FI120927B - Autentikointi- ja salausprotokolla langattomassa viestintäjärjestelmässä - Google Patents

Description

Äutentikointi- Ja salausprotokolia langattomassa viestintäjärjestelmässä

Keksinnön ala

Esillä oleva keksintö liittyy äutentikointi- ja salausprotokollaan vies-5 tintäjärjesteimässä.

Keksinnön tausta

Hosti-identiteettiprotokolia (HIP, host identity protocol) tarjoaa ratkaisun iP-osöitteiden (internet protocol) päätepistetunniste- ja paikanninroolien erottamiseksi. HiP-arkkitehtuuri esittelee uuden, salaustekniikkaan perustuvan 10 nimiavaruuden, hosti-identiteetin (Hl), ja uuden kerroksen verkkokerroksen ja kuljetuskerroksen välissä. Uutta kerrosta, joka kuljettaa hosti-identiteetin, kutsutaan hostikerrokseksi. Hosti-identiteettinimiavaruus perustuu julkisiin avaimiin, jotka ovat tyypillisesti, mutteivät välttämättä, itsestään generoituja.

Tämänhetkisellä internetillä on kaksi globaalia nimiavaruutta, toimi-15 alueet ja IP-osoitteet. IP-osoitteita käytetään sekä topologisina paikantimina että verkköfajapintaidentiteetteinä. Tämä tP-osoitteiden kaksoisroöii rajoittaa in-ternetarkkitehtuunn joustavuutta ja tekee mobiiiteetista ja IP-osoitteiden uudel-ieennumeroinnista vaikeaa. Erityisesti kuljetusprotokollat kuten UDP (user datagram protocol) tai TCP (transmission control protocol) ovat sidottuja iP-20 osoitteisiin ja kytkeytyvät pois, kun osoite muuttuu. HostHdeniiteettiprotokolia-arkkitehtuuri määrittelee uuden globaalin intemetnimiavaruuden. Hosti-identiteettinimiavaruus erottaa nimi- ja paikanninroolrt, jotka IP-osoitteet täiiä hetkellä täyttävät. HlP:n mukaan kuljetuskerros käyttää hosti-identiteettejä IP-osoitteiden sijaan päätepisteniminä. Samaan aikaan verkkokerros käyttää iP-25 osoitteita pelkkinä paikantimina.

Hosti-identiteettikerros lisätään vyötäisinä protokollapinon kuljetuskerroksen ja verkkokerroksen välille. Kuliakin HlP-kykyisellä hostilia on yksi tai useampi hostitunnisfe (HI, host identifier). Hostitunniste on julkinen avain. Hos-tiiunnistetta edustaa 128 bitin pituinen tunniste, hosti-identiteettltägi (HIT, host so identity tag), Hosti-identiteettitägi on rakennettu soveltamalla salausteknistä hajautusfunktiota (hash function) julkiseen avaimeen. HiP:ssä vastakkeet sidotaan Hkihin mieluummin kuin IP-osoitteistin, iP-osoitteita käytetään pakettien reititykseen.

HIP mahdollistaa päästä päähän -suojauksen, mobiliteetin, mo-35 niosoitteeiiisen moniverkotuksen (muiti-homing) ja vastuksen palvelunesto- 2 hyökkäyksille (DoS, denial of service) viestintäjärjestelmässä. Sen vuoksi saatettaisiin haluta käyttää HIP:iä yleisenä geneerisenä avaimenhallinta- ja auten-tikointiprotokoliana. Siihen liittyvä ongelma on kuitenkin, että tämänhetkiset järjestelmät mahdollistavat vain HIP;n käyttämisen vertaisyhteyksien (peer-to-5 peer) atitentikoinfiin ja liikenteen salaukseen. Tämä johtuu siitä, että isommassa järjestelmässä kunkin verkkosolmun tulisi tietää kaikki tarvittavat hostä-identiteettitagit ja hosti-identiteetit. Ainoa saatavilla oleva ratkaisu olisi näin ollen käyttää staattisia verkkosolmuihin tallennettuja taulukoita HlT:ien assosioi-miseksi vastaaviin suojaustoimialueisiin (security domain, REALM). Tämä ei 10 olisi kovin käytännöllistä.

Keksinnön lyhyt kuvaus

Esillä olevan keksinnön tavoitteena oh siten tarjota menetelmä ja menetelmän toteuttava laitteisto siten, että yllä mainitut ongelmat ratkaistaan. Keksinnön tavoite saavutetaan menetelmällä, järjestelmällä, autentikaattorilla 15 ja palvelimella, joille on tunnusomaista se, mitä sanotaan itsenäisissä patenttivaatimuksissa. Keksinnön edullisia suoritusmuotoja on selostettu epäitsenäisissä patenttivaatimuksissa.

Keksintö liittyy käyttäjän autentikointiin langattomassa liityntäverkossa. Keksintö liittyy myös hosii-iöentiteettiprotökollan HIP hyödyntämiseen. 20 Liityntäverkko käsittää autentikaattorisoimun, joka vastaanottaa datapaketin sisältäen käyttäjäpäätteen hpstMÖentiteettitägin. Hosti-identiteettitagin perusteella autentikaattorisolmu pyytää nimipalvelimelta informaatiota käyttäjäpäätteen kotiverkosta. Kun nimipalvelin tarjoaa informaatiota käyttäjäpäätteen kotiverkosta, autentikaattori pystyy lähettämään autentikointipyynnön sisältäen hosti-25 identiteettitägin kotiverkon autentikointipalvelimelle. Palvelin vastaanottaa autentikointipyynnön, tarkistaa hosti-identiteettitägin, ja mikäli palvelin voi sallia hosti-identiteettitägin, autentikaattorisolmulle lähetetään autentikointivaste. Sen jälkeen autentikaattorisoimun hosti-identiteettitägi tarjotaan käyttäjäpäätteelle.

Keksinnön etuna on, että se sallii hosti-identiteettiprotokollan (HIP) 30 käyttämisen myös muiden yhteyksien kuin vertaisyhteyksien autentikointiin ja salaukseen, Se mahdollistaa HIP:n käyttämisen yleisenä autentikointi- ja avainmenhaiiintaprötokoilana viestintäverkossa, esimerkiksi langattomassa lähiverkossa WLAN (wireless local area network). Keksintö sallii initiaattorihosti-identiteetiitägin kuvaamisen (mapping) informaatioksi, johon tämänhetkiset 35 verkkoarkkitehtuurit pystyvät vastaamaan.

3

Kuvioiden iyhyt kuvaus

Keksintöä selostetaan seuraavassa lähemmin yksityiskohdin edullisten suoritusmuotojen avulta viitaten oheisiin piirroksiin, joista

Kuvio 1 havainnollistaa esillä olevan ratkaisun mukaista viestintäjär- 5 jestelmää;

Kuvio 2 havainnollistaa esillä olevan ratkaisun mukaista signalointia;

Kuvio 3 on vuokaavio havainnollistaen esillä olevan ratkaisun mukaisen verkkoautentikaattorin toimintaa;

Kuvio 4 on vuokaavio havainnollistaen esillä olevan ratkaisun mu-10 kaisen autentikointi-·, auktorisointi-ja laskentapalvelimen toimintaa.

Keksinnön yksityiskohtainen kuvaus

Seuraavassa keksinnön suoritusmuotoja kuvataan viitaten langattomaan viestintäjärjestelmään kuten WLAIM:iin. Tätä keksintöä ei kuitenkaan ole tarkoitettu rajoittumaan näihin suoritusmuotoihin. Sen seurauksena keksintö töä voidaan soveltaa mihin tahansa langattomaan tai mobiiiiviestintSjärjestel-rnään, kuten UMTSrim, joka pystyy tarjoamaan pakettikytkentäistä radiopalvelua, Erityisesti WLAN'.n ja 3. sukupolven (3G, 3rd generation) mobiiliviestintä-järjestelmät edistyvät nopeasti. Tämä voi edellyttää lisämuutoksia keksintöön. Tästä syystä käytetty terminologia ja käytetyt ilmaisut tuiisi tulkita niiden laa-20 jimmassa mielessä, koska ne on tarkoitettu hayainnollistamaan keksintöä eikä rajoittamaan sitä. Oleellinen keksinnöllinen näkökohta on kyseinen toiminnalli-suus, ei verkkoelementti tai laitteisto, jossa se suoritetaan.

Hosti-identiteettitägi viittaa salaustekniseen avaimeen· Se on epäsymmetrisen avainparin julkinen avain. Hostiila on ainakin yksi ainutiäatuinen 25 hosti-identiteetti. Hosti-identiteetti ja vastaava hostitunniste voivat olla joko julkisia (esimerkiksi julkaistu PNSissa) tai julkaisemattomia. Kun käytetään HiP:iä, varsinainen kuormitusliikenne kahden HIP-hostin välillä suojellaan tyypillisesti hyödyntämällä suojattua IPttä (IPsec), Hosti-identiteettejä käytetään luomaan IPsee-suojausassosiaatioita ja hostien autentikoimiseen. Hosti-30 identiteetti mahdollistaa verkottumis- ja kuljetuskerroksen erottamisen. Tämä mahdollistaa kahden kerroksen itsenäisen kehityksen. Eräs toinen ominaisuus on hostin autentikointi. Koska hostitunniste on julkinen avain, sitä voidaan käyttää autentikointiin supjausprotokoliissa kuten IPsec,

Hosti-identiteettitägi (HIT) on 128-bittinen esitys hosti-identiteetille. 35 Se luodaan ottamalla safaustekninen hajautus vastaavasta hostitunnisteesta.

4 ΗίΡ-paketeissa HIT:t identifioivat paketin lähettäjän ja vastaanottajan. HIT on ainutkertainen koko ίΡ-universumissä niin kauan, kuin sitä käytetään. HIP-arkkitehtu urissa hostitu n pisteet ottavat päätepistetunnisteiden roolin.

Hösti-identiteettiprotokoiia HIP tarjoaa kuljetuskerrosprotokollien si-5 doksen, jossa kuptuskerrosassosiaatiot, ts. TCP-yhteydet ja UDP-assosiaatiot, eivät enää ole sidottuja tP-osoitieisiin vaan hosti-identiteetteihin.

Nimeärnisvaltuusosoitin (NAPTR, naming authority pointer) on DNS-tietue, joka tukee säännölliseen lausekkeeseen perustuvaa uudelleenkirjoitusta. Useita NAPTR-tietueita voidaan ketjuttaa yhteen luoden URi-1D uudelleenkirjoitussääntöjä. Tietue voi käydä läpi minkä tahansa määrän uudelleenkirjoituksia ennen pääte-ehdon saavuttamista. Esimerkiksi puhelinnumeron +1 770 555 1212 kääntämisen υβί:Ι(0ΐ.2,1.2..1.5^5Λα7Χΐ:.6ΐδ4.βφ8 jälkeen se muunnetaan käyttämällä NAPIR-tietueista löytyviä uudeiieenkirjoitus-sääntöjä. 2.1.2.1.5.5.5.0.7.7.1 .e 164.arpa-kyselystä palautuneiden tietueiden 15 sidöskonfiguraatio saattaisi sen jälkeen ilmetä seuraavasti: $ORIGiM 2.1.2.1.5.5.5.Ö.7.74 .e164.aipa.

IN NAPTR 10Q 10 "u” "sip+E2U" ,ΊΛ.*$!sip:information@bpx.examp[e.com!i,^ iN NAPTR 102 10 ”u“ "smtp+E2U" "!A.i'$!mai!to:informatlon@example.com!i".

20

Puhelinnumeron kuvaus (ENUM, telephone number mapping) on sarja protokollia puhelinnumerointijärjestelmän E. 164 yhtenäistämiseksi inter-netosoitteistusjärjesteimän DNS kanssa käyttämällä epäsuoraa hakumenetelmää NAPTR-tietueiden aikaansaamiseksi. Tietueet tallennetaan DNS-25 tietokantaan. ENUM perustuu julkiseen nimipalveiinjärjestelmään, joka tarjoaa globaalia saavutettavuutta. ENUMin avulla loppukäyttäjät ja yritykset voivat itse hallinnoida viestintäinsä ja esimerkiksi vastaanottaa puhelinsoittoja internetin kautta, jotka puhelut tehdään puhelinnumeroilla.

Resurssitietue RR (resource record) viittaa DNS-30 resurssitietueeseen, joka on datayksikkö aluenimijärjestelmässä (domain name system) määritellen attribuutteja aluenimelie. Attribuutti voi olla esimerkiksi j IP-osoite, iekstijono tai postitusreitti.

Kuvio 1 havainnollistaa esillä olevan ratkaisun suoritusmuodon mukaista viestintäjärjestelmää S: Kuvio 1 esittää yksinkertaistetun version verkas koarkkitehtuurisia havainnollistaen vain komponentteja, jotka ovat olennaisia keksinnölle, vaikka alan ammattilaiset luonnollisesti tietävät, että yleinen ianga- 5 ton tai mobiilMestintäjäijesteimä käsittää myös muita toimintoja ja rakenteita, joita ei tarvitse kuvata yksityiskohtaisemmin tässä.

Kuviossa 1 viestintäjärjestelmä S käsittää langattoman liityntäverkon (access network) WLAN ja runkoverkon (core network) ON. Liityntäverkko s WLAN on esimerkiksi langaton lähiverkko, ja se käsittää verkkoautentikaattorin HIP-R (ts. HiP-vastaajan (HIP responder)), jonka kanssa käyttäjäpääte UE voi kommunikoida liityntäpisteen (access point) AP kautta, kun UE on AP:n katta-vuusalueella. Liintyntäpisteeseen AP voidaan myös viitata tukiasemana. Käyt-täjäpäätteeseen UE voidaan myös viitata HlP-initiaattorina (HIP-! (HIP ini-10 tiator)), ja se voi käsittää minkä tahansa langattoman kannettavan käyttäjälaitteen kuten sylimikron tai matkaviestimen, joka pystyy kommunikoimaan AP:n kanssa. Runkoverkko CN havainnollistaa käyttäjäpäätteen UE “kotiverkkoa", ja se käsittää autentikointi-, auktorisointi- ja laskentapalvelimen (authentication, authorisation and accounting server) AAAH, jonka kanssa HiP-vastaaja voi 15 kommunikoida. HiP-vastaaja voi myös kommunikoida nimipalvelimen ENUM kanssa. Radiolinkki AP:n ja UE:n välillä on toteutettu hyödyntämälfä radiotek-nologiaa kuten WLAN:ia.

Kuvio 2 havainnoliistaa esillä olevan ratkaisun suoritusmuodon mukaista signalointia. Ensiksi ensimmäinen initiaattoripaketti 11, joka käsittää HIP-20 initiaattorin UE hosti-identiteettitägin HiT-l, lähetetään 2-1 käyttäjäpäätteeltä UE (ts. HiP-initiaattorilta) WLAN-!iityntäpisteelle AP. Liityntäpiste AP lähettää edelleen 2-2 11-paketin HlP-vastaajalle HIP-R (ts. WLAN-autentikaattorille). H :h perusteella HIP-vastaaja pyytää informaatiota käyttäjäpäätteen kotiverkosta lähettämällä kuvauspyynnössä (mapping request) (DNS-pyyntö) 2-3 hosti-25 identiteettitägin ΗΪΤ-Ι globaalille nimipalvelimelle ENUM. Kuvausvasteessa 2-4 lähetetään informaatiota kotiverkosta (esimerkiksi REALM) CN ENUMilta H1P-R:lle. Kuvausvasteen perusteella lähetetään ensimmäinen autentikointipyyntö 2-5 H!P-R:ltä kotiverkon autentikointi-, auktorisointi- ja laskentapalvelimelle AAAH pyynnön 2-5 osoittaessa HIT-I:n. Pyyntö 2-5 voi myös sisältää HIP-30 vastaajan hosti-identiteettitägin ts. HiT~R:n. Kun ensimmäinen aytentiköinti-pyyntö vastaanotetaan 2-6 AAAHissa, AAAH on järjestetty tarkistamaan 2-6, onko HIT-l voimassaoleva vai ei. Mikäli BIT-1 huomataan voimassaolevaksi, auteniikointihaaste 2-7 iähetetään AAAHMta HIP-R:ile. Autentikointihaasteen perusteelia HIP-R generoi 2-8 ensimmäisen vastaajapaketin R1 ja lähettää 2-35 9, 2-10 sen AP:n kautta käyttäjäpäätteelje UE. Ensimmäinen vastaajspaketti R1 voi sisältää informaatiota vastaajahosti-identiteettiiägistä HIT-R. Sen jäi- 6 keen kun sanoma 2-10 on vastaanotettu UE:ssa, UE luo ja lähettää 2-11 toisen initiaattoripaketin I2 AP:n kalitta HlP~R:lle. I2:n perusteella lähetetään toinen autentikointipyyntö 2-13 HlP-R:ltä AAAH:lle pyynnön 2-13 osoittaessa HiT-l:n. Pyyntö 2-13 voi myös sisältää vastaajahosti-identiteettitägin HIT-R.

5 Kun toinen auientikointipyyntö vastaanotetaan 2-14 AAAH:ssa, AAAH on järjestetty tarkistamaan 2-14, onko HiT-I voimassaoleva vai ei. Mikäli HiT-l huomataan voimassaolevaksi, AAAHtlta lähetetään auteotikointivaste 2-15 HIP-R:lle. Autentiköintivasteen perusteella HIP-R generoi 2-16 toisen vastaajapa-ketin R2 ja lähettää 2-17 sen AP:lle. Toinen vastaajapaketti R2 sisältää infor-10 maatiota vastaajahostä-identiteettitägistä HIT-R. R2:n perusteella AP:ssa johdetaan 2-kerroksen (L2, layer-2) salaustekniset avaimet vaiheessa 2-18. Tässä pisteessä on näin ollen neuvoteltu yhteys UE:n ja HIP-R:n välille. Sanomassa 2-19 lähetetään toinen vastaajapaketti R2 UE:lle, R2;n perusteella UE:ssa johdetaan L2-salaustekniset avaimet vaiheessa 2-20. Tämän jälkeen 15 UE:n ja HIP-R;n välinen yhteys 2-21 on suojattu.

Kuvio 3 havainnollistaa esillä olevan ratkaisun suoritusmuodon mukaisen verkkoautentikaattorin (is. HiP-vasiaajan HIP-R) toimintaa. Vaiheessa 3-1 ensimmäinen initiaattoripaketti 11 käsittäen HIP-initiaattorin UE hosti-identiteettiiägin HIT-I vastaanotetaan WLAN~liityntäpisteeiiä AP. I1:n perusteet-20 ia HIP-vastaaja pyytää 3-2 informaatiota käyttäjäpäätteen UE kotiverkosta lähettämällä kuvauspyynnössä (DNS-pyyntö) hosti-identiteettitägin HiT-I globaalille nimipalvelimelle ENUM. Kuvausvaste sisältäen informaatiota kotiverkosta (esimerkiksi REALM) vastaanotetaan 3-3 ENUM:lta. Kuvausvasteen perusteella lähetetään ensimmäinen 3-4 ensimmäinen auientikointipyyntö kotiverkon 25 CN autentikointi-, auktorisointi- ja laskentapalvelimelta AAAH pyynnön osoittaessa HIT-I:n. Pyyntö voi myös sisältää BIP-vastaajan hosti-identiteettiägin ts.

H!T-R:n. Tämän jälkeen vastaanotetaan 3-5 autentikointihaaste AÄAHdta. Au-tentikointihaasteen perusteella HIP-R generoi 3-6 ensimmäisen vastaajapake-tin Rt ja lähettää 3-7 sen AP:lle. Ensimmäinen vastaajapaketti R1 voi sisältää 30 informaatiota vastaajahosti-identiteettitägistä HIT-R, Vaiheessa 3-8 vastaanotetaan toinen initiaattoripaketti 12 AP:ita, I2:n perusteella lähetetään 3-9 toinen autentikointipyyntö HIP-R:ltä AAAHdl© pyynnön osoittaessa HIT-i:n. Pyyntö voi myös sisältää vastaajahosti-identiteettitägin HiT-R. Tämän jälkeen vastaanotetaan 3-10 autentikointivaste AAAHilta. Autentiköintivasteen perusteella 35 HIP-R generoi 3-11 toisen vastaajapaketin R2 ja lähettää 3-12 sen AP:lle. Toi- : 7 nen vastaajapaketti R2 sisältää informaatiota vastaajahostMöentiteettiiägistä HIT-R.

Kuvio 4 havainnollistaa käyttäjäpäätteen UE kotiverkon GN autenti-kointi-, auktorisointi- ja laskentapalvelimen AAAH toimintaa esillä olevan rat-5 kaisun suoritusmuodon mukaisesti. Ensiksi vastaanotetaan ensimmäinen autentikointipyyntö HlP-R:ftä pyynnön osoittaessa käyttäjäpäätteen hosti-identiteettitägin HIT-i. Pyyntö voi myös sisältää H!P-vastaajan hosii-identiteettitägin HiT-R. Kun ensimmäinen autentikointipyyntö vastaanotetaan AAAH:ssa, AAAH on järjestetty tarkistamaan 4-2, onko HIT-I voimassaoleva 10 vai ei. Mikäli HlT-l:n huomataan olevan voimassa, AAAHdta lähetetään 4-3 au-tentikointihaaste HIP-R:ile. Mikäli HIT-I:tä ei huomata voimassaolevaksi, prosessi voi päättyä tai sanoma (ei esitetty) voidaan lähettää HIP-R:ile informoiden HlP-R:ää epäpätevästä HIT-Lstä. Vaiheessa 4-4 vastaanotetaan toinen autentikointipyyntö H tP-R:ltä pyynnön osoittaessa HIT-I;n. Pyyntö voi myös siis sältää vasiaajahosti-identiteettitägin HiT-R. Kun toinen autentikointipyyntö vastaanotetaan 4-4 AAAH:ssa, AAAH on järjestetty tarkistamaan 4-5, onko HIT-I voimassaoleva vai ei. Mikäli HIT-i huomataan voimassaolevaksi, AAAH:lta lähetetään 4-6 autentikointivaste HIP-R:!ie.

Esillä oleva keksintö mahdollistaa verkkosolmun (esimerkiksi HIP-20 vastaajan) hankkia informaatiota hosti-identiteettitägeistä ja hosti-identiteeteistä liman, että verkkosolmun täytyy ylläpitää informaatiota kaikista hosti-identiteettitägeistä ja/tal hosti-identiteeteistä. Esillä oleva keksintö näin ollen sallii hosti-identiteettitägien (HIT) dynaamisen assosioinnin vastaaviin REALM:|hin hyödyntämällä HlP:iä. Suojaustoimialueen (REALM) avulla A-25 tilaajakäyttäjäpäätteen kotiverkko voidaan paikantaa, sillä kotiverkko pystyy tunnistamaan hosti-identiteettitägin ja käytetyn hostitunnisteen. Keksinnön avulla HiP-vastaaja pystyy assosioimaan hosii-identiteeftitägin REALM;itn. Informaatiota käyttäjäpäätteen hosti-identiteettitägistä ja h osti-ide nttte e ti stä tallennetaan kotiverkkoon. Esimerkiksi mikäli H!P:iä käytetään WLAN:ssa kor-30 vaarnaan 802.1X-protokolian, HIP-vastaajan pitää pystyä löytämään vasiaaja-HIT:n perusteella HlP-iniöaattorin (ts. asiakkaan (client)) kotiverkko ja AAA-paivelin, josta HiP-vastaaja voi noutaa informaation, joka tarvitaan suorittamaan HlP-protokoIian mukainen kannanvaihto. HIT voi olla reitittämätön IPv6:n kaltainen 128-bittinen tunniste Orchid-määritelmien mukaisesti. Esillä oleva 35 keksintö määrittelee skaalattavissa oievan ratkaisun verkkovierailuympäristöi varten HIT:n assosioimiseksi REALMiiin ja siten mihin tahansa palveli- 8 meen/paiveluun. Esillä olevassa ratkaisussa HIP-rooiit kuvataan WLAN-arkkitehtuurin huipulle siten, että HiR-initiaattori vastaa WLAN-asemaa/hakijaa {WLAN station/supplicant), WLAN-iukiasema vastaa mitä tahansa WLAN-SäpikulkuSjityntäpistettä, HlP-vastaaja vastaa WLAN-autentikaattoria ja AAA ΰ (authentication, authorization and accounting) vastaa esimerkiksi AAA&EAP-paiveiinta (extensible authentication protocol).

Keksinnön ajatus on tarjota dynaaminen HlP-vastaajakonfiguraatiö HIT:n assosioimiseksi REALM:iin. Keksinnössä 11-paketin yhteydessä HlP-vastaaja pystyy löytämään oikean REALM:n, jotta löydetään AAAH. Seuraa-10 vassa REALM:ia edustaa "@aaah". Keksinnössä HlP-vastaaja hyödyntää DNS:ää. Kukin HIT varataan ENUM-DNS:ään, ja assosiointi H1T->REALM suoritetaan ENUM-DNS-kyselyn avulla. Kysely palauttaa NAPTR-RR:nt jolla on päätelippu "s” ja osoite, jonka avulla SRV-RR:ää voidaan kysellä AAAH:n löytämiseksi. Esimerkki NAPTR-ratkaisusta voi olla seuraavanlainen: 15 $0RIG1N 0,1.2.3.4.5.5 7.8.9.0.a.b.c.d.e.f.0.1.2.3.4.5.6164.arpa, ;; order pref flags service regexp replacement INNAPTR 100 10 "s" "AAA-D2T" ,,tt aaa.operatQr.com 20 Yllä oleva esimerkki määrittelee seuraavat näkökohdat HIT:lle 0x543210fedcba9876543210: kysellään SRV-RR:ää toimialueella aaa.operator.com, pyydetään AAA-palvelinta, palvelu on dlametri-TGP:liä,

Kuitenkin tosiasia, että ylätason toimialue (TLD, top level domain) .e164.arpa. on jo käytössä, voi aiheuttaa törmäyksiä järjestelmässä. Sen vuok-25 si muuta ylätason toimialuetta (TLD) kuin ,e164,arpa. voidaan käyttää. Esimerkiksi voitaisiin käyttää kuvitteellista TLD:tä .hii.arpa.

Eräässä toisessa esimerkissä järjestelmä on konfiguroitu hyödyntämään olemassa olevaa .e164.arpa.-TLD:tä tavalla, joka on takaisinpäin yhteensopiva. Tämä edellyttää, että HIP:iie varataan oma "maakoodi" E164-30 avaruudesta. Maakoodi voisi olla esimerkiksi +668. Näin ollen ,e164.arpa.-TLD:l!ä aikaansaadaan HIPille varattu TLD ,8.6.6.e164.arpa.

NAPTR-ORIGIN voisi myös olla muuta tyyppiä kuin ENUM:n käyttämiä. NAPTR-paiveiu voisi myös olla muu kuin "AAA+D2T" ja “AAA+D2S", jotka RFC3588-diametriprotokolia määrittelee. Se voisi olla esimerkiksi "AAA-35 R2T" ja "AAA+R2S", mikäli halutaan käyttää RADIUS-protokollaa diametrin sijaan.

9

Keksintö edistää HIP:iä esittelemällä mahdollisuuden tarkistaa informaatiota käyttäjästä. Ajatuksena on tarkistaa, onko hosti-identiteettitägin määrittelemä käyttäjä varsinaisesti olemassa järjestelmässä ja/tai onko käyttäjällä lupa käyttää kyseessä olevaa palvelua ja/tai verkkoa. Tässä on oletettu, s että itse WLAN-iiityntäverkko on luotettava. Keksintö sallii esimerkiksi, että verkko-operaattorit tarkistavat asiakkaidensa datasuojauksen käyttämällä HIP:iä> Se mahdollistaa päätepisteiden vaihtaa informaatiota hosti-identiteettitägeistään, jotta mahdollistetaan luotettava dataviestintä niiden välillä.

1 o Kuvioissa 2, 3 ja 4 esitetyt kohdat ja vaiheet ovat yksinkertaistettuja, ja ne tähtäävät vain keksinnön ajatuksen kuvaamiseen. Muita kohtia voidaan käyttää, ja/tai muita toimintoja voidaan suorittaa vaiheiden välillä. Kohdat palvelevat vain esimerkkeinä, ja ne voivat sisältää vain jotain yllä mainitusta informaatiosta, Kohdat voivat myös sisältää muuta informaatiota, ja nimitykset 15 voivat poiketa yiiä annetuista. Verkkoauientikaattofin tai auteniiköinti-, auktorisointi- ja laskentapalvelimen sijaan tai lisäksi yllä kuvatut operaatiot voidaan suorittaa missä tahansa muussa viestintäjärjestelmän elementissä.

Tunnetun tekniikan välineiden lisäksi järjestelmä, verkot tai verkkosolmut, jotka toteuttavat keksinnön toiminnallisuuden, käsittävät välineet au-20 tentikointiin ja salaukseen liittyvän informaation prösessoimiseksi yllä kuvatulla tavalla. Olemassa olevat verkkosolmut ja käyttäjäpäätteet käsittävät prosessoreja ja muistia, joita voidaan hyödyntää keksinnön operaatioissa. Mitkä tahansa keksinnön toteuttamiselle välttämättömät muutokset voidaan suorittaa käyttäen öhjeimistorutiinien ja/tai asiakaspiireihin (ASIC, application spacific integ-25 rated circuit) ja/tai ohjelmoitaviin piireihin kuten EPLD:ihin (electrically programmable logic device) tai FPGA:ihin (field programmable gate array) sisältyvien rutiinien täydennyksiä tai päivityksiä.

Alan ammattilaiselle on ilmeistä, että teknologian edistyessä keksinnön perusajatus voidaan toteuttaa eri tavoin. Keksintö ja seri suoritusmuodot 30 eivät rajoitu yllä kuvattuihin esimerkkeihin, vaan ne voivat vaihdella patenttivaatimusten puitteissa.

Claims (19)

10 Patentti vaati m u kset

1. Menetelmä käyttäjäpäätteen (UE) autentikoimiseksi viestintäjärjestelmässä (S) järjestelmän (S) käsittäessä langattoman liityntäverkon (WLAN) verkkoautentikaattorin (HIP-R), tun n ett u siitä, että menetelmässä 5 vastaanotetaan verkkoautentikaattorissa (HIP-R) ainakin yksi käyt täjäpäätteen (UE) liityntäpisteen (AP) kautta lähettämä initiaattoripaketti (2--2, 2-12) paketin sisältäessä käyttäjäpäätteen (UE) hosti-identiteettiiägin; lähetetään i n iti a aito ri pa ketl n perusteella kuvauspyyniö (2-3) verkko-autentikaattoriSta (HIP-R) nimipalvelimelle (ENUM); to vastaanotetaan verkkoautentikaattorissa (HIP-R) kuvausvaste (2-4) nimipalvelimelta (ENUM) kuyausvasteen (2-4) sisältäessä Informaatiota käyttäjäpäätteen (UE) kotiverkko palvelimesta (AAAHJ; lähetetään verkkoäutentikaattoriita (HIP-R) kotiverkköpalvelimelle (AAAH) autentikointipyyntö (2-5, 2-13) kuvausvasteen (2-4) perusteella auten-15 tikointipyynnön (2-5, 2-13) osoittaessa lisäksi käyttäjäpäätteen (UE) hosti-iden-titeettitägin; ja tarkistetaan (2-6, 2-14} kotlverkkopaivelimessa (AAAH) käyttäjä-päätteen (UE) hosti-identiteettitägi; jolloin mikäli käyttäjäpäätteen (UE) hosti-identiteettitägi on sallitta-20 vissa kotiverkköpalvelimelle (AAAH), menetelmässä lähetetään autentikointivaste (2-7, 2-15) kotiverkkopalvelimelta (AAAH) verkkoautentikaattorille (HIP-R); generoidaan (2-8, 2-16) verkkoautentikaattorissa (HIP-R) ainakin yksi vastaajapaketti perustuen auteniikointivasteeseen (2-7, 2-15); ja 25 lähetetään käyttäjäpäätteelle (UE) ainakin yksi vastaajapaketti (2- 10, 2-19) sisältäen verkkoautentikaattorin (HIP-R) hosti-identiteettitägin.

2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että käytetään käyttäjäpäätteen (UE) hosti-identiteettitägiä ja verkkoautentikaattorin (HiP-R) hosti-identiteettitägiä käyttäjäpäätteen (UE) autentikoimisek- 30 si.

3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu j siitä, että hyödynnetään HlP-protokollaa käyttäjäpäätteen (UE) autentikoimi- j seksi langattomassa lähiverkossa (WLAN). \

4. Patenttivaatimuksen 1, 2 tai 3 mukainen meneteimä, t u n n e t-35 tu siitä, että hosti-ldentiteettiprotokoliaa HIP sovelletaan käyttäjäpäätteen (UE) ja verkkoautentikaattorin (HIP-R) välillä. 11

5. Minkä tahansa patenttivaatimuksen 1-4 mukainen menetelmä, tunnettu siitä, että autentikointi-, auktorisointi- ja laskentaprotokoliaa AAA sovelletaan verkkoautentikaattorin (HIP-R) ja kotiverkkopalvelimen (AAÄK) välillä.

6. Minkä tahansa patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, että sisällytetään verkkoautentikaattoriln (HIP-R) HiT-vas-taaja ja/tai käyttäjäpäätteeseen (UE) HI T-i n iti aatto ri.

7. Minkä tahansa patenttivaatimuksen 1-6 mukainen menetelmä, tunnettu siitä, että kuvauspyyniö (2-3) käsittää puhelinnumeron kuvaus to -aiuenimipalvelinpyynnön ENUM-DNS liittyen HlP:iä varten luotuun ylätason toimialueeseen tai HIP-spesifiseen E164-maakoodiin, joka on varattu HlPrfä varten,

8. Minkä tahansa patenttivaatimuksen 1-6 mukainen menetelmä, t u n pettu siitä, että kuvauspyyniö (2-3) sisältää paivelinresurssitietuepyyn- 15 non SRV-RR.

9. Minkä tahansa patenttivaatimuksen 1-8 mukainen menetelmä, t u n n ett u siitä, että kuvausvaste (2-4) sisältää nimeämisvältuusosoittimen NAPTR.

10. Minkä tahansa patenttivaatimuksen 1-9 mukainen menetelmä, 20. u n n e t t u siitä, että se käsittää käyttäjäpäätteen (UE) hosti-identiteettitägin HIT assosioinnin suojaustöimialueeseen REALM käyttäjäpäätteen (UE) kotiverkon (CN) autentikointipalveiimen (AAAH) löytämiseksi.

11. Viestintäjärjestelmä (S) käsittäen käyttäjäpäätteen (UE), 25 langattoman liityntäverkon (WLAN) verkkoautentikaattonn (HIP-R), ja käyttäjäpäätteen (UE) kotiverkkopalvelimen (AAAH), tunnettu siitä, että järjestelmä (S) on konfiguroitu lähettämään käyttäjäpäätteeltä (UE) verkkoautentikaattorilie (HIP-R) 30 ainakin yhden initiaattoripaketin sisältäen käyttäjäpäätteen (UE) hosti-ldenti-teettitägin; lähettämään käyttäjäpäätteen (UE) lähettämän initiaattoripaketin perusteella kuvauspyynnön verkkoauientikaattorilta (HIP-R) nimipalvelimelle (EN UM); 12 vastaanottamaan verkkoautentikaattörissa (HIP-R) kuvausvasteen nimipalvelimelta (ENUM) kuvausvasteen sisältäessä informaatiota käyttäjä-päätteen (UE) kotiverkkopalvelimesta (AAAH); lähettämään verkkoauientikaattorilta {HIP-R} kotiverkkopajvelirneile 5 (AAAH) ainakin yhden autentikointipyynnQn mainitun informaation perusteella autentikolntipyynnön osoittaessa käyttäjäpäätteen (UE) hosti-identifeettitägin; ja tarkistamaan kotiverkkopalvelimessa (AAAH) käyttäjäpäätteen (UE) hosti-identiteettitägin; to joiloin mikäli käyitäjäpäätteen (UE) hosti-identiteettitägi on sailitta- vissa kotiverkkopalvelimelle (AAAH), järjestelmä (S) on konfiguroitu lähettämään ainakin yhden autentikointivasteen kotiverkkopaiveli-melta (AAAH) verkkoautentikaattorilie (HiP-R); generoimaan verkkoautentikaattörissa (HIP-R) ainakin yhden vas-15 taajapaketin perustuen autentikointivasteeseen paketin sisältäessä verkkoau-tentikaattorin (HIP-R) hosti-identiteettitägin; ja lähettämään verkkoautentikaattoriita (HIP-R) käyttäjäpäätteelie (UE) ainakin yhden vastaajapaketin.

12. Patenttivaatimuksen 11 mukainen viestintäjärjestelmä (S), 20. u n n e 11 u siitä, että se on järjestetty käyttämään käyttäjäpäätteen (UE) hos- ti-identiteettitägiä ja verkkoautentikaattorin (HiP-RJ hosti-identiteettitägiä käyttäjäpäätteen (UE) autentikoimiseksi.

13. Patenttivaatimuksen 11 tai 12 mukainen viestintäjärjestelmä (S), tunnettu siltä, että se on järjestetty assosioimaan hosti-identiteettitägin HIT 25 suojaustoimiaiueeseen REALM käyttäjäpäätteen (UE) kotiverkon (CN) autenti-kointipalvetimen (AAAH) löytämiseksi.

14. Verkkoautentikaattori (HIP-R) langattomassa liityntäverkossa (WLAN), tunnettu siitä, että verkkoautentikaattori (HIP-R) on konfiguroitu vastaanottamaan ainakin yhden, käyttäjäpäätteen (UE) lähettämän initiaation- 30 paketin paketin sisäitäessä käyttäjäpäätteen (UE) hosti-identiteettitägin, jolloin verkkoautentikaattpri on vasteena ensimmäisen initiaattonpaketin vastaanot- j tamiselle käyttijäpäätteeitä (UE) konfiguroitu lähettärnään kuvauspyynnön nimipaiveiimeile(ENUM); ja vastaanottamaan kuvausvasteen nimipalveiimeita (ENUM) kuvaus-35 vasteen sisältäen informaatiota käyttäjäpäätteen (UE) kotiverkkopaivelimesta (AAAH); 13 joiioin verkkoautentikaattori on lisäksi konfiguroitu iähettämään kotiverkkopaivelimetle (AAAH) ainakin yhden autenti-kointipyynnön mainitun informaation perusteella; vastaanottamaan kotiverkkopaivelimelta (AAAH) ainakin yhden au-5 tentiköintivasteen osoittaen, että hosti-identiieettitägi on sallittavissa kotiverk-köpäivelimelie (AAAH); generoimaan ainakin yhden vastaajapaketin perustuen autentikoin-tivasteeseen; ja iähettämään käyttäjäpäätteeile (UE) ainakin yhden vastaajapaketin 10 sisältäen verkkoautentikaattorin (HIP-R) hosti-ädentiteettitägin.

15. Patenttivaatimuksen 14 mukainen verkkoautentikaattori, tu n-n e 11 u siitä, että se on konfiguroitu hyödyntämään käyttäjäpäätteen (UE) hos-ti-identiteettitägiä ja verkkoautentikaattorin (HIP-R) hosti-identiteettitägiä käyt-täjäpiätteen (UE) autentikoimiseksi. 15 16, Patenttivaatimuksen 14 tai 15 mukainen verkkoautentikaattori, tu noettu siitä, että se on konfiguroitu assosioimaan käyttäjäpäätteen (UE) hosti-identiteetiitägin HIT suojaustoämialueeseen käyttäjäpäätteen (UE) kotiverkon (GM) autentikointipaiveiimen (AAAH) löytämiseksi.

17. Patenttivaatimuksen 14, 15 tai 16 mukainen verkkoautentikaat- 20 tori, tunnettu siitä, että se käsittää hosti-identiteettiprotokoilavastaajan HIP~vastaajä.

18. Verkkopalvelin (AAAH) viestintäjärjestelmässä (S), jolloin verkkopalvelin (AAAH) sijaitsee käyttäjäpäätteen (UE) kotiverkossa (CN), tun-n ett u siitä, että verkkopalvelin (AAAH) on konfiguroitu vastaanottamaan ku- 25 vausvasteen perusteella lähetetyn autentikointipyynnön langattoman liityntäverkon (WLAN) verkkoautentikaattorilta (HIP-R), joka autentikointipyyntö sisältää informaatiota käyttäjäpäätteen (UE) hostkidentiteettiiagistä, jöiioin verkkopalvelin (AAAH) on vasteena mainitun autentikointipyynnön vastaanottamiselle konfiguroitu 30 tarkistamaan mainitun hostHdehtiteettitagin; ja mikäli mainittu hosti-identiteettitägi on sallittavissa, lähettämään au- f tentiköintivasteen verkkoautentikaattorille (HIP-R) ainakin yhden vastaajapake- \ tin generoimiseksi perustuen autentikointivasteeseen paketin sisältäessä verkkoautentikaattorin (HIP-R) hosti-identiteettitägin. 14

19, Patenttivaatimuksen 18 mukainen verkkopalvelin, tunnettu siitä, että se on konfiguroitu informoimaan verkko a utentika atto ria, mikäli hosti-identiteettitägi ei ole sallittavissa 15