CN100538588C - 通信系统和提供移动通信业务的方法 - Google Patents
通信系统和提供移动通信业务的方法 Download PDFInfo
- Publication number
- CN100538588C CN100538588C CNB2005800108871A CN200580010887A CN100538588C CN 100538588 C CN100538588 C CN 100538588C CN B2005800108871 A CNB2005800108871 A CN B2005800108871A CN 200580010887 A CN200580010887 A CN 200580010887A CN 100538588 C CN100538588 C CN 100538588C
- Authority
- CN
- China
- Prior art keywords
- computing machine
- network
- access point
- computer
- mep
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1886—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/189—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/125—Protection against power exhaustion attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供移动电信业务的通信系统和方法。通信网络(IN)在至少一个因特网协议的基础上进行消息传输。由一个网络连接计算机(GW)连接所述接入网络(AN)和所述通信网络(IN)。所述接入网络预置多个配备相应的接入点连接计算机(MEP)的接入点(AP),所述接入点连接计算机设置用于能够在变换的接入点(AP)与移动计算机(MN)之间建立通信连接。一个授权检验计算机(AAA)建立和管理多个通信单元(GW、MEP、AAA、MN)之间的置信关系(SA)。网络连接计算机(GW)和接入点连接计算机(MEP)设置用于在接收和发送消息的情况下执行一种数据分组筛选方法以在安全性方面保护所述通信系统。网络连接计算机(GW)和授权检验计算机(AAA)也设置用于执行一种通过提供一种所述通信单元(GW、MEP、AAA、MN)的通信协议进行过载控制的方法,以防止因为一个侵入造成的所述通信单元的功能缺失。
Description
技术领域
本发明涉及借助于通信网络提供移动通信业务的通信系统和方法,所使用的通信网络具备至少一个因特网协议用于传输消息,并且借助于移动计算机的接入网络在其内采用一个多播程序传输一条消息。
背景技术
部分现有的提供移动电信业务的通信系统使用设置成基于至少一个因特网协议传输消息的通信网络。然而在此至今通常只在一个核心网络内部使用基于因特网协议的通信,以致在提供移动通信业务时仍然需要采用专门为此设计的通信协议。一个在一个因特网协议的基础上工作的通信网络允许在所述通信系统的终端系统之间进行跨网络的数据分组式的数据交换。从而提供能使在地理上分布的不同网络中的计算机之间进行跨网络消息传递的一种通信协议。
所谓因特网工程任务组(IETF)提出了一个使移动电信业务能够在因特网中进行的技术规范。所提出的“移动IP”草案的着眼点首先是一个常规的因特网协议(IP)在移动性方面的欠缺。“移动IP为因特网中的移动性提供一种可标度的、坚实且安全的解决方案。尤其是提供所谓IP数据分组向保留其永久的IP地址却可能处于外部网络的移动计算机路由的机制。“移动IP”的一个问题是该基本方案不适于支持现有网络数据连接的自动跟踪,亦即所谓的“无缝交接”。
尤其是在A.Festag,L.Westerhoff和A.Wolisz的《TheMOMBASA Software Environment-A Toolkit for PerformanceEvaluation of Multicast-Based Mobility Support》In Proc.Of Performance Tools 2002,pages 212-219,London,GB,April 2002中提出了一种基于因特网协议工作的名为“MOMBASA”的通信系统的结构。在这种通信系统中一个移动计算机的接入网络采用一种多播程序以传输单个消息。在点对多点通信中多播是一种在传输过程中用一种所谓群地址向一个确定的组或者种类的接收机传输一个消息的做法。
一个MOMBASA通信系统的基础设施设置以下的部件作为通信单元:在移动计算机的接入网络中设置多个带有一个相应的接入点连接计算机(所谓的移动性赋能代理)的接入点,所述接入点连接计算机通过有多播性能的路由器相互连接。例如一个网关形式的网络连接计算机起把所述接入网关与公众的或者私人的固定因特网互相连接的作用。通过所述移动计算机执行所谓移动性代理(移动或者移动性代理),所谓移动性代理代表一个在各个子网络中用于进行所谓的移动性支持的网络组成部分。
一台移动计算机必须在变换了对因特网的接入点以后也能够与其它的计算机通信。为此目标,至少在其于一个接入网络内的驻留期间为移动计算机配属一个在所述接入网络的地址范围内的全球可达的IP地址。因此,所有从公众因特网向所述移动计算机发出的消息数据分组都通过正常因特网路由发往所述网络连接计算机以与所述接入网络连接。在接入网络内部多个移动计算机的一块单播地址配属给一块多播组。如果一个移动计算机在一个接入点连接计算机上登录,该接入点连接计算机就成为一个所述配属的多播组的部分。在用于连接接入网络和因特网网络的连接计算机上,发向移动计算机的一个消息数据分组被传送至一个确定的接入点组,再从所配属的接入点传给该移动计算机。
在接入网络内部采用一个多播过程便于在两个接入点之间对一个现有的网络数据连接进行预期跟踪。从所述移动计算机直接登录的接入点连接计算机开始,相邻的接入点连接计算机成为一个多播组的部分。这些接入点计算机在一个所谓的环缓冲寄存器中存储所述数据,其中在跟踪一个现有的网络数据连接的情况下,也就是在所谓的切换的情况下,向所述移动计算机中转环缓冲寄存器中过去接收到的消息,以补偿在所述切换期间的消息丢失。
如果在一定的时间间期内一个移动计算机既不接收也不发送数据,所述移动计算机切换成所谓闲置模式。这代表一种运行状态,其中尽管所述移动计算机处于开机状态,但是却还没有登录,从而对所述接入网络不可达。在此情况下缩小一个所涉的多播组,只基本得知所述移动计算机的位置为一个所谓的寻呼区域,代表它的是一个与之无关联的永久的多播组。如果所述网络连接计算机接收到发向一个处于闲置状态的移动计算机的消息,向所述移动计算机的最后所知道的寻呼区域的一个确定的多播组发出一个寻呼请求(所谓Paging Reqest),并且向该寻呼区域的最后一次请求的接入点连接计算机中转,由此所述移动计算机转入激活状态并且登录进入所述接入网络。
一个这样的通信系统受到一系列危及所述移动电信业务的安全性风险。一方面外部链路的外部侵入可能危害接入网络中的内部消息交换。此外所述接入网络中的内部消息交换可能被一名可以以各种方式获得对所述接入连接进路的入侵者利用。另外,侵入者可能以所述接入网络的合法使用者身份,在其传输过程中窃听或者操纵消息或者信息。所述侵入者还可以借此享受通信服务而让移动计算机的主人承担费用。
总体上一个移动计算机事先不知道所述接入网络中的哪个接入点对之负责。由于该原因,伪造的所谓启事,也就是说移动代理器用之向所述移动计算机提供其由最后一次使用的接入点产生的业务的消息,可能导致所述移动计算机错误地在一名入侵者处登录。在此,问题是:所谓的MEP启事(移动赋能代理启事)不是针对单个移动计算机而是一组移动计算机的。在采用一种对称加密的情况下,使得每个加入的移动计算机都可能主动伪造启事。相反地,如果采用一种不对称的加密方法,就意味着必须使用当前的数百比特至2048比特的检验值。然而,如果所述移动计算机与所述接入点直接地相互通信,一个错误的接入点总还是有可能以后在登录过程中暴露出来。
另一个要提及的危害是所谓的拒绝服务攻击。在此拒绝服务指的是功能缺失或者功能错误。这后面隐藏着许多不同的攻击可能性,这些攻击可能性都旨在使一定的计算机死机或者使它们的某些功能瘫痪。这样的攻击可能从最后使用的接入点在一个验证过程中指向一个验证过程本身,此身份验证期间数据交付点(所谓的对等节点)的同一性不能得到保证。此外所述拒绝服务攻击可以借助于使用数据分组从因特网进行。如果(例如采用不断变化的源和协议)向处于闲置状态的多个移动计算机发送数据分组,这些移动计算机可以通过一个寻呼请求同时被激活。这导致所述接入网络内和在一个用于身份验证、授权和计费的检验计算机(所谓AAA服务器)上信号过载。
发明内容
本发明的任务是提供一种前序部分所述技术的移动电信业务的一种通信系统和一种方法,所述通信系统和方法可以对这样的安全危害采取预防措施开且还适于自动地跟踪现有的有效数据连接。
本发明提供移动电信业务的通信系统,该通信系统包含以下通信单元:通信网络,设定用于基于至少一个因特网协议进行消息传输;至少一个移动计算机;所述移动计算机的一个接入网络,此接入网络采用一种多播过程传输消息;网络连接计算机用作连接所述接入网络和所述通信网络;在接入网络中的多个带有相应的接入点连接计算机的接入点,所述接入点连接计算机设置用于在变换的接入点与移动计算机之间建立通信连接;授权和验证计算机用于在包括网络连接计算机、接入点连接计算机以及授权和验证计算机的多个通信单元之间建立和管理置信关系;其中网络连接计算机和接入点连接计算机设置用于在接收和发送消息的情况下执行一种数据分组筛选方法以在安全性方面保护所述通信系统;其中,网络连接计算机和授权检验连接计算机还设置用于执行一种通过提供所述通信单元的通信协议进行过载控制的方法,以防止因为一个侵入造成的所述通信单元的功能缺失。
根据本发明的利用通信网络来提供移动电信业务的方法,所述通信网络被配置成基于至少一个因特网协议进行消息传输,其中在接入网络内为移动计算机按照一种多播过程来传输消息,其中经由多个接入点在经网络连接计算机与所述通信网络相连的接入网络中分别在该接入网络与一个移动计算机之间建立起一种通信连接,所述移动计算机可以在接入网络中与交替变换的接入点进行通信,其中,借助于授权检验计算机在所述通信系统的包括网络连接计算机、接入点连接计算机以及授权和验证计算机的多个通信单元之间建立和管理置信关系,其中,借助于网络连接计算机以及接入点连接计算机在接收和发送消息的情况下执行一种数据分组筛选方法以在接入网络的边界上在安全性方面保护所述通信系统,并且其中,借助于网络连接计算机以及授权检验计算机通过提供所述通信单元的通信协议来执行一种过载控制,以防止由于一个侵入造成的所述通信单元的功能失灵。
根据本发明的提供一种提供移动电信业务的通信系统具有多个通信单元:一个通信网络设定用于基于至少一个因特网协议进行消息传输。此外至少设置一个移动计算机以及所述移动计算机的接入网络,在此消息采用一种多播方式在所述接入网络中传输。一个网络连接计算机用作连接所述接入网络和所述通信网络。在接入网络中设有多个带有相应的接入点连接计算机的接入点,所述接入点连接计算机设置成可在变换的接入点与移动计算机之间产生通信连接。一个授权和验证计算机用于在多个通信单元之间建立和管理置信关系。网络连接计算机和接入连接计算机设置成在接收和发送消息时执行一种数据分组筛选方法以在安全性方面保护所述通信系统。此外设置网络连接计算机和授权检验计算机以执行一种通过提供一种所述通信单元的通信协议进行过载控制的方法,以防止因为一个侵入造成的所述通信单元的功能缺失。
也就是说,根据本发明,在接收和发送消息时执行一种分组筛选方法以在接入网络的边界在安全性方面保护所述通信系统。并且在所述通信系统的多个通信单元之间建立和管理置信关系,并且还通过为所述通信系统的通信单元提供一种通信协议执行过载控制,以防止因为一个侵入造成的所述通信单元的功能缺失。在此,这些不同的技术的组合尤其具备以下的优点:在接入网络的边界用数据分组筛选方法在安全性方面保护所述通信系统可以保护一个在接入网络中的内部的消息交换免受外部攻击。用所述过载控制首先可以防御对授权检验计算机和网络连接计算机的拒绝服务攻击。在此尤其在所述移动计算机初始的登录过程时和/或在寻呼业务进行或刷新时执行过载控制的方法。这些操作必须通过授权计算机或者网络连接计算机进行。所述过载控制(所谓的基于速率的拥塞控制)可以通过一种Linux网络筛选结构实现,从而使所述过载控制可以在高的程度上与所述分组筛选方法整合。所述过载控制方法还可以在多个层面上执行,尤其是可以分散地在一个地理小区的层面上和中心地在一个全网络负载的层面上进行。由此可以把过载控制方法对所述通信系统的合法使用者的负面影响降到最低。
根据本发明的另一个有利的实施方式,借助于在所述接入网络的一个接入点的相邻的通信单元上的一种密钥分配使得能够在自动跟踪一个现有的网络数据连接的情况下进行一个移动计算机的局域身份验证。由此减少对一个中心的授权检验计算机的信号流,同时使由于验证过程造成的切换延迟的增长最小化。通过分散化地处理切换过程减轻或者抵御对授权检验计算机的拒绝服务攻击,而不损害合法的使用者。
综上所述,本发明为一个在前序部分所描述的通信系统提供对安全危害有效的防护,而不明显地延长切换延迟。过载控制对合法使用者的负面作用被最小化。
涉及所述分组筛选方法的实施,本发明的一个有利的实施方式提出,设置所述网络连接计算机和所述接入点连接计算机以执行一个分组筛选方法,以防御有恶意变更的源地址的一种预定种类的攻击。在此要考虑,一个移动计算机的源地址只应当从所述无线链路的方向出现,非移动的和不属于所述接入网络的通信单元的源地址只应当通过网络连接计算机传输。
附图说明
下面借助于表示本发明的有利的实施方式的附图进一步说明本发明。在附图中:
图1示出一个MOMBASA通信系统的一个基本结构的概况图;
图2示出一个这样的通信系统的示意图以示出单个通信单元之间的置信关系;
图3示出移动计算机在根据本发明的一个通信系统上初始的登录过程;
图4示出在不同的接入点之间更换的情况下一个移动计算机的示例性切换过程;
图5示出所述移动计算机向无活性状态的切换和一个寻呼刷新过程;
图6示出一个示例的寻呼过程;而
图7筛选对一个网络连接计算机的拒绝服务攻击的示例列表。
具体实施方式
图1中示例地示出一个MOMBASA通信系统的结构,所述MOMBASA通信系统具有多个通信单元。一个通信网络IN用作基于至少一个因特网协议传输消息,也就是说实施成因特网网络。此外为一个移动计算机MN设置一个接入网络AN,其中在采用一个多播过程的条件下传输消息。点对多点通信中多播是一种在传输过程中用一个群地址向一个确定的组或者种类的接收机传输一个消息的做法。在接入网络AN中设有多个带有相应的接入点连接计算机MEP的接入点AP,从而相应地为此设置的所谓移动性赋能代理器可以在可变换的接入点AP与所述移动计算机MN之间产生一个通信连接。一个网关形式的一台网络连接计算机GW起连接接入网络AN与因特网IN的作用。为两个终端设备之间的一种通信连接例如通过因特网IN和接入网络AN建立对应的计算机CH和移动计算机MN之间的连接。带有所属接入点连接计算机MEP的接入点AP中的两个通过一个多播路由器MR相互连接。为了建立一个通信连接通过所述移动计算机MN执行移动代理,所述移动代理用于在变换接入点时支持所述移动计算机MN的移动性。
根据本发明网络连接计算机GW和接入点连接计算机MEP设置成在接收和发送消息时执行一种分组筛选方法以在安全性方面保护通信系统。尤其是执行所述分组筛选方法以防护预定种类用恶意改变的源地址的攻击。在此要考虑,移动计算机的源地址只能从无线链路的方向出现,相反非移动的通信单元的源地址和非所述接入网络的部分的通信单元的源地址只通过网络连接计算机GW传输。
在网络连接计算机GM上应当摒弃无线链路的消息和寻呼请求,除非这些消息源自网络连接计算机GW本身。如果从因特网网络发来一个消息,如果所述消息含一个移动计算机或者所述接入网络的一个源地址,或者是一个MOMBASA内部消息或者是遵循因特网群管理协议(IGMP)的或者一个根据协议无关的多播稀疏模式(PIM-SM)的说明在内部由所述接入网络使用的一个多播地址的消息,就应当摒弃该消息。在接入点AP上应当摒弃以下起源于无线链路的消息数据分组:说明一个非移动通信单元的源地址的每个消息数据分组、MEP之间的启事、寻呼请求、寻呼业务的刷新(Paging Updates)和说明在接入网络内部使用的一个多播地址的每个基于IGMP或者基于PIM-SM的消息。如果无线链路的消息出现在上游接口上就应当摒弃该无线链路的消息。
下面的消息数据分组应当只由一个接入点产生,然而却不应当由所述接入点中转,也就是说:如果下面的消息数据分组出现在一个输入方的接口上就应当摒弃之:接入点连接计算机MEP的启事、对登录过程方面的信息传输的应答(MH registration Response,MH:MessageHandling)、IGMP成员报告和IGMP保留群。
在此,所述数据分组筛选方法是用于保护所述通信系统的防火墙的一个相对简单的实现变例。在此所述分组筛选方法不是为保护移动计算机不受攻击,而是仅用于保护接入网络中的内部消息交换不受外部的攻击。
图2中示出在如本发明所述的通信系统中仍然设置一个AAA服务器形式的授权检验计算机的另一个图示。该服务器代表了一个多功能通信服务器,用于完成鉴定人员或者使用者、检验所述人员对一定的应用和资源的访问权(鉴定)以及记录所述人员的活动(计帐)的任务。也就是根据本发明引入一种只向合法的使用者提供电信业务的信赖模式。为此目的,对打算使用由之请求的服务层的移动计算机进行身份鉴定和授权。在此必须针对伪造和人为欺骗保护消息传输的安全,此外还要保护安全紧要的内容不被盗听,例如以一种“窃听攻击”的形式。
为此目的采用一种特别运用一种对称的密码术的方法的安全性结构,例如借助于所谓的密码术散列功能和对称加密。在对称加密的情况下消息受到一种加密操作。在此除了消息本身以外,密钥也是加密操作的另一个输入变量。加密后的消息(密码)可以通过一个不安全的信道发送并且在接收机方借助于密钥解码。为了使该过程是可逆的,发送机和接收机还必须约定一个密钥,所述密钥必须在投入运行之前通过一个安全的信道进行交换。
本发明的安全性结构在永久的和临时的信赖关系之间有区别。在此通过所述授权检验计算机AAA建立和管理至少以下的永久信赖关系之一:
-在每个接入点连接计算机MEP与所述授权检验计算机AAA之间的信赖关系SAMEP:i,AAA,
-在网络连接计算机GW与所述授权检验计算机AAA之间的信赖关系SAGWP,AAA,
-在网络连接计算机GW与每个接入点计算机MEP之间的信赖关系SAGWP,MEP:i,
-在接入点连接计算机MEP的组GCP的接入点连接计算机MEP之间的信赖关系SAMG:i,
-在设置用于接收一个统一的寻呼业务的一个网络区域PA(寻呼区域)中的通信单元之间的信赖关系SAPA:i。
在此信赖关系SAMG:i,只有一个相应的组MCG的成员知道,而信赖关系SAPA:i只有一个寻呼区域PA:i内部的成员知道。
此外由授权检验计算机AAA建立和管理在所述授权检验计算机AAA与所述移动计算机之间的永久信赖关系SAMN:i,AAA,这对于每个在接入网络AN登录的移动计算机发生。在所述移动计算机MN初始登录时通过所述授权检验AAA在所述移动计算机MN与接入网络AN的至少一个通信单元MEP、GM之间建立和管理一个临时的信赖关系SAMN:i,AN。对于外部的使用者局域的AAA服务器可以联系另一个通信网络的另一个AAA服务器,以建立相应的信赖关系。
下面详细地阐述在一个MOMBASA通信系统内部保障协议操作的不同步骤。
如果一个移动计算机在一个MOMBASA通信系统的一个接入网络上进行初始登录,执行一个用于该操作的消息序列,如借助于图3举例示出的那样。
在一个第一步骤中接入点连接计算机MEP按照一种所谓挑战/响应机制发送正常的启事消息。在此涉及一种可以用对称和不对称的加密规则进行的验证方法。在所述方法中验证方向受验证方传输任意一个数,即所谓挑战。受验证方在计算传输的MH登录请求其验证值时考虑该挑战,为防止所谓的重现攻击。一个重现攻击是一种主动攻击,其中攻击者把一个较早的对话期间得到的数据在一个较迟的时间点重新输进一个系统中,以得到所希望的信息。如果没有挑战/响应机制,一名进攻者就有可能侦测出有效的,也就是说经过验证的MH登录请求,并且在另一个接入点连接计算机上或者在一个较迟的时间重新输入。然而如果有挑战/响应机制一名进攻者只能够在合法的移动计算机的同一接入点连接计算机(MEP)处重新输入所述的MH登录请求,并且只在一个短的时间段内能够在效果上取代合法的使用者重复该请求。步骤一在图3中由“MEPadv”代表。
在一个第二步骤中所述移动计算机发送一个包含了上一次挑战的MH登录请求,所述挑战被纳入一个MEP启事中并且已通过信赖关系SAMN: i,AAA得到验证(MH ReqReq)。
在一个第三步骤(KeyReq)中一个接入点连接计算机MEP检验所述挑战的有效性。然而接入点连接计算机MEP不能够确定消息是否被一名进攻者修改过。此接入点连接计算机MEP向AAA服务器发送一个KeyRequest以请求一个密钥,所述请求包含原请求和对请求的参数的附加改变(例如由于一个局域原则所导致的有限寿命)。所述消息用信赖关系SAMEP:i,AAA验证。
在一个第四步骤(KeyRepl)中授权检验计算机AAA检验起源于移动计算机的消息的消息验证代码MAC(Mwssage Authentication Code)和由接入点连接计算机为整个消息产生的消息验证代码MAC,并且鉴定所述的移动计算机所请求的电信业务根据其特性得到了许可。授权检验计算机设计会话信赖关系SAMN:i,AN、用信赖关系SAMEP:i,AAA对会话密钥进行加密并且产生已用信赖关系SAMN:i,AAA验证过的MH登录响应,所述的MH登录响应带有给移动计算机的加密的会话密钥。向提出请求的接入点计算机MEP发送回所述MH登录响应。
在第五步骤(MH Regrepl)中接入点连接计算机MEP传输包含在所述Key Response(密钥响应)中的MH登录响应、解码会话密钥并且把移动计算机登记在其数据库中。
在一个第六步骤(JoinMCG)中接入点连接计算机MEP成为与移动计算机相关联的多播群MCG的部分,并且为该移动计算机设置一个消息传输。
在一个第七步骤中接入点连接计算机MEP把所述移动计算机以及其业务种类和其会话密钥添加在下一个MEP之间的启事中,所述会话密钥用已向相邻的MEP多点广播组发送过的信赖关系SAMG:i加密(IMEPAdv)。
在一个第八步骤(JoinMCG)中相邻的接入点连接计算机MEP产生包含信赖关系SAMN:i,AN的移动计算机的数据库记录,如果所述接入点计算机接收了所述MEP间的启事,所述相邻的接入点连接计算机MEP成为与移动计算机相关联多点广播群的部分,并且开始为所述移动计算机缓冲所述消息传输。
用一个消息验证代码MAC保险所述消息确保只有合法的使用者才能接收一个电信业务,并且不可能消息被修改而不被检测到。对安全紧要的信息加密和在接入网络内部采用消息验证代码针对能够在接入网络内部窃听一个链路而不能损坏接入网络节点的进攻者进行防范。
下面借助于图4详细地说明向一个新的接入点连接计算机MEP的一个切换过程。
在一个第一步骤中由移动计算机确定一个切换的必要性,其中从一个新的接收点连接计算机MEP接收MEP启事(MEP Adv)。
在一个第二步骤(MH RegReq)中移动计算机发送一个带有最后的挑战的MH登录请求,所述最后的挑战已被记录在一个MEP启事中的。在接收网络中已经安排一个会话以后,采用置信关系SAMN:i,AN鉴定所述的消息。
在一个第三步骤(MH ReqRepl)进行:正常情况下新的接入点连接计算机MEP是旧的接入点连接计算机MEP的一个相邻的MEP,并且因此已经具有到来的移动计算机的会话密钥。由此新的MEP可以局部地检验消息鉴定代码MAC,并且产生一个带有置信关系SAMN:i,AN印记的MH登录响应。如果新的接入点连接计算机没有对到来的移动计算机的记录,就向移动计算机表明一个错误,从而使所述移动计算机在此情况下必须进行一种初始的登录过程。
在一个第四步骤中,新的接入点连接计算机MEP为移动计算机进行传输准备并且清空其缓冲寄存器,以补偿切换过程中的消息丢失。
在一个第五步骤(步骤5a和5b)中继续如同开始的登录情况下的过程。
在一个第六步骤(Leave MCG)中,与旧的MEP相邻然而不与新的MEP相邻的接入点连接计算机MEP离开多点广播群。此外,如果所述接入点连接计算机接收不再与移动计算机连接的旧的接入点连接计算机MEP的下一个MEP间的启事,它就删除带有所述置信关系的记录。
下面借助于图5详细地说明处于失活状态的移动计算机的一种过渡。
在一个第一步骤(MH RegReq)中移动计算机向它当前配属的接入点连接计算机MEP发送一个带有一个设定为失活的旗标的MH登录请求,并且用置信关系SAMN:i,AN证明身份。
所述接入点连接计算机MEP在一个第二步骤(PagUpd)中检验所述消息并且向网络连接计算机GW(网关代理器)发送一个寻呼刷新,所述寻呼刷新带有对应的寻呼区域和移动计算机的加密的会话密钥,所述接入点连接计算机MEP用置信关系SAGWP、MEP:i证明身份。
在一个第三步骤(Leave MCG)接入点连接计算机离开多播群MCG并且删除所述移动计算机的记录。
在一个第四步骤中网络连接计算机GW检验所述消息并且为移动计算机产生一个寻呼记录。
在一个第五步骤(步骤5a、5b)中相邻的接入点连接计算机MEP消除所述移动计算机的记录,并且作为接入点连接计算机MEP之间的消息通信的结果离开多播群MCG。
在此一个寻呼刷新进行如下:处于闲置状态的移动计算机定时地(rfischen)更新其驻留位置,然而更新的频率低于在活性状态的频率。在此如借助于图5详细地说明的那样进行以下的步骤:
移动计算机发送一个带有一个失活的旗标的MH登录请求(MHRegReq),并且用一个置信关系SAMN:i,AN证明身份。由于接入点连接计算机MEP并不记录涉及处于闲置状态的移动计算机的每个状态,进行接收的接入点连接计算机不能够检验消息的有效性。对这样的消息可以采用一种过载控制方法。这样一种方法例如可以通过所谓的基于速率的阻塞控制实现以防御对网络连接计算机GW的拒绝服务攻击。
在下一个步骤(PagUpd)中将所述消息作为一则寻呼刷新的消息向网络连接计算机GW传输,并且在所述网络连接计算机GW处进行确证。刷新网络连接计算机GW中的寻呼记录。
从失活的状态向活性的状态的过渡可以由两个事件触发:例如移动计算机将发送消息,或者发给所述移动计算机的消息抵达所述网络连接计算机。在第一种情况下所述移动计算机进行一次如以上所说明的初始登录,在另一种情况下由所述网络连接计算机为所述移动计算机进行一个寻呼处理。
下面参照图6详细地说明一种寻呼处理。当收到发给处于闲置状态的移动计算机MN的消息时,网络连接计算机GW按以下方式进行一种寻呼处理:
在一个第一步骤(PagReq)中所述网络连接计算机用一种多播处理向此前最后一次传输过的寻呼区域传输寻呼请求,所述寻呼请求用置信关系SAMN:i,AN和SAPA:i鉴定。
在一个第二步骤(PagReq)中在该寻呼区域内部的所有接入点连接计算机MEP检验所述寻呼请求,擦除SAPA:i鉴定器并且向此前最后一次使用的连接点传输所述寻呼请求。
在一个第三步骤(MH RegReq)中所述移动计算机证实该寻呼请求并且加带着一种所谓唤醒旗标进行初始登录。
在一个第四步骤(步骤4、4a-4C)中,除有关初始登录的操作外,所述接入点连接计算机MEP附加地向网络连接计算机GW发送一个带有置信关系SAGwp,MEP:i印记的寿命是零的寻呼刷新。
在一个第五步骤中网络连接计算机GW修改所述寻呼刷新并且完成寻呼过程。
根据本发明的通信系统在其安全相干的结构方面还设置用于防御或者防止拒绝服务攻击。为此目的进一步地把网络连接计算机GW和授权检验计算机AAA设置用于执行一种通过为通信单元GW、MEP、AAA和MN提供一种通信协议进行的过载控制方法,以防止由于拒绝服务攻击造成的这些通信单元之一的功能失灵。如前所述,由于在切换过程中分散地在接入点连接计算机MEP上对用户进行身份验证,可以避免对中央授权检验计算机AAA的攻击,从而使一个功能失灵只能带来局部的影响。这样一种功能失灵还可以由简单的事件造成,例如由于数据阻塞造成。另一方面诸如初始登录、闲置周期中的寻呼刷新以及唤醒程序之类的过程必须通过授权检验计算机AAA执行,因为永久存储被划分到分散位置上的机密对所述结构可能意味着更大的伤害性。
为了防御拒绝服务攻击,有利地把授权检验计算机AAA设置成由它执行一个根据令牌-戽斗方法的过载控制方法。在此一种过载控制方法(例如所述基于速率的阻塞控制,参见H.Ohsaki等人所著Rate-Based Congestion Control for ATM Networks.ComputerCommunication Review,ACM SIGCOMM,vol.25 no.2;April 1995,pp60-72)的任务是防止由发送的装置转交的消息超过网络的负荷能力。这方面的一个方法是令牌-戽斗算法,即一种通信平滑的方法,目的是尽可能地把有不连续的通信特性的数据通信变成近似连续的数据流。令牌-戽斗用有限容量的一个中间存储器(戽斗)工作。一个令牌发生器以恒定的速率产生授权符号,即所谓的令牌。发来的数据存放在戽斗中。每令牌从所述斗中放出一个对应量的数据。如果永久地发送得多于约定的,所述斗溢出,就是说导致数据丢失。
这样一种过载控制(速率控制)可以用一种标准Linux芯的网络筛选器/IP列表结构达到。在图7中示出一种列表,表中示出限制消息分组的数量所需要的规则。在此相关应当把造成寻呼请求的消息分组优选地限制到每秒十个长度为20的短脉冲串。所述网络筛选器提供一种模式,所述模式允许把IP地址动态地添加到一个确定的区域内部的一个地址组合中并且可以重新去掉。这可以用于从活性的移动计算机中区分有闲置状态的移动计算机。在图7中所示的列表以被称为活性的组合为前提,所述组合在开始含有所有移动计算机的地址,其中通过网络连接计算机GW从所述组合中去掉在闲置状态的移动计算机。
如果在网络连接计算机GW处出现一个输入的消息数据分组,就确定它是否与主列表中的1号规则相符。如果在所述目标地址包含在名为active组合中(-m组合:加载模式组合、-dst组合活性的:在活性的组合中查找目的地址),就接受它。2号规则只用于指向闲置状态中的移动计算机的消息数据分组。该规则只可以每秒十次以一个短脉冲串长度实施,所述短脉冲串长度相当于更新速率的两倍,也就是说20个消息数据分组(-m限制:加载模式限制、-限制10/s:限制10/s,-限制短脉冲串2:短脉冲串长度20个数据分组)。如果可以采用该规则,在闲置列表中继续进行处理(-j闲置)。不可以用1号规则或者2号规则的所有其它的消息分组可以用3号规则并且拒收。
在闲置列表中的1号规则的用途是,将所述消息分组的目标地址添加至所述名为active的组合中(-j组合:执行组合操作,-组合active-add-dst-ip:向所述组合active添加所述分组的目标地址)。这样做的原因是,在同一目标上附加的消息分组不触发进一步的寻呼过程,而是通过网络连接计算机GW缓冲寄存在一个环形缓冲寄存器中。因此可以用与活性的移动计算机上的消息数据分组相同的方式通过分组筛选器处理它们。2号规则发起触发寻呼过程的消息,以被接受。
通过速率控制器进行的操作不是时间紧要的。
一般地只有第一次联系所述通信网络才进行初始登录,一个寻呼过程一般地处在通信活动开始时,和寻呼刷新消息总归只是不完全地通知所述移动计算机的位置。因此由于过载控制造成的一定的延迟时间在较高的网络负荷下也是可以接受的。当然,如果正处在一个拒绝服务攻击的状态中,也会波及到合法的使用者,然而却只是在侵入者刚好利用了的操作方面。因此拒绝服务攻击被限制在局部,而如果没有本发明,所述攻击就会波及整个接入网络以及登录在所述接入网络中的使用者。根据本发明一个这样的攻击只限于当前没有活性的部分使用者和正偿试初始登录的使用者。
Claims (16)
1.提供移动电信业务的通信系统,该通信系统包含以下通信单元:
-通信网络(IN),设定用于基于至少一个因特网协议进行消息传输,
-至少一个移动计算机(MN),
-所述移动计算机(MN)的接入网络(AN),此接入网络采用一种多播过程传输消息,
-网络连接计算机(GW)用作连接所述接入网络(AN)和所述通信网络(IN),
-在接入网络中的多个带有相应的接入点连接计算机(MEP)的接入点(AP),所述接入点连接计算机设置用于在变换的接入点(AP)与移动计算机(MN)之间建立通信连接,
-授权和验证计算机(AAA)用于在包括网络连接计算机(GW)、接入点连接计算机(MEP)以及授权和验证计算机(AAA)的多个通信单元之间建立和管理置信关系(SA),
-其中网络连接计算机(GW)和接入点连接计算机(MEP)设置用于在接收和发送消息的情况下执行一种数据分组筛选方法以在安全性方面保护所述通信系统,
-其中,网络连接计算机(GW)和授权检验连接计算机(AAA)还设置用于执行一种通过提供所述通信单元的通信协议进行过载控制的方法,以防止因为侵入造成的所述通信单元的功能缺失。
2.如权利要求1所述的通信系统,
其特征在于,
网络连接计算机(GW)和接入点连接计算机(MEP)设置用于执行一种数据分组筛选方法,以防御预定种类的恶意改变源地址的入侵。
3.如权利要求1或2所述的通信系统,
其特征在于,
网络连接计算机(GW)和接入点连接计算机(MEP)设置用于执行一种数据分组筛选方法以保护接入网络(AN)中的内部的消息交换不受到外部袭击。
4.如以上权利要求1-2中任一项所述的通信系统,
其特征在于,
授权检验计算机(AAA)设置用于设置和管理至少一个永久的置信关系(SA)于:
-每个接入点连接计算机(MEP)和授权检验计算机(AAA)之间,
-网络连接计算机(GW)和授权检验计算机(AAA)之间,
-网络连接计算机(GW)和每个接入点连接计算机(MEP)之间,
-一组接入点连接计算机(MEP)的接入点连接计算机(MEP)之间,
-在网络区域(PA)中的通信单元之间用于接收一种统一的寻呼业务。
5.如以上权利要求1-2中任一项所述的通信系统,
其特征在于,
授权检验计算机(AAA)设定和管理授权检验计算机(AAA)与移动计算机(MN)之间的永久的置信关系(SA)。
6.如以上权利要求1-2中任一项所述的通信系统,
其特征在于,
授权检验计算机(AAA)在移动计算机(MN)的初始登录时在移动计算机(MN)与接入网络(AN)的所述通信单元中的至少一个之间建立和管理一种临时的置信关系(SA)。
7.如以上权利要求1-2中任一项所述的通信系统,
其特征在于,
授权检验计算机(AAA)设置用于执行一种根据令牌戽斗方法的过载控制方法。
8.利用通信网络(IN)来提供移动电信业务的方法,所述通信网络(IN)被配置成基于至少一个因特网协议进行消息传输,
-其中在接入网络(AN)内为移动计算机(MN)按照一种多播过程来传输消息,
-其中经由多个接入点(AP)在经网络连接计算机(GW)与所述通信网络(IN)相连的接入网络(AN)中分别在该接入网络(AN)与移动计算机(MN)之间建立起一种通信连接,所述移动计算机(MN)可以在接入网络(AN)中与交替变换的接入点(AP)进行通信,
-其中,借助于授权检验计算机(AAA)在所述通信系统的包括网络连接计算机(GW)、接入点连接计算机(MEP)以及授权和验证计算机(AAA)的多个通信单元之间建立和管理置信关系,
-其中,借助于网络连接计算机(GW)以及接入点连接计算机(MEP)在接收和发送消息的情况下执行一种数据分组筛选方法以在接入网络(AN)的边界上在安全性方面保护所述通信系统,并且
-其中,借助于网络连接计算机(GW)以及授权检验计算机(AAA)通过提供所述通信单元的通信协议来执行一种过载控制,以防止由于侵入造成的所述通信单元的功能失灵。
9.如权利要求8所述的方法,
其特征在于,
执行一种数据分组筛选方法,以防御预定种类的恶意改变源地址的入侵。
10.如权利要求8或9所述的方法,
其特征在于,
执行一种数据分组筛选方法以保护接入网络(AN)中的内部的消息交换不受到外部入侵。
11.如权利要求8至9中任一项所述的方法,
其特征在于,
借助于对所述接入网络(AN)的一个接入点(AP)的相邻的通信单元上的一种密钥分配使得另一个接入点(AP)通过自动跟踪一个现有的网络数据连接进行一个移动计算机(MN)的局域内的身份验证。
12.如权利要求8至9中任一项所述的方法,
其特征在于,
在所述移动计算机(MN)的初始登录过程中和/或在执行或者更新寻呼服务时执行所述的过载控制方法。
13.如权利要求8至9中任一项所述的方法,
其特征在于,
通过一种Linux网络筛选器结构实现所述的过载控制方法。
14.如权利要求8至9中任一项所述的方法,
其特征在于,
在多个层面上执行所述的过载控制方法。
15.如权利要求14所述的方法,
其特征在于,
分散地在地理小区的层面上和中央地在整个网络负载的层面上执行所述的过载控制方法。
16.如权利要求8至9中任一项所述的方法,
其特征在于,
所述的过载控制方法根据一种令牌戽斗的方法来执行。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102004047692.6 | 2004-09-30 | ||
| DE102004047692A DE102004047692A1 (de) | 2004-09-30 | 2004-09-30 | Kommunikationssystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101061450A CN101061450A (zh) | 2007-10-24 |
| CN100538588C true CN100538588C (zh) | 2009-09-09 |
Family
ID=35429390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005800108871A Expired - Fee Related CN100538588C (zh) | 2004-09-30 | 2005-08-29 | 通信系统和提供移动通信业务的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8688077B2 (zh) |
| EP (1) | EP1721235B1 (zh) |
| CN (1) | CN100538588C (zh) |
| DE (2) | DE102004047692A1 (zh) |
| WO (1) | WO2006034935A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769402B2 (en) * | 2009-03-03 | 2014-07-01 | Admeta Aktiebolag | Method for optimising the placement of at least two pieces of information |
| US9107048B2 (en) * | 2009-06-29 | 2015-08-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and systems for mobile IP route optimization |
| US8831568B2 (en) * | 2011-09-27 | 2014-09-09 | Qualcomm Incorporated | Automatic configuration of a wireless device |
| US9031050B2 (en) | 2012-04-17 | 2015-05-12 | Qualcomm Incorporated | Using a mobile device to enable another device to connect to a wireless network |
| TWI469599B (zh) * | 2012-06-08 | 2015-01-11 | Arcadyan Technology Corp | 無線行動通訊方法 |
| US9215591B2 (en) | 2012-12-06 | 2015-12-15 | At&T Intellectual Property I, L.P. | Security for network load broadcasts over cellular networks |
| JP2020108070A (ja) * | 2018-12-28 | 2020-07-09 | 株式会社東芝 | 通信制御装置および通信制御システム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI100158B (fi) * | 1995-11-09 | 1997-09-30 | Nokia Telecommunications Oy | Liikenteen ohjaus tietoliikennejärjestelmässä |
| US6483912B1 (en) * | 1998-08-04 | 2002-11-19 | At&T Corp. | Method for allocating network resources |
| US6615186B1 (en) * | 2000-04-24 | 2003-09-02 | Usa Technologies, Inc. | Communicating interactive digital content between vehicles and internet based data processing resources for the purpose of transacting e-commerce or conducting e-business |
| US7441265B2 (en) * | 2000-08-04 | 2008-10-21 | Prismtech Gmbh | Method and system for session based authorization and access control for networked application objects |
| US6954790B2 (en) | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US6934533B2 (en) * | 2001-05-30 | 2005-08-23 | Nortel Networks Limited | Voucher redemption in mobile networks |
| CA2388938C (en) * | 2001-06-08 | 2010-05-04 | The Distributions Systems Research Institute | Terminal-to-terminal communication connection control system for ip full service |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| US7339928B2 (en) * | 2001-08-29 | 2008-03-04 | Alcatel Lucent | Micro-mobility network routing system and method |
| KR100446240B1 (ko) * | 2001-12-05 | 2004-08-30 | 엘지전자 주식회사 | 이동통신 시스템의 방송형 무선 데이터 서비스 방법 |
| EP1742422B1 (en) * | 2001-12-26 | 2014-01-22 | Kabushiki Kaisha Toshiba | Wireless communication apparatus |
| KR100765123B1 (ko) * | 2002-02-16 | 2007-10-11 | 엘지전자 주식회사 | Srns 재할당 방법 |
| US7054646B2 (en) * | 2002-10-17 | 2006-05-30 | Nokia Corporation | Transmission method in a communication system |
| US7499401B2 (en) | 2002-10-21 | 2009-03-03 | Alcatel-Lucent Usa Inc. | Integrated web cache |
| US7565688B2 (en) * | 2002-12-23 | 2009-07-21 | Hewlett-Packard Development Company, L.P. | Network demonstration techniques |
| US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
-
2004
- 2004-09-30 DE DE102004047692A patent/DE102004047692A1/de not_active Withdrawn
-
2005
- 2005-08-29 US US11/547,815 patent/US8688077B2/en not_active Expired - Fee Related
- 2005-08-29 DE DE502005001186T patent/DE502005001186D1/de active Active
- 2005-08-29 EP EP05786876A patent/EP1721235B1/de not_active Not-in-force
- 2005-08-29 WO PCT/EP2005/054245 patent/WO2006034935A1/de active IP Right Grant
- 2005-08-29 CN CNB2005800108871A patent/CN100538588C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1721235A1 (de) | 2006-11-15 |
| DE502005001186D1 (de) | 2007-09-20 |
| EP1721235B1 (de) | 2007-08-08 |
| DE102004047692A1 (de) | 2006-04-13 |
| CN101061450A (zh) | 2007-10-24 |
| US20070287422A1 (en) | 2007-12-13 |
| WO2006034935A1 (de) | 2006-04-06 |
| US8688077B2 (en) | 2014-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101421970B (zh) | 避免服务器对客户端状态的存储 | |
| CN100538588C (zh) | 通信系统和提供移动通信业务的方法 | |
| Yan et al. | Providing location security in vehicular ad hoc networks | |
| CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| Li et al. | To lie or to comply: Defending against flood attacks in disruption tolerant networks | |
| US6345299B2 (en) | Distributed security system for a communication network | |
| CN103701700B (zh) | 一种通信网络中的节点发现方法及系统 | |
| US20060075506A1 (en) | Systems and methods for enhanced electronic asset protection | |
| CN1997974B (zh) | 内容保护入场券系统和方法 | |
| WO2003053024A1 (en) | Communicating data securely within a mobile communications network | |
| Oliveira et al. | LHA-SP: Secure protocols for hierarchical wireless sensor networks | |
| CN101227339B (zh) | 一种基于内容和/或ip地址的数据业务监控方法 | |
| CN104811934B (zh) | 基于IPv6编址的无线传感器网络安全路由方法 | |
| Devanagavi et al. | Secured routing in wireless sensor networks using fault‐free and trusted nodes | |
| CN100561912C (zh) | 基于群签名的移动代理安全路由方法 | |
| CN117336183A (zh) | 一种基于国密算法的宽带自组网通信系统 | |
| Selvakumar et al. | Secure group key management protocol for mobile ad hoc networks | |
| Diep et al. | Detecting flooding attack in delay tolerant networks by piggybacking encounter records | |
| Woungang et al. | Comparison of two security protocols for preventing packet dropping and message tampering attacks on AODV-based mobile ad Hoc networks | |
| Kaibalina et al. | Security and privacy in VANETs | |
| Virendra et al. | Securing information through trust management in wireless networks | |
| Gilaberte et al. | A secure routing protocol for ad hoc networks based on trust | |
| Dhillon | Vulnerabilities & Attacks in Mobile Adhoc Networks (MANET). | |
| Mathi et al. | A flattened architecture for distributed mobility management in IPv6 networks | |
| Ma et al. | A flow-level architecture for balancing accountability and privacy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SIEMENS ENTPR COMM GMBH + CO. K. Free format text: FORMER OWNER: SIEMENS AG Effective date: 20120418 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120418 Address after: Munich, Germany Patentee after: Siemens Entpr Comm GmbH & Co. K. Address before: Munich, Germany Patentee before: Siemens AG |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090909 Termination date: 20160829 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |