Nothing Special   »   [go: up one dir, main page]

SE510393C2 - Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk - Google Patents

Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk

Info

Publication number
SE510393C2
SE510393C2 SE9702476A SE9702476A SE510393C2 SE 510393 C2 SE510393 C2 SE 510393C2 SE 9702476 A SE9702476 A SE 9702476A SE 9702476 A SE9702476 A SE 9702476A SE 510393 C2 SE510393 C2 SE 510393C2
Authority
SE
Sweden
Prior art keywords
identity
station
list
client station
approved
Prior art date
Application number
SE9702476A
Other languages
English (en)
Other versions
SE9702476L (sv
SE9702476D0 (sv
Inventor
Martin Larsson
Original Assignee
Ericsson Telefon Ab L M
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ericsson Telefon Ab L M filed Critical Ericsson Telefon Ab L M
Priority to SE9702476A priority Critical patent/SE510393C2/sv
Publication of SE9702476D0 publication Critical patent/SE9702476D0/sv
Priority to JP50549499A priority patent/JP2002508121A/ja
Priority to PCT/SE1998/001257 priority patent/WO1999000720A2/en
Priority to AU79515/98A priority patent/AU7951598A/en
Priority to EP98930034A priority patent/EP0991989A2/en
Priority to US09/105,667 priority patent/US6237037B1/en
Publication of SE9702476L publication Critical patent/SE9702476L/sv
Publication of SE510393C2 publication Critical patent/SE510393C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Lock And Its Accessories (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

10 15 20 25 30 510 393 2 "Kärnan" av Intemet består av ett mycket stort antal datorer, fristående eller sarnmankopplade i nätverk, som kan utväxla information direkt huvudsakligen genom att använda något bestämt protokoll, i synnerhet "Transmission Control Protocol/Internet Protocol (TCP/IP)".
Varje dator eller kopplingsanordning i kärnan särskiljes från varandra medelst en IP-adress. IP- adressen består av ett nätverksnumrner. I vissa fall är lP-adressen exklusivt tilldelad en anordning (dator) i andra fall tilldelas lP-adressen en dator temporärt. IP-adressen ger varje ansluten dator/anordning i nätverket en unik identitet.
Datatransmissionen kan, till exempel utföras via fiberoptiska ledningar, satellitanslutningar och telefonledningar.
För närvarande är erhållande av full identifikation av en klient eller en användararbetsstation ansluten eller som försöker att ansluta sig till ett värdsystem inte möjligt. Det är även inte möjligt att på ett enkelt och snabbt sätt att identifiera obehöriga arbetsstationer och därigenom användaren, även om en delvis identifikation är möjligt.
Vid åtkomst till ett nätverk utföres vanligtvis en inloggningsprocedur för äkthetsbestyrkande av användaren. Detta äkthetskontroll fungerar genom att klienten först ger användarnamnet som ska användas för att accessa nätverket. Serviceproducerandeservern svarar då med ett antal äkthetskontrollmetoder vilka som kan accepteras. Klienten sänder sedan en begäran för äkthetskontroll och detta dialogförfarande fortsätter tills en access beviljas eller fömekas. Äkthetskontrollmetodema kan variera från system till system. Några metoder är: ingen kontrollerar om ingen äkthetskontroll är giltig, lösenord en konventionell lösenordsäkthetskontroll, som erfordrar ett lösenord för att accessa, säker identitet säker identitet är en tidsbaserad hårdvarotilldelad identifikation, där användaren inger en tilldelad kod för äkthetskontroll. Även tidsbaserade lösenord och liknande metoder är tillgängliga. Publika nycklar kan nämnas som andra metoder, i vilka innehav av en privet nyckel är äkthetskontroll. 10 15 20 25 30 510 393 3 Stora ansträngningar görs för att utveckla metoder och algoritmer för att sälcra procedurer-na för äkthetskontroll, men inget system är säkrare än dess användare, eftersom lösenord och nycklar kan komma i händerna av icke auktoriserade personer. I Intemet fallet kan även IP-adresser förfalskas, vilket möjliggör åtkomst till nätverket utan problem.
Genom att förfalska IP-adressen är det även möjligt att angripa intemetoperatören, till exempel genom översvämning (flooding) eller liknande. Översvämning är ett förfarande där en oåtkomlig källadress (IP) används mot ett värddator som är målet, vilken försöker att reservera resurser som väntar på ett svar. Angriparen ändrar upprepade gånger den falska källadressen då varje ny accesspaket sänts och således förbrukas ytterligare värdresurser. Om angriparen använder sedan någon giltig adress som källadressen, reagerar det angripna systemet genom att sända ett stort antal svarspaket, vilka till slut resulterar i en försämrad prestanda och även i systemkrasch.
U.S. 5,6l9,65 7 beskriver en metod för att tillhandahålla säkerhetshjälpmedel för ett nätverk av administrationsserverar, genom att använda en databas av "förtroenderelationer" (trust relations) för att bekräfta ömsesidiga relationer mellan administrationsserverarna. Metoden innebär speciellt att skapa konton på ett system över ett nätverk. Administrationsoperationen (MO) innehåller även identiteten för användaren som startar driften _ Genom ett gränssnitt överförs M0 till en avsändare av administrationsservern (MS). Förutom administrering begär MS administrationstjänster tillhandahållna av ett lokalt system och är även ansvarig för dirigering av MO genom säkra vägar till andra lokala system i nätverket och styrning av säkerheten hos det lokala systemet. MS bestämmer ett rätt länksystem genom en databas, vilket upprätthåller förtroenderelationer mellan administrationsserverar. Förtroenderelationslistoma genereras oberoende av utförande av ett kommunikationsprotokoll genom en självständig nätverksfirnktion. Varje MS innehåller en lista. Listoma är indelade i två kategorier, anförtrodda mottagare och anförtrodda avsändare. Baserad på den anförtrodda listan exekveras överföringsoperationema. Kortfattad, så åstadkommer databasen ett medel för dirigering av MO från en MS till en annan MS längs en säker väg bestämd av tillitsrelationerna hos MS vid varje länk i vägen i nätverket som utför MO.
UPPFINNINGENS KÄNNETECKNEN 10 15 20 25 30 510 3.93 4 Det finns ett behov för ett förfarande och en anordning i kommunikationssystem, speciellt i en datomätverk, för att åstadkomma ett enkelt, effektivt och okomplicerat sätt som ökar säkerheten Det finns även ett behov för ett forfarande och en anordning, som tillåter detektering av en otillåtet åtkomstsförsök av en användarstation eller process till en serviceproducerandeenhet eller liknande i ett kommunikationersystem huvudsakligen genom att använda tillgängliga procedurer.
Genom implementering av förfarandet och anordníngen, enligt uppfinningen, ges ett snabbt sätt att spåra de bedragande användarstationernas plats.
Därför innefattar förfarandet, enligt uppfinningen, vid försök att accessa nätverket i fall av en forsta godkänd kontroll av identiteten av en klientstationen, ytterligare steg: att hämta den unika identiteten av varje anordning i kopplingsvägen, genom att sända en identitetsförfrågan, att samla ett responsmeddelande till identitetsförfrågan, vilket omfattar identiteten av åtminstone vane anordning som har en unik identitet sänd av varje anordning som har en identitet och anordnad att svara, att jämföra varje unik identitet av varje anordning och/eller station inkluderad i responsmeddelandet med en lista över godkända identiteter, och att baserad på järnförelseresultatet avvisa eller acceptera accessen.
I ett fördelaktigt utförande innefattar den första verifikationen kontroll av klientstationens identitet och jämförelse av den med en lista av godkända identiteter och/eller antal accesser gjorda av klientstationen. Om klientidentiteten godkänns och en förstagångsaccess upptäcks omfattar förfarandet dessutom stegen av: att hämta den unika identiteten av varje anordning i kopplingsvägen, att framställa en databas för klientstationen för att lagra förbindelsekopplingsvägen, och att inkludera i databasen identiteten av varje anordning som har en unik identitet sänd av varje anordning, som har en identitet och anordnad att svara.
Det är möjligt att identiteten av varje anordning samlas genom att sända en identitetsbegäran och samla responsmeddelanden for identitetsbegäran. Sedan framställes en lista omfattande identiteterna mottagna i responsmeddelandet, där identitetslistan utgör en väglista och listan 10 15 20 25 30 5 1 0 Y 9 3 järnförs med en lista över en godkänd väglista.
I ett utförande utföres jämförelsen av klientstationens identitet med en lista över kända godkända klienter före vägkontrollen, vilken kan genomföras efter vägkontrollen.
I ett fördelaktigt utförandet är kommunikationsnätverket ett datornätverk och den unika identiteten är en IP-adress för klientstationen, värdstationen och åtrninstone någon av kopplingsanordningarna. Företrädesvis är kommunikationsnätverket Intemet.
Kommunikationsnätverket kan även vara Interanet/Extranet.
I ett annat utforingsexempel genereras en alarmsignal i fall en avvisning eller en spårningsprocedur utföres.
I ett utförande sändes en felmeddelandeförfrågan till varje eller alla anordningar och frågar efter identitetskonfliktsfel och/eller andra fel.
Enligt uppfinningen är en säkerhetsanordning anordnad för detektering och/eller spår-ning av en icke auktoriserad användaraccess till ett kommunikationsnätverk. Nätverket omfattar åtminstone en klientstation, åtminstone en basstation och kopplingsanordningar i en väg mellan sagda klientstation och basstation, varje klientstation, basstation och åtminstone någon av kopplingsanordningama är försedda med en unik identitet. Anordningen omfattar organ för kommunikation med basstationen, klientstationen och kopplingsanordningama, minnesenheter för lagring av information, organ för att hämta identiteten av klientstationen vid inloggning, en järnförelseenhet för att järriföra identiteten av användaren med en lagrad identitetslista, organ för att utsända en anordningidentitetsförfrågan, organ för att identifiera och samla svar för förfrågan omfattande unika identiteter och enhet för att jämföra de samlade identiteterna med en lagrad lista över identiteter.
Med fördel är anordningen integrerad i basstationen eller anordnad separat i en övervakningsserver. Kopplingsanordningar kan vara någon en routerar; infrastrukturenheter såsom bryggor, terrninalserverar, mellannätlinjer, brandväggar, repeterare, applíkationsserverar såsom DNS (Domain Name Server), mailhub, nyhetsserverar, FTP-serverar (FTP: File Transfer 10 15 20 25 30 510 393 e Protocol), WWW-serverar (WWW: World Wide Webb), nätverksdriftsystem och kommunikationsserverar.
Ett telekommunikationsnätverk enligt föreliggande uppfinning omfattande en anropsenhet, en eller flera omkopplingsstationer och länkar och en mottagande station kännetecknas av en säkerhetsanordning för detektering och/eller spårning av en icke auktoriserad användare vid anslutning av anrop för anropsenheten, var och av de anropsenhetema, omkopplingsstationerna/lärikama är försedda med en unik identitet. Anordníngen omfattar dessutom organ för att samla identiteten för varje anropsenhet, omkopplingsstation vid en begäran fiån anordningen och framställa en lista för anropsvägen, jämföra anropsvägen med godkända anropsvägar och godkänna eller avvisa anropet.
KORT BESKRIVNING AV RITNINGARNA Uppfinningen kommer att beskrivas ytterligare i det följande på ett icke begränsande sätt under hänvisning till de bifogade ritningama, i vilka: Fig. l visar en schematisk illustration av ett första utförande av ett system som implementerar uppfinningen.
Fig. 2 visar ett flödesschema, som schematiskt visar funktionen hos utföringsexemplet enligt Fig. l.
Fig. 3 visar ett annat utforingsexempel, enligt uppfinningen.
DETALJERAD BESKRIVNING AV UTFÖRINGSEXEMPLEN I det följande kommer uppfinningen att beskrivas med hänvisning till två icke begränsande utföringsexempel. Det forsta utförandet baseras på ett datomätverk, som använder IP-adresser (TCP/IP protokoll), exempel på sådana nätverk är Internet och intranet/extranet. Det andra utförande är ett telekornmunikationsnät.
Det antas att TCP/IP protokollet och IP-adresskonstruktionen är känd för en fackman, men kortfattad, baseras dess operation på delning av ett meddelande i små paket eller datagram, var och en av vilka överföres individuellt och samlas till ett original meddelande vid destinationen. 10 15 20 25 30 510 393 7 Detta gör det möjligt för paketen att ta en fri väg om en väg är upptagen.
Fi g. 1 visar ett datornätverk omfattande åtminstone en serviceproducerande server (SPS) eller övervalcningsserver 10. En användare eller klientstation (CS) ll kan accessa SPS'en 10 genom ett nätverk 12 omfattande en eller flera anslutníngsanordningar 13 - 17. Varje SPS 10, CS ll och huvudsakligen varje anslutningsanordning är försedd med en unik identitet, såsom en IP- adress. Dessutom är SPS 10 anordnad med en lagringsenhet 18. CS 11 kan även vara medlem av ett annat lokalt nätverk, förbunden med andra datorer i det lokala nätverket medelst nätverkskort på ett känt sätt. I detta fall kan anslutningsanordningen 13 vara en router eller liknande.
Kopplingsanordningar och anordningar som har IP-adress kan vara någon av: * Routerar; * Infrastruktur anordningar såsom bryggor, terrninalserverar, mellannätlinj er, brandväggar, repeterare; * Applikationsserverar såsom DNS (Domain Name Server), mailhub, nyhetsserverar, FTP-serverar (FTP: File Transfer Protocol), WWW-serverar (WWW: World Wide Webb), nätverksdrifisystem o.s.v.; * Periferiska anordningar, såsom printrar, printerserverar, CD-ROM serverar, kommunikationsserverar o.s.v.
I regel är ovan nämnda anordningar anordnade för att returnera sin unika adress om en förfrågan riktas till dem.
Grundidéen med uppfinningen kommer att förtydligas genom följande icke begränsande operativa exempel med hänsyn till flödesschemat i fig. 2.
Klíentstationen 11 sänder 100 en accessbegäran till en eller flera serverar 10, vilka även kan vara en säkerhetserver. En äkthetskontrollsprocedur 101 startas då av servem 10 som kräver ett lösenord eller något liknande. Svaret från klientstationen jämförs 102 då med en lista för godkända identiteter lagrad i databasen, till exempel lagrad i anordning 18 av servem 10. Om användarnamnet och lösenordet finns i listan godkännes det första access-steget, annars avvisas 10 15 20 25 30 510 393 s 103 accessen på ett känt sätt. Servem 10 kan endast kontrollera IP-adressen av CS'en 11 och använda IP-adressen för ytterligare äkthetskontrollsprocess.
Om det första accesssteget är accepterat, kontrollerar 104 äkthetskontrollsproceduren om det är första gången som en klientstation accessar servem (systemet). Om det är förstagångsaccess sker bildas 105 en ny databas för klienten. Sedan sänder proceduren ut en förfrågan på nätverket riktad till varje 106 anordning 13-17 eller alla 107 anordningar 13-17 i vägen, genom vilken kommunikationen mellan servern 10 och klientstationen 11 är etablerad. Denna förfrågan begär identiteten (IP-adress) för varje anslutningsanordning 13-17 i vägen. Om en anordning är försedd med en identitet transmitterar den tillbaka sin identitet vid mottagande av identitetsförfrågan. Identitetema mottagna av servern samlas och lagras 108 sedan i databasen.
Eñersom detta är den första accessen tillåtes sedan klientstationen att accessa 109 nätverket (tj änstema).
Om det bestämmes att det inte är den första accessen av klientstationen öppnas vid steg 104 en databas omfattande data beträffande klientstationen eller tillägnad klientstationen, till exempel omfattande identitetema för kopplingsanordningar sarnlade medelst en procedur enligt föregående sektion. Sedan utsänder lll proceduren en förfrågan på nätverket riktad till varje anordning 13-17 eller alla 112 anordningar l3-l 7 i vägen, genom vilka kommunikationen mellan servem 10 och klientstationen ll är etablerad. Denna förfrågan frågar efter identiteten (IP-adress) för varje anslutningsanordning i vägen. Om en anordning är försedd med en identitet transmitterar den tillbaka sin identitet vid mottagande av identitetsförfrågan.
Identitetema mottagna av servem samlas sedan och jämförs 113 med identitetslistan i databasen. Om listoma för identitetema bekräftas accepteras 109 accessen. I annat fall genereras 114 ett larm. Eftersom identiteten av varje anslutningsanordning motsvarande en fysisk plats är hämtad är det möjligt att spåra 114 den fysiska platsen för klientstationen, även om användamarnnet, lösenordet och IP-adressen är förfalskade.
Dessutom är det möjligt att kontrollera ett försök att bygga upp en falsk väg eller ändra IP- adresserna utan tillåtelse. Anordningen kan transmittera en förfrågan, som begär kopplingsanordningarna för vissa identitetskonflikter eller något felmeddelande om identitetsproblem. Om en identitetskonflikt eller felmeddelande upptäcks kan då systemet 10 15 20 25 30 510 393 9 rapportera upptäcktema till en systemoperatör och fråga efier en manuell bekräftelse.
Kontroll av förstagängsaccessen sker, till exempel genom att utföra inspektion av en motsvarande databas för förekomst av klientstationsidentitet (t.ex. användarnamn eller IP- adress). I vissa fall kan identitetema i vägen variera, till exempel när en anslutningsanordning som har permanent identitet ersättes eller meddelandet tar en annan väg. I dessa fall är det möjligt att i databasen lägga till de nya identitetsvägarna företrädesvis efter en dubbelkontroll av klientstationen för att se om den opereras av en godkänd klient. Det är även möjligt att anordna kopplingsanordningama att rapportera ändringen till en kontrollerande databas, varvid servern kan kontrollera för möjliga ändringar. Tester har visat att datagramrnen i ett TCP/IP baserat nätverk tar huvudsakligen alltid samma väg genom nätverket.
Det är även möjligt att utföra den första äkthetskontrollsproceduren 102 genom att fråga efter användarnamn och lösenord efter väggodkännande stegen 108 eller ll3.
Förfrågningama för identiteten av anordningarna kan utföras genom att använda existerande procedurer eller speciella procedurer. Det är möjligt att sända "ekobegäran (echo demand)" i forrn av en databunt till en fjärran värd och vänta på varje ekosvar från varje anordning. Genom att använda en vägspårningfunktion (traceroute function) kan servem spåra och registrera de aktuella vägarna en IP-bunt följer till ett nätverk, Intemet- eller intranetvärd. Funktionen "finger" returnerar användarna inloggade på ett fjärran system. Det är även möjligt att sända ett meddelande, som retumerar inloggning från en fiärregistrering och information om domäner (WHOIS). Det är även möjligt att använda nätavsökningsfunktioner, företrädesvis över ett specificerat område av IP-adresser, till exempel genom "ping" av varje område, vilken även retumerar namnen och lägger in dem i möjliga värdfiler.
För att undvika en "översvämningsangrepp" kan genom användning av förutsättningarna enligt uppfinningen en server kontrollera vägen till utgången av (den förfalskade) IP-adressen och vidta en rätt handling om det behövs och därigenom undvika onödig ACK/REQ- transmissioner, vilka försämrar systemprestandan.
Det är även möjligt att arrangera anordningar som inte är försedda med IP-adresser med andra 10 15 20 i 510 393 10 unika identiteter, som kan lagras i vägdatabasen av servern.
F ig. 3 visar ett telekommunikationssystem som utnyttjar förfarandet enligt uppñnningen.
Systemet innefattar en anropsenhet 20, en mottagningsenhet 21 och kopplingsanordningar, som kan vara en eller flera av basstationer 22, växlar 23, 28, länkar 24, satellitreläer 25, 27 och satelliter 26. Företrädesvis är varje anordning 20-28 försedd med en unik identitet. När ett anrop omkopplas är företrädesvis basstationen 28 eller den mottagande enheten 21 anordnad med en databas omfattande anropsvägen för ett anrop från varje behörig anropsenhet 20.
Speciellt kan varje anordning i ett digitalt nätverk utformas att, automatiskt eller på anrnodan lägga till sin identitet i ett meddelande till basstationen 28 eller den mottagande enheten 21.
Genom att använda den mottagna listan för anordningar-na i vägen, kan basstationen 28 eller den mottagande enheten 21 avgöra att tillåta eller avvisa anropet. Detta utförande kan tillämpas på vilket telekommunikationssystem som helst, vars komponenter har eller kan förses med identiteter, såsom GSM, NMT o.s.v.
Detta system är speciellt användbart, till exempel för säkerhetsanrop, banktransaktioner o.s.v.
Uppfinningen är inte begränsad till de illustrerade uttöringsexemplen utan kan varieras på ett antal sätt utan att avlägsnas från närslutna patentkravens omfång, och anordningen och förfarandet kan implementeras på olika sätt beroende på applikation, funktionella enheter, behov, krav o.s.v..

Claims (22)

    10 15 20 25 30 510 393 11 PATENTKRAV
  1. l. Förfarande för detektering och/eller spåming av en icke auktoriserad klientstation (11, 20) vid access till en värdstation (10, 21) i ett kommunikationsnätverk ( 12), omfattande kopplingsanordningar (13-17, 22-28) i en väg mellan klientstationen och värdstationen (10, 21), varje klientstation (11, 20), värdstation (10, 21) och åtminstone någon av kopplingsanordningama (13-17, 22-28) är försedd med en unik identitet, vilket förfarande omfattar stegen att utföra en första verifiering, kännetecknar av, att förfarandet, i fall av en godkänd första verifiering, dessutom innefattar steget att vägkontrollera, omfattande: - hämtning av den unika identiteten av varje anordningar i kopplingsvägen, genom att utsända en identitetstörfrågan, - samling av ett responsmeddelande till identitetsförfrågan, omfattande identiteten av åtminstone varje anordning som har en unik identitet, - jämförelse av varje unik identitet av varje anordning och/eller station inkluderad i responsmeddelandet med en lista av godkända identiteter, och - avvisning eller acceptering av accessen, baserad på järnförelsens resultat.
  2. 2. Förfarandet enligt patentkrav l, kännetecknat av, att den första verifieringen innefattar kontroll av klientstationens (1 1, 20) identitet och jämförelse av denna med en lista av godkända identiteter.
  3. 3. Förfarandet enligt patentkrav leller 2, kännetecknar av, att den första verifieringen innefattar kontroll av antal accessar gjorda av klientstationen (l l, 20).
  4. 4. Förfarandet enligt patentkrav 3, kännetecknar av, att om klientidentiteten godkännes samt en törstagångsaccess upptäckes innefattar förfarandet 10 15 20 25 30 510 393 12 ytterligare steg av: - att hämta den unika identiteten av varje nämnd anordning (13-17, 22-28) i kopplingsvägen, - att anordna en databas för klientstationen för lagring av förbindelsekopplingsvägen, och - att införa identiteten i databasen av varje anordning (13-17, 22-28) som har en unik identitet sänt via varje anordning som har en identitet och anordnad att svara.
  5. 5. Förfarandet enligt patentkrav 4, kännetecknar av, att identiteten av varje anordning samlas genom att utsända en identitetsbegäran och samla responsmeddelande till identitetsbegäran.
  6. 6. Förfarandet enligt patentkrav 4, kännetecknar av, att framställa en lista omfattande identiteterna mottagna i responsmeddelandet, vilken identitetslista utgör en vâglista och att jämföra listan med en lista av godkänd väglista.
  7. 7. F örfarandet enligt patentkrav 2, kännetecknar av, att jämförelsen av klientstationens identitet med en lista av kända godkända klienter utföres före vägkontrollen.
  8. 8. Förfarandet enligt patentkrav 2, kännetecknar av, att jämförelsen av klientstationens identitet med en lista av kända godkända klienter utföres eñer vägkontrollen.
  9. 9. Förfarandet enligt något av patentkraven 1 - 8, kännetecknar av, att kommunikationsnätverket är ett datomätverk (12). 10 15 20 25 30 510 393 13
  10. 10. Förfarandet enligt patentlcrav 9, kännetecknar av, att den unika identiteten är IP-adress för klientstationen (11), värdstationen (11) och åtminstone någon av kopplingsanordningama (13-18).
  11. 1 1. F örfarandet enligt patentkrav 9 eller 10, kännetecknar av, att kommunikationsnätverket är lntemet.
  12. 12. Förfarandet enligt patentkrav 9 eller 10, kännetecknar av, att kommunikationsnätverket är ett interanet/extranet.
  13. 13. Förfarandet enligt något av patentkraven 1-12, kännetecknar av, att en larmsignal genereras i fall av en avvisning.
  14. 14. Förfarandet enligt någon en av patentkrav 1-13, kännetecknar av, att en spårningsprocedur utföras i fall av en avvisning.
  15. 15. Förfarandet enligt patentkrav 1, kännetecknar av, att en felmeddelandeforfrågan sänds till varje anordning eller alla anordningar, som efterfrågar identitetskonfliktsfel och/eller andra fel.
  16. 16. F örfarandet enligt patentkrav 1, kännetecknar av, att access förnekas i fall av en misslyckad första verifikation.
  17. 17. Säkerhetsanordning for detektering och/eller spåming av en icke auktoriserad användaraccess till ett kommunikationsnätverk (12), vilket omfattar åtminstone en klientstation 10 15 20 25 30 510 393 14 (11), åtminstone en värdstation (10) och kopplingsanordningar (13-17) i en väg mellan klientstationen och värdstationen, varvid vane klientstation, värdstation och åtminstone någon av kopplingsanordningania är försedda med en unik identitet, kännetecknad därav, att anordningen omfattar organ för kommunikation mellan värdstationen, klientstationen och kopplingsanordningarna, minnesenheter för att lagra information och instruktioner, organ för att hämta identiteten av klientstationen vid inloggning, organ för att jämföra identiteten av användaren med en lagrad identitetslista, organ för att utsända en anordningidentitetsförfrågan, organ för att identifiera och samla svar för förfrågan omfattande unika identiteter och organ för att jämföra de samlat identitetema med en lagrad lista av identiteter.
  18. 18. Anordningen enligt patentkrav 17, kännetecknad därav, att anordningen är integrerad i värdstationen (1 O).
  19. 19. Anordningen enligt patentkrav 17, kännetecknad därav, att anordningen är separat anordnad i en övervakningsserver.
  20. 20. Anordningen enligt någon en av patentkrav 17 - 19, kännetecknad därav, att väglistan uppdateras automatiskt.
  21. 21. Anordningen enligt något av patentkraven 17 - 20, kännetecknad därav, att anslutningsanordningarna är någon av routerar, infrastrukturanordningar såsom bryggor, terminalserverar, mellarmätlinj er, brandväggar, repeterare, applikationsserverar såsom DNS (Domain Name Server), mai1hub,nyhetsserverar, FTP- serverar (File Transfer Protocol), WWW-serverar (World Wide Webb), nätverksdriftsystem och kommunikationsserverar.
  22. 22. Telekommunikationsnätverk omfattande en anropande enhet (20), en eller flera omkopplingsstationer, länkar (22-28) och en mottagande station (21), 510 'S93 15 kännetecknat därav, att det innefattar en säkerhetsanordning för detektenng och/eller spåming av en icke auktoriserad användare vid koppling av anrop från den anropande enheten (20), att varj e anropande enhet (20), ornkopplingsstation/lärm (22-28) är försedd med en unik identitet, att anordningen dessutom omfattar enhet fór att samla identitet for varje anropande enhet (20), omkopplingsstation (22-28) på en begäran från säkerhetsanordningen och framställa en lista för en ariropsväg, järnfcâra ariropsvägen med godkända anropsvägar och acceptera eller avvisa anropet,
SE9702476A 1997-06-26 1997-06-26 Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk SE510393C2 (sv)

Priority Applications (6)

Application Number Priority Date Filing Date Title
SE9702476A SE510393C2 (sv) 1997-06-26 1997-06-26 Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk
JP50549499A JP2002508121A (ja) 1997-06-26 1998-06-25 通信システムに関する方法および装置
PCT/SE1998/001257 WO1999000720A2 (en) 1997-06-26 1998-06-25 Method and arrangement for detecting a non-authorised user access to a communications network
AU79515/98A AU7951598A (en) 1997-06-26 1998-06-25 Method and arrangement relating to communications systems
EP98930034A EP0991989A2 (en) 1997-06-26 1998-06-25 Method and arrangement relating to communications systems
US09/105,667 US6237037B1 (en) 1997-06-26 1998-06-26 Method and arrangement relating to communications systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE9702476A SE510393C2 (sv) 1997-06-26 1997-06-26 Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk

Publications (3)

Publication Number Publication Date
SE9702476D0 SE9702476D0 (sv) 1997-06-26
SE9702476L SE9702476L (sv) 1998-12-27
SE510393C2 true SE510393C2 (sv) 1999-05-17

Family

ID=20407548

Family Applications (1)

Application Number Title Priority Date Filing Date
SE9702476A SE510393C2 (sv) 1997-06-26 1997-06-26 Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk

Country Status (6)

Country Link
US (1) US6237037B1 (sv)
EP (1) EP0991989A2 (sv)
JP (1) JP2002508121A (sv)
AU (1) AU7951598A (sv)
SE (1) SE510393C2 (sv)
WO (1) WO1999000720A2 (sv)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6466932B1 (en) * 1998-08-14 2002-10-15 Microsoft Corporation System and method for implementing group policy
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
AUPQ030299A0 (en) 1999-05-12 1999-06-03 Sharinga Networks Inc. A message processing system
JP4426030B2 (ja) * 1999-10-15 2010-03-03 富士通株式会社 生体情報を用いた認証装置及びその方法
WO2001031885A2 (en) 1999-10-22 2001-05-03 Nomadix, Inc. Gateway device having an xml interface and associated method
FI20001311A (sv) 2000-05-31 2001-12-01 Nokia Corp Trådlöst lokalnät
US7693992B2 (en) * 2000-06-14 2010-04-06 Disney Enterprises, Inc. Technique for providing access to data
US7162649B1 (en) * 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7093019B1 (en) * 2000-11-21 2006-08-15 Hewlett-Packard Development Company, L.P. Method and apparatus for providing an automated login process
US20020143946A1 (en) * 2001-03-28 2002-10-03 Daniel Crosson Software based internet protocol address selection method and system
JP2003051853A (ja) * 2001-08-07 2003-02-21 Matsushita Electric Ind Co Ltd 通信方法及び通信装置
ATE457585T1 (de) * 2001-08-21 2010-02-15 Ericsson Telefon Ab L M Ein sicheres gateway mit proxydienstfähigen servern um service level agreements (sla) zu überprüfen
JP3928489B2 (ja) * 2002-06-07 2007-06-13 ソニー株式会社 通信方法、通信システム及び通信機器
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7832011B2 (en) 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7748039B2 (en) 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7509679B2 (en) 2002-08-30 2009-03-24 Symantec Corporation Method, system and computer program product for security in a global computer network transaction
KR100823892B1 (ko) * 2006-11-23 2008-04-21 삼성전자주식회사 디지털 컨텐츠의 저작권을 보호하기 위한 시스템 및 그방법
US8042183B2 (en) * 2007-07-18 2011-10-18 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting computer-related attacks
JP2009064252A (ja) * 2007-09-06 2009-03-26 Hitachi Ltd 情報処理システム及びログイン方法
US20100115591A1 (en) * 2008-10-31 2010-05-06 Lucent Technologies Inc. Method and system for authenticating users with optical code tokens
US9098333B1 (en) 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
GB2552721A (en) 2016-08-03 2018-02-07 Cirrus Logic Int Semiconductor Ltd Methods and apparatus for authentication in an electronic device
GB2545534B (en) 2016-08-03 2019-11-06 Cirrus Logic Int Semiconductor Ltd Methods and apparatus for authentication in an electronic device
GB2555660B (en) * 2016-11-07 2019-12-04 Cirrus Logic Int Semiconductor Ltd Methods and apparatus for authentication in an electronic device

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0520709A3 (en) * 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5325419A (en) * 1993-01-04 1994-06-28 Ameritech Corporation Wireless digital personal communications system having voice/data/image two-way calling and intercell hand-off
GB9418709D0 (en) * 1994-09-16 1994-11-16 Chantilley Corp Ltd Secure computer network
JPH11507752A (ja) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド インターネットサーバーのアクセス管理およびモニタシステム
US5721779A (en) * 1995-08-28 1998-02-24 Funk Software, Inc. Apparatus and methods for verifying the identity of a party
US5883891A (en) * 1996-04-30 1999-03-16 Williams; Wyatt Method and apparatus for increased quality of voice transmission over the internet
US5835720A (en) * 1996-05-17 1998-11-10 Sun Microsystems, Inc. IP discovery apparatus and method
US5872847A (en) * 1996-07-30 1999-02-16 Itt Industries, Inc. Using trusted associations to establish trust in a computer network
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks

Also Published As

Publication number Publication date
WO1999000720A2 (en) 1999-01-07
JP2002508121A (ja) 2002-03-12
SE9702476L (sv) 1998-12-27
US6237037B1 (en) 2001-05-22
SE9702476D0 (sv) 1997-06-26
WO1999000720A3 (en) 1999-04-01
AU7951598A (en) 1999-01-19
EP0991989A2 (en) 2000-04-12

Similar Documents

Publication Publication Date Title
SE510393C2 (sv) Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk
CN100461686C (zh) 生物统计学验证的vlan的系统及方法
JP4023240B2 (ja) ユーザ認証システム
CN102104592B (zh) 网络策略服务器之间的会话迁移
CN101626369B (zh) 一种单点登录方法、设备及系统
JP3676989B2 (ja) 新たに規定されたカスタマーネットワークルートの通知を検証する方法
US8495155B2 (en) Enterprise management of public instant message communications
RU2514138C1 (ru) Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
JP3262689B2 (ja) 遠隔操作システム
US6975619B1 (en) System and method for providing host geographic location information in a packet data network
CN103095676A (zh) 过滤系统以及过滤方法
CN101151859A (zh) 管理网络用户的网络接入
JP5451901B2 (ja) 公共設備でネットワークにアクセスする方法及びシステム
CN101232375A (zh) 单点登录系统、信息终端设备、单点登记服务器及方法
US9906501B2 (en) Publicly available protected electronic mail system
CN101471878B (zh) 对等会话起始协议网络的安全路由方法、网络系统及设备
CN114600426B (zh) 多租户电子邮件服务中的电子邮件安全
JP5451903B2 (ja) 公共設備においてネットワークにアクセスする方法及びシステム
CN110290176B (zh) 基于mqtt的点对点信息推送方法
EP2512088A1 (en) Method and system for accessing network on public device
US20060090007A1 (en) Message delivery apparatus, method thereof, system thereof, and program thereof
CN115378645A (zh) 一种基于电力营销管理系统统一认证的验证方法及系统
JP3649180B2 (ja) セキュリティ管理システムおよび経路指定プログラム
JP5336262B2 (ja) ユーザ認証システムおよびユーザ認証方法
JP2002084326A (ja) 被サービス装置、センタ装置、及びサービス装置

Legal Events

Date Code Title Description
NUG Patent has lapsed
NUG Patent has lapsed