FI122184B - Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa - Google Patents

Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa Download PDF

Info

Publication number
FI122184B
FI122184B FI20096120A FI20096120A FI122184B FI 122184 B FI122184 B FI 122184B FI 20096120 A FI20096120 A FI 20096120A FI 20096120 A FI20096120 A FI 20096120A FI 122184 B FI122184 B FI 122184B
Authority
FI
Finland
Prior art keywords
node
domain
address
message
tpp
Prior art date
Application number
FI20096120A
Other languages
English (en)
Swedish (sv)
Other versions
FI20096120A0 (fi
FI20096120A (fi
Inventor
Pasi Koistinen
Original Assignee
Deltagon Group Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deltagon Group Oy filed Critical Deltagon Group Oy
Priority to FI20096120A priority Critical patent/FI122184B/fi
Publication of FI20096120A0 publication Critical patent/FI20096120A0/fi
Publication of FI20096120A publication Critical patent/FI20096120A/fi
Application granted granted Critical
Publication of FI122184B publication Critical patent/FI122184B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol) - pohjaisessa tietoliikenneverkossa Tämä hakemus on erotettu jakamalla kantahakemuksesta FI-20085663, 5 tehty 27.6.2008
Keksinnön ala [001] Keksintö liittyy yleisesti sähköpostiin ja tietoturvaan. Keksintö liittyy erityisesti ratkaisuihin, joilla pyritään varmistamaan, että sähköpostiviestin 10 sisältö säilyy luottamuksellisena, kun sisältö välitetään Internetin kautta lähettäjältä vastaanottajalle. Mikäli sähköpostiviestin vastaanottaja vastaa viestiin eli lähettää vastausviestin, myös vastausviestin sisällön tulee säilyä luottamuksellisena.
Tekniikan tausta 15 [002] Tunnetusti Internet välittää IP (Internet Protocol) -paketteja. Eri tyyppisiä tiedonsiirtotarpeita varten näitä IP-paketteja kapseloidaan eri tavoin. Kapselointi tuottaa tuloksenaan esimerkiksi TCP/IP Transmission Control Protocol/(lnternet Protocol) -paketteja. Sähköpostiviesti muodostuu ainakin yhdestä Internetin välittämästä tietoliikennepaketista kuten IP-paketista tai 20 TCP/IP-paketista.
[003] Internetissä on palvelimia, joita pidetään turvallisina ja palvelimia, joita pidetään turvattomina. Yleisesti ottaen, sähköpostiviestin lähettäjä ei tiedä, mitkä palvelimet ovat turvallisia ja mitkä turvattomia. Vaikka lähettäjä tietäisikin, mitkä palvelimet ovat turvallisia, lähettäjällä ei välttämättä ole 25 mahdollisuutta ohjata Internetiä siten, että hänen viestinsä kulkisi turvallisten ^ palvelimien kautta.
i £ [004] Palvelinta, joka yhdistää lähiverkon Internetiin, nimitetään yleensä i palomuuriksi. Palomuuri on kytketty lähiverkolla päätelaitteisiin, joille allo-x koidut Internet-osoitteet sisältyvät tiettyyn osoiteavaruuteen. Osoite- 30 avaruuteen osoitetut sähköpostiviestit ohjataan palomuurin ja lähiverkon <m kautta vastaanottajien päätelaitteisiin. Tässä hakemuksessa termi ”palo- a> muuri” viittaa myös ns. sähköpostipalomuuriin, joka kykenee yksittäisten
O
^ tietoliikennepakettien sijaan käsittelemään sähköpostiviestejä kokonaisuuk sina ja tekemään sähköpostiviesteille varsin monimutkaisia tarkistuksia ja 35 muunnoksia.
2 [005] Jos lähetty viesti kulkee ainakin yhden turvattoman palvelimen kautta, viestin luottamuksellisuus vaarantuu. Ongelman ratkaisemiseksi viesti voidaan salata.
[006] Seuraavassa esitetään eräitä salaukseen perustuvia 5 sähköpostiratkaisuja ja niihin liittyviä ongelmia.
[007] IPsec (IP security) on protokollista muodostuva joukko, joka turvaa IP -yhteyksiä. IPsec-ratkaisussa voidaan käyttää ESP (Encapsulating Security Payload) -protokollaa, jolloin jokainen turvattuun IP-yhteyteen liittyvä IP-paketti salakirjoitetaan.
10 [008] IPsec-ratkaisussa tiettyjen päätelaitteiden tai lähiverkon kaikkien päätelaitteiden liikenne ohjataan yhden pisteen kuten palomuurin kautta. Palomuuri salaa lähtevän liikenteen sekä purkaa saapuvan liikenteen salauksen. Vaihtoehtoisesti päätelaitteet suorittavat lähtevän liikenteen salauksen ja saapuvan liikenteen salauksen purkamisen.
15 [009] IPsec:n avulla on toteutettu luottamuksellisia yhteydenpitokanavia kommunikaatio-osapuolten kesken. Nämä osapuolet voivat kommunikoida näennäisessä yksityisverkossa (VPN, Virtual Private Network), joka sisältää luottamukselliset yhteydenpitokanavat.
[010] IPsec:n ongelma on, että yhteydenpitokanavien ylläpito on varsin 20 työlästä, koska se edellyttää kommunikaatio-osapuolten keskinäistä salakirjoitusavainten vaihtoa. Näin ollen IPsec soveltuu heikosti tyypillisiin avoimiin sähköpostiympäristöihin, joissa organisaatioilla ja niitä edustavilla ihmisillä on lukuisia, organisaatioiden ulkopuolella sijaitsevia kommunikaatio-osapuolia.
25 [011] S/MIME (Secure Multipurpose Internet Mail Extensions) -ratkaisu Q edellyttää, että lähettäjällä ja vastaanottajalla on käytössään salausavaimet g ja yhteensopivat salausohjelmat. S/MIME perustuu julkisen ja yksityisten salakirjoitusavaimen käyttöön. Vaikka useimmat sähköpostiohjelmat tukevat ^ S/MIME:ä, vain harvoilla käyttäjillä on salakirjoitusavaimet.
CC
30 [012] Kuten IPsec-ratkaisussa myös S/MIME- ratkaisussa ongelmana cm on avainten vaihtamiseen ja ylläpitoon liittyvä vaivannäkö, g [013] Toinen S/MIME-ratkaisun ongelma liittyy haittaliikenteen torjun- ^ taan. Jos viestin lähettäjän työasemaan on tunkeutunut haittaohjelma, haitta- ohjelma voi lähettää vastaanottajan julkisella avaimella salattuja haitta-35 viestejä vastaanottajalle. Koska viestit on salattu, niiden sisällä olevaa haital- 3 lista sisältöä, esimerkiksi roskapostia tai virusta, ei voida tehokkaasti tunnistaa tyypillisellä verkon reunalla toimivalla sähköpostiyhdyskäytävällä. Näin ollen haittaviesti voi päästä useankin tarkistuksen läpi aina vastaanottajan työpöydälle saakka.
5 [014] Vaikka tunnettu tekniikka tarjoaa mahdollisuuden kopioida jokai sen lähettäjän/vastaanottajan yksityinen avain torjuntapalvelimelle ja purkaa salaus sisällöntarkistuksen yhteydessä, menettely on monimutkainen. Viestien salaaminen on siis kielteinen toimenpide haittaliikenteen torjumisen kannalta.
10 [015] IBE (Identity Based Encryption) -ratkaisussa yleisavaimen perus teella johdetaan eri identiteeteille joukko avaimia. Ratkaisuun liittyvä ensisijainen vaihtoehto edellyttää, että viestin lähettäjällä ja vastaanottajalla on käytössään yhteensopivat salausohjelmat. Mikäli lähettäjällä ei ole vastaanottajan julkista salausavainta, lähettäjä voi käyttää menetelmää, jolla viesti 15 salataan spekulatiivisesti. Tämä menetelmä luo salausavaimen vastaanottajan sähköpostiosoitteen perusteella ja salaa viestin luodulla salausavaimella.
[016] I BE yksinkertaistaa avainten hallintaa S/MIME-menetelmään verrattuna, mutta se aiheuttaa uuden ongelman eli vastaanottajan 20 tunnistamisongelman. Tunnettu tekniikka ei tarjoa käyttäjäystävällistä menetelmää vastaanottajan tunnistamiseen tilanteessa, jossa vastaanottajasta ei tiedetä sähköpostiosoitteen lisäksi mitään muuta.
[017] Kuten edellä mainittiin, viestien salaaminen on kielteinen toimenpide haittaliikenteen torjumisen kannalta. Siksi IBE-ratkaisun ensisijaista 25 vaihtoehtoa pidetään ongelmallisena.
O [018] IBE-ratkaisuun liittyvässä toissijaisessa vaihtoehdossa r^. salausohjelmien sijaan käytetään WWW (World Wide Web) -pohjaista o viestinvälitystä.
x [019] IBE:en liittyvä WWW-pohjainen viestinvälitys ja hakijan luoma D3- * 30 palvelin ovat eräitä esimerkkejä sähköpostiviestin ns. ad hoc -välityksestä.
oj [020] Hakijan D3-palvelin on yhteensopiva olemassa olevien o) sähköpostijärjestelmien kanssa. D3-palvelin mahdollistaa sähköpostin luo-
O
° tettavan välittämisen organisaatioiden välillä ilman hajautettujen ohjelmis tojen ja palvelimien hallintaongelmia. D3-palvelin luo sähköpostiviestin sisäl- 4 lön perusteella ainakin yhden tiedoston ja suorittaa sen jälkeen osittain samoja vaiheita kuin seuraava menetelmä.
[021] Menetelmä sisältää vaiheet: 1) vastaanottajalle tarkoitettu tiedosto salataan, 2) salattu tiedosto sijoitetaan WWW-palvelimelle, 3) luodaan sähkö- 5 postiviesti, joka sisältää linkin salattuun, WWW-palvelimelle sijoitettuun tiedostoon, ja 4) lähetetään luotu sähköpostiviesti vastaanottajalle.
[022] Vastaanotettuaan viestin vastaanottaja voi lukea tiedoston WWW-selaimella viestin sisältämän linkin kautta. Linkin näpäyttäminen luo HTTPS (Hypertext Transfer Protocol Secure) -yhteyden vastaanottajan päätelaitteen 10 ja tiedoston sisältämän palvelimen välille, jolloin tiedoston sisältö on luettavissa luottamuksellisella tavalla.
[023] Edellä kuvatun menetelmän ensimmäisenä ongelmana pidetään sitä, että vastaanottaja tarvitsee päätelaitteessaan WWW-selaimen, muuten tiedostoa ei voi lukea.
15 [024] Menetelmän toisena ongelmana pidetään sitä, että sähköposti viesti saattaa päätyä väärälle henkilölle. Tällöin väärä henkilö kykenee lukemaan tiedoston, jos menetelmässä ei käytetä henkilön tunnistusta esimerkiksi salasanan avulla. Täten tiedoston luottamuksellisuus on vaarassa ilman salausta, kun linkin sisältävä viesti kulkee turvattoman palvelimen kautta. 20 Toisaalta menetelmän etuna pidetään sitä, että se takaa sähköpostin luottamuksellisuuden melko hyvin ilman salausavainta ja salausavaimen lähettämiseen ja ylläpitoon liittyvää vaivannäköä.
[025] Päästä päähän turvatut tiedonsiirtoyhteydet ovat yleistyneet Internetissä. Luottamuksellisen tiedonsiirron tarpeita varten on kehitetty TLS 25 (Transport Layer Security) -protokolla. TLS on protokolla, jolla voidaan o suojata Internet-sovellusten tiedonsiirto Internetin yli. Tavallisin TLS:n käyttö- i4. tapa on suojata WWW-sivujen siirtoa, kun sivujen siirrossa käytetään edellä 0 mainittua HTTPS-protokollaa. Sähköpostien luottamuksellisessa välityk-sessä voidaan käyttää TLS-laajennosta ESMTP:n (Extended Simple Mail £ 30 Transfer Protocol) yhteydessä. Tunnetusti vastaanottavan palvelimen o tukema salaustekniikka voidaan tarkistaa SMTP-istunnon avaavalla tarkistus-
C\J
S laitteella.
σ> o [026] Tietoliikenneverkon solmut muodostavat polkuja, joita pitkin sähköpostiviestin sisältämät tietoliikennepaketit ovat siirrettävissä tietoliiken- 5 neverkon yli. Seuraavassa käsitellään tunnettuja menetelmiä polkujen tutkimiseksi.
[027] Traceroute on TCP/IP-protokollaa käyttävä käyttöjärjestelmä-komento, joka selvittää, mitä polkua eli reittiä pitkin lähetetyt paketit kulkevat 5 tiettyyn tietoliikenneverkon solmuun. Solmu on esimerkiksi palvelin tai reititin. Yhden tai useamman paketin siirtymistä solmusta seuraavaan solmuun nimitetään hypyksi (hop).
[028] Traceroute-komento kasvattaa lähettämiensä pakettien ’Time To Live” -arvoa, joka ilmaisee suoritettavien hyppyjen lukumäärän. Tarkemmin 10 sanoen ensimmäisen paketin ’Time To Live” -arvo on yksi, toisen paketin ’Time To Live” -arvo on kaksi jne. Täten ensimmäinen paketti palaa takaisin ensimmäisen reittimen jälkeen, toinen paketti palaa takaisin toisen reitittimen jälkeen jne. Palautuneiden pakettien perusteella traceroute-komento muodostaa listan tietoliikenneverkon solmuista. Listan solmut muodostavat polun, 15 jota pitkin paketit kulkivat tiettyyn tietoliikenneverkon solmuun.
[029] Traceroute-komento on peräisin Unix-käyttöjärjestelmistä. Useimmat Linux- käyttöjärjestelmät sisältävät samalla nimellä käytettävän komennon tai traceroute:n sijaan ’’Matt's Traceroute”-työkalun, jota käytetään komennolla "mtr”. Vastaavasti Windows-käyttöjärjestelmissä käytetään 20 komentoa ’’tracert”.
[030] Hakemuksessa termi Traceroute tai Traceroute-työkalu viittaa komentoihin ’’traceroute”, ”mtr”, ’’tracert” ja muihin mahdollisiin komentoihin, joiden avulla voidaan selvittää pakettien kulkema polku.
[031] Vaikka Traceroute-työkalun käyttöä on rajoitettu turvallisuussyistä, __ 25 monet internetin runkoreitittimet hyväksyvät sen käytön. Näin ollen Trace- o route-työkalulla voidaan toisinaan selvittää, minkä palvelimien tai minkä mai- den kautta sähköpostiviesti kulkee internetissä, o [032] Oletetaan että, että viestin kulkema polku selvitetään Traceroute- ^ työkalulla ja työkalun muodostama lista sisältää joukon palvelimia. Tätä listaa £ 30 verrataan Internetistä saatavissa olevaan turvallisten palvelimien listaan tai turvattomien palvelimien listaan. Suoritettu vertailu paljastaa, ovatko kaikki S viestin kulkemaan polkuun sisältyvät palvelimet turvallisia vai eivät, o o [033] Tunnetusti Internetin välittämiä sähköpostiviestejä ohjataan palo muurin ja lähiverkon kautta vastaanottajien päätelaitteisiin ja päätelaitteista 35 lähetetyt, lähiverkon ulkopuolelle osoitetut sähköpostiviestit ohjataan palo- 6 muurin kautta Internetiin. Tietoliikenteen hallinnan johdosta palomuurista voidaan käyttää nimitystä MTA (Message Transfer Agent).
[034] Palomuurien lisäksi myös muut palvelimet voivat toimia MTA:ina. Lähdereitityksessä (source routing) tietoliikennepaketin lähettäjä kykenee 5 ohjaamaan tietoliikennepaketin vastaanottajalle tiettyä reittiä pitkin. Lähde-reititystä voidaan soveltaa yksittäisten tietoliikennepakettien sijasta sähköpostiviestiin. Tällöin niiden MTA:iden osoitteet, jotka sijaitsevat tietyllä reitillä, sisällytetään viestin vastaanottajaosoitteeseen. Kun MTA saa viestin, se lyhentää vastaanottajaosoitetta poistamalla oman osoitteensa vastaanottaja-10 osoitteesta. Sitten MTA välittää viestin eteenpäin lyhentyneen vastaanottaja-osoitteen mukaisesti.
[035] Lähdereitityksellä lähettäjä voi testata eri reittejä tai määrätä viesti välitettäväksi nopeampaa, halvempaa tai luotettavampaa reittiä pitkin. Tietoturvasyistä johtuen lähdereitityksen käyttö on kuitenkin usein kielletty.
15 [036] Internetin perusperiaate on, että Internet reitittää lähetetyt tietoliikennepaketit lähettäjäsolmusta vastaanottajasolmuun.
[037] Kuten edellä on mainittu, tunnettu tekniikka tarjoaa: - rajoitetun mahdollisuuden käyttää Traceroute-työkalua, - tietoliikennepakettien kulkeman polun palvelimien turvallisuus 20 voidaan selvittää turvallisten palvelimien listan tai turvattomien palvelimien listan perusteella - jos lähdereititys on sallittu, sähköpostiviesti voidaan ohjata lähdereitityksellä turvalliselle polulle.
[038] Ensimmäinen tunnettuun tekniikkaan liittyvä ongelma on, että __ 25 vaikka turvallisia polkuja olisikin käytettävissä sähköpostiviestin välityksessä, o viestin lähettäjä ei yleensä tiedä turvallisten polkujen olemassa olosta eikä isL lähettäjän käyttämä järjestelmä kykene ohjaamaan viestiä turvalliselle polulle, o [039] Toinen tunnettuun tekniikkaan liittyvä ongelma on, että lähettäjällä ^ on olemattomat mahdollisuudet vaikuttaa siihen, millaista polkua pitkin viestin £ 30 vastaanottaja lähettää viestiin liittyvän vastausviestinsä. Usein vastausviesti ^ sisältää kokonaisuudessaan sen viestin, johon viestin vastaanottaja vastasi S vastausviestillään.
CD
o o [040] Vaikka viesti välitettäisiin turvallista polkua pitkin vastaanottajalle, niin vastausviestin kulkema polku eli ns. paluupolku aiheuttaa tietoturvariskin 35 mikäli paluupolku on turvaton. Tietoturvariski tarkoittaa erityisesti sitä, että 7 vastausviestin sisältämät arkaluontoiset tiedot päätyvät turvattoman paluu-polun takia väärällä henkilölle, joka pyrkii väärinkäyttämään tietoja.
Keksinnön lyhyt yhteenveto [041] Keksinnön eräs tavoite on edellä mainittujen tunnetun tekniikan 5 ongelmien ratkaiseminen. Keksinnölle on tunnusomaista se, mitä on sanottu oheisissa patenttivaatimuksissa.
[042] Sähköpostin luottamuksellisuus pyritään varmistamaan etsimällä etsintälaitetta käyttäen turvallinen polku Internetin ylitse.
[043] Keksinnönmukainen etsintälaite soveltuu erityisesti käytettäväksi 10 menetelmässä, joka on kuvattu patenttihakemuksessa FI-20085663, teko- päivä 27.6.2009. Nyt esillä oleva patenttihakemus on muodostettu jakamalla em. patenttihakemuksesta.
[044] Keksinnön mukainen etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol) -pohjaisessa tietoliikenneverkossa sisältää solmu- 15 etsimen, verkkoaluemäärittelijän, TPP-etsimen, päättely-yksikön ja muistin.
[045] Solmuetsin saa syötteenään joko viestin vastaanottajatiedon tai viestin lähettäjätiedon aluenimen tai välityssolmun osoitteen ja palauttaa ainakin yhdestä solmusta muodostuvan solmujoukon.
[046] Verkkoaluemäärittelijä määrittää solmujoukkoon sisältyvän solmun 20 osoitteen perusteella maaverkkoalueen, operaattoriverkkoalueen, organisaatioverkkoalueen ja palvelinverkkoalueen.
^ 25 [047] TPP-etsin suorittaa ainakin yhden seuraavista DNS-kyselyistä: ensimmäinen DNS-kysely palvelinverkkoalueen perusteella paljastaen, onko palvelinverkkoalueella määritelty turvallisen x polun palvelin (TPP), ^ toinen DNS-kysely organisaatioverkkoalueen perusteella ^ 30 paljastaen, onko organisaatioverkkoalueella määritelty TPP, S kolmas DNS-kysely operaattoriverkkoalueen perusteella o paljastaen, onko operaattoriverkkoalueella määritelty TPP, neljäs DNS-kysely maaverkkoalueen perusteella paljastaen, onko maaverkkoalueella määritelty TPP.
8 [048] Päättely-yksikkö päättelee etsinnän onnistuneen, kun ensimmäinen, toinen, kolmas tai neljäs DNS-kysely paljastaa että TPP on määritelty, jolloin päättely-yksikkö palauttaa TPP:n osoitteen.
[049] Keksinnönmukainen etsintälaite soveltuu erityisesti käytettäväksi 5 menetelmässä, joka on kuvattu patenttihakemuksessa FI-20085663, ja joka sisältää ohjausentiteetissä suoritettavat vaiheet.
ohjausentiteetti hakee viestin vastaanottajatiedon perusteella turvallisen polun osoitetta (TPO) muistista, missä turvallinen polku sisältää ainakin yhden solmun.
10 TPO:n puuttuessa muistista, ohjausentiteetti etsii turvallista polkua etsintälaitteella, etsintälaitteen saadessa syötteenä viestin vastaanottaja-tiedon ja tulostaessa TPO:n.
ohjausentiteetti kirjoittaa viestin vastaanottajaosoitteeseen TPO viestin välittämiseksi tietoliikenneverkossa turvallista polkua pitkin vastaan-15 ottajasolmuun.
ohjausentiteetti hakee viestin lähettäjätiedon perusteella turvallisen paluupolun osoitetta (TPPO) muistista, missä turvallinen paluupolku sisältää ainakin yhden, viestin lähettäjäsolmun ja vastaanottajasolmun välillä sijaitsevan välityssolmun.
20 TPPO:n puuttuessa muistista, ohjausentiteetti etsii turvallista paluupolkua etsintälaitteella, etsintälaitteen saadessa syötteenä viestin lähettäjätiedon ja tulostaessa TPPO:n.
Lopuksi ohjausentiteetti kirjoittaa viestin paluuosoitteeseen TPPO, jotta viestiin liittyvä vastausviesti on välitettävissä tietoliikenneverkossa tur- 25 vallista paluupolkua pitkin vastaanottajasolmusta lähettäjäsolmuun.
δ ^ Kuvioluettelo o [050] Seuraavassa keksintöä selostetaan yksityiskohtaisemmin oheisten !£ kaaviollisten kuvioiden avulla, joista x kuvio 1A esittää keksintöön liittyviä solmuja ja entiteettejä, 30 kuvio 1B esittää erään esimerkin ohjaus-ja välitysentiteettistä, o ™ kuvio 2 esittää menetelmän viestin ja vastausviestin välittä- g miseksi turvallisesti sähköpostitse, ° kuvio 3 esittää menetelmän valinnaisia lisävaiheita, kuvio 4 esittää järjestelmän viestin ja vastausviestin välittä- 35 miseksi turvallisesti sähköpostitse, 9 kuvio 5 esittää keksinnön mukaisen etsintälaitteen turvallisten polkujen löytämiseksi.
Keksinnön yksityiskohtainen selostus 5 [051] Kuviot 1A ja 1B havainnollistavat eräitä keksintöön liittyviä termejä ja kuvion 3 jälkeen esitetään käyttöesimerkki, jossa kuvitteelliset henkilöt, Alice ja Bob, lähettävät toisilleen sähköpostiviestejä.
[052] Kuvio 1A esittää keksintöön liittyviä solmuja ja entiteettejä. Lähettäjäsolmu 101, välityssolmu 102 ja vastaanottajasolmu 103 ovat IP - 10 pohjaisen tietoliikenneverkon kuten Internetin solmuja. Solmut 101-103 ovat eri solmuja. Palvelin, reititin ja päätelaite ovat eräitä esimerkkejä tietoliikenneverkon solmuista. Yleisesti ottaen lähettäjäsolmu 101 on päätelaite ja vastaanottajasolmu 103 on päätelaite.
[053] Sekä ohjausentiteetti 104 että välitysentiteetti 105 sisältävät 15 ainakin yhden solmun. Ohjausentiteetti 104 saattaa olla sama entiteetti kuin välitysentiteetti 105, tai entiteetit (104 ja 105) saattavat sisältää ainakin yhden yhteisen solmun.
[054] Lähettäjäsolmu 101 lähettää viestin 106 vastaanottajasolmuun 103. Ohjausentiteetti 104 vastaanottaa viestin 106. Ohjausentiteetti 104 20 saattaa sisältää lähettäjäsolmun 101, tai ohjausentiteetti 104 saattaa sisältyä lähettäjäsolmuun 101.
[055] Ohjausentiteetti 104 välittää viestin 106 ensimmäisen osoitemuunnoksen jälkeen turvallista polkua pitkin 107 vastaanottajasolmuun 103. Turvallinen polku sisältää ainakin yhden tietoliikenneverkon solmun. Turvalli- 25 sen polun 107 sisältämä solmu saattaa olla vastaanottajasolmu 103.
c3 [056] Vasteena viestiin 106 vastaanottajasolmu 103 lähettää i ^ vastausviestin 108 turvallista paluupolkua 109 pitkin. Välitysentiteetti 105 i LO vastaanottaa vastausviestin 108. Välitysentiteetti 105 saattaa sisältää x lähettäjäsolmun 101, tai välitysentiteetti 105 saattaa sisältyä lähettäjä- 30 solmuun 101. o ™ [057] Välitysentiteetti 105 välittää vastausviestin 108 toisen osoitemuun- g noksen jälkeen lähettäjäsolmuun 101.
o [058] Viestin 106 luottamuksellisuuden säilyttämiseksi viesti 106 siirtyy turvallisella tavalla lähettäjäsolmusta 101 ohjausentiteettiin 104 ja ohjaus-35 entiteetistä 104 turvallista polkua 107 pitkin vastaanottajasolmuun 103.
10 [059] Vastausviestin 108 luottamuksellisuuden säilyttämiseksi vastausviesti 108 siirtyy turvallista paluupolkua 109 pitkin välitysentiteettiin 105 ja välitysentiteetistä 105 turvallisella tavalla lähettäjäsolmuun 101.
[060] Edellä mainittu, ohjausentiteetin 104 suorittama ensimmäinen 5 osoitemuunnos on sellainen, että ohjausentiteetti korvaa viestin 106 paluu- osoitteen sisältämän alkuperäisen paluuosoitteen (APO) turvallisen paluu-polun osoitteella (TPPO).
[061] Toinen osoitemuunnos eli välitysentiteetin 105 suorittama osoite-muunnos on sellainen, että välitysentiteetti korvaa vastausviestin 108 10 vastaanottajaosoitteen sisältämän turvallisen paluupolun osoitteen (TPPO) alkuperäisellä paluuosoitteella (APO).
[062] Turvallisen polun palvelimeksi (TPP) nimitetään palvelinta, joka täyttää seuraavat kaksi vaatimusta: 1) TPP kykenee vastaanottamaan sähköpostiviestejä 15 luottamuksellisella tavalla kuten käyttäen TLS-protokollaa, 2) TPP kykenee välittämään viestejä luottamuksellisella tavalla sillä verkkoalueella, jonka TPP:ksi se on määritelty verkko-alueen haltijan tai muun luotetun osapuolen taholta.
[063] Turvallinen polku 107 sisältää ainakin vastaanottajasolmun 103. 20 Jos turvallinen polku sisältää ainoastaan vastaanottajasolmun 103, vastaan- ottajasolmu 103 on TPP. Turvallisen polun ensimmäinen solmu on TPP, joka omaa TPO:n. Turvallisen polun ensimmäinen solmu on se solmu, jolle ohjausentiteetti 104 välittää viestin 106.
[064] Turvallinen paluupolku 109 sisältää ainakin välitysentiteetin 103. 25 Välitysentiteetti 103 omaa TPPO:n. Tarkemmin sanoen välitysentiteetti 103 o sisältää solmun, joka on TPP ja joka omaa TPPO:n ^ [065] Kuvio 1B esittää erään esimerkin ohjaus- ja välitysentiteettistä.
Tässä esimerkissä lähettäjäsolmu 101 ja vastaanottajasolmu 103 ovat pääte-x laitteita. Lähettäjäsolmu 101 on yhdistetty lähiverkolla 110 lähettäjän palo- ^ 30 muuriin 111. Vastaavasti vastaanottajasolmu on yhdistetty lähiverkolla 112 ^ vastaanottajan palomuuriin 113.
o) [066] Lähettäjäsolmusta 101 lähetetty sähköpostiviesti kulkee lähettäjän o ° palomuurin 111, Internetin 114 ja vastaanottajan palomuurin 113 kautta vastaanottajasolmuun 103.
11 [067] Vastaavasti vastaanottajasolmusta 103 lähetetty sähköpostiviestiin liittyvä vastausviesti kulkee vastaanottajan palomuurin 113, Internetin 114 ja lähettäjän palomuurin 111 kautta lähettäjäsolmuun 103.
[068] Kuviossa 1B on havainnollistettu sähköpostiviestin ja siihen liitty-5 vän vastausviestin välittämistä kaksipäisillä nuolilla.
[069] Internetiä 114 koskien tulee huomata, että Internet 114 on verkkojen verkko. Kuvio 1B esittää Internetiin 114 sisältyvistä verkoista lähettäjän operaattoriverkon 115 ja vastaanottajan operaattoriverkon 116. Lähettäjän operaattoriverkko 115 tarjoaa lähettäjäsolmulle 101 laajakaistayhteyksiä ja 10 vastaavasti vastaanottajan operaattoriverkko 116 tarjoaa vastaanottajasol-mulle 103 laajakaistayhteyksiä.
[070] Ohjausentiteetti 104 ja välitysentiteetti 105 sijoittuvat yhteen tai useampaan laitteeseen lähiverkossa 110, lähettäjän palomuurissa 111 ja/tai lähettäjän operaattoriverkossa 115. Ohjausentiteetti 104 ja välitysentiteetti 15 105 ovat sijoitettavissa usealla eri tavalla. Esimerkiksi molemmat entiteetit 104 ja 105 voidaan sijoittaa samaan, lähettäjän operaattoriverkossa 115 sijaitsevaan sähköpostipalvelimeen.
[071] Kuvion 1A yhteydessä mainittiin, että vastausviesti 108 siirtyy välitysentiteetistä 105 turvallisella tavalla lähettäjäsolmuun 101. Turvallinen 20 tapa tarkoittaa esimerkiksi sitä, että viestinvälitys lähettäjän operaatto-riverkosta 115 lähettäjäsolmuun 101 on turvallista. Henkilön tai organisaation oletetaan voivan luottaa laajakaistayhteyksiä tarjoavaan operaattoriinsa.
[072] Vastaavasti oletetaan, että viestin välitys on turvallista vastaanottajasolmun 103 ja vastaanottajan operaattoriverkon 116 välillä.
25 [073] Viestinvälityksen tietoturvaongelmat liittyvät lähettäjän operaattorini verkon 115 ja vastaanottajan operaattoriverkon 116 väliseen liikenteeseen, g Verkkojen 115 ja 116 välillä on tyypillisesti useita vaihtoehtoisia polkuja. Vain jotkin vaihtoehtoisista poluista ovat turvallisia polkuja, x [074] Kuvio 2 esittää menetelmän viestin ja vastausviestin sisällön 30 luottamuksellisuuden suojaamiseksi sähköpostitse IP (Internet Protocol) -° pohjaisessa tietoliikenneverkossa.
g [075] Menetelmä hyödyntää ainakin ohjausentiteettiä. Yleisesti ottaen ° ohjausentiteetti on jokin seuraavista entiteeteistä: tietoliikenneverkon pääte laite, tietoliikenneverkossa sähköpostia välittävä solmu, tai entiteetti, joka 35 sisältää ainakin yhden päätelaitteen ja ainakin yhden sähköpostia välittävän 12 solmun. Sähköpostipalvelin ja palomuuri ovat tyypillisiä esimerkkejä sähköpostia välittävästä solmusta.
[076] Menetelmä sisältää seuraavat ohjausentiteetissä suoritettavat vaiheet: 5 - aluksi haetaan 201 viestin vastaanottajatiedon perusteella turval lisen polun osoitetta (TPO) muistista, missä turvallinen polku sisältää ainakin yhden solmun. TPO on solmun sähköpostiosoite, joka määrittää sähköpostin kulkemaan turvallisen polun palvelimen (TPP) kautta. Solmulla tarkoitetaan palvelinta, päätelaitetta tai muuta tietoliikenneverkon solmua.
10 Keksinnönmukaisen menetelmän tai järjestelmän käyttämä muisti sisältää ainakin yhden muistilaitteen. Muisti on ainakin yhden solmun käytettävissä. Muisti on käytettävissä lokaalisti tai globaalisti.
- TPO:n puuttuessa 202 muistista, turvallinen polku etsitään 203 etsintälaitteella. Kuten edellä kuviossa 1B esitettiin, lähettäjän operaattori- 15 verkossa 115 ja vastaanottajan operaattoriverkossa 116 on tyypillisesti useita vaihtoehtoisia polkuja, joista jotkin ovat turvallisia. Etsintälaite pyrkii löytämään ainakin yhden turvallisen polun, tarkemmin sanoen ainakin yhden TPP:n. Etsintälaite saa syötteenä viestin vastaanottajatiedon ja se tulostaa TPP:n osoitteen. TPP:n osoitteen perusteella alkuperäinen vastaanottajatieto 20 muunnetaan muotoon TPO. Muunnos voidaan suorittaa lisäämällä TPP:n osoite alkuperäisen vastaanottajaosoitteen loppuun.
- sitten kirjoitetaan 204 viestin vastaanottajaosoitteeseen TPO viestin välittämiseksi tietoliikenneverkossa turvallista polkua pitkin vastaan-ottajasolmuun.
25 - seuraavaksi haetaan 205 viestin lähettäjätiedon perusteella tur- ^ vallisen paluupolun osoite (TPPO) muistista, missä turvallinen paluupolku c3 sisältää ainakin yhden, viestin lähettäjäsolmun ja vastaanottajasolmun välillä ^ sijaitsevan välityssolmun. TPPO on solmun sähköpostiosoite, joka määrittää i to sähköpostin mahdollisen vastausviestin kulkemaan turvallisen polun palve- x 30 limen (TPP) kautta. Sähköpostin vastausviestillä tarkoitetaan jäljempänä määriteltyyn ns. paluuosoitteeseen osoitettua viestiä.
^ - TPPO:n puuttuessa 206 muistista, etsitään 207 turvallinen o) paluupolku etsintälaitteella, etsintälaitteen saadessa syötteenä viestin o o lähettäjätiedon ja tulostaessa TPP:n osoitteen. TPP:n osoitteen perusteella 35 alkuperäinen paluuosoite muunnetaan muotoon TPPO. Muunnos voidaan 13 suorittaa lisäämällä TPP:n osoite alkuperäisen lähettäjäosoitteen aluenimen loppuun.
Todetaan, että edellä mainitut, TPO:n tai TPPO:n tuloksenaan tuottavat muunnokset voidaan suorittaa jollain muulla, alan ammattilaiselle 5 ilmeisellä tavalla.
- lopuksi kirjoitetaan 208 viestin paluuosoitteeseen TPPO, jotta viestiin liittyvä vastausviesti on välitettävissä tietoliikenneverkossa turvallista paluupolkua pitkin vastaanottajasolmusta lähettäjäsolmuun.
[077] Keksinnönmukaisen menetelmän ja järjestelmän kuvaukset 10 sisältävät termit lähettäjäsolmu ja vastaanottajasolmu. Lähettäjäsolmu ja vastaanottaja solmu saattavat käyttää samaa operaattoriverkkoa. Keksinnön edut tulevat kuitenkin parhaiten esille kuvion 1B mukaisessa tilanteessa, jossa lähettäjäsolmu ja vastaanottajasolmu käyttävät eri operaattoriverkkoja. Tunnetussa tekniikassa viestin ja vastausviestin sisällön luottamuksel-15 lisuuden suojaaminen on tunnetusti haasteellista silloin, kun lähettäjäsolmu ja vastaanottajasolmu käyttävät eri operaattoriverkkoja.
[078] Viestin paluuosoitteesta käytetään eri nimityksiä eri yhteyksissä. Paluuosoite on esimerkiksi jokin seuraavista osoitteista: SMTP (Simple Mail Transfer Protocol) -kirjekuoreen sisältyvä ”From:”-osoite, MIME (Multipurpose 20 Internet Mail Extensions) -otsikko-osaan sisältyvä ”Reply-To:”-osoite tai muu MIME -otsikko-osaan sisältyvä osoite ("Sender”- tai ”Receiver”-osoite).
[079] Ohjausentiteetin käyttämä muisti on alustettavissa siten, että ainakin toinen etsinnöistä toteutuu: turvallisen polun etsintä tai turvallisen paluupolun etsintä.
25 [080] Muisti voidaan alustaa yhden kerran tai toistuvasti siten, että haet- o taessa 201 viestin vastaanottajatiedon perusteella turvallisen polun osoitetta c\i ^ (TPO) muistista, TPO:ta ei löydy. Tällöin menetelmässä suoritetaan turvalli- ° sen polun etsintä.
LO
[081] Lisäksi tai vaihtoehtoisesti muisti voidaan alustaa yhden kerran tai
X
a. 30 toistuvasti siten, että haettaessa 205 viestin lähettäjätiedon perusteella tur- o vallisen paluupolun osoitetta (TPPO) muistista, TPPO:ta ei löydy. Tällöin cö menetelmässä suoritetaan turvallisen paluupolun etsintä.
CD
o [082] Muistia alustamalla ohjausentiteetti voidaan siis pakottaa käyttä mään etsintälaitetta turvallisen polun tai turvallisen paluupolun löytämiseksi.
14 [083] Vaihtoehtoisesti etsintälaitteen käytöstä voidaan luopua kokonaan tai joksikin aikaa. Tällöin menetelmässä tallennetaan ohjausentiteetin toimesta muistiin ainakin toinen osoitteista TPO tai TPPO. Niin kauan kun TPO on tallennettu muistiin, turvallista polkua ei etsitä. Vastaavasti niin kauan kun 5 TPPO on tallennettu muistiin, turvallista paluupolkua ei etsitä.
[084] Kuvio 3 esittää menetelmän valinnaisia lisävaiheita. Kuviossa 2 esitettyjä vaiheita 201 -208 havainnollistetaan kuviossa 3 katkoviivalla 301.
[085] Seuraava valinnainen lisävaihe suoritetaan edullisesti ennen vaiheita 201-208.
10 [086] Menetelmässä toimitetaan 200 ainakin viestin alkuperäinen paluu- osoite (APO) ohjausentiteetistä välitysentiteettiin, joka sisältää ainakin TPPO:n omaavan solmun. APO on välittävissä ohjausentiteetistä välitysentiteettiin usealla, alan ammattimiehelle ilmeisellä tavalla. APO voidaan esimerkiksi koodata TPPO:n osaksi ja välittää viestin mukana.
15 [087] Vasteena viestiin, välitysentiteetissä vastaanotetaan keksinnön eräässä suoritusmuodossa 209 vastausviesti, jonka vastaanottajasolmu on lähettänyt. Tarvittaessa vastausviestiin voidaan kohdistaa eri tyyppisiä tarkistuksia. Tarkistuksia voidaan edullisesti tehdä myös vastausviestiin liittyvän SMTP-istunnon kättely vaiheessa.
20 [088] Menetelmä sisältää seuraavat, mahdollisten tarkistusten jälkeen välitysentiteetissä suoritettavat vaiheet.
korvataan 210 vastausviestin vastaanottajaosoitteen sisältämä TPPO:n APO:lla, jonka ohjausentiteetti lähetti välitysentiteetille, ja välitetään 211 vastausviesti lähettäjäsolmuun.
25 [089] Kuten edellä on mainittu, ohjausentiteetti korvaa viestin ^ paluuosoitteen sisältämän APO:n TPPO:lla. TPPO voidaan muodostaa monella eri tavalla. Seuraavassa esitetään eräs yksinkertainen tapa muodostaa TPPO.
i [090] Paluuosoitteen sisältämän aluenimen eteen lisätään "s.". Lisäksi
CC
30 MX (Mail exchange) -tietoja täytyy muokata siten, että aluenimi osoittaa cm muokattujen MX-tietojen perusteella sellaiselle palvelimelle, joka vastaan- (j) ottaa sähköpostiviestejä ainoastaan salatun yhteyden kautta kuten TLS- o o yhteyden kautta.
[091] Käyttöesimerkki. Oletetaan, että Alice on töissä Compatent nimi-35 sessä yrityksessä ja Bob Deltagon nimisessä yrityksessä. Oletetaan, että 15
Alice on kirjoittanut sähköpostiviestin ja lähettää sen Bobille. Tällöin Alicen päätelaitteen lähettämässä sähköpostiviestissä lähettäjänä on alice@compatent.com ja vastaanottajana bob@deltagon.com.
[092] Viestin alkuperäinen paluusoite (APO) on siis 5 alice@compatent.com
Muutettu paluuosoite eli turvallisen paluupolun osoite (TPPO) on alice@s.compatent.com [093] Todetaan, että TPPO:hon sisältyvä merkintä ”s.” on eräs esimerkki eli sen sijasta voitaisiin käyttää jotain muuta merkintää, joka ilmaisee, että 10 sähköpostiosoite on TPPO.
[094] Edellä esitettyä osoitemuunnosta varten ns. MX-tietoja voitaisiin muokata seuraavasti: "normaali sähköposti" compatent.com. MX mail.compatent.com.
15 "turvallisen paluupolun sähköposti" s.compatent.com. MX tppo.compatent.com, missä "tppo.compatent.com” -palvelin sisältää pakotetun TLS- asetuksen.
[095] Pakotetun TLS-asetuksen johdosta "tppo.compatent.com” palvelin 20 odottaa saavansa välittömästi EHLO-komennon jälkeen STARTTLS-komen- non. Pakotettu TLS-asetus voidaan toteuttaa esimerkiksi Postfix tai Sendmail nimisillä sähköpostin välitysohjelmistolla.
[096] Alicen sähköpostiviesti välittyy lähettäjäsolmun ja vastaanottajasolmun kautta Bobille.
^ 25 [097] Oletetaan, että Bob lukee Alicen viestin, kirjoittaa siihen liittyvän ° vastausviestin ja lähettää vastausviestin Alicelle. Tällöin vastaanottajasolmu £5 eli Bobia palveleva solmu välittää vastausviestin TPPO-osoitteeseen m alice@s.compatent.com c [098] Edellä mainittujen MX-tietojen johdosta Bobin vastausviesti täytyy
CL
30 välittää palvelimelle ’’tppo.compatent.com”, joka hyväksyy sähköpostiviestejä ^ ainoastaan salatun yhteyden eli TLS-yhteyden kautta. Tämä palvelin toimii § tietyllä verkkoalueella turvallisen polun palvelimena (TPP).
o ^ [099] Jos vastausviestiä välittävällä palvelimella ei toistaiseksi ole TLS- yhteyttä TPP:hen, yhteyden muodostamiseen liittyvä kättelyvaihe saattaa 35 näyttää esimerkiksi seuraavalta: 16
ehlo deltagon.com 250 OK
mail from: bob@deltagon.com 505 Secure path required. Please check https://secure.compatent.com/ 5 [0100] Yllä kättelyvaiheen ensimmäinen lopputulos on se, että vastausviestiä ei välitetä, koska paluupolku on turvaton. Näin ollen vastausviestin luottamuksellisuus säilyy. Kättelyvaiheen toinen lopputulos on , että vastaus-viestin lähettäjälle eli Bobille tarjotaan ad hoc -välitystapaa vastausviestin uudelleen lähettämiseksi. Tarkemmin sanoen Bob voi ottaa Internet-10 selaimella yhteyden osoitteeseen https://secure.compatent.com/ja lähettää mainitun osoitteen omaavalta palvelimelta vastausviesti luottamuksellisella tavalla Alicelle. Kahden edellä mainitun lopputuloksen johdosta todetaan, että vastausviestin käsittely sisältää sekä turvapolitiikkaan pakottamisen (secure policy enforcement) että luottamuksellisen ad hoc -välitystavan tarjoamisen.
15 [0101] Vaihtoehtoisesti Postfix-ohjelmistoon sisältyvällä Policy-palvelulla voidaan säilyttää vastausviestin luottamuksellisuus. Policy-palvelu pakottaa turvallisen polun palvelimen (TPP:n) tarkistamaan SMTP-istunnon RCPT-vaiheessa, että yhteys TPP:n ja vastausviestiä välittävän palvelimen välillä on salattu silloin, kun vastausviestiin merkitty vastaanottajaosoite on TPPO-20 osoite. SMTP-istunnon RCPT-vaihe saattaa näyttää esimerkiksi seuraavalta:
ehlo deltagon.com 250 OK
mail from: bob@deltagon.com 250 sender bob@deltagon.com OK 25 rcpt to: alice@s.compatent.com o 505 Secure path required. Please check https://secure.compatent.com/alice
CM
,sL [0102] Kun vastaanottajaosoite on TPPO-osoite ja yhteyttä ei ole salattu, o ^ TPP kieltäytyy vastaanottamasta vastausviestiä. Tarkemmin sanoen SMTP- istunnossa ei suorita SMTP:n DATA komentoa, joten SMTP-istunnossa ei
X
£ 30 välitetä vastausviestin sisältöä Internetin yli.
^ [0103] Edellisessä esimerkissä vastausviestin lähettäminen epäonnistuu, S koska turvallista paluupolkua ei ole käytettävissä. Bob voi kuitenkin lähettää o vastausviestinsä Alicelle luottamuksellisella ad hoc -välitystavalla.
[0104] Postfix-ohjelmiston Policy-palvelun merkittävä etu on, että samaa 35 palvelinta voidaan käyttää sekä normaalin sähköpostin että turvallisen paluu- 17 polun sähköpostiin vastaanottamiseen. Tällöin esimerkiksi Alice voi vastaanottaa normaalia sähköpostia alice@compatent.com -osoitteensa kautta ja turvallisen paluupolun sähköpostia alice@s.compatent.com -osoitteensa kautta siten, että molemmissa tapauksissa sama palvelin kuten 5 mail.compatent.com välittää sähköpostin Alicen päätelaitteeseen.
[0105] Kuvio 4 esittää järjestelmän 401 viestin 402 ja vastausviestin 403 sisällön luottamuksellisuuden suojaamiseksi sähköpostitse IP (Internet Protocol) -pohjaisessa tietoliikenneverkossa 404 tapahtuvassa välityksessä.
[0106] Järjestelmä 401 sisältää ohjausentiteetin 405, välitysentiteetin 10 406, molempien entiteettien käytettävissä olevan muistin 407 ja muistiin 407 tallennetun tarkistuspolitiikan 408, välitysentiteetin 406 sisältäessä ainakin solmun, joka omaa turvallisen paluupolun osoitteen (TPPO) 409. TPPO:n omaava solmu saattaa olla lähettäjäsolmu 410.
[0107] Ohjausentiteetti 405 vastaanottaa lähettäjäsolmun 410 15 vastaanottajasolmulle 411 osoittaman viestin 402 ja tallentaa muistiin 407 viestin 402 sisältämän alkuperäisen paluuosoitteen (APO) 412.
[0108] Ohjausentiteetti 405 kirjoittaa viestin 402 paluuosoitteeseen TPPO:n 409, jotta viestiin 402 liittyvä vastausviesti 403 on välitettävissä tietoliikenneverkossa 404 turvallista paluupolkua pitkin viestin 402 vastaan- 20 ottajasolmusta 411 viestin 402 lähettäjäsolmuun 410, turvallisen paluupolun sisältäessä ainakin yhden lähettäjäsolmun 410 ja vastaanottajasolmun 411 välillä sijaitsevan välityssolmun 413.
[0109] Ohjausentiteetti 405 välittää viestin 402 turvallisen polun osoitetta (TPO) käyttäen vastaanottajasolmuun 411.
25 [0110] Välitysentiteetti 406 vastaanottaa tarkistuspolitiikan 408 mukaisesti ^ vastausviestin 403, jonka vastaanottajasolmu 411 on lähettänyt vasteena viestiin 402. Edelleen tarkistuspolitiikan 408 mukaisesti, välitysentiteetti 406 korvaa vastausviestin 403 vastaanottajaosoitteen sisältämän TPPO:n muis-x tista 407 luetulla APO:lla 412 ja välittää vastausviestin 403 lähettäjäsolmuun £ 30 410.
oj [0111] Järjestelmän 401 toimintaa ohjaava tarkistuspolitiikka 408 on cg määriteltävissä usealla eri tavalla. Järjestelmä 401 sisältää edullisesti käyttö- o ^ liittymän 414, jonka kautta tarkistuspolitiikka 408 on järjestelmän 401 auktori soidun käyttäjän muokattavissa. Lisäksi tai vaihtoehtoisesti muistin 407 18 sisältö on käyttöliittymän 414 kautta muokattavissa. Käyttöliittymä 414 on edullisesti WWW-pohjainen.
[0112] Esimerkiksi seuraavat tarkistuspolitiikat ovat mahdollisia.
[0113] Tarkistuspolitiikan 408 mukaisesti vastausviesti 403 välitetään 5 lähettäjäsolmuun 411 ilman yhtään tarkistusta. Vaihtoehtoisesti, vastausviesti 403 välitetään lähettäjäsolmuun 411 vain silloin, kun ainakin yksi tarkistus on suoritettu ja läpäisty.
[0114] Ensimmäisessä valinnaisessa tarkistuksessa välitysentiteetti 406 varmistuu vastausviestin 403 luottamuksellisesta välitystavasta tietoliikenne- 10 verkossa 404, kun vastausviestin 403 vastaanottajaosoite sisältää TPPO:n.
[0115] Toisessa valinnaisessa tarkistuksessa välitysentiteetti 406 varmistuu vastausviestin 403 luottamuksellisesta välitystavasta tietoliikenneverkossa 404, kun vastausviesti on vastaanotettu salatun yhteyden kautta.
[0116] Kolmannessa valinnaisessa tarkistuksessa välitysentiteetti 406 15 tunnistaa vastausviestin 403 lähettäjän viestin 402 vastaanottajaksi, kun vastausviesti 403 sisältää tietyn tunnisteen, joka välittyi viestin 402 mukana vastaanottajasolmuun 411. Tunnisteen tarkoituksena on torjua roskaposti-viestit, jotka vaikuttavat vastausviesteiltä, vaikka eivät sitä todellisuudessa ole.
20 [0117] Esimerkiksi ’’Cecil” voisi lähettää Alicelle roskapostiviestin, jonka otsikko sisältää vastausviesteissä käytettävän ”RE:” -merkinnän, vaikka Alice ei ole lähettänyt ’’Cecilille” yhtään viestiä. Edellä mainitussa kolmannessa tarkistuksessa ’’Cecilin” lähettämä viesti paljastuu roskapostiviestiksi, koska se ei sisällä tunnistetta.
^ 25 [0118] Tunniste voidaan muodostaa usealla eri tavalla. Tunniste voidaan ™ tallentaa muistiin 407 yhdessä viestin 402 sisältämän alkuperäisen paluuni osoitteen (APO) 412 kanssa. Tällöin tunniste on haettavissa muistista 407 i v? kolmatta tarkistusta varten.
£ [0119] Kuten edellä mainittiin, ohjausentiteetti 405 kirjoittaa viestin 402 ^ 30 paluuosoitteeseen TPPO:n ja välittää sitten viestin TPO:ta käyttäen vastaan- o ottajasolmuun 411. Täten ohjausentiteetillä on käytettävissään TPPO 409
CD
g sekä turvallisen polun osoite (TPO).
° [0120] TPPO 409 on edullisesti muodostettavissa APO:n 412 perusteella, esimerkiksi lisäämällä Alicen sähköpostiosoitteeseen alice@compatent.com 19 merkintä ”s.” @ -merkin jälkeen. Näin ollen TPPO:ta ei välttämättä tarvitse tallentaa muistiin 407.
[0121] TPO voidaan tarvittaessa tallentaa muistiin 407. Esimerkiksi TPO voidaan tallentaa muistiin sähköpostiosoitepareista muodostuvaan listaan.
5 Parin ensimmäinen jäsen on normaali sähköpostiosoite ja toinen jäsen TPO. Parin ensimmäinen jäsen voisi olla esimerkiksi bob@deltagon.com ja toinen jäsen bob@deltagon.com.very_secure_server.com.
10 Parin toisen jäsenen sisältämä ”very_secure_server.com” on eräs esimerkki turvallisen polun palvelimen (TPP) osoitteesta.
[0122] Kun Alice lähettää viestin 402 Bobille, ohjausentiteetti 405 hakee viestin 402 sisältämällä osoitteella bob@deltagon.com listasta osoitteen bob@deltagon.com.very_secure_server.com ja lähettää sitten viestin 402 15 osoitteeseen bob@deltagon.com.very_secure_server.com eli TPO:hon.
[0123] Muistiin 407 tallennetun listan lisäksi tai sen sijasta ohjausentiteetti 405 voi käyttää luottamuksellista ad hoc -välitystä tarjoavaa välityssolmua. Ad hoc -välityksestä on kerrottu hakemuksen Tekniikan tausta -osassa.
[0124] TPO:hon ja TPPO:hon liittyen jokin seuraavista kolmesta vaihto-20 ehdoista tai jokin niiden yhdistelmä on käytettävissä järjestelmässä 401.
1) Ainakin toinen osoitteista TPO, TPPO, on luettavissa muistista 407.
2) Muistista 407 on luettavissa luottamuksellista ad hoc -välitystä tarjoavan välityssolmun osoite, ainakin toisen osoitteista TPO, TPPO, ollessa saatavissa välityssolmusta.
25 3) Järjestelmän 401 ohjausentiteetti 405 sisältää etsintälaitteen 415 ^ ainakin toisen osoitteista TPO, TPPO, löytämiseksi.
[0125] Kuvio 5 esittää keksinnön mukaisen etsintälaitteen turvallisten l-o polkujen löytämiseksi IP-pohjaisessa tietoliikenneverkossa.
;e [0126] Etsintälaite 501 sisältää solmuetsimen 502, verkkoaluemäärit- 30 telijän 503, TPP-etsimen 504, päättely-yksikön 505 ja muistin 506.
O
^ [0127] Solmuetsin 502 saa syötteenään joko viestin vastaanottajatiedon o tai viestin lähettäjätiedon aluenimen tai yksittäisen välityssolmun osoitteen, o
™ Jos syötteenä on aluenimi, solmuetsin suorittaa aluenimen perusteella DNS
(Domain Name System) -kyselyn, joka palauttaa ainakin yhdestä solmusta 20 muodostuvan solmujoukon. Jos syötteenä on välityssolmun osoite, solmu-etsin tuottaa solmujoukon Traceroute-työkalulla.
[0128] Verkkoaluemäärittelijä 503 määrittää solmujoukkoon sisältyvän solmun osoitteen perusteella 5 maaverkkoalueen, operaattoriverkkoalueen, organisaatioverkkoalueen ja palvelinverkkoalueen.
[0129] TPP-etsin 504 suorittaa ainakin yhden seuraavista DNS-kyse-10 lyistä: - ensimmäinen DNS-kysely palvelinverkkoalueen perusteella paljas taen, onko palvelinverkkoalueella määritelty turvallisen polun palvelin (TPP), - toinen DNS-kysely organisaatioverkkoalueen perusteella paljas- 15 taen, onko organisaatioverkkoalueella määritelty TPP, - kolmas DNS-kysely operaattoriverkkoalueen perusteella paljas taen, onko operaattoriverkkoalueella määritelty TPP, - neljäs DNS-kysely maaverkkoalueen perusteella paljastaen, onko maaverkkoalueella määritelty TPP; ja 20 päättely-yksikkö 505 päättelee etsinnän onnistuneen, kun ensim mäinen, toinen, kolmas tai neljäs DNS-kysely paljastaa että TPP on määritelty, jolloin päättely-yksikkö 505 palauttaa TPP:n osoitteen.
[0130] Jos etsintälaite 501 sai syötteenään viestin vastaanottajatiedon, 25 päättely-yksikön 505 palauttamasta TPP:n osoitteesta on muodostettavissa - TPO.
o C\1 ^ [0131] Vastaavasti, jos etsintälaite 501 sai syötteenään viestin ° lähettäjätiedon, päättely-yksikön 505 palauttamasta TPP:n osoitteesta on LT) muodostettavissa TPPO.
X
£ 30 [0132] Solmuetsimen 502 palauttama solmujoukko saattaa sisältää useita o solmuja, mikä lisää todennäköisyyttä, että ainakin yhdelle solmujoukon S solmulle paljastuu jossakin neljästä DNS-kyselyssä TPP.
o> o [0133] Ensimmäisen, toisen, kolmannen ja neljännen DNS-kyselyn edellä esitetty suoritusjärjestys on tarvittaessa vaihdettavissa.
21
[0134] Seuraavassa esimerkissä kuvataan turvallisen polun etsintää. Näin ollen esimerkki liittyy sähköpostiviestin välittämiseen lähettäjäsolmusta vastaan ottajaso Imuun.
[0135] Oletetaan, että vastaanottaiaosoite on bob@deltaaon.com. Osoit-5 teen aluenimen perusteella solmuetsin palautaa solmujoukon. Esimerkissä solmujoukko muodostuu yhdestä solmusta. Tämän vastaanottajasolmun IP-osoite on 194.29.195.40.
[0136] Turvallisen polun etsintä suoritetaan edullisesti viimeistään ,SMTP:n kättelyvaiheessa. Tämä ns. RCPT-vaihe suoritetaan ennen SMTP:n 10 DATA-komentoa. SMTP-istunnon kättelyvaiheessa voidaan ESMTP-komen-non vastauksesta tarkistaa, sisältääkö vastaus luottamuksellista välitystapaa ilmaisevan STARTTLS-sanan, jonka perusteella vastaanottajapalvelin voitaisiin määrittää TPP:ksi. Turvallista polkua voidaan keksinnönmukaisella menetelmällä kuitenkin etsiä myös sellaisessa tapauksessa, että vastaan-15 ottajasoluun ei voida suoraan muodostaa turvallista yhteyttä.
[0137] Järjestelmän 501 eräässä edullisessa suoritusmuodossa verkko-aluemäärittelijä 503 määrittää solmujoukon solmun verkkoalueet seuraavalla tavalla: maaverkkoalueen solmun osoitteen ensimmäisen osan perusteella, 20 operaattoriverkkoalueen solmun osoitteen kahden ensimmäisen osan perusteella, organisaatioverkkoalueen solmun osoitteen kolmen ensimmäisen osan perusteella ja palvelinverkkoalueen solmun osoitteen neljän ensimmäisen osan 25 perusteella.
^ [0138] IP-osoite muodostuu tunnetusti neljästä osasta. Turvallisen polun ^ etsintää varten voidaan tehdä seuraavat yksinkertaistetut verkkoalue- määritykset: x - IP-osoitteen ensimmäisen osa määrittää maaverkkoalueen ^ 30 - IP-osoitteen kaksi ensimmäistä osaa määrittävät ^ operaattoriverkkoalueen - IP-osoitteen kolme ensimmäistä osaa määrittävät σ> o organisaatioverkkoalueen - IP-osoitteen neljä ensimmäistä osaa määrittävät palvelinverkko- 35 alueen.
22
[0139] Alan ammattilaiselle on ilmeistä, että esimerkissä kuvatut verkko-aluemääritykset voidaan tehdä tarkemmilla ja monimutkaisemmilla menetelmillä. Esimerkiksi maatieto voidaan selvittää tekemällä IP-osoitteen perusteella ulkoisesta geo-ip tietokannasta kysely. Verkkoalueisiin liittyvä tunniste- 5 tieto voidan ilmaista myös eri tavoin. Esimerkiksi maatieto voidaan edelleen ilmaista numeroarvon sijaan ISO-standardin mukaisella kirjainyhdistelmällä.
[0140] Etsintä sisältää 1-4 vaihetta. Etsintä onnistuu, jos turvallinen polku löytyy. Jos turvallista polkua ei löydy viimeisessäkään vaiheessa, etsintä päättyy tuloksettomana.
10 [0141] Ensimmäisessä vaiheessa etsitään TPP:tä palvelinverkkoalueen perusteella. Etsintä perustuu seuraavanlaiseen DNS-kyselyyn: 40.195.29.194. tls.s-domain.net
[0142] Jos TPP on määritelty, DNS-kysely tuottaa tuloksenaan TPP:n osoitteen. Muutoin suoritetaan etsinnän toinen vaihe jne.
15 [0143] Etsinnän toinen vaihe perustuu DNS-kyselyyn 195.29.194. tls.s-domain.net
[0144] Etsinnän kolmas vaihe perustuu DNS-kyselyyn: 29.194. tls.s-domain.net
[0145] Etsinnän neljäs vaihe perustuu DNS-kyselyyn: 20 194.tls.s-domain.net
[0146] Keksinnön eräässä suoritusmuodossa, jossa käytetään ISO-standadin mukaista maakoodia, neljäs kysely voitaisiin esittää muodossa fi.tls.s-domain.net ^ jossa Fl on osoitteen 194.29.195.40 maantieteellistä sijaintia o ^ 25 kuvaava tunniste.
h-· 9 [0147] Jos esimerkiksi etsinnän neljäs vaihe palauttaa positiivisen ^ vastauksen ’’fi.mail.s-domain.net”, ao. palvelimen osoite määritetään TPP:ksi.
g Tämän jälkeen TPO voidaan muodostaa liittämällä TPP:n osoite vastaan-
CL
ottajaosoitteen loppuun: ^ 30 bob@deltagon.com.fi.mail.s-domain.net o [0148] Esimerkissä osoitteessa tls.s-domain.net toimii tietokanta, josta voi ^ tehdä DNS-kyselyitä. Alan ammattilaiselle on ilmeistä, että kuvatun kysely- formaatin, jossa käytettiin DNS:n ns. A-tietueita, vaihtoehtoina voidaan käyttää esimerkiksi MX tai TXT tietueita. Edelleen DNS:n tietoja on mahdollista 23 yhdistellä rekursiivisesti, eli DNS-kyselyn palauttaman vastauksen perusteella voidaan suorittaa uusia DNS-kyselyitä. Lisäksi tietoja voidaan käsitellä erilaisten algoritmien avulla.
[0149] Esimerkin osoitteessa tls.s-domain.net toimiva DNS-erikois-5 tietokanta voi olla luonteeltaan staattinen, dynaaminen tai niiden yhdistelmä.
Staattinen tietokanta sisältää eri maiden, operaattoreiden, organisaatioiden sekä yksittäisten palvelimien haltijoiden rekisteröimiä tietueita. Dynaaminen tietokanta sisältää tietoja, jotka on saatu aikaan käsittelemällä SMTP-yhteyksiä muodostavien laitteiden tulostamia tietoja. Laitteet voivat muodos-10 taa SMTP-yhteyksiä eräajona tai reaaliaikaisesti.
[0150] Lisäksi tai vaihtoehtoisesti dynaaminen tietokanta sisältää tietoja, jotka on saatu aikaan Traceroute-työkalun tulostamia tietoja käsittelemällä, tai käsittelemällä IP-osoitteen maantieteellistä ns. geo-IP tietoa, RIPE- tietokannasta poimittuja verkkoaluetietoja, tietoliikenneverkon reititystietoja tai 15 muista ulkoisista lähteistä peräisin olevia tietoja. Tietojen käsittelyssä voidaan käyttää algoritmeja, heuristiikkaa, hermoverkkoja ja muita menetelmiä. Tietojen käsittelyssä voidaan ottaa huomioon tietoa kysyvän osapuolen IP-osoite, tai muu osapuoleen tai viestin tai vastausviestin välitykseen liittyvä tunniste.
20 [0151] Etsintälaitteeseen kuuluva solmuetsin voi saada syötteenään aluenimen, jolloin solmujoukko muodostetaan edullisesti DNS-kyselyn avulla. Solmuetsin voi saada syötteenään myös välityssolmun osoitteen. Tällöin solmuetsimellä voidaan edullisesti muodostaa solmujoukko Traceroute-työ-kalulla. Työkalu tuottaa järjestetyn solmujoukon, jossa ensimmäinen solmu 25 on etsintälaitetta hyppyjen suhteen lähimpänä oleva solmu ja viimeinen ^ solmu on etsintälaitteesta hyppyjen suhteen kauimpana oleva solmu.
C\J
^ [0152] Luotaessa solmujoukko Traceroute-työkalulla etsintälaite voi DNS- ° erikoistietokannasta edullisesti kysyä kerralla useampaa solmua koskevan tn tiedon. Solmujen osoitteet voidaan kyselyssä erottaa halutulla tunnisteella | 30 alan ammattilaisen tuntemin keinoin. Solmujen osoitteet ilmoitetaan kyse- o lyssä edullisesti Traceroute-työkalulla tuottaman järjestetyn solmujoukon
CM
£ mukaisessa järjestyksessä.
σ> § [0153] Edelleen solmujen osoitteilla voidaan tehdä haku ns. RIPE- ^ tietokannasta, josta löytyviä verkkoalueita sekä reititystietoja kysytyllä verkko- 35 alueella voidaan verrata keskenään. Tällöin solmuetsin palauttaa edullisesti etsintälaitteeseen nähden (hyppyjen suhteen) kauimmaisen Traceroute- 24 työkalulla saadun solmun osoitteen, joka on etsintälaitteeseen nähden (hyppyjen suhteen) lähimmän solmun kanssa samalla verkkoalueella.
[0154] Etsintälaitetta voidaan käyttää keksinnönmukaisen järjestelmän tai menetelmän yhteydessä vastausviestin sisällön luottamuksellisuuden varmis- 5 tamiseen. Tällöin etsintälaite liitetään edullisesti välitysentiteettiin, joka antaa etsintälaitteelle syötteenä välityssolmun osoitteen. Jos välityssolmun osoitteelle etsitty TPP:n osoite on sama kuin välitysentiteetin osoite, vastausviestin välitystapaa voidaan pitää turvallisena.
[0155] Lisäksi tai vaihtoehtoisesti etsintälaitetta voidaan käyttää 10 keksinnönmukaisen järjestelmän tai menetelmän yhteydessä viestin sisällön luottamuksellisuuden varmistamiseen.
[0156] Tietoturvasyiden takia on suositeltavaa yrittää löytää mahdollisimman suppeaa verkkoaluetta palveleva TPP. Viesteille voidaan määrittää turvaluokitus esimerkiksi asteikolla 1-4, jonka mukaisesti vain tietyn turva- 15 luokan TPP:tä voidaan käyttää viestin välitykseen.
[0157] Edellä esitetyn keksinnön mukainen etsintälaite voidaan toteuttaa monilla muilla tavoilla, jotka ovat kuitenkin alan ammattilaiselle ilmeisiä hänen ammattitaitonsa ja tämän patenttihakemuksen antamien neuvojen johdosta.
δ
CVJ
o i
LO
X
CC
CL
o
CM
δ CT)
O
O
CM

Claims (8)

25 Patentti vaati mu kset
1. Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol) -pohjaisessa tietoliikenneverkossa, tunnettu siitä, että etsintälaite sisältää solmuetsimen, verkko-5 aluemäärittelijän, TPP-etsimen, päättely-yksikön ja muistin, missä solmuetsin saa syötteenään joko viestin vastaanottajatiedon tai viestin lähettäjätiedon aluenimen tai välityssolmun osoitteen ja palauttaa ainakin yhdestä solmusta muodostuvan solmujoukon; verkkoaluemäärittelijä määrittää solmujoukkoon sisältyvän solmun 10 osoitteen perusteella maaverkkoalueen, operaattoriverkkoalueen, organisaatioverkkoalueen ja palvelinverkkoalueen;
15 TPP-etsin suorittaa ainakin yhden seuraavista DNS-kyselyistä: ensimmäinen DNS-kysely palvelinverkkoalueen perusteella paljastaen, onko palvelinverkkoalueella määritelty turvallisen polun palvelin (TPP), toinen DNS-kysely organisaatioverkkoalueen perusteella 20 paljastaen, onko organisaatioverkkoalueella määritelty TPP, kolmas DNS-kysely operaattoriverkkoalueen perusteella paljastaen, onko operaattoriverkkoalueella määritelty TPP, neljäs DNS-kysely maaverkkoalueen perusteella paljastaen, onko maaverkkoalueella määritelty TPP; ja 25 päättely-yksikkö päättelee etsinnän onnistuneen, kun ensimmäinen, toinen, kolmas tai neljäs DNS-kysely paljastaa että TPP on määritelty, jolloin ^ päättely-yksikkö palauttaa TPP:n osoitteen. i
2. Patenttivaatimuksen 1 mukainen etsintälaite, tunnettu siitä, i !£ että verkkoaluemäärittelijä määrittää g 30 maaverkkoalueen solmun osoitteen ensimmäisen osan perusteella, operaattoriverkkoalueen solmun osoitteen kahden ensimmäisen o ™ osan perusteella, g organisaatioverkkoalueen solmun osoitteen kolmen ensimmäisen ° osan perusteella ja 35 palvelinverkkoalueen solmun osoitteen neljän ensimmäisen osan perusteella. 26
3. Patenttivaatimuksen 1 mukainen etsintälaite, tunnettu siitä, että ensimmäisen, toisen, kolmannen ja neljännen DNS-kyselyn suoritusjärjestys on vaihdettavissa.
4. Patenttivaatimuksen 1 mukainen etsintälaite, tunnettu siitä, 5 että solmuetsin tuottaa solmujoukon Traceroute-työkalulla,
5. Patenttivaatimuksen 1 mukainen etsintälaite, tunnettu siitä, että solmuetsin suorittaa aluenimen perusteella DNS (Domain Name System) -kyselyn, joka tuottaa tuloksenaan solmujoukon.
6. Patenttivaatimuksen 5 mukainen etsintälaite, tunnettu siitä, 10 että DNS-erikoistietokanta sisältää staattisen tietokannan ja dynaamisen tietokannan, jolloin DNS-kyselyn tuottaessa staattisesta tietokannasta negatiivisen vastauksen DNS-kysely uudelleen kohdistetaan dynaamiseen tietokantaan.
7. Patenttivaatimuksen 4 ja 6 mukainen etsintälaite, tunnettu 15 siitä, että DNS-erikoistietokannasta kysytään kerralla vähintään kahta solmua koskeva tieto, solmujen järjestyksen vastatessa Traceroute-työkalulla saatua järjestetyn solmujoukon järjestystä.
8. Patenttivaatimuksen 7 mukainen etsintälaite, tunnettu siitä että solmujoukon ainakin yhden solmun osoitteella suoritetaan haku RIPE- 20 tietokannasta, josta löytyviä verkkoalueita sekä reititystietoja kysytyllä verkko-alueella verrataan keskenään ja palautetaan etsintälaitteeseen nähden hyppyjen suhteen kauimmaisen solmun osoite, joka on etsintälaitetta hyppyjen suhteen lähimpänä olevan solmun kanssa samalla verkkoalueella. δ (M i h-· o tn X en CL O (M δ σ> o o (M 27
FI20096120A 2009-10-29 2009-10-29 Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa FI122184B (fi)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FI20096120A FI122184B (fi) 2009-10-29 2009-10-29 Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20096120A FI122184B (fi) 2009-10-29 2009-10-29 Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa
FI20096120 2009-10-29

Publications (3)

Publication Number Publication Date
FI20096120A0 FI20096120A0 (fi) 2009-10-29
FI20096120A FI20096120A (fi) 2009-12-28
FI122184B true FI122184B (fi) 2011-09-30

Family

ID=41263534

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20096120A FI122184B (fi) 2009-10-29 2009-10-29 Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa

Country Status (1)

Country Link
FI (1) FI122184B (fi)

Also Published As

Publication number Publication date
FI20096120A0 (fi) 2009-10-29
FI20096120A (fi) 2009-12-28

Similar Documents

Publication Publication Date Title
US7725931B2 (en) Communications system with security checking functions for file transfer operation
FI118619B (fi) Menetelmä ja järjestelmä tiedon salaamiseksi ja tallentamiseksi
Laganier et al. Host identity protocol (HIP) rendezvous extension
EP1536601B1 (en) Encryption method and system for emails
JP4596275B2 (ja) リレー通信を検知する方法、システム及びソフトウェア
US20100192202A1 (en) System and Method for Implementing a Secured and Centrally Managed Virtual IP Network Over an IP Network Infrastructure
US20070130464A1 (en) Method for establishing a secure e-mail communication channel between a sender and a recipient
New et al. Reliable Delivery for syslog
US20090172110A1 (en) Systems and methods to identify internal and external email
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
Alani et al. Tcp/ip model
Richardson et al. Opportunistic encryption using the internet key exchange (ike)
WO2002017558A2 (en) Method and apparatus for data communication between a plurality of parties
US7313688B2 (en) Method and apparatus for private messaging among users supported by independent and interoperating couriers
FI123250B (fi) Menetelmä viestin ja vastausviestin sisällön luottamuksellisuuden suojaamiseksi
US20070297408A1 (en) Message control system in a shared hosting environment
JP2003008651A (ja) パケット通信方法及びパケット通信システム
FI122184B (fi) Etsintälaite turvallisten polkujen löytämiseksi IP (Internet Protocol)-pohjaisessa tietoliikenneverkossa
Raz et al. An SNMP application level gateway for payload address translation
EP1973275A1 (en) Data communications method and apparatus
CA2353623A1 (en) A system and method for selective anonymous access to a network
CA2328548A1 (en) Privacy system
New et al. RFC3195: Reliable Delivery for syslog
JP3472098B2 (ja) 移動計算機装置、中継装置及びデータ転送方法
US10841283B2 (en) Smart sender anonymization in identity enabled networks

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 122184

Country of ref document: FI

PC Transfer of assignment of patent

Owner name: LEIJONAVERKOT OY

PC Transfer of assignment of patent

Owner name: DELTAGON OY