(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210937758.2 (22)申请日 2022.08.05 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 刘汉江　陈文华　王勇　胡淼　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 王辉 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 认证方法及装置、 存 储介质及电子设备 (57)摘要 本公开涉及数据传输技术领域， 具体涉及一 种认证方法及装置、 计算机可读存储介质及电子 设备， 方法包括： 将客户端信息、 用户终端信息和 用户的数字签名封装为初始数据包； 将用户CA 证 书、 初始数据包和密匙信息封装为目标SPA数据 包； 向控制端发送目标SPA数据包， 以使得控制端 根据初始数据包、 数字签名和密匙信息完成初步 认证。 本公开实施例的技术方案提升了SPA单包 授权的安全性， 从而提升零信任系统的安全防护 能力， 有效保护后端业 务系统。 权利要求书3页 说明书12页 附图7页 CN 115296818 A 2022.11.04 CN 115296818 A 1.一种认证方法， 应用于单 数据包授权的客户端， 其特 征在于， 包括： 将客户端信息、 用户终端信息和用户的数字签名封装为初始数据包； 将用户CA证书、 初始数据包和密匙信息 封装为目标S PA数据包； 向控制端发送所述目标SPA数据包， 以使得控制端根据所述初始数据包、 所述数字签名 和所述密匙信息 完成初步认证。 2.根据权利要求1所述的方法， 其特征在于， 所述对客户端信息、 用户终端信息进行数 字签名并封装得到初始数据包， 包括： 将客户端信息、 用户终端信息以及用户的数字签名封装为UDP数据包作为所述初始数 据包； 其中， 所述UDP数据包包括自定义源端口号， 所述自定义源端口号用于表征所述初始数 据包为SPA数据包。 3.根据权利要求2所述的方法， 其特征在于， 所述将客户端信息、 用户终端信息以及用 户的数字签名封装为UD P数据包作为所述初始数据包， 包括： 对所述对客户端信息、 用户终端信息进行编码得到类型长度值对； 将所述类型长度值和所述数字签名封装为UD P数据包作为所述初始数据包。 4.根据权利要求1所述的方法， 其特 征在于， 向控制端发送所述目标S PA数据包 包括： 获取所述目标S PA数据包的哈希值； 将所述目标S PA数据包和所述哈希值发送至所述控制端。 5.一种认证方法， 应用于单 数据包授权的控制端， 其特 征在于， 包括： 接收客户端发送的目标SPA数据包， 所述目标SPA数据包由初始数据包、 用户CA证书和 密匙信息封装得到， 其中， 初始数据包 是由客户端信息、 用户终端信息和用户的数字签名封 装得到的； 根据所述密匙信息确定解密秘钥； 根据所述 解密秘钥和所述目标S PA数据包得到所述初始数据包； 根据所述用户CA证书、 初始数据包和所述数字签名完成初步认证。 6.根据权利要求5所述的方法， 其特征在于， 所述初始数据包为UDP数据包， 且所述UDP 数据包包括自定义源端口号， 所述自定义源端口号用于表征所述初始数据包为SPA数据包， 所述根据所述密匙信息确定解密秘钥， 包括： 响应所述目标SPA数据包中的源端口号为自定义源端口号， 根据所述密匙信息确定解 密秘钥。 7.根据权利要求5所述的方法， 其特 征在于， 根据所述密匙信息确定解密秘钥， 包括： 根据所述目标S PA数据包的总长度确定所述密匙信息的位置； 根据所述密匙信息的位置确定所述键值； 根据所述键值确定所述 解密秘钥。 8.根据权利要求5所述的方法， 其特征在于， 所述根据所述用户CA证书、 初始数据包和 所述数字签名完成初步认证， 包括： 根据所述用户CA证书确定用户信息； 基于所述用户信息在CA获取 所述用户信息对应的目标CA证书； 基于所述目标CA证书、 用户CA证书、 初始数据包和所述数字签名完成初步认证。权　利　要　求　书 1/3 页 2 CN 115296818 A 29.根据权利 要求8所述的方法， 其特征在于， 基于所述目标CA证书、 用户CA证书、 初始数 据包和所述数字签名完成初步认证， 包括： 响应所述用户CA证书与所述目标CA证书一 致， 根据用户CA证书获取用户公钥； 利用所述用户公钥对所述初始数据包进行 数字签名验证并完成初步认证。 10.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 接收所述目标S PA数据包 对应的哈希值； 根据所述哈希值对接收到所述目标S PA数据包的数据进行验证。 11.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 响应所述 客户端信息中的客户端版本不是最 新版本， 向客户端反馈版本更新信息 。 12.一种认证方法， 其特 征在于， 包括： 客户端将客户端信息、 用户终端信息和用户的数字签名封装为初始数据包； 客户端将所述用户CA证书、 初始数据包和密匙信息 封装为目标S PA数据包； 客户端向控制端发送所述目标S PA数据包； 控制端接收客户端发送的目标S PA数据包； 控制端根据所述密匙信息确定解密秘钥； 控制端根据所述 解密秘钥和所述目标S PA数据包得到所述初始数据包； 控制端根据所述用户CA证书、 初始数据包和所述数字签名完成初步认证。 13.一种认证装置， 应用于单 数据包授权的客户端， 其特 征在于， 包括： 第一封装模块， 用于将客户端信息、 用户终端信息和用户的数字签名封装为初始数据 包； 第二封装模块， 用于将所述用户CA证书、 初始数据包和密匙信息封装为目标SPA数据 包； 数据发送模块， 用于向控制端发送所述目标SPA数据包， 以使得控制端根据所述初始数 据包、 所述数字签名和所述密匙信息 完成初步认证。 14.一种认证装置， 应用于单 数据包授权的控制端， 其特 征在于， 包括： 数据接收模块， 用于接收客户端发送的目标SPA数据包， 所述目标SPA数据包 由初始数 据包、 用户CA证书和密匙信息封装得到， 其中， 初始数据包由客户端信息、 用户终端信息和 用户的数字签名封装得到的； 第一解密模块， 用于根据所述密匙信息确定解密秘钥； 第二解密模块， 用于根据所述 解密秘钥和所述目标S PA数据包得到所述初始数据包； 初步认证模块， 用于根据所述用户CA证书、 初始数据包和所述数字签名完成初步认证。 15.一种SDP客户端， 其特征在于， 所述客户端被配置为执行如权利要求1 ‑4任一项所述 的方法。 16.一种SDP控制器， 其特征在于， 所述控制器被配置为执行如权利要求5 ‑11任一项所 述的方法。 17.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理 器执行时实现如权利要求1至12中任一项所述的方法。 18.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 以及权　利　要　求　书 2/3 页 3 CN 115296818 A 3