区块链节点通信连接。
防火墙管理模块730,用于基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
可选地,防火墙管理模块730具体用于:
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,确定发生所述网络访问行为的移动物联网终端的数量;
在所述数量小于或等于预设阈值的情况下,禁止所述网络访问行为。
可选地,所述装置700还包括:
异常行为上报模块,用于基于本地存储的访问控制策略和所述网络访问行为的五元组信息,对所述网络访问行为进行识别,在确定所述网络访问行为属于异常行为的情况下,触发所述区块链接入模块,所述异常行为包括以下行为中的至少一种:不被所述访问控制策略允许的网络访问行为、所述访问控制策略指示禁止的网络访问行为、在所述移动物联网终端中首次出现的网络访问行为、超过设定的有效期的网络访问行为。
可选地,所述防火墙管理模块还用于:在基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录之前,在所述网络访问行为不属于所述访问控制策略允许的网络访问行为及禁止的网络访问行为、且所述网络访问行为首次出现在所述移动物联网终端的情况下,禁止针对所述网络访问行为。
可选地,所述异常行为上报模块还用于:
在确定所述网络访问行为属于异常行为之后,基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组信息进行哈希运算,得到哈希值;
所述区块链接入模块还用于:
将生成的行为记录和所述哈希值发送给所述区块链节点,以使所述区块链节点将生成的行为记录和所述哈希值关联保存至所述区块链中。
可选地,所述异常行为上报模块还用于:
基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组进行哈希运算,得到哈希值;
将所述哈希值作为所述移动物联网终端的私钥,基于集成加密框架IES算法、所述移动物联网终端的私钥及预置的CA证书公钥,生成加密密钥;
基于所述加密密钥对生成的行为记录进行加密,得到行为记录加密数据;
所述区块链接入模块还用于:
将所述行为记录加密数据发送给所述区块链节点,以使所述区块链节点将所述行为记录加密数据保存至所述区块链中。
可选地,所述区块链接入模块还用于:
基于所述网络访问行为的五元组信息,从所述区块链节点获取针对所述网络访问行为的决策策略,所述决策策略为策略控制节点基于各个移动物联网终端关于所述网络访问行为的行为记录生成并发送给所述区块链节点的;
所述异常行为上报模块,还用于基于所述决策策略对所述访问控制策略进行更新。
通过本申请实施例提供的基于区块链的移动物联网终端访问控制装置,通过接入区块链的区块链节点将各个移动物联网终端串接起来形成一个整体,使得各个移动物联网可将各自关于网络访问行为的行为记录通过区块链节点保存至区块链中,实现彼此之间的行为记录共享,进一步利用攻击者攻击的是少数移动物联网终端的特点,基于其他移动物联网终端关于同一网络访问行为的行为记录来自动识别和控制该网络访问行为,通过使每个移动物联网移动终端都参与彼此的访问控制,进而可以实现海量物联网终端的网络防护,且整个过程无需人工参与网络威胁感知、风险识别以及策略更新等操作,克服了现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。
本申请实施例还提供一种基于区块链的移动物联网终端访问控制系统,该系统可以包括多个移动物联网终端和接入区块链的区块链节点。其中,移动物联网终端通过网络通信的形式与区块链节点进行通信连接。
所述移动物联网终端,用于监听针对自身的网络访问行为,并获取所述网络访问行为的五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,以及基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为;
所述区块链节点,用于接收各个所述移动物联网终端上报关于所述网络访问行为的行为记录,并接收到的行为记录保存至所述区块链中。
需要说明的是,本申请实施例中的移动物联网节点和区块链节点各自执行的方法步骤及交互过程可参见上述方法实施例中的相关描述,此处不再赘述。
可选地,本申请实施例提供的系统还可以包括策略控制节点,例如图1所示的策略控制节点。
策略控制节点可以从区块链节点获取各个移动物联网终端关于网络访问行为的行为记录,基于获取到的行为记录生成针对该网络访问行为的决策策略并将该决策策略发送给区块链节点,由区块链节点保存至区块链中,以便接入到区块链的任一节点或者与区块链节点通信连接的移动物联网终端等节点能够获取到针对该决策策略。例如,移动物联网终端可以从区块链节点获取该决策策略,以对本地存储的访问控制策略进行更新,以便后续出现该网络访问行为时,能够快速、准确地识别该网络访问行为是否属于异常行为。
可选地,本申请实施例提供的系统还可以包括边缘节点,例如图1所示的边缘节点。边缘节点也可以基于网络访问行为的五元组信息,从区块链节点获取和统计各个移动物联网终端关于该网络访问行为的行为记录,并为移动物联网终端提供查询功能,使得移动物联网终端可以基于网络访问行为的五元组信息,直接从边缘节点查询各个移动物联网终端关于该网络访问行为的行为记录,进而基于查询结果对该网络访问行为进行识别和控制。
通过本申请实施例提供的基于区块链的移动物联网终端访问控制系统,通过接入区块链的区块链节点将各个移动物联网终端串接起来形成一个整体,使得各个移动物联网可将各自关于网络访问行为的行为记录通过区块链节点保存至区块链中,实现彼此之间的行为记录共享,进一步利用攻击者攻击的是少数移动物联网终端的特点,基于其他移动物联网终端关于同一网络访问行为的行为记录来自动识别和控制该网络访问行为,通过使每个移动物联网移动终端都参与彼此的访问控制,进而可以实现海量物联网终端的网络防护,且整个过程无需人工参与网络威胁感知、风险识别以及策略更新等操作,克服了现有的访问控制方法存在的周期耗时长、效率低且消耗大量人力资源的问题。
总之,以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

Claims (10)

1.一种基于区块链的移动物联网终端访问控制方法,其特征在于,应用于移动物联网终端,所述方法包括:
监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
2.根据权利要求1所述的方法,其特征在于,基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制,包括:
基于所述其他移动物联网终端关于所述网络访问行为的行为记录,确定发生所述网络访问行为的移动物联网终端的数量;
在所述数量小于或等于预设阈值的情况下,禁止所述网络访问行为。
3.根据权利要求1所述的方法,其特征在于,在基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录之前,所述方法还包括:
基于本地存储的访问控制策略和所述网络访问行为的五元组信息,对所述网络访问行为进行识别;
确定所述网络访问行为属于异常行为,所述异常行为包括以下行为中的至少一种:不被所述访问控制策略允许的网络访问行为、所述访问控制策略指示禁止的网络访问行为、在所述移动物联网终端中首次出现的网络访问行为、超过设定的有效期的网络访问行为。
4.根据权利要求3所述的方法,其特征在于,在基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录之前,所述方法还包括:
在所述网络访问行为不属于所述访问控制策略允许的网络访问行为及禁止的网络访问行为、且所述网络访问行为首次出现在所述移动物联网终端的情况下,禁止针对所述网络访问行为。
5.根据权利要求3所述的方法,其特征在于,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组信息进行哈希运算,得到哈希值;将生成的行为记录和所述哈希值发送给所述区块链节点,以使所述区块链节点将生成的行为记录和所述哈希值关联保存至所述区块链中。
6.根据权利要求3所述的方法,其特征在于,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,生成所述移动物联网终端关于所述网络访问行为的行为记录;
对所述网络访问行为的五元组进行哈希运算,得到哈希值;
将所述哈希值作为所述移动物联网终端的私钥,基于集成加密框架IES算法、所述移动物联网终端的私钥及预置的CA证书公钥,生成加密密钥;
基于所述加密密钥对生成的行为记录进行加密,得到行为记录加密数据;
将所述行为记录加密数据发送给所述区块链节点,以使所述区块链节点将所述行为记录加密数据保存至所述区块链中。
7.根据权利要求3所述的方法,其特征在于,在确定所述网络访问行为属于异常行为之后,所述方法还包括:
基于所述网络访问行为的五元组信息,从所述区块链节点获取针对所述网络访问行为的决策策略,所述决策策略为策略控制节点基于各个移动物联网终端关于所述网络访问行为的行为记录生成并发送给所述区块链节点的;
基于所述决策策略对所述访问控制策略进行更新。
8.一种基于区块链的移动物联网终端访问控制装置,其特征在于,应用于移动物联网终端,所述装置包括:
网络访问控制模块,用于监听针对所述移动物联网终端的网络访问行为,并获取所述网络访问行为的五元组信息;
区块链接入模块,用于基于所述五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为,所述行为记录为所述其他移动物联网终端基于针对自身的所述网络行为的五元组信息生成并上报给所述区块链节点;
防火墙管理模块,用于基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制。
9.一种基于区块链的移动物联网终端访问控制系统,其特征在于,包括多个移动物联网终端和接入区块链的区块链节点;
所述移动物联网终端,用于监听针对自身的网络访问行为,并获取所述网络访问行为的五元组信息,从所述区块链中的区块链节点获取其他移动物联网终端关于所述网络访问行为的行为记录,以及基于所述其他移动物联网终端关于所述网络访问行为的行为记录,对所述网络访问行为进行控制,所述行为记录用于描述针对所述其他移动物联网终端的所述网络访问行为;
所述区块链节点,用于接收各个所述移动物联网终端上报关于所述网络访问行为的行为记录,并接收到的行为记录保存至所述区块链中。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括策略控制节点;
所述策略控制节点,用于基于所述网络访问行为的五元组信息,从所述区块链节点获取各个所述移动物联网终端关于所述网络访问行为的行为记录,基于获取到的行为记录生成针对所述网络访问行为的决策策略,并将所述决策策略发送给所述区块链节点;
所述区块链节点,还用于接收所述策略控制节点发送的所述决策策略,将所述决策策略保存至所述区块链中,以及向所述移动物联网终端提供所述决策策略;
所述移动物联网终端,还用于基于所述网络访问行为的五元组信息,从所述区块链节点获取针对所述网络访问行为的决策策略,以及基于所述决策策略和所述网络访问行为的五元组信息,对所述网络访问行为进行控制。
CN202011137451.1A 2020-10-22 2020-10-22 基于区块链的移动物联网终端访问控制方法、装置及系统 Active CN112333159B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011137451.1A CN112333159B (zh) 2020-10-22 2020-10-22 基于区块链的移动物联网终端访问控制方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011137451.1A CN112333159B (zh) 2020-10-22 2020-10-22 基于区块链的移动物联网终端访问控制方法、装置及系统

Publications (2)

Publication Number Publication Date
CN112333159A true CN112333159A (zh) 2021-02-05
CN112333159B CN112333159B (zh) 2022-09-23

Family

ID=74310907

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011137451.1A Active CN112333159B (zh) 2020-10-22 2020-10-22 基于区块链的移动物联网终端访问控制方法、装置及系统

Country Status (1)

Country Link
CN (1) CN112333159B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542117A (zh) * 2021-07-09 2021-10-22 重庆邮电大学 一种基于分层区块链的物联网设备资源访问控制方法
CN114338701A (zh) * 2021-12-29 2022-04-12 四川启睿克科技有限公司 基于区块链的物联网零信任系统及访问方法
CN114978776A (zh) * 2022-07-29 2022-08-30 中诚华隆计算机技术有限公司 一种电力物联网终端可信数据交互方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688149A (zh) * 2018-12-29 2019-04-26 中国银联股份有限公司 一种身份认证的方法及装置
CN109905408A (zh) * 2019-04-10 2019-06-18 广州大学 网络安全防护方法、系统、可读存储介质及终端设备
CN110535833A (zh) * 2019-08-07 2019-12-03 中国石油大学(北京) 一种基于区块链的数据共享控制方法
WO2020134616A1 (zh) * 2018-12-28 2020-07-02 阿里巴巴集团控股有限公司 联盟链中的请求处理方法、系统、装置及设备
CN111651776A (zh) * 2020-05-12 2020-09-11 北京信息科技大学 访问控制记录存储方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020134616A1 (zh) * 2018-12-28 2020-07-02 阿里巴巴集团控股有限公司 联盟链中的请求处理方法、系统、装置及设备
CN109688149A (zh) * 2018-12-29 2019-04-26 中国银联股份有限公司 一种身份认证的方法及装置
CN109905408A (zh) * 2019-04-10 2019-06-18 广州大学 网络安全防护方法、系统、可读存储介质及终端设备
CN110535833A (zh) * 2019-08-07 2019-12-03 中国石油大学(北京) 一种基于区块链的数据共享控制方法
CN111651776A (zh) * 2020-05-12 2020-09-11 北京信息科技大学 访问控制记录存储方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
史锦山等: "物联网下的区块链访问控制综述", 《软件学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542117A (zh) * 2021-07-09 2021-10-22 重庆邮电大学 一种基于分层区块链的物联网设备资源访问控制方法
CN113542117B (zh) * 2021-07-09 2022-06-10 重庆邮电大学 一种基于分层区块链的物联网设备资源访问控制方法
CN114338701A (zh) * 2021-12-29 2022-04-12 四川启睿克科技有限公司 基于区块链的物联网零信任系统及访问方法
CN114338701B (zh) * 2021-12-29 2023-03-07 四川启睿克科技有限公司 基于区块链的物联网零信任系统及访问方法
CN114978776A (zh) * 2022-07-29 2022-08-30 中诚华隆计算机技术有限公司 一种电力物联网终端可信数据交互方法、装置及电子设备

Also Published As

Publication number Publication date
CN112333159B (zh) 2022-09-23

Similar Documents

Publication Publication Date Title
CN112333159B (zh) 基于区块链的移动物联网终端访问控制方法、装置及系统
Li et al. A blockchain-based authentication and security mechanism for IoT
CN110602096B (zh) 区块链网络中的数据处理方法、装置、存储介质和设备
CN110351229B (zh) 一种终端ue管控方法及装置
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
US9239929B1 (en) Location data quarantine system
US9275237B2 (en) Method and apparatus for privacy and trust enhancing sharing of data for collaborative analytics
US11671402B2 (en) Service resource scheduling method and apparatus
CN107347047B (zh) 攻击防护方法和装置
CN104184713A (zh) 终端识别方法、机器识别码注册方法及相应系统、设备
CN113872944A (zh) 一种面向区块链的零信任安全架构及其集群部署框架
CN114139203B (zh) 基于区块链的异构身份联盟风险评估系统、方法及终端
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
CN113992354A (zh) 一种身份验证方法、装置、设备及机器可读存储介质
Hasan et al. Towards a threat model and privacy analysis for v2p in 5g networks
Xiao et al. GlobalView: building global view with log files in a distributed/networked system for accountability
Feng et al. Autonomous Vehicles' Forensics in Smart Cities
CN116318795A (zh) 网络安全防护系统
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
CN114979140A (zh) 基于边缘计算的无人机城市交通管理交互方法、平台及计算机可读介质
CN113992705A (zh) 基于区块链的车联网系统构建方法、装置、设备和介质
CN113468591A (zh) 数据访问方法、系统、电子设备及计算机可读存储介质
CN106254389A (zh) 大数据安全管理方法及系统
CN112069533A (zh) 物联网云平台传输加密系统及其加密方法
CN102546302B (zh) 一种克隆终端设备的检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant