KR20060060045A - 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 - Google Patents

통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 Download PDF

Info

Publication number
KR20060060045A
KR20060060045A KR1020067006110A KR20067006110A KR20060060045A KR 20060060045 A KR20060060045 A KR 20060060045A KR 1020067006110 A KR1020067006110 A KR 1020067006110A KR 20067006110 A KR20067006110 A KR 20067006110A KR 20060060045 A KR20060060045 A KR 20060060045A
Authority
KR
South Korea
Prior art keywords
network
called party
address
communication
determining
Prior art date
Application number
KR1020067006110A
Other languages
English (en)
Other versions
KR100928247B1 (ko
Inventor
가보르 바즈코
아키 니에미
발테리 니에미
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20060060045A publication Critical patent/KR20060060045A/ko
Application granted granted Critical
Publication of KR100928247B1 publication Critical patent/KR100928247B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4535Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Communication Control (AREA)

Abstract

본 발명은 제1 네트워크 내의 송화자 및 제2 네트워크 내의 수화자 간의 통신 방법에 관련되며, 통신 방법은 제1 네트워크 내에서 수화자에 관련된 주소를 결정하는 단계, 주소에 기반하여 수화자가 신뢰성 네트워크(trusted network) 내에 위치하는지 여부를 결정하는 단계, 및 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 수화자 및 송화자 간의 통신을 제어하는 단계를 포함한다.

Description

통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및 시스템{Method and system for providing a secure communication between communication networks}
본 발명은 통신 방법에 관련된다.
통신 시스템은, 사용자 장비 및/또는 통신 시스템에 관련된 다른 노드들과 같은 두 개 또는 그 이상의 엔티티들 간의 통신 세션을 활성화하는 설비인 것으로 간주될 수 있다. 예를 들어, 이러한 통신에는 음성 통신, 데이터 통신, 및 멀티미디어 통신 등이 존재할 수 있다. 예를 들어, 세션은 사용자들 간의 전화 통화이거나, 다자간 화상 회의 세션이거나, 사용자 장비 및 어플리케이션 서버(AS) 간의 통신 세션일 수 있는데, 이러한 어플리케이션 서버의 예를 들면 서비스 제공자 서버가 있다. 일반적으로, 이러한 세션들을 설립함으로써 사용자에게 다양한 서비스를 제공할 수 있다.
전형적으로 통신 시스템은, 통신 시스템과 관련된 다양한 엔티티들이 무엇을 할 수 있으며 이러한 작업을 어떻게 수행할 것인가를 설정하는 주어진 표준 또는 규격에 따라서 동작한다. 예를 들어, 이러한 표준 또는 규격은, 사용자(또는 더 자세하게는 사용자 장비)에게 회선 교환 서비스(circuit switched service) 및/또 는 패킷 교환 서비스가 제공되는지 여부를 정의할 수 있다. 해당 커넥션에 대하여 사용될 수 있는 통신 프로토콜 및/또는 파라미터들도 정의될 수 있다. 다시 말하면, 통신의 기본이 되는 "규칙"들의 일련의 특정한 집합들이 정의됨으로써 시스템을 통하여 통신을 수행할 수 있도록 할 수 있다.
사용자 장비들에게 무선 통신을 제공하는 통신 시스템들이 공지된다. 이러한 무선 시스템의 한 예는 공중 육상 이동망(PLMN, public land mobile network)이다. 공중 육상 이동망(PLMN)은 전형적으로는 셀룰러 기술에 기반한다. 셀룰러 시스템에서는, 기지국 송수신국(BTS) 또는 유사한 액세스 엔티티가 이러한 엔티티들 간의 무선 인터페이스를 통하여 무선 사용자 장비(UE)(또는 이동국(MS))에 서비스를 제공한다. 사용자 장비 및 통신 네트워크의 요소들 간의 무선 인터페이스 상에서의 통신은 적절한 통신 프로토콜에 기반하여 수행될 수 있다. 기지국 장치 및 통신에 필요한 다른 장치의 동작은 하나 또는 수 개의 제어 엔티티들에 의하여 제어될 수 있다. 다양한 제어 엔티티들은 상호 연결될 수 있다.
셀룰러 네트워크를 다른 네트워크들에 연결시키기 위하여 하나 또는 그 이상의 게이트웨이 노드들도 제공될 수 있는데, 다른 네트워크들의 예를 들면 공중 교환 전화망(PSTN) 및/또는 인터넷 프로토콜(IP) 및/또는 다른 패킷 교환 데이터망들과 같은 다른 통신 네트워크들이 있다. 이러한 구성에서, 이동 통신 네트워크들은 무선 사용자 장비(UE)를 가지는 사용자로 하여금 외부 네트워크, 호스트, 또는 특정 서비스 제공자에 의하여 제공되는 서비스에 액세스할 수 있도록 허용하는 액세스 네트워크를 제공한다. 그러면, 이동 통신 네트워크의 액세스 포인트 또는 게이 트웨이 노드는 외부 네트워크 또는 외부 호스트로의 액세스를 더욱 제공한다. 예를 들어, 요청된 서비스가 다른 네트워크에 위치한 서비스 제공자에 의하여 제공된다면, 서비스 요청은 게이트웨이를 통하여 서비스 제공자로 라우팅된다. 라우팅 동작은 이동 네트워크 운영자에 의하여 저장된 이동 가입자 데이터 내의 정의(definitions)에 기반하여 이루어질 수 있다.
가입자와 같은 사용자에 대하여 통신 시스템으로 제공될 수 있는 서비스들의 예는, 소위 멀티미디어 서비스가 있을 수 있다. 멀티미디어 서비스를 제공하도록 허용되는 통신 시스템들 중 몇 개는 인터넷 프로토콜(IP) 멀티미디어 네트워크라고 알려져 있다. IP 멀티미디어(IM) 기능들은 인터넷 프로토콜(IP) 멀티미디어 코어 네트워크(CN) 서브시스템, 또는 간략하게는 IP 멀티미디어 서브시스템(IMS)에 의하여 제공될 수 있다. IP 멀티미디어 서브시스템(IMS)은 멀티미디어 서비스를 제공하기 위한 다양한 네트워크 엔티티들을 포함한다. IP 멀티미디어 서브시스템(IMS) 서비스들은 다른 서비스들 중에서 이동 사용자 장비(UE)들 간의 인터넷 프로토콜(IP) 커넥션을 제공하는 것이 목적이다.
제 3세대 파트너십 프로젝트(3GPP)는 IP 멀티미디어 서브시스템(IMS) 서비스들을 제공하기 위하여 범용 패킷 무선 서비스(GPRS, general packet radio service)를 사용하도록 정의하며, 따라서 범용 패킷 무선 서비스(GPRS)가 IP 멀티미디어 서브시스템(IMS) 서비스들을 이용 가능하도록 허용하는 가능한 백본 통신 네트워크의 일 예로써 본 명세서에서 이용될 것이다. 예시적인 범용 패킷 무선 서비스(GPRS) 동작환경은 하나 또는 그 이상의 서브네트워크 서비스 영역들을 포함하 는데, 이들은 범용 패킷 무선 서비스(GPRS) 백본 네트워크에 의하여 상호 연결된다. 서브네트워크는 복수 개의 패킷 데이터 서비스 노드(SN)들을 포함한다. 이러한 어플리케이션에서, 서비스 노드(SN)들은 서빙 GPRS 지원 노드(SGSN, serving GPRS support nodes)인 것으로 간주될 것이다. 서빙 GPRS 지원 노드(SGSN)들 각각은 적어도 하나의 이동 통신 네트워크에 연결되며, 전형적으로는 기지국 시스템에 연결된다. 전형적으로, 커넥션은 무선 네트워크 제어기(RNC, radio network controller) 또는 기지국 제어기(BSC, base stations controller)와 같은 다른 액세스 시스템 제어기들에 의하여, 수 개의 기지국들을 통하여 패킷 서비스가 이동 사용자 장비(UE)에 제공될 수 있는 방식으로 형성된다. 중간 이동 통신 네트워크(intermediate mobile communication network)는 지원 노드 및 이동 사용자 장비(UE) 간의 패킷 교환 데이터 송신을 제공한다. 상이한 서브네트워크들은 순서대로 외부 데이터 네트워크(예를 들어, 공중 교환 데이터 네트워크(PSPDN, public switched data network))에 연결되는데, 이 때 게이트웨이 GPRS 지원 노드(GGSN gateway GPRS support nodes)를 통하여 연결된다. 그러므로, 범용 패킷 무선 서비스(GPRS) 서비스들은 이동 데이터 단말기 및 외부 데이터 네트워크 간의 패킷 데이터 송신을 허용한다.
이러한 네트워크에서, 패킷 데이터 세션이 설립되어 네트워크 상에서 트래픽 흐름을 전달한다. 이러한 패킷 데이터 세션은 패킷 데이터 프로토콜(PDP, packet data protocol) 콘텍스트(context)라고 흔히 간주된다. 패킷 데이터 프로토콜(PDP) 콘텍스트는 사용자 장비(UE)들 간에 제공된 무선 액세스 베어러(radio access bearer), 무선 네트워크 제어기 및 서빙 GPRS 지원 노드(SGSN), 및 서빙 GPRS 지원 노드(SGSN) 및 게이트웨이 GPRS 지원 노드(GGSN) 간에 제공된 교환 패킷 데이터 채널을 포함할 수 있다.
그러면, 사용자 장비(UE) 및 다른 상대 간에 수행되는 데이터 통신 세션은 설립된 패킷 데이터 프로토콜(PDP) 콘텍스트에서 수행될 수 있다. 각 패킷 데이터 프로토콜(PDP) 콘텍스트는 하나 이상의 트래픽 흐름을 운반할 수 있지만, 특정한 하나의 패킷 데이터 프로토콜(PDP) 콘텍스트 내의 모든 트래픽 흐름은 그들이 네트워크를 통하여 송신되는 관점에서는 동일한 방식으로 처리된다. 패킷 데이터 프로토콜(PDP) 콘텍스트 처리 요구조건은 트래픽 흐름에 관련된 패킷 데이터 프로토콜(PDP) 콘텍스트 처리 속성(treatment attributes)에 기반하는데, 예를 들어 서비스의 품질 및/또는 과금 속성(charging attributes)에 기반한다.
제3 세대 파트너십 프로젝트(3GPP)는 3세대(3G) 코어 네트워크를 위한 참조 아키텍쳐(reference architecture)도 정의하는데, 이것은 사용자 장비(UE)의 사용자들에게 멀티미디어 서비스에 대한 액세스를 제공한다. 이러한 코어 네트워크는 세 가지 기본적인 도메인들로 분리된다. 이들은 회선 교환(CS, circuit switched) 도메인, 패킷 교환(PS, packet switched) 도메인, 및 IP 멀티미디어(IM) 도메인이다. 이중 마지막인 IM 도메인은 멀티미디어 서비스들이 적절하게 관리되도록 보장하기 위하여 이용된다.
IP 멀티미디어(IM) 도메인은 인터넷 공학 태스크 포스(IETF, Internet Engineering Task Force)에 의하여 개발된 세션 개시 프로토콜(SIP, session initiation protocol)을 지원한다. 세션 개시 프로토콜(SIP)은 하나 또는 그 이상의 참가자들(말단점(endpoints)들)과의 세션을 생성, 수정, 및 종결하기 위한 어플리케이션-계층의 제어 프로토콜이다. 세션 개시 프로토콜(SIP)은 일반적으로 두 개 또는 그 이상의 말단점들 간에, 이러한 말단점들이 세션 시맨틱(session semantic)을 이해하도록 함으로써 세션을 개시하도록 허용하기 위하여 개발되었다. 세션 개시 프로토콜(SIP) 기반의 통신 시스템에 연결된 사용자는 표준 세션 개시 프로토콜(SIP) 메시지에 기반하여 통신 시스템의 다양한 엔티티들과 통신할 수 있다. 사용자 장비(UE) 또는 사용자 장비(UE) 상에 특정 어플리케이션을 구동시키는 사용자들은 세션 개시 프로토콜(SIP) 백본에 등록됨으로써 특정 세션에 대한 초대(invitation)가 이러한 말단점들에 정확하게 배달된다. 이러한 동작을 수행하기 위하여, 세션 개시 프로토콜(SIP)은 장치 및 사용자의 등록 메커니즘을 제공하며, 위치 추적 서버(location server) 및 등록 기관(registrar)과 같은 메커니즘을 적용하여 세션 초대가 적합하게 라우팅되도록 한다. 세션 개시 프로토콜(SIP) 시그널링을 이용하여 제공될 수 있는 가능한 세션들에는 인터넷 멀티미디어 회의, 인터넷 전화, 및 멀티미디어 배포(distribution)가 포함될 수 있다.
본 명세서에 참조되어 통합되는 IETF 문서 RFC 3325에 대해 참조한다. 이 문서는, 세션 개시 프로토콜(SIP)에 추가되는 프라이버시 확장 규격(extension)으로서, 신뢰성 세션 개시 프로토콜(SIP) 서버의 네트워크로 하여금 말단 사용자들 또는 말단 시스템들의 신원 정보(identity)를 확증(assert)하고, 말단-사용자에 의하여 요청된 프라이버시에 대한 지시자(indications)를 운반하도록 한다. 이러한 확장 규격을 이용하는 것은 네트워크 확증 신원(Network Asserted Identity)을 위한 단문 용어 정의 내에 정의된 바와 같은 '신뢰성 도메인(Trust Domain)' 내에 적용될 수 있다. 이러한 신뢰성 도메인 내의 노드들은 사용자 및 말단 시스템들에 의하여 명백히 신뢰되어 공공연하게 각 당사자의 신원 정보를 확증하도록 하고, 보안이 프라이버시가 요청될 경우 신뢰성 도메인 외부의 엔티티들을 보류(withhold)시키는데 대한 책임을 진다.
RFC 3325에 기술된 프라이버시 프로시저를 적용할 수 있기 위해서는, 후속 홉 네트워크(next hop network)의 신뢰성(trustworthiness)을 검출할 필요가 있다. 만일 후속 홉이 신뢰성이 있다면, 상이한 프라이버시 옵션에 관련된 프로시저들은 후속 홉에 위임된다. 그렇지 않으면, 프라이버시 프로시저는 실행되어야 한다.
일 예로서, 송화자가 신원 정보 프라이버시를 요구할 경우, P-확증-신원 정보 헤더(P-Asserted-Identity) 헤더는 이것이 수화자에 도달되기 이전에 제거되어야 한다. 송화자에 의하여 전송된 메시지는 송화자를 식별하는 헤더 및 통화된(called) P-확증-신원 정보 헤더를 포함한다. 전송자가 공지된 사용자 식별 정보(identification)를 가지는 사용자일 경우에, 이러한 헤더의 포맷은 <sip:user1_public1@home1,net> 이다. 송화자의 홈 네트워크는 수화자의 홈 네트워크가 신뢰받지 않는 경우에만 헤더를 제거해야 한다. 만일 수화자의 홈 네트워크가(이것은 송화자의 홈 네트워크의 후속 홉이다) 신뢰성이 있다면, 송화자의 홈 네트워크는 헤더를 제거하지 않는다. 이것은 RFC3325에 호환되어야 하며, 따라서 P-확증-신원 정보 헤더가 신뢰성 도메인 내의 최후 요소에 의하여 제거되어야 한다 는 것을 나타낸다.
RFC 3325에서는, 제안된 메커니즘이 'P-확증-신원 정보 헤더'라고 불리는 헤더 필드에 기반하는데, 이것은 URI(일반적으로는 SIP URI) 및 선택적인 디스플레이-명칭을 포함한다. 메시지를 핸들링하는 프록시 서버는 어떠한 방식으로든(예를 들어 다이제스트 인증을 통함으로써) 메시지를 보낸 사용자를 인증한 이후에, 이러한 P-확증-신원 정보 헤더 필드를 메시지에 삽입하고 그 메시지를 다른 신뢰성있는 프록시들로 전달한다. 메시지를 프록시 서버 또는 신뢰하지 않는 UA로 전달하고자 하는 프록시는, 사용자가 이 정보가 계속하여 비밀 보호된 상태로 유지되기를 요청하였다면 모든 P-확증-신원 정보 헤더 필드를 제거한다. 사용자는 이러한 개인 정보 보호 타입을 요청할 수 있다.
이러한 프로시저들이 적합한 곳에 적용되기 위해서는, 후속 홉의 신뢰성이 어떠한 방식으로든지 검출되어야 한다.
본 발명의 제1 측면에 따르면, 제1 네트워크 내의 송화자(calling party) 및 제2 네트워크 내의 수화자(called party) 간의 통신 방법으로서, 상기 제1 네트워크 내에서 상기 수화자에 관련된 주소를 결정하는 단계; 상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크(trusted network) 내에 위치하는지 여부를 결정하는 단계; 및 상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화자 및 상기 송화자 간의 통신을 제어하는 단계를 포함하는 것을 특징으로 하는 통신 방법이 제공된다.
본 발명의 제2 측면에 따르면, 송화자를 포함하는 제1 네트워크 및 수화자를 포함하는 제2 네트워크를 포함하는 통신 시스템으로서, 상기 제1 네트워크는, 상기 수화자에 관련된 주소를 결정하기 위한 결정 수단; 상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하기 위한 수단; 및 상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화자 및 상기 송화자 간의 통신을 제어하기 위한 제어 수단을 포함하는 것을 특징으로 하는 통신 시스템이 제공된다.
본 발명의 제3 측면에 따르면, 제2 네트워크 내의 수화자에게 통화를 하도록 구현된 송화자를 포함하는 제1 네트워크로서, 상기 수화자에 관련된 주소를 결정하기 위한 결정 수단; 상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하기 위한 수단; 및 상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화자 및 상기 송화자 간의 통신을 제어하기 위한 제어 수단을 포함하는 것을 특징으로 하는 제1 네트워크가 제공된다.
본 발명의 제4 측면에 따르면, 제1 네트워크 내의 송화자 및 제2 네트워크 내의 수화자 간의 통신 방법으로서, 상기 제1 네트워크 내에서 상기 제2 네트워크와의 보안 연결이 존재하는지 여부를 결정하는 단계; 및 제2 네트워크와의 보안 연결이 존재하지 않는 것으로 결정되면, 상기 송화자로부터 상기 수화자로의 메시지를 폐기 또는 수정하는 단계를 포함하는 것을 특징으로 하는 통신 방법이 제공된다.
발명을 더욱 잘 이해하기 위하여 다음과 같은 첨부 도면들에 대해서 참조한다.
도 1은 본 발명이 구현될 수 있는 통신 시스템을 도시한다.
도 2는 본 발명의 일 실시예의 동작을 예시하는 흐름도이다.
도 3은 본 발명의 일 실시예가 제공될 수 있는 콘텍스트를 도시한다.
본 발명의 실시예들은 특정 Re1-5 IP 멀티미디어 서브시스템(IMS) 네트워크들에 관련되지만, 본 발명은 이에 한정되는 것이 아니다. 본 발명의 실시예들은 다른 다양한 IP 멀티미디어 서브시스템(IMS) 네트워크들에도 적용될 수 있다. 본 발명의 실시예들은 다른 세션 개시 프로토콜(SIP) 네트워크들에도 적용될 수 있다. 본 발명의 몇 몇 실시예들은 세션 개시 프로토콜(SIP) 및 IP 멀티미디어 서브시스템(IMS) 환경 이외의 어플리케이션들에도 더욱 넓게 적용될 수 있다.
본 발명의 특정 실시예들은 예시적으로 제공된 것이며, 특히 3세대(3G) 이동 통신 시스템의 예시적인 아키텍처에 관하여 제공되었다. 하지만, 본 발명의 실시예들 중 어떤 것들은 다른 적합한 형태의 네트워크에도 모두 적용될 수 있다는 점이 이해될 것이다. 전형적으로 이동 통신 시스템은 사용자 장비(UE) 및 통신 시스템의 기지국 간의 무선 인터페이스를 통하여 복수의 이동 통신 사용자 장비(UE)에 서비스를 제공하기 위하여 구현된다. 이동 통신 네트워크는 이론적으로는 무선 액세스 네트워크(RAN, radio access network) 및 코어 네트워크(CN, core network)로 분리될 수 있다.
도 1을 참조하면, 도 1은 본 발명이 적용될 수 있는 네트워크 아키텍처의 일 예를 도시한다. 도 1은 IP 멀티미디어 네트워크 가입자들에게 IP 멀티미디어 서비스들을 제공하기 위한 IP 멀티미디어 네트워크(45)를 도시한다. IP 멀티미디어(IM) 기능들은 멀티미디어 서비스를 제공하기 위한 다양한 엔티티들을 포함하는 코어 네트워크(CN) 서브시스템을 통하여 제공될 수 있다.
기지국(31, 43)들은 신호를 무선 인터페이스를 통하여 이동 통신 사용자(즉, 가입자)의 사용자 장비(UE)(30, 44)로 전송하거나 사용자 장비(UE)로부터 수신하도록 구현된다. 이에 상응하여, 이동 통신 사용자 장비(UE)의 각각은 무선 인터페이스를 통하여 기지국으로 신호를 송신하거나 기지국으로부터 신호를 수신할 수 있다. 도 1에 도시된 바와 같이 간략화된 예시에서, 기지국(31, 43)들은 상이한 무선 액세스 네트워크(RAN)에 속한다. 도 1에 도시된 실시예에서 사용자 장비(UE)(30, 44) 각각은 기지국(31, 43)에 관련된 두 개의 액세스 네트워크들 각각을 통하여 IP 멀티미디어 네트워크(45)에 액세스할 수 있다. 그러나, 명확화를 위하여 도 1은 두 개의 무선 액세스 네트워크의 기지국들을 도시하고 있으며, 전형적인 이동 통신 네트워크는 일반적으로 다수 개의 무선 액세스 네트워크(RAN)들을 포함한다.
3세대 무선 액세스 네트워크(RAN)는 전형적으로는 적합한 무선 네트워크 제어기(RNC)에 의하여 제어된다. 제어기는 간략화를 위하여 도시되지 않았다. 제어기는 각 기지국에 할당될 수 있고, 또는 제어기는 복수 개의 기지국들을 제어할 수 있다. 제어기들이 개별 기지국들 모두에 제공된 솔루션 및 무선 액세스 네트워크 레벨에서 제공되어 복수 개의 기지국들을 제어하는 솔루션들 모두가 공지된다. 그러므로, 네트워크 제어기들의 명칭, 위치, 및 개수는 해당 시스템에 따라서 변경된다는 것이 이해될 것이다.
이동 통신 사용자는 인터넷 프로토콜(IP) 통신에 적응된 적합한 이동 통신 장치를 이용하여 네트워크에 접속할 수 있다. 예를 들어, 이동 통신 사용자는 개인용 컴퓨터(PC), 개인 휴대용 단말기(PDA), 이동국(MS) 등과 같은 장치를 통하여 셀룰러 네트워크에 액세스할 수 있다. 후술되는 예시들은 이동국의 관점에서 기술되었다.
당업자는 전형적인 이동국의 특징 및 기능에 대해 익숙하다. 그러므로 이러한 특징들에 대한 상세한 설명은 불필요하다. 사용자는 이동국을 이용하여 전화를 걸거나 받고, 네트워크로 데이터를 전송하거나 수신하고, 또한 예를 들어 멀티미디어 콘텐트를 즐기는 등의 작업을 수행할 수 있다는 점만 이해하면 족하다. 이동국은 전형적으로는 이러한 작업을 수행하기 위한 프로세서 및 메모리 수단을 포함한다. 이동국은 신호들을 이동 통신 네트워크의 기지국들로 전송하거나 수신하기 위한 안테나 수단을 포함할 수 있다. 또한, 이동국은 이동 통신 사용자 장비(UE)를 이용하기 위한 이미지 및 다른 그래픽 정보를 디스플레이하기 위한 디스플레이를 더 포함할 수 있다. 또한, 스피커 수단도 제공될 수 있다. 이동국의 동작은 적합한 사용자 인터페이스(즉, 제어 버튼, 음성 명령 등)에 의하여 제어될 수 있다.
비록 두 개의 이동국들이 도 1에 도시되었을 뿐이지만 이는 간략화를 위한 것이며, 복수 개의 이동국들이 이동 통신 시스템의 개별 기지국과 동시에 통신할 수 있다는 점이 이해되어야 한다. 또한, 이동국은 수 개의 동시 세션들을 가질 수 있는데, 예를 들어 복수 개의 세션 개시 프로토콜(SIP) 세션들 및 활성화된 패킷 데이터 프로토콜(PDP) 콘텍스트들을 동시에 가질 수 있다. 또한, 사용자는 전화를 걸 수 있으며 동시에 적어도 하나의 다른 서비스에 접속할 수 있다.
코어 네트워크(CN) 엔티티는 전형적으로 복수 개의 무선 액세스 네트워크들을 통한 통신을 허용하고 단일 통신 시스템을 하나 또는 그 이상의 통신 시스템(즉 다른 셀룰러 시스템 및/또는 고정선(fixed line) 통신 시스템)과 인터페이스하도록 하기 위한 다양한 제어 엔티티 및 게이트웨이들을 포함할 수 있다. 도 1에서 서빙 GPRS 지원 노드(SGSN)(33, 42) 및 게이트웨이 GPRS 지원 노드(GGSN)(34, 40)들이 네트워크 내에 범용 패킷 무선 서비스(GPRS) 서비스들(32, 41)을 각각 제공하기 위하여 사용된다.
전형적으로, 무선 액세스 네트워크 제어기는 적합한 코어 네트워크(CN) 엔티티 또는 엔티티들에 연결되는데, 이러한 엔티티들에는 서빙 GPRS 지원 노드(SGSN)(33, 42)등이 포함되는데 반드시 이에 한정되는 것은 아니다. 비록 도 1에 도시되지는 않았지만, 각 서빙 GPRS 지원 노드(SGSN)들은 개별 사용자 장비(UE)의 가입에 관련된 정보를 저장하도록 구성된 할당된 가입자 데이터베이스(subscriber database)에 액세스하는 것이 전형적이다.
무선 액세스 네트워크(RAN) 내의 사용자 장비(UE)는 무선 네트워크 채널을 통하여 무선 네트워크 제어기(RNC)와 통신할 수 있는데, 이러한 무선 네트워크 채널은 전형적으로 무선 베어러(RB, radio bearer)라고 불린다. 사용자 장비(UE) 각 각은 무선 네트워크 제어기(RNC)에 대하여 언제든지 개방인 하나 또는 그 이상의 무선 네트워크 채널을 포함할 수 있다. 무선 네트워크 제어기(RNC)는 적합한 인터페이스(예를 들어 Iu 인터페이스 상에서) 서빙 GPRS 지원 노드(SGSN)와 통신한다.
그러면, 서빙 GPRS 지원 노드(SGSN)는 전형적으로 범용 패킷 무선 서비스(GPRS) 백본 네트워크(32, 41)를 통하여 게이트웨이 GPRS 지원 노드(GGSN)와 통신한다. 이 인터페이스는 통상적으로 교환 패킷 데이터 인터페이스(switched packet data interface)이다. 서빙 GPRS 지원 노드(SGSN) 및/또는 게이트웨이 GPRS 지원 노드(GGSN)들은 네트워크 내에 범용 패킷 무선 서비스(GPRS) 서비스를 제공하기 위하여 이용된다.
액세스 엔티티 내의 사용자 장비(UE) 및 게이트웨이 GPRS 지원 노드(GGSN) 간의 전체 통신은 일반적으로 패킷 데이터 프로토콜(PDP) 콘텍스트에 의하여 제공될 수 있다. 각 패킷 데이터 프로토콜(PDP) 콘텍스트는 일반적으로 특정 사용자 장비(UE) 및 게이트웨이 GPRS 지원 노드(GGSN) 간의 통신 경로를 제공하고, 이러한 경로가 설립되고 나면, 전형적으로 다중 흐름을 운반할 수 있다. 예를 들어, 각 흐름은 일반적으로 특정 서비스 및/또는 특정 서비스의 미디어 성분을 나타낸다. 그러므로, 패킷 데이터 프로토콜(PDP) 콘텍스트는 흔히 네트워크를 통한 하나 또는 그 이상의 흐름을 위한 논리적 통신 경로를 나타낸다. 사용자 장비(UE) 및 서빙 GPRS 지원 노드(SGSN) 간에 패킷 데이터 프로토콜(PDP) 콘텍스트를 구현하기 위하여, 사용자 장비(UE)를 위한 데이터 전달을 일반적으로 허용하는 무선 액세스 베어러(RAB)가 설립되어야 한다. 이러한 논리적 및 물리적 채널들의 구현 방법은 당업 자에게 공지된 것이며, 따라서 본 명세서에서는 더 상세하게 설명되지 않는다.
사용자 장비(UE)(30, 44)들은 범용 패킷 무선 서비스(GPRS) 네트워크를 통하여 일반적으로 IP 멀티미디어 서브시스템(IMS)에 연결되는 어플리케이션 서버들에 연결될 수 있다.
통신 시스템들은, 서버라고 알려진 네트워크 엔티티들에 의하여 핸들링되는 네트워크의 다양한 기능들을 이용함으로써 사용자 장비(UE)에 제공될 수 있도록 하는 방식으로 개발되었다. 예를 들어, 현재의 3세대(3G) 무선 멀티미디어 네트워크 아키텍쳐에서는, 수 개의 상이한 서버들이 상이한 기능을 핸들링하기 위하여 이용된다고 가정된다. 이러한 기능에는 콜 세션 제어 기능(CSCF, call session control function)과 같은 기능이 포함된다. 콜 세션 제어 기능은 다양한 카테고리로 분리될 수 있는데, 예를 들어 프록시 콜 세션 제어 기능(P-CSCF)(35, 39) 질의 콜 세션 제어 기능(I-CSCF, interrogating-CSCF)(37), 및 서빙 콜 세션 제어 기능(S-CSCF)(36, 38)들로 분리될 수 있다. IP 멀티미디어 서브시스템(IMS) 시스템을 통하여 어플리케이션 서버에 의하여 제공된 서비스들을 이용하고자 하는 사용자는 서빙 제어 개체(serving control entity)에 등록할 필요가 있을 수 있다. 서빙 콜 세션 제어 기능(S-CSCF)은 3세대 IP 멀티미디어 서브시스템(IMS) 구현예에서는 통신 시스템으로부터의 서비스를 요청하기 위하여 사용자가 등록해야 하는 엔티티를 형성할 수 있다. CSCF들은 UMTS 시스템의 IP 멀티미디어 서브시스템(IMS) 네트워크를 정의할 수 있다.
유사한 기능이 상이한 시스템에서는 상이한 명칭으로 불릴 수 있다는 점이 이해될 것이다. 예를 들어, 특정 어플리케이션에서 CSCF는 콜 상태 제어 기능이라고 불릴 수 있다.
통신 시스템은, 요구되는 통신 자원을 백본 네트워크에 의하여 제공받은 사용자가 요구된 서비스에 대한 요청을 통신 시스템 상에서 전송함으로써 서비스 이용을 개시하도록 구현될 수 있다. 예를 들어, 사용자는 세션, 트랜젝선, 또는 적합한 네트워크 엔티티로부터 다른 타입의 통신을 요청할 수 있다.
본 발명의 일 실시예에서, 송화자의 홈 네트워크의 S-CSCF에는 데이터베이스가 존재하는데, 이것은 해당 홈 네트워크가 신뢰하는 모든 공지된 IP 멀티미디어 서브시스템(IMS) 네트워크 도메인 명칭 및 인터넷 프로토콜(IP) 주소들의 목록을 포함한다.
IP 멀티미디어 서브시스템(IMS) 네트워크 및 상응하는 I-CSCF의 인터넷 프로토콜(IP) 주소들을 포함하는 데이터베이스는 세션 개시 프로토콜(SIP) 레벨 데이터베이스에서 유지되어야 한다. 세션 개시 프로토콜(SIP) 요청은 도메인 명칭 또는 요청(R)-범용 자원 지시자 내의 인터넷 프로토콜(IP) 주소들을 포함할 수 있다. 도메인 네임을 데이터베이스에 저장하는 것으로는 충분하지 않다. 그러므로, 송화자는 데이터베이스에서 수화자에 관련된 도메인 네임 또는 인터넷 프로토콜(IP) 주소를 살펴봄으로써 수화자가 신뢰성이 있는지 신뢰성이 없는지를 점검할 수 있다.
그러나, 본 발명의 다른 실시예에서 R-URI 내의 도메인 네임 대신에 인터넷 프로토콜(IP) 주소가 수신될 때마다 역방향 도메인 네임 서버 질의(queries)를 생성하도록 하는 것도 가능하다. 그러므로, 다음과 같은 간략화된 솔루션도 가능한 데 이는 도 2를 참조하여 설명된다.
데이터베이스는 홈 네트워크가 신뢰하는 IP 멀티미디어 서브시스템(IMS) 네트워크들의 도메인 네임을 유지한다.
단계 S1에서, 요청이 도메인 네임을 포함하는지가 결정된다.
만일 그렇다면, 후속 단계는 S2로서, 여기서 해당 도메인이 데이터베이스 내에 존재하는지를 검토한다. 만일 그렇다면 다음 홉은 신뢰성있는 도메인 네임이라고 간주되고 상응하는 프로시저들이 적용된다(단계 S3). 만일 해당 도메인이 데이터베이스에 존재하지 않는다면, 후속 홉은 신뢰성이 없는 도메인인 것으로 감주하고, 상응하는 프로시저들을 적용한다(단계 S4).
만일 수화자가 신뢰성이 없다면, 메시지는 폐기되거나 다른 식으로 수정된다. 만일 메시지가 수정되며, 송화자를 식별하는 정보는 제거될 것이다. 이러한 정보는 P-확증 헤더(P-Asserted header)일 수 있다. 이러한 과정은 송화자가 프라이버시를 요청하였을 경우 수행된다(즉, 그들의 신원 정보가 비밀로 유지되도록 요청하였을 경우 수행된다).
만일 요청이 도메인 네임을 포함하지 않는다면, R-URI 내의 인터넷 프로토콜(IP) 주소를 가지는 요청이 수신되었는지 결정된다(단계 S5). 단계 S5 및 S1은 단일 단계로 결합될 수 있다. 만일 요청이 인터넷 프로토콜(IP) 주소를 포함한다면, 역방향 DNS 질의가 수행되어 상응하는 도메인을 찾아낸다(단계 S6). 즉, 인터넷 프로토콜(IP) 주소와 관련된 도메인의 명칭을 찾기 위한 질의가 도메인 네임 서버로 전송된다. 그러면, 후속 단계는 데이터베이스를 검토하는 단계 S2가 된다.
본 발명의 다른 실시예에서, 데이터베이스는 오직 홈 네트워크의 S-CSCF에만 유지되며, 데이터베이스는 해당 홈 네트워크가 신뢰하는 모든 공지된 IP 멀티미디어 서브시스템(IMS) 네트워크 도메인 네임들의 목록을 유지한다.
만일 R-URI이 도메인 네임 대신에 인터넷 프로토콜(IP) 주소를 포함한다면(즉, 데이터베이스에서 검색될 수 없다면), 후속 홉이 신뢰성없는 도메인이라고 단순히 간주된다.
본 발명의 또다른 실시예에서, 네트워크 도메인 보안(NDS, network domain security)이 보안 게이트웨이(SPD) 내에 구성되는데, 여기서 해당 게이트웨이가 일부를 구성하는 도메인으로부터의 CSCF로부터의 인터넷 프로토콜(IP) 패킷이 보안 커넥션을 통하여 전송되도록 하는 방식으로 구성된다. 만일 목적지까지의 보안 커넥션이 존재하지 않는다면, 패킷은 단순히 폐기되고, 인터넷 제어 메시지 프로토콜(ICMP, internet control message protocol) 메시지가 생성된다. 인터넷 제어 메시지 프로토콜(ICMP)은 오류 및 제어 메시지들을 게이트웨이 또는 목적지 호스트 간에 전달하고 소스 호스트에 IP 데이터그램 처리에 대해서 알리는 인터넷 프로토콜이다. 예를 들어, 인터넷 제어 메시지 프로토콜(ICMP)은 인터넷 프로토콜(IP) 데이터그램 처리 중 오류를 보고할 수 있다. 일반적으로 인터넷 제어 메시지 프로토콜(ICMP)은 인터넷 프로토콜(IP)의 일부이다. 그러므로, 홈 네트워크는 후속 홉이 언제나 신뢰성이 있다고 가정하고 P-확증-신원 정보를 제거하지 않는다. 후속 홉이 신뢰성이 없는 경우에는, 해당 패킷은 폐기되고, 결국 수화자에 도달할 수 없다.
이러한 솔루션의 결과는, CSCF가 신뢰성 있는 도메인에 속한 세션 개시 프로토콜(SIP) 엔티티하고만 통신할 수 있다.
3세대 파트너십 프로젝트 규격 번호 TS33.210 버전 3.3.0 에 대해서 참조하는데, 이 문서는 본 명세서에 참조되어 통합된다. 해당 문서는 네트워크 도메인 보안 아키텍처 아웃라인에 대해서 기술한다. 도 3을 참조하는데, 도 3은 본 발명에 의한 실시예들이 적용될 수 있는 이러한 아키텍처를 도시한다.
우선, 각각 네트워크 내에 존재할 수도 있고 네트워크 간에 존재할 수도 있는 Za 및 Zb 인터페이스들에 대하여 설명한다. 이러한 설명은 3GPP TS 33.210 V6.0.0 (2002-12) 기술 규격 릴리스 6으로부터 취해진 것이다. 도 3은 두 보안 도메인들 및 이러한 도메인들의 엔티티들 간의 Za 및 Zb 인터페이스들에 대해서 설명한다.
Za-인터페이스(SEG-SEG)
Za-인터페이스는 보안 도메인들 간의 모든 NDS/IP(network domain security/internet protocol) 트래픽을 담당한다. 보안 게이트웨이(SEG)는 인터넷 키 교환(IKE, Internet key exchange)을 이용하여 이들 사이의 보안되는 ESP(Encapsulating Security Payload)를 협상, 설립, 및 유지한다. 로밍 합의(roaming agreements)에 따라서, 상호-보안 게이트웨이(SEG) 터널들은 일반적으로 언제나 사용가능하지만, 이들은 필요에 따라서 설립될 수도 있다. ESP는 암호화 및 인증/무결성(authentication/integrity) 모두에 대해서 사용될 수 있지만, 인증/무결성 모드 만도 이용될 수 있다. 터널은 보안 도메인 A 및 보안 도메인 B 간의 NDS/IP 트래픽의 전달을 위하여 후속하여 이용된다.
어떤 보안 게이트웨이(SEG)는 모든 로밍 파트너들 중 특정 서브셋에만 서비스를 제공하도록 전용적으로 이용될 수 있다. 이렇게 되면 SA의 개수를 한정하며 유지되어야 하는 터널의 개수를 한정한다.
이러한 규격에 호환되는 모든 보안 도메인들은 Za-인터페이스를 작동시킬 것이다.
Zb-인터페이스(NE-SEG/NE-NE)
Zb-인터페이스는 보안 게이트웨이(SEG) 들 및 NE들 사이 및 동일한 보안 도메인 내의 NE들 간에 위치된다. Zb-인터페이스는 선택적으로 구현된다. 구현된다면, 이것은 ESP+IKE를 구현할 것이다.
Zb-인터페이스에서, ESP는 언제나 인증/무결성 보호(authentication/integrity protection) 기능과 함께 이용될 수 있다. 암호화를 이용하는 것은 선택적이다. ESP 보안 관련성(ESP Security Association)이 보안 보호(security protection)를 요청하는 모든 제어 플레인 트래픽을 위하여 이용될 수 있다.
보안 관련성(Security Association)이 요구될 때 설립되는지 또는 선험적으로(a priori) 설립되는지 여부에 대한 결정은 보안 도메인 운영자가 결정한다. 보안 관련성은 NE들 간에 NDS/IP 트래픽을 교환하기 위하여 후속하여 이용된다.
Za-인터페이스 상에서 설립되는 보안 정책은 로밍 합의에 의존한다. 이것은 Zb-인터페이스 상에서 강화된 보안 정책과는 상이한데, Zb-인터페이스에서는 보안 도메인 운영자에 의하여 단방향적으로(unilaterally) 결정된다.
NDS/IP 아키텍처의 기본적인 기술적 사상은 홉-대-홉(hop-by-hop) 보안을 제공하는 것이다. 이것은 동작의 연쇄 터널(chained-tunnels) 또는 허브-및-스포크(hub-and-spoke) 모델들에 따른다. 홉-대-홉 보안을 이용하면 상이한 보인 정책들을 내부적으로 실행하고 다른 외부 보안 도메인에서 동작시키는 것도 용이하게 한다.
NDS/IP에서, 보안 게이트웨이(SEG)만이 NDS/IP 아키텍처 트래픽을 위한 다른 보안 도메인들 내의 개들과 직접 통신에 의하여 결속한다(engage). 그러면, 보안 게이트웨이(SEG)는 보안 도메인들 간의 터널 모드에서 IPsec 보안 ESP 보안 관련성(IPsec secured ESP Security Association)을 유지한다. 일반적으로 보안 게이트웨이(SEG)들은 항상 이용 가능한 적어도 하나의 IPsec 터널을 특정한 말단 보안 게이트웨이(SEG)로 유지시킨다. 보안 게이트웨이(SEG)는 각각의 인터페이스를 위하여 논리적으로 개별적인 SAD 및 SPD 데이터베이스들을 유지할 것이다.
NE들은 요구되는 ESP 보안 관련성(ESP Security Associations)을 동일한 보안 도메인 내의 보안 게이트웨이(SEG) 또는 다른 NE를 향하여 설립 및 유지할 수 있다. 어느 보안 도메인 내의 NE로부터 다른 보안 도메인 내의 NE로의 모든 NDS/IP 트래픽은 보안 게이트웨이(SEG)를 통하여 라우팅되고, 최종 목적지에 대한 홉-대-홉 보안 보호 기능을 부여받는다.
운영자들은 두 개의 통신 보안 도메인들 간에 오직 하나의 ESP 보안 관련성을 설립하도록 결정할 수 있다. 이러한 동작은 열화-그레이닝된(coarse-grained) 보안 조각(security granularity)을 생성할 것이다. 이러한 구성의 장점은 트래픽 흐름 분석에 반하는 특정 양의 보안만을 제공한다는 점이며, 단점은 통신 엔티티들 사이에 제공된 보안 보호를 구별할 수 없다는 점이다. 이것은 통신 엔티티들을 식별(discretion)할 때 더 조밀하게 그레이닝된(finer grained) 보안 조각의 협상을 사전 배제하지는 않는다.
본 발명의 실시예들에서, 송화자의 보안 게이트웨이(SEG)는 수화자의 패킷이 수화자의 보안 게이트웨이(SEG)로 보안 커넥션을 통하여 전송되어야 할지 여부를 결정한다. 만일 보안 커넥션이 존재하지 않는다면, 해당 패킷은 폐기된다. 만일 보안 커넥션이 존재하면 패킷은 전송된다.
본 발명의 일 수정례에서, 보안 커넥션이 존재하지 않는다면, 송화자의 보안 게이트웨이(SEG)는 메시지로부터 신원 정보(identity information)를 제거할 것이며, 이것은 P-확증 헤더이다. 그러면, 수정된 메시지는 수화자로 전송된다.
본 발명의 실시예들에서, P-확증 헤더 정보는 패킷으로부터 제거된다. P-확증 정보를 포함하지 않는 본 발명의 다른 실시예들에서는, 송화자의 신원 정보에 관련된 식별 정보가 제거될 것이다.
데이터베이스는 신뢰성있는 구성원들의 신원 정보만을 저장하는 것으로 설명된다. 본 발명의 다른 수정 실시예에서, 데이터베이스는 신뢰성없는 성분의 신원 정보만을 저장하거나 신뢰성없는 성분 및 신뢰성있는 성분 모두의 신원 정보를 이들이 신뢰성을 가지는지 여부를 지시하는 정보와 함께 저장할 수도 있다.
범용 패킷 무선 서비스(GPRS) 시스템이 존재하는 일 실시예에 대한 발명의 상세한 설명은 예시적으로만 제공된 것이며, 본 발명의 다른 실시예들에서는 다른 시스템들도 이용될 수 있다는 점에 주의해야 한다.
본 발명의 실시예들이 이동국과 같은 사용자 장비(UE)들에만 관련하여 설명되었으나, 본 발명의 실시예들은 사용자 장비(UE)의 다른 적합한 타입에도 적용될 수 있다는 점이 이해되어야 한다.
본 발명의 실시예들은 IP 멀티미디어 서브시스템(IMS) 및 범용 패킷 무선 서비스(GPRS) 네트워크의 콘텍스트에서 설명되었다. 본 발명은 다른 액세스 기술들에도 역시 적용될 수 있다. 더 나아가, 주어진 실시예들은 세션 개시 프로토콜(SIP) 네트워크 및 세션 개시 프로토콜(SIP) 가능 엔티티들의 콘텍스트에서 설명되었다. 본 발명은 다른 적합한 통신 시스템들에도 적용될 수 있는데, 이들은 무선 시스템이던 고정선 시스템들이건, 무선 표준이건 고정선 표준이건, 무선 프로토콜이건 고정선 프로토콜이건 관계없다.
본 발명의 실시예들은 콜 상태 제어 기능의 콘텍스트에서 논의되었다. 본 발명의 실시예들은 적용가능한 다른 네트워크 요소들에도 적용될 수 있다.
전술된 설명이 본 발명의 예시적인 실시예들에 대해서 기술하고는 있지만, 첨부된 청구의 범위에 의하여 정의되는 본 발명의 기술적 사상에서 벗어나지 않은 채, 수 개의 변화 및 수정을 시도하는 것이 가능하다는 점도 이해되어야 한다.
본 발명에 의한 통신 시스템은, 사용자 장비 및/또는 통신 시스템에 관련된 다른 노드들과 같은 두 개 또는 그 이상의 엔티티들 간의 통신 세션을 활성화하는 설비인 것으로 간주될 수 있다. 예를 들어, 이러한 통신에는 음성 통신, 데이터 통신, 및 멀티미디어 통신 등이 존재할 수 있다. 예를 들어, 세션은 사용자들 간의 전화 통화이거나, 다자간 화상 회의 세션이거나, 사용자 장비 및 어플리케이션 서버(AS) 간의 통신 세션일 수 있는데, 이러한 어플리케이션 서버의 예를 들면 서비스 제공자 서버가 있다. 일반적으로, 이러한 세션들을 설립함으로써 사용자에게 다양한 서비스를 제공할 수 있다.

Claims (25)

  1. 제1 네트워크 내의 송화자(calling party) 및 제2 네트워크 내의 수화자(called party) 간의 통신 방법에 있어서,
    상기 제1 네트워크 내에서 상기 수화자에 관련된 주소를 결정하는 단계;
    상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크(trusted network) 내에 위치하는지 여부를 결정하는 단계; 및
    상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화자 및 상기 송화자 간의 통신을 제어하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  2. 제1항에 있어서,
    상기 주소는 상기 수화자에 대한 메시지 내에 포함되는 것을 특징으로 하는 통신 방법.
  3. 제2항에 있어서,
    상기 메시지는 패킷 형태인 것을 특징으로 하는 통신 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하는 단계는,
    상기 주소가 신뢰성 네트워크들의 데이터베이스 내에 포함되는지 여부를 점검하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  5. 제4항에 있어서,
    상기 데이터베이스는 상기 제1 네트워크 내에 존재하는 것을 특징으로 하는 통신 방법.
  6. 제4항 또는 제5항에 있어서,
    상기 데이터베이스는 CSCF 또는 보안 게이트웨이(security gateway) 내에 제공되는 것을 특징으로 하는 통신 방법.
  7. 제4항 내지 제7항 중 어느 한 항에 있어서,
    상기 데이터베이스는 상기 신뢰성 네트워크에 관련된 도메인 네임 및 선택적으로 신뢰성 네트워크의 IP 주소를 포함하는 것을 특징으로 하는 통신 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서,
    주소를 결정하는 상기 단계는, 상기 주소가 도메인 네임을 포함하는지 결정하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  9. 제8항에 있어서,
    상기 주소가 도메인 네임을 포함하지 않는 것으로 결정되면, 상기 도메인 네임에 대한 요청(request)이 전송되는 것을 특징으로 하는 통신 방법.
  10. 제9항에 있어서,
    상기 요청은 도메인 네임 서버로 전송되는 것을 특징으로 하는 통신 방법.
  11. (삭제)
  12. 제8항에 있어서,
    상기 주소가 도메인 네임을 포함하지 않는 것으로 결정되면, 상기 수화자는 비신뢰 네트워크(untrusted network) 내에 존재하는 것으로 가정되는 것을 특징으로 하는 통신 방법.
  13. 제1항 내지 제10항 및 제12항 중 어느 한 항에 있어서,
    상기 수화자가 신뢰성 네트워크 내에 존재한다면, 상기 제어 단계는,
    상기 수화자에 대한 적어도 하나의 메시지를 폐기(discard)하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  14. 제1항 내지 제10항 및 제12항 중 어느 한 항에 있어서,
    상기 수화자가 신뢰성 네트워크 내에 존재한다면, 상기 수화자에 대한 적어 도 하나의 메시지는 수정되는 것을 특징으로 하는 통신 방법.
  15. 제14항에 있어서,
    상기 수화자에 대한 적어도 하나의 메시지는 상기 송화자에 관련된 신원 정보(identity information)를 제거함으로써 수정되는 것을 특징으로 하는 통신 방법.
  16. 제15항에 있어서,
    상기 신원 정보는 P-확증-신원 정보 헤더(P-Asserted-Identity header)인 것을 특징으로 하는 통신 방법.
  17. 제1항 내지 제10항 및 제12항 내지 제16항 중 어느 한 항에 있어서,
    상기 제1 및 제2 네트워크는 SIP에 따라서 동작하는 것을 특징으로 하는 통신 방법.
  18. 제1항 내지 제10항 및 제12항 내지 제17항 중 어느 한 항에 있어서,
    상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하는 상기 단계는,
    상기 송화자 네트워크로부터 상기 수화자 네트워크로의 연결이 보안처리(secured)되는지를 결정하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  19. 제18항에 있어서,
    상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부를 결정하는 상기 단계는,
    상기 송화자 네트워크의 게이트웨이에서 수행되는 것을 특징으로 하는 통신 방법.
  20. 제19항에 있어서,
    상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부를 결정하는 상기 단계는,
    상기 송화자 네트워크의 게이트웨이가, 상기 송화자 네트워크의 게이트웨이로부터 상기 수화자 네트워크의 게이트웨이로의 연결이 보안 연결인지를 결정하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  21. 송화자를 포함하는 제1 네트워크 및 수화자를 포함하는 제2 네트워크를 포함하는 통신 시스템에 있어서, 상기 제1 네트워크는,
    상기 수화자에 관련된 주소를 결정하기 위한 결정 수단;
    상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하기 위한 수단; 및
    상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화 자 및 상기 송화자 간의 통신을 제어하기 위한 제어 수단을 포함하는 것을 특징으로 하는 통신 시스템.
  22. 제2 네트워크 내의 수화자에게 통화를 하도록 구현된 송화자를 포함하는 제1 네트워크에 있어서,
    상기 수화자에 관련된 주소를 결정하기 위한 결정 수단;
    상기 주소에 기반하여 상기 수화자가 신뢰성 네트워크 내에 위치하는지 여부를 결정하기 위한 수단; 및
    상기 수화자가 신뢰성 네트워크 내에 존재하는지 여부에 의존하여 상기 수화자 및 상기 송화자 간의 통신을 제어하기 위한 제어 수단을 포함하는 것을 특징으로 하는 제1 네트워크.
  23. 제1 네트워크 내의 송화자 및 제2 네트워크 내의 수화자 간의 통신 방법에 있어서,
    상기 제1 네트워크 내에서 상기 제2 네트워크와의 보안 연결이 존재하는지 여부를 결정하는 단계; 및
    제2 네트워크와의 보안 연결이 존재하지 않는 것으로 결정되면, 상기 송화자로부터 상기 수화자로의 메시지를 폐기 또는 수정하는 단계를 포함하는 것을 특징으로 하는 통신 방법.
  24. 제23항에 있어서,
    상기 결정 단계는 게이트웨이에서 수행되는 것을 특징으로 하는 통신 방법.
  25. 제24항에 있어서,
    상기 게이트웨이는 보안 게이트웨이인 것을 특징으로 하는 통신 방법.
KR1020067006110A 2003-09-30 2004-09-27 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 KR100928247B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GBGB0322891.3A GB0322891D0 (en) 2003-09-30 2003-09-30 Communication method
GB0322891.3 2003-09-30
PCT/IB2004/003130 WO2005034472A1 (en) 2003-09-30 2004-09-27 Method and system for providing a secure communication between communication networks

Publications (2)

Publication Number Publication Date
KR20060060045A true KR20060060045A (ko) 2006-06-02
KR100928247B1 KR100928247B1 (ko) 2009-11-24

Family

ID=29287136

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067006110A KR100928247B1 (ko) 2003-09-30 2004-09-27 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템

Country Status (10)

Country Link
US (1) US7843948B2 (ko)
EP (1) EP1668862B1 (ko)
JP (2) JP2007507956A (ko)
KR (1) KR100928247B1 (ko)
CN (1) CN100571258C (ko)
AT (1) ATE525840T1 (ko)
AU (1) AU2004306243B2 (ko)
GB (1) GB0322891D0 (ko)
HK (1) HK1098269A1 (ko)
WO (1) WO2005034472A1 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4074266B2 (ja) * 2004-05-26 2008-04-09 株式会社東芝 パケットフィルタリング装置、及びパケットフィルタリングプログラム
US7984149B1 (en) * 2004-08-04 2011-07-19 Cisco Technology, Inc. Method and apparatus for identifying a policy server
US7609700B1 (en) * 2005-03-11 2009-10-27 At&T Mobility Ii Llc QoS channels for multimedia services on a general purpose operating system platform using data cards
US7742463B2 (en) * 2005-08-18 2010-06-22 Hong Kong Applied Science And Technology Research Institute Co., Ltd. Security gatekeeper for a packetized voice communication network
KR100644220B1 (ko) 2005-08-29 2006-11-10 삼성전자주식회사 세션 초기화 프로토콜의 경유경로 감춤 장치 및 방법
US8213408B1 (en) * 2005-09-16 2012-07-03 Genband Us Llc Providing security in a multimedia network
GB2432748A (en) * 2005-11-25 2007-05-30 Ericsson Telefon Ab L M SIP messaging in an IP Multimedia Subsystem wherein a local user identity is added to message header as a basis for application server processing
CN101273571B (zh) * 2006-02-16 2010-05-19 中兴通讯股份有限公司 跨域多网守分组网络密钥协商安全策略的实现方法
US8561127B1 (en) * 2006-03-01 2013-10-15 Adobe Systems Incorporated Classification of security sensitive information and application of customizable security policies
US20090003249A1 (en) * 2007-06-27 2009-01-01 Microsoft Corporation Determination and Display of Endpoint Identities
EP3079298B1 (en) * 2007-11-30 2018-03-21 Telefonaktiebolaget LM Ericsson (publ) Key management for secure communication
EP2091192A1 (en) * 2008-02-15 2009-08-19 Nokia Siemens Networks Oy Interworking between messaging service domains
US20100175122A1 (en) * 2009-01-08 2010-07-08 Verizon Corporate Resources Group Llc System and method for preventing header spoofing
HUE051045T2 (hu) * 2009-04-13 2021-03-01 Blackberry Ltd Rendszer és eljárás SIP üzenetekre vonatkozó bizalom meghatározására
US8948057B2 (en) * 2009-12-15 2015-02-03 At&T Intellectual Property I, L.P. Securing uniform resource identifier information for multimedia calls
JP6081886B2 (ja) * 2013-08-07 2017-02-15 日本電信電話株式会社 加入者データ提供方法及び加入者データ提供装置
US10110732B2 (en) 2015-10-22 2018-10-23 Comcast Cable Communications, Llc Caller number identification
EP3756326B1 (en) * 2018-02-19 2021-08-04 Telefonaktiebolaget Lm Ericsson (Publ) Security negotiation in service based architectures (sba)
JP6845824B2 (ja) * 2018-03-26 2021-03-24 株式会社バンダイ 演出出力玩具

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5204961A (en) 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5802320A (en) 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
JPH09130428A (ja) * 1995-09-01 1997-05-16 Fujitsu Ltd データ伝送規制装置
EP0820176B1 (en) 1996-07-15 2005-09-14 AT&T Corp. A method and apparatus for restricting access to private information in domain name systems by filtering information
EP1103121B1 (en) * 1998-08-04 2008-06-04 AT&T Corp. A method for allocating network resources
US6711147B1 (en) * 1999-04-01 2004-03-23 Nortel Networks Limited Merged packet service and mobile internet protocol
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
US6321267B1 (en) * 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
US7069432B1 (en) * 2000-01-04 2006-06-27 Cisco Technology, Inc. System and method for providing security in a telecommunication network
JP3749129B2 (ja) 2001-02-01 2006-02-22 株式会社東芝 電子メールシステム及び電子メール送信制御方法並びに中継装置
US6956935B2 (en) * 2001-12-17 2005-10-18 International Business Machines Corporation Origin device billing according to caller
GB0227049D0 (en) * 2002-11-20 2002-12-24 Bae Sys Defence Sys Ltd Management of network security domains
US20040111642A1 (en) * 2002-12-05 2004-06-10 Amir Peles Content security by network switch

Also Published As

Publication number Publication date
EP1668862B1 (en) 2011-09-21
JP2007507956A (ja) 2007-03-29
AU2004306243A1 (en) 2005-04-14
US7843948B2 (en) 2010-11-30
JP2009284492A (ja) 2009-12-03
KR100928247B1 (ko) 2009-11-24
HK1098269A1 (en) 2007-07-13
WO2005034472A1 (en) 2005-04-14
CN100571258C (zh) 2009-12-16
EP1668862A1 (en) 2006-06-14
CN1871834A (zh) 2006-11-29
AU2004306243B2 (en) 2010-03-18
ATE525840T1 (de) 2011-10-15
US20050068935A1 (en) 2005-03-31
GB0322891D0 (en) 2003-10-29

Similar Documents

Publication Publication Date Title
US9967348B2 (en) Methods and apparatus for providing session policy during a registration of a device
KR100928247B1 (ko) 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템
US6788676B2 (en) User equipment device enabled for SIP signalling to provide multimedia services with QoS
US8929360B2 (en) Systems, methods, media, and means for hiding network topology
US7340771B2 (en) System and method for dynamically creating at least one pinhole in a firewall
US7574735B2 (en) Method and network element for providing secure access to a packet data network
US7697471B2 (en) Address translation in a communication system
EP1994707B1 (en) Access control in a communication network
JP2007527633A (ja) 移動ネットワークにおいて実現されるプロキシコール状態制御機能部(p−cscf)、インターネットプロトコル(ip)マルチメディアサブシステム(ims)アーキテクチャ、移動ネットワークにおいてプロキシコール状態制御機能部(p−cscf)を実現するためのプロセス、およびコンピュータ読み取り可能な媒体
EP2011299B1 (en) Method and apparatuses for securing communications between a user terminal and a sip proxy using ipsec security association

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121019

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131017

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141022

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20151016

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161019

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171018

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181018

Year of fee payment: 10