CN115766170A - 可信的sdp网络的控制方法、装置、存储介质及电子装置 - Google Patents
可信的sdp网络的控制方法、装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN115766170A CN115766170A CN202211394735.8A CN202211394735A CN115766170A CN 115766170 A CN115766170 A CN 115766170A CN 202211394735 A CN202211394735 A CN 202211394735A CN 115766170 A CN115766170 A CN 115766170A
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- sdp
- control strategy
- tuple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了可信的SDP网络的控制方法、装置、存储介质及电子装置。该方法包括:第一设备基于第一设备信息元组生成请求报文并发送给第二设备;所述第二设备根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。实现设备和中继器的控制策略获取方式,由被动接受方式变成主动拉取方式,可以因需随时随意获取控制策略,效率和灵活性更高;还实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
Description
技术领域
本申请涉及SDP网络领域,具体而言,涉及一种可信的SDP网络的控制方法、装置、存储介质及电子装置。
背景技术
通常电子装置和终端设备主要运行在内部网络中,网络安全主要围绕网络的边界建设,即基于“墙”的边界防护。然而,物理安全边界有天然的局限性,终端设备的物理位置经常动态变化,导致其所处的网络环境也在动态变化,基于零信任理念的新一代网络安全架构应运而生,其打破了传统安全边界,不再默认物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限。
在零信任理念下,网络位置变得不再重要,其完全通过软件来定义安全边界(Software Defined Perimeter,SDP)。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。
在SDP网络中,主要包括了设备(Node)、控制器(Controller)和中继器(Relay)三部分。设备是链接到网络中的各种终端设备,控制器主要用于终端设备索引和设备访问策略控制,中继器主要用于当设备间的直连网络异常时的报文转发。
但是,SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
针对相关技术中SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种可信的SDP网络的控制方法、装置、存储介质及电子装置,以解决SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种可信的SDP网络的控制方法。
根据本申请的可信的SDP网络的控制方法包括:第一设备基于第一设备信息元组生成请求报文并发送给第二设备;所述第二设备根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
进一步的,设备信息元组的配置包括:当设备加入到SDP网络时,设备自主生成设备信息元组,并在SDP控制器网络注册所述设备信息元组;设备索引器记录所述设备信息元组,更新发送端索引,并通过区块链网络全网共识。
进一步的,控制策略器记录所述控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:所述第一设备发送数据报文给所述第二设备;所述第二设备通过控制策略器查询第一控制策略信息元组是否满足预设响应条件;如果满足,则所述第二设备响应所述数据报文。
进一步的,还包括:第一设备基于第一设备信息元组生成请求报文并发送给中继器;所述中继器根据所述请求报文进行核验;如果核验有效,则所述中继器向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组;控制策略器记录所述第二控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
进一步的,所述中继设备信息元组的配置包括:当中继器加入到SDP网络时,设备自主生成中继信息元组,并在SDP控制器网络注册所述中继信息元组;中继索引器记录所述中继信息元组,更新发送端索引,并通过区块链网络全网共识。
进一步的,控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:所述第一设备发送数据报文给所述中继器;所述中继器通过控制策略器查询第二控制策略信息元组是否满足预设响应条件;如果满足,则所述中继器转发所述数据报文给第三设备;所述第三设备通过控制策略器查询第三控制策略信息元组是否满足预设响应条件;如果满足,则所述第三设备响应所述数据报文。
进一步的,所述第三控制策略信息元组为基于第三设备信息元组和第一设备信息元组而获得。
为了实现上述目的,根据本申请的另一方面,提供了一种可信的SDP网络控制装置。
根据本申请的可信的SDP网络控制装置包括:第一设备,用于基于第一设备信息元组生成请求报文并发送给第二设备;第二设备,用于根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器,用于记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
为了实现上述目的,根据本申请的另一方面,提供了一种计算机可读存储介质。
根据本申请的计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述的可信的SDP网络的控制方法。
为了实现上述目的,根据本申请的另一方面,提供了一种电子装置。
根据本申请的电子装置,包括:存储器和处理器,所述存储器中存储有计算机程序,其中,所述处理器被设置为运行所述计算机程序以执行所述的可信的SDP网络的控制方法。
在本申请实施例中,采用区块链技术和SDP网络相结合的方式,通过第一设备基于第一设备信息元组生成请求报文并发送给第二设备;所述第二设备根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识;达到了利用区块链网络实现设备间控制策略的管理的目的,从而实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术效果,进而解决了SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术问题。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的可信的SDP网络的控制方法示意图;
图2是根据本申请实施例的可信的SDP网络的控制装置示意图;
图3是根据本申请优选实施例的可信的SDP网络示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请中,术语“上”、“下”、“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”、“中”、“竖直”、“水平”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系。这些术语主要是为了更好地描述本发明及其实施例,并非用于限定所指示的装置、元件或组成部分必须具有特定方位,或以特定方位进行构造和操作。
并且,上述部分术语除了可以用于表示方位或位置关系以外,还可能用于表示其他含义,例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言,可以根据具体情况理解这些术语在本发明中的具体含义。
此外,术语“安装”、“设置”、“设有”、“连接”、“相连”、“套接”应做广义理解。例如,可以是固定连接,可拆卸连接,或整体式构造;可以是机械连接,或电连接;可以是直接相连,或者是通过中间媒介间接相连,又或者是两个装置、元件或组成部分之间内部的连通。对于本领域普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
根据本发明实施例,提供了一种可信的SDP网络的控制方法,如图1和3所示,该方法包括如下的步骤S101至步骤S104:
步骤S101、第一设备基于第一设备信息元组生成请求报文并发送给第二设备;
步骤S102、所述第二设备根据所述请求报文进行核验;
步骤S103、如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;
步骤S104、控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
使用设备、设备索引器、控制策略器和SDP控制器网络组成可信的SDP网络(区块链网络)。其中,设备索引器用于索引网络中所有的设备;中继索引器用于索引网络中所有的中继器;控制策略器用于控制网络中设备之间的访问控制。
本实施例中,当设备A(第一设备)需要链接到设备B(第二设备)时,由设备A发送请求报文(NodeApubkey,NodeAsign,Reqid)给设备B。其中,NodeApubkey为设备A的公钥,NodeAsign为设备A由其私钥NodeAprikey通过非对称签名算法生成的签名,Reqid为全局唯一的请求报文标识信息。
需要了解的是,第一设备信息元组表示为(NodeAprikey,NodeApubkey,NodeAip,NodeAport),其中,NodeApubkey为设备A的公钥,NodeAprikey为设备A的私钥,NodeAip为设备A对应的NAT网关公网IP地址,NodeAport为由设备A调用外部STUN协议服务获取的公网端口。如此,基于第一设备信息元组可以生成请求报文,为设备间的通信访问控制提供触发条件。同样的,第二设备信息元组可以表示为(NodeBprikey,NodeBpubkey,NodeBip,NodeBport)。
还需要了解的是,第一设备信息元组为预先配置在对应的设备索引器中,通过设备索引器基于第一设备进行对应的索引。
设备B接收到请求报文后,从中提取NodeApubkey和NodeAsign,并且使用NodeApubkey通过非对称验签算法核验NodeAsign的有效性。如果NodeAsign核验有效,则设备B向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组(NodeApubkey,NodeBpubkey,T,Reqid,Type),其中NodeApubkey为设备A的公钥,其中NodeBpubkey为设备B的公钥,T为授权标识,其取值为accepted时表示可以访问,否则不可以访问,Type为node表示是针对设备的控制策略。
控制策略器记录控制策略信息,更新控制策略列表ACL={(NodeApubkey,NodeBpubkey,T,Reqid,Type)},并通过区块链网络全网共识,区块链网络中各个节点拥有全部一致的控制策略列表。
如此,能够构建出包含SDP控制器网络、设备、设备索引器的区块链网络,通过区块链网络去中心化,还通过有效性核验保证策略的不可篡改,从而利用区块链网络实现设备间控制策略的管理,实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
从以上的描述中,可以看出,本发明实现了如下技术效果:
在本申请实施例中,采用区块链技术和SDP网络相结合的方式,通过第一设备基于第一设备信息元组生成请求报文并发送给第二设备;所述第二设备根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识;达到了利用区块链网络实现设备间控制策略的管理的目的,从而实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术效果,进而解决了SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术问题。
根据本发明实施例,优选的,设备信息元组的配置包括:
当设备加入到SDP网络时,设备自主生成设备信息元组,并在SDP控制器网络注册所述设备信息元组;
设备索引器记录所述设备信息元组,更新发送端索引,并通过区块链网络全网共识。
设备信息元组为在设备加入到SDP网络中时,由设备自动生成,再在SDP控制器网络注册设备信息元组;无论是第一设备(设备A)、第二设备(设备B、第三设备(设备C)还是任一设备加入到SDP网络中时都会自动生成对应的设备信息元组。如此,实现了设备信息元组的自动生成,从而利用区块链网络实现设备索引的管理。
根据本发明实施例,优选的,控制策略器记录所述控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述第二设备;
所述第二设备通过控制策略器查询第一控制策略信息元组是否满足预设响应条件;
如果满足,则所述第二设备响应所述数据报文。
当设备A需要链接到设备B时,由设备A发送数据报文,设备B首先通过控制策略器查询第一控制策略信息元组(NodeApubkey,NodeBpubkey,T,Reqid,Type);若存在第一控制策略信息元组,并且T==accepted,Type==node时,设备B响应数据报文。
实现了设备的控制策略获取方式,由被动接受方式变成主动拉取方式,可以因需随时随意获取控制策略,效率和灵活性更高。
根据本发明实施例,优选的,还包括:
第一设备基于第一设备信息元组生成请求报文并发送给中继器;
所述中继器根据所述请求报文进行核验;
如果核验有效,则所述中继器向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组;
控制策略器记录所述第二控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
使用设备、设备索引器、中继器、中继索引器、控制策略器和SDP控制器网络组成可信的SDP网络(区块链网络)。其中,设备索引器用于索引网络中所有的设备;中继索引器用于索引网络中所有的中继器;控制策略器用于控制网络中设备与中继器的访问控制。
本实施例中,当设备A(第一设备)需要链接到中继器时,由设备A发送请求报文给中继器。
中继器A接收到请求报文后,从中提取NodeApubkey和NodeAsign,并且使用NodeApubkey通过非对称验签算法核验NodeAsign的有效性。如果NodeAsign核验有效,则中继器A向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组(NodeApubkey,RelayApubkey,T,Reqid,Type),其中NodeApubkey为设备A的公钥,其中RelayApubkey为中继器A的公钥,T为授权标识,其取值为accepted时表示可以访问,否则不可以访问,Type为relay表示是针对中继器的控制策略。
控制策略器记录控制策略信息,更新控制策略列表ACL={(NodeApubkey,RelayApubkey,T,Reqid,Type)},并通过区块链网络全网共识,区块链网络中各个节点拥有全部一致的控制策略列表。
需要了解的是,中继设备信息元组为预先配置在对应的中继索引器中,通中通过索引器基于中继器A进行对应的索引。
如此,能够构建出包含SDP控制器网络、设备、设备索引器、中继器、中继索引器的区块链网络,通过区块链网络去中心化,还通过有效性核验保证策略的不可篡改,从而利用区块链网络实现设备和中继器间控制策略的管理,实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
根据本发明实施例,优选的,所述中继设备信息元组的配置包括:
当中继器加入到SDP网络时,设备自主生成中继信息元组,并在SDP控制器网络注册所述中继信息元组;
中继索引器记录所述中继信息元组,更新发送端索引,并通过区块链网络全网共识。
中继信息元组为在设备加入到SDP网络中时,由中继器自动生成,再在SDP控制器网络注册中继信息元组;无论是中继器A、中继器B,还是任一设备加入到SDP网络中时都会自动生成对应的中继信息元组。如此,实现了中继信息元组的自动生成,从而利用区块链网络实现中继索引的管理。
根据本发明实施例,优选的,控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述中继器;
所述中继器通过控制策略器查询第二控制策略信息元组是否满足预设响应条件;
如果满足,则所述中继器转发所述数据报文给第三设备;
所述第三设备通过控制策略器查询第三控制策略信息元组是否满足预设响应条件;
如果满足,则所述第三设备响应所述数据报文。
当设备A需要通过中继器A链接到设备C(第三设备)时,由设备A发送数据报文,中继器A首先通过控制策略器查询第二控制策略信息元组(NodeApubkey,RelayApubkey,T,Reqid,Type);若存在第二控制策略信息元组,并且T==accepted,Type==relay时,中继器A转发数据报文给设备C。
设备C首先通过控制策略器查询第三控制策略信息元组(NodeApubkey,NodeCpubkey,T,Reqid,Type);若存在第三控制策略信息元组,并且T==accepted,Type==node时,设备C响应数据报文。优选的,所述第三控制策略信息元组为基于第三设备信息元组和第一设备信息元组而获得。
实现了中继器的控制策略获取方式,由被动接受方式变成主动拉取方式,可以因需随时随意获取控制策略,效率和灵活性更高。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,还提供了一种用于实施上述可信的SDP网络的控制方的装置,如图2和3所示,该装置包括:
第一设备10,用于基于第一设备信息元组生成请求报文并发送给第二设备;
第二设备20,用于根据所述请求报文进行核验;
如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;
控制策略器30,用于记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
使用设备、设备索引器、控制策略器和SDP控制器网络组成可信的SDP网络(区块链网络)。其中,设备索引器用于索引网络中所有的设备;中继索引器用于索引网络中所有的中继器;控制策略器用于控制网络中设备之间的访问控制。
本实施例中,当设备A(第一设备)需要链接到设备B(第二设备)时,由设备A发送请求报文(NodeApubkey,NodeAsign,Reqid)给设备B。其中,NodeApubkey为设备A的公钥,NodeAsign为设备A由其私钥NodeAprikey通过非对称签名算法生成的签名,Reqid为全局唯一的请求报文标识信息。
需要了解的是,第一设备信息元组表示为(NodeAprikey,NodeApubkey,NodeAip,NodeAport),其中,NodeApubkey为设备A的公钥,NodeAprikey为设备A的私钥,NodeAip为设备A对应的NAT网关公网IP地址,NodeAport为由设备A调用外部STUN协议服务获取的公网端口。如此,基于第一设备信息元组可以生成请求报文,为设备间的通信访问控制提供触发条件。同样的,第二设备信息元组可以表示为(NodeBprikey,NodeBpubkey,NodeBip,NodeBport)。
还需要了解的是,第一设备信息元组为预先配置在对应的设备索引器中,通过设备索引器基于第一设备进行对应的索引。
设备B接收到请求报文后,从中提取NodeApubkey和NodeAsign,并且使用NodeApubkey通过非对称验签算法核验NodeAsign的有效性。如果NodeAsign核验有效,则设备B向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组(NodeApubkey,NodeBpubkey,T,Reqid,Type),其中NodeApubkey为设备A的公钥,其中NodeBpubkey为设备B的公钥,T为授权标识,其取值为accepted时表示可以访问,否则不可以访问,Type为node表示是针对设备的控制策略。
控制策略器记录控制策略信息,更新控制策略列表ACL={(NodeApubkey,NodeBpubkey,T,Reqid,Type)},并通过区块链网络全网共识,区块链网络中各个节点拥有全部一致的控制策略列表。
如此,能够构建出包含SDP控制器网络、设备、设备索引器的区块链网络,通过区块链网络去中心化,还通过有效性核验保证策略的不可篡改,从而利用区块链网络实现设备间控制策略的管理,实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
从以上的描述中,可以看出,本发明实现了如下技术效果:
在本申请实施例中,采用区块链技术和SDP网络相结合的方式,通过第一设备基于第一设备信息元组生成请求报文并发送给第二设备;所述第二设备根据所述请求报文进行核验;如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识;达到了利用区块链网络实现设备间控制策略的管理的目的,从而实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术效果,进而解决了SDP控制器单点故障容易导致整个SDP网络瘫痪,而且不可避免中心化的SDP控制器恶意任意增加设备间的访问权限策略的技术问题。
根据本发明实施例,优选的,设备信息元组的配置包括:
当设备加入到SDP网络时,设备自主生成设备信息元组,并在SDP控制器网络注册所述设备信息元组;
设备索引器记录所述设备信息元组,更新发送端索引,并通过区块链网络全网共识。
设备信息元组为在设备加入到SDP网络中时,由设备自动生成,再在SDP控制器网络注册设备信息元组;无论是第一设备(设备A)、第二设备(设备B、第三设备(设备C)还是任一设备加入到SDP网络中时都会自动生成对应的设备信息元组。如此,实现了设备信息元组的自动生成,从而利用区块链网络实现设备索引的管理。
根据本发明实施例,优选的,控制策略器记录所述控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述第二设备;
所述第二设备通过控制策略器查询第一控制策略信息元组是否满足预设响应条件;
如果满足,则所述第二设备响应所述数据报文。
当设备A需要链接到设备B时,由设备A发送数据报文,设备B首先通过控制策略器查询第一控制策略信息元组(NodeApubkey,NodeBpubkey,T,Reqid,Type);若存在第一控制策略信息元组,并且T==accepted,Type==node时,设备B响应数据报文。
实现了设备的控制策略获取方式,由被动接受方式变成主动拉取方式,可以因需随时随意获取控制策略,效率和灵活性更高。
根据本发明实施例,优选的,还包括:
第一设备基于第一设备信息元组生成请求报文并发送给中继器;
所述中继器根据所述请求报文进行核验;
如果核验有效,则所述中继器向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组;
控制策略器记录所述第二控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
使用设备、设备索引器、中继器、中继索引器、控制策略器和SDP控制器网络组成可信的SDP网络(区块链网络)。其中,设备索引器用于索引网络中所有的设备;中继索引器用于索引网络中所有的中继器;控制策略器用于控制网络中设备与中继器的访问控制。
本实施例中,当设备A(第一设备)需要链接到中继器时,由设备A发送请求报文给中继器。
中继器A接收到请求报文后,从中提取NodeApubkey和NodeAsign,并且使用NodeApubkey通过非对称验签算法核验NodeAsign的有效性。如果NodeAsign核验有效,则中继器A向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组(NodeApubkey,RelayApubkey,T,Reqid,Type),其中NodeApubkey为设备A的公钥,其中RelayApubkey为中继器A的公钥,T为授权标识,其取值为accepted时表示可以访问,否则不可以访问,Type为relay表示是针对中继器的控制策略。
控制策略器记录控制策略信息,更新控制策略列表ACL={(NodeApubkey,RelayApubkey,T,Reqid,Type)},并通过区块链网络全网共识,区块链网络中各个节点拥有全部一致的控制策略列表。
需要了解的是,中继设备信息元组为预先配置在对应的中继索引器中,通中通过索引器基于中继器A进行对应的索引。
如此,能够构建出包含SDP控制器网络、设备、设备索引器、中继器、中继索引器的区块链网络,通过区块链网络去中心化,还通过有效性核验保证策略的不可篡改,从而利用区块链网络实现设备和中继器间控制策略的管理,实现了SDP控制器单点故障不会影响整个SDP网络工作,而且有效避免中心化的SDP控制器恶意任意增加设备间的访问权限策略。
根据本发明实施例,优选的,所述中继设备信息元组的配置包括:
当中继器加入到SDP网络时,设备自主生成中继信息元组,并在SDP控制器网络注册所述中继信息元组;
中继索引器记录所述中继信息元组,更新发送端索引,并通过区块链网络全网共识。
中继信息元组为在设备加入到SDP网络中时,由中继器自动生成,再在SDP控制器网络注册中继信息元组;无论是中继器A、中继器B,还是任一设备加入到SDP网络中时都会自动生成对应的中继信息元组。如此,实现了中继信息元组的自动生成,从而利用区块链网络实现中继索引的管理。
根据本发明实施例,优选的,控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述中继器;
所述中继器通过控制策略器查询第二控制策略信息元组是否满足预设响应条件;
如果满足,则所述中继器转发所述数据报文给第三设备;
所述第三设备通过控制策略器查询第三控制策略信息元组是否满足预设响应条件;
如果满足,则所述第三设备响应所述数据报文。
当设备A需要通过中继器A链接到设备C(第三设备)时,由设备A发送数据报文,中继器A首先通过控制策略器查询第二控制策略信息元组(NodeApubkey,RelayApubkey,T,Reqid,Type);若存在第二控制策略信息元组,并且T==accepted,Type==relay时,中继器A转发数据报文给设备C。
设备C首先通过控制策略器查询第三控制策略信息元组(NodeApubkey,NodeCpubkey,T,Reqid,Type);若存在第三控制策略信息元组,并且T==accepted,Type==node时,设备C响应数据报文。优选的,所述第三控制策略信息元组为基于第三设备信息元组和第一设备信息元组而获得。
实现了中继器的控制策略获取方式,由被动接受方式变成主动拉取方式,可以因需随时随意获取控制策略,效率和灵活性更高。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种可信的SDP网络的控制方法,其特征在于,包括以下步骤:
第一设备基于第一设备信息元组生成请求报文并发送给第二设备;
所述第二设备根据所述请求报文进行核验;
如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;
控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
2.根据权利要求1所述的可信的SDP网络的控制方法,其特征在于,设备信息元组的配置包括:
当设备加入到SDP网络时,设备自主生成设备信息元组,并在SDP控制器网络注册所述设备信息元组;
设备索引器记录所述设备信息元组,更新发送端索引,并通过区块链网络全网共识。
3.根据权利要求1所述的可信的SDP网络的控制方法,其特征在于,控制策略器记录所述控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述第二设备;
所述第二设备通过控制策略器查询第一控制策略信息元组是否满足预设响应条件;
如果满足,则所述第二设备响应所述数据报文。
4.根据权利要求1所述的可信的SDP网络的控制方法,其特征在于,还包括:
第一设备基于第一设备信息元组生成请求报文并发送给中继器;
所述中继器根据所述请求报文进行核验;
如果核验有效,则所述中继器向SDP控制器网络发送基于第一设备信息元组和中继设备信息元组生成的第二控制策略信息元组;
控制策略器记录所述第二控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
5.根据权利要求4所述的可信的SDP网络的控制方法,其特征在于,所述中继设备信息元组的配置包括:
当中继器加入到SDP网络时,设备自主生成中继信息元组,并在SDP控制器网络注册所述中继信息元组;
中继索引器记录所述中继信息元组,更新发送端索引,并通过区块链网络全网共识。
6.根据权利要求4所述的可信的SDP网络的控制方法,其特征在于,控制策略器记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识之后还包括:
所述第一设备发送数据报文给所述中继器;
所述中继器通过控制策略器查询第二控制策略信息元组是否满足预设响应条件;
如果满足,则所述中继器转发所述数据报文给第三设备;
所述第三设备通过控制策略器查询第三控制策略信息元组是否满足预设响应条件;
如果满足,则所述第三设备响应所述数据报文。
7.根据权利要求6所述的可信的SDP网络的控制方法,其特征在于,所述第三控制策略信息元组为基于第三设备信息元组和第一设备信息元组而获得。
8.一种可信的SDP网络控制装置,其特征在于,包括:
第一设备,用于基于第一设备信息元组生成请求报文并发送给第二设备;
第二设备,用于根据所述请求报文进行核验;
如果核验有效,则所述第二设备向SDP控制器网络发送基于第一设备信息元组和第二设备信息元组生成的第一控制策略信息元组;
控制策略器,用于记录所述第一控制策略信息元组,更新控制策略列表,并通过区块链网络全网共识。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7中任一项所述的可信的SDP网络的控制方法。
10.一种电子装置,包括:存储器和处理器,其特征在于,所述存储器中存储有计算机程序,其中,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7中任一项所述的可信的SDP网络的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211394735.8A CN115766170B (zh) | 2022-11-08 | 2022-11-08 | 可信的sdp网络的控制方法、装置、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211394735.8A CN115766170B (zh) | 2022-11-08 | 2022-11-08 | 可信的sdp网络的控制方法、装置、存储介质及电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115766170A true CN115766170A (zh) | 2023-03-07 |
| CN115766170B CN115766170B (zh) | 2023-09-26 |
Family
ID=85368611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211394735.8A Active CN115766170B (zh) | 2022-11-08 | 2022-11-08 | 可信的sdp网络的控制方法、装置、存储介质及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115766170B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116388962A (zh) * | 2023-06-05 | 2023-07-04 | 敏于行(北京)科技有限公司 | 区块链网络节点间的通信方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| US20210176251A1 (en) * | 2017-05-30 | 2021-06-10 | Siemens Aktiengesellschaft | Access Control Method and Industrial Network Using a Blockchain for Access Control |
| CN113542117A (zh) * | 2021-07-09 | 2021-10-22 | 重庆邮电大学 | 一种基于分层区块链的物联网设备资源访问控制方法 |
| WO2022143898A1 (zh) * | 2021-01-04 | 2022-07-07 | 中国移动通信有限公司研究院 | 基于区块链的sdp访问控制方法及装置 |
| CN114764492A (zh) * | 2021-01-04 | 2022-07-19 | 中国移动通信有限公司研究院 | 基于区块链的sdp访问控制方法及系统 |
-
2022
- 2022-11-08 CN CN202211394735.8A patent/CN115766170B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210176251A1 (en) * | 2017-05-30 | 2021-06-10 | Siemens Aktiengesellschaft | Access Control Method and Industrial Network Using a Blockchain for Access Control |
| CN112688927A (zh) * | 2020-12-18 | 2021-04-20 | 重庆大学 | 一种基于区块链的分布式访问控制方法 |
| WO2022143898A1 (zh) * | 2021-01-04 | 2022-07-07 | 中国移动通信有限公司研究院 | 基于区块链的sdp访问控制方法及装置 |
| CN114764492A (zh) * | 2021-01-04 | 2022-07-19 | 中国移动通信有限公司研究院 | 基于区块链的sdp访问控制方法及系统 |
| CN113542117A (zh) * | 2021-07-09 | 2021-10-22 | 重庆邮电大学 | 一种基于分层区块链的物联网设备资源访问控制方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116388962A (zh) * | 2023-06-05 | 2023-07-04 | 敏于行(北京)科技有限公司 | 区块链网络节点间的通信方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115766170B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135829B2 (en) | System and method for secure machine-to-machine communications | |
| US7676836B2 (en) | Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system | |
| CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
| CN108234677B (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
| US20090109970A1 (en) | Network system, network management server, and access filter reconfiguration method | |
| CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| Azzouni et al. | sOFTDP: Secure and efficient topology discovery protocol for SDN | |
| JP2013041370A (ja) | エネルギー管理装置および電力管理システム | |
| CN101345743A (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| Azzouni et al. | sOFTDP: Secure and efficient OpenFlow topology discovery protocol | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| CN104378456A (zh) | 一种局域网中ip地址分配优化方法 | |
| CN115766170B (zh) | 可信的sdp网络的控制方法、装置、存储介质及电子装置 | |
| US20140082693A1 (en) | Updating security bindings in a network device | |
| Kent | Securing the border gateway protocol: A status update | |
| CN112511439B (zh) | 数据转发方法、装置、设备及计算机可读存储介质 | |
| JP2013034096A (ja) | アクセス制御システム、端末装置、中継装置及びアクセス制御方法 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| CN104717316A (zh) | 一种跨nat环境下客户端接入方法和系统 | |
| KR101747032B1 (ko) | 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법 | |
| Liu | Integrating security and privacy protection into a mobility-centric internet architecture | |
| CN114710365B (zh) | 一种内网环境建立方法、电子设备和存储介质 | |
| Kumar et al. | Implementing geo-blocking and spoofing protection in multi-domain software defined interconnects | |
| AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |