FI124279B - Suojattu datanlähetys viestintäjärjestelmässä - Google Patents

Suojattu datanlähetys viestintäjärjestelmässä Download PDF

Info

Publication number
FI124279B
FI124279B FI20075780A FI20075780A FI124279B FI 124279 B FI124279 B FI 124279B FI 20075780 A FI20075780 A FI 20075780A FI 20075780 A FI20075780 A FI 20075780A FI 124279 B FI124279 B FI 124279B
Authority
FI
Finland
Prior art keywords
network
security association
roaming
hub
home
Prior art date
Application number
FI20075780A
Other languages
English (en)
Swedish (sv)
Other versions
FI20075780A0 (fi
FI20075780A (fi
Inventor
Jouni Korhonen
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Priority to FI20075780A priority Critical patent/FI124279B/fi
Publication of FI20075780A0 publication Critical patent/FI20075780A0/fi
Priority to US12/734,432 priority patent/US8355695B2/en
Priority to ES08846173.6T priority patent/ES2457317T3/es
Priority to EP08846173.6A priority patent/EP2215767B1/en
Priority to PCT/FI2008/050611 priority patent/WO2009056681A1/en
Priority to DK08846173.6T priority patent/DK2215767T3/da
Publication of FI20075780A publication Critical patent/FI20075780A/fi
Application granted granted Critical
Publication of FI124279B publication Critical patent/FI124279B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/085Mobility data transfer involving hierarchical organized mobility servers, e.g. hierarchical mobile IP [HMIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/182Network node acting on behalf of an other network entity, e.g. proxy

Description

Suojattu datanlähetys viestintäjärjestelmässä
Keksinnön ala
Keksintö liittyy suojatun datanlähetyspalvelun tarjoamiseen verkko-vierailevalle käyttäjäpäätteelle langattomassa viestintäjärjestelmässä.
5 Keksinnön tausta
Edistyneet mobiiliverkot kuten 3GPP Rel-8, mobiili-WiMAX ja 3GPP2 tukevat mobiili-IPv6-välipalvelinprotokollaa (proxy mobile IPv6 protocol) eräänä mobiliteettiratkaisuna pakettiperusteiselle dataliikenteelle. Mobiili-IPv6-välipalvelinprotokolla koskee liityntäverkossa sijaitsevaa mobiliteettiliityn-10 täyhdyskäytävää (mobile access gateway, MAG) liitynnän tarjoamiseksi käyttä-jäpäätteille ja kotiverkossa sijaitsevaa paikallista mobiliteettiankkuria (local mobility anchor, LMA) toimien ensimmäisen hypyn reitittimenä ja tarjoten liitynnän ulkoisiin verkkoihin kuten internetiin. Mobiili-IPv6-välipalvelinprotokollan mukaan mobiliteettiliityntäyhdyskäytävä (MAG) ja paikallinen mobiliteettiankku-15 ri (LMA) jakavat tietoturva-assosiaation (security association, SA). Se voisi olla esimerkiksi IPSec-SA. Kussakin liityntäverkossa on tavallisesti useita mobili-teettiliityntäyhdyskäytäviä (MAG). Perinteisessä mobiili-IPv6:ssa tietoturva-assosiaatiot ovat olemassa kotiagentin ja käyttäjäpäätteen välillä. Ero mobiili-IPv6-välipalvelinprotokollan ja perinteisen mobiili-IPv6:n välillä on, että perin-20 teisessä mobiili-IPv6:ssa käyttäjäpääte kuuluu kotioperaattorin tilaajalle ja tietoturva-assosiaatio tarkistetaan jopa verkkovierailutilanteissa asiakkuuden normaalin tarkistuksen aikana. Näin tietoturva-assosiaation (SA) tulee olla olemassa joka tapauksessa. Mobiili-IPv6-välipalvelinprotokollassa mobiliteettilii- tyntäyhdyskäytävä ei kuulu kotiverkko-operaattorille vaan verkkovierailupartne- o § 25 rille. SA on MAG:n ja LMA:n välillä, ei käyttäjäpäätteen ja LMA:n välillä. Verk-
CNJ
^ kovieraileva pääte autentikoidaan ja auktorisoidaan kotioperaattorille päin en- ° nen, kuin sen sallitaan kiinnittyä MAG:iin, sillä LMA luottaa jokaiseen päättee- 00 seen, joka liittyy ulkoisiin verkkoihin MAG:sta, jonka kanssa sillä on SA.
| Eräs yllä olevaan järjestelyyn assosioituvista ongelmista on, että eri- o 30 tyisesti verkkovierailutapauksissa tietoturva-assosiaatioiden hallinta on ongel- 00 £ mallista. Mikäli esimerkiksi operaattorilla on 100 MAG-komponenttia ja kotiver- o kolia on 250 verkkovierailupartneria, yksinkertaisesti verkkovierailua varten tu- ^ lee olla 25 000 tietoturva-assosiaatiota - pahimmassa tapauksessa jokaista paikallista mobiliteettiankkuria (LMA) varten. Nämä SA:t ovat normaalien ti-35 laus-SA:iden lisänä, joita koti-operaattorilla on kunkin tilaajansa kanssa. Tekni- 2 sesti tämä on niin hallinnollinen kuin myös skaalattavuusongelma erityisesti verkkovierailutapauksissa. Kukin liityntäverkkoon tuotu mobiIiteettiIiityntäyhdys-käytävä (MAG) vaatii uuden tietoturva-assosiaation ja verifioinnin verkkovierai-luyhteydelle. Lisäksi mikäli operaattori lisää, poistaa ja/tai muuttaa MAG:n, 5 verkkovierailupartnerien tulee sopia uudesta tietoturva-assosiaatiosta (SA) lisätyllä, poistetulla ja/tai muutetulla MAG:lla. Eräs toinen nykyisiin ratkaisuihin assosioituva haitta on, että ne vaativat lukuisia staattisia konfiguraatioita. Koska kutakin LMA-MAG-yhteyttä koskee oma tietoturva-assosiaatio, muutokset kotiverkossa heijastuvat pian yhdys- ja verkkovierailupartnereihin. Mikäli jokin 10 muuttuu, tietoturva-assosiaatiota tulee päivittää. Vaikka SA:n luonti MAG:n ja LMA:n välillä voi olla dynaaminen, verkkovierailuympäristössä tällaisilla järjestelyillä on taipumus olla staattisesti konfiguroituja. Dynaamisesti luodun SA:n tapauksessa (esimerkiksi käyttäen IKEv2-neuvottelua) valtuutuksien jakelun monimutkaisuus on yhä jäljellä.
15 Keksinnön lyhyt kuvaus
Esillä olevan keksinnön tavoitteena on siten taijota menetelmä ja menetelmän toteuttava järjestelmä ja verkkosolmu siten, että yllä mainittuja haittoja lievennetään. Keksinnön tavoitteet saavutetaan menetelmällä ja järjestelyllä, joille on tunnusomaista se, mitä sanotaan itsenäisissä patenttivaatimuk-20 sissa. Keksinnön edullisia suoritusmuotoja on selostettu epäitsenäisissä patenttivaatimuksissa.
Esillä oleva keksintö koskee keskitinsolmun tuomista yhdysoperaat- toriverkkoon (interconnecting operator network). Esillä oleva keksintö koskee lisäksi ensimmäisen tietoturva-assosiaation perustamista keskitinsolmun ja ^ 25 käyttäjäpäätteen kotioperaattoriverkossa sijaitsevan ankkurisolmun välille sekä o toisen tietoturva-assosiaation perustamista keskitinsolmun ja verkkovierailu- <^> operaattoriverkossa sijaitsevan liityntäsolmun välille. Dataliikenne verkkovierai- o ^ luoperaattoriverkossa verkkovierailevan käyttäjäpäätteen ja ulkoisen verkon ^ kuten internetin välillä suoritetaan sen jälkeen hyödyntäen mainittuja tietoturva-
X
£ 30 assosiaatiota.
o Keksinnön mukaisen menetelmän ja järjestelyn etuna on, että järjes- £ telmässä tarvittavien tietoturva-assosiaatioiden lukumäärää voidaan merkittä- N- g västi vähentää. Tietoturva-assosiaatioiden valtavan lukumäärän sijaan koti- ™ verkko-operaattorin tarvitsee vain sopia yksittäisestä SA:sta ankkurisolmun ja 35 keskitinsolmun välillä verkkovierailutapauksien hallitsemiseksi.
3
Piirustusten lyhyt kuvaus
Keksintöä kuvataan seuraavassa lähemmin yksityiskohdin edullisten suoritusmuotojen avulla viitaten oheisiin piirroksiin, joista
Kuvio 1 havainnollistaa esillä olevan ratkaisun erään suoritusmuo-5 don mukaisen viestintäjärjestelmän yleistä arkkitehtuuria;
Kuvio 2 havainnollistaa esillä olevan ratkaisun ensimmäisen suoritusmuodon mukaista signalointia;
Kuvio 3 havainnollistaa esillä olevan ratkaisun toisen suoritusmuodon mukaista signalointia; 10 Kuvio 4 on vuokaavio havainnollistaen esillä olevan ratkaisun erään suoritusmuodon mukaisen ankkurisolmun toiminnallisuutta;
Kuvio 5 on vuokaavio havainnollistaen esillä olevan ratkaisun erään suoritusmuodon mukaisen liityntäsolmun toiminnallisuutta;
Kuvio 6 on vuokaavio havainnollistaen esillä olevan ratkaisun erään 15 suoritusmuodon mukaisen keskitinsolmun toiminnallisuutta;
Kuvio 7 on vuokaavio havainnollistaen esillä olevan ratkaisun erään suoritusmuodon mukaisen keskitinsolmun toiminnallisuutta.
Keksinnön yksityiskohtainen kuvaus
Seuraavassa keksinnön suoritusmuotoja kuvataan viitaten kehitty-20 neeseen matkaviestinjärjestelmään kuten 3GPP Rel-8, 3GPP2 tai mobiili-WiMAX. Keksintöä ei kuitenkaan ole tarkoitettu rajoitetuksi näihin suoritusmuotoihin. Esillä oleva keksintö on sovellettavissa mihin tahansa verkkosolmuun, vastaavaan komponenttiin (vastaaviin komponentteihin) ja/tai mihin tahansa viestintäjärjestelmään tai mihin tahansa eri viestintäjärjestelmien yhdistelmään, g 25 joka pystyy tarjoamaan pakettikytkentäisen datanlähetyksen, kuten 4G, bey- ^ ond-3G tai WLAN. Viestintäjärjestelmä voi olla kiinteä viestintäjärjestelmä, lan- g gaton viestintäjärjestelmä tai viestintäjärjestelmä, joka hyödyntää sekä kiinteitä oo verkkoja että langattomia verkkoja. Käytetyt protokollat ja viestintäjärjestelmien x tai verkkosolmujen spesifikaatiot erityisesti mobiili- ja langattomassa viestin- * 30 nässä kehittyvät nopeasti. Tällainen kehitys voi vaatia ylimääräisiä muutoksia § suoritusmuotoon. Sen vuoksi kaikki sanat ja ilmaisut tulisi tulkita laajasti, ja nii- den tarkoituksena on havainnollistaa, ei rajoittaa suoritusmuotoa. Olennainen o keksinnöllinen näkökohta on kyseinen toiminnallisuus, ei verkkoelementti tai laitteisto, jossa se suoritetaan.
4
Tietoturva-assosiaatio (SA) viittaa yhteyteen kahden tai useamman viestintäverkko-olion (entity) välillä kuvaten, kuinka oliot hyödyntävät tietoturvapalvelulta kommunikoidakseen suojatusti. Tietoturva-assosiaatio määrittelee, mitä muunnoksia ja algoritmeja käytetään autentikointiotsikossa tai kapse-5 lointitietoturvahyötykuormassa (encapsulating security payload) tietoturvapal-veluiden tarjoamiseksi dataliikenteelle, jota se kuljettaa.
GPRS-verkkovierailukeskusverkko (GPRS roaming exchange, GRX) viittaa keskitettyyn IP-reititysverkkoon, joka yhdistää yleisiä pakettira-diopalveluverkkoja (general packet radio service, GPRS) toisiinsa ja mahdollis-10 taa globaalin verkkovierailukattavuuden langattomille verkoille suoraan tai toisten GRX-verkkojen kautta. GRX määritellään GSMA-PRD-IR.34-dokumen-tissa.
Maailmanlaajuinen yhteentoimivuus mikroaaltoliityntää varten (worldwide interoperability for microwave access, WiMAX) viittaa langattomia 15 verkkoja varten olevaan teknologiaan, joka toimii IEEE-802.16-standardin mukaan. WiMAX on langaton kaupunkiverkkoteknologia (metropolitan area network) tarjoten viimemailin laajakaistaliityntäyhteyden langattoman lähiverkon (wireless local area network, WLAN) liityntäpisteistä (access point) internetiin. WiMAX on WLAN:ia ja Wi-Fi:ä (wireless fidelity) täydentävä tarjoten lisäänty-20 neen kaistanleveyden ja laajemman langattoman kattavuuden.
Esillä oleva ratkaisu perustuu ajatukseen, että mobiili-IPv6-välipalvelinprotokollaa toteuttavaan verkkoon tuodaan keskitinsolmu kuten mobiili-IPv6-välipalvelinhubi (proxy mobile IPv6 hub). Esillä oleva ratkaisu mahdollistaa hubi/välipalvelinratkaisun käyttäen mobiili-IPv6-välipalvelinproto-25 kollaa yhdistämään toisiinsa verkkoja, joissa verkkovierailudataliikennettä Siirin retään mobiili-IPv6-välipalvelinprotokollan päällä. Esillä oleva ratkaisu tuo edul- o o lisen yhdysverkko-operaattorin hallitseman mobiili-IPv6-välipalvelinhubin yh- co dysverkkoon. Tässä yhdysverkko viittaa esimerkiksi GPRS-verkkovierailu- o ^ keskusverkkoon (GRX) tai sen kehitelmiin kuten IPX (internet packet exchange 30 GSMA-PRD-IR.34:n mukaan määriteltynä). Esillä oleva ratkaisu perustuu aja-£ tukseen, että kotiverkko-operaattorilla on yksittäinen yhteys hubiin, ja hubi on o yhdistetty verkkovierailupartnerin mobiliteettiliityntäyhdyskäytävään (MAG).
[n Näin ollen verkkovierailuyhteydet ovat esimerkiksi GRX-verkon tarjoajan isän- f""" § nöimän yksittäisen hubin takana käytettäessä mobiili-IPv6-välipalvelinproto-
CM
35 kollaa. Hubin sijainti ei ole sidottu GRX:ään, vaikka se on toteuttamiskelpoinen paikka tällaisen hubisolmun sijoittelemiseksi. Esillä olevan ratkaisun mukainen 5 mobiili-IPv6-välipalvelinhubi esiintyy loogisesti mobiliteettiliityntäyhdyskäytävä-nä (MAG) paikalliselle mobiliteettiankkurille (LMA), joka sijaitsee kotiverkossa, ja LMA:n ja hubin välillä tarvitaan vain yksittäinen tietoturva-assosiaatio (SA). Muu liikenne on järjestetty siten, että hubin ja mobiliteettiliityntäyhdyskäytävän 5 (MAG) välillä sovitaan lisätietoturva-assosiaatiosta. Samalla tavalla mobiili-IPv6-välipalvelinhubi esiintyy LMA:na MAG:lle. Myös tässä tapauksessa tarvitaan yksittäinen SA hubin ja MAG:n välillä. Useita mobiili-IPv6-välipalvelin-hubeja voi olla yhdistettyinä toisiinsa (ketjutettuina) luoden näin ollen hubi (mesh)verkon.
10 Seuraavassa esillä olevan ratkaisun suoritusmuotoja kuvataan viita ten oheisiin piirustuksiin.
Kuvio 1 havainnollistaa erään suoritusmuodon mukaista viestintäjärjestelmää (S). Viitaten kuvioon 1 järjestelmä S käsittää ainakin yhden käyttäjä-päätteen UE1-2, UE1-3, UE1-4, UE1-5, joka voi olla esimerkiksi mobiilipääte 15 tai langaton pääte kuten matkapuhelin (matkaviestin), henkilökohtainen digitaalinen assistentti (PDA), pelikonsoli, sylimikro tai vastaava, joka pystyy operoimaan pakettikytkentäisessä viestintäverkossa. Järjestelmä S käsittää lisäksi ainakin yhden liityntäverkon N1, N2, N3, N4, N5 kuten langattoman lähiverkon (WLAN) tai matkaviestinverkon radioliityntäverkon (radio access network, 20 RAN). Tässä on oletettu, että liityntäverkkoja N1, N2, N3, N4, N5 operoivat eri verkko-operaattorit liityntäverkon N1 ollessa käyttäjäpäätteen UE1-2, UE1-3, UE1-4, UE1-5 kotioperaattoriverkko ja sisältäen paikallisen mobiliteettiankkurin LMA1 (johon viitataan myös ankkurisolmuna). Kuviossa 1 esitetyssä tapauksessa käyttäjäpääte UE1-2 verkkovierailee liityntäverkossa N2, käyttäjäpääte 25 UE1-3 verkkovierailee liityntäverkossa N3, käyttäjäpääte UE1-4 verkkovierai- ^ lee liityntäverkossa N4 ja käyttäjäpääte UE1-5 verkkovierailee liityntäverkossa o N5. Liityntäverkko N2, N3, N4, N5 (johon viitataan myös verkkovierailuoperaat- cb toriverkkona) sisältää ainakin yhden vastaavan mobiliteettiliityntäyhdyskäytä- o ^ vän (johon viitataan myös liityntäsolmuna) MAG2, MAG3, MAG4, MAG5 liityn- 30 nän tarjoamiseksi käyttäjäpäätteelle UE1-2, UE1-3, UE1-4, UE1-5 vastaavan EE liityntäverkon N2, N3, N4, N5 kautta. Tässä on oletettu, että liityntäsolmut o MAG2, MAG3, MAG5 pystyvät olemaan yhteydessä LMAI.een ensimmäisen [n GPRS-verkkovierailukeskusverkon GRXa kautta. Lisäksi on oletettu, että liityn- § täsolmut MAG4, MAG5 pystyvät olemaan yhteydessä LMA1 :een ensimmäisen
C\J
35 GPRS-verkkovierailukeskusverkon GRXa ja toisen GPRS-verkkovierailu-keskusverkon GRXb yhdistelmän kautta. Ensimmäinen GPRS-verkkovierailu- 6 keskusverkko GRXa sisältää esillä olevan ratkaisun mukaisen ensimmäisen keskitinsoimun Ha (kuten mobiilMPv6-välipalvelinhubin), ja toinen GPRS-verkkovierailukeskusverkko GRXb sisältää esillä olevan ratkaisun mukaisen toisen keskitinsoimun Hb (kuten mobiili-IPv6-välipalvelinhubin). Kuviossa 1 5 esillä olevan ratkaisun mukainen ensimmäinen tietoturva-assosiaatio SA1 on perustettu LMA1 :n ja Ha:n välille, ja esillä olevan ratkaisun mukainen toinen tietoturva-assosiaatio SA2, SA3, SA4, SA5 on vastaavasti perustettu 1) Ha:n ja MAG2:n välille, 2) Ha:n ja MAG3:n välille, 3) Hb:n ja MAG4:n välille, 4) Hb:n ja MAG5:n välille. Verkkovieraileva käyttäjäpääte UE1-2, UE1-3, UE1-4, UE1-5 10 voi päästä liittymään ulkoisiin verkkopalveluihin E kotiverkkonsa N1 kautta käyttämällä ensimmäistä tietoturva-assosiaatiota SA1 ja sopivaa toista tietoturva-assosiaatiota SA2, SA3, SA4, SA5. Kuvio 1 esittää yksinkertaistetun version verkkorakenteesta havainnollistaen vain komponentteja, jotka ovat olennaisia esillä olevan ratkaisun havainnollistamiseksi, vaikka alan ammattilaiset 15 luonnollisesti tietävät, että yleinen viestintäjärjestelmä käsittää myös muita toimintoja ja rakenteita, joita ei tarvitse kuvata tässä yksityiskohtaisemmin. Verkkosolmu LMA1 voi sisältää minkä tahansa verkkosolmun, jota operoi kotiverkko-operaattori mobiliteetin tarjoamiseksi käyttäjäpäätteelle, kuten GPRS-yhdyskäytävätukisolmun (gateway GPRS support node, GGSN), pakettidata-20 verkkoyhdyskäytävän (packet data network gateway, PDN-GW) tai minkä tahansa mobiili-IPv6-välipalvelinkykyisen kotiagentin. Verkkosolmut MAG2, MAG3, MAG4, MAG5 voivat sisältää minkä tahansa verkkoelementin, jota operoi verkkovierailuverkko-operaattori käyttäjäpäätteen jäljittämiseksi verkkovie-railuverkossa. MAG toimii myös verkkoliityntäpalvelimena päätteelle, ja pääte 25 pitää autentikoida/auktorisoida MAG:n kautta kotioperaattoriverkolle. Autenti-o) koinnin ja/tai auktorisoinnin suorittamiseksi voi olla useita vaihtoehtoja riippuen o g liityntäteknologiasta. Esimerkiksi WiMAX:n yhteydessä voidaan suorittaa EAP- ώ perusteinen autentikointi, jolloin MAG (ts. ASN-GW WiMAX:ssa) toimii autenti- oo kaattorina välittäen autentikoinnin edelleen kotioperaattorin AAA-palvelimelle 30 (autentikointi, auktorisointi ja laskutus; authentication, authorisation, accoun-£ ting) käyttäen valittua AAA-protokollaa. Verkkosolmut Ha, Hb voivat sisältää § minkä tahansa verkkosolmun, jota operoi yhdysverkko-operaattori yhteyden to tarjoamiseksi liityntäverkkojen ja yhdysverkkojen (interconnecting network) vä- o lille, kuten hubin. Hubi voi näin ollen sisältää reititintoiminnallisuuden, IPSec-
C\J
35 GW-toiminnallisuuden ja todennäköisesti myös AAA-asiakastoiminnallisuuden. Vaikka kukin verkkosolmu LMA1, MAG2, MAG3, MAG4, MAG4, MAG5, Ha, 7
Hb on kuvailtu yhtenä oliona, eri moduuleja ja muistia voi olla toteutettuna yhdessä tai useammassa fyysisessä tai loogisessa oliossa.
Kuviot 2 ja 3 havainnollistavat esillä olevan ratkaisun suoritusmuotojen mukaista signalointia.
5 Esillä olevan ratkaisun ensimmäisen suoritusmuodon mukaan viita ten kuvioon 2 käyttäjäpäätteen UE1-2 kotioperaattoriverkossa N1 sijaitsevan paikallisen mobiliteettiankkurin LMA1 (ankkurisolmu) ja yhdysoperaattoriver-kossa GRXa sijaitsevan keskitinsolmun Ha välille perustetaan 2-1 ensimmäinen tietoturva-assosiaatio SA1. Yhdysoperaattoriverkossa GRXa sijaitsevan 10 keskitinsolmun Ha ja verkkovierailuoperaattoriverkossa N2 sijaitsevan mobili-teettiliityntäyhdyskäytävän MAG2 (liityntäsolmu) välille perustetaan 2-2 toinen tietoturva-assosiaatio SA2. Perustamisen aikana verkkosolmut LMA1 ja Ha sekä Ha ja MAG2 voivat vaihtaa keskenään informaatiota siitä, millaista tieto-turvaprotokollaa tullaan käyttämään kotiverkolle ja kyseiselle verkkovierailu-15 verkolle. Mitä tahansa olemassa olevaa signalointiproseduuria voidaan hyödyntää perustettaessa tietoturva-assosiaatio SA1, SA2. Käyttäjäpääte UE1-2 (joka sijaitsee N2:ssa) lähettää 2-3 ulkoiselle verkolle E osoitettua dataliikennettä. Data vastaanotetaan liityntäsolmussa MAG2, joka välittää 2-4 datan edelleen keskitinsolmulle Ha hyödyntäen esillä olevan ratkaisun ensimmäisen 20 suoritusmuodon mukaista toista tietoturva-assosiaatiota SA2. Data vastaanotetaan keskitinsolmussa Ha, joka välittää 2-5 datan edelleen ankkurisolmulle LMA1 hyödyntäen esillä olevan ratkaisun erään suoritusmuodon mukaista ensimmäistä tietoturva-assosiaatiota SA1. Kun dataliikenne vastaanotetaan ank-kurisolmussa LMA1, ankkurisolmu LMA1 välittää 2-6 datan edelleen ulkoiselle 25 verkolle E (esimerkiksi internetille). Sanomassa 2-7 lähetetään verkkovieraile-
g valle käyttäjäpäätteelle UE1-2 osoitettua dataliikennettä ulkoiselta verkolta E
° ankkurisolmulle LMA1. Data vastaanotetaan LMA1 :ssä, joka välittää 2-8 sen g edelleen keskitinsolmulle Ha hyödyntäen esillä olevan ratkaisun ensimmäisen oo suoritusmuodon mukaista ensimmäistä tietoturva-assosiaatiota SA1. Data vas- x 30 taanotetaan keskitinsolmussa Ha, joka välittää 2-9 sen edelleen liityntäsolmulle
CC
MAG2 hyödyntäen esillä olevan ratkaisun ensimmäisen suoritusmuodon muro kaista toista tietoturva-assosiaatiota SA2. Kun dataliikenne vastaanotetaan lii- tyntäsolmussa MAG2, liityntäsolmu MAG2 välittää 2-10 datan edelleen käyttä-§ jäpäätteelle UE1-2. Tulisi huomata, että datanlähetys ulkoisen verkon E ja 35 käyttäjäpäätteen välillä UE1-3 suoritetaan samalla tavalla, mutta siinä tapauk- 8 sessa käytettävä liityntäsolmu on MAG3 ja käytettävä toinen tietoturva-assosiaatio on SA3 (perustettu Ha:n ja MAG3:n välille).
Esillä olevan ratkaisun toisen suoritusmuodon mukaan viitaten kuvioon 3 käyttäjäpäätteen UE1-4 kotioperaattoriverkossa N1 sijaitsevan paikalli-5 sen mobiliteettiankkurin LMA1 (ankkurisolmu) ja ensimmäisessä yhdysope-raattoriverkossa GRXa sijaitsevan ensimmäisen keskitinsolmun Ha välille perustetaan 3-1 ensimmäinen tietoturva-assosiaatio SA1. Toisessa yhdysope-raattoriverkossa GRXb sijaitsevan toisen keskitinsolmun Hb (mobiili-IPv6-väli-palvelinhubi) ja verkkovierailuoperaattoriverkossa N4 sijaitsevan mobiliteettilii-10 tyntäyhdyskäytävän MAG4 (liityntäsolmu) välille perustetaan 3-2 toinen tietoturva-assosiaatio SA4. Perustamisen aikana verkkosolmut LMA1 ja Ha sekä Ha ja MAG2 voivat vaihtaa keskenään informaatiota siitä, millaista tietoturva-protokollaa tullaan käyttämään kotiverkolle ja kyseiselle verkkovierailuverkolle. Mitä tahansa olemassa olevaa signalointiproseduuria voidaan hyödyntää pe-15 rustettaessa tietoturva-assosiaatio SA1, SA2. Käyttäjäpääte UE1-4 (joka sijaitsee N4:ssa) lähettää 3-3 ulkoiselle verkolle (E) osoitettua dataliikennettä. Data vastaanotetaan liityntäsolmussa MAG4, joka välittää 3-4 datan edelleen toiselle keskitinsolmulle Hb hyödyntäen esillä olevan ratkaisun toisen suoritusmuodon mukaista toista tietoturva-assosiaatiota SA4. Data vastaanotetaan toises-20 sa keskitinsolmussa Hb, joka välittää 3-5 datan edelleen ensimmäiselle keskitinsolmulle Ha. Kun data vastaanotetaan ensimmäisessä keskitinsolmussa Ha, ensimmäinen keskitinsolmu Ha välittää 3-6 datan edelleen ankkurisolmulle LMA1 hyödyntäen esillä olevan ratkaisun erään suoritusmuodon mukaista ensimmäistä tietoturva-assosiaatiota SA1. Kun dataliikenne vastaanotetaan ank-25 kurisolmussa LMA1, ankkurisolmu LMA1 välittää 3-7 datan edelleen ulkoiselle g verkolle E (esimerkiksi internetille). Sanomassa 3-8 lähetetään verkkovieraile-
° valle käyttäjäpäätteelle UE1-4 osoitettua dataliikennettä ulkoiselta verkolta E
g ankkurisolmulle LMA1. Data vastaanotetaan LMA1:ssä, joka välittää 3-9 sen i oo edelleen ensimmäiselle keskitinsolmulle Ha hyödyntäen esillä olevan ratkaisun x 30 toisen suoritusmuodon mukaista ensimmäistä tietoturva-assosiaatiota SA1.
CC
“ Data vastaanotetaan ensimmäisessä keskitinsolmussa Ha, joka välittää 3-10 co sen edelleen toiselle keskitinsolmulle Hb. Kun data vastaanotetaan toisessa keskitinsolmussa Hb, toinen keskitinsolmu Hb välittää 3-11 datan edelleen lii-o g tyntäsolmulle MAG4 hyödyntäen esillä olevan ratkaisun toisen suoritusmuodon 35 mukaista toista tietoturva-assosiaatiota SA4. Kun dataliikenne vastaanotetaan liityntäsolmussa MAG4, liityntäsolmu MAG4 välittää 3-12 datan edelleen käyt- 9 täjäpäätteelle UE1-2. Tulisi huomata, että datanlähetys ulkoisen verkon E ja käyttäjäpäätteen UE1-5 välillä suoritetaan samalla tavalla, mutta siinä tapauksessa käytettävä liityntäsolmu on MAG5 ja käytettävä toinen tietoturva-assosiaatio on SA5 (perustettu Hb:n ja MAG5:n välille).
5 Kuviot 4, 5, 6 ja 7 havainnollistavat esillä olevan ratkaisun suoritus muotojen mukaisten verkkosolmujen toiminnallisuutta.
Kuvio 4 havainnollistaa esillä olevan ratkaisun erään suoritusmuodon mukaisen ankkurisolmun LMA1 (kuten paikallisen mobiliteettiankkurin) toiminnallisuutta. Viitaten kuvioon 4 vaiheessa 4-1 perustetaan ensimmäinen tie-10 toturva-assosiaatio SA1 ensimmäisen keskitinsolmun Ha (kuten mobiili-IPv6-välipalvelinhubin) kanssa, joka sijaitsee yhdysoperaattoriverkossa GRXa. Vaiheessa 4-2 ulkoiselle verkolle E osoitettua dataliikennettä vastaanotetaan ensimmäiseltä keskitinsolmulta hyödyntäen ensimmäistä tietoturva-assosiaatiota SA1. Vastaanotettu dataliikenne välitetään edelleen vaiheessa 4-3 ulkoiselle 15 verkolle E. Vaiheessa 4-4 ulkoiselta verkolta E vastaanotetaan verkkovieraile-valle käyttäjäpäätteelle UE1-2, UE1-3, UE1-4, UE1-5 osoitettua dataliikennettä. Vastaanotettu dataliikenne välitetään vaiheessa 4-5 edelleen ensimmäiselle keskitinsolmulle Ha hyödyntäen ensimmäistä tietoturva-assosiaatiota SA1.
Kuvio 5 havainnollistaa esillä olevan ratkaisun erään suoritusmuo-20 don mukaisen liityntäsolmun MAG2 (kuten mobiliteettiliityntäyhdyskäytävän) toiminnallisuutta. Viitaten kuvioon 5 vaiheessa 5-1 perustetaan toinen tietoturva-assosiaatio SA2 ensimmäisen keskitinsolmun Ha (kuten mobiili-IPv6-väli-palvelinhubin) kanssa, joka sijaitsee yhdysoperaattoriverkossa GRXa. Vaiheessa 5-2 ulkoiselle verkolle E osoitettua dataliikennettä vastaanotetaan 25 verkkovierailevalta käyttäjäpäätteeltä UE1-2 hyödyntäen toista tietoturva-asso-g siaatiota SA2. Vastaanotettu dataliikenne välitetään edelleen vaiheessa 5-3 ° keskitinsolmulle Ha. Vaiheessa 5-4 keskitinsolmulta Ha vastaanotetaan verk- g kovierailevalle käyttäjäpäätteelle UE1-2 osoitettua dataliikennettä. Vastaan- i oo otettu dataliikenne välitetään vaiheessa 5-5 edelleen käyttäjäpäätteelle UE1-2 x 30 hyödyntäen ensimmäistä tietoturva-assosiaatiota SA1. Tulisi huomata, että
CC
MAG3:n toiminnallisuus on toteutettu vastaavasti, mutta siinä tapauksessa § käyttäjäpääte on UE1-3 ja toinen tietoturva-assosiaatio on SA3 (perustettu
Is- £ Ha:n ja MAG3:n välille). Tulisi myös huomata, että MAG4:n, MAG5:n toiminnal-
O
o lisuus on toteutettu vastaavasti, mutta siinä tapauksessa käyttäjäpääte on 35 UE1-4, UE1-5 ja toinen tietoturva-assosiaatio on SA4, SA5 (perustettu Ha:n ja MAG4:n, MAG5:n välille) vastaavasti.
10
Kuvio 6 havainnollistaa esillä olevan ratkaisun ensimmäisen suoritusmuodon mukaisen keskitinsolmun Ha (kuten mobiili-IPv6-välipalvelinhubin) toiminnallisuutta. Viitaten kuvioon 6 vaiheessa 6-1 perustetaan ensimmäinen tietoturva-assosiaatio SA1 ankkurisolmun LMA1 (kuten paikallisen mobiliteetti-5 ankkurin) kanssa, joka sijaitsee käyttäjäpäätteen UE1-2 kotioperaattoriverkos-sa N1. Vaiheessa 6-2 perustetaan toinen tietoturva-assosiaatio SA2 verkkovie-railuoperaattoriverkossa N2 sijaitsevan liityntäsolmun MAG2 (kuten mobiliteet-tiIiityntäyhdyskäytävän) kanssa. Vaiheessa 6-3 ulkoiselle verkolle E osoitettua dataliikennettä vastaanotetaan liityntäsolmulta MAG2 hyödyntäen toista tieto-10 turva-assosiaatiota SA2. Vastaanotettu dataliikenne välitetään edelleen vaiheessa 6-4 ankkurisolmulle LMA1 hyödyntäen ensimmäistä tietoturva-assosiaatiota SA1. Vaiheessa 6-5 ankkurisolmulta LMA1 vastaanotetaan verkkovie-railevalle käyttäjäpäätteelle UE1-2 osoitettua dataliikennettä hyödyntäen ensimmäistä tietoturva-assosiaatiota SA1. Vastaanotettu dataliikenne välitetään 15 vaiheessa 6-6 edelleen liityntäsolmulle MAG2 hyödyntäen toista tietoturva-assosiaatiota SA2. Tulisi huomata, että datanlähetys ulkoisen verkon E ja käyttäjäpäätteen UE1-3 välillä suoritetaan vastaavasti, mutta siinä tapauksessa käytettävä liityntäsolmu on MAG3 ja käytettävä toinen tietoturva-assosiaatio on SA3 (perustettu Ha:n ja MAG3:n välille). Tulisi myös huomata, että esillä ole-20 van ratkaisun toisessa suoritusmuodossa datanlähetys ulkoisen verkon E ja verkkovierailevan käyttäjäpäätteen UE1-4, UE1-5 välillä suoritetaan vastaavasti, mutta siinä tapauksessa ensimmäinen keskitinsolmu Ha vastaanottaa ulkoiselle verkolle E osoitetun dataliikenteen toiselta keskitinsolmulta Hb (liityntäsolmun sijaan) ja ensimmäinen keskitinsolmu Ha välittää verkkovierailevalle 25 käyttäjäpäätteelle UE1-4, UE1-5 osoitetun dataliikenteen edelleen toiselle kes-g kitinsolmulle Hb (liityntäsolmun sijaan).
^ Kuvio 7 havainnollistaa esillä olevan ratkaisun toisen suoritusmuo- g don mukaisen toisen keskitinsolmun Hb (kuten toisen mobiili-IPv6-välipalvelin- co hubin) toiminnallisuutta. Viitaten kuvioon 7 vaiheessa 7-1 perustetaan toinen x 30 tietoturva-assosiaatio SA4 verkkovierailuoperaattoriverkossa N4 sijaitsevan lii- * tyntäsolmun MAG4 (kuten mobiliteettiliityntäyhdyskäytävän) kanssa. Vaihees- § sa 7-2 ulkoiselle verkolle E osoitettua dataliikennettä vastaanotetaan liityntä- h- j^> solmulta MAG4 hyödyntäen toista tietoturva-assosiaatiota SA4. Vastaanotettu o dataliikenne välitetään edelleen vaiheessa 7-3 ensimmäiselle keskitinsolmulle C\1 35 Ha (kuten toisen mobiili-IPv6-välipalvelinhubille). Vaiheessa 7-4 ensimmäiseltä keskitinsolmulta Ha vastaanotetaan verkkovierailevalle käyttäjäpäätteelle UE1- 11 4 osoitettua dataliikennettä. Vastaanotettu dataliikenne välitetään vaiheessa 7- 5 edelleen liityntäsolmulle MAG4 hyödyntäen toista tietoturva-assosiaatiota SA4. Tulisi huomata, että datanlähetys ulkoisen verkon E ja käyttäjäpäätteen UE1-5 välillä suoritetaan vastaavasti, mutta siinä tapauksessa käytettävä liityn- 5 täsolmu on MAG5 ja käytettävä toinen tietoturva-assosiaatio on SA5 (perustettu Hb:n ja MAG5:n välille).
Tulisi huomata, että ulkoinen verkko E (verkkovierailevan käyttäjä-päätteen UE1-2, UE1-3, UE1-4, UE1-5 sijaan) voi initialisoida dataliikenteen lähetyksen, missä tapauksessa esimerkiksi sanomien 2-7, 2-8, 2-9, 2-10 lähe-10 tys suoritetaan ennen sanomien 2-3, 2-4, 2-5, 2-6 lähetystä.
Tulisi huomata, että Ha:n ja Hb:n välinen yhteys, jonka kautta data välitetään edelleen toisessa suoritusmuodossa, voi olla toteutettu millä tahansa sopivalla datanlähetystekniikalla. Tulisi myös huomata, että GRXa:n ja GRXb:n lisäksi dataliikenteen edelleen välitys Ha:n ja H:b välillä voi tarvittaessa koskea 15 yhtä tai useampaa yhdysverkkoa. Kyseiset yhdysverkot ovat silloin vastuussa eri yhdysverkkojen välisen datayhteyden toteuttamisesta.
Esimerkki dataliikenteestä käyttäjäpäätteeltä ulkoiselle verkolle on, että käyttäjäpääte lähettää palvelupyynnön pyytäen intemetpalvelua tai -sovellusta. Esimerkki dataliikenteestä ulkoiselta verkolta käyttäjäpäätteelle on, että 20 käyttäjäpäätteen pyytämä intemetpalvelu tai -sovellus lähetetään käyttäjäpäätteelle. Esillä olevaa ratkaisua voidaan soveltaa nousevan siirtotien (uplink) ja/tai laskevan siirtotien dataliikenteeseen. Dataliikenne voi sisältää esimerkiksi musiikkitiedostoja, äänitiedostoja, datatiedostoja, puhetta jne.
Keksinnön etuna on, että kotiverkko-operaattorin tarvitsee vain so-25 pia yksittäisestä tietoturva-assosiaatiosta SA1 kotiverkossa ja yksittäisestä tie-cj) toturva-assosiaatiosta SA2 kussakin verkkovierailuverkossa järjestääkseen
O
o suojatut datayhteydet verkkovieraileville tilaajilleen käyttämällä mobiili-IPv6- co välipalvelinprotokollaa.
o ^ Vaikka kotiverkolla on useita verkkovierailupartnereita, LMA1 :n tar- ^ 30 vitsee vain olla yhdistetty loogisesti yksittäiseen Ha:han (vastaavasti MAG:n a. näkökulmasta MAG kommunikoi loogisesti yksittäisen hubin kanssa, vaikka lii- o kenne lähetetään useille LMA:ille). SA1 on olemassa LMA1 :n ja Ha.n välillä (ei in LMA1 :n ja kunkin liityntäsolmun MAG2, MAG3, MAG4, MAG5 välillä kuten pe-
Is- § rinteisissä ratkaisuissa). Ha ja/tai Hb huolehtivat verkkovierailuyhteyksistä ja
C\J
35 tietoturva-assosiaatioista SA2, SA3, SA4, SA5 vastaavien liityntäsolmujen MAG2, MAG3, MAG4, MAG5 kanssa.
12
Esillä olevan ratkaisun avulla huolimatta palveluun ja mobiili-IPv6-välipalvelinprotokollaan liittyvien käyttäjäpäätteiden valtavasta määrästä kaikkia päätteitä (joiden kotiverkko on N1) voi edustaa sama tietoturva-assosiaatio SA1 Ha:n ja LMA1:n välillä. Esillä olevassa ratkaisussa tietoturva-assosiaatio 5 leikataan kahteen palaan SA1 ja SA2 Ha:n ja LMA1 :n sekä Ha:n ja MAG2:n välillä. Mobiili-IPv6-välipalvelinprotokolla sallii tämän, sillä mobiliteettiliityntäyh-dyskäytävän ja paikallisen ankkurisolmun välinen tietoturva-assosiaatio on IP-Sec-assosiaatio ja niiden välinen yhteys on IPSec-VPN.
Käytännössä hubin Ha, Hb ei tarvitse ’’ymmärtää” mobiili-IPv6-väli-10 palvelinprotokollaa. Hubi purkaa (decapsulate) ja kapseloi dataliikennettä eri IPSec-tunneleiden välillä. Mobiili-IP-tunneloitu liikenne lähetetään IPSec:llä, jolloin IPv6:n tapauksessa mobiili-IP-tunneloitu liikenne voidaan lähettää normaalisti ja IPv4:n tapauksessa voi olla välttämätöntä käyttää lisä-GRE-tunnelia (yleiskäyttöinen, reitityskapselointi, generic routing encapsulation) IPSecillä, 15 mikäli IPv4-osoitteet tulevat yksityisestä tilasta. Käyttäjätason (user plane) data lähetetään mobiili-IP-tunnelilla. Mobiili-IP-tunnelin päätepisteet ovat MAG ja LMA, ja perustuen tähän tietoon IPSec:iin päättyvät hubit pystyvät reitittämään mobiili-IPv6-välipalvelintunneloitua liikennettä IP-mielessä.
Esillä olevan ratkaisun etuihin sisältyvät korkea skaalattavuus koti- 20 verkko-operaattorin näkökulmasta ja tosiasia, että muutokset IPv6-välipalvelin- protokollaan eivät ole välttämättömiä. Ratkaisu sallii verkkovierailuyhteyksien helpon hallinnan ja konfiguroinnin käytettäessä mobiili-IPv6-välipalvelinperus- teista teknologiaa verkkovierailuun. Yhdysverkko-operaattorin näkökulmasta esillä oleva ratkaisu mahdollistaa uuden operointi- ja palvelumallin mobiili- 25 IPv6-välipalvelinhubin muodossa, kuten yllä on kuvattu. Näin ollen yhdysverk- o ko voi lisätä kannattavuuttaan lisäämällä uutta älykkyyttä ja uusia laskutettavia o g palveluita verkkoonsa. Esillä oleva ratkaisu muuttaa perinteistä verkkovierai- g lumallia. Esillä olevassa ratkaisussa kahdenväliset sopimukset loppukäyttäjien g operaattorien välillä eivät ole enää välttämättömiä, vaan samaan verkkovierai- ^ 30 lu/yhdysverkkoyhteisöön kuuluvat ovat saavutettavissa toisilleen ilman erityisiä £ toimia. Esillä oleva ratkaisu sallii monenvälisten verkkovierailujärjestelyiden g helpon sijoittelun operaattorin näkökulmasta.
jn Tietoturva-assosiaatiot voidaan perustaa dynaamisina tai staattisina § tietoturva-assosiaatioina. Perustettu tietoturva-assosiaatio voi olla aikariippuva
(M
35 sertifikaatti, jolla on ennalta määrätty elinaika (esimerkiksi viikko, kuukausi, vuosi) vaatien näin ollen uuden ratifioinnin sertifikaatin kelpoisuuden raukea- 13 misen jälkeen. Staattinen tietoturva-assosiaatio tarkistetaan, kun se perustetaan. Dynaaminen tietoturva-assosiaatio luodaan verkkovierailevan asiakkaan kanssa, jolla on uusi mobiililiityntäyhdyskäytävä. Mikäli MAG:n ja hubin (tai LMA:n) välillä ei ole verkkovierailevia käyttäjiä, mitään IPSec-tunneliakaan ei 5 tarvita niiden välillä. Ensimmäinen pääte, joka autentikoidaan MAG:n kautta verkkoon ja tarvitsee kyseisen yhteyden, aloittaa SA:n dynaamisen luonnin MAG:n ja sopivan hubin (tai LMA:n) välillä.
Tulisi huomata, että yhdysverkko, kotiverkko ja/tai verkkovierailu-verkko voivat käytännössä olla saman yrityksen omistamia, mutta niitä pide-10 tään loogisesti eri operaattoreina esillä olevan ratkaisun näkökulmasta,
Kuvioissa esitetyt kohteet ja vaiheet ovat yksinkertaistettuja ja ne tähtäävät vain keksinnön ajatuksen kuvaamiseen. Muita kohteita voidaan käyttää ja/tai muita toimintoja voidaan suorittaa vaiheiden välissä. Kohteet palvelevat vain esimerkkeinä, ja niihin voi sisältyä vain osa yllä mainitusta informaa-15 tiosta. Kohteet voivat myös sisältää muuta informaatiota, ja nimet voivat poiketa yllä annetuista. Kohteiden ja/tai vaiheiden järjestys voi poiketa annetusta. Ankkurisolmun, keskitinsolmun, liityntäsolmun ja/tai käyttäjäpäätteen sijaan tai lisäksi yllä kuvatut operaatiot voidaan suorittaa missä tahansa muussa viestintäjärjestelmän elementissä.
20 Tunnetun tekniikan välineiden lisäksi keksinnön toiminnallisuuden toteuttava järjestelmä tai järjestelmän verkkosolmut käsittävät välineet tietoturva-assosiaation perustamiseksi ja datan lähettämiseksi hyödyntäen perustettua tietoturva-assosiaatiota yllä kuvatulla tavalla. Olemassa olevat verkkosolmut ja käyttäjäpäätteet käsittävät prosessoreita ja muistia, joita voidaan hyö-25 dyntää keksinnön operaatioissa. Mitkä tahansa muutokset, jotka tarvitaan kek- (j) sinnön toteuttamiseksi, voidaan suorittaa käyttäen ohjelmistorutiinien ja/tai
O
o asiakaspiireihin (application specific integrated circuit, ASIC) ja/tai ohjelmoita- ch viin piireihin, kuten EPLD:ihin (electrically programmable logic device) tai o ^ FPGA:ihin (field programmable gate array), sisältyvien rutiinien täydennyksiä ^ 30 tai päivityksiä.
£ Alan ammattilaiselle on ilmeistä, että teknologian edistyessä keksin- o nöllinen käsite voidaan toteuttaa monin eri tavoin. Keksintö ja sen suoritus-
00 J
[o muodot eivät rajoitu yllä kuvattuihin esimerkkeihin, vaan ne voivat vaihdella pa- l"'- § tenttivaatimusten puitteissa.
(M
35

Claims (25)

14
1. Menetelmä tietoturvapalvelun tarjoamiseksi dataliikenteelle viestintäjärjestelmässä (S) järjestelmän (S) käsittäessä kotioperaattoriverkon (N1), 5 verkkovierailuoperaattoriverkon (N2, N3, N4), yhdysoperaattoriverkon (GRXa, GRXb), ja käyttäjäpäätteen (UE1-2, UE1-3, UE1-4), jolloin kotioperaattoriverk-ko (N1) on käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) kotiverkko, menetelmän käsittäessä ainakin yhden operaattorispesifisen tieto-10 turva-assosiaation perustamisen dataliikenteen suojaamiseksi järjestelmässä (S), tunnettu siitä, että menetelmässä perustetaan ensimmäinen tietoturva-assosiaatio (SA1) kotioperaat-toriverkossa (N1) sijaitsevan ankkurisolmun (LMA1) ja yhdysoperaattoriver-kossa (GRXa, GRXb) sijaitsevan keskitinsolmun (Ha, Hb) välille; 15 perustetaan toinen tietoturva-assosiaatio (SA2, SA3, SA4) verkko- vierailuoperaattoriverkossa (N2, N3, N4) sijaitsevan liityntäsolmun (MAG1, MAG2, MAG3) ja yhdysoperaattoräverkossa (GRXa, GRXb) sijaitsevan keskitinsolmun (Ha, Hb) välille; ja lähetetään dataliikennettä kotioperaattoriverkossa (N1) sijaitsevan 20 ankkurisolmun (LMA1) ja verkkovierailuoperaattoriverkossa (N2, N3, N4) verk-kovierailevan käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) välillä hyödyntäen ensimmäistä tietoturva-assosiaatiota (SA1) ja vastaavaa toista tietoturva-assosiaatiota (SA2, SA3, SA4).
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, 25 että ensimmäinen tietoturva-assosiaatio (SA1) on spesifinen kotioperaattori- verkolle (N 1).
3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu CM ^ siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) on spesifinen kotiope- O ^ raaitoriverkolle (N1) ja verkkovierailuoperaattoriverkolle (N2, N3, N4).
4. Patenttivaatimuksen 1, 2 tai 3 mukainen menetelmä, tunnet- X £ t u siitä, että perustetaan tietoturva-assosiaatio (SA2, SA3, SA4) kotioperaat- o toriverkon (N1) kutakin verkkovierailupartneriverkkoa (N2, N3, N4) varten.
5. Minkä tahansa patenttivaatimuksen 1 - 4 mukainen menetelmä, r-- . § tunnettu siitä, että ensimmäinen tietoturva-assosiaatio (SA1) raukeaa en- ^ 35 naita määrätyn ajanjakson jälkeen. 15
6. Minkä tahansa patenttivaatimuksen 1 - 5 mukainen menetelmä, tunnettu siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) raukeaa ennalta määrätyn ajanjakson jälkeen.
7. Minkä tahansa patenttivaatimuksen 1 - 6 mukainen menetelmä, 5 tunnettu siitä, että hyödynnetään mobiili-IPv6-välipalvelinprotokol!aa yh- dysoperaattoriverkon ja kotioperaattoriverkon välillä sekä yhdysoperaattoriver-kon ja verkkovierailuoperaattorin välillä.
8. Viestintäjärjestelmä (S) käsittäen kotioperaattoriverkon (N1), 10 verkkovierailuoperaattoriverkon (N2, N3, N4), yhdysoperaattoriverkon (GRXa, GRXb), ja käyttäjäpäätteen (UE1-2, UE1-3, UE1-4), jolloin kotioperaattoriverk-ko (N1) on käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) kotiverkko, järjestelmän (S) ollessa järjestetty perustamaan ainakin yhden ope-15 raattorispesifisen tietoturva-assosiaation dataliikenteen suojaamiseksi, tunnettu siitä, että järjestelmä (S) on järjestetty perustamaan ensimmäisen tietoturva-assosiaation (SA1) kotiope-raattoriverkossa (N1) sijaitsevan ankkurisolmun (LMA1) ja yhdysoperaattori-verkossa (GRXa, GRXb) sijaitsevan keskitinsolmun (Ha, Hb) välille; 20 perustamaan toisen tietoturva-assosiaation (SA2, SA3, SA4) verk- kovierailuoperaattoriverkossa (N2, N3, N4) sijaitsevan liityntäsolmun (MAG1, MAG2, MAG3) ja yhdysoperaattoriverkossa (GRXa, GRXb) sijaitsevan keskitinsolmun (Ha, Hb) välille; ja lähettämään dataliikennettä kotioperaattoriverkossa (N1) sijaitsevan 25 ankkurisolmun (LMA1) ja verkkovierailuoperaattoriverkossa (N2, N3, N4) verk-(jj kovierailevan käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) välillä hyödyntäen en- o simmäistä tietoturva-assosiaatiota (SA1) ja vastaavaa toista tietoturva- co assosiaatiota (SA2, SA3, SA4). O
^ 9. Patenttivaatimuksen 8 mukainen järjestelmä, tunnettu siitä, 30 että ensimmäinen tietoturva-assosiaatio (SA1) on spesifinen kotioperaattori-£ verkolle (N 1).
10. Patenttivaatimuksen 8 tai 9 mukainen järjestelmä, tunnettu siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) on spesifinen kotiope-§ raattoriverkolle (N1) ja verkkovierailuoperaattoriverkolie (N2, N3, N4). ^ 35
11. Patenttivaatimuksen 8, 9 tai 10 mukainen järjestelmä, tun nettu siitä, että se on konfiguroitu perustamaan tietoturva-assosiaation 16 (SA2, SA3, SA4) kotioperaattoriverkon (N1) kutakin verkkovierailupartneriverk-koa {N2, N3, N4) varten.
12. Minkä tahansa patenttivaatimuksen 8-11 mukainen järjestelmä, tunnettu siitä, että ensimmäinen tietoturva-assosiaatio (SA1) raukeaa en- 5 naita määrätyn ajanjakson jälkeen.
13. Minkä tahansa patenttivaatimuksen 8-12 mukainen järjestelmä, tunnettu siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) raukeaa ennalta määrätyn ajanjakson jälkeen.
14. Minkä tahansa patenttivaatimuksen 8 -13 mukainen järjestelmä, 10 tunnettu siitä, että se on konfiguroitu hyödyntämään mobiili-IPvö-väli- palvelinprotokollaa yhdysoperaattoriverkon ja kotioperaattoriverkon välillä sekä yhdysoperaattoriverkon ja verkkovierailuoperaattorin välillä.
15. Ankkurisolmu (LMA1) viestintäjärjestelmää (S) varten, jolloin ankkurisolmu (LMA1) sijaitsee käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) koti- 15 operaattoriverkossa (N1), tunnettu siitä, että ankkurisolmu (LMA1) on järjestetty perustamaan tietoturva-assosiaation (SA1) suojattua dataliikennettä varten yhdysoperaattoriverkossa (GRXa, GRXb) sijaitsevan keskitinsolmun (Ha, Hb) kanssa; ja 20 suorittamaan datanlähetyksen verkkovierailuoperaattoriverkossa (N2, N3, N4) verkkovierailevan käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) kanssa hyödyntäen tietoturva-assosiaatiota (SA1).
16. Patenttivaatimuksen 15 mukainen ankkurisolmu (LMA1), tunnettu siitä, että tietoturva-assosiaatio (SA1) on spesifinen kotioperaattori- 25 verkolle (N1).
^ 17. Patenttivaatimuksen 15 tai 16 mukainen ankkurisolmu (LMA1), o tunnettu siitä, että tietoturva-assosiaatio (SA1) raukeaa ennalta määrätyn co ajanjakson jälkeen.
^ 18. Liityntäsolmu (MAG1, MAG2, MAG3) viestintäjärjestelmää (S) 30 varten, jolloin liityntäsolmu {MAG1, MAG2, MAG3) sijaitsee verkkovierailuope-£ raattoriverkossa (N2, N3, N4), tunnettu siitä, että liityntäsolmu (MAG1, o MAG2, MAG3) on järjestetty [n perustamaan tietoturva-assosiaation (SA2, SA3, SA4) suojattua da- § taliikennettä varten yhdysoperaattoriverkossa {GRXa, GRXb) sijaitsevan keski- C\J 35 tmsolmun (Ha, Hb) kanssa; ja 17 suorittamaan dataniähetyksen verkkovierailuoperaattoriverkossa (N2, N3, N4) verkkovieraiievan käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) kanssa hyödyntäen tietoturva-assosiaatiota (SA2, SA3, SA4).
19. Patenttivaatimuksen 18 mukainen liityntäsolmu (MAG1, MAG2, 5 MAG3), tunnettu siitä, että tietoturva-assosiaatio (SA1) on spesifinen ko- tioperaattoriverkoile (N1) ja verkkovierailuoperaattoriverkolle (N2, N3, N4).
20. Patenttivaatimuksen 18 tai 19 mukainen liityntäsolmu (MAG1, MAG2, MAG3), tunnettu siitä, että tietoturva-assosiaatio (SA2, SA3, SA4) raukeaa ennalta määrätyn ajanjakson jälkeen.
21. Keskitinsolmu (Ha, Hb) viestintäjärjestelmää (S) varten, jolloin keskitinsolmu (Ha, Hb) sijaitsee yhdysoperaattoriverkossa (GRXa, GRXb), tunnettu siitä, että keskitinsolmu (Ha, Hb) on järjestetty perustamaan ensimmäisen tietoturva-assosiaation (SA1) suojattua dataliikennettä varten käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) kotioperaattori-15 verkossa (N1) sijaitsevan ankkurisolmun (LMA1) kanssa; perustamaan toisen tietoturva-assosiaation (SA2, SA3, SA4) suojattua dataliikennettä varten verkkovierailuoperaattoriverkossa (N2, N3, N4) sijaitsevan liityntäsolmun (MAG1, MAG2, MAG3) kanssa; ja lähettämään dataliikennettä kotioperaattoriverkossa (N1) sijaitsevan 20 ankkurisolmun (LMA1) ja verkkovierailuoperaattoriverkossa (N2, N3, N4) verkkovieraiievan käyttäjäpäätteen (UE1-2, UE1-3, UE1-4) välillä hyödyntäen ensimmäistä tietoturva-assosiaatiota (SA1) ja vastaavaa toista tietoturva-assosiaatiota (SA2, SA3, SA4).
22. Patenttivaatimuksen 21 mukainen keskitinsolmu (Ha, Hb), 25 tunnettu siitä, että ensimmäinen tietoturva-assosiaatio (SA1) on spesifinen (jj kotioperaattoriverkolie (N1).
23. Patenttivaatimuksen 21 tai 22 mukainen keskitinsolmu (Ha, Hb), C0 tunnettu siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) on spesi- o ^ finen kotioperaattoriverkolie (N1) ja verkkovierailuoperaattoriverkolie (N2, N3, ^ 30 N4). X
£ 24. Patenttivaatimuksen 21, 22 tai 23 mukainen keskitinsolmu (Ha, o Hb), tunnettu siitä, että ensimmäinen tietoturva-assosiaatio (SA1) raukein aa ennalta määrätyn ajanjakson jälkeen. Γ"'
§ 25. Minkä tahansa patenttivaatimuksen 21 - 24 mukainen keskitin- 00 35 solmu (Ha, Hb), tunnettu siitä, että toinen tietoturva-assosiaatio (SA2, SA3, SA4) raukeaa ennalta määrätyn ajanjakson jälkeen. 18
FI20075780A 2007-11-01 2007-11-01 Suojattu datanlähetys viestintäjärjestelmässä FI124279B (fi)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20075780A FI124279B (fi) 2007-11-01 2007-11-01 Suojattu datanlähetys viestintäjärjestelmässä
US12/734,432 US8355695B2 (en) 2007-11-01 2008-10-29 Secured data transmission in communications system
ES08846173.6T ES2457317T3 (es) 2007-11-01 2008-10-29 Transmisión asegurada de datos en un sistema de comunicaciones
EP08846173.6A EP2215767B1 (en) 2007-11-01 2008-10-29 Secured data transmission in communications system
PCT/FI2008/050611 WO2009056681A1 (en) 2007-11-01 2008-10-29 Secured data transmission in communications system
DK08846173.6T DK2215767T3 (da) 2007-11-01 2008-10-29 Sikret datatransmission i kommunikationssystem

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20075780A FI124279B (fi) 2007-11-01 2007-11-01 Suojattu datanlähetys viestintäjärjestelmässä
FI20075780 2007-11-01

Publications (3)

Publication Number Publication Date
FI20075780A0 FI20075780A0 (fi) 2007-11-01
FI20075780A FI20075780A (fi) 2009-05-02
FI124279B true FI124279B (fi) 2014-06-13

Family

ID=38786711

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20075780A FI124279B (fi) 2007-11-01 2007-11-01 Suojattu datanlähetys viestintäjärjestelmässä

Country Status (6)

Country Link
US (1) US8355695B2 (fi)
EP (1) EP2215767B1 (fi)
DK (1) DK2215767T3 (fi)
ES (1) ES2457317T3 (fi)
FI (1) FI124279B (fi)
WO (1) WO2009056681A1 (fi)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI124279B (fi) * 2007-11-01 2014-06-13 Teliasonera Ab Suojattu datanlähetys viestintäjärjestelmässä
US8467386B2 (en) * 2009-05-19 2013-06-18 Futurewei Technologies, Inc. System and apparatus for local mobility anchor discovery by service name using domain name service
WO2011009493A1 (en) * 2009-07-24 2011-01-27 Nokia Siemens Networks Oy Method and device for conveying traffic in a proxy mobile ip system
US9455959B1 (en) * 2013-05-31 2016-09-27 Parallel Wireless, Inc. Method of connecting security gateway to mesh network
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US10367689B2 (en) * 2014-10-24 2019-07-30 Comscore, Inc. Monitoring internet usage on home networks of panelist users
US10136341B2 (en) * 2017-01-03 2018-11-20 Simmonds Precision Products, Inc. Wireless data concentrator systems and methods

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7079499B1 (en) * 1999-09-08 2006-07-18 Nortel Networks Limited Internet protocol mobility architecture framework
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
US20040025051A1 (en) 2002-08-02 2004-02-05 Intel Corporation Secure roaming using distributed security gateways
JP2004140482A (ja) * 2002-10-16 2004-05-13 Fujitsu Ltd 暗号通信を行うノード装置、暗号通信システムおよび方法
US7506370B2 (en) 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
ATE545997T1 (de) * 2004-12-17 2012-03-15 Tekelec Us Verfahren, systeme und computerprogrammprodukte zur unterstützung des datenbankzugriffs in einer netzwerkumgebung des internet-protokoll- multimedia-subsystems (ims)
FI118620B (fi) 2005-02-18 2008-01-15 Teliasonera Ab Yhteistoiminta
US8495700B2 (en) 2005-02-28 2013-07-23 Mcafee, Inc. Mobile data security system and methods
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8064948B2 (en) * 2006-01-09 2011-11-22 Cisco Technology, Inc. Seamless roaming for dual-mode WiMax/WiFi stations
FI124279B (fi) * 2007-11-01 2014-06-13 Teliasonera Ab Suojattu datanlähetys viestintäjärjestelmässä

Also Published As

Publication number Publication date
EP2215767A1 (en) 2010-08-11
EP2215767B1 (en) 2014-02-26
ES2457317T3 (es) 2014-04-25
DK2215767T3 (da) 2014-05-12
WO2009056681A1 (en) 2009-05-07
US8355695B2 (en) 2013-01-15
FI20075780A0 (fi) 2007-11-01
EP2215767A4 (en) 2011-03-02
US20100261451A1 (en) 2010-10-14
FI20075780A (fi) 2009-05-02

Similar Documents

Publication Publication Date Title
JP5227960B2 (ja) プロキシ・モバイルip向けパケット転送
US10069803B2 (en) Method for secure network based route optimization in mobile networks
RU2628486C2 (ru) Системы и способы доступа к сети
JP7241202B2 (ja) テレスコピックfqdnをハンドリングするためのシステムおよび方法
EP2144416B1 (en) Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
JP5043920B2 (ja) Cdma2000/gprsローミングに関する方法及び装置
US8675551B2 (en) Multi-protocol label switching support for proxy mobile internet protocol version 6
US20050195780A1 (en) IP mobility in mobile telecommunications system
US9853937B1 (en) Internal packet steering within a wireless access gateway
US8839378B2 (en) Interworking between first and second authentication domains
FI124279B (fi) Suojattu datanlähetys viestintäjärjestelmässä
Grayson et al. Building the Mobile Internet
CN102857987A (zh) 移动网络网关之间的用户会话路由
CN114651477A (zh) 用于用户面处理的系统和方法
WO2004003677A2 (en) Method and system for securely transferring context updates towards a mobile node in a wireless network
US20100046558A1 (en) Header reduction of data packets by route optimization procedure
Kim et al. Directions for future cellular mobile network architecture
US20100118774A1 (en) Method for changing radio channels, composed network and access router
US8990916B2 (en) System and method for supporting web authentication
CN112567812B (zh) 用于移动设备的位置报告
Lai et al. Achieving secure and seamless IP Communications for group-oriented software defined vehicular networks
Mink et al. FATIMA: a firewall-aware transparent Internet mobility architecture
US8554178B1 (en) Methods and systems for efficient deployment of communication filters
Andersson et al. Rethinking IP mobility management
CN103428779B (zh) 服务质量信息的传输方法、系统及固网接入网关

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 124279

Country of ref document: FI

Kind code of ref document: B

MM Patent lapsed