[发明专利]一种基于零信任网络的设备身份认证系统及方法

说明书

本发明公开了一种基于零信任网络的设备身份认证系统及方法，包括：设备感知模块：包括用于与多个节点设备连接的第一接口，读取并传送第一次连接的节点设备信息；将节点设备传输的数据加密传输给感知网关模块；感知网关模块：与所述设备感知模块通信连接，将节点设备注册信息传输非平台层网关模块进行注册，并存储平台层网关模块返回的注册后的节点设备的设备指纹；每次接收数据时对发送数据的节点设备进行身份认证；平台层网关模块：与所述感知网关模块通信连接，计算注册的节点设备的设备指纹并存放在的指纹信息库。设备指纹的生成规则存放于平台层网关模块中，设备指纹用于后续节点设备传输数据时，对节点设备进行认证，保障数据来源的安全性。

技术领域

本发明涉及信息网络安全领域，尤其涉及一种基于零信任网络的设备身份认证系统及方法。

背景技术

随着物联网中数据和设备规模的扩大，风险也在不断增加，物联网的安全威胁不仅来自TCP /IP 网络，无线网络和移动通信网络等传统的网络，同时来自感知层，在物联网的环境下，黑客利用已经存在的IoT设备发起攻击，对应设备受到攻击的同时，相关联的设备也会受到影响，在严峻的安全态势和数字化转型浪潮下，网络安全问题随着新技术的发展呈现出新变化，新的安全需求促使身份与访问控制成为信息系统架构安全的第一道关口，因此，需要重视设备的身份安全，升级防护措施。

现有技术的工控协议仅仅考虑了功能实现、工作效率和设备的可靠性等效益方面的问题，缺乏对安全性问题的考虑，以Modbus协议为例，尽管其已经成为工业标准协议，但是该协议存在缺乏认证、授权、加密等安全防护机制和功能码滥用的问题。

例如，一种在中国专利文献上公开的“一种利用MODBUS通信协议实现人机交互的电网安全稳定控制装置及其方法”，其公告号CN104656604A，包括稳定控制功能模块和人机界面模块，稳定控制功能模块用于实现电网安全稳定控制功能，人机界面模块用于实现监控界面所有的数据显示和修改功能，人机界面模块为支持串口 MODBUS 通信协议的触摸屏，稳定控制功能模块与触摸屏间通过RS485 连接，数据传输采用串行链路 MODBUS 传输模式。数据传输时，通过初始化、数据接收和数据处理及发送 3 个步骤实现。上述方案虽然考虑了电网安全稳定的控制但是依旧缺乏对传输安全性的考虑，导致在应用时存在诸多隐患。

发明内容

本发明是为了解决现有技术的工控设备通信过程缺乏安全防护机制导致存在网络安全隐患的问题，提供一种基于零信任网络的设备身份认证方法及系统，通过加密算法，对设备进行加密认证，构建零信任安全接入环境。

为实现上述目的，本发明采用以下技术方案：

一种基于零信任网络的设备身份认证系统，包括：

设备感知模块：包括用于与多个节点设备连接的第一接口，读取并传输第一次连接的节点设备信息；将节点设备传输的数据加密传输给感知网关模块；

感知网关模块：与所述设备感知模块通信连接，将节点设备注册信息传输给平台层网关模块进行注册，并存储平台层网关模块返回的注册后的节点设备的设备指纹；每次接收数据时对发送数据的节点设备进行身份认证；

平台层网关模块：与所述感知网关模块通信连接，计算注册的节点设备的设备指纹并存放在的指纹信息库。设备指纹的生成规则存放于平台层网关模块中，在节点设备注册环节根据节点设备注册信息自动生成设备指纹，存放与设备指纹信息库中，用于后续节点设备传输数据时，对节点设备进行认证，增强认证效果，保障数据来源的安全性。

作为优选，所述设备感知模块包括向第一次连接的节点设备发送读取节点设备注册信息的第一信号。设备感知模块接收到节点设备的注册信息后通过感知网关模块将节点设备的注册信息传输给平台层网关模块，平台层网关模块根据预设的指纹的生成规则，在节点设备注册环节根据节点设备注册信息自动生成设备指纹，存放与设备指纹信息库中。