CN1951061A - Ip网络委托域中的身份处理 - Google Patents
Ip网络委托域中的身份处理 Download PDFInfo
- Publication number
- CN1951061A CN1951061A CNA2005800141314A CN200580014131A CN1951061A CN 1951061 A CN1951061 A CN 1951061A CN A2005800141314 A CNA2005800141314 A CN A2005800141314A CN 200580014131 A CN200580014131 A CN 200580014131A CN 1951061 A CN1951061 A CN 1951061A
- Authority
- CN
- China
- Prior art keywords
- certificate
- network
- tls
- sip
- sip agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 23
- 230000000977 initiatory effect Effects 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 18
- 238000012423 maintenance Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims 12
- 230000009471 action Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种用于处理用户身份和隐私的方法,其中第一会话发起协议(SIP)代理要转发SIP请求到下一SIP代理,包括确定在去往下一SIP代理的跳跃中是否支持传输层安全(TLS)的步骤。当TLS被支持时,该方法包括:建立到去往下一SIP代理的跳跃的TLS连接,请求来自下一SIP代理的证书,接收证书,验证证书和下一SIP代理的网络的可信度,而当证书和网络的可信度被验证时保持身份信息。当TLS未被支持时,或者当证书未被验证时,或者当网络的可信度未被验证时,去除身份信息。随后,通过TLS连接转发SIP请求。
Description
相关申请的交叉引用
本申请要求于2004年5月3日提交的美国临时专利申请第60/567,760号的优先权。通过参考将这一在先提交申请的主题内容引入于此。
技术领域
本发明涉及网络部分中的身份处理。本发明进一步涉及在越过委托域的边界而且尊重与主张的身份有关的用户隐私要求时对用户所主张的身份的插入或者去除。
背景技术
在第5次发布的第3代合作伙伴项目(3GPP)IP多媒体子系统(IMS)中,将系统考虑为受托方的闭合网络。IMS会话总是在IMS网络中起源或者终止,而且所有IMS网络相互委托。这一模型排除了对在公共因特网中起源或者终止的IMS会话的建立。另一方面,由于所有IMS网络相互委托,会话发起协议(SIP)代理(呼叫会话控制功能(CSCF)、中断网关控制功能(BGCF)等)无需采取与在SIP请求中的所主张的身份有关的任何动作。如果在从另一IMS(受托)网络接收到请求时存在所主张的身份,则它将是受托的。如果SIP代理要发送SIP请求到另一网络,则该所主张的身份被保持于消息中。
第6次发布的3GPP IMS允许IMS会话建立到互联网SIP客户端和从互联网SIP客户端建立IMS会话。然而,这要求新的委托模型,因为对于特定网络,只有选定的(IMS或者非IMS)网络才被认为是受托的。要求SIP代理(例如CSCF、BGCF等)能在业务寻路由到未受托网络时采取关于所主张的身份的动作(例如去除)。如果SIP代理从受托网络接收SIP请求而且存在有所主张的身份,则将之保持。然而,如果SIP代理从未受托网络接收SIP请求而且存在有所主张的身份,则SIP代理去除该身份,因为它不是受托的。类似地,如果SIP代理要转发请求到受托网络,则它保持任何主张的身份。但是如果SIP代理要转发请求到未受托网络,则所主张的身份被去除。
IMS中委托网络的概念受到了在相互委托的两个网络之间存在互连协议的支持。当两个网络签署互连协议时,它们交换安全信息。第5次发布的3GPP IMS不支持受托节点和未受托节点的混合。第5次发布的3GPP IMS指定所有IMS网络相互委托;换句话说,不允许到非IMS网络的连接。第5次发布的3GPP IMS提供了任何两个IMS网络之间的网际互联协议安全(IPsec)网关和IPsec隧道。然而,IPsec网关在第6次发布中对于受托/未受托模型是无用的,因为IPsec网关利用对IP层而不是SIP层进行操作,而且因为IPsec网关在物理上和在逻辑上是不同于SIP代理的单元。此外,在两个IMS运营商之间存在IPsec隧道仍不足以假定在这些运营商之间有SIP层的委托关系。
因此,需要一种用于为接收SIP请求的特定SIP代理确定特定请求是从受托源还是从未受托源接收的方法。另外,也有必要在转发SIP请求之前为要转发SIP请求到另一网络的特定SIP代理确定下一SIP代理是否为受托的。
发明内容
本发明揭示了一种用于处理用户身份和隐私的方法,其中第一会话发起协议(SIP)代理要转发SIP请求到下一SIP代理,而且包括确定在去往下一SIP代理的跳跃中是否支持传输层安全(TLS)的步骤。当TLS被支持时,该方法包括:建立到去往下一SIP代理的跳跃的TLS连接,请求来自下一SIP代理的证书,接收证书,验证证书和下一SIP代理的网络的可信度,而当证书和网络的可信度被验证时保持身份信息。当TLS未被支持时,或者当证书未被验证时,或者当网络的可信度未被验证时,去除身份信息。随后,通过TLS连接转发SIP请求。
本发明也涉及一种用于为了处理用户身份和隐私的目的而确定第一SIP代理是否属于受托网络的方法,其中下一会话发起协议(SIP)代理从第一SIP代理接收SIP请求。该方法包括从第一SIP代理接收SIP请求以及确定SIP请求是否是经由TLS接收的步骤。当SIP请求是经由TLS接收的时,该方法包括:请求来自第一SIP代理的证书,接收证书,验证证书和第一SIP代理的网络的可信度,而当证书和网络的可信度被验证时保持身份信息。当TLS未被支持时,或者当证书未被验证时,或者当网络的可信度未被验证时,去除身份信息。随后,该方法包括对SIP请求做出响应。
本发明也涉及一种通信设备,包括:建立装置,用于建立到去往下一SIP代理的跳跃的传输层安全(TLS)连接;确定装置,用于确定在去往下一SIP代理的跳跃中是否支持TLS;请求装置,用于请求来自下一SIP代理的证书;接收装置,用于接收证书;验证装置,用于验证证书和下一SIP代理的网络的可信度;以及转发装置,用于通过TLS连接转发SIP请求。该通信设备被配置用以当证书被验证时、当网络的可信度被验证时、而且当TLS被支持时保持身份信息,以及被配置用以当TLS未被支持时、或者证书未被验证、或者当网络的可信度未被验证时去除身份信息。
本发明也涉及一种通信系统,包括:传输层安全(TLS)连接建立器,被配置用以建立到去往下一SIP代理的跳跃的TLS连接;TLS支持分析器,被配置用以确定在去往下一SIP代理的跳跃中是否支持TLS;验证模块,被配置用以请求来自下一SIP代理的证书、接收证书、以及验证证书和第一SIP代理的网络的可信度;SIP请求处理器,被配置用以通过TLS连接转发SIP请求。该通信系统被配置用以当证书被验证时、当网络的可信度被验证时、而且当TLS被支持时保持身份信息,以及被配置用以当TLS未被支持时、或者证书未被验证、或者当网络的可信度未被验证时去除身份信息。
参照与附图相结合的以下描述,本发明的这些和其它特征、方面及优点将变得明显。然而应当理解,附图仅被设计用于说明之目的而不是用于对本发明的限制进行定义。
附图说明
所包含的附图以便提供对本发明的进一步理解,而且将附图结合于本说明书中并构成本说明书的一部分,这些附图图示了本发明的实施例,与说明书一起用以说明本发明的原理,在附图中:
图1图示了IMS安全架构;以及
图2图示了根据本发明一个实施例示出隐私处理的流程图。
具体实施方式
在分组交换(PS)域中,直至在移动设备与网络之间建立了安全关联才提供服务。IP多媒体核心网络子系统(IMS)实质上是对PS-域的覆盖而且具有与PS-域的低相关性。因此在准许对多媒体服务的访问之前,在多媒体客户端与IMS之间要求单独的安全关联。在图1中示出了IMS安全架构。
图1图示了在归属/服务网络110、受访/归属网络120和用户设备102之间的关系,其中该归属/服务网络具有归属用户服务器111(HSS)。图1图示了在移动设备(即用户设备102(UE)、用户等)与比如服务呼叫会话控制功能113(S-CSCF)、代理呼叫会话控制功能121(P-CSCF)和询问呼叫会话控制功能112(I-CSCF)这样的各种网络单元之间的呼叫控制协议。
用户侧的IMS认证密钥和功能被存储于通用集成电路卡(UICC)上。对于IMS认证密钥和功能来说有可能在逻辑上是独立的,而且是用于PS域认证的密钥和功能。然而,这并不排除将普通的认证密钥和功能用于IMS和PS域认证。IP多媒体服务身份模块103(ISIM)在UICC上提供了IMS安全数据和功能的集合。
对于IMS的安全保护有五个不同的安全关联和不同的需要,而在图1中将它们编号为1、2、3、4和5。第一关联即编号1提供相互认证。HSS向S-CSCF授予用户认证性能。然而HSS负责生成密钥和口令。ISIM和HSS中的长期密钥与IMPI相关联。用户将具有一个(网络内部)用户隐私身份(IMPI)和至少一个外部用户公共身份(IMPU)。第二关联即编号2为保护Gm参考点而在UE与P-CSCF之间提供安全链路和安全关联。提供了数据起源认证,即证实所接收的数据的源正是所声称的源。
第三关联即编号3内部地为Cx-接口提供网络域之内的安全。第四关联即编号4为具有SIP功能的节点提供不同网络之间的安全。这一安全关联仅在P-CSCF驻留于VN中时适用,而如果P-CSCF驻留于HN中则编号五适用。最后的关联即编号5内部地在具有SIP功能的节点之间提供网络之内的安全。
在IMS中存在有上文未提及的其它接口和参考点。这些接口和参考点驻留于IMS之内,要么在同一安全域之内要么在不同的安全域之间。在UE与HN之间要求相互认证。独立的IMS安全机制提供了防范违反安全的附加保护。例如,如果破坏了PS-域安全,则IMS将继续受它自己的安全机制的保护。
对于委托模型的支持是由在受托网络之间存在互连协议来保证的,如上文所述。每个SIP代理包含如下数据库,该数据库包含受托网络的列表以及在证书中可见的安全参数。安全参数可以是证书权限或者公共名或者组织。
隐私在许多实例中可以等效于保密。这可以包括通过使用加密和加密密钥来向被授权理解信息的实体之外的所有实体隐藏该信息。用于IMS网络的SIP隐私扩展不提供这样的保密。该机制的用途实际上在于给予IMS用户保留某些身份信息的可能性。用于IMS网络的隐私机制在CSCF中不创建除正常SIP状态之外的状态,这是有用的。
根据至少一个实施例,当第6次发布的IMS与非IMS网络相互作用时,IMS网络中的CSCF基于用于该相互作用的安全机制是否被应用以及相互作用协议的可用性来决定委托关系。如果相互作用网络不是受托的,则将隐私信息从面向外部网络的业务中去除。当接收SIP信令时,CSCF也验证是否已经包含任何隐私信息。如果相互作用网络不是受托的,则该信息由CSCF去除,反之则保持。
由于缺乏安全机制,当相互作用网络指示未受托的非IMS网络时,通常需要单独的CSCF以与IMS网络和非IMS网络对接。与IMS网络对接的CSCF隐含地委托可经由进行安全建立的SEG可达的所有IMS网络。第5次发布的CSCF总是采用这一委托关系和网络配置。对于第6次发布的CSCF,这一隐含的委托设置是运营商可以根据网络和接口配置来设置的配置选项。
图2图示了根据本发明实施例示出隐私处理的流程图。要转发SIP请求到下一SIP代理的IMS SIP代理在步骤201建立到该下一跳跃的传输层安全(TLS)连接。如果在下一跳跃中不支持TLS,则该网络是未受托的,而且在步骤203中去除隐私信息。如果在判决202中支持TLS,则IMS SIP代理在步骤204中请求来自其它SIP代理的证书。在收到证书时,IMS SIP代理在步骤205中评价证书是否有效以及它是否属于受托网络。在它属于受托网络的情况下,IMS代理保持所主张的身份,否则将之去除。然后,它在步骤206中通过TLS连接转发SIP请求。也有可能SIP代理由于先前的连接而已经具有关于其它方的证书。然后仅验证证书是否依然有效就足够了。
类似地,接收SIP请求的IMS SIP代理应用这些相同的规则。如果没有经由TLS收到请求,则进行发送的SIP代理不被委托。如果经由TLS发送请求,则IMS SIP代理向进行发送的SIP代理请求证书。然后IMS SIP代理针对受托网络的列表来验证证书,确定进行发送的SIP代理是否是受托的。同样,可以有来自较早连接的证书。
此外,每个IMS网络将域名服务器(DNS)命名权限指针(NAPTR)记录配置为针对SIP服务将较高的优选赋予给借助用户数据报协议(UDP)、传输控制协议(TCP)、流控制传输协议(STCP)(或者其它传送协议)的TLS。这允许IMS网络总是先尝试TLS作为传送协议。
关于与第5次发布的网络之间的互用性,第6次发布的IMS网络使用了向后兼容的解决方案,即经由安全网络(SGW)的因特网互联协议安全(IPsec)。进行接收的SGW需要将SIP消息的端口号改变为CSCF的受保护端口,以便向进行接收的CSCF指示分组已经受到IPsec保护。如果存在有互连协议,则在接收时转发或者委托用户身份。否则去除用户身份。本发明的另一方面涉及如何提供在第5次发布的IMS与第6次发布的IMS网络之间的向后兼容性。
在第一例子中,第5次发布的IMS SIP代理发送SIP请求到第6次发布的IMS节点。第5次发布的IMS SIP代理不采取关于所主张的身份的任何动作,因为它认为第6次发布的IMS网络是受托的。然而,第6次发布的IMS SIP将去除所主张的身份,因为该请求不使用TLS。
根据本发明的实施例,随着该请求穿越在两个IMS网络之间的域间边界,SIP消息将穿越在第5次发布的网络中的SGW,然后穿越在第6次发布的IMS网络中的另一SGW。这一业务是使用IPsec ESP来保护的。在第6次发布的IMS网络中的SGW可以将(在第6次发布的网络中的SIP代理的)目的地端口号重新设定目标为受保护的端口号。在第6次发布的IMS网络中的SIP代理分配两个端口号,在一个端口上接收常规业务,在另一个端口上安全网关发送已经经由IPsec隧道(来自第5次发布的IMS网络)接收的业务。IPsec隧道的存在指示了另一端是IMS网络(而且受托于第5次发布的指导)。
在第二例子中,第5次发布的IMS SIP代理从第6次发布的IMS网络接收SIP请求。由于第5次发布的IMS网络认为所有都是受托的,所以第5次发布的IMS SIP代理将不会采取任何关于所主张的身份的动作。根据第5次发布的指导,该请求在这一情况下应当经由安全网关而来,但是这并不影响动作。
在第三例子中,第6次发布的IMS SIP代理发送SIP请求到第5次发布的IMS网络。在默认情况下,由于第5次发布的IMS不支持TLS,所以第6次发布的IMS SIP代理将去除所主张的身份。根据本发明的实施例,优选的动作是不进行进一步动作的。如果出于某一原因而需要发送所主张的身份,则运营商需要进行如下互连协议,该互连协议包含由于另一方属于第5次发布这样的理由而免于使用TLS。现在,进行发送的代理将必须向它自己网络的安全网关指示必须应用IPsec ESP。这一指示可以通过为进行发送的代理而使用专用源IP地址来实现。
在第四例子中,第6次发布的IMS SIP代理从第5次发布的IMS网络接收SIP请求。由于第5次发布的IMS网络不支持TLS,所以第6次发布的IMS SIP代理将默认地认为该请求来自于未受托网络。在这一情况下,该解决方案与上面针对第一例子而讨论的解决方案相同。
受传输层安全(TLS)保护的SIP信令可以用来保护在IMS CSCF与位于外部网络中的代理/CSCF之间的SIP互用性。CSCF可以通过公布SIP:DNS服务器中的URI,来请求与外部代理的TLS连接,该URI可以经由NAPTR/SRV机制来解析。当在TLS握手阶段期间发送/接收证书时,CSCF针对相互作用伙伴的列表来验证证书上的名称。可以从任一网络发起TLS会话。TLS连接能进行多个SIP对话。
前面的描述已经涉及到本发明的具体实施例。然而显然的是,在达到所述实施例的一些或者所有优点情况下,可以对它们进行其它变形和改进。因此,所附权利要求的目的在于涵盖落入本发明的真实精神范围之内的所有这种变形和改进。
Claims (36)
1.一种用于处理用户身份和隐私的方法,其中第一会话发起协议(SIP)代理要转发SIP请求到下一SIP代理,包括以下步骤:
确定在去往下一SIP代理的跳跃中是否支持传输层安全(TLS);
当TLS被支持时,
建立到去往所述下一SIP代理的所述跳跃的TLS连接;
请求来自所述下一SIP代理的证书;
接收所述证书;
验证所述证书和所述下一SIP代理的网络的可信度;
当所述证书和所述网络的所述可信度被验证时保持身份信息;
当TLS未被支持时,或者当所述证书未被验证时,或者当所述网络的所述可信度未被验证时,
去除所述身份信息;以及
通过所述TLS连接转发所述SIP请求。
2.根据权利要求1所述的方法,其中所述验证所述证书的步骤包括确定所述证书是否有效。
3.根据权利要求1所述的方法,其中所述验证所述网络的所述可信度的步骤包括确定所述网络属于受托网络组。
4.根据权利要求3所述的方法,其中所述确定所述网络是否属于受托网络组的步骤包括确定所述网络是否在受托网络的列表上。
5.根据权利要求1所述的方法,其中所述下一SIP代理先前发送过在先的证书,而所述验证所述证书的步骤包括确定所述在先的证书是否仍然有效。
6.根据权利要求1所述的方法,还包括为受托SIP代理和未受托SIP代理维护单独的呼叫会话控制功能(CSCF)。
7.根据权利要求1所述的方法,还包括将域名服务器(DNS)命名权限指针(NAPTR)配置为给以TLS较高的优选。
8.一种用于为了处理用户身份和隐私的目的而确定第一SIP代理是否属于受托网络的方法,其中下一会话发起协议(SIP)代理从所述第一SIP代理接收SIP请求,包括以下步骤:
从第一SIP代理接收SIP请求;
确定所述SIP请求是否是经由TLS接收的;
当所述SIP请求是经由TLS接收的时,
请求来自所述第一SIP代理的证书;
接收所述证书;
验证所述证书和所述第一SIP代理的网络的可信度;
当所述证书和所述网络的所述可信度被验证时保持身份信息;
当TLS未被支持时,或者当所述证书未被验证时,或者当所述网络的所述可信度未被验证时,
去除所述身份信息;以及
对所述SIP请求做出响应。
9.根据权利要求8所述的方法,其中所述验证所述证书的步骤包括确定所述证书是否有效。
10.根据权利要求8所述的方法,其中所述验证所述网络的所述可信度的步骤包括确定所述网络是否属于受托网络组。
11.根据权利要求10所述的方法,其中所述确定所述网络是否属于受托网络组的步骤包括确定所述网络是否在受托网络的列表上。
12.根据权利要求8所述的方法,其中所述第一SIP代理先前发送过在先的证书,而所述验证所述证书的步骤包括确定所述在先的证书是否仍然有效。
13.根据权利要求8所述的方法,还包括为受托SIP代理和未受托SIP代理维护单独的呼叫会话控制功能(CSCF)。
14.根据权利要求8所述的方法,还包括将域名服务器(DNS)命名权限指针(NAPTR)配置为给以TLS较高的优选。
15.一种通信设备,包括:
建立装置,用于建立到去往下一SIP代理的跳跃的传输层安全(TLS)连接;
确定装置,用于确定在去往所述下一SIP代理的所述跳跃中是否支持TLS;
请求装置,用于请求来自所述下一SIP代理的证书;
接收装置,用于接收所述证书;
验证装置,用于验证所述证书和所述下一SIP代理的网络的可信度;以及
转发装置,用于通过所述TLS连接转发所述SIP请求,
其中所述通信设备被配置为用以当所述证书被验证时、当所述网络的所述可信度被验证时、而且当TLS被支持时保持身份信息,以及被配置为用以当TLS未被支持时、或者所述证书未被验证、或者当所述网络的所述可信度未被验证时去除所述身份信息。
16.根据权利要求15所述的通信设备,其中所述验证装置包括用于确定所述证书是否有效的装置。
17.根据权利要求15所述的通信设备,其中所述验证装置包括用于确定所述网络属于受托网络组的装置。
18.根据权利要求17所述的通信设备,其中所述用于确定所述网络是否属于受托网络组的装置包括用于确定所述网络是否在受托网络的列表上的装置。
19.根据权利要求15所述的通信设备,其中当所述下一SIP代理先前发送过在先的证书时,所述验证装置包括用于确定所述在先的证书是否仍然有效的装置。
20.根据权利要求15所述的通信设备,还包括用于为受托SIP代理和未受托SIP代理维护单独的呼叫会话控制功能(CSCF)的装置。
21.根据权利要求15所述的通信设备,还包括用于将域名服务器(DNS)命名权限指针(NAPTR)配置为给以TLS较高优选的装置。
22.一种通信系统,包括:
传输层安全(TLS)连接建立器,被配置为用以建立到去往下一SIP代理的跳跃的TLS连接;
TLS支持分析器,被配置为用以确定在去往所述下一SIP代理的所述跳跃中是否支持TLS;
验证模块,被配置为用以请求来自所述下一SIP代理的证书,接收所述证书,以及验证所述证书和所述第一SIP代理的网络的可信度;
SIP请求处理器,被配置为用以通过所述TLS连接转发所述SIP请求,
其中所述通信系统被配置为用以当所述证书被验证时、当所述网络的所述可信度被验证时、而且当TLS被支持时保持身份信息,以及被配置为用以当TLS未被支持时、或者所述证书未被验证、或者当所述网络的所述可信度未被验证时去除所述身份信息。
23.根据权利要求15所述的通信系统,其中所述验证模块被配置为用以确定所述证书是否有效。
24.根据权利要求15所述的通信系统,其中所述验证模块被配置用以确定所述网络属于受托网络组。
25.根据权利要求17所述的通信系统,其中所述验证模块被配置为用以确定所述网络是否在受托网络的列表上。
26.根据权利要求15所述的通信系统,其中当所述下一SIP代理先前发送过在先的证书时,所述验证模块被配置为用以确定所述在先的证书是否仍然有效。
27.一种用于处理用户身份和隐私的、在计算机可读介质上实施的计算机程序,其中第一会话发起协议(SIP)代理要转发SIP请求到下一SIP代理,所述计算机程序控制数据处理设备执行以下步骤:
确定在去往下一SIP代理的跳跃中是否支持传输层安全(TLS);
当TLS被支持时,
建立到去往所述下一SIP代理的所述跳跃的TLS连接;
请求来自所述下一SIP代理的证书;
接收所述证书;
验证所述证书和所述下一SIP代理的网络的可信度;
当所述证书和所述网络的所述可信度被验证时保持身份信息;
当TLS未被支持时,或者当所述证书未被验证时,或者当所述网络的所述可信度未被验证时,
去除所述身份信息;以及
通过所述TLS连接转发所述SIP请求。
28.根据权利要求27所述的计算机程序,其中所述验证所述证书的步骤包括确定所述证书是否有效。
29.根据权利要求27所述的计算机程序,其中所述验证所述网络的所述可信度的步骤包括确定所述网络属于受托网络组。
30.根据权利要求29所述的计算机程序,其中所述确定所述网络是否属于受托网络组的步骤包括确定所述网络是否在受托网络的列表上。
31.根据权利要求27所述的计算机程序,其中所述下一SIP代理先前发送过在先的证书,而所述验证所述证书的步骤包括确定所述在先的证书是否仍然有效。
32.一种用于为了处理用户身份和隐私的目的而确定第一SIP代理是否属于受托网络的、在计算机可读介质上实施的计算机程序,其中下一会话发起协议(SIP)代理从所述第一SIP代理接收SIP请求,所述计算机程序控制数据处理设备执行以下步骤:
从第一SIP代理接收SIP请求;
确定所述SIP请求是否是经由TLS接收的;
当所述SIP请求是经由TLS接收的时,
请求来自所述第一SIP代理的证书;
接收所述证书;
验证所述证书和所述第一SIP代理的网络的可信度;
当所述证书和所述网络的所述可信度被验证时保持身份信息;
当TLS未被支持时,或者当所述证书未被验证时,或者当所述网络的所述可信度未被验证时,
去除所述身份信息;以及
对所述SIP请求做出响应。
33.根据权利要求32所述的计算机程序,其中所述验证所述证书的步骤包括确定所述证书是否有效。
34.根据权利要求32所述的计算机程序,其中所述验证所述网络的所述可信度的步骤包括确定所述网络是否属于受托网络组。
35.根据权利要求34所述的计算机程序,其中所述确定所述网络是否属于受托网络组的步骤包括确定所述网络是否在受托网络的列表上。
36.根据权利要求32所述的计算机程序,其中所述第一SIP代理先前发送过在先的证书,而所述验证所述证书的步骤包括确定所述在先的证书是否仍然有效。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US56776004P | 2004-05-03 | 2004-05-03 | |
| US60/567,760 | 2004-05-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1951061A true CN1951061A (zh) | 2007-04-18 |
Family
ID=35242008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800141314A Pending CN1951061A (zh) | 2004-05-03 | 2005-04-29 | Ip网络委托域中的身份处理 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8045540B2 (zh) |
| EP (1) | EP1743449B1 (zh) |
| JP (2) | JP4806400B2 (zh) |
| KR (1) | KR100884314B1 (zh) |
| CN (1) | CN1951061A (zh) |
| PL (1) | PL1743449T3 (zh) |
| TW (1) | TWI295135B (zh) |
| WO (1) | WO2005107145A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060230278A1 (en) * | 2005-03-30 | 2006-10-12 | Morris Robert P | Methods,systems, and computer program products for determining a trust indication associated with access to a communication network |
| US20060230279A1 (en) * | 2005-03-30 | 2006-10-12 | Morris Robert P | Methods, systems, and computer program products for establishing trusted access to a communication network |
| US20060268851A1 (en) * | 2005-05-10 | 2006-11-30 | International Business Machines Corporation | Method and apparatus for address resolution protocol persistent in a network data processing system |
| US20060265737A1 (en) * | 2005-05-23 | 2006-11-23 | Morris Robert P | Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location |
| US20090206986A1 (en) * | 2005-08-31 | 2009-08-20 | Shingo Murakami | method of presenting ims public user identify to rfid applications |
| US8595814B2 (en) * | 2005-12-13 | 2013-11-26 | Google Inc. | TLS encryption in a managed e-mail service environment |
| EP1964350B1 (en) * | 2005-12-22 | 2013-02-13 | Telecom Italia S.p.A. | Multi-vendor ims architecture |
| US20070186101A1 (en) * | 2006-02-06 | 2007-08-09 | Nokia Corporation | Trust concept for the SIP reason header |
| US9419955B2 (en) * | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
| ATE437518T1 (de) * | 2006-05-02 | 2009-08-15 | Research In Motion Ltd | Vorrichtungen und verfahren zum generieren und übermitteln eines anonymen kennzeichners zur wegelenkung, um die vertraulichkeit der identität eines sip user agents sicherzustellen |
| CN101242426B (zh) * | 2007-02-06 | 2010-12-08 | 华为技术有限公司 | 建立传输层安全连接的方法、系统及装置 |
| US8725874B2 (en) * | 2007-09-27 | 2014-05-13 | International Business Machines Corporation | Dynamic determination of an ideal client-server for a collaborative application network |
| US20090126001A1 (en) * | 2007-11-08 | 2009-05-14 | Microsoft Corporation | Techniques to manage security certificates |
| EP2068565A1 (fr) * | 2007-12-07 | 2009-06-10 | Gemplus | Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée |
| US8468366B2 (en) | 2008-03-24 | 2013-06-18 | Qualcomm Incorporated | Method for securely storing a programmable identifier in a communication station |
| EP2263396B1 (en) | 2008-04-11 | 2014-01-15 | Telefonaktiebolaget L M Ericsson (PUBL) | Access through non-3gpp access networks |
| JP5313395B2 (ja) | 2009-04-13 | 2013-10-09 | リサーチ イン モーション リミテッド | Sipメッセージに対する信用を決定するシステムおよび方法 |
| US9590990B2 (en) * | 2009-05-11 | 2017-03-07 | International Business Machines Corporation | Assigning user requests of different types or protocols to a user by trust association interceptors |
| TW201138494A (en) * | 2009-10-23 | 2011-11-01 | Interdigital Patent Holdings | Protection against unsolicited communication |
| TWI548259B (zh) * | 2009-12-22 | 2016-09-01 | 群邁通訊股份有限公司 | 隱私通話系統及方法 |
| US9130916B2 (en) * | 2010-04-15 | 2015-09-08 | Google Technology Holdings LLC | Cross-domain identity management for a whitelist-based online secure device provisioning framework |
| CN102006294B (zh) * | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
| US20130121322A1 (en) * | 2011-11-10 | 2013-05-16 | Motorola Mobility, Inc. | Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communicatin system |
| US9686284B2 (en) * | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
| US9992183B2 (en) | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
| CN206310556U (zh) * | 2016-12-15 | 2017-07-07 | 广东美的厨房电器制造有限公司 | 转盘组件及烹饪装置 |
| US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
| CN110958226A (zh) * | 2019-11-14 | 2020-04-03 | 广州江南科友科技股份有限公司 | 一种基于tls的密码设备访问控制方法 |
| US20230344812A1 (en) * | 2022-04-20 | 2023-10-26 | Bank Of America Corporation | System and method for establishing a secure session to authenticate dns requests via dynamically configurable trusted network interface controllers |
| CN117581508A (zh) * | 2022-05-13 | 2024-02-20 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2420252C (en) * | 2000-08-25 | 2008-03-11 | Research In Motion Limited | System and method for implementing an enhanced transport layer security protocol |
| US6865681B2 (en) * | 2000-12-29 | 2005-03-08 | Nokia Mobile Phones Ltd. | VoIP terminal security module, SIP stack with security manager, system and security methods |
| US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| GB0216000D0 (en) * | 2002-07-10 | 2002-08-21 | Nokia Corp | A method for setting up a security association |
-
2005
- 2005-04-29 JP JP2007512547A patent/JP4806400B2/ja active Active
- 2005-04-29 WO PCT/IB2005/001168 patent/WO2005107145A1/en active Application Filing
- 2005-04-29 KR KR1020067025272A patent/KR100884314B1/ko active IP Right Grant
- 2005-04-29 CN CNA2005800141314A patent/CN1951061A/zh active Pending
- 2005-04-29 EP EP05740449.3A patent/EP1743449B1/en active Active
- 2005-04-29 PL PL05740449T patent/PL1743449T3/pl unknown
- 2005-05-03 TW TW094114163A patent/TWI295135B/zh active
- 2005-05-03 US US11/120,206 patent/US8045540B2/en active Active
-
2009
- 2009-11-24 JP JP2009266008A patent/JP2010081636A/ja not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311921A (zh) * | 2019-07-11 | 2019-10-08 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
| CN110311921B (zh) * | 2019-07-11 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100884314B1 (ko) | 2009-02-18 |
| TWI295135B (en) | 2008-03-21 |
| JP4806400B2 (ja) | 2011-11-02 |
| EP1743449B1 (en) | 2013-08-14 |
| JP2010081636A (ja) | 2010-04-08 |
| JP2007538426A (ja) | 2007-12-27 |
| US8045540B2 (en) | 2011-10-25 |
| TW200620949A (en) | 2006-06-16 |
| US20050249219A1 (en) | 2005-11-10 |
| WO2005107145A1 (en) | 2005-11-10 |
| EP1743449A1 (en) | 2007-01-17 |
| PL1743449T3 (pl) | 2013-12-31 |
| KR20070006933A (ko) | 2007-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1951061A (zh) | Ip网络委托域中的身份处理 | |
| KR101461455B1 (ko) | 인증 방법, 시스템 및 장치 | |
| Geneiatakis et al. | Survey of security vulnerabilities in session initiation protocol | |
| JP2007538426A5 (zh) | ||
| US9032487B2 (en) | Method and system for providing service access to a user | |
| Naeem et al. | A survey on registration hijacking attack consequences and protection for Session Initiation Protocol (SIP) | |
| Rasol et al. | An improved secure SIP registration mechanism to avoid VoIP threats | |
| US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
| CN102065069B (zh) | 一种身份认证方法、装置和系统 | |
| Shuang et al. | IMS security analysis using multi-attribute model | |
| Wang et al. | Model-based vulnerability analysis of IMS network. | |
| Werapun et al. | Solution analysis for SIP security threats | |
| Bremler-Barr et al. | Unregister attacks in SIP | |
| Ackermann et al. | Vulnerabilities and Security Limitations of current IP Telephony Systems | |
| Duanfeng et al. | Security mechanisms for SIP-based multimedia communication infrastructure | |
| Hagalisletto et al. | Formal modeling of authentication in SIP registration | |
| Seedorf et al. | Session PEERing for Multimedia INTerconnect (SPEERMINT) Security Threats and Suggested Countermeasures | |
| Sonwane et al. | Security analysis of session initiation protocol in IPv4 and IPv6 based VoIP network | |
| Al Saidat | A Design of an Enhanced Redundant SIP Model for Securing SIP-Based Networks | |
| Arafat et al. | SIP security in IP telephony | |
| Maachaoui et al. | Model-based security analysis for IMS network | |
| Al Saidat et al. | Develop a secure SIP registration mechanism to avoid VoIP threats | |
| Fox et al. | Towards Zero-Trust VoIP Architecture: A Testbed Implementation, Approach, and Lessons Learned | |
| Rossebo et al. | Security issues in VoIP | |
| Seedorf et al. | RFC 6404: Session PEERing for Multimedia INTerconnect (SPEERMINT) Security Threats and Suggested Countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070418 |