HK1098269A1 - 提供通信网之间安全通信的方法和系统 - Google Patents
提供通信网之间安全通信的方法和系统 Download PDFInfo
- Publication number
- HK1098269A1 HK1098269A1 HK07105515.8A HK07105515A HK1098269A1 HK 1098269 A1 HK1098269 A1 HK 1098269A1 HK 07105515 A HK07105515 A HK 07105515A HK 1098269 A1 HK1098269 A1 HK 1098269A1
- Authority
- HK
- Hong Kong
- Prior art keywords
- network
- called party
- trusted
- address
- party
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Communication Control (AREA)
- Telephonic Communication Services (AREA)
Description
技术领域
本发明涉及通信方法。
背景技术
可以将通信系统看作一种能够在两个或者两个以上的实体之间进行通信会话的设施,其中实体例如是用户设备和/或其它与通信系统相关联的节点。通信可以包括,例如,语音通信、数据通信、多媒体通信等。会话可以包括,例如,在各用户之间的电话呼叫或者多路会议会话,或者在用户设备和应用服务器(AS)(例如,服务提供商服务器)之间的通信会话。这些会话的建立一般能够向用户提供各种服务。
通信系统通常根据给定的标准或规范来工作,该标准和规范规定了各种与通信系统相关的实体所允许做的以及应该怎样实现。例如,标准或者规范可以定义用户,或者更精确地用户设备,是否配置有电路交换服务和/或分组交换服务。还定义了用于进行连接的通信协议和/或参数。换句话说,定义了通信所基于的一个特定“规则”集合以便能够通过系统来进行通信。
为用户设备提供无线通信的通信系统是已知的。无线系统的一个示例是公共陆地移动网络(PLMN)。PLMN通常基于蜂窝技术。在蜂窝系统中,基站收发机(BTS)或者类似的接入实体通过这些实体间的无线接口为无线用户设备(UE),亦称为移动台(MS)提供服务。在用户设备和通信网络网元之间的无线接口上的通信可以基于适当的通信协议。进行通信所需的基站设备和其它设备的操作可以由一个或者几个控制实体来控制。各种控制实体可以互相连接。
也可以设置一个或者多个网关节点以用于将蜂窝网络连接到其它网络,例如连接到公共交换电话网络(PSTN)和/或其它通信网络,诸如IP(因特网协议)和/或其它分组交换数据网络。在这种设置中,移动通信网络提供接入网络,它能够使得具有无线用户设备的用户接入外部网络、主机或者由具体服务提供商所提供的服务。然后,移动通信网络的接入点或者网关节点提供到外部网络或者外部主机的进一步接入。例如,如果由位于其它网络的服务提供商提供所请求的服务,则服务请求通过该网关路由到服务提供商。该路由可以基于由移动网络运营商存储的移动订户数据中的定义。
可以向诸如订户的通信系统的用户提供的服务的示例为所谓的多媒体服务。能够提供多媒体服务的一些通信系统称为因特网协议(IP)多媒体网络。可以通过IP多媒体核心网(CN)子系统,或者简称为IP多媒体子系统(IMS),来提供IP多媒体(IM)功能。IMS包括用于提供多媒体服务的各种网络实体。IMS服务旨在提供移动用户设备之间的IP连接,以及其它服务。
第三代合作伙伴计划(3GPP)已经定义了用于提供IMS服务的通用分组无线服务(GPRS)的使用,并且由此将其在下文中用作支持IMS服务的可能的骨干通信网的示例。示例性的通用分组无线服务(GPRS)操作环境包括一个或者多个子网络服务区域,通过GPRS骨干网将它们彼此互联。子网络包括多个分组数据服务节点(SN)。在这种应用中,服务节点将被称为服务GPRS支持节点(SGSN)。将每个SGSN连接到至少一个移动通信网络,通常连接到基站系统。通常地,通过无线网络控制器(RNC)或者诸如基站控制器(BSC)的其它接入系统控制器,以这样一种方式进行该连接:通过多个基站为移动用户设备提供分组服务。中间移动通信网络在支持节点和移动用户设备之间提供分组交换数据传输。不同的子网络通过网关GPRS支持节点(GGSN)依次连接到外部数据网络,例如,到公共交换数据网络(PSPDN)。GPRS业务因此允许在移动数据终端和外部数据网络之间进行分组数据传输。
在这种网络中,建立分组数据会话以通过网络携带业务流。这种分组数据会话通常被称为分组数据协议(PDP)上下文。PDP上下文可以包括在用户设备、无线网络控制器和SGSN之间设置的无线接入承载,以及在服务GPRS支持节点和网关GPRS支持节点之间设置的交换分组数据信道。
然后,可以在所建立的PDP上下文中实现用户设备和其它方之间的数据通信会话。每个PDP上下文能够携带多于一个的业务流,但是对于在一个特定PDP上下文中的所有业务流都关于其通过网络的传输以相同的方式进行处理。PDP上下文处理要求基于与业务流相关联的PDP上下文处理属性,例如服务质量和/或计费属性。
第三代合作伙伴项目(3GPP)也已经为第三代(3G)核心网定义了一种参考体系结构,该第三代核心网将向用户设备的用户提供到多媒体服务的接入。该核心网被划分为三个主要的域。它们是电路交换(CS)域、分组交换(PS)域以及因特网协议多媒体(IM)域。其中的后者,IM域是用于确保对多媒体业务进行充分地管理。
IM域支持由因特网工程任务小组(IETF)开发的会话发起协议(SIP)。会话发起协议(SIP)是应用层控制协议,用于创建、修改以及终止与一个或者多个参与者(端点)的会话。一般地,开发SIP以允许通过使得端点能够明了会话语意在因特网中两个或者更多端点之间发起会话。连接到基于SIP的通信系统的用户可以与基于标准化的SIP消息的各种通信系统实体进行通信。将用户设备或者在该用户设备上运行一定应用的用户注册到SIP骨干网,以便使特定会话的发起能够被正确地递送到这些端点。为了实现这一点,SIP为设备和用户提供了注册机制,并且其应用诸如位置服务器和注册器之类的机制,以适当地路由会话邀请。可以通过SIP信令提供的可能的会话示例包括因特网多媒体会议、因特网电话呼叫以及多媒体发布。
参考IETF文献RFC 3325,通过参考将其引入本文。该文献描述了对于SIP的隐私扩展,其使得所信任的SIP服务器的网络能够证实最终用户或最终系统的身份,并且能够传送最终用户所要求的隐私的指示。这些扩展的使用可以应用在如“Short term requirements for NetworkAsserted Identity”中所定义的“信任域”之中。在这种信任域中的节点明确地受到其用户和最终系统的信任,以便公开地证实每一方的身份,并且在要求了隐私性时负责在信任域之外拒绝提供该身份。
为了能够应用RFC 3325中所描述的隐私过程,存在检测下一跳网络的值得信任程度的需要。如果下一跳是可信的,则将涉及不同隐私选项的过程授权给下一跳。否则,需要执行隐私过程。
作为一个示例,如果呼叫者要求身份隐私,则必须将P-Asserted-Identity报头在其到达被叫方之前除去。由呼叫者发送的消息包含了标识发送者的报头,称为P-Asserted-Identity报头。如果发送者是具有公知用户标识的用户,则该报头的格式为:<sip:user1_public1@home1.net>。呼叫者的本地网络仅在被叫方的本地网络不受信任的情况下才必须去除该报头。如果被叫方的本地网络(其为对于呼叫者的本地网络的下一跳)是可信的,则呼叫者的本地网络将不会除去该报头。这是所需要的,以便遵循RFC 3325,其中规定P-Asserted-Identity报头必须由所信任域的最后网元除去。
在RFC 3325中,所提出的机制依赖于称为“P-Asserted-Identity”的报头字段,该字段包含URI(通常为SIP URI)以及可选显示名称。处理消息的代理服务器在以某种方式(例如:摘要式验证DigestAuthentication)验证发端用户之后能够将这种P-Asserted-Identity报头字段插入到消息中,并且将该消息转发到其它可信代理。将要将该消息转发到其不信任的代理服务器或者UA的代理会除去所有P-Asserted-Identity报头字段值,如果该用户要求将该信息保持隐私的话。用户可以要求这种类型的隐私。
对于将在正确地点应用的过程,必须以某种方式检测下一跳的值得信任程度。
发明内容
根据本发明的第一方面,提供一种在第一网络的呼叫方和第二网络的被叫方之间进行通信的方法,包括以下步骤:
在该第一网络中确定与所述被叫方相关联的地址;
基于所述地址确定所述被叫方是否处于所信任的网络;以及
取决于所述被叫方是否处于所信任的网络,控制该被叫方和该呼叫方之间进行的通信。
根据第二方面,提供一种通信系统,包括具有呼叫方的第一网络以及具有被叫方的第二网络,所述第一网络包括:
用于确定与所述被叫方相关联的地址的确定装置;
用于基于所述地址确定所述被叫方是否处于所信任的网络的确定装置;以及
用于取决于所述被叫方是否处于所信任的网络、控制该被叫方和该呼叫方之间进行的通信的控制装置。
根据第三方面,提供一种具有呼叫方的第一网络,该呼叫方被设置为呼叫在第二网络中的被叫方,所述第一网络包括:
用于确定与所述被叫方相关联的地址的确定装置;
用于基于所述地址确定所述被叫方是否处于所信任的网络的确定装置;以及
用于取决于所述被叫方是否处于所信任的网络、控制该被叫方和该呼叫方之间进行的通信的控制装置。
根据第四方面,提供一种在第一网络的呼叫方和第二网络的被叫方之间进行通信的方法,包括以下步骤:
在该第一网络中确定是否存在与所述第二网络的安全连接;以及
如果确定了不存在与所述第二网络的安全连接,则丢弃或者修改从该呼叫方到该被叫方的消息。
附图说明
为了更好地理解本发明,将以示例方式参考给出的附图,其中:
图1示出了其中可以实现本发明的通信系统;
图2为表示本发明一个实施例的操作的流程图;
图3为其中可以设置本发明的一个实施例的环境。
具体实施方式
本发明的实施例特别地涉及但不仅仅涉及Rel-5 IMS网络。本发明的实施例还可以应用于其它版本的IMS网络。本发明的实施例可以应用于其它SIP网络。本发明的一些实施例可以找到SIP和IMS环境以外的更宽的应用。
将参考第三代(3G)移动通信系统的示例性体系结构,通过示例的方式描述本发明特定实施例。但是,应当理解,某些实施例可以应用于任何其它适当形式的网络。通常地,移动通信系统被设置为一般通过用户设备和通信系统的基站之间的无线接口,为多个移动用户设备服务。移动通信系统可以逻辑上地被划分为无线接入网(RAN)和核心网(CN)。
参考图1,其示出了其中可以实现本发明的网络体系结构的示例。图1示出了IP多媒体网络45,用于为IP多媒体网络订户提供IP多媒体服务。IP多媒体(IM)功能能够通过核心网(CN)子系统来提供,该核心网子系统包括用于提供服务的多种实体。
基站31和43被设置为通过无线接口向移动用户的移动用户设备30和44传送信号或者从移动用户的移动用户设备30和44接收信号,其中移动用户即为订户。相应地,每个移动用户设备能够通过无线接口向基站传送信号或者从基站接收信号。在图1的简化表示中,基站31和43属于不同的无线接入网(RAN)。在所示的设置中,用户设备30、44的每一个可以分别通过两个与基站31和43相关联的接入网接入IMS网络45。应该理解,虽然为了清楚起见,图1示出了仅两个无线接入网的基站,但是典型的移动通信网通常包括多个无线接入网。
3G无线接入网(RAN)通常由适当的无线网络控制器(RNC)进行控制。为了清晰起见,该控制器未示出。可以为每个基站指派一个控制器,或者控制器可以控制多个基站。在其中将控制器既设置于独立基站处又设置于无线接入网络层次上以控制多个基站的方案也是已知的。因此,应该理解,网络控制器的名称、位置以及数量取决于系统。
移动用户可以使用适用于因特网协议(IP)通信以连接到网络的任何适当的移动设备。例如,移动用户可以通过个人计算机(PC)、个人数据助理(PDA)、移动台(MS)等接入蜂窝网络。以下的示例是在移动台的背景下描述的。
本领域熟练的技术人员熟悉典型移动台的特征和操作。因此,这些特征的详细解释是不必要的。应该注意,用户可以使用移动台以用于任务,例如用于进行电话呼叫并且接收电话呼叫,用于接收来自网络的数据或者向网络发送数据,以及用于体验例如多媒体内容。移动台通常配置有处理器和存储装置以用于完成这些任务。移动台可以包括天线装置,用于无线地从移动通信网的基站接收信号以及向移动通信网的基站发射信号。移动台还可以配置有显示器,用于为移动用户设备的用户显示图像以及其它图形信息。还可以设置扬声器装置。移动台的操作可以通过适当的用户接口例如控制按钮、语音命令等来进行控制。
应该理解,虽然为了清楚起见在图1中仅示出两个移动台,但是多个移动台可以同时与移动通信系统的每个基站进行通信。移动台还可以具有几个同时的会话,例如多个SIP会话以及激活的PDP上下文。用户还可以进行电话呼叫并且同时连接到至少一个其它服务。
核心网(CN)实体通常包括各种控制实体和网关,用于支持通过多个无线接入网的通信,并且还用于将单个的通信系统与一个或多个通信系统,例如与其它蜂窝系统和/或固定线路通信系统进行对接。在图1中,服务GPRS支持节点33、42以及网关GPRS支持节点34、40用于在网络中分别提供对GPRS服务32、41的支持。
无线接入网控制器通常连接到适当的一个或多个核心网实体,例如但不限于服务通用分组无线服务支持节点(SGSN)33和42。虽然未示出,但是每个SGSN通常能够访问指定的订户数据库,该数据库被配置为用于存储与各用户设备订制相关联的信息。
在无线接入网中的用户设备可以通过无线网络信道与无线网络控制器进行通信,该无线网络信道通常是指无线承载(RB)。每个用户设备可以与无线网络控制器在任何时刻开通一个或多个无线网络信道。无线接入网控制器通过适当的接口,例如Iu接口,与服务GPRS支持节点进行通信。
接着,服务GPRS支持节点通常通过GPRS骨干网32、41与网关GPRS支持节点进行通信。该接口普通地为交换分组数据接口。服务GPRS支持节点和/或网关GPRS支持节点用于在网络中提供对于GPRS服务的支持。
在接入实体处的用户设备和网关GPRS支持节点之间的所有通信一般是由分组数据协议(PDP)上下文来提供的。每个PDP上下文通常提供在特定用户设备和网关GPRS支持节点之间的通信通路,并且一旦建立,则PDP上下文通常能够携带多路流。每路流一般表示例如特定服务和/或特定服务的媒体组件。由此,PDP上下文经常表示对于通过网络的一路或者多路流的逻辑通信通路。为了实现用户设备和服务GPRS支持节点之间的PDP上下文,需要建立无线接入承载(RAB),它通常允许对于用户设备的数据传输。这些逻辑和物理信道的实现对于本领域熟练的技术人员来说是已知的,并且因此不在这里作进一步的讨论。
用户设备30、44可以通过GPRS网络连接到应用服务器,该应用服务器一般连接到IMS。
已经开发了这样的通信系统,使得可以向用户设备通过网络的各种功能提供服务,上述网络的各种功能由称为服务器的网络实体进行处理。例如,在当前的第三代(3G)无线多媒体网络体系结构中,假设将几个不同的服务器用于处理不同的功能。这包括诸如呼叫会话控制功能(CSCF)的功能。可以将呼叫会话控制功能划分为各种类别,例如代理呼叫会话控制功能(P-CSCF)35和39、查询呼叫会话控制功能(I-CSCF)37,以及服务呼叫会话控制功能(S-CSCF)36和38。希望通过IMS系统使用由应用服务器提供的服务的用户可能需要向服务控制实体注册。服务呼叫会话控制功能(S-CSCF)可以在3G IMS设置中形成用户需要向其注册以便能够请求来自通信系统的服务的实体。CSCF可以定义UMTS系统的IMS网络。
应该理解,类似的功能可能在不同的系统中被称为不同的名称。例如,在一定应用中,CSCF可以被称为呼叫状态控制功能。
可以设置通信系统,使得已经由骨干网向其提供了所需通信资源的用户必须通过经由通信系统发送对所期望服务的请求来发起服务的使用。例如,用户可以从适当的网络实体请求一次会话、交易或者其它类型的通信。
在本发明的一个实施例中,在呼叫方本地网络的S-CSCF处存在一个数据库,其列出了所有本地网络信任的已知IMS网络域名和IP地址。
必须在SIP层数据库中维护包含了IMS网络域名和相应的I-CSCF的IP地址的数据库。因为SIP请求可以在请求(R)通用资源指示符中既可以包含域名也可以包含IP地址。在数据库中仅存储域名是不够的。呼叫方因此可以通过查看存储在该数据库中的与被叫方相关联的域名或者IP地址,来检查被叫方是处于所信任的网络还是处于不被信任的网络。
但是,有可能在本发明的一种可选实施例中,只要在R-URI中收到IP地址而不是域名,就进行反向DNS域名服务器查询。因此,以下简化的方案也是有可能的,将参考图2对其进行描述:
数据库保持有本地网络信任的IMS网络域名。
在步骤S1中,确定请求中包含域名。
如果结果肯定,则下一步执行步骤S2,其中进行检查以便了解该域是否在数据库中。如果结果肯定,则下一跳被认为是所信任的域,并且应用相应的过程(步骤S3)。如果该域不在数据库中,则认为下一跳是不被信任的域,并且应用相应的过程-步骤S4。
如果被叫方为不被信任方,则可以丢弃消息或者可选地对其进行修改。如果对消息进行了修改,则将除去标识呼叫方的信息。该信息可以是P-Asserted报头。如果呼叫方已经请求了隐私,则该处理将被执行,即其身份将被保密。
如果该请求中未包含域名,则确定是否在R-URI中接收了具有IP地址的请求-步骤S5。步骤S5和步骤S1可以合并到一个单独的步骤中。如果该请求包含IP地址,则进行反向DNS查询,以便找到相应的域-步骤6。也就是向域名服务器发送对于与该IP地址相关联的域名的请求。然后,下一步骤将为步骤S2,对数据库进行检查。
在本发明的另一实施例中,仅在本地网络的S-CSCF处保持数据库,该数据库列出了本地网络信任的所有已知IMS网络域名。
如果R-URI包含IP地址而不是域名(并且因此不能在数据库中对其进行检查),则简单地假设下一跳是不被信任的域。
在本发明又一实施例中,在安全网关(SPD)中以这样一种方式配置NDS网络域安全:将通过安全连接发送来自该域的CSCF的IP分组,其中网关是该域的CSCF的一部分。如果到目的地的安全连接不存在,则将分组简单地丢弃并且生成ICMP因特网控制消息协议消息。ICMP是一种因特网协议,其关于IP数据报处理在网关或者目的主机和源主机之间递送差错和控制消息。ICMP能够例如报告IP数据报处理中的差错。ICMP通常是IP协议的一部分。因此,本地网络总是假设下一跳是可信任的,并且不除去P-Asserted-Identity。如果发生了下一跳是不被信任的,则分组被丢弃,并且它不会到达被叫方。
该方案的结果是,CSCF将仅能够与属于所信任域的SIP实体进行通信。
参考第三代合作伙伴项目规范第TS33.210号版本3.3.0,将其通过参考引入本文。该文献描述了网络域安全体系结构的大纲。参考图3,其示出了可以应用本发明的实施例的这种体系结构。
首先,将给出关于在网络之间以及网络之中分别存在的Za和Zb接口的解释。该解释采用自3GPP TS 33.210 V6.0.0(2002年12月)技术规范,版本6。图3示出了二个安全域,以及在这些域的实体之间Za和Zb接口。
定义接口以便保护本地基于IP的协议:
Za接口(SEG-SEG)
Za接口覆盖所有安全域之间的NDS/IP(网络域安全/因特网协议)业务。SEG(安全网关)使用IKE(因特网密钥交换),来协商、建立并维护它们之间的安全ESP(封装的安全载荷)通道。服从于漫游协议,正常地在所有时刻交互SEG通道(inter-SEG tunnel)都是可用的,但是也能够在所需时建立该通道。ESP将与加密和认证/完整性一起使用,但是允许仅为认证/完整性模式。接着,使用通道在安全域A和安全域B之间转发NDS/IP业务。
一个SEG能够专用于仅为所有漫游伙伴的一个确定的子集提供服务。这将限制需要维护的SA和通道的数量。
遵循这种规范的所有安全域应该操作Za接口。
Zb接口(NE-SEG/NE-NE)
Zb接口位于SEG和NE之间以及相同安全域之内的NE之间。Zb接口的实现是可选的。如果被实现,则其将实现ESP+IKE。
在Zb接口,ESP将总是与认证/完整性保护一起使用。加密的使用是可选的。ESP安全关联将用于需要安全保护的所有控制平面业务。
是否当需要时或者先验地建立安全关联,是由安全域运营商决定的。然后,安全关联用于在NE之间交换NDS/IP业务。
在Za接口上建立的安全策略服从于漫游协议。这不同于在Zb接口上实现的安全策略,它是由安全域运营商单方地决定的。
对于NDS/IP体系结构的基本思想是提供逐跳的安全。这符合操作的链式通道(chained-tunnel)或者中心辐射(hub-and-spoke)模型。使用逐跳的安全还使得易于在内部以及对其它外部安全域操作独立的安全策略。
在NDS/IP中,仅安全网关(SEG)会直接涉及与其它用于NDS/IP业务的安全域中的实体进行的通信。然后,SEG将在安全域之间以通道模式建立并且维护IPsec保护的ESP安全关联。正常地,SEG将维护至少一条IPsec通道,该通道在所有时刻对于特定的对等SEG是可用的。该SEG将逻辑上维护每个接口的独立SAD以及SPD数据库。
NE可能能够在需要时向同一安全域内的SEG或者其它NE建立并且维护ESP安全关联。从一个安全域的NE向不同的安全域的NE的所有NDS/IP业务将通过SEG进行路由,并且将由到最后目的地的逐跳安全保护来承担。
运营商可以决定在两个通信的安全域之间仅建立一个ESP安全关联。这会导致粗粒度的安全粒度。这一点的益处在于其给出了相对于业务流分析的一定量的保护,而缺点在于将不能够区分在通信实体之间给定的安全保护。这不排除由通信实体决定的更细粒度的安全粒度的协商。
在本发明的实施例中,呼叫方的SEG将确定被叫方的分组是否将通过安全连接发送到被叫方的SEG。如果不存在安全连接,则将分组丢弃。如果存在安全连接,则发送分组。
在一个实施例中,如果不存在安全连接,则呼叫方的SEG将从消息中除去身份信息,亦即P-Asserted报头。然后将修改的消息发送到被叫方。
在本发明的实施例中,从分组中除去P-asserted报头信息。在本发明的可选实施例中,其中不具有P-Asserted信息,则将会除去涉及呼叫方身份的标识信息。
数据库被描述为仅存储所信任方身份。在一种改进中,其能够仅存储不被信任方的身份,或者将不被信任方和所信任方连同指示其是否可信的信息一起进行存储。
应该理解,对一个其中存在GPRS系统的实施例的描述仅是以示例的方式进行的,并且也可以在本发明的可选实施例中使用其它系统。
应该理解,虽然本发明的实施例已经相对于诸如移动台的用户设备进行了描述,但是本发明的实施例可以应用于任何其它适合的用户设备类型。
本发明的示例已经在IMS系统和GPRS网络的背景下进行了描述。该发明还可以应用于任何其它接入技术。而且,该给定的示例是在带有支持SIP实体的SIP网络的背景下描述的。该发明还可以应用于任何其它适当的通信系统(既可以是无线的也可以是固定线路的系统)以及标准和协议。
本发明的实施例已经在呼叫状态控制功能的背景下进行了讨论。本发明的实施例能够应用于可以使用的其它网元。
这里还要注意,虽然上面描述了本发明的示例性的实施例,还存在可以对所公开的方案进行的多种变形和改进,而不背离如在所附权利要求中限定的本发明的范围。
Claims (24)
1.一种在第一网络的呼叫方和第二网络的被叫方之间进行通信的方法,包括:
在该第一网络中确定与所述被叫方相关联的地址;
基于所述地址确定所述被叫方是否处于所信任的网络;以及
取决于所述被叫方是否处于所信任的网络,控制该被叫方和该呼叫方之间进行的通信,其中如果该被叫方未处于所信任的网络,则修改对该被叫用户的至少一个消息。
2.根据权利要求1所述的方法,其中该地址包含在所述被叫方的消息中。
3.根据权利要求2所述的方法,其中该消息是分组形式的。
4.根据前述任一权利要求所述的方法,其中确定该被叫方是否处于所信任的网络包括检查该地址是否包含在所信任网络的数据库中。
5.根据权利要求4所述的方法,其中所述数据库处于所述第一网络。
6.根据权利要求4所述的方法,其中该数据库设置在呼叫会话控制功能中或者安全网关中。
7.根据权利要求4所述的方法,其中所述数据库包括与所信任的网络相关联的域名,以及可选地包括所信任网络的IP地址。
8.根据权利要求1所述的方法,其中所述确定地址包括确定该地址是否包含域名。
9.根据权利要求8所述的方法,其中如果确定了该地址未包含域名,则发送对于该域名的请求。
10.根据权利要求9所述的方法,其中向域名服务器发送所述请求。
11.根据权利要求1所述的方法,其中如果确定了该地址未包含域名,则假设该被叫方处于不被信任的网络。
12.根据权利要求1所述的方法,其中通过除去涉及所述呼叫方的身份信息来修改所述对该被叫方的至少一个消息。
13.根据权利要求12所述的方法,其中所述身份信息是P-Asserted-Identity报头。
14.根据权利要求1所述的方法,其中所述第一和第二网络依据SIP进行操作。
15.根据权利要求1所述的方法,其中该确定该被叫方是否处于所信任的网络包括确定从该呼叫网络到该被叫网络的连接是否是安全的。
16.根据权利要求15所述的方法,其中在该呼叫网络的网关处执行确定该被叫方是否处于所信任的网络。
17.根据权利要求16所述的方法,其中确定该被叫方是否处于所信任的网络包括确定在该呼叫网络的网关和该被叫网络的网关之间的连接是否为安全连接。
18.根据权利要求15-17中任一权利要求所述的方法,其中所述第一网络是第一域。
19.根据权利要求15-17中任一权利要求所述的方法,其中所述第二网络是第二域。
20.一种通信系统,包括具有呼叫方的第一网络以及具有被叫方的第二网络,所述第一网络包括:
用于确定与所述被叫方相关联的地址的确定装置;
用于基于所述地址确定所述被叫方是否处于所信任的网络的确定装置;以及
用于取决于所述被叫方是否处于所信任的网络,控制该被叫方和该呼叫方之间进行的通信的控制装置,其中如果该被叫方未处于所信任的网络,则修改对该被叫用户的至少一个消息。
21.一种具有呼叫方的第一网络,该呼叫方被设置为呼叫在第二网络中的被叫方,所述第一网络包括:
用于确定与在所述第二网络中的所述被叫方相关联的地址的确定装置;
用于基于所述地址确定所述被叫方是否处于所信任的网络的确定装置;以及
用于取决于是否确定所述被叫方处于所信任的网络,控制该被叫方和在所述第一网络中的该呼叫方之间进行的通信的控制装置,其中如果该被叫方未处于所信任的网络,则修改对该被叫用户的至少一个消息。
22.根据权利要求21所述的第一网络,其中所述确定装置包括用于确定从该第一网络到该第二网络的链接是否安全的装置。
23.根据权利要求21或22所述的第一网络,其中所述确定装置位于所述第一网络的网关处。
24.根据权利要求21、22或23所述的第一网络,其中所述网关为所述第一网络的安全网关。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0322891.3 | 2003-09-30 | ||
| GBGB0322891.3A GB0322891D0 (en) | 2003-09-30 | 2003-09-30 | Communication method |
| PCT/IB2004/003130 WO2005034472A1 (en) | 2003-09-30 | 2004-09-27 | Method and system for providing a secure communication between communication networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| HK1098269A1 true HK1098269A1 (zh) | 2007-07-13 |
| HK1098269B HK1098269B (zh) | 2010-08-27 |
Family
ID=
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009284492A (ja) | 2009-12-03 |
| ATE525840T1 (de) | 2011-10-15 |
| EP1668862A1 (en) | 2006-06-14 |
| CN100571258C (zh) | 2009-12-16 |
| US7843948B2 (en) | 2010-11-30 |
| US20050068935A1 (en) | 2005-03-31 |
| KR100928247B1 (ko) | 2009-11-24 |
| AU2004306243A1 (en) | 2005-04-14 |
| WO2005034472A1 (en) | 2005-04-14 |
| KR20060060045A (ko) | 2006-06-02 |
| AU2004306243B2 (en) | 2010-03-18 |
| GB0322891D0 (en) | 2003-10-29 |
| CN1871834A (zh) | 2006-11-29 |
| JP2007507956A (ja) | 2007-03-29 |
| EP1668862B1 (en) | 2011-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967348B2 (en) | Methods and apparatus for providing session policy during a registration of a device | |
| US8929360B2 (en) | Systems, methods, media, and means for hiding network topology | |
| JP2009284492A (ja) | 通信ネットワーク間のセキュアな通信を提供する方法及びシステム | |
| US8544080B2 (en) | Mobile virtual private networks | |
| ES2674720T3 (es) | Servicios multimedia en un sistema de comunicación | |
| US7340771B2 (en) | System and method for dynamically creating at least one pinhole in a firewall | |
| US20040109459A1 (en) | Packet filter provisioning to a packet data access node | |
| US20020133600A1 (en) | Method and apparatus for establishing a protocol proxy for a mobile host terminal in a multimedia session | |
| US20040109455A1 (en) | Transmission of data packets by a node | |
| CN1610441B (zh) | 通信系统中消息的验证 | |
| US20060013192A1 (en) | Obtaining and notifying middle box information | |
| US7697471B2 (en) | Address translation in a communication system | |
| Garcia-Martin | Input 3rd-generation partnership project (3GPP) release 5 requirements on the session initiation protocol (SIP) | |
| HK1098269B (zh) | 提供通信网之间安全通信的方法和系统 | |
| Garcia-Martin | Rfc 4083: Input 3rd-generation partnership project (3gpp) release 5 requirements on the session initiation protocol (sip) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PE | Patent expired |
Effective date: 20240926 |