FI110464B - IP-tietoturva ja liikkuvat verkkoyhteydet - Google Patents

IP-tietoturva ja liikkuvat verkkoyhteydet Download PDF

Info

Publication number
FI110464B
FI110464B FI20010876A FI20010876A FI110464B FI 110464 B FI110464 B FI 110464B FI 20010876 A FI20010876 A FI 20010876A FI 20010876 A FI20010876 A FI 20010876A FI 110464 B FI110464 B FI 110464B
Authority
FI
Finland
Prior art keywords
packets
security
primary
procedure
spd
Prior art date
Application number
FI20010876A
Other languages
English (en)
Swedish (sv)
Other versions
FI20010876A0 (fi
FI20010876A (fi
Inventor
Jukka-Pekka Honkanen
Henry Haverinen
Antti Kuikka
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Priority to FI20010876A priority Critical patent/FI110464B/fi
Publication of FI20010876A0 publication Critical patent/FI20010876A0/fi
Priority to PCT/FI2002/000293 priority patent/WO2002089395A1/en
Priority to EP02712994A priority patent/EP1389375A1/en
Priority to US10/119,509 priority patent/US20020161905A1/en
Publication of FI20010876A publication Critical patent/FI20010876A/fi
Application granted granted Critical
Publication of FI110464B publication Critical patent/FI110464B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

.,. 110464
IP-TIETOTURVA JA LIIKKUVAT VERKKOYHTEYDET , KEKSINNÖN KOHDE
5 Esillä oleva keksintö liittyy yleisesti matkaviestinverkkoyhteyksiin ja erityisesti IP-tietoturvaa sekä yhteyksiä koskeviin menettelyihin.
KEKSINNÖN TAUSTA
10 Internetin ja sen osan WWW:n (World Wide Web) edut verkossa olevan laajan tietomäärän hyödyntämisessä tunnustetaan laajalti. Internetiin on perinteisesti muodostettu yhteys kiinteistä liityntäpisteistä, esimerkiksi työpaikalta, koulusta tai kotoa. Kiinteiden liityntäpisteiden käsite on ollut Internet-mallin perustana alusta lähtien. Esimerkiksi IP-protokolla reitittää paketit oikeisiin kohteisiin IP-osoitteiden 15 mukaisesti. IP-osoitteet liitetään kiinteään fyysiseen paikkaan paljolti samalla tavalla kuin perinteiset puhelinnumerot liitetään lankapuhelinten fyysiseen sijaintiin. Tämän ansiosta IP-paketit voidaan reitittää aiottuun määränpäähän virheettömästi ja tehokkaasti.
20 Perinteinen yhteyskäsite on muuttunut liikkuvuuden lisääntyessä. Tämä on tullut esiin : viime vuosina esimerkiksi matkapuhelinten käytön yleistyessä. Kannettavien ' ·'.' tietokoneiden käyttö on toinen yhä suositumpi alue, jossa saadaan aikaan selviä etuja, ·...· jos käyttäjät pystyvät tekemään työtä paikasta riippumatta. Luotettavan Internet- yhteyden ansiosta liikkuvat verkkoyhteydet lisäävät myös kaikkien käyttäjien :...· 25 tuottavuutta, koska käyttäjät eivät ole enää sidottuja työpaikoilleen. Nykyisin ollaan yhä useammin siirtymässä langattomiin yhteyksiin, jotka tuovat lisää vapautta tarjoamalla yhteysmahdollisuuksia ajasta ja paikasta riippumatta, esimerkiksi lentokoneissa ja autoissa.
30 Perinteinen Internet-malli, jossa käytetään kiinteitä osoitteita, tekee kuitenkin Internetin saumattoman ja luotettavan käytön matkaviestinlaitteilla hieman ongelmalliseksi. Tämä johtuu siitä, että kun matkaviestinlaite muodostaa yhteyden uuteen verkkoon tai . . liityntäpisteeseen, uuteen verkkoon yhdistetyn IP-osoitteen kautta matkaviestinlaitteelle • ’· muodostuu uusi IP-osoite. Näin ollen alkuperäiseen IP-osoitteeseen kohdistetut paketit -2- 110464 eivät välity uuteen IP-osoitteeseen. Näihin ongelmiin on esitetty ratkaisuksi muun muassa Mobile IP:tä (RFC2002). Mobile IP on IETF (Internet Engineering Task Force) -ohjeistossa ehdotettu standardi, jolla liikkuvien yhteyksien ongelma ratkaistaan niin, että matkaviestinlaitteella on kaksi IP-osoitetta: kotiosoite ja toinen osoite, joka muuttuu 5 aina uuden liityntäpisteen myötä. Mobile IP:n perusajatus on se, että se mahdollistaa saumattoman vierailun eri verkoissa. Matkaviestinlaitteeseen lähetetyt paketit pystyvät kulkemaan määränpäähänsä oikein huolimatta siitä, mihin verkkoon laite on kytkeytynyt.
10 Tyypillisesti lähtösolmusta lähtevät paketit kulkevat kohdesolmuun niin, että ne reititetään saapuvista verkkorajapinnoista lähteviin rajapintoihin reititystaulujen avulla. Reititystaulut sisältävät tietoja seuraavasta hypystä kuhunkin IP-kohdeosoitteeseen. Paketit voivat edetä matkaviestinlaitteeseen staattisen kotiosoitteen avulla, joka antaa sen vaikutelman, että liikkuva solmu pystyy jatkuvasti vastaanottamaan tietoja 15 kotiverkossaan. Tällöin käytetään kotiagenttiverkkosolmua, joka noutaa liikkuvaan solmuun osoitetut paketit ja välittää ne solmun toiseen osoitteeseen, kun solmu on kytkeytyneenä vieraaseen verkkoon. Koska toinen osoite muuttuu aina uuden verkon kiinnityspisteen myötä, kotiagentin on tunnettava kyseiset tiedot, jotta se pystyisi ohjaamaan paketit uudelleen. Tämän vuoksi toinen osoite rekisteröidään kotiagenttinsa ; 20 mukana aina, kun liikkuva solmu siirtyy tai saa uuden IP-osoitteen.
. ·. ·. Pakettien toimittaminen liikkuvaan solmuun edellyttää, että paketti muotoillaan niin, että .···, toinen osoite on IP-kohdeosoite pakettimuunnoksena tunnetussa prosessissa.
Liikkuvalle solmulle määritetty uusi otsikko muodostuu muunnoksessa, jossa 25 alkuperäinen paketti kapseloidaan (tätä kutsutaan myös tunneloinniksi) niin, että kotiverkko ei vaikuta reititykseen, kunnes paketti on turvallisesti perillä liikkuvassa solmussa. Määränpäässä pakettiin sovelletaan käänteistä muunnosta niin, että liikkuvan solmun kotiosoite näyttää olevan paketin kohdeosoitteena, jotta siirtoprotokolla, esimerkiksi TCP (Transmission Control Protocol) pystyy käsittelemään ; 30 pakettia oikein. Vierasta agenttia käytetään tyypillisesti purkamaan sellaisten pakettien • kapselointi, jotka on vastaanotettu kotiagentilta välitettäviksi liikkuvaan solmuun.
:··. Edellä on kuvattu IP-tunneloinnin perusmuoto. Mobile IP kuitenkin tukee tyypillisesti kolmea tunnelointimekanismia: IP-kapselointi IP:n sisällä (RFC 2003), minimaalinen -3- 110464 kapselointi IP:n sisällä (RFC 2004) ja GRE (Generic Routing Encapsulation, RFC 1701). Usean IP-tunnelointimekanismin toteutusta kutsutaan IP-in-IP-tunneloinniksi. Näitä IP-in-IP-tunnelointimekanismeja voidaan käyttää paitsi Mobile IP:n kanssa myös tilanteissa, joissa on toivottavaa esimerkiksi yhdistää yksityisiä osoitetiloja käyttäviä 5 verkkoja Internetin kautta tai tunneloida monijakeluliikennettä tunnelointia tukemattoman verkon kautta.
Mobile IP:ssä tärkeimpiä huolenaiheita on tietoturva. Internet on luonteeltaan avoin, joten lähetetyt paketit altistuvat turvariskeille. Niitä lisää entisestään liikkuvien solmujen 10 liikkuminen aliverkkojen välillä. Turvariskeihin liittyen kehitettiin IP-turvaprotokolla eli IPsec (esitetty RFC2401:ssä) tuottamaan päästä-päähän-tietoturvaa pakettihyötykuormaa varten IP-terminaalien välisessä siirrossa. Tämä voidaan saavuttaa pääasiassa niin, että terminaaleille tuotetaan pakettien tietosähketasoinen tunnistus ja salaus, tyypillisesti käyttämällä symmetristä salakirjoitustekniikkaa, jossa 15 samoja avaimia on käytettävä molemmissa päissä. Avainten hallintaprotokollalla (esimerkiksi IKE) voidaan luoda symmetriset avaimet käytettäviksi IPsec-pinossa, esimerkiksi samanlaiset, joita käytetään VPN-verkoissa.
IPseciä käyttävä terminaali pitää yllä tietoturvamenettelyä SPD (Security Policy . 20 Database) -tietokannassa, kuten on esitetty esimerkiksi RFC2401 :ssä. SPD tunnistaa, millaista tietoturvaa liikenteeseen sovelletaan; esimerkiksi IPsec-menettely voi edellyttää, että kaikki liikenteessä olevat paketit tunneloidaan ESP (Encapsulating ··· Security Payload) -hyötykuormalla VPN-yhdyskäytävään lukuun ottamatta tiettyjä paketteja, jotka pääsevät läpi ilman IP-käsittelyä. Tässä kuvatun kaltaista . . 25 turvamenettelyesimerkkiä käytetään kaikkiin paketteihin, jotka kulkevat terminaalin solmun läpi. Koska turvamenettely on tyypillisesti staattinen ja konfiguroitu terminaaliin verkko-ohjelmiston asennuksen aikana, eräät yhteysnäkymät tuottavat erityisiä hankaluuksia käytettäessä staattisesti konfiguroitua turvamenettelyä. Asiaa voidaan selventää seuraavalla esimerkillä; jos matkaviestinterminaali vierailee vieraassa ’ 30 verkossa, jossa on IPsec-turvayhdyskäytävä vierailun kohteena olevan verkon ja ‘ ; kotiagentin välillä, ja jos liikkuva solmu käyttää yhteisessä sijainnissa olevaa toista osoitetta (jolloin sen on suoritettava sekä IP-in-IP- että IPsec-tunnelointi), nykyiset :*· IPsec- ja IP-in-IP -toteutukset eivät pysty suorittamaan tarvittavia -4- 110464 matkaviestinterminaalin tunnelointitoimintoja. Tämä johtuu IP-in-IP- ja IPsec-tunneloinnista, kun IP-in-IP-tunneli ei ole uloin muunnos.
Nykyisissä käyttöjärjestelmissä IP-in-IP-tunnelit konfiguroidaan tyypillisesti näennäisinä 5 verkkorajapintoina. Jos liikenteeseen tarvitaan IP-in-IP-tunnelointia, tällöin luodaan reititystaulutietue, joka reitittää liikenteen näennäiseen tunnelointirajapintaan. Koska reititystaulua sovelletaan protokollapinossa IPsec-menettelyn alapuolella, tämän toteutuksen takia IP-in-IP-tunneloinnin on aina oltava ulommainen muunnos paketille. Tämä ei ole kuitenkaan aina toivottava toimenpide. Jos esimerkiksi liikkuva solmu, joka 10 käyttää yhteisessä sijainnissa olevaa toista osoitetta, haluaa AH (Authentication Header- eli tunnistusotsikkotunneli) -tunneloida kaiken liikenteen oletusyhdyskäytävään (yhteysreititin), AH-tunneloinnin tulisi olla ulommainen muunnos ja IP-in-IP-tunneloinnin toiseksi ulommainen muunnos, jotta paketti voidaan elvyttää.
15 Edellä esitetyn valossa keksinnön tavoitteena on tarjota tekniikka, jossa puututaan onnistuneesti aiempien toteutusten puutteisiin, jotka liittyvät IP-tietoturvaan sekä pakettien reititykseen liikkuviin solmuihin ja niistä pois.
YHTEENVETO KEKSINNÖSTÄ , .· 20 : . Lyhyesti'kuvattu ja keksinnön suoritusmuodon sekä siihen liittyvien ominaisuuksien ,·,·. mukainen menetelmä, jossa menetelmäaspektin mukaisesti paketit lähetetään ja vastaanotetaan turvallisessa yhteydessä ensimmäisen ja toisen verkkosolmun välillä. Menetelmän mukaisesti kyseisiä paketteja voidaan siirtää useissa itsenäisissä 25 tietoverkoissa ensimmäisen ja toisen verkkosolmun välisellä polulla, ja ensimmäinen verkkosolmu ja kukin tietoverkko voivat noudattaa eri turvamenettelyjä, jotka määrittävät paketteihin sovellettavia tiettyjä muunnoksia; kyseinen menetelmä on tunnettu siitä, että ensimmäinen verkkosolmu pystyy dynaamisesti muuttamaan turvamenettelyään niin, että paketteihin sovelletaan sopivia muunnoksia turvallisen 30 yhteyden ylläpitämiseksi.
,(t Laiteaspektin mukainen matkaviestinlaite pystyy muodostamaan yhteyden verkon :· kanssa ja siinä on tiedonsiirtoa koskeva turvamenettely, jonka mukaan paketteja • 1 > 110464 1
siirretään matkaviestinlaitteeseen ja siitä pois. Kyseinen tiedonsiirron turvamenettely I
käsittää: I
ensimmäisen muunnossarjan, joka liittyy ensisijaiseen turvamenettelyyn, jota I
sovelletaan siirrettyihin paketteihin I
5 toisen muunnossarjan, joka liittyy toissijaiseen turvamenettelyyn, jota sovelletaan I
i sopivalla tavalla siirrettyihin paketteihin. I
KUVIEN LYHYT ESITTELY I
10 Keksintö sekä siihen liittyvät muut tavoitteet ja edut ovat ehkä helpoimmin ymmärrettävissä viittaamalla seuraavaan kuvaukseen, johon liittyvissä kuvissa:
Kuviossa 1 on esimerkki käyttötavasta, joka ei sovi yhteen aiempien toteutusten kanssa.
15
Kuviossa 2 on esitetty aiempien toteutusten mukainen TCP/IP-pino IPseciä käyttävässä terminaalissa.
Kuviossa 3 on esimerkki käyttötavasta seuraavasta IP-paketista.
20 : ’ Kuviossa 4 on esitetty protokollapino, joka toimii keksinnön erään suoritusmuodon mukaisesti.
Kuviossa 5 on esitetty reititystaulutietueiden käyttö keksinnön erään vaihtoehtoisen : 25 suoritusmuodon mukaisesti.
Kuviossa 6 on esitetty kuvion 5 reititystaulusuoritusmuodon laajennus.
Kuviossa 7a on esitetty IPsec-käsittely lähtevälle liikenteelle keksinnön suoritusmuodon . · · 30 mukaisesti.
’ · · · Kuvio 7b on jatke kuviolle 7a suoritusmuodon mukaisesta lähtevästä liikenteestä.
* > -6- 110464
Kuviossa 8 on esitetty IPsec-käsittely saapuvalle liikenteelle keksinnön suoritusmuodon mukaisesti.
YKSITYISKOHTAINEN KUVAUS KEKSINNÖSTÄ 5
Kuviossa 1 on esitetty esimerkkinä käyttötapa, jota ei voida käyttää perinteisessä staattisessa IP-turvamenettelytoteutuksessa. Selvennyksen vuoksi näin voi käydä esimerkiksi silloin, kun käyttäjä yrittää muodostaa yhteyden yhtiönsä Intranet-verkkoon kannettavalla päätelaitteella muualta kuin toimistosta käsin. Yhteyden on ehkä 10 kuljettava useiden erillisten liityntävyöhykkeiden ja -verkkojen kautta, joista jokainen saattaa noudattaa eri turvamenettelyä. Tällöin paketin käänteiset muunnokset eivät ole yhteensopivia. Päätelaite 100 muodostaa esitetyllä tavalla yhteyden Internetiin 120 Access Zone -vyöhykkeen 1 110 kautta. Tämän seurauksena päätelaitteen 100 ja lähimmän reitittimen PAC1 (Public Access Controller 1) välille muodostuu IPsec AH 15 tunneli 104. AH-tunnelin päätarkoituksena on estää tunnistamattomia käyttäjiä käyttämästä päätelaitteen IP-osoitetta pakettien lähettämiseen Internetiin.
Liikkuva toiminnallisuus voidaan mahdollistaa käyttämällä Mobile IP:tä liityntävyöhykkeiden välisiin tai esimerkiksi WLAN-liityntävyöhykkeen ja langattoman : 20 GPRS-tietoverkon välisiin tukiaseman vaihtoihin. Mobile IP käyttää tyypillisesti IP-in-IP- ;·. tunnelia päätelaitteen nykyisen toisen osoitteen ja kotiagentin (HA) välillä. Kun päätelaite 100 haluaa yhteyden vertaissolmun (CN) tarjoamiin yhtiön tietoihin, tämä tapahtuisi normaalisti VPN-yhdyskäytävän kautta. VPN-yhdyskäytävälle voidaan toteuttaa oma turvamenettely, esimerkiksi IPsec ESP (Encapsulating Security Payload) • · 25 -tunneli päätelaitteen kotiosoitteen 100 ja VPN-yhdyskäytävän välille. Kannettavan päätelaitteen 100 vieraillessa toisessa verkossa tapahtuu tukiaseman vaihto, jossa muodostuu AH-tunneli reitittimen PAC2 (Public Access Controller 2) kanssa. Näin saadaan yhteys yhtiön Intranetiin Access Zone -vyöhykkeen 2 140 kautta vertaissolmuun. IP-paketit, jotka kulkevat CN-vertaissolmun ja liikkuvan solmun välillä, ;tt 30 käyvät läpi useita muunnoksia, jotka noudattavat voimassa olevia useita ; . turvamenettelyjä. Tämän tuloksena voi muodostua sekä IP-in-IP- että IPsec-tunneleita.
Tällöin IP-in-IP-tunneli ei ole ulommainen muunnos, mikä aiheuttaa voi hankaluuksia pakettien elvyttämisessä, kun aikaisemmilla toteutuksilla yritetään purkaa Mobile IP:n
» I
.,,, IP-in-IP-tunnelien kapselointi ennen muita IPsec-kapselointien purkamista.
7 110464
Kuviossa 2 on esitetty aiempien toteutusten mukainen TCP/IP-pino IPseciä käyttävässä terminaalissa. IP-in-IP-tunnelointi on toteutettu näennäisenä ’ verkkolaitteena. Reititystaulutietue voi ohjata lähtevän liikenteen IP-in-IP- 5 tunnelilaitteeseen. Saapuvaa liikennettä varten IP-in-IP-tunnelointi poistetaan ennen kuin paketti luovutetaan IPsec-menettelyyn. IPsec-muunnokset tehdään kuviossa esitetyllä tavalla reitityksen yläpuolella niin, että IP-in-IP-tunnelointimuunnos on aina ulommainen muunnos. Toisin sanoen tuloksena syntyvä IP-in-IP-tunnelointiotsikko on aina ulommainen IP-otsikko, mikä aiheuttaa ongelmia, kun paketti yritetään elvyttää 10 tekemällä muunnokset käänteisesti.
Kuviossa 3 on esitetty esimerkkinä, miltä tuloksena oleva IP-paketti näyttää liikkuvassa solmussa, kun siihen on sovellettu asiaan liittyvien verkkojen erilaisia turvamenettelyjä. Ulommainen muunnos on kuviossa 1 esitetty AH-tunneli 104, joka käsittää IP-otsikon 15 300 päätelaitteen nykyisen toisen osoitteen ja PAC:n välillä. AH-tunnelissa 305 on
Mobile IP:n IP-in-IP-tunneli päätelaitteen nykyisen toisen osoitteen ja kotiagentin (HA) välillä käsittäen IP-otsikon 310. AH-tunneli saattaa käsittää erilaisia prosesseja, esimerkiksi tarkistussumma- ja tunnistuskoodit paketin tietoturvan varmistamiseksi. IP-in-IP-tunnelin sisällä on lisäksi VPN-tunneli päätelaitteen kotiosoitteen ja VPN-; 20 yhdyskäytävän välillä käsittäen IP-otsikon 320. VPN-tunnelissa on alkuperäinen IP- . paketti, joka käsittää otsikon 330 ja hyötykuorman 340, joka siirtyy päätelaitteen ;y kotiverkon ja vertaissolmun välillä. VPN-yhdyskäytävän turvamenettely voi määrittää ESP (Encapsulating Security Payload) -hyötykuorman kaikille vertaissolmusta tuleville paketeille, kuten viitenumero 325 osoittaa. Tämän vuoksi AH-tunneloinnin tulisi 25 välttämättä olla ulommainen muunnos ja IP-in-IP-tunneloinnin toiseksi ulommainen muunnos. Otsikkorakenteesta käy selvästi ilmi, että IP-in-IP-tunnelointimuunnos ei ole ulommainen muunnos, ja näin ollen aiempien toteutusten mukainen TCP/IP-pino ei pysty elvyttämään pakettia kunnolla.
30 Keksinnön mukaisesti edellä mainittu ongelma voidaan korjata tekemällä IP-in-IP-tunnelointi niin, että se on osa IPsec-käsittelyä. Tämä voidaan tehdä toteuttamalla dynaaminen IPsec-strategia, joka sallii useiden turvamenettelyjen soveltamisen, jolloin erilaisia käsittelyjä voidaan soveltaa erilaiseen liikenteeseen. Keksinnön eräässä suoritusmuodossa IPsec-toteutus ylläpitää kahta turvamenettelytietokantaa (SPD): -8- 110464 ensisijaista SPD-tietokantaa VPN:ää ja dynaamista toissijaista SPD-tietokantaa Mobile IP:tä varten.
Kuviossa 4 on esitetty protokollapino, joka toimii keksinnön erään suoritusmuodon 5 mukaisesti. Suoritusmuodon proseduurissa IP-in-IP-tunnelointimuunnos pystytään lisäämään IPseomuunnosten väliin, koska IP-in-IP-tunnelointi toteutetaan toissijaisessa IPsec-menettelyssä eikä osana IP-reititystä. Tällöin käänteiset muunnokset voidaan tehdä oikeassa järjestyksessä. Edullisessa suoritusmuodossa ensisijainen menettely konfiguroidaan niin, että kukin ensisijainen SPD-tietue sisältää 10 lipun, joka määrittää, sovelletaanko toissijaista menettelyä paketteihin. Koska toissijainen menettely on ensisijaisen alapuolella protokollapinossa, tällöin lähtevään liikenteeseen sovelletaan ensisijaista menettelyä ennen toissijaista. Saapuvaan liikenteeseen sovelletaan puolestaan toissijaista menettelyä ennen ensisijaista. Toissijainen menettely voidaan konfiguroida dynaamisesti kannettavan tietokoneen 15 liikkuvalla ohjelmistolla, joka saattaa määrittää esimerkiksi, että liikenne on AH-tunneloitava yhteysreitittimeen nykyisellä liityntävyöhykkeellä. Ensi- ja toissijaisten turvamenettelyjen yläpuolella protokollapinossa toimivat korkeamman tason siirtoprotokollat, esimerkiksi TCP tai UDP (User Datagram Protocol) sekä niiden päällä käytettävät sovellukset.
. 20 • * • · *
Kuviossa 5 on esitetty eräs keksinnön vaihtoehtoinen suoritusmuoto. Siinä .·.· reititystaulua on laajennettu tietueilla, jotka pystyvät välittämään lähtevän paketin ,··· takaisin IPsec-käsittelyyn. Tässä tapauksessa IPsec-menettelyn ensimmäisessä ,,,, ajossa sovelletaan kaikkia staattisia (ensisijaisia) IPsec-muunnoksia, esimerkiksi VPN- 25 muunnosta. Lähtevässä liikenteessä liikkuva ohjelmisto voi dynaamisesti konfiguroida reititystaulun. Tässä suoritusmuodossa liikkuva ohjelmisto voi määrittää IP-in-IP-tunneleita reititystauluun. Taulussa voi olla tietueita, jotka vaativat IPsec-menettelyn ajamista uudelleen. Jos pakettiin sovelletaan IP-in-IP-tunnelointia, silloin IPsec-menettelyn eri säännöt voivat soveltua toisen ajon aikana. IPsec-menettelyn toisessa 30 ajossa sovelletaan kaikkia dynaamisia (toissijaisia) muunnoksia. Saapuvassa liikenteessä käänteiset muunnokset tarkistetaan ja mukautetaan paikalliseen IPsec-; , menettelyyn, ja tällöin tarkistuksessa voidaan ottaa huomioon paikallisen IP-in-IP- tunneloinnin konfigurointi ja reititystaulu.
-9- 110464
Kuviossa 6 on esitetty reititystaulun lisälaajennus kuvion 5 mukaiseen vaihtoehtoiseen suoritusmuotoon. Tässä suoritusmuodossa turvamenettely on jaettu kahteen osaan: ensisijaiseen turvamenettelyyn IPseciä varten ja toissijaiseen menettelyyn liikkuvaa ' ohjelmistoa varten. Loogisesti erotellun toissijaisen menettelyn etu on siinä, että ajon 5 aikaiset muutokset eivät vaaranna ensisijaista menettelyä. Toissijaista menettelyä voidaan soveltaa pakettiin, jos reititystaulu ilmoittaa sen tarpeelliseksi. Tämä voidaan tehdä esimerkiksi attribuutilla, vaikkapa lipulla, joka lisätään reititystaulutietueeseen osoittamaan, että tällainen toimenpide on tarpeen.
10 Keksinnön mukaisesti protokollapinon toiminta tuottaa tulokseksi erilaisia proseduureja lähtevien ja saapuvien IP-pakettien käsittelyyn lähtöverkon ja sovelluksen näkökulmasta.
Lähtevä käsittely 15
Kuviossa 7a on esitetty IPsec-käsittely lähtevälle liikenteelle keksinnön suoritusmuodon mukaisesti. Esimerkkipaketti saapuu lähdesovelluksesta siirtoprotokollan, esimerkiksi TCP:n kautta vaiheessa 700 esitetyllä tavalla. Vaiheessa 702 toiminta alkaa vaadittavien muunnosten etsimisellä ensisijaisesta lähtevästä SPD-tietokannasta. Kun , ,· 20 etsintä on suoritettu, tämän jälkeen määritetään, tarvitaanko IPSec-käsittelyä, vaiheessa 704 esitetyllä tavalla. Jos ensisijaisia muunnoksia ei tarvita, paketti tarkistetaan ja määritetään, vaatiiko toissijainen menettely käsittelyn vaiheessa 724. ‘.! Jos osumia ei löydy tai jos menettely vaatii paketin pudottamista, paketti hylätään tässä kohtaa vaiheessa 708. Jos löytyy SPD-osuma, joka vaatii IPsec-käsittelyn, lähtevässä , . 25 SAD (Security Association Database)-tietokannassa suoritetaan haku vaiheessa 710.
SPD (Security Policy Database) -tietokanta sisältää menettelyjä, jotka määrittävät, miten tietyt paketit on käsiteltävä. SAD-tietokannan turvakäytännöt sisältävät parametrit, joita tarvitaan menettelyn sanelemien toimintojen suorittamiseen. 30 Esimerkkiparametrit sisältävät erilaisia kohteita, esimerkiksi salaus- ja > ' * tunnistusavaimia. Turvakäytännöt merkitään kokonaislukutunnisteella, jota kutsutaan t ·
;' ” SPI (Security Parameter Index) -indeksiksi. Tämä numero sisältyy IPsec-otsikoihin (AH
t > » ; · ja ESP), ja sen avulla tehdään haku SAD-tietokannasta lähtevien pakettien I/ käsittelyssä, jolloin (lähtevässä käsittelyssä) sopivaa turvakäytäntöä (SA) etsitään -10- 110464 vastaavan turvamenettelyn perusteella. Tyypillisesti avaimenhallintaprotokolla, esimerkiksi IKE (Internet Key Exchange), joka on IPsecin avaimenhallinnan vakioprotokolla, luo turvakäytännöt dynaamisesti. Turvakäytäntö vaaditaan aina, ennen kuin IPsec-muunnosta voidaan soveltaa. IP-in-IP-muunnoksissa ei tarvita avaimia, SPI-5 indeksejä tai muita parametreja, eli näihin muunnoksiin ei tarvita SAD-tietuetta, jos ne toteutetaan IPsec-menettelyssä.
Vaiheessa 712 tehdään tarkistus, jolla määritetään, löytyykö SAD-tietokannasta osumaa. Jos osuma löytyy, IPsec suorittaa turvamenettelyssä määritetyn IPsec-10 muunnoksen käyttämällä turvakäytännön parametreja vaiheessa 718 esitetyllä tavalla. Jos SAD:sta ei löydy osumaa, turvakäytäntö (Security Association eli SA) luodaan avaimenhallintakokonaisuudella, esimerkiksi IKE-protokollalla, vaiheessa 714 esitetyllä tavalla. Jos SA-turvakäytännön luominen epäonnistui tarkistuksen jälkeen vaiheessa 716, paketti hylätään vaiheessa 720 esitetyllä tavalla. Jos SA-turvakäytännön luominen 15 onnistuu, muunnos voidaan aloittaa vaiheessa 718. Koska turvakäytäntöjä ei tarvita IP-in-IP-kapseloinnin purkamismuunnoksiin, SAD-hakua (vaihe 710) ei välttämättä tarvita SPD-tietueisiin, jotka määrittävät IP-in-IP-muunnokset. Kun tällainen menettely löytyy vaiheessa 704, toiminto voi suoraan edetä vaiheeseen 718 ja muunnos voidaan suorittaa. Vaihtoehtoisesti toteutus voi käyttää "täyteturvakäytäntöjä" IP-in-IP-. ,· 20 muunnoksiin, jolloin IPsec- ja IP-in-IP-käsittelyt ovat samanlaiset. Ensisijainen SPD
i määrittää tyypillisesti vain varsinaisia IPsec-muunnoksia, ei IP-in-IP-muunnoksia. ,·,· Vaiheessa 722 tehdään tarkistus lisämuunnosten tarpeen selvittämiseksi. Jos lisämuunnoksia tarvitaan, SAD-haku toistetaan vaiheessa 710. Kun kaikkia ensisijaisia muunnoksia on sovellettu, tämän jälkeen tarkistetaan, vaatiiko ensisijainen menettely , , 25 toissijaisen menettelyn käsittelyä vaiheessa 724 esitetyllä tavalla.
Kuvio 7b on jatkoa kuvioon 7a, ja siinä toissijaisen käsittelyn osalta tarkistettu paketti välitetään vaiheessa 746 liikkuvaan solmuun, mikäli toissijaista käsittelyä ei tarvita. Jos toissijainen käsittely tarvitaan, toissijaisessa SPD-tietokannassa tehdään haku ] 30 vaiheessa 726. Jos osumia ei löydy tai toissijainen menettely vaatii pudottamaan ‘ ·· paketin, paketti hylätään vaiheessa 730. Jos osuma löytyy, suoritetaan haku lähtevästä SAD-tietokannasta vaiheessa 732. Joskus saattaa käydä niin, että toissijainen SPD-*:* tietue vastaa hakua mutta ei vaadi käsittelyä. Tätä tapausta ei ole kuitenkaan esitetty it|/ yksikäsitteisesti. Tässä tapauksessa paketti välitetään vaiheeseen 746. Kuten - 11 - 110464 ensisijaisessa SPD-käsittelyssä, IP-in-IP-muunnoksiin ei tarvita turvakäytäntöä, ja näin ollen nämä muunnokset voidaan tehdä ilman SAD-tietokantahakua. IPsec-muunnoksissa tehdään aina tarkistus, jonka avulla määritetään, löytyikö lähtevästä SAD-tietokannasta osumaa vaiheessa 734. Muunnos suoritetaan vaiheessa 742. Jos 5 lähtevästä SAD:sta ei löydy osumaa, turvakäytäntö (Security Association eli SA) luodaan avaimenhallintakokonaisuudella vaiheessa 736 esitetyllä tavalla. Jos SA-turvakäytännön luominen epäonnistui tarkistuksen jälkeen (vaiheessa 738), paketti hylätään vaiheessa 740. Jos SA-turvakäytännön luominen onnistuu, IPsec-muunnos pääsee alkuun vaiheessa 742. Vaiheessa 744 tarkistetaan, tarvitaanko lisää 10 toissijaisen menettelyn tekemiä muunnoksia. Jos muunnoksia tarvitaan, toiminto palaa vaiheeseen 732. Jos muunnoksia ei tarvita lisää, paketti siirretään verkkoon vaiheessa 746 esitetyllä tavalla.
Keksinnön suoritusmuodossa IPsec-toteutukselle annetaan lupa suorittaa IP-in-IP-15 tunnelointi, kun taas aiemmissa toteutuksissa IPsec ei suorita IP-in-IP-tunnelointia. Ensisijaisen SPD:n tietueisiin on lisätty lippu, joka osoittaa, tarvitaanko toissijaista IPsec-käsittelyä paketeille, jotka vastaavat ensisijaisen SPD:n tietuetta. Kun lippu lisätään, IPsec-toteutus etenee toissijaisella käsittelyllä sen jälkeen, kun kaikki ensisijaisen SPD:n vaatimat IPsec-muunnokset on tehty. Jos lippua ei lisätä, . .* 20 toissijaista IPsec-käsittelyä ei tehdä. Tällöin IPsec-käsittely on samanlainen kuin • t » aiempien toteutusten mukainen käsittelytoiminta. Jos toissijainen IPsec-käsittely ,·,· tarvitaan, tällöin IPsec-toteutus suorittaa IPsec-muunnokset toissijaisen SPD:n , · * vaatimalla tavalla.
25 Saapuva käsittely
Kuviossa 8 on esitetty IPsec-käsittely saapuvalle liikenteelle keksinnön mukaisesti. Vaiheessa 800 on esitetty verkosta vastaanotettu paketti. Vaiheessa 805 ulommaisesta otsikosta tarkistetaan, onko se IP-in-IP- tai IPsec-otsikko. Jos ulommainen otsikko ei 30 ole IP-in-IP- tai IPsec-otsikko, käsittely jatkuu vaiheessa 830. Jos ulommainen otsikko ' · on IP-in-IP- tai IPsec-otsikko, SAD:sta haetaan turvakäytäntöä vaiheessa 807. SAD- :<t haku vaaditaan aina, kun muunnos on IPsec-muunnos (AH tai ESP). IP-in-IP- muunnoksissa turvakäytäntöjä ei välttämättä tarvita, joskin toteutus saattaa käyttää ,, ’"täyteturvakäytäntöä", jotta käsittely olisi samanlainen IPsec- ja IP-in-IP-muunnoksissa.
• I i 110464 - 12-
Vaiheessa 810 tehdään tarkistus, jotta saataisiin selville, löytyykö osumia. Jos osumia ei löydy, paketti hylätään vaiheessa 815 osoitetulla tavalla. Jos osuma löytyy, IPsec suorittaa muunnoksen vaiheessa 820, ja samalla käytetyt turvakäytännöt (tai IP-in-IP-muunnokset, jotka tehdään ilman turvakäytäntöjä) ja niiden soveltamisjärjestys 5 pannaan merkille. Vaiheessa 805 tarkistetaan, onko IPsec- ja/tai IP-in-lP-otsikoita jäljellä. Jos on, vaiheen 807 saapuva SAD-haku toistetaan. Jos otsikoita ei ole jäljellä, ensisijainen saapuva SPD tarkistetaan vaiheessa 830, jotta voitaisiin määrittää, onko tarvittavia muunnoksia sovellettu. Tämä vaihe on esitetty vaiheessa 835. Jos vastaavaa menettelyä ei löydy, paketti hylätään vaiheessa 840 osoitetulla tavalla. Jos 10 vastaavuus löytyy, vaiheessa 845 tehdään tarkistus, jotta voitaisiin määrittää, vastaako nykyinen ensisijainen SPD-tietue sovellettua käsittelyä kokonaan tai osittain. Jos nykyinen ensisijainen SPD-tietue vastaa sovellettua käsittelyä kokonaan ja jos se ei vaadi toissijaista menettelyä, paketti lähetetään tarkistukseen, jossa määritetään kohdeterminaali, vaiheessa 860.
15
Jos nykyinen ensisijainen saapuva SPD-tietue vastaa sovellettua käsittelyä kokonaan tai osittain sekä vaatii toissijaisen menettelyn käyttöä, toissijaiseen saapuvaan SPD-tietokantaan tehdään haku, jotta voitaisiin määrittää, onko olemassa toissijaista saapuva SPD-tietuetta, joka vastaa sovellettua käsittelyä muilta osin, vaiheessa 850 20 esitetyllä tavalla. Jos ensisijaisen menettelyn tietue vastaa jo nykyisellään sovellettua käsittelyä kokonaan, tällöin on pakko olla myös toissijainen menettely, joka ei vaadi muunnoksia. Vaiheessa 855 tehdään tarkistus, jotta voitaisiin määrittää, vastaako sovellettu käsittely muilta osin toissijaista SPD-tietuetta. Jos vastaavaa toissijaista • j menettelyä ei löydy, ensisijainen saapuva SPD tarkistetaan jälleen vaiheessa 830.
25 Ensisijaisen saapuvan SPD:n tarkistaminen jatkuu seuraavasta tarkistamattomasta menettelystä.
Keksinnön suoritusmuodon mukaisesti toimiva saapuva käsittely suorittaa käänteiset , , : IPsec- ja IP-in-IP-muunnokset, jotka se havaitsee pakettien otsikoissa, SAD:n 30 parametrien mukaisesti. Vaihtoehtoisesti toteutus voi suorittaa IP-in-IP-muunnoksia ilman vastaavaa SAD-tietuetta. Keksinnön mukaisesti IP-in-lP-tunnelointi on sallittu muunnos, toisin kuin aiemmissa toteutuksissa. Kun kaikki IP-in-IP- ja IPsec-otsikot on käsitelty, IPsec-toteutukset tarkistavat, että paketti vastaa SPD:tä. Tämän jälkeen -13- 110464 ensisijainen menettely tarkistetaan, ja tietueista tarkistetaan, vastaavatko ne sovellettua käsittelyä.
Jos ensisijaisen SPD.n tietue vastaa sovellettua käsittelyä ja tietue ei vaadi toissijaista 5 menettelyä, tällöin IPsec-toteutus luovuttaa paketin ylempiin protokollakerroksiin tai välittää sen.
Toisaalta jos ensisijaisen SPD:n tietue vastaa sovellettua käsittelyä kokonaan ja tietue vaatii toissijaisen menettelyn, tällöin IPsec-toteutus tarkistaa, onko olemassa 10 toissijaista menettelyä, joka ei vaadi käsittelyä. Jos ensisijaisen SPD:n tietue vastaa sovellettua käsittelyä osittain ja tietue vaatii toissijaisen menettelyn, IPsec-toteutus tarkistaa, onko olemassa toissijaista menettelyä, joka vastaa sovellettua menettelyä muilta osin, toisin sanoen sitä osuutta, jota ensisijainen SPD-tietue ei kata. Jos toissijaisesta SPDistä löytyy osuma, IPsec-toteutus luovuttaa tämän jälkeen paketin 15 ylempiin protokollakerroksiin tai välittää sen. Jos vastaavaa toissijaista menettelyä ei löydy, IPsec-toteutus jatkaa ensisijaisen SPD:n kääntämistä.
On syytä huomata, että suoritusmuodossa kuvatut ensi- ja toissijaiset turvamenettelytietokannat (SPD) ovat käsittellisiä tietorakenteita. Alan asiantuntijat : 20 tietävät, että varsinaisen toteutuksen ei välttämättä tarvitse sisältää kahta erillistä : ’ ·.. tietokantaa vaan ne voivat käyttää yhtä tietokantaa, jonka tietueet sisältävät esimerkiksi ;y; SPD-indeksikentän, joka osoittaa, kuuluuko tietue ensi- vai toissijaiseen SPD:hen.
Tällainen toteutus voidaan yleistää tukemaan useampaa kuin kahta SPD:tä edellyttäen esimerkiksi, että indeksin arvot ovat muut kuin 1 ja 2. Lisäksi IPsec-toteutus voisi ·. 25 rekursiivisesti soveltaa SPD-tietueita nousevalla indeksillä.
Vaikka esillä olevaa keksintöä on kuvattu joiltakin osin viitaten sen tiettyyn suoritusmuotoon, alan asiantuntijat ymmärtävät siihen liittyvät variaatiot ja muunnelmat.
. . Siksi seuraavien patenttivaatimusten tulkintaa ei tule rajoittaa, vaan niihin tulee lukea !,.' 30 mukaan variaatiot ja muunnelmat, jotka on johdettu esillä olevasta keksinnön aiheesta.

Claims (18)

1. Menetelmä, jossa paketit lähetetään ja vastaanotetaan turvallisessa yhteydessä ensimmäisen ja toisen verkkosolmun välillä. Menetelmän mukaisesti kyseisiä 5 paketteja voidaan siirtää useissa itsenäisissä tietoverkoissa ensimmäisen ja toisen verkkosolmun välisellä polulla, ja ensimmäinen verkkosolmu ja kukin tietoverkko voivat noudattaa eri turvamenettelyjä, jotka määrittävät paketteihin sovellettavia tiettyjä muunnoksia; kyseinen menetelmä on tunnettu siitä, että ensimmäinen verkkosolmu pystyy dynaamisesti muuttamaan turvamenettelyään 10 niin, että paketteihin sovelletaan sopivaa muunnosta turvallisen yhteyden ylläpitämiseksi.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että ensimmäinen verkkosolmu on liikkuva verkkosolmu ja toinen verkkosolmu on lähtösolmu; 15 menetelmässä liikkuva verkkosolmu sisältää SPD (Security Policy Database) - tietokannan, jonka käsittämiä erilaisia turvamenettelyjä voidaan dynamisesti soveltaa yhteyden kautta kulkeviin paketteihin.
3. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu 20 siitä, että ensimmäisen verkkosolmun turvamenettely käsittää ensi- ja toissijaisen SPD:n; tällöin ensisijainen SPD sisältää tietueita ensisijaisen turvamenettelyn mukaisiin muunnoksiin ja toissijainen SPD sisältää tietueita - toissijaisen turvamenettelyn mukaisiin muunnoksiin.
4. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu siitä, että ensisijaisen SPD:n tietueisiin lisätään attribuutti, joka osoittaa, että toissijaista turvamenettelyä on käytettävä, voidaan käyttää tai ei saa käyttää paketteihin.
5. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu siitä, että ensisijainen SPD sisältää tietueita "sisäisiä" muunnoksia (sisäisiä ... otsikoita) varten ja toissijainen SPD sisältää tietueita "ulkoisia" muunnoksia ’·' varten, ja lähteviin paketteihin suoritetaan sisäisiä muunnoksia ennen ulkoisia ja saapuvaan liikenteeseen päinvastoin. „ 110464
6. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu siitä, että toissijainen menetelmä määrittää lisämuunnoksia, kun lähtevään liikenteeseen on sovellettu kaikkia ensisijaisen menettelyn muunnoksia. 5
7. Menetelmä, jossa saapuva liikenne käsitellään käänteisessä järjestyksessä vaatimukseen 6 verrattuna.
8. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu 10 siitä, että ensi- ja toissijaiset menettelyt voidaan konfiguroida itsenäisesti ja yhtä aikaa, jolloin menettelyjen muokkaaminen voidaan rajoittaa vain toiseen tai molempiin.
9. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu 15 siitä, että ensisijainen turvamenettely pysyy muuttumattomana ja toissijainen turvamenettely konfiguroidaan niin, että sitä sovelletaan valikoiden tiettyihin paketteihin.
10. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu 20 siitä, että muunnostoiminnot sisältävät paketin muunnoksia, esimerkiksi protokollaotsikoiden tai vaihtoehtojen lisäämistä ja poistamista, pakettien ;’· kapselointia ja kapseloinnin purkamista uusien pakettien sisällä, pakettien tai niiden osien salausta ja salauksen purkamista tai pakettien tai niiden osien pakkaamista ja pakkauksen purkamista. • 25
11. Patenttivaatimuksen 10 mukainen menetelmä, tunnettu siitä, että muunnostoiminnot sisältävät siirtotilamuunnoksia, joissa käytetään AH (Authentication Header) -tunnistusotsikkoa ja ESP (Encapsulating Security ·_ . Payload) -hyötykuormaa, sekä IP-in-IP-tunneleiden, AH-tunneleiden ja ESP- l.. ’ 30 tunneleiden kapselointia ja kapseloinnin purkamista.
12. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että liikkuva ·’ · verkkosolmu muodostaa verkkoyhteyden käyttämällä esimerkiksi Mobile IP:tä ,··· paikallisesti määritellyn Access Zone -vyöhykkeen kanssa muodostettavan -16- 110464 yhteyden kautta; tällöin Access Zone -vyöhyke tukee verkkovierailua vaihtamalla yhteyden toiseen Access Zone -vyöhykkeeseen.
13. Minkä tahansa edeltävän patenttivaatimuksen mukainen menetelmä, tunnettu 5 siitä, että itsenäisiin verkkoihin sisältyy Internet, paikalliset Intranetit, kotiverkot, paikalliset Access Zone -vyöhykkeet ja tietoliikenneverkot, esimerkiksi langattomat ja ei-langattomat verkot.
14. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että verkkojen (tai 10 solmujen) turvamenettelyt koskevat paketteihin tehtäviä erityisiä muunnoksia, kun paketit siirretään verkojen (tai solmujen) läpi; menetelmässä paketteihin sovellettavat sopivat muunnokset perustuvat kyseisiin muunnoksiin, joita on sovellettu niin, että kyseiset muunnokset käännetään käytännössä niin, että paketin hyötykuormatiedot voidaan elvyttää. 15
15. Matkaviestinlaite, joka pystyy muodostamaan yhteyden verkon kanssa ja jossa on tiedonsiirtoa koskeva turvamenettely, jonka mukaan paketteja siirretään matkaviestinlaitteeseen sekä siitä pois. Tiedonsiirron turvamenettely käsittää: ensimmäisen muunnossahan, joka liittyy ensisijaiseen turvamenettelyyn, : ; *: 20 jotka sovelletaan siirrettyihin paketteihin ·*·. toisen muunnossahan, joka liittyy toissijaiseen turvamenettelyyn, jota ;; ‘ · sovelletaan sopivalla tavalla ja valikoiden tiettyihin paketteihin.
.... 16. Patenttivaatimuksen 15 mukainen matkaviestinlaite, jossa ensisijainen .· · 25 turvamenettely on sellainen, joka määrittää tiettyjen pakettien käsittelyn, ja toissijainen turvamenetely on sellainen, joka määrittää tiettyjen muiden pakettien käsittelyn.
. . 17. Patenttivaatimuksen 15 mukainen matkaviestinlaite, jossa ensisijaisen 30 turvamenettelyn muunnostietueet sisältävät attribuutin, esimerkiksi, mutta siihen ” . rajoittumatta, lippuosan, joka osoittaa, että toissijaista turvamenettelyä on :. käytettävä, voidaan käyttää tai ei saa käyttää paketteihin. - 17- 110464
18. Patenttivaatimuksen 15 mukainen matkaviestinlaite, jossa matkaviestinlaitteen yhteys Internetiin siirtää paketit siirtokerroksen, esimerkiksi TCP.n tai UDP:n päällä. 110464 -18-
FI20010876A 2001-04-26 2001-04-26 IP-tietoturva ja liikkuvat verkkoyhteydet FI110464B (fi)

Priority Applications (4)

Application Number Priority Date Filing Date Title
FI20010876A FI110464B (fi) 2001-04-26 2001-04-26 IP-tietoturva ja liikkuvat verkkoyhteydet
PCT/FI2002/000293 WO2002089395A1 (en) 2001-04-26 2002-04-05 Ip security and mobile networking
EP02712994A EP1389375A1 (en) 2001-04-26 2002-04-05 Ip security and mobile networking
US10/119,509 US20020161905A1 (en) 2001-04-26 2002-04-09 IP security and mobile networking

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20010876A FI110464B (fi) 2001-04-26 2001-04-26 IP-tietoturva ja liikkuvat verkkoyhteydet
FI20010876 2001-04-26

Publications (3)

Publication Number Publication Date
FI20010876A0 FI20010876A0 (fi) 2001-04-26
FI20010876A FI20010876A (fi) 2002-10-27
FI110464B true FI110464B (fi) 2003-01-31

Family

ID=8561070

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20010876A FI110464B (fi) 2001-04-26 2001-04-26 IP-tietoturva ja liikkuvat verkkoyhteydet

Country Status (4)

Country Link
US (1) US20020161905A1 (fi)
EP (1) EP1389375A1 (fi)
FI (1) FI110464B (fi)
WO (1) WO2002089395A1 (fi)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030119548A1 (en) 2001-02-26 2003-06-26 Jahangir Mohammed Method for extending the coverage area of a licensed wireless communications system using an unlicensed wireless communications system
US7502929B1 (en) 2001-10-16 2009-03-10 Cisco Technology, Inc. Method and apparatus for assigning network addresses based on connection authentication
US20030195973A1 (en) * 2002-04-11 2003-10-16 Raymond Savarda Methods, systems, and computer program products for processing a packet with layered headers using a data structure that positionally relates the layered headers
US7039404B2 (en) * 2002-06-27 2006-05-02 Intel Corporation Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
US7143435B1 (en) * 2002-07-31 2006-11-28 Cisco Technology, Inc. Method and apparatus for registering auto-configured network addresses based on connection authentication
US20040025051A1 (en) * 2002-08-02 2004-02-05 Intel Corporation Secure roaming using distributed security gateways
WO2004036834A1 (en) * 2002-10-17 2004-04-29 Nokia Corporation Secured virtual private network with mobile nodes
US7606190B2 (en) 2002-10-18 2009-10-20 Kineto Wireless, Inc. Apparatus and messages for interworking between unlicensed access network and GPRS network for data services
KR100822120B1 (ko) 2002-10-18 2008-04-14 키네토 와이어리즈 인코포레이션 비인가 무선 통신 시스템을 이용한 인가 무선 통신시스템의 커버리지 영역 확장 장치 및 방법
US7885644B2 (en) * 2002-10-18 2011-02-08 Kineto Wireless, Inc. Method and system of providing landline equivalent location information over an integrated communication system
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US8909926B2 (en) 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US7308703B2 (en) 2002-12-18 2007-12-11 Novell, Inc. Protection of data accessible by a mobile device
AU2003299729A1 (en) * 2002-12-18 2004-07-14 Senforce Technologies, Inc. Methods and apparatus for administration of policy based protection of data accessible by a mobile device
US9237514B2 (en) 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US8122136B2 (en) 2002-12-18 2012-02-21 Cisco Technology, Inc. Methods and apparatus for providing security to a computerized device
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
DE112004000817D2 (de) * 2003-03-04 2006-01-19 Lukas Wunner Verfahren, System und Speichermedium zum Eintragen von Datennetzwerkerreichbarkeitsinformation
US7577837B1 (en) * 2003-04-17 2009-08-18 Cisco Technology, Inc. Method and apparatus for encrypted unicast group communication
US7649866B2 (en) * 2003-06-24 2010-01-19 Tropos Networks, Inc. Method of subnet roaming within a network
US20040266420A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. System and method for secure mobile connectivity
US20040268124A1 (en) * 2003-06-27 2004-12-30 Nokia Corporation, Espoo, Finland Systems and methods for creating and maintaining a centralized key store
JP4431112B2 (ja) * 2003-07-09 2010-03-10 株式会社日立コミュニケーションテクノロジー 端末及び通信システム
US7283822B2 (en) * 2003-10-17 2007-10-16 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
US7272397B2 (en) * 2003-10-17 2007-09-18 Kineto Wireless, Inc. Service access control interface for an unlicensed wireless communication system
US20050102652A1 (en) * 2003-11-07 2005-05-12 Sony Corporation System and method for building software suite
US20050135628A1 (en) * 2003-11-17 2005-06-23 Sony Corporation System and method for authenticating components in wireless home entertainment system
AU2005215043A1 (en) * 2004-02-19 2005-09-01 Georgia Tech Research Corporation Systems and methods for parallel communication
US10375023B2 (en) * 2004-02-20 2019-08-06 Nokia Technologies Oy System, method and computer program product for accessing at least one virtual private network
US7457626B2 (en) * 2004-03-19 2008-11-25 Microsoft Corporation Virtual private network structure reuse for mobile computing devices
US7991854B2 (en) * 2004-03-19 2011-08-02 Microsoft Corporation Dynamic session maintenance for mobile computing devices
US7957348B1 (en) 2004-04-21 2011-06-07 Kineto Wireless, Inc. Method and system for signaling traffic and media types within a communications network switching system
US7940746B2 (en) 2004-08-24 2011-05-10 Comcast Cable Holdings, Llc Method and system for locating a voice over internet protocol (VoIP) device connected to a network
US7843900B2 (en) 2005-08-10 2010-11-30 Kineto Wireless, Inc. Mechanisms to extend UMA or GAN to inter-work with UMTS core network
US7640577B2 (en) * 2006-02-14 2009-12-29 Sony Corporation System and method for authenticating components in wireless home entertainment system
US8165086B2 (en) 2006-04-18 2012-04-24 Kineto Wireless, Inc. Method of providing improved integrated communication system data service
US20080039086A1 (en) 2006-07-14 2008-02-14 Gallagher Michael D Generic Access to the Iu Interface
US7852817B2 (en) 2006-07-14 2010-12-14 Kineto Wireless, Inc. Generic access to the Iu interface
US20080076425A1 (en) 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
US7912004B2 (en) 2006-07-14 2011-03-22 Kineto Wireless, Inc. Generic access to the Iu interface
US8565186B2 (en) * 2006-08-31 2013-10-22 Telcordia Technologies, Inc. Methods of mitigation of trombone routing in an IMS/MMD network
US8036664B2 (en) 2006-09-22 2011-10-11 Kineto Wireless, Inc. Method and apparatus for determining rove-out
US8073428B2 (en) 2006-09-22 2011-12-06 Kineto Wireless, Inc. Method and apparatus for securing communication between an access point and a network controller
US7995994B2 (en) 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8204502B2 (en) 2006-09-22 2012-06-19 Kineto Wireless, Inc. Method and apparatus for user equipment registration
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US8418241B2 (en) 2006-11-14 2013-04-09 Broadcom Corporation Method and system for traffic engineering in secured networks
US8677114B2 (en) * 2007-01-04 2014-03-18 Motorola Solutions, Inc. Application steering and application blocking over a secure tunnel
US8019331B2 (en) 2007-02-26 2011-09-13 Kineto Wireless, Inc. Femtocell integration into the macro network
KR20090121380A (ko) * 2007-03-12 2009-11-25 노오텔 네트웍스 리미티드 흐름 식별을 위한 키를 이용한 이동 ip에 대한 터널링 지원
US20090265542A1 (en) 2008-04-18 2009-10-22 Amit Khetawat Home Node B System Architecture
US8752131B2 (en) * 2008-04-30 2014-06-10 Fujitsu Limited Facilitating protection of a maintenance entity group
US8566571B2 (en) * 2008-12-12 2013-10-22 Novell, Inc. Pre-boot securing of operating system (OS) for endpoint evaluation
US8838804B2 (en) * 2009-03-12 2014-09-16 Novell, Inc. Securing a network connection by way of an endpoint computing device
US20120254615A1 (en) * 2011-03-31 2012-10-04 Motorola Solutions, Inc. Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
US8898795B2 (en) * 2012-02-09 2014-11-25 Harris Corporation Bridge for communicating with a dynamic computer network
US8819818B2 (en) 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
US8935780B2 (en) 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8935786B2 (en) 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US8898782B2 (en) 2012-05-01 2014-11-25 Harris Corporation Systems and methods for spontaneously configuring a computer network
US9075992B2 (en) 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US8966626B2 (en) 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
US9974115B2 (en) * 2013-12-30 2018-05-15 Google Technology Holdings LLC Method and device for policy-based routing
EP3417574A1 (en) * 2016-02-18 2018-12-26 Alcatel Lucent Data transmission
US10803192B2 (en) * 2018-04-08 2020-10-13 Imperva, Inc. Detecting attacks on databases based on transaction characteristics determined from analyzing database logs
US20220247719A1 (en) * 2019-09-24 2022-08-04 Pribit Technology, Inc. Network Access Control System And Method Therefor

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
JP3557056B2 (ja) * 1996-10-25 2004-08-25 株式会社東芝 パケット検査装置、移動計算機装置及びパケット転送方法
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6360269B1 (en) 1998-11-02 2002-03-19 Nortel Networks Limited Protected keepalive message through the internet
US6330562B1 (en) * 1999-01-29 2001-12-11 International Business Machines Corporation System and method for managing security objects
US6347376B1 (en) * 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
JP2002033764A (ja) * 2000-07-14 2002-01-31 Fujitsu Ltd 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置
GB2363549B (en) * 2000-11-16 2002-05-29 Ericsson Telefon Ab L M Securing voice over IP traffic

Also Published As

Publication number Publication date
FI20010876A0 (fi) 2001-04-26
EP1389375A1 (en) 2004-02-18
FI20010876A (fi) 2002-10-27
US20020161905A1 (en) 2002-10-31
WO2002089395A1 (en) 2002-11-07

Similar Documents

Publication Publication Date Title
FI110464B (fi) IP-tietoturva ja liikkuvat verkkoyhteydet
US6167513A (en) Mobile computing scheme using encryption and authentication processing based on mobile computer location and network operating policy
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
US7861080B2 (en) Packet communication system
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
US8437345B2 (en) Terminal and communication system
CN101043411B (zh) 混合网络中实现移动vpn的方法及系统
US8446874B2 (en) Apparatus and method for filtering packet in a network system using mobile IP
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20040037260A1 (en) Virtual private network system
US20060182083A1 (en) Secured virtual private network with mobile nodes
US20030193952A1 (en) Mobile node handoff methods and apparatus
US20040097232A1 (en) Handover
US20050232286A1 (en) System and method for route optimization using piggybacking in a mobile network
JP2007522725A (ja) 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ
KR20060031813A (ko) Cdma 시스템에서 이동ip 버전 6 서비스 지원하기위한 방법, 시스템 및 장치
JP2000332825A (ja) 移動通信方法、移動計算機装置、計算機管理装置及び暗号化通信装置
EP1863255A1 (en) An implementing method for traversing the firewall by the mobile ipv6 massage and the firewall
EP1700430B1 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP2010517344A (ja) ルート最適化手順によるデータパケットのヘッダ縮小の方法
Mink et al. Towards secure mobility support for IP networks
US8036232B2 (en) Apparatus and method for filtering packet in a network system using mobile IP
Cisco Introduction to Mobile IP
Miyazawa et al. IPv6 IPsec and Mobile IPv6 implementation of Linux
Wong et al. Network-Layer Mobility Protocols for IPv6-Based Networks