FI110975B - Huijaamisen estäminen tietoliikennejärjestelmissä - Google Patents
Huijaamisen estäminen tietoliikennejärjestelmissä Download PDFInfo
- Publication number
- FI110975B FI110975B FI992767A FI19992767A FI110975B FI 110975 B FI110975 B FI 110975B FI 992767 A FI992767 A FI 992767A FI 19992767 A FI19992767 A FI 19992767A FI 110975 B FI110975 B FI 110975B
- Authority
- FI
- Finland
- Prior art keywords
- packet
- address
- node
- packet data
- terminal
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Description
110975
Huijaamisen estäminen tietoliikennejärjestelmissä
Keksinnön tausta
Keksintö liittyy huijaamisen estämiseen tietoliikennejärjestelmissä, jotka kykenevät siirtämään pakettidataa. Erityisesti keksintö liittyy matkaviesti-5 meitä lähetettyjen IP (Internet Protocol) -pakettien lähettäjätietojen huijaamisen estämiseen matkaviestinjärjestelmissä.
Matkaviestinjärjestelmät tarjoavat käyttäjälle liikkuvaa datansiirtoa varten tehokkaan liittymäverkon, joka antaa pääsyn varsinaisiin dataverkkoihin. Erityisen hyvin liikkuvaa datansiirtoa tukevat digitaaliset matkaviestinjär-10 jestelmät, kuten yleiseurooppalainen matkaviestinjärjestelmä GSM (Global System for Mobile Communication). Datalla tarkoitetaan tässä hakemuksessa mitä tahansa digitaalisessa tietoliikennejärjestelmässä välitettävää informaatiota. Tällainen informaatio voi käsittää digitaaliseen muotoon koodattua ääntä ja/tai kuvaa, tietokoneiden välistä dataliikennettä, telefaksidataa, lyhyitä ohjel-15 makoodin kappaleita jne. Matkaviestinjärjestelmä viittaa yleisesti mihin tahansa tietoliikennejärjestelmään, joka käyttää langatonta liikennöintiä, kun käyttäjät liikkuvat järjestelmän palvelualueen sisällä. Tyypillinen matkaviestinjärjestelmä on yleinen maanpäällinen matkaviestinverkko (PLMN, Public Land Mobile Network). Matkaviestinverkko on usein liityntäverkko (accessverkko), joka 20 tarjoaa käyttäjälle langattoman liitynnän ulkopuolisiin verkkoihin, isäntiin, tai palveluihin, joita erityiset palvelujen tuottajat tarjoavat.
Yksi päätavoitteista matkaviestinjärjestelmien kehittämisessä on ollut tarjota mahdollisuus IP -palvelujen käyttöön matkaviestinverkon välityksellä siten, että matkaviestinkin voi toimia isäntänä (host). Tämä on mahdollista 25 esimerkiksi yleisessä pakettiradiopalvelussa GPRS (General Packet Radio Service). GPRS on pakettidatasiirron liikkuvien datapäätelaitteiden ja ulkopuolisten dataverkkojen välillä tarjoava palvelu GSM-järjestelmässä (Global System for Mobile Communication). Lähettääkseen ja vastaanottaakseen GPRS-dataa matkaviestimen täytyy aktivoida pakettidataosoite, jota se haluaa käyt-. . 30 tää, pyytämällä PDP (Packet Data Protocol) -aktivointiproseduuria. Tämä ope- „ raatio tekee matkaviestimen tunnetuksi vastaavassa yhdyskäytävät kisolmus- sa ja yhteistoiminta ulkopuolisten dataverkkojen kanssa voi alkaa aktivoidulla pakettidataosoitteella. Vastaavanlaisia ratkaisuja ollaan myös suunnittelemassa niin sanottuihin kolmannen sukupolven matkaviestinjärjestelmiin, kuten 2 110975 UMTS (Universal Mobile Communications System) ja lMT-2000 (International Mobile Telecommunications 2000).
Erityisesti IP-verkoissa huijaaminen (spoofing) eli IP-datapaketin lähdeosoitteen väärentäminen on helppoa. Toisin sanoen isäntä, jolta IP-5 paketti lähtee, voi valehdella itsensä joksikin toiseksi ja lähettää vaikkapa A:n nimissä paketteja B:lle, joka lähettää vastauksen A:!le. Tällöin sekä A että B tulevat häirityksi. Eräänä ratkaisuna on palomuurien käyttö. Niissä käyttäjää ei kuitenkaan autentikoida, vaan tarkkaillaan pelkkiä lähde- ja kohdeosoitteita. Lähdeosoitteet kerrotaan yleensä palomuurissa aliverkon tarkkuudella eikä 10 palomuuri siten voi tietää paketin todellista lähettäjää, jolloin samassa aliverkossa olevat isännät voivat esiintyä toisinaan. Koska palomuurissa sallittujen lähdeosoitteiden tulee olla etukäteen tiedossa ja matkaviestimen on voitava liikkua yhden palomuurin alueelta toisen palomuurin alueelle vaihtamatta IP-osoitettaan, palomuurien sallitut lähdeosoitteet kattavat käytännössä kaikki ne 15 matkaviestimet, jotka voivat kytkeytyä palomuurin suojaamaan aliverkkoon. Niinpä ongelmana onkin, että IP-paketin lähdeosoitteeseen ei voida luottaa, vaan huijaamisen estämiseksi mobiili isäntä täytyy autentikoida erikseen. Erityisen tärkeää huijaamisen estäminen on isännältä laskutettavia IP-palveluita käytettäessä. Luotettava autentikointiproseduuri voi kuitenkin lisätä verkon 20 viivettä tai kuluttaa tarpeettomasti matkaviestinverkoissa rajallista resurssia eli ilmarajapintaa.
Keksinnön lyhyt selostus
Keksinnön tavoitteena on siten kehittää menetelmä ja menetelmän toteuttava laitteisto siten, että datapaketin vastaanottaja voi olla varma siitä, 25 että datapaketissa lähdeosoite kertoo paketin todellisen lähettäjän.
Keksinnön tavoitteet saavutetaan menetelmällä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi. Menetel-30 mä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijärjestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty 35 paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; tarkistetaan mainitussa 3 110975 solmussa, onko paketin lähdeosoite sama kuin pakettidataosoite; ja lähetetään paketti solmusta kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
Keksinnön kohteena on lisäksi menetelmä huijaamisen estämiseksi 5 tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi. Menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijär-10 jestelmän välillä: tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijärjestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät: vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; määritellään pakettidataosoite osoi-tejoukkona; tarkistetaan mainitussa solmussa, kuuluuko paketin lähdeosoite 15 osoitejoukkoon; ja lähetetään paketti solmusta kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon
Keksinnön kohteena on edelleen verkkosolmu datapakettien välittämiseksi pakettiverkon päätelaitteelta vastaanottajalle, joka verkkosolmu on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota 20 päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pakettidataosoitteeseen. Verkkosolmulle on tunnusomaista, että se on järjestetty vasteena paketin vastaanotolle vertaamaan paketissa olevaa lähdeosoitetta päätelaitteen käyttämään pakettidataosoitteeseen, ja lähettämään paketin verkkosolmusta pake-2b tissa olevaa kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
Keksinnön kohteena on lisäksi verkkosolmu datapakettien välittämiseksi pakettiverkon päätelaitteelta vastaanottajalle, joka verkkosolmu on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta 30 vastaanotetun paketin päätelaitteen käyttämään pakettidataosoitteeseen. Verkkosolmulle on tunnusomaista, että pakettidataosoite on määritelty osoitejoukkona, ja verkkosolmu on järjestetty vasteena paketin vastaanotolle tarkistamaan, kuuluuko paketissa oleva lähdeosoite päätelaitteen käyttämän pakettidataosoitteen osoitejoukkoon, ja lähettämään paketin verkkosolmusta 35 paketissa olevaa kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon.
4 110975
Keksintö perustuu siihen, että datapakettien välittämiseksi aktivoidun pakettidataosoitteen ansiosta esimerkiksi yhdyskäytävätukisolmu GGSN tietää datapaketin lähettäneen matkaviestimen pakettidataosoitteen, joten yhdyskäytävätukisolmun GGSN:n täytyy vain verrata datapaketissa ole-5 vaa lähdeosoitetta matkaviestimen käyttämään pakettidataosoitteeseen. Jos ne ovat samat, ei osoitetta ole väärennetty ja paketti voidaan toimittaa edelleen kohdeosoitteeseen.
Keksinnön etuna on se, että se on erittäin yksinkertainen toteuttaa, ja silti sen avulla pystytään estämään huijaaminen. Esimerkiksi IP-paketin vas-10 taanottaja voi luottaa siihen, että IP-paketin lähdeosoite todentaa IP-paketin lähettäjän. Mitään ylimääräistä autentikointimekanismia ei tarvita, joten verkkoa ei kuormiteta ja viive on minimoitu. Lisäksi keksintö helpottaa laskutettavien palveluiden rakentamista, koska palvelun tuottaja voi luottaa siihen, että datapaketissa oleva lähdeosoite ilmaisee laskutettavan käyttäjän.
15 Keksinnön eräässä edullisessa suoritusmuodossa vertailu tehdään yhdyskäytävätukisolmussa. Tämän suoritusmuodon etuna on lisäksi se, että vertailumekanismi täytyy lisätä elementteihin, joita verkossa ei ole kovin monta.
Keksinnön eräässä toisessa edullisessa suoritusmuodossa vertailu 20 tehdään matkaviestintä palvelevassa pakettiradioverkon reunasolmussa. Tämän suoritusmuodon etuna on se, että pakettiradioverkkoa ei kuormiteta välittämällä siinä paketteja, joita ei kuitenkaan toimiteta perille.
Keksinnön eräässä edullisessa suoritusmuodossa vertailu tehdään vain niille paketeille, joiden käyttämä pakettidataprotokolla mahdollistaa hui-2b jäämisen eli lähdeosoitteen väärentämisen. Tämän suoritusmuodon etuna on lisäksi se, että vertailua ei tehdä turhaan niille paketeille, joissa lähdeosoitetta ei voi väärentää.
Keksinnön mukaisen menetelmän ja verkkosolmun edulliset suoritusmuodot ilmenevät oheisista epäitsenäisistä patenttivaatimuksista.
30 Kuvioiden lyhyt selostus
Keksintöä selostetaan nyt lähemmin edullisten suoritusmuotojen yhteydessä, viitaten oheisiin kuvioihin, joista
Kuvio 1 esittää lohkokaavion GPRS-palvelun verkkoarkkitehtuurista; ja 35 Kuvio 2 on vuokaavio keksinnön mukaisesta toiminnasta.
5 110975
Keksinnön yksityiskohtainen selostus
Esillä olevaa keksintöä voidaan soveltaa minkä tahansa pakettivälitteisen järjestelmän yhteydessä, jossa yksilöllinen pakettidataosoite aktivoidaan GPRS-tyyppisesti ennen kuin sitä voidaan käyttää ja jonka järjestelmän verk- « 5 koinfrastruktuurissa säilytetään tietoa käyttäjän aktiivisesta pakettidataosoit-teesta. Tällaisia ovat mm. ns. kolmannen sukupolven matkaviestinjärjestelmät Universal Mobile Telecommunications System (UMTS) ja IMT-2000 (International Mobile Telecommunications 2000) sekä GSM-järjestelmää vastaavat matkaviestinjärjestelmät, kuten DCS 1800 (Digital Cellular System for 188 10 MHz) ja PCS (Personal Communication System) sekä em. järjestelmiin perustuvat WLL-järjestelmät, jotka toteuttavat GPRS-tyyppisen pakettiradion. Keksintöä voidaan soveltaa myös muissa kuin matkaviestinjärjestelmissä, kuten esimerkiksi kaapelimodeemi-verkoissa tai muissa vastaavissa kiinteissä järjestelmissä. Keksintöä selostetaan seuraavassa käyttäen esimerkkijärjestelmänä 15 GSM-järjestelmän GPRS-palvelua keksintöä kuitenkaan tällaiseen tiettyyn järjestelmään rajaamatta. Matkaviestinjärjestelmien määritykset kehittyvät nopeasti. Tällainen kehitys voi vaatia keksintöön ylimääräisiä muutoksia. Sen vuoksi kaikki sanat ja ilmaisut tulisi tulkita laajasti ja ne on tarkoitettu kuvaamaan eikä rajoittamaan keksintöä.
20 Kuviossa 1 on esitetty GPRS-palvelun verkkoarkkitehtuuri karkealla tasolla, koska verkon yksityiskohtaisemmalla rakenteella ei ole keksinnön kannalta olennaista merkitystä. GSM-järjestelmän rakenne ja toiminta ovat alan ammattimiehen hyvin tuntemia. GPRS-palvelun rakennetta on määritelty esimerkiksi ETSknspesifikaatiossa GSM 03.60 version 6.0.0 (Digital cellular '25 telecommunications system (Phase 2+); General Packet Radio Service (GPRS); Service description; Stage 2), joka lisätään hakemukseen viittauksena. GPRS-palvelu käsittää radiopääsyn tarjoavan liityntäverkon, joka kuvion 1 esimerkissä on GSM-järjestelmän tukiasema-alijärjestelmä BSS (Base Station Subsystem), sekä reunasolmuina GRPS-palvelun tukisolmut datan siirtämi-30 seksi pakettivälitteisesti pakettidataverkon PDN ja matkaviestimen MS välillä. Tukisolmuja ovat palveleva GPRS-tukisolmu SGSN (Serving GPRS Support Node) ja GPRS-yhdyskäytävätukisolmu GGSN (Gateway GPRS Support No-« de). Nämä erilaiset tukisolmut SGSN ja GGSN on kytketty toisiinsa runko verkolla 1 (backbone). On huomattavaa, että on myös mahdollista yhdistää 35 SGSN- ja GGSN-toiminnallisuudet fyysisesti samaan verkkosolmuun, jolloin 6 110975 operaattorin runkoverkkoa ei tarvita. Loogisesti solmut kuitenkin ovat eri solmuja.
Palveleva GPRS-tukisolmu SGSN on solmu, joka palvelee matkaviestintä MS. Jokainen tukisolmu SGSN tuottaa pakettidatapalvelua liikkuville 5 datapäätelaitteille eli matkaviestimille MS yhden tai useamman solun alueella solukkotyyppisessä pakettiradioverkossa. Tätä varten jokainen tukisolmu SGSN on tyypillisesti kytketty GSM-matka-viestinverkkoon (tyypillisesti tukiasemaohjaimeen tukiasemajärjestelmässä BSS) niin että välissä oleva matkaviestinverkko tuottaa radioliitynnän ja pakettikytketyn datasiirron SGSN:n ja 10 matkaviestimien välillä. Toisin sanoen solussa oleva matkaviestin MS kommunikoi radiorajapinnan yli tukiaseman kanssa ja edelleen tukiasema-alijärjestelmän läpi sen tukisolmun SGSN kanssa, jonka palvelualueeseen solu kuuluu. SGSN-solmun päätoiminnot ovat havaita uudet GPRS-matkaviestimet palvelualueellaan, hoitaa uusien matkaviestinten MS rekiste-15 röintiprosessi yhdessä GPRS-rekistereiden kanssa, lähettää datapaketteja GPRS-matkaviestimelle MS tai vastaanottaa niitä siltä, sekä pitää tiedostoa matkaviestinten MS sijainnista sen palvelualueen sisäpuolella. SGSN suorittaa siten turvatoiminnot ja pääsyn kontrolloinnin eli mm. autentikointi- ja salaus-proseduurit. SGSN reitittää matkaviestimeltä vastaanotetun paketin uniikkia 20 tunnelia käyttäen kapseloituna GPRS-runkoverkon yli sille GGSN-solmulle, jonne pakettidataosoite on aktivoitu.
GPRS-yhdyskäytävätukisolmut GGSN kytkevät operaattorin GPRS-verkon ulkopuolisiin järjestelmiin, kuten muiden operaattoreiden GPRS-järjestelmiin, dataverkkoihin, kuten IP-verkkoon (Internet) tai X.25-verkkoon, ja ‘ 25 palvelimiin 2. GGSN voi olla myös kytketty suoraan yksityiseen yritysverkkoon tai isäntään. Kuvion 1 esimerkissä GGSN on kytketty palvelimiin 2 luotettavan IP-verkon 3 välityksellä ja yleiseen Internetiin 4 palomuurin FW välityksellä. GGSN sisältää GPRS-tilaajien PDP-osoitteet ja reititysinformaation, ts. SGSN-osoitteet. GGSN päivittää sijaintitiedoston käyttäen reititysinformaatiota, jonka 30 SGSN-solmut tuottavat matkaviestimen MS reitistä. GGSN toimii reitittimenä ulkoisen osoitteen ja sisäisen reititystiedon (esim SGSN) välillä. Toisin sanoen GGSN reitittää ulkopuolisen dataverkon protokollapaketin kapseloituna GPRS-runkoverkon yli SGSN-solmulle, joka sillä hetkellä palvelee matkaviestintä MS.
Se myös purkaa matkaviestimeltä lähetetyn paketin kapseloinnin ja välittää 35 ulkoisen dataverkon paketit asianomaiseen dataverkkoon. GGSN voi myös 7 110975 välittää paketteja matkaviestimeltä matkaviestimelle verkon sisällä. Lisäksi GGSN hoitaa dataliikenteen laskutuksen.
Matkaviestin MS voi olla mikä tahansa pakettidatasiirtoa tukeva liikkuva solmu, jolla on radiorajapinta verkkoon. Se voi esimerkiksi olla laptop-’ 5 tietokone PC, joka on kytketty pakettiradiotoimintaan kykenevään solukkopu- helimeen tai pienen tietokoneen ja pakettiradiopuhelimen integroitu yhdistelmä. Matkaviestimen MS vielä muita suoritusmuotoja ovat erilaiset hakulaitteet, kauko-ohjaus, valvonta ja/tai datankeräyslaitteet, jne. Matkaviestimestä voidaan käyttää myös nimitystä liikkuva solmu tai liikkuva isäntä.
10 Päästäkseen GPRS-palveluihin matkaviestimen MS täytyy ensin tehdä läsnäolonsa tunnetuksi verkolle suorittamalla GPRS attach -operaatio. Tämä operaatio muodostaa loogisen linkin matkaviestimen MS ja SGSN-solmun välille ja saa aikaan sen, että GPRS:n yli tuleva lyhytsanoma tai muu vastaava yhteydettömästi toimitetta sanoma, SGSN-solmun kautta tuleva haku 15 sekä ilmoitus tulevasta GPRS-datasta voi saavuttaa matkaviestimen MS. Tarkemmin sanottuna, kun MS liittyy GPRS-verkkoon, ts. GPRS attach -proseduurissa, SGSN luo liikkuvuudenhallintakontekstin (MM-konteksti) ja matkaviestimen MS ja SGSN-solmun välille muodostetaan looginen linkki LLC (Logical Link Control) protokollakerroksessa. MM-konteksti tallennetaan 20 SGSN-solmussa ja matkaviestimessä MS. SGSN-solmun MM-konteksti voi sisältää tilaajatietoja, kuten tilaajan IMSI, TLLI (Temporary Logical Link Identifier) sekä sijainti- ja reititysinformaatiota, jne.
Lähettääkseen ja vastaanottaakseen GPRS-dataa matkaviestimen MS täytyy aktivoida PDP-osoite eli pakettidataosoite, jota se haluaa käyttää, 25 pyytämällä PDP-aktivointiproseduuria. PDP-kontekstin aktivointi voi tapahtua matkaviestimen kirjoittautuessa (attach) GPRS-verkkoon. Vaihtoehtoisesti matkaviestin voi PDP-kontekstin myöhemmin tai aktivointi voi tapahtua GPRS -verkolta vastaanotetun aktivointipyynnön seurauksena (GRPS network requested PDP context activation).GPRS liittymä sisältää yhden tai useamman .30 yksilöllisen PDP-kontekstin, jolla kuvataan pakettidataosoitetta ja siihen liittyviä parametreja. Tarkemmin sanottuna PDP-konteksti määrittää erilaisia datansiir-toparametreja, kuten PDP-tyyppi (esimerkiksi X.25 tai IP), PDP-osoite (esi-, merkiksi IP-osoite), palvelun laatu QoS (quality of service) ja NSAPI (Network
Service Access Point Identifier). Yhdellä matkaviestimellä voi olla myös useita 35 saman tyyppisiä PDP-osoitteita, esimerkiksi eri IP-osoitteita PDP-osoitteina (eli matkaviestimellä on useita IP-tyyppisiä konteksteja). Esimerkiksi eri IP- 8 110975 osoitteita eli konteksteja voidaan käyttää IP-protokollalla välitettäviin eri tasoisiin ja eri hintaisiin palveluihin. PDP-kontekstin pakettidataosoite on joko pysyvä (eli kotirekisterin tilaajatiedoissa määritelty) tai dynaaminen, jolloin GGSN allokoi pakettidataosoitteen PDP-aktivointiproseduurin aikana. PDP-5 aktivointiproseduuri aktivoi PDP-kontekstin ja tekee matkaviestimen MS tunnetuksi vastaavassa GGSN-solmussa, jolloin yhteistoiminta ulkopuolisten dataverkkojen kanssa voi alkaa. PDP-kontekstin aktivoinnin aikana PDP-konteksti luodaan matkaviestimessä MS sekä GGSN- ja SGSN-solmuissa. PDP-kontekstia aktivoitaessa käyttäjä autentikoidaan GSM-proseduureja käyttäen, 10 joten kontekstin aktivoinnissa terminaalille annettu pakettidataosoite, esimerkiksi IP-osoite, voidaan luotettavasti liittää käyttäjän identifiointitunnukseen, esimerkiksi IMSkiin (International Mobile Subscriber Identity).
PDP-konteksti luodaan ja paketit tunneloidaan käyttämällä GTP-protokollaa (GPRS Tunneling Protocol). Matkaviestin MS aktivoi PDP-15 kontekstin erityisellä sanomalla, Activate PDP Context Request, jossa se antaa informaationa TLLI:n, PDP-tyypin, mahdollisesti PDP-osoitteen, pyydetyn QoS:in ja NSAPI:n, ja optionaalisesti accesspisteen nimen APN (access point name). SGSN lähettää create PDP context -sanoman GGSN-solmulle, joka luo PDP-kontekstin ja lähettää sen SGSN-solmulle. Jos Activate PDP Context 20 Request -sanoma (ja siten create PDP context -sanoma) ei sisältänyt PDP-osoitetta, allokoi GGSN PDP-osoitteen PDP kontekstin luonnin aikana ja sisällyttää dynaamisen PDP-osoitteen SGSNrlle lähetettävään PDP-kontekstiin. SGSN lähettää PDP-kontekstin matkaviestimelle MS activate PDP context response -sanomassa. PDP-konteksti tallennetaan matkaviestimessä MS, 25 SGSN-solmussa ja GGSN-solmussa. Kukin PDP-konteksti tallennetaan palvelevassa SGSN-solmussa yhdessä MM-kontekstin kanssa. Kun MS vaeltaa uuden SGSN-solmun alueelle, uusi SGSN pyytää MM-kontekstin ja PDP-kontekstit vanhalta SGSN-solmulta.
PDP-kontekstin aktivointiproseduurissa muodostetaan siten matka-30 viestimen MS ja GGSN-solmun välille virtuaalinen yhteys tai linkki. Samalla . . syntyy uniikki tunneli GGSN:n ja SGSN:n välille tätä PDP-kontekstia ja paket-tidataosoitetta varten. Tunneli on reitti, jota IP-datapaketti seuraa ja jonka avulla matkaviestimeltä lähtenyt paketti liitetään GGSN:ssä tiettyyn PDP-kontekstiin ja siten tiettyyn pakettidataosoitteeseen. Toisin sanoen tunnelin 35 avulla tunnistetaan se pakettidataosoite, jota matkaviestin käytti lähettäessään paketin. GTP-protokollaa käytettäessä paketti liitetään GGSNissä tiettyyn 9 110975 PDP-kontekstiin joko tunnelin tunnisteen TID (Tunnel Identifier) tai tunnelin loppupään tunnisteen avulla. Tunnelin tunniste muodostuu NSAPhsta ja IM-' Sl:stä. PDP-kontekstin aktivointiproseduurin aikana GGSN voi myös allokoida tunnelin loppupään tunnisteen käytettäväksi paketin PDP-kontekstin osoitta-' 5 miseen.
Kuviossa 2 esitetään vuokaavio keksinnön ensimmäisen edullisen suoritusmuodon mukaisesta toiminnasta yhdyskäytävätukisolmussa GGSN. Keksinnön ensimmäisessä edullisessa suoritusmuodossa paketissa olevaa lähdeosoitetta verrataan aktivoituun pakettidataosoitteeseen vain niissä PDP-10 konteksteissa, joiden tyyppi on sellainen, että huijaaminen on mahdollista. Tällaisia ovat esimerkiksi IP-tyyppiset kontekstit ja pakettidataosoitteet. Nämä tyypit (tai tyyppi) määritellään vertailun tekevään solmuun. Kuvion 2 esimerkissä oletetaan, että vain IP-osoitteilla pystyy huijaamaan, muilla mahdollisilla pa-kettidataosoitetyypeillä huijaaminen ei onnistu. Lisäksi oletetaan, että matkavies-15 tin on aktivoinut käyttämänsä PDP-kontekstin eli ottanut käyttöönsä esimerkiksi IP-osoitteen ja lähettää IP-paketin esimerkiksi kuviossa 1 esitetylle palvelimelle 1 tai yleiseen Internetiin 4. Edelleen oletetaan, että tunnelin identifiointiin käytetään tunnelin tunnistetta TID.
Viitaten kuvioon 2 kohdassa 200 GGSN vastaanottaa uniikkia tunne-20 lia käyttävän paketin, purkaa kohdassa 201 sen kapseloinnin ja poimii kohdassa 202 tunnelin tunnisteen TID. Sen avulla GGSN hakee kohdassa 203 vastaavan PDP-kontekstin tiedot. Nämä tiedot sisältävät PDP-kontekstissa olevan datapaketti- eli PDP-osoitteen, joka tässä esimerkissä on IP-osoite. Sen jälkeen GGSN tarkistaa kohdassa 204, oliko tunnelia vastaava PDP-konteksti (eli pakettidata-; 25 osoite) IP-tyyppinen. Jos oli, GGSN poimii kohdassa 205 paketin otsakkeessa olevan lähdeosoitteen. Kun GGSN tietää molemmat osoitteet, vertaa se niitä kohdassa 206 keskenään. Jos lähdeosoite on sama kuin PDP-kontekstin PDP-osoite, matkaviestin on se, mitä IP-paketissa väittää olevansa, joten GGSN lähettää paketin kohdassa 207 eteenpäin. Jos lähdeosoite poikkeaa PDP-30 osoitteesta, yrittää matkaviestin tekeytyä joksikin muuksi, minkä vuoksi GGSN : hylkää paketin kohdassa 208. Hylkäämisellä tarkoitetaan tässä sitä, että pakettia ei lähetetä kohdeosoitteeseen.
Se, mitä paketille hylkäämisen jälkeen tapahtuu, riippuu operaattorin määrittelyistä ja on irrelevanttia keksinnön kannalta. Esimerkiksi käyttäjälle ja 35 päätelaiteelle voidaan ilmoittaa ohjaustason signaloinnilla siitä, että lähdeosoite ei ole se, mikä sen pitäisi olla. GGSN voi myös lähettää hälytyssignaalin ope- 110975 10 raattorin verkon toiminta- ja ylläpitokeskukseen (O&M centre). On myös mahdollista tehdä virhelokitiedostoon merkintä, joka sisältää PDP-kontekstin tiedot ja paketin tiedot. Virhelokitiedostoon voidaan myös kirjoittaa hylätyn paketin sisältö. Lisäksi vielä eräänä mahdollisuutena ilmoittaa käyttäjälle ja terminaalille 5 virheellisestä lähdeosoitteesta on sen PDP-kontekstin deaktivointi, jota käytettiin vilpillisen paketin lähettämiseen. PDP-konteksti deaktivoidaan GGSN:ssä, SGSN:ssä ja MS:ssä esimerkiksi siten, että GGSN pyytää SGSN:ää deaktivoimaan PDP-kontekstin (tai jos SGSN hylkäsi paketin, SGSN lähettää deaktivointipyynnön GGSN:lle) ja SGSN pyytää MS:ää deaktivoimaan 10 PDP-kontekstin. Nämä deaktivointisanomat sisältävät edullisesti syykoodina spesifisen deaktivointikoodin, joka osoittaa, että MS tai sen kanssa yhteistoiminnassa oleva sovellus on käyttänyt virheellistä tai vilpillistä lähdeosoitetta. Tämä spesifinen syykoodi aikaansaa sen, että käyttäjälle ilmoitetaan yrityksestä käyttää virheellistä lähdeosoitetta. Perussyy tälle 15 ilmoitukselle on että joko käyttäjää koetetaan estää tekemästä vilppiä tai käyttäjälle ilmoitetaan virheellisiä lähdeosoitteita käyttävästä sovelluksesta. Ilmoitus käyttäjälle on edullisesti tekstiviesti tai sanomaikkuna joka identifioi sen sovelluksen, joka yrittää lähettää dataa virheellisellä osoitteella. Edellä kuvatut toimenpiteet voidaan tehdä vasta sen jälkeen, kun vilpillisiä paketteja 20 on hylätty ennalta määritelty määrä. Kun MS:!le ilmoitetaan virheellisen lähdeosoitteen käytöstä, sanoma, jonka esimerkiksi GGSN lähettää MS:lle ja/tai operaattorin verkon toiminta- ja ylläpitokeskukseen voi edullisesti kuljettaa jotain tietoa virheellisen lähdeosoitteen paketin ylemmän kerroksen protokollan (esimerkiksi TCP tai UDP) otsakkeista. Tämä helpottaa vilpillisen ?5 sovelluksen ja vilpillisen toiminnan löytämistä. Sanomat voivat jopa sisältää väärän osoitteen takia hylätyn paketin (tai pakettien) koko sisällön. Hylättyjen pakettien virta voidaan jopa ohjata ulkoiselle solmulle (kuten operaattorin verkon toiminta- ja ylläpitokeskukseen).
Jos kohdassa 204 havaitaan, että PDP-konteksti ei ollut IP-tyyppinen, : 30 siirtyy GGSN suoraan kohtaan 207 ja lähettää paketin eteenpäin.
Kohdan 206 tarkistuksella varmistutaan siitä, että GGSN välittää eteenpäin ulkoisiin verkkoihin vain niitä paketteja, joiden lähettäjä ei ole yrittänyt tekeytyä joksikin muuksi. Keksinnön mukaiseen lähettäjän todentamiseen riittää siten yksinkertainen tarkistus eikä mitään erillistä autentikointisignalointia tarvita.
35 Keksinnön toisessa edullisessa suoritusmuodossa kohdan 206 tarkis tus tehdäänkin SSGN:ssä, jolloin kohtaa 201 ei suoriteta, koska matkaviestimel- 11 110975 tä vastaanotettu paketti ei ole kapseloitu. Toisessa edullisessa suoritusmuodossa SGSN poimii kohdassa 202 TID:in sijasta TLLI:n ja NSAPI:n matkaviestimeltä vastaanottamastaan paketista. TLLI identifioi reititysalueella yksikäsit-* teisesti MS:n, ja siten IMSI:n. NSAPI identifioi sen PDP-kontekstin, jota mat- 5 kaviestin käytti tämän paketin kanssa. TLLI:tä ja NSAPI:ia käyttäen SGSN hakee PDP-kontekstin tiedot. Pakettiin liitetään TID (tai vastaava PDP-kontekstin identifioiva tieto) ja se kapseloidaan toisessa edullisessa suoritusmuodossa ennen kohtaa 207, eli paketin lähettämistä GGSN:lle.
Tulevaisuudessa voi olla, että yhteen PDP-kontekstiin tai vastaa-10 vaan yhteysmäärittelyyn voi liittyä pakettidataosoitteiden osoiteavaruus. Se voidaan muodostaa esimerkiksi luettelemalla sallitut pakettidataosoitteet. Tällöin riittää, että paketissa oleva lähdeosoite löytyy sallittujen joukosta. Vastaavasti tulevaisuudessa PDP-kontekstin tiedoissa sallittu pakettidataosoite voidaan yksilöidä osoitejoukkona (eli osoiteavaruutena) määrittelemällä osa salli-15 tusta pakettidataosoitteesta. Tällöin paketin lähdeosoitteen täytyy käsittää määritelty osa osoitteesta eli lähdeosoitteen tulee kuulua määriteltyyn osoite-joukkoon. Osoiteavaruus voidaan myös määritellä molempia edellä selitettyjä tapoja käyttäen. Osoiteavaruus voidaan määritellä myös jollain muulla tavalla.
Suoritusmuodoissa, joissa on määritelty useampia pakettidataosoi-20 tetyyppejä, joissa huijaaminen on mahdollista, tarkistetaan kohdassa 204, onko paketin käyttämä pakettidataosoite joku näistä. Ja jos on, jatketaan kohdasta 205 ja jos ei ole, siirrytään kohtaan 207.
Keksinnön eräissä edullisissa suoritusmuodoissa paketissa olevaa .· lähdeosoitetta verrataan aktivoituun pakettidataosoitteeseen riippumatta akti* 25 voidun pakettidataosoitteen tyypistä. Tällöin kohdan 204 tarkistusta ei suoriteta, vaan kaikille paketeille suoritetaan kohdan 206 tarkistus.
Kuviossa 2 esitettyjen kohtien järjestys voi poiketa edellä esitetystä ja kohdat voivat tapahtua rinnakkaisesti. Esimerkiksi kohta 204 voidaan suorittaa ennen kohtaa 201 ja kohta 203 rinnakkaisesti kohdan 205. Kohtien välissä : 30 voidaan suorittaa muita kohtia, joita ei ole esitetty kuviossa. Joissakin suoritusmuodoissa kohta 201 ja/tai kohta 204 voidaan jättää pois. Kohdassa 202 voidaan poimia TID:in sijasta joku muu PDP-kontekstin identifioiva tieto.
Esillä olevan keksinnön mukaisen toiminnallisuuden toteuttava tietoliikennejärjestelmä, -verkko ja verkkosolmu käsittävät tekniikan tason mukai-35 seen palvelujen toteutuksessa tarvittavien välineiden lisäksi välineitä paketissa olevan osoitteen vertaamiseksi paketin lähettäjälle aktivoituun eli sallittuun 12 110975 osoitteeseen/osoitteisiin. Nykyiset verkkosolmut käsittävät prosessoreita ja muistia, joita voidaan hyödyntää keksinnön mukaisissa toiminnoissa. Kaikki keksinnön toteuttamiseen tarvittavat muutokset voidaan suorittaa lisättyinä tai päivitettyinä ohjelmistorutiineina, ja/tai sovelluspiireillä (ASIC).
5 Vaikka edellä on esitetty, että verkon reunaelementti (SGSN tai GGSN) todentaa tilaajan, keksintöä ei kuitenkaan ole rajoitettu reunaelement-teihin. Joku muukin verkon solmu, jonne vertailussa tarpeellinen osoitetieto on tallennettu, voi suorittaa vertailun.
Edellä käytettyjen termien ‘pakettidataprotokolla’ (Packet Data 10 Protocol, PDP) tai ‘PDP konteksti’ tulisi ymmärtää viittaavan yleisesti johonkin tilaan päätelaitteessa (esimerkiksi matkaviestimessä) ja ainakin yhteen verkkoelementtiin tai toiminnallisuuteen, joka tila tuottaa päätelaitteen käyttämän verkon (esimerksiksi matkaviestinverkon) kautta datapaketin siirtotien eli tunnelin, jolla on määrätty joukko parametreja. Tässä käytetyn termin ‘solmu’ tulisi 15 ymmärtää viittaavan yleisesti johonkin verkkoelementtiin tai toiminnallisuuteen, joka käsittelee PDP-tunnelin kautta siirrettyjä datapaketteja.
On ymmärrettävä, että edellä oleva selitys ja siihen liittyvät kuviot on ainoastaan tarkoitettu havainnollistamaan esillä olevaa keksintöä. Alan am-20 mattilaiselle tulevat olemaan ilmeisiä erilaiset keksinnön variaatiot ja muunnelmat ilman, että poiketaan oheisissa patenttivaatimuksissa esitetyn keksinnön suojapiiristä ja hengestä.
Claims (12)
1. Menetelmä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yhden solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottami- 5 seksi ja edelleen lähettämiseksi, joka menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle paketti-dataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijär-10 jestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; tunnettu siitä, että tarkistetaan (206) mainitussa solmussa, onko paketin lähdeosoite 15 sama kuin pakettidataosoite; ja lähetetään (207) paketti solmusta kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
2. Menetelmä huijaamisen estämiseksi tietoliikennejärjestelmässä, joka käsittää datapaketteja lähettämään pystyvän päätelaitteen ja ainakin yh- 20 den solmun ensimmäisessä alijärjestelmässä datapakettien vastaanottamiseksi ja edelleen lähettämiseksi, joka menetelmä käsittää seuraavat askeleet: aktivoidaan ensimmäisessä alijärjestelmässä päätelaitteelle pakettidataosoite datapakettien välittämiseksi päätelaitteen ja toisen alijärjestelmän välillä; 25 tallennetaan pakettidataosoite ainakin yhteen ensimmäisen alijär jestelmän solmuun, jonka kautta pakettidataosoitteen datapaketit reitittyvät; vastaanotetaan mainitussa solmussa päätelaitteelta lähetetty paketti, joka käsittää kohdeosoitteen ja lähdeosoitteen; : tunnettu siitä, että 30 määritellään pakettidataosoite osoitejoukkona; tarkistetaan (206) mainitussa solmussa, kuuluuko paketin lähde-osoite osoitejoukkoon; ja lähetetään (207) paketti solmusta kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon. 110975
3. Patenttivaatimuksen 1tai 2 mukainen menetelmä, tunnettu siitä, että mainittu solmu on ensimmäisen alijärjestelmän yhdyskäytävätu-kisolmu, joka reitittää datapaketin päätelaitteelta toiseen alijärjestelmään.
4. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu 5 siitä, että mainittu solmu on matkaviestintä palveleva tukisolmu, joka reitittää päätelaitteelta vastaanotetun paketin ensimmäisessä alijärjestelmässä eteenpäin.
5. Jonkin edellä olevan vaatimuksen mukainen menetelmä, tunnettu siitä, että ensimmäinen alijärjestelmä on GTP-protokollaa käyttävä 10 pakettiradioverkko, jossa pakettidataosoite aktivoidaan aktivoimalla vastaava PDP-konteksti.
6. Jonkin edellä olevan vaatimuksen mukainen menetelmä, tunnettu siitä, että menetelmä käsittää lisäksi seuraavat askeleet: ylläpidetään mainitussa solmussa tietoa ensimmäisistä pakettidata- 15 osoitetyypeistä, joka tieto sisältää ainakin yhden pakettidataosoitetyypin, jolle mainittu tarkistus tehdään; ja suoritetaan mainittu tarkistus vain, jos pakettidataosoitteen tyyppi on ensimmäistä pakettidatasoitetyyppiä.
7. Patenttivaatimuksen 6 mukainen menetelmä, tunnettu siitä, 20 että ensimmäinen pakettidataosoitetyyppi sisältää ainakin Internet-protokollan mukaisen IP-osoitteen.
8. Pakettiverkon verkkosolmu (SGSN, GGSN) datapakettien välittämiseksi pakettiverkon päätelaitteelta (MS) vastaanottajalle (2,4), joka verkkosolmu (SGSN, GGSN) on järjestetty aktivoimaan päätelaitteelle ainakin yksi 25 pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pa-kettidataosoitteeseen, tunnettu siitä, että verkkosolmu (SGSN, GGSN) on järjestetty vasteena paketin vas-: 30 taanotolle vertaamaan paketissa olevaa lähdeosoitetta päätelaitteen käyttämään pakettidataosoitteeseen, ja lähettämään paketin verkkosolmusta paketissa olevaa kohdeosoitetta kohti ainoastaan, jos osoitteet ovat samat.
9. Pakettiverkon verkkosolmu (SGSN, GGSN) datapakettien välittämiseksi pakettiverkon päätelaitteelta (MS) vastaanottajalle (2,4), joka verk- 35 kosolmu (SGSN, GGSN) on järjestetty aktivoimaan päätelaitteelle ainakin yksi pakettidataosoite, jota päätelaite voi käyttää datapaketteja lähettäessään, ja 110975 liittämään päätelaitteelta vastaanotetun paketin päätelaitteen käyttämään pa-kettidataosoitteeseen, tunnettu siitä,että X pakettidataosoite on määritelty osoitejoukkona, ja 5 verkkosolmu (SGSN, GGSN) on järjestetty vasteena paketin vas taanotolle tarkistamaan, kuuluuko paketissa oleva lähdeosoite päätelaitteen käyttämän pakettidataosoitteen osoitejoukkoon, ja lähettämään paketin verkkosolmusta paketissa olevaa kohdeosoitetta kohti ainoastaan, jos lähdeosoite kuuluu osoitejoukkoon.
10. Patenttivaatimuksen 8 tai 9 mukainen verkkosolmu, tunnet- t u siitä, että verkkosolmu (SGSN, GGSN) on järjestetty ylläpitämään tietoa ensimmäisistä pakettidataosoitetyypeistä, joille mainittu vertailu tehdään, ja suorittamaan vertailun ainoastaan, jos päätelaitteen käyttämä pakettidataosoite on ensimmäistä pakettidataosoitetyyppiä.
11. Patenttivaatimuksen 8, 9 tai 10 mukainen verkkosolmu, tun nettu siitä, että verkkosolmu on GTP-protokollaa käyttävän pakettiradiover-kon (GPRS) yhdyskäytäväsolmu (GGSN).
12. Patenttivaatimuksen 8, 9 tai 10 mukainen verkkosolmu, tunnettu siitä, että verkkosolmu on GTP-protokollaa käyttävän paketti rad iover- 20 kon (GPRS) päätelaitetta palveleva solmu (SGSN). 110975
Priority Applications (13)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI992767A FI110975B (fi) | 1999-12-22 | 1999-12-22 | Huijaamisen estäminen tietoliikennejärjestelmissä |
ES00987534T ES2258487T3 (es) | 1999-12-22 | 2000-12-19 | Prevencion de la simulacion de identidad en sistemas de telecomunicacion. |
CNB008175918A CN100431296C (zh) | 1999-12-22 | 2000-12-19 | 电信系统内的电子欺骗的预防方法 |
JP2001547792A JP2003518821A (ja) | 1999-12-22 | 2000-12-19 | テレコミュニケーションシステムにおけるなりすましの防止 |
DE60026373T DE60026373T2 (de) | 1999-12-22 | 2000-12-19 | Vermeidung der identitätsverfälschung in fernmeldesystemen |
AT00987534T ATE319243T1 (de) | 1999-12-22 | 2000-12-19 | Vermeidung der identitätsverfälschung in fernmeldesystemen |
PCT/FI2000/001114 WO2001047179A1 (en) | 1999-12-22 | 2000-12-19 | Prevention of spoofing in telecommunications systems |
EP00987534A EP1240744B1 (en) | 1999-12-22 | 2000-12-19 | Prevention of spoofing in telecommunications systems |
AU23783/01A AU2378301A (en) | 1999-12-22 | 2000-12-19 | Prevention of spoofing in telecommunications systems |
CN200610094130A CN100581099C (zh) | 1999-12-22 | 2000-12-19 | 电信系统内的电子欺骗的预防 |
US10/175,517 US7342926B2 (en) | 1999-12-22 | 2002-06-20 | Prevention of spoofing in telecommunications systems |
JP2007179261A JP2007259507A (ja) | 1999-12-22 | 2007-07-09 | テレコミュニケーションシステムにおけるなりすましの防止 |
US11/853,657 US7801106B2 (en) | 1999-12-22 | 2007-09-11 | Prevention of spoofing in telecommunications system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI992767A FI110975B (fi) | 1999-12-22 | 1999-12-22 | Huijaamisen estäminen tietoliikennejärjestelmissä |
FI992767 | 1999-12-22 |
Publications (2)
Publication Number | Publication Date |
---|---|
FI19992767A FI19992767A (fi) | 2001-06-23 |
FI110975B true FI110975B (fi) | 2003-04-30 |
Family
ID=8555800
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI992767A FI110975B (fi) | 1999-12-22 | 1999-12-22 | Huijaamisen estäminen tietoliikennejärjestelmissä |
Country Status (10)
Country | Link |
---|---|
US (2) | US7342926B2 (fi) |
EP (1) | EP1240744B1 (fi) |
JP (2) | JP2003518821A (fi) |
CN (2) | CN100431296C (fi) |
AT (1) | ATE319243T1 (fi) |
AU (1) | AU2378301A (fi) |
DE (1) | DE60026373T2 (fi) |
ES (1) | ES2258487T3 (fi) |
FI (1) | FI110975B (fi) |
WO (1) | WO2001047179A1 (fi) |
Families Citing this family (59)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI110975B (fi) * | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
US6834308B1 (en) | 2000-02-17 | 2004-12-21 | Audible Magic Corporation | Method and apparatus for identifying media content presented on a media playing device |
US7562012B1 (en) | 2000-11-03 | 2009-07-14 | Audible Magic Corporation | Method and apparatus for creating a unique audio signature |
EP1490767B1 (en) | 2001-04-05 | 2014-06-11 | Audible Magic Corporation | Copyright detection and protection system and method |
US7529659B2 (en) | 2005-09-28 | 2009-05-05 | Audible Magic Corporation | Method and apparatus for identifying an unknown work |
US8972481B2 (en) | 2001-07-20 | 2015-03-03 | Audible Magic, Inc. | Playlist generation method and apparatus |
US20030126435A1 (en) * | 2001-12-28 | 2003-07-03 | Mizell Jerry L. | Method, mobile telecommunication network, and node for authenticating an originator of a data transfer |
US8432893B2 (en) * | 2002-03-26 | 2013-04-30 | Interdigital Technology Corporation | RLAN wireless telecommunication system with RAN IP gateway and methods |
TW574806B (en) * | 2002-04-19 | 2004-02-01 | Ind Tech Res Inst | Packet delivery method of packet radio network |
US7039404B2 (en) * | 2002-06-27 | 2006-05-02 | Intel Corporation | Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents |
US7724711B2 (en) * | 2002-08-05 | 2010-05-25 | Nokia Corporation | Method of speeding up the registration procedure in a cellular network |
EP1559237B1 (en) * | 2002-11-06 | 2012-04-04 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and arrangement for preventing illegitimate use of ip addresses |
USRE47253E1 (en) | 2002-11-06 | 2019-02-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for preventing illegitimate use of IP addresses |
US8332326B2 (en) | 2003-02-01 | 2012-12-11 | Audible Magic Corporation | Method and apparatus to identify a work received by a processing system |
US7327746B1 (en) * | 2003-08-08 | 2008-02-05 | Cisco Technology, Inc. | System and method for detecting and directing traffic in a network environment |
DE102004004527B4 (de) * | 2004-01-22 | 2006-04-20 | Siemens Ag | Verfahren zur Autorisationskontrolle einer Datenübertragung in einem Daten-Mobilfunknetz |
US8126017B1 (en) * | 2004-05-21 | 2012-02-28 | At&T Intellectual Property Ii, L.P. | Method for address translation in telecommunication features |
US8130746B2 (en) * | 2004-07-28 | 2012-03-06 | Audible Magic Corporation | System for distributing decoy content in a peer to peer network |
KR100693046B1 (ko) * | 2004-12-20 | 2007-03-12 | 삼성전자주식회사 | 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법 |
US7974395B2 (en) * | 2005-09-28 | 2011-07-05 | Avaya Inc. | Detection of telephone number spoofing |
US8775586B2 (en) * | 2005-09-29 | 2014-07-08 | Avaya Inc. | Granting privileges and sharing resources in a telecommunications system |
KR100742362B1 (ko) * | 2005-10-04 | 2007-07-25 | 엘지전자 주식회사 | 이동통신 네트워크에서 콘텐츠를 안전하게 송수신하기 위한 방법 및 장치 |
KR100737599B1 (ko) * | 2005-11-04 | 2007-07-10 | 현대자동차주식회사 | 펌핑레버와 일체로 형성된 리클라이너 레버 |
DE102006006953A1 (de) * | 2006-02-14 | 2007-08-23 | T-Mobile International Ag & Co. Kg | Verfahren zur Gewährleistung von Dienstgüte in paketvermittelnden Mobilfunknetzen |
US8804729B1 (en) * | 2006-02-16 | 2014-08-12 | Marvell Israel (M.I.S.L.) Ltd. | IPv4, IPv6, and ARP spoofing protection method |
KR20080057161A (ko) * | 2006-12-19 | 2008-06-24 | 주식회사 케이티프리텔 | 점대점 터널링 통신을 위한 침입 방지 장치 및 방법 |
US8438653B2 (en) | 2007-04-10 | 2013-05-07 | Microsoft Corporation | Strategies for controlling use of a resource that is shared between trusted and untrusted environments |
US8006314B2 (en) | 2007-07-27 | 2011-08-23 | Audible Magic Corporation | System for identifying content of digital data |
US8326265B2 (en) * | 2008-10-17 | 2012-12-04 | Tekelec Netherlands Group, B.V. | Methods, systems, and computer readable media for detection of an unauthorized service message in a network |
ES2400166T3 (es) * | 2008-10-20 | 2013-04-08 | Koninklijke Kpn N.V. | Protección de servicios en una red móvil contra la suplantación de CLI |
WO2010105099A2 (en) * | 2009-03-11 | 2010-09-16 | Tekelec | Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions |
WO2010105043A2 (en) | 2009-03-11 | 2010-09-16 | Tekelec | Methods, systems, and computer readable media for short message service (sms) forwarding |
US8199651B1 (en) | 2009-03-16 | 2012-06-12 | Audible Magic Corporation | Method and system for modifying communication flows at a port level |
CN101674312B (zh) * | 2009-10-19 | 2012-12-19 | 中兴通讯股份有限公司 | 一种在网络传输中防止源地址欺骗的方法及装置 |
US9313238B2 (en) * | 2011-12-26 | 2016-04-12 | Vonage Network, Llc | Systems and methods for communication setup via reconciliation of internet protocol addresses |
KR101228089B1 (ko) * | 2012-09-10 | 2013-02-01 | 한국인터넷진흥원 | Ip 스푸핑 탐지 장치 |
US9081778B2 (en) | 2012-09-25 | 2015-07-14 | Audible Magic Corporation | Using digital fingerprints to associate data with a work |
US10148614B2 (en) * | 2016-07-27 | 2018-12-04 | Oracle International Corporation | Methods, systems, and computer readable media for applying a subscriber based policy to a network service data flow |
US10257591B2 (en) | 2016-08-02 | 2019-04-09 | Pindrop Security, Inc. | Call classification through analysis of DTMF events |
US10616200B2 (en) | 2017-08-01 | 2020-04-07 | Oracle International Corporation | Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA) |
US10931668B2 (en) | 2018-06-29 | 2021-02-23 | Oracle International Corporation | Methods, systems, and computer readable media for network node validation |
US10834045B2 (en) | 2018-08-09 | 2020-11-10 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent |
US10952063B2 (en) | 2019-04-09 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening |
US11356851B2 (en) | 2019-12-03 | 2022-06-07 | Harris Global Communications, Inc. | Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods |
US11411925B2 (en) | 2019-12-31 | 2022-08-09 | Oracle International Corporation | Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP) |
WO2021154600A1 (en) * | 2020-01-27 | 2021-08-05 | Pindrop Security, Inc. | Robust spoofing detection system using deep residual neural networks |
AU2021231850B2 (en) | 2020-03-05 | 2023-08-03 | Pindrop Security, Inc. | Systems and methods of speaker-independent embedding for identification and verification from audio |
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2056262A1 (en) | 1990-12-31 | 1992-07-01 | William L. Aranguren | Intrusion detection apparatus for local area network |
JP2708976B2 (ja) | 1991-06-06 | 1998-02-04 | 株式会社日立製作所 | 学習テーブル管理方式 |
JP3106000B2 (ja) | 1992-05-18 | 2000-11-06 | 三菱電機株式会社 | セキュリティ方式 |
JPH0637752A (ja) | 1992-07-15 | 1994-02-10 | Nec Corp | 端末アダプタ |
ATE227059T1 (de) | 1994-02-22 | 2002-11-15 | Advanced Micro Devices Inc | Verfahren zur überwachung von adressen in einem netz mit relaisstationen |
JPH09186A (ja) | 1995-06-16 | 1997-01-07 | Makoto Suzuki | 米飯食品包装シート及び包装米飯食品 |
JPH09172450A (ja) | 1995-12-19 | 1997-06-30 | Fujitsu Ltd | アドレスセキュリティ制御方式 |
JP3594391B2 (ja) | 1995-12-28 | 2004-11-24 | 富士通株式会社 | Lan集線装置 |
JP3688464B2 (ja) * | 1997-05-06 | 2005-08-31 | 株式会社東芝 | 端末装置、サーバ装置、通信装置および制御方法 |
JP3009876B2 (ja) * | 1997-08-12 | 2000-02-14 | 日本電信電話株式会社 | パケット転送方法および該方法に用いる基地局 |
JP3480798B2 (ja) | 1997-09-03 | 2003-12-22 | 日本電信電話株式会社 | 通信管理方法及びその装置 |
US6608832B2 (en) * | 1997-09-25 | 2003-08-19 | Telefonaktiebolaget Lm Ericsson | Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services |
FI106509B (fi) * | 1997-09-26 | 2001-02-15 | Nokia Networks Oy | Laillinen salakuuntelu tietoliikenneverkossa |
US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
FI106511B (fi) * | 1998-02-10 | 2001-02-15 | Nokia Networks Oy | Signalointikuormituksen vähentäminen pakettiradioverkossa |
US6137785A (en) * | 1998-03-17 | 2000-10-24 | New Jersey Institute Of Technology | Wireless mobile station receiver structure with smart antenna |
US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
JP3278615B2 (ja) | 1998-08-20 | 2002-04-30 | 日本電信電話株式会社 | 移動ユーザー収容装置 |
JP3278616B2 (ja) | 1998-08-20 | 2002-04-30 | 日本電信電話株式会社 | 移動ユーザー収容装置 |
US6754214B1 (en) * | 1999-07-19 | 2004-06-22 | Dunti, Llc | Communication network having packetized security codes and a system for detecting security breach locations within the network |
US6675225B1 (en) * | 1999-08-26 | 2004-01-06 | International Business Machines Corporation | Method and system for algorithm-based address-evading network snoop avoider |
FI110975B (fi) * | 1999-12-22 | 2003-04-30 | Nokia Corp | Huijaamisen estäminen tietoliikennejärjestelmissä |
JP4360336B2 (ja) | 2005-03-25 | 2009-11-11 | 日立電線株式会社 | リン銅ろうクラッド材の製造方法 |
-
1999
- 1999-12-22 FI FI992767A patent/FI110975B/fi not_active IP Right Cessation
-
2000
- 2000-12-19 AT AT00987534T patent/ATE319243T1/de active
- 2000-12-19 AU AU23783/01A patent/AU2378301A/en not_active Abandoned
- 2000-12-19 JP JP2001547792A patent/JP2003518821A/ja active Pending
- 2000-12-19 DE DE60026373T patent/DE60026373T2/de not_active Expired - Lifetime
- 2000-12-19 CN CNB008175918A patent/CN100431296C/zh not_active Expired - Fee Related
- 2000-12-19 CN CN200610094130A patent/CN100581099C/zh not_active Expired - Fee Related
- 2000-12-19 ES ES00987534T patent/ES2258487T3/es not_active Expired - Lifetime
- 2000-12-19 EP EP00987534A patent/EP1240744B1/en not_active Expired - Lifetime
- 2000-12-19 WO PCT/FI2000/001114 patent/WO2001047179A1/en active IP Right Grant
-
2002
- 2002-06-20 US US10/175,517 patent/US7342926B2/en not_active Expired - Fee Related
-
2007
- 2007-07-09 JP JP2007179261A patent/JP2007259507A/ja active Pending
- 2007-09-11 US US11/853,657 patent/US7801106B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE60026373T2 (de) | 2006-08-03 |
US20070297413A1 (en) | 2007-12-27 |
CN1983922A (zh) | 2007-06-20 |
EP1240744B1 (en) | 2006-03-01 |
AU2378301A (en) | 2001-07-03 |
ES2258487T3 (es) | 2006-09-01 |
US20020181448A1 (en) | 2002-12-05 |
WO2001047179A1 (en) | 2001-06-28 |
US7342926B2 (en) | 2008-03-11 |
CN1413399A (zh) | 2003-04-23 |
US7801106B2 (en) | 2010-09-21 |
DE60026373D1 (de) | 2006-04-27 |
CN100431296C (zh) | 2008-11-05 |
ATE319243T1 (de) | 2006-03-15 |
JP2003518821A (ja) | 2003-06-10 |
EP1240744A1 (en) | 2002-09-18 |
JP2007259507A (ja) | 2007-10-04 |
FI19992767A (fi) | 2001-06-23 |
CN100581099C (zh) | 2010-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI110975B (fi) | Huijaamisen estäminen tietoliikennejärjestelmissä | |
EP1156626B1 (en) | Mobile communication network, terminal equipment and packet communication control method | |
KR101262405B1 (ko) | 인증되지 않은 이동 액세스 네트워크 또는 일반적인 액세스 네트워크에서 보안을 제공하는 방법, 시스템 및 장치 | |
US6636491B1 (en) | Access control method for a mobile communications system | |
JP4620050B2 (ja) | パケットデータ通信 | |
KR101073282B1 (ko) | 사용자 평면 기반 위치 서비스(lcs) 시스템, 방법 및장치 | |
ES2392037T3 (es) | Pasarela de número de itinerancia IP | |
US7733824B2 (en) | Fixed access point for a terminal device | |
RU2536374C2 (ru) | Способ, устройство и система для обеспечения доступа к услуге мобильной станцией | |
US20050195780A1 (en) | IP mobility in mobile telecommunications system | |
FI114001B (fi) | Tiedonsiirtomenetelmä ja -järjestelmä | |
US20060126584A1 (en) | Method for user equipment selection of a packet data gateway in a wireless local network | |
US20030081607A1 (en) | General packet radio service tunneling protocol (GTP) packet filter | |
US20080153453A1 (en) | Method for providing emergency service in WiMAX networks | |
US20040090941A1 (en) | Dynamic re-routing of mobile node support in home servers | |
BRPI0806948B1 (pt) | métodos para estabelecer uma chamada originada e uma chamada terminada em terminal móvel de uma estação móvel, e, centro de comutação móvel por pacote. | |
FI106503B (fi) | IP-liikkuvuusmekanismi pakettiradioverkkoa varten | |
KR101117941B1 (ko) | 무선 패킷 데이터 서비스 네트워크 내에서의 데이터 세션 재시도 메카니즘의 커스텀화 | |
WO2002041649A2 (en) | Paging coordination of packet and circuit switched messages in gprs | |
US8023503B2 (en) | Multi-homing based mobile internet | |
FI109164B (fi) | Pakettidataprotokollakontekstin aktivoiminen verkon pyynnöstä | |
US20030063581A1 (en) | System, method and apparatus for seamless interaction between wireless local area network and wireless packet data network | |
FI110901B (fi) | Toimistojärjestelmän sisäisten datayhteyksien järjestäminen | |
JP2008516554A (ja) | ダイレクトルーティングを実施する方法及び装置 | |
US20080318568A1 (en) | Method and apparatus for determining home agent attached by mobile node |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM | Patent lapsed |