CN117459321B - 一种端到端可信通信方法及系统 - Google Patents

一种端到端可信通信方法及系统 Download PDF

Info

Publication number
CN117459321B
CN117459321B CN202311767386.4A CN202311767386A CN117459321B CN 117459321 B CN117459321 B CN 117459321B CN 202311767386 A CN202311767386 A CN 202311767386A CN 117459321 B CN117459321 B CN 117459321B
Authority
CN
China
Prior art keywords
trust
terminal
evaluation
communication
management unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311767386.4A
Other languages
English (en)
Other versions
CN117459321A (zh
Inventor
蒋驰
马帅
李国风
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mingyang Dianshi Technology Shenyang Co ltd
Original Assignee
Mingyang Dianshi Technology Shenyang Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mingyang Dianshi Technology Shenyang Co ltd filed Critical Mingyang Dianshi Technology Shenyang Co ltd
Priority to CN202311767386.4A priority Critical patent/CN117459321B/zh
Publication of CN117459321A publication Critical patent/CN117459321A/zh
Application granted granted Critical
Publication of CN117459321B publication Critical patent/CN117459321B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种端到端可信通信方法及系统,其中,所述系统包括信任度评价单元、策略管理单元和标识管理单元;信任度评价单元与策略管理单元通信连接,策略管理单元与标识管理单元通信连接,策略管理单元和标识管理单元分别与第一终端和第二终端通信连接,第一终端和第二终端中均内置有用于生成可信通信标识的标识生成单元。本发明可实现用户/终端在信任程度动态变化情况下的实时可信通信,并保证通信的真实性、安全性和私密性。

Description

一种端到端可信通信方法及系统
技术领域
本发明涉及网络通信技术领域,具体地说是一种端到端可信通信方法及系统。
背景技术
IP地址既标志着主机在网络中的位置同时又标识着主机的身份,对移动节点(无论任何因为导致IP地址变化)及其安全性有严重限制:在不中断传输层连接的情况下,直接更改主机地址是不可能的;互联网上没有一致且可信任的匿名或隐私;缺乏对数据报和系统的正确身份验证导致IP欺骗。
随着智能设备的不断出现和无线通信技术的快速发展,IP地址代表“身份”和“位置”的双重属性阻碍了终端移动便利性,也为网络安全带来巨大的隐患。
在两个终端通过IP密码标识实现可信通信之后,当终端访问权限变化、业务需求变化、网络环境变化等引起信任关系的动态变化出现时,两个终端需要重新建立信任关系并实现可信通信,而如何在引起信任关系的动态变化出现时确保两个终端能够方便快捷地建立信任关系并实现可信通信成为人们所关注的一个问题。
发明内容
为此,本发明所要解决的技术问题在于提供一种端到端可信通信方法及系统,可实现用户/终端在信任程度动态变化情况下的实时可信通信,并保证通信的真实性、安全性和私密性。
为解决上述技术问题,本发明提供如下技术方案:
一种端到端可信通信方法,在同一个信任域内,因第一终端的信任度发生变化而无法再与第二终端进行直接可信通信时,通过如下步骤实现第一终端与第二终端之间的可信通信:
S100)第一终端向端到端可信通信管理系统发送与第二终端可信通信请求;
S200)端到端可信通信管理系统根据可信通信请求由端到端可信通信管理系统中的信任度评价单元对第一终端进行信任度评价;
S300)端到端可信通信管理系统的策略管理单元根据信任度评价单元对第一终端的信任度评价结果进行如下操作:当第一终端的信任度评价结果满足继续可信通信的要求,则由策略管理单元确定通信策略和策略规则,并由策略管理单元将确定的通信策略分别下发至第一终端和第二终端,由策略管理单元将策略规则下发至端到端可信通信管理系统的标识管理单元,然后跳转至S400)继续执行,反之,则拒绝可信通信请求;
S400)由标识管理单元根据策略规则将标识生成规则分别下发至第一终端和第二终端;
S500)由第一终端中的标识生成单元和第二终端中的标识生成单元分别根据标识生成规则分别生成第一可信通信标识和第二可信通信标识;
S600)第一终端和第二终端基于通信策略、第一可信通信标识和第二可信通信标识建立可信通信。
上述方法,在步骤S200)中,可信通信管理系统中的信任度评价单元通过如下步骤对第一终端进行信任度评价:
S201)数据采集模块采集与第一设备相关的信任度评价用数据信息并将采集到的信任度评价用数据发送至数据处理模块进行处理,其中,信任度评价用数据信息包括已有信息数据和实时信息数据,已有数据包括终端设备信息、网络状态信息、安全威胁信息、历史活动信息、数据变化信息和信任度评价单元记录信息;
S202)数据处理模块对接收到的信任度评价用数据信息进行数据处理并将处理后的信任度评价用数据信息分别发送至监测分析模块和信任度评价模块,其中,数据处理包括数据清洗、数据归类和数据整合;
S203)监测分析模块对接收到的信任度评价用数据信息进行监测分析并给出监测分析报告,且将监测分析报告分别发送至信任度评价模块和策略管理单元;
S204)信任度评价模块根据信任度评价用数据信息和监测分析报告对第一终端的信任度进行评价并得出信任度评价报告,且信任度评价报告发送至策略管理单元。
上述方法,在步骤S204)中,信任度评价模块通过内置的信任函数对第一终端当前信任度进行评价,其中,信任函数定义如下:
式中,B为第一终端当前信任度,Fi(x)为当前评价时刻信任度影响因子函数值,n为信任度影响因子的数量,x为第i种信任度影响因子对当前信任度B的影响值;
其中,Fi(x)包括安全类影响因子函数值和威胁类影响因子函数值,/>和/>通过下列算式计算得到:
式中,为第/>种安全类影响因子的阈值,/>为第/>种威胁类影响因子的阈值,的取值范围和/>的取值范围均为[0,1]。
上述方法,当第一终端多次因信任度发生变化而无法再与第二终端进行直接可信通信时,对第一终端进行信任度评价时,通过下式计算第一终端的当前综合信任度:
式中,为第一终端当前综合信任度,/>为第一终端历史信任度综值,/>为第一终端当前信任度,a%为/>在/>中所占的百分比,b%为/>在/>中所占的百分比,a%与b%之和为100%;
其中,和/>通过下列算式计算得到:
式中,为第j次历史信任度在/>中的权重,/>为第j次历史信任度对当前信任度的时间衰减度,m为历史信任度评价次数;
其中,时间衰减度通过下式计算得到:
式中,为当前信任度评价时刻/>与第j次历史信任度评价时刻/>之间的时间间隔,e为自然常数,λ为历史信任度衰减速度。
上述方法,接收到监测分析报告和信任度评价报告后,策略管理单元对监测分析报告和信任度评价报告进行综合分析并结合模块化分类与选择的策略生成因素生成策略规则链,其中,策略规则链由多个策略规则按照一定的顺序组合而成的策略规则组合。
上述方法,策略管理单元下发至第一终端和第二终端的通信策略具有时效性,当第一终端和第二终端之间的可信通信时间超过通信策略的有效期,第一终端或/和第二终端需要重新进行信任度评价。
一种端到端可信通信管理系统,利用上述端到端可信通信方法实现两个终端再次通信,所述系统包括信任度评价单元、策略管理单元和标识管理单元;信任度评价单元与策略管理单元通信连接,策略管理单元与标识管理单元通信连接,策略管理单元和标识管理单元分别与第一终端和第二终端通信连接,第一终端和第二终端中均内置有用于生成可信通信标识的标识生成单元。
上述系统,信任度评价单元内设置有数据采集模块、数据处理模块、监测分析模块和信任度评价模块,数据采集模块与数据处理模块通信连接,数据处理模块分别与监测分析模块和信任度评价模块通信连接,监测分析模块分别与信任度评价模块和策略管理单元通信连接,信任度评价模块与策略管理单元通信连接。
上述系统,信任度评价模块内置有用于对终端当前信任度进行评价的信任函数,其中,信任函数定义如下:
式中,B为第一终端当前信任度,Fi(x)为当前评价时刻信任度影响因子函数值,n为信任度影响因子的数量,x为第i种信任度影响因子对当前信任度B的影响值;
其中,Fi(x)包括安全类影响因子函数值和威胁类影响因子函数值,/>和/>通过下列算式计算得到:
式中,为第/>种安全类影响因子的阈值,/>为第/>种威胁类影响因子的阈值,的取值范围和/>的取值范围均为[0,1]。
上述系统,所述系统与终端基于安全交互机制进行通信,安全交互机制包括特定交互协议、有效交互凭证和动态交互口令。
本发明的技术方案取得了如下有益的技术效果:
1.本发明可实现用户/终端在信任程度动态变化情况下的实时可信通信,并保证通信的真实性、安全性和私密性。
2.本发明提出了信任关系模型,实现可变信任-可变策略-可变标识-可信通信的动态关系的自动化建立过程,满足在当前5G、云等新兴应用场景下,实时保障访问权限变化、业务需求变化、网络环境变化等情况下的安全通信。
3.本发明提出了一种基于历史评价和时间变化的信任函数,用于评价信任影响因素在动态变化情况下的定量信任评价方法,客观准确分析当前访问端的信任程度水平,并依此评价得分自动关联信任策略规则。
4.本发明提出的动态信任策略机制可以根据终端/用户信息、历史活动、环境因素等多个变量影响信任程度和授权请求的结果,从而大大提高了网络的安全性,通过这些机制的会话比没有通过的会话更值得信任。基于上述机制,我们可以适当减少基于用户对于身份验证方法的依赖,以获得访问资源所需的信任,从而改善整体用户体验。
附图说明
图1为本发明中端到端可信通信管理系统的工作原理图;
图2为本发明中实现端到端可信通信的流程示意图;
图3为本发明中对终端进行信任度评价的流程示意图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,本发明端到端可信通信管理系统,包括信任度评价单元、策略管理单元和标识管理单元;信任度评价单元与策略管理单元通信连接,策略管理单元与标识管理单元通信连接,策略管理单元和标识管理单元分别与第一终端和第二终端通信连接,第一终端和第二终端中均内置有用于生成可信通信标识的标识生成单元。
其中,信任度评价单元内设置有数据采集模块、数据处理模块、监测分析模块和信任度评价模块,数据采集模块与数据处理模块通信连接,数据处理模块分别与监测分析模块和信任度评价模块通信连接,监测分析模块分别与信任度评价模块和策略管理单元通信连接,信任度评价模块与策略管理单元通信连接。
本实施例中,信任度评价模块内置有用于对终端当前信任度进行评价的信任函数,其中,信任函数定义如下:
式中,B为第一终端当前信任度,Fi(x)为当前评价时刻信任度影响因子函数值,n为信任度影响因子的数量,x为第i种信任度影响因子对当前信任度B的影响值;
其中,信任影响因子用来表征某事项对信任的影响程度,信任影响因子越大,表明该事项对信任值的影响越大;反之,该事项对信任值的影响越小,本实施例中,Fi(x)包括安全类影响因子函数值和威胁类影响因子函数值/>,/>和/>通过下列算式计算得到:
式中,为第/>种安全类影响因子的阈值,/>为第/>种威胁类影响因子的阈值,/>的值可以根据实际情况进行设定,/>的取值范围和/>的取值范围均为[0,1]。
鉴于第一终端与第二终端之间的可信通信存在多次因为起信任关系的动态变化出现而发生中断的情况,仅依靠单次的信任度评价作为建立第一终端与第二终端之间的信任关系存在一定程度上的偏差,为此,需要综合考虑历史评价情况,并最终得出受评者的当前综合信任度,故而,在对受评者的信任度进行评价时引入历史信任度综值,并计算每一次历史信任度在历史信任度综值中所占的权重,然后再结合受评者当前的信任度计算得出受评者的当前综合信任度。
本实施例中,第一终端的当前综合信任度可以通过下式计算得到:
式中,为第一终端当前综合信任度,/>为第一终端历史信任度综值,/>为第一终端当前信任度,a%为/>在/>中所占的百分比,b%为/>在/>中所占的百分比,a%与b%之和为100%;
其中,和/>通过下列算式计算得到:
式中,为第j次历史信任度在/>中的权重,/>为第j次历史信任度对当前信任度的时间衰减度,m为历史信任度评价次数;
其中,时间衰减度通过下式计算得到:
式中,为当前信任度评价时刻/>与第j次历史信任度评价时刻/>之间的时间间隔,e为自然常数,λ为历史信任度衰减速度。
本发明中,在计算第一终端历史信任度综值Bh时引入时间衰减,其原因在于考虑了历史信任度对当前信任度评价结果的影响会随着时间的推移逐渐衰减,历史信任度评价时刻距离当前信任度评价时刻越久远,历史信任度对当前信任度的影响越小。同时,对于经过多次信任度的终端的当前信任度评价,依据当前信任度评价时刻与每次历史信任度评价时刻的距离,通过参数对信任因子权重进行调配。即Δt越大,此时的信任因子历史信任度评价权重越小;Δt越小,则此时的信任因子历史信任度评价权重越大。/>∈[0,1],,/>数值可按需设定,以下为一种权重参数设定示例:
th1为第一次历史信任度评价时刻,th2为第二次历史信任度评价时刻,th3为第三次历史信任度评价时刻,tr为当前信任的评价时刻,Δt1=tr−th1、Δt2=tr−th2、Δt3=tr−th3。Δt3的指数高于Δt2,说明第3次次历史评价对当前评价信任度影响大于2次历史信任度评价;同理,Δt2的指数高于Δt1,说明第2次历史信任度评价对当前评价信任度影响大于第1次历史信任度评价。
如图2所示,在同一个信任域内,因第一终端的信任度发生变化而无法再与第二终端进行直接可信通信时,利用所述端到端可信通信管理系统通过如下步骤实现第一终端与第二终端之间的可信通信:
S100)第一终端向端到端可信通信管理系统发送与第二终端可信通信请求;
S200)端到端可信通信管理系统根据可信通信请求由端到端可信通信管理系统中的信任度评价单元对第一终端进行信任度评价;
S300)端到端可信通信管理系统的策略管理单元根据信任度评价单元对第一终端的信任度评价结果进行如下操作:当第一终端的信任度评价结果满足继续可信通信的要求,则由策略管理单元确定通信策略和策略规则,并由策略管理单元将确定的通信策略分别下发至第一终端和第二终端,由策略管理单元将策略规则下发至端到端可信通信管理系统的标识管理单元,然后跳转至S400)继续执行,反之,则拒绝可信通信请求;
S400)由标识管理单元根据策略规则将标识生成规则分别下发至第一终端和第二终端;
S500)由第一终端中的标识生成单元和第二终端中的标识生成单元分别根据标识生成规则分别生成第一可信通信标识和第二可信通信标识;
S600)第一终端和第二终端基于通信策略、第一可信通信标识和第二可信通信标识建立可信通信。
在步骤S200)中,可信通信管理系统中的信任度评价单元通过如下步骤对第一终端进行信任度评价:
S201)数据采集模块采集与第一设备相关的信任度评价用数据信息并将采集到的信任度评价用数据发送至数据处理模块进行处理,其中,信任度评价用数据信息包括已有信息数据和实时信息数据,已有数据包括终端设备信息、网络状态信息、安全威胁信息、历史活动信息、数据变化信息和信任度评价单元记录信息;
S202)数据处理模块对接收到的信任度评价用数据信息进行数据处理并将处理后的信任度评价用数据信息分别发送至监测分析模块和信任度评价模块,其中,数据处理包括数据清洗、数据归类和数据整合;
S203)监测分析模块对接收到的信任度评价用数据信息进行监测分析并给出监测分析报告,且将监测分析报告分别发送至信任度评价模块和策略管理单元;
S204)信任度评价模块根据信任度评价用数据信息和监测分析报告通过内置的信任函数对第一终端当前信任度进行评价并得出信任度评价报告,且将信任度评价报告发送至策略管理单元。
接收到监测分析报告和信任度评价报告后,策略管理单元对监测分析报告和信任度评价报告进行综合分析并结合模块化分类与选择的策略生成因素生成策略规则链。
策略管理单元生成通信策略和策略规则采用两种策略机制:一是结合信任评价单元给出的信任度评价结果(信任度),根据信任度与策略规则的预定义关联关系,快速、动态制定和调整通信策略(表1);二是综合分析信任度评价结果(信任度)和监测分析结果,结合策略生成因素的模块化分类与选择(包括但不限于通信时间、通信范围、通信流量、通信粒度与通信隔离程度等),生成个性化、细粒度的策略规则链(表2)。策略管理单元基于监测分析结果和信任评价结果对通信终端每个网络流设置通信策略和策略规则,保障可信通信。通信策略和策略规则制定完成后,在整个网络中自动分发通信策略给通信终端。
表1 策略机制一
表2 策略机制二
策略管理单元将动态变化的策略规则/策略规则链发送给标识管理单元,标识管理单元根据策略规则/策略规则链更新标识生成规则(包括基本规则、影响因子、生成算法等变化)并发送给终端的标识生成单元指导可信通信标识(IPv6密码标识)更新。终端建立端到端可信通信时:基于策略规则明确通信策略、通信范围、通信粒度等,通过通信策略引导终端/用户业务数据传输处于符合业务需求的、最小权限范围内的安全可信路径中;基于IPv6密码标识构建端到端会话连接,实现真实数据传输。而且策略管理单元下发至第一终端和第二终端的通信策略具有时效性,当第一终端和第二终端之间的可信通信时间超过通信策略的有效期,第一终端或/和第二终端需要重新进行信任度评价。
为了提高端到端可信通信管理系统与终端之间的通信安全,将所述端到端可信通信管理系统与终端基于安全交互机制进行通信,安全交互机制包括特定交互协议、有效交互凭证和动态交互口令,这样可以最大程度减轻网络物理攻击。
因终端访问权限变化、业务需求变化、网络环境变化等引起信任关系的动态变化,通过本发明中端到端可信通信方法将新的信任关系动态映射到可信通信标识,建立可变信任-可变策略-可变标识的动态关系,通过可信通信标识的变化实现通信范围、通信权限的变化,实现基于可变信任策略的通信,同时保证用户使用真实身份通信,并可验证和溯源。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。

Claims (6)

1.一种端到端可信通信方法,其特征在于,在同一个信任域内,因第一终端的信任度发生变化而无法再与第二终端进行直接可信通信时,通过如下步骤实现第一终端与第二终端之间的可信通信:
S100)第一终端向端到端可信通信管理系统发送与第二终端可信通信请求;
S200)端到端可信通信管理系统根据可信通信请求由端到端可信通信管理系统中的信任度评价单元对第一终端进行信任度评价;可信通信管理系统中的信任度评价单元通过如下步骤对第一终端进行信任度评价:
S201)数据采集模块采集与第一设备相关的信任度评价用数据信息并将采集到的信任度评价用数据发送至数据处理模块进行处理,其中,信任度评价用数据信息包括已有信息数据和实时信息数据,已有数据包括终端设备信息、网络状态信息、安全威胁信息、历史活动信息、数据变化信息和信任度评价单元记录信息;
S202)数据处理模块对接收到的信任度评价用数据信息进行数据处理并将处理后的信任度评价用数据信息分别发送至监测分析模块和信任度评价模块,其中,数据处理包括数据清洗、数据归类和数据整合;
S203)监测分析模块对接收到的信任度评价用数据信息进行监测分析并给出监测分析报告,且将监测分析报告分别发送至信任度评价模块和策略管理单元;
S204)信任度评价模块根据信任度评价用数据信息和监测分析报告对第一终端的信任度进行评价并得出信任度评价报告,且信任度评价报告发送至策略管理单元;信任度评价模块通过内置的信任函数对第一终端当前信任度进行评价,其中,信任函数定义如下:
式中,B为第一终端当前信任度,Fi(x)为当前评价时刻信任度影响因子函数值,n为信任度影响因子的数量,x为第i个信任度影响因子对当前信任度B的影响值;
其中,Fi(x)包括安全类影响因子函数值和威胁类影响因子函数值/>和/>通过下列算式计算得到:
式中,为第/>种安全类影响因子的阈值,/>为第/>种威胁类影响因子的阈值,/>的取值范围和/>的取值范围均为[0,1];
S300)端到端可信通信管理系统的策略管理单元根据信任度评价单元对第一终端的信任度评价结果进行如下操作:当第一终端的信任度评价结果满足继续可信通信的要求,则由策略管理单元确定通信策略和策略规则,并由策略管理单元将确定的通信策略分别下发至第一终端和第二终端,由策略管理单元将策略规则下发至端到端可信通信管理系统的标识管理单元,然后跳转至S400)继续执行,反之,则拒绝可信通信请求;
S400)由标识管理单元根据策略规则将标识生成规则分别下发至第一终端和第二终端;
S500)由第一终端中的标识生成单元和第二终端中的标识生成单元分别根据标识生成规则分别生成第一可信通信标识和第二可信通信标识;
S600)第一终端和第二终端基于通信策略、第一可信通信标识和第二可信通信标识建立可信通信。
2.根据权利要求1所述的方法,其特征在于,当第一终端多次因信任度发生变化而无法再与第二终端进行直接可信通信时,对第一终端进行信任度评价时,通过下式计算第一终端的当前综合信任度:
式中,为第一终端当前综合信任度,/>为第一终端历史信任度综值,/>为第一终端当前信任度,a%为/>在/>中所占的百分比,b%为/>在/>中所占的百分比,a%与b%之和为100%;
其中,和/>通过下列算式计算得到:
式中,为第j次历史信任度在/>中的权重,/>为第j次历史信任度对当前信任度的时间衰减度,m为历史信任度评价次数;
其中,时间衰减度通过下式计算得到:
式中,为当前信任度评价时刻/>与第j次历史信任度评价时刻/>之间的时间间隔,e为自然常数,λ为历史信任度衰减速度。
3.根据权利要求1所述的方法,其特征在于,接收到监测分析报告和信任度评价报告后,策略管理单元对监测分析报告和信任度评价报告进行分析并结合模块化分类与选择的策略生成因素生成策略规则链。
4.根据权利要求1所述的方法,其特征在于,策略管理单元下发至第一终端和第二终端的通信策略具有时效性,当第一终端和第二终端之间的可信通信时间超过通信策略的有效期,第一终端或/和第二终端需要重新进行信任度评价。
5.一种端到端可信通信管理系统,其特征在于,利用权利要求1所述的端到端可信通信方法实现两个终端再次通信,所述系统包括信任度评价单元、策略管理单元和标识管理单元;信任度评价单元与策略管理单元通信连接,策略管理单元与标识管理单元通信连接,策略管理单元和标识管理单元分别与第一终端和第二终端通信连接,第一终端和第二终端中均内置有用于生成可信通信标识的标识生成单元;信任度评价单元内设置有数据采集模块、数据处理模块、监测分析模块和信任度评价模块,数据采集模块与数据处理模块通信连接,数据处理模块分别与监测分析模块和信任度评价模块通信连接,监测分析模块分别与信任度评价模块和策略管理单元通信连接,信任度评价模块与策略管理单元通信连接;信任度评价模块内置有用于对终端当前信任度进行评价的信任函数,其中,信任函数定义如下:
式中,B为第一终端当前信任度,Fi(x)为当前评价时刻信任度影响因子函数值,n为信任度影响因子的数量,x为第i个信任度影响因子对当前信任度B的影响值;
其中,Fi(x)包括安全类影响因子函数值和威胁类影响因子函数值/>和/>通过下列算式计算得到:
式中,为第/>种安全类影响因子的阈值,/>为第/>种威胁类影响因子的阈值,/>的取值范围和/>的取值范围均为[0,1]。
6.根据权利要求5所述的系统,其特征在于,所述系统与终端基于安全交互机制进行通信,安全交互机制包括特定交互协议、有效交互凭证和动态交互口令。
CN202311767386.4A 2023-12-21 2023-12-21 一种端到端可信通信方法及系统 Active CN117459321B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311767386.4A CN117459321B (zh) 2023-12-21 2023-12-21 一种端到端可信通信方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311767386.4A CN117459321B (zh) 2023-12-21 2023-12-21 一种端到端可信通信方法及系统

Publications (2)

Publication Number Publication Date
CN117459321A CN117459321A (zh) 2024-01-26
CN117459321B true CN117459321B (zh) 2024-03-08

Family

ID=89582197

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311767386.4A Active CN117459321B (zh) 2023-12-21 2023-12-21 一种端到端可信通信方法及系统

Country Status (1)

Country Link
CN (1) CN117459321B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101001261A (zh) * 2006-01-09 2007-07-18 华为技术有限公司 一种MIPv6移动节点的通信方法
CN101241528A (zh) * 2008-01-31 2008-08-13 武汉大学 终端接入可信pda的方法和接入系统
CN112202805A (zh) * 2020-10-12 2021-01-08 北京蓝军网安科技发展有限责任公司 用于可信网络连接的方法及相应装置、计算机设备和介质
KR20210051208A (ko) * 2019-10-30 2021-05-10 주식회사 케이티 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
CN113518032A (zh) * 2020-04-10 2021-10-19 清华大学 基于SRv6的用户可信标识携带方法及系统
CN114338522A (zh) * 2020-11-27 2022-04-12 成都市合纵智联科技有限公司 基于标识管理的IPv6编址与组网方法
CN114629802A (zh) * 2021-11-04 2022-06-14 国网浙江省电力有限公司湖州供电公司 一种基于业务感知的电力通信骨干网络质量评估方法
CN115580568A (zh) * 2022-11-16 2023-01-06 北京连星科技有限公司 基于IPv6流标签实现网络服务质量保障的方法及系统
KR20230072648A (ko) * 2021-11-18 2023-05-25 (주)디에스멘토링 다중 신뢰도 기반 접근통제 시스템
CN116963050A (zh) * 2023-09-21 2023-10-27 明阳时创(北京)科技有限公司 一种基于端到端IPv6密码标识的可信通信方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101001261A (zh) * 2006-01-09 2007-07-18 华为技术有限公司 一种MIPv6移动节点的通信方法
CN101241528A (zh) * 2008-01-31 2008-08-13 武汉大学 终端接入可信pda的方法和接入系统
KR20210051208A (ko) * 2019-10-30 2021-05-10 주식회사 케이티 종단 간 통신에 보안을 제공하기 위한 장치 및 방법
CN113518032A (zh) * 2020-04-10 2021-10-19 清华大学 基于SRv6的用户可信标识携带方法及系统
CN112202805A (zh) * 2020-10-12 2021-01-08 北京蓝军网安科技发展有限责任公司 用于可信网络连接的方法及相应装置、计算机设备和介质
CN114338522A (zh) * 2020-11-27 2022-04-12 成都市合纵智联科技有限公司 基于标识管理的IPv6编址与组网方法
CN114629802A (zh) * 2021-11-04 2022-06-14 国网浙江省电力有限公司湖州供电公司 一种基于业务感知的电力通信骨干网络质量评估方法
KR20230072648A (ko) * 2021-11-18 2023-05-25 (주)디에스멘토링 다중 신뢰도 기반 접근통제 시스템
CN115580568A (zh) * 2022-11-16 2023-01-06 北京连星科技有限公司 基于IPv6流标签实现网络服务质量保障的方法及系统
CN116963050A (zh) * 2023-09-21 2023-10-27 明阳时创(北京)科技有限公司 一种基于端到端IPv6密码标识的可信通信方法及系统

Also Published As

Publication number Publication date
CN117459321A (zh) 2024-01-26

Similar Documents

Publication Publication Date Title
Hou et al. A data security enhanced access control mechanism in mobile edge computing
EP2545680B1 (en) Behavior-based security system
EP3149582B1 (en) Method and apparatus for a scoring service for security threat management
US11425133B2 (en) System and method for network device security and trust score determinations
CN107493280A (zh) 用户认证的方法、智能网关及认证服务器
US20130042298A1 (en) System and method for generating trust among data network users
CN102333096A (zh) 匿名通信系统的信誉度控制方法及系统
CN102387163A (zh) 一种基于风险均衡的网络服务器防御方法
CN105357180B (zh) 网络系统、攻击报文的拦截方法、装置和设备
CN104253820A (zh) 软件定义网安全控制系统和控制方法
CN102984031B (zh) 一种使编码设备安全接入监控网络的方法和装置
CN114117264A (zh) 基于区块链的非法网站识别方法、装置、设备及存储介质
CN115996122A (zh) 访问控制方法、装置及系统
CN104883362A (zh) 异常访问行为控制方法及装置
CN103888435B (zh) 用于业务接纳控制的方法、装置和系统
CN117459321B (zh) 一种端到端可信通信方法及系统
CN102281189A (zh) 一种基于第三方设备私有属性的业务实现方法及其装置
CN102799816A (zh) 基于cc标准的软件安全功能组件管理方法
CN101242410A (zh) 基于简单对象访问协议的网格主观信任处理方法
CN116170806B (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
WO2016169002A1 (zh) 业务分配方法及装置
Szott et al. Traffic remapping attacks in ad hoc networks
Feng et al. Securing multi-channel selection using distributed trust in cognitive radio ad hoc networks
CN106332080A (zh) 基于通信系统的wifi热点连接控制方法、服务器及wifi热点
CN103986580B (zh) 一种动态的系统匿名性度量方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 110041 No. 156, Baita Road, Dadong District, Shenyang City, Liaoning Province

Patentee after: Mingyang Dianshi Technology (Shenyang) Co.,Ltd.

Country or region after: China

Address before: Room 03-6, 20th Floor, Building A1, No. 11 Tawan Street, Huanggu District, Shenyang City, Liaoning Province, 110036

Patentee before: Mingyang Dianshi Technology (Shenyang) Co.,Ltd.

Country or region before: China

CP03 Change of name, title or address