(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111500793.X (22)申请日 2021.12.09 (71)申请人 四川启睿 克科技有限公司 地址 610000 四川省成 都市中国 （四川） 自 由贸易试验区成都高新区天府四街 199号1栋33层 (72)发明人 夏康丽　翟栋　 (74)专利代理 机构 四川省成 都市天策商标专利 事务所(有限合 伙) 51213 代理人 刘兴亮 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于零信任的物联网设备分布式认证 系统及授权方法 (57)摘要 本发明公开了一种基于零信任的物联网设 备分布式认证系统及授权方法， 通过构建一种物 联网应用安全访问控制的基础设施， 为各设备厂 商和物联网应用资源提供方提供一个统一的设 备认证平台， 基于可信设备身份的认证方式， 可 以实现传统认证模型网络安全边界的突破， 同时 可以做到 针对资源 级别的动态安全 控制。 权利要求书1页 说明书4页 附图1页 CN 114189380 A 2022.03.15 CN 114189380 A 1.一种基于零信任的物联网设备分布式认证系统， 其特征在于， 包括设备端、 零信任架 构认证平台、 物联网统一身份标识 平台、 资源端； 所述统一身份标识平台由多节点构成， 采用分布式可信账本技术， 实现身份标识 的颁 发、 可信验证、 可信存 储， 为上层授权系统提供身份认证 基础； 所述设备端 由设备实体或边缘网关组成， 设备端SDK在出厂时装载， 该SDK主要功能为 与认证平台、 资源端通信， 进行身份的注 册、 认证、 访问凭证To ken获取； 所述资源端的SDK通过各资源提供方进行集成： 资源提供方身份注册、 资源注册、 资源 授权策略配置、 资源授权规则管理、 不可信请求重 定向、 资源访问凭证To ken校验； 所述零信任架构认证平台由数据通道及控制通道两部分组成； 控制通道根据授权情 况， 动态控制数据通道中的实时会话， 采取建立、 中断、 许可操作； 数据通道接收设来自设备 端或资源端重定向的不可信资源访问请求时， 通过统一身份标识平台对设备进行身份认 证、 通过控制通道进行权限验证， 实现资源安全访问。 2.如权利要求1所述的一种基于零信任的物联网设备分布式认证系统， 其特征在于， 所 述统一身份标识 平台内的身份 类型包括资源平台身份、 物联网设备身份认证、 资源认证。 3.如权利要求1所述的一种基于零信任的物联网设备分布式认证系统及授权方法， 其 特征在于， 对于 资源受限设备、 不具备与区块链 直接通信能力、 无法进 行凭证存储的物联网 设备， 通过边 缘计算网关实现认证、 授权流 程中的相关功能。 4.如权利要求1所述的一种基于零信任的物联网设备分布式认证系统， 其特征在于， 所 述零信任架构认证平台实现的功能有:设备身份校验、 权限验证、 访问凭证Token颁 发、 访问 凭证Token校验功能。 5.一种基于零信任的物联网设备分布式认证系统的授权方法， 其特征在于， 包括以下 步骤： 步骤1.资源提供方本地生成公私钥对， 通过SDK上传公钥至统一身份标识平台进行注 册， 获取S PID； 步骤2.资源方利用私钥对S PID进行加密， 上传至统一身份认证平台进行身份认证； 步骤3.已认证的资源方 可向统一身份标识 平台进行资源注 册， 获取SID； 步骤4.已认身份标识 平台进行相关 资源访问或更新策略配置； 步骤5.设备端SDK本地生成公私钥 对， 上传公钥至统一身份标识平台进行注册， 获取设 备ID； 步骤6.设备通过私钥对设备ID进行加密， 上传至 至统一身份认证平台进行身份认证； 步骤7.已认证设备向访问数据通道发起资源访 问请求， 若直接请求资源方， 将被重定 向到代理平 台， 代理平台验证本次请求是否携带访问凭证Token， 若携带则验证Token的合 法性， 验证合法则转发请求到资源端； 步骤8.若未携带， 则向控制通道发起鉴权请求， 校验通过则生成可验证资源访 问凭证 Token， 访问凭证通过分布式可校验凭证实现， 并将该返回给设备端进行存储， 该凭证在有 限期内避免重复鉴权， 降低授权平台的资源消耗， 提高性能， 同时转 发可信资源请求到 资源 端； 步骤9.信任评估引擎除了根据已配置策略进行基本评估以外， 扩展为将请求行为、 响 应行为、 风险等级等纳入评估范围， 评估结果 直接作用于数据通道中的会话。权　利　要　求　书 1/1 页 2 CN 114189380 A 2一种基于零信任的物联网 设备分布式认证系统及授权 方法 技术领域 [0001]本发明涉及物联 网技术领域， 尤其涉及一种基于零信任的物联网设备分布式认证 系统及授权方法。 背景技术 [0002]随着物联网技术的高速发展， 接入网络中的物联网设备数量激增， 各云端资源提 供商对物联网设备赋能的场景增多， 因此对设备 的安全认证与授权提出了新的要求。 目前 不同设备厂商间设备与设备之间、 设备与各资源提供商之间的认证方案层出不穷， 但普遍 存在跨厂商设备认证困难， 资源跨平台隔离等问题。 同时传统的访问控制模型一般是基于 网络安全边界的访问控制模型， 例如基于IP、 主机信息、 地理位置等信息进行访问验证。 而 在物联网场景下， 云应用及云计算是发展趋势， 导致传统的网络安全边界逐渐瓦解， 因此传 统认证方式在物联网场景 下开始显露出其局限性。 发明内容 [0003]本发明的目的就在于为了解决上述问题而提供一种基于零信任的物联网设备分 布式认证系统及授权方法， 本发 明在“零信任”框架下， 所有认证及授权基于身份实现， 所有 物联网设备均具备 统一的可信身份标识， 各设备访问云端资源需要通过该可信标识进 行身 份认证， 获取访问To ken， 各资源端可以分布式验证to ken合法性， 实现访问控制。 [0004]本发明通过以下技 术方案来实现上述目的： [0005]一种基于零信任的物联网设备分布式认证系统， 包括设备端、 零信任架构认证平 台、 物联网统一身份标识 平台、 资源端； [0006]所述统一身份标识平台由多节点构成， 采用分布式可信账本技术， 实现身份标识 的颁发、 可信验证、 可信存 储， 为上层授权系统提供身份认证 基础； [0007]所述设备端由设备实体或边缘网关组成， 设备端SDK在出厂时装载， 该SDK主要功 能为与认证平台、 资源端通信， 进行身份的注 册、 认证、 访问凭证To ken获取； [0008]所述资源端的SDK通过各资源提供方进行集成： 资源提供方身份注册、 资源注册、 资源授权策略配置、 资源授权规则管理、 不可信请求重 定向、 资源访问凭证To ken校验； [0009]所述零信任架构认证平台由数据通道及控制通道两部分组成； 控制通道根据授权 情况， 动态控制数据通道中的实时会话， 采取建立、 中 断、 许可操作； 数据通道接收设来自设 备端或资源端重定向的不可信资源访问请求时， 通过 统一身份标识平台对设备进 行身份认 证、 通过控制通道进行权限验证， 实现资源安全访问。 [0010]进一步方案为， 所述统一身份标识平台内的身份类型包括资源平台身份、 物联网 设备身份认证、 资源认证。 [0011]进一步方案为， 其特征在于， 对于资源受限设备、 不具备与区块链直接通信能力、 无法进行凭证存 储的物联网设备， 通过边 缘计算网关实现认证、 授权流 程中的相关功能。 [0012]进一步方案为， 所述零信任架构认证平台实现的功能有:设备身份校验、 权限验说　明　书 1/4 页 3 CN 114189380 A 3