(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210576995.0 (22)申请日 2022.05.25 (71)申请人 中国联合网络通信集团有限公司 地址 100033 北京市西城区金融大街21号 (72)发明人 刘思聪　杨立辉　蔡超　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 专利代理师 孙静　黄健 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 数字签名报文处理方法、 装置、 设备及计算 机介质 (57)摘要 本申请提供一种数字签名报文处理方法、 装 置、 设备及计算机介质， 所述方法包括： 接收接入 设备转发的数字签名报文及其目的地址； 存储所 述数字签名报文、 所述接入设备的设备信息及其 连接的第一主机的用户标识信息， 并基于所述目 的地址将所述数字签名报文发送给第二主机； 若 接收到第二主机发送的数字签名 报文协商验证 请求， 则基于所述设备信息向所述接入设备发送 所述数字签名报文和所述用户标识信息， 以使所 述接入设备基于所述用户标识信息对发出所述 数字签名报文的第一主机进行伪造报文检测。 本 申请可在不引入权威认 证CA机构的基础下， 高效 识别伪造 数字签名报文， 有效提高网络系统的安 全可靠性， 降低整体业 务的运营成本 。 权利要求书3页 说明书11页 附图4页 CN 114844716 A 2022.08.02 CN 114844716 A 1.一种数字签名报文处 理方法， 其特 征在于， 应用于转发设备， 所述方法包括： 接收接入设备转发的数字签名报文及其目的地址， 所述数字签名报文及其目的地址是 所述接入设备从其连接的第一主机处接收并转发至所述转发设备的， 所述数字签名报文携 带公钥、 文件、 数字签名； 存储所述数字签名报文、 所述接入设备的设备信 息及其连接的第 一主机的用户标识信 息， 并基于所述目的地址将所述数字签名报文发送给第二主机； 若接收到第 二主机发送的数字签名报文协商验证请求， 则基于所述设备信 息向所述接 入设备发送所述数字签名报文和所述用户标识信息， 以使 所述接入设备基于所述用户标识 信息对发出 所述数字签名报文的第一主机进行伪造报文检测。 2.根据权利要求1所述的方法， 其特征在于， 所述数字签名报文协商验证请求是所述第 二主机在识别到不同数字签名时向所述 转发设备发出的。 3.根据权利要求1所述的方法， 其特征在于， 在接收接入设备转发的数字签名报文之 后， 以及存储所述数字签名报文、 所述接入设备 的设备信息及其连接的第一主机的用户标 识信息之前， 还 包括： 基于所述目的地址识别待接收所述数字签名报文的第二主机是否为自身设备所连接 的主机， 若 是， 则执行存储 所述数字签名报文、 所述接入设备的设备信息及其连接的第一主 机的用户标识信息的步骤。 4.根据权利要求1所述的方法， 其特征在于， 所述数字签名报文是所述接入设备从其连 接的第一主机处接 收到数字签名并在所述数字签名报文的第一特定字段中写入所述接入 设备的第一标签后转发的。 5.根据权利要求1或4所述的方法， 其特征在于， 在接收接入设备转发的数字签名报文 之后， 以及存储所述数字签名报文、 所述接入设备 的设备信息及其连接的第一主机的用户 标识信息之前， 还 包括： 若所数字签名报文中未携带自身设备的第 二标签， 则在所述数字签名报文的第 二特定 字段中写入自身设备的第二标签。 6.一种数字签名报文处 理方法， 其特 征在于， 应用于 接入设备， 所述方法包括： 接收自身设备连接的第 一主机发送的数字签名报文及其目的地址， 所述数字签名报文 携带公钥、 文件、 数字签名； 基于所述目的地址将所述数字签名报文转发至转发设备， 以使所述转发设备存储所述 数字签名报文、 所述接入设备 的设备信息及其连接的第一主机的用户标识信息， 并基于所 述目的地址将所述数字签名报文发送给第二主机， 并在接收到第二主机发送的数字签名报 文协商验证请求时基于所述设备信息和所述用户标识信息 向所述接入设备发送所述数字 签名报文； 基于所述用户标识信息对发出 所述数字签名报文的第一主机进行伪造报文检测。 7.根据权利要求6所述的方法， 其特征在于， 所述数字签名报文协商验证请求是所述第 二主机在识别到不同数字签名时向所述 转发设备发出的。 8.根据权利要求6所述的方法， 其特征在于， 在接收自身设备连接的第 一主机发送的数 字签名报文之后， 以及基于所述 目的地址将所述数字签名报文转发至转发设备之前， 还包 括：权　利　要　求　书 1/3 页 2 CN 114844716 A 2在所述数字签名报文的第一特定 字段中写入自身设备的第一标签。 9.根据权利要求6所述的方法， 其特征在于， 基于所述用户标识信 息对发出所述数字签 名报文的第一主机进行伪造报文检测， 包括： 判断所述第一主机的历史会话记录中是否存在第一主机和第二主机之间的会话， 若 是， 则判定发出 所述数字签名报文的第一主机为有效主机， 所述数字签名报文为有效报文。 10.根据权利要求6所述的方法， 其特征在于， 基于所述用户标识信息对发出所述数字 签名报文的第一主机进行伪造报文检测， 包括： 向所述第一主机发送其它业务的仿造报文， 判断所述第 一主机在接收到所述仿造报文 后是否采用其它用户标识信息处理所述仿造报文， 若是， 则判定发出所述数字签名报文的 第一主机为有效主机， 所述数字签名报文为有效报文。 11.一种数字签名报文处 理装置， 其特 征在于， 应用于转发设备， 包括： 第一接收模块， 其设置为接收接入设备转发的数字签名报文及其目的地址， 所述数字 签名报文及其目的地址是所述接入设备从其连接的第一主机处接 收并转发至所述转发设 备的， 所述数字签名报文携带公钥、 文件、 数字签名； 存储模块， 其设置为存储所述数字签名报文、 所述接入设备的设备信息及其连接的第 一主机的用户标识信息， 并基于所述目的地址将所述数字签名报文发送给第二主机； 发送检测模块， 其设置为若接收到第二主机发送的数字签名报文协商验证请求， 则基 于所述设备信息向所述接入设备发送所述数字签名报文和所述用户标识信息， 以使所述接 入设备基于所述用户标识信息对发出 所述数字签名报文的第一主机进行伪造报文检测。 12.一种数字签名报文处 理装置， 其特 征在于， 应用于 接入设备， 所述装置包括： 第二接收模块， 其设置为接收自身设备连接的第 一主机发送的数字签名报文及其目的 地址， 所述数字签名报文携带公钥、 文件、 数字签名； 转发模块， 其设置为基于所述目的地址将所述数字签名报文转发至转发设备， 以使所 述转发设备存储所述数字签名报文、 所述接入设备的设备信息及其连接的第一主机的用户 标识信息， 并基于所述 目的地址将所述数字签名报文发送给第二主机， 并在接 收到第二主 机发送的数字签名报文协商验证请求时基于所述设备信息和所述用户标识信息 向所述接 入设备发送所述数字签名报文； 检测模块， 其设置为基于所述用户标识信 息对发出所述数字签名报文的第 一主机进行 伪造报文检测。 13.一种转发设备， 其特 征在于， 包括： 处 理器和存 储器； 所述存储器存储计算机执 行指令； 所述处理器执行所述存储器存储的计算机执行指令， 使得所述转发设备执行权利要求 1‑5中任一项所述的数字签名报文处 理方法。 14.一种接入设备， 其特 征在于， 包括： 处 理器和存 储器； 所述存储器存储计算机执 行指令； 所述处理器执行所述存储器存储的计算机执行指令， 使得所述接入设备执行权利要求 6‑10任一项所述的数字签名报文处 理方法。 15.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 执行指令， 所述计算机执行指令被处理器执行时用于实现如权利要求1 ‑5任一项所述的数权　利　要　求　书 2/3 页 3 CN 114844716 A 3