(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111629669.3 (22)申请日 2021.12.28 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杨银淼　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. G06F 21/44(2013.01) G06F 21/60(2013.01)G06F 21/64(2013.01) (54)发明名称 一种客户端认证方法、 装置、 设备以及存储 介质 (57)摘要 本申请提供一种客户端认证方法、 装置、 设 备以及存储介质， 所述客户端认证方法， 包括： 从 客户端发送的客户端C ertificate报 文中获取客 户端多证书链， 所述客户端多证书链包括多个客 户端证书链， 所述客户端证书链包括多个证书； 对所述客户端多证书链进行校验， 得到校验结 果； 若所述校验结果为校验通过， 则根据所述客 户端多证书链对应的证书公钥、 客户端发送的加 密哈希值和本地计算得到的哈希 值， 得到认证结 果， 所述加密哈希值是所述客户端通过私钥加密 得到的。 权利要求书2页 说明书12页 附图3页 CN 114329426 A 2022.04.12 CN 114329426 A 1.一种客户端认证方法， 其特 征在于， 包括： 从客户端发送的客户端Certificate报文中获取客户端多证书链， 所述客户端多证书 链包括多个客户端证书链， 所述 客户端证书链包括多个 证书； 对所述客户端多证书链进行 校验， 得到校验结果； 若所述校验结果为校验通过， 则根据所述客户端多证书链对应的证书公钥、 客户端发 送的加密哈希值和本地计算得到的哈希值， 得到认证结果， 所述加密哈希值是所述客户端 通过私钥加密得到的。 2.根据权利要求1所述的客户端认证方法， 其特征在于， 所述根据 所述客户端多证书链 对应的证书公钥、 客户端发送的加密哈希值和本地计算得到的哈希值， 得到认证结果， 包 括： 使用所述 客户端多证书链对应的证书公钥解密所述加密哈希值， 得到解密哈希值； 若所述解密哈希值与本地计算得到的哈希值相同， 则认证结果 为认证通过； 若所述解密哈希值与本地计算得到的哈希值 不同， 则认证结果 为认证失败。 3.根据权利要求1所述的客户端认证方法， 其特征在于， 所述对所述客户端多证书链进 行校验， 得到校验结果， 包括： 确定所述 客户端多证书链中的证书是否在有效期内； 确定所述 客户端多证书链中的证书是否 两两不同； 确定所述 客户端多证书链包 含的客户端证书链的数量是否准确； 确定所述 客户端多证书链中的客户端证书中的公钥是否全部相同； 若所述客户端多证书链中的证书均在有 效期内， 所述客户端多证书链中的证书两两不 同、 所述客户端多证书链包含的客户端证书链的数量准确并且所述客户端多证书链中的客 户端证书中的公钥全部相同， 则校验结果 为校验通过。 4.根据权利要求1所述的客户端认证方法， 其特征在于， 所述对所述客户端多证书链进 行校验， 得到校验结果， 包括： 确定所述 客户端多证书链中的证书是否在有效期内； 确定所述 客户端多证书链中的证书是否 两两不同； 确定所述 客户端多证书链包 含的客户端证书链的数量是否准确； 确定所述 客户端多证书链中的客户端证书中的公钥是否全部相同； 确定是否能够解密所述 客户端多证书链中的证书的签名； 确定所述 客户端多证书链中的客户端证书中的域名是否全部相同； 在所述客户端多证书链中的客户端证书中的域名全部相同时， 确定所述客户端多证书 链中的客户端证书中的域名与所述 客户端在 访问服务器时使用的域名是否相同； 若所述客户端多证书链中的证书均在有 效期内， 所述客户端多证书链中的证书两两不 同、 所述客户端多证书链包含的客户端证书链的数量准确、 所述客户端多证书链中的客户 端证书中的公钥全部相同、 能够解密所述客户端多证书链中的证书的签名、 所述客户端多 证书链中的客户端证书中的域名全部相同并且所述客户端多证书链中的客户端证书中的 域名与所述 客户端在 访问服务器时使用的域名相同， 则校验结果 为校验通过。 5.根据权利要求1所述的， 其特征在于， 在所述从客户端发送的客户端Certificate报 文中获取客户端 多证书链之前， 还 包括：权　利　要　求　书 1/2 页 2 CN 114329426 A 2获取客户端发送的ClientHello报文， 所述ClientHello报文中包括安全协议的多个版 本、 第一随机数和多个密码套件； 根据客户端发送的ClientHello报文， 向客户端发送ServerHello报文， 所述 ServerHello报文中包括从安全协议的多个版本中选择出来的目标版本、 从多个密码套件 中选择出来的目标密码套件和第二随机数； 向客户端发送服务器Certificate报文、 服务器ServerKeyExchange报文、 Certificate   Request报文和ServerHelloDone报文， 所述服务器C ertificate报文中包括服务器证书链， 所述服务器ServerKeyExchange报文中包括签名方法以及哈希算法， 所述签名方法以及哈 希算法用于得到所述加密哈希值， 所述Certificate  Request报文用于指示客户端向服务 器发送客户端多证书链， 所述ServerHelloDone报文指示服务器消息发送完毕等待客户端 发送消息； 获取客户端发送的所述 客户端Cer tificate报文； 获取客户端 发送的客户端ClientKeyExchange报文， 所述客户端ClientKeyExchange报 文中包括加密预主密钥， 所述加密预主密钥是使用服务器的公钥对预主密钥进行加密得到 的， 所述服务器的公钥是通过 所述服务器证书链得到的； 获取客户端 发送的CertificateVerify报文， 所述CertificateVerify报文中包括所述 加密哈希值。 6.根据权利要求5所述的客户端认证方法， 其特征在于， 在所述若所述校验结果为校验 通过， 则根据所述客户端多证书链对应的证书公钥、 客户端发送的加密哈希值和本地计算 得到的哈希值， 得到认证结果之后， 还 包括： 若认证结果 为认证通过， 则使用服 务器的私钥解密所述加密预主密钥， 得到预主密钥； 根据所述第一随机数、 第二随机数和预主密钥得到主密钥。 7.一种客户端认证装置， 其特 征在于， 包括： 获取模块， 用于从客户端发送的客户端Certificate报文中获取客户端多证书链， 所述 客户端多证书链包括多个客户端证书链， 所述 客户端证书链包括多个 证书； 校验模块， 用于对所述 客户端多证书链进行 校验， 得到校验结果； 认证模块， 用于若所述校验结果为校验通过， 则根据所述客户端多证书链对应的证书 公钥、 客户端发送的加密哈希值和本地计算得到的哈希值， 得到认证结果， 所述加密哈希 值 是所述客户端通过私钥加密得到的。 8.根据权利要求7所述的客户端认证装置， 其特征在于， 所述认证模块， 具体用于： 使用 所述客户端多证书链对应的证书公钥解密所述加密哈希值， 得到解密哈希值； 若所述解密 哈希值与本地计算得到的哈希值相同， 则认证结果为认证通过； 若所述解密哈希值与本地 计算得到的哈希值 不同， 则认证结果 为认证失败。 9.一种计算机设备， 其特征在于， 包括存储器、 处理器以及存储在所述存储器中并可在 所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现权利要求 1至6任 一项所述 客户端认证方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读取存储介质中存储有计算 机程序指令， 所述计算机程序指令被处理器读取并运行时， 执行权利要求1至6任一项所述 客户端认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 114329426 A 3