[发明专利]一种基于零信任架构的物联网终端认证方法

权利要求书

1.一种基于零信任架构的物联网终端认证方法，其特征在于，基于管控平台和零信任网关，包括以下步骤：

S1：终端向管控平台提交接入请求；

S2：管控平台对接入请求进行指令签名并验证用户设备信息，通过后建立TLS连接，返回授权票据和对应的零信任网关信息；

S3：终端根据授权票据向对应的零信任网关发起TLS连接建立请求；

S4：零信任网关收到请求后向管控平台获取用户授权策略信息，认证通过后，终端获准接入物联网应用系统后台；

S5：管控平台根据网络流量进行监控，实时调整零信任网关的TCP端口阈值，对不可信终端停止接入。

2.根据权利要求1所述的一种基于零信任架构的物联网终端认证方法，其特征在于，所述管控平台对接入请求进行指令签名并验证用户设备信息，包括：

判断接入请求是否符合预设条件，如果符合则进行指令签名；

将用户设备信息进行读取，并存入设备信息库，判断设备信息库中是否存在相同用户设备信息，将对应终端标记为新用户或老用户。

3.根据权利要求1所述的一种基于零信任架构的物联网终端认证方法，其特征在于，所述终端根据授权票据向对应的零信任网关发起TLS连接建立请求，包括：

终端根据管控平台返回的授权票据和对应的零信任网关信息，查找对应的零信任网关；

终端将授权票据发送至对应的零信任网关，发起TLS连接建立请求。

4.根据权利要求1所述的一种基于零信任架构的物联网终端认证方法，其特征在于，所述零信任网关收到请求后向管控平台获取用户授权策略信息，认证通过后，终端获准接入物联网应用系统后台，包括：

零信任网关收到请求后，提取授权票据中携带的用户信息和授权信息；

零信任网关向管控平台获取用户授权策略信息，将用户授权策略信息与授权票据中携带的用户信息和授权信息进行比对，如一致，则认证通过，否则认证失败；

认证通过后，终端能够通过零信任网关接入物联网应用系统后台。

5.根据权利要求1所述的一种基于零信任架构的物联网终端认证方法，其特征在于，所述管控平台根据网络流量进行监控，实时调整零信任网关的TCP端口阈值，对不可信终端停止接入，包括：

为TCP端口阈值设置第一阈值，判断同一个IP地址对应的TCP端口数量与第一阈值的关系，如TCP端口数量大于第一阈值，则增加第一阈值的数值得到第二阈值，否则第一阈值不变，重复执行本步骤；

同时判断TCP端口号与ARP表中是否对应，如对应认为终端可信，如不对应，则判断TCP端口阈值的变化情况，确认终端是否可信。

6.根据权利要求5所述的一种基于零信任架构的物联网终端认证方法，其特征在于，所述判断TCP端口阈值的变化情况，确认终端是否可信，包括：判断TCP端口阈值在第一阈值的基础上的变化幅度，如变化幅度小于预设值则认为终端可信，否则进一步判断终端的TCP端口实时数量，大于条件值则认为终端不可信。