[发明专利]跨网域信息通信的认证方法、系统及其装置

说明书

技术领域

本发明涉及一种信息通信认证方法，特别是指一种跨网域信息通信的认证方法、系统及其装置。

背景技术

近年来由于网络通信技术趋于成熟，使得通过网际网络传送数字语音封包的网络电话(Voice over Internet Protocol，VoIP)、传送消息的短消息服务、影音通信以及多媒体影音串流服务等成为目前热门的网络应用。

以网络电话为例，通话启始协议(Session Initiation Protocol以下称SIP)是目前网络电话常用的信令协议(Signaling protocols)标准。在网络电话系统中，使用SIP协议的每一个移动电话会向某一特定SIP网域注册而分别属于该特定的SIP网域，该网域的安全管理是由金钥管理中心(KMC：keymanagement center，)或金钥分配中心(KDC：key distribution center)所控管，且由于在同一网域中的移动电话应用同一认证协议，因此在同一网域中，移动电话与服务器之间以及移动电话与移动电话之间可以相互认证而进行安全通信。

但是，当两个移动电话的通话区域跨越两个不同的网域时，则会因为各网域认证协议的不同而必须另外遵循另一共同的认证方式才能进行安全通信，但也因此产生跨网域信任操作(inter-domain trust operations)的问题。

为解决上述问题，作为现有技术的、名称为“Method and system forauthentication through multiple proxy servers that require differentauthentication data”(通过多个需要不同认证资料的代理服务器的认证方法及系统)的美国专利No.6839761，其主要是针对连续的代理(服务器)，让其在SIP要求消息中附加各自的认证资料，以解决在SIP中用户与连续代理者之间的认证，以得到针对不同安全网域的连续的认证凭证，但此专利并没有针对跨网域问题进行解决。

另一种现有技术是美国专利申请公开No.20050108575，名称为“Apparatus，system and method for facilitating authenticated communicationbetween authentication realms”(简化认证区域之间认证通信的装置、系统及方法)，其主要利用认证网关来解决不同认证协议之间的认证。但是固定的认证网关容易因遭受网络攻击而产生工作效率低的问题。

因此，如何在不需在两个安全网域服务器上使用复杂的跨网域信赖操作的情况下，需要提供一种针对两个跨越两个不同安全网域的通信电子装置取得共同的认证凭证的机制。

发明内容

因此，本发明的目的是提供一种不须在两个安全网域服务器上采用复杂的跨网域信赖操作即可取得共同的认证凭证的跨网域信息通信的认证方法、系统及其装置。

于是，本发明的跨网域信息通信的认证方法，应用于要通过网际网络进行信息通信的属于第一网域的第一电子装置与属于第二网域的第二电子装置之间；该方法包括：(A)令该第一电子装置要求同网域的第一代理服务器找出同时在该网域注册的中继点装置；(B)令该第一电子装置通过该中继点装置，向该第二网域的第二金钥分配中心注册以取得第一金钥，并传送包含该第一金钥的第一通行证给该第二电子装置；(C)令该第二电子装置收到该第一通行证后，透过该中继点装置，向该第一网域的第一金钥分配中心注册以取得第二金钥，且传送包含该第二金钥第二通行证给该第一电子装置；及(D)令该第一及第二电子装置根据收到的该第一及第二金钥产生共享的第三金钥，以进行信息通信认证。

此外，本发明实现上述方法的跨网域信息通信认证系统，设置在第一网域中，用以通过网际网络与属于第二网域的第二电子装置进行信息通信；该系统包括第一代理服务器、第一电子装置及第一金钥分配中心。该第一代理服务器中记录有多个候选中继点装置。该第一电子装置发出要求消息，要求该第一代理服务器由该候选中继点装置中找出同时在该网域注册的中继点装置，以便通过该中继点装置，向该第二网域的第二金钥分配中心注册以取得第一金钥，并传送包含该第一金钥的第一通行证给第二电子装置。该第一金钥分配中心供该第二电子装置通过该中继点装置，向其注册并取得第二金钥，并传送包含该第二金钥的第二通行证给该第一电子装置，使该第一及第二电子装置可根据收到的该第一及第二金钥产生共享的第三金钥，以进行信息通信认证。