FI116025B - Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi - Google Patents

Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi Download PDF

Info

Publication number
FI116025B
FI116025B FI20011910A FI20011910A FI116025B FI 116025 B FI116025 B FI 116025B FI 20011910 A FI20011910 A FI 20011910A FI 20011910 A FI20011910 A FI 20011910A FI 116025 B FI116025 B FI 116025B
Authority
FI
Finland
Prior art keywords
ipsec
address
network
terminal
connection
Prior art date
Application number
FI20011910A
Other languages
English (en)
Swedish (sv)
Other versions
FI20011910A0 (fi
FI20011910A (fi
Inventor
Sami Vaarala
Antti Nuopponen
Original Assignee
Netseal Mobility Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8561974&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=FI116025(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Netseal Mobility Technologies filed Critical Netseal Mobility Technologies
Priority to FI20011910A priority Critical patent/FI116025B/fi
Publication of FI20011910A0 publication Critical patent/FI20011910A0/fi
Priority to US10/490,932 priority patent/US7620810B2/en
Priority to AT02762486T priority patent/ATE449490T1/de
Priority to ES02762486T priority patent/ES2336898T3/es
Priority to DK02762486.5T priority patent/DK1461925T3/da
Priority to PCT/FI2002/000770 priority patent/WO2003030487A1/en
Priority to EP02762486A priority patent/EP1461925B1/en
Priority to DE60234470T priority patent/DE60234470D1/de
Publication of FI20011910A publication Critical patent/FI20011910A/fi
Publication of FI116025B publication Critical patent/FI116025B/fi
Application granted granted Critical
Priority to US12/560,481 priority patent/US7937581B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

116025
MENETELMÄ JA VERKKO VIESTIEN TURVALLISEN LÄHETTÄMISEN VARMISTAMISEKSI
5 KEKSINNÖN ALA
Keksinnön mukainen menetelmä ja verkko on tarkoitettu turvaamaan mobiiliyhteydet telekommunikointiverkoissa. Erityisesti se on tarkoitettu IPSec-yhteyksiä varten.
10
TEKNIIKAN TASO
Internet on joukko yksittäisiä verkkoja, jotka on kytketty yhteen niiden välissä olevien verkkolaitteiden kautta ja toimii yhtenä ainoana suurena verkkona. Erilaisia verkkoja 15 voidaan kytkeä yhteen reitittimillä ja muilla verkostointilaitteilla internetin luomiseksi.
Lähiverkko (Local Area Network, LAN) on tietoverkko, joka kattaa suhteellisen pienen maantieteellisen alueen. Tyypillisesti se kytkee yhteen työasemia, henkilökohtaisia ’··*[ tietokoneita, tulostimia ja muita laitteita. Kaukoverkko (Wide Area Network, WAN) on .’,,’20 tietoverkko, joka kattaa suhteellisen laajan maantieteellisen alueen. Kaukoverkot ' . (WAN) kytkevät lähiverkkoja (LAN) yhteen normaalien puhelinlinjojen ja esimerkiksi . optisten verkkojen kautta; siten kytkien yhteen maantieteellisesti hajautuneita käyttäjiä.
Tietoja ja tiedonlähteitä pitää suojata leviämiseltä, tiedon autenttisuuden 25 varmistamiseksi ja järjestelmien suojaamiseksi verkkoon kohdistuvilta hyökkäyksiltä. .*·, Yksityiskohtaisemmin, tarvitaan luottamuksellisuutta (tietojen suojaaminen lukemiselta), eheyttä (tietojen suojaaminen muuttamiselta, mikä ei liity luottamuksellisuuteen), autentikaatiota (varmuuden saaminen siitä, kuka on tiedon • * lähettäjä), suojaa toistamiselta (suoja, jolla varmistetaan, että tieto on tuoretta, eikä * 1 » 30 kopio aikaisemmin lähetetystä tiedosta), identiteettisuojaa (osapuolten identiteettien ’· pitäminen salaisena ulkopuolisilta), hyvää saatavuutta, s.o. suojaa palvelun kieltämiseltä (varmistaa sen, että järjestelmä toimii myös hyökkäyksen alaisena) sekä 116025 2 pääsyn valvontaa. IPSec on teknologia jolla saadan suurin osa näistä, mutta ei kaikkia. (Erityisesti, idententiteettisuojaa ei hoideta täydellisesti IPSec:illä eikä myöskään suojaa palvelun kieltämiseltä).
5 IP-turvaprotokollat (IPSec) antaa valmiuden turvata satunnaisten verkkoasemien välinen viestintä, esim. LAN:ssa, yksitys- ja yleissä kaukoverkoissa (WAN) ja internetissä. IPSec:iä voidaan käyttää eri tavoilla, kuten turvallisten virtuaalisten yksityisverkkojen rakentamiseksi, turvallisen pääsyn saamiseksi yritysverkkoon tai muiden organisaatioiden viestinnän varmistamiseksi, varmistaen autentikoinnin ja 10 luottamuksellisuuden, sekä avainten vaihtomekanismin. IPSec varmistaa luottamuksellisuuden, eheyden, autentikoinnin, toistosuojan, liikennevirran rajoitetun luottamuksellisuuden, rajoitetun identiteettisuojan sekä pääsynvalvonnan, joka perustuu autentikoituihin identiteetteihin. Vaikka joillakin sovelluksilla jo on sisäänrakennettuja turvaprotokollia, IPSec:in käyttö parantaa turvallisuutta edelleen.
15 IPSec voi salata ja/tai autentikoida liikennettä IP-tasolla. WAN:iin menevä liikenne tyypillisesti pakataan ja salataan, ja WAN.ita tulevan liikenteen salaus puretaan ja avataan. IPSec:in määrittelee tietyt dokumentit, jotka sisältävät sääntöjä IPSec- • · '···* arkkitehtuuria varten. Dokumentit, jotka määrittelevät IPSec.in ovat tällä hetkellä ... 20 Internet Engineering Task Force:in (IETEF) Request For Comments RFC-sarja, ] . varsinkin RFC:t 2401-2412.
• » • *
Kahta protokollaa käytetään varmuuden saamiseksi IP-tasolla; autentikointiprotokolla, • t jolle protokollan otsikko antaa nimen, Authentication Header (AH) ja yhdistetty 25 salaus/autentikointiprotokolla, jolle tämän protokollan pakettiformaatti antaa nimen .···. Encapsulating Security Payload (ESP). AH ja ESP ovat kuitenkin samantapaisia protokollia, molempien lisäten protokollaan alkutunnisteen. Sekä AH että ESP ovat pääsynhallintatyökaluja, jotka perustuvat salausavainten jakeluun ja liikennevirtojen [ · ‘ hallintaan, jotka liittyvät näihin turvaprotokolliin.
30 t · » '* Turvayhteys (Security Association, SA) on avainkäsite IP:n autentikointi- ja luottamuksellisuusmekanismeissa. Turvayhteys on yksisuuntainen suhde lähettäjän ja 116025 3 vastaanottajan välillä, joka tarjoaa varmuuspalveluja sen kantamalle liikenteelle. Jos tarvitaan kaksisuuntaista suhdetta, tarvitaan kaksi turvayhteyttä. Jos ESP ja AH yhdistetään, tai jos ESP:tä ja/tai AH:ta käytetään enemmän kuin kerran, käytetään termiä SA-kimppu, joka tarkoittaa sitä, että käytetään yhtä tai useampaa SA:ta. Siten 5 SA-kimppu liittyy yhteen tai useampaan peräkkäin käytettyyn SA:han, esim. suorittamalla ensin ESP-suoja ja sitten AH-suoja. SA-kimppu on kaikkien paketin turvaamiseksi käytettyjen SA:iden yhdistelmä.
Termiä IPSec-yhteys käytetään seuraavassa IPSec-kimpun sijasta yhdestä tai useasta 10 turvaliittymästä, tai yhden tai useamman turvayhteyden IPSec-kimppujen parista - yksi kimppu kumpaakin suuntaa varten. Tämä termi kattaa siten sekä yksisuuntaisen että kaksisuuntaisen liikenteen suojaamisen. Suuntien symmetriaan ei oteta kantaa, s.o. kumpaakin suuntaa varten käytetyt algoritmit ja IPSec - muutokset voivat olla erilaisia.
15 Turvayhteys määritetään ainutlaatuisesti kolmen parametrin avulla. Ensimmäinen, joka on turvaparametri-indeksi (Security Parameters Index, SPI), on bittijono joka osoitetaan tälle SA:lle. SPI sijoitetaan AH- ja ESP-alkutunnisteisiin, jotta vastaanottajajärjestelmä voisi valita sen SA:n, jonka alla vastaanotettu paketti * *] käsitellään. IP-kohdeosoite on toinen parametri, joka on SA:n kohteeen loppupisteen . ,’20 osoite, joka voi olla loppukäyttäjän järjestelmä tai verkkojärjestelmä, kuten palomuuri ' . tai reititin. Kolmas parametri, joka on varmuusprotokollan tunnistin, ilmaisee, onko t · , yhteys AH- tai ESP- turvayhteys.
• · * · *
• I
I »
Jokaisessa IPSec-implementoinnissa on nimellinen varmuusyhteystietokanta (Security :-.-.25 Association Data Base, SADB), joka määrittää jokaiseen SA:han liittyvät parametrit. ,·*·. Varmuusyhteys määritellään normaalisti seuraavien parametrien avulla. * . Sarjanumeroakin (Sequence Number Counter) on 38:n bitin arvo, jota käytetään I » järjestysnumerokentän luomiseksi AH- tai ESP-alkutunnisteisiin. Järjestysnumeron ylitys (Sequense Counter Overflow) on ilmaisin, joka ilmaisee sen, pitääkö 30 järjestysnumerolaskimen ylityksen saada aikaiseksi tarkistukelpoinen tapahtuma ja * · » ’· estää tässä SA:ssa lähetettävää enempää liikennettä. Anti-reply Window;ta käytetään määrittelemään sitä onko tuleva AH- tai ESP-paketti toisto. AH informaatioon sisältyy 116025 4 informaatiota autentikointi-algoritmista, avaimista ja AH:hon liittyvistä parametreistä. ESP-informaatioon kuuluu informaatiota salaus- ja autentikointialgoritmeistä, avaimista, käynnistysvektoreista ja parametreistä, joita käytetään IPSec.in kanssa. Kuudes parametri, tämän turvayhteyden elinaika (Life Time), on aikaväli ja/tai 5 merkkilaskin (bytecount), jonka jälkeen SA on korvattava uudella SA:lla (ja uudella SPI.illä tai lopetettava) sekä osoitus siitä mitkä näistä toimenpiteistä pitäisi tehdä. IPSec Protocol Mode on joko tunneli- tai kuljetusmenetelmä. Reitti-MTU, joka on valinnainen ominaisuus, määrittelee paketin maksimikoon, joka voidaan lähettää ilman osittamista.
10
Sekä AH että ESP tukevat kahta käytettyä menetelmää, kuljetus- ja tunnelimenetelmää.
Kuljetusmenetelmällä saadaan suoja ensisijaisesti ylempien kerrosten protokolliin ja se 15 ulottuu IP-paketin hyötyinformaatio-osaan (payloadiin). Tyypillisesti kuljetusmenetelmää käytetään kahden verkkoaseman väliseen päästä - päähän viestintään. Kuljetusmenetelmää voidaan käyttää yhdessä tunnelointiprotokollan kanssa ( muu kuin IPSec-tunnelointi).
* · ',.’20 Tunnelimalli antaa suojan koko IP-paketille ja sitä käytetään yleisesti viestien lähettämiseksi yhden tai usean komponentin läpi, vaikkakin tunnelimenetelmää • t * < · * * voidaan myös käyttää kahden verkkoaseman väliseen päästä-päähän viestintään.
* »
Tunnelimenetelmää käytetään usein silloin, kun SA:n toinen tai molemmat päät ovat
• I
varmuusyhdyskäytäviä (security gateway), kuten palomuureja tai reitittimiä, jotka 25 käyttävät IPSec:iä. Tunnelimenetelmällä joukko verkoissa olevia palomuurien takana .···. olevia verkkoasemia voi ryhtyä turvalliseen viestintään käyttämättä IPSec:iä.
• ·
I I I
Sellaisten verkkoasemien tuottamat suojaamattomat paketit tunneloidaan ulkoisten verkkojen läpi palomuurissa tai varmuusreitittimissä olevan IPSec-ohjelmiston : asettamalla SA:n tunnelimenetelmällä alueverkon rajalla.
t * V!30 '· Tämän saavuttamiseksi, sen jälkeen kun AH- tai ESP-kentät on lisätty IP-pakettiin, koko pakettia varmuuskenttineen käytetään uuden ulkoisen IP-paketin payload:ina, 116025 5 jolla on uusi ulkoinen IP-alkutunniste. Koko alkuperäinen, tai sisempi, paketti kulkeutuu tunnelin läpi IP-verkon yhdestä pisteestä toiseen: mikään reititin tien varrella ei kykene tutkimaan sisempää IP-pakettia. Koska alkuperäinen paketti on kapseloimaton, uudella suuremmalla paketilla voi olla kokonaan erilaiset lähde- ja kohdeosoitteet, mikä lisää 5 turvallisuutta. Toisin sanoen, ensimmäinen vaihe paketin suojaamisessa tunnelimenetelmää käytettäessä on uuden IP-alkutunnisteen lisääminen pakettiin, siten ΊΡ/payload’-paketista tulee ΊΡ/ΙΡ/payload’. Seuraava vaihe on paketin varmistaminen käyttämällä ESP.tä tai AH:ta. ESP:n tapauksessa, tuloksena saatu paketti on ’IP/ESP/IP/payload’. Koko sisempi paketti on ESP:n tai AH:n peittämä. AH 10 myös suojaa ulkoisen alkutunnisteen osia koko sisäpaketin lisäksi.
IPSec-tunnelimenetelmä toimii esim. niin, että jos verkossa oleva verkkoasema tuottaa IP-paketin, jossa on toisessa verkossa olevan verkkoaseman kohdeosoite, paketti reititetään alkuperäiseltä verkkoasemalta varmuusyhdyskäytävälle (Security Gate 15 Way, SGW), palomuurille tai muulle turvareitittimelle ensimmäisen verkon rajalla. SGW
ja vastaavat suodattavat kaikki ulosmenevät paketit IPSec-käsittelyn tarpeen määrittelemiseksi. Jos tämä paketti ensimmäiseltä verkkoasemalta toiselle ... verkkoasemalle vaatii IPSec:in, palomuuri suorittaa IPSec-käsittelyn ja kapseloi I · ’···,* paketin ulkoiseen IP- alkutunnisteeseen. Tämän ulkoisen IP- alkutunnisteen lähde- IP- 20 osoite on tämä palomuuri ja kohdeosoite voi olla palomuuri, joka muodostaa toisen [ . lähiverkon rajan. Tämä paketti reititetään nyt toisen verkkoaseman palomuurille siten, . . että välireitittimet tutkivat ainoastaan ulkoisen IP alkutunnisteen. Toisen verkkoaseman . ... palomuurin äärellä, ulompi IP- alkutunniste poistetaan ja sisempi paketti toimitetaan toiselle verkkoasemalle.
25
* I
.···, ESP-tunnelimenetelmään salataan ja valinnaisesti autentikoidaan koko sisempi IP- • I · . paketti, mukaan lukien sisempi IP-alkutunniste. AH-tunnelimenetelmään ... autentikoidaan koko sisempi IP-paketti, mukaan lukien sisempi IP-alkutunniste ja [ · ‘ valittuja osia ulommasta IP-alkutunnisteesta.
V·; 30 '· IPSec:in avaintenhallintaosa sisältää salaisten avaimien määrittelyn ja jakelun.
IPSec.in automatisoitu avaintenhallinnan oletusprotokolla on ISAKMP/Oakley ja se 116025 6 muodostuu Oakleyn avainten määrittelyprotokollasta ja internetin Security Assosiation ja Key Management-protokollasta (ISAKMP). Internet Key Exchange (IKE) on uudempi nimi ISAKMP/Oakley-protokollalle. IKE perustuu Diffie Hellman-algoritmiin ja tukee muun muassa RSA-allekirjoitusautentikointintia. IKE on kehityskelpoinen protokolla ja 5 se sallii tulevien ja myyjäkohtaisten ominaisuuksien lisäämisen ilman, että toiminallisuus kärsii.
IPSec on suunniteltu luottamuksellisuuden, eheyden ja toistosuojan saamiseksi IP- paketeille. IPSec on kuitenkin tarkoitettu staattiseen verkkotopologiaan, jossa 10 verkkoasemat ovat kiinteitä tietyille aliverkoille. Esimerkiksi kun IPSec-tunneli on muodostettu käyttämällä Internet Key Exchange-protokollaa (IKE), tunnelin päätepisteet ovat kiinteitä ja jäävät vakioksi. Jos IPSec:iä käytetään liikuvan verkkoaseman yhteydessä, IKE-avainten vaihto on tehtävä uudestaan joka kerta kun tullaan uuteen verkkoon. Tämä on ongelmallista, koska IKE-avaintenvaihtoon sisältyy 15 tietokoneellisesti kalliita Diffie Hellman avaintenvaihtoalgoritmilaskelmia ja mahdollisesti RSA-laskelmia. Lisäksi, avaintenvaihto vaatii ainakin kolme edestakaista matkaa (kuusi viestiä) jos käytetään IKE:n aggressiivista IKE-menetelmää ja sen jälkeen IKE:n pikamenetelmää ja yhdeksän viestiä, jos käytetään IKE:n päämallia ja sen jälkeen IKE:n pikamallia. Tämä saattaa olla suuri ongelma korkean latenssin [ , 20 verkoissa, kuten General Packet Radio Services (GPRS), tietokonelaskelmien • » ' . kustannuksista riippumatta.
«»tl . . Tässä tekstissä, termeillä liikkuvuus ja mobiilipäätelaite ei tarkoiteta ainoastaan • 9 fyysistä liikkuvuutta, vaan termillä liikkuvuus tarkoitetaan ensikädessä siirtymistä .25 yhdestä verkosta toiseen, joka voidaan suorittaa myös fysikaalisesti kiinteällä !· ··. päätelaitteella.
Ongelmana standardi IPSec:in tunnelointipäätepisteissä on, että ne ovat kiinteitä. SA-kiinnitetään tiettyyn IP-osoitteeseen ja jos se vaihtuu olemassa oleva IPSec SA tulee käyttökelvottomaksi, koska se on saatu aikaan käyttämällä erilaisia päätepisteosoitteita.
116025
Ongelmasta on keskusteltu lETF-standardisointifoorumissa, www.IETF.org, jossa Francis Dupont mainitsi ideana tukea IPSec ESP-tunneleiden liikkuvuutta signaloinnin avulla toisen pään osoitteen päivittämisellä liikkumisen jälkeen. Mitään ratkaisuja ei ole tähän päivään mennessä kuitenkaan esitetty.
5
Mobile IP:n standardiprotokolla tarjoaa mobiilipäätteen, jossa on mobiiliyhteys, ja määrittelee mekanismeja tehokkaiden verkonvaihtojen (handovers) suorittamiseksi yhdestä verkosta toiseen. Mobile IP:llä on kuitenkin useita haittoja. Mobile IP:n turvallisuus on hyvin rajoitettu. Liikkuvuuden signalointiviestit autentikoidaan, mutta ei 10 salata, ja käyttäjän tietoliikenne on täysin suojaamatonta. Se ei myöskään sisällä minkäänlaista avaintenvaihtomekanismia liikkuvuussignaloinnin autentikointia varten vaadittujen salausavaimien saamiseksi. Tällaiset avaimet on tyypillisesti levitettävä manuaalisesti. Lopuksi, tämän hetkinen Mobile IP-protokolla ei määrittele menetelmää jolla se toimisi verkon osoitteen käännöslaitteiden (Network Address Translation, NAT) 15 kautta.
Yksi tapa ratkaista tämä ongelma on käyttää esim. Mobile IP:tä käsittelemään verkkoaseman liikkuvuutta, ja käyttää IPSec:iä Mobile IP:n tuoman staattisen IP-'··’ osoitteen päällä. Siten, IPSec SA:t on sidottu staattisiin osoitteisiin ja IPSec SA:t ... 20 kestävät verkkoaseman likkuvuuden. Tämä ratkaisu kuitenkin kärsii sekä Mobile IP.n ' . että IPSec-tunneleiden pakettikoon liiasta koosta, joka saattaa vaikuttaa . suorituskykyyn, varsinkin kun käytetään linkkejä, joissa on pieni läpivienti.
Asiakirjat, jotka määrittelevät IP-protokollan yleisesti ovat RFC-standardit RFC 768, 25 RFC 791, RFC 793, RFC 826 ja RFC 2460. RFC 2002, RFC 2003, RFC 2131, RFC
. * * ·, 3115 ja Mobile Ipv4 ja DHCpv6 määrittelevät Mobile IP.n, IP-IP:n ja DHCP.n.
... Seuraavassa on luettelo mainituista käyttökelpoisista viitteistä.
8 116025 IP yleensä TCP ja UDP: [RFC768] J. Postel, User Datagram Protocol, RFC 768, August 1980.
5 ftp://ftP.isi.edu/in-notes/rfc768.txt [RFC791] J. Postel, Internet Protocol, RFC 791, September 1981. ftp://ftp.isi.edu/in-notes/rfc791 .txt 10 [RFC792] J. Postel, Internet Control Message Protocol, RFC 792, September 1981.
ftp://ftp.isi.ed u/in-notes/rfc792.txt 15 [RFC793] J. Postel, Transmission Control Protocol, RFC 793, September 1981. ftp://ftp.isi.edu/in-notes/rfc793.txt [RFC826] '' ‘. 20 D.C. Plummer, An Ethernet Address Resolution Protocol, RFC 826, November 1982.
» · * * . ftp://ftp.isi.edu/in-notes/rfc826.txt [RFC2460]
» I
”’25 S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, RFC
: . . 2460, December 1998.
Mobile IP; IP-IP; DHCP: » » Λ 30 [RFC2002] *· : C. Perkins, IP Mobility Support, RFC 2002, October 1996.
ftp://ftD.isi.edu/in-notes/rfc2002.txt 116025 9 [RFC2003] C. Perkins, IP Encapsulation Within IP, RFC 2003, October 1996. ftp://ftD.isi.edu/in-notes/rfc2003.txt 5 [RFC2131] R. Droms, Dynamic Host Configuration Protocol, RFC 2131, March 1997. ftp://ftp.isi.edu/in-notes/rfc2131 .txt [RFC3115] 10 G. Dommety, and K. Leung, Mobile IP Vendor/Organization-specific Extensions, RFC 3115, April 2001. ftp://ftp.isi.edu/in-notes/rfc3115.txt 15 [MOBILEIPv6] D. B. Johnson, C. Perkins, Mobility Support in IPv6, Work in progress (Internet-Draft is available), July 2000.
[DHCPV6] ‘ **20 J. Bound, M. Carney, C. Perking, R.Droms, Dynamic Host Configuration
Protocol for IPv6 (DHCPv6), Work in progress (Internet-Draft is available), June 2001.
25 I Psec standardeja: • · !··\ [RFC2401] S. Kent, and R. Atkinson, Security Architecture for the Internet Protocol, RFC 2401, November 1998.
1;' 30 ftp://ftp.isi.edu/in-notes/rfc2401 .txt 116025 10 [RFC2402] S. Kent, and R. Atkinson, IP Authentication Header, RFC 2402, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2402.txt 5 [RFC2403]
C. Madson, R. Glenn, The Use of HMAC-MD5-96 within ESP and AH, RFC
2403, November 1998.
10 [RFC2404]
C. Madson, R. Glenn, The Use of HMAC-SHA-1-96 within ESP and AH, RFC
2404, November 1998.
[RFC2405] 15 C. Madson, N. Doraswamy, The ESP DES-CBC Cipher Algorithm With Explicit IV, RFC 2405, November 1998.
[RFC2406] S. Kent, and R. Atkinson, IP Encapsulating Security Payload (ESP), RFC 2406, : : 20 November 1998.
:. ftp://ftp.isi.edu/in-notes/rfc2406.txt ·:··: [RFC2407]
D. Piper, The internet IP Security Domain of Interpretation for ISAKMP, RFC
25 2407, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2407.txt • · • · · 11 116C25 [RFC2408] D. Maughan, M. Schneider, M. Schertler, and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, November 1998.
5 ftp://ftp.isi.edu/in-notes/rfc2408.txt [RFC2409] D. Harkins, and D. Carrel, The Internet Key Exchange (IKE), RFC 2409, November 1998.
10 ftp://ftp.isi.edu/in-notes/rfc2409.txt [RFC2410]
R. Glenn, S. Kent, The NULL Encryption Algorithm and Its Use With IPsec, RFC
2410, November 1998.
15 [RFC2411]
R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC
2411, November 1998.
-:-20 [RFC2412] H. Orman, The OAKLEY Key Determination Protocol, RFC 2412, November ·:·: 1998.
O NAT: 25 i'V [RFC2694] P. Srisuresh, G. Tsirtsis, P. Akkiraju, and A. Heffernan, DNS extensions to •: I Network Address Translators (DNS_ALG), RFC 2694, September 1999.
,y. 30 [RFC3022] : P. Shisuresh, K. Egevang, Traditional IP Network Address Translator (Traditional NAT), RFC 3022, January 2001. ftp://ftp.isi.edu/in-notes/rfc3022.txt 12
11602E
KEKSINNÖN KOHDE
Keksinnön kohde on viestien turvallisen lähettämisen varmistaminen mobiilipäätteisiin ja mobiilipäätteiltä välttäen tekniikan tason ongelmat.
5
KEKSINNÖN YHTEENVETO
Keksinnön mukaisen menetelmän ja verkon tarkoituksena on varmistaa viestin 10 turvallinen lähettäminen tietoliikenneverkoissa, jotka käsittävät ainakin yhden ensimmäisen päätteen ja ainakin yhden toisen päätteen. Menetelmässä ensimmäinen pääte muuttaa ensimmäisestä osoitteesta toiseen osoitteeseen. Muodostetaan ensimmäisen päätteen ensimmäisen osoitteen ja toisen päätteen välillä oleva turvallinen yhteys, joka määrittelee ainakin näiden kahden päätteen osoitteet. 15 Ensimmäinen pääte muuttaa ensimmäisestä osoitteesta toiseen osoitteeseen. Yhteys muutetaan olemaan toisen osoitteen ja toisen päätteen välille ensimmäisen päätteen pyynnöstä ja edullisesti, vastauksesta takaisin ensimmäiselle päätteelle.
• · · • · ’···* Keksinnössä ensimmäinen pääte muuttaa verkosta toiseen. Sellainen pääte voi ' 20 fysikaalisesti olla mobiilipääte tai kiinteä pääte.
• · · • · · * • · . Turvallinen yhteys on IPSec-yhteys, joka asetetaan muodostamalla yksi tai useampi ... turvayhteys, Security Assosiation, SA, käyttämällä IPSec-protokollia. Pyyntö ja/tai- vastausviesti voidaan suojata esim. IPSec-salauksella ja/tai autentikoinnilla, 25 mahdollisesti käyttäen samaa IPSec SA:ta, jota käytetään liikenteen suojaamiseksi.
Yleisesti, rekisteröintipyyntö ja rekisteröintivastaus ovat Mobile IP-termejä, mutta ... keksintö ei ole sidottu Mobile IP:hen. Keksinnössä, termejä pyyntö ja vastaus ]'’ käytetään yleisesti ja ne voivat liittyä Mobile IP:hen tai ei.
y.; 30 ’· Keksinnön mukaista menetelmää voidaan käyttää erilaisissa verkoissa. Jos ensimmäinen ja toinen pääte muodostavat päästä-päähän-yhteyden, turvallinen yhteys 116025 13 voi olla IPSec-tunnelimenetelmä- tai kuljetusmenetelmäyhteys. Lisäksi joko ensimmäinen tai toinen pääte tai molemmat, voivat olla turvayhdyskäytäviä, jotka suojaavat yhtä tai useampaa tietokonetta, jolloin IPSec-tunnelimenetelmä tai IPSec-kuljetusmenetelmä yhdessä tunnelointiprotokollan kanssa (esim. toisen kerroksen, 5 Layer2, tunnelointiprotokollaa, L2TP käytetään ensimmäisen ja toisen päätteen välistä turvallista yhteyttä varten).
Jos molemmat päätteet ovat liikkuvia, vaaditaan erikoisratkaisuja tilanteelle, jossa molemmat päätteet muuttavat yhtäaikaa niin kutsutussa ’’kaksoishyppy-tilanteessa”. 10 Tämä ratkaisu voidaan implementoida esim. käyttämällä verkkoasemien tämän hetkisten sijaintien keskusrekisteriä, vaikkakin muitakin ratkaisuja on olemassa tätä ongelmaa varten. Voidaan kuitenkin käyttää keksinnön mukaista muutettavaa IPSec-tunnelia tai kuljetusmenetelmä S A: ta tässäkin tapauksessa.
15 Hakija on ratkaissut edellä olevat tekniikan tasoon liittyvät ongelmat määrittelemällä signalointimekanismin, jonka ansiosta olemassa oleva IPSec-turvayhteys, eli symmetrisen salauksen ja autentikointi algoritmit, sekä paketin käsittelyyn, käytetyt avaimet ja muut parametrit, voi muuttaa verkosta toiseen. Tarkemmin, olemassa oleva ’•'I IPSec-tunnelin päätepistettä voidaan muuttaa keksinnössä yhdestä kiinnekohdasta [,/20 toiseen. Esimerkiksi osoitteiden A ja X välinen IPSec-tunneli voidaan muuttaa • < · ’·’ | käyttämällä määritettyä signalointia osoitteiden B ja X välillä, käyttämällä yhtä ainoata edestakaista signalointia (kaksi viestiä), tai puolikasta edestakaisin menevää matkaa • · (yksi viesti, jos vastausviestiä ei käytetä signalointiin). Ratkaisu vaatii minimaalisia tietokonelaskemia verrattuna Diffie Hellmaniin tai vahvoihin autentikointilaskelmiin.
: . , 25 .·*, Signalointimekanismi on edullisesti samanlainen kuin se, jota käytetään Mobile IP:ssä, • · s.o. rekisteröintipyyntö (RREQ) lähetetään SA.n toiseen päähän ja sen jälkeen • · * * · rekisteröinnin vastaus (RREP) takaisin (RREQ-viestin lähettäjälle), joita molempia *!* voidaan kehittää tulevaisuuden ominaisuuksia ja valinnaisia attribuutteja ajatellen. • · 30 RREQ/RREP-viestipari lähetetään uudesta verkosta, ja kun kerran on asiallinen autentikointi suoritettu, lähettäjän IPSec-tunnelin päätepiste päivitetään vanhasta verkosta uuteen verkkoon.
116025 14
Jos turvayhteyttä, jota käytetään käyttäjän liikenteen suojaamiseksi myös käytetään signalointitarkoituksiin, RREQ-viestin vastaanottaminen SA:n toisessa päässä vaatii normaalin IPSec-implementoinnin muutosta paketin hyväksymistä varten, joka näyttää kuuluvan tiettyyn IPSec-tunnelin, mutta tulee väärästä osoitteesta ( s.o. tunneli on tällä 5 hetkellä A:n ja X:n välillä ja RREQ tulee osoitteesta B). Tämä on välttämätöntä ainoastaan RREQ-viestille. Keksintö tarjoaa tällaisen implementoinnin; on välttämätöntä modifioida IPSec, jos IPSeciä käytetään RREQ/RREP-singnalointia varten. Siinä tapauksessa sitä vaaditaan erityisesti RREQ/RREP-viestien käsittelyyn jos vastausviestiä käytetään.
10
Pyyntöviesti voi päivittää joukon turvayhteyksiä, esimerkiksi yhden ainoan turvayhteyden, turvayhteyskimpun, IPSec-yhteyden ryhmän tai näiden yhdistelmän. Käytännössä on käyttökelpoista päivittää joko yksi ainoa IPSec-yhteys tai joukko IPSec-yhteyksiä. Viimeksi mainittu tapaus on tärkeä, jos käytetään erillisiä IPSec-15 yhteyksiä erilaisia liikennetyyppejä varten. Yksi ainoa pyyntöviesti voi silloin päivittää kaikki nämä yhteydet (tai tietyn ryhmän) uuteen osoitteeseen, sen sijasta että vaadittaisiin erillisiä pyyntöjä jokaista IPSec-yhteyttä varten. Seuraavassa esitetään tapaus, jossa yksi ainoa IPSec-yhteys päivitetään, rajoittamatta keksintöä tähän tapaukseen.
...· 2o
Toinen menetelmä signaloinnin suorittamiseksi on käyttää erillistä protokollaa.
* . Protokollan tulisi edullisesti saada aikaan signalointiviestien salaus tai autentikointi.
. IKE-protokollalla on jo viestejä määriteltynä esim. IPsec SA:iden poistamiseksi. Yksi ...# menetelmä välttämättömän signaloinnin saamikseksi olisi uuden IKE- 25 tiedostamisviestityypin lisääminen, joka vaatii muutosta olemassa olevaan SA:han.
: Sellainen viesti antaisi oman salauksen tai autentikoinnin eikä vaatisi IKE-yhteyden ," , aikaansaantia uudesta osoitteesta, mikä vaatisi ylimääräistä viestintää.
IP-versio 4 (IPv4) on tällä hetkellä hyvin laajasti käytetty internet-protokollaversio. Sen 30 suurin haitta on sen ainutlaatuisten julkisten IP-osoitteiden pieni määrä. IP-versiolla 6 ’ (IPv6) on paljon suurempi osoitetila, mikä ratkaisee tärkeimmän IPv4 ongelman. IPv6 * ' muuttaa myös muita asioita Internet-protokollassa, esimerkiksi sen kuinka pakettien 116025 15 fragmentointi tehdään, mutta nämä muutokset ovat aika pieniä. Useimmilla prokollilla on erillisiä määritelmiä siitä kuinka niitä käytetään IPv4- ja IPv6-yhteyksissä. Esimerkiksi IPSec:llä ja Mobile IP:lla on erillisiä versioita käytettäväksi IPv4:n ja IPv6:n kanssa. Sellaiset protokollamuunnokset ovat kuitenkin aika pieniä ja ne eivät yleensä 5 muuta protokollien olennaisia asioita merkittävästi. Keksintöä voidaan käyttää sekä IPv4:n että IPv6:n yhteydessä.
Seuraavassa keksintöä kuvataan kuvioiden ja muutamien esimerkkien avulla. Keksintöä ei rajata seuraavan kuvauksen tai protokollien yksityiskohtiin kuten IPSec-10 tai IKE-protokollien yksityiskohtiin, jotka voivat muuttua tulevaisuudessa.
KUVIOT
15 Kuvio 1 kuvaa esimerkkiä keksinnössä käytettävästä telekommunikointiverkosta.
Kuvio 2 kuvaa toista esimerkkiä keksinnössä käytettävästä telekommunikointiverkosta.
* · '···] Kuvio 3 kuvaa kolmatta esimerkkiä keksinnössä käytettävästä telekommunikointi-* 20 verkosta.
*»* • * » • · · . Kuvio 4 kuvaa tekniikan tason ratkaisua mobiilisuuden saamiseksi IPSec-yhteyksiin.
* # ♦ * » « · • · f • * • »
Kuvio 5 kuvaa keksinnön mukaista menetelmää mobiilisuuden saamiseksi IPSec-25 yhteyksiin.
• ·
• I
• · * ·
YKSITYISKOHTAINEN KUVAUS
i »
• I
30 Kuvio 1 kuvaa keksinnössä käytettävää telekommunikointiverkkoa. Siten kuviossa 1, » « t ’· ·* tietokone 1 voi olla asiakastietonne ja tietokone 2 kohdetietokone, johon turvalliset viestit lähetetään keksinnössä tietokoneen 1 ja 2 väliin muodostetun IPSec-tunnelin 116025 16 avulla. Tietokone 2 voi olla turvayhdyskäytävä kolmatta tietokonetta varten. Siten viestit tietokoneelta 2 tietokoneelle 3 lähetetään selvätekstisenä. Turvayhdyskäytävä voi olla yhteinen turvayhdyskäytävä yhtiön LAN.ille, jolloin tietokone 2 suojaa useita LANin tietokoneita. Muita suojattuja tietokoneita ei ole esitetty kuviossa 2, mutta 5 luonnollisesti keksintö kattaa myös sellaiset verkot.
Kuvion 2 mukainen verkko vastaa muuten kuvion 1 mukaista, mutta kuviossa 2 myös tietokone 1 on turvayhdyskäytävä, esim. tietokoneelle 4. Myös tässä, turvayhdyskäytävä 1 voi olla olla yhteinen turvayhdyskäytävä yhtiön LAN:lle, jolloin 10 tietokone 1 suojaa useita LAN:in tietokoneita. Muut suojatut tietokoneet eivät ole esiteltyinä kuviossa 2, mutta luonnollisesti keksintö kattaa myös sellaiset verkot. Turvayhdyskäytävän 1 ja tietokoneiden väliset viestit, joita se suojaa, lähetetään selvätekstisinä, koska ainoastaan tietokoneiden 1 ja 2 välillä on IPSec-tunneli.
15 Kuvion 3 mukainen verkko on verkko, jossa IPSec-viestit lähetetään tietokoneiden 1 ja 2 välisen päästä-päähän yhteyden välillä ainoastaan silloin kuin IPSec- kuljetusmenetelmää voidaan käyttää tunnelimenetelmän sijasta.
Kuvio 4 kuvaa tekniikan tason ratkaisua mobiilisuuden saamiseksi IPSec-yhteyksiin. 20 Se on diagrammina esitetty standardi IPSec-menetelmä tunnelin aikaansaamiseksi _... t osoitteiden A ja X välillä ja sitten B ja X välillä.
Protokolla alkaa IKE-päämoodilla, joka vaatii yhteensä 6 viestiä, katso vaiheet 1a - 6a .···, kuviossa 4. Protokollaan liittyy vahva käyttäjäautentikointi, politiikkaneuvottelu ja Diffie- 25 Hellman-algoritmin käyttö. Mitä vain muuta IKE-faasi 1 moodia voidaan käyttää : vaihtoehtona. Toinen tapa viestien lukumäärän minimoimiseksi on välttää IKE-faasin 1 » * « · /’; käyttöä ja suorittaa ainoastaan IKE-pikamoodi (ainoastaan 3 viestiä). IKE-faasi 1 liittyy kuitenkin IP-osoitteisiin (yhdessä muun tunnusinformaation kassa). Modifioitu ]··, implementointi saattaa jättää IP-osoitteita huomioimatta käsitellessään IKE-viestejä ja 30 siten se kykenee ylläpitämään IKE-faasi 1:n yhteyspisteiden välillä.
116025 17
Protokolla jatkaa sitten IKE-pikamoodilla vaatien yhteensä 3 viestiä (vaihteet 7a - 9a kuviossa 4). Pikamoodiin kuuluu IPSec-politiikkaneuvottelu ja valinnaisesti Diffie-Hellman-algoritmin käyttö. Vaihtoehtoista IKE-faasi 2 vaihtoa voitaisiin tietenkin käyttää pikamoodin sijasta.
5 Tässä vaiheessa tunneli on saatu aikaiseksi osoitteiden A ja X välillä. Yhdeksän viestiä on käytetty tietokonelaskelmissa ftokainen Diffie-Hellman-tietokonekäsittely saattaa kestää satoja millisekunteja esimerkiksi riippuen verkkoasemasta), myös signalointi-aikojen ollessa huomattavia (9/2 = 4,5 edestakaista singnaalia, jossa 500 10 millisekuntia/edestakaista signaalia tarkoittaa 25 millisekuntia pelkästään latenssia).
Mobiilipäätteen muuttaminen osoitteeseen B aiheuttaa täydellisen uudelleen neuvottelun ja taas IKE päämoodi vaatii yhteensä 6 viestiä (kuvion 4 vaiheet 1b - 6b, vahvan käyttäjäautentikoinnin, politiikkaneuvotteluun ja Diffie-Hellman algoritmin 15 valinnaisen käytön).
Protokollan käyttö jatkuu IKE-pikamoodilla vaatien yhteensä kolme viestiä (vaiheet 7b-9b).
1 » . ’ 20 Osoitteiden B ja X välinen tunneli on nyt täydellinen.
..... Kuvio 5 kuvaa keksinnön mukaisen menetelmän. Tunnelin saamiseksi osoitteen Aja ..... verkkoaseman X välille, käytetään taas IKE-päämoodia, joka vaatii yhteensä kuusi viestiä (kuvion 5 vaiheet 1a - 6a), kuten kuviossa 4, vaatien vahvan : v. 25 käyttäjäautentikoinnin, politiikkaneuvottelun ja Diffie-Hellman algoritmin käytön.
• · • · • I .
• » • . Käytetään taas IKE-pikamoodia vaatien yhteensä kolme viestiä (kuvion 5 vaiheet 7a -... 9a). Pikamoodiin kuuluu IPSec, poliitiikkaneuvottelu ja Diffie-Hellman algoritmin ' ‘' valinnainen käyttö.
V ! 30 ’· : Jälleen IKE-päämoodi voidaan korvata millä vain IKE-vaiheen 1 moodilla ja IKE- pikamoodi millä vain muun IKE-vaiheen toisella moodilla.
116025 18 Tässä vaiheessa tunneli on saatu aikaiseksi osoitteiden A ja X välillä. Yhdeksän viestiä on käytetty yhteensä tietokonelaskelmien kanssa.
Keksinnössä, muuttaminen osoitteeseen 6 vaatii ainoastaan yhden edestakaisen 5 signaloinnin, kun taas käytetään rekisteröintipyyntöviestejä mobiilipäätteestä lähettettäväksi, kun se muuttaa osoitteesta A osoitteeseen B. Kuvion 5 signaali 10a, joka lähetetään mobiilipäätteestä aikaansaadun IPSec-tunnelin toiseen päähän, kun se on muuttanut osoitteeseen B, on uuden osoitteen rekisteriöintipyyntö (RREQ). Edullisesti, lähetetään vastausviesti (RREP) (vaihe 11a ) verkkoasemasta 10 osoitteenmuutoksen vahvistamiseksi. Kuvion 5 molemmat signaalit 10a ja 11a voidaan salata ja/tai autentikoida. Salaaminen ja /tai autentikointi suoritetaan edullisesti käyttämällä IPSeciä, jolloin on edullista käyttää samaa IPSec SA:ta sekä tiedon suojaamiseen että liikenteen rekisteröimiseen.
15 11a on valinnainen keksinnössä. Edullinen salaamismenetelmä on IPSec, edullisesti aikaisemmin kuvatulla muunnetulla vastaanottokäsittelyllä. Täsmällinen signalointimenetelmä ei ole kuitenkaan tärkeää, olennaista on siirtää IPSec-SA uuteen yhteyspisteeseen.
... 20 SA, joka oli osoitteiden A ja X välillä on nyt muuttanut osoitteiden B ja X väliin ja on nyt täydellinen. Seuraavan kerran kun mobiilipääte lähettää viestin, kuvioissa 1 - 3 . oleva verkkoasema 2 kykenee asianmukaisesti käsittelemään IPSec-paketit, jotka tulevat osoitteesta B ja päinvastoin. Liikenne voi nyt virrata tunnelin sisällä kuten normaalin IPSec:in tapauksessa.
25 • · .···. Uusia muutoksia verkosta toiseen voidaan aikaansaada samanlaisilla signalointiviesteillä. IPSec SA:ta ei tarvitse muodostaa uudestaan ennenkuin SA:n elinikä on kulunut loppuun.
30 Keksintö vaatii puolikkaan edestakaisinmatkan ainoastaan jos käytetään pyyntöviestiä ‘ · ’: ilman vastausta sekä yhtä ainoata vastausviestin edestakaista matkaa.
19
11CC2F
Esimerkki kuvaa IPSec:in tunnelimenetelmää, mutta kuljetusmentelmää voidaan myös käyttää. IPSec-kuljetusmenetelmäyhteydet esimerkkeissä voidaan korvata IPSec-tunnelimenetelmäyhteyksiliä ja päin vastoin. IPSec-kuljetusmenetelmä yhdistettynä ulkoiseen tunnelointiprotokollaan, kuten toisen kierroksen (Layer 2) 5 tunnelointiprotokolla (L2TP), on IPSec-tunnelimenetelmän korvaus, mitä tulee funktionaalisuuteen.
Implementointi voi optimoida liikennevirtauksen fragmentoinnin mitä tulee viestiin 10a (ja valinnaisesti 11a); esim. kun on lähetetty 10a, asiakas voi suoraan lähettää IPSec-10 suojatun liikenteen. Tämä tekee vaihdon latenssin nollaksi, vaikkakin se vaatii monimutkaisempaa käsittelyä, jos viesti 10a hukataan, toimittaessa. Keksinnön olennainen osa on kuitenkin se, että on mahdollista, että keksintö tarjoaa oleellisesti nollalatenssivaihdon asiakaspalvelimen verkonvaihtoliikenteeseen ja puolikkaan edestakaisenmatkan latenssin palvelin-asiakas-liikenteeseen.
15
Erilaisia verkkotopologioita voidaan tietysti käyttää keksinnössä. Esimerkiksi kuviossa 1 ,verkkoasemien 2 ja 3 välinen yhteys voi olla IPSec-kuljetus tai -tunnelimenetelmä, selvätekstin sijasta jne.

Claims (10)

  1. 20 116025
  2. 1. Menetelmä viestin turvalliseksi lähettämiseksi telekommunikointiverkossa, joka käsittää ainakin yhden mobiilipäätteen ja toisen päätteen, jossa menetelmässä 5 mobiilipääte muuttaa ensimmäisestä osoitteesta toiseen osoitteeseen, tunnettu siitä että a) aikaansaadaan turvallinen yhteys mobiilipäätteen ensimmäisen osoitteen ja toisen päätteen välillä määrittäen ainakin näiden kahden päätteen osoitteet, b) mobiilipääte muuttaa ensimmäisestä osoitteesta toiseen osoitteeseen, 10 c) muutetaan yhteys olemaan toisen osoitteen ja toisen päätteen välillä pyyntöviestin avulla mobiilipäätteestä toiseen päätteeseen turvallisen yhteyden muuttamiseksi toiseen osoitteeseen.
  3. 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä että turvallinen 15 yhteys muodostetaan vaiheessa a) muodostamalla turvayhteys, SA, käyttämällä IPSec-protokollia.
  4. 3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu siitä että vaiheessa .··*. c) vastaus takaisin mobiilipäätteeseen lähetetään toisesta päätteestä sen jälkeen : 20 kun on lähetetty mobiilipäätteestä pyyntö osoitteen muuttamiseksi.
  5. 4. Jonkin patenttivaatimuksen 1-3 mukainen menetelmä, tunnettu siitä että ·:··· rekisteröintipyyntö ja/tai vastausviesti salataan ja/tai autentikoidaan käyttämällä :"': samaa aikaansaatua SA:ta. 25 : : 5. Jonkin patenttivaatimuksen 1 - 4 mukainen menetelmä, tunnettu siitä että turvallisen yhteyden osoitteiden osoitteenmuutospyyntöviestin tuloksena, :v. suoritetaan verkkoon kuuluvien päätteiden tämän hetkisen osoitteen muutos ; ‘; keskusrekisterin avulla. 30
  6. 6. Telekommunikointiverkko jonkin patenttivaatimuksen 1 - 5 mukaisen menetelmän suorittamiseksi, joka käsittää ainakin yhden mobiilipäätteen ja toisen päätteen. 116025
  7. 7. Patenttivaatimuksen 6 mukainen verkko, tunnettu siitä että mobiilipääte ja toinen pääte muodostaa päästä - päähän yhteyden, jolloin turvallinen yhteys on IPSec-kuljetusyhteys tai IPSec-tunneliyhteys.
  8. 8. Patenttivaatimuksen 6 mukainen verkko, tunnettu siitä että joko mobiilipääte tai toinen pääte, tai sekä että, ovat turvayhdyskäytäviä, jotka suojaavat yhden tai useamman tietokoneen, jolloin käytetään IPSec-tunnelimenetelmää tai IPSec.iä yhdessä tunnelointiprotokollan kanssa mobiilipäätteen ja toisen päätteen turvallista yhteyttä varten. 10
  9. 9. Patenttivaatimuksen 6 mukainen verkko, tunnettu siitä että molemmat päätteet ovat mobiilipäätteitä.
  10. 10. Patenttivaatimuksen 9 mukainen verkko, tunnettu siitä että se lisäksi sisältää 15 verkkoon kuuluvien päätteiden tämän hetkisten sijaintien keskusrekisterin. • · 20 •»·»· * I 25 * 1 » t 1 Λ 30 t 116025
FI20011910A 2001-09-28 2001-09-28 Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi FI116025B (fi)

Priority Applications (9)

Application Number Priority Date Filing Date Title
FI20011910A FI116025B (fi) 2001-09-28 2001-09-28 Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
DE60234470T DE60234470D1 (de) 2001-09-28 2002-09-27 Verfahren und netzwerk zur sicherstellung der sicheren weiterleitung von nachrichten
ES02762486T ES2336898T3 (es) 2001-09-28 2002-09-27 Metodo y red para asegurar el envio seguro de mensajes.
AT02762486T ATE449490T1 (de) 2001-09-28 2002-09-27 Verfahren und netzwerk zur sicherstellung der sicheren weiterleitung von nachrichten
US10/490,932 US7620810B2 (en) 2001-09-28 2002-09-27 Method and network for ensuring secure forwarding of messages
DK02762486.5T DK1461925T3 (da) 2001-09-28 2002-09-27 Fremgangsmåde og netværk til sikring af sikker fremsendelse af meddelelser
PCT/FI2002/000770 WO2003030487A1 (en) 2001-09-28 2002-09-27 Method and network for ensuring secure forwarding of messages
EP02762486A EP1461925B1 (en) 2001-09-28 2002-09-27 Method and network for ensuring secure forwarding of messages
US12/560,481 US7937581B2 (en) 2001-09-28 2009-09-16 Method and network for ensuring secure forwarding of messages

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011910 2001-09-28
FI20011910A FI116025B (fi) 2001-09-28 2001-09-28 Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi

Publications (3)

Publication Number Publication Date
FI20011910A0 FI20011910A0 (fi) 2001-09-28
FI20011910A FI20011910A (fi) 2003-03-29
FI116025B true FI116025B (fi) 2005-08-31

Family

ID=8561974

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20011910A FI116025B (fi) 2001-09-28 2001-09-28 Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi

Country Status (8)

Country Link
US (2) US7620810B2 (fi)
EP (1) EP1461925B1 (fi)
AT (1) ATE449490T1 (fi)
DE (1) DE60234470D1 (fi)
DK (1) DK1461925T3 (fi)
ES (1) ES2336898T3 (fi)
FI (1) FI116025B (fi)
WO (1) WO2003030487A1 (fi)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US20030204741A1 (en) * 2002-04-26 2003-10-30 Isadore Schoen Secure PKI proxy and method for instant messaging clients
US7392382B1 (en) * 2003-04-21 2008-06-24 Cisco Technology, Inc. Method and apparatus for verifying data timeliness with time-based derived cryptographic keys
WO2005027557A1 (en) * 2003-09-12 2005-03-24 Ntt Docomo, Inc. Seamless handover in heterogeneous network
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US7468981B2 (en) 2005-02-15 2008-12-23 Cisco Technology, Inc. Clock-based replay protection
US7676679B2 (en) * 2005-02-15 2010-03-09 Cisco Technology, Inc. Method for self-synchronizing time between communicating networked systems using timestamps
JP5572314B2 (ja) * 2005-03-17 2014-08-13 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法
CN1838590B (zh) * 2005-03-21 2011-01-19 松下电器产业株式会社 在会话起始协议信号过程提供因特网密钥交换的方法及***
US20070186281A1 (en) * 2006-01-06 2007-08-09 Mcalister Donald K Securing network traffic using distributed key generation and dissemination over secure tunnels
US8082574B2 (en) * 2006-08-11 2011-12-20 Certes Networks, Inc. Enforcing security groups in network of data processors
US20080072281A1 (en) * 2006-09-14 2008-03-20 Willis Ronald B Enterprise data protection management for providing secure communication in a network
US8284943B2 (en) * 2006-09-27 2012-10-09 Certes Networks, Inc. IP encryption over resilient BGP/MPLS IP VPN
US20080083011A1 (en) * 2006-09-29 2008-04-03 Mcalister Donald Protocol/API between a key server (KAP) and an enforcement point (PEP)
US7864762B2 (en) * 2007-02-14 2011-01-04 Cipheroptics, Inc. Ethernet encryption over resilient virtual private LAN services
US8908700B2 (en) * 2007-09-07 2014-12-09 Citrix Systems, Inc. Systems and methods for bridging a WAN accelerator with a security gateway
KR20090096121A (ko) * 2008-03-07 2009-09-10 삼성전자주식회사 IPv6 네트워크의 상태 보존형 주소 설정 프로토콜 처리방법 및 그 장치
JP2011077931A (ja) * 2009-09-30 2011-04-14 Canon Inc IPsec通信方法および装置
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
US8762706B2 (en) 2011-04-11 2014-06-24 International Business Machines Corporation Computer systems, methods and program product for multi-level communications
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US9124564B2 (en) * 2013-08-22 2015-09-01 Cisco Technology, Inc. Context awareness during first negotiation of secure key exchange
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9240989B2 (en) * 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
US20190097968A1 (en) * 2017-09-28 2019-03-28 Unisys Corporation Scip and ipsec over nat/pat routers
TWI713793B (zh) * 2017-10-19 2020-12-21 中華電信股份有限公司 使用IPv6的物聯網系統及其操作方法
US11064208B2 (en) 2018-02-20 2021-07-13 Arlo Technologies, Inc. Transcoding in security camera applications
US11756390B2 (en) 2018-02-20 2023-09-12 Arlo Technologies, Inc. Notification priority sequencing for video security
US11558626B2 (en) * 2018-02-20 2023-01-17 Netgear, Inc. Battery efficient wireless network connection and registration for a low-power device
US11272189B2 (en) 2018-02-20 2022-03-08 Netgear, Inc. Adaptive encoding in security camera applications

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6701370B1 (en) * 1994-06-08 2004-03-02 Hughes Electronics Corporation Network system with TCP/IP protocol spoofing
JPH09510596A (ja) * 1994-06-08 1997-10-21 エイチイー・ホールディングス・インコーポレーテッド・ディー ビーエー・ヒューズ・エレクトロニクス ハイブリッドネットワークアクセスのための装置および方法
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
JP3668047B2 (ja) * 1999-05-20 2005-07-06 株式会社東芝 移動通信方法、移動計算機装置及び暗号化通信装置
US7174018B1 (en) * 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
US7213263B2 (en) * 2000-11-13 2007-05-01 Smith Micro Software, Inc. System and method for secure network mobility
US7245405B2 (en) * 2001-04-11 2007-07-17 Hughes Network Systems, Llc Method and system for performing stateless compression of messages
US7146428B2 (en) * 2001-12-12 2006-12-05 At&T Corp. Secure in-band signaling method for mobility management crossing firewalls
US6947725B2 (en) * 2002-03-04 2005-09-20 Microsoft Corporation Mobile authentication system with reduced authentication delay
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service

Also Published As

Publication number Publication date
EP1461925B1 (en) 2009-11-18
US20100049967A1 (en) 2010-02-25
ES2336898T3 (es) 2010-04-19
US20050083947A1 (en) 2005-04-21
ATE449490T1 (de) 2009-12-15
WO2003030487A1 (en) 2003-04-10
FI20011910A0 (fi) 2001-09-28
US7937581B2 (en) 2011-05-03
DK1461925T3 (da) 2010-04-06
US7620810B2 (en) 2009-11-17
DE60234470D1 (de) 2009-12-31
FI20011910A (fi) 2003-03-29
EP1461925A1 (en) 2004-09-29

Similar Documents

Publication Publication Date Title
FI116025B (fi) Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
US11283772B2 (en) Method and system for sending a message through a secure connection
Frankel et al. Ip security (ipsec) and internet key exchange (ike) document roadmap
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
KR100679882B1 (ko) 사설 네트워크와 로밍 모바일 단말 사이의 통신
US8037302B2 (en) Method and system for ensuring secure forwarding of messages
US7346926B2 (en) Method for sending messages over secure mobile communication links
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

FG Patent granted

Ref document number: 116025

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MM Patent lapsed