(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211164557.X (22)申请日 2022.09.23 (71)申请人 中科海川 （北京） 科技有限公司 地址 101106 北京市通州区经济开发区东 区靓丽三街9号-2014 (72)发明人 孙旋　刘玉山　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 李博洋 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) (54)发明名称 基于SD-WAN场景的设备认证方法、 装置、 介 质、 设备 (57)摘要 本发明提供了一种基于SD ‑WAN场景的设备 认证方法、 装置、 介质、 设备， 该方法包括： 生成分 别对应各被管设备的临时身份密钥对及加密密 钥； 基于密管系统的身份密钥的公钥、 预设的各 被管设备的公钥、 临时身份密钥对及加密密钥， 生成注钥包； 接收被管设备反馈的与注钥包相对 应的认证数据包， 基于临时身份密钥对， 对认证 数据包进行校验， 获得并发送校验 结果至对应的 被管设备， 以使被管设备基于密管系统的身份密 钥的公钥对 校验结果进行校验。 本发 明通过生成 与被管设备对应的临时身份密钥、 接收认证数据 包、 发送认证结果的过程， 建立各被管设备与密 管系统的通信连接， 无需通过设备标识信息识别 各被管设备与密管系统间的对应关系， 提高了被 管设备认证的便利性。 权利要求书2页 说明书10页 附图4页 CN 115529127 A 2022.12.27 CN 115529127 A 1.一种基于S D‑WAN场景的设备认证方法， 应用于密管系统侧， 其特 征在于， 包括： 生成分别对应各 所述被管设备的临时身份密钥对及加密 密钥； 基于所述密管系统的身份密钥的公钥、 预设的各被管设备的公钥、 所述临时身份密钥 对及所述加密 密钥， 生成注钥包； 接收所述被管设备反馈的与 所述注钥包相对应的认证数据包， 基于所述临时身份密钥 对， 对所述认证数据包进 行校验， 获得并发送校验 结果至对应的被管设备， 以使 所述被管设 备基于所述密管系统的身份密钥的公钥对所述校验结果进行 校验。 2.根据权利 要求1所述的基于SD ‑WAN场景的设备认证方法， 其特征在于， 所述基于所述 密管系统的身份密钥的公钥、 预设的各被管设备 的公钥、 所述临时身份密钥对及所述加密 密钥， 生成注钥包， 包括： 基于所述预设的各被管设备的公钥， 对所述加密 密钥进行加密， 形成第一加密数据； 基于所述加密 密钥， 对所述临时身份密钥对的私钥进行加密， 形成第二加密数据； 基于所述第一加密数据、 所述第二加密数据、 所述密管系统的身份密钥对的公钥与所 述临时身份密钥的公钥， 形成注钥包。 3.根据权利 要求1所述的基于SD ‑WAN场景的设备认证方法， 其特征在于， 所述基于所述 临时身份密钥对， 对所述认证数据包进行校验， 获得并发送校验结果至对应被管设备， 包 括： 基于所述认证数据包， 获得 各被管设备与密管系统间的通信路由； 基于所述临时身份密钥对的公钥， 对所述认证数据包进行验签； 基于所述密管系统 的身份密钥的公钥对验签结果进行数字签名， 通过所述通信路由向 对应的被管设备发送所述验签结果。 4.一种基于S D‑WAN场景的设备认证方法， 应用于被管设备侧， 其特 征在于， 包括： 获取密管系统生成的注钥包， 所述注钥包为所述密管系统基于所述密管系统的身份密 钥的公钥、 预设的各被管设备的公钥、 临时身份密钥对及加密 密钥生成的； 基于所述被管设备的私钥、 所述加密 密钥， 解析 所述注钥包； 基于预设算法， 得到所述被管设备的认证数据包， 基于解析后的所述注钥包， 发送所述 认证数据包； 接收所述密管系统发送的对所述认证数据包进行校验得到的校验结果， 并基于所述密 管系统的身份密钥的公钥对所述校验结果进行 校验。 5.根据权利 要求4所述的基于SD ‑WAN场景的设备认证方法， 其特征在于， 所述基于所述 被管设备的私钥、 所述加密 密钥， 解析 所述注钥包， 包括： 基于所述被管设备的私钥， 对所述注钥包进行解密， 获得 所述加密 密钥； 基于所述加密 密钥， 对所述注钥包进行解密， 获得临时身份密钥对的私钥； 获取所述加密密钥、 所述临时身份密钥对的私钥、 所述临时身份密钥对的公钥以及所 述密管系统的身份密钥的公钥。 6.根据权利 要求5所述的基于SD ‑WAN场景的设备认证方法， 其特征在于， 所述基于预设 算法， 得到所述被管设备的认证数据包， 基于解析后的所述注钥包， 发送所述认证数据包， 包括： 基于预设算法， 生成所述被管设备的正式身份密钥；权　利　要　求　书 1/2 页 2 CN 115529127 A 2基于所述被管设备的正式身份密钥的公钥， 生成所述认证数据包； 通过所述临时身份密钥对的私钥对所述认证数据包进行数字签名， 并发送所述认证数 据包。 7.一种基于S D‑WAN场景的设备认证装置， 应用于密管系统侧， 其特 征在于， 包括： 密钥生成单元， 被配置为生成分别对应各所述被管设备的临时身份密钥对及加密密 钥； 注钥包生成单元， 被配置为基于所述密管系统的身份密钥的公钥、 预设的各被管设备 的公钥、 所述临时身份密钥对及所述加密 密钥， 生成注钥包； 认证数据包反馈单元， 被配置为接收所述被管设备反馈的与 所述注钥包相对应的认证 数据包， 基于所述临时身份密钥对， 对 所述认证数据包进行校验， 获得并发送校验结果至对 应的被管设备。 8.一种基于S D‑WAN场景的设备认证装置， 应用于被管设备侧， 其特 征在于， 包括： 注钥包获取单元， 被配置为获取密管系统生成的注钥包， 所述注钥包为所述密管系统 基于所述密管系统的身份密钥的公钥、 预设的各被管设备 的公钥、 临时身份密钥对及加密 密钥生成的； 注钥包解析单元， 被配置为基于所述被管设备的私钥、 所述加密密钥， 解析所述注钥 包； 认证数据包发送单元， 被配置为基于预设算法， 得到所述被管设备的认证数据包， 基于 解析后的所述注钥包， 发送所述认证数据包； 校验结果校验单元， 被配置为接收所述密管系统发送的对所述认证数据包进行校验得 到的校验结果， 并基于所述密管系统的身份密钥的公钥对所述校验结果进行 校验。 9.一种非暂态计算机可读存储介质， 其特征在于， 所述非暂态计算机可读存储介质存 储计算机指 令， 所述计算机指 令被处理器执行时实现如权利要求 1‑3或4‑6中任一项 所述的 基于SD‑WAN场景的设备认证方法。 10.一种终端设备， 其特征在于， 包括： 至少一个处理器； 以及与 所述至少一个处理器通 信连接的存储器； 其中， 所述存储器存储有 可被所述至少一个处理器执行的指 令， 所述指 令 被所述至少一个处理器执行， 从而执行如权利要求1 ‑3或4‑6中任一项所述的基于SD ‑WAN场 景的设备认证方法。权　利　要　求　书 2/2 页 3 CN 115529127 A 3