CN101156416A - 用于提高通信系统中的安全的措施 - Google Patents
用于提高通信系统中的安全的措施 Download PDFInfo
- Publication number
- CN101156416A CN101156416A CNA2006800118219A CN200680011821A CN101156416A CN 101156416 A CN101156416 A CN 101156416A CN A2006800118219 A CNA2006800118219 A CN A2006800118219A CN 200680011821 A CN200680011821 A CN 200680011821A CN 101156416 A CN101156416 A CN 101156416A
- Authority
- CN
- China
- Prior art keywords
- peer
- entities
- identity
- equipment
- employed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4588—Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法、通信设备、中间设备、系统和计算机程序产品,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行所请求的操作的许可,所述方法包括在第二对等实体验证第一对等实体所使用的身份的步骤,其中,在检查许可之前执行验证步骤。
Description
技术领域
本发明涉及通信系统中的安全的提高。具体地讲,本发明涉及一种用于提供对通信系统(诸如3GPP通信系统)中的两个对等实体之间的连接进行操作的安全性的方法、通信设备、中间设备、系统和计算机程序产品。
背景技术
近几年,通信技术已在用户数量和用户对电信服务的使用量方面广泛普及。这也导致了不同技术和所使用的技术构思的数量的增加。
一方面在于在总的通信系统框架内网络、技术和服务的不统一性。这样的网络的示例例如可以包括GSM(全球移动通信系统)、GPRS(通用分组无线服务)、UMTS(通用移动电信服务)。在这样的通信布置中,多个服务提供商基本地为在他那注册的用户提供了通信或信息服务。今天,然而,存在许多安全相关和/或用户相关的服务,这些服务规定了通信系统中的诸如认证和授权强制的安全方面。例如,许多将来的互联网(IP)服务或移动通信服务也将需要这样的功能。如果用户例如想使用另一服务提供商的安全相关服务,则该用户必须对他自己进行认证和/或授权。
传统上,在通信网络“的顶部”构建用于执行如上所述的这样的功能的专用网络,通常称该专用网络为AAA(授权、认证和计帐)网络。如此实现的功能(像系统访问和数据库查询)可在特定的分离的AAA节点中发生,但是实际上,通常在底层通信系统的节点内实现这些节点,这样具有联合使用硬件从而降低成本的优点。
AAA技术的使用作为益处提供了增加的灵活性和控制、可扩展性和标准化认证方法的使用。然而,还需要专用的安全和路由协议用于正确地执行AAA功能和对与AAA功能相关的各消息进行路由。技术人员已知的这样的标准化AAA协议的示例包括RADIUS(远程访问拨入用户服务)、TACACS+(终端访问控制器访问系统)和Kerberos,所述RADIUS由IETF(互联网工程任务组)进行标准化。这些协议用于主要从外部对AAA网络进行拨号和终端服务器访问。作为示例,在另一服务提供商而非用户自己的提供商的域中漫游的用户必须在这个域内对他自己进行认证。因此,他将请求可能与密码一起或者可能像密码的请求发送到他的归属域内的AAA节点以用于为他提供需要的服务。
这种类型的另一协议是称作“直径(Diameter)”的AAA协议。“直径”由IETF定义。不同种类的访问技术和应用可利用”直径”基础协议的性能,并发送/接收它们的特定的AAA消息。
“直径”基础协议为AAA功能和AAA消息的路由提供面向会话和非面向会话的框架。在许多方面,“直径”协议类似于现在普遍使用的询问响应类型的RADIUS协议。由IETF RFC3588(”直径”基础协议)在2003年9月版本中定义的术语将形成在进一步描述中使用的术语的基础。
在这种背景下,应该指出,在本应用中,将连接理解为两个对等实体之间的用于交换各自消息(比如,“直径”消息)的传输级链接。将对等实体理解为包括终端设备的网络节点,特定节点、服务器或通信设备(也称为对等实体)具有与所述对等实体的直接传输连接。
“直径”基础协议,以下仅称作“直径”,例如用在3GPP IP多媒体子系统(IMS)中,特别是用在其中所定义的Cx、Dx、Sh、Th、Ro和Rf接口上。
为了提供安全特征,特别是提供网络和传输级安全特征,“直径”基本地依赖于IPSec(互联网协议安全协议)或TLS(传输层安全协议),这两个协议都是本领域的技术人员公知的安全协议。从而,提供了用于对“直径”连接的通信实体(以下称为“直径”对等实体)进行认证的方法。因而,这样的方法的使用确保了只有信任的(即,认证的)对等实体能够交换消息。在以上所提及的RFC3588中还可找到关于“直径”安全问题的更多细节。
与Sh参考点(如在比如2004年12月的3GPP规范TS 29.328,V6.4.0中具体说明)相关的“直径”应用以所谓的AS许可列表为特征,所述AS许可列表用于控制Sh参考点上的操作。每个应用服务器AS具有它自己的许可集,通过它的“直径”身份对它进行标识。(这个“直径”身份包括在作为每个“直径”消息的必选部分的原始主机AVP中。)在AS许可列表中,定义了系统中存在的多个单个应用服务器和许可给每个应用服务器的特定操作之间的关联。各许可应用于归属客户服务器所服务的所有用户,因而它们不是用户专用的。
也就是说,应用服务器可请求读取(或拖出(pull))存储在归属客户服务器HSS中的信息,写入(或更新)这样的信息,或者向应用服务器通知特定信息的改变。归属客户服务器然后通过预先配置的AS许可列表检查准予应用服务器AS使用请求应用服务器所使用的身份进行请求的操作的许可。在许可请求AS使用请求的操作的情况下,执行该请求的操作,否则将错误结果从HSS返回到请求AS。
然而,这样的信任的对等实体冒充它的身份(在这种情况下,为它的“直径”身份)是可能的。这可从“直径”连接建立的刚开始就发生,或者仅在正在进行的连接期间发生于所选择的“直径”消息。具体地讲,通过冒充某人的身份的后一类型的安全攻击将会非常难以用迄今所使用的安全机制检测。
作为示出根据现有技术的安全机制固有的问题的示例,考虑3GPP IMS子系统的框架内的应用服务器AS(例如,基于会话初始化协议的SIP应用服务器)和归属客户服务器HSS之间的连接。这些对等实体之间的接口已知为Sh参考点(参见3GPP TS 29.328,V6.4.0)。
如果恶意的应用服务器冒充它的“直径”身份(即,它通过使用这个其他的AS装作另一应用服务器),则它能够得到不是授权给其本身的用于存储、修改和/或读取数据的许可(而是授权给该恶意的应用服务器装作的其他应用服务器的)。
在图1中示出了这样的情形,图1显示了根据现有技术的Sh接口上的安全方法的信号图。
在根据图1的步骤1中,AS1所表示的应用服务器将请求REQ发送到HSS所表示的归属客户服务器。作为参数,所述请求包含作为应用服务器的(真实)身份的“AS1”和作为请求的操作(即从HSS拖数据)的指示的“P”。当一接收到所述请求时,归属客户服务器就通过使用AS许可列表来检查是否允许准予应用服务器AS1进行拖数据的操作(步骤2)。根据AS许可列表,许可AS1使用操作U(即,更新)和N(即,通知),而不许可AS1使用所请求的操作P。因而,许可列表的查询产生否定结果(“NOK”),在步骤3中,归属客户服务器HSS将否定响应RESP返回到请求应用服务器。也就是说,HSS拒绝许可AS1使用操作P。
AS1一侧上的双线(步骤3和步骤4之间)指示从那之后所讨论的应用服务器冒充它自己的身份。即,之后AS1装作AS2,其中,应用服务器如何获取这样做的必要信息(即,AS2的身份)对本应用是不相关的。在步骤4中,应用服务器AS1再次请求操作P,但是现在假装为AS2。在步骤5中,归属客户服务器再次通过AS许可列表执行查询。它产生的结果是许可应用服务器AS2使用操作P、U和N中的任何一个。由于归属客户服务器不知道AS2正被AS1冒充,并且不具有检测这样的冒充的任何手段,所以它将肯定响应(“OK”)返回到请求(恶意的)应用服务器AS1,从而许可AS1从HSS读取数据。
应该指出,将响应消息寻址到应用服务器AS1发送各请求时所使用的传输地址,而不是寻址到所使用的“直径”身份。因而,虽然“直径”身份被冒充(这导致错误的许可查询),但是消息实际上到达AS1(的传输地址)。这是由于根据开放式系统互连(OSI)网络模型的不同层的分布式功能和”直径”基础协议消息路由功能导致的。
因此,如可从上述图1所示的示例所推测的,根据现有技术没有用于避免和/或检测通过冒充“直径”对等实体的身份来执行安全攻击的“直径”对等实体的手段。
第10/940,981号美国专利申请(由与本申请相同的申请人提交,在其提交日还没有被公布)针对有些类似的问题。提出了一种用于提供网络的域的客户机和所述网络的服务节点之间的会话的安全性的方法,所述网络包括多个域。在US-10/940,981中,提出了基于域的安全机制,该机制基于包含在消息中的路由信息。然而,应该指出,如此提出的解决方案特别以基于域的网络和这样的网络中固有的特定的安全问题为目标。
因而,仍然需要对于以上问题和缺点的通用解决方案用于提供诸如3GPP IP多媒体子系统的通信系统中的对等实体之间的更安全的连接。
发明内容
因此,本发明的目的在于消除现有技术固有的以上问题和缺点并提供一种相应改进的方法、设备、系统和计算机程序产品。
根据本发明的第一方面,该目的例如通过一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法来实现,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可,所述方法包括在第二对等实体验证第一对等实体所使用的身份的步骤,其中,在检查许可之前执行验证步骤。
根据进一步的有益开发,应用以下特征中的至少一个:
-验证第一对等实体所使用的身份的步骤包括根据第一对等实体和第二对等实体之间的安全性关联确定所述身份是否为有效的身份的步骤,其中,如果确定所述身份无效,则产生否定的验证结果;
-基于在第二对等实体维护的安全配置表执行确定步骤,所述安全配置表包括身份和所述安全性关联中的至少一个参数的有效对;
-所述安全性关联中的至少一个参数包括第一对等实体的传输地址;
-验证第一对等实体所使用的身份的步骤包括检测所述身份在正在进行的连接期间是否已改变的步骤,其中,如果检测到所述身份已改变,则产生否定的验证结果;
-所述方法还包括在第二对等实体存储第一对等实体在正在进行的连接中最初使用的身份的步骤;
-所述方法还包括以下步骤:如果验证步骤产生否定的验证结果,则将请求的操作的拒绝响应从第二对等实体发送到第一对等实体;
-所述响应对第一对等实体指示安全问题;
-中间设备位于第一对等实体和第二对等实体中间的连接上,所述方法还包括在中间设备验证第一对等实体所使用的身份的步骤;
-在中间设备的验证步骤包括根据第一对等实体和中间设备之间的安全性关联确定所述身份是否为有效的身份的步骤,其中,如果确定所述身份无效,则产生否定的验证结果;
-在中间设备的验证步骤包括确定所述身份在正在进行的连接期间是否已改变的步骤,其中,如果检测到所述身份已改变,则产生否定的验证结果;
-所述方法还包括以下步骤:如果在中间设备的验证步骤产生否定的验证结果,则将请求的操作的拒绝响应从中间设备发送到第一对等实体;
-所述方法还包括以下步骤:如果在中间设备的验证步骤产生肯定的验证结果,则将来自第一对等实体的请求转发到第二对等实体;
-所述中间设备为代理节点;
-所述中间设备为中继代理;
-所述第一对等实体为应用服务器;
-所述第二对等实体为归属客户服务器;
-所述方法基于与授权、认证和计帐功能相关联的协议;
-所述协议为”直径”基础协议;
-第一对等实体所使用的身份为根据”直径”基础协议的身份;
-所述协议为RADIUS协议;
-第一对等实体所使用的身份为根据RADIUS协议的身份;
-所述传输地址基于互联网协议;和/或
-第一对等实体和第二对等实体之间的连接包括根据3GPP规范的Sh参考点。
根据本发明的第二方面,该目的例如通过一种被配置为在提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法中使用的通信设备来实现,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,所述通信设备包括:接收器设备,被配置为从第一对等实体接收请求;检查器设备,被配置为通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可;第一存储器设备,被配置为存储预先配置的许可列表;和验证器设备,被配置为验证第一对等实体所使用的身份,其中,验证器设备还被配置为在检查器设备执行许可检查之前执行验证。
根据进一步的有益开发,应用以下特征中的至少一个:
-验证器设备包括确定器设备,所述确定器设备被配置为根据第一对等实体和第二对等实体之间的安全性关联确定第一对等实体所使用的身份是否为有效的身份,其中,确定器设备还被配置为:如果确定所述身份无效,则产生否定的验证结果;
-确定器设备还被配置为:基于在第二对等实体维护的安全配置表执行验证,所述安全配置表包括身份和所述安全性关联中的至少一个参数的有效对;
-所述通信设备还包括被配置为存储所述安全配置表的第二存储器设备;
-所述安全性关联中的至少一个参数包括第一对等实体的传输地址;
-验证器设备包括检测器设备,所述检测器设备被配置为检测第一对等实体所使用的身份在正在进行的连接期间是否已改变,其中,检测器设备还被配置为:如果检测到所述身份已改变,则产生否定的验证结果;
-所述通信设备还包括第三存储器设备,所述第三存储器设备被配置为存储第一对等实体在正在进行的连接中最初使用的身份;
-所述通信设备还包括发送器设备,所述发送器设备被配置为:如果验证器设备产生否定的验证结果,则将请求的操作的拒绝响应发送到第一对等实体;
-所述响应对第一对等实体指示安全问题;
-所述通信设备为归属客户服务器;
-所述通信设备基于与授权、认证和计帐功能相关联的协议操作;
-第一对等实体所使用的身份为根据”直径”基础协议的身份;
-第一对等实体所使用的身份为根据RADIUS协议的身份;
-所述传输地址基于互联网协议;和/或
-第一对等实体和第二对等实体之间的连接包括根据3GPP规范的Sh参考点。
根据本发明的第三方面,该目的例如通过一种被配置为用在提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法中的中间设备来实现,其中,该中间设备位于对等实体中间的连接上,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,所述中间设备包括:接收器设备,被配置为从第一对等实体接收请求,和从第二对等实体接收响应;和验证器设备,被配置为验证第一对等实体所使用的身份。
根据进一步的有益开发,应用以下特征中的至少一个:
-验证器设备包括确定器设备,所述确定器设备被配置为根据第一对等实体和中间设备之间的安全性关联确定第一对等实体所使用的身份是否为有效的身份,其中,确定器设备还被配置为:如果确定所述身份无效,则产生否定的验证结果;
-所述中间设备还包括被配置为存储安全配置表的第一存储器设备;
-验证器设备包括检测器设备,所述检测器设备被配置为检测第一对等实体所使用的身份在正在进行的连接期间是否已改变,其中,检测器设备还被配置为:如果检测到所述身份已改变,则产生否定的验证结果;
-所述中间设备还包括第二存储器设备,所述第二存储器设备被配置为存储第一对等实体在正在进行的连接中最初使用的身份;
-所述中间设备还包括发送器设备,所述发送器设备被配置为:如果中间设备的验证器设备产生肯定的验证结果,则将来自第一对等实体的请求发送到第二对等实体;和/或
-所述中间设备还包括发送器设备,所述发送器设备被配置为:如果中间设备的验证器设备产生否定的验证结果,则将拒绝响应发送到第一对等实体。
-所述中间设备基于与授权、认证和计帐功能相关联的协议操作;
-所述中间设备为“直径”代理节点;和/或
-所述中间设备为“直径”中继代理。
根据本发明的第四方面,该目的例如通过一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的系统来实现,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可,所述系统包括:
至少一个第一对等实体,所述第一对等实体包括:
发送器设备,被配置为将对操作的请求发送到第二对等实体;和
至少一个第二对等实体,所述第二对等实体包括:
接收器设备,被配置为从第一对等实体接收请求;
检查器设备,被配置为通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可;
第一存储器设备,被配置为存储预先配置的许可列表;和
验证器设备,被配置为验证所述第一对等实体所使用的身份,
其中,验证器设备还被配置为在检查器设备执行许可的检查之前执行验证。
根据进一步的有益开发,应用以下特征中的至少一个:
-根据本发明的第二方面配置所述至少一个第二对等实体;
-所述系统还包括至少一个中间设备,所述至少一个中间设备位于对等实体中间的连接上,所述中间设备包括接收器设备,所述接收器设备被配置为从第一对等实体接收请求,和从第二对等实体接收响应;和验证器设备,被配置为验证所述至少一个第一对等实体所使用的身份;
-根据本发明的第三方面配置所述至少一个中间设备;
-所述至少一个第一对等实体为应用服务器;
-所述至少一个第二对定实体为归属客户服务器;和/或
-第一对等实体和第二对等实体之间的连接包括根据3GPP的Sh参考点。
根据本发明的第五方面,该目的例如通过一种可加载到数字处理装置的存储器中的计算机程序产品来实现,该计算机程序产品包括如下软件代码部分:当所述产品在所述数字处理装置上运行时,所述软件代码部分执行根据本发明的第一方面的方法的步骤。
本发明的优点在于通用地提供对“直径”协议安全问题的改进。
根据本发明的实施例,有利的是可以以安全方式利用可在对等实体获得的许可信息。这特别应用于与根据3GPP规范的Sh接口相关的AS许可列表。
本发明的实施例的另一优点在于仅用很少的附加处理并在对现存的协议和/或程序没有任何结构改变的情况下实现所述安全改进。
附图说明
下面,将参考附图更详细地描述本发明,其中:
图1显示根据现有技术的Sh接口上的安全方法的信号图;
图2显示根据本发明的一个实施例的安全方法的信号图的示例;
图3显示根据本发明的另一实施例的安全方法的信号图的示例;
图4显示根据本发明的又一实施例的安全方法的信号图的示例;
图5显示根据本发明的实施例的归属客户服务器的框图的示例;和
图6显示根据本发明的另一实施例的中间设备的框图的示例。
具体实施方式
以下参考特定的非限制性示例描述本发明。本领域的技术人员将意识到,本发明不限于这些示例,并且可更广泛地应用本发明。
具体地讲,应该指出,虽然“直径”在这里用作过程所基于的示例协议,并且根据3GPP规范的Sh接口用作示例性参考点,但是本发明不限于这些特定条件。相反,本发明可应用于展现类似条件的任何通信系统和任何情形。虽然每次没有明确地提及,但是本发明的实施例还适合于可用例如,与授权、认证和计帐(AAA)功能相关联的任何协议应用,所述协议的一个示例为以上所提及的RADIUS协议。
这样,这里所给出的实施例的描述具体指与“直径”和3GPP IMS子系统直接相关的术语。这样的术语也仅用在所提出的示例的背景中,并且不以任何方式限制本发明。
图2显示根据本发明的一个实施例的安全方法的信号图。
图2所示的情形与上述图1的情形实质上类似。也就是说,作为示例显示应用服务器AS1和归属客户服务器HSS之间的Sh接口上的安全方法以用于示出本发明的一个实施例。在本示例中,应用服务器AS1使用传输地址XYZ,该传输地址XYZ代表例如xxx.yyy.zzz形式的互联网协议(IP)地址,其中,x、y和z分别表示整数。
在步骤1中,作为第一对等实体的应用服务器AS1使用它自己的身份向作为第二对等实体的归属客户服务器HSS请求操作P(拖动),即,AS1将REQ(AS1,P)形式的请求发送到HSS。
根据本发明的本实施例,对第二对等实体HSS配置了定义允许传输地址IPAddr使用的一个“直径”身份或多个“直径”身份ID的表。在图2中,将该表描述为安全配置表。将IP地址的允许的“直径”身份的配置示例性地实现为事先与“直径”对等实体相关联定义的对等表的一部分。因而,可考虑安全配置表表示各对等实体之间的安全性关联,并且包括各对身份和表示安全性关联中的至少一个参数的传输地址。虽然在图2中,为了简化起见,将传输地址和身份之间的对应关系描述为一对一的对应关系,但是应该指出,一个“直径”身份还可分解为几个IP地址。而且,能够为给定的IP地址定义多于一个有效的“直径”身份也是有用的,特别是在同一服务器上运行多个“直径”对等的情况下。
第二对等实体然后对每个接收的“直径”消息检查对从其发送该消息的IP地址允许原始主机AVP(AVP:属性值对)中的“直径”身份。从而,应该指出,由于如上所述IPSec或TLS安全用于提供包括数据原始认证的安全特征,所以可信任IP地址自身的值。换句话说,归属客户服务器HSS验证第一对等实体所使用的身份。在图2中,在步骤2中通过用预先配置的安全配置表确定应用服务器AS1所使用的身份,即AS1是否为有效的身份来执行验证。在步骤2中,由于应用服务器AS1所使用的IP地址XYZ和当前所使用的身份有效相关联,所以通过查询所述表产生肯定的验证结果。
随后,如结合现有技术所描述的,归属客户服务器HSS执行AS许可列表的查询,并且由于没有使用所请求的操作P的许可,所以随即将否定响应返回到应用服务器AS1。
在由AS1一侧的双线所指示的这个点(步骤4和步骤5之间),中间结果实际上与根据现有技术相同,即,拒绝AS1使用操作P。
在步骤5中,所讨论的应用服务器再次冒充它的身份,即,装作应用服务器AS2,并再次请求操作P,但是现在未经授权使用身份AS2请求操作P。
在验证第一对等实体AS1所使用的身份期间,第二对等实体HSS再次确定所使用的身份是否有效,使用安全配置表来执行该确定步骤。但是由于所使用的传输地址即XYZ与所使用的身份即AS2不匹配,所以步骤6的该查询现在产生否定的验证结果,其中,由于如前所述的IPSec使用,使得XYZ没有被AS1冒充并且不能被AS1冒充。因此,确定第一对等实体所使用的身份无效。因而,可跳过AS许可的进一步查询。HSS将否定的验证结果,即,请求的操作的拒绝响应返回到请求应用服务器AS1(这与根据结合图1所描述的现有技术的最终结果相反)。
实际上,可通过使用预先定义的结果代码DIAMETER_INVALID_AVP_VALUE来实现否定的验证结果响应,从而对请求应用服务器AS1指示问题在发送的“直径”消息的原始主机AVP中,即,已确定所使用的“直径”身份无效。从而,对第一对等实体指示安全问题。或者,如果第二对等实体不想对请求的发送者,即第一对等实体指示安全问题已发生,则HSS可通过使用预先定义的结果代码,诸如DIAMETER_UNABLE_TO_COMPLY来作出响应。另一可选方案是使用与以下结果代码相同的结果代码,所述以下结果代码用于对所讨论的应用服务器指示它不具有对操作,比如,DIAMETER_ERROR_USER_DATA_CANNOT_BE_READ、DIAMETER_ERROR_USER_DATA_CANNOT_BE_MODIFIED和DIAMETER_ERROR_USER_DATA_CANNOT_BE_NOTIFIED的许可。虽然以上参考一个实施例更详细地进行描述,但是根据本发明的方法的原理,换句话说,在于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可。该方法包括在第二对等实体验证第一对等实体所使用的身份的步骤,其中,在检查许可之前执行验证步骤。
应该指出,通常,还可配置应用服务器身份代替发送者的传输地址作为一个可理解的参数,或者除了发送者的传输地址作为一个可理解的参数之外还可配置应用服务器身份,并可区别于识别归属客户服务器和所讨论的应用服务器之间的安全性关联的其他参数对该应用服务器身份进行验证。
图3显示根据本发明的另一实施例的安全方法的信号图。所提出的实施例涉及安全策略允许对等实体的动态发现的情况。在这样的情况下,不可能使用给定的传输地址的允许的“直径”身份的预先定义的配置(即,安全配置表)。
原理上,图3所示的情形与图1和图2所示的情形类似,特别是与没有使用安全配置表的图1的情形类似。因而,通过参考图1中的各步骤的各在先描述,省略步骤1至步骤3的描述。
AS1一侧的双线(步骤3和步骤4之间)再次指示从那后所讨论的应用服务器AS1冒充它自己的身份。即,之后AS1装作AS2。在步骤4中,应用服务器AS1再次假装为AS2请求操作P。在步骤5中,根据本发明的本实施例,归属客户服务器检测在正在进行的“直径”连接的时间期间第一对等实体AS1所使用的身份是否已改变。
在本示例情况下,归属客户服务器HSS在验证第一对等实体所使用的身份期间检测到第一对等实体已使用AS1作为它的“直径”身份,并且现在使用AS2作为它在同一传输连接内的“直径”身份。为了这个目的,在第二对等实体必须存储应用服务器AS1在当前进行的“直径”连接中最初使用的身份。因而,在步骤5中,通过检测产生否定的验证结果(即,AS2≠AS1),并且作为第二对等实体的归属客户服务器HSS将请求的操作的拒绝响应返回到第一对等实体,即,应用服务器AS1。实际上,可以以与结合图2所描述的方式相同的方式实现所述响应。
总之,与Sh接口相关的AS许可列表的安全处理必然要求归属客户服务器能够验证应用服务器身份。由于对归属客户服务器实施上述安全方法中的一种安全方法(或者其任何等效的修改),所以这可实现。
从而,提供逐跳安全。为了还提供端对端安全,还可如下使用本发明的方法。
如果在归属客户服务器HSS和应用服务器AS(比如,AS1)之间存在“直径”代理,则还应该通过中间“直径”代理对应用服务器身份进行验证,或者如果不可能通过中间“直径”代理对应用服务器身份进行验证,则应该给予各代理后面的所有应用服务器以相同的许可。
图4显示根据本发明的根据包括一个或多个中间设备(以下称为中继/代理节点)的情形的实施例的安全方法的信号图的示例。
在图4的示例情形下,应用服务器AS1使用传输地址XYZ,中继/代理节点使用传输地址ABC,这两个地址都代表互联网协议(IP)地址的示例。
首先,作为第一对等实体的应用服务器AS1希望使用它自己的身份向作为第二对等实体的归属客户服务器请求操作P(拖动)。在本实施例中,然而应用服务器AS1不将各请求发送到归属客户服务器HSS,而是发送到由中继/代理表示的中间设备。
根据本发明的本实施例,对中间设备配置了定义允许传输地址IPAddr使用的一个“直径”身份或多个身份ID的表。在图4中,将该表描述为安全配置表。它的配置与根据前面描述的实施例的安全配置表类似。
中继/代理节点然后对每个接收的“直径”消息检查对从其发送该消息的IP地址允许原始主机AVP(AVP:属性值对)中的“直径”身份。从而,应该指出,由于如上所述IPSec或TLS安全用于提供包括数据原始认证的安全特征,所以可信任IP地址本身的值。换句话说,中继/代理节点验证第一对等实体所使用的身份。在图4中,通过用预先配置的安全配置表确定应用服务器AS1所使用的身份,即AS1是否为有效的身份来执行验证。在本示例中,由于应用服务器AS1所使用的IP地址XYZ和当前所使用的身份有效关联,所以通过查询所述表产生肯定的验证结果。
随即,中继/代理节点将来自应用服务器AS1的请求转发到归属客户服务器HSS。在归属客户服务器,存在与以上结合图2所描述的那些执行的操作类似的执行的操作。因而,在这点省略在HSS的操作的详细解释。
相应地,归属客户服务器HSS将否定响应返回到将所述消息转发到应用服务器AS1的中继/代理节点。
在由AS1一侧的双线所指示的这个点,中间结果与根据现有技术或其他实施例实际上相同,即,拒绝AS1使用操作P。
在下一步骤中,所讨论的应用服务器再次冒充它的身份,即装作应用服务器AS2,并再次请求操作P,但现在未经授权使用身份AS请求操作P。
在验证第一对等实体AS1所使用的身份期间,接收请求的中继/代理节点再次确定所使用的身份是否有效,通过使用安全配置表来执行该确定步骤。但是由于所使用的传输地址即XYZ与所使用的身份即AS2不匹配,所以该查询现在产生否定的验证结果,其中,由于如前所述的IPSec使用,使得XYZ没有被AS1冒充并且不能够被AS1冒充。因此,确定第一对等实体所使用的身份无效。因而,可跳过各请求的转发,并且中继/代理节点将否定的验证结果,即请求的操作的拒绝响应返回到请求应用服务器AS1。
虽然没有明确显示,但是在本示例情况下,作为中间设备的中继/代理节点还适合于在验证第一对等实体所使用的身份期间检测到第一对等实体已将AS1用作它的“直径”身份,并且现在使用AS2作为它在同一传输连接内的“直径”身份(类似于图3的步骤5)。为了这个目的,在中继/代理节点,必须存储应用服务器AS1在当前正在进行的“直径”连接中最初使用的身份。
根据本发明的另一实施例,还提供可加载到数字处理装置的存储器中的计算机程序产品,该计算机程序产品包括当所述数字处理装置上运行所述产品时执行根据本发明的任何实施例的任何方法的任何步骤的软件代码部分。
图5显示根据本发明的实施例的归属客户服务器的框图。
根据图5的示例性归属客户服务器HSS描述本发明的通信设备的一个实施例。与诸如应用服务器的至少一个第一对等实体一起,示出的HSS中的至少一个(作为第二对等实体)构成根据本发明的用于提供对第一对等实体和第二对等实体之间的连接进行操作的安全性的系统。
根据图5,通信设备(即,归属客户服务器HSS)包括由接收机表示的接收器设备,所述接收器设备被配置为从第一对等实体(未显示)接收请求REQ,比如直接或经由中间节点通过Sh接口连接从第一对等实体接收请求REQ。归属客户服务器还包括由验证器表示的验证器设备,所述验证器设备被配置为验证第一对等实体所使用且包含在接收的请求中的身份。验证器设备还被配置为在通信设备HSS的检查器设备(“检查器”)检查准予第一对等实体进行请求的操作的许可之前执行验证。如果验证器设备产生肯定的验证结果,则仅执行这样的检查,否则通过通信设备HSS的发送器设备(“发送器”)将指示请求的操作的拒绝的否定响应RESP发送到请求第一对等实体。可直接将这样的拒绝发送到请求第一对等实体或者经由中间节点将这样的拒绝发送到请求第一对等实体。检查器设备还被配置为通过存储在通信设备的第一存储器设备中的预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可,所述第一存储器设备被配置为存储预先配置的许可列表。其后,检查器设备根据检查许可的结果使发送器设备将各响应发送到请求对等实体。
根据图5的验证器设备包括确定器设备(“确定器”),所述确定器设备被配置为根据第一对等实体和第二对等实体之间的安全性关联来确定第一对等实体所使用的身份是否为有效的身份。确定器设备还被配置为:如果确定第一对等实体所使用的身份无效,则产生否定的验证结果。确定器设备还被配置为基于安全配置表执行验证(确定),所述安全配置表包括身份和所述安全性关联中的至少一个参数(比如,第一对等实体的传输地址)的有效对。为了存储所述安全配置表,提供相应地配置的第二存储器设备。
根据图5的验证器设备还包括检测器设备,所述检测器设备被配置为检测第一对等实体所使用的身份在正在进行的连接期间是否已改变,其中,检测器设备还被配置为:如果检测到第一对等实体所使用的身份在正在进行的连接期间已改变,则产生否定的验证结果。为了存储第一对等实体在正在进行的连接中最初使用的身份,提供相应地配置的第三存储器设备。
应该指出,根据本发明的另一实施例的通信设备仅包括确定器设备(与第二存储器设备一起)和检测器设备(与第三存储器设备一起)中的一个。
如此配置图5所示的通信设备用在提供对根据本发明的通信系统中的第一对等实体和作为第二对等实体的通信设备之间的连接进行操作的安全性的方法中。
图6显示根据本发明的另一实施例的中间设备的框图的示例。图6所示的中间设备为,例如,图4所示的中继/代理节点。因而,应用服务器位于由“中继/代理”表示的中间设备的左手侧,归属客户服务器位于右手侧。(描绘的各箭头意在示出特定侧上的各对等实体的连接。)
通常,根据本发明的本实施例的中间设备基于与授权、认证和计帐功能(即,例如,“直径”、RADIUS)相关联的协议操作。因此,根据各种实现情形,中间节点为,例如,“直径”代理节点或“直径”中继代理。
根据图6所示的本实施例,中间设备包括接收器设备(“接收器”),所述接收器设备被配置为从应用服务器,即第一对等实体接收请求,并从归属客户服务器,即第二对等实体接收响应(未显示)。中间设备还包括验证器设备(“验证器”),所述验证器设备被配置为对第一对等实体所使用的身份进行验证。应该指出,图6的验证器设备与图5的验证器设备类似,除了相关联的存储器设备的数量不同之外。因此,中间设备的验证器设备(图6)的功能也与归属客户服务器的验证器设备(图5)的功能类似。
根据本实施例的中间设备还包括发送器设备(“发送器”),所述发送器设备被配置为:如果中间设备的验证器设备产生肯定的验证结果,则将请求从第一对等实体转发到第二对等实体。发送器设备还被配置为:如果中间设备的验证器设备产生否定的验证结果,则将拒绝响应发送到第一对等实体,并将响应(未显示)从归属客户服务器转发到应用服务器。
如此配置图6所示的中间设备用在提供对根据本发明的通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法中。
通常,应该指出,可通过任何已知的手段分别用硬件和/或软件实现所提及的功能元件,比如根据本发明的通信设备和它们的构件,如果硬件和/或软件仅适于执行各部分的所描述的功能的话。例如,可通过任何数据处理单元,比如微处理器实现通信设备的验证器设备,所述数据处理单元被配置为以如由权利要求所定义的方式验证另一通信设备的身份。还可用多个单独的功能块或多个单独的设备实现所提及的部分,或者可用单个功能块或单个设备实现所提及的部分中的一个或多个。因此,图5的以上图示仅用于示出目的,并不以任何方式限制本发明的实现。
此外,可实现为软件代码部分并在对等实体之一使用处理器运行的方法步骤为独立的软件代码,并且可使用任何已知或将来开发的编程语言,诸如C、C++和汇编语言来具体指明所述方法步骤。可在对等实体之一实现为硬件组件的方法步骤和/或设备或装置为独立的硬件,并且可使用任何已知或将来开发的硬件技术或其任意混合,诸如MOS、CMOS、BiCMOS、ECL、TTL等,例如使用ASIC组件或DSP组件,而实现所述方法步骤和/或设备或装置。通常,在不改变本发明的构思的情况下,任何方法步骤适合于被实现为软件或用硬件实现。设备和装置可实现为多个单独的设备,但是这不排除在整个系统中以分布式方式实现它们,只要保留所述设备的功能。在这种背景下,还应该指出,在不限制本发明的通信设备的范围的情况下,还可在本发明的通信设备外部实现第一至第三存储器设备。因此,还可在底层网络的任何其他网络元件与HSS本身分离地对HSS所使用的许可列表和/或安全配置列表进行维护(参见图1至图3)。认为这样的原理和类似的原理对本领域的技术人员是已知的。
简言之,根据本发明及其实施例,允许给定的传输地址(即通过使用给定的传输地址进行通信的对等实体)使用的身份(比如,“直径”身份)被配置给对等实体(比如,“直径”对等实体)。对等实体(比如,“直径”对等实体)然后对每个(“直径”)消息检查对该(“直径”)消息已从其发送的传输地址允许数据字段中表示发送者的身份(比如,“直径”消息中的原始主机AVP)的(“直径”)身份。
根据以上内容,对本领域的技术人员来说显而易见的是,在没有添加根据本发明的附加安全性的情况下,例如Sh接口的当前标准化的现有技术访问权限功能有些无用。
根据本发明,提供一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法、通信设备、中间设备、系统和计算机程序产品,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行请求的操作的许可,所述方法包括在第二对等实体验证第一对等实体所使用的身份的步骤,其中,在检查许可之前执行验证步骤。
尽管以上参考根据附图的示例对本发明进行了描述,但是应该理解,本发明不限于此。相反,对本领域的技术人员显而易见的是,可在不脱离如所附权利要求中所公开的本发明构思的范围的情况下以许多方式修改本发明。
Claims (55)
1.一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行所请求的操作的许可,所述方法包括以下步骤:
在第二对等实体,验证第一对等实体所使用的身份,
其中,在检查许可之前执行所述验证步骤。
2.根据权利要求1所述的方法,其中,验证第一对等实体所使用的身份的步骤包括以下步骤:
根据第一对等实体和第二对等实体之间的安全性关联确定所述身份是否为有效的身份,
其中,当确定所述身份无效时,产生否定的验证结果。
3.根据权利要求2所述的方法,其中,基于在第二对等实体维护的安全配置表执行所述确定步骤,所述安全配置表包括身份和所述安全性关联中的至少一个参数的有效对。
4.根据权利要求3所述的方法,其中,所述安全性关联中的至少一个参数包括第一对等实体的传输地址。
5.根据权利要求1所述的方法,其中,验证第一对等实体所使用的身份的步骤包括以下步骤:
检测所述身份在正在进行的连接期间是否已改变,
其中,当检测到所述身份已改变时,产生否定的验证结果。
6.根据权利要求5所述的方法,还包括以下步骤:
在第二对等实体存储第一对等实体在正在进行的连接中最初使用的身份。
7.根据权利要求1所述的方法,还包括以下步骤:
当验证步骤产生否定的验证结果时,将请求的操作的拒绝响应从第二对等实体发送到第一对等实体。
8.根据权利要求7所述的方法,其中,所述响应对第一对等实体指示安全问题。
9.根据权利要求1所述的方法,其中,中间设备位于第一对等实体和第二对等实体中间的连接上,所述方法还包括以下步骤:
在中间设备验证第一对等实体所使用的身份。
10.根据权利要求9所述的方法,其中,在中间设备的验证步骤包括以下步骤:
根据第一对等实体和中间设备之间的安全性关联,确定所述身份是否为有效的身份,
其中,当确定所述身份不是有效的时,产生否定的验证结果。
11.根据权利要求9所述的方法,其中,在中间设备的验证步骤包括以下步骤:
确定所述身份在正在进行的连接期间是否已改变,
其中,当检测到所述身份已改变时,产生否定的验证结果。
12.根据权利要求9所述的方法,还包括以下步骤:
当在中间设备的验证步骤产生否定的验证结果时,将请求的操作的拒绝响应从中间设备发送到第一对等实体。
13.根据权利要求9所述的方法,还包括以下步骤:
当在中间设备的验证步骤产生肯定的验证结果时,将来自第一对等实体的请求转发到第二对等实体。
14.根据权利要求9所述的方法,其中,验证步骤包括在代理节点验证第一对等实体所使用的身份。
15.根据权利要求9所述的方法,其中,验证步骤包括在中继代理验证第一对等实体所使用的身份。
16.根据权利要求1所述的方法,其中,验证步骤包括在第二对等实体验证应用服务器所使用的身份。
17.根据权利要求1所述的方法,其中,验证步骤包括在归属客户服务器验证第一对等实体所使用的身份。
18.根据权利要求1所述的方法,其中,所述方法基于与授权、认证和计帐功能相关联的协议。
19.根据权利要求18所述的方法,其中,所述协议为”直径”基础协议。
20.根据权利要求19所述的方法,其中,第一对等实体所使用的身份为根据”直径”基础协议的身份。
21.根据权利要求18所述的方法,其中,所述协议为远程访问拨入用户服务协议,即RADIUS协议。
22.根据权利要求21所述的方法,其中,第一对等实体所使用的身份为根据远程访问拨入用户服务协议的身份。
23.根据权利要求1所述的方法,其中,所述传输地址基于互联网协议。
24.根据权利要求1所述的方法,其中,第一对等实体和第二对等实体之间的连接包括根据第三代合作伙伴计划规范的Sh参考点,所述第三代合作伙伴计划规范即3GPP规范。
25.一种被配置为在提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法中使用的通信设备,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,所述通信设备包括:
接收器设备,被配置为从第一对等实体接收请求;
检查器设备,被配置为通过预先配置的许可列表检查准予第一对等实体使用所述身份进行所请求的操作的许可;
第一存储器设备,被配置为存储预先配置的许可列表;和
验证器设备,被配置为验证第一对等实体所使用的身份,
其中,验证器设备还被配置为在检查器设备执行许可检查之前执行验证。
26.根据权利要求25所述的通信设备,其中,验证器设备包括:
确定器设备,被配置为根据第一对等实体和第二对等实体之间的安全性关联确定第一对等实体所使用的身份是否为有效的身份,
其中,确定器设备还被配置为:当确定所述身份不是有效的时,产生否定的验证结果。
27.根据权利要求26所述的通信设备,其中,确定器设备还被配置为基于在第二对等实体维护的安全配置表执行验证,所述安全配置表包括身份和所述安全性关联中的至少一个参数的有效对。
28.根据权利要求27所述的通信设备,还包括被配置为存储所述安全配置表的第二存储器设备。
29.根据权利要求27所述的通信设备,其中,所述安全性关联中的至少一个参数包括第一对等实体的传输地址。
30.根据权利要求25所述的通信设备,其中,验证器设备包括:
检测器设备,被配置为检测第一对等实体所使用的身份在正在进行的连接期间是否已改变,
其中,检测器设备还被配置为:当检测到所述身份已改变时,产生否定的验证结果。
31.根据权利要求30所述的通信设备,还包括第三存储器设备,所述第三存储器设备被配置为存储第一对等实体在正在进行的连接中最初使用的身份。
32.根据权利要求25所述的通信设备,还包括:
发送器设备,被配置为:当验证器设备产生否定的验证结果时,将请求的操作的拒绝响应发送到第一对等实体。
33.根据权利要求32所述的通信设备,其中,所述响应对第一对等实体指示安全问题。
34.根据权利要求25所述的通信设备,其中,所述通信设备为归属客户服务器。
35.根据权利要求25所述的通信设备,其中,所述通信设备基于与授权、认证和计帐功能相关联的协议操作。
36.根据权利要求25所述的通信设备,其中,第一对等实体所使用的身份为根据”直径”基础协议的身份。
37.根据权利要求25所述的通信设备,其中,第一对等实体所使用的身份为根据远程访问拨入用户服务协议的身份,远程访问拨入用户服务协议即RADIUS协议。
38.根据权利要求25所述的通信设备,其中,所述传输地址基于互联网协议。
39.根据权利要求25所述的通信设备,其中,第一对等实体和第二对等实体之间的连接包括根据第三代合作伙伴计划规范的Sh参考点,第三代合作伙伴计划规范即3GPP规范。
40.一种被配置为在提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的方法中使用的中间设备,其中,该中间设备位于第一对等实体和第二对等实体中间的连接上,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,所述中间设备包括:
接收器设备,被配置为从第一对等实体接收请求,和从第二对等实体接收响应;和
验证器设备,被配置为验证第一对等实体所使用的身份。
41.根据权利要求40所述的中间设备,其中,验证器设备包括:
确定器设备,被配置为根据第一对等实体和中间设备之间的安全性关联确定第一对等实体所使用的身份是否为有效的身份,
其中,确定器设备还被配置为:当确定所述身份无效时,产生否定的验证结果。
42.根据权利要求41所述的中间设备,还包括被配置为存储安全配置表的第一存储器设备。
43.根据权利要求40所述的中间设备,其中,验证器设备包括:
检测器设备,被配置为检测第一对等实体所使用的身份在正在进行的连接期间是否已改变,
其中,检测器设备还被配置为:当检测到所述身份已改变时,产生否定的验证结果。
44.根据权利要求43所述的中间设备,还包括第二存储器设备,所述第二存储器设备被配置为存储第一对等实体在正在进行的连接中最初使用的身份。
45.根据权利要求40所述的中间设备,还包括:
发送器设备,被配置为:当中间设备的验证器设备产生肯定的验证结果时,将来自于第一对等实体请求转发到第二对等实体。
46.根据权利要求40所述的中间设备,还包括:
发送器设备,被配置为:当中间设备的验证器设备产生否定的验证结果时,将拒绝响应发送到第一对等实体。
47.根据权利要求40所述的中间设备,其中,所述中间设备基于与授权、认证和计帐功能相关联的协议进行操作。
48.根据权利要求47所述的中间设备,其中,所述中间设备为“直径”代理节点。
49.根据权利要求47所述的中间设备,其中,所述中间设备为“直径”中继代理。
50.一种用于提供对通信系统中的第一对等实体和第二对等实体之间的连接进行操作的安全性的系统,所述对等实体每个具有身份和传输地址,其中,第一对等实体使用身份向第二对等实体请求操作,第二对等实体通过预先配置的许可列表检查准予第一对等实体使用所述身份进行所请求的操作的许可,所述系统包括:
至少一个第一对等实体,所述第一对等实体包括:
发送器设备,被配置为将对操作的请求发送到至少一个第二对等实体;和
至少一个第二对等实体,所述第二对等实体包括:
接收器设备,被配置为从所述至少一个第一对等实体接收请求;
检查器设备,被配置为通过预先配置的许可列表检查准予第一对等实体使用所述身份进行所请求的操作的许可;
第一存储器设备,被配置为存储预先配置的许可列表;和
验证器设备,被配置为验证所述至少一个第一对等实体所使用的身份,
其中,验证器设备还被配置为在检查器设备执行许可的检查之前执行验证。
51.根据权利要求50所述的系统,还包括:至少一个中间设备,位于第一对等实体和第二对等实体中间的连接上,所述中间设备包括:
接收器设备,被配置为从所述至少一个第一对等实体接收请求,和从所述至少一个第二对等实体接收响应;和
验证器设备,被配置为验证所述至少一个第一对等实体所使用的身份。
52.根据权利要求50所述的系统,其中,所述至少一个第一对等实体为应用服务器。
53.根据权利要求50所述的系统,其中,所述至少一个第二对定实体为归属客户服务器。
54.根据权利要求50所述的系统,其中,第一对等实体和第二对等实体之间的连接包括根据第三代合作伙伴计划规范的Sh参考点,第三代合作伙伴计划规范即3GPP规范。
55.一种实施在计算机可读介质上的计算机程序,该计算机程序控制数字处理设备执行以下步骤:
在第二对等实体验证第一对等实体向第二对等实体请求操作所使用的身份,
其中,在第二对等实体通过预选配置的许可列表检查准予第一对等实体进行所请求的操作的许可之前,执行验证步骤。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05007942.5 | 2005-04-12 | ||
| EP05007942 | 2005-04-12 | ||
| US11/155,765 US20060225128A1 (en) | 2005-04-04 | 2005-06-20 | Measures for enhancing security in communication systems |
| US11/155,765 | 2005-06-20 | ||
| PCT/IB2006/050965 WO2006109204A2 (en) | 2005-04-12 | 2006-03-30 | Measures for enhancing security in communication systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101156416A true CN101156416A (zh) | 2008-04-02 |
| CN101156416B CN101156416B (zh) | 2012-04-18 |
Family
ID=37072185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800118219A Expired - Fee Related CN101156416B (zh) | 2005-04-12 | 2006-03-30 | 用于提高通信系统中的安全的方法、设备和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20060225128A1 (zh) |
| EP (1) | EP1900171A2 (zh) |
| JP (1) | JP2008536231A (zh) |
| KR (1) | KR101207812B1 (zh) |
| CN (1) | CN101156416B (zh) |
| WO (1) | WO2006109204A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102656845A (zh) * | 2009-10-16 | 2012-09-05 | 泰克莱克公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| CN104362854A (zh) * | 2013-12-26 | 2015-02-18 | 矽力杰半导体技术(杭州)有限公司 | 开关电源、控制电路和方法 |
| CN105577697A (zh) * | 2008-09-25 | 2016-05-11 | 西门子企业通讯有限责任两合公司 | 对多媒体数据流传输跑马灯信息的方法和通信装置 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7783618B2 (en) | 2005-08-26 | 2010-08-24 | Hewlett-Packard Development Company, L.P. | Application server (AS) database with class of service (COS) |
| US8799490B2 (en) * | 2005-08-26 | 2014-08-05 | Hewlett-Packard Development Company, L.P. | Automated application server (AS) permissions provisioning |
| US8213411B2 (en) * | 2005-08-26 | 2012-07-03 | Hewlett-Packard Development Company, L.P. | Charging database with class of service (COS) |
| US20080010669A1 (en) * | 2006-04-28 | 2008-01-10 | Nokia Corporation | Hiding in Sh interface |
| KR20100038123A (ko) * | 2007-05-25 | 2010-04-12 | 인터디지탈 테크날러지 코포레이션 | 무선 통신에서 액세스 모빌리티를 위한 프로토콜 아키텍쳐 |
| US8538000B2 (en) | 2007-08-10 | 2013-09-17 | Tekelec, Inc. | Methods, systems, and computer program products for performing message deposit transaction screening |
| DE102007052035A1 (de) * | 2007-10-30 | 2009-05-07 | Forschungszentrum Jülich GmbH | Verfahren zur Positronen-Emissions-Tomographie sowie PET-Scanner |
| WO2009070179A1 (en) * | 2007-12-01 | 2009-06-04 | Lucent Technologies, Inc. | Ims diameter router with load balancing |
| US8594679B2 (en) | 2008-03-07 | 2013-11-26 | Tekelec Global, Inc. | Methods, systems, and computer readable media for routing a message service message through a communications network |
| WO2010060087A2 (en) | 2008-11-24 | 2010-05-27 | Tekelec | Systems, methods, and computer readable media for location-sensitive called-party number translation in a telecommunications network |
| WO2010132436A2 (en) | 2009-05-11 | 2010-11-18 | Tekelec | Methods, systems, and computer readable media for providing scalable number portability (np) home location register (hlr) |
| EP2296350B1 (en) * | 2009-09-14 | 2018-11-07 | Alcatel Lucent | Management of application server-related user data |
| US9088478B2 (en) | 2010-02-12 | 2015-07-21 | Tekelec, Inc. | Methods, systems, and computer readable media for inter-message processor status sharing |
| EP2666263B1 (en) | 2011-01-21 | 2019-07-24 | Tekelec, Inc. | Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (dsr) having a distributed message processor architecture |
| US20130346876A1 (en) * | 2012-06-26 | 2013-12-26 | Gface Gmbh | Simultaneous experience of online content |
| KR102038964B1 (ko) | 2013-03-18 | 2019-11-26 | 삼성전자주식회사 | 어플리케이션 간의 상호 인증 방법 및 장치 |
| US9332015B1 (en) * | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| US10117127B2 (en) | 2015-07-08 | 2018-10-30 | Oracle International Corporation | Methods, systems, and computer readable media for communicating radio access network congestion status information for large numbers of users |
| US10230767B2 (en) | 2015-07-29 | 2019-03-12 | At&T Intellectual Property I, L.P. | Intra-carrier and inter-carrier network security system |
| US11082849B2 (en) * | 2015-08-07 | 2021-08-03 | Qualcomm Incorporated | Validating authorization for use of a set of features of a device |
| US10715491B2 (en) | 2018-02-13 | 2020-07-14 | Palo Alto Networks, Inc. | Diameter security with next generation firewall |
| CN115643097B (zh) * | 2018-02-13 | 2024-05-10 | 帕洛阿尔托网络公司 | 利用下一代防火墙的用于信令安全性的系统和方法、以及计算机可读存储介质 |
| US10701032B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Application layer signaling security with next generation firewall |
| US10693838B2 (en) | 2018-02-13 | 2020-06-23 | Palo Alto Networks, Inc. | Transport layer signaling security with next generation firewall |
| US10701033B2 (en) | 2018-02-13 | 2020-06-30 | Palo Alto Networks, Inc. | Network layer signaling security with next generation firewall |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05207028A (ja) * | 1992-01-28 | 1993-08-13 | Hitachi Cable Ltd | マルチポート中継装置 |
| US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| JP3917335B2 (ja) * | 1999-08-27 | 2007-05-23 | 三菱電機株式会社 | 情報提供システム |
| JP2001282667A (ja) * | 2000-03-29 | 2001-10-12 | Hitachi Software Eng Co Ltd | 認証サーバ・クライアントシステム |
| CN100531185C (zh) * | 2001-12-21 | 2009-08-19 | 国际商业机器公司 | 用于因特网上的电子交易的安全处理的方法与系统 |
| NO318842B1 (no) * | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
| ES2433272T3 (es) * | 2002-11-06 | 2013-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | Un método y un dispositivo en una red IP |
| WO2004077204A2 (en) * | 2003-02-27 | 2004-09-10 | Thomson Licensing S.A. | Wlan tight coupling solution |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| ES2645270T3 (es) * | 2003-08-26 | 2017-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Aparato y método para autenticar a un usuario cuando accede a servicios multimedia |
| US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
| WO2005076564A1 (en) * | 2004-02-06 | 2005-08-18 | Telecom Italia S.P.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
-
2005
- 2005-06-20 US US11/155,765 patent/US20060225128A1/en not_active Abandoned
-
2006
- 2006-03-30 JP JP2008506003A patent/JP2008536231A/ja active Pending
- 2006-03-30 WO PCT/IB2006/050965 patent/WO2006109204A2/en not_active Application Discontinuation
- 2006-03-30 EP EP06727773A patent/EP1900171A2/en not_active Withdrawn
- 2006-03-30 KR KR1020077026105A patent/KR101207812B1/ko not_active IP Right Cessation
- 2006-03-30 CN CN2006800118219A patent/CN101156416B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105577697A (zh) * | 2008-09-25 | 2016-05-11 | 西门子企业通讯有限责任两合公司 | 对多媒体数据流传输跑马灯信息的方法和通信装置 |
| CN105577697B (zh) * | 2008-09-25 | 2019-11-26 | 西门子企业通讯有限责任两合公司 | 对多媒体数据流传输跑马灯信息的方法和通信装置 |
| CN102656845A (zh) * | 2009-10-16 | 2012-09-05 | 泰克莱克公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| CN102656845B (zh) * | 2009-10-16 | 2015-04-01 | 泰克莱克股份有限公司 | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、系统和计算机可读介质 |
| CN104362854A (zh) * | 2013-12-26 | 2015-02-18 | 矽力杰半导体技术(杭州)有限公司 | 开关电源、控制电路和方法 |
| CN104362854B (zh) * | 2013-12-26 | 2017-05-31 | 矽力杰半导体技术(杭州)有限公司 | 开关电源、控制电路和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080048987A (ko) | 2008-06-03 |
| WO2006109204A2 (en) | 2006-10-19 |
| US20060225128A1 (en) | 2006-10-05 |
| EP1900171A2 (en) | 2008-03-19 |
| WO2006109204A3 (en) | 2007-02-08 |
| CN101156416B (zh) | 2012-04-18 |
| KR101207812B1 (ko) | 2012-12-05 |
| JP2008536231A (ja) | 2008-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101156416B (zh) | 用于提高通信系统中的安全的方法、设备和系统 | |
| US10785037B2 (en) | Managing secure content in a content delivery network | |
| US8156231B2 (en) | Remote access system and method for enabling a user to remotely access terminal equipment from a subscriber terminal | |
| US8837484B2 (en) | Methods and devices for a client node to access an information object located at a node of a secured network via a network of information | |
| TWI295135B (en) | Communication device and method for handling user identity and privacy | |
| JP4728258B2 (ja) | ユーザーがipネットワークに接続する時、ローカル管理ドメインにおいてユーザーに対するアクセス認証を管理するための方法及びシステム | |
| US9491141B2 (en) | Incoming redirection mechanism on a reverse proxy | |
| US20060143442A1 (en) | Automated issuance of SSL certificates | |
| US20100125652A1 (en) | Method, Apparatus, and Computer Program for Binding Local Devices to User Accounts | |
| KR20180026751A (ko) | 자원 구동 동적 권한부여 프레임워크 | |
| US9032487B2 (en) | Method and system for providing service access to a user | |
| KR20080024469A (ko) | 부정적인 인터넷 계정 액세스 방지 | |
| KR20050101193A (ko) | 네트워크에서의 사용자 정보에 대한 액세스를 허가하기위한 방법 및 시스템 | |
| US20100306820A1 (en) | Control of message to be transmitted from an emitter domain to a recipient domain | |
| CN102739664A (zh) | 提高网络身份认证安全性的方法和装置 | |
| US20220158977A1 (en) | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor | |
| CN108009439B (zh) | 资源请求的方法、装置及系统 | |
| KR20070009490A (ko) | 아이피 주소 기반 사용자 인증 시스템 및 방법 | |
| Larose et al. | RFC 8952: Captive Portal Architecture | |
| US20040152448A1 (en) | Method and arrangement for authenticating terminal equipment | |
| KR100845235B1 (ko) | Enum 시스템 및 이에 적용되는 사용자 인증 방법 | |
| CN114462015A (zh) | 基于区块链的分布式双向认证方法、设备和存储介质 | |
| CN115694855A (zh) | 一种认证方法、装置及设备 | |
| WO2009127163A1 (zh) | 用户属性查询的方法、提供服务的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090116 Address after: American Delaware Applicant after: Speed Navigation Co.,Ltd. Address before: Helsinki Applicant before: Nokia Oyj |
|
| ASS | Succession or assignment of patent right |
Owner name: SIBIDE SAILING CO., LTD. Free format text: FORMER OWNER: NOKIA NETWORKS OY Effective date: 20090116 |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INTELLECTUAL VENTURES NO.1 CO., LTD. Free format text: FORMER OWNER: SPYDER NAVIGATIONS L. L. C. Effective date: 20120227 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120227 Address after: Delaware Patentee after: Spyder Navigations L. L. C. Address before: American Delaware Patentee before: Speed Navigation Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20150330 |
|
| EXPY | Termination of patent right or utility model |