(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211520757.4 (22)申请日 2022.11.30 (71)申请人 北京时代亿信科技股份有限公司 地址 100089 北京市海淀区西直门北 大街 32号枫蓝国际A座804室 (72)发明人 常进　张斌　李继国　刘伟丰　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 薛芸 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 基于零信任网络隐身的SPA单包认证方法及 装置 (57)摘要 本申请公开了一种基于零信任网络隐身的 SPA单包认证方法及装置。 其中， 该方法包括： 客 户端设备获取第一算法的签名证书， 其中， 签名 证书中存储有签名公钥， 签名公钥对应的签名私 钥包括： 由客户端设备生 成的第一签名私钥以及 由服务端侧的控制中心设备生成的第二签名私 钥； 客户端设备通过签名证书对应的签名私钥封 装认证报文， 并将认证报文发送至服务端侧的网 关设备， 其中， 认证报文由服务端侧的网关设备 转发至服务端侧的控制中心设备； 在接收到服务 端侧的控制中心设备基于认证报文对客户端设 备成功认证的消息的情况下， 客户端设备与服务 端侧的网关设备建立安全隧道， 其中， 安全隧道 用于实现客户端设备和服务端侧的网关设备之 间的业务数据传输 。 权利要求书3页 说明书10页 附图5页 CN 115549929 A 2022.12.30 CN 115549929 A 1.一种基于零信任网络隐身的S PA单包认证方法， 其特 征在于， 包括： 客户端设备获取第一算法的签名证书， 其中， 所述签名证书中存储有签名公钥， 所述签 名公钥对应的签名私钥包括： 由所述客户端设备生成的第一签名私钥以及由服务端侧的控 制中心设备生成的第二签名私钥； 所述客户端设备通过所述签名证书对应的签名私钥封装认证报文， 并将所述认证报文 发送至所述服务端侧的网关设备， 其中， 所述认证报文由所述服务端侧的网关设备转发至 所述服务端侧的控制中心设备； 在接收到所述服务端侧的控制中心设备基于所述认证报文对所述客户端设备成功认 证的消息的情况下， 所述客户端设备与所述服务端侧的网关设备建立安全隧道， 其中， 所述 安全隧道用于实现所述 客户端设备和所述 服务端侧的网关 设备之间的业 务数据传输 。 2.根据权利要求1所述的方法， 其特征在于， 所述客户端设备通过所述签名证书对应的 签名私钥封装认证报文， 包括： 所述客户端设备从所述服务端侧的控制中心设备获取第一时间戳， 并生成第一随机 数， 其中， 所述第一时间戳是 所述服务端侧的控制中心设备从时间戳 服务器获取的； 所述客户端设备对所述第一时间戳和所述第一随机数进行 预处理， 得到第一签名值； 所述客户端设备将所述签名证书对应的证书序列号和所述第一签名值发送至所述服 务端侧的控制中心设备， 其中， 所述证书序列号是所述客户端设备解析所述签名证书得到 的； 所述客户端设备接收所述服务端侧的控制中心设备返回的第二签名值， 其中， 所述第 二签名值通过以下方式生成： 所述服务端侧的控制中心设备利用所述证书序列号查找所述 第二签名私钥， 并通过所述第二签名私钥， 采用协同签名算法对拼接后的所述第一签名值 和第二随机数进行计算， 得到所述第二签名值， 其中， 所述第二随机数由所述服务端侧的控 制中心设备生成； 所述客户端设备通过所述第 一签名私钥， 采用协同签名算法对拼接后的所述第 一时间 戳、 所述第一随机数以及所述第二签名值进行计算， 得到最终签名值； 所述客户端设备通过设备密钥， 采用第 二算法对拼接后的所述第 一时间戳和所述第 一 随机数进 行计算， 得到密 文， 其中， 所述设备密钥是所述客户端设备向所述服务端侧的控制 中心设备注 册得到的； 所述客户端设备将所述最终签名值、 所述密文以及所述证书序列号封装为所述认证报 文。 3.根据权利要求2所述的方法， 其特征在于， 所述客户端设备对所述第 一时间戳和所述 第一随机数进行 预处理， 得到第一签名值， 包括： 所述客户端设备对所述第一时间戳和所述第一随机数进行预处理， 得到第一预处理 值； 所述客户端设备将所述证书序列号和所述第一预处理值发送至所述服务端侧的控制 中心设备； 所述客户端设备接收所述服务端侧的控制中心设备返回的第 二预处理值， 并对所述第 二预处理值进 行校验， 其中， 所述第二预处理值通过以下方式生成： 所述服务端侧的控制中 心设备利用所述证书序列号查找所述签名公钥和所述第二签名私钥， 并利用所述签名公钥权　利　要　求　书 1/3 页 2 CN 115549929 A 2和所述第二签名私钥对所述第一预处理值进行校验， 校验成功后生成所述第二随机数， 对 所述第二随机数进行 预处理， 生成所述第二预处 理值； 所述客户端设备对所述第二预处理值校验成功后， 通过所述第一签名私钥， 采用所述 协同签名算法对拼接后的所述第一时间戳及所述第一随机数进行计算， 得到所述第一签名 值。 4.根据权利要求2所述的方法， 其特征在于， 所述服务端侧的控制中心设备通过以下第 一方法对所述 客户端设备进行认证： 通过所述证书序列号在证书存 储目录中查找所述签名证书； 在证书吊销列表中查询所述签名证书是否被吊销； 通过在线证书状态 协议查询所述签名证书是否处于有效状态； 如果所述签名证书被吊销， 或者未处于有效状态， 确定所述 客户端设备认证失败。 5.根据权利要求4所述的方法， 其特征在于， 所述服务端侧的控制中心设备还通过以下 第二方法对所述 客户端设备进行认证： 通过所述证书序列号查找所述设备密钥， 利用所述设备密钥对所述密文进行解密， 得 到拼接后的所述第一时间戳和所述第一随机数； 从所述时间戳服务器获取第 二时间戳， 如果所述第 二时间戳与 所述第一时间戳的时间 差没有位于预设范围内， 确定所述 客户端设备由于认证超时导 致认证失败； 在所述服务端侧的控制中心设备的缓存中查找所述第 一随机数， 如果所述服务端侧的 控制中心设备的缓存中存在所述第一随机数， 确定由于在预设时长内重复发起认证请求导 致所述客户端设备认证失败。 6.根据权利要求5所述的方法， 其特征在于， 所述服务端侧的控制中心设备还通过以下 第三方法对所述 客户端设备进行认证： 通过根证书验签所述签名证书是否处于有效状态； 若所述签名证书未处于所述有效状态， 确定所述 客户端设备认证失败； 若所述签名证书处于所述有效状态， 利用所述签名证书对所述 最终签名值进行验签； 若所述最终签名值验签失败， 确定所述 客户端设备认证失败。 7.根据权利要求6所述的方法， 其特征在于， 如果所述服务端侧的控制中心设备通过所 述第一方法， 所述第二方法及所述第三方法对所述客户端设备进行认证均认证成功， 确定 所述客户端设备认证成功。 8.根据权利要求1所述的方法， 其特征在于， 所述客户端设备将所述认证报文发送至所 述服务端侧的网关 设备， 包括： 与所述服务端侧的网关 设备建立连接； 通过传输控制协议向所述 服务端侧的网关 设备发送所述认证报文。 9.一种基于零信任网络隐身的S PA单包认证方法， 其特 征在于， 包括： 服务端侧的控制中心设备接收由所述服务端侧的网关设备转发的认证报文， 其中， 所 述认证报文是客户端设备通过第一算法的签名证书对应的签名私钥封装得到的， 所述签名 证书中存储有签名公钥， 所述签名公钥对应的签名私钥包括： 由所述客户端设备生成的第 一签名私钥以及由所述 服务端侧的控制中心设备生成的第二签名私钥； 所述服务端侧的控制中心设备通过 所述认证报文对所述 客户端设备进行认证。权　利　要　求　书 2/3 页 3 CN 115549929 A 3