TWI797056B - 用於支援多用戶集群身份驗證的方法和設備 - Google Patents

用於支援多用戶集群身份驗證的方法和設備 Download PDF

Info

Publication number
TWI797056B
TWI797056B TW105107223A TW105107223A TWI797056B TW I797056 B TWI797056 B TW I797056B TW 105107223 A TW105107223 A TW 105107223A TW 105107223 A TW105107223 A TW 105107223A TW I797056 B TWI797056 B TW I797056B
Authority
TW
Taiwan
Prior art keywords
key
user cluster
identification code
public key
digital signature
Prior art date
Application number
TW105107223A
Other languages
English (en)
Other versions
TW201709691A (zh
Inventor
安凱歌
應葉琦
盧毅軍
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201709691A publication Critical patent/TW201709691A/zh
Application granted granted Critical
Publication of TWI797056B publication Critical patent/TWI797056B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Burglar Alarm Systems (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
  • Theoretical Computer Science (AREA)

Abstract

本申請提供用於支援多用戶集群身份驗證的方法和設備,通過密鑰管理設備管理用戶集群設備的密鑰,為所述用戶集群設備簽發密鑰和密鑰的識別碼,省去密鑰協商的過程,並在用戶集群設備請求訪問某一服務設備時,由服務設備向所述密鑰管理設備發送攜帶用戶集群設備的數位簽名的驗證請求,由密鑰管理設備對用戶集群設備進行身份驗證。進一步地,所述密鑰管理設備可以採用輪轉機制定期更新密鑰和密鑰的識別碼,並分發給用戶集群設備,用戶集群設備利用更新的密鑰和識別碼更新數位簽名,從而提高安全性,降低洩露風險。此外,服務設備採用持久化方式儲存密鑰中的密鑰公鑰和識別碼,提高驗證效率。

Description

用於支援多用戶集群身份驗證的方法和設備
本申請關於電腦領域,尤其關於一種用於支援多用戶集群身份驗證的方法和設備。
隨著雲計算的推進,各個模組的服務化進程也逐漸展開。如何對服務化後的用戶的存取權限進行管理成為一個必要的問題,是目前很多雲服務提供服務化過程中的重要部分。
在現在的場景中,由於每個用戶集群都有專用的服務模組,所以,用於鑒別身份的服務模組的作用域被限定在當前集群。
現有實現存取權限認證的技術主要有以下方式:當用戶訪問時,會和伺服器協商密鑰,然後將請求及相應的身份資訊以通過密鑰處理發送給服務化節點(提供服務的設備),由服務化節點完成對訪問的驗證。
但是,隨著各模組服務化進程的推進,未來會出現多個用戶集群共用一個服務模組的場景。上述認證技術在用戶的訪問的簽名資訊在網路傳輸過程中是可以被截獲的, 並理論上可以破解,而且用戶身份驗證資訊一般長久不發生變化,存在洩露風險。OpenSSL協定(Open Secure Sockets Layer,開放式安全套接層協議)中的多重認證過程在大規模分散式環境中效率不夠高效,且通過服務化節點進行驗證的方法增加了服務化節點的負載。
因此,如何在同一服務化節點上完成對多個用戶集群的驗證,以支援多個用戶集群的訪問成為業界亟待解決的問題。
本申請要解決的技術問題是,提供一種在一個或多個用戶集群請求訪問服務設備時,能夠對所述用戶集群進行身份驗證的方法和設備。
為解決上述技術問題,本申請提供了一種在密鑰管理設備端用於支援多用戶集群身份驗證的方法,其中,所述方法包括:向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;獲取所述服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果,其中,所述數位簽名包括所述用戶集群設備的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
進一步地,所述基於所述驗證請求中的用戶集群設備 的數位簽名,對該用戶集群設備進行身份驗證包括:根據所述數位簽名中的識別碼,查找所述用戶集群設備的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
進一步地,所述驗證請求還包括:所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表包括請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼;所述基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證包括:根據所述數位簽名中的識別碼,從所述密鑰公鑰列表中查找所述用戶集群設備的密鑰公鑰,若從所述密鑰公鑰列表中查找到相應密鑰公鑰,則利用該查找到的密鑰公鑰對所述用戶集群設備進行解密。
進一步地,所述向所述服務設備返回驗證結果還包括:在對所述用戶集群設備驗證通過後,將所述用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以更新至所述密鑰公鑰列表中。
進一步地,所述向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰包括:定期更新所述密鑰及所述識別碼,並向所述用戶集群 設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。
進一步地,所述方法還包括:當所述密鑰和所述識別碼更新後,根據所述用戶集群設備的請求,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將所述產生的數位簽名發送給所述用戶集群設備。
進一步地,所述集群認證資訊包括以下至少任一項:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間。
進一步地,向用戶集群設備分發密鑰和所述密鑰對應的識別碼包括:通過安全通道向用戶集群設備分發密鑰和所述密鑰對應的識別碼。
本申請提供了一種在服務設備端用於支援多用戶集群身份驗證的方法,其中,所述方法包括:獲取用戶集群設備的訪問請求,所述訪問請求攜帶所述用戶集群設備的數位簽名,所述數位簽名包括識別碼和利用密鑰的密鑰私鑰加密產生的集群認證資訊;根據所述訪問請求向密鑰管理設備發送驗證請求,所述驗證請求包括所述用戶集群設備的數位簽名;獲取所述密鑰管理設備基於所述驗證請求所返回的所述用戶集群設備的身份驗證的驗證結果。
進一步地,所述方法還包括: 創建密鑰公鑰清單,並在所述密鑰管理設備返回的所述用戶集群設備的身份驗證通過的驗證結果後,從所述密鑰管理設備獲取請求訪問的所述用戶集群設備的密鑰公鑰和識別碼,並將所述密鑰公鑰和識別碼持久性儲存於密鑰公鑰清單中。
本申請還提供了一種在用戶集群設備端用於支援多用戶集群身份驗證的方法,其中,所述方法包括:獲取密鑰管理設備發送的密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;向服務設備發起訪問請求,所述訪問請求攜帶數位簽名,所述數位簽名包括所述識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
進一步地,所述方法還包括:根據所述密鑰和所述識別碼,產生所述數位簽名。
本申請還提供了一種用於支援多用戶集群身份驗證的密鑰管理設備,其中,所述密鑰管理設備包括:密鑰分發裝置,用於向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;身份驗證裝置,用於獲取所述服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果,其中,所述數位簽名包括所述用戶集群設備的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
進一步地,所述身份驗證裝置用於:根據所述數位簽名中的識別碼,查找所述用戶集群設備的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
進一步地,所述驗證請求還包括:所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表包括請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼;所述身份驗證裝置用於:根據所述數位簽名中的識別碼,從所述密鑰公鑰列表中查找所述用戶集群設備的密鑰公鑰,若從所述密鑰公鑰列表中查找到相應密鑰公鑰,則利用該查找到的密鑰公鑰對所述用戶集群設備進行解密。
進一步地,所述身份驗證裝置還用於:在對所述用戶集群設備驗證通過後,將所述用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以更新至所述密鑰公鑰列表中。
進一步地,所述密鑰分發裝置包括:定期更新所述密鑰及所述識別碼,並向所述用戶集群設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。
進一步地,所述密鑰管理設備還包括:數位簽名簽發裝置,用於當所述密鑰和所述識別碼更 新後,根據所述用戶集群設備的請求,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將所述產生的數位簽名發送給所述用戶集群設備。
進一步地,所述集群認證資訊包括以下至少任一項:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間。
進一步地,所述第一裝置用於:通過安全通道向用戶集群設備分發密鑰和所述密鑰對應的識別碼。
本申請還提供了一種用於支援多用戶集群身份驗證的服務設備,其中,所述服務設備包括:訪問請求獲取裝置,用於獲取用戶集群設備的訪問請求,所述訪問請求攜帶所述用戶集群設備的數位簽名,所述數位簽名包括識別碼和利用密鑰的密鑰私鑰加密產生的集群認證資訊;請求驗證裝置,用於根據所述訪問請求向密鑰管理設備發送驗證請求,所述驗證請求包括所述用戶集群設備的數位簽名;驗證結果獲取裝置,用於獲取所述密鑰管理設備基於所述驗證請求所返回的所述用戶集群設備的身份驗證的驗證結果。
進一步地,所述服務設備還包括:密鑰公鑰清單管理裝置,用於創建密鑰公鑰清單,並在所述密鑰管理設備返回的所述用戶集群設備的身份驗證 通過的驗證結果後,從所述密鑰管理設備獲取請求訪問的所述用戶集群設備的密鑰公鑰和識別碼,並將所述密鑰公鑰和識別碼持久性儲存於密鑰公鑰清單中。
本申請還提供了一種支援多用戶集群身份驗證的用戶集群設備,其中,所述用戶集群設備包括:密鑰獲取裝置,用於獲取密鑰管理設備發送的密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;訪問請求發起裝置,用於向服務設備發起訪問請求,所述訪問請求攜帶數位簽名,所述數位簽名包括所述識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
進一步地,所述用戶集群設備還包括:數位簽名產生裝置,用於根據所述密鑰和所述識別碼,產生所述數位簽名。
與現有技術相比,在本申請的一個實施例中,通過密鑰管理設備管理用戶集群設備的密鑰,為所述用戶集群設備簽發密鑰和密鑰的識別碼,省去密鑰協商的過程,並在用戶集群設備請求訪問某一服務設備時,由服務設備向所述密鑰管理設備發送攜帶用戶集群設備的數位簽名的驗證請求,由密鑰管理設備對用戶集群設備進行身份驗證。
進一步地,所述密鑰管理設備可以採用輪轉機制定期更新密鑰和密鑰的識別碼,並分發給用戶集群設備,用戶集群設備利用更新的密鑰和識別碼更新數位簽名,從而提高安全性,降低洩露風險。
進一步地,服務設備採用持久化方式儲存密鑰中的密鑰公鑰和識別碼,提高驗證效率。
1:密鑰管理設備
2:服務設備
3:用戶集群設備
11、11’:密鑰分發裝置
12、12’:身份驗證裝置
21、21’:訪問請求獲取裝置
22、22’:請求驗證裝置
23、23’:驗證結果獲取裝置
31、31’:密鑰獲取裝置
32、32’:訪問請求發起裝置
13’:數位簽名簽發裝置
24’:公鑰清單管理裝置
33’:數位簽名產生裝置
S11、S12、S13、S14、S15、S16、S11’、S12’、S13’、S14’、S15’、S16’、S18’、S19’:步驟
通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本申請的其它特徵、目的和優點將會變得更明顯:圖1示出根據本申請一個方面的用於支援多用戶集群身份驗證的系統拓撲圖;圖2示出根據本申請一方面提供的一種用於支援多用戶集群身份驗證的密鑰管理設備、服務設備和用戶集群設備的示意圖;圖3示出根據本申請一優選的實施例提供的一種用於支援多用戶集群身份驗證的密鑰管理設備、服務設備和用戶集群設備的示意圖;圖4示出根據本申請一方面提供的一種用於支援多用戶集群身份驗證的方法示意圖;圖5示出根據本申請優選的實施例提供的一種用於支援多用戶集群身份驗證的方法示意圖。
附圖中相同或相似的附圖標記代表相同或相似的部件。
下面結合附圖對本申請作進一步詳細描述。
圖1示出根據本發明一個方面的用於支援多用戶集群身份驗證的系統拓撲圖,其中,包括密鑰管理設備1、若干服務設備2和多個用戶集群設備3。所述密鑰管理設備1負責為所述用戶集群設備3分發密鑰和密鑰的識別碼,當用戶集群設備3請求訪問服務設備2時,服務設備2將攜帶具有用戶集群設備3的數位簽名的驗證請求發送給密鑰管理設備1,由密鑰管理設備1對用戶集群設備3進行身份驗證並向服務設備2返回驗證結果。
在此,所述密鑰管理設備1可以網路設備或運行在網路設備上的腳本程式,所述服務設備2包括但不限於用戶設備、或用戶設備與網路設備通過網路相整合所構成的設備或者是運行在上述設備上的腳本程式,所述用戶集群設備3也可以是用戶設備、或用戶設備與網路設備通過網路相整合所構成的設備或者是運行在網路設備上的腳本程式。
其中,所述用戶集群設備4是指處於同一集群的一個或多個設備的總稱,所述用戶集群設備3與所述密鑰管理設備1可以通過網路相連接,所述服務設備2與所述密鑰管理設備1可以通過網路連接或二者設置在同一網路設備中。此外,所述服務設備2與所述用戶集群設備3亦可以通過網路連接或二者設置在同一設備集群中,即對於一個集群設備,其可能作為用戶集群設備請求獲得其他的服務設備服務的同時,作為服務設備為其他用戶集群設備提供附圖。
在此,所述網路包括但不限於WCDMA、CDMA2000、TD-SCDMA、GSM、CDMA1x、WIFI、WAPI、WiMax、無線自組織網路(Ad Hoc網路)等。所述網路設備包括一種能夠按照事先設定或儲存的指令,自動進行數值計算和資訊處理的電子設備,其硬體包括但不限於微處理器、專用積體電路(ASIC)、可程式設計閘陣列(FPGA)、數位處理器(DSP)、嵌入式設備等。所述網路包括但不限於互聯網、廣域網路、都會區網路、區域網路、VPN網路、無線自組織網路(Ad Hoc網路)等。所述網路設備可以是一台伺服器,也可以是通過局域網連接的多台伺服器或者通過互聯網連接的多台伺服器,還可以是由多台伺服器構成的雲。在此,雲由基於雲計算(Cloud Computing)的大量電腦或網路服務器構成,其中,雲計算是分散式運算的一種,由一群鬆散耦合的電腦集組成的一個超級虛擬電腦。所述用戶設備其包括但不限於任何一種可與用戶通過觸控板進行人機交互的移動電子產品,例如智慧手機、PDA等,所述移動電子產品可以採用任意作業系統,如android作業系統、iOS作業系統等。
當然,本領域技術人員應能理解上述密鑰管理設備1、服務設備2和用戶集群設備3以及連接其間的網路及通信方式僅為僅為舉例,其他現有的或今後可能出現的密鑰管理設備1、服務設備2和用戶集群設備3如可適用於本申請,也應包含在本申請保護範圍以內,並在此以引用方式包含於此。
本領域技術人員還應能理解,圖1中僅為簡明起見而示出的各類網路元素的數量可能小於一個實際網路中的數量,但這種省略無疑地是以不會影響對本發明進行清楚、充分的公開為前提的。
為簡明起見,下面以密鑰管理設備1、服務設備2和一個用戶集群設備3組成的系統為例進行描述。本領域技術人員應能理解,密鑰管理設備1可以與多個服務設備2和多個用戶集群設備3交互,為所述用戶集群設備3分發密鑰及識別碼,並即時接收來自一個或多個服務設備2的驗證請求,同時服務設備2可以和多個用戶集群設備3交互,根據用戶集群設備3的訪問請求向密鑰管理設備1發起驗證請求,並在獲得驗證結果後,根據驗證結果為所述用戶集群設備3提供相應服務。
圖2示出根據本申請一方面提供的一種用於支援多用戶集群身份驗證的密鑰管理設備、服務設備和用戶集群設備。其中,所述密鑰管理設備1包括:密鑰分發裝置11及身份驗證裝置12。所述服務設備2包括:訪問請求獲取裝置21、請求驗證裝置22和驗證結果獲取裝置23。所述用戶集群設備3包括:密鑰獲取裝置31和訪問請求發起裝置32。
所述密鑰分發裝置11用於向用戶集群設備分發密鑰以及所述密鑰的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;所述身份驗證裝置12用於獲取所述服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備 的數位簽名,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果,其中,所述數位簽名包括所述用戶集群設備的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
所述訪問請求獲取裝置21用於獲取用戶集群設備的訪問請求,所述訪問請求攜帶所述用戶集群設備的數位簽名,所述數位簽名包括所述用戶集群設備的識別碼和利用密鑰的密鑰私鑰加密產生的集群認證資訊;所述請求驗證裝置22用於根據所述訪問請求向密鑰管理設備發送驗證請求,所述驗證請求包括所述用戶集群設備的數位簽名;所述驗證結果獲取裝置23用於獲取所述密鑰管理設備基於所述驗證請求所返回的所述用戶集群設備的身份驗證的驗證結果。
所述密鑰獲取設備31獲取密鑰管理設備發送的密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;所述訪問請求發起設備32向服務設備發起訪問請求,所述訪問請求攜帶數位簽名,所述數位簽名包括所述識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
在此,所述密鑰分發裝置11在為所述用戶集群設備分發密鑰時,在分發密鑰的同時,增加與所述密鑰唯一對應的識別碼(ID);所述身份驗證裝置12在進行身份驗證時,可以根據具有所述識別碼的數位簽名對所述用戶集群設備進行身份驗證,從而可以對多個用戶集群設備進行 認證,進而支援在同一服務設備上位多個用戶集群設備提供服務。
具體地,所述密鑰分發裝置11用於向用戶集群設備分發密鑰和所述密鑰的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰。
在此,所述密鑰和識別碼是一一對應的,通過識別碼可以查詢到相應密鑰,例如查詢到相應密鑰的密鑰公鑰,所述識別碼可以是採用16位元組的欄位,則所有密鑰對應的識別碼可以在0~216中遞增複用,使單個服務設備最多可以為216個用戶集群設備提供服務。
所述密鑰分發裝置11通過分發的方式將密鑰發送給相應用戶集群設備3,進一步地,所述密鑰分發裝置11的分發過程在安全通道上進行,避免簽名洩露,同時省去了密鑰協商過程,提高簽發效率。
接著,所述身份驗證裝置12獲取所述服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果,其中,所述數位簽名包括所述用戶集群設備的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊。
在此,所述集群認證資訊可以包括:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間,其他可以用於認證集群的相關資訊也可以作為集群認證資訊。
當用戶集群設備請求訪問某一服務設備時,該服務設備將所獲得的訪問請求的相關資訊以驗證請求的方式發送給密鑰管理設備1,交由所述密鑰管理設備1對該用戶集群設備進行身份驗證,所述密鑰管理設備1的身份驗證裝置12根據所述數位簽名中的識別碼,查找所述用戶集群設備的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
為提高驗證效率,所述服務設備可以創建一個用於持久儲存用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表用於保存請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼。則所述密鑰管理設備1獲取的所述服務設備的驗證請求中還會包括所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,所述身份驗證裝置12可以利用所述訪問請求中的數位簽名所攜帶的識別碼,從密鑰公鑰列表中查找識別碼所對應的密鑰公鑰,並利用所查找的密鑰公鑰對所述集群認證資訊進行解密,然後對集群認證資訊進行驗證。
優選地,當用戶集群設備首次請求訪問所述服務設備或所述用戶集群設備的密鑰和識別碼發生更新時,則所述身份驗證裝置12從密鑰公鑰清單中無法查找到相應識別碼和密鑰公鑰,則所述身份驗證裝置12從自有的儲存資訊,例如所述密鑰分發裝置11分發密鑰和識別碼時所保留的資訊中獲取相應識別碼對應的密鑰公鑰,利用該密鑰公鑰對用戶集群設備進行身份驗證,並將所述密鑰公鑰列 表中原來沒有的該用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以備所述服務設備更新至所述密鑰公鑰列表中,為該用戶集群設備下次請求訪問做身份驗證時使用,提高驗證效率。
圖3示出根據本申請一優選的實施例提供的一種用於支援多用戶集群身份驗證的密鑰管理設備、服務設備2和用戶集群設備3。
其中,所述密鑰管理設備1包括密鑰分發裝置11’、身份驗證裝置12’和數位簽名簽發裝置13’。所述密鑰分發裝置11’在圖2所示的所述密鑰分發裝置11的基礎上,採用輪轉機制分發密鑰和識別碼,即,定期更新所述成對的密鑰公鑰和密鑰私鑰及所述識別碼,並向所述用戶集群設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。所述身份驗證裝置12’與圖2所示的身份驗證裝置12的內容相同或基本相同,為簡明起見,不再贅述,並以引用的方式包含於此。所述數位簽名簽發裝置13’用於在所述密鑰和所述識別碼更新後,根據所述用戶集群設備3的請求,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將所述產生的數位簽名發送給所述用戶集群設備3,優選地,所述數位簽名簽發裝置13’通過所述安全通道將所述產生的數位簽名發送給所述用戶集群設備3,增強安全性。每當所述密鑰分發裝置11’更新所述密鑰及所述識別碼時,所述數位簽名簽發裝置13’根據更新的所述密鑰和識別碼為產生更新 的數位簽名,密鑰輪轉機制使得用戶集群設備上的數位簽名隨著密鑰的變化而變化,增強了安全性。
所述服務設備2包括:訪問請求獲取裝置21’、請求驗證裝置22’和驗證結果獲取裝置23’和密鑰公鑰清單管理裝置24’,所述密鑰公鑰清單管理裝置24’用於創建密鑰公鑰列表,並在所述密鑰管理設備返回的所述用戶集群設備的身份驗證通過的驗證結果後,從所述密鑰管理設備獲取請求訪問的所述用戶集群設備的密鑰公鑰和識別碼,並將所述密鑰公鑰和識別碼持久性儲存於密鑰公鑰清單中。在此,所述密鑰公鑰清單包括訪問過服務設備2的、且經過密鑰管理設備1驗證過的用戶集群設備3的密鑰公鑰及該密鑰公鑰對應的識別碼,優選地,所述密鑰公鑰列表持久性地保存在quorum目錄(事物處理目錄)。所述請求驗證裝置22’向密鑰管理設備發送驗證請求中,所述驗證請求還包括所述密鑰公鑰列表,所述密鑰管理設備1在對用戶集群設備3進行身份驗證時,可以利用密鑰公鑰列表進行解密,提高驗證效率。所述訪問請求獲取裝置21’和驗證結果獲取裝置23’與圖2所示的訪問請求獲取裝置21和驗證結果獲取裝置23的內容相同或基本相同,為簡明起見,不再贅述,並以引用的方式包含於此。
所述用戶集群設備3包括:密鑰獲取裝置31’、訪問請求發起裝置32’和數位簽名產生裝置33’,所述數位簽名產生裝置33’用於根據所述密鑰和所述識別碼,產生所述數位簽名。
在此,所述密鑰和識別碼是一一對應的,通過識別碼可以查詢到相應密鑰,例如查詢到相應密鑰的密鑰公鑰。因此,每更新密鑰,識別碼則相應採用遞增複用的方式更新,例如,所述識別碼在0~216中一個16位元組的欄位,當每次更新,則識別碼遞增一次,當然遞增方式不限制於依此遞增,可以隨機遞增,其遞增顯示並不被限制,當所述識別碼達到最大值,例如216時,則所述識別碼從0開始複用更新。
在此,所述集群認證資訊可以包括:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間,其他可以用於認證集群的相關資訊也可以作為集群認證資訊。
在實際場景中,所述用戶集群設備3既可以在部署初期,由所述數位簽名產生裝置33’產生數位簽名,或可以從所述數位簽名簽發裝置13’中獲取更新。
圖4示出根據本申請一個方面提供的一種用於支援多用戶集群身份驗證的方法,其中,所述方法包括:步驟S11、步驟S12、步驟S13、步驟S14、步驟S15和步驟S16。
其中,所述步驟S11包括:密鑰管理設備1向用戶集群設備分發密鑰以及所述密鑰的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;所述步驟S12包括:用戶集群設備3向服務設備2發起訪問請求,所述訪問請求攜帶數位簽名,所述數位簽名 包括所述識別碼和利用密鑰中的密鑰私鑰加密產生的集群認證資訊;所述步驟S13包括:服務設備2根據所述訪問請求向密鑰管理設備1發送驗證請求,所述驗證請求包括所述用戶集群設備3的數位簽名;所述步驟S14包括:密鑰管理設備1獲取所述服務設備2發送的驗證請求,並基於所述驗證請求中的用戶集群設備3的數位簽名,對該用戶集群設備3進行身份驗證;所述步驟S15包括:密鑰管理設備1向所述服務設備2返回驗證結果。
所述步驟S16包括:服務設備2根據所述驗證結果為所述用戶集群設備3提供相應服務。
其中,在所述步驟S11中,所述密鑰分發裝置11通過分發的方式將密鑰發送給相應用戶集群設備3,進一步地,所述密鑰分發裝置11的分發過程在安全通道上進行,避免簽名洩露,同時省去了密鑰協商過程,提高簽發效率。在所述步驟S14中,密鑰管理設備1在進行身份驗證時,可以根據具有所述識別碼的數位簽名對所述用戶集群設備3進行身份驗證,從而可以對多個用戶集群設備3進行認證,進而支援在同一服務設備2上位多個用戶集群設備3提供服務。
在此,所述密鑰和識別碼是一一對應的,通過識別碼可以查詢到相應密鑰,例如查詢到相應密鑰的密鑰公鑰,所述識別碼可以是採用16位元組的欄位,則所有密鑰對 應的識別碼可以在0~216中遞增複用,使單個服務設備最多可以為216個用戶集群設備提供服務。所述集群認證資訊可以包括:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間,其他可以用於認證集群的相關資訊也可以作為集群認證資訊。
在所述步驟S14中,所述密鑰管理設備1對所述用戶集群設備3進行身份驗證,所述密鑰管理設備1根據所述數位簽名中的識別碼,查找所述用戶集群設備3的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
圖5示出根據本申請一優選的實施例提供的一種在密鑰管理設備端用於驗證用戶集群的方法,所述方法包括:步驟S11’、步驟S12’、步驟S13’、步驟S14’、步驟S15’和步驟S16’。
所述步驟S11’在圖3所示的所述步驟S11的基礎上,所述密鑰管理設備1採用輪轉機制分發密鑰和識別碼,即,定期更新所述成對的密鑰公鑰和密鑰私鑰及所述識別碼,並向所述用戶集群設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。
在此,所述密鑰和識別碼是一一對應的,通過識別碼可以查詢到相應密鑰,例如查詢到相應密鑰的密鑰公鑰。因此,每更新密鑰,識別碼則相應採用遞增複用的方式更新,例如,所述識別碼在0~216中一個16位元組的欄位, 當每次更新,則識別碼遞增一次,當然遞增方式不限制於依此遞增,可以隨機遞增,其遞增顯示並不被限制,當所述識別碼達到最大值,例如216時,則所述識別碼從0開始複用更新。
在所述步驟S17’中,所述密鑰管理設備1利用所述更新的密鑰和識別碼為用戶集群設備3產生數位簽名,並更新產生的數位簽名發送給相應的用戶集群設備3。在所述密鑰和所述識別碼更新後,根據用戶集群設備3的請求或調用,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將所述產生的數位簽名發送給所述用戶集群設備。優選地,所述密鑰管理設備1通過所述安全通道將所述產生的數位簽名發送給所述用戶集群設備3,增強安全性。每當所述步驟S11’更新所述密鑰及所述識別碼時,所述步驟S17’根據更新的所述密鑰和識別碼為產生更新的數位簽名,並將更新的數位簽名發送給所述用戶集群設備3。通過密鑰輪轉機制,加強安全性。
其中,所述步驟S12’、與圖3所示的所述步驟S12的內容相同或基本相同,為簡明起見,不再贅述,並以引用的方式包含於此。
所述步驟S13’在圖3所示的所述步驟S13的基礎上,發送的驗證請求還包括所述服務設備2所持久儲存的密鑰公鑰清單,在此,所述密鑰公鑰清單包括訪問過服務設備2的、且經過密鑰管理設備1驗證過的用戶集群設備3的密鑰公鑰及該密鑰公鑰對應的識別碼,優選地,所述 密鑰公鑰列表持久性地保存在quorum目錄(事物處理目錄)。
為提高驗證效率,所述服務設備可以創建一個用於持久儲存用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表用於保存請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼。則所述密鑰管理設備1獲取的所述服務設備的驗證請求中還會包括所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,可以利用所述訪問請求中的數位簽名所攜帶的識別碼,從密鑰公鑰列表中查找識別碼所對應的密鑰公鑰,並利用所查找的密鑰公鑰對所述集群認證資訊進行解密,然後對集群認證資訊進行驗證。
優選地,當用戶集群設備首次請求訪問所述服務設備或所述用戶集群設備的密鑰和識別碼發生更新時,則從密鑰公鑰列表中無法查找到相應識別碼和密鑰公鑰,則從自有的儲存資訊,例如分發密鑰和識別碼時所保留的資訊中獲取相應識別碼對應的密鑰公鑰,利用該密鑰公鑰對用戶集群設備進行身份驗證,並將所述密鑰公鑰列表中原來沒有的該用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以備所述服務設備更新至所述密鑰公鑰列表中,為該用戶集群設備下次請求訪問做身份驗證時使用,提高驗證效率。
所述步驟S14’在圖3所示的步驟S14的基礎上,根據所述數位簽名中的識別碼,從步驟S13’提供的所述密鑰公鑰列表中查找所述用戶集群設備3的密鑰公鑰,具體 地,根據數位簽名中的識別碼找到密鑰公鑰列表中相同的識別碼,根據密鑰公鑰清單所查找的識別碼查找對應的密鑰公鑰,若從所述密鑰公鑰列表中查找到相應密鑰公鑰,則利用該查找到的密鑰公鑰對所述用戶集群設備3所加密的集群認證資訊進行解密。
此外,若從密鑰公鑰列表中查找到相應密鑰公鑰,那麼可能是所述用戶集群設備3首次請求訪問或所述用戶集群設備3的密鑰和識別碼更新過,則所述密鑰管理設備1從自有的密鑰和識別碼列表中查找到相應識別碼對應的密鑰公鑰,利用密鑰公鑰對所述集群認證資訊進行解密;隨後在步驟S18’中,則將該用戶集群設備3的密鑰公鑰及識別碼發送給服務設備2,接著,在步驟S19’中,服務設備2’將獲取的密鑰公鑰及識別碼更新至密鑰公鑰列表中,以備下次使用。
接著,所述步驟S15’和步驟S16’與圖3所示的所述步驟S15和步驟S16的內容相同或基本相同,為簡明起見,不再贅述,並以引用的方式包含於此。
與現有技術相比,在本申請的一個實施例中,通過密鑰管理設備管理用戶集群設備的密鑰,為所述用戶集群設備簽發密鑰和密鑰的識別碼,省去密鑰協商的過程,並在用戶集群設備請求訪問某一服務設備時,由服務設備向所述密鑰管理設備發送攜帶用戶集群設備的數位簽名的驗證請求,由密鑰管理設備對用戶集群設備進行身份驗證。
進一步地,所述密鑰管理設備可以採用輪轉機制定期 更新密鑰和密鑰的識別碼,並分發給用戶集群設備,用戶集群設備利用更新的密鑰和識別碼更新數位簽名,從而提高安全性,降低洩露風險。
進一步地,服務設備採用持久化方式儲存密鑰中的密鑰公鑰和識別碼,提高驗證效率。
顯然,本領域的技術人員可以對本申請進行各種改動和變型而不脫離本申請的精神和範圍。這樣,倘若本申請的這些修改和變型屬於本申請申請專利範圍及其等同技術的範圍之內,則本申請也意圖包含這些改動和變型在內。
需要注意的是,本申請可在軟體和/或軟體與硬體的組合體中被實施,例如,可採用專用積體電路(ASIC)、通用目的電腦或任何其他類似硬體設備來實現。在一個實施例中,本申請的軟體程式可以通過處理器執行以實現上文所述步驟或功能。同樣地,本申請的軟體程式(包括相關的資料結構)可以被儲存到電腦可讀記錄媒體中,例如,RAM記憶體,磁或光驅動器或軟碟及類似設備。另外,本申請的一些步驟或功能可採用硬體來實現,例如,作為與處理器配合從而執行各個步驟或功能的電路。
另外,本申請的一部分可被應用為電腦程式產品,例如電腦程式指令,當其被電腦執行時,通過該電腦的操作,可以調用或提供根據本申請的方法和/或技術方案。而調用本申請的方法的程式指令,可能被儲存在固定的或可移動的記錄媒體中,和/或通過廣播或其他信號承載媒 體中的資料流程而被傳輸,和/或被儲存在根據所述程式指令運行的電腦設備的工作記憶體中。在此,根據本申請的一個實施例包括一個裝置,該裝置包括用於儲存電腦程式指令的記憶體和用於執行程式指令的處理器,其中,當該電腦程式指令被該處理器執行時,觸發該裝置運行基於前述根據本申請的多個實施例的方法和/或技術方案。
對於本領域技術人員而言,顯然本申請不限於上述示範性實施例的細節,而且在不背離本申請的精神或基本特徵的情況下,能夠以其他的具體形式實現本申請。因此,無論從哪一點來看,均應將實施例看作是示範性的,而且是非限制性的,本申請的範圍由所附申請專利範圍而不是上述說明限定,因此旨在將落在申請專利範圍的等同要件的含義和範圍內的所有變化涵括在本申請內。不應將申請專利範圍中的任何附圖標記視為限制所涉及的申請專利範圍。此外,顯然“包括”一詞不排除其他單元或步驟,單數不排除複數。裝置申請專利範圍中陳述的多個單元或裝置也可以由一個單元或裝置通過軟體或者硬體來實現。第一,第二等詞語用來表示名稱,而並不表示任何特定的順序。
1‧‧‧密鑰管理設備
2‧‧‧服務設備
3‧‧‧用戶集群設備

Claims (16)

  1. 一種在密鑰管理設備端用於支援多用戶集群身份驗證的方法,其中,所述方法包括:向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;獲取服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備的數位簽名中的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果。
  2. 根據申請專利範圍第1項所述的方法,其中,所述基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證包括:根據所述數位簽名中的識別碼,查找所述用戶集群設備的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
  3. 根據申請專利範圍第2項所述的方法,其中,所述驗證請求還包括:所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表包括請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼;所述基於所述驗證請求中的用戶集群設備的數位簽名,對該用戶集群設備進行身份驗證包括:根據所述數位簽名中的識別碼,從所述密鑰公鑰列表 中查找所述用戶集群設備的密鑰公鑰,若從所述密鑰公鑰列表中查找到相應密鑰公鑰,則利用該查找到的密鑰公鑰對所述用戶集群設備進行解密。
  4. 根據申請專利範圍第3項所述的方法,其中,所述向所述服務設備返回驗證結果還包括:在對所述用戶集群設備驗證通過後,將所述用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以更新至所述密鑰公鑰列表中。
  5. 根據申請專利範圍第1至4項中任一項所述的方法,其中,所述向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰包括:定期更新所述密鑰及所述識別碼,並向所述用戶集群設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。
  6. 根據申請專利範圍第1至4項中任一項所述的方法,其中,所述方法還包括:當所述密鑰和所述識別碼更新後,根據所述用戶集群設備的請求,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將所述產生的數位簽名發送給所述用戶集群設備。
  7. 根據申請專利範圍第1至4項中任一項所述的方法,其中,所述集群認證資訊包括以下至少任一項:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰 的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間。
  8. 根據申請專利範圍第1至4項中任一項所述的方法,其中,向用戶集群設備分發密鑰和所述密鑰對應的識別碼包括:通過安全通道向用戶集群設備分發密鑰和所述密鑰對應的識別碼。
  9. 一種用於支援多用戶集群身份驗證的密鑰管理設備,其中,所述密鑰管理設備包括:密鑰分發裝置,用於向用戶集群設備分發密鑰和所述密鑰對應的識別碼,所述密鑰包括成對的密鑰公鑰和密鑰私鑰;身份驗證裝置,用於獲取所述服務設備發送的驗證請求,並基於所述驗證請求中的用戶集群設備的數位簽名中的識別碼和利用所述密鑰私鑰加密產生的集群認證資訊,對該用戶集群設備進行身份驗證,並向所述服務設備返回驗證結果。
  10. 根據申請專利範圍第9項所述的密鑰管理設備,其中,所述身份驗證裝置用於:根據所述數位簽名中的識別碼,查找所述用戶集群設備的密鑰公鑰;利用所查找的密鑰公鑰對所述集群認證資訊進行解密;對所述集群認證資訊進行驗證。
  11. 根據申請專利範圍第10項所述的密鑰管理設備, 其中,所述驗證請求還包括:所述服務設備所持久儲存的用戶集群設備的密鑰公鑰清單,所述密鑰公鑰列表包括請求訪問過所述服務設備的用戶集群設備的密鑰公鑰及識別碼;所述身份驗證裝置用於:根據所述數位簽名中的識別碼,從所述密鑰公鑰列表中查找所述用戶集群設備的密鑰公鑰,若從所述密鑰公鑰列表中查找到相應密鑰公鑰,則利用該查找到的密鑰公鑰對所述用戶集群設備進行解密。
  12. 根據申請專利範圍第11項所述的密鑰管理設備,其中,所述身份驗證裝置還用於:在對所述用戶集群設備驗證通過後,將所述用戶集群設備的密鑰公鑰和識別碼發送給所述服務設備,以更新至所述密鑰公鑰列表中。
  13. 根據申請專利範圍第9至12項中任一項所述的密鑰管理設備,其中,所述密鑰分發裝置包括:定期更新所述密鑰及所述識別碼,並向所述用戶集群設備分發更新後的密鑰和識別碼,其中,所述識別碼採用遞增複用方式更新。
  14. 根據申請專利範圍第9至12項中任一項所述的密鑰管理設備,其中,所述密鑰管理設備還包括:數位簽名簽發裝置,用於當所述密鑰和所述識別碼更新後,根據所述用戶集群設備的請求,利用所述更新的密鑰和識別碼為相應所述用戶集群設備產生數位簽名,並將 所述產生的數位簽名發送給所述用戶集群設備。
  15. 根據申請專利範圍第9至12項中任一項所述的密鑰管理設備,其中,所述集群認證資訊包括以下至少任一項:集群名稱、集群創建時間、所述密鑰公鑰和密鑰私鑰的創建時間,所述密鑰公鑰和密鑰私鑰的過期時間。
  16. 根據申請專利範圍第9至12項中任一項所述的設備,其中,所述第一裝置用於:通過安全通道向用戶集群設備分發密鑰和所述密鑰對應的識別碼。
TW105107223A 2015-08-25 2016-03-09 用於支援多用戶集群身份驗證的方法和設備 TWI797056B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510526904.2 2015-08-25
CN201510526904.2A CN106487743B (zh) 2015-08-25 2015-08-25 用于支持多用户集群身份验证的方法和设备

Publications (2)

Publication Number Publication Date
TW201709691A TW201709691A (zh) 2017-03-01
TWI797056B true TWI797056B (zh) 2023-04-01

Family

ID=58096992

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105107223A TWI797056B (zh) 2015-08-25 2016-03-09 用於支援多用戶集群身份驗證的方法和設備

Country Status (6)

Country Link
US (1) US20170063554A1 (zh)
EP (1) EP3341832A4 (zh)
JP (1) JP6856626B2 (zh)
CN (1) CN106487743B (zh)
TW (1) TWI797056B (zh)
WO (1) WO2017035333A1 (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038682B2 (en) * 2017-05-26 2021-06-15 Cloudminds (Shanghai) Robotics Co., Ltd. Communication method, apparatus and system, electronic device, and computer readable storage medium
CN107579817A (zh) * 2017-09-12 2018-01-12 广州广电运通金融电子股份有限公司 基于区块链的用户身份验证方法、装置及系统
CN107733652B (zh) * 2017-09-13 2021-05-25 捷德(中国)科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN107809311B (zh) * 2017-09-30 2020-01-03 飞天诚信科技股份有限公司 一种基于标识的非对称密钥签发的方法及系统
CN110086755B (zh) * 2018-01-26 2022-06-21 巍乾全球技术有限责任公司 实现物联网服务的方法、应用服务器、物联网设备和介质
CA3102933C (en) * 2018-06-08 2023-08-29 Linxens Holding Encryption device, a communication system and method of exchanging encrypted data in a communication network
CN108989028A (zh) * 2018-07-16 2018-12-11 哈尔滨工业大学(深圳) 群密钥分发管理方法、装置、电子设备及存储介质
CN109150540B (zh) * 2018-08-03 2021-04-16 广东工业大学 一种无人设备的系统更新验证方法及装置
CN110798434B (zh) * 2018-08-03 2022-04-08 Emc Ip控股有限公司 计算机系统、计算装置所进行的方法和存储介质
CN109450621B (zh) * 2018-10-12 2021-06-18 广州杰赛科技股份有限公司 一种设备的信息校验方法与装置
CN111835520B (zh) * 2019-04-19 2023-04-07 株式会社理光 设备认证的方法、服务接入控制的方法、设备及存储介质
CN110688646B (zh) * 2019-10-14 2021-12-03 广州麦仑信息科技有限公司 一种应用于掌脉识别的多服务器集群的安全认证方法
CN111064569B (zh) * 2019-12-09 2021-04-20 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN113111335B (zh) * 2020-01-13 2023-12-29 深信服科技股份有限公司 一种认证方法、装置、设备及存储介质
CN111310132A (zh) * 2020-02-24 2020-06-19 山东爱城市网信息技术有限公司 一种基于java开发的集群证书认证方法
CN111737741B (zh) * 2020-06-19 2024-02-27 中国工商银行股份有限公司 分布式数据库集群访问方法及中间服务层
CN112422340B (zh) * 2020-11-18 2023-05-23 北京魔带互联科技有限公司 一种管理云服务集群的方法
CN113452519B (zh) * 2021-06-25 2022-07-19 深圳市电子商务安全证书管理有限公司 密钥同步方法、装置、计算机设备及存储介质
CN114286331B (zh) * 2021-12-03 2023-09-12 国网浙江省电力有限公司宁波供电公司 适用于电力物联网5g数据终端的身份认证方法及系统
US20220109581A1 (en) * 2021-12-15 2022-04-07 Intel Corporation Distributed attestation in heterogenous computing clusters

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026581A1 (en) * 2000-08-31 2002-02-28 Sony Corporation Content distribution system, a content distribution method, an information processing apparatus, and a program providing medium
US20050015471A1 (en) * 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统
WO2015055257A1 (en) * 2013-10-18 2015-04-23 Nokia Solutions And Networks Oy Selection and use of a security agent for device-to-device (d2d) wireless communications

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2874916B2 (ja) * 1989-11-21 1999-03-24 株式会社東芝 携帯用暗号鍵記憶装置
US7107246B2 (en) * 1998-04-27 2006-09-12 Esignx Corporation Methods of exchanging secure messages
US6950522B1 (en) * 2000-06-15 2005-09-27 Microsoft Corporation Encryption key updating for multiple site automated login
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US7392546B2 (en) * 2001-06-11 2008-06-24 Bea Systems, Inc. System and method for server security and entitlement processing
JP2003242414A (ja) * 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> 課金方法及び課金システム及びストリーミングコンテンツ配送システム及びインターネット接続サービスシステム及びサービス提供サーバ及び認証課金サーバ及び課金プログラム及び課金プログラムを格納した記憶媒体
US7206934B2 (en) * 2002-09-26 2007-04-17 Sun Microsystems, Inc. Distributed indexing of identity information in a peer-to-peer network
US20050027862A1 (en) * 2003-07-18 2005-02-03 Nguyen Tien Le System and methods of cooperatively load-balancing clustered servers
JP4761348B2 (ja) * 2005-05-02 2011-08-31 Kddi株式会社 ユーザ認証方法およびシステム
BRPI0615559A2 (pt) * 2005-07-20 2017-09-12 Verimatrix Inc sistema e método de autenticação de usúario de rede
GB2442044B8 (en) * 2006-05-11 2011-02-23 Ericsson Telefon Ab L M Addressing and routing mechanism for web server clusters.
US8824686B1 (en) * 2007-04-27 2014-09-02 Netapp, Inc. Cluster key synchronization
JP5975594B2 (ja) * 2010-02-01 2016-08-23 沖電気工業株式会社 通信端末及び通信システム
CN102457772B (zh) * 2010-10-29 2014-04-02 华为终端有限公司 信息显示方法及设备
US9282085B2 (en) * 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US20120179904A1 (en) * 2011-01-11 2012-07-12 Safenet, Inc. Remote Pre-Boot Authentication
WO2013022471A1 (en) * 2011-08-05 2013-02-14 Intel Corporation Mobile device and method for cellular assisted device-to-device communication
ES2877822T3 (es) * 2012-09-26 2021-11-17 Alcatel Lucent Conectividad de paquetes de datos resiliente en una red celular
CN104363217A (zh) * 2014-11-03 2015-02-18 深圳市远行科技有限公司 一种Web系统的CA数字签名认证系统及认证方法
US9813400B2 (en) * 2014-11-07 2017-11-07 Probaris Technologies, Inc. Computer-implemented systems and methods of device based, internet-centric, authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026581A1 (en) * 2000-08-31 2002-02-28 Sony Corporation Content distribution system, a content distribution method, an information processing apparatus, and a program providing medium
US20050015471A1 (en) * 2003-07-18 2005-01-20 Zhang Pu Paul Secure cluster configuration data set transfer protocol
CN102739687A (zh) * 2012-07-09 2012-10-17 广州杰赛科技股份有限公司 基于标识的应用服务网络访问方法及系统
WO2015055257A1 (en) * 2013-10-18 2015-04-23 Nokia Solutions And Networks Oy Selection and use of a security agent for device-to-device (d2d) wireless communications

Also Published As

Publication number Publication date
EP3341832A1 (en) 2018-07-04
US20170063554A1 (en) 2017-03-02
EP3341832A4 (en) 2019-03-27
JP6856626B2 (ja) 2021-04-07
CN106487743B (zh) 2020-02-21
CN106487743A (zh) 2017-03-08
TW201709691A (zh) 2017-03-01
JP2018528691A (ja) 2018-09-27
WO2017035333A1 (en) 2017-03-02

Similar Documents

Publication Publication Date Title
TWI797056B (zh) 用於支援多用戶集群身份驗證的方法和設備
US11606352B2 (en) Time-based one time password (TOTP) for network authentication
CN109862041B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
WO2021114923A1 (zh) 针对隐私数据的数据存储、数据读取方法及装置
US9674699B2 (en) System and methods for secure communication in mobile devices
US10574648B2 (en) Methods and systems for user authentication
US9699167B1 (en) Distributed authentication
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
US9219722B2 (en) Unclonable ID based chip-to-chip communication
US20140270179A1 (en) Method and system for key generation, backup, and migration based on trusted computing
WO2015196659A1 (zh) 一种桌面云客户端和服务端之间连接认证的方法及装置
JP2020527305A5 (zh)
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
US8977857B1 (en) System and method for granting access to protected information on a remote server
US9215064B2 (en) Distributing keys for decrypting client data
WO2022121461A1 (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
US20140282972A1 (en) Wireless device authentication and service access
CN110572258B (zh) 一种云密码计算平台及计算服务方法
US9787668B1 (en) Sensitive user information management system and method
CN110225017B (zh) 基于联盟区块链的身份验证方法、设备及存储介质
US11146552B1 (en) Decentralized application authentication
JP2016139910A (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
Singh et al. Secure Cloud Architecture based on YAK and ECC
Li et al. A Mobile Terminal Authentication Scheme Based on Symmetric Cryptographic Mechanisms
SATYA et al. Public Auditing for Modify and Share Data with Secure and Efficient User Revocation in Cloud