[发明专利]一种物联网系统多级身份认证方法

权利要求书

1.一种物联网系统多级身份认证方法，其特征在于，所述认证方法包括以下步骤：

S1：根据物联网系统中不同设备所处的网络环境和使用的底层通信协议，设计基于设备层级、网络环境、通信协议的决策指标，该决策指标用以评价设备所面临的安全威胁，采用三元组表示结果，根据评价结果将设备进行分级；

S2：在物联网系统应用层部署用于身份认证的认证基础设施，部署范围包括服务端和汇聚设备端，由服务端对汇聚设备和端点汇聚的终端设备进行认证，由汇聚设备对现场汇聚的终端设备进行认证；认证基础设施面向设备提供统一的代理接口，并提供包括证书密码、动态安全码、标识密码、口令密码、哈希密码在内的各项认证服务；

S3：由认证基础设施为不同级别的设备匹配不同的认证方式或者认证方式组合；面向设备提供的统一的代理接口包括注册接口和认证接口；认证过程包括接入认证和传输认证。

2.根据权利要求1所述的物联网系统多级身份认证方法，其特征在于，在注册阶段，设备发送的注册请求数据包至少包含设备层级、网络环境和通信协议，由认证基础设施存储至安全数据库，并为设备匹配认证方式，下发认证所需相关数据，包括证书、密钥、口令。

3.根据权利要求1所述的物联网系统多级身份认证方法，其特征在于，采用三元组表示结果，根据评价结果将设备进行分级的过程包括以下步骤：

采用三元组(a,b,c)表示物联网设备的安全威胁等级，其中a表示设备层级，b表示网络环境，c表示设备通信协议；

基于三种指标，对于布置在现场需要进行寻址、地址转换、终端设备认证的汇聚设备，不考虑其网络环境和通信协议，按照组合方法库中的最高等级方法进行身份认证；对于局域网接入的终端设备，由服务端授权的现场汇聚设备对其进行认证，不考虑其通信协议；对于广域网接入并在服务端实现端点汇聚的终端设备，结合其具体通信协议选择具体方法。

4.根据权利要求1所述的物联网系统多级身份认证方法，其特征在于，所述认证基础设施包括PKI公钥基础设施、IBE标识密码设施、口令生成与验证设施、哈希密码生成与验证设施；其中PKI设施的核心包括为设备颁发证书的CA中心以及存储数字证书的证书库，IBE设施的核心包括为设备生成私钥的PKG密钥生成中心与设备注册机构RA。

5.根据权利要求1或者4所述的物联网系统多级身份认证方法，其特征在于，步骤S3中，由认证基础设施为不同级别的设备匹配不同的认证方式或者认证方式组合包括以下步骤：

对于布置在现场需要进行寻址、地址转换、终端设备认证的汇聚设备，不考虑其网络环境和通信协议，使用证书密码和动态安全码进行认证，其中证书密码用于加密信道保证通信安全，动态安全码用于设备的可信认证；

对于终端设备，依据网络环境和通信协议将其分为3类：1类终端设备通过局域网，经现场汇聚设备接入系统，对其使用哈希密码的方法进行身份认证；2类终端设备通过蜂窝网络接入系统，在服务端进行端点汇聚，对其使用口令密码的方法进行身份认证；3类终端设备通过非蜂窝LPWAN接入系统，在服务端进行端点汇聚，对其使用标识密码的方法进行身份认证。

6.根据权利要求1所述的物联网系统多级身份认证方法，其特征在于，对于证书密码，使用动态安全码作为证书加密之外的二级认证，以保证设备可信；在设备初始化、重启、断网重连、安全码验证失败的情况下，由边缘侧发起不可仿冒的安全码，以一次一密、链式哈希的形式在整个通信过程中保证设备可信；安全码以上一次通信使用的安全码为基础，提取本次所传输数据内容哈希得到，传输数据的提取规则在接入阶段协商得到，由设备和认证方共享，并由认证方定时更新提取规则。