CN102893579B - 用于在通信***中发放票据的方法、节点和设备 - Google Patents
用于在通信***中发放票据的方法、节点和设备 Download PDFInfo
- Publication number
- CN102893579B CN102893579B CN201180025237.XA CN201180025237A CN102893579B CN 102893579 B CN102893579 B CN 102893579B CN 201180025237 A CN201180025237 A CN 201180025237A CN 102893579 B CN102893579 B CN 102893579B
- Authority
- CN
- China
- Prior art keywords
- client
- bill
- node
- request
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1087—Peer-to-peer [P2P] networks using cross-functional networking aspects
- H04L67/1093—Some peer nodes performing special functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于在通信***中发放票据的方法,该通信***包括能够在两个或更多个客户端之间建立通信连接的多个节点,该方法包括:第一客户端向票据发放服务传输针对票据的请求,该票据授权第一客户端建立与第二客户端的通信连接,票据发放服务确定第一客户端是否被授权建立所请求的通信连接,并且如果确定第一客户端被授权建立所请求的通信连接,则票据发放服务向第一客户端传输一个或多个票据,这些票据指定第二客户端,所述第二客户端授权第一客户端借助于所述多个节点中的一个或多个来建立所请求的与第二客户端的连接。
Description
技术领域
本发明涉及用于在通信***中认证和授权的方法。
背景技术
通信***将两个通信设备链接在一起,使得这些设备能在呼叫或其它通信事件中向彼此发送信息。信息可以包括话音、文本、图像或视频。
许多通信***基本上由通信***提供者提供的中央服务器来操作。用户可通过访问这些服务器之一而从通信***获得服务。在为用户提供通信***的任何服务之前,服务器可执行认证过程以识别用户,然后检查用户是否被授权使用所请求的服务。
一种可能的认证和授权过程由Kerberos协议提供,该协议为网络协议,用于使得在非安全网络上通信的节点能够以安全方式向彼此证明它们的身份。Kerberos协议利用称为密钥分发中心(KDC)的可信第三方来发放证明用户身份的“票据”。图1示出了一个示例。
图1图解说明了大体上在101处示出的通信***,其包括客户端102、服务服务器(SS)103和KDC104。KDC包括两个逻辑上独立的部分:认证服务器(AS)105和票据授予服务器(TGS)106。KDC还包括数据库107。当客户端102想要经由SS103访问服务时,它首先向AS105认证它自己。客户端通过向AS发送其用户身份和它已通过散列(hashing)其密码而创建的秘密密钥来认证它自己。AS首先通过检查针对客户端的用户身份和密码的数据库来检查它是否知道该客户端。虽然客户端没有作为其请求消息的一部分而传输其密码,但AS仍能够通过对存储在数据库中的密码执行相同的散列函数以复制客户端的秘密密钥来检查密码,该秘密密钥作为请求消息的一部分而被传输。如果AS成功认证了客户端,则其向客户端返回“票据-授予票据”,客户端可使用该票据从TGS106获得“服务-授予票据”。客户端接着可将“服务-授予票据”传送给SS103以获得所需服务。所有票据均带有时间戳,并且可能仅在有限的时间段内有效。
Kerberos协议的每个认证阶段包括两个部分:包含密钥的消息,该密钥以这样的方式加密,使得它只能由该票据预期认证的一方来解密;以及也包含该密钥的票据,但该密钥以这样的方式加密,使得它只能由预期执行认证的一方来解密。作为示例,AS向经过认证的客户端发送两个消息。第一消息为客户端/TGS会话密钥。该消息用客户端的秘密密钥加密,使得只有客户端能解密它。第二消息包括“票据-授予票据”。该消息也包括客户端/TGS会话密钥,但票据已被使用TGS的秘密密钥加密,使得只有TGS能解密消息的这个部分。当客户端想要从TGS请求“服务-授予票据”时,它将“票据-授予票据”与认证符一起转发给TGS,认证符包括客户端的用户id和已使用客户端/TGS会话密钥加密的时间戳。TGS不能立即对认证符解密,因为它不具有客户端/TGS会话密钥。然而,TGS能对“票据-授予票据”解密(因为票据-授予票据是使用TGS的秘密密钥加密的)。通过对“票据-授予票据”解密,TGS获得客户端/TGS会话密钥,然后可以使用该密钥对认证符解密。
对于由TGS发放的“服务-授予票据”来说,该过程非常类似。在每个阶段,用于认证客户端的会话密钥以加密形式被发送,以使得其只能由消息的预期接收者解密。这确保会话密钥不被流氓第三方截取和使用。会话密钥本身也用来对消息的一部分加密,以使得接收者知道生成消息的一方拥有会话密钥并且因此有权访问所请求的服务。
因此Kerberos协议涉及票据的发放以认证用户并准许(grant)访问特定服务。作为示例,用户可以从票据授予服务器请求票据以访问电子邮件***。然后票据被授予,用户将该票据提交给邮件服务器,该邮件服务器:
1.识别用户(认证);并且
2.授权用户以利用服务。
某些通信***不依赖中央服务器。一种这样的***是对等通信***,其中多个最终用户能经由诸如因特网之类的通信结构而被连接以用于通信目的。对等***的通信结构可由大量分布式节点形成。分布式节点可能不必由通信***提供者拥有或操作。取而代之,节点也可以是运行软件的客户端,该软件将客户端编程以便起到作为利用***的客户端和作为提供通信***的节点的作用。因此,可通过基本上从数百万的设备中“借用”少量计算资源来创建通信结构。用户可接着经由这些设备中的任一个访问对等***。在这样的***中,用户不再需要访问中央服务器以便获得对作为整体的通信***的访问。
Kerberos认证机制也已在对等通信***中实现(参见例如Oh等人的“APeerMutualAuthenticationMethodusingPKIonSuperPeerbasedPeer-to-PeerSystems”)。该机制使用对等体而不是AS来认证其它对等体,这减少了AS上的票据认证负荷。在认证的第一阶段中,对等体A经由超级对等体从AS请求认证。该请求包括通过用用户的私钥加密用户ID和时间戳而形成的数字签名。AS创建只有对等体A能够解密的会话密钥并将其发送给超级对等体。超级对等体然后将包括会话密钥的连接准许消息发送给对等体A。
在认证的第二阶段中,对等体A想要建立与对等体B的直接连接。首先在对等体A和对等体B之间建立虚拟通信信道。对等体B然后可以从对等体A请求用于通信的票据。对等体A然后将票据请求消息发送给超级对等体,并且超级对等体将该请求转发给AS。AS创建用对等体B的会话密钥以及还有对等体A的会话密钥加密的票据。该票据被向回发送给超级对等体,超级对等体将其转发给对等体A。对等体A然后使用其会话密钥将票据解密,并且通过虚拟连接将解密的票据发送给对等体B。对等体B将票据解密并检查对等体A的用户ID是否在其用户许可列表中。如果是,则对等体B创建具有长寿命的新票据,并将其发送给对等体A。对等体A然后可以使用该票据在票据的持续时间内访问对等体B的服务。
不论是在中央服务器***还是对等***中实现,Kerberos协议都有局限性,因为它仅授权对端***的服务的访问。换言之,票据授权客户端访问服务器的服务,而不管客户端可以将该服务用于什么用途、提供该服务的服务器的位置、或者客户端可以使用什么路径来访问该服务。许多对等***的客户端具有有限的可用资源,并且超级节点通过形成用于网络流量的覆盖来应对高需求。因此能够防止向客户端和/或超级节点要求不期望的连接的攻击是有用的。这样的攻击例如包括垃圾邮件的发送。垃圾邮件发送者能利用将电子邮件从任何客户端转发到任何目的地的开放中继。一般地,通过开放中继发送垃圾邮件对于垃圾邮件发送者是有利的,因为最终接收者仅把邮件中继看作垃圾邮件源(参见Pathak等人的“BotnetSpamCampaignscanbeLong-Lasting:Evidence,Implications,andAnalysis”)。
“APeerMutualAuthenticationMethodusingPKIonSuperPeerbasedPeer-to-PeerSystems”的确描述了发放票据的对等体,所述票据授权另一对等体连接到该对等体。该票据并不授权各对等体使用超级对等体之一,因为它假设各对等体在它们之间建立了直接连接。这不是在基于超级对等体的对等***内的现实的连接模型,该***通过使用超级对等体来实现连接性以便中继连接(至少初始设置),而不是从开始就在客户端之间建立直接连接。
因此需要一种用于在通信***中发放票据的改进的机制。
发明内容
根据本发明的一个实施例,提供了一种用于在通信***中发放票据的方法,该通信***包括能够在两个或更多个客户端之间建立通信连接的多个节点,该方法包括:第一客户端向票据发放服务传输针对票据的请求,该票据授权第一客户端建立与第二客户端的通信连接;票据发放服务确定第一客户端是否被授权建立所请求的通信连接;以及如果确定第一客户端被授权建立所请求的通信连接,则票据发放服务向第一客户端传输一个或多个票据,这些票据指定第二客户端,其授权第一客户端借助于多个节点中的一个或多个来建立所请求的与第二客户端的连接。
该方法还可包括:第一客户端在针对票据的请求中包括对应于第二客户端的用户身份,以及票据发放服务确定与该用户身份相关联的一个或多个客户端终端的身份。
票据发放服务可向第一客户端传输票据,该票据指定与用户身份相关联的所述一个或多个客户端终端中的所有客户端终端。
票据发放服务可向第一客户端传输多个票据,所述票据中的每一个指定与用户身份相关联的所述一个或多个客户端终端中相应的一个。
通信***可被布置成使得在***中操作的每个客户端终端被分配一个或多个节点,客户端终端可借助于所述一个或多个节点建立通信连接,该方法还包括票据发放服务确定分配给与用户身份相关联的(多个)客户端终端的一个或多个节点的身份。
票据发放服务可向第一客户端终端传输票据,该票据授权第一客户端借助于分配给与用户身份相关联的(多个)客户端终端的节点中的任一个来建立所请求的与第二客户端的连接。
票据发放服务可向第一客户端终端传输票据,该票据授权第一客户端仅借助于分配给与用户身份相关联的(多个)客户端终端的节点的子集来建立所请求的与第二客户端的连接。
通信***可被布置成使得在***中操作的每个客户端终端被分配一个或多个节点,客户端终端可借助于所述一个或多个节点建立通信连接,该方法还包括第一客户端从票据发放服务请求票据,该票据授权第一客户端借助于分配给与第一客户端相关联的客户端终端的节点中的一个或多个来建立通信连接。
该方法还可包括:第一客户端将票据作为请求的一部分发送给多个节点中的一个,以便该节点在第一客户端和第二客户端之间建立通信连接,多个节点中的所述一个确定票据是否授权第一客户端借助于该节点来建立通信连接,以及如果票据授权第一客户端借助于该节点来建立通信连接,则多个节点中的所述一个接受请求以建立通信连接。
该方法还可包括:多个终端中的一个从请求与第二客户端的通信连接的第一客户端接收包括票据的请求,多个终端中的所述一个确定票据是否指定第二客户端,以及如果确定票据指定第二客户端,则多个节点中的所述一个在第一客户端和第二客户端之间建立通信连接。
该方法还可包括:第一客户端在对传输给票据发放服务的针对票据的请求中包括与第一客户端相关联的用户身份和/或密码;以及,票据发放服务根据该用户身份和/或密码来确定第一客户端是否被授权建立所请求的通信连接。
票据发放服务可根据第一客户端是否被许可建立与第二客户端的通信连接来确定第一客户端是否被授权建立所请求的通信连接。票据发放服务可根据第二客户端是否被许可建立与第一客户端的通信连接来确定第一客户端是否被授权建立所请求的通信连接。
票据发放服务可检查与第一客户端相关联的预付费余额并且根据预付费余额来确定第一客户端终端被授权建立所请求的通信连接。票据发放服务在将票据传输给第一客户端之前可将预付费余额减少与所请求的通信连接相关联的量。
票据发放服务可根据由第一客户端建立的此前的通信连接来确定第一客户端是否被授权建立所请求的通信连接。
票据发放服务可生成票据。票据发放服务可以以这样的方式生成票据:使得票据能被多个节点中的任一个读取。票据发放服务可以以这样的方式生成票据:使得票据只能由票据授权第一客户端使用其来建立所请求的通信连接的多个节点中的所述一个或多个中的一个读取。
票据发放服务可使用与票据授权第一客户端使用其来建立所请求的通信连接的所述一个或多个节点相关联的私钥来对票据加密。
根据本发明的第二实施例,提供了一种用于在包括能够在两个或更多个客户端之间建立通信连接的多个节点的通信***中发放票据的节点,该节点被布置成:从第一客户端接收针对票据的请求,该票据授权第一客户端建立与第二客户端的通信连接;确定第一客户端是否被授权建立所请求的通信连接;并且如果确定第一客户端被授权建立所请求的通信连接,则向第一客户端传输一个或多个票据,这些票据指定第二客户端,其授权第一客户端借助于多个节点中的一个或多个来建立所请求的与第二客户端的连接。
该节点可被布置成识别在针对票据的请求中与第二客户端相对应的用户身份并且在通信***中确定与该用户身份相关联的多个客户端终端的身份。
该节点可被布置成向第一客户端传输票据,该票据指定与用户身份相关联的多个客户端终端中的所有客户端终端。
该节点可被布置成向第一客户端传输多个票据,所述票据中的每一个指定与用户身份相关联的多个客户端终端中相应的一个。
通信***可被布置成使得在***中操作的每个客户端终端被分配一个或多个节点,客户端终端可借助于所述一个或多个节点建立通信连接,该节点被布置成确定分配给与用户身份相关联的(多个)客户端终端的一个或多个节点的身份。
通信***可被布置成使得为建立通信连接的目的而分配给客户端终端的节点中的一些或所有本身也可以是包括在通信***中的客户端终端。
该节点可被布置成向第一客户端传输票据,该票据授权第一客户端终端借助于分配给与用户身份相关联的(多个)客户端终端的节点中的任一个来建立所请求的与客户端终端的连接。
该节点可被布置成向第一客户端传输票据,该票据授权第一客户端终端仅借助于分配给与用户身份相关联的(多个)客户端终端的节点的子集来建立所请求的与客户端终端的连接。
该节点可被布置成从包括在针对票据的请求中的用户身份和/或密码来确定第一客户端被授权建立所请求的通信连接。
该节点可被布置成根据第一客户端是否被许可建立与第二客户端的通信连接来确定第一客户端是否被授权建立所请求的通信连接。
该节点可被布置成根据第二客户端是否被许可建立与第一客户端的通信连接来确定第一客户端是否被授权建立所请求的通信连接。
该节点可被布置成检查与第一客户端相关联的预付费余额并且根据预付费余额来确定第一客户端被授权建立所请求的通信连接。该节点可被布置成在将票据传输给第一客户端之前将预付费余额减少与所请求的通信连接相关联的量。
该节点可被布置成根据由第一客户端建立的此前的通信连接来确定第一客户端是否被授权建立所请求的通信连接。
该节点可被布置成向生成票据。该节点可被布置成以这样的方式生成票据:使得票据能被多个节点中的任一个读取。该节点可被布置成以这样的方式生成票据:使得票据只能由票据授权第一客户端使用其来建立所请求的通信连接的多个节点中的所述一个或多个中的一个读取。
该节点可被布置成使用与票据授权第一客户端使用其来建立所请求的通信连接的所述一个或多个节点相关联的私钥来对票据加密。
根据本发明的第三实施例,提供了一种用指令编码的计算机可读介质,该指令在被能够在包括能够在两个或更多个客户端之间建立通信连接的多个节点的通信***中发放票据的节点执行时,使得该节点:从第一客户端接收针对票据的请求,该票据授权第一客户端建立与第二客户端的通信连接;确定第一客户端是否被授权建立所请求的通信连接;并且如果确定第一客户端被授权建立所请求的通信连接,则向第一客户端传输一个或多个票据,这些票据指定第二客户端,其授权第一客户端借助于多个节点中的一个或多个来建立所请求的与第二客户端的连接。
附图说明
为了更好地理解本发明,以举例方式参照下面的附图,其中:
图1示出基于中央服务器的通信***的示例;
图2示出对等***的示例;
图3示出可用来发放票据的步骤序列;以及
图4示出能够发放票据的节点的示例。
具体实施方式
通信***可包括多个节点,这些节点能够在两个或更多个客户端之间建立通信连接。通信***可要求客户端拥有票据,该票据授权它们使用通信***的一个或多个节点来建立通信连接。通信***中的节点中的一个或多个可提供票据发放服务,该票据发放服务被布置成发放这样的票据。
客户端可以是连接的任何端点。例如,客户端可能是服务器。客户端也可能是客户端终端,即在通信***内的机器。许多通信***不是基于识别和认证***内的实际机器而是基于识别和认证注册到通信***提供者的用户账户而操作。因此,“客户端”也可能对应于用户账户而不是具体机器。“客户端”的另一个示例可能是在特定用户账户下运行的客户端软件的实例。典型地,这样的软件将由***提供者提供并且将对用户的机器编程以作为通信***中的节点而操作。该软件可能对用户机器编程,使得它作为通信***内的中继而操作。
根据一种用于发放票据的方法,想要与另一客户端建立通信连接的客户端可以向票据发放服务传输针对票据的请求。客户端可以请求授权其建立与另一个客户端的通信连接的票据。票据发放节点可确定第一客户端是否被授权建立所请求的通信连接。如果第一客户端被授权建立连接,则票据发放服务将票据传输给第一客户端终端。票据可以指定请求客户端正试图联系的客户端并且可以授权所请求的连接。票据还可授权请求客户端使用通信***的一个或多个节点来建立连接。
在开始实际交易之前,由发起请求的实体获得票据。在建立通信连接期间,在票据-授予实体和建立所请求的连接中可能涉及的实体之间可能不需要进一步通信,因为票据本身为这些实体提供了关于连接已被授权的足够的证据。
该***拓展了授权的概念,使得票据授权客户端经由特定的网络节点建立未来的连接,但仅在特定的远程节点形成该连接的端点的时候。现有的授权机制仅授权对由端点节点提供的服务的访问,而不特别地授权使用具体端点来提供服务或使用所需的中继节点来到达连接端点。然而,许多对等***具有有限的可用资源,并且非常需要形成用于通信网络流量的覆盖的节点。因此,防止对网络节点服务要求不期望的连接的攻击是非常有用的。这些问题可通过以下方式解决:要求客户端在使用网络节点之前获得授权,从而允许***控制其转发节点的使用;以及要求票据指定连接的端点,使得可以防止不期望的连接。
用于发放本文所述票据的方法可以有效地应用于任何类型的连接:话音呼叫、视频呼叫、多媒体连接等。该方法对于需要网络中的节点转发两客户端之间的通信的连接是特别有用的。执行这种转发功能的网络节点常被称为中继。因此,下面的描述特别地涉及中继,但这不应被当作可以经由票据接受授权的节点类型的仅有的示例。
图2图解说明了其中可能使用票据的通信***的示例。通信***大体上在201处示出。通信***包括两个客户端终端:A和B(分别为203和202)。在该示例中,通信***为对等***,并且A和B为该***的客户端。还示出了“云”本身,它表示通过对等覆盖的其它组件而对于网络的客户端而言可用的服务。该覆盖可包括客户端终端和由覆盖网所有者(例如,通信***提供者)提供的服务器,客户端终端被特定软件编程以作为通信***的节点而操作。图2示出三个节点205至207。这些节点为中继对等体(并且在某些网络中也可以是“超级节点”)。在该示例中,每个客户端与至少一个中继相关联。标示为RA和RB的节点分别是与客户端A和B相关联的中继。在图2中,客户端A被分配两个中继:主中继RA 1(206)和冗余中继RA 2(205),冗余中继在主中继发生故障情况下充当备用中继。客户端B示出为仅被分配了一个中继,但任何客户端都可以被分配主中继和一个或多个冗余中继。图2中的箭头图解说明了通过它们可在客户端A和B之间建立通信连接的不同路由。
作为云服务的一部分,存在被称为票据获取服务(TGS)的认证服务。该服务可由单个服务器、服务器集群和/或通过云中的对等体的选择来实现,这些对等体可包括超级节点/中继对等体中的任意一个或全部。
在一个实施例中,打开客户端之间的连接排他地通过中继来处理。在通过中继的初始信令之后,可以在两个客户端之后建立直接连接,使得进一步的通信能在客户端之间直接传送。可替换地,中继可以保留在用于主动路由客户端之间通信的路径上。在另一实施例中,客户端可获得其希望联系的客户端的地址并可直接联系该客户端。这不是优选实施例,因为在某些条件下,它可能使绕过协议中固有的安全机制更加容易。
图3图解说明了当客户端A试图建立与客户端B的通信连接时可以执行的步骤的示例。
步骤301
提出请求:客户端A首先向TGS提出要求批准与B连接的票据的请求。客户端A可以在该请求中包括用户id和/或密码。用户id可与用户、具体机器或两者相关联。在一些实施例中,不是包括它的密码作为请求的一部分,客户端A可以在请求中包括通过将函数应用于其密码而生成的认证符。客户端还可在请求中包括将与之建立连接的客户端终端的身份。在一些通信***中,连接的另一方的身份严格地说将为用户的身份,而不是终端的身份,因为相同用户可以使用相同用户身份但不同机器来访问***。在这样的***中,客户端A可以在其向TGS的请求中包括其试图联系的用户的身份。
步骤302
接收请求:TGS接收请求并认证节点A和/或A的用户的身份。该认证可涉及TGS通过确认客户端A包括在请求中的用户身份和/或密码与存储在TGS访问的数据库中的用户身份和/或密码相同而检查用户身份和/或密码。可替换地,如果客户端A未传输其密码,则TGS可以对存储在其数据库中的密码执行与客户端在形成认证符时使用的相同的函数。如果该函数的结果与认证符相同,那么TGS可以推断客户端A拥有正确的密码。
如果TGS未能认证客户端A,那么它将在步骤303中拒绝客户端A的针对票据的请求。然而,如果客户端A通过认证,则TGS将进行到步骤304。
步骤304
定位客户端B:TGS可执行搜索以识别与包括在请求中的用户身份相对应的客户端。如果对应于“客户端B”的用户在多个地点登录到***中,则这样的查询可返回多个结果。TGS可生成授权仅与客户端B的一个实例通信的票据,或者它可以生成对于客户端B的所有实例有效的单个票据。
步骤305
定位客户端B的中继:TGS可定位通过它们可以联系客户端B的超级节点/中继对等体。这将包括至少一个主中继对等体,并且也可包括冗余中继对等体。可选地,可以提供在中继本身不能被到达的情况下可用来到达中继的附加节点的身份。在优选实施方式中,地点信息可以是基于IP地址的,这将允许在客户端A和客户端B的中继之间或在客户端A的中继和客户端B的中继之间直接通信(在客户端A本身不具有足够的对外连接性的情况下)。在一些通信***中,经由在覆盖中的特定位置而不是经由IP地址来识别中继。这样的通信***的示例是被称为Chord的覆盖网络,其中节点以“环”的形式被布置,并且经由它们在环中的位置而不是通过IP地址被识别。在这样的通信***中,分配给客户端B的中继的地点可经由基于覆盖的路由而不是IP地址来给出。
在优选实施方式中,授权客户端A建立与客户端B的通信连接的票据将隐含地授权A使用客户端B的所分配到的中继。中继将因此认识到授权客户端A联系客户端B的票据足以授权通过RB的通信。然而,可以发放授权客户端A使用中继的附加的票据。在一个实施例中,每个RB可能需要单独的票据。如果附加的节点被分配用于联系中继(例如,作为在中继被证明是不可到达的情况下的备用),则客户端A可能需要附加的票据来使用这些节点。
步骤306
验证所请求的通信连接是否是容许的:TGS可检查客户端A是否被授权联系客户端B。TGS也可授权:客户端B被授权接收联系。该授权可包括特定于服务的授权,例如要求某些账户设置发出/接收视频呼叫而不仅是话音呼叫。该授权可以依赖于客户端A请求的服务的特定类型、要建立的连接的类型、将通过所请求的连接传递的数据的类型等。
如果请求未通过验证,则其将被拒绝(步骤307)。否则,过程进行到步骤308。
步骤308
账户管理(accounting):TGS可执行任何与所请求连接相关联的账户管理。这可包括通过检查与客户端A和/或客户端B相关联的预付费余额是否足够支付所请求连接的费用来验证资金。TGS也可以在发布票据之前将所请求连接的费用从任何预付费余额记入借方。对于通过订金支付和/或接收所使用服务的账单的客户端来说,TGS可检查客户端的账户是否信誉良好,即所有账单都已支付。
如果由TGS执行的账户管理表明与将成为所请求的连接的一方的客户端中的一个或多个相关联的账户存在问题,则TGS可以在步骤309中拒绝针对票据的请求。
步骤310
检查客户端A此前的呼叫模式:TGS可以回顾客户端A此前的呼叫模式以检测A在过去是否参与发送垃圾邮件。如果是,则TGS将拒绝向客户端A发放所请求的票据(步骤311)。
步骤312
生成票据:如果TGS最终确定客户端A被授权建立所请求的与客户端B的连接,那么它将生成授权这种连接的票据。该票据将被指定为授权客户端A与客户端B联系,以使得不是只授权客户端A经由通信***的节点建立连接,而是授权的范围被限制于连接的具体端点。票据可以各种不同方式指定客户端B。例如,票据可包括与客户端B相关联的用户身份、与客户端B相关联的机器的IP地址或在与客户端B相关联的机器的覆盖内的地点。可替换地,票据可包括指定客户端B的不同形式的标识符。例如,标识符可以是只能由票据预期用于的节点识别的标识符。
如上所解释,生成的票据可以对于客户端B的所有实例是有效的,在这种情况下,票据可包括例如在网络中与客户端B相关联的所有机器的地点。可替换地,票据可以仅对B的一个实例有效,在这种情况下,票据可包括例如在网络中与客户端B相关联的仅一个机器的地点。
票据也可以对分配给客户端B的所有中继或其它节点有效,或者仅对这些中继的子集有效。对其而言票据有效的中继或其它节点可以在票据中被识别(例如,通过它们的IP地址或在覆盖中的地点)。可替换地,可能存在票据的某种其它特性,所述特性能够通知票据将对它们有效的中继或节点:票据将用于它们。例如,可以用中继或节点的私钥对票据的全部或一部分加密(参见下文)。
在优选的实施例中,发放的票据清楚地标记为授权客户端A联系客户端B。这些票据可被通信***内的任何机器读取和理解。在可替换的实施例中,票据仅是可被其预期目标读取的。这可由TGS实现,TGS以这样的方式对票据加密以使得票据只能被预期目标读取,预期目标适当地为通信***的节点(该节点可以是例如客户端B或其所分配的中继中的一个)。例如,TGS可使用分配给客户端B的中继的私钥对票据加密。当票据旨在授权客户端A仅经由客户端B分配到的中继中的一个建立其与客户端B的连接时,该实施例典型地将是最有用的。
步骤313
将票据传输到客户端A:TGS将生成的票据传输给客户端A,使得客户端A能在建立与客户端B的连接过程中使用票据。
由TGS执行的步骤也可以按与上文所述不同的顺序执行。
TGS可以在票据中包括通知客户端A其可以使用哪些中继或其它节点来联系客户端B的信息。该信息可以从票据本身而对客户端A是可用的,如果该票据可被客户端A读取的话。
一旦它从TGS接收到票据,客户端A就可以试图通过向分配给客户端B的中继中的一个发送请求来建立与客户端B的通信连接。在一些情况下,客户端A可能需要经由其自己的中继中的一个来中继该请求。典型地,分配给客户端A的中继将愿意在没有附加授权的情况下代表客户端A行动。然而,在一些实施方式中,客户端A的中继可以在代表客户端A转发连接请求之前自行要求票据。TGS可以在授权使用客户端B的中继的相同票据中包括对于客户端A的中继而言可接受的授权。可替换地,TGS可以为客户端A的中继发放单独的票据。然而,即使客户端A的中继要求单独的票据,该票据优选地仍然指定客户端B。客户端A的中继可以针对客户端A希望进行连接的每个客户端要求不同的票据。
当分配给客户端B的中继接收请求时,其可以检查票据是否有效。例如,它可以检查票据是否适用于它并且检查票据是否对于正要求的连接的类型而言有效。中继也可以检查在票据中指定的客户端是否与已请求与其进行连接的客户端匹配。如果一切就绪,中继就可以将连接请求连同票据一起转发到客户端B。客户端B也将按照与其中继类似的方式检查票据是否有效。如果一切就绪,客户端B就可以接受连接。
以上所述的发放票据的过程可能是有利的,因为它将复杂的授权、安全筛选和呼叫追踪的概念合并到票据获取过程中。由于在连接之前需要票据,授予票据的节点可以通过拒绝请求来实施连接策略和账单管理要求,从而彻底防止客户端A和客户端B彼此通信。类似地,在连接之前发放票据可以有助于呼叫追踪。票据授予实体也可以执行诸如查找骚扰或非法呼叫模式之类的安全筛选,包括能够检测垃圾邮件、垃圾信息和垃圾网络电话(spit)。
***内的客户端和节点二者可以以硬件或软件实现,但优选的是,它们借助于软件(例如,在微处理器上运行的程序指令)实现。
如上所述,TGS可由单个服务器、服务器集群和/或通过云中的对等体的选择来实现,这些对等体可包括中继中的任意一个或全部。可能一起工作以形成TGS的功能框的示例在图4中示出。
图4大体上在401处示出了TGS。TGS包括用于接收来自网络中的客户端的票据请求的通信单元402。TGS还包括授权单元403,其用于一般地认证用户并确定是否应发放票据。授权单元可访问数据库404以用于确认用户身份和/或密码。授权单元也可访问定位单元405以用于识别客户端B的实例并用于识别分配给客户端B的中继和附加节点。授权单元可访问账务管理单元406以用于检查账户明细并记录与所请求的连接相关联的任何费用。授权单元也可利用安全单元407以用于检查与客户端A相关联的先前的呼叫记录不指示任何垃圾邮件发送活动。如果所有的检查都是合格的,则授权单元可以命令生成单元408生成(多个)所需票据,使得它们能被传输给客户端A。
申请人在此孤立地公开了本文所述的每个单独的特征以及两个或更多个这样的特征的任意组合,以达到这样的特征或组合能够按照本领域的技术人员的一般常识基于作为整体的本说明书而实施的程度,而不论这样的特征或特征的组合是否解决本文所公开的任何问题,并且不限于权利要求的范围。申请人指示本发明的各方面可由任何这样的特征或特征的组合来组成。根据以上描述,对本领域技术人员将明显是,在本发明的范围内可以进行各种修改。
Claims (37)
1.一种用于在通信***中发放票据的方法,所述通信***包括能够在两个或更多个客户端之间建立通信连接的多个节点,所述方法包括:
在票据发放服务处从第一客户端接收针对票据的请求,所述票据授权所述第一客户端建立与第二客户端的通信连接;
所述票据发放服务确定所述第一客户端是否被授权建立所述请求的通信连接;以及
如果确定所述第一客户端被授权建立所述请求的通信连接,则所述票据发放服务向所述第一客户端传输一个或多个票据,所述一个或多个票据指定所述第二客户端,授权所述第一客户端借助于所述多个节点中的一个或多个来建立所述请求的与所述第二客户端的连接,所述一个或多个票据还授权所述第一客户端经由被分配给所述第二客户端的至少一个中继节点与所述第二客户端通信,所述一个或多个票据识别该至少一个中继节点或者通过该至少一个中继节点的私钥加密以通知该至少一个中继节点:所述第一客户端被授权经由该至少一个中继节点来与所述第二客户端通信。
2.根据权利要求1所述的方法,所述方法还包括:所述针对票据的请求包括对应于所述第二客户端的用户身份,并且所述票据发放服务确定与所述用户身份相关联的一个或多个客户端的所述身份。
3.根据权利要求2所述的方法,所述方法还包括:所述票据发放服务向所述第一客户端传输票据,所述票据指定与所述用户身份相关联的所述一个或多个客户端中的所有客户端。
4.根据权利要求2所述的方法,所述方法还包括:所述票据发放服务向所述第一客户端传输多个票据,所述多个票据中的每一个指定与所述用户身份相关联的所述一个或多个客户端中的相应的一个。
5.根据权利要求2至4中的任一权利要求所述的方法,其中,所述通信***被布置成使得在所述***中操作的每个客户端被分配一个或多个节点,所述客户端可借助于所述一个或多个节点建立通信连接,所述方法还包括:所述票据发放服务确定分配给与所述用户身份相关联的所述第二客户端的所述一个或多个节点的身份。
6.根据权利要求5所述的方法,所述方法还包括:所述票据发放服务向所述第一客户端传输票据,所述票据授权所述第一客户端借助于分配给与所述用户身份相关联的所述第二客户端的所述节点中的任一个来建立所述请求的与所述第二客户端的连接。
7.根据权利要求5所述的方法,所述方法还包括:所述票据发放服务向所述第一客户端传输票据,所述票据授权所述第一客户端仅借助于分配给与所述用户身份相关联的所述第二客户端的所述节点的子集来建立所述请求的与所述第二客户端的连接。
8.根据权利要求1至4中的任一权利要求所述的方法,其中,所述通信***被布置成使得在所述***中操作的每个客户端被分配一个或多个节点,每个客户端借助于所述一个或多个节点建立通信连接,所述方法还包括:在所述票据发放服务处从所述第一客户端接收对于附加的票据的附加请求,所述附加的票据授权所述第一客户端借助于分配给与所述第一客户端相关联的客户端的所述节点中的一个或多个建立通信连接。
9.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:
所述第一客户端将所述票据作为请求的一部分传输给所述多个节点中的一个,以便所述节点在所述第一客户端和第二客户端之间建立通信连接;
所述多个节点中的所述一个节点确定所述票据是否授权所述第一客户端借助于所述节点建立通信连接;以及
如果所述票据授权所述第一客户端借助于所述节点建立通信连接,则所述多个节点中的所述一个节点接受所述请求以建立通信连接。
10.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:
所述多个节点中的一个从请求与所述第二客户端的通信连接的所述第一客户端接收包括票据的请求;
所述多个节点中的所述一个节点确定所述票据是否指定所述第二客户端;以及
如果确定所述票据指定所述第二客户端,则所述多个节点中的所述一个节点在所述第一客户端和所述第二客户端之间建立通信连接。
11.根据权利要求1至4中的任一权利要求所述的方法,其中该请求包括:与所述第一客户端相关联的用户身份和/或密码;以及
所述票据发放服务根据所述用户身份和/或密码来确定所述第一客户端是否被授权建立所述请求的通信连接。
12.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:所述票据发放服务根据所述第一客户端是否被许可建立与所述第二客户端的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
13.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:所述票据发放服务根据所述第二客户端是否被许可建立与所述第一客户端的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
14.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:所述票据发放服务检查与所述第一客户端相关联的预付费余额并且根据所述预付费余额来确定所述第一客户端被授权建立所述请求的通信连接。
15.根据权利要求14所述的方法,所述方法还包括:所述票据发放服务在将所述票据传输给所述第一客户端之前将所述预付费余额减少与所述请求的通信连接相关联的量。
16.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括:所述票据发放服务根据由所述第一客户端建立的此前的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
17.根据权利要求1至4中的任一权利要求所述的方法,所述方法还包括所述票据发放服务生成所述票据。
18.根据权利要求17所述的方法,所述方法还包括:所述票据发放服务以这样的方式生成所述票据,即使得所述票据能被所述多个节点中的任一个读取。
19.根据权利要求17所述的方法,所述方法还包括:所述票据发放服务以这样的方式生成所述票据,即使得所述票据只能由所述票据授权所述第一客户端使用其来建立所述请求的通信连接的、所述多个节点中的一个或多个中的一个读取。
20.根据权利要求19所述的方法,所述方法还包括:所述票据发放服务使用与所述票据授权所述第一客户端使用其来建立所述请求的通信连接的所述一个或多个节点相关联的私钥来对所述票据加密。
21.一种用于在通信***中发放票据的节点,所述通信***包括能够在两个或更多个客户端之间建立通信连接的多个节点,所述节点包括:
用于从第一客户端接收针对票据的请求的通信单元,所述票据授权所述第一客户端建立与第二客户端的通信连接;
用于确定所述第一客户端是否被授权建立所述请求的通信连接的授权单元;并且
用于在确定所述第一客户端被授权建立所述请求的通信连接的情况下,生成一个或者多个票据使得它们被传输给所述第一客户端的生成单元,所述一个或多个票据指定所述第二客户端,授权所述第一客户端借助于所述多个节点中的一个或多个来建立所述请求的与所述第二客户端的连接,所述一个或多个票据还授权所述第一客户端经由被分配给所述第二客户端的至少一个中继节点与所述第二客户端通信,所述一个或多个票据识别该至少一个中继节点或者通过该至少一个中继节点的私钥加密以通知该至少一个中继节点:所述第一客户端被授权经由该至少一个中继节点来与所述第二客户端通信。
22.根据权利要求21所述的节点,其中,所述节点被布置成识别在所述针对票据的请求中与所述第二客户端相对应的用户身份并且在所述通信***中确定与所述用户身份相关联的多个客户端的身份。
23.根据权利要求22所述的节点,其中,所述节点被布置成向所述第一客户端传输票据,所述票据指定与所述用户身份相关联的所述多个客户端中的所有客户端。
24.根据权利要求22所述的节点,其中,所述节点被布置成向所述第一客户端传输多个票据,所述票据中的每一个指定与所述用户身份相关联的所述多个客户端中的相应的一个。
25.根据权利要求22至24中的任一权利要求所述的节点,其中,所述通信***被布置使得在所述***中操作的每个客户端被分配一个或多个节点,所述客户端可借助于所述一个或多个节点建立通信连接,所述节点被布置成确定分配给与所述用户身份相关联的所述第二客户端的所述一个或多个节点的身份。
26.根据权利要求25所述的节点,其中,所述节点被布置成向所述第一客户端传输票据,所述票据授权所述第一客户端借助于分配给与所述用户身份相关联的所述第二客户端的所述节点中的任一个来建立与所述第二客户端的所述请求的连接。
27.根据权利要求25所述的节点,其中,所述节点被布置成向所述第一客户端传输票据,所述票据授权所述第一客户端仅借助于分配给与所述用户身份相关联的所述第二客户端的所述节点的子集来建立与所述第二客户端的所述请求的连接。
28.根据权利要求21至24中的任一权利要求所述的节点,其中,所述节点被布置成从包括在所述针对票据的请求中的用户身份和/或密码确定所述第一客户端是否被授权建立所述请求的通信连接。
29.根据权利要求21至24中的任一权利要求所述的节点,其中,所述节点被布置成根据所述第一客户端是否被许可建立与所述第二客户端的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
30.根据权利要求21至24中的任一权利要求所述的节点,其中,所述节点被布置成根据所述第二客户端是否被许可建立与所述第一客户端的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
31.根据权利要求21至24中的任一权利要求所述的节点,其中,所述节点被布置成检查与所述第一客户端相关联的预付费余额并且根据所述预付费余额来确定所述第一客户端被授权建立所述请求的通信连接。
32.根据权利要求31所述的节点,其中,所述节点被布置成在将所述票据传输给所述第一客户端之前将所述预付费余额减少与所述请求的通信连接相关联的量。
33.根据权利要求21至24中的任一权利要求所述的节点,其中,所述节点被布置成根据由所述第一客户端建立的此前的通信连接来确定所述第一客户端是否被授权建立所述请求的通信连接。
34.根据权利要求21所述的节点,其中,所述节点被布置成以这样的方式生成所述票据,即使得所述票据能被所述多个节点中的任一个读取。
35.根据权利要求21所述的节点,其中,所述节点被布置成以这样的方式生成所述票据,即使得所述票据只能由所述票据授权所述第一客户端使用其来建立所述请求的通信连接的、所述多个节点中的一个或多个中的一个读取。
36.根据权利要求35所述的节点,其中,所述节点被布置成使用与所述票据授权所述第一客户端使用其来建立所述请求的通信连接的所述一个或多个节点相关联的私钥来对所述票据加密。
37.一种能够在通信***中发放票据的设备,该通信***包括能够在两个或更多个客户端之间建立通信连接的多个节点,该设备包括:
用于从第一客户端接收针对票据的请求的装置,所述票据授权所述第一客户端建立与第二客户端的通信连接;
用于确定所述第一客户端是否被授权建立所述请求的通信连接的装置;以及
用于在确定所述第一客户端被授权建立所述请求的通信连接的情况下,向所述第一客户端传输一个或多个票据的装置,所述一个或多个票据指定所述第二客户端,所述第二客户端授权所述第一客户端借助于所述多个节点中的一个或多个来建立所述请求的与所述第二客户端的连接,所述一个或多个票据还授权所述第一客户端经由被分配给所述第二客户端的至少一个中继节点与所述第二客户端通信,所述一个或多个票据识别该至少一个中继节点或者通过该至少一个中继节点的私钥加密以通知该至少一个中继节点:所述第一客户端被授权经由该至少一个中继节点来与所述第二客户端通信。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/784,880 US8650392B2 (en) | 2010-05-21 | 2010-05-21 | Ticket authorization |
US12/784880 | 2010-05-21 | ||
US12/784,880 | 2010-05-21 | ||
PCT/EP2011/058193 WO2011144709A1 (en) | 2010-05-21 | 2011-05-19 | Ticket authorisation |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102893579A CN102893579A (zh) | 2013-01-23 |
CN102893579B true CN102893579B (zh) | 2016-05-18 |
Family
ID=44509981
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180025237.XA Active CN102893579B (zh) | 2010-05-21 | 2011-05-19 | 用于在通信***中发放票据的方法、节点和设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8650392B2 (zh) |
EP (1) | EP2561659B1 (zh) |
CN (1) | CN102893579B (zh) |
WO (1) | WO2011144709A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8650392B2 (en) | 2010-05-21 | 2014-02-11 | Microsoft Corporation | Ticket authorization |
CN102752399A (zh) * | 2012-07-19 | 2012-10-24 | 南京邮电大学 | 一种基于云存储的点对点安全文件共享方法 |
DE102012111903B4 (de) * | 2012-12-06 | 2015-11-19 | Deutsche Post Ag | Verfahren zum Aufbau einer sicheren Verbindung zwischen Clients |
KR20150091569A (ko) * | 2014-02-03 | 2015-08-12 | 삼성전자주식회사 | 전자 장치 및 이의 특정 영역에 대한 접근을 제어하는 방법 |
US10230696B2 (en) * | 2015-06-09 | 2019-03-12 | Intel Corporation | System, apparatus and method for managing lifecycle of secure publish-subscribe system |
EP3687201B1 (en) * | 2019-01-25 | 2021-03-03 | Kapsch TrafficCom AG | Method for issuing authorisation tickets in an intelligent transport system |
CN114640491A (zh) * | 2020-12-16 | 2022-06-17 | 深圳优地科技有限公司 | 通信方法和*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101103630A (zh) * | 2004-10-05 | 2008-01-09 | 维克多曼克斯公司 | 授权多媒体组播的方法和*** |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI112143B (fi) * | 2000-08-14 | 2003-10-31 | Sonera Oyj | Prepaid-palvelu |
US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
US6993652B2 (en) * | 2001-10-05 | 2006-01-31 | General Instrument Corporation | Method and system for providing client privacy when requesting content from a public server |
SE531820C2 (sv) * | 2007-06-13 | 2009-08-18 | Headweb Ab | Förfarande och system för legal fildelning |
US8274968B2 (en) * | 2007-07-20 | 2012-09-25 | Cisco Technology, Inc. | Restriction of communication in VoIP address discovery system |
KR100953095B1 (ko) * | 2007-12-18 | 2010-04-19 | 한국전자통신연구원 | 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법 |
US8650392B2 (en) | 2010-05-21 | 2014-02-11 | Microsoft Corporation | Ticket authorization |
-
2010
- 2010-05-21 US US12/784,880 patent/US8650392B2/en active Active
-
2011
- 2011-05-19 WO PCT/EP2011/058193 patent/WO2011144709A1/en active Application Filing
- 2011-05-19 CN CN201180025237.XA patent/CN102893579B/zh active Active
- 2011-05-19 EP EP11723901.2A patent/EP2561659B1/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101103630A (zh) * | 2004-10-05 | 2008-01-09 | 维克多曼克斯公司 | 授权多媒体组播的方法和*** |
Non-Patent Citations (2)
Title |
---|
kerberos协议及其授权扩展的研究与设计;马佩勋等;《计算机技术与发展》;20060531;第16卷(第5期);第109-114页 * |
基于kerberos的统一身份认证授权***的设计;刘钦创等;《广州大学学报(自然科学版)》;20100831;第9卷(第4期);第18-22页 * |
Also Published As
Publication number | Publication date |
---|---|
EP2561659B1 (en) | 2019-02-20 |
WO2011144709A1 (en) | 2011-11-24 |
CN102893579A (zh) | 2013-01-23 |
US20110289313A1 (en) | 2011-11-24 |
US8650392B2 (en) | 2014-02-11 |
EP2561659A1 (en) | 2013-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1941700B (zh) | 电信***中的特权授予与资源共享的方法 | |
US7225342B2 (en) | Terminal apparatus, communication method, and communication system | |
CN102893579B (zh) | 用于在通信***中发放票据的方法、节点和设备 | |
US8756423B2 (en) | System and method for establishing a secure group of entities in a computer network | |
CN100563248C (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和*** | |
CN1823519B (zh) | 对等电话***及方法 | |
US7177932B2 (en) | Method, gateway and system for transmitting data between a device in a public network and a device in an internal network | |
US7457848B2 (en) | Over-network resource distribution system and mutual authentication system | |
CN109361663B (zh) | 一种访问加密数据的相关方法、***和相关装置 | |
CN102195957A (zh) | 一种资源共享方法、装置及*** | |
WO2005096644A1 (fr) | Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite | |
JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
US9369873B2 (en) | Network application function authorisation in a generic bootstrapping architecture | |
US11792186B2 (en) | Secure peer-to-peer based communication sessions via network operating system in secure data network | |
US8014406B2 (en) | System and method of inserting a node into a virtual ring | |
US20230209345A1 (en) | Device-specific selection between peer-to-peer connections and core-based hybrid peer-to-peer connections in a secure data network | |
US11582201B1 (en) | Establishing and maintaining trusted relationship between secure network devices in secure peer-to-peer data network based on obtaining secure device identity containers | |
CN112335215B (zh) | 用于将终端设备联接到可联网的计算机基础设施中的方法 | |
Bonhomme et al. | Dynamic carpooling mobility services based on secure multi-agent platform | |
US20230111701A1 (en) | Secure keyboard resource limiting access of user input to destination resource requesting the user input | |
US20230231844A1 (en) | Dynamic secure keyboard resource obtaining interface definitions for secure ad-hoc control of a target device in a secure peer-to-peer data network | |
CN115865384A (zh) | 中台微服务授权方法、装置、电子设备及存储介质 | |
JP4760122B2 (ja) | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム | |
JP2005222100A (ja) | クライアントサーバシステム、サーバ装置及び通信制御方法 | |
WO2024100677A1 (en) | A system for lora based lightweight blockchain financial network for offline payments and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200331 Address after: Redmond, Washington, USA Patentee after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Ai Erlandubailin Patentee before: Skype |
|
TR01 | Transfer of patent right |