CN100571461C - 通信系统 - Google Patents
通信系统 Download PDFInfo
- Publication number
- CN100571461C CN100571461C CNB2004800003856A CN200480000385A CN100571461C CN 100571461 C CN100571461 C CN 100571461C CN B2004800003856 A CNB2004800003856 A CN B2004800003856A CN 200480000385 A CN200480000385 A CN 200480000385A CN 100571461 C CN100571461 C CN 100571461C
- Authority
- CN
- China
- Prior art keywords
- message
- network
- safety verification
- equipment
- described message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 title claims description 18
- 238000012795 verification Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims description 34
- 238000012545 processing Methods 0.000 abstract description 11
- 238000012937 correction Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 10
- 238000007689 inspection Methods 0.000 description 9
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
Abstract
在电信网中使用的安全服务器被安排来接收消息;确定消息是来自已知源还是来自未知源,和根据确定的结果修正消息;以及在电信网内转发消息。在电信网中使用的网络处理单元被安排来接收来自另一个网络单元的消息;确定消息是否被修正,和根据决定的结果,对于消息执行一个或多个安全检验。
Description
技术领域
本发明涉及在电信网中使用的安全服务器、网络处理单元、电信网和对于进入电信网的消息执行安全检验的方法。
背景技术
已知提供了无线电信网,通过无线电信网,移动设备的两个用户可以进行通信,或借助于把信号从无线网传送到地面线路,移动用户可以与固定位置用户通信。一个已知类型的无线通信网是当前正在全世界投入使用的第三代合作项目(3GPP)系统。这个网络被称为通用移动电信系统(UMTS),它比起以前的无线网标准的优点在于,除了在电路交换(核心)网(CS-CN)上的话音传送以外,它还允许使用分组交换(核心)网(PS-CN)的数据传送的快得多的速率。PS-CN可连接到互联网以及CS-CN可连接到公用交换电话网(PSTN)和综合数字业务网(ISDN)。
实际上,CS-CN功能是经由PS-CN中的被称为IP多媒体子系统(IMS)的子系统达到的。IMS可连接到诸如互联网那样的、基于IP的网络以提供诸如通过IP的话音的业务。在诸如移动电话的用户设备与IMS之间和在IMS的部件之间使用的信令协议是会话发起协议(SIP)。这个协议具有用户登记(例如,定位和通信能力)、寻址和路由能力。
在IMS网络内的一个重要的部件组是呼叫会话控制功能(CSCF)。这些功能执行服务器业务在于,它们处理信号和控制无线用户的会话,以及执行地址变换功能和操控用户资料。如果用户处在原籍网络中,则网络经由服务的CSCF(S-CSCF)被接入,以及这个服务器为用户提供会话控制和其他业务。如果用户正在漫游,则在漫游位置的局域网经由代理人-CSCF(P-CSCF)被接入,它为用户提供本地控制和业务,以及与用户的S-CSCF联系。S-CSCF和如果必要,PCSCF也执行收费功能。通常在IMS网络内有多个S-CSCF。
另一种类型的CSCF是询问CSCF(I-CSCF)。I-CSCF是在原籍网络内由访问的用户接入的第一接触点。它被安排来与原籍用户服务器(HSS)通信,HSS保持用户记帐信息和用户位置信息。I-CSCF被建立来通过使用由HSS提供的信息执行在S-CSCF内的负载平衡。由于它为来自其他网络的用户提供网络的单个进入点,它常常被用作为防止其他网络的运营商知道IMS网络的具体的结构的手段。
上述的这种类型的网络引起的问题在于,从外面到达I-CSCF的消息不一定来自可靠的源。由于I-CSCF结合HSS一起工作,确定进入的消息是否来自被识别为具有被保存在HSS中的细节或谁是与IMS网络有漫游协议的另一个网络的用户是件简单的事情。如果消息不是来自这样的用户,则到网络的接入可被限制,例如通过不提供需要由用户付费的任何业务,除非事先已付费。然而,对于明显地由在HSS中列出的网络用户发起的消息引起具体的问题。
当用户试图从网络外面接入网络时,包括请求的用户的识别号的消息被发送到网络。这个识别号由I-CSCF结合如上所述的HSS被检验。许多用户识别号是公开已知的,这样,未许可的用户在进行接入网络的请求时可采用公开已知的识别号。如果这个公开已知的识别号属于网络用户,则即使确定该识别号的用户是网络用户,该接入事实上也不是由该用户请求的。因此,未许可的用户获得接入到网络,而且获得接入到其识别号正在被采用的用户的帐户。这样的未许可的用户因此使用用户的帐户以及支付很大的帐单而或许用户直至接收到用户的下一个月帐单之前一直不知道这一点。
以类似的方式,未许可的用户可使用根据在两个网络之间的协议被许可使用该网络的另一个网络的用户的识别号。
希望提供一种电信网,其中使得使用公开已知的用户识别号的未许可的接入的可能性最小化。
发明内容
根据本发明的第一方面,提供了一种在通信网络中对消息执行安全检验的设备,包括:用于通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息没有通过安全检验的装置;用于修正所述消息以便指示所述消息还没有通过安全检验的装置;以及用于在所述第一网络内转发所述消息的装置。
根据本发明的第二方面,提供了一种在通信网络中对消息执行安全检验的设备,包括:用于通过确定在第一网络接收的消息没有在第一层通过安全装置被接收,来判定所述消息还没有通过安全检验的装置;用于修正所述消息以便包括指示所述消息还没有通过安全检验的第二层指示的装置,其中所述第二层是比所述第一层更高的层;以及用于在所述第一网络内转发所述消息的装置。
根据本发明的第三方面,提供了一种在通信网络中对消息执行安全检验的设备,包括:用于通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息还没有通过安全检验的装置;以及用于以指示所述消息还没有通过安全检验的方式在所述第一网络内转发所述消息的装置。
根据本发明的第四方面,提供了一种在通信网络中对消息执行安全检验的方法,包括:通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息没有通过安全检验,修正所述消息以便指示所述消息还没有通过安全检验;以及在所述第一网络内转发所述消息。
根据本发明的第五方面,提供了一种在通信网络中对消息执行安全检验的方法,包括:通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息还没有通过安全检验;以及以指示所述消息还没有通过安全检验的方式在所述第一网络内转发所述消息。
根据本发明的第六方面,提供了一种在通信网络中对消息执行安全检验的方法,包括:通过确定在第一网络接收的消息没有在第一层通过安全装置被接收,来判定所述消息还没有通过安全检验;修正所述消息以便包括指示所述消息还没有通过安全检验的第二层指示,其中所述第二层是比所述第一层更高的层;以及在所述第一网络内转发所述消息。
按照本发明,提供了在电信网中使用的安全服务器,被安排来:接收消息;确定消息是来自已知源还是来自未知源,和根据决定的结果,修正消息;以及在电信网内转发消息。
按照本发明,提供了在电信网中使用的网络处理单元,被安排来:接收来自另一个网络单元的消息;确定消息是否被修正,和根据决定的结果,对于消息执行一个或多个安全检验。
按照本发明,提供了包括安全服务器和网络处理单元的电信网,其中安全服务器被安排来:接收消息;确定消息是来自已知源还是来自未知源,和根据决定的结果,修正消息;以及把消息转发到网络处理单元。
按照本发明,提供了在电信网中对消息执行安全检验的方法,包括以下步骤:接收消息;确定消息是来自已知源还是来自未知源,和提供决定的结果,修正消息;以及在电信网内转发消息。
按照本发明,提供了在电信网中使用的安全服务器,被安排来:接收消息;确定消息是来自已知源还是来自未知源,和以取决于决定的结果的方式在通信网内转发消息。
按照本发明,提供了包括安全服务器和网络处理单元的电信网,其中安全服务器被安排来:接收消息;确定消息是来自已知源还是来自未知源,和以取决于决定的结果的方式把消息转发到网络处理单元。
按照本发明,提供了在电信网中对消息执行安全检验的方法,包括以下步骤:接收消息;确定消息是来自已知源还是来自未知源,和以取决于决定的结果的方式在通信网内转发消息。
按照本发明,提供了在电信网中使用的安全服务器,被安排来:接收消息;和确定消息是来自已知源还是来自未知源,和根据决定的结果,确定对于消息以后要采取的行动。
按照本发明,提供了在电信网中对消息执行安全检验的方法,包括以下步骤:接收消息;和确定消息是来自已知源还是来自未知源,以及根据决定的结果,确定对于消息以后要采取的行动。
附图说明
现在参照附图,仅仅作为例子,描述本发明的实施例,其中:
图1示意地显示IMS网络和从网络外面接入到该网络;
图2a和2b显示按照本发明的第一实施例的流程图;
图3a和3b显示按照本发明的第二实施例的流程图;
图4a和4b显示按照本发明的第三实施例的流程图;
图5显示包括Za和Zb接口的两个安全域。
具体实施方式
在描述本发明的实施例之前,首先说明分别在网络之间和在网络内可存在的Za和Zb接口。这个说明取自3GPP TS 33/210 V6.0.0(2002-12)技术说明书,发布6。这个技术说明书覆盖技术说明书小组业务和系统方面;3G安全性;网络域安全性和IP网络层安全性。图5显示两个安全域以及在这些域的实体之间的Za与Zb接口。
这些接口是为了保护原来的基于IP的协议而被规定的:
Za接口(SEG-SEG)
Za接口覆盖在安全域之间的所有的NDS/IP(网络域安全性/互联网协议)业务。SEG(安全性网关)使用IKE(互联网密钥交换),以便协商、建立和保持在它们之间的安全的ESP(密封安全净负荷)通道。服从于漫游协定,SEG间通道通常在所有的时间是可提供的,但它们也可按需要被建立。ESP将被使用于加密和鉴权/整体性,但仅仅鉴权/整体性模式是允许的。通道以后被使用于在安全域A与安全域B之间转发NDS/IP业务。
一个SEG可被专用于仅仅服务于所有的漫游伙伴的某个子组。这将限制需要保持的SA和通道的数目。
遵从这个技术规范的所有的安全域将操作Za接口。
Zb接口(NE-SEG/NE-NE)
Zb接口位于SEG与NE之间和在同一个安全域内的NE之间。Zb接口对于实施是任选的。如果被实施,它将实施ESP+IKE。
在Zb接口上,ESP总是被使用于鉴权/整体性保护。加密的使用是任选的。ESP安全联系将被使用于需要安全保护的所有的控制面。
是否在需要时或事先建立安全联系,是由安全域运营商决定的。安全联系以后被使用于在NE之间交换NDS/IP业务。
在Za接口上建立的安全政策服从于漫游协定。这与在Zb接口上强制的安全政策不同,后者是由安全域运营商单方面决定的。
首先参照图1,图上显示UMTS系统的IMS网络1。在IMS网络1内,有I-CSCF 2,被连接到每个PCSCF 4、S-CSCF 6和HSS 8。HSS 8和S-CSCF 6也互相连接在一起。实际上,有一个以上的S-CSCF,但为了方便起见只显示一个。这些部件都配备有用于执行各种功能的适当的软件,以及可以提供适当的编程对于网络的具体的需要被建立。某些功能可以是基于硬件的。
在每个连接之间,显示了由虚线椭圆表示的Zb接口10。这个接口被显示为虚线是因为它是任选的。这是因为网络提供商在他们的网络内不想要使用Zb接口。
Zb接口在被提供时是在IMS网络1内每对连接的实体之间存在的安全接口。Zb接口仅仅出现IMS网络内,因为它只应用于在同一个安全域内的实体,即,IMS网络1。Zb接口的目的是为在IMS网络内发送的消息提供安全性。由于IMS网络1是在UMTS网络内,安全协议由密封安全净负荷(ESP)协议提供。这个协议提供对于在网络内行进的消息的数据整体性的检验和数据起源真实性检验。Zb接口也利用使用互联网密钥交换(IKE)协议的保密密钥。
由于Zb接口的存在,接收来自IMS网络1内另一个实体的消息的在IMS网络1内的任何实体知道该消息是否通过Zb接口到来的(因此被安全检查)。
从图1可以看到,I-CSCF 2是从网络外部发起的消息到IMS网络的进入点。I-CSCF 2被连接的网络外部的安全网关(SEG)12,通过它消息可以经由安全检验的路径进入IMS网络。这个路径包括Za接口14,用实线椭圆表示。Za接口工作时类似于Zb接口,但在当前的UMTS网络技术说明书中是强制的。SEG 12提供在IMS网络1与Za接口14之间的网关功能。经由Za接口通过SEG 12的任何消息由I-CSCF 2获知是已被安全检验的。
在图1上也显示第二网络16,以及它被显示为具有它自己的SEG18。网络16是与IMS网络1具有漫游协定的网络。因此,在网络16与IMS网络1之间的任何业务是通过Za接口发送的,这样,接收的网络知道这样接收的消息已被安全检验和是来自许可的和鉴权的用户的。具有移动电话20和作为IMS网络1的用户的漫游的用户被显示为在用于接入网络16的适当的位置。
在图1上也显示第二移动电话22。这个移动电话22试图直接接入IMS网络1,即,不通过诸如网络16的另一个网络。
应当看到,网络的相对大小和它们的相对位置以及移动电话的位置仅仅作为例子显示在图1上。实际上,IMS网络1具有Za接口与多个网络的连接,但为了方便起见只显示了一个网络16。而且,本发明可应用于不同于UMTS的其他类型的网络。
在运行时,具有移动电话20的用户可以藉助于漫游协定接入网络16。移动电话20当它漫游到由网络16覆盖的区域,将请求越区切换到网络16,以及将以技术上已知的方式被提供以连接。在被提供以连接之前,将执行特许和鉴权过程。这个过程包括基于口令的检验或某些其他适当的验证,关于用户的个人实际上是用户而不是使用它们的身份的其他什么人。如果特许和鉴权是成功的,则建立安全信道供使用,因此,如果移动电话20的用户然后希望使用他的原籍网络业务,则任何请求通过Za接口作为SIP消息被发送,这样,IMS网络1知道,它们是原来的请求。
这样的消息包含识别发送者的报头,被称为P宣称的身份报头。如果发送者是具有公开已知的用户识别号的用户,则这个报头的格式是;
<sip:userl_publicl@homel.net>
如果移动电话22把请求直接发送到IMS网络1,I-CSCF 2知道该请求不是通过Za接口发来的,以及因此该请求还没有进行安全检验。这样的系统的P宣称身份的报头不能相信为原来的,因为假冒用户可能采用另一个用户的公开识别号。在现有技术的系统中,这样的消息无论如何直接传送到S-CSCF 6用于处理,以及S-CSCF不知道该消息是潜在地有问题的。在具有Zb接口的现有技术系统中,这样的消息通过Zb接口被传送,这样,再次地,S-CSCF将进行处理它,因此,如果移动电话22的用户实际上只要使用IMS网络1的用户的识别号,则该用户就被允许接入用户的帐户。
本发明的以下实施例描述对于这个问题的解决方案。
在本发明的第一实施例中,Zb接口不使用于IMS网络1内,这样,这不能被用作为消息的安全检查的装置.
第一实施例由图2a和2b上的步骤代表。首先转到图2a,在过程30开始时,在I-CSCF处接收SIP消息。这个消息或者通过Za接口或者直接从网络外部被接收.在步骤32,I-CSCF 2确定这两个替换例中哪个替换例是这种情形。
如果回答是没有(即,消息不是经由Za接口接收的),则I-CSCF进到步骤34,在步骤34,对于消息的P宣称身份的报头作出修正。在这个实施例中,在报头上加上一个参数,表示该请求没有通过安全检查。以上显示的示例性报头所以被修正为具有以下格式:
<sip:userl_publicl@homel.net>;screening=no
I-CSCF然后进到步骤36,其中具有修正的报头的消息被转发到S-CSCF 6。
如果步骤32的回答是“是”,则该消息是经由Za接口到来的,以及I-CSCF直接进到步骤36,并把消息转发到S-CSCF 6,而不用对消息作任何修正。
在步骤38,承载它的真实性表示的消息到达S-CSCF。换句话说,如果消息以正常的P宣称身份的报头到达,则S-CSCF 6知道,它已通过安全检查。如果消息以修正的P宣称身份的报头到达,则S-CSCF6知道,它没有通过安全检查。
S-CSCF 6的以后的功能被表示在图2b。在步骤40,S-CSCF 6读出消息。在步骤42,确定消息的P宣称身份的报头是否包括由I-CSCF 2加上的参数。如果回答是否定的,则S-CSCF 6进到步骤44,在其中处理消息。如果回答是“是”,则S-CSCF 6进到步骤46,在其中它对于消息执行安全检验,诸如特许和鉴权检验。如果这些检验表明消息是来自真正的用户,则消息以后按为正常处理。如果消息原来不是来自真正的用户,则S-CSCF可决定不按正常处理该消息,而是只部分地处理它,例如不允许使用必须付费的业务。S-CSCF可决定完全不处理该消息。因此,避免非法接入到具有在消息中载送的P宣称身份的用户的帐户。
在本发明的第二实施例中,Zb接口再次不使用于IMS网络1内,这样,这再次不能被用作为消息的安全检查的装置。
第二实施例由图3a和3b上的步骤代表。首先转到图3a,在过程50开始时,在I-CSCF处接收SIP消息。这个消息或者通过Za接口或者直接从网络外部被接收。在步骤52,I-CSCF 2确定这两个替换例中哪个替换例是这种情形。
如果回答是没有(即,消息不是经由Za接口接收的),则I-CSCF进到步骤54,在其中它检验查看是否存在P宣称身份的报头以及如果是的话,对于消息的P宣称身份的报头作出修正。在这个实施例中,P宣称身份的报头被去除,以表示该请求没有通过安全检查。有可能只去除报头的一部分,如果想要的话。
I-CSCF然后进到步骤56,其中不带有报头的消息被转发到S-CSCF 6。
如果步骤52的回答是“是”,则该消息是经由Za接口到来的,以及I-CSCF直接进到步骤56,并把消息转发到S-CSCF 6,而不用对消息作任何修正。
在步骤58,承载它的真实性表示的消息到达S-CSCF。换句话说,如果消息以正常的P宣称身份的报头到达,则S-CSCF 6知道,它已通过安全检查。如果消息以修正的P宣称身份的报头到达,则S-CSCF6知道,它没有可靠的发起者。
S-CSCF 6的以后的功能被表示在图3b。在步骤60,S-CSCF 6读出消息。在步骤62,确定消息的P宣称身份的报头是否被I-CSCF 2去除。如果回答是否定的,则S-CSCF 6进到步骤64,在其中处理消息。如果回答是“是”,则S-CSCF 6进到步骤66,在其中它对于消息执行安全检验,诸如特许和鉴权检验。如果这些检验表明消息是来自真正的用户,则消息以后按为正常处理.如果消息原来不是来自真正的用户,则S-CSCF可决定不按正常处理该消息,而是只部分地处理它,例如不允许使用必须付费的业务。S-CSCF可决定完全不处理该消息。因此,避免非法接入到具有在消息中载送的P宣称身份的用户的帐户。
在本发明的第三实施例中,Zb接口被使用于IMS网络1内,以及可被使用于安全检查的目的,
第三实施例由图4a和4b上的步骤代表。首先转到图4a,在过程70开始时,在I-CSCF处接收SIP消息。这个消息或者通过Za接口或者直接从网络外部被接收。在步骤72,I-CSCF 2确定这两个替换例中哪个替换例是这种情形。步骤72的回答确定消息被转发到S-CSCF6的方式。
如果回答是“否”(即,消息不是经由Za接口接收的),则I-CSCF进到步骤74,在其中消息被转发到S-CSCF 6。该消息是直接被转发的,即,不通过Zb接口。
如果对步骤72的回答是“是”,则该消息是经由Za接口到来的,以及I-CSCF直接进到步骤76,并把消息通过Zb接口转发到S-CSCF6。Zb接口可以对于消息进行进一步的内部安全检验,即使它已被作为该消息的发出者的网络16检验。
在步骤78,消息以表示它的真实性的方式到达S-CSCF。换句话说,如果消息通过Zb接口到达,则S-CSCF 6知道,它已通过安全检验。如果消息直接到达,即,没有通过Zb接口到达,则S-CSCF 6知道,它没有通过安全检验。
S-CSCF 6的以后的功能被表示在图4b。在步骤80,S-CSCF 6读出消息。在步骤82,确定消息是否由I-CSCF 2通过Zb接口被发送。如果回答是“是”,则S-CSCF 6进到步骤84,在其中处理消息。如果回答是“否”,则S-CSCF 6进到步骤86,在其中它对于消息执行安全检验,诸如特许和鉴权检验。如果这些检验表明消息是来自真正的用户,则消息以后被处理。如果消息原来不是来自真正的用户,则S-CSCF可决定不按正常处理该消息,而是只部分地处理它,例如不允许使用必须付费的业务。S-CSCF可决定完全不处理该消息。因此,避免非法接入到具有在消息中载送的P宣称身份的用户的帐户。
因此,可以看到,本发明提供可以单独地或组合地使用的、时于假冒用户试图通过使用IMS网络1的真正的用户的公开已知的识别号接入IMS网络1的问题的几个解决方案。如果移动电话20的用户是网络16的用户和籍助于漫游协定原来允许他使用IMS网络1,本发明的实施例同样行得通。换句话说,本发明提供区分正在使用公开地可提供的识别号的真正的用户与非真正的用户的方法。
本发明不限于以上描述的具体的网络部件,也不限于SIP协议。移动电话11可能实际上没有试图直接接入IMS网络1,而是可能经由其他电信实体接入IMS网络1。可以设想属于本发明的范围的其他实施例,例如,不必修正非保密的SIP消息的报头,但消息的不同的部分可被修正.非保密消息可以以不同于添加参数的某些其他方式被加标记。虽然可能有些不方便,但有可能修正通过Za接口到来的消息,而不是未通过Za接口来的消息。
本发明也可应用于具有已由假冒用户采用的、不同于P宣称身份的报头的报头的消息。所以,本发明的实施例可以引入这样的不同类型的报头的修正,或这样的报头的删除或部分删除。
Claims (31)
1.一种在通信网络中对消息执行安全检验的设备,包括:
用于通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息没有通过安全检验的装置;
用于修正所述消息以便指示所述消息还没有通过安全检验的装置;以及
用于在所述第一网络内转发所述消息的装置。
2.一种在通信网络中对消息执行安全检验的设备,包括:
用于通过确定在第一网络接收的消息没有在第一层通过安全装置被接收,来判定所述消息还没有通过安全检验的装置;
用于修正所述消息以便包括指示所述消息还没有通过安全检验的第二层指示的装置,其中所述第二层是比所述第一层更高的层;以及
用于在所述第一网络内转发所述消息的装置。
3.按照权利要求1或2的设备,包括:用于通过把表示所述消息还没有通过安全检验的参数加到所述消息中来修正所述消息以便指示所述消息还没有通过安全检验的装置。
4.按照权利要求3的设备,其中所述消息包括身份报头,并且所述设备包括用于把所述参数加到所述消息的身份报头中的装置。
5.按照权利要求4的设备,其中所述消息包括SIP消息。
6.按照权利要求4的设备,其中所述身份报头包括P宣称身份。
7.按照权利要求1或2的设备,其中所述消息包括身份报头,并且其中所述设备进一步包括:用于通过去除所述身份报头的至少一部分来修正所述消息以便指示所述消息还没有通过安全检验的装置。
8.按照权利要求7的设备,进一步包括:用于检测所述身份报头是否为特定的类型的以及如果是的话则去除所述报头的至少一部分的装置。
9.按照权利要求7的设备,其中所述消息包括SIP消息。
10.按照权利要求8的设备,包括用于检测所述身份报头是否包括P宣称身份类型的装置。
11.按照权利要求1或2的设备,其中所述设备包括询问呼叫会话控制功能。
12.一种在通信网络中对消息执行安全检验的设备,包括:
用于通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息还没有通过安全检验的装置;以及
用于以指示所述消息还没有通过安全检验的方式在所述第一网络内转发所述消息的装置。
13.按照权利要求1或12的设备,其中所述网络间安全接口是Za接口。
14.按照权利要求12的设备,包括:用于如果判定所述消息还没有通过安全检验则不用安全装置转发所述消息的装置。
15.按照权利要求14的设备,其中所述安全装置包括Zb接口。
16.按照权利要求1或12的设备,其中所述消息包括SIP消息。
17.按照权利要求12的设备,所述设备包括询问呼叫会话控制功能。
18.一种在通信网络中对消息执行安全检验的方法,包括:
通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息没有通过安全检验,
修正所述消息以便指示所述消息还没有通过安全检验;以及
在所述第一网络内转发所述消息。
19.一种在通信网络中对消息执行安全检验的方法,包括:
通过确定在第一网络接收的消息没有经由网络间安全接口和第二网络被接收,来判定所述消息还没有通过安全检验;以及
以指示所述消息还没有通过安全检验的方式在所述第一网络内转发所述消息。
20.一种在通信网络中对消息执行安全检验的方法,包括:
通过确定在第一网络接收的消息没有在第一层通过安全装置被接收,来判定所述消息还没有通过安全检验;
修正所述消息以便包括指示所述消息还没有通过安全检验的第二层指示,其中所述第二层是比所述第一层更高的层;以及
在所述第一网络内转发所述消息。
21.按照权利要求18或20的方法,包括:通过把表示所述消息还没有通过安全检验的参数加到所述消息中来修正所述消息,以便指示所述消息还没有通过安全检验。
22.按照权利要求21的方法,其中所述消息包括身份报头,并且所述方法进一步包括把所述参数加到所述消息的身份报头中。
23.按照权利要求22的方法,其中所述消息包括SIP消息。
24.按照权利要求22的方法,其中所述身份报头包括P宣称身份。
25.按照权利要求18或20的方法,其中所述消息包括身份报头,并且所述方法进一步包括:通过去除所述身份报头的至少一部分来修正所述消息以便指示所述消息还没有通过安全检验。
26.按照权利要求25的方法,进一步包括:检测所述身份报头是否为特定的类型的以及如果是的话则去除所述报头的至少一部分。
27.按照权利要求25的方法,其中所述消息包括SIP消息。
28.按照权利要求26的方法,包括检测所述身份报头是否包括P宣称身份类型。
29.按照权利要求18或19的方法,其中所述网络间安全接口是Za接口。
30.按照权利要求19的方法,包括如果判定所述消息还没有通过安全检验则不用安全装置转发所述消息。
31.按照权利要求18或19的方法,其中所述消息包括SIP消息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US44814803P | 2003-02-20 | 2003-02-20 | |
| US60/448,148 | 2003-02-20 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1698393A CN1698393A (zh) | 2005-11-16 |
| CN100571461C true CN100571461C (zh) | 2009-12-16 |
Family
ID=32908542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800003856A Expired - Lifetime CN100571461C (zh) | 2003-02-20 | 2004-02-17 | 通信系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7917620B2 (zh) |
| EP (2) | EP3651435A1 (zh) |
| JP (1) | JP2006515698A (zh) |
| CN (1) | CN100571461C (zh) |
| WO (1) | WO2004075587A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI517649B (zh) * | 2003-12-01 | 2016-01-11 | 內數位科技公司 | 以會話初始化協定為基礎之使用者啟動換手 |
| US8213408B1 (en) * | 2005-09-16 | 2012-07-03 | Genband Us Llc | Providing security in a multimedia network |
| GB2432748A (en) | 2005-11-25 | 2007-05-30 | Ericsson Telefon Ab L M | SIP messaging in an IP Multimedia Subsystem wherein a local user identity is added to message header as a basis for application server processing |
| KR100809419B1 (ko) * | 2006-09-29 | 2008-03-05 | 한국전자통신연구원 | HSS를 이용한 위치기반 VoIP 서비스 시스템 및 방법 |
| JP4944202B2 (ja) * | 2006-10-03 | 2012-05-30 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおけるアクセス情報の提供 |
| US20090003249A1 (en) * | 2007-06-27 | 2009-01-01 | Microsoft Corporation | Determination and Display of Endpoint Identities |
| ES2390988T3 (es) * | 2008-01-11 | 2012-11-20 | Telefonaktiebolaget L M Ericsson (Publ) | Gestión de mensajes en un subsistema multimedia IP |
| US20090285179A1 (en) * | 2008-05-16 | 2009-11-19 | Bridgewater Systems Corp. | Long-Term Evolution (LTE) Packet Data Network Gateway (PDN-GW) Selection |
| US20100175122A1 (en) * | 2009-01-08 | 2010-07-08 | Verizon Corporate Resources Group Llc | System and method for preventing header spoofing |
| EP2685694A1 (fr) * | 2012-07-12 | 2014-01-15 | Gemalto SA | Procédé d'enregistrement d'au moins une adresse publique dans un réseau IMS et application correspondante |
| US10110732B2 (en) * | 2015-10-22 | 2018-10-23 | Comcast Cable Communications, Llc | Caller number identification |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US6105027A (en) * | 1997-03-10 | 2000-08-15 | Internet Dynamics, Inc. | Techniques for eliminating redundant access checking by access filters |
| JPH1125010A (ja) | 1997-06-30 | 1999-01-29 | Hitachi Ltd | データ変換装置、その管理方法、データ変換装置を有するネットワークシステム、および、データ変換プログラムを記録した記録媒体 |
| JP2885236B1 (ja) | 1998-01-29 | 1999-04-19 | ブラザー工業株式会社 | インターネットファクシミリ装置 |
| JPH11282804A (ja) | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | ユーザ認証機能付き通信システム及びユーザ認証方法 |
| US6826539B2 (en) * | 1999-12-31 | 2004-11-30 | Xactware, Inc. | Virtual structure data repository and directory |
| AU2001243364A1 (en) | 2000-03-01 | 2001-09-12 | Sun Microsystems, Inc. | System and method for avoiding re-routing in a computer network during secure remote access |
| US20020037723A1 (en) * | 2000-06-08 | 2002-03-28 | Adam Roach | Refreshing service profile information using third-party SIP register messages |
| US7024688B1 (en) | 2000-08-01 | 2006-04-04 | Nokia Corporation | Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages |
| US7181012B2 (en) * | 2000-09-11 | 2007-02-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Secured map messages for telecommunications networks |
| US8219620B2 (en) | 2001-02-20 | 2012-07-10 | Mcafee, Inc. | Unwanted e-mail filtering system including voting feedback |
| US6845092B2 (en) | 2001-07-13 | 2005-01-18 | Qualcomm Incorporated | System and method for mobile station authentication using session initiation protocol (SIP) |
| EP1343342B1 (en) | 2002-03-08 | 2006-11-29 | Sony Ericsson Mobile Communications AB | Security protection for data communication |
| US20030210678A1 (en) * | 2002-05-10 | 2003-11-13 | Nokia Corporation | Functionality split between mobile terminal and terminal equipment for internet protocol multimedia signal exchange |
| US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
-
2003
- 2003-07-08 US US10/614,343 patent/US7917620B2/en active Active
-
2004
- 2004-02-17 EP EP19212138.2A patent/EP3651435A1/en active Pending
- 2004-02-17 WO PCT/IB2004/000551 patent/WO2004075587A1/en active Application Filing
- 2004-02-17 EP EP04711676.9A patent/EP1595418B1/en not_active Expired - Lifetime
- 2004-02-17 JP JP2005514901A patent/JP2006515698A/ja active Pending
- 2004-02-17 CN CNB2004800003856A patent/CN100571461C/zh not_active Expired - Lifetime
Non-Patent Citations (2)
| Title |
|---|
| Private Extensions to the Session InitiationProtocol(SIP)forAsserted Identity within Trusted Networks. C. Jennings, J. Peterson, M. Watson.RFC. 2002 |
| Private Extensions to the Session InitiationProtocol(SIP)forAsserted Identity within Trusted Networks. C. Jennings, J. Peterson, M. Watson.RFC. 2002 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1698393A (zh) | 2005-11-16 |
| US20040177145A1 (en) | 2004-09-09 |
| JP2006515698A (ja) | 2006-06-01 |
| EP1595418B1 (en) | 2020-01-01 |
| WO2004075587A1 (en) | 2004-09-02 |
| EP1595418A1 (en) | 2005-11-16 |
| EP3651435A1 (en) | 2020-05-13 |
| US7917620B2 (en) | 2011-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7092385B2 (en) | Policy control and billing support for call transfer in a session initiation protocol (SIP) network | |
| EP2095224B1 (en) | Systems, methods, media, and means for hiding network topology | |
| EP2375629B1 (en) | Method and apparatus for transmitting/receiving in emergency services | |
| US8422990B2 (en) | Switching system and corresponding method for unicast or multicast end-to-end data and/or multimedia stream transmissions between network nodes | |
| US20140241342A1 (en) | Emergency services for packet networks | |
| US8977240B2 (en) | Method for the control and evaluation of a message traffic of a communication unit by means of a first network unit within a mobile radio system, pertaining communication unit and first network unit | |
| US20030212912A1 (en) | Method and communication system for controlling security association lifetime | |
| JP2014197856A (ja) | Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置 | |
| US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
| JP2008148310A (ja) | マルチメディアセッション管理方法およびシステム | |
| CN100571258C (zh) | 提供通信网之间安全通信的方法和系统 | |
| CN107113301A (zh) | 用于移动订户的语音和文本数据服务 | |
| CN100571461C (zh) | 通信系统 | |
| US20040043756A1 (en) | Method and system for authentication in IP multimedia core network system (IMS) | |
| US20150150076A1 (en) | Method and device for instructing and implementing communication monitoring | |
| US20130212646A1 (en) | Usage authentication via intercept and challege for network services | |
| Garcia-Martin | Input 3rd-generation partnership project (3GPP) release 5 requirements on the session initiation protocol (SIP) | |
| US20220182393A1 (en) | Clearing House Signaling | |
| JP4719701B2 (ja) | 通信制御システム、通信装置および通信制御方法 | |
| RU2490813C2 (ru) | Способ, устройство, система и компьютерный программный продукт для поддержки указания на пропуск аутентификации, передаваемого из p-cscf (прокси-функция управления сеансами вызовов) в s-cscf (обслуживающая функция управления сеансами вызовов) | |
| EP1161827B1 (en) | Arrangement related to a call procedure | |
| CA3201185A1 (en) | Clearing house validation | |
| Garcia-Martin | Rfc 4083: Input 3rd-generation partnership project (3gpp) release 5 requirements on the session initiation protocol (sip) | |
| WO2003034681A1 (en) | Authentication of a subscriber on a public network through redirection | |
| JP2011217031A (ja) | 通信装置及び発信者認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INVENT CO., LTD. Free format text: FORMER OWNER: NOKIA OY Effective date: 20150205 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: ESPOO, FINLANG TO: CALIFORNIA STATE, UNITED STATES |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150205 Address after: California, USA Patentee after: INVENT Corp. Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170703 Address after: California, USA Patentee after: Yingweite SPE LLC Address before: California, USA Patentee before: INVENT CORP. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20091216 |
|
| CX01 | Expiry of patent term |