FI121907B - Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten - Google Patents

Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten Download PDF

Info

Publication number
FI121907B
FI121907B FI20055633A FI20055633A FI121907B FI 121907 B FI121907 B FI 121907B FI 20055633 A FI20055633 A FI 20055633A FI 20055633 A FI20055633 A FI 20055633A FI 121907 B FI121907 B FI 121907B
Authority
FI
Finland
Prior art keywords
pana
authentication
network
communication system
3gpp
Prior art date
Application number
FI20055633A
Other languages
English (en)
Swedish (sv)
Other versions
FI20055633A0 (fi
FI20055633A (fi
Inventor
Jouni Korhonen
Niclas Svahnstroem
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Priority to FI20055633A priority Critical patent/FI121907B/fi
Publication of FI20055633A0 publication Critical patent/FI20055633A0/fi
Priority to EP06808031A priority patent/EP1955513B1/en
Priority to DK06808031T priority patent/DK1955513T3/da
Priority to DE602006006593T priority patent/DE602006006593D1/de
Priority to ES06808031T priority patent/ES2324628T3/es
Priority to PCT/FI2006/050490 priority patent/WO2007063176A1/en
Priority to AT06808031T priority patent/ATE430433T1/de
Publication of FI20055633A publication Critical patent/FI20055633A/fi
Application granted granted Critical
Publication of FI121907B publication Critical patent/FI121907B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Fittings On The Vehicle Exterior For Carrying Loads, And Devices For Holding Or Mounting Articles (AREA)
  • Communication Control (AREA)
  • Exchange Systems With Centralized Control (AREA)

Description

Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa VARTEN
Keksinnön ala
Nyt esillä oleva keksintö kohdistuu matkaviestin-, langattomien ja kiin-5 teiden tietoliikenneverkkojen keskinäiseen konvergenssiin ja tarkemmin niissä käytettäviin käyttäjäoikeuksien autentikointimekanismeihin.
Keksinnön tausta
Pyrkimys tietoliikenneverkkojen keskinäiseen konvergenssiin on ohjannut niiden viimeaikaista kehitystä; useiden erilaisten viestintä- ja multi-10 medialaitteiden integrointi monitoimilaitteiksi ja verkko-operaattoreiden halu käyttää olemassa olevien verkkojen resursseja uusiin palveluihin ohjaa tietoliikenneverkkojen kehitystä. Esimerkiksi matkaviestinverkkojen standardoinnissa 3GPP:n (3rd Generation Partnership Project) viimeisimmissä toimenpiteissä eli niin sanotussa Release 15 6:ssa, suunniteltiin monia uusia piirteitä ja rajapintoja, jotka myötävaikuttavat sellaisen täysin IP-pohjaisen viestinnän aikaansaamiseen, joka käyttää hyväksi IP:n etuja kaikenlaisessa liikenteessä, ja joka mahdollistaa uusien pääsyteknologioiden käyttämisen, mikä tällöin turvaa saumattoman toiminnan eri järjestelmien välillä ja myös Internetin 20 kanssa.
Eräs uusi ominaisuus, joka esitettiin 3GPP Release 6:ssa, joka on luonnollisesti mukana myös tulevissa versioissa, on mahdollisuus ^ päästä matkaviestinverkkopalveluihin valtuuttamattomien spektri- δ 25 teknologioiden kautta, mukaan luettuna Bluetooth ja IEEE 802.11. Näi- ώ hin liityntäjärjestelmiin viitataan 3GPP-verkkojen yhteydessä nimillä oJ) Unlicensed Mobile Access (UMA) - teknologia, 3GPP GAN ja 3GPP I- ^ WLAN. Nämä ominaisuudet mahdollistavat päätelaitteen käyttäjien £ pääsyn 3GPP-verkkojen tarjoamiin tietoliikennepalveluihin esimerkiksi $ 30 WLAN-yhteyden kautta. WLAN-päätelaitteiden yhteistyöskentelyn jo edistämiseksi 3GPP-järjestelmien kanssa, Release 6 sisältää määri- § telmiä yhteiselle laskutukselle ja asiakashallinnalle, 3GPP-järjestel- mään perustuvalle pääsyn ohjaamiselle ja laskutukselle, ja pääsyn 3GPP-järjestelmän pakettivälitteisyyteen perustuviin palveluihin.
2
Eräs luonnollinen seuraava askel tiellä uusien liityntäjärjestelmien lähentymiseksi 3GPP-järjestelmiin olisi tarjota Internet-laajakaista-asiak-kaille, eli xDSL-tilaajille pääsy 3GPP-järjestelmien pakettivälitteisiin 5 palveluihin. On kuitenkin joitakin teknisiä ongelmia, jotka tulee ratkaista. Verkko-operaattorin näkökulmasta on toivottavaa, että xDSL-ti-laajan käyttöoikeuksien todennus olisi läheisessä yhteydessä olemassa olevan AAA-järjestelmän (Authentication, Authorization, Accounting) kanssa operaattoriverkossa. AAA-järjestelmän AAA-palve-10 Iin on esim. RADIUS- tai Diameter-palvelin, joka käyttää hyväksi 3GPP-verkon HLR- ja HSS-tietokannoissa olevaa tilaajadataa. Toden-nussignalointi suoritetaan käyttäen käytetylle AAA-järjestelmälle ominaista protokollaa. Näin ollen normaalissa toiminnassaan AAA-palvelin vertaa verkkoon pääsyä yrittävän päätelaitteen käyttäjän tunnistus-15 tietoja HLR/HSS:ssä olevaan tilaajadataan, ja mikäli se hyväksytään, palvelin valtuuttaa pääsyn järjestelmään. AAA-palvelimelle ilmoitetaan myös milloin yhteysjakso alkaa ja päättyy, jotta käyttäjää voidaan laskuttaa vastaavasti.
20 xDSL-tilaajan käyttäjätunnistusdataa ei kuitenkaan tallenneta HLR/HSS:ään eikä matkaviestinverkko hallitse sitä, vaan tavallisesti Internet-palveluntarjoaja. Näin ollen pääsyn tarjoaminen xDSL-tilaajille suoritettaisiin tavallisesti joko käyttäen sovelluskerroksen web-poh-jaista sisäänkirjautumista tilaajan todentamiseksi, mikä on sekä han-25 kalaa käyttäjälle että epävarmaa verkko-operaattorille, tai tarjoamalla vain Best effort -palvelu.
δ ^ On kehitetty standardi nimeltään IEEE 802.1 x, joka on yksinkertaisesti 9 standardi EAP-protokollan (Extensible Authentication Protocol) siirtä- ” 30 miseksi langalliseen tai langattomaan LAN:iin, joka on yhteensopiva g IEEE 802 -sarjan kanssa. EAP:n on tarkoitus poistaa käytöstä sovel- luskohtaiset todennusjärjestelmät ja sallia kaiken salasanoista S haaste/vaste-valtuuksiin ja julkisen avaimen järjestelmien sertifikaattei- m g hin toimia sujuvasti. 802.1 x:ssä EAP-viestit pakataan Ethernet-kehyk- ° 35 siin ja protokollaa 802.1 x:ssä kutsutaan nimellä EAP encapsulation over LANs (EAPOL).
3 IEEE 802.1 x:ssä on joitakin haittapuolia. IEEE 802.1x on erillisproto-kolla, joka on tarkoitettu käytettäväksi vain IEEE 802 - linkeissä, ja tällöin se soveltuu vain rajattuihin linkkityyppeihin. Lisäksi monien erityyppisten tietoliikenneverkkojen yhteiskäyttö tekee yhteisen linkkikerrok-5 sella toimivan käyttäjäoikeuksien autentikointimekanismin käyttämisen käytännössä mahdottomaksi. Näin ollen erillinen linkkikerrosprotokolla, kuten IEEE 802.1 x, ei ole ratkaisu käyttäjäoikeuksien todentamisen yleisongelmaan keskitetyssä verkkoympäristössä. Tämä on yksi syy siihen, miksi IEEE 802.1 x:stä ei ole tullut kovin suosittua missään 10 muissa verkoissa kuin WLAN:eissa. Näin ollen on olemassa tarve ylemmän kerroksen (linkkikerroksen yläpuoliselle) autentikointimeka-nismille 3GPP-verkoissa.
Keksinnön yhteenveto
Nyt on keksitty parannettu tietoliikennejärjestelmä, jolla voidaan tarjota 15 käyttöoikeuksien todentaminen erilaisissa verkkoympäristöissä. Tietoliikennejärjestelmälle on tunnusomaista se, mitä on esitetty itsenäisessä vaatimuksessa. Keksinnön eri suoritusmuotoja on esitetty epäitsenäisissä patenttivaatimuksissa.
20 Keksinnöllisen ajatuksen mukaisesti tietoliikennejärjestelmä käsittää: useita pakettivälitteisiä matkaviestinverkon palveluita; verkkokäyttö-oikeuksien yhdyskäytävän käyttöoikeuksien tarjoamiseksi asiakas-päätelaitteelle; pakettidatan yhdyskäytävän käyttöoikeuksien tarjoamiseksi edelleen matkaviestinverkon pakettivälitteisiin palveluihin; 25 AAA-järjestelmän tietoliikennejärjestelmään pääsevän ^ asiakaspäätelaitteen käyttäjän todentamiseksi ja valtuuttamiseksi; ^ PANA (Protocol for Carrying Authentication for Network Access) o Authentication Agentin päätelaitteen PANA-identiteetin ja ® tietoliikennejärjestelmään pääsevään päätelaitteeseen liittyvän PANA- x 30 asiakassovelluksen identiteetin varmentamiseksi, joka asiakaspäätelaite on yhdistetty PANA Authentication Agentiin (PAA) g xDSL-yhteyden kautta; ja tietoliikennejärjestelmä edelleen käsittää: g pakettidatan yhdyskäytävän käyttöoikeuksien tarjoamiseksi edelleen ^ matkaviestinverkon pakettivälitteisiin palveluihin; ja PANA Enforcement 35 Pointin integroituna mainitun pakettidatan yhdyskäytävän kanssa, keskinäisen lisätodennuksen tarjoamiseksi PANA-asiakassovelluksen 4 ja Enforcement Pointin välisellä turva-assosiaatiolla, ja asiakaspäätelaitteen tulevien ja lähtevien datapakettien suodattamiseksi, joka mainittu integroitu pakettidatan yhdyskäytävä/ PANA Enforcement Point muodostaa rajapinnan 5 verkkokäyttöoikeuksien yhdyskäytävän ja pakettivälitteisten matkaviestinverkon palveluiden välille; jolloin PANA Authentication Agent on järjestetty välittämään PANA-todennuksen sisällä kulkeva EAP-todennusmenettely AAA-järjestelmään 3GPP-järjestelmän mukaista AAA-todennusta varten.
10
Erään suoritusmuodon mukaan PANA Authentication Agent on integroitu mainittun verkkokäyttöoikeuksien yhdyskäytävän kanssa.
Erään suoritusmuodon mukaan vasteena onnistuneelle todennukselle 15 AAA-järjestelmässä PANA Authentication Agent on järjestetty tarjoamaan PANA Enforcement Pointille päätelaitteen PANA-identiteetti, PANA-asiakassovelluksen identiteetti ja tarvittavat turvallisuuskäytännöt asiakaspäätelaitteen datapakettien suodattamiseksi.
20 Erään suoritusmuodon mukaan mainittu keskinäinen lisätodennus turva-assosiaatiolla PANA-asiakassovelluksen ja Enforcement Pointin välillä on järjestetty suoritettavaksi IKEv2-menettelynä.
Erään suoritusmuodon mukaisesti IPSec-tunneli luodaan PANA-asia-25 kassovelluksen ja Enforcement Pointin välille.
g Keksinnön mukaisella järjestelyllä on merkittäviä etuja. Soveltamalla ^ joitakin PANA-protokollan (Protocol for Carrying Authentication for o Network Access) piirteitä 3GPP-verkon arkkitehtuuriin järjestely mah- ® 30 dollistaa verkkokerrospohjaisen käyttäjäoikeuksien todennuksen, joka £ on joustavasti yhdistetty olemassa olevaan 3GPP-verkon AAA-järjes- telmään. Koska käyttäjäoikeuksien todennus suoritetaan verkkokerrok-S sella, se soveltuu käyttäjäoikeuksien todennukseen useissa erilaisissa LT) g liityntäjärjestelmissä, jolloin mitään erillisiä linkkikerrosprotokollia ei ° 35 välttämättä tarvita. Lisäksi koska käytetään hyväksi olemassa olevaa 3GPP-verkon AAA-järjestelmää, on mahdollista tallentaa ja noutaa tilaajatietoja muista kuin matkaviestinasiakkaista myös AAA-järjestel- 5 mässä, ja samaan aikaan käyttää hyväksi AAA-järjestelmää ei-matka-viestinasiakkaiden laskuttamiseksi. Edelleen järjestely tarjoaa hyvin toimivan käyttöoikeuksien todentamisen xDSL-tilaajalle 3GPP-verkon palveluihin, jolloin tilaussopimusta ei sinällään tarvitse todentaa, mutta 5 todennus voidaan suorittaa asiakas- ja päätelaitekohtaisesti.
Piirustukset
Keksinnön useita erilaisia suoritusmuotoja selostetaan seuraavassa tarkemmin viitaten samalla oheisiin piirustuksiin, joissa 10 Fig. 1 esittää 3GPP-verkon yksinkertaistetun verkkorakenteen;
Fig. 2 esittää keksinnön erään suoritusmuodon mukaisen 3GPP-verkon yksinkertaistetun verkkorakenteen.
Keksinnön suoritusmuotojen kuvaus 15 Kuva 1 esittää esimerkin 3GPP-verkon yksinkertaistetusta verkko-rakenteesta, jossa Release 6:ssa ja aiemmissa spesifikaatioversioissa esitetyt piirteet käsitellään pääasiassa siltä kannalta, että tarjotaan pääsy matkaviestintäverkon palvelun valtuuttamattomien spektritekno-logioiden, erityisesti IEEE 802.11 :n kautta. Näin ollen kuva 1 pää-20 asiassa havainnollistaa 3GPP I-WLAN - konseptin, kuten Release 6:ssa määritetään. 3GPP-verkkorakenteen ja muiden Release 6 mukaisten palveluiden täydellisempää esitystä varten viitataan yleisesti 3GPP-määrityksiin, mutta erityisesti niihin, jotka mainitaan julkaisussa 3G TR 21.101, version 6.3.0, 11. lokakuuta 2005.
- 25 ^ Vaikka keksintöä kuvataan 3GPP-verkkorakenteen yhteydessä, huo- g mautetaan, että keksintö on yhtä lailla sovellettavissa mihin tahansa οό operaattoriverkkoon, joka käsittää tarvittavat verkkoelementit. Näin ol- x Ien keksintöä voidaan soveltaa 3GGP2-määrittelyiden (eli CDMA2000) 30 tai TiSPAN-määrittelyiden (Telecoms & Internet converged Services & S3 Protocols for Advanced Networks) mukaisiin operaattoriverkkoihin.
CD
g TISPANin version 1 arkkitehtuuri, joka keskittyy kiinteiden verkkojen ja § Internetin keskittämiseen, perustuu 3GPP IP Multimedia Subsystem - version 6 arkkitehtuuriin, mutta tarjoaa yleisemmän mallin, joka voi 35 kohdistua useampiin verkko- ja palveluvaatimuksiin.
6
Matkaviestinverkkojen suunnittelussa on tapahtunut merkittävä ajattelutavan muutos piiri kytketystä toiminnasta pakettivälitteiseen toimintaan. Syynä tähän on pyrkimys mahdollistaa täysin IP-pohjainen vies-5 tintä, joka käyttää hyväksi IP:n etuja kaikenlaisessa liikenteessä, ja mahdollistaa saumattoman toiminnan eri järjestelmien välillä. Näin ollen 3G-verkon pääasialliset verkkoelementit ovat yhdyskäytäväsolmut GGSN (Gateway GPRS Support Node) ja palvelusolmut SGSN (Serving GPRS Support Node). Tavallisesti useita palvelusolmuja SGSN on 10 yhdistetty yhteen yhdyskäytäväsolmuun GGSN. Molemmat solmut SGSN ja GGSN toimivat reitittiminä, jotka tukevat matkaviestimen liikkuvuutta, jotka reitittimet ohjaavat matkaviestinjärjestelmää ja reitittävät datapaketit matkaviestimiin niiden sijainnista ja käytettävästä protokollasta riippumatta. Palvelusolmu SGSN on yhteydessä käyttäjäpääte-15 laitteisiin radioliityntäverkkojen LITRAN ja GERAN kautta. Palvelu-solmun SGSN tehtävä on havaita pakettiradioyhteyksiin kykeneviä matkaviestimiä palvelualueellaan, siirtää ja vastaanottaa datapaketteja mainituista matkaviestimistä ja jäljittää matkaviestimien sijainti palvelualueellaan. Pakettiradiopalveluihin liittyviä tallenteita, mukaan luettuna 20 tilaajakohtaisia pakettidataprotokollasisältöjä säilytetään myös koti-tilaajapalvelimella HSS.
Yhdyskäytäväsolmu GGSN toimii yhdyskäytävänä matkaviestinverkon ja ulkoisen dataverkon PDN (Packet Data Network) välillä. On huo-25 mionarvoista, että verrattuna perinteisiin malleihin, MSC:n (matka-viestinkeskus, Mobile Switching Centre) roolia on pienennetty vain sig-g nalointielementiksi, kun taas piirikytkettyä liikennettä käsitellään ja rei- ™ titetään erillismediayhdyskäytävän (IMS-MGW) kautta, joka toimii yh- 9 dessä MRFP:n (Multimedia Resource Function Processor) kanssa.
” 30 g 3GPP Release 6 ja myöhemmät versiot sisältävät määrittelyltä IP Mul-
CL
timedia Subsystemin (IMS) toiselle vaiheelle käsittäen kaikki ydin- 2 verkkoelementit multimediapalveluiden käyttämiseksi periaatteessa m g minkä tahansa IP-pohjaisen viestinnän kautta. SIP-protokollaa (Ses- ° 35 sion Initiation Protocol) käyttäen IMS mahdollistaa sen, että matka viestinoperaattorit voivat tarjota tilaajilleen multimediapalveluita, jotka perustuvat ja on muodostettu Internet-sovelluksiin, palveluihin ja proto 7 kolliin. IMS:n toinen vaihe varmistaa yhteistyöskentelyn piirikytkettyjen verkkojen, ei-IMS-verkkojen ja samanlaisten CDMA-järjestelmille määritettyjen 3GPP2-ydinverkkojen kanssa.
5 VVLAN-päätelaite voi päästä 3GPP Release 6 -verkkoon ulkoisen PDN:n tai IMS:n kautta; kummassakin tapauksessa 3GPP Ι-WLAN pa-kettidatayhdyskäytävä (Packet Data Gateway, PDG) tarjoaa pääsyn 3GPP-verkkopalveluihin. VVLAN-päätelaite voi yhdistyä PDG:hen suoraan radiorajapinnan kautta, tai voidaan käyttää VVLAN-liityntäverkkoa, 10 jolloin VVLAN-liityntäverkon ja PDG:n välillä on langaton liityntäyhdys-käytävä (WAG, wireless access gateway).
Jos WLAN-päätelaite käsittää käyttäjän tunnistusinformaatiota, joka on yhteensopiva 3GPP-verkon kanssa (esim. USIM-kortti), PDG tai WAG 15 voi suorittaa WLAN-päätelaitteen käyttöoikeuksien todennuksen 3GPP:n AAA-järjestelmää (Authentication, Authorization, Accounting) vasten. Näin ollen AAA-palvelin vertaa verkkoon pääsyä yrittävän WLAN-päätelaitteen käyttäjän tunnistustietoja HLR/HSS:ssä olevaan tilaajadataan, ja mikäli se hyväksytään, palvelin valtuuttaa pääsyn jär-20 jestelmään. AAA-palvelimelle ilmoitetaan myös milloin yhteysjakso alkaa ja päättyy, jotta käyttäjää voidaan laskuttaa vastaavasti. Tietenkin vaikka WLAN-päätelaite käsittäisikin 3GPP-verkon kanssa yhteensopivaa käyttäjän tunnistustietoja, käyttöoikeuksien todennus voidaan suorittaa käyttäen IEEE 802.1 X:ää.
25
Mikäli WLAN-päätelaite ei käsitä mitään 3GPP-verkon kanssa yhteen-g sopivaa käyttäjän tunnistustietoa, IEEE 802:n kanssa yhteensopivan
^ päätelaitteen todennus ja valtuutus voidaan suorittaa käyttäen IEEE
9 802.1 X:ää, jolloin esim. EAP-menettely voidaan suorittaa IEEE
® 30 802.1 X:n sisällä. Jälleen vaikka WLAN-päätelaite ei käsittäisikään mi- ϊ tään 3GPP-verkon kanssa yhteensopivaa käyttäjän tunnistustietoja,
CL
käyttöoikeuksien todennus voidaan suorittaa 3GPP AAA:ta vasten. S Kuitenkin siinä tapauksessa AAA-palvelin ei tarkista tilaajatietoja g HLR/HSS:ssä, vaan jossain muussa tietokannassa, joka sisältää ° 35 WLAN-päätelaitteen käyttäjän tunnistustiedot.
8
Kuvassa 1 esitettyjen elementtien lisäksi 3GPP Release 6 -verkko käsittää myös suuren määrän muita verkkoelementtejä, mutta keksinnön ymmärtäminen ei vaadi näiden elementtien esittämistä tässä.
5 Keksinnön piirteiden havainnollistamiseksi joitakin PANA:n perus-menettelyitä käsitellään tässä lyhyesti. PANA:n täydellisempi esitys löytyy julkaisusta IETF Request For comments (RFC) 4058: “Protocol for Carrying Authentication for Network Access (PANA) Requirements”, toukokuu 2005.
10 PANA on todennusprotokolla verkkokäyttöoikeuksille; se ei ole uusi turvaprotokolla tai -mekanismi, vaan paremminkin käyttää uudelleen tunnettuja turvaprotokollia, kuten EAP:tä, tarjoamalla siirtomekanismin tunnetuille todennusmenettelyille. Verkkokerrosprotokollana PANA on 15 alla olevista liityntäteknologioista riippumaton ja sovellettavissa mihin tahansa verkkotopologiaan. Kun laitteelle on myönnetty verkkokäyttö-oikeus, menetelmät joita laite sen jälkeen käyttää sovitellakseen mikä käyttäjä pääsee verkkoon, ovat PANA:n vaikutusalueen ulkopuolella.
20 PANA-todennuksessa PANA-asiakassovellus (PaC, PANA Client) sijaitsee isäntälaitteessa, joka on vastuussa siitä, että identiteetin todistamiseksi tarvittavat valtuutustiedot tarjotaan PANA Authentication Agentille (PAA). PAA on liityntäverkon puoleinen protokollakokonaisuus, jonka vastuulla on varmentaa PANA-asiakassovelluksen tarjo-25 amat tunnisteet. Tunnisteet käsittävät PANA-asiakastunnisteen (PaCI, PANA Client Identifier), joka voi olla esim. käyttäjätunnus, ja laite-g tunnisteen (Dl, Device Identifier), joka voi sisältää yhdistetyn laitteen ™ IP-osoitteen, linkkikerrososoitteen, tai kytkinporttinumeron, jne. Jos 9 PAA:n suorittama varmennus onnistuu, se myöntää verkkokäyttö- ” 30 oikeuden PaC:hen liitetylle ja Dl:n kautta tunnistetulle laitteelle. PANA- ϊ arkkitehtuuri edelleen sisältää Enforcement Pointin (EP), joka on lii-
tyntäverkon solmu, jossa käytetään suodattimia asiakaslaitteiden si-2 sään tulevaan ja ulos lähtevään liikenteeseen pakettikohtaisesti. PAA
LO
g tarjoaa EP:lle asiakaskohtaista tietoa, kuten Dl:n ja mahdollisesti sateet 35 kirjoitusavaimia suodattimien muodostamiseksi EPille.
9
Sen jälkeen kun laite on PANA-autentikoitu, sen verkkokäyttöoikeus autorisoidaan, eli PaC:n autorisointi varmennetaan siten, että PaC:n laite voi lähettää ja vastaanottaa mitä tahansa IP-paketteja. Kuitenkin jos verkko-operaattori vaatii hienojakoisempaa autorisointia, kuten au-5 torisointia tietylle QoS:lle, voidaan käyttää tausta-autorisointi-infra-struktuuria, kuten RADIUS- tai Diameter-pohjaista AAA-järjestelmää, tällaisten ilmoitusten tarjoamiseksi PAA:lle.
Nyt keksinnön mukaisesti PANA-todennus voidaan toteuttaa operaatto-10 riverkossa, kuten 3GPP-, 3GPP2- tai TiSPAN-verkossa siten, että ope-raattoriverkon pakettivälitteiset palvelut tulevat esim. xDSL-tilaajan saataville. Keksinnön suoritusmuotojen mukainen PANA-toteutus käyttää tehokkaasti hyväkseen olemassa olevaa operaattoriverkon AAA-järjestelmää, jolloin mikä tahansa EAP-pohjainen todennus voi-15 daan suorittaa PANA-todennusmenettelyn sisällä.
Kuva 2 esittää keksinnön erään suoritusmuodon mukaisen verkko-toteutuksen. Tässä toteutuksessa PANA Authentication Agent (PAA) on integroitu 3GPP Ι-WLAN -järjestelyn Wireless Access Gatewayn 20 (WAG) kanssa. PANA-arkkitehtuurin Enforcement Point (EP) on integroitu pakettidatayhdyskäytävään (Packet Data Gateway, PDG). WAG tarjoaa liitynnän mihin tahansa IP-pohjaiseen liityntäverkkoon, jonka kautta PANA-asiakassovelluksen (PaC) käsittävä päätelaite voi yrittää muodostaa yhteyttä 3GPP-verkkoon. Radioliityntäverkot UTRAN ja 25 GERAN, ja kaikki tavallisen 3GPP-verkon piirikytketyt elementit luonnollisesti kuuluvat verkon toteutukseen, vaikka ne onkin jätetty pois ku-^ vasta 2 suoritusmuodon havainnollistamisen vuoksi.
o
(M
9 Yhteyden muodostaminen suoritetaan lyhyesti seuraavalla tavalla.
” 30 Esimerkiksi xDSL-tilaajan päätelaitteeseen liittyvä PaC ottaa yhteyttä £ WAG/PAA:han IP-liityntäverkon kautta. PaC ja PAA suorittavat PANA- todennuksen esim. käyttäen EAP:tä todennusprotokollana. PANA-to-S dennuksen ensimmäisessä vaiheessa PaC:hen liittyvä ja Dl:llä tunnis- g tettavissa oleva päätelaite varmennetaan WAG/PAA:ssa. PANA-to- ° 35 dennuksen sisällä kulkeva EAP-todennusmenettely välitetään sitten edelleen WAG/PAA:sta 3GPP AAA -järjestelmään, jolloin PaC edelleen 10 todennetaan 3GPP AAA -järjestelmää vasten (eli varmistetaan, että tilaajalle on oikeutettu verkkopalveluun).
Jos EAP-todennus onnistuu, WAG/PAA välittää asiakastiedot, kuten 5 Dl:n ja mahdollisesti salakirjoitusavaimia, ja noudatettavat turvallisuus-käytännöt PDG/EP:lle pakettisuodattimien rakentamiseksi EP:lle. Sitten PaC ja PDG/EP suorittavat keskinäisen todennuksen toistensa välillä, edullisesti IKEv2-menettelyllä (Internet Key Exchange, version 2), minkä seurauksena IKE-turva-assosiaatio (SA, security association) 10 perustetaan PaC:n ja PDG/EP:n välillä. Sen jälkeen PDG/EP voi päästää PaC:stä tulevat datapaketit läpi, ja PaC:hen liittyvälle päätelaitteelle voidaan myöntää ainakin rajoitettu käyttöoikeus 3GPP-verkon pakettivälitteisiin palveluihin. Tarvittaessa PaC:n ja PDG/EP:n välistä liikennettä voidaan edelleen turvata IPSec-tunnelilla (IP security).
15 Tässä suoritusmuodossa PAA on integroitu WAG:n kanssa, mikä on luonnollinen paikka PAA:lle, koska PANA-todennus vaatii, että PAA:n ja PaC:n tulee olla tasan yhden IP-hypyn päässä toisistaan, eli niiden välillä ei tule olla IP-reitittimiä. Luonnollisesti tämä rajoitus voidaan 20 kiertää käyttäen erilaisia silloitus- ja tunnelointitekniikoita, vaikka PAA ja PaC olisi yhdistetty erillisiin fyysisiin linkkeihin. Alan ammattilainen kuitenkin ymmärtää, että PAA:n sijainti ei ole rajoitettu vain WAG:hen, vaan se voidaan toteuttaa missä tahansa 3GPP-verkon verkkokäyttö-oikeuspalvelimessa (NAS, network access server). Kuten kuvassa 1 25 esitetään, joissain tapauksissa PDG voi tarjota verkkokäyttöoikeuden langattomalle päätelaitteelle, jolloin PAA voi myös olla integroituna yh-^ teen EP:n kanssa PDG:ssä. Vaihtoehtoisesti PAA voidaan toteuttaa o ™ erillisenä komponenttina.
oo o ” 30 WAG/PAA:n ja 3GPP AAA -järjestelmän välinen rajapinta, kuten myös g PDG/EP:n ja 3GPP AAA -järjestelmän välinen rajapinta, on merkitty
Wm+:ksi, mikä tarkoittaa, että rajapinta on yhteensopiva 3GPP S Release 6 -määritelmien mukaisen Wm-rajapinnan kanssa, kuitenkin g niillä lisäyksillä, joita vaaditaan toimittamaan mikä tahansa PANA-koh- ° 35 täinen informaatio elementtien välillä.
11
Edellä kuvattu suoritusmuoto käyttää 3GPP Ι-WLAN -järjestelyä esi-merkkialustana PANA-toiminnallisuudelle. 3GPP Release 6 sisältää kuitenkin myös muita verkkotopologioita käyttöoikeuden tarjoamiseksi 3GPP-verkon palveluille valtuuttamattomien spektriteknologioiden 5 kautta. Nämä liityntäkaaviot sisältävät myös Unlicensed Mobile Access (UMA) ja 3GPP GAN (Generic Access Network) -topologiat, jotka molemmat käsittävät verkkoelementin, joka on samanlainen kuin 3GPP I-WLAN:in PDG. Näin ollen edellä kuvattu PANA-toiminnallisuus voidaan toteuttaa UMA:ssa ja GAN:ssa samalla tavalla, jolloin EP voidaan yhtä 10 lailla integroida 3GPP GAN:n Generic Access Network Controllerin (GANC) kanssa tai UMA Network Controllerin (UNC) kanssa.
Edellä kuvattujen suoritusmuotojen edut ovat selviä alan ammattilaiselle. Järjestely mahdollistaa verkkokerrospohjaisen käyttöoikeuksien 15 todennuksen, joka on joustavasti yhdistetty olemassa olevaan operaattori verkon, kuten 3GPP, 3GPP2 tai TiSPAN -verkon AAA-järjestel-mään. Koska käyttäjäoikeuksien todennus suoritetaan verkkokerroksella, se soveltuu käyttäjäoikeuksien todennukseen useissa erilaisissa liityntäjärjestelmissä, jolloin mitään erillisiä linkkikerrosprotokollia ei 20 välttämättä tarvita. Lisäksi koska käytetään hyväksi olemassa olevaa AAA-järjestelmää, on mahdollista tallentaa ja noutaa tilaajatietoja muista kuin matkaviestinasiakkaista myös AAA-järjestelmässä, ja samaan aikaan käyttää hyväksi AAA-järjestelmää ei-matkaviestinasiak-kaiden laskuttamiseksi. Lisäksi suoritusmuotojen toteutus vaatii vain 25 marginaalisia lisäyksiä olemassa olevaan 3GPP-arkkitehtuuriin, jolloin taataan olemassa olevien verkkoelementtien yhteensopivuus taakse-g päin. Erityisesti järjestely tarjoaa hyvin toimivan käyttöoikeuksien to- ^ dennuksen xDSL-tilaajalle 3GPP-verkon palveluihin, jolloin tilaussopi- o musta ei sinällään tarvitse todentaa, mutta todennus voidaan suorittaa “ 30 asiakas- ja päätelaitekohtaisesti. Luonnollisesti keksintöä ei ole rajoi- £ tettu käyttöoikeuksien todennuksen tarjoamiseen vain xDSL-tilaajalle,
CL
vaan sitä voidaan soveltaa minkä tahansa IP-pohjaisen ei-solukko-2 verkon käyttäjälle.
LO
LO
O
™ 35 On selvää, että nyt esillä oleva keksintö ei rajoitu pelkästään edellä esitettyihin suoritusmuotoihin vaan sitä voidaan muunnella oheisten patenttivaatimusten puitteissa.

Claims (6)

12
1. Tietoliikennejärjestelmä, joka käsittää: useita pakettivälitteisiä matkaviestinverkon palveluita (IMS); 5 verkkokäyttöoikeuksien yhdyskäytävän (WAG) käyttö oikeuksien tarjoamiseksi asiakaspäätelaitteelle; PANA Authentication Agentin (PAA) päätelaitteen PANA-identiteetin (Dl) ja tietoliikennejärjestelmään pääsevään päätelaitteeseen liittyvän PANA-asiakassovelluksen (PaC) identiteetin (PaCI) var-10 mentamiseksi; ja AAA-järjestelmän tietoliikennejärjestelmään pääsevän asia-kaspäätelaitteen käyttäjän todentamiseksi ja valtuuttamiseksi; tunnettu siitä, että asiakaspäätelaite on yhdistetty PANA Authentication Agentiin (PAA) xDSL-yhteyden kautta; ja tietoliikennejärjestelmä edelleen 15 käsittää: pakettidatan yhdyskäytävän (PDG) käyttöoikeuksien tarjoamiseksi edelleen matkaviestinverkon pakettivälitteisiin palveluihin (IMS); ja PANA Enforcement Pointin (EP) integroituna mainitun pa-20 kettidatan yhdyskäytävän (PDG) kanssa keskinäisen lisätodennuksen tarjoamiseksi PANA-asiakassovelluksen (PaC) ja Enforcement Pointin (EP) välisellä turva-assosiaatiolla (SA), ja asiakaspäätelaitteen tulevien ja lähtevien datapakettien suodattamiseksi, joka mainittu integroitu pakettidatan yhdyskäytävä/ PANA Enforcement Point (PDG/EP) 25 muodostaa rajapinnan verkkokäyttöoikeuksien yhdyskäytävän (WAG) ja pakettivälitteisten matkaviestinverkon palveluiden (IMS) välille; jolloin 5 PANA Authentication Agent (PAA) on järjestetty välittämään ^ PANA-todennuksen sisällä kulkeva EAP-todennusmenettely AAA-jär- 9 jestelmään 3GPP-järjestelmän mukaista AAA-todennusta varten. 00 _ _ 30
2. Patenttivaatimuksen 1 mukainen tietoliikennejärjestelmä, n tunnettu siitä, että S PANA Authentication Agent (PAA) on integroitu mainittuun o verkkokäyttöoikeuksien yhdyskäytävään (WAG). ™ 35 13
3. Patenttivaatimuksen 1 mukainen tietoliikennejärjestelmä, tunnettu siitä, että PANA Authentication Agent (PAA) on integroitu mainittuun pakettidatayhdyskäytävään (PDG). 5
4. Jonkin edellisen patenttivaatimuksen mukainen tietoliikennejärjestelmä, tunnettu siitä, että PANA Authentication Agent (PAA) on vasteena onnistuneelle todennukselle AAA-järjestelmässä järjestetty tarjoamaan PANA 10 Enforcement Pointille (PDG/EP) päätelaitteen PANA-identiteetti (ID), PANA-asiakassovelluksen (PaC) identiteetti (PaCI) ja tarvittavat turvallisuuskäytännöt asiakaspäätelaitteen datapakettien suodattamiseksi.
5. Jonkin edellisen patenttivaatimuksen mukainen tieto-15 liikennejärjestelmä, tunnettu siitä, että mainittu keskinäinen lisätodennus turva-assosiaatiolla (SA) PANA-asiakassovelluksen (PaC) ja Enforcement Pointin (EP) välillä on järjestetty suoritettavaksi IKEv2-menettelynä.
6. Patenttivaatimuksen 5 mukainen tietoliikennejärjestelmä, tunnettu siitä, että PANA-asiakassovelluksen (PaC) ja Enforcement Pointin (EP) välille on muodostettu IPSec-tunneli. 25 δ (M oo o oo X en CL 00 00 CD in m o o (M 14
FI20055633A 2005-11-30 2005-11-30 Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten FI121907B (fi)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FI20055633A FI121907B (fi) 2005-11-30 2005-11-30 Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten
EP06808031A EP1955513B1 (en) 2005-11-30 2006-11-10 Apparatus for authenticating access of a client terminal, which is non-compliant with the protocols of a mobile communication network
DK06808031T DK1955513T3 (da) 2005-11-30 2006-11-10 Telekommunikationssystem
DE602006006593T DE602006006593D1 (de) 2005-11-30 2006-11-10 Vorrichtung zum authentifizieren des zugangs eines client-endgeräts, das nicht den protokollen eines mobilkommunikationsnetzes entspricht
ES06808031T ES2324628T3 (es) 2005-11-30 2006-11-10 Aparato para autenticar el acceso de un terminal de cliente, que es no compatible con los protocolos de una red de comunicacion movil.
PCT/FI2006/050490 WO2007063176A1 (en) 2005-11-30 2006-11-10 Apparatus for authenticating access of a client terminal, which is non-compliant with the protocols of a mobile communication network
AT06808031T ATE430433T1 (de) 2005-11-30 2006-11-10 Vorrichtung zum authentifizieren des zugangs eines client-endgeräts, das nicht den protokollen eines mobilkommunikationsnetzes entspricht

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20055633A FI121907B (fi) 2005-11-30 2005-11-30 Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten
FI20055633 2005-11-30

Publications (3)

Publication Number Publication Date
FI20055633A0 FI20055633A0 (fi) 2005-11-30
FI20055633A FI20055633A (fi) 2007-05-31
FI121907B true FI121907B (fi) 2011-05-31

Family

ID=35458873

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20055633A FI121907B (fi) 2005-11-30 2005-11-30 Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten

Country Status (7)

Country Link
EP (1) EP1955513B1 (fi)
AT (1) ATE430433T1 (fi)
DE (1) DE602006006593D1 (fi)
DK (1) DK1955513T3 (fi)
ES (1) ES2324628T3 (fi)
FI (1) FI121907B (fi)
WO (1) WO2007063176A1 (fi)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621198B2 (en) 2008-02-19 2013-12-31 Futurewei Technologies, Inc. Simplified protocol for carrying authentication for network access
EP2805469A2 (en) * 2012-01-17 2014-11-26 Ipalive AB A device, software module, system or business method for global real-time telecommunication
US11689926B2 (en) * 2019-10-09 2023-06-27 Cisco Technology, Inc. Onboarding wireless devices to private networks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2304165T3 (es) * 2004-03-09 2008-09-16 Telefonaktiebolaget Lm Ericsson (Publ) Soporte de movilidad de red y control de acceso para redes moviles.

Also Published As

Publication number Publication date
DK1955513T3 (da) 2009-07-27
ES2324628T3 (es) 2009-08-11
EP1955513A1 (en) 2008-08-13
FI20055633A0 (fi) 2005-11-30
ATE430433T1 (de) 2009-05-15
DE602006006593D1 (de) 2009-06-10
FI20055633A (fi) 2007-05-31
WO2007063176A1 (en) 2007-06-07
EP1955513B1 (en) 2009-04-29

Similar Documents

Publication Publication Date Title
EP3318078B1 (en) Method and system to authenticate multiple ims identities
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
US7809003B2 (en) Method for the routing and control of packet data traffic in a communication system
US8973125B2 (en) Application layer authentication in packet networks
FI121560B (fi) Todentaminen matkaviestintäyhteistoimintajärjestelmässä
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
US9264411B2 (en) Methods, apparatuses and computer program product for user equipment authorization based on matching network access technology specific identification information
US20070143613A1 (en) Prioritized network access for wireless access networks
CA3011821C (en) Establishing a session initiation protocol session
CN106105134A (zh) 改进的端到端数据保护
JP2010518719A (ja) Uiccなしコールのサポート
EP2215803B1 (en) Network access authentication
US20060046693A1 (en) Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
FI121907B (fi) Käyttäjäoikeuksien autentikointimekanismi matkaviestinverkkoa varten
Veltri et al. Wireless lan-3g integration: Unified mechanisms for secure authentication based on sip
Gondi et al. Secured roaming over WLAN and WIMAX networks
GB2417856A (en) Wireless LAN Cellular Gateways
Salsano et al. WLAN/3G secure authentication based on SIP
Strater et al. Seamless Mobility Between Home Networks And Cable Services
Issaeva 3G–WLAN Systems Interworking Architecture
Díaz-Sánchez et al. A general IMS registration protocol for wireless networks interworking
Imai et al. Coordination path control method to reduce traffic load on NGN access gateway
Celentano et al. Improved authentication for ims registration in 3g/wlan interworking
Salsano et al. Technical Report N: T2. 1_2005_PR_R02 WLAN/3G secure authentication based on SIP
Ordine et al. SIP roaming solution amongst different WLAN-based service providers

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 121907

Country of ref document: FI

MM Patent lapsed