DE10117930B4 - Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens - Google Patents

Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens Download PDF

Info

Publication number
DE10117930B4
DE10117930B4 DE2001117930 DE10117930A DE10117930B4 DE 10117930 B4 DE10117930 B4 DE 10117930B4 DE 2001117930 DE2001117930 DE 2001117930 DE 10117930 A DE10117930 A DE 10117930A DE 10117930 B4 DE10117930 B4 DE 10117930B4
Authority
DE
Germany
Prior art keywords
unit
data
line
units
subscriber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE2001117930
Other languages
English (en)
Other versions
DE10117930A1 (de
Inventor
Steffen Kessler
Frank Sporleder
Stefan Taus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE2001117930 priority Critical patent/DE10117930B4/de
Publication of DE10117930A1 publication Critical patent/DE10117930A1/de
Application granted granted Critical
Publication of DE10117930B4 publication Critical patent/DE10117930B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/125Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Verfahren zur Verschlüsselung von zu übertragenden Daten zwischen zumindest einem ersten und einem zweiten Telekommunikationsteilnehmer (12, 14) über ein Telekommunikationsnetz (10) mit einer jedem Telekommunikationsteilnehmer (12, 14) zugeordneten, eine Leitungsabschlusseinrichtung (36) – Line-Termination-(LT)-Einrichtung – und einen Hauptverteiler u. ä. umfassenden Vermittlungsstelle (24, 34), an die eine bis zu einer Netzabschlusseinrichtung (20, 30) verlaufende Anschlussleitung (22, 32) angeschlossen ist, mit einer ersten sowie zweiten Einheit (46, 56) jeweils zum Verschlüsseln der kommenden unverschlüsselten Daten und zum Entschlüsseln der kommenden verschlüsselten Daten, wobei die beiden Einheiten (46, 56) einen Verschlüsselungsbereich (96) begrenzen, in dem die zwischen dem ersten und dem zweiten Telekommunikationsteilnehmer (12, 14) übertragenen Daten zumindest teilweise verschlüsselt werden, wobei der Verschlüsselungsbereich (96) so gewählt wird, dass dieser nur den zumindest einem Telekommunikationsteilnehmer (12, 14) zugeordneten Bereich von der Vermittlungsstelle (24, 34) über die Anschlussleitung (22, 32) und zu der Netzabschlusseinrichtung (20, 30) umfasst, dadurch gekennzeichnet, dass die erste Einheit (46) dem Hauptverteiler nachgeordnet wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Verschlüsselung von zu übertragenden Daten gemäß der im Oberbegriff des Anspruches 1 angegebenen Art sowie eine Schaltungsanordnung zur Durchführung des Verfahrens gemäß Anspruch 16
  • Verfahren zur Verschlüsselung von zu übertragenden Daten über ein Telekommunikationsnetz sind schon seit längerem bekannt. Hierfür besitzt ein erster Telekommunikationsteilnehmer eine erste Einheit zum Verschlüsseln der zu übertragenden unverschlüsselten Daten und zum Entschlüsseln der verschlüsselten ankommenden Daten, die mit seiner Telekommunikationsendeinrichtung zusammenwirken. Eine entsprechende zweite Einheit besitzt der zweite Telekommunikationsteilnehmer, die mit seiner Telekommunikationsendeinrichtung zusammenwirkt. Die Daten des ersten Telekommunikationsteilnehmers werden bei einer Verbindung mit dem zweiten Telekommunikationsteilnehmer durch die erste Einheit des ersten Telekommunikationsteilnehmers verschlüsselt und beim zweiten Telekommunikationsteilnehmer durch die zweite Einheit entschlüsselt. Entsprechend werden die Daten des zweiten Telekommunikationsteilnehmers von der zweiten Einheit verschlüsselt und von der ersten Einheit des ersten Telekommunikationsteilnehmers entschlüsselt. Der Verschlüsselungsbereich umfasst dabei die gesamte Telekommunikationsverbindung vom ersten Telekommunikationsteilnehmer zum zweiten Telekommunikationsteilnehmer. Hierdurch können der erste und der zweite Telekommunikationsteilnehmer verschlüsselte Daten zueinander übermitteln, die jeder auch wieder entschlüsseln kann.
  • Nachteilig daran ist jedoch, dass nur Telekommunikationsteilnehmer verschlüsselte Daten austauschen können, die über einander entsprechende, d. h. auf dem gleichen Schlüssel basierende, mit den Telekommunikationsendeinrichtungen zusammenwirkende Einheiten zum Verschlüsseln und Entschlüsseln aufweisen.
  • Bisher galten digitale Telekommunikationsnetze, die insbesondere auf dem ISDN-Standard basieren, als abhörsicher. Dies ist jedoch nicht der Fall, da derzeit der Bereich zwischen Vermittlungsstelle und Netzabschlusseinrichtung eines Telekommunikationsteilnehmers für Qualitätsbetrachtungen gemonitort und somit abgehört werden kann.
  • Jedem Telekommunikationsteilnehmer ist dabei eine Vermittlungsstelle zugeordnet, die jeweils eine Leitungsabschlusseinrichtung – Line-Termination-(LT)-Einheit –, einen Hauptverteiler und ähnliches aufweist. Die Vermittlungsstelle ist über eine Anschlussleitung mit einer beim zugeordneten Telekommunikationsteilnehmer befindlichen Netzabschlusseinrichtung, bei ISDN der NTBa-Einheit, verbunden.
  • Der Bereich, der der Netzabschlusseinrichtung von der Vermittlungsstelle kommend nachgeordnet ist, liegt in der Verantwortung und somit in der Kontrolle und Überwachung des Telekommunikationsteilnehmers. Für die Strecke von der Vermittlungsstelle bis zur Netzabschlusseinrichtung über die Anschlussleitung ist der Telekommunikationsnetzbetreiber verantwortlich.
  • Die Vermittlungsstelle ist sicher, da diese für Dritte nicht zugänglich ist. Jedoch können die Anschlussleitungen abgehört werden, insbesondere in den Bereichen, die sich in der Nähe des Telekommunikationsteilnehmers befinden, beispielsweise in Schaltschränken im Haus des Telekommunikationsteilnehmers.
  • Das der Vermittlungsstelle vorgeschaltete Telekommunikationsnetz ist demgegenüber sicher, da nicht vorhersehbar ist, welcher Vermittlungsweg für eine Telekommunikationsverbindung gewählt wird. Für ein Abhören müssten nämlich alle der Leitungseinrichtung des abzuhörenden Telekommunikationsteilnehmers vorgeordneten Leitungen überwacht werden, doch selbst dann wären die erfassten Signale nicht sinnvoll zu entschlüsseln.
  • DE 195 21 485 A1 betrifft eine Verfahren und eine Vorrichtung zur Übermittlung von vertraulichen und authentischen Verbindungsaufbau- und/oder Service-Informationen zwischen teilnehmerseitigen Datenendeinrichtungen und einer oder mehreren Vermittlungsstellen eines digitalen Kommunikationsnetzes mit wenigstens einer teilnehmerseitigen Netzabschlusseinrichtung, an die wenigstens eine Datenendeinrichtung anschaltbar ist, wenigstens einer ersten, bei einem Teilnehmer angeordneten Sicherheitseinrichtung und wenigstens einer zweiten, der Vermittlungsstelle zugeordneten Sicherheitseinrichtung mit folgenden Verfahrensschritten: Ver- und/oder Entschlüsseln der Verbindungsaufbau und/oder Serviceinformationen durch die teilnehmerseitige erste Sicherheitseinrichtung, Übertragen der verschlüsselten Verbindungsaufbau und/oder Serviceinformationen zwischen der ersten und der zweiten Sicherheitseinrichtung, Ver- und/oder Entschlüsseln der Verbindungsaufbau und/oder Serviceinformationen durch die zweite Sicherheitseinrichtung. Wenigstens bei einem Teilnehmer ist eine erste Sicherheitseinrichtung angeordnet. Der Vermittlungsstelle ist eine Zusatzeinrichtung vorgeschaltet, in der wenigstens eine zweite Sicherheitseinrichtung angeordnet ist.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Verschlüsselung von zu übertragenden Daten gemäß der im Oberbegriff des Anspruches 1 angegebenen Art sowie eine Schaltungsanordnung zur Durchführung des Verfahrens derart weiter zu entwickeln, dass unter Vermeidung der genannten Nachteile eine abhörsichere Datenübertragung mit einem einfachen Verfahren und bei einfachster Gestaltung geschaffen wird.
  • Diese Aufgabe wird für das Verfahren durch die kennzeichnenden Merkmale des Anspruches 1 in Verbindung mit seinen Oberbegriffsmerkmalen gelöst.
  • Für die Schaltungsanordnung wird diese Aufgabe durch die Merkmale des Anspruches 16 gelöst.
  • Die Unteransprüche bilden vorteilhafte Weiterbildungen der Erfindung.
  • Der Erfindung liegt die Erkenntnis zugrunde, dass es angesichts des sicheren Telekommunikationsnetzes ausreichend ist, den verbleibenden unsicheren Bereich zwischen Vermittlungsstelle und Netzabschlusseinrichtung zu verschlüsseln. Hierdurch wird eine flexiblere Gestaltung für jeden Telekommunikationsteilnehmer geschaffen, die zudem kostengünstig, ohne großen Aufwand und bedarfsorientiert zu realisieren ist.
  • Nach der Erfindung wird daher der Verschlüsselungsbereich so gewählt, dass dieser nur den zumindest einem Telekommunikationsteilnehmer zugeordneten Bereich von der Vermittlungsstelle über die Anschlussleitung und zu der Netzabschlusseinrichtung umfasst. Dieser durch das Abhören gefährdete Bereich kann durch die Verschlüsselung der zu übertragenden Daten nun nicht mehr abgehört werden.
  • Des Weiteren ist es nunmehr möglich, dass ein erster Telekommunikationsteilnehmer einen Verschlüsselungsbereich nach der Erfindung besitzt, ein zweiter jedoch nicht. Die zu übertragenden Daten sind trotzdem sicher, da in der Regel nur ein bestimmter Telekommunikationsteilnehmer abgehört wird, dieser sich nun entsprechend der Erfindung schützen kann. Zudem ist beim Abhören nicht vorhersehbar, welchen zweiten Telekommunikationsteilnehmer der erste Telekommunikationsteilnehmer gerade anruft, um über den zweiten Telekommunikationsteilnehmer den ersten Telekommunikationsteilnehmer abzuhören.
  • Für den Bereich nach der Netzabschlusseinrichtung ist, wie oben erwähnt, der Telekommunikationsteilnehmer selbst verantwortlich und kann eigene Maßnahmen für die Sicherheit der zu übertragenden Daten treffen.
  • Der Verschlüsselungsbereich nach der Erfindung lässt sich einfach in den bestehenden Telekommunikationsnetzen realisieren, weil die erste Einheit aber auch der Leitungsabschlusseinrichtung in Richtung auf den zugeordneten Telekommunikationsteilnehmer nachgeordnet wird, beispielsweise in der Vermittlungsstelle zwischen der Leitungsabschlusseinrichtung und dem Hauptverteiler oder dem Hauptverteiler in Richtung auf den zugeordneten Telekommunikationsteilnehmer.
  • Die erste Einheit kann auch in der Vermittlungsstelle in die Leitungsabschlusseinrichtung integriert werden. Dies hat den Vorteil, dass die Leitungsabschlusseinrichtung zusammen mit der ersten Einheit gefertigt wird und keine zusätzlichen Einbauten nachträglich vorgenommen werden müssen.
  • Die zweite Einheit wird vorzugsweise in die Netzabschlusseinrichtung integriert, weil sich dies ohne größeren Aufwand realisieren lässt.
  • Auf Wunsch des Telekommunikationsteilnehmers kann der Netzbetreiber nunmehr ohne weiteres die Netzabschlusseinheit austauschen und entsprechend der oben genannten Alternativen in der Vermittlungsstelle die erste Einheit entweder in die Leitungsabschlusseinrichtung oder an der angegebenen Stelle der Anschlussleitung einbringen, um damit dem Telekommunikationsteilnehmer eine sichere Anschlussleitung zur Verfügung zu stellen. Die Anschlussleitung ist der der Leitungsabschlusseinrichtung zu dem Telekommunikationsteilnehmer nachgeordnete Leistungsteil.
  • Vorzugsweise wird dieses Verfahren in einem digitalen Telekommunikationsnetz angewendet, das insbesondere dem ISDN-Standard entspricht. Der Eingang/Ausgang zu der Anschlussleitung ist eine Uk0-Schnittstelle.
  • Dabei ist es ausreichend, dass die B-Kanäle und der D-Kanal verschlüsselt werden, sodass eine Auswertung der zu übertragenden Nutzdaten nahezu unmöglich wird. Der D-Kanal soll auch verschlüsselt werden, damit aus möglichen Aufzeichnungen keine Schlussforderungen gezogen werden können, die dem Datenschutzgesetz unterliegen, z. B. wer mit wem, wann und wie lange telefoniert hat.
  • Sämtliche zu übertragende Daten können nicht verschlüsselt werden, da diese zur Aufrechterhaltung des Betriebes notwendig sind, beispielsweise zur Aktivierung der Verbindung und zur Synchronisation des Datenstroms mit dem Takt der Vermittlungsstelle.
  • In der Netzabschlusseinrichtung eines ISDN-Telekommunikationsnetzes, also der NTBa, ist eine ISDN-Echocancellation-Circuit-(IEC)-Einheit und eine T/S-Bus-Converter-(SBC)-Einheit vorhanden. Auf einfache Weise kann daher die zweite Einheit zwischen dieser ISDN-Echocancellation-Circuit-Einheit und der T/S-Bus-Converter-Einheit eingebracht werden. Zudem hat die Modifizierung der Netzabschlusseinrichtung mit der zweiten Einheit den Vorteil, dass die Netzabschlusseinrichtung zur Implementierung des Verfahrens nach der Erfindung nur ersetzt werden muss, unabhängig davon, wie viele Endeinrichtungen geschlossen werden sollen.
  • Es ist bekannt, in der Anschlussleitung ein Monitoring zur Qualitätsbetrachtung über eine UK0-Schnittstelle in der Anschlussleitung eines ISDN-Basisanschlusses durchzuführen. Hierfür werden so genannte Uk0-Schnitt-stellen verwendet.
  • Nach einer Ausführungsform der Erfindung wird daher die erste Einheit in eine Uk0-Schnittstelle zwischen zwei ISDN-Echocancellation-Circuit-Einheiten eingebracht. Auf einfache Weise kann dadurch die erste Einheit in bestehende Telekommunikationsarchitekturen eingebunden werden.
  • Die erste Einheit wirkt dabei vorzugsweise mit einer Schalteinrichtung zusammen, um bedarfsweise die erste Einheit zu aktivieren oder zu deaktivieren. Dies ist notwendig, da erst nach Aktivierung der Anschlussleitung und nach erfolgter Synchronisation des Arbeitstaktes die erste Einheit aktiviert werden kann. Mit Aktivieren der ersten Einheit werden die Daten verschlüsselt. Liegt jedoch kein Bittakt und kein Rahmentakt mehr an, ist also die Verbindung wieder unterbrochen, wird die erste Einheit wieder deaktiviert, um für das nächste Mal wieder einen Verbindungsaufbau zu ermöglichen.
  • Ein Problem ist nun, dass die Verschlüsselung der Daten, beispielsweise durch die erste Einheit, Zeit benötigt. Nach einer Ausführungsform der Erfindung wirkt daher die erste Einheit mit einer Taktaufbereitungseinheit zusammen, die die verschlüsselten Nutzdaten mit dem Rahmentakt – Frame – und dem Bittakt – Clock – synchronisiert.
  • Gemäß einer Ausführungsform der Erfindung ist parallel zur ersten Einheit zwischen den zwei ISDN-Echocancellation-Curcuit-Einheiten eine PLL-Schaltung vorgesehen, damit der Arbeitstakt der ISDN-Echocancellation-Curcuit-Einheiten auf den Uk0-Schnittstellen-Takt aufsynchronisiert wird.
  • Vorzugsweise wird die Verschlüsselung von einem digitalen Signal-Prozessor – DSP – durchgeführt.
  • Insbesondere wird als Verschlüsselungsalgorithmus der Blowfish-Algorithmus von Bruce Schneier verwendet, der einen 64-Bit-Blockchiffre mit einer Schlüssellänge bis zu 448 Bit bildet. Das Grundprinzip ist ein Feistelchiffre mit 16 Runden. Er gilt bis heute als sicher.
  • Um, wie oben beschrieben, nur die relevanten Daten/Bits zu verschlüsseln und um eventuelle Bitfehler auf der Übertragungsstrecke zu kompensieren, wird der Blockchiffre nach dem Blowfish-Algorithmus in einen selbstsynchronisierenden Stromchiffre umgebaut. Hierzu wird ein so genannter Cipher-Feed-Back-(CFB)-Modus verwendet. Durch dieses Verfahren in Form einer Schlüsseltextrückführung wird erreicht, dass, selbst wenn ein Bitfehler im Verschlüsselungsbereich auftritt, nach dem ersten ankommenden intakten Block – hier ein 64-Bit-Block – die Einheit des Entschlüsslers sich wieder auf die Einheit des Verschlüsslers synchronisiert. An der Stelle des Programmcodes, an der die Betriebsart des CFB-Modus programmiert wurde, erfolgt auch die Auswahl der relevanten Bits.
  • Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung zur Verschlüsselung von zu übertragenden Daten ergeben sich aus der nachfolgenden Beschreibung in Verbindung mit dem in der Zeichnung dargestellten Ausführungsbeispiel.
  • Die Erfindung wird im folgenden anhand des in der Zeichnung dargestellten Ausführungsbeispiels näher beschrieben. In der Beschreibung, in den Patentansprüchen, in der Zusammenfassung und der Zeichnung werden die in der hinten angeführten Liste der Bezugszeichen verwendeten Begriffe zugeordneten Bezugszeichen verwendet. In der Zeichnung bedeutet:
  • 1 eine schematische Darstellung eines Telekommunikationsnetzes mit zwei Telekommunikationsteilnehmern zur Durchführung des Verfahrens nach der Erfindung;
  • 2 eine schematische Darstellung einer Vermittlungsstelle, einer Anschlussleitung und einer Netzabschlusseinrichtung;
  • 3 ein Blockschaltbild einer Uk0-Schnittstelle mit einer ersten Einheit in der Vermittlungsstelle, und
  • 4 eine schematische Darstellung des Verschlüsselungsverfahrens nach dem Blowfish-Algorithmus mit Cipher-Feed-Back-(CFB)-Modus.
  • In 1 ist schematisch ein digitales, auf ISDN basierendes Telekommunikationsnetz 10 mit einem ersten Telekommunikationsteilnehmer 12 sowie einem zweiten Telekommunikationsteilnehmer 14 dargestellt.
  • Der erste Telekommunikationsteilnehmer 12 besitzt eine erste ISDN-Telekommunikationsendeinrichtung 16, die über eine erste Leitung 18 mit einer ersten Netzabschlusseinrichtung 20 – NTBa – verbunden ist.
  • Die erste Netzabschlusseinrichtung 20 ist über eine erste Anschlussleitung 22 mit einer dem ersten Telekommunikationsteilnehmer 12 zugeordneten Vermittlungsstelle 24 verbunden.
  • Der zweite Telekommunikationsteilnehmer 14 ist mit einer zweiten ISDN-Telekommunikationsendeinrichtung 26 versehen, die über eine zweite Leitung 28 mit einer zweiten Netzabschlusseinrichtung 30 – NTBa – verbunden ist. Die zweite Netzabschlusseinrichtung 30 ist wiederum über eine zweite Anschlussleitung 32 mit einer dem zweiten Telekommunikationsteilnehmer 14 zugeordneten Vermittlungsstelle 34 verbunden.
  • Über das Telekommunikationsnetz 10 kann eine Verbindung zwischen den beiden Telekommunikationsteilnehmern 12 und 14 in bekannter Weise hergestellt werden.
  • Selbstverständlich sind an das Telekommunikationsnetz 10 eine Vielzahl von weiteren Telekommunikationsteilnehmern angeschlossen.
  • In 2 sind die Vermittlungsstelle 24, die dem ersten Telekommunikationsteilnehmer 12 zugeordnet ist, sowie die erste Netzabschlusseinrichtung 20 mit der ersten Anschlussleitung 22 dargestellt. Die Vermittlungsstelle 34 des zweiten Telekommunikationsteilnehmers 14 ist dabei entsprechend aufgebaut.
  • In der ersten Vermittlungsstelle 24 ist eine Leitungsabschlusseinrichtung 36 – Line-Termination-LT-Einrichtung – vorgesehen. Von der Leitungsabschlusseinrichtung 36 führt eine Leitung 38 zu einer Uk0-Schnittstelle 40, die zwei hintereinander angeordnete ISDN-Echocancellation-Circuit-Einheiten 42 und 44, im folgenden IEC-Einheiten, aufweist.
  • Zwischen die beiden IEC-Einheiten 42 und 44 ist ein digitaler Signal-Prozessor 46 – DSP – zwischengeschaltet, der als erste Einheit zum Verschlüsseln und Entschlüsseln der Daten dient.
  • Die erste IEC-Einheit 42 weist einen Datenausgang DO und einen Datenausgang DI auf. Entsprechend ist die zweite IEC-Einheit 44 ausgebildet. Der Datenausgang DO der ersten IEC-Einheit 42 ist über den digitalen Signal-Prozessor 46 mit dem Dateneingang DI der zweiten IEC-Einheit 44 verbunden. Der Datenausgang DO der zweiten IEC-Einheit 44 ist über den digitalen Signal-Prozessor 46 mit dem Dateneingang DI der ersten IEC-Einheit 42 verbunden. Für die Verbindung der IEC-Einheiten 42 und 44 ist eine Up-Stream-Leitung 48 sowie eine Down-Stream-Leitung 50 vorgesehen.
  • Die erste Netzabschlusseinrichtung 20 weist ebenfalls eine IEC-Einheit 52 sowie eine S/T-Bus-Interface-Circuit-Einheit 54, im folgenden SBC-Einheit, sowie einen zwischen der IEC-Einheit 50 und der SBC-Einheit 54 angeordneten digitalen Signal-Prozessor 56 – DSP – auf.
  • Die IEC-Einheit 52 ist mit einem Datenausgang DO und Dateneingang DI versehen. In entsprechender Weise weist die SBC-Einheit 54 einen Datenausgang DO und einen Dateneingang DI auf. Der Datenausgang DO ist jeweils mit dem Dateneingang der anderen Einheit 52 bzw. 54 über eine Up-Stream-Leitung 58 bzw. eine Down-Stream-Leitung 60, wobei der digitale Signal-Prozessor 56 zwischengeschaltet ist, verbunden.
  • Eine Uk0-Schnittstelle 40 mit den beiden IEC-Einheiten 42 und 44 ist an sich bekannt. Derartige Uk0 40 werden zum Monitoren von Anschlussleitungen 22 verwendet. Neu ist nun, dass zwischen den beiden IEC-Einheiten 42 und 44 ein digitaler Signal-Prozessor 46 zum Verschlüsseln der über die Up-Stream-Leitung 48 kommenden Daten sowie zum Entschlüsseln der über die Down-Stream-Leitung 50 kommenden Daten eingebracht ist.
  • Die Netzabschlusseinrichtung 20 an sich mit einer IEC-Einheit 52 sowie einer SBC-Einheit 54 ist ebenfalls bekannt. Neu ist das Zwischenschalten des digitalen Signal-Prozessors 56 in die Up-Stream-Leitung 58 sowie die Down-Stream-Leitung 60.
  • Der digitale Signal-Prozessor 56 entschlüsselt dabei die über die Up-Stream-Leitung 58 kommenden Daten und verschlüsselt die über die Down-Stream-Leitung 60 kommenden Daten. Hierdurch ist somit die Strecke zwischen dem digitalen Signal-Prozessor 56 und dem digitalen Signal-Prozessor 46 abhörsicher, da sämtliche Up-Stream- oder Down-Stream-verlaufenden Nutzdaten verschlüsselt sind.
  • Die detaillierte Schaltung in der Uk0-Schnittstelle 40 ist in 3 anhand eines Blockschaltbildes schematisch dargestellt.
  • Die Leitung 38 führt in eine Hybridschaltung 62, die die Daten in beide Richtungen symmetrisch auskoppelt, d. h. der Up-Stream-Datenstrom und der Down-Stream-Datenstrom werden in jeweils zwei Leitungen getrennt. Zudem wird die Spannung vom Signalweg getrennt, da sonst die nachgeordneten Bauteile beschädigt werden. Demzufolge ist eine weitere Hybridschaltung 64 vorgesehen, die die Up-Stream- und Down-Stream-Datenströme wieder zusammenführt, ebenso wie die Spannung und die Signale. Eine derartige Schaltung ist grundsätzlich bekannt, sodass hierauf nicht weiter eingegangen wird.
  • Parallel zum digitalen Signal-Prozessor 46 zwischen den beiden IEC-Einheiten 42 und 44 ist eine PLL-Schaltung 64 vorgesehen, um den Arbeitstakt der IEC-Einheiten 42 und 44 zu synchronisieren.
  • Der digitale Signal-Prozessor 46 wirkt mit einer Schalteinrichtung 66 zusammen, die zwischen die beiden IEC-Einheiten 42 und 44 eingebracht ist. Die Schalteinrichtung 66 hat die Aufgabe, nach Aktivierung der Leitung und nach erfolgter Synchronisation den digitalen Signal-Prozessor 46 zu aktivieren. Denn erst nach erfolgter Aktivierung der Leitung, also der ersten Anbahnung einer Verbindung, können die Daten verschlüsselt werden. Sind kein Bittakt und kein Rahmentakt mehr vorhanden, deaktiviert die Schalteinrichtung 66 den digitalen Signal-Prozessor 46.
  • Ein Problem ist nun, dass die Verschlüsselung Zeit benötigt. Insofern wirkt der digitale Signal-Prozessor 46 mit einer Taktaufbereitungseinrichtung 68 zusammen, um die verschlüsselten Daten mit dem Rahmentakt und den Bittakt abzugleichen. Der Rahmentakt wird daher der die IEC-Einheit 42 mit der IEC-Einheit 44 verbindenden Leitung 70 und der Bittakt der die IEC-Einheit 42 und IEC-Einheit 44 verbindenden Leitung 72 entnommen.
  • In 4 ist schematisch die Verschlüsselung der zu übertragenden Daten durch die digitalen Signal-Prozessoren 46 und 56 dargestellt. Die Verschlüsselung erfolgt dabei nach dem Blowfish-Algorithmus. Der Blowfish-Algorithmus ist ein 64-Blockchiffre mit einer Schlüssellänge von bis zu 448 Bits. Das Grundprinzip ist ein Feistelchiffre mit 16 Runden.
  • Um, wie oben beschrieben, durch den digitalen Signal-Prozessor 46 bzw. 56 nur die relevanten Daten/Bits zu verschlüsseln und um eventuelle Bitfehler auf der Übertragungsstrecke zu kompensieren, wird der Blockchiffre in einen selbstsynchronisierenden Stromchiffre umgebaut. Hierzu wird der so genannte Ciper-Feed-Back-(CFB)-Modus verwendet. Durch diese Schlüsselrückführung wird erreicht, dass selbst, wenn ein Bitfehler auf der Leitung auftritt, nach dem nächsten ankommenden Block der entschlüsselnde digitale Signal-Prozessor 46, 56 sich wieder auf den digitalen Signal-Prozessor 46 bzw. 56 des Verschlüsslers synchronisiert.
  • Mit 74 ist der Klartextstrom mit den ersten zu übertragenden Daten dargestellt. Über die Stelle 76 werden die Daten entnommen und einem Schieberegister 78 zugeführt. Das Schieberegister 78 führt die Daten nun der Verschlüsselung 80 zu, die mit einem Schlüssel 82, also einem entsprechenden, oben beschriebenen Algorithmus, arbeitet. Nach der Verschlüsselung werden die verschlüsselten Daten mit einer XOR-Verknüpfung 84 dem Klartextstrom 74 zeitversetzt zugeführt.
  • Entsprechend folgt die Entschlüsselung. Über die Stelle 86 werden die verschlüsselten Daten einem Schieberegister 88 zugeführt, wo sie der Entschlüsselung 90 mit dem Schlüssel 92 zugeführt werden. Anschließend werden die entschlüsselten Daten dem Datenstrom mit einer XOR-Verknüpfung 94 wieder zugeführt und bilden dann die entschlüsselten Daten.
  • Die Strecke 96 bildet den Verschlüsselungsbereich, also den Bereich zwischen beiden digitalen Signal-Prozessoren 46 und 56.
  • Bezugszeichenliste
    • 10
    Telekommunikationsnetz
    12
    erster Telekommunikationsteilnehmer
    14
    zweiter Telekommunikationsteilnehmer
    16
    erste ISDN-Telekommunikationsendeinrichtung
    18
    erste Leitung
    20
    erste Netzabschlusseinrichtung – NTBa
    22
    erste Anschlussleitung
    24
    Vermittlungsstelle, die dem ersten Telekommunikationsteilnehmer zugeordnet ist
    26
    zweite ISDN-Telekommunikationsendeinrichtung
    28
    zweite Leitung
    30
    zweite Netzabschlusseinrichtung – NTBa
    32
    zweite Anschlussleitung
    34
    zweite Vermittlungsstelle, die dem zweiten Telekommunikationsteilnehmer zugeordnet ist
    36
    Leitungsabschlusseinrichtung
    38
    Leitung
    40
    Uk0-Schnittstelle
    42
    erste ISDN-Echocancellation-Circuit-(IEC)-Einheit – links
    44
    zweite ISDN-Echocancellation-Circuit-(IEC)-Einheit – rechts
    46
    digitaler Signal-Prozessor – DSP –
    48
    Up-Stream-Leitung
    50
    Down-Stream-Leitung
    52
    ISDN-Echocancellation-Circuit-(IEC)-Einheit
    54
    S/T-Bus-Interface-Circuit-(SBC)-Einheit
    56
    digitaler Signal-Prozessor – DSP –
    58
    Up-Stream-Leitung
    60
    Down-Stream-Leitung
    62
    Hybridschaltung
    64
    PLL-Schaltung
    66
    Schalteinrichtung
    68
    Taktaufbereitungseinheit
    70
    Leitung
    72
    Leitung
    74
    Klartextstrom
    76
    Stelle
    78
    Schieberegister
    80
    Verschlüsselung
    82
    Schlüssel
    84
    XOR-Verknüpfung
    86
    Stelle
    88
    Schieberegister
    90
    Entschlüsselung
    92
    Schlüssel
    94
    XOR-Verknüpfung
    96
    Verschlüsselungsbereich

Claims (16)

  1. Verfahren zur Verschlüsselung von zu übertragenden Daten zwischen zumindest einem ersten und einem zweiten Telekommunikationsteilnehmer (12, 14) über ein Telekommunikationsnetz (10) mit einer jedem Telekommunikationsteilnehmer (12, 14) zugeordneten, eine Leitungsabschlusseinrichtung (36) – Line-Termination-(LT)-Einrichtung – und einen Hauptverteiler u. ä. umfassenden Vermittlungsstelle (24, 34), an die eine bis zu einer Netzabschlusseinrichtung (20, 30) verlaufende Anschlussleitung (22, 32) angeschlossen ist, mit einer ersten sowie zweiten Einheit (46, 56) jeweils zum Verschlüsseln der kommenden unverschlüsselten Daten und zum Entschlüsseln der kommenden verschlüsselten Daten, wobei die beiden Einheiten (46, 56) einen Verschlüsselungsbereich (96) begrenzen, in dem die zwischen dem ersten und dem zweiten Telekommunikationsteilnehmer (12, 14) übertragenen Daten zumindest teilweise verschlüsselt werden, wobei der Verschlüsselungsbereich (96) so gewählt wird, dass dieser nur den zumindest einem Telekommunikationsteilnehmer (12, 14) zugeordneten Bereich von der Vermittlungsstelle (24, 34) über die Anschlussleitung (22, 32) und zu der Netzabschlusseinrichtung (20, 30) umfasst, dadurch gekennzeichnet, dass die erste Einheit (46) dem Hauptverteiler nachgeordnet wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Einheit (46) in der Vermittlungsstelle (24, 34) in die Leitungsabschlusseinrichtung (36) integriert wird.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Einheit zwischen Leitungsabschlusseinrichtung (36) und Hauptverteiler eingebracht wird.
  4. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Einheit (56) in die Netzabschlusseinrichtung (20, 30) integriert wird.
  5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass ein digitales Telekommunikationsnetz (10) verwendet wird, das insbesondere dem ISDN-Standard entspricht.
  6. Verfahren nach Anspruch 5 mit mehreren Kanälen in der Anschlussleitung (22, 32), dadurch gekennzeichnet, dass nur ein Teil der Kanäle zur Verschlüsselung (80) der zu übertragenden Daten durch die ersten und zweiten Einheiten (46, 56) verwendet wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass nur die Daten der B-Kanäle und des D-Kanals in dem Verschlüsselungsbereich (96) zwischen erster und zweiter Einheit (46, 56) verschlüsselt werden.
  8. Verfahren nach einem der Ansprüche 5 bis 7 und 4, dadurch gekennzeichnet, dass die zweite Einheit (56) zwischen einer ISDN-Echocancelation-Circuit-Einheit (52) und der T/S-Bus-Converter-(SBC)-Einheit (54) eingebracht wird.
  9. Verfahren nach einem der Ansprüche 5 bis 8 und 3 oder 4, dadurch gekennzeichnet, dass die erste Einheit (46) in eine Uk0-Schnittstelle (40) zwischen zwei ISDN-Echocancellation-Circuit-(IEC)-Einheiten (42, 44) eingebracht wird.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die erste Einheit (46) mit einer Schalteinrichtung (66) zusammenwirkt, die bedarfsweise die erste Einheit (46) aktiviert oder deaktiviert.
  11. Verfahren nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass die erste Einheit (46) mit einer Taktaufbereitungseinheit (68) zusammenwirkt, die die verschlüsselten Daten mit dem Rahmentakt – Frame – und dem Bittakt – Clock – synchronisiert.
  12. Verfahren nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass parallel zur ersten Einheit (46) zwischen den zwei ISDN-Echocancellation-Circuit-(IEC)-Einheiten (42, 44) eine PLL-Schaltung (64) vorgesehen ist, damit der Arbeitstakt der ISDN-Echocancellation-Circuit-(IEC)-Einheiten (42, 44) auf den Uk0-Schnittstellen-Takt aufsynchronisiert wird.
  13. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass als erste und/oder zweite Einheiten ein digitaler Signal-Prozessor (46, 56) – DSP – verwendet wird.
  14. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zur Verschlüsselung (80) der Daten ein Algorithmus, vorzugsweise ein Blowfish-Algorithmus, verwendet wird.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die mit dem Blowfish-Algorithmus verschlüsselten Daten mittels des Cipher-Feed-Back-(CFB)-Modus bearbeitet werden, damit die verschlüsselten Daten in einem selbstsynchronisierenden Stromchiffre vorliegen.
  16. Schaltungsanordnung zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche.
DE2001117930 2001-04-10 2001-04-10 Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens Expired - Lifetime DE10117930B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001117930 DE10117930B4 (de) 2001-04-10 2001-04-10 Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001117930 DE10117930B4 (de) 2001-04-10 2001-04-10 Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens

Publications (2)

Publication Number Publication Date
DE10117930A1 DE10117930A1 (de) 2002-10-31
DE10117930B4 true DE10117930B4 (de) 2015-03-05

Family

ID=7681125

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001117930 Expired - Lifetime DE10117930B4 (de) 2001-04-10 2001-04-10 Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens

Country Status (1)

Country Link
DE (1) DE10117930B4 (de)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6471235A (en) * 1987-09-11 1989-03-16 Nec Corp Isdn exchange system with cryptographic function
DE3925605C2 (de) * 1989-08-02 1991-05-23 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE3688423T2 (de) * 1985-12-11 1993-08-19 Gpt Ltd Verfahren zur gesicherten uebertragung in einem uebertragungssystem.
DE4419040C1 (de) * 1994-05-31 1995-08-31 Peitz Gmbh Verfahren und Schaltungsanordnung zur Erfassung von Kommunikationsverbindungen
DE4435901A1 (de) * 1994-10-07 1996-04-11 Siemens Ag Verfahren zur Datensicherung in einem Telekommunikationssystem
DE19521485A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Übertragung von vertraulichen Verbindungsaufbau- und Serviceinformationen zwischen teilnehmerseitigen Endeinrichtungen und einer oder mehreren digitalen Vermittlungsstellen
DE19521484A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Authentisierung von Teilnehmern gegenüber digitalen Vermittlungsstellen
DE19708189A1 (de) * 1997-02-28 1998-09-03 Deutsche Telekom Mobil Zu einem öffentlichen Mobilkommunikationssystem kompatibles Schnurlos-Kommunikationssystem

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3688423T2 (de) * 1985-12-11 1993-08-19 Gpt Ltd Verfahren zur gesicherten uebertragung in einem uebertragungssystem.
JPS6471235A (en) * 1987-09-11 1989-03-16 Nec Corp Isdn exchange system with cryptographic function
DE3925605C2 (de) * 1989-08-02 1991-05-23 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE4419040C1 (de) * 1994-05-31 1995-08-31 Peitz Gmbh Verfahren und Schaltungsanordnung zur Erfassung von Kommunikationsverbindungen
DE19508461A1 (de) * 1994-05-31 1995-12-07 Peitz Gmbh Verfahren und Schaltungsanordnung zur Erfassung von Kommunikationsverbindungen
DE4435901A1 (de) * 1994-10-07 1996-04-11 Siemens Ag Verfahren zur Datensicherung in einem Telekommunikationssystem
DE19521485A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Übertragung von vertraulichen Verbindungsaufbau- und Serviceinformationen zwischen teilnehmerseitigen Endeinrichtungen und einer oder mehreren digitalen Vermittlungsstellen
DE19521484A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Authentisierung von Teilnehmern gegenüber digitalen Vermittlungsstellen
DE19708189A1 (de) * 1997-02-28 1998-09-03 Deutsche Telekom Mobil Zu einem öffentlichen Mobilkommunikationssystem kompatibles Schnurlos-Kommunikationssystem

Also Published As

Publication number Publication date
DE10117930A1 (de) 2002-10-31

Similar Documents

Publication Publication Date Title
DE69903111T2 (de) Gesicherte Übertragung von breitbandigen Daten
DE69323016T2 (de) Authentisierungsverfahren mit verbesserter Sicherheit der Geheimhaltung des Authentisierungsschlüssels
DE60024800T2 (de) Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle
EP0477180B1 (de) Schlüsselverteilung in offenen kommunikationsnetzen unter berücksichtigung von sicherheitsabstufungen
DE60028900T2 (de) Automatische Neusynchronisation einer Geiheimsynchronisationsinformation
EP0832542B1 (de) Verfahren und vorrichtung zur authentisierung von teilnehmern gegenüber digitalen vermittlungsstellen
DE69220141T2 (de) Geschütztes Fernmeldenetz
EP0834238B1 (de) Verfahren und vorrichtung zur übertragung von vertraulichen verbindungsaufbau- und serviceinformationen zwischen teilnehmerseitigen endeinrichtungen und einer oder mehreren digitalen vermittlungsstellen
EP0784891B1 (de) Verfahren zur datensicherung in einem bidirektional betreibbaren teilnehmeranschlussnetz
EP0632616B1 (de) Verfahren zur Datensicherung in einem B-ISDN Telekommunikationssystem
EP0740439B1 (de) Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen
DE10117930B4 (de) Verfahren zur Verschlüsselung von zu übertragenden Daten und Schaltungsanordnung zur Durchführung des Verfahrens
EP0632615A1 (de) Verfahren zur Datensicherung in einem Pay-TV-System unter Verwendung eines Kryptosystems mit öffentlichem Schlüssel
EP0307627A1 (de) Verfahren zur Erzeugung und Verteilung von Geheimschlüsseln
DE3033871C2 (de) Nachrichtenübertragungssystem
DE3420874A1 (de) Verfahren und anordnung zur kontrolle des netzzugangs in fernmeldenetzen
EP0555664B1 (de) Verfahren zur Datensicherung in einem passiven optischen Telekommunikationssystem
EP3005645A1 (de) Verfahren zur sicherung von telekommunikationsverkehrsdaten
EP3955510B1 (de) Kommunikationssystem mit mehrstufigem sicherheitskonzept
DE19718583C5 (de) Ende-zu-Ende Verschlüsselung
DE19542226A1 (de) Verfahren und Anlage zur Verwirklichung einer teilnehmerbezogenen Vermischung und Entmischung in einem Teilnehmernetz
DE2257361C1 (de)
EP0751647A2 (de) Verfahren zum Verschlüsseln von Informationen in ATM-Systemen
EP0893895A2 (de) Verfahren zum Übermitteln verschlüsselter Signale, sowie Sendeeinrichtung und Empfangseinrichtung dafür
AT411509B (de) Anordnung und verfahren zur verschlüsselten kommunikation

Legal Events

Date Code Title Description
OR8 Request for search as to paragraph 43 lit. 1 sentence 1 patent law
8105 Search report available
8110 Request for examination paragraph 44
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R071 Expiry of right