(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210931777.4 (22)申请日 2022.08.04 (71)申请人 长扬科技 （北京） 股份有限公司 地址 100195 北京市海淀区闵庄路3号104 幢1层01室 (72)发明人 徐宁　孟德伟　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 专利代理师 张莉瑜 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 可信网络连接身份认证方法、 电子设备及存 储介质 (57)摘要 本发明涉及网络安全技术领域， 特别涉及可 信网络连接身份认证方法、 电子设备及存储介 质， 其中方法包括： 基于EAP， 建立终端设备与认 证服务器 之间的通信； 从认证服务器接收含有认 证服务器的身份证明的数据包； 验证认证服务器 的身份， 若不合法， 则断开通信， 若合法， 则生成 含有终端设备的身份信息的数据包并向认证服 务器发送， 以利用认证服务器认证； 从认证服务 器接收含有认证结果的数据包， 若认证结果为认 证失败， 断开通信， 若认 证结果为继续认 证， 再次 生成含有终端设备的身份信息的数据包并向认 证服务器发送， 若认证结果为认证成功， 确认身 份可信。 本方案能够保证接入网络的终端设备身 份安全可信， 且简单、 轻量， 具备在多种跨域网络 中的兼容 性。 权利要求书3页 说明书13页 附图5页 CN 115314278 A 2022.11.08 CN 115314278 A 1.一种可信网络连接身份认证方法， 其特 征在于， 包括： 基于EAP， 建立请求接入的终端设备与认证服 务器之间的通信； 从所述认证服务器接收含有所述认证服务器的身份证明的数据包； 其中所述认证服务 器的身份 证明基于IBC进行 标识； 基于所述认证服务器的身份证 明， 验证所述认证服务器的身份； 若身份不合法， 则断开 通信， 若身份合法， 则生成含有终端设备的身份信息的数据包并向所述认证服务器发送， 以 利用所述认证服务器执行： 接 收含有终端设备 的身份信息的数据包； 基于终端设备 的身份 信息， 认证所述 终端设备的身份， 生成含有认证结果的数据包， 并向终端设备发送； 其中， 终 端设备的身份信息基于IBC进行 标识； 认证结果包括认证成功、 认证失败和继续认证； 从所述认证服务器接收含有认证结果的数据包； 若认证结果为认证失败， 则断开通信， 若认证结果为继续认证， 则再次生成含有终端设备的身份信息的数据包并向所述认证服务 器发送， 以利用所述认证服务器继续执行认证， 若认证结果为认证成功， 则确认终端设备的 身份可信。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 在确认终端设备的身份可信之后， 判断是否建立与所述认证服 务器之间的加密隧道； 是则建立加密隧道， 并向所述认证服 务器发送受信任凭据。 3.根据权利要求2所述的方法， 其特 征在于， 所述建立加密隧道， 包括： 生成含有终端设备拥 有的受信任凭据模板类型信 息的数据包， 并向所述认证服务器发 送， 以利用所述认证服务器执行： 接 收含有终端设备拥有的受信任凭据模板类型信息的数 据包； 基于终端设备拥有的受信任凭据模板类型信息， 评估终端设备能够提供受信任凭据 的能力， 生成含有模版建议信息的数据包， 并向终端设备发送； 从所述认证服 务器接收含有模版建议信息的数据包； 基于模版建议信 息， 判断终端设备是否能够满足要求； 若不满足， 则生成含有建立隧道 失败标识的数据包并向所述认证服务器回复， 若满足， 则向所述认证服务器返回含有模版 建议信息的数据包， 以利用所述认证服务器执行： 接收含有模版建议信息的数据包； 产生协 商数据， 生成包 含所述认证服 务器产生的协商数据的数据包， 并向终端设备发送； 从所述认证服 务器接收包 含所述认证服 务器产生的协商数据的数据包； 产生协商数据， 生成包含终端设备产生的协商数据的数据包， 并向所述认证服务器发 送， 以利用所述认证服务器执行： 接收包含终端设备产生的协商 数据的数据包； 基于终端设 备及所述认证服 务器产生的协商数据， 生成对称密钥； 基于所述认证服 务器及终端设备产生的协商数据， 生成对称密钥。 4.根据权利要求3所述的方法， 其特 征在于， 向所述认证服 务器发送受信任凭据， 包括： 基于模版建议信息确定受信任凭据； 基于生成的对称密钥对受信任凭据进行加密， 得到包含受信任凭据的加密数据包， 并 向所述认证服务器发送， 以利用所述认证服务器执行： 接收包含受信任凭据的加密数据包； 基于生成的对称密钥对加密数据包进 行解密， 得到受信任凭据； 基于受信任凭据进 行评估， 得到评估结果； 基于 评估结果， 判断是否认证成功， 并向终端设备反馈 。权　利　要　求　书 1/3 页 2 CN 115314278 A 25.根据权利要求 4所述的方法， 其特 征在于， 所述认证服务器的身份证明基于SM9进行标识； 所述含有所述认证服务器的身份证明 的数据包中， 装载有所述认证服务器产生的第一随机数、 所述认证服务器的SM9公钥， 以及 所述认证服 务器的SM9私钥对第一随机数的签名数据， 作为所述认证服 务器的身份 证明； 终端设备的身份信息基于SM9进行标识； 所述含有终端设备的身份信息的数据包中， 装 载有终端设备的SM9公钥， 以及终端设备的SM9私钥对第一随机数的签名数据， 作为终端设 备的身份信息 。 6.根据权利要求5所述的方法， 其特 征在于， 所述包含所述认证服务器产生的协商数据的数据包中， 装载有所述认证服务器产生的 第二随机数， 以及， 基于第二随机数、 终端设备的SM9公钥及S M9密钥交换协议产生的协商 数 据； 所述包含终端设备产生的协商数据的数据包中， 装载有基于第二随机数、 所述认证服 务器的SM9公钥及SM9密钥交换协议产生的协商数据。 7.根据权利要求6所述的方法， 其特 征在于， 所述基于模版建议信息确定受信任凭据， 包括： 根据模版建议信息确定受信任凭据的数据， 并决定是否对受信任凭据的数据进行分 片， 若分片， 则得到多个包含受信任凭据的数据包， 否则得到单个包含受信任凭据的数据 包； 所述基于生成的对称密钥对受信任凭据进行加密， 得到包含受信任凭据的加密数据 包， 包括： 基于生成的对称密钥， 采用SM4加密算法对包含受信任凭据的数据包进行加密， 得到加 密数据； 基于所述认证服务器产生的协商数据得到盐值， 采用SM4加密算法对包含受信任凭据 的数据包或加密数据进行H MAC运算， 得到HMAC数据； 基于得到的加密数据和H MAC数据， 生成包 含受信任凭据的加密数据包。 8.一种可信网络连接身份认证方法， 其特 征在于， 包括： 基于EAP， 建立认证服 务器与请求接入的终端设备之间的通信； 向所述终端设备发送含有认证服务器的身份证明的数据包， 以利用所述终端设备执 行： 接收含有所述认证服务器的身份证明的数据包； 基于含有认证服务器的身份证明的数 据包， 验证认证服务器的身份； 若身份不合法， 则断开通信， 若身份合法， 则生成含有 所述终 端设备的身份信息的数据包并向认证服务器发送； 其中， 认证服务器的身份证明、 所述 终端 设备的身份信息均基于IBC确定； 从所述终端设备接收含有所述终端设备的身份信息的数据包； 基于终端设备的身份信 息， 认证所述终端设备的身份， 生成含有认证结果的数据包， 并 向所述终端设备发送； 其中， 认证结果包括认证成功、 认证失败和继续认证； 若认证结果为 认证失败， 则断开通信， 若认证结果为继续认证， 则继续 从所述终端设备接收含有终端设备 的身份信息的数据包， 再次认证所述 终端设备的身份， 若认证结果为认证成功， 则确认终端 设备的身份可信。 9.一种电子设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 其特征在权　利　要　求　书 2/3 页 3 CN 115314278 A 3