[发明专利]基于零信任网络隐身的SPA单包认证方法及装置

说明书

本申请公开了一种基于零信任网络隐身的SPA单包认证方法及装置。其中，该方法包括：客户端设备获取第一算法的签名证书，其中，签名证书中存储有签名公钥，签名公钥对应的签名私钥包括：由客户端设备生成的第一签名私钥以及由服务端侧的控制中心设备生成的第二签名私钥；客户端设备通过签名证书对应的签名私钥封装认证报文，并将认证报文发送至服务端侧的网关设备，其中，认证报文由服务端侧的网关设备转发至服务端侧的控制中心设备；在接收到服务端侧的控制中心设备基于认证报文对客户端设备成功认证的消息的情况下，客户端设备与服务端侧的网关设备建立安全隧道，其中，安全隧道用于实现客户端设备和服务端侧的网关设备之间的业务数据传输。

技术领域

本申请涉及设备认证领域，具体而言，涉及一种基于零信任网络隐身的SPA单包认证方法及装置。

背景技术

现有的设备认证方案一般仅通过对称算法或基于HMAC的一次性密码算法（AnHMAC-Based One-Time Password，HOTP）等算法，利用零信任单包授权SPA认证报文进行认证，均是基于软件进行认证，容易被破解或伪造，存在安全性漏洞，容易被黑客攻击。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于零信任网络隐身的SPA单包认证方法及装置，以至少解决现有的设备认证方案容易被破解或伪造，存在安全漏洞，安全性较低的技术问题。

根据本申请实施例的一个方面，提供了一种基于零信任网络隐身的SPA单包认证方法，包括：客户端设备获取第一算法的签名证书，其中，签名证书中存储有签名公钥，签名公钥对应的签名私钥包括：由客户端设备生成的第一签名私钥以及由服务端侧的控制中心设备生成的第二签名私钥；客户端设备通过签名证书对应的签名私钥封装认证报文，并将认证报文发送至服务端侧的网关设备，其中，认证报文由服务端侧的网关设备转发至服务端侧的控制中心设备；在接收到服务端侧的控制中心设备基于认证报文对客户端设备成功认证的消息的情况下，客户端设备与服务端侧的网关设备建立安全隧道，其中，安全隧道用于实现客户端设备和服务端侧的网关设备之间的业务数据传输。

可选地，客户端设备通过签名证书对应的签名私钥封装认证报文，包括：客户端设备从服务端侧的控制中心设备获取第一时间戳，并生成第一随机数，其中，第一时间戳是服务端侧的控制中心设备从时间戳服务器获取的；客户端设备对第一时间戳和第一随机数进行预处理，得到第一签名值；客户端设备将签名证书对应的证书序列号和第一签名值发送至服务端侧的控制中心设备，其中，证书序列号是客户端设备解析签名证书得到的；客户端设备接收服务端侧的控制中心设备返回的第二签名值，其中，第二签名值通过以下方式生成：服务端侧的控制中心设备利用证书序列号查找第二签名私钥，并通过第二签名私钥，采用协同签名算法对拼接后的第一签名值和第二随机数进行计算，得到第二签名值，其中，第二随机数由服务端侧的控制中心设备生成；客户端设备通过第一签名私钥，采用协同签名算法对拼接后的第一时间戳、第一随机数以及第二签名值进行计算，得到最终签名值；客户端设备通过设备密钥，采用第二算法对拼接后的第一时间戳和第一随机数进行计算，得到密文，其中，设备密钥是客户端设备向服务端侧的控制中心设备注册得到的；客户端设备将最终签名值、密文以及证书序列号封装为认证报文。

可选地，客户端设备对第一时间戳和第一随机数进行预处理，得到第一签名值，包括：客户端设备对第一时间戳和第一随机数进行预处理，得到第一预处理值；客户端设备将证书序列号和第一预处理值发送至服务端侧的控制中心设备；客户端设备接收服务端侧的控制中心设备返回的第二预处理值，并对第二预处理值进行校验，其中，第二预处理值通过以下方式生成：服务端侧的控制中心设备利用证书序列号查找签名公钥和第二签名私钥，并利用签名公钥和第二签名私钥对第一预处理值进行校验，校验成功后生成第二随机数，对第二随机数进行预处理，生成第二预处理值；客户端设备对第二预处理值校验成功后，通过第一签名私钥，采用协同签名算法对拼接后的第一时间戳及第一随机数进行计算，得到第一签名值。