FI119863B - Etäasiakkaan aitouden ja oikeuksien varmistaminen - Google Patents

Etäasiakkaan aitouden ja oikeuksien varmistaminen Download PDF

Info

Publication number
FI119863B
FI119863B FI20055442A FI20055442A FI119863B FI 119863 B FI119863 B FI 119863B FI 20055442 A FI20055442 A FI 20055442A FI 20055442 A FI20055442 A FI 20055442A FI 119863 B FI119863 B FI 119863B
Authority
FI
Finland
Prior art keywords
authentication
operator
client terminal
aaa
gateway
Prior art date
Application number
FI20055442A
Other languages
English (en)
Swedish (sv)
Other versions
FI20055442A (fi
FI20055442A0 (fi
Inventor
Jouni Korhonen
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Priority to FI20055442A priority Critical patent/FI119863B/fi
Publication of FI20055442A0 publication Critical patent/FI20055442A0/fi
Priority to DK09177452.1T priority patent/DK2159988T3/en
Priority to PCT/FI2006/050361 priority patent/WO2007023208A1/en
Priority to EP09177452.1A priority patent/EP2159988B1/en
Priority to EP06778544A priority patent/EP1917776A1/en
Publication of FI20055442A publication Critical patent/FI20055442A/fi
Priority to NO20080870A priority patent/NO338710B1/no
Application granted granted Critical
Publication of FI119863B publication Critical patent/FI119863B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Meter Arrangements (AREA)

Description

Etäasiakkaan aitouden ja oikeuksien varmistaminen
Keksinnön ala
Nyt esillä oleva keksintö kohdistuu verkkoturvallisuuteen ja tarkemmin etäasiakkaan aitouden/oikeuksien varmistamiseen.
5 Keksinnön tausta IPSec (IP security) on standardi internet-protokollaviestinnän (IP) turvaamiseksi, jossa salataan ja/tai todennetaan kaikki IP-paketit. Koska IPSec on pakollinen osa IPv6:ta (Internet Protocol version 6), sen odotetaan leviävän laajalle samalla kun IPv6:sta tulee suositumpi. IP-10 Sec-protokollat määritetään IETF RFC:issä 2401-2412.
IPSec on joukko salausprotokollia pakettivirtojen ja avainten vaihtojen turvaamiseksi. IPSec sisältää kaksi protokollaa pakettivirtojen turvaamiseksi, eli Encapsulating Security Payload (ESP) ja Authentication 15 Header (AH), ja yhden avainten vaihtoprotokollan, eli IKE-protokollan (Internet Key Exchange). IKE käyttää Diffie-Hellman -avainten vaihtoa muodostaakseen yhteysjaksolle jaetun salausavaimen, mistä salausavaimet johdetaan. Julkisen avaimen tekniikoita tai vaihtoehtoisesti ennalta jaettuja salausavaimia käytetään varmistamaan viestinnän osa-20 puolten aitous keskenään.
IPSec:iä käytetään pääasiassa virtuaalisten yksityisverkkojen (VPN, Virtual Private Network) rakentamiseksi, jolloin VPN:t käyttävät IKE-protokollaa varmistetun yhteyden muodostamiseksi palvelimen ja etä-25 asiakkaan välillä. IPSec sisältää kaksi toimintatilaa, eli tunnelithan, jossa pakettiliikenteen turvallisuus tarjotaan useille koneille yhdellä solmulla (esim. IPSec yhdyskäytävä), ja kuljetintilan, jossa päätepiste-tietokoneet suorittavat turvakäsittelyn. Jos VPN-yhteysjakso muodostetaan päästä-päähän-VPN-yhteysjaksona etäasiakkaan ja yrityksen 30 yhdyskäytävän välillä, yrityskäyttäjille, jotka pääsevät yritysverkkoon intranetin ulkopuolelta tarjotaan täydellinen yksityisyys ja tietojen koskemattomuus. Kuitenkin koska paketit on salattu päästä päähän asiakkaalta yrityksen VPN-yhdyskäytävään, verkko-operaattorien tai palveluntarjoajien ei ole mahdollista tarjota lisäarvopalvelulta näille yritys- 2 käyttäjille, koska tällaiset palvelut vaativat näkyvyyden pakettiotsikoihin ja sovellustietoihin.
Verkkopohjaisessa VPN:ssä käyttäjän VPN-yhteysjakso lopetetaan IP-5 Sec-yhdyskäytävässä operaattori verkossa, ja toista VPN-yhteysjaksoa (joko IPSec- tai ei-IPSec-yhteysjakso) IPSec-yhdyskäytävästä yrityksen VPN-yhdyskäytävään käytetään tuomaan liikenne operaattori-verkosta yrityksen verkkoon. Koska paketti otsikot ja sovellustiedot tulevat näin näkyviksi operaattori verkossa, operaattori voi tarjota lisäarvo-10 palveluita. Yritysasiakkaille tarjotun verkkopohjaisen VPN-lähestymis-tavan edut ovat ilmeisiä. Yrityksen on mahdollista ulkoistaa lisäarvopalvelulta, jotka vaativat paketin ja sovelluksen otsikon valvontaa, kuten palomuuripalvelu, internet-offload, välimuistipalvelu, jne. Lisäksi koska kaikkien VPN-käyttäjien datapaketit siirretään yhdessä VPN-yh-15 teysjaksossa operaattorilta yrityksen VPN-yhdyskäytävään, VPN-yh-teysjaksotietojen määrä, mukaan luettuna turva-assosiaatiotiedot (Security Association, SA), joita tulee ylläpitää yrityksen VPN-yhdys-käytävässä, voidaan minimoida, ja vastaavasti merkittävä määrä dataa saadaan kerättyä yhdelle VPN-yhteysjaksolle.
20
Kuitenkin IKE-protokolla, tai IKEv2 (versio 2), jota IETF parhaillaan standardoi, ei mahdollista useampaa kuin yhden aitouden/oikeuksien varmennusmenettelyn suorittamista VPN-asiakkaan ja VPN-yhdys-käytävän välillä. Verkkopohjaisessa VPN-lähestymistavassa tämä ai-25 touden/oikeuksien varmennusmenettely suoritetaan operaattori verkon yhdyskäytäväpalvelimessa. Yritykset voivat pitää tätä riittämättömänä sisäisen turvallisuutensa suhteen, ja näin ollen yritykset voivat olla vastahakoisia valitsemaan verkkopohjaista VPN-palvelua. Ylimääräinen aitouden/oikeuksien varmennusmenettely vaatisi monimutkaisem-30 pia ratkaisuja, esim. sisäkkäistä tunnelointia tai ylimääräisen turvaprotokollan IPSec-tunnelin sisällä, joita ei ole kytketty ensimmäiseen aitouden/oikeuksien varmennusmenettelyyn, ja kaiken lisäksi IKEv2 ei tue niitä.
Keksinnön yhteenveto 35 Nyt on keksitty parannettu menetelmä ja menetelmän toteuttava tekninen laitteisto, jolla IKEv2:ta voidaan käyttää varmistamaan etäasiak- 3 kaan aitous ja oikeudet sekä operaattoriverkossa että yritysverkossa. Keksinnön useat eri piirteet sisältävät menetelmän, viestintäjärjestelmän ja päätelaitteen, joille on tunnusomaista se, mitä itsenäisissä patenttivaatimuksissa esitetään. Keksinnön eri suoritusmuotoja on 5 esitetty epäitsenäisissä patenttivaatimuksissa.
Ensimmäisen piirteen mukaisesti keksinnön mukainen menetelmä perustuu etäasiakaspäätelaitteen aitouden/oikeuksien varmennus-menettelyn ajatukseen verkossa, joka käsittää operaattoriyhdyskäytä-10 vän ja operaattorin todennuspalvelimen, ja ulkoisen yhdyskäytävän ja ulkoisen todennuspalvelimen, jossa mainitut todennuspalvelimet sopivat keskenään yhteisestä todennusprotokollasta. Menetelmä käsittää seuraavat vaiheet: muodostetaan varmistettu tunneli asiakkaan päätelaitteen ja operaattorin yhdyskäytävän välille käyttäen salausavaimen 15 vaihtoprotokollaa; varmistetaan asiakaspäätelaitteen aitous ja oikeudet operaattorin todennuspalvelimessa ja kuitataan varmistus asiakas-päätelaitteelle; aloitetaan toinen aitouden/oikeuksien varmistusmenet-tely asiakaspäätelaitteelta kohti ulkoista todennuspalvelinta käyttäen IKE-turva-assosiaatiolla varmistettua tunnelia; muunnetaan ainakin yksi 20 toisessa aitouden/oikeuksien varmistusmenettelyssä mukana oleva viesti operaattorin yhdyskäytävässä mainitun yhteisen todennus-protokollan mukaiseksi siten, että muunnos tapahtuu ulkoisen todennuspalvelimen tukemaan muotoon; ja varmistetaan asiakaspäätelaitteen aitous ja oikeudet ulkoisessa todennuspalvelimessa ja kuita-25 taan varmistus asiakaspäätelaitteelle.
Erään suoritusmuodon mukaisesti toinen tunneli luodaan operaattorin yhdyskäytävän ja ulkoisen yhdyskäytävän välille.
30 Erään suoritusmuodon mukaisesti salausavaimen vaihtoprotokolla on Internet Key Exchange (IKE) -protokolla, jolloin menetelmä edelleen käsittää seuraavat vaiheet: salataan toisessa aitouden/oikeuksien var-mennusmenettelyssä mukana olevat viestit perustetulla IKE-turva-assosiaatiolla (SA, security association), kun niitä siirretään asiakas-35 päätelaitteen ja operaattorin todennuspalvelimen välillä.
4
Erään suoritusmuodon mukaisesti toisessa aitouden/oikeuksien var-mennusmenettelyssä mukana olevat viestit sisältävät ainakin yhden IKEv2 INROMATIONAL -viestien vaihdon, joka käsittää erillisen hyö-tyinformaatiokentän toista aitouden/oikeuksien varmistusmenettelyä 5 varten.
Erään suoritusmuodon mukaisesti vasteena toisen aitouden/oikeuksien varmistusmenettelyn epäonnistumiselle, osoitetaan epäonnistuminen virheviestissä, joka käsittää erillisen hyötyinformaatiokentän toisen 10 aitouden/oikeuksien varmistusmenettelyn epäonnistumista varten.
Keksinnön mukaisella järjestetyllä on merkittäviä etuja. Koska toinen aitouden/oikeuksien varmistusmenettely ulkoista AAA-kokonaisuutta kohden suoritetaan jo luodun IKE SA:n (tai IPSec SA:n) sisällä, liikenne 15 turvataan IKE SA:lla. Lisäksi toinen aitouden/oikeuksien varmistus-menettely ei vaadi IPSec:iä; vaaditaan vain se, että IKEv2-neuvottelua tuetaan. Lisäksi kaksivaiheinen aitouden/oikeuksien varmistusmenettely edullisesti säilyy takautuvasti yhteensopivana nykyisen IKEv2:n kanssa, eli jos asiakkaan päätelaite tai yhdyskäytävä ei tue uusia 20 viestejä, IKEv2-protokollaa voidaan silti käyttää; ainoastaan toisen aitouden/oikeuksien varmistusmenettelyn piirteet eivät ole saatavilla. Yrityksen näkökulmasta kaksivaiheinen aitouden/oikeuksien varmistus-menettely tarjoaa yksinkertaisen tavan tarjota asiakkaan aitouden varmistus myös yritysverkossa. Operaattorin näkökulmasta kaksivaiheinen 25 aitouden/oikeuksien varmistusmenettely yhdistää aitouden/oikeuksien varmistusmenettelyn lähemmin operaattoriverkkoon käyttäen hyväksi olemassa olevaa operaattoriverkon infrastruktuuria. Tämä myös helpottaa operaattoria useiden erilaisten lisäarvopalveluiden tarjoamisessa.
30
Keksinnön toisen piirteen mukaisesti esitetään tietoliikenneverkko, joka käsittää: asiakaspäätelaitteen; operaattorin yhdyskäytävän ja operaattorin todennuspalvelimen; ulkoisen yhdyskäytävän ja ulkoisen toden-nuspalvelimen; jossa verkossa on sovittu yhteisestä todennusproto-35 kollasta mainittujen todennuspalvelimien välillä, jolloin asiakkaan päätelaite ja operaattorin yhdysväylä on järjestetty muodostamaan varmistettu tunneli toistensa välillä käyttäen salausavaimen vaihtoproto- 5 kollaa; operaattorin todennuspalvelin on järjestetty varmistamaan asia-kaspäätelaitteen aitous ja oikeudet ja kuittaamaan varmistus asiakas-päätelaitteelle; asiakaspäätelaite on järjestetty aloittamaan toinen aitouden/oikeuksien varmistusmenettely kohti ulkoista todennuspalve-5 linta käyttäen IKE-turva-assosiaatiolla varmistettua tunnelia; operaattorin yhdyskäytävä on järjestetty muuntamaan ainakin yksi toisessa aitouden/oikeuksien varmistusmenettelyssä mukana oleva viesti mainitun yhteisen todentamisprotokollan mukaiseksi siten, että muunnos tapahtuu ulkoisen todennuspalvelimen tukemaan muotoon; ja ulkoinen 10 todennuspalvelin on järjestetty varmistamaan asiakaspäätelaitteen aitous ja oikeudet ja kuittaamaan varmistus asiakaspäätelaitteelle.
Keksinnön kolmannen piirteen mukaisesti esitetään päätelaite, joka on järjestetty toimimaan keksinnön menetelmän mukaisesti.
15 Piirustukset
Keksinnön useita erilaisia suoritusmuotoja selostetaan seuraavassa tarkemmin viitaten samalla oheisiin piirustuksiin, joissa 20 kuva 1 esittää tavallisen VPN:n käyttötavan, jossa asiakkaan päätelaite muodostaa yhteyden takaisin yritysverkkoonsa IPSec-varmennetun tunnelin kautta; kuva 2 esittää signalointikaaviona nyt esillä olevan keksinnön 25 erään suoritusmuodon mukaisen aitouden/oikeuksien var- mistamismenetelmän; kuva 3a esittää esimerkin hyötyinformaatiotyyppimuodosta nyt esillä olevan keksinnön erään suoritusmuodon mukaiselle avai-30 men vaihtoviestille; kuva 3b esittää toisen esimerkin hyötyinformaatiotyyppimuodosta nyt esillä olevan keksinnön erään suoritusmuodon mukaiselle avaimen vaihtoviestille; ja 35 6 kuva 4 esittää keksinnön erään suoritusmuodon mukaisen asiak-kaspäätelaitteen pelkistettynä lohkokaaviona.
Keksinnön suoritusmuotojen kuvaus 5 Keksinnön piirteiden havainnollistamiseksi joitakin IKEv2:n perus-menettelyitä käsitellään tässä lyhyesti. IKEv2:n tämänhetkisen tilan täydellisempi esitys löytyy Internet-luonnoksesta: “Internet Key
Exchange (IKEv2) Protocol”, draft-ietf-ipsec-ikev2-17, 23.9.2004.
10 IKE suorittaa keskinäisen aitouden varmistuksen kahden osapuolen välillä ja luo IKE-turva-assosiaation (SA), joka sisältää jaettua salaus-informaatiota, jota voidaan käyttää SA:iden luomiseksi tehokkaasti ESP:lle ja/tai AH:lle, ja salausalgoritmien sarjan SA:iden käytettäväksi niiden kuljettaman liikenteen turvaamiseen. Niitä SA:ita ESP:tä ja/tai 15 AH:ta varten, jotka muodostetaan tämän IKE_SA:n kautta, kutsutaan nimellä CHILD_SA:t.
Kaikki IKE-viestinnät koostuvat pyyntöviestin ja vastausviestin pareista. Viestiparia kutsutaan “vaihdoksi”. Kun luodaan IKE_SA, ensimmäistä 20 kahta vaihtoa kutsutaan nimillä IKE_SA_INIT -vaihto ja IKE_AUTH -vaihto. Kun IKE_SA on luotu, seuraavat IKE-vaihdot ovat joko CREATE_CHILD_SA -vaihtoja tai INFORMATIONAL -vaihtoja. Normaalissa menettelyssä on yksi IKE_SA_INIT -vaihtoja yksi IKE_AUTH -vaihto (yhteensä 4 viestiä) IKE_SA:n ja ensimmäisen CHILD_SA:n 25 luomiseksi. Kuitenkin joissakin poikkeustapauksissa voi olla enemmän kuin yksi kutakin näistä vaihdoista. Siitä huolimatta kaikki IKE_SA_INIT -vaihdot tulee saattaa loppuun ennen mitään muita vaihtotyyppejä, sitten kaikki IKE_AUTH -vaihdot tulee saattaa loppuun, ja vasta sitten mikä tahansa määrä CREATE_CHILD_SA ja INFORMATIONAL -vaih-30 toja voi tapahtua missä tahansa järjestyksessä.
IKE-yhteysjakson ensimmäinen vaihto (eli IKE_SA_INIT) neuvottelee turvaparametrit IKE_SA:lle, lähettää nonce:t (’’number used once”, kerran käytetty numero, eli aikamuuttujat, jotka estävät vanhojen viestin-35 töjen uudelleenkäytön toistohyökkäyksissä), ja lähettää Diffie-Hellman -arvot. IKE-yhteysjakson toinen vaihto (eli IKE_AUTH) lähettää identi- 7 teetit, todistaa että näitä kahta identiteettiä vastaavat salausavaimet ovat tiedossa, ja perustaa SA:n ensimmäiselle (ja usein ainoalle) AH:n ja/tai ESP:n CHILD_SA:lle. Näin ollen useissa tapauksissa tarvitaan vain yksi CHILD_SA IPSec-päätepisteiden välillä, eikä ylimääräisiä 5 vaihtoja tarvittaisi..
Kuitenkin seuraavia vaihtoja voidaan käyttää luomaan lisää CHILD_SA:ita saman todennetun päätepisteparin välillä (eli CREATE_CHILD_SA -vaihto) ja aputoimitoimintojen suorittamiseksi, 10 kuten SA:n poisto, virheolosuhteiden raportointi, jne. (eli INFORMATIONAL -vaihto). Näitä seuraavia vaihtoja ei voida käyttää ennen kuin ensimmäiset vaihdot on saatettu loppuun.
Kukin IKE-viesti alkaa IKE-otsikolla (HDR, header), jota seuraa yksi tai 15 useampi IKE-hyötyinformaatio, joita kutakin yksilöi ’’Seuraava hyöty-informaatio” -kenttä edeltävässä hyötyinformaatiossa. Hyötyi nformaa-tiot käsitellään siinä järjestyksessä, missä ne ovat IKE-viestissä kutsumalla ensin IKE-otsikon ’’Seuraava hyötyinformaatio” -kentän mukaista ja sitten itse IKE-hyötyinformaation ’’Seuraava höytyinformaatio” -ken-20 tän mukaista sopivaa käsittelyrutiinia, kunnes nolla ’’Seuraava hyöty-informaatio” -kentän arvona osoittaa, että yhtään hyötyinformaatiota ei seuraa. INFORMATIONAL-pyyntöä ilman hyötyinformaatiota (muu kuin tyhjä salattu syntaksin vaatima hyötyinformaatio) käytetään yleisesti yhteysjakson olemassaolon tarkastamiseen.
25
On olemassa useita hyötyinformaatiotyyppejä, jotka on määritetty käytettäväksi IKE-viesteissä useita eri tarkoituksia varten. Näille hyöty-informaatiotyypeille on varattu arvot välillä 0-255. Hyötyinformaatio-tyypin arvo 0 osoittaa, että ei ole seuraavaa hyötyinformaatiota. Hyö-30 tyinformaatiotyypin arvoja 1-32 käytetään IKEv1:n koodimerkinnöissä. Hyötyinformaatiotyypin arvot 33-48 on määritetty IKEv2:lle erilaisten toimintojen suorittamiseksi IKE-yhteysjakson hallinnassa. Hyötyinformaatiotyypin arvot 49-127 on varattu IANA:lle IKEv2:n tulevia määrityksiä. Hyötyinformaatiotyypin arvot 128-255 ovat yksityistä käyttöä 35 varten osapuolille, jotka sopivat niiden käytöstä keskenään.
8
Julkisen avaimen allekirjoituksia ja jaettuja salausavaimia käyttävän aitouden varmistuksen lisäksi IKE tukee todennusprosessia, jossa käytetään Extensible Authentication Protocol (ΕΑΡ) -menetelmiä, jotka määritetään RFC 3748:ssa. EAP tarjoaa epäsymmetrisen todennus-5 prosessin, joka on suunniteltu käyttäjän aitouden varmistamiseksi palvelimen suuntaan, minkä vuoksi EAP:tä, mikäli sitä käytetään IKE:ssä, tulee käyttää yhdessä julkisen avaimen allekirjoitukseen perustuvassa aitouden varmistuksessa vastaajalta aloittajalle, eli palvelimelta pääte-laiteasiakkaalle päin. Näin ollen EAP toteutetaan IKE:ssä ylimääräisinä 10 IKE AUTH -vaihtoina, jotka tulee saattaa loppuun IKE_SA:n alustamiseksi. IKE sisältää erillisen hyötyinformaatiotyypin määritettynä EAP:tä varten (hyötyinformaatiotyypin arvo 48).
EAP-tunnistusta voidaan edullisesti käyttää hyväksi, jos käytetään eril-15 listä todennuspalvelinta, esim. niin sanottua AAA-järjestelmää (Authentication, Authorization, Accounting) yhdistettynä IPSec-yhdyskäytä-vään. AAA-palvelimet ovat esim. RADIUS- tai Diameter-palvelimia, jota tukevat EAP-todennusta. Todennussignalointi suoritetaan käyttäen käytetylle AAA-järjestelmälle ominaista protokollaa. Vastaavasti palve-20 Iin tarkistaa, että käyttäjän tunnistusinformaatio on oikein, ja mikäli se hyväksytään, palvelin valtuuttaa sitten pääsyn järjestelmään, jota IP-Sec-yhdyskäytävä suojaa ja valitsee IP-osoitteen, L2TP-parametrit, jne. AAA-palvelimelle ilmoitetaan myös milloin yhteysjakso alkaa ja päättyy, jotta käyttäjää voidaan laskuttaa vastaavasti, tai tietoja voi-25 daan käyttää tilastointitarkoituksiin.
Tavallisessa VPN-käyttötapauksessa, kuten kuvassa 1 esitetään, suojattu asiakkaan päätelaite 100 (tavallisesti mobiili päätelaite tai kannettava verkkovieraileva tietokone) ottaa yhteyden takaisin yritys-30 verkkoonsa 106 IPSec-suojatun tunnelin kautta. Liityntäverkko 102 voi olla mikä tahansa kytketty tai langaton viestintäverkko, joka tukee IP-pohjaista viestintää, esim. julkinen Internet, 2G/3G-matkaviestinverkko, tai VVLAN-verkko. Tunneli perustetaan operaattoriverkon 104 tunneli-yhdyskäytävän 108 (esim. IPSec-yhdyskäytävä) kautta yritysverkon 35 106 IPSec-yhdyskäytävään 112. Sekä operaattoriverkko 104 että yri tysverkko 106 voivat edelleen sisältää AAA-järjestelmät 110, 114 päätelaitteen aitouden ja oikeuksien varmistamiseksi. Päätelaitteen käyt- 9 täjä voi käyttää tätä tunnelia vain päästäkseen yritysverkon tietoihin, tai kaikki päätelaitteen liikenne voidaan tunneloida takaisin yritysverkon kautta jotta hyödynnettäisiin yrityksen palomuurin tarjoamaa suojaa. Kummassakin tapauksessa päätelaite vaatii yrityksen IPSec-yhdys-5 käytävään liittyvän IP-osoitteen, jotta siihen palautetut paketit kulkevat ensin turvayhdyskäytävään ja tunneloidaan sitten takaisin.
Kuvan 2 signalointikaaviossa havainnollistetaan tarkemmin aitou-den/oikeuksien varmennusmenetelmän erästä suoritusmuotoa, joka 10 käyttää hyväkseen IKEv2:ta asiakkaan päätelaitteen kaksivaiheisen aitouden/oikeuksien varmistuksen suorittamiseksi, eli ensimmäisessä vaiheessa vasten operaattorin AAA-järjestelmää ja toisessa vaiheessa vasten ulkoista AAA-järjestelmää. Toiminta alkaa kun päästä-päähän-IPSec-tunnelin perustaminen päätelaitteen (CL) ja operaattorin IPSec-15 yhdyskäytävän (OP GW) välillä alkaa. Tämä sisältää edellä kuvatun perus-IKEv2-neuvottelun, eli IKE_SA_INIT -vaihto (200) ja IKE AUTH -vaihto (202) suoritetaan päätelaitteen ja IPSec-yhdyskäytävän välillä.
Kuitenkin koska todellinen oikeuksien varmistaminen suoritetaan ope-20 raattorin AAA-järjestelmässä (OP AAA), IKE_SA:n alustus sisältää lisää IKE_AUTH -vaihtoja (204). Jos AAA-oikeuksien varmistaminen suoritetaan EAP-oikeuksien varmistamisena, EAP-hyötyinformaatio-tyyppiä käytetään oikeuksien varmistustietojen koteloimiseen ja siirtämiseen (206) AAA-järjestelmään. AAA-järjestelmä tarkistaa (208) oike-25 uksien varmistustiedot, ja mikäli ne hyväksytään (eli varmistetaan, että tilaaja on operaattorin asiakas ja että hänellä on oikeudet palveluun ), operaattorin AAA-järjestelmä myöntää pääsyn verkkoon ja kuittaa tämän IPSec-yhdyskäytävän kautta päätelaitteeseen (210, 212). Tämän jälkeen perustetaan (214) varmistettu IPSec-tunneli päätelaitteen ja 30 operaattorin yhdyskäytävän välillä.
Nyt päinvastoin kuin tavanomaisessa IKEv2-neuvottelussa, päätelaite aloittaa uuden aitouden/oikeuksien varmistusmenettelyn jo perustetun IKE SA:n (tai IPSec SA:n) sisällä kohti ulkoista AAA-entiteettiä (esim. 35 yrityksen AAA-järjestelmä). Erään suoritusmuodon mukaisesti tämä uusi aitouden/oikeuksien varmistusmenettely suoritetaan käyttäen 10 IKEv2 INFORMATIONAL -vaihtoa (216), jolle määritetään uusi hyöty-informaatiotyyppi, joka on omistettu tätä tarkoitusta varten.
Vastaavasti operaattorin IPSec-yhdyskäytävä muuntaa (218) tämän 5 uuden IKEv2 INFORMATIONAL -vaihdon hyötyinformaation sisällä kuljetettavat AAA-viestit/protokollat standardin mukaiseksi AAA-proto-kollaksi (esim. RADIUS/Diameter), jota ulkoinen AAA-järjestelmä tukee. Sitten operaattorin IPSec-yhdyskäytävä lähettää (220) viestit ulkoiseen AAA-järjestelmään, joka tarkistaa (222) oikeuksien varmistus-10 tiedot. Jälleen jos ulkoinen AAA-järjestelmä hyväksyy oikeuksien var-mistustiedot (eli varmistetaan, että tilaaja on oikeutettu palveluun), ulkoinen AAA-järjestelmä myöntää pääsyn ulkoiseen verkkoon (esim. yritysverkkoon). Sitten ulkoinen AAA-järjestelmä vahvistaa (224) pääsyn hyväksynnän päätelaitteelle standardin mukaista AAA-protokollan 15 vastausviestiä käyttäen. Vastaavasti jos ulkoinen AAA-järjestelmä ei hyväksy oikeuksien varmistustietoja (eli tilaajalle ei toimiteta palvelua), ulkoinen AAA-järjestelmä kieltää pääsyn ulkoiseen verkkoon, minkä päätelaite myös vahvistaa käyttäen vastausviestiä.
20 Operaattorin IPSec-yhdyskäytävä tulkitsee AAA-vastausviestin ja muuntaa (226) sen IKEv2 INFORMATIONAL -vaihdoksi, joka käsittää tähän tarkoitukseen sovitetun hyötyinformaation, minkä jälkeen operaattorin IPSec-yhdyskäytävä saattaa IKEv2 INFORMATIONAL -vaihdon loppuun (228). Jos pääsy myönnetään, operaattorin IPSec-yhdys-25 käytävä perustaa (230) toisen tunnelin ulkoisen verkon IPSec-yhdys-käytävään. On huomattava, että tämän operaattorin IPSec-yhdys-käytävän ja ulkoisen verkon IPSec-yhdyskäytävän välisen tunnelin ei välttämättä tarvitse olla IPSec-tunneli, vaan se voi olla mikä tahansa IP-tunneli. Toisaalta jos pääsy kielletään, operaattorin IPSec-yhdys-30 käytävä alkaa lopettaa jo perustettua IPSec-tunnelia operaattorin yhdyskäytävän ja päätelaitteen välillä.
Näin ollen suoritusmuodon mukaisessa kaksivaiheisessa aitou-den/oikeuksien varmistusmenettelyssä toinen aitouden/oikeuksien 35 varmistusmenettely suoritetaan jo perustetun IKE SA:n sisällä, jolloin viestit toisessa vaiheessa edullisesti salataan IKE SA:lla. Tällöin toinen aitouden/oikeuksien varmistusmenettelyn ja toisen vaiheen tunnelin ei 11 välttämättä tarvitse tukea koko IPSec:iä; vaaditaan vain se, että yhdyskäytävät tukevat IKEv2-neuvottelua.
Erään suoritusmuodon mukaisesti yhdyskäytävät ja perustetut tunnelit 5 ovat tilatietoisia siinä määrin, että muutos yhdessä tunnelissa vaikuttaa suoraan myös toiseen tunneliin. Tämä voidaan toteuttaa helposti, koska operaattorin IPSec-yhdyskäytävä tulkitsee AAA-vastausviestit ja ohjaa toimintaa vastaavasti. Esimerkiksi jos ensimmäisen vaiheen tunneli poistetaan, myös toisen vaiheen tunneli poistetaan, ja päinvastoin. 10 Vastaavasti jos toisen vaiheen aitouden/oikeuksien varmennusmenet-tely tuottaa pääsyn kieltämisen, ensimmäisen vaiheen tunneli poistetaan automaattisesti. Jäljellä olevan tunnelin varsinaisen poistomenettelyn voi aloittaa joko operaattorin IPSec-yhdyskäytävä tai asiakkaan päätelaite. Tämä on merkittävä etu verrattuna olemassa oleviin ratkai-15 suihin, jolloin tunnelin poisto päätelaitteen ja operaattorin yhdyskäytävän välillä vaatii sen, että erikseen havaitaan ettei ulkoista tunnelia ole enää olemassa.
Erään suoritusmuodon mukaisesti toisen vaiheen aitouden/oikeuksien 20 varmistusmenettely suoritetaan käyttäen IKEv2:n INFORMATIONAL-vaihtoa, jossa määritetään uusi hyötyinformaatiotyyppi, joka on omistettu tätä tarkoitusta varten. IKEv2 sisältää hyötyinformaatiotyyppejä useiden erilaisten AAA-mekanismien siirtämiseksi, esim. EAP-hyöty-informaatio ja CERT-hyötyinformaatio. Erään suoritusmuodon mukai-25 sesti näitä olemassa olevia hyötyinformaatiotyyppejä voidaan käyttää uudelleen kun määritetään uusi hyötyinformaatiotyyppi siten, että uuden hyötyinformaatiomuodon rakenne voi olla muuten samantapainen kuin nämä EAP- ja CERT-hyötyinformaatiotyypit, mutta hyötyinformaa-tiotyypin määrittävän ’’Seuraava Hyötyinformaatio” -kentän arvojen tu-30 lee luonnollisesti olla erilaiset.
Näin ollen kuvissa 3a ja 3b esitetään kaksi mahdollista hyötyinformaa-tiotyyppimuotoa uutta hyötyinformaatiotyyppiä varten . Kuvan 3a hyö-tyinformaatiotyyppimuoto käyttää uudelleen EAP-hyötyinformaatio-35 muodon rakennetta, jossa viestin otsikon ensimmäinen tavu sisältää "Seuraava Hyötyinformaatio” -kentän, jossa höytyinformaatiotyypin arvo määritetään. Uudelle hyötyinformaatiotyypille voidaan edullisesti 12 varata mikä tahansa käyttämätön arvo IANA:lle varatuista höytyinfor-maatiotyyppiarvoista 49-127. Viestin otsikon toinen tavu sisältää lippuja, joissa ’’kriittinen” lippu (C) asetetaan nollaksi (C=0) jos lähettäjä haluaa vastaanottajan ohittavan tämän hyötyinformaation (äänetön 5 hylkäys), mikäli se ei ymmärrä hyötyinformaatiotyypin koodia Seuraava Hyötyinformaatio -kentässä, ja se asetetaan olemaan yksi (C=1), jos lähettäjä haluaa vastaanottajan hylkäävän koko tämän viestin ja vastaavan virheviestillä UNSUPPORTED_CRITICAL_PAYLOAD Ilmoitus-hyötyi nformaatiossa, mikäli se ei ymmärrä hyötyinformaatiotyyppiä. 10 Loput toisen tavun lipuista lähetetään nollina ja ne jätetään huomioimatta vastaanotettaessa. Seuraavat kaksi tavua varataan “Hyötyinformaation Pituus” -kentälle, joka osoittaa senhetkisen hyötyinformaation pituuden, mukaan luettuna geneerinen hyötyinformaation otsikko. Sitten otsikkoa seuraa varsinainen AAA-viesti.
15
Kuva 3b esittää toisen mahdollisen hyötyinformaatiotyyppimuodon uudelle hyötyinformaatiotyypille, jossa hyötyinformaatiotyyppimuoto uudelleenkäyttää CERT-hyötyinformaatiomuodon rakennetta. Sertifikaat-tihyötyinformaatio tarjoaa välineen sertifikaattien tai muun oikeuksien 20 varmistamiseen liittyvän tiedon siirtämiseen IKE:n kautta. Näin ollen on siis mahdollista käyttää hyväksi sertifikaatteja oikeuksien varmistus-menettelyssä kohti ulkoista AAA-järjestelmää. Sertifikaatti hyöty informaatiot liitetään mukaan vaihtoon, jos sertifikaatit ovat lähettäjän saatavilla. Otsikkokentän neljä tavua ovat jälleen samanlaisia kuin kuvassa 25 3a esitetyssä hyötyinformaatiotyyppimuodossa. CERT-hyötyinformaa-tiomuoto sisältää “Cert Encoding” -kentän, joka osoittaa sertifikaatin tyypin tai ’’Sertifikaattidata” -kentässä olevaa sertifikaattiin liittyvää tietoa. Alkuperäisen Sertifikaattihyötyinformaation hyötyinformaatiotyypin arvo on 37, mutta tämän uuden hyötyinformaatiotyypin erottamiseksi 30 sille määritetään edullisesti mikä tahansa käyttämättömistä hyötyinfor-maatiotyyppiarvoista 49-127.
Erään suoritusmuodon mukaisesti IKEv2:lle määritetään ainakin yksi uusi virheviesti ja vastaava virhekoodi. IKEv2:ssa virhetilanteista il-35 moitetaan käyttäen llmoitushyötyinformaatiota, joka voi olla missä tahansa vastausviestissä yleensä määrittäen miksi pyyntö hylättiin, missä tahansa INFORMATIONAL-vaihdossa, tai missä tahansa 13 muussa viestissä osoittamaan lähettäjän kykyjä tai muuttamaan pyynnön merkitystä. IKEv2 sisältää virheviestin AUTHENTICATI-ON_FAILED, jolla on virhekoodi 24. Vastaavasti uusi virheviesti on edullisesti määritetty olemaan SECOND_AUTHENTICATION_FAILED, 5 ja sille voidaan määrätä mikä tahansa käyttämättömistä virhekoodiar-voista välillä 0-16383.
Käyttäen edellä kuvattuja höytyinformaatioviestejä kaksivaiheinen ai-touden/oikeuksien varmennusmenettely edullisesti säilyy takautuvasti 10 yhteensopivana nykyisen IKEv2:n kanssa, eli jos asiakkaan päätelaite tai yhdyskäytävä ei tue uusia viestejä, IKEv2-protokollaa voidaan silti käyttää; ainoastaan toisen aitouden/oikeuksien varmistusmenettelyn piirteet eivät ole saatavilla. Siitä huolimatta alan ammattilaiselle on selvää, että edellä esitetyt hyötyinformaatioviestit ovat vain satunnaisia 15 esimerkkejä sopivista hyötyinformaatioviesteistä INFORMATIONAL- vaihdolle, ja on olemassa useita muita mahdollisuuksia määrittää viestejä.
Lisäksi erään suoritusmuodon mukaisesti edellä kuvattu kaksivaiheinen 20 aitouden/oikeuksien varmistusmenettely voidaan suorittaa siten, että INFORMATIONAL-vaihdon käyttämisen sijaan menettelylle määritetään kokonaan uusi vaihtotyyppi.
Keksintö on edullisesti sovellettavissa asiakkaan päätelaitteen aitou-25 den/oikeuksien varmistuksessa minkä tahansa pääsyteknologian kautta, joka on suunniteltu kolmannen sukupolven (3GPP) tai minkä tahansa seuraavan sukupolven matkaviestinverkoille. Keksintö on erityisen käyttökelpoinen tarjottaessa lisää aitouden/oikeuksien varmis-tusmenettelyä tilanteessa, jossa matkaviestinverkkopalveluihin tarjo-30 taan pääsy valtuuttamattomien spektriteknologioiden kautta, mukaan luettuna Bluetooth ja IEEE 802.11. Näihin liityntäkaavioihin kuuluvat ainakin Unlicensed Mobile Access (UMA) -teknologia, 3GPP GAN ja 3GPP Ι-WLAN. Vastaavasti edellä kuvattu operaattorin IPSec-yhdys-käytävä voi edullisesti olla 3GPP l-WLAN Packet Data Gateway (PDG), 35 joka sisältyy 3GPP-arkkitehtuuriin (Release 6). Luonnollisesti WLAN-verkkoa voidaan käyttää liityntäverkkona ilman mitään matkaviestinverkkoa välissä.
14
Asiakaspäätelaitteet A ja B voivat olla sinänsä tunnettuja PC-pohjaisia tietokoneita, jotka ovat, yhdistettynä mihin tahansa tietoverkkoon, tai asiakaspäätelaitteet A ja B voivat olla langattomia päätelaitteita, kuten 5 matkaviestimiä tai PDA-laitteita liitettynä mihin tahansa tietoverkkoon matkaviestinverkon kautta. Näin ollen asiakaspäätelaite käsittää, kuten kuvassa 4 on havainnollistettu, muistin MEM, käyttöliittymän UI, l/O-vä-lineen I/O tiedonsiirron järjestämiseksi muiden laitteiden kanssa, ja yhden tai useamman keskusyksikön CPU, joka käsittää ainakin yhden 10 prosessorin. Muisti MEM sisältää haihtumattoman osan keskusyksikköä CPU ohjaavien sovellusten ja muun tallennettavan tiedon tallentamiseksi, ja haihtuvan osan käytettäväksi väliaikaisessa tiedonkäsittelyssä.
15 Suoritusmuotojen toiminnot on edullisesti automatisoitu asiakaspääte-laitteissa siten, että mitään käyttäjältä ei vaadita erillisiä toimenpiteitä suoritusmuotojen mukaisen aitouden/oikeuksien varmistusmenettelyn aikana. Suoritusmuotojen mukaiset vaiheet voidaan pääosin toteuttaa ohjelmakomennoilla, jota suoritetaan kuvassa 4 esitetyssä asiakkaan 20 päätelaitteen keskusyksiköissä CPU. Näin ollen mainitut välineet edellä kuvatun menetelmän suorittamiseksi on edullisesti toteutettu ohjelmis-tokoodina. Ohjelmisto voidaan tallentaa mihin tahansa muistivälineelle, kuten PC:n kovalevylle tai CD-ROM -levylle, josta se voidaan ladata asiakaspäätelaitteen muistiin. Ohjelmisto voidaan ladata myös verkon 25 kautta, esimerkiksi käyttäen TCP/IP-protokollapinoa. On myös mahdollista käyttää laitteistoratkaisuja tai laitteisto- ja ohjelmistoratkaisujen yhdistelmää keksinnöllisten välineiden toteuttamiseksi.
On selvää, että nyt esillä oleva keksintö ei rajoitu pelkästään edellä 30 esitettyihin suoritusmuotoihin vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.

Claims (13)

1. Menetelmä etäasiakaspäätelaitteen (100; CL) aitou-den/oikeuksien varmistuksen tarjoamiseksi verkossa, joka käsittää 5 operaattorin yhdyskäytävän (108; OP GW) ja operaattorin todennus-palvelimen (110; OP AAA), ja ulkoisen yhdyskäytävän (112; Corp GW) ja ulkoisen todennuspalvelimen (114; Corp AAA), jossa mainitut toden-nuspalvelimet sopivat keskenään yhteisestä todennusprotokollasta, joka menetelmä käsittää: 10 muodostetaan (200, 202) varmistettu tunneli asiakaspääte- laitteen (100; CL) ja operaattorin yhdyskäytävän (108; OP GW) välille käyttäen salausavaimen vaihtoprotokollaa; varmistetaan (208) asiakaspäätelaitteen aitous ja oikeudet operaattorin todennuspalvelimessa (110; OP AAA) ja kuitataan (210, 15 212) varmistus asiakaspäätelaitteelle (100; CL), tunnettu siitä, että aloitetaan (216) toinen aitouden/oikeuksien varmistusme-nettely asiakaspäätelaitteelta (100; CL) kohti ulkoista todennuspalve-linta (114; Corp AAA) käyttäen IKE-turva-assosiaatiolla (SA, security association) varmistettua tunnelia; 20 muunnetaan (218) ainakin yksi toisessa aitouden/oikeuksien varmistusmenettelyssä mukana oleva viesti operaattorin yhdyskäytävässä (108; OP GW) mainitun yhteisen todennusprotokollan mukaiseksi siten, että muunnos tapahtuu ulkoisen todennuspalvelimen (114; Corp AAA) tukemaan muotoon; ja 25 varmistetaan (222) asiakaspäätelaitteen aitous ja oikeudet ulkoisessa todennuspalvelimessa (114; Corp AAA) ja kuitataan (224, 228) varmistus asiakaspäätelaitteelle (100; CL).
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu 30 siitä, että vasteena sille, että mainittu toinen aitouden/oikeuksien var-mistusmenettely onnistuu, muodostetaan (230) toinen tunneli operaattorin yhdyskäytävän (108; OP GW) ja ulkoisen yhdyskäytävän välille (112; Corp GW). 35
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu siitä, että salausavaimen vaihtoprotokolla on Internet Key Exchange (IKE) -protokolla, jolloin menetelmä edelleen käsittää: salataan toisessa aitouden/oikeuksien varmennusmenette-5 lyssä mukana olevat viestit perustetulla IKE-turva-assosiaatiolla (SA, security association), kun niitä siirretään asiakaspäätelaitteen ja operaattorin todennuspalvelimen välillä.
4. Patenttivaatimuksen 3 mukainen menetelmä, tunnettu 10 siitä, että toisessa aitouden/oikeuksien varmistusmenettelyssä mukana olevat viestit sisältävät ainakin yhden IKEv2 INFORMATIONAL -viestien vaihdon, joka käsittää erillisen hyötyinformaatiokentän toista aitouden/oikeuksien varmistusmenettelyä varten. 15
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että vasteena toisen aitouden/oikeuksien varmistusmenettelyn epäonnistumiselle, osoitetaan epäonnistuminen virheviestissä, joka kä-20 sittää erillisen hyötyinformaatiokentän toisen aitouden/oikeuksien varmistusmenettelyn epäonnistumista varten.
6. Tietoliikenneverkko, joka käsittää: asiakaspäätelaitteen (100; CL); 25 operaattorin yhdyskäytävän (108; OP GW) ja operaattorin todennuspalvelimen (110; OP AAA); ulkoisen yhdyskäytävän (112; Corp GW) ja ulkoisen todennuspalvelimen (114; Corp AAA); jossa verkossa on sovittu yhteisestä todennusprotokollasta 30 mainittujen todennuspalvelimien välillä, jossa asiakaspäätelaite (100; CL) ja operaattorin yhdyskäytävä (108; OP GW) on järjestetty muodostamaan (200, 202) varmistettu tunneli toistensa välillä käyttäen salausavaimen vaihtoprotokollaa; operaattorin todennuspalvelin (110; OP AAA) on järjestetty 35 varmistamaan (208) asiakaspäätelaitteen aitous ja oikeudet ja kuittaamaan (210, 212) varmistus asiakaspäätelaitteelle (100; CL); tunnettu siitä, että asiakaspäätelaite (100; CL) on järjestetty aloittamaan (216) toinen aitouden/oikeuksien varmistusmenettely kohti ulkoista toden-nuspalvelinta (114; Corp AAA) IKE-turva-assosiaatiolla (SA, security association) turvattua tunnelia käyttäen; 5 operaattorin yhdyskäytävä (108; OP GW) on järjestetty muuntamaan (218) ainakin yksi toisessa aitouden/oikeuksien varmis-tusmenettelyssä mukana oleva viesti mainitun yhteisen todennusproto-kollan mukaiseksi siten, että muunnos tapahtuu ulkoisen todennuspal-velimen (114; Corp AAA) tukemaan muotoon; ja 10 ulkoinen todennuspalvelin (114; Corp AAA) on järjestetty varmistamaan (222) asiakaspäätelaitteen aitous ja oikeudet ja kuittaamaan (224, 228) varmistus asiakaspäätelaitteelle (100; CL).
7. Patenttivaatimuksen 6 mukainen tietoliikenneverkko, tun-15 nettu siitä, että vasteena sille, että mainittu toinen aitouden/oikeuksien varmistusmenettely onnistuu, operaattorin yhdyskäytävä (108; OP GW) on järjestetty muodostamaan (230) toinen tunneli ulkoiseen yhdyskäytävään (112; Corp GW) pääsyn myöntämiseksi päätelaitteelle. 20
8. Patenttivaatimuksen 6 tai 7 mukainen tietoliikenneverkko, tunnettu siitä, että salausavaimen vaihtoprotokolla on Internet Key Exchange (IKE) -protokolla; ja 25 toisessa aitouden/oikeuksien varmistusmenettelyssä muka na olevat viestit, kun niitä siirretään asiakaspäätelaitteen ja operaattorin todennuspalvelimen välillä, on järjestetty salattaviksi perustetulla IKE-turva-assosiaatiolla (SA, security association)
9. Patenttivaatimuksen 8 mukainen tietoliikenneverkko, tun nettu siitä, että toisessa aitouden/oikeuksien varmistusmenettelyssä mukana olevat viestit sisältävät ainakin yhden IKEv2 INFORMATIONAL -viestien vaihdon, joka käsittää erillisen hyötyinformaatiokentän toista 35 aitouden/oikeuksien varmistusmenettelyä varten.
10. Patenttivaatimuksen 9 mukainen tietoliikenneverkko, tunnettu siitä, että vasteena sille, että toinen aitouden/oikeuksien varmistus-menettely ei onnistu, epäonnistuminen on järjestetty osoitettavaksi vir-5 heviestissä erillisellä hyötyinformaatiokentällä toisen aitouden/oikeuksien varmistusmenettelyn epäonnistumista varten.
11. Tietoliikenneverkon päätelaite (100; CL), joka päätelaite käsittää: 10 välineet (CPU; I/O) varmistetun tunnelin muodostamiseksi päätelaitteen (100; CL) ja operaattorin yhdyskäytävän (108; OP GW) välillä käyttäen salausavaimen vaihtoprotokollaa; välineet (I/O) aitouden/oikeuksien varmistuskuittauksen vastaanottamiseksi operaattorin todennuspalvelimelta (110; OP AAA), 15 tunnettu siitä, että päätelaite edelleen käsittää välineet (CPU; I/O) toisen aitouden/oikeuksien varmistus-menettelyn aloittamiseksi kohti ulkoista todennuspalvelinta (114; Corp AAA) käyttäen IKE-turva-assosiaatiolla (SA, security association) varmistettua tunnelia; ja 20 välineet (I/O) aitouden/oikeuksien varmistuskuittauksen vas taanottamiseksi ulkoiselta todennuspalvelimelta (114; Corp AAA).
12. Patenttivaatimuksen 11 mukainen päätelaite, tunnettu siitä, että 25 salausavaimen vaihtoprotokolla on Internet Key Exchange (IKE) -protokolla; jolloin päätelaite käsittää: välineet (CPU) toisessa aitouden/oikeuksien varmistusme-nettelyssä mukana olevien viestien salaamiseksi perustetulla IKE-turva-assosiaatiolla (SA). 30
13. Patenttivaatimuksen 12 mukainen päätelaite, tunnettu siitä, että päätelaite käsittää: välineet (CPU) ainakin yhden IKEv2 INFORMATIONAL -viestien vaihdon kokoamiseksi erillisellä toisen aitouden/oikeuksien 35 varmistusmenettelyn hyötyinformaatiokentällä sisällytettäväksi viesteihin, jotka ovat mukana toisessa aitouden/oikeuksien varmistusmenette-lyssä.
FI20055442A 2005-08-22 2005-08-22 Etäasiakkaan aitouden ja oikeuksien varmistaminen FI119863B (fi)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20055442A FI119863B (fi) 2005-08-22 2005-08-22 Etäasiakkaan aitouden ja oikeuksien varmistaminen
DK09177452.1T DK2159988T3 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
PCT/FI2006/050361 WO2007023208A1 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
EP09177452.1A EP2159988B1 (en) 2005-08-22 2006-08-21 Authentication and authorisation of a remote client
EP06778544A EP1917776A1 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
NO20080870A NO338710B1 (no) 2005-08-22 2008-02-19 Fremgangsmåte for å tilveiebringe en autentisering/autorisering av en ekstern klientterminal, et kommunikasjonsnettverk og en terminal for et kommunikasjonsnettverk

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20055442 2005-08-22
FI20055442A FI119863B (fi) 2005-08-22 2005-08-22 Etäasiakkaan aitouden ja oikeuksien varmistaminen

Publications (3)

Publication Number Publication Date
FI20055442A0 FI20055442A0 (fi) 2005-08-22
FI20055442A FI20055442A (fi) 2007-02-23
FI119863B true FI119863B (fi) 2009-04-15

Family

ID=34896341

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20055442A FI119863B (fi) 2005-08-22 2005-08-22 Etäasiakkaan aitouden ja oikeuksien varmistaminen

Country Status (5)

Country Link
EP (2) EP2159988B1 (fi)
DK (1) DK2159988T3 (fi)
FI (1) FI119863B (fi)
NO (1) NO338710B1 (fi)
WO (1) WO2007023208A1 (fi)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2475237B (en) 2009-11-09 2016-01-06 Skype Apparatus and method for controlling communication signalling and media
GB2475236A (en) * 2009-11-09 2011-05-18 Skype Ltd Authentication arrangement for a packet-based communication system covering public and private networks
GB201005454D0 (en) 2010-03-31 2010-05-19 Skype Ltd Television apparatus
US9717090B2 (en) 2010-12-31 2017-07-25 Microsoft Technology Licensing, Llc Providing notifications of call-related services
US8963982B2 (en) 2010-12-31 2015-02-24 Skype Communication system and method
US10404762B2 (en) 2010-12-31 2019-09-03 Skype Communication system and method
US10291660B2 (en) 2010-12-31 2019-05-14 Skype Communication system and method
US9019336B2 (en) 2011-12-30 2015-04-28 Skype Making calls using an additional terminal
GB201301452D0 (en) 2013-01-28 2013-03-13 Microsoft Corp Providing notifications of call-related services
US10609008B2 (en) 2017-06-08 2020-03-31 Nxp Usa, Inc. Securing an electronically transmitted communication

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router

Also Published As

Publication number Publication date
NO20080870L (no) 2008-04-21
FI20055442A (fi) 2007-02-23
FI20055442A0 (fi) 2005-08-22
NO338710B1 (no) 2016-10-03
WO2007023208A1 (en) 2007-03-01
EP1917776A1 (en) 2008-05-07
DK2159988T3 (en) 2018-06-25
EP2159988B1 (en) 2018-03-21
EP2159988A1 (en) 2010-03-03

Similar Documents

Publication Publication Date Title
FI119863B (fi) Etäasiakkaan aitouden ja oikeuksien varmistaminen
US8495360B2 (en) Method and arrangement for providing a wireless mesh network
JP5069320B2 (ja) Uiccなしコールのサポート
US8601569B2 (en) Secure access to a private network through a public wireless network
US8176327B2 (en) Authentication protocol
TWI293844B (en) A system and method for performing application layer service authentication and providing secure access to an application server
US7389412B2 (en) System and method for secure network roaming
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
US8639936B2 (en) Methods and entities using IPSec ESP to support security functionality for UDP-based traffic
JP5043114B2 (ja) Eapからのケルベロス・ブートストラッピング(bke)
JP4831066B2 (ja) 無線通信システムにおける認証方式、それを備える無線端末装置と無線基地局、それらを用いた無線通信システム及びプログラム
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
EP2383931A1 (en) Network security hypertext transfer protocol negotiation method and correlated devices
CN101562814A (zh) 一种第三代网络的接入方法及系统
WO2006135217A1 (en) System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system
WO2004008715A1 (en) Eap telecommunication protocol extension
WO2021068777A1 (en) Methods and systems for internet key exchange re-authentication optimization
US20060059538A1 (en) Security system for wireless networks
JP2010206442A (ja) 通信装置および通信方法
KR100527631B1 (ko) Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법
KR100596397B1 (ko) 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법
Asokan et al. Man-in-the-middle in tunnelled authentication
Guo A New Authenticator

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 119863

Country of ref document: FI