專利名稱:跨網(wǎng)域信息通信的認(rèn)證方法��、系統(tǒng)及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息通信認(rèn)證方法,特別是指一種跨網(wǎng)域信息通信的 認(rèn)證方法����、系統(tǒng)及其裝置。
10
背景技術(shù):
近年來由于網(wǎng)絡(luò)通信技術(shù)趨于成熟,使得通過網(wǎng)際網(wǎng)絡(luò)傳送數(shù)字語音
封包的網(wǎng)絡(luò)電話(VoiceoverIntemetProtocol��, VoIP)����、傳送消息的短消息服 務(wù)�����、影音通信以及多媒體影音串流服務(wù)等成為目前熱門的網(wǎng)絡(luò)應(yīng)用。
以網(wǎng)絡(luò)電話為例����,通話啟始協(xié)議(Session Initiation Protocol以下稱SIP) is 是目前網(wǎng)絡(luò)電話常用的信令協(xié)議(Signaling protocols)標(biāo)準(zhǔn)。在網(wǎng)絡(luò)電話系 統(tǒng)中�����,使用SIP協(xié)議的每一個(gè)移動(dòng)電話會(huì)向某一特定SIP網(wǎng)域注冊(cè)而分別 屬于該特定的SIP網(wǎng)域�,該網(wǎng)域的安全管理是由金鑰管理中心(KMC: key management center,)或金鑰分酉己中心(KDC: key distribution center)所控 管,且由于在同一網(wǎng)域中的移動(dòng)電話應(yīng)用同一認(rèn)證協(xié)議��,因此在同一網(wǎng)域
20 中,移動(dòng)電話與服務(wù)器之間以及移動(dòng)電話與移動(dòng)電話之間可以相互認(rèn)證而 進(jìn)行安全通信���。
但是,當(dāng)兩個(gè)移動(dòng)電話的通話區(qū)域跨越兩個(gè)不同的網(wǎng)域時(shí),則會(huì)因?yàn)?各網(wǎng)域認(rèn)證協(xié)議的不同而必須另外遵循另一共同的認(rèn)證方式才能進(jìn)行安
全通信�,但也因此產(chǎn)生跨網(wǎng)域信任操作(inter-domain trust operations)的問
25 題。
為解決上述問題,作為現(xiàn)有技術(shù)的��、名稱為"Method and system for authentication through multiple proxy servers that require different authentication data"(通過多個(gè)需要不同認(rèn)證資料的代理服務(wù)器的認(rèn)證方法 及系統(tǒng))的美國(guó)專利No.6839761�����,其主要是針對(duì)連續(xù)的代理(服務(wù)器)��,讓其 30 在SIP要求消息中附加各自的認(rèn)證資料�����,以解決在SIP中用戶與連續(xù)代理
者之間的認(rèn)證����,以得到針對(duì)不同安全網(wǎng)域的連續(xù)的認(rèn)證憑證�����,但此專利并 沒有針對(duì)跨網(wǎng)域問題進(jìn)行解決�����。
另一種現(xiàn)有技術(shù)是美國(guó)專利申請(qǐng)公開No.20050108575�����,名稱為 "Apparatus, system and method for facilitating authenticated communication 5between authentication realms"(簡(jiǎn)化認(rèn)證區(qū)域之間認(rèn)證通信的裝置�、系統(tǒng) 及方法),其主要利用認(rèn)證網(wǎng)關(guān)來解決不同認(rèn)證協(xié)議之間的認(rèn)證��。但是固定 的認(rèn)證網(wǎng)關(guān)容易因遭受網(wǎng)絡(luò)攻擊而產(chǎn)生工作效率低的問題�����。
因此��,如何在不需在兩個(gè)安全網(wǎng)域服務(wù)器上使用復(fù)雜的跨網(wǎng)域信賴操 作的情況下,需要提供一種針對(duì)兩個(gè)跨越兩個(gè)不同安全網(wǎng)域的通信電子裝 10 置取得共同的認(rèn)證憑證的機(jī)制��。
發(fā)明內(nèi)容
因此�,本發(fā)明的目的是提供一種不須在兩個(gè)安全網(wǎng)域服務(wù)器上采用復(fù) 雜的跨網(wǎng)域信賴操作即可取得共同的認(rèn)證憑證的跨網(wǎng)域信息通信的認(rèn)證
15方法���、系統(tǒng)及其裝置。
于是���,本發(fā)明的跨網(wǎng)域信息通信的認(rèn)證方法�,應(yīng)用于要通過網(wǎng)際網(wǎng)絡(luò) 進(jìn)行信息通信的屬于第一網(wǎng)域的第一電子裝置與屬于第二網(wǎng)域的第二電 子裝置之間;該方法包括(A)令該第一電子裝置要求同網(wǎng)域的第一代理 服務(wù)器找出同時(shí)在該網(wǎng)域注冊(cè)的中繼點(diǎn)裝置;(B)令該第一電子裝置通過該
20中繼點(diǎn)裝置����,向該第二網(wǎng)域的第二金鑰分配中心注冊(cè)以取得第一金鑰����,并 傳送包含該第一金鑰的第一通行證給該第二電子裝置;(C)令該第二電子裝 置收到該第一通行證后,透過該中繼點(diǎn)裝置�����,向該第一網(wǎng)域的第一金鑰分 配中心注冊(cè)以取得第二金鑰��,且傳送包含該第二金鑰第二通行證給該第一 電子裝置;及(D)令該第一及第二電子裝置根據(jù)收到的該第一及第二金鑰
25產(chǎn)生共享的第三金鑰����,以進(jìn)行信息通信認(rèn)證��。
此外����,本發(fā)明實(shí)現(xiàn)上述方法的跨網(wǎng)域信息通信認(rèn)證系統(tǒng),設(shè)置在第一 網(wǎng)域中,用以通過網(wǎng)際網(wǎng)絡(luò)與屬于第二網(wǎng)域的第二電子裝置進(jìn)行信息通 信����;該系統(tǒng)包括第一代理服務(wù)器、第一電子裝置及第一金鑰分配中心�。該 第一代理服務(wù)器中記錄有多個(gè)候選中繼點(diǎn)裝置�����。該第一電子裝置發(fā)出要求
30消息��,要求該第一代理服務(wù)器由該候選中繼點(diǎn)裝置中找出同時(shí)在該網(wǎng)域注 冊(cè)的中繼點(diǎn)裝置,以便通過該中繼點(diǎn)裝置��,向該第二網(wǎng)域的第二金鑰分配 中心注冊(cè)以取得第一金鑰,并傳送包含該第一金鑰的第一通行證給第二電 子裝置。該第一金鑰分配中心供該第二電子裝置通過該中繼點(diǎn)裝置�,向其 注冊(cè)并取得第二金鑰,并傳送包含該第二金鑰的第二通行證給該第一電子
5 裝置��,使該第一及第二電子裝置可根據(jù)收到的該第一及第二金鑰產(chǎn)生共享 的第三金鑰���,以進(jìn)行信息通信認(rèn)證�。
再者,本發(fā)明實(shí)現(xiàn)上述方法的移動(dòng)通信電子裝置,屬于第一網(wǎng)域,其 可通過網(wǎng)際網(wǎng)絡(luò)與屬于第二網(wǎng)域的第二電子裝置進(jìn)行信息通信���;該行動(dòng)通 信電子裝置包括中繼點(diǎn)請(qǐng)求模塊及跨網(wǎng)域金鑰處理單元�����。該中繼點(diǎn)請(qǐng)求模
10 塊發(fā)出要求消息����,要求同網(wǎng)域的第一代理服務(wù)器找到同時(shí)在該網(wǎng)域注冊(cè)的 中繼點(diǎn)裝置�。該跨網(wǎng)域金鑰處理單元通過該中繼點(diǎn)裝置,向該第二網(wǎng)域的 第二金鑰分配中心注冊(cè)以取得第一金鑰�,并傳送包含該第一金鑰的第一通 行證給該第二電子裝置,以要求其回傳包含第二金鑰的第二通行證,并處 理該第二通行證���,以取出該第二金鑰�,而根據(jù)該第一及第二金鑰產(chǎn)生用以
15與該第二電子裝置進(jìn)行信息通信認(rèn)證的第三金鑰��。
另外,本發(fā)明實(shí)現(xiàn)上述方法的中繼點(diǎn)裝置�����,其可橫跨第一網(wǎng)域及第二 網(wǎng)域���,并與設(shè)置在第一網(wǎng)域的第一代理服務(wù)器及第一電子裝置通信,以協(xié) 助該第一電子裝置與屬于第二網(wǎng)域的第二電子裝置進(jìn)行信息通信��;該中繼 點(diǎn)裝置包括網(wǎng)域信息存儲(chǔ)單元�、聯(lián)機(jī)單元及網(wǎng)域特定信息組織單元。該網(wǎng)
20域信息存儲(chǔ)單元存儲(chǔ)配置數(shù)據(jù)�����。該聯(lián)機(jī)單元與該第一代理服務(wù)器聯(lián)機(jī)。該 網(wǎng)域特定信息組織單元根據(jù)該網(wǎng)域信息存儲(chǔ)單元存儲(chǔ)的配置數(shù)據(jù),產(chǎn)生網(wǎng) 域特定信息,并通過該第一聯(lián)機(jī)單元傳送至該第一代理服務(wù)器���。
25 圖1是本發(fā)明的跨網(wǎng)域信息通信的認(rèn)證方法的優(yōu)選實(shí)施例的網(wǎng)絡(luò)系統(tǒng)
架構(gòu)圖2是本實(shí)施例的第一 SIP代理服務(wù)器與移動(dòng)電話的內(nèi)部功能單元的 方框圖3是本實(shí)施例的第一 SIP代理服務(wù)器的部分內(nèi)部硬件架構(gòu)與候選中
30繼點(diǎn)裝置的內(nèi)部硬件架構(gòu)的方框圖;圖4是本實(shí)施例的候選中繼點(diǎn)裝置向第一 SIP代理服務(wù)器注冊(cè)的流程
圖5是本實(shí)施例的移動(dòng)電話的中繼點(diǎn)請(qǐng)求模塊的細(xì)部硬件架構(gòu)電路的 方框5 圖6是本實(shí)施例的第一SIP代理服務(wù)器尋找中繼點(diǎn)裝置的流程圖7是本實(shí)施例的第一 SIP代理服務(wù)器內(nèi)部部分硬件架構(gòu)的方框圖; 圖8是本實(shí)施例的輪詢結(jié)果示意圖9是本實(shí)施例的過濾候選中繼點(diǎn)裝置的初步過濾結(jié)果的示意圖; 圖10是本實(shí)施例的移動(dòng)電話的外來網(wǎng)域處理模塊及本地網(wǎng)域處理模 10塊的細(xì)部硬件架構(gòu)的方框圖11是本實(shí)施例的屬于第一網(wǎng)域的移動(dòng)電話通過中繼點(diǎn)裝置向第二 KDC要求第一金鑰的流程圖12是本實(shí)施例的屬于第二網(wǎng)域的移動(dòng)電話通過中繼點(diǎn)裝置向第一 KDC要求第二金鑰的流程圖����;及 15 圖13是本實(shí)施例的分屬于第一及第二網(wǎng)域的移動(dòng)電話分別以取得的
第一及第二金鑰產(chǎn)生共同的第三金鑰進(jìn)行跨網(wǎng)域認(rèn)證的流程圖�����。
具體實(shí)施例方式
有關(guān)本發(fā)明的前述及其它技術(shù)內(nèi)容���、特點(diǎn)與功效��,在以下配合參考圖
20式的優(yōu)選實(shí)施例的詳細(xì)說明中,將可清楚的呈現(xiàn)。
參閱圖1所示��,是本發(fā)明跨網(wǎng)域信息通信的認(rèn)證方法的優(yōu)選實(shí)例����,應(yīng) 用在要通過網(wǎng)際網(wǎng)絡(luò)80進(jìn)行語音數(shù)據(jù)通信(即VoIP)的屬于第一 SIP網(wǎng)域 55(其SIP URI為sipa.com)的第 一 電子裝置IO(其SIP URI為 Alice②sipaxom)與屬于第二 SIP網(wǎng)域65(其SIP URI為sipb.com)的第二電
25 子裝置20(其SIPURI為Bob⑥sipb.com)之間,其中����,該第一網(wǎng)域55中包 含第一代理服務(wù)器(在本實(shí)施例中該第一代理服務(wù)器是SIP代理服務(wù)器����,以 下稱第一 SIP代理服務(wù)器50)及第一 KDC 30�����,該第二網(wǎng)域65中包含第二 代理服務(wù)器(在本實(shí)施例中該第二代理服務(wù)器是SIP代理服務(wù)器,以下稱第 二SIP代理服務(wù)器60)及第二KDC40。其中,第一電子裝置IO是發(fā)話端,
30第二電子裝置20是受話端����,且在本實(shí)施例中��,第一及第二電子裝置IO��、
20是以移動(dòng)電話(以下皆以移動(dòng)電話10��、 20說明)作為例子,但并不以此 為限����。
另外����,如圖2所示�,是本實(shí)施例的第一SIP代理服務(wù)器50與移動(dòng)電話 10的內(nèi)部功能單元的方框圖���,其中第一 SIP代理服務(wù)器50(第二 SIP代理 5服務(wù)器60同)包括用于與網(wǎng)際網(wǎng)絡(luò)連接的網(wǎng)絡(luò)通信單元500、信號(hào)收發(fā)單 元502����、跨網(wǎng)域注冊(cè)單元504、跨網(wǎng)域中繼點(diǎn)搜尋單元506及網(wǎng)域管理數(shù) 據(jù)庫508;移動(dòng)電話IO包括用于與網(wǎng)際網(wǎng)絡(luò)連接的網(wǎng)絡(luò)通信單元100�、中 繼點(diǎn)請(qǐng)求模塊102���、認(rèn)證通信單元104及跨網(wǎng)域金鑰處理單元106,這些 功能單元的作用將在后面說明。 io 本實(shí)施例的跨網(wǎng)域語音信息通信的認(rèn)證方法包括 步驟(A):
由移動(dòng)電話10向第一SIP代理服務(wù)器50要求提供同時(shí)在第一及第二 網(wǎng)域55、 65注冊(cè)的中繼點(diǎn)裝置�。
在進(jìn)行步驟(A)之前���,該第一 SIP代理服務(wù)器50中已記錄有多個(gè)候選 15中繼點(diǎn)裝置的信息�����,該多個(gè)候選中繼點(diǎn)裝置是在開機(jī)狀態(tài)下,傳送其網(wǎng)域 特定信息給該第一 SIP代理服務(wù)器50進(jìn)行注冊(cè)及更新�����。
首先��,該多個(gè)候選的中繼點(diǎn)裝置必須是同時(shí)在第一及第二網(wǎng)域55�����、 65 中注冊(cè)的裝置����。且在本實(shí)施例中,中繼點(diǎn)裝置是以移動(dòng)電話為例��,但并不 以此為限����。該多個(gè)候選中繼點(diǎn)裝置處在開機(jī)狀態(tài)下,會(huì)定時(shí)或不定時(shí)地傳 20送網(wǎng)域特定信息給所屬網(wǎng)域的SIP代理服務(wù)器��,讓所屬網(wǎng)域的SIP代理服 務(wù)器知道它的存在����,以便在要進(jìn)行通話的兩個(gè)網(wǎng)域55、 65之間建立橋接 關(guān)系���。
且為產(chǎn)生該網(wǎng)域特定信息,如圖3所示,各該候選中繼點(diǎn)裝置700包 括網(wǎng)絡(luò)通信單元702�、信號(hào)收發(fā)單元704、第一聯(lián)機(jī)單元706���、網(wǎng)域特定信 25息組織單元708及存儲(chǔ)配置數(shù)據(jù)的網(wǎng)域信息存儲(chǔ)單元710。
另外�����,為處理上述網(wǎng)域特定信息�,如圖3所示�����,第一SIP代理服務(wù)器 50(第二 SIP代理服務(wù)器60同)的跨網(wǎng)域注冊(cè)單元504還包括網(wǎng)域特定信息 交換單元510及第二聯(lián)機(jī)單元512。
同時(shí)�,參見圖4的流程所示����,候選中繼點(diǎn)裝置700在開機(jī)狀態(tài)下���,如 30圖4的步驟1500,觸發(fā)其網(wǎng)域特定信息組織單元708組織存儲(chǔ)在其網(wǎng)域信
息存儲(chǔ)單元710中的配置數(shù)據(jù)(configurationdata)��,以構(gòu)成包含諸如第一及 第二 SIP網(wǎng)域55�、 65的身份及第一及第二 KDC30、 40的身份等的網(wǎng)域特 定信息���。然后�,如步驟1502���,在第一聯(lián)機(jī)單元706中,將網(wǎng)域特定信息附 加在要求注冊(cè)信號(hào)[REGISTER]中�����,通過信號(hào)收發(fā)單元704及網(wǎng)絡(luò)通信單
5元702送至第一 SIP代理服務(wù)器50。且該網(wǎng)域特定信息中還包含中繼點(diǎn)裝 置本身的硬件能力以及可以處理同時(shí)點(diǎn)對(duì)點(diǎn)聯(lián)機(jī)的最大服務(wù)數(shù)等信息����。
當(dāng)?shù)谝?SIP代理服務(wù)器50通過其網(wǎng)絡(luò)通信單元500及信號(hào)收發(fā)單元 502收到該要求注冊(cè)信號(hào)[REGISTER]后,如步驟1504�����,其觸發(fā)第二聯(lián)機(jī) 單元512,使從要求注冊(cè)信號(hào)[REGISTER]中分析并取出網(wǎng)域特定信息,且
io觸發(fā)網(wǎng)域特定信息交換單元510以該網(wǎng)域特定信息更新原有資料后����,將該 網(wǎng)域特定信息存入網(wǎng)域管理數(shù)據(jù)庫508中��,并在完成更新后,如步驟1506�, 回傳完成消息[200OK]給候選中繼點(diǎn)裝置700。至此����,該多個(gè)候選中繼點(diǎn) 裝置700與第二 SIP網(wǎng)域65及第二 KDC40的橋接關(guān)系被建立并注冊(cè)在第 一SIP代理服務(wù)器50中��。
15 接著�����,參見圖5,移動(dòng)電話10的中繼點(diǎn)請(qǐng)求模塊102用于產(chǎn)生與移動(dòng)
電話20通信的通行證要求��,并通過網(wǎng)絡(luò)通信單元100向第一 SIP代理服 務(wù)器50要求中繼點(diǎn)裝置���。中繼點(diǎn)請(qǐng)求模塊102包括要求消息收發(fā)單元108�����、 通行證要求單元110�����、信號(hào)收發(fā)單元112、中繼點(diǎn)要求單元114及中繼點(diǎn) 信息取出單元116����。
20 因此��,當(dāng)屬于第一SIP網(wǎng)域55的移動(dòng)電話10想要與屬于第二SIP網(wǎng)
域65的移動(dòng)電話20進(jìn)行通話時(shí),如圖6的步驟2500����,通行證要求單元 110產(chǎn)生內(nèi)含受話端(即移動(dòng)電話20)信息,例如Bob@sipb.com的通行證 要求消息[TGS—REQ],并如步驟2502,通過要求消息收發(fā)單元108及網(wǎng)絡(luò) 通信單元100將通行證要求消息[TGS—REQ]送至第一 KDC30時(shí),如步驟
25 2 5 04����,第一 KDC30會(huì)檢查該消息是否與第二 SIP網(wǎng)域65有任何互信關(guān)系�, 即第一 KDC30與第二 KDC40已預(yù)先設(shè)定的信任關(guān)系����,例如兩者已預(yù)先設(shè) 定共享的金鑰���,且本實(shí)施例的功效即在不需建立上述的信任關(guān)系��,即可達(dá) 到跨網(wǎng)域之網(wǎng)絡(luò)電話認(rèn)證���。
而由于第一 KDC30發(fā)現(xiàn)兩者缺乏互信關(guān)系(因?yàn)椴辉谕痪W(wǎng)域),因此
30如步驟2506,第一 KDC30回復(fù)內(nèi)含失敗(NG)消息的回復(fù)消息[TGS—REP]
給移動(dòng)電話10�,當(dāng)移動(dòng)電話10通過網(wǎng)絡(luò)通信單元100及要求消息收發(fā)單 元108收到失敗的回復(fù)消息[TGS—REP]后���,即知道所欲通話的移動(dòng)電話20 與其分屬于不同網(wǎng)域���,因此移動(dòng)電話10必需尋找一個(gè)介于其與屬于外來 網(wǎng)域的行動(dòng)裝置20之間的中繼點(diǎn)���。 5 所以,如步驟2508����,移動(dòng)電話10的中繼點(diǎn)要求單元114產(chǎn)生內(nèi)含有
受話端信息,例如移動(dòng)電話20的SIP URI: Bob@sipb.com的尋找中繼點(diǎn) 消息[INVITE]�,并如步驟2510���,通過信號(hào)收發(fā)單元112及網(wǎng)絡(luò)通信單元 100將該尋找中繼點(diǎn)消息[INVITE]送至第一SIP代理服務(wù)器50以尋找中繼 點(diǎn)裝置�����。
io 為了協(xié)助移動(dòng)電話10找到適當(dāng)?shù)闹欣^點(diǎn)裝置���,如圖7所示,第一SIP
代理服務(wù)器50的跨網(wǎng)域中繼點(diǎn)搜尋單元506還包括用于發(fā)現(xiàn)中繼點(diǎn)并產(chǎn) 生輪詢結(jié)果的發(fā)現(xiàn)中繼點(diǎn)模塊514�,以及根據(jù)該輪詢結(jié)果選出最佳中繼點(diǎn) 裝置的選擇中繼點(diǎn)模塊516����。其中����,發(fā)現(xiàn)中繼點(diǎn)模塊514又包含發(fā)現(xiàn)候選 中繼點(diǎn)單元518及輪詢候選者單元520;選擇中繼點(diǎn)模塊516又包含選擇
15中繼點(diǎn)單元522��、過濾候選者單元524及選擇單元526����。
因此,在圖6的步驟2512中�,當(dāng)?shù)谝籗IP代理服務(wù)器50通過網(wǎng)絡(luò)通 信單元500及信號(hào)收發(fā)單元502收到該尋找中繼點(diǎn)消息[INYITE]后�,其觸 發(fā)該發(fā)現(xiàn)候選中繼點(diǎn)單元518判別該尋找中繼點(diǎn)消息[INVITE],并由尋找 中繼點(diǎn)消息[nWITE]中解析出受話端信息后�,傳給輪詢候選者單元520�,
20使以外來網(wǎng)域身份信息(即受話端信息)為索引(搜尋條件)搜尋網(wǎng)域管理數(shù) 據(jù)庫508����,亦即輪詢(query)記錄在網(wǎng)域管理數(shù)據(jù)庫508中的該多個(gè)候選中 繼點(diǎn)裝置700的信息,以找出同時(shí)存在第一及第二網(wǎng)域55����、 65中的候選 中繼點(diǎn),并得到輪詢結(jié)果供后續(xù)選擇中繼點(diǎn)使用。該輪詢結(jié)果以圖8所示 為例����,經(jīng)過輪詢網(wǎng)域管理數(shù)據(jù)庫508的結(jié)果,找到3個(gè)同時(shí)存在第一及第
25 二網(wǎng)域55、 65中的候選中繼點(diǎn)裝置(Caroll@sipa.com�、 Carol2@sipa.com 及Carol3@sipa.com)。
然后,在步驟2514�����,以該輪詢結(jié)果作為輸入���,觸發(fā)該過濾候選者單元 524執(zhí)行初步的過濾程序����,使根據(jù)輪詢結(jié)果過濾不合格的中繼點(diǎn)裝置��,例 如濾掉目前服務(wù)數(shù)目大于/等于預(yù)設(shè)服務(wù)數(shù)目的候選中繼點(diǎn)裝置,以圖8
30為例�����,濾掉服務(wù)數(shù)目達(dá)到最大的中繼點(diǎn)裝置Carol3@sipa.com��,最后留下 如圖9所示的候選中繼點(diǎn)裝置。之后,將初步過濾后的結(jié)果(圖9所示)交
由選擇單元526執(zhí)行選取中繼點(diǎn)裝置程序�,以候選中繼點(diǎn)裝置的硬件能力
重新排列輪詢結(jié)果,并根據(jù)諸如具有最強(qiáng)硬體能力或具有最多可服務(wù)數(shù)等
條件,從該多個(gè)被留下的候選中繼點(diǎn)裝置700中選擇最佳的中繼點(diǎn)裝置
5 70��。因此,如果按照"最佳的硬件能力"條件�����,則選取中繼點(diǎn)裝置 Carol2@sipa.com,如果按照"最大的可服務(wù)數(shù)目"條件��,則選取中繼點(diǎn)裝 置Caroll@sipa.com��。
因此,選出中繼點(diǎn)裝置70后���,如步驟2516�����,第一SIP代理服務(wù)器50 由選擇中繼點(diǎn)單元522產(chǎn)生內(nèi)含中繼點(diǎn)裝置70的信息,例如SIP URI為
io Caroll@sipa.com (或Carol2⑥sipa.com)的回復(fù)消息[404 Not Found],經(jīng)由信 號(hào)收發(fā)單元502及網(wǎng)絡(luò)通信單元500回傳給移動(dòng)電話10����。移動(dòng)電話10通 過網(wǎng)絡(luò)通信單元100及信號(hào)收發(fā)單元112收到該回復(fù)消息[404 Not Found], 并由中繼點(diǎn)信息取出單元116從該回復(fù)消息[404 Not Found]中取出中繼點(diǎn) 裝置70的信息����。至此,移動(dòng)電話10找到了中繼點(diǎn)裝置70作為與移動(dòng)電
15 話20進(jìn)行跨網(wǎng)域安全認(rèn)證的中繼點(diǎn)�����,且移動(dòng)電話10擁有中繼點(diǎn)裝置70 的身份信息(Caroll②sipa.com或Carol2@sipa.com)。
然后,如步驟2518,移動(dòng)電話IO通過通行證要求單元110、要求消息 收發(fā)單元108及網(wǎng)絡(luò)通信單元100產(chǎn)生并傳送通行證要求消息 [TGS_REQ]�����,向第一 KDC30要求連接至中繼點(diǎn)裝置70的通行證,第一
20KDC30產(chǎn)生中繼點(diǎn)裝置70的通行證(ticket)后���,如步驟2520�����,回傳通行證 回復(fù)消息[TGS—REP]給移動(dòng)電話10�����。如此,移動(dòng)電話IO拿到中繼點(diǎn)裝置 70的通行證可作為之后與移動(dòng)電話20的安全憑證的認(rèn)證使用。 步驟(B):
移動(dòng)電話10通過該中繼點(diǎn)裝置70�,向該第二KDC40要求第一金鑰�����, 25并傳送包含該第一金鑰的第一對(duì)話通行證給該移動(dòng)電話20����。
如圖10所示,為達(dá)成上述動(dòng)作���,移動(dòng)電話10(移動(dòng)電話20同)的跨網(wǎng) 域金鑰處理單元106還包括外來網(wǎng)域處理模塊118�、本地網(wǎng)域處理模塊120 及共同金鑰產(chǎn)生單元122���。其中,外來網(wǎng)域處理模塊118還包含外來網(wǎng)域 獲得單元124����、遞送單元126�����、注冊(cè)單元128及外來網(wǎng)域存儲(chǔ)單元130。本 30地網(wǎng)域處理模塊120還包含本地網(wǎng)域獲得單元132及本地網(wǎng)域存儲(chǔ)單元
134��。且該外來網(wǎng)域處理模塊118及該本地網(wǎng)域處理模塊120皆經(jīng)由認(rèn)證 通信單元104及網(wǎng)絡(luò)通信單元100連上網(wǎng)際網(wǎng)絡(luò)����。
這樣,當(dāng)移動(dòng)電話10要通過中繼點(diǎn)裝置70與移動(dòng)電話20進(jìn)行跨網(wǎng) 域認(rèn)證時(shí),首先,移動(dòng)電話10觸發(fā)外來網(wǎng)域獲得單元124�,使通過中繼點(diǎn)
5 裝置70向第二KDC40進(jìn)行注冊(cè)���。如圖11的步驟3500所示�,開始時(shí)���,要 求注冊(cè)消息[AP—REQ]在注冊(cè)單元128組成��,并通過認(rèn)證通信單元104及 網(wǎng)絡(luò)通信單元100送至中繼點(diǎn)裝置70�����。然后���,如步驟3502及3504�,中繼 點(diǎn)裝置70重新產(chǎn)生要求將移動(dòng)電話10注冊(cè)至第二 KDC40的要求消息 [USR—REG](其中附有移動(dòng)電話10的身份Alice@sipa.com)��,并傳給第二
io KDC40��,當(dāng)?shù)诙﨣DC40收到后,如步驟3506,第二 KDC40產(chǎn)生給移動(dòng) 電話10的注冊(cè)ID���,并如步驟3508����,回傳附有注冊(cè)ID的注冊(cè)響應(yīng)消息 [USR—REP]給中繼點(diǎn)裝置70�,然后如步驟3510���,中繼點(diǎn)裝置70經(jīng)由移動(dòng) 電話10的網(wǎng)絡(luò)通信單元100及認(rèn)證通信單元104將注冊(cè)響應(yīng)消息 [USI^REP]送給注冊(cè)單元128。
15 在得到第二KDC40為其所產(chǎn)生的注冊(cè)ID后���,在步驟3512及3514����,
移動(dòng)電話10通過安全協(xié)議�����,例如Diffie-Hellman,與第二 KDC40進(jìn)行安 全信道建立([DH—REQ]及[DI^REP])��,接著在步驟3516中���,使用該注冊(cè)ID 與第二 KDC40進(jìn)行認(rèn)證([AUTH—REQRSP])��,以確認(rèn)該注冊(cè)ID確實(shí)由第 二KDC40發(fā)給,而在步驟3518中�����,在移動(dòng)電話10與第二 KDC40兩者之
20間建立經(jīng)認(rèn)證且安全的信道���。
然后,在步驟3520���,移動(dòng)電話10觸發(fā)外來網(wǎng)域獲得單元124����,使其 向第二 KDC40傳送通行證要求消息[TGS一REQ]��,以要求給移動(dòng)電話20的 通行證��。因此在步驟3522,第二 KDC40回傳包含第一金鑰(session key) 及要傳給移動(dòng)電話20的第一對(duì)話通行證(sessionticket)(其中包含經(jīng)過加密
25的第一金鑰)的票巻回復(fù)消息[TGS—REP]給移動(dòng)電話10,則如步驟3524, 外來網(wǎng)域獲得單元124將取得的第一金鑰及第一對(duì)話通行證存儲(chǔ)在外來網(wǎng) 域存儲(chǔ)單元130中�。且在步驟3526,遞送單元126被觸發(fā)以將第一對(duì)話通 行證傳給移動(dòng)電話20([Ticket Delivery])�。
另一方面�,如圖12的步驟3528所示�����,移動(dòng)電話IO傳送內(nèi)含中繼點(diǎn)
30 裝置70的信息(Caroll②sipa,com或Carol2⑥sipa.com)的要求消息[INVITE]
給移動(dòng)電話20以觸發(fā)移動(dòng)電話20交換安全憑證��。該要求消息[INVITE]經(jīng) 由第一及第二SIP代理服務(wù)器50、 60傳送到移動(dòng)電話20�����,移動(dòng)電話20在 收到要求消息[INVITE]后,在步驟3530��,傳送代表開始交換安全憑證的回 復(fù)消息[200 OK]給移動(dòng)電話10。
5 接著,如步驟3532�,移動(dòng)電話20傳送向第一 KDC30注冊(cè)的注冊(cè)要求
消息[AP—REQ]給中繼點(diǎn)裝置70���,當(dāng)中繼點(diǎn)裝置70收到消息后,在步驟 3534及3536���,其重新產(chǎn)生內(nèi)含第二電子裝置20的身份Bob@sipb.com的 使用者注冊(cè)要求消息[USR—REG]�����,再傳給第一 KDC30�����。接著�,在步驟3538�、 3540及3542中�,第一 KDC30產(chǎn)生給移動(dòng)電話20的注冊(cè)ID并通過中繼
io點(diǎn)裝置70回傳的回復(fù)消息[USR—REP]給移動(dòng)電話20。
當(dāng)移動(dòng)電話20收到該注冊(cè)ID后���,在步驟3544及3546中���,移動(dòng)電話 20通過安全協(xié)議��,例如Diffie-Hdlman��,與第一 KDC30進(jìn)行安全信道建立 ([DH—REQ]及[DI^REP])�,并在步驟3548�,以該注冊(cè)ID與第一 KDC30進(jìn) 行認(rèn)證([AUTI^REQRSP]),以確認(rèn)該注冊(cè)ID確實(shí)由第一 KDC30發(fā)給���。
15 因此���,在步驟3550中,移動(dòng)電話20與第一KDC30之間即可建立經(jīng)認(rèn)證 且安全的信道。
然后,在步驟3552���,移動(dòng)電話20送出通行證要求消息[TGS—REQ]向 第一 KDC30要求與移動(dòng)電話10對(duì)話的通行證,因此�����,在步驟3554,第 一KDC30回傳內(nèi)含第二金鑰及第二對(duì)話通行證(其中包含經(jīng)過加密的第二
20 金鑰)的通行證回復(fù)消息[TGS—REP]給移動(dòng)電話20。在步驟3556,移動(dòng)電 話20得到第二金鑰及第二對(duì)話通行證并存儲(chǔ)在其外來網(wǎng)域存儲(chǔ)單元130 后,在步驟3558�,將第二對(duì)話通行證通過遞送單元126傳給移動(dòng)電話10�����。 因此���,在圖13的步驟3560中�����,當(dāng)移動(dòng)電話10收到第二對(duì)話通行證 時(shí)�,即觸發(fā)其本地網(wǎng)域獲得單元132由該第二對(duì)話通行證中取出第二金鑰�����,
25 并將第二金鑰存儲(chǔ)在本地網(wǎng)域存儲(chǔ)單元134��。然后�,在圖13的步驟3564 中,移動(dòng)電話10的共同金鑰產(chǎn)生單元122被觸發(fā)�����,以根據(jù)存儲(chǔ)在本地網(wǎng) 域存儲(chǔ)單元134中的第二金鑰,及存儲(chǔ)在外來網(wǎng)域存儲(chǔ)單元130中的第一 金鑰�����,使用諸如pseudo-mndom函數(shù)產(chǎn)生共享的第三金鑰,并將第三金鑰 存儲(chǔ)在本地網(wǎng)域存儲(chǔ)單元134中�。
30 同樣�,在圖13的步驟3562中,當(dāng)移動(dòng)電話20收到第一對(duì)話通行證時(shí)�,即觸發(fā)其本地網(wǎng)域獲得單元132由該第一對(duì)話通行證中取出第一金鑰�����,
并將第一金鑰存儲(chǔ)在本地網(wǎng)域存儲(chǔ)單元134��,然后��,在圖13的步驟3566 中����,移動(dòng)電話20的共同金鑰產(chǎn)生單元122被觸發(fā)��,以根據(jù)存儲(chǔ)在本地網(wǎng) 域存儲(chǔ)單元134中的第一金鑰,及存儲(chǔ)在外來網(wǎng)域存儲(chǔ)單元130中的第二 5 金鑰,使用諸如pseudo-random函數(shù)產(chǎn)生共享的第三金鑰�����,并將第三金鑰 存儲(chǔ)在本地網(wǎng)域存儲(chǔ)單元134中��。
這樣��,可保證第三金鑰是只有移動(dòng)電話10及20兩者知道的共享金鑰�, 該金鑰不會(huì)被第三者(包括第一及第二KDC30、 40)得知,因此��,分屬于兩 個(gè)不同網(wǎng)域55���、 65的移動(dòng)電話IO���、 20即可使用第三金鑰進(jìn)行安全的跨網(wǎng) io域身份認(rèn)證���,如圖13的步驟3568所示���。
此外,應(yīng)該指出���,為了減輕第二KDC40(第一KDC30同)的工作負(fù)擔(dān)����, 在本實(shí)施例中,讓第二 KDC40先將第一對(duì)話通行證連同第一金鑰傳給移 動(dòng)電話IO�,再由移動(dòng)電話10將第一對(duì)話通行證傳給移動(dòng)電話20����,但并不 以此為限�,亦即在不考慮第二KDC40(第一KDC30同)工作負(fù)擔(dān)的情況下, 15亦可由第二 KDC40將第一對(duì)話通行證直接傳給移動(dòng)電話20。
通過上述說明可知��,本發(fā)明通過SIP代理服務(wù)器找尋同時(shí)在兩個(gè)網(wǎng)域 注冊(cè)的非固定式的移動(dòng)電話作為中繼點(diǎn)裝置��,讓分屬于不同網(wǎng)域的移動(dòng)電 話可通過該中繼點(diǎn)裝置進(jìn)行跨網(wǎng)域認(rèn)證����,不但不需要在兩個(gè)網(wǎng)域服務(wù)器上 采用復(fù)雜的跨網(wǎng)域信賴機(jī)制�����,而且不易受到網(wǎng)絡(luò)攻擊,使不同網(wǎng)域的移動(dòng) 20電話達(dá)到安全的跨網(wǎng)域語音通信的功效與目的。
此外���,本發(fā)明除了應(yīng)用在跨網(wǎng)域語音通信的安全認(rèn)證(如上述實(shí)施例) 夕卜�,本發(fā)明亦可應(yīng)用在(l)安全的跨網(wǎng)域短消息服務(wù)�����,例如短消息服務(wù) (SMS: Short Message Service)、多媒體消息服務(wù)(畫S: Multimedia Messaging Service)�����、 SIP通知(SIP Notify)及SIP消息(SIP Message) 25 等�;(2)安全的跨網(wǎng)域視頻通信(video communication)或跨網(wǎng)域多媒體影 音串流服務(wù)(multimedia streaming),例如MPEG4��、 H. 264等����,諸如此類 的跨網(wǎng)域信息通信安全認(rèn)證�����,且由于其實(shí)施方式與上述實(shí)施例的主要技術(shù) 手段相同����,只是傳送信息內(nèi)容不同而已�����,在此不再贅述����。
以上所說明的僅是本發(fā)明的優(yōu)選實(shí)施例,而不能以此限定本發(fā)明實(shí)施 30的范圍�,本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求所限定的精神和范圍的情
況下對(duì)本發(fā)明內(nèi)容所作的簡(jiǎn)單的等效變化與修飾��,皆屬于本發(fā)明涵蓋的范
權(quán)利要求
1. 一種跨網(wǎng)域信息通信的認(rèn)證方法��,應(yīng)用在要通過網(wǎng)際網(wǎng)絡(luò)進(jìn)行信息通信的屬于第一網(wǎng)域的第一電子裝置與屬于第二網(wǎng)域的第二電子裝置之間;所述方法包括(A)令所述第一電子裝置要求同網(wǎng)域的第一代理服務(wù)器找出同時(shí)在所述網(wǎng)域注冊(cè)的中繼點(diǎn)裝置�;(B)令所述第一電子裝置通過所述中繼點(diǎn)裝置�����,向所述第二網(wǎng)域的第二金鑰分配中心注冊(cè)以取得第一金鑰���,并傳送包含所述第一金鑰的第一通行證給所述第二電子裝置�����;(C)令所述第二電子裝置收到所述第一通行證后��,通過所述中繼點(diǎn)裝置�,向所述第一網(wǎng)域的第一金鑰分配中心注冊(cè)以取得第二金鑰,且傳送包含所述第二金鑰的第二通行證給所述第一電子裝置�;及(D)令所述第一及第二電子裝置根據(jù)收到的所述第一及第二金鑰產(chǎn)生共享的第三金鑰��,以進(jìn)行信息通信認(rèn)證�。
2. 根據(jù)權(quán)利要求1所述的跨網(wǎng)域信息通信的認(rèn)證方法,在步驟(A)中�����, 所述中繼點(diǎn)裝置已預(yù)先向所述第一及第二金鑰分配中心注冊(cè)。
3. 根據(jù)權(quán)利要求1所述的跨網(wǎng)域信息通信的認(rèn)證方法���,在進(jìn)行步驟(A)之前,所述第一代理服務(wù)器中預(yù)先記錄有多個(gè)候選中繼點(diǎn)裝置的信息���,所述候選中繼點(diǎn)裝置在開機(jī)狀態(tài)下����,傳送網(wǎng)域特定信息向所述第一代理服務(wù) 器進(jìn)行注冊(cè)�����,而被記錄在所述第一代理服務(wù)器中。
4. 根據(jù)權(quán)利要求3所述的跨網(wǎng)域信息通信的認(rèn)證方法����,其中所述網(wǎng)域 特定信息包括與所述第一及第二網(wǎng)域相關(guān)的資料,且至少包括所述第一及第二網(wǎng)域的身份資料。
5. 根據(jù)權(quán)利要求3所述的跨網(wǎng)域信息通信的認(rèn)證方法����,其中所述網(wǎng)域 特定信息包括有關(guān)各所述候選中繼點(diǎn)裝置的能力的資料�,且至少包括各所 述候選中繼點(diǎn)裝置的硬件能力以及可處理同時(shí)點(diǎn)對(duì)點(diǎn)聯(lián)機(jī)的最大服務(wù)數(shù)�����。
6. 根據(jù)權(quán)利要求5所述的跨網(wǎng)域信息通信的認(rèn)證方法,在步驟(A)中,所述第一電子裝置發(fā)出包含有所述第二電子裝置的目的信息的要求消息給所述第一代理服務(wù)器���,使根據(jù)所述要求消息及所述網(wǎng)域特定信息��,從所 述候選中繼點(diǎn)裝置中找到適合的中繼點(diǎn)裝置。
7. 根據(jù)權(quán)利要求1所述的跨網(wǎng)域信息通信的認(rèn)證方法�����,在步驟(D)中��, 所述信息通信認(rèn)證是通過所述第一代理服務(wù)器與所述第二網(wǎng)域的第二代理服務(wù)器來完成。
8. 根據(jù)權(quán)利要求7所述的跨網(wǎng)域信息通信的認(rèn)證方法��,其中所述信息通信是語音通信�。
9. 根據(jù)權(quán)利要求8所述的跨網(wǎng)域信息通信的認(rèn)證方法��,其中所述第一 及第二代理服務(wù)器是對(duì)話啟始協(xié)議代理服務(wù)器。
10.—種跨網(wǎng)域信息通信認(rèn)證系統(tǒng),設(shè)置在第一網(wǎng)域中�,用于通過網(wǎng)際網(wǎng)絡(luò)與屬于第二網(wǎng)域的第二電子裝置進(jìn)行信息通信�����;所述系統(tǒng)包括 第一代理服務(wù)器��,其中記錄有多個(gè)候選中繼點(diǎn)裝置����; 第一電子裝置,發(fā)出要求消息����,要求所述第一代理服務(wù)器從所述候選 中繼點(diǎn)裝置中找出同時(shí)在所述網(wǎng)域注冊(cè)的中繼點(diǎn)裝置,以通過所述中繼點(diǎn)裝置,向所述第二網(wǎng)域的第二金鑰分配中心注冊(cè)取得第一金鑰,并傳送包 含所述第一金鑰的第一通行證給第二電子裝置�;及第一金鑰分配中心���,供所述第二電子裝置通過所述中繼點(diǎn)裝置�,向其 注冊(cè)并取得第二金鑰�,并傳送包含所述第二金鑰的第二通行證給所述第一 電子裝置,使所述第一及第二電子裝置可根據(jù)收到的所述第一及第二金鑰產(chǎn)生共享的第三金鑰���,以進(jìn)行信息通信認(rèn)證��。
11. 根據(jù)權(quán)利要求10所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)�,其中各所述候 選中繼點(diǎn)裝置包括網(wǎng)域特定信息組織單元����、存儲(chǔ)配置數(shù)據(jù)的網(wǎng)域信息存儲(chǔ) 單元及第一聯(lián)機(jī)單元,各所述候選中繼點(diǎn)裝置在開機(jī)狀態(tài)下�����,通過所述網(wǎng) 域特定信息組織單元,根據(jù)存儲(chǔ)在所述網(wǎng)域信息存儲(chǔ)單元中的配置數(shù)據(jù)��,產(chǎn)生網(wǎng)域特定信息,通過所述第一聯(lián)機(jī)單元傳送至所述第一代理服務(wù)器��。
12. 根據(jù)權(quán)利要求11所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)���,其中所述第一 代理服務(wù)器包括第二聯(lián)機(jī)單元、網(wǎng)域特定信息交換單元及網(wǎng)域管理數(shù)據(jù) 庫���,所述第二聯(lián)機(jī)單元分析所述網(wǎng)域特定信息�����,所述網(wǎng)域特定信息交換單元執(zhí)行網(wǎng)域特定信息更新并將所述網(wǎng)域特定信息存入所述網(wǎng)域管理數(shù)據(jù) 庫中。
13. 根據(jù)權(quán)利要求11所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng),其中所述中繼 點(diǎn)裝置包括信號(hào)收發(fā)單元及網(wǎng)絡(luò)通信單元��,且所述網(wǎng)域特定信息經(jīng)由所述 信號(hào)收發(fā)單元及網(wǎng)絡(luò)通信單元傳送給所述第一代理服務(wù)器。
14. 根據(jù)權(quán)利要求11所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)���,其中所述第一5代理服務(wù)器包括信號(hào)收發(fā)單元及網(wǎng)絡(luò)通信單元,用以接收由各所述中繼點(diǎn) 裝置傳來的所述網(wǎng)域特定信息���。
15. 根據(jù)權(quán)利要求11所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)���,其中所述網(wǎng)域特定信息包括與所述第一及第二網(wǎng)域相關(guān)的資料,且至少包括所述第一及 第二網(wǎng)域的身份資料���。
16.根據(jù)權(quán)利要求11所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)�����,其中各所述網(wǎng)域特定信息包括有關(guān)各所述候選中繼點(diǎn)裝置的能力的資料��,且至少包括各 所述候選中繼點(diǎn)裝置的硬件能力以及可處理同時(shí)點(diǎn)對(duì)點(diǎn)聯(lián)機(jī)的最大服務(wù)數(shù)���。
17.根據(jù)權(quán)利要求16所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng),其中所述要求 15消息包含目的地信息���,所述第一代理服務(wù)器還包括發(fā)現(xiàn)中繼點(diǎn)模塊及選擇 中繼點(diǎn)模塊��,所述發(fā)現(xiàn)中繼點(diǎn)模塊根據(jù)所述要求消息的目的地信息輪詢所 述網(wǎng)域管理數(shù)據(jù)庫���,以發(fā)現(xiàn)同時(shí)在第一及第二網(wǎng)域注冊(cè)的候選中繼點(diǎn)裝置 并產(chǎn)生輪詢結(jié)果,所述選擇中繼點(diǎn)模塊根據(jù)所述輪詢結(jié)果過濾所述候選中 繼點(diǎn)裝置并從所述候選中繼點(diǎn)裝置中選出適用的中繼點(diǎn)裝置��。
18.根據(jù)權(quán)利要求17所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)��,其中所述發(fā)現(xiàn)中繼點(diǎn)模塊包括發(fā)現(xiàn)候選中繼點(diǎn)單元及輪詢候選者單元,所述選擇中繼點(diǎn) 模塊包括選擇中繼點(diǎn)單元���、過濾候選者單元及選擇單元;所述發(fā)現(xiàn)候選中 繼點(diǎn)單元從所述要求消息中取出所述目的地信息傳給輪詢候選者單元,使 以所述目的地信息為索引����,輪詢記錄在網(wǎng)域管理數(shù)據(jù)庫中的所述候選中繼 25點(diǎn)裝置信息��,以得到輪詢結(jié)果�;所述選擇中繼點(diǎn)單元根據(jù)所述輪詢結(jié)果過濾不合格的中繼點(diǎn)裝置�,所述過濾候選者單元用于排除已超出最大服務(wù)數(shù)的候選中繼裝置�;所述選擇單元根據(jù)候選中繼點(diǎn)裝置的硬件能力從所述被留下的候選中繼點(diǎn)裝置中選擇最佳的中繼點(diǎn)裝置。
19.根據(jù)權(quán)利要求18所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)��,其中所述發(fā)現(xiàn)30中繼點(diǎn)候選者單元及所述選擇中繼點(diǎn)單元分別通過所述信號(hào)收送單元及 網(wǎng)絡(luò)通信單元與所述第一電子裝置通信�����。
20. 根據(jù)權(quán)利要求10所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)�,其中所述第一 及第二電子裝置以及所述中繼點(diǎn)裝置是移動(dòng)通信裝置�。
21. 根據(jù)權(quán)利要求10所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)�����,其中所述第一及第二電子裝置以及所述中繼點(diǎn)裝置是移動(dòng)電話。
22. 根據(jù)權(quán)利要求10所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng),其中所述信息 通信認(rèn)證是通過所述第一代理服務(wù)器與所述第二網(wǎng)域的第二代理服務(wù)器 完成的�。
23. 根據(jù)權(quán)利要求22所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng),其中所述信息通信是語音通信。
24. 根據(jù)權(quán)利要求23所述的跨網(wǎng)域信息通信認(rèn)證系統(tǒng)�����,其中所述第一 及第二代理服務(wù)器是對(duì)話啟始協(xié)議代理服務(wù)器��。
25. —種移動(dòng)通信電子裝置,屬于第一網(wǎng)域��,其可通過網(wǎng)際網(wǎng)絡(luò)與屬于 第二網(wǎng)域的第二電子裝置進(jìn)行信息通信;所述行動(dòng)通信電子裝置包括中繼點(diǎn)請(qǐng)求模塊����,發(fā)出要求消息,要求同網(wǎng)域的第一代理服務(wù)器找到同時(shí)在所述網(wǎng)域注冊(cè)的中繼點(diǎn)裝置;及跨網(wǎng)域金鑰處理單元��,通過所述中繼點(diǎn)裝置���,向所述第二網(wǎng)域的第二金鑰分配中心注冊(cè)以取得第一金鑰�,并傳送包含所述第一金鑰的第一通行證給所述第二電子裝置,以要求其回傳包含第二金鑰的第二通行證��,并處理所述第二通行證,以取出所述第二金鑰,而根據(jù)所述第一及第二金鑰產(chǎn)生用于與所述第二電子裝置進(jìn)行信息通信認(rèn)證的第三金鑰���。
26. 根據(jù)權(quán)利要求25所述的移動(dòng)通信電子裝置��,其中所述跨網(wǎng)域金鑰 處理單元還包括外來網(wǎng)域處理模塊����、本地網(wǎng)域處理模塊及共同金鑰產(chǎn)生單 元�,其中所述外來網(wǎng)域處理模塊通過所述中繼點(diǎn)裝置,向所述第二金鑰分配中心注冊(cè)以取得第一金鑰,并傳送包含所述第一金鑰的第一通行證給所 述第二電子裝置��,以要求其回傳包含第二金鑰的第二通行證���;所述本地網(wǎng) 域處理模塊接收并處理所述第二通行證��,以取出所述第二金鑰��;所述共同 金鑰產(chǎn)生單元根據(jù)所述第一及第二金鑰產(chǎn)生用于與所述第二電子裝置進(jìn) 行信息通信認(rèn)證的第三金鑰���。
27.根據(jù)權(quán)利要求26所述的移動(dòng)通信電子裝置�����,還包括網(wǎng)絡(luò)通信單元��,且所述中繼點(diǎn)請(qǐng)求模塊是通過所述網(wǎng)絡(luò)通信單元連上所述第一代理服務(wù)器°
28. 根據(jù)權(quán)利要求27所述的移動(dòng)通信電子裝置,還包括認(rèn)證通信單元�����, 且所述外來網(wǎng)域處理模塊及所述本地網(wǎng)域處理模塊是通過所述認(rèn)證通信單元及所述網(wǎng)絡(luò)通信單元連上網(wǎng)際網(wǎng)絡(luò)。
29. 根據(jù)權(quán)利要求27所述的移動(dòng)通信電子裝置���,其中所述中繼點(diǎn)請(qǐng)求 模塊包括要求消息收發(fā)單元�����、通行證要求單元、信號(hào)收發(fā)單元、中繼點(diǎn)要 求單元及中繼點(diǎn)信息取出單元���,所述通行證要求單元產(chǎn)生包含受話端信息 的通行證要求消息����,通過所述要求消息收發(fā)單元及所述網(wǎng)絡(luò)通信單元送至所述第一網(wǎng)域的第一金鑰分配中心;所述中繼點(diǎn)要求單元產(chǎn)生包含受話端 信息的尋找中繼點(diǎn)消息��,通過所述信號(hào)收發(fā)單元及網(wǎng)絡(luò)通信單元送至所述 第一代理服務(wù)器以尋找中繼點(diǎn)裝置�;所述中繼點(diǎn)信息取出單元從所述第一 代理服務(wù)器的回復(fù)消息中取得中繼點(diǎn)裝置的信息��。
30. 根據(jù)權(quán)利要求28所述的移動(dòng)通信電子裝置��,其中所述外來網(wǎng)域處理模塊包括注冊(cè)單元���、外來網(wǎng)域獲得單元、外來網(wǎng)域存儲(chǔ)單元及遞送單元�,所述注冊(cè)單元用以產(chǎn)生注冊(cè)要求消息�����,并通過所述認(rèn)證通信單元及所述網(wǎng) 絡(luò)通信單元向所述第二金鑰分配中心進(jìn)行注冊(cè)����,以獲得注冊(cè)證號(hào),所述外 來網(wǎng)域獲得單元根據(jù)所述注冊(cè)證號(hào)向所述第二金鑰分配中心取得所述第 一金鑰及所述第一通行證并存儲(chǔ)在所述外來網(wǎng)域存儲(chǔ)單元中�,所述遞送單元將所述第一通行證通過所述認(rèn)證通信單元及所述網(wǎng)絡(luò)通信單元傳送給 所述第二通信電子裝置��。
31. 根據(jù)權(quán)利要求26所述的移動(dòng)通信電子裝置��,其中所述本地網(wǎng)域處 理模塊包括本地網(wǎng)域取得單元及第二存儲(chǔ)單元����,所述本地網(wǎng)域取得單元用 以處理所述第二通行證以取出所述第二金鑰并存儲(chǔ)在所述第二存儲(chǔ)單元中�����。
32. 根據(jù)權(quán)利要求25所述的移動(dòng)通信電子裝置,其中所述信息通信認(rèn) 證是通過所述第一代理服務(wù)器與所述第二網(wǎng)域的第二代理服務(wù)器來完成 的�。
33. 根據(jù)權(quán)利要求32所述的移動(dòng)通信電子裝置,其中所述信息通信是語音通信���。
34. 根據(jù)權(quán)利要求33所述的移動(dòng)通信電子裝置,其中所述第一及第二代理服務(wù)器是對(duì)話啟始協(xié)議代理服務(wù)器�。
35. —種中繼點(diǎn)裝置���,其能夠橫跨第一網(wǎng)域及第二網(wǎng)域����,并與設(shè)置在第 一網(wǎng)域的第一代理服務(wù)器及第一電子裝置通信����,以協(xié)助所述第一電子裝置5與屬于第二網(wǎng)域的第二電子裝置進(jìn)行信息通信����;所述中繼點(diǎn)裝置包括 網(wǎng)域信息存儲(chǔ)單元����,用于存儲(chǔ)配置數(shù)據(jù)�; 聯(lián)機(jī)單元�,用于與所述第一代理服務(wù)器聯(lián)機(jī);及 網(wǎng)域特定信息組織單元�����,根據(jù)所述網(wǎng)域信息存儲(chǔ)單元存儲(chǔ)的配置數(shù) 據(jù)�,產(chǎn)生網(wǎng)域特定信息���,并通過所述第一聯(lián)機(jī)單元傳送至所述第一代理服 10 務(wù)器。
36. 根據(jù)權(quán)利要求35所述的中繼點(diǎn)裝置�����,還包括相連接的信號(hào)收發(fā)單 元及網(wǎng)絡(luò)通信單元,而所述第一聯(lián)機(jī)單元與所述信號(hào)收發(fā)單元連接���,以將 所述網(wǎng)域特定信息經(jīng)由所述信號(hào)收發(fā)單元及網(wǎng)絡(luò)通信單元傳送給所述第 一代理服務(wù)器。15
37.根據(jù)權(quán)利要求35所述的中繼點(diǎn)裝置�����,其中所述網(wǎng)域特定信息包括與所述第一及第二網(wǎng)域相關(guān)的資料�,且至少包括所述第一及第二網(wǎng)域的身 份資料。
38.根據(jù)權(quán)利要求35所述的中繼點(diǎn)裝置��,其中所述網(wǎng)域特定信息包括 有關(guān)所述中繼點(diǎn)裝置的能力的資料�����,且至少包括所述中繼點(diǎn)裝置的硬件能 20 力以及可處理同時(shí)點(diǎn)對(duì)點(diǎn)聯(lián)機(jī)的最大服務(wù)數(shù)�����。
全文摘要
本發(fā)明提供一種跨網(wǎng)域信息通信的認(rèn)證方法����,應(yīng)用在第一網(wǎng)域與第二網(wǎng)域之間���,該方法令屬于第一網(wǎng)域的第一電子裝置通過同時(shí)在第一及第二網(wǎng)域注冊(cè)的中繼點(diǎn)裝置,向?qū)儆诘诙W(wǎng)域的第二金鑰分配中心取得第一金鑰并送給該第二電子裝置,且該第二電子裝置通過該中繼點(diǎn)裝置�,向?qū)儆诘谝痪W(wǎng)域的該第一金鑰分配中心取得第二金鑰并送給該第一電子裝置����,這樣���,令第一及第二電子裝置根據(jù)收到的該第一及第二金鑰產(chǎn)生共享的第三金鑰��,以使用該只有第一及第二電子裝置知道的共享的第三金鑰進(jìn)行安全的信息通信認(rèn)證�����。
文檔編號(hào)H04L29/06GK101207613SQ20061016857
公開日2008年6月25日 申請(qǐng)日期2006年12月21日 優(yōu)先權(quán)日2006年12月21日
發(fā)明者劉學(xué)燈, 方均偉 申請(qǐng)人:松下電器產(chǎn)業(yè)株式會(huì)社