在信责范围外用给定外部连接进行多源通信的基于协议的信责范围内的分布式鉴别

具体实施方式

本发明的原理涉及在基于协议的信责范围内进行操作的分布式鉴别模型。通过使外部计算机系统原始与一特定的内部计算机系统进行通信，而不是可以与任何信责范围内部的计算机系统进行通信，可减少鉴别的数量，该特定的内部计算机系统在下文中被称为“边缘”计算机系统。(如果不是全部)许多内部计算机系统随后可将鉴别的任务授权给该边缘计算机系统，并将相信由该边缘计算机系统完成的任何鉴别。这可使对于大型的基于协议的信责范围的鉴别任务调整得很好。

本发明范围内的实施例包括用于在其上携载或带有计算机可执行指令或存储数据结构的计算机可读介质。这种计算机可读介质可以为任何一种通用或专用计算机可访问的可用介质。作为例子，但不限于此，这种计算机可读介质可包含物理计算机可读介质，诸如RAM、ROM、EEPROM、CD-ROM或其它光盘存储器，磁盘存储或其它磁性存储设备、或任何其它可用于以计算机可执行指令或数据结构的形式携载或存储所需程序代码方式并可由一通用或专用计算机访问的其它任何介质。

当信息通过网络或另一通信连接(硬线、无线或硬线与无线的组合)被传送或提供至计算机时，该计算机适当地将该连接看作计算机可读介质。从而，任何这样的连接被适当地称为计算机可读介质。上述的组合也应该包括在计算机可读介质的范围内。计算机可执行指令包含，比如，任何使通用计算机、专用计算机或完成特定功能或一组功能专用处理设备的指令和数据。该计算机可执行指令可以是，例如，汇编语言或甚至源代码之类的二进制中间格式指令。虽然不需要，本发明仍将以计算机可执行指令的通用形式来描述，诸如由计算机在网络环境中执行的程序模块。一般，程序模块包括完成特定任务或实现特定抽象数据类型的例程、程序、目标、成分、数据结构等。

本领域技术人员将理解，本发明可在带有许多类型计算机系统配置的网络计算机环境中进行操作，这些计算机系统配置包括个人计算机、手提设备、多处理器系统、基于微处理器或可编程的消费者电子设备、网络PC、微型计算机、大型计算机等。本发明还可以在分布式计算机环境中进行操作，在该环境中，由通过通信网络连接(通过硬线链接、无线链接或硬线或无线链接的组合)的本地和远程处理设备完成任务。在分布式计算机环境中，程序模块既可位于本地存储器存储设备也可位于远程存储器存储设备。

图1示出了合适的计算机环境，在该环境中，可以计算机120的形式来采用本发明的原理。计算机120包括处理单元121、系统存储器122以及将不同包括系统存储器122的系统元件耦连于处理单元121的系统总线123。

系统总线123可以为几种总线结构类型中的任何一种，包括存储总线或存储控制器、外围总线和使用多种总线体系中任何一种的本地总线。系统存储器包括只读存储器(ROM)124和随机读取存储器(RAM)125。可在ROM124中存储基本的输入/输出系统(BIOS)126，该系统包含有助于在计算机120的元件之间传送信息的基本例程，诸如在启动期间。

计算机120也可包括用于从磁性硬盘139读取和向磁性硬盘139写入的磁性硬盘驱动器127，用于从可移动磁盘129读取或向可移动磁盘129写入的磁盘驱动器128，以及用于从诸如CD-ROM或其它光学介质之类的可移动光盘131读取或向该设备写入的光盘驱动器130。磁性硬盘驱动器127、磁盘驱动器128和光盘驱动器130分别通过硬磁盘驱动接口132、磁盘驱动接口133和光盘驱动接口134与系统总线123链接。该驱动器及其相关的计算机可读介质提供计算机可执行指令、数据结构、程序模块和其它计算机120数据的非易失性存储。虽然此处所描述的示例性环境应用了磁性硬盘139，但可使用可移动磁盘129和可移动光盘131以及其它类型用于存储数据的计算机可读介质，包括磁带、闪存卡、数字视频磁盘、贝努里(Bernoulli)盒式磁带、RAM、ROM等。

可存储在硬盘139、磁盘129、光盘131、ROM124或RAM125上存储包含一个或多个程序模块的程序代码手段，包括操作系统135、一个或多个应用程序136、其它程序模块137和程序数据138。用户可通过键盘140、点击设备142或其它输入设备，比如话筒、操纵杆、游戏垫、卫星圆盘、扫描仪及类似设备(未示出)向计算机120键入指令和信息。这些和其它输入设备通常通过串行端口接口146耦连于系统总线123，与处理单元121连接。另外，输入设备可通过其它接口，诸如并行端口、游戏端口或通用串行总线(USB)，完成连接。还可通过诸如视频适配器148之类的接口将监视器147或另一显示设备连代系统总线123。除了监视器，个人计算机通常包括其它外围输出设备(未示出)，诸如扬声器和打印机。

计算机120可在与一个或多个远程计算机逻辑连接的网络环境中操作，这些远程计算机诸如远程计算机149a和149b。远程计算机149a和149b可互相为另一个的个人计算机、服务器、路由器、网络PC、同级设备或其它共用的网络节点，而且通常包括许多或所有上述与计算机120相关的上述元件，虽然在图1中只示出了存储器存储设备150a和150b以及它们相关的应用程序136a和136b。图1中描绘的逻辑连接包括本地局域网(LAN)151和广域网(WAN)152，它们在此处作为例子示出，但并非仅仅局限于此。这种网络环境在办公室范围或企业范围的计算机网络、企业内部互联网和因特网中是非常普遍的。

当用于局域(LAN)网络环境中的时候，计算机120通过网络接口或适配器153连接到本地网络151。当用于广域(WAN)网络环境中的时候，计算机120可包括调制解调器154、无线链接、或用于在广域网152，诸如因特网上建立通信的其它手段，诸如因特网。调制解调器154，可以是内置的或外置的，它通过串行端口接口146连接到系统总线123。在连网环境中，所描绘的与计算机120相关的程序模块或它的部分可存储在远程存储器存储设备中。可以理解的是，所示的网络连接是示例性的，可以使用在广域网152上建立通信的其它手段。

虽然图1示出了一个可实现本发明原理的计算机系统的例子，但是任何计算机系统都可以实现本发明的特征。在说明书和权利要求书中，“计算机系统”被广义地定义为任何硬件部件或可以使用软件来完成一个或多个功能的部件。计算机系统的例子包括台式计算机、手提式计算机、个人数字助理设备(PDA)、电话、或任何有处理能力的其它系统或设备。

图2示出了可应用本发明原理的网络环境200。网络环境200包括一基于协议的信责范围210，该信责范围210包括数个计算机系统，这些计算机系统信任彼此之间的通信，只要该通信与该信责范围所基于的特定协议一致。在下文中，在基于协议的信责范围210中的计算机系统还将被称为“内部”计算机系统，同时在该基于协议的信责范围210之外的计算机系统还将被称为“外部”计算机系统。因为信责范围210是基于该特定协议的，所以不与该特定协议相一致的内部计算机系统之间的通信不必被信任。

可列举出在基于协议的信责范围210中的计算机系统的数目和互连。仅用于示例的目的，所示出的基于协议的信责范围210包括计算机系统211-214和221-226。在基于协议的信责范围210的边缘示出了内部计算机系统211-214，因为它们可以与外部计算机系统互接并通过凭证交换来完成鉴别。因此，内部计算机系统211-214在此处通常也被称为“边缘”计算机系统或“边缘”内部计算机系统。该基于协议的信责范围210可以在公共的企业或领域内，或可跨越互联网的多个企业和/或部分。

网络环境还包括外部计算机系统240-246，它们可与给定的内部计算机系统进行通信或通过给定的内部计算机系统进行通信。计算机系统211-214、221-226和240-246中的任何一个都可以如上述计算机120所述地设置其结构。但是，这种计算机系统还可采用处于本文所述计算机系统的定义范围内的任何其它形式。

外部计算机系统241-246中的某些计算机系统能够通过边缘计算机系统211与一内部计算机系统进行通信。比如，外部计算机系统241能够通过边缘计算机系统211与一内部计算机系统进行通信，该边缘计算机系统211使用介于外部计算机系统241和边缘计算机系统211之间的连接250。外部计算机系统242-246还能通过外部计算机系统241、通过连接250、通过边缘计算机系统211来与内部计算机系统进行通信。一种允许多源和多目标的单连接共享的协议是会话初始化协议(SIP)。在一个实施例中，基于协议的信责范围210是SIP可信协议。

图3示出了在基于协议的信责范围210中分布式鉴别的方法300。方法300可在网络环境200中完成。因此，图3的方法300将经常参考图2的网络环境200来进行描述。方法300的某些动作由一边缘计算机系统完成，该边缘计算机系统由图3右列所示的标题“边缘”表示。其它的动作和步骤由另一内部计算机系统完成，该外部计算机系统由图3左列所示的标题“下个”表示。

边缘计算机系统首先建立与一外部计算机系统的连接(动作301)。比如，参考图2，边缘计算机系统211建立与外部计算机系统241的连接250。在这一阶段，边缘计算机系统211可通过连接250接收来自241到246中任何一个外部计算机系统的通信。边缘计算机系统211随后接收来自第一计算机系统241的通信，该通信原始来自241到246中的任何一个外部计算机系统(动作302)。

边缘计算机系统211接着鉴别源外部计算机系统(动作303)并随后将通信或其授权信息递送到下个内部计算机系统(动作304)。该鉴别可使用任何包括NTLM、Kerberos、Basic、Digest IPSec over MTLS等的鉴别机制来完成。该下个内部计算机系统可以是计算机系统的目标。比如，内部计算机系统221代表一个可能的用于通信的下个计算机系统221。

另一方面，下个计算机系统也可以不是通信的目标，而只是通信路由所通过到的计算机系统。比如，内部计算机系统222可用于路由通信发送到另一内部计算机系统或一外部计算机系统。比如，下个计算机系统222当与内部计算机系统223、224和225中的任何一个通信或与外部计算机系统240通信时可被用作中间计算机系统。该使用信责范围210所基于的特定协议进行计算机系统的通信。

下个内部计算机系统随后使用特定协议接收来自边缘计算机系统的通信(动作311)。下个内部计算机系统随后通过使用比如互相鉴别的传输层协议(MTLS)来鉴别该边缘计算机系统，从而完成两级鉴别过程中的第一级，但是并不鉴别原始通信的外部计算机系统。如果用MTLS来鉴别，则多个内部计算机系统之间的连接甚至可以通过公共网络或不可信网络，诸如因特网。

下个内部计算机系统接着在不单独鉴别原始外部计算机系统的情况下完成用于确定是否信任该通信的功能性结果导向步骤(步骤312)。该功能性结果导向步骤可包括任何完成结果的对应步骤。在所示的实施例中，步骤312包括对应的动作313、314和315。

下个内部计算机系统通过证实原始外部计算机系统的身份来完成鉴别过程的第二级。特别地，该下个内部计算机系统在不单独鉴别该外部计算机系统的情况下，访问一列表内部计算机系统，该下个内部计算机系统信任所述列的内部计算机系统从而鉴别外部计算机系统。在图2的列表230中示出了所述的列表。列表230可在所有的内部计算机系统中共享，在这些内部计算机系统中，每个内部计算机系统都愿意信任相同的内部计算机系统来完成外部计算机系统的鉴别。该列表可以在基于协议的信责范围210中共享或有分布式的复制。该复制可以是相同的，也可以是不同的。该不同处可能是某些复制延迟的结果，或可能是故意的变化。

例如，在一个实施例中，边缘计算机系统211到214被其它的内部计算机系统221到226信任，从而完成外部计算机系统的鉴别。在另一个实施例中，可信任一个或一些边缘计算机系统组，从而为一部分内部计算机系统鉴别外部计算机系统，同时其它的边缘计算机系统为其它内部计算机系统完成外部计算机系统的鉴别。

下个内部计算机系统接着确定该边缘计算机系统在所述的列表上(动作314)，且作为响应，仅通过在该列表上的边缘计算机系统而不单独鉴别该原始外部计算机系统来证实原始外部计算机系统的身份(动作315)。在本说明书和权利要求书中，“鉴别”是指如下的过程，通过该过程，一个计算机系统可通过接收凭证来获得如下的保证，即提供凭证方确实是他或它们所声称的。在本说明书和权利要求书中，“证实”是指如下的过程，通过该过程，一个计算机系统通过接收一方的凭证或其它方式获得如下的保证，即该方是他所声称的。

如果下个计算机系统不是通信的目标，该通信可被递送到后继的内部计算机系统并依此类推，直到该通信到达信责范围210内的目标，或该通信到达用于信责范围210外部传输的另一边缘计算机系统。每个后继的内部计算机系统可对其下个内部计算机系统完成上述相同的过程。比如，如果该通信从原始的外部计算机系统242传输至目标外部计算机系统240，则内部计算机系统222、223、224和212中的每一个都可对其下个内部计算机系统完成以上属性的动作和步骤。

例如，内部计算机系统222、223、224和212中的每一个都可接收通信，鉴别路径中的前一内部计算机系统(但不鉴别原始的外部计算机系统)，以及使用所述列表以确定，传输链中的前一内部计算机系统被授权鉴别或证实原始的外部计算机系统，并随后所述内部计算机系统本身在不单独完成通过凭证交换来鉴别原始外部计算机系统的情况下证实原始外部计算机系统。

因此，本发明的原理可以通过允许相对较少的边缘计算机系统来完成通常任务中存储器和处理器集中的鉴别同时其它的内部计算机系统信任它们的鉴别，从而达到实质的鉴别简化。这解除了这些其它内部计算机系统的鉴别过程。因此，本发明的原理对于较大的基于协议的信责范围可以发挥很好的调整。

当使用较少数量的连接使多个外部计算机系统通过一边缘计算机系统与一内部计算机系统通信或在该内部计算机系统中通信时，本发明的原理可以发挥特别好的作用。换言之，可用任何给定的连接(即使有多个连接)使多个外部计算机系统通过一边缘计算机系统与一内部计算机系统通信或在该内部计算机系统中通信。该边缘计算机系统不需要为代表其它内部计算机系统鉴别的每个外部计算机系统完成与建立单独连接相关的复杂任务。因此，为了鉴别给定数目的外部计算机系统所需要的边缘内部计算机系统可以更少。这进一步使本发明对较大连网的基于协议的信责范围起到很好的调整。

在一具体的应用中，计算机系统之间的通信使用SIP。图4示出了SIP层405可进行操作的协议栈400。如果维持协议栈400的计算机系统是计算机120，则协议栈400的每个层可由图1中的其它程序模块137表示。该SIP层405在传输控制协议层402的顶部操作，传输控制协议层402在网际协议层401的顶部操作。可供选择地，TLS层403处于SIP层405和TCP层402之间。TLS层403可选择地包含允许互相鉴别的MTLS功能。

图5示出了根据本发明实施例一外部计算机系统互相通信和与一边缘计算机系统通信的方法。该通信发生在鉴别方和请求方之间。比如，当外部计算机系统241到246中的任何一个要与边缘计算机系统211通信时，外部计算机系统241代表请求方，而可由边缘计算机系统211代表验证方。

参考图5，请求方和验证方使用由双向箭头501表示的TCP层402来建立TCP连接。连接150可以是，比如TCP连接。处理过程接着被传递到TLS层403。请求方随后向由箭头502表示的鉴别方发出TLS证书请求。鉴别方随后返回由箭头503表示的证书。请求方证实该证书并随后向鉴别方发出由箭头504表示的TLS请求。鉴别方接着向SIP层405传递处理过程，SIP层405向由箭头505表示的请求方发回SIP访问拒绝的消息。请求方随后向由箭头506表示的鉴别方以来自通信的源的证书形式返回提供适当的凭证。鉴别方接下来可使用凭证鉴别该请求方。双方都随后可以得到一由双向箭头507表示的对称密钥。可随后向由箭头508表示的鉴别方提供一上层请求。

在一实施例中，内部计算机系统通过使用MTLS使用SIP进行通信。该通信过程由图6的数据流表示，它除了一些例外不同以外，其它的与图5的数据流相同。具体地说，使用MTLS代替TLS，为MTLS请求方604提供请求方的证书和鉴别方对其进行证实的凭证。

如果信责范围在一公共企业中，则可通过在该企业中使用由系统管理者提供的每个计算机系统的识别来建立所述的列表。还可以由系统管理者添加行动内部计算机系统和删除其它的。当在一严格的企业环境之外，可由其它内部计算机系统共有的一致性来添加计算机系统。

本发明可在不脱离其精神或实质特征的前提下以其它特定的形式实施。所述的实施例无论从哪方面讲都只起到示例的作用而非限制性的。因此，本发明的范围由所附的权利要求而不是上述的说明决定。与权利要求书含义和范围相同的变化都被包含在它们的范围内。