技術領域

本發明涉及通信網絡的傳輸協議。

背景技術

會話啟動協議(SIP)是常用于IP語音通信(VoIP)電話技術(包括多媒體)以建立、管理和終止通信會話的計算機網絡協議。會話是在通信實體之間的半永久性的交互信息交換(例如，呼叫)。SIP位于傳輸控制協議/網際協議(TCP/IP)模型的應用層，且位于用于計算機網絡協議的國際標準化組織(ISO)開放式系統互連(OSI)模型的會話層。通過標準SIP信令，在來自客戶端的每一請求被允許被處理之前，即使那些請求在相同會話內，該請求仍被問答式機構逐個請求地驗證。這使得使用SIP的系統具有高驗證開銷。

諸如傳輸層安全(TLS)協議或網際協議安全(IPsec)協議之類的一些TCP/IP應用層信令協議經由TLS或IPsec信道在客戶端和服務器之間建立基于證書的信任關系。這種基于信任的關系消除了詢問(challenge)每個請求的需要。但是這不影響可使用TLS作為傳輸層協議(“在其之上”)的較高協議例如SIP的操作。(傳輸層響應于來自應用層的請求，將數據傳送到主計算機上的適當的應用進程。)此外，這是以需要在每個客戶端裝置上部署唯一的證書為代價的。例如，3GPP/TISPAN?IMS系統具有被稱為代理呼叫會話控制功能(PCSCF)的、作為用于IMS終端的第一接觸點的元件。作為SIP代理的PCSCF可在被訪問的網絡中或者本地網絡中。一些網絡對于該功能還可使用會話邊界控制器(SBC)。IMS終端經由動態主機配置協議(DHCP)發現它的PCSCF，或者其在通用分組無線系統(GPRS)中在分組數據協議(PDP)上下文中被分配。PCSCF在注冊時被分配給終端，且在注冊的持續時間中不改變。PCSCF位于所有信令消息的路徑中，且可以檢查每個消息。PCSCF驗證用戶并與IMS終端建立IPsec可信安全關系。這對顧客造成了管理負擔。

單點登錄(SSO)是這樣一種訪問控制方法，即該方法使用戶能夠只登錄一次而獲得多個系統的資源的訪問權，而不會被提示再次登錄。其提供會話和用戶驗證兩者。各客戶端被給予令牌或軟件以通過網絡驗證服務器處理驗證。單點退出是相反的進程，由此單個退出動作終止了對多個系統的訪問權。SSO對用于SSO的協議的操作也沒有影響。

安全外殼(SSH)是允許在兩個聯網的裝置之間使用安全信道交換數據的網絡協議。典型地用于登錄遠程服務器并執行命令，其使用公鑰加密技術以驗證客戶端和服務器?？蛻舳私⒌椒掌鞯陌踩B接，請求服務，得到詢問，應答該詢問，此后后續請求不被詢問。驗證是持久性的(只要保持連接)，且不允許服務器被重新詢問。

公鑰構架(PKI)布置使得未事先聯系的計算機用戶能夠彼此驗證并且加密彼此之間的消息。PKI通過認證機構(又稱為，可信第三方)將公鑰與各個用戶標識綁定。簽字人的公鑰證書也可被第三方用于檢驗使用該簽字人的私鑰創建的消息的數字簽名。一般來說，PKI使得對話中的各方能夠建立機密性、消息完整性和用戶驗證，而不必預先交換任何秘密信息，甚至不需要任何事先聯系。其被許多應用層協議用于建立安全通信。

X.509是用于PKI和特權管理構架(PMI)的ITU-T標準。X.509尤其指定了認證路徑確認算法、屬性證書、證書作廢表和公鑰證書的標準格式。

安全套接層上的超文本傳輸協議(HTTPS)是用于在萬維網上為安全性敏感的通信提供驗證和加密的應用層協議，并且簡單對象訪問協議(SOAP)是使用HTTPS作為用于經網絡交換消息的傳輸層協議的TCP/IP應用層協議。HTTPS需要管理員創建用于網絡服務器的公鑰證書，任何訪問客戶端能夠基于該客戶端已持有的可信證書確認該公鑰證書。為通過確認，該證書必須由認證機構簽名。此方案還可以用于客戶端驗證，以將對網絡服務器的訪問僅限于授權的用戶。這需要站點管理員為每個用戶創建證書，并且此證書被裝載到用戶的瀏覽器或客戶端裝置中。

SSO和HTTPS兩者都是基于cookie的。響應于第一請求建立cookie，且在每個后續請求中接收到基于該cookie的安全令牌。該令牌必須被確認，并且該確認需要服務器逐個消息地工作。這還需要客戶端有管理、存儲和使用cookies的能力。