CN116647843A - 一种零信任动态接入认证的方法与系统 - Google Patents

Abstract

本申请属于无线通信技术领域，尤其涉及一种零信任动态接入认证的方法与系统，包括：接收到移动终端的接入请求，记录移动终端的入网信息；为移动终端分配通信时隙；在第3i‑2个周期由节点对移动终端进行一次认证，在第3i‑1个周期由移动终端对节点进行二次认证，在第3i个周期由节点及移动终端配合进行三次认证；三轮认证均通过，从与移动终端通信的前一个节点获取移动终端的通信统计信息；对于第一个全周期，根据所述通信统计信息确定是否允许移动终端接入网络；在后续全周期中，根据前一个全周期的通信统计信息判断是否允许移动终端保持接入状态。本发明应用于移动终端在不同节点切换时的接入认证，通过三轮认证在零信任模式下实现了接入控制。

Description

一种零信任动态接入认证的方法与系统

技术领域

本申请属于无线通信技术领域，尤其涉及一种零信任动态接入认证的方法与系统。

背景技术

通信安全是信息技术中的一个永恒主题，狭义上的通信安全是指防止信息的泄露，保证信息仅在限定的两方或者多方之间传递。

现有技术中解决信息安全基本是建立在双方或者多方互信的基础上的，无论具体的形式是什么，最终都可以追溯到通信的双方或者多方的一个在先约定，换言之，这种解决通信安全的方式根本上是基于双方或者多方的在一个在先信任实现的。在这种模式下，在先约定的机制一旦泄露，整个安全认证的过程将变得极不可靠。零信任机制就是解决上述问题的一种全新理念，这种理念摒弃了通信双方或者多方预先建立信任机制的前提，每一次的验证都是全新且独立的，不存在可以破解每次验证过程的一个特定信息。

在移动式无线通信中，移动终端位置不固定，需要根据当前所在的位置动态接入不同的通信基站。在零信任模式下，通信的双方如何进行接入认证是需要解决的问题。

发明内容

有鉴于此，本申请实施例提供了一种零信任动态接入认证的方法与系统，可以解决移动终端在不同节点之间切换时如何进行有效认证的问题。

本申请实施例的第一方面提供了1.一种零信任动态接入认证的方法，所述零信任动态接入认证的方法包括：

接收到移动终端的接入请求，记录移动终端的入网信息；

为移动终端分配通信时隙；

根据所分配的通信时隙，在第3i-2个周期由节点对移动终端进行一次认证，在第3i-1个周期由移动终端对节点进行二次认证，在第3i个周期由节点及移动终端配合进行三次认证；

三轮认证均通过，从与移动终端通信的前一个节点获取移动终端的通信统计信息；

对于第一个全周期，根据所述通信统计信息确定是否允许移动终端接入网络；

若允许移动终端接入网络，在后续全周期中，根据前一个全周期的通信统计信息判断是否允许移动终端保持接入状态；

其中，每个全周期至少包括一个3i-2周期、一个3i-1周期以及一个3i周期，其中，i为全周期的序数，且i随时间递增。

本申请实施例的第二方面提供了一种零信任动态接入认证的系统，所述零信任动态接入认证的系统包括无线连接的节点以及移动终端；

所述节点用于执行如本发明所述的零信任动态接入认证的方法中节点所执行的步骤；

所述移动终端用于执行如本发明所述的零信任动态接入认证的方法中移动终端所执行的步骤。

本申请实施例与现有技术相比存在的有益效果是：本发明应用于移动终端使用过程中在不同节点之间切换，新切入的节点无法认证切入的移动终端是否合法从而需要重新进行身份验证的问题。本发明基本零信任模式，利用数据传输耗时连续不可突变的特点，不需要借助网络后端(服务器)的协助即可完成节点与移动终端之间的相互认证，方式简单，无需网络后端的资源支持，可用于连接时以及连接后的实时认证。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的零信任动态接入认证的方法的流程框图；

图2是本申请实施例提供的零信任动态接入认证的方法时序图；

图3是本申请实施例提供的零信任动态接入认证系统的结构图；

图4是本申请实施例提供的终端设备的示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

为了说明本申请所述的技术方案，下面通过具体实施例来进行说明。

图1示出了本申请实施例一提供的一种零信任动态接入认证的方法，详述如下：一种零信任动态接入认证的方法，所述零信任动态接入认证的方法包括：

S100，接收到移动终端的接入请求，记录移动终端的入网信息；

S200，为移动终端分配通信时隙；

S300，根据所分配的通信时隙，在第3i-2个周期由节点对移动终端进行一次认证，在第3i-1个周期由移动终端对节点进行二次认证，在第3i个周期由节点及移动终端配合进行三次认证；

S400，三轮认证均通过，从与移动终端通信的前一个节点获取移动终端的通信统计信息；

S500，对于第一个全周期，根据所述通信统计信息确定是否允许移动终端接入网络；

S600，若允许移动终端接入网络，在后续全周期中，根据前一个全周期的通信统计信息判断是否允许移动终端保持接入状态；

其中，每个全周期至少包括一个3i-2周期、一个3i-1周期以及一个3i周期，其中，i为全周期的序数，且i随时间递增。

在本申请中，应用于移动终端移动过程中需要切入不同的节点，即基站时，新接入的节点需要对请求接入的移动终端进行网络登记以及认证。传统的认证需要借助云端服务器，基于服务器上存储的信息对移动终端进行身份校验，而本申请基于零信任模式，借助数据传播时间以及前一个节点已经完成的基本身份校验，实现一次校验长期使用的效果，使得一个节点的身份校验可以具有传递性，理论上只需要移动终端初次接入某个节点时进行一次身份校验，后续通过本申请提供的方案即可以实现一次校验结果的传递，使新接入的节点不再需要从服务器调用数据重新进行校验。

在本申请中，移动终端移动到新位置，进入新节点的覆盖范围，会向新节点发送本移动终端的信息，包括但不限于移动终端的ID，节点接收到移动终端的信息后，会将这些信息保存到存储区，并通知后端网络，后端网络要与该移动终端进行数据交换时，即通过当前节点进行。

在本申请中，对于新接入的移动终端，节点会将一个空闲时隙分配给该移动终端，则节点与移动终端在该时隙内进行通信，可以理解，这里的时隙即通信的窗口期，在通信周期中定时出现，节点与移动终端仅在这个窗口期间进行数据的交换，此属于现有技术的内容，本申请对此不作过多赘述。

在本申请中，区别于一般现有技术，本申请在第1、4、7…个通信窗口期中与，由节点主动对移动终端进行认证，在第2、5、8…个通信窗口期由移动终端对节点进行二次认证，在第3、6、9…个通信窗口期由节点以及移动终端配合共同进行第三论认证，认证的目的是使双方保持相互信任，实际是排除第三方伪装成其中一方，防止数据的泄漏。

在本申请中，由三个连续的通信周期构成一个全周期，所谓全周期是指经过一轮两方三次认证的过程的一个周期，第一全周期时，新节点未建立起对移动终端的数据互信，故需要借助前一个与移动终端通信的节点的通信统计信息对新接入的移动终端进行认证，而后续全周期则可以使用前一个全周期的统计信息判断是否保持移动终端的接入状态。

本申请实施例与现有技术相比存在的有益效果是：本发明应用于移动终端使用过程中在不同节点之间切换，新切入的节点无法认证切入的移动终端是否合法从而需要重新进行身份验证的问题。本发明基本零信任模式，利用数据传输耗时连续不可突变的特点，不需要借助网络后端(服务器)的协助即可完成节点与移动终端之间的相互认证，方式简单，无需网络后端的资源支持，可用于连接时以及连接后的实时认证。

在本申请一个实施例中，所述在第3i-2个周期由节点对移动终端进行一次认证，包括：

在库中随机选取一个数据包；

生成第一随机数，根据生成的第一随机数将所述数据包划分为相应数量的第一子数据包，每个第一子数据包具有不同的数据大小；

采用随机顺序，将所述第一子数据包发送给移动终端，记录第一发送时间；

接收移动终端针对所述第一子数据包返回的回馈数据，读取每个回馈数据上附带的第一接收时间以及第二发送时间，记录接收到回馈数据的第二接收时间；

由所述第一发送时间以及所述第一接收时间确定第一传播时间，由所述第二发送时间以及所述第二接收时间确定第二传播时间；

计算第一传播时间与第二传播时间的偏差率是否小于第一设定阈值，若是，一次认证通过。

在本申请中，为了减少测试用数据生成的不必要计算，数据库中存储了一些专门用于进行认证的数据包，这些数据包的具体内容并不影响认证的结果，但是通常对于这些数据包的大小有一定要求，要求每个数据包均能够在一个通信周期内传输完成，故不可太大；但是为了防止数据太小无法测出准确结果，也不宜过小，优选为每个通信周期可传递最大数据量的80％左右。

在本申请中，例如生成的第一随机数为n，则将选定的数据包划分为n份。

在本申请中，上述描述的是针对一个第一子数据包的过程，即以n＝1为例进行说明；当n不等于1时，上述第一发送时间、第一接收时间、第二发送时间以及第二接收时间均有n个，其中，第一传播时间、第二传播时间均为n个数据包的平均传播时间。在后续实施例中，若非特别说明，本申请均以n＝1为例进行说明，当n不为1时，传播时间均指平均传播时间。

在本申请中，回馈数据包含了第一子数据包，在第一子数据包的基础上还附带了第一接收时间以及第二发送时间，其中，第一接收时间为移动终端接收到第一子数据包的时间，第二发送时间为移动终端将回馈数据发出的时间。

在本申请中，由接收时间与发送时间的时间差可以数据在空中的传播时间。理论上，第一传播时间与第二传播时间应相等，但考虑到移动终端的位置不固定以及周边环境的影响，允许两者存在一定偏差，但该偏差应小于最短传播时间的5％，即第一设定阈值取5％。可以理解，第一传播时间与第二传播时间的偏差率等于两个传播时间的差的绝对值与较小一个传播时间的比值。

在本申请一个实施例中，所述在第3i-1个周期由移动终端对节点进行二次认证，包括：

从已使用数据中选取一个过期数据包；

生成第二随机数，根据生成的第二随机数将所述过期数据包划分为相应数量的第二子数据包，每个第二子数据包具有不同的数据大小；

采用随机顺序，将所述第二子数据包发送给节点，记录第三发送时间；

接收节点针对所述第二子数据包返回的回馈数据，读取每个回馈数据上附带的第三接收时间以及第四发送时间，记录接收到回馈数据的第四接收时间；

由所述第三发送时间以及所述第三接收时间确定第三传播时间，由所述第四发送时间以及所述第四接收时间确定第四传播时间；

计算第三传播时间与第四传播时间的偏差率是否小于第二设定阈值，若是，二次认证通过。

在本申请中，与一次认证不同在于，二次主证的主体是移动终端，即由移动终端对节点进行认证。

在本申请中，过期数据包是移动终端已经使用的数据包，采用这种方式不需要占用移动终端的额外存储，而是用原本存在的数据来测试。在本申请中第二设定阈值可以等于第一设定阈值。

在本申请一个实施例中，所述在第3i个周期由节点及移动终端配合进行三次认证，包括：

节点将两个第一子数据包以及一个第二子数据打包生成第一组合数据包，第一组合数据包中的第一子数据包的数据量占比不小于第一比例阈值；

移动终端将两个第二子数据包以及一个第一子数据打包生成第二组合数据包，第二组合数据包中的第二子数据包的数据量占比不小于第二比例阈值；

在第3i个周期初始时刻，节点将所述第一组合数据包发送给移动终端以进行认证，同时移动终端将所述第二组合数据包发送给节点以进行认证；

双方认证均通过，三次认证通过。

在本申请中，在第一组合数据包中，按照顺序依次是一个第一子数据包、一个第二子数据包以及一个第一子数据包，其中，两个第一子数据包的数据量占比不小于60％；与之类似，在第二组合数据包中，两个第二子数据包的数据量占比不小于60％且一个第一子数据包位于两个第二子数据包之间。

在本申请一个实施例中，所述节点将所述第一组合数据包发送给移动终端以进行认证，包括：

所述节点将所述第一组合数据包发送给移动终端；

移动终端接收到第一组合数据包，记录第五接收时间；

从所述第一组合数据包中获取第五发送时间，由第五发送时间以及第五接收时间得到五传播时间；

计算第五传播时间与第一传播时间的偏差、第五传播时间与第四传播时间的偏差，若所得的两个偏差的偏差小于第三设定阈值，则移动终端一侧认证通过。

在本申请中，在第3i个周期的初始时刻，移动终端将第一组合数据包发送给节点；上述第五发送时间为第一组合数据包从节点发出的时间，记录在第一组合数据中。在本申请中，第三设定阈值应小于2％。

在本申请一个实施例中，所述移动终端将所述第二组合数据包发送给节点以进行认证，包括：

所述移动终端将所述第二组合数据包发送给节点；

节点接收到第二组合数据包，记录第六接收时间；

从所述第二组合数据包中获取第六发送时间，由第六发送时间以及第六接收时间得到六传播时间；

计算第六传播时间与第二传播时间的偏差、第六传播时间与第三传播时间的偏差，若所得的两个偏差的偏差小于第四设定阈值，则节点一侧认证通过。

在本申请中，在第3i个周期的初始时刻，节点将第二组合数据包发送给移动终端；上述第六发送时间为第二组合数据包从移动终端发出的时间，记录在第二组合数据中。在本申请中，第四设定阈值应小于2％。

在本申请一个实施例中，所述通信统计信息包括数据的平均传播时间。

在本申请中，优选地，在移动终端与前一个节点通信的最后若干(如5个或者10个)个周期中，计算所有数据包的收发时间差的平均值可以得到平均传播时间。

在本申请一个实施例中，所述根据所述通信统计信息确定是否允许移动终端接入网络，包括：

计算第一传播时间与第二传播时间的均值得到第一传播均值；

计算第三传播时间与第四传播时间的均值得到第二传播均值；

计算第五传播时间与第六传播时间的均值得到第三传播均值；

由平均传播时间、第一传播均值、第二传播均值以及第三传播均值的连续性判断是否允许移动终端接入网络。

在本申请中，利用传播时间的变化连续性来判断移动终端是否为恒定唯一(未被第三方劫持)。

在本申请一个实施例中，所述由平均传播时间、第一传播均值、第二传播均值以及第三传播均值的连续性判断是否允许移动终端接入网络，包括：

以时间为横轴、传播时间为纵轴生成平面坐标系；

在平面坐标系上生成所述平均传播时间、第一传播均值、第二传播均值以及第三传播均值；

计算相邻两个点的斜率，判断相邻的两个斜率的偏差是否小于第五设定阈值，若是，则允许移动终端接入网络，否则拒绝移动终端接入网络。

在本申请中，任意相邻两个点的横坐标的差值为一个通信周期的时间长度，该值仅会影响斜率的相对值，对于判断连接性没有影响。在本申请中，第五设定阈值优选为计算所得的所有斜率中的最小值的0.1。通过计算传播时间的变化是否速出正常速度，可以判断两个通信端(移动终端和节点)是否存在通信中途被劫持替换的情况，若变化率较大，则可能存在某方被伪装对象替换或者假冒的风险，需要重新进行基本的身份认证过程。本申请提供的方案的整体时序图如图2所示。

如图3所示，本申请还提供了一种零信任动态接入认证的系统，所述零信任动态接入认证的系统包括无线连接的节点以及移动终端；

所述节点用于执行如本申请任意一个或多个实施例所述的零信任动态接入认证的方法中节点所执行的步骤；

所述移动终端用于执行如本申请任意一个或多个实施例所述的零信任动态接入认证的方法中移动终端所执行的步骤。

在本申请中，这里的节点主要是通信基站，而移动终端主要为智能手机一类的可移动的智能终端。图2中示出了移动终端从一个节点(虚线连接)切换到新节点(实线连接)的过程中的状态。在本申请提供的系统分别由节点以及移动终端配合执行本申请提供的方法的对应步骤，可以完成零信任模式下的接入认证。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本申请说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。还应理解的是，虽然术语“第一”、“第二”等在文本中在一些本申请实施例中用来描述各种元素，但是这些元素不应该受到这些术语的限制。这些术语只是用来将一个元素与另一元素区分开。例如，第一表格可以被命名为第二表格，并且类似地，第二表格可以被命名为第一表格，而不背离各种所描述的实施例的范围。第一表格和第二表格都是表格，但是它们不是同一表格。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

本申请实施例提供的零信任动态接入认证的方法可以应用于手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等终端设备上，本申请实施例对终端设备的具体类型不作任何限制。

例如，所述终端设备可以是WLAN中的站点(STAION，ST)，可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol，SIP)电话、无线本地环路(WirelessLocal Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、车联网终端、电脑、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡、电视机顶盒(set top box，STB)、用户驻地设备(customer premise equipment，CPE)和/或用于在无线系统上进行通信的其它设备以及下一代通信系统，例如，5G网络中的移动终端或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)网络中的移动终端等。

作为示例而非限定，当所述终端设备为可穿戴设备时，该可穿戴设备还可以是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称，如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能，如智能手表或智能眼镜等，以及只专注于某一类应用功能，需要和其它设备如智能手机配合使用，如各类进行体征监测的智能手环、智能首饰等。

图4是本申请一实施例提供的终端设备的结构示意图，该终端设备具体可以是移动终端或者节点。如图4所示，该实施例的终端设备4包括：至少一个处理器40(图4中仅示出一个)、存储器41，所述存储器41中存储有可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述各个零信任动态接入认证的方法实施例中的步骤，例如图1所示的步骤S100至S600。或者，所述处理器40执行所述计算机程序42时实现上述各装置实施例中各模块/单元的功能。

所述终端设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括，但不仅限于，处理器40、存储器41。本领域技术人员可以理解，图4仅仅是终端设备4的示例，并不构成对终端设备4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述终端设备还可以包括输入发送设备、网络接入设备、总线等。

所称处理器40可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器41在一些实施例中可以是所述终端设备4的内部存储单元，例如终端设备4的硬盘或内存。所述存储器41也可以是所述终端设备4的外部存储设备，例如所述终端设备4上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(SecureDigital，SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器41还可以既包括所述终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等，例如所述计算机程序的程序代码等。所述存储器31还可以用于暂时地存储已经发送或者将要发送的数据。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本申请实施例还提供了一种终端设备，所述终端设备包括至少一个存储器、至少一个处理器以及存储在所述至少一个存储器中并可在所述至少一个处理器上运行的计算机程序，所述处理器执行所述计算机程序时，使所述终端设备实现上述任意各个方法实施例中的步骤。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。

本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行时实现可实现上述各个方法实施例中的步骤。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、电载波信号、电信信号以及软件分发介质等。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使对应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims (10)

1.一种零信任动态接入认证的方法，其特征在于，所述零信任动态接入认证的方法包括：

接收到移动终端的接入请求，记录移动终端的入网信息；

为移动终端分配通信时隙；

根据所分配的通信时隙，在第3i-2个周期由节点对移动终端进行一次认证，在第3i-1个周期由移动终端对节点进行二次认证，在第3i个周期由节点及移动终端配合进行三次认证；

三轮认证均通过，从与移动终端通信的前一个节点获取移动终端的通信统计信息；

对于第一个全周期，根据所述通信统计信息确定是否允许移动终端接入网络；

若允许移动终端接入网络，在后续全周期中，根据前一个全周期的通信统计信息判断是否允许移动终端保持接入状态；

其中，每个全周期至少包括一个3i-2周期、一个3i-1周期以及一个3i周期，其中，i为全周期的序数，且i随时间递增。

2.如权利要求1所述的零信任动态接入认证的方法，其特征在于，所述在第3i-2个周期由节点对移动终端进行一次认证，包括：

在库中随机选取一个数据包；

生成第一随机数，根据生成的第一随机数将所述数据包划分为相应数量的第一子数据包，每个第一子数据包具有不同的数据大小；

采用随机顺序，将所述第一子数据包发送给移动终端，记录第一发送时间；

接收移动终端针对所述第一子数据包返回的回馈数据，读取每个回馈数据上附带的第一接收时间以及第二发送时间，记录接收到回馈数据的第二接收时间；

由所述第一发送时间以及所述第一接收时间确定第一传播时间，由所述第二发送时间以及所述第二接收时间确定第二传播时间；

计算第一传播时间与第二传播时间的偏差率是否小于第一设定阈值，若是，一次认证通过。

3.如权利要求2所述的零信任动态接入认证的方法，其特征在于，所述在第3i-1个周期由移动终端对节点进行二次认证，包括：

从已使用数据中选取一个过期数据包；

生成第二随机数，根据生成的第二随机数将所述过期数据包划分为相应数量的第二子数据包，每个第二子数据包具有不同的数据大小；

采用随机顺序，将所述第二子数据包发送给节点，记录第三发送时间；

接收节点针对所述第二子数据包返回的回馈数据，读取每个回馈数据上附带的第三接收时间以及第四发送时间，记录接收到回馈数据的第四接收时间；

由所述第三发送时间以及所述第三接收时间确定第三传播时间，由所述第四发送时间以及所述第四接收时间确定第四传播时间；

计算第三传播时间与第四传播时间的偏差率是否小于第二设定阈值，若是，二次认证通过。

4.如权利要求3所述的零信任动态接入认证的方法，其特征在于，所述在第3i个周期由节点及移动终端配合进行三次认证，包括：

节点将两个第一子数据包以及一个第二子数据打包生成第一组合数据包，第一组合数据包中的第一子数据包的数据量占比不小于第一比例阈值；

移动终端将两个第二子数据包以及一个第一子数据打包生成第二组合数据包，第二组合数据包中的第二子数据包的数据量占比不小于第二比例阈值；

在第3i个周期初始时刻，节点将所述第一组合数据包发送给移动终端以进行认证，同时移动终端将所述第二组合数据包发送给节点以进行认证；

双方认证均通过，三次认证通过。

5.如权利要求4所述的零信任动态接入认证的方法，其特征在于，所述节点将所述第一组合数据包发送给移动终端以进行认证，包括：

所述节点将所述第一组合数据包发送给移动终端；

移动终端接收到第一组合数据包，记录第五接收时间；

从所述第一组合数据包中获取第五发送时间，由第五发送时间以及第五接收时间得到五传播时间；

计算第五传播时间与第一传播时间的偏差、第五传播时间与第四传播时间的偏差，若所得的两个偏差的偏差小于第三设定阈值，则移动终端一侧认证通过。

6.如权利要求4所述的零信任动态接入认证的方法，其特征在于，所述移动终端将所述第二组合数据包发送给节点以进行认证，包括：

所述移动终端将所述第二组合数据包发送给节点；

节点接收到第二组合数据包，记录第六接收时间；

从所述第二组合数据包中获取第六发送时间，由第六发送时间以及第六接收时间得到六传播时间；

计算第六传播时间与第二传播时间的偏差、第六传播时间与第三传播时间的偏差，若所得的两个偏差的偏差小于第四设定阈值，则节点一侧认证通过。

7.如权利要求4所述的零信任动态接入认证的方法，其特征在于，所述通信统计信息包括数据的平均传播时间。

8.如权利要求7所述的零信任动态接入认证的方法，其特征在于，所述根据所述通信统计信息确定是否允许移动终端接入网络，包括：

计算第一传播时间与第二传播时间的均值得到第一传播均值；

计算第三传播时间与第四传播时间的均值得到第二传播均值；

计算第五传播时间与第六传播时间的均值得到第三传播均值；

由平均传播时间、第一传播均值、第二传播均值以及第三传播均值的连续性判断是否允许移动终端接入网络。

9.如权利要求8所述的零信任动态接入认证的方法，其特征在于，所述由平均传播时间、第一传播均值、第二传播均值以及第三传播均值的连续性判断是否允许移动终端接入网络，包括：

以时间为横轴、传播时间为纵轴生成平面坐标系；

在平面坐标系上生成所述平均传播时间、第一传播均值、第二传播均值以及第三传播均值；

计算相邻两个点的斜率，判断相邻的两个斜率的偏差是否小于第五设定阈值，若是，则允许移动终端接入网络，否则拒绝移动终端接入网络。

10.一种零信任动态接入认证的系统，其特征在于，所述零信任动态接入认证的系统包括无线连接的节点以及移动终端；

所述节点用于执行如权利要求1-9任意一项所述的零信任动态接入认证的方法中节点所执行的步骤；

所述移动终端用于执行如权利要求1-9任意一项所述的零信任动态接入认证的方法中移动终端所执行的步骤。