一种用于会议系统的认证方法及装置与流程

本发明涉及音视频会议系统技术领域，具体涉及一种用于会议系统的认证方法及装置。

背景技术：

在音视频会议系统中，每个会议终端连接至会议服务器，通过会议服务器实现两个会议终端之间码流的转接。每个会议终端连接至会议服务器时，会议服务器会对其进行鉴权认证，以确认会议终端是否有权限连接至会议服务器。

当第一会议终端欲向目标会议终端发送码流之前，会议服务器在第一会议终端与其目标会议终端之间建立数据链路。然而，若会议服务器出错，则会导致第一会议终端将码流发送至错误的会议终端，造成会议信息的泄露，使音视频会议存在安全隐患。例如，如图1所示，与会议服务器相连接的会议终端a、b、d属于第一会议，会议终端c和e属于第二会议，显然b和e不属于同一会议。若会议服务器错将会议终端a的码流发送会议终端e，则会议终端e即可获知第一会议的内容，造成第一会议的信息泄露。

现有方式在确认第一会议终端与目标会议终端的数据链路时，第一会议终端先向目标会议终端发送确认请求，目标会议终端响应该确认请求时，返回的终端标识。第一会议终端若未收到响应消息或所接收到的终端标识不是目标会议终端，则判断其与目标会议终端的数据链路出错，不能开始发送码流。然而，如图1所示，若另有会议终端f预先获取了会议终端d的终端标识，则会议终端f可以伪装成会议终端d响应会议终端a的确认请求，从而窃取第一会议的内容，致使第一会议信息泄露。

由此可见，现有方式只能确认第一会议终端是否已与其他会议终端建立数据链路，却不能够确认与其建立数据链路的会议终端是否为目标会议终端。

技术实现要素：

有鉴于此，本发明实施例提供了一种用于会议系统的认证方法及装置，以在确认数据链路连通的同时确认数据链路中目标会议终端的身份。

根据第一方面，本发明实施例提供了一种用于会议系统的认证方法，所述会议系统包括：会议服务器、第一会议终端和第二会议终端，所述认证方法包括：所述会议服务器接收所述第一会议终端的链路确认请求，所述链路确认请求携带有所述第二会议终端的标识信息，所述第一会议终端与所述第二会议终端为参与相同会议的会议终端；所述会议服务器基于所述第二会议终端的标识信息将所述链路确认请求转发给所述第二会议终端；所述会议服务器判断是否接收到所述第二会议终端发送的身份信息，所述身份信息用于对所述第二会议终端进行认证；当接收到所述身份信息时，所述会议服务器根据所述身份信息对所述第二会议终端进行认证；所述会议服务器将所述第二会议终端的认证结果发送至所述第一会议终端。

可选地，所述会议服务器为多个级联的会议服务器，多个所述会议服务器形成所述第一会议终端和所述第二会议终端之间的数据链路，用于转发所述第一会议终端和所述第二会议终端之间的码流；所述认证方法还包括：对所述第一会议终端和所述第二会议终端之间的数据链路进行认证。

可选地，对所述第一会议终端和所述第二会议终端之间的数据链路进行认证包括：当前会议服务器接收到上一个会议服务器转发的消息时，对所述上一个会议服务器进行身份认证；所述消息包括所述链路确认请求或所述认证结果。在所述上一个会议服务器认证通过时，所述当前会议服务器将所述消息发送至数据链路中的下一设备。

可选地，所述会议服务器根据所述身份信息对所述第二会议终端进行认证的步骤包括：所述会议服务器将所述身份信息和所述第二会议终端的标识信息发送至认证服务器，由所述认证服务器根据所述身份信息对所述第二会议终端进行认证；所述认证服务器与所述会议服务器连接，并且位于所述第一会议终端与所述第二会议终端之间的数据链路之外；接收所述认证服务器所发送的认证结果。

可选地，所述会议服务器接收所述第一会议终端的链路确认请求的步骤之前，还包括：所述第一会议终端判断当前会议是否属于预设安全级别；当所述当前会议属于预设安全级别时，所述第一会议终端向所述会议服务器发送所述链路确认请求。

可选地，所述会议服务器接收所述第一会议终端的链路确认请求的步骤之前，还包括：所述会议服务器对所述第一会议终端进行身份认证；当所述第一会议终端身份认证通过时，所述第一会议终端向所述会议服务器发送所述链路确认请求；所述认证方法还包括：在对所述第二会议终端认证通过后，所述会议服务器将对所述第一会议终端的认证结果发送给所述第二会议终端。

根据第二方面，本发明实施例提供了一种用于会议系统的认证装置，所述会议系统包括：会议服务器、第一会议终端和第二会议终端，所述认证装置包括：第一接收单元，用于接收所述第一会议终端的链路确认请求，所述链路确认请求携带有所述第二会议终端的标识信息，所述第一会议终端与所述第二会议终端为参与相同会议的会议终端；转发单元，用于基于所述第二会议终端的标识信息将所述链路确认请求转发给所述第二会议终端；第一判断单元，用于判断是否接收到所述第二会议终端发送的身份信息，所述身份信息用于对所述第二会议终端进行认证；第一认证单元，用于当接收到所述身份信息时，根据所述身份信息对所述第二会议终端进行认证；第一发送单元，用于将所述第二会议终端的认证结果发送至所述第一会议终端。

可选地，所述会议服务器为多个级联的会议服务器，多个所述会议服务器形成所述第一会议终端和所述第二会议终端之间的数据链路，用于转发所述第一会议终端和所述第二会议终端之间的码流；所述认证装置还包括：第二认证单元，用于对所述第一会议终端和所述第二会议终端之间的数据链路进行认证。

可选地，所述第二认证单元包括：第一认证子单元，用于接收到上一个会议服务器转发的消息时，对所述上一个会议服务器进行身份认证；所述消息包括所述链路确认请求或所述认证结果。发送子单元，用于在所述上一个会议服务器认证通过时，将所述消息发送至数据链路中的下一设备。

可选地，第一认证单元包括：第二认证子单元，用于将所述身份信息和所述第二会议终端的标识信息发送至认证服务器，由所述认证服务器根据所述身份信息对所述第二会议终端进行认证；所述认证服务器与所述会议服务器连接，并且位于所述第一会议终端与所述第二会议终端之间的数据链路之外；接收子单元，用于接收所述认证服务器所发送的认证结果。

可选地，所述装置还包括：第二判断单元，用于判断当前会议是否属于预设安全级别；第二发送单元，用于当所述当前会议属于预设安全级别时，向所述会议服务器发送所述链路确认请求。

可选地，所述装置还包括：第三认证单元，当所述第一会议终端身份认证通过时，所述第一会议终端向所述会议服务器发送所述链路确认请求；所述装置还包括：第三发送单元，用于在对所述第二会议终端认证通过后，将对所述第一会议终端的认证结果发送给所述第二会议终端。

本发明实施例所提供的会议系统的认证方法及装置，会议服务器接收第一会议终端的链路确认请求和第一会议终端的认证结果，根据第一会议终端的链路确认请求中所携带的第二会议终端的标识信息，将第二会议终端的标识信息发送至第二会议终端。若发送正确地发送至第二会议终端，则第二会议终端将身份信息发送至会议服务器，若会议服务器接收到第二会议终端的身份信息，则对第二会议终端的身份信息进行认证；否则执行其他操作，最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。当会议服务器对第二会议终端的身份认证通过时，会议服务器将第二会议终端的认证结果发送至第一会议终端，从而第一会议终端可以确认已与第二会议终端建立数据链路，并且该第二会议终端为身份认证通过的可信的第二会议终端，数据链路正确，第一会议终端可以进一步向第二会议终端发送码流。当会议服务器对第二会议终端的身份认证未通过(即第二会议终端的身份不可信，例如另有会议终端f伪装成第二会议终端)时，最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。若会议服务器出错，将链路确认请求错发至e，则e将身份信息发送至会议服务器，则会议服务器即使接收到e的身份信息，对e进行身份认证(即认证e是否为第二会议终端)时，认证也不会通过，从而最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。由此可见，当第一会议终端未与其他会议终端建立数据链路，或者与第一会议终端建立数据链路的会议终端不是其目标会议终端时，第一会议终端都能够确认数据链路出错。

附图说明

通过参考附图会更加清楚的理解本发明的特征和优点，附图是示意性的而不应理解为对本发明进行任何限制，在附图中：

图1示出了会议系统的示意图；

图2示出了本发明实施例所提供的会议系统的认证方法的一种实施环境示意图；

图3示出了根据本发明实施例的一种用于会议系统的认证方法的流程图；

图4示出了根据本发明实施例的另一种用于会议系统的认证方法的流程图；

图5示出了本发明实施例所提供的会议系统的认证方法的另一种实施环境示意图；

图6示出了根据本发明实施例的又一种用于会议系统的认证方法的流程图

图7示出了本发明实施例所提供的会议系统的认证方法的又一种实施环境示意图；

图8示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图；

图9示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图；

图10示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图；

图11示出了根据本发明实施例的一种用于会议系统的认证装置的原理框图；

图12示出了根据本发明实施例的另一种用于会议系统的认证装置的原理框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

图2示出了本发明实施例所提供的会议系统的认证方法的一种实施环境示意图。如图2所述，该会议系统包括会议服务器、第一会议终端和第二会议终端，第一会议终端在向第二会议终端发送信息时经由会议服务器转发。可选地，第一会议终端、第二会议终端与会议服务器之间通过ssl(securesocketslayer，安全套接层)传输信息，以防止会议终端的标识信息或认证结果等信息被修改。

图3示出了根据本发明实施例的一种用于会议系统的认证方法的流程图，用于图2所示的会议系统。如图3所示，该方法包括如下步骤：

s101：会议服务器接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。该链路确认请求用于第一会议终端确认与第二会议终端的数据链路是否正确。

s102：会议服务器基于第二会议终端的标识信息将链路确认请求转发给第二会议终端。第二会议终端接收到该链路确认请求后会将身份信息发送至会议服务器。

s103：会议服务器判断是否接收到第二会议终端发送的身份信息，该身份信息用于对第二会议终端进行认证。当接收到身份信息时，执行步骤s104；否则执行步骤s105；否则，执行其他操作。

此处身份信息可以为第二会议终端的动态口令，也可以为第二会议终端的证书。

s104：会议服务器根据该身份信息对第二会议终端进行认证。

此处对第二会议终端进行身份认证是指，会议服务器认证发送该身份信息的会议终端是否为链路确认请求中第二会议终端的标识信息所对应的会议终端，即第二会议终端的身份是否可信。若第二会议终端的身份可信，则认证通过；否则认证不通过。

会议服务器对第二会议终端进行身份认证的方式可以是通过第二会议终端获取的动态口令，该动态口令为用户所持有的动态令牌上所显示的口令；也可以是通过第二会议终端所发送的证书对第二会议终端进行身份认证，本申请不做具体限定。

上述会议服务器对第一会议终端和第二会议终端进行身份认证的方式可以是相同的，也可以是不同的。

s105：会议服务器将第二会议终端的认证结果发送至第一会议终端。

上述会议系统的认证方法，如图1所示，假设a为第一会议终端，d为第二会议终端，会议服务器接收a的链路确认请求和a的认证结果，根据a的链路确认请求中所携带的d的标识信息，将d的标识信息发送至d。

若发送正确地发送至d，则d将身份信息发送至会议服务器，若会议服务器接收到d的身份信息，则对d的身份信息进行认证；否则执行其他操作，最终a不能接收到d的身份认证通过的信息，从而a可以确认数据链路出错。

当会议服务器对d的身份认证通过时，会议服务器将d的认证结果发送至a，从而a可以确认已与d建立数据链路，并且该d为身份认证通过的可信的d，数据链路正确，a可以进一步向d发送码流。当会议服务器对d的身份认证未通过(即d的身份不可信，例如另有会议终端f伪装成d)时，最终a不能接收到d的身份认证通过的信息，从而a可以确认数据链路出错。

若会议服务器出错，将链路确认请求错发至e，则e将身份信息发送至会议服务器，则会议服务器即使接收到e的身份信息，对e进行身份认证(即认证e是否为d)时，认证也不会通过，从而最终a不能接收到d的身份认证通过的信息，从而a可以确认数据链路出错。

由此可见，通过上述会议系统的认证方法，当第一会议终端未与其他会议终端建立数据链路，或者与第一会议终端建立数据链路的会议终端不是其目标会议终端时，第一会议终端都能够确认数据链路出错。

实施例二

图4示出了根据本发明实施例的另一种用于会议系统的认证方法的流程图，用于图5所示的会议系统，与图2所示会议系统的区别在于，该会议系统中的会议服务器为多个级联的会议，该多个级联的会议服务器形成第一会议终端和第二会议终端之间的数据链路，用于转发第一会议终端和第二会议终端之间的码流，例如图5中的第一会议服务器和第二会议服务器。可选地，第一会议终端与第一会议服务器之间、第二会议终端与第二会议服务器之间通过ssl(securesocketslayer，安全套接层)传输信息，以防止会议终端的标识信息或认证结果等信息被修改。第一会议服务器和第二会议服务器之间通过tls(transportlayersecurity，安全传输层协议)协议传输信息。

相应的，会议系统的认证方法还包括对第一会议终端和第二会议终端之间的数据链路进行认证的步骤。具体地，如图4所示，该方法包括如下步骤：

s201：第一会议服务器接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

s202：第一会议服务器将链路确认请求发送至第二会议服务器。其中第二会议服务器为预先建立的数据链路中第一会议服务器之后的设备。

s203：第二会议服务器对第一会议服务器进行身份认证。当认证通过时，执行步骤s204；否则，执行其他操作。

s204：当第一会议服务器的身份认证通过时，第二会议服务器将链路确认请求发送至第二会议终端，即发送至数据链路中的下一设备。第二会议终端接收到该链路确认请求后会将身份信息发送至第二会议服务器，由第二会议服务器或第一会议服务器根据该身份信息对第二会议终端进行认证。本实施例步骤s205至s209用于第一会议服务器对第二会议终端进行认证的情形；步骤s210至s214用于第一会议服务器对第二会议终端进行认证的情形。

s205：第二会议服务器接收到第二会议终端发送的身份信息时，将第二会议终端的身份信息(即第二会议终端发送的身份信息)发送至第一会议服务器。

s206：第一会议服务器判断是否接收到身份信息。当接收到身份信息时，执行步骤s207；否则，执行其他操作。

s207：第一会议服务器对第二会议服务器进行身份认证。

s208：第二会议服务器的身份认证通过后，第一会议服务器根据该身份信息对第二会议终端进行认证。

s209：第一会议服务器将第二会议终端的认证结果发送至第一会议终端。

s210：第二会议服务器判断是否接收到身份信息。当接收到身份信息时，执行步骤s211；否则，执行其他操作。

s211：第二会议服务器根据身份信息对第二会议终端进行认证。

s212：第二会议服务器将认证结果发送至第一会议服务器。

s213：第一会议服务器接收到第二会议服务器发送的认证结果时，对第二会议服务器进行身份认证。

s214：当第二会议服务器的身份认证通过后，第一会议服务器将认证结果发送至第一会议终端。

上述会议系统的认证方法，当数据链路中的第一会议服务器或第二会议服务器的身份认证不通过时，链路确认请求或认证结果便不能够发送至数据链路中的下一设备，进而最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。

由此可见，通过上述会议系统的认证方法，可以确认数据链路中设备(例如第一会议服务器和第二会议服务器)的身份是否真实，防止数据链路设备由其他设备伪装，威胁会议系统安全。

实施例三

图6示出了根据本发明实施例的又一种用于会议系统的认证方法的流程图，用于图7所示的会议系统，与图2所示会议系统的区别在于，该会议系统还包括认证服务器，该认证服务器与会议服务器连接，并且位于第一会议终端与第二会议终端之间的数据链路之外。可选地，第一会议终端、第二会议终端与会议服务器之间通过ssl(securesocketslayer，安全套接层)传输信息，以防止会议终端的标识信息或认证结果等信息被修改。会议服务器与认证服务器之间通过radius协议(一种远程认证协议)传输信息。

如图6所示，该方法包括如下步骤：

s301：会议服务器接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

s302：会议服务器基于第二会议终端的标识信息将链路确认请求转发给第二会议终端。

s303：会议服务器判断是否接收到第二会议终端发送的身份信息，该身份信息用于对第二会议终端进行认证。当接收到身份信息时，执行步骤s304；否则，执行其他操作。

s304：会议服务器将身份信息和第二会议终端的标识信息发送至认证服务器，由认证服务器根据身份信息对第二会议终端进行认证。

认证服务器根据身份信息和第二会议终端的标识信息认证第二会议终端的身份是否可信。

s305：会议服务器接收认证服务器所发送的认证结果。

当认证服务器认证第二会议终端的身份可信时，认证结果为通过；不可信时，认证结果为不通过。

s306：会议服务器将第二会议终端的认证结果发送至第一会议终端。

需要补充说明的是，上述认证服务器可以是区别于会议服务器实体、专门用于身份认证的认证服务器实体，或者认证服务器的功能也可以由会议服务器实体来实现。

实施例四

图8示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图，用于图2所示的会议系统。如图8所示，该方法包括如下步骤：

s401：第一会议终端判断当前会议是否属于预设安全级别。当当前会议属于预设安全级别时，执行步骤s402；否则，无操作。

s402：第一会议终端向会议服务器发送链路确认请求。

s403：会议服务器接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

s404：会议服务器基于第二会议终端的标识信息将链路确认请求转发给第二会议终端。

s405：会议服务器判断是否接收到第二会议终端发送的身份信息，该身份信息用于对第二会议终端进行认证。当接收到身份信息时，执行步骤s406；否则执行步骤s407；否则，执行其他操作。

s406：会议服务器根据该身份信息对第二会议终端进行认证。

s407：会议服务器将第二会议终端的认证结果发送至第一会议终端。

上述会议系统的认证方法，实现了对身份认证的分级控制，即：当当前会议属于预设安全级别时，第一会议终端才向会议服务器发送链路确认请求，在链路确认过程中对各设备做身份认证，从而可以确保会议安全性；当当前会议没有达到预设安全级别时，并不在链路确认过程中对各设备做身份认证，从而可以减少网络信息传输量，防止网络拥塞。

实施例五

图9示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图，用于图2所示的会议系统。如图9所示，该方法包括如下步骤：

s501：会议服务器对第一会议终端进行身份认证。

s502：在第一会议终端身份认证通过后，会议服务器接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

s503：会议服务器基于第二会议终端的标识信息将链路确认请求和第一会议终端的认证结果转发给第二会议终端。

s504：会议服务器判断是否接收到第二会议终端发送的身份信息，该身份信息用于对第二会议终端进行认证。当接收到身份信息时，执行步骤s505；否则执行步骤s506；否则，执行其他操作。

s505：会议服务器根据该身份信息对第二会议终端进行认证。

s506：会议服务器将第二会议终端的认证结果发送至第一会议终端。

需要补充说明的是，上述步骤s503中将第一会议终端的认证结果发送至第二会议终端的步骤可以在第一会议终端身份认证通过后的任意一个步骤之前执行，并不限于在步骤s503中执行。

上述会议系统的认证方法，一方面，会议服务器对第一会议终端进行身份认证，认证通过后，通过会议服务器将第一会议终端的认证结果发送至第二会议终端，从而第二会议终端可以确认第一会议终端是否为其发送码流的目标会议终端。另一方面，会议服务器接收第一会议终端的链路确认请求，该链路确认请求携带有第二会议终端的标识；然后会议服务器基于第二会议终端的标识将链路确认请求发送至第二会议终端；会议终端响应链路确认请求，将身份信息发送至会议服务器；会议服务器对第二会议终端进行身份认证，并将第二会议终端的认证结果发送至第一会议终端，从而第一会议终端可以确认第二会议终端是否为其发送码流的目标会议终端。因此，本发明实施例所提供的会议系统的认证方法可以实现第一会议终端和第二会议终端对数据链路的双向认证，以保障双方互发码流的安全性。

实施例六

图10示出了根据本发明实施例的再一种用于会议系统的认证方法的流程图，用于图2所示的会议系统。该方法采用sip协议中的invite和info消息具体实现图9所示的方法。如图10所示，该方法包括如下步骤：

s601：第一会议终端向第一会议服务器发送第一invite消息，第一invite消息中包括链路确认请求，该链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

可选地，在该步骤之前，第一会议终端向会议服务器发送register消息，该register消息中携带有登陆账号和密码，当会议服务器对该登陆账号和密码进行验证。验证通过后，再执行步骤s601。

s602：会议服务器接收到第一invite消息后，根据其中的第二会议终端的标识信息向第二会议终端发送第二invite消息，第二invite消息中包括该链路确认请求。

s603：第二会议终端获取到第二invite消息中的链路确认请求后，向会议服务器发送第一200ok消息，该第一200ok消息中携带有第二链路确认请求，该第二链路确认请求携带有第一会议终端的标识信息。

s604：会议服务器接收到第一200ok消息后，根据其中的第一会议终端的标识信息，向第一会议终端发送第二200ok消息，该第二200ok消息包括第第二链路确认请求。

在上述步骤s603之后，第二会议终端还执行下列步骤s605。

s605：第二会议终端获取到第二invite消息中的链路确认请求后，向会议服务器发送第一info消息，该第一info消息中包括第二会议终端的身份信息，该身份信息用于第二会议终端进行认证。

s606：会议服务器判断是否接收到该第一info消息。当接收到该第一info消息时，执行步骤s607；否则执行其他操作。

s607：会议服务器根据第一info消息中的身份信息对第二会议终端进行身份认证。

s608：会议服务器向第一会议终端发送第二info消息，该第二info消息中包括第二会议终端的认证结果。

在获取到第二200ok消息中的第二链路请求之后，第一会议终端还执行下列步骤s609。

s609：第一会议终端向会议服务器发送第三info消息，该第三info消息中包括第一会议终端的身份信息。

s610：会议服务器根据第三info消息中第一会议终端的身份信息对第一会议终端进行身份认证。

s611：会议服务器向第二会议终端发送第四info消息，该第四info消息中包括第一会议终端的认证结果。

上述会议系统的认证方法，将所要发送的信息设置在sip协议的invite消息信令、info消息信令中进行传输，从而额外设置专门的消息信令来传输信息，从而可以减少网络信息传输量，防止网络拥塞。

实施例七

图11示出了根据本发明实施例的一种用于会议系统的认证装置的原理框图，用于图2所示的会议系统。如图11所示，该装置包括第一接收单元10、转发单元20、第一判断单元30、第一认证单元40和第一发送单元50。

第一接收单元10，用于接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

转发单元20，用于基于第二会议终端的标识信息将链路确认请求转发给第二会议终端。

第一判断单元30，用于判断是否接收到第二会议终端发送的身份信息，身份信息用于对第二会议终端进行认证。

第一认证单元40，用于当接收到身份信息时，根据身份信息对第二会议终端进行认证。

第一发送单元50，用于将第二会议终端的认证结果发送至第一会议终端。

通过上述会议系统的认证装置，会议服务器接收第一会议终端的链路确认请求和第一会议终端的认证结果，根据第一会议终端的链路确认请求中所携带的第二会议终端的标识信息，将第二会议终端的标识信息发送至第二会议终端。若发送正确地发送至第二会议终端，则第二会议终端将身份信息发送至会议服务器，若会议服务器接收到第二会议终端的身份信息，则对第二会议终端的身份信息进行认证；否则执行其他操作，最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。当会议服务器对第二会议终端的身份认证通过时，会议服务器将第二会议终端的认证结果发送至第一会议终端，从而第一会议终端可以确认已与第二会议终端建立数据链路，并且该第二会议终端为身份认证通过的可信的第二会议终端，数据链路正确，第一会议终端可以进一步向第二会议终端发送码流。当会议服务器对第二会议终端的身份认证未通过(即第二会议终端的身份不可信，例如另有会议终端f伪装成第二会议终端)时，最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。若会议服务器出错，将链路确认请求错发至e，则e将身份信息发送至会议服务器，则会议服务器即使接收到e的身份信息，对e进行身份认证(即认证e是否为第二会议终端)时，认证也不会通过，从而最终第一会议终端不能接收到第二会议终端的身份认证通过的信息，从而第一会议终端可以确认数据链路出错。由此可见，当第一会议终端未与其他会议终端建立数据链路，或者与第一会议终端建立数据链路的会议终端不是其目标会议终端时，第一会议终端都能够确认数据链路出错。

上述各单元所执行的具体步骤请参阅实施例一至实施例六。

实施例八

图12示出了根据本发明实施例的另一种用于会议系统的认证装置的原理框图。如图12所示，该装置包括第一接收单元10、转发单元20、第一判断单元30、第一认证单元40和第一发送单元50。

第一接收单元10，用于接收第一会议终端的链路确认请求，链路确认请求携带有第二会议终端的标识信息，第一会议终端与第二会议终端为参与相同会议的会议终端。

转发单元20，用于基于第二会议终端的标识信息将链路确认请求转发给第二会议终端。

第一判断单元30，用于判断是否接收到第二会议终端发送的身份信息，身份信息用于对第二会议终端进行认证。

第一认证单元40，用于当接收到身份信息时，根据身份信息对第二会议终端进行认证。

第一发送单元50，用于将第二会议终端的认证结果发送至第一会议终端。

作为本实施例的一种可选实施方式，会议服务器为多个级联的会议服务器，多个会议服务器形成第一会议终端和第二会议终端之间的数据链路，用于转发第一会议终端和第二会议终端之间的码流。该认证装置还包括第二认证单元60，用于对第一会议终端和第二会议终端之间的数据链路进行认证。

可选地，第二认证单元60包括第一认证子单元61和发送子单元62。

第一认证子单元61，用于接收到上一个会议服务器转发的消息时，对上一个会议服务器进行身份认证。消息包括链路确认请求或认证结果。

发送子单元62，用于在上一个会议服务器认证通过时，将消息发送至数据链路中的下一设备。

作为本实施例的一种可选实施方式，第一认证单元40包括第二认证子单元41和接收子单元42。

第二认证子单元41，用于将身份信息和第二会议终端的标识信息发送至认证服务器，由认证服务器根据身份信息对第二会议终端进行认证。认证服务器与会议服务器连接，并且位于第一会议终端与第二会议终端之间的数据链路之外。

接收子单元42，用于接收认证服务器所发送的认证结果。

作为本实施例的一种可选实施方式，该认证装置还包括第二判断单元70和第二发送单元80。

第二判断单元70，用于判断当前会议是否属于预设安全级别。

第二发送单元80，用于当当前会议属于预设安全级别时，向会议服务器发送链路确认请求。

作为本实施例的一种可选实施方式，该认证装置还包括：第三认证单元90，用于对第一会议终端进行身份认证；当所述第一会议终端身份认证通过时，所述第一会议终端向所述会议服务器发送所述链路确认请求。所述装置还包括第三发送单元100，用于在对所述第二会议终端认证通过后，将对所述第一会议终端的认证结果发送给所述第二会议终端。

上述各单元、子单元所执行的具体步骤请参阅实施例一至实施例六。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。