[发明专利]基于终端设备特性的群组认证方法

说明书

本发明公布了一种基于终端设备特性的群组认证方法，属于信息安全技术领域。对于请求接入电力物联网的设备，首先依据多维度的设备特性对终端设备进行动态群组划分，在各群组内部产生领头设备，之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证，最终终端设备、领头设备、边缘物联代理和物联管理平台建立信任传递链，具有完整信任传递链的设备准许接入，任何一环未通过认证的设备则不被允许接入。该方法可以节约认证流程，提升认证效率，释放大量网络资源和降低计算量，且对于意图非法访问、接入电力物联网的假冒设备和恶意设备具有很好的拒止作用。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于终端设备特性的群组认证方法。

背景技术

电力物联网系统指由电力系统相关硬件、软件、网络和通讯设备、业务(应用)和用户等组成的人机一体化物联系统。电力物联网系统的建设依托于物联管理平台(云)、边缘物联代理(边)、电力终端设备(端)的系统架构，促进了电力系统的智能化、现代化，同时，电力物联网系统的安全性也愈加重要，成为关系国计民生的重要一环，非法设备、恶意设备的接入可能导致用户隐私数据、商业机密的泄露，威胁系统的正常运转。当前主流的认证机制对于每个设备接入网络或做位置更新时都要执行一次认证过程，认证过程中同时包括推衍用户与网络建立安全连接所需的密钥信息的过程。然而，随着泛在电力物联网的发展和建设落实，电力终端数量达到前所未有的量级，传统的一对一认证方式给边缘物联代理和物联管理平台带来巨大的压力，增加网络信令，导致网络拥塞，而且会占用大量宝贵的网络资源、增加终端设备的计算负担和电池消耗。

本发明针对电力物联网中终端设备的安全接入认证，提出了一种基于终端设备特性的群组认证方法，能有效优化认证过程，提高认证效率，确保认证稳定。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于终端设备特性的群组认证方法，通过多维度的群组特性对终端设备进行分群，并建立信任传递链，仅有具有完整信任传递脸的设备才能通过认证，本发明方法可以在“云”、“边”及大量终端设备的应用场景下实现高效认证。

本发明采用的技术方案是：

一种基于终端设备特性的群组认证方法，该方法是：对于请求接入电力物联网的终端设备，首先依据多维度的群组特性对终端设备进行动态群组划分，在各群组内部产生领头设备，之后依据分段鉴权的方法在物联管理平台和边缘物联代理、边缘物联代理和领头设备、领头设备和群组内终端设备之间进行基于身份信息的一对一认证，最终在终端设备、领头设备、边缘物联代理和物联管理平台之间建立信任传递链，具有完整信任传递链的终端设备准许接入，任何一环未通过认证的终端设备则不被允许接入。

具体的，该方法包括如下步骤：

步骤1：以物联管理平台作为信任传递链的起点，对物联管理平台与边缘物联代理进行基于身份信息的一对一认证，将通过接入认证的边缘物联代理作为可信“边”，建立物联管理平台与可信“边”的信任关系；

步骤2：在电力物联网的各种场景下，针对每个场景中的电力物联网终端设备，采集地理位置、设备归属权、设备类型、设备功能、设备型号及固件版本信息共6维数据，进行K-Means聚类，对终端设备进行动态群组划分；

步骤3：每个群组内，依据下述方法产生领头设备，并建立可信“边”与领头设备的信任关系；

步骤3.1：首先对群组内的终端设备依据资源充足程度，优先选择资源更为充足的设备作为候选设备，所述资源为计算资源、网络资源、存储资源的综合情况；