專利名稱:跨網(wǎng)域信息通信的認證方法、系統(tǒng)及其裝置的制作方法
技術領域:
本發(fā)明涉及一種信息通信認證方法,特別是指一種跨網(wǎng)域信息通信的 認證方法、系統(tǒng)及其裝置。
10
背景技術:
近年來由于網(wǎng)絡通信技術趨于成熟,使得通過網(wǎng)際網(wǎng)絡傳送數(shù)字語音
封包的網(wǎng)絡電話(VoiceoverIntemetProtocol, VoIP)、傳送消息的短消息服 務、影音通信以及多媒體影音串流服務等成為目前熱門的網(wǎng)絡應用。
以網(wǎng)絡電話為例,通話啟始協(xié)議(Session Initiation Protocol以下稱SIP) is 是目前網(wǎng)絡電話常用的信令協(xié)議(Signaling protocols)標準。在網(wǎng)絡電話系 統(tǒng)中,使用SIP協(xié)議的每一個移動電話會向某一特定SIP網(wǎng)域注冊而分別 屬于該特定的SIP網(wǎng)域,該網(wǎng)域的安全管理是由金鑰管理中心(KMC: key management center,)或金鑰分酉己中心(KDC: key distribution center)所控 管,且由于在同一網(wǎng)域中的移動電話應用同一認證協(xié)議,因此在同一網(wǎng)域
20 中,移動電話與服務器之間以及移動電話與移動電話之間可以相互認證而 進行安全通信。
但是,當兩個移動電話的通話區(qū)域跨越兩個不同的網(wǎng)域時,則會因為 各網(wǎng)域認證協(xié)議的不同而必須另外遵循另一共同的認證方式才能進行安
全通信,但也因此產(chǎn)生跨網(wǎng)域信任操作(inter-domain trust operations)的問
25 題。
為解決上述問題,作為現(xiàn)有技術的、名稱為"Method and system for authentication through multiple proxy servers that require different authentication data"(通過多個需要不同認證資料的代理服務器的認證方法 及系統(tǒng))的美國專利No.6839761,其主要是針對連續(xù)的代理(服務器),讓其 30 在SIP要求消息中附加各自的認證資料,以解決在SIP中用戶與連續(xù)代理
者之間的認證,以得到針對不同安全網(wǎng)域的連續(xù)的認證憑證,但此專利并 沒有針對跨網(wǎng)域問題進行解決。
另一種現(xiàn)有技術是美國專利申請公開No.20050108575,名稱為 "Apparatus, system and method for facilitating authenticated communication 5between authentication realms"(簡化認證區(qū)域之間認證通信的裝置、系統(tǒng) 及方法),其主要利用認證網(wǎng)關來解決不同認證協(xié)議之間的認證。但是固定 的認證網(wǎng)關容易因遭受網(wǎng)絡攻擊而產(chǎn)生工作效率低的問題。
因此,如何在不需在兩個安全網(wǎng)域服務器上使用復雜的跨網(wǎng)域信賴操 作的情況下,需要提供一種針對兩個跨越兩個不同安全網(wǎng)域的通信電子裝 10 置取得共同的認證憑證的機制。
發(fā)明內(nèi)容
因此,本發(fā)明的目的是提供一種不須在兩個安全網(wǎng)域服務器上采用復 雜的跨網(wǎng)域信賴操作即可取得共同的認證憑證的跨網(wǎng)域信息通信的認證
15方法、系統(tǒng)及其裝置。
于是,本發(fā)明的跨網(wǎng)域信息通信的認證方法,應用于要通過網(wǎng)際網(wǎng)絡 進行信息通信的屬于第一網(wǎng)域的第一電子裝置與屬于第二網(wǎng)域的第二電 子裝置之間;該方法包括(A)令該第一電子裝置要求同網(wǎng)域的第一代理 服務器找出同時在該網(wǎng)域注冊的中繼點裝置;(B)令該第一電子裝置通過該
20中繼點裝置,向該第二網(wǎng)域的第二金鑰分配中心注冊以取得第一金鑰,并 傳送包含該第一金鑰的第一通行證給該第二電子裝置;(C)令該第二電子裝 置收到該第一通行證后,透過該中繼點裝置,向該第一網(wǎng)域的第一金鑰分 配中心注冊以取得第二金鑰,且傳送包含該第二金鑰第二通行證給該第一 電子裝置;及(D)令該第一及第二電子裝置根據(jù)收到的該第一及第二金鑰
25產(chǎn)生共享的第三金鑰,以進行信息通信認證。
此外,本發(fā)明實現(xiàn)上述方法的跨網(wǎng)域信息通信認證系統(tǒng),設置在第一 網(wǎng)域中,用以通過網(wǎng)際網(wǎng)絡與屬于第二網(wǎng)域的第二電子裝置進行信息通 信;該系統(tǒng)包括第一代理服務器、第一電子裝置及第一金鑰分配中心。該 第一代理服務器中記錄有多個候選中繼點裝置。該第一電子裝置發(fā)出要求
30消息,要求該第一代理服務器由該候選中繼點裝置中找出同時在該網(wǎng)域注 冊的中繼點裝置,以便通過該中繼點裝置,向該第二網(wǎng)域的第二金鑰分配 中心注冊以取得第一金鑰,并傳送包含該第一金鑰的第一通行證給第二電 子裝置。該第一金鑰分配中心供該第二電子裝置通過該中繼點裝置,向其 注冊并取得第二金鑰,并傳送包含該第二金鑰的第二通行證給該第一電子
5 裝置,使該第一及第二電子裝置可根據(jù)收到的該第一及第二金鑰產(chǎn)生共享 的第三金鑰,以進行信息通信認證。
再者,本發(fā)明實現(xiàn)上述方法的移動通信電子裝置,屬于第一網(wǎng)域,其 可通過網(wǎng)際網(wǎng)絡與屬于第二網(wǎng)域的第二電子裝置進行信息通信;該行動通 信電子裝置包括中繼點請求模塊及跨網(wǎng)域金鑰處理單元。該中繼點請求模
10 塊發(fā)出要求消息,要求同網(wǎng)域的第一代理服務器找到同時在該網(wǎng)域注冊的 中繼點裝置。該跨網(wǎng)域金鑰處理單元通過該中繼點裝置,向該第二網(wǎng)域的 第二金鑰分配中心注冊以取得第一金鑰,并傳送包含該第一金鑰的第一通 行證給該第二電子裝置,以要求其回傳包含第二金鑰的第二通行證,并處 理該第二通行證,以取出該第二金鑰,而根據(jù)該第一及第二金鑰產(chǎn)生用以
15與該第二電子裝置進行信息通信認證的第三金鑰。
另外,本發(fā)明實現(xiàn)上述方法的中繼點裝置,其可橫跨第一網(wǎng)域及第二 網(wǎng)域,并與設置在第一網(wǎng)域的第一代理服務器及第一電子裝置通信,以協(xié) 助該第一電子裝置與屬于第二網(wǎng)域的第二電子裝置進行信息通信;該中繼 點裝置包括網(wǎng)域信息存儲單元、聯(lián)機單元及網(wǎng)域特定信息組織單元。該網(wǎng)
20域信息存儲單元存儲配置數(shù)據(jù)。該聯(lián)機單元與該第一代理服務器聯(lián)機。該 網(wǎng)域特定信息組織單元根據(jù)該網(wǎng)域信息存儲單元存儲的配置數(shù)據(jù),產(chǎn)生網(wǎng) 域特定信息,并通過該第一聯(lián)機單元傳送至該第一代理服務器。
25 圖1是本發(fā)明的跨網(wǎng)域信息通信的認證方法的優(yōu)選實施例的網(wǎng)絡系統(tǒng)
架構圖2是本實施例的第一 SIP代理服務器與移動電話的內(nèi)部功能單元的 方框圖3是本實施例的第一 SIP代理服務器的部分內(nèi)部硬件架構與候選中
30繼點裝置的內(nèi)部硬件架構的方框圖;圖4是本實施例的候選中繼點裝置向第一 SIP代理服務器注冊的流程
圖5是本實施例的移動電話的中繼點請求模塊的細部硬件架構電路的 方框5 圖6是本實施例的第一SIP代理服務器尋找中繼點裝置的流程圖7是本實施例的第一 SIP代理服務器內(nèi)部部分硬件架構的方框圖; 圖8是本實施例的輪詢結果示意圖9是本實施例的過濾候選中繼點裝置的初步過濾結果的示意圖; 圖10是本實施例的移動電話的外來網(wǎng)域處理模塊及本地網(wǎng)域處理模 10塊的細部硬件架構的方框圖11是本實施例的屬于第一網(wǎng)域的移動電話通過中繼點裝置向第二 KDC要求第一金鑰的流程圖12是本實施例的屬于第二網(wǎng)域的移動電話通過中繼點裝置向第一 KDC要求第二金鑰的流程圖;及 15 圖13是本實施例的分屬于第一及第二網(wǎng)域的移動電話分別以取得的
第一及第二金鑰產(chǎn)生共同的第三金鑰進行跨網(wǎng)域認證的流程圖。
具體實施例方式
有關本發(fā)明的前述及其它技術內(nèi)容、特點與功效,在以下配合參考圖
20式的優(yōu)選實施例的詳細說明中,將可清楚的呈現(xiàn)。
參閱圖1所示,是本發(fā)明跨網(wǎng)域信息通信的認證方法的優(yōu)選實例,應 用在要通過網(wǎng)際網(wǎng)絡80進行語音數(shù)據(jù)通信(即VoIP)的屬于第一 SIP網(wǎng)域 55(其SIP URI為sipa.com)的第 一 電子裝置IO(其SIP URI為 Alice②sipaxom)與屬于第二 SIP網(wǎng)域65(其SIP URI為sipb.com)的第二電
25 子裝置20(其SIPURI為Bob⑥sipb.com)之間,其中,該第一網(wǎng)域55中包 含第一代理服務器(在本實施例中該第一代理服務器是SIP代理服務器,以 下稱第一 SIP代理服務器50)及第一 KDC 30,該第二網(wǎng)域65中包含第二 代理服務器(在本實施例中該第二代理服務器是SIP代理服務器,以下稱第 二SIP代理服務器60)及第二KDC40。其中,第一電子裝置IO是發(fā)話端,
30第二電子裝置20是受話端,且在本實施例中,第一及第二電子裝置IO、
20是以移動電話(以下皆以移動電話10、 20說明)作為例子,但并不以此 為限。
另外,如圖2所示,是本實施例的第一SIP代理服務器50與移動電話 10的內(nèi)部功能單元的方框圖,其中第一 SIP代理服務器50(第二 SIP代理 5服務器60同)包括用于與網(wǎng)際網(wǎng)絡連接的網(wǎng)絡通信單元500、信號收發(fā)單 元502、跨網(wǎng)域注冊單元504、跨網(wǎng)域中繼點搜尋單元506及網(wǎng)域管理數(shù) 據(jù)庫508;移動電話IO包括用于與網(wǎng)際網(wǎng)絡連接的網(wǎng)絡通信單元100、中 繼點請求模塊102、認證通信單元104及跨網(wǎng)域金鑰處理單元106,這些 功能單元的作用將在后面說明。 io 本實施例的跨網(wǎng)域語音信息通信的認證方法包括 步驟(A):
由移動電話10向第一SIP代理服務器50要求提供同時在第一及第二 網(wǎng)域55、 65注冊的中繼點裝置。
在進行步驟(A)之前,該第一 SIP代理服務器50中已記錄有多個候選 15中繼點裝置的信息,該多個候選中繼點裝置是在開機狀態(tài)下,傳送其網(wǎng)域 特定信息給該第一 SIP代理服務器50進行注冊及更新。
首先,該多個候選的中繼點裝置必須是同時在第一及第二網(wǎng)域55、 65 中注冊的裝置。且在本實施例中,中繼點裝置是以移動電話為例,但并不 以此為限。該多個候選中繼點裝置處在開機狀態(tài)下,會定時或不定時地傳 20送網(wǎng)域特定信息給所屬網(wǎng)域的SIP代理服務器,讓所屬網(wǎng)域的SIP代理服 務器知道它的存在,以便在要進行通話的兩個網(wǎng)域55、 65之間建立橋接 關系。
且為產(chǎn)生該網(wǎng)域特定信息,如圖3所示,各該候選中繼點裝置700包 括網(wǎng)絡通信單元702、信號收發(fā)單元704、第一聯(lián)機單元706、網(wǎng)域特定信 25息組織單元708及存儲配置數(shù)據(jù)的網(wǎng)域信息存儲單元710。
另外,為處理上述網(wǎng)域特定信息,如圖3所示,第一SIP代理服務器 50(第二 SIP代理服務器60同)的跨網(wǎng)域注冊單元504還包括網(wǎng)域特定信息 交換單元510及第二聯(lián)機單元512。
同時,參見圖4的流程所示,候選中繼點裝置700在開機狀態(tài)下,如 30圖4的步驟1500,觸發(fā)其網(wǎng)域特定信息組織單元708組織存儲在其網(wǎng)域信
息存儲單元710中的配置數(shù)據(jù)(configurationdata),以構成包含諸如第一及 第二 SIP網(wǎng)域55、 65的身份及第一及第二 KDC30、 40的身份等的網(wǎng)域特 定信息。然后,如步驟1502,在第一聯(lián)機單元706中,將網(wǎng)域特定信息附 加在要求注冊信號[REGISTER]中,通過信號收發(fā)單元704及網(wǎng)絡通信單
5元702送至第一 SIP代理服務器50。且該網(wǎng)域特定信息中還包含中繼點裝 置本身的硬件能力以及可以處理同時點對點聯(lián)機的最大服務數(shù)等信息。
當?shù)谝?SIP代理服務器50通過其網(wǎng)絡通信單元500及信號收發(fā)單元 502收到該要求注冊信號[REGISTER]后,如步驟1504,其觸發(fā)第二聯(lián)機 單元512,使從要求注冊信號[REGISTER]中分析并取出網(wǎng)域特定信息,且
io觸發(fā)網(wǎng)域特定信息交換單元510以該網(wǎng)域特定信息更新原有資料后,將該 網(wǎng)域特定信息存入網(wǎng)域管理數(shù)據(jù)庫508中,并在完成更新后,如步驟1506, 回傳完成消息[200OK]給候選中繼點裝置700。至此,該多個候選中繼點 裝置700與第二 SIP網(wǎng)域65及第二 KDC40的橋接關系被建立并注冊在第 一SIP代理服務器50中。
15 接著,參見圖5,移動電話10的中繼點請求模塊102用于產(chǎn)生與移動
電話20通信的通行證要求,并通過網(wǎng)絡通信單元100向第一 SIP代理服 務器50要求中繼點裝置。中繼點請求模塊102包括要求消息收發(fā)單元108、 通行證要求單元110、信號收發(fā)單元112、中繼點要求單元114及中繼點 信息取出單元116。
20 因此,當屬于第一SIP網(wǎng)域55的移動電話10想要與屬于第二SIP網(wǎng)
域65的移動電話20進行通話時,如圖6的步驟2500,通行證要求單元 110產(chǎn)生內(nèi)含受話端(即移動電話20)信息,例如Bob@sipb.com的通行證 要求消息[TGS—REQ],并如步驟2502,通過要求消息收發(fā)單元108及網(wǎng)絡 通信單元100將通行證要求消息[TGS—REQ]送至第一 KDC30時,如步驟
25 2 5 04,第一 KDC30會檢查該消息是否與第二 SIP網(wǎng)域65有任何互信關系, 即第一 KDC30與第二 KDC40已預先設定的信任關系,例如兩者已預先設 定共享的金鑰,且本實施例的功效即在不需建立上述的信任關系,即可達 到跨網(wǎng)域之網(wǎng)絡電話認證。
而由于第一 KDC30發(fā)現(xiàn)兩者缺乏互信關系(因為不在同一網(wǎng)域),因此
30如步驟2506,第一 KDC30回復內(nèi)含失敗(NG)消息的回復消息[TGS—REP]
給移動電話10,當移動電話10通過網(wǎng)絡通信單元100及要求消息收發(fā)單 元108收到失敗的回復消息[TGS—REP]后,即知道所欲通話的移動電話20 與其分屬于不同網(wǎng)域,因此移動電話10必需尋找一個介于其與屬于外來 網(wǎng)域的行動裝置20之間的中繼點。 5 所以,如步驟2508,移動電話10的中繼點要求單元114產(chǎn)生內(nèi)含有
受話端信息,例如移動電話20的SIP URI: Bob@sipb.com的尋找中繼點 消息[INVITE],并如步驟2510,通過信號收發(fā)單元112及網(wǎng)絡通信單元 100將該尋找中繼點消息[INVITE]送至第一SIP代理服務器50以尋找中繼 點裝置。
io 為了協(xié)助移動電話10找到適當?shù)闹欣^點裝置,如圖7所示,第一SIP
代理服務器50的跨網(wǎng)域中繼點搜尋單元506還包括用于發(fā)現(xiàn)中繼點并產(chǎn) 生輪詢結果的發(fā)現(xiàn)中繼點模塊514,以及根據(jù)該輪詢結果選出最佳中繼點 裝置的選擇中繼點模塊516。其中,發(fā)現(xiàn)中繼點模塊514又包含發(fā)現(xiàn)候選 中繼點單元518及輪詢候選者單元520;選擇中繼點模塊516又包含選擇
15中繼點單元522、過濾候選者單元524及選擇單元526。
因此,在圖6的步驟2512中,當?shù)谝籗IP代理服務器50通過網(wǎng)絡通 信單元500及信號收發(fā)單元502收到該尋找中繼點消息[INYITE]后,其觸 發(fā)該發(fā)現(xiàn)候選中繼點單元518判別該尋找中繼點消息[INVITE],并由尋找 中繼點消息[nWITE]中解析出受話端信息后,傳給輪詢候選者單元520,
20使以外來網(wǎng)域身份信息(即受話端信息)為索引(搜尋條件)搜尋網(wǎng)域管理數(shù) 據(jù)庫508,亦即輪詢(query)記錄在網(wǎng)域管理數(shù)據(jù)庫508中的該多個候選中 繼點裝置700的信息,以找出同時存在第一及第二網(wǎng)域55、 65中的候選 中繼點,并得到輪詢結果供后續(xù)選擇中繼點使用。該輪詢結果以圖8所示 為例,經(jīng)過輪詢網(wǎng)域管理數(shù)據(jù)庫508的結果,找到3個同時存在第一及第
25 二網(wǎng)域55、 65中的候選中繼點裝置(Caroll@sipa.com、 Carol2@sipa.com 及Carol3@sipa.com)。
然后,在步驟2514,以該輪詢結果作為輸入,觸發(fā)該過濾候選者單元 524執(zhí)行初步的過濾程序,使根據(jù)輪詢結果過濾不合格的中繼點裝置,例 如濾掉目前服務數(shù)目大于/等于預設服務數(shù)目的候選中繼點裝置,以圖8
30為例,濾掉服務數(shù)目達到最大的中繼點裝置Carol3@sipa.com,最后留下 如圖9所示的候選中繼點裝置。之后,將初步過濾后的結果(圖9所示)交
由選擇單元526執(zhí)行選取中繼點裝置程序,以候選中繼點裝置的硬件能力
重新排列輪詢結果,并根據(jù)諸如具有最強硬體能力或具有最多可服務數(shù)等
條件,從該多個被留下的候選中繼點裝置700中選擇最佳的中繼點裝置
5 70。因此,如果按照"最佳的硬件能力"條件,則選取中繼點裝置 Carol2@sipa.com,如果按照"最大的可服務數(shù)目"條件,則選取中繼點裝 置Caroll@sipa.com。
因此,選出中繼點裝置70后,如步驟2516,第一SIP代理服務器50 由選擇中繼點單元522產(chǎn)生內(nèi)含中繼點裝置70的信息,例如SIP URI為
io Caroll@sipa.com (或Carol2⑥sipa.com)的回復消息[404 Not Found],經(jīng)由信 號收發(fā)單元502及網(wǎng)絡通信單元500回傳給移動電話10。移動電話10通 過網(wǎng)絡通信單元100及信號收發(fā)單元112收到該回復消息[404 Not Found], 并由中繼點信息取出單元116從該回復消息[404 Not Found]中取出中繼點 裝置70的信息。至此,移動電話10找到了中繼點裝置70作為與移動電
15 話20進行跨網(wǎng)域安全認證的中繼點,且移動電話10擁有中繼點裝置70 的身份信息(Caroll②sipa.com或Carol2@sipa.com)。
然后,如步驟2518,移動電話IO通過通行證要求單元110、要求消息 收發(fā)單元108及網(wǎng)絡通信單元100產(chǎn)生并傳送通行證要求消息 [TGS_REQ],向第一 KDC30要求連接至中繼點裝置70的通行證,第一
20KDC30產(chǎn)生中繼點裝置70的通行證(ticket)后,如步驟2520,回傳通行證 回復消息[TGS—REP]給移動電話10。如此,移動電話IO拿到中繼點裝置 70的通行證可作為之后與移動電話20的安全憑證的認證使用。 步驟(B):
移動電話10通過該中繼點裝置70,向該第二KDC40要求第一金鑰, 25并傳送包含該第一金鑰的第一對話通行證給該移動電話20。
如圖10所示,為達成上述動作,移動電話10(移動電話20同)的跨網(wǎng) 域金鑰處理單元106還包括外來網(wǎng)域處理模塊118、本地網(wǎng)域處理模塊120 及共同金鑰產(chǎn)生單元122。其中,外來網(wǎng)域處理模塊118還包含外來網(wǎng)域 獲得單元124、遞送單元126、注冊單元128及外來網(wǎng)域存儲單元130。本 30地網(wǎng)域處理模塊120還包含本地網(wǎng)域獲得單元132及本地網(wǎng)域存儲單元
134。且該外來網(wǎng)域處理模塊118及該本地網(wǎng)域處理模塊120皆經(jīng)由認證 通信單元104及網(wǎng)絡通信單元100連上網(wǎng)際網(wǎng)絡。
這樣,當移動電話10要通過中繼點裝置70與移動電話20進行跨網(wǎng) 域認證時,首先,移動電話10觸發(fā)外來網(wǎng)域獲得單元124,使通過中繼點
5 裝置70向第二KDC40進行注冊。如圖11的步驟3500所示,開始時,要 求注冊消息[AP—REQ]在注冊單元128組成,并通過認證通信單元104及 網(wǎng)絡通信單元100送至中繼點裝置70。然后,如步驟3502及3504,中繼 點裝置70重新產(chǎn)生要求將移動電話10注冊至第二 KDC40的要求消息 [USR—REG](其中附有移動電話10的身份Alice@sipa.com),并傳給第二
io KDC40,當?shù)诙﨣DC40收到后,如步驟3506,第二 KDC40產(chǎn)生給移動 電話10的注冊ID,并如步驟3508,回傳附有注冊ID的注冊響應消息 [USR—REP]給中繼點裝置70,然后如步驟3510,中繼點裝置70經(jīng)由移動 電話10的網(wǎng)絡通信單元100及認證通信單元104將注冊響應消息 [USI^REP]送給注冊單元128。
15 在得到第二KDC40為其所產(chǎn)生的注冊ID后,在步驟3512及3514,
移動電話10通過安全協(xié)議,例如Diffie-Hellman,與第二 KDC40進行安 全信道建立([DH—REQ]及[DI^REP]),接著在步驟3516中,使用該注冊ID 與第二 KDC40進行認證([AUTH—REQRSP]),以確認該注冊ID確實由第 二KDC40發(fā)給,而在步驟3518中,在移動電話10與第二 KDC40兩者之
20間建立經(jīng)認證且安全的信道。
然后,在步驟3520,移動電話10觸發(fā)外來網(wǎng)域獲得單元124,使其 向第二 KDC40傳送通行證要求消息[TGS一REQ],以要求給移動電話20的 通行證。因此在步驟3522,第二 KDC40回傳包含第一金鑰(session key) 及要傳給移動電話20的第一對話通行證(sessionticket)(其中包含經(jīng)過加密
25的第一金鑰)的票巻回復消息[TGS—REP]給移動電話10,則如步驟3524, 外來網(wǎng)域獲得單元124將取得的第一金鑰及第一對話通行證存儲在外來網(wǎng) 域存儲單元130中。且在步驟3526,遞送單元126被觸發(fā)以將第一對話通 行證傳給移動電話20([Ticket Delivery])。
另一方面,如圖12的步驟3528所示,移動電話IO傳送內(nèi)含中繼點
30 裝置70的信息(Caroll②sipa,com或Carol2⑥sipa.com)的要求消息[INVITE]
給移動電話20以觸發(fā)移動電話20交換安全憑證。該要求消息[INVITE]經(jīng) 由第一及第二SIP代理服務器50、 60傳送到移動電話20,移動電話20在 收到要求消息[INVITE]后,在步驟3530,傳送代表開始交換安全憑證的回 復消息[200 OK]給移動電話10。
5 接著,如步驟3532,移動電話20傳送向第一 KDC30注冊的注冊要求
消息[AP—REQ]給中繼點裝置70,當中繼點裝置70收到消息后,在步驟 3534及3536,其重新產(chǎn)生內(nèi)含第二電子裝置20的身份Bob@sipb.com的 使用者注冊要求消息[USR—REG],再傳給第一 KDC30。接著,在步驟3538、 3540及3542中,第一 KDC30產(chǎn)生給移動電話20的注冊ID并通過中繼
io點裝置70回傳的回復消息[USR—REP]給移動電話20。
當移動電話20收到該注冊ID后,在步驟3544及3546中,移動電話 20通過安全協(xié)議,例如Diffie-Hdlman,與第一 KDC30進行安全信道建立 ([DH—REQ]及[DI^REP]),并在步驟3548,以該注冊ID與第一 KDC30進 行認證([AUTI^REQRSP]),以確認該注冊ID確實由第一 KDC30發(fā)給。
15 因此,在步驟3550中,移動電話20與第一KDC30之間即可建立經(jīng)認證 且安全的信道。
然后,在步驟3552,移動電話20送出通行證要求消息[TGS—REQ]向 第一 KDC30要求與移動電話10對話的通行證,因此,在步驟3554,第 一KDC30回傳內(nèi)含第二金鑰及第二對話通行證(其中包含經(jīng)過加密的第二
20 金鑰)的通行證回復消息[TGS—REP]給移動電話20。在步驟3556,移動電 話20得到第二金鑰及第二對話通行證并存儲在其外來網(wǎng)域存儲單元130 后,在步驟3558,將第二對話通行證通過遞送單元126傳給移動電話10。 因此,在圖13的步驟3560中,當移動電話10收到第二對話通行證 時,即觸發(fā)其本地網(wǎng)域獲得單元132由該第二對話通行證中取出第二金鑰,
25 并將第二金鑰存儲在本地網(wǎng)域存儲單元134。然后,在圖13的步驟3564 中,移動電話10的共同金鑰產(chǎn)生單元122被觸發(fā),以根據(jù)存儲在本地網(wǎng) 域存儲單元134中的第二金鑰,及存儲在外來網(wǎng)域存儲單元130中的第一 金鑰,使用諸如pseudo-mndom函數(shù)產(chǎn)生共享的第三金鑰,并將第三金鑰 存儲在本地網(wǎng)域存儲單元134中。
30 同樣,在圖13的步驟3562中,當移動電話20收到第一對話通行證時,即觸發(fā)其本地網(wǎng)域獲得單元132由該第一對話通行證中取出第一金鑰,
并將第一金鑰存儲在本地網(wǎng)域存儲單元134,然后,在圖13的步驟3566 中,移動電話20的共同金鑰產(chǎn)生單元122被觸發(fā),以根據(jù)存儲在本地網(wǎng) 域存儲單元134中的第一金鑰,及存儲在外來網(wǎng)域存儲單元130中的第二 5 金鑰,使用諸如pseudo-random函數(shù)產(chǎn)生共享的第三金鑰,并將第三金鑰 存儲在本地網(wǎng)域存儲單元134中。
這樣,可保證第三金鑰是只有移動電話10及20兩者知道的共享金鑰, 該金鑰不會被第三者(包括第一及第二KDC30、 40)得知,因此,分屬于兩 個不同網(wǎng)域55、 65的移動電話IO、 20即可使用第三金鑰進行安全的跨網(wǎng) io域身份認證,如圖13的步驟3568所示。
此外,應該指出,為了減輕第二KDC40(第一KDC30同)的工作負擔, 在本實施例中,讓第二 KDC40先將第一對話通行證連同第一金鑰傳給移 動電話IO,再由移動電話10將第一對話通行證傳給移動電話20,但并不 以此為限,亦即在不考慮第二KDC40(第一KDC30同)工作負擔的情況下, 15亦可由第二 KDC40將第一對話通行證直接傳給移動電話20。
通過上述說明可知,本發(fā)明通過SIP代理服務器找尋同時在兩個網(wǎng)域 注冊的非固定式的移動電話作為中繼點裝置,讓分屬于不同網(wǎng)域的移動電 話可通過該中繼點裝置進行跨網(wǎng)域認證,不但不需要在兩個網(wǎng)域服務器上 采用復雜的跨網(wǎng)域信賴機制,而且不易受到網(wǎng)絡攻擊,使不同網(wǎng)域的移動 20電話達到安全的跨網(wǎng)域語音通信的功效與目的。
此外,本發(fā)明除了應用在跨網(wǎng)域語音通信的安全認證(如上述實施例) 夕卜,本發(fā)明亦可應用在(l)安全的跨網(wǎng)域短消息服務,例如短消息服務 (SMS: Short Message Service)、多媒體消息服務(畫S: Multimedia Messaging Service)、 SIP通知(SIP Notify)及SIP消息(SIP Message) 25 等;(2)安全的跨網(wǎng)域視頻通信(video communication)或跨網(wǎng)域多媒體影 音串流服務(multimedia streaming),例如MPEG4、 H. 264等,諸如此類 的跨網(wǎng)域信息通信安全認證,且由于其實施方式與上述實施例的主要技術 手段相同,只是傳送信息內(nèi)容不同而已,在此不再贅述。
以上所說明的僅是本發(fā)明的優(yōu)選實施例,而不能以此限定本發(fā)明實施 30的范圍,本領域技術人員在不脫離所附權利要求所限定的精神和范圍的情
況下對本發(fā)明內(nèi)容所作的簡單的等效變化與修飾,皆屬于本發(fā)明涵蓋的范
權利要求
1. 一種跨網(wǎng)域信息通信的認證方法,應用在要通過網(wǎng)際網(wǎng)絡進行信息通信的屬于第一網(wǎng)域的第一電子裝置與屬于第二網(wǎng)域的第二電子裝置之間;所述方法包括(A)令所述第一電子裝置要求同網(wǎng)域的第一代理服務器找出同時在所述網(wǎng)域注冊的中繼點裝置;(B)令所述第一電子裝置通過所述中繼點裝置,向所述第二網(wǎng)域的第二金鑰分配中心注冊以取得第一金鑰,并傳送包含所述第一金鑰的第一通行證給所述第二電子裝置;(C)令所述第二電子裝置收到所述第一通行證后,通過所述中繼點裝置,向所述第一網(wǎng)域的第一金鑰分配中心注冊以取得第二金鑰,且傳送包含所述第二金鑰的第二通行證給所述第一電子裝置;及(D)令所述第一及第二電子裝置根據(jù)收到的所述第一及第二金鑰產(chǎn)生共享的第三金鑰,以進行信息通信認證。
2. 根據(jù)權利要求1所述的跨網(wǎng)域信息通信的認證方法,在步驟(A)中, 所述中繼點裝置已預先向所述第一及第二金鑰分配中心注冊。
3. 根據(jù)權利要求1所述的跨網(wǎng)域信息通信的認證方法,在進行步驟(A)之前,所述第一代理服務器中預先記錄有多個候選中繼點裝置的信息,所述候選中繼點裝置在開機狀態(tài)下,傳送網(wǎng)域特定信息向所述第一代理服務 器進行注冊,而被記錄在所述第一代理服務器中。
4. 根據(jù)權利要求3所述的跨網(wǎng)域信息通信的認證方法,其中所述網(wǎng)域 特定信息包括與所述第一及第二網(wǎng)域相關的資料,且至少包括所述第一及第二網(wǎng)域的身份資料。
5. 根據(jù)權利要求3所述的跨網(wǎng)域信息通信的認證方法,其中所述網(wǎng)域 特定信息包括有關各所述候選中繼點裝置的能力的資料,且至少包括各所 述候選中繼點裝置的硬件能力以及可處理同時點對點聯(lián)機的最大服務數(shù)。
6. 根據(jù)權利要求5所述的跨網(wǎng)域信息通信的認證方法,在步驟(A)中,所述第一電子裝置發(fā)出包含有所述第二電子裝置的目的信息的要求消息給所述第一代理服務器,使根據(jù)所述要求消息及所述網(wǎng)域特定信息,從所 述候選中繼點裝置中找到適合的中繼點裝置。
7. 根據(jù)權利要求1所述的跨網(wǎng)域信息通信的認證方法,在步驟(D)中, 所述信息通信認證是通過所述第一代理服務器與所述第二網(wǎng)域的第二代理服務器來完成。
8. 根據(jù)權利要求7所述的跨網(wǎng)域信息通信的認證方法,其中所述信息通信是語音通信。
9. 根據(jù)權利要求8所述的跨網(wǎng)域信息通信的認證方法,其中所述第一 及第二代理服務器是對話啟始協(xié)議代理服務器。
10.—種跨網(wǎng)域信息通信認證系統(tǒng),設置在第一網(wǎng)域中,用于通過網(wǎng)際網(wǎng)絡與屬于第二網(wǎng)域的第二電子裝置進行信息通信;所述系統(tǒng)包括 第一代理服務器,其中記錄有多個候選中繼點裝置; 第一電子裝置,發(fā)出要求消息,要求所述第一代理服務器從所述候選 中繼點裝置中找出同時在所述網(wǎng)域注冊的中繼點裝置,以通過所述中繼點裝置,向所述第二網(wǎng)域的第二金鑰分配中心注冊取得第一金鑰,并傳送包 含所述第一金鑰的第一通行證給第二電子裝置;及第一金鑰分配中心,供所述第二電子裝置通過所述中繼點裝置,向其 注冊并取得第二金鑰,并傳送包含所述第二金鑰的第二通行證給所述第一 電子裝置,使所述第一及第二電子裝置可根據(jù)收到的所述第一及第二金鑰產(chǎn)生共享的第三金鑰,以進行信息通信認證。
11. 根據(jù)權利要求10所述的跨網(wǎng)域信息通信認證系統(tǒng),其中各所述候 選中繼點裝置包括網(wǎng)域特定信息組織單元、存儲配置數(shù)據(jù)的網(wǎng)域信息存儲 單元及第一聯(lián)機單元,各所述候選中繼點裝置在開機狀態(tài)下,通過所述網(wǎng) 域特定信息組織單元,根據(jù)存儲在所述網(wǎng)域信息存儲單元中的配置數(shù)據(jù),產(chǎn)生網(wǎng)域特定信息,通過所述第一聯(lián)機單元傳送至所述第一代理服務器。
12. 根據(jù)權利要求11所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述第一 代理服務器包括第二聯(lián)機單元、網(wǎng)域特定信息交換單元及網(wǎng)域管理數(shù)據(jù) 庫,所述第二聯(lián)機單元分析所述網(wǎng)域特定信息,所述網(wǎng)域特定信息交換單元執(zhí)行網(wǎng)域特定信息更新并將所述網(wǎng)域特定信息存入所述網(wǎng)域管理數(shù)據(jù) 庫中。
13. 根據(jù)權利要求11所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述中繼 點裝置包括信號收發(fā)單元及網(wǎng)絡通信單元,且所述網(wǎng)域特定信息經(jīng)由所述 信號收發(fā)單元及網(wǎng)絡通信單元傳送給所述第一代理服務器。
14. 根據(jù)權利要求11所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述第一5代理服務器包括信號收發(fā)單元及網(wǎng)絡通信單元,用以接收由各所述中繼點 裝置傳來的所述網(wǎng)域特定信息。
15. 根據(jù)權利要求11所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述網(wǎng)域特定信息包括與所述第一及第二網(wǎng)域相關的資料,且至少包括所述第一及 第二網(wǎng)域的身份資料。
16.根據(jù)權利要求11所述的跨網(wǎng)域信息通信認證系統(tǒng),其中各所述網(wǎng)域特定信息包括有關各所述候選中繼點裝置的能力的資料,且至少包括各 所述候選中繼點裝置的硬件能力以及可處理同時點對點聯(lián)機的最大服務數(shù)。
17.根據(jù)權利要求16所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述要求 15消息包含目的地信息,所述第一代理服務器還包括發(fā)現(xiàn)中繼點模塊及選擇 中繼點模塊,所述發(fā)現(xiàn)中繼點模塊根據(jù)所述要求消息的目的地信息輪詢所 述網(wǎng)域管理數(shù)據(jù)庫,以發(fā)現(xiàn)同時在第一及第二網(wǎng)域注冊的候選中繼點裝置 并產(chǎn)生輪詢結果,所述選擇中繼點模塊根據(jù)所述輪詢結果過濾所述候選中 繼點裝置并從所述候選中繼點裝置中選出適用的中繼點裝置。
18.根據(jù)權利要求17所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述發(fā)現(xiàn)中繼點模塊包括發(fā)現(xiàn)候選中繼點單元及輪詢候選者單元,所述選擇中繼點 模塊包括選擇中繼點單元、過濾候選者單元及選擇單元;所述發(fā)現(xiàn)候選中 繼點單元從所述要求消息中取出所述目的地信息傳給輪詢候選者單元,使 以所述目的地信息為索引,輪詢記錄在網(wǎng)域管理數(shù)據(jù)庫中的所述候選中繼 25點裝置信息,以得到輪詢結果;所述選擇中繼點單元根據(jù)所述輪詢結果過濾不合格的中繼點裝置,所述過濾候選者單元用于排除已超出最大服務數(shù)的候選中繼裝置;所述選擇單元根據(jù)候選中繼點裝置的硬件能力從所述被留下的候選中繼點裝置中選擇最佳的中繼點裝置。
19.根據(jù)權利要求18所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述發(fā)現(xiàn)30中繼點候選者單元及所述選擇中繼點單元分別通過所述信號收送單元及 網(wǎng)絡通信單元與所述第一電子裝置通信。
20. 根據(jù)權利要求10所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述第一 及第二電子裝置以及所述中繼點裝置是移動通信裝置。
21. 根據(jù)權利要求10所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述第一及第二電子裝置以及所述中繼點裝置是移動電話。
22. 根據(jù)權利要求10所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述信息 通信認證是通過所述第一代理服務器與所述第二網(wǎng)域的第二代理服務器 完成的。
23. 根據(jù)權利要求22所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述信息通信是語音通信。
24. 根據(jù)權利要求23所述的跨網(wǎng)域信息通信認證系統(tǒng),其中所述第一 及第二代理服務器是對話啟始協(xié)議代理服務器。
25. —種移動通信電子裝置,屬于第一網(wǎng)域,其可通過網(wǎng)際網(wǎng)絡與屬于 第二網(wǎng)域的第二電子裝置進行信息通信;所述行動通信電子裝置包括中繼點請求模塊,發(fā)出要求消息,要求同網(wǎng)域的第一代理服務器找到同時在所述網(wǎng)域注冊的中繼點裝置;及跨網(wǎng)域金鑰處理單元,通過所述中繼點裝置,向所述第二網(wǎng)域的第二金鑰分配中心注冊以取得第一金鑰,并傳送包含所述第一金鑰的第一通行證給所述第二電子裝置,以要求其回傳包含第二金鑰的第二通行證,并處理所述第二通行證,以取出所述第二金鑰,而根據(jù)所述第一及第二金鑰產(chǎn)生用于與所述第二電子裝置進行信息通信認證的第三金鑰。
26. 根據(jù)權利要求25所述的移動通信電子裝置,其中所述跨網(wǎng)域金鑰 處理單元還包括外來網(wǎng)域處理模塊、本地網(wǎng)域處理模塊及共同金鑰產(chǎn)生單 元,其中所述外來網(wǎng)域處理模塊通過所述中繼點裝置,向所述第二金鑰分配中心注冊以取得第一金鑰,并傳送包含所述第一金鑰的第一通行證給所 述第二電子裝置,以要求其回傳包含第二金鑰的第二通行證;所述本地網(wǎng) 域處理模塊接收并處理所述第二通行證,以取出所述第二金鑰;所述共同 金鑰產(chǎn)生單元根據(jù)所述第一及第二金鑰產(chǎn)生用于與所述第二電子裝置進 行信息通信認證的第三金鑰。
27.根據(jù)權利要求26所述的移動通信電子裝置,還包括網(wǎng)絡通信單元,且所述中繼點請求模塊是通過所述網(wǎng)絡通信單元連上所述第一代理服務器°
28. 根據(jù)權利要求27所述的移動通信電子裝置,還包括認證通信單元, 且所述外來網(wǎng)域處理模塊及所述本地網(wǎng)域處理模塊是通過所述認證通信單元及所述網(wǎng)絡通信單元連上網(wǎng)際網(wǎng)絡。
29. 根據(jù)權利要求27所述的移動通信電子裝置,其中所述中繼點請求 模塊包括要求消息收發(fā)單元、通行證要求單元、信號收發(fā)單元、中繼點要 求單元及中繼點信息取出單元,所述通行證要求單元產(chǎn)生包含受話端信息 的通行證要求消息,通過所述要求消息收發(fā)單元及所述網(wǎng)絡通信單元送至所述第一網(wǎng)域的第一金鑰分配中心;所述中繼點要求單元產(chǎn)生包含受話端 信息的尋找中繼點消息,通過所述信號收發(fā)單元及網(wǎng)絡通信單元送至所述 第一代理服務器以尋找中繼點裝置;所述中繼點信息取出單元從所述第一 代理服務器的回復消息中取得中繼點裝置的信息。
30. 根據(jù)權利要求28所述的移動通信電子裝置,其中所述外來網(wǎng)域處理模塊包括注冊單元、外來網(wǎng)域獲得單元、外來網(wǎng)域存儲單元及遞送單元,所述注冊單元用以產(chǎn)生注冊要求消息,并通過所述認證通信單元及所述網(wǎng) 絡通信單元向所述第二金鑰分配中心進行注冊,以獲得注冊證號,所述外 來網(wǎng)域獲得單元根據(jù)所述注冊證號向所述第二金鑰分配中心取得所述第 一金鑰及所述第一通行證并存儲在所述外來網(wǎng)域存儲單元中,所述遞送單元將所述第一通行證通過所述認證通信單元及所述網(wǎng)絡通信單元傳送給 所述第二通信電子裝置。
31. 根據(jù)權利要求26所述的移動通信電子裝置,其中所述本地網(wǎng)域處 理模塊包括本地網(wǎng)域取得單元及第二存儲單元,所述本地網(wǎng)域取得單元用 以處理所述第二通行證以取出所述第二金鑰并存儲在所述第二存儲單元中。
32. 根據(jù)權利要求25所述的移動通信電子裝置,其中所述信息通信認 證是通過所述第一代理服務器與所述第二網(wǎng)域的第二代理服務器來完成 的。
33. 根據(jù)權利要求32所述的移動通信電子裝置,其中所述信息通信是語音通信。
34. 根據(jù)權利要求33所述的移動通信電子裝置,其中所述第一及第二代理服務器是對話啟始協(xié)議代理服務器。
35. —種中繼點裝置,其能夠橫跨第一網(wǎng)域及第二網(wǎng)域,并與設置在第 一網(wǎng)域的第一代理服務器及第一電子裝置通信,以協(xié)助所述第一電子裝置5與屬于第二網(wǎng)域的第二電子裝置進行信息通信;所述中繼點裝置包括 網(wǎng)域信息存儲單元,用于存儲配置數(shù)據(jù); 聯(lián)機單元,用于與所述第一代理服務器聯(lián)機;及 網(wǎng)域特定信息組織單元,根據(jù)所述網(wǎng)域信息存儲單元存儲的配置數(shù) 據(jù),產(chǎn)生網(wǎng)域特定信息,并通過所述第一聯(lián)機單元傳送至所述第一代理服 10 務器。
36. 根據(jù)權利要求35所述的中繼點裝置,還包括相連接的信號收發(fā)單 元及網(wǎng)絡通信單元,而所述第一聯(lián)機單元與所述信號收發(fā)單元連接,以將 所述網(wǎng)域特定信息經(jīng)由所述信號收發(fā)單元及網(wǎng)絡通信單元傳送給所述第 一代理服務器。15
37.根據(jù)權利要求35所述的中繼點裝置,其中所述網(wǎng)域特定信息包括與所述第一及第二網(wǎng)域相關的資料,且至少包括所述第一及第二網(wǎng)域的身 份資料。
38.根據(jù)權利要求35所述的中繼點裝置,其中所述網(wǎng)域特定信息包括 有關所述中繼點裝置的能力的資料,且至少包括所述中繼點裝置的硬件能 20 力以及可處理同時點對點聯(lián)機的最大服務數(shù)。
全文摘要
本發(fā)明提供一種跨網(wǎng)域信息通信的認證方法,應用在第一網(wǎng)域與第二網(wǎng)域之間,該方法令屬于第一網(wǎng)域的第一電子裝置通過同時在第一及第二網(wǎng)域注冊的中繼點裝置,向屬于第二網(wǎng)域的第二金鑰分配中心取得第一金鑰并送給該第二電子裝置,且該第二電子裝置通過該中繼點裝置,向屬于第一網(wǎng)域的該第一金鑰分配中心取得第二金鑰并送給該第一電子裝置,這樣,令第一及第二電子裝置根據(jù)收到的該第一及第二金鑰產(chǎn)生共享的第三金鑰,以使用該只有第一及第二電子裝置知道的共享的第三金鑰進行安全的信息通信認證。
文檔編號H04L29/06GK101207613SQ20061016857
公開日2008年6月25日 申請日期2006年12月21日 優(yōu)先權日2006年12月21日
發(fā)明者劉學燈, 方均偉 申請人:松下電器產(chǎn)業(yè)株式會社