KR101207812B1 - 통신 시스템에서의 보안 강화 수단 - Google Patents

통신 시스템에서의 보안 강화 수단 Download PDF

Info

Publication number
KR101207812B1
KR101207812B1 KR1020077026105A KR20077026105A KR101207812B1 KR 101207812 B1 KR101207812 B1 KR 101207812B1 KR 1020077026105 A KR1020077026105 A KR 1020077026105A KR 20077026105 A KR20077026105 A KR 20077026105A KR 101207812 B1 KR101207812 B1 KR 101207812B1
Authority
KR
South Korea
Prior art keywords
peer
peer entity
identity
entity
security
Prior art date
Application number
KR1020077026105A
Other languages
English (en)
Other versions
KR20080048987A (ko
Inventor
미코 아이톨라
라우리 라흐티넨
칼레 탐미
Original Assignee
인텔렉츄얼 벤처스 원 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔렉츄얼 벤처스 원 엘엘씨 filed Critical 인텔렉츄얼 벤처스 원 엘엘씨
Publication of KR20080048987A publication Critical patent/KR20080048987A/ko
Application granted granted Critical
Publication of KR101207812B1 publication Critical patent/KR101207812B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4588Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결상에 동작의 보안을 제공하기 위한 방법과, 통신 장치와, 매개 장치와, 컴퓨터 프로그램 제품에 관한 것으로서, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티는 미리 배치된 퍼미션에 의해 상기 아이덴티티를 사용하여 제1피어 엔티티의 퍼미션이 요청된 동작을 허용하는지의 여부를 체크하며; 상기 방법은 제2피어 엔티티에서 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계를 포함하며, 상기 검증 단계는 퍼미션의 체킹 이전에 실행된다.
피어 엔티티, 보안 구성 테이블, 매개 장치, 컴퓨터 프로그램, 인증, 인가

Description

통신 시스템에서의 보안 강화 수단{MEASURES FOR ENHANCING SECURITY IN COMMUNICATION SYSTEMS}
본 발명은 통신 시스템의 보안 강화에 관한 것이다. 특히, 본 발명은 3GPP 통신 시스템 등과 같은 통신 시스템에서 두 개의 피어 엔티티(peer entity) 사이의 연결에 관한 동작들의 보안을 제공하기 위한 방법, 통신장치, 매개 장치, 시스템, 컴퓨터 프로그램 제품에 관한 것이다.
최근, 다수의 사용자와, 사용자에 의한 통신 서비스의 사용량에 관한 통신 기법이 널리 사용되고 있다. 이것은 다수의 상이한 기법 및 사용상의 기법 개념의 증가를 유발하였다.
한가지 특징은 네트웍의 이질성과, 전체 통신 시스템 프레임워크내에서의 기법 및 서비스에 존재한다. 이러한 네트웍의 실시예는 예를 들어 GSM(global system for mobile communications), GPRS(general packet radio service), UMTS(universal mobile telecommunication service)를 포함한다. 이러한 통신 설비에 있어서, 다수의 서비스 제공자들은 기본적으로 자신에게 등록되어 있는 사용자를 위해 통신이나 정보 서비스를 제공한다. 그러나, 현재 많은 보안관련 및/또는 사용자관련 서비스가 존재하고 있으며, 이러한 서비스는 통신 시스템에서 인증 및 인가 명령 등과 같은 보안을 제공한다. 예를 들어, 많은 미래 인터넷(IP) 서비스 또는 모바일 통신 서비스는 이러한 기능을 요구할 것이다. 만일 사용자가 예를 들어 다른 서비스 제공자의 보안관련 서비스를 사용하고자 한다면, 사용자는 자신을 인증 및/또는 인가해야만 한다.
통상적으로, 상술한 바와 같이 이러한 기능을 실행하기 위한 특정화된 네트웍은 통신 네트웍의 "상부"에 구축되며, AAA(인증, 인가, 및 회계)로 불리워진다. 시스템 억세스 및 데이터베이스 룩업처럼 이렇게 실현된 기능은 특정한 별도의 AAA 노드에서 실행될 수 있지만, 실제로 상기 노드는 하부에 놓인 통신 시스템의 노드내에서 실행되며, 이것은 하드웨어의 연결사용이라는 장점을 갖게 되어 비용을 절감하게 된다.
AAA 기법의 사용은 증가된 융통성 및 제어, 크기제어성, 표준화된 인증방법의 사용이라는 장점을 제공한다. 그러나, AAA 기능을 적절히 수행하기 위해 또한 AAA 기능과 연관된 각각의 메시지를 루팅하기 위해서는 특정화된 보안 및 루팅 프로토콜이 요구된다. 본 기술분야에 숙련자에게 공지되어 있는 표준화된 AAA 프로토콜에 대한 실시예는 IETF(인터넷 엔지니어링 태스크 포스)에 의해 표준화된 RADIUS(remote access dial-in user services)와, TACACS+(terminal access controller access system)과, Kerberos 를 포함한다. 이러한 프로토콜은 주로 외부로부터 AA 네트웍에 대한 다이얼인 및 터미널 서버 억세스를 위해 사용된다. 이에 대한 실시예로서, 자체 제공자가 아니라 다른 서비스 제공자의 도메인에서 사용자 로밍은 이러한 도메인내에서 자신을 인증해야만 한다. 따라서, 사용자는 가능하다면 패스워드 등과 함께 자신에게 필요한 서비스를 제공하기 위해 자신의 홈 도메인내에서, 요청을 AAA 노드에 전송한다.
이러한 형태의 또 다른 프로토콜은 AAA 프로토콜 요청 다이애미터(Diameter)이다. 다이애미터는 IETF에 의해 한정된다. 다른 종류의 억세스 기법 및 어플리케이션은 다이애미터 베이스 프로토콜의 능력을 사용할 수 있다. 그 특정의 AAA 메시지를 전송/수신 한다.
다이애미터 베이스 프로토콜은 AAA 기능성 및 AAA 메시지의 루팅을 위하여 세션향 및 비세션향 프레임워크를 제공한다. 여러 관점에 있어서, 다이애미터 프로토콜은 챌린지-응답 형태의 RADIUS 프로토콜에 통상적으로 사용되고 있는 현재와 유사하다. 2003년 9월 버전의 IETF RFC 3588(다이애미터 베이스 프로토콜)에 의해 한정된 기법은 또 다른 명세서에 사용된 용어에 대한 기초를 형성할 것이다.
이에 관해, 현재의 어플리케이션에 있어서 연결은 각각의 메시지(예를 들어, 다이애미터 메시지)를 교환하기 위해 두개의 피어 엔티티 사이의 전송 레벨 링크로서 인식되어야 한다. 피어 엔티티는 주어진 노드, 서버, 또는 통신 장치(피어 엔티티로도 언급되는)가 직접 전송 연결을 갖는 터미널 장치를 포함하는 네트웍 노드로서 인식되어야 한다.
이하 간단히 다이애미터로 언급되는 다이애미터 베이스 프로토콜은 특히 Cx, Dx, Th, 및 Rf 인터페이스가 한정된, 예를 들어 3GPP IP 멀티미디어 서브시스템(IMS)에 사용된다.
보안 특징부를 제공하기 위해, 특히 네트웍 및 전송 레벨 보안 특징부를 제공하기 위해, 다이애미터는 기본적으로 IPSec(인터넷 프로토콜 보안 프로토콜) 또는 TLS(전송 층 보안 프로토콜)에 의존하여, 이들 두 프로토콜은 본 기술분야에 널리 공지되어 있는 보안 프로토콜이다. 따라서, 다이애미터 연결, 이하 다이애미터 피어 엔티티로 언급되는 통신 엔티티를 인증하는 방법이 제공된다. 따라서, 이러한 방법을 사용하게 되면, 단지 믿음직한, 즉 인증된 피어 엔티티가 메시지를 교환할 수 있게 된다. 다이애미터 보안에 관한 또 다른 상세한 내용은 상술한 RFC3588에 설명되어 있다.
Sh 기준 포인트(예를 들어 2004년 12월의 3GPP 사양 TS 29.328, V6.4.0에 특정화된)와 연관된 다이애미터 어플리케이션은 Sh 기준 포인트에 대한 동작을 제어하는데 사용되는 이른바 AS 퍼미션 리스트를 특징으로 한다. 각각의 어플리케이션 서버 AS 는 자신의 퍼미션 세트를 가지며, 그 다이애미터 아이덴티티에 의해 인증된다(이러한 다이애미터 아이덴티티는 각각의 다이애미터 메시지의 명령 부분인 근원-호스트 AVP에 포함된다). AS 퍼미션 리스트에서는 시스템에 존재하는 단일의 어플리케이션 서버와 이들 각각에 허용된 특정 동작 사이의 연관성이 한정된다. 각각의 퍼미션은 홈 가입자 서버에 의해 서빙되는 모든 사용자에 인가되므로, 이들은 사용자-특정되지 않는다.
즉, 어플리케이션 서버는 홈 가입자 서버(HSS)에 저장된 정보를 판독(또는 인출)할 것이 요구되고, 이러한 정보를 기입(또는 업데이트)하고, 또는 특정 정보에 대한 변화가 고지될 것이 요구된다. 그후, 홈 가입자 서버는 미리 배치된 AS 퍼미션 리스트에 의해 요청 어플리케이션 서버에 의해 사용된 아이덴티티를 사용하 여, 어플리케이션 서버(AS)의 퍼미션이 요구된 동작을 허용하였는지를 검사한다. 요구된 AS 가 요구된 동작을 사용할 것이 허용되었다면, 실행될 것이고 그렇지 않으면 HSS로부터 요구된 AS 로 에러 결과가 복귀된다.
그러나, 이러한 믿음직한 피어 엔티티는 그 아이덴티티(이 경우, 그 다이애미터 아이덴티티)를 위조할 수 있다. 이것은 다이애미터 연결 설정 초기로부터 즉시 또는 진행되고 있는 연결중 선택된 다이애미터 메시지에서 발생될 수 있다. 특히, 그 아이덴티티의 위조에 의한 후자의 보안 공격은 지금까지 사용된 종래의 보안 메카니즘으로 검출하기가 매우 어렵다.
종래 기술에 따른 보안 메카니즘에 내재하는 문제점을 나타내기 위한 실시예로서, 3GPP IMS 서브시스템의 프레임워크내에서 어플리케이션 서버(AS)(예를 들어, 세션 개시 프로토콜에 기초한 SIP 어플리케이션 서버)와 홈 가입자 서버(HSS) 사이의 연결이 고려된다. 이러한 피어 엔티티 사이의 인터페이스는 Sh 기준 포인트(3GPP TS 29.328, V6.4.0)로서 알려져 있다.
만일 악의적인 어플리케이션 서버가 그 다이애미터 아이덴티티를 위조한다면(즉, 이와는 다른 AS의 아이덴티티를 사용하여 또 다른 어플리케이션 서버를 제안한다면), 그 자체가 인증되지 않는 데이타의 저장, 수정, 및/또는 판독을 위한 퍼미션을 얻을 수 있다(그러나, 악의적인 어플리케이션 서버가 제안하는 다른 어플리케이션 서버도 있다).
이러한 시나리오는 종래 기술에 따른 Sh 인터페이스에 대한 보안 방법의 시그널링 다이아그램을 나타내는 도1에 도시되어 있다.
도1에 따른 단계(1)에서, AS1에 의해 나타난 어플리케이션 서버는 HSS에 의해 나타나는 홈 가입자 서버에 요청 REQ를 전송한다. 변수로서, 요청은 "AS1"를 어플리케이션 서버의 (진정한)아이덴티티로 포함하고, "P"를 요청된 동작, 즉 HSS로부터의 데이터 인출의 표시로서 포함한다. 요청 수신에 따라, 홈 가입자 서버는 어플리케이션 서버(AS1)가 데이터 인출 동작이 허용되었는지의 여부를 AS 퍼미션 리스트를 사용하여 검사한다[단계(2)]. AS 퍼미션 리스트에 따라, 요청시 AS1 은 동작[U(업데이팅), N(통지)]를 사용할 것이 허용되지만, 동작(P)은 허용되지 않는다. 따라서, 퍼미션 리스트의 인콰이어리(enquiry)는 부정적인 결과("NOK")를 생성하고, 홈 가입자 서버(HSS)는 부정적인 응답(RESP)을 요청 어플리케이션 서버로 복귀시킨다[단계(3). 즉, HSS에 의해 AS1은 동작(P)에 허용되는 것이 부정된다.
AS1의 측부에 있는 이중선[단계(3)와 단계(4) 사이]은 의심스러운 어플리케이션 서버가 자신의 아이덴티티를 위조하고 있다는 것을 나타낸다. 즉, 하기에 있어서, AS1은 AS2를 제안하고, 이러한 AS2는 어플리케이션 서버가 그렇게 해야 할 필요한 정보(즉, AS2의 아이덴티티)를 어떻게 얻었는지에 대해 현재의 어플리케이션과는 관련이 없다. 단계(4)에 있어서, 어플리케이션 서버(AS1)는 다지 동작(P)을 요청하지만, 이제는 AS2인 것처럼 보인다. 단계(5)에 있어서, 홈 가입자 시스템은 AS 퍼미션 리스트에 의해 인콰이어리를 다시 실행한다. 이것은 어플리케이션 서버(AS2)가 동작(P, U, N)중 하나를 사용하도록 허용되는 결과를 생성한다. 홈 가입자 서버는 AS1에 의해 위조된 아이덴티트 AS2를 모르고 또한 이러한 위조를 검출할 수 있는 그 어떤 수단을 갖고 있지 않기 때문에, 포지티브 응답("OK")을 요 청(악의적인) 어플리케이션 서버(AS1)에 복귀시키므로써, HSS로부터의 데이터 판독이 허용된다.
응답 메시지는 각각의 요청을 전송할 때 어플리케이션 서버(AS1)에 의해 사용된 전송 어드레스에 어드레스되지만, 사용된 다이애미터 아이덴티티에는 어드레스되지 않음을 인식해야 한다. 따라서, 다이애미터 아이덴티티가 위조되었더라도(잘못된 퍼미션 인콰이어리를 유발시킨다), 메시지는 실제로 (전송 어드레스)AS1에 도달된다. 이것은 개방 시스템 상호연결(open system interconnection: OSI) 네트웍 모델 및 다이애미터 베이스 프로토콜 메시지 루팅 기능성에 따라, 상이한 층(이 경우, 네트웍층 및 전송층)의 분배된 기능성으로 인한 것이다.
따라서, 도1에 도시된 실시예와 상술한 바에 따라 인식할 수 있는 바와 같이, 그 아이덴티티를 위조하므로써 보안 공격을 실행하는 다이애미터 피어 엔티티를 피하거나 및/또는 검출하기 위한 종래기술에 따른 수단은 없다.
미국 특허출원 제10/940.981호(본 발명과 동일한 출원인에 의해 출원되었으며, 아직 공개되지 않았음)는 다소 유사한 문제점에 대해 개시하고 있다. 네트웍의 도메인의 클라이언트와 상기 네트웍의 서비스 노드 사이에 세션의 보안을 제공하는 방법이 제공되며, 상기 네트웍은 다수의 도메인으로 구성되어 있다. 미국 특허출원 제10/940.981호에는 메시지에 포함된 루팅 정보에 기초한 영역기반 보안 메카니즘이 제공된다. 그러나, 이와 같이 제공된 솔루션은 특히 도메인기반 네트웍 및 이러한 네트웍에 내재된 특정의 보안 문제를 목표로 하고 있음을 인식해야 한다.
따라서, 3GPP IP 멀티미디어 서브시스템 등과 같은 통신 시스템의 피어 엔티티 사이에서 더욱 보안한 연결을 제공하기 위해 상술한 바와 같은 문제점 및 결점에 대한 일반적인 솔루션이 아직 요구되어 있다.
본 발명의 목적은 종래 기술에 내재된 상술한 바와 같은 문제점 및 결점을 제걸하고 개선된 방법과 장치와 시스템 및 컴퓨터 프로그램 제품을 제공하는 것이다.,
본 발명의 제1특징에 따르면, 이러한 목적은 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작 보안을 제공하는 방법에서, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하며, 상기 제2피어 엔티티는 제1피어 엔티티의 퍼미션이 설정된 형태의 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작을 허용하는지의 여부를 체크하는 방법에 있어서; 제2피어 엔티티에서 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계를 포함하며, 상기 검증 단계는 퍼미션의 체킹 이전에 실행되는 것을 방법에 의해 달성된다.
본 발명의 또 다른 양호한 전개에 따르면, 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계는 제1피어 엔티티와 제2피어 엔티티 사이의 보안 연관성에 따라 유효한 아이덴티티인지를 결정하는 단계를 포함하며; 상기 아이덴티티가 유효하지 않을 때, 네거티브 결과가 생성된다.
상기 결정 단계는 제2피어 엔티티에서 유지된 보안 구성 테이블(security configuration table)에 기초하여 실행되며; 상기 보안 구성 테이블은 유효한 아이덴티티 쌍과, 상기 보안 연관성의 적어도 하나의 변수를 포함한다.
상기 보안 연관성의 적어도 하나의 변수는 제1피어 엔티티의 전송 어드레스를 포함한다.
제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계는 계속적인 연결중 상기 아이덴티티가 변화되었는지의 여부를 결정하는 단계를 포함하며; 상기 아이덴티티가 변화된 것으로 검출되었을 때, 네거티브 검증 결과가 생성된다.
상기 방법은 계속적인 연결에서 본래 제1피어 엔티티에 의해 사용된 아이덴티티를 제2피어 엔티티에 저장하는 단계를 포함한다.
상기 방법은 만일 검증 단계가 네거티브 검증 결과를 생성하였다면, 제2피어 엔티티로부터 제1피어 엔티티로 요청된 동작의 거부 응답을 전송하는 단계를 부가로 포함한다.
상기 응답은 제1피어 엔티티에 관한 보안 문제를 나타낸다.
제1피어 엔티티와 제2피어 엔티티 사이의 연결에는 매개 장치가 배치되고, 상기 방법은 매개 장치에서 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계를 부가로 포함한다.
매개 장치에서의 검증 단계는 제1피어 엔티티와 매개 장치 사이의 보안 연관성에 따라, 상기 아이덴티티가 유효 아이덴티티인지의 여부를 결정하는 단계를 포함하며; 상기 아이덴티티가 유효하지 않다고 결정되었을 때, 네거티브 검증 결과가 생성된다.
매개 장치에서의 검증 단계는 계속적인 연결중 상기 아이덴티티가 변화되었는지의 여부를 결정하는 단계를 포함하며; 상기 아이덴티티가 변화된 것으로 검출되었을 때, 네거티브 검증 결과가 생성된다.
상기 방법은 매개 장치에서의 검증 단계가 네거티브 검증 결과를 생성하였을 때, 매개 장치로부터 제1피어 엔티티로 요청된 동작의 거부 응답을 전송하는 단계를 부가로 포함한다.
상기 방법은 매개 장치에서 검증 단계가 포지티브 검증 결과를 생성하였을 때, 제1피어 엔티티로부터 제2피어 엔티티로 요청을 전송하는 단계를 부가로 포함한다.
상기 매개 장치는 프록시 노드 이다.
상기 매개 장치는 릴레이 에이전트 이다.
제1피어 엔티티는 어플리케이션 서버 이다.
제2피어 엔티티는 홈 가입자 서버 이다.
상기 방법은 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초한다.
상기 프로토콜은 다이애미터 베이스 프로토콜이다.
제1피어 엔티티에 의해 사용된 아이덴티티는 다이애미터 베이스 프로토콜에 따른 아이덴티티이다.
상기 프로토콜은 RADIUS 이다.
제1피어 엔티티에 의해 사용된 아이덴티티는 RADIUS 프로토콜에 따른 아이덴티티이다.
전송 어드레스는 인터넷 프로토콜에 기초한다.
제1피어 엔티티와 제2피어 엔티티 사이의 연결은 3GPP(third generation partnership project) 사양에 따른 Sh 기준 포인트를 포함한다.
본 발명의 제2특징에 따르면, 이러한 목적은 통신 시스템의 제1피어 엔티티와 제2피어 엔티티로서의 통신 장치 사이의 연결에 동작 보안을 제공하는 방법에 사용하기 위한 통신 장치에서, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하는 통신 장치에 있어서; 제1피어 엔티티로부터 요청을 수신하는 수신기 장치와, 상기 제1피어 엔티티의 퍼미션이 미리 설정된 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작을 허용하는지의 여부를 체크하는 체커 장치와, 상기 미리 설정된 퍼미션 리스트를 저장하는 제1메모리 장치와, 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 밸리데이터 장치를 포함하며; 상기 밸리데이터 장치는 퍼미션의 체킹을 실행하는 체커 장치 이전에 검증 단계를 실행한다.
본 발명의 또 다른 양호한 전개에 따르면, 상기 밸리데이터 장치는 제1피어 엔티티와 제2피어 엔티티 사이의 보안 연관성에 따라, 제1피어 엔티티에 의해 사용된 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하는 결정기 장치를 포함하며; 상기 결정기 장치는 상기 아이덴티티가 유효하지 않은 것으로 결정되었을 때, 네거티브 검증 결과를 생성한다.
상기 결정기 장치는 제2피어 엔티티에서 유지된 보안 구성 테이블에 기초하여 검증 단계를 실행하며; 상기 보안 구성 테이블은 유효한 아이덴티티 쌍과, 상기 보안 연관성의 적어도 하나의 변수를 포함한다
통신 장치는 상기 보안 구성 테이블을 저장하는 제2메모리 장치를 부가로 포함한다.
상기 보안 연관성의 적어도 하나의 변수는 제1피어 엔티티의 전송 어드레스를 포함한다.
상기 밸리데이터 장치는 제1피어 엔티티에 의해 사용된 아이덴티티가 계속적인 연결중 변화되었는지의 여부를 검출하는 검출기 장치를 포함하며; 상기 검출기 장치는 상기 아이덴티티가 변화된 것으로 검출되었을 때, 네거티브 검증 결과를 생성한다.
상기 통신 장치는 계속적인 연결에서 제1피어 엔티티에 의해 본래 사용된 아이덴티티를 저장하는 제3메모리 장치를 부가로 포함한다.
상기 통신 장치는 상기 밸리데이터 장치가 네거티브 검증 결과를 생성하였을 때, 요청된 동작의 거부 응답을 제1피어 엔티티에 전송하는 전송기 장치를 부가로 포함한다.
상기 응답은 제1피어 엔티티에 대한 보안 문제를 나타낸다.
상기 통신 장치는 홈 가입자 서버 이다.
상기 통신 장치는 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초하여 작동된다.
제1피어 엔티티에 의해 사용된 아이덴티티는 다이애미터 베이스 프로토콜에 따른 아이덴티티 이다.
제1피어 엔티티에 의해 사용된 아이덴티티는 RADIUS 프로토콜에 따른 아이덴티티이다.
전송 어드레스는 인터넷 프로토콜에 기초한다.
제1피어 엔티티와 제2피어 엔티티 사이의 연결은 3GPP 사양에 따른 Sh 기준 포인트를 포함한다.
본 발명의 제3특징에 따르면, 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작 보안을 제공하는 방법에 사용하기 위한 매개 장치에서, 상기 매개 장치는 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 배치되고, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하는 매개 장치에 있어서; 제1피어 엔티티로부터의 요청과 제2피어 엔티티로부터의 응답을 수신하는 수신기 장치와, 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 밸리데이터 장치를 포함한다.
본 발명의 또 다른 양호한 전개에 따르면, 상기 밸리데이터 장치는 제1피어 엔티티와 매개 장치 사이의 보안 연관성에 따라, 제1피어 엔티티에 의해 사용된 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하는 결정기 장치를 포함하며; 상기 결정기 장치는 상기 아이덴티티가 유효하지 않은 것으로 결정되었을 때 네거티브 검증 결과를 생성한다.
상기 매개 장치는 보안 구성 테이블을 저장하는 제1메모리 장치를 부가로 포함한다.
상기 밸리데이터 장치는 계속적인 연결중 상기 제1피어 엔티티에 의해 사용된 아이덴티티가 변화되었는지의 여부를 검출하는 검출기 장치를 부가로 포함하며; 상기 검출기 장치는 상기 아이덴티티가 변화된 것으로 검출되었을 때, 네거티브 검증 결과를 생성한다.
상기 매개 장치는 계속적인 연결에서 제1피어 엔티티에 의해 본래 사용된 아이덴티티를 저장하는 제2메모리 장치를 부가로 포함한다.
상기 매개 장치는 상기 매개 장치의 밸리데이터 장치가 포지티브 검증 결과를 생성하였을 때, 제1피어 엔티티로부터 제2피어 엔티티로 요청을 전송하는 전송기 장치를 전송기 장치를 부가로 포함한다.
상기 매개 장치는 상기 매개 장치의 밸리데이터 장치가 네거티브 검증 결과를 생성하였을 때, 거부 응답을 제1피어 엔티티에 전송하는 전송기 장치를 부가로 포함한다.
상기 매개 장치는 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초하여 작동된다.
상기 매개 장치는 다이애미터 프록시 노드 이다.
상기 매개 장치는 다이애미터 릴레이 에이전트 이다.
본 발명의 제4특징에 따르면, 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작 보안을 제공하는 방법에서, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하며, 상기 제2피어 엔티티는 제1피어 엔티티의 퍼미션이 설정된 형태의 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작을 허용하는지의 여부를 체크하는 시스템에 있어서; 동작 요청을 적어도 하나의 제2피어 인타에 전송하는 전송기 장치를 포함하는 적어도 하나의 제1피어 엔티티와, 적어도 하나의 제1피어 엔티티로부터 요청을 수신하는 수신기 장치를 포함하는 적어도 하나의 제2피어 엔티티와, 적어도 하나의 제1피어 엔티티의 퍼미션이 미리 설정된 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작을 허용하는지의 여부를 체크하는 체커 장치와, 상기 미리 설정된 퍼미션 리스트를 저장하는 제1메모리 장치와, 적어도 하나의 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 밸리데이터 장치를 포함하며; 상기 밸리데이터 장치는 퍼미션의 체킹을 실행하는 체커 장치 이전에 검증 단계를 실행하는 시스템에 의해 달성된다.
본 발명의 또 다른 양호한 전개에 따르면, 적어도 하나의 제2피어 엔티티는 본 발명의 제2특징에 따라 형성된다.
상기 시스템은 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 배치되는 적어도 하나의 매개 장치를 부가로 포함하며; 상기 매개 장치는 적어도 하나의 제1피어 엔티티로부터의 요청과 적어도 하나의 제2피어 엔티티로부터의 응답을 수신하는 수신기 장치와, 적어도 하나의 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 밸리데이터 장치를 포함한다.
적어도 하나의 제1피어 엔티티는 어플리케이션 서버 이다.
적어도 하나의 제2피어 엔티티는 홈 가입자 서버 이다.
제1피어 엔티티와 제1피어 엔티티 사이의 연결은 3GPP 사양에 따른 Sh 기준 포인트를 포함한다.
본 발명의 제5특징에 따르면, 이러한 목적은 예를 들어 컴퓨터 프로그램 제품에 의해 달성되며; 상기 컴퓨터 프로그램 제품은 디지탈 처리 수단의 메모리에 로딩가능하고, 상기 제품이 디지탈 처리수단에서 작동될 때 본 발명의 제1특징에 따른 방법의 단계를 실행하기 위해 소프트웨어 코드부를 포함한다.
본 발명의 장점은 일반적으로 다이애미터 프로토콜 보안에 관한 개선이 제공된다는 점이다.
본 발명의 실시예에 의해, 피어 엔티티에서 보안한 방식으로 사용가능한 퍼미션 정보를 사용할 수 있다. 이것은 특히 3GPP 사양에 따른 Sh 인터페이스에 연관된 AS 퍼미션 리스트를 적용한다.
본 발명의 실시예의 또 다른 장점은 현존의 프로토콜 및/또는 처리과정의 구조적 변화없이, 약간의 부가적 처리에 의해 보안의 개선이 이루어질 수 있다는 점이다.
본 발명의 기타 다른 목적과 특징 및 장점은 첨부된 도면을 참조한 하기의 상세한 설명에 의해 보다 명확하게 이해될 것이다.
도1은 종래 기술에 따른 Sh 인터페이스에 대한 보안 방법의 시그널링 다이아그램을 도시한 도면.
도2는 본 발명의 일실시예에 따른 보안 방법의 시그널링 다이아그램의 실시예를 도시한 도면.
도3은 본 발명의 다른 실시예에 따른 보안 방법의 시그널링 다이아그램의 실시예를 도시한 도면.
도4는 본 발명의 또 다른 실시예에 따른 보안 방법의 시그널링 다이아그램의 실시예를 도시한 도면.
도5는 본 발명의 다른 실시예에 따른 매개 장치의 블럭 다이아그램의 실시예를 도시한 도면.
본 발명은 비제한적인 특정 실시예를 참조하여 서술될 것이다. 본 기술분야의 숙련자라면 본 발명은 이러한 실시예에 한정되지 않으며, 광범위하게 적용될 수 있음을 인식할 것이다.
특히, 처리과정이 기초로 하는 예시적인 프로토콜로서 다이애미터가 사용되었지만 또한 3GPP 사양에 따른 Sh 인터페이스가 예시적인 기준 포인트로 사용되었지만, 본 발명은 이러한 사양 조건에 한정되지 않는다. 오히려, 본 발명은 어떠한 통신 시스템 및 유사한 조건을 나타내는 시나리오에도 적용될 수 있다. 각각의 경우에 대해 명확하게 언급하지 않았지만, 본 발명의 실시예는 예를 들어 인가와 인증 및 회계(AAA) 기능과 연관된 프로토콜에도 적용될 수 있으며, 그 일실시예는 상술한 RADIUS 프로토콜 이다.
따라서, 주어진 실시예는 다이애미터 및 3GPP IMS 서브시스템과 직접적으로 연관된 용어를 언급한다. 이러한 용어는 제공된 실시예의 내용에 사용될 뿐만 아니라, 어떤 경우라도 본 발명을 한정하지 않는다.
도2는 본 발명의 일실시예에 따른 보안 방법의 시그널링 다이아그램을 도시하고 있다.
도2에 도시된 시나리오는 기본적으로 상술한 도1의 시나리오와 유사하다. 즉, 어플리케이션 서버(AS1)와 홈 가입자 서버(HSS) 사이의 Sh 인터페이스에 대한 보안 방법은 본 발명의 일실시예를 나타내기 위한 실시예로서 도시되었다. 주어진 실시예에서, 어플리케이션 서버(AS1)는 예를 들어 xxx.yyy.xxx 의 형태인 인터넷 프로토콜(IP)을 지지하는 전송 어드레스(XYZ)를 사용하며, 상기 x, y, z 는 상수를 각각 나타낸다.
단계(1)에서, 제1피어 엔티티로서의 어플리케이션 서버(AS1)는 그 자신의 아이덴티티를 사용하여 제2피어 엔티티로서의 홈 가입자 서버(HSS)로부터 동작(P)(인출)을 요청하며, 즉 AS1은 REQ(AS1, P)의 형태인 요청을 HSS에 전송한다.
본 발명의 실시예에 따르면, 제2피어 엔티티 HSS에는 전송 어드레스 IPAddr 의 사용이 허용되는 다이애미터 아이덴티티 또는 아이덴티티들을 형성하는 테이블이 배치된다. 도2에는 보안 구성 테이블로서 이러한 테이블이 도시되어 있다. IP 어드레스에 대해 허용된 다이애미터 아이덴티티의 형태는 다이애미터 피어 엔티티와 연관되어 이미 배치된 피어 테이블의 일부로서 예시적으로 실행된다. 따라서, 보안 구성 테이블은 각각의 피어 엔티티 사이의 보안 연관성을 나타내며; 보안 연관성의 적어도 하나의 변수를 나타내는 전송 어드레스와 각각의 아이덴티티 쌍을 포함한다. 도2에서 간단명료함을 위하여 전송 어드레스와 아이덴티티 사이의 대응관계는 일대일 대응하는 상태로 도시되었지만, 하나의 다이애미터 아이덴티티는 여러개의 IP 어드레스를 결정하는 것을 인식해야만 한다. 또한, 특히 동일한 서버에서 작동되는 다수의 다이애미터 피어인 경우 주어진 IP 어드레스에 대해 하나이상의 유효한 다이애미터 아이덴티티를 형성하는 것도 유용하다.
그후, 제2피어 엔티티는 근원 호스트(origin-host)(AVP: attribute value pair)의 다이애미터 아이덴티티가 메시지가 전송된 IP 어드레스를 위해 허용되는 각각의 수신된 다이애미터 메시지를 체크한다. 따라서, IP 어드레스 자체의 값은 신뢰할 수 있는데, 그 이유는 상술한 바와 같이 IPsec 또는 TLS 보안은 데이타 근원 인증을 포함하는 보안 특징을 제공하기 위해 사용되기 때문이다. 달리 말하면, 홈 가입자 서버(HSS)는 제1피어 엔티티에 의해 사용된 아이덴티티를 검증한다. 도2에 있어서, 검증은 어플리케이션 서버(AS1)에 의해 사용된 아이덴티티가 미리 배치된 보안 구성 테이블에 의해 유효한 아이덴티티인지를 결정하므로써 단계(2)에서 실행된다. 단계(2)에서, 포지티브 검증 결과는 상기 테이블의 인콰이어리에 의해 생성되는데, 그 이유는 어플리케이션 서버(AS1)에 의해 사용된 IP 어드레스 및 현재 사용되고 있는 아이덴티티는 유효하게 연관되어 있기 때문이다.
그후, 홈 가입자 서버(HSS)는 종래 기술과 관련하여 설명한 바와 같이 AS 퍼미션 리스트의 인콰이어리를 실행하며, 이에 따라 요청되었을 때 동작(P)을 사용할 퍼미션을 갖지 않기 때문에 어플리케이션 서버(AS1)에 네거티브 응답을 복귀시킨 다.
AS1의 측부에서 이중선으로 표시된 지점에서[단계(4)와 단계(5) 사이], 중간 결과는 종래 기술에 따라 효과적으로 동일하다. 즉 AS1은 동작(P)을 사용하는 것이 거부된다.
단계(5)에서, 의심스러운 어플리케이션 서버는 다시 그 아이덴티티를 위조하며, 즉 어플리케이션 서버(AS2)로서 제안되어 다시 동작(P)을 요청하지만, 아이덴티티 AS2를 사용하는 것이 허용되지 않는다.
제1피어 엔티티 AS1 에 의해 사용된 아이덴티티의 검증중에, 제2피어 엔티티 HSS 는 사용된 아이덴티티가 유효한지의 여부를 결정하며, 이것은 보안 구성 테이블을 사용하여 실행된다. 그러나 이러한 단계(6)의 인콰이어리는 네거티브 검증 결과를 생성하는데, 그 이유는 사용된 전송 어드레스, 즉 예를 들어 상술한 바와 같이 IPSec 사용으로 인해 AS1에 의해 위조될 수 없는 XYZ 는 사용된 아이덴티티, 즉 AS2 와 매칭되지 않기 때문이다. 따라서, 제1피어 엔티티에 의해 사용된 아이덴티티는 유효하지 않은 것으로 결정된다. 따라서, AS 퍼미션의 또 다른 인콰이어리가 생략될 수 있다. HSS 는 네거티브 검증 결과, 즉 요청되는 어플리케이션 서버(AS1)의 요청된 동작의 거부 응답을 복귀시킨다(이것은 도1을 참조로 설명한 바와 같이 종래 기술에 따른 최종 결과는 배치된다).
실제로, 네거티브 검증 결과 응답은 미리 설정된 결과 코드 DIAMETER_INVALID_AVP_VALUE 를 사용하므로써 실행될 수 있으며, 이것은 요청하는 어플리케이션 서버(AS1)에게 다이애미터 메시지의 근원 호스트 AVP에서 문제가 있다는 것을, 즉 사용된 다이애미터 아이덴티티가 유효하지 않은 것으로 결정되었음을 알려준다. 따라서, 보안 문제는 제1피어 엔티티에 알려진다. 선택적으로, 만일 제2피어 엔티티가 요청 발송인, 즉 제1피어 엔티티에게 보안 문제가 발생하였음을 나타내지 않기를 원하다면, HSS 는 DIAMETER_UNABLE_TO_COMPLY 등과 같은 미리 설정된 결과 코드를 사용하므로써 응답할 수도 있다. 또 다른 대안으로는 동일한 결과 코드를 사용하는 것으로서, 이러한 결과 코드는 예를 들어 DIAMETER_ERROR_USER_CNANOT_BE_READ 과 DIAMETER_ERROR_USER_CNANOT_BE_MODIFIED, 및 DIAMETER_ERROR_USER_CNANOT_BE_NOTIFIED 등과 같은 명령에 대한 퍼미션이 없다는 것을 의심스러운 어플리케이션에 나타내는데 사용된다. 일실시예를 참조하여 상세히 서술하였지만, 본 발명에 따른 방법의 원리는 달리 말하면 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작의 보안을 제공함에 있으며, 상기 피어 엔티티는 아이덴티티 및 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하며, 제2피어 엔티티는 제1피어 엔티티의 퍼미션이 미리 설정된 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작이 허용되었는지를 체크한다. 이러한 방법은 제2피어 엔티티에서 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계를 포함하며, 상기 검증 단계는 퍼미션의 체크 이전에 실행된다.
일반적으로 어플리케이션 서버는 인식할 수 있는 변수로서 발송인의 전송 어드레스 대신에 또는 이와 함께, 홈 가입자 서버와 의심스러운 어플리케이션 서버 사이의 보안 연관성을 확인하는 다른 변수에 대해 검증될 수 있다.
도3은 본 발명의 다른 실시예에 따른 보안 방법의 시그널링 다이아그램을 도시하고 있다. 제공된 실시예는 보안 정책이 피어 엔티티의 동적인 발견을 허용하는 경우와 관련되어 있다. 이 경우, 주어진 전송 어스레스(즉, 보안 구성 테이블)에 대해 허용된 다이애미터 아이덴티티의 미리 설정된 형태를 사용할 수 없다.
일반적으로, 도3에 도시된 시나리오는 보안 구성 테이블의 사용이 없다면, 도1 및 도2에 도시된 시나리오와 유사하며, 특히 도1의 시나리오와 유사하다. 따라서, 단계( 1 내지 3)의 설명은 도1에서 각각의 단계의 설명을 언급하므로써 생략된다.
AS1의 측부에 있는 이중선[단계(3)과 단계(4) 사이]은 의심스러운 어플리케이션 서버(AS1)가 그 자신의 아이덴티티를 위조하는 것을 나타내고 있다. 즉, 하기의 AS1은 AS2로 가장된다. 단계(4)에서, 어플리케이션 서버(AS1)는 AS2 인것처럼 동작(P)을 요청한다. 단계(5)에서, 본 발명의 실시예에 따르면, 홈 가입자 서버는 제1피어 엔티티 AS1에 의해 사용된 아이덴티티가 진행중인 다이애미터 연결의 유효기간동안 변화되었는지의 여부를 검출한다.
이러한 실시예의 경우, 홈 가입자 서버(HSS)는 제1피어 엔티티에 의해 사용된 아이덴티티의 검증 단계중에 제1피어 엔티티가 그 다이애미터 아이덴티티로서 AS1을 이미 사용하였으며 동일한 전송 연결내에서 AS2를 다이애미터 아이덴티티로서 사용하고 있음을 나타낸다. 이를 위하여, 현재 진행중인 다이애미터 연결에서 어플리케이션 서버(AS1)가 본래 사용한 아이덴티티는 제2피어 엔티티에 저장되어야만 한다. 따라서, 단계(5)에서, 검출(즉, AS2≠AS1)에 의해 네거티브 검증 결과가 생성되고, 제2엔티티로서 홈 가입자 서버(HSS)는 제1피어 엔티티, 즉 어플리케이션 서버(AS1)에 요청된 동작의 거부 응답을 복귀시킨다. 실제로, 응답은 도2를 참조하여 설명한 바와 동일한 방식으로 실행될 수 있다.
간단히 설명한다면, Sh 인터페이스에 연관된 AS 퍼미션 리스트의 보안한 취급은 홈 가입자 서버가 어플리케이션 서버 아이덴티티를 검증할 수 있을 것이 요구된다. 이것은 상술한 보안 방법중 하나(또는 등가의 변형예)가 홈 가입자 서버에 실행되므로써 실현될 수 있다.
따라서, 홉 바이 홉(hop-by-hop) 보안이 제공된다. 단부-단부 보안을 제공하기 위해, 본 발명의 방법은 다음과 같이 사용될 수 있다.
만일 홈 가입자 서버(HSS)와 어플리케이션 서버(AS)(예를 들어, AS1) 사이에 다이애미터 프록시(예를 들어, 릴레이 노드)가 있다면, 어플리케이션 서버 아이덴티티는 중간 다이애미터 프록시에 의해 검증되어야만 하며, 또는 이것이 불가능할 경우, 각각의 프록시 후방의 어플리케이션 서버는 동일한 퍼미션이 주어져야만 한다.
도4는 하나이상의 매개 장치(이하, 릴레이/프록시 노드로 언급된다)를 포함하는 시나리오에 따라 본 발명의 실시예에 따른 보안 방법의 시그널링 다이아그램의 실시예를 도시하고 있다.
도4의 예시적인 시나리오에서, 어플리케이션 서버(AS1)는 전송 어드레스(XYZ)를 사용하고, 릴레이/프록시 노드는 전송 어드레스(ABC)를 사용하며, 이들 둘은 예를 들어 인터넷 프로토콜(IP) 어드레스를 지지한다.
먼저, 제1피어 엔티티로서 어플리케이션 서버(AS1)는 그 자신의 아이덴티티를 사용하여, 제2피어 엔티티로서의 홈 가입자 서버(HSS)로부터 동작(P)(인출)을 요청하기를 원한다. 이러한 실시예에서, 그러나 어플리케이션 서버(AS1)는 홈 가입자 서버(HSS)가 아니라 릴레이/프록시에 의해 표시된 매개 장치에게 각각의 요청을 전송하지 않는다.
본 발명의 실시예에 따르면, 매개 장치에는 전송 어드레스(IPAddr)의 사용이 허용되는 아이덴티티(ID) 또는 다이애미터 아이덴티티를 형성하는 테이블이 배치된다. 이러한 테이블은 보안 구성 테이블로서 표시된다. 그 형태는 상술한 실시예에 따른 보안 구성 테이블과 유사하다.
그후, 릴레이/프록시 노드는 각각의 수신된 다이애미터 메시지를 체크하며, 이러한메시지는 근원 호스트(AVP)에서의 다이애미터 아이덴티티가 메시지가 전송되는 IP 어드레스에 허용된다. 따라서, IP 어드레스 자체의 값은 신뢰할 수 있는데, 그 이유는 상술한 바와 같이 데이타 근원 인증을 포함하는 보안 특징을 제공하기 위해 IPSec 또는 TLS 보안이 사용되기 때문이다. 달리 표현한다면, 릴레이/프록시 노드는 제1피어 엔티티에 의해 사용된 아이덴티티를 검증한다. 도4에 있어서, 검증은 어플리케이션 서버(AS1)에 의해 사용된 아이덴티티가 미리 설정된 보안 구성 테이블에 의해 유효한 아이덴티티인지의 여부를 결정하므로써 실행된다. 이러한 실시예에서는 상기 테이블의 인콰이어리에 의해 포지티브 검증 결과가 생성되는데, 그 이유는 어플리케이션 서버(AS1)에 의해 사용된 IP 어드레스(XYZ) 및 현재 사용되고 있는 아이덴티티가 유효하게 연관되기 때문이다.
이에 따라 릴레이/프록시 노드는 요청을 어플리케이션 서버(AS1)로부터 홈 가입자 서버(HSS)로 전송한다. 홈 가입자 서버에서는 도2를 참조하여 설명한 바와 유사한 동작이 실행된다. 따라서, HSS 에서의 동작에 대한 상세한 설명은 생략한다.
따라서, 홈 가입자 서버(HSS)는 릴레이/프록시 노드에 네거티브 응답을 복귀시키고, 상기 릴레이/프록시 노드는 이러한 메시지를 어플리케이션 서버(AS1)에 전송한다.
AS1의 측부에서 이중선으로 표시된 지점에서, 중간 결과는 종래기술이나 기타 다른 실시예에 따른 것과 실질적으로 동일하다. 즉 AS1은 동작(P)을 사용하는 것이 거부된다.
다음 단계에서, 의심스러운 어플리케이션 서버는 그 아이덴티티를 위조하고, 즉 어플리케이션 서버 AS2로 가장하고, 동작(P)을 다시 요청하지만, 아이덴티티 AS2를 부당하게 사용하고 있다.
제1피어 엔티티에 의해 사용된 아이덴티티의 검증중, 요청을 수용하는 릴레이/프록시 노드는 사용된 아이덴티티가 유효한지의 여부를 다시 결정하고, 이러한 결정은 보안 구성 테이블을 사용하여 실행된다. 그러나, 이러한 인콰이어리는 네거티브 검증 결과를 생성하는데, 그 이유는 사용된 전송 어드레스, 즉 예를 들어 IPSec 사용으로 인해 AS1에 의해 위조될 수 없는 XYZ는 사용된 아이덴티티, 즉 AS2와는 매칭되지 않기 때문이다. 따라서, 제1피어 엔티티에 의해 사용된 아이덴티티는 유효하지 않은 것으로 결정된다. 이에 따라 각각의 요청의 전송은 생략되고; 릴레이/프록시 노드는 네거티브 검증 결과, 즉 요청된 동작의 거부 응답을 요청된 어플리케이션 서버(AS1)에 복귀시킨다.
명확하게 도시되지는 않았지만, 이러한 실시예의 경우에 있어서, 매개 장치로서의 릴레이/프록시 노드는 동일한 전송 연결내에서 제1피어 엔티티에 의해 사용된 아이덴티티의 검증중 제1피어 엔티티가 AS1을 그 다이애미터 아이덴티티로 이미 사용하였고 이제 AS2를 그 다이애미터 아이덴티티로 사용하고 있음을 검출하는데 적합하다[도3의 단계(5)와 마찬가지로]. 이를 위하여, 현재 진행중인 다이애미터 연결에서 본래 어플리케이션 서버(AS1)가 사용한 아이덴티티는 릴레이/프록시 노드에 저장되어야만 한다.
본 발명의 또 다른 실시예에 따르면, 디지탈 처리 수단의 메모리에 로딩될 수 있는 컴퓨터 프로그램 제품이 제공되며; 이러한 제품은 상기 디지탈 처리 수단에서 작동될 때 본 발명의 실시예에 따른 방법의 단계를 실행하기 위한 소프트웨어 코드 부분을 포함한다.
도5는 본 발명의 실시예에 따른 홈 가입자 서버의 블럭 다이아그램을 도시하고 있다.
도5에 따른 예시적인 홈 가입자 서버(HSS)는 본 발명의 통신 장치의 일실시예를 도시하고 있다. 어플리케이션 서버 등과 같은 적어도 하나의 제1피어 엔티티와 함께, 도시된 적어도 하나의 HSS(제2피어 엔티티로서의)는 본 발명에 따른 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작의 보안을 제공하기 위한 시스템을 구성한다.
도5에 따르면, 통신 장치[즉, 홈 가입자 서버(HSS)]는 예를 들어 Sh 인터페이스 연결에 대해 직접적으로 또는 매개 노드를 통해 제1피어 엔티티(도시않음)로부터 요청(REQ)을 수신하는 수신기에 의해 표시된 수신기 장치를 포함한다. 홈 가입자 서버는 밸리데이터로 표시되는 밸리데이터 장치를 부가로 포함하며, 상기 밸리데이터는 수신된 요청에 포함되어 있고 제1피어 엔티티에 의해 사용된 아이덴티티를 유효하게 한다. 상기 밸리데이터 장치는 통신 장치 HSS 의 체커 장치("체커")에 의해 요청된 동작이 제1피어 엔티티의 퍼미션이 허용하였는지의 여부를 체킹하기 전에 검증을 부가로 실행한다. 이러한 체킹은 밸리데이터 장치가 포지티브 검증 결과를 생성하였을 경우에만 실행되며, 그렇지 않을 경우 요청된 동작의 거부를 나타내는 네거티브 응답(RESP)은 통신 장치 HSS의 전송기 장치("전송기")에 의해 요청된 제1피어 엔티티에 전송된다. 이러한 거부는 요청된 제1피어 엔티티에 직접적으로 또는 매개 노드를 통해 전송될 수 있다. 체커 장치는 미리 배치된 퍼미션 리스트를 저장하는 통신 장치의 제1메모리 장치에 저장된 미리 배치된 퍼미션 리스트에 의해 상기 아이덴티티를 이용하여 제1피어 엔티티의 퍼미설리 요청된 동작을 허용하였는지를 체크한다. 그후, 체커 장치에 의해, 전송기 장치는 머피션의 체킹 결과에 따라 각각의 응답을 요청하는 피어 엔티티에 전송한다.
도5에 따른 밸리데이터 장치는 결정기 장치("결정기")를 포함하며, 이러한 결정기 장치는 제1피어 엔티티에 의해 사용된 아이덴티티가 제1피어 엔티티와 제2피어 엔티티 사이의 보안 연관성에 따라 유효한 아이덴티티인지의 여부를 결정한다. 상기 결정기 장치는 제1피어 엔티티에 의해 사용된 아이덴티티가 유효하지 않을 경우, 네거티브 검증 결과를 생성한다. 결정기 장치는 보안 구성 테이블에 기초하여 검증 처리과정(결정 처리과정)을 실행하며; 상기 보안 구성 테이블은 유효한 아이덴티티 쌍과, 상기 보안 연관성의 적어도 하나의 변수(예를 들어, 제1피어 엔티티의 전송 어드레스)를 포함한다. 상기 보안 구성 테이블을 저장하기 위해, 제2메모리 장치가 제공된다.
도5의 밸리데이터 장치는 검출기 장치를 포함하며, 이러한 검출기 장치는 제1피어 엔티티에 의해 사용된 아이덴티티가 계속적인 연결중 변화되었는지의 여부를 검출하며, 상기 검출기 장치는 제1피어 엔티티에 의해 사용된 아이덴티티가 계속적인 연결중 변화된 것으로 검출되었을 경우 네거티브 검증 결과를 생성한다. 계속적인 연결에서 제1피어 엔티티에 의해 본래 사용된 아이덴티티를 저장하기 위해 제3메모리 장치가 제공된다.
본 발명의 또 다른 실시예에 따른 통신 장치는 결정기 장치(제2메모리 장치를 갖는) 및 검출기 장치(제3메모리 장치를 갖는)중 어느 하나를 포함한다.
따라서, 도5에 도시된 통신 장치는 본 발명에 따른 통신 시스템의 제1피어 엔티티와 제2피어 엔티티로서의 통신 장치 사이의 연결에 동작의 보안을 제공하는 방법에 사용된다.
도6은 본 발명의 또 다른 실시예에 따른 매개 장치의 블럭 다이아그램의 실시예를 도시하고 있다. 도6에 도시된 매개 장치는 예를 들어 도4에 도시된 릴레이/프록시 노드 이다. 따라서, "릴레이/프록시"로 표시된 매개 장치의 좌측에는 어플리케이션 서버가 배치되고, 우측에는 홈 가입자 서버가 배치된다(도시된 각각의 화살표는 특정한 측부에서 각각의 피어 엔티티에 대한 연결을 나타내고자 한 것이다).
일반적으로 본 발명의 실시예에 따른 매개 장치는 인가, 인증, 및 회계 기능(즉, 예를 들어 다이애미터, RADIUS)과 연관된 프로토콜에 기초하여 작동된다. 따라서, 각각의 실행 시나리오에 따라, 상기 매개 장치는 예를 들어 다이애미터 프록시 노드 또는 다이애미터 릴레이 에이전트가 된다.
도6에 도시된 실시예에 따르면, 매개 장치는 어플리케이션 서버, 즉 제1피어 엔티티로부터의 요청과, 홈 가입자 서버, 즉 제2피어 엔티티로부터의 응답(도시않음)을 수용하는 수신기 장치("수신기")를 포함한다. 상기 매개 장치는 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 밸리데이터 장치("밸리데이터")를 부가로 포함한다. 도6의 밸리데이터 장치는 관련의 메모리 장치가 상이하게 넘버링되었다는 점을 제외하고는, 도5의 밸리데이터 장치와 유사한 것임을 인식해야 한다. 따라서, 매개 장치의 밸리데이터 장치(도6)의 기능은 홈 가입자 서버의 밸리데이터 장치(도5)의 기능과 유사하다.
이러한 실시예에 따른 매개 장치는 매개 장치의 밸리데이터 장치가 포지티브 검증 결과를 생성할 경우, 제1피어 엔티티로부터 제2피어 엔티티로 요청을 전송하는 송신기 장치("송신기")를 부가로 포함한다. 상기 송신기 장치는 매개 장치의 밸리데이터 장치가 네거티브 검증 결과를 생성할 경우, 제1피어 엔티티에 거부 응답을 송신하고 홈 가입자 서버로부터 어플리케이션 서버로 응답(도시않음)을 전송한다.
따라서, 도6에 도시된 매개 장치는 본 발명에 따른 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작의 보안을 제공하는 방법에 사용하기 위한 것이다.
일반적으로, 상술한 바와 같은 기능적 소자, 예를 들어 본 발명에 따른 통신 장치와 그 구성요소는 각각의 부분의 서술한 기능을 실행하도록 채택될 경우, 하드웨어 및/또는 소프트웨어에서 공지의 수단에 의해 실행될 수 있다. 예를 들어, 통신 장치의 밸리데이터 장치는 그 어떤 데이터 처리 유니트, 예를 들어 마이크로프로세서에 의해 실행될 수 있으며, 이러한 처리 유니트는 첨부의 청구범위에 서술된 방식으로 다른 통신 장치의 아이덴티티를 검증한다. 상술한 부분은 각각의 기능적 블럭에 의해 또는 각각의 장치에 의해 실현될 수 있으며, 또는 상술한 바와 같은 하나이상의 부분은 단일의 기능적 블럭이나 단일의 장치에 의해 실현될 수 있다. 따라서, 도5에 도시된 것은 단지 예시적인 것으로서, 본 발명의 실행을 한정하지 않는다.
또한, 소프트웨어 코드 부분으로서 실행되고 피어 엔티티중 하나에서 프로세서를 사용하여 작동되는 방법 단계는 독립적인 소프트웨어 코드이며, 예를 들어 C, C++, 어셈블러 등과 같은 공지의 프로그래밍 언어나 미래에 개발될 프로그래밍 언어를 사용하여 특정화될 수 있다. 피어 엔티티중 하나에서 하드웨어 부분으로서 실행될 방법 단계 및/또는 장치 또는 수단은 독립적인 하드웨어이며, 예를 들어 ASIC 부분이나 DSP 부분을 사용하여 예를 들어 MOS, CMOS, BiCMOS, ECL, TTL 등과 같은 공지의 또는 미래에 개발될 하드웨어 기법이나 기타 다른 이들의 하이브리드를 사용하여 실행될 수 있다. 일반적으로, 어떠한 방법 단계는 본 발명의 사상을 변경시키지 않고, 소프트웨어로서 또는 하드웨어에 의해 실행되기에 적합하다. 장치 및 수단은 각각의 장치로서 실행될 수 있지만, 장치의 기능성이 보존되는한 이들이 시스템을 통해 분배된 형태로 실행되는 것을 배제하지는 않는다. 이에 관해, 제1 내지 제3메모리 장치는 그 범위를 한정하지 않고 본 발명의 통신 장치 외부에서 실현될 수 있음을 인식해야 한다. 따라서, HSS에 의해 퍼미션 리스트 및/또는 보안 배치 리스트(도1 내지 도3)는 하기의 네트웍의 기타 다른 네트웍 소자에서 HSS 자체와는 별도로 유지될 수 있다. 이러한 원리 및 이와 유사한 원리는 본 기술분야의 숙련자에게 공지된 것으로 여겨진다.
요약한다면, 본 발명 및 그 실시예에 따르면, 주어진 전송 어드레스(예를 들어, IP 어드레스), 즉 주어진 전송 어드레스를 사용하여 통신되는 피어 엔티티의 사용이 허용되는 아이덴티티(예를 들어, 다이애미터 아이덴티티)는 이러한 피어 엔티티(예를 들어, 다이애미터 피어 엔티티)에 제공된다. 그후, 피어 엔티티(예를 들어, 다이애미터 피어 엔티티)는 각각의 (다이애미터)메시지를 체크하며, 이러한 메시지에 있어서 발송인의 아이덴티티를 나타내는 데이터 필드에서 (다이애미터)아이덴티티는 (다이애미터) 메시지가 발송된 전송 어드레스를 위해 허용된다.
상술한 바와 같이, 본 기술분야의 숙련자라면 예를 들어 Sh 인터페이스 등과 같이 현재 표준화된 종래기술의 억세스 권리 기능성은 부가될 본 발명에 따른 또 다른 보안없이 다소 불필요하다는 것을 인식할 수 있을 것이다.
본 발명에 따르면, 통신 시스템의 제1피어 엔티티와 제2피어 엔티티 사이의 연결에 동작 보안을 제공하기 위한 방법, 통신 장치, 매개 장치, 시스템, 및 컴퓨터 프로그램 제품에서, 상기 피어 엔티티는 아이덴티티와 전송 어드레스를 각각 가지며, 상기 제1피어 엔티티는 아이덴티티를 사용하여 제2피어 엔티티로부터 동작을 요청하며, 상기 제2피어 엔티티는 제1피어 엔티티의 퍼미션이 설정된 형태의 퍼미션 리스트에 의해 상기 아이덴티티를 사용하여 요청된 동작을 허용하는지의 여부를 체크하며; 상기 방법은 제2피어 엔티티에서 제1피어 엔티티에 의해 사용된 아이덴티티를 검증하는 단계를 포함하며, 상기 검증 단계는 퍼미션의 체킹 이전에 실행된다.
본 발명은 양호한 실시예를 참조로 서술되었기에 이에 한정되지 않으며, 본 기술분야의 숙련자라면 첨부된 청구범위로부터의 일탈없이 본 발명에 다양한 변형과 수정이 가해질 수 있음을 인식해야 한다.

Claims (55)

  1. 통신 시스템에서 동작(operation)들을 요청하도록 구성된 제1 피어 엔티티(peer entity)와 동작들을 제공하도록 구성된 제2 피어 엔티티 사이의 연결에 관한 동작들의 보안을 제공하기 위한 방법에 있어서, 상기 피어 엔티티들 각각은 아이덴티티(identity)와 전송 어드레스를 가지며, 상기 제1 피어 엔티티는 제1 피어 아이덴티티를 사용하여 상기 제2 피어 엔티티로부터 동작을 요청하며, 상기 제2 피어 엔티티는 상기 요청된 동작에 대해 상기 제1 피어 엔티티가 승인받았는지를 확인하기 위해 미리구성된 퍼미션(permission) 리스트를 통해 상기 제1 피어 아이덴티티를 사용하여 상기 제1 피어 엔티티의 퍼미션을 체크하는 것인, 상기 방법에 있어서,
    상기 제2 피어 엔티티에서 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증(validate)하는 단계
    를 포함하며,
    상기 검증 단계는 상기 퍼미션의 체크 단계 이전에 수행되는 것인, 보안 제공 방법.
  2. 제1항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계는 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 보안 연관성에 따라 상기 제1 피어 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하는 단계를 포함하며;
    상기 제1 피어 아이덴티티가 유효하지 않다라고 결정될 때, 네거티브 검증 결과가 생성되는 것인, 보안 제공 방법.
  3. 제2항에 있어서, 상기 결정 단계는 상기 제2 피어 엔티티에서 유지된 보안 구성 테이블에 기초하여 수행되며; 상기 보안 구성 테이블은 유효한 아이덴티티들의 쌍들과 상기 보안 연관성의 적어도 하나의 파라미터를 포함하는 것인, 보안 제공 방법.
  4. 제3항에 있어서, 상기 보안 연관성의 적어도 하나의 파라미터는 상기 제1 피어 엔티티의 전송 어드레스를 포함하는 것인, 보안 제공 방법.
  5. 제1항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계는 진행중인 연결 동안에 상기 제1 피어 아이덴티티가 변경되었는지의 여부를 검출하는 단계를 포함하며;
    상기 제1 피어 아이덴티티가 변경되었다라고 검출되었을 때, 네거티브 검증 결과가 생성되는 것인, 보안 제공 방법.
  6. 제5항에 있어서, 진행중인 연결에서 상기 제1 피어 엔티티에 의해 원래 사용된 제1 피어 아이덴티티를 상기 제2 피어 엔티티에 저장하는 단계를 더 포함하는 것인, 보안 제공 방법.
  7. 제1항에 있어서, 상기 검증 단계가 네거티브 검증 결과를 생성하였을 때, 상기 제2 피어 엔티티로부터 상기 요청된 동작의 거부 응답을 상기 제1 피어 엔티티에게 전송하는 단계를 더 포함하는 것인, 보안 제공 방법.
  8. 제7항에 있어서, 상기 거부 응답은 상기 제1 피어 엔티티에 대해 보안성 문제를 표시하는 것인, 보안 제공 방법.
  9. 제1항에 있어서, 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결상에 매개 장치가 위치되며,
    상기 매개 장치에서 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계를 더 포함하는 것인, 보안 제공 방법.
  10. 제9항에 있어서, 상기 매개 장치에서의 검증 단계는, 상기 제1 피어 엔티티와 상기 매개 장치 사이의 보안 연관성에 따라, 상기 제1 피어 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하는 단계를 포함하며;
    상기 제1 피어 아이덴티티가 유효하지 않다라고 결정되었을 때, 네거티브 검증 결과가 생성되는 것인, 보안 제공 방법.
  11. 제9항에 있어서, 상기 매개 장치에서의 검증 단계는 진행중인 연결 동안에 상기 제1 피어 아이덴티티가 변경되었는지의 여부를 검출하는 단계를 포함하며;
    상기 제1 피어 아이덴티티가 변경되었다라고 검출되었을 때, 네거티브 검증 결과가 생성되는 것인, 보안 제공 방법.
  12. 제9항에 있어서, 상기 매개 장치에서의 검증 단계가 네거티브 검증 결과를 생성하였을 때, 상기 매개 장치로부터 상기 요청된 동작의 거부 응답을 상기 제1 피어 엔티티에 전송하는 단계를 더 포함하는 것인, 보안 제공 방법.
  13. 제9항에 있어서, 상기 매개 장치에서의 검증 단계가 포지티브 검증 결과를 생성하였을 때, 상기 제1 피어 엔티티로부터의 요청을 상기 제2 피어 엔티티에 발송하는 것인, 보안 제공 방법.
  14. 제9항에 있어서, 상기 검증 단계는 프록시 노드에서 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계를 포함하는 것인, 보안 제공 방법.
  15. 제9항에 있어서, 상기 검증 단계는 릴레이 에이전트에서 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계를 포함하는 것인, 보안 제공 방법.
  16. 제1항에 있어서, 상기 검증 단계는 상기 제2 피어 엔티티에서 어플리케이션 서버에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계를 포함하는 것인, 보안 제공 방법.
  17. 제1항에 있어서, 상기 검증 단계는 홈 가입자 서버에서 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하는 단계를 포함하는 것인, 보안 제공 방법.
  18. 제1항에 있어서, 상기 방법은 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초하는 것인, 보안 제공 방법.
  19. 제18항에 있어서, 상기 프로토콜은 다이애미터 베이스(diameter base) 프로토콜인 것인, 보안 제공 방법.
  20. 제19항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티는 다이애미터 베이스 프로토콜에 따른 아이덴티티인 것인, 보안 제공 방법.
  21. 제18항에 있어서, 상기 프로토콜은 RADIUS(Remote Access Dial-In User Service)인 것인, 보안 제공 방법.
  22. 제21항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티는 RADIUS 프로토콜에 따른 아이덴티티인 것인, 보안 제공 방법.
  23. 제1항에 있어서, 상기 전송 어드레스는 인터넷 프로토콜에 기초하는 것인, 보안 제공 방법.
  24. 제1항에 있어서, 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결은 3GPP 규격에 따른 Sh 기준 포인트를 포함하는 것인, 보안 제공 방법.
  25. 통신 시스템에서 동작(operation)들을 요청하도록 구성된 제1 피어 엔티티(peer entity)와 동작들을 제공하도록 구성된 제2 피어 엔티티로서의 통신 장치 사이의 연결에 관한 동작들의 보안을 제공하는 방법에서 사용하도록 구성된 통신 장치에 있어서, 상기 피어 엔티티들 각각은 아이덴티티(identity)와 전송 어드레스를 가지며, 상기 제1 피어 엔티티는 제1 피어 아이덴티티를 사용하여 상기 제2 피어 엔티티로부터 동작을 요청하는 것인, 상기 통신 장치는,
    상기 제1 피어 엔티티로부터 요청을 수신하도록 구성된 수신기 장치와,
    상기 요청된 동작에 대해 상기 제1 피어 엔티티가 승인받았는지를 확인하기 위해 미리구성된 퍼미션(permission) 리스트를 통해 상기 제1 피어 아이덴티티를 사용하여 상기 제1 피어 엔티티의 퍼미션을 체크하도록 구성된 체커 장치와,
    상기 미리구성된 퍼미션 리스트를 저장하도록 구성된 제1메모리 장치와,
    상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하도록 구성된 밸리데이터 장치(validator device)
    를 포함하며,
    상기 밸리데이터 장치는 또한 상기 체커 장치가 상기 퍼미션의 체크를 수행하기 이전에 검증을 수행하도록 구성되는 것인, 통신 장치.
  26. 청구항 26은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 밸리데이터 장치는,
    상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 보안 연관성에 따라, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하도록 구성된 결정기 장치를 포함하며;
    상기 결정기 장치는 또한 상기 제1 피어 아이덴티티가 유효하지 않다라고 결정되었을 때, 네거티브 검증 결과를 생성하도록 구성되는 것인, 통신 장치.
  27. 청구항 27은(는) 설정등록료 납부시 포기되었습니다.
    제26항에 있어서, 상기 결정기 장치는 또한 상기 제2 피어 엔티티에서 유지된 보안 구성 테이블에 기초하여 검증을 수행하도록 구성되며; 상기 보안 구성 테이블은 유효한 아이덴티티들의 쌍들과 상기 보안 연관성의 적어도 하나의 파라미터를 포함하는 것인, 통신 장치.
  28. 제27항에 있어서, 상기 보안 구성 테이블을 저장하도록 구성된 제2메모리 장치를 더 포함하는 것인, 통신 장치.
  29. 청구항 29은(는) 설정등록료 납부시 포기되었습니다.
    제27항에 있어서, 상기 보안 연관성의 적어도 하나의 파라미터는 상기 제1 피어 엔티티의 전송 어드레스를 포함하는 것인, 통신 장치.
  30. 청구항 30은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 밸리데이터 장치는,
    진행중인 연결 도중에 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티가 변경되었는지 여부를 검출하도록 구성된 검출기 장치
    를 포함하며;
    상기 제1 피어 아이덴티티가 변경되었다라고 검출되었을 때, 상기 검출기 장치는 또한 네거티브 검증 결과를 생성하도록 구성되는 것인, 통신 장치.
  31. 청구항 31은(는) 설정등록료 납부시 포기되었습니다.
    제30항에 있어서, 진행중인 연결에서 상기 제1 피어 엔티티에 의해 원래 사용된 제1 피어 아이덴티티를 저장하도록 구성된 제3메모리 장치를 더 포함하는 것인, 통신 장치.
  32. 청구항 32은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 밸리데이터 장치가 네거티브 검증 결과를 생성하였을 때, 상기 요청된 동작의 거부 응답을 상기 제1 피어 엔티티에 전송하도록 구성된 전송기 장치를 더 포함하는 것인, 통신 장치.
  33. 청구항 33은(는) 설정등록료 납부시 포기되었습니다.
    제32항에 있어서, 상기 거부 응답은 상기 제1 피어 엔티티에 대해 보안성 문제를 표시하는 것인, 통신 장치.
  34. 제25항에 있어서, 상기 통신 장치는 홈 가입자 서버인 것인, 통신 장치.
  35. 청구항 35은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 통신 장치는 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초하여 작동되는 것인, 통신 장치.
  36. 청구항 36은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티는 다이애미터 베이스 프로토콜에 따른 아이덴티티인 것인, 통신 장치.
  37. 청구항 37은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티는 RADIUS(Remote Access Dial-In User Service) 프로토콜에 따른 아이덴티티인 것인, 통신 장치.
  38. 청구항 38은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 전송 어드레스는 인터넷 프로토콜에 기초하는 것인, 통신 장치.
  39. 청구항 39은(는) 설정등록료 납부시 포기되었습니다.
    제25항에 있어서, 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결은 3GPP 규격에 따른 Sh 기준 포인트를 포함하는 것인, 통신 장치.
  40. 통신 시스템에서 동작(operation)들을 요청하도록 구성된 제1 피어 엔티티(peer entity)와 동작들을 제공하도록 구성된 제2 피어 엔티티 사이의 연결에 관한 동작들의 보안을 제공하는 방법에서 사용하도록 구성된 매개 장치에 있어서, 상기 매개 장치는 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결상에 위치되고, 상기 피어 엔티티들 각각은 아이덴티티(identity)와 전송 어드레스를 가지며, 상기 제1 피어 엔티티는 제1 피어 아이덴티티를 사용하여 상기 제2 피어 엔티티로부터 동작을 요청하는 것인, 상기 매개 장치는,
    상기 제1 피어 엔티티로부터의 요청과 상기 제2 피어 엔티티로부터의 응답을 수신하도록 구성된 수신기 장치와,
    상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하도록 구성된 밸리데이터 장치
    를 포함하는 것인, 매개 장치.
  41. 청구항 41은(는) 설정등록료 납부시 포기되었습니다.
    제40항에 있어서, 상기 밸리데이터 장치는,
    상기 제1 피어 엔티티와 상기 매개 장치 사이의 보안 연관성에 따라, 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티가 유효한 아이덴티티인지의 여부를 결정하도록 구성된 결정기 장치를 포함하며;
    상기 결정기 장치는 또한 상기 제1 피어 아이덴티티가 유효하지 않다라고 결정되었을 때 네거티브 검증 결과를 생성하도록 구성되는 것인, 매개 장치.
  42. 청구항 42은(는) 설정등록료 납부시 포기되었습니다.
    제41항에 있어서, 보안 구성 테이블을 저장하도록 구성된 제1메모리 장치를 더 포함하는 것인, 매개 장치.
  43. 청구항 43은(는) 설정등록료 납부시 포기되었습니다.
    제40항에 있어서, 상기 밸리데이터 장치는,
    진행중인 연결 도중에 상기 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티가 변경되었는지의 여부를 검출하도록 구성된 검출기 장치를 포함하며;
    상기 검출기 장치는 또한 상기 제1 피어 아이덴티티가 변경되었다라고 검출되었을 때, 네거티브 검증 결과를 생성하도록 구성되는 것인, 매개 장치.
  44. 청구항 44은(는) 설정등록료 납부시 포기되었습니다.
    제43항에 있어서, 진행중인 연결에서 상기 제1 피어 엔티티에 의해 원래 사용된 제1 피어 아이덴티티를 저장하도록 구성된 제2메모리 장치를 더 포함하는 것인, 매개 장치.
  45. 청구항 45은(는) 설정등록료 납부시 포기되었습니다.
    제40항에 있어서, 상기 매개 장치의 밸리데이터 장치가 포지티브 검증 결과를 생성하였을 때, 상기 제1 피어 엔티티로부터의 요청을 상기 제2 피어 엔티티에 발송하도록 구성된 전송기 장치를 더 포함하는 것인, 매개 장치.
  46. 청구항 46은(는) 설정등록료 납부시 포기되었습니다.
    제40항에 있어서, 상기 매개 장치의 밸리데이터 장치가 네거티브 검증 결과를 생성하였을 때, 거부 응답을 상기 제1 피어 엔티티에 전송하도록 구성된 전송기 장치를 더 포함하는 것인, 매개 장치.
  47. 청구항 47은(는) 설정등록료 납부시 포기되었습니다.
    제40항에 있어서, 상기 매개 장치는 인가, 인증, 및 회계 기능과 연관된 프로토콜에 기초하여 작동되는 것인, 매개 장치.
  48. 제47항에 있어서, 상기 매개 장치는 다이애미터 프록시 노드인 것인, 매개 장치.
  49. 제47항에 있어서, 상기 매개 장치는 다이애미터 릴레이 에이전트인 것인, 매개 장치.
  50. 통신 시스템에서 동작(operation)들을 요청하도록 구성된 제1 피어 엔티티(peer entity)와 동작들을 제공하도록 구성된 제2 피어 엔티티 사이의 연결에 관한 동작들의 보안을 제공하기 위한 시스템에 있어서, 상기 피어 엔티티들 각각은 아이덴티티(identity)와 전송 어드레스를 가지며, 상기 제1 피어 엔티티는 제1 피어 아이덴티티를 사용하여 상기 제2 피어 엔티티로부터 동작을 요청하며, 상기 제2 피어 엔티티는 상기 요청된 동작에 대해 상기 제1 피어 엔티티가 승인받았는지를 확인하기 위해 미리구성된 퍼미션(permission) 리스트를 통해 상기 제1 피어 아이덴티티를 사용하여 상기 제1 피어 엔티티의 퍼미션을 체크하는 것인, 상기 시스템은,
    동작에 대한 요청을 적어도 하나의 제2 피어 엔티티에 전송하도록 구성된 전송기 장치를 포함하는 적어도 하나의 제1 피어 엔티티와,
    적어도 하나의 제1 피어 엔티티로부터 요청을 수신하도록 구성된 수신기 장치를 포함하는 적어도 하나의 제2 피어 엔티티와,
    상기 요청된 동작에 대해 상기 적어도 하나의 제1 피어 엔티티가 승인받았는지를 확인하기 위해 미리구성된 퍼미션(permission) 리스트를 통해 상기 제1 피어 아이덴티티를 사용하여 상기 적어도 하나의 제1 피어 엔티티의 퍼미션을 체크하도록 구성된 체커 장치와,
    상기 미리구성된 퍼미션 리스트를 저장하도록 구성된 제1메모리 장치와,
    상기 적어도 하나의 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하도록 구성된 밸리데이터 장치
    를 포함하며,
    상기 밸리데이터 장치는 또한 상기 체커 장치가 상기 퍼미션의 체크를 수행하기 이전에 검증을 수행하도록 구성되는 것인, 보안 제공 시스템.
  51. 제50항에 있어서, 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결상에 위치되는 적어도 하나의 매개 장치를 더 포함하며; 상기 매개 장치는,
    상기 적어도 하나의 제1 피어 엔티티로부터의 요청과 상기 적어도 하나의 제2 피어 엔티티로부터의 응답을 수신하도록 구성된 수신기 장치와,
    상기 적어도 하나의 제1 피어 엔티티에 의해 사용된 상기 제1 피어 아이덴티티를 검증하도록 구성된 밸리데이터 장치를 포함하는 것인, 보안 제공 시스템.
  52. 제50항에 있어서, 상기 적어도 하나의 제1 피어 엔티티는 어플리케이션 서버인 것인, 보안 제공 시스템.
  53. 청구항 53은(는) 설정등록료 납부시 포기되었습니다.
    제50항에 있어서, 상기 적어도 하나의 제2 피어 엔티티는 홈 가입자 서버인 것인, 보안 제공 시스템.
  54. 청구항 54은(는) 설정등록료 납부시 포기되었습니다.
    제50항에 있어서, 상기 제1 피어 엔티티와 상기 제2 피어 엔티티 사이의 연결은 3GPP 규격에 따른 Sh 기준 포인트를 포함하는 것인, 보안 제공 시스템.
  55. 컴퓨터 프로그램이 수록된 컴퓨터 판독가능한 기록매체에 있어서, 상기 컴퓨터 프로그램은 디지털 처리 장치로 하여금,
    제2 피어 엔티티로부터 동작을 요청하기 위해 제1 피어 엔티티에 의해 사용된 제1 피어 아이덴티티를 상기 제2 피어 엔티티에서 검증하는 단계
    를 수행하도록 제어하며,
    상기 검증 단계는, 상기 요청된 동작에 대해 상기 제1 피어 엔티티가 승인받았는지를 확인하기 위해 상기 제2 피어 엔티티에 의해 미리구성된 퍼미션(permission) 리스트를 통해 상기 제1 피어 엔티티의 퍼미션을 체크하기 이전에 수행되는 것인, 컴퓨터 판독가능한 기록매체.
KR1020077026105A 2005-04-12 2006-03-30 통신 시스템에서의 보안 강화 수단 KR101207812B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EP05007942.5 2005-04-12
EP05007942 2005-04-12
US11/155,765 2005-06-20
US11/155,765 US20060225128A1 (en) 2005-04-04 2005-06-20 Measures for enhancing security in communication systems

Publications (2)

Publication Number Publication Date
KR20080048987A KR20080048987A (ko) 2008-06-03
KR101207812B1 true KR101207812B1 (ko) 2012-12-05

Family

ID=37072185

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077026105A KR101207812B1 (ko) 2005-04-12 2006-03-30 통신 시스템에서의 보안 강화 수단

Country Status (6)

Country Link
US (1) US20060225128A1 (ko)
EP (1) EP1900171A2 (ko)
JP (1) JP2008536231A (ko)
KR (1) KR101207812B1 (ko)
CN (1) CN101156416B (ko)
WO (1) WO2006109204A2 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7783618B2 (en) 2005-08-26 2010-08-24 Hewlett-Packard Development Company, L.P. Application server (AS) database with class of service (COS)
US8799490B2 (en) * 2005-08-26 2014-08-05 Hewlett-Packard Development Company, L.P. Automated application server (AS) permissions provisioning
US8213411B2 (en) * 2005-08-26 2012-07-03 Hewlett-Packard Development Company, L.P. Charging database with class of service (COS)
US20080010669A1 (en) * 2006-04-28 2008-01-10 Nokia Corporation Hiding in Sh interface
US20080291876A1 (en) * 2007-05-25 2008-11-27 Interdigital Technology Corporation Protocol architecture for access mobility in wireless communications
US8538000B2 (en) 2007-08-10 2013-09-17 Tekelec, Inc. Methods, systems, and computer program products for performing message deposit transaction screening
DE102007052035A1 (de) * 2007-10-30 2009-05-07 Forschungszentrum Jülich GmbH Verfahren zur Positronen-Emissions-Tomographie sowie PET-Scanner
US8468267B2 (en) * 2007-12-01 2013-06-18 Alcatel Lucent IMS diameter router with load balancing
US8594679B2 (en) 2008-03-07 2013-11-26 Tekelec Global, Inc. Methods, systems, and computer readable media for routing a message service message through a communications network
CN105577697B (zh) * 2008-09-25 2019-11-26 西门子企业通讯有限责任两合公司 对多媒体数据流传输跑马灯信息的方法和通信装置
WO2010060087A2 (en) 2008-11-24 2010-05-27 Tekelec Systems, methods, and computer readable media for location-sensitive called-party number translation in a telecommunications network
US8452325B2 (en) 2009-05-11 2013-05-28 Tekelec, Inc. Methods, systems, and computer readable media for providing scalable number portability (NP) home location register (HLR)
EP2296350B1 (en) * 2009-09-14 2018-11-07 Alcatel Lucent Management of application server-related user data
EP3264686B1 (en) * 2009-10-16 2018-12-12 Tekelec, Inc. Methods, systems, and computer readable media for providing diameter signaling router with integrated monitoring and/or firewall functionality
WO2011100621A2 (en) 2010-02-12 2011-08-18 Tekelec Methods, systems, and computer readable media for multi-interface monitoring and correlation of diameter signaling information
WO2012100057A2 (en) 2011-01-21 2012-07-26 Tekelec Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (dsr) having a distributed message processor architecture
US20130346876A1 (en) * 2012-06-26 2013-12-26 Gface Gmbh Simultaneous experience of online content
KR102038964B1 (ko) 2013-03-18 2019-11-26 삼성전자주식회사 어플리케이션 간의 상호 인증 방법 및 장치
CN103683869A (zh) * 2013-12-26 2014-03-26 矽力杰半导体技术(杭州)有限公司 开关电源控制电路、开关电源及其控制方法
US9332015B1 (en) * 2014-10-30 2016-05-03 Cisco Technology, Inc. System and method for providing error handling in an untrusted network environment
US10117127B2 (en) 2015-07-08 2018-10-30 Oracle International Corporation Methods, systems, and computer readable media for communicating radio access network congestion status information for large numbers of users
US10230767B2 (en) 2015-07-29 2019-03-12 At&T Intellectual Property I, L.P. Intra-carrier and inter-carrier network security system
US11082849B2 (en) * 2015-08-07 2021-08-03 Qualcomm Incorporated Validating authorization for use of a set of features of a device
US10693838B2 (en) 2018-02-13 2020-06-23 Palo Alto Networks, Inc. Transport layer signaling security with next generation firewall
CN111903107B (zh) * 2018-02-13 2022-11-08 帕洛阿尔托网络公司 利用下一代防火墙的用于信令安全性的系统和方法
US10715491B2 (en) 2018-02-13 2020-07-14 Palo Alto Networks, Inc. Diameter security with next generation firewall
US10701032B2 (en) 2018-02-13 2020-06-30 Palo Alto Networks, Inc. Application layer signaling security with next generation firewall
US10701033B2 (en) 2018-02-13 2020-06-30 Palo Alto Networks, Inc. Network layer signaling security with next generation firewall

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05207028A (ja) * 1992-01-28 1993-08-13 Hitachi Cable Ltd マルチポート中継装置
US7882247B2 (en) * 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
JP3917335B2 (ja) * 1999-08-27 2007-05-23 三菱電機株式会社 情報提供システム
JP2001282667A (ja) * 2000-03-29 2001-10-12 Hitachi Software Eng Co Ltd 認証サーバ・クライアントシステム
AU2002358564A1 (en) * 2001-12-21 2003-07-09 International Business Machines Corporation Method and system for secure handling of electronic business transactions on the internet
NO318842B1 (no) * 2002-03-18 2005-05-09 Telenor Asa Autentisering og tilgangskontroll
AU2002347725A1 (en) * 2002-11-06 2004-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of ip addresses
JP4476996B2 (ja) * 2003-02-27 2010-06-09 トムソン ライセンシング Wlanタイトカップリング解決法
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
AU2003256191A1 (en) * 2003-08-26 2005-03-10 Telefonaktiebolaget Lm Ericsson (Publ) Apparatus and method for authenticating a user when accessing to multimedia services
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US20070230453A1 (en) * 2004-02-06 2007-10-04 Telecom Italia S.P.A. Method and System for the Secure and Transparent Provision of Mobile Ip Services in an Aaa Environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical Specification Group Core Network; IP Multimedia (IM) session handling; IM call model; Stage 2 (Release 7)" 3GPP STANDARD; 3GPP TS 23.218

Also Published As

Publication number Publication date
WO2006109204A3 (en) 2007-02-08
CN101156416A (zh) 2008-04-02
JP2008536231A (ja) 2008-09-04
WO2006109204A2 (en) 2006-10-19
CN101156416B (zh) 2012-04-18
EP1900171A2 (en) 2008-03-19
US20060225128A1 (en) 2006-10-05
KR20080048987A (ko) 2008-06-03

Similar Documents

Publication Publication Date Title
KR101207812B1 (ko) 통신 시스템에서의 보안 강화 수단
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
KR100789433B1 (ko) 네트워크에서의 사용자 정보에 대한 액세스를 허가하기위한 방법 및 시스템
EP2959632B1 (en) Augmenting name/prefix based routing protocols with trust anchor in information-centric networks
KR100882326B1 (ko) 가입자 신원들
US8045540B2 (en) Handling of identities in a trust domain of an IP network
KR100966516B1 (ko) 세션 개시 프로토콜을 통해 트러스티드 네트워크 지원형 액세스 네트워크 정보를 전달하는 시스템 및 방법
JP2023543999A (ja) セキュリティエッジ保護プロキシ(sepp)パブリックランドモバイルネットワーク間(plmn間)転送インターフェイスにおけるなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US20070143834A1 (en) User authentication in a communication system supporting multiple authentication schemes
US9992183B2 (en) Using an IP multimedia subsystem for HTTP session authentication
US8054761B2 (en) Providing security between network elements in a network
JP6330916B2 (ja) webRTCのためのシステム及び方法
US20070289009A1 (en) Authentication in a multiple-access environment
US10148636B2 (en) Authentication methods and apparatus
US20090303943A1 (en) Access Control in a Communication Network
US9032487B2 (en) Method and system for providing service access to a user
US20160156623A1 (en) Method and System for Transmitting and Receiving Data, Method and Device for Processing Message
KR101326403B1 (ko) 위임 오퍼레이션 수행을 위한 시스템 및 방법
Larose et al. RFC 8952: Captive Portal Architecture
US20240163271A1 (en) Methods, systems, and computer readable media for detecting stolen access tokens
WO2007072383A2 (en) User authentication in a communication system supporting multiple authentication schemes
Lodderstedt et al. RFC 9126: OAuth 2.0 Pushed Authorization Requests
Hartman et al. Channel-Binding Support for Extensible Authentication Protocol (EAP) Methods

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee