SE512440C2 - Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät - Google Patents

Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät

Info

Publication number
SE512440C2
SE512440C2 SE9801871A SE9801871A SE512440C2 SE 512440 C2 SE512440 C2 SE 512440C2 SE 9801871 A SE9801871 A SE 9801871A SE 9801871 A SE9801871 A SE 9801871A SE 512440 C2 SE512440 C2 SE 512440C2
Authority
SE
Sweden
Prior art keywords
identity code
mobility manager
mobility
network
tgs
Prior art date
Application number
SE9801871A
Other languages
English (en)
Other versions
SE9801871D0 (sv
SE9801871L (sv
Inventor
Per Gustafsson
Staffan Lundgren
Mattias Maartensson
Eskil Aahlin
Original Assignee
Telia Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telia Ab filed Critical Telia Ab
Priority to SE9801871A priority Critical patent/SE512440C2/sv
Publication of SE9801871D0 publication Critical patent/SE9801871D0/sv
Priority to PCT/SE1999/000814 priority patent/WO1999062222A2/en
Priority to EEP200000701A priority patent/EE03893B1/xx
Priority to EP99929982A priority patent/EP1082837A2/en
Publication of SE9801871L publication Critical patent/SE9801871L/sv
Publication of SE512440C2 publication Critical patent/SE512440C2/sv
Priority to NO20005868A priority patent/NO20005868L/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

15 20 25 30 35 512 440 2 cieringstjänst (AS) en så kallad TGS-biljett mot att användaren bevisar att han är den han utger sig för att vara.
Användaridentifieringen sker genom att användaren inledningsvis en gäng för alla registrerar sig manuellt och erhåller ett lösenord frán Kerberos®. Lösenordet lagras centralt. När användaren sedan vill nyttja tjänster i nätet beställer han/hon TGS-biljetten med sin användaridentitet som identifikation. TGS-biljetten innefattar bland annat en TGS-sessionsnyckel, tjänstens namn (dvs TGS), en tidsstämpel och giltighetstid. I retur från TGS får användaren TGS-biljetten krypterad med TGS lösenord och en kopia av TGS-sessionsnyckeln krypterad med användarens lösenord. Därmed kan endast den äkta användaren dekryptera och utnyttja informationen. Pä detta sätt skickas aldrig lösenordet fritt över nätet.
TGS-biljetten gäller som tillträde till en biljettutfärdande tjänst (TGS). I det andra steget vänder sig därför användaren till TGS för att få tjänstebiljetter till andra tjänster. I detta steg skickar användaren TGS-biljetten krypterad med TGS lösenord och namnet pà den tjänst som efterfrågas till TGS. TGS skickar tillbaka en biljett till tjänsten krypterad med tjänstens lösenord och en kopia av en tjänst-sessionsnyckel krypterad med TGS-sessionsnyckeln.
För varje ny tjänst som användaren vill nyttja vänder han sig pà samma sätt till nämnda TGS och skickar med sin TGS-biljett.
Denna kända metod har flera fördelar. Användaren be- höver bara ange sitt lösenord en gäng varje arbetspass.
Endast registrerade användare kan utnyttja systemet ef- tersom användaren mäste autenticiera sig hos AT innan han erhåller någon biljett till en tjänst. Tjänster vet att avsändaren är äkta och inte någon som kopierat det rik- tiga meddelandet eftersom endast den äkta avsändaren kän- ner till sessionsnyckeln och kan avkoda trafiken. Likale- des vet användaren att en tjänst är äkta eftersom ses- 10 15 20 25 30 35 512 440 3 sionsnyckeln i biljetten är krypterad med tjänstens nyckel. Endast den äkta tjänsten kan således avkoda ses- sionsnyckeln. Dessutom väntar användaren alltid på svar och kan därför vara säker på att tjänsten är äkta.
Metoden enligt Kerberos® är dock inte direkt appli- cerbar på IP-telefoni med mobilitet, såsom ett system med DECT-telefoner som har access till ett IP-nät. Det finns därför ett behov av en säkerhetslösning för sådan telefoni.
Sammanfattning av uppfinningen Ändamålet med uppfinningen är därför att skapa en säkerhetslösning för IP-telefoni med mobilitet. Ändamålet uppnås med en metod för säker kommunika- tion enligt uppfinningen såsom den definieras i patent- krav l i de åtföljande patentkraven.
Kort beskrivning av ritniggarna I det följande kommer utföringsformer av metoden en- ligt uppfinningen att beskrivas närmare under hänvisning till de bifogadde ritningarna, där: fig 1 schematiskt visar ett tele- och datakommunika- tionssystem i vilket en utföringsform av metoden är im- plementerad; och fig 2 schematiskt visar en del av systemet i fig 1 i detalj.
Detaljerad beskrivning av utföringsformer Nedan kommer en föredragen utföringsform av metoden enligt uppfinningen att beskrivas, varvid den exemplifie- ras tillämpad i ett tele- och datakommunikationssystem som innefattar trådlösa telefoner i form av DECT-telefo- ner och som visas i fig 1. Metoden enligt uppfinningen är särskilt lämpad för dylika system.
I varje DECT-telefon 3 lagras en identitetskod (ID- kod), som är skapad på ett sådant sätt att den blir unik, företrädesvis globalt unik. Når DECT-telefonen 3 befinner sig i en hemdomän, dvs en DECT-domän, och slås till :iiziziii : W 10 15 20 25 30 35 512 440 4 skickas ID-koden till domänens basstation 5. Därifrån skickas ID-koden vidare till en mobilitetshanterare, här en så kallad proxyhanterare 9, se fig 2, som är anordnad i en IP-hanteringsenhet (IMU) 7. Proxyhanteraren 9 star- tar för varje DECT-telefon 3 en proxy 11, dvs en ställ- företrädare, som representerar DECT-telefonen 3 mot In- ternet, eller något annat IP-nät. Proxyhanteraren 9 er- fordrar dock en viss initieringsinformation för att kunna starta en proxy ll. Informationen hämtas från en särskild initieringsdatabas 13, som här benämnes telefonkatalog.
Telefonkatalogen nås via IP-nätet 15. För att informatio- nen skall överföras på ett säkert sätt utnyttjas den ovan beskrivna, kända metoden benämnd Kerberos® , vilken bland annat är implementerad på en server 17, som hanterar den centrala distributionen av nycklar. Informationen inne- fattar IP-adress, abonnentens användarnamn och en nyckel för mobil IP.
I denna situation är proxyhanteraren 9 användare och telefonkatalogen 13 den tjänst som skall användas. För att proxyhanteraren 9 skall erhålla informationen måste den således autenticiera sig mot serverns 17 AS-del för att få en TGS-biljett, och nyttjar då identitetskoden som användaridentitet, och sedan genom att skicka TGS-bil- jetten till serverns 17 TGS-del erhålla en tjänstebiljett till telefonkatalogen. Informationen överförs väl krypte- rad från telefonkatalogen 13 till proxyhanteraren 9, såsom har beskrivits ovan. Proxyhanteraren 9 startar sedan en proxy 11 med informationen som indata.
Proxyn 11 har nu funktionen av en mobil nod. Om den skulle befinna sig i ett främmande nät använder den sig av mobil IP för att se till att trafik som är avsedd för den vägleds till rätt adress. Inom mobil IP är autentici- ering av yttersta vikt eftersom obehöriga personer i av- saknad av autenticiering skulle kunna flytta trafiken i - systemet efter eget behag eller falskeligen utge sig för att vara någon annan än de är. Denna autenticiering sker med hjälp av en krypteringsalgoritm och en hemlig nyckel, Au H lO 15 20 25 30 512 440 5 som delas av den mobila noden, dvs proxyn ll, och mobili- tetshanteraren i dess hemmanät. Den hemliga nyckeln år ovannämnda nyckel för mobil IP som proxyhanteraren 9 er- håller från databasen 13.
När abonnenten vill nyttja någon av de tjänster som nätoperatören erbjuder, exempelvis ringa ett samtal, är både abonnenten och operatören intresserade av att debi- teringen för nyttjandet blir korrekt. Proxyn ll kontaktar då en debiteringstjänst för att belasta rätt konto med rätt summa. Denna kommunikation sker också med hjälp av Kerberos® _ _ Proxyn 11 är företrädesvis kompatibel med ITU- E standarden H.323, vilket kan utnyttjas enligt följande.
Vid kommunikation mellan två abonnenter hämtar mottagaren en sessionsnyckel från Kerberos® och sätter upp en säker _ och autenticierad kanal. Därefter tar H.323 vid. Talet överförs därmed krkypterat så att det inte går att genom autenticieringen, avlyssna. Samtidigt hindras, aktörer som inte är behöriga abonnenter i systemet från att ringa gratis.
Ovan har en föredragen utföringsform av metoden en- _ ligt uppfinningen beskrivits. Denna skall endast ses som D ett exempel pá hur uppfinningen kan utföras. Många modi- fieringar är möjliga inom ramen för uppfinningen såsom den definieras i patentkraven. Nedan följer några exempel på sådana modifieringar.
Ovan har metoden beskrivits för IP-telefoni med DECT-telefoner. Den är även tillämpbar för andra typer av mobil IP-telefoni. Ett exempel är en dator som flyttas mellan olika accesspunkter.
Den ovan beskrivna nyckeldistributionsmetoden Kerberos®>kan bytas mot annan likvärdig metod som innebär likvärdigt god autenticiering och kryptering. b

Claims (5)

| .. Mll 10 15 20 25 30 35 512 440 6 PATENTKRAV
1. Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem (1) som innefattar ett IP-nät (15), varvid telefonin utförs med mobila enheter och varvid metoden för varje mobil enhet k ä n n e - t e c k n a s av stegen: -att skapa en unik identitetskod och lagra den i en- heten; - att vid tillslag av enheten, åtminstone vid till- slag i en hemdomän, överföra identitetskoden till en mo- bilitetshanterare (9): - att via IP-nätet etablera kontakt mellan mobili- tetshanteraren och en initieringsdatabas (13) för över- föring av initieringsinformation för Internetkommunika- tion från initieringsdatabasen till mobilitetshanteraren, vilket steg innefattar att med utnyttjande av identi- tetskoden autenticiera mobilitetshanteraren för tillträde till initieringsdatabasen och att kryptera initieringsin- formationen inför överföringen; och - att medelst initieringsinformationen starta en ställföreträdare (11), som representerar enheten mot In- ternet.
2. Metod enligt patentkrav 1, k ä n n e t e c k - n a d av att nämnda ställföreträdare för tillträde till tjänster i kommunikationssystemet initialt via IP-nätet medelst i initieringsinformationen ingående data autenti- cierar sig för en server som centralt hanterar nycklar, varvid ställföreträdaren från en del av servern erhåller en TGS-biljett och därefter, genom att tillhandahålla TGS-biljetten, via en TGS-del av nämnda server erhåller tjänstebiljetter till olika tjänster, varvid varje tjänstebiljett innefattar en för den aktuella tjänsten specifik sessionsnyckel.
3. Metod enligt patentkrav 1 eller 2, k ä n n e - t e c k n a d av att i databasen lagra initieringsinfor- Il\ 10 15 512 440 7 mation som för varje användare innefattar IP-adress och nyckel för mobil IP.
4. Metod enligt något av förgående patentkrav, k ä n n e t e c k n a d av att steget att vid tillslag av enheten, åtminstone vid tillslag i en hemdomän, överföra identitetskoden till en mobilitetshanterare, när enheten är en DECT-telefon, innefattar att skicka identitetskoden från telefonen till en basstation (5) i hemdomänen och att vidarebefordra identitetskoden från basstationen till mobilitetshanteraren.
5. Metod enligt något av föregående patentkrav, k ä n n e t e c k n a d av att ställföreträdaren när den befinner sig i ett främmande nät använder sig av mobil IP för att se till att trafik som är avsedd för den vägleds till rätt adress.
SE9801871A 1998-05-27 1998-05-27 Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät SE512440C2 (sv)

Priority Applications (5)

Application Number Priority Date Filing Date Title
SE9801871A SE512440C2 (sv) 1998-05-27 1998-05-27 Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät
PCT/SE1999/000814 WO1999062222A2 (en) 1998-05-27 1999-05-12 Method for safe telephony with mobility in a tele and data communications system which includes an ip-network
EEP200000701A EE03893B1 (et) 1998-05-27 1999-05-12 Ohutu mobiiltelefonside meetod kasutamiseks IP-võrku sisaldavas side- ja andmesidesüsteemis
EP99929982A EP1082837A2 (en) 1998-05-27 1999-05-12 Method for safe telephony with mobility in a tele and data communications system which includes an ip-network
NO20005868A NO20005868L (no) 1998-05-27 2000-11-21 Fremgangsmåte ved sikker telefonering i et tele- og datakommunikasjonssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE9801871A SE512440C2 (sv) 1998-05-27 1998-05-27 Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät

Publications (3)

Publication Number Publication Date
SE9801871D0 SE9801871D0 (sv) 1998-05-27
SE9801871L SE9801871L (sv) 1999-11-28
SE512440C2 true SE512440C2 (sv) 2000-03-20

Family

ID=20411477

Family Applications (1)

Application Number Title Priority Date Filing Date
SE9801871A SE512440C2 (sv) 1998-05-27 1998-05-27 Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät

Country Status (5)

Country Link
EP (1) EP1082837A2 (sv)
EE (1) EE03893B1 (sv)
NO (1) NO20005868L (sv)
SE (1) SE512440C2 (sv)
WO (1) WO1999062222A2 (sv)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2807597B1 (fr) * 2000-04-11 2005-04-08 Sagem Procede de gestion de la mobilite de combines au sein d'un reseau de telecommunication sans fil
CN1322702C (zh) * 2003-12-30 2007-06-20 华为技术有限公司 因特网协议语音接入设备的认证方法
CN100349400C (zh) * 2004-02-11 2007-11-14 任荣昌 一种基于ip网用户身份的多业务交换方法及系统
HU226781B1 (en) 2004-03-01 2009-10-28 Miklos Jobbagy Device set for secure direct information transmission over internet
US9762576B2 (en) 2006-11-16 2017-09-12 Phonefactor, Inc. Enhanced multi factor authentication
US8365258B2 (en) 2006-11-16 2013-01-29 Phonefactor, Inc. Multi factor authentication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5535276A (en) * 1994-11-09 1996-07-09 Bell Atlantic Network Services, Inc. Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
GB2317792B (en) * 1996-09-18 2001-03-28 Secure Computing Corp Virtual private network on application gateway
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on

Also Published As

Publication number Publication date
WO1999062222A2 (en) 1999-12-02
EE200000701A (et) 2002-04-15
NO20005868L (no) 2001-01-25
EP1082837A2 (en) 2001-03-14
NO20005868D0 (no) 2000-11-21
EE03893B1 (et) 2002-10-15
SE9801871D0 (sv) 1998-05-27
WO1999062222A3 (en) 2000-02-03
SE9801871L (sv) 1999-11-28

Similar Documents

Publication Publication Date Title
US7865173B2 (en) Method and arrangement for authentication procedures in a communication network
US6968050B1 (en) Methods and apparatus for authenticating and authorizing ENUM registrants
EP2235918B1 (en) Enhancing enum security
JP2006295673A (ja) 通話システム、代理ダイヤルサーバ装置及びそれらに用いる代理ダイヤル方法並びにそのプログラム
CN1298589A (zh) 用于鉴权的方法、装置和设备
EP1835701B1 (en) System for uniquely identifying and reaching VoIP users
US20130183934A1 (en) Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device
US20100278174A1 (en) Method and Arrangement for Network Roaming of Corporate Extension Identities
FI105434B (sv) Förfarande och arrangemang i ett kommunikationsnät
SE512440C2 (sv) Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät
US20050190904A1 (en) Method for performing network-based telephone user identification
JP2009218627A (ja) プレゼンス更新方法、電話機及びプログラム
MXPA01013117A (es) Sistema y metodo para puesta en vigor de politica local para proveedores de servicio de internet.
JP2002041476A (ja) ユーザ認証システム及びユーザ認証方法
CN111163465B (zh) 连接用户终端与本地终端的方法、装置以及呼叫中心系统
KR20020046773A (ko) 통신망 정합용 블루투스 액세스포인트를 통한 블루투스단말기의 통신망 접속 방법
US20060045268A1 (en) Method and system for calling line authenticated key distribution
KR100711910B1 (ko) 유선 전화기를 위한 발신자 애칭 표시 서비스 제공 방법
US8284762B2 (en) Telephone system
WO2003036919A2 (en) Identifying a wireless user based on re-routing
TWI246300B (en) Method and apparatus enabling reauthentication in a cellular communication system
JP4562258B2 (ja) サービス振り分け方法
KR100540680B1 (ko) 이동 통신망에서의 핫 메시지 제공 시스템 및 방법
JP2001352411A (ja) ダイヤルアップ接続システム
KR20030054868A (ko) 에스아이피 아이씨 카드를 이용한 에스아이피 등록 방법

Legal Events

Date Code Title Description
NUG Patent has lapsed