设备认证方法、接入节点及计算机可读存储介质与流程

1.本公开涉及通信技术领域，尤其涉及一种设备认证方法、一种接入节点以及一种计算机可读存储介质。


背景技术：

2.在通信网络中，网络节点通常需要连接大量的终端设备，终端设备也经常会动态地加入或离开通信网络，当新的终端设备连接(或离开)通信网络时，网络节点需要确保对已注册终端设备的不间断服务，还需要限制或拒绝来自恶意或受损终端节点的服务请求。一旦有恶意终端频繁接入通信网络，可能危害与之连接的网络节点甚至整个通信网络的安全性。
3.由于通信网络连接的终端设备的数量大以及连接设备的稀疏性，且缺乏有效的信任评价机制对有连接请求的设备进行评价，致使对信任度较低的恶意连接请求终端设备的检测较为困难。


技术实现要素：

4.本公开提供了一种设备认证方法、接入节点及计算机可读存储介质，以至少解决上述问题。
5.根据本公开实施例的一方面，提供一种设备认证方法，应用于接入节点，所述方法包括：
6.创建信任度评价模型；
7.接收设备发送的连接请求，所述连接请求中携带设备基本信息；
8.基于所述设备基本信息判断所述设备是否曾经接入过所述接入节点对应的网络中；
9.若曾经接入过所述网络中，则基于所述信任度评价模型计算所述设备此次接入所述网络的认证信任度；
10.判断所述设备此次接入所述网络的认证信任度是否在预设信任度阈值范围内；
11.若不在所述预设信任度阈值范围内，则拒绝所述设备此次接入所述网络。
12.在一种实施方式中，所述接入节点为雾计算接入节点。
13.在一种实施方式中，所述设备基本信息包括唯一设备标识码、设备类型及设备证书信息。
14.在一种实施方式中，在判断所述设备此次接入所述网络的认证信任度是否在预设信任度阈值范围内之后，还包括：
15.若在所述预设信任度阈值范围内，则允许所述设备此次接入所述网络；以及，
16.将所述设备此次接入所述网络的认证信任度上传至区块链中。
17.在一种实施方式中，基于所述设备基本信息判断所述设备是否曾经接入过所述接入节点对应的网络中，包括：
18.判断所述设备基本信息是否存储在区块链中，其中所述区块链用于存储曾经接入过所述接入节点对应的网络的所有设备的设备基本信息及其认证信任度；
19.若所述设备基本信息存储在区块链中，则判定所述设备曾经接入过所述接入节点对应的网络中；否则，判定所述设备未曾接入过所述接入节点对应的网络中；
20.在判定所述设备未曾接入过所述接入节点对应的网络中之后，还包括：
21.允许所述设备接入所述网络；以及，
22.将所述设备基本信息上传至区块链中，并为所述设备分配初始认证信任度，以使所述区块链存储所述设备基本信息及初始认证信任度。
23.在一种实施方式中，在允许所述设备接入所述网络之后，以及将所述设备基本信息上传至区块链中之前，还包括：
24.对所述设备基本信息进行加密；
25.所述将所述设备基本信息上传至区块链中，包括：
26.将加密后的设备基本信息上传至区块链中。
27.在一种实施方式中，所述创建信任度评价模型，包括：
28.基于设备与网络中其它接入节点之间的通信连接信息构建连接信任度模型；以及，
29.基于设备上一次连接所述网络的认证信任度以及所述连接信任度模型构建信任度评价模型。
30.在一种实施方式中，基于设备与网络中其它接入节点之间的通信连接信息构建连接信任度模型，根据以下公式得到：
[0031][0032]
式中，t
d
(k,j)
m
为设备j与网络中除所述接入节点外的其它接入节点k第m次连接后的其它接入节点k对设备j的连接信任度，m为正整数，p
w
(α)和n
w
(α)分别为设定的权值，f
d
(t
d
(k,j)
m
‑1,p
j
(a)
m
)为第一信任函数，f
d
(t
d
(k,j)
m
‑1,n
j
(a)
m
)为第二信任函数，a为设备j与其它接入节点k第m次连接后的预设时长内的通信行为集合；
[0033][0034][0035]
式中，t
d
(k,j)
m
‑1为设备j与其它接入节点k第(m
‑
1)次连接后其它接入节点k对设备j的连接信任度，a为设备j的通信行为，p
j
(a)
m
为设备j与其它接入节点k第m次连接后的预设时长内的通信行为中的积极行为，n
j
(a)
m
为设备j与其他接入节点k第m次连接后的预设时长内的通信行为中的消极行为，当m＝1时，t
d
(k,j)0为预先设定的初始连接信任度，l为常数，且l>0；
[0036]
所述基于设备上一次连接所述网络的认证信任度以及所述连接信任度模型构建信任度评价模型，根据以下公式得到：
[0037][0038]
式中，t
r
(i,j)
n
为设备j与接入节点i第n次连接时，接入节点i对设备j的认证信任度，t
r
(i,j)
n
‑1为设备j与接入节点i第(n
‑
1)次连接时，接入节点i对设备j的认证信任度，t
d
(k,j)
m
为设备j在上一次连接接入节点i之后，与其它接入节点k连接所得到的其它接入节点k对设备j的连接信任度，f(t
d
(k,j)
m
,t)为t时间内接入节点k对设备j的连接信任度，t
w
为设定系数，t
n
‑1为设备j与接入节点i第(n
‑
1)次连接时的时间。
[0039]
根据本公开实施例的另一方面，提供一种接入节点，包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行所述的设备认证方法。
[0040]
根据本公开实施例的又一方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，所述处理器执行所述的设备认证方法。
[0041]
本公开的实施例提供的技术方案可以包括以下有益效果：
[0042]
本公开实施例提供的设备认证方法，通过创建信任度评价模型；接收设备发送的连接请求，所述连接请求中携带设备基本信息；基于所述设备基本信息判断所述设备是否接入过所述接入节点对应的网络中；若曾经接入过所述网络中，则基于所述信任度评价模型计算所述设备此次接入所述网络的认证信任度；判断所述设备此次接入所述网络的认证信任度是否在预设信任度阈值范围内；若不在所述预设信任度阈值范围内，则拒绝所述设备此次接入所述网络。本公开实施例通过构建信任度评价模型，用于评价有连接请求的设备的信任度，从而至少解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
[0043]
本公开的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0044]
附图用来提供对本公开技术方案的进一步理解，并且构成说明书的一部分，与本公开的实施例一起用于解释本公开的技术方案，并不构成对本公开技术方案的限制。
[0045]
图1为本公开实施例提供的一种设备认证方法的流程示意图；
[0046]
图2为本公开另一实施例提供的一种设备认证方法的流程示意图；
[0047]
图3为本公开实施例提供的设备认证系统的结构示意图；
[0048]
图4为本公开实施例提供的一种接入节点的结构示意图。
具体实施方式
[0049]
为使本公开实施例的目的、技术方案和优点更加清楚，以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本公开，并不用于限制本公开。
[0050]
需要说明的是，本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序；并且，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互任意组合。
[0051]
其中，在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
[0052]
在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。
[0053]
请参照图1，图1为本公开实施例提供的一种设备认证方法的流程示意图，应用于接入节点，所述方法包括步骤s101
‑
s106。
[0054]
本实施例中，所述接入节点为雾计算接入节点。
[0055]
可以理解的是，雾计算是一种面向物联网的分布式计算基础设施，可将计算能力和数据分析应用扩展至网络“边缘”，随着雾计算的不断发展，然而目前终端设备在接入雾计算节点时，其认证方式仍不能够满足当前的网络安全需求，相关技术中通过去中心化的认证机制，对节点的身份进行安全认证，或利用区块链的不可篡改性，通过核对区块链存储的设备认证信息进行认证，但是对于终端设备的例如终端通信行为等的针对其信任度的安全认证，导致不信任终端接入网络，无法确保网络安全性。
[0056]
当然，在一些实施例中，也可以应用于其它网络接入节点，本实施例并不对此进行限制。
[0057]
在步骤s101中，创建信任度评价模型。
[0058]
为解决上述问题，本实施例通过创建信任度评价模型，并基于信任度评价模型评价请求接入网络的设备的信任度，检测出信任度较低的恶意接入设备，基于上述信任机制允许或者拒绝相关设备接入网络，可以有效确保网络的安全性。
[0059]
在一种实施方式中，所述创建信任度评价模型，包括以下步骤：
[0060]
基于设备与网络中其它接入节点之间的通信连接信息构建连接信任度模型；以及，
[0061]
基于设备上一次连接所述网络的认证信任度以及所述连接信任度模型构建信任度评价模型。
[0062]
具体地，本实施例中的信任度评价模型用于评价曾经接入过接入节点对应的网络的设备，如果是判断为初次接入所述网络，则默认为设备是可信的，并为其分配初始信任度，该初始信任度为默认值，任一设备初次接入网络时均为其分配该初始信任度。当设备再次接入网络时，基于信任度评价模型对其在上一次接入网络的通信连接行为对其进行信任度评价，判断此次接入是否符合网络安全性要求。
[0063]
需要说明的是，设备与网络中其它接入节点之间的通信连接信息，具体为设备在上一次通过接入节点接入网络后，以及此次请求接入该接入节点之前，与网络中其它接入节点之间的通信连接信息，基于该通信连接信息建立连接信任度模型，以评价设备基于设备的通信连接行为的连接信任度，进而基于连接信任度模型以及上一次连接所述网络的认证信任度建立信任度评价模型。
[0064]
在实际应用中，接入节点可以从区块链中获取其它接入节点发送的其基于连接信任度模型计算出的连接信任度，并基于该连接信任度计算出认证信任度，即，各个接入节点根据连接信任度模型计算出设备与自身节点之间的连接信任度，然后将连接信任度上传至
区块链中，接入节点获取该连接信任度并基于信任度评价模型计算出认证信任度。
[0065]
具体地，基于设备与网络中其它接入节点之间的通信连接信息构建连接信任度模型，根据以下公式得到：
[0066][0067]
式中，t
d
(k,j)
m
为设备j与网络中除所述接入节点外的其它接入节点k第m次连接后的其它接入节点k对设备j的连接信任度，m为正整数，p
w
(α)和n
w
(α)分别为设定的权值，f
d
(t
d
(k,j)
m
‑1,p
j
(a)
m
)为第一信任函数，f
d
(t
d
(k,j)
m
‑1,n
j
(a)
m
)为第二信任函数，a为设备j与其它接入节点k第m次连接后的预设时长内的通信行为集合；
[0068][0069][0070]
式中，t
d
(k,j)
m
‑1为设备j与其它接入节点k第(m
‑
1)次连接后其它接入节点k对设备j的连接信任度，a为设备j的通信行为，p
j
(a)
m
为设备j与其它接入节点k第m次连接后的预设时长内的通信行为中的积极行为，n
j
(a)
m
为设备j与其他接入节点k第m次连接后的预设时长内的通信行为中的消极行为，当m＝1时，t
d
(k,j)0为预先设定的初始连接信任度，l为常数，且l>0；
[0071]
所述基于设备上一次连接所述网络的认证信任度以及所述连接信任度模型构建信任度评价模型，根据以下公式得到：
[0072][0073]
式中，t
r
(i,j)
n
为设备j与接入节点i第n次连接时，接入节点i对设备j的认证信任度，t
r
(i,j)
n
‑1为设备j与接入节点i第(n
‑
1)次连接时，接入节点i对设备j的认证信任度，t
d
(k,j)
m
为设备j在上一次连接接入节点i之后，与其它接入节点k连接所得到的其它接入节点k对设备j的连接信任度，f(t
d
(k,j)
m
,t)为t时间内接入节点k对设备j的连接信任度，t
w
为设定系数，t
n
‑1为设备j与接入节点i第(n
‑
1)次连接时的时间。
[0074]
本实施例中，所述通信行为α包括路由失败率、数据分组丢失率、数据分组错误率中的一种或多种，区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为，具体包括：若所述通信行为的取值小于第一阈值时(第一阈值由管理者自行定义)，确定为所述通信行为中的积极行为p
j
(α)
n
，若所述通信行为的取值大于或等于第一阈值时，确定为所述通信行为中的消极行为n
j
(α)
n
；和/或，
[0075]
所述通信行为包括传输速率，区别设备j与节点i第n次连接后预设时长内的通信行为中的积极行为和消极行为，具体包括：若所述通信行为的取值大于零，确定为所述通信行为中的积极行为p
j
(α)
n
，若所述通信行为的取值等于零时，确定为所述通信行为中的消极行为n
j
(α)
n
。
[0076]
在步骤s102中，接收设备发送的连接请求，所述连接请求中携带设备基本信息。
[0077]
其中，所述设备基本信息包括唯一设备标识码、设备类型及设备证书信息。
[0078]
在步骤s103中，基于所述设备基本信息判断所述设备是否曾经接入过所述接入节点对应的网络中，若曾经接入过所述网络中，则执行步骤s104。
[0079]
具体地，雾计算接入节点首先初始化，等待设备的连接，以设备j为例，根据设备j发送的连接请求，验证设备j是否是接入雾计算网络中的新设备。
[0080]
在一种实施方式中，基于所述设备基本信息判断所述设备是否曾经接入过所述接入节点对应的网络中(步骤s103)，包括以下步骤：
[0081]
判断所述设备基本信息是否存储在区块链中，其中所述区块链用于存储曾经接入过所述接入节点对应的网络的所有设备的设备基本信息及其(每次接入所述网络的)认证信任度；
[0082]
若所述设备基本信息存储在区块链中，则判定所述设备曾经接入过所述接入节点对应的网络中；否则，判定所述设备未曾接入过所述接入节点对应的网络中；
[0083]
在判定所述设备未曾接入过所述接入节点对应的网络中之后，还包括以下步骤：
[0084]
允许所述设备接入所述网络；以及，
[0085]
将所述设备基本信息上传至区块链中，并为所述设备分配初始认证信任度，以使所述区块链存储所述设备基本信息及初始认证信任度。
[0086]
在一种实施方式中，在允许所述设备接入所述网络之后，以及将所述设备基本信息上传至区块链中之前，还包括以下步骤：
[0087]
对所述设备基本信息进行加密；
[0088]
所述将所述设备基本信息上传至区块链中，具体为以下步骤：将加密后的设备基本信息上传至区块链中。
[0089]
需要说明的是，本实施例对设备基本信息进行加密后再上传至区块链，上述在基于设备基本信息判断设备是否接入过网络时，可以首先对设备基本信息进行加密，得到加密结果，并将加密结果与区块链中的存储的相关加密信息进行匹配，如果能够匹配上则说明该设备基本信息对应的设备曾经接入过所述网络。
[0090]
在一些实施例中，设备接入网络之后，对其设备基本信息进行加密并向区块链上传其加密后的设备基本信息，此时雾计算节点的计算模块计算设备j发送的连接请求中的设备基本信息的加密结果，其中，连接请求包括唯一设备标识码、设备类型、设备证书信息，将计算得到的加密结果与设备区块链的设备信息相匹配，若能够匹配上，则说明设备j曾经连入该雾计算网络中，不是新设备；若都无法匹配上，这说明设备j未曾连入该雾计算网络，是新设备。
[0091]
在步骤s104中，基于所述信任度评价模型计算所述设备此次接入所述网络的认证信任度；
[0092]
在步骤s105中，判断所述设备此次接入所述网络的认证信任度是否在预设信任度阈值范围内，若不在所述预设信任度阈值范围内，则执行步骤s106，否则，结束流程，并按照现有技术设备接入所述网络。
[0093]
具体地，在设备j与接入节点i进行第n次连接前(n≥0)，根据所述的认证信任度模型计算设备j的认证信任度，得到设备j的认证信任度t
r
(i,j)
n
；判断设备j的认证信任度t
r
(i,j)
n
与预设信任度阈值范围的大小(本领域技术人员可以结合现有技术及实际情况对预设信任度阈值范围进行自行设置)；在判断结果为设备j的认证信任度t
r
(i,j)
n
不在预设信
任度阈值范围内时，确定设备j不可信，不允许设备j接入网络；在判断结果为设备j的认证信任度t
r
(i,j)
n
在预设信任度阈值范围内时，确定设备j可信，允许设备j接入网络。t
r
(i,j)0为设定的认证信任度初始值。
[0094]
需要说明的是，本实施例设定一个预设信任度阈值范围，避免信任度较低的设备接入，同时可以有效避免虚假通信行为所产生的信任度过高的恶意设备的接入。
[0095]
在步骤s106中，拒绝所述设备此次接入所述网络。
[0096]
本实施例通过构建有效的信任度评价模型，用于评价有连接请求的设备的信任度，从而至少解决通信网络中对有恶意连接请求设备的检测较为困难的问题。
[0097]
请参照图2，图2为本公开另一实施例提供的一种设备认证方法的流程示意图，在上一实施例的基础上，在判断所述设备此次接入所述网络的认证信任度是否在预设信任度阈值范围内之后，还包括步骤s201和步骤s202。
[0098]
在步骤s201中，若在所述预设信任度阈值范围内，则允许所述设备此次接入所述网络；以及，
[0099]
在步骤s202中，将所述设备此次接入所述网络的认证信任度上传至区块链中。
[0100]
基于相同的技术构思，本公开实施例相应还提供一种设备认证系统，包括(雾计算)接入节点31，主要负责接收终端设备的连接，连接方式包括wifi、zigbee、蓝牙、315射频和通用异步收发传输器(uart)等。雾计算接入节点31包含两个从属模块：存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行所述的设备认证方法。
[0101]
具体地，通过信任机制动态评价终端设备的信任值，以评估当前终端设备连接请求的安全性：在终端设备与雾计算节点进行连接前，根据认证信任度模型计算终端设备的认证信任度，并在终端设备与雾计算节点进行连接时根据连接信任度模型计算终端设备的连接信任度；然后判断终端设备的认证信任度是否在阈值范围内。
[0102]
终端32，主要负责存放用于安全认证的证书信息，并向雾计算节点发起连接请求。
[0103]
区块链33，主要包括设备区块链模块和连接信任度区块链模块。设备区块链模块存储所有设备的设备信息，每当有新的终端设备连入该雾计算网络时，则将该设备信息加密后存入区块链模块中，设备信息包括唯一设备标识码、设备类型、设备证书信息；连接信任度区块链模块存储每个终端设备与每个雾计算节点连接后产生的连接信任度，每当终端节点与雾计算节点连接结束后，则将此次连接的设备信息、接入时间、此次连接信任度等信息写入连接信任度区块链中。
[0104]
基于相同的技术构思，本公开实施例相应还提供一种接入节点，如图4所示，所述接入节点包括存储器41和处理器42，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行所述的设备认证方法。
[0105]
基于相同的技术构思，本公开实施例相应还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，所述处理器执行所述的设备认证方法。
[0106]
本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个
物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd
‑
rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
[0107]
最后应说明的是：以上各实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述各实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。