(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106487743A(43)申请公布日2017.03.08(21)申请号201510526904.2(22)申请日2015.08.25(71)申请人阿里巴巴集团控股有限公司地址英属开曼群岛大开曼资本大厦一座四层847号邮箱(72)发明人安凯歌应叶琦卢毅军(74)专利代理机构上海百一领御专利代理事务所(普通合伙)31243代理人陈贞健(51)Int.Cl.H04L29/06(2006.01)H04L9/32(2006.01)权利要求书3页说明书11页附图5页(54)发明名称用于支持多用户集群身份验证的方法和设备(57)摘要本申请提供用于支持多用户集群身份验证的方法和设备，通过密钥管理设备管理用户集群设备的密钥，为所述用户集群设备签发密钥和密钥的识别码，省去密钥协商的过程，并在用户集群设备请求访问某一服务设备时，由服务设备向所述密钥管理设备发送携带用户集群设备的数字签名的验证请求，由密钥管理设备对用户集群设备进行身份验证。进一步地，所述密钥管理设备可以采用轮转机制定期更新密钥和密钥的识别码，并分发给用户集群设备，用户集群设备利用更新的密钥和识别码更新数字签名，从而提高安全性，降低泄露风险。此外，服务设备采用持久化方式存储密钥中的公钥和识别码，提高验证效率。CN106487743ACN106487743A权利要求书1/3页1.一种在密钥管理设备端用于支持多用户集群身份验证的方法，其中，所述方法包括：向用户集群设备分发密钥和所述密钥对应的识别码，所述密钥包括成对的公钥和私钥；获取所述服务设备发送的验证请求，并基于所述验证请求中的用户集群设备的数字签名，对该用户集群设备进行身份验证，并向所述服务设备返回验证结果，其中，所述数字签名包括所述用户集群设备的识别码和利用所述私钥加密生成的集群认证信息。2.根据权利要求1所述的方法，其中，所述基于所述验证请求中的用户集群设备的数字签名，对该用户集群设备进行身份验证包括：根据所述数字签名中的识别码，查找所述用户集群设备的公钥；利用所查找的公钥对所述集群认证信息进行解密；对所述集群认证信息进行验证。3.根据权利要求2所述的方法，其中，所述验证请求还包括：所述服务设备所持久存储的用户集群设备的公钥列表，所述公钥列表包括请求访问过所述服务设备的用户集群设备的公钥及识别码；所述基于所述验证请求中的用户集群设备的数字签名，对该用户集群设备进行身份验证包括：根据所述数字签名中的识别码，从所述公钥列表中查找所述用户集群设备的公钥，若从所述公钥列表中查找到相应公钥，则利用该查找到的公钥对所述用户集群设备进行解密。4.根据权利要求3所述的方法，其中，所述向所述服务设备返回验证结果还包括：在对所述用户集群设备验证通过后，将所述用户集群设备的公钥和识别码发送给所述服务设备，以更新至所述公钥列表中。5.根据权利要求1至4中任一项所述的方法，其中，所述向用户集群设备分发密钥和所述密钥对应的识别码，所述密钥包括成对的公钥和私钥包括：定期更新所述密钥及所述识别码，并向所述用户集群设备分发更新后的密钥和识别码，其中，所述识别码采用递增复用方式更新。6.根据权利要求1至5中任一项所述的方法，其中，所述方法还包括：当所述密钥和所述识别码更新后，根据所述用户集群设备的请求，利用所述更新的密钥和识别码为相应所述用户集群设备生成数字签名，并将所述生成的数字签名发送给所述用户集群设备。7.根据权利要求1至6中任一项所述的方法，其中，所述集群认证信息包括以下至少任一项：集群名称、集群创建时间、所述公钥和私钥的创建时间，所述公钥和私钥的过期时间。8.根据权利要求1至7中任一项所述的方法，其中，向用户集群设备分发密钥和所述密钥对应的识别码包括：通过安全信道向用户集群设备分发密钥和所述密钥对应的识别码。9.一种在服务设备端用于支持多用户集群身份验证的方法，其中，所述方法包括：获取用户集群设备的访问请求，所述访问请求携带所述用户集群设备的数字签名，所2CN106487743A权利要求书2/3页述数字签名包括识别码和利用密钥的私钥加密生成的集群认证信息；根据所述访问请求向密钥管理设备发送验证请求，所述验证请求包括所述用户集群设备的数字签名；获取所述密钥管理设备基于所述验证请求所返回的所述用户集群设备的身份验证的验证结果。10.根据权利要求9所述的方法，其中，所述方法还包括：创建公钥列表，并在所述密钥管理设备返回的所述用户集群设备的身份验证通过的验证结果后，从所述密钥管理设备获取请求访问的所述用户集群设备的公钥和识别码，并将所述公钥和识别码持久性存储于公钥列表中。11.一种在用户集群设备端用于支持多用户集群身份验证的方法，其中，所述方法包括：获取密钥管理设备发送的密钥和所述密钥