(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210564393.3 (22)申请日 2022.05.23 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 郭雪松　陈军　熊子晗　陈大北　 (74)专利代理 机构 北京柏杉松知识产权代理事 务所(普通 合伙) 11413 专利代理师 马敬　项京 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种访问认证方法、 装置、 系统、 电子设备及 介质 (57)摘要 本公开实施例提供了一种访问认证方法、 装 置、 系统、 电子设备及介质， 涉及通信安全技术领 域， 技术方案包括： 认证设备接收终端发送的访 问报文， 其中访问报文中包括本次启动状态信 息、 终端配置信息和登录用户信息， 本次启动状 态信息为终端从PCR中获取的终端在本次启动过 程经历的各阶段的状态。 然后对访问报文包括的 本次启动状态信息、 终端配置信息和登录用户信 息进行校验。 如果校验通过， 则向终端发送认证 通过报文。 本公开实施例能够提高对终端认证的 安全性。 权利要求书4页 说明书14页 附图4页 CN 114978544 A 2022.08.30 CN 114978544 A 1.一种访问认证方法， 其特 征在于， 应用于认证设备， 所述方法包括： 接收终端发送 的访问报文， 所述访 问报文中包括本次启动状态信息、 终端配置信息和 登录用户信息， 所述本次启动状态信息为所述终端从平台配置寄存器PCR中获取的所述终 端在本次启动过程经历的各阶段的状态； 对所述访问报文包括的本次启动状态信息、 终端配置信息和登录用户信息进行 校验； 如果校验通过， 则向所述终端发送 认证通过报文。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述访问报文包括的本次启动状态 信息、 终端配置信息和登录用户信息进行 校验， 包括： 获取预先存储的所述终端向所述认证设备注册产生的启动状态信 息、 终端配置信 息和 登录用户信息； 对比所述本次启动状态信息和预 先存储的启动状态信息是否相同； 若对比结果 为不同， 则确定校验未通过； 若对比结果为相同， 则根据预先存储的终端配置信息和登录用户信息， 对所述访 问报 文包括的终端配置信息和登录用户信息进行验证； 若验证通过， 则确定校验通过； 若验证未通过， 则确定校验未通过。 3.根据权利要求2所述的方法， 其特征在于， 所述对比所述本次启动状态信 息和预先存 储的启动状态信息是否相同， 包括： 针对所述终端在启动过程经历的每个阶段， 判断所述本次启动状态信 息中该阶段的状 态和预先存储的启动状态信息中该阶段的状态是否相同； 若每个判断结果均为相同， 则确定对比结果 为相同； 若任一判断结果 为不相同， 则确定对比结果 为不相同。 4.根据权利要求2或3所述的方法， 其特征在于， 所述终端配置信 息包括： 终端状态信 息 和网络信息， 所述终端状态信息用于表示所述终端运行 的操作系统的安全状态， 所述网络 信息包括 媒体存取控制MAC地址和互联网协议 IP地址； 所述根据 预先存储的终端配置信 息和登录用户信 息， 对所述访问报文包括的终端配置 信息和登录用户信息进行验证， 包括： 对所述访问报文包括的终端状态信息进行验证， 得到终端状态验证结果； 判断所述访问报文中网络信息包括的MAC地址和预先存储的终端配置信息包括的MAC 地址是否不相同， 以及判断所述访问报文中网络信息包括的IP地址的风险等级 是否为指 定 等级； 如果任一判断结果为是， 则确定网络信息验证结果为未通过； 否则， 确定网络信息验 证结果为通过； 对比所述访问报文包括的登录用户信 息与预先存储的登录用户信 息是否相同， 如果对 比结果为不相同， 则确定 登录用户信息验证结果为未通过； 否则， 确定 登录用户信息验证结 果为通过； 如果所述终端状态验证结果、 所述网络信 息验证结果和所述登录用户信 息验证结果均 为通过， 则确定对所述访问报文包括的终端配置信息和登录用户信息验证通过； 否则， 确定 对所述访问报文包括的终端配置信息和登录用户信息验证未通过。 5.根据权利要求1所述的方法， 其特征在于， 所述访 问报文还包括加密信息； 在对所述权　利　要　求　书 1/4 页 2 CN 114978544 A 2访问报文包括的本次启动状态信息、 终端配置信息和登录用户信息进行校验之前， 所述方 法还包括： 按照预设的解密规则， 对所述加密信息进行解密， 得到解密值； 对所述访问报文包括的本次启动状态信 息、 终端配置信 息和登录用户信 息进行散列运 算， 得到散列值； 对比所述 解密值和所述散列值是否相同； 若相同， 则执行所述对所述访 问报文包括的本次启动状态信息、 终端配置信息和登录 用户信息进行 校验的步骤。 6.一种访问认证方法， 其特 征在于， 应用于终端， 所述方法包括： 从平台配置寄存器PCR中， 获取本次启动 状态信息， 所述本次启动 状态信息为所述终端 在本次启动过程经历的各阶段的状态； 获取终端配置信息和登录用户信息； 向认证设备发送访 问报文， 所述访 问报文包括所述本次启动状态信息、 所述终端配置 信息和所述登录用户信息， 以使得所述认证设备对所述本次启动状态信息、 所述终端配置 信息和所述登录用户信息进行 校验； 接收所述认证设备发送的认证通过报文， 所述认证通过报文为所述认证设备在校验通 过时发送的报文。 7.一种访问认证装置， 其特 征在于， 应用于认证设备， 所述装置包括： 接收模块， 用于接收终端发送的访问报文， 所述访问报文中包括本次启动状态信 息、 终 端配置信息和登录用户信息， 所述本次启动状态信息为所述终端从平台配置寄存器PCR中 获取的所述终端在本次启动过程经历的各阶段的状态； 校验模块， 用于对所述接收模块接收的所述访 问报文包括的本次启动状态信息、 终端 配置信息和登录用户信息进行 校验； 发送模块， 用于如果所述校验 模块校验通过， 则向所述终端发送 认证通过报文。 8.根据权利要求7 所述的装置， 其特 征在于， 所述校验 模块， 具体用于： 获取预先存储的所述终端向所述认证设备注册产生的启动状态信 息、 终端配置信 息和 登录用户信息； 对比所述本次启动状态信息和预 先存储的启动状态信息是否相同； 若对比结果 为不同， 则确定校验未通过； 若对比结果为相同， 则根据预先存储的终端配置信息和登录用户信息， 对所述访 问报 文包括的终端配置信息和登录用户信息进行验证； 若验证通过， 则确定校验通过； 若验证未通过， 则确定校验未通过。 9.根据权利要求8所述的装置， 其特 征在于， 所述校验 模块， 具体用于： 针对所述终端在启动过程经历的每个阶段， 判断所述本次启动状态信 息中该阶段的状 态和预先存储的启动状态信息中该阶段的状态是否相同； 若每个判断结果均为相同， 则确定对比结果 为相同； 若任一判断结果 为不相同， 则确定对比结果 为不相同。 10.根据权利要求8或9所述的装置， 其特征在于， 所述终端配置信息包括： 终端状态信权　利　要　求　书 2/4 页 3 CN 114978544 A 3