CN102160331A - 用于为ims网络的终端提供防火墙的方法及防火墙系统 - Google Patents
用于为ims网络的终端提供防火墙的方法及防火墙系统 Download PDFInfo
- Publication number
- CN102160331A CN102160331A CN2009801363809A CN200980136380A CN102160331A CN 102160331 A CN102160331 A CN 102160331A CN 2009801363809 A CN2009801363809 A CN 2009801363809A CN 200980136380 A CN200980136380 A CN 200980136380A CN 102160331 A CN102160331 A CN 102160331A
- Authority
- CN
- China
- Prior art keywords
- terminal
- firewall system
- identification information
- firewall
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种在IMS网络中为终端提供防火墙的方法以及防火墙系统。所述方法包括:在IMS网络中设置防火墙系统;当防火墙系统接收到来自网络单元的为终端提供防火墙的请求时,获取所述终端的标识信息;将防火墙系统的标识信息发送给终端以及相关的网络单元;由防火墙系统管理所述终端和其他网络单元之间的至少部分通信活动,其中,所述其他网络单元包括IMS网络中的网络单元和/或将经由IMS网络与所述终端通信的网络单元。
Description
用于为 IMS网络的终端提供防火墙的方法及防火墙系统
技术领域
本发明涉及网络通信, 更具体地, 涉及用于增强 IMS网络中的终端的 通信安全的方法及系统。 背景技术
随着各种类型的网络的普及, 人们变得越来越多地依赖网络进行通信 和获取各种资源。 然而, 在基于网络的众多技术迅速发展的同时, 网络犯 罪层出不穷, 网络的安全性引起了人们的广泛关注。 实践中, 对于大多数 的网络犯罪, 不仅仅是以数据拦截的方式进行的, 而是犯罪者通过网络入 侵, 获取对数据的非授权访问, 甚至改变数据、 损坏数据、 进行网络资源 的非授权使用等。 显然, 这对用户来说, 数据的私密性、 通信安全性都受 到了极大的威胁。
为了防止网络资源受到网络攻击,提出了防火墙来保证网络的安全性。 通过防火墙的使用, 来实现对数据的保护并确保网络资源免受可能的网络 入侵者的破坏。 成功的防火墙可以在允许网络单元与其他通信节点进行通 信和交互的同时,保证网络单元不会遭受来自网络的攻击或非授权查询等。
为了满足用户对网络业务的日益多样化的需求, 3GPP在 Release 5规 范中提出了 IMS系统(IP Multimedia Subsystem, IP多媒体子系统) 。 该系统建立了与接入无关、基于开放的 SIP/IP协议以及支持多种多媒体业 务类型的平台, 以便提供更加丰富的业务。 它将蜂窝移动通信网络、 传统 固定网络和因特网等多种技术有机地结合起来,为未来的基于全 IP网络多 媒体应用提供了一个通用的业务智能平台, 也为未来网络发展过程中的网 络融合提供了技术基础。 IMS的诸多特点使得其成为解决未来网络融合的 理想方案和发展方向。
由于 IMS网络与互联网相连接, 基于 IP协议和开放的网络架构可以
将多种不同业务, 通过采用多种不同的接入方式来共享业务平台, 增加了 网络的灵活性和终端之间的互通性。 然而, 这是由于 IMS是建立在 IP基 础上, 使得 IMS的安全性要求比传统运营商在独立网络上运营要高的多, 不管是由移动接入还是固定接入, IMS的安全问题都不容忽视。 因此, 对 于 IMS网络中的通信终端来说, 作为与公共网络通信和交互的网络单元, 拥有自己的防火墙是至关重要的, 以确保其免受攻击和非授权访问。但是, 并不是所有的 IMS终端都具有足够的存储空间和计算能力来运行防火墙。 并且即使已经安装了个人防火墙系统, 对于终端来说, 防火墙的维护也是 一个问题, 例如, 防火墙是否被实时更新、 是否被正确地配置、 防火墙系 统是否足够强大等等。 而且, 维护网络安全配置对于 IMS用户, 特别是对 于那些不具有足够的相关知识的用户来说, 意味着较大的工作负担: 这不 仅仅要花费用户较多的时间和精力, 而且还要求用户对于网络安全, 至少 是对防火墙的使用具有足够的相关知识。
此外, 电信网络比普通的计算机网^有更多的移动设备 (例如手机, PDA等)是熟知的。 然而, 与 PC不同, 这些移动设备往往缺少足够的资 源(如 CPU, 存储器等)来运行高性能的防火墙, 而且, 很多遗留的接入 设备, 比如陈旧的电话设备,不具备安装防火墙软件 /硬件的条件。事实上, 这种移动设备更需要解决安全上的隐患。 因此, 在保护 IMS网络中的终端 的安全性的同时, 如何尽可能的减轻 IMS终端用户运行防火墙、 配置防火 墙的负担, 是亟待解决的问题。 发明内容
为了解决上述问题,本发明提供了为 IMS网络中的终端提供防火墙的 方法, 以及为 IMS网络终端提供安全保障的防火墙系统, 以减轻 IMS网 络终端运行或配置防火墙的负担, 甚至完全消除这样的负担。
根据本发明的一个方面,提供了一种在 IMS网络中为终端提供防火墙 的方法, 包括步骤:
在 IMS网络中设置防火墙系统;
当防火墙系统接收到来自网络单元的为终端提供防火墙的请求时, 获 取所述终端的标识信息;
将防火墙系统的标识信息发送给终端以及相关的网络单元;
由防火墙系统管理所述终端和其他网络单元之间的至少部分通信活 动,其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
可选地, 所述网络单元为 S-CSCF或其信任方。
其中,所述终端和防火墙系统的标识信息包括其 IP地址、 MAC地址、 用户 ID、 防火墙序号等或上述信息的任意组合。
可选地, 由防火墙系统向发出请求的网络单元或其信任方发送其标识 信息, 再由发出请求的网络单元或其信任方向所述终端发送其标识信息, 或者由防火墙系统分别向发出请求的网络单元或其信任方、 以及所述终端 发送其标识信息, 或者防火墙系统向发出请求的网络单元或其信任方、 以 及所述终端两者之一发送起标识信息。
可选地, 由发出请求的网络单元或其信任方向所述终端以及相关的网 络单元发送防火墙系统的标识信息。 可选地, 所述发送可以是向所述防火 墙系统发送所述请求消息时 /之后, 或判断出向所述防火墙系统发送所述请 求消息时 /之后。
可选地,缺省设置为一旦所述终端进入 IMS网络并发起注册请求或会 话请求, 发出请求的网络单元或其信任方便向所述防火墙系统发出为终端 提供防火墙的请求。
可选地, 当所述终端进入 IMS网络并发起注册请求或会话请求时, 在 注册请求或会话请求中携带是否需要为其提供防火墙、 或者需要所述防火 墙系统提供特定服务的标识信息。
可选地, 由发出请求的网络单元或其信任方来识别所述终端发送的请 求中携带的标识信息, 如果所述标识信息指示不需要为所述终端提供防火 墙, 则发出请求的网络单元或其信任方不发送为终端提供防火墙的请求。
可选地,由防火墙系统来识别所述终端发送的请求中携带的标识信息,
如果所述标识信息指示不需要为所述终端提供防火墙, 则防火墙系统不为 所述终端提供防火墙 务。
可选地,由防火墙系统来识别所述终端发送的请求中携带的标识信息, 如果所述标识信息指示需要为所述终端提供特定的防火墙服务, 则防火墙 系统为所述终端提供所需要的特定的防火墙服务。
可选地, 所述特定的防火墙 J! 务为, 管理所述终端与所述其他网络单 元之间的全部通信活动, 或者管理所述终端与所述其他网络单元之间的部 分通信活动。
优选地, 所述防火墙系统为所述终端提供配置模块, 终端通过配置模 块能够设置所述防火墙不管理、 部分管理或完全管理其于所述其他网络单 元之间的通信活动。
优选地, 所述部分通信活动可以是按照通信协议的类型, 其他网络单 元所处的位置区域, 所述终端所要访问的资源 /被访问的资源的类型、 安全 级别的高低、 敏感程度、 私密程度等进行划分。
根据本发明的一个方面,提供了一种 IMS网络中的防火墙系统,包括: 通信接口, 用于收发信息;
信息获取模块, 当经由通信接口接收到来自发出请求的网络单元的为 终端提供防火墙的请求时, 获取所述终端的标识信息;
通信管理模块, 用于在接收到所述标识信息后, 将防火墙系统的标识 信息经由所述通信接口发送给所述终端和 /或相关的网络单元, 并管理所述 终端和其他网络单元之间的至少部分通信活动;
其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
根据本发明的另一方面,提供了一种 IMS网络中的防火墙系统,包括: 通信接口, 用于收发信息;
信息获取模块, 当经由通信接口接收到来自网络单元的为终端提供防 火墙的请求时, 获取所述终端的标识信息;
通信管理模块, 用于在接收到所述标识信息后, 以及所述网络单元或
其信任方将防火墙系统的标识信息提供给所述终端和 /或相关的网络单元 后, 管理所述终端和其他网络单元之间的至少部分通信活动;
其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
其中, 由通信管理模块来识别所述请求中携带的终端是否需要防火墙 服务和 /或是否需要特定的服务的标识信息, 如果识别出所携带的标识信息 指示不需要为所述终端提供防火墙, 则所述防火墙系统不为所述终端提供 防火墙服务, 如果需要为所述终端提供特定的服务, 则为所述终端提供特 定的服务。
优选地, 所述防火墙系统还包括配置模块, 用于为所述终端用户提供 配置功能。
根据本发明的另一方面, 还提供了一种 IMS网络中的防火墙系统, 用 于在接收到来自网络单元的为终端提供防火墙的请求时, 获取所述终端的 标识信息, 并管理所述终端和其他网络单元之间的至少部分通信活动, 其 中, 所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络 与所述终端通信的网络单元。
根据本发明的另一方面,还提供了一种 IMS网络中的网络单元,包括: 通信接口, 用于收发信息;
业务控制模块, 用于当接收到来自终端的消息时, 判断终端是否需要 防火墙服务, 如果需要, 则向防火墙系统发送为所述终端提供防火墙服务 的请求消息;
通信控制模块, 用于当其通过通信接口接收到来自防火墙系统的标识 防火墙系统的标识信息时, 向所述终端发送所述标识信息, 或者用于在判 断出需要发送所述请求消息后, 将存储的所述防火墙系统的标识信息发送 给所述终端; 并且将所有发往所述终端的信息发送给所述防火墙系统, 而 不是所述终端。
其中, 所述网络单元可以通过软件、 硬件或其组合来实现。
根据本发明的另一方面,提供了一种用于接入 IMS网络的终端,包括:
通信接口, 用于收发信息;
标识信息获: 莫块, 当经由通信接口接收到来自网络单元或防火墙系 统的包括有防火墙标识信息的消息时, 获取所述标识信息;
通信管理模块, 用于在获取所述标识信息后, 每当需要与其他网络单 元通信时, 将相应的通信信息经由所述防火墙系统发送给所述其他网络单 元,其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
根据本发明的另一方面, 还提供了一种 IMS网络系统, 包括: 接入 IMS网络的终端, 当其进入 IMS网络时^ ^注册请求或会话请 求;
网络单元, 当其接收到所述注册请求或会话请求时, 向防火墙系统发 送为终端提供防火墙的请求;
防火墙系统, 当其接收到所述请求时, 获取所述终端的标识信息; 并 管理所述终端和其他网络单元之间的至少部分通信活动, 其中, 所述其他 网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通 信的网络单元。
根据本发明的另一方面, 还提供了一种 IMS网络系统, 包括如上文所 述的 IMS网络的终端、 IMS网络中的网络单元以及防火墙系统。
根据本发明的另一方面, 还提供了一种计算机程序产品, 其包括用于 执行上述任一方法, 或用于执行上述任一防火墙系统或网络单元或终端的 可执行代码。
根据本发明的方法和防火墙系统,能够实现保护 IMS终端和网络间的 业务的安全性的同时, 极大地减轻 IMS终端用户的负担, 甚至完全消除这 样的负担。对于已经运行了防火墙的 IMS终端, 可以利用本发明的方法和 系统为其提供双重防火墙的安全保障, 也可以通过使用本发明来为其提供 增值服务, 例如辅助更新、 协助配置等等, 从而减轻其负担。 而对于没有 足够的存储空间和计算能力来运行防火墙的 IMS终端, 或者对于如何维 护、 配置防火墙没有足够知识的用户, 可以选择由本发明的防火墙系统为
其提供安全保障, 从而彻底消除了终端上的负担。 无论是哪种情况, 由于 本发明提供的防火墙是部署在 IMS网络中的独立于 IMS终端的系统, 所 以不使用用户设备上的任何资源。 并且由于维护工作已经由服务提供商负 责, 所以不再需要进行任何的维护工作。 而且, 与 IMS终端上运行的防火 墙相比, 防火墙系统可以具有更强大的功能并且实时更新, 从而可以更好 的保护 IMS终端的通信安全。 附图说明
通过参考附图阅读下面的详细描述, 将会更好地理解本发明。 但是, 应当注意, 附图中所示的网络环境、 方法流程以及本说明书文字部分中的 实例均为示例性的, 目的仅在于对本发明的基本思想进行解释, 而不应当 皮视为对本发明的限制。 其中:
图 1示出了根据本发明的实施例的为 IMS终端提供防火墙系统的网络 架构;
图 2示出了根据本发明的实施例的防火墙系统的示例性结构; 图 3示出了根据本发明的实施例的 IMS网络中的 S-CSCF的示例性结 构;
图 4示出了根据本发明的实施例的 IMS终端的示例性结构;
图 5示出了根据本发明的实施例的 IMS终端进入 IMS网络时发起注 册或会话的流程图。 具体实施方式
根据本发明的思想,图 1示出了一个为 IMS终端提供防火墙系统的示 意性网络架构。 由图 1可见, 用户设备 UE经过接入网来访问 IMS网络。 其中, 用户设备 UE可以是任何具备通信能力的终端, 例如诸如台式机的 固定终端, 诸如 PDA (个人数字助理) 、 手机、 笔记本电脑、 便携式通信 设备等移动终端。 其中, 接入网可以为 IP-CAN ( IP连通接入网) , 例如 GPRS ( GSM/UMTS网络中)、 ADSL (非对称数字用户线路中)或 WLAN
(无线局域网中) 。 而且, 图 1示出的 IMS网络可以包括各种网络单元, 例如 P-CSCF( Proxy CSCF,代理 CSCF )、 I-CFCS ( Interrogating CSCF, 查询 CSCF )、 S-CSCF ( Serving CSCF,服务 CSCF )、其他通信节点(例 如路由器、 交换机等)等。 此外, 图 1还示出与 IMS网络耦合的因特网或 其他公共网络, 其中, 所述其他公共网络可以是任何可与 IMS网络连接, 并可经由 IMS网络访问的任何类型的网络。
而且, 在图 1所示的网络架构中, 在 IMS网络引入了防火墙系统, 并 由该防火墙系统来保护 IMS终端。 一旦 IMS终端注册到 IMS网络或者一 旦 UE向 IMS网络中的相关部件(例如 P-CSCF )发起^ ^请求,并且 UE 具有获得本发明的防火墙系统提供的服务的权限,则 IMS网络中的防火墙 系统为 UE的通信会话和资源提供安全保障。 通常情况下, 可以设置为缺 省设置是注册到 IMS网络的所有用户设备都拥有该服务。 也就是说, 默认 防火墙系统管理所有 IMS终端的所有有关安全的事项。对于拥有该项服务 的用户设备, 在 UE和其他通信设备之间的所有通信会话 /连接都将由防火 墙系统来管理。 该其他通信设备包括:
IMS网络中的相关的网络单元, 即, UE和其他通信节点建立会话 /连 接时,根据所使用的网络规范 /协议 /应用时的具体设置,通常会涉及到的必 要的网络单元。 例如 P-CSCF、 I-CSCF、 S-CSCF等。
IMS网络中的其他网络单元, 即, 要与 UE进行通信的通信方。 相对 于前述 "相关的网络单元" 来说, 也可将其称为 "不相关的网络单元" , 即 UE和其他通信节点建立会话 /连接时, 根据特定的网络规范 /协议 /具体 的设置, 通常是不必涉及的网络单元(当然, 这里的 "不必涉及的" 并非 是绝对的, 例如, 当 UE想要与 S-CSCF通信时, 显然, S-CSCF也是所 谓的 UE的通信方)
将经由 IMS网络与 UE通信的网络单元, 例如来自图 1中的因特网、 公共网络。
换句话说, 防火墙系统在 IMS网络中充当 UE的代理, 使得任何来自 UE的信息都首先经过防火墙系统, 然后才发往 IMS网络中的其他网络单
元, 并且任何经由 IMS网络去往 UE的信息, 也都将经过防火墙系统, 然 后才会 ^给 UE, 从而以保证 UE和公共网络之间的安全的通信。
根据本发明的实施例, 图 2示出防火墙系统的示例性结构图。 其中, 防火墙系统包括: 通信接口, 用于接收来自 UE、 S-CSCF等其他网络单元 的信息, 以及向其发送相关信息; 信息获取模块, 当经由通信接口接收到 来自 S-CSCF或其信任方的为终端提供防火墙的请求时, 获取所述终端的 标识信息; 通信管理模块, 用于在接收到终端的标识信息后, 将防火墙系 统的标识信息经由通信接口发送给终端和 /或相关的网络单元, 并管理终端 和其他网络单元之间的至少部分通信活动;
这里, 如上文所述, 其他网络单元包括 IMS 网络中的网络单元和 /或 将经由 IMS网络与所述终端通信的网络单元。
除了通信接口、 信息获取模块以及通信管理模块, 图 2还示出了可包 括在防火墙系统中的其他部件。应该注意的是,尽管图 2示出了这些部件, 但是这些部件对于实现本发明的防火墙系统来说不是必要的。 换句话说, 通过这些部件, 可以使得本发明的防火墙为 UE提供附加的 /增强的功能。
可选地, 本发明的防火墙系统还为用户提供了配置模块, 用以在需要 时改变用户的防火墙配置。 具体地, 当信息获取模块发现经由通信接口接 收到的信息为用户的关于防火墙的配置信息时, 便通过配置模块为用户提 供相应的防火墙配置服务。
可选地, 用户可以通过配置模块进行设置, 并由通信管理模块来实现 用户的设置。 优选地, 防火墙系统可为用户生成相应的配置文件, 并将其 存储在用户信息数据库中。 该用户信息库可以与防火墙系统运行于同一物 理节点, 也可以分布于其他物理节点或者后台服务器上。
通过配置模块,用户可以设置防火墙系统对其哪些通信活动进行管理, 例如仅对其部分通信活动进行管理, 而不是管理器其全部的通信活动。
而对于已经安装了防火墙的 UE, 用户可以通过配置模块设置为不受 防火墙系统的管理。 当然, 用户仍然可以接受防火墙系统的管理(此时, UE上运行的防火墙和本发明的防火墙系统都用于保护 UE的通信安全,换
句话说, UE获得了双重保护)。 无论用户选择哪种设置, 本发明都为 UE 的用户提供了减轻其负担的途径。
优选地, 配置模块还可以为 UE用户提供其他增值服务。 具体地, 对 于已经安装了防火墙的 UE, 通过配置模块进行相应的设置, 本发明的防 火墙系统可以为 UE上运行的防火墙提供各种支持:
漏洞扫描, 对 UE进行扫描以检查其是否存在安全漏洞 (诸如 UE上 是否安装了最后的 OS ( Operating System操作系统)路径、 UE上运行的 软件是否会引起安全问题等) 。 并将扫描结果通知给用户, 或者基于用户 的设置自动对漏洞进行修复。
实时更新, 为 UE提供实时更新或者安全的下载的路径。 由于本发明 的防火墙系统自身可进行实时更新, 因此, 通常情况下, 可以为 UE上运 行的防火墙提供其所需的各种实时更新信息。这样, UE便无需再通过 IMS 网络从因特网等其他公共网络或其他通信节点获得更新, 从而减少了网络 中的业务量, 降低了网络拥塞的可能性。 而且, 这避免了 UE从不安全站 点下载更新, 或在下载更新过程中可能遇到的攻击, 从而增强了 UE的通 信安全性。 同时, 减少了为获取更新, UE 需要等待的时间, 从而也提高 了服务盾量 QoS。
检查更新, 当发现 UE上存在未安装的更新时, 通知用户安装相应的 更新, 或者基于用户的配置自动地安装更新。
检查防火墙的配置, 如果发现任何问题, 可以将相关的问题, 优选地, 还将优选的解决方案通知给用户, 或者基于用户的设置进行自动地进行配 置更新。
提供配置协助, 其可以为用户配置 UE 自身的防火墙提供更丰富的技 术支持, 例如说明文档、 演示视频, 也可以是通过用户的设置, 使得防火 墙系统代替用户对 UE上运行的防火墙进行一些配置。 通过这种方式, 防 火墙系统可以协助用户对其设备上的防火墙进行维护。 显然, 这对缺乏相 关经验 /知识的用户来说, 使得维护防火墙的工作变得简单得多。
故障修复,指如果用户通过防火墙系统的配置接口进行了相应的设置,
则当 UE上运行的防火墙出现故障时, UE可以向用户和防火墙系统两者发 出故障报告或警告, 也可以只向防火墙系统发出故障报告或警告(具体的 实现方式取决于用户的设置) 。 此外, 还可以基于用户的设置, 使得防火 墙系统自动对 UE进行故障修复。 在这种情况下, 一旦防火墙系统的通信 接口接收到任何来自 UE设备的这种异常的消息, 防火墙系统可代替用户 为其防火墙进行相应的修复 /恢复工作。
UE上运行的防火墙的开启和关闭,基于用户的设置,可以在 UE和防 火墙系统连通时, 关闭 UE上运行的防火墙, 在 UE和防火墙系统断开连 接时, 启用 UE上运行的防火墙。 通过该功能, 有助于将 UE上的资源用 于更重要的任务, 而保护 UE的工作则由本发明的防火墙系统来提供。
生成配置文件, 根据用户的设置, 可以在 UE下一次接入到 IMS网络 时, 将所生成的配置文件中的设置默认应用于该 UE, 除非用户对配置进 行了更新。
杀毒功能, 可以根据用户的设置, 协助 UE或代替 UE上的杀毒软件 进行病毒防护、 扫描、 病毒库更新等。 在这种情况下, 本发明的防火墙系 统可以为 UE提供防火墙和防毒 /杀毒两大功能, 从而进一步的减轻 UE的 负担。
为了更好地实现上述功能, 可以在防火墙系统中设置数据库或存储介 质, 以存储用户的配置信息, 也可以分别设置与上述各个功能相对应的信 息库或相应的引擎。 当然, 也可以使防火墙系统链接至功能更强大的后台 数据库或单独的数据库或引擎, 例如漏洞扫描引擎 /漏洞数据库、 更新信息 引擎 /库、检查更新引擎、检查配置引擎、 配置协助引擎(其可以包括 /连接 至说明文档库、 视频演示库等) 、 故障修复引擎、 用户配置信息库、 病毒 库等。
根据本发明的实施例, 图 3 示出了 IMS 网络中的网络单元, 例如 S-CSCF 的示例性结构。 如图所示, 其包括通信接口, 用于收发信息; 业 务控制模块, 用于当接收到来自终端的注册请求 /会话请求时, 判断终端是 否需要防火墙服务(如上文所述, 这里可以默认终端需要该服务, 也可以
通过终端在所发送的请求中设置的标识信息来判断) , 如果需要, 则向防 火墙系统发送为所述终端提供防火墙服务的请求消息; 通信控制模块, 用 于当其通过通信接口接收到来自防火墙系统的标识防火墙系统的标识信息 时, 向所述终端发送所述标识信息, 或者用于在判断出需要发送所述请求 消息后, 将存储的所述防火墙系统的标识信息发送给所述终端; 并且, 通 信控制模块用于将所有发往所述终端的信息发送给所述防火墙系统, 然后 经由防火墙系统将其发送给所述终端。
可选地, 上述 S-CSCF实现的功能, 可以被全部或部分地卸载到其信 任方, 由该信任方实现相应的功能。 当由信任方负责实现上述功能时, 其 可以在需要的情况下与 S-CSCF等 IMS网络中的部件进行通信。
根据本发明的实施例, 图 4示出了接入 IMS网络的终端的示例性结 构。 如图所示, 其包括: 通信接口, 用于收发信息; 标识信息获取模块, 当经由通信接口接收到来自 S-CSCF或其信任方或防火墙系统的包括有防 火墙标识信息的消息时, 获取所述标识信息; 通信管理模块, 用于在获取 所述标识信息后, 每当需要与其他网络单元通信时, 将相应的通信信息经 由所述防火墙系统发送给所述其他网络单元, 其中, 所述其他网络单元包 括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单 元。
图 5示出了当 UE经由接入网^ ^入包括本发明的防火墙系统的 IMS 网络时, 执行的注册阶段 /发起^ ^的流程。 其中, 图 5示出的步骤 1-5是 现有技术中 UE注册 /发起会话过程: UE向 P-CSCF发出注册消息, P-CSCF 再将注册消息转发给 I-CSCF。 I-CSCF通过查询 HSS (例如, 通过规范中 使用的 Cx接口) , 为用户选择 S-CSCF。 随后, S-CSCF与 HSS进行交 互, 执行用户鉴权。 具体地, S-CSCF从 HSS下载用户简档。 用户简档是 比较重要的信息, 除了用户信息, 其还包括决定何时将 SIP请求转发给提 供业务的应用服务器的过滤规则, 这些过滤规则组成触发条件集合。 作为 IMS网络中的业务, 本发明的防火墙业务的触发也可保存在过滤规则中。
步骤 6、 7: 基于过滤规则, S-CSCF可以决定来自 UE的请求是否需
要通过一个或多个向用户提供服务的应用服务器。 尽管 S-CSCF不提供所 请求的具体服务, 但是其触发应用服务器来执行这些服务。 如果用户拥有 防火墙 J ^务(默认所有用户都拥有该项 J ^务) , 则 S-CSCF将向防火墙系 统发送注册信息, 例如图 5中的 "F/W请求" 。 该请求包括 UE的标识信 息, 例如 UE的地址信息, 此外, 视防火墙系统的具体实现状况, 还可以 根据具体的需要, 在请求中包括 P-CSCF地址、 归属网络联系信息、 用户 标识(公共用户标识, 私有用户标识)等信息。
其中, 所述标识信息可以是能够唯一地标识 UE的任何形式的信息, 其可以是数字、 字母、 字符或其组合的形式。 此外, 其可以是任何种类, 例如 UE的 IP地址、 MAC地址、 用户 ID等, 或者是上述信息的任意组 合。
步骤 8: 防火墙可对用户执行必要的授权检查, 例如基于用户标识或 其他信息, 以保证他 /她是被授权使用防火墙系统所提供的服务的。 当防火 墙系统和 IMS网络属于不同的网络供应商时, 这样的授权检查是有益的, 当然,该检查不是必需的,这可根据具体的应用需要来选择是否执行检查。 对于属于同一网络供应商的情况,在 S-CSCF处便可以进行服务控制, 即, 判断 UE是否为被授权接入 IMS网络的用户, 那么在防火墙系统处则可以 省略步骤 8。
步骤 9、 10、 11: 如果 UE是防火墙系统的授权用户, 则防火墙系统 将向 UE发送 200 ( OK ) 消息, 即步骤 9。 其中, 该消息包括能够唯一地 标识防火墙的标识信息, 例如地址信息, 以便使得 UE和其他相关的 IMS 部件(例如 P-CSCF、 S-CSCF等)知道, 它是 UE的防火墙。 一旦收到该 消息, UE和其他相关的 IMS部件将更新其相关配置。 具体地, UE将存 储防火墙的地址, 作为与网络进行联系的地址。 此后, 从 UE发出的所有 请求都将首先发送给防火墙系统, 再由防火墙系统将这些请求转发至网络 中的正确地址。对于与 UE通信的其他网络单元, 他们将存储防火墙地址, 并将用其替代 UE地址。 然后, 网络和 UE之间的所有消息都将由防火墙 系统来转发。
可选地, 防火墙的地址信息也可以不由防火墙系统添加, 而是由
S-CSCF添加, 并在步骤 10将添加了防火墙地址信息的 200 ( OK )消息发 送给 P-CSCF, 并由 P-CSCF将其发送给 UE, 即步骤 11。
可选地, 当防火墙将自己的地址信息添加到 200 ( OK )消息后, 可以 不像图 5所示那样, 将 200 ( OK ) 消息依次发送给 S-CSCF、
P-CSCF和 UE。替代地,防火墙可以分别向 S-CSCF和 UE发送消息。 换句话说, 防火墙可以将 200 ( OK ) 消息直接发送给 UE, 而且防火墙和 UE之间的 200( OK )消息传送可以使用其他协议(例如 H323、 HTTP等)。
可选地, 防火墙系统可以仅将 200 ( OK )消息发送给 UE, 然后由 UE 通知 S-CSCF (对于仅发送给 S-CSCF的情况, 则进行类似的处理) 。
总之, 关于 200 ( OK )消息的发送, 可以根据具体的应用设置灵活选 择上述方式。
步骤 12、 13、 14: 一旦更新完成, 200 ( OK )响应将被向回发送给防 火墙系统, 以通知 UE和 IMS网络中的防火墙系统之间的连通性。 然后, 防火墙系统将在 UE和 IMS网络两者之间工作, 为 UE提供服务。
可选地, 如同防火墙系统在步骤 9发送 200 ( OK ) 消息那样, UE也 可以不是依次将 200 ( OK )响应发送给 P-CSCF、 S-CSCF和防火墙系统, 而是可以将响应分别发送给 P-CSCF和防火墙系统, 再由 P-CSCF转发给 S-CSCF。
可选地, 也可以不向回发送 200 ( OK )消息, 而是经过预定的时间之 后, UE和 IMS网络之间的通信便经由防火墙系统进行管理。 也就是说, 在 UE退出 IMS网络之前, UE和 IMS网络中的其他网络单元之间, 或者 UE和经由 IMS网络与其进行通信的网络单元之间的所有通信活动, 都将 通过本发明的防火墙系统。 但是如果用户进行了特定的配置, 则优先适用 该配置。
如上文所述,对于 UE自身运行有防火墙的情况, UE可通过防火墙系 统提供的配置模块, 进行上文提及的各种设置, 从而在防火墙系统中生成 相应的配置文件。 当 UE退出 IMS网络之后, 如果再次 ¾ IMS网络,
当 S-CSCF (可以设置 S-CSCF保持有相关数据, 也可以通过与防火墙系 统的交互获得相关数据)或防火墙系统发现与 UE相关的配置信息, 则可 以对 UE采用已有的配置。
可替代地, 可以将 UE设置为在第 1步骤中发送的注册请求中加入是 否需要防火墙系统服务,或者需要防火墙系统提供哪些特定的服务等标识 / 特征信息。 这样, 如果 UE没有防火墙服务, 则 S-CSCF只需像现有技术 那样将 UE作为普通的 IMS终端进行相应的处理。
由上述可见,一旦 IMS网络中包括了本发明的防火墙系统, UE与 IMS 网络以及公共网络之间的所有通信都将由防火墙系统来管理。经过 IMS网 络的每个来自 /去往 UE的请求都将通过该防火墙。 也就是说, 防火墙可以 屏蔽来自 IMS网络以及与 IMS连接(有线或无线)的其他公共网络的攻 击。 从而, 克服了现有 IMS网络中没有针对用户设备的网络级防火墙, 用 户只能凭借终端上运行的防火墙来保障其通信安全性的问题。
尽管本发明的防火墙系统能够为 UE屏蔽来自 IMS网络以及经由 IMS 网络的外部网络的攻击。 但是对于接入网络不是安全网络, 或者某些用户 设备上承载有敏感信息的情况, 则可能期望获得更加全面的安全防护。 对 于这种情况, 可在 UE和防火墙系统之间采用 VPN连接, 从而可以避免 UE受到来自接入网的攻击。 所述 VPN连接可以是适于 UE和防火墙系统 使用的任何类型的 VPN连接, 例如 MPLS VPN. IPSec VPN等。
本发明中的 IMS网络终端指处于 IMS网络、 或者经由各种类型的接 入网接入到 IMS网络的, 拥有无线 /有线通信能力的通信方。
本发明中的网络单元, 也可以被称为通信节点, 或通信单元, 指网络 中具备通信能力的实体, 其可以为软件实现, 也可以为硬件实现, 或者其 组合来实现。
本发明中的防火墙系统、 IMS终端、 IMS网络单元等实体, 其可以由 软件来实现, 也可以由硬件来实现, 或者其组合来实现。 在实现过程中, 可以将本发明中所提到的模块和接口进行组合或进一步的拆分。而且, IMS 网络中的各种实体、 以及本发明的防火墙系统, 它们可以是独立的, 也可
以是分布式的。 而且, 它们可以位于网络中的单独的通信节点, 或者也可 以位于网络中的同一通信节点上。 例如, 防火墙系统其全部 /部分地位于
S-CSCF 所在的通信节点上, 而且, 该通信节点上可包括全部 /部分的 S-CSCF的实现。
尽管上文详细描述了本发明的示例性实施例, 但是本领域技术人员应 该理解, 根据本发明的思想, 可以对这里所公开的内容作出各种修改、 改 变、 变形以及为适应具体应用环境而做的改进, 包括合并、 拆分。 只要其 不违背本发明的精神, 则其仍属于本发明的保护范围之内。
Claims (18)
- 权 利 要 求1. 一种在 IMS网络中为终端提供防火墙的方法, 包括步骤: 在 IMS网络中设置防火墙系统;当防火墙系统接收到来自网络单元的为终端提供防火墙的请求时,获 取所述终端的标识信息;将防火墙系统的标识信息发送给终端以及相关的网络单元;由防火墙系统管理所述终端和其他网络单元之间的至少部分通信活 动,其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
- 2. 根据权利要求 1所述的方法, 其中, 发送所述请求的网络 单元为 S-CSCF或其信任方。
- 3. 根据前述任一权利要求所述的方法, 其中, 一旦所述终端进入 IMS网络并发起注册请求或会话请求, 缺省设置为所述网络单元向所述防 火墙系统发出为终端提供防火墙的请求。
- 4. 根据前述任一权利要求所述的方法, 其中, 当所述终端 iMS 网络并发起注册请求或会话请求时, 在注册请求或会话请求中携带是否需 要为其提供防火墙,和 /或者是否需要所述防火墙系统提供特定服务的标识 信息。
- 5. 根据权利要求 3或 4所述的方法, 其中, 由发出请求的所述网络 单元或其信任方来识别携带的所述标识信息, 如果所述标识信息指示不需 要为所述终端提供防火墙, 则发出请求的所述网络单元或其信任方不发送 为终端提供防火墙的请求。
- 6. 根据权利要求 3或 4所述的方法,其中, 由防火墙系统来识别携 带的所述标识信息,如果所述标识信息指示不需要为所述终端提供防火墙, 则所述防火墙系统不为所述终端提供防火墙服务。
- 7. 根据前述任一权利要求所述的方法, 其特征在于, 所述防火墙系 统为终端设备提供配置功能, 所述配置功能至少包括下列一种: 不管理、 部分管理或完全管理所述通信活动, 对终端进行漏洞扫描, 为终端提供实 时更新或下载更新的连接, 检查终端的更新状况或为其自动进行更新, 检 查终端的防火墙配置, 配置协助, 优选地包括说明文档, 演示视频, 故障 修复, 终端防火墙的开启和关闭, 生成配置文件。
- 8. 一种 IMS网络中的防火墙系统, 包括:通信接口, 用于收发信息;信息获取模块,当经由通信接口接收到来自网络单元的为终端提供防 火墙的请求时, 获取所述终端的标识信息;通信管理模块,用于在接收到所述标识信息后,将防火墙系统的标识 信息经由所述通信接口发送给所述终端和 /或相关的网络单元, 并管理所述 终端和其他网络单元之间的至少部分通信活动;其中, 所述其他网络单元包括 IMS 网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。
- 9. 根据权利要求 8所述的防火墙系统, 其中, 发送所述请求的网 络单元为 S-CSCF或其信任方。
- 10. 根据权利要求 8或 9所述的防火墙系统, 其中, 由通信管理模块 来识别所述请求中携带的终端是否需要防火墙服务和 /或是否需要特定的 服务的标识信息, 如果识别出所携带的标识信息指示不需要为所述终端提 供防火墙, 则所述防火墙系统不为所述终端提供防火墙服务, 如果需要为 所述终端提供特定的服务, 则为所述终端提供特定的服务。
- 11. 根据前述任一权利要求所述的防火墙系统, 其特征在于, 还包括 配置模块, 用于通过通信接口为所述终端提供配置功能, 所述配置功能至 少包括下列一种: 不管理、 部分管理或完全管理所述通信活动, 对终端进 行漏洞扫描, 为终端提供实时更新或下载更新的连接, 检查终端的更新状 况或为其自动进行更新, 检查终端的防火墙配置, 配置协助, 优选地包括 说明文档, 演示视频, 故障修复, 终端防火墙的开启和关闭, 生成配置文 件。
- 12. 一种 IMS网络中的防火墙系统, 包括: 通信接口, 用于收发信息;信息获取模块,当经由通信接口接收到来自网络单元的为终端提供防 火墙的请求时, 获取所述终端的标识信息;通信管理模块,用于在接收到所述标识信息后, 以及发出所述请求的 网络单元或其信任方将防火墙系统的标识信息提供给所述终端和 /或相关 的网络单元后, 管理所述终端和其他网络单元之间的至少部分通信活动; 其中, 所述其他网络单元包括 IMS 网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。
- 13. 根据权利要求 12所述的防火墙系统, 其中, 由通信管理模块来 识别所述请求中携带的终端是否需要防火墙服务和 /或是否需要特定的服 务的标识信息, 如果识别出所携带的标识信息指示不需要为所述终端提供 防火墙, 则所述防火墙系统不为所述终端提供防火墙服务, 如果需要为所 述终端提供特定的服务, 则为所述终端提供特定的服务。
- 14. 根据前述任一权利要求所述的防火墙系统, 其特征在于, 还包括 配置模块, 用于通过通信接口为所述终端提供配置功能, 所述配置功能至 少包括下列一种: 不管理、 部分管理或完全管理所述通信活动, 对终端进 行漏洞扫描, 为终端提供实时更新或下载更新的连接, 检查终端的更新状 况或为其自动进行更新, 检查终端的防火墙配置, 配置协助, 优选地包括 说明文档, 演示视频, 故障修复, 终端防火墙的开启和关闭, 生成配置文 件。
- 15. 一种 IMS 网络中的防火墙系统, 用于在接收到来自网络单元的 为终端提供防火墙的请求时, 获取所述终端的标识信息, 并管理所述终端 和其他网络单元之间的至少部分通信活动, 其中, 所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。
- 16. 一种 IMS网络中的网络单元, 包括:通信接口, 用于收发信息;业务控制模块,用于当接收到来自终端的消息时,判断终端是否需要 防火墙服务, 如果需要, 则向防火墙系统发送为所述终端提供防火墙服务 的请求消息;通信控制模块,用于当其通过通信接口接收到来自防火墙系统的标识 防火墙系统的标识信息时, 向所述终端发送所述标识信息, 或者用于在判 断出需要发送所述请求消息后, 将存储的所述防火墙系统的标识信息发送 给所述终端; 并且将所有发往所述终端的信息发送给所述防火墙系统, 而 不是所述终端。
- 17. 一种用于接入 IMS网络的终端, 包括:通信接口, 用于收发信息;标识信息获取模块,当经由通信接口接收到来自网络单元或防火墙系 统的包括有防火墙标识信息的消息时, 获取所述标识信息;通信管理模块,用于在获取所述标识信息后,每当需要与其他网络单 元通信时, 将相应的通信信息经由所述防火墙系统发送给所述其他网络单 元,其中,所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。
- 18. 一种计算机程序产品, 其包括用于执行权利要求 1至 3中的任一 权利要求所述的方法, 或用于执行权利要求 4至 7中的任一权利要求所述 的防火墙系统, 或用于执行权利要求 8所述的网络单元, 或用于执行权利 要求 9所述的终端的可执行代码。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2009/070275 WO2010083648A1 (zh) | 2009-01-22 | 2009-01-22 | 用于为ims网络的终端提供防火墙的方法及防火墙系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102160331A true CN102160331A (zh) | 2011-08-17 |
Family
ID=42355490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801363809A Pending CN102160331A (zh) | 2009-01-22 | 2009-01-22 | 用于为ims网络的终端提供防火墙的方法及防火墙系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20120047569A1 (zh) |
| EP (1) | EP2391059A4 (zh) |
| JP (1) | JP5694954B2 (zh) |
| KR (1) | KR101520142B1 (zh) |
| CN (1) | CN102160331A (zh) |
| WO (1) | WO2010083648A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905413B (zh) * | 2012-12-28 | 2017-05-03 | 中国移动通信集团北京有限公司 | 一种核心网信令传输方法及系统 |
| US8805972B1 (en) * | 2013-06-26 | 2014-08-12 | Kaspersky Lab Zao | Multi-platform operational objective configurator for computing devices |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1251446C (zh) * | 2002-07-18 | 2006-04-12 | 华为技术有限公司 | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| CN100484134C (zh) * | 2003-10-10 | 2009-04-29 | 华为技术有限公司 | 下一代网络业务穿越网络地址转换设备/防火墙的方法 |
| US7372840B2 (en) * | 2003-11-25 | 2008-05-13 | Nokia Corporation | Filtering of dynamic flows |
| US8316128B2 (en) * | 2004-01-26 | 2012-11-20 | Forte Internet Software, Inc. | Methods and system for creating and managing identity oriented networked communication |
| US8191116B1 (en) * | 2005-08-29 | 2012-05-29 | At&T Mobility Ii Llc | User equipment validation in an IP network |
| JP4648148B2 (ja) * | 2005-09-30 | 2011-03-09 | 富士通株式会社 | 接続支援装置 |
| CN101102185B (zh) * | 2006-07-06 | 2012-03-21 | 朗迅科技公司 | Ims会话的媒体安全 |
| CN100514939C (zh) * | 2006-12-01 | 2009-07-15 | 中国联合网络通信集团有限公司 | Ip多媒体通信业务处理系统及实现ip多媒体通信的方法 |
| EP1971101B1 (en) * | 2007-03-12 | 2018-11-21 | Nokia Solutions and Networks GmbH & Co. KG | A method , a device for configuring at least one firewall and a system comprising such device |
| CN100583737C (zh) * | 2007-05-22 | 2010-01-20 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| US20100095361A1 (en) * | 2008-10-10 | 2010-04-15 | Wenhua Wang | Signaling security for IP multimedia services |
-
2009
- 2009-01-22 KR KR1020117016252A patent/KR101520142B1/ko not_active IP Right Cessation
- 2009-01-22 EP EP09838615.4A patent/EP2391059A4/en not_active Withdrawn
- 2009-01-22 WO PCT/CN2009/070275 patent/WO2010083648A1/zh active Application Filing
- 2009-01-22 JP JP2011546565A patent/JP5694954B2/ja not_active Expired - Fee Related
- 2009-01-22 CN CN2009801363809A patent/CN102160331A/zh active Pending
- 2009-01-22 US US12/998,633 patent/US20120047569A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110105802A (ko) | 2011-09-27 |
| EP2391059A1 (en) | 2011-11-30 |
| JP2012516081A (ja) | 2012-07-12 |
| JP5694954B2 (ja) | 2015-04-01 |
| EP2391059A4 (en) | 2013-05-01 |
| US20120047569A1 (en) | 2012-02-23 |
| KR101520142B1 (ko) | 2015-05-13 |
| WO2010083648A1 (zh) | 2010-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100822553B1 (ko) | 침입 검출 방법 | |
| Keromytis | A comprehensive survey of voice over IP security research | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| Rao et al. | Threat modeling framework for mobile communication systems | |
| KR101863236B1 (ko) | 네트워크 가상화 환경에서 보안 관리를 위한 장치 및 방법 | |
| JP5864598B2 (ja) | ユーザにサービスアクセスを提供する方法およびシステム | |
| US20090070875A1 (en) | Distributed Stateful Intrusion Detection for Voice Over IP | |
| Kantola | Trust networking for beyond 5G and 6G | |
| EP3539042A1 (en) | Systems and methods for suppressing denial of service attacks | |
| Hunter et al. | Security issues with the IP multimedia subsystem (IMS) | |
| Welch | Exploiting the weaknesses of SS7 | |
| US8510822B2 (en) | Communication system, reliable communication mechanism, and communication method used for the same | |
| CN102160331A (zh) | 用于为ims网络的终端提供防火墙的方法及防火墙系统 | |
| Berger et al. | Internet security meets the IP multimedia subsystem: an overview | |
| Park et al. | A security evaluation of IMS deployments | |
| KR100422807B1 (ko) | 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법 | |
| Lange et al. | Wherever I May Roam: Stealthy Interception and Injection Attacks Through Roaming Agreements | |
| Belmekki et al. | Towards a new approach for securing IMS networks | |
| Natouri et al. | IMS threats taxonomy: Survey and proposal | |
| US20240267395A1 (en) | Polymorphic Non-Attributable Website Monitor | |
| Paulins et al. | Vulnerability Analysis of IP Multimedia Subsystem (IMS) | |
| Hunter et al. | Security Issues with the IP Multimedia Subsystem (IMS): A White Paper | |
| El-Mousa et al. | The design of a secure SIP-based architecture for broadband service providers | |
| Al Saidat et al. | Develop a secure SIP registration mechanism to avoid VoIP threats | |
| Tsagkaropulos et al. | Securing IP multimedia subsystem (IMS) infrastructures: protection against attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110817 |