TWI295135B - Communication device and method for handling user identity and privacy - Google Patents
Communication device and method for handling user identity and privacy Download PDFInfo
- Publication number
- TWI295135B TWI295135B TW094114163A TW94114163A TWI295135B TW I295135 B TWI295135 B TW I295135B TW 094114163 A TW094114163 A TW 094114163A TW 94114163 A TW94114163 A TW 94114163A TW I295135 B TWI295135 B TW I295135B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- network
- sip
- tls
- trusted
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims description 32
- 238000000034 method Methods 0.000 title claims description 28
- 230000006870 function Effects 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000000717 retained effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 11
- 239000013589 supplement Substances 0.000 claims 3
- 238000012937 correction Methods 0.000 claims 2
- 238000009434 installation Methods 0.000 claims 2
- 239000000126 substance Substances 0.000 claims 2
- 230000000977 initiatory effect Effects 0.000 claims 1
- 238000003672 processing method Methods 0.000 claims 1
- 239000000047 product Substances 0.000 claims 1
- 238000012546 transfer Methods 0.000 claims 1
- 230000007123 defense Effects 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 230000002452 interceptive effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000001871 ion mobility spectroscopy Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
1295135 :九、發明說明: 【發明所屬之技術領域】 本發明係”在網路的區段中處 一種在跨越可信任網域之界限Ϊ插3 的隱私要求之處理方法。 旦稱識別碼 【先前技術】 (IMSf/5: /媒體子系統 =,f:s通訊恆常開始或結束 , .s 面因為所有的IMS網路互相 (二、議(SIP)代理(例如通訊控制功能 求之宣稱的不需要對有關SIP要 ims網路收到要、雜另外—個可信任的 若sip代理傳送識別碼,將是可信任的; 別碼將會被儲g以求給另-個網路,此宣稱的識 用戶:6 “允許1MS通訊在網際網路sn> 式,二:可,網路需要-個新的信任模 精宣稱的識別瑪的可:時SIP/i理(例如⑽慨F 個SIP代理收到—執仃一個動作(例如移除)。若一 固來自可信任網路的SIP要求宣稱的 1295135 將此訊息保留。但是,如果sip代理收到的sip 5疋來自非可信任的網路’則將會因此sip訊息為不 ^壬而將之移除。同樣地,若SIp代理欲將訊息傳送 到-個可信㈣網路,任何宣稱_別碼將會被保留, 但如果sn>代理是將訊息傳送到一個非可信任的網路, 此宣稱的識別碼將會被移除。
支持IMS中可信任網路概念的是實際存在於兩個互 相4§任網路間的互連協議。當兩個網路簽署一項互連協 議時,彼此會交換安全防禦資訊。3Gpp IMS第5版中 並不支持混雜信任與非信任節點,3Gpp IMS第5版明 確地指出所有IMS網路彼此信任;換言之,連接非ims 網路是不被允許的。3GPP IMS第5版提供網際網路協 議防護(IPsec)閘道及任何兩個IMS網路間的ipsec通 道。但IPsec閘道對第六版中的信任與非信任模式並無 用處,因為IPsec閘道需與IP層而非SIP層一起運作, 而且IPsec閘道與SIP代理在物理及邏輯上係不同的元 件。另外,在兩個運作的IMS間之IPsec通道的存在並 不足以§忍定SIP標準的互信關係。 因此,需要一種方法來決定,當一個特定的Sip代 理收到SIP要求時,此特定的要求是來自於可信任或不 可信任的來源。此外,也需要決定特定的SIP代理在傳 輸SIP要求至其他網路前,是否下一個SIP代理對特定 的SIP代理是可以被信任的。 【發明内容】 1295135 本發明揭示處理使用者識別碼及隱私的方法,其中 最初的SIP代理是將有關SIP要求傳輸至另一個SIP代 理及包含傳輸層防護(TLS)是否被支援傳輸至另一個SIP 代理的決疋步驟。當TLS被支援時,此方法包括建立一 個TLS連線到另一個SIP代理的路徑、要求另一個SIP 代理的認證、接收認證、查證此認證及此網路的可信度, 當認證及可信度被證實後保留識別碼資料。否則將此識 別碼資料移除。隨後,該SIP要求通過TLS連線被傳輸。 _ 本發明同時也指出當下一個SIP代理收到一個來自 第一個SIP的要求時,決定該第一個SIP代理屬於一個 可信任網路供處理使用者識別碼及隱私步驟的方法。此 方法包括從第一個SIP代理接收SIP要求及決定此要求 是否來自TLS的步驟。當SIP要求來自TLS時,此方式 包括對第一個SIP代理要求認證、接收認證、查證此認 證之網路可信度並在此認證及可信度獲得證實時保留此 識別碼資訊。若TLS不被支援時,或認證及網路可信度 φ 無法被證實時,此識別碼資訊將被移除。此方法也包括 回覆SIP的要求。 本發明也涉及通訊裝置,包括建立TLS連線至另一 個SIP代理之建立手段、決定TLS是否支援該SIP代理 之決定手段、要求另一個SIP代理認證之要求手段、接 收認證之接收手段、證實此認證及網路可信度之證實手 段及通過TLS連線以傳輸SIP要求之傳輸手段。此通訊 裝置係用來保留當認證及網路可信度及TLS支援被證實 1295135 後之識別碼資訊保留及未被證實時之識別碼資訊的移 除。 本發明亦涉及通訊系統,包括建立TLS連線至另一 個SIP代理的TLS連線建立器、決定TLS至另一個SIP 代理途徑中TLS是否被支援之TLS支援分析器、要求另 一個SIP代理認證、接收認證、確認認證及網路可信度 之認證模組,及SIP要求處理器;用以透過TLS連結傳 輸SIP要求。此通訊系統係用來保留當認證及網路可信 釀度及TLS支援被證實後之識別碼資訊及未被證實之識別 碼資訊的移除。 本發明的其他特色、觀點及優點將由以下的描述及 圖示更加明晰,但這些圖僅為說明目的而揭示,並非用 以限制本發明。 【實施方式】 兹佐以附圖詳細說明本發明之可取實施例子如下。 在數據包轉換(PS)網域,當行動設備與網路間之防 _ 紫聯結未建立前不提供服務,網際網路多媒體核心網路
子系統(IMS)實質上是一個對pS網域低附屬性的覆蓋 物。因此,當多媒體服務在被授權存取前多媒體端及IMS 間將會被要求一個分離的防禦聯結。此IMS防禦結構圖 解於圖1。 圖1顯示連結/完成服務網路1 l〇(h〇me/serving network)、用戶端/連結網路 i20(visited/home network)及 使用者設備102間的關係,該連結/完成服務網路備有電 1295135 話用戶伺服器lll(HSS)。圖1顯示行動裝置(例如使用者 設備102(UE)、電話用戶等)與許多網路元件,如服務呼 叫通訊控制功能113(S-CSCF)、代理呼叫通訊控制功能 121(P-CSCF)及質問呼叫通訊控制功能112(I_CSCF)間的 呼叫控制協議。 IMS的驗證關鍵碼及功能在用戶端是被儲存在萬用 整合迴路卡(UICC)上,IMS的驗證關鍵碼及功能邏輯上 是可以被獨立出來且用在PS網域驗證,但這無法杜絕 β 被使用在IMS及PS網域驗證上的一般驗證關鍵碼及功 能。網際網路多媒體服務識別模組l〇3(ISIM)在UICC上 提供IMS防禦資料及功能的收集。 IMS的安全防護有五種不同的防禦聯結及需求,在 圖1中以1,2,3,4及5標示。第一個聯結,1,提供 相互的驗證,HSS將電話用戶驗證的執行交給S-CSCF, 但HSS只負責產生關鍵碼及查問。在isim及HSS上的 長效關鍵碼是被聯結到IMPI上的。此電話用戶將有一 _ 個(内部網路)使用者私人的識別碼(IMPI)及至少一個 外部使用者公共識別碼(IMPU)。第二個聯結,2,在UE 及P-CSCF間提供安全的連結及防禦聯結以保護Gm參 考點。資料來源驗證是提供如證實收到的資料來源是根 據要求的。
第三個聯結,3,提供Cx-介面網路内部安全防紫。 第四個聯結,4,提供不同的網路SIP節點間的安全防 紫,此安全防禦聯結僅可應用在當P-CSCF存在於VN 1295135 P_CSCF存在於HN時,就是5的應用。最後一 夕、、”,5,提供sip節點間的内部網路安全防禦。 八其他IMS存在的介面及參考點並未在上面提及,這 些介面及參考點存在於IMS内、或是相同或不同的安全 網路=,都會被要求UE及HN間的相互驗證。獨立的 I^S安全防禦結構對安全的侵害提供額外的保護,舉例 a之,如果PS網域安全遭到侵害,IMS仍可繼續由其 本身的安全防禦結構保護。 、 如上所述,信任模組的支援仍由現存可信任網路間 的互連協議所保證,每一個SIP代理都包含一個資料 庫,其内有所有可信任網路的名單、及可見憑證中的安 全參數,這些安全參數或許是個授權憑證或只是個普通 的名稱或組織。 在許多實例中,隱私權或許等同於機密。在企業界 除被授權瞭解該資訊者外,這可以是包括隱藏資訊、使 用加密及加密鍵。在IMS網路之SIP隱私條款中並未規 定此項機密。此機制的目的只在提供IMS電話用戶保留 某些識別碼資訊的可能性,在CSCF狀態下IMS網路隱 私機制除創造正常的SIP狀態之外,不創造之狀態是很 有用處的。 根據至少一個實例,當1MS第6版與非IMS網路互 動時,CSCF在IMS網路内係根據互動的防禦機制是否 被運用及内部互動協議之可用性決定信任關係。若此互 動網路不被信任時’該隱私資訊將被移轉至另一個網 10 1295135 路。當=到SIP訊號時,CSCF也會查證是否已含有任 何隱私資訊,若此互動網路不被信任,這些資訊就會被 CSCF移除並用其他的方式保留。 因為缺乏防禦機制,當互動網路指出一個不被信任 的非IMS網路時,個別的CSCF通常需要與IMS或非 IMS的網路連結。此CSCF與屬網路的連結透過咖 建立的防禦間接地信任所有可連結的IMS網路。第5版 的CSCF通常採用此信任關係及網路結構。對第6版的 CSCF而έ,此間接信任關係的建立乃是一種結構性的 選擇,因為一個運作過程是可以依據網路及連繫裝置而 建立的。 圖2依本發明實施例說明如何處理有關隱私權的流 程。在步驟201 ’為有關IMS SIP代理如何發送SIP要 求至另一個sip代理’建立傳輸層防護(TLS)以連結到另 一4固路徑。在步驟203,若在另一個路徑中TLS無法被 支援時,則網路將不被信任,隱私資訊將被移除❶在步 春驟202 ’若TLS有被支援時,在步驟204,IMS SIP代理 將要求另一個SIP代理的認證。當收到此認證時,步驟 205,此IMS SIP代理將評估此認證是否仍具效力及是否 屬於二個可信任的網路。若其屬於可信任網路,則IMs SIP代理將會保留此宣稱的識別碼,否則就會移除。之 後,在步驟206 ’將會透過TLS的連結來發送SIP要求。 另外’若SIP代理經由先前的連結已經擁有來自另一個 網路的認證,那就只需要查證此認證是否仍然有效。 1295135 同樣地,一個IMS SIP代理收到SIP要求時也會遵 循同樣的規則,若此要求不是經由TLS收到時,則傳送 的SIP代理將不被信任。若此要求是透過tlS收到時, 此IMS SIP代理將會要求傳送的SIP代理的認證,之後 並證實其是否在可信任網路的名單中,以決定此傳送的 SIP代理是否為可信任。再者,這同樣可以是透過先前 連結的認證。 此外,任何一個安裝了區域名稱伺服器(DNS)、命 名授權指示器的IMS網路透過使用者數據協議(UDP)、 傳輸控制協議(TCP)、組控制傳輸協議(SCTP)(或其他傳 輸協議)讓SIP服務的TLS取得較高的優先權。如此可 讓IMS網路永遠以TLS為優先的傳輸規則。 •根據第5版網路在多種品牌機器上能有意義溝通的 原則,第6版IMS網路使用反向相容的解決方法。例如, 透過閘道(SGW)的網際網路協議防護(IPsec),此接收 之防禦閘道需要對CSCF的保護埠改變SIP訊息的埠序 ,,以指示接收的CSCF此組序號已被IPsee所保護。 若此為内部互連協議,那麼使用者識別碼將被發送或在 收到時被信任,否則,使用者識別碼將被移除。本發明 的另一個觀點指出如何規定IMS第5版節點及第6 的反向相容性。 1 在第一例中,IMS第5版的SIP代理傳送一個SIp 要求給另一個IMS第6版的節點,此第5版的SIp代理 因認為第6版的網路已被信任並沒有對此宣稱識別碼採 12 1295135 取任何的動作,但第6版的SIP代理會因此要求並非透 過使用TLS而移除此宣稱的識別碼。 根據本發明之實施例,當要求穿越兩個IMS網路間 的内部範圍時,SIP訊息將穿越IMS第5版中的SGW及 之後在第6版中的SGW,此傳輸是由IPSec來保護。在 第6版中的SGW可以重新設定標的之埠序號(第6版網 路的sip代理)至被保護的埠序號,第6版中的SIp代理 配置有兩個埠序號,其中一個為接收自一般傳輸,另一 個則是由防禦途徑所發送(從IMS第5版而來)透過lpsec 管道接收到的。此IPsec管道的存在顯示另一端為一個 IMS網路(第5版所信任)。 在第二例中’IMS第5版的SIP代理收到發送自ΙΜς 第6版網路的SIPS求,因為腿帛5版網路認為一切 都已被信任,那麼IMS第5版的SIp代理將不會對宣稱 的識別碼採取任何的動作。根據IMS第5版指導方針, 此例子的要求需透過防禦閘道,但這並不影響此動作。 在第三例中,IMS第6版的SIP代理發送一個SIp 要求到IMS第5版網路,因為IMS第5版並無支援TLS, 依系統設定,IMS第6版的SIP代理將移除此宣稱之識 別碼。根據本發明之實施例,這個動作就不具意義。若 此已宣稱的識別碼為了某種理由而需被發送,此運作就 ,要一個包含因對方為第5版而無法使用TLS發送的内 部協議。因此,此發送的代理必需指示其自身的網路防 禦閘道應用IPsec ESP,此指令可經由使用專用來源的Ip 13 1295135 網址來執行。 在第四例中,當1廳第6版SIP代理在收到另一個 觀第5版,路的SIP要求時,因為IMS第5版並無支 援TLS ’依系統設定,祕第6版的SIp代理會認為此 要求來自於非可信任的網路,在這個例子中,解決的方 案同第一個例子所討論的。
> SIP訊號受傳輸層防護(TLS)的保護或許可使用在 保護一個外部網路上具有代理/CSCF2IMS CSCF間的 SIP内部運作。CSCF可以要求TLS經由發出”URI在DNS 伺服器’’的指令連線至一個外部代理,此可以透過 NAPTR/SRV的裝置來解決。當TLS起動發送或接收認 證時,CSCF會查證認證的名稱違反互連名單。tls傳 輸可被任何一個網路接受,一個TLS連結可傳輸 SIP對話。 上述已指出本發明特定的實施例,透過其他的各種 的變化及修正將會更加清楚地描述料部份^全部的優 點,因此,以下附加之申請專利範圍將涵蓋所有本發明 其真正的精神與範圍及其各種變化及修飾。 【圖式簡單說明】 圖1為IMS安全架構之内部結構圖。 圖2為本發明實施例之隱私處理流程圖。 【主要元件符號說明】 100 多媒體IP網路 101 網際網路多媒體核心網路子系統 14 1295135 102 使用者設備 103 網際網路多媒體服務識別模組 105 PS網域存取 110 連結/完成服務網路 111 電話用戶伺服器 112 質問呼叫通訊控制功能 113 服務呼叫通訊控制功能 120 用戶端/連結網路 121 代理呼叫通訊控制功能 130傳輸 131 PS網域 ① 提供相互的鑑定 ② 在UE及P-CSCF間提供安全的連結及防禦聯 結以保護Gni參考點 ③ 提供Cx-介面網路内部安全防禦 ④ 提供不同的網路間SIP節點的安全防禦 ⑤ 提供SIP節點間的内部網路安全防禦 201 建立TLS連線 202 TLS是否被支援 203 隱私資訊將被移除 2〇4 要求另一個SIP代理的認證 205 評估此認證 206 透過TLS連線來發送SIP要求 15
Claims (1)
- 1295135 - 第94114163號專利申請案 1 補充、修正後無劃線之說明書修正頁一式三份 十、申請專利範圍: 1·一種使用者識別碼及隱私權處理方法,其中由初 始通亂啟動協議(SIP)代理發送sip要求至另一 jgip代 理,包括以下的步驟: 當TLS被支援時,此方法包括建立一個TLS連線到 另一個SIP代理的路徑、要求另一個SIP代理的認證、 接收認證、查證此認證及此網路的可信度,當認證及可 信度被證實後保留識別碼資訊;否則將此識別碼資訊移 除;隨後,該SIP要求透過TLS連線被傳輸; 決定是否在至另一個SIP代理的路徑上傳輸層防護 (TLS)有被支援; 當TLS被支援時, 建立一個TLS連線至另一個SIP代理的路徑; 要求另一個SIP代理的認證; 接收認證; 查證認證及另一個SIP代理的網路可信任度; 當認證及可信任度被證實後保留識別碼資訊; 當TLS沒有被支援或認證無法被證實、或網路可信 任度無法被確認時, 移除識別碼資訊;及 透過TLS連線發送SIP要求。 2·如申請專利範圍第1項之方法,其中查證認證的 步驟,包括決定是否此認證有效。16 1295135 - 第^4114163號專利申請案 、補充、修正後無劃線之說明書修正頁一式三份 3·如申請專利範圍第1項之方法,其中查證網路可 信任度的步驟,包括決定此網路是否屬於可信任網路。 4·如申請專利範圍第3項之方法,其中決定此網路 是否屬於可信任網路的步驟,包括決定此網路是否在可 信任網路的名單之中。 5·如申請專利範圍第1項之方法,其中另一個sip 代理先前所發送的認證及查證此認證的步驟,包括決定 此認證是否有效。 6·如申請專利範圍第1項之方法,進一步包括維持 可信任及非可信任之SIP代理個別的呼叫通訊控制功能 (CSCFs) 〇 7·如申請專利範圍第1項之方法,進一步包括安裝 區域名稱伺服器(DNS)命名授權指示器(NAPTR)給予 TLS較高之優先權。 8·—種用以決定第一個通訊傳輸協定(sip)代理是否 屬於可信任網路的方法,俾利處理使用者識別碼及隱 私,其中次一個通訊傳輸協定代理(SIP)接收來自該第一 個通訊傳輸協定代理(SIP)之一 SIP要求,該方法^括以 下的步驟: / 17 丨丨/如 1295135 产 ^ 苐941丨4丨63號專利申請案 • 補充、修正後無劃線之說明書修正頁一式三份 從第一個SIP代理接收SIP要求; 決定SIP要求是否經由TLS接收到; 當SIP要求經由TLS接收到時, 要求第一個SIP代理的認證; 接收該認證; 查證該認證及第一個SIP代理的網路可作任产; 當認證及可信任度被證實後保留識別碼^訊^ 當TLS沒有被支援或認證無法被證實、或網路可信 任度無法被確認時, 移除識別碼資訊;及 回應該SIP要求。 9.如申請專利範圍第8項之方法,其中查證認證的 步驟,包括決定該認證是否有效。 10·如申請專利範圍第8項之方法,其中查證網路可 信度的步驟,包括決定該網路是否屬於可信任網路。 11·如申請專利範圍第1〇項之方法,其中決定該網 路是否屬於可信任網路的步驟,包括決定該網路是^在 可信任網路的名單之中。 12·如申請專利範圍第8項之方法,其中第一個Slp 代理先前所發送的認證及查證此認證的步驟,包括決定 18 1295135 _ ' ' 鄉以月π曰修(更)正替換頁 第94114163號專利申請案 _____ • 補充、修正後無劃線之說明書修正頁一式三份 該認證是否有效。 13·如申請專利範圍第8項之方法,其中包括維持可 信任及非可信任之SIP代理個別的呼叫通訊控制功能 (CSCFs)。 14·如申請專利範圍第8項之方法,進一步包括安裝 區域名稱伺服器(DNS)命名授權指示器(NAPTR)給予 TLS較高之優先權。 15.—種通訊裝置,包括: 建立一個傳輸層防護(TLS)以連線至另一個SIP代 理的路徑所用之建立裝置; -決定TLS是否支援連線至另一個SIP代理的路徑 所用之決定裝置; -要求另一個SIP代理認證所用之要求裝置; -接收認證所用之接收裝置; -查證另一個SIP代理的認證及網路可信度所用之 查證裝置;及 -透過TLS連線發送SIP要求所用之發送裝置; 其中該通訊裝置係用來保留當認證、網路可信度被 證實之後,且TLS有被支援時的識別碼資訊,並移 除當TLS不被支援、或認證及網路可信度無法被證實的 識別碼資訊。 19 1295135 ^ a^: ;) vy) 苐94114163號專利申請案 、 補充、修正後無劃線之說明書修正頁一式三份 、 16·如申請專利範圍第15項之通訊裝置,其中查證 . 裝置包括決定認證是否有效的裝置。 ’ 17.如申請專利範圍第15項之通訊裝置,其中查證 裝置包括決定此網路是否屬於可信任網路的裝置。 18. 如申請專利範圍第17項之通訊裝置,其中決定 ® 網路是否屬於可信任網路的裝置包括決定網路是否在可 信任網路名單中的裝置。 19. 如申請專利範圍第15項之通訊裝置,其中另一 個SIP代理先前所發送的認證及查證裝置包括決定先前 的認證是否有效的裝置。 20. 如申請專利範圍第15項之通訊裝置,進一步包 括維持可信任及非可信任之SIP代理之個別呼叫通訊控 • 制功能(CSCFs)的裝置。 21. 如申請專利範圍第15項之通訊裝置,進一步包 括安裝區域名稱伺服器(DNS)命名授權指示器(NAPTR) 〜 供授與TLS較高之優先權的裝置。 22. —種通訊系統,包括: 20 1295135 第94114163號專利申請案 補充、修正後無劃線之說明書修正頁一式三份 -傳輸層防濩(TLS)連結器,用以建立傳輸層防護連 線至另^~個SIP代理路徑; 另:二2防護(TLS)支援分析器,用“決定在連線至 另-個仰代理路徑時TLS是否被支援; ㈣二核組,用以要求另一個SIP代理的認證、接 收W扭及查證此認證和網路可信度;及 -SIP要求操作裝置,用以透過TLS連結發送⑽ 實後ί 於#認證、網路可信度被確 πΐ4用來保留識別碼資訊,並在當 移除U馬資Γ。認證、纟叫可信度無法被證實時用來 證模組係用申來〜===2有:之通訊系統’其㈣認 關另2-22項之通訊线,其中當有 n里先别發送認證時,該認證模組係用來 21 1295135 m 1方‘丨 / j \ y :,1 •、 第' 94114163號專利申請案 _ Α 補充、修正後無劃線之說明書修正頁一式三份 決定該先前的認證是否有效。 27· —種附載於電腦可讀取媒體上的電腦程式產 品,其係用來處理使用者識別碼及隱私權,當初始的通 訊傳輸協議(SIP)代理發送SIP要求至另一個SIP代理 時,電腦程式可控制數據處理裝置執行以下的步驟: 決定當連線至另一個SIP代理路徑時傳輸層防護 (TLS)是否被支援; 口 當TLS有被支援時, 建立一個TLS連線至另一個SIP代理的路徑; 要求另一個SIP代理的認證; 接收認證; 查證認證及另一個SIP代理的網路可信任度; 當認證及可信任度被證實後保留識別碼資訊; s TLS丨又有被支援或适證無法被證實、或網路 任度無法被確認時, σ 移除識別碼資訊;及 透過TLS連線發送SIP要求。 二28.如申請專利範圍第27項之電腦程式產品,复 該查證認證的步驟,包括決定認證是否仍然有效/、 如中請專利範圍第27項之電腦程式產品, 該查证網路可信度的步驟,包括決定此網路是否屬於可 22 1295135 、第“114163號專利申請案 似' "^ 補充、修正後無劃線之說明/書修正頁一式三份 信任網路。 30·如申請專利範圍第29項之電腦程式產品,其中 該決定此網路是否屬於可信任網路的步驟,包括決定此 網路是否在可信任網路的名單之中。 31·如申請專利範圍第27項之電腦程式產品,其中 另一個SIP代理先前所發送的認證及查證此認證的步 驟,包括決定此認證是否仍然有效。 32· —種附載於電腦可讀取媒體上的電腦程式產 品,係用來處理使用者識別碼及隱私權時決定是否第一 個sip代理屬於可信任網路,當另一個通訊傳輸協議(sip) 代理收到來自第一個SIP代理的SIP要求時,電腦程式 會控制數據處理裝置以執行以下步驟: 從第一個SIP代理收到SIP的要求; 決定SIP要求是否經由TLS收到; 當SIP要求經由TLS收到時, 要求第一個SIP代理的認證; 接收認證; 查證認證及第一個SIP代理的網路可作任产· 當認證及可信任度被證實後保留識別碼資二; 當TLS沒有被支援、認證無法被證實、網路 任度無法被確認時, 23 P95135 J ί 1V , * 第94114163號專利申請案 η .. 補充、修正後無劃線之說明書修正頁一式三份 移除識別碼資訊;及 回應此SIP要求。 33. 如申請專利範圍第32項之電腦程式產品,其中 該查證認證的步驟,包括決定認證是否仍然有效。 34. 如申請專利範圍第32項之電腦程式產品,其中 該查證網路可信度的步驟,包括決定此網路是否屬於可 信任網路。 35. 如申請專利範圍第34項之電腦程式產品,其中 該決定此網路是否屬於可信任網路的步驟,包括決定此 網路是否在可信任網路的名單之中。 36. 如申請專利範圍第32 *之電腦程式產品,其中 第一個SIP代理主機先前所梦送的認證及查證此認證的 步驟,包括決定此認證是否有效。 24 1295135 七、指定代表圖: (一) 本案指定代表圖為:第(2 )圖。 (二) 本代表圖之元件符號簡單說明: 201 建立TLS連線 202 TLS是否被支援 203 隱私資訊將被移除 204 要求另一個SIP代理的認證 205 評估此認證 206 透過TLS連線來發送SIP要求 八、本案若有化學式時,請揭示最能顯示發明特徵的化學式:
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US56776004P | 2004-05-03 | 2004-05-03 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200620949A TW200620949A (en) | 2006-06-16 |
TWI295135B true TWI295135B (en) | 2008-03-21 |
Family
ID=35242008
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW094114163A TWI295135B (en) | 2004-05-03 | 2005-05-03 | Communication device and method for handling user identity and privacy |
Country Status (8)
Country | Link |
---|---|
US (1) | US8045540B2 (zh) |
EP (1) | EP1743449B1 (zh) |
JP (2) | JP4806400B2 (zh) |
KR (1) | KR100884314B1 (zh) |
CN (1) | CN1951061A (zh) |
PL (1) | PL1743449T3 (zh) |
TW (1) | TWI295135B (zh) |
WO (1) | WO2005107145A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8468366B2 (en) | 2008-03-24 | 2013-06-18 | Qualcomm Incorporated | Method for securely storing a programmable identifier in a communication station |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060230278A1 (en) * | 2005-03-30 | 2006-10-12 | Morris Robert P | Methods,systems, and computer program products for determining a trust indication associated with access to a communication network |
US20060230279A1 (en) * | 2005-03-30 | 2006-10-12 | Morris Robert P | Methods, systems, and computer program products for establishing trusted access to a communication network |
US20060268851A1 (en) * | 2005-05-10 | 2006-11-30 | International Business Machines Corporation | Method and apparatus for address resolution protocol persistent in a network data processing system |
US20060265737A1 (en) * | 2005-05-23 | 2006-11-23 | Morris Robert P | Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location |
WO2007026914A1 (en) * | 2005-08-31 | 2007-03-08 | Telefonaktiebolaget Lm Ericsson (Publ) | An ims node, an information node, a user node, an access control system, a method for mediating between a user node and an information node, a method for communicating with an ims node |
US8595814B2 (en) * | 2005-12-13 | 2013-11-26 | Google Inc. | TLS encryption in a managed e-mail service environment |
US8520664B2 (en) * | 2005-12-22 | 2013-08-27 | Tim Italia S.P.A. | Multi-vendor IMS architecture |
US20070186101A1 (en) * | 2006-02-06 | 2007-08-09 | Nokia Corporation | Trust concept for the SIP reason header |
US9419955B2 (en) * | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
ATE437518T1 (de) * | 2006-05-02 | 2009-08-15 | Research In Motion Ltd | Vorrichtungen und verfahren zum generieren und übermitteln eines anonymen kennzeichners zur wegelenkung, um die vertraulichkeit der identität eines sip user agents sicherzustellen |
CN101242426B (zh) * | 2007-02-06 | 2010-12-08 | 华为技术有限公司 | 建立传输层安全连接的方法、系统及装置 |
US8725874B2 (en) * | 2007-09-27 | 2014-05-13 | International Business Machines Corporation | Dynamic determination of an ideal client-server for a collaborative application network |
US20090126001A1 (en) * | 2007-11-08 | 2009-05-14 | Microsoft Corporation | Techniques to manage security certificates |
EP2068565A1 (fr) * | 2007-12-07 | 2009-06-10 | Gemplus | Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée |
JP4966432B2 (ja) * | 2008-04-11 | 2012-07-04 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 非3gppアクセスネットワーク経由のアクセス |
JP5313395B2 (ja) | 2009-04-13 | 2013-10-09 | リサーチ イン モーション リミテッド | Sipメッセージに対する信用を決定するシステムおよび方法 |
US9590990B2 (en) * | 2009-05-11 | 2017-03-07 | International Business Machines Corporation | Assigning user requests of different types or protocols to a user by trust association interceptors |
TW201138494A (en) * | 2009-10-23 | 2011-11-01 | Interdigital Patent Holdings | Protection against unsolicited communication |
TWI548259B (zh) * | 2009-12-22 | 2016-09-01 | 群邁通訊股份有限公司 | 隱私通話系統及方法 |
CN103262494B (zh) * | 2010-04-15 | 2016-07-06 | 谷歌技术控股有限责任公司 | 对基于白名单的在线安全设备供应框架的跨域身份管理的方法和系统 |
CN102006294B (zh) * | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
US20130121322A1 (en) * | 2011-11-10 | 2013-05-16 | Motorola Mobility, Inc. | Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communicatin system |
US9686284B2 (en) * | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
US9992183B2 (en) | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
CN206310556U (zh) * | 2016-12-15 | 2017-07-07 | 广东美的厨房电器制造有限公司 | 转盘组件及烹饪装置 |
US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
CN110311921B (zh) * | 2019-07-11 | 2022-02-25 | 南方电网科学研究院有限责任公司 | 一种配电终端加解密方法、系统、设备及计算机存储介质 |
CN110958226A (zh) * | 2019-11-14 | 2020-04-03 | 广州江南科友科技股份有限公司 | 一种基于tls的密码设备访问控制方法 |
US12095754B2 (en) * | 2022-04-20 | 2024-09-17 | Bank Of America Corporation | System and method for establishing a secure session to authenticate DNS requests via dynamically configurable trusted network interface controllers |
CN117581508A (zh) * | 2022-05-13 | 2024-02-20 | 北京小米移动软件有限公司 | 认证方法、装置、通信设备及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1524815B1 (en) * | 2000-08-25 | 2009-09-23 | Research In Motion Limited | System and method for implementing an enhanced transport layer security protocol |
US6865681B2 (en) * | 2000-12-29 | 2005-03-08 | Nokia Mobile Phones Ltd. | VoIP terminal security module, SIP stack with security manager, system and security methods |
US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
GB0216000D0 (en) * | 2002-07-10 | 2002-08-21 | Nokia Corp | A method for setting up a security association |
-
2005
- 2005-04-29 PL PL05740449T patent/PL1743449T3/pl unknown
- 2005-04-29 CN CNA2005800141314A patent/CN1951061A/zh active Pending
- 2005-04-29 WO PCT/IB2005/001168 patent/WO2005107145A1/en active Application Filing
- 2005-04-29 JP JP2007512547A patent/JP4806400B2/ja active Active
- 2005-04-29 KR KR1020067025272A patent/KR100884314B1/ko active IP Right Grant
- 2005-04-29 EP EP05740449.3A patent/EP1743449B1/en active Active
- 2005-05-03 US US11/120,206 patent/US8045540B2/en active Active
- 2005-05-03 TW TW094114163A patent/TWI295135B/zh active
-
2009
- 2009-11-24 JP JP2009266008A patent/JP2010081636A/ja not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8468366B2 (en) | 2008-03-24 | 2013-06-18 | Qualcomm Incorporated | Method for securely storing a programmable identifier in a communication station |
Also Published As
Publication number | Publication date |
---|---|
JP2007538426A (ja) | 2007-12-27 |
US8045540B2 (en) | 2011-10-25 |
KR20070006933A (ko) | 2007-01-11 |
EP1743449A1 (en) | 2007-01-17 |
KR100884314B1 (ko) | 2009-02-18 |
WO2005107145A1 (en) | 2005-11-10 |
EP1743449B1 (en) | 2013-08-14 |
US20050249219A1 (en) | 2005-11-10 |
CN1951061A (zh) | 2007-04-18 |
PL1743449T3 (pl) | 2013-12-31 |
JP4806400B2 (ja) | 2011-11-02 |
JP2010081636A (ja) | 2010-04-08 |
TW200620949A (en) | 2006-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI295135B (en) | Communication device and method for handling user identity and privacy | |
US8472388B2 (en) | Gateway apparatus, authentication server, control method thereof and computer program | |
JP2007538426A5 (zh) | ||
WO2007009343A1 (fr) | Systeme d'autorisation d'acces d'un reseau de communication et son procede | |
WO2011079522A1 (zh) | 一种认证方法、系统和装置 | |
JP6330916B2 (ja) | webRTCのためのシステム及び方法 | |
JP2007528650A (ja) | エンティティの第1のidおよび第2のidの検証方法 | |
EP2979420B1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
WO2007131415A1 (fr) | Système et procédé de gestion d'un réseau domestique | |
US8713634B2 (en) | Systems, methods and computer program products supporting provision of web services using IMS | |
CN101156416A (zh) | 用于提高通信系统中的安全的措施 | |
US9032487B2 (en) | Method and system for providing service access to a user | |
WO2013040957A1 (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
JP4472566B2 (ja) | 通信システム、及び呼制御方法 | |
US20120106399A1 (en) | Identity management system | |
JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
WO2012126299A1 (zh) | 组合认证系统及认证方法 | |
WO2011063562A1 (zh) | 用户拨号认证方法、系统和设备 | |
JP2005229435A (ja) | リゾルバをアプリケーションとは別に備えた端末及びリゾルバプログラム | |
WO2008037196A1 (fr) | Procédé, système et dispositif d'authentification dans un ims | |
WO2009127163A1 (zh) | 用户属性查询的方法、提供服务的方法及设备 | |
GB2420055A (en) | Secure network service access |