FI105966B - Autentikointi tietoliikenneverkossa - Google Patents
Autentikointi tietoliikenneverkossa Download PDFInfo
- Publication number
- FI105966B FI105966B FI981565A FI981565A FI105966B FI 105966 B FI105966 B FI 105966B FI 981565 A FI981565 A FI 981565A FI 981565 A FI981565 A FI 981565A FI 105966 B FI105966 B FI 105966B
- Authority
- FI
- Finland
- Prior art keywords
- network
- subscriber
- response
- authentication
- terminal
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
105966
Autentikointi tietoliikenneverkossa
Keksinnön ala
Keksintö liittyy autentikointiin tietoliikenneverkossa, erityisesti IP-5 verkossa (IP=lnternet Protocol) ja lisäksi verkon tietoturvaominaisuuksien parantamiseen suoritetun autentikoinnin avulla. Autentikoinnilla tarkoitetaan tietoa generoineen osapuolen, kuten tilaajan, identiteetin todennusta. Autentikoinnin avulla voidaan myöskin taata kyseisen tiedon eheys (integrity) ja luottamuksellisuus (confidentiality). Autentikointi voidaan suorittaa erilaisia 10 tarkoitusperiä, kuten verkkopalvelujen käyttöoikeuksien tarkistamista varten. Keksintö on tarkoitettu käytettäväksi erityisesti liikkuvien päätelaitteiden yhteydessä, mutta keksinnön mukaisella ratkaisulla saavutetaan etuja myös kiinteiden päätelaitteiden yhteydessä.
15 Keksinnön tausta
Eräs viime vuosien merkittävimpiä viestintään liittyviä ilmiöitä on ollut
Internet-käyttäjien voimakas kasvu. Nopea kasvu on myös nopeasti tuonut esiin Internetin puutteita. Eräs näistä on verkon heikko tietoturva. Nykyisin yleisesti käytössä oleva IP-protokollaversio (IPv4) ei tarjoa välineitä, joilla 20 voitaisiin varmistaa, että vastapäästä tullut informaatio ei muuttunut siirron . aikana tai että informaatio ylipäätään tuli siltä lähteeltä, joka väittää lähettä- ] neensä ko. informaation. Lisäksi verkossa on helppo käyttää erilaisia työkaluja, • « * joilla voidaan kuunnella liikennettä. Tästä johtuen ovat mm. sellaiset järjestel- • · · ’** ! mät, jotka lähettävät salaamattomana kriittistä informaatiota, esim. salasanoja, 25 erittäin haavoittuvia.
• * * · · '*·/ IP:n uudessa versiossa (IPv6) on sisäisesti ominaisuuksia, jotka v : mahdollistavat turvallisen kommunikoinnin Internet-käyttäjien välillä. Koska muutos uuteen protokollaan tulee olemaan hidas, tietoturvaominaisuuksien :V: tulee olla sellaisia, että ne ovat yhteensopivia nykyisen IP-version (IPv4) 30 kanssa ja lisättävissä siihen.
Internetin tietoturvaominaisuuksien parantamiseksi on kehitetty erilai-:..Γ siä järjestelmiä, joiden avulla käyttäjät voivat lähettää tiedon salattuna vastak- kaiselle osapuolelle. Eräs tällainen järjestelmä on Kerberos, joka on palvelu, jonka avulla verkon käyttäjät ja palvelut voivat autentikoida toisensa ja jonka 35 avulla käyttäjät ja palvelut voivat luoda väliinsä salattuja yhteyksiä. Kerberos-järjestelmää käytetään hyväksi esillä olevan keksinnön eräässä toteutustavas- 2 105966 sa, jota kuvataan tarkemmin jäljempänä.
Toinen nykyisin vaikuttava suuntaus on erilaisten liikkuvien päätelaitteiden voimakas yleistyminen. Tämän kehityksen myötä on entistä tärkeämpää, että päätelaitteet saavat liitynnän (access) dataverkkoon myös silloin, kun 5 he ovat kotiverkkonsa ulkopuolella. Tällainen liityntä voi oleellisesti parantaa esim. kannettavan tietokoneen käytettävyyttä silloin, kun käyttäjä ei ole tavanomaisessa työympäristössään. Liityntäpisteitä voi olla esim. lentokentillä, rautatieasemilla, ostoskeskuksissa tms. julkisissa tiloissa ja liityntä voi tapahtua langallisesti tai langattomasi!.
10 Edellä mainitun kaltaiset järjestelmät, joiden avulla voidaan lähettää salattua tietoa osapuolien välillä on tarkoitettu lähinnä kiinteille päätelaitteille ja ne edellyttävät, että käyttäjät ovat etukäteen rekisteröityneet palvelun käyttäjiksi. Ongelmana nykyisin onkin se, että päätelaitteiden liikkuvuutta tukeville IP-verkoille ei ole olemassa toimivaa autentikointi- tai avaimienhallintajärjestel- 15 mää, joka takaisi hyvän maantieteellisen kattavuuden ja mahdollistaisi samalla sen, että käyttäjä voi helposti saada autentikoidun ja turvallisen yhteyden käyttöönsä maantieteellisesti mahdollisimman laajalla alueella.
Keksinnön yhteenveto 20 Keksinnön tarkoituksena on päästä eroon edellä kuvatusta epäkoh- . dasta ja saada ratkaisu, jonka avulla tietoliikenneverkon, kuten IP-verkon • » · '' V käyttäjät saadaan autentikoitua yksinkertaisesti ja joustavasti lähes riippumatta • « * siitä, missä päin heidän kulloinenkin verkkoliityntäpisteensä sijaitsee maantie- • · ; teellisesti.
' ’ 25 Tämä päämäärä saavutetaan ratkaisulla, joka on määritelty itsenäi- \v sissä patenttivaatimuksissa.
• · · v : Keksinnössä hyödynnetään olemassa olevan matkaviestinverkon, erityisesti GSM-verkon (Global System for Mobile Communications), autenti-kointimenetelmää IP-verkossa (tai muussa matkaviestinverkkoon nähden • · 30 erillisessä verkossa). Tämä tarkoittaa sitä, että IP-verkon käyttäjä käyttää IP- * ,.· verkon päätelaitteessaan samaa (tai oleellisesti samanlaista) tilaajan tunnis- • : tusyksikköä (SIM-korttia) kuin matkapuhelimessaan tai -viestimessään. Ajatuk- sena on hakea tilaajan autentikointitiedot matkaviestinverkosta IP-verkon puolelle ja suorittaa autentikointi näiden tietojen perusteella IP-verkossa.
35 Matkaviestinverkko ei välttämättä ole GSM-verkko, vaan se voi olla jokin muukin matkaviestinverkko, jossa autentikointia käytetään oleellisesti samalla 3 105966 tavalla, esim. DCS-verkko (Digital Cellular System), GPRS-verkko (General Packet Radio Service, joka on GSM:n aliverkko) tai UMTS-verkko (Universal Mobile Telecommunications System).
Keksinnön erään edullisen toteutustavan mukaisesti käyttäjä rekiste-5 röidään, vasteena onnistuneelle autentikoinnille, erilliselle avaimienhallintajär-jestelmälle, edullisesti Kerberos-järjestelmälle, jolloin keskenään kommunikoivien käyttäjien välille pystytään tämän jälkeen helposti luomaan salattu kanava. Tämä on tärkeätä erityisesti silloin, kun ainakin osa siirtoyhteydestä muodostuu radiotiestä.
10 Keksinnön mukaisen ratkaisun ansiosta IP-verkon käyttäjät saadaan autentikoitua helposti ja joustavasti ja käyttäjät pystyvät lisäksi saamaan tehokkaat turvaominaisuudet käyttöönsä maantieteellisesti laajalla alueella. Tämä johtuu toisaalta GSM-verkkojen laajasta levinneisyydestä ja toisaalta siitä, että operaattorien väliset roaming-sopimukset mahdollistavat vieraaseen 15 verkkoon tulevien tilaajien autentikoinnin. Esim. eräällä suomalaisella GSM-operaattorilla on tällä hetkellä (1998) yhteisliikennesopimuksia yli 60 maassa toimivien operaattorien kanssa.
Keksinnön mukaisen ratkaisun ansiosta ISP-operaattorien (Internet Service Provider), jotka tarjoavat tyypillisesti myös matkaviestinpalveluja, ei 20 tarvitse erikseen hankkia autentikointi- ja avaimienhallintajärjestelmiä IP-, verkkoon, vaan he voivat hyödyntää operoimansa matkaviestinverkon ominai- ‘V suuksia myös tähän tarkoitukseen.
*.*" Keksinnön mukaisella ratkaisulla saavutetaan kiinteiden päätelaittei- • · · ; den yhteydessä myös sellainen etu, että matkaviestinverkon yhteyteen raken- ’ ' 25 nettuja toimintoja voidaan käyttää hyväksi Internet-palvelujen yhteydessä.
v.: Esim. organisaatio, joka toimii sekä matkaviestinoperaattorina että ISP- • · · : operaattorina voi hyödyntää matkaviestinverkon yhteyteen rakennettuja las kutuspalveluja laskuttaakseen Internet-palvelujen tarjoamisesta. Kun kiinteät- :Y: kin päätelaitteet autentikoidaan keksinnön mukaisella menetelmällä, saavute- • · 30 taan suuri varmuus siitä, että lasku kohdistuu oikeaan tilaajaan. Lisäksi tilaaja ..· saadaan autentikoitua, vaikka hän kytkeytyisi verkkoon vieraalta päätelaitteel- • «
• * * I
• ta.
• · · • < • · ·
Kuvioluettelo 35 Seuraavassa keksintöä ja sen edullisia toteutustapoja kuvataan tar kemmin viitaten kuvioihin 1 ...10 oheisten piirustusten mukaisissa esi- 4 105966 merkeissä, joissa kuvio 1 havainnollistaa erästä keksinnön mukaisen menetelmän toimintaympäristöä, 5 kuvio 2 esittää eri elementtien välillä käytävää sanomanvaihtoa, kun päätelaite kytkeytyy verkkoon tai irrottautuu verkosta, kuvio 3 havainnollistaa niiden sanomien rakennetta, joiden avulla ilmoitetaan järjestelmän palvelimelle, että käyttäjä on kytkeytynyt verkkoon tai irrottautunut verkosta, 10 kuvio 4 esittää autentikoinnin aikana eri elementtien välillä käytävää sanomanvaihtoa, kuvio 5 havainnollistaa kuvion 5 sanomien yleistä rakennetta, kuvio 6 havainnollistaa järjestelmän niitä elementtejä, joilla hankitaan yhteyskohtainen salausavain kahden päätelaitteen välille, 15 kuvio 7 esittää sanomanvaihtoa, joka käydään aloituspääsylipun saamiseksi Kerberos-palvelimelta, kuvio 8 havainnollistaa päätelaitteen keksinnön kannalta oleellisia osia, kuvio 9 esittää sanomanvaihtoa, joka käydään salausavaimen saamiseksi kahden päätelaitteen väliseen kommunikointiin, ja 20 kuvio 10 havainnollistaa järjestelmän erästä vaihtoehtoista toteutustapaa.
I ( · · ''V Keksinnön yksityiskohtainen kuvaus
Seuraavassa keksintöä kuvataan viitaten verkkoympäristöön, jossa
:·: ; tilaajien liikkuvuutta tuetaan Mobile IP -protokollan (jatkossa MIP) avulla. MIP
’ * 25 on olemassa olevan IP:n versio, joka tukee päätelaitteen liikkuvuutta. (MIP- • · :.v periaatetta kuvataan esim. RFC 2002:ssa, October 1996 tai artikkelissa Upkar • · · v : Varshney, Supporting Mobility with Wireless ATM, Internet Watch, January 1997.) MIP perustuu siihen, että kullakin liikkuvalla tietokoneella tai solmulla · 30 (mobile host, mobile node) on sille osoitettu agentti (“kotiagentti”, home agent), joka välittää paketit liikkuvan solmun sen hetkiseen sijaintipaikkaan. Kun • · ' ’* liikkuva solmu liikkuu aliverkosta toiseen, se rekisteröityy kyseistä aliverkkoa t · i palvelevalle agentille ("vierailuagentti”, foreign agent). Viimemainittu suorittaa tarkistuksia liikkuvan solmun kotiagentin kanssa, rekisteröi liikkuvan solmun ja . ··. 35 lähettää sille rekisteröinti-informaation. Liikkuvalle solmulle osoitetut paketit lähetetään liikkuvan solmun alkuperäiseen sijaintipaikkaan (kotiagentille), josta 5 105966 ne välitetään edelleen sen hetkiselle vierailuagentille, joka lähettää ne edelleen liikkuvalle solmulle.
Kuviossa 1 on esitetty keksinnön mukaisen menetelmän tyypillistä toimintaympäristöä. Järjestelmän ytimen muodostaa turvapalvelu SS, joka on 5 toisaalta kytketty Internetiin ja toisaalta proxy-palvelimeen HP, jolla on pääsy erilliseen matkaviestinverkkoon MN, joka on tässä esimerkissä GSM-verkko. Proxy-palvelin muodostaa verkkoelementin, joka välittää (myöhemmin kuvattavalla tavalla) liikennettä turvapalvelimen ja matkaviestinverkkojen kotirekisterien HLR välillä, jotka viimemainitut sijaitsevat tilaajien kotiverkoissa. Käytän-10 nössä sekä proxy- että turvapalvelu ovat verkko-operaattorin tiloissa, esim. samassa huoneessa, joten vaikka turvapalvelimen ja proxy-palvelimen välillä onkin IP-yhteys, se on turvattu yhteys. Koska GSM-verkko on sinänsä tunnettu, eikä keksintö edellytä muutoksia siihen, ei sitä kuvata tässä yhteydessä tarkemmin.
15 Järjestelmän alueella liikkuvilla käyttäjillä on käytössään kannettavia tietokoneita, PDA-laitteita, älypuhelimia tai muita vastaavia päätelaitteita. Kuviossa on viitemerkillä ASIAKAS (client) havainnollistettu vain yhtä päätelaitetta TE1. Asiakkaalla tarkoitetaan tässä yhteydessä yleisesti oliota, joka käyttää verkon tarjoamia palveluja, joita verkon palvelimet suorittavat. Usein 20 asiakkaalla tarkoitetaan ohjelmaa, joka ottaa verkon käyttäjän puolesta yhte- .·. yttä palvelimeen.
• «· · “V Kuvioon on merkitty kaksi aliverkkoa, jotka voivat käytännössä olla esim. Ethernet-lähiverkkoja, joissa siirretään TCP/IP-paketteja: kyseisen käyt-; täjän kotiverkko HN sekä vierailuverkko FN, johon päätelaitteen TE1 oletetaan
* ' 25 olevan yhteydessä. Nämä aliverkot ovat kumpikin yhdyskäytäväkoneen GW
» · v.: (reitittimen) avulla yhteydessä Internetiin. Kotiverkossa on kyseisen liikkuvan * · · v : tietokoneen kotiagentti HA ja vierailuverkossa vastaavasti vierailuagentti FA.
Liitynnät aliverkkoihin tapahtuvat liittymäpisteiden (access point) AP kautta, :Y: esim. langattomasi!, kuten kuviossa esitetään.
« _ 30 Päätelaitteet muodostuvat kahdesta osasta samaan tapaan kuin tavanomainen GSM-puhelin: varsinaisesta tilaajalaitteesta, esim. kannetta- : vasta tietokoneesta (ohjelmistoineen) ja SIM-kortista (Subscriber Identity
Module), jolloin tilaajalaitteesta tulee verkon kannalta toimiva päätelaite vasta kun SIM-kortti on työnnetty siihen. SIM-kortti on tässä esimerkkitapauksessa 35 GSM-verkossa käytettävä tilaajan tunnistusyksikkö. Päätelaitteella voi olla pääsy vain IP-verkkoon tai se voi olla ns. dual mode -laite, jolla on pääsy sekä 6 105966 IP-verkkoon että GSM-verkkoon. Liityntä IP-verkkoon tapahtuu esim. päätelaitteessa olevan LAN-kortin avulla ja GSM-verkkoon GSM-kortin avulla, joka on käytännössä riisuttu puhelin, joka on sijoitettu esim. tietokoneen PCMCIA-korttipaikkaan.
5 Keksinnön edullisessa toteutustavassa turvapalvelimen yhteydessä on myös sinänsä tunnettu Kerberos-palvelin KS, jonka avulla toteutetaan salatut yhteydet jäljempänä kuvattavalla tavalla. Turvapalvelin ja Kerberos-palvelin voivat olla fyysisesti samalla koneella.
Jotta turvapalvelin tietäisi, koska käyttäjä tulee IP-verkkoon tai poistuu 10 siitä, luodaan turvapalvelimen ja kotiagentin välille kanava kuviossa 2 esitetyllä tavalla. MlP-protokollan mukaisesti vierailuagentti FA lähettää omaan aliverkkoonsa jatkuvasti broadcast-sanomia, joita kutsutaan nimellä “agent advertisement” ja joita on kuviossa merkitty viitemerkillä AA. Kun päätelaite kytkeytyy kyseiseen aliverkkoon, se vastaanottaa näitä sanomia ja päättelee niiden 15 perusteella, onko se omassa kotiverkossaan vai jossakin muussa verkossa. Jos päätelaite huomaa, että se on kotiverkossaan, se toimii ilman liikkuvuuteen liittyviä palveluja (mobility services). Muussa tapauksessa päätelaite saa c/o-osoitteen (care-of address) ko. vieraaseen verkkoon. Tämä osoite on verkon sen pisteen osoite, johon päätelaite on väliaikaisesti kytkeytyneenä. Tämä 20 osoite muodostaa samalla ko. päätelaitteelle johtavan tunnelin (tunnel) päätepisteen (termination point). Päätelaite saa osoitteen tyypillisesti em. broadcast-sanomista, joita vierailuagentti lähettää. Tämän jälkeen päätelaite lähettää omalle kotiagentilleen rekisteröintipyyntösanoman RR (Registration Request) : vierailuagentin FA kautta. Sanoma sisältää mm. sen c/o-osoitteen, jonka 25 päätelaite on juuri saanut. Vastaanottamansa pyyntösanoman perusteella :V: kotiagentti päivittää kyseisen päätelaitteen sijaintitiedon tietokantaansa ja lähettää päätelaitteelle vierailuagentin kautta rekisteröintivastauksen (Registration Reply) R_Reply. Vastaussanomassa on kaikki tarpeelliset tiedot siitä, miten (millä ehdoilla) kotiagentti on hyväksynyt rekisteröintipyynnön.
30 Kaikki edellä kuvatut, päätelaitteen, vierailuagentin ja kotiagentin • · · väliset sanomat ovat normaaleja MlP-protokollan mukaisia sanomia. Liikkuva • · : *·· solmu voi rekisteröityä myös suoraan kotiagentille. Em. RFC:ssä on kuvattu ne •«· säännöt, jotka määräävät sen, rekisteröityykö liikkuva solmu kotiagentille :·. suoraan vai vierailuagentin kautta. Jos liikkuva solmu saa c/o-osoitteen edellä 35 kuvatulla tavalla, on rekisteröinti tehtävä aina vierailuagentin kautta. MIP- • · protokollan mukaan rekisteröinnin yhteydessä suoritetaan myös autentikointi, 7 105966 jonka tarkoituksena on vähentää virheiden esiintymistä rekisteröitymisen yhteydessä. Rekisteröinti perustuu rekisteröintisanomasta (rekisteröintipyyn-nöstä tai -vastauksesta) laskettuun tarkistusarvoon ja rekisteröinti on tehtävä vain liikkuvan solmun ja sen kotiagentin välillä, joilla on yhteisesti jaettu kiinteä 5 avain (joka on etukäteen sovittu). Vierailuagentti ei näin ollen välttämättä pysty autentikoimaan liikkuvaa solmua. Tämä ongelma korostuu, jos järjestelmässä pyritään mahdollisimman laajaan maantieteelliseen kattavuuteen.
Keksinnön mukaisesti kotiagenttiin on lisätty toiminne, jonka mukaan kotiagentti lähettää turvapalvelimelle tiedon verkkoon kytkeytyvästä päätelait-10 teestä sen jälkeen, kun rekisteröintipyyntösanoma on tullut vierailuagentilta. Tätä sanomaa on kuviossa merkitty viitemerkillä MOB_ATTACH. Vastaavasti kotiagentti lähettää turvapalvelimelle tiedon verkosta poistuneesta päätelaitteesta sen jälkeen, kun päätelaite on kytkeytynyt irti verkosta (päätelaite kytkeytynyt irti verkosta tai sille annetun osoitteen elinaika on umpeutunut). Tätä 15 sanomaa on kuviossa merkitty viitemerkillä MOB_DETACH. Kumpaankin sanomatyyppiin turvapalvelu lähettää kuittaussanoman (MOB_ACK). Sanomat MOB_ATTACH ja MOB_DETACH vastaavat käyttötarkoitukseltaan GSM-verkossa käytettäviä IMSI attach/detach -proseduureja.
Kotiagentti monitoroi turvapalvelimelta tulevia vastauksia ja lähettää 20 sanomat uudelleen (samoilla parametreillä), jos turvapalvelimelta ei tule kuit- . taussanomaa ennalta määrätyn pituisen ajan, esim. 30 sekunnin, kuluessa.
« · I
"V Kuviossa 3 on havainnollistettu sanomien MOB ATTACH, MOB DETACH ja MOB ACK rakennetta. Sanomissa on tyyppikenttä 31, joka > · · ; identifioi sanoman tyypin, numerokenttä 32, joka sisältää istunnon identifioivan | / 25 satunnais- tai järjestysnumeron ja osoitekenttä 33, joka sisältää asiakkaan IP- osoitteen. Viimemainittua kenttää ei ole kuittaussanomassa. Sanomat lähete- • · · : tään IP-tietosähkeiden hyötykuormalle varatuissa kentissä.
Kun siis päätelaite on kytkeytynyt verkkoon, turvapalvelin saa siis kotiagentilta tiedon ko. päätelaitteen IP-osoitteesta. Tämän jälkeen seuraa 30 asiakkaan autentikointi, jota kuvataan seuraavassa viitaten kuvioon 4. Autenti-
..· kointia varten turvapalvelin kysyy ensin asiakkaalta tilaajatunnusta IMSI
• * (International Mobile Subscriber Identity), joka on talletettu SIM-kortille ’··/ (sanoma AUTH_ID_REQ). Tähän asiakas vastaa antamalla vastaussanomas- sa AUTH_ID_RSP tilaajatunnuksensa IMSI (joka on GSM-spesifikaatioiden 35 mukainen 9 tavun pituinen tunniste). Kysely kulkee kotiagentin kautta em. tunnelin päätepisteeseen, mutta vastaus tulee päätelaitteelta suoraan turva- 8 105966 palvelimelle.
Jos asiakkaan IP-osoite ei vaihdu usein, on edullisempaa tallettaa turvapalvelimelle IP-osoitteita vastaavat IMSI-tunnisteet, jolloin tunnisteita ei tarvitse turhaan siirtää verkossa. Edellä mainitut sanomat eivät siten ole vält-5 tämättömiä.
Kun päätelaite on ilmoittanut IMSI-tunnisteensa tai kun turvapalvelu on hakenut sen tietokannastaan, turvapalvelu käynnistää varsinaisen autenti-koinnin. Jotta päätelaitteen SIM-kortti voitaisiin autentikoida, turvapalvelimelta on oltava yhteys tilaajan oman GSM-verkon kotirekisterin HLR yhteydessä 10 olevaan tunnistuskeskukseen AuC (Authentication Center). Tämä toteutetaan proxy-palvelimella HP, joka toimii yhdistävänä verkkoelementtinä IP-verkon ja GSM-verkon, tarkemmin sanottuna IP-verkon ja GSM-verkon käyttämän SS7-merkinantoverkon välillä. Autentikoinnissa tarvittava GSM-verkon palvelu on MAP_SEND_AUTHENTICATIONJNFO (GSM 9.02, v. 4.8.0). Tämä palvelu 15 toteutetaan proxy-palvelimen HP avulla, joka voidaan sijoittaa paikallisen GSM-operaattorin tiloihin. Turvapalvelu lähettää proxy-palvelimelle autenti-kointipyyntösanoman SEC_INFO_REQ, joka sisältää yhteysistuntotunnisteen ja tilaajatunnuksen IMSI. Proxy-palvelin lähettää puolestaan tunnistuskeskuk-selle AuC MAP-protokollan (Mobile Application Part) mukaisen kyselysano-20 man, jolla pyydetään tunnistuskolmikkoa (authentication triplet) ja joka lähete-. tään normaalisti VLR:n ja HLR:n välillä. Vasteena tälle kyselysanomalle HLR
]'V palauttaa proxy-palvelimelle tavanomaisen tunnistuskolmikon, joka sisältää haasteen (RAND), vasteen SRES (Signed Response) ja avaimen Ke (GSM- • « · ; verkossa käytettävä yhteyskohtainen salausavain). Proxy-palvelin välittää 25 kolmikon edelleen turvapalvelimelle sanomassa SEC_INFO_RSP. Turvapal- v.: velin tallettaa kolmikon ja lähettää (sanoma AUTH_CHALLENGE_REQ) ··· : haasteen edelleen päätelaitteen SIM-kortille, joka generoi sen perusteella vasteen (SRES) ja avaimen Ke. Päätelaite tallettaa avaimen ja lähettää (sanoma AUTH_CHALLENGE_RSP) vasteen (SRES) takaisin turvapalvelu :*·*: 30 melle.
..· Päätelaitteessa on edullista olla tietokanta, johon haasteet talletetaan.
« · \ Tällä tavalla pystytään varmistautumaan siitä, että yhtä haastetta käytetään « * ’···’ vain kerran. Tällä tavalla pystytään estämään se, ettei kukaan pysty esiinty- mään turvapalvelimena nappaamalla verkosta (salaamattoman) haasteen ja • .··*: 35 vasteen ja selvittämällä niiden perusteella avaimen Ke. Jos sama haaste tulee • ·« uudelleen, ei ko. haasteeseen vastata. Turvapalvelu voi myös suodattaa 9 105966 sellaiset haasteet, jotka on jo käytetty ja tarvittaessa pyytää uutta tunnistus-kolmikkoa GSM-verkosta, jotta päätelaitteelle ei turhaan lähetetä jo käytettyä haastetta.
Proxy-palvelin HP toimii järjestelmässä virtuaalisena vierailijarekisteri-5 nä VLR, koska se näkyy, ainakin tunnistuskolmikkokyselyjen osalta, kotirekisteristä päin samanlaiselta verkkoelementiltä kuin GSM-verkon aidot vierailijarekisterit. Proxy-palvelin toimii myös suodattimena, joka sallii vain tunnistuskolmikkokyselyjen pääsyn GSM-järjestelmän signalointiverkkoon. Proxy-palvelin ei myöskään häiritse muita GSM-verkon puolella kotirekisteriltä tehtä-10 viä kyselyjä.
Kuviossa 5 on havainnollistettu kuviossa 4 esitettyjen sanomien yleistä rakennetta. Sanomissa on tyyppikenttä 51, joka identifioi sanoman tyypin, numerokenttä 52, joka sisältää istunnon identifioivan satunnais- tai järjestysnumeron ja hyötykuormakenttä 53, jonka pituus vaihtelee sen mu-15 kaan, mikä sanoma on kysymyksessä. Turvapalvelimen ja päätelaitteen välisissä sanomissa kaksi ensimmäistä kenttää ovat kaikissa sanomissa, mutta hyötykuormakenttää ei ole sanomassa AUTH_ID_REQ. Sanomassa AUTH_ID_RSP hyötykuormakenttä on 9 tavun pituinen (IMSIn pituus 1+8 tavua), sanomassa AUTH_CHALLENGE_REQ 16 tavun pituinen (RANDin 20 pituus 16 tavua) ja sanomassa AUTH_CHALLENGE_RSP 4 tavun pituinen . (SRES on 4 tavun pituinen). Turvapalvelimen ja proxy-palvelimen välisissä sanomissa hyötykuormakenttä on 9 tavun pituinen (IMSI) sanoman SECJNFO_REQ tapauksessa ja nx28 tavun pituinen sanoman :.i : SEC_INFO_RSP tapauksessa (kolmikossa on yhteensä 28 tavua ja verk- 25 koelementit on yleensä konfiguroitu niin, että ne lähettävät 1...3 tilaajakoh-*·**·.: täistä kolmikkoa kerrallaan). Kuten aiemmin todettiin, proxy-palvelimen ja kotirekisterin HLR välillä käytetään tavanomaista GSM-verkon merkinantoa.
Turvapalvelu vertaa päätelaitteelta vastaanottamaansa vastetta kolmikossa tulleeseen vasteeseen ja mikäli vertailussa havaitaan, että vasteet • · · * 30 ovat samat, autentikointi on onnistunut.
• · ·
Vasteena onnistuneelle autentikoinnille turvapalvelu käynnistää . : rekisteröinnin Kerberos-palvelimelle. Kerberos-palvelimella tarkoitetaan tässä
f ( I
yhteydessä prosessia, joka tarjoaa Kerberos-palvelua. Kerberos-palvelin : . sijaitsee edullisesti turvapalvelimen yhteydessä, kuten kuviossa 1 esitetään.
’··. 35 Kerberos on järjestelmä, joka on tarkoitettu verkon käyttäjien ja pal- « velujen autentikointiin. Se on luotettu (trusted) palvelu siinä mielessä, että 10 105966 kukin sen asiakkaista luottaa siihen, että järjestelmän arvio sen kaikista muista asiakkaista on oikea. Koska Kerberos-järjestelmä on sinänsä tunnettu, eikä sen toimintaa muuteta mitenkään, ei sitä kuvata tässä yhteydessä yksityiskohtaisesti. Järjestelmää kuvataan esim. dokumentissa Steiner, Neuman, 5 Schiller: Kerberos: An Authentication Service for Open Network Systems, January 12, 1988, josta kiinnostunut lukija löytää halutessaan taustainformaa-tiota. Seuraavassa kuvauksessa käytetään samoja merkintätapoja kuin em. dokumentissa. Kuvaus perustuu Kerberoksen versioon 4. c -> asiakas (client), 10 s -» palvelin c-addr -» asiakkaan verkko-osoite tgs -> pääsylipunantopalvelin
Kx -» x:n henkilökohtainen avain
Kxy —> istuntoavain x:lle ja y:lle 15 {abc}Kx -> abc salattuna x:n henkilökohtaisella avaimella
Tx,y x:n pääsylippu y:n käyttämiseksi.
Kuviossa 6 on havainnollistettu Kerberos- ja autentikointisovellusten olioita. Kuviossa on oletettu, että järjestelmällä on kaksi asiakasta, A ja B. Kumpikin asiakas voi olla päätelaite, jonka turvapalvelu on autentikoinut edellä 20 kuvatulla tavalla, kun ne ovat kytkeytyneet IP-verkkoon tai toinen voi olla . “kiinteästi” autentikoitu asiakas, esim. palvelin. Kerberos-sovellus koostuu :::kahdesta osasta: asiakasohjelmasta KC, joka sijaitsee päätelaitteella ja palve-linohjelmasta KS, joka sijaitsee turvapalvelimella. Palvelinohjelmaan kuuluu : myös pääsylipunantopalvelin TGS (ticket granting server). Vastaavasti autenti- 25 kointisovellus koostuu kahdesta osasta: asiakasohjelmasta AC, joka sijaitsee « · v.: päätelaitteella ja palvelinohjelmasta AS, joka sijaitsee turvapalvelimella. Kom- :T: munikointi tapahtuu IP/MIP/IP-SEC-pinojen avulla, joita kuvataan tarkemmin jäljempänä.
Seuraavassa kuvataan, kuinka Kerberos-protokollaa käytetään luo- • · 30 maan yhteyskohtainen avain päätelaitteiden A ja B välille.
Kun turvapalvelu on havainnut autentikoinnin onnistuneen, se käyn- *: *" nistää Kerberos-asiakkaan rekisteröinnin Kerberos-palvelimelle. Käytännössä • · < tämä tapahtuu siten, että turvapalvelimen autentikointilohko AS rekisteröi ;'.<r tunnistuskolmikossa tulleen avaimen Ke (a) asiakkaan salasanana ja (b) 35 salasanana palveluun, joka muodostetaan asiakkaan IP-osoitteelle tai tilaaja-tunnukselle IMSI. Palvelulle annetaan jokin ennalta määrätty nimi.
n 105966 Tämän jälkeen asiakas voi hakea pääsylipun (ticket) pääsylipunanto-palvelinta varten käyttäen avainta Ke. Tätä sanomanvaihtoa on esitetty kuviossa 7. Sen jälkeen, kun asiakas on saanut avaimen Ke, se lähettää turvapalvelulle (Kerberos-palvelimelle) sanoman, jolla pyydetään Kerberos-5 järjestelmältä aloituspääsylippua (initial ticket). Avaimen saamisen ja sanoman lähettämisen välillä voi olla lyhyt ennalta määrätty viive, jotta turvapalvelu ehtii ensin suorittaa rekisteröinnin Kerberos-palvelimelle. Viiveen jälkeen päätelaite lähettää turvapalvelimelle Kerberos-protokollan mukaisen pyynnön, joka sisältää aina asiakkaan identiteetin (IMSIn tai IP-osoitteen) ja tietyn erikoispal-10 velun, pääsylipunantopalvelun (ticket granting service) nimen tgs. Saatuaan tämän kyselyn Kerberos-palvelin tarkistaa, että se tuntee asiakkaan. Jos näin on, se generoi satunnaisen yhteyskohtaisen avaimen K^, jota tullaan myöhemmin käyttämään asiakkaan ja pääsylipunanto-palvelimen välisessä tiedonsiirrossa. Tämän jälkeen Kerberos-palvelin generoi pääsylipun Tctgs, jolla 15 asiakas voi käyttää pääsylipunanto-palvelua. Tämä pääsylippu sisältää asiakkaan nimen, pääsylipunanto-palvelimen nimen, sen hetkisen kellonajan, pääsylipun elinajan, asiakkaan IP-osoitteen ja juuri edellä generoidun yhteyskohtaisen avaimen. Käyttäen edellä esitettyjä merkintätapoja pääsylipun sisältö voidaan esittää seuraavasti Tctgs={c, tgs, timestamp, lifetime, c-addr, K^J. 20 Tämä pääsylippu salataan avaimella K^, jonka vain pääsylipunanto-palvelin ja . Kerberos-palvelin tietävät. Tämän jälkeen Kerberos-palvelin lähettää asiak- « · * y V kaalle vasteena paketin, joka sisältää salatun pääsylipun ja yhteyskohtaisen avaimen K<.tgS kopion. Vaste on salattu asiakkaan omalla avaimella Ke. Pääte* :·· ; laite tallettaa pääsylipun ja istuntoavaimen tulevaa käyttöä varten.
‘ 25 Kun päätelaite on tallettanut pääsylipun ja istuntoavaimen, sillä on, pääsylipun elinaikana, pääsy pääsylipunanto-palveluun ja se on valmis ole- • · · v : maan yhteydessä kolmannen osapuolen kanssa.
Kuviossa 8 on havainnollistettu päätelaitteen niitä toiminnallisia loh-koja, jotka ovat oleellisia keksinnön kannalta. Päätelaite on yhteydessä verk-30 koon IP/MIP/IP-SEC-protokollapinon kautta. IP/MIP/IP-SEC on sellainen « ,.· tunnettu TCP/IP-pino, jonka sisään on rakennettu mobile IP - ominaisuudet ja • · . :y* salaustoiminnot. Ylhäältä päin tämä pino näyttää aivan tavalliselta IP-pinolta, y·' mutta alhaalta (verkon puolelta) ko. pino lähettää salattua informaatiota tietyn turvapolitiikan (security policy) mukaisesti. Tämän turvapolitiikan määrää 35 erillinen turvapolitiikkalohko SPB, joka ohjaa IP/MIP/IP-SEC-pinoa kertomalla pinolle, mihin muihin verkon olioihin on lähetettävä salattua informaatiota.
105966 12 Nämä oliot on yleensä määritelty turvapolitiikkalohkossa päätelaitteen IP-osoitteen ja porttinumeron avulla. Määrittely voidaan tehdä vielä hienojakoisemmaksi määrittelemällä lisäksi ne käyttäjätunnukset, joille salausta suoritetaan. Turvapolitiikkalohko on käytännössä rakennettu IP/MIP/IP-SEC-pinon 5 sisään, mutta toiminnallisessa mielessä se on oma lohkonsa.
Turvapolitiikkalohkon lisäksi päätelaitteessa on avaimienhallintalohko KM, joka huolehtii avaimien hallinnasta. Avaimienhallintalohkon yhteydessä on tietokanta, jossa on kaikki päätelaitteen käyttämät salausavaimet. Avaimienhallintalohko voidaan toteuttaa esim. tunnetun PF_KEY-avaimienhallinta-APIn 10 (API=Application Programming Interface) avulla. PF_KEY on geneerinen sovellusohjelmaliitäntä, jota voidaan käyttää IP-kerroksen turvapalvelujen lisäksi myös verkon muihin turvapalveluihin. Tämä API määrittelee socket-protokollaperheen, jota avaimienhallintasovellukset käyttävät kommunikoidak-seen käyttöjärjestelmän avaimienhallintaan liittyvien osien kanssa. Koska 15 keksintö ei liity tunnettuun PF_KEY-protokollaan, ei sitä kuvata tässä yhteydessä tarkemmin. Protokollaa kuvataan dokumentissa McDonald, Metz, Phan: PF_KEY Management API, version 2, 21 April, 1997, josta aiheesta kiinnostunut lukija löytää halutessaan taustainformaatiota.
Avaimienhallintalohkossa KM on omat määrittelynsä sille, miten ja 20 millä avaimella salaus toteutetaan kuhunkin verkko-osoitteeseen. Tämä mää- . riitely voi olla tehty esim. siten, että IP-osoite-ja porttikohtaisesti kerrotaan se ' protokolla ja se avain, jota on käytettävä, kun ollaan yhteydessä ko. porttiin.
« « ·
Kun ulospäin lähetettävä paketti tulee IP/MIP/IP-SEC-pinoon, pino ; lukee paketin kohdeosoitteen ja kysyy turvapolitiikkalohkolta SPB, mikä on ] / 25 salauspolitiikka ko. osoitteella varustetun paketin suhteen. Turvapolitiikkalohko :·*·' kertoo vasteena IP/MIP/IP-SEC-pinolle, tehdäänkö salaus ja jos tehdään, millä • · · : menetelmällä salaus suoritetaan. Nämä tiedot välitetään avaimienhallintaloh- kolle KM.
:V: Alkuvaiheessa käyttäjä on määritellyt turvapolitiikkalohkolle ne yhtey- 30 det, joilla on käytettävä salausta. Jos turvapolitiikkalohko ilmoittaa, että sala-./ usta on käytettävä ja jos avaimienhallintalohko huomaa, että sitä päätelaitetta varten, jonka kanssa halutaan olla yhteydessä, ei ole vielä avainta, avaimien-*··/* hallintalohko lähettää avainpyynnön Kerberos-asiakkaalle KC, joka kysyy turvapalvelimen pääsylipunantopalvelulta palvelinpääsylippua ko. päätelaitetta 35 varten. Tätä merkinantoa on havainnollistettu kuviossa 9. Päätelaite (Kerberos-asiakas) lähettää pääsylipunantopalvelimelle Kerberos-protokollan
»(I
13 105966 mukaisen pyynnön, joka sisältää sen palvelimen nimen (s, esim. päätelaite B), jolle pääsylippu halutaan, pääsylipunantopalvelimen omalla avaimella salatun pääsylipun Tctgs pääsylipunantopalveluun pääsyä varten ja autenti-kaattorin (authenticator) Ac, joka on salattu yhteyskohtaisella avaimella Κ^. 5 Autentikaattori on tietorakenne, joka sisältää asiakkaan nimen ja IP-osoitteen sekä sen hetkisen ajan. Käytettyä merkintätapaa noudattaen Ac = {c, c-addr, timestamp}.
Pääsylipunantopalvelin tarkistaa autentikaattorin tiedot ja pääsylipun Tctgs. Jos pääsylippu on kelvollinen, pääsylipunanto-palvelin generoi uuden 10 satunnaisen istuntoavaimen K,.,., jota asiakas voi käyttää haluamansa kolmannen osapuolen kanssa. Sen jälkeen pääsylipunantopalvelin muodostaa uuden pääsylipun Tcs mainittua kolmatta osapuolta varten, sataa pääsylipun mainitun kolmannen osapuolen omalla avaimella K., joka on sama kuin ko. tilaajan edellä kuvattu avain Ke, ja lähettää salatun pääsylipun yhdessä istuntoavai-15 men kanssa päätelaitteelle. Koko vastaus salataan avaimella K^.
Saatuaan vastaussanoman päätelaite purkaa paketin, lähettää ensimmäisen osan {Tc JKS kolmannelle osapuolelle (päätelaitteelle B) ja tallettaa uuden istuntoavaimen K«.s avaintietokantaan. Kolmannen osapuolen päätelaite saa juuri generoidun istuntoavaimen K^ pääsylipusta purkamalla pääsylipun 20 ensin omalla avaimellaan Ke. Tämän jälkeen uusi istuntoavain on molempien t §.f päätelaitteiden käytössä ja salattu tiedonsiirto voi alkaa.
Kun Kerberos-asiakas on aloittanut toimintansa (kun asiakas on • · * rekisteröity Kerberos-palvelimelle), sen täytyy informoida IP/MIP/IP-SEC-: kerrosta siitä, että se pystyy palvelemaan istuntoavainpyyntöjä. Tämä tapah- 25 tuu PF_KEY-protokollaa käyttäen siten, että Kerberos-asiakas avaa erityisen • · v.; socket-osoitteen käyttöjärjestelmän ytimeen (kernel) ja rekisteröityy ytimeen :T: SADB_REGISTER-sanomalla. Tämän jälkeen PF_KEY-protokolla lähettää SADB_ACQUIRE-sanoman joka kerta, kun avainta tarvitaan johonkin ulospäin .*.·· lähtevään liitäntään. Saadessaan tämän sanoman Kerberos-asiakas toimii • · · 30 edellä kuvatulla tavalla eli lähettää pyynnön pääsylipunantopalvelimelle, lä- • * * hettää saamastaan vasteesta vastapuolelle tarkoitetun osan yhteyden vastak-i *** kaiseen päähän ja välittää saamansa istuntoavaimen avaimienhallintalohkolle.
«H
Lisäksi Kerberos-asiakas kuuntelee tiettyä socket-osoitetta havaitakseen :\if verkon muilta olioilta mahdollisesti tulevat pääsyliput. Vastaanotettuaan tällai- ’··. 35 sen pääsylippupaketin se kuittaa vastaanottaneensa paketin, purkaa paketin * · ja välittää tarpeelliset avaimet avaimienhallintajärjestelmälle, jolloin näitä m 105966 avaimia voidaan käyttää oltaessa yhteydessä kyseiseen vastekerrokseen (peer).
Kun päätelaite poistuu verkosta (sanoma MOB_DETACH), turvapalvelu poistaa molemmat rekisteröinnit Kerberos-palvelimelta.
5 Käytännössä on päätelaitteilla ja turvapalvelimella oltava määrätyt porttinumerot auki salaamatonta tiedonsiirtoa varten. Tällaisia portteja ovat portti, jonka kautta lähetetään päätelaitteen ja palvelimen väliset autentikointi-sanomat (kuvio 4), portti, jonka kautta välitetään tiketit Kerberos-asiakkaille ja portti, jonka kautta välitetään pääsylippupyynnöt.
10 Tunnistuskolmikko voidaan hakea eri tavoilla. Pienimuotoisessa toteutuksessa voitaisiin toimia siten, että käytetään virtuaalista “HLR-tietokantaa", johon talletetaan valmiiksi sopivaksi katsottava määrä tunnistus-kolmikkoja. Esim. 10000 kolmikkoa jokaiselta käyttäjältä vaatisi 280 kilotavua muistia käyttäjää kohti. Näin ollen esim. 6 GB levylle saataisiin yli 21000 käyt-15 täjän tunnistuskolmikot. Tunnistuskolmikot voidaan ladata etukäteen silloin, kun käyttäjä saa palvelun, jättämällä SIM-kortti muutamaksi tunniksi älykortin-lukijaan, joka syöttää kortille haasteita. Saaduista vasteista muodostetut tunnistuskolmikot talletetaan tietokantaan kortin tietoja käyttäen. Tämä tapa toimii myös kaikilla SIM-korteilla operaattoreista riippumatta. Tietokanta voi olla esim. 20 turvapalvelimen yhteydessä. Tunnistuskolmikko(j)a ei siis välttämättä tarvitse . ,·. hakea matkaviestinverkosta, vaan tilaajakohtaisia tunnistuskolmikoita voidaan • » * [ V tallettaa etukäteen turvapalvelimen yhteydessä olevaan tietokantaan DB (vrt.
kuvio 1). Proxy-palvelimia ei siis välttämättä tarvita lainkaan. Osalle tilaajia voi * * * j myös olla valmiita tunnistuskolmikkoja tietokannassa ja osalle ne voidaan * ‘ 25 hakea reaaliaikaisesti matkaviestinjärjestelmästä. Tunnistuskolmikkoja voidaan • · \v myös hakea etukäteen matkaviestinjärjestelmästä tietokantaan.
··· v : Periaatteessa voidaan myös kopioida jokaisen käyttäjän SIM-kortti ja käyttää kopiota turvapalvelimen yhteydessä käyttäjän autentikoimiseksi (jolloin : Y; matkaviestinverkosta ei tehdä kyselyä).
• · .‘f; 30 Nämä kaksi edellä kuvattua menettelyä mahdollistavat sen, että .,· käytetyt SIM-kortit voivat olla vain tähän tarkoitukseen dedikoituja kortteja, • · 1 ” eivätkä ne välttämättä liity matkaviestinverkon tilaajaan.
’···' Tarvittava autentikointitieto voidaan saada GSM-verkosta myös esim.
matkaviestinkeskuksen MSC (Mobile Switching Centre) ja tukiasemaohjaimen .···. 35 BSC (Base Station Controller) väliseltä yhteydeltä. Proxy-palvelimen ei siten välttämättä tarvitse emuloida vierailijarekisteriä VLR, kuten edellä esitettiin, 15 105966 vaan se voi toimia myös GSM-verkon tukiasemaohjaimen kaltaisena verkkoelementtinä. Tällaista vaihtoehtoa on havainnollistettu kuviossa 10, jossa kyseistä verkkoelementtiä on merkitty viitemerkillä BP. Tässä tapauksessa proxy-palvelin on siis virtuaalinen tukiasemaohjain, joka on kytketty matkavies-5 tinkeskukseen MSC (Mobile Switching Centre) samalla tavoin kuin GSM-verkon normaalit tukiasemaohjaimet BSC (Base Station Controller). Matka-viestinkeskukselta päin katsottuna proxy-palvelin näyttää tavanomaiselta tukiasemaohjaimelta ainakin autentikointiin liittyvän merkinannon osalta.
Ongelmana tässä toisessa vaihtoehdossa on kuitenkin se, että se 10 edellyttää huomattavasti monimutkaisempaa merkinantoa proxy-palvelimen ja GSM-verkon välillä kuin ensimmäinen vaihtoehto (kuvio 1). Toisen vaihtoehdon mukaisen autentikoinnin seurauksena käyttäjä siirtyy lisäksi GSM-järjestelmässä tukiasemaohjainta emuloivan proxy-palvelimen BP alueelle, joka ei kuitenkaan ole oikea tukiasemaohjain siinä mielessä, että se pystyisi 15 välittämään myös puheluja. Näin ollen tätä ratkaisua voidaan käyttää vain datapalvelujen yhteydessä, eikä päätelaite voi olla em. dual mode -laite.
Vaikka keksintöä on edellä kuvattu viitaten ΜΙΡ-enabloituun verkkoon, keksinnön mukainen ratkaisu ei ole sidottu tähän protokollaan. Jos käytettävä protokolla on IPv6, ei verkossa ole varsinaisia agentteja. Tällöin joudutaan 20 tieto siitä, milloin käyttäjä on verkossa hakemaan käyttäjän kotiverkon reititti-; ;: men reititystauluista. Käytännössä tämä tarkoittaa sitä, että verkossa on oltava I < I · , erillinen “paikannusagentti”, joka reititintä monitoroimalla tai “pingaamalla” huomaa käyttäjän tulleen verkkoon ja käynnistää sen seurauksena autenti- · · koinnin lähettämällä turvapalvelimelle ilmoituksen (MOB_ATTACH) uudesta | . 25 käyttäjästä. Luultavaa kuitenkin on, että reititinvalmistajat suunnittelevat proto- • · · kollan, josta ilmenee, milloin käyttäjä on verkossa.
• · · '·1 ' Vaikka keksintöä on edellä selostettu viitaten oheisten piirustusten mukaisiin esimerkkeihin, on selvää, ettei keksintö ole rajoittunut siihen, vaan • · v.: sitä voidaan muunnella oheisissa patenttivaatimuksissa esitetyn keksinnöllisen 30 ajatuksen puitteissa. Autentikointia ei välttämättä tarvitse suorittaa salatun :·1, yhteyden muodostamiseksi käyttäjien välillä, vaan onnistuneen autentikoinnin • · · \..t seurauksena voidaan suorittaa esim. rekisteröinti postipalvelimelle ennen "·:1 sähköpostiviestien siirtoa käyttäjän koneelle. Tällä tavoin saadaan varmempi i '·· autentikointi kuin nykyisissä salasanoihin perustuvissa menetelmissä. Liitty- 35 mäpisteiden yhteydessä voi lisäksi olla paikallisia palvelimia, jotka toimivat proxy-palvelimina varsinaiselle turvapalvelimelle tai järjestelmässä voi olla 16 105966 useampi kuin yksi turvapalvelu. Kerberos-järjestelmän tilalla voidaan käyttää myös esim. julkisten avainten avainhallintaa, joka perustuu x.500-tietokantaan ja x.509 sertifikaatteihin.
14 1 · • tl I · I « « · • · · « · · • · • · · » · · • · · • · · • · • · · • · · • · • » • · • · · * 1 ·
Claims (22)
1. Autentikointimenetelmä tietoliikenneverkkoja, erityisesti IP-verkkoja varten, jonka menetelmän mukaisesti todennetaan verkkoon kytkeytyneen tilaajan identiteetti, 5 tunnettu siitä, että - verkon päätelaitteessa (TE1) käytetään oleellisesti samanlaista tilaajan tunnistusyksikköä (SIM) kuin tunnetussa matkaviestinjärjestelmässä (MN), joka tunnistusyksikkö on sellainen, että sille syötteenä annetusta haasteesta saadaan tuloksena vaste, 10. verkossa käytetään lisäksi erityistä turvapalvelua (SS) siten, että päätelaitteen kytkeytyessä verkkoon turvapalvelimelle lähetetään ilmoitus uudesta käyttäjästä, - haetaan mainittua uutta käyttäjää vastaavan tilaajan autentikointi-informaatio mainitusta matkaviestinjärjestelmästä mainittuun verkkoon, joka 15 autentikointi-informaatio sisältää ainakin haasteen ja vasteen, ja - autentikointi suoritetaan matkaviestinjärjestelmästä saadun autenti-kointi-informaation perusteella lähettämällä verkon kautta mainittu haaste päätelaitteelle, generoimalla päätelaitteen tunnistusyksikössä haasteesta vaste ja vertaamalla vastetta matkaviestinjärjestelmästä saatuun vasteeseen.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, . että tilaajan autentikointi-informaation haku matkaviestinjärjestelmästä käyn- : * V nistetään turvapalvelimelta (SS) vasteena mainitulle ilmoitukselle.
3. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, « » I : että vasteena onnistuneelle autentikoinnille suoritetaan tilaajan rekisteröinti ’: : 25 erillisen avainten hallintajärjestelmän asiakkaaksi. • · :.v
4. Patenttivaatimuksen 3 mukainen menetelmä IP-verkkoja varten, tunnettu siitä, että avainten hallintajärjestelmänä käytetään tunnettua Kerberos-järjestelmää.
5 HLR yhteydessä olevasta tunnistuskeskuksesta AuC samalla tavalla kuin matkaviestinjärjestelmän oma vierailijarekisteri.
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, • · · * * • « 30 että matkaviestinjärjestelmästä saatu tilaajakohtainen autentikointi-informaatio • · · ]· käsittää lisäksi avaimen (Ke), jolloin tilaaja rekisteröidään Kerberos- : '*· järjestelmän asiakkaaksi siten, että avain rekisteröidään (a) asiakkaan sa- • * * lasanana ja (b) salasanana palveluun, joka muodostetaan asiakkaan IP-:\<f osoitteelle tai matkaviestinjärjestelmässä käytettävälle tilaajatunnukselle ! 35 (IMSI). • « m · » ie 105966
6. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tilaajan autentikointi-informaatio haetaan erillisen proxy-palvelimen (HP) avulla, joka toimii matkaviestinjärjestelmän vierailijarekisteriä VLR emuloivana verkkoelementtinä, joka pyytää autentikointi-informaation tilaajan kotirekisterin
7. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että tilaajan autentikointi-informaatio haetaan erillisen proxy-palvelimen (BP) avulla, joka toimii matkaviestinjärjestelmän tukiasemaohjainta emuloivana 10 verkkoelementtinä, joka on yhteydessä matkaviestinjärjestelmän matkaviestin-keskukseen (MSC) autentikointi-informaation hakemiseksi tilaajan kotirekisterin HLR yhteydessä olevasta tunnistuskeskuksesta AuC samalla tavalla kuin autentikointi-informaatio haetaan matkaviestinjärjestelmän omaan tukiasemaohjaimeen.
8. Autentikointijärjestelmä tietoliikenneverkkoja, erityisesti IP-verkkoja varten, joka järjestelmä käsittää todennuselimet verkkoon kytkeytyneen tilaajan identiteetin todentamiseksi, tunnettu siitä, että todennuselimet käsittävät - verkon päätelaitteeseen (TE1) kytketyn tilaajan tunnistusyksikön 20 (SIM), joka on oleellisesti samanlainen kuin erillisessä matkaviestinjärjestel- .... mässä (MN) käytettävä tilaajan tunnistusyksikkö ja jolle syötteenä annetusta • · '' Y haasteesta voidaan määrittää vaste, • * · /·;* - ilmoituselimet (HA) ilmoituksen antamiseksi päätelaitteen kytkeyty- I I I ; essä verkkoon, 25. erityisen turvapalvelimen (SS) mainitun ilmoituksen vastaanottami- v.: seksi, Ϋ*; - elimet tilaajaa vastaavan autentikointi-informaation pyytämiseksi mainitusta matkaviestinjärjestelmästä (MN), joka informaatio sisältää ainakin haasteen ja vasteen, ja « · 30. mainitun verkon puolella tiedonsiirto- ja tarkastuselimet mainitun ]· haasteen lähettämiseksi verkon kautta tunnistusyksikölle, vasteen palauttami- i " seksi päätelaitteelta verkolle ja saadun vasteen vertaamiseksi matkaviestin- järjestelmästä saatuun vasteeseen.
9. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, .···. 35 että mainittu tunnistusyksikkö on GSM-verkossa käytettävä tunnistusyksikkö (SIM).
10. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, 19 105966 että ilmoituselimet on sovitettu mobile IP -verkon mukaiseen kotiagenttiin (HA).
11. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, että elimet autentikointi-informaation pyytämiseksi käsittävät mainitun turva-palvelimen ja proxy-palvelimen (HP, BP), joka on kytketty GSM-verkkoon.
12. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että proxy-palvelin toimii GSM-verkon vierailijarekisteriä VLR emuloivana verkkoelementtinä.
13. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että proxy-palvelin toimii GSM-verkon tukiasemaohjainta BSC emuloivana 10 verkkoelementtinä.
14. Patenttivaatimuksen 11 mukainen järjestelmä, tunnettu siitä, että järjestelmä käsittää lisäksi sinänsä tunnetun Kerberos-palvelimen (KS), jonka käyttäjäksi tilaaja rekisteröidään onnistuneen autentikoinnin seurauksena.
15. Autentikointimenetelmä tietoliikenneverkkoja, erityisesti IP- verkkoja varten, jonka menetelmän mukaisesti todennetaan verkkoon kytkeytyneen tilaajan identiteetti, tunnettu siitä, että - verkon päätelaitteessa (TE1) käytetään oleellisesti samanlaista tilaajan tunnistusyksikköä (SIM) kuin tunnetussa matkaviestinjärjestelmässä 20 (MN), joka tunnistusyksikkö on sellainen, että sille syötteenä annetusta haas teesta saadaan tuloksena vaste, : - talletetaan tietokantaan (DB) tilaajakohtaista autentikointi- :informaatiota, joka on siten oleellisesti samanlaista kuin mainitussa matkavies-| tinjärjestelmässä autentikointiin käytettävä informaatio, että se sisältää ainakin :"! 25 haasteen ja vasteen, - verkossa käytetään lisäksi erityistä turvapalvelinta (SS) siten, että • a päätelaitteen kytkeytyessä verkkoon turvapalvelimelle lähetetään ilmoitus uudesta käyttäjästä, #Vi - vasteena ilmoitukselle haetaan uutta käyttäjää vastaavan tilaajan 30 autentikointi-informaatio mainitusta tietokannasta (DB), ja • * · ’’’ ’ - autentikointi suoritetaan tietokannasta saadun autentikointi- informaation perusteella lähettämällä verkon kautta mainittu haaste päätelait-teelle, generoimalla päätelaitteen tunnistusyksikössä haasteesta vaste ja vertaamalla vastetta tietokannasta saatuun vasteeseen.
16. Patenttivaatimuksen 15 mukainen menetelmä, tunnettu siitä, * *·' että tietokanta talletetaan turvapalvelimen yhteyteen.
17. Patenttivaatimuksen 15 mukainen menetelmä, tunnettu siitä, 20 105966 että vasteena onnistuneelle autentikoinnille suoritetaan tilaajan rekisteröinti erillisen avainten hallintajärjestelmän käyttäjäksi.
18. Patenttivaatimuksen 17 mukainen menetelmä, tunnettu siitä, että avainten hallintajärjestelmänä käytetään tunnettua Kerberos-järjestelmää.
19. Autentikointijärjestelmä tietoliikenneverkkoja, erityisesti IP- verkkoja varten, joka järjestelmä käsittää todennuselimet verkkoon kytkeytyneen tilaajan identiteetin todentamiseksi, tunnettu siitä, että todennuselimet käsittävät - verkon päätelaitteeseen (TE1) kytketyn tilaajan tunnistusyksikön 10 (SIM), joka on oleellisesti samanlainen kuin erillisessä matkaviestinjärjestelmässä (MN) käytettävä tilaajan tunnistusyksikkö ja jolle syötteenä annetusta haasteesta voidaan määrittää vaste, - ilmoituselimet (HA) ilmoituksen antamiseksi päätelaitteen kytkeytyessä verkkoon, 15. erityisen turvapalvelimen (SS) mainitun ilmoituksen vastaanottami seksi, - tietokantaelimet (SS, DB), jotka käsittävät tietokannan (DB), johon on talletettu tilaajakohtaista autentikointi-informaatiota, joka on siten oleellisesti samanlaista kuin mainitussa matkaviestinjärjestelmässä autentikointiin käytet- 20 tävä informaatio, että se sisältää ainakin haasteen ja vasteen, ja hakuelimet (SS) tilaajan autentikointi-informaation hakemiseksi mainitusta tietokannasta vasteena ilmoitukselle, - mainitun verkon puolella tiedonsiirto- ja tarkastuselimet mainitun haasteen lähettämiseksi verkon kautta tunnistusyksikölle, vasteen palauttami- 25 seksi päätelaitteelta verkolle ja saadun vasteen vertaamiseksi tietokannasta • ♦ v.; saatuun vasteeseen.
20. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, että mainittu tunnistusyksikkö on GSM-verkossa käytettävä tunnistusyksikkö :V: (SIM). • ·
21. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, m]· että ilmoituselimet on sovitettu mobile IP -verkon mukaiseen kotiagenttiin (HA).
• 22. Patenttivaatimuksen 19 mukainen järjestelmä, tunnettu siitä, että järjestelmä käsittää lisäksi sinänsä tunnetun Kerberos-palvelimen (KS), jonka asiakkaaksi tilaaja rekisteröidään onnistuneen autentikoinnin seurauk-.. 35 sena. 21 105966
Priority Applications (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI981565A FI105966B (fi) | 1998-07-07 | 1998-07-07 | Autentikointi tietoliikenneverkossa |
DE19983405T DE19983405B4 (de) | 1998-07-07 | 1999-06-24 | System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem |
JP2000558685A JP2002520923A (ja) | 1998-07-07 | 1999-06-24 | 移動通信システムにおける認証システム及び方法 |
AU49121/99A AU4912199A (en) | 1998-07-07 | 1999-06-24 | System and method for authentication in a mobile communications system |
GB0100021A GB2355157B (en) | 1998-07-07 | 1999-06-24 | System and method for authentication in a mobile communications system |
US09/743,302 US7003282B1 (en) | 1998-07-07 | 1999-06-24 | System and method for authentication in a mobile communications system |
PCT/FI1999/000565 WO2000002406A2 (fi) | 1998-07-07 | 1999-06-24 | Authentication in a communications network |
US11/293,188 US7280820B2 (en) | 1998-07-07 | 2005-12-05 | System and method for authentication in a mobile communications system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI981565A FI105966B (fi) | 1998-07-07 | 1998-07-07 | Autentikointi tietoliikenneverkossa |
FI981565 | 1998-07-07 |
Publications (3)
Publication Number | Publication Date |
---|---|
FI981565A0 FI981565A0 (fi) | 1998-07-07 |
FI981565A FI981565A (fi) | 2000-01-08 |
FI105966B true FI105966B (fi) | 2000-10-31 |
Family
ID=8552157
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI981565A FI105966B (fi) | 1998-07-07 | 1998-07-07 | Autentikointi tietoliikenneverkossa |
Country Status (7)
Country | Link |
---|---|
US (2) | US7003282B1 (fi) |
JP (1) | JP2002520923A (fi) |
AU (1) | AU4912199A (fi) |
DE (1) | DE19983405B4 (fi) |
FI (1) | FI105966B (fi) |
GB (1) | GB2355157B (fi) |
WO (1) | WO2000002406A2 (fi) |
Families Citing this family (122)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6560216B1 (en) | 1998-09-17 | 2003-05-06 | Openwave Systems Inc. | Data network computing device call processing |
GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
US7032241B1 (en) * | 2000-02-22 | 2006-04-18 | Microsoft Corporation | Methods and systems for accessing networks, methods and systems for accessing the internet |
US7444669B1 (en) | 2000-05-05 | 2008-10-28 | Microsoft Corporation | Methods and systems for providing variable rates of service for accessing networks, methods and systems for accessing the internet |
US6834341B1 (en) | 2000-02-22 | 2004-12-21 | Microsoft Corporation | Authentication methods and systems for accessing networks, authentication methods and systems for accessing the internet |
AU4096201A (en) * | 2000-03-15 | 2001-09-24 | Nokia Corporation | Method, and associated apparatus, for generating security keys in a communication system |
FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
FI108769B (fi) | 2000-04-07 | 2002-03-15 | Nokia Corp | Liityntäpisteen liittäminen langattomassa tietoliikennejärjestelmässä |
US6839562B2 (en) * | 2000-04-11 | 2005-01-04 | Telecommunication Systems, Inc. | Intelligent delivery agent for short message distribution center |
WO2001086883A2 (en) * | 2000-05-05 | 2001-11-15 | Nokia Internet Communications Inc. | Method and apparatus for translating network address identifiers related to mobile stations |
FI110558B (fi) * | 2000-05-24 | 2003-02-14 | Nokia Corp | Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi |
FI20001512A (fi) | 2000-06-26 | 2001-12-27 | Nokia Corp | Salaamattoman käyttäjäliikenteen kontrollointi |
GB2365264B (en) * | 2000-07-25 | 2004-09-29 | Vodafone Ltd | Telecommunication systems and methods |
FI110736B (fi) | 2000-08-01 | 2003-03-14 | Nokia Corp | Datansiirtomenetelmä, tilaajapäätelaite ja GPRS/EDGE-radioliityntäverkko |
JP2002064851A (ja) * | 2000-08-18 | 2002-02-28 | Nec Corp | 移動通信システム及び移動通信端末の在圏位置情報整合方法 |
TW548535B (en) * | 2000-10-17 | 2003-08-21 | Ericsson Telefon Ab L M | Security system |
US20020056001A1 (en) * | 2000-11-09 | 2002-05-09 | Magee Stephen D. | Communication security system |
GB0028730D0 (en) * | 2000-11-24 | 2001-01-10 | Nokia Oy Ab | Improvement in and relating to transaction security |
GB2369530A (en) * | 2000-11-24 | 2002-05-29 | Ericsson Telefon Ab L M | IP security connections for wireless authentication |
JP3990565B2 (ja) * | 2000-12-25 | 2007-10-17 | 松下電器産業株式会社 | セキュリティ通信パケット処理装置及びその方法 |
US7224801B2 (en) * | 2000-12-27 | 2007-05-29 | Logitech Europe S.A. | Wireless secure device |
FI115098B (fi) | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US20020090089A1 (en) * | 2001-01-05 | 2002-07-11 | Steven Branigan | Methods and apparatus for secure wireless networking |
NZ536782A (en) * | 2001-01-31 | 2005-10-28 | Ntt Docomo Inc | System for program delivery to a storage module of a mobile terminal |
GB2366141B (en) * | 2001-02-08 | 2003-02-12 | Ericsson Telefon Ab L M | Authentication and authorisation based secure ip connections for terminals |
US20020138635A1 (en) * | 2001-03-26 | 2002-09-26 | Nec Usa, Inc. | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations |
US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
US9100457B2 (en) | 2001-03-28 | 2015-08-04 | Qualcomm Incorporated | Method and apparatus for transmission framing in a wireless communication system |
GB0108041D0 (en) * | 2001-03-30 | 2001-05-23 | Nokia Networks Oy | Presence service in IP multimedia |
WO2002087272A1 (en) * | 2001-04-25 | 2002-10-31 | Nokia Corporation | Authentication in a communication system |
US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
US7185362B2 (en) * | 2001-08-20 | 2007-02-27 | Qualcomm, Incorporated | Method and apparatus for security in a data processing system |
KR100422826B1 (ko) * | 2001-08-27 | 2004-03-12 | 삼성전자주식회사 | 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법 |
US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
JP2003101570A (ja) * | 2001-09-21 | 2003-04-04 | Sony Corp | 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム |
FI114953B (fi) * | 2001-09-28 | 2005-01-31 | Nokia Corp | Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite |
US7352868B2 (en) | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
CA2358732A1 (en) * | 2001-10-12 | 2003-04-12 | Wmode Inc. | Method and system for remote authentication of a digital wireless device using a personal identification number |
US7649829B2 (en) | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
JP4019266B2 (ja) | 2001-10-25 | 2007-12-12 | 日本電気株式会社 | データ送信方法 |
US7409549B1 (en) * | 2001-12-11 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for dynamic home agent assignment in mobile IP |
CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
GB0206849D0 (en) | 2002-03-22 | 2002-05-01 | Nokia Corp | Communication system and method |
US7356147B2 (en) * | 2002-04-18 | 2008-04-08 | International Business Machines Corporation | Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient |
KR100702288B1 (ko) * | 2002-04-25 | 2007-03-30 | 닛본 덴끼 가부시끼가이샤 | 이동 통신망 시스템 및 이동 통신 방법 |
US7587498B2 (en) * | 2002-05-06 | 2009-09-08 | Cisco Technology, Inc. | Methods and apparatus for mobile IP dynamic home agent allocation |
FI20020982A (fi) * | 2002-05-24 | 2003-11-25 | Sonera Oyj | Autentikointimenetelmä ja -järjestely |
WO2003105436A1 (de) * | 2002-06-07 | 2003-12-18 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wireless lan (wlan) |
ITRM20020335A1 (it) * | 2002-06-14 | 2003-12-15 | Telecom Italia Mobile Spa | Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa. |
US7386878B2 (en) * | 2002-08-14 | 2008-06-10 | Microsoft Corporation | Authenticating peer-to-peer connections |
MXPA05001699A (es) * | 2002-08-16 | 2005-07-22 | Togewa Holding Ag | Metodo y sistema para autentificacion gsm al navegar en wlan. |
US7239861B2 (en) * | 2002-08-26 | 2007-07-03 | Cisco Technology, Inc. | System and method for communication service portability |
GB0221674D0 (en) | 2002-09-18 | 2002-10-30 | Nokia Corp | Linked authentication protocols |
US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
US7870389B1 (en) * | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
JP4475377B2 (ja) * | 2002-12-27 | 2010-06-09 | 日本電気株式会社 | 無線通信システム、共通鍵管理サーバ、および無線端末装置 |
US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
US20040203739A1 (en) * | 2003-01-22 | 2004-10-14 | Jun Li | Mobile communication system |
ITRM20030100A1 (it) * | 2003-03-06 | 2004-09-07 | Telecom Italia Mobile Spa | Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento. |
US20040202329A1 (en) * | 2003-04-11 | 2004-10-14 | Samsung Electronics Co., Ltd. | Method and system for providing broadcast service using encryption in a mobile communication system |
US7181196B2 (en) * | 2003-05-15 | 2007-02-20 | Lucent Technologies Inc. | Performing authentication in a communications system |
CN1297155C (zh) * | 2003-06-10 | 2007-01-24 | 华为技术有限公司 | 全球移动通信***用户漫游到码分多址网络的鉴权方法 |
US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
US8724803B2 (en) | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
US20050060551A1 (en) * | 2003-09-15 | 2005-03-17 | Barchi Ronald S. | Terminal device IP address authentication |
WO2005041610A1 (ja) * | 2003-10-29 | 2005-05-06 | Fujitsu Limited | 無線装置 |
EP1680720B1 (en) * | 2003-11-07 | 2012-01-04 | Telecom Italia S.p.A. | Method and system for the authentication of a user of a data processing system |
US7185091B2 (en) * | 2003-11-20 | 2007-02-27 | Motorola, Inc. | Method and system for transmitting compressed messages at a proxy to a mobile device in a network |
US20050198506A1 (en) * | 2003-12-30 | 2005-09-08 | Qi Emily H. | Dynamic key generation and exchange for mobile devices |
KR100664110B1 (ko) * | 2004-02-04 | 2007-01-04 | 엘지전자 주식회사 | 이동 통신 단말기의 사용제한 설정 방법 |
WO2005091666A1 (ja) * | 2004-03-17 | 2005-09-29 | Ip Talk Corporation | 無線通信端末及び無線通信方法 |
US20050221853A1 (en) * | 2004-03-31 | 2005-10-06 | Silvester Kelan C | User authentication using a mobile phone SIM card |
EP1751945B1 (en) | 2004-05-31 | 2018-02-21 | Telecom Italia S.p.A. | Method and system for a secure connection in communication networks |
US20060026268A1 (en) * | 2004-06-28 | 2006-02-02 | Sanda Frank S | Systems and methods for enhancing and optimizing a user's experience on an electronic device |
US7760882B2 (en) * | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
US7725716B2 (en) * | 2004-06-28 | 2010-05-25 | Japan Communications, Inc. | Methods and systems for encrypting, transmitting, and storing electronic information and files |
CN1993965A (zh) * | 2004-06-29 | 2007-07-04 | 诺基亚公司 | 因特网高速分组接入 |
US7809381B2 (en) | 2004-07-16 | 2010-10-05 | Bridgeport Networks, Inc. | Presence detection for cellular and internet protocol telephony |
WO2006015266A2 (en) * | 2004-07-30 | 2006-02-09 | Meshnetworks, Inc. | System and method for effecting the secure deployment of networks |
US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
US8179870B2 (en) * | 2004-09-29 | 2012-05-15 | Intel Corporation | Method and apparatus for securing devices in a network |
EP1650924B1 (en) | 2004-09-30 | 2007-03-21 | Alcatel | Mobile authentication for network access |
US20060089123A1 (en) * | 2004-10-22 | 2006-04-27 | Frank Edward H | Use of information on smartcards for authentication and encryption |
US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
FR2883115A1 (fr) * | 2005-03-11 | 2006-09-15 | France Telecom | Procede d'etablissement d'un lien de communication securise |
US7616594B2 (en) * | 2005-04-22 | 2009-11-10 | Microsoft Corporation | Wireless device discovery and configuration |
DE102005027027B4 (de) * | 2005-06-11 | 2014-07-31 | Keynote Systems, Inc. | Verfahren zur Authentisierung eines mobilen Testgerätes in einem Mobilfunknetz sowie Testsystem zur Überprüfung von Übertragungsvorgängen innerhalb eines Mobilfunknetzes und zur Durchführung eines derartigen Authentisierungsverfahrens |
US8356175B2 (en) | 2005-06-29 | 2013-01-15 | Intel Corporation | Methods and apparatus to perform associated security protocol extensions |
US10867024B2 (en) * | 2005-08-20 | 2020-12-15 | Tara Chand Singhal | Systems and methods for two-factor remote user authentication |
US20070047477A1 (en) * | 2005-08-23 | 2007-03-01 | Meshnetworks, Inc. | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
EP1982547B1 (en) | 2006-01-24 | 2009-10-14 | British Telecommunications Public Limited Company | Method and system for recursive authentication in a mobile network |
US8774155B2 (en) * | 2006-02-03 | 2014-07-08 | Broadcom Corporation | Transporting call data via a packet data network |
JP4903817B2 (ja) * | 2006-02-23 | 2012-03-28 | トゲバ ホールディング エージー | 通信網ノード間でのユニキャスト又はマルチキャストのエンドツーエンドのデータ及び/又はマルチメディアストリーム伝送用の交換システム及び対応方法 |
EP1835688A1 (en) * | 2006-03-16 | 2007-09-19 | BRITISH TELECOMMUNICATIONS public limited company | SIM based authentication |
US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
US8817990B2 (en) * | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
CN101184008B (zh) * | 2007-12-14 | 2010-06-09 | 北京中星微电子有限公司 | 一种远程信息访问方法及装置 |
WO2009086661A1 (en) * | 2007-12-29 | 2009-07-16 | Motorola, Inc. | User identification method and apparatus for multimedia priority service |
WO2010064128A2 (en) * | 2008-12-03 | 2010-06-10 | Entersect Mobile Cc | Secure transaction authentication |
CN102326445A (zh) | 2009-01-06 | 2012-01-18 | 宇宙桥有限公司 | 支持本地交换的基站子***多路复用器 |
EP2443811B1 (en) | 2009-06-17 | 2018-10-17 | Bridgeport Networks, Inc. | Enhanced presence detection for routing decisions |
US8375432B2 (en) * | 2009-08-31 | 2013-02-12 | At&T Mobility Ii Llc | Methods, apparatus, and computer program products for subscriber authentication and temporary code generation |
US8271784B2 (en) | 2009-10-15 | 2012-09-18 | International Business Machines Corporation | Communication between key manager and storage subsystem kernel via management console |
CN102396284B (zh) * | 2009-10-30 | 2015-05-06 | 华为技术有限公司 | 用于传输净负荷数据的方法和设备 |
US8515063B2 (en) * | 2009-12-21 | 2013-08-20 | Motorola Mobility Llc | Coordinated viewing experience among remotely located users |
US8423760B2 (en) * | 2010-02-23 | 2013-04-16 | Stoke, Inc. | Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment |
US8862145B2 (en) * | 2010-04-05 | 2014-10-14 | Qualcomm Incorporated | Method and apparatus to improvie idle mode power consumption in multiple USIM configuration |
CN103338443B (zh) * | 2013-05-29 | 2016-04-20 | 北京奇虎科技有限公司 | 一种终端安全保护方法和*** |
JP6248422B2 (ja) * | 2013-06-05 | 2017-12-20 | 富士通株式会社 | 情報開示システム、情報開示プログラム及び情報開示方法 |
US9736705B2 (en) * | 2013-07-11 | 2017-08-15 | Nokia Solutions And Networks Oy | Method and system for proxy base station |
US10002248B2 (en) | 2016-01-04 | 2018-06-19 | Bank Of America Corporation | Mobile device data security system |
US9749308B2 (en) * | 2016-01-04 | 2017-08-29 | Bank Of America Corporation | System for assessing network authentication requirements based on situational instance |
US9912700B2 (en) | 2016-01-04 | 2018-03-06 | Bank Of America Corporation | System for escalating security protocol requirements |
US10003686B2 (en) | 2016-01-04 | 2018-06-19 | Bank Of America Corporation | System for remotely controlling access to a mobile device |
US9985834B1 (en) | 2016-11-30 | 2018-05-29 | Wipro Limited | Methods and systems for auto-configuration of digital subscriber line (DSL) modems in wireline broadband networks |
US10361858B2 (en) * | 2017-04-07 | 2019-07-23 | Hushmesh Inc. | Residence-based digital identity and strong authentication system |
US11233647B1 (en) | 2018-04-13 | 2022-01-25 | Hushmesh Inc. | Digital identity authentication system |
CN111030964A (zh) * | 2018-10-09 | 2020-04-17 | ***通信有限公司研究院 | 一种响应Detach指令的方法和设备 |
US11962617B2 (en) | 2021-03-03 | 2024-04-16 | Bank Of America Corporation | Cross-channel network security system with tiered adaptive mitigation operations |
US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI96261C (fi) * | 1992-12-01 | 1996-05-27 | Nokia Telecommunications Oy | Menetelmä tilaajan laitetunnuksen tarkistamiseksi tilaajalaiterekisteristä ja matkapuhelinkeskus |
FI952146A (fi) * | 1995-05-04 | 1996-11-05 | Nokia Telecommunications Oy | Tilaajalaitteen käyttoikeuden tarkistus |
US5864757A (en) * | 1995-12-12 | 1999-01-26 | Bellsouth Corporation | Methods and apparatus for locking communications devices |
US5729537A (en) * | 1996-06-14 | 1998-03-17 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for providing anonymous data transfer in a communication system |
EP0960402B1 (en) | 1996-06-19 | 2007-09-26 | Behruz Vazvan | Real time system and method for remote purchase payment and remote bill payment transactions and transferring of electronic cash and other required data |
US6088451A (en) * | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
US6496704B2 (en) * | 1997-01-07 | 2002-12-17 | Verizon Laboratories Inc. | Systems and methods for internetworking data networks having mobility management functions |
US6061346A (en) * | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
FI102499B1 (fi) * | 1997-03-10 | 1998-12-15 | Nokia Telecommunications Oy | Kopioitujen SIM-korttien etsintä |
WO1998044402A1 (en) * | 1997-03-27 | 1998-10-08 | British Telecommunications Public Limited Company | Copy protection of data |
US6466780B1 (en) * | 1997-09-03 | 2002-10-15 | Interlok Technologies, Llc | Method and apparatus for securing digital communications |
US6148402A (en) * | 1998-04-01 | 2000-11-14 | Hewlett-Packard Company | Apparatus and method for remotely executing commands using distributed computing environment remote procedure calls |
-
1998
- 1998-07-07 FI FI981565A patent/FI105966B/fi active
-
1999
- 1999-06-24 GB GB0100021A patent/GB2355157B/en not_active Expired - Lifetime
- 1999-06-24 DE DE19983405T patent/DE19983405B4/de not_active Expired - Lifetime
- 1999-06-24 WO PCT/FI1999/000565 patent/WO2000002406A2/fi active Application Filing
- 1999-06-24 US US09/743,302 patent/US7003282B1/en not_active Expired - Lifetime
- 1999-06-24 AU AU49121/99A patent/AU4912199A/en not_active Abandoned
- 1999-06-24 JP JP2000558685A patent/JP2002520923A/ja active Pending
-
2005
- 2005-12-05 US US11/293,188 patent/US7280820B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2002520923A (ja) | 2002-07-09 |
FI981565A (fi) | 2000-01-08 |
GB0100021D0 (en) | 2001-02-14 |
US7280820B2 (en) | 2007-10-09 |
GB2355157B (en) | 2003-03-19 |
DE19983405B4 (de) | 2011-08-18 |
AU4912199A (en) | 2000-01-24 |
DE19983405T1 (de) | 2001-05-31 |
US7003282B1 (en) | 2006-02-21 |
US20060073811A1 (en) | 2006-04-06 |
GB2355157A (en) | 2001-04-11 |
WO2000002406A3 (fi) | 2000-02-24 |
WO2000002406A2 (fi) | 2000-01-13 |
FI981565A0 (fi) | 1998-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI105966B (fi) | Autentikointi tietoliikenneverkossa | |
EP1500223B1 (en) | Transitive authentication authorization accounting in interworking between access networks | |
US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
EP1095533B1 (en) | Authentication method and corresponding system for a telecommunications network | |
KR100450973B1 (ko) | 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법 | |
US7079499B1 (en) | Internet protocol mobility architecture framework | |
CA2530891C (en) | Apparatus and method for a single sign-on authentication through a non-trusted access network | |
US7483411B2 (en) | Apparatus for public access mobility LAN and method of operation thereof | |
US6477644B1 (en) | Mobile internet access | |
US6526033B1 (en) | Delivering calls to GSM subscribers roaming to CDMA networks via IP tunnels | |
US6493551B1 (en) | GSM MoU bypass for delivering calls to GSM subscribers roaming to CDMA networks | |
US8184615B2 (en) | Wireless terminal methods and apparatus for establishing connections | |
US7460504B2 (en) | Base station methods and apparatus for establishing connections | |
US20070113269A1 (en) | Controlling access to a network using redirection | |
KR100945612B1 (ko) | 클라이언트-모바일-ip(cmip) 대신프록시-모바일-ip(pmip)의 가입자-지정 강화 | |
US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
WO2001084765A2 (en) | Method and system for transmission of access and application information over public ip networks | |
KR20050116817A (ko) | 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 | |
KR20050051639A (ko) | 랜-범용 무선전화 시스템에서의 id 보호 | |
Haverinen et al. | Authentication and key generation for mobile IP using GSM authentication and roaming | |
KR20080007579A (ko) | 무선 근거리 네트워크에서의 안전한 핸드오프 | |
MX2008004841A (en) | Wireless terminal methods and apparatus for establishing connections |