FI110975B - Huijaamisen estäminen tietoliikennejärjestelmissä - Google Patents

Huijaamisen estäminen tietoliikennejärjestelmissä Download PDF

Info

Publication number
FI110975B
FI110975B FI992767A FI19992767A FI110975B FI 110975 B FI110975 B FI 110975B FI 992767 A FI992767 A FI 992767A FI 19992767 A FI19992767 A FI 19992767A FI 110975 B FI110975 B FI 110975B
Authority
FI
Finland
Prior art keywords
packet
address
node
packet data
terminal
Prior art date
Application number
FI992767A
Other languages
English (en)
Swedish (sv)
Other versions
FI19992767A (fi
Inventor
Sami Uskela
Hannu T Jokinen
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8555800&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=FI110975(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Corp filed Critical Nokia Corp
Priority to FI992767A priority Critical patent/FI110975B/fi
Priority to PCT/FI2000/001114 priority patent/WO2001047179A1/en
Priority to AU23783/01A priority patent/AU2378301A/en
Priority to JP2001547792A priority patent/JP2003518821A/ja
Priority to DE60026373T priority patent/DE60026373T2/de
Priority to AT00987534T priority patent/ATE319243T1/de
Priority to ES00987534T priority patent/ES2258487T3/es
Priority to EP00987534A priority patent/EP1240744B1/en
Priority to CNB008175918A priority patent/CN100431296C/zh
Priority to CN200610094130A priority patent/CN100581099C/zh
Publication of FI19992767A publication Critical patent/FI19992767A/fi
Priority to US10/175,517 priority patent/US7342926B2/en
Publication of FI110975B publication Critical patent/FI110975B/fi
Application granted granted Critical
Priority to JP2007179261A priority patent/JP2007259507A/ja
Priority to US11/853,657 priority patent/US7801106B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Description

110975
Huijaamisen estäminen tietoliikennejärjestelmissä
Keksinnön tausta
Keksintö liittyy huijaamisen estämiseen tietoliikennejärjestelmissä, jotka kykenevät siirtämään pakettidataa. Erityisesti keksintö liittyy matkaviesti-5 meitä lähetettyjen IP (Internet Protocol) -pakettien lähettäjätietojen huijaamisen estämiseen matkaviestinjärjestelmissä.
Matkaviestinjärjestelmät tarjoavat käyttäjälle liikkuvaa datansiirtoa varten tehokkaan liittymäverkon, joka antaa pääsyn varsinaisiin dataverkkoihin. Erityisen hyvin liikkuvaa datansiirtoa tukevat digitaaliset matkaviestinjär-10 jestelmät, kuten yleiseurooppalainen matkaviestinjärjestelmä GSM (Global System for Mobile Communication). Datalla tarkoitetaan tässä hakemuksessa mitä tahansa digitaalisessa tietoliikennejärjestelmässä välitettävää informaatiota. Tällainen informaatio voi käsittää digitaaliseen muotoon koodattua ääntä ja/tai kuvaa, tietokoneiden välistä dataliikennettä, telefaksidataa, lyhyitä ohjel-15 makoodin kappaleita jne. Matkaviestinjärjestelmä viittaa yleisesti mihin tahansa tietoliikennejärjestelmään, joka käyttää langatonta liikennöintiä, kun käyttäjät liikkuvat järjestelmän palvelualueen sisällä. Tyypillinen matkaviestinjärjestelmä on yleinen maanpäällinen matkaviestinverkko (PLMN, Public Land Mobile Network). Matkaviestinverkko on usein liityntäverkko (accessverkko), joka 20 tarjoaa käyttäjälle langattoman liitynnän ulkopuolisiin verkkoihin, isäntiin, tai palveluihin, joita erityiset palvelujen tuottajat tarjoavat.
Yksi päätavoitteista matkaviestinjärjestelmien kehittämisessä on ollut tarjota mahdollisuus IP -palvelujen käyttöön matkaviestinverkon välityksellä siten, että matkaviestinkin voi toimia isäntänä (host). Tämä on mahdollista 25 esimerkiksi yleisessä pakettiradiopalvelussa GPRS (General Packet Radio Service). GPRS on pakettidatasiirron liikkuvien datapäätelaitteiden ja ulkopuolisten dataverkkojen välillä tarjoava palvelu GSM-järjestelmässä (Global System for Mobile Communication). Lähettääkseen ja vastaanottaakseen GPRS-dataa matkaviestimen täytyy aktivoida pakettidataosoite, jota se haluaa käyt-. . 30 tää, pyytämällä PDP (Packet Data Protocol) -aktivointiproseduuria. Tämä ope- „ raatio tekee matkaviestimen tunnetuksi vastaavassa yhdyskäytävät kisolmus- sa ja yhteistoiminta ulkopuolisten dataverkkojen kanssa voi alkaa aktivoidulla pakettidataosoitteella. Vastaavanlaisia ratkaisuja ollaan myös suunnittelemassa niin sanottuihin kolmannen sukupolven matkaviestinjärjestelmiin, kuten 2 110975 UMTS (Universal Mobile Communications System) ja lMT-2000 (International Mobile Telecommunications 2000).
Erityisesti IP-verkoissa huijaaminen (spoofing) eli IP-datapaketin lähdeosoitteen väärentäminen on helppoa. Toisin sanoen isäntä, jolta IP-5 paketti lähtee, voi valehdella itsensä joksikin toiseksi ja lähettää vaikkapa A:n nimissä paketteja B:lle, joka lähettää vastauksen A:!le. Tällöin sekä A että B tulevat häirityksi. Eräänä ratkaisuna on palomuurien käyttö. Niissä käyttäjää ei kuitenkaan autentikoida, vaan tarkkaillaan pelkkiä lähde- ja kohdeosoitteita. Lähdeosoitteet kerrotaan yleensä palomuurissa aliverkon tarkkuudella eikä 10 palomuuri siten voi tietää paketin todellista lähettäjää, jolloin samassa aliverkossa olevat isännät voivat esiintyä toisinaan. Koska palomuurissa sallittujen lähdeosoitteiden tulee olla etukäteen tiedossa ja matkaviestimen on voitava liikkua yhden palomuurin alueelta toisen palomuurin alueelle vaihtamatta IP-osoitettaan, palomuurien sallitut lähdeosoitteet kattavat käytännössä kaikki ne 15 matkaviestimet, jotka voivat kytkeytyä palomuurin suojaamaan aliverkkoon. Niinpä ongelmana onkin, että IP-paketin lähdeosoitteeseen ei voida luottaa, vaan huijaamisen estämiseksi mobiili isäntä täytyy autentikoida erikseen. Erityisen tärkeää huijaamisen estäminen on isännältä laskutettavia IP-palveluita käytettäessä. Luotettava autentikointiproseduuri voi kuitenkin lisätä verkon 20 viivettä tai kuluttaa tarpeettomasti matkaviestinverkoissa rajallista resurssia eli ilmarajapintaa.
Keksinnön lyhyt selostus
Keksinnön tavoitteena on siten kehittää menetelmä ja menetelmän toteuttava laitteisto siten, että datapaketin vastaanottaja voi olla varma siitä, 25 että datapaketissa lähdeosoite kertoo paketin todellisen lähettäjän.
Keksinnön tavoitteet saavutetaan menetelmällä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi. Menetel-30 mä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijärjestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty 35 paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; tarkistetaan mainitussa 3 110975 solmussa, onko paketin lähdeosoite sama kuin pakettidataosoite; ja lähetetään paketti solmusta kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
Keksinnön kohteena on lisäksi menetelmä huijaamisen estämiseksi 5 tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi. Menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijär-10 jestelmän välillä: tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijärjestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät: vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; määritellään pakettidataosoite osoi-tejoukkona; tarkistetaan mainitussa solmussa, kuuluuko paketin lähdeosoite 15 osoitejoukkoon; ja lähetetään paketti solmusta kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon
Keksinnön kohteena on edelleen verkkosolmu datapakettien välittämiseksi pakettiverkon päätelaitteelta vastaanottajalle, joka verkkosolmu on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota 20 päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pakettidataosoitteeseen. Verkkosolmulle on tunnusomaista, että se on järjestetty vasteena paketin vastaanotolle vertaamaan paketissa olevaa lähdeosoitetta päätelaitteen käyttämään pakettidataosoitteeseen, ja lähettämään paketin verkkosolmusta pake-2b tissa olevaa kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
Keksinnön kohteena on lisäksi verkkosolmu datapakettien välittämiseksi pakettiverkon päätelaitteelta vastaanottajalle, joka verkkosolmu on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta 30 vastaanotetun paketin päätelaitteen käyttämään pakettidataosoitteeseen. Verkkosolmulle on tunnusomaista, että pakettidataosoite on määritelty osoitejoukkona, ja verkkosolmu on järjestetty vasteena paketin vastaanotolle tarkistamaan, kuuluuko paketissa oleva lähdeosoite päätelaitteen käyttämän pakettidataosoitteen osoitejoukkoon, ja lähettämään paketin verkkosolmusta 35 paketissa olevaa kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon.
4 110975
Keksintö perustuu siihen, että datapakettien välittämiseksi aktivoidun pakettidataosoitteen ansiosta esimerkiksi yhdyskäytävätukisolmu GGSN tietää datapaketin lähettäneen matkaviestimen pakettidataosoitteen, joten yhdyskäytävätukisolmun GGSN:n täytyy vain verrata datapaketissa ole-5 vaa lähdeosoitetta matkaviestimen käyttämään pakettidataosoitteeseen. Jos ne ovat samat, ei osoitetta ole väärennetty ja paketti voidaan toimittaa edelleen kohdeosoitteeseen.
Keksinnön etuna on se, että se on erittäin yksinkertainen toteuttaa, ja silti sen avulla pystytään estämään huijaaminen. Esimerkiksi IP-paketin vas-10 taanottaja voi luottaa siihen, että IP-paketin lähdeosoite todentaa IP-paketin lähettäjän. Mitään ylimääräistä autentikointimekanismia ei tarvita, joten verkkoa ei kuormiteta ja viive on minimoitu. Lisäksi keksintö helpottaa laskutettavien palveluiden rakentamista, koska palvelun tuottaja voi luottaa siihen, että datapaketissa oleva lähdeosoite ilmaisee laskutettavan käyttäjän.
15 Keksinnön eräässä edullisessa suoritusmuodossa vertailu tehdään yhdyskäytävätukisolmussa. Tämän suoritusmuodon etuna on lisäksi se, että vertailumekanismi täytyy lisätä elementteihin, joita verkossa ei ole kovin monta.
Keksinnön eräässä toisessa edullisessa suoritusmuodossa vertailu 20 tehdään matkaviestintä palvelevassa pakettiradioverkon reunasolmussa. Tämän suoritusmuodon etuna on se, että pakettiradioverkkoa ei kuormiteta välittämällä siinä paketteja, joita ei kuitenkaan toimiteta perille.
Keksinnön eräässä edullisessa suoritusmuodossa vertailu tehdään vain niille paketeille, joiden käyttämä pakettidataprotokolla mahdollistaa hui-2b jäämisen eli lähdeosoitteen väärentämisen. Tämän suoritusmuodon etuna on lisäksi se, että vertailua ei tehdä turhaan niille paketeille, joissa lähdeosoitetta ei voi väärentää.
Keksinnön mukaisen menetelmän ja verkkosolmun edulliset suoritusmuodot ilmenevät oheisista epäitsenäisistä patenttivaatimuksista.
30 Kuvioiden lyhyt selostus
Keksintöä selostetaan nyt lähemmin edullisten suoritusmuotojen yhteydessä, viitaten oheisiin kuvioihin, joista
Kuvio 1 esittää lohkokaavion GPRS-palvelun verkkoarkkitehtuurista; ja 35 Kuvio 2 on vuokaavio keksinnön mukaisesta toiminnasta.
5 110975
Keksinnön yksityiskohtainen selostus
Esillä olevaa keksintöä voidaan soveltaa minkä tahansa pakettivälitteisen järjestelmän yhteydessä, jossa yksilöllinen pakettidataosoite aktivoidaan GPRS-tyyppisesti ennen kuin sitä voidaan käyttää ja jonka järjestelmän verk- « 5 koinfrastruktuurissa säilytetään tietoa käyttäjän aktiivisesta pakettidataosoit-teesta. Tällaisia ovat mm. ns. kolmannen sukupolven matkaviestinjärjestelmät Universal Mobile Telecommunications System (UMTS) ja IMT-2000 (International Mobile Telecommunications 2000) sekä GSM-järjestelmää vastaavat matkaviestinjärjestelmät, kuten DCS 1800 (Digital Cellular System for 188 10 MHz) ja PCS (Personal Communication System) sekä em. järjestelmiin perustuvat WLL-järjestelmät, jotka toteuttavat GPRS-tyyppisen pakettiradion. Keksintöä voidaan soveltaa myös muissa kuin matkaviestinjärjestelmissä, kuten esimerkiksi kaapelimodeemi-verkoissa tai muissa vastaavissa kiinteissä järjestelmissä. Keksintöä selostetaan seuraavassa käyttäen esimerkkijärjestelmänä 15 GSM-järjestelmän GPRS-palvelua keksintöä kuitenkaan tällaiseen tiettyyn järjestelmään rajaamatta. Matkaviestinjärjestelmien määritykset kehittyvät nopeasti. Tällainen kehitys voi vaatia keksintöön ylimääräisiä muutoksia. Sen vuoksi kaikki sanat ja ilmaisut tulisi tulkita laajasti ja ne on tarkoitettu kuvaamaan eikä rajoittamaan keksintöä.
20 Kuviossa 1 on esitetty GPRS-palvelun verkkoarkkitehtuuri karkealla tasolla, koska verkon yksityiskohtaisemmalla rakenteella ei ole keksinnön kannalta olennaista merkitystä. GSM-järjestelmän rakenne ja toiminta ovat alan ammattimiehen hyvin tuntemia. GPRS-palvelun rakennetta on määritelty esimerkiksi ETSknspesifikaatiossa GSM 03.60 version 6.0.0 (Digital cellular '25 telecommunications system (Phase 2+); General Packet Radio Service (GPRS); Service description; Stage 2), joka lisätään hakemukseen viittauksena. GPRS-palvelu käsittää radiopääsyn tarjoavan liityntäverkon, joka kuvion 1 esimerkissä on GSM-järjestelmän tukiasema-alijärjestelmä BSS (Base Station Subsystem), sekä reunasolmuina GRPS-palvelun tukisolmut datan siirtämi-30 seksi pakettivälitteisesti pakettidataverkon PDN ja matkaviestimen MS välillä. Tukisolmuja ovat palveleva GPRS-tukisolmu SGSN (Serving GPRS Support Node) ja GPRS-yhdyskäytävätukisolmu GGSN (Gateway GPRS Support No-« de). Nämä erilaiset tukisolmut SGSN ja GGSN on kytketty toisiinsa runko verkolla 1 (backbone). On huomattavaa, että on myös mahdollista yhdistää 35 SGSN- ja GGSN-toiminnallisuudet fyysisesti samaan verkkosolmuun, jolloin 6 110975 operaattorin runkoverkkoa ei tarvita. Loogisesti solmut kuitenkin ovat eri solmuja.
Palveleva GPRS-tukisolmu SGSN on solmu, joka palvelee matkaviestintä MS. Jokainen tukisolmu SGSN tuottaa pakettidatapalvelua liikkuville 5 datapäätelaitteille eli matkaviestimille MS yhden tai useamman solun alueella solukkotyyppisessä pakettiradioverkossa. Tätä varten jokainen tukisolmu SGSN on tyypillisesti kytketty GSM-matka-viestinverkkoon (tyypillisesti tukiasemaohjaimeen tukiasemajärjestelmässä BSS) niin että välissä oleva matkaviestinverkko tuottaa radioliitynnän ja pakettikytketyn datasiirron SGSN:n ja 10 matkaviestimien välillä. Toisin sanoen solussa oleva matkaviestin MS kommunikoi radiorajapinnan yli tukiaseman kanssa ja edelleen tukiasema-alijärjestelmän läpi sen tukisolmun SGSN kanssa, jonka palvelualueeseen solu kuuluu. SGSN-solmun päätoiminnot ovat havaita uudet GPRS-matkaviestimet palvelualueellaan, hoitaa uusien matkaviestinten MS rekiste-15 röintiprosessi yhdessä GPRS-rekistereiden kanssa, lähettää datapaketteja GPRS-matkaviestimelle MS tai vastaanottaa niitä siltä, sekä pitää tiedostoa matkaviestinten MS sijainnista sen palvelualueen sisäpuolella. SGSN suorittaa siten turvatoiminnot ja pääsyn kontrolloinnin eli mm. autentikointi- ja salaus-proseduurit. SGSN reitittää matkaviestimeltä vastaanotetun paketin uniikkia 20 tunnelia käyttäen kapseloituna GPRS-runkoverkon yli sille GGSN-solmulle, jonne pakettidataosoite on aktivoitu.
GPRS-yhdyskäytävätukisolmut GGSN kytkevät operaattorin GPRS-verkon ulkopuolisiin järjestelmiin, kuten muiden operaattoreiden GPRS-järjestelmiin, dataverkkoihin, kuten IP-verkkoon (Internet) tai X.25-verkkoon, ja ‘ 25 palvelimiin 2. GGSN voi olla myös kytketty suoraan yksityiseen yritysverkkoon tai isäntään. Kuvion 1 esimerkissä GGSN on kytketty palvelimiin 2 luotettavan IP-verkon 3 välityksellä ja yleiseen Internetiin 4 palomuurin FW välityksellä. GGSN sisältää GPRS-tilaajien PDP-osoitteet ja reititysinformaation, ts. SGSN-osoitteet. GGSN päivittää sijaintitiedoston käyttäen reititysinformaatiota, jonka 30 SGSN-solmut tuottavat matkaviestimen MS reitistä. GGSN toimii reitittimenä ulkoisen osoitteen ja sisäisen reititystiedon (esim SGSN) välillä. Toisin sanoen GGSN reitittää ulkopuolisen dataverkon protokollapaketin kapseloituna GPRS-runkoverkon yli SGSN-solmulle, joka sillä hetkellä palvelee matkaviestintä MS.
Se myös purkaa matkaviestimeltä lähetetyn paketin kapseloinnin ja välittää 35 ulkoisen dataverkon paketit asianomaiseen dataverkkoon. GGSN voi myös 7 110975 välittää paketteja matkaviestimeltä matkaviestimelle verkon sisällä. Lisäksi GGSN hoitaa dataliikenteen laskutuksen.
Matkaviestin MS voi olla mikä tahansa pakettidatasiirtoa tukeva liikkuva solmu, jolla on radiorajapinta verkkoon. Se voi esimerkiksi olla laptop-’ 5 tietokone PC, joka on kytketty pakettiradiotoimintaan kykenevään solukkopu- helimeen tai pienen tietokoneen ja pakettiradiopuhelimen integroitu yhdistelmä. Matkaviestimen MS vielä muita suoritusmuotoja ovat erilaiset hakulaitteet, kauko-ohjaus, valvonta ja/tai datankeräyslaitteet, jne. Matkaviestimestä voidaan käyttää myös nimitystä liikkuva solmu tai liikkuva isäntä.
10 Päästäkseen GPRS-palveluihin matkaviestimen MS täytyy ensin tehdä läsnäolonsa tunnetuksi verkolle suorittamalla GPRS attach -operaatio. Tämä operaatio muodostaa loogisen linkin matkaviestimen MS ja SGSN-solmun välille ja saa aikaan sen, että GPRS:n yli tuleva lyhytsanoma tai muu vastaava yhteydettömästi toimitetta sanoma, SGSN-solmun kautta tuleva haku 15 sekä ilmoitus tulevasta GPRS-datasta voi saavuttaa matkaviestimen MS. Tarkemmin sanottuna, kun MS liittyy GPRS-verkkoon, ts. GPRS attach -proseduurissa, SGSN luo liikkuvuudenhallintakontekstin (MM-konteksti) ja matkaviestimen MS ja SGSN-solmun välille muodostetaan looginen linkki LLC (Logical Link Control) protokollakerroksessa. MM-konteksti tallennetaan 20 SGSN-solmussa ja matkaviestimessä MS. SGSN-solmun MM-konteksti voi sisältää tilaajatietoja, kuten tilaajan IMSI, TLLI (Temporary Logical Link Identifier) sekä sijainti- ja reititysinformaatiota, jne.
Lähettääkseen ja vastaanottaakseen GPRS-dataa matkaviestimen MS täytyy aktivoida PDP-osoite eli pakettidataosoite, jota se haluaa käyttää, 25 pyytämällä PDP-aktivointiproseduuria. PDP-kontekstin aktivointi voi tapahtua matkaviestimen kirjoittautuessa (attach) GPRS-verkkoon. Vaihtoehtoisesti matkaviestin voi PDP-kontekstin myöhemmin tai aktivointi voi tapahtua GPRS -verkolta vastaanotetun aktivointipyynnön seurauksena (GRPS network requested PDP context activation).GPRS liittymä sisältää yhden tai useamman .30 yksilöllisen PDP-kontekstin, jolla kuvataan pakettidataosoitetta ja siihen liittyviä parametreja. Tarkemmin sanottuna PDP-konteksti määrittää erilaisia datansiir-toparametreja, kuten PDP-tyyppi (esimerkiksi X.25 tai IP), PDP-osoite (esi-, merkiksi IP-osoite), palvelun laatu QoS (quality of service) ja NSAPI (Network
Service Access Point Identifier). Yhdellä matkaviestimellä voi olla myös useita 35 saman tyyppisiä PDP-osoitteita, esimerkiksi eri IP-osoitteita PDP-osoitteina (eli matkaviestimellä on useita IP-tyyppisiä konteksteja). Esimerkiksi eri IP- 8 110975 osoitteita eli konteksteja voidaan käyttää IP-protokollalla välitettäviin eri tasoisiin ja eri hintaisiin palveluihin. PDP-kontekstin pakettidataosoite on joko pysyvä (eli kotirekisterin tilaajatiedoissa määritelty) tai dynaaminen, jolloin GGSN allokoi pakettidataosoitteen PDP-aktivointiproseduurin aikana. PDP-5 aktivointiproseduuri aktivoi PDP-kontekstin ja tekee matkaviestimen MS tunnetuksi vastaavassa GGSN-solmussa, jolloin yhteistoiminta ulkopuolisten dataverkkojen kanssa voi alkaa. PDP-kontekstin aktivoinnin aikana PDP-konteksti luodaan matkaviestimessä MS sekä GGSN- ja SGSN-solmuissa. PDP-kontekstia aktivoitaessa käyttäjä autentikoidaan GSM-proseduureja käyttäen, 10 joten kontekstin aktivoinnissa terminaalille annettu pakettidataosoite, esimerkiksi IP-osoite, voidaan luotettavasti liittää käyttäjän identifiointitunnukseen, esimerkiksi IMSkiin (International Mobile Subscriber Identity).
PDP-konteksti luodaan ja paketit tunneloidaan käyttämällä GTP-protokollaa (GPRS Tunneling Protocol). Matkaviestin MS aktivoi PDP-15 kontekstin erityisellä sanomalla, Activate PDP Context Request, jossa se antaa informaationa TLLI:n, PDP-tyypin, mahdollisesti PDP-osoitteen, pyydetyn QoS:in ja NSAPI:n, ja optionaalisesti accesspisteen nimen APN (access point name). SGSN lähettää create PDP context -sanoman GGSN-solmulle, joka luo PDP-kontekstin ja lähettää sen SGSN-solmulle. Jos Activate PDP Context 20 Request -sanoma (ja siten create PDP context -sanoma) ei sisältänyt PDP-osoitetta, allokoi GGSN PDP-osoitteen PDP kontekstin luonnin aikana ja sisällyttää dynaamisen PDP-osoitteen SGSNrlle lähetettävään PDP-kontekstiin. SGSN lähettää PDP-kontekstin matkaviestimelle MS activate PDP context response -sanomassa. PDP-konteksti tallennetaan matkaviestimessä MS, 25 SGSN-solmussa ja GGSN-solmussa. Kukin PDP-konteksti tallennetaan palvelevassa SGSN-solmussa yhdessä MM-kontekstin kanssa. Kun MS vaeltaa uuden SGSN-solmun alueelle, uusi SGSN pyytää MM-kontekstin ja PDP-kontekstit vanhalta SGSN-solmulta.
PDP-kontekstin aktivointiproseduurissa muodostetaan siten matka-30 viestimen MS ja GGSN-solmun välille virtuaalinen yhteys tai linkki. Samalla . . syntyy uniikki tunneli GGSN:n ja SGSN:n välille tätä PDP-kontekstia ja paket-tidataosoitetta varten. Tunneli on reitti, jota IP-datapaketti seuraa ja jonka avulla matkaviestimeltä lähtenyt paketti liitetään GGSN:ssä tiettyyn PDP-kontekstiin ja siten tiettyyn pakettidataosoitteeseen. Toisin sanoen tunnelin 35 avulla tunnistetaan se pakettidataosoite, jota matkaviestin käytti lähettäessään paketin. GTP-protokollaa käytettäessä paketti liitetään GGSNissä tiettyyn 9 110975 PDP-kontekstiin joko tunnelin tunnisteen TID (Tunnel Identifier) tai tunnelin loppupään tunnisteen avulla. Tunnelin tunniste muodostuu NSAPhsta ja IM-' Sl:stä. PDP-kontekstin aktivointiproseduurin aikana GGSN voi myös allokoida tunnelin loppupään tunnisteen käytettäväksi paketin PDP-kontekstin osoitta-' 5 miseen.
Kuviossa 2 esitetään vuokaavio keksinnön ensimmäisen edullisen suoritusmuodon mukaisesta toiminnasta yhdyskäytävätukisolmussa GGSN. Keksinnön ensimmäisessä edullisessa suoritusmuodossa paketissa olevaa lähdeosoitetta verrataan aktivoituun pakettidataosoitteeseen vain niissä PDP-10 konteksteissa, joiden tyyppi on sellainen, että huijaaminen on mahdollista. Tällaisia ovat esimerkiksi IP-tyyppiset kontekstit ja pakettidataosoitteet. Nämä tyypit (tai tyyppi) määritellään vertailun tekevään solmuun. Kuvion 2 esimerkissä oletetaan, että vain IP-osoitteilla pystyy huijaamaan, muilla mahdollisilla pa-kettidataosoitetyypeillä huijaaminen ei onnistu. Lisäksi oletetaan, että matkavies-15 tin on aktivoinut käyttämänsä PDP-kontekstin eli ottanut käyttöönsä esimerkiksi IP-osoitteen ja lähettää IP-paketin esimerkiksi kuviossa 1 esitetylle palvelimelle 1 tai yleiseen Internetiin 4. Edelleen oletetaan, että tunnelin identifiointiin käytetään tunnelin tunnistetta TID.
Viitaten kuvioon 2 kohdassa 200 GGSN vastaanottaa uniikkia tunne-20 lia käyttävän paketin, purkaa kohdassa 201 sen kapseloinnin ja poimii kohdassa 202 tunnelin tunnisteen TID. Sen avulla GGSN hakee kohdassa 203 vastaavan PDP-kontekstin tiedot. Nämä tiedot sisältävät PDP-kontekstissa olevan datapaketti- eli PDP-osoitteen, joka tässä esimerkissä on IP-osoite. Sen jälkeen GGSN tarkistaa kohdassa 204, oliko tunnelia vastaava PDP-konteksti (eli pakettidata-; 25 osoite) IP-tyyppinen. Jos oli, GGSN poimii kohdassa 205 paketin otsakkeessa olevan lähdeosoitteen. Kun GGSN tietää molemmat osoitteet, vertaa se niitä kohdassa 206 keskenään. Jos lähdeosoite on sama kuin PDP-kontekstin PDP-osoite, matkaviestin on se, mitä IP-paketissa väittää olevansa, joten GGSN lähettää paketin kohdassa 207 eteenpäin. Jos lähdeosoite poikkeaa PDP-30 osoitteesta, yrittää matkaviestin tekeytyä joksikin muuksi, minkä vuoksi GGSN : hylkää paketin kohdassa 208. Hylkäämisellä tarkoitetaan tässä sitä, että pakettia ei lähetetä kohdeosoitteeseen.
Se, mitä paketille hylkäämisen jälkeen tapahtuu, riippuu operaattorin määrittelyistä ja on irrelevanttia keksinnön kannalta. Esimerkiksi käyttäjälle ja 35 päätelaiteelle voidaan ilmoittaa ohjaustason signaloinnilla siitä, että lähdeosoite ei ole se, mikä sen pitäisi olla. GGSN voi myös lähettää hälytyssignaalin ope- 110975 10 raattorin verkon toiminta- ja ylläpitokeskukseen (O&M centre). On myös mahdollista tehdä virhelokitiedostoon merkintä, joka sisältää PDP-kontekstin tiedot ja paketin tiedot. Virhelokitiedostoon voidaan myös kirjoittaa hylätyn paketin sisältö. Lisäksi vielä eräänä mahdollisuutena ilmoittaa käyttäjälle ja terminaalille 5 virheellisestä lähdeosoitteesta on sen PDP-kontekstin deaktivointi, jota käytettiin vilpillisen paketin lähettämiseen. PDP-konteksti deaktivoidaan GGSN:ssä, SGSN:ssä ja MS:ssä esimerkiksi siten, että GGSN pyytää SGSN:ää deaktivoimaan PDP-kontekstin (tai jos SGSN hylkäsi paketin, SGSN lähettää deaktivointipyynnön GGSN:lle) ja SGSN pyytää MS:ää deaktivoimaan 10 PDP-kontekstin. Nämä deaktivointisanomat sisältävät edullisesti syykoodina spesifisen deaktivointikoodin, joka osoittaa, että MS tai sen kanssa yhteistoiminnassa oleva sovellus on käyttänyt virheellistä tai vilpillistä lähdeosoitetta. Tämä spesifinen syykoodi aikaansaa sen, että käyttäjälle ilmoitetaan yrityksestä käyttää virheellistä lähdeosoitetta. Perussyy tälle 15 ilmoitukselle on että joko käyttäjää koetetaan estää tekemästä vilppiä tai käyttäjälle ilmoitetaan virheellisiä lähdeosoitteita käyttävästä sovelluksesta. Ilmoitus käyttäjälle on edullisesti tekstiviesti tai sanomaikkuna joka identifioi sen sovelluksen, joka yrittää lähettää dataa virheellisellä osoitteella. Edellä kuvatut toimenpiteet voidaan tehdä vasta sen jälkeen, kun vilpillisiä paketteja 20 on hylätty ennalta määritelty määrä. Kun MS:!le ilmoitetaan virheellisen lähdeosoitteen käytöstä, sanoma, jonka esimerkiksi GGSN lähettää MS:lle ja/tai operaattorin verkon toiminta- ja ylläpitokeskukseen voi edullisesti kuljettaa jotain tietoa virheellisen lähdeosoitteen paketin ylemmän kerroksen protokollan (esimerkiksi TCP tai UDP) otsakkeista. Tämä helpottaa vilpillisen ?5 sovelluksen ja vilpillisen toiminnan löytämistä. Sanomat voivat jopa sisältää väärän osoitteen takia hylätyn paketin (tai pakettien) koko sisällön. Hylättyjen pakettien virta voidaan jopa ohjata ulkoiselle solmulle (kuten operaattorin verkon toiminta- ja ylläpitokeskukseen).
Jos kohdassa 204 havaitaan, että PDP-konteksti ei ollut IP-tyyppinen, : 30 siirtyy GGSN suoraan kohtaan 207 ja lähettää paketin eteenpäin.
Kohdan 206 tarkistuksella varmistutaan siitä, että GGSN välittää eteenpäin ulkoisiin verkkoihin vain niitä paketteja, joiden lähettäjä ei ole yrittänyt tekeytyä joksikin muuksi. Keksinnön mukaiseen lähettäjän todentamiseen riittää siten yksinkertainen tarkistus eikä mitään erillistä autentikointisignalointia tarvita.
35 Keksinnön toisessa edullisessa suoritusmuodossa kohdan 206 tarkis tus tehdäänkin SSGN:ssä, jolloin kohtaa 201 ei suoriteta, koska matkaviestimel- 11 110975 tä vastaanotettu paketti ei ole kapseloitu. Toisessa edullisessa suoritusmuodossa SGSN poimii kohdassa 202 TID:in sijasta TLLI:n ja NSAPI:n matkaviestimeltä vastaanottamastaan paketista. TLLI identifioi reititysalueella yksikäsit-* teisesti MS:n, ja siten IMSI:n. NSAPI identifioi sen PDP-kontekstin, jota mat- 5 kaviestin käytti tämän paketin kanssa. TLLI:tä ja NSAPI:ia käyttäen SGSN hakee PDP-kontekstin tiedot. Pakettiin liitetään TID (tai vastaava PDP-kontekstin identifioiva tieto) ja se kapseloidaan toisessa edullisessa suoritusmuodossa ennen kohtaa 207, eli paketin lähettämistä GGSN:lle.
Tulevaisuudessa voi olla, että yhteen PDP-kontekstiin tai vastaa-10 vaan yhteysmäärittelyyn voi liittyä pakettidataosoitteiden osoiteavaruus. Se voidaan muodostaa esimerkiksi luettelemalla sallitut pakettidataosoitteet. Tällöin riittää, että paketissa oleva lähdeosoite löytyy sallittujen joukosta. Vastaavasti tulevaisuudessa PDP-kontekstin tiedoissa sallittu pakettidataosoite voidaan yksilöidä osoitejoukkona (eli osoiteavaruutena) määrittelemällä osa salli-15 tusta pakettidataosoitteesta. Tällöin paketin lähdeosoitteen täytyy käsittää määritelty osa osoitteesta eli lähdeosoitteen tulee kuulua määriteltyyn osoite-joukkoon. Osoiteavaruus voidaan myös määritellä molempia edellä selitettyjä tapoja käyttäen. Osoiteavaruus voidaan määritellä myös jollain muulla tavalla.
Suoritusmuodoissa, joissa on määritelty useampia pakettidataosoi-20 tetyyppejä, joissa huijaaminen on mahdollista, tarkistetaan kohdassa 204, onko paketin käyttämä pakettidataosoite joku näistä. Ja jos on, jatketaan kohdasta 205 ja jos ei ole, siirrytään kohtaan 207.
Keksinnön eräissä edullisissa suoritusmuodoissa paketissa olevaa .· lähdeosoitetta verrataan aktivoituun pakettidataosoitteeseen riippumatta akti* 25 voidun pakettidataosoitteen tyypistä. Tällöin kohdan 204 tarkistusta ei suoriteta, vaan kaikille paketeille suoritetaan kohdan 206 tarkistus.
Kuviossa 2 esitettyjen kohtien järjestys voi poiketa edellä esitetystä ja kohdat voivat tapahtua rinnakkaisesti. Esimerkiksi kohta 204 voidaan suorittaa ennen kohtaa 201 ja kohta 203 rinnakkaisesti kohdan 205. Kohtien välissä : 30 voidaan suorittaa muita kohtia, joita ei ole esitetty kuviossa. Joissakin suoritusmuodoissa kohta 201 ja/tai kohta 204 voidaan jättää pois. Kohdassa 202 voidaan poimia TID:in sijasta joku muu PDP-kontekstin identifioiva tieto.
Esillä olevan keksinnön mukaisen toiminnallisuuden toteuttava tietoliikennejärjestelmä, -verkko ja verkkosolmu käsittävät tekniikan tason mukai-35 seen palvelujen toteutuksessa tarvittavien välineiden lisäksi välineitä paketissa olevan osoitteen vertaamiseksi paketin lähettäjälle aktivoituun eli sallittuun 12 110975 osoitteeseen/osoitteisiin. Nykyiset verkkosolmut käsittävät prosessoreita ja muistia, joita voidaan hyödyntää keksinnön mukaisissa toiminnoissa. Kaikki keksinnön toteuttamiseen tarvittavat muutokset voidaan suorittaa lisättyinä tai päivitettyinä ohjelmistorutiineina, ja/tai sovelluspiireillä (ASIC).
5 Vaikka edellä on esitetty, että verkon reunaelementti (SGSN tai GGSN) todentaa tilaajan, keksintöä ei kuitenkaan ole rajoitettu reunaelement-teihin. Joku muukin verkon solmu, jonne vertailussa tarpeellinen osoitetieto on tallennettu, voi suorittaa vertailun.
Edellä käytettyjen termien ‘pakettidataprotokolla’ (Packet Data 10 Protocol, PDP) tai ‘PDP konteksti’ tulisi ymmärtää viittaavan yleisesti johonkin tilaan päätelaitteessa (esimerkiksi matkaviestimessä) ja ainakin yhteen verkkoelementtiin tai toiminnallisuuteen, joka tila tuottaa päätelaitteen käyttämän verkon (esimerksiksi matkaviestinverkon) kautta datapaketin siirtotien eli tunnelin, jolla on määrätty joukko parametreja. Tässä käytetyn termin ‘solmu’ tulisi 15 ymmärtää viittaavan yleisesti johonkin verkkoelementtiin tai toiminnallisuuteen, joka käsittelee PDP-tunnelin kautta siirrettyjä datapaketteja.
On ymmärrettävä, että edellä oleva selitys ja siihen liittyvät kuviot on ainoastaan tarkoitettu havainnollistamaan esillä olevaa keksintöä. Alan am-20 mattilaiselle tulevat olemaan ilmeisiä erilaiset keksinnön variaatiot ja muunnelmat ilman, että poiketaan oheisissa patenttivaatimuksissa esitetyn keksinnön suojapiiristä ja hengestä.

Claims (12)

110975
1. Menetelmä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottami- 5 seksi ja edelleen lähettämiseksi, joka menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle paketti-dataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijär-10 jestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; tunnettu siitä, että tarkistetaan (206) mainitussa solmussa, onko paketin lähdeosoite 15 sama kuin pakettidataosoite; ja lähetetään (207) paketti solmusta kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
2. Menetelmä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yh- 20 den solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi, joka menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; 25 tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijär jestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; : tunnettu siitä, että 30 määritellään pakettidataosoite osoitejoukkona; tarkistetaan (206) mainitussa solmussa, kuuluuko paketin lähde-osoite osoitejoukkoon; ja lähetetään (207) paketti solmusta kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon. 110975
3. Patenttivaatimuksen 1tai 2 mukainen menetelmä, tunnettu siitä, että mainittu solmu on ensimmäisen alijärjestelmän yhdyskäytävätu-kisolmu, joka reitittää datapaketin päätelaitteelta toiseen alijärjestelmään.
4. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu 5 siitä, että mainittu solmu on matkaviestintä palveleva tukisolmu, joka reitittää päätelaitteelta vastaanotetun paketin ensimmäisessä alijärjestelmässä eteenpäin.
5. Jonkin edellä olevan vaatimuksen mukainen menetelmä, tunnettu siitä, että ensimmäinen alijärjestelmä on GTP-protokollaa käyttävä 10 pakettiradioverkko, jossa pakettidataosoite aktivoidaan aktivoimalla vastaava PDP-konteksti.
6. Jonkin edellä olevan vaatimuksen mukainen menetelmä, tunnettu siitä, että menetelmä käsittää lisäksi seuraavat askeleet: ylläpidetään mainitussa solmussa tietoa ensimmäisistä pakettidata- 15 osoitetyypeistä, joka tieto sisältää ainakin yhden pakettidataosoitetyypin, jolle mainittu tarkistus tehdään; ja suoritetaan mainittu tarkistus vain, jos pakettidataosoitteen tyyppi on ensimmäistä pakettidatasoitetyyppiä.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, 20 että ensimmäinen pakettidataosoitetyyppi sisältää ainakin Internet-protokollan mukaisen IP-osoitteen.
8. Pakettiverkon verkkosolmu (SGSN, GGSN) datapakettien välittämiseksi pakettiverkon päätelaitteelta (MS) vastaanottajalle (2,4), joka verkkosolmu (SGSN, GGSN) on järjestetty aktivoimaan päätelaitteelle ainakin yksi 25 pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pa-kettidataosoitteeseen, tunnettu siitä, että verkkosolmu (SGSN, GGSN) on järjestetty vasteena paketin vas-: 30 taanotolle vertaamaan paketissa olevaa lähdeosoitetta päätelaitteen käyttämään pakettidataosoitteeseen, ja lähettämään paketin verkkosolmusta paketissa olevaa kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
9. Pakettiverkon verkkosolmu (SGSN, GGSN) datapakettien välittämiseksi pakettiverkon päätelaitteelta (MS) vastaanottajalle (2,4), joka verk- 35 kosolmu (SGSN, GGSN) on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja 110975 liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pa-kettidataosoitteeseen, tunnettu siitä,että X pakettidataosoite on määritelty osoitejoukkona, ja 5 verkkosolmu (SGSN, GGSN) on järjestetty vasteena paketin vas taanotolle tarkistamaan, kuuluuko paketissa oleva lähdeosoite päätelaitteen käyttämän pakettidataosoitteen osoitejoukkoon, ja lähettämään paketin verkkosolmusta paketissa olevaa kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon.
10. Patenttivaatimuksen 8 tai 9 mukainen verkkosolmu, tunnet- t u siitä, että verkkosolmu (SGSN, GGSN) on järjestetty ylläpitämään tietoa ensimmäisistä pakettidataosoitetyypeistä, joille mainittu vertailu tehdään, ja suorittamaan vertailun ainoastaan, jos päätelaitteen käyttämä pakettidataosoite on ensimmäistä pakettidataosoitetyyppiä.
11. Patenttivaatimuksen 8, 9 tai 10 mukainen verkkosolmu, tun nettu siitä, että verkkosolmu on GTP-protokollaa käyttävän pakettiradiover-kon (GPRS) yhdyskäytäväsolmu (GGSN).
12. Patenttivaatimuksen 8, 9 tai 10 mukainen verkkosolmu, tunnettu siitä, että verkkosolmu on GTP-protokollaa käyttävän paketti rad iover- 20 kon (GPRS) päätelaitetta palveleva solmu (SGSN). 110975
FI992767A 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä FI110975B (fi)

Priority Applications (13)

Application Number Priority Date Filing Date Title
FI992767A FI110975B (fi) 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä
ES00987534T ES2258487T3 (es) 1999-12-22 2000-12-19 Prevencion de la simulacion de identidad en sistemas de telecomunicacion.
CNB008175918A CN100431296C (zh) 1999-12-22 2000-12-19 电信系统内的电子欺骗的预防方法
JP2001547792A JP2003518821A (ja) 1999-12-22 2000-12-19 テレコミュニケーションシステムにおけるなりすましの防止
DE60026373T DE60026373T2 (de) 1999-12-22 2000-12-19 Vermeidung der identitätsverfälschung in fernmeldesystemen
AT00987534T ATE319243T1 (de) 1999-12-22 2000-12-19 Vermeidung der identitätsverfälschung in fernmeldesystemen
PCT/FI2000/001114 WO2001047179A1 (en) 1999-12-22 2000-12-19 Prevention of spoofing in telecommunications systems
EP00987534A EP1240744B1 (en) 1999-12-22 2000-12-19 Prevention of spoofing in telecommunications systems
AU23783/01A AU2378301A (en) 1999-12-22 2000-12-19 Prevention of spoofing in telecommunications systems
CN200610094130A CN100581099C (zh) 1999-12-22 2000-12-19 电信系统内的电子欺骗的预防
US10/175,517 US7342926B2 (en) 1999-12-22 2002-06-20 Prevention of spoofing in telecommunications systems
JP2007179261A JP2007259507A (ja) 1999-12-22 2007-07-09 テレコミュニケーションシステムにおけるなりすましの防止
US11/853,657 US7801106B2 (en) 1999-12-22 2007-09-11 Prevention of spoofing in telecommunications system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992767A FI110975B (fi) 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä
FI992767 1999-12-22

Publications (2)

Publication Number Publication Date
FI19992767A FI19992767A (fi) 2001-06-23
FI110975B true FI110975B (fi) 2003-04-30

Family

ID=8555800

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992767A FI110975B (fi) 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä

Country Status (10)

Country Link
US (2) US7342926B2 (fi)
EP (1) EP1240744B1 (fi)
JP (2) JP2003518821A (fi)
CN (2) CN100431296C (fi)
AT (1) ATE319243T1 (fi)
AU (1) AU2378301A (fi)
DE (1) DE60026373T2 (fi)
ES (1) ES2258487T3 (fi)
FI (1) FI110975B (fi)
WO (1) WO2001047179A1 (fi)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6834308B1 (en) 2000-02-17 2004-12-21 Audible Magic Corporation Method and apparatus for identifying media content presented on a media playing device
US7562012B1 (en) 2000-11-03 2009-07-14 Audible Magic Corporation Method and apparatus for creating a unique audio signature
EP1490767B1 (en) 2001-04-05 2014-06-11 Audible Magic Corporation Copyright detection and protection system and method
US7529659B2 (en) 2005-09-28 2009-05-05 Audible Magic Corporation Method and apparatus for identifying an unknown work
US8972481B2 (en) 2001-07-20 2015-03-03 Audible Magic, Inc. Playlist generation method and apparatus
US20030126435A1 (en) * 2001-12-28 2003-07-03 Mizell Jerry L. Method, mobile telecommunication network, and node for authenticating an originator of a data transfer
US8432893B2 (en) * 2002-03-26 2013-04-30 Interdigital Technology Corporation RLAN wireless telecommunication system with RAN IP gateway and methods
TW574806B (en) * 2002-04-19 2004-02-01 Ind Tech Res Inst Packet delivery method of packet radio network
US7039404B2 (en) * 2002-06-27 2006-05-02 Intel Corporation Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents
US7724711B2 (en) * 2002-08-05 2010-05-25 Nokia Corporation Method of speeding up the registration procedure in a cellular network
EP1559237B1 (en) * 2002-11-06 2012-04-04 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Method and arrangement for preventing illegitimate use of ip addresses
USRE47253E1 (en) 2002-11-06 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of IP addresses
US8332326B2 (en) 2003-02-01 2012-12-11 Audible Magic Corporation Method and apparatus to identify a work received by a processing system
US7327746B1 (en) * 2003-08-08 2008-02-05 Cisco Technology, Inc. System and method for detecting and directing traffic in a network environment
DE102004004527B4 (de) * 2004-01-22 2006-04-20 Siemens Ag Verfahren zur Autorisationskontrolle einer Datenübertragung in einem Daten-Mobilfunknetz
US8126017B1 (en) * 2004-05-21 2012-02-28 At&T Intellectual Property Ii, L.P. Method for address translation in telecommunication features
US8130746B2 (en) * 2004-07-28 2012-03-06 Audible Magic Corporation System for distributing decoy content in a peer to peer network
KR100693046B1 (ko) * 2004-12-20 2007-03-12 삼성전자주식회사 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법
US7974395B2 (en) * 2005-09-28 2011-07-05 Avaya Inc. Detection of telephone number spoofing
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
KR100742362B1 (ko) * 2005-10-04 2007-07-25 엘지전자 주식회사 이동통신 네트워크에서 콘텐츠를 안전하게 송수신하기 위한 방법 및 장치
KR100737599B1 (ko) * 2005-11-04 2007-07-10 현대자동차주식회사 펌핑레버와 일체로 형성된 리클라이너 레버
DE102006006953A1 (de) * 2006-02-14 2007-08-23 T-Mobile International Ag & Co. Kg Verfahren zur Gewährleistung von Dienstgüte in paketvermittelnden Mobilfunknetzen
US8804729B1 (en) * 2006-02-16 2014-08-12 Marvell Israel (M.I.S.L.) Ltd. IPv4, IPv6, and ARP spoofing protection method
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
US8438653B2 (en) 2007-04-10 2013-05-07 Microsoft Corporation Strategies for controlling use of a resource that is shared between trusted and untrusted environments
US8006314B2 (en) 2007-07-27 2011-08-23 Audible Magic Corporation System for identifying content of digital data
US8326265B2 (en) * 2008-10-17 2012-12-04 Tekelec Netherlands Group, B.V. Methods, systems, and computer readable media for detection of an unauthorized service message in a network
ES2400166T3 (es) * 2008-10-20 2013-04-08 Koninklijke Kpn N.V. Protección de servicios en una red móvil contra la suplantación de CLI
WO2010105099A2 (en) * 2009-03-11 2010-09-16 Tekelec Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
WO2010105043A2 (en) 2009-03-11 2010-09-16 Tekelec Methods, systems, and computer readable media for short message service (sms) forwarding
US8199651B1 (en) 2009-03-16 2012-06-12 Audible Magic Corporation Method and system for modifying communication flows at a port level
CN101674312B (zh) * 2009-10-19 2012-12-19 中兴通讯股份有限公司 一种在网络传输中防止源地址欺骗的方法及装置
US9313238B2 (en) * 2011-12-26 2016-04-12 Vonage Network, Llc Systems and methods for communication setup via reconciliation of internet protocol addresses
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
US9081778B2 (en) 2012-09-25 2015-07-14 Audible Magic Corporation Using digital fingerprints to associate data with a work
US10148614B2 (en) * 2016-07-27 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for applying a subscriber based policy to a network service data flow
US10257591B2 (en) 2016-08-02 2019-04-09 Pindrop Security, Inc. Call classification through analysis of DTMF events
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10931668B2 (en) 2018-06-29 2021-02-23 Oracle International Corporation Methods, systems, and computer readable media for network node validation
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
US11356851B2 (en) 2019-12-03 2022-06-07 Harris Global Communications, Inc. Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
WO2021154600A1 (en) * 2020-01-27 2021-08-05 Pindrop Security, Inc. Robust spoofing detection system using deep residual neural networks
AU2021231850B2 (en) 2020-03-05 2023-08-03 Pindrop Security, Inc. Systems and methods of speaker-independent embedding for identification and verification from audio
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2056262A1 (en) 1990-12-31 1992-07-01 William L. Aranguren Intrusion detection apparatus for local area network
JP2708976B2 (ja) 1991-06-06 1998-02-04 株式会社日立製作所 学習テーブル管理方式
JP3106000B2 (ja) 1992-05-18 2000-11-06 三菱電機株式会社 セキュリティ方式
JPH0637752A (ja) 1992-07-15 1994-02-10 Nec Corp 端末アダプタ
ATE227059T1 (de) 1994-02-22 2002-11-15 Advanced Micro Devices Inc Verfahren zur überwachung von adressen in einem netz mit relaisstationen
JPH09186A (ja) 1995-06-16 1997-01-07 Makoto Suzuki 米飯食品包装シート及び包装米飯食品
JPH09172450A (ja) 1995-12-19 1997-06-30 Fujitsu Ltd アドレスセキュリティ制御方式
JP3594391B2 (ja) 1995-12-28 2004-11-24 富士通株式会社 Lan集線装置
JP3688464B2 (ja) * 1997-05-06 2005-08-31 株式会社東芝 端末装置、サーバ装置、通信装置および制御方法
JP3009876B2 (ja) * 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
JP3480798B2 (ja) 1997-09-03 2003-12-22 日本電信電話株式会社 通信管理方法及びその装置
US6608832B2 (en) * 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
FI106509B (fi) * 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
FI106511B (fi) * 1998-02-10 2001-02-15 Nokia Networks Oy Signalointikuormituksen vähentäminen pakettiradioverkossa
US6137785A (en) * 1998-03-17 2000-10-24 New Jersey Institute Of Technology Wireless mobile station receiver structure with smart antenna
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
JP3278615B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
JP3278616B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
US6754214B1 (en) * 1999-07-19 2004-06-22 Dunti, Llc Communication network having packetized security codes and a system for detecting security breach locations within the network
US6675225B1 (en) * 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
JP4360336B2 (ja) 2005-03-25 2009-11-11 日立電線株式会社 リン銅ろうクラッド材の製造方法

Also Published As

Publication number Publication date
DE60026373T2 (de) 2006-08-03
US20070297413A1 (en) 2007-12-27
CN1983922A (zh) 2007-06-20
EP1240744B1 (en) 2006-03-01
AU2378301A (en) 2001-07-03
ES2258487T3 (es) 2006-09-01
US20020181448A1 (en) 2002-12-05
WO2001047179A1 (en) 2001-06-28
US7342926B2 (en) 2008-03-11
CN1413399A (zh) 2003-04-23
US7801106B2 (en) 2010-09-21
DE60026373D1 (de) 2006-04-27
CN100431296C (zh) 2008-11-05
ATE319243T1 (de) 2006-03-15
JP2003518821A (ja) 2003-06-10
EP1240744A1 (en) 2002-09-18
JP2007259507A (ja) 2007-10-04
FI19992767A (fi) 2001-06-23
CN100581099C (zh) 2010-01-13

Similar Documents

Publication Publication Date Title
FI110975B (fi) Huijaamisen estäminen tietoliikennejärjestelmissä
EP1156626B1 (en) Mobile communication network, terminal equipment and packet communication control method
KR101262405B1 (ko) 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치
US6636491B1 (en) Access control method for a mobile communications system
JP4620050B2 (ja) パケットデータ通信
KR101073282B1 (ko) 사용자 평면 기반 위치 서비스(lcs) 시스템, 방법 및장치
ES2392037T3 (es) Pasarela de número de itinerancia IP
US7733824B2 (en) Fixed access point for a terminal device
RU2536374C2 (ru) Способ, устройство и система для обеспечения доступа к услуге мобильной станцией
US20050195780A1 (en) IP mobility in mobile telecommunications system
FI114001B (fi) Tiedonsiirtomenetelmä ja -järjestelmä
US20060126584A1 (en) Method for user equipment selection of a packet data gateway in a wireless local network
US20030081607A1 (en) General packet radio service tunneling protocol (GTP) packet filter
US20080153453A1 (en) Method for providing emergency service in WiMAX networks
US20040090941A1 (en) Dynamic re-routing of mobile node support in home servers
BRPI0806948B1 (pt) métodos para estabelecer uma chamada originada e uma chamada terminada em terminal móvel de uma estação móvel, e, centro de comutação móvel por pacote.
FI106503B (fi) IP-liikkuvuusmekanismi pakettiradioverkkoa varten
KR101117941B1 (ko) 무선 패킷 데이터 서비스 네트워크 내에서의 데이터 세션 재시도 메카니즘의 커스텀화
WO2002041649A2 (en) Paging coordination of packet and circuit switched messages in gprs
US8023503B2 (en) Multi-homing based mobile internet
FI109164B (fi) Pakettidataprotokollakontekstin aktivoiminen verkon pyynnöstä
US20030063581A1 (en) System, method and apparatus for seamless interaction between wireless local area network and wireless packet data network
FI110901B (fi) Toimistojärjestelmän sisäisten datayhteyksien järjestäminen
JP2008516554A (ja) ダイレクトルーティングを実施する方法及び装置
US20080318568A1 (en) Method and apparatus for determining home agent attached by mobile node

Legal Events

Date Code Title Description
MM Patent lapsed