FI113598B

FI113598B - Data packet transmitting method for universal telecommunications systems, involves mapping data flow of subsystem to another subsystem based on filter that has interface identifier of Internet protocol address in received packets

Info

Publication number: FI113598B
Application number: FI20020293A
Authority: FI
Inventors: Lassi Hippelaeinen; Juha Wiljakka; Janne Rinne; Jarkko Jouppi
Original assignee: Nokia Corp
Priority date: 2002-02-13
Filing date: 2002-02-13
Publication date: 2004-05-14
Also published as: FI20020293A; FI20020293A0

Abstract

The method involves forming a filter to guide mapping of a data flow of a subsystem to a data flow of another subsystem. A filter is associated with the data flow of another subsystem. The data flow of the subsystem is mapped to the data flow of the other subsystem on the basis of the filter that has an interface identifier of an Internet protocol address in the received packets. An Independent claim is also included for a network unit for packet-switched data transmission from a subsystem to another subsystem.

Description

1 1359 Γ1 1359 Γ

Pakettidatan siirtäminen langattomaan päätelaitteeseenTransfer of packet data to the wireless terminal

Keksinnön taustaBackground of the Invention

Keksintö liittyy pakettivälitteisen datan siirtämiseen langattomaan päätelaitteeseen erityisesti IPv6:n (IP-protokollan versio 6) mukaisia osoitteita 5 käytettäessä.The invention relates to the transmission of packet data to a wireless terminal, especially when using addresses 5 according to IPv6 (IP protocol version 6).

GPRS-palveluissa (General Packet Radio Service) ja UMTS-järjestelmän (Universal Mobile Telecommunications System) pakettivälitteisissä palveluissa käytetään PDP-konteksteja (Packet Data Protocol) käyttäjän datan siirrossa. PDP-kontekstit ovat yleisesti loogisia yhteyksiä, joilla IP-data siir-10 retään matkaviestimestä UMTS-verkon reunasolmuun (GGSN) ja päinvastoin. Matkaviestimelle määritetään (ainakin yksi) PDP-osoite, jolle UMTS-järjes-telmässä voidaan avata useita PDP-konteksteja. Ensimmäistä kontekstia kutsutaan primääriseksi PDP-kontekstiksi ja seuraavat PDP-kontekstit ovat sekundäärisiä PDP-konteksteja.GPRS (General Packet Radio Service) and UMTS (Universal Mobile Telecommunications System) packet switched services use PDP (Packet Data Protocol) contexts for user data transmission. PDP contexts are generally logical connections for transferring IP data from a mobile station to a UMTS network edge node (GGSN) and vice versa. The mobile station is assigned (at least one) PDP address, to which multiple PDP contexts can be opened in the UMTS system. The first context is called the primary PDP context and the subsequent PDP contexts are secondary PDP contexts.

15 Matkaviestin tietää mitkä sovellusdatavuot tulee ohjata minkäkin PDP-kontekstin tunneliin nousevan siirtotien datan siirrossa. Laskevan siirtotien suuntaan yhdyskäytävätukisolmun GGSN tulee myös tietää pakettikohtai-sesti, mitä PDP-kontekstia käytetään millekin ulkopuolisesta IP-verkosta vastaanotetulle datavuolle. Tätä tarkoitusta varten käytetään paketin kohde-IP-20 osoitetta, UMTS:ään on myös määritetty TFT-mallinteet (Traffic Flow Templa- ;*·*: te). TFT-mallinteiden idea on, että matkaviestin lähettää tiettyjä TCP/UDP/IP- otsikkokenttien arvoja yhdyskäytäväsolmulle GGSN vuon tunnistusta varten, j TFT sisältää yhden tai useampia niin sanottuja pakettisuotimia (Packet Filter).The mobile station knows which application data flows to be routed in the uplink data transmission to the tunnel in which PDP context. The downlink gateway support node GGSN also needs to know, on a packet basis, which PDP context is used for which data stream received from an external IP network. The destination IP-20 address of the packet is used for this purpose, and TFT (Traffic Flow Templa; * · *) models are also configured in UMTS. The idea of TFT models is that the mobile station transmits certain values of TCP / UDP / IP header fields to the gateway node for GGSN flow detection, and the TFT includes one or more so-called packet filters.

,··, Näiden pakettisuotimien avulla voidaan erityisesti järjestää QoS-kartoitus 25 (mapping), eli vastaanotettujen pakettien QoS-informaation, esim. DiffServ- kentän (Differentiated Services), mukaista palvelunlaatua tarjoavaan data-vuohon UMTS-järjestelmässä.In particular, these packet filters can be used to provide QoS mapping 25, i.e., a data flow in a UMTS system providing QoS information according to received packet QoS information, e.g., DiffServ field (Differentiated Services).

UMTS-järjestelmässä voidaan määrittää matkaviestimelle käytettä-vä PDP-osoite dynaamisesti tai käyttää kiinteästi osoitettua osoitetta. IPv4-30 osoitteiden rajallisen määrän takia UMTS-järjestelmän suunnittelussa IPv6 on t . : tärkeällä sijalla. IPv6-osoitteiden allokointi voidaan UMTS-järjestelmässsä to- .teuttaa käyttäen tilatonta osoitteen autokonfigurointimekanismia (IPv6 Stateless Address Autokonfiguration Mechanism) tai tilallista osoitteen autokonfigu-: rointimekanismia (IPv6 Stateful Address Autokonfiguration Mechanism). IPv6- 35 osoitteet muodostuvat 64 bittiä sisältävästä etuliitteestä (Prefix) ja 64 bittiä käsittävästä jälkiliitteestä (Suffix). Jälkiliite käsittää rajapintatunnisteen (Interface 2 1IXROp I i v-· ✓ *.In a UMTS system, a PDP address to be used for a mobile station can be dynamically determined or a fixed address can be used. Due to the limited number of IPv4-30 addresses in the UMTS system design, IPv6 is t. : important. The allocation of IPv6 addresses in a UMTS system can be accomplished using a stateless address autoconfiguration mechanism (IPv6) or a stateful address autoconfiguration mechanism (IPv6). IPv6- 35 addresses consist of a 64-bit prefix (Prefix) and a 64-bit suffix (Suffix). The suffix includes an Interface 2 1IXROp I i v- · ✓ *.

Identifier). UMTS-järjestelmää varten on ehdotettu, että tilattoman IPv6-osoit-teen autokonfigurointimekanismin tukemiseksi jokaiselle primääriselle PDP-kontekstille allokoitaisiin globaalisesti yksilöllinen etuliite, jota GGSN käyttää siirtäessään paketteja ulkopuolisista verkoista UMTS-verkon matkaviestimiin.Identifier). For the UMTS system, it has been proposed that, to support the autoconfiguration mechanism of the static IPv6 address, each primary PDP context is allocated a globally unique prefix used by the GGSN to transfer packets from external networks to UMTS mobile stations.

5 Tämä tarkoittaa sitä, että kaikki paketit, joiden kohde-IP-osoitteena on tietylle matkaviestimelle allokoitu etuliite, välitetään matkaviestimelle. GGSN tarjoaa matkaviestimille myös jälkiliitteen, jota niiden ei kuitenkaan ole pakko käyttää. Matkaviestimet voivat näin ollen itse määrittää käytettävän jälkiliitteen. Tämä mahdollistaa kuitenkin turvallisuusriskin, koska hyökkääjät voivat lähettää pa-10 ketteja käyttäen satunnaisia rajapintatunnisteita. Koska jälkiliitteelle on varattu 64 bittiä, (osoitteita on 264 kpl), hyökkäyksen havaitseminen automaattisesti on käytännössä mahdotonta. Nämä paketit kuormittavat radioresursseja ja tyypillisesti vastaanottajan myös täytyy maksaa kaikesta vastaanottamastaan datasta. Julkaisussa WO 00/41401 on esitetty ratkaisu, jonka mukaisesti GPRS-15 järjestelmän GGSN voi valita käytettävän PDP-kontekstin matkaviestimen IP-osoitteen perusteella. Sama periaate on ollut jo käytössä myös aiemmissa 3GPP-spesifikaatioissa, joiden mukaisesti GGSN määrittäisi oikean PDP-kontekstin koko matkaviestimelle allokoitua IP-osoitetta käyttäen, jolloin mainittua ongelmaa ei edes ole voinut esiintyä. Näin ollen julkaisussa WO 00/41401 esi-20 tetyllä ratkaisulla ei kuitenkaan ratkaista mainittua ongelmaa, koska uuden ehdotuksen mukainen GGSN käyttää ainoastaan IPv6-etu!iitettä pakettien koh-: \: distamiseen matkaviestimelle ja matkaviestin voi näin ollen milloin tahansa : : : muuttaa IP-osoitteensa rajapintatunnistetta. Yhdyskäytäväsolmussa GGSN on etuliitteen tarkistamisen lisäksi myös mahdollisia TFT-mallinteita, mutta niillä 25 voidaan valita vain jokin sekundäärisistä PDP-konteksteista suodinehtojen : täyttyessä käytettäväksi siirtoväylänä paketille. Näin ollen ongelma ei poistu .···’ TFT-mallinteiden suotimien avulla, vaan kaikki tietylle matkaviestimelle allokoi dun etuliitteen käsittävät paketit edelleen välitetään matkaviestimelle.5 This means that all packets whose destination IP address is a prefix allocated to a particular mobile station are forwarded to the mobile station. GGSN also provides a suffix for mobile devices, but they are not required to use them. Thus, the mobile stations themselves can determine the suffix to be used. However, this poses a security risk because attackers can send pa-10 chains using random interface tags. With 64 bits (264 addresses) reserved for the suffix, it is virtually impossible to detect an attack automatically. These packets burden the radio resources and typically the recipient also has to pay for all the data they receive. WO 00/41401 discloses a solution according to which the GGSN of the GPRS-15 system may select the PDP context to be used based on the IP address of the mobile station. The same principle has already been used in previous 3GPP specifications, according to which GGSN would determine the correct PDP context using the IP address allocated to the entire mobile station, whereby the problem could not even occur. Therefore, the solution disclosed in WO 00/41401-20 does not solve this problem, however, since the GGSN according to the new proposal uses only the IPv6 preference to target packets to the mobile station, and thus the mobile station can at any time::: change the IP interface. In addition to verifying the prefix, the GGSN in the gateway node also has possible TFT models, but they can only be used to select one of the secondary PDP contexts when the filter criteria are fulfilled: to be used as a transport path for the packet. Therefore, the problem is not eliminated. ··· 'TFT model filters, but all packets containing a prefix allocated to a particular mobile station are still forwarded to the mobile station.

Keksinnön lyhyt selostus 30 Keksinnön tavoitteena on siten kehittää menetelmä ja menetelmän .·. j toteuttava laitteisto siten, että turvallisuusriski voitaisiin välttää. Keksinnön ta- voitteet saavutetaan menetelmällä, tietoliikennejärjestelmällä, verkkoelementil-lä ja langattomalla päätelaitteella, joille on tunnusomaista se, mitä sanotaan it-! '· senäisissä patenttivaatimuksissa. Keksinnön edulliset suoritusmuodot ovat 35 epäitsenäisten patenttivaatimusten kohteena.BRIEF DESCRIPTION OF THE INVENTION The object of the invention is thus to provide a method and a method. j implementing equipment in such a way as to avoid a safety risk. The objects of the invention are achieved by a method, a communication system, a network element and a wireless terminal, which are characterized by what is called it! In the prior claims. Preferred embodiments of the invention are disclosed in the dependent claims.

11359Γ 311359Γ 3

Keksintö perustuu siihen, että ainakin osaa päätelaitteen allokoimasta rajapintatunnistetta käytetään suotimena ohjaamaan datavoiden kartoittamista ensimmäisestä alijärjestelmästä toisen alijärjestelmän päätelaitteeseen. Kun päätelaite allokoi uuden rajapintatunnisteen, se saatetaan ensim-5 mäisen alijärjestelmän ja toisen alijärjestelmän välistä tiedonsiirtoa hoitavan verkkosolmun tietoon. Tällöin voidaan sallia ainoastaan suotimeksi määritetyn rajapintatunnisteen käsittävien pakettien siirto käyttäen datavuota, johon suo-dinehto on liitetty. Täten satunnaisia rajapintatunnistetta käyttävien pakettien välitys päätelaitteelle voidaan estää myös toteutuksissa, joissa päätelaite voi 10 muuttaa rajapintatunnistetta. Päätelaitteen määrittämällä rajapintatunnisteella tarkoitetaan bittisekvenssiä, joka varaa ainakin osan IPv6-osoiterakenteessa rajapintatunnisteelle määritetyistä biteistä. Suodin yleisesti määrittelee ehdot, jotka täyttävät paketit välitetään datavuota, UMTS (ja GSM-)-järjestelmässä langattomalle päätelaitteelle allokoitua PDP-kontekstia hyödyntäen. Suodin-15 toiminnallisuus voidaan toteuttaa käyttäen rajapintatunnisteen lisäksi mahdollisesti myös muita ennalta määrättyjä parametreja ja/tai ehtoja, joilla paketit tai datavuot voidaan identifioida.The invention is based on the use of at least a portion of an interface identifier allocated by a terminal to filter data mapping from the first subsystem to the terminal of the second subsystem. When the terminal allocates a new interface identifier, it is brought to the knowledge of the network node handling the communication between the first subsystem and the second subsystem. In this case, only packets with an interface identifier specified as a filter can be transmitted using the data stream to which the filter condition is attached. Thus, the transmission of packets using a random interface identifier to the terminal can also be prevented in implementations where the terminal 10 can change the interface identifier. An interface identifier defined by a terminal means a bit sequence that allocates at least some of the bits assigned to an interface identifier in an IPv6 address structure. The filter generally defines the conditions that satisfy the packets transmitted in a data stream using the PDP context allocated to the wireless terminal in the UMTS (and GSM) system. The functionality of the filter-15 may be implemented using, in addition to the interface identifier, possibly other predetermined parameters and / or conditions by which packets or data flows can be identified.

Keksinnön erään edullisen suoritusmuodon mukaisesti rajapintatun-niste on UMTS-järjestelmässä käytettävän TFT-mallinteen suodinparametri. 20 Tällöin langaton päätelaite voi aktivoida PDP-kontekstin käyttäen allokoimaan-sa rajapintatunnistetta. Koska langaton päätelaite UMTS-järjestelmän rajasol-: muna toimivassa GGSN-verkkoelementissä identifioidaan IPv6-osoitteita käy- ·*.·*: tettäessä IPv6-osoitteen etu liiteosalla, ei etuliitettä ole tällöin tarpeen siirtää sekundääristen PDP-kontekstien aktivoimiseen liittyvissä viesteissä, jolloin siir-25 rettävän tiedon määrä on pienempi. GGSN:n ei myöskään tarvitse ylläpitää se- * · · : kundäärisille PDP-konteksteille etuliitteitä, eikä tarkistaa niitä vaan sekundääri- .···! set PDP-kontekstit voidaan yksilöllisesti erottaa toisistaan rajapintatunnisteen perusteella.According to a preferred embodiment of the invention, the interface identifier is the filter parameter of the TFT model used in the UMTS system. The wireless terminal may then activate the PDP context using the allocated interface identifier. Since the wireless terminal in the GGSN network element acting as a UMTS system boundary node identifies IPv6 addresses when running the * *. · *: IPv6 address prefix in the suffix, there is no need to move the prefix in the messages related to activating the secondary PDP contexts. 25 the amount of information that can be transmitted is smaller. Also, GGSN does not need to maintain prefixes for se- * · ·: secondary PDP contexts, nor check them for secondary ones. ···! set PDP contexts can be individually distinguished by an interface identifier.

, Keksinnön erään toisen edullisen suoritusmuodon mukaisesti langa- » * * ';;; 30 ton päätelaite voi uutta sovellusdatavuota varten allokoida uuden rajapintatun nisteen, määrittää sovellusvuon tarvitseman palvelunlaadun mukaiset QoS-parametrit ja perustaa uuden PDP-kontekstin rajapintatunnisteen ja QoS-parametrien perusteella näille paketeille. Tämän jälkeen yhdyskäytäväsolmu (GGSN) osaa automaattisesti kytkeä ulkopuolisesta verkosta tulevat paketit ra- ; ' 35 japintatunnisteen perusteella oikeaa palvelunlaatua tarjoavaan PDP-konteks- > * 4In accordance with another preferred embodiment of the invention, the wire »* * ';;; For a new application data stream, the 30 tonne terminal may allocate a new interface identifier, determine QoS parameters according to the quality of service required by the application flow, and establish a new PDP context based on the interface identifier and QoS parameters for these packets. Thereafter, the gateway node (GGSN) is able to automatically switch packets coming from an external network; 35 PDP context-> * 4 to provide the correct quality of service

113 5 9 F113 5 9 F

tiin ja hylätä paketit joiden rajapintatunnistetta ei yhdyskäytäväsolmulle ole ilmoitettu.and reject packets whose interface identifier is not reported to the gateway node.

Keksinnön vielä erään edullisen suoritusmuodon mukaisesti langattomassa päätelaitteessa tarkkaillaan lähetettävien pakettien lähde-IP-osoittei-5 den rajapintatunnisteita ja ylläpidetään listaa rajapintatunnisteista, jotka on lähetetty verkkosolmulle. Kun havaitaan rajapintatunniste, jota ei ole listalla, se lähetetään verkkosolmulle. Verkkosolmussa järjestetään suodin vastaanotetusta rajapintatunnisteesta. Tällöin voidaan ylläpitää yhtä listaa, jolla voidaan määrittää sallitut rajapintatunnisteet esimerkiksi kaikille matkaviestimelle allo-10 koiduille PDP-konteksteille.According to another preferred embodiment of the invention, the wireless terminal monitors the interface identifiers of the source IP addresses of the packets transmitted and maintains a list of the interface identifiers transmitted to the network node. When an interface tag that is not listed is detected, it is sent to the network node. In the network node, a filter is received from the received interface identifier. Thereby, a single list can be maintained to determine the allowed interface identifiers, for example, for all PDP contexts created for the mobile station allo-10.

Kuvioiden lyhyt selostusBRIEF DESCRIPTION OF THE DRAWINGS

Keksintöä selostetaan nyt lähemmin edullisten suoritusmuotojen yhteydessä, viitaten oheisiin piirroksiin, joista:The invention will now be further described in connection with preferred embodiments, with reference to the accompanying drawings, in which:

Kuvio 1 havainnollistaa yleisesti UMTS-järjestelmää; 15 Kuvio 2 esittää UMTS-käyttäjätason protokolla-arkkitehtuuria;Figure 1 generally illustrates a UMTS system; Figure 2 shows a protocol architecture of a UMTS user plane;

Kuvio 3 esittää IPv6-osoitteen rakennetta;Figure 3 shows the structure of an IPv6 address;

Kuvio 4 havainnollistaa suodintoiminnallisuuden käsittävää yhdys-käytäväsolmua GGSN;Figure 4 illustrates a gateway-gateway node GGSN comprising filter functionality;

Kuvio 5 esittää vuokaaviona keksinnön erään edullisen suoritus- 20 muodon mukaisen yhdyskäytäväsolmun toimintaa; ·”·*. Kuvio 6 esittää vuokaaviona keksinnön erään edullisen suoritus- # · muodon mukaisen matkaviestimen toimintaa; • · · .·. : Kuvio 7 esittää sekundäärisen PDP-kontekstin aktivoimista; jaFigure 5 is a flow chart illustrating the operation of a gateway node according to a preferred embodiment of the invention; · "· *. Fig. 6 is a flow chart illustrating the operation of a mobile station according to a preferred embodiment of the invention; • · ·. ·. Figure 7 illustrates activation of a secondary PDP context; and

Kuvio 8 keksinnön erään toisen edullisen suoritusmuodon mukaisen 25 matkaviestimen toimintaa.Figure 8 illustrates the operation of a mobile station 25 according to another preferred embodiment of the invention.

• i ·• i ·

Keksinnön yksityiskohtainen selostusDETAILED DESCRIPTION OF THE INVENTION

Keksinnön erään edullisen suoritusmuodon mukaista menettelyä '!!: kuvataan seuraavassa esimerkinomaisen UMTS-järjestelmän ja IPv6-pakettien ;siirron yhteydessä. Keksintöä voidaan kuitenkin soveltaa missä tahansa paket-:30 tivälitteisessä tietoliikennejärjestelmässä. Keksinnön mukaista menettelyä voi-daan hyvin soveltaa esimerkiksi langattomissa lähiverkoissa, Bluetooth-järjes-. . telmissä, UMTS-järjestelmää seuraavissa neljännen sukupolven järjestelmissä ; tai toisen sukupolven matkaviestinjärjestelmien pakettivälitteisiä palveluita, ku- β 1 1359 ί ο ten GPRS-palvelua, tukevissa järjestelmissä. Keksintöä voidaan soveltaa myös langallisissa päätelaitteissa ja niitä tukevissa verkkoelementeissä.A procedure according to a preferred embodiment of the invention is described below in connection with the exemplary UMTS system and the transmission of IPv6 packets; However, the invention can be applied to any packet-switched communication system. The procedure of the invention can be well applied, for example, in wireless LANs, Bluetooth systems. . telephones, fourth generation systems following UMTS; or systems supporting packet switched services of second-generation mobile communication systems, such as GPRS. The invention can also be applied to wired terminals and supporting network elements.

Viitataan kuvioon 1, jossa matkaviestinjärjestelmän pääosat ovat runkoverkko CN (Core Network) ja UMTS-matkaviestinjärjestelmän maanpääl-5 linen radioverkko UTRAN (UMTS Terrestrial Radio Access Network), jotka muodostavat matkaviestinjärjestelmän kiinteän verkon, sekä matkaviestin MS, jota myös kutsutaan tilaajapäätelaitteeksi UE (User Equipment). CN:n ja UT-RAN:in välinen rajapinta on nimeltään lu, ja UTRAN:in ja MS:n välinen ilmara-japinta on nimeltään Uu.Referring to Figure 1, the main components of the mobile communication system are the Core Network CN and the UMTS Terrestrial Radio Access Network UTRAN, which form the fixed network of the mobile communication system, and the mobile station MS, also called the UE (User Equipment). ). The interface between CN and UT-RAN is called lu, and the air interface between UTRAN and MS is called Uu.

10 UTRAN muodostuu tyypillisesti useista radioverkkoalijärjestelmistä RNS (Radio Network Subsystem), joiden välinen rajapinta on nimeltään lur (ei kuvattu). RNS muodostuu radioverkko-ohjaimesta RNC (Radio Network Controller) ja yhdestä tai useammasta tukiasemasta BS, joista käytetään myös termiä B-solmu (node B). RNC:n ja BS:n välinen rajapinta on nimeltään lub. Tu-15 kiasema BS huolehtii radiotien toteutuksesta ja radioverkko-ohjain RNC hallinnoi radioresursseja. Myös GSM-radioaliverkkoa voidaan käyttää tarjoamaan pääsy UMTS-ydinverkkoon CN.The UTRAN typically consists of a plurality of radio network subsystems (RNS) with an interface called lur (not shown). The RNS consists of a radio network controller RNC (radio network controller) and one or more base stations BS, also referred to as node B (node B). The interface between RNC and BS is called lub. The Tu-15 base station BS takes care of the radio path and the radio network controller RNC manages the radio resources. The GSM radio subnet can also be used to provide access to the UMTS core network CN.

Runkoverkko CN muodostuu UTRAN:in ulkopuolisesta matkaviestinjärjestelmään kuuluvusta infrastruktuurista. Runkoverkossa matkaviestin-20 keskus/vierailijarekisteri 3G-MSC/VLR (Mobile Switching Centre/ Visitor Location Register) huolehtii piirikytkentäisistä puheluista ja on yhteydessä kotirekis-teriin HLR (Home Location Register). Yhteys pakettiradiojärjestelmän operoin-tisolmuun SGSN (Serving GPRS Support Node) muodostetaan rajapinnan Gs’ : välityksellä ja kiinteään puhelinverkkoon PSTN/ISDN yhdyskäytävämatkavies- ,···! 25 tinkeskuksen GMSC (Gateway MSC, ei kuvattu) kautta. Sekä matkaviestin- • « keskuksen 3G-MSC/VLR että operointisolmun SGSN yhteys radioverkkoon UTRAN (UMTS Terrestrial Radio Access Network) tapahtuu rajapinnan lu väli- • · tyksellä.The backbone network CN consists of an infrastructure outside the UTRAN that is part of the mobile communication system. In the core network, the mobile switching center / visitor location register 3G-MSC / VLR handles circuit-switched calls and communicates with the home location register HLR. The connection to the Serving GPRS Support Node SGSN of the packet radio system is established via Gs': and to the fixed telephone network PSTN / ISDN gateway mobile, ···! 25 through the GMSC (Gateway MSC, not depicted). Both the mobile switching center 3G-MSC / VLR and the operating node SGSN connect to the UTRAN (UMTS Terrestrial Radio Access Network) via an interface.

UMTS-järjestelmä käsittää siis myös pakettiradiojärjestelmän, joka 30 on toteutettu pitkälti GSM-verkkoon kytketyn GPRS-järjestelmän mukaisesti, > * t ;mistä johtuu myös verkkoelementtien nimissä olevat viittaukset GPRS-järjes-. : telmään. UMTS.n pakettiradiojärjestelmä voi käsittää useita yhdyskäytävä- ja operointisolmuja ja tyypillisesti yhteen yhdyskäytäväsolmuun GGSN on kytketty useita operointisolmuja SGSN. Operointisolmun SGSN tehtävänä on havaita ; '/· 35 pakettiradioyhteyksiin kykenevät matkaviestimet palvelualueellaan, lähettää ja vastaanottaa datapaketteja kyseisiltä matkaviestimiltä sekä seurata matkavies- 11359;" 6 timien sijaintia palvelualueellaan. Edelleen operointisolmu SGSN on yhteydessä kotirekisteriin HLR rajapinnan Gr kautta. Kotirekisteriin HLR on talletettu myös pakettiradiopalveluun liittyviä tietueita, jotka käsittävät tilaajakohtaisten pakettidataprotokollien sisällön.Thus, the UMTS system also includes a packet radio system implemented largely in accordance with the GPRS system connected to the GSM network, which also results in references to the GPRS system in the names of the network elements. : to the movie. The UMTS packet radio system may comprise a plurality of gateway and operation nodes, and typically a plurality of operation nodes SGSN are connected to a single gateway node GGSN. The function of the SGSN is to detect; '/ · 35 mobile stations capable of packet radio connections in their service area, transmitting and receiving data packets from said mobile stations, and monitoring the location of mobile stations in their service area. The contents of the packet data protocols.

5 Yhdyskäytäväsolmu GGSN toimii yhdyskäytävänä UMTS-verkon pakettiradiojärjestelmän ja ulkoisen pakettidataverkon PDN (Packet Data Network) välillä. Ulkoisia dataverkkoja voivat olla esimerkiksi toisen verkko-operaattorin UMTS- tai GPRS-verkko, Internet, tai yksityinen lähiverkko. Yhdyskäytäväsolmu GGSN on yhteydessä kyseisiin dataverkkoihin rajapinnan Gi 10 kautta. Yhdyskäytäväsolmun GGSN ja operointisolmun SGSN välillä siirrettävät datapaketit ovat aina tunnelointiprotokollan GTP (Gateway Tunneling Protocol) mukaisesti kapseloituja. Yhdyskäytäväsolmu GGSN sisältää myös matkaviestimille aktivoitujen PDP-kontekstien (Packet Data Protocol) osoitteet ja reititystiedot, eli mm. SGSN-osoitteet. Reititystietoja käytetään siten datapaket-15 tien linkittämiseen ulkoisen dataverkon ja operointisolmun SGSN välillä. Yhdyskäytäväsolmun GGSN ja operointisolmun SGSN välinen verkko on IP-yhteyskäytäntöä hyödyntävä verkko. Pakettidatajärjestelmä käsittää myös monia muita toimintoja, joista kuviossa 1 on esitetty älyverkkopalvelujen, edullisesti CAMEL-palveluiden, kontrollitoiminto SCF ja veloitusta hoitava veloi-20 tusyhdyskäytävä CGF.5 The gateway node GGSN acts as a gateway between the UMTS packet radio system and the Packet Data Network (PDN) external packet data network. External data networks may be, for example, another operator's UMTS or GPRS network, the Internet, or a private local area network. The gateway node GGSN communicates with said data networks via interface Gi 10. The data packets transmitted between the gateway node GGSN and the operating node SGSN are always encapsulated according to the Gateway Tunneling Protocol (GTP). The gateway node GGSN also contains the addresses and routing information of the PDP (Packet Data Protocol) activated PDP contexts, e.g. SGSN addresses. The routing information is thus used to link the data packet-15 path between the external data network and the SGSN. The network between the gateway node GGSN and the operating node SGSN is a network utilizing an IP protocol. The packet data system also comprises many other functions, of which Figure 1 illustrates a control function SCF for a smart network service, preferably a CAMEL service, and a charge gateway gateway CGF for charge management.

UMTS-pakettidataprotokolla-arkkitehtuuri on jaettu käyttäjätasoon • (User Plane) ja kontrollitasoon (Control Plane). Kontrollitaso sisältää UMTS- spesifiset signalointiprotokollat. Kuviossa 2 on havainnollistettu käyttäjätasoa, .·, ; joka toimittaa käyttäjädataa protokolladatayksiköissä (PDU; Protocol Data Unit)The UMTS packet data protocol architecture is divided into • User Plane and Control Plane. The control layer includes UMTS-specific signaling protocols. Figure 2 illustrates the user level,. ·,; which delivers user data in Protocol Data Units (PDUs)

I./ 25 matkaviestimen ja GGSN:n välillä. Radioverkon UTRAN ja matkaviestimen MSI. / 25 between the mobile station and the GGSN. The radio network UTRAN and the mobile station MS

t $ I", välisellä rajapinnalla Uu alemman tason tiedonsiirto fyysisellä kerroksella L1 • · » tapahtuu WCDMA- tai TD-CDMA-protokollan mukaisesti. Fyysisen kerroksen • | *·· ·’ päällä oleva MAC-kerros välittää datapaketteja fyysisen kerroksen ja RLC- ker roksen (Radio Link Control) välillä ja RLC-kerros vastaa eri loogisten yhteyksi- » ..M’ 30 en radiolinkkien hallinnasta. RLC:n toiminnallisuudet käsittävät mm. lähetettä- : vän datan segmentoinnin yhteen tai useampaan RLC-datapakettiin. RLC:n : päällä olevan PDCP-kerroksen datapakettien (PDCP-PDU) käsittämät otsikko- • - t t!,. * kentät voidaan mahdollisesti kompressoida. Datapaketit segmentoidaan ja väli- • *: · tetään sitten RLC-kehyksissä, joihin on lisätty tiedonsiirron kannalta olennaista • ’ 35 osoite-ja tarkistusinformaatioita. RLC-kerros tarjoaa PDCP-kerrokselle palve- lunlaadun QoS (Quality of Service) määritysmahdollisuuden ja huolehtii kuit- 7 11 ό 5 9 f taavassa siirtomuodossa (muita ovat transparentti siirto ja kuittaamaton siirto) myös vahingoittuneiden kehysten uudelleenlähetyksestä eli suorittaa virheenkorjausta. PDCP, RLC ja MAC muodostavat siirtoyhteyskerroksen. Operointi-solmu SGSN vastaa matkaviestimeltä MS radioverkon RAN kautta tulevien da-5 tapakettien reitityksestä edelleen oikealle yhdyskäytäväsolmulle GGSN. Tällä yhteydellä käytetään tunnelointiprotokollaa GTP, joka koteloi ja tunneloi kaiken runkoverkon kautta välitettävän käyttäjädatan ja signaloinnin. GTP-protokollaa ajetaan runkoverkon käyttämän IP:n päällä. IP-protokollaa käytetään UMTS-verkkossa kahteen eri tarkoitukseen. Ylempi IP-kerros on ns. sovelluskerrok-10 sen IP (application layer IP), jota käytetään MS:n ja GGSN:n välillä ja vastelait-teeseen ulkopuolisessa IP-verkossa. Ylemmän IP-kerroksen päällä voidaan suorittaa TCP- tai UDP-protokollaa, joita sovellukset APP hyödyntävät. On syytä huomioida, että sovellukset APP ja ylempi IP-pino voivat sijaita erillisessä datapäätelaitteessa (TE; Terminal Equipment), jolloin erillinen matkaviestin-15 pääteosa MT toimii kommunikaatiolaitteena UMTS-verkkoon. Esimerkkinä tämänkaltaisesta langattomasta päätelaitteesta on kannettavan tietokoneen ja UMTS-korttipuhelimen yhdistelmä.t $ I ", Uu lower-level data transmission on the physical layer L1 • ·» occurs in accordance with the WCDMA or TD-CDMA protocol. The MAC layer on top of the physical layer | | * ·· · 'transmits data packets on the physical layer and the RLC layer. (Radio Link Control), and the RLC layer is responsible for managing the radio links in the various logic connections .. ..M RLC functionality includes, inter alia, segmenting the data to be transmitted into one or more RLC data packets. The header fields of the PDCP layer data packets (PDCP-PDUs) • -! * may possibly be compressed The data packets are segmented and transmitted • *: · then in RLC frames with data transmission essentials • '35 address and verification information The RLC layer provides the PDCP layer with a QoS (Quality of Service) specification and takes care of the acknowledgment. dossa (others include transparent transmission and unacknowledged transmission) also for retransmission of damaged frames, i.e., performs error correction. PDCP, RLC, and MAC form the bearer layer. The operation node SGSN is further responsible for routing the da-5 packets coming from the mobile station MS through the radio network RAN to the right gateway node GGSN. This connection uses the GTP tunneling protocol, which encapsulates and tunnels all user data and signaling transmitted over the core network. The GTP protocol is run over the IP used by the core network. The IP protocol is used in the UMTS network for two different purposes. The upper IP layer is so called. the application layer IP of the application layer 10 used between the MS and the GGSN and the response device on the external IP network. On top of the upper IP layer, TCP or UDP protocols, which are used by APP applications, can be run. It should be noted that the APP applications and the upper IP stack may reside in a separate data terminal (TE; Terminal Equipment), whereby a separate mobile terminal 15 MT acts as a communication device for the UMTS network. An example of such a wireless terminal is a combination of a laptop and a UMTS card phone.

Pakettivälitteisten palveluiden saamiseksi matkaviestimen MS tulee suorittaa liittymisproseduuri (Attach), jossa MS:n sijainti tehdään tunnetuksi 20 operointisolmussa SGSN. MS voi tämän jälkeen vastaanottaa lyhytsanomia ja kutsuja operointisolmulta SGSN. Pakettivälitteisen datan vastaanottamiseksi ja • * 9 • '.·* lähettämiseksi MS:n on aktivoitava ainakin yksi PDP-konteksti, joka tekee :T: MS:n tunnetuksi yhdyskäytäväsolmussa GGSN ja muodostaa loogisen tiedon- siirtokontekstin matkaviestimessä MS, operointisolmussa SGSN ja yhdyskäy- .*·*. 25 täväsolmussa GGSN. MS:lle määritetään PDP-kontekstin muodostusvaihees- • · .·. : sa PDP-osoite, joka voi olla IPv4- tai ΙΡνδ-osoite (kun PDP-tyyppi on IP).In order to receive packet-switched services, the mobile station MS must perform an Attach procedure in which the location of the MS is made known to the operating node SGSN. The MS may then receive short messages and calls from the operating node SGSN. In order to receive and transmit packet data, the MS must activate at least one PDP context that makes: T: MS known in the gateway node GGSN and establishes a logical communication context in the mobile station MS, the operating node SGSN and the gateway. * · *. 25 at the node GGSN. For MS, the PDP context-setting step is defined. PDP address, which can be an IPv4 or ΙΡνδ address (when the PDP type is IP).

» «· PDP-osoite määritetään muiden PDP-kontekstitietojen, kuten neuvotellun • ·»« · The PDP address is determined by other PDP context information such as negotiated • ·

QoS-profiilin, lisäksi yhdyskäytäväsolmun GGSN ylläpitämään kontekstitauluk-koon.In addition to the QoS profile, the context table size maintained by the gateway node GGSN.

I 30 Kuten kuviosta 3 havaitaan, ΙΡνδ-osoite käsittää 64-bittisen etuliit teen (Prefix) ja rajapintatunnisteen (Interface Identifier) käsittävän 64-bittisen jälkiliitteen (Suffix). Keksinnön erään edullisen suoritusmuodon mukaisesti jäl-.·*·, kiliitteen rajapintatunnistetta käytetään yhdyskäytäväsolmussa GGSN suoti- mena yhdelle tai useammalle PDP-kontekstille tai yleisenä suotimena koko ' 35 matkaviestimelle.As shown in Fig. 3, the νν address comprises a 64-bit prefix (Prefix) and a 64-bit suffix (Suffix) comprising an interface identifier (Interface Identifier). In accordance with a preferred embodiment of the invention, afterwards, the suffix interface identifier is used in the gateway node GGSN as a filter for one or more PDP contexts or as a general filter for the size 35 mobile stations.

11359; 811359; 8

Kuten kuviossa 4 on havainnollistettu, GGSN käsittää pakettisuodin-toiminnallisuuden FF, joka pyrkii identifioimaan tietyn vuon tai ryhmän voita sisällyttämällä informaatiota mahdollisista otsikkokentistä pakettisuodinkompo-nenttien Fl muodossa. Nämä pakettisuotimet Fl voivat käsittää ainakin yhtenä 5 suodinparametrinään rajapintatunnisteen, jonka MS on allokoinut itselleen ja indikoinut GGSN:lle. Pakettisuotimet Fl ovat tyypillisesti PDP-kontekstikohtai-sia, jolloin rajapintatunnisteen lisäksi ei välttämättä tarvita mitään muita suo-dinparametrejä.As illustrated in FIG. 4, the GGSN comprises a packet filter functionality FF which tends to identify butter of a particular stream or group by including information from possible header fields in the form of packet filter components F1. These packet filters F1 may comprise at least one of the 5 filter parameters an interface identifier allocated by the MS and indicated to the GGSN. The packet filters F1 are typically PDP context specific, so that no other filter parameters other than the interface identifier are required.

Kuviossa 5 on havainnollistettu yhdyskäytävätukisolmun GGSN toi-10 mintaa. Vaiheessa 501 GGSN vastaanottaa rajapintatunnisteen matkaviestimeltä MS. Rajapintatunniste voidaan vastaanottaa PDP-kontekstin aktivoimista! modifioimisviestissä (kuvioiden 6 ja 7 suoritusmuodot) tai erillisenä viestinä tai indikaationa, joka on liitetty matkaviestimestä MS lähetettäviin käyttäjä- tai signalointidataa sisältävään pakettiin (esim. kuvion 8 suoritusmuoto).Figure 5 illustrates the operation of the gateway support node GGSN. In step 501, the GGSN receives an interface identifier from the mobile station MS. The interface identifier can be received by activating the PDP context! in a modification message (embodiments of Figs. 6 and 7) or as a separate message or indication associated with a user or signaling data packet transmitted from the mobile station MS (e.g., the embodiment of Fig. 8).

15 GGSN asettaa 502 vastaanottamastaan rajapintatunnisteesta suo-15 The GGSN sets 502 of the

dinehdon yhdelle tai useammalle PDP-kontekstille. On huomioitava, että PDP-kontekstilla voi olla myös muita suodinehtoja. Kun ulkopuolisesta pakettidata-verkosta vastaanotetaan paketti 503, tarkastetaan 504, 505 sen rajapintatunniste. GGSN vertaa tällöin ulkopuolisesta IP-verkosta PDN vastaanottaneensa 20 pakettien otsikkokenttiä suodininformaatioon (Fl), minkä perusteella GGSN tietää, voiko paketteja edelleen lähettää päätelaitteelle, ja jos voi, niin mitä PDP-kontekstia tulee soveltaa kullekin IP-paketille. Jos rajapintatunniste ei ole PDP-kontekstille määritettyjen suodinehtojen mukainen, pakettia ei siirretä PDP-: kontekstin avulla 506. Jos paketin etuliitteen osoittamalle matkaviestimelle MSdine condition for one or more PDP contexts. Note that the PDP context may also have other filter conditions. When a packet 503 is received from an external packet data network, its interface identifier 504, 505 is checked. The GGSN then compares the PDN received from the external IP network with the packet header fields to the filter information (F1), on the basis of which the GGSN knows if the packets can be forwarded to the terminal and, if so, which PDP context should be applied to each IP packet. If the interface identifier does not meet the filter criteria specified for the PDP context, then the packet is not transferred using the PDP: context 506. If the mobile station MS designated by the packet prefix

.···! 25 on käytettävissä useita PDP-konteksteja, edullisesti tarkastetaan kaikkien nii- V': den suodinehdot ja jos paketin rajapintatunnistetta ei ole määritetty millekään !..* PDP-kontekstille, paketti hylätään 506.. · · ·! 25, a plurality of PDP contexts are available, preferably the filter conditions for all of them V 'are checked, and if no packet interface identifier is specified for any! .. * PDP context, the packet is discarded 506.

*···* Rajapintatunnisteen käyttö pakettisuotimena parantaa turvallisuutta, koska matkaviestimelle voidaan sallia ainoastaan tietyt rajapintatunnisteet. Ra-30 japintatunnisteen perusteella GGSN voi estää kaikkien niiden alasuunnan pa-kettien välittämisen, jotka ovat valitun rajapintatunnistealueen ulkopuolella. , ·, ; Yhdyskäytäväsolmulle GGSN on myös helpompaa ja nopeampaa käyttää suo- ,···[ dinparametrinä IP-osoitteen rajapintatunnistetta kuin tavanomaisesti vuoidenti- fikaatiossa käytetyistä TCP/UDP-otsikkokentistä, kun TCP/UDP-kentät sala-; 35 taan (IPsec).* ··· * Using an interface identifier as a packet filter improves security by allowing only certain interface identifiers for a mobile station. Based on the Ra-30 and the header identifier, the GGSN may prevent all downlink packets that are outside the selected interface identifier range from being transmitted. , ·,; For the gateway node, the GGSN is also easier and faster to use a secure ··· [din parameter as the IP address interface identifier than the TCP / UDP header fields used in traditional flow identification when the TCP / UDP fields are encrypted; 35 (IPsec).

1 1 7 R O c 91 1 7 R O c 9

Jos paketin rajapintatunniste on määritetty PDP-kontekstin suo-dinehdoissa, paketti välitetään 507 MS:lle käyttäen kyseisen PDP-kontekstin määrittämiä datansiirtoparametrejä, kuten QoS-parametrejä. Tällöin voidaan sallia ulkopuolisesta dataverkosta ainoastaan datavirrat tahoilta, joille on indi-5 koitu rajapintatunniste (joiden kanssa MS:n sovelluskerroksen APP sovellus kommunikoi), jolloin voidaan välttää satunnaisia rajapintatunnisteita käyttävät hyökkäykset.If the packet interface identifier is specified in the PDP context filter conditions, the packet is transmitted to the 507 MS using data transmission parameters such as QoS parameters determined by that PDP context. In this case, only data streams from entities that have an interface-identifier (with which the application application of the MS application layer communicates) can be allowed from the external data network, thus avoiding attacks using random interface identifiers.

Erään edullisen suoritusmuodon mukaisesti myös laskutus määräytyy rajapintatunnisteen perusteella ainakin siinä tapauksessa, että rajapinta-10 tunniste indikoi yhden käytettävän PDP-kontekstin, jonka laskutusehtoja sitten käytetään 507. Rajapintatunnisteita voidaan myös käyttää veloitusinformaation keräämisessä, jos laskutus perustuu IP-vuohon. Tällöin eri osoitteista lähetettyä dataa voidaan veloittaa eri tavalla, vaikka ne olisivatkin sidottu samaan etuliitteeseen. Tämä tarjoaisi mahdollisuuden PDP-kontekstipohjaiseen veloituk-15 seen, jolloin eri sekundäärisiä PDP-konteksteja voidaan veloittaa eri tavalla (alasuuntaan ja/tai yläsuuntaan siirrettävistä paketeista), jos jokaiselle sekundääriselle PDP-kontekstille allokoidaan oma rajapintatunnisteensa. Veloitusyh-dyskäytävä CGF tai jokin erillinen laskutuspalvelu voi kerätä siis rajapintatun-nistekohtaista veloitusinformaatiota yhdyskäytäväsolmuilta GGSN tai palveli-20 miltä tai muilta verkkoelementeiltä, joiden kanssa päätelaite kommunikoi. Näin veloitusta saadaan monipuolistettua ja saadaan tarkempaa tietoa pakettien • · * • siirrosta. Matkaviestimen MS ilmoittamat rajapintatunnisteet voidaan luonnolli- :T: sesti signaloida UMTS-verkossa (tai muussa verkossa) mille tahansa verk- koelementille, joka hyötyisi rajapintatunnistetiedoista joko laskutuksessa tai • · .*··. 25 turvallisuusnäkökohdissa.According to a preferred embodiment, billing is also determined by the interface identifier, at least if the interface identifier 10 indicates a single PDP context to be used, whose billing conditions are then used by 507. The interface identifiers can also be used to collect debit information if billing is based on IP. In this case, data sent from different addresses may be charged differently, even if they are linked to the same prefix. This would provide an opportunity for PDP context-based charging, whereby different secondary PDP contexts can be charged differently (for downlink and / or uplink packets) if each secondary PDP context is allocated its own interface identifier. Thus, the charging gateway CGF or any separate billing service may collect interface-specific charging information from the gateway nodes GGSN or server 20 or other network elements with which the terminal communicates. This will allow you to diversify your charges and provide more accurate information about packet • · * • transfer. The interface identifiers provided by the mobile station MS can, of course: be signaled in the UMTS network (or other network) to any network element that would benefit from the interface identifier information either for billing or • ·. * ··. 25 safety aspects.

• » : Jos yhtä rajapintatunnisteita käytetään useiden PDP-kontekstien .’··] suodinehtona, voidaan vaiheessa 507 käytettävä PDP-konteksti valita muiden ♦ > suodinehtojen perusteella tai käyttää primääristä PDP-kontekstia, jolla on sama rajapintatunniste suodinehtona.• »: If one interface identifier is used as a filter condition for multiple PDP contexts. '··], the PDP context to be used in step 507 can be selected based on other ♦> filter conditions or use a primary PDP context with the same interface identifier as a filter condition.

30 Kuviossa 6 on havainnollistettu keksinnön erään edullisen suoritus- .: muodon mukaisen matkaviestimen toimintaa, jossa rajapintatunniste määrite- • tään PDP-konteksteja varten määritetyssä TFT-mallinteessa. Matkaviestin on . vastuussa niiden lisäämisestä ja päivittämisestä. Kun on tarve 601 aktivoida uusi PDP-konteksti tai modifioida jo olemassa olevan PDP-kontekstin suo-·’ 35 dinehtoja, MS allokoi 602 uuden rajapintatunnisteen edullisesti jokaista uutta .: muodostettavaa PDP-kontekstia varten. Rajapintatunniste voi olla esimerkiksi 1 1359:.Figure 6 illustrates the operation of a mobile station according to a preferred embodiment of the invention, in which the interface identifier is defined in a TFT model defined for PDP contexts. The mobile is. responsible for adding and updating them. When it is necessary to 601 activate a new PDP context or modify the filter conditions of an existing PDP context, MS allocates 602 a new interface identifier preferably for each new PDP context to be created. For example, the interface identifier can be 1,1359 :.

10 satunnaislukugeneraattorilla määritetty luku. Tarve 601 tulee tyypillisesti, kun aktivoidaan uusi sovellus ja kuitenkin halutaan käyttää matkaviestimelle jo allokoitua PDP-osoitetta (IPv6-osoitteen tapauksessa etuliitettä). Tämän jälkeen MS voi muodostaa PDP-kontekstin pyyntöviestin, joka käsittää ainakin rajapin-5 tatunnisteen sisältävän TFT-mallinteen. Sovelluksen vaatimusten perusteella MS määrittää PDP-kontekstipyyntöön pyydettävän palvelunlaadun QoS ja määrittää tarvittavan suodininformaation TFT-mallinteeseen. Pyyntöviestin perusteella MS:n, SGSN:n ja GGSN:n välille neuvotellaan 603 uusi PDP-kon-teksti (tai modifioidaan jo olemassa olevaa PDP-kontekstia). Kyseisen MS:n 10 lähettämän PDP-kontekstin TFT-mallinteen (suotimen Fl) suodinparametriksi määritetään ainakin vastaanotettu rajapintatunniste yhdyskäytäväsolmun GGSN suodintoiminnallisuutta FF varten. Kun uusi PDP-konteksti on aktiivinen, MS voi konkatenoida rajapintatunnisteen sille allokoituun IPv6-etuliittee-seen ja lähettää 604 sovellustason APP paketteja, joiden IP-lähdeosoitteen 15 jälkiliitteeksi MS siis lisää allokoimansa rajapintatunnisteen.10 numbers determined by a random number generator. The need for 601 typically occurs when a new application is activated and still wants to use a PDP address already assigned to the mobile station (in the case of an IPv6 address, a prefix). The MS may then generate a PDP context request message comprising at least a TFT model containing the interface identifier. Based on the requirements of the application, the MS determines the QoS of the quality of service requested for the PDP context request and determines the required filter information for the TFT modeler. On the basis of the request message, 603 new PDP kon text (or modification of an existing PDP context) are negotiated between MS, SGSN and GGSN. At least the received interface identifier for the filter functionality FF of the gateway node GGSN is defined as the filter parameter of the TFT model (filter F1) of the PDP context transmitted by said MS 10. When the new PDP context is active, the MS can concatenate the interface identifier with its allocated IPv6 prefix and transmit 604 application level APP packets, which then adds the allocated interface identifier to the MS after the source IP address 15.

On mahdollista, että MS allokoi 602 rajapintatunnisteen vasta vastaanotettuaan yhdyskäytäväsolmun GGSN allokoiman IPv6-etuliitteen. Tällöin matkaviestimelle MS aloitetaan PDP-kontekstin aktivointi ilman PDP-osoitetta, minkä jälkeen MS voi vastaanottaa etuliitteen GGSN.n lähettämässä reititinil-20 moitusviestissä (Router Advertisement). GGSN määrittää PDP-kontekstiin matkaviestimen PDP-osoitteeksi MS:n ilmoitusviestistä saaman IPv6-etuliit- • ',· teen. Tyypillisesti GGSN ehdottaa ilmoitusviestissä myös rajapintatunnistetta, minkä MS voi kuitenkin halutessaan hylätä ja allokoida uuden rajapintatunnis- ; teen. Koska MS voi allokoida uuden rajapintatunnisteen (primääriselle tai se- ; 25 kundääriselle PDP-kontekstille) milloin tahansa, keksintöä voidaan soveltaa : edellä havainnollistetusta poikkeavissa osoitteiden allokointiratkaisuissa.It is possible that the MS allocates the interface identifier 602 only after receiving the IPv6 prefix allocated by the gateway node GGSN. The PDP context is then activated for the mobile station MS without the PDP address, after which the MS may receive the prefix in the Router Advertisement message sent by the GGSN. In the PDP context, the GGSN sets the mobile station's PDP address as the IPv6 prefix obtained by the MS from the notification message. Typically, the GGSN will also propose an interface identifier in the notification message, however, if desired, the MS may reject and allocate a new interface identifier; I do. Because the MS can allocate a new interface identifier (to the primary or secondary PDP context) at any time, the invention can be applied: in address allocation solutions other than those illustrated above.

» »* j Rajapintatunnistetta voidaan tällöin käyttää uutena elementtinä TFT- • · *'* mallinteessa, jolloin GGSN kuvion 5 vaiheessa 501 vastaanottaa TFT-mallin teen, tallentaa sen vaiheessa 502 ja käyttää sitä vaiheessa 504. Itse asiassa * * » ·;·: 30 muita pakettisuotimia ei välttämättä tarvita, koska rajapintatunniste voi identifi- oida yksilöllisesti kyseessä olevalle sekundääriselle PDP-kontekstille tarkoite-tun IP-liikenteen.The interface identifier can then be used as a new element in the TFT- • · * '* model, whereby the GGSN in step 501 of Figure 5 receives the TFT model tea, stores it in step 502, and uses it in step 504. In fact, * * »·; ·: Other packet filters may not be necessary because the interface identifier can uniquely identify the IP traffic intended for the secondary PDP context in question.

• » .···, TFT-mallinteita on määritetty julkaistuissa 3GPP-spesifikaatioissa ']·[ käytettäväksi ainoastaan sekundääristen PDP-kontekstien aktivoinnissa. Jos • · » ' · * 35 toimitaan tällä tavalla, GGSN voi vaiheessa 506 (kun minkään sekundäärisen PDP-kontekstin suodinparametriksi ei ole määritetty vastaanotetun paketin 11359' 11 kohde-IP-osoitteen rajapintatunnistetta) paketin hylkäämisen sijaan välittää paketin primääristä PDP-kontekstia käyttäen. Jos halutaan välttää jo aiemmin kuvattu turvallisuusongelma täydellisesti, voidaan matkaviestin MS pakottaa käyttämään primäärisen PDP-kontekstin kautta välitetyssä datassa GGSN:n 5 etuliitteen yhteydessä ehdottamaa rajapintatunnistetta. Tällöin myöskään GGSN ei päästäisi primäärisen PDP-kontekstin kautta alasuuntaan mitään muita paketteja kuin sen ehdottaman rajapintatunnisteen käsittäviä paketteja. Keksinnön erään edullisen suoritusmuodon mukaisesti TFT-mallinteita käytetään mille tahansa PDP-kontekstille, eli myös primäärisille PDP-konteksteille. 10 Tällöin rajapintatunniste voidaan määrittää esimerkiksi kaikkien MS:lle allokoidun IPv6-osoiterakenteen etuliitteen käsittävälle PDP-osoitteelle allokoiduille PDP-konteksteille, jolloin kaikki paketit, joiden kohde-IP-osoitteiden rajapin-tatunnisteita ei ole määritetty jossakin TFT-mallinteessa, hylätään (vaihe 506 kuviossa 5). Yhdelle PDP-kontekstille voidaan määrittää myös useita rajapinta-15 tunnisteita tai tietty rajapintaosoitteiden alue suodinehdoksi. Tällöin MS voi vapaasti allokoida rajapintatunnisteita, jotka päivitetään myös primäärisille PDP-konteksteille ja turvallisuusriski voidaan välttää.• ». ···, TFT models are defined in published 3GPP specifications'] · [for use only in secondary PDP contexts activation. If this is the case, in step 506 (when no secondary PDP context filter parameter is set to the destination IP address of the received packet 11359 '11), instead of discarding the packet, the GGSN can relay the packet using the primary PDP context. If it is desired to completely avoid the previously described security problem, the mobile station MS may be forced to use the interface identifier proposed by the GGSN 5 in the data transmitted through the primary PDP context. In this case, too, the GGSN would not, through the primary PDP context, downlink any packets other than those containing its proposed interface identifier. According to a preferred embodiment of the invention, the TFT modelers are used for any PDP context, including primary PDP contexts. Then, the interface identifier can be assigned, for example, to PDP contexts allocated to a PDP address comprising all prefixes of the IPv6 address structure allocated to the MS, whereby all packets for which the destination IP address interface identifiers are not specified in any TFT model are discarded (step 506). 5). Multiple interface-15 identifiers or a specific range of interface-addresses as a filter condition can also be assigned to a single PDP context. This allows the MS to freely allocate interface identifiers, which are also updated for primary PDP contexts, and security risk can be avoided.

Kuviossa 7 on havainnollistettu yksityiskohtaisemmin sekundäärisen PDP-kontekstin aktivoimista. Matkaviestin MS lähettää 701 SGSN:lle sekun-20 däärisen PDP-kontekstin aktivointipyynnön (Activate Secondary PDP Context Request), joka käsittää jonkin jo aktivoidun PDP-kontekstin tunnelitunnisteen, ’·[: uuden tunnelitunnisteen, NSAPI-tunnisteen, pyydetyn QoS-profiilin ja TFT- mallinteen. TFT-mallinteen sisältö siirretään erityisessä TFT-informaatio-elementissä, jota voidaan käyttää uuden TFT.n luomiseen, olemassa olevan > · ,···, 25 TFT:n poistamiseen ja olemassa olevan TFT:n yhden tai useamman suotimen lisäämiseen, poistamiseen tai korvaamiseen. TFT lähetetään läpinäkyvästi * * · SGSN:n läpi. TFT voi käsittää ainakin seuraavia suodinparametrejä: ’··*’ lähde-IP-osoite (tarkoitetaan ulkopuolisessa verkossa PDN olevan vastinlaitteen osoitetta), lähdeportti, kohdeportti, DiffServ-kenttä (Differentiated 30 Services), vuotunniste (IPv6), protokollanumero (IPv4) / seuraava otsikkokent- tä (IPv6), turvallisuusparametri-indeksi SPI (Security Parameter Index) IPSec- : protokollan yhteydessä ja esillä olevan edullisen suoritusmuodon mukaan .···[ myös yhden tai useamman matkaviestimen allokoiman rajapintatunnisteen (In- • » "* terface ID).Figure 7 illustrates in more detail the activation of the secondary PDP context. The mobile station MS sends 701 to the SGSN a Second-to-20 PDP Context Request (PDP Context Request) which includes a tunnel identifier of an already activated PDP context, '· [: new tunnel identifier, NSAPI identifier, requested QoS profile and TFT model. The contents of the TFT model are transferred in a special TFT information element that can be used to create a new TFT, delete an existing TFT> ·, ···, 25, and add, delete or replace one or more filters in an existing TFT . TFT is transmitted transparently through * * · SGSN. The TFT can include at least the following filter parameters: '·· *' source IP address (meaning the address of the matching device on the external network PDN), source port, destination port, DiffServ field (Differentiated 30 Services), leak identifier (IPv6), protocol number (IPv4) / the following header field (IPv6), the Security Parameter Index SPI in connection with the IPSec protocol, and in accordance with the present preferred embodiment. ··· [including the Interface ID (In- • "* terface ID) allocated by one or more mobile stations. .

: 35 Matkaviestimen MS ja operointisolmun SGSN välillä voidaan vai-: 35 Between the mobile station MS and the operating node SGSN,

heen 701 jälkeen suorittaa turvallisuustoimintoja (Security Functions). SGSNafter 701 performs Security Functions. SGSN

11359; 12 lähettää PDP-kontekstin luontipyynnön 702 yhdyskäytäväsolmulle GGSN. SGSN käyttää samaa GGSN:n osoitetta kuin jo aiemmin aktivoidussa PSP-kontekstissa. GGSN generoi uuden kontekstin PDP-kontekstitauluun ja tallentaa TFT:n. Tämän jälkeen GGSN lähettää vastauksen 703 SGSN:lle. SGSN 5 voi aloittaa radioverkkopalvelun muodostamisen, jolloin muodostetaan 704 ra-diopääsykanava (Radio Access Bearer) matkaviestintä MS varten. Jos pyydettyjä QoS-attribuutteja ei voida tarjota vaiheen 704 perusteella, SGSN informoi 705 yhdyskäytäväsolmua GGSN, joka vahvistaa uudet QoS-attribuutit vaiheessa 706. SGSN asettaa pakettivuotunnisteen ja radioprioriteetin neuvotelit) lun QoS:n mukaisesti ja vastaa 707 matkaviestimelle MS. Matkaviestin MS päivittää kontekstitietojansa uudella sekundäärisellä PDP-kontekstilla. MS voi nyt lähettää datapaketteja eri GTP-tunneleiden kautta eri PDP-konteksteja ja vastaavasti eri rajapintatunnisteita käyttäen. TFT-mallinteiden käytöstä saadaan myös se etu, että voidaan käyttää jo UMTS-spesifikaatioihin PDP-15 kontekstin aktivoimiseksi määritettyjä sanomia.11359; 12 transmits a PDP context creation request 702 to the gateway node GGSN. SGSN uses the same GGSN address as in the previously activated PSP context. The GGSN generates a new context in the PDP context table and saves the TFT. The GGSN then sends a response 703 to the SGSN. The SGSN 5 may initiate the establishment of a radio network service, thereby establishing a Radio Access Bearer 704 for a mobile station MS. If the requested QoS attributes cannot be provided based on step 704, the SGSN informs the gateway node GGSN 705, which validates the new QoS attributes in step 706. The SGSN sets the packet flow identifier and radio priority negotiation) according to the QoS and answers 707 to the mobile station MS. The mobile station MS updates its context information with the new secondary PDP context. The MS can now send data packets through different GTP tunnels using different PDP contexts and different interface identifiers, respectively. The use of TFT models also has the advantage of using messages already specified in the UMTS specifications to activate the PDP-15 context.

Vaikka kuviossa 7 on havainnollistettu sekundäärisen PDP-kontekstin aktivoimista, erään edullisen suoritusmuodon mukaista rajapintatunnis-teen määritystä MS:ltä yhdyskäytäväsolmuun GGSN voidaan edellä kuvatun perusteella soveltaa myös primääristen PDP-kontekstien aktivoinnissa ja ylei-20 sesti aktiivisten PDP-kontekstien modifiointivaiheissa. PDP-kontekstien aktivoimiseen ja modifioimiseen liittyvien viestien tarkemman kuvauksen osalta vii-tataan myös 3GPP-spesifikaation 3GPP TS 23.060 V5.0.0 "General Packet V: Radio Service (GPRS); Service Description; Stage 2; Release 5", tammikuu 2002, kappaleeseen 9, s. 119-140. Rajapintatunnisteen käsittävä informaatio- > k ,**·. 25 elementti voidaan hyvin siirtää myös muuntyyppisissä viesteissä ja tätä tarkoi- tusta varten voidaan käyttää uutta spesifistä rajapintatunnisteen informointi-viestiä.Although Figure 7 illustrates the activation of a secondary PDP context, the interface identifier assignment from the MS to the gateway node GGSN according to a preferred embodiment may also be applicable to the activation of primary PDP contexts and generally active PDP contexts based on the above. For a more detailed description of messages related to activating and modifying PDP contexts, reference is also made to Chapter 9 of the 3GPP Specification 3GPP TS 23.060 V5.0.0 "General Packet V: Radio Service (GPRS); Service Description; Stage 2; Release 5", January 2002. , pp. 119-140. Information containing the interface identifier-> k, ** ·. The 25 elements can also be well transmitted in other types of messages, and for this purpose a new specific interface identifier information message can be used.

Kuviossa 8 on havainnollistettu erään toisen edullisen suoritusmuodon mukaista menettelyä, jossa matkaviestin MS tarkkailee 801 lähetettävien >·*: 30 datapakettien lähde-IP-osoitteiden rajapintatunnisteita. Kun havaitaan rajapin- tatunniste, jota ei vielä ole indikoitu yhdyskäytäväsolmulle GGSN, MS lähettää . . ; 802 rajapintatunnisteen GGSN:lle. MS edullisesti ylläpitää listaa rajapintatun- , , nisteista, jotka on ilmoitettu GGSNJIe ja lisää uuden rajapintatunnisteen siihen vaiheen 802 jälkeen. On huomoitava, että MS:n ei välttämättä tarvitse tarkkail-: 35 la kaikkia lähetettäviä paketteja, vaan esimerkiksi IP-kerrosta hyödyntävän so- velluksen aktivointivaiheessa valitaan rajapintatunniste, jota sovelluksen tulee 13FIG. 8 illustrates a procedure according to another preferred embodiment, in which the mobile station MS monitors the source IP addresses of source IP addresses of 801 data packets transmitted. When an interface identifier not yet indicated to the gateway node GGSN is detected, the MS transmits. . ; 802 interface identifier for GGSN. The MS preferably maintains a list of interface identifiers reported to the GGSN and adds a new interface identifier thereafter after step 802. Note that the MS does not necessarily need to monitor all packets to be transmitted, but, for example, in the activation phase of an application using the IP layer, the interface identifier that the application needs to select is selected.

1 1 7 R o C1 1 7 R o C

käyttää paketeissaan. MS voi liittää rajapintatunnisteen käyttäjädataa sisältäviin datapaketteihin, joista GGSN sen poimii. GGSN toimii kuten kuvion 5 yhteydessä on jo havainnollistettu, eli ylläpitää matkaviestimelle MS sallittuja ra-japintatunnisteita ja päästää MS:lle ainoastaan paketit, joiden rajapintatunniste 5 vastaa jotakin MS:n lähettämää rajapintatunnistetta. On myös mahdollista, että MS lähettää kerralla esim. PDP-kontekstin aktivointivaiheessa listan rajapinta-tunnisteista, joita se haluaa käyttää. Jos matkaviestimelle MS esitetty toiminta on jaettu kahteen laitteeseen, esimerkiksi kannettavaan tietokoneeseen, joka toimii päätelaiteosana TE (Terminal Equipment), ja UMTS-viestinlaitteeseen, 10 joka toimii matkaviestinpääteosana MT (Mobile Termination), voi MT tarkkailla TE:n käsittämien sovellusten ja IP-pinon lähettämien pakettien lähde-IP-osoitteita, erityisesti rajapintatunnisteita. Toteutuksessa on olemassa monia eri vaihtoehtoja: TE voi alkaa käyttämään esimerkiksi satunnaisesti valitsemaansa rajapintatunnistetta ja MT tarkkailee rajapintatunnistetta ja ilmoittaa TE:lle, jos 15 rajapintatunniste on jo käytössä. On myös mahdollista, että TE pyytää MTrltä rajapintatunnistetta, joka sitten allokoi vapaan rajapintatunnisteen TE:lle, jota TE voi käyttää lähdeosoitteessa. MT välittää tämän rajapintatunnisteen sitten GGSNJIe. MT voi tarkkailla reitittimen tavoin TE:n käyttämiä IP-osoitteita, erityisesti rajapintatunnisteita, tai käytettävä rajapintatunniste voidaan erikseen 20 signaloida TE:ltä MT:lle.use in their packages. The MS may append an interface identifier to data packets containing user data from which it is extracted by GGSN. The GGSN functions as already illustrated in connection with FIG. 5, i.e., maintains the allowed interface identifiers for the mobile station MS and only allows packets whose interface identifier 5 corresponds to one of the interface identifiers transmitted by the MS. It is also possible that the MS sends a list of the interface identifiers it wishes to use, for example during the activation phase of the PDP context. If the operation shown to the mobile station MS is divided into two devices, for example a portable computer serving as a Terminal Equipment (TE) and a UMTS messaging device (10) serving as a mobile terminal (MT), the MT can monitor the applications and IP stack. The source IP addresses of the packets sent, especially the interface identifiers. There are many different options for implementation: for example, the TE may start using a randomly selected interface tag, and the MT will monitor the interface tag and notify the TE if the 15 interface tag is already in use. It is also possible that the TE requests an interface identifier from the MT, which then allocates a free interface identifier to the TE, which the TE can use at the source address. MT then passes this interface identifier to GGSNJ. Like the router, the MT may monitor the IP addresses used by the TE, in particular the interface identifiers, or the interface identifier used may be separately signaled from the TE to the MT.

Kuvion 8 suoritusmuotoa käytettäessä MS voi PDP-kontekstia pyy- täessään indikoida, että se haluaa muokata suodinehtoja. Tämä voidaan suo- rittaa myös edellä kuvattuja TFT-mallinteita käyttäen. GGSN voi määrittää ra- : japintatunnisteille matkaviestinkohtaisen maksimilukumäärän, jonka se voi il- !./ 25 moittaa matkaviestimelle PDP-kontekstin aktivoinnin hyväksymisviestissä. On ;**. myös tärkeää, että MS ja GGSN käyttävät samaa poistostrategiaa, eli poiste- • · · *;/ taanko esim. vähiten käytetty vai vanhin rajapintatunniste, kun listalla olevien :···: rajapintatunnisteiden maksimilukumäärä ylitetään. MS ja GGSN voivat myös neuvotella maksimilukumäärästä. Jos matkaviestimellä MS on useita aktiivisia t 30 PDP-konteksteja, rajapintatunnisteita ei välttämättä tarvitse sitoa yksittäiseen : PDP-kontekstiin, vaan niitä voidaan käsitellä matkaviestinkohtaisesti ja sallitun , ' ; rajapintatunnisteen käsittävän paketin siirtoon käytettävä PDP-konteksti väli-When using the embodiment of Figure 8, the MS, when requesting the PDP context, may indicate that it wishes to modify the filter conditions. This can also be done using the TFT models described above. The GGSN may determine a maximum number of interface-specific identifiers for the interface identifiers, which it may indicate to the mobile station in the acceptance message of the PDP context activation. Is ;**. it is also important that the MS and GGSN use the same deletion strategy, ie, whether the least used or oldest interface identifier is used when the maximum number of: ···: interface identifiers in the list is exceeded. The MS and GGSN can also negotiate the maximum number. If the mobile station MS has multiple active PDP contexts, then the interface identifiers need not necessarily be bound to a single: PDP context, but may be handled individually and allowed, '; the PDP context used to transfer the packet containing the interface identifier

» > I»> I

,* taan esim. TFT-mallinteen perusteella., * eg based on TFT model.

’ Kuviosta 8 poiketen voidaan käyttää myös menettelyä, jossa GGSNBy way of derogation from Figure 8, a procedure whereby GGSN can be used

: 35 tarkkailee yläsuuntaan siirtämiensä pakettien rajapintatunnisteita ja ylläpitää 11359; 14 listaa sallituista rajapintatunnisteista. Tämä kuitenkin kuormittaisi suuresti yh-dyskäytäväsolmua GGSN.: 35 monitors the interface identifiers of its uplink packets and maintains 11359; 14 lists of allowed interface tags. However, this would greatly burden the gateway GGSN.

Edellä havainnollistettujen eräiden edullisten suoritusmuotojen mukaisilla ratkaisuilla matkaviestin voi hyödyntää lETF-spesifikaatiossa RFC 3041 5 esitettyjä dynaamisia osoitteita ilman DHCP-palvelimen käyttöä niin, että UMTS-verkkoelementit (ainakin GGSN) ovat tietoisia MS.IIä käytössä olevista rajapintatunnisteista (ja näin ollen kokonaisista IP-osoitteista) ja voivat käyttää näitä tietoja hyödyksi erilaisissa toiminnoissa. Koska MS voi vaihtaa rajapinta-tunnistettaan rajattomasti, edellä havainnollistetut rajapintatunnisteiden ilmoi-10 tusratkaisut matkaviestimeltä ovat tärkeitä verkon oikeellisen toiminnan kannalta. Kun rajapintatunnisteita käytetään suotimina, voidaan välttää satunnaisia rajapintatunnisteita käyttävät hyökkäykset.With the solutions of some preferred embodiments illustrated above, the mobile station can utilize the dynamic addresses shown in the IETF specification RFC 3041 5 without the use of a DHCP server so that UMTS network elements (at least GGSN) are aware of the interface identifiers used in the MS (and ) and may use this information for various activities. Since the MS can change its interface identifier indefinitely, the interface communication solutions illustrated above from the mobile station are important for the proper operation of the network. When using interface tags as filters, attacks using random interface tags can be avoided.

Keksintö voidaan toteuttaa matkaviestimessä ja verkkoelementeissä (edullisesti ainakin yhdyskäytävätukisolmussa GGSN) yhdessä tai useammas-15 sa prosessorissa suoritettavana tietokoneohjelmana. Myös kovo-ratkaisuja tai ohjelmisto-ja kovo-ratkaisuiden yhdistelmää voidaan käyttää.The invention may be implemented as a computer program executed in one or more processors in the mobile station and in the network elements (preferably at least the gateway support node GGSN). It is also possible to use march solutions or a combination of software and march solutions.

Alan ammattilaiselle on ilmeistä, että tekniikan kehittyessä keksinnön perusajatus voidaan toteuttaa monin eri tavoin. Keksintö ja sen suoritusmuodot eivät siten rajoitu yllä kuvattuihin esimerkkeihin vaan ne voivat vaihdel-20 la patenttivaatimusten puitteissa.It will be obvious to a person skilled in the art that as technology advances, the basic idea of the invention can be implemented in many different ways. Thus, the invention and its embodiments are not limited to the examples described above, but may vary within the scope of the claims.

' · I • · • » · • · i ·'· I • · • »· • · i ·

II

• · I · 1 · * · I · · • 1 »• · I · 1 · * · I · · • 1 »

• f I• f I

• I• I

• 1 ·• 1 ·

• I• I

• » • · · i t · lift ' » « · '· s > • 4 4 > 4 > » 4 • 4 * 4• »• · · i t · lift '» «·' · s> • 4 4> 4>» 4 • 4 * 4

Claims

1. Förfarande för sändning av paketdata frän ett första subsystem via en nätnod i ett andra subsystem till en terminal, i vilket förfarande bildas ätminstone ett filter för att styra mappningen av ätminstone 5 ett dataflöde i det första subsystemet tili ätminstone ett dataflöde i det andra subsystemet, nämnda ätminstone ett filter ansluts tili nägot ätminstone ett dataflöde i det andra subsystemet, och ätminstone ett dataflöde i det första subsystemet mappas tili ätmin-10 stone ett dataflöde i det andra subsystemet pä basis av nämnda filter, kännetecknat av att: nämnda filter omfattar ätminstone en del av IP-adressens gräns-snittsidentifierare, varvid ätminstone en del av gränssnittsidentifieraren är allo-kerad i terminalen, varvid 15 mappningen av dataflödet i det första subsystemet tili dataflödet i det andra subsystemet utförs pä basis av gränssnittsidentifierarna för de mäl-IP-adresser som ingär i de mottagna paketen.A method for transmitting packet data from a first subsystem via a network node in a second subsystem to a terminal, in which method at least one filter is formed to control the mapping of at least one data stream in the first subsystem to at least one data stream in the second subsystem , said at least one filter is connected to at least one at least one data stream in the second subsystem, and at least one data stream in the first subsystem is mapped to at least one data stream in the second subsystem on the basis of said filter, characterized in that: said filter comprises at least a portion of the IP address interface identifier, wherein at least a portion of the interface identifier is allocated in the terminal, the mapping of the data flow in the first subsystem to the data flow of the second subsystem being performed on the basis of the interface identifiers for the target IP addresses which is included in the received packages.

2. Förfarande enligt patentkrav 1,kännetecknat av att 20 vid bildande av en för terminalen logisk dataöverföringskontext allo- keras i nätnoden ett prefix (Prefix) enligt iPv6-adresstrukturen, vilket används för att identifiera terminalen och dataflöden i anslutning därtill, . \ : nämnda prefix sänds tili terminalen och • · ,’··[ i terminalen allokeras som svar pä nämnda prefix nämnda gräns- 25 snittsidentifierare (Interface ID) enligt iPv6-adresstrukturen.A method according to claim 1, characterized in that, when forming a data transmission context which is logical to the terminal, a prefix (Prefix) according to the iPv6 address structure is allocated in the network node, which is used to identify the terminal and data flows associated therewith. The prefix is transmitted to the terminal and the · ·, · ·· [in the terminal is allocated in response to said prefix said interface identifier (Interface ID) according to the iPv6 address structure.

• · > · · ' - · · ‘ 3. Förfarande enligt patentkrav 1 eller 2,kännetecknat av att i nätnoden förhindras sändning av ett mottaget paket tili terminalen s som svar pä att gränssnittsidentifieraren för nämnda pakets mäl-IP-adressfält ;30 eller en del därav inte har definierats i nägot för terminalen bestämt filter. • » • · »Method according to claim 1 or 2, characterized in that in the network node transmission of a received packet to the terminal s is prevented in response to the interface identifier for the packet IP address field of the packet; part thereof has not been defined in any terminal-determined filter. • »• ·

4. Förfarande enligt nägot av de föregäende patentkraven, kän- • » T netecknatavatt : : filtren konfigureras frän terminalen. • » • · » · » 11359::4. A method according to any of the preceding claims, characterized by: - the filters are configured from the terminal. • »• ·» · »11359 ::

5. Förfarande enligt nagot av de föregaende patentkraven, k ä n -netecknat avatt i terminalen observeras gränssnittsidentifierare för käll-IP-adresser hos paket som skall sändas och upprätthälls en lista över de gränssnitts-5 identifierare som har sänts tili nätnoden, information om gränssnittsidentifieraren sänds tili nätnoden som svar pa att nämnda gränssnittsidentifierare inte finns pä nämnda lista, och i nätnoden bildas filtret av den mottagna gränssnittsidentifieraren. 105. A method according to any of the preceding claims characterized in the terminal, interface identifiers for source IP addresses of packets to be transmitted and a list of the interface identifiers sent to the network node, information on the interface identifier is observed. is sent to the network node in response to said interface identifier not being on said list, and in the network node the filter is formed by the received interface identifier. 10

6. Förfarande enligt nagot av patentkraven 1-4, kännetecknat av att i terminalen allokeras för varje PDP-kontext som begärs en ny gränssnittsidentifierare, tili nätnoden sänds ett meddelande för aktivering av en ny PDP- 15 kontext eller för modifiering av en existerande PDP-kontext, vilket nämnda meddelande omfattar gränssnittsidentifieraren, och för terminalen bildas en PDP-kontext, till vilken anslutits som filter nämnda gränssnittsidentifierare som ingar i nämnda meddelande. 20Method according to any one of claims 1-4, characterized in that in the terminal is allocated for each PDP context that a new interface identifier is requested, to the network node a message is sent for activating a new PDP context or for modifying an existing PDP context. context, which message comprises the interface identifier, and for the terminal a PDP context is formed to which is connected as a filter said interface identifier included in said message. 20

7. Förfarande enligt patentkrav 6, kännetecknat av att i terminalen bildas en TFT-modell, som omfattar ätminstone nämn-: da ätminstone del av gränssnittsidentifieraren, : TFT-modellen sänds tili nätnoden för aktivering av en PDP-kontext i : ett meddelande med begäran om aktivering eller modifiering, och ,*··. 25 för terminalen anordnas en PDP-kontext, tili vilken anslutits som fil- ter TFT-modellen som ingar i meddelandet med begäran. • ( IMethod according to claim 6, characterized in that in the terminal a TFT model comprising at least said at least part of the interface identifier is formed: The TFT model is sent to the network node for activation of a PDP context in: a message with request about activation or modification, and, * ··. For the terminal, a PDP context is provided, which is connected as the filter TFT model which is included in the message with the request. • (I

*···' 8. Nätelement för paketförmedlande dataöverföring frän ett första subsystem till ett andra subsystem, där -Γ 30 nämnda nätelement är anordnat att bilda ätminstone ett filter för att styra mappningen av ätminstone ett dataflöde i det första subsystemet tili ät- : minstone ett dataflöde i det andra subsystemet för överföring av paket tili ter- .••j minalen, > · nämnda nätelement är anordnat att ansluta nämnda ätminstone ett : ,: 35 filter till nägot ätminstone ett dataflöde i det andra subsystemet, och 11359'. nämnda nätelement är anordnat att mappa ätminstone ett dataflöde i det första subsystemet tili ätminstone ett dataflöde i det andra subsystemet pä basis av nämnda filter, kännetecknat av att: 5 nämnda nätelement är anordnat att bilda nämnda filter frän en frän terminalen mottagen gränssnittsidentifierare för en IP adress eller ätminstone en del därav, varvid ätminstone en del av gränssnittsidentifieraren är allokerad i terminalen, och nämnda nätelement är anordnat att utföra mappning av dataflödet i 10 det första subsystemet tili dataflödet i det andra subsystemet pä basis av gränssnittsidentifierare för mäl-IP-adresser som ingär i de mottagna paketen.* ··· '8. Network elements for packet switching data transfer from a first subsystem to a second subsystem, wherein -Γ said network element is arranged to form at least one filter to control the mapping of at least one data stream in the first subsystem to at least: a data stream in the second subsystem for transmitting packets to the terminal, said network element is arranged to connect said at least one: filter to at least one at least one data stream in the second subsystem, and 11359 '. said network element is arranged to map at least one data stream in the first subsystem to at least one data stream in the second subsystem on the basis of said filter, characterized in that: said network element is arranged to form said filter from an interface identifier received from the terminal for an IP address or at least a portion thereof, wherein at least a portion of the interface identifier is allocated in the terminal, and said network element is arranged to perform mapping of the data flow in the first subsystem to the data flow in the second subsystem on the basis of interface identifiers for input IP addresses in the received packets.

9. Trädlös terminal för ett paketradionät, vilken trädlös terminal är anordnad att sända tili en nätnod i ett mobilkommunikationssystem en konfigu-15 reringssignal för aktivering eller modifiering av en paketdataprotokollkontext för anslutning av paketradionätet tili ett externt system, kännetecknad av att nämnda trädlösa terminal är anordnad att allokera IP-adressens gränssnittsidentifierare eller ätminstone en del därav att användas som ett filter för data som mottagits frän ett externt nät, 20 nämnda trädlösa terminal är anordnad att sända nämnda gräns snittsidentifierare eller ätminstone en del därav tili nämnda nätnod i nämnda : konfigureringsmeddelande.9. Wireless terminal for a packet radio network, which wireless terminal is arranged to transmit to a network node in a mobile communication system a configuration signal for activating or modifying a packet data protocol context for connecting the packet radio network to an external system, characterized in that said wireless terminal allocating the IP address interface identifier or at least a portion thereof to be used as a filter for data received from an external network, said wireless terminal being arranged to transmit said interface interface identifier or at least a portion thereof to said network node in said configuration message.

• · • · *·.: 10. Trädlös terminal för ett paketradionät, vilken trädlös terminal är • · , ’ “. 25 anordnad att bilda en paketdataprotokollkontext med nätnoden i mobilkommu- , ·. : nikationssystemet för mottagning av paketdata frän ett externt system och för .··,’ sändning tili ett externt system, kännetecknad av att • > nämnda trädlösa terminal är anordnad att observera gränssnittsidentifierare för källadresserna hos IP-paket som skall sändas frän den trädlö-30 sa terminalen, nämnda trädlösa terminal är anordnad att upprätthälla en lista över ; > de gränssnittsidentifierare som har sänts tili nätnoden, nämnda trädlösa terminal är anordnad att sända information om en • » detekterad gränssnittsidentifierare tili nätnoden som svar pä att nämnda • · f 35 gränssnittsidentifierare intefinns pä nämnda lista. I i * · ·• · • · * · .: 10. Wireless terminal for a packet radio network, which wireless terminal is • ·, '". Provided to form a packet data protocol context with the network node in mobile commu- nity. The transmission system for receiving packet data from an external system and for transmitting to an external system, characterized in that said wireless terminal is arranged to observe interface identifiers for the source addresses of the IP packets to be sent from the wireless system. said terminal, said treeless terminal is arranged to maintain a list of; > the interface identifiers that have been sent to the network node, said wireless terminal is arranged to transmit information about a detected interface identifier to the network node in response to said interface identifier not being on said list. I i * · ·