用於在對等覆蓋網絡中進行用戶身份認證的裝置和方法

2023-06-05 20:27:31

專利名稱：用於在對等覆蓋網絡中進行用戶身份認證的裝置和方法
用於在對等覆蓋網絡中進行用戶身份認證的裝置和方法根據35U. S. C. § 119的優先權要求本專利申請要求於2009年3月26日提交的題為「METHOD FOR USER IDENTITY AUTHENTICATION IN PEER-TO-PEER OVERLAY NETWORKS (用於在對等覆蓋網絡中進行用戶身份認證的方法)」的臨時申請No. 61/163，821的優先權，其已轉讓給本專利申請受讓人並因而被明確援引納入於此。背景領域本發明一般涉及對等覆蓋網絡中的用戶身份認證。背景對等(P2P)覆蓋網絡是為更好的可伸縮性、更容易的用戶交互以及更容易的應用部署所設計的。此類網絡是相對開放的，因為用戶可以隨意加入和離開。與此類動態用戶參與相關聯的一個問題是用戶身份的不確定性。為了在對等網絡上啟用諸如社交網絡化和文件共享之類的應用，希望有一致且可驗證的用戶身份。另外，為了對等網絡的安全性，需要建立用戶身份以允許營造用戶聲譽並且允許對用戶行為進行反饋。一種用於對等網絡中的用戶身份的簡單解決方案是允許這些用戶宣稱他們自己的身份並將所宣稱的身份用在隨後的覆蓋應用中。此辦法具有缺點。一個缺點是在準許用戶進入P2P系統期間認證所宣稱的身份的困難性，因為在用戶與P2P覆蓋之間將沒有先前建立的認證憑證。另一缺點是覆蓋中的對等方驗證其他對等方的身份的困難性。在用戶加入覆蓋之後，該用戶就能在與其他對等方通信時使用任意的用戶id，並且其他用戶將無從驗證所宣稱的身份。因此，需要用於對等覆蓋網絡中的用戶身份認證的技術。概述本發明的一方面可在於一種用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法。在該方法中，覆蓋網絡的憑證伺服器接收來自正加入的對等方設備的註冊用戶身份。憑證伺服器向身份提供者驗證該註冊用戶身份。一旦在憑證伺服器處接收到來自身份提供者的對該註冊用戶身份的成功驗證，該憑證伺服器就向正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證此正加入的對等方設備的註冊用戶身份，其中經籤署的證書是由憑證伺服器的私鑰籤署的。在本發明的更詳細的方面，覆蓋網絡中的每個經認證對等方設備可以具有憑證伺服器的公鑰，該公鑰允許每個經認證對等方設備驗證正加入的對等方設備的經籤署的證書的來源是憑證伺服器。憑證伺服器可以使用OpenID協議以向身份提供者驗證註冊用戶身份。經籤署的證書可包括經驗證的註冊用戶身份以及正加入的對等方設備的公鑰。經籤署的證書還可包括由憑證伺服器指派用於網絡操作的節點身份。另外，覆蓋網絡中的至少一個經認證對等方設備可能不能與身份提供者建立連接以驗證註冊用戶身份。在本發明的更詳細的方面，正加入的對等方設備的註冊用戶身份可以是諸如電子郵件地址之類的全局唯一性標識符。另外，註冊用戶身份可以是向第三方身份提供者註冊的。本發明的另一方面可在於一種具有對正加入對等覆蓋網絡的對等方設備的用戶身份認證的憑證伺服器。該憑證伺服器可包括用於接收來自正加入的對等方設備的註冊用戶身份的裝置，用於向身份提供者驗證該註冊用戶身份的裝置，以及用於一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份的裝置，其中該經籤署的證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種具有對正加入對等覆蓋網絡的對等方設備的用戶身份認證的憑證伺服器中。該憑證伺服器可包括配置成執行以下動作的處理器接收來自正加入的對等方設備的註冊用戶身份，向身份提供者驗證該註冊用戶身份，以及一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，其中該經籤署的證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種包括計算機可讀介質的電腦程式產品，該計算機可讀介質包括用於使計算機接收來自正加入的對等方設備的註冊用戶身份的代碼，用於使計算機向身份提供者驗證該註冊用戶身份的代碼，以及用於一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就使計算機向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份的代碼，其中該經籤署的證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法。在該方法中，正加入的對等方設備向憑證伺服器提供註冊用戶身份。憑證伺服器向網絡中的每個經認證的對等方設備提供公鑰，該公鑰允許每個經認證的對等方設備驗證來自憑證伺服器的消息。憑證伺服器向身份提供者驗證該註冊用戶身份。一旦在憑證伺服器處接收到來自身份提供者的對註冊用戶身份的成功驗證，憑證伺服器就向正加入的對等方設備頒發證書以供由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份。該證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種具有用於加入對等覆蓋網絡的用戶身份認證的設備。該設備可包括用於向憑證伺服器提供正加入的對等方設備的註冊用戶身份的裝置，其中該憑證伺服器向網絡中的每個經認證對等方設備提供公鑰，該公鑰允許每個經認證的對等方設備驗證來自該憑證伺服器的消息；以及用於一旦憑證伺服器向身份提供者成功驗證了該註冊用戶身份就接收來自憑證伺服器的證書的裝置，其中該證書由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。該設備可以包括手錶、頭戴式送受話器、或者感測設備。本發明的另一方面可在於一種具有對正加入對等覆蓋網絡的對等方設備的用戶身份認證的裝置。該裝置可包括配置成執行以下動作的處理器向憑證伺服器提供正加入的對等方設備的註冊用戶身份，其中該憑證伺服器向對等覆蓋網絡中的每個經認證對等方設備提供公鑰，該公鑰允許每個經認證對等方設備驗證來自該憑證伺服器的消息；以及一旦憑證伺服器向身份提供者成功驗證了該註冊用戶身份就接收來自該憑證伺服器的證書， 其中該證書由覆蓋網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種包括計算機可讀介質的電腦程式產品，該計算機可讀介質包括用於使計算機向憑證伺服器提供正加入的對等方設備的註冊用戶身份的代碼，其中該憑證伺服器向對等覆蓋網絡中的每個經認證對等方設備提供公鑰，該公鑰允許每個經認證的對等方設備驗證來自該憑證伺服器的消息；以及用於一旦憑證伺服器向身份提供者成功驗證了該註冊用戶身份就使計算機接收來自該憑證伺服器的證書的代碼，其中該證書由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。附圖簡述

圖1是無線通信系統的示例的框圖。圖2是用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法的流程圖。圖3是用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的系統的框圖。圖4是用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法的示意流圖。圖5是包括處理器和存儲器的計算機的框圖。詳細描述措辭「示例性」在本文中用於表示「用作示例、實例或解說」。本文中描述為「示例性」的任何實施例不必被解釋為優於或勝過其他實施例。參照圖3和圖4，本發明的一個方面可在於一種用於對加入對等(P2P)覆蓋網絡 320的對等方設備310進行用戶身份認證的方法400。在該方法中，覆蓋網絡320的憑證伺服器330接收來自正加入的對等方設備JPD 310的註冊用戶身份(步驟430)。憑證伺服器向身份提供者340驗證該註冊用戶身份(步驟440和450)。一旦在憑證伺服器處接收到來自身份提供者的對該註冊用戶身份的成功驗證，該憑證伺服器就向正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備PD 114用來認證正加入的對等方設備的註冊用戶身份(步驟460)，其中經籤署的證書是由憑證伺服器的私鑰籤署的。覆蓋網絡320中的每個經認證對等方設備114可以具有憑證伺服器330的公鑰 PK,該公鑰1 允許每個經認證的對等方設備驗證正加入的對等方設備310的經籤署的證書的來源是憑證伺服器。經籤署的證書可包括經驗證的註冊用戶身份、憑證伺服器的公鑰冊、 正加入的對等方設備的公鑰、以及由憑證伺服器指派給正加入的對等方設備以供網絡操作的節點身份。覆蓋網絡中的至少一個經認證對等方設備可能不能與身份提供者340建立連接以驗證註冊用戶身份。正加入的對等方設備310的註冊用戶身份可以是諸如電子郵件地址之類的全局唯一性標識符。另外，該註冊用戶身份可以是向第三方身份提供者340註冊的。進一步參照圖5，本發明的另一方面可在於具有用於加入對等覆蓋網絡320的用戶身份認證的憑證伺服器330。該憑證伺服器可包括用於接收來自正加入的對等方設備 310的註冊用戶身份的裝置(處理器510)，用於向身份提供者340驗證該註冊用戶身份的裝置，以及用於一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備114用來認證該正加入的對等方設備的註冊用戶身份的裝置，其中該經籤署的證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種具有對正加入對等覆蓋網絡320的對等方設備的用戶身份認證的憑證伺服器330。憑證伺服器330可包括配置成執行以下動作的處理器 510 接收來自正加入的對等方設備310的註冊用戶身份，向身份提供者340驗證該註冊用戶身份，以及一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備114用來認證該正加入的對等方設備的註冊用戶身份，其中該經籤署的證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種包括計算機可讀介質520(諸如計算機可讀存儲介質)的電腦程式產品，該計算機可讀介質520包括用於使計算機500接收來自正加入的對等方設備310的註冊用戶身份的代碼，用於使計算機向身份提供者340驗證該註冊用戶身份的代碼，以及用於一旦接收到來自該身份提供者的對該註冊用戶身份的成功驗證就使計算機向該正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡320中的經認證對等方設備114用來認證該正加入的對等方設備的註冊用戶身份的代碼，其中該經籤署的證書是由憑證伺服器330的私鑰籤署的。參照圖2和圖3，本發明的一方面可在於一種用於對加入對等(P2P)覆蓋網絡320 的對等方設備310進行用戶身份認證的方法200。在該方法中，正加入的對等方設備向憑證伺服器330提供註冊用戶身份ID (步驟210)。憑證伺服器向網絡中的每個經認證的對等方設備提供公鑰PK，該公鑰1 允許每個經認證的對等方設備驗證來自憑證伺服器的消息 (步驟220)。憑證伺服器向身份提供者340驗證該註冊用戶身份。一旦在憑證伺服器處接收到來自身份提供者的對註冊用戶身份的成功驗證，憑證伺服器就向正加入的對等方設備頒發證書以供由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份(步驟230)。該證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種具有用於加入對等覆蓋網絡320的用戶身份認證的設備500。該設備可包括用於向憑證伺服器330提供正加入的對等方設備310的註冊用戶身份的裝置(處理器510)，其中憑證伺服器向網絡中的每個經認證對等方設備提供公鑰 PK，該公鑰PK允許每個經認證的對等方設備驗證來自憑證伺服器的消息；以及用於一旦憑證伺服器向身份提供者340成功驗證了該註冊用戶身份就接收來自憑證伺服器的證書的裝置，其中該證書供由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。該設備可以包括手錶、頭戴式送受話器、感測設備、或者移動站MS 102。該設備還可包括諸如存儲器之類的存儲介質520、顯示器530、以及諸如鍵盤之類的輸入設備討0。該設備可包括無線連接陽0。本發明的另一方面可在於一種具有用於加入對等覆蓋網絡320的用戶身份認證的裝置500。該裝置可包括配置成執行以下動作的處理器510 向憑證伺服器330提供正加入的對等方設備310的註冊用戶身份，其中該憑證伺服器向對等覆蓋網絡320中的每個經認證的對等方設備提供公鑰PK，該公鑰1 允許每個經認證的對等方設備驗證來自該憑證伺服器的消息；以及用於一旦憑證伺服器向身份提供者340成功驗證了該註冊用戶身份就使計算機接收來自該憑證伺服器的證書的代碼，其中該證書由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。本發明的另一方面可在於一種包括計算機可讀介質520的電腦程式產品，該計算機可讀介質520包括用於使計算機500向憑證伺服器330提供正加入的對等方設備的註冊用戶身份的代碼，其中該憑證伺服器向對等覆蓋網絡320中的每個經認證對等方設備提供公鑰PK，該公鑰1 允許每個經認證的對等方設備驗證來自該憑證伺服器的消息；以及用於一旦憑證伺服器向身份提供者340成功驗證了該註冊用戶身份就使計算機接收來自該憑證伺服器的證書的代碼，其中該證書供由網絡中的經認證對等方設備用來認證該正加入的對等方設備的註冊用戶身份，並且其中該證書是由憑證伺服器的私鑰籤署的。覆蓋管理採用憑證伺服器330，該憑證伺服器330是覆蓋中的所有對等方均信任的中央伺服器。公鑰密碼術被用來證實源自憑證伺服器的消息。憑證伺服器生成公鑰/私鑰對，並將自己的公鑰發布給每個對等方設備。然而，憑證伺服器並不直接參與管理用戶身份。取而代之的是，憑證伺服器與用於用戶身份認證的第三方ID提供者340接口。憑證伺服器330通過利用先前向第三方ID提供者註冊的用戶身份來獲得用戶身份(圖4的步驟410和420)。這些用戶身份需要是全局唯一性的(諸如電子郵件地址)。 一種獲得此類用戶身份的方式是通過OpenID。OpenID是得到諸如Google、Yahoo, IBM、 Microsoft, VeriSign等主要網際網路公司支持的開放式身份管理框架。OpenID協議允許實體驗證向ID提供者(例如，Yahoo)註冊的用戶身份——只要該進行驗證的實體實現OpenID 協議以與相應的ID提供者接口即可。在對等網絡中，一些對等方設備可能不具有實現OpenID協議的能力並且可能不具有網際網路連接。要求每個節點(對等方)實現OpenID並在運行中驗證對等方身份可能是過度繁重和困難的。本技術僅要求對等方存儲憑證伺服器的公鑰並且能夠驗證來自憑證伺服器的消息。當新用戶加入對等網絡時，該新用戶聯繫憑證伺服器330並提供自己的向第三方ID提供者340註冊的身份。憑證伺服器隨後作為依賴方來執行OpenID協議。簡而言之，憑證伺服器與ID提供者建立連接，並將進入的用戶重定向到ID提供者以進行ID驗證。一旦完成了 ID驗證，ID提供者就向憑證伺服器發送指示該ID驗證成功或失敗的消息。 在ID驗證成功的情形中，憑證伺服器向進入的對等方頒發經籤署的證書。該證書可包括但並不限於經驗證的ID、正加入的對等方的公鑰、指派用於P2P網絡操作的節點id，並且該證書可以由憑證伺服器使用其私鑰來籤署。網絡中現有的對等方能夠使用該證書來認證新對等方的身份。該方法提供了技術優點。在網絡中現有的對等方不需要連接至中央處理器進行id 驗證的意義上而言，由這些現有的對等方進行的ID驗證是分布式的。這減輕了要具有網際網路鏈路來進行id驗證的要求。對等網絡320能將諸如社交網絡之類的現有應用用於用戶身份。憑證伺服器330是P2P網絡內信任的根源。對等方114僅需要知道憑證伺服器的籤名的公鑰就能驗證另一對等方的身份，即使在該id是向第三方ID提供者340註冊的情況下亦是如此。諸如要求每個對等方完全裝備有OpenID、要求每個對等方直接向憑證伺服器註冊自己的身份之類的替換解決方案可能在id驗證期間要求顯著更大的通信開銷和協議複雜度，和/或可能要求憑證伺服器有大得多的開銷。有利地，憑證伺服器330證實來自第三方ID提供者340的用戶身份(例如，使用 OpenID協議)，並且一旦成功驗證，就向該用戶頒發包含用戶id並且由憑證伺服器的私鑰籤署的證書。在P2P網絡內工作的對等方裝備有所述憑證伺服器的公鑰並且通過將公鑰密碼術算法與該公鑰一起用來核查該證書來驗證另一對等方的身份。憑證伺服器330可以使用OpenID協議以便向身份提供者驗證註冊用戶身份。開放式認證協議的詳情可以在opened-dot-net/developers/specs/處獲得。參照圖1，無線移動站(MS) 102可以與無線通信系統100的一個或更多個基站 (BS) 104通信。該MS還可以與無線對等方設備114配對。無線通信系統100還可以包括一個或更多個基站控制器(BSC) 106、以及核心網108。核心網可經由合適的回程連接至網際網路110和公共交換電話網(PSTN) 112。典型的無線移動站可包括手持式電話或膝上型計算機。無線通信系統100可以採用數種多址技術中的任何一種，諸如碼分多址(CDMA)、時分多址(TDMA)、頻分多址(FDMA)、空分多址(SDMA)、極分多址(PDMA)、或其他本領域中所知的調製技術。無線設備102或114可包括基於由無線設備傳送或在無線設備處接收的信號執行功能的各種組件。例如，無線頭戴式送受話器可包括適配成基於經由接收機接收到的信號提供音頻輸出的換能器。無線手錶可包括適配成基於經由接收機接收到的信號提供指示的用戶接口。無線感測設備可包括適配成提供要傳送給另一設備的數據的傳感器。無線設備可經由一條或更多條無線通信鏈路通信，這些無線通信鏈路基於或以其他方式支持任何合適的無線通信技術。例如，在一些方面中，無線設備可與網絡相關聯。在一些方面，網絡可包括體域網或個域網(例如，超寬帶網絡)。在一些方面中，網絡可包括區域網或廣域網。無線設備可支持或以其他方式使用各種無線通信技術、協議、或標準——
諸如舉例而言CDMA、TDMA, OFDM、OFDMA, WiMAX和Wi-Fi-中的一種或更多種。類似地，
無線設備可支持或以其他方式使用各種相應調製或復用方案中的一種或更多種。無線設備由此可包括用於使用以上或其他無線通信技術建立一條或更多條無線通信鏈路並經由其通信的恰適組件(例如，空中接口)。例如，設備可包括具有相關聯的發射機和接收機組件 (例如，發射機和接收機)的無線收發機，這些發射機和接收機組件可包括促成無線介質上的通信的各種組件(例如，信號發生器和信號處理器)。本文中的教導可被納入到各種裝置(例如，設備)中(例如，實現在其內或由其執行)。例如，本文中教導的一個或更多個方面可被納入到電話(例如，蜂窩電話)、個人數據助理(「PDA」)、娛樂設備(例如，音樂或視頻設備)、頭戴式送受話器(例如，頭戴式聽筒、 耳機等)、話筒、醫療設備(例如，生物測定傳感器、心率監視器、計步器、EKG設備等)、用戶 I/O設備(例如，手錶、遙控、照明開關、鍵盤、滑鼠等)、輪胎氣壓監視器、計算機、銷售點設備、娛樂設備、助聽器、機頂盒、或任何其他合適的設備中。這些設備可具有不同功率和數據要求。在一些方面中，本文中的教導可適配成用在低功率應用中(例如，通過使用基於脈衝的信令方案和低佔空比模式)，並且可支持各種數據率，包括相對較高的數據率(例如，通過使用高帶寬脈衝)。在一些方面，無線設備可包括通信系統的接入設備(例如，Wi-Fi接入點)。此類接入設備可提供例如經由有線或無線通信鏈路至另一網絡(例如，諸如網際網路或蜂窩網絡等廣域網)的連通性。因此，接入設備可使得另一設備(例如，Wi-Fi站)能接入該另一網絡或其他某個功能。此外應領會，這些設備中的一方或雙方可以是可攜式的，或者在一些情形中為相對非可攜式的。本領域技術人員將可理解，信息和信號可使用各種不同技術和技藝中的任何技術和技藝來表示。例如，貫穿上面說明始終可能被述及的數據、指令、命令、信息、信號、比特、 碼元、和碼片可由電壓、電流、電磁波、磁場或磁粒子、光場或光粒子、或其任何組合來表示。本領域技術人員將進一步領會，結合本文中所公開的實施例來描述的各種解說性邏輯板塊、模塊、電路、和算法步驟可實現為電子硬體、計算機軟體、或這兩者的組合。為清楚地解說硬體與軟體的這一可互換性，各種解說性組件、板塊、模塊、電路、和步驟在上面是以其功能性的形式作一般化描述的。此類功能性是被實現為硬體還是軟體取決於具體應用和強加於整體系統的設計約束。技術人員對於每種特定應用可用不同的方式來實現所描述的功能性，但這樣的實現決策不應被解讀成導致脫離了本發明的範圍。結合本文所公開的實施例描述的各種解說性邏輯板塊、模塊、和電路可用通用處理器、數位訊號處理器(DSP)、專用集成電路(ASIC)、現場可編程門陣列(FPGA)或其它可編程邏輯器件、分立的門或電晶體邏輯、分立的硬體組件、或其設計成執行本文所描述功能的任何組合來實現或執行。通用處理器可以是微處理器，但在替換方案中，該處理器可以是任何常規的處理器、控制器、微控制器、或狀態機。處理器還可以被實現為計算設備的組合，例如DSP與微處理器的組合、多個微處理器、與DSP核心協作的一個或更多個微處理器、或任何其他此類配置。結合本文所公開的實施例描述的方法或算法的步驟可直接在硬體中、在由處理器執行的軟體模塊中、或在這兩者的組合中實施。軟體模塊可駐留在RAM存儲器、快閃記憶體、ROM存儲器、EPROM存儲器、EEPROM存儲器、寄存器、硬碟、可移動盤、CD-ROM、或本領域中所知的任何其他形式的存儲介質中。示例性存儲介質耦合到處理器以使得該處理器能從/向該存儲介質讀寫信息。在替換方案中，存儲介質可以被整合到處理器。處理器和存儲介質可駐留在ASIC中。ASIC可駐留在用戶終端中。在替換方案中，處理器和存儲介質可作為分立組件駐留在用戶終端中。在一個或更多個示例性實施例中，所描述的功能可以在硬體、軟體、固件、或其任何組合中實現。如果在軟體中實現為電腦程式產品，則各功能可以作為一條或更多條指令或代碼存儲在計算機可讀介質上或藉其進行傳送。計算機可讀介質包括計算機存儲介質和通信介質兩者，其包括促成電腦程式從一地向另一地轉移的任何介質。存儲介質可以是能被計算機訪問的任何可用介質。作為示例而非限定，這樣的計算機可讀介質可包括 RAM、ROM、EEPROM、CD-ROM或其它光碟存儲、磁碟存儲或其它磁存儲設備、或能被用來攜帶或存儲指令或數據結構形式的合需程序代碼且能被計算機訪問的任何其它介質。任何連接也被正當地稱為計算機可讀介質。例如，如果軟體是使用同軸電纜、光纖電纜、雙絞線、數字訂戶線(DSL)、或諸如紅外、無線電、以及微波之類的無線技術從web網站、伺服器、或其它遠程源傳送而來，則該同軸電纜、光纖電纜、雙絞線、DSL、或諸如紅外、無線電、以及微波之類的無線技術就被包括在介質的定義之中。如本文中所使用的盤(disk)和碟(disc)包括壓縮碟(⑶)、雷射碟、光碟、數字多用碟(DVD)、軟盤和藍光碟，其中盤(disk)往往以磁的方式再現數據，而碟(disc)用雷射以光學方式再現數據。上述組合應被包括在計算機可讀介質的範圍內。 提供了以上對所公開的實施例的描述是為了使得本領域任何技術人員皆能夠製作或使用本發明。對這些實施例的各種改動對於本領域技術人員將是顯而易見的，並且本文中定義的普適原理可被應用於其他實施例而不會脫離本發明的精神或範圍。由此，本發明並非旨在被限定於本文中示出的實施例，而是應被授予與本文中公開的原理和新穎性特徵一致的最廣義的範圍。
權利要求
1.一種用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法，包括所述覆蓋網絡的憑證伺服器接收來自正加入的對等方設備的註冊用戶身份；所述憑證伺服器向身份提供者驗證所述註冊用戶身份；以及一旦在所述憑證伺服器處接收到來自所述身份提供者的對所述註冊用戶身份的成功驗證，所述憑證伺服器就向所述正加入的對等方設備頒發經籤署的證書以供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，其中所述經籤署的證書由所述憑證伺服器的私鑰籤署的。
2.如權利要求1所述的用於進行用戶身份認證的方法，其特徵在於，所述覆蓋網絡中的每個經認證對等方設備具有所述憑證伺服器的公鑰，所述公鑰允許每個經認證對等方設備驗證所述正加入的對等方設備的所述經籤署的證書的來源是所述憑證伺服器。
3.如權利要求1所述的用於進行用戶身份認證的方法，其特徵在於，所述憑證伺服器使用OpenID協議以向所述身份提供者驗證所述註冊用戶身份。
4.如權利要求1所述的用於進行用戶身份認證的方法，其特徵在於，所述經籤署的證書包括所述經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
5.如權利要求4所述的用於進行用戶身份認證的方法，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
6.如權利要求1所述的用於進行用戶身份認證的方法，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
7.如權利要求1所述的用於進行用戶身份認證的方法，其特徵在於，所述正加入的對等方設備的所述註冊用戶身份是全局唯一性標識符。
8.如權利要求7所述的用於進行用戶身份認證的方法，其特徵在於，所述註冊用戶身份是向第三方身份提供者註冊的。
9.如權利要求7所述的用於進行用戶身份認證的方法，其特徵在於，所述註冊用戶身份是電子郵件地址。
10.一種具有對正加入對等覆蓋網絡的對等方設備的用戶身份認證的憑證伺服器，所述憑證伺服器包括用於接收來自正加入的對等方設備的註冊用戶身份的裝置；用於向身份提供者驗證所述註冊用戶身份的裝置；以及用於一旦接收到來自所述身份提供者的對所述註冊用戶身份的成功驗證就向所述正加入的對等方設備頒發經籤署的證書以供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份的裝置，其中所述經籤署的證書是由所述憑證伺服器的私鑰籤署的。
11.如權利要求10所述的憑證伺服器，其特徵在於，所述覆蓋網絡中的每個經認證對等方設備具有所述憑證伺服器的公鑰，所述公鑰允許每個經認證對等方設備驗證所述正加入的對等方設備的所述經籤署的證書的來源是所述憑證伺服器。
12.如權利要求10所述的憑證伺服器，其特徵在於，所述憑證伺服器使用OpenID協議以向所述身份提供者驗證所述註冊用戶身份。
13.如權利要求10所述的憑證伺服器，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
14.如權利要求13所述的憑證伺服器，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
15.如權利要求10所述的憑證伺服器，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
16.如權利要求10所述的憑證伺服器，其特徵在於，所述正加入的對等方設備的所述註冊用戶身份是全局唯一性標識符。
17.如權利要求16所述的憑證伺服器，其特徵在於，所述註冊用戶身份是向第三方身份提供者註冊的。
18.如權利要求16所述的憑證伺服器，其特徵在於，所述註冊用戶身份是電子郵件地址。
19.一種具有對正加入對等覆蓋網絡的對等方設備的用戶身份認證的憑證伺服器，所述憑證伺服器包括處理器，配置成接收來自正加入的對等方設備的註冊用戶身份； 向身份提供者驗證所述註冊用戶身份；以及一旦接收到來自所述身份提供者的對所述註冊用戶身份的成功驗證，就向所述正加入的對等方設備頒發經籤署的證書以供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，其中所述經籤署的證書是由所述憑證伺服器的私鑰籤署的。
20.如權利要求19所述的憑證伺服器，其特徵在於，所述覆蓋網絡中的每個經認證對等方設備具有所述憑證伺服器的公鑰，所述公鑰允許每個經認證對等方設備驗證所述正加入的對等方設備的所述經籤署的證書的來源是所述憑證伺服器。
21.如權利要求19所述的憑證伺服器，其特徵在於，所述憑證伺服器使用OpenID協議以向所述身份提供者驗證所述註冊用戶身份。
22.如權利要求19所述的憑證伺服器，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
23.如權利要求22所述的憑證伺服器，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
24.如權利要求19所述的憑證伺服器，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
25.如權利要求19所述的憑證伺服器，其特徵在於，所述正加入的對等方設備的所述註冊用戶身份是全局唯一性標識符。
26.如權利要求25所述的憑證伺服器，其特徵在於，所述註冊用戶身份是向第三方身份提供者註冊的。
27.如權利要求25所述的憑證伺服器，其特徵在於，所述註冊用戶身份是電子郵件地址。
28.一種電腦程式產品，包括 計算機可讀介質，包括用於使計算機接收來自正加入的對等方設備的註冊用戶身份的代碼；用於使計算機向身份提供者驗證所述註冊用戶身份的代碼；以及用於一旦接收到來自所述身份提供者的對所述註冊用戶身份的成功驗證就使計算機向所述正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份的代碼，其中所述經籤署的證書是由所述憑證伺服器的私鑰籤署的。
29.如權利要求觀所述的電腦程式產品，其特徵在於，所述覆蓋網絡中的每個經認證對等方設備具有所述憑證伺服器的公鑰，所述公鑰允許每個經認證對等方設備驗證所述正加入的對等方設備的所述經籤署的證書的來源是所述憑證伺服器。
30.如權利要求觀所述的電腦程式產品，其特徵在於，所述憑證伺服器使用OpenID 協議以向所述身份提供者驗證所述註冊用戶身份。
31.如權利要求觀所述的電腦程式產品，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
32.如權利要求31所述的電腦程式產品，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
33.如權利要求觀所述的電腦程式產品，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
34.如權利要求觀所述的電腦程式產品，其特徵在於，所述正加入的對等方設備的所述註冊用戶身份是全局唯一性標識符。
35.如權利要求34所述的電腦程式產品，其特徵在於，所述註冊用戶身份是向第三方身份提供者註冊的。
36.如權利要求34所述的電腦程式產品，其特徵在於，所述註冊用戶身份是電子郵件地址。
37.一種用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法，包括正加入的對等方設備向憑證伺服器提供註冊用戶身份，其中所述憑證伺服器向所述覆蓋網絡中的每個經認證對等方設備提供公鑰，所述公鑰允許每個經認證對等方設備驗證來自所述憑證伺服器的消息；所述憑證伺服器向身份提供者驗證所述註冊用戶身份；以及一旦在所述憑證伺服器處接收到來自所述身份提供者的對所述註冊用戶身份的成功驗證，所述憑證伺服器就向所述正加入的對等方設備頒發證書以供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，其中所述證書是由所述憑證伺服器的私鑰籤署的。
38.如權利要求37所述的用於進行用戶身份認證的方法，其特徵在於，所述憑證伺服器使用OpenID協議以向所述身份提供者驗證所述註冊用戶身份。
39.如權利要求37所述的用於進行用戶身份認證的方法，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
40.如權利要求39所述的用於進行用戶身份認證的方法，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
41.如權利要求37所述的用於進行用戶身份認證的方法，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
42.一種具有用於加入對等覆蓋網絡的用戶身份認證的設備，包括用於向憑證伺服器提供正加入的對等方設備的註冊用戶身份的裝置，其中所述憑證伺服器向所述覆蓋網絡中的每個經認證對等方設備提供公鑰，所述公鑰允許每個經認證對等方設備驗證來自所述憑證伺服器的消息；以及用於一旦所述憑證伺服器向身份提供者成功驗證了所述註冊用戶身份就接收來自所述憑證伺服器的證書的裝置，其中所述證書供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，並且其中所述證書是由所述憑證伺服器的私鑰籤署的。
43.如權利要求42所述的具有用戶身份認證的設備，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的公鑰。
44.如權利要求43所述的具有用戶身份認證的設備，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
45.如權利要求42所述的具有用戶身份認證的設備，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
46.如權利要求42所述的具有用戶身份認證的設備，其特徵在於，所述設備包括手錶、 頭戴式送受話器、或者感測設備。
47.一種具有用於加入對等覆蓋網絡的用戶身份認證的裝置，包括處理器，配置成向憑證伺服器提供正加入的對等方設備的註冊用戶身份，其中所述憑證伺服器向對等覆蓋網絡中的每個經認證對等方設備提供公鑰，所述公鑰允許每個經認證對等方設備驗證來自所述憑證伺服器的消息；以及一旦所述憑證伺服器向身份提供者成功驗證了所述註冊用戶身份就接收來自所述憑證伺服器的證書，其中所述證書供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，並且其中所述證書是由所述憑證伺服器的私鑰籤署的。
48.如權利要求47所述的具有用戶身份認證的裝置，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份、所述正加入的對等方設備的公鑰、以及所述憑證伺服器的所述公鑰。
49.如權利要求48所述的具有用戶身份認證的裝置，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
50.如權利要求47所述的具有用戶身份認證的裝置，其特徵在於，所述覆蓋網絡中的至少一個經認證對等方設備不能與所述身份提供者建立連接以驗證註冊用戶身份。
51.一種電腦程式產品，包括計算機可讀介質，包括用於使計算機向憑證伺服器提供正加入的對等方設備的註冊用戶身份的代碼，其中所述憑證伺服器向對等覆蓋網絡中的每個經認證對等方設備提供公鑰，所述公鑰允許每個經認證對等方設備驗證來自所述憑證伺服器的消息；以及用於一旦所述憑證伺服器向身份提供者成功驗證了所述註冊用戶身份就使計算機接收來自所述憑證伺服器的證書的代碼，其中所述證書供由所述覆蓋網絡中的經認證對等方設備用來認證所述正加入的對等方設備的所述註冊用戶身份，並且其中所述證書是由所述憑證伺服器的私鑰籤署的。
52.如權利要求51所述的電腦程式產品，其特徵在於，所述經籤署的證書包括經驗證的所述註冊用戶身份以及所述憑證伺服器的所述公鑰。
53.如權利要求51所述的電腦程式產品，其特徵在於，所述經籤署的證書還包括由所述憑證伺服器指派用於網絡操作的節點身份。
全文摘要
公開了用於對正加入對等覆蓋網絡的對等方設備進行用戶身份認證的方法。在該方法中，覆蓋網絡的憑證伺服器接收來自正加入的對等方設備的註冊用戶身份。憑證伺服器向身份提供者驗證該註冊用戶身份。一旦在憑證伺服器處接收到來自身份提供者的對該註冊用戶身份的成功驗證，該憑證伺服器就向正加入的對等方設備頒發經籤署的證書以供由覆蓋網絡中的經認證對等方設備用來認證此正加入的對等方設備的註冊用戶身份，其中經籤署的證書是由憑證伺服器的私鑰籤署的。
文檔編號H04L29/08GK102365851SQ201080015847
公開日2012年2月29日 申請日期2010年3月25日 優先權日2009年3月26日
發明者R·S·賈雅拉曼, S·M·達斯, V·納拉亞南, Y·毛 申請人:高通股份有限公司