FI105966B - Autentikointi tietoliikenneverkossa - Google Patents

Autentikointi tietoliikenneverkossa Download PDF

Info

Publication number
FI105966B
FI105966B FI981565A FI981565A FI105966B FI 105966 B FI105966 B FI 105966B FI 981565 A FI981565 A FI 981565A FI 981565 A FI981565 A FI 981565A FI 105966 B FI105966 B FI 105966B
Authority
FI
Finland
Prior art keywords
network
subscriber
response
authentication
terminal
Prior art date
Application number
FI981565A
Other languages
English (en)
Swedish (sv)
Other versions
FI981565A (fi
FI981565A0 (fi
Inventor
Jan-Erik Ekberg
Original Assignee
Nokia Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Networks Oy filed Critical Nokia Networks Oy
Publication of FI981565A0 publication Critical patent/FI981565A0/fi
Priority to FI981565A priority Critical patent/FI105966B/fi
Priority to GB0100021A priority patent/GB2355157B/en
Priority to JP2000558685A priority patent/JP2002520923A/ja
Priority to AU49121/99A priority patent/AU4912199A/en
Priority to DE19983405T priority patent/DE19983405B4/de
Priority to US09/743,302 priority patent/US7003282B1/en
Priority to PCT/FI1999/000565 priority patent/WO2000002406A2/fi
Publication of FI981565A publication Critical patent/FI981565A/fi
Application granted granted Critical
Publication of FI105966B publication Critical patent/FI105966B/fi
Priority to US11/293,188 priority patent/US7280820B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

105966
Autentikointi tietoliikenneverkossa
Keksinnön ala
Keksintö liittyy autentikointiin tietoliikenneverkossa, erityisesti IP-5 verkossa (IP=lnternet Protocol) ja lisäksi verkon tietoturvaominaisuuksien parantamiseen suoritetun autentikoinnin avulla. Autentikoinnilla tarkoitetaan tietoa generoineen osapuolen, kuten tilaajan, identiteetin todennusta. Autentikoinnin avulla voidaan myöskin taata kyseisen tiedon eheys (integrity) ja luottamuksellisuus (confidentiality). Autentikointi voidaan suorittaa erilaisia 10 tarkoitusperiä, kuten verkkopalvelujen käyttöoikeuksien tarkistamista varten. Keksintö on tarkoitettu käytettäväksi erityisesti liikkuvien päätelaitteiden yhteydessä, mutta keksinnön mukaisella ratkaisulla saavutetaan etuja myös kiinteiden päätelaitteiden yhteydessä.
15 Keksinnön tausta
Eräs viime vuosien merkittävimpiä viestintään liittyviä ilmiöitä on ollut
Internet-käyttäjien voimakas kasvu. Nopea kasvu on myös nopeasti tuonut esiin Internetin puutteita. Eräs näistä on verkon heikko tietoturva. Nykyisin yleisesti käytössä oleva IP-protokollaversio (IPv4) ei tarjoa välineitä, joilla 20 voitaisiin varmistaa, että vastapäästä tullut informaatio ei muuttunut siirron . aikana tai että informaatio ylipäätään tuli siltä lähteeltä, joka väittää lähettä- ] neensä ko. informaation. Lisäksi verkossa on helppo käyttää erilaisia työkaluja, • « * joilla voidaan kuunnella liikennettä. Tästä johtuen ovat mm. sellaiset järjestel- • · · ’** ! mät, jotka lähettävät salaamattomana kriittistä informaatiota, esim. salasanoja, 25 erittäin haavoittuvia.
• * * · · '*·/ IP:n uudessa versiossa (IPv6) on sisäisesti ominaisuuksia, jotka v : mahdollistavat turvallisen kommunikoinnin Internet-käyttäjien välillä. Koska muutos uuteen protokollaan tulee olemaan hidas, tietoturvaominaisuuksien :V: tulee olla sellaisia, että ne ovat yhteensopivia nykyisen IP-version (IPv4) 30 kanssa ja lisättävissä siihen.
Internetin tietoturvaominaisuuksien parantamiseksi on kehitetty erilai-:..Γ siä järjestelmiä, joiden avulla käyttäjät voivat lähettää tiedon salattuna vastak- kaiselle osapuolelle. Eräs tällainen järjestelmä on Kerberos, joka on palvelu, jonka avulla verkon käyttäjät ja palvelut voivat autentikoida toisensa ja jonka 35 avulla käyttäjät ja palvelut voivat luoda väliinsä salattuja yhteyksiä. Kerberos-järjestelmää käytetään hyväksi esillä olevan keksinnön eräässä toteutustavas- 2 105966 sa, jota kuvataan tarkemmin jäljempänä.
Toinen nykyisin vaikuttava suuntaus on erilaisten liikkuvien päätelaitteiden voimakas yleistyminen. Tämän kehityksen myötä on entistä tärkeämpää, että päätelaitteet saavat liitynnän (access) dataverkkoon myös silloin, kun 5 he ovat kotiverkkonsa ulkopuolella. Tällainen liityntä voi oleellisesti parantaa esim. kannettavan tietokoneen käytettävyyttä silloin, kun käyttäjä ei ole tavanomaisessa työympäristössään. Liityntäpisteitä voi olla esim. lentokentillä, rautatieasemilla, ostoskeskuksissa tms. julkisissa tiloissa ja liityntä voi tapahtua langallisesti tai langattomasi!.
10 Edellä mainitun kaltaiset järjestelmät, joiden avulla voidaan lähettää salattua tietoa osapuolien välillä on tarkoitettu lähinnä kiinteille päätelaitteille ja ne edellyttävät, että käyttäjät ovat etukäteen rekisteröityneet palvelun käyttäjiksi. Ongelmana nykyisin onkin se, että päätelaitteiden liikkuvuutta tukeville IP-verkoille ei ole olemassa toimivaa autentikointi- tai avaimienhallintajärjestel- 15 mää, joka takaisi hyvän maantieteellisen kattavuuden ja mahdollistaisi samalla sen, että käyttäjä voi helposti saada autentikoidun ja turvallisen yhteyden käyttöönsä maantieteellisesti mahdollisimman laajalla alueella.
Keksinnön yhteenveto 20 Keksinnön tarkoituksena on päästä eroon edellä kuvatusta epäkoh- . dasta ja saada ratkaisu, jonka avulla tietoliikenneverkon, kuten IP-verkon • » · '' V käyttäjät saadaan autentikoitua yksinkertaisesti ja joustavasti lähes riippumatta • « * siitä, missä päin heidän kulloinenkin verkkoliityntäpisteensä sijaitsee maantie- • · ; teellisesti.
' ’ 25 Tämä päämäärä saavutetaan ratkaisulla, joka on määritelty itsenäi- \v sissä patenttivaatimuksissa.
• · · v : Keksinnössä hyödynnetään olemassa olevan matkaviestinverkon, erityisesti GSM-verkon (Global System for Mobile Communications), autenti-kointimenetelmää IP-verkossa (tai muussa matkaviestinverkkoon nähden • · 30 erillisessä verkossa). Tämä tarkoittaa sitä, että IP-verkon käyttäjä käyttää IP- * ,.· verkon päätelaitteessaan samaa (tai oleellisesti samanlaista) tilaajan tunnis- • : tusyksikköä (SIM-korttia) kuin matkapuhelimessaan tai -viestimessään. Ajatuk- sena on hakea tilaajan autentikointitiedot matkaviestinverkosta IP-verkon puolelle ja suorittaa autentikointi näiden tietojen perusteella IP-verkossa.
35 Matkaviestinverkko ei välttämättä ole GSM-verkko, vaan se voi olla jokin muukin matkaviestinverkko, jossa autentikointia käytetään oleellisesti samalla 3 105966 tavalla, esim. DCS-verkko (Digital Cellular System), GPRS-verkko (General Packet Radio Service, joka on GSM:n aliverkko) tai UMTS-verkko (Universal Mobile Telecommunications System).
Keksinnön erään edullisen toteutustavan mukaisesti käyttäjä rekiste-5 röidään, vasteena onnistuneelle autentikoinnille, erilliselle avaimienhallintajär-jestelmälle, edullisesti Kerberos-järjestelmälle, jolloin keskenään kommunikoivien käyttäjien välille pystytään tämän jälkeen helposti luomaan salattu kanava. Tämä on tärkeätä erityisesti silloin, kun ainakin osa siirtoyhteydestä muodostuu radiotiestä.
10 Keksinnön mukaisen ratkaisun ansiosta IP-verkon käyttäjät saadaan autentikoitua helposti ja joustavasti ja käyttäjät pystyvät lisäksi saamaan tehokkaat turvaominaisuudet käyttöönsä maantieteellisesti laajalla alueella. Tämä johtuu toisaalta GSM-verkkojen laajasta levinneisyydestä ja toisaalta siitä, että operaattorien väliset roaming-sopimukset mahdollistavat vieraaseen 15 verkkoon tulevien tilaajien autentikoinnin. Esim. eräällä suomalaisella GSM-operaattorilla on tällä hetkellä (1998) yhteisliikennesopimuksia yli 60 maassa toimivien operaattorien kanssa.
Keksinnön mukaisen ratkaisun ansiosta ISP-operaattorien (Internet Service Provider), jotka tarjoavat tyypillisesti myös matkaviestinpalveluja, ei 20 tarvitse erikseen hankkia autentikointi- ja avaimienhallintajärjestelmiä IP-, verkkoon, vaan he voivat hyödyntää operoimansa matkaviestinverkon ominai- ‘V suuksia myös tähän tarkoitukseen.
*.*" Keksinnön mukaisella ratkaisulla saavutetaan kiinteiden päätelaittei- • · · ; den yhteydessä myös sellainen etu, että matkaviestinverkon yhteyteen raken- ’ ' 25 nettuja toimintoja voidaan käyttää hyväksi Internet-palvelujen yhteydessä.
v.: Esim. organisaatio, joka toimii sekä matkaviestinoperaattorina että ISP- • · · : operaattorina voi hyödyntää matkaviestinverkon yhteyteen rakennettuja las kutuspalveluja laskuttaakseen Internet-palvelujen tarjoamisesta. Kun kiinteät- :Y: kin päätelaitteet autentikoidaan keksinnön mukaisella menetelmällä, saavute- • · 30 taan suuri varmuus siitä, että lasku kohdistuu oikeaan tilaajaan. Lisäksi tilaaja ..· saadaan autentikoitua, vaikka hän kytkeytyisi verkkoon vieraalta päätelaitteel- • «
• * * I
• ta.
• · · • < • · ·
Kuvioluettelo 35 Seuraavassa keksintöä ja sen edullisia toteutustapoja kuvataan tar kemmin viitaten kuvioihin 1 ...10 oheisten piirustusten mukaisissa esi- 4 105966 merkeissä, joissa kuvio 1 havainnollistaa erästä keksinnön mukaisen menetelmän toimintaympäristöä, 5 kuvio 2 esittää eri elementtien välillä käytävää sanomanvaihtoa, kun päätelaite kytkeytyy verkkoon tai irrottautuu verkosta, kuvio 3 havainnollistaa niiden sanomien rakennetta, joiden avulla ilmoitetaan järjestelmän palvelimelle, että käyttäjä on kytkeytynyt verkkoon tai irrottautunut verkosta, 10 kuvio 4 esittää autentikoinnin aikana eri elementtien välillä käytävää sanomanvaihtoa, kuvio 5 havainnollistaa kuvion 5 sanomien yleistä rakennetta, kuvio 6 havainnollistaa järjestelmän niitä elementtejä, joilla hankitaan yhteyskohtainen salausavain kahden päätelaitteen välille, 15 kuvio 7 esittää sanomanvaihtoa, joka käydään aloituspääsylipun saamiseksi Kerberos-palvelimelta, kuvio 8 havainnollistaa päätelaitteen keksinnön kannalta oleellisia osia, kuvio 9 esittää sanomanvaihtoa, joka käydään salausavaimen saamiseksi kahden päätelaitteen väliseen kommunikointiin, ja 20 kuvio 10 havainnollistaa järjestelmän erästä vaihtoehtoista toteutustapaa.
I ( · · ''V Keksinnön yksityiskohtainen kuvaus
Seuraavassa keksintöä kuvataan viitaten verkkoympäristöön, jossa
:·: ; tilaajien liikkuvuutta tuetaan Mobile IP -protokollan (jatkossa MIP) avulla. MIP
’ * 25 on olemassa olevan IP:n versio, joka tukee päätelaitteen liikkuvuutta. (MIP- • · :.v periaatetta kuvataan esim. RFC 2002:ssa, October 1996 tai artikkelissa Upkar • · · v : Varshney, Supporting Mobility with Wireless ATM, Internet Watch, January 1997.) MIP perustuu siihen, että kullakin liikkuvalla tietokoneella tai solmulla · 30 (mobile host, mobile node) on sille osoitettu agentti (“kotiagentti”, home agent), joka välittää paketit liikkuvan solmun sen hetkiseen sijaintipaikkaan. Kun • · ' ’* liikkuva solmu liikkuu aliverkosta toiseen, se rekisteröityy kyseistä aliverkkoa t · i palvelevalle agentille ("vierailuagentti”, foreign agent). Viimemainittu suorittaa tarkistuksia liikkuvan solmun kotiagentin kanssa, rekisteröi liikkuvan solmun ja . ··. 35 lähettää sille rekisteröinti-informaation. Liikkuvalle solmulle osoitetut paketit lähetetään liikkuvan solmun alkuperäiseen sijaintipaikkaan (kotiagentille), josta 5 105966 ne välitetään edelleen sen hetkiselle vierailuagentille, joka lähettää ne edelleen liikkuvalle solmulle.
Kuviossa 1 on esitetty keksinnön mukaisen menetelmän tyypillistä toimintaympäristöä. Järjestelmän ytimen muodostaa turvapalvelu SS, joka on 5 toisaalta kytketty Internetiin ja toisaalta proxy-palvelimeen HP, jolla on pääsy erilliseen matkaviestinverkkoon MN, joka on tässä esimerkissä GSM-verkko. Proxy-palvelin muodostaa verkkoelementin, joka välittää (myöhemmin kuvattavalla tavalla) liikennettä turvapalvelimen ja matkaviestinverkkojen kotirekisterien HLR välillä, jotka viimemainitut sijaitsevat tilaajien kotiverkoissa. Käytän-10 nössä sekä proxy- että turvapalvelu ovat verkko-operaattorin tiloissa, esim. samassa huoneessa, joten vaikka turvapalvelimen ja proxy-palvelimen välillä onkin IP-yhteys, se on turvattu yhteys. Koska GSM-verkko on sinänsä tunnettu, eikä keksintö edellytä muutoksia siihen, ei sitä kuvata tässä yhteydessä tarkemmin.
15 Järjestelmän alueella liikkuvilla käyttäjillä on käytössään kannettavia tietokoneita, PDA-laitteita, älypuhelimia tai muita vastaavia päätelaitteita. Kuviossa on viitemerkillä ASIAKAS (client) havainnollistettu vain yhtä päätelaitetta TE1. Asiakkaalla tarkoitetaan tässä yhteydessä yleisesti oliota, joka käyttää verkon tarjoamia palveluja, joita verkon palvelimet suorittavat. Usein 20 asiakkaalla tarkoitetaan ohjelmaa, joka ottaa verkon käyttäjän puolesta yhte- .·. yttä palvelimeen.
• «· · “V Kuvioon on merkitty kaksi aliverkkoa, jotka voivat käytännössä olla esim. Ethernet-lähiverkkoja, joissa siirretään TCP/IP-paketteja: kyseisen käyt-; täjän kotiverkko HN sekä vierailuverkko FN, johon päätelaitteen TE1 oletetaan
* ' 25 olevan yhteydessä. Nämä aliverkot ovat kumpikin yhdyskäytäväkoneen GW
» · v.: (reitittimen) avulla yhteydessä Internetiin. Kotiverkossa on kyseisen liikkuvan * · · v : tietokoneen kotiagentti HA ja vierailuverkossa vastaavasti vierailuagentti FA.
Liitynnät aliverkkoihin tapahtuvat liittymäpisteiden (access point) AP kautta, :Y: esim. langattomasi!, kuten kuviossa esitetään.
« _ 30 Päätelaitteet muodostuvat kahdesta osasta samaan tapaan kuin tavanomainen GSM-puhelin: varsinaisesta tilaajalaitteesta, esim. kannetta- : vasta tietokoneesta (ohjelmistoineen) ja SIM-kortista (Subscriber Identity
Module), jolloin tilaajalaitteesta tulee verkon kannalta toimiva päätelaite vasta kun SIM-kortti on työnnetty siihen. SIM-kortti on tässä esimerkkitapauksessa 35 GSM-verkossa käytettävä tilaajan tunnistusyksikkö. Päätelaitteella voi olla pääsy vain IP-verkkoon tai se voi olla ns. dual mode -laite, jolla on pääsy sekä 6 105966 IP-verkkoon että GSM-verkkoon. Liityntä IP-verkkoon tapahtuu esim. päätelaitteessa olevan LAN-kortin avulla ja GSM-verkkoon GSM-kortin avulla, joka on käytännössä riisuttu puhelin, joka on sijoitettu esim. tietokoneen PCMCIA-korttipaikkaan.
5 Keksinnön edullisessa toteutustavassa turvapalvelimen yhteydessä on myös sinänsä tunnettu Kerberos-palvelin KS, jonka avulla toteutetaan salatut yhteydet jäljempänä kuvattavalla tavalla. Turvapalvelin ja Kerberos-palvelin voivat olla fyysisesti samalla koneella.
Jotta turvapalvelin tietäisi, koska käyttäjä tulee IP-verkkoon tai poistuu 10 siitä, luodaan turvapalvelimen ja kotiagentin välille kanava kuviossa 2 esitetyllä tavalla. MlP-protokollan mukaisesti vierailuagentti FA lähettää omaan aliverkkoonsa jatkuvasti broadcast-sanomia, joita kutsutaan nimellä “agent advertisement” ja joita on kuviossa merkitty viitemerkillä AA. Kun päätelaite kytkeytyy kyseiseen aliverkkoon, se vastaanottaa näitä sanomia ja päättelee niiden 15 perusteella, onko se omassa kotiverkossaan vai jossakin muussa verkossa. Jos päätelaite huomaa, että se on kotiverkossaan, se toimii ilman liikkuvuuteen liittyviä palveluja (mobility services). Muussa tapauksessa päätelaite saa c/o-osoitteen (care-of address) ko. vieraaseen verkkoon. Tämä osoite on verkon sen pisteen osoite, johon päätelaite on väliaikaisesti kytkeytyneenä. Tämä 20 osoite muodostaa samalla ko. päätelaitteelle johtavan tunnelin (tunnel) päätepisteen (termination point). Päätelaite saa osoitteen tyypillisesti em. broadcast-sanomista, joita vierailuagentti lähettää. Tämän jälkeen päätelaite lähettää omalle kotiagentilleen rekisteröintipyyntösanoman RR (Registration Request) : vierailuagentin FA kautta. Sanoma sisältää mm. sen c/o-osoitteen, jonka 25 päätelaite on juuri saanut. Vastaanottamansa pyyntösanoman perusteella :V: kotiagentti päivittää kyseisen päätelaitteen sijaintitiedon tietokantaansa ja lähettää päätelaitteelle vierailuagentin kautta rekisteröintivastauksen (Registration Reply) R_Reply. Vastaussanomassa on kaikki tarpeelliset tiedot siitä, miten (millä ehdoilla) kotiagentti on hyväksynyt rekisteröintipyynnön.
30 Kaikki edellä kuvatut, päätelaitteen, vierailuagentin ja kotiagentin • · · väliset sanomat ovat normaaleja MlP-protokollan mukaisia sanomia. Liikkuva • · : *·· solmu voi rekisteröityä myös suoraan kotiagentille. Em. RFC:ssä on kuvattu ne •«· säännöt, jotka määräävät sen, rekisteröityykö liikkuva solmu kotiagentille :·. suoraan vai vierailuagentin kautta. Jos liikkuva solmu saa c/o-osoitteen edellä 35 kuvatulla tavalla, on rekisteröinti tehtävä aina vierailuagentin kautta. MIP- • · protokollan mukaan rekisteröinnin yhteydessä suoritetaan myös autentikointi, 7 105966 jonka tarkoituksena on vähentää virheiden esiintymistä rekisteröitymisen yhteydessä. Rekisteröinti perustuu rekisteröintisanomasta (rekisteröintipyyn-nöstä tai -vastauksesta) laskettuun tarkistusarvoon ja rekisteröinti on tehtävä vain liikkuvan solmun ja sen kotiagentin välillä, joilla on yhteisesti jaettu kiinteä 5 avain (joka on etukäteen sovittu). Vierailuagentti ei näin ollen välttämättä pysty autentikoimaan liikkuvaa solmua. Tämä ongelma korostuu, jos järjestelmässä pyritään mahdollisimman laajaan maantieteelliseen kattavuuteen.
Keksinnön mukaisesti kotiagenttiin on lisätty toiminne, jonka mukaan kotiagentti lähettää turvapalvelimelle tiedon verkkoon kytkeytyvästä päätelait-10 teestä sen jälkeen, kun rekisteröintipyyntösanoma on tullut vierailuagentilta. Tätä sanomaa on kuviossa merkitty viitemerkillä MOB_ATTACH. Vastaavasti kotiagentti lähettää turvapalvelimelle tiedon verkosta poistuneesta päätelaitteesta sen jälkeen, kun päätelaite on kytkeytynyt irti verkosta (päätelaite kytkeytynyt irti verkosta tai sille annetun osoitteen elinaika on umpeutunut). Tätä 15 sanomaa on kuviossa merkitty viitemerkillä MOB_DETACH. Kumpaankin sanomatyyppiin turvapalvelu lähettää kuittaussanoman (MOB_ACK). Sanomat MOB_ATTACH ja MOB_DETACH vastaavat käyttötarkoitukseltaan GSM-verkossa käytettäviä IMSI attach/detach -proseduureja.
Kotiagentti monitoroi turvapalvelimelta tulevia vastauksia ja lähettää 20 sanomat uudelleen (samoilla parametreillä), jos turvapalvelimelta ei tule kuit- . taussanomaa ennalta määrätyn pituisen ajan, esim. 30 sekunnin, kuluessa.
« · I
"V Kuviossa 3 on havainnollistettu sanomien MOB ATTACH, MOB DETACH ja MOB ACK rakennetta. Sanomissa on tyyppikenttä 31, joka > · · ; identifioi sanoman tyypin, numerokenttä 32, joka sisältää istunnon identifioivan | / 25 satunnais- tai järjestysnumeron ja osoitekenttä 33, joka sisältää asiakkaan IP- osoitteen. Viimemainittua kenttää ei ole kuittaussanomassa. Sanomat lähete- • · · : tään IP-tietosähkeiden hyötykuormalle varatuissa kentissä.
Kun siis päätelaite on kytkeytynyt verkkoon, turvapalvelin saa siis kotiagentilta tiedon ko. päätelaitteen IP-osoitteesta. Tämän jälkeen seuraa 30 asiakkaan autentikointi, jota kuvataan seuraavassa viitaten kuvioon 4. Autenti-
..· kointia varten turvapalvelin kysyy ensin asiakkaalta tilaajatunnusta IMSI
• * (International Mobile Subscriber Identity), joka on talletettu SIM-kortille ’··/ (sanoma AUTH_ID_REQ). Tähän asiakas vastaa antamalla vastaussanomas- sa AUTH_ID_RSP tilaajatunnuksensa IMSI (joka on GSM-spesifikaatioiden 35 mukainen 9 tavun pituinen tunniste). Kysely kulkee kotiagentin kautta em. tunnelin päätepisteeseen, mutta vastaus tulee päätelaitteelta suoraan turva- 8 105966 palvelimelle.
Jos asiakkaan IP-osoite ei vaihdu usein, on edullisempaa tallettaa turvapalvelimelle IP-osoitteita vastaavat IMSI-tunnisteet, jolloin tunnisteita ei tarvitse turhaan siirtää verkossa. Edellä mainitut sanomat eivät siten ole vält-5 tämättömiä.
Kun päätelaite on ilmoittanut IMSI-tunnisteensa tai kun turvapalvelu on hakenut sen tietokannastaan, turvapalvelu käynnistää varsinaisen autenti-koinnin. Jotta päätelaitteen SIM-kortti voitaisiin autentikoida, turvapalvelimelta on oltava yhteys tilaajan oman GSM-verkon kotirekisterin HLR yhteydessä 10 olevaan tunnistuskeskukseen AuC (Authentication Center). Tämä toteutetaan proxy-palvelimella HP, joka toimii yhdistävänä verkkoelementtinä IP-verkon ja GSM-verkon, tarkemmin sanottuna IP-verkon ja GSM-verkon käyttämän SS7-merkinantoverkon välillä. Autentikoinnissa tarvittava GSM-verkon palvelu on MAP_SEND_AUTHENTICATIONJNFO (GSM 9.02, v. 4.8.0). Tämä palvelu 15 toteutetaan proxy-palvelimen HP avulla, joka voidaan sijoittaa paikallisen GSM-operaattorin tiloihin. Turvapalvelu lähettää proxy-palvelimelle autenti-kointipyyntösanoman SEC_INFO_REQ, joka sisältää yhteysistuntotunnisteen ja tilaajatunnuksen IMSI. Proxy-palvelin lähettää puolestaan tunnistuskeskuk-selle AuC MAP-protokollan (Mobile Application Part) mukaisen kyselysano-20 man, jolla pyydetään tunnistuskolmikkoa (authentication triplet) ja joka lähete-. tään normaalisti VLR:n ja HLR:n välillä. Vasteena tälle kyselysanomalle HLR
]'V palauttaa proxy-palvelimelle tavanomaisen tunnistuskolmikon, joka sisältää haasteen (RAND), vasteen SRES (Signed Response) ja avaimen Ke (GSM- • « · ; verkossa käytettävä yhteyskohtainen salausavain). Proxy-palvelin välittää 25 kolmikon edelleen turvapalvelimelle sanomassa SEC_INFO_RSP. Turvapal- v.: velin tallettaa kolmikon ja lähettää (sanoma AUTH_CHALLENGE_REQ) ··· : haasteen edelleen päätelaitteen SIM-kortille, joka generoi sen perusteella vasteen (SRES) ja avaimen Ke. Päätelaite tallettaa avaimen ja lähettää (sanoma AUTH_CHALLENGE_RSP) vasteen (SRES) takaisin turvapalvelu :*·*: 30 melle.
..· Päätelaitteessa on edullista olla tietokanta, johon haasteet talletetaan.
« · \ Tällä tavalla pystytään varmistautumaan siitä, että yhtä haastetta käytetään « * ’···’ vain kerran. Tällä tavalla pystytään estämään se, ettei kukaan pysty esiinty- mään turvapalvelimena nappaamalla verkosta (salaamattoman) haasteen ja • .··*: 35 vasteen ja selvittämällä niiden perusteella avaimen Ke. Jos sama haaste tulee • ·« uudelleen, ei ko. haasteeseen vastata. Turvapalvelu voi myös suodattaa 9 105966 sellaiset haasteet, jotka on jo käytetty ja tarvittaessa pyytää uutta tunnistus-kolmikkoa GSM-verkosta, jotta päätelaitteelle ei turhaan lähetetä jo käytettyä haastetta.
Proxy-palvelin HP toimii järjestelmässä virtuaalisena vierailijarekisteri-5 nä VLR, koska se näkyy, ainakin tunnistuskolmikkokyselyjen osalta, kotirekisteristä päin samanlaiselta verkkoelementiltä kuin GSM-verkon aidot vierailijarekisterit. Proxy-palvelin toimii myös suodattimena, joka sallii vain tunnistuskolmikkokyselyjen pääsyn GSM-järjestelmän signalointiverkkoon. Proxy-palvelin ei myöskään häiritse muita GSM-verkon puolella kotirekisteriltä tehtä-10 viä kyselyjä.
Kuviossa 5 on havainnollistettu kuviossa 4 esitettyjen sanomien yleistä rakennetta. Sanomissa on tyyppikenttä 51, joka identifioi sanoman tyypin, numerokenttä 52, joka sisältää istunnon identifioivan satunnais- tai järjestysnumeron ja hyötykuormakenttä 53, jonka pituus vaihtelee sen mu-15 kaan, mikä sanoma on kysymyksessä. Turvapalvelimen ja päätelaitteen välisissä sanomissa kaksi ensimmäistä kenttää ovat kaikissa sanomissa, mutta hyötykuormakenttää ei ole sanomassa AUTH_ID_REQ. Sanomassa AUTH_ID_RSP hyötykuormakenttä on 9 tavun pituinen (IMSIn pituus 1+8 tavua), sanomassa AUTH_CHALLENGE_REQ 16 tavun pituinen (RANDin 20 pituus 16 tavua) ja sanomassa AUTH_CHALLENGE_RSP 4 tavun pituinen . (SRES on 4 tavun pituinen). Turvapalvelimen ja proxy-palvelimen välisissä sanomissa hyötykuormakenttä on 9 tavun pituinen (IMSI) sanoman SECJNFO_REQ tapauksessa ja nx28 tavun pituinen sanoman :.i : SEC_INFO_RSP tapauksessa (kolmikossa on yhteensä 28 tavua ja verk- 25 koelementit on yleensä konfiguroitu niin, että ne lähettävät 1...3 tilaajakoh-*·**·.: täistä kolmikkoa kerrallaan). Kuten aiemmin todettiin, proxy-palvelimen ja kotirekisterin HLR välillä käytetään tavanomaista GSM-verkon merkinantoa.
Turvapalvelu vertaa päätelaitteelta vastaanottamaansa vastetta kolmikossa tulleeseen vasteeseen ja mikäli vertailussa havaitaan, että vasteet • · · * 30 ovat samat, autentikointi on onnistunut.
• · ·
Vasteena onnistuneelle autentikoinnille turvapalvelu käynnistää . : rekisteröinnin Kerberos-palvelimelle. Kerberos-palvelimella tarkoitetaan tässä
f ( I
yhteydessä prosessia, joka tarjoaa Kerberos-palvelua. Kerberos-palvelin : . sijaitsee edullisesti turvapalvelimen yhteydessä, kuten kuviossa 1 esitetään.
’··. 35 Kerberos on järjestelmä, joka on tarkoitettu verkon käyttäjien ja pal- « velujen autentikointiin. Se on luotettu (trusted) palvelu siinä mielessä, että 10 105966 kukin sen asiakkaista luottaa siihen, että järjestelmän arvio sen kaikista muista asiakkaista on oikea. Koska Kerberos-järjestelmä on sinänsä tunnettu, eikä sen toimintaa muuteta mitenkään, ei sitä kuvata tässä yhteydessä yksityiskohtaisesti. Järjestelmää kuvataan esim. dokumentissa Steiner, Neuman, 5 Schiller: Kerberos: An Authentication Service for Open Network Systems, January 12, 1988, josta kiinnostunut lukija löytää halutessaan taustainformaa-tiota. Seuraavassa kuvauksessa käytetään samoja merkintätapoja kuin em. dokumentissa. Kuvaus perustuu Kerberoksen versioon 4. c -> asiakas (client), 10 s -» palvelin c-addr -» asiakkaan verkko-osoite tgs -> pääsylipunantopalvelin
Kx -» x:n henkilökohtainen avain
Kxy —> istuntoavain x:lle ja y:lle 15 {abc}Kx -> abc salattuna x:n henkilökohtaisella avaimella
Tx,y x:n pääsylippu y:n käyttämiseksi.
Kuviossa 6 on havainnollistettu Kerberos- ja autentikointisovellusten olioita. Kuviossa on oletettu, että järjestelmällä on kaksi asiakasta, A ja B. Kumpikin asiakas voi olla päätelaite, jonka turvapalvelu on autentikoinut edellä 20 kuvatulla tavalla, kun ne ovat kytkeytyneet IP-verkkoon tai toinen voi olla . “kiinteästi” autentikoitu asiakas, esim. palvelin. Kerberos-sovellus koostuu :::kahdesta osasta: asiakasohjelmasta KC, joka sijaitsee päätelaitteella ja palve-linohjelmasta KS, joka sijaitsee turvapalvelimella. Palvelinohjelmaan kuuluu : myös pääsylipunantopalvelin TGS (ticket granting server). Vastaavasti autenti- 25 kointisovellus koostuu kahdesta osasta: asiakasohjelmasta AC, joka sijaitsee « · v.: päätelaitteella ja palvelinohjelmasta AS, joka sijaitsee turvapalvelimella. Kom- :T: munikointi tapahtuu IP/MIP/IP-SEC-pinojen avulla, joita kuvataan tarkemmin jäljempänä.
Seuraavassa kuvataan, kuinka Kerberos-protokollaa käytetään luo- • · 30 maan yhteyskohtainen avain päätelaitteiden A ja B välille.
Kun turvapalvelu on havainnut autentikoinnin onnistuneen, se käyn- *: *" nistää Kerberos-asiakkaan rekisteröinnin Kerberos-palvelimelle. Käytännössä • · < tämä tapahtuu siten, että turvapalvelimen autentikointilohko AS rekisteröi ;'.<r tunnistuskolmikossa tulleen avaimen Ke (a) asiakkaan salasanana ja (b) 35 salasanana palveluun, joka muodostetaan asiakkaan IP-osoitteelle tai tilaaja-tunnukselle IMSI. Palvelulle annetaan jokin ennalta määrätty nimi.
n 105966 Tämän jälkeen asiakas voi hakea pääsylipun (ticket) pääsylipunanto-palvelinta varten käyttäen avainta Ke. Tätä sanomanvaihtoa on esitetty kuviossa 7. Sen jälkeen, kun asiakas on saanut avaimen Ke, se lähettää turvapalvelulle (Kerberos-palvelimelle) sanoman, jolla pyydetään Kerberos-5 järjestelmältä aloituspääsylippua (initial ticket). Avaimen saamisen ja sanoman lähettämisen välillä voi olla lyhyt ennalta määrätty viive, jotta turvapalvelu ehtii ensin suorittaa rekisteröinnin Kerberos-palvelimelle. Viiveen jälkeen päätelaite lähettää turvapalvelimelle Kerberos-protokollan mukaisen pyynnön, joka sisältää aina asiakkaan identiteetin (IMSIn tai IP-osoitteen) ja tietyn erikoispal-10 velun, pääsylipunantopalvelun (ticket granting service) nimen tgs. Saatuaan tämän kyselyn Kerberos-palvelin tarkistaa, että se tuntee asiakkaan. Jos näin on, se generoi satunnaisen yhteyskohtaisen avaimen K^, jota tullaan myöhemmin käyttämään asiakkaan ja pääsylipunanto-palvelimen välisessä tiedonsiirrossa. Tämän jälkeen Kerberos-palvelin generoi pääsylipun Tctgs, jolla 15 asiakas voi käyttää pääsylipunanto-palvelua. Tämä pääsylippu sisältää asiakkaan nimen, pääsylipunanto-palvelimen nimen, sen hetkisen kellonajan, pääsylipun elinajan, asiakkaan IP-osoitteen ja juuri edellä generoidun yhteyskohtaisen avaimen. Käyttäen edellä esitettyjä merkintätapoja pääsylipun sisältö voidaan esittää seuraavasti Tctgs={c, tgs, timestamp, lifetime, c-addr, K^J. 20 Tämä pääsylippu salataan avaimella K^, jonka vain pääsylipunanto-palvelin ja . Kerberos-palvelin tietävät. Tämän jälkeen Kerberos-palvelin lähettää asiak- « · * y V kaalle vasteena paketin, joka sisältää salatun pääsylipun ja yhteyskohtaisen avaimen K<.tgS kopion. Vaste on salattu asiakkaan omalla avaimella Ke. Pääte* :·· ; laite tallettaa pääsylipun ja istuntoavaimen tulevaa käyttöä varten.
‘ 25 Kun päätelaite on tallettanut pääsylipun ja istuntoavaimen, sillä on, pääsylipun elinaikana, pääsy pääsylipunanto-palveluun ja se on valmis ole- • · · v : maan yhteydessä kolmannen osapuolen kanssa.
Kuviossa 8 on havainnollistettu päätelaitteen niitä toiminnallisia loh-koja, jotka ovat oleellisia keksinnön kannalta. Päätelaite on yhteydessä verk-30 koon IP/MIP/IP-SEC-protokollapinon kautta. IP/MIP/IP-SEC on sellainen « ,.· tunnettu TCP/IP-pino, jonka sisään on rakennettu mobile IP - ominaisuudet ja • · . :y* salaustoiminnot. Ylhäältä päin tämä pino näyttää aivan tavalliselta IP-pinolta, y·' mutta alhaalta (verkon puolelta) ko. pino lähettää salattua informaatiota tietyn turvapolitiikan (security policy) mukaisesti. Tämän turvapolitiikan määrää 35 erillinen turvapolitiikkalohko SPB, joka ohjaa IP/MIP/IP-SEC-pinoa kertomalla pinolle, mihin muihin verkon olioihin on lähetettävä salattua informaatiota.
105966 12 Nämä oliot on yleensä määritelty turvapolitiikkalohkossa päätelaitteen IP-osoitteen ja porttinumeron avulla. Määrittely voidaan tehdä vielä hienojakoisemmaksi määrittelemällä lisäksi ne käyttäjätunnukset, joille salausta suoritetaan. Turvapolitiikkalohko on käytännössä rakennettu IP/MIP/IP-SEC-pinon 5 sisään, mutta toiminnallisessa mielessä se on oma lohkonsa.
Turvapolitiikkalohkon lisäksi päätelaitteessa on avaimienhallintalohko KM, joka huolehtii avaimien hallinnasta. Avaimienhallintalohkon yhteydessä on tietokanta, jossa on kaikki päätelaitteen käyttämät salausavaimet. Avaimienhallintalohko voidaan toteuttaa esim. tunnetun PF_KEY-avaimienhallinta-APIn 10 (API=Application Programming Interface) avulla. PF_KEY on geneerinen sovellusohjelmaliitäntä, jota voidaan käyttää IP-kerroksen turvapalvelujen lisäksi myös verkon muihin turvapalveluihin. Tämä API määrittelee socket-protokollaperheen, jota avaimienhallintasovellukset käyttävät kommunikoidak-seen käyttöjärjestelmän avaimienhallintaan liittyvien osien kanssa. Koska 15 keksintö ei liity tunnettuun PF_KEY-protokollaan, ei sitä kuvata tässä yhteydessä tarkemmin. Protokollaa kuvataan dokumentissa McDonald, Metz, Phan: PF_KEY Management API, version 2, 21 April, 1997, josta aiheesta kiinnostunut lukija löytää halutessaan taustainformaatiota.
Avaimienhallintalohkossa KM on omat määrittelynsä sille, miten ja 20 millä avaimella salaus toteutetaan kuhunkin verkko-osoitteeseen. Tämä mää- . riitely voi olla tehty esim. siten, että IP-osoite-ja porttikohtaisesti kerrotaan se ' protokolla ja se avain, jota on käytettävä, kun ollaan yhteydessä ko. porttiin.
« « ·
Kun ulospäin lähetettävä paketti tulee IP/MIP/IP-SEC-pinoon, pino ; lukee paketin kohdeosoitteen ja kysyy turvapolitiikkalohkolta SPB, mikä on ] / 25 salauspolitiikka ko. osoitteella varustetun paketin suhteen. Turvapolitiikkalohko :·*·' kertoo vasteena IP/MIP/IP-SEC-pinolle, tehdäänkö salaus ja jos tehdään, millä • · · : menetelmällä salaus suoritetaan. Nämä tiedot välitetään avaimienhallintaloh- kolle KM.
:V: Alkuvaiheessa käyttäjä on määritellyt turvapolitiikkalohkolle ne yhtey- 30 det, joilla on käytettävä salausta. Jos turvapolitiikkalohko ilmoittaa, että sala-./ usta on käytettävä ja jos avaimienhallintalohko huomaa, että sitä päätelaitetta varten, jonka kanssa halutaan olla yhteydessä, ei ole vielä avainta, avaimien-*··/* hallintalohko lähettää avainpyynnön Kerberos-asiakkaalle KC, joka kysyy turvapalvelimen pääsylipunantopalvelulta palvelinpääsylippua ko. päätelaitetta 35 varten. Tätä merkinantoa on havainnollistettu kuviossa 9. Päätelaite (Kerberos-asiakas) lähettää pääsylipunantopalvelimelle Kerberos-protokollan
»(I
13 105966 mukaisen pyynnön, joka sisältää sen palvelimen nimen (s, esim. päätelaite B), jolle pääsylippu halutaan, pääsylipunantopalvelimen omalla avaimella salatun pääsylipun Tctgs pääsylipunantopalveluun pääsyä varten ja autenti-kaattorin (authenticator) Ac, joka on salattu yhteyskohtaisella avaimella Κ^. 5 Autentikaattori on tietorakenne, joka sisältää asiakkaan nimen ja IP-osoitteen sekä sen hetkisen ajan. Käytettyä merkintätapaa noudattaen Ac = {c, c-addr, timestamp}.
Pääsylipunantopalvelin tarkistaa autentikaattorin tiedot ja pääsylipun Tctgs. Jos pääsylippu on kelvollinen, pääsylipunanto-palvelin generoi uuden 10 satunnaisen istuntoavaimen K,.,., jota asiakas voi käyttää haluamansa kolmannen osapuolen kanssa. Sen jälkeen pääsylipunantopalvelin muodostaa uuden pääsylipun Tcs mainittua kolmatta osapuolta varten, sataa pääsylipun mainitun kolmannen osapuolen omalla avaimella K., joka on sama kuin ko. tilaajan edellä kuvattu avain Ke, ja lähettää salatun pääsylipun yhdessä istuntoavai-15 men kanssa päätelaitteelle. Koko vastaus salataan avaimella K^.
Saatuaan vastaussanoman päätelaite purkaa paketin, lähettää ensimmäisen osan {Tc JKS kolmannelle osapuolelle (päätelaitteelle B) ja tallettaa uuden istuntoavaimen K«.s avaintietokantaan. Kolmannen osapuolen päätelaite saa juuri generoidun istuntoavaimen K^ pääsylipusta purkamalla pääsylipun 20 ensin omalla avaimellaan Ke. Tämän jälkeen uusi istuntoavain on molempien t §.f päätelaitteiden käytössä ja salattu tiedonsiirto voi alkaa.
Kun Kerberos-asiakas on aloittanut toimintansa (kun asiakas on • · * rekisteröity Kerberos-palvelimelle), sen täytyy informoida IP/MIP/IP-SEC-: kerrosta siitä, että se pystyy palvelemaan istuntoavainpyyntöjä. Tämä tapah- 25 tuu PF_KEY-protokollaa käyttäen siten, että Kerberos-asiakas avaa erityisen • · v.; socket-osoitteen käyttöjärjestelmän ytimeen (kernel) ja rekisteröityy ytimeen :T: SADB_REGISTER-sanomalla. Tämän jälkeen PF_KEY-protokolla lähettää SADB_ACQUIRE-sanoman joka kerta, kun avainta tarvitaan johonkin ulospäin .*.·· lähtevään liitäntään. Saadessaan tämän sanoman Kerberos-asiakas toimii • · · 30 edellä kuvatulla tavalla eli lähettää pyynnön pääsylipunantopalvelimelle, lä- • * * hettää saamastaan vasteesta vastapuolelle tarkoitetun osan yhteyden vastak-i *** kaiseen päähän ja välittää saamansa istuntoavaimen avaimienhallintalohkolle.
«H
Lisäksi Kerberos-asiakas kuuntelee tiettyä socket-osoitetta havaitakseen :\if verkon muilta olioilta mahdollisesti tulevat pääsyliput. Vastaanotettuaan tällai- ’··. 35 sen pääsylippupaketin se kuittaa vastaanottaneensa paketin, purkaa paketin * · ja välittää tarpeelliset avaimet avaimienhallintajärjestelmälle, jolloin näitä m 105966 avaimia voidaan käyttää oltaessa yhteydessä kyseiseen vastekerrokseen (peer).
Kun päätelaite poistuu verkosta (sanoma MOB_DETACH), turvapalvelu poistaa molemmat rekisteröinnit Kerberos-palvelimelta.
5 Käytännössä on päätelaitteilla ja turvapalvelimella oltava määrätyt porttinumerot auki salaamatonta tiedonsiirtoa varten. Tällaisia portteja ovat portti, jonka kautta lähetetään päätelaitteen ja palvelimen väliset autentikointi-sanomat (kuvio 4), portti, jonka kautta välitetään tiketit Kerberos-asiakkaille ja portti, jonka kautta välitetään pääsylippupyynnöt.
10 Tunnistuskolmikko voidaan hakea eri tavoilla. Pienimuotoisessa toteutuksessa voitaisiin toimia siten, että käytetään virtuaalista “HLR-tietokantaa", johon talletetaan valmiiksi sopivaksi katsottava määrä tunnistus-kolmikkoja. Esim. 10000 kolmikkoa jokaiselta käyttäjältä vaatisi 280 kilotavua muistia käyttäjää kohti. Näin ollen esim. 6 GB levylle saataisiin yli 21000 käyt-15 täjän tunnistuskolmikot. Tunnistuskolmikot voidaan ladata etukäteen silloin, kun käyttäjä saa palvelun, jättämällä SIM-kortti muutamaksi tunniksi älykortin-lukijaan, joka syöttää kortille haasteita. Saaduista vasteista muodostetut tunnistuskolmikot talletetaan tietokantaan kortin tietoja käyttäen. Tämä tapa toimii myös kaikilla SIM-korteilla operaattoreista riippumatta. Tietokanta voi olla esim. 20 turvapalvelimen yhteydessä. Tunnistuskolmikko(j)a ei siis välttämättä tarvitse . ,·. hakea matkaviestinverkosta, vaan tilaajakohtaisia tunnistuskolmikoita voidaan • » * [ V tallettaa etukäteen turvapalvelimen yhteydessä olevaan tietokantaan DB (vrt.
kuvio 1). Proxy-palvelimia ei siis välttämättä tarvita lainkaan. Osalle tilaajia voi * * * j myös olla valmiita tunnistuskolmikkoja tietokannassa ja osalle ne voidaan * ‘ 25 hakea reaaliaikaisesti matkaviestinjärjestelmästä. Tunnistuskolmikkoja voidaan • · \v myös hakea etukäteen matkaviestinjärjestelmästä tietokantaan.
··· v : Periaatteessa voidaan myös kopioida jokaisen käyttäjän SIM-kortti ja käyttää kopiota turvapalvelimen yhteydessä käyttäjän autentikoimiseksi (jolloin : Y; matkaviestinverkosta ei tehdä kyselyä).
• · .‘f; 30 Nämä kaksi edellä kuvattua menettelyä mahdollistavat sen, että .,· käytetyt SIM-kortit voivat olla vain tähän tarkoitukseen dedikoituja kortteja, • · 1 ” eivätkä ne välttämättä liity matkaviestinverkon tilaajaan.
’···' Tarvittava autentikointitieto voidaan saada GSM-verkosta myös esim.
matkaviestinkeskuksen MSC (Mobile Switching Centre) ja tukiasemaohjaimen .···. 35 BSC (Base Station Controller) väliseltä yhteydeltä. Proxy-palvelimen ei siten välttämättä tarvitse emuloida vierailijarekisteriä VLR, kuten edellä esitettiin, 15 105966 vaan se voi toimia myös GSM-verkon tukiasemaohjaimen kaltaisena verkkoelementtinä. Tällaista vaihtoehtoa on havainnollistettu kuviossa 10, jossa kyseistä verkkoelementtiä on merkitty viitemerkillä BP. Tässä tapauksessa proxy-palvelin on siis virtuaalinen tukiasemaohjain, joka on kytketty matkavies-5 tinkeskukseen MSC (Mobile Switching Centre) samalla tavoin kuin GSM-verkon normaalit tukiasemaohjaimet BSC (Base Station Controller). Matka-viestinkeskukselta päin katsottuna proxy-palvelin näyttää tavanomaiselta tukiasemaohjaimelta ainakin autentikointiin liittyvän merkinannon osalta.
Ongelmana tässä toisessa vaihtoehdossa on kuitenkin se, että se 10 edellyttää huomattavasti monimutkaisempaa merkinantoa proxy-palvelimen ja GSM-verkon välillä kuin ensimmäinen vaihtoehto (kuvio 1). Toisen vaihtoehdon mukaisen autentikoinnin seurauksena käyttäjä siirtyy lisäksi GSM-järjestelmässä tukiasemaohjainta emuloivan proxy-palvelimen BP alueelle, joka ei kuitenkaan ole oikea tukiasemaohjain siinä mielessä, että se pystyisi 15 välittämään myös puheluja. Näin ollen tätä ratkaisua voidaan käyttää vain datapalvelujen yhteydessä, eikä päätelaite voi olla em. dual mode -laite.
Vaikka keksintöä on edellä kuvattu viitaten ΜΙΡ-enabloituun verkkoon, keksinnön mukainen ratkaisu ei ole sidottu tähän protokollaan. Jos käytettävä protokolla on IPv6, ei verkossa ole varsinaisia agentteja. Tällöin joudutaan 20 tieto siitä, milloin käyttäjä on verkossa hakemaan käyttäjän kotiverkon reititti-; ;: men reititystauluista. Käytännössä tämä tarkoittaa sitä, että verkossa on oltava I < I · , erillinen “paikannusagentti”, joka reititintä monitoroimalla tai “pingaamalla” huomaa käyttäjän tulleen verkkoon ja käynnistää sen seurauksena autenti- · · koinnin lähettämällä turvapalvelimelle ilmoituksen (MOB_ATTACH) uudesta | . 25 käyttäjästä. Luultavaa kuitenkin on, että reititinvalmistajat suunnittelevat proto- • · · kollan, josta ilmenee, milloin käyttäjä on verkossa.
• · · '·1 ' Vaikka keksintöä on edellä selostettu viitaten oheisten piirustusten mukaisiin esimerkkeihin, on selvää, ettei keksintö ole rajoittunut siihen, vaan • · v.: sitä voidaan muunnella oheisissa patenttivaatimuksissa esitetyn keksinnöllisen 30 ajatuksen puitteissa. Autentikointia ei välttämättä tarvitse suorittaa salatun :·1, yhteyden muodostamiseksi käyttäjien välillä, vaan onnistuneen autentikoinnin • · · \..t seurauksena voidaan suorittaa esim. rekisteröinti postipalvelimelle ennen "·:1 sähköpostiviestien siirtoa käyttäjän koneelle. Tällä tavoin saadaan varmempi i '·· autentikointi kuin nykyisissä salasanoihin perustuvissa menetelmissä. Liitty- 35 mäpisteiden yhteydessä voi lisäksi olla paikallisia palvelimia, jotka toimivat proxy-palvelimina varsinaiselle turvapalvelimelle tai järjestelmässä voi olla 16 105966 useampi kuin yksi turvapalvelu. Kerberos-järjestelmän tilalla voidaan käyttää myös esim. julkisten avainten avainhallintaa, joka perustuu x.500-tietokantaan ja x.509 sertifikaatteihin.
14 1 · • tl I · I « « · • · · « · · • · • · · » · · • · · • · · • · • · · • · · • · • » • · • · · * 1 ·

Claims (22)

105966 17
1. Autentikointimenetelmä tietoliikenneverkkoja, erityisesti IP-verkkoja varten, jonka menetelmän mukaisesti todennetaan verkkoon kytkeytyneen tilaajan identiteetti, 5 tunnettu siitä, että - verkon päätelaitteessa (TE1) käytetään oleellisesti samanlaista tilaajan tunnistusyksikköä (SIM) kuin tunnetussa matkaviestinjärjestelmässä (MN), joka tunnistusyksikkö on sellainen, että sille syötteenä annetusta haasteesta saadaan tuloksena vaste, 10. verkossa käytetään lisäksi erityistä turvapalvelua (SS) siten, että päätelaitteen kytkeytyessä verkkoon turvapalvelimelle lähetetään ilmoitus uudesta käyttäjästä, - haetaan mainittua uutta käyttäjää vastaavan tilaajan autentikointi-informaatio mainitusta matkaviestinjärjestelmästä mainittuun verkkoon, joka 15 autentikointi-informaatio sisältää ainakin haasteen ja vasteen, ja - autentikointi suoritetaan matkaviestinjärjestelmästä saadun autenti-kointi-informaation perusteella lähettämällä verkon kautta mainittu haaste päätelaitteelle, generoimalla päätelaitteen tunnistusyksikössä haasteesta vaste ja vertaamalla vastetta matkaviestinjärjestelmästä saatuun vasteeseen.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, . että tilaajan autentikointi-informaation haku matkaviestinjärjestelmästä käyn- : * V nistetään turvapalvelimelta (SS) vasteena mainitulle ilmoitukselle.
3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, « » I : että vasteena onnistuneelle autentikoinnille suoritetaan tilaajan rekisteröinti ’: : 25 erillisen avainten hallintajärjestelmän asiakkaaksi. • · :.v
4. Patenttivaatimuksen 3 mukainen menetelmä IP-verkkoja varten, tunnettu siitä, että avainten hallintajärjestelmänä käytetään tunnettua Kerberos-järjestelmää.
5 HLR yhteydessä olevasta tunnistuskeskuksesta AuC samalla tavalla kuin matkaviestinjärjestelmän oma vierailijarekisteri.
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, • · · * * • « 30 että matkaviestinjärjestelmästä saatu tilaajakohtainen autentikointi-informaatio • · · ]· käsittää lisäksi avaimen (Ke), jolloin tilaaja rekisteröidään Kerberos- : '*· järjestelmän asiakkaaksi siten, että avain rekisteröidään (a) asiakkaan sa- • * * lasanana ja (b) salasanana palveluun, joka muodostetaan asiakkaan IP-:\<f osoitteelle tai matkaviestinjärjestelmässä käytettävälle tilaajatunnukselle ! 35 (IMSI). • « m · » ie 105966
6. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tilaajan autentikointi-informaatio haetaan erillisen proxy-palvelimen (HP) avulla, joka toimii matkaviestinjärjestelmän vierailijarekisteriä VLR emuloivana verkkoelementtinä, joka pyytää autentikointi-informaation tilaajan kotirekisterin
7. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tilaajan autentikointi-informaatio haetaan erillisen proxy-palvelimen (BP) avulla, joka toimii matkaviestinjärjestelmän tukiasemaohjainta emuloivana 10 verkkoelementtinä, joka on yhteydessä matkaviestinjärjestelmän matkaviestin-keskukseen (MSC) autentikointi-informaation hakemiseksi tilaajan kotirekisterin HLR yhteydessä olevasta tunnistuskeskuksesta AuC samalla tavalla kuin autentikointi-informaatio haetaan matkaviestinjärjestelmän omaan tukiasemaohjaimeen.
8. Autentikointijärjestelmä tietoliikenneverkkoja, erityisesti IP-verkkoja varten, joka järjestelmä käsittää todennuselimet verkkoon kytkeytyneen tilaajan identiteetin todentamiseksi, tunnettu siitä, että todennuselimet käsittävät - verkon päätelaitteeseen (TE1) kytketyn tilaajan tunnistusyksikön 20 (SIM), joka on oleellisesti samanlainen kuin erillisessä matkaviestinjärjestel- .... mässä (MN) käytettävä tilaajan tunnistusyksikkö ja jolle syötteenä annetusta • · '' Y haasteesta voidaan määrittää vaste, • * · /·;* - ilmoituselimet (HA) ilmoituksen antamiseksi päätelaitteen kytkeyty- I I I ; essä verkkoon, 25. erityisen turvapalvelimen (SS) mainitun ilmoituksen vastaanottami- v.: seksi, Ϋ*; - elimet tilaajaa vastaavan autentikointi-informaation pyytämiseksi mainitusta matkaviestinjärjestelmästä (MN), joka informaatio sisältää ainakin haasteen ja vasteen, ja « · 30. mainitun verkon puolella tiedonsiirto- ja tarkastuselimet mainitun ]· haasteen lähettämiseksi verkon kautta tunnistusyksikölle, vasteen palauttami- i " seksi päätelaitteelta verkolle ja saadun vasteen vertaamiseksi matkaviestin- järjestelmästä saatuun vasteeseen.
9. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, .···. 35 että mainittu tunnistusyksikkö on GSM-verkossa käytettävä tunnistusyksikkö (SIM).
10. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, 19 105966 että ilmoituselimet on sovitettu mobile IP -verkon mukaiseen kotiagenttiin (HA).
11. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, että elimet autentikointi-informaation pyytämiseksi käsittävät mainitun turva-palvelimen ja proxy-palvelimen (HP, BP), joka on kytketty GSM-verkkoon.
12. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että proxy-palvelin toimii GSM-verkon vierailijarekisteriä VLR emuloivana verkkoelementtinä.
13. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että proxy-palvelin toimii GSM-verkon tukiasemaohjainta BSC emuloivana 10 verkkoelementtinä.
14. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että järjestelmä käsittää lisäksi sinänsä tunnetun Kerberos-palvelimen (KS), jonka käyttäjäksi tilaaja rekisteröidään onnistuneen autentikoinnin seurauksena.
15. Autentikointimenetelmä tietoliikenneverkkoja, erityisesti IP- verkkoja varten, jonka menetelmän mukaisesti todennetaan verkkoon kytkeytyneen tilaajan identiteetti, tunnettu siitä, että - verkon päätelaitteessa (TE1) käytetään oleellisesti samanlaista tilaajan tunnistusyksikköä (SIM) kuin tunnetussa matkaviestinjärjestelmässä 20 (MN), joka tunnistusyksikkö on sellainen, että sille syötteenä annetusta haas teesta saadaan tuloksena vaste, : - talletetaan tietokantaan (DB) tilaajakohtaista autentikointi- :informaatiota, joka on siten oleellisesti samanlaista kuin mainitussa matkavies-| tinjärjestelmässä autentikointiin käytettävä informaatio, että se sisältää ainakin :"! 25 haasteen ja vasteen, - verkossa käytetään lisäksi erityistä turvapalvelinta (SS) siten, että • a päätelaitteen kytkeytyessä verkkoon turvapalvelimelle lähetetään ilmoitus uudesta käyttäjästä, #Vi - vasteena ilmoitukselle haetaan uutta käyttäjää vastaavan tilaajan 30 autentikointi-informaatio mainitusta tietokannasta (DB), ja • * · ’’’ ’ - autentikointi suoritetaan tietokannasta saadun autentikointi- informaation perusteella lähettämällä verkon kautta mainittu haaste päätelait-teelle, generoimalla päätelaitteen tunnistusyksikössä haasteesta vaste ja vertaamalla vastetta tietokannasta saatuun vasteeseen.
16. Patenttivaatimuksen 15 mukainen menetelmä, tunnettu siitä, * *·' että tietokanta talletetaan turvapalvelimen yhteyteen.
17. Patenttivaatimuksen 15 mukainen menetelmä, tunnettu siitä, 20 105966 että vasteena onnistuneelle autentikoinnille suoritetaan tilaajan rekisteröinti erillisen avainten hallintajärjestelmän käyttäjäksi.
18. Patenttivaatimuksen 17 mukainen menetelmä, tunnettu siitä, että avainten hallintajärjestelmänä käytetään tunnettua Kerberos-järjestelmää.
19. Autentikointijärjestelmä tietoliikenneverkkoja, erityisesti IP- verkkoja varten, joka järjestelmä käsittää todennuselimet verkkoon kytkeytyneen tilaajan identiteetin todentamiseksi, tunnettu siitä, että todennuselimet käsittävät - verkon päätelaitteeseen (TE1) kytketyn tilaajan tunnistusyksikön 10 (SIM), joka on oleellisesti samanlainen kuin erillisessä matkaviestinjärjestelmässä (MN) käytettävä tilaajan tunnistusyksikkö ja jolle syötteenä annetusta haasteesta voidaan määrittää vaste, - ilmoituselimet (HA) ilmoituksen antamiseksi päätelaitteen kytkeytyessä verkkoon, 15. erityisen turvapalvelimen (SS) mainitun ilmoituksen vastaanottami seksi, - tietokantaelimet (SS, DB), jotka käsittävät tietokannan (DB), johon on talletettu tilaajakohtaista autentikointi-informaatiota, joka on siten oleellisesti samanlaista kuin mainitussa matkaviestinjärjestelmässä autentikointiin käytet- 20 tävä informaatio, että se sisältää ainakin haasteen ja vasteen, ja hakuelimet (SS) tilaajan autentikointi-informaation hakemiseksi mainitusta tietokannasta vasteena ilmoitukselle, - mainitun verkon puolella tiedonsiirto- ja tarkastuselimet mainitun haasteen lähettämiseksi verkon kautta tunnistusyksikölle, vasteen palauttami- 25 seksi päätelaitteelta verkolle ja saadun vasteen vertaamiseksi tietokannasta • ♦ v.; saatuun vasteeseen.
20. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, että mainittu tunnistusyksikkö on GSM-verkossa käytettävä tunnistusyksikkö :V: (SIM). • ·
21. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, m]· että ilmoituselimet on sovitettu mobile IP -verkon mukaiseen kotiagenttiin (HA).
• 22. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, että järjestelmä käsittää lisäksi sinänsä tunnetun Kerberos-palvelimen (KS), jonka asiakkaaksi tilaaja rekisteröidään onnistuneen autentikoinnin seurauk-.. 35 sena. 21 105966
FI981565A 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkossa FI105966B (fi)

Priority Applications (8)

Application Number Priority Date Filing Date Title
FI981565A FI105966B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkossa
DE19983405T DE19983405B4 (de) 1998-07-07 1999-06-24 System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
JP2000558685A JP2002520923A (ja) 1998-07-07 1999-06-24 移動通信システムにおける認証システム及び方法
AU49121/99A AU4912199A (en) 1998-07-07 1999-06-24 System and method for authentication in a mobile communications system
GB0100021A GB2355157B (en) 1998-07-07 1999-06-24 System and method for authentication in a mobile communications system
US09/743,302 US7003282B1 (en) 1998-07-07 1999-06-24 System and method for authentication in a mobile communications system
PCT/FI1999/000565 WO2000002406A2 (fi) 1998-07-07 1999-06-24 Authentication in a communications network
US11/293,188 US7280820B2 (en) 1998-07-07 2005-12-05 System and method for authentication in a mobile communications system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI981565A FI105966B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkossa
FI981565 1998-07-07

Publications (3)

Publication Number Publication Date
FI981565A0 FI981565A0 (fi) 1998-07-07
FI981565A FI981565A (fi) 2000-01-08
FI105966B true FI105966B (fi) 2000-10-31

Family

ID=8552157

Family Applications (1)

Application Number Title Priority Date Filing Date
FI981565A FI105966B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkossa

Country Status (7)

Country Link
US (2) US7003282B1 (fi)
JP (1) JP2002520923A (fi)
AU (1) AU4912199A (fi)
DE (1) DE19983405B4 (fi)
FI (1) FI105966B (fi)
GB (1) GB2355157B (fi)
WO (1) WO2000002406A2 (fi)

Families Citing this family (122)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6560216B1 (en) 1998-09-17 2003-05-06 Openwave Systems Inc. Data network computing device call processing
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US7032241B1 (en) * 2000-02-22 2006-04-18 Microsoft Corporation Methods and systems for accessing networks, methods and systems for accessing the internet
US7444669B1 (en) 2000-05-05 2008-10-28 Microsoft Corporation Methods and systems for providing variable rates of service for accessing networks, methods and systems for accessing the internet
US6834341B1 (en) 2000-02-22 2004-12-21 Microsoft Corporation Authentication methods and systems for accessing networks, authentication methods and systems for accessing the internet
AU4096201A (en) * 2000-03-15 2001-09-24 Nokia Corporation Method, and associated apparatus, for generating security keys in a communication system
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI108769B (fi) 2000-04-07 2002-03-15 Nokia Corp Liityntäpisteen liittäminen langattomassa tietoliikennejärjestelmässä
US6839562B2 (en) * 2000-04-11 2005-01-04 Telecommunication Systems, Inc. Intelligent delivery agent for short message distribution center
WO2001086883A2 (en) * 2000-05-05 2001-11-15 Nokia Internet Communications Inc. Method and apparatus for translating network address identifiers related to mobile stations
FI110558B (fi) * 2000-05-24 2003-02-14 Nokia Corp Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi
FI20001512A (fi) 2000-06-26 2001-12-27 Nokia Corp Salaamattoman käyttäjäliikenteen kontrollointi
GB2365264B (en) * 2000-07-25 2004-09-29 Vodafone Ltd Telecommunication systems and methods
FI110736B (fi) 2000-08-01 2003-03-14 Nokia Corp Datansiirtomenetelmä, tilaajapäätelaite ja GPRS/EDGE-radioliityntäverkko
JP2002064851A (ja) * 2000-08-18 2002-02-28 Nec Corp 移動通信システム及び移動通信端末の在圏位置情報整合方法
TW548535B (en) * 2000-10-17 2003-08-21 Ericsson Telefon Ab L M Security system
US20020056001A1 (en) * 2000-11-09 2002-05-09 Magee Stephen D. Communication security system
GB0028730D0 (en) * 2000-11-24 2001-01-10 Nokia Oy Ab Improvement in and relating to transaction security
GB2369530A (en) * 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
JP3990565B2 (ja) * 2000-12-25 2007-10-17 松下電器産業株式会社 セキュリティ通信パケット処理装置及びその方法
US7224801B2 (en) * 2000-12-27 2007-05-29 Logitech Europe S.A. Wireless secure device
FI115098B (fi) 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20020090089A1 (en) * 2001-01-05 2002-07-11 Steven Branigan Methods and apparatus for secure wireless networking
NZ536782A (en) * 2001-01-31 2005-10-28 Ntt Docomo Inc System for program delivery to a storage module of a mobile terminal
GB2366141B (en) * 2001-02-08 2003-02-12 Ericsson Telefon Ab L M Authentication and authorisation based secure ip connections for terminals
US20020138635A1 (en) * 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
GB0108041D0 (en) * 2001-03-30 2001-05-23 Nokia Networks Oy Presence service in IP multimedia
WO2002087272A1 (en) * 2001-04-25 2002-10-31 Nokia Corporation Authentication in a communication system
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7185362B2 (en) * 2001-08-20 2007-02-27 Qualcomm, Incorporated Method and apparatus for security in a data processing system
KR100422826B1 (ko) * 2001-08-27 2004-03-12 삼성전자주식회사 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
JP2003101570A (ja) * 2001-09-21 2003-04-04 Sony Corp 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム
FI114953B (fi) * 2001-09-28 2005-01-31 Nokia Corp Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
CA2358732A1 (en) * 2001-10-12 2003-04-12 Wmode Inc. Method and system for remote authentication of a digital wireless device using a personal identification number
US7649829B2 (en) 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
JP4019266B2 (ja) 2001-10-25 2007-12-12 日本電気株式会社 データ送信方法
US7409549B1 (en) * 2001-12-11 2008-08-05 Cisco Technology, Inc. Methods and apparatus for dynamic home agent assignment in mobile IP
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
GB0206849D0 (en) 2002-03-22 2002-05-01 Nokia Corp Communication system and method
US7356147B2 (en) * 2002-04-18 2008-04-08 International Business Machines Corporation Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient
KR100702288B1 (ko) * 2002-04-25 2007-03-30 닛본 덴끼 가부시끼가이샤 이동 통신망 시스템 및 이동 통신 방법
US7587498B2 (en) * 2002-05-06 2009-09-08 Cisco Technology, Inc. Methods and apparatus for mobile IP dynamic home agent allocation
FI20020982A (fi) * 2002-05-24 2003-11-25 Sonera Oyj Autentikointimenetelmä ja -järjestely
WO2003105436A1 (de) * 2002-06-07 2003-12-18 Siemens Aktiengesellschaft Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wireless lan (wlan)
ITRM20020335A1 (it) * 2002-06-14 2003-12-15 Telecom Italia Mobile Spa Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa.
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
MXPA05001699A (es) * 2002-08-16 2005-07-22 Togewa Holding Ag Metodo y sistema para autentificacion gsm al navegar en wlan.
US7239861B2 (en) * 2002-08-26 2007-07-03 Cisco Technology, Inc. System and method for communication service portability
GB0221674D0 (en) 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7870389B1 (en) * 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US20040203739A1 (en) * 2003-01-22 2004-10-14 Jun Li Mobile communication system
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
US20040202329A1 (en) * 2003-04-11 2004-10-14 Samsung Electronics Co., Ltd. Method and system for providing broadcast service using encryption in a mobile communication system
US7181196B2 (en) * 2003-05-15 2007-02-20 Lucent Technologies Inc. Performing authentication in a communications system
CN1297155C (zh) * 2003-06-10 2007-01-24 华为技术有限公司 全球移动通信***用户漫游到码分多址网络的鉴权方法
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US20050060551A1 (en) * 2003-09-15 2005-03-17 Barchi Ronald S. Terminal device IP address authentication
WO2005041610A1 (ja) * 2003-10-29 2005-05-06 Fujitsu Limited 無線装置
EP1680720B1 (en) * 2003-11-07 2012-01-04 Telecom Italia S.p.A. Method and system for the authentication of a user of a data processing system
US7185091B2 (en) * 2003-11-20 2007-02-27 Motorola, Inc. Method and system for transmitting compressed messages at a proxy to a mobile device in a network
US20050198506A1 (en) * 2003-12-30 2005-09-08 Qi Emily H. Dynamic key generation and exchange for mobile devices
KR100664110B1 (ko) * 2004-02-04 2007-01-04 엘지전자 주식회사 이동 통신 단말기의 사용제한 설정 방법
WO2005091666A1 (ja) * 2004-03-17 2005-09-29 Ip Talk Corporation 無線通信端末及び無線通信方法
US20050221853A1 (en) * 2004-03-31 2005-10-06 Silvester Kelan C User authentication using a mobile phone SIM card
EP1751945B1 (en) 2004-05-31 2018-02-21 Telecom Italia S.p.A. Method and system for a secure connection in communication networks
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
US7725716B2 (en) * 2004-06-28 2010-05-25 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
CN1993965A (zh) * 2004-06-29 2007-07-04 诺基亚公司 因特网高速分组接入
US7809381B2 (en) 2004-07-16 2010-10-05 Bridgeport Networks, Inc. Presence detection for cellular and internet protocol telephony
WO2006015266A2 (en) * 2004-07-30 2006-02-09 Meshnetworks, Inc. System and method for effecting the secure deployment of networks
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US8179870B2 (en) * 2004-09-29 2012-05-15 Intel Corporation Method and apparatus for securing devices in a network
EP1650924B1 (en) 2004-09-30 2007-03-21 Alcatel Mobile authentication for network access
US20060089123A1 (en) * 2004-10-22 2006-04-27 Frank Edward H Use of information on smartcards for authentication and encryption
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
US7616594B2 (en) * 2005-04-22 2009-11-10 Microsoft Corporation Wireless device discovery and configuration
DE102005027027B4 (de) * 2005-06-11 2014-07-31 Keynote Systems, Inc. Verfahren zur Authentisierung eines mobilen Testgerätes in einem Mobilfunknetz sowie Testsystem zur Überprüfung von Übertragungsvorgängen innerhalb eines Mobilfunknetzes und zur Durchführung eines derartigen Authentisierungsverfahrens
US8356175B2 (en) 2005-06-29 2013-01-15 Intel Corporation Methods and apparatus to perform associated security protocol extensions
US10867024B2 (en) * 2005-08-20 2020-12-15 Tara Chand Singhal Systems and methods for two-factor remote user authentication
US20070047477A1 (en) * 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
EP1982547B1 (en) 2006-01-24 2009-10-14 British Telecommunications Public Limited Company Method and system for recursive authentication in a mobile network
US8774155B2 (en) * 2006-02-03 2014-07-08 Broadcom Corporation Transporting call data via a packet data network
JP4903817B2 (ja) * 2006-02-23 2012-03-28 トゲバ ホールディング エージー 通信網ノード間でのユニキャスト又はマルチキャストのエンドツーエンドのデータ及び/又はマルチメディアストリーム伝送用の交換システム及び対応方法
EP1835688A1 (en) * 2006-03-16 2007-09-19 BRITISH TELECOMMUNICATIONS public limited company SIM based authentication
US8332923B2 (en) * 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
CN101184008B (zh) * 2007-12-14 2010-06-09 北京中星微电子有限公司 一种远程信息访问方法及装置
WO2009086661A1 (en) * 2007-12-29 2009-07-16 Motorola, Inc. User identification method and apparatus for multimedia priority service
WO2010064128A2 (en) * 2008-12-03 2010-06-10 Entersect Mobile Cc Secure transaction authentication
CN102326445A (zh) 2009-01-06 2012-01-18 宇宙桥有限公司 支持本地交换的基站子***多路复用器
EP2443811B1 (en) 2009-06-17 2018-10-17 Bridgeport Networks, Inc. Enhanced presence detection for routing decisions
US8375432B2 (en) * 2009-08-31 2013-02-12 At&T Mobility Ii Llc Methods, apparatus, and computer program products for subscriber authentication and temporary code generation
US8271784B2 (en) 2009-10-15 2012-09-18 International Business Machines Corporation Communication between key manager and storage subsystem kernel via management console
CN102396284B (zh) * 2009-10-30 2015-05-06 华为技术有限公司 用于传输净负荷数据的方法和设备
US8515063B2 (en) * 2009-12-21 2013-08-20 Motorola Mobility Llc Coordinated viewing experience among remotely located users
US8423760B2 (en) * 2010-02-23 2013-04-16 Stoke, Inc. Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment
US8862145B2 (en) * 2010-04-05 2014-10-14 Qualcomm Incorporated Method and apparatus to improvie idle mode power consumption in multiple USIM configuration
CN103338443B (zh) * 2013-05-29 2016-04-20 北京奇虎科技有限公司 一种终端安全保护方法和***
JP6248422B2 (ja) * 2013-06-05 2017-12-20 富士通株式会社 情報開示システム、情報開示プログラム及び情報開示方法
US9736705B2 (en) * 2013-07-11 2017-08-15 Nokia Solutions And Networks Oy Method and system for proxy base station
US10002248B2 (en) 2016-01-04 2018-06-19 Bank Of America Corporation Mobile device data security system
US9749308B2 (en) * 2016-01-04 2017-08-29 Bank Of America Corporation System for assessing network authentication requirements based on situational instance
US9912700B2 (en) 2016-01-04 2018-03-06 Bank Of America Corporation System for escalating security protocol requirements
US10003686B2 (en) 2016-01-04 2018-06-19 Bank Of America Corporation System for remotely controlling access to a mobile device
US9985834B1 (en) 2016-11-30 2018-05-29 Wipro Limited Methods and systems for auto-configuration of digital subscriber line (DSL) modems in wireline broadband networks
US10361858B2 (en) * 2017-04-07 2019-07-23 Hushmesh Inc. Residence-based digital identity and strong authentication system
US11233647B1 (en) 2018-04-13 2022-01-25 Hushmesh Inc. Digital identity authentication system
CN111030964A (zh) * 2018-10-09 2020-04-17 ***通信有限公司研究院 一种响应Detach指令的方法和设备
US11962617B2 (en) 2021-03-03 2024-04-16 Bank Of America Corporation Cross-channel network security system with tiered adaptive mitigation operations
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI96261C (fi) * 1992-12-01 1996-05-27 Nokia Telecommunications Oy Menetelmä tilaajan laitetunnuksen tarkistamiseksi tilaajalaiterekisteristä ja matkapuhelinkeskus
FI952146A (fi) * 1995-05-04 1996-11-05 Nokia Telecommunications Oy Tilaajalaitteen käyttoikeuden tarkistus
US5864757A (en) * 1995-12-12 1999-01-26 Bellsouth Corporation Methods and apparatus for locking communications devices
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
EP0960402B1 (en) 1996-06-19 2007-09-26 Behruz Vazvan Real time system and method for remote purchase payment and remote bill payment transactions and transferring of electronic cash and other required data
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US6496704B2 (en) * 1997-01-07 2002-12-17 Verizon Laboratories Inc. Systems and methods for internetworking data networks having mobility management functions
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
FI102499B1 (fi) * 1997-03-10 1998-12-15 Nokia Telecommunications Oy Kopioitujen SIM-korttien etsintä
WO1998044402A1 (en) * 1997-03-27 1998-10-08 British Telecommunications Public Limited Company Copy protection of data
US6466780B1 (en) * 1997-09-03 2002-10-15 Interlok Technologies, Llc Method and apparatus for securing digital communications
US6148402A (en) * 1998-04-01 2000-11-14 Hewlett-Packard Company Apparatus and method for remotely executing commands using distributed computing environment remote procedure calls

Also Published As

Publication number Publication date
JP2002520923A (ja) 2002-07-09
FI981565A (fi) 2000-01-08
GB0100021D0 (en) 2001-02-14
US7280820B2 (en) 2007-10-09
GB2355157B (en) 2003-03-19
DE19983405B4 (de) 2011-08-18
AU4912199A (en) 2000-01-24
DE19983405T1 (de) 2001-05-31
US7003282B1 (en) 2006-02-21
US20060073811A1 (en) 2006-04-06
GB2355157A (en) 2001-04-11
WO2000002406A3 (fi) 2000-02-24
WO2000002406A2 (fi) 2000-01-13
FI981565A0 (fi) 1998-07-07

Similar Documents

Publication Publication Date Title
FI105966B (fi) Autentikointi tietoliikenneverkossa
EP1500223B1 (en) Transitive authentication authorization accounting in interworking between access networks
US7200383B2 (en) Subscriber authentication for unlicensed mobile access signaling
EP1095533B1 (en) Authentication method and corresponding system for a telecommunications network
KR100450973B1 (ko) 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7079499B1 (en) Internet protocol mobility architecture framework
CA2530891C (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
US7483411B2 (en) Apparatus for public access mobility LAN and method of operation thereof
US6477644B1 (en) Mobile internet access
US6526033B1 (en) Delivering calls to GSM subscribers roaming to CDMA networks via IP tunnels
US6493551B1 (en) GSM MoU bypass for delivering calls to GSM subscribers roaming to CDMA networks
US8184615B2 (en) Wireless terminal methods and apparatus for establishing connections
US7460504B2 (en) Base station methods and apparatus for establishing connections
US20070113269A1 (en) Controlling access to a network using redirection
KR100945612B1 (ko) 클라이언트-모바일-ip(cmip) 대신프록시-모바일-ip(pmip)의 가입자-지정 강화
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
WO2001084765A2 (en) Method and system for transmission of access and application information over public ip networks
KR20050116817A (ko) 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘
KR20050051639A (ko) 랜-범용 무선전화 시스템에서의 id 보호
Haverinen et al. Authentication and key generation for mobile IP using GSM authentication and roaming
KR20080007579A (ko) 무선 근거리 네트워크에서의 안전한 핸드오프
MX2008004841A (en) Wireless terminal methods and apparatus for establishing connections