KR20070006933A - Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리 - Google Patents

Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리 Download PDF

Info

Publication number
KR20070006933A
KR20070006933A KR1020067025272A KR20067025272A KR20070006933A KR 20070006933 A KR20070006933 A KR 20070006933A KR 1020067025272 A KR1020067025272 A KR 1020067025272A KR 20067025272 A KR20067025272 A KR 20067025272A KR 20070006933 A KR20070006933 A KR 20070006933A
Authority
KR
South Korea
Prior art keywords
certificate
network
tls
sip
sip proxy
Prior art date
Application number
KR1020067025272A
Other languages
English (en)
Other versions
KR100884314B1 (ko
Inventor
가보르 바즈코
미구엘 에이. 가르시아-마르틴
발테리 니에미
타오 하우카
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20070006933A publication Critical patent/KR20070006933A/ko
Application granted granted Critical
Publication of KR100884314B1 publication Critical patent/KR100884314B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

사용자 아이덴티티 및 프라이버시를 처리하는 방법에 있어서, 첫 번째 SIP(Session Initiation Protocol) 프록시가 다음 SIP 프록시에 SIP 요청을 포워딩하려고 하고, 상기 방법은 다음 SIP 프록시로의 홉(hop)에서 TLS(Transport Layer Security)가 지원되는지를 결정하는 단계를 포함한다. TLS가 지원될 때 상기 방법은, 상기 다음 SIP 프록시로의 홉에 TLS 연결을 설정하는 단계, 상기 다음 SIP 프록시에 인증서를 요청하는 단계, 상기 인증서를 수신하는 단계, 상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계 및 상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때, 아이덴티티 정보를 유지하는 단계를 포함한다. TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 아이덴티티 정보는 제거된다. 그 후에, 상기 SIP 요청이 상기 TLS 연결을 통해 포워딩된다.

Description

IP 네트워크의 신뢰 도메인에서 아이덴티티들의 처리{Handling of identities in a trust domain of an IP network}
본 발명은 네트워크의 부분들에서의 아이덴티티들에 대한 처리에 관한 것이다. 또한, 본 발명은 어서트 아이덴티티(asserted identity)들과 관련하여 신뢰 도메인(trust domain)의 경계를 교차하고 그리고 사용자 프라이버시 요청에 응할 때 사용자 어서트 아이덴티티의 삽입 또는 제거에 관한 것이다.
관련 출원들과의 상호 참증 : 본 출원은 2004년 5월 3일 출원된 미국 가특허출원 제60/567,760호에 관한 우선권을 주장하는 것이다. 상기 선출원의 발명의 내용은 본 명세서에 참조로서 통합되어 있다.
제3세대 파트너십 프로젝트(the 3rd Generation Partnership Project; 3GPP) IP 멀티미디어 서브시스템(IP Multimedia Subsystem; IMS), 릴리즈 5에서 시스템은 신뢰받은 파티(trusted party)들의 폐쇄 네트워크인 것으로 여겨진다. IMS 세션들은 언제나 IMS 네트워크에서 시작되거나 또는 종결되고 그리고 모든 IMS 네트워크들은 상호 신뢰한다. 이러한 모델은 공중 인터넷에서 시작되거나 종결되는 IMS 세션의 설정을 배제한다. 그 반면, 모든 IMS 네트워크들은 상호 신뢰하기 때문에, 세션 개시 프로토콜(Session Initiation Protocol; SIP) 프록시들(CSCF(Call Session Control Function), BGCF(Breakout Gateway Control Function) 등)은 SIP 요청들 내의 어서트 아이덴티티(asserted identity)들에 대해 어떠한 액션도 취할 필요가 없다. 다른 IMS (신뢰(trusted))네트워크로부터 요청이 수신될 때 어서트 아이덴티티가 존재한다면, 상기 어서트 아이덴티티는 신뢰받아야 한다. SIP 프록시가 SIP 요청을 다른 네트워크로 송신하려 한다면, 어서트 아이덴티티는 메시지에 유지된다.
3GPP IMS 릴리즈 6은 인터넷 SIP 클라이언트들로 그리고 인터넷 SIP 클라이언트들로부터 IMS 세션들이 설정되도록 허용한다. 그러나 이는 새로운 신뢰 모델을 요구한다. 왜냐하면, 특정 네트워크에 대하여 오직 선택된 (IMS 또는 비IMS) 네트워크들만이 신뢰되는 것으로 여겨지기 때문이다. 필요한 점은, 트래픽이 비신뢰 네트워크(non-trusted network)로 라우팅될 때, SIP 프록시들(예컨대, CSCF, BGCF 등)이 어서트 아이덴티티들에 대해 액션(예컨대, 제거)을 취할 수 있어야 한다는 것이다. SIP 프록시가 신뢰 네트워크로부터 SIP 요청을 수신하고 그리고 그에 어서트 아이덴티티가 존재한다면, 상기 어서트 아이덴티티는 유지된다. 그러나 SIP 프록시가 비신뢰 네트워크(untrusted network)로부터 SIP 요청을 수신하고 그리고 그에 어서트 아이덴티티가 존재한다면, 상기 SIP 프록시는 상기 아이덴티티를 제거한다. 왜냐하면, 상기 아이덴티티는 신뢰되지 않기 때문이다. 유사하게, SIP 프록시가 신뢰 네트워크(trusted network)로 요청을 포워딩하려 한다면, 상기 SIP 프록시는 모든 어서트 아이덴티티를 유지한다. 그러나 SIP 프록시가 비신뢰 네트워크로 요청을 포워딩하려고 한다면, 어서트 아이덴티티는 제거된다.
IMS에서의 신뢰 네트워크의 개념은 서로 신뢰하는 두 네트워크 간의 상호 연결 합의(interconnection agreement)의 존재에 의해 지원된다. 상호 연결 합의에 두 네트워크가 사인(sign)할 때, 이들은 보안 정보를 교환한다. 3GPP IMS 릴리즈 5는 신뢰 및 비신뢰 노드들의 혼합을 지원하지 않는다. 3GPP IMS 릴리즈 5는 모든 IMS 네트워크들이 상호 신뢰하도록 규정한다; 환언하면, 비IMS 네트워크(non-IMS network)들과의 연결은 허용되지 않는다. 3GPP IMS 릴리즈 5는 IPsec(Internet Protocol security) 게이트웨이들 및 임의의 두 IMS 네트워크 간의 IPsec 터널들을 제공한다. 그러나 IPsec 게이트웨이들은 릴리즈 6의 신뢰/비신뢰 모델용으로 유용하지 않다. 왜냐하면, IPsec 게이트웨이들은 SIP 계층(SIP layer) 아닌 IP 계층과 동작하기 때문이며, IPsec 게이트웨이들은 SIP 프록시들과는 물리적으로 그리고 논리적으로 다른 요소들이기 때문이다. 추가적으로, 두 IMS 운용자(IMS operator)들 간의 IPsec 터널의 존재는 상기 운용자들 간에 SIP레벨에서 신뢰관계가 존재함을 가정하기에 충분하지 않다.
따라서, SIP 요청을 수신하고 있는 특정 SIP 프록시를 위해 특정 요청이 신뢰 소스 또는 비신뢰 소스로부터 수신되는지를 결정하는 방법이 필요하다. 게다가, SIP 요청의 포워딩에 우선하여, SIP 요청을 다른 네트워크로 포워딩하려고 하는 특정 SIP 프록시를 위해 다음 SIP 프록시가 신뢰되는지 여부를 결정하는 것 또한 필요하다.
본 발명은 사용자 아이덴티티 및 프라이버시를 처리하는 방법을 개시하며, 상기 방법에서 제 1 세션 개시 프로토콜(Session Initiation Protocol; SIP) 프록시는 다음 SIP 프록시(next SIP proxy)에 SIP 요청을 포워딩하려 하고 그리고 전송 계층 보안(Transport Layer Security; TLS)이 다음 SIP 프록시로의 홉(hop)에서 지원되는지를 결정하는 단계를 지닌다. TLS가 지원될 때, 상기 방법은 상기 다음 프록시로의 홉과 TLS 연결을 설정하는 단계, 상기 다음 SIP 프록시에 인증서를 요청하는 단계, 상기 인증서를 수신하는 단계, 상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계 및 상기 인증서 및 상기 네트워크의 신뢰성이 검증되었을 때, 아이덴티티 정보를 유지하는 단계를 포함한다. TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 아이덴티티 정보는 제거된다. 그 후에, 상기 SIP 요청은 상기 TLS 연결을 통해 포워딩된다.
본 발명은 또한, 사용자 아이덴티티 및 프라이버시 처리 목적을 위해 제 1 SIP 프록시가 신뢰 네트워크에 속하는지를 결정하는 방법을 소개하며, 상기 방법에서 다음 SIP 프록시(next Session Initiation Protocol proxy)는 상기 제 1 SIP 프록시로부터 SIP 요청을 수신한다. 상기 방법은 제 1 SIP 프록시로부터 SIP 요청을 수신하는 단계 및 상기 SIP 요청이 TLS를 통해 수신되었는지를 결정하는 단계를 포함한다. 상기 SIP 요청이 TLS를 통해 수신되었을 때, 상기 방법은 상기 제 1 SIP 프록시에 인증서를 요청하는 단계, 상기 인증서를 수신하는 단계, 상기 인증서 및 상기 제 1 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계 및 상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때 아이덴티티 정보를 유지하는 단계를 포함한다. TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 아이덴티티 정보는 제거된다. 그 후에, 상기 방법은 상기 SIP 요청에 응답하는 단계를 포함한다.
본 발명은 또한, 다음 SIP 프록시로의 홉(hop)과 전송 계층 보안(Transport Layer Security; TLS) 연결을 설정하는 설정 수단, 상기 다음 SIP 프록시로의 홉에서 TLS가 지원되는지를 결정하는 결정 수단, 상기 다음 SIP 프록시에 인증서를 요청하는 요청 수단, 상기 인증서를 수신하는 수신 수단, 상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 검증 수단 및 상기 TLS 연결을 통해 SIP 요청을 포워딩하는 포워딩 수단을 포함하는 통신 장치를 소개한다. 상기 인증서가 검증될 때, 상기 네트워크의 신뢰성이 검증될 때 및 TLS가 지원될 때, 상기 통신 장치는 아이덴티티 정보를 유지하도록 구성되며, TLS가 지원되지 않거나 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 아이덴티티 정보를 제거하도록 구성된다.
본 발명은 또한, 다음 SIP 프록시로의 홉과 TLS 연결을 설정하도록 구성되는 TLS 연결 설정자(Transport Layer Security connection establisher), 상기 다음 SIP 프록시로의 홉에서 TLS가 지원되는지를 결정하도록 구성되는 TLS 지원 분석기(TLS support analyzer), 상기 다음 SIP 프록시에 인증서를 요청하고 상기 인증서를 수신하고 그리고 상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하도록 구성되는 검증 모듈(verification module), 및 상기 TLS 연결을 통해 SIP 요청을 포워딩하도록 구성되는 SIP 요청 핸들러(SIP request handler)를 포함하는 통신 시스템을 소개한다. 상기 인증서가 검증될 때, 상기 네트워크의 신뢰성이 검증될 때 및 TLS가 지원될 때, 상기 통신 시스템은 아이덴티티 정보를 유지하도록 구성되고, 그리고 TLS가 지원되지 않거나 상기 인증서가 검증되지 않을 때 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 아이덴티티 정보를 제거하도록 구성된다.
본 발명의 실시예들에 관한 상기의 그리고 그 밖의 특징들, 태양들, 및 장점들은 첨부도면들과 관련하여 다음의 설명을 참조함으로써 명확해질 것이다. 그러나 첨부도면들은 오로지 예시 목적으로 설계된 것이지 본 발명의 범위에 대한 정의로서 설계된 것이 아님은 당연하다.
본 발명에 대한 이해를 돕기 위해 포함되고 본 명세서에 통합되어 본 명세서의 일부를 구성하는 첨부도면들은, 상세한 설명과 함께 본 발명의 원리를 설명하는데 도움이 되는 본 발명의 실시예들을 예시하고 있다.
도 1은 IMS 보안 아키텍처를 예시하는 도면이다.
도 2는 본 발명의 일 실시예에 따른 프라이버시 처리를 예시하는 흐름도이다.
PS 도메인(Packet-Switched domain)에서, 이동 장치 및 네트워크 간에 보안 연관(security association) 설정되기까지는 서비스가 제공되지 않는다. IMS(IP Multimedia Core Network Subsystem)는 본질적으로 PS-도메인에 대한 오버레 이(overlay)이며, PS-도메인에 대한 낮은 종속성을 지닌다. 결과적으로 멀티미디어 서비스들에 액세스가 주어지기 전에 멀티미디어 클라이언트와 IMS 간의 개별적 보안 연관이 필요하다. IMS 보안 아키텍처(IMS Security Architecture)가 도 1 에 도시되어 있다.
도 1에는, 홈/서빙 네트워크(110), 방문/홈 네트워크(120) 및 사용자 장치(102) 간의 관계가 예시되어 있으며, 상기 홈/서빙 네트워크는 HSS(Home Subscriber Server; 111)를 지닌다. 도 1에는, 이동 장치(즉, UE(user equipment; 102), 가입자(subscriber) 등)와 여러 네트워크 요소들, 이를테면 S-CSCF(Serving Call Session Control Function; 113), P-CSCF(Proxy Call Session Control Function; 121), 및 I-CSCF(Interrogating Call Session Control Function; 112) 간의 호 제어 프로토콜이 예시되어 있다.
사용자 측의 IMS 인증 키들 및 기능들은 범용 IC 카드(Universal Integrated Circuit Card; UICC)에 저장된다. IMS 인증 키들 및 기능들이 논리적으로 독립적인 것이 가능하며 상기 키들 및 기능들이 PS 도메인 인증용으로 사용되는 것이 가능하다. 그러나 이는 공통 인증 키들 및 기능들이 IMS 및 PS 도메인 인증용으로 사용되는 것을 배제하지 않는다. ISIM(IP Multimedia Services Identity Module; 103)은 UICC에 관한 IMS 보안 데이터 및 기능들의 컬렉션을 제공한다.
도 1에서, IMS용 보안 보호(security protection)를 위해 5개의 상이한 보안 연관들 및 상이한 요구들이 존재하며 이들은 1,2,3,4 및 5로 번호가 매겨져 있다. 제 1 연관(1)은 상호 인증을 제공한다. HSS는 S-CFCS에 가입자 인증의 수행을 위임 한다. 그러나 HSS는 키(key)들 및 챌린지(challenge)들의 생성을 책임진다. ISIM 및 HSS의 롱-텀 키(long-term key)는 IMIP와 관련된다. 가입자는 하나의 (네트워크 내부)사용자 개인 아이덴티티(IMPI) 및 하나 이상의 외부 사용자 공개 아이덴티티(IMPU)를 가진다. 제 2 연관(2)은 Gm 참조점 보호를 위해 UE 및 P-CSCF 간에 보안 링크 및 보안 연관을 제공한다. 데이터 발신 인증(data origin authentication), 즉 수신된 데이터의 소스가 주장된 바와 같다는 확증(corroboration)이 제공된다.
제 3 연관(3)은 Cx-인터페이스에 의해 내부적으로 네트워크 도메인 내의 보안을 제공한다. 제 4 연관(4)은 SIP 겸용 노드(SIP capable node)들에 의해 상이한 네트워크들 간의 보안을 제공한다. 상기 보안 연관은 P-CSCF가 VN에 있을 때에만 적용될 수 있으며, P-CSCF가 HN에 있다면, 그때는 (5)가 적용된다. 마지막 연관(5)은 SIP 겸용 노드들 간에 내부적으로 네트워크 내의 보안을 제공한다.
다른 인터페이스들 및 참조점들이 IMS에 존재하며, 이들은 위에서 언급되지 않았다. 상기 인터페이스들 및 참조점들은 IMS 내, 즉 동일 보안 도메인 내 또는 상이한 보안 도메인들 사이 중 어느 한곳에 있다. UE 및 HN 간에는 상호 인증이 필요하다. 독립 IMS 보안 메커니즘(independent IMS security mechanism)은 보안 침해들에 대한 추가적 보호를 제공한다. 예컨대, PS-도메인 보안이 침해된다면, IMS는 자신의 보안 메커니즘에 의해 계속 보호될 수 있다.
위에서 논한 바와 같이, 신뢰 모델(trust model)에 대한 지원은 신뢰 네트워크들 간의 상호 연결 합의(interconnection agreement)들의 존재에 의해 보증된다. 모든 SIP 프록시는 인증서에서 볼 수 있는 보안 파라미터들과 함께 신뢰 네트워크 리스트를 담고 있는 데이터 베이스를 포함한다. 보안 파라미터들은 인증서 권한(certificate authority) 또는 공통 명칭(name)이나 조직(organization)일 수 있다.
많은 경우에 있어서, 프라이버시는 비밀성(confidentiality)과 같다. 이는 정보를 해석하도록 인가된 엔티티들을 제외한 모든 엔티티들로부터 정보를 숨기는 단계, 암호화 및 암호화 키들을 사용하는 단계를 포함한다.
IMS 네트워크용 SIP 프라이버시 확장자(SIP Privacy Extention)들은 그러한 비밀성을 제공하지 않는다. 상기 메커니즘의 목적은 오히려 IMS 가입자에게 특정 아이덴티티 정보를 숨기는 능력을 주는 것이다. IMS 네트워크용 프라이버시 메커니즘은 정상 SIP 상태(normal SIP state)들 이외에 CSCF들의 다른 상태들을 생성하지 않는 것이 유용하다.
적어도 한 실시예에 따르면, Rel-6(릴리즈 6) IMS가 비IMS 네트워크(non-IMS network)와 상호 연동할 때, 상호 연동 합의(inter-working agreement)의 유용성은 물론 상호 연동을 위한 보안 메커니즘이 적용되는지를 기반으로, IMS 네트워크 내의 CSCF가 신뢰 관계(trust relation)를 결정한다. 상호 연동 네트워크가 신뢰되지 않는다면, 프라이버시 정보는 외부 네트워크로 향하는 트래픽에서 제거된다. SIP 시그널링을 수신할 때, CSCF는 또한 어떤 프라이버시 정보가 이미 포함되어 있는지를 검증한다. 상호 연동 네트워크가 신뢰되지 않는다면, 상기 정보는 CSCF에 의해 삭제되며, 신뢰 된다면 유지된다.
보안 메커니즘이 없기 때문에, 연동 네트워크(interworking network)가 신뢰되지 않는 비IMS 네트워크(untrust non-IMS network)를 나타낼 때, IMS 및 비IMS 네트워크들과 인터페이싱하기 위해서는 개별 CSCF들이 요구되는 것이 일반적이다. IMS 네트워크들과 인터페이싱(interfacing)하는 CSCF는, 보안을 설정하는 SEG를 통해 도달할 수 있는 모든 IMS 네트워크들을 절대적으로 신뢰한다. Rel-5(릴리즈 5) CSCF는 항상 상기의 신뢰 관계 및 네트워크 구성을 가정한다. Rel-6 CSCF에 대해서, 상기의 절대적 신뢰 설정은 네트워크 및 인터페이스 구성에 따라 운용자(operator)가 설정할 수 있는 구성 옵션이다.
도 2에는, 본 발명의 일 실시예에 따른 프라이버시 처리를 보여주는 흐름도가 예시되어 있다. 단계(201)에서, SIP 요청을 다음 SIP 프록시로 포워딩하려고 하는 IMS SIP 프록시는 다음 홉(hop)과의 전송 계층 보안(Transport Layer Security; TLS) 연결을 설정한다. TLS가 상기 다음 홉에서 지원되지 않는다면, 그때 네트워크는 신뢰되지 않고, 단계(203)에서, 프라이버시 정보가 제거된다. 결정 단계(202)에서 TLS가 지원된다면, 단계(204)에서 IMS SIP 프록시는 상기 다른 SIP 프록시에 인증서를 요청한다. 인증서를 수신했을 때, 단계(205)에서 상기 IMS SIP 프록시는 상기 인증서가 유효한지와 상기 인증서가 신뢰 네트워크(trusted network)에 속하는지를 평가한다. 상기 인증서가 신뢰 네트워크에 속하는 경우, 상기 IMS 프록시는 어서트 아이덴티티(asserted identity)를 유지하고, 그렇지 않은 경우, 상기 IMS 프록시는 어서트 아이덴티티를 제거한다. 그 다음, 단계(206)에서 상기 IMS 프록시는 상기 TLS 연결을 통해 SIP 요청을 포워딩한다. 상기 SIP 프록시가 이전 연 결(previous connection)의 결과로서 다른 파티에 대한 인증서를 이미 가지고 있는 것도 가능하다. 그때는 단지 상기 인증서가 여전히 유효한지를 검증하는 것으로 충분할 수 있다.
유사하게, SIP 요청을 수신하는 IMS SIP 프록시는 상기 동일 규칙들을 적용한다. 상기 요청이 TLS를 통해 수신되지 않는다면, 송신 SIP 프록시는 신뢰되지 않는다. 상기 요청이 TLS를 통해 송신된다면, IMS SIP 프록시는 송신 SIP 프록시에 인증서를 요청한다. 그 다음 상기 IMS SIP는 신뢰 네트워크 리스트와 대비하여 상기 인증서를 검증하고, 상기 송신 SIP 프록시가 신뢰되는지 여부를 결정한다. 다시 언급하면, 이전 연결에 의한 인증서가 존재할 수 있다.
추가적으로, SIP 서비스를 위한 사용자 데이터그램 프로토콜(User Datagram Protocol; UDP), 전송 제어 프로토콜(Transmission Control Protocol; TCP), 스트림 제어 전송 프로토콜(Stream Control Transmission Protocol; SCTP)(또는 다른 전송 프로토콜들)에 비해 TLS에 더 높은 프레퍼런스(preferance)를 주기 위해, 각각의 IMS 네트워크는 도메인 네임 서버(Domain Name Server; DNS) NAPTR(Naming Authority Pointer) 레코드들을 구성한다. 이는 IMS 네트워크로 하여금 전송 프로토콜로서 TLS를 항상 먼저 시도해 보도록 한다.
Rel-5 네트워크에 의한 상호 운용성(interoperability)에 관하여, Rel-6 IMS 네트워크는 보안 게이트웨이(security gateway; SGW)를 통해 구 호환 솔루션, 즉 IPsec(Internet Protocol security)을 사용한다. 수신 SGW는 SIP 메시지들의 포트 넘버(port number)를 CSCF들의 보호 포트(protected port)로 변경하여 수신 CSCF에 패킷들이 IPsec 보호가 되어 있다는 것을 지시하도록 할 필요가 있다. 상호 연결 합의가 존재한다면, 그때 사용자 아이덴티티가 수신 측으로 포워딩되거나 또는 수신 측에서 신뢰된다. 그렇지 않다면, 사용자 아이덴티티가 제거된다. 본 발명의 다른 태양은 IMS 릴리즈 5 노드들 및 IMS 릴리즈 6 간에 구 호환성을 제공하는 방법을 소개한다.
첫 번째 일례에 있어서, IMS Rel-5 SIP 프록시는 IMS Rel-6 노드에 SIP 요청을 송신한다. IMS Rel-5 SIP 프록시는 어서트 아이덴티티에 관해 어떠한 액션도 취하지 않는다. 왜냐하면, 이는 IMS 릴리즈 6 네트워크를 신뢰되는 것으로 여기기 때문이다. 그러나 IMS Rel-6 SIP 프록시는 어서트 아이덴티티를 제거한다. 왜냐하면, 상기 요청이 TLS를 사용하지 않기 때문이다.
본 발명의 실시예들에 따르면, 요청이 두 IMS 네트워크 사이의 인터도메인 경계(interdomain boundary)들을 트래버스(traverse)함에 따라, SIP 메시지는 IMS Rel-5 네트워크 내의 SGW를 트래버스하고, 그리고 나서 IMS Rel-6 네트워크 내의 다른 SGW를 트래버스한다. 이러한 트래픽은 IPsec ESP를 사용하여 보호된다. IMS Rel-6 네트워크 내의 SGW는 (Rel-6 네트워크의 SIP 프록시의)수신지 포트 넘버(destination port number)를 보호 포트 넘버(protected port number)로 변경할 수 있다. IMS Rel-6 네트워크 내의 SIP 프록시는 두 포트 넘버, 정규 트래픽(regular traffic)이 수신되는 한 포트 넘버, 보안 게이트웨이가 (IMS Rel-5 네트워크로부터)네트워크IPsec 터널을 통해 수신된 트래픽을 송신하는 다른 한 포트 넘버를 할당할 수 있다. IPsec 터널의 존재는 반대편이 IMS 네트워크라는 것(그리 고 Rel-5 가이드라인들에 의해 신뢰된다는 것)을 나타낸다.
두 번째 일례에 있어서, IMS Rel-5 SIP 프록시는 IMS Rel-6 네트워크로부터 SIP 요청을 수신한다. IMS Rel-5 네트워크는 모든 것을 신뢰되는 것으로 간주하기 때문에, IMS Rel-5 SIP 프록시는 어서트 아이덴티티에 관해 어떠한 액션도 취하지 않는다. 릴리즈 5 가이드라인들에 따르면 이러한 경우에 상기 요청은 보안 게이트웨이들을 통해 수신되어야 하지만, 이는 상기 액션에 영향을 주지 않는다.
세 번째 일례에 있어서, IMS Rel-6 SIP 프록시는 IMS Rel-5 네트워크에 SIP 요청을 송신한다. IMS Rel-5는 TLS를 지원하지 않기 때문에, IMS Rel-6 SIP 프록시는 디폴트에 의해 어서트 아이덴티티를 제거한다. 본 발명의 실시예들에 따르면, 바람직한 액션은 더 이상 아무것도 하지 않는 것이다. 어서트 아이덴티티들이 어떤 이유 때문에 송신되어야 할 필요가 있다면, 그때 운용자들은 다른 파티가 릴리즈 5임을 근거로 TLS 사용의 면제를 포함하는 상호 연결 합의(interconnect agreement)를 해야 한다. 그리고 나서, 송신 프록시는 자신의 네트워크의 보안 게이트웨이에 IPsec EPS가 적용되어야 한다는 것을 표시해야 한다. 상기 표시는 송신 프록시를 위한 전용 소스 IP 어드레스(dedicated source IP address)를 사용함으로써 수행될 수 있다.
네 번째 일례에 있어서, IMS Rel-6 SIP 프록시는 IMS Rel-5 네트워크로부터 SIP 요청을 수신한다. IMS Rel-5 네트워크는 TLS를 지원하지 않기 때문에, 그때 IMS Rel-6 SIP 프록시는 디폴트에 의해 비신뢰 네트워크로부터 들어오는 요청으로 간주한다. 이 경우, 솔루션은 상기 첫 번째 일례에 관해 논의한 바와 동일하다.
TLS(Transport Layer Security)에 의해 보호되는 SIP 시그널링은, IMS CSCF와 외부 네트워크에 위치한 프록시/CSCF 간의 SIP 상호동작(SIP interoperation)을 보호하기 위해 사용될 수 있다. CSCF는 NAPTR/SRV 메커니즘을 통해 분석될 수 있는 sip들: DNS 서버의 URI를 발행함으로써 외부 프록시와의 TLS 연결을 요청할 수 있다. TLS 핸드세이킹(TLS handshaking) 단계 동안 인증서를 송신/수신할 때, CSCF는 연동 파트너 리스트와 대비하여 인증서에 관한 네임을 검증한다. TLS 세션은 어느 쪽의 네트워크에서도 시작될 수 있다. TLS 연결은 다중 SIP 다이얼로그(multiple SIP dialog)들을 운반할 수 있다.
상기 설명에서 본 발명의 특정 실시예들을 소개하였다. 그러나 상기 설명된 실시예들에 대해 그들의 몇몇 또는 모든 장점들을 달성하면서 다른 변경들 및 변형들이 이루어질 수 있음은 자명하다. 따라서, 첨부된 청구의 범위의 목적은 그러한 모든 변경들 및 변형들을 본 발명의 진정한 사상 및 범위에 속하는 것으로 주장하는 것이다.

Claims (36)

  1. 사용자 아이덴티티 및 프라이버시를 처리하는 방법에 있어서,
    첫 번째 SIP(Session Initiation Protocol) 프록시가 다음 SIP 프록시에 SIP 요청을 포워딩하려 하고, 상기 처리 방법이,
    다음 SIP 프록시로의 홉(hop)에서 TLS(Transport Layer Security)가 지원되는지를 결정하는 단계;
    TLS가 지원될 때,
    상기 다음 SIP 프록시로의 홉에 TLS 연결을 설정하는 단계;
    상기 다음 SIP 프록시에 인증서를 요청하는 단계;
    상기 인증서를 수신하는 단계;
    상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계;
    상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때 아이덴티티 정보를 유지하는 단계;
    TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 아이덴티티 정보를 제거하는 단계; 및
    상기 TLS 연결을 통해 상기 SIP 요청을 포워딩하는 단계를 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  2. 제1항에 있어서,
    상기 인증서를 검증하는 상기 단계는, 상기 인증서가 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  3. 제1항에 있어서,
    상기 네트워크의 신뢰성을 검증하는 상기 단계는, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  4. 제3항에 있어서,
    상기 네트워크가 신뢰 네트워크 그룹이 속하는지를 결정하는 상기 단계는, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  5. 제1항에 있어서,
    상기 다음 SIP 프록시는 미리 사전 인증서(prior certificate)를 송신하고, 그리고 상기 인증서를 검증하는 상기 단계는 상기 사전 인증서가 여전히 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  6. 제1항에 있어서,
    상기 사용자 아이텐티티 및 프라이버시 처리 방법은, 신뢰(trusted) 및 비신뢰(non-trusted) SIP 프록시들을 위해 개별적인 CSCF(Call Session Control Function)들을 유지하는 단계를 더 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  7. 제1항에 있어서,
    상기 사용자 아이덴티티 및 프라이버시 처리 방법은, TLS에 더 높은 프레퍼런스(preference)를 주기 위해 도메인 네임 서버(DNS) NAPTR(Naming Authority Pointer)을 구성하는 단계를 더 포함하는 것을 특징으로 하는 사용자 아이덴티티 및 프라이버시 처리 방법.
  8. 사용자 아이덴티티 및 프라이버시 처리 목적을 위해 첫 번째 SIP 프록시가 신뢰 네트워크(trusted network)에 속하는지를 결정하는 방법에 있어서,
    다음 SIP 프록시가 상기 첫 번째 SIP 프록시로부터 SIP 요청을 수신하고, 상기 결정 방법이,
    첫 번째 SIP 프록시로부터 SIP 요청을 수신하는 단계;
    상기 SIP 요청이 TLS를 통해 수신되었는지를 결정하는 단계;
    상기 SIP 요청이 TLS를 통해 수신되었을 때,
    상기 첫 번째 SIP 프록시로부터 인증서를 요청하는 단계;
    상기 인증서를 수신하는 단계;
    상기 인증서 및 상기 첫 번째 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계;
    상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때 아이덴티티 정보를 유지하는 단계;
    TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 아이덴티티 정보를 제거하는 단계; 및
    상기 SIP 요청에 응답하는 단계를 포함하는 것을 특징으로 하는 결정 방법.
  9. 제8항에 있어서,
    상기 인증서를 검증하는 상기 단계는, 상기 인증서가 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 결정 방법.
  10. 제8항에 있어서,
    상기 네트워크의 신뢰성을 검증하는 상기 단계는, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 결정 방법.
  11. 제10항에 있어서,
    상기 네트워크가 신뢰 네트워크 그룹에 속하는지를 결정하는 상기 단계는, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 결정 방법.
  12. 제8항에 있어서,
    상기 첫 번째 SIP 프록시는 미리 사전 인증서(prior certificate)을 송신하고, 그리고 상기 인증서를 검증하는 상기 단계는 상기 사전 인증서가 여전히 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 결정 방법.
  13. 제8항에 있어서,
    상기 결정 방법은, 신뢰(trusted) 및 비신뢰(non-trusted) SIP 프록시들을 위해 개별적인 CSCF(Call Session Control Function)들을 유지하는 단계를 더 포함하는 것을 특징으로 하는 결정 방법.
  14. 제8항에 있어서,
    상기 결정 방법은, TLS에 더 높은 프레퍼런스(preference)를 주기 위해 도메인 네임 서버(DNS) NAPTR(Naming Authority Pointer)을 구성하는 단계를 더 포함하는 것을 특징으로 하는 결정 방법.
  15. 통신 장치에 있어서,
    다음 SIP 프록시로의 홉(hop)에 TLS(Transport Layer Security) 연결을 설정 하는 설정 수단;
    상기 다음 SIP 프록시로의 홉에서 TLS가 지원되는지를 결정하는 결정 수단;
    상기 다음 SIP 프록시에 인증서를 요청하는 요청 수단;
    상기 인증서를 수신하는 수신 수단;
    상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 검증 수단; 및
    상기 TLS 연결을 통해 SIP 요청을 포워딩하는 포워딩 수단을 포함하고,
    상기 인증서가 검증될 때, 상기 네트워크의 신뢰성이 검증될 때 및 TLS가 지원될 때, 상기 통신 장치는 아이덴티티 정보를 유지하도록 구성되고, 그리고 TLS가 지원되지 않거나 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 통신 장치는 아이덴티티 정보를 제거하도록 구성되는 것을 특징으로 하는 통신 장치.
  16. 제15항에 있어서,
    상기 검증 수단은, 상기 인증서가 유효한지를 결정하는 수단을 포함하는 것을 특징으로 하는 통신 장치.
  17. 제15항에 있어서,
    상기 검증 수단은, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하는 수단을 포함하는 것을 특징으로 하는 통신 장치.
  18. 제17항에 있어서,
    상기 네트워크가 신뢰 네트워크 그룹에 속하는지를 결정하는 상기 수단은, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하는 수단을 포함하는 것을 특징으로 하는 통신 장치.
  19. 제15항에 있어서,
    상기 다음 SIP 프록시는 미리 사전 인증서(prior certificate)를 송신하고, 그리고 상기 검증 수단은 상기 사전 인증서가 여전히 유효한지를 결정하는 수단을 포함하는 것을 특징으로 하는 통신 장치.
  20. 제15항에 있어서,
    상기 통신 장치는, 신뢰(trusted) 및 비신뢰(non-trusted) SIP 프록시들을 위해 개별적인 CSCF(Call Session Control Function)들을 유지하는 수단을 더 포함하는 것을 특징으로 하는 통신 장치.
  21. 제15항에 있어서,
    상기 통신 장치는, TLS에 더 높은 프레퍼런스(preference)를 주기 위해 도메인 네임 서버(DNS) NAPTR(Naming Authority Pointer)을 구성하는 수단을 더 포함하는 것을 특징으로 하는 통신 장치.
  22. 통신 시스템에 있어서,
    다음 SIP 프록시로의 홉(hop)에 TLS(Transport Layer Security) 연결을 설정하도록 구성되는 TLS 연결 설정자(TLS connection establisher);
    상기 다음 SIP 프록시로의 홉에서 TLS가 지원되는지를 결정하도록 구성되는 TLS 지원 분석기(TLS support analyzer);
    상기 다음 SIP 프록시에 인증서를 요청하고, 상기 인증서를 수신하고 그리고 상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하도록 구성되는 검증 모듈(verification module); 및
    TLS 연결을 통해 SIP 요청을 포워딩하도록 구성되는 SIP 요청 핸들러(SIP request handler)를 포함하고,
    상기 인증서가 검증될 때, 상기 네트워크의 신뢰성이 검증될 때 및 TLS가 지원될 때, 상기 통신 시스템은 아이덴티티 정보를 유지하도록 구성되고, 그리고 TLS가 지원되지 않거나 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 상기 통신 시스템은 아이덴티티 정보를 제거하도록 구성되는 것을 특징으로 하는 통신 시스템.
  23. 제22항에 있어서,
    상기 검증 모듈은, 상기 인증서가 유효한지를 결정하도록 구성되는 것을 특징으로 하는 통신 시스템.
  24. 제22항에 있어서,
    상기 검증 모듈은, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하도록 구성되는 것을 특징으로 하는 통신 시스템.
  25. 제24항에 있어서,
    상기 검증 모듈은, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하도록 구성되는 것을 특징으로 하는 통신 시스템.
  26. 제22항에 있어서,
    상기 다음 SIP 프록시가 미리 사전 인증서(prior certificate)를 송신하고, 상기 검증 모듈이 상기 사전 인증서가 여전히 유효한지를 결정하도록 구성되는 것을 특징으로 하는 통신 시스템.
  27. 사용자 아이덴티티 및 프라이버시를 처리하기 위해 컴퓨터 판독가능 매체에 구체화된 컴퓨터 프로그램에 있어서,
    첫 번째 SIP(Session Initiation Protocol) 프록시는 다음 SIP 프록시에 SIP 요청을 포워딩하려 하고, 상기 컴퓨터 프로그램은,
    다음 SIP 프록시로의 홉(hop)에서 전송 계층 보안(TLS)이 지원되는지를 결정하는 단계;
    TLS가 지원될 때,
    상기 다음 SIP 프록시로의 홉에 TLS 연결을 설정하는 단계;
    상기 다음 SIP 프록시에 인증서를 요청하는 단계;
    상기 인증서를 수신하는 단계;
    상기 인증서 및 상기 다음 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계;
    상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때, 아이덴티티 정보를 유지하는 단계;
    TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 아이덴티티 정보를 제거하는 단계; 및
    상기 TLS 연결을 통해 상기 SIP 요청을 포워딩하는 단계를 수행하도록 데이터 처리 장치를 제어하는 것을 특징으로 하는 컴퓨터 프로그램.
  28. 제27항에 있어서,
    상기 인증서를 검증하는 상기 단계는, 상기 인증서가 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  29. 제27항에 있어서,
    상기 네트워크의 신뢰성을 검증하는 상기 단계는, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하는 단계를 포함하는 것을 특징 으로 하는 컴퓨터 프로그램.
  30. 제29항에 있어서,
    상기 네트워크가 신뢰 네트워크 그룹에 속하는지를 결정하는 상기 단계는, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  31. 제27항에 있어서,
    상기 다음 SIP 프록시는 미리 사전 인증서(prior certificate)를 송신하고, 그리고 상기 인증서를 검증하는 상기 단계는 상기 사전 인증서가 여전히 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  32. 사용자 아이덴티티 및 프라이버시 처리 목적으로 첫 번째 SIP 프록시가 신뢰 네트워크에 속하는지를 결정하기 위해 컴퓨터 판독가능 매체에 구체화된 컴퓨터 프로그램에 있어서,
    다음 SIP 프록시는 상기 첫 번째 SIP 프록시로부터 SIP 요청을 수신하고, 상기 컴퓨터 프로그램은,
    첫 번째 SIP 프록시로부터 SIP 요청을 수신하는 단계;
    상기 SIP 요청이 TLS를 통해 수신되었는지를 결정하는 단계;
    상기 SIP 요청이 TLS를 통해 수신되었을 때,
    상기 첫 번째 SIP 프록시에 인증서를 요청하는 단계;
    상기 인증서를 수신하는 단계;
    상기 인증서 및 상기 첫 번째 SIP 프록시의 네트워크의 신뢰성을 검증하는 단계;
    상기 인증서 및 상기 네트워크의 신뢰성이 검증될 때, 아이덴티티 정보를 유지하는 단계;
    TLS가 지원되지 않을 때, 또는 상기 인증서가 검증되지 않을 때, 또는 상기 네트워크의 신뢰성이 검증되지 않을 때, 아이덴티티 정보를 제거하는 단계; 및
    상기 SIP 요청에 응답하는 단계를 수행하도록 데이터 처리 장치를 제어하는 것을 특징으로 하는 컴퓨터 프로그램.
  33. 제32항에 있어서,
    상기 인증서를 검증하는 상기 단계는, 상기 인증서가 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  34. 제32항에 있어서,
    상기 네트워크의 신뢰성을 검증하는 상기 단계는, 상기 네트워크가 신뢰 네트워크(trusted network) 그룹에 속하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  35. 제34항에 있어서,
    상기 네트워크가 신뢰 네트워크 그룹에 속하는지를 결정하는 상기 단계는, 상기 네트워크가 신뢰 네트워크 리스트 상에 존재하는지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
  36. 제32항에 있어서,
    상기 첫 번째 SIP 프록시는 미리 사전 인증서(prior certificate)를 송신하고, 그리고 상기 인증서를 검증하는 상기 단계는 상기 사전 인증서가 여전히 유효한지를 결정하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 프로그램.
KR1020067025272A 2004-05-03 2005-04-29 Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리 KR100884314B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US56776004P 2004-05-03 2004-05-03
US60/567,760 2004-05-03

Publications (2)

Publication Number Publication Date
KR20070006933A true KR20070006933A (ko) 2007-01-11
KR100884314B1 KR100884314B1 (ko) 2009-02-18

Family

ID=35242008

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067025272A KR100884314B1 (ko) 2004-05-03 2005-04-29 Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리

Country Status (8)

Country Link
US (1) US8045540B2 (ko)
EP (1) EP1743449B1 (ko)
JP (2) JP4806400B2 (ko)
KR (1) KR100884314B1 (ko)
CN (1) CN1951061A (ko)
PL (1) PL1743449T3 (ko)
TW (1) TWI295135B (ko)
WO (1) WO2005107145A1 (ko)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US20060268851A1 (en) * 2005-05-10 2006-11-30 International Business Machines Corporation Method and apparatus for address resolution protocol persistent in a network data processing system
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
EP1920392A4 (en) * 2005-08-31 2014-08-06 Ericsson Telefon Ab L M IMS NODE, INFORMATION NODE, USER NODE, ACCESS CONTROL SYSTEM, TRANSMISSION METHOD BETWEEN USER NODE AND INFORMATION NODE, METHOD OF COMMUNICATING WITH IMS NODE
US8595814B2 (en) * 2005-12-13 2013-11-26 Google Inc. TLS encryption in a managed e-mail service environment
EP1964350B1 (en) * 2005-12-22 2013-02-13 Telecom Italia S.p.A. Multi-vendor ims architecture
US20070186101A1 (en) * 2006-02-06 2007-08-09 Nokia Corporation Trust concept for the SIP reason header
US9419955B2 (en) * 2006-03-28 2016-08-16 Inventergy Inc. System and method for carrying trusted network provided access network information in session initiation protocol
DE602006007956D1 (de) * 2006-05-02 2009-09-03 Research In Motion Ltd Vorrichtungen und Verfahren zum Generieren und Übermitteln eines anonymen Kennzeichners zur Wegelenkung, um die Vertraulichkeit der Identität eines SIP User Agents sicherzustellen
CN101242426B (zh) * 2007-02-06 2010-12-08 华为技术有限公司 建立传输层安全连接的方法、系统及装置
US8725874B2 (en) * 2007-09-27 2014-05-13 International Business Machines Corporation Dynamic determination of an ideal client-server for a collaborative application network
US20090126001A1 (en) * 2007-11-08 2009-05-14 Microsoft Corporation Techniques to manage security certificates
EP2068565A1 (fr) * 2007-12-07 2009-06-10 Gemplus Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée
US8468366B2 (en) 2008-03-24 2013-06-18 Qualcomm Incorporated Method for securely storing a programmable identifier in a communication station
EP2263396B1 (en) 2008-04-11 2014-01-15 Telefonaktiebolaget L M Ericsson (PUBL) Access through non-3gpp access networks
EP3142339B1 (en) 2009-04-13 2020-10-21 BlackBerry Limited System and method for determining trust for sip messages
US9590990B2 (en) * 2009-05-11 2017-03-07 International Business Machines Corporation Assigning user requests of different types or protocols to a user by trust association interceptors
US9762583B2 (en) * 2009-10-23 2017-09-12 Interdigital Patent Holdings, Inc. Protection against unsolicited communication
TWI548259B (zh) * 2009-12-22 2016-09-01 群邁通訊股份有限公司 隱私通話系統及方法
CN103262494B (zh) * 2010-04-15 2016-07-06 谷歌技术控股有限责任公司 对基于白名单的在线安全设备供应框架的跨域身份管理的方法和系统
CN102006294B (zh) * 2010-11-25 2014-08-20 中兴通讯股份有限公司 Ims多媒体通信方法和系统、终端及ims核心网
US20130121322A1 (en) * 2011-11-10 2013-05-16 Motorola Mobility, Inc. Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communicatin system
US9686284B2 (en) * 2013-03-07 2017-06-20 T-Mobile Usa, Inc. Extending and re-using an IP multimedia subsystem (IMS)
US9992183B2 (en) 2013-03-15 2018-06-05 T-Mobile Usa, Inc. Using an IP multimedia subsystem for HTTP session authentication
CN206310556U (zh) * 2016-12-15 2017-07-07 广东美的厨房电器制造有限公司 转盘组件及烹饪装置
US10715996B1 (en) 2019-06-06 2020-07-14 T-Mobile Usa, Inc. Transparent provisioning of a third-party service for a user device on a telecommunications network
CN110311921B (zh) * 2019-07-11 2022-02-25 南方电网科学研究院有限责任公司 一种配电终端加解密方法、系统、设备及计算机存储介质
CN110958226A (zh) * 2019-11-14 2020-04-03 广州江南科友科技股份有限公司 一种基于tls的密码设备访问控制方法
WO2023216276A1 (zh) * 2022-05-13 2023-11-16 北京小米移动软件有限公司 认证方法、装置、通信设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE307452T1 (de) * 2000-08-25 2005-11-15 Research In Motion Ltd System und verfahren zur implementierung des verbesserten transportschicht- sicherheitsprotokolls
US6865681B2 (en) * 2000-12-29 2005-03-08 Nokia Mobile Phones Ltd. VoIP terminal security module, SIP stack with security manager, system and security methods
US7240366B2 (en) * 2002-05-17 2007-07-03 Microsoft Corporation End-to-end authentication of session initiation protocol messages using certificates
GB0216000D0 (en) * 2002-07-10 2002-08-21 Nokia Corp A method for setting up a security association

Also Published As

Publication number Publication date
TWI295135B (en) 2008-03-21
US8045540B2 (en) 2011-10-25
TW200620949A (en) 2006-06-16
EP1743449A1 (en) 2007-01-17
JP2007538426A (ja) 2007-12-27
EP1743449B1 (en) 2013-08-14
US20050249219A1 (en) 2005-11-10
WO2005107145A1 (en) 2005-11-10
KR100884314B1 (ko) 2009-02-18
JP4806400B2 (ja) 2011-11-02
PL1743449T3 (pl) 2013-12-31
CN1951061A (zh) 2007-04-18
JP2010081636A (ja) 2010-04-08

Similar Documents

Publication Publication Date Title
KR100884314B1 (ko) Ip 네트워크의 신뢰 도메인에서 아이덴티티들의 처리
JP2007538426A5 (ko)
Hautakorpi et al. Requirements from Session Initiation Protocol (SIP) Session Border Control (SBC) Deployments
US8544080B2 (en) Mobile virtual private networks
KR100966516B1 (ko) 세션 개시 프로토콜을 통해 트러스티드 네트워크 지원형 액세스 네트워크 정보를 전달하는 시스템 및 방법
KR101018589B1 (ko) Ip 멀티미디어 서브시스템 액세스 방법 및 장치
JP4738060B2 (ja) データ通信網のセキュアな連合
ES2389250T3 (es) Un método para autenticar un terminal de usuario en un subsistema multimedia IP
KR101507632B1 (ko) 로컬 네트워크로의 원격 액세스를 위한 방법 및 장치
US20080095070A1 (en) Accessing an IP multimedia subsystem via a wireless local area network
US20060225128A1 (en) Measures for enhancing security in communication systems
KR20060090291A (ko) Ip 어드레스 바인딩들에 기초한 멀티미디어 트래픽의필터링 방법 및 시스템
JP2009284492A (ja) 通信ネットワーク間のセキュアな通信を提供する方法及びシステム
KR20100032412A (ko) 대체 종단 대 종단 미디어 경로를 식별하는 방법 및 시스템
US7940748B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
US8499340B2 (en) IMS network identity management
Rasol et al. An improved secure SIP registration mechanism to avoid VoIP threats
US20090327721A1 (en) Method and Apparatuses for Securing Communications Between a User Terminal and a SIP Proxy Using IPSEC Security Association
JP5069353B2 (ja) Ipマルチメディア・サブシステム通信ネットワークにおいて信用性を処理するための方法および装置
Jennings et al. A SIP usage for resource location and discovery (RELOAD)
Jennings et al. RFC 7904: A SIP Usage for REsource LOcation And Discovery (RELOAD)
KR100908275B1 (ko) Ims 기반의 네트워크 시스템 및 사업자에 따른 능동 호연동 방법
KR101997065B1 (ko) Sip 연동 세션 관리 장치 및 방법
KR20060037196A (ko) 아이피 멀티미디어 서브시스템에서 네트워크의 보안처리방법
Sher et al. IMS—A Secure Architecture for All IP Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130117

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140120

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150119

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160119

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170119

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180118

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190116

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20200115

Year of fee payment: 12