CN112968893B - 一种终端设备的接入控制方法及装置 - Google Patents
一种终端设备的接入控制方法及装置 Download PDFInfo
- Publication number
- CN112968893B CN112968893B CN202110194149.8A CN202110194149A CN112968893B CN 112968893 B CN112968893 B CN 112968893B CN 202110194149 A CN202110194149 A CN 202110194149A CN 112968893 B CN112968893 B CN 112968893B
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- connection
- trust
- node
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种终端设备的接入控制方法及装置,所述方法包括:根据终端设备的连接请求判断所述终端设备是否为新设备;若否,则获取预存的所述终端设备的拒绝接入次数;判断所述拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝所述终端设备的接入;若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;若所述认证信任度在预设第二阈值范围内,则允许所述终端设备接入,否则,拒绝所述终端设备的接入。该方法及装置能够解决现有技术中由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制的问题。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种终端设备的接入控制方法及装置。
背景技术
在通信网络中,网络节点通常需要连接大量的终端设备,终端设备也经常会动态地加入或离开通信网络,当新的终端设备连接(或离开)通信网络时,网络节点需要确保对已注册终端设备的不间断服务,还需要限制或拒绝来自恶意或受损终端设备的服务请求。一旦有恶意终端接入通信网络,可能危害与之连接的网络节点甚至整个通信网络的安全性。
然而,由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种终端设备的接入控制方法及装置,用以解决现有技术中由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制的问题。
第一方面,本发明实施例提供一种终端设备的接入控制方法,应用于区块链网络中的节点,所述方法包括:
根据终端设备的连接请求判断所述终端设备是否为新设备;
若否,则获取预存的所述终端设备的拒绝接入次数;
判断所述拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝所述终端设备的接入;
若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;
若所述认证信任度在预设第二阈值范围内,则允许所述终端设备接入,否则,拒绝所述终端设备的接入。
优选地,所述根据终端设备的连接请求判断所述终端设备是否为新设备,包括:
接收所述终端设备的连接请求,所述连接请求携带所述终端设备的设备信息;
对所述设备信息进行加密;
判断预存的设备信息列表中是否存在加密后的所述设备信息;
若不存在,则判断所述终端设备为新设备,否则,判断所述终端设备不为新设备。
优选地,若判断出所述终端设备为新设备,所述方法还包括:
将加密后的所述设备信息添加至所述设备信息列表中;
将所述终端设备的连接信任度设置为预设的默认值,拒绝接入次数设置为0;
判断区块链网络中是否存在加密后的所述设备信息;
若否,则将加密后的所述设备信息、所述终端设备的连接信任度写入区块链网络中,并允许所述终端设备接入;
若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,并判断所述当前连接的认证信任度是否在所述预设第二阈值范围内,若是,则允许所述终端设备接入,否则,拒绝所述终端设备的接入。
优选地,若允许所述终端设备接入,在所述终端设备接入过程中,所述方法还包括:
基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度;
存储所述当前连接的连接信任度,并将所述当前连接的连接信任度写入区块链网络中。
优选地,所述基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度之前,所述方法还包括:
基于所述终端设备的通信行为中的积极行为和消极行为创建连接信任度模型。
优选地,所述基于所述终端设备的通信行为中的积极行为和消极行为创建连接信任度模型,具体包括:
根据以下公式构建第一信任函数:
根据以下公式构建第二信任函数:
其中,TD(i,j)n-1为终端设备j与节点i第n-1次连接后节点i对终端设备j的连接信任度,n为当前连接次数,且n为大于等于1的正整数,α为终端设备j的通信行为,Pj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为;Nj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,l为设定的正数;
根据所述第一信任函数和第二信任函数构建连接信任度模型,所述连接信任度模型的表达式为:
其中,TD(i,j)n为终端设备j与节点i第n次连接后节点i对终端设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为终端设备j与节点i第n次连接后的预设时长内的通信行为集合。
优选地,在所述基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度的步骤中,所述认证信任度模型符合以下公式:
其中,TR n为终端设备j与节点i进行第n次连接时,节点i对终端设备j的认证信任度,TD(i,j)n-1为节点i内预先存储的终端设备j的第n-1次的连接信任度,TD(k,j)last为节点k内预先存储的终端设备j的最近一次的连接信任度,k为区块链网络中除节点i以外的所有其他节点,Tw为设定的系数。
优选地,所述通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种;
若所述通信行为的取值小于预设的第三阈值,则确定所述通信行为为积极行为,否则为消极行为;和/或,
所述通信行为包括传输速率,若所述通信行为为传输速率且取值大于零,则确定所述通信行为为积极行为,若所述通信行为为传输速率且取值等于零,则确定所述通信行为为消极行为。
优选地,若拒绝所述终端设备的接入,所述方法还包括:
将所述终端设备的所述拒绝接入次数增加1。
第二方面,本发明实施例提供一种终端设备的接入控制装置,设置于区块链网络中的节点,所述装置包括:
第一判断模块,用于根据终端设备的连接请求判断所述终端设备是否为新设备;
第一获取模块,与所述第一判断模块连接,用于在所述第一判断模块判断结果为否时,获取预存的所述终端设备的拒绝接入次数;
第二判断模块,与所述第一获取模块连接,用于判断所述拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝所述终端设备的接入;
第二获取模块,与所述第二判断模块连接,用于在所述第二判断模块判断结果为是时,基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;
接入控制模块,与所述第二获取模块连接,用于若所述认证信任度在预设第二阈值范围内,则允许所述终端设备接入,否则,拒绝所述终端设备的接入。
本发明实施例提供的终端设备的接入控制方法及装置,在有终端设备接入时,节点首先根据终端设备的连接请求判断终端设备是否为新设备,并在终端设备不为新设备时,获取预存的该终端设备的拒绝接入次数,并判断拒绝接入次数是否在预设第一阈值范围内,若否,则代表该终端设备在本次连接之前因有恶意连接请求或恶意通信行为的次数较多,被判断为恶意终端,进而拒绝终端设备的接入;若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,该认证信任度用于判断所述终端设备是否可信,若认证信任度在预设第二阈值范围内,则判断所述终端设备可信并允许终端设备接入,否则,表示该终端设备不可信,进而拒绝终端设备的接入,从而解决了现有技术中由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制的问题。
附图说明
图1:为本发明实施例1的一种终端设备的接入控制方法的流程图;
图2:为本发明实施例2的一种终端设备的接入控制装置的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
实施例1:
本实施例提供一种终端设备的接入控制方法,应用于区块链网络中的节点,如图1所示,该方法包括:
步骤S102:根据终端设备的连接请求判断终端设备是否为新设备。
需要说明的是,本实施例提供的一种终端设备的接入控制方法应用于区块链网络中的节点,该节点可以是雾计算节点、云节点、或边缘计算节点等等,优选为雾计算节点,本实施例以雾计算节点作为示例,各雾计算节点通过区块链网络连接,构成雾计算网络,雾计算网络中的任意一个节点均可以接收终端设备的连接请求,该终端设备也可以通过WiFi(Wireless-Fidelity,无线连接)、ZigBee(也称紫蜂,是一种低速短距离传输的无线网上协议)、蓝牙、315射频和UART(Universal Asynchronous Receiver/Transmitter,通用异步收发传输器)等连接方式向雾计算网络中的任意一个节点发送连接请求。
可选地,根据终端设备的连接请求判断终端设备是否为新设备,可以包括:
接收终端设备的连接请求,连接请求携带终端设备的设备信息;
对设备信息进行加密;
判断预存的设备信息列表中是否存在加密后的设备信息;
若不存在,则判断终端设备为新设备,否则,判断终端设备不为新设备。
在本实施例中,雾计算节点启动运行后,可以先进行初始化,等待终端设备的接入。终端设备向雾计算节点发起连接请求时,该请求中可以携带该终端设备的设备信息,设备信息可以包括唯一设备标识码、设备类型、设备证书信息等等。雾计算节点对该设备信息进行加密,并判断预存的设备信息列表中是否存在加密后的设备信息。若存在,则说明该终端设备曾经接入本节点,不为新设备,否则,为新设备。其中,雾计算节点中事先预存有所有曾经接入到本节点的终端设备的加密后的设备信息。
可选地,若判断出终端设备为新设备,方法还可以包括:
将加密后的设备信息添加至设备信息列表中;
将终端设备的连接信任度设置为预设的默认值,拒绝接入次数设置为0;
判断区块链网络中是否存在加密后的设备信息;
若否,则将加密后的设备信息、终端设备的连接信任度写入区块链网络中,并允许终端设备接入;
若是,则基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度,并判断当前连接的认证信任度是否在预设第二阈值范围内,若是,则允许终端设备接入,否则,拒绝终端设备的接入。
在本实施例中,若终端设备为当前雾计算节点的新设备,当前雾计算节点先存储加密后的设备信息,并在存储器中设置该终端设备的连接信任度为预设的默认值,拒绝接入次数设置为0,并进一步判断该终端设备是否是接入雾计算网络的新设备,即判断区块链网络中是否存在加密后的设备信息,若是,则说明终端设备曾经连入该雾计算网络中的其他雾计算节点,不是雾计算网络的新设备。为了整个通信网络的安全性,当终端设备不是雾计算网络的新设备时,当前雾计算节点基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度,并判断当前连接的认证信任度是否在预设第二阈值范围内,若是,则判断该终端设备可信并允许终端设备接入,否则,表示该终端设备不可信,进而拒绝终端设备的接入。
步骤S104:若否,则获取预存的终端设备的拒绝接入次数;
步骤S106:判断拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝终端设备的接入;
步骤S108:若是,则基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度;
步骤S110:若认证信任度在预设第二阈值范围内,则允许终端设备接入,否则,拒绝终端设备的接入。
在本实施例中,若终端设备不为当前雾计算节点的新设备,则当前雾计算节点获取预先存储的该终端设备的拒绝接入次数,若拒绝接入次数不在预设第一阈值范围内,则代表该终端设备在本次连接之前因有恶意连接请求或恶意通信行为的次数较多,被判断为恶意终端,进而拒绝终端设备的接入;若拒绝接入次数在预设第一阈值范围内,则基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度,该认证信任度用于判断所述终端设备是否可信,若认证信任度在预设第二阈值范围内,则判断所述终端设备可信并允许终端设备接入,否则,表示该终端设备不可信,进而拒绝终端设备的接入。
可选地,若允许终端设备接入,在终端设备接入过程中,方法还包括:
基于预先创建的连接信任度模型计算终端设备当前连接的连接信任度;
存储当前连接的连接信任度,并将当前连接的连接信任度写入区块链网络中。
在本实施例中,认证信任度模型是基于连接信任度模型创建的,当前雾计算节会基于该终端设备上一次连接的连接信任度计算终端设备当前连接的认证信任度,因此,终端设备每一次接入当前雾计算节点,当前雾计算节点均会基于预先创建的连接信任度模型计算终端设备当前连接的连接信任度,并将其存储至本地以及区块链网络中。
可选地,基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度之前,方法还可以包括:
基于终端设备的通信行为中的积极行为和消极行为创建连接信任度模型。
可选地,基于终端设备的通信行为中的积极行为和消极行为创建连接信任度模型,具体包括:
根据以下公式构建第一信任函数:
根据以下公式构建第二信任函数:
其中,TD(i,j)n-1为终端设备j与节点i第n-1次连接后节点i对终端设备j的连接信任度,n为当前连接次数,且n为大于等于1的正整数,α为终端设备j的通信行为,Pj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为;Nj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,l为设定的正数;
根据第一信任函数和第二信任函数构建连接信任度模型,连接信任度模型的表达式为:
其中,TD(i,j)n为终端设备j与节点i第n次连接后节点i对终端设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为终端设备j与节点i第n次连接后的预设时长内的通信行为集合。
在本实施例中,l为正数,可以根据需要事先进行设定,此处不作具体限定。
可选地,在基于预先创建的认证信任度模型计算终端设备当前连接的认证信任度的步骤中,认证信任度模型符合以下公式:
其中,TR n为终端设备j与节点i进行第n次连接时,节点i对终端设备j的认证信任度,TD(i,j)n-1为节点i内预先存储的终端设备j的第n-1次的连接信任度,TD(k,j)last为节点k内预先存储的终端设备j的最近一次的连接信任度,k为区块链网络中除节点i以外的所有其他节点,Tw为设定的系数。
在本实施例中,若仅依靠当前雾计算节点i对终端设备j的连接信任度进行认证信任度评价,可能会因为某一次的网络原因导致连接信任度波动较大,信任评价机制不够稳定,因此需综合考虑其他雾计算节点对终端设备j的连接信任度,本实施例为了认证信任度计算的公平性,选择区块链网络中所有节点的连接信任度来计算终端设备j的认证信任度,保障信任评价机制稳定的同时,兼顾认证信任度计算的公平性。
在本实施例中,Tw可以根据需要进行设定,优选为0~1之间,若其他雾计算节点对终端设备j的认证信任度影响较大,则Tw的取值可以相应增大,若其他雾计算节点对终端设备j的认证信任度影响较小,则Tw的取值可以相应减小,默认可以设置为1。
可选地,通信行为可以包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种;
若通信行为的取值小于预设的第三阈值,则确定通信行为为积极行为,否则为消极行为;和/或,
通信行为包括传输速率,若通信行为为传输速率且取值大于零,则确定通信行为为积极行为,若通信行为为传输速率且取值等于零,则确定通信行为为消极行为。
在本实施例中,若通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种,区别终端设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括:若所述通信行为的取值小于第三阈值时,确定为所述通信行为中的积极行为Pj(α)n,若所述通信行为的取值大于或等于第三阈值时,确定为所述通信行为中的消极行为Nj(α)n,需要说明的是,本实施例中的各阈值可以根据需求自行定义。
在本实施例中,若通信行为包括传输速率,区别终端设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为,具体包括:若所述通信行为的取值大于零,确定为所述通信行为中的积极行为Pj(α)n,若所述通信行为的取值等于零,则确定为所述通信行为中的消极行为Nj(α)n。
在一个具体的实施例中,假设终端设备j与节点i第1次连接,即n=1,此时,连接信任度TD(i,j)0设置为初始值0,当然也可以设置为其他数值。通常,设定通信网络对于任何终端设备的第一次连接请求是允许该终端设备接入网络的。设定本实施例中通信行为包括数据分组丢失率,路由失败率,数据分组错误率,传输速率四种通信行为。且区别通信行为是否为积极行为或消极行为的第二阈值设置示例为:(1)设置数据分组丢失率的第三阈值为20%:则具有小于20%的数据分组丢失率的通信行为为积极行为,大于或等于20%的通信行为为消极行为。(2)设置路由失败率的第三阈值为20%:则具有小于20%的路由失败率的通信行为为积极行为,大于或等于20%的通信行为为消极行为。(3)设置数据分组错误率的第三阈值为20%:则具有小于20%的数据分组错误率的通信行为为积极行为,大于或等于20%的通信行为为消极行为。(4)设置传输速率的阈值为0:则具有大于0的传输速率的通信行为为积极行为,一直保持为0的传输速率的通信行为为消极行为。当终端设备j与节点i第1次连接成功后,统计第一次连接后的预设时长(例如10分钟)内的终端设备j的通信行为。若统计结果为终端设备j的数据分组丢失率为5%,路由失败率为0,数据分组错误率为25%,传输速率为5bps。则根据如上各阈值的设置示例,得出数据分组错误率行为为消极行为,其余三种均为积极行为。设置权值Pw(α)和Nw(α)均为1,且设置l=1,将上述数据代入上述连接信任度模型可得到:
TD(i,j)1=fd(0,5%)*1+fd(0,0)*1+fd(0,5)*1-fd(0,25%)*1
=0+1+0-0=1
即终端设备j与节点i第一次连接成功后的节点i对终端设备j的连接信任度的值为1,节点i存储该第一次连接的连接信任度,并将其写入区块链网络中。一段时间(例如30分钟)后,终端设备j与节点i断开,然后再间隔一段时间(例如10分钟)后,终端设备j向节点i发送第二次连接请求。此时,节点i可根据拒绝接入次数以及基于先计算的终端设备j的第一次连接的连接信任度计算出的本次连接的认证信任度来确定是否允许设备j进行第二次连接,依次类推。
可选地,若拒绝终端设备的接入,方法还可以包括:
将终端设备的拒绝接入次数增加1。
本发明实施例提供的终端设备的接入控制方法,在有终端设备接入时,节点首先根据终端设备的连接请求判断终端设备是否为新设备,并在终端设备不为新设备时,获取预存的该终端设备的拒绝接入次数,并判断拒绝接入次数是否在预设第一阈值范围内,若否,则代表该终端设备在本次连接之前因有恶意连接请求或恶意通信行为的次数较多,被判断为恶意终端,进而拒绝终端设备的接入;若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,该认证信任度用于判断所述终端设备是否可信,若认证信任度在预设第二阈值范围内,则判断所述终端设备可信并允许终端设备接入,否则,表示该终端设备不可信,进而拒绝终端设备的接入,从而解决了现有技术中由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制的问题。
实施例2:
如图2所示,本实施例提供一种终端设备的接入控制装置,设置于区块链网络中的节点,该装置包括:
第一判断模块21,用于根据终端设备的连接请求判断终端设备是否为新设备;
第一获取模块22,与第一判断模块21连接,用于在第一判断模块21判断结果为否时,获取预存的终端设备的拒绝接入次数;
第二判断模块23,与第一获取模块22连接,用于判断拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝终端设备的接入;
第二获取模块24,与第二判断模块23连接,用于在第二判断模块23判断结果为是时,基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;
接入控制模块25,与第二获取模块24连接,用于若认证信任度在预设第二阈值范围内,则允许终端设备接入,否则,拒绝终端设备的接入。
可选地,第一判断模块21可以包括:
接收单元,用于接收终端设备的连接请求,连接请求携带终端设备的设备信息;
加密单元,用于对设备信息进行加密;
判断单元,用于判断预存的设备信息列表中是否存在加密后的设备信息,若不存在,则判断终端设备为新设备,否则,判断终端设备不为新设备。
可选地,该装置还可以包括:
添加模块,用于将加密后的设备信息添加至设备信息列表中;
设置模块,用于将终端设备的连接信任度设置为预设的默认值,拒绝接入次数设置为0;
第三判断模块,用于判断区块链网络中是否存在加密后的设备信息;
第一处理模块,用于若否,则将加密后的设备信息、终端设备的连接信任度写入区块链网络中,并允许终端设备接入;
第二处理模块,用于若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,并判断所述当前连接的认证信任度是否在所述预设第二阈值范围内,若是,则允许终端设备接入,否则,拒绝终端设备的接入。
可选地,该装置还可以包括:
计算模块,用于基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度;
存储模块,用于存储所述当前连接的连接信任度,并将所述当前连接的连接信任度写入区块链网络中。
可选地,该装置还可以包括:
第一模型创建模块,用于基于终端设备的通信行为中的积极行为和消极行为创建连接信任度模型。
可选地,第一模型创建模块还可以包括:
第一函数构建模块,用于根据以下公式构建第一信任函数:
第二函数构建模块,用于根据以下公式构建第二信任函数:
其中,TD(i,j)n-1为终端设备j与节点i第n-1次连接后节点i对终端设备j的连接信任度,n为当前连接次数,且n为大于等于1的正整数,α为终端设备j的通信行为,Pj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为;Nj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,l为设定的正数;
可选地,连接信任度模型的表达式为:
其中,TD(i,j)n为终端设备j与节点i第n次连接后节点i对终端设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为终端设备j与节点i第n次连接后的预设时长内的通信行为集合。
可选地,创建的认证信任度模型符合以下公式:
其中,TR n为终端设备j与节点i进行第n次连接时,节点i对终端设备j的认证信任度,TD(i,j)n-1为节点i内预先存储的终端设备j的第n-1次的连接信任度,TD(k,j)last为节点k内预先存储的终端设备j的最近一次的连接信任度,k为区块链网络中除节点i以外的所有其他节点,Tw为设定的系数。
可选地,通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种;
若通信行为的取值小于预设的第三阈值,则确定通信行为为积极行为,否则为消极行为;和/或,
通信行为包括传输速率,若通信行为为传输速率且取值大于零,则确定通信行为为积极行为,若通信行为为传输速率且取值等于零,则确定通信行为为消极行为。
可选地,装置还可以包括:
拒绝次数增加模块,用于将终端设备的拒绝接入次数增加1。
本实施例提供的一种终端设备的接入控制装置,在有终端设备接入时,节点首先根据终端设备的连接请求判断终端设备是否为新设备,并在终端设备不为新设备时,获取预存的该终端设备的拒绝接入次数,并判断拒绝接入次数是否在预设第一阈值范围内,若否,则代表该终端设备在本次连接之前因有恶意连接请求或恶意通信行为的次数较多,被判断为恶意终端,进而拒绝终端设备的接入;若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,该认证信任度用于判断所述终端设备是否可信,若认证信任度在预设第二阈值范围内,则判断所述终端设备可信并允许终端设备接入,否则,表示该终端设备不可信,进而拒绝终端设备的接入,从而解决了现有技术中由于通信网络连接的终端设备的数量大以及连接设备的稀疏性,致使对有恶意连接请求的终端设备的检测较为困难,且缺乏有效的接入控制方法对有连接请求的设备进行接入控制的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (6)
1.一种终端设备的接入控制方法,其特征在于,应用于区块链网络中的节点,所述方法包括:
根据终端设备的连接请求判断所述终端设备是否为新设备;
若否,则获取预存的所述终端设备的拒绝接入次数;
判断所述拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝所述终端设备的接入;
若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;
若所述认证信任度在预设第二阈值范围内,则允许所述终端设备接入,否则,拒绝所述终端设备的接入;
若允许所述终端设备接入,在所述终端设备接入过程中,所述方法还包括:
基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度;
存储所述当前连接的连接信任度,并将所述当前连接的连接信任度写入区块链网络中;
所述基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度之前,所述方法还包括:
基于所述终端设备的通信行为中的积极行为和消极行为创建连接信任度模型;
所述基于所述终端设备的通信行为中的积极行为和消极行为创建连接信任度模型,具体包括:
根据以下公式构建第一信任函数:
根据以下公式构建第二信任函数:
其中,TD(i,j)n-1为终端设备j与节点i第n-1次连接后节点i对终端设备j的连接信任度,n为当前连接次数,且n为大于等于1的正整数,α为终端设备j的通信行为,Pj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为;Nj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,l为设定的正数;
根据所述第一信任函数和第二信任函数构建连接信任度模型,所述连接信任度模型的表达式为:
其中,TD(i,j)n为终端设备j与节点i第n次连接后节点i对终端设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为终端设备j与节点i第n次连接后的预设时长内的通信行为集合;
在所述基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度的步骤中,所述认证信任度模型符合以下公式:
其中,TR n为终端设备j与节点i进行第n次连接时,节点i对终端设备j的认证信任度,TD(i,j)n-1为节点i内预先存储的终端设备j的第n-1次的连接信任度,TD(k,j)last为节点k内预先存储的终端设备j的最近一次的连接信任度,k为区块链网络中除节点i以外的所有其他节点,Tw为设定的系数。
2.根据权利要求1所述的终端设备的接入控制方法,其特征在于,所述根据终端设备的连接请求判断所述终端设备是否为新设备,包括:
接收所述终端设备的连接请求,所述连接请求携带所述终端设备的设备信息;
对所述设备信息进行加密;
判断预存的设备信息列表中是否存在加密后的所述设备信息;
若不存在,则判断所述终端设备为新设备,否则,判断所述终端设备不为新设备。
3.根据权利要求2所述的终端设备的接入控制方法,其特征在于,若判断出所述终端设备为新设备,所述方法还包括:
将加密后的所述设备信息添加至所述设备信息列表中;
将所述终端设备的连接信任度设置为预设的默认值,拒绝接入次数设置为0;
判断区块链网络中是否存在加密后的所述设备信息;
若否,则将加密后的所述设备信息、所述终端设备的连接信任度写入区块链网络中,并允许所述终端设备接入;
若是,则基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度,并判断所述当前连接的认证信任度是否在所述预设第二阈值范围内,若是,则允许所述终端设备接入,否则,拒绝所述终端设备的接入。
4.根据权利要求1所述的终端设备的接入控制方法,其特征在于,所述通信行为包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种;
若所述通信行为的取值小于预设的第三阈值,则确定所述通信行为为积极行为,否则为消极行为;和/或,
所述通信行为包括传输速率,若所述通信行为为传输速率且取值大于零,则确定所述通信行为为积极行为,若所述通信行为为传输速率且取值等于零,则确定所述通信行为为消极行为。
5.根据权利要求1所述的终端设备的接入控制方法,其特征在于,若拒绝所述终端设备的接入,所述方法还包括:
将所述终端设备的所述拒绝接入次数增加1。
6.一种终端设备的接入控制装置,其特征在于,设置于区块链网络中的节点,所述装置包括:
第一判断模块,用于根据终端设备的连接请求判断所述终端设备是否为新设备;
第一获取模块,与所述第一判断模块连接,用于在所述第一判断模块判断结果为否时,获取预存的所述终端设备的拒绝接入次数;
第二判断模块,与所述第一获取模块连接,用于判断所述拒绝接入次数是否在预设第一阈值范围内,若否,则拒绝所述终端设备的接入;
第二获取模块,与所述第二判断模块连接,用于在所述第二判断模块判断结果为是时,基于预先创建的认证信任度模型计算所述终端设备当前连接的认证信任度;
接入控制模块,与所述第二获取模块连接,用于若所述认证信任度在预设第二阈值范围内,则允许所述终端设备接入,否则,拒绝所述终端设备的接入;
该装置还包括:
计算模块,用于基于预先创建的连接信任度模型计算所述终端设备当前连接的连接信任度;
存储模块,用于存储所述当前连接的连接信任度,并将所述当前连接的连接信任度写入区块链网络中;
该装置还包括:
第一模型创建模块,用于基于终端设备的通信行为中的积极行为和消极行为创建连接信任度模型;
第一模型创建模块还包括:
第一函数构建模块,用于根据以下公式构建第一信任函数:
第二函数构建模块,用于根据以下公式构建第二信任函数:
其中,TD(i,j)n-1为终端设备j与节点i第n-1次连接后节点i对终端设备j的连接信任度,n为当前连接次数,且n为大于等于1的正整数,α为终端设备j的通信行为,Pi(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的积极行为;Nj(α)n为终端设备j与节点i第n次连接后的预设时长内的通信行为中的消极行为,当n=1时,TD(i,j)0为设定的连接信任度初始值,l为设定的正数;
连接信任度模型的表达式为:
其中,TD(i,j)n为终端设备j与节点i第n次连接后节点i对终端设备j的连接信任度,Pw(α)和Nw(α)分别为设定的权值,fd(TD(i,j)n-1,Pj(a)n)为第一信任函数,fd(TD(i,j)n-1,Nj(a)n)为第二信任函数,A为终端设备j与节点i第n次连接后的预设时长内的通信行为集合;
创建的认证信任度模型符合以下公式:
其中,TR n为终端设备j与节点i进行第n次连接时,节点i对终端设备j的认证信任度,TD(i,j)n-1为节点i内预先存储的终端设备j的第n-1次的连接信任度,TD(k,j)last为节点k内预先存储的终端设备j的最近一次的连接信任度,k为区块链网络中除节点i以外的所有其他节点,Tw为设定的系数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110194149.8A CN112968893B (zh) | 2021-02-20 | 2021-02-20 | 一种终端设备的接入控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110194149.8A CN112968893B (zh) | 2021-02-20 | 2021-02-20 | 一种终端设备的接入控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112968893A CN112968893A (zh) | 2021-06-15 |
CN112968893B true CN112968893B (zh) | 2023-05-02 |
Family
ID=76285313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110194149.8A Active CN112968893B (zh) | 2021-02-20 | 2021-02-20 | 一种终端设备的接入控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112968893B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111314348A (zh) * | 2020-02-19 | 2020-06-19 | 中国联合网络通信集团有限公司 | 信任度模型建立、信任评价、设备认证的方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105228145A (zh) * | 2014-06-24 | 2016-01-06 | 中兴通讯股份有限公司 | 无线接入的鉴权方法及装置 |
WO2019104690A1 (zh) * | 2017-11-30 | 2019-06-06 | 深圳前海达闼云端智能科技有限公司 | 移动网络接入认证方法、装置、存储介质及区块链节点 |
US10992677B2 (en) * | 2019-02-18 | 2021-04-27 | Toyota Motor North America, Inc. | Reputation-based device registry |
-
2021
- 2021-02-20 CN CN202110194149.8A patent/CN112968893B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111314348A (zh) * | 2020-02-19 | 2020-06-19 | 中国联合网络通信集团有限公司 | 信任度模型建立、信任评价、设备认证的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112968893A (zh) | 2021-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7751406B2 (en) | Controlling quality of service and access in a packet network based on levels of trust for consumer equipment | |
US11451614B2 (en) | Cloud authenticated offline file sharing | |
KR101361161B1 (ko) | 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법 | |
US20170054732A1 (en) | Methods, media, and systems for securing communications between a first node and a second node | |
KR20190136011A (ko) | 코어 네트워크 액세스 제공자 | |
CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
US10581849B2 (en) | Data packet transmission method, data packet authentication method, and server thereof | |
US11528273B2 (en) | Expended trust for onboarding | |
KR20170104180A (ko) | 전자 장치 및 전자 장치 간의 인증 수행 방법 | |
US20190289433A1 (en) | Mobile device location proofing | |
CN101651697A (zh) | 一种网络访问权限的管理方法和设备 | |
US11765153B2 (en) | Wireless LAN (WLAN) public identity federation trust architecture | |
US9491625B2 (en) | Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof | |
US9374371B2 (en) | Authentication apparatus and method thereof, and computer program | |
CN111314348B (zh) | 信任度模型建立、信任评价、设备认证的方法及装置 | |
US20080168547A1 (en) | Method for provisioning policy on user devices in wired and wireless networks | |
CN113395289A (zh) | 一种认证方法、装置、电子设备及存储介质 | |
CN112968893B (zh) | 一种终端设备的接入控制方法及装置 | |
CN116170806B (zh) | 一种智能电网lwm2m协议安全访问控制方法及系统 | |
CN112929361B (zh) | 设备认证方法、接入节点及计算机可读存储介质 | |
CN114338181B (zh) | 一种保障网络通信可靠的加密传输方法 | |
US9124581B2 (en) | Industrial automation system and method for safeguarding the system | |
CN103118434B (zh) | 动态为用户调配vlan的方法和装置 | |
KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 | |
CN107295015B (zh) | 一种交通信号机通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |