SIKRET DATAOVERFØRING I KOMMUNIKASJONSSYSTEM



Like dokumenter
(12) Oversettelse av europeisk patentskrift

Sikret dataoverføring i kommunikasjonssystem I kraft EP patent gjort gjeldende i Norge EP patent besluttet gjeldende i Norge

Forelesning 4: Kommunikasjonssikkerhet

(12) Oversettelse av europeisk patentskrift

(12) Oversettelse av europeisk patentskrift

NORGE. Patentstyret (12) SØKNAD (19) NO (21) (13) A1. (51) Int Cl. G06Q 20/00 ( )

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

Lagene spiller sammen

VEDLEGG A LEVERANSEBESKRIVELSE

signalstyrken mottatt fra mini-bts-laveffektsstasjonen, å registrere signalstyrken mottatt

(12) PATENT (19) NO (11) (13) B1 NORGE. (51) Int Cl. Patentstyret

(12) Oversettelse av europeisk patentskrift

Fremgangsmåte for analyse av et ad hoc-nettverk, og elektronisk apparat

wslan wireless sensor Local Area Network

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Kapittel 5 Nettverkslaget

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Sentralisert Node

Patent i Norge nr FMC Kongsberg Subsea AS

Introduksjon Bakgrunn

TDT4110 IT Grunnkurs: Kommunikasjon og Nettverk. Læringsmål og pensum. Hva er et nettverk? Mål. Pensum

Honeywell OneWireless

Kommunikasjonsbærere Mobil/GPRS. Toveiskommunikasjon EBL temadager Gardermoen mai 2008 Harald Salhusvik Jenssen gsm.

TDT4102 Prosedyre og Objektorientert programmering Vår 2014

TJENESTEBESKRIVELSE IP VPN

Teori om sikkerhetsteknologier

Kryptoløsninger I Hjemmekontor Og Mobile Klienter

GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag

Informasjon om din trådløse forbindelse

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

MAI 2016 ALTIBOX WIFI PLUSS INSTALLASJONS- OG BRUKERVEILEDNING

(12) Oversettelse av europeisk patentskrift

Trådløse Systemer. Arild Trobe Engineering Manager. Trådløse Systemer for å løse.. dette?

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Lokal Node (VPN)

NORGE. Patentstyret (12) SØKNAD (19) NO (21) (13) A1. (51) Int Cl.

Utredningen om muligheten for individuelt abonnentvalg i kringkastings- og kabelnett

Installeringsveiledning for WiFi Booster for mobil WN1000RP

Standarder for sikker bruk av VPN med og i offentlig sektor

(12) Oversettelse av europeisk patentskrift

Bredbånds-WWAN: hva innebærer dette for mobile databrukere?

Forsvaret vil bruke alle nett. Kennet Nomeland, Radioarkitekt

INF3430/4431. Kretsteknologier Max. kap. 3

figur 6 er et strukturelt blokkdiagram av en mobil styreinnretning ifølge en utførelsesform

Guide for tilkobling til HIKT s Citrix løsning

(12) Oversettelse av europeisk patentskrift

6105 Windows Server og datanett

6105 Windows Server og datanett

PRODUKTBESKRIVELSE INFRASTRUKTUR. NRDB Internett

Brukerhåndbok AE6000. Trådløs mini-usb-adapter AC580 to bånd

Trådløs Brukerhåndbok

Model Driven Architecture (MDA) Interpretasjon og kritikk

Avtale om Bitstrøm: Vedlegg C Bitstrøm NNI Produktblad

INF329,HØST

Norsk versjon. Innledning. Installasjon av hardware. Installasjon Windows XP. LW057V2 Sweex trådløst LAN PCI kort 54 Mbps

(12) PATENT (19) NO (11) (13) B1 NORGE. (51) Int Cl. Patentstyret

(12) Oversettelse av europeisk patentskrift

Brukerveiledning Linksys E2500

Avansert oppsett. I denne manualen finner du informasjon og veiledning for avansert oppsett av din Jensen AirLink ruter.

Oppfinnelsens område. Bakgrunn for oppfinnelsen

Kapittel 10 Tema for videre studier

Innledende Analyse Del 1.2

Forord. Brukerveiledning

(12) Oversettelse av europeisk patentskrift

DIR-635 TRÅDLØS ROUTER. Brukerveiledning for D-Link DIR-635

(12) Oversettelse av europeisk patentskrift

Integrasjon og nettverk

Veiledning for aktivering av. Mobil Bredbåndstelefoni

Bakgrunn Adresser. IPv6. Gjesteforelesning ved Høgskolen i Gjøvik i faget IMT2521 Nettverksadministrasjon del 1. Trond Endrestøl. Fagskolen i Gjøvik

Forsvaret vil bruke alle nett. Kennet Nomeland, Radioarkitekt

GRICtraveler TM. Corporate Remote Access Den manglende brikken i en global løsning. Global Internett aksess til lokal takst

Datamaskinens oppbygning og virkemåte

BORBESKYTTER FOR EN RØRHENGER SAMT ANVENDELSE AV DENNE.

Hovedprosjekt 2009 Polar Circle AS

BIPAC 7100SG/7100G g ADSL Router. Hurtigstartguide

(12) PATENT (19) NO (11) (13) B1. (51) Int Cl. NORGE. Patentstyret

(12) Oversettelse av europeisk patentskrift

Kom i gang med TI-Nspire Navigator NC Teacher Software - IT-administratorer

5 Tips til flytting av IT-systemer.

(12) PATENT (19) NO (11) (13) B1 NORGE. (51) Int Cl. Patentstyret

Del 1: Overgang fra gammel hjemmeside til ny hjemmeside

Kravspesifikasjon, digitale skilter. Utkast v4 25/9-2015

Nettverkslaget. Fragmentering/framsending Internetworking IP

EVPN/VXLAN - et fleksibelt campus kjernenett. Hans Kristian Eiken, Systems Engineer

SAA/VIN E38374 I NO. Interdigital Technology Corporation 300 Delaware Avenue, Suite 527, Wilmington DE USA

Dagens temaer. Fra kapittel 4 i Computer Organisation and Architecture. Kort om hurtigminne (RAM) Organisering av CPU: von Neuman-modellen

Brukerhåndbok. Linksys PLWK400. Powerline AV Wireless Network Extender Kit

europeisk patentskrift

Mangelen på Internett adresser.

Hvorfor UC workshops??

SonicWALL UTM. Hvorfor man bør oppgradere til siste generasjon SonicWALL brannmur. NSA E-Class serien. NSA serien. TZ serien

Systemet programmeres enkelt uten spesielle hjelpemidler, og egner seg spesielt godt til små og middels store installasjoner.

Deling online. Komme i gang. Åpne Internett-tjenesten. Laste opp filer. Deling online

Redundante linjer fra BKK. Frokostmøte 25. januar 2011 Terje Henneli, BKK Marked

(19) NO (11) (13) B1

PRODUKTBESKRIVELSE. NRDB Opprinnelsesmarkering

AirLink 2200 FAQ. Side 2 Side 2 Side 3 Side 4 Side 6 Side 7 Side 8 Side 10 Side 11 Side 12 Side 13 Side 13 Side 14 Side 15 Side 16 Side 18

(12) Oversettelse av europeisk patentskrift

Jini. Gruppe 1 Martin Skarsaune Bjørn Arne Dybvik Cuong Huu Truong. Definisjon

Trådløst nettverk (kun på enkelte modeller) Brukerhåndbok

Bruksanvisning ST-33. SeekTech. Connecting with. Oversettelse av den originale veiledningen Norsk 1

(12) PATENT (19) NO (11) (13) B1. (51) Int Cl. G01M 3/02 ( ) E21B 41/00 ( ) E21B 15/02 ( ) NORGE.

Transkript:

1 SIKRET DATAOVERFØRING I KOMMUNIKASJONSSYSTEM OPPFINNELSENS OMRÅDE [0001] Den foreliggende oppfinnelsen angår å frembringe en sikret dataoverføringstjeneste til en roamende brukerterminal i et trådløst kommunikasjonssystem. BAKGRUNN FOR OPPFINNELSEN 3 [0002] Forbedrede (enhanced) mobilkommunikasjonsnett, slik som 3GPP Rel-8, Mobil WiMAX og 3GPP2, vil støtte IPv6 proxy-mobil-protokollen som en av mobilitetsløsningene for pakkebasert datatrafikk. IPv6 proxy-mobil-protokollen omfatter en mobiltilgangsportner (MAG Mobility Access Gateway) plassert i aksessnettet, for å gi tilgang til brukerterminaler, og et lokalt mobilitetsanker (LMA local mobility anchor) plassert i hjemmenettet som virker som første hopps-ruteren og gir tilgang til eksterne nett slik som internett. Ifølge IPv6 proxy-mobil-protokollen deler den mobile tilgangsportneren (MAG) og det lokale mobilitetsankeret (LMA) en sikkerhetstilknytning (SA security association). Dette kan for eksempel være en IPSec SA. I hvert aksessnett er det vanligvis flere mobiltilgangsportnere (MAG). I konvensjonell mobil IPv6 eksisterer sikkerhetstilknytningene mellom en hjemmeagent og en brukerterminal. En forskjell mellom proxy-mobil IPv6 og den konvensjonelle mobile IPv6 er at brukerterminalen i den konvensjonelle mobile IPv6 tilhører en abonnent til hjemmeoperatøren, og sikkerhetstilknytningen sjekkes, selv i roamingtilfellene, i løpet av en normal kontroll av kundeforhold. Så sikkerhetstilknytningen (SA) må eksistere uansett. I proxy-mobil IPv6 tilhører ikke mobiltilgangsportneren hjemmenettoperatøren, men en roamingpartner. SA er mellom MAG og LMA, ikke mellom brukerterminalen og LMA. En roamingterminal autentiseres og autoriseres mot hjemmeoperatøren før den tillates tilkobling til MAG, siden LMA stoler på enhver terminal som aksesserer eksterne nett fra en MAG den har en SA med. [0003] Ett av problemene forbundet med arrangementet ovenfor er at det, særlig i roamingtilfeller, er problematisk å håndtere sikkerhetstilknytningene. For eksempel, hvis en operatør har 0 MAG-komponenter og hjemmeoperatøren har 0 roamingpartnere, må det i verste fall finnes 0 000 sikkerhetstilknytninger bare til

2 roaming for hvert lokalt mobilitetsanker (LMA). Disse SAene kommer i tillegg til normale abonnements-saer hjemmeoperatøren har med hver av sine abonnenter. Teknisk er dette et administrativt problem så vel som et skalerbarhetsproblem, særlig i roamingtilfellene. Hver mobiltilgangsportner (MAG) som tas inn i aksessnettet krever en ny sikkerhetstilknytning og verifisering over roamingforbindelsen. I tillegg, hvis operatøren legger til, fjerner og/eller endrer MAG, må roamingpartnerne bli enige om en ny sikkerhetstilknytning (SA) med den tillagte, fjernede eller endrede MAG. En annen ulempe forbundet med dagens løsninger er at de krever et antall statiske konfigureringer. Ettersom hver LMA-MAG-forbindelse krever en egen sikkerhetstilknytning, blir endringer i hjemmenettet snart reflektert i de tilkoblede roamingpartnerne. Hvis noe endres, må sikkerhetstilknytningen oppdateres. Selv om SA mellom MAG og LMA kan opprettes dynamisk, blir denne typen arrangementer gjerne konfigurert statisk i et roamingmiljø. I tilfelle en dynamisk opprettet SA (f.eks. ved å bruke IKEv2 forhandling) gjenstår fortsatt kompleksiteten med distribusjon av akkreditiver. [0004] Mohanty m fl. Performance analysis of a novel architecture to integrate heterogeneous wireless systems (Computer network publishers, Elsevier science publishers, B.V, Amsterdam, vol. 1, no., 28.12.06, s. 9. 1), beskriver en nettsamvirkende agent (NIA network interoperating agent) basert integrert arkitektur for heterogene trådløse systemer. Bruk av en autentiseringsenhet i NIA (AU_NIA) eliminerer behovet for enhver direkte sikkerhetstilknytning/avtale mellom et fremmed nett og et hjemmenett. Så snart brukeren er autentisert, oppretter AU-NIA de sikkerhetstilknytningene/nøklene som kreves mellom forskjellige nettentiteter. [000] GSM-sammenslutningens offisielle dokument IR.34, Inter service provider IP backbone guidelines, versjon 4.1, 31.1.07, s. 1-4, beskriver en sikkerhets- og filtreringsløsning hvor tjenesteleverandører og IPX-leverandører forutsettes å sikre at alle UE IP-datagrammer innkapsles i tunneler for å forhindre at IPX-nettet kan nås av sluttbrukere. [0006] 3GPP TR 33.8, V6.0.0, 1.12.02, s. 1-27 angår autentisering av nettelementer som bruker NDS/IP og er plassert i et domene mellom operatører. For et tilfelle med manuelt distribuerte hemmelige nøkler beskrives en nav-med-eikertilnærming hvor hver operatørs SEG (security gateway sikkerhetsporter) deler en hemmelighet med bare én mellomliggende sikkerhetsportner som tjener som bro for alle SEGene.

3 [0007] US 04/8 706 A1 beskriver en løsning hvor kryptografiske tunneler mellom en kilde og adressatnode har mellomliggende stopp ved én eller flere videresendingsnoder (repeating nodes) brukes til å sende og motta pakker. s. 2A. KORT BESKRIVELSE AV OPPFINNELSEN [0008] Det er således et formål med den foreliggende oppfinnelsen å frembringe en fremgangsmåte, et system og en nettverksnode for å implementere fremgangsmåten for å redusere ulempene ovenfor. Formålene ved oppfinnelsen oppnås med en fremgangsmåte og et arrangement som er karakterisert ved det som fremgår av de selvstendige patentkravene. Foretrukne utførelsesformer av oppfinnelsen fremgår av de uselvstendige patentkravene. [0009] Den foreliggende oppfinnelsen omfatter å introdusere en konsentratornode i et sammenkoblende operatørnett i et kommunikasjonssystem som implementerer en IPv6 proxy-mobil-protokoll. Den foreliggende oppfinnelsen omfatter videre å etablere en første enkelt sikkerhetstilknytning mellom en ankernode plassert i et hjemmeoperatørnett og konsentratornoden, hvor konsentratornoden er en proxynode; å etablere en andre enkelt sikkerhetstilknytning mellom en tilgangsnode plassert i et roamingoperatørnett og konsentratornoden; og å overføre datatrafikk mellom ankernoden og én eller flere brukerterminaler som roamer i roamingoperatørnettet slik at datatrafikken som overføres mellom ankernoden og konsentratornoden sikres ved å bruke den første enkelte sikkerhetstilknytningen og datatrafikken som overføres mellom tilgangsnoden og konsentratornoden sikres ved å bruke den respektive andre enkelte sikkerhetstilknytningen, hvor hjemmeoperatørnettet er hjemmenettet til den ene eller de flere brukerterminalene som representeres av den samme første enkelte sikkerhetstilknytningen mellom konsentratornoden og ankernoden. [00] En fordel med fremgangsmåten og arrangementet ifølge oppfinnelsen er at antall sikkerhetstilknytninger som kreves i systemet kan reduseres vesentlig. I stedet for et stort antall sikkerhetstilknytninger, trenger hjemmenettoperatøren bare å avtale én enkelt SA mellom ankernoden og konsentratornoden for å håndtere roamingtilfellene. KORT BESKRIVELSE AV TEGNINGENE 3 [0011] I det følgende vil oppfinnelsen bli nærmere beskrevet ved hjelp av foretrukne utførelsesformer med henvisning til de vedføyde tegningene, hvor:

4 Figur 1 illustrerer den generelle arkitekturen til et kommunikasjonssystem ifølge en utførelsesform av den foreliggende løsningen; Figur 2 illustrerer signalering ifølge en første utførelsesform av den foreliggende løsningen; Figur 3 illustrerer signalering ifølge en andre utførelsesform av den foreliggende løsningen; Figur 4 er et flytdiagram som illustrerer funksjonaliteten til en ankernode ifølge en utførelsesform av den foreliggende løsningen; Figur er et flytdiagram som illustrerer funksjonaliteten til en tilgangsnode ifølge en utførelsesform av den foreliggende løsningen; Figur 6 er et flytdiagram som illustrerer funksjonaliteten til en konsentratornode ifølge en utførelsesform av den foreliggende løsningen; Figur 7 er et flytdiagram som illustrerer funksjonaliteten til en konsentratornode ifølge en utførelsesform av den foreliggende løsningen. DETALJERT BESKRIVELSE AV OPPFINNELSEN 3 [0012] I det følgende beskrives utførelsesformer av oppfinnelsen med henvisning til et avansert celleinndelt mobilkommunikasjonssystem slik som 3GPP Rel-8, 3GPP2 eller Mobil WiMAX. Det er imidlertid ikke meningen å begrense oppfinnelsen til disse utførelsesformene. Den foreliggende oppfinnelsen kan anvendes i enhver nettverksnode, tilhørende komponent(er) og/eller i ethvert kommunikasjonssystem eller enhver kombinasjon av forskjellige kommunikasjonssystemer i stand til å tilby pakkesvitsjet dataoverføring, slik som 4G, Beyond-3G eller WLAN. Kommunikasjonssystemet kan være et fast kommunikasjonssystem, et trådløst kommunikasjonssystem eller et kommunikasjonssystem som benytter både faste nett og trådløse nett. Protokollene som brukes og spesifikasjonene til kommunikasjonssystemer og nettverksnoder, særlig i mobil og trådløs kommunikasjon, utvikles raskt. Slik utvikling kan kreve ekstra endringer i en utførelsesform. Derfor skal alle ord og uttrykk tolkes bredt, og de er ment å illustrere, ikke begrense, utførelsesformen. Det relevante oppfinneriske aspektet er det som angår funksjonalitet, ikke nettverkselementet eller utstyret hvor det eksekveres. [0013] En sikkerhetstilknytning (SA) viser til en forbindelse mellom to eller flere kommunikasjonsnettentiteter, og beskriver hvordan entitetene vil benytte sikkerhetstjenester for å kommunisere sikkert. Sikkerhetstilknytningen definerer hvilke

3 transformasjoner og algoritmer som brukes i et autentiseringshode eller innkapsler sikkerhetslast for å frembringe sikkerhetstjenester til datatrafikken den bærer. [0014] En GPRS roaming-utvekslingsnett (GRX GPRS roaming exchange) refererer til et sentralisert IP-rutende nett som kobler sammen GPRS-nett (GPRS general packet radio service), og muliggjør en global roamingdekning for trådløse nett, direkte eller gjennom andre GRX-nett. GRX er definert i dokumentet GSMA PRD IR.34. [00] WiMAX (worldwide interoperatibilty for microwave access) referer til en teknologi for trådløse nett som arbeider i samsvar med en IEEE 802.16-standard. WiMAX er en trådløs bydatanetteknologi som tilbyr siste kilometers bredbåndtilgangsforbindelse fra trådløse lokalnett (WLAN) tilgangspunkter til internett. WiMAX er komplementær til WLAN og Wi-Fi (wireless fidelity), og gir økt båndbredde og en bredere trådløs dekning. [0016] Den foreliggende løsningen er basert på ideen å introdusere en konsentratornode, slik som et IPv6 proxy-mobil-nav, i et nett som implementerer IPv6 proxy-mobil-protokollen. Den foreliggende løsningen muliggjør en nav/proxy-løsning som bruker IPv6 proxy-mobil-protokollen til å koble sammen nett hvor roamingdatatrafikk overføres over IPv6 proxy-mobil-protokollen. Den foreliggende løsningen introduserer et IPv6 proxy-mobil-nav i det sammenkoblende nettet, og håndteres av den foretrukne operatøren av det sammenkoblende nettet. Her refererer det sammenkoblende nettet til, for eksempel, et GPRS roaming-utvekslingsnett (GRX) eller dets videreutviklinger slik som IPX (Internet packet exchange som definert i GSMA PRD IR.34). Den foreliggende løsningen er basert på ideen at en hjemmenettoperatør har en enkelt forbindelse til navet, og navet er forbundet med roamingpartnerens mobiltilgangsportner (MAG). Dermed er roamingforbindelsene bak et enkelt nav hos, for eksempel, GRX-nettleverandøren når IPv6 proxy-mobilprotokollen brukes. Plasseringen av navet er ikke bundet til GRX, selv om det er et egnet sted å utplassere en slik navnode. IPv6 proxy-mobil-navet ifølge den foreliggende løsningen fremstår logisk som en mobiltilgangsportner (MAG) for et lokalt mobilitetsanker (LMA) plassert i hjemmenettet, og det kreves bare en enkelt sikkerhetstilknytning mellom LMA og navet. Resten av trafikken er innrettet slik at en ytterligere sikkerhetstilknytning avtales mellom navet og mobiltilgangsportneren (MAG). Tilsvarende fremstår IPv6 proxy-mobil-navet som LMA for MAG. En enkelt SA trengs også i dette tilfellet mellom navet og MAG. Flere IPv6 proxy-mobil-nav kan kobles sammen (kjedes) med hverandre og slik danne et nav (maske) nett. [0017] I det følgende vil utførelsesformer av den foreliggende løsningen bli beskrevet med henvisning til de vedlagte tegningene.

6 3 [0018] Figur 1 illustrerer et kommunikasjonssystem S ifølge en utførelsesform. I figur 1 omfatter systemet S minst én brukerterminal UE1-2, UE1-3, UE1-4, UE1-, som kan være f.eks. en mobilterminal eller en trådløs terminal slik som en mobiltelefon (mobil stasjon), en personlig digital assistent (PDA), et spillkonsoll, en laptop eller lignende i stand til å arbeide i et pakkesvitsjet kommunikasjonsnett. Systemet S omfatter videre minst ett aksessnett N1, N2, N3, N4, N slik som et trådløst lokalnett (WLAN) eller et radioaksessnett (RAN) i et mobilnett. Her forutsettes at aksessnettene N1, N2, N3, N4, N driftes av forskjellige nettverksoperatører, der aksessnettet N1 er hjemmeoperatørnettet til brukerterminalen UE1-2, UE1-3, UE1-4, UE1- og omfatter et lokalt mobilitetsanker LMA1 (også kalt en ankernode). I situasjonen vist i figur 1, roamer brukerterminalen UE1-2 i aksessnettet N2, brukerterminalen UE1-3 roamer i aksessnettet N3, brukerterminalen UE1-4 roamer i aksessnettet N4 og brukerterminalen UE1- roamer i aksessnettet N. Aksessnettet N2, N3, N4, N (også kalt et roamingoperatørnett) omfatter minst én tilhørende mobiltilgangsportner (også kalt aksessnode) MAG2, MAG3, MAG4, MAG for å gi tilgang til brukerterminalen UE1-2, UE1-3, UE1-4, UE1- gjennom det tilhørende aksessnettet N2, N3, N4, N. Her antas at aksessnodene MAG2, MAG3, MAG er i stand til å koble seg mot LMA1 gjennom et første GPRS roaming-utvekslingsnett GRXa. Det antas videre at aksessnodene MAG4, MAG er i stand til å koble seg mot LMA1 gjennom en kombinasjon av det første GPRS roaming-utvekslingsnettet GRXa og et andre GPRS roaming-utvekslingsnett GRXb. Det første GPRS roaming-utvekslingsnettet GRXa omfatter en første konsentratornode Ha (slik som et IPv6 proxy-mobil-nav) ifølge den foreliggende løsningen, og det andre GPRS roaming-utvekslingsnettet GRXb omfatter en andre konsentratornode Hb (slik som et IPv6 proxy-mobil-nav) ifølge den foreliggende løsningen. I figur 1 er en første sikkerhetstilknytning SA1 ifølge oppfinnelsen etablert mellom LMA1 og Ha, og en andre sikkerhetstilknytning SA2, SA3, SA4, SA ifølge oppfinnelsen etablert mellom henholdsvis 1) Ha og MAG2, 2) Ha og MAG3, 3) Hb og MAG4, 4) Hb og MAG. Den roamende brukerterminalen UE1-2, UE1-3, UE1-4, UE1- kan få tilgang til eksterne nettverksressurser E gjennom sitt hjemmenett N1 ved å bruke den første sikkerhetstilknytningen SA1 og den passende andre sikkerhetstilknytningen SA2, SA3, SA4, SA. Figur 1 viser en forenklet versjon av nettstrukturen som bare illustrerer komponentene som er viktig for å illustrere den foreliggende løsningen, selv om fagkyndige på området naturligvis vet at et generelt kommunikasjonssystem også omfatter andre funksjoner og strukturer som ikke behøver nærmere beskrivelse her. Nettnoden LMA1 kan omfatte ethvert nettverkselement drevet av en hjemmenettoperatør for å levere mobilitet til

7 3 brukerterminalen, slik som en GGSN (gateway GPRS support node), PDN-GW (packet data network gateway) eller enhver hjemmeagent med IPv6 proxy-mobil-egenskaper. Nettverksnodene MAG2, MAG3, MAG4, MAG kan omfatte ethvert nettverkselement drevet av en roamingnettoperatør for å spore brukerterminalen i roamingnettet. MAG fungerer også som en nettilgangsterminal for terminalen, og terminalen må autentiseres/autoriseres gjennom MAG for hjemmeoperatørnettet. Det kan være flere alternativer for å utføre autentiseringen og/eller autoriseringen avhengig av tilgangsteknologien. For eksempel kan en EAP-basert autentisering utføres i forbindelse med WiMAX, hvor MAG (dvs. ASN-GW i WiMAX) virker som autentikatoren og videresender autentiseringen til en AAA (autentisering, autorisering, avregning) server hos hjemmeoperatøren ved å bruke en valgt AAA-protokoll. Nettverksnodene Ha, Hb kan omfatte ethvert nettverkselement drevet av en operatør for et sammenkoblende nett for å frembringe en forbindelse mellom aksessnett og sammenkoblende nett, slik som et nav. Navet kan altså omfatte en ruterfunksjonalitet, en IPSec GW-funksjonalitet og sannsynligvis også en AAA-klientfunksjonalitet. Selv om hver nettverksnode LMA1, MAG2, MAG3, MAG4, MAG, Ha, Hb har blitt fremstilt som én enhet, kan forskjellige moduler og minne implementeres i én eller flere fysiske eller logiske enheter. [0019] Figurene 2 og 3 illustrerer signalering ifølge utførelsesformer av den foreliggende løsningen. [00] Ifølge en første utførelsesform av den foreliggende løsningen, med henvisning til figur 2, etableres 2-1 en første sikkerhetstilknytning SA1 mellom det lokale mobilitetsankeret LMA1 (ankernoden) plassert i kjemmeoperatørnettet N1 til brukerterminalen UE1-2 og konsentratornoden Ha (IPv6 proxy-mobil-navet) plassert i det sammenkoblende operatørnettet GRXa. En andre sikkerhetstilknytning SA2 etableres 2-2 mellom konsentratornoden Ha plassert i det sammenkoblende operatørnettet GRXa og mobiltilgangsportneren MAG2 (aksessnoden) plassert i roamingoperatørnettet N2. Under etableringen kan nettverksnodene LMA1 og Ha, og Ha og MAG2 utveksle informasjon om hvilken type sikkerhetsprotokoll som skal brukes for det aktuelle hjemmenettet og roamingnettet. Enhver eksisterende signaleringsprosedyre kan benyttes når sikkerhetstilknytningen SA1, SA2 er etablert. Brukerterminalen UE1-2 (plassert i N2) overfører 2-3 datatrafikk adressert til det eksterne nettet E. Data mottas i aksessnoden MAG2, som videresender 2-4 dataene til konsentratornoden Ha ved å benytte den andre sikkerhetstilknytningen SA2 ifølge den første utførelsesformen av den foreliggende løsningen. Dataene mottas i konsentratornoden Ha, som videresender 2- dataene til ankernoden LMA1 ved å

8 3 benytte den første sikkerhetstilknytningen SA1 ifølge den første utførelsesformen av den foreliggende løsningen. Etter hvert som datatrafikken mottas i ankernoden LMA1, videresender 2-6 ankernoden LMA1 dataene til det eksterne nettet E (f eks internett). I meldingen 2-7 overføres datatrafikk adressert til den roamende brukerterminalen UE1-2 fra det eksterne nettet E til ankernoden LMA1. Dataene mottas i LMA1, som videresender 2-8 dem til konsentratornoden Ha ved å benytte den første sikkerhetstilknytningen SA1 ifølge den første utførelsesformen av den foreliggende løsningen. Dataene mottas i konsentratornoden Ha, som videresender 2-9 dem til aksessnoden MAG2 ved å benytte den andre sikkerhetstilknytningen SA2 ifølge den første utførelsesformen av den foreliggende løsningen. Etter hvert som datatrafikken mottas i aksessnoden MAG2, videresender 2- MAG2 dataene til brukerterminalen UE1-2. Det bemerkes at dataoverføringen mellom det eksterne nettet E og brukerterminalen UE1-3 utføres på samme måte, men i dette tilfellet er det aksessnoden MAG3 som skal benyttes, og den andre sikkerhetstilknytningen som skal brukes er SA3 (etablert mellom Ha og MAG3). [0021] Ifølge en andre utførelsesform av den foreliggende løsningen, med henvisning til figur 3, etableres 3-1 en første sikkerhetstilknytning SA1 mellom det lokale mobilitetsankeret LMA1 (ankernoden) plassert i kjemmeoperatørnettet N1 til brukerterminalen UE1-4 og den første konsentratornoden Ha (IPv6 proxy-mobil-navet) plassert i det sammenkoblende operatørnettet GRXa. En andre sikkerhetstilknytning SA4 etableres 3-2 mellom den andre konsentratornoden Hb (IPv6 proxy-mobil-navet) plassert i det andre sammenkoblende operatørnettet GRXb og mobiltilgangsportneren MAG4 (aksessnoden) plassert i roamingoperatørnettet N4. Under etableringen kan nettverksnodene LMA1 og Ha, og Ha og MAG2 utveksle informasjon om hvilken type sikkerhetsprotokoll som skal brukes for det aktuelle hjemmenettet og roamingnettet. Enhver eksisterende signaleringsprosedyre kan benyttes når sikkerhetstilknytningen SA1, SA2 er etablert. Brukerterminalen UE1-4 (plassert i N4) overfører 3-3 datatrafikk adressert til det eksterne nettet (E). Dataene mottas i aksessnoden MAG4, som videresender 3-4 dataene til den andre konsentratornoden Hb ved å benytte den andre sikkerhetstilknytningen SA4 ifølge den andre utførelsesformen av den foreliggende løsningen. Dataene mottas i den andre konsentratornoden Hb, som videresender 3- dataene til den første konsentratornoden Ha. Etter hvert som dataene mottas i den første konsentratornoden Ha, videresender 3-6 den første konsentratornoden Ha til ankernoden LMA1 ved å benytte den første sikkerhetstilknytningen SA1 ifølge en utførelsesform av den foreliggende løsningen. Etter hvert som datatrafikken mottas i ankernoden LMA1, videresender 3-7 ankernoden LMA1 dataene til det eksterne nettet

9 3 E (f eks internett). I meldingen 3-8 overføres datatrafikk adressert til den roamende brukerterminalen UE1-4 fra det eksterne nettet E til ankernoden LMA1. Dataene mottas i LMA1, som videresender 3-9 dem til den første konsentratornoden Ha ved å benytte den første sikkerhetstilknytningen SA1 ifølge den andre utførelsesformen av den foreliggende løsningen. Dataene mottas i den første konsentratornoden Ha, som videresender 3- dem til den andre konsentratornoden Hb. Etter hvert som datatrafikken mottas i den andre konsentratornoden Hb, videresender 3-11 den andre konsentratornoden Hb dataene til aksessnoden MAG4 ved å benytte den andre sikkerhetstilknytningen SA2 ifølge den første utførelsesformen av den foreliggende løsningen. Etter hvert som datatrafikken mottas i aksessnoden MAG4, videresender 3-11aksessnoden MAG4 dataene til brukerterminalen UE1-2. Det bemerkes at dataoverføringen mellom det eksterne nettet E og brukerterminalen UE1- utføres på samme måte, men i dette tilfellet er det aksessnoden MAG som skal benyttes, og den andre sikkerhetstilknytningen som skal brukes er SA (etablert mellom Hb og MAG). [0022] Figurene 4,, 6 og 7 illustrerer funksjonaliteten til nettverksnoder ifølge utførelsesformer av den foreliggende løsningen. [0023] Figur 4 illustrerer funksjonaliteten til ankernoden LMA1 (slik som et lokalt mobilitetsanker) ifølge en utførelsesform av den foreliggende løsningen. I figur 4 etableres den første sikkerhetstilknytningen SA1, i trinn 4-1, med den første konsentratornoden Ha (slik som IPv6 proxy-mobil-navet) plassert i det sammenkoblende operatørnettet GRXa. I trinn 4-2 mottas datatrafikk adressert til det eksterne nettet E fra den første konsentratornoden Ha ved å benytte den første sikkerhetstilknytningen SA1. I trinn 4-3 videresendes den mottatte trafikken til det eksterne nettet E. I trinn 4-4 mottas datatrafikk adressert til den roamende brukerterminalen UE1-2, UE1-3, UE1-4, UE1- fra det eksterne nettet E. I trinn 4- videresendes den mottatte datatrafikken til den første konsentratornoden Ha ved å benytte den første sikkerhetstilknytningen SA1. [0024] Figur illustrerer funksjonaliteten til aksessnoden MAG2 (slik som en mobiltilgangsportner) ifølge en utførelsesform av den foreliggende løsningen. I figur etableres den andre sikkerhetstilknytningen SA2, i trinn -1, med konsentratornoden Ha (slik som IPv6 proxy-mobil-navet) plassert i det sammenkoblende operatørnettet GRXa. I trinn -2 mottas datatrafikk adressert til det eksterne nettet E fra den roamende brukerterminalen UE1-2 ved å benytte den andre sikkerhetstilknytningen SA2. I trinn -3 videresendes den mottatte trafikken til det eksterne nettet E. I trinn -4 mottas datatrafikk adressert til den roamende brukerterminalen UE1-2 fra konsentratornoden Ha. I trinn - videresendes den mottatte datatrafikken til

3 brukerterminalen UE1-2 ved å benytte den første sikkerhetstilknytningen SA1. Det bemerkes at funksjonaliteten til MAG3 er implementert tilsvarende, men i det tilfellet er brukerterminalen UE1-3, og den andre sikkerhetstilknytningen er SA3 (etablert mellom Ha og MAG3). Det bemerkes også at funksjonaliteten til MAG4, MAG er implementert tilsvarende, men i de tilfellene er brukerterminalene henholdsvis UE1-4, UE1- og den andre sikkerhetstilknytningen er henholdsvis SA4, SA (etablert mellom Hb og MAG4, MAG). [00] Figur 6 illustrerer funksjonaliteten til konsentratornoden Ha (slik som et IPv6 proxy-mobil-nav) ifølge en første utførelsesform av den foreliggende løsningen. I figur 6 etableres den første sikkerhetstilknytningen SA1, i trinn 6-1, med ankernoden LMA1 (slik som et lokalt mobiltetsanker) plassert i hjemmeoperatørnettet N1 til brukerterminalen UE1-2. I trinn 6-2 etableres den andre sikkerhetstilknytningen SA2 med aksessnoden MAG2 (slik som en mobiltilgangsportner) plassert i roamingoperatørnettet N2. I trinn 6-3 mottas datatrafikk adressert til det eksterne nettet E fra aksessnoden MAG2 ved å benytte den andre sikkerhetstilknytningen SA2. I trinn 6-4 videresendes den mottatte datatrafikken til ankernoden LMA1 ved å benytte den første sikkerhetstilknytningen SA1. I trinn 6- mottas datatrafikk adressert til den roamende brukerterminalen UE1-2 fra ankernoden LMA1 ved å benytte den første sikkerhetstilknytningen SA1. I trinn 6-6 videresendes den mottatte datatrafikken til aksessnoden MAG2 ved å benytte den andre sikkerhetstilknytningen SA2. Det bemerkes at dataoverføringen mellom det eksterne nettet E og brukerterminalen UE1-3 utføres tilsvarende, men i det tilfellet er aksessnoden MAG3 og den andre sikkerhetstilknytningen er SA3 (etablert mellom Ha og MAG3). Det bemerkes også at i den andre utførelsesform av den foreliggende løsningen utføres dataoverføringen mellom det eksterne nettet E og brukerterminalen UE1-4, UE1- tilsvarende, men i de tilfellene mottar den første konsentratornoden Ha datatrafikken adressert til det eksterne nettet E fra den andre konsentratornoden Hb (i stedet for fra aksessnoden), og den første konsentratornoden Ha videresender datatrafikken adressert til den roamende brukerterminalen UE1-4, UE1- til den andre konsentratornoden Hb (i stedet for aksessnoden). [0026] Figur 7 illustrerer funksjonaliteten til den andre konsentratornoden Hn (slik som et andre IPv6 proxy-mobil-nav) ifølge en andre utførelsesform av den foreliggende løsningen. I figur 7 etableres den andre sikkerhetstilknytningen SA4, i trinn 7-1, med aksessnoden MAG4 (slik som en mobiltilgangsportner) plassert i roamingoperatørnettet N4. I trinn 7-2 mottas datatrafikk adressert til det eksterne nettet E fra aksessnoden MAG4 ved å benytte den andre sikkerhetstilknytningen SA4. I trinn

11 3 7-3 videresendes den mottatte datatrafikken til den første konsentratornoden Ha (slik som et IPv6 proxy-mobil-nav)..i trinn 7-4 mottas datatrafikk adressert til den roamende brukerterminalen UE1-4 den første konsentratornoden Ha. I trinn 7- videresendes den mottatte datatrafikken til aksessnoden MAG4 ved å benytte den andre sikkerhetstilknytningen SA4. Det bemerkes at dataoverføringen mellom det eksterne nettet E og brukerterminalen UE1- utføres tilsvarende, men i det tilfellet skal aksessnoden MAG brukes og den andre sikkerhetstilknytningen er SA (etablert mellom Hb og MAG). [0027] Det bemerkes at overføringen av datatrafikk kan innledes fra det eksterne nettet E (i stedet for den roamende brukerterminalen UE1-2, UE1-3, UE1-4, UE1-), i hvilket tilfelle, for eksempel, overføring av meldingene 2-7, 2-8, 2-9, 2- utføres før overføring av meldingene 2-3, 2-4. 2-, 2-6. [0028] Det bemerkes at forbindelsen mellom Ha og Hb, som data sendes igjennom i den andre utførelsesformen, kan implementeres med enhver passende dataoverføringsteknikk. Det bemerkes også at i tillegg til GRXa og GRXb kan ett eller flere sammenkoblende nett om nødvendig involveres i videresending av datatrafikken mellom Ha og Hb. De aktuelle sammenkoblende nettene er da ansvarlig for implementasjon av dataforbindelsen mellom forskjellige sammenkoblende nett. [0029] Et eksempel på datatrafikk fra brukerterminalen til det eksterne nettet er at brukerterminalen sender en tjenesteanmodning om en internettjeneste eller applikasjon. Et eksempel på datatrafikk fra det eksterne nettet til brukerterminalen er at en internettjeneste eller applikasjon anmodet om av brukerterminalen sendes til brukerterminalen. Den foreliggende løsningen kan anvendes på opplinks og/eller nedlinks datatrafikk. Datatrafikken kan for eksempel omfatte musikkfiler, talefiler, datafiler, tale osv. [00] En fordel med oppfinnelsen er at hjemmenettoperatøren bare trenger å avtale en enkelt sikkerhetstilknytning SA1 i hjemmenettet og en enkelt sikkerhetstilknytning SA2 i hvert roamingnett for å tilby sikre dataforbindelser til sine roamende abonnenter ved å bruke IPv6 proxy-mobil-protokollen. [0031] Selv om hjemmenettet har flere roamingpartnere, trenger LMA1 kun å være koblet til en logisk eneste Ha (fra en MAGS synspunkt kommuniserer MAG tilsvarende med ett enkelt nav, selv om trafikk overføres til flere LMAer). SA1 eksisterer mellom LMA1 og Ha (ikke mellom LMA1 og hver av aksessnodene MAG2, MAG3, MAG4, MAG som i konvensjonelle løsninger). Ha og/eller Hb tar seg av roamingforbindelsene og sikkerhetstilknytningene SA2, SA3, SA4, SA med de respektive aksessnodene MAG2, MAG3, MAG4, MAG.

12 3 [0032] Ved hjelp av den foreliggende løsningen kan, på tross av et stort antall brukerterminaler forbundet med tjenesten og IPv6 proxy-mobil-protokollen, alle terminaler (med hjemmenettverk N1) representeres av den samme SA1 mellom Ha og LMA1. I den foreliggende løsningen kuttes en sikkerhetstilknytning i to deler SA1 og SA2 mellom Ha og LMA1, og Ha og MAG2. IPv6 proxy-mobil-protokollen tillater dette siden sikkerhetstilknytningen mellom mobiltilgangsportneren og den lokale ankernoden er en IPSec sikkerhetstilknytning og forbindelsen mellom dem er et IPSec VPN. [0033] I praksis trenger ikke navet Ha, Hb å forstå IPv6 proxy-mobil-protokollen. Navet pakker ut og innkapsler datatrafikk mellom forskjellige IPSec-tunneler. Trafikk i mobile IP-tunneler overføres i IPSec, hvor i tilfelle IPv6 trafikken i mobile IP-tunneler kan overføres normalt, og i tilfelle IPv4 det kan være nødvendig å bruke en ytterligere GRE (generic routing encapsulation generisk rutinginnkapsling) tunnel i IPSec, hvis IPv4 adresser kommer fra privat rom. Brukerplandata overføres inne i den mobile IPtunnelen. Endepunktene til den mobile IP-tunnelen er MAG og LMA, og basert på den kunnskapen, er de IPSec-terminerte navene i stand til å rute trafikk i proxy-mobil IPv6 tunneler i IP-forstand. [0034] Fordeler med den foreliggende løsningen omfatter høy skalerbarhet fra hjemmenettoperatørens synspunkt, og det faktum at endringer i IPv6 proxy-mobilprotokollen ikke er nødvendig. Løsningen tillater enkel håndtering og konfigurering av roamingforbindelser når IPv6 proxy-mobil-teknologi brukes til roaming. Fra operatøren av det sammenkoblende nettes synspunkt muliggjør den foreliggende løsningen en ny drifts- og tjenestemodell i form av IPv6 proxy-mobil-navet, som beskrevet ovenfor. Således kan det sammenkoblende nettet øke lønnsomheten ved å legge til ny intelligens og nye betalbare tjenester i nettet. Den foreliggende løsningen endrer den konvensjonelle roamingmodellen. I den foreliggende løsningen er ikke bilaterale avtaler mellom sluttbrukernes operatører lenger nødvendig, men de som tilhører den samme roaming/sammenkoblingsgruppen kan nå hverandre uten spesielle tiltak. Den foreliggende oppfinnelsen tillater enkel utplassering av multilaterale roamingarrangementer fra operatørens synspunkt. [003] Sikkerhetstilknytningene kan etableres som dynamiske eller statiske sikkerhetstilknytninger. En etablert sikkerhetstilknytning kan være et tidsavhengig sertifikat med en forhåndsbestemt levetid (f.eks. en uke, måned år), og altså kreve en ny ratifisering etter utløpet av sertifikatets gyldighet. En statisk sikkerhetstilknytning sjekkes når den etableres. En dynamisk sikkerhetstilknytning opprettes med en roamende klient som har en ny mobiltilgangsportner. Hvis det ikke er noen roamingbrukere mellom MAG og navet (eller LMA), trengs heller ingen IPSec-tunnel

13 mellom dem. Den første terminalen som autentiseres gjennom MAG til nettet og trenger den aktuelle forbindelsen starter en dynamisk opprettelse av SA mellom MAG og det angjeldende navet (eller LMA). [0036] Det bemerkes at det sammenkoblende nettet, hjemmenettet og/eller roamingnettet i praksis kan eies av det samme selskapet, men de betraktes logisk som forskjellige operatører fra den foreliggende løsningens synspunkt. [0037] Gjenstandene og trinnene vist i figurene er forenklet og tar kun sikte på å beskrive ideen bak oppfinnelsen. Andre gjenstander kan brukes og/eller andre funksjoner kan utføres mellom trinnene. Gjenstandene tjener kun som eksempler og de kan inneholde bare noe av informasjonen nevnt ovenfor. Gjenstandene kan også omfatte annen informasjon, og titlene kan avvike fra de som er brukt ovenfor. Rekkefølgen til gjenstandene og/eller trinnene kan avvike fra den gitte. I stedet for eller i tillegg til en ankernode, konsentratornode, aksessnode og/eller brukerterminal, kan operasjonene beskrevet ovenfor utføres i et hvilket som helst annet element i et kommunikasjonssystem. [0038] I tillegg til midler fra kjent teknikk, omfatter et system eller systemnettnoder som implementerer funksjonaliteten i oppfinnelsen midler for å etablere en sikkerhetstilknytning og for å overføre data ved å bruke den etablerte sikkerhetstilknytningen på en måte beskrevet ovenfor. Eksisterende nettverksnoder og brukerterminaler omfatter prosessorer og minne som kan benyttes ved drift av oppfinnelsen. Eventuelle endringer som kreves for å implementere oppfinnelsen kan utføres ved å bruke supplementer eller oppdateringer av programvarerutiner og/eller rutiner inkludert i applikasjonsspesifikke integrerte kretser (ASIC) og/eller programmerbare kretser, slik som EPLD (electrically programmable logic device) eller FPGA (field programmable gate array). [0039] Det er innlysende for en fagkyndig på området at det oppfinneriske konseptet kan implementeres på ulike måter etter hvert som teknologien utvikles. Oppfinnelsen og dens utførelsesformer er ikke begrenset til eksemplene beskrevet ovenfor, men kan varieres innen omfanget av patentkravene.

14 P a t e n t k r a v 1. Fremgangsmåte for å frembringe en sikkerhetstjeneste til datatrafikk i et kommunikasjonssystem (S) som implementerer IPv6 proxy-mobil-protokollen, der systemet (S) omfatter et hjemmeoperatørnett (N1), et roamingoperatørnett (N2, N3, N4), et sammenkoblende operatørnett (GRXa, GRXb), og én eller flere brukerterminaler (UE1-2, UE1-3, UE1-4), der fremgangsmåten omfatter å etablere minst én operatørspesifikk IPsec sikkerhetstilknytning for å sikre datatrafikk i systemet (S), karakterisert ved at fremgangsmåten omfatter å etablere en første enkelt sikkerhetstilknytning (SA1) mellom en ankernode (LMA1) plassert i et hjemmeoperatørnett (N1) og en konsentratornode (Ha, Hb) plassert i det sammenkoblende operatørnettet (GRXa, GRXb), hvor konsentratornoden (Ha, Hb) er en proxynode; å etablere en andre enkelt sikkerhetstilknytning (SA2, SA3, SA4) mellom en tilgangsnode (MAG2, MAG3) plassert roamingoperatørnettet (N2, N3, N4) og konsentratornoden (Ha, Hb) plassert i det sammenkoblende operatørnettet (GRXa, GRXb); og å overføre datatrafikk mellom ankernoden (LMA1) plassert i hjemmeoperatørnettet (N1) og den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som roamer roamingoperatørnettet (N2, N3, N4) slik at datatrafikken som overføres mellom ankernoden (LMA1) og konsentratornoden (Ha, Hb) sikres ved å bruke den første enkelte sikkerhetstilknytningen (SA1) og datatrafikken som overføres mellom tilgangsnoden (MAG2, MAG3) og konsentratornoden (Ha, Hb) sikres ved å bruke den respektive andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4), hvor hjemmeoperatørnettet (N1) er hjemmenettet til den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som representeres av den samme første enkelte sikkerhetstilknytningen (SA1) mellom konsentratornoden (Ha, Hb) og ankernoden (LMA1). 3 2. Fremgangsmåte ifølge krav 1, karakterisert ved at den første enkelte sikkerhetstilknytningen (SA1) er spesifikk for hjemmeoperatørnettet (N1).

3. Fremgangsmåte ifølge krav 1 eller 2, karakterisert ved at den andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4) er spesifikk for hjemmeoperatørnettet (N1) og roamingoperatørnettet (N2, N3, N4). 4. Fremgangsmåte ifølge krav 1, 2 eller 3, karakterisert ved at å etablere en sikkerhetstilknytning (SA2, SA3, SA4) mellom hjemmeoperatørnettet (N1) og hvert roamingpartnernett (N2, N3, N4) for hjemmeoperatørnettet (N1).. Fremgangsmåte ifølge ett av kravene 1 til 4, karakterisert ved at den første enkelte sikkerhetstilknytningen (SA1) utløper etter en forhåndsbestemt periode. 6. Fremgangsmåte ifølge ett av kravene 1 til, karakterisert ved at den andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4) utløper etter en forhåndsbestemt periode. 7. Fremgangsmåte ifølge ett av kravene 1 til 6, karakterisert ved at å benytte en IPv6 proxy-mobil-protokoll mellom det sammenkoblende operatørnettet og hjemmeoperatørnettet, og mellom det sammenkoblende operatørnettet og roamingoperatørnettet. 3 8. Kommunikasjonssystem (S) som implementerer IPv6 proxy-mobil-protokollen og tilpasset til å frembringe en sikkerhetstjeneste for datatrafikk, der systemet (S) omfatter et hjemmeoperatørnett (N1), et roamingoperatørnett (N2, N3, N4), et sammenkoblende operatørnett (GRXa, GRXb), og én eller flere brukerterminaler (UE1-2, UE1-3, UE1-4), der systemet er innrettet til å etablere minst én operatørspesifikk IPsec sikkerhetstilknytning for å sikre datatrafikk, karakterisert ved at systemet (S) er innrettet til å etablere en første enkelt sikkerhetstilknytning (SA1) mellom en ankernode (LMA1) plassert i et hjemmeoperatørnett (N1) og en konsentratornode (Ha, Hb)

16 plassert i det sammenkoblende operatørnettet (GRXa, GRXb), hvor konsentratornoden (Ha, Hb) er en proxynode; å etablere en andre enkelt sikkerhetstilknytning (SA2, SA3, SA4) mellom en tilgangsnode (MAG2, MAG3) plassert roamingoperatørnettet (N2, N3, N4) og konsentratornoden (Ha, Hb) plassert i det sammenkoblende operatørnettet (GRXa, GRXb); og å overføre datatrafikk mellom ankernoden (LMA1) plassert i hjemmeoperatørnettet (N1) og den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som roamer roamingoperatørnettet (N2, N3, N4) slik at datatrafikken som overføres mellom ankernoden (LMA1) og konsentratornoden (Ha, Hb) sikres ved å bruke den første enkelte sikkerhetstilknytningen (SA1) og datatrafikken som overføres mellom tilgangsnoden (MAG2, MAG3) og konsentratornoden (Ha, Hb) sikres ved å bruke den respektive andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4), hvor hjemmeoperatørnettet (N1) er hjemmenettet til den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som representeres av den samme første enkelte sikkerhetstilknytningen (SA1) mellom konsentratornoden (Ha, Hb) og ankernoden (LMA1). 9. System ifølge krav 8, karakterisert ved at den første enkelte sikkerhetstilknytningen (SA1) er spesifikk for hjemmeoperatørnettet (N1); og den andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4) er spesifikk for hjemmeoperatørnettet (N1) og roamingoperatørnettet (N2, N3, N4). 3. Konsentratornode (Ha, Hb) for et kommunikasjonssystem (S) som implementerer IPv6 proxy-mobil-protokollen og tilpasset til å frembringe en sikkerhetstjeneste for datatrafikk og etablere minst én operatørspesifikk IPsec sikkerhetstilknytning for å sikre datatrafikk, hvor konsentratornoden (Ha, Hb) er plassert i et sammenkoblende operatørnett (GRXa, GRXb), karakterisert ved at konsentratornoden (Ha, Hb) er en proxynode innrettet til å etablere en første enkelt sikkerhetstilknytning (SA1) for sikret datatrafikk med en ankernode (LMA) plassert i et hjemmeoperatørnett (N1); å etablere en andre enkelt sikkerhetstilknytning (SA2, SA3, SA4) for sikret datatrafikk med en tilgangsnode (MAG2, MAG3) plassert i et roamingoperatørnett (N2, N3, N4) og

17 å overføre datatrafikk mellom ankernoden (LMA1) plassert i hjemmeoperatørnettet (N1) og den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som roamer roamingoperatørnettet (N2, N3, N4) slik at datatrafikken som overføres mellom ankernoden (LMA1) og konsentratornoden (Ha, Hb) sikres ved å bruke den første enkelte sikkerhetstilknytningen (SA1) og datatrafikken som overføres mellom tilgangsnoden (MAG2, MAG3) og konsentratornoden (Ha, Hb) sikres ved å bruke den respektive andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4), hvor hjemmeoperatørnettet (N1) er hjemmenettet til den ene eller de flere brukerterminalene (UE1-2, UE1-3, UE1-4) som representeres av den samme første enkelte sikkerhetstilknytningen (SA1) mellom konsentratornoden (Ha, Hb) og ankernoden (LMA1). 11. Konsentratornode (Ha, Hb) ifølge krav, karakterisert ved at den første enkelte sikkerhetstilknytningen (SA1) er spesifikk for hjemmeoperatørnettet (N1). 12. Konsentratornode (Ha, Hb) ifølge krav eller 11, karakterisert ved at den andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4) er spesifikk for hjemmeoperatørnettet (N1) og roamingoperatørnettet (N2, N3, N4). 13. Konsentratornode (Ha, Hb) ifølge krav, 11 eller 12, karakterisert ved at den første enkelte sikkerhetstilknytningen (SA1) utløper etter en forhåndsbestemt periode. 14. Konsentratornode (Ha, Hb) ifølge ett av kravene til 13, karakterisert ved at den andre enkelte sikkerhetstilknytningen (SA2, SA3, SA4) utløper etter en forhåndsbestemt periode.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding