(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111386980.X (22)申请日 2021.11.22 (71)申请人 广东电网有限责任公司 地址 510030 广东省广州市越秀区东 风东 路757号 申请人 广东电网有限责任公司电力调度控 制中心 (72)发明人 余志文　梅发茂　吴勤勤　邓大为　 惠想　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 赖远龙 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)H04L 9/08(2006.01) (54)发明名称 基于数字证书的身份认证方法、 装置、 计算 机设备 (57)摘要 本申请涉及基于数字证书的身份认证方法、 装置、 计算机设备。 所述方法包括： 响应于客户端 发送的证书请求信息， 向客户端返回第一数字证 书； 证书请求信息包括账户标识， 第一数字证书 为根据账户标识查验 得到的数字证书； 接收客户 端通过安全通信链路发送的待认证信息； 待认证 信息包括账户信息和第二数字证书； 账户信息包 括账户密码和密钥密码； 若账户信息与第二数字 证书满足预设 匹配条件， 根据账户密码和密钥密 码， 对第二数字证书进行身份认证， 得到身份认 证结果； 若身份认证结果满足预设认证条件， 向 客户端反馈认证执行信息， 以使客户端根据认证 执行信息 执行认证操作。 采用本方法能够在信息 安全的基础上建立数字证书的身份认证过程， 提 升了安全性。 权利要求书2页 说明书12页 附图5页 CN 114257410 A 2022.03.29 CN 114257410 A 1.一种基于数字证书的身份认证方法， 其特征在于， 应用于证书服务器， 所述证书服务 器与客户端通过安全通信链路进行 连接， 所述方法包括： 响应于所述客户端发送的证书请求信息， 向所述客户端返回第一数字证书； 所述证书 请求信息包括账户标识， 所述第一数字证书为 根据所述账户标识查验得到的数字证书； 接收所述客户端通过所述安全通信链路发送的待认证信 息； 所述待认证信 息包括账户 信息和第二数字证书； 所述账户信息包括账户密码和密钥密码； 若所述账户信 息与所述第二数字证书满足预设匹配条件， 根据 所述账户密码和所述密 钥密码， 对所述第二数字证书 进行身份认证， 得到身份认证结果； 若所述身份认证结果满足预设认证条件， 向所述客户端反馈认证执行信息， 以使所述 客户端根据所述认证执 行信息执 行认证操作。 2.根据权利要求1所述的方法， 其特征在于， 在所述向所述客户端返回第 一数字证书的 步骤之前， 还 包括： 根据所述证书请求信息中的账户标识进行查验， 确定待返回数字证书的密级类型； 所 述密级类型包括高保密类型： 当所述密级类型为所述高保密类型时， 对所述待返回数字证书进行密钥加密， 生成所 述第一数字证书。 3.根据权利要求1或2所述的方法， 其特征在于， 在所述若所述账户信息与所述第二数 字证书满足预设匹配条件的步骤之前， 还 包括： 在安全模式下， 将所述账户信息与所述第二数字证书 进行比对； 若所述账户信 息与所述第二数字证书相匹配， 判定所述账户信 息与所述第二数字证书 满足预设匹配条件； 若所述账户信息与所述第二数字证书不相匹配， 向所述 客户端发送匹配错 误信息。 4.一种基于数字证书的身份认证方法， 其特征在于， 应用于客户端， 所述客户端与证书 服务器通过安全通信链路进行 连接， 所述方法包括： 在检测到指定时间段内的密码输入操作时， 生成证书请求信 息并发送至所述证书服务 器； 所述证书请求信息包括所述密码输入操作对应的账户标识； 接收所述证书服务器返回的第 一数字证书， 根据 账户信息对所述第 一数字证书进行密 钥交换匹配， 确定第二数字证书； 所述第一数字证书为所述证书服务器根据所述账户标识 查验得到的数字证书； 所述账户信息包括基于所述密码输入操作获取的账户密码和密钥 密 码； 通过所述安全通信链路 向所述证书服务器发送待认证信 息； 所述待认证信 息包括所述 账户信息和所述第二数字证书； 接收所述证书服 务器反馈的认证执 行信息， 采用所述认证执 行信息执 行认证操作。 5.根据权利要求4所述的方法， 其特征在于， 所述检测到指定时间段内的密码输入操 作， 包括： 获取针对密码输入操作的指定时间信息； 所述指定时间信息包括指定时间段； 所述密 码输入操作包括账户密码输入操作和密钥密码输入操作； 在所述指定时间段的时间范围内， 检测所述账户密码输入操作和所述密钥密码输入操 作。权　利　要　求　书 1/2 页 2 CN 114257410 A 26.根据权利要求4或5所述的方法， 其特征在于， 所述根据账户信息对所述第一数字证 书进行密钥交换匹配， 确定第二数字证书， 包括： 当根据所述账户信息， 基于密钥交换匹配到所述第一数字证书时， 确定所述第一数字 证书的加密状态信息； 所述加密状态信息包括已加密状态和未加密状态； 若所述加密状态信息为已加密状态， 解密所述第一数字证书， 得到所述第二数字证书； 若所述加密状态信息为未加密状态， 将所述第一数字证书作为所述第二数字证书。 7.一种基于数字证书的身份认证装置， 其特征在于， 应用于证书服务器， 所述证书服务 器与客户端通过安全通信链路进行 连接， 所述装置包括： 证书请求信息接收模块， 用于响应于所述客户端发送的证书请求信息， 向所述客户端 返回第一数字证书； 所述证书请求信息包括账户标识， 所述第一数字证书为根据所述账户 标识查验得到的数字证书； 待认证信息接收模块， 用于接收所述客户 端通过所述安全通信链路发送的待认证信 息； 所述待认证信息包括账户信息和第二数字证书； 所述账户信息包括账户密码和密钥密 码； 身份认证模块， 用于若所述账户信息与所述第二数字证书满足预设匹配条件， 根据所 述账户密码和所述密钥密码， 对所述第二数字证书 进行身份认证， 得到身份认证结果； 认证执行信息反馈模块， 若所述身份认证结果满足预设认证条件， 向所述客户端反馈 认证执行信息， 以使所述 客户端根据所述认证执 行信息执 行认证操作。 8.一种基于数字证书的身份认证装置， 其特征在于， 应用于客户端， 所述客户端与证书 服务器通过安全通信链路进行 连接， 所述装置包括： 证书请求信息发送模块， 用于在检测到指定时间段内的密码输入操作时， 生成证书请 求信息并发送至所述证书服务器； 所述证书请求信息包括所述密码输入操作对应的账户标 识； 证书匹配模块， 用于接收所述证书服务器返回的第一数字证书， 根据账户信息对所述 第一数字证书进行密钥交换匹配， 确定第二数字证书； 所述第一数字证书为所述证书服务 器根据所述账户标识 查验得到的数字证书； 所述账户信息包括基于所述密码输入操作获取 的账户密码和密钥密码； 待认证信息发送模块， 用于通过所述安全通信链路向所述证书服务器发送待认证信 息； 所述待认证信息包括所述账户信息和所述第二数字证书； 认证操作执行模块， 用于接收所述证书服务器反馈的认证执行信息， 采用所述认证执 行信息执 行认证操作。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处理器执行所述计算机程序时实现权利要求 1至6中任一项 所述的基于数字证书的 身份认证方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至 6中任一项所述的基于数字证书的身份认证方法的步骤。权　利　要　求　书 2/2 页 3 CN 114257410 A 3