DE102005004612A1 - Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk - Google Patents

Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk Download PDF

Info

Publication number
DE102005004612A1
DE102005004612A1 DE200510004612 DE102005004612A DE102005004612A1 DE 102005004612 A1 DE102005004612 A1 DE 102005004612A1 DE 200510004612 DE200510004612 DE 200510004612 DE 102005004612 A DE102005004612 A DE 102005004612A DE 102005004612 A1 DE102005004612 A1 DE 102005004612A1
Authority
DE
Germany
Prior art keywords
network element
session key
message
encryption
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200510004612
Other languages
English (en)
Inventor
Jens-Uwe Dr. Bußer
Gerald Volkmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510004612 priority Critical patent/DE102005004612A1/de
Priority to EP06707918A priority patent/EP1847092A1/de
Priority to CA 2596525 priority patent/CA2596525A1/en
Priority to PCT/EP2006/050546 priority patent/WO2006082181A1/de
Priority to CNA2006800106512A priority patent/CN101151871A/zh
Priority to US11/883,466 priority patent/US20080307225A1/en
Publication of DE102005004612A1 publication Critical patent/DE102005004612A1/de
Priority to ZA200706193A priority patent/ZA200706193B/xx
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0063Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer where the network is a peer-to-peer network

Abstract

Die Erfindung betrifft ein Verfahren zur Aufschaltung bzw. Legal Interception auf verschlüsselte Kommunikationsverbindungen, vorzugsweise in einem Peer-to-Peer-Netzwerk. Besitzen alle Teilnehmer in einem Kommunikationsnetzwerk ein digitales Zertifikat, so ist eine starke Authentifizierung und eine Ende-zu-Ende-Verschlüsselung von Kommunikationsdaten möglich. Um dennoch legales Abhören durch befugte Stellen zu ermöglichen, wird eine Modifizierung von Netzelementen vorgeschlagen. Diese können in einen speziellen Abhörmodus versetzt werden, in dem sie die Schlüssel aller ein- und ausgehenden Nachrichten einer autorisierten Kontrollstelle mitteilen.

Description

  • Die Erfindung betrifft ein Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen gemäß dem Oberbegriff des Patentanspruchs 1 sowie ein Netzelement gemäß dem Oberbegriff des Patentanspruchs 13.
  • Unter dem Begriff »Legal Interception« versteht man ein Leistungsmerkmal öffentlicher Kommunikationsnetze, das befugten staatlichen Stellen eine Aufschaltung auf Kommunikationsverbindungen und ein Abhören der über diese Kommunikationsverbindung stattfindende Kommunikation erlaubt. Der Begriff Kommunikation umfasst dabei sowohl Echtzeit-Verbindungen z.B. zur Sprach- und/oder Videokommunikation als auch Nicht-Echtzeit-Verbindungen wie beispielsweise Fernkopieübertragung, elektronische Post bzw. E-Mail oder Messaging-Dienste, üblicherweise auch als »Chat« bezeichnet usw.
  • Im Stand der Technik sind dezentrale Netzwerke bekannt, bei denen ein überwiegender Anteil von verbundenen Netzelementen anderen Netzelementen Funktionen und Dienstleistungen anbieten und andererseits von anderen Netzelementen angebotene Funktionen und Dienstleitungen nutzen kann, ohne dass hierzu eine zentrale steuernde Instanz vorgesehen sein muss. Mit anderen Worten nimmt ein betrachtetes Netzelement gegenüber einem anderen Netzelement fallweise eine Rolle als Server bzw. eine Rolle als Client ein. Ein mit dem dezentralen Netzwerk verbundenes Netzelement wird in Abgrenzung von einer üblichen Client-Server-Einordnung oftmals auch als »Peer« bezeichnet. Demzufolge werden solche dezentralen Netzwerke auch als Peerto-Peer-Netzwerke oder abkürzend als P2P-Netzwerke bezeichnet.
  • Die Begriffsabgrenzung eines dezentralen Netzwerks schließt im übrigen das Vorhandensein zentraler Instanzen nicht generell aus. Auch auf Mischformen von Netzwerken, bei denen bestimmte Aufgaben auf eine zentrale Instanz bzw. Server verlagert sind, wird mit der Bezeichnung dezentrales Netzwerk bzw. P2P-Netzwerk Bezug genommen, soweit in diesen Netzwerken kein Server vorgehalten ist, über den jegliche Kommunikationsbeziehung zwischen zwei Netzelementen zu führen ist.
  • Es sind weiterhin Kommunikationssysteme unter Verwendung einer Sicherheitsinfrastruktur bekannt, welche in der Fachwelt auch als "Public Key Infrastructure", PKI, bezeichnet werden. Unter einer PKI versteht man eine Umgebung, in der Dienste zur Verschlüsselung von Nachrichten und zur Überprüfung digitaler Signaturen unter Verwendung eines öffentlichen Schlüssels bereitgestellt werden.
  • Bei einer solchen Sicherheitsinfrastruktur besitzt jeder Teilnehmer eines Kommunikationssystems ein digitales Zertifikat, welches einen öffentlichen Schlüssel an seine Identität bindet. Jeder Teilnehmer besitzt außerdem einen zu seinem öffentlichen Schlüssel korrespondierenden privaten Schlüssel, den der jeweilige Teilnehmer geheim hält. Das digitale Zertifikat eines jeweiligen Teilnehmers wird von einer dritten Stelle, einer sog. Zertifizierungsinstanz bzw. Certificate Auhority, CA, oder auch Trusted Third Party, TTP, mit den entsprechenden Identifikationsmerkmalen des Teilnehmers erzeugt.
  • Die Sicherheitsinfrastruktur bietet eine vertrauenswürdige Netzwerkumgebung, in der eine Kommunikation vor unberichtigtem Zugriff durch Verschlüsselung geschützt und die Authentizität des Kommunikationspartners durch Anwendung und Auswertung einer digitalen Signatur gewährleistet ist.
  • Zur vertraulichen Kommunikation zweier Teilnehmer untereinander wird üblichweise eine so genannte Ende-zu-Ende- Verschlüsselung eingesetzt. Dabei werden auszutauschende Daten bei einem sendenden Teilnehmer A zunächst mit einem Sitzungsschlüssel bzw. Session Key symmetrisch verschlüsselt. Dieser Sitzungsschlüssel wird dann mit dem öffentlichen Schlüssel eines empfangenden Teilnehmers B verschlüsselt und an diesen Teilnehmer B geschickt. Optional wird dieser Sitzungsschlüssel für jede Nachricht neu erzeugt und dem empfangenden Teilnehmer B jeweils neu mitgeteilt.
  • Im Folgenden wird eine Ende-zu-Ende-Verschlüsselung anhand eines verschlüsselten Kommunikationsverfahrens für eine Nicht-Echtzeit-Kommunikation erläutert. Eine Nicht-Echtzeit-Kommunikation tritt beispielsweise bei einem verschlüsselten E-Mail-Versand auf.
  • Unter Bezugnahme auf 1A wird zunächst von einer durch einen ersten Teilnehmer A gesendeten Nachricht MSG1 ausgegangen. Ein erster Sitzungsschlüssel SK1 wird vom sendenden ersten Teilnehmer A mit einem öffentlichen Schlüssel QB des empfangenden zweiten Teilnehmers B asymmetrisch verschlüsselt. Das Bezugszeichen E bedeutet dabei eine Verschlüsselungsoperation (»Encryption«).
  • Kommunikationsdaten PLD, welche beispielsweise den eigentlichen Nachrichtentext einer E-Mail enthalten, werden mit dem ersten Sitzungsschlüssel SK1 verschlüsselt. Beide Bestandteile werden anschließend an einen empfangenden Teilnehmer B übertragen. Optional kann die Nachricht MSG1 noch vom sendenden Teilnehmer A digital signiert werden, damit der empfangende Teilnehmer B die Authentizität der Nachricht überprüfen kann.
  • Für den Fall, dass eine Nachricht an mehrere empfangende Teilnehmer verschickt werden soll, ist der jeweilige Sitzungsschlüssel für jeden Empfänger mit dessen jeweiligen öffentlichen Schlüssel zu verschlüsseln.
  • 1B zeigt eine durch den zweiten Teilnehmer B gesendete Nachricht MSG2. Ein zweiter Sitzungsschlüssel SK2 wird vom sendenden zweiten Teilnehmer B mit einem öffentlichen Schlüssel QA des empfangenden zweiten Teilnehmers A asymmetrisch verschlüsselt. Hier wurde also, wie oben erläutert, ein neuer zweiter Sitzungsschlüssel SK2 für die zweite Nachricht MSG2 erzeugt und dem empfangenden Teilnehmer A neu mitgeteilt.
  • Im Folgenden wird ein Verfahren für eine echtzeitfähige Kommunikation, beispielsweise eine Telefonverbindung zwischen zwei Kommunikationspartnern, unter Verwendung einer Ende-zu-Ende-Verschlüsselung erläutert. Zur Verschlüsselung der Kommunikation wird üblicherweise beim Aufbau einer Kommunikationsverbindung ein gemeinsamer Sitzungsschlüssel dynamisch ausgehandelt, beispielsweise über ein so genanntes Diffie-Hellman-Verfahren mit Authentifizierung.
  • Zur Durchführung dieses Verfahrens wählen beide Kommunikationspartner eine geheime Zufallszahl und berechnen eine Einwegfunktion mit geeigneten, für beide Kommunikationspartner gleichen Parametern. Das so entstehende Zwischenergebnis wird dann an den jeweils anderen Kommunikationspartner gesendet. Beide Kommunikationspartner berechnen daraus einen Sitzungsschlüssel, der für beide Kommunikationspartner identisch ist. Dieser Sitzungsschlüssel kann durch Dritte nicht berechnet werden, da man dazu zumindest eine der beiden geheimen Zufallszahlen kennen muss. Zur Vermeidung von "Man-in-the-Middle-Angriffen" werden ausgetauschte Nachrichten des jeweiligen Kommunikationspartners digital signiert, so dass eine Authentizität des jeweiligen Kommunikationspartners gewährleistet ist.
  • Diese bereits bekannte Ende-zu-Ende-Verschlüsselung zeichnet sich dadurch aus, dass auch intermediäre Netzelemente zum Transport der Nachricht keinen Zugriff auf den Klartext der Kommunikationsdaten PLD haben. Die Kommunikation findet also vertraulich zwischen authentifizierten Kommunikationspartnern statt.
  • Der Vorteil der Vertraulichkeit erweist sich in den Fällen als nachteilig, wenn eine zentrale Stelle im Kommunikationssystem – beispielsweise ein so genannter Service Provider – Kommunikationsdaten selbst dann nicht entschlüsseln kann, wenn er gesetzlich dazu verpflichtet ist, insbesondere wenn er zur Durchführung oder Mithilfe der eingangs erwähnten Legal Interception durch eine entsprechende Behörde angewiesen wurde.
  • Bei Diensten wie E-Mail oder Voice over IP (VoIP) ist eine derartige Legal Interception schwierig zu verwirklichen, da der Service Provider in der Regel keinen Zugriff auf die lokal installierte Software der einzelnen Netzelemente besitzt. Diese Situation ändert sich für den Fall, dass der Service Provider selbst einen VoIP-Dienst anbietet, welcher prinzipiell eine Möglichkeit für eine Legal Interception bietet. In solchen Fällen kann der Service Provider gesetzlich dazu verpflichtet sein, ein Verfahren für ein Legal Interception bereitzustellen.
  • Auch für eine Echtzeitkommunikation in einer PKI-Umgebung gestaltet sich eine Legal Interception schwierig bis undurchführbar. Für einen Zugriff einer autorisierten Stelle auf verschlüsselte Kommunikationsverbindungen wurde vorgeschlagen, dass jeder Teilnehmer in einem Kommunikationssystem zu einer Hinterlegung seines privaten Schlüssels bei einer vertrauenswürdigen Stelle verpflichtet sein soll. Eine derartige Maßnahme würde allerdings die mit einer Sicherheitsinfrastruktur gewollte geschützte Kommunikation in Frage stellen, da mit einem Zugang auf gespeicherte private Schlüssel in der vertrauenswürdigen Stelle eine wirksame Kontrolle, beispielsweise durch Gerichte, nicht gewährleistet wäre.
    •
  • Aufgabe der Erfindung ist es daher, verbesserte Mittel zur Aufschaltung befugter Einrichtungen auf verschlüsselte Kommunikationsverbindung unter gleichzeitiger Wahrung der Sicherheitsinfrastruktur bereitzustellen.
  • Eine Lösung der Aufgabe erfolgt in einem Kommunikationssystem mit den Merkmalen des Patentanspruchs 1 hinsichtlich ihres Verfahrensaspekts durch ein Verfahren mit den Merkmalen des Patentanspruchs und hinsichtlich ihres Vorrichtungsaspekts durch ein Netzelement mit den Merkmalen des Patentanspruchs 13. Die Aufgabe wird zudem durch ein Computerprogrammprodukt mit den Merkmalen des Patentanspruchs 14 gelöst
  • Die Erfindung ist getragen von der Überlegung, eine Aufschaltung durch befugte Stellen zu ermöglichen, ohne dass die privaten Schlüssel der mit einem paketorientierten Netzwerk verbundenen Netzelemente (beispielsweise Kommunikationsendgeräte, Rechnersysteme, mobile Rechnereinheiten wie Personal Digital Assistant, PDA, usw.) bei einer zentralen Stelle hinterlegt werden müssen. Das erfindungsgemäße Verfahren wird ermöglicht durch eine Änderung in der Software der beteiligten Netzelemente. Die Netzelemente werden erfindungsgemäß in einen Abhörmodus versetzt, im Zuge dessen diese die Sitzungsschlüssel von ein- und ausgehenden Nachrichten einer autorisierten Kontrollstelle mitteilen.
  • Die Erfindung baut beispielsweise auf eine Umgebung auf, in der Teilnehmer eines Kommunikationsnetzwerks ein digitales Zertifikat besitzen, und somit eine starke Authentifizierung und eine Ende-zu-Ende-Verschlüsselung von Kommunikationsdaten möglich ist.
  • Das erfindungsgemäße Verfahren geht von einer – einzurichtenden oder bereits stattfindenden – verschlüsselten Kommunikationsverbindung zumindest eines ersten Netzelement mit zumindest einem zweiten Netzelement aus. Die Verschlüsselung ist dabei – beispielsweise aber nicht notwendi gerweise – eine Ende-zu-Ende-Verschlüsselung. Eine solche Verschlüsselung erfolgt in folgenden Verfahrensschritten:
    • a) Festlegung eines Sitzungsschlüssels oder auch »Session Key« zwischen dem ersten Netzelement und dem zweiten Netzelement. Die Verwendung dieses Sitzungsschlüssels erfolgt aus Performanzgründen in Form eines symmetrischen Sitzungsschlüssels, d.h. eines Schlüssels, der sowohl von der sendenden und der empfangenden Seite angewandt wird.
    • b) Es erfolgt eine Verschlüsselung eines zu übertragenden Nachrichteninhalts – also beispielsweise Echtzeitdaten bei einem Telefongespräch oder auch Nicht-Echtzeitdaten, beispielsweise einer Textnachricht, mit dem Sitzungsschlüssel,
    • c) Verschlüsselung des Sitzungsschlüssels mit einem dem zweiten Netzelement zugeordneten öffentlichen Schlüssel im Sinne einer asymmetrischen Verschlüsselung,
    • d) Erstellen einer Nachricht aus dem mit dem Sitzungsschlüssel verschlüsselten Nachrichteninhalt gemäß b) und dem asymmetrisch verschlüsselten Sitzungsschlüssel gemäß c) und Senden der Nachricht vom sendenden ersten Netzelement an das empfangende zweite Netzelement
  • Erfindungsgemäß erfolgt nun bei Eingang einer Anforderung eines dritten Netzelements – insbesondere ein Rechnersystem einer exekutiven Behörde, welche eine Aufschaltung durchführt – ein Wechsel des ersten Netzelements in einen Abhörmodus. Dieser Abhörmodus erfolgt ohne Kenntnisnahme der abzuhörenden an der Kommunikation beteiligten Teilnehmer. In diesem Modus ist vorgesehen, dass in die Nachricht gemäß Schritt d) ein Ergebnis einer Verschlüsselung des Sitzungsschlüssels mit einem dem dritten Netzelement zugeordneten öffentlichen Schlüssel eingefügt und/oder der Nachricht hinzugefügt wird.
  • Je nach Verschlüsselungsart oder Echtzeitcharakter der Kommunikation kann eine Einfügung oder eine Hinzufügung vorteilhafter sein. Durch die Verschlüsselung mit einem dem dritten Netzelement zugeordneten öffentlichen Schlüssel ist gewähr leistet, dass ausschließlich die exekutive Behörde durch einen dem dritten Netzelement zugeordneten korrespondierenden privaten Schlüssel eine Entschlüsselung des Sitzungsschlüssels durchführen kann. Über intermediäre Knoteneinrichtungen ist ein Abfangen der so modifizierten Nachricht aufgrund der paketorientierten Natur des Netzwerkes leicht zu bewerkstelligen.
  • Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens ist darin zu sehen, dass ein legales Abhören durch befugte Stellen ermöglicht wird, ohne für jedes Netzelement eine Hinterlegung des jeweiligen privaten Schlüssels vorzusehen.
  • Ein weiterer Vorteil des erfindungsgemäßen Verfahrens ist darin zu sehen, dass das erfindungsgemäße Verfahren in der Software zur Anbindung an ein Peer-to-Peer-Netzwerk verwirklicht werden kann, wodurch eine zwangsläufige Unterstützung des Verfahrens auf allen am Peer-to-Peer-Netzwerk partizipierenden Netzelementen gewährleistet werden kann. Damit kann der Netzbetreiber des Peer-to-Peer-Netzwerks eine Verwirklichung rechtlicher Vorgaben nachweisen, welche somit ohne größeren Aufwand umzusetzen sind.
  • Ein weiterer Vorteil liegt in der Schwierigkeit für einen Abgehörten, den Abhörvorgang unter Anwendung des erfindungsgemäßen Verfahrens festzustellen.
  • Da es sich bei dem kontrollierenden Peer um einen ansonsten in üblicher Weise und Hierarchie arbeitenden Peer handelt, sind zur Umsetzung des erfindungsgemäßen Verfahrens in vorteilhafter Weise keine Änderungen in der Architektur des Netzwerks und keine weiteren Eingriffe in der Software anderer Netzelemente notwendig.
  • Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.
  • Eine insbesondere für nicht-echtzeitfähige Kommunikation vorteilhafte Ausführungsform der Erfindung sieht zur Festlegung des Sitzungsschlüssels eine Definition des Sitzungsschlüssels durch das erste Netzelement und eine Übermittlung des Sitzungsschlüssels an das zweite Netzelement vor.
  • Eine insbesondere für echtzeitfähige Kommunikation vorteilhafte Ausführungsform der Erfindung sieht zur Festlegung des Sitzungsschlüssels eine Absprache des Sitzungsschlüssels zwischen den Kommunikationspartnern unter Anwendung des Diffie-Hellman-Verfahrens vor.
  • Besondere Vorteile ermöglichen die erfindungsgemäßen Mittel in einem dezentralen Netzwerk mit einer Peer-to-Peer-Architektur. In derartigen Netzwerken sind mangels eines zentralen Kommunikationsknotens herkömmliche, von Vermittlungsstellen bekannte Mittel zur Legal Interception schlechthin nicht einsetzbar. Die erfindungsgemäßen Mittel ermöglichen dagegen einen Zugriff auf eine ansonsten dezentrale Architektur.
    •
  • Ein Ausführungsbeispiel mit weiteren Vorteilen und Ausgestaltungen der Erfindung wird im Folgenden anhand der Zeichnung näher erläutert.
  • Dabei zeigen:
  • 1A: ein Strukturbild zur schematischen Darstellung einer von einem Teilnehmer gesendeten verschlüsselten Nachricht gemäß dem Stand der Technik;
  • 1B: ein Strukturbild zur schematischen Darstellung einer von einem Teilnehmer empfangenen verschlüsselten Nachricht gemäß dem Stand der Technik;
  • 2: ein Strukturbild zur schematischen Darstellung einer von einem aufgeschalteten Teilnehmer gesendeten verschlüsselten Nachricht;
  • 3A: ein Strukturbild zur schematischen Darstellung einer von einem aufgeschalteten Teilnehmer empfangenen verschlüsselten Nachricht;
  • 3B: ein Strukturbild zur schematischen Darstellung einer von einem aufgeschalteten Teilnehmer gesendeten verschlüsselten Nachricht gemäß einer ersten Ausführungsform;
  • 3C: ein Strukturbild zur schematischen Darstellung einer von einem aufgeschalteten Teilnehmer gesendeten verschlüsselten Nachricht gemäß einer zweiten Ausführungsform;
  • 4: ein Strukturbild zur schematischen Darstellung eines aufgeschalteten Nachrichtenaustausches in einer ersten Phase;
  • 5: ein Strukturbild zur schematischen Darstellung eines aufgeschalteten Nachrichtenaustausches in einer zweiten Phase; und;
  • 6: ein Strukturbild zur schematischen Darstellung eines aufgeschalteten Nachrichtenaustausches in einer dritten Phase.
  • 1A und 1B wurden bereits in der Beschreibungseinleitung erläutert.
  • In einem Ausführungsbeispiel wird davon ausgegangen, dass ein Service Provider bzw. Netzbetreiber, welcher für die Durchführung des legalen Abhörens zuständig ist, mit dem Hersteller der Netzelemente-Software bzw. Endgeräte- oder Softwareclients in geeigneter Weise zusammenarbeitet. Außerdem sollen alle Nachrichten im hier betrachteten durch den Service Provider verwalteten paketorientierten Netzwerk an ein bzw. von einem aufgeschalteten Netzelement über ein intermediäres Netzelement, beispielsweise eine Netzknoteneinheit, an eine Exekutivbehörde weitergeleitet werden. Derartige intermediäre Netzelemente sind in einem paketorientierten Netzwerk ohnehin allgegenwärtig, so dass diese Annahme keine unabdingbare Vorbedingung für das erfinderische Verfahren darstellt.
  • Der erfindungsgemäße Abhörmodus läuft wie folgt ab.
  • Üblicherweise sind, abhängig von der Gesetzeslage des Einsatzortes, besondere Einrichtungen – insbesondere Gerichte – vorgesehen, denen alleine eine Anordnung einer Aufschaltung bzw. Legal Interception obliegt. Einer Exekutivbehörde, wie beispielsweise eine polizeiliche Ermittlungsstelle, bedarf üblicherweise eine vorhergehende Anordnung eines Gerichtes, um für eine Aufschaltung autorisiert zu sein. In Ausnahmefällen, insbesondere eines Tatbestandes »Gefahr im Verzug« darf die Exekutivbehörde eine solche Maßnahme auch ohne gerichtliche Anweisung durchführen.
  • In einer vorteilhaften Ausführungsform der Erfindung wird vorgeschlagen, dass Gerichte von einem Zertifikatsaussteller Zertifikate erhalten, welche zur Ausstellung von Abhörerlaubnissen berechtigen. Ergibt sich nun seitens einer zuständigen Exekutivbehörde die Notwendigkeit, die Kommunikation eines Teilnehmers abzuhören, muss diese sich zunächst bei dem zuständigen Gericht eine Erlaubnis einholen. Diese Erlaubnis wird in Form einer durch das zuständige Gericht signierten Nachricht erstellt. In dieser Nachricht ist vorzugsweise festgelegt, wer, wie lange und von wem abgehört werden darf. Das Zertifikat des zuständigen Gerichts, welches die Exekutivbehörde für eine Aufschaltung autorisiert, muss entweder mitgeschickt oder bereits bei der Produktion integriert werden.
  • Die Nachricht spezifiziert die Identität des Abzuhörenden, den Abhörzeitraum sowie den öffentlichen Schlüssel der Abhörbehörde. Behörde P kann diese Nachricht dann an das abzuhörende Netzelement senden, und es damit für die spezifizierte Dauer in den Abhörmodus schalten.
  • Endet der spezifizierte Zeitraum, so wechselt die interne Logik des Netzelements selbsttätig zurück in einen normalen O perationsmodus. Optional und abhängig von Fernmeldegesetzen kann vorgesehen sein, dass der abgehörte Teilnehmer durch die interne Logik des Netzelements nach Ablauf einer Frist eine Mitteilung erhält, dass er abgehört wurde.
  • Optional werden Maßnahmen ergriffen, die eine Manipulation der Systemzeit des Netzelements durch den jeweiligen Anwender unterbinden.
  • Mit dem im folgenden detaillierter dargestellten Verfahren ist sichergestellt, dass weder die Exekutivbehörde noch Dritte unberechtigt abhören können.
  • Eine weitere Ausgestaltung betrifft zusätzliche Nachrichten, die das abgehörte Netzelement im Rahmen des Abhörvorganges erzeugt, um verwendete Schlüssel der Exekutivbehörde mitzuteilen. In einer Ausführungsform könnten diese Nachrichten direkt an die Adresse eines der Exekutivbehörde zur Verfügung stehenden Netzelements gesandt werden. Dazu müsste aber die Netzwerkadresse bzw. IP-Adresse dem abgehörten Netzelement bekannt gemacht werden. Diese Bekanntmachung könnte jedoch entdeckt und die Übermittlung von Nachrichten an die Exekutivbehörde durch Einstellungen an einer dem betreffenden Netzelement zugeordneten Firewall abgeblockt werden. Es wird daher vorgeschlagen solche Nachrichten generell an ein vom Service Provider verwaltetes zentrales Netzelement zu schicken, also beispielsweise einen Gatekeeper, Rendezvous-Server, Vergebührungsserver, usw. Mit derartigen zentralen Netzelementen kommunizieren Netzelemente auch sonst, so dass eine gesendete Nachricht keinen Verdacht bei einem Teilnehmer eines abgehörten Netzelements erregt. Anschließend erfolgt eine Weiterleitung an die Exekutivbehörde ausgehend von diesem zentralen Netzelement.
  • Diese Maßnahmen sind jedoch nur in Sonderfällen in Betracht zu ziehen, da – wie bereits erläutert – in einem paketorientierten Netzwerk üblichen Ausmaßes ohnehin netzwerkweit Netz knoten angeordnet sind, über die der gesamt Netzwerkverkehr des abgehörte Netzelements verteilt wird und abgehörte Nachrichten damit zwangsläufig auch an die Abhörstelle weitergeleitet wird.
  • Im folgenden wird unter Bezugnahme auf 2 eine bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens beschrieben, welche vorwiegend für eine Nicht-Echtzeit-Kommunikationsweise eingesetzt wird. Im Falle einer bereits anhand der 1A und 1B dargestellten aufzubauenden oder bereits aufgebauten vertraulichen Kommunikationsweise verschlüsselt ein – nicht dargestelltes – abzuhörendes Netzelement Kommunikationsdaten PLD beim Senden einer Nachricht MSG3 mit einem Sitzungsschlüssel SK1. Das Ergebnis dieser Verschlüsselung ist in der Zeichnung dargestellt als in der Zeichnung als ESK1 (PLD) Der Sitzungsschlüssel SK1 wird nun aber im Unterschied zum Verfahren gemäß 1A und 1B nicht nur mit dem öffentlichen Schlüssel QB des – nicht dargestellten – empfangenden Netzelements B, sondern zusätzlich mit dem öffentlichen Schlüssel Qp der Exekutivbehörde verschlüsselt. Die verschlüsselten Inhalte sind in der Zeichnung als
    EQB (SK1) sowie EQp (SK1)
    dargestellt.
  • Sobald diese Nachricht MSG3 einen – nicht dargestellten – Router des – nicht dargestellten -Service Providers erreicht, kann dieser zusätzliche Teil aus der Nachricht abgetrennt werden, so dass der Empfänger eine mit der ersten Nachricht in 1A Nachricht identische Nachricht erhält, mithin eine Nachricht, die sich nicht von einer Nachricht MSG1 unterscheidet, bei der der Sender keiner Aufschaltung unterliegt.
  • Die Abhörbehörde erhält vom Router eine Kopie der Nachricht, die sie mit einem ihr zugeordneten – nicht dargestellten – privaten Schlüssel entschlüsseln kann.
  • Im Folgenden wird anhand der 3A ein behördenseitiger Empfang einer Nachricht MSG5 an einen abgehörten Empfänger A erläutert. Dieser Fall ist etwas komplizierter, da der nicht abgehörte Sender B nicht über den Abhörvorgang Bescheid wissen kann und soll, d.h. Sender B sendet – analog der zweiten Nachricht MSG2 in 1B – Nachrichten, bei denen der enthaltene Sitzungsschlüssel SK2 weiterhin nur mit dem dem Empfänger A zugeordneten öffentlichen Schlüssel QA verschlüsselt ist.
  • Eine Kopie dieser Nachricht MSG5 wird auch an das der Exekutivbehörde zugeordnete Netzelement weitergeleitet. Die Exekutivbehörde kann die weitergeleitete Nachricht MSG5 aber vorerst noch nicht entschlüsseln. Diese Entschlüsselung kann dann erfolgen, sobald das abgehörte Netzelement A nach Empfang einer Nachricht den darin verwendeten Sitzunkschlüssel SK2 mit dem öffentlichen Schlüssel QP der Exekutivbehörde verschlüsselt, und gemäß des erfinderischen Verfahrens eine – vgl. 3B – entsprechend erzeugte Nachricht MSG5 an die Exekutivbehörde sendet. Damit kann die Exekutivbehörde nun auch die vorausgegangene vom abgehörten Netzelement empfangene Nachricht MSG4 entschlüsseln. Die in 3C dargestellte sechste Nachricht ist eine optionale, verkürzte Form der fünften Nachricht MSG5 aus 3B, welche auch dem Ziel der Entschlüsselung der vorausgegangenen, vom abgehörten Netzelement empfangenen Nachricht MSG4 dient.
  • Ein Blockieren dieser Nachrichten MSG5, MSG6 bzw. der – nicht dargestellten – Nachricht zum Aktivieren des Abhörmodus mittels Firewall oder ähnlichen Mitteln seitens des abgehörten Teilnehmers ist kaum möglich, da die das Ziel und den Absender charakterisierenden IP-Adressen diese Nachrichten sowie deren Inhalt sich schwerlich von anderen Signalisierungsnachrichten unterscheiden lassen. Auch die genannten Signalisierungsnachrichten werden bevorzugt verschlüsselt übertragen. Werden aber generell alle Signalisierungsnachrichten blo ckiert, so verhindert der Anwender eine weitere Nutzung durch den Service Provider angebotene Dienste.
  • Im Folgenden wird eine bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens beschrieben, welche vorwiegend für eine Echtzeit-Kommunikationsweise eingesetzt wird. Bei dieser Kommunikationsweise wird bevorzugt ein in der Beschreibungseinleitung erläutertes Diffie-Hellman-Verfahren angewandt. Zusätzlich wird eine geheime Zufallszahl des abgehörten Kommunikationsteilnehmers, oder, alternativ, unmittelbar der ausgehandelte Sitzungsschlüssel SK1 mit dem öffentlichen Schlüssel Qp der Exekutivbehörde verschlüsselt. Diese Information wird außerhalb des signierten Teils der Nachricht angehängt, so dass sie vom Router beim Weiterleiten an den empfangenden Kommunikationsteilnehmer entfernt werden kann. Mit anderen Worten wird bei dieser Ausgestaltung des erfindungsgemäßen Verfahrens das Ergebnis einer Verschlüsselung des Sitzungsschlüssels mit einem dem dritten Netzelement zugeordneten öffentlichen Schlüssel nicht in die Nachricht eingefügt, sondern der Nachricht hinzugefügt.
  • Die 4 bis 6 zeigen einen schematisch dargestellten Ablauf einer Legal Interception gemäß des erfindungsgemäßen Verfahrens.
  • In 4 ist ein Kommunikationssystem CSY gezeigt, das als Übertragungsmedium ein paketorientiertes Netzwerk, insbesondere mit einer Peer-to-Peer-Architektur aufweist. Ein Teilnehmer eines ersten Netzelements A kommuniziert über einen ersten intermediären Netzknoten R1 und einen zweiten intermediären Netzknoten R2 mit einem Teilnehmer eines zweiten Netzelements B. Ein dritter Teilnehmer eines dritten Netzelements X ist an dieser Kommunikation nicht beteiligt. Jedem Teilnehmer eines Netzknotens A, B, X, bzw. im hier verwendeten Sprachgebrauch, jedem Netzknoten A, B, X ist ein jeweiliges Zertifikat UCA, UCB, UCX zugewiesen.
  • Der dritte Teilnehmer des dritten Netzelements X versucht, eine zwischen dem Netzelementen durch Linien dargestellte Kommunikation abzuhören. Die in der Zeichnung dargestellte Zeichenfolge »&%$§/(%« auf einen zum dritten Netzelement X führende Kommunikationsweg symbolisiert, dass das dritte Netzelement X in Unkenntnis eines passenden Schlüssels keine Kenntnis über den Inhalt der ausgetauschten Nachricht erlangen kann.
  • Im Folgenden wird unter weiterer Bezugnahme auf die Funktionseinheiten der 4 ein Aufbau einer Legal Interception durch eine Exekutivbehörde E erläutert. Identische Bezugszeichen in verschiedenen Figuren repräsentieren hierbei identische Funktionselemente.
  • Die Exekutivbehörde E erhält von einem zuständigen Gericht J eine gerichtliche Abhörerlaubnis PERM(A) in Form einer signierten Nachricht. Diese Erlaubnis PERM(A) wird von der Exekutivbehörde E an das aufzuschaltende Netzelement A gesendet, das daraufhin in einen Abhörmodus wechselt. Das Netzelement A teilt in diesem Modus der Exekutivbehörde E gemäß den vorangehenden Ausführungen die symmetrischen Schlüssel bzw. Sitzungsschlüssel aller eingehenden und ausgehenden Nachrichten mit. Nur die Exekutivbehörde E kann daraufhin das Netzelement A abhören.

Claims (14)

  1. Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Kommunikationssystem (CSY), bei dem zumindest ein erstes Netzelement (A) mit zumindest einem zweiten Netzelement (B) eine Ende-zu-Ende-Verschlüsselung anwendet, umfassend folgende Schritte: a) Festlegung eines Sitzungsschlüssels zwischen dem ersten Netzelement (A) und dem zweiten Netzelement (B), b) Verschlüsselung eines Nachrichteninhalts (PLD) mit dem Sitzungsschlüssel (SK1), c) Verschlüsselung des Sitzungsschlüssels (SK1) mit einem dem zweiten Netzelement (B) zugeordneten öffentlichen Schlüssel, d) Erstellen einer Nachricht aus den Ergebnissen der Verschlüsselung aus Schritt b) und c) und Senden der Nachricht vom ersten Netzelement (A) an das zweite Netzelement (B), dadurch gekennzeichnet, – dass das erste Netzelement (A) auf Anforderung eines dritten Netzelements (E) in einen Abhörmodus wechselt, – dass ein Ergebnis einer Verschlüsselung des Sitzungsschlüssels (SK1) mit einem dem dritten Netzelement (E) zugeordneten öffentlichen Schlüssel in die Nachricht gemäß Schritt d) eingefügt und/oder der Nachricht gemäß Schritt d) hinzugefügt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zum Wechsel in den Abhörmodus im ersten Netzelement (A) ein Zertifikat abgefragt wird.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Zertifikat vom dritten Netzelement (E) an das erste Netzelement (A) übermittelt wird.
  4. Verfahren nach einem der Ansprüche 2 oder 3, dadurch gekennzeichnet, dass das Zertifikat einen den Zeitraum der Aufschaltung charakterisierenden Wert enthält.
  5. Verfahren nach einem der Ansprüche 3 oder 4, dadurch gekennzeichnet, dass das Zertifikat mit einer Signatur einer die Aufschaltung autorisierenden Stelle (J) übermittelt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Ergebnis der Verschlüsselung des Sitzungsschlüssels (SK1) mit dem dritten Netzelement (E) zugeordneten öffentlichen Schlüssel nach dem Senden der Nachricht gemäß Schritt d) an einem intermediären Netzelement (R1) der Nachricht entnommen und im dritten Netzelement (E) analysiert wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das intermediäre Netzelement (R1) als Router ausgestaltet ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Festlegung des Sitzungsschlüssels (SK1) eine Definition des Sitzungsschlüssels (SK1) durch das erste Netzelement (A) und eine Übermittlung des Sitzungsschlüssels (SK1) an das zweite Netzelement (B) erfolgt.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass zur Übermittlung des Sitzungsschlüssels (SK1) an das zweite Netzelement (B) eine Verschlüsselung des Sitzungsschlüssels (SK1) mit dem öffentlichen Schlüssels des zweiten Netzelement (B) erfolgt.
  10. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Festlegung des Sitzungsschlüssels (SK1) durch eine Absprache zwischen dem ersten und dem zweiten Netzelement (A; B) erfolgt.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Absprache unter Anwendung des Diffie-Hellman-Verfahrens erfolgt.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass paketorientierte Kommunikationssystem zumindest teilweise gemäß einer Peer-to-Peer-Architektur ausgestaltet ist.
  13. Netzelement (A) mit Mitteln zur Anwendung einer Ende-zu-Ende-Verschlüsselung, mit Mitteln zur Festlegung eines Sitzungsschlüssels (SK1) zur verschlüsselten Kommunikation mit einem zweiten Netzelement (B), gekennzeichnet durch Mittel zum Wechsel in einen Abhörmodus, und, Mittel zur Hinzufügung und/oder Beifügung einer Verschlüsselung des Sitzungsschlüssels (SK1) mit einem einem dritten Netzelement (E) zugeordneten öffentlichen Schlüssel.
  14. Computerprogrammprodukt mit Mitteln zur Durchführung des Verfahrens nach Anspruch 13, wenn das Computerprogrammprodukt an einem Netzelement (A) zur Ausführung gebracht wird.
DE200510004612 2005-02-01 2005-02-01 Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk Ceased DE102005004612A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE200510004612 DE102005004612A1 (de) 2005-02-01 2005-02-01 Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk
EP06707918A EP1847092A1 (de) 2005-02-01 2006-01-31 Verfahren zur aufschaltung auf verschlüsselte kommunikationsverbindungen in einem paketorientierten netzwerk
CA 2596525 CA2596525A1 (en) 2005-02-01 2006-01-31 Method for locking on to encrypted communication connections in a packet-oriented network
PCT/EP2006/050546 WO2006082181A1 (de) 2005-02-01 2006-01-31 Verfahren zur aufschaltung auf verschlüsselte kommunikationsverbindungen in einem paketorientierten netzwerk
CNA2006800106512A CN101151871A (zh) 2005-02-01 2006-01-31 用于在面向分组的网络中接入加密的通信连接的方法
US11/883,466 US20080307225A1 (en) 2005-02-01 2006-01-31 Method For Locking on to Encrypted Communication Connections in a Packet-Oriented Network
ZA200706193A ZA200706193B (en) 2005-02-01 2007-07-26 Method for locking-on to encrypted communication connections in a packet-oriented network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510004612 DE102005004612A1 (de) 2005-02-01 2005-02-01 Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk

Publications (1)

Publication Number Publication Date
DE102005004612A1 true DE102005004612A1 (de) 2006-08-10

Family

ID=36084423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510004612 Ceased DE102005004612A1 (de) 2005-02-01 2005-02-01 Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk

Country Status (7)

Country Link
US (1) US20080307225A1 (de)
EP (1) EP1847092A1 (de)
CN (1) CN101151871A (de)
CA (1) CA2596525A1 (de)
DE (1) DE102005004612A1 (de)
WO (1) WO2006082181A1 (de)
ZA (1) ZA200706193B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010040413A1 (en) * 2008-10-10 2010-04-15 Telefonaktiebolaget Lm Ericsson (Publ) Lawful authorities warrant management

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8862872B2 (en) * 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US8990569B2 (en) * 2008-12-03 2015-03-24 Verizon Patent And Licensing Inc. Secure communication session setup
DE102016200382A1 (de) 2016-01-14 2017-07-20 Siemens Aktiengesellschaft Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung
CN107426521A (zh) * 2016-05-24 2017-12-01 中兴通讯股份有限公司 一种视频通话方法及终端
US10862872B1 (en) * 2020-04-30 2020-12-08 Snowflake Inc. Message-based database replication

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery
US5901227A (en) * 1996-06-20 1999-05-04 Novell, Inc. Method and apparatus for implementing partial and complete optional key escrow
US7006508B2 (en) * 2000-04-07 2006-02-28 Motorola, Inc. Communication network with a collection gateway and method for providing surveillance services
EP1452000A2 (de) * 2001-12-07 2004-09-01 Telefonaktiebolaget LM Ericsson (publ) Legales abfangen von ende-zu-ende verschlüsseltem datenverkehr

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010040413A1 (en) * 2008-10-10 2010-04-15 Telefonaktiebolaget Lm Ericsson (Publ) Lawful authorities warrant management

Also Published As

Publication number Publication date
WO2006082181A1 (de) 2006-08-10
EP1847092A1 (de) 2007-10-24
ZA200706193B (en) 2008-06-25
CN101151871A (zh) 2008-03-26
CA2596525A1 (en) 2006-08-10
US20080307225A1 (en) 2008-12-11

Similar Documents

Publication Publication Date Title
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE3919734C1 (de)
EP1368949B1 (de) Übermittlung von Informationen einer verifizierten QoS in einem Kommunikationsnetz
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP3518492B1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE102007033667A1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
EP1982494A1 (de) Verfahren, vorrichtung und computerprogrammprodukt zum verschlüsselten übertragen von mediendaten zwischen dem medienserver und dem teilnehmergerät
DE102005004612A1 (de) Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk
EP1187415A1 (de) Verfahren zur Identifikation von Internet-Nutzern
EP2308219B1 (de) Accessmanagement für verbindungsbegleitende daten von telekommunkationsverbindungen
DE102006003167B3 (de) Sichere Echtzeit-Kommunikation
DE102006025369A1 (de) Verfahren und Vorrichtung zur Sicherung der Integrität und/oder Nichtabstreitbarkeit von paketbasierter, zeitkritischer Kommunkation
EP2685682A2 (de) Verfarhen und System zur sicheren Nachrichtenübertragung
EP1584156B1 (de) Telekommunikationsgestützter zeitstempel
DE102006024008A1 (de) Verfahren zum Erstellen einer teilnehmerspezifischen Senderausschlussliste und Verfahren zum Weiterleiten von Nachrichten in einem dezentralen Kommunikationssystem
DE102007017951A1 (de) Netzbasierter Mitschnitt von Telefongesprächen und sonstigen Formen der Telekommunikation
EP1318683A1 (de) Verfahren zum Übermitteln von Signalisierungsnachrichten, zugehörige Vorrichtung, zugehörige Signalisierungsnachricht und zugehöriges Programm
EP2101468B1 (de) Einbeziehung von Signalisierungsinformationen in ein Schlüsselmanagementprotokoll für den sicheren Medientransport
DE102013101611B3 (de) Verschlüsselungsverfahren für e-mails
DE10152010B4 (de) Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz
EP1446934B1 (de) Verfahren zum aufbau einer telekommunikationsverbindung und ein telekommunikationsnetz
DE102020007337A1 (de) Kommunikationssystem zur Übertragung von Informationen N unterschiedlicher Sicherheitsklassifikationen über eine gemeinsame Leitung
WO2023169737A1 (de) Verfahren, vorrichtung und computerprogrammprodukt zur sicheren kommunikation über das internet
DE10102368A1 (de) Verfahren, Zentrale Instanz, Programm und Anordnung zur gesicherten Informationsübermittlung in einem Kommunikationsnetz
EP2014075A1 (de) Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE

8131 Rejection