(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210124831.4 (22)申请日 2022.02.10 (65)同一申请的已公布的文献号 申请公布号 CN 114172668 A (43)申请公布日 2022.03.11 (73)专利权人 亿次网联 （杭州） 科技有限公司 地址 310000 浙江省杭州市滨江区浦沿街 道东信大道6 6号4号楼523室 (72)发明人 施建龙　 (74)专利代理 机构 杭州创智卓英知识产权代理 事务所(普通 合伙) 33324 专利代理师 张迪 (51)Int.Cl. H04L 9/32(2006.01)(56)对比文件 CN 110351090 A,2019.10.18 US 2021167949 A1,2021.0 6.03 审查员 朱星杰 (54)发明名称 一种基于数字证书的群成员管理方法和系 统 (57)摘要 本申请涉及一种基于数字证书的群成员管 理方法， 其中， 该方法包括： 群主设备获取目标群 成员和基准时间； 群主设备与群成员设备基于证 书链相互认证， 认证成功之后建立安全通道； 以 基准时间生成时间戳， 通过安全通道， 将时间戳 发送至有效群成员的私有云设备， 其中， 有效群 成员是除目标群成员之外的其他群成员； 基准时 间之后的任意时间， 群内的所有群成员设备基于 证书链和时间戳进行相互认证， 在 认证成功的情 况下重新建立安全通道。 通过本申请， 相比较于 相关技术中通过管理吊销列表进而删除群成员 的方法， 本申请提升了操作便捷性， 同时各个群 成员设备内也无需保存吊销列表， 节省了存储空 间。 权利要求书3页 说明书11页 附图3页 CN 114172668 B 2022.07.05 CN 114172668 B 1.一种基于数字证书的群成员管理方法， 其特征在于， 应用在 分布式群管理场景下， 基 于私有云设备实现， 且每个私有云设备中保存有群主用户CA证书、 群CA证书和其设备主的 群成员证书组成的证书链， 所述方法包括： 群主设备获取目标群成员和基准 时间， 其中， 所述目标群成员是待删除的群成员， 所述 基准时间是针对所述目标群成员的删除请求 生成的时间； 以所述基准时间生成时间戳， 通过安全通道， 将所述时间戳发送至有效群成员的私有 云设备， 其中， 所述安全通道是在群主设备与群成员设备之间基于所述证书链相互认证成 功之后建立， 所述有效群成员是除所述目标群成员之外的其 他群成员； 所述基准 时间之后的任意 时间， 群内的所有群成员设备基于所述证书链和所述时间戳 进行相互认证； 若认证成功， 则重新建立 安全通道。 2.根据权利要求1所述的方法， 其特征在于， 将所述 时间戳发送至有 效群成员的私有云 设备还包括： 所述群主设备查找本地证书链中的群主用户CA证书， 并获取所述群主用户CA证书的私 钥； 采用所述群主用户CA证书的私钥， 对所述时间戳进行签名， 将包含签名信息的时间戳 发送至所述有效群成员的私有云 设备。 3.根据权利要求2所述的方法， 其特征在于， 将所述 时间戳发送至所述有 效群成员的私 有云设备之后， 所述方法还 包括： 所述有效群成员的私有云设备， 接收包含所述签名信息的时间戳， 并查找本地证书链 中的群主用户CA证书； 获取本地证书链中的群主用户CA证书的公钥信息， 采用所述公钥信 息对所述时间戳中 的签名信息进行 校验， 若校验成功， 指示所述时间戳可信。 4.根据权利要求2所述的方法， 其特征在于， 对所述时间戳进行签名之后， 所述方法还 包括： 所述群主设备获取群ID、 群主网络ID和各个有效群成员的群成员网络ID； 将所述群ID、 所述群主网络ID和所述群成员网络ID， 绑定在所述时间戳内； 并根据所述群成员网络ID， 分别将绑定之后的时间戳发送至各个有效群成员的私有云 设备。 5.根据权利要求4所述的方法， 其特征在于， 将绑定之后的时间戳发送至各个有 效群成 员的私有云 设备之后， 所述方法还 包括： 所述有效群成员的私有云 设备， 基于 本地证书链对所述时间戳进行 校验， 包括： 获取所述本地证书链中的群主用户CA证书的公钥信息， 判断所述公钥信息与所述时间 戳的签名信息是否匹配， 获取所述本地证书链中群CA证书的群ID， 判断所述群ID与所述时间戳 内的群ID是否一 致， 获取所述本地证书链中群主用户CA证书的群主网络ID， 判断所述群主网络ID与所述时 间戳内的群主网络ID是否一 致， 获取所述本地证书链中群成员证书的群成员网络ID， 判断所述群成员网络ID与所述时权　利　要　求　书 1/3 页 2 CN 114172668 B 2间戳内的群成员网络ID是否一 致， 若四者均是， 校验成功， 指示所述时间戳可信。 6.根据权利要求1所述的方法， 其特征在于， 所述基准时间之后的任意时间， 群内的所 有群成员设备基于所述证书链和所述时间戳进行相互认证， 包括： 在接收到其 他群成员设备发送的交 互请求之后， 获取 所述交互请求中的时间戳； 判断所述交 互请求中的时间戳与本设备中的时间戳是否相同， 在相同的情况下， 群成员设备之间基于所述证书链进行相互认证， 在认证成功之后重 新建立所述 安全通道； 在不同或者所述交互请求中未包括所述 时间戳的情况下， 群成员设备之间相互认证失 败。 7.根据权利要求1所述的方法， 其特征在于， 所述基准时间之后的任意时间， 当重新将 所述目标群成员邀请进群时， 所述方法还 包括： 对所述目标群成员的私有云 设备重新分配有效的时间戳； 所述目标群成员的私有云设备， 基于所述有效的时间戳和本地的证书链， 与其他群成 员进行相互认证， 在认证成功之后重新建立所述 安全通道。 8.根据权利要求1所述的方法， 其特征在于， 所述群主用户CA证书以群主的应用ID、 网 络ID和集群ID作为扩展 项， 并由随机生成的私钥签发生成。 9.根据权利要求8所述的方法， 其特征在于， 所述群CA证书以所述群ID和所述群主设备 的节点信息、 网络ID作为扩展 项， 并由所述群主用户CA证书签发生成。 10.根据权利要求9所述的方法， 其特征在于， 所述群成员证书以所述群成员设备的网 络ID、 节点信息和群ID作为扩展信息， 并由所述群CA证书签发生成。 11.根据权利要求1至10中任意 一项所述的方法， 其特 征在于， 应用ID是应用层为用户分配的全网唯一 ID； 节点ID是设备接入在网络时对其配置的用于表示节点 位置的节点 ID； 网络ID是用于标识用户网络角色的全网唯一 ID； 集群ID是按照用户需求对所述私有云 设备配置的集群号。 12.一种基于数字证书的群成员管理系统， 其特征在于， 应用 在分布式群管理场景下， 基于私有云设备实现， 且每个私有云设备中保存有群主用户CA证书、 群CA证书和其设备主 的群成员证书组成的证书链， 所述系统包括： 获取模块、 认证模块、 时间戳处 理模块； 所述获取模块用于， 获取目标群成员和基准 时间， 其中， 所述目标群成员是待删除的群 成员， 所述基准时间是针对删除所述目标群成员的请求 生成的时间； 所述时间戳处理模块用于， 以所述基准时间生成时间戳， 通过安全通道， 将所述时间戳 发送至有效群成员的私有云设备， 其中， 所述安全通道是在群主设备与群成员设备之间基 于所述证书链相互认证成功之后建立， 所述有效群成员是除所述目标群成员之外的其他群 成员； 所述认证模块用于， 在所述基准 时间之后的任意 时间， 在群 内的所有群成员设备之间， 基于所述证书链和所述时间戳进行相互认证， 若认证成功， 则重新建立 安全通道。 13.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器上并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至权　利　要　求　书 2/3 页 3 CN 114172668 B 3