SE512440C2 - Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät - Google Patents
Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nätInfo
- Publication number
- SE512440C2 SE512440C2 SE9801871A SE9801871A SE512440C2 SE 512440 C2 SE512440 C2 SE 512440C2 SE 9801871 A SE9801871 A SE 9801871A SE 9801871 A SE9801871 A SE 9801871A SE 512440 C2 SE512440 C2 SE 512440C2
- Authority
- SE
- Sweden
- Prior art keywords
- identity code
- mobility manager
- mobility
- network
- tgs
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
15 20 25 30 35 512 440 2 cieringstjänst (AS) en så kallad TGS-biljett mot att användaren bevisar att han är den han utger sig för att vara.
Användaridentifieringen sker genom att användaren inledningsvis en gäng för alla registrerar sig manuellt och erhåller ett lösenord frán Kerberos®. Lösenordet lagras centralt. När användaren sedan vill nyttja tjänster i nätet beställer han/hon TGS-biljetten med sin användaridentitet som identifikation. TGS-biljetten innefattar bland annat en TGS-sessionsnyckel, tjänstens namn (dvs TGS), en tidsstämpel och giltighetstid. I retur från TGS får användaren TGS-biljetten krypterad med TGS lösenord och en kopia av TGS-sessionsnyckeln krypterad med användarens lösenord. Därmed kan endast den äkta användaren dekryptera och utnyttja informationen. Pä detta sätt skickas aldrig lösenordet fritt över nätet.
TGS-biljetten gäller som tillträde till en biljettutfärdande tjänst (TGS). I det andra steget vänder sig därför användaren till TGS för att få tjänstebiljetter till andra tjänster. I detta steg skickar användaren TGS-biljetten krypterad med TGS lösenord och namnet pà den tjänst som efterfrågas till TGS. TGS skickar tillbaka en biljett till tjänsten krypterad med tjänstens lösenord och en kopia av en tjänst-sessionsnyckel krypterad med TGS-sessionsnyckeln.
För varje ny tjänst som användaren vill nyttja vänder han sig pà samma sätt till nämnda TGS och skickar med sin TGS-biljett.
Denna kända metod har flera fördelar. Användaren be- höver bara ange sitt lösenord en gäng varje arbetspass.
Endast registrerade användare kan utnyttja systemet ef- tersom användaren mäste autenticiera sig hos AT innan han erhåller någon biljett till en tjänst. Tjänster vet att avsändaren är äkta och inte någon som kopierat det rik- tiga meddelandet eftersom endast den äkta avsändaren kän- ner till sessionsnyckeln och kan avkoda trafiken. Likale- des vet användaren att en tjänst är äkta eftersom ses- 10 15 20 25 30 35 512 440 3 sionsnyckeln i biljetten är krypterad med tjänstens nyckel. Endast den äkta tjänsten kan således avkoda ses- sionsnyckeln. Dessutom väntar användaren alltid på svar och kan därför vara säker på att tjänsten är äkta.
Metoden enligt Kerberos® är dock inte direkt appli- cerbar på IP-telefoni med mobilitet, såsom ett system med DECT-telefoner som har access till ett IP-nät. Det finns därför ett behov av en säkerhetslösning för sådan telefoni.
Sammanfattning av uppfinningen Ändamålet med uppfinningen är därför att skapa en säkerhetslösning för IP-telefoni med mobilitet. Ändamålet uppnås med en metod för säker kommunika- tion enligt uppfinningen såsom den definieras i patent- krav l i de åtföljande patentkraven.
Kort beskrivning av ritniggarna I det följande kommer utföringsformer av metoden en- ligt uppfinningen att beskrivas närmare under hänvisning till de bifogadde ritningarna, där: fig 1 schematiskt visar ett tele- och datakommunika- tionssystem i vilket en utföringsform av metoden är im- plementerad; och fig 2 schematiskt visar en del av systemet i fig 1 i detalj.
Detaljerad beskrivning av utföringsformer Nedan kommer en föredragen utföringsform av metoden enligt uppfinningen att beskrivas, varvid den exemplifie- ras tillämpad i ett tele- och datakommunikationssystem som innefattar trådlösa telefoner i form av DECT-telefo- ner och som visas i fig 1. Metoden enligt uppfinningen är särskilt lämpad för dylika system.
I varje DECT-telefon 3 lagras en identitetskod (ID- kod), som är skapad på ett sådant sätt att den blir unik, företrädesvis globalt unik. Når DECT-telefonen 3 befinner sig i en hemdomän, dvs en DECT-domän, och slås till :iiziziii : W 10 15 20 25 30 35 512 440 4 skickas ID-koden till domänens basstation 5. Därifrån skickas ID-koden vidare till en mobilitetshanterare, här en så kallad proxyhanterare 9, se fig 2, som är anordnad i en IP-hanteringsenhet (IMU) 7. Proxyhanteraren 9 star- tar för varje DECT-telefon 3 en proxy 11, dvs en ställ- företrädare, som representerar DECT-telefonen 3 mot In- ternet, eller något annat IP-nät. Proxyhanteraren 9 er- fordrar dock en viss initieringsinformation för att kunna starta en proxy ll. Informationen hämtas från en särskild initieringsdatabas 13, som här benämnes telefonkatalog.
Telefonkatalogen nås via IP-nätet 15. För att informatio- nen skall överföras på ett säkert sätt utnyttjas den ovan beskrivna, kända metoden benämnd Kerberos® , vilken bland annat är implementerad på en server 17, som hanterar den centrala distributionen av nycklar. Informationen inne- fattar IP-adress, abonnentens användarnamn och en nyckel för mobil IP.
I denna situation är proxyhanteraren 9 användare och telefonkatalogen 13 den tjänst som skall användas. För att proxyhanteraren 9 skall erhålla informationen måste den således autenticiera sig mot serverns 17 AS-del för att få en TGS-biljett, och nyttjar då identitetskoden som användaridentitet, och sedan genom att skicka TGS-bil- jetten till serverns 17 TGS-del erhålla en tjänstebiljett till telefonkatalogen. Informationen överförs väl krypte- rad från telefonkatalogen 13 till proxyhanteraren 9, såsom har beskrivits ovan. Proxyhanteraren 9 startar sedan en proxy 11 med informationen som indata.
Proxyn 11 har nu funktionen av en mobil nod. Om den skulle befinna sig i ett främmande nät använder den sig av mobil IP för att se till att trafik som är avsedd för den vägleds till rätt adress. Inom mobil IP är autentici- ering av yttersta vikt eftersom obehöriga personer i av- saknad av autenticiering skulle kunna flytta trafiken i - systemet efter eget behag eller falskeligen utge sig för att vara någon annan än de är. Denna autenticiering sker med hjälp av en krypteringsalgoritm och en hemlig nyckel, Au H lO 15 20 25 30 512 440 5 som delas av den mobila noden, dvs proxyn ll, och mobili- tetshanteraren i dess hemmanät. Den hemliga nyckeln år ovannämnda nyckel för mobil IP som proxyhanteraren 9 er- håller från databasen 13.
När abonnenten vill nyttja någon av de tjänster som nätoperatören erbjuder, exempelvis ringa ett samtal, är både abonnenten och operatören intresserade av att debi- teringen för nyttjandet blir korrekt. Proxyn ll kontaktar då en debiteringstjänst för att belasta rätt konto med rätt summa. Denna kommunikation sker också med hjälp av Kerberos® _ _ Proxyn 11 är företrädesvis kompatibel med ITU- E standarden H.323, vilket kan utnyttjas enligt följande.
Vid kommunikation mellan två abonnenter hämtar mottagaren en sessionsnyckel från Kerberos® och sätter upp en säker _ och autenticierad kanal. Därefter tar H.323 vid. Talet överförs därmed krkypterat så att det inte går att genom autenticieringen, avlyssna. Samtidigt hindras, aktörer som inte är behöriga abonnenter i systemet från att ringa gratis.
Ovan har en föredragen utföringsform av metoden en- _ ligt uppfinningen beskrivits. Denna skall endast ses som D ett exempel pá hur uppfinningen kan utföras. Många modi- fieringar är möjliga inom ramen för uppfinningen såsom den definieras i patentkraven. Nedan följer några exempel på sådana modifieringar.
Ovan har metoden beskrivits för IP-telefoni med DECT-telefoner. Den är även tillämpbar för andra typer av mobil IP-telefoni. Ett exempel är en dator som flyttas mellan olika accesspunkter.
Den ovan beskrivna nyckeldistributionsmetoden Kerberos®>kan bytas mot annan likvärdig metod som innebär likvärdigt god autenticiering och kryptering. b
Claims (5)
1. Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem (1) som innefattar ett IP-nät (15), varvid telefonin utförs med mobila enheter och varvid metoden för varje mobil enhet k ä n n e - t e c k n a s av stegen: -att skapa en unik identitetskod och lagra den i en- heten; - att vid tillslag av enheten, åtminstone vid till- slag i en hemdomän, överföra identitetskoden till en mo- bilitetshanterare (9): - att via IP-nätet etablera kontakt mellan mobili- tetshanteraren och en initieringsdatabas (13) för över- föring av initieringsinformation för Internetkommunika- tion från initieringsdatabasen till mobilitetshanteraren, vilket steg innefattar att med utnyttjande av identi- tetskoden autenticiera mobilitetshanteraren för tillträde till initieringsdatabasen och att kryptera initieringsin- formationen inför överföringen; och - att medelst initieringsinformationen starta en ställföreträdare (11), som representerar enheten mot In- ternet.
2. Metod enligt patentkrav 1, k ä n n e t e c k - n a d av att nämnda ställföreträdare för tillträde till tjänster i kommunikationssystemet initialt via IP-nätet medelst i initieringsinformationen ingående data autenti- cierar sig för en server som centralt hanterar nycklar, varvid ställföreträdaren från en del av servern erhåller en TGS-biljett och därefter, genom att tillhandahålla TGS-biljetten, via en TGS-del av nämnda server erhåller tjänstebiljetter till olika tjänster, varvid varje tjänstebiljett innefattar en för den aktuella tjänsten specifik sessionsnyckel.
3. Metod enligt patentkrav 1 eller 2, k ä n n e - t e c k n a d av att i databasen lagra initieringsinfor- Il\ 10 15 512 440 7 mation som för varje användare innefattar IP-adress och nyckel för mobil IP.
4. Metod enligt något av förgående patentkrav, k ä n n e t e c k n a d av att steget att vid tillslag av enheten, åtminstone vid tillslag i en hemdomän, överföra identitetskoden till en mobilitetshanterare, när enheten är en DECT-telefon, innefattar att skicka identitetskoden från telefonen till en basstation (5) i hemdomänen och att vidarebefordra identitetskoden från basstationen till mobilitetshanteraren.
5. Metod enligt något av föregående patentkrav, k ä n n e t e c k n a d av att ställföreträdaren när den befinner sig i ett främmande nät använder sig av mobil IP för att se till att trafik som är avsedd för den vägleds till rätt adress.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE9801871A SE512440C2 (sv) | 1998-05-27 | 1998-05-27 | Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät |
PCT/SE1999/000814 WO1999062222A2 (en) | 1998-05-27 | 1999-05-12 | Method for safe telephony with mobility in a tele and data communications system which includes an ip-network |
EEP200000701A EE03893B1 (et) | 1998-05-27 | 1999-05-12 | Ohutu mobiiltelefonside meetod kasutamiseks IP-võrku sisaldavas side- ja andmesidesüsteemis |
EP99929982A EP1082837A2 (en) | 1998-05-27 | 1999-05-12 | Method for safe telephony with mobility in a tele and data communications system which includes an ip-network |
NO20005868A NO20005868L (no) | 1998-05-27 | 2000-11-21 | Fremgangsmåte ved sikker telefonering i et tele- og datakommunikasjonssystem |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE9801871A SE512440C2 (sv) | 1998-05-27 | 1998-05-27 | Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät |
Publications (3)
Publication Number | Publication Date |
---|---|
SE9801871D0 SE9801871D0 (sv) | 1998-05-27 |
SE9801871L SE9801871L (sv) | 1999-11-28 |
SE512440C2 true SE512440C2 (sv) | 2000-03-20 |
Family
ID=20411477
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SE9801871A SE512440C2 (sv) | 1998-05-27 | 1998-05-27 | Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1082837A2 (sv) |
EE (1) | EE03893B1 (sv) |
NO (1) | NO20005868L (sv) |
SE (1) | SE512440C2 (sv) |
WO (1) | WO1999062222A2 (sv) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2807597B1 (fr) * | 2000-04-11 | 2005-04-08 | Sagem | Procede de gestion de la mobilite de combines au sein d'un reseau de telecommunication sans fil |
CN1322702C (zh) * | 2003-12-30 | 2007-06-20 | 华为技术有限公司 | 因特网协议语音接入设备的认证方法 |
CN100349400C (zh) * | 2004-02-11 | 2007-11-14 | 任荣昌 | 一种基于ip网用户身份的多业务交换方法及系统 |
HU226781B1 (en) | 2004-03-01 | 2009-10-28 | Miklos Jobbagy | Device set for secure direct information transmission over internet |
US9762576B2 (en) | 2006-11-16 | 2017-09-12 | Phonefactor, Inc. | Enhanced multi factor authentication |
US8365258B2 (en) | 2006-11-16 | 2013-01-29 | Phonefactor, Inc. | Multi factor authentication |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5535276A (en) * | 1994-11-09 | 1996-07-09 | Bell Atlantic Network Services, Inc. | Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography |
US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
GB2317792B (en) * | 1996-09-18 | 2001-03-28 | Secure Computing Corp | Virtual private network on application gateway |
US5684950A (en) * | 1996-09-23 | 1997-11-04 | Lockheed Martin Corporation | Method and system for authenticating users to multiple computer servers via a single sign-on |
-
1998
- 1998-05-27 SE SE9801871A patent/SE512440C2/sv not_active IP Right Cessation
-
1999
- 1999-05-12 EP EP99929982A patent/EP1082837A2/en not_active Withdrawn
- 1999-05-12 EE EEP200000701A patent/EE03893B1/xx not_active IP Right Cessation
- 1999-05-12 WO PCT/SE1999/000814 patent/WO1999062222A2/en active Application Filing
-
2000
- 2000-11-21 NO NO20005868A patent/NO20005868L/no not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
WO1999062222A2 (en) | 1999-12-02 |
EE200000701A (et) | 2002-04-15 |
NO20005868L (no) | 2001-01-25 |
EP1082837A2 (en) | 2001-03-14 |
NO20005868D0 (no) | 2000-11-21 |
EE03893B1 (et) | 2002-10-15 |
SE9801871D0 (sv) | 1998-05-27 |
WO1999062222A3 (en) | 2000-02-03 |
SE9801871L (sv) | 1999-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7865173B2 (en) | Method and arrangement for authentication procedures in a communication network | |
US6968050B1 (en) | Methods and apparatus for authenticating and authorizing ENUM registrants | |
EP2235918B1 (en) | Enhancing enum security | |
JP2006295673A (ja) | 通話システム、代理ダイヤルサーバ装置及びそれらに用いる代理ダイヤル方法並びにそのプログラム | |
CN1298589A (zh) | 用于鉴权的方法、装置和设备 | |
EP1835701B1 (en) | System for uniquely identifying and reaching VoIP users | |
US20130183934A1 (en) | Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device | |
US20100278174A1 (en) | Method and Arrangement for Network Roaming of Corporate Extension Identities | |
FI105434B (sv) | Förfarande och arrangemang i ett kommunikationsnät | |
SE512440C2 (sv) | Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät | |
US20050190904A1 (en) | Method for performing network-based telephone user identification | |
JP2009218627A (ja) | プレゼンス更新方法、電話機及びプログラム | |
MXPA01013117A (es) | Sistema y metodo para puesta en vigor de politica local para proveedores de servicio de internet. | |
JP2002041476A (ja) | ユーザ認証システム及びユーザ認証方法 | |
CN111163465B (zh) | 连接用户终端与本地终端的方法、装置以及呼叫中心系统 | |
KR20020046773A (ko) | 통신망 정합용 블루투스 액세스포인트를 통한 블루투스단말기의 통신망 접속 방법 | |
US20060045268A1 (en) | Method and system for calling line authenticated key distribution | |
KR100711910B1 (ko) | 유선 전화기를 위한 발신자 애칭 표시 서비스 제공 방법 | |
US8284762B2 (en) | Telephone system | |
WO2003036919A2 (en) | Identifying a wireless user based on re-routing | |
TWI246300B (en) | Method and apparatus enabling reauthentication in a cellular communication system | |
JP4562258B2 (ja) | サービス振り分け方法 | |
KR100540680B1 (ko) | 이동 통신망에서의 핫 메시지 제공 시스템 및 방법 | |
JP2001352411A (ja) | ダイヤルアップ接続システム | |
KR20030054868A (ko) | 에스아이피 아이씨 카드를 이용한 에스아이피 등록 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
NUG | Patent has lapsed |