(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210373051.3 (22)申请日 2022.04.11 (71)申请人 中国南方电网有限责任公司 地址 510000 广东省广州市黄埔区科 学城 科翔路11号 (72)发明人 陶文伟　吴金宇　胡荣　张富川　 张文哲　曾初阳　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 专利代理师 黄恕 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 接入认证方法、 装置和计算机设备 (57)摘要 本申请涉及一种接入认证方法、 装置和计算 机设备。 首先第一端响应于第二端发送的握手请 求， 第一端执行数字证书验证操作； 若第一数字 证书和第二数字证书均合法， 则第一端向第二端 发送信息认证指令， 信息认证指令用于获取第二 端的接入报文， 第一端对接入报文进行认证， 若 接入报文认证通过， 则第一端向第二端发送认证 成功的响应报文， 响应报文表 示允许在第一端和 第二端之间进行数据通信。 该方法实现了基于数 字证书验证和接入报文认证双重验证机制的接 入认证方法， 能够保证第二端的安全接入， 有效 地提升了第一端和第二端之间的通信安全。 权利要求书2页 说明书20页 附图7页 CN 114745180 A 2022.07.12 CN 114745180 A 1.一种接入认证方法， 其特 征在于， 所述方法包括： 第一端响应于第二端发送的握手请求， 所述第一端执行数字证书验证操作； 所述数字 证书验证操作用于验证所述第一端的第一数字证书和所述第二端的第二数字证书的合法 性； 若所述第一数字证书和所述第 二数字证书均合法， 则所述第 一端向所述第 二端发送信 息认证指令， 所述信息认证指令用于获取 所述第二端的接入报文； 所述第一端对所述接入报文 进行认证； 若所述接入报文认证通过， 则所述第一端向所述第二端发送认证成功 的响应报文； 所 述响应报文表示允许在所述第一端和所述第二端之间进行 数据通信。 2.根据权利要求1所述的方法， 其特 征在于， 所述第一端执 行数字证书验证操作， 包括： 所述第一端向所述第 二端发送所述第 一数字证书， 以指示所述第 二端验证所述第 一数 字证书的合法性； 所述第一端接收所述第 二端发送的第 二数字证书， 所述第 二数字证书为所述第 二端确 定所述第一数字证书合法后发送的； 所述第一端对所述第二数字证书的合法性进行 校验； 若第二数字证书的合法性验证通过， 所述第 一端确定所述第 一数字证书和所述第 二数 字证书均合法。 3.根据权利要求2所述的方法， 其特征在于， 所述第 一端向所述第 二端发送第 一数字证 书， 包括： 所述第一端根据所述第二端的公钥， 对第一参考数字证书进行加密处理， 得到所述第 一数字证书； 所述第一 参考数字证书包括所述第一端的身份信息； 将所述第一数字证书发送至所述第二端。 4.根据权利要求2或3所述的方法， 其特征在于， 所述第一端对所述第二数字证书的合 法性进行 校验， 包括： 所述第一端对所述第二数字证书进行解密处理， 得到第二参考数字证书； 所述第二参 考数字证书包括所述第二 参考数字证书所属认证中心的标识和数字签名； 检测预存的认证中心信任列表中是否存在所述认证中心的标识， 以及验证所述数字签 名的篡改状态； 若所述认证中心信任列表中存在所述认证中心的标识， 且所述数字签名的篡改状态为 未篡改， 则检测所述认证中心的撤销列表中是否存在所述第二 参考数字证书； 若所述认证中心的撤销列表中不存在所述第 二参考数字证书， 则确定所述第 二数字证 书的合法性验证通过。 5.根据权利要求4所述的方法， 其特征在于， 所述第 二参考数字证书还包括所述第 二端 的属性信息； 所述验证所述数字签名的篡改状态， 包括： 所述第一端获取所述认证中心的公钥， 并根据所述认证中心的公钥对所述数字签名进 行解密， 得到第一哈希值； 所述第一端根据预设的哈希算法对所述属性信息进行计算， 得到第二哈希值； 若所述第一哈希值和所述第 二哈希值相同， 则所述第 一端确定所述数字签名的篡改状 态为未篡改。权　利　要　求　书 1/2 页 2 CN 114745180 A 26.根据权利要求1 ‑3任一项所述的方法， 其特 征在于， 所述方法还 包括： 若所述第一数字证书和所述第 二数字证书均合法， 则所述第 一端构建与所述第 二端之 间的连接通道； 所述连接通道包括所述第一端与所述第二端之间的传输协议； 所述第一端通过 所述连接通道接收所述第二端的接入报文。 7.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 所述接入报文包括接入数据和签 名数据； 所述第二数字证书包括所述第二数字证书的公钥； 则所述第一端对所述接入报文 进行认证， 包括： 所述第一端根据 所述第二数字证书的公钥对所述签名数据进行解密， 得到第 一摘要信 息； 所述第一端确定所述签名数据的摘要提取方式， 并通过所述摘要提取方式对所述接入 数据的摘要 进行提取， 得到第二摘要信息； 对比所述第 一摘要信 息和所述第 二摘要信 息， 若所述第 一摘要信 息和所述第 二摘要信 息相同， 则所述第一端确定所述接入报文认证通过。 8.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 所述接入报文包括接入数据和循 环冗余校验数据； 所述第二数字证书包括所述第二数字证书的公钥； 则所述第一端对所述 接入报文 进行认证， 包括： 所述第一端根据 所述第二数字证书的公钥对所述循环冗余校验数据进行解密， 得到第 一循环冗余校验值； 所述第一端根据 预设的校验值生成方法对所述接入数据进行计算， 得到第 二循环冗余 校验值； 对比所述第 一循环冗余校验值和所述第 二循环冗余校验值， 若所述第 一循环冗余校验 值和所述第二循环冗余校验值相同， 则所述第一端确定所述接入报文认证通过。 9.一种接入认证装置， 其特 征在于， 所述装置包括： 验证模块， 用于第一端响应于第二端发送的握手请求， 所述第一端执行数字证书验证 操作； 所述数字证书验证操作用于验证所述第一端的第一数字证书和所述第二端的第二数 字证书的合法性； 第一发送模块， 用于若所述第一数字证书和所述第二数字证书均合法， 则所述第一端 向所述第二端发送信息认证指令， 所述信息认证指令用于获取 所述第二端的接入报文； 认证模块， 用于所述第一端对所述接入报文 进行认证； 第二发送模块， 用于若所述接入报文认证通过， 则所述第一端向所述第二端发送认证 成功的响应报文； 所述响应报文表示允许在所述第一端和所述第二端之间进行 数据通信。 10.一种计算机设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114745180 A 3