(12) Oversettelse av europeisk patentskrift

Transkript

1 (12) Oversettelse av europeisk patentskrift (11) NO/EP B1 (19) NO NORGE (1) Int Cl. H04L 29/06 (06.01) H04L 9/32 (06.01) H04L 12/6 (06.01) H04W 12/04 (09.01) H04W 12/06 (09.01) Patentstyret (21) Oversettelse publisert (80) Dato for Den Europeiske Patentmyndighets publisering av det meddelte patentet (86) Europeisk søknadsnr (86) Europeisk innleveringsdag (87) Den europeiske søknadens Publiseringsdato () Prioritet , FI, 071 (84) Utpekte stater AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR (73) Innehaver TeliaSonera AB, Stureplan 8, 6 63 Stockholm, Sverige (72) Oppfinner KORHONEN, Jouni, Mutkatie 2 A 4, FI-110 Riihimäki, Finland (74) Fullmektig Plougmann & Vingtoft, Postboks 03 Sentrum, 04 OSLO, Norge (4) Benevnelse Autentiserings- og krypteringsprotokoll i et trådløst kommunikasjonssystem (6) Anførte publikasjoner GB-A WO-A1-04/00871 AL-SHRAIDEH F: "Host Identity Protocol", NETWORKING, INTERNATIONAL CONFERENCE ON SYSTEMS AND INTERNATIONAL CONF ERENCE ON MOBILE COMMUNICATIONS AND LEARNING TECHNOLOGIES, 06. ICN/I CONS/MCL 06. INTERNATIONAL CONFERENCE ON MORNE, MAURITIUS APRIL 06, PISCATAWAY, NJ, USA,IEEE, 23 April 06 ( ), pages 3-3, XP , DOI: DOI:.19/ICNICONSMCL ISBN: LAGANIER J. ET AL.: 'Host Identity Protocol (HIP) Rendezvous Extension' THE INTERNET WORKING GROUP RFC 4, [Online] April 08, XP01023 Retrieved from the Internet: <URL: MOSKOWITZ R. ET AL.: 'Host Identity Protocol (HIP) Architecture' THE INTERNET WORKING GROUP RFC 4423, [Online] May 06, XP Retrieved from the Internet: <URL: RADIUS PROTOCOL WIKI PAGE: 'Wikimedia Foundation', [Online] October 06, XP Retrieved from the Internet: <URL: 0234/ DIUS>

2 1 Tittel: Autentiserings- og krypteringsprotokoll i et trådløst kommunikasjonssystem Beskrivelse Oppfinnelsens saksområde [0001] Foreliggende oppfinnelse angår en autentiserings- og krypteringsprotokoll i et kommunikasjonssystem Bakgrunn for oppfinnelsen [0002] "Host identity protocol" (HIP, vertsindentitetsprotokoll) tilveiebringer en løsning for å atskille endepunktidentifikator- og lokaliseringsrollene til IP- (Internett protokoll) -adressene. HIP-arkitekturen innfører et nytt kryptografisk basert navnerom, vertsidentitet (HI, "Host Identity"), og et nytt lag mellom nettverkslaget og transportlaget. Det nye lag, som bærer vertsidentiteten, kalles et vertslag. Vertsidentitetsnavnerommet er basert på offentlige nøkler som er typisk, men ikke nødvendigvis, selvgenerert. [0003] Dagens Internett har to globale navnerom, domenenavn og IP-adresser. IPadresser brukes som både topologiske posisjonsindikatorer og nettverksgrensesnittidentiteter. Denne doble rollen til IP-adressene begrenser fleksibiliteten til Internettarkitekturen og gjør mobilitet og IP-adressomnumerering vanskelig. Særlig er transportprotokoller, så som UDP (user datagram protocol) eller TCP (transmission control protocol), bundet til IP-adressene og bryter når adressen endres. Vertsidentitetsprotokollarkitekturen definerer et nytt globalt Internett-navnerom. Vertsidentitetsnavnerommet bryter koblingen mellom navn- og lokaliseringsrollene som i øyeblikket er fylt med IP-adresser. I henhold til HIP bruker transportlaget vertsidentiteter i stedet for IP-adresser som endepunktnavn. Samtidig bruker nettverkslaget IPadresser som rene posisjonsindikatorer. [0004] Vertsidentitetslaget tilføyes som en midje mellom transportlaget og nettverkslaget i protokollstabelen. Hver HIP-aktivert vert har en eller flere vertsidentifikatorer (HI-er). Vertsidentifikatoren er en offentlig nøkkel. Vertsidentifikatoren er representert gjennom en 128 bit lang identifikator, en vertsidentitetsetikett (HIT). Vertsidentitetsetiketten lages gjennom å anvende en kryptografisk hash-funksjon over en offentlig nøkkel. I HIP er socket bundet til HI-er heller enn IP-adresser. IP-

3 2 adresser brukes til å rute pakker. En nettverkslogon-prosedyre basert på HIP fremgår av GB [000] HIP muliggjør ende-til-ende-sikkerhet, mobilitet, fler-adress fler-hjemsted, og motstand mot tjenestenekt- (DoS) -angrep i et kommunikasjonssystem. Derfor kunne én ønske å bruke HIP som en felles generisk nøkkelforvaltnings- og autentiseringsprotokoll. Imidlertid er et til dette knyttet problem at dagens systemer kun muliggjør at HIP brukes til autentisering og trafikkkryptering av sammenkoblinger mellom likestilte anordninger. Dette fordi hver nettverksnode i et større system burde kjenne alle nødvendige vertsidentitetsetiketter og vertsidentiteter. Den eneste tilgjengelige løsning ville altså være å bruke statiske tabeller lagret i nettverksnodene for å assosiere HIT-ene til korresponderende sikkerhetsdomener (REALMer). Dette ville ikke være veldig praktisk. Kort beskrivelse av oppfinnelsen [0006] Målet med foreliggende oppfinnelse er så å tilveiebringe en fremgangsmåte og en anordning for å implementere fremgangsmåten for å løse det ovenfor stående problem. Oppfinnelsens mål oppnås med en fremgangsmåte, et system, en autentiserer og server som er karakterisert ved det som er angitt i de selvstendige krav. Foretrukne utførelsesformer av oppfinnelsen går frem av de uselvstendige krav. [0007] Oppfinnelsen angår brukerautentisering i et trådløst tilgangsnettverk. Oppfinnelsen vedrører også å utnytte vertsidentitetsprotokollen HIP. Tilgangsnettverket omfatter en autentiserernode som mottar en datapakke, som omfatter en vertsidentitetsetikett av en brukerterminal. På grunnlaget av vertsidentitetsetiketten anmoder autentiserernoden informasjon på et hjemmenett til brukerterminalen fra en navnserver. Siden navnserveren tilveiebringer informasjon på hjemmenettet til brukerterminalen, er autentisereren i stand til å sende en autentiseringsanmodning, som omfatter vertsidentitetsetiketten til en autentiseringsserver til hjemmenettet. Serveren mottar autentiseringsanmodningen, undersøker vertsidentitetsetiketten, og dersom vertsidentitetsetiketten kan tillates av serveren, sendes et autentiseringssvar til autentiserernoden. Deretter tilveiebringes en vertsidentitetsetikett av autentiserernoden til brukerterminalen. [0008] En fordel ved oppfinnelsen er at den tillater at vertsidentitetsprotokollen (HIP) brukes til autentisering og kryptering av forbindelser også mellom andre likestilte anordninger. Den muliggjør at HIP brukes som en felles autentiserings- og

4 3 nøkkelforvaltningsprotokoll i et kommunikasjonsnett, for eksempel, i et trådløst lokalnett WLAN. Oppfinnelsen tillater avbildning av en initiatorvertsidentitetsetikett på informasjonen som dagens nettverksarkitekturer er i stand til å svare på. Kort beskrivelse av tegningene [0009] I det følgende beskrives oppfinnelsen mer detaljert ved hjelp av foretrukne utførelsesformer med henvisning til de vedføyde tegningene, hvor 1 Figur 1 viser et kommunikasjonssystem i henhold til foreliggende løsning; Figur 2 illustrerer signalering i henhold til foreliggende løsning; Figur 3 er et flytdiagram som viser fungeringen av en nettverksautentiserer i henhold til foreliggende løsning; Figur 4 er et flytdiagram som viser fungeringen av en autentiserings-, autoriserings- og kontoserver i henhold til foreliggende løsning. Detaljert beskrivelse av oppfinnelsen 2 3 [00] I det følgende beskrives utførelsesformer av oppfinnelsen med henvisning til et trådløst kommunikasjonssystem, så som WLAN. Denne oppfinnelsen er imidlertid ikke ment å være begrenset på disse utførelsesformene. Følgelig kan oppfinnelsen anvendes med et hvilket som helst trådløst eller mobilt kommunikasjonssystem, som UMTS som er i stand til å tilveiebringe en pakkesvitsjet radiotjeneste. Særlig spesifikasjonene til WLAN og 3-dje generasjon (3G) mobile kommunikasjonssystemer utvikles raskt. Dette kan kreve ytterlige endringer med oppfinnelsen. Derfor burde terminologien og benyttede uttrykkene tolkes i sin bredeste mening siden de er ment til å illustrere oppfinnelsen og ikke å begrense den. Det relevante oppfinneriske aspekt er vedrørende funksjonaliteten, ikke nettverkselementet eller utstyr hvor det er utført. [0011] En vertsidentifikator HI henviser til en kryptografisk nøkkel. Det er en offentlig nøkkel av et asymmetrisk nøkkelpar. En vert har minst én unik vertsidentitet. Vertsidentiteten, og den tilsvarende vertsidentifikatoren, kan være enten offentlig (f. eks. offentliggjort i DNS) eller upublisert. Når HIP brukes er den faktiske nyttelasttrafikken mellom to HIP-verter typisk beskyttet ved å utnytte en sikret IP (IPsec). Vertsidentitetene brukes til å opprette IPsec-sikkerhetsassosiasjoner SA og til å autentisere vertene. Vertsidentiteten muliggjør frakobling av nettsammenkobling og transportlag. Dette tillater en uavhengig utvikling av de to lagene. Et annet

5 4 trekk er vertsautentisering. Fordi vertsidentifikatoren er en offentlig nøkkel kan den brukes til autentisering i sikkerhetsprotokoller som IPsec. 1 2 [0012] En vertsidentitetsetikett (HIT) er en 128 bit representasjon for en vertsidentitet. Den opprettes ved å ta en kryptografisk spredefunksjon over den tilsvarende vertsidentifikatoren. I HIP-pakkene identifisere HIT-ene senderen og mottakeren av en pakke. En HIT er unik i hele IP-universet sålenge den blir benyttet. I HIP-arkitekturen overtar vertsidentifikatorene rollen til endepunktidentifikatorene. [0013] Vertsidentitetsprotokollen HIP tilveiebringer en binding av transportlagprotokoller, hvor transportlagassosiasjonene, det vil si TCP-forbindelsene og UDPassosiasjonene, ikke lenger er bundet til IP-adressene men til vertsidentiteter. [0014] En navngivingsautoritetspeker (NAPTR) er en DNS-post som støtter omskriving basert på regulære uttrykk. Flere NAPTR-poster kan kjedes sammen for å opprette URI-omskrivingsregler. En post kan gå gjennom et hvilket som helst antall med omskrivinger før den når en endelig tilstand. For eksempel er etter oversettelsen av et telefonnummer til en URI e164.arpa omformet ved å bruke omskrivingsregler funnet i NAPTR-poster. En bindingskonfigurasjon for postene returnert fra en forespørsel etter e164.arpa kan så fremstå som følger: $ORIGIN e164.arpa. IN NAPTR 0 "u" "sip+e2u" "!^.*$!sip:information@pbx.example.com!i". IN NAPTR 2 "u" "smtp+e2u" "!^.*$!mailto:information@example.com!i". 3 [001] Telefonnummeravbildning (ENUM) er et sett med protokoller for å forene telefonnummersystemet E.164 med Internettadresseringssystemet DNS ved å bruke en indirekte oppslagsfremgangsmåte for å fremskaffe NAPTR-poster. Postene er lagret i en DNS-database. ENUM er basert på et offentlig navnserversystem som tilbyr global tilgjengelighet. Ved hjelp av ENUM kan sluttbrukere og firmaer selv styre sin kommunikasjon, og for eksempel motta telefonsamtaler over Internett, når anropene er gjort med telefonnumrer. [0016] En ressurspost RR henviser til en DNS-ressurspost, som er en dataenhet i domenenavnsystemet, som definerer attributer for et domenenavn. Attributet kan for eksempel være en IP-adresse, en tekststreng eller en postrute.

6 [0017] Figur 1 viser et kommunikasjonssystem S i henhold til en utførelsesform av foreliggende løsning. Figur 1 viser en forenklet versjon av nettverksarkitekturen, men viser kun komponenter som er essensielle for oppfinnelsen, selv om fagfolk vet at et generelt trådløst eller mobilt kommunikasjonssystem også omfatter andre funksjoner og strukturer, som ikke trenger å bli beskrevet nærmere her [0018] I figur 1 omfatter kommunikasjonssystemet S et trådløst tilgangsnettverk WLAN og et sentralnett CN. Tilgangsnettverket WLAN er for eksempel et trådløst lokalnett, og omfatter en nettverksautentiserer HIP-R (det vil si en HIP-responder) med hvilken en brukerterminal UE kan kommunisere gjennom et tilgangspunkt AP når UE ligger i dekningsområdet til AP. Tilgangspunktet AP kan også være kalt en basestasjon. Brukerterminalen UE kan også være kalt en HIP-initiator (HIP-I), og kan omfatte en hvilken som helst trådløs bærbar brukeranordning, så som en bærbar datamaskin eller en mobilstasjon, som er i stand til å kommunisere med AP. Sentralnettet CN illustrerer et "hjemmenett" til brukerterminalen UE, og det omfatter en autentiserings-, autoriserings- og kontoserver AAAH, som HIP-responderen kan kommunisere med. HIP-responderen kan også kommunisere med en navnserver ENUM. En radioforbindelse mellom AP og UE er implementert ved å utnytte en radioteknologi, så som WLAN. [0019] Figur 2 illustrerer signalering i henhold til en utførelsesform av foreliggende løsning. Først sendes 2-1 en første initiatorpakke I1 som omfatter en vertsidentitetsetikett HIT-I til HIP-initiatoren UE fra brukerterminalen UE (det vil si en HIP-initiator) til et WLAN tilgangspunkt AP. I1-pakken videresendes 2-2 fra tilgangspunktet AP til en HIP-responder HIP-R (det vil si WLAN-autentiserer). På grunnlag av I1 anmoder HIP-responderen informasjon på et hjemmenett av brukerterminalen ved å sende, i en avbildningsanmodning (DNS forespørsel) 2-3, vertsidentitetsetiketten HIT-I til en global navnserver ENUM. I et avbildningssvar 2-4 sendes informasjon på hjemmenettet (f. eks. REALM) CN fra ENUM til HIP-R. På grunnlaget av avbildningssvaret sendes en første autentiseringsforespørsel 2- fra HIP-R til en autentiserings-, autoriserings- og kontoserver AAAH til hjemmenettet, hvor anmodningen 2- angir HIT-I. Anmodningen 2- kan også omfatte en vertsidentitetsetikett til HIPresponderen, det vil si HIT-R. Når den første autentiseringsforespørselen er mottatt 2-6 i AAAH, er AAAH innrettet til å kontrollere 2-6 hvorvidt HIT-I er gyldig eller ikke. Dersom HIT-I er funnet til å være gyldig, sendes en autentiseringsutfordring 2-7 fra AAAH til HIP-R. På grunnlaget av autentiseringsutfordringen genererer HIP-R 2-8 en første responderpakke R1 og sender 2-9, 2- den, gjennom AP, til brukerterminalen UE. Den første responderpakken R1 kan omfatte informasjon om respon-

7 dervertsidentitetsetiketten HIT-R. Etter å ha mottatt meldingen 2- i UE, oppretter og sender UE 2-11 en andre initiatorpakke 12 gjennom AP til HIP-R. På grunnlaget av I2 sendes en andre autentiseringsforespørsel 2-13 fra HIP-R til AAAH, hvor anmodningen 2-13 angir HIT-I. Anmodningen 2-13 kan også omfatte respondervertsidentitetsetiketten HIT-R. Når den andre autentiseringsforespørselen er mottatt 2-14 i AAAH, er AAAH innrettet til å kontrollere 2-14 hvorvidt HIT-I er gyldig eller ikke. Dersom HIT-I er funnet til å være gyldig, sendes et autentiseringssvar 2-1 fra AAAH til HIP-R. På grunnlaget av autentiseringssvaret genererer HIP-R 2-16 en andre responderpakke R2 og sender 2-17 den til AP. Den andre responderpakken R2 omfatter informasjon om respondervertsidentitetsetiketten HIT-R. På grunnlaget av R2 utledes lag-2 (L2) kryptografiske nøkler i AP i trinn Ved dette punktet er på denne måten blitt inngått en forbindelse mellom UE og HIP-R. I melding 2-19 sendes den andre responderpakken R2 til UE. På grunnlag av R2, L2 utledes kryptografiske nøkler i UE i trinn 2-. Etter dette er tilkoblingen 2-21 mellom UE og HIP-R sikret. [00] Figur 3 illustrerer funksjonen av en nettverksautentiserer (det vil si en HIPresponder HIP-R) i henhold til en utførelsesform av foreliggende løsning. I trinn 3-1, mottas en første initiatorpakke I1 som omfatter en vertsidentitetsetikett HIT-I til HIP-initiatoren UE fra et WLAN tilgangspunkt AP. På grunnlaget av I1 anmoder HIP-responderen 3-2 informasjon om et hjemmenett av brukerterminalen UE ved å sende, i en avbildningsanmodning (DNS-forespørsel), vertsidentitetsetiketten HIT-I til en global navnserver ENUM. Et avbildningssvar som omfatter informasjon om hjemmenettet (f. eks. REALM) mottas 3-3 fra ENUM. På grunnlaget av avbildningssvaret sendes en første autentiseringsforespørsel 3-4 til en autentiserings-, autoriserings- og kontoserver AAAH til hjemmenettet CN, hvor anmodningen angir HIT-I. Anmodningen kan også omfatte en vertsidentitetsetikett til HIP-responderen, det vil si HIT-R. Etter dette mottas en autentiseringsutfordring 3- fra AAAH. På grunnlaget av autentiseringsutfordringen genererer HIP-R 3-6 en første responderpakke R1 og sender 3-7 den til AP. Den første responderpakken R1 kan omfatte informasjon om respondervertsidentitetsetiketten HITR. I trinn 3-8 mottas en andre initiatorpakke I2 fra AP. På grunnlaget av 12 sendes en andre autentiseringsforespørsel 3-9 fra HIP-R til AAAH, hvor anmodningen angir HIT-I. Anmodningen kan også omfatte respondervertsidentitetsetiketten HIT-R. Etter dette mottas et autentiseringssvar 3- fra AAAH. På grunnlaget av autentiseringssvaret genererer HIP-R 3-11 en andre responderpakke R2 og sender 3-12 den til AP. Den andre responderpakken R2 omfatter informasjon om respondervertsidentitetsetiketten HIT-R.

8 [0021] Figur 4 illustrerer funksjonen av en autentiserings-, autoriserings- og kontoserver AAAH i et hjemmenett CN av en brukerterminal UE, i henhold til en utførelsesform av foreliggende løsning. Først mottas en første autentiseringsforespørsel fra HIP-R, hvor anmodningen angir en vertsidentitetsetikett HIT-I til brukerterminalen. Anmodningen kan også omfatte en vertsidentitetsetikett HIT-R til HIP-responderen. Når den første autentiseringsforespørselen er mottatt i AAAH, er AAAH innrettet til å kontrollere 4-2 hvorvidt HIT-I er gyldig eller ikke. Dersom HIT-I er funnet til å være gyldig, sendes en autentiseringsutfordring 4-3 fra AAAH til HIP-R. Dersom HIT-I ikke er funnet til å være gyldig, kan prosessen slutte eller en melding (ikke vist) kan bli sendt til HIP-R, for å informere HIP-R om en ugyldig HIT-I. I trinn 4-4 mottas en andre autentiseringsforespørsel fra HIP-R, hvor anmodningen angir HIT-I. Anmodningen kan også omfatte respondervertsidentitetsetiketten HIT-R. Når den andre autentiseringsforespørselen er mottatt 4-4 i AAAH, er AAAH innrettet til å kontrollere 4- hvorvidt HIT-I er gyldig eller ikke. Dersom HIT-I er funnet til å være gyldig, sendes et autentiseringssvar 4-6 fra AAAH til HIP-R. [0022] Foreliggende oppfinnelse muliggjør det for en nettverksnode (f. eks. en HIPresponder) å erverve informasjon om vertsidentitetetikettene og vertsidentitetene, uten at nettverksnoden må vedlikeholde informasjon på alle vertsidentitetsetiketter og/eller vertsidentiteter. Foreliggende oppfinnelse tillater på denne måten en dynamisk forbindelse mellom vertsidentitetsetiketter (HIT) og tilhørende REALM-er ved å utnytte HIP. Ved hjelp av sikkerhetsdomenen (REALM) kan et hjemmenett til en anropende brukerterminal bli lokalisert siden hjemmenettet er i stand til å erkjenne vertsidentitetsetiketten og vertsidentifikatoren som brukes. Ved hjelp av oppfinnelsen er en HIP-responder i stand til å assosiere vertsidentitetsetiketten til en REALM. Informasjon om vertsidentitetsetiketten og vertsidentitet til brukerterminalen lagres i hjemmenettet. For eksempel, dersom HIP brukes på WLAN for å erstatte en X-protokoll må HIP-responderen være i stand til å finne, på grunnlaget av responderen HIT, hjemmenettet til HIP-initiatoren (det vil si klienten) og AAA-serveren hvorfra HIP-responderen kan hente informasjonen som trengs til å utføre en basebytte i henhold til HIP-protokollen. HIT kan være en ikke-routet IPV6- liknende 128- bit identifikator i henhold til Orchid-definisjoner. Foreliggende oppfinnelse definerer en skalerbar løsning for et vagabunderende miljø for å assosiere HIT til REALM og på denne måte til hvilken som helst tjerner/tjeneste. I foreliggende løsning avbildes HIP-rollene på toppen av WLAN-arkitekturen slik at en HIPinitiator tilsvarer en WLAN-stasjon/søker, en WLAN-basestasjon tilsvarer et hvilket som helst gjennomgangs- WLAN-tilgangspunkt, en HIP-responder tilsvarer en

9 8 WLAN-autentiserer, og AAA (autentisering, autorisering og kontoføring) tilsvarer, for eksempel, til en AAA&EAP (utvidbar autentiseringsprotokoll) -server. [0023] Ideen bak oppfinnelsen er å frembringe en dynamisk HIP-responder-konfigurasjon til å assosiere HIT til REALM. I oppfinnelsen, er HIP-responderen i forbindelse med en I1-pakke i stand til å finne den rette REALM, for å finne AAAH. I det følgende er REALM representert ved "@aaah". I oppfinnelsen utnytter HIP-responderen DNS. Hver HIT er gitt til ENUM-DNS, og assosiasjonen HIT-> REALM utføres ved hjelp av en ENUM-DNS forespørsel. Forespørselen returnerer en NAPTR-RR med et terminalflagg "s" og en adresse ved hjelp av hvilken en SRV- RR kan utspørres for å finne AAAH. Et eksempel for en NAPTR løsning kan være som følger: $ORIGIN a.b.c.d.e.f e164.arpa. ;; order pref flags service regexp replacement IN NAPTR 0 "s" "AAA+D2T" "" aaa.operator.com. 1 2 [0024] Ovenfor stående eksempel definerer følgende aspekter til HIT 0x432 fedcba : SRV-RR i domene aaa.operator.com er forespørt, AAA-server er påkrevd, tjenesten ligger i diameter-tcp. [002] Imidlertid kan det faktum, at topp-nivå-domenet (TLD).e164.arpa. allerede er i bruk, medføre kollisjoner i systemet. Derfor kan et topp-nivå domenet (TLD) annet enn e164.arpa. benyttes. For eksempel kunne et fiktivt TLD hit.arpa. brukes. [0026] I et annet eksempel er systemet konfigurert til å utnytte det eksisterende.e164.arpa.-tld på en slik måte som er bakover-kompatibel. Dette krever at det er reservert, for HIP, en egen "landskode" i E.164-rommet. Landskoden kunne være f. eks På denne måten, med 164.arpa.-TLD, fremskaffes et TLD e164.arpa. reservert for HIP. [0027] NAPTR-ORIGIN kunne også være av en annen type enn de som brukes av ENUM. NAPTR-tjeneste kunne også være annet enn "AAA+D2T" og "AAA+D2S" definert av RFC388 diameter-protokoll. Den kunne, for eksempel, være "AAA+ R2T" og "AAA+R2S" dersom man ønsker å bruke et RADIUS protokoll i stedet for diameter.

10 [0028] Oppfinnelsen forbedrer HIP ved å introdusere en mulighet til å kontrollere informasjon om en bruker. Ideen er å kontrollere om en bruker definert av en vertsidentitetsetikett faktisk eksisterer i systemet, og/eller hvorvidt brukeren har en tillatelse til å benytte tjenesten og/eller nettverket det angår. Her er det antatt at WLANtilgangsnettverket i seg selv er pålitelig. Oppfinnelsen tillater for eksempel, at nettverksoperatører kontrollerer datasikkerheten til sine klienter ved å bruke HIP. Dette gjør det mulig for endepunktene å utveksle informasjon om sine vertsidentitetsetiketter for å muliggjøre pålitelig datakommunikasjon mellom dem. [0029] I henhold til en utførelsesform er ikke foreliggende løsning begrenset på anvendelsen av HIP, men også andre teknologier kan benyttes istedenfor eller i tillegg til HIP. [00] I henhold til en utførelsesform omfatter avbildningsforespørselen en telefonnummeravbildning - domenenavnserverforespørsel ENUM-DNS knyttet til et opprettet topp-nivå domenet eller en HIP-spesifikk E.164 landskode reservert for HIP. [0031] De deler og trinn vist i figurene 2, 3 og 4 er forenklet og retter seg bare til å beskrive ideen bak oppfinnelsen. Andre deler kan benyttes og/eller andre funksjoner kan bli utført mellom trinnene. Delene tjener kun som eksempler og de kan kun inneholde noe av informasjonen nevnt over. Delene kan også omfatte annen informasjon, og titlene kan avvike fra de anført ovenfor. I stedet for eller i tillegg til en nettverksautentiserer eller en autentiserings-, autoriserings- og kontoserver kan de ovenfor stående beskrevne operasjonene utføres i et hvilket som helst annet element i et kommunikasjonssystem. [0032] I tillegg til tidligere kjent teknikk omfatter et system, nettverk eller nettverksnoder som implementerer funksjonaliteten ved oppfinnelsen midler for prosessering av informasjon angående autentisering og kryptering på en måte som beskrevet ovenfor. Eksisterende nettverksnoder og brukerterminaler omfatter prosessorer og minne som kan utnyttes i operasjonene bak oppfinnelsen. Hvilke som helst endringer nødvendige for å implementere oppfinnelsen kan bli utført ved å bruke tillegg eller oppdateringer av programvarerutiner og/eller rutiner inkludert i anvendelsesspesifikke integrerte kretser (ASIC) og/eller programmerbare kretser, så som EPLDs (Electrically Programmable Logic Devices) eller FPGA-er (Field Programmable Gate Arrays).

11 [0033] Det vil være nærliggende for en fagperson at, når teknologien skrider frem, det oppfinneriske konsept kan implementeres på ulike måter. Oppfinnelsen og sine utførelsesformer er ikke begrenset på eksemplene beskrevet ovenfor men kan variere innenfor omfanget av kravene.

12 11 P a t e n t k r a v Fremgangsmåte for autentisering av en brukerterminal (UE) i et kommunikasjonssystem (S), hvor systemet (S) omfatter en nettverksautentiserer (HIP-R) til et trådløst tilgangsnettverk (WLAN), hvor nettverksautentisereren (HIP- R) mottar minst én initiatorpakke (2-2, 2-12) sendt av brukerterminalen (UE) gjennom et tilgangspunkt (AP), hvor pakken omfatter en vertsidentitetsetikett av brukerterminalen (UE) og karakterisert ved de følgende trinn: å sende, på grunnlaget av initiatorpakken, en avbildningsanmodning (2-3) fra nettverksautentisereren (HIP-R) til en navnserver (ENUM); å motta, i nettverksautentisereren (HIP-R), et avbildningssvar (2-4) fra navnserveren (ENUM), hvor avbildningssvaret (2-4) omfatter informasjon om en hjemmenettserver (AAAH) av brukerterminalen (UE); å sende, fra nettverksautentisereren (HIP-R) til hjemmenettserveren (AAAH), en autentiseringsanmodning (2-, 2-13) på grunnlaget av avbildningssvaret (2-4), hvor autentiseringsanmodningen (2-, 2-13) videre angir vertsidentitetsetiketten av brukerterminalen (UE); og kontrollere (2-6, 2-14), i hjemmenettserveren (AAAH), vertsidentitetsetiketten av brukerterminalen (UE); hvor, dersom vertsidentitetsetiketten til brukerterminalen (UE) er tillatt for hjemmenettserveren (AAAH), fremgangsmåten omfatter å sende et autentiseringssvar (2-7, 2-1) fra hjemmenettserveren (AAAH) til nettverksautentisereren (HIP-R); å generere (2-8, 2-16) i nettverksautentisereren (HIP-R) minst én responderpakke på grunnlaget av autentiseringssvaret (2-7, 2-1); og å sende til brukerterminalen (UE) den minst ene responderpakken (2-, 2-19) inkludert en vertsidentitetsetikett av nettverksautentisereren (HIP-R). 2 Fremgangsmåte ifølge krav 1,

13 12 karakterisert ved å bruke vertsidentitetsetiketten av brukerterminalen (UE) og vertsidentitetsetiketten til nettverksautentisereren (HIP-R) for å autentisere brukerterminalen (UE). 3 Fremgangsmåte ifølge krav 1 eller 2, karakterisert ved å utnytte en HIP-protokoll for å autentisere brukerterminalen (UE) i et trådløst lokalnett WLAN. 4 Fremgangsmåte ifølge krav 1, 2 eller 3, karakterisert ved at vertsidentitetsprotokollen HIP anvendes mellom brukertermi- nalen (UE) og nettverksautentisereren (HIP-R). 1 Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til 4, karakterisert ved at autentiserings-, autoriserings- og kontoføringsprotokoll AAA anvendes mellom nettverksautentisereren (HIP-R) og hjemmenettserveren (AAAH). 6 Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til, karakterisert ved at den omfatter en HIT-responder i nettverksautentisereren (HIP- R) og/eller en HIT-initiator i brukerterminalen (UE). 7 Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til 6, karakterisert ved at avbildningsforespørselen (2-3) omfatter en telefonnummeravbildning - domenenavnserverforespørsel ENUM-DNS knyttet til et opprettet toppnivå-domenet eller en HIP-spesifikk E.164 landskode reservert for HIP. 2 8 Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til 6, karakterisert ved at avbildningsforespørselen (2-3) omfatter en serverressurspostforespørsel SRV-RR.

14 13 9 Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til 8, karakterisert ved at avbildningssvaret (2-4) omfatter en navngivingsautoritetspeker NATPR. Fremgangsmåte ifølge et hvilket som helst ett av kravene 1 til 9, karakterisert ved at det omfatter å assosiere en vertsidentitetsetikett HIT av brukerterminalen (UE) med et sikkerhetsdomene REALM for å finne en autentiseringsserver (AAAH) til hjemmenettet (CN) til brukerterminalen (UE) Et kommunikasjonssystem (S) som omfatter en brukerterminal (UE), en nettverksautentiserer (HIP-R) av et trådløst tilgangsnettverk (WLAN), og en hjemmenettserver (AAAH) til brukerterminalen (UE), kjennetegnet av at systemet (S) er konfigurert til å sende fra brukerterminalen (UE) til nettverksautentisereren (HIP-R) minst én initiatorpakke som omfatter en vertsidentitetsetikett av brukerterminalen (UE) og karakterisert ved at det er konfigurert til å: sende på grunnlag av en første initiatorpakke sendt av brukerterminalen (UE), en avbildningsanmodning fra nettverksautentisereren (HIP-R) til en navnserver (ENUM); motta i nettverksautentisereren (HIP-R) et avbildningssvar fra navnserveren (ENUM), hvor avbildningssvaret omfatter informasjon om hjemmenettserveren (AAAH) til brukerterminalen (UE); sende fra nettverksautentisereren (HIP-R) til hjemmenettserveren (AAAH) minst én autentiseringsforespørsel på grunnlaget av nevnte informasjon, hvor autentiseringforespørselen angir vertsidentitetsetiketten til brukerterminalen (UE); og kontrollere, i hjemmenettserveren (AAAH), vertsidentitetsetiketten til brukerterminalen (UE); kjennetegnet av at dersom vertsidentitetsetiketten er tillatt for hjemmenettserveren (AAAH), er systemet (S) konfigurert til å sende minst én autentiseringssvar fra hjemmenettserveren (AAAH) til nettverksautentisereren (HIP-R);

15 14 generere i nettverksautentisereren (HIP-R) minst én responderpakke på grunnlaget av autentiseringssvaret, hvor pakken omfatter en vertsidentitetsetikett av nettverksautentisereren (HIP-R); og sende fra nettverksautentisereren (HIP-R) til brukerterminalen (UE) den minst ene responderpakken. 12 Et kommunikasjonssystem (S) ifølge krav 11, karakterisert ved at det er innrettet til å benytte vertsidentitetsetiketten av brukerterminalen (UE) og vertsidentitetsetiketten til nettverksautentisereren (HIP-R) for å autentisere brukerterminalen (UE) Et kommunikasjonssystem (S) ifølge krav 11 eller 12, karakterisert ved at det er innrettet til å assosiere en vertsidentitetsetikett HIT til et sikkerhetsdomene REALM for å finne en autentiseringsserver (AAAH) til hjemmenettet (CN) til brukerterminalen (UE).

16 1/4

17 2/4

18 3/4

19 4/4