(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210922865.8 (22)申请日 2022.08.02 (71)申请人 国网浙江省电力有限公司桐乡市供 电公司 地址 314500 浙江省嘉兴 市桐乡市梧桐街 道环园路818号 (72)发明人 徐宏　刘国良　花志伟　李鑫　 刘书涵　胡遨洋　张杰　 (74)专利代理 机构 杭州杭诚专利事务所有限公 司 33109 专利代理师 刘正君 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/12(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于零信任网络的设备身份认证系统 及方法 (57)摘要 本发明公开了一种基于零信任网络的设备 身份认证系统及方法， 包括： 设备感知模块： 包括 用于与多个节 点设备连接的第一接口， 读取并传 送第一次连接的节点设备信息； 将节 点设备传输 的数据加密传输给感知网关模块； 感知网关模 块： 与所述设备感知模块通信连接， 将节点设备 注册信息传输非平台层网关模块进行注册， 并存 储平台层网关模块返回的注册后的节点设备的 设备指纹； 每次接收数据时对发送数据的节点设 备进行身份认证； 平台层网关模块： 与所述感知 网关模块通信连接， 计算注册的节 点设备的设备 指纹并存放在的指纹信息库。 设备指纹的生成规 则存放于平台层网关模块中， 设备指纹用于后续 节点设备传输数据时， 对节点设备进行认证， 保 障数据来源的安全性。 权利要求书2页 说明书4页 附图2页 CN 115484052 A 2022.12.16 CN 115484052 A 1.一种基于零信任网络的设备身份认证系统， 其特 征在于， 包括： 设备感知模块： 包括用于与多个节点设备连接的第一接口， 读取并传输第一次连接的 节点设备信息； 将节点设备传输的数据加密 传输给感知网关模块； 感知网关模块： 与所述设备感知模块通信连接， 将节点设备注册信息传输给平台层网 关模块进行注册， 并存储平台层 网关模块返回的注册后的节点设备 的设备指纹； 每次接 收 数据时对发送数据的节点设备进行身份认证； 平台层网关模块： 与所述感知网关模块通信连接， 计算注册的节点设备的设备指纹并 存放在的指纹信息库。 2.根据权利要求1所述的一种基于零信任 网络的设备身份认证系统， 其特征在于， 所述 设备感知模块还用于向第一次连接的节点设备发送读取节点设备注 册信息的第一信号。 3.根据权利要求2所述的一种基于零信任 网络的设备身份认证系统， 其特征在于， 所述 第一接口用于传输包括节点设备的唯一标识、 设备地址、 编号信息的第一信息帧， 以及 包括 节点设备传输数据的第二信息帧。 4.根据权利要求2或3所述的一种基于零信任网络的设备身份认证系统， 其特征在于， 所述感知网关模块包括运算模块和比较模块， 所述运算模块用于对所述节点设备认证信息 进行计算， 输出设备指纹信息， 所述比较模块用于将由认证信息计算出 的指纹信息与指纹 库的指纹信息进行比对。 5.一种基于零信任 网络的设备身份认证方法， 其特征在于， 应用于权利要求1~4任一项 所述的基于零信任网络的设备认证系统， 包括： 对第一次连接的节点设备进行注册， 根据节点设备注册信 息， 生成并记录设备指纹， 并 将设备指纹与设备唯一标识绑定后分别记录在设备感知模块、 感知网关模块和平台层网关 模块中； 对每次传输数据的节点设备进行认证， 对认证过程中的节点设备传输的数据进行加密 传输。 6.根据权利要求5所述的一种基于零信任 网络的设备身份认证方法， 其特征在于， 所述 对每次传输数据的节点设备进行认证包括： 设备感知模块对节点设备传输的数据与节点设备信 息进行绑定生成加密信 息， 并将加 密信息传输给感知网关模块； 感知网关模块对加密信 息进行解密运算， 并调用本地节点设备的设备指纹对节点设备 进行认证， 若认证一 致， 则返回解密后的节点设备传输的数据原文。 7.根据权利要求6所述的一种基于零信任 网络的设备身份认证方法， 其特征在于， 所述 设备感知模块对节点设备传输的数据与节点设备信息进行绑定生成加密信息， 具体为： 计算S1＝H （UID+M1+e1）,其中,  H( )为SM3算法函数， M1为节点设备传输数据的原文，   UID为节点设备的唯一标识， e1为节点设备的指纹,S  1为节点设备签名结果； 计算M’=E(M1,e1),其中,E  ()为SM4算法加密函数， e1为节点设备的指 纹， M1为节点设 备传输数据的原文， M ’为节点设备传输数据的密文； 计算d=UID+M ’+S1, 其中， UID为节点设备的唯一标识， M ’为节点设备传输数据的密文,   S 1为节点设备签名结果， d为加密信息 。 8.根据权利要求7所述的一种基于零信任 网络的设备身份认证方法， 其特征在于， 所述权　利　要　求　书 1/2 页 2 CN 115484052 A 2感知网关模块对加密信息进行解密运算， 并调用本地节点设备的设备指纹对节点设备进 行 认证， 具体为： 感知网关模块解析加密信息 d,得到节点设备的唯一标识UID、 节点设备传输 数据的密文Ｍ ＇ 、 节点设备的签名结果S1； 通过节点设备的唯一标识UID提取 出存储在本地的节点设备指纹信息e2； 计算M2＝D （M ’， e2） ， 其中D （ ） 为SM4 算法的解密函数， M2为 解密的数据原文； 计算S2=H(UID+M2+e2)， 其中， S2为 解密的节点设备签名结果； 对比S1与S2是否一致， 若S1与S2一致则节点设备的身份认证通过； 若S1和S2不一致， 则 节点设备的身份认证不 通过。权　利　要　求　书 2/2 页 3 CN 115484052 A 3