(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111330858.0 (22)申请日 2021.11.11 (65)同一申请的已公布的文献号 申请公布号 CN 113783704 A (43)申请公布日 2021.12.10 (73)专利权人 北京持安科技有限公司 地址 102200 北京市昌平区回龙观东大街 338号创客广场A 2-21-001 (72)发明人 张志宇　何艺　陈洪国　 (74)专利代理 机构 深圳睿臻知识产权代理事务 所(普通合伙) 44684 代理人 张海燕 (51)Int.Cl. H04L 9/32(2006.01) H04L 61/5007(2022.01)H04L 61/5014(2022.01) H04L 9/40(2022.01) (56)对比文件 CN 107534664 A,2018.01.02 CN 110855604 A,2020.02.28 US 2020351261 A1,2020.1 1.05 CN 107360123 A,2017.1 1.17 审查员 芦霞 (54)发明名称 基于临时证书的认证方法、 装置、 设备和存 储介质 (57)摘要 本申请实施例提供一种基于临时证书的认 证方法、 装置、 设备和存储介质， 所述认 证方法包 括， 向第一认证服务器发送第一次认证， 以认证 所述临时证书； 在所述临时证书认证通过后， 获 取通过交换机设置的隔离网段IP； 通过隔离网段 IP向第二认证服务器发送第二次认证， 以认证用 户信息； 在所述用户信息认证通过后， 获取CA签 发的正式证书； 向所述第一认证服务器发送第三 次认证， 以认证所述正式证书； 在所述正式证书 认证通过后， 获得正式网段IP， 以访问授权的网 络资源， 本申请实施例通过在客户端加密内置的 临时证书， 使得在不改变标准802.1X流程及交换 机特性前提下， 通过辅助流程增强了企业内部网 络资源安全性。 权利要求书1页 说明书5页 附图2页 CN 113783704 B 2022.03.18 CN 113783704 B 1.一种基于临时证书的认证方法， 其特征在于， 所述认证方法应用于内置有加密的临 时证书的客户端， 所述认证方法包括： 向第一认证服务器发送第一次认证， 以认证所述临时证书， 所述第一次认证为使用内 置有加密的临时证书发起标准802.1X认证； 在所述临时证书认证通过后， 获取通过交换机设置的隔离网段IP； 通过所述隔离网段IP向第二认证服 务器发送第二次认证， 以认证用户信息； 在所述用户信息认证通过后， 获取CA签发的正式证书； 向所述第一认证服 务器发送第三次认证， 以认证所述 正式证书； 在所述正式证书认证通过后， 获得通过交换机设置的正式网段IP。 2.如权利要求1所述的认证方法， 其特征在于， 所述向第一认证服务器发送第一次认 证， 以认证所述临时证书之前， 所述认证方法包括： 所述客户端处于无法获取IP状态。 3.如权利要求1所述的认证方法， 其特征在于， 所述获取通过交换机设置的隔离网段IP 包括： 通过DHCP协议获取通过 所述交换机设置的隔离网段IP。 4.如权利要求1所述的认证方法， 其特 征在于， 所述获得正式网段IP包括： 通过DHCP协议获取通过交换机设置的正式网段IP。 5.如权利要求1所述的认证方法， 其特征在于， 向所述第一认证服务器发送第三次认 证， 以认证所述 正式证书之后， 所述认证方法包括： 终止认证， 且所述交换机将对应的端口状态改变为未认证状态， 所述客户端处于到无 法获取IP状态。 6.如权利要求1所述的认证方法， 其特征在于， 所述用户信 息为所述客户端的登录账号 和密码。 7.一种基于临时证书的认证装置， 其特征在于， 所述认证装置 内置有加密的临时证书， 所述认证装置包括： 第一发送模块， 用于向第 一认证服务器发送第 一次认证， 以认证所述临时证书， 所述第 一次认证为使用内置有加密的临时证书发起标准802.1X认证； 第一获取模块， 用于在所述临时证书认证通过后， 获取通过交换机设置的隔离网段IP； 第二发送模块， 通过所述隔离网段IP向第二认证服务器发送第二次认证， 以认证用户 信息； 第二获取模块， 用于在所述用户信息认证通过后， 获取CA签发的正式证书； 第三发送模块， 用于向所述第一认证服 务器发送第三次认证， 以认证正式证书； 第三获取模块， 用于在所述 正式证书认证通过后， 获得通过交换机设置的正式网段IP。 8.一种基于临时证书的认证设备， 其特 征在于， 所述设备包括： 处 理器和存 储器； 所述存储器用于存 储一个或多个程序指令； 所述处理器， 用于运行一个或多个程序指令， 用以执行如权利要求1至6任一项所述的 认证方法。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处 理器执行时实现如权利要求1至 6任一项所述的认证方法。权　利　要　求　书 1/1 页 2 CN 113783704 B 2基于临时证书的认证方 法、 装置、 设备和存储介质 技术领域 [0001]本申请实施例 涉及网络安全的技术领域， 具体涉及基于临时证书的认证方法、 装 置、 设备和存 储介质。 背景技术 [0002]由于现有技术中认证系统采用网络应用 系统典型的Client/Server结构， 包括两 个部分： 安装在终端设备客户端和认证服 务器。 [0003]EAP传输层安全性 （TLS） 是一种在基于证书的安全性环境中使用的EAP类型， 它提 供了最强大的身份验证和密钥确定方法， 它是使用最广泛， 也是最安全的一种EAP类型， 但 该种方式需要客户端通过身份证之后才能获取证书， 而要获取证书就需要在未认证前将认 证服务器的接口 曝露出来， 这增 加了了认证服 务器被攻击的风险。 发明内容 [0004]本申请实施例的目的在于提供一种基于临时证书的认证方法、 装置、 设备和存储 介质， 本申请实施例通过在客户端加密内置的临时证书， 使得在不改变标准802.1X协议流 程及交换机特性前提下， 通过辅助流 程增强了企业内部网络资源安全性。 [0005]具体地说， 本申请提供了一种基于临时证书的认证方法， 所述认证方法应用于内 置有加密的临时证书的客户端， 所述认证方法包括： [0006]向第一认证服 务器发送第一次认证， 以认证所述临时证书； [0007]在所述临时证书认证通过后， 获取通过交换机设置的隔离网段IP； [0008]通过所述隔离网段IP向第二认证服 务器发送第二次认证， 以认证用户信息； [0009]在所述用户信息认证通过后， 获取CA签发的正式证书； [0010]向所述第一认证服 务器发送第三次认证， 以认证所述 正式证书； [0011]在所述正式证书认证通过后， 获得通过交换机设置的正式网段IP。 [0012]本申请通过在客户端加密内置的临时证书， 通过临时证书认证后使得客户端获取 隔离网段IP， 之后认证用户信息并获取CA签发的证书， 客户端再通过认证获取正式网段IP 以访问网络资源， 使得在不改变交换机特性前提下， 通过辅助流程增强了企业内部网络资 源安全性， 使得外来的不明设备在未通过指定安全的客户端发起认证前无法连接企业网络 资源。 [0013]在一实施例中， 所述向第一认证服务器发送第一次认证， 以认证所述临时证书之 前， 所述认证方法包括： [0014]所述客户端处于无法获取IP状态。 [0015]在一实施例中， 所述获取通过交换机设置的隔离网段IP包括： [0016]通过DHCP协议获取通过 所述交换机设置的隔离网段IP。 [0017]在一实施例中， 所述获得正式网段IP包括： [0018]通过DHCP协议获取正式网段IP。说　明　书 1/5 页 3 CN 113783704 B 3