[发明专利]基于零信任网络隐身的SPA单包认证方法及装置

权利要求书

1.一种基于零信任网络隐身的SPA单包认证方法，其特征在于，包括：

客户端设备获取第一算法的签名证书，其中，所述签名证书中存储有签名公钥，所述签名公钥对应的签名私钥包括：由所述客户端设备生成的第一签名私钥以及由服务端侧的控制中心设备生成的第二签名私钥；

所述客户端设备通过所述签名证书对应的签名私钥封装认证报文，并将所述认证报文发送至所述服务端侧的网关设备，其中，所述认证报文由所述服务端侧的网关设备转发至所述服务端侧的控制中心设备；

所述客户端设备将所述认证报文发送至所述服务端侧的网关设备，包括：与所述服务端侧的网关设备建立连接；通过传输控制协议向所述服务端侧的网关设备发送所述认证报文；

在接收到所述服务端侧的控制中心设备基于所述认证报文对所述客户端设备成功认证的消息的情况下，所述客户端设备与所述服务端侧的网关设备建立安全隧道，其中，所述安全隧道用于实现所述客户端设备和所述服务端侧的网关设备之间的业务数据传输。

2.根据权利要求1所述的方法，其特征在于，所述客户端设备通过所述签名证书对应的签名私钥封装认证报文，包括：

所述客户端设备从所述服务端侧的控制中心设备获取第一时间戳，并生成第一随机数，其中，所述第一时间戳是所述服务端侧的控制中心设备从时间戳服务器获取的；

所述客户端设备对所述第一时间戳和所述第一随机数进行预处理，得到第一签名值；

所述客户端设备将所述签名证书对应的证书序列号和所述第一签名值发送至所述服务端侧的控制中心设备，其中，所述证书序列号是所述客户端设备解析所述签名证书得到的；

所述客户端设备接收所述服务端侧的控制中心设备返回的第二签名值，其中，所述第二签名值通过以下方式生成：所述服务端侧的控制中心设备利用所述证书序列号查找所述第二签名私钥，并通过所述第二签名私钥，采用协同签名算法对拼接后的所述第一签名值和第二随机数进行计算，得到所述第二签名值，其中，所述第二随机数由所述服务端侧的控制中心设备生成；

所述客户端设备通过所述第一签名私钥，采用协同签名算法对拼接后的所述第一时间戳、所述第一随机数以及所述第二签名值进行计算，得到最终签名值；

所述客户端设备通过设备密钥，采用第二算法对拼接后的所述第一时间戳和所述第一随机数进行计算，得到密文，其中，所述设备密钥是所述客户端设备向所述服务端侧的控制中心设备注册得到的；

所述客户端设备将所述最终签名值、所述密文以及所述证书序列号封装为所述认证报文。

3.根据权利要求2所述的方法，其特征在于，所述客户端设备对所述第一时间戳和所述第一随机数进行预处理，得到第一签名值，包括：

所述客户端设备对所述第一时间戳和所述第一随机数进行预处理，得到第一预处理值；

所述客户端设备将所述证书序列号和所述第一预处理值发送至所述服务端侧的控制中心设备；

所述客户端设备接收所述服务端侧的控制中心设备返回的第二预处理值，并对所述第二预处理值进行校验，其中，所述第二预处理值通过以下方式生成：所述服务端侧的控制中心设备利用所述证书序列号查找所述签名公钥和所述第二签名私钥，并利用所述签名公钥和所述第二签名私钥对所述第一预处理值进行校验，校验成功后生成所述第二随机数，对所述第二随机数进行预处理，生成所述第二预处理值；

所述客户端设备对所述第二预处理值校验成功后，通过所述第一签名私钥，采用所述协同签名算法对拼接后的所述第一时间戳及所述第一随机数进行计算，得到所述第一签名值。

4.根据权利要求2所述的方法，其特征在于，所述服务端侧的控制中心设备通过以下第一方法对所述客户端设备进行认证：

通过所述证书序列号在证书存储目录中查找所述签名证书；

在证书吊销列表中查询所述签名证书是否被吊销；

通过在线证书状态协议查询所述签名证书是否处于有效状态；

如果所述签名证书被吊销，或者未处于有效状态，确定所述客户端设备认证失败。