本發明公開了一種基于零信任網絡的設備身份認證系統及方法，包括：設備感知模塊：包括用于與多個節點設備連接的第一接口，讀取并傳送第一次連接的節點設備信息；將節點設備傳輸的數據加密傳輸給感知網關模塊；感知網關模塊：與所述設備感知模塊通信連接，將節點設備注冊信息傳輸非平臺層網關模塊進行注冊，并存儲平臺層網關模塊返回的注冊后的節點設備的設備指紋；每次接收數據時對發送數據的節點設備進行身份認證；平臺層網關模塊：與所述感知網關模塊通信連接，計算注冊的節點設備的設備指紋并存放在的指紋信息庫。設備指紋的生成規則存放于平臺層網關模塊中，設備指紋用于后續節點設備傳輸數據時，對節點設備進行認證，保障數據來源的安全性。

技術領域

本發明涉及信息網絡安全領域，尤其涉及一種基于零信任網絡的設備身份認證系統及方法。

背景技術

隨著物聯網中數據和設備規模的擴大，風險也在不斷增加，物聯網的安全威脅不僅來自TCP /IP 網絡，無線網絡和移動通信網絡等傳統的網絡，同時來自感知層，在物聯網的環境下，黑客利用已經存在的IoT設備發起攻擊，對應設備受到攻擊的同時，相關聯的設備也會受到影響，在嚴峻的安全態勢和數字化轉型浪潮下，網絡安全問題隨著新技術的發展呈現出新變化，新的安全需求促使身份與訪問控制成為信息系統架構安全的第一道關口，因此，需要重視設備的身份安全，升級防護措施。

現有技術的工控協議僅僅考慮了功能實現、工作效率和設備的可靠性等效益方面的問題，缺乏對安全性問題的考慮，以Modbus協議為例，盡管其已經成為工業標準協議，但是該協議存在缺乏認證、授權、加密等安全防護機制和功能碼濫用的問題。

例如，一種在中國專利文獻上公開的“一種利用MODBUS通信協議實現人機交互的電網安全穩定控制裝置及其方法”，其公告號CN104656604A，包括穩定控制功能模塊和人機界面模塊，穩定控制功能模塊用于實現電網安全穩定控制功能，人機界面模塊用于實現監控界面所有的數據顯示和修改功能，人機界面模塊為支持串口 MODBUS 通信協議的觸摸屏，穩定控制功能模塊與觸摸屏間通過RS485 連接，數據傳輸采用串行鏈路 MODBUS 傳輸模式。數據傳輸時，通過初始化、數據接收和數據處理及發送 3 個步驟實現。上述方案雖然考慮了電網安全穩定的控制但是依舊缺乏對傳輸安全性的考慮，導致在應用時存在諸多隱患。

發明內容

本發明是為了解決現有技術的工控設備通信過程缺乏安全防護機制導致存在網絡安全隱患的問題，提供一種基于零信任網絡的設備身份認證方法及系統，通過加密算法，對設備進行加密認證，構建零信任安全接入環境。

為實現上述目的，本發明采用以下技術方案：

一種基于零信任網絡的設備身份認證系統，包括：

設備感知模塊：包括用于與多個節點設備連接的第一接口，讀取并傳輸第一次連接的節點設備信息；將節點設備傳輸的數據加密傳輸給感知網關模塊；

感知網關模塊：與所述設備感知模塊通信連接，將節點設備注冊信息傳輸給平臺層網關模塊進行注冊，并存儲平臺層網關模塊返回的注冊后的節點設備的設備指紋；每次接收數據時對發送數據的節點設備進行身份認證；

平臺層網關模塊：與所述感知網關模塊通信連接，計算注冊的節點設備的設備指紋并存放在的指紋信息庫。設備指紋的生成規則存放于平臺層網關模塊中，在節點設備注冊環節根據節點設備注冊信息自動生成設備指紋，存放與設備指紋信息庫中，用于后續節點設備傳輸數據時，對節點設備進行認證，增強認證效果，保障數據來源的安全性。

作為優選，所述設備感知模塊包括向第一次連接的節點設備發送讀取節點設備注冊信息的第一信號。設備感知模塊接收到節點設備的注冊信息后通過感知網關模塊將節點設備的注冊信息傳輸給平臺層網關模塊，平臺層網關模塊根據預設的指紋的生成規則，在節點設備注冊環節根據節點設備注冊信息自動生成設備指紋，存放與設備指紋信息庫中。