CN101919225B - 认证系统及方法 - Google Patents
认证系统及方法 Download PDFInfo
- Publication number
- CN101919225B CN101919225B CN2008801251048A CN200880125104A CN101919225B CN 101919225 B CN101919225 B CN 101919225B CN 2008801251048 A CN2008801251048 A CN 2008801251048A CN 200880125104 A CN200880125104 A CN 200880125104A CN 101919225 B CN101919225 B CN 101919225B
- Authority
- CN
- China
- Prior art keywords
- user
- packet
- network
- based communication
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/48—Message addressing, e.g. address format or anonymous messages, aliases
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的方法。所述方法包括:在所述第一基于分组的通信网络的第一网络元件处接收来自所述用户的用户终端的授权请求,所述授权请求包括第一用户标识;响应所述授权请求,从所述第一网络元件向所述第二基于分组的通信网络的第二网络元件传送创建第二用户标识的请求;所述第二网络元件创建所述第二用户标识供所述第二基于分组的通信网络使用,所述第二用户标识根据预先确定的规则从所述第一用户标识导出;并且将所述第二用户标识存储在所述第二基于分组的通信网络中供在所述第二基于分组的通信网络上的随后的通信事件使用。
Description
本发明涉及认证系统及方法,所述认证系统及方法特别地但不仅限于供基于分组的通信系统使用。
因特网被用于在用户之间提供各种不同形式的通信。两种流行的形式的通信是即时通信(″IM″)以及使用互联网协议上的语音(″VoIP″)的语音通信。
即时通信是基于计算机的通信工具,其中基于文本的消息实时地在用户之间交换。为使用即时通信系统,用户的用户终端必须被连接到通信网络,诸如互联网,并且即时通信客户端应用程序必须在所述用户终端上被执行。通过在通信网络上建立连接。所述客户端应用程序允许用户发起与远程用户的即时通信会话。用户因而可以键入消息并且将其发送到远程用户(通过按下“输入”或者启动“发送”按钮),并且该消息几乎实时地(取决于网络延迟)被显示在该远程用户的客户端的用户界面中。该远程用户因而可以接着键入回复并且将其发送到另一个用户。消息的交换可以以这种方式继续,以与面对面的口头会话类似的形式。
互联网协议上的语音(″VoIP″)通信系统允许设备(诸如个人计算机)的用户跨诸如因特网的计算机网络进行通话。这些系统对用户是有利的,因为它们通常具有比固定线路或者移动网络显著更低的成本。这对于长途通话可能更是如此。为使用VoIP,用户必须在他们的设备上安装并且执行客户端软件。该客户端软件提供VoIP连接以及其他功能,诸如注册及认证。也可以通过提供视频呼叫来增强VoIP系统。
一种类型的VoIP通信系统使用在私有协议上构建的对等(″P2P″)拓扑结构。为允许对对等系统的访问,用户必须在他们的计算机上执行由P2P软件供应商提供的P2P客户端软件,并且向该P2P系统注册。当用户向该P2P系统注册时,所述客户端软件被提供来自服务器的数字证书。一旦客户端软件被提供了该证书,通信接着可以在该P2P系统的用户之间被建立并且被路由而不用另外使用服务器。特别地,用户可以基于一个或者多个数字证书(或者用户身份证书,″UIC″)的交换建立他们自己的通过该P2P系统的通信路由,所述数字证书允许对该P2P系统的访问。数字证书在用户之间的交换提供了用户的身份的证明并且他们在该P2P系统中适当地被授权并且被认证。因此,数字证书的授予提供了对用户的身份的信任。因此,对等通信的特征在于:通信没有通过使用服务器而是直接从端用户到端用户被路由。关于这样的P2P系统的进一步的细节在WO 2005/009019中被公开。
关于现有的基于因特网的通信工具的问题在于:不同的软件供应商频繁地提供独立的、不兼容的产品。举例来说,第一软件供应商可以提供IM客户端,其变得非常流行并且大量用户使用该IM客户端彼此通信。相似地,第二软件供应商可以提供流行的VoIP客户端。为得到这两种服务的益处,用户必须分别下载并且执行两个客户端。然而,用户现在必须为这两个客户端中的每一个维护独立的联系人列表。因此,如果用户具有在IM客户端中而没有在VoIP客户端中的联系人,则用户不能呼叫这个联系人。
因此,存在对如下技术的需求:解决上述关于独立的基于因特网的通信工具的问题以便提供集成以及互操作性。
根据本发明的一个方面,提供了授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的方法,包括:在所述第一基于分组的通信网络的第一网络元件处接收来自所述用户的用户终端的授权请求,所述授权请求包括第一用户标识;响应所述授权请求,从所述第一网络元件向所述第二基于分组的通信网络的第二网络元件传送创建第二用户标识的请求;所述第二网络元件创建所述第二用户标识用于在所述第二基于分组的通信网络中使用,所述第二用户标识根据预先确定的规则从所述第一用户标识导出;并且将所述第二用户标识存储在所述第二基于分组的通信网络中供所述第二基于分组的通信网络上的随后的通信事件使用。
在一个实施例中,所述预先确定的规则包括将所述第一网络标识与预先定义的标记组合。在另一个实施例中,所述预先确定的规则包括将所述第一网络标识与至少一个预先定义的控制字符级连。在另一个实施例中,所述预先确定的规则是散列函数。
优选地,所述第一基于分组的通信网络是即时通信网络。优选地,所述第二基于分组的通信网络是互联网协议上的语音网络。优选地,所述互联网协议上的语音网络是对等网络。
在一个实施例中,所述通信事件是语音通话。在另一个实施例中,所述通信事件是视频通话。
优选地,所述方法还包括呼叫用户终端在所述第二基于分组的通信网络上发起与所述用户的通信事件的步骤。优选地,所述呼叫用户终端发起与所述用户的通信事件的步骤包括所述呼叫用户终端使用所述预先确定的规则从所述第一用户标识导出所述第二用户标识,并且使用所述第二网络标识在所述第二网络上建立与所述用户的连接。
优选地,所述方法还包括所述用户终端在所述第二基于分组的通信网络上发起与另外的用户的通信事件的步骤。优选地,所述方法还包括所述用户终端存储所述用户的联系人列表的步骤,所述联系人列表包括所述联系人在所述第一网络中的网络标识。
优选地,所述发起与所述另外的用户的通信事件的步骤包括从所述联系人列表中选择所述另外的用户,使用所述预先确定的规则从存储在所述联系人列表中的在所述第一网络中的网络标识导出所述另外的用户在所述第二网络中的网络标识,并且使用所述另外的用户在所述第二网络中的网络标识在所述第二网络上建立与所述另外的用户的连接。
优选地,在所述第一网络元件处被接收的授权请求还包括密码。
优选地,所述方法还包括所述用户终端使用所述预先确定的规则从所述第一网络导出所述第二用户标识并且向所述第二通信网络传送包括所述第二用户标识的授权请求的步骤。
优选地,所述方法还包括所述用户终端向所述第一网络元件传送用于数字证书的请求,所述第一网络元件从所述第二网络元件请求所述数字证书,所述第二网络元件向所述第一网络元件提供所述数字证书,并且所述第一网络元件向所述用户终端提供所述数字证书的步骤。优选地,从所述数字证书导出私有密钥,并且其中被传送给所述第二通信网络的所述授权请求包括所述私有密钥。优选地,所述数字证书在发起通信事件之前被提供给所述第二基于分组的通信网络
根据本发明的另一个方面,提供了包括连接到第一基于分组的通信网络的第一网络元件以及连接到第二基于分组的通信网络的第二网络元件的系统,其中所述第一网络元件被布置以从用户终端接收包括第一用户标识的授权请求并且响应所述授权请求向所述第二网络元件传送创建第二用户标识的请求,并且所述第二网络元件被布置以创建所述第二用户标识用于在所述第二基于分组的通信网络中使用,所述第二用户标识根据预先确定的规则从所述第一用户标识导出,并且存储所述第二用户标识供所述第二基于分组的通信网络上的随后的通信事件使用。
根据本发明的另一个方面,提供了连接到基于分组的通信网络的网络元件,包括:用于从连接到另外的基于分组的通信网络的另外的网络实体接收创建用户标识的请求的装置,所述请求包括被用在所述另外的基于分组的通信网络中的另外的用户标识;用于创建所述用户标识用于在所述基于分组的通信网络中使用的装置,所述用户标识根据预先确定的规则从所述另外的用户标识导出;以及用于将所述用户标识存储在所述基于分组的通信网络中供所述基于分组的通信网络上的随后的通信事件使用的装置。
根据本发明的另一个方面,提供了授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的方法,包括:在连接到所述第二基于分组的通信网络的网络实体处接收创建用户标识的请求,所述请求从连接到所述第一基于分组的通信网络的第一网络实体被传送并且包括被用在所述第一基于分组的通信网络中的第一用户标识;所述网络实体创建所述用户标识用于在所述第二基于分组的通信网络中使用,所述用户标识根据预先确定的规则从所述第一用户标识导出;并且所述网络实体将所述用户标识存储在所述第二基于分组的通信网络中供所述第二基于分组的通信网络上的随后的通信事件使用。
根据本发明的另一个方面,提供了计算机程序产品,所述计算机程序产品包括程序代码装置,当所述程序代码装置被计算机执行时,其实现根据上述方法所述的步骤。
为了更好地理解本发明并且为示出可以如何同样地实现本发明,现在将通过举例的方式对附图进行参考,在附图中:
图1示出包括主通信网络以及影子通信网络的系统;
图2示出了执行客户端软件的用户终端的结构;
图3示出了包括主通信网络以及影子通信网络的系统,其中用户在所述影子网络上自动注册;
图4示出了用于在所述影子网络上注册用户的过程;以及
图5示出了用于为访问影子网络帐户信息建立安全的用户名及密码的过程。
首先对图1进行参考,其示出包括具有组合的、能共同操作的认证方案的两个独立的通信网络的系统。
所述系统的第一用户(被标记为“用户A”102)操作用户终端104,该用户终端104被示出为连接到网络106,诸如因特网。所述用户终端104可以是例如个人计算机(″PC″)、个人数字助理(″PDA″)、移动电话、游戏设备或者能够连接到所述网络106的其他嵌入设备。所述用户终端104具有诸如屏幕的显示器以及键盘和鼠标。所述用户终端104经诸如调制解调器的网络接口108被连接到所述网络106,并且所述用户终端104和所述网络接口108之间的连接可以经线缆(有线)连接或者无线连接。
所述用户终端104运行客户端110。所述客户端110是在所述用户终端104中的本地处理器上被执行的软件程序。所述用户终端104也被连接到听筒112,其包括扬声器和麦克风以允许所述用户在语音通话中听和说。所述麦克风和扬声器不一定必须以传统的电话听筒的形式,而可以具有集成麦克风的头戴式耳机或者耳塞式耳机的形式,或者作为独立地连接到所述用户终端104的分开的扩音器和麦克风。
同样连接到网络106的是系统的至少一个其他用户。举例来说,图1示出操作用户终端116并且经网络接口118连接到所述网络106的用户B 114。用户终端116执行包括与在用户A 102的用户终端104上被执行的客户端110相似的功能的客户端软件120,并且该用户终端116被连接到话筒122。注意,在实践中,可以有非常大数量的用户连接到所述系统,但是为清楚起见没有在图1中被示出。
在因特网106内示出了即时通信网络124以及VoIP网络126。这两个网络使用因特网106作为它们的通信基础设施,但是它们在概念上是独立的。在这个示例实施例中,所述IM网络124被称作“主”网络,并且所述VoIP网络126被称作“影子”网络。注意在这个示例中,所述VoIP网络是P2P VoIP网络。然而,在其他实施例中,非P2P VoIP也可以被使用。IM网络以及VoIP网络的使用仅是示例,并且通过这种方案可以使其他类型的通信网络能共同操作。
连接到所述IM(主)网络124的是IM服务器128,其在IM会话中提供了用户之间的连接。在可替换的实施例中,所述IM网络124可以使用非中心化(non-centralised)的IM系统,诸如对等系统,在这种情况下所述IM服务器128不被需要。同样连接到所述IM网络124的是主网络后端服务器130。
连接到所述VoIP(影子)网络126的是影子网络后端服务器132。所述主网络后端服务器130被连接到所述影子网络后端服务器132,并且这些服务器可以通过使用服务器到服务器的应用编程接口(″API″)134而彼此通信。
图1也示出了用户A 102与用户B 114可以怎样使用IM通信。举例来说,使用所述客户端110的用户A 102通过向所述主网络后端服务器130提供认证信息来登陆所述IM网络124。优选地,所述认证信息以用户名和密码的形式。这在图1中通过箭头136被示出。如果用户A 103成功地被认证,则用户A 102可以使用所述IM系统来与其他用户通信。举例来说,如果用户B 114也登陆所述IM网络124(通过相似的认证过程,未示出),则用户A可以发起与用户B的IM聊天。这可以通过用户A 102从被显示在所述客户端110中的联系人列表中选择用户B 114来实现。
在图1所示的示例中,所述IM网络124使用中心化的IM服务器128来建立用户之间的连接。用户A 102的客户端110与所述IM服务器128通信来确定用户B 114的客户端120的网络地址(箭头138)。一旦用户B的客户端的网络地址已知,则连接经所述IM服务器128在用户A 102和用户B 114之间被建立(如用箭头140所示出的那样)。用户A可以使用终端104键入消息,并且这个消息被传送到用户B 114的终端116,该消息可以在该终端116中被读取。相似地,用户B 114可以回复所述消息,并且这个回复被传送到用户A的终端104。
注意在一些实施例中,所述IM服务器128以及所述主网络后端服务器130的功能可以被集成到单个网络元件中。
在图1所示的示例中,所述主网络124仅能够提供单个通信类型-即时通信。对于所述IM网络的供应商的一方可能有扩展他们的系统的功能以提供另外的通信类型,诸如VoIP的愿望。这因而将允许用户使用被用于所述IM会话的相同的单个的联系人列表来发起与彼此的语音会话。然而,可靠的、高质量的VoIP客户端的实现非常复杂,并且将需要对现有的客户端的大规模开发。这些问题可以通过与现有的VoIP软件供应商合作来克服,如在下文中所描述的那样。
现有的、独立的VoIP网络可以被用于提供语音通信来扩展所述主网络的功能。因为主导地使所述用户无法察觉所述独立的网络对于语音通话的使用,所以所述VoIP网络被称为影子网络。被用于访问所述IM网络的客户端软件被修改以允许其访问所述影子网络并且进行语音通话,并且由于所述影子网络的软件供应商已经具有供他们自己的、独立的客户端使用的、完成这个任务所需要的软件,这可以相对容易地被实现。
图2示出所述用户终端(104)的细节图,客户端100在该用户终端(104)上被执行,该客户端110已被修改用于允许在所述影子网络上进行语音通话。所述用户终端104包括中央处理单元(″CPU″)202,连接到该中央处理单元202的是诸如屏幕的显示器204、诸如键盘的输入设备206、诸如鼠标的定位设备208、扬声器210以及麦克风212。所述扬声器210和麦克风212可以被集成到话筒112中或者头戴式耳机中,或者可以是独立的。所述CPU 202被连接到网络接口108,如图1所示。
图2也示出了在所述CPU 202上执行的操作系统(″OS″)214。在所述OS 215上层运行的是用于所述客户端110的软件堆栈216。所述软件堆栈示出协议层218、IM引擎层220、VoIP引擎层222以及客户端用户接口层(″UI″)224。每个层负责特定的功能。因为每个层通常与两个其他层通信,它们被看作以堆栈形式被布置,如图2所示。所述操作系统214管理所述计算机的硬件资源并且处理经所述网络接口108被传送去往及来自客户端及所述网络的数据。所述客户端软件的客户端协议层222与所述操作系统214通信并且管理因特网上的通信连接。
所述IM引擎层220包括被需要用于在所述主网络124上发送并且接收IM消息的功能,举例来说如参考图1所描述的那样。所述VoIP引擎层222包括被需要用于在所述影子网络上进行并且接收VoIP语音通话的功能。典型地,所述VoIP引擎层222通过所述影子网络的软件供应商被提供给所述IM网络的运营商。
在所述IM引擎层220以及所述VoIP引擎层222上面是客户端用户接口层218。所述客户端用户接口层218经单个用户接口向所述用户呈现信息,无论是所述主网络(经所述IM引擎)还是影子网络(经所述VoIP引擎)正被使用。特别地,单个联系人列表被提供给所述用户,并且可以使用所述主网络或者影子网络来建立与这些联系人的通信。
因此,图2所示的客户端结构向所述用户提供连接到所述IM(主)网络124以得到即时通讯通信或者连接到所述VoIP(影子)网络126以得到语音通话的能力。然而,由于所述影子网络是与所述主网络完全独立的网络,并且不在所述客户端软件的供应商的控制下,所述主网络的用户不向所述影子网络注册。因此,所述影子网络不了解所述主网络的用户。所述主网络的用户因此不能登陆所述影子网络。
对于所述用户不希望的是独立地向所述影子网络注册,并且因此提供除了被用于所述IM网络的那个之外的另一个用户名和密码。此外,也不希望的是提示所述用户登陆(即输入用户名和密码)两次-一次用于所述主网络并且一次用于所述影子网络。
图3和图4所示的过程示意了允许所述主网络的用户在所述影子网络上自动注册的组合认证方案,使得所述用户能够以单个用户名和用户登陆所述主网络以及影子网络。
图3和4所示的过程在所述用户第一次使用如图2所示的经修改的客户端(包括所述VoIP引擎)登陆所述主网络时被执行。首先参考图4,在步骤S402中,用户A 102将他的用于所述主网络的用户名和密码输入被显示在他的用户终端104上的客户端用户接口中。在步骤S404中,所述用户名和密码在认证请求消息内被传送到所述主网络后端服务器130。这在图3中如箭头302所示。
主网络后端服务器130处理所述认证请求以确认所述用户名和密码。如果所述用户名和密码是有效的,则所述主网络后端服务器130确定这个用户是否已经在所述影子网络126上注册。由于这是用户A102第一次使用经修改的客户端110,用户A 102还没有向所述影子网络注册。响应确定用户A 102还没有向所述影子网络注册,在图4中所述主网络后端服务器130在步骤S406中向所述影子网络后端服务器132传送“创建用户”请求消息(在图3中如箭头304所示)。所述“创建用户”请求消息包括用户A在所述主网络中的用户名。
响应“创建用户”请求消息,所述影子网络后端服务器132在所述影子网络上为用户A创建帐户。为完成这个操作,必须在所述影子网络中创建用于用户A的用户名。优选使用的用户名将与在所述主网络中所使用的相同,因为这已经需要由所述用户在登陆所述主网络时输入到所述客户端中。然而,由于所述影子网络是具有预先存在的用户基础(user-base)的预先存在的网络,不能被保证的是这个用户名是唯一的,并且还没有被另一个用户采用。因此,已知是唯一的新的用户名由所述影子网络后端服务器132创建,但是可以从所述主网络用户名容易地获得。
为了创建所述影子用户名,字符序列被放在所述主网络用户名之前。所述字符序列包含所述影子网络的其他用户不能在用户名中使用的至少一个特定的字符或者字符的组合。举例来说,如果所述主网络中的用户名为“usera123”,则所述影子网络用户名可以被创建为“xyz:usera123”。序列“xyz:”包含冒号字符,其不能被所述影子网络的普通用户使用。字母“xyz”标识所述主网络的运营商。因此,所述影子网络可以确定所述影子网络的预先存在的用户都不具有用户名起始“xyz:”并且因此所述用户名usera123在所述主网络中已知是唯一的,所述组合“xyz:usera123”在所述影子网络中也已知是唯一的。
在可替换的实施例中,不同的方法可以被用于从所述主网络用户名获得所述影子用户名。举例来说,所述字符序列可以被附接于所述用户名,或者被插入所述用户名内的特定位置。所述字符序列也可以像单个控制字符那么短或者更长。作为另外的替换,散列函数可以被用于获得所述影子用户名。
一旦所述影子用户名已经由所述影子网络后端服务器132创建,其被存储供随后在所述影子网络上使用,并且确认在图4的步骤S408中被返回所述主网络后端。证实成功登陆的确认在步骤S410中从所述主网络后端服务器130被发送到所述客户端(图3中的箭头306)。注意使用户无法察觉在所述影子网络上注册所述影子用户名的过程--所述用户仅需要输入用于所述主网络的用户名和密码,并且在所述影子网络上的注册自动地被执行。
注意如果用户A 102先前已经通过经修改的客户端登陆所述主网络,则已为用户A创建了影子用户名,并且步骤S406和S408被跳过。
在成功登陆的确认之后,所述客户端110自动地尝试登陆所述VoIP影子网络。登陆所述VoIP网络的过程由所述客户端110内的VoIP引擎222处理,如图2所示。在图4的步骤S412中,所述客户端110向所述VoIP引擎222发送请求以登陆所述VoIP网络。
如果这是所述客户端第一次登陆所述VoIP网络,则步骤S414到S424需要被执行以得到数字证书来取得对所述VoIP网络的访问。注意数字证书的使用被需要,特别对于P2P VoIP网络。不需要数字证书的其他类型的非P2P VoIP网络也可以被使用,在这种情况下这些步骤被对于其他用户凭证的请求代替,诸如密码。
在步骤S414中,所述VoIP引擎222向所述客户端110发送消息,指示数字证书被需要,并且所述客户端110在步骤S416中将这个消息转发到所述主网络后端服务器130。所述主网络后端服务器130在步骤S418中通过所述服务器到服务器API 134请求所述影子网络后端服务器132提供数字证书。所述数字证书在步骤S420中被提供给所述主网络后端服务器,在步骤S422中被递送到所述客户端110上,并且在步骤424中被提供给所述VoIP引擎222。所述数字证书经所述主网络被请求并且被提供,因为所述影子网络相信所述主网络已在足够的程度上认证了所述用户。换句话说,所述影子网络相信所述主网络已经确保所述用户有资格被授予所述数字证书。
一旦所述VoIP引擎222已被提供所述数字证书,其能够登陆所述VoIP网络。特别地,由于所述VoIP引擎222了解被用于根据所述主用户名创建所述影子用户名的方法,其获得所述用户的影子用户名。所述影子用户名和对应于所述数字证书的私有密钥被用于登陆所述影子网络。注意对于P2P VoIP网络的示例,不需要与中央服务器的通信。当所述VoIP引擎222已成功登陆所述VoIP网络时,则证实消息在步骤S426中被发送给所述客户端110,并且所述用户A在步骤S428中被通知。
一旦在图4中所概述的过程完成,则用户A 102被连接所述主网络以及影子网络两者到并且在这两个网络上都在线。因此,用户A 102可以在所述主网络124上提出并且接收IM消息,并且在所述网络元件上进行并且接收VoIP通话。
举例来说,如果用户B 114也被连接到所述影子网络,则用户A102可以使用VoIP呼叫用户B 114。为呼叫用户B 114,用户A 102选择在所述客户端110的联系人列表中所显示的用于用户B的联系人。为了在所述VoIP网络上建立所述通话,所述客户端110必须知道用户B 114的用户名。用户B在所述主网络中的用户名对于用户A102是已知的,因为用户B 114被列在用户A的联系人列表中。所述客户端110也知道所述影子网络中的用户名被获得的方法。举例来说,如果所述客户端具有被存储用于用户B 114的所述主网络用户名“userb987”,则所述客户端将所述序列“xyz:”放在这个用户名之前以形成用于用户B 114的影子用户名“xyz:userb987”。所述客户端110因此可以使用所述影子用户名来建立与用户B 114的客户端120的通话,如在图3中通过箭头308所示的那样。
因此,所述客户端110能够为所述联系人中用于其的主网络用户名也已知的任意一个联系人构建所述影子用户名。相似地,所述系统的另一个用户(诸如用户B 114)可以构建用户A 102的影子用户名,并且使用这个影子用户名向用户A 102发出通话。
上述系统及方法因此允许影子网络与主网络组合来补充由所述主网络所提供的服务。所述主网络的用户不需要了解所述影子网络存在,并且不被要求采取任何行动以利用所述影子网络的服务。所述注册及认证过程自动地被执行。所述用户也不需要改变其联系人列表的任何方面以使用所述影子网络与他的联系人通信,因为向所述影子网络注册的联系人的用户名可从所述主网络的用户名获得。
可能由分开的主网络和影子网络的使用引起的问题在于所述两个网络之间的安全等级的不一致。举例来说,如果所述主网络是IM网络,则其不提供用户必须付费的任何收费服务。在这个网络中的安全等级因此可能相当低,因为没有经济信息。另一方面,可以作为影子网络的VoIP网络可能提供付费服务。举例来说,所述用户可能需要为与公共交换电话网络(″PSTN″)进行的通话或者为从PSTN接收通话而付费。
由于所述主网络中的安全等级可能相当低,恶意第三方有可能得到所述主网络中的用户的用户名和密码。这将因此允许它们登陆所述主网络和影子网络两者,如上所述。这可能是问题,因为其将允许所述恶意第三方得到对所述影子网络中的用户的帐户的访问,这如上所述可能涉及付费服务。
为避免安全问题,所述用户被提示建立独立的用户名和密码来访问他们在所述影子网络中的帐户信息。用于实现这个操作的过程在下文中参考图5被描述。用于所述用户的帐户信息在互联网浏览器502中被查看,所述互联网浏览器502在所述用户的用户终端上被执行,并且所述帐户信息本身被保持在被称为网络存储器的服务器504上,该网络存储器被连接到所述VoIP网络126。
在图5中所描述的过程在所述用户第一次使用经修改的客户端来访问他的帐户时被执行。在步骤S506中,用户A 102通过在被显示在所述客户端110中的选项上进行选择来请求查看来自所述网络存储器504的他的帐户信息。在步骤S508中,所述客户端生成唯一的数据序列。所述唯一的数据序列被用于为访问所述网络存储器504的初始会话验证所述用户。优选地,所述数据序列包括下列信息中的至少一些:所述数字证书、所述影子用户名、当前时间、所述主网络的名称以及随机数。所述客户端110也根据这个信息生成数字签名用于包括在所述数据序列中。
在步骤S510中,所述客户端110将所述数据序列以及所述网络存储器504的标准资源定位符(″URL″)传递到所述网络浏览器502。在步骤S512中,所述网络浏览器转向(navigate to)所述网络存储器504的URL,并且向所述网络存储器504传递所述数据序列。在步骤S514中,所述网络存储器504将所述数据序列转发到所述影子网络后端132用于步骤S516中的验证。
数据序列的验证包括所述影子网络后端132验证所述数字签名,确认所述数字证书及所述用户的影子用户名,并且检查同样的数据序列之前从未被使用过。所述影子网络后端132也存储所述数据序列,使得其可以与将来要被接收的数据序列比较,以防止其被重新使用。所执行的进一步的验证包括检查存储在所述数据序列中的时间在当前时间的预先确定的范围内--即所述数据序列不是太旧。
如果所有上述验证都成功,则″ok″消息在步骤S518中被发送到所述网络存储器504。响应于此,所述网络存储器504在步骤S520中将网页返回到所述网页浏览器。所述网页在步骤S522中被向用户A 102显示,并且其包括用于所述用户建立可以被用于访问所述网络存储器504的用户名和密码的域。一旦所述用户选择了用户名和密码,所述网络存储器504中的信息可以被向所述用户显示。所述网络存储器504存储被选择的用户名和密码,并且随后对所述网络存储器504的所有访问需要这个用户名和密码被输入。
虽然已经参考优选的实施例具体地示出并且描述了本发明,将理解的是对于本领域的技术人员,形式以及细节上的各种改变可以被进行而不背离由随附的权利要求所定义的本发明的范围。举例来说,代替主网络是IM网络并且影子网络是VoIP网络,相反的场景可以适用。相似地,提供视频通话的网络可以被用作主网络或者影子网络。此外,可以使用上述技术使两个相似的但是独立的网络能共同操作。举例来说,两个独立的IM网络,每个都具有不同的用户组,这两个网络可以使用这种技术共同操作来允许所述用户组彼此通信。事实上,上述方案可以被用于补充任何基于分组的通信网络,通过添加合适的辅助影子网络,通过使用自动被创建的影子帐户与该影子网络链接。
Claims (38)
1.一种授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的方法,所述方法包括:
在所述第一基于分组的通信网络的第一网络元件处接收来自所述用户的用户终端的授权请求,所述授权请求包括第一用户标识;
响应所述授权请求,从所述第一网络元件向所述第二基于分组的通信网络的第二网络元件传送创建第二用户标识的请求;
所述第二网络元件创建所述第二用户标识用于在所述第二基于分组的通信网络中使用,所述第二用户标识可根据预先确定的规则从所述第一用户标识导出;以及
将所述第二用户标识存储在所述第二基于分组的通信网络中供所述第二基于分组的通信网络上的随后的通信事件使用。
2.根据权利要求1所述的方法,其特征在于,其中所述预先确定的规则包括将所述第一用户标识与预先定义的标记组合。
3.根据权利要求1所述的方法,其特征在于,其中所述预先确定的规则包括将所述第一用户标识与至少一个预先定义的控制字符级连。
4.根据权利要求1所述的方法,其特征在于,其中所述预先确定的规则是散列函数。
5.根据权利要求1所述的方法,其特征在于,其中所述第一基于分组的通信网络是即时通信网络。
6.根据权利要求1所述的方法,其特征在于,其中所述第二基于分组的通信网络是互联网协议语音网络。
7.根据权利要求6所述的方法,其特征在于,其中所述互联网协议语音网络是对等网络。
8.根据权利要求6或者7所述的方法,其特征在于,其中所述通信事件是语音呼叫。
9.根据权利要求6或者7所述的方法,其特征在于,其中所述通信事件是视频呼叫。
10.根据权利要求1-6中任意一项权利要求所述的方法,其特征在于,所述方法还包括呼叫用户终端在所述第二基于分组的通信网络上发起与所述用户的通信事件的步骤。
11.根据权利要求10所述的方法,其特征在于,其中所述呼叫用户终端发起与所述用户的所述通信事件的步骤包括所述呼叫用户终端使用所述预先确定的规则从所述第一用户标识导出所述第二用户标识,并且使用所述第二用户标识在所述第二基于分组的通信网络上建立与所述用户的连接。
12.根据权利要求1-6中任意一项权利要求所述的方法,其特征在于,所述方法还包括所述用户终端在所述第二基于分组的通信网络上发起与另外的用户的通信事件的步骤。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括所述用户终端存储所述用户的联系人列表的步骤,所述联系人列表包括所述联系人在所述第一基于分组的通信网络中的用户标识。
14.根据权利要求13所述的方法,其特征在于,其中所述发起与所述另外的用户的所述通信事件的步骤包括从所述联系人列表中选择所述另外的用户,使用所述预先确定的规则从存储在所述联系人列表中的在所述第一基于分组的通信网络中的用户标识导出所述另外的用户在所述第二基于分组的通信网络中的用户标识,并且使用所述另外的用户在所述第二基于分组的通信网络中的所述用户标识来在所述第二基于分组的通信网络上建立与所述另外的用户的连接。
15.根据权利要求1-6中任意一项权利要求所述的方法,其特征在于,其中在所述第一网络元件处被接收的所述授权请求还包括密码。
16.根据权利要求1-6中任意一项权利要求所述的方法,其特征在于,所述方法还包括所述用户终端使用所述预先确定的规则从所述第一基于分组的通信网络导出所述第二用户标识并且向所述第二基于分组的通信网络传送包括所述第二用户标识的授权请求的步骤。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括所述用户终端向所述第一网络元件传送对数字证书的请求,所述第一网络元件向所述第二网络元件请求所述数字证书,所述第二网络元件向所述第一网络元件提供所述数字证书,并且所述第一网络元件向所述用户终端提供所述数字证书的步骤。
18.根据权利要求17所述的方法,其特征在于,其中从所述数字证书导出私有密钥,并且其中被传送给所述第二基于分组的通信网络的所述授权请求包括所述私有密钥。
19.根据权利要求17或者18所述的方法,其特征在于,其中所述数字证书在发起通信事件之前被提供给所述第二基于分组的通信网络。
20.一种包括连接到第一基于分组的通信网络的第一网络元件以及连接到第二基于分组的通信网络的第二网络元件的系统,其中所述第一网络元件被布置为从用户终端接收包括第一用户标识的授权请求并且响应所述授权请求向所述第二网络元件传送创建第二用户标识的请求,并且所述第二网络元件被布置为创建所述第二用户标识用于在所述第二基于分组的通信网络中使用,所述第二用户标识可根据预先确定的规则从所述第一用户标识导出,并且存储所述第二用户标识供所述第二基于分组的通信网络上的随后的通信事件使用。
21.根据权利要求20所述的系统,其特征在于,其中所述预先确定的规则包括将所述第一用户标识与预先定义的标记组合。
22.根据权利要求20所述的系统,其特征在于,其中所述预先确定的规则包括将所述第一用户标识与至少一个预先定义的控制字符级连。
23.根据权利要求20所述的系统,其特征在于,其中所述预先确定的规则是散列函数。
24.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,其中所述第一基于分组的通信网络是即时消息网络。
25.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,其中所述第二基于分组的通信网络是互联网协议语音网络。
26.根据权利要求25所述的系统,其特征在于,其中所述互联网协议语音网络是对等网络。
27.根据权利要求25所述的系统,其特征在于,其中所述通信事件是语音呼叫。
28.根据权利要求25所述的系统,其特征在于,其中所述通信事件是视频呼叫。
29.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,所述系统还包括呼叫用户终端,所述呼叫用户终端被布置为在所述第二基于分组的通信网络上发起与所述用户的通信事件。
30.根据权利要求29所述的系统,其特征在于,其中所述呼叫用户终端包括用于使用所述预先确定的规则从所述第一用户标识导出所述第二用户标识的装置,以及用于使用所述第二用户标识在所述第二基于分组的通信网络上建立与所述用户的连接的装置。
31.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,其中所述用户终端包括用于在所述第二基于分组的通信网络上发起与另外的用户的通信事件的装置。
32.根据权利要求31所述的系统,其特征在于,其中所述用户终端还包括用于存储所述用户的联系人列表的装置,所述联系人列表包括所述联系人在所述第一基于分组的通信网络中的用户标识。
33.根据权利要求32所述的系统,其特征在于,其中所述用于发起与所述另外的用户的通信事件的装置包括用于从所述联系人列表中选择所述另外的用户的装置,用于使用所述预先确定的规则从存储在所述联系人列表中的在所述第一基于分组的通信网络中的所述用户标识导出所述另外的用户在所述第二基于分组的通信网络中的用户标识的装置,以及用于使用所述另外的用户在所述第二基于分组的通信网络中的所述用户标识在所述第二基于分组的通信网络上建立与所述另外的用户的连接的装置。
34.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,其中在所述第一网络元件处被接收的所述授权请求还包括密码。
35.根据权利要求20至23中任意一项权利要求所述的系统,其特征在于,其中所述用户终端包括用于使用所述预先确定的规则从所述第一基于分组的通信网络导出所述第二用户标识并且向所述第二基于分组的通信网络传送包括所述第二用户标识的授权请求的装置。
36.一种连接到基于分组的通信网络的网络元件,所述网络元件包括:
用于从连接到另外的基于分组的通信网络的另外的网络实体接收创建用户标识的请求的装置,所述请求包括在所述另外的基于分组的通信网络中使用的另外的用户标识;
用于创建所述用户标识用于在所述基于分组的通信网络中使用的装置,所述用户标识可根据预先确定的规则从所述另外的用户标识导出;以及
用于将所述用户标识存储在所述基于分组的通信网络中供所述基于分组的通信网络上的随后的通信事件使用的装置。
37.一种授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的方法,所述方法包括:
在连接到所述第二基于分组的通信网络的网络实体处接收创建用户标识的请求,所述请求从连接到所述第一基于分组的通信网络的第一网络实体被传送并且包括在所述第一基于分组的通信网络中使用的第一用户标识;
所述网络实体创建所述用户标识用于在所述第二基于分组的通信网络中使用,所述用户标识可根据预先确定的规则从所述第一用户标识导出;
所述网络实体将所述用户标识存储在所述第二基于分组的通信网络中供所述第二基于分组的通信网络上的随后的通信事件使用。
38.一种授权第一基于分组的通信网络的用户访问第二基于分组的通信网络的设备,所述设备包括:
用于在连接到所述第二基于分组的通信网络的网络实体处接收创建用户标识的请求的装置,所述请求从连接到所述第一基于分组的通信网络的第一网络实体被传送并且包括在所述第一基于分组的通信网络中使用的第一用户标识;
用于在所述网络实体中创建所述用户标识用于在所述第二基于分组的通信网络中使用的装置,所述用户标识可根据预先确定的规则从所述第一用户标识导出;
用于在所述网络实体中将所述用户标识存储在所述第二基于分组的通信网络中供所述第二基于分组的通信网络上的随后的通信事件使用的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0722370.4A GB0722370D0 (en) | 2007-11-14 | 2007-11-14 | Authentication system and method |
| GB0722370.4 | 2007-11-14 | ||
| PCT/EP2008/053719 WO2009062760A1 (en) | 2007-11-14 | 2008-03-28 | Authentication system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101919225A CN101919225A (zh) | 2010-12-15 |
| CN101919225B true CN101919225B (zh) | 2013-11-20 |
Family
ID=38896306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801251048A Active CN101919225B (zh) | 2007-11-14 | 2008-03-28 | 认证系统及方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8170185B2 (zh) |
| EP (1) | EP2218239B1 (zh) |
| CN (1) | CN101919225B (zh) |
| GB (1) | GB0722370D0 (zh) |
| TW (1) | TWI456962B (zh) |
| WO (1) | WO2009062760A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0722370D0 (en) | 2007-11-14 | 2007-12-27 | Skype Ltd | Authentication system and method |
| US8477916B2 (en) | 2007-11-14 | 2013-07-02 | Microsoft Corporation | Authorizing access between communication networks |
| US8380872B2 (en) * | 2009-12-31 | 2013-02-19 | Nice Systems Ltd. | Peer-to-peer telephony recording |
| US9143533B2 (en) | 2010-10-12 | 2015-09-22 | Skype | Integrating communications |
| US8578452B2 (en) * | 2011-04-27 | 2013-11-05 | Gemalto Sa | Method for securely creating a new user identity within an existing cloud account in a cloud computing system |
| US9398048B2 (en) * | 2011-05-26 | 2016-07-19 | Skype | Authenticating an application to access a communication system |
| CN103139262A (zh) * | 2011-11-25 | 2013-06-05 | 上海聚力传媒技术有限公司 | 一种为网页资源播放器提供资源访问数据的方法与设备 |
| US10089603B2 (en) | 2012-09-12 | 2018-10-02 | Microsoft Technology Licensing, Llc | Establishing a communication event |
| KR101788495B1 (ko) * | 2013-12-20 | 2017-11-15 | 맥아피 인코퍼레이티드 | 지역/홈 네트워크를 위한 보안 게이트 |
| US9967260B1 (en) * | 2015-01-26 | 2018-05-08 | Microstrategy Incorporated | Enhanced authentication security |
| GB201512043D0 (en) | 2015-07-09 | 2015-08-19 | Microsoft Technology Licensing Llc | Client confirmation method and system |
| US10708268B2 (en) * | 2017-07-31 | 2020-07-07 | Airwatch, Llc | Managing voice applications within a digital workspace |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1523811A (zh) * | 2003-02-10 | 2004-08-25 | 用户连接因特网时认证网络访问的用户的方法和系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1202681C (zh) * | 2000-10-09 | 2005-05-18 | 诺基亚公司 | 建立网络单元之间的连接的方法和系统 |
| US7529853B2 (en) * | 2003-06-25 | 2009-05-05 | Oracle International Corporation | Universal IM and presence aggregation on technology-specific client |
| RU2315438C2 (ru) | 2003-07-16 | 2008-01-20 | Скайп Лимитед | Одноранговая телефонная система |
| US8630401B2 (en) | 2004-01-22 | 2014-01-14 | Verizon Business Global Llc | Method and system for extended directory service |
| US20060168015A1 (en) * | 2004-11-30 | 2006-07-27 | Brian Fowler | Instant messenger as a web-based communicator |
| US7792253B2 (en) * | 2005-10-27 | 2010-09-07 | International Business Machines Corporation | Communications involving devices having different communication modes |
| CA2631778A1 (en) * | 2005-12-01 | 2007-10-25 | Qualcomm Incorporated | Method and apparatus for supporting different authentication credentials |
| US7643473B2 (en) * | 2006-04-06 | 2010-01-05 | Microsoft Corporation | Instant messaging with audio connection formation |
| KR100856231B1 (ko) * | 2006-04-10 | 2008-09-03 | 삼성전자주식회사 | 인스턴트 메신저 사용 방법 및 장치 |
| GB0722370D0 (en) | 2007-11-14 | 2007-12-27 | Skype Ltd | Authentication system and method |
| US8477916B2 (en) | 2007-11-14 | 2013-07-02 | Microsoft Corporation | Authorizing access between communication networks |
-
2007
- 2007-11-14 GB GBGB0722370.4A patent/GB0722370D0/en not_active Ceased
- 2007-12-21 US US12/005,155 patent/US8170185B2/en not_active Expired - Fee Related
-
2008
- 2008-03-28 CN CN2008801251048A patent/CN101919225B/zh active Active
- 2008-03-28 WO PCT/EP2008/053719 patent/WO2009062760A1/en active Application Filing
- 2008-03-28 EP EP08735557.4A patent/EP2218239B1/en active Active
- 2008-11-13 TW TW097143865A patent/TWI456962B/zh not_active IP Right Cessation
-
2012
- 2012-04-30 US US13/460,164 patent/US8422650B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1523811A (zh) * | 2003-02-10 | 2004-08-25 | 用户连接因特网时认证网络访问的用户的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8170185B2 (en) | 2012-05-01 |
| GB0722370D0 (en) | 2007-12-27 |
| CN101919225A (zh) | 2010-12-15 |
| EP2218239B1 (en) | 2016-10-26 |
| TW200931917A (en) | 2009-07-16 |
| US20090122968A1 (en) | 2009-05-14 |
| TWI456962B (zh) | 2014-10-11 |
| US20120216263A1 (en) | 2012-08-23 |
| EP2218239A1 (en) | 2010-08-18 |
| WO2009062760A1 (en) | 2009-05-22 |
| US8422650B2 (en) | 2013-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101919225B (zh) | 认证系统及方法 | |
| CN102859962B (zh) | 在客户计算设备之间建立在线通信会话 | |
| CN101394371B (zh) | 用于实现聊天应用程序代理服务器的方法和系统 | |
| US9210729B2 (en) | Communication system and method | |
| KR102041172B1 (ko) | 세션 개시 방법 및 기기 | |
| CN102859982B (zh) | 在第一用户和第二用户之间建立呼叫 | |
| CN101341720A (zh) | 虚拟通用即插即用控制点 | |
| CN101675639A (zh) | 用于向用户设备提供辅助信息的方法、系统和用户设备 | |
| EP2356791A1 (en) | Communication system and method | |
| JP2005537701A (ja) | インターネットプロトコル(voip)通信において音声のデジタル証明書を登録し自動的に検索する方法およびシステム | |
| KR20110042711A (ko) | 개인 네트워크를 이용한 서비스 제공 방법 및 장치 | |
| CN102970362A (zh) | 一种云端数据共享的方法及装置 | |
| CN101485173A (zh) | 远程更新存在服务器上的用户状态 | |
| CN102257783B (zh) | 用于在移动通信网络中提供聊天/VoIP服务的方法以及网络服务器和移动用户设备 | |
| CN102090049A (zh) | 网络系统、通信终端、通信方法和通信程序 | |
| WO2007074959A1 (en) | System for providing share of contents based on packet network in voice comunication based on circuit network | |
| CN102215216A (zh) | 在电路交换呼叫和视频呼叫之间转换 | |
| CN101669354A (zh) | 用于通信设备之间基于事件的信息同步的方法和装置 | |
| CN101507181A (zh) | 用于实时通信的设备到pc的认证 | |
| JP4850179B2 (ja) | グループネットワーク形成方法及びグループネットワークシステム | |
| JP2003060714A (ja) | カスタムサービス提供方法 | |
| JP2008028498A (ja) | コンテンツ再生装置及びコンテンツ提供装置 | |
| KR101531198B1 (ko) | 푸쉬 메시지를 이용하여 인증을 수행하는 호 처리 장치 및 방법 | |
| US8477916B2 (en) | Authorizing access between communication networks | |
| CN104767754A (zh) | 为在线通信会话注册客户计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: Dublin, Ireland Applicant after: Scape Co., Ltd. Address before: Dublin, Ireland Applicant before: Skype Ltd. Address after: Dublin, Ireland Applicant after: Scape Co., Ltd. Address before: Dublin, Ireland Applicant before: Skype Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200513 Address after: Washington State Patentee after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Ai Erlandubailin Patentee before: Skype |