[发明专利]基于终端设备特性的群组认证方法

权利要求书

1.一种基于终端设备特性的群组认证方法，其特征在于，对于请求接入电力物联网的终端设备，首先依据多维度的群组特性对终端设备进行动态群组划分，在各群组内部产生领头设备，之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证，最终在终端设备、领头设备、边缘物联代理和物联管理平台之间建立信任传递链，具有完整信任传递链的终端设备准许接入，任何一环未通过认证的终端设备则不被允许接入。

2.根据权利要求1所述的基于终端设备特性的群组认证方法，其特征在于，包括如下步骤：

步骤1：以物联管理平台作为信任传递链的起点，对物联管理平台与边缘物联代理进行基于身份信息的一对一认证，将通过接入认证的边缘物联代理作为可信“边”，建立物联管理平台与可信“边”的信任关系；

步骤2：在电力物联网的各种场景下，针对每个场景中的电力物联网终端设备，采集地理位置、设备归属权、设备类型、设备功能、设备型号及固件版本信息共6维数据，进行K-Means聚类，对终端设备进行动态群组划分；

步骤3：在每个群组内产生领头设备，并建立可信“边”与领头设备的信任关系；具体为：

步骤3.1：对群组内的终端设备依据资源充足程度进行排序，选择资源更为充足的设备作为领头候选设备；所述资源包括计算资源、网络资源和存储资源；

步骤3.2：领头候选设备与可信“边”进行基于身份信息的一对一认证，如果认证失败，返回步骤3.1按照排序重新选择其他设备作为领头候选设备；

如果认证成功，将该领头候选设备作为领头设备，建立可信“边”与领头设备的信任关系；

步骤4：对每个群组内所有待认证设备与领头设备进行基于身份信息的一对一认证，认证成功的设备与领头设备间建立信任关系；从而最终获得终端设备、领头设备、边缘物联代理和物联管理平台之间的信任传递链。

3.根据权利要求2所述的基于终端设备特性的群组认证方法，其特征在于，所述的步骤3.1具体为：群组内每个终端设备都保存包含自身在内的所有群组设备的资源信息，计算资源信息值以体现各设备所拥有资源的充足程度，并作为每个设备的优先级；当需要推选领头设备时，每个设备查询自己记录的群组设备优先级，如果当前设备为最高优先级，则向其他设备发送消息，收到该消息的设备如果还未响应过其他设备的消息则响应该消息，若已经响应过其他设备消息的设备则忽略该消息；收到半数以上设备响应的设备成为领头候选设备；若所有设备收到的响应均未超出半数，则重新进行上述推选过程。

4.根据权利要求3所述的基于终端设备特性的群组认证方法，其特征在于，所述的资源信息包括有网络带宽、吞吐量、平均剩余可用内存、当前剩余可用内存、CPU平均占用率、当前CPU占用率、磁盘占用率。

5.根据权利要求1所述的基于终端设备特性的群组认证方法，其特征在于，所述的基于身份信息的一对一认证包括离线注册和在线认证两部分：

离线注册部分用于为每个设备分配私钥，首先采集设备版本、序列号、发行者名、主体名、签名多维数字信息构成设备身份信息，密钥生成中心KGC将设备身份信息和随机生成的密钥算法基础参数作为输入，生成对应设备的私钥；

在线认证部分是将电力物联终端设备安装到工作现场后，在待认证设备之间建立通信，并校验通信是否可信。

6.根据权利要求5所述的基于终端设备特性的群组认证方法，其特征在于，所述的在线认证部分，具体如下：认证双方表示为设备A和设备B，其公钥分别表示为QA和QB，私钥分别表示为dA和dB，则：

首先：设备A和B分别通过自身私钥与对方公钥，经过密钥交换算法得到会话密钥，表示为KA和KB，则有：A、B间的会话密钥为KAB＝KA＝KB；

其次：设备A将消息M以及会话密钥KAB作为输入，经过哈希函数映射产生散列消息认证码，利用会话密钥KAB将消息M加密，将密文信息和散列消息认证码同时发送给设备B；

最后：设备B利用会话密钥对密文消息进行解密，获得明文消息M，并生成用于校验的散列消息校验码，并与从设备A处接收到的散列消息认证码进行校验，校验成功则证明消息发送方为合法终端A且消息未经篡改，A与B之间建立可信通信。