(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210545691.8 (22)申请日 2022.05.20 (65)同一申请的已公布的文献号 申请公布号 CN 114745138 A (43)申请公布日 2022.07.12 (73)专利权人 长扬科技 （北京） 有限公司 地址 100195 北京市海淀区闵庄路3号104 幢1层01室 (72)发明人 吕江波　李飞　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 专利代理师 周娇娇 (51)Int.Cl. H04L 9/32(2006.01)(56)对比文件 CN 110855695 A,2020.02.28 审查员 陈珺泠 (54)发明名称 一种设备认证方法、 装置、 控制平台及存储 介质 (57)摘要 本发明提供一种设备认证方法、 装置、 控制 平台及存储介质， 在零信任架构的前提下， 融合 数字证书技术， 解决网络环境中可信设备的身份 识别及认证问题， 进而实现全网零信任架构安全 战略， 保护全网数据安全并限制网内横向移动攻 击事件。 权利要求书3页 说明书11页 附图3页 CN 114745138 B 2022.08.26 CN 114745138 B 1.一种设备认证方法， 其特 征在于， 所述方法应用于控制平台， 所述方法包括： 基于UDP端口接收待认证设备发送的第一UDP报文， 所述第一UDP报文携带有所述待认 证设备的第一设备 标识； 调取已记录的所述待认证设备的第 二设备标识， 通过匹配所述第 一设备标识和所述第 二设备标识对所述待认证设备进行 预认证； 在所述待认证设备通过预认证的情况下， 向所述待认证设备返回第二UDP报文， 所述第 二UDP报文至少携带有端口标识， 所述端口标识能够指示所述控制平台为所述待认证设备 所分配的目标TCP端口； 基于所述目标TCP端 口接收所述待认证设备的第一TCP报文， 所述第一TCP报文至少携 带有所述待认证设备中预置的S SL客户端证书； 调取SSL服务端证书， 至少通过所述SSL服务端证书与所述SSL客户端证书的证书双向 认证与所述待认证设备建立基于S SL的TCP长连接； 所述UDP报文包括消息头部和消息体部， 所述第一UDP报文的消息头部中包含明文的所 述第一设备 标识、 所述第一UD P报文的消息体部中包 含密文的所述第一设备 标识； 所述通过匹配所述第 一设备标识和所述第 二设备标识对所述待认证设备进行预认证， 包括： 解析所述第一UDP报文， 从所述第一UDP报文的消息头部中提取所述明文的所述第一设 备标识、 从所述第一UD P报文的消息体部中提取 所述密文的所述第一设备 标识； 对所述密文的所述第一设备标识进行解密， 并对比解密结果、 所述明文的所述第一设 备标识和所述第二设备 标识； 在所述解密结果、 所述明文的所述第 一设备标识和所述第 二设备标识三者相同的情况 下， 确定所述待认证设备通过 预认证； 在所述解密结果、 所述明文的所述第 一设备标识和所述第 二设备标识三者中任意两者 不同、 或者 三者各不同的情况 下， 确定所述待认证设备 未通过预认证。 2.根据权利要求1所述的方法， 其特征在于， 所述第二UDP报文还携带有为所述待认证 设备所分配的第一随机码， 所述第一TCP报文还携带有第二随机码； 相应的， 所述至少通过所述SSL服务端证书与所述SSL客户端证书的证书双向认证与所 述待认证设备建立基于S SL的TCP长连接， 包括： 使用所述S SL服务端证书对所述S SL客户端证书 进行证书双向认证； 在证书双向认证通过的情况 下， 对比所述第一随机码和所述第二随机码； 在所述第一随机码和所述第二随机码相同的情况下， 与所述待认证设备建立基于SSL 的TCP长连接； 在证书双 向认证不通过、 或者所述第一随机码和所述第二随机码不同的情况下， 断开 与所述待认证设备的TCP连接 。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 基于所述TCP长连接向所述待认证设备返回第二TCP报文， 所述第二TCP报文至少携带 表征业务认证次数的次数标识和 第三随机码， 所述业务认证次数包括首次业务认证和非首 次业务认证； 接收所述待认证设备基于所述TCP长连接发送的用于实现业务的第三TCP报文， 所述第权　利　要　求　书 1/3 页 2 CN 114745138 B 2三TCP报文携带有签名值， 所述签名值是所述待认证设备基于子证书对所述第三 随机码签 名得到的， 所述子证书是所述待认证设备根据所述次数标识所表征的业务认证次数确定 的， 首次业务认证下 的第一子证书是所述待认证设备 的内置证书、 非首次业务认证下 的第 二子证书是 所述控制平台所签发的； 调取CA证书， 使用所述CA证书对所述签名值进行校验得到第四随机码， 并对比所述第 三随机码和所述第四随机码； 在所述第三随机码和所述第四随机码相同的情况下， 确定所述待认证设备本次业务认 证通过； 在所述第三随机码和所述第四随机码不同的情况下， 确定所述待认证设备本次业务认 证未通过。 4.根据权利要求3所述的方法， 其特 征在于， 所述第二子证书的签发方式包括： 通过所述第 二TCP报文向所述待认证设备签发， 所述第二子证书与所述次数标识、 所述 第三随机码同时被所述第二TCP报文携带， 所述第二TCP报文在所述待认证 设备本次业务认 证通过的情况 下向所述待认证设备返回。 5.根据权利要求4所述的方法， 其特征在于， 所述第二子证书具有工作状态， 所述工作 状态包括有效状态和无效状态； 相应的， 所述第二TCP报文在所述待认证设备本次业务认证通过的情况下向所述待认 证设备返回， 包括： 携带有所述第二子证书的所述第二TCP报文在所述待认证设备本次业务认证通过、 且 被校验的所述签名值对应的历史第二子证书处于无效状态的情况下向所述待认证设备返 回， 所述第二TCP报文所携带的所述第二子证书处于有效状态。 6.根据权利要求3所述的方法， 其特 征在于， 所述第二子证书的获取 方式， 包括： 通过与第三方CA 认证系统对接获取。 7.一种设备认证装置， 其特 征在于， 所述装置应用于控制平台， 所述装置包括： 预认证模块， 用于基于UDP端口接收待认证设备发送的第一UDP报文， 所述第一UDP报文 携带有所述待认证设备 的第一设备标识； 调取已记录的所述待认证设备 的第二设备标识， 通过匹配所述第一设备 标识和所述第二设备 标识对所述待认证设备进行 预认证； TCP长连接建立模块， 用于在所述待认证设备通过预认证的情况下， 向所述待认证设备 返回第二UDP报文， 所述第二UDP报文至少携带有端口标识， 所述端口标识能够指示所述控 制平台为所述待认证设备所分配的目标TCP端口； 基于所述目标TCP端口接收所述待认证设 备的第一TCP报文， 所述第一TCP报文至少携带有 所述待认证 设备中预置的SSL客户端证书； 调取SSL服务端证书， 至少通过所述SSL服务端证书与所述SSL客户端证书的证书双向认证 与所述待认证设备建立基于S SL的TCP长连接； UDP报文包括消息头部和消息体部， 第一UDP报文的消息头部中包含明文的第一设备标 识、 第一UD P报文的消息体部中包 含密文的第一设备 标识； 用于通过匹配第 一设备标识和第 二设备标识对待认证设备进行预认证的预认证模块， 具体用于： 解析第一UDP报文， 从第一UDP报文的消息头部中提取明文的第一设备标识、 从第一UDP 报文的消息体部中提取密文的第一设备标识； 对密文的第一设备标识进行解密， 并对比解权　利　要　求　书 2/3 页 3 CN 114745138 B 3