CN101796797A - 在ip多媒体子系统通信网络中处理信任的方法和设备 - Google Patents
在ip多媒体子系统通信网络中处理信任的方法和设备 Download PDFInfo
- Publication number
- CN101796797A CN101796797A CN200780100638A CN200780100638A CN101796797A CN 101796797 A CN101796797 A CN 101796797A CN 200780100638 A CN200780100638 A CN 200780100638A CN 200780100638 A CN200780100638 A CN 200780100638A CN 101796797 A CN101796797 A CN 101796797A
- Authority
- CN
- China
- Prior art keywords
- trust
- node
- designator
- level
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/147—Signalling methods or messages providing extensions to protocols defined by standardisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
- H04L65/1079—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在IP多媒体子系统通信网络中处理信任的方法。用于在IP多媒体子系统网络中处理信任的方法和设备。IP多媒体子系统网络中的节点接收(605)来自远程节点的会话启动协议消息。消息包括指示从远程节点发送到IP多媒体子系统节点的通信的信任级别的指示符。节点随后能将安全性策略应用(607)到消息,安全性策略通过指示符来确定。
Description
技术领域
本发明涉及在IP多媒体子系统通信网络中处理信任的领域。
背景技术
IP多媒体服务在相同会话内提供语音、视频、消息传递、数据等的动态组合。通过增大基本应用和可能组合的媒体的数量,向最终用户提供的服务数量将增大,并且人与人之间的通信体验将会变丰富。这将导致新一代的个性化、丰富多媒体通信服务。
IP多媒体子系统(IMS)是第三代合作伙伴项目(3GPP)为通过移动通信网络提供IP多媒体服务而定义的技术(3GPP TS 22.228、TS23.228、TS 24.229、TS 29.228、TS 29.229、TS 29.328和TS 29.329发行版5到8)。IMS通过使用标准化IMS服务使能器(IMS ServiceEnabler)来提供关键特性,以丰富最终用户人到人的通信体验,这促进基于IP的网络上新的、丰富的人到人(客户端到客户端)通信服务及人到内容(客户机到服务器)服务。IMS利用会话启动协议(SIP)来建立和控制用户终端(或用户终端与应用服务器)之间的呼叫或会话。SIP信令携带的会话描述协议(SDP)用于描述和协商会话的媒体组件。虽然SIP创建为用户到用户协议,但IMS允许运营商和服务提供商控制用户对服务的接入并相应地对用户计费。图1中示意示出IP多媒体子系统集成到3G移动通信系统中。
IMS认证和密钥协定(AKA)用于在诸如移动电话等用户设备(UE)101与IMS网络103中的代理呼叫会话控制功能(P-CSCF)102之间建立共享密钥。这允许通过使用具有预共享密钥的IP-Sec隧道,安全地加密UE 101与IMS网络103之间发送的信号。P-CSCF 101可位于如图2所示的归属公共陆地移动网络(PLMN)中或在如图3所示的受访PLMN中。归属PLMN 201是UE 202在其中注册的网络,而受访PLMN203是UE 202可附连到的网络。服务会话控制功能(S-CSCF)204位于归属PLMN 201中,并在UE加入网络时控制UE 202的认证和授权,例如,参见TS 33.203。
设想IMS将不仅应用到3GPP IMS网络,而且应用到诸如电信和因特网融合服务及高级网络协议(ETSI TISPAN)和PacketCable等非3GPP IMS网络,例如,参见ETSI ES 282 007和PKT-SP-23.228-I02-061013。然而,IMS的TISPAN和PacketCable部署不使用如3GPP IMS网络使用的IMS AKA。在某些情形中,授权TISPAN或PacketCable终端中的通用订户身份模块(USIM)或IP多媒体服务身份模块(ISIM)接入3GPP IMS网络对于这些接入技术是一个障碍。TISPAN和PacketCable已引入了其它安全性解决方案,如用于SIP的HTTP摘要(HTTP Digest)、网络附连子系统(NASS)-IMS捆绑认证和传输层安全性(TLS)。然而,这些安全性机制提供比IMS AKA更低的安全性级别。
期望3GPP IMS网络能够与TISPAN和PacketCable网络互通以改善可用于网络的用户的选择。为了允许此情况,IMS网络中的S-CSCF必须能够处理和支持不同接入技术之间的互通。这将允许使用不同接入技术的终端相互通信。
除了可使用例如3GPP、TISPAN和PacketCable的不同接入技术来接入IMS网络外,IMS网络也可使用诸如PSTN互连(例如,参见3GPP TS 23.002)、IMS互连(例如,参见3GPP TS 23.228)和因特网互连等互连技术来接入。注意:因特网互连不是一种指定的协议或系统,并且倾向于基于专有实现。这些允许接入非IMS网络的终端接入来自IMS网络的IMS服务。
不同类型的网络和接入技术使IMS网络面临来自不同网络的网络节点或终端的信令,其可能对相同IMS网络内的其它节点具有不同的信任级别。由于互连网络不可能具有有关与其互连的另一网络中使用的不同信任级别的任何知识,因此,对于IMS互连,这是一个突出的问题。互连网络将因此平等地处理所有进入业务。
在当前IMS网络中,只有一个给予信令的信任域,因此,消息受信任或不受信任。如果用于建立会话的SIP请求不受信任,则在SIP请求被转发到非受信任域前,从其去除SIP请求中包含的断言的用户身份P-Asserted-Id(参见RFC3325)。IMS网络运营商必须接受使用的更低安全性级别,例如,早期的IMS安全性(参见TR33.978)或HTTP摘要(参见RFC2617),或者不接受它并从请求去除任何断言的信息。
IMS提供极强的安全性,但在与其它接入技术和网络的互操作性增大时,则可能降低应用到IMS通信的安全性。这导致对于每个IMS用户的未经请求通信的增大风险,这是不令人满意的。它还能降低IMS被用于要求强安全性架构的服务的可能性,例如其中可对各个用户或用户群加密媒体流的IPTV。
发明内容
本发明人认识到在当前IMS网络中与信任级别相关联的问题,并且设计了解决方案以向IMS网络中的节点指示应给予信令的信任级别。通过在SIP消息中包括附加信息来扩展SIP协议,所述附加信息与消息的信任级别有关。这允许在网络之间的IMS会话中灵活地处理信任。信息元素可由网络中的不同实体添加、验证和实施。
根据本发明的第一方面,提供一种在IP多媒体子系统网络中处理信任的方法。IP多媒体子系统网络中的节点接收来自远程节点的会话启动协议消息。所述消息包括指示从远程节点发送到IP多媒体子系统节点的通信的信任级别的指示符。基于该指示符,节点将安全性策略应用到所述消息。
这具有的优点是节点能对于给予消息多少信任做出决定。当远程节点安置在可以不是IMS网络的另一网络中时,这可能特别有利。
SIP消息通常用于建立通信会话,因此,作为一种选择,安全性策略应用到与所述会话启动协议消息相关联的所有信令,如媒体。
作为一种选择,指示符是数字,在这种情况下,数字能直接映射到安全性策略。备选的是,指示符是描述,在这种情况下,描述映射到安全性策略。
作为一种选择,指示符包括多个指示符元素,每个指示符元素涉及远程节点与所述节点之间的信令路径中不同节点的信任级别。这允许在SIP消息沿到其目的地的路径经过不同节点时构造信任级别指示符,并且与经过的节点有关的信任信息能包括在信任级别指示符中。指示符元素可包括从其接收到SIP消息的网络的指示。
信任级别指示符可选地从可能影响应给予消息的信任级别的任何信息得出。此类信息包括用户终端类型、加密类型、网络类型、节点类型、最终用户认证机制和域内安全性机制。
作为一种选择,从去除P-Asserted-Identity报头、应用拓扑隐藏、禁止所述通信、允许所述通信无修改、根据可允许的消息源的数据库来过滤消息以及对涉及所述SIP消息的进入信令应用恶意软件检测中的任何项来选择应用的安全性策略。
在与应用此类策略相关的任何节点,可选地应用安全性策略。此类节点包括边界单元、应用服务器、用户设备和呼叫会话控制功能。
根据本发明的第二方面,提供一种用于在IP多媒体子系统网络中使用的节点。所述节点包括用于接收来自远程节点的会话启动协议消息的接收器。所述消息包括指示从远程节点发送到该节点的通信的信任级别的指示符。所述节点还包括用于将安全性策略应用到消息的处理器。所述安全性策略从指示符中包含的信息来确定。
此类节点用于基于指示符中包含的信息将安全性策略应用到消息。这具有的优点是允许根据节点给予消息的信任级别灵活地将安全性策略应用到消息。
节点可选地从用户设备、呼叫会话控制功能、边界单元和应用服务器之一来选择。
根据本发明的第三方面,提供一种用于在通信网络中使用的节点。所述节点包括用于收集信任级别信息的部件和用于基于信任级别信息来生成信任级别指示符的处理器。所述处理器还用于修改会话启动协议消息,使得所述会话启动协议消息包括信任级别指示符。所述节点还包括用于发送会话启动协议消息的传送器。
此类节点具有的优点是允许发送包含信任级别指示符的SIP消息。如上所述,信任级别指示符能用于确定应用到消息的安全性策略,并且允许根据网络给予消息的信任程度,灵活地将不同的安全性策略应用到消息。
所述处理器优选布置成通过将信任级别指示符元素添加到SIP消息中的现有信任级别指示符来修改所述现有信任级别指示符,信任级别指示符元素涉及其中安置所述节点的网络或所述节点的信任级别。
节点优选从用户设备、呼叫会话控制功能、边界单元和应用服务器之一来选择。
根据本发明的第四方面,提供一种在IP多媒体子系统网络中处理信任的方法。在网络节点收集信任级别信息,并且基于信任级别信息来创建信任级别指示符。随后,将信任级别指示符添加到会话启动协议消息。
创建或修改SIP消息以包括信任级别指示符的优点在于其它节点能基于信任级别指示符来确定应给予SIP消息或相关联消息多少信任,并在能应用到消息的安全性策略的类型方面提供灵活性。
作为一种选择,信任级别指示符添加到网络节点创建的新会话启动协议消息,或者添加到网络节点接收的现有会话启动协议。
信任级别信息可选地基于数据库信息、用户终端类型、加密类型、网络类型、节点类型、最终用户认证机制和域内安全性机制中的任何项。
附图说明
图1在框图中示意示出IP多媒体子系统集成到3G移动通信系统中;
图2在框图中示意示出当P-CSCF安置在受访网络中时用于IMS网络的安全性架构;
图3在框图中示意示出当P-CSCF安置在归属网络中时用于IMS网络的安全性架构;
图4示意示出根据本发明的实施例的消息格式的示例;
图5在框图中示意示出根据本发明的一个实施例的用于在通信网络中使用的节点;
图6是示出本发明的基本步骤的流程图;
图7在框图中示意示出始发IMS网络与终止IMS网络之间SIP消息的路由;以及
图8示意示出根据本发明的一个实施例的互连网络中的功能划分。
具体实施方式
通过将信任级别的指示引入信令中,IMS网络中的节点能查明什么信任级别被给予来自诸如用户设备(UE)等远程节点的信令。信任级别可取决于各种因素,例如UE处的安全性和从UE到IMS网络中节点的传输路径中不同节点处的安全性。
有几种方式能形成信任的指示。指示信任的第一种方式是用数字表示;例如,新信任级别可位于某个范围内,如1到10,其中,10指示的信任级别分配给完全受信任的接入技术或安全性机制,并且1指示的信任级别分配给接收信令的IMS节点不信任的接入技术。
IMS网络运营商可通过信任级别将支持不同接入技术和安全性机制的不同终端分类。表1是给予不同接入技术和安全性机制的信任级别的示例。
表1
| 终端 | 信任级别 |
| 信任信息=认证:IMS AKA,机密性:AES-CBC-128,完整性:HMAC-SHA1,域内安全性:NDS,终端安全性:Sony-Ericsson K800i,互连NW:信任的运营商 | 10 |
| 信任信息=认证:3GPP早期的IMS,机密性:无线电,完整性:无线电,域内安全性:物理,终端安全性:Sony-Ericsson K800i,互连NW:信任的运营商 | 6 |
| 信任信息=认证:HTTP摘要,机密性:TLS-AES-CBC-128,完整性:TLS-HMAC-SHA1-160,域内安全性:物理,终端安全性:住宅GW | 5 |
| 信任信息=认证:HTTP摘要,机密性:无,完整性:无,域内安全性:物理,终端安全性:PC | 2 |
通过上述数字示例,信任级别指示符只是数字。然而,不同的IMS网络运营商可根据其自己的安全性策略和风险评估,对能给予给定接入技术或安全性机制多少信任有不同的看法。这种情况下,信任指示符是描述性的而不是数字。信任指示符包括可影响应给予消息的信任级别的因素的描述。描述是标准化的,并且能由每个网络运营商映射到该网络运营商觉得正确的某个信任级别。因此,不同的IMS网络运营商可给予确切具有给定描述性信任级别指示符的信令不同的信任级别,但是信任级别指示符是标准化的,以便每个网络运营商能对要给予的信任级别采用其自己的看法。
以下元素可作为描述性信任级别指示符的部分包括在信令中:
●应用的最终用户网络接入安全性机制(如果可用)
●使用的最终用户IMS认证机制
●用于接入安全性的消息完整性保护
●用于接入安全性的消息机密性保护
●应用的域内安全性机制。
此外,还可能对发送到IMS网络的信令有益的是还包括以下信息(如果其可用):
●终端类型,即,使用什么类型的硬件和软件以及这是否能被证实。
●媒体安全性级别,即网络是否应用任何特定媒体安全性机制的指示。
●信令是否包括来自受信任AS或GW的网络生成的请求的指示。这对于“突然”呼叫有用,其中,代表用户生成请求的是网络。
●互连网络。这包括从其始发信令的网络的身份或信令进入终止网络前经过的网络的身份。这特别是在某个运营商与比该运营商自己的网络更不可靠的网络具有协定时使用,例如不具有强用户认证的纯因特网电话、PSTN网络等。
当IMS会话使用SIP信令建立时,有益的是在用于建立会话的SIP信令中包括信任级别指示符而不是发送单独的信令以提供信任信息。参照图4A,示意示出了SIP消息401的示例,其具有作为消息的部分的信任级别指示符402。
下面是包括信任级别指示符的SIP消息的示例:
INVITE sip:peter@company.com SIP/2.0
Via:SIP/2.0/UDP pcl.company.com;branch=sdher4ty56df
Max-Forwards:40
To:Peter<sip:peter@company.com>
From:Monica<sip:monica@company.com>;tag=123456789
Call-ID:762947fed38
TrustInfo:Authentication=HTTP Digest:Confidentiality=TLS-AES-CBC-128;
Integrity=TLS-HMAC-SHA1-160;
Contact:<sip:monica@pcl.company.com>
Content-Type:application/sdp
Content-Lengyh:167
<SDP contect...>
信任级别指示符无需是用于信令的单个指示符。信任级别指示符可由信任级别指示符元素来组成,这些元素在SIP消息经过不同节点到IMS网络中其目的地时由那些节点确定并添加到信任级别指示符。如图4B所示,信任级别指示符403可由P-CSCF添加,包括描述使用什么类型的机密性和完整性保护的信任级别指示符元素TL1404。S-CSCF可添加描述已成功应用的认证机制的信任级别指示符元素TL2405。互连功能可添加信任级别指示符元素TL3 406,其标识从其接收SIP消息的网络。以此方式,当SIP消息401在IMS网络中终止前经过不同节点时构造信任级别指示符403。
参照本文中的图5,示意示出根据本发明的一个实施例的用于在通信网络中使用的节点。节点501包括用于接收SIP消息的接收器502、用于分析收到的SIP消息并修改它以包括信任级别指示符的处理器503。处理器可访问数据库504以获得要包括在信任级别指示符中的信息。此数据库可位于远程位置,或者可安置在节点内。用于信任级别指示符的信息也可从图5中未示出的其它收集源接收。在SIP消息包含给定信任级别指示符的情况下,数据库504还可包括将信任级别指示符映射到要应用的安全性策略的映射数据库。对于消息不在节点终止的情况,节点501还包括用于转发修改的SIP消息的传送器505。节点的功能可以位于处理消息的任何或所有节点,包括用户设备、应用服务器、呼叫会话控制功能以及边界或互连单元。
SIP消息中的信任级别指示符可由IMS网络中的节点用于将安全性策略应用到与SIP消息相关联的任何信令。例如,SIP消息可用于在两个UE之间建立媒体流,并且基于该SIP消息中的信任级别指示符,可将安全性策略应用到该媒体流。
图6中示出本发明的一个实施例的基本步骤的流程图。为了创建信任级别指示符,在节点收集(601)信任级别信息。节点基于收集的信息创建(602)信任级别指示符。信任级别指示符应用(603)到新SIP消息或者添加到现有SIP消息,之后消息被发送(604)到IMS节点。可能在与节点处于不同网络中的IMS节点从节点接收(605)SIP消息。SIP消息包含信任级别指示符,并且IMS节点将指示符(其可以是数字和描述,并且可由多个信任级别指示符元素来组成)映射(606)到安全性策略。随后,安全性策略应用(607)到消息和相关联的信令,安全性策略通过信任级别指示符来确定。
在一些情况下,IMS网络运营商与其它IMS运营商具有漫游和互连协定。在这种情况下,IMS运营商与另一IMS运营商就某个信任级别达成协定,使得从或经该运营商接收到的任何业务将最多具有协定的信任级别,或者换而言之,将得到已应用安全性机制的某个定义的集合的保证。在漫游合作伙伴的情况下,例如,在P-CSCF由另一运营商分配给用户的情况下,该另一运营商网络可能不支持相同的安全性机制。在这些情况下,当用户漫游时,他们可能在被给予低于其归属网络的信任级别的网络中。类似地,用户可在给予用户的归属网络低信任级别的受访网络中漫游。这种情况下,受访和归属网络的任一个或两者可将安全性策略应用到在受访与归属网络之间传递的信令。由不同网络实体包括在信任级别指示符中的附加信息元素在协商和实施正确的信任级别和一致的安全性策略中使用。
有几种情况中可使用信任级别指示符,并且基于信任级别指示符来实施安全性策略。这些情况的示例如下:
●在实施运营商范围的安全性策略的边界或互连单元,信任级别指示符用于执行进入业务的广泛过滤。
●在应用服务器(AS),信任级别指示符用于执行特定服务行为(或禁止某个服务行为)。例如,如果应用服务器认为消息具有低信任级别,则可能应用特定的内容过滤以查看消息是否包括一些病毒、垃圾邮件等。另外,可能禁用特殊的收费服务(如DRM内容的音乐下载)以确保这些内容只发送到“受信任”源。AS可代表用户来动作以进行基于用户的监管(policing)。
●在最终用户终端,其中信任级别指示符可用于执行进入业务的特定处理或者将有关进入业务的信任级别通知最终用户。例如,可能对照“垃圾邮件”列表来检查具有低信任级别的进入呼叫,或者甚至在用户希望完全阻止此类业务时阻止它。
如图7所示,在SIP消息经过“始发IMS网络”701和“终止IMS网络”702两个域时,路由到域为从某个域接收的所有SIP请求做出静态决定。如果信任级别低于以前已协商并在漫游和互连协定中定义的某个级别,则要求适当的动作。对于不具有足够信任的信任级别指示符的SIP消息,适当的动作可以是去除P-Asserted-Identity报头,或者可应用拓扑隐藏,或者可简单地禁止SIP消息。这要求为边界实体提供域之间的协定,例如,在运营商之间签署漫游和/或互连协定时达成的协定。
当始发IMS网络701授权SIP请求时,始发IMS网络701将信任级别指示符添加到SIP请求。在SIP请求被发送到另一终止IMS网络702时,终止IMS网络702检查信任级别指示符,并确保它在与两个网络之间协定的最小信任级别相同或更高的信任级别。终止IMS网络边界单元也可添加附加的信任信息,如它从哪个网络收到该消息。随后,将SIP请求路由到用户设备(UE)703和其它实体(例如应用服务器AS)704,其使用信任级别指示符来决定是否信任SIP请求中包括的信息(例如,P-Asserted-Identity报头)。
如果始发IMS网络701不支持信任级别指示符所指示的安全性机制,则发送到终止IMS网络702的SIP请求将不包括任何信任信息。终止IMS网络702随后基于与始发IMS网络的漫游或互连协定,对应该给予该SIP请求哪个信任级别采取静态决定。
如图8所示的特殊互连网络801可在两个或更多运营商之间用于将业务路由到正确的终止网络(这经常是为了避免世界上每个运营商之间的双边协定)。例如,两个运营商可以是归属网络802的运营商和另一IMS网络803的单独运营商。这种情况下,对不同边界单元804、805有益的是添加边界单元已经从其接收到消息的网络的指示。通过这样做,终止IMS网络的边界单元804、805随后能确保基于收到的信任信息和消息已经过哪些以前的网络来使用策略。
应用服务器也能利用信任级别指示符。能应用基于信任级别指示符的对于服务的特殊预订,例如,在用户只希望接收被给予某个信任级别的SIP消息的情况下。此类服务能在AS中实现。AS能从HSS 205检索预订信息(备选的是,信任级别指示符从UE经Ut接口来发送),并且如果SIP请求具有比用户要求的信任级别更低的信任级别指示符,则可给予该SIP请求特殊处理,例如忽略、登记、拒绝、转发到语音邮件等。
其中能使用此处理的一个可行示例是在处理未经请求的通信的服务(SPAM/SPIT过滤器)中,所述服务因此可根据收到的SIP消息的信任级别指示符来应用不同的策略。此类策略的示例如下:
● 如果从因特网互连收到SIP消息,则始终应用严格过滤,
只允许来自用户配置的白名单中用户身份的进入呼叫,并
且还对进入业务应用反恶意软件检测;
● 如果SIP消息从IMS网络收到,使用NBA或摘要认证,
则对进入分组应用反恶意软件保护,并且每分钟只允许一
定数量的呼叫;
● 如果SIP消息从IMS网络收到,具有IMS AKA使用和“受
信任终端”,则不应用任何特殊的安全性规则。
UE也能不同地利用信任级别指示符。此类利用的示例包括如下:
●向用户呈现(得出的)信任级别(对于特定IMS通信),用户随后能决定是接受呼叫、还是向远程用户询问多个问题(以确保该远程用户是“正确的”用户,这可用于进入和外出呼叫);
●如果应用允许,则执行附加的认证;
●执行对于呈现给用户的呼叫的数量的过滤,或者直接将呼叫转发到例如语音邮件。
如果UE是处理多个装置的网关(如归属IMS网关或住宅网关RGW,例如,参见ETSI TS 187 003),则信任级别指示符能用于决定专用网络中哪个实体应该得到进入请求。
目前,有一种认识是IMS网络中的信任和安全性是同类且完全双边的,并且其中最小安全性级别是IMS网络中允许的最不安全的安全性机制。通过将信任级别指示符引入IMS网络,处理IMS通信的实体能注意到它们能依赖SIP消息中接收的信息的程度。这限制了未经请求通信的风险,从而给出要求安全性架构的服务由于IMS嵌入的安全性而将采用IMS的更高可能性。这还确保能避免当前的双边安全性级别(即,两个通信方必须彼此信任达到相同级别)。
虽然不同的实施例已详细描述和示出,但权利要求不限于任一特定实施例或示例。上述说明均不应理解为暗示任何特定单元、步骤、范围或功能是必需的,使得它必须包括在权利要求的范围中。专利主题的范围只由权利要求来定义。法律保护的程度由允许的权利要求中记载的文字及其等效物来定义。
Claims (18)
1.一种在IP多媒体子系统网络中处理信任的方法,所述方法包括:
在所述IP多媒体子系统网络中的节点,接收来自远程节点的会话启动协议消息,所述消息包括指示从所述远程节点发送到所述IP多媒体子系统节点的通信的信任级别的指示符;以及
将安全性策略应用到所述消息,所述安全性策略通过所述指示符来确定。
2.如权利要求1所述的在IP多媒体子系统网络中处理信任的方法,其中所述远程节点是安置在另一网络中的节点。
3.如权利要求1或2所述的在IP多媒体子系统网络中处理信任的方法,还包括将所述安全性策略应用到与所述会话启动协议消息相关联的所有信令。
4.如权利要求1、2或3所述的在IP多媒体子系统网络中处理信任的方法,其中所述指示符是数字,所述方法还包括将所述数字映射到安全性策略。
5.如权利要求1、2或3所述的在IP多媒体子系统网络中处理信任的方法,其中所述指示符是描述,所述方法还包括将所述描述映射到安全性策略。
6.如权利要求5所述的在IP多媒体子系统网络中处理信任的方法,其中所述指示符包括多个指示符元素,每个指示符元素涉及所述远程节点与所述节点之间的信令路径中不同节点的信任级别。
7.如权利要求6所述的在IP多媒体子系统网络中处理信任的方法,其中指示符元素包括从其接收到所述SIP消息的网络的指示。
8.如前面权利要求任一项所述的在IP多媒体子系统网络中处理信任的方法,其中根据从用户终端类型、加密类型、网络类型、节点类型、最终用户认证机制和域内安全性机制中任何项选择的信息来确定所述信任级别指示符。
9.如前面权利要求任一项所述的在IP多媒体子系统网络中处理信任的方法,其中从去除P-Asserted-Identity报头、应用拓扑隐藏、禁止所述通信、允许所述通信无修改、根据可允许的消息源的数据库来过滤所述消息以及对涉及所述SIP消息的进入信令应用恶意软件检测中的任何项来选择所应用的安全性策略。
10.如前面权利要求任一项所述的在IP多媒体子系统网络中处理信任的方法,其中在边界单元、应用服务器、用户设备和呼叫会话控制功能之一应用所述安全性策略。
11.一种用于在IP多媒体子系统网络中使用的节点,所述节点包括:
接收器,用于接收来自远程节点的会话启动协议消息,所述消息包括指示从所述远程节点发送到所述IP多媒体子系统节点的通信的信任级别的指示符;以及
处理器,用于将安全性策略应用到所述消息,所述安全性策略通过所述指示符来确定。
12.如权利要求11所述的节点,其中从用户设备、呼叫会话控制功能、边界单元和应用服务器之一来选择所述节点。
13.一种用于在通信网络中使用的节点,所述节点包括:
部件,用于收集信任级别信息,
处理器,用于在所述信任级别信息的基础上生成信任级别指示符,以及用于修改会话启动协议消息,使得所述会话启动协议消息包括所述信任级别指示符;
传送器,用于发送所述会话启动协议消息。
14.如权利要求13所述的节点,其中所述处理器布置成通过将信任级别指示符元素添加到会话启动协议消息中的现有信任级别指示符来修改所述现有信任级别指示符,所述信任级别指示符元素涉及其中安置所述节点的网络或所述节点的信任级别。
15.如权利要求13和权利要求14所述的节点,其中从用户设备、呼叫会话控制功能、边界单元和应用服务器之一来选择所述节点。
16.一种在IP多媒体子系统网络中处理信任的方法,所述方法包括:
在网络节点,收集信任级别信息;
从所收集的信任级别信息,创建信任级别指示符;以及
将所述信任级别指示符添加到会话启动协议消息。
17.如权利要求16所述的在IP多媒体子系统网络中处理信任的方法,其中将所述信任级别指示符添加到所述网络节点创建的新会话启动协议和所述网络节点接收的现有会话启动协议之一。
18.如权利要求16或17所述的在IP多媒体子系统网络中处理信任的方法,其中所述信任级别信息是基于数据库信息、用户终端类型、加密类型、网络类型、节点类型、最终用户认证机制和域内安全性机制中的任何项。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2007/059680 WO2009033504A1 (en) | 2007-09-14 | 2007-09-14 | Methods and apparatuses for handling trust in an ip multimedia subsystem communication network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101796797A true CN101796797A (zh) | 2010-08-04 |
Family
ID=39731267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780100638A Pending CN101796797A (zh) | 2007-09-14 | 2007-09-14 | 在ip多媒体子系统通信网络中处理信任的方法和设备 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP2201745B1 (zh) |
| JP (1) | JP5069353B2 (zh) |
| CN (1) | CN101796797A (zh) |
| BR (1) | BRPI0721903A2 (zh) |
| CA (1) | CA2699441A1 (zh) |
| WO (1) | WO2009033504A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107251515A (zh) * | 2015-02-17 | 2017-10-13 | 瑞典爱立信有限公司 | Ip多媒体子系统网络中的位置信息提供 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101333164B1 (ko) | 2009-04-13 | 2013-11-27 | 블랙베리 리미티드 | Sip 메세지에 대한 신뢰를 결정하는 시스템 및 방법 |
| CN107566115B (zh) | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
| US20070113086A1 (en) * | 2004-09-23 | 2007-05-17 | Yingxin Huang | Method for selecting the authentication manner at the network side |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4101215B2 (ja) * | 2004-08-06 | 2008-06-18 | キヤノン株式会社 | セキュリティポリシー設定方法 |
| US20070186101A1 (en) * | 2006-02-06 | 2007-08-09 | Nokia Corporation | Trust concept for the SIP reason header |
-
2007
- 2007-09-14 JP JP2010524359A patent/JP5069353B2/ja not_active Expired - Fee Related
- 2007-09-14 WO PCT/EP2007/059680 patent/WO2009033504A1/en active Application Filing
- 2007-09-14 BR BRPI0721903-2A patent/BRPI0721903A2/pt active Search and Examination
- 2007-09-14 CN CN200780100638A patent/CN101796797A/zh active Pending
- 2007-09-14 CA CA2699441A patent/CA2699441A1/en not_active Abandoned
- 2007-09-14 EP EP07820199.3A patent/EP2201745B1/en not_active Not-in-force
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070113086A1 (en) * | 2004-09-23 | 2007-05-17 | Yingxin Huang | Method for selecting the authentication manner at the network side |
| CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
Non-Patent Citations (1)
| Title |
|---|
| C. JENNINGS等: "《RFC3325》", 30 November 2002 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107251515A (zh) * | 2015-02-17 | 2017-10-13 | 瑞典爱立信有限公司 | Ip多媒体子系统网络中的位置信息提供 |
| CN107251515B (zh) * | 2015-02-17 | 2021-03-26 | 瑞典爱立信有限公司 | Ip多媒体子系统网络中的位置信息提供 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2201745B1 (en) | 2018-06-13 |
| JP5069353B2 (ja) | 2012-11-07 |
| EP2201745A1 (en) | 2010-06-30 |
| JP2010539761A (ja) | 2010-12-16 |
| CA2699441A1 (en) | 2009-03-19 |
| WO2009033504A1 (en) | 2009-03-19 |
| BRPI0721903A2 (pt) | 2014-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9900347B2 (en) | Handling trust in an IP multimedia subsystem communication network | |
| US8929360B2 (en) | Systems, methods, media, and means for hiding network topology | |
| Keromytis | A comprehensive survey of voice over IP security research | |
| ES2390988T3 (es) | Gestión de mensajes en un subsistema multimedia IP | |
| US20040193920A1 (en) | Service provisioning in a communication system | |
| KR100928247B1 (ko) | 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 | |
| KR20110030404A (ko) | 통신 네트워크 통합 방법 및 통신 시스템 | |
| US9420018B2 (en) | End-to-end address transfer | |
| Rudolph et al. | Security challenges of the 3gpp 5g service based architecture | |
| US20150150076A1 (en) | Method and device for instructing and implementing communication monitoring | |
| Hunter et al. | Security issues with the IP multimedia subsystem (IMS) | |
| CN101796797A (zh) | 在ip多媒体子系统通信网络中处理信任的方法和设备 | |
| WO2007112642A1 (fr) | Procédé et dispositif de mise en place d'un service d'identificateur multimédia d'utilisateur | |
| Ahmadzadegan et al. | Secure communication and VoIP threats in next generation networks | |
| WO2007056925A1 (fr) | Procede et materiel de controle de session dans un reseau ims | |
| Jesske et al. | Private Header (P-Header) Extensions to the Session Initiation Protocol (SIP) for the 3GPP | |
| Sher | Secure service provisioning (SSP) framework for IP multimedia subsystem (IMS) | |
| ES2668772T3 (es) | Método para la generación de una ontología informática, producto de programa informático configurado para implementar las operaciones de dicho método y equipo informático configurado para ejecutar dicho producto de programa informático | |
| Belmekki et al. | Efficient light model for securing IMS network | |
| EP2367319A1 (en) | Improved method and devices for charging | |
| Maachaoui et al. | Model-based security analysis for IMS network | |
| Baba et al. | Web-IMS convergence architecture and prototype | |
| EP2104307A1 (en) | Secure user-specific information transmission to a personal network server | |
| Sher et al. | IMS—A Secure Architecture for All IP Networks | |
| Rescorla | Proposed WebRTC security architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100804 |
|
| RJ01 | Rejection of invention patent application after publication |