专利名称:用于在基于因特网协议的语音(voip)通信中注册和自动检索数字证书的方法和系统的制作方法
技术领域:
本发明涉及计算机通信系统。更具体来说,本发明涉及用于在基于因特网协议的语音(VOIP)通信中注册和自动检索数字证书的方法和系统。
图1是根据本发明的一个实施例、具有证书注册和自动证书检索的基于因特网协议的语音(VOIP)通信系统的系统框图。
图2A至2E是框图,说明根据本发明的一个实施例、能够执行证书注册和检索其中任一个或两者的自动证书检索系统的备选配置。
图3是根据本发明的一个实施例、基于因特网协议的语音(VOIP)通信系统中数字证书注册和自动证书检索的系统框图。
图4是根据本发明的一个实施例的证书注册和自动证书检索系统的系统框图,它说明VOIP通信中的证书注册和自动检索/转发及撤销。
图5是根据本发明的实施例的VOIP通信系统的系统框图,用来说明用户下载凭证的两种可行方法。
图6是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中提供数字证书注册和自动证书检索的方法。
图7是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中提供数字证书注册的方法。
图8是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中自动证书检索/转发及撤销的过程。
图9是根据本发明的一个实施例的高级流程图,说明VOIP通信中的证书注册和自动检索/转发及撤销的方法。
图10是根据本发明的一个实施例的详细流程图,说明VOIP通信中的证书注册的方法。
图11是根据本发明的一个实施例的详细流程图,说明VOIP通信中的自动证书检索/转发及撤销的方法。
详细描述图1是根据本发明的一个实施例、具有证书注册和自动证书检索的基于因特网协议的语音(VOIP)通信系统100的系统框图。一般来说,通信系统100可包括耦合到网络120(例如因特网、局域网(LAN)、广域网(WAN)、内联网等)的主叫IP电信装置110、同样耦合到网络120的被叫IP电信装置130以及耦合到网络120的自动证书检索系统140。例如,主叫IP电信装置110和被叫IP电信装置130均可是因特网启用的陆线和/或无线电话、配备耳机/电话接口的个人计算机、个人数字助理(PDA)和/或另一种手持装置。这两种装置均可包括操作系统(OS)以及必要时的独立VOIP通信应用程序。例如,VOIP启用的电话仅可具有OS,而配备了耳机/电话接口的PC则可具有独立的OS和独立的VOIP通信应用程序。同样,IP电信装置110表示为主叫装置以及IP电信装置130表示为被叫装置只是本发明的一个实施例的示范,应当清楚地理解,IP电信装置130也可方便地作为主叫IP电信装置110。自动证书检索系统140可从主叫方接收具有主叫方证书的定期请求,从而通过网络120建立数字语音呼叫。响应每个请求,自动证书检索系统140可确定被叫方的位置,例如在数字语音呼叫建立请求中标识的被叫方的IP地址等电子地址,以及把数字语音呼叫建立请求与主叫方证书一起发送给被叫方。自动证书检索系统140还可接收来自被叫方的接受消息,检验被叫方接受消息,以及把被叫方接受消息与被叫方证书一起发送给主叫方。
根据本发明的实施例,自动证书检索系统140可采用各种配置来实现,例如,自动证书检索系统140可作为集成和/或分布式系统来实现。
图2A至2E是框图,说明根据本发明的一个实施例、能够执行证书注册和证书检索功能其中任一个或两者的自动证书检索系统140的备选配置。在图2A中,自动证书检索系统140可作为单个代理服务器210来实现,它一般可执行呼叫建立过程中检索及转发主叫方和被叫方证书所需的部分或全部功能。例如,在图2A的实施例中,代理服务器210可以实现为本机存储证书以便于快速检索和/或从一个或多个远程位置检索证书和/或位置信息。同样,在图2B中,自动证书检索系统140可作为一组代理服务器210-1、210-2、...、210-n来实现,其中n≥2,一般来说,代理服务器210-1、210-2、...、210-n可执行呼叫建立过程中检索及转发证书所需的部分或全部功能。如以上结合图2A所述,代理服务器210-1、210-2、...、210-n也可实现为本地存储证书以便于快速检索和/或从一个或多个远程位置、如不在该组中的其它代理服务器检索证书和/或位置信息。
在图2C中,根据本发明的一个实施例,自动证书检索系统140可采用与位置服务器220通信的代理服务器210来实现,其中位置服务器220可以是本地的或者远离代理服务器210。一般来说,代理服务器210和位置服务器220可独自或共同执行呼叫建立过程中检索及转发主叫方和被叫方证书所需的部分或全部功能。例如,位置服务器220可存储主叫方和被叫方的IP地址,以及可向代理服务器210提供这些IP地址。如同图2A和图2B中的实施例一样,图2C中本发明的实施例可实现为本地存储证书以便于快速检索和/或从一个或多个远程位置、例如其它代理服务器和/或位置服务器检索证书和/或位置信息。
在图2D中,根据本发明的一个实施例,自动证书检索系统140可采用与证书管理机构230通信的代理服务器210来实现,其中证书管理机构230可以是本地的或者远离代理服务器210。证书管理机构230可颁发和管理安全凭证以及用于消息加密的公钥。作为颁发安全凭证的一部分,证书管理机构230可为主叫方和被叫方颁发具有必要安全凭证、公钥及其它信息的各自数字签署的数字证书。一般来说,代理服务器210和证书管理机构230可独自或共同执行呼叫建立过程中检索及转发主叫方和被叫方证书所需的部分或全部功能。如图2A至图2C中一样,图2D中本发明的实施例可实现为在证书管理机构230和/或代理服务器210中存储证书,和/或从一个或多个远程位置、例如其它代理服务器、证书管理机构和/或位置服务器检索证书和/或位置信息。
在图2E中,自动证书检索系统140可采用相互进行通信的代理服务器210、位置服务器220和证书管理机构230来实现。如前面所述,根据本发明的一个实施例,位置服务器220和证书管理机构230均可是本地的或者远离代理服务器210。一般来说,代理服务器210、位置服务器220和证书管理机构230可独自或共同执行呼叫建立过程中检索及转发主叫方和被叫方证书所需的部分或全部功能。如图2A至图2D中的实施例一样,图2E中本发明的实施例可实现为在证书管理机构230和/或代理服务器210中存储证书,和/或从一个或多个远程位置、例如其它代理服务器、证书管理机构和/或位置服务器检索证书和/或位置信息。
图3是根据本发明的一个实施例、在VOIP通信中提供数字证书注册和自动证书检索的通信系统100的系统框图。在图3中,自动证书检索系统140表示成作为图2E所示的实施例来实现,其中代理服务器342可与具有相关位置数据库346的位置服务器344通信以及与证书管理机构348通信。同样,位置服务器344和证书管理机构348可相互通信。代理服务器342也可与主叫IP电信装置110和被叫IP电信装置130进行通信,以及主叫IP电信装置110和被叫IP电信装置130彼此可以直接通信。一般来说,自动证书检索系统140的组件之间的所有通信都可以是双向的。
为了说明通信系统100的操作,下面结合图3描述在主叫方呼叫被叫方时发生的情况。根据本发明的一个实施例,在图3中,代理服务器342可实现为会话发起协议(SIP)代理服务器342,作为传递从主叫IP电信装置110到被叫IP电信装置130的呼叫的实体。目前在草案“因特网工程任务组(IETF)”工作文件中定义了SIP(参考号draft-ietf-sip-rfc2543bis-08.ps,日期为2002年2月21日,“用于创建、修改和终止具有一个或多个参与方的会话的应用层控制(信令)协议”)。由于SIP代理服务器342可处理呼叫的信令,因此它也可以代表传递对应于主叫方和被叫方的证书的检索的适当实体。但是,如上所述,其它实体也可用来检索证书。
在图3中,呼叫请求可例如在SIP上下文中作为SIP邀请消息,沿第一通信路径305从主叫IP电信装置110发送给SIP代理服务器342。但是,与普通的SIP邀请消息不同,本实施例的SIP邀请消息可包含来自主叫IP电信装置110的证书,以及SIP邀请消息可以由主叫IP电信装置110数字签署。SIP邀请消息可由SIP代理服务器342接收/截收,以及SIP代理服务器342可沿第二通信路径310查询位置服务器344,以便获取被叫IP电信装置130的当前位置、即IP地址。同样,对位置服务器344的查询可由SIP代理服务器342数字签署,从而防止对位置服务器344的拒绝服务攻击。位置服务器344可被假定为拥有来自SIP代理服务器342的证书,可以可选地检验SIP代理服务器342在查询上的签名。
响应来自SIP代理服务器342的查询,位置服务器344可沿第三通信路径315返回被叫IP电信装置130的被叫位置、例如IP地址。同样,位置服务器344也可返回位置服务器344已知的被叫IP电信装置130的证书以及主叫IP电信装置110的证书。整个消息可由位置服务器344数字签署,以便表明包含在消息中的证书在签署响应消息时是有效的。一般来说,位置服务器344可返回主叫IP电信装置110和被叫IP电信装置130的有效证书。位置服务器344可对照在线证书状态协议(OCSP)应答器/证书管理机构或其它证书状态服务(未示出)来检验它自己的主叫IP电信装置110和被叫IP电信装置130的证书副本,或者只是从证书管理机构348得到当前证书。OCSP是用于维护网络资源、例如代理服务器210的安全性的最新方案。在图3中,如果位置服务器344无法得到主叫IP电信装置110和被叫IP电信装置130的当前有效证书,则位置服务器344不能沿第三通信路径315向SIP代理服务器342返回任何消息。由位置服务器进行的这种证书查找可基于位置服务器344已知的关于主叫方和被叫方的一个或多个属性,例如电子邮件地址。
根据本发明的另一个实施例,位置服务器344本身实际上可以是OCSP应答器/证书管理机构和/或某种证书撤销列表(CRL)信息库。CRL是用于维护网络资源的安全性的较老的方法,通过保持采用用户的数字证书的状态所标识的用户的列表,并根据用户的数字证书的状态允许或拒绝访问,来进行这种操作。
继续VOIP呼叫的SIP实施例,在图3中,SIP代理服务器342可沿第四通信路径320转发具有从主叫IP电信装置110到被叫IP电信装置130的原始SIP邀请以及位置服务器344返回的主叫IP电信装置110的有效证书的消息。SIP代理服务器342不需要向被叫IP电信装置130发送它自己证书的副本,因为被叫IP电信装置130已经有它自己的证书。整个消息可由SIP代理服务器342签署。
一旦被叫IP电信装置130表明它愿意接受该呼叫,则被叫IP电信装置130采用可由被叫IP电信装置130数字签署的OK消息进行响应。在截收到被叫IP电信装置130的OK响应时,SIP代理服务器342可采用由被叫IP电信装置130附加到OK消息的证书、或者在没有附加证书时采用SIP代理服务器342先前从位置服务器344得到的被叫IP电信装置130的证书副本,来检验消息上的签名。
在由SIP代理服务器342验证被叫IP电信装置130的签名的过程中可能出现的两种情况包括以下情况。首先,如果被叫IP电信装置130将证书附加到OK消息,并且采用该证书成功对签名进行了检验,则SIP代理服务器342可将该证书与SIP代理服务器342最近从位置服务器344得到的副本进行比较。如果证书相同,则SIP代理服务器342可将被叫IP电信装置130的证书转发给主叫IP电信装置110。但是,如果证书不相同,则SIP代理服务器342可例如对照OCSP应答器来检验被叫IP电信装置130在OK消息中提供的证书的状态。如果状态检验返回肯定(即证书有效),则一切顺利,以及SIP代理服务器342可将被叫IP电信装置130的证书转发给主叫IP电信装置110。如果例如OCSP应答器返回否定,即证书无效,则SIP代理服务器342可向主叫IP电信装置110返回错误消息、例如有效证书不存在,指明被叫IP电信装置130必须采用有效证书签署OK消息,或者指明有效证书必须附在OK消息上。
其次,如果被叫IP电信装置130没有将证书附到OK消息上并且在SIP代理服务器342采用被叫IP电信装置130的证书副本、即先前从位置服务器344得到的证书成功地检验了签名,则SIP代理服务器可将颁发给被叫IP电信装置130的证书转发给主叫IP电信装置110。这意味着,被叫IP电信装置130是诚实的,并且其证书是当前的/有效的。
一旦SIP代理服务器342拥有有效的被叫IP电信装置130的证书,SIP代理服务器342则可向主叫IP电信装置110返回被叫IP电信装置130的证书。
接收到被叫IP电信装置130的证书时,主叫IP电信装置110可向被叫IP电信装置130发送确认(ACK)消息,表明该呼叫可继续进行。主叫IP电信装置110也可采用被叫IP电信装置130的公钥来协商后续对话的其它加密材料。
图4是根据本发明的一个实施例的证书注册和自动证书检索系统的系统框图,它说明VOIP通信中的证书注册和自动检索/转发及撤销。在图4中,主叫IP电信装置110可耦合到代理注册器442,它可耦合到位置服务器444和证书管理机构448。位置服务器444可耦合到位置数据库446。继续图3中所述的SIP系统实施例,图4中的系统表示在VOIP呼叫的上下文中如何进行证书注册和自动检索/转发及撤销的一个实施例。明确地说,代理注册器442可以是SIP代理注册器442。
在图4中,根据本发明的一个实施例,用户可通过沿第一通信路径405向也可用作SIP代理服务器的SIP代理注册器442发送注册消息,从主叫IP电信装置110进行注册。一般来说,通信路径可被定义为给定源与目的地之间可经过相同或不同物理路径的逻辑连接。注册消息一般可包含用户的号码和位置、即IP地址信息以及用户公钥证书。整个注册消息也可由用户签署。一般来说,让注册消息由用户签署提供关于用户是该用户表明的身份的更高置信度。
在图4中,SIP代理注册器442可检验证书中提供的身份是否匹配用户表明的身份。SIP代理注册器442也可检验注册消息的数字签名。SIP代理注册器442还可例如沿着到证书管理机构448的第二通信路径410,通过采用证书状态服务进行检验,来检验证书的有效性。
SIP代理注册器442可沿第三通信路径415发送消息,通知位置服务器444关于用户的存在/位置以及用户的公钥证书。来自SIP代理注册器442的消息也可由SIP代理注册器442采用它自己的数字证书来签署。然后,SIP代理注册器442不仅可将用户的名称/身份、如电子邮件地址绑定到用户的位置(例如IP地址),而且还可以绑定到用户的已验证证书。
在图4中,SIP代理注册器442可沿第四通信路径420向主叫IP电信装置110上的用户返回OK消息,以表明注册过程的成功完成。同样,如果注册过程不成功,则SIP代理注册器442可沿第四通信路径420向主叫IP电信装置110上的用户返回错误消息,以表明注册过程失败。如果注册过程不成功,则用户可重试整个注册过程。同样的注册过程也可出现在耦合到系统的任何IP电信装置、例如被叫IP电信装置130之间。第一通信路径405和第四通信路径420表示为独立路径只是为了帮助描述本实施例的方法。因此,应当清楚地理解,单一的双向通信路径也可使用,例如,第一通信路径405和第四通信路径420可以实现为单一的双向通信路径。
图5是根据本发明的实施例的VOIP通信系统的系统框图,用来说明让用户下载凭证、例如数字证书的两种可行方法。一般来说,在图5中,主叫IP电信装置110可下载其凭证,作为向被叫IP电信装置130发起呼叫的一部分。这可通过以下方式来实现由主叫方允许主叫IP电信装置110接收可选入口,如以上结合图4所述,这将触发对主叫方的加密凭证的检索。在图5中,为了完成对主叫方的加密凭证的检索,主叫方可在主叫IP电信装置110上输入主叫方的保密PIN号或密码或者预置令牌,这可对主叫方的凭证进行解密并加载到主叫IP电信装置110的易失性存储装置(未示出)、例如内存中。令牌可以是在验证其承载时有用的硬件装置,如智能卡。根据本发明的实施例,在VoIP呼叫完成时,主叫IP电信装置110可自动从其易失性存储装置(内存)中擦除凭证。
根据本发明的一个实施例,主叫方的凭证的下载可通过以下方式实现沿第一通信路径505,利用代理服务器542、例如SIP代理服务器542作为中介,从凭证服务器550获取所请求的用户凭证。SIP代理服务器542又可以沿第二通信路径510从凭证服务器550获取凭证的加密件。凭证服务器550又可从相关的凭证存储器560-1...560-n获取加密件,其中各相关的凭证存储器560-1...560-n可分别耦合到位置数据库562-1...562-n。凭证服务器550可沿第三通信路径515向SIP代理服务器542发送所得到的凭证加密件,SIP代理服务器542又可沿通信路径520将凭证的加密件发送给主叫IP电信装置110。通信路径505、510、515和520表示为独立路径只是为了帮助描述本实施例的方法。因此,应当清楚地理解,单一的双向通信路径也可使用,例如,第一通信路径505和第四通信路径520可以实现为单一的双向通信路径,以及第二通信路径510和第三通信路径515可实现为另一个单一的双向通信路径。
根据本发明的另一个实施例,在图5中,凭证下载可直接利用主叫IP电信装置110沿第五通信路径530从凭证服务器550下载凭证来实现。如前面所述的实施例中那样,凭证服务器550又可分别从相关的凭证存储器560-1...560-n和位置数据库562-1...562-n获取凭证的加密件。凭证服务器550可沿第六通信路径535将所得到的凭证加密件发送给主叫IP电信装置110。如前面的实施例中一样,通信路径530和535表示为独立路径只是为了帮助描述本实施例的方法。因此,应当清楚地理解,单一的双向通信路径也可使用,例如,第五通信路径530和第六通信路径535可以实现为单一的双向通信。
根据本发明的又一个实施例,图1中所述的证书注册系统也可用于经由SIP代理服务器342存储凭证。
图6是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中的自动证书检索/转发及撤销的方法。在图6中,根据本发明的一个实施例,可在SIP代理服务器上在可由主叫方数字签署的消息中接收(605)作为具有主叫方的证书的SIP邀请消息的、对被叫方的VOIP呼叫请求。SIP代理服务器可发送(610)代理服务器(PS)签署的、对被叫方的当前位置的数字请求。对被叫方的当前位置的请求可发送给位置服务器。代理服务器可从位置服务器接收(615)在位置服务器(LS)签署的数字消息中的被叫方的位置以及被叫方的证书和主叫方的证书的检验副本。证书的检验副本可通过在位置服务器中对照OCSP应答器或其它证书状态服务检验证书的副本来得到。同样,证书的检验副本可从具有证书副本的任何证书管理机构获取,实际上,位置服务器可用作OCSP应答器和/或CRL信息库。
在图6中,根据本发明的一个实施例,SIP邀请消息可在数字消息中从SIP代理服务器转发(620)到被叫方的当前位置,其中具有主叫方的证书的检验副本。该数字消息可由SIP代理服务器签署。作为响应,来自被叫方的数字OK消息可由SIP代理服务器接收(625),或具有或没有被叫方的证书。数字OK消息可由被叫方签署。被叫方在OK消息上的签名可在SIP代理服务器收到时检验(630)。OK消息、被叫方的证书以及数字签名可从SIP代理服务器转发(635)给主叫方。
在图6中,在接收到来自SIP代理服务器的OK消息、被叫方的证书以及数字签名时,主叫方可向被叫方发送(650)具有暂时号和会话密钥的确认消息(ACK消息)来完成该呼叫。呼叫可在主叫方与被叫方之间继续进行,直到一方或双方中断呼叫。
图7是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中的证书注册的方法。在图7中,具有用户的号码、位置和证书的来自用户的数字签署VOIP注册消息可由SIP代理服务器接收(705)。SIP代理服务器可检验(710)证书中用户的身份是否匹配用户声明的身份。SIP代理服务器也可检验(715)注册消息中的用户签名。SIP代理服务器可请求对用户证书的有效性的检验(720),以及接收来自位置服务器的、对用户证书的有效性的所请求的检验(725)。用户的存在/位置信息以及公钥证书可发送(730)给OCSP。OCSP可以是证书管理机构和/或CRL,以及传输可由具有自己的证书的SIP代理服务器签署。代理服务器可将用户的名称/身份(例如电子邮件地址)、用户的位置(例如IP地址)以及已验证证书绑定(735)在一起。如果注册过程是成功的,则注册完成消息、例如OK消息可从SIP代理服务器发送(740)给用户。
如上所述,图7所示的注册过程可在来自用户的呼叫发起请求之前或者与其同时进行。
图8是根据本发明的一个实施例的详细过程流程图,说明VOIP通信中自动证书检索/转发及撤销的过程。在图8中,根据本发明的一个实施例,用户可通过向被叫方发送(805)呼叫请求、例如SIP邀请消息来发起VOIP呼叫。SIP邀请消息也可以在可由主叫方数字签署的消息中并与主叫方的证书一起发送。SIP邀请消息可在SIP代理服务器上被截收/接收,SIP代理服务器又可发送(810)对被叫方的当前位置的数字签署请求。对当前位置的请求可发送给位置服务器,该服务器可将请求发送给OCSP应答器或其它证书状态服务,以便检验(815)存储在位置服务器的主叫方和被叫方证书。在本发明的实施例中,位置服务器也可用作OCSP应答器和/或CRL信息库。OCSP可将主叫方和被叫方证书的检验/非检验确认回送(820)给位置服务器。如果证书经过检验,则位置服务器可向SIP代理服务器返回(825)当前位置以及被叫方和主叫方的证书的检验副本。证书的检验副本可在LS签署的数字消息中返回。如果证书未经过检验,则位置服务器可以不向代理服务器返回任何消息(830)。
在图8中,在接收到/没有接收到证书的检验副本时,代理服务器可将SIP邀请消息转发(835)给被叫方的当前位置上的被叫方,或具有或没有主叫方的证书的检验副本。SIP邀请消息和主叫方的证书的检验副本,在收到的情况下,可在PS签署的数字消息中从代理服务器转发(835)。由于被叫方一般应当已经具有它自己的证书,因此所接收的被叫方的证书的检验副本不需要由代理服务器发送给被叫方。被叫方可向SIP代理服务器回送(840)OK消息,或具有或没有被叫方的证书,以表明被叫方接受呼叫的意向。OK消息可由被叫方签署。被叫方的签名可在由SIP代理服务器接收OK消息时检验(845)。如果被叫方的签名经过检验,则SIP代理服务器可向主叫方转发(850)OK消息以及被叫方的已检验证书及数字签名。在收到来自SIP代理服务器的OK消息、被叫方的证书以及数字签名时,主叫方可向被叫方发送(855)具有暂时号和会话密钥的确认消息(ACK消息)来完成该呼叫。暂时号可以是只可使用一次的一段信息、例如一个号码。暂时号可以是随时间变化的参数,例如时标或特殊标记。呼叫可在主叫方与被叫方之间继续进行,直到一方或双方中断呼叫。
在图8中,如果被叫方的签名未经过检验(845),则SIP代理服务器可向OCSP发送(860)请求,以重新检验被叫方的证书。在收到该请求时,OCSP可返回(865)状态检验消息,以表明证书是有效还是无效。如果状态检验消息表明证书是有效的,则SIP代理服务器可向主叫方转发(850)OK消息以及被叫方的已检验证书及数字签名,而且该呼叫可按照以上所述完成。但是,如果状态检验消息表明证书无效,则SIP代理服务器可向被叫方返回(870)错误消息,请求被叫方返回以下任一个消息具有有效证书的签署OK消息,或者具有附加的有效证书的OK消息。被叫方可向SIP代理服务器再次回送(840)具有被叫方的有效证书的签署OK消息或者附有被叫方的有效证书的OK消息。此过程可通过检验(845)被叫方的签名继续进行,以及呼叫可按照前面所述完成。
图9是根据本发明的一个实施例的顶级流程图,说明VOIP通信中的证书注册和自动检索/转发及撤销的方法。在图9中,数字语音用户及其相关用户证书可经过注册(905),以便使用提供VOIP通信的系统。注册可在通信系统中由例如位于图1的自动证书检索系统140中的注册服务器/代理注册器来执行。在图9中,数字语音呼叫建立请求可例如在位于图1的自动证书检索系统140中的网关处被接收(910),该网关可在系统的用户之间传递呼叫。回到图9,数字语音呼叫的呼叫建立信息和证书可例如通过网关获得(915)。证书可用于可能在数字语音呼叫建立中标识的主叫方和被叫方。数字语音呼叫可在主叫方与被叫方之间建立和进行(920),然后在数字语音呼叫终止时结束。如上所述,该方法可采用各种系统配置来实施,例如图1至5所示的上述那些配置。因此,以上所述的特定示例方法和系统配置只是对广义方法的一般操作的说明,而绝不应当解释为将此方法的应用限制为所述的特定系统。
图10是根据本发明的一个实施例的详细流程图,说明VOIP通信中的证书注册的方法。在图10中,可由用户签署的、具有公钥证书的用户注册消息例如可通过位于图1的自动证书检索系统140中的注册服务器/代理注册器来接收(1005)。在图10中,注册消息中所断言的身份是否匹配公钥证书中的身份例如可由注册服务器来检验(1010)。用户注册消息中的用户签名也可例如由注册服务器检验(1015)。公钥证书的有效性的检验可例如由注册服务器请求(1020)。公钥证书的有效性的检验例如可由注册服务器接收(1025)。用户的存在/位置信息以及公钥证书可存储(1030)在例如位于图1的自动证书检索系统140的位置服务器中。在图10中,用户的名称/身份、例如电子邮件地址可绑定(1035)到用户的IP地址(位置),以及用户的名称/身份和IP地址还可绑定(1035)到用户的已验证证书。该方法还向用户发送(1040)注册完成消息来表明成功注册,然后结束。如上所述,该方法可采用各种系统配置来实施,例如图1至5所示的上述那些配置。因此,以上所述的特定示例方法和系统配置只是对广义方法的一般操作的说明,而绝不应当解释为将此方法的应用限制为所述的特定系统。
图11是根据本发明的一个实施例的详细流程图,说明VOIP通信中的自动证书检索/转发及撤销的方法。在图11中,具有相关的主叫方证书的数字语音呼叫建立请求例如可由网关、如图3的自动证书检索系统140中的代理服务器342来接收(1105)。在图11中,数字语音呼叫建立请求中标识的被叫方的位置可例如由代理服务器342来确定(1110)。数字语音呼叫建立请求与相关的主叫方证书一起可例如从代理服务器342发送(1115)给被叫方。另外,代理服务器342可将它的签名与数字呼叫建立请求及相关的主叫方证书一起发送。被叫方接受消息例如可由代理服务器342从被叫方接收(1120)。一般来说,被叫方接受消息表明被叫方从主叫方接收数字语音呼叫的能力和/或意向。同样,被叫方接受消息可带有被叫方证书,并可由被叫方签署。所接收的被叫方接受消息例如可由代理服务器342检验(1125)。如前面所述,如果被叫方接受消息无法被检验,例如被叫方的证书无法被检验,则代理服务器342可请求被叫方重新提交接受消息及被叫方证书。被叫方接受消息和被叫方证书可例如从代理服务器342发送(1130)给主叫方,然后该方法可结束。如上所述,该方法可采用各种系统配置来实施,例如图1至5所示的上述那些配置。因此,以上所述的特定示例方法和系统配置只是对广义方法的一般操作的说明,而绝不应当解释为将此方法的应用限制为所述的特定系统。
根据本发明的一个实施例,用于在网络中进行通信的方法包括以下步骤从主叫方接收与主叫方证书相关的数字语音呼叫建立请求,以及确定数字语音呼叫建立请求中标识的被叫方的位置。该方法还包括以下步骤将数字语音呼叫建立请求与主叫方证书一起发送给被叫方,接收被叫方接受消息,检验被叫方接受消息,以及把被叫方接受消息和被叫方证书发送给主叫方。
根据本发明的一个实施例,媒体存储适合由处理器执行的指令,在执行时,这些指令将处理器配置成从主叫方接收与主叫方证书相关的数字语音呼叫建立请求,确定数字语音呼叫建立请求中标识的被叫方的位置,以及将数字语音呼叫建立请求与主叫方证书一起发送给被叫方。这些指令还将处理器配置成接收被叫方接受消息,检验被叫方接受消息,以及把被叫方接受消息和被叫方证书发送给主叫方。
根据本发明的一个实施例,用于在基于因特网协议的语音(VOIP)通信系统中提供数字证书注册和自动证书检索的系统包括VOIP网关,它被配置成从主叫方接收与主叫方证书相关的数字语音呼叫建立请求,确定数字语音呼叫建立请求中标识的被叫方的位置,将数字语音呼叫建立请求与主叫方证书一起发送给被叫方,接收被叫方接受消息,检验被叫方接受消息,以及将被叫方接受消息和被叫方证书一起发送给主叫方。
根据本发明的一个实施例,用于建立网络中的通信的设备可包括处理器以及耦合到处理器的存储器,其中存储器存储呼叫建立指令,这些指令适合由处理器执行,以便执行根据本发明的一个实施例的方法。
本文具体地说明和描述了本发明的若干实施例。但是应当理解,本发明的各种修改及变更均包含在上述理论及所附权利要求的范围之内,而没有背离本发明的精神和预定范围。
权利要求
1.一种在网络上进行通信的方法,包括从主叫方接收与主叫方证书相关的数字语音呼叫建立请求;确定所述数字语音呼叫建立请求中标识的被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方;接收被叫方接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
2.如权利要求1所述的方法,其特征在于,所述接收数字语音呼叫建立请求的步骤包括从所述主叫方接收与所述主叫方证书相关的基于因特网协议的语音(VOIP)呼叫建立请求。
3.如权利要求1所述的方法,其特征在于,所述数字语音呼叫建立请求包括主叫方因特网协议(IP)地址;以及被叫方IP地址。
4.如权利要求1所述的方法,其特征在于,所述数字语音呼叫建立与主叫方签名相关。
5.如权利要求1所述的方法,其特征在于,所述确定被叫方的位置的步骤包括将对于所述位置的请求发送给位置服务器,所述请求包括所述被叫方的标识符和所述发送方的签名;从所述位置服务器接收位置响应,所述位置响应包括所述被叫方的位置、被叫方证书以及主叫方证书。
6.如权利要求5所述的方法,其特征在于,所述位置响应包括所述位置服务器的签名。
7.如权利要求1所述的方法,其特征在于,所述数字语音呼叫建立请求还包括所述主叫方的签名。
8.如权利要求1所述的方法,其特征在于,所述被叫方接受消息包括被叫方签名。
9.如权利要求1所述的方法,其特征在于,所述检验所述被叫方接受消息的步骤包括以下各项中的至少一项检验附加在所述接受消息中的被叫方证书;以及检验先前接收的被叫方证书。
10.如权利要求9所述的方法,其特征在于,所述先前接收的被叫方证书是与所述被叫方的所述位置一起接收的。
11.如权利要求1所述的方法,其特征在于还包括将被叫方签名发送给所述主叫方。
12.如权利要求1所述的方法,其特征在于还包括利用网络中的数字语音通信系统注册所述主叫方和所述被叫方。
13.如权利要求12所述的方法,其特征在于,注册所述用户和所述被叫方的步骤包括接收用户名称;用户IP地址;用户公钥证书;以及用户数字签名。
14.如权利要求13所述的方法,其特征在于还包括检验所述注册消息中的所述用户名称是否与所述公钥证书中的用户名称相同;检验所述用户数字签名;以及检验所述用户公钥证书是否有效。
15.如权利要求14所述的方法,其特征在于还包括将所述用户名称绑定到所述用户IP地址;以及将所述已验证用户公钥证书绑定到所述已绑定用户名称和用户IP地址。
16.如权利要求15所述的方法,其特征在于包括如果所述用户注册成功,则返回OK消息。
17.如权利要求12所述的方法,其特征在于,所述注册出现在接收到所述数字语音呼叫建立请求之前。
18.如权利要求17所述的方法,其特征在于,所述分开的注册过程操作包括接收与注册所述主叫方的请求一起的所述数字语音呼叫建立请求和所述主叫方的证书;确定所述被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方的证书一起发送给所述被叫方;接收来自所述被叫方的接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
19.如权利要求12所述的方法,其特征在于,所述注册出现在接收到所述数字语音呼叫建立请求之后。
20.一种存储适合处理器执行的指令的媒体,当执行指令时,所述指令将所述处理器配置成从主叫方接收与主叫方证书相关的数字语音呼叫建立请求;确定所述数字语音呼叫建立请求中标识的被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方;接收被叫方接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
21.如权利要求20所述的媒体,其特征在于,所述接收数字语音呼叫建立请求操作将所述处理器配置成从所述主叫方接收与所述主叫方证书相关的基于因特网协议的语音(VOIP)呼叫建立请求。
22.如权利要求20所述的媒体,其特征在于,所述接收数字语音呼叫建立请求操作将所述处理器配置成接收来自主叫方因特网协议(IP)地址的所述数字语音呼叫建立请求,所述数字语音呼叫建立请求具有与其相关的所述主叫方证书并被引导到被叫方IP地址。
23.如权利要求20所述的媒体,其特征在于,所述接收数字语音呼叫建立请求操作还将所述处理器配置成接收具有主叫方签名的所述数字语音呼叫建立请求。
24.如权利要求20所述的媒体,其特征在于,所述确定操作还将所述处理器配置成将对于所述位置的请求发送给位置服务器,所述请求包括所述被叫方的标识符和签名;以及从所述位置服务器接收位置响应,所述位置响应包括所述被叫方的位置、被叫方证书以及主叫方证书。
25.如权利要求24所述的媒体,其特征在于,所述接收所述位置响应操作还将所述处理器配置成接收所述位置服务器的签名。
26.如权利要求20所述的媒体,其特征在于,所述发送所述数字语音呼叫建立请求操作将所述处理器配置成发送具有签名的所述数字语音呼叫建立请求。
27.如权利要求20所述的媒体,其特征在于,所述接收所述被叫方接受消息操作将所述处理器配置成接收与所述被叫方接受消息一起的被叫方签名。
28.如权利要求20所述的媒体,其特征在于,所述检验所述被叫方接受消息操作将所述处理器配置成采用以下项之一来检验与所述被叫方接受消息一起接收的被叫方签名附加到所述接受消息中的被叫方证书;以及先前接收的被叫方证书。
29.如权利要求28所述的媒体,其特征在于,所述先前接收的被叫方证书是与所述被叫方的所述位置一起接收的。
30.如权利要求20所述的媒体,其特征在于,所述处理器还配置成将被叫方签名发送给所述主叫方。
31.如权利要求20所述的媒体,其特征在于,所述处理器还配置成利用所述数字语音通信系统来注册所述主叫方和所述被叫方。
32.如权利要求31所述的媒体,其特征在于,所述注册所述主叫方和所述被叫方的操作将所述处理器配置成接收用户名称;接收用户IP地址;接收用户公钥证书;以及接收用户数字签名。
33.如权利要求32所述的媒体,其特征在于,所述处理器还配置成检验所述注册消息中的所述用户名称是否与所述公钥证书中的用户名称相同;检验所述用户数字签名;以及检验所述用户公钥证书是否有效。
34.如权利要求33所述的媒体,其特征在于,所述处理器还配置成将所述用户名称绑定到所述用户IP地址;以及将所述已验证用户公钥证书绑定到所述已绑定用户名称和用户IP地址。
35.如权利要求34所述的媒体,其特征在于,所述处理器还配置成如果所述主叫方注册成功,则返回OK消息。
36.一种用于在基于因特网协议的语音(VOIP)通信系统中提供数字证书注册和自动证书检索的系统,所述系统包括VOIP网关,所述VOIP网关用于从主叫方接收与主叫方证书相关的数字语音呼叫建立请求;确定所述数字语音呼叫建立请求中标识的被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方;接收被叫方接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
37.如权利要求36所述的系统,其特征在于,所述VOIP网关包括与所述VOIP通信系统进行通信的会话发起协议(SIP)代理服务器,所述SIP代理服务器使所述主叫方与所述被叫方之间能够通信。
38.如权利要求37所述的系统,其特征在于,所述VOIP网关还包括以下各项中的至少一项与所述SIP代理服务器通信的位置服务器;与所述SIP代理服务器通信的至少一个备选代理服务器;与所述SIP代理服务器通信的证书查找工具;以及与所述SIP代理服务器通信的在线证书状态协议(OSSP)应答器。
39.如权利要求37所述的系统,其特征在于,所述VOIP网关还包括与所述SIP代理服务器通信的位置服务器;与所述位置服务器通信的位置数据库,所述位置数据库包括所述被叫方的当前位置、被叫方证书以及主叫方证书;以及与所述位置服务器和所述SIP代理服务器通信的证书管理机构。
40.一种用于在网络上建立通信的设备,包括处理器;以及耦合到所述处理器的存储器,所述存储器存储呼叫建立指令,所述呼叫建立指令适合由所述处理器执行,从而执行包括以下各项的步骤从主叫方接收与主叫方证书相关的数字语音呼叫建立请求;确定所述数字语音呼叫建立请求中标识的被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方;接收被叫方接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
41.一种用于在基于因特网协议的语音(VOIP)通信系统中提供数字证书注册和自动证书检索的系统,所述系统包括VOIP网关,所述VOIP网关包括用于从主叫方接收与主叫方证书相关的数字语音呼叫建立请求的部件;用于确定所述数字语音呼叫建立请求中标识的被叫方的位置的部件;用于将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方的部件;用于接收被叫方的受消息的部件;用于检验所述被叫方接受消息的部件;以及用于将所述被叫方接受消息和被叫方证书发送给所述主叫方的部件。
42.一种用于在网络中建立通信的设备,包括用于处理的部件;以及耦合到所述处理部件、用于存储的部件,所述存储部件存储呼叫建立指令,所述呼叫建立指令适合由所述处理部件执行,从而执行包括以下各项的步骤从主叫方接收与主叫方证书相关的数字语音呼叫建立请求;确定所述数字语音呼叫建立请求中标识的被叫方的位置;将所述数字语音呼叫建立请求与所述主叫方证书一起发送给所述被叫方;接收被叫方接受消息;检验所述被叫方接受消息;以及将所述被叫方接受消息和被叫方证书发送给所述主叫方。
全文摘要
用于在基于因特网协议的语音(VOIP)通信中注册和自动检索数字证书的方法和系统。根据本发明的一个实施例,该方法包括从主叫方接收具有相关主叫方证书的数字语音呼叫建立请求(605),以及确定数字语音呼叫建立请求中标识的被叫方的位置(610,615)。该方法还包括将数字语音呼叫建立请求与主叫方证书一起发送给被叫方(620),以及接收被叫方接受消息。该方法还包括检验被叫方接受消息(625),以及将被叫方接受消息和被叫方证书发送给主叫方(635)。
文档编号H04L12/66GK1682505SQ03821209
公开日2005年10月12日 申请日期2003年6月30日 优先权日2002年7月9日
发明者T·P·哈德约诺 申请人:弗里塞恩公司