CN101714978A - 不进行持续的重新验证的sip信令 - Google Patents
不进行持续的重新验证的sip信令 Download PDFInfo
- Publication number
- CN101714978A CN101714978A CN200910164429A CN200910164429A CN101714978A CN 101714978 A CN101714978 A CN 101714978A CN 200910164429 A CN200910164429 A CN 200910164429A CN 200910164429 A CN200910164429 A CN 200910164429A CN 101714978 A CN101714978 A CN 101714978A
- Authority
- CN
- China
- Prior art keywords
- client
- request
- response
- checking
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000011664 signaling Effects 0.000 title abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 63
- 230000008520 organization Effects 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 10
- 235000014510 cooky Nutrition 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种不进行持续的重新验证的会话启动协议(SIP)信令。响应于在连接上的客户端的第一会话启动协议(SIP)请求,代理服务器使得验证机构验证该客户端。只要满足以下策略,则其不会使得在响应在所述连接上的后续请求时客户端被验证,即下层连接没有中断,后续请求代表相同客户端,客户端没有被从系统中去除,客户端的密码没有改变,“安全网”计时器没有期满,或服务器选择实施的任何其他策略。这样消除了响应于每个SIP请求持续进行重新验证的开销。
Description
技术领域
本发明涉及通信网络的传输协议。
背景技术
会话启动协议(SIP)是常用于IP语音通信(VoIP)电话技术(包括多媒体)以建立、管理和终止通信会话的计算机网络协议。会话是在通信实体之间的半永久性的交互信息交换(例如,呼叫)。SIP位于传输控制协议/网际协议(TCP/IP)模型的应用层,且位于用于计算机网络协议的国际标准化组织(ISO)开放式系统互连(OSI)模型的会话层。通过标准SIP信令,在来自客户端的每一请求被允许被处理之前,即使那些请求在相同会话内,该请求仍被问答式机构逐个请求地验证。这使得使用SIP的系统具有高验证开销。
诸如传输层安全(TLS)协议或网际协议安全(IPsec)协议之类的一些TCP/IP应用层信令协议经由TLS或IPsec信道在客户端和服务器之间建立基于证书的信任关系。这种基于信任的关系消除了询问(challenge)每个请求的需要。但是这不影响可使用TLS作为传输层协议(“在其之上”)的较高协议例如SIP的操作。(传输层响应于来自应用层的请求,将数据传送到主计算机上的适当的应用进程。)此外,这是以需要在每个客户端装置上部署唯一的证书为代价的。例如,3GPP/TISPAN IMS系统具有被称为代理呼叫会话控制功能(PCSCF)的、作为用于IMS终端的第一接触点的元件。作为SIP代理的PCSCF可在被访问的网络中或者本地网络中。一些网络对于该功能还可使用会话边界控制器(SBC)。IMS终端经由动态主机配置协议(DHCP)发现它的PCSCF,或者其在通用分组无线系统(GPRS)中在分组数据协议(PDP)上下文中被分配。PCSCF在注册时被分配给终端,且在注册的持续时间中不改变。PCSCF位于所有信令消息的路径中,且可以检查每个消息。PCSCF验证用户并与IMS终端建立IPsec可信安全关系。这对顾客造成了管理负担。
单点登录(SSO)是这样一种访问控制方法,即该方法使用户能够只登录一次而获得多个系统的资源的访问权,而不会被提示再次登录。其提供会话和用户验证两者。各客户端被给予令牌或软件以通过网络验证服务器处理验证。单点退出是相反的进程,由此单个退出动作终止了对多个系统的访问权。SSO对用于SSO的协议的操作也没有影响。
安全外壳(SSH)是允许在两个联网的装置之间使用安全信道交换数据的网络协议。典型地用于登录远程服务器并执行命令,其使用公钥加密技术以验证客户端和服务器。客户端建立到服务器的安全连接,请求服务,得到询问,应答该询问,此后后续请求不被询问。验证是持久性的(只要保持连接),且不允许服务器被重新询问。
公钥构架(PKI)布置使得未事先联系的计算机用户能够彼此验证并且加密彼此之间的消息。PKI通过认证机构(又称为,可信第三方)将公钥与各个用户标识绑定。签字人的公钥证书也可被第三方用于检验使用该签字人的私钥创建的消息的数字签名。一般来说,PKI使得对话中的各方能够建立机密性、消息完整性和用户验证,而不必预先交换任何秘密信息,甚至不需要任何事先联系。其被许多应用层协议用于建立安全通信。
X.509是用于PKI和特权管理构架(PMI)的ITU-T标准。X.509尤其指定了认证路径确认算法、属性证书、证书作废表和公钥证书的标准格式。
安全套接层上的超文本传输协议(HTTPS)是用于在万维网上为安全性敏感的通信提供验证和加密的应用层协议,并且简单对象访问协议(SOAP)是使用HTTPS作为用于经网络交换消息的传输层协议的TCP/IP应用层协议。HTTPS需要管理员创建用于网络服务器的公钥证书,任何访问客户端能够基于该客户端已持有的可信证书确认该公钥证书。为通过确认,该证书必须由认证机构签名。此方案还可以用于客户端验证,以将对网络服务器的访问仅限于授权的用户。这需要站点管理员为每个用户创建证书,并且此证书被装载到用户的浏览器或客户端装置中。
SSO和HTTPS两者都是基于cookie的。响应于第一请求建立cookie,且在每个后续请求中接收到基于该cookie的安全令牌。该令牌必须被确认,并且该确认需要服务器逐个消息地工作。这还需要客户端有管理、存储和使用cookies的能力。
对于在时间和空间上的公钥信息的公共验证的问题的可替代方法是信任网方案,其使用自签名的证书和那些证书的第三方鉴证来建立公钥和用户之间的绑定的可靠性。不同于依赖于认证机构(或其层次结构)的PKI,信任网的信任模型是分散的:信任网没有暗示存在单一信任网或公共信任点,而是暗示存在任何数目的可能分散的“信任网”。类似于基于cookie的方法,任何新请求必须被验证,这造成了网络侧的处理瓶颈。而且,每个客户端必须管理、存储和正确地确认用于信任网的证书。
发明内容
这里呈现的思想是只要满足以下策略则不询问在(优选地安全的)连接上做出的第一请求之后的请求,即连接没有中断,后续请求代表相同的客户端,客户端没有被从系统中去除,客户端的密码没有改变,“安全网”计时器没有期满,或者服务器选择实施的任何其他策略。换句话说,询问连接上的第一请求,但是一旦该询问已被成功地应答,则允许客户端“自由通过”,从而不对后续请求进行询问,直到满足一些预定的准则。优选地,只要适当安全的传输层连接不中断、失效或被侵犯,本发明得益于在较低层(例如,TLS)协议处的对该连接的保护,以减轻验证被发送到较高级协议(例如,SIP)的每个请求的负担。此思想与现有技术的不同之处在于,消除了在会话中的每个请求的后续问答开销,还优选地,消除了每一客户端具有唯一主机凭证(证书)的需要,并消除了这种证书带来的管理负担。
根据本发明的一个方面,响应于在通信连接上的客户端的第一请求(例如,SIP请求),(例如,经由问答式机构)验证客户端。响应于在所述连接上的并在第一请求之后的客户端的至少一个第二请求,不执行客户端的验证。但是响应于在所述连接上的并在至少一个第二请求之后的客户端的第三请求,再次验证客户端。作为例证,当下层连接已经中断并被重新建立、或者该请求代表不同客户端、或者“安全网”计时器已经期满时,发生重新验证(第三请求)。如果验证成功或未发生,则同意(comply with)该请求;如果验证不成功,不同意该请求。
本发明可以实现为方法和设备,以及包括指令的计算机可读介质,该指令在由计算机执行时使得计算机执行该方法。
附图说明
图1是通信网络的框图;
图2是在图1的网络中的现有技术的SIP信令的信令图;
图3是用户数据记录的框图;
图4和5是根据本发明的一个方面的在图1的网络中的信令的信令图;和
图6是可替换的通信网络的框图。
具体实施方式
图1示出一个说明性通信系统,其中多个通信终端102-104通过一个或多个网络110彼此互连并与授权实体112互连。终端102-104可以是任何类型的最终用户通信装置,例如手机、个人数字助理、IP语音通信(VoIP)电话、个人计算机等。或者,它们可以是任何类型的服务器,例如网页服务器、电子邮件服务器、即时消息(IM)服务器、数据库服务器、网关高速缓存等。网络110可以包括任何类型的网络,例如局域网(LAN)、广域网(例如,因特网)、异步传输模式(ATM)网络等。
验证实体112是验证终端102-104的用户的身份的任何实体。在该说明性示例中,验证实体112包括代理服务器114和验证机构116。代理服务器114是这样的服务器,即通过将在终端102-104的用户之中的其客户端的请求转发给在终端102-104之中的服务器来服务该请求。客户端连接到代理服务器114,请求可从服务器获得的某些服务,例如文件连接、网页或其他资源。代理服务器114通过连接到服务器并代表客户端请求该服务来提供资源。由代理服务器114提供的服务中的一种服务是用户验证,该代理服务器借助于(即,通过)验证机构116提供该用户验证。作为例证,代理服务器114是包括存储指令的存储器和诸如计算机之类的用于执行指令的处理器的存储程序控制的机器,其中该存储器和处理器形成代理服务器。验证机构116是诸如证书管理者或可信第三方的服务器,例如,其包括用于验证用户的信息。
作为例证,网络110包括SIP网络、X.323网络、网络服务网,或一些其他的网络,其使用这样的协议,即不管下层协议是已经提供了通信连接安全性(例如,TLS或TCP协议)还是没有提供通信连接安全性(例如,UDP或TCP协议),都验证会话内的每个用户请求。此持续重新验证用户的需要要求每当用户对代理服务器114做出请求时,代理服务器114就与验证机构116通信。
在图2中示出在SIP网络的上下文中的此情况的一个示例。为了发起通信,终端102产生SIP注册请求(REG)。该请求包括终端102(客户端)的用户的记录地址(AOR)。下层传输协议在终端102和代理服务器114之间建立到代理服务器114的特定套接口的TLS连接120。该连接具有唯一的标识符(连接标识符)。在步骤202,终端102然后经该连接120发送REG到代理服务器114。包括该REG请求的作为会话的一部分由终端102发送给代理服务器114的每个请求包含客户端的AOR和连接120的连接标识符。例如,TCP使用4元组{终端IP地址、终端IP端口、服务器IP地址、服务器IP端口}作为连接标识符。响应于接收到该REG,在步骤206,代理服务器114将包括AOR的授权请求发送到验证机构116。在步骤208,机构116通过将对客户端的第一询问发送到代理服务器114来响应。响应于此,在步骤212,代理服务器114将包括该第一询问的401(“需要验证”)SIP消息(或诸如407(“需要代理验证”)之类的一些其它这种SIP消息)经连接120发送到终端102。在步骤214,终端102以包括客户端对第一询问的响应的另一REG请求作为响应。在步骤216,代理服务器114将此响应转发到验证机构116。如果该响应是及时的,机构116比较从终端102接收的响应与存储的正确响应,并且如果它们匹配,则在步骤217,发送“询问被成功应答”消息到代理服务器114。响应于此,在步骤220,代理服务器114将200 OK SIP消息发送到终端102。
当终端102希望发起呼叫时,在步骤222,其产生并发送邀请SIP请求(INV)到代理服务器114。响应于此请求,在步骤230,代理服务器114发送另一授权请求到机构116。在步骤232,机构116以对客户端的第二询问作为响应。在步骤234,代理服务器114在401SIP消息中转发该第二询问到终端102。在步骤236,终端102以包括客户端的响应的INV SIP消息为响应,在步骤238,代理服务器114将该客户端的响应转发到验证机构116。如果客户端的响应是及时的且匹配正确的响应,则在步骤239,机构116将“询问被成功应答”消息发送到代理服务器114,并且在步骤250,代理服务器114将200 OK SIP消息发送到终端102。
当在步骤252,终端102发送另一请求到代理服务器114时,在步骤260,代理服务器114发送另一授权请求到机构116,并在步骤262,机构116返回第三询问。在步骤264,代理服务器114发送具有第三询问的401SIP消息到终端102,且在步骤266,终端102再次发送具有客户端对第三询问的响应的请求到代理服务器114,在步骤268,该代理服务器将该客户端对第三询问的响应转发到验证机构116。如果客户端的响应是及时的且匹配正确的响应,在步骤269,机构116发送“询问被成功应答”消息到代理服务器114,且在步骤274,代理服务器114发送200 OK SIP消息到终端102。对于每个后续SIP请求同样如此操作。
特别地,当代理服务器114和验证机构116是经由网络(例如,经由图1中的网络110)彼此通信的分开的装置时,服务器114和116之间的此持续通信给验证机构116造成沉重负担,产生大量网络流量,并且是费时的,所有这些都是不希望的。
根据本发明的一个方面,修改代理服务器114的操作以使得代理服务器114不通过验证机构116验证每个客户端的每个请求。相反,代理服务器114依赖于已通过诸如TLS或IPsec之类的传输协议经连接120在终端102-104和代理服务器114之间建立的可信关系,提供延长的时间段的安全性。但是,即使该传输协议是不安全的,例如为UDP或TCP,如果不关注高等级的安全性,则可能不必需对每个请求进行验证。在这种情况下,重要的是下层传输协议为会话提供抵抗对会话的劫持(hijack)的保护措施,并报告会话的解除。
根据在SIP协议上下文中的这种修改的说明性示例,如图3所示,对于终端102-104的每个注册用户,代理服务器114保持用户数据记录300。记录300具有包含客户端的AOR的项302,包含客户端到代理服务器114的连接的连接标识符的项304,和包含客户端的当前验证期满时的时间或者计时器的项306。
进一步根据此示例,在复制图2的步骤202-217的图4的步骤402-417,终端102的用户以常规方式向代理服务器114注册。在已验证终端102的用户之后,在步骤418,代理服务器114启动项306中的计时器或在项306中输入将来验证将期满的时间。例如,在字段306中指示的或被测量的时间量可以是任何所希望的时间量,例如24小时。在步骤420,代理服务器114然后发送200 OK SIP消息到终端102,由此完成注册。
当终端102的用户希望发起呼叫时,在步骤422,终端102产生并发送INV SIP请求到代理服务器114。响应于此,在步骤424,代理服务器114检查该客户端的验证是否已经期满。代理服务器114通过检查客户端的记录300的项306以确定计时器是否已经期满或者存储在项306中的时间是否领先于当前时间来进行该检查。如果验证没有期满,在步骤426,代理服务器114相对于客户端的记录300中的一对项302和304的内容来检查其在INV请求中接收的AOR和连接标识符数据,以确定它们是否匹配。它们可能由于以下原因而不匹配,即终端102和代理服务器114之间的连接120已被解除(例如,失败)并已重新建立,这将导致在请求中接收的连接标识符不同于存储在客户端的记录300中的项304中的连接标识符。因此,在步骤428,代理服务器114通过将项304的内容改变为新的连接标识符来更新客户端的记录300。如果验证已经期满或数据对不匹配,则需要重新验证,从而在复制图2的步骤230-239的步骤430-439中,代理服务器114重新验证客户端。在步骤440,代理服务器114然后在客户端的记录300的项306中重启动计时器或设置新的期满时间。但是,如果验证没有期满且数据对匹配,则客户端的重新验证不是必需的,从而代理服务器114跳过步骤428-436。代理服务器114然后在图5的步骤550,发送200 OK SIP消息到终端102。
当在步骤552,终端102向代理服务器114发送另一请求时,在步骤554-558,代理服务器114重复步骤424-428的活动。如果验证已经期满或数据对不相配,则代理服务器114在复制步骤430-439的步骤560-569中重新验证客户端,并在步骤570,在记录300的项306中重启动计时器或输入新的时间。但是,如果验证没有期满且数据对匹配,代理服务器114跳过步骤558-570,并直接进行到步骤574,发送200 OK SIP消息到终端102。对于每个后续SIP请求同样如此操作。
作为图2所示的内容的可替代方案,代理服务器114可在步骤214之后执行步骤230-232,并在步骤220,在200 OK消息中发送第二询问到终端102。这使得能够跳过步骤222和234。类似地,代理服务器114可在步骤236之后执行步骤260-262,并在步骤250,在200 OK消息中发送第三询问到终端102。这使得能够跳过步骤252和264。诸如此类。这被称为“下一不重性(next nonce)”构造。虽然此可替代信令方案减少了代理服务器114和终端102之间的信令流量的量,但是其对代理服务器114和验证机构116之间的信令流量的频率或量没有影响。
本发明仅通过借助每个200 OK消息将最后发送的询问重发送到客户端,可同样地用于此可替代方案的上下文中。
图6示出图1的通信系统的修改形式,其中网络110包括通过网关互连的至少两个网络640和642。在SIP网络中,网关是会话边界控制器(SBC)644,例如边界安全性控制器(BSC)。终端102-104经由网络640中的连接630连接到SBC 644,而SBC 644经由网络642中的一个或多个连接620连接到代理服务器114。因此,如果连接630之一已经失败并且然后被恢复为SBC 644上的不同连接,从而造成该连接630的连接标识符改变,则代理服务器114没有注意到此改变,这是因为连接620的连接标识符没有改变。如果SBC 644经由每个连接620仅连接一个终端102到代理服务器114,此问题的一个解决方案是每当对应的连接630失败并且被恢复时,SBC 644解除并然后恢复连接620。但是如果SBC 644经由连接620连接多个终端102-104到代理服务器114,则此解决方案是不实用的。在此情况下,该问题的一个实际解决方案是每当连接620被恢复时SBC 644以信号通知代理服务器114,并且代理服务器114以与其在图4-5中处理图1中的连接120的改变的连接标识符的方式相同的方式处理该通知。为了此目的可以采用任何希望的信令方案。实施该信令的一种方式是经由增强的SIP信令,其中PAD传输报头包括作为参数的流-令牌,其识别已被解除并被恢复的任何连接630的在SBC 644上的连接。
当然,上述说明性实施例的多种改变和修改对于本领域技术人员是显而易见的。例如,虽然在这里对于SIP进行了说明性的描述,本发明通常可应用于在较低层级的面向连接的传输协议上运行并且在语义上需要验证的任何较高层级的协议,例如文件传输、SSH、HTTP、应用共享、电子邮件、或询问请求的任何其他应用协议。可以做出这些改变和修改而不脱离本发明的精神和范围,且不损害其伴随的优点。因此,这样的改变和修改将由以下权利要求覆盖,除非已经由现有技术所限定。
Claims (10)
1.一种方法,包括:
响应于在通信连接上的客户端的第一请求,验证客户端;
响应于在所述连接上的并在所述第一请求之后的客户端的至少一个第二请求,不验证客户端;并
响应于在所述连接上的并在所述至少一个第二请求之后的客户端的第三请求,验证客户端。
2.如权利要求1所述的方法,进一步包括:
响应于成功地验证客户端,同意所述请求;和
响应于未成功地验证客户端,不同意所述请求。
3.如权利要求1所述的方法,其中:
不验证客户端的步骤包括
响应于第二请求,确定以下情况之一:
a.客户端的验证是否已经期满,或
b.用于传输所述请求的连接相对于传输第一请求的连接是否已经改变
并且,响应于确定客户端的验证没有期满或响应于确定所述连接没有改变,不验证客户端;其中
该方法进一步包括
响应于确定客户端的验证已经期满或响应于确定所述连接已经改变,验证客户端。
4.如权利要求1所述的方法,其中:
不验证客户端的步骤包括
响应于第二请求,确定(a)客户端的标识符或用于发送所述请求的连接的标识符相对于第一请求的情况是否已经改变,或者(b)客户端的验证是否已经期满,以及
响应于确定(a)客户端的标识符和所述连接的标识符没有改变和(b)客户端的验证没有期满两者,不验证客户端;其中,该方法进一步包括
响应于确定(a)客户端的标识符或所述连接的标识符已经改变或(b)客户端的验证已经期满,验证客户端。
5.如权利要求1所述的方法,其中:
验证客户端的步骤包括
响应于客户端的第一请求或第三请求的单独一个,发送对询问的请求到验证机构;
响应于接收到来自客户端的对询问的响应,确定所述响应是否是正确的;
响应于确定所述响应是正确的,同意所述单独的请求;和
响应于确定所述响应不正确,不同意所述单独的请求。
6.一种设备,包括:
用于存储指令的存储器;和
用于执行所述指令的处理器;
其中,所述存储器和所述处理器共同形成服务器,所述服务器适于通过验证客户端来响应在通信连接上的所述客户端的第一请求,适于通过不验证所述客户端来响应在所述连接上的并在所述第一请求之后的所述客户端的至少一个第二请求,以及通过验证所述客户端来响应在所述连接上的并在所述至少一个第二请求之后的所述客户端的第三请求。
7.如权利要求6所述的设备,其中:
该服务器进一步适于通过同意所述请求来响应成功地验证客户端,并适于通过不同意所述请求来响应未成功地验证客户端。
8.如权利要求6所述的设备,其中:
服务器适于通过如下操作来不验证客户端:
(a)响应于第二请求,确定客户端的验证是否已经期满或者用于传输请求的连接相对于传输第一请求的连接是否已经改变,和(b)响应于确定客户端的验证没有期满或者响应于确定连接没有改变,不验证客户端;并且其中
服务器进一步适于通过验证客户端,来响应确定客户端的验证已经期满或者响应确定连接已经改变。
9.如权利要求6所述的设备,其中:
所述服务器适于通过如下操作来不验证客户端:
(a)响应于第二请求,确定(1)客户端的标识符或者用于发送所述请求的连接的标识符相对于第一请求的情况是否已经改变,或(2)客户端的验证是否已经期满,和(b)响应于确定(1)客户端的标识符和所述连接的标识符没有改变和(2)客户端的验证没有期满两者,不验证客户端;并且其中
服务器进一步适于通过验证客户端,来响应确定(1)客户端的标识符或所述连接的标识符已经改变或者(2)客户端的验证已经期满。
10.如权利要求6所述的设备,其中:
服务器适于通过如下操作来验证客户端,
(a)响应于客户端的第一或第三请求的单独一个,发送对询问的请求到验证机构,(b)响应于从客户端接收对询问的响应,转发所述响应到验证机构以确定所述响应是否是正确的;(c)和其中
服务器进一步适于通过同意所述单独请求来响应所述响应是正确的确定,和通过不同意所述单独请求来响应所述响应是不正确的确定。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/242,105 US8689301B2 (en) | 2008-09-30 | 2008-09-30 | SIP signaling without constant re-authentication |
| US12/242,105 | 2008-09-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101714978A true CN101714978A (zh) | 2010-05-26 |
Family
ID=41129623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910164429A Pending CN101714978A (zh) | 2008-09-30 | 2009-08-03 | 不进行持续的重新验证的sip信令 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8689301B2 (zh) |
| JP (1) | JP5651313B2 (zh) |
| CN (1) | CN101714978A (zh) |
| DE (1) | DE102009041805A1 (zh) |
| GB (1) | GB2463758B (zh) |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8689301B2 (en) | 2008-09-30 | 2014-04-01 | Avaya Inc. | SIP signaling without constant re-authentication |
| US8989705B1 (en) * | 2009-06-18 | 2015-03-24 | Sprint Communications Company L.P. | Secure placement of centralized media controller application in mobile access terminal |
| GB2507941B (en) * | 2010-02-22 | 2018-10-31 | Avaya Inc | Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa |
| US8464063B2 (en) * | 2010-03-10 | 2013-06-11 | Avaya Inc. | Trusted group of a plurality of devices with single sign on, secure authentication |
| WO2012177287A2 (en) * | 2011-06-24 | 2012-12-27 | Telecommunication Systems, Inc. | Usage authentication via intercept and challenge for network services |
| US8627076B2 (en) | 2011-09-30 | 2014-01-07 | Avaya Inc. | System and method for facilitating communications based on trusted relationships |
| US11095687B2 (en) * | 2011-11-18 | 2021-08-17 | Blue Armor Technologies, LLC | Network security system using statistical object identification |
| US9027102B2 (en) | 2012-05-11 | 2015-05-05 | Sprint Communications Company L.P. | Web server bypass of backend process on near field communications and secure element chips |
| US8862181B1 (en) | 2012-05-29 | 2014-10-14 | Sprint Communications Company L.P. | Electronic purchase transaction trust infrastructure |
| GB2502781B8 (en) * | 2012-06-05 | 2016-09-07 | Global Reach Technology Ltd | Improvements in and relating to authentication |
| US9282898B2 (en) | 2012-06-25 | 2016-03-15 | Sprint Communications Company L.P. | End-to-end trusted communications infrastructure |
| US9066230B1 (en) | 2012-06-27 | 2015-06-23 | Sprint Communications Company L.P. | Trusted policy and charging enforcement function |
| US8649770B1 (en) | 2012-07-02 | 2014-02-11 | Sprint Communications Company, L.P. | Extended trusted security zone radio modem |
| US8667607B2 (en) | 2012-07-24 | 2014-03-04 | Sprint Communications Company L.P. | Trusted security zone access to peripheral devices |
| US8863252B1 (en) | 2012-07-25 | 2014-10-14 | Sprint Communications Company L.P. | Trusted access to third party applications systems and methods |
| US9183412B2 (en) | 2012-08-10 | 2015-11-10 | Sprint Communications Company L.P. | Systems and methods for provisioning and using multiple trusted security zones on an electronic device |
| US9215180B1 (en) | 2012-08-25 | 2015-12-15 | Sprint Communications Company L.P. | File retrieval in real-time brokering of digital content |
| US9015068B1 (en) | 2012-08-25 | 2015-04-21 | Sprint Communications Company L.P. | Framework for real-time brokering of digital content delivery |
| US8954588B1 (en) | 2012-08-25 | 2015-02-10 | Sprint Communications Company L.P. | Reservations in real-time brokering of digital content delivery |
| US8918847B2 (en) | 2012-09-28 | 2014-12-23 | Avaya Inc. | Layer 7 authentication using layer 2 or layer 3 authentication |
| CN103024049B (zh) * | 2012-12-17 | 2016-03-30 | 北京奇虎科技有限公司 | 实现浏览器数据同步的系统 |
| CN103024052B (zh) * | 2012-12-17 | 2016-08-10 | 北京奇虎科技有限公司 | 实现浏览器数据同步的系统和方法 |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US9161227B1 (en) | 2013-02-07 | 2015-10-13 | Sprint Communications Company L.P. | Trusted signaling in long term evolution (LTE) 4G wireless communication |
| US9104840B1 (en) | 2013-03-05 | 2015-08-11 | Sprint Communications Company L.P. | Trusted security zone watermark |
| US8881977B1 (en) | 2013-03-13 | 2014-11-11 | Sprint Communications Company L.P. | Point-of-sale and automated teller machine transactions using trusted mobile access device |
| US9613208B1 (en) | 2013-03-13 | 2017-04-04 | Sprint Communications Company L.P. | Trusted security zone enhanced with trusted hardware drivers |
| US9049186B1 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone re-provisioning and re-use capability for refurbished mobile devices |
| US9049013B2 (en) | 2013-03-14 | 2015-06-02 | Sprint Communications Company L.P. | Trusted security zone containers for the protection and confidentiality of trusted service manager data |
| US8984592B1 (en) | 2013-03-15 | 2015-03-17 | Sprint Communications Company L.P. | Enablement of a trusted security zone authentication for remote mobile device management systems and methods |
| US9374363B1 (en) | 2013-03-15 | 2016-06-21 | Sprint Communications Company L.P. | Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device |
| US9021585B1 (en) | 2013-03-15 | 2015-04-28 | Sprint Communications Company L.P. | JTAG fuse vulnerability determination and protection using a trusted execution environment |
| US9191388B1 (en) | 2013-03-15 | 2015-11-17 | Sprint Communications Company L.P. | Trusted security zone communication addressing on an electronic device |
| US9454723B1 (en) | 2013-04-04 | 2016-09-27 | Sprint Communications Company L.P. | Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device |
| US9171243B1 (en) | 2013-04-04 | 2015-10-27 | Sprint Communications Company L.P. | System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device |
| US9324016B1 (en) | 2013-04-04 | 2016-04-26 | Sprint Communications Company L.P. | Digest of biographical information for an electronic device with static and dynamic portions |
| US9838869B1 (en) | 2013-04-10 | 2017-12-05 | Sprint Communications Company L.P. | Delivering digital content to a mobile device via a digital rights clearing house |
| US9443088B1 (en) | 2013-04-15 | 2016-09-13 | Sprint Communications Company L.P. | Protection for multimedia files pre-downloaded to a mobile device |
| US9069952B1 (en) | 2013-05-20 | 2015-06-30 | Sprint Communications Company L.P. | Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory |
| US9560519B1 (en) | 2013-06-06 | 2017-01-31 | Sprint Communications Company L.P. | Mobile communication device profound identity brokering framework |
| US9736130B1 (en) * | 2013-07-05 | 2017-08-15 | Sonus Networks, Inc. | Communications methods and apparatus related to web initiated sessions |
| US9183606B1 (en) | 2013-07-10 | 2015-11-10 | Sprint Communications Company L.P. | Trusted processing location within a graphics processing unit |
| US9208339B1 (en) | 2013-08-12 | 2015-12-08 | Sprint Communications Company L.P. | Verifying Applications in Virtual Environments Using a Trusted Security Zone |
| JP2015073220A (ja) * | 2013-10-03 | 2015-04-16 | サクサ株式会社 | 電話制御装置およびプログラム |
| US9185626B1 (en) | 2013-10-29 | 2015-11-10 | Sprint Communications Company L.P. | Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning |
| US9191522B1 (en) | 2013-11-08 | 2015-11-17 | Sprint Communications Company L.P. | Billing varied service based on tier |
| US9161325B1 (en) | 2013-11-20 | 2015-10-13 | Sprint Communications Company L.P. | Subscriber identity module virtualization |
| US20150172324A1 (en) * | 2013-12-13 | 2015-06-18 | Alcatel-Lucent Usa Inc. | Authorized SIP Redirection |
| US9118655B1 (en) | 2014-01-24 | 2015-08-25 | Sprint Communications Company L.P. | Trusted display and transmission of digital ticket documentation |
| US9226145B1 (en) | 2014-03-28 | 2015-12-29 | Sprint Communications Company L.P. | Verification of mobile device integrity during activation |
| US9325732B1 (en) * | 2014-06-02 | 2016-04-26 | Amazon Technologies, Inc. | Computer security threat sharing |
| US9230085B1 (en) | 2014-07-29 | 2016-01-05 | Sprint Communications Company L.P. | Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services |
| WO2016056820A1 (en) * | 2014-10-06 | 2016-04-14 | Lg Electronics Inc. | Method and apparatus for managing authentication in wireless communication system while subscriber identity module is not available |
| US9779232B1 (en) | 2015-01-14 | 2017-10-03 | Sprint Communications Company L.P. | Trusted code generation and verification to prevent fraud from maleficent external devices that capture data |
| US9838868B1 (en) | 2015-01-26 | 2017-12-05 | Sprint Communications Company L.P. | Mated universal serial bus (USB) wireless dongles configured with destination addresses |
| US9473945B1 (en) | 2015-04-07 | 2016-10-18 | Sprint Communications Company L.P. | Infrastructure for secure short message transmission |
| US9571480B1 (en) * | 2015-04-08 | 2017-02-14 | Sonus Networks, Inc. | Authentication methods and apparatus |
| US9819679B1 (en) | 2015-09-14 | 2017-11-14 | Sprint Communications Company L.P. | Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers |
| US10282719B1 (en) | 2015-11-12 | 2019-05-07 | Sprint Communications Company L.P. | Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit |
| US9817992B1 (en) | 2015-11-20 | 2017-11-14 | Sprint Communications Company Lp. | System and method for secure USIM wireless network access |
| US9992679B1 (en) | 2016-08-25 | 2018-06-05 | Sprint Communications Company L.P. | Integrated authentication codes for user devices and communication networks |
| CN108234184B (zh) * | 2016-12-22 | 2021-01-15 | 上海诺基亚贝尔股份有限公司 | 用于管理用户信息的方法和设备 |
| IT201600131985A1 (it) | 2016-12-29 | 2018-06-29 | Freni Brembo Spa | Metodo di controllo di un’azione frenante esercitabile da una pinza freno su un organo meccanico di movimento di un veicolo e relativo sistema di controllo. |
| US10581829B1 (en) * | 2017-05-31 | 2020-03-03 | Cisco Technology, Inc. | Certificate-based call identification and routing |
| US10499249B1 (en) | 2017-07-11 | 2019-12-03 | Sprint Communications Company L.P. | Data link layer trust signaling in communication network |
| US11722595B2 (en) * | 2019-02-04 | 2023-08-08 | Comcast Cable Communications, Llc | Systems and methods for processing calls |
| EP3799379B1 (de) * | 2019-09-27 | 2023-03-01 | Deutsche Telekom AG | Verfahren und ip-basiertes kommunikationssystem zum wechseln von verbindungs-steuerungsinstanzen ohne neuregistrierung von endteilnehmern |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| CN1547324A (zh) * | 2003-12-16 | 2004-11-17 | 复旦大学 | 可编程逻辑单元结构 |
| CN1579068A (zh) * | 2002-09-02 | 2005-02-09 | 索尼株式会社 | 装置验证设备及方法、信息处理设备及方法和计算机程序 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| ES2343563T3 (es) * | 2000-03-03 | 2010-08-04 | Qualcomm Incorporated | Procedimiento y aparato para participar en servicios de comunicacion en grupo en un sistema de comunicacion existente. |
| US7155740B2 (en) * | 2000-07-13 | 2006-12-26 | Lucent Technologies Inc. | Method and apparatus for robust NAT interoperation with IPSEC'S IKE and ESP tunnel mode |
| US7131000B2 (en) * | 2001-01-18 | 2006-10-31 | Bradee Robert L | Computer security system |
| JP3826782B2 (ja) * | 2001-12-12 | 2006-09-27 | ソニー株式会社 | データ伝送システム、情報処理装置および方法、記録媒体、並びにプログラム |
| US7707416B2 (en) * | 2002-02-01 | 2010-04-27 | Novell, Inc. | Authentication cache and authentication on demand in a distributed network environment |
| SG108326A1 (en) * | 2002-10-16 | 2005-01-28 | Ntt Docomo Inc | Service verifying system, authentication requesting terminal, service utilizing terminal, and service providing method |
| JP2005236392A (ja) * | 2004-02-17 | 2005-09-02 | Hitachi Cable Ltd | VoIP認証システム |
| US20060085545A1 (en) * | 2004-05-06 | 2006-04-20 | Utstarcom, Incorporated | Session initiation protocol-based routing support apparatus and method |
| CN1716953B (zh) * | 2004-06-28 | 2010-09-15 | 华为技术有限公司 | 会话初始协议认证的方法 |
| JP2006072493A (ja) * | 2004-08-31 | 2006-03-16 | Ntt Docomo Inc | 中継装置及び認証方法 |
| DE102004051840A1 (de) * | 2004-10-25 | 2006-05-04 | Siemens Ag | Verfahren zum Anmelden eines mobilen Kommunikationsendgerätes gegenüber einem lokalen Netzwerk |
| JP4726466B2 (ja) * | 2004-11-15 | 2011-07-20 | パナソニック株式会社 | サービス提供システム、アプリケーションサーバおよび課金方法 |
| US7536722B1 (en) * | 2005-03-25 | 2009-05-19 | Sun Microsystems, Inc. | Authentication system for two-factor authentication in enrollment and pin unblock |
| JP4107436B2 (ja) * | 2005-07-08 | 2008-06-25 | 株式会社エヌ・ティ・ティ・ドコモ | 通信制御装置、通信制御方法 |
| CN100563246C (zh) * | 2005-11-30 | 2009-11-25 | 华为技术有限公司 | 一种基于ip的语音通信边界安全控制系统及方法 |
| JP4635855B2 (ja) * | 2005-12-13 | 2011-02-23 | 株式会社日立製作所 | データ通信方法およびシステム |
| US20070213078A1 (en) * | 2006-01-31 | 2007-09-13 | Interdigital Technology Corporation | Wireless communication method and system for supporting multicast bearer services over an ip multimedia subsystem |
| JP2008083859A (ja) * | 2006-09-26 | 2008-04-10 | Toshiba Corp | 仲介サーバ、通信仲介方法、通信仲介プログラム、および通信システム |
| EP2078236A4 (en) * | 2006-10-31 | 2013-12-18 | Redpoint Pty Ltd | INDUCTION OF BEHAVIOR DEFINED BY PART B IN PART A COMMUNICATIONS BY DISTRIBUTING USER INTERFACES |
| US8467290B2 (en) * | 2006-12-26 | 2013-06-18 | Ciena Corporation | Methods and systems for distributed authentication and caching for internet protocol multimedia subsystem and other session initiation protocol systems |
| US20080178273A1 (en) * | 2007-01-23 | 2008-07-24 | Elmar Weber | Automated Authentication Process for Application Clients |
| US20090013078A1 (en) * | 2007-07-03 | 2009-01-08 | 4Dk Technologies, Inc. | Optimized Signaling Protocol, Including Session Initiation Protocol (SIP), in a Communications Environment |
| US8689301B2 (en) | 2008-09-30 | 2014-04-01 | Avaya Inc. | SIP signaling without constant re-authentication |
-
2008
- 2008-09-30 US US12/242,105 patent/US8689301B2/en active Active
-
2009
- 2009-08-03 CN CN200910164429A patent/CN101714978A/zh active Pending
- 2009-08-04 GB GB0913599.7A patent/GB2463758B/en active Active
- 2009-09-08 JP JP2009207082A patent/JP5651313B2/ja active Active
- 2009-09-18 DE DE102009041805A patent/DE102009041805A1/de active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| CN1579068A (zh) * | 2002-09-02 | 2005-02-09 | 索尼株式会社 | 装置验证设备及方法、信息处理设备及方法和计算机程序 |
| CN1547324A (zh) * | 2003-12-16 | 2004-11-17 | 复旦大学 | 可编程逻辑单元结构 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2463758B (en) | 2012-11-21 |
| JP2010086529A (ja) | 2010-04-15 |
| JP5651313B2 (ja) | 2015-01-07 |
| GB0913599D0 (en) | 2009-09-16 |
| GB2463758A (en) | 2010-03-31 |
| US20100082977A1 (en) | 2010-04-01 |
| DE102009041805A1 (de) | 2010-04-01 |
| US8689301B2 (en) | 2014-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101714978A (zh) | 不进行持续的重新验证的sip信令 | |
| Saint-Andre | RFC 6120: extensible messaging and presence protocol (XMPP): core | |
| JP4927361B2 (ja) | ネットワーク・アクセスを制御するシステムおよび方法 | |
| US8613058B2 (en) | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network | |
| Saint-Andre | Extensible messaging and presence protocol (XMPP): Core | |
| CN100574193C (zh) | 转接第三方登陆的方法、系统及第三方网站、业务服务器 | |
| US20220217152A1 (en) | Systems and methods for network access granting | |
| KR101343039B1 (ko) | 인증 시스템, 방법 및 장치 | |
| US20120284786A1 (en) | System and method for providing access credentials | |
| CN104426656B (zh) | 数据收发方法及系统、消息的处理方法及装置 | |
| GB2433008A (en) | Establishing a secure communications channel wherein setup messages include information about the level of security on each link they traverse | |
| EP2347559A1 (en) | Service access control | |
| JP2007293760A (ja) | 個別認証を用いたシングルサインオン連携方法およびシステム | |
| CN112261022A (zh) | 一种基于api网关的安全认证方法 | |
| JP4870427B2 (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
| KR101326403B1 (ko) | 위임 오퍼레이션 수행을 위한 시스템 및 방법 | |
| US10979750B2 (en) | Methods and devices for checking the validity of a delegation of distribution of encrypted content | |
| WO2011063658A1 (zh) | 统一安全认证的方法和系统 | |
| US20220278980A1 (en) | Load balancing across certificates and certificate authorities | |
| JP4025734B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
| JP4583424B2 (ja) | 端末間の暗号化通信チャネルを構築するためのセッション管理装置、方法及びプログラム | |
| JP2010152619A (ja) | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム | |
| Alvarez‐Bermejo et al. | Blind signatures using light variations in CCD sensors as a pattern to avoid identity forging | |
| CN115885499A (zh) | 在设备处对通信伙伴进行认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100526 |