(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210357140.9 (22)申请日 2022.04.07 (65)同一申请的已公布的文献号 申请公布号 CN 114448729 A (43)申请公布日 2022.05.06 (73)专利权人 中国信息通信研究院 地址 100191 北京市海淀区学院路40号 (72)发明人 马宝罗　池程　刘阳　朱斯语　 尹子航　 (74)专利代理 机构 北京思源智汇知识产权代理 有限公司 1 1657 专利代理师 李洪娟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)(56)对比文件 CN 106529948 A,2017.0 3.22 CN 1835438 A,20 06.09.20 CN 111262834 A,2020.0 6.09 WO 2017045 552 A1,2017.0 3.23 CN 113810412 A,2021.12.17 US 2015067822 A1,2015.0 3.05 US 2018145979 A1,2018.0 5.24 彭春晖等.移动智能终端的个人信息安全技 术分析. 《电信网技 术》 .2015,(第01期), 董云耀等.基 于PKI的安全 套接层通信模型 的设计与实现. 《杭州电子科技大 学学报》 .20 06, (第06期), Hee-Yong Kwon.Fast Verificati on of Signatures W ith Shared E CQV Impl icit Certificates. 《IE EE Transacti ons on Vehicular Tec hnology》 .2019, 审查员 尹梦舒 (54)发明名称 工业互联网中客户端的身份认证方法和装 置 (57)摘要 本公开实施例公开了一种工业互联网中客 户端的身份认证方法、 装置、 电子设备和存储介 质， 其中， 方法包括： 当验证信息携带的客户端的 第一签名通过验证， 协同签名端对第一标识解析 请求进行签名处理， 得到第二标识解析请求； 客 户端对第二标识解析请求进行签名处理， 得到第 三标识解析请求， 身份认证端通过第一数字证书 和第二数字证书分别对客户端的第二签名和协 同签名端的签名进行验证， 当协同签名端的签名 和客户端的第二签名均验证通过， 确定客户端的 身份验证通过。 由此实现对客户端身份的验证， 提高了标识解析体系的安全性， 降低了由于客户 端被攻击、 身份凭证丢失等使得客户端被仿冒， 从而导致标识解析信息 被泄漏的风险。 权利要求书2页 说明书11页 附图5页 CN 114448729 B 2022.06.07 CN 114448729 B 1.一种工业互联网中客户端的身份认证方法， 其特 征在于， 包括： 协同签名端接收客户端发送的第一标识解析请求信息， 其中， 所述第一标识解析请求 信息包括第一标识解析请求和验证信息， 所述验证信息携带有所述 客户端的第一签名； 响应于所述验证信 息携带的所述客户端的第 一签名通过验证， 所述协同签名端对所述 第一标识解析请求进行签名处 理， 得到第二标识解析请求； 将所述第二标识解析请求发送给 所述客户端； 所述客户端对所述第二标识解析请求进行签名处理， 得到第 三标识解析请求， 其中， 所 述第三标识解析请求携带有客户端的第二签名和协同签名端的签名； 将所述第三标识解析请求发送给身份认证端； 所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二 签名进行验证， 以及通过第二数字证书对所述第三标识 解析请求所携带的协同签名端的签 名进行验证； 响应于所述第三标识解析请求所携带的协同签名端的签名和客户端的第二签名均验 证通过， 确定所述 客户端的身份验证通过。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 证书端接收所述客户端发送的第一证书申请信息， 其中， 所述第一证书申请信息包括 第一身份信息和 第一公私密钥对中的第一公钥， 所述第一公钥用于对所述客户端通过所述 第一公私密钥对中的第一私钥生成的客户端的第二签名进行验证； 响应于所述第一身份信息通过 所述证书 端的审核， 所述证书 端生成第一数字证书； 分别向所述身份认证端和所述 客户端发送所述第一数字证书。 3.根据权利要求2所述的方法， 其特 征在于， 还 包括： 所述证书端接收所述协同签名端发送的第二证书申请信息， 其中， 所述第二证书申请 信息包括第二身份信息和 第二公私密钥对中的第二公钥， 所述第二 公钥用于对所述第二 公 私密钥对中的第二私钥生成的协同签名端的签名进行验证； 响应于所述第二身份信息通过 所述证书 端的审核， 所述证书 端生成第二数字证书； 分别向所述身份认证端和所述协同签名端发送所述第二数字证书。 4.根据权利要求3所述的方法， 其特 征在于， 所述第一数字证书包括所述第一公钥； 所述身份认证端通过第一数字证书对所述第三标识解析请求所携带的客户端的第二 签名进行验证， 包括： 所述身份认证端通过所述第一公钥对所述第三标识解析请求所携带的客户端的第二 签名进行验证。 5.根据权利要求 4所述的方法， 其特 征在于， 所述第二数字证书包括所述第二公钥； 所述身份认证端通过第二数字证书对所述第三标识解析请求所携带的协同签名端的 签名进行验证， 包括： 所述身份认证端通过所述第二公钥对所述第三标识解析请求所携带的协同签名端的 签名进行验证。 6.根据权利要求1 ‑3中任一项所述的方法， 其特 征在于， 还 包括： 所述协同签名端接收所述客户端发送的认证信 息， 所述认证信 息包括第 一身份信 息和 第三公私密钥对中的第三公钥， 其中， 所述第三公钥用于验证所述客户端通过所述第三公权　利　要　求　书 1/2 页 2 CN 114448729 B 2私密钥对中的第三私钥生成的客户端的第一签名； 响应于所述第 一身份信 息通过所述协同签名端验证， 所述协同签名端存储所述第 三公 钥， 并向所述 客户端反馈认证通过消息 。 7.根据权利要求6所述的方法， 其特 征在于， 还 包括： 所述客户端通过所述第 三私钥对所述验证信 息进行签名处理， 以使所述验证信 息携带 有客户端的第一签名； 所述协同签名端通过所述第三公钥对所述验证信息所携带的所述客户端的第一签名 进行验证。 8.一种工业互联网中客户端的身份认证装置， 其特 征在于， 包括： 第一接收模块， 用于协同签名端接收客户端发送的第 一标识解析请求信息， 其中， 所述 第一标识解析请求信息包括第一标识解析请求和验证信息， 所述验证信息携带有 所述客户 端的第一签名； 第一响应模块， 用于响应于所述验证信息携带的所述客户端的第一签名通过验证， 所 述协同签名端对所述第一标识解析请求进行签名处 理， 得到第二标识解析请求； 第一发送模块， 用于将所述第二标识解析请求发送给 所述客户端； 签名模块， 用于所述客户端对所述第二标识解析请求进行签名处理， 得到第三标识解 析请求， 其中， 所述第三标识解析请求携带有客户端的第二签名和协同签名端的签名； 第二发送模块， 用于将所述第三标识解析请求发送给身份认证端； 第一验证模块， 用于所述身份认证端通过第 一数字证书对所述第 三标识解析请求所携 带的客户端的第二签名进 行验证， 以及通过第二数字证书对所述第三标识 解析请求所携带 的协同签名端的签名进行验证； 第二响应模块， 用于响应于所述第 三标识解析请求所携带的协同签名端的签名和客户 端的第二签名均验证通过， 确定所述 客户端的身份验证通过。 9.一种电子设备， 其特征在于， 包括： 存储器， 用于存储计算机程序产品； 处理器， 用于 执行所述存储器中存储的计算机程序产品， 且所述计算机程序产品被执行时， 实现上述权 利要求1‑7任一所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该计算机程 序指令被处 理器执行时， 实现上述权利要求1 ‑7任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114448729 B 3