(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210223946.9 (22)申请日 2022.03.07 (71)申请人 中国大唐集团科 学技术研究总院有 限公司 地址 102211 北京市昌平区未来科技城定 泗路237号都市 绿洲309 申请人 内蒙古大唐国际托克托发电有限责 任公司 (72)发明人 郭卫霞　车业蒙　崔冬　尚雄　 邢博涵　黄冠杰　齐英俊　王路杰　 (74)专利代理 机构 北京中南长风知识产权代理 事务所(普通 合伙) 11674 专利代理师 金光 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种基于国密证书的管理员双因子认证方 法 (57)摘要 本发明涉及一种基于国密证书的管理员双 因子认证方法， 包括： 对设备进行初始化， 生成国 密证书， 包括安全加密设备的加密证书CertB和 管理员A的签名证书CertA； 管理员A使用国密证 书登录安全加密设备： 管理员A和安全加密设备B 建立SSL连接后， 管理员A发送请求， 请求登录安 全加密设备B； 安全加密设备B生成随机数RB,并 将安全加密设备B的加密证书CertB发送给管理 员A； 管理员A收到加密证书CertB后， 对TokenAB, 即RA||sSA， 进行加密； 安全加密设备B收到加密 后的TokenAB后， 执行解密， 签名验签， 用户名、 口 令一致性比对操作。 本发明实现了管理员通过标 准浏览器使用国密证书登录安全加密设备， 既实 现了双因子认证， 又使用国密证书， 提高了管理 员登录设备的安全强度。 权利要求书1页 说明书3页 附图1页 CN 114615046 A 2022.06.10 CN 114615046 A 1.一种基于国密证书的管理员双因子认证方法， 其特 征在于， 包括如下步骤： 对设备进行初始化， 生成国密证书， 包括安全加密设备的加密证书CertB和管理员A的 签名证书Cer tA； 管理员A使用国密证书登录安全加密设备的流 程包括： 步骤1， 管理员A和安全加密设备B建立SSL连接后， 管理员A发送请求， 请求登录安全加 密设备B； 步骤2， 安全加密设备B生成随机 数RB,并将安全加密设备B的加密证书C ertB发送给管理 员A； 步骤3， 管理员A收到加密证书Cer tB后， 执行以下操作： 1)生成随机数RA； 2)管理员A用管理员签名证书CertA对随机数RA、 随机数RB、 用户名、 口令、 进行签名， 得 到sSA； 3)管理员A用安全加密设备B的CertB加密密钥对中的公钥， 对TokenAB,即RA||sSA， 进 行加密； 4)将加密后的To kenAB发送给安全加密设备B； 步骤4， 安全加密设备B收到加密后的To kenAB后， 执 行以下操作： (1)安全加密设备B用加密 密钥对的私钥解密To kenAB， 获得RA| |sSA； (2)安全加密设备B用设备中保存的管理员A的签名密钥 对公钥对sSA进行签名验签； 成 功将得到随机数RA、 随机数Rb、 用户名、 口令； (3)安全加密设备B将获得的RA与验签中得到的RA进行比较， 同时将自己生成的RB与验 签获得的RB进行比较， 均一 致则通过， 否则失败报错； (4)安全加密设备B将验签中得到的用户名、 口令与保存在设备中的用户名、 口令进行 一致性比对， 一 致则登录成功， 否则登录失败； (5)安全加密设备B将登录成功/失败的消息返回给 管理员A。 2.根据权利要求1所述的基于国密证书的管理员双因子认证方法， 其特征在于， 还包 括： 管理员A登录成功后， 更新管理员的签名证书。权　利　要　求　书 1/1 页 2 CN 114615046 A 2一种基于国密证书的管理员双因 子认证方 法 技术领域 [0001]本发明涉及信息安全技术领域， 尤其涉及 一种基于国密 证书的管理员双因子认证 方法。 背景技术 [0002]在网络攻击威胁日盛的当下， 企业要想确保自身网络环境的安全防护， 安全加密 设备是必不可少的网安设备之一。 安全加密设备主要 是作用在内部和外部网络的环境间产 生一种保护的屏障， 从而实现对计算机不安全网络因素 的阻断， 但是安全加密设备也是网 络攻击的对象。 [0003]企业部署安全加密设备， 需要专职管理员对设备进行管理和配置。 管理员登录安 全加密设备， 大多数情况下使用用户名和密码的方式认证。 网络攻击者通过暴力破解管理 员密码登录安全加密设备， 篡改配置实施更深入的破坏。 为了增强管理员认证的安全性， 不 再使用用户名/密码单一的认证方式， 而 是采用双因子认证的方式。 双因子认证的方式有证 书认证、 OTP令牌、 短信认证等。 [0004]管理员登录安全加密设备， 采用HTTPS方式， 使用SSL协议对数据加密保护。 SSL协 议本身可以进行证书认证， 属于双因子认证的一种方式。 [0005]SSL证书认证的方式有两种： 国际证书认证和国密 证书认证。 其中国际证书认证采 用国际协 议， SSL连接过程中采用国际算法完成认证。 国密证书认证采用国密协议， SSL连接 过程采用国密算法(SM1/SM2/SM 3/SM4)的一套标准。 [0006]标准浏览器仅支持SSL国际协议， 支持基于国际证书的SSL证书认证， 不支持基于 国密证书的国密SSL协议， 也就是说， 在标准浏览器无法支持管理员使用国密证书进行SSL 双因子认证 登录安全加密设备。 国际证书通常是RSA算法(2048位)， 国密证书现阶段采用的 是ECC算法， ECC算法由国家密码管理局于2010年12月发布， 是我国自主设计的公钥密码算 法， 在椭圆曲线密码理论基础改进 而来， 其加密强度比RSA算法(2048位)更高。 发明内容 [0007]本发明的目的是一种基于国密证书的管理员双因子认证方法， 实现管理员通过标 准浏览器使用国密证书登录安全加密设备， 既实现双因子认证， 又使用国密证书， 提高管 理 员登录设备的安全强度。 [0008]本发明提供了一种基于国密证书的管理员双因子认证方法， 包括如下步骤： [0009]对设备进行初始化， 生成国密 证书， 包括安全加密设备的加密 证书CertB和管理员 A的签名证书Cer tA； [0010]管理员A使用国密证书登录安全加密设备的流 程包括： [0011]步骤1， 管理员A和安全加密设备B建立SSL连接后， 管理员A发送请求， 请求登录安 全加密设备B； [0012]步骤2， 安全加密设备B生成随机数RB,并将安全加密设备B的加密证书CertB发送说　明　书 1/3 页 3 CN 114615046 A 3