本發(fā)明屬于設備識別方法，尤其涉及一種基于設備的身份鑒別方法及系統(tǒng)。

背景技術(shù)：

1、隨著物聯(lián)網(wǎng)設備、大規(guī)模邊緣設備和工業(yè)智能終端的廣泛部署，設備接入認證已成為保障系統(tǒng)安全、網(wǎng)絡可信和數(shù)據(jù)可信的核心環(huán)節(jié)。在實際應用中，設備的唯一標識信息被廣泛用于設備身份的注冊與識別。然而，隨著設備使用環(huán)境的復雜化以及攻擊技術(shù)的發(fā)展，單純依賴靜態(tài)唯一標識進行身份鑒別的方式逐漸暴露出安全性不足、抗篡改能力差和識別準確率有限等問題。

2、現(xiàn)有技術(shù)中，設備身份認證主要依賴基于設備本地生成的身份特征值，通過加密哈希算法對設備標識信息進行計算后生成身份認證請求，并由身份認證服務器進行比對驗證。

3、但是現(xiàn)有的方法存在著當前設備身份認證機制多為一次性靜態(tài)比對，缺乏行為層面的動態(tài)分析能力，在認證失敗后普遍采用“直接拒絕”策略，未對設備的訪問行為模式進行深入分析的問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明實施例的目的在于提供一種基于設備的身份鑒別方法，旨在解決背景技術(shù)第三部分中提出的問題。

2、本發(fā)明實施例是這樣實現(xiàn)的，一種基于設備的身份鑒別方法，所述方法包括：

3、獲取目標設備的唯一標識信息，所述唯一標識信息包括設備的硬件序列號、mac地址及固件版本信息；

4、對設備唯一標識信息進行哈希計算，生成身份特征值，發(fā)送身份認證請求至服務器，獲取注冊設備數(shù)據(jù)，匹配注冊設備數(shù)據(jù)與身份認證請求；

5、根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰，計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，根據(jù)比對結(jié)果確定目標設備身份是否合法；

6、比對訪問請求模式與基本模式，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備。

7、優(yōu)選的，所述對設備唯一標識信息進行哈希計算，生成身份特征值，發(fā)送身份認證請求至服務器，獲取注冊設備數(shù)據(jù)，匹配注冊設備數(shù)據(jù)與身份認證請求的步驟，具體包括：

8、根據(jù)唯一標識信息生成身份認證請求，所述身份認證生成方式采用sha-256加密哈希算法，對設備唯一標識信息進行哈希計算；

9、生成身份特征值，所述身份認證請求包括唯一標識信息及當前時間戳，發(fā)送身份認證請求至服務器，所述服務器用于解析身份認證請求并提取目標設備的唯一標識信息；

10、獲取注冊設備數(shù)據(jù)，所述注冊設備數(shù)據(jù)用于為設備身份認證提供可信依據(jù)，并作為后續(xù)行為監(jiān)測、異常識別和安全審計的基準參照，匹配注冊設備數(shù)據(jù)與身份認證請求。

11、優(yōu)選的，所述根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰，計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，根據(jù)比對結(jié)果確定目標設備身份是否合法的步驟，具體包括：

12、獲取匹配結(jié)果，所述匹配結(jié)果包括檢索到匹配的注冊設備數(shù)據(jù)，根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰；

13、計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，分別得到第一哈希值和第二哈希值，比對第一哈希值和第二哈希值；

14、獲取比對結(jié)果，根據(jù)比對結(jié)果確定目標設備身份是否合法，若判定為合法，則發(fā)送身份認證成功信息至目標設備。

15、優(yōu)選的，所述比對訪問請求模式與基本模式，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備的步驟，具體包括：

16、若判定為不合法，則獲取目標設備的訪問請求模式，所述訪問請求模式包括歷史訪問ip、設備運行環(huán)境、訪問時間間隔及訪問請求類型；

17、比對訪問請求模式與基本模式，所述基本模式為正常情況下的合法目標設備，獲取比對結(jié)果，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分；

18、比對異常評分與閾值，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備，接收目標設備確認信息。

19、優(yōu)選的，所述臨時身份認證因子包括安全驗證碼。

20、本發(fā)明實施例的另一目的在于提供一種基于設備的身份鑒別系統(tǒng)，所述系統(tǒng)包括：

21、唯一標識信息模塊，獲取目標設備的唯一標識信息，所述唯一標識信息包括設備的硬件序列號、mac地址及固件版本信息；

22、身份認證模塊，對設備唯一標識信息進行哈希計算，生成身份特征值，發(fā)送身份認證請求至服務器，獲取注冊設備數(shù)據(jù)，匹配注冊設備數(shù)據(jù)與身份認證請求；

23、目標設備身份確認模塊，根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰，計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，根據(jù)比對結(jié)果確定目標設備身份是否合法；

24、臨時身份認證因子模塊，比對訪問請求模式與基本模式，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備。

25、優(yōu)選的，所述身份認證模塊包括：

26、哈希計算單元，根據(jù)唯一標識信息生成身份認證請求，所述身份認證生成方式采用sha-256加密哈希算法，對設備唯一標識信息進行哈希計算；

27、身份特征值單元，生成身份特征值，所述身份認證請求包括唯一標識信息及當前時間戳，發(fā)送身份認證請求至服務器，所述服務器用于解析身份認證請求并提取目標設備的唯一標識信息；

28、身份認證單元，獲取注冊設備數(shù)據(jù)，所述注冊設備數(shù)據(jù)用于為設備身份認證提供可信依據(jù)，并作為后續(xù)行為監(jiān)測、異常識別和安全審計的基準參照，匹配注冊設備數(shù)據(jù)與身份認證請求。

29、優(yōu)選的，所述目標設備身份確認模塊包括：

30、匹配單元，獲取匹配結(jié)果，所述匹配結(jié)果包括檢索到匹配的注冊設備數(shù)據(jù)，根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰；

31、哈希值比對單元，計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，分別得到第一哈希值和第二哈希值，比對第一哈希值和第二哈希值；

32、目標設備身份確認單元，獲取比對結(jié)果，根據(jù)比對結(jié)果確定目標設備身份是否合法，若判定為合法，則發(fā)送身份認證成功信息至目標設備。

33、優(yōu)選的，所述臨時身份認證因子模塊包括：

34、訪問請求單元，若判定為不合法，則獲取目標設備的訪問請求模式，所述訪問請求模式包括歷史訪問ip、設備運行環(huán)境、訪問時間間隔及訪問請求類型；

35、異常評分單元，比對訪問請求模式與基本模式，所述基本模式為正常情況下的合法目標設備，獲取比對結(jié)果，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分；

36、臨時身份認證因子單元，比對異常評分與閾值，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備，接收目標設備確認信息。

37、優(yōu)選的，所述臨時身份認證因子包括安全驗證碼。

38、本發(fā)明實施例提供的一種基于設備的身份鑒別方法，獲取目標設備的唯一標識信息，唯一標識信息包括設備的硬件序列號、mac地址及固件版本信息，根據(jù)唯一標識信息生成身份認證請求，對設備唯一標識信息進行哈希計算，生成身份特征值，發(fā)送身份認證請求至服務器，獲取注冊設備數(shù)據(jù)，匹配注冊設備數(shù)據(jù)與身份認證請求，獲取匹配結(jié)果，根據(jù)匹配結(jié)果獲取服務器內(nèi)存儲的設備公鑰，計算注冊設備數(shù)據(jù)的特征哈希值與身份認證請求中的特征哈希值，分別得到第一哈希值和第二哈希值，比對第一哈希值和第二哈希值，獲取比對結(jié)果，根據(jù)比對結(jié)果確定目標設備身份是否合法，若判定為不合法，則獲取目標設備的訪問請求模式，比對訪問請求模式與基本模式，根據(jù)比對結(jié)果確定異常情況，根據(jù)異常情況確定異常評分，比對異常評分與閾值，若異常評分高于閾值，則發(fā)送臨時身份認證因子至目標設備，接收目標設備確認信息，解決了現(xiàn)有設備鑒別的過程中不能夠?qū)υO備的身份進行多重比對，同時在出現(xiàn)異常情況的時候不能夠及時的預警的問題。