Wireless Authentication and Authorization, case Wireless Access Control System

Lyhyen kantaman radiotekniikoiden hyödyntäminen mahdollistaa uudenlaisten paikallisten palveluiden käytön ja vanhojen palveluiden kehittämisen. Kulunvalvonta on päivittäisenä palveluna valittu työn esimerkkisovellukseksi. Useita tunnistus- ja valtuutustapoja tutkitaan, ja julkisen avaimen infrastruktuuri on esitellään tarkemmin. Langattomat tekniikat Bluetooth, Zigbee, RFID ja IrDA esitellän yleisellä tasolla langattomat tekniikat –luvussa. Bluetooth-tekniikan rakennetta, mukaan lukien sen tietoturva-arkkitehtuuria, tutkitaan tarkemmin. Bluetooth-tekniikkaa käytetään työssä suunnitellun langattoman kulunvalvontajärjestelmän tietojen siirtoon. Kannettava päätelaite toimii käyttäjän henkilökohtaisena luotettuna laitteena, jota voi käyttää avaimena. Käyttäjän tunnistaminen ja valtuuttaminen perustuu julkisen avaimen infrastruktuuriin. Ylläpidon allekirjoittamat varmenteet sisältävät käyttäjän julkisen avaimen lisäksi tietoa hänestä ja hänen oikeuksistaan. Käyttäjän tunnistaminen kulunvalvontapisteissä tehdään julkisen ja salaisen avaimen käyttöön perustuvalla haaste-vastaus-menetelmällä. Lyhyesti, järjestelmässä käytetään Bluetooth-päätelaitteita langattomina avaimina.

Mobile Protocol Stack Simulator

Nykypäivän maailma tukeutuu verkkoihin. Tietokoneverkot ja langattomat puhelimet ovat jo varsin tavallisia suurelle joukolle ihmisiä. Uusi verkkotyyppi on ilmestynyt edelleen helpottamaan ihmisten verkottunutta elämää. Ad hoc –verkot mahdollistavat joustavan verkonmuodostuksen langattomien päätelaitteiden välille ilman olemassa olevaa infrastruktuuria. Diplomityö esittelee uuden simulaatiotyökalun langattomien ad hoc –verkkojen simulointiin protokollatasolla. Se esittelee myös kyseisten verkkojen taustalla olevat periaatteet ja teoriat. Lähemmin tutkitaan OSI-mallin linkkikerroksen kaistanjakoprotokollia ad hoc –verkoissa sekä vastaavan toteutusta simulaattorissa. Lisäksi esitellään joukko simulaatioajoja esimerkiksi simulaattorin toiminnasta ja mahdollisista käyttökohteista.

Platform Architectures for Policy-Based Network Access Control

Tämä diplomityö käsittelee sääntöpohjaisen verkkoon pääsyn hallinnan (NAC) ratkaisuja arkkitehtonisesta näkökulmasta. Työssä käydään läpi Trusted Computing Groupin, Microsoft Corporationin, Juniper Networksin sekä Cisco Systemsin NAC-ratkaisuja. NAC koostuu joukosta uusia sekä jo olemassa olevia teknologioita, jotka auttavat ennalta määriteltyyn sääntökantaan perustuen hallitsemaan suojattuun verkkoon pyrkivien laitteiden tietoliikenneyhteyksiä. Käyttäjän tunnistamisen lisäksi NAC pystyy rajoittamaan verkkoon pääsyä laitekohtaisten ominaisuuksien perusteella, esimerkiksi virustunnisteisiin ja käyttöjärjestelmäpäivityksiin liittyen ja paikkaamaan tietyin rajoituksin näissä esiintyviä puutteita verkkoon pääsyn sallimiseksi. NAC on verraten uusi käsite, jolta puuttuu tarkka määritelmä. Tästä johtuen nykymarkkinoilla myydään ominaisuuksiltaan puutteellisia tuotteita NAC-nimikkeellä. Standardointi eri valmistajien NAC-komponenttien yhteentoimivuuden takaamiseksi on meneillään, minkä perusteella ratkaisut voidaan jakaa joko avoimia standardeja tai valmistajakohtaisia standardeja noudattaviksi. Esitellyt NAC-ratkaisut noudattavat standardeja joko rajoitetusti tai eivät lainkaan. Mikään läpikäydyistä ratkaisuista ei ole täydellinen NAC, mutta Juniper Networksin ratkaisu nousee niistä potentiaalisimmaksi jatkokehityksen ja -tutkimuksen kohteeksi TietoEnator Processing & Networks Oy:lle. Eräs keskeinen ongelma NAC-konseptissa on työaseman tietoverkolle toimittama mahdollisesti valheellinen tietoturvatarkistuksen tulos, minkä perusteella pääsyä osittain hallitaan. Muun muassa tähän ongelmaan ratkaisuna voisi olla jo nykytietokoneista löytyvä TPM-siru, mikä takaa tiedon oikeellisuuden ja koskemattomuuden.

Implementing Role Based Access Control into the Enterprise Environment to Support Business and IT Functions

The thesis studies role based access control and its suitability in the enterprise environment. The aim is to research how extensively role based access control can be implemented in the case organization and how it support organization’s business and IT functions. This study points out the enterprise’s needs for access control, factors of access control in the enterprise environment and requirements for implementation and the benefits and challenges it brings along. To find the scope how extensively role based access control can be implemented into the case organization, firstly is examined the actual state of access control. Secondly is defined a rudimentary desired state (how things should be) and thirdly completed it by using the results of the implementation of role based access control application. The study results the role model for case organization unit, and the building blocks and the framework for the organization wide implementation. Ultimate value for organization is delivered by facilitating the normal operations of the organization whilst protecting its information assets.

The Design and Implementation of Loudspeaker Control Network Protocols

The networking and digitalization of audio equipment has created a need for control protocols. These protocols offer new services to customers and ensure that the equipment operates correctly. The control protocols used in the computer networks are not directly applicable since embedded systems have resource and cost limitations. In this master's thesis the design and implementation of new loudspeaker control network protocols are presented. The protocol stack was required to be reliable, have short response times, configure the network automatically and support the dynamic addition and removal of loudspeakers. The implemented protocol stack was also required to be as efficient and lightweight as possible because the network nodes are fairly simple and lack processing power. The protocol stack was thoroughly tested, validated and verified. The protocols were formally described using LOTOS (Language of Temporal Ordering Specifications) and verified using reachability analysis. A prototype of the loudspeaker network was built and used for testing the operation and the performance of the control protocols. The implemented control protocol stack met the design specifications and proved to be highly reliable and efficient.

Controlling Access to Personal Information

Tässä diplomityössä käsitellään henkilökohtaisen tiedon saannin kontrollointia ja tiedon kuvaamista. Työn käytännön osuudessa suunniteltiin XML –malli henkilökohtaisen tiedon kuvaamiseen. Henkilökohtaisten tietojen käyttäminen mahdollistaa henkilökohtaisen palvelun tarjoamisen ja myös palvelun automatisoinnin käyttäjälle. Henkilökohtaisen tiedon kuvaaminen on hyvin oleellista, jotta palvelut voivat kysellä ja ymmärtää tietoja. Henkilökohtaiseen tietoon vaikuttaa erilaisia tekijöitä, jotka on myös otettava huomioon tietoa kuvattaessa. Henkilökohtaisen tiedon leviäminen eri palveluiden tarjoajille tuo mukanaan myös riskejä. Henkilökohtaisen tiedon joutuminen väärän henkilön käsiin saattaa aiheuttaa vakaviakin ongelmia tiedon omistajalle. Henkilökohtaisen tiedon turvallisen ja luotettavan käytettävyyden kannalta onkin hyvin oleellista, että käyttäjällä on mahdollisuus kontrolloida kenelle hän haluaa luovuttaa mitäkin tietoa.

Security in multicast communication

Multicast is one method to transfer information in IPv4 based communication. Other methods are unicast and broadcast. Multicast is based on the group concept where data is sent from one point to a group of receivers and this remarkably saves bandwidth. Group members express an interest to receive data by using Internet Group Management Protocol and traffic is received by only those receivers who want it. The most common multicast applications are media streaming applications, surveillance applications and data collection applications. There are many data security methods to protect unicast communication that is the most common transfer method in Internet. Popular data security methods are encryption, authentication, access control and firewalls. The characteristics of multicast such as dynamic membership cause that all these data security mechanisms can not be used to protect multicast traffic. Nowadays the protection of multicast traffic is possible via traffic restrictions where traffic is allowed to propagate only to certain areas. One way to implement this is packet filters. Methods tested in this thesis are MVR, IGMP Filtering and access control lists which worked as supposed. These methods restrict the propagation of multicast but are laborious to configure in a large scale. There are also a few manufacturerspecific products that make possible to encrypt multicast traffic. These separate products are expensive and mainly intended to protect video transmissions via satellite. Investigation of multicast security has taken place for several years and the security methods that will be the results of the investigation are getting ready. An IETF working group called MSEC is standardizing these security methods. The target of this working group is to standardize data security protocols for multicast during 2004.

SNMP:n hallintatietokantojen sisältämä palvelunlaatutieto IP- ja ATM-verkoissa

Tässä diplomityössä selvitetään SNMP:n (Simple Network Management Protocol) hallintatietokantojen sisältämiä palvelunlaatutietoja. Tarkastelun kohteena ovat IP:n (Internet Protocol) ja ATM:n (Asynchronous Transfer Mode) hallintatietokannat. Työn teoriaosassa tarkastellaan verkonhallinnan eri osa-alueita, TCP/IP-verkkojen (Transmission Control Protocol) hallintaan tarkoitettua SNMP-protokollaa ja sen eri versioita. Lisäksi käsitellään palvelunlaadun kannalta IP ja ATM-verkkojen erilaisia toteutuksia. Työn kokeellissa osassa arvioidaan eri hallintatietokantojen sisältöä palvelunlaadun kannalta. Työssä todetaan palvelunlaatutietojen puutteellisuus hallintatietokannoissa ja sekä IP:lle että ATM:lle toteutetaan soveltuvat hallintatietokannat.

Security and Privacy in a Ubiquitous Information Screen

We expose the ubiquitous interaction between an information screen and its’ viewers mobile devices, highlights the communication vulnerabilities, suggest mitigation strategies and finally implement these strategies to secure the communication. The screen infers information preferences’ of viewers within its vicinity transparently from their mobile devices over Bluetooth. Backend processing then retrieves up-to-date versions of preferred information from content providers. Retrieved content such as sporting news, weather forecasts, advertisements, stock markets and aviation schedules, are systematically displayed on the screen. To maximise users’ benefit, experience and acceptance, the service is provided with no user interaction at the screen and securely upholding preferences privacy and viewers anonymity. Compelled by the personal nature of mobile devices, their contents privacy, preferences confidentiality, and vulnerabilities imposed by screen, the service’s security is fortified. Fortification is predominantly through efficient cryptographic algorithms inspired by elliptic curves cryptosystems, access control and anonymity mechanisms. These mechanisms are demonstrated to attain set objectives within reasonable performance.

Lääkintähuollon ja materiaalihallinnon yhtenäisen RFID-seurannan perusteita

Tässä diplomityössä tarkastellaan radiotaajuisen tunnistamisteknologian (RFID) seurannan yhtenäisiä perusteita puolustusvoimien lääkintähuollolle ja materiaalihallinnolle. Nykytilaa selvitettiin pääpainona lääkintähuollon ja materiaalihallinnon osa-alueet ja samalla tarkasteltiin koko puolustusvoimien RFIDtekniikan käyttöä. Puolustusvoimissa RFID-teknologiaa käytetään myös vaatehuollon ja kulunvalvonnan toiminnoissa. Tämän työn teoriaosuudessa tarkastellaan RFID-tekniikkaa ja sen komponentteja sekä niiden hyödyntämistä eri sektoreilla ja logistiikassa. Työn empiirisessä osuudessa selvitetään, mitkä ovat puolustusvoimien tarpeet RFID:n käytöllä ja vaatimuksia ensihoidon kiireellisyysluokittelulle (TRIAGE) sekä materiaalihallinnon ja niiden kautta saatavalle tilannekuvalle. Työn tuloksena saadaan perusteita puolustusvoimien RFID-ratkaisujen suunnittelun pohjaksi.

Antenna Design for Contactless IC Card Applications

Contactless integrated circuit cards are one form of application of radio frequency identification. They are used in applications such as access control, identification, and payment in public transport. The contactless IC cards are passive which means that both the data and the energy are transferred to the card without contact using inductive coupling. Antenna design and optimization of the design for contactless IC cards defined by ISO/IEC14443 is studied. The basic operation principles of contactless system are presented and the structure of contactless IC card is illustrated. The structure was divided between the contactless chip and the antenna. The operation of the antenna was covered in depth and the parameters affecting to the performance of the antenna were presented. Also the different antenna technologies and connection technologies were provided. The antenna design process with the parameters and the design tools isillustrated and optimization of the design is studied. To make the design process more ideal a target of development was discovered, which was the implementation of test application. The optimization of the antenna design was presented based on the optimization criteria defined in this study. The solution for the implementation of these criteria and the effect of each criterion was found. For enhancing the performance of the antenna a focus for future study was proposed.

Järjestelmien siirtäminen uuteen käyttöjärjestelmäympäristöön

Käyttöjärjestelmän uuden version myötä vanhat ohjelmat eivät välttämättä toimi uudessa ympäristössä. Windows-käyttöjärjestelmässä sovellusten yhteensopivuus on aiemmin säilytetty melko hyvin. Uusimpiin Windows Vista ja Windows 7 -versioihin on tehty paljon tietoturvauudistuksia. Niistä johtuen vanhojen ohjelmien yhteensopivuutta on karsittu. Tässä työssä kuvataan automaatiojärjestelmän ohjelmakomponenttien siirtoa uuteen Windows-ympäristöön. Tavoitteena on saada tehtyä ohjeita muille automaatiojärjestelmän kehittäjille. Myös Windowsin tietoturvaominaisuuksiin tehdään katsaus, erityisesti pääsynhallintaan

Itä-Savon sairaanhoitopiiri Ky:n Savonlinnan keskussairaalan paikannustoiminnan kehittäminen

Terveydenhuollon ja siihen liittyvien palvelujen kustannusten jatkuva kohoaminen ja kuntien paheneva taloustilanne sekä terveydenhuollon pienenevät henkilöstöresurssit ovat lisänneet painetta toimintojen kustannustehokkaaseen toteuttamiseen. Edellä mainitusta johtuen, terveydenhuollon toimijoita kehotetaan etsimään uusia ratkaisuja, joilla voidaan taata jatkossa riittävä asiakaspalvelutaso, kustannustehokkuus ja – palvelujen turvallisuus. Tämän työn tavoitteena oli vastata kysymyksiin tunnistus- ja paikannustoiminnan hyödyntämisen mahdollisuuksista Itä-Savon sairaanhoitopiirin Savonlinnan keskussairaalassa. Tarkoituksena oli selvittää, millaisia paikannus ja tunnistusteknologiaan liittyviä tavoitteita ja vaatimuksia terveydenhuollon toimialalla ja erityisesti Itä-Savon sairaanhoitopiirissä on ja millä tavalla RFID ja WLAN – teknologioilla saadaan kehitettyä asetettuihin tavoitteisiin ja hyötyodotuksiin vastaavat ratkaisut. Työssä pyrittiin selvittämään myös millaisia rahallisia säästöjä tunnistus- ja paikannusteknologioilla voidaan saada aikaan. Työn yhteydessä kartoitettiin tarpeita ja vaatimuksia tunnistus- ja paikannusteknologian hyödyntämiseen. Tarpeet ja vaatimukset testattiin tunnistus- ja paikannuspilotissa. Lisäksi perehdyttiin kirjallisuuteen ja aiempiin tutkimuksiin tunnistus- ja paikannusteknologioista. Suunnitelman perusteella näyttää siltä, että hyödyntämällä tunnistus- ja paikannusteknologioita voitaisiin tehostaa Savonlinnan keskussairaalan toimintaa. Suunnitelman pilottivaiheen tuloksien perusteella toiminnan tehostaminen tarkoittaisi kustannussäästöjä, parantaisi potilasturvallisuutta sekä hoitotyön laatua. Tunnistus- ja paikannusteknologian käyttökohteita sairaalassa voisivat olla esimerkiksi reaaliaikaiseen prosessien ohjaaminen, kulunvalvonnan ja -ohjauksen automatisointi, potilaan automaattinen tunnistaminen, sekä sairaalan tutkimuslaitteiden seuranta.

Pilvipalvelun identiteetin- ja pääsynhallinta palveluna

Työn tavoite on ollut tutkia ja rakentaa pilvipalvelun identiteetin- ja pääsynhallinta liiketoimintapalveluksi yrityksille ja organisaatioille. Lähtökohtana on ollut valmiiden identiteetinhallintaohjelmistotuotteiden käyttäminen kehitettävän palvelutuotteen osana. Työssä on ollut tarkoitus selvittää, voiko identiteetinhallintaa ja pääsynhallintaa tuottaa ja tarjota pilvipalveluna kannattavasti. Tutkimusote on ollut konstruktiivinen ja triangulaatiossa on käytetty useaa menetelmää, jotta on saatu selvä kuva liiketoiminnan luonteesta ja tarpeista. Menetelmiä ovat olleet kyselytutkimus ja peste-analyysi. Lisäksi on tehty liiketoimintasuunnitelma ja palveluliiketoiminnan kuvaus Orsterwalderin canvas- menetelmällä. Jokainen tutkimusosa on ollut oleellinen määritettäessä palvelutuotteen ominaisuuksia, koska tavoite on ollut saada mahdollisimman luotettava ja helppokäyttöinen tuote nopeasti kasvaville pilvipalvelumarkkinoille. Tutkimuksen tuloksena on määritelty malli palveluliiketoiminnan tarpeisiin sopivasta turvallisesta palvelualustasta, joka skaalautuu hyvin pilvipalveluiden käytön lisääntyessä voimakkaasti. Liiketoimintasuunnitelman laskelmien avulla on löydetty käyttäjämäärien alarajat kannattavaan liiketoimintaan. Lisäksi on huomattu palvelun rakenteen auttavan yrityksiä ja organisaatiota suojaamaan pilvipalveluiden käyttäjätunnukset ja salasanat väärinkäytöksiltä, mikä on tarpeellista ja ajankohtaista kaikille organisaatioille, jotka harkitsevat pilvipalveluiden käyttöä ja haluavat tehdä sen tietoturvallisesti. Tutkimuksen tuloksena on pystytty määrittelemään, onko liiketoiminta kannattavaa vai ei sekä palvelun tarvitsemat liiketoimintaelementit.

Arktinen alue Venäjän sotilaallisesta näkökulmasta

Otsikon mukaisesti työ keskittyy venäläisten sotilaallisiin näkemyksiin. Arktista tutkimusta on sinällään tehty ja tehdään paljon, mutta todennäköisesti venäläistä sotilasajattelua mainitusta aiheesta ei ole tarkasteltu suomen kielellä. Työn aineisto on lähes kokonaan venäjänkielistä ja tutkittu aineisto koostuu kirjoittajista, joita – kuten Venäjällä sanotaan – pidetään alansa auktoriteetteina. Lähteet ovat julkisia.