FI116027B - Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi - Google Patents

Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi Download PDF

Info

Publication number
FI116027B
FI116027B FI20011911A FI20011911A FI116027B FI 116027 B FI116027 B FI 116027B FI 20011911 A FI20011911 A FI 20011911A FI 20011911 A FI20011911 A FI 20011911A FI 116027 B FI116027 B FI 116027B
Authority
FI
Finland
Prior art keywords
terminal
address
ipsec
message
security
Prior art date
Application number
FI20011911A
Other languages
English (en)
Swedish (sv)
Other versions
FI20011911A (fi
FI20011911A0 (fi
Inventor
Sami Vaarala
Antti Nuopponen
Panu Pietikaeinen
Original Assignee
Netseal Mobility Technologies
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8561975&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=FI116027(B) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Publication of FI20011911A0 publication Critical patent/FI20011911A0/fi
Priority to FI20011911A priority Critical patent/FI116027B/fi
Application filed by Netseal Mobility Technologies filed Critical Netseal Mobility Technologies
Priority to PCT/FI2002/000771 priority patent/WO2003030488A1/en
Priority to US10/490,933 priority patent/US8037302B2/en
Priority to ES02764898T priority patent/ES2319171T3/es
Priority to EP02764898A priority patent/EP1466458B1/en
Priority to AT02764898T priority patent/ATE417445T1/de
Priority to DE60230326T priority patent/DE60230326D1/de
Publication of FI20011911A publication Critical patent/FI20011911A/fi
Publication of FI116027B publication Critical patent/FI116027B/fi
Application granted granted Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Selective Calling Equipment (AREA)
  • Small-Scale Networks (AREA)

Description

11CC 2/
MENETELMÄ JA JÄRJESTELMÄ VIESTIEN TURVALLISEN LÄHETTÄMISEN VARMISTAMISEKSI
5 KEKSINNÖN ALA
Keksinnön mukainen menetelmä ja järjestelmä on tarkoitettu turvaamaan yhteyksiä telekommunikointiverkoissa. Erityisesti keksintö on tarkoitettu käytettäväksi langattomissa verkoissa osana mobiili IP- tai IPSec-ratkaisua.
10
TEKNIIKAN TASO
Internet on joukko yksittäisiä verkkoja, jotka on kytketty yhteen niiden välissä olevien 15 verkkolaitteiden kautta ja toimii yhtenä ainoana suurena verkkona. Erilaisia verkkoja voidaan kytkeä yhteen reitittimillä ja muilla verkostointilaitteilla internetin luomiseksi.
Lähiverkko (Local Area Network, LAN) on tietoverkko, joka kattaa suhteellisen pienen maantieteellisen alueen. Tyypillisesti se kytkee yhteen työasemia, henkilökohtaisia '/20 tietokoneita, tulostimia ja muita laitteita. Kaukoverkko (Wide Area Network, WAN) on tietoverkko, joka kattaa suhteellisen laajan maantieteellisen alueen. Kaukoverkot * * · *« (WAN) kytkevät lähiverkkoja (LAN) yhteen normaalien puhelinlinjojen kautta; siten • fill • « kytkien yhteen maantieteellisesti hajautuneita käyttäjiä.
* · 25 Kiinteissä verkoissa on olemassa ratkaisuja tiedon ja tiedonlähteiden suojaamiseksi ,·*·, leviämiseltä, tiedon autenttisuuden varmistamiseksi ja järjestelmien suojaamiseksi verkkoon kohdistuvilta hyökkäyksiltä. IPSec on teknologia, jolla saavutetaan ;;; turvallisuutta.
I · 30 IP Sec-turvaprotokollat (IPSec) antaa valmiuden viestien turvaamiseksi LAN:ssa, «Mlk yksitys-ja yleissä kaukoverkoissa (WAN) ja internetissä. IP$ec:iä voidaan käyttää eri tavoilla, kuten turvallisten virtuaalisten yksityisverkkojen rakentamiseksi, turvallisen 2 116027 pääsyn saamiseksi yritysverkkoon (IPSec.in etäispääsykäyttö) tai muiden organisaatioiden viestinnän varmistamiseksi, varmistaen autentikoinnin ja luottamuksellisuuden, sekä avaintenvaihtomekanismin. Vaikka joillakin sovelluksilla jo on sisäänrakennettuja turvaprotokollia, IPSec.in käyttö parantaa turvallisuutta edelleen. 5 IPSec voi salata ja/tai autentikoida liikennettä IP-tasolla. WAN:iin menevä liikenne tyypillisesti salataan ja/tai autentikoidaan, ja WAN:lta tulevan liikenteen salaus puretaan ja/tai autentikoidaan. IPSec:in määrittelee tietyt dokumentit, jotka sisältävät sääntöjä IPSec-arkkitehtuuria varten.
10
Kahta protokollaa käytetään varmuuden saamiseksi IP-tasolla; autentikointiprotokolla, jolle protokollan otsikko antaa nimen, Authentication Header (AH), ja yhdistetty salaus/autentikointiprotokolla, jolle tämän protokollan pakettiformaatti antaa nimen Encapsulating Security Payload (ESP). Sekä AH että ESP ovat 15 pääsynhallintatyökaluja, jotka perustuvat salausavainten jakeluun ja liikennevirtojen hallintaan, jotka liittyvät näihin turvaprotokolliin.
Turvayhteys (Security Association, SA) on avainkäsite IP:n autentikointi- ja luottamuksellisuusmekanismeissa. Turvayhteys on yksisuuntainen suhde lähettäjän ja * :20 vastaanottajan välillä, joka tarjoaa varmuuspalveluja sen kantamalle liikenteelle. Jos tarvitaan kaksisuuntaista suhdetta, tarvitaan kaksi turvayhteyttä.
Termiä IPSec-yhteys käytetään seuraavassa IPSec-kimpun sijasta yhdestä tai useasta turvaliittymästä, tai yhden tai useamman turvayhteyden IPSec-kimppujen parista - yksi « · 25 kimppu kumpaakin suuntaa varten. Tämä termi kattaa siten sekä yksisuuntaisen että :Vi kaksisuuntaisen liikenteen suojaamisen. Suuntien symmetriaan ei oteta kantaa, s.o.
. · · ·, kumpaakin suuntaa varten käytetyt algoritmit ja IPSec - muutokset voivat olla erilaisia.
* I
;;; Turvayhteys määritetään ainutlaatuisesti kolmen parametrin avulla. Ensimmäinen, joka 30 on turvaparametri-indeksi (Security Parameters Index, SPI), on 32:en bitin bittijono joka osoitetaan tälle SA:l!e. SPI sijoitetaan AH- ja ESP-alkutunnisteisiin, jotta vastaanottajajärjestelmä voisi valita sen SA:n, jonka alla vastaanotettu paketti 3 116G2Ί käsitellään. IP-kohdeosoite on toinen parametri, joka on SA:n kohteen loppupisteen osoite, joka voi olla loppukäyttäjän järjestelmä tai verkkojärjestelmä, kuten palomuuri tai reititin. Kolmas parametri, joka on varmuusprotokollan tunnistin, ilmaisee, onko yhteys AH- tai ESP- turvayhteys.
5
Sekä AH että ESP tukevat kahta käytettyä menetelmää, kuljetus- ja tunnelimenetelmää.
Kuljetusmenetelmällä saadaan suoja ensisijaisesti ylempien kerrosten protokolliin ja se 10 ulottuu IP-paketin hyötyinformaatio-osaan (payloadiin). Tyypillisesti kuljetusmenetelmää käytetään kahden verkkoaseman väliseen päästä - päähän viestintään. Kuljetusmenetelmää voidaan käyttää yhdessä tunnelointiprotokollan kanssa (muu kuin IPSec-tunnelointi).
15 Tunnelimalli antaa suojan koko IP-paketille ja sitä käytetään yleisesti viestien lähettämiseksi yhden tai usean komponentin läpi. Tunnelimenetelmää käytetään usein silloin, kun SA:n toinen tai molemmat päät ovat varmuusyhdyskäytäviä (security gateway), kuten palomuureja tai reitittimiä, jotka käyttävät IPSec:iä.
Tunnelimenetelmällä joukko verkoissa olevia palomuurien takana olevia verkkoasemia •: * :20 voi ryhtyä turvalliseen viestintään käyttämättä IPSec.iä. Sellaisten verkkoasemien "i tuottamat suojaamattomat paketit tunneloidaan ulkoisten verkkojen läpi palomuurissa v ·' tai varmuusreitittimissä olevan IPSec-ohjelmiston asettamalla SA:n tunnelimenetelmällä alueverkon rajalla.
'••‘25 Tämän saavuttamiseksi, sen jälkeen kun AH- tai ESP-kentät on lisätty IP-pakettiin, koko pakettia varmuuskenttineen käytetään uuden ulkoisen IP-paketin payload:ina, :ti;‘ jolla on uusi ulkoinen IP-alkutunniste. Koko alkuperäinen, tai sisempi, paketti kulkeutuu tunnelin läpi IP-verkon yhdestä pisteestä toiseen: mikään reititin tien varrella ei kykene tutkimaan sisempää IP-pakettia. Koska alkuperäinen paketti on kapseloimaton, uudella I t 30 suuremmalla paketilla voi olla kokonaan erilaiset lähde- ja kohdeosoitteet, mikä lisää turvallisuutta. Toisin sanoen, ensimmäinen vaihe paketin suojaamisessa tunnelimenetelmää käytettäessä on uuden IP-alkutunnisteen lisääminen pakettiin, siten , 11 {n o'? 4 1 I u l / ΊΡ/payload’-paketista tulee ΊΡ/ΙΡ/payload'. Seuraava vaihe on paketin turvaaminen käyttämällä ESP:tä tai AH:ta. ESP:n tapauksessa, tuloksena saatu paketti on ’IP/ESP/IP/payload’. Koko sisempi paketti on ESP:n tai AH:n suojan peittämä. AH myös suojaa ulkoisen alkutunnisteen osia koko sisäpaketin lisäksi.
5 IPSec-tunnelimenetelmä toimii esim. niin, että jos verkossa oleva verkkoasema tuottaa IP-paketin, jossa on toisessa verkossa olevan verkkoaseman kohdeosoite, paketti reititetään alkuperäiseltä verkkoasemalta varmuusyhdyskäytävälle (Security Gate Way, SGW), palomuurille tai muulle turvareitittimelle ensimmäisen verkon rajalla. SGW 10 suodattaa kaikki ulosmenevät paketit IPSec-käsittelyn tarpeen määrittelemiseksi. Jos tämä paketti ensimmäiseltä verkkoasemalta toiselle verkkoasemalle vaatii IPSec:in, palomuuri suorittaa IPSec-käsittelyn, johon kuuluu paketin kapselointi ulkoiseen IP-alkutunnisteeseen. Tämän ulkoisen IP-alkutunnisteen lähde-IP-osoite on tämä palomuuri ja kohdeosoite voi olla palomuuri, joka muodostaa toisen lähiverkon rajan. 15 Tämä paketti reititetään nyt toisen verkkoaseman palomuurille siten, että välireitittimet tutkivat ainoastaan ulkoisen IP-alkutunnisteen. Ulompi IP-alkutunniste poistetaan toisen verkkoaseman palomuurin äärellä ja sisempi paketti toimitetaan toiselle verkkoasemalle.
':‘20 ESP-tunnelimenetelmässä salataan ja valinnaisesti autentikoidaan koko sisempi IP-paketti, mukaan lukien sisempi IP-alkutunniste. AH-tunnelimenetelmässä ; autentikoidaan koko sisempi IP-paketti, mukaan lukien sisempi IP-alkutunniste ja ’ *’ valittuja osia ulommasta IP-alkutunnisteesta.
*·' 25 IPSec:in avaintenhallintaosa sisältää salaisten avaimien määrittelyn ja jakelun. IPSec:in .. . automatisoitu avaintenhallinnan oletusprotokolla on ISAKMP/Oakley ja se muodostuu *..; * Oakleyn avaintenmäärittelyprotokollasta ja internetin Security Association ja Key Management-protokollasta (ISAKMP). Internet Key Exchange (IKE) on uudempi nimi ;;· ISAKMP/Oakley-protokollalle. IKE perustuu Diffie Hellman-algoritmiin ja se tukee muun 30 muassa RSA-allekirjoitusautentikointintia. IKE voidaan helposti soveltaa tuleville ja myyjäkohtaisille ominaisuuksille ilman, että yhteensopivuus kärsii.
5 lie..2/· IPSec-protokolla ratkaisee tunnetut Internetprotokollan (IP) turvaongelmat tyydyttävästi. Se on kuitenkin suunniteltu staattista Internetiä varten, jossa verkkoasemat jotka käyttävät IPSec:iä ovat suhteellisen paikallaan pysyviä. Siten, IPSec ei toimi hyvin mobiililaitteiden kanssa.
5
Jos esimerkiksi mobiilipääte muuttaa yhdestä verkosta toiseen, vaaditaan IPSec yhteyden asettamista, tyypillisesti käyttäen IKE avaintenvaihtoprotokollaa. Sellainen asennus on kallis latenssia ajatellen, koska IKE.n loppuunsaattaminen saattaa kestää useita sekuntteja. Se on myös kallis laskennallisesti, koska Diffie-Hellman.iin ja 10 autentikointiin liittyvät IKE-laskelmat ovat erittäin aikaa vieviä.
Reitittäminen tarkoittaa informaation liikuttamista Internetissä yhdestä lähteestä toiseen. Matkalla käytetään tavallisesti ainakin yhtä väliasemaa. Reitittämiseen kuuluu sekä optimaalisen reititystien määrittäminen että tietopakettien kuljettaminen. 15 Tietopakettien reitittämisen helpottamiseksi, reititysalgoritmit käynnistävät ja ylläpitävät reititystaulukoita, jotka sisältävät reititystietoa. Reitittimet kommunikoivat toistensa kanssa ja ylläpitävät reititystaulukkojaan lähettämällä erilaisia viestejä. Reitityspäivitysviesti on yksi sellainen viesti, johon yleisesti ottaen kuuluu koko reititystaulukko tai osa siitä.
-:-:20 IP-mobiilisuuden perusongelmana on se tosiasia, että IP-reititys perustuu kiinteisiin ·’ osoitteisiin. Osoitetila on jaettu aliverkkoihin, jotka ovat käytännöllisesti ottaen paikallaan verkkotopologiaa ajatellen (reititys voi muuttua mutta se on hidas prosessi, ' ’ mahdollisesti useita minuutteja kestävä). Kun mobiiliverkkoasema muuttaa ‘•••‘25 kotiverkostaan (jossa sen IP-osoite on oikea), muodostuu ongelma pakettien reitittämisessä uuteen paikkaan, jos kyseessä oleva IP-verkko ei tue sellaista liikkumista.
>··: Tässä yhteydessä termi mobiilisuus ja mobiilipääte ei tarkoita ainoastaan fyysistä *·;· 30 mobiilisuutta, vaan mobiilisuudella tarkoitetaan ensi kädessä muuttamista yhdestä verkosta toiseen, mikä yhtä hyvin voidaan suorittaa fysikaalisesti, kiinteällä päätteellä.
6 116(.:27
Standard Mobile IP, IPv4:ää varten, käyttää esim. IP - IP sekä yleistä reitityskapselointia, Generic Routing Encapsulation (GRE)-tunnelointia tämän ongelman ratkaisemiseksi (katso enemmän yksityiskohtia kuviossa 1 ja siihen liittyvässä tekstissä). On myös muita tunnelointimenetelmiä ja siten IP - IP- ja GRE-5 tunnelointia käytetään ainoastaan esimerkkeinä tässä tekstissä. Mobiili IPv4:llä on kaksi toimintatapaa. Paikallisessa laina-osoitetilassa mobiilipääte suorittaa IP - IP kapseloinnin ja sen purkaamisen. Tämä tapa vaatii lainattua osoitetta - paikallista lainaosoitetta - käyntiverkosta. Toinen tapa on vieraan agentin menetelmä, jossa IP -IP tai muu tunnelointi suoritetaan erityisellä verkkoasemalla käyntiverkossa, jota 10 kutsutaan vieraaksi agentiksi, Foreign Agent, FA. Mobiilipääte kommunikoi suoraan FA:n kanssa (IP-osoitetta ei vaadita tälle suoralle kommunikoinnille), eikä lainattua osoitetta tarvita tässä toimintatavassa.
IP - IP tunneloinnissa, IP-osoite (nk. paikallinen lainaosoite lainataan käyntiverkosta). 15 Tämä osoite on topologisesti oikea, s.o. se on reitittävissä verkon muista osista. Kun mobiilipääte haluaa lähettää paketin tiettyyn kohdetietokoneeseen, se rakentaa ensin IP-paketin, jonka lähdeosoite on sen kotiosoite, s.o. osoite joka ei ole topologisesti oikea uudessa verkossa ja jonka kohdeosoite on kohdetietokone.
’•‘"•20 Koska tätä pakettia ei ehkä voida reitittää suoraan, se kapseloidaan toiseen IP-pakettiin (nk. IP - IP kapseloinnilla tai IP - IP tunneloinnilla). Tämän IP-paketin lähdeosoite on v ; lainaosoite ja kohdeosoite on nk. mobiilipäätteen kotipalvelin. Kun tällainen kapseloitu paketti vastaanotetaan, kotipalvelin käärii IP - IP -tunnelin auki ja etenee siten, että se reitittää paketin, joka oli kapseloinnin sisällä.
25 . Päinvastaisia paketteja kohdetietokoneesta mobiilipäätteeseen käsitellään vastaavasti; • | paketti reititetään ensin kotipalvelimelle, sitten kapseloidaan IP-IP:seen ja toimitetaan siihen verkkoon, jossa mobiilipääte sillä hetkellä on. Tämän hetkinen mobiilisuussidos ·;;; määrää mikä tämän hetkinen lainaosoite vastaa tiettyä kotiosoitetta. (Voi myös olla nk.
30 yhtaikaisia sidoksia, jolloin kotiosoite täsmää useaan lainaosoitteeseen; paketti kapseloidaan ja lähetetään jokaiseen lainaosoitteeseen erikseen).
1 1 /Ti n··; I I 0 L Z / 7
Kun mobiilipääte liikkuu uuteen verkkoon, suoritetaan autentikoitu signalointiviesti mobiilipäätteen ja kotipalvelimen välillä. Rekisteröintipyyntö, Registration Request, lähetetään mobiilipäätteltä kotipalvelimelle, jossa pyydetään tämän hetkisen mobiilisidonnaisuuden päivittämistä. Palvelin vastaa käyttämällä rekisteröintivastausta, 5 Registration Reply, joka saattaa joko hyväksyä tai hylätä pyynnön. Kun käytetään vieras agentti-menetelmää, rekisteröintiviesti menee vieraan agentin kautta.
IP-versio 4 (IPv4) on tällä hetkellä laajasti käytetty Internet Protokolla versio. Sen päähaittana on ainutlaatuisten julkisten IP-osoitteiden pieni määrä. IP-versiossa (IPv6) 10 on paljon suurempi osoitetila, joka ratkaisee tärkeimmmän tällä hetkellä tunnetun IPv4 ongelman. IPv6 myös muuttaa muita asiota Internet Protokollassa, esimerkiksi kuinka pakettien osittaminen tehdään, mutta nämä muutokset ovat aika pieniä. Useimmilla protokolleilla on eri määritelmiä siitä, kuinka niitä käytetään IPv4 ja IPv6 yhteydessä. On esimerkiksi erilaisia IPSec- ja Mobile IP-versioita käytettäväksi IPv4:n ja IPv6:n 15 kanssa. Sellaiset protokollamuutokset ovat kuitenkin pieniä eivätkä ne yleensä muuta protokollan pääasioita merkittävästi.
IPSec protokolla ratkaisee Internet Protokollan (IP) tunnetut turvaongelmat ·:·· tyydyttävällä tavalla. Se on kuitenkin tarkoitettu staattista Internettiä varten, jossa \·**20 verkkoasemat jotka käyttävät IPSec:iä ovat suhteellisen paikallaan pysyviä. Siten IPSec ei toimi hyvin mobiililaitteiden kanssa. Jos esimerkiksi mobiilipääte muuttaa ’•’"i yhdestä verkosta toiseen, vaaditaan IPSec yhteyden asettamista käyttämällä IKE avaintenvaihtoprotokollaa. Sellainen asennus on kallis latenssia ajatellen, koska IKE saattaa vaatia useita sekuntteja. Se on myös laskennallisesti kallis, koska Diffie-25 Hellman ja autentikointiin liittyvät IKE laskelmat ovat hyvin aikaa vieviä.
'· · ·* Edellä oleva kuvaus esittää Mobile IP:n varsinaiset ideat.
Tekniikan tason Mobile IP ratkaisulla on joitakin haittoja ja ongelmia.
Mobile IP.n standardiprotokolla tarjoaa mobiilipäätteen, jossa on mobiiliyhteys, ja se määrittelee mekanismeja tehokkaiden verkonvaihtojen (handovers) suorittamiseksi ;,· 30 8 1161)27 yhdestä verkosta toiseen. Mobile IP.IIä on kuitenkin useita haittoja. Mobile IP:n turvallisuus on hyvin rajoitettu. Liikkuvuuden signalointiviestit autentikoidaan, mutta niitä ei salata, ja käyttäjän tietoliikenne on täysin suojaamatonta. Se ei myöskään sisällä minkäänlaista avaintenvaihtomekanismia liikkuvuuden signaloinnin 5 autentikointia varten vaadittujen salausavaimien saamiseksi. Tällaiset avaimet on tyypillisesti levitettävä manuaalisesti. Manuaalisessa tekniikan tason avainten hallinnassa, signalointi-autentikointimekanismi vaatii sen että, mobiili verkkoasema ja kotipalvelin jakavat salaisen autentikointiavaimen ja jakelevat tämän, mikä suoritetaan manuaalisesti, eikä se ole erityisen käytännöllistä. Lopuksi, tämän hetkinen Mobile IP-10 protokolla ei määrittele menetelmää, jolla se toimisi verkon osoitteenkäännöslaitteiden (Network Address Translation, NAT) kautta.
Mainittu ongelma osoitteenkäännöslaitteen kanssa, Network Address Translation, NAT, vaikkakin NAT-laitteet kykenevät kääntämään yksityisten verkkojen osoitteita viesteissä 15 yleisiksi IP-osoitteiksi niin että viestit voidaan lähettää Internetin läpi, tarkoittaa kuitenkin sitä, että tällä hetkellä ei ole standardia siihen, miten Mobile IP toimisi NAT-laitteiden läpi. NAT-laitteita käytetään laajasti, koska yksityisten osoitteiden käyttö vaatii vähemmän yleisiä IP-osoitteita kuin mitä muuten tarvittaisiin.
•:-20
VIITTEET
> · > • « t r : Seuraavassa on luettelo mainituista käyttökelpoisista viitteistä keksinnössä käytetyn : : teknologian ymmärtämiseksi.
IP yleensä TCP ja UDP: • » • * * \··: [RFC768] J. Postel, User Datagram Protocol, RFC 768, August 1980.
*’,,, ·’ 30 ftp://ftD.isi.edu/in-notes/rfc768.txt tl t > » » i * I » · 9 116027 [RFC791] J. Postel, Internet Protocol, RFC 791, September 1981. ftp://ftp.isi.edu/in-notes/rfc791 ,txt 5 [RFC792] J. Postel, Internet Control Message Protocol, RFC 792, September 1981. ftp://ftp.isi.edu/in-notes/rfc792.txt [RFC793] 10 J. Postel, Transmission Control Protocol, RFC 793, September 1981.
ftp://ftp.isi.edu/in-notes/rfc793.txt [RFC826] D.C. Plummer, An Ethernet Address Resolution Protocol, RFC 826, November 15 1982.
ftp://ftp.isi.edu/in-notes/rfc826.txt [RFC2460]
S. Deering, R. Hinder), Internet Protocol, Version 6 (IPv6) Specification, RFC
20 2460, December 1998.
• H * » I 4 4 • * · * · ·
Mobile IP; IP-IP; DHCP.
• ♦ · • * » t »*1*1 [RFC2002] ,-.-,25 C. Perkins, IP Mobility Support, RFC 2002, October 1996.
I I
ftp://ftp.isi.edu/in-notes/rfc2002.txt
t t I
[RFC2003] * , C. Perkins, IP Encapsulation Within IP, RFC 2003, October 1996.
,. 7. ’ 30 ftp://ftp.isi.edu/in-notes/rfc2003.txt [RFC2131]
(III
-; -.: R. Droms, Dynamic Host Configuration Protocol, RFC 2131, March 1997.
ftp://ftp.isi.edu/in-notes/rfc2131 txt 10 11602/ [RFC3115] G. Dommety, and K. Leung, Mobile IP Vendor/Organization-specific Extensions, RFC 3115, April 2001. ftp://ftp.isi.edu/in-notes/rfc3115.txt 5 [MOBILEIPv6] D. B. Johnson, C. Perkins, Mobility Support in IPv6, Work in progress (Internet-Draft is available), July 2000.
10 [DHCPV6] J. Bound, M. Carney, C. Perking, R.Droms, Dynamic Host Configuration Protocol for IPv6 (DHCPv6), Work in progress (Internet-Draft is available), June 2001.
15 IPsec standardeja: [RFC2401]
:"20 S. Kent, and R. Atkinson, Secunty Architecture for the Internet Protocol, RFC
': : 2401, November 1998.
V ' ftp://ftp.isi.edu/in-notes/rfc2401.txt [RFC2402] •*..,:25 S. Kent, and R. Atkinson, IP Authentication Header, RFC 2402, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2402.txt * · t > * « • , [RFC2403]
.:. C. Madson, R. Glenn, The Use of HMAC-MD5-96 within ESP and AH, RFC
:' *:. 30 2403, November 1998.
[RFC2404] ,C. Madson, R. Glenn, The Use of HMAC-SHA-1-96 within ESP and AH, RFC 2404, November 1998.
11 116027 [RFC2405] C. Madson, N. Doraswamy, The ESP DES-CBC Cipher Algorithm With Explicit IV, RFC 2405, November 1998.
5 [RFC2406] S. Kent, and R. Atkinson, IP Encapsulating Security Payload (ESP), RFC 2406,
November 1998.
ftp://ftp. isi.edu/in-notes/rfc2406.txt 10 [RFC2407] D. Piper, The internet IP Security Domain of Interpretation for ISAKMP, RFC 2407, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2407.txt 15 [RFC2408] D. Maughan, M. Schneider, M. Schertler, and J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC 2408, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2408.txt 20 [RFC2409] D. Harkins, and D. Carrel, The Internet Key Exchange (IKE), RFC 2409, November 1998.
ftp://ftp.isi.edu/in-notes/rfc2409.txt ’:3s [RFC2410] R. Glenn, S. Kent, The NULL Encryption Algonthm and Its Use With IPsec, RFC 2410, November 1998.
12 11602/ [RFC2411] R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC 2411, November 1998.
5 [RFC2412] H. Orman, The OAKLEY Key Determination Protocol, RFC 2412, November 1998.
NAT: 10 [RFC2694] P. Srisuresh, G. Tsirtsis, P. Akkiraju, and A. Heffernan, DNS extensions to Network Address Translators (DNS_ALG), RFC 2694, September 1999.
15 [RFC3022] P. Shisuresh, K. Egevang, Traditional IP Network Address Translator (Traditional NAT), RFC 3022, January 2001.
ftp.7/ftp.isi.edu/in-notes/rfc3022.txt -.-:20
·:··: KEKSINNÖN KOHDE
• · I
Keksinnön kohteena on viestien turvallisen lähettämisen varmistaminen '·"*·’ mobiilipäätteiltä ja mobiilipäätteille välttämällä edellä kuvattuja tekniikan tason 25 ongelmia.
» $
KEKSINNÖN KUVAUS
30 Keksinnön mukainen menetelmä viestien turvallisen lähettämisen varmistamiseksi _ suoritetaan telekommunikointiverkossa, joka käsittää ainakin yhden päätteen, josta viesti lähetetään ja ainakin yhden toisen päätteen, johon viesti lähetetään.
ia 11602/
Menetelmässä yksi tai useampi turvayhteys aikaansaadaan ensimmäisen päätteen eri osoitteiden ja toisen päätteen osoitteen välillä, yhteyksien määrittäen ainakin näiden kahden päätteen mainitut osoitteet. Kun ensimmäinen pääte liikkuu yhdestä osoitteesta toiseen osoitteeseen, rekisteröidään turvayhteys, jonka päätepisteet ovat ensimmäisen 5 päätteen uusi osoite ja toisen päätteen osoite olemaan ainakin yksi aktiivisista yhteyksistä.
Jos toisen päätteen ja uuden osoitteen välillä ei jo ole turvallista yhteyttä, uusi turvallinen yhteys on muodostettava uuden osoitteen ja toisen päätteen osoitteen 10 välille.
Päätteillä voi useita aktiivisia yhteyksiä. Keksinnössä päätteellä voi eräässä suoritusmuodossa myös olla yksi ainoa turvallinen aktiivinen yhteys kerralla, joka voidaan muuttaa keksinnön mukaisesti sen määrittämiseksi olemaan päätteen sen 15 osoitteen, johon pääte muuttaa, ja toisen päätteen osoitteen, välillä.
Keksinnössä ensimmäinen pääte voi muuttaa verkosta toiseen. Sellainen pääte voi fysikaalisesti olla mobiilipääte tai kiinteä pääte.
‘•'”20 Keksintö koskee lisäksi järjestelmää, joka kykenee suorittamaan keksinnön mukaisen menetelmän. Järjestelmän tunnusmerkit määritellään järjestelmän päävaatimuksessa, : alivaatimuksen määritellessä funktiot, jotka voidaan suorittaa keksinnön mukaisella järjestelmällä.
’·· ·’ 25 Turvalliset yhteydet aikaan saadaan edullisesti muodostamalla turvayhteyksiä, Security Associations, (SA) käyttämällä IPSec protokollia ja välitettävä viesti muodostuu IP- * # ‘..i paketeista. Avaintenvaihto, joka on osa turvallisen yhteyden muodostamista, suoritetaan manuaalisesti tai automaattisesti IKEJIä tai joillain muulla automatisoidulla •;;; avaintenvaihtoprotokollalla.
' ·; ·' 30
Kun muodostetaan uusi turvallinen yhteys, se rekisteröidään käytettäväksi välittömästi ‘ ‘ ja/tai myöhemmin. Rekisteröinti myöhempää käyttöä varten tehdään käyttämällä 14 116027 yhteystaulukkoa, jonka molemmat verkkoasemat ylläpitää ottaen osaa turvallisen yhteyden muodostamiseen. Yhteystaulukkoa käytetään myös esim. kun ensimmäinen pääte muuttaa ja on määritettävä onko turvallinen tunneli jo olemassa uudelle osoitteelle. Taulukko voi esim. olla turvayhteystietokanta (Security Association 5 DataBase, SADB), joka on nimellinen paikka IPSec SA:iden tallentamikseksi IPSec mallissa.
Edullisessa suoritusmuodossa, IPSec turvayhteyksiä käytetään turvallisina yhteyksinä. Taulukko, jonka kautta tietyn IPSec SA:n olemassaolo (joko ensimmäisessä 10 päätteessä tai toisessa päätteessä) määritetään on silloin IPSec Security Association DataBase (SADB).
Kulloinkin käytettävä yhteydet rekisteröidään signalointiviestin avulla tai ensimmäisen päätteen ja toisen päätteen välisillä signalointiviesteillä, esimerkiksi 15 rekisteröintipyynnön, Registration Request, avulla ja mahdollisesti rekisteröintivastausviestin, Registration Reply Message, avulla.
Rekisteröintipyyntö voi päivittää joukon turvayhteyksiä, esimerkiksi yhden ainoan turvayhteyden, turvayhteyden kimpun, IPSec-yhteyden, ryhmän IPSec-yhteyksiä tai ’’***'20 näiden yhdistelmiä. Käytännössä on käyttökelpoista päivittää ainakin yksi ainoa IPSec-yhteys tai ryhmä IPSec-yhteyksiä. Jälkimmäinen voi olla tärkeä jos käytetään erillisiä '·1 1 IPSec-yhteyksiä erilaista liikennettä varten. Yksi ainoa pyyntöviesti voi silloin päivittää kaikki (tai tietyt) sellaiset yhteydet uuteen osoitteeseen, sen sijasta että vaadittaisiin erillisiä pyyntöjä jokaista IPSec-yhteyttä varten. Seuraavassa esitetään tapaus, jossa ·”’ 25 päivitetään yksi ainoa IPSec-yhteys, rajoittamatta keksintöä tähän suoritusmuotoon.
Toinen pääte voi päivittää ensimmäisen päätteen uuden osoitteen automaattisesti kun ensimmäinen pääte lähettää viestin uudesta osoitteestaan.
1; ’ 30 Aktiivinen SA on tallennettu mobiilisuussidos, joka yhdistää tietyn päätteen osoitteen yhteen tai useampaan IPSec-tunnelimenetelmä SA:han (tai nollaan sellaiseen SA:han, ' 1 jos kyseinen pääte ei ole yhdistetty). Näitä mobilisuussidoksia manipuloidaan kun 15 116027 rekisteröintipyyntö- ja rekisteröintivastausveistejä käsitellään, kun paketteja lähetetään ensimmäiselle päätteelle. On mahdollista rajoittaa liikennettä ensimmäisestä päätteestä ainoastaan niihin IPSec SA:hin, jotka tällä hetkellä on rekisteröity mobiilisuussidokseen mutta liikenteen salliminen kaikista jaetuista SA:ista on myös järkevää.
5
Mobiilisuussidos on välttämätön, koska jokainen IPSec-turvayhteys on pätevä liikenteen turvaamiseksi. Ensimmäisellä päätteellä on oltava keino määrittää mikä turvayhteys tai mitä turvayhteyksiä tulisi käyttää paketteja käsiteltäessä. Mobiilisuussidos toimii keksinnössä tässä tarkoituksessa.
10
Ensimmäinen pääte saatta käyttää mitä vain IPSec tunneli SA:ta, joka on yhteinen toisen päätteen kanssa. On mahdollista rajoittaa liikennettä ensimmäisestä päätteestä ainoastaan niihin IPSec SA:hin, jotka ovat tällä hetkellä rekisteröity, mutta tämä ei ole olennainen ominaisuus. Siten, ensimmäinen pääte saattaa käyttää mitä vain IPSec 15 tunneli SA:ta, joka on yhteinen toisen päätteen kanssa paketteja lähettäessä. Toinen pääte voi rajoittaa liikennettä ainoastaan niihin IPSec SA:in, jotka ovat tällä hetkellä aktiivisia mobiilisuussidoksessa mutta liikenteen salliminen kaikista yhteisistä SA:ista on myös järkevää.
'•'"i20 Keksintöä voidaan käyttää suoraan päästä-päähän viestintään, jossa tapauksessa # ” turvallinen tunneli aikaan saadaan näiden päätetietokoneiden välille. Kun se sovelletaan IPSec.iin, tämä tulisi vastata joko IPSec-kuljetusmenetelmä tai tunnelimenetelmä SA:ta. Viesti voidaan myös lähettää ensin välitietokoneelle, jolloin ‘ : välitietokone käärii IPSec tunnelin ulkoisen osoitteen auki ja viesti välitetään *·.·* 25 selvätekstisenä kohdepäätetietokoneelle.
Siten keksinnön ratkaisussa, IPSec turvayhteyttä käytetään IP-IP tunneloinnin sijasta. Keksintöä voidaan käyttää tunnelointiin IPSec kuljetusmenetelmällä ja ulkoisella ····’’ tunnelointimekanismilla, kuten kerroksen 2 tunnelointiprotokollalla, L2TP.
30
Keksinnöllä on seuraavia etuja: 116027 16 Tähän sovellukseen voidaan toimittaa IPSec avaintenhallinta ja vahva autentikointi mukaan lukien assymmetrinen (RSA) autentikointi, Diffie-Hellman avaintenvaihtoalgoritmin käyttö, sertifikaattien käyttömahdollisuus jne.
5 IPSec salaus-ja autentikointimenetelmiä voidaan käyttää suojaamaan sekä signalointia että tietoliikennettä. Tämä antaa luottamuksellisuutta ja eheyttä ja IPSec:n tulevista kehityksistä voidaan hyötyä.
NAT kääntämisongelma voidaan ratkaista käyttämällä mitä vain käytettävissä olevaa 10 NAT kääntömekanismeja !PSec:iä varten. Yhtä menetelmää standardisoidaan tällä hetkellä IPSec:iä varten, mutta mitä vain muuta IPSec NAT kääntömekanismia voidaan käyttää.
Keksintöä voidaan käyttää erilaisissa verkoissa, kuten IPv4 ja IPv6.
15
Seuraavassa keksintöä kuvataan yksityiskohtaisemmin edullisen suoritusmuodon avulla esimerkkiverkossa mutta sitä ei rajata tämän yksityiskohtiin.
':"*20 KUVIOT
Kuvio 1 kuvaa tekniikan tason mobiili IP tunnelointia signalointidiagramman avulla.
Kuvio 2 kuvaa keksinnön mukaista menetelmää siganlointidiagramman avulla.
'••‘25
YKSITYISKOHTAINEN KUVAUS
» » ♦ · ·;;; Kuvion 1 tietoviestintä tapahtuu mobiilipäätteltä kohdeverkkoasemalle X välissä olevan ·.“ 30 tietokoneen kautta, joka toimii kotipalvelimen verkkoasemalle X.
17 11fi27
Mobiilipäätteen kotiosoitteesta lähetetyt paketit voidaan suoraan reitittää välissä olevan tietokoneen kohdeosoitteeseen X, koska kotiosoite on rekisteröity reititintaulukkoihin jonka avulla reititys tapahtuu.
5 Kuvio 1 kuvaa tekniikan tason mukaista menetelmää, jossa IP-IP tunnelointia käytetään tietopakettien reitittämiseksi kun mobiiliverkkoasema liikkuu yhdestä osoitteesta toiseen, so. kotiosoitteesta uuteen osoitteeseen.
Mobiili IP tukee nk. kolmioreititystä, jossa paketit, jotka mobiilipääte lähettää reititään 10 suoraan pakettin vastaanottajalle, ohittamalla kotipalvelin, kun taas mobiilipäätteelle lähetetyt paketit ensin reititetään kotipalvelimelle ja sitten IP-IP tunneloidaan mobiilipäätteelle. Tämä menetelmä on tehokkaampi mutta ei ole yhteensopiva nk. ingressifiltteröintireitittimien kanssa, jotka eivät reititä IP paketteja, joiden lähdeosoitteet ovat topologisesti virheellisiä kuten siinä tapauksessa, jossa mobiilipääte ei ole 15 kotiverkossa. Tämän menetelmän yksityiskohdat ovat erilaisia mutta yleisesti ottaen idea on sama. Yleisempi tapaus, jossa IP-IP tunnelointia käytetään mobiilipäätteen ja kotipalvelimen väliseen liikenteeseen molempiin suuntiin esitetään seuraavassa.
Kuviossa 1, kun mobiilipääte on vieraassa verkossa ja aikoo lähettää paketin ''♦20 kohdeverkkoasemalle X käyttämällä sen hetkistä lainaosoitetta, joka on vieraasta verkosta lainattu osoite, se ensin rakentaa tietopaketin, jonka lähdeosoite on sen kotiosoite - joka ei ole topologisesti oikea osoite siinä verkossa, jossa mobiilipääte tällä » :hetkellä on - ja jonka kohdeosoite on X. Koska paketin lähdeosoite on topologisesti ' * virheellinen, s.o., se ei kuulu siihen verkkoon, jossa mobiilipääte on, jotkut reitittimet, ‘••*25 erityisesti ne jotka soveltavat nk. ingressifiltteröintialgoritmeja, ei reititä pakettia asianmukaisesti. Tämän ylitse pääsemiseksi, paketti kapseloidaan toiseen IP pakettiin; tätä prosessia kutsutaan IP-IP tunneloinniksi tai IP-IP kapseloinniksi. Uusi, ulomman IP alkutunnisteen lähdeosoite on vieraan verkon lainaosoite - joka on topologisesti oikea ···:* osoite - ja ulomman IP alkutunnisteen kohdeosoite on mobiilipäätteen kotipalvelin.
30 Siten sisäisen IP alkutunnisteen lähdeosoite on mobiilipäätteen kotiosoite, kun taas .,;r sisäisen IP alkutunnisteen kohdeosoite on verkkoaseman X osoite. Tämä osoitetaan ’ ·’ kuviossa 1 ilmaisulla IP / IP / data, joka kuvaa viestiä, joka sisältää dataa ja 18 116027 alkuperäisen IP alkutunnisteen, joka kapseloidaan vielä edelleen ulkoiseen IP alkutunnisteeseen reititystarkoituksiin. Tämä IP paketti lähetetään sitten kotipalvelimelle kuvion 1 vaiheessa 1.
5 Kapseloitua IP pakettia vastaanottaessa, kotipalvelin käärii IP-IP tunnelin auki ja etenee kuvion 2 vaiheessa 2 reitittämällä paketti, joka on osoitettu ilmaisulla IP/data, joka paketti oli kapseloinnin sisällä (ulkoisen IP alkutunnisteen sisäpuolella). Reititys suoritetaan sisäisen kohdeosoitteen mukaisesti, jolloin paketilla nyt, aukikäärimisen jälkeen, on mobiilipäätteen kotiosoite lähdeosoitteenaan ja verkkoasema X 10 kohdeosoitteenaan.
Päinvastaiset paketit X:stä mobiilipäätteelle käsitellään vastaavasti; paketti reititetään ensin kotipalvelimelle vaiheessa 3, sitten kapseloidaan IP-IP: hen ja toimitetaan tämän hetkiselle verkolle (vaiheessa 4) jossa mobiilipääte on. Mobiilisuussidos määrää minkä 15 lainaosoitteen tai mihin lainaosoitteisiin paketti välitetään.
Keksinnön mukaisessa menetelmässä käytetään IPSec tunneli- tai kuljetusiturvayhteyttä IP-IP tunneloinnin sijasta. Kuvio 2 kuvaa keksinnön mukaisen menetelmän esimerkkiä viestien lähettämiseksi kun mobiilipääte muuttaa uuteen ':”20 osoitteeseen.
» * » M « · v ; Turvayhteys, edullisesti IPSec turvayhteys SA tai erityisemmin yksi IPSec SA kimppu jokaiseen viestinnän suuntaan, aikaan saadaan lainaosoitteen ja kotipalvelimen
»MM
‘ ‘ osoitteen välille, esim. mobiilipäätteen lainaosoitteen ja kotipalvelimen osoitteen välille. *•••*25 SA:han voi myös sisältyä lisäparametrejä ja attribuutteja, jotka mahdollisesti liittyvät standardi- tai ei-standardi-IPSec:in ominaisuuksiin, kuten NAT käännös, joita » · » tavanomaisesti käytetään SA:issa. Tämän tunnelin läpi lähetettävä viesti merkitään ' IP/IPSec/IP/Data kuviossa 2, kuvaten sitä, että viesti sisältää dataosan, jossa on kohde
IP-osoite ja voidaan lähettää IPSec tunnelin läpi kapseloituna ulkoisella IP
•; ’ 30 alkutunnisteella.
» * ie 116°27 Päinvastaiset paketit X:Itä mobiilipäätteelle käsitellään vastaavasti; paketti reititään ensin kotipalvelimelle vaiheessa 3, sitten IPSec käsitellään käyttämällä IPSec tunnelimenetelmä SA:ta, jonka aikana ulompi IP alkutunniste lisätään pakettiin ja toimitetaan tämän hetkisiin verkkoihin (vaiheessa 4), joissa mobiilipääte tällä hetkellä 5 on.
Kun käytetään IPSec kuljetusmenetelmää, mobiilipääte voi joko viestiä suoraan kotipalvelimen kanssa tai vaihtoehtoisesti ulkoista tunnelointiprotokollaa (joka ei ole IPSec tunnelointi) voidaan käyttää pakettien edelleen reitittämiseksi. Esimerkiksi 10 kerroksen 2 tunnelointiprotokollaa (L2TP) voidaan käyttää IPSec kuljetusmenetelmässä IPSec tunneloinnin kaltaisen funktionaalisuuden aikaan saamiseksi.
Kun mobiilipääte muuttaa uuteen verkkoon se ensin saa vieraassa verkossa olevan lainaosoitteen. Mobiilipääte sitten tarkistaa onko jo SA (tai täsmällisemmin SA kimpun 15 pari) jo olemassa uuden lainaosoitteen ja kotipalvelimen osoitteen välillä.
Tämä tarkistus tehdään normaalisti tarkistamalla turvayhteystietokannan, Security Association DataBase (SADB), sisältö kuten on spesifioitu IPSec protokollassa.
’: ‘20 Ajankohtainen implementointi voi jonkin verran poiketa nimellisestä käsittelystä. Nimellinen malli ja tämän hetkiset käytännöt ovat todellisuudessa jonkin verran • » · v ' toisistaan poikkevia (esim. IPSec:in kovalevyimplementoinnilla on radikaalisesti ' ‘ erilainen ”SADB” implementointi kuin yksinkertainen tarkistus). Jos mobiilipäätteen ja • < I · · kotipalvelimen välinen IPSec turvayhteys SA, joka määrittää mobiilipäätteen laina- • | ’‘•‘‘25 osoitteen yhdessä päässä (mobiilipäätteen uusi osoite ) ja kotipalvelimen osoitteen , toisessa päässä jo on olemassa, tämä SA rekisteröidään olevan tämän hetkinen SA.
• 1 » » « »
* I
Tämä tapahtuu siganalointiviestin tai keskinäisten signalointiviestien avulla ·;;; mobiilipäätteen ja kotipalvelimen välillä, mikä on kuvattu kuvion 2 vaiheessa 5 ja 6.
V’ 30 Viestit edullisesti autentikoidaan ja/tai salataan käyttämällä IPSec:iä ja edullisesti käyttämällä samaa IPSec SA.ta, jota käytetään tavallisen liikenteen salaamiseen.
' 1 Joissakin suoritusmuodoissa ei käytetä vastausta. Vaihe 5 on rekisteröintipyyntö 20 116027 mobiiliverkkoasemalta kotipalvelimelle uuden osoitteen rekisteröimiseksi ja vaihe S on rekisteröintivastaus takaisin mobiilipäätteelle.
Kun SA:ta ei ole uuden laina-osoitteen ja kotipalvelimen välillä, SA asetus tapahtuu 5 kuvion 2 vaiheessa 4 ja 5. Tämä SA asetus voi olla manuaalinen tai siihen voi kuulua jokin automaattinen avaintenvaihtoprotokolla, kuten Internet Key Exchange (IKE).
Vastaanottaessa IPSec.llä suojattu paketti, joka on lähetetty käyttämällä uutta SA:ta, kotipalvelin käsittelee IPSec alkutunnisteet ja käärii alkuperäisen paketin auki IPSec 10 tunnelista, ja reitittää sitten IP paketin verkkoasemalle X. Jos IPSec kuljeusmallia käytetään, kotipalvelin käsittelee IPSec alkutunnisteet ja käsittelee tuloksena saadun selvätekstipaketin suoraan reitittämättä sitä edelleen. Jos kuitenkin käytetään ulkoista tunnelointiprotokollaa, kuten L2TP, tunnelointiprotokolla saattaa paketin edelleen IPSec käsittelyn jälkeen.
15
Kuviossa 2, RREQ ja RREP viestit on esitetty ilman IPSec suojausta. IPSec suoritusmuodossa, IPSec suojatut viesti voitaisiin ilmaista esim. kuten IP / IPSec / IP / RREQ vast. IP / IPSec / IP / RREP sen sijasta että ilmaistaisiin IP / RREQ vast. IP / RREP. Siten, RREQ/RREP voidaan suojata ja yksi suojausmenetelmä olisi IPSec. Jos > '·:20 ne suojataan käyttämällä IPSec:iä voidaan toimittaa olemassa oleva IPSec SA tähän tarkoitukseen. Signalointiviestin tai signalointiviestien IPSec suojaus voi käyttää joko v ·' tunneli- tai kuljetusmenetelmää.
* t * i » * : Lyhennys RREQ kuviossa 2 tarkoittaa rekisteröintipyyntöä, Registration Request, kun ’·· ‘ 25 taas lyhennys RREP tarkoittaa rekisteröintivastausta, Registration Reply. Nämä ovat edullisesti Mobile IP Registration Request ja Registration Reply viestejä, joita käytetään * * ► keksinnössä IPSec:n yhteydessä mutta muita rekisteröintiformaatteja voidaan käyttää. Keksinnön piirissä myös pelkän rekisteröintipyynnön käyttäminen on mahdollista (joka . ei välttämättä ole täsmällisesti Mobile IP formaatti) mutta ilman ' ; * 30 rekisteröintivastausviestiä.
* » 21 116027
Keksintö kattaa myös sellaisen tapauksen, jossa asianmukaisesti autentikoitua liikennettä käytetään implisiittisenä rekisteröintipyyntönä ja mobiilisuussidospäivitys suoritetaan automaattisesti. Erityisenä esimerkkinä, IPSec tunnelimallin SA kimppua, mukaan lukien liikenteen lähettämiseen käytetty AH, jolloin uloimman IP alkutunnisteen 5 osoitteet on AH-autentikoinnin peittämiä, käytetään mobiilipäätteen ja kotipalvelimen välillä. Kun mobiilipääte muuttaa uuteen verkkoon, se lähettää tietopaketin, joka voi olla tyhjä tietopaketti jos ei ole mitään lähetettävää tietoa jota käsitellään käyttämällä IPSec SA kimppua ja lähetetään kotipalvelimelle. Kun kotipalvelin kerran asianmukaisesti autentikoi viestin, mukaan lukien ulomman IP-alkutunnisteen ja määrittää että se tulee 10 osoitteesta, joka eroaa tämän hetkisestä mobiilisuussidoksesta, se saattaa päivittää mobiilisuussidoksen automaattisesti. Sidoksen päivittäminen johtaa siihen, että kaikki sen jälkeiset paketit, jotka kohdistetaan mobiilipäätteeseen, lähetetään käyttämällä päivitettyä mobiilisuussidosta, s.o. uutta osoitetta, jota asiakas käyttää. Siten, mitään erityistä mobiilisuussidoksen päivityssignaalia ei tarvita tässä tapauksessa.
15
Keksinnön kuvausta on yksinkertaistettu selvyyden vuoksi. Keksintöä voidaan laajentaa useilla tavoilla muuttamatta sen takana olevaa ideaa. Muutamia laajennuksia kuvataan seuraavassa.
’·’‘20 Samanaikaisten sidosten mobiili IP konseptia, ja siihen liittyvän liikenteen lähettämistä useaan paikkaan samanaikaisesti kotipalvelimelta mobiilipäätteelle. Tässä tapauksessa • »t mobiilipäätettä kohti lähetettyjä paketteja käsiteltäisiin käyttämällä useita IPSec SA:ita, : yhtä jokaista samanaikaista rekisteröintiä varten ja lähetettäisiin erilaisiin ' ‘ vierasverkkoihin käyttämällä mobiilipäätettä. Tässä tapauksessa rekisteröintiviesti(t) • · ’•••125 sisältää/sisältävät kenttiä, jotka osoittavat kuinka mobiilisuussidos on modifioitava, esim. korvataanko olemassa olevat sidokset tai lisätäänkö uusi sidos olemassa olevien •» t lisäksi. Tietopaketteihin perustuvaa implisiittistä rekisteröintiä voidaan myös käyttää, * 4 ‘; ‘ mahdollisesti yhdessä reksiteröintiviestin tai -viestien sidosten ylläpitämiseksi.
30 Kun IPSec SA:ta ei ole uuden lainaosoitteen ja kotipalvelimen osoitteen välillä ja IPSec SA asetetaan käyttämällä esim. automaattista avaintenvaihtoprotokollaa, SA
22 1 16027 asennuksen loppuunviemistä voidaan käyttää implisiittisenä rekisteröintinä poistamalla ylimääräinen rekisteröinti vaiheessa 5 ja mahdollisesti 6 kuviossa 2.
Kun edellä käytetään termejä ” turvayhteys SA” tai ” turvayhteys SA.iden kimppua”, 5 tämä käytännössä tarkoittaa IPSec SA kimppua molemmissa tapauksissa - yhtä tai useampaa IPSec turvayhteyttä peräkkäin käytettynä - voidaan käyttää liikenteen jokaista suuntaa varten.
Keksintö ei liity erityisesti IPv4- tai IPv6- verkkoihin, vaan sitä voidaan käyttää Mobile 10 IP IPv4:ssä ja Mobile IP IPv6:ssa. Keksintöä voidaan helposti laajentaa tuleviin IPSec versioihin. 1 9 * » 9 · ·

Claims (16)

  1. 23 116027
  2. 1. Menetelmä viestin turvallisen välittämisen varmistamiseksi telekommunikointiverkossa, joka käsittää ainakin yhden ensimmäisen päätteen, 5 josta viesti lähetetään ja ainakin yhden toisen päätteen, johon viesti lähetetään, tunnettu siitä, että a) aikaansaadaan yksi tai useampi turvayhteys ensimmäisen päätteen eri osoitteiden ja toisen päätteen osoitteen välillä, näiden yhteyksien määrittäessä näiden kahden päätteen ainakin mainitut osoitteet, 10 b) ensimmäinen pääte muuttaa ensimmäisestä osoitteesta toiseen osoitteeseen, c) rekisteröidään turvallinen yhteys mainitun toisen osoitteen ja mainitun toisen päätteen osoitteen välille olemaan ainakin yksi käytetyistä ajankohtaisista yhteyksistä.
  3. 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että uusi turvayhteys muodostetaan ensimmäisen päätteen toisen osoitteen ja toisen päätteen osoitteen välille vaiheen c) rekisteröintiä varten, jos turvallista yhteyttä ei jo ole olemassa.
  4. 3. Patenttivaatimuksen 2 mukainen menetelmä, tunnettu siitä, että aikaansaadaan turvayhteys vaiheessa a) ja vaatimuksessa 2 muodostamalla yksi tai useampi turvayhteys, Security Association, SA käyttämällä IPSec protokollia, kuten SAiden kimppua.
  5. 4. Jonkin patenttivaatimuksen 1-3 mukainen menetelmä, tunnettu siitä, että välitettävä viesti muodostuu IP paketeista.
  6. 5. Jonkin patenttivaatimuksen 1 - 4 mukainen menetelmä, tunnettu siitä, että vaiheen b) jälkeen, kun ensimmäisellä päätteellä on aikomus lähettää viesti 30 osoitteesta, johon se on muuttanut, se ensin tarkistaa onko jo olemassa t · | ; turvayhteyttä uuden osoitteen ja toisen päätteen välillä. ί 11602/
  7. 6. Patenttivatimuksen 5 menetelmä, tunnettu siitä että uuden turvayhteyden olemassaolo tarkistetaan yhteystaulukon avulla.
  8. 7. Jonkin patenttivaatimuksen 1 - 6 mukainen menetelmä, tunnettu siitä, että 5 vaiheessa c), käytettävä ajankohtainen yhteys tai käytetyt ajankohtaiset yhteydet rekisteröidään signalointiviestin tai mobiilipäätteen ja toisen päätteen välisen signalointiviestinnän avulla.
  9. 8. Jonkin patenttivaatimuksen 1 - 6 mukainen meneieimä, tunnettu siitä, eitä 10 toinen pääte päivittää mobiilipäätteen uuden (toisen) osoitteen automaattisesti kun ensimmäinen pääte lähettää viestin uudesta osoitteestaan.
  10. 9. Jonkin patenttivaatimuksen 2-8 mukainen menetelmä, tunnettu siitä, että avaintenvaihto, ollen osa turvayhteyden muodostamisesta vaiheessa a) ja 15 vaatimuksessa 2, suoritetaan manuaalisesti.
  11. 10. Jonkin patenttivaatimuksen 2-8 mukainen menetelmä, tunnettu siitä, että avaintenvaihto ollen osa turvayhteyden muodostamisesta vaiheesa a) ja vaatimuksessa 2 suoritetaan IKE:llä tai jollakin muulla automaattisella , 20 avaintenvaihtoprotokollalla.
  12. 11. Jonkin patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, että • · » turvayhteys ensimmäisen päätteen uuden osoitteen ja toisen päätteen välillä ,.,,: rekisteröidään vaiheessa c) välitöntä ja/tai myöhempää käyttöä varten. ;···. 25
  13. 12. Patenttivaatimuksen 11 mukainen menetelmä, tunnettu siitä, että toinen pääte • tekee myöhempää käyttöä varten olevan rekisteröinnin yhteystaulukossa. ,···, 13.Jonkin patenttivaatimuksen 3-12 mukainen menetelmä, tunnettu siitä, että t t * ,···. 30 kun viesti lähetetään turvayhteyden läpi käytetään IPSec kuljetusmallia liikenteen . · . varmistamiseksi mobiilitietokoneen ja kohdetietokoneen välillä. • * t # - * 116027 ^.Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että tunnelointiprotokollaa käytetään yhdessä IPSecin kanssa tunneloinnin mahdollistamiseksi.
  14. 15. Patenttivaatimuksen 14 mukainen menetelmä, tunnettu siitä, että kerroksen 2 tunnelointiprotokollaa, Layer 2 Tunneling Protocoil, L2TP, käytetään yhdessä IPSec:n kanssa tunneloinnin mahdollistamiseksi.
  15. 16. Jonkin patenttivaatimuksen 3-15 mukainen menetelmä, tunnettu siitä että kun 10 lähetetään viesti turvayhteyden läpi käytetään IPSec tunnelimenetelmää liikenteen varmistamiseksi mobiilitietokoneen ja kohdetietokoneen välillä.
  16. 17. Järjestelmä viestin turvallisen välittämisen varmistamiseksi telekommunikointiverkossa, joka käsittää ainakin yhden ensimmäisen päätteen 15 josta viesti lähetetään ja ainakin yhden toisen päätteen johon viesti lähetetään, tunnettu siitä, että siinä on elin turvayhteyksien muodostamiseksi toisen päätteen osoitteen ja ensimmäisen päätteen eri osoitteiden välillä, ,,, t: taulukoita, joissa on luettelo turvayhteyksistä ja • * ,,,.; 20 rekisteröintielimet tälläisten luetteloiden moudostamiseksi. t I I • · » « f ....: 18. Patenttivaatimuksen 17 mukainen järjestelmä, tunnettu siitä, että siinä on elimet : jonkin patenttivaatimuksen 1-16 mukaisen menetelmän suorittamiseksi. • I « a s t » » I * S I I t t t > 2β 116127
FI20011911A 2001-09-28 2001-09-28 Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi FI116027B (fi)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FI20011911A FI116027B (fi) 2001-09-28 2001-09-28 Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
PCT/FI2002/000771 WO2003030488A1 (en) 2001-09-28 2002-09-27 Method and system for ensuring secure forwarding of messages
DE60230326T DE60230326D1 (de) 2001-09-28 2002-09-27 Verfahren und system zur sicherstellung einer sicheren weiterleitung von nachrichten
US10/490,933 US8037302B2 (en) 2001-09-28 2002-09-27 Method and system for ensuring secure forwarding of messages
ES02764898T ES2319171T3 (es) 2001-09-28 2002-09-27 Metodo y sistema para garantizar el reenvio seguro de mensajes.
EP02764898A EP1466458B1 (en) 2001-09-28 2002-09-27 Method and system for ensuring secure forwarding of messages
AT02764898T ATE417445T1 (de) 2001-09-28 2002-09-27 Verfahren und system zur sicherstellung einer sicheren weiterleitung von nachrichten

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011911 2001-09-28
FI20011911A FI116027B (fi) 2001-09-28 2001-09-28 Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi

Publications (3)

Publication Number Publication Date
FI20011911A0 FI20011911A0 (fi) 2001-09-28
FI20011911A FI20011911A (fi) 2003-03-29
FI116027B true FI116027B (fi) 2005-08-31

Family

ID=8561975

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20011911A FI116027B (fi) 2001-09-28 2001-09-28 Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi

Country Status (7)

Country Link
US (1) US8037302B2 (fi)
EP (1) EP1466458B1 (fi)
AT (1) ATE417445T1 (fi)
DE (1) DE60230326D1 (fi)
ES (1) ES2319171T3 (fi)
FI (1) FI116027B (fi)
WO (1) WO2003030488A1 (fi)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI118170B (fi) 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
GB0216000D0 (en) * 2002-07-10 2002-08-21 Nokia Corp A method for setting up a security association
US7804826B1 (en) 2002-11-15 2010-09-28 Nortel Networks Limited Mobile IP over VPN communication protocol
US8244875B2 (en) * 2002-12-13 2012-08-14 ANXeBusiness Corporation Secure network computing
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
ATE402557T1 (de) * 2005-03-31 2008-08-15 Matsushita Electric Ind Co Ltd Schutz der privatsphäre bei mobilen ip-sitzungen
JP4190521B2 (ja) * 2005-07-14 2008-12-03 株式会社東芝 マルチプロトコルアドレス登録方法、マルチプロトコルアドレス登録システム、マルチプロトコルアドレス登録サーバおよびマルチプロトコルアドレス通信端末
US7853691B2 (en) * 2006-11-29 2010-12-14 Broadcom Corporation Method and system for securing a network utilizing IPsec and MACsec protocols
US7937747B2 (en) 2007-03-27 2011-05-03 Panasonic Corporation Privacy protection for mobile internet protocol sessions
US8413243B2 (en) * 2008-02-08 2013-04-02 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for use in a communications network
US8385332B2 (en) * 2009-01-12 2013-02-26 Juniper Networks, Inc. Network-based macro mobility in cellular networks using an extended routing protocol
US20100177752A1 (en) * 2009-01-12 2010-07-15 Juniper Networks, Inc. Network-based micro mobility in cellular networks using extended virtual private lan service
WO2011020624A2 (en) * 2009-08-20 2011-02-24 Nec Europe Ltd. A method for controlling the traffic within a network structure and a network structure
US8711843B2 (en) * 2010-10-29 2014-04-29 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographically generated addresses using backward key chain for secure route optimization in mobile internet protocol
WO2013139399A1 (en) * 2012-03-23 2013-09-26 Nokia Corporation Method for automatic tunneling of ipv6 packets with topologically incorrect source addresses
US8924612B2 (en) * 2012-04-04 2014-12-30 Arm Limited Apparatus and method for providing a bidirectional communications link between a master device and a slave device
US10051000B2 (en) * 2015-07-28 2018-08-14 Citrix Systems, Inc. Efficient use of IPsec tunnels in multi-path environment
US10198724B2 (en) * 2015-08-21 2019-02-05 Mastercard International Incorporated Payment networks and methods for facilitating data transfers within payment networks
US10547597B2 (en) * 2017-01-24 2020-01-28 International Business Machines Corporation Secure network connections
US11108739B2 (en) * 2018-02-20 2021-08-31 Blackberry Limited Firewall incorporating network security information

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6091951A (en) * 1997-05-14 2000-07-18 Telxon Corporation Seamless roaming among multiple networks
US6452915B1 (en) * 1998-07-10 2002-09-17 Malibu Networks, Inc. IP-flow classification in a wireless point to multi-point (PTMP) transmission system
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
EP1159815B1 (en) * 1999-03-17 2005-11-23 3Com Corporation Method and system for distributed network address translation with network security features
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
JP3730480B2 (ja) * 2000-05-23 2006-01-05 株式会社東芝 ゲートウェイ装置

Also Published As

Publication number Publication date
FI20011911A (fi) 2003-03-29
EP1466458A1 (en) 2004-10-13
US20050177722A1 (en) 2005-08-11
EP1466458B1 (en) 2008-12-10
ATE417445T1 (de) 2008-12-15
DE60230326D1 (de) 2009-01-22
WO2003030488A1 (en) 2003-04-10
FI20011911A0 (fi) 2001-09-28
ES2319171T3 (es) 2009-05-05
US8037302B2 (en) 2011-10-11

Similar Documents

Publication Publication Date Title
FI116027B (fi) Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
FI116025B (fi) Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
US6839338B1 (en) Method to provide dynamic internet protocol security policy service
Frankel et al. Ip security (ipsec) and internet key exchange (ike) document roadmap
US7516486B2 (en) Communication between a private network and a roaming mobile terminal
EP1186146B1 (en) A method and arrangement for providing security through network address translations using tunneling and compensations
US7861080B2 (en) Packet communication system
KR100988186B1 (ko) 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치
US20040037260A1 (en) Virtual private network system
US20060182083A1 (en) Secured virtual private network with mobile nodes
US20060171365A1 (en) Method and apparatus for L2TP dialout and tunnel switching
JP2008527826A (ja) 移動ノード間の待ち時間の少ないセキュリティセッションの連続性を提供するための方法および装置
US7623500B2 (en) Method and system for maintaining a secure tunnel in a packet-based communication system
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
FI113597B (fi) Menetelmä viestien lähettämiseksi usean yhteyden läpi
KR20030050550A (ko) 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법

Legal Events

Date Code Title Description
PC Transfer of assignment of patent

Owner name: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

Free format text: NETSEAL MOBILITY TECHNOLOGIES - NMT OY

FG Patent granted

Ref document number: 116027

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: MOBILITY PATENT HOLDING MPH OY

Free format text: MOBILITY PATENT HOLDING MPH OY

PC Transfer of assignment of patent

Owner name: MPH TECHNOLOGIES OY

Free format text: MPH TECHNOLOGIES OY

MM Patent lapsed