专利名称:用于在对等覆盖网络中进行用户身份认证的装置和方法
用于在对等覆盖网络中进行用户身份认证的装置和方法根据35U. S. C. § 119的优先权要求本专利申请要求于2009年3月26日提交的题为“METHOD FOR USER IDENTITY AUTHENTICATION IN PEER-TO-PEER OVERLAY NETWORKS (用于在对等覆盖网络中进行用户身份认证的方法)”的临时申请No. 61/163,821的优先权,其已转让给本专利申请受让人并因而被明确援引纳入于此。背景领域本发明一般涉及对等覆盖网络中的用户身份认证。背景对等(P2P)覆盖网络是为更好的可伸缩性、更容易的用户交互以及更容易的应用部署所设计的。此类网络是相对开放的,因为用户可以随意加入和离开。与此类动态用户参与相关联的一个问题是用户身份的不确定性。为了在对等网络上启用诸如社交网络化和文件共享之类的应用,希望有一致且可验证的用户身份。另外,为了对等网络的安全性,需要建立用户身份以允许营造用户声誉并且允许对用户行为进行反馈。一种用于对等网络中的用户身份的简单解决方案是允许这些用户宣称他们自己的身份并将所宣称的身份用在随后的覆盖应用中。此办法具有缺点。一个缺点是在准许用户进入P2P系统期间认证所宣称的身份的困难性,因为在用户与P2P覆盖之间将没有先前建立的认证凭证。另一缺点是覆盖中的对等方验证其他对等方的身份的困难性。在用户加入覆盖之后,该用户就能在与其他对等方通信时使用任意的用户id,并且其他用户将无从验证所宣称的身份。因此,需要用于对等覆盖网络中的用户身份认证的技术。概述本发明的一方面可在于一种用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法。在该方法中,覆盖网络的凭证服务器接收来自正加入的对等方设备的注册用户身份。凭证服务器向身份提供者验证该注册用户身份。一旦在凭证服务器处接收到来自身份提供者的对该注册用户身份的成功验证,该凭证服务器就向正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证此正加入的对等方设备的注册用户身份,其中经签署的证书是由凭证服务器的私钥签署的。在本发明的更详细的方面,覆盖网络中的每个经认证对等方设备可以具有凭证服务器的公钥,该公钥允许每个经认证对等方设备验证正加入的对等方设备的经签署的证书的来源是凭证服务器。凭证服务器可以使用OpenID协议以向身份提供者验证注册用户身份。经签署的证书可包括经验证的注册用户身份以及正加入的对等方设备的公钥。经签署的证书还可包括由凭证服务器指派用于网络操作的节点身份。另外,覆盖网络中的至少一个经认证对等方设备可能不能与身份提供者建立连接以验证注册用户身份。在本发明的更详细的方面,正加入的对等方设备的注册用户身份可以是诸如电子邮件地址之类的全局唯一性标识符。另外,注册用户身份可以是向第三方身份提供者注册的。本发明的另一方面可在于一种具有对正加入对等覆盖网络的对等方设备的用户身份认证的凭证服务器。该凭证服务器可包括用于接收来自正加入的对等方设备的注册用户身份的装置,用于向身份提供者验证该注册用户身份的装置,以及用于一旦接收到来自该身份提供者的对该注册用户身份的成功验证就向该正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份的装置,其中该经签署的证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种具有对正加入对等覆盖网络的对等方设备的用户身份认证的凭证服务器中。该凭证服务器可包括配置成执行以下动作的处理器接收来自正加入的对等方设备的注册用户身份,向身份提供者验证该注册用户身份,以及一旦接收到来自该身份提供者的对该注册用户身份的成功验证就向该正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,其中该经签署的证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机接收来自正加入的对等方设备的注册用户身份的代码,用于使计算机向身份提供者验证该注册用户身份的代码,以及用于一旦接收到来自该身份提供者的对该注册用户身份的成功验证就使计算机向该正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份的代码,其中该经签署的证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法。在该方法中,正加入的对等方设备向凭证服务器提供注册用户身份。凭证服务器向网络中的每个经认证的对等方设备提供公钥,该公钥允许每个经认证的对等方设备验证来自凭证服务器的消息。凭证服务器向身份提供者验证该注册用户身份。一旦在凭证服务器处接收到来自身份提供者的对注册用户身份的成功验证,凭证服务器就向正加入的对等方设备颁发证书以供由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份。该证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种具有用于加入对等覆盖网络的用户身份认证的设备。该设备可包括用于向凭证服务器提供正加入的对等方设备的注册用户身份的装置,其中该凭证服务器向网络中的每个经认证对等方设备提供公钥,该公钥允许每个经认证的对等方设备验证来自该凭证服务器的消息;以及用于一旦凭证服务器向身份提供者成功验证了该注册用户身份就接收来自凭证服务器的证书的装置,其中该证书由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。该设备可以包括手表、头戴式送受话器、或者感测设备。本发明的另一方面可在于一种具有对正加入对等覆盖网络的对等方设备的用户身份认证的装置。该装置可包括配置成执行以下动作的处理器向凭证服务器提供正加入的对等方设备的注册用户身份,其中该凭证服务器向对等覆盖网络中的每个经认证对等方设备提供公钥,该公钥允许每个经认证对等方设备验证来自该凭证服务器的消息;以及一旦凭证服务器向身份提供者成功验证了该注册用户身份就接收来自该凭证服务器的证书, 其中该证书由覆盖网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种包括计算机可读介质的计算机程序产品,该计算机可读介质包括用于使计算机向凭证服务器提供正加入的对等方设备的注册用户身份的代码,其中该凭证服务器向对等覆盖网络中的每个经认证对等方设备提供公钥,该公钥允许每个经认证的对等方设备验证来自该凭证服务器的消息;以及用于一旦凭证服务器向身份提供者成功验证了该注册用户身份就使计算机接收来自该凭证服务器的证书的代码,其中该证书由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。附图简述
图1是无线通信系统的示例的框图。图2是用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法的流程图。图3是用于对正加入对等覆盖网络的对等方设备进行用户身份认证的系统的框图。图4是用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法的示意流图。图5是包括处理器和存储器的计算机的框图。详细描述措辞“示例性”在本文中用于表示“用作示例、实例或解说”。本文中描述为“示例性”的任何实施例不必被解释为优于或胜过其他实施例。参照图3和图4,本发明的一个方面可在于一种用于对加入对等(P2P)覆盖网络 320的对等方设备310进行用户身份认证的方法400。在该方法中,覆盖网络320的凭证服务器330接收来自正加入的对等方设备JPD 310的注册用户身份(步骤430)。凭证服务器向身份提供者340验证该注册用户身份(步骤440和450)。一旦在凭证服务器处接收到来自身份提供者的对该注册用户身份的成功验证,该凭证服务器就向正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备PD 114用来认证正加入的对等方设备的注册用户身份(步骤460),其中经签署的证书是由凭证服务器的私钥签署的。覆盖网络320中的每个经认证对等方设备114可以具有凭证服务器330的公钥 PK,该公钥1 允许每个经认证的对等方设备验证正加入的对等方设备310的经签署的证书的来源是凭证服务器。经签署的证书可包括经验证的注册用户身份、凭证服务器的公钥冊、 正加入的对等方设备的公钥、以及由凭证服务器指派给正加入的对等方设备以供网络操作的节点身份。覆盖网络中的至少一个经认证对等方设备可能不能与身份提供者340建立连接以验证注册用户身份。正加入的对等方设备310的注册用户身份可以是诸如电子邮件地址之类的全局唯一性标识符。另外,该注册用户身份可以是向第三方身份提供者340注册的。进一步参照图5,本发明的另一方面可在于具有用于加入对等覆盖网络320的用户身份认证的凭证服务器330。该凭证服务器可包括用于接收来自正加入的对等方设备 310的注册用户身份的装置(处理器510),用于向身份提供者340验证该注册用户身份的装置,以及用于一旦接收到来自该身份提供者的对该注册用户身份的成功验证就向该正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备114用来认证该正加入的对等方设备的注册用户身份的装置,其中该经签署的证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种具有对正加入对等覆盖网络320的对等方设备的用户身份认证的凭证服务器330。凭证服务器330可包括配置成执行以下动作的处理器 510 接收来自正加入的对等方设备310的注册用户身份,向身份提供者340验证该注册用户身份,以及一旦接收到来自该身份提供者的对该注册用户身份的成功验证就向该正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备114用来认证该正加入的对等方设备的注册用户身份,其中该经签署的证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种包括计算机可读介质520(诸如计算机可读存储介质)的计算机程序产品,该计算机可读介质520包括用于使计算机500接收来自正加入的对等方设备310的注册用户身份的代码,用于使计算机向身份提供者340验证该注册用户身份的代码,以及用于一旦接收到来自该身份提供者的对该注册用户身份的成功验证就使计算机向该正加入的对等方设备颁发经签署的证书以供由覆盖网络320中的经认证对等方设备114用来认证该正加入的对等方设备的注册用户身份的代码,其中该经签署的证书是由凭证服务器330的私钥签署的。参照图2和图3,本发明的一方面可在于一种用于对加入对等(P2P)覆盖网络320 的对等方设备310进行用户身份认证的方法200。在该方法中,正加入的对等方设备向凭证服务器330提供注册用户身份ID (步骤210)。凭证服务器向网络中的每个经认证的对等方设备提供公钥PK,该公钥1 允许每个经认证的对等方设备验证来自凭证服务器的消息 (步骤220)。凭证服务器向身份提供者340验证该注册用户身份。一旦在凭证服务器处接收到来自身份提供者的对注册用户身份的成功验证,凭证服务器就向正加入的对等方设备颁发证书以供由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份(步骤230)。该证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种具有用于加入对等覆盖网络320的用户身份认证的设备500。该设备可包括用于向凭证服务器330提供正加入的对等方设备310的注册用户身份的装置(处理器510),其中凭证服务器向网络中的每个经认证对等方设备提供公钥 PK,该公钥PK允许每个经认证的对等方设备验证来自凭证服务器的消息;以及用于一旦凭证服务器向身份提供者340成功验证了该注册用户身份就接收来自凭证服务器的证书的装置,其中该证书供由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。该设备可以包括手表、头戴式送受话器、感测设备、或者移动站MS 102。该设备还可包括诸如存储器之类的存储介质520、显示器530、以及诸如键盘之类的输入设备讨0。该设备可包括无线连接阳0。本发明的另一方面可在于一种具有用于加入对等覆盖网络320的用户身份认证的装置500。该装置可包括配置成执行以下动作的处理器510 向凭证服务器330提供正加入的对等方设备310的注册用户身份,其中该凭证服务器向对等覆盖网络320中的每个经认证的对等方设备提供公钥PK,该公钥1 允许每个经认证的对等方设备验证来自该凭证服务器的消息;以及用于一旦凭证服务器向身份提供者340成功验证了该注册用户身份就使计算机接收来自该凭证服务器的证书的代码,其中该证书由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。本发明的另一方面可在于一种包括计算机可读介质520的计算机程序产品,该计算机可读介质520包括用于使计算机500向凭证服务器330提供正加入的对等方设备的注册用户身份的代码,其中该凭证服务器向对等覆盖网络320中的每个经认证对等方设备提供公钥PK,该公钥1 允许每个经认证的对等方设备验证来自该凭证服务器的消息;以及用于一旦凭证服务器向身份提供者340成功验证了该注册用户身份就使计算机接收来自该凭证服务器的证书的代码,其中该证书供由网络中的经认证对等方设备用来认证该正加入的对等方设备的注册用户身份,并且其中该证书是由凭证服务器的私钥签署的。覆盖管理采用凭证服务器330,该凭证服务器330是覆盖中的所有对等方均信任的中央服务器。公钥密码术被用来证实源自凭证服务器的消息。凭证服务器生成公钥/私钥对,并将自己的公钥发布给每个对等方设备。然而,凭证服务器并不直接参与管理用户身份。取而代之的是,凭证服务器与用于用户身份认证的第三方ID提供者340接口。凭证服务器330通过利用先前向第三方ID提供者注册的用户身份来获得用户身份(图4的步骤410和420)。这些用户身份需要是全局唯一性的(诸如电子邮件地址)。 一种获得此类用户身份的方式是通过OpenID。OpenID是得到诸如Google、Yahoo, IBM、 Microsoft, VeriSign等主要因特网公司支持的开放式身份管理框架。OpenID协议允许实体验证向ID提供者(例如,Yahoo)注册的用户身份——只要该进行验证的实体实现OpenID 协议以与相应的ID提供者接口即可。在对等网络中,一些对等方设备可能不具有实现OpenID协议的能力并且可能不具有因特网连接。要求每个节点(对等方)实现OpenID并在运行中验证对等方身份可能是过度繁重和困难的。本技术仅要求对等方存储凭证服务器的公钥并且能够验证来自凭证服务器的消息。当新用户加入对等网络时,该新用户联系凭证服务器330并提供自己的向第三方ID提供者340注册的身份。凭证服务器随后作为依赖方来执行OpenID协议。简而言之,凭证服务器与ID提供者建立连接,并将进入的用户重定向到ID提供者以进行ID验证。一旦完成了 ID验证,ID提供者就向凭证服务器发送指示该ID验证成功或失败的消息。 在ID验证成功的情形中,凭证服务器向进入的对等方颁发经签署的证书。该证书可包括但并不限于经验证的ID、正加入的对等方的公钥、指派用于P2P网络操作的节点id,并且该证书可以由凭证服务器使用其私钥来签署。网络中现有的对等方能够使用该证书来认证新对等方的身份。该方法提供了技术优点。在网络中现有的对等方不需要连接至中央处理器进行id 验证的意义上而言,由这些现有的对等方进行的ID验证是分布式的。这减轻了要具有因特网链路来进行id验证的要求。对等网络320能将诸如社交网络之类的现有应用用于用户身份。凭证服务器330是P2P网络内信任的根源。对等方114仅需要知道凭证服务器的签名的公钥就能验证另一对等方的身份,即使在该id是向第三方ID提供者340注册的情况下亦是如此。诸如要求每个对等方完全装备有OpenID、要求每个对等方直接向凭证服务器注册自己的身份之类的替换解决方案可能在id验证期间要求显著更大的通信开销和协议复杂度,和/或可能要求凭证服务器有大得多的开销。有利地,凭证服务器330证实来自第三方ID提供者340的用户身份(例如,使用 OpenID协议),并且一旦成功验证,就向该用户颁发包含用户id并且由凭证服务器的私钥签署的证书。在P2P网络内工作的对等方装备有所述凭证服务器的公钥并且通过将公钥密码术算法与该公钥一起用来核查该证书来验证另一对等方的身份。凭证服务器330可以使用OpenID协议以便向身份提供者验证注册用户身份。开放式认证协议的详情可以在opened-dot-net/developers/specs/处获得。参照图1,无线移动站(MS) 102可以与无线通信系统100的一个或更多个基站 (BS) 104通信。该MS还可以与无线对等方设备114配对。无线通信系统100还可以包括一个或更多个基站控制器(BSC) 106、以及核心网108。核心网可经由合适的回程连接至因特网110和公共交换电话网(PSTN) 112。典型的无线移动站可包括手持式电话或膝上型计算机。无线通信系统100可以采用数种多址技术中的任何一种,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、空分多址(SDMA)、极分多址(PDMA)、或其他本领域中所知的调制技术。无线设备102或114可包括基于由无线设备传送或在无线设备处接收的信号执行功能的各种组件。例如,无线头戴式送受话器可包括适配成基于经由接收机接收到的信号提供音频输出的换能器。无线手表可包括适配成基于经由接收机接收到的信号提供指示的用户接口。无线感测设备可包括适配成提供要传送给另一设备的数据的传感器。无线设备可经由一条或更多条无线通信链路通信,这些无线通信链路基于或以其他方式支持任何合适的无线通信技术。例如,在一些方面中,无线设备可与网络相关联。在一些方面,网络可包括体域网或个域网(例如,超宽带网络)。在一些方面中,网络可包括局域网或广域网。无线设备可支持或以其他方式使用各种无线通信技术、协议、或标准——
诸如举例而言CDMA、TDMA, OFDM、OFDMA, WiMAX和Wi-Fi-中的一种或更多种。类似地,
无线设备可支持或以其他方式使用各种相应调制或复用方案中的一种或更多种。无线设备由此可包括用于使用以上或其他无线通信技术建立一条或更多条无线通信链路并经由其通信的恰适组件(例如,空中接口)。例如,设备可包括具有相关联的发射机和接收机组件 (例如,发射机和接收机)的无线收发机,这些发射机和接收机组件可包括促成无线介质上的通信的各种组件(例如,信号发生器和信号处理器)。本文中的教导可被纳入到各种装置(例如,设备)中(例如,实现在其内或由其执行)。例如,本文中教导的一个或更多个方面可被纳入到电话(例如,蜂窝电话)、个人数据助理(“PDA”)、娱乐设备(例如,音乐或视频设备)、头戴式送受话器(例如,头戴式听筒、 耳机等)、话筒、医疗设备(例如,生物测定传感器、心率监视器、计步器、EKG设备等)、用户 I/O设备(例如,手表、遥控、照明开关、键盘、鼠标等)、轮胎气压监视器、计算机、销售点设备、娱乐设备、助听器、机顶盒、或任何其他合适的设备中。这些设备可具有不同功率和数据要求。在一些方面中,本文中的教导可适配成用在低功率应用中(例如,通过使用基于脉冲的信令方案和低占空比模式),并且可支持各种数据率,包括相对较高的数据率(例如,通过使用高带宽脉冲)。在一些方面,无线设备可包括通信系统的接入设备(例如,Wi-Fi接入点)。此类接入设备可提供例如经由有线或无线通信链路至另一网络(例如,诸如因特网或蜂窝网络等广域网)的连通性。因此,接入设备可使得另一设备(例如,Wi-Fi站)能接入该另一网络或其他某个功能。此外应领会,这些设备中的一方或双方可以是便携式的,或者在一些情形中为相对非便携式的。本领域技术人员将可理解,信息和信号可使用各种不同技术和技艺中的任何技术和技艺来表示。例如,贯穿上面说明始终可能被述及的数据、指令、命令、信息、信号、比特、 码元、和码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。本领域技术人员将进一步领会,结合本文中所公开的实施例来描述的各种解说性逻辑板块、模块、电路、和算法步骤可实现为电子硬件、计算机软件、或这两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性组件、板块、模块、电路、和步骤在上面是以其功能性的形式作一般化描述的。此类功能性是被实现为硬件还是软件取决于具体应用和强加于整体系统的设计约束。技术人员对于每种特定应用可用不同的方式来实现所描述的功能性,但这样的实现决策不应被解读成导致脱离了本发明的范围。结合本文所公开的实施例描述的各种解说性逻辑板块、模块、和电路可用通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文所描述功能的任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,该处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以被实现为计算设备的组合,例如DSP与微处理器的组合、多个微处理器、与DSP核心协作的一个或更多个微处理器、或任何其他此类配置。结合本文所公开的实施例描述的方法或算法的步骤可直接在硬件中、在由处理器执行的软件模块中、或在这两者的组合中实施。软件模块可驻留在RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域中所知的任何其他形式的存储介质中。示例性存储介质耦合到处理器以使得该处理器能从/向该存储介质读写信息。在替换方案中,存储介质可以被整合到处理器。处理器和存储介质可驻留在ASIC中。ASIC可驻留在用户终端中。在替换方案中,处理器和存储介质可作为分立组件驻留在用户终端中。在一个或更多个示例性实施例中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现为计算机程序产品,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,其包括促成计算机程序从一地向另一地转移的任何介质。存储介质可以是能被计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括 RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能被用来携带或存储指令或数据结构形式的合需程序代码且能被计算机访问的任何其它介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。如本文中所使用的盘(disk)和碟(disc)包括压缩碟(⑶)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘(disk)往往以磁的方式再现数据,而碟(disc)用激光以光学方式再现数据。上述组合应被包括在计算机可读介质的范围内。 提供了以上对所公开的实施例的描述是为了使得本领域任何技术人员皆能够制作或使用本发明。对这些实施例的各种改动对于本领域技术人员将是显而易见的,并且本文中定义的普适原理可被应用于其他实施例而不会脱离本发明的精神或范围。由此,本发明并非旨在被限定于本文中示出的实施例,而是应被授予与本文中公开的原理和新颖性特征一致的最广义的范围。
权利要求
1.一种用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法,包括所述覆盖网络的凭证服务器接收来自正加入的对等方设备的注册用户身份;所述凭证服务器向身份提供者验证所述注册用户身份;以及一旦在所述凭证服务器处接收到来自所述身份提供者的对所述注册用户身份的成功验证,所述凭证服务器就向所述正加入的对等方设备颁发经签署的证书以供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,其中所述经签署的证书由所述凭证服务器的私钥签署的。
2.如权利要求1所述的用于进行用户身份认证的方法,其特征在于,所述覆盖网络中的每个经认证对等方设备具有所述凭证服务器的公钥,所述公钥允许每个经认证对等方设备验证所述正加入的对等方设备的所述经签署的证书的来源是所述凭证服务器。
3.如权利要求1所述的用于进行用户身份认证的方法,其特征在于,所述凭证服务器使用OpenID协议以向所述身份提供者验证所述注册用户身份。
4.如权利要求1所述的用于进行用户身份认证的方法,其特征在于,所述经签署的证书包括所述经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
5.如权利要求4所述的用于进行用户身份认证的方法,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
6.如权利要求1所述的用于进行用户身份认证的方法,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
7.如权利要求1所述的用于进行用户身份认证的方法,其特征在于,所述正加入的对等方设备的所述注册用户身份是全局唯一性标识符。
8.如权利要求7所述的用于进行用户身份认证的方法,其特征在于,所述注册用户身份是向第三方身份提供者注册的。
9.如权利要求7所述的用于进行用户身份认证的方法,其特征在于,所述注册用户身份是电子邮件地址。
10.一种具有对正加入对等覆盖网络的对等方设备的用户身份认证的凭证服务器,所述凭证服务器包括用于接收来自正加入的对等方设备的注册用户身份的装置;用于向身份提供者验证所述注册用户身份的装置;以及用于一旦接收到来自所述身份提供者的对所述注册用户身份的成功验证就向所述正加入的对等方设备颁发经签署的证书以供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份的装置,其中所述经签署的证书是由所述凭证服务器的私钥签署的。
11.如权利要求10所述的凭证服务器,其特征在于,所述覆盖网络中的每个经认证对等方设备具有所述凭证服务器的公钥,所述公钥允许每个经认证对等方设备验证所述正加入的对等方设备的所述经签署的证书的来源是所述凭证服务器。
12.如权利要求10所述的凭证服务器,其特征在于,所述凭证服务器使用OpenID协议以向所述身份提供者验证所述注册用户身份。
13.如权利要求10所述的凭证服务器,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
14.如权利要求13所述的凭证服务器,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
15.如权利要求10所述的凭证服务器,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
16.如权利要求10所述的凭证服务器,其特征在于,所述正加入的对等方设备的所述注册用户身份是全局唯一性标识符。
17.如权利要求16所述的凭证服务器,其特征在于,所述注册用户身份是向第三方身份提供者注册的。
18.如权利要求16所述的凭证服务器,其特征在于,所述注册用户身份是电子邮件地址。
19.一种具有对正加入对等覆盖网络的对等方设备的用户身份认证的凭证服务器,所述凭证服务器包括处理器,配置成接收来自正加入的对等方设备的注册用户身份; 向身份提供者验证所述注册用户身份;以及一旦接收到来自所述身份提供者的对所述注册用户身份的成功验证,就向所述正加入的对等方设备颁发经签署的证书以供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,其中所述经签署的证书是由所述凭证服务器的私钥签署的。
20.如权利要求19所述的凭证服务器,其特征在于,所述覆盖网络中的每个经认证对等方设备具有所述凭证服务器的公钥,所述公钥允许每个经认证对等方设备验证所述正加入的对等方设备的所述经签署的证书的来源是所述凭证服务器。
21.如权利要求19所述的凭证服务器,其特征在于,所述凭证服务器使用OpenID协议以向所述身份提供者验证所述注册用户身份。
22.如权利要求19所述的凭证服务器,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
23.如权利要求22所述的凭证服务器,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
24.如权利要求19所述的凭证服务器,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
25.如权利要求19所述的凭证服务器,其特征在于,所述正加入的对等方设备的所述注册用户身份是全局唯一性标识符。
26.如权利要求25所述的凭证服务器,其特征在于,所述注册用户身份是向第三方身份提供者注册的。
27.如权利要求25所述的凭证服务器,其特征在于,所述注册用户身份是电子邮件地址。
28.一种计算机程序产品,包括 计算机可读介质,包括用于使计算机接收来自正加入的对等方设备的注册用户身份的代码;用于使计算机向身份提供者验证所述注册用户身份的代码;以及用于一旦接收到来自所述身份提供者的对所述注册用户身份的成功验证就使计算机向所述正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份的代码,其中所述经签署的证书是由所述凭证服务器的私钥签署的。
29.如权利要求观所述的计算机程序产品,其特征在于,所述覆盖网络中的每个经认证对等方设备具有所述凭证服务器的公钥,所述公钥允许每个经认证对等方设备验证所述正加入的对等方设备的所述经签署的证书的来源是所述凭证服务器。
30.如权利要求观所述的计算机程序产品,其特征在于,所述凭证服务器使用OpenID 协议以向所述身份提供者验证所述注册用户身份。
31.如权利要求观所述的计算机程序产品,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
32.如权利要求31所述的计算机程序产品,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
33.如权利要求观所述的计算机程序产品,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
34.如权利要求观所述的计算机程序产品,其特征在于,所述正加入的对等方设备的所述注册用户身份是全局唯一性标识符。
35.如权利要求34所述的计算机程序产品,其特征在于,所述注册用户身份是向第三方身份提供者注册的。
36.如权利要求34所述的计算机程序产品,其特征在于,所述注册用户身份是电子邮件地址。
37.一种用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法,包括正加入的对等方设备向凭证服务器提供注册用户身份,其中所述凭证服务器向所述覆盖网络中的每个经认证对等方设备提供公钥,所述公钥允许每个经认证对等方设备验证来自所述凭证服务器的消息;所述凭证服务器向身份提供者验证所述注册用户身份;以及一旦在所述凭证服务器处接收到来自所述身份提供者的对所述注册用户身份的成功验证,所述凭证服务器就向所述正加入的对等方设备颁发证书以供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,其中所述证书是由所述凭证服务器的私钥签署的。
38.如权利要求37所述的用于进行用户身份认证的方法,其特征在于,所述凭证服务器使用OpenID协议以向所述身份提供者验证所述注册用户身份。
39.如权利要求37所述的用于进行用户身份认证的方法,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
40.如权利要求39所述的用于进行用户身份认证的方法,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
41.如权利要求37所述的用于进行用户身份认证的方法,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
42.一种具有用于加入对等覆盖网络的用户身份认证的设备,包括用于向凭证服务器提供正加入的对等方设备的注册用户身份的装置,其中所述凭证服务器向所述覆盖网络中的每个经认证对等方设备提供公钥,所述公钥允许每个经认证对等方设备验证来自所述凭证服务器的消息;以及用于一旦所述凭证服务器向身份提供者成功验证了所述注册用户身份就接收来自所述凭证服务器的证书的装置,其中所述证书供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,并且其中所述证书是由所述凭证服务器的私钥签署的。
43.如权利要求42所述的具有用户身份认证的设备,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的公钥。
44.如权利要求43所述的具有用户身份认证的设备,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
45.如权利要求42所述的具有用户身份认证的设备,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
46.如权利要求42所述的具有用户身份认证的设备,其特征在于,所述设备包括手表、 头戴式送受话器、或者感测设备。
47.一种具有用于加入对等覆盖网络的用户身份认证的装置,包括处理器,配置成向凭证服务器提供正加入的对等方设备的注册用户身份,其中所述凭证服务器向对等覆盖网络中的每个经认证对等方设备提供公钥,所述公钥允许每个经认证对等方设备验证来自所述凭证服务器的消息;以及一旦所述凭证服务器向身份提供者成功验证了所述注册用户身份就接收来自所述凭证服务器的证书,其中所述证书供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,并且其中所述证书是由所述凭证服务器的私钥签署的。
48.如权利要求47所述的具有用户身份认证的装置,其特征在于,所述经签署的证书包括经验证的所述注册用户身份、所述正加入的对等方设备的公钥、以及所述凭证服务器的所述公钥。
49.如权利要求48所述的具有用户身份认证的装置,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
50.如权利要求47所述的具有用户身份认证的装置,其特征在于,所述覆盖网络中的至少一个经认证对等方设备不能与所述身份提供者建立连接以验证注册用户身份。
51.一种计算机程序产品,包括计算机可读介质,包括用于使计算机向凭证服务器提供正加入的对等方设备的注册用户身份的代码,其中所述凭证服务器向对等覆盖网络中的每个经认证对等方设备提供公钥,所述公钥允许每个经认证对等方设备验证来自所述凭证服务器的消息;以及用于一旦所述凭证服务器向身份提供者成功验证了所述注册用户身份就使计算机接收来自所述凭证服务器的证书的代码,其中所述证书供由所述覆盖网络中的经认证对等方设备用来认证所述正加入的对等方设备的所述注册用户身份,并且其中所述证书是由所述凭证服务器的私钥签署的。
52.如权利要求51所述的计算机程序产品,其特征在于,所述经签署的证书包括经验证的所述注册用户身份以及所述凭证服务器的所述公钥。
53.如权利要求51所述的计算机程序产品,其特征在于,所述经签署的证书还包括由所述凭证服务器指派用于网络操作的节点身份。
全文摘要
公开了用于对正加入对等覆盖网络的对等方设备进行用户身份认证的方法。在该方法中,覆盖网络的凭证服务器接收来自正加入的对等方设备的注册用户身份。凭证服务器向身份提供者验证该注册用户身份。一旦在凭证服务器处接收到来自身份提供者的对该注册用户身份的成功验证,该凭证服务器就向正加入的对等方设备颁发经签署的证书以供由覆盖网络中的经认证对等方设备用来认证此正加入的对等方设备的注册用户身份,其中经签署的证书是由凭证服务器的私钥签署的。
文档编号H04L29/08GK102365851SQ201080015847
公开日2012年2月29日 申请日期2010年3月25日 优先权日2009年3月26日
发明者R·S·贾雅拉曼, S·M·达斯, V·纳拉亚南, Y·毛 申请人:高通股份有限公司