用于认证统一通信应用的客户端的基于对称密钥的web票证的制作方法
【专利说明】
【背景技术】
[0001]传统的统一通信(UC)应用支持多种通信模态,其中包括而不限于语音通信(例如通过与电话系统集成)、语音邮件保留和管理、视频会议技术、会议调度、会议维护、桌面共享、即时消息传送、联系人管理(例如维护UC应用的用户的联系人列表)、存在(例如监视UC应用的用户的可用性)、群组维护(例如保持标识UC应用的用户群组的信息)以及其他通信模态。UC应用通常是分布式应用,其前端软件在客户端计算设备上执行,后端软件在服务器计算设备上执行,其中客户端计算设备与服务器计算设备处于网络通信中。
[0002]相对地最近,UC应用已被配置成执行在移动计算设备上,比如移动电话、平板设备(平板电脑)等等。对于移动计算设备的使用越来越多,因而对于执行在移动计算设备上的前端UC软件的使用也越来越多,这就带来了先前不与UC应用相关联的问题。举例来说,对应于移动电话的数据计划可以限制可由移动计算设备上传和/或下载的数据的数量(而不会让用户招致除了计划月费之外的费用)。此外,当在移动计算设备上使用UC应用时,用户通常使得这样的应用在前台执行相对小的时间量,并且随后使得UC应用在后台执行。举例来说,用户可以通过利用在移动电话上执行的UC应用参与相对简短的会议,并且此后将电话放置在口袋或手提包中。与此相对,在桌面型计算设备上执行的UC应用的用户往往允许应用在前台连续地执行。
[0003]被利用来认证UC应用的用户的传统令牌往往相对较大,比如大约4千字节。如果UC应用被配置成使得用户对于向执行UC应用的后端软件的服务器发出的每一条请求传送令牌,则此类请求的相对较大的有效载荷(其至少部分地由相对较大的令牌导致)可能使得应用在次佳的情况下执行,并且还可能导致针对超出数据计划而向用户收取附加的费用。此外,UC应用的传统后端软件被配置成对于被视为活跃的每一个UC客户端保持会话标识符,其中UC客户端通常在与使用在UC应用中的服务器通信之后的至少几个小时内被视为是活跃的。保持许多会话标识符限制了 UC应用的可伸缩性,这是因为资源被保留来维持会话标识符。此外,关于便携式计算设备,长时间维持会话标识符是浪费的,这是因为如前面所提到的那样,使用移动计算设备登录的UC应用用户通常不在UC应用上保持活跃。
【发明内容】
[0004]下面是将在这里更加详细地描述的主题内容的简要概述。本概述不意图关于权利要求的范围进行限制。
[0005]这里描述了关于结合认证用户而创建和使用web票证的各种技术,其中所述web票证的尺寸相对较小(例如200字节或更小),并且其中所述web票证包括基于对称密钥的签名,所述对称密钥在用在其中对用户进行认证的系统中的服务器计算设备之间共享。在一个示例性实施例中,用户可以在客户端计算设备上执行统一通信(UC)应用的客户端侧实例,并且其中UC应用的后端软件希望对于向后端软件发出的每一个请求认证用户。示例性的请求包括针对取回联系人列表的请求,针对UC应用的用户的存在信息的请求,针对参与会议的请求,针对发起语音呼叫的请求等等。但是应当理解的是,这里所描述的关于web票证的创建、维护和使用的技术可以被利用在其中希望对用户进行认证的其他应用/设定中,比如银行应用、电子邮件应用等等。此外,由于web票证的尺寸相对较小,这里所描述的技术可能特别适合于其中所认证的用户正在采用移动计算设备(比如移动电话)的情况。
[0006]根据一个示例,用户可以在客户端计算设备上发起应用(例如UC应用)。用户可能希望针对UC应用的后端软件进行认证,并且可以使得客户端计算设备向正在执行UC应用的后端软件的服务器传送认证数据。认证服务器可以包括票证发行器,其是执行在服务器上的逻辑实体。票证发行器接收认证数据,并且响应于接收到这样的认证数据生成web票证。票证发行器利用对称密钥生成包括在web票证中的签名,其中票证发行器可以使用所述对称密钥来生成对应于一个有限时间段(例如一个小时)的web票证。此外,票证发行器可以在具有签名的web票证中包括以下信息:标识生成web票证的票证发行器的票证发行器标识符,标识被用来生成签名的密钥的密钥标识符,标识用户的用户标识符,web票证到期的时间,以及其他数据。响应于生成web票证,票证发行器向发出请求的客户端计算设备传送web票证。
[0007]票证发行器可以将被用来生成web票证的对称密钥的列表维持一个阈值时间量。举例来说,票证发行器可以将被用来生成所请求的web票证的密钥在密钥列表中维持八小时。在一个示例中,票证发行器可以生成在八小时之后到期的web票证,并且票证发行器可以在创建web票证时使用对称密钥一小时。因此,票证发行器可以维持对称密钥的列表,其中所述列表包括被用来生成web票证的当前对称密钥,以及被用来生成web票证的另外八个最近的对称密钥。
[0008]在客户端计算设备接收到web票证之后,UC应用的客户端侧实例可以传送针对来自执行UC应用的后端软件的另一台服务器的通信数据(例如支持某种通信模态的数据)的请求。所述另一台服务器可以包括验证器,其是执行在所述另一台服务器上(或者分布在几台服务器上)的逻辑实体,该逻辑实体被配置成对web票证(从而对用户)进行认证,并且对针对所述通信数据的请求作出响应。举例来说,验证器可以支持存在,从而使得验证器可以提供表明UC应用的用户的存在的数据。为了对web票证进行认证,验证器可以从web票证读取票证发行器标识符,并且请求由票证发行器维持的对称密钥的列表。验证器还可以从web票证读取密钥标识符,并且识别在对称密钥列表中的被用来生成web票证的对称密钥。验证器利用对应于密钥标识符的对称密钥来对web票证进行认证。在对web票证进行认证之后,验证器可以生成针对来自UC应用的客户端侧实例的请求的响应,其中所述响应包括由UC应用的客户端侧实例所请求的通信数据。与此相对,如果web票证不包括特定字段,或者已到期(如在web票证中所表明的那样),或者不包括有效的密钥等等,则验证器可以拒绝该请求。
[0009]前面的概述给出了简化的概述,以便提供对于这里所讨论的系统和/或方法的某些方面的基本理解。本概述不是这里所讨论的系统和/或方法的详尽总览。其不意图标识出关键的/至关重要的元素,也不意图界定此类系统和/或方法的范围。其唯一的目的是以简化形式给出一些概念,以作为稍后给出的更加详细的描述的前导。
【附图说明】
[0010]图1是促进生成用于结合向服务器认证用户而利用的web票证的示例性系统的功能方框图。
[0011]图2是图示出了结合向验证器认证客户端而在统一通信系统的客户端与逻辑实体之间进行的通信的通信图。
[0012]图3图示出了示例性web票证。
[0013]图4是被配置成通过使用web票证向服务器进行认证的示例性客户端计算设备的功能方框图。
[0014]图5是包括票证发行器的示例性服务器计算设备的功能方框图,所述票证发行器被配置成生成用于发出请求的客户端计算设备的web票证。
[0015]图6是被配置成生成用于结合生成web票证而使用的对称密钥的示例性服务器计算设备的功能方框图。
[0016]图7是被配置成验证由客户端计算设备提供的web票证的示例性服务器计算设备的功能方框图。
[0017]图8是图示出了结合通过使用web票证向服务器计算设备认证用户而由客户端计算设备执行的示例性方法的流程图。
[0018]图9是图示出了由票证发行器结合生成web票证而执行的示例性方法的流程图。
[0019]图10是图示出了由密钥生成器执行的促进生成被用来创建web票证的密钥的示例性方法的流程图。
[0020]图11是图示出了由验证器执行的促进基于web票证认证用户的示例性方法的流程图。
[0021]图12是示例性计算系统。
【具体实施方式】
[0022]现在参照图描述关于生成web票证并且使用web票证来向服务器计算设备认证用户的各种技术,其中相同的附图标记始终被用来指代相同的元件。在后面的描述中,出于解释的目的阐述了许多具体细节,以便提供对于一个或更多方面的透彻理解。但是可能明显的是,可以在没有这些具体细节的情况下实践这样的(多个)方面。在其他情况下,以方框图的形式示出了众所周知的结构和设备,以便促进描述一个或更多方面。此外,应当理解的是,被描述为由某些系统组件实施的功能可以由多个组件来实施。类似地,举例而言,一个组件可以被配置成实施被描述为由