SE524234C2 - Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät - Google Patents

Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät

Info

Publication number
SE524234C2
SE524234C2 SE0103893A SE0103893A SE524234C2 SE 524234 C2 SE524234 C2 SE 524234C2 SE 0103893 A SE0103893 A SE 0103893A SE 0103893 A SE0103893 A SE 0103893A SE 524234 C2 SE524234 C2 SE 524234C2
Authority
SE
Sweden
Prior art keywords
unit
session
category
belonging
computer
Prior art date
Application number
SE0103893A
Other languages
English (en)
Other versions
SE0103893L (sv
Inventor
Mats Persson
Patrik Westin
Original Assignee
Columbitech Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Columbitech Ab filed Critical Columbitech Ab
Priority to SE0103893A priority Critical patent/SE524234C2/sv
Priority to AU2002354377A priority patent/AU2002354377A1/en
Priority to PCT/SE2002/002114 priority patent/WO2003055136A1/en
Publication of SE0103893L publication Critical patent/SE0103893L/sv
Publication of SE524234C2 publication Critical patent/SE524234C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

25 30 524 234 2 enheten så att handskakningen kan slutföras mellan den första och den andra enheten.
Det kan även nämnas att identifiering eller autentisering kan ske på olika sätt. Detta kan ske genom certifikat som bygger på asymmetriska nycklar, en kombination av användarnamn och lösenord, eller engångslösenord som exempelvis kan genereras i dosa med smart kort eller från kort med lösenord som skrapas fram.
Det kan vidare nämnas att det allmänt ofta gäller för sessioner att upprättandet av dem är relativt krävande. Både autentisering och förhandlig av gemensam hemlighet är ofta krävande operationer. När det väl finns en upprättad session är det ofta betydligt mindre krävande att kommunicera inom sessionen och att kontrollera om ett visst meddelande hör till sessionen eller inte.
REDOGÖRELSE FÖR FÖRELIGGANDE UPPFINNING Tekniskt problem , Med utgångspunkt från teknikens ståndpunkt, såsom den beskrivits ovan, är det ett i sammanhanget grundläggande problem att det ofta är önskvärt att vara restriktiv när det gäller den datatrafik som ska tillåtas passera en brandvägg. Ofta är brandväggar konfigurerade så att det inte är tillåtet att öppna hål i brandväggen utifrån. Samtidigt ska behöriga användare på ett smidigt sätt kunna erbjudas tillträde genom brandväggen.
Ett annat problem i sammanhanget är så kallade denial-of-service attacker. Dessa går ut på att skicka så mycket meddelanden till en server eller liknande att den blir överbelastad när den försöker hantera meddelandena. Det leder typiskt inte till att den som utför attacken får tillgång till systemet utan av- sikten är istället att sänka systemet så att de behöriga användarna inte kommer åt det. Det gäller alltså att skydda viktiga systemkomponenter från denial-of-service attacker. Som nämnts ovan är handskakningar krävande. Det gör att en enhet som tar hand om handskakningsförfrågningar är känslig för denial-of-service attacker.
Ett tidigare använt sätt att problemet med att vara restriktiv med vad som får komma igenom brandväggen är att terminera sessionen i brandväggen. Det leder till flera säkerhetsproblem. Dels får den andra enheten ofta dålig information 10 15 20 25 30 524 234 3 om hur säker autentiseringen av den första enheten är och vilken säkerhets nivå som används i sessionen mellan den första enheten och brandväggen, eller den tredje enheten. Dels måste informationen avkrypteras i brandväggen eller den tredje enheten och sedan eventuellt omkrypteras.
Ett annat problem är de sätt att fastställa första enhetens identitet som går att använda. Dels kan det finnas autentiseringsmetoder som inte omfattas av det använda handskakningsförfarandet som ändå skulle vara bra att använda. Dels kan vissa autentiseringsmetoder involvera meddelanden som inte är lämpliga att skicka i klartext.
Det här problemet blir extra stort när mobila datorenheter är inblandade.
Dels är det i det fallet lättare att avlyssna trafik vilket gör det extra känsligt att skicka autentiseringsmeddelanden i klartext. Dels är en mobil datorenhet betydligt lättare att bli av med varför det är önskvärt att ha någon form av autentisering som fastställer användaren som använder enheten och inte bara vilken enhet det är som försöker koppla upp sig. Sådana autentiseringsmetoder kan typiskt falla utanför vad som ingår i handskakningsförfarandet.
Lösningen I beskrivningen av föreliggande uppfinning kommer en säker etablerad förbindelse kallas en session. Med ordet session avses här att två parter som vill kommunicera med varandra har fastställt varandras identitet och kommit överens om hemligheter som gör att de med en för situationen lämplig säkerhet kan kommunicera över en kanal som l sig inte behöver vara säker. Efter upprättandet av sessionen ska man alltså kunna kommunicera över en kanal där meddelanden som skickas kan avlyssnas och ändras av en tredje part och ändå upprätthålla en för situationen lämplig säkerhetsnivå.
En session behöver inte på något sätt vara kopplat till ett visst sätt skicka data och en session kan upprätthållas även om det använda kommunikationsnätet byts ut eller tillfälligt inte är tillgängligt.
En session enligt föreliggande uppfinning är inte begränsad till användandet av något visst säkerhetsprotokoll utan kan även avse användandet av protokoll där man av tradition inte använder begreppet session.
En meddelandesekvens som används för att upprätta en session kommer fortsättningsvis att kallas för en handskakning. Användandet av termen 10 15 20 25 30 524 234 4 handskakning avser inte heller att begränsa uppfinningen till att gälla något speciellt säkerhetsprotokoll.
För att kunna fastställa den första enhetens identitet och därefter tillåta passage genom brandväggen föreslår föreliggande uppfinning användandet av en tredje enhet.
Den tredje enheten placeras utanför brandväggen, lämpligen i en till brandväggen hörande demilitariserad zon, och tillåts kommunicera genom brand- väggen med enheter hörande till den andra kategorin som har registrerat sig hos den tredje enheten.
När den första enheten vill upprätta en session med den andra enheten börjar den med att kommunicera med den tredje enheten. Den upprättar då med hjälp av en handskakning (av samma slag som den handskakning som används för att upprätta en session mellan den första enheten och den andra enheten eller en handskakning av något annat slag) en session som är sådan att åtminstone den första enheten kan vara säker på den tredje enhetens identitet.
Inom denna session kan sedan meddelanden utbytas så att den tredje enheten till en vald säkerhetsgrad kan förvissa sig om den första enhetens identitet.
En session mellan en första och en tredje enhet, vars syfte är att den tredje enheten ska kunna fastställa den första enhetens identitet, kommer fort- sättningsvis kallas en lD-session.
Säkerställandet av den första enhetens identitet kan innebära att den tredje enheten kontaktar en separat enhet för att hämta information som används för att säkerställa den första enhetens identitet.
Efter det att den tredje enheten fastställt den första enhetens identitet tillåts den första enheten kommunicera med den andra enheten för att kunna upprätta en session med denna.
En session mellan en första och en andra enhet kommer fortsättningsvis kallas en kommunikationssession.
Den handskakning som används för att upprätta en kommunikationssession går via ID-sessionen.
Efter det att kommunikationssessionen upprättats behöver inte längre meddelanden mellan den första och den tredje enheten gå inom lD-sessionen. Det 10 15 20 25 30 524 254 5 kan ändå vara bra att låta lD-sessionen finnas kvar så att den om behov uppstår lätt kan återupptas senare.
Kommunikationen mellan första och andra enheten kommer även fort- sättningsvis passera den tredje enheten som övervakar vilka meddelanden som ska släppas igenom. Meddelanden adresserade till en enhet hörande till den andra kategorin får bara passera om de antingen tillhör en ID-session eller om de innehåller viss information kopplad till en existerande kommunikationssession.
En tredje enhet kan användas för att upprätta sessioner mellan flera första och flera andra enheter. Varje session upprättas då på samma sätt som beskrivits ovan.
Fördelar De fördelar som främst kan förknippas med ett system, en metod, dator- programprodukter och ett datorläsbart medium enligt föreliggande uppfinning är att härigenom erbjuds en möjlighet att upprätta en kommunikationssession som går hela vägen från den första enheten till den andra enheten, varigenom en betydligt bättre säkerhet uppnås än om sessionen termineras i brandväggen.
Eftersom en ID-session upprättas och de meddelanden som fastställer den första enhetens identitet skickas inom denna session behöver inga av de meddelanden som fastställer den första enhetens identitet skickas i klartext. Det gör att även identifierande meddelanden som inte är lämpliga att skicka i klartext kan användas för att fastställa den första enhetens identitet. Det gör att önskad säkerhetsnivå kan uppnås innan någon kommunikation släpps igenom brandväggen.
Föreliggande uppfinning erbjuder även möjligheten att låta enheterna byta det underliggande kommunikationsnätet eller att återuppta kommunikationen igen om använt kommunikationsnät tillfälligt är otillgängligt. Så länge som både ID- sessionen och kommunikationssessionen finns kvar går det enkelt att återuppta dessa i ett nytt eller i ett tidigare använt kommunikationsnät, och när kommunika- tionssessionen återupptagits kan den första och andra enheten fortsätta kommunicera med varandra.
Ytterligare en fördel med föreliggande uppfinning är att i det fall som systemet utsätts för attacker så kommer det i första hand vara den tredje enheten som attackeras.
IO 15 20 25 30 524 234 KORT FIGURBESKRIVNING Ett system, en metod, datorprogramprodukter samt ett datorläsbart medium, uppvisande de med föreliggande uppflnning förknippade egenskaperna, skall i exemplifierande syfte nu närmare beskrivas med hänvisning till bifogad ritning där: figur 1 schematiskt och mycket förenklat visar handskakningen vid upprättandet av en ID-sessionen mellan en enhet som hör till den första kategorin och en tredje enhet, figur 2 schematiskt visar fastställandet av den första enhetens identitet inom den upprättade lD-sessionen, figur 3 schematiskt visar handskakningen vid upprättandet av en ID- sessionen mellan en första enhet och en andra enhet, figur 4 schematiskt visar upprättandet av en kommunikationssession har kommunikationssessionen mellan den första enheten och den andra enheten, figur 5 schematiskt visar att en tredje enhet kan hantera kommunika- tionssessioner mellan flera första och flera andra enheter, och där figur 6 schematiskt och mycket förenklat visar ett datorläsbart medium enligt föreliggande uppflnning.
BESKRIVNING ÖVER NU FÖRESLAGNA UTFÖRINGSFORMER I den följande beskrivningen illustreras de olika stegen för att upprätta en kommunikationssession. l bifogade figurer är den första enheten placerad längst till vänster. Den tredje enheten är placerad i mitten. Den är placerad i en demilitari- serad zon som hör till brandväggen. Längst till höger, innanför brandväggen, ligger till sist den andra enheten.
De olika enheterna markeras med siffrorna 1, 2 respektive 3. I figur 2 finns en ytterligare enhet, betecknad 4, med. Detta är en separat enhet som den tredje enheten kan behöva kontakta för att fastställa den första enhetens identitet.
Den väg som meddelanden skickas för att utföra en handskakning mellan två enheter betecknas med ett H följt av enheternas nummer. En upprättad 10 15 20 25 30 524 234 7 session mellan två enheter betecknas med ett S följt av enheternas nummer. Med- delanden som skickas mellan två enheter inom en session betecknas med ett M följt av enheternas nummer. En brandvägg betecknas med ett F. lfigurerna är den tredje enheten placerad mellan två brandväggar. Det avser att illustrera att enheten befinner sig i en demilitariserad zon som hör till den brandvägg som den första enheten befinner sig utanför och den andra enheten befinner sig innanför.
Med hänvisning till figur 1 visas således att uppfinningen bygger på ett datanätbaserat system A. Systemet omfattar ett antal enheter 1, 1', 1" som tillhör en första kategori B och ett antal enheter 2, 2', 2” som tillhör en andra kategori C.
En första enhet 1 som tillhör den första kategorin B kan genom en handskakning upprätta en session med en andra enhet 2 som tillhör den andra kategorin C.
Mellan enheterna som tillhör den första respektive andra kategorin finns en brandvägg F som inte tillåter direkt kommunikation mellan den första och den andra enheten 1, 2.
Enligt en föreslagen utföringsform kan den första enheten 1 utgöras av en mobil datorenhet, exempelvis en laptop eller handdator, och den andra enheten 2 kan utgöras av en server som är placerad innanför en organisations brandvägg.
Den första enheten vill nu via ett datakommunikationsnät upprätta en säker för- bindelse med den andra enheten. Kommunikation genom brandväggen får endast ske efter det att den första enheten har blivit autentiserad på ett tillfredställande sätt.
Föreliggande uppfinning anvisar att den handskakning som används för att upprätta den säkra förbindelsen utgörs av ett handskakningsförfarande enligt något valt säkerhetsprotokoll. Exempel på sådana säkerhetsprotokoll är WTLS, SSL, TLS och IPSec.
Föreliggande uppfinning anvisar att systemet omfattar en tredje enhet 3 som är placerad utanför brandväggen F lämpligen i en demilitariserad zon som hör till brandväggen.
Den tredje enheten 3 tillåts kommunicera direkt med enheter hörande till den andra kategorin C efter det att enheterna i den andra kategorin har registrerat sig hos den tredje enheten. Genom att låta de andra enheterna 2, 2', 2” registrera sig hos den tredje enheten 3 innan de andra enheterna kan kommunicera med av 10 15 20 25 30 524 234 8 den tredje enheten undviker man att behöva öppna några hål i brandväggen F från utsidan. i Den första enheten 1 kan endast kommunicera med den andra enheten 2 via den tredje enheten 3.
Enligt föreliggande uppfinning fastställer den tredje enheten 3 den första enhetens 1 identitet innan den första enheten tillåts kommunicera med den andra enheten 2 genom brandväggen F.
Detta inleds med en handskakning H13 mellan den första enheten 1 och den tredje enheten 3, varigenom en session , här kallad ID-session S13, upprättas mellan den första och den tredje enheten, enligt figur 2. .Vid upprättandet av lD- sessionen S13, det vill säga under handskakningen H13, bör åtminstone den första enheten 1 kunna fastställa den tredje enhetens 3 identitet.
Via ID-sessionen kan sedan den första och den tredje enheten utbyta meddelanden M13 som gör att den tredje enheten 3 på ett tillfredställande sätt kan fastställa den första enhetens 1 identitet. Detta kan exempelvis göras med hjälp av certifikat, engångslösenord och/eller användarnamn/lösenord.
Figur 2 visar även att fastställandet av första enhetens 1 identitet kan inne- bära att den tredje enheten 3 måste hämta information från en separat enhet 4.
Denna informationen hämtas genom meddelandena M34 som skickas mellan den tredje enheten och den separata enheten. Om till exempel engångslösenord används kan den separata enheten utgöras av en engångslösenordsserver. Den separata enheten skulle också kunna utgöras av en CA (Certification Authority) eller en databas där användarnamn och motsvarande lösenord finns lagrade.
För att den tredje enheten 3 på ett säkert sätt ska kunna komma åt informationen från den separata enheten 4 kan ett ytterligare säkerhetsprotokoll behövas. Det kan till exempel vara RADIUS-protokollet eller tacacs-protokollet.
Figur 3 avser att visa att efter det att den tredje enheten 3 förvissat sig om den första enhetens 1 identitet kan den första enheten påbörja den handskakning H12 som används för att upprätta en session mellan den första och den andra enheten 1, 2, här kallad en kommunikationssession S12 i figur 4. Meddelanden som tillhör denna handskakning H12 som går från den första enheten 1 och som ska till den andra enheten 2 går först från den första enheten 1 till den tredje enheten 3 via ID-sessionen S13. Den tredje enheten 3 vidarebefordrar sedan meddelandena till den andra enheten 2. Meddelanden som ska gå från den andra 10 15 20 25 30 524 234 Q till den första enheten och som tillhör handskakningen H12 går först från den andra enheten 2 till den tredje enheten 3. Därefter vidarebefordrar den tredje enheten 3 meddelandena till den första enheten 1 via ID-sessionen S13.
Efter det att handskakningen H12 som upprättar en kommunikations- session S12 har avslutats slutar, enligt nu föreslagen utföringsform, den första och tredje enheten 1, 3 att använda sig av ID-sessionen S13, den finns dock kvar för att vid behov kunna användas.
Meddelanden M12 som ska gå från den första enheten till den andra enheten 1, 2 måste även fortsättningsvis gå via den tredje enheten 3 för att få passera brandväggen F. Den tredje enheten 3 kontrollerar då att meddelandena M12 innehåller viss information kopplad till den existerande kommunikations- sessionen S12 innan de släpps igenom brandväggen.
Om ännu högre säkerhet ska uppnås kan den första och andra enheten 1, 2 inom kommunikationssessionen S12 utbyta meddelanden som ytterliggare styrker den första enhetens 1 identitet. För att göra detta finns åtminstone samma möjligheter som när den tredje enheten 3 fastställer den första enhetens identitet inom lD-sessionen S13.
Genom att välja hur handskaknlngsförfarandena ser ut och vilka ytterligare former av identifikation som krävs ide olika sessionerna går det att välja säker- hetsnivå i de olika autentiseringsstegen.
Som illustreras i figur 5 kan flera första enheter 1, 1', 1” använda sig av samma tredje enhet 3. En tredje enhet 3 kan också fungera för att upprätta sessioner S12, S122 S12" till flera olika andra enheter 2, 2', 2". Här hanterar alltså den tredje enheten flera parallella kommunikationssessioner S12, S122 S12”.
Upprättandet av varje kommunikationssession mellan en första och en andra enhet sker på samma sätt som beskrivs här. Den tredje enheten håller då koll på vilka kommunikationssessioner som finns och vilka meddelanden M12, M12', M12" som tillåts släppas igenom i respektive session.
Figur 5 visar också att flera första enheter 1, 1' kan, via samma tredje enhet 3, koppla upp sig mot samma andra enhet 2.
Om WTLS-protokollet används för att upprätta sessionerna, det vill säga de nämnda handskakningarna ärWTLS-handskakningar, kan handskakningen H13 mellan den första och den tredje enheten 1, 3 utgöra en WTLS klass 2 handskakning. Vid en sådan handskakning försäkrar sig den första enheten 1 om 10 15 20 25 30 524 254 10 den tredje enhetens 3 identitet med hjälp av certifikat och de båda enheterna kommer överens om en delad hemlighet som kan användas för att kryptera fortsatt kommunikation M13. Vid handskakningen H13 kräver däremot inte den tredje enheten 3 något certifikat av den första enheten 1. lnom denna session S13 kan sedan meddelanden M13 utbytas så att den tredje enheten 3 tiil en tillfredställande säkerhetsgrad kan förvissa sig om den första enhetens 1 identitet.
Efter att den tredje enheten 3 har fastställt den första enhetens 1 identitet kan den första enheten börja kommunicera med den andra enheten 2. Om den sessionen mellan den första och andra enheten ska vara en WTLS session så kan handskakningen H12 för att upprätta denna session utgöra en WTLS klass 3 handskakning. Det som skiljer en WTLS klass 3 handskakning från en WTLS klass 2 handskakning är att båda enheterna kräver certifikat av den andra enheten.
Meddelandena mellan den första 1 och den andra enheten 2 som tillhör handskakningen H12 går via den tredje enheten 3. Mellan den första och den tredje enheten går de inom den upprättade lD-sessionen S13, som enligt den här visade utföringsformen även den är en WTLS-session.
Efter det att WTLS klass 3 handskakningen H12 mellan den första och den andra enheten avslutats och därmed en WTLS session S12 upprättats mellan första och andra enheten behövs, enligt nu föreslagen utföringsform, lD-sessionen S13 inte längre. Fortsättningsvis går meddelandena som hör till kommunikations- sessionen S12 utanför lD-sessionen S13 mellan första och tredje enheten 1, 3. lD- sessionen S13 tas inte ner helt utan den ska gå att återuppta, genom att göra session-resume.
En session-resume innebär att enheterna inte återigen behöver autentisera varandra och komma överens om en delad hemlighet. De kan istället fortsätta på den gamla sessionen och använda den delade hemligheten som användes där. Även meddelanden M12 hörande till fortsatt kommunikation kommer att gå via den tredje enheten 3. Den första enheten 1 får fortfarande inte skicka några meddelanden direkt genom brandväggen F.
Meddelanden från den första enheten 1, eller enheter som utger sig för att vara den första enheten, som inte inkommer via en ID-session mellan den första och den tredje enheten 3 kommer bara att vidarebefordras till den andra enheten 2 10 15 20 25 30 524 234 1.1. om de innehåller viss information kopplad till en existerande kommunikations- session.
När man skickar meddelanden i en krypterad WTLS session följer det med ett huvud med meddelandena. I detta huvud finns bland annat information om vilken typ av data som meddelandet innehåller, information om vilken session meddelandet tillhör och en checksumma som räknas fram från meddelandet och den delade hemligheten.
De olika typer av meddelanden som finns är handskakningsmeddelanden, meddelanden som innehåller applikationsdata, change cipher spec-meddelanden som talar om att någon av enheterna vill byta krypteringsnyckel och alert-meddel- anden som talar om att något har gått fel.
Tredje enheten 3 släpper bara igenom handskakningsmeddelanden från första enheten 1 till andra enheten 2 om de inkommer inom en upprättad ID- session efter det att första enheten 1 blivit tillfredställande autentiserad.
Meddelanden som är av någon av de andra typerna och som inkommer till den tredje enheten 3 från den första enheten 1 och är adresserade still den andra enheten släpps igenom även om de inte inkommer inom en lD-session om infor- mationen som talar om vilken session de tillhör säger att de tillhör en existerande kommunikationssession.
När ett meddelande når den andra enheten 2 kan denna relativt enkelt kolla om meddelandet verkligen tillhör den kommunikationssession som det påstår att det tillhör genom att kolla om checksumman som finns i meddelandets huvud stämmer.
Det här innebär att bara första enheter 1 vars identitet fastställts av den tredje enheten 3 kan påbörja en handskakning H12 med en andra enhet 2.
Tanken är den att det är relativt lätt för en andra enhet 2 att hantera meddelanden som felaktigt utger sig för att tillhöra en säker session S12 medan det kräver mer arbete att ta hand om handskakningsförfrågningar från enheter som inte har rätt att påbörja handskakningar. Om någon obehörig lyckas skicka ett meddelande som den tredje enheten 3 bedömer tillhöra en kommunikationssession så kan den mottagande andra enheten enkelt fastställa att detta meddelande inte hör till kommunikationssessionen eftersom den obehörige inte känner till den gemensamma hemlighet som gäller för kommunikationssessionen. 10 15 20 25 30 524 234 1.2 Under förutsättning att sessionen mellan den första och andra enheten 1, 2 inte är sådan att den är kopplad till det datakommunikationsnät som används utan att sessionen består och kan återupptas går det bra att byta datakommunikationsnät. En WTLS-session fungerar på det sättet eftersom man kan göra session-resume.
Skäl till att vilja byta datakommunikationsnät kan exempelvis vara att det ursprungliga nätet inte längre finns tillgängligt eller att det finns ett annat tillgängligt nät som av något skäl uppfattas som bättre.
Enligt nu föreslagen utföringsform kommer det typiskt vara så att det är den första enheten som byter det datakommunikationsnät som den använder. Den första enheten kan då via ett nytt datakommunikationsnät återuppta lD-sessionen med den tredje enheten. Om WTLS används görs detta genom att göra session- resume. Via ID-sessionen kan den första enheten återuppta kommunikationssessionen med den andra, enheten återigen genom en session- resume om WTLS används.
Om datakommunnikationsnätet är tillfälligt oåtkomligt kan enheterna på samma sätt enkelt återuppta en kommunikationssession via samma nät om det åter blir tillgängligt.
Den föregående beskrivningen har visat ett uppfinningsenligt system.
Fackmannen kan dock med utgångspunkt från denna beskrivning inse hur en uppfinningsenlig metod fungerar. Denna beskrivning skall därför inte betungas ytterligare med en separat beskrivning av den uppfinningsenliga metoden.
Föreliggande uppfinning avser även ett antal datorprogramprodukter schematiskt visade i figur 1.
En första datorprogramprodukt 51 omfattar första datorprogramkod 51' som, då den exekveras av en datorenhet, får denna datorenhet att kunna verka såsom en första datorenhet 1 enligt föreliggande uppfinning.
En andra datorprogramprodukt 52 omfattar andra datorprogramkod 52' som, då den exekveras av en datorenhet, får denna datorenhet att kunna verka såsom en andra datorenhet 2 enligt föreliggande uppfinning.
En tredje datorprogramprodukt 53 omfattar tredje datorprogramkod 53' som, då den exekveras av en datorenhet, får denna datorenhet att kunna verka såsom en tredje datorenhet 3 enligt något av patentkraven 1 till 23. 10 15 524 254 13 Vidare avser föreliggande uppfinning ett datorläsbart medium 6, schematiskt visat i figur 6 och där exemplifierad som en diskett. Det skall förstås att även andra datorläsbart medier kan användas. Dessa kan exempelvis utgöras av olika typer av minnesutrymmen, såsom CD-skivor, hårddiskar, eller olika sorters ROM-minnen (Read Only Memory). Även ett nätverk, såsom det globala nätverket Internet, kan anses utgöra ett datorläsbart medium.
På ett uppfinningsenligt datorläsbart medium 6 finns datorprogramkod 61 enligt en eller flera av den första, andra och tredje datorprogramprodukterna lagrad.
Således kan en datorenhet 62 verka såsom en första, andra eller tredje datorenhet beroende på vilka egenskaper datorprogramkoden 61 har.
Uppfinningen är givetvis inte begränsad till de ovan såsom exempel angivna utföringsformerna utan kan genomgå modifikationer inom ramen för uppfinningstanken såsom denna är illustrerad i efterföljande patentkrav.

Claims (26)

10 15 20 25 30 54'- l l. »u a 1 _. u.. .a a a s n» .a a n u ß u. I on n v oo nu n. u s v v I »nosa u. o :vs 0 'v » n _- ,- . *1 f _ u A g f f, co PATENTKRAV
1. Datanätbaserat system omfattande ett antal enheter tillhörande en första kategori, ett antal enheter tillhörande en andra kategori, samt en mellan nämnda första och andra kategori enheter verkande brandvägg, där en första enhet hörande till nämnda första kategori, genom en sekvens av meddelanden, är an- passad att upprätta en kommunikationssession med en andra enhet hörande till nämnda andra kategori, kännetecknat av, att nämnda system omfattar en utanför nämnda brandvägg placerad tredje enhet, vilken är anpassad att kommunicera fritt med enheter hörande till nämnda andra kategori efter det att dessa andra enheter registrerat sig hos nämnda tredje enhet, att nämnda första enhet och nämnda tredje enhet är anpassade att upprätta en ID-session sig emellan genom en sek- vens av meddelanden, och att nämnda kommunikationssession genom nämnda brandvägg är anpassad att upprättas endast efter det att nämnda första enhet blivit autentiserad på ett tillfredställande sätt av nämnda tredje enhet via nämnda ID-session.
2. System enligt patentkravet 1, kännetecknat av, att nämnda första enhet och nämnda andra enhet är anpassade att skickas meddelanden hörande till upprättandet av nämnda kommunikationssession via nämnda tredje enhet och inom ramarna för nämnda ID-session.
3. System enligt patentkravet 2, kännetecknat av, att den meddelande- sekvens som används för att upprätta nämnda lD-session och/eller kommunikati- onssession omfattar ett handskakningsförfarande enligt något valt säkerhets- protokoll.
4. System enligt patentkravet 3, kännetecknat av, att nämnda ID-session är sådan att nämnda första enhet kan känna sig säker på nämnda tredje enhets identitet, varefter nämnda autentisering av nämnda första enhet sker.
5. System enligt patentkravet 4, kännetecknat av, att nämnda autentisering sker med hjälp av certifikat, engångslösenord eller användarnamn/lösenord. 10 15 20 25 30 52 i xt” se; n r »a Hz» aa 1 » a: no u o o u I: I I i nu »n s. o n o an: I ,,,.,| o; o o.. o nu» o . v -nn Q; v . . . , 9 f-
6. System enligt patentkravet 4 eller 5, kännetecknat av, att meddelanden hörande till nämnda kommunikationssession går via nämnda tredje enhet, och att nämnda tredje enhet är anpassad att kontrollera att samtliga till nämnda tredje enhet inkommande meddelanden innehåller viss information kopplad till någon session mellan en första och en andra enhet innan de vidarebefordras till den andra enheten.
7. System enligt något av föregående patentkrav, kännetecknat av, att nämnda tredje enhet är placerad i en demilitariserad zon hörande till brandväggen.
8. System enligt något av föregående patentkrav, kännetecknat av, att nämnda första enhet utgörs av en mobil datorenhet, såsom en laptop eller hand- dator.
9. System enligt något av föregående patentkrav, kännetecknat av, att nämnda andra enhet utgörs av en mobil datorenhet, såsom en laptop eller hand- dator.
10. System enligt något av patentkraven 1 till 8, kännetecknat av, att nämnda andra enhet utgörs av en företagsintern server.
11. System enligt något av föregående patentkrav, kännetecknat av, att nämnda tredje enhet är anpassad att hantera kommunikationssessioner mellan en eller flera enheter hörande till nämnda första kategori och en eller flera olika enheter hörande till nämnda andra kategori.
12. Metod för kommunikation mellan ett antal enheter tillhörande en första kategori och ett antal enheter tillhörande en andra kategori, där nämnda kom- munikation sker via en mellan nämnda första och andra kategori enheter verkande brandvägg, där en första enhet hörande till nämnda första kategori, genom en sekvens av meddelanden, upprättar en kommunikationssession med en andra enhet hörande till nämnda andra kategori, kännetecknad av, att en utanför nämnda brandvägg placerad tredje enhet kommunicerar fritt med enheter hörande till nämnda andra kategori efter det att dessa andra enheter registrerat sig hos 10 15 20 25 30 5 2 4 2 3 4 lß nämnda tredje enheten, att en ID-session upprättas mellan nämnda första enhet och nämnda tredje enhet genom en sekvens av meddelanden, och att nämnda kommunikationssession genom nämnda brandvägg endast får upprättas efter det att nämnda första enhet har blivit autentiserad på ett tillfredställande sätt av nämnda tredje enhet via nämnda ID-session.
13. Metod enligt patentkravet 12, kännetecknad av, att meddelanden hörande till upprättandet av nämnda kommunikationssession skickas mellan nämnda första enhet och nämnda andra enhet via nämnda tredje enhet och inom ramarna för nämnda ID-session.
14. Metod enligt patentkravet 13, kännetecknad av, att meddelandesekven- sen som används för att upprätta nämnda ID-session och/eller kommunikations- session omfattar ett handskakningsförfarande enligt något valt säkerhetsprotokoll.
15. Metod enligt patentkravet 14, kännetecknad av, att nämnda ID-session är sådan att nämnda första enhet kan känna sig säker på nämnda tredje enhets identitet, varefter nämnda autentisering av nämnda första enhet sker.
16. Metod enligt patentkravet 15, kännetecknad av, att nämnda autentisering sker med hjälp av certifikat, engångslösenord eller användarnamn/lösenord.
17. Metod enligt patentkravet 15 eller 16, kännetecknad av, att meddelanden hörande till nämnda kommunikationssession går via nämnda tredje enhet, och att nämnda tredje enhet är anpassad att kontrollera att samtliga till nämnda tredje enhet inkommande meddelanden innehåller viss information kopplad till någon session mellan en första och en andra enhet innan de vidarebefordras till berörd andra enhet.
18. Metod enligt något av patentkraven 12 till 17, kännetecknad av, att nämnda tredje enhet placeras i en demilitariserad zon hörande till nämnda brand- vägg. 10 15 20 25 30 524 254 l?
19. Metod enligt något av patentkraven 12 till 18, kännetecknad av, att nämnda första enhet utgörs av en mobil datorenhet, såsom en laptop eller handdator.
20. Metod enligt något av patentkraven 12 till 19, kännetecknad av, att nämnda andra enhet utgörs av en mobil datorenhet, såsom en laptop eller handdator.
21. Metod enligt något av patentkraven 12 till 19, kännetecknad av, att nämnda andra enhet utgörs av en företagsintern server.
22. Metod enligt något av patentkraven 12 till 21, kännetecknad av, att nämnda tredje enhet hanterar kommunikationssessioner mellan en eller flera olika enheter hörande till nämnda första kategori och en eller flera olika enheter hörande till nämnda andra kategori.
23. En första datorprogramprodukt, kännetecknad av, att nämnda första datorprogramprodukt omfattar första datorprogramkod som, då den exekveras av en datorenhet, får nämnda datorenhet att kunna verka såsom en första datorenhet i ett system enligt något av patentkraven 1 till 11 eller i en metod enligt något av patentkraven 12 till 22.
24. En andra datorprogramprodukt, kännetecknad av, att nämnda andra datorprogramprodukt omfattar andra datorprogramkod som, då den exekveras av en datorenhet, får nämnda datorenhet att kunna verka såsom en andra datorenhet i ett system enligt något av patentkraven 1 till 11 eller i en metod enligt något av patentkraven 12 till 22.
25. En tredje datorprogramprodukt, kännetecknad av, att nämnda tredje datorprogramprodukt omfattar tredje datorprogramkod som, då den exekveras av en datorenhet, får nämnda datorenhet att kunna verka såsom en tredje datorenhet i ett system enligt något av patentkraven 1 till 11 eller i en metod enligt något av patentkraven 12 till 22. 524 254 IS
26. Datorläsbart medium, kännetecknat av, att på nämnda datorläsbara medium finns datorprogramkød enligt ett eller flera av patentkraven 23 till 25 lagrad. ..,,, .H
SE0103893A 2001-11-20 2001-11-20 Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät SE524234C2 (sv)

Priority Applications (3)

Application Number Priority Date Filing Date Title
SE0103893A SE524234C2 (sv) 2001-11-20 2001-11-20 Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät
AU2002354377A AU2002354377A1 (en) 2001-11-20 2002-11-20 Data net based system with two units belonging to different categories situated on different sides of a firewall
PCT/SE2002/002114 WO2003055136A1 (en) 2001-11-20 2002-11-20 Data net based system with two units belonging to different categories situated on different sides of a firewall

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0103893A SE524234C2 (sv) 2001-11-20 2001-11-20 Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät

Publications (2)

Publication Number Publication Date
SE0103893L SE0103893L (sv) 2003-05-21
SE524234C2 true SE524234C2 (sv) 2004-07-13

Family

ID=20286072

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0103893A SE524234C2 (sv) 2001-11-20 2001-11-20 Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät

Country Status (3)

Country Link
AU (1) AU2002354377A1 (sv)
SE (1) SE524234C2 (sv)
WO (1) WO2003055136A1 (sv)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7694334B2 (en) * 2004-12-03 2010-04-06 Nokia Corporation Apparatus and method for traversing gateway device using a plurality of batons
US7805757B2 (en) * 2005-12-30 2010-09-28 Alcatel-Lucent Usa Inc. Control of communication session attributes in network employing firewall protection

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
EP1083722B1 (de) * 1999-09-07 2005-07-27 Swisscom Mobile AG Verfahren und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP-Dienste erlauben
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks

Also Published As

Publication number Publication date
WO2003055136A1 (en) 2003-07-03
AU2002354377A1 (en) 2003-07-09
SE0103893L (sv) 2003-05-21

Similar Documents

Publication Publication Date Title
US8904178B2 (en) System and method for secure remote access
US7325133B2 (en) Mass subscriber management
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
US20160072787A1 (en) Method for creating secure subnetworks on a general purpose network
US6732270B1 (en) Method to authenticate a network access server to an authentication server
US7574603B2 (en) Method of negotiating security parameters and authenticating users interconnected to a network
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
US20070067620A1 (en) Systems and methods for third-party authentication
US20070180225A1 (en) Method and system for performing authentication and traffic control in a certificate-capable session
EA003374B1 (ru) Система и способ обеспечения безопасного доступа к сервисам в компьютерной сети
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
EP2070248B1 (en) System and method for facilitating secure online transactions
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
WO2009041804A2 (en) Secure instant messaging
SE524234C2 (sv) Datanätbaserat system samt en metod för kommunikation där ett antal en första kategori tillhöriga enheter ska kunna kommunicera med ett antal en andra kategori tillhöriga enheter via ett datakommunikationsnät
KR20110043371A (ko) 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템
WO2007030517A2 (en) Systems and methods for third-party authentication
EP1959607B1 (en) A method and system for authenticating the identity
Khandkar et al. Masking host identity on internet: Encrypted TLS/SSL handshake
KR100759813B1 (ko) 생체정보를 이용한 사용자 인증 방법
JP2002207694A (ja) 情報転送追跡装置、個人情報管理システム、その方法及びプログラムを記録した記録媒体
JP2006121440A (ja) 医療システム、医療データ管理方法、及び医療データ管理用通信プログラム
CN116471056A (zh) Handle解析系统数据多重加密方法、装置及系统
TW202005329A (zh) 訊息傳輸之系統與方法

Legal Events

Date Code Title Description
NUG Patent has lapsed