DE10209502B4 - Verfahren zur Übermittlung von Daten - Google Patents

Verfahren zur Übermittlung von Daten Download PDF

Info

Publication number
DE10209502B4
DE10209502B4 DE10209502.7A DE10209502A DE10209502B4 DE 10209502 B4 DE10209502 B4 DE 10209502B4 DE 10209502 A DE10209502 A DE 10209502A DE 10209502 B4 DE10209502 B4 DE 10209502B4
Authority
DE
Germany
Prior art keywords
base station
transmitter
server
data
verification data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10209502.7A
Other languages
English (en)
Other versions
DE10209502A1 (de
Inventor
Dirk Westhoff
Bernd Lamparter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Priority to DE10209502.7A priority Critical patent/DE10209502B4/de
Priority to JP2002309160A priority patent/JP4019266B2/ja
Priority to US10/280,061 priority patent/US7343489B2/en
Publication of DE10209502A1 publication Critical patent/DE10209502A1/de
Application granted granted Critical
Publication of DE10209502B4 publication Critical patent/DE10209502B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Ein Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger, aber ein Netzwerk vorzugsweise über ein LAN und/oder das Internet oder dgl., wobei der Sender die Daten an eine Basisstation übermittelt und wobei der Sender mittels eines Servers, insbesondere eines AAA-Servers oder dgl., verifiziert wird, ist im Hinblick auf eine weitestgehende Verhindern der Übermittlung von Daten durch einen unberechtigten Sender auf Kosten eines berechtigten Senders dahingehend ausgestaltet, dass der Server Verifikationsdaten an den Sender und/oder die Basisstation übermittelt.

Description

  • Die Erfindung betrifft ein Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger über ein Netzwerk, vorzugsweise über ein LAN und/oder das Internet oder dgl., wobei der Sender die Daten an eine Basisstation übermittelt und wobei der Sender mittels eines Servers, insbesondere eines AAA-Servers oder dgl., verifiziert wird.
  • Bei der Übermittlung von Daten sind Schutzmechanismen, die einen berechtigten Sender vor einem unberechtigten Sender schützen, besonders wichtig. Sind solche Schutzmechanismen nicht vorhanden, kann ein unberechtigter Sender wie ein berechtigter Sender agieren, nämlich dahingehend, dass der unberechtigte Sender unter der Kennung des berechtigten Senders auftritt, Daten versendet und somit Daten zu jedem Ziel gebührenfrei übermitteln kann. Bei den Sendern könnte es sich beispielsweise um Computer handeln, die eine Datenübertragung unterstützen.
  • Im Allgemeinen erfolgt eine Verifikation des Senders mittels eines Servers, der häufig als AAA-Server ausgestaltet ist. Der AAA-Server dient zum einen zur Authentifizierung des berechtigten Senders, d. h. dass der Sender sich anmeldet und beweist, dass er tatsächlich die berechtigte Person ist. Die Authentifizierung kann beispielsweise durch einen Login und/oder die Eingabe eines Passworts geschehen. Ferner erfolgt durch den AAA-Server eine Autorisierung, bei der dem berechtigten Sender Rechte eingeräumt werden, so zum Beispiel in welchen Umfang er Dienste nutzen darf und unter welchen Bedingungen. Der AAA-Server dient zusätzlich auch zum Accounting. Hierbei werden beispielsweise Kosten erfasst, eine Abrechnung oder ähnliche eine Abrechnung betreffende Vorgänge vorgenommen.
  • Die bekannte Verifikation des Senders ist insbesondere dahingehend problematisch, dass ein unberechtigter Sender bei einer erfolgreichen Authentifizierung des berechtigten Senders auf verschiedene Weise die Kennung des berechtigten Senders erlangen und sich in die bereits bestehende Verbindung einlinken oder nach beendigter Verbindung an dessen Stelle treten kann. Somit kann der unberechtigte Sender Daten zu jedem Ziel gebührenfrei übermitteln. Dies ist für den berechtigten Sender nachteilig, falls die Abrechnung gemäß dem übermittelten Datenvolumen erfolgt, und ist für den Fall, dass eine Flat-Rate zwischen dem berechtigten Sender und einem die Datenübermittlung abwickelnden Serviceleister vereinbart ist, nachteilig für den Serviceleister.
  • Aus der WO 02/17553 A2 ist ein Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger über ein Netzwerk bekannt. Bei dem Netzwerk handelt es sich beispielhaft um ein TCP/IP-basiertes Netzwerk, insbesondere ein drahtloses Netzwerk. Die Daten werden über vermittelnde Knoten, bei denen es sich beispielsweise um eine Basisstation handeln kann, an den Empfänger übermittelt. Der Sender wird mittels eines Servers verifiziert, wobei der Server im konkreten als ein CA-Server (Certificate Authority) und/oder als ein EPM-Server (Electronic Postmark) ausgestaltet ist.
  • Die WO 01/76134 A1 offenbart ein Verfahren zur initialen Geräteauthentifikation eines mobilen Knotens, wie es aus GSM Mobilfunknetzen bekannt ist. Diese initiale Geräteauthentifikation ist für ein Paketdatennetz angepasst.
  • Die EP 0 964 544 A1 offenbart ein Verfahren zur Fehlerbehandlung von während der Übertragung über eine paktvermittelte Übertragungsleitung verlorenen gegangenen Paketen. Das bekannte Verfahren ordnet die empfangenen Pakete den entsprechenden virtuellen Verbindungen zu.
  • Aus dem Dokument WO 99/035799 A2 , aus der Nichtpatentliteratur Chii-Hwa Lee, Min-Shiang Hwang and Wei-Pang Yang: Enhanced privacy and authentication for the global system for mobile communications. In: Wireless Networks; Volume 5; Issue 4; Seiten 231–243; Juli 1999, DOI: 10.1023/A: 1019103228471 und aus der Nichtpatentliteratur M. Burrows, M. Abadi and R. M. Needham: A Logic of Authentication. In: Proceedings of the Royal Society A; vol. 426; Seiten 233–271; 8. Dezember 1989; DOI: 10.1098/rspa. 1989.0125. sind weitere Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger über ein Netzwerk bekannt.
  • Der Erfindung liegt nun die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art anzugeben, wonach die Übermittlung von Daten durch einen unberechtigten Sender auf Kosten eines berechtigten Senders weitestgehend verhindert wird.
  • Erfindungsgemäß wird die voranstehende Aufgabe durch ein Verfahren zur Übermittlung von Daten mit den Merkmalen des Patentanspruchs 1 gelöst. Danach ist ein Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger über ein Netzwerk angegeben, wobei der Sender bei der Übermittlung der Daten vor einem unberechtigten Sender geschützt wird, wobei der Sender die Daten an eine Basisstation übermittelt und wobei der Sender mittels eines Servers verifiziert wird, wobei der Server den Zugang des Senders zur Basisstation authentifiziert, wobei der Server zusätzlich zur Authentifizierung des Senders Verifikationsdaten an den Sender und/oder an die Basisstation übermittelt, wobei der Sender einen auf den Verifikationsdaten basierenden Beweis (p) an die Basisstation übermittelt, wobei die Basisstation anhand des auf den Verifikationsdaten basierenden Beweises (p) den Sender von einem unberechtigten Sender differenziert, wobei die Verifikationsdaten nach einer erfolgreichen Authentifizierung durch den Server an den Sender übermittelt werden, wobei die Verifikationsdaten eine zufällige Bitfolge b1, ..., bn umfassen, wobei die Daten zur Übermittlung in Pakete geteilt werden, wobei der Sender einen Index (i) zur Kennzeichnung der Pakete an die Basisstation übermittelt, wobei der Beweis für das Paket mit dem Index (i) gemäß pi = b(i-1)|p|+1, ..., bi|p| berechnet wird, und wobei beim Senden der Pakete der Beweis und der Index in einem weiteren IP-Kopf-Feld oder in einem Erweiterungskopf integriert werden.
  • In erfindungsgemäßer Weise ist erkannt worden, dass Verifikationsdaten in einer überraschend einfachen Art und Weise zusätzlich zur Authentifizierung des Senders durch den Server eine eindeutige Verifikation des Senders ermöglichen. Die Basisstation kann anhand der Verifikationsdaten den berechtigten Sender von einem unberechtigten Sender differenzieren und ggf. die Übermittlung von Daten stoppen. Ein unberechtigter Sender kann nun nicht mehr auf Kosten des berechtigten Senders Daten an einen beliebigen Empfänger übermitteln.
  • Im Hinblick auf eine sehr sichere Ausgestaltung werden die Verifikationsdaten nach einer erfolgreichen Authentifizierung durch den Server an den Sender übermittelt. Hierbei könnte der Server zum einen die Verifikationsdaten erst nach der erfolgreichen Authentifizierung an die Basisstation und an den Sender übermitteln, zum anderen könnte der Server die Daten bereits an die Basisstation übermittelt haben und nach der erfolgreichen Authentifizierung eine Art Freigabe an die Basisstation übermitteln, die nun wiederum die Verifikationsdaten an den Sender übermittelt. Hierdurch wäre gewährleistet, dass die Verifikationsdaten nur an einen berechtigten Sender übermittelt werden.
  • Die Verifikationsdaten umfassen eine zufällige Bitfolge b1, ..., bn. In besonders vorteilhafter Weise könnte die Bitfolge einen Byte umfassen, was die Transportlast bei knappen Ressourcen, wie beispielsweise bei drahtlosen Verbindungen, kaum erhöht. Zusätzlich wären die Bits sehr schnell zu berechnen, so dass die Technik ebenfalls für batteriegespeiste Geräte gut geeignet ist. Eine solche Ausgestaltung wäre für die drahtlose Übermittlung von Daten besonders gut geeignet.
  • In besonders einfacher Weise werden die Daten zur Übermittlung in Pakete, vorzugsweise in IP-Pakete – Internet-Protokoll-Pakete –, geteilt. Damit wäre eine besonders einfache Übermittlung der Daten mittels des IP-Protokolls möglich.
  • Der Sender berechnet einen Beweis p, der auf den Verifikationsdaten basiert, und übermittelt ihn an die Basisstation. Zusätzlich übermittelt der Sender einen Index an die Basisstation. Dieser Index dient zur Kennzeichnung der Pakete, wobei der Index hierbei die Reihenfolge der gesendeten Pakete kennzeichnen kann.
  • Der Beweis für das Paket mit dem Index i wird gemäß pi = b(i-1)|p|+1, ..., bi|p| berechnet. Somit wäre jedem Paket ein Beweis zugeordnet, der es ermöglicht, zu erkennen, ob das Paket von einem berechtigten Sender stammt.
  • Beim Senden der Pakete wird der Beweis und der Index in einem weiteren IP-Kopf-Feld oder in einem Erweiterungskopf integriert. Im Falle des IPv4 – Internet-Protokoll Version 4 – würde ein weiteres IP-Kopf-Feld geschaffen, das den Beweis p sowie den Index i beinhaltet. Bei Verwendung des IPv6 – Internet-Protokoll Version 6 – würde der Beweis und/oder der Index innerhalb eines Erweiterungskopfs übermittelt. Das Senden des Index im IP-Kopf-Feld bzw. im Erweiterungskopf ist notwendig, um einen Paketverlust von einem Angriff unterscheiden zu können sowie um eine sich ändernde Paketreihenfolge handhaben zu können. Ist der Sender direkt physikalisch mit der Basisstation verbunden, so kann ein Wechsel der Paketreihenfolge ausgeschlossen werden. Im allgemeinen Fall ist es für die Basisstation jedoch gar nicht nötig, den Index zu lesen und zu vergleichen. Nach jeder erfolgreichen Verifikation wird dann lediglich der Pointer auf den Verifikationsdaten um |p| Positionen verschoben.
  • In einer besonders einfachen Ausgestaltung könnten die Daten drahtlos vom Sender zur Basisstation übermittelt werden. Die Übermittlung könnte hierbei mittels einer Funkverbindung, insbesondere einer Bluetooth-Verbindung, aber auch mittels jedweder anderen Art der drahtlosen Übermittlung erfolgen. In diesem Fall sind die zusätzlichen Verifikationsdaten zum Schutz vor einem unberechtigten Sender von besonderem Vorteil, da in diesem Fall ein unberechtigter Sender besonders einfach von dem gemeinsamen Übertragungsmedium die Kennung, insbesondere die IP-Adresse, des berechtigten Senders selbst dann erlangen kann, wenn Transport mittels IPsec – IP secure – erfolgt. Der unberechtigte Sender kann hierüber hinaus die Adresse der Verbindungsebene erlangen. Die Datenübermittlung könnte bei einer solchen Ausgestaltung auf der Transportebene mittels des MIP – Mobile Internet Protocol – erfolgen.
  • Im Rahmen einer besonders sicheren Ausgestaltung könnte zwischen dem Server und der Basisstation und/oder dem Server und dem Sender eine sichere Verbindung aufgebaut werden.
  • Hinsichtlich einer abermals sehr sicheren Ausgestaltung könnte der Server den Zugang des Senders zur Basisstation authentifizieren und/oder autorisieren und/oder abrechnen. Dies wäre besonders einfach durch den Einsatz eines AAA-Servers mit den obig aufgeführten Eigenschaften realisiert.
  • Im Hinblick auf eine besonders einfache Ausgestaltung könnten sich der Sender und die Basisstation innerhalb einer Zelle befinden. Der Sender und die Basisstation könnten somit eine direkte physikalische Verbindung miteinander aufbauen, insbesondere ist keine vermittelnde Einheit zwischen dem Sender und der Basisstation vorgesehen. Unter einer Zelle ist hierbei, der Raum zu verstehen, in dem eine direkte physikalische Verbindung zwischen dem Sender und der Basisstation aufgebaut werden kann.
  • Hinsichtlich einer abermals sehr einfachen Ausgestaltung könnte sich der Server in der gleichen Domain wie der Sender und die Basisstation befinden. Somit wäre eine direkte Authentifizierung des Senders durch den Server ermöglicht.
  • Alternativ hierzu könnte sich der Server allerdings auch in einer anderen Domain befinden. Zur Authentifizierung könnte der Server nunmehr mit einem weiteren Server, insbesondere mit einem weiteren AAA-Server, kommunizieren. Der Sender könnte zur Authentifizierung anstelle des lokalen Servers dementsprechend einen fremden Server verwenden, der dann mit dem lokalen Server zusammen den Sender authentifiziert.
  • Im Rahmen einer abermals besonders einfachen Ausgestaltung könnte der Server die Verifikationsdaten über die Basisstation an den Sender übermitteln. Der Server könnte allerdings die Verifikationsdaten auch unabhängig voneinander an die Basisstation und den Sender übermitteln.
  • Hinsichtlich einer wiederum sehr sicheren Ausgestaltung könnten die Verifikationsdaten verschlüsselt vom Server an die Basisstation und/oder von der Basisstation an den Sender übermittelt werden. Diese Verschlüsselung könnte in besonders einfacher Weise mittels des üblichen Public-/Private-Key-Verfahrens erfolgen. Somit wären die Verifikationsdaten vor einem Mitlesen durch einen unberechtigten Dritten wirksam geschützt.
  • Der Server könnte in besonders vorteilhafter Weise die Verifikationsdaten bei jeder Authentifizierung neu generieren und/oder übermitteln. Somit wäre es einem unberechtigten Sender nicht möglich, alte Verifikationsdaten zu nutzen, um Daten unter einer falschen Kennung zu übermitteln.
  • Die Verifikationsdaten könnten zudem einen initialen Generierungsschlüssel umfassen, wobei dieser Generierungsschlüssel an den Sender sowie an die Basisstation übermittelt wird. Dieser Generierungsschlüssel kann dann zur Generierung von Authentifizierung-Bits benutzt werden. Vorteilhaft ist hierbei, dass die Übertragung des Generierungsschlüssels aufgrund seiner geringen Größe sehr schnell erfolgt.
  • Im Rahmen einer abermals sehr einfachen Ausgestaltung könnte der Beweis zustandslos sein. Dies bedeutet, dass vorherige Beweise, also p1 bis pi-1, keinen Einfluss auf pi haben. Hierdurch wird dem Risiko des Paketverlusts, wie er besonders bei drahtlosen Verbindungen häufig vorkommt, entgegen gewirkt, nämlich dahingehend, dass zum Berechnen des pi die vorherigen Beweise nicht bekannt sein müssen. Der Paketverlust ändert sich dabei in Abhängigkeit von verschiedenen Parametern, wie beispielsweise der angenommenen Bit-Fehler-Häufigkeit auf der drahtlosen Verbindung, welche typischerweise im Bereich von 10–3 bis 10–5 liegt, der Fehler-Korrektur-Funktionalität auf der Medium-Access-Ebene sowie der Paketlänge.
  • Zur Verifikation des Senders könnte die Basisstation nunmehr die empfangenen Beweise pi mit einem aus den Verifikationsdaten berechneten Beweisen piBS vergleichen. Ist der Vergleich der Beweise pi und des piBS negativ, so könnte es sich um einen Betrugsversuch oder einen Paketverlust handeln.
  • Zur Überprüfung, wenn beim Vergleich der Beweis pi ungleich dem von der Basisstation berechneten piBS ist, könnte die Basisstation den Index i lesen und/oder den Beweis piBS erneut berechnen. Falls der Vergleich zwischen pi und piBS jetzt positiv ausfällt, so kann ein Paketverlust angenommen werden.
  • Ist bei diesem erneuten Vergleich der Beweis pi nicht gleich dem von der Basisstation berechneten Beweis piBS, so könnte die Basisstation eine Reauthentifizierung veranlassen. In diesem Fall muss nämlich angenommen werden, dass ein unberechtigter Sender das Paket gesendet hat. Um einen Betrugsversuch zu verhindern, kann die Basisstation nunmehr über die Reauthentifizierung die Berechtigung des Senders erneut abfragen.
  • Hierzu könnte der Server neue Verifikationsdaten generieren und/oder übermitteln. Kann sich der Sender der Pakete nun nicht mehr authentifizieren, handelt es sich eindeutig um einen unberechtigten Sender und eine unberechtigte Übermittlung von Daten ist nicht mehr möglich. Die Attacke des berechtigten Senders wird deshalb nicht nur erkannt, sondern auch erfolgreich abgewehrt.
  • Die Wahrscheinlichkeit, dass ein Angreifer erfolgreich m sequentielle Pakete senden kann, ist ½|p|+m-1. Es gibt daher augenscheinlich einen Zielkonflikt zwischen den zusätzlich zu sendenden Bits und den Chancen eines unberechtigten Senders auf eine erfolgreiche Attacke. Ein Vorschlag für die Gesamtlänge des Index und der Verifikationsdaten ist daher acht Bits. Dies ergibt – wie bereits ausgeführt – ein zusätzlich zu übertragendes Byte. Zusätzlich dazu muss das Byte gerechnet werden, das während der Authentifizierung zum Sender gesendet wird.
  • Mit Hilfe des erfindungsgemäßen Verfahrens ist es demnach möglich, IP-Pakete eines authentifizierten Senders nicht nur anhand der Quelladresse bzw. IP-Adresse des Senders zu identifizieren, sondern auch auf Basis eines gemeinsamen Zufallswertes, nämlich der Verifikationsdaten. Ein solches Verfahren ist besonders dahingehend vorteilhaft, dass es geringe Kosten verursacht, Betrug nicht nur erkannt wird, sondern auch verhindert wird, das Abbilden von IP-Paketen zum Sender auch im Falle eines zellbedingten Wechsels der IP-Adresse unterstützt und dass es für volumenbasierte Resource-/Authentifizierung-Verfahren erweiterbar ist, welche die Abrechnung über verschiedene Verbindungstechniken unterstützt.
  • Ausgehend von der initialen Authentifizierung der Geräte erlaubt es das erfindungsgemäße Verfahren einer Basisstation zweifelsfrei den Urheber eines jeden über die drahtlose Verbindung übertragenen Pakets festzustellen. Besonders vorteilhaft ist die Verwendung des erfindungsgemäßen Verfahrens für drahtlos arbeitende Produkte wie 802.11 oder W-CDMA-Karten für mobile Geräte.
  • Hinsichtlich weiterer vorteilhafter Ausgestaltungen der erfindungsgemäßen Lehre wird zur Vermeidung von Wiederholungen auf die beigefügten Patentansprüche verwiesen.

Claims (22)

  1. Verfahren zur Übermittlung von Daten von einem Sender zu einem Empfänger über ein Netzwerk, wobei der Sender bei der Übermittlung der Daten vor einem unberechtigten Sender geschützt wird, wobei der Sender die Daten an eine Basisstation übermittelt und wobei der Sender mittels eines Servers verifiziert wird, wobei der Server den Zugang des Senders zur Basisstation authentifiziert, wobei der Server zusätzlich zur Authentifizierung des Senders Verifikationsdaten an den Sender und/oder an die Basisstation übermittelt, wobei der Sender einen auf den Verifikationsdaten basierenden Beweis (p) an die Basisstation übermittelt, wobei die Basisstation anhand des auf den Verifikationsdaten basierenden Beweises (p) den Sender von einem unberechtigten Sender differenziert, wobei die Verifikationsdaten nach einer erfolgreichen Authentifizierung durch den Server an den Sender übermittelt werden, wobei die Verifikationsdaten eine zufällige Bitfolge b1, ..., bn umfassen, wobei die Daten zur Übermittlung in Pakete geteilt werden, wobei der Sender einen Index (i) zur Kennzeichnung der Pakete an die Basisstation übermittelt, wobei der Beweis für das Paket mit dem Index (i) gemäß pi = b(i-1)|p|+1, ..., bi|p| berechnet wird, und wobei beim Senden der Pakete der Beweis und der Index in einem weiteren IP-Kopf-Feld oder in einem Erweiterungskopf integriert werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Daten drahtlos vom Sender zur Basisstation übermittelt werden.
  3. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass zwischen dem Server und der Basisstation und/oder dem Server und dem Sender eine sichere Verbindung aufgebaut wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Server den Zugang des Senders zur Basisstation autorisiert und/oder abrechnet.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass sich der Sender und die Basisstation innerhalb einer Zelle befinden.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass sich der Server in der gleichen Domain wie der Sender und die Basisstation befindet.
  7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass sich der Server in einer anderen Domain befindet.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der Server mit einem weiteren Server kommuniziert.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass der weitere Server ein AAA-Server ist.
  10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass der Server die Verifikationsdaten über die Basisstation an den Sender übermittelt.
  11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Verifikationsdaten verschlüsselt vom Server an die Basisstation und/oder von der Basisstation an den Sender übermittelt werden.
  12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass der Server die Verifikationsdaten bei jeder Authentifizierung neu generiert und/oder übermittelt.
  13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die Verifikationsdaten einen initialen Generierungsschlüssel umfassen.
  14. Verfahren nach einem der Ansprüche 1 bis 13, dass die Daten in IP-Pakete geteilt werden.
  15. Verfahren nach einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass der Beweis (p, pBS) zustandslos ist.
  16. Verfahren nach einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass die Basisstation die empfangenden Beweise (pi) mit einem aus den Verifikationsdaten berechneten Beweis (piBS) vergleicht.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die Basisstation, wenn beim Vergleich der Beweis (pi) ungleich dem von der Basisstation berechneten Beweis (piBS) ist, den Index (i) liest und/oder den Beweis (piBS) berechnet erneut.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass, wenn beim Vergleich der Beweis (pi) ungleich dem von der Basisstation berechneten Beweis (piBS) ist, die Basisstation eine Reauthentifizierung veranlasst.
  19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass der Server neue Verifikationsdaten generiert und/oder übermittelt.
  20. Verfahren nach einem der Ansprüche 1 bis 19, dadurch gekennzeichnet, dass das Netzwerk ein LAN und/oder das Internet umfasst.
  21. Verfahren nach einem der Ansprüche 1 bis 20, dadurch gekennzeichnet, dass der Server ein AAA-Server ist.
  22. Verfahren nach einem der Ansprüche 1 bis 21, dadurch gekennzeichnet, dass die Basisstation anhand des auf den Verifikationsdaten basierenden Beweises (p) den Sender von einem unberechtigten Sender differenziert und die Basisstation die Übermittlung von Daten stoppt.
DE10209502.7A 2001-10-25 2002-03-05 Verfahren zur Übermittlung von Daten Expired - Fee Related DE10209502B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10209502.7A DE10209502B4 (de) 2001-10-25 2002-03-05 Verfahren zur Übermittlung von Daten
JP2002309160A JP4019266B2 (ja) 2001-10-25 2002-10-24 データ送信方法
US10/280,061 US7343489B2 (en) 2001-10-25 2002-10-25 Low cost packet originator verification for intermediate nodes

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10152056 2001-10-25
DE10152056.5 2001-10-25
DE10209502.7A DE10209502B4 (de) 2001-10-25 2002-03-05 Verfahren zur Übermittlung von Daten

Publications (2)

Publication Number Publication Date
DE10209502A1 DE10209502A1 (de) 2003-05-22
DE10209502B4 true DE10209502B4 (de) 2017-12-28

Family

ID=7703291

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10209502.7A Expired - Fee Related DE10209502B4 (de) 2001-10-25 2002-03-05 Verfahren zur Übermittlung von Daten

Country Status (1)

Country Link
DE (1) DE10209502B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005011085A1 (de) * 2005-03-08 2006-09-14 Nec Europe Ltd. Verfahren zum Durchführen von Abrechnungs- und Vergütungsprozessen in Ad Hoc Netzwerken

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999035799A2 (en) * 1997-12-31 1999-07-15 Ssh Communications Security Oy A method for packet authentication in the presence of network address translations and protocol conversions
EP0964544A1 (de) * 1998-06-09 1999-12-15 Mitsubishi Electric Information Technology Centre Europe B.V. Verfahren zur Fehlerkontrolle in einer Paketübertragungsverbindung
WO2001076134A1 (en) * 2000-03-31 2001-10-11 Nokia Corporation Authentication in a packet data network
WO2002017553A2 (en) * 2000-08-18 2002-02-28 United States Postal Service Apparatus and methods for the secure transfer of electronic data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999035799A2 (en) * 1997-12-31 1999-07-15 Ssh Communications Security Oy A method for packet authentication in the presence of network address translations and protocol conversions
EP0964544A1 (de) * 1998-06-09 1999-12-15 Mitsubishi Electric Information Technology Centre Europe B.V. Verfahren zur Fehlerkontrolle in einer Paketübertragungsverbindung
WO2001076134A1 (en) * 2000-03-31 2001-10-11 Nokia Corporation Authentication in a packet data network
WO2002017553A2 (en) * 2000-08-18 2002-02-28 United States Postal Service Apparatus and methods for the secure transfer of electronic data

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Chii-Hwa Lee, Min-Shiang Hwang and Wei-Pang Yang: Enhanced privacy and authentication for the global system for mobile communications. In: Wireless Networks; Volume 5; Issue 4; Seiten 231 – 243; Juli 1999. DOI: 10.1023/A:1019103228471 *
M. Burrows, M. Abadi and R. M. Needham: A Logic of Authentication. In: Proceedings of the Royal Society A; vol. 426; Seiten 233 – 271; 8. Dezember 1989. DOI:10.1098/rspa.1989.0125. [online] URL: http://rspa.royalsocietypublishing.org/content/426/1871/233.full.pdf+html *

Also Published As

Publication number Publication date
DE10209502A1 (de) 2003-05-22

Similar Documents

Publication Publication Date Title
DE69831974T2 (de) Verfahren zur paketauthentifizierung in gegenwart von netzwerkadressübersetzungen und protokollumwandlungen
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
EP2561662B1 (de) Verfahren und vorrichtung zum bereitstellen eines einmalpasswortes
DE60209475T2 (de) Datensicherungs-kommunikationsvorrichtung und -verfahren
DE60305869T2 (de) Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät
EP2025120B1 (de) Verfahren und system zum bereitstellen eines mobile ip schlüssels
EP1601156A3 (de) Verfahren zur RTP Paketauthentifizierung
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
EP1943856B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE602005000121T2 (de) Methode und Vorrichtung zum Reduzieren von e-Mail Spam und der Verbreitung von Viren in einem Kommunikationsnetz durch Authentifizierung der Herkunft von e-Mail Nachrichten
EP1982495B1 (de) Verfahren zum sichern der authentizität von nachrichten, die gemäss einem mobile internet protokoll ausgetauscht werden
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
WO2007023208A1 (en) Authentication and authorization of a remote client
EP1673921B1 (de) Verfahren zur sicherung des datenverkehrs zwischen einem mobilfunknetz und einem ims-netz
EP1187415A1 (de) Verfahren zur Identifikation von Internet-Nutzern
EP1721235A1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE602005004341T2 (de) Cookie-basiertes Verfahren zur Authentifizierung von MAC-Nachrichten
DE10209502B4 (de) Verfahren zur Übermittlung von Daten
US7698452B2 (en) Access-controlling method, repeater, and server
WO2002071350A2 (de) Verfahren zur bezahlung von entgeltpflichtigen angeboten, die über ein netz erfolgen
CN101360096B (zh) 一种应用于数字医疗的系统安全规划方法
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
Zrelli et al. Access control architecture for nested mobile environments in IPv6
DE102010011656A1 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
Townsley et al. Encapsulation of MPLS over Layer 2 Tunneling Protocol Version 3

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: NEC CORPORATION, JP

Free format text: FORMER OWNER: NEC EUROPE LTD., 69115 HEIDELBERG, DE

R082 Change of representative

Representative=s name: PATENT- UND RECHTSANWAELTE ULLRICH & NAUMANN P, DE

R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee