DE60026373T2 - Vermeidung der identitätsverfälschung in fernmeldesystemen - Google Patents

Vermeidung der identitätsverfälschung in fernmeldesystemen Download PDF

Info

Publication number
DE60026373T2
DE60026373T2 DE60026373T DE60026373T DE60026373T2 DE 60026373 T2 DE60026373 T2 DE 60026373T2 DE 60026373 T DE60026373 T DE 60026373T DE 60026373 T DE60026373 T DE 60026373T DE 60026373 T2 DE60026373 T2 DE 60026373T2
Authority
DE
Germany
Prior art keywords
packet
address
terminal
node
packet data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60026373T
Other languages
English (en)
Other versions
DE60026373D1 (de
Inventor
Sami Uskela
T. Hannu JOKINEN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8555800&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE60026373(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of DE60026373D1 publication Critical patent/DE60026373D1/de
Application granted granted Critical
Publication of DE60026373T2 publication Critical patent/DE60026373T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Pinball Game Machines (AREA)
  • Traffic Control Systems (AREA)
  • Alarm Systems (AREA)

Description

  • ALLGEMEINER STAND DER TECHNIK
  • Die Erfindung bezieht sich auf das Verhindern von Spoofing (Vortäuschen falscher Identitäten) in Telekommunikationssystemen, die fähig sind, Paketdaten zu übertragen. Insbesondere bezieht sich die Erfindung auf das Verhindern von Spoofing von Absenderdaten in IP-Paketen (Internet-Protokoll-Paketen), die von einer Mobilstation in mobilen Kommunikationssystemen gesendet werden.
  • Mobile Kommunikationsnetzwerke dienen als wirksame Zugriffsnetzwerke, die den Benutzern Zugriff auf die tatsächlichen Datennetzwerke für mobile Datenübertragung bereitstellen. Mobile Datenübertragung wird besonders gut von digitalen mobilen Kommunikationssystemen, wie dem pan-europäischen mobilen Kommunikationssystem GSM (Globales System für Mobile Kommunikation), unterstützt. In dieser Anmeldung bezieht sich der Ausdruck "Daten" auf alle von einem digitalen Telekommunikationssystem übertragenen Informationen. Solche Informationen können digital kodiertes Audio und/oder Video, Datenverkehr zwischen Computern, Telefaxdaten, kurze Programmcodeabschnitte, usw. beinhalten. Das mobile Kommunikationssystem ist allgemein auf jedes Telekommunikationssystem, welches drahtlose Kommunikation während der Bewegung der Benutzer innerhalb des Dienstbereichs des Systems benutzt. Ein typisches Beispiel eines mobilen Kommunikationssystems ist ein PLMN-Netz (landgestütztes Mobilfunknetz). Das mobile Kommunikationsnetz ist oft ein Zugriffsnetzwerk, welches dem Benutzer drahtlosen Zugriff auf externe Netzwerke, Hosts oder Dienste bietet, die von spezifischen Diensterbringern angeboten werden.
  • Eins der Hauptziele bei der Entwicklung von mobilen Kommunikationssystemen bestand darin, eine Gelegenheit zur Benutzung von IP-Diensten über das mobile Kommunikationsnetzwerk zu bieten, damit die Mobilstation auch als Host benutzt werden kann. Dies ist zum Beispiel in einem GPRS-Dienst (General Packet Radio Service) möglich. Der GPRS-Dienst stellt die Datenübertragung zwischen mobilen Datenterminals und externen Datennetzwerken im GSM-System bereit. Zum Senden und Empfangen von GPRS-Daten muss eine Mobilstation die Paketdatenadresse, die sie benutzen möchte, aktivieren, indem sie ein PDP-Aktivierungsverfahren (Paketdatenprotokoll) anfordert. Durch diesen Vorgang wird dem betreffenden Gateway-Unterstützungsknoten die Mobilstation bekanntgegeben, wodurch die Zusammenarbeit mit den externen Datennetzwerken unter Einsatz der aktivierten Paketdatenadresse ermöglicht wird. Ähnliche Lösungen werden z.Zt. auch für die mobilen Kommunikationssysteme der dritten Generation, wie UMTS (Universal Mobile Communications System) und IMT-2000 (International Mobile Telecommunications 2000) entwickelt.
  • Insbesondere ist Spoofing in IP-Netzwerken, d.h. Fälschen der Quelladresse eines IP-Datenpakets, ein Leichtes. In anderen Worten: der Host, der das IP-Paket überträgt, kann vortäuschen, dass er ein anderer ist, und Pakete im Namen von A an B senden, wobei B eine Antwort an A schickt. In diesem Fall werden sowohl A als auch B getäuscht. Eine Lösung auf dieses Problem ist der Einsatz von Feuerwänden (firewalls). In diesen Feuerwänden ist der Benutzer jedoch nicht authentifiziert, sondern es werden nur Quell- und Zieladressen überwacht. In einer Feuerwand werden Quelladressen gewöhnlich mit der Genauigkeit eines Subnetzwerks beschrieben. Folglich kann die Feuerwand den wirklichen Absender des Pakets nicht kennen, und Hosts im gleichen Subnetzwerk können vorgeben, einer der anderen Hosts zu sein. Da die in der Feuerwand erlaubten Quelladressen im Voraus bekannt sein müssen, und die Mobilstation fähig sein muss, aus dem Bereich einer Feuerwand in den Bereich einer anderen Feuerwand einzutreten, ohne ihre IP-Adresse zu ändern, decken die erlaubten Quelladressen der Feuerwände in der Praxis alle Mobilstationen, die fähig sind, auf ein von einer Feuerwand geschütztes Subnetzwerk zuzugreifen. Das hierdurch verursachte Problem besteht darin, dass die Quelladresse des IP-Pakets nicht zuverlässig ist, und um Spoofing zu verhindern, muss der mobile Host separat authentifiziert werden. Verhindern von Spoofing ist dann besonders wichtig, wenn IP-Dienste, die dem Host angelastet werden, benutzt werden. Eine zuverlässige Authentifizierungsprozedur kann jedoch die Verzögerung im Netzwerk vergrößern oder begrenzte Ressourcen, d.h. die Luftschnittstellen, in den mobilen Kommunikationsnetzwerken verschwenden.
  • In der WO 9948303 wird ein Verfahren zum Blockieren von Angriffen auf ein privates Netzwerk bereitgestellt. Eingehende Datenpakete werden analysiert, und Pakete von bekannten böswilligen Quellen oder Pakete mit einer Quelladresse, die mit einer internen Adresse des privaten Netzwerks übereinstimmt, werden blockiert.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Das Ziel der Erfindung besteht darin, ein Verfahren und eine das Verfahren implementierende Vorrichtung bereitzustellen, so dass ein Empfänger eines Datenpakets sich darauf verlassen kann, dass die Quelladresse des Datenpakets den wirklichen Absender des Pakets bezeichnet.
  • Die Ziele der Erfindung werden mit einem Verfahren zum Verhindern von Spoofing in einem Telekommunikationssystem erreicht, welches ein zur Übertragung von Datenpaketen fähiges Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten von Datenpaketen in einem ersten Subsystem umfasst. Das Verfahren umfasst folgende Schritte:
    Aktivieren einer Paketdatenadresse für das Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen zwischen dem Terminal und einem zweiten Subsystem;
    Speichern der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den die Datenpakete der Paketdatenadresse geroutet werden;
    Empfangen des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket eine Zieladresse und eine Quelladresse umfasst;
    Prüfen in diesem Knoten, ob die Quelladresse des Pakets die gleiche wie die Paketdatenadresse ist; und
    Übertragen des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn die Adressen identisch sind.
  • Die Erfindung bezieht sich ferner auf ein Verfahren zum Verhindern von Spoofing in einem Telekommunikationssystem, welches ein zum Übertragen von Datenpaketen fähiges Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten von Datenpaketen in einem ersten Subsystem umfasst, und welches ferner folgende Schritte umfasst:
    Aktivieren einer Paketdatenadresse für das Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen zwischen dem Terminal und einem zweiten Subsystem;
    Speichern der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den die Datenpakete der Paketdatenadresse geroutet werden;
    Empfangen des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket eine Zieladresse und eine Quelladresse umfasst;
    Definieren der Paketdatenadresse als ein Satz von erlaubten Paketdatenadressen;
    Prüfen in diesem Knoten, ob die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen gehört; und
    Übertragen des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen gehört.
  • Die Erfindung bezieht sich ferner auf einen Netzwerkknoten eines Paketnetzwerks zum Übertragen von Datenpaketen von einem Terminal des Paketnetzwerks an einen Empfänger, wobei der Netzwerkknoten darauf eingerichtet ist, mindestens eine Paketdatenadresse, die das Terminal beim Übertragen von Datenpaketen benutzen kann, für das Terminal zu aktivieren, und ein vom Terminal empfangenes Paket an die vom Terminal benutzte Paketdatenadresse anzuhängen. Der Netzwerkknoten ist dadurch gekennzeichnet, dass in Antwort auf den Empfang eines Pakets der Netzwerkknoten darauf eingerichtet wird, die Quelladresse des Pakets mit der vom Terminal benutzten Paketdatenadresse zu vergleichen und das Paket nur dann vom Netzwerkknoten in Richtung der Zieladresse des Pakets zu senden, wenn die Adressen identisch sind.
  • Die Erfindung bezieht sich ferner auf einen Netzwerkknoten eines Paketnetzwerks zum Übertragen von Datenpaketen von einem Terminal des Paketnetzwerks an einen Empfänger, wobei der Netzwerkknoten darauf eingerichtet ist, mindestens eine Paketdatenadresse, die das Terminal beim Übertragen von Datenpaketen benutzen kann, für das Terminal zu aktivieren, und ein vom Terminal empfangenes Paket an die vom Terminal benutzte Paketdatenadresse anzuhängen. Der Netzwerkknoten ist dadurch gekennzeichnet, dass die Paketdatenadresse als ein Satz von erlaubten Paketdatenadressen definiert ist; und in Antwort auf den Empfang eines Pakets der Netzwerkknoten darauf eingerichtet wird, zu prüfen, ob die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen gehört, die vom Terminal benutzt werden, und das Paket nur dann vom Netzwerkknoten in Richtung der Zieladresse des Pakets zu senden, wenn die Quelladresse zu dem Satz von erlaubten Paketdatenadressen gehört.
  • Die Erfindung basiert auf dem Gedanken, dass dank der Paketdatenadresse, die zum Übertragen von Datenpaketen aktiviert wurde, dem Gateway-Unterstützungsknoten GGSN zum Beispiel die Paketdatenadresse der Mobilstation, die das Datenpaket gesendet hat, bekannt ist. So muss der Gateway-Unterstützungsknoten GGSN nur die Quelladresse im Datenpaket mit der von der Mobilstation benutzten Paketdatenadresse vergleichen. Wenn die Adressen identisch sind, wurde die Adresse nicht gefälscht, und das Paket kann an die Zieladresse weitergeleitet werden.
  • Ein Vorteil der Erfindung besteht darin, dass sie sehr einfach zu implementieren ist und dennoch das Verhindern von Spoofing erlaubt. Zum Beispiel kann sich der Empfänger eines IP-Pakets auf die Tatsache verlassen, dass die Quelladresse des IP-Pakets den Absender des IP-Pakets authentifiziert. Ein zusätzlicher Authentifizierungsmechanismus wird nicht benötigt, was zur Folge hat, dass das Netzwerk nicht belastet, und so die Verzögerung auf ein Minimum reduziert wird. Die Erfindung erleichtert ferner die Implementierung kostenpflichtiger Dienste, weil der Diensterbringer sich auf die Tatsache verlassen kann, dass die Quelladresse im Datenpaket den zu belastenden Benutzer bezeichnet.
  • In einer bevorzugten Ausführungsform der Erfindung wird der Vergleich im Gateway-Unterstützungsknoten durchgeführt. Ein Vorteil dieser Ausführungsform besteht darin, dass der Vergleichsmechanismus zu den Elementen hinzugefügt wird, deren Anzahl im Netzwerk klein ist.
  • In einer anderen bevorzugten Ausführungsform der Erfindung wird der Vergleich in einem Kantenknoten des Paketfunknetzes durchgeführt, welches die Mobilstation verwaltet. Ein Vorteil dieser Ausführungsform besteht darin, dass das Paketfunknetz nicht durch Übertragung von Paketen belastet wird, die überhaupt nicht ausgeliefert werden.
  • In einer anderen bevorzugten Ausführungsform der Erfindung wird der Vergleich nur auf den Paketen durchgeführt, die ein Paketdatenprotokoll benutzen, welches Spoofing, d.h. Fälschen der Quelladresse, ermöglicht. Ein Vorteil dieser Ausführungsform besteht darin, dass der Vergleich nicht vergebens auf Paketen durchgeführt wird, deren Quelladresse nicht gefälscht werden kann.
  • Bevorzugte Ausführungsformen des Verfahrens und Netzwerkknotens der Erfindung werden in den angehängten abhängigen Ansprüchen offenbart.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Erfindung soll nun im Detail mittels bevorzugter Ausführungsformen mit Bezug auf die beigefügten Zeichnungen beschrieben werden, in denen
  • 1 ein Blockdiagramm darstellt, welches die Netzwerkarchitektur eines GPRS-Dienstes veranschaulicht, und
  • 2 ein Flussdiagramm darstellt, welches den Betrieb gemäß der Erfindung veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • Die vorliegende Erfindung ist anwendbar auf jedes paketvermittelte System, in dem, wie im GPRS-System, eine individuelle Paketdatenadresse aktiviert wird, bevor sie benutzt werden kann, und in dessen Netzwerkinfrastruktur Information über die aktive Paketdatenadresse des Benutzers geführt wird. Zu diesen Systemen gehören die mobilen Kommunikationssysteme der dritten Generation, wie das UMTS-System (Universal Mobile Telecommunications System) und das IMT-2000-System (International Mobile Telecommunications 2000), mobile Kommunikationssysteme, die dem GMS-System entsprechen, wie das DCS 1800 (Digital Cellular System for 188 MHz) und das PCS (Personal Communication System), und WLL-Systeme, die auf den oben genannten Systemen basieren, und ein Paketfunksystem vom GPRS-Typ implementieren. Des Weiteren lässt sich die Erfindung außer auf mobile Kommunikationssysteme auch auf Systeme wie Kabelmodemnetzwerke und ähnliche feste Systeme anwenden. Im Folgenden soll die Erfindung beispielhaft anhand des GPRS-Dienstes des GSM-Systems beschrieben werden, die Erfindung ist jedoch nicht auf ein solches System beschränkt. Die Definitionen von mobilen Kommunikationssystemen ändern sich schnell, was möglicherweise zusätzliche Änderungen an der Erfindung nach sich ziehen wird. Aus diesem Grunde sind alle Begriffe und Ausdrücke nur im allgemeineren Sinne zu verstehen, und es sollte auch daran gedacht werden, dass sie lediglich zur Beschreibung der Erfindung, nicht zur Begrenzung derselben dienen.
  • 1 veranschaulicht die Netzwerkarchitektur eines GPRS-Dienstes nur im Allgemeinen, weil eine detailliertere Struktur des Netzwerks für die Erfindung nicht von Belang ist. Die Struktur und Funktion des GSM-Systems werden einem Fachmann gut bekannt sein. Die Struktur des GPRS-Dienstes ist zum Beispiel in der ETSI-Spezifikation 03.60, Version 6.0.0 (Digital Cellular Telecommunications System (Phase 2+); General Packet Radio Service (GPRS); Service Description, Stage 2) definiert, die in Form eines Verweises in diese Schrift aufgenommen wurde. Der GPRS-Dienst umfasst ein Zugriffsnetzwerk, welches Funkzugriff bereitstellt und in 1 durch das Basisstationssubsystem BSS im GSM-System dargestellt ist. Inbegriffen im GPRS-Dienst sind ferner GPRS-Dienstunterstützungknoten in Form von Kantenknoten für die paketvermittelte Übertragung von Daten zwischen einem Paketdatennetzwerk PDN und einer Mobilstation MS. Die Unterstützungsknoten beinhalten einen verwaltenden GPRS-Unterstützungsknoten SGSN und einen Gateway-GPRS-Unterstützungsknoten GGSN. Die Unterstützungsknoten SGSN und GGSN sind untereinander durch ein Hauptstrangnetzwerk 1 verbunden. Es wird darauf hingewiesen, dass die Funktionalitäten des SGSN und GGSN auch physisch im gleichen Netzwerkknoten kombiniert werden können, in welchem Fall sich das Hauptstrangnetzwerk des Betreibers erübrigt. Logisch betrachtet sind die Knoten jedoch separate Knoten.
  • Der verwaltende GPRS-Unterstützungsknoten SGSN verwaltet die Mobilstation MS. Jeder Unterstützungsknoten SGSN erzeugt einen Paketdatendienst für mobile Datenterminals, d.h. Mobilstationen MS, innerhalb des Bereichs von einer oder mehreren Zellen in einem zellularen Paketfunknetz. Zu diesem Zweck ist jeder Unterstützungsknoten SGSN typisch mit dem GSM-System für mobile Kommunikationen (typisch dem Basisstationscontroller im Basisstationssubsystem BSS) verbunden, so dass das mobile Zwischenkommunikationsnetzwerk Funkzugriff und paketvermittelte Datenübertragung zwischen dem SGSN und den Mobilstationen bereitstellt. In anderen Worten, die Mobilstation MS in einer Zelle kommuniziert mit einer Basisstation über die Funkschnittstelle und ferner über das Basisstationssubsystem mit dem Unterstützungsknoten SGSN, zu dessen Dienstbereich die Zelle gehört. Die Hauptfunktionen des SGSN-Knotens bestehen darin, neue GPRS-Mobilstationen in seinem Dienstbereich zu erkennen, die Registration neuer Mobilstationen MS zusammen mit GPRS-Registern durchzuführen, Datenpakete zu der GPRS-Mobilstation zu senden oder von dieser zu empfangen und eine Datei über den Standort der Mobilstation MS innerhalb seines Dienstbereiches zu führen. Dies bedeutet, dass der SGSN Sicherheitsfunktionen und Zugriffskontrolle, wie Authentifizierungs- und Verschlüsselungsprozeduren, durchführt. Unter Einsatz eines einzigartigen Tunnels routet der SGSN ein von einer Mobilstation in verschlüsselter Form empfangenes Paket über das GPRS-Hauptstrangnetzwerk an den GGSN-Knoten, wo die Paketdatenadresse aktiviert wird.
  • GPRS-Gateway-Unterstützungsknoten GGSN verbinden das GPRS-Netzwerk des Betreibers mit den externen Systemen, Datennetzwerken, wie einem IP-Netzwerk (Internet) oder einem X.25 Netzwerk, und Servern 2. Der GGSN kann auch direkt mit einem privaten Firmennetzwerk oder einem Host verbunden sein. Im Beispiel von 1 ist der GGSN über ein zuverlässiges IP-Netzwerk 3 an die Server 2 und über eine Feuerwand FW an das Internet 4 angeschlossen. Der GGSN umfasst PDP-Adressen und Routinginformation der GPRS-Teilnehmer, d.h. die SGSN-Adressen. Der GGSN aktualisiert die Standortdatei bezüglich der Route der Mobilstation MS mit Hilfe der von den SGSN-Knoten erzeugten Routinginformation. Der GGSN funktioniert als Router zwischen einer externen Adresse und interner Routinginformation (zum Beispiel SGSN). In anderen Worten, der GGSN routet ein Protokollpaket eines externen Datennetzwerks in verkapselter Form über das GPRS-Hauptstrangnetzwerk an den SGSN-Knoten, der zum gegebenen Zeitpunkt die Mobilstation MS verwaltet. Ferner entkapselt er das von der Mobilstation gesendete Paket und überträgt die Pakete des externen Datennetzwerks an das betreffende Datennetzwerk. Der GGSN kann auch Pakete von einer an eine andere Mobilstation innerhalb des Netzwerks übertragen. Außerdem ist der GGSN verantwortlich für die Fakturierung des Datenverkehrs.
  • Die Mobilstation MS kann jeder mobile Knoten sein, der Paketdatenübertragung unterstützt, und der eine Funkschnittstelle mit dem Netzwerk aufweist. Dies kann zum Beispiel ein Laptop-PC sein, der mit einem zellularen Telefon verbunden ist, das Paketfunkbetrieb ermöglicht, oder es kann eine integrierte Kombination aus einem kleinen Computer und einem Paketfunktelefon sein. Andere Ausführungsformen der Mobilstation MS sind zum Beispiel verschiedene Pager, ferngesteuerte Controller, Überwachungs- und/oder Datenerfassungsgeräte usw. Die Mobilstation kann auch als mobiler Knoten oder mobiler Host bezeichnet werden.
  • Um auf die GPRS-Dienste zuzugreifen, muss die Mobilstation als erstes dem Netzwerk ihr Vorhandensein bekanntgeben, indem sie einen GPRS-Verknüpfungsvorgang durchführt. Dieser Vorgang richtet eine logische Verbindung zwischen der Mobilstation MS und dem SGSN-Knoten ein und stellt die Mobilstation für eine Kurznachricht über den GPRS oder eine ähnliche, ohne eine Verbindung übertragene Nachricht, für Paging über den SGSN und für Bekanntgabe eingehender GPRS-Daten zur Verfügung. Um es genauer auszudrücken: wenn sich die Mobilstation MS (mittels einer GPRS-Verknüpfungsprozedur) an ein GPRS-Netzwerk anhängt, erstellt der SGSN einen MM-Kontext (Mobilitätsmanagementkontext), und es wird eine logische Verknüpfung LLC (Logic Link Control) zwischen der Mobilstation MS und dem SGSN-Knoten in einer Protokollschicht eingerichtet. Der MM-Kontext wird im SGSN-Knoten und in der Mobilstation MS gespeichert. Der MM-Kontext des SGSN-Knotens kann Teilnehmerdaten, wie die IMSI des Teilnehmers, die TLLI (Temporary Logical Link Identifier – temporäre logische Verbindungskennung) sowie Standort- und Routinginformation usw. enthalten.
  • Um GPRS-Daten zu senden und zu empfangen, muss die Mobilstation MS die PDP-Adresse, d.h. die Paketdatenadresse, die sie benutzen möchte, aktivieren, indem sie eine PDP-Aktivierungsprozedur anfordert. Der PDP-Kontext kann aktiviert werden, wenn sich die Mobilstation an das GPRS-Netzwerk anhängt. Die Mobilstation kann aber auch den PDP-Kontext später aktivieren, oder die Aktivierung kann infolge einer vom GPRS-Netzwerk empfangenen Aktivierungsanforderung durchgeführt werden (GPRS network requested PDP context information – GPRS-Netzwerk forderte PDP-Kontextaktivierung an). Die GPRS-Schnittstelle umfasst einen oder mehrere individuelle PDP-Kontexte, die die Paketdatenadresse und die darauf bezogenen Parameter beschreiben. Um es genauer auszudrücken, definiert der PDP-Kontext verschiedene Datenübertragungsparameter, wie den PDP-Typ (zum Beispiel X.25 oder IP), die PDP-Adresse (zum Beispiel die IP Adresse), die Dienstqualität QoS und die NSAPI (Network Service Access Point Identifier – Kennung des Netzwerkdienstzugriffspunkts). Eine Mobilstation kann mehrere ähnliche PDP-Adressen aufweisen, zum Beispiel verschiedene IP-Adressen als PDP-Adressen (das heißt, die Mobilstation weist mehrere Kontexte vom IP-Typ auf). Zum Beispiel können verschiedene IP-Adressen, d.h. Kontexte, für Dienste verschiedener Qualität und Preise benutzt werden, die mittels des IP-Protokolls übertragen werden. Die Paketdatenadresse des PDP-Kontextes ist entweder permanent (d.h. in den Teilnehmerdaten des Heimatregisters definiert) oder dynamisch, in welchem Fall der GGSN die Paketdatenadresse während der PDP-Aktivierungsprozedur zuweist. Die PDP-Aktivierungsprozedur aktiviert den PDP-Kontext und gibt die Mobilstation MS im entsprechenden GGSN-Knoten bekannt, und danach kann die Zusammenarbeit mit externen Datennetzwerken eingeleitet werden. Während der PDP-Kontextaktivierung wird der PDP-Kontext in der Mobilstation und in den GGSN- und SGSN-Knoten erstellt. Wenn der PDP-Kontext aktiviert wird, wird der Benutzer mittels GSM-Prozeduren authentifiziert, und somit kann die Paketdatenadresse, zum Beispiel die IP-Adresse, die dem Terminal während der PDP-Kontextaktivierung gegeben wurde, zuverlässig an den Identifikationscode des Benutzers, zum Beispiel IMSI (International Mobile Subscriber Identity), angehängt werden.
  • Das Erstellen des PDP-Kontexts und das Tunneln der Pakete erfolgt unter Einsatz eines GTP-Protokolls (GPRS Tunnelling Protocol). Die Mobilstation MS aktiviert den PDP-Kontext mit einer spezifischen Nachricht, "Activate PDP Context Request" (PDP-Kontextanforderung aktivieren), in der die Mobilstation Information über die TLLI, den PDP-Typ, die angeforderte QoS und NSAPI und wahlweise über die PDP-Adresse und den APN (Zugriffspunktnamen) bereitstellt. Der SGSN sendet eine "Create PDP Context" (PDP-Kontext erstellen) Nachricht an den GGSN-Knoten, der den PDP-Kontext erstellt und ihn an den SGSN-Knoten sendet. Wenn die "Activate PDP Context Request" Nachricht (und die "Create PDP Context" Nachricht) nicht die PDP-Adresse enthält, weist der GGSN die PDP-Adresse während der Erstellung des PDP-Kontextes zu und nimmt eine dynamische PDP-Adresse in den an den SGSN zu sendenden PDP-Kontext auf. Der SGSN sendet den PDP-Kontext an die Mobilstation MS in einer "Activate PDP Context Response" (PDP-Kontextantwort aktivieren) Nachricht. Der PDP-Kontext wird in der Mobilstation MS, dem SGSN-Knoten und dem GGSN-Knoten gespeichert. In dem verwaltenden SGSN-Knoten wird jeder PDP-Kontext zusammen mit dem MM-Kontext gespeichert. Wenn die MS in den Bereich eines neuen SGSN-Knotens eintritt, fordert der neue SGSN den MM-Kontext und die PDP-Kontexte von dem alten SGSN-Knoten an.
  • Somit wird bei der PDP-Kontextaktivierungsprozedur eine virtuelle Verbindung oder Link zwischen der Mobilstation MS und dem GGSN-Knoten eingerichtet. Zur gleichen Zeit wird zwischen dem GGSN und dem SGSN für diesen PDP-Kontext und die Paketdatenadresse ein einzigartiger Tunnel gebildet. Der Tunnel ist eine Route, die das IP- Paket einschlägt, und mittels welcher ein von der Mobilstation übertragenes Paket an einen bestimmten PDP-Kontext und eine bestimmte Paketdatenadresse im GGSN angehängt wird. In anderen Worten: der Tunnel dient zum Identifizieren der Paketdatenadresse, die die Mobilstation beim Senden des Pakets benutzte. Das Paket wird an einen bestimmten PDP-Kontext entweder mit einer TID (Tunnel-Kennung) oder mit einer Tunnelendpunktkennung angehängt, wenn das GTP-Protokoll benutzt wird. Die TID enthält eine NSAPI und eine IMSI. Während der PDP-Kontextaktivierungsprozedur kann der GGSN die Tunnelendpunktkennung zuweisen, die als Hinweis auf den PDP-Kontext zu verwenden ist.
  • 2 ist ein Flussdiagramm, das den Betrieb gemäß einer ersten bevorzugten Ausführungsform der Erfindung im Gateway-Unterstützungsknoten GGSN veranschaulicht. In der ersten erfindungsgemäßen bevorzugten Ausführungsform wird die im Paket enthaltene Quelladresse mit der aktivierten Paketdatenadresse nur in den PDP-Kontexten verglichen, die von einem Typ sind, der Spoofing ermöglicht. Hierzu gehören Kontexte vom IP-Typ und Paketdatenadressen. Diese Typen (oder dieser Typ) sind in dem Knoten definiert, der den Vergleich durchführt. Im Beispiel von 2 wird angenommen, dass Spoofing nur mit IP-Adressen, aber nicht mit anderen Paketdatenadresstypen möglich ist. Es wird ferner davon ausgegangen, dass die Mobilstation den von ihr benutzten PDP-Kontext aktiviert hat, d.h. beispielsweise eine IP-Adresse angenommen hat, und dass sie zum Beispiel ein IP-Paket an den in 1 veranschaulichten Server 1 oder an das Internet 4 sendet. Es wird ferner vorausgesetzt, dass die TID zur Identifizierung des Tunnels benutzt wird.
  • Mit Bezug auf 2 empfängt der GGSN in Schritt 200 ein Paket, das einen einzigartigen Tunnel benutzt, entkapselt es in Schritt 201 und extrahiert die Tunnelkennung TID in Schritt 202. In Schritt 203 ruft der GGSN mittels der TID die PDP-Kontextinformation des PDP-Kontextes entsprechend der TID ab. Die Information beinhaltet die Paketdatenadresse, d.h. die PDP-Adresse, die in diesem Beispiel durch eine IP-Adresse dargestellt wird. Dann prüft der GGSN in Schritt 204, ob der dem Tunnel entsprechende PDP-Kontext (d.h. die Paketdatenadresse) vom Typ IP ist. Wenn das der Fall ist, extrahiert der GGSN die im Titel des Pakets angegebene Quelladresse in Schritt 205. Wenn der GGSN beide Adressen kennt, vergleicht er sie in Schritt 206. Wenn die Quelladresse die gleiche wie die PDP-Adresse des PDP-Kontexts ist, ist die Mobilstation die, die sie im IP-Paket angibt zu sein, und folglich leitet der GGSN das Paket in Schritt 207 weiter. Wenn sich die Quelladresse von der PDP-Adresse unterscheidet, gibt die Mobilstation vor, eine andere Mobilstation zu sein, und folglich weist der GGSN das Paket in Schritt 208 zurück. Zurückweisung bedeutet hier, dass das Paket nicht an die Zieladresse gesendet wird.
  • Was mit dem Paket nach der Zurückweisung geschieht, richtet sich nach den Definitionen des Betreibers und ist für die Erfindung belanglos. Zum Beispiel kann dem Benutzer und dem Terminal mit Hilfe von Kontrollebenennachrichten mitgeteilt werden, dass die Quelladresse eine falsche Adresse ist. Oder aber der GGSN könnte eine Warnnachricht an die Netzwerkbetrieb- und Wartungszentrale des Betreibers senden. Es ist ferner möglich, einen Eintrag in der Fehlerprotokolldatei vorzunehmen, der die PDP-Kontextinformation und die Paketinformation enthält. Der Inhalt des zurückgewiesenen Pakets kann ebenfalls in die Fehlerprotokolldatei geschrieben werden. Eine weitere Möglichkeit, den Benutzer und das Terminal darüber zu informieren, dass die Quelladresse falsch ist, besteht darin, den PDP-Kontext zu deaktivieren, der zum Senden des falschen Pakets benutzt wurde. Der PDP-Kontext wird im GGSN, im SGSN und in der MS deaktiviert, so könnte zum Beispiel der GGSN den SGSN bitten, den PDP-Kontext zu deaktivieren (oder falls es der SGSN ist, der das Paket zurückweist, könnte der SGSN die Deaktivierungsanforderung an den GGSN schicken), und der SGSN könnte die MS bitten, den PDP-Kontext zu deaktivieren. Die Nachrichten mit der Deaktivierungsanforderung enthalten vorzugsweise als Grundcode einen spezifischen Deaktivierungscode, der angibt, dass die MS oder eine mit der MS assoziierte Anwendung eine falsche oder vorgetäuschte Quelladresse benutzt hat. Aufgrund des spezifischen Grundcodes erhält der Benutzer Nachricht von dem Versuch, eine falsche Quelladresse zu benutzen. Der Hauptgrund zur Verwendung dieser Benachrichtigung besteht darin, den Benutzer von einer trügerischen Handlung abzuhalten, oder ihm mitzuteilen, dass eine Anwendung die falsche Quelladresse benutzt. Vorzugsweise ist die Nachricht an den Endbenutzer eine Textnachricht oder ein Nachrichtenfenster mit Angabe der Anwendung, die versucht hat, Daten mit der falschen Quelladresse zu übertragen. Es ist auch möglich, die oben beschriebenen Aktionen erst dann auszuführen, nachdem eine vorherbestimmte Anzahl falscher Pakete zurückgewiesen wurde. Wenn die MS vom Einsatz der falschen Quelladresse benachrichtigt wird, kann die Nachricht, die der GGSN zum Beispiel an die MS und/oder die Netzwerk- und Wartungszentrale des Betreibers sendet, vorzugsweise einige Informationen über Protokollkopfzeilen (zum Beispiel TCP oder UDP) in den oberen Schichten des Pakets enthalten, die die falsche Quelladresse hatten. Dies erleichtert das Auffinden der betrügerischen Anwendung und des Zwecks der betrügerischen Aktivität. Die Nachrichten können sogar den gesamten Inhalt des/der zurückgewiesenen Pakete enthalten. Der Paketfluss der zurückgewiesenen Pakete kann auch an einen externen Knoten wie zum Beispiel die Netzwerkbetriebs- und Wartungszentrale des Betreibers weitergeleitet werden.
  • Wenn bei Schritt 204 gemerkt wird, dass die PDP nicht vom IP-Typ ist, geht der GGSN direkt zu Schritt 207 und leitet das Paket weiter.
  • Der Zweck des Prüfens in Schritt 206 besteht darin sicherzustellen, dass nur Pakete, deren Absender nicht vorgetäuscht hat, jemand anders zu sein, durch an GGSN an externe Netzwerke weitergeleitet werden. Eine einfache Prüfung genügt, den Absender erfindungsgemäß zu authentifizieren, und es ist nicht erforderlich, eine Authentifizierungsnachricht zu senden.
  • In einer weiteren erfindungsgemäßen Ausführungsform wird die Prüfung in Schritt 206 im SGSN vorgenommen, und Schritt 201 wird ausgelassen, weil das von der Mobilstation empfangene Paket nicht verkapselt ist. In der anderen bevorzugten Ausführungsform extrahiert der SGSN in Schritt 202 anstatt der TID die TLLI und die NSAPI aus dem Paket, das er von der MS empfangen hat. Die TLLI identifiziert eindeutig die MS und somit die IMSI innerhalb des Routingbereichs. Die NSAPI identifiziert den von der MS mit diesem Paket benutzten PDP-Kontext. Mit Hilfe der TLLI und der NSAPI ruft der SGSN die PDP-Kontextinformation ab. In der anderen bevorzugten Ausführungsform wird die TID (oder andere entsprechende, den PDP-Kontext identifizierende Information) zum Paket hinzugefügt, und das Paket wird vor Schritt 207, d.h. bevor es an den GGSN geschickt wird, verkapselt.
  • In der Zukunft kann ein Adressraum von PDP-Adressen auf einen einzigen PDP-Kontext oder auf eine entsprechende Verbindungsdefinition bezogen werden. Der Adressraum kann zu Beispiel eine Liste von erlaubten PDP-Adressen sein. In diesem Fall reicht es aus, dass die im Paket enthaltene Quelladresse unter den erlaubten Adressen ist. Desgleichen kann in der Zukunft die PDP-Kontextinformation die erlaubte PDP-Adresse als Satz von erlaubten Adressen (d.h. Adressraum) angeben, indem sie einen Teil der erlaubten PDP-Adresse definiert. In diesem Fall muss die Quelladresse im Paket den definierten Teil der Adresse umfassen, d.h. die Quelladresse muss zu dem Satz von erlaubten Adressen gehören. Der Adressraum kann auch unter Einsatz beider oben beschriebenen Verfahren definiert werden. Der Adressraum kann auch auf andere Art definiert werden.
  • In Ausführungsformen, in denen mehrere Paketdatenadresstypen, die Spoofing ermöglichen, definiert sind, wird bei Schritt 204 geprüft, ob die im Paket verwendete Paketdatenadresse zu diesen Typen gehört. Falls ja, geht es bei Schritt 205 weiter. Andernfalls gehen wir zu Schritt 207.
  • In einigen bevorzugten erfindungsgemäßen Ausführungsformen wird die im Paket enthaltene Quelladresse mit der aktivierten Paketdatenadresse verglichen, ungeachtet des Typs der aktivierten Paketdatenadresse. In diesem Fall wird die Prüfung in Schritt 204 nicht durchgeführt, aber die Prüfung bei Schritt 206 wird auf jedem Paket vorgenommen.
  • Die Reihenfolge der in 2 dargestellten Schritte kann sich von den obigen Ausführungen unterscheiden, und die Schritte können auch gleichzeitig ausgeführt werden. Zum Beispiel kann Schritt 204 vor Schritt 201 und Schritt 203 gleichzeitig mit Schritt 205 durchgeführt werden. Zwischen den Schritten ist es möglich, Schritte auszuführen, die nicht in der Figur dargestellt sind. In einigen Ausführungsformen können Schritt 201 und/oder 204 weggelassen werden. In Schritt 202 kann anstatt der TID andere den PDP-Kontext identifizierende Information extrahiert werden.
  • Zusätzlich zu den Mitteln, die zur Implementierung des Dienstes nach dem Stand der Technik benötigt werden, umfasst das Telekommunikationssystem, das Telekommunikationsnetzwerk und der Netzwerkknoten, die die erfindungsgemäße Funktionalität implementieren, Mittel zum Vergleichen der im Paket enthaltenen Adresse mit der/den aktivierten, d.h. erlaubten Adressen für den Absender des Pakets. Existente Netzwerkknoten umfassen Prozessoren und Speicher, die in den erfindungsgemäßen Funktionen verwendet werden können. Alle zur Implementierung der Erfindung benötigten Änderungen können als zusätzliche oder aktualisierte Softwareroutinen und/oder mittels Anwendungsschaltungen (ASIC) durchgeführt werden.
  • Obwohl an früherer Stelle erklärt wurde, dass das Kantenelement des Netzwerks (SGSN oder GGSN) den Teilnehmer authentifiziert, ist die Erfindung nicht auf die Kantenelemente beschränkt. Ein anderer Netzwerkknoten, in dem die für den Vergleich notwendige Adressinformation gespeichert ist, kann ebenfalls den Vergleich durchführen.
  • Es versteht sich, dass die obigen Ausdrücke "Paketdatenprotokoll PDP" oder "PDP-Kontext" sich allgemein auf einen Zustand im Terminal (zum Beispiel in einer Mobilstation) und auf mindestens ein Netzwerkelement oder eine Funktionalität beziehen. Der Zustand erzeugt einen Übertragungspfad, d.h. einen Tunnel, im vom Terminal benutzten Netzwerk (zum Beispiel in einem mobilen Kommunikationsnetzwerk), der eine spezifische Anzahl von Parametern für Datenpakete aufweist. Der in dieser Spezifikation benutzte Ausdruck "Knoten" ist als Ausdruck zu verstehen, der sich allgemein auf ein Netzwerkelement oder eine Funktionalität bezieht, die über den PDP-Tunnel übertragene Datenpakete verarbeitet.
  • Es versteht sich, dass die obige Beschreibung und die darauf bezogenen Figuren nur zur Veranschaulichung der Erfindung dienen. Für einen Fachmann ist offensichtlich, dass die Erfindung auf verschiedene Weisen modifiziert werden kann, ohne vom Geltungsbereich der in den beigefügten Ansprüchen offenbarten Erfindung abzuweichen.

Claims (12)

  1. Verfahren zum Verhindern von Spoofing in einem Telekommunikationssystem, welches ein zur Übertragung von Datenpaketen fähiges Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten von Datenpaketen in einem ersten Subsystem umfasst, welches Verfahren folgende Schritte umfasst: Aktivieren einer Paketdatenadresse für das Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen zwischen dem Terminal und einem zweiten Subsystem; Speichern der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den die Datenpakete der Paketdatenadresse geroutet werden; Empfangen des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket eine Zieladresse und eine Quelladresse umfasst; gekennzeichnet durch Prüfen (206) in diesem Knoten, ob die Quelladresse des Pakets die gleiche wie die Paketdatenadresse ist; und Übertragen (207) des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn die Adressen identisch sind.
  2. Verfahren zum Verhindern von Spoofing in einem Telekommunikationssystem, welches ein zur Übertragung von Datenpaketen fähiges Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten von Datenpaketen in einem ersten Subsystem umfasst, welches Verfahren folgende Schritte umfasst: Aktivieren einer Paketdatenadresse für das Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen zwischen dem Terminal und einem zweiten Subsystem; Speichern der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den die Datenpakete der Paketdatenadresse geroutet werden; Empfangen des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket eine Zieladresse und eine Quelladresse umfasst; gekennzeichnet durch Definieren der Paketdatenadresse als ein Satz von erlaubten Paketdatenadressen; Prüfen (206) in diesem Knoten, ob die Quelladresse des Pakets zu einem Satz von erlaubten Paketdatenadressen gehört; und Übertragen (207) des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn die Quelladresse zu dem Satz von erlaubten Paketdatenadressen gehört.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Knoten der Gateway-Unterstützungsknoten des ersten Subsystems ist, der das Datenpaket vom Terminal an das zweite Subsystem routet.
  4. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Knoten ein Unterstützungsknoten ist, der die Mobilstation verwaltet und das empfangene Paket vom Terminal an das ersten Subsystem weiterleitet.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste Subsystem ein Paketfunknetz ist, das ein GTP-Protokoll benutzt, und in dem die Paketdatenadresse durch Aktivieren des entsprechenden PDP-Kontexts aktiviert wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren weiterhin folgende Schritte umfasst: Führen von Information über erste Paketdatenadresstypen in dem Knoten, wobei die Information mindestens einen Paketdatenadresstyp enthält, in dem die Prüfung durchgeführt wird; und Durchführen der Prüfung nur dann, wenn die Paketdatenadresse eine Adresse des ersten Paketdatenadresstyps ist.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass der erste Paketdatenadresstyp mindestens eine IP-Adresse gemäß des Internet-Protokolls enthält.
  8. Netzwerkknoten (SGSN, GGSN) eines Paketnetzwerkes zur Übertragung von Datenpaketen von einem Terminal (MS) des Paketnetzwerks an einen Empfänger (2, 4), wobei der Netzwerkknoten (SGSN, GGSN) darauf eingerichtet ist, mindestens eine Paketdatenadresse für das Terminal zu aktivieren, welche das Terminal beim Übertragen von Datenpaketen verwenden kann, und ein vom Terminal empfangenes Paket an die vom Terminal benutzte Paketdatenadresse anzuhängen, dadurch gekennzeichnet, dass in Antwort auf den Empfang eines Pakets der Netzwerkknoten (SGSN, GGSN) darauf eingerichtet wird, die Quelladresse des Pakets mit der vom Terminal benutzten Paketdatenadresse zu vergleichen, und das Paket vom Netzwerkknoten nur dann in Richtung der Zieladresse des Pakets zu senden, wenn die Adressen identisch sind.
  9. Netzwerkknoten (SGSN, GGSN) eines Paketnetzwerkes zur Übertragung von Datenpaketen von einem Terminal (MS) des Paketnetzwerks an einen Empfänger (2, 4), wobei der Netzwerkknoten (SGSN, GGSN) darauf eingerichtet ist, mindestens eine Paketdatenadresse für das Terminal zu aktivieren, welche das Terminal beim Übertragen von Datenpaketen verwenden kann, und ein vom Terminal empfangenes Paket an die vom Terminal benutzte Paketdatenadresse anzuhängen, dadurch gekennzeichnet, dass die Paketdatenadresse als ein Satz von erlaubten Paketdatenadressen definiert ist; und in Antwort auf den Empfang eines Pakets der Netzwerkknoten (SGSN, GGSN) darauf eingerichtet wird, zu prüfen, ob die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen der vom Terminal benutzten Paketdatenadresse gehört, und das Paket vom Netzwerkknoten nur dann in Richtung der Zieladresse des Pakets zu senden, wenn die Quelladresse zu dem Satz von erlaubten Paketdatenadressen gehört.
  10. Netzwerkknoten nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass der Netzwerkknoten (SGSN, GGSN) darauf eingerichtet ist, Information über erste Paketdatenadresstypen zu führen, auf denen der Vergleich durchgeführt wurde, und den Vergleich nur dann durchzuführen, wenn die vom Terminal benutzte Paketdatenadresse eine Adresse des ersten Paketdatenadresstyps ist.
  11. Netzwerkknoten nach Anspruch 8, 9 oder 10, dadurch gekennzeichnet, dass der Netzwerkknoten ein Gateway-Unterstützungsknoten (GGSN) eines Paketfunknetzes (GPRS) ist, welches ein GTP-Protokoll benutzt.
  12. Netzwerkknoten nach Anspruch 8, 9 oder 10, dadurch gekennzeichnet, dass der Netzwerkknoten ein Unterstützungsknoten (SGSN) ist, der das Terminal in einem Paketfunknetz (GPRS) verwaltet, welches ein GTP-Protokoll benutzt.
DE60026373T 1999-12-22 2000-12-19 Vermeidung der identitätsverfälschung in fernmeldesystemen Expired - Lifetime DE60026373T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI992767 1999-12-22
FI992767A FI110975B (fi) 1999-12-22 1999-12-22 Huijaamisen estäminen tietoliikennejärjestelmissä
PCT/FI2000/001114 WO2001047179A1 (en) 1999-12-22 2000-12-19 Prevention of spoofing in telecommunications systems

Publications (2)

Publication Number Publication Date
DE60026373D1 DE60026373D1 (de) 2006-04-27
DE60026373T2 true DE60026373T2 (de) 2006-08-03

Family

ID=8555800

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60026373T Expired - Lifetime DE60026373T2 (de) 1999-12-22 2000-12-19 Vermeidung der identitätsverfälschung in fernmeldesystemen

Country Status (10)

Country Link
US (2) US7342926B2 (de)
EP (1) EP1240744B1 (de)
JP (2) JP2003518821A (de)
CN (2) CN100431296C (de)
AT (1) ATE319243T1 (de)
AU (1) AU2378301A (de)
DE (1) DE60026373T2 (de)
ES (1) ES2258487T3 (de)
FI (1) FI110975B (de)
WO (1) WO2001047179A1 (de)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6834308B1 (en) 2000-02-17 2004-12-21 Audible Magic Corporation Method and apparatus for identifying media content presented on a media playing device
US7562012B1 (en) 2000-11-03 2009-07-14 Audible Magic Corporation Method and apparatus for creating a unique audio signature
WO2002082271A1 (en) 2001-04-05 2002-10-17 Audible Magic Corporation Copyright detection and protection system and method
US7529659B2 (en) 2005-09-28 2009-05-05 Audible Magic Corporation Method and apparatus for identifying an unknown work
US8972481B2 (en) 2001-07-20 2015-03-03 Audible Magic, Inc. Playlist generation method and apparatus
US20030126435A1 (en) * 2001-12-28 2003-07-03 Mizell Jerry L. Method, mobile telecommunication network, and node for authenticating an originator of a data transfer
US8432893B2 (en) * 2002-03-26 2013-04-30 Interdigital Technology Corporation RLAN wireless telecommunication system with RAN IP gateway and methods
TW574806B (en) * 2002-04-19 2004-02-01 Ind Tech Res Inst Packet delivery method of packet radio network
US7039404B2 (en) * 2002-06-27 2006-05-02 Intel Corporation Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents
AU2002368164A1 (en) * 2002-08-05 2004-02-25 Nokia Corporation A method of speeding up the registration procedure in a cellular network
USRE47253E1 (en) 2002-11-06 2019-02-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of IP addresses
USRE45445E1 (en) 2002-11-06 2015-03-31 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for preventing illegitimate use of IP addresses
US8332326B2 (en) 2003-02-01 2012-12-11 Audible Magic Corporation Method and apparatus to identify a work received by a processing system
US7327746B1 (en) * 2003-08-08 2008-02-05 Cisco Technology, Inc. System and method for detecting and directing traffic in a network environment
DE102004004527B4 (de) * 2004-01-22 2006-04-20 Siemens Ag Verfahren zur Autorisationskontrolle einer Datenübertragung in einem Daten-Mobilfunknetz
US8126017B1 (en) * 2004-05-21 2012-02-28 At&T Intellectual Property Ii, L.P. Method for address translation in telecommunication features
US8130746B2 (en) * 2004-07-28 2012-03-06 Audible Magic Corporation System for distributing decoy content in a peer to peer network
KR100693046B1 (ko) * 2004-12-20 2007-03-12 삼성전자주식회사 동적 주소를 할당하고 그 동적 주소를 이용하여라우팅하는 네트워크 시스템 및 그 방법
US7974395B2 (en) * 2005-09-28 2011-07-05 Avaya Inc. Detection of telephone number spoofing
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
KR100742362B1 (ko) 2005-10-04 2007-07-25 엘지전자 주식회사 이동통신 네트워크에서 콘텐츠를 안전하게 송수신하기 위한 방법 및 장치
KR100737599B1 (ko) * 2005-11-04 2007-07-10 현대자동차주식회사 펌핑레버와 일체로 형성된 리클라이너 레버
DE102006006953A1 (de) * 2006-02-14 2007-08-23 T-Mobile International Ag & Co. Kg Verfahren zur Gewährleistung von Dienstgüte in paketvermittelnden Mobilfunknetzen
US8804729B1 (en) * 2006-02-16 2014-08-12 Marvell Israel (M.I.S.L.) Ltd. IPv4, IPv6, and ARP spoofing protection method
KR20080057161A (ko) * 2006-12-19 2008-06-24 주식회사 케이티프리텔 점대점 터널링 통신을 위한 침입 방지 장치 및 방법
US8438653B2 (en) 2007-04-10 2013-05-07 Microsoft Corporation Strategies for controlling use of a resource that is shared between trusted and untrusted environments
US8006314B2 (en) 2007-07-27 2011-08-23 Audible Magic Corporation System for identifying content of digital data
WO2010045646A2 (en) * 2008-10-17 2010-04-22 Tekelec Methods, systems, and computer readable media for detection of an unautorized service message in a network
ES2400166T3 (es) * 2008-10-20 2013-04-08 Koninklijke Kpn N.V. Protección de servicios en una red móvil contra la suplantación de CLI
US20100233992A1 (en) 2009-03-11 2010-09-16 Eloy Johan Lambertus Nooren Methods, systems, and computer readable media for short message service (sms) forwarding
US20100235911A1 (en) * 2009-03-11 2010-09-16 Eloy Johan Lambertus Nooren Systems, methods, and computer readable media for detecting and mitigating address spoofing in messaging service transactions
US8199651B1 (en) 2009-03-16 2012-06-12 Audible Magic Corporation Method and system for modifying communication flows at a port level
CN101674312B (zh) * 2009-10-19 2012-12-19 中兴通讯股份有限公司 一种在网络传输中防止源地址欺骗的方法及装置
US9313238B2 (en) * 2011-12-26 2016-04-12 Vonage Network, Llc Systems and methods for communication setup via reconciliation of internet protocol addresses
KR101228089B1 (ko) * 2012-09-10 2013-02-01 한국인터넷진흥원 Ip 스푸핑 탐지 장치
US9081778B2 (en) 2012-09-25 2015-07-14 Audible Magic Corporation Using digital fingerprints to associate data with a work
US10148614B2 (en) * 2016-07-27 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for applying a subscriber based policy to a network service data flow
US10257591B2 (en) 2016-08-02 2019-04-09 Pindrop Security, Inc. Call classification through analysis of DTMF events
US10616200B2 (en) 2017-08-01 2020-04-07 Oracle International Corporation Methods, systems, and computer readable media for mobility management entity (MME) authentication for outbound roaming subscribers using diameter edge agent (DEA)
US10931668B2 (en) 2018-06-29 2021-02-23 Oracle International Corporation Methods, systems, and computer readable media for network node validation
US10834045B2 (en) 2018-08-09 2020-11-10 Oracle International Corporation Methods, systems, and computer readable media for conducting a time distance security countermeasure for outbound roaming subscribers using diameter edge agent
US10952063B2 (en) 2019-04-09 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for dynamically learning and using foreign telecommunications network mobility management node information for security screening
US11356851B2 (en) 2019-12-03 2022-06-07 Harris Global Communications, Inc. Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods
US11411925B2 (en) 2019-12-31 2022-08-09 Oracle International Corporation Methods, systems, and computer readable media for implementing indirect general packet radio service (GPRS) tunneling protocol (GTP) firewall filtering using diameter agent and signal transfer point (STP)
JP2023511104A (ja) * 2020-01-27 2023-03-16 ピンドロップ セキュリティー、インコーポレイテッド ディープ残差ニューラルネットワークを用いたロバストなスプーフィング検出システム
EP4115412A4 (de) 2020-03-05 2024-02-21 Pindrop Security, Inc. Systeme und verfahren zur sprecherunabhängigen einbettung zur identifizierung und verifizierung aus audio
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2056262A1 (en) 1990-12-31 1992-07-01 William L. Aranguren Intrusion detection apparatus for local area network
JP2708976B2 (ja) 1991-06-06 1998-02-04 株式会社日立製作所 学習テーブル管理方式
JP3106000B2 (ja) 1992-05-18 2000-11-06 三菱電機株式会社 セキュリティ方式
JPH0637752A (ja) 1992-07-15 1994-02-10 Nec Corp 端末アダプタ
EP0668680B1 (de) 1994-02-22 2002-10-30 Advanced Micro Devices, Inc. Verfahren zur Überwachung von Adressen in einem Netz mit Relaisstationen
JPH09186A (ja) 1995-06-16 1997-01-07 Makoto Suzuki 米飯食品包装シート及び包装米飯食品
JPH09172450A (ja) 1995-12-19 1997-06-30 Fujitsu Ltd アドレスセキュリティ制御方式
JP3594391B2 (ja) 1995-12-28 2004-11-24 富士通株式会社 Lan集線装置
JP3688464B2 (ja) * 1997-05-06 2005-08-31 株式会社東芝 端末装置、サーバ装置、通信装置および制御方法
JP3009876B2 (ja) * 1997-08-12 2000-02-14 日本電信電話株式会社 パケット転送方法および該方法に用いる基地局
JP3480798B2 (ja) 1997-09-03 2003-12-22 日本電信電話株式会社 通信管理方法及びその装置
US6608832B2 (en) * 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
FI106509B (fi) * 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
FI106511B (fi) * 1998-02-10 2001-02-15 Nokia Networks Oy Signalointikuormituksen vähentäminen pakettiradioverkossa
US6137785A (en) * 1998-03-17 2000-10-24 New Jersey Institute Of Technology Wireless mobile station receiver structure with smart antenna
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
JP3278616B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
JP3278615B2 (ja) 1998-08-20 2002-04-30 日本電信電話株式会社 移動ユーザー収容装置
US6754214B1 (en) * 1999-07-19 2004-06-22 Dunti, Llc Communication network having packetized security codes and a system for detecting security breach locations within the network
US6675225B1 (en) * 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
JP4360336B2 (ja) 2005-03-25 2009-11-11 日立電線株式会社 リン銅ろうクラッド材の製造方法

Also Published As

Publication number Publication date
ES2258487T3 (es) 2006-09-01
EP1240744B1 (de) 2006-03-01
JP2007259507A (ja) 2007-10-04
CN100581099C (zh) 2010-01-13
US20020181448A1 (en) 2002-12-05
ATE319243T1 (de) 2006-03-15
EP1240744A1 (de) 2002-09-18
CN1413399A (zh) 2003-04-23
DE60026373D1 (de) 2006-04-27
AU2378301A (en) 2001-07-03
US7342926B2 (en) 2008-03-11
FI110975B (fi) 2003-04-30
US7801106B2 (en) 2010-09-21
CN100431296C (zh) 2008-11-05
US20070297413A1 (en) 2007-12-27
FI19992767A (fi) 2001-06-23
JP2003518821A (ja) 2003-06-10
WO2001047179A1 (en) 2001-06-28
CN1983922A (zh) 2007-06-20

Similar Documents

Publication Publication Date Title
DE60026373T2 (de) Vermeidung der identitätsverfälschung in fernmeldesystemen
DE69828572T2 (de) Verfahren und vorrichtung zur umlenkung einer verbindung in einer verbindung in einem fernmeldenetz mit einer vielzahl von netzelementen
DE69634690T2 (de) Paketfunksystem und verfahren zur protokollunabhängigen wegesuche eines datenpakets in paketfunknetzen
DE19742681C2 (de) GPRS-Teilnehmerauswahl von mehreren Internet-Dienstanbietern
DE60124643T2 (de) Paketenübertragungsmodel mit einem mobilen Knoten und mit einem Router zur Verhinderung von Angriffen basiert auf einer globalen Adresse
EP1826956B1 (de) Anpassung von virtuellen und physikalischen Netzwerkschnittstellen
DE60214250T2 (de) Informationsübermittlung an ein gesetzmässiges abfangsystem über das betreuende system des abfangziels
DE60207100T2 (de) Geheimhalten des aufenthaltsortes in kommunikationsnetzwerken
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60116736T2 (de) System und verfahren zur benutzung einer ip-addresse als identifizierung eines drahtlosen endgerätes
DE69925453T2 (de) Mobiles IP ohne Einkapselung
EP1371173B1 (de) Verfahren und telekommunikationssystem zur überwachung eines datenstroms in einem datennetz
DE69732567T2 (de) Verfahren und vorrichtung zur anonymen datenübetragung in einem kommunikationssystem
DE60209353T2 (de) Verfahren und system zur übertragung von nachrichten
DE69533740T2 (de) TCP/IP-Kopfendekompression in X.25-Netzwerken
DE69927238T2 (de) Mobil-IP mit Unterstützung für Dienstqualität
DE60028254T2 (de) Steuerungsgerät und -verfahren für paketbasierte kommunikation
DE60313735T2 (de) Kommunikationsverfahren für ein drahtloses Netz
DE112006001618B4 (de) Verfahren und Vorrichtung zum Verringern der Latenz während Änderungen einer drahtlosen Konnektivität
DE60125426T2 (de) Senden einer "binding update"-nachricht, die eine "care of address" aufweist, um datenpakete über eine unidirektionale schnittstelle zu einem mobilen knoten zu übertragen
DE60101337T2 (de) Netzangefragte aptivierung eines kontextes für ein paketdatenprotokoll
DE102004003549B4 (de) Kommunikationssystem und Verfahren zum Verarbeiten einer von einem Mobilfunkendgerät eines Mobilfunk-Kommunikationsnetzes einem Nachrichtenfilter-Rechner zugeführten Anforderungs-Nachricht
DE102014000763B4 (de) Kommunikationssystem und Kommunikationsverfahren
DE69834141T2 (de) Verfahren und system zur steuerung von paketvermittlung
EP1302052B1 (de) Verfahren zur bereitstellung eines programmoduls in einem kommunikationssystem

Legal Events

Date Code Title Description
8363 Opposition against the patent