CN106487743A - 用于支持多用户集群身份验证的方法和设备 - Google Patents

用于支持多用户集群身份验证的方法和设备 Download PDF

Info

Publication number
CN106487743A
CN106487743A CN201510526904.2A CN201510526904A CN106487743A CN 106487743 A CN106487743 A CN 106487743A CN 201510526904 A CN201510526904 A CN 201510526904A CN 106487743 A CN106487743 A CN 106487743A
Authority
CN
China
Prior art keywords
key
user
cluster
identification code
cluster device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510526904.2A
Other languages
English (en)
Other versions
CN106487743B (zh
Inventor
安凯歌
应叶琦
卢毅军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201510526904.2A priority Critical patent/CN106487743B/zh
Priority to TW105107223A priority patent/TWI797056B/zh
Priority to US15/245,690 priority patent/US20170063554A1/en
Priority to PCT/US2016/048648 priority patent/WO2017035333A1/en
Priority to JP2018510780A priority patent/JP6856626B2/ja
Priority to EP16840106.5A priority patent/EP3341832A4/en
Publication of CN106487743A publication Critical patent/CN106487743A/zh
Application granted granted Critical
Publication of CN106487743B publication Critical patent/CN106487743B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Burglar Alarm Systems (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
  • Theoretical Computer Science (AREA)

Abstract

本申请提供用于支持多用户集群身份验证的方法和设备,通过密钥管理设备管理用户集群设备的密钥,为所述用户集群设备签发密钥和密钥的识别码,省去密钥协商的过程,并在用户集群设备请求访问某一服务设备时,由服务设备向所述密钥管理设备发送携带用户集群设备的数字签名的验证请求,由密钥管理设备对用户集群设备进行身份验证。进一步地,所述密钥管理设备可以采用轮转机制定期更新密钥和密钥的识别码,并分发给用户集群设备,用户集群设备利用更新的密钥和识别码更新数字签名,从而提高安全性,降低泄露风险。此外,服务设备采用持久化方式存储密钥中的公钥和识别码,提高验证效率。

Description

用于支持多用户集群身份验证的方法和设备
技术领域
本申请涉及计算机领域,尤其涉及一种用于支持多用户集群身份验证的方法和设备。
背景技术
随着云计算的推进,各个模块的服务化进程也逐渐展开。如何对服务化后的用户的访问权限进行管理成为一个必要的问题,是目前很多云服务提供服务化过程中的重要部分。
在现在的场景中,由于每个用户集群都有专用的服务模块,所以,用于鉴别身份的服务模块的作用域被限定在当前集群。
现有实现访问权限认证的技术主要有以下方式:当用户访问时,会和服务器协商密钥,然后将请求及相应的身份信息以通过密钥处理发送给服务化节点(提供服务的设备),由服务化节点完成对访问的验证。
但是,随着各模块服务化进程的推进,未来会出现多个用户集群共用一个服务模块的场景。上述认证技术在用户的访问的签名信息在网络传输过程中是可以被截获的,并理论上可以破解,而且用户身份验证信息一般长久不发生变化,存在泄露风险。OpenSSL协议(Open Secure Sockets Layer,开放式安全套接层协议)中的多重认证过程在大规模分布式环境中效率不够高效,且通过服务化节点进行验证的方法增加了服务化节点的负载。
因此,如何在同一服务化节点上完成对多个用户集群的验证,以支持多个用户集群的访问成为业界亟待解决的问题。
发明内容
本申请要解决的技术问题是,提供一种在一个或多个用户集群请求访问服务设备时,能够对所述用户集群进行身份验证的方法和设备。
为解决上述技术问题,本申请提供了一种在密钥管理设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
进一步地,所述基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证包括:
根据所述数字签名中的识别码,查找所述用户集群设备的公钥;
利用所查找的公钥对所述集群认证信息进行解密;
对所述集群认证信息进行验证。
进一步地,所述验证请求还包括:所述服务设备所持久存储的用户集群设备的公钥列表,所述公钥列表包括请求访问过所述服务设备的用户集群设备的公钥及识别码;所述基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证包括:根据所述数字签名中的识别码,从所述公钥列表中查找所述用户集群设备的公钥,若从所述公钥列表中查找到相应公钥,则利用该查找到的公钥对所述用户集群设备进行解密。
进一步地,所述向所述服务设备返回验证结果还包括:
在对所述用户集群设备验证通过后,将所述用户集群设备的公钥和识别码发送给所述服务设备,以更新至所述公钥列表中。
进一步地,所述向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥包括:
定期更新所述密钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。
进一步地,所述方法还包括:
当所述密钥和所述识别码更新后,根据所述用户集群设备的请求,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备。
进一步地,所述集群认证信息包括以下至少任一项:
集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间。
进一步地,向用户集群设备分发密钥和所述密钥对应的识别码包括:
通过安全信道向用户集群设备分发密钥和所述密钥对应的识别码。
本申请提供了一种在服务设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
获取用户集群设备的访问请求,所述访问请求携带所述用户集群设备的数字签名,所述数字签名包括识别码和利用密钥的私钥加密生成的集群认证信息;
根据所述访问请求向密钥管理设备发送验证请求,所述验证请求包括所述用户集群设备的数字签名;
获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。
进一步地,所述方法还包括:
创建公钥列表,并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后,从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码,并将所述公钥和识别码持久性存储于公钥列表中。
本申请还提供了一种在用户集群设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
获取密钥管理设备发送的密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
向服务设备发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用所述私钥加密生成的集群认证信息。
进一步地,所述方法还包括:
根据所述密钥和所述识别码,生成所述数字签名。
本申请还提供了一种用于支持多用户集群身份验证的密钥管理设备,其中,所述密钥管理设备包括:
密钥分发装置,用于向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
身份验证装置,用于获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
进一步地,所述身份验证装置用于:
根据所述数字签名中的识别码,查找所述用户集群设备的公钥;
利用所查找的公钥对所述集群认证信息进行解密;
对所述集群认证信息进行验证。
进一步地,所述验证请求还包括:所述服务设备所持久存储的用户集群设备的公钥列表,所述公钥列表包括请求访问过所述服务设备的用户集群设备的公钥及识别码;所述身份验证装置用于:根据所述数字签名中的识别码,从所述公钥列表中查找所述用户集群设备的公钥,若从所述公钥列表中查找到相应公钥,则利用该查找到的公钥对所述用户集群设备进行解密。
进一步地,所述身份验证装置还用于:在对所述用户集群设备验证通过后,将所述用户集群设备的公钥和识别码发送给所述服务设备,以更新至所述公钥列表中。
进一步地,所述密钥分发装置包括:
定期更新所述密钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。
进一步地,所述密钥管理设备还包括:
数字签名签发装置,用于当所述密钥和所述识别码更新后,根据所述用户集群设备的请求,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备。
进一步地,所述集群认证信息包括以下至少任一项:
集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间。
进一步地,所述第一装置用于:
通过安全信道向用户集群设备分发密钥和所述密钥对应的识别码。
本申请还提供了一种用于支持多用户集群身份验证的服务设备,其中,所述服务设备包括:
访问请求获取装置,用于获取用户集群设备的访问请求,所述访问请求携带所述用户集群设备的数字签名,所述数字签名包括识别码和利用密钥的私钥加密生成的集群认证信息;
请求验证装置,用于根据所述访问请求向密钥管理设备发送验证请求,所述验证请求包括所述用户集群设备的数字签名;
验证结果获取装置,用于获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。
进一步地,所述服务设备还包括:
公钥列表管理装置,用于创建公钥列表,并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后,从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码,并将所述公钥和识别码持久性存储于公钥列表中。
本申请还提供了一种支持多用户集群身份验证的用户集群设备,其中,所述用户集群设备包括:
密钥获取装置,用于获取密钥管理设备发送的密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
访问请求发起装置,用于向服务设备发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用所述私钥加密生成的集群认证信息。
进一步地,所述用户集群设备还包括:
数字签名生成装置,用于根据所述密钥和所述识别码,生成所述数字签名。
与现有技术相比,在本申请的一个实施例中,通过密钥管理设备管理用户集群设备的密钥,为所述用户集群设备签发密钥和密钥的识别码,省去密钥协商的过程,并在用户集群设备请求访问某一服务设备时,由服务设备向所述密钥管理设备发送携带用户集群设备的数字签名的验证请求,由密钥管理设备对用户集群设备进行身份验证。
进一步地,所述密钥管理设备可以采用轮转机制定期更新密钥和密钥的识别码,并分发给用户集群设备,用户集群设备利用更新的密钥和识别码更新数字签名,从而提高安全性,降低泄露风险。
进一步地,服务设备采用持久化方式存储密钥中的公钥和识别码,提高验证效率。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出根据本申请一个方面的用于支持多用户集群身份验证的系统拓扑图;
图2示出根据本申请一方面提供的一种用于支持多用户集群身份验证的密钥管理设备、服务设备和用户集群设备的示意图;
图3示出根据本申请一优选的实施例提供的一种用于支持多用户集群身份验证的密钥管理设备、服务设备和用户集群设备的示意图;
图4示出根据本申请一方面提供的一种用于支持多用户集群身份验证的方法示意图;
图5示出根据本申请优选的实施例提供的一种用于支持多用户集群身份验证的方法示意图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
图1示出根据本发明一个方面的用于支持多用户集群身份验证的系统拓扑图,其中,包括密钥管理设备1、若干服务设备2和多个用户集群设备3。所述密钥管理设备1负责为所述用户集群设备3分发密钥和密钥的识别码,当用户集群设备3请求访问服务设备2时,服务设备2将携带具有用户集群设备1的数字签名的验证请求发送给密钥管理设备1,由密钥管理设备1对用户集群设备3进行身份验证并向服务设备2返回验证结果。
在此,所述密钥管理设备1可以网络设备或运行在网络设备上的脚本程序,所述服务设备2包括但不限于用户设备、或用户设备与网络设备通过网络相集成所构成的设备或者是运行在上述设备上的脚本程序,所述用户集群设备3也可以是用户设备、或用户设备与网络设备通过网络相集成所构成的设备或者是运行在网络设备上的脚本程序。
其中,所述用户集群设备4是指处于同一集群的一个或多个设备的总称,所述用户集群设备3与所述密钥管理设备1可以通过网络相连接,所述服务设备2与所述密钥管理设备1可以通过网络连接或二者设置在同一网络设备中。此外,所述服务设备2与所述用户集群设备3亦可以通过网络连接或二者设置在同一设备集群中,即对于一个集群设备,其可能作为用户集群设备请求获得其他的服务设备服务的同时,作为服务设备为其他用户集群设备提供附图。
在此,所述网络包括但不限于WCDMA、CDMA2000、TD-SCDMA、GSM、CDMA1x、WIFI、WAPI、WiMax、无线自组织网络(Ad Hoc网络)等。所述网络设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(AdHoc网络)等。所述网络设备可以是一台服务器,也可以是通过局域网连接的多台服务器或者通过互联网连接的多台服务器,还可以是由多台服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。所述用户设备其包括但不限于任何一种可与用户通过触摸板进行人机交互的移动电子产品,例如智能手机、PDA等,所述移动电子产品可以采用任意操作系统,如android操作系统、iOS操作系统等。
当然,本领域技术人员应能理解上述密钥管理设备1、服务设备2和用户集群设备3以及连接其间的网络及通信方式仅为仅为举例,其他现有的或今后可能出现的密钥管理设备1、服务设备2和用户集群设备3如可适用于本申请,也应包含在本申请保护范围以内,并在此以引用方式包含于此。
本领域技术人员还应能理解,图1中仅为简明起见而示出的各类网络元素的数量可能小于一个实际网络中的数量,但这种省略无疑地是以不会影响对本发明进行清楚、充分的公开为前提的。
为简明起见,下面以密钥管理设备1、服务设备2和一个用户集群设备3组成的系统为例进行描述。本领域技术人员应能理解,密钥管理设备2可以与多个服务设备2和多个用户集群设备3交互,为所述用户集群设备3分发密钥及识别码,并实时接收来自一个或多个服务设备2的验证请求,同时服务设备2可以和多个用户集群设备3交互,根据用户集群设备3的访问请求向密钥管理设备1发起验证请求,并在获得验证结果后,根据验证结果为所述用户集群设备3提供相应服务。
图2示出根据本申请一方面提供的一种用于支持多用户集群身份验证的密钥管理设备、服务设备和用户集群设备。其中,所述密钥管理设备1包括:密钥分发装置11及身份验证装置12。所述服务设备2包括:访问请求获取装置21、请求验证装置22和验证结果获取装置23。所述用户集群设备3包括:密钥获取装置31和访问请求发起装置32。
所述密钥分发装置11用于向用户集群设备分发密钥以及所述密钥的识别码,所述密钥包括成对的公钥和私钥;所述身份验证装置12用于获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
所述访问请求获取装置21用于获取用户集群设备的访问请求,所述访问请求携带所述用户集群设备的数字签名,所述数字签名包括所述用户集群设备的识别码和利用密钥的私钥加密生成的集群认证信息;所述请求验证装置22用于根据所述访问请求向密钥管理设备发送验证请求,所述验证请求包括所述用户集群设备的数字签名;所述验证结果获取装置23用于获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。
所述密钥获取设备31获取密钥管理设备发送的密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;所述访问请求发起设备32向服务设备发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用所述私钥加密生成的集群认证信息。
在此,所述密钥分发装置11在为所述用户集群设备分发密钥时,在分发密钥的同时,增加与所述密钥唯一对应的识别码(ID);所述身份验证装置12在进行身份验证时,可以根据具有所述识别码的数字签名对所述用户集群设备进行身份验证,从而可以对多个用户集群设备进行认证,进而支持在同一服务设备上位多个用户集群设备提供服务。
具体地,所述密钥分发装置11用于向用户集群设备分发密钥和所述密钥的识别码,所述密钥包括成对的公钥和私钥。
在此,所述密钥和识别码是一一对应的,通过识别码可以查询到相应密钥,例如查询到相应密钥的公钥,所述识别码可以是采用16字节的字段,则所有密钥对应的识别码可以在0~216中递增复用,使单个服务设备最多可以为216个用户集群设备提供服务。
所述密钥分发装置11通过分发的方式将密钥发送给相应用户集群设备3,进一步地,所述密钥分发装置11的分发过程在安全信道上进行,避免签名泄露,同时省去了密钥协商过程,提高签发效率。
接着,所述身份验证装置12获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
在此,所述集群认证信息可以包括:集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间,其他可以用于认证集群的相关信息也可以作为集群认证信息。
当用户集群设备请求访问某一服务设备时,该服务设备将所获得的访问请求的相关信息以验证请求的方式发送给密钥管理设备1,交由所述密钥管理设备1对该用户集群设备进行身份验证,所述密钥管理设备1的身份验证装置12根据所述数字签名中的识别码,查找所述用户集群设备的公钥;利用所查找的公钥对所述集群认证信息进行解密;对所述集群认证信息进行验证。
为提高验证效率,所述服务设备可以创建一个用于持久存储用户集群设备的公钥列表,所述公钥列表用于保存请求访问过所述服务设备的用户集群设备的公钥及识别码。则所述密钥管理设备1获取的所述服务设备的验证请求中还会包括所述服务设备所持久存储的用户集群设备的公钥列表,所述身份验证装置12可以利用所述访问请求中的数字签名所携带的识别码,从公钥列表中查找识别码所对应的公钥,并利用所查找的公钥对所述集群认证信息进行解密,然后对集群认证信息进行验证。
优选地,当用户集群设备首次请求访问所述服务设备或所述用户集群设备的密钥和识别码发生更新时,则所述身份验证装置12从公钥列表中无法查找到相应识别码和公钥,则所述身份验证装置12从自有的存储信息,例如所述密钥分发装置11分发密钥和识别码时所保留的信息中获取相应识别码对应的公钥,利用该公钥对用户集群设备进行身份验证,并将所述公钥列表中原来没有的该用户集群设备的公钥和识别码发送给所述服务设备,以备所述服务设备更新至所述公钥列表中,为该用户集群设备下次请求访问做身份验证时使用,提高验证效率。
图3示出根据本申请一优选的实施例提供的一种用于支持多用户集群身份验证的密钥管理设备、服务设备2和用户集群设备3。
其中,所述密钥管理设备1包括密钥分发装置11’、身份验证装置12’和数字签名签发装置13’。所述密钥分发装置11’在图2所示的所述密钥分发装置11的基础上,采用轮转机制分发密钥和识别码,即,定期更新所述成对的公钥和私钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。所述身份验证装置12’与图2所示的身份验证装置12的内容相同或基本相同,为简明起见,不再赘述,并以引用的方式包含于此。所述数字签名签发装置13’用于在所述密钥和所述识别码更新后,根据所述用户集群设备3的请求,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备3,优选地,所述数字签名签发装置13’通过所述安全信道将所述生成的数字签名发送给所述用户集群设备3,增强安全性。每当所述密钥分发装置11’更新所述密钥及所述识别码时,所述数字签名签发装置13’根据更新的所述密钥和识别码为生成更新的数字签名,密钥轮转机制使得用户集群设备上的数字签名随着密钥的变化而变化,增强了安全性。
所述服务设备2包括:访问请求获取装置21’、请求验证装置22’和验证结果获取装置23’和公钥列表管理装置24’,所述公钥列表管理装置24’用于创建公钥列表,并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后,从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码,并将所述公钥和识别码持久性存储于公钥列表中。在此,所述公钥列表包括访问过服务设备2的、且经过密钥管理设备1验证过的用户集群设备3的公钥及该公钥对应的识别码,优选地,所述公钥列表持久性地保存在quorum目录(事物处理目录)。所述请求验证装置22’向密钥管理设备发送验证请求中,所述验证请求还包括所述公钥列表,所述密钥管理设备1在对用户集群设备3进行身份验证时,可以利用公钥列表进行解密,提高验证效率。所述访问请求获取装置21’和验证结果获取装置23’与图2所示的访问请求获取装置21和验证结果获取装置23的内容相同或基本相同,为简明起见,不再赘述,并以引用的方式包含于此。
所述用户集群设备3包括:密钥获取装置31’、访问请求发起装置32’和数字签名生成装置33’,所述数字签名生成装置33’用于根据所述密钥和所述识别码,生成所述数字签名。
在此,所述密钥和识别码是一一对应的,通过识别码可以查询到相应密钥,例如查询到相应密钥的公钥。因此,每更新密钥,识别码则相应采用递增复用的方式更新,例如,所述识别码在0~216中一个16字节的字段,当每次更新,则识别码递增一次,当然递增方式不限制于依此递增,可以随机递增,其递增显示并不被限制,当所述识别码达到最大值,例如216时,则所述识别码从0开始复用更新。
在此,所述集群认证信息可以包括:集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间,其他可以用于认证集群的相关信息也可以作为集群认证信息。
在实际场景中,所述用户集群设备3既可以在部署初期,由所述数字签名生成装置33’生成数字签名,或可以从所述数字签名签发装置13’中获取更新。
图3示出根据本申请一个方面提供的一种用于支持多用户集群身份验证的方法,其中,所述方法包括:步骤S11、步骤S12、步骤S13、步骤S14、步骤S15和步骤S16。
其中,所述步骤S11包括:密钥管理设备1向用户集群设备分发密钥以及所述密钥的识别码,所述密钥包括成对的公钥和私钥;
所述步骤S12包括:用户集群设备3向服务设备2发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用密钥中的私钥加密生成的集群认证信息;
所述步骤S13包括:服务设备2根据所述访问请求向密钥管理设备1发送验证请求,所述验证请求包括所述用户集群设备3的数字签名;
所述步骤S14包括:密钥管理设备1获取所述服务设备2发送的验证请求,并基于所述验证请求中的用户集群设备3的数字签名,对该用户集群设备3进行身份验证;
所述步骤S15包括:密钥管理设备1向所述服务设备2返回验证结果。
所述步骤S16包括:服务设备2根据所述验证结果为所述用户集群设备3提供相应服务。
其中,在所述步骤S11中,所述密钥分发装置11通过分发的方式将密钥发送给相应用户集群设备3,进一步地,所述密钥分发装置11的分发过程在安全信道上进行,避免签名泄露,同时省去了密钥协商过程,提高签发效率。在所述步骤S14中,密钥管理设备1在进行身份验证时,可以根据具有所述识别码的数字签名对所述用户集群设备3进行身份验证,从而可以对多个用户集群设备3进行认证,进而支持在同一服务设备2上位多个用户集群设备3提供服务。
在此,所述密钥和识别码是一一对应的,通过识别码可以查询到相应密钥,例如查询到相应密钥的公钥,所述识别码可以是采用16字节的字段,则所有密钥对应的识别码可以在0~216中递增复用,使单个服务设备最多可以为216个用户集群设备提供服务。所述集群认证信息可以包括:集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间,其他可以用于认证集群的相关信息也可以作为集群认证信息。
在所述步骤S14中,所述密钥管理设备1对所述用户集群设备3进行身份验证,所述密钥管理设备1根据所述数字签名中的识别码,查找所述用户集群设备3的公钥;利用所查找的公钥对所述集群认证信息进行解密;对所述集群认证信息进行验证。
图4示出根据本申请一优选的实施例提供的一种在密钥管理设备端用于验证用户集群的方法,所述方法包括:步骤S11’、步骤S12’、步骤S13’、步骤S14’、步骤S15’和步骤S16’。
所述步骤S11’在图3所示的所述步骤S11的基础上,所述密钥管理设备1采用轮转机制分发密钥和识别码,即,定期更新所述成对的公钥和私钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。
在此,所述密钥和识别码是一一对应的,通过识别码可以查询到相应密钥,例如查询到相应密钥的公钥。因此,每更新密钥,识别码则相应采用递增复用的方式更新,例如,所述识别码在0~216中一个16字节的字段,当每次更新,则识别码递增一次,当然递增方式不限制于依此递增,可以随机递增,其递增显示并不被限制,当所述识别码达到最大值,例如216时,则所述识别码从0开始复用更新。
在所述步骤S17’中,所述密钥管理设备1利用所述更新的密钥和识别码为用户集群设备3生成数字签名,并更新生成的数字签名发送给相应的用户集群设备3。在所述密钥和所述识别码更新后,根据用户集群设备1的请求或调用,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备。优选地,所述密钥管理设备1通过所述安全信道将所述生成的数字签名发送给所述用户集群设备3,增强安全性。每当所述步骤S11’更新所述密钥及所述识别码时,所述步骤S17’根据更新的所述密钥和识别码为生成更新的数字签名,并将更新的数字签名发送给所述用户集群设备3。通过密钥轮转机制,加强安全性。
其中,所述步骤S12’、与图3所示的所述步骤S12的内容相同或基本相同,为简明起见,不再赘述,并以引用的方式包含于此。
所述步骤S13’在图3所示的所述步骤S13的基础上,发送的验证请求还包括所述服务设备2所持久存储的公钥列表,在此,所述公钥列表包括访问过服务设备2的、且经过密钥管理设备1验证过的用户集群设备3的公钥及该公钥对应的识别码,优选地,所述公钥列表持久性地保存在quorum目录(事物处理目录)。
为提高验证效率,所述服务设备可以创建一个用于持久存储用户集群设备的公钥列表,所述公钥列表用于保存请求访问过所述服务设备的用户集群设备的公钥及识别码。则所述密钥管理设备1获取的所述服务设备的验证请求中还会包括所述服务设备所持久存储的用户集群设备的公钥列表,可以利用所述访问请求中的数字签名所携带的识别码,从公钥列表中查找识别码所对应的公钥,并利用所查找的公钥对所述集群认证信息进行解密,然后对集群认证信息进行验证。
优选地,当用户集群设备首次请求访问所述服务设备或所述用户集群设备的密钥和识别码发生更新时,则从公钥列表中无法查找到相应识别码和公钥,则从自有的存储信息,例如分发密钥和识别码时所保留的信息中获取相应识别码对应的公钥,利用该公钥对用户集群设备进行身份验证,并将所述公钥列表中原来没有的该用户集群设备的公钥和识别码发送给所述服务设备,以备所述服务设备更新至所述公钥列表中,为该用户集群设备下次请求访问做身份验证时使用,提高验证效率。
所述步骤S14’在图3所示的步骤S14的基础上,根据所述数字签名中的识别码,从步骤S13’提供的所述公钥列表中查找所述用户集群设备3的公钥,具体地,根据数字签名中的识别码找到公钥列表中相同的识别码,根据公钥列表所查找的识别码查找对应的公钥,若从所述公钥列表中查找到相应公钥,则利用该查找到的公钥对所述用户集群设备3所加密的集群认证信息进行解密。
此外,若从公钥列表中查找到相应公钥,那么可能是所述用户集群设备3首次请求访问或所述用户集群设备3的密钥和识别码更新过,则所述密钥管理设备1从自有的密钥和识别码列表中查找到相应识别码对应的公钥,利用公钥对所述集群认证信息进行解密;
随后在步骤S18’中,则将该用户集群设备3的公钥及识别码发送给服务设备2,接着,在步骤S19’中,服务设备2’将获取的公钥及识别码更新至公钥列表中,以备下次使用。
接着,所述步骤S15’和步骤S16’与图3所示的所述步骤S15和步骤S16的内容相同或基本相同,为简明起见,不再赘述,并以引用的方式包含于此。
与现有技术相比,在本申请的一个实施例中,通过密钥管理设备管理用户集群设备的密钥,为所述用户集群设备签发密钥和密钥的识别码,省去密钥协商的过程,并在用户集群设备请求访问某一服务设备时,由服务设备向所述密钥管理设备发送携带用户集群设备的数字签名的验证请求,由密钥管理设备对用户集群设备进行身份验证。
进一步地,所述密钥管理设备可以采用轮转机制定期更新密钥和密钥的识别码,并分发给用户集群设备,用户集群设备利用更新的密钥和识别码更新数字签名,从而提高安全性,降低泄露风险。
进一步地,服务设备采用持久化方式存储密钥中的公钥和识别码,提高验证效率。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (24)

1.一种在密钥管理设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
2.根据权利要求1所述的方法,其中,所述基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证包括:
根据所述数字签名中的识别码,查找所述用户集群设备的公钥;
利用所查找的公钥对所述集群认证信息进行解密;
对所述集群认证信息进行验证。
3.根据权利要求2所述的方法,其中,所述验证请求还包括:所述服务设备所持久存储的用户集群设备的公钥列表,所述公钥列表包括请求访问过所述服务设备的用户集群设备的公钥及识别码;
所述基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证包括:
根据所述数字签名中的识别码,从所述公钥列表中查找所述用户集群设备的公钥,若从所述公钥列表中查找到相应公钥,则利用该查找到的公钥对所述用户集群设备进行解密。
4.根据权利要求3所述的方法,其中,所述向所述服务设备返回验证结果还包括:
在对所述用户集群设备验证通过后,将所述用户集群设备的公钥和识别码发送给所述服务设备,以更新至所述公钥列表中。
5.根据权利要求1至4中任一项所述的方法,其中,所述向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥包括:
定期更新所述密钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。
6.根据权利要求1至5中任一项所述的方法,其中,所述方法还包括:
当所述密钥和所述识别码更新后,根据所述用户集群设备的请求,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备。
7.根据权利要求1至6中任一项所述的方法,其中,所述集群认证信息包括以下至少任一项:
集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间。
8.根据权利要求1至7中任一项所述的方法,其中,向用户集群设备分发密钥和所述密钥对应的识别码包括:
通过安全信道向用户集群设备分发密钥和所述密钥对应的识别码。
9.一种在服务设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
获取用户集群设备的访问请求,所述访问请求携带所述用户集群设备的数字签名,所述数字签名包括识别码和利用密钥的私钥加密生成的集群认证信息;
根据所述访问请求向密钥管理设备发送验证请求,所述验证请求包括所述用户集群设备的数字签名;
获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。
10.根据权利要求9所述的方法,其中,所述方法还包括:
创建公钥列表,并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后,从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码,并将所述公钥和识别码持久性存储于公钥列表中。
11.一种在用户集群设备端用于支持多用户集群身份验证的方法,其中,所述方法包括:
获取密钥管理设备发送的密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
向服务设备发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用所述私钥加密生成的集群认证信息。
12.根据权利要求11所述的方法,其中,所述方法还包括:
根据所述密钥和所述识别码,生成所述数字签名。
13.一种用于支持多用户集群身份验证的密钥管理设备,其中,所述密钥管理设备包括:
密钥分发装置,用于向用户集群设备分发密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
身份验证装置,用于获取所述服务设备发送的验证请求,并基于所述验证请求中的用户集群设备的数字签名,对该用户集群设备进行身份验证,并向所述服务设备返回验证结果,其中,所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。
14.根据权利要求13所述的密钥管理设备,其中,所述身份验证装置用于:
根据所述数字签名中的识别码,查找所述用户集群设备的公钥;
利用所查找的公钥对所述集群认证信息进行解密;
对所述集群认证信息进行验证。
15.根据权利要求14所述的密钥管理设备,其中,所述验证请求还包括:所述服务设备所持久存储的用户集群设备的公钥列表,所述公钥列表包括请求访问过所述服务设备的用户集群设备的公钥及识别码;
所述身份验证装置用于:
根据所述数字签名中的识别码,从所述公钥列表中查找所述用户集群设备的公钥,若从所述公钥列表中查找到相应公钥,则利用该查找到的公钥对所述用户集群设备进行解密。
16.根据权利要求15所述的密钥管理设备,其中,所述身份验证装置还用于:
在对所述用户集群设备验证通过后,将所述用户集群设备的公钥和识别码发送给所述服务设备,以更新至所述公钥列表中。
17.根据权利要求13至16中任一项所述的密钥管理设备,其中,所述密钥分发装置包括:
定期更新所述密钥及所述识别码,并向所述用户集群设备分发更新后的密钥和识别码,其中,所述识别码采用递增复用方式更新。
18.根据权利要求13至17中任一项所述的密钥管理设备,其中,所述密钥管理设备还包括:
数字签名签发装置,用于当所述密钥和所述识别码更新后,根据所述用户集群设备的请求,利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名,并将所述生成的数字签名发送给所述用户集群设备。
19.根据权利要求13至18中任一项所述的密钥管理设备,其中,所述集群认证信息包括以下至少任一项:
集群名称、集群创建时间、所述公钥和私钥的创建时间,所述公钥和私钥的过期时间。
20.根据权利要求13至19中任一项所述的设备,其中,所述第一装置用于:
通过安全信道向用户集群设备分发密钥和所述密钥对应的识别码。
21.一种用于支持多用户集群身份验证的服务设备,其中,所述服务设备包括:
访问请求获取装置,用于获取用户集群设备的访问请求,所述访问请求携带所述用户集群设备的数字签名,所述数字签名包括识别码和利用密钥的私钥加密生成的集群认证信息;
请求验证装置,用于根据所述访问请求向密钥管理设备发送验证请求,所述验证请求包括所述用户集群设备的数字签名;
验证结果获取装置,用于获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。
22.根据权利要求21所述的服务设备,其中,所述服务设备还包括:
公钥列表管理装置,用于创建公钥列表,并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后,从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码,并将所述公钥和识别码持久性存储于公钥列表中。
23.一种支持多用户集群身份验证的用户集群设备,其中,所述用户集群设备包括:
密钥获取装置,用于获取密钥管理设备发送的密钥和所述密钥对应的识别码,所述密钥包括成对的公钥和私钥;
访问请求发起装置,用于向服务设备发起访问请求,所述访问请求携带数字签名,所述数字签名包括所述识别码和利用所述私钥加密生成的集群认证信息。
24.根据权利要求23所述的用户集群设备,其中,所述用户集群设备还包括:
数字签名生成装置,用于根据所述密钥和所述识别码,生成所述数字签名。
CN201510526904.2A 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备 Active CN106487743B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201510526904.2A CN106487743B (zh) 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备
TW105107223A TWI797056B (zh) 2015-08-25 2016-03-09 用於支援多用戶集群身份驗證的方法和設備
US15/245,690 US20170063554A1 (en) 2015-08-25 2016-08-24 Method and device for multi-user cluster identity authentication
PCT/US2016/048648 WO2017035333A1 (en) 2015-08-25 2016-08-25 Method and device for multi-user cluster identity authentication
JP2018510780A JP6856626B2 (ja) 2015-08-25 2016-08-25 マルチユーザクラスタアイデンティティ認証のための方法および装置
EP16840106.5A EP3341832A4 (en) 2015-08-25 2016-08-25 METHOD AND DEVICE FOR MULTIPLE USER CLUSTER IDENTITY AUTHENTICATION

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510526904.2A CN106487743B (zh) 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备

Publications (2)

Publication Number Publication Date
CN106487743A true CN106487743A (zh) 2017-03-08
CN106487743B CN106487743B (zh) 2020-02-21

Family

ID=58096992

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510526904.2A Active CN106487743B (zh) 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备

Country Status (6)

Country Link
US (1) US20170063554A1 (zh)
EP (1) EP3341832A4 (zh)
JP (1) JP6856626B2 (zh)
CN (1) CN106487743B (zh)
TW (1) TWI797056B (zh)
WO (1) WO2017035333A1 (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733652A (zh) * 2017-09-13 2018-02-23 捷德(中国)信息科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN107809311A (zh) * 2017-09-30 2018-03-16 飞天诚信科技股份有限公司 一种基于标识的非对称密钥签发的方法及系统
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
CN109150540A (zh) * 2018-08-03 2019-01-04 广东工业大学 一种无人设备的系统更新验证方法及装置
CN109450621A (zh) * 2018-10-12 2019-03-08 广州杰赛科技股份有限公司 一种设备的信息校验方法与装置
WO2019052286A1 (zh) * 2017-09-12 2019-03-21 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统
CN110688646A (zh) * 2019-10-14 2020-01-14 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN110798434A (zh) * 2018-08-03 2020-02-14 Emc Ip控股有限公司 对云上的实例的访问管理
CN111064569A (zh) * 2019-12-09 2020-04-24 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN111310132A (zh) * 2020-02-24 2020-06-19 山东爱城市网信息技术有限公司 一种基于java开发的集群证书认证方法
CN112422340A (zh) * 2020-11-18 2021-02-26 北京魔带互联科技有限公司 一种管理云服务集群的系统及方法
CN112534790A (zh) * 2018-06-08 2021-03-19 兰克森控股公司 在通信网络中交换加密数据的加密装置、通信系统和方法
CN113452519A (zh) * 2021-06-25 2021-09-28 深圳市电子商务安全证书管理有限公司 密钥同步方法、装置、计算机设备及存储介质

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038682B2 (en) * 2017-05-26 2021-06-15 Cloudminds (Shanghai) Robotics Co., Ltd. Communication method, apparatus and system, electronic device, and computer readable storage medium
CN110086755B (zh) * 2018-01-26 2022-06-21 巍乾全球技术有限责任公司 实现物联网服务的方法、应用服务器、物联网设备和介质
CN111835520B (zh) * 2019-04-19 2023-04-07 株式会社理光 设备认证的方法、服务接入控制的方法、设备及存储介质
CN113111335B (zh) * 2020-01-13 2023-12-29 深信服科技股份有限公司 一种认证方法、装置、设备及存储介质
CN111737741B (zh) * 2020-06-19 2024-02-27 中国工商银行股份有限公司 分布式数据库集群访问方法及中间服务层
CN114286331B (zh) * 2021-12-03 2023-09-12 国网浙江省电力有限公司宁波供电公司 适用于电力物联网5g数据终端的身份认证方法及系统
US20220109581A1 (en) * 2021-12-15 2022-04-07 Intel Corporation Distributed attestation in heterogenous computing clusters

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026581A1 (en) * 2000-08-31 2002-02-28 Sony Corporation Content distribution system, a content distribution method, an information processing apparatus, and a program providing medium
US20050015471A1 (en) * 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
EP2495681A2 (en) * 2011-01-11 2012-09-05 SafeNet, Inc. Remote pre-boot authentication
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统
CN103313237A (zh) * 2013-04-19 2013-09-18 无锡成电科大科技发展有限公司 一种移动云终端与云服务器交互的方法及系统
CN104363217A (zh) * 2014-11-03 2015-02-18 深圳市远行科技有限公司 一种Web系统的CA数字签名认证系统及认证方法
WO2015055257A1 (en) * 2013-10-18 2015-04-23 Nokia Solutions And Networks Oy Selection and use of a security agent for device-to-device (d2d) wireless communications

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2874916B2 (ja) * 1989-11-21 1999-03-24 株式会社東芝 携帯用暗号鍵記憶装置
US7107246B2 (en) * 1998-04-27 2006-09-12 Esignx Corporation Methods of exchanging secure messages
US6950522B1 (en) * 2000-06-15 2005-09-27 Microsoft Corporation Encryption key updating for multiple site automated login
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
JP2003242414A (ja) * 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> 課金方法及び課金システム及びストリーミングコンテンツ配送システム及びインターネット接続サービスシステム及びサービス提供サーバ及び認証課金サーバ及び課金プログラム及び課金プログラムを格納した記憶媒体
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US20050027862A1 (en) * 2003-07-18 2005-02-03 Nguyen Tien Le System and methods of cooperatively load-balancing clustered servers
JP4761348B2 (ja) * 2005-05-02 2011-08-31 Kddi株式会社 ユーザ認証方法およびシステム
US8181262B2 (en) * 2005-07-20 2012-05-15 Verimatrix, Inc. Network user authentication system and method
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
US8824686B1 (en) * 2007-04-27 2014-09-02 Netapp, Inc. Cluster key synchronization
JP5975594B2 (ja) * 2010-02-01 2016-08-23 沖電気工業株式会社 通信端末及び通信システム
CN102457772B (zh) * 2010-10-29 2014-04-02 华为终端有限公司 信息显示方法及设备
US9282085B2 (en) * 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US20140199969A1 (en) * 2011-08-05 2014-07-17 Kerstin Johnsson Mobile device and method for cellular assisted device-to-device communication
ES2877822T3 (es) * 2012-09-26 2021-11-17 Alcatel Lucent Conectividad de paquetes de datos resiliente en una red celular
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026581A1 (en) * 2000-08-31 2002-02-28 Sony Corporation Content distribution system, a content distribution method, an information processing apparatus, and a program providing medium
US20050015471A1 (en) * 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
EP2495681A2 (en) * 2011-01-11 2012-09-05 SafeNet, Inc. Remote pre-boot authentication
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统
CN103313237A (zh) * 2013-04-19 2013-09-18 无锡成电科大科技发展有限公司 一种移动云终端与云服务器交互的方法及系统
WO2015055257A1 (en) * 2013-10-18 2015-04-23 Nokia Solutions And Networks Oy Selection and use of a security agent for device-to-device (d2d) wireless communications
CN104363217A (zh) * 2014-11-03 2015-02-18 深圳市远行科技有限公司 一种Web系统的CA数字签名认证系统及认证方法

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019052286A1 (zh) * 2017-09-12 2019-03-21 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统
CN107733652B (zh) * 2017-09-13 2021-05-25 捷德(中国)科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN107733652A (zh) * 2017-09-13 2018-02-23 捷德(中国)信息科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN107809311A (zh) * 2017-09-30 2018-03-16 飞天诚信科技股份有限公司 一种基于标识的非对称密钥签发的方法及系统
CN107809311B (zh) * 2017-09-30 2020-01-03 飞天诚信科技股份有限公司 一种基于标识的非对称密钥签发的方法及系统
CN112534790B (zh) * 2018-06-08 2023-07-04 兰克森控股公司 在通信网络中交换加密数据的加密装置、通信系统和方法
CN112534790A (zh) * 2018-06-08 2021-03-19 兰克森控股公司 在通信网络中交换加密数据的加密装置、通信系统和方法
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
CN110798434B (zh) * 2018-08-03 2022-04-08 Emc Ip控股有限公司 计算机系统、计算装置所进行的方法和存储介质
CN110798434A (zh) * 2018-08-03 2020-02-14 Emc Ip控股有限公司 对云上的实例的访问管理
CN109150540B (zh) * 2018-08-03 2021-04-16 广东工业大学 一种无人设备的系统更新验证方法及装置
CN109150540A (zh) * 2018-08-03 2019-01-04 广东工业大学 一种无人设备的系统更新验证方法及装置
CN109450621A (zh) * 2018-10-12 2019-03-08 广州杰赛科技股份有限公司 一种设备的信息校验方法与装置
CN109450621B (zh) * 2018-10-12 2021-06-18 广州杰赛科技股份有限公司 一种设备的信息校验方法与装置
CN110688646A (zh) * 2019-10-14 2020-01-14 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN111064569B (zh) * 2019-12-09 2021-04-20 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN111064569A (zh) * 2019-12-09 2020-04-24 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN111310132A (zh) * 2020-02-24 2020-06-19 山东爱城市网信息技术有限公司 一种基于java开发的集群证书认证方法
CN112422340A (zh) * 2020-11-18 2021-02-26 北京魔带互联科技有限公司 一种管理云服务集群的系统及方法
CN112422340B (zh) * 2020-11-18 2023-05-23 北京魔带互联科技有限公司 一种管理云服务集群的方法
CN113452519A (zh) * 2021-06-25 2021-09-28 深圳市电子商务安全证书管理有限公司 密钥同步方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
JP6856626B2 (ja) 2021-04-07
TW201709691A (zh) 2017-03-01
TWI797056B (zh) 2023-04-01
WO2017035333A1 (en) 2017-03-02
CN106487743B (zh) 2020-02-21
EP3341832A1 (en) 2018-07-04
EP3341832A4 (en) 2019-03-27
US20170063554A1 (en) 2017-03-02
JP2018528691A (ja) 2018-09-27

Similar Documents

Publication Publication Date Title
CN106487743A (zh) 用于支持多用户集群身份验证的方法和设备
CN109862041B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
CN107396360B (zh) 区块验证方法及装置
CN109831527B (zh) 文件处理方法、用户端、服务器及可读存储介质
CN104969201B (zh) 用于调用特权操作的安全接口
US20190312877A1 (en) Block chain mining method, device, and node apparatus
CN110351363B (zh) 数据备份方法、设备及计算机可读存储介质
CN104978239B (zh) 一种实现多备份数据动态更新的方法、装置及系统
CN112671720B (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
CN102687481A (zh) 用于执行可靠的网络、能力和服务发现的系统、方法和装置
CN104754552A (zh) 一种可信执行环境tee初始化方法及设备
CN104980477A (zh) 云存储环境下的数据访问控制方法和系统
CN101867929A (zh) 认证方法、系统、认证服务器和终端设备
US11700133B2 (en) Zero-knowledge proof-based certificate service method using blockchain network, certification support server using same, and user terminal using same
CN110213263B (zh) 基于联盟区块链的身份验证方法、设备及存储介质
CN107359990A (zh) 一种秘密信息处理方法、装置及系统
CN110336718A (zh) 一种物联网设备安全快速接入管理平台的方法
CN102833276A (zh) 一种基于令牌的网页登陆系统
CN107040520A (zh) 一种云计算数据共享系统及方法
CN106936945A (zh) 分布式域名解析方法及装置
CN115632798A (zh) 基于智能合约的电子证照认证溯源方法、系统及相关设备
CN110351364A (zh) 数据存储方法、设备及计算机可读存储介质
CN110910110A (zh) 一种数据处理方法、装置及计算机存储介质
CN107204959B (zh) 验证码的验证方法、装置及系统
CN111127020B (zh) 基于区块链的交易数据混淆方法及相关设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant