-
ALLGEMEINER
STAND DER TECHNIK
-
Die
Erfindung bezieht sich auf das Verhindern von Spoofing (Vortäuschen falscher
Identitäten) in
Telekommunikationssystemen, die fähig sind, Paketdaten zu übertragen.
Insbesondere bezieht sich die Erfindung auf das Verhindern von Spoofing
von Absenderdaten in IP-Paketen
(Internet-Protokoll-Paketen), die von einer Mobilstation in mobilen
Kommunikationssystemen gesendet werden.
-
Mobile
Kommunikationsnetzwerke dienen als wirksame Zugriffsnetzwerke, die
den Benutzern Zugriff auf die tatsächlichen Datennetzwerke für mobile
Datenübertragung
bereitstellen. Mobile Datenübertragung
wird besonders gut von digitalen mobilen Kommunikationssystemen,
wie dem pan-europäischen
mobilen Kommunikationssystem GSM (Globales System für Mobile
Kommunikation), unterstützt. In
dieser Anmeldung bezieht sich der Ausdruck "Daten" auf alle von einem digitalen Telekommunikationssystem übertragenen
Informationen. Solche Informationen können digital kodiertes Audio
und/oder Video, Datenverkehr zwischen Computern, Telefaxdaten, kurze
Programmcodeabschnitte, usw. beinhalten. Das mobile Kommunikationssystem
ist allgemein auf jedes Telekommunikationssystem, welches drahtlose
Kommunikation während
der Bewegung der Benutzer innerhalb des Dienstbereichs des Systems
benutzt. Ein typisches Beispiel eines mobilen Kommunikationssystems
ist ein PLMN-Netz (landgestütztes
Mobilfunknetz). Das mobile Kommunikationsnetz ist oft ein Zugriffsnetzwerk,
welches dem Benutzer drahtlosen Zugriff auf externe Netzwerke, Hosts
oder Dienste bietet, die von spezifischen Diensterbringern angeboten
werden.
-
Eins
der Hauptziele bei der Entwicklung von mobilen Kommunikationssystemen
bestand darin, eine Gelegenheit zur Benutzung von IP-Diensten über das
mobile Kommunikationsnetzwerk zu bieten, damit die Mobilstation
auch als Host benutzt werden kann. Dies ist zum Beispiel in einem
GPRS-Dienst (General Packet Radio Service) möglich. Der GPRS-Dienst stellt
die Datenübertragung
zwischen mobilen Datenterminals und externen Datennetzwerken im
GSM-System bereit. Zum Senden und Empfangen von GPRS-Daten muss
eine Mobilstation die Paketdatenadresse, die sie benutzen möchte, aktivieren,
indem sie ein PDP-Aktivierungsverfahren (Paketdatenprotokoll) anfordert.
Durch diesen Vorgang wird dem betreffenden Gateway-Unterstützungsknoten
die Mobilstation bekanntgegeben, wodurch die Zusammenarbeit mit
den externen Datennetzwerken unter Einsatz der aktivierten Paketdatenadresse
ermöglicht
wird. Ähnliche
Lösungen
werden z.Zt. auch für
die mobilen Kommunikationssysteme der dritten Generation, wie UMTS
(Universal Mobile Communications System) und IMT-2000 (International
Mobile Telecommunications 2000) entwickelt.
-
Insbesondere
ist Spoofing in IP-Netzwerken, d.h. Fälschen der Quelladresse eines
IP-Datenpakets, ein Leichtes. In anderen Worten: der Host, der das
IP-Paket überträgt, kann
vortäuschen,
dass er ein anderer ist, und Pakete im Namen von A an B senden,
wobei B eine Antwort an A schickt. In diesem Fall werden sowohl
A als auch B getäuscht.
Eine Lösung
auf dieses Problem ist der Einsatz von Feuerwänden (firewalls). In diesen
Feuerwänden
ist der Benutzer jedoch nicht authentifiziert, sondern es werden
nur Quell- und Zieladressen überwacht.
In einer Feuerwand werden Quelladressen gewöhnlich mit der Genauigkeit
eines Subnetzwerks beschrieben. Folglich kann die Feuerwand den
wirklichen Absender des Pakets nicht kennen, und Hosts im gleichen Subnetzwerk
können
vorgeben, einer der anderen Hosts zu sein. Da die in der Feuerwand
erlaubten Quelladressen im Voraus bekannt sein müssen, und die Mobilstation
fähig sein
muss, aus dem Bereich einer Feuerwand in den Bereich einer anderen
Feuerwand einzutreten, ohne ihre IP-Adresse zu ändern, decken die erlaubten
Quelladressen der Feuerwände in
der Praxis alle Mobilstationen, die fähig sind, auf ein von einer
Feuerwand geschütztes
Subnetzwerk zuzugreifen. Das hierdurch verursachte Problem besteht
darin, dass die Quelladresse des IP-Pakets nicht zuverlässig ist,
und um Spoofing zu verhindern, muss der mobile Host separat authentifiziert
werden. Verhindern von Spoofing ist dann besonders wichtig, wenn
IP-Dienste, die dem Host angelastet werden, benutzt werden. Eine
zuverlässige
Authentifizierungsprozedur kann jedoch die Verzögerung im Netzwerk vergrößern oder
begrenzte Ressourcen, d.h. die Luftschnittstellen, in den mobilen
Kommunikationsnetzwerken verschwenden.
-
In
der WO 9948303 wird ein Verfahren zum Blockieren von Angriffen auf
ein privates Netzwerk bereitgestellt. Eingehende Datenpakete werden
analysiert, und Pakete von bekannten böswilligen Quellen oder Pakete
mit einer Quelladresse, die mit einer internen Adresse des privaten
Netzwerks übereinstimmt,
werden blockiert.
-
KURZDARSTELLUNG
DER ERFINDUNG
-
Das
Ziel der Erfindung besteht darin, ein Verfahren und eine das Verfahren
implementierende Vorrichtung bereitzustellen, so dass ein Empfänger eines
Datenpakets sich darauf verlassen kann, dass die Quelladresse des Datenpakets
den wirklichen Absender des Pakets bezeichnet.
-
Die
Ziele der Erfindung werden mit einem Verfahren zum Verhindern von
Spoofing in einem Telekommunikationssystem erreicht, welches ein
zur Übertragung
von Datenpaketen fähiges
Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten
von Datenpaketen in einem ersten Subsystem umfasst. Das Verfahren
umfasst folgende Schritte:
Aktivieren einer Paketdatenadresse
für das
Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen
zwischen dem Terminal und einem zweiten Subsystem;
Speichern
der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den
die Datenpakete der Paketdatenadresse geroutet werden;
Empfangen
des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket
eine Zieladresse und eine Quelladresse umfasst;
Prüfen in diesem
Knoten, ob die Quelladresse des Pakets die gleiche wie die Paketdatenadresse
ist; und
Übertragen
des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn
die Adressen identisch sind.
-
Die
Erfindung bezieht sich ferner auf ein Verfahren zum Verhindern von
Spoofing in einem Telekommunikationssystem, welches ein zum Übertragen
von Datenpaketen fähiges
Terminal und mindestens einen Knoten zum Empfangen und Weiterleiten von
Datenpaketen in einem ersten Subsystem umfasst, und welches ferner
folgende Schritte umfasst:
Aktivieren einer Paketdatenadresse
für das
Terminal in einem ersten Subsystem zum Übertragen von Datenpaketen
zwischen dem Terminal und einem zweiten Subsystem;
Speichern
der Paketdatenadresse in mindestens einem Knoten des ersten Subsystems, über den
die Datenpakete der Paketdatenadresse geroutet werden;
Empfangen
des vom Terminal gesendeten Pakets in diesem Knoten, wobei das Paket
eine Zieladresse und eine Quelladresse umfasst;
Definieren
der Paketdatenadresse als ein Satz von erlaubten Paketdatenadressen;
Prüfen in diesem
Knoten, ob die Quelladresse des Pakets zu dem Satz von erlaubten
Paketdatenadressen gehört;
und
Übertragen
des Pakets vom Knoten in Richtung der Zieladresse nur dann, wenn
die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen
gehört.
-
Die
Erfindung bezieht sich ferner auf einen Netzwerkknoten eines Paketnetzwerks
zum Übertragen
von Datenpaketen von einem Terminal des Paketnetzwerks an einen
Empfänger,
wobei der Netzwerkknoten darauf eingerichtet ist, mindestens eine Paketdatenadresse,
die das Terminal beim Übertragen
von Datenpaketen benutzen kann, für das Terminal zu aktivieren,
und ein vom Terminal empfangenes Paket an die vom Terminal benutzte
Paketdatenadresse anzuhängen.
Der Netzwerkknoten ist dadurch gekennzeichnet, dass in Antwort auf
den Empfang eines Pakets der Netzwerkknoten darauf eingerichtet wird,
die Quelladresse des Pakets mit der vom Terminal benutzten Paketdatenadresse
zu vergleichen und das Paket nur dann vom Netzwerkknoten in Richtung der
Zieladresse des Pakets zu senden, wenn die Adressen identisch sind.
-
Die
Erfindung bezieht sich ferner auf einen Netzwerkknoten eines Paketnetzwerks
zum Übertragen
von Datenpaketen von einem Terminal des Paketnetzwerks an einen
Empfänger,
wobei der Netzwerkknoten darauf eingerichtet ist, mindestens eine Paketdatenadresse,
die das Terminal beim Übertragen
von Datenpaketen benutzen kann, für das Terminal zu aktivieren,
und ein vom Terminal empfangenes Paket an die vom Terminal benutzte
Paketdatenadresse anzuhängen.
Der Netzwerkknoten ist dadurch gekennzeichnet, dass die Paketdatenadresse
als ein Satz von erlaubten Paketdatenadressen definiert ist; und
in Antwort auf den Empfang eines Pakets der Netzwerkknoten darauf
eingerichtet wird, zu prüfen, ob
die Quelladresse des Pakets zu dem Satz von erlaubten Paketdatenadressen
gehört,
die vom Terminal benutzt werden, und das Paket nur dann vom Netzwerkknoten
in Richtung der Zieladresse des Pakets zu senden, wenn die Quelladresse
zu dem Satz von erlaubten Paketdatenadressen gehört.
-
Die
Erfindung basiert auf dem Gedanken, dass dank der Paketdatenadresse,
die zum Übertragen
von Datenpaketen aktiviert wurde, dem Gateway-Unterstützungsknoten
GGSN zum Beispiel die Paketdatenadresse der Mobilstation, die das
Datenpaket gesendet hat, bekannt ist. So muss der Gateway-Unterstützungsknoten
GGSN nur die Quelladresse im Datenpaket mit der von der Mobilstation benutzten
Paketdatenadresse vergleichen. Wenn die Adressen identisch sind,
wurde die Adresse nicht gefälscht,
und das Paket kann an die Zieladresse weitergeleitet werden.
-
Ein
Vorteil der Erfindung besteht darin, dass sie sehr einfach zu implementieren
ist und dennoch das Verhindern von Spoofing erlaubt. Zum Beispiel kann
sich der Empfänger
eines IP-Pakets auf die Tatsache verlassen, dass die Quelladresse
des IP-Pakets den Absender des IP-Pakets authentifiziert. Ein zusätzlicher Authentifizierungsmechanismus
wird nicht benötigt,
was zur Folge hat, dass das Netzwerk nicht belastet, und so die
Verzögerung
auf ein Minimum reduziert wird. Die Erfindung erleichtert ferner die
Implementierung kostenpflichtiger Dienste, weil der Diensterbringer
sich auf die Tatsache verlassen kann, dass die Quelladresse im Datenpaket
den zu belastenden Benutzer bezeichnet.
-
In
einer bevorzugten Ausführungsform
der Erfindung wird der Vergleich im Gateway-Unterstützungsknoten
durchgeführt.
Ein Vorteil dieser Ausführungsform
besteht darin, dass der Vergleichsmechanismus zu den Elementen hinzugefügt wird,
deren Anzahl im Netzwerk klein ist.
-
In
einer anderen bevorzugten Ausführungsform
der Erfindung wird der Vergleich in einem Kantenknoten des Paketfunknetzes
durchgeführt,
welches die Mobilstation verwaltet. Ein Vorteil dieser Ausführungsform
besteht darin, dass das Paketfunknetz nicht durch Übertragung
von Paketen belastet wird, die überhaupt
nicht ausgeliefert werden.
-
In
einer anderen bevorzugten Ausführungsform
der Erfindung wird der Vergleich nur auf den Paketen durchgeführt, die
ein Paketdatenprotokoll benutzen, welches Spoofing, d.h. Fälschen der
Quelladresse, ermöglicht.
Ein Vorteil dieser Ausführungsform
besteht darin, dass der Vergleich nicht vergebens auf Paketen durchgeführt wird,
deren Quelladresse nicht gefälscht
werden kann.
-
Bevorzugte
Ausführungsformen
des Verfahrens und Netzwerkknotens der Erfindung werden in den angehängten abhängigen Ansprüchen offenbart.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
Die
Erfindung soll nun im Detail mittels bevorzugter Ausführungsformen
mit Bezug auf die beigefügten
Zeichnungen beschrieben werden, in denen
-
1 ein
Blockdiagramm darstellt, welches die Netzwerkarchitektur eines GPRS-Dienstes
veranschaulicht, und
-
2 ein
Flussdiagramm darstellt, welches den Betrieb gemäß der Erfindung veranschaulicht.
-
AUSFÜHRLICHE
BESCHREIBUNG DER ERFINDUNG
-
Die
vorliegende Erfindung ist anwendbar auf jedes paketvermittelte System,
in dem, wie im GPRS-System, eine individuelle Paketdatenadresse aktiviert
wird, bevor sie benutzt werden kann, und in dessen Netzwerkinfrastruktur
Information über
die aktive Paketdatenadresse des Benutzers geführt wird. Zu diesen Systemen
gehören
die mobilen Kommunikationssysteme der dritten Generation, wie das UMTS-System
(Universal Mobile Telecommunications System) und das IMT-2000-System
(International Mobile Telecommunications 2000), mobile Kommunikationssysteme,
die dem GMS-System entsprechen, wie das DCS 1800 (Digital Cellular
System for 188 MHz) und das PCS (Personal Communication System),
und WLL-Systeme, die auf den oben genannten Systemen basieren, und
ein Paketfunksystem vom GPRS-Typ implementieren. Des Weiteren lässt sich
die Erfindung außer
auf mobile Kommunikationssysteme auch auf Systeme wie Kabelmodemnetzwerke
und ähnliche
feste Systeme anwenden. Im Folgenden soll die Erfindung beispielhaft
anhand des GPRS-Dienstes des GSM-Systems beschrieben werden, die
Erfindung ist jedoch nicht auf ein solches System beschränkt. Die
Definitionen von mobilen Kommunikationssystemen ändern sich schnell, was möglicherweise
zusätzliche Änderungen
an der Erfindung nach sich ziehen wird. Aus diesem Grunde sind alle
Begriffe und Ausdrücke
nur im allgemeineren Sinne zu verstehen, und es sollte auch daran
gedacht werden, dass sie lediglich zur Beschreibung der Erfindung,
nicht zur Begrenzung derselben dienen.
-
1 veranschaulicht
die Netzwerkarchitektur eines GPRS-Dienstes nur im Allgemeinen,
weil eine detailliertere Struktur des Netzwerks für die Erfindung
nicht von Belang ist. Die Struktur und Funktion des GSM-Systems werden einem
Fachmann gut bekannt sein. Die Struktur des GPRS-Dienstes ist zum
Beispiel in der ETSI-Spezifikation
03.60, Version 6.0.0 (Digital Cellular Telecommunications System (Phase
2+); General Packet Radio Service (GPRS); Service Description, Stage
2) definiert, die in Form eines Verweises in diese Schrift aufgenommen
wurde. Der GPRS-Dienst umfasst ein Zugriffsnetzwerk, welches Funkzugriff
bereitstellt und in 1 durch das Basisstationssubsystem
BSS im GSM-System
dargestellt ist. Inbegriffen im GPRS-Dienst sind ferner GPRS-Dienstunterstützungknoten
in Form von Kantenknoten für
die paketvermittelte Übertragung
von Daten zwischen einem Paketdatennetzwerk PDN und einer Mobilstation
MS. Die Unterstützungsknoten
beinhalten einen verwaltenden GPRS-Unterstützungsknoten SGSN und einen
Gateway-GPRS-Unterstützungsknoten
GGSN. Die Unterstützungsknoten
SGSN und GGSN sind untereinander durch ein Hauptstrangnetzwerk 1 verbunden.
Es wird darauf hingewiesen, dass die Funktionalitäten des
SGSN und GGSN auch physisch im gleichen Netzwerkknoten kombiniert
werden können,
in welchem Fall sich das Hauptstrangnetzwerk des Betreibers erübrigt. Logisch
betrachtet sind die Knoten jedoch separate Knoten.
-
Der
verwaltende GPRS-Unterstützungsknoten
SGSN verwaltet die Mobilstation MS. Jeder Unterstützungsknoten
SGSN erzeugt einen Paketdatendienst für mobile Datenterminals, d.h.
Mobilstationen MS, innerhalb des Bereichs von einer oder mehreren
Zellen in einem zellularen Paketfunknetz. Zu diesem Zweck ist jeder
Unterstützungsknoten
SGSN typisch mit dem GSM-System für mobile Kommunikationen (typisch
dem Basisstationscontroller im Basisstationssubsystem BSS) verbunden,
so dass das mobile Zwischenkommunikationsnetzwerk Funkzugriff und
paketvermittelte Datenübertragung
zwischen dem SGSN und den Mobilstationen bereitstellt. In anderen
Worten, die Mobilstation MS in einer Zelle kommuniziert mit einer
Basisstation über
die Funkschnittstelle und ferner über das Basisstationssubsystem
mit dem Unterstützungsknoten
SGSN, zu dessen Dienstbereich die Zelle gehört. Die Hauptfunktionen des
SGSN-Knotens bestehen darin, neue GPRS-Mobilstationen in seinem
Dienstbereich zu erkennen, die Registration neuer Mobilstationen
MS zusammen mit GPRS-Registern durchzuführen, Datenpakete zu der GPRS-Mobilstation zu senden
oder von dieser zu empfangen und eine Datei über den Standort der Mobilstation
MS innerhalb seines Dienstbereiches zu führen. Dies bedeutet, dass der SGSN
Sicherheitsfunktionen und Zugriffskontrolle, wie Authentifizierungs-
und Verschlüsselungsprozeduren,
durchführt.
Unter Einsatz eines einzigartigen Tunnels routet der SGSN ein von
einer Mobilstation in verschlüsselter
Form empfangenes Paket über das
GPRS-Hauptstrangnetzwerk an den GGSN-Knoten, wo die Paketdatenadresse
aktiviert wird.
-
GPRS-Gateway-Unterstützungsknoten GGSN
verbinden das GPRS-Netzwerk des Betreibers mit den externen Systemen,
Datennetzwerken, wie einem IP-Netzwerk (Internet) oder einem X.25 Netzwerk,
und Servern 2. Der GGSN kann auch direkt mit einem privaten
Firmennetzwerk oder einem Host verbunden sein. Im Beispiel von 1 ist
der GGSN über
ein zuverlässiges
IP-Netzwerk 3 an die Server 2 und über eine
Feuerwand FW an das Internet 4 angeschlossen. Der GGSN
umfasst PDP-Adressen und Routinginformation der GPRS-Teilnehmer,
d.h. die SGSN-Adressen. Der GGSN aktualisiert die Standortdatei
bezüglich
der Route der Mobilstation MS mit Hilfe der von den SGSN-Knoten
erzeugten Routinginformation. Der GGSN funktioniert als Router zwischen
einer externen Adresse und interner Routinginformation (zum Beispiel
SGSN). In anderen Worten, der GGSN routet ein Protokollpaket eines
externen Datennetzwerks in verkapselter Form über das GPRS-Hauptstrangnetzwerk
an den SGSN-Knoten, der zum gegebenen Zeitpunkt die Mobilstation
MS verwaltet. Ferner entkapselt er das von der Mobilstation gesendete
Paket und überträgt die Pakete
des externen Datennetzwerks an das betreffende Datennetzwerk. Der
GGSN kann auch Pakete von einer an eine andere Mobilstation innerhalb
des Netzwerks übertragen.
Außerdem
ist der GGSN verantwortlich für
die Fakturierung des Datenverkehrs.
-
Die
Mobilstation MS kann jeder mobile Knoten sein, der Paketdatenübertragung
unterstützt,
und der eine Funkschnittstelle mit dem Netzwerk aufweist. Dies kann
zum Beispiel ein Laptop-PC sein, der mit einem zellularen Telefon
verbunden ist, das Paketfunkbetrieb ermöglicht, oder es kann eine integrierte
Kombination aus einem kleinen Computer und einem Paketfunktelefon
sein. Andere Ausführungsformen
der Mobilstation MS sind zum Beispiel verschiedene Pager, ferngesteuerte
Controller, Überwachungs-
und/oder Datenerfassungsgeräte
usw. Die Mobilstation kann auch als mobiler Knoten oder mobiler
Host bezeichnet werden.
-
Um
auf die GPRS-Dienste zuzugreifen, muss die Mobilstation als erstes
dem Netzwerk ihr Vorhandensein bekanntgeben, indem sie einen GPRS-Verknüpfungsvorgang
durchführt.
Dieser Vorgang richtet eine logische Verbindung zwischen der Mobilstation
MS und dem SGSN-Knoten
ein und stellt die Mobilstation für eine Kurznachricht über den GPRS
oder eine ähnliche,
ohne eine Verbindung übertragene
Nachricht, für
Paging über
den SGSN und für
Bekanntgabe eingehender GPRS-Daten zur Verfügung. Um es genauer auszudrücken: wenn
sich die Mobilstation MS (mittels einer GPRS-Verknüpfungsprozedur)
an ein GPRS-Netzwerk anhängt,
erstellt der SGSN einen MM-Kontext
(Mobilitätsmanagementkontext),
und es wird eine logische Verknüpfung
LLC (Logic Link Control) zwischen der Mobilstation MS und dem SGSN-Knoten
in einer Protokollschicht eingerichtet. Der MM-Kontext wird im SGSN-Knoten
und in der Mobilstation MS gespeichert. Der MM-Kontext des SGSN-Knotens
kann Teilnehmerdaten, wie die IMSI des Teilnehmers, die TLLI (Temporary
Logical Link Identifier – temporäre logische
Verbindungskennung) sowie Standort- und Routinginformation usw.
enthalten.
-
Um
GPRS-Daten zu senden und zu empfangen, muss die Mobilstation MS
die PDP-Adresse, d.h. die Paketdatenadresse, die sie benutzen möchte, aktivieren,
indem sie eine PDP-Aktivierungsprozedur anfordert. Der PDP-Kontext
kann aktiviert werden, wenn sich die Mobilstation an das GPRS-Netzwerk
anhängt.
Die Mobilstation kann aber auch den PDP-Kontext später aktivieren,
oder die Aktivierung kann infolge einer vom GPRS-Netzwerk empfangenen
Aktivierungsanforderung durchgeführt
werden (GPRS network requested PDP context information – GPRS-Netzwerk
forderte PDP-Kontextaktivierung an).
Die GPRS-Schnittstelle umfasst einen oder mehrere individuelle PDP-Kontexte,
die die Paketdatenadresse und die darauf bezogenen Parameter beschreiben.
Um es genauer auszudrücken,
definiert der PDP-Kontext verschiedene Datenübertragungsparameter, wie den
PDP-Typ (zum Beispiel X.25 oder IP), die PDP-Adresse (zum Beispiel
die IP Adresse), die Dienstqualität QoS und die NSAPI (Network
Service Access Point Identifier – Kennung des Netzwerkdienstzugriffspunkts).
Eine Mobilstation kann mehrere ähnliche
PDP-Adressen aufweisen, zum Beispiel verschiedene IP-Adressen als
PDP-Adressen (das heißt, die
Mobilstation weist mehrere Kontexte vom IP-Typ auf). Zum Beispiel
können
verschiedene IP-Adressen, d.h. Kontexte, für Dienste verschiedener Qualität und Preise
benutzt werden, die mittels des IP-Protokolls übertragen werden. Die Paketdatenadresse
des PDP-Kontextes ist entweder permanent (d.h. in den Teilnehmerdaten
des Heimatregisters definiert) oder dynamisch, in welchem Fall der GGSN
die Paketdatenadresse während
der PDP-Aktivierungsprozedur
zuweist. Die PDP-Aktivierungsprozedur
aktiviert den PDP-Kontext und gibt die Mobilstation MS im entsprechenden
GGSN-Knoten bekannt, und danach kann die Zusammenarbeit mit externen
Datennetzwerken eingeleitet werden. Während der PDP-Kontextaktivierung
wird der PDP-Kontext in der Mobilstation und in den GGSN- und SGSN-Knoten
erstellt. Wenn der PDP-Kontext aktiviert wird, wird der Benutzer
mittels GSM-Prozeduren authentifiziert, und somit kann die Paketdatenadresse,
zum Beispiel die IP-Adresse, die dem Terminal während der PDP-Kontextaktivierung
gegeben wurde, zuverlässig
an den Identifikationscode des Benutzers, zum Beispiel IMSI (International
Mobile Subscriber Identity), angehängt werden.
-
Das
Erstellen des PDP-Kontexts und das Tunneln der Pakete erfolgt unter
Einsatz eines GTP-Protokolls (GPRS Tunnelling Protocol). Die Mobilstation
MS aktiviert den PDP-Kontext mit einer spezifischen Nachricht, "Activate PDP Context
Request" (PDP-Kontextanforderung
aktivieren), in der die Mobilstation Information über die
TLLI, den PDP-Typ, die angeforderte QoS und NSAPI und wahlweise über die
PDP-Adresse und den APN (Zugriffspunktnamen) bereitstellt. Der SGSN
sendet eine "Create
PDP Context" (PDP-Kontext
erstellen) Nachricht an den GGSN-Knoten, der den PDP-Kontext erstellt
und ihn an den SGSN-Knoten sendet. Wenn die "Activate PDP Context Request" Nachricht (und die "Create PDP Context" Nachricht) nicht
die PDP-Adresse
enthält,
weist der GGSN die PDP-Adresse während
der Erstellung des PDP-Kontextes zu und nimmt eine dynamische PDP-Adresse in
den an den SGSN zu sendenden PDP-Kontext auf. Der SGSN sendet den
PDP-Kontext an die Mobilstation MS in einer "Activate PDP Context Response" (PDP-Kontextantwort
aktivieren) Nachricht. Der PDP-Kontext
wird in der Mobilstation MS, dem SGSN-Knoten und dem GGSN-Knoten
gespeichert. In dem verwaltenden SGSN-Knoten wird jeder PDP-Kontext zusammen
mit dem MM-Kontext gespeichert. Wenn die MS in den Bereich eines
neuen SGSN-Knotens
eintritt, fordert der neue SGSN den MM-Kontext und die PDP-Kontexte
von dem alten SGSN-Knoten an.
-
Somit
wird bei der PDP-Kontextaktivierungsprozedur eine virtuelle Verbindung
oder Link zwischen der Mobilstation MS und dem GGSN-Knoten eingerichtet.
Zur gleichen Zeit wird zwischen dem GGSN und dem SGSN für diesen
PDP-Kontext und die
Paketdatenadresse ein einzigartiger Tunnel gebildet. Der Tunnel
ist eine Route, die das IP- Paket
einschlägt,
und mittels welcher ein von der Mobilstation übertragenes Paket an einen
bestimmten PDP-Kontext
und eine bestimmte Paketdatenadresse im GGSN angehängt wird.
In anderen Worten: der Tunnel dient zum Identifizieren der Paketdatenadresse, die
die Mobilstation beim Senden des Pakets benutzte. Das Paket wird
an einen bestimmten PDP-Kontext entweder mit einer TID (Tunnel-Kennung)
oder mit einer Tunnelendpunktkennung angehängt, wenn das GTP-Protokoll
benutzt wird. Die TID enthält
eine NSAPI und eine IMSI. Während
der PDP-Kontextaktivierungsprozedur
kann der GGSN die Tunnelendpunktkennung zuweisen, die als Hinweis
auf den PDP-Kontext zu verwenden ist.
-
2 ist
ein Flussdiagramm, das den Betrieb gemäß einer ersten bevorzugten
Ausführungsform
der Erfindung im Gateway-Unterstützungsknoten
GGSN veranschaulicht. In der ersten erfindungsgemäßen bevorzugten
Ausführungsform
wird die im Paket enthaltene Quelladresse mit der aktivierten Paketdatenadresse
nur in den PDP-Kontexten verglichen, die von einem Typ sind, der
Spoofing ermöglicht.
Hierzu gehören
Kontexte vom IP-Typ und Paketdatenadressen. Diese Typen (oder dieser
Typ) sind in dem Knoten definiert, der den Vergleich durchführt. Im
Beispiel von 2 wird angenommen, dass Spoofing
nur mit IP-Adressen, aber nicht mit anderen Paketdatenadresstypen
möglich
ist. Es wird ferner davon ausgegangen, dass die Mobilstation den
von ihr benutzten PDP-Kontext aktiviert hat, d.h. beispielsweise
eine IP-Adresse angenommen hat, und dass sie zum Beispiel ein IP-Paket
an den in 1 veranschaulichten Server 1 oder
an das Internet 4 sendet. Es wird ferner vorausgesetzt,
dass die TID zur Identifizierung des Tunnels benutzt wird.
-
Mit
Bezug auf 2 empfängt der GGSN in Schritt 200 ein
Paket, das einen einzigartigen Tunnel benutzt, entkapselt es in
Schritt 201 und extrahiert die Tunnelkennung TID in Schritt 202.
In Schritt 203 ruft der GGSN mittels der TID die PDP-Kontextinformation
des PDP-Kontextes
entsprechend der TID ab. Die Information beinhaltet die Paketdatenadresse, d.h.
die PDP-Adresse, die in diesem Beispiel durch eine IP-Adresse dargestellt
wird. Dann prüft
der GGSN in Schritt 204, ob der dem Tunnel entsprechende
PDP-Kontext (d.h. die Paketdatenadresse) vom Typ IP ist. Wenn das
der Fall ist, extrahiert der GGSN die im Titel des Pakets angegebene
Quelladresse in Schritt 205. Wenn der GGSN beide Adressen
kennt, vergleicht er sie in Schritt 206. Wenn die Quelladresse
die gleiche wie die PDP-Adresse des PDP-Kontexts ist, ist die Mobilstation die,
die sie im IP-Paket
angibt zu sein, und folglich leitet der GGSN das Paket in Schritt 207 weiter.
Wenn sich die Quelladresse von der PDP-Adresse unterscheidet, gibt
die Mobilstation vor, eine andere Mobilstation zu sein, und folglich
weist der GGSN das Paket in Schritt 208 zurück. Zurückweisung
bedeutet hier, dass das Paket nicht an die Zieladresse gesendet
wird.
-
Was
mit dem Paket nach der Zurückweisung geschieht,
richtet sich nach den Definitionen des Betreibers und ist für die Erfindung
belanglos. Zum Beispiel kann dem Benutzer und dem Terminal mit Hilfe von
Kontrollebenennachrichten mitgeteilt werden, dass die Quelladresse
eine falsche Adresse ist. Oder aber der GGSN könnte eine Warnnachricht an
die Netzwerkbetrieb- und Wartungszentrale des Betreibers senden.
Es ist ferner möglich,
einen Eintrag in der Fehlerprotokolldatei vorzunehmen, der die PDP-Kontextinformation
und die Paketinformation enthält.
Der Inhalt des zurückgewiesenen Pakets kann
ebenfalls in die Fehlerprotokolldatei geschrieben werden. Eine weitere
Möglichkeit,
den Benutzer und das Terminal darüber zu informieren, dass die Quelladresse
falsch ist, besteht darin, den PDP-Kontext zu deaktivieren, der zum Senden
des falschen Pakets benutzt wurde. Der PDP-Kontext wird im GGSN,
im SGSN und in der MS deaktiviert, so könnte zum Beispiel der GGSN
den SGSN bitten, den PDP-Kontext zu deaktivieren (oder falls es
der SGSN ist, der das Paket zurückweist,
könnte
der SGSN die Deaktivierungsanforderung an den GGSN schicken), und
der SGSN könnte
die MS bitten, den PDP-Kontext
zu deaktivieren. Die Nachrichten mit der Deaktivierungsanforderung
enthalten vorzugsweise als Grundcode einen spezifischen Deaktivierungscode, der
angibt, dass die MS oder eine mit der MS assoziierte Anwendung eine
falsche oder vorgetäuschte Quelladresse
benutzt hat. Aufgrund des spezifischen Grundcodes erhält der Benutzer
Nachricht von dem Versuch, eine falsche Quelladresse zu benutzen.
Der Hauptgrund zur Verwendung dieser Benachrichtigung besteht darin,
den Benutzer von einer trügerischen
Handlung abzuhalten, oder ihm mitzuteilen, dass eine Anwendung die
falsche Quelladresse benutzt. Vorzugsweise ist die Nachricht an
den Endbenutzer eine Textnachricht oder ein Nachrichtenfenster mit
Angabe der Anwendung, die versucht hat, Daten mit der falschen Quelladresse
zu übertragen.
Es ist auch möglich,
die oben beschriebenen Aktionen erst dann auszuführen, nachdem eine vorherbestimmte
Anzahl falscher Pakete zurückgewiesen wurde.
Wenn die MS vom Einsatz der falschen Quelladresse benachrichtigt
wird, kann die Nachricht, die der GGSN zum Beispiel an die MS und/oder
die Netzwerk- und Wartungszentrale des Betreibers sendet, vorzugsweise
einige Informationen über
Protokollkopfzeilen (zum Beispiel TCP oder UDP) in den oberen Schichten
des Pakets enthalten, die die falsche Quelladresse hatten. Dies
erleichtert das Auffinden der betrügerischen Anwendung und des
Zwecks der betrügerischen
Aktivität.
Die Nachrichten können sogar
den gesamten Inhalt des/der zurückgewiesenen
Pakete enthalten. Der Paketfluss der zurückgewiesenen Pakete kann auch
an einen externen Knoten wie zum Beispiel die Netzwerkbetriebs-
und Wartungszentrale des Betreibers weitergeleitet werden.
-
Wenn
bei Schritt 204 gemerkt wird, dass die PDP nicht vom IP-Typ
ist, geht der GGSN direkt zu Schritt 207 und leitet das
Paket weiter.
-
Der
Zweck des Prüfens
in Schritt 206 besteht darin sicherzustellen, dass nur
Pakete, deren Absender nicht vorgetäuscht hat, jemand anders zu
sein, durch an GGSN an externe Netzwerke weitergeleitet werden.
Eine einfache Prüfung
genügt,
den Absender erfindungsgemäß zu authentifizieren,
und es ist nicht erforderlich, eine Authentifizierungsnachricht
zu senden.
-
In
einer weiteren erfindungsgemäßen Ausführungsform
wird die Prüfung
in Schritt 206 im SGSN vorgenommen, und Schritt 201 wird
ausgelassen, weil das von der Mobilstation empfangene Paket nicht
verkapselt ist. In der anderen bevorzugten Ausführungsform extrahiert der SGSN
in Schritt 202 anstatt der TID die TLLI und die NSAPI aus
dem Paket, das er von der MS empfangen hat. Die TLLI identifiziert
eindeutig die MS und somit die IMSI innerhalb des Routingbereichs.
Die NSAPI identifiziert den von der MS mit diesem Paket benutzten
PDP-Kontext. Mit Hilfe der TLLI und der NSAPI ruft der SGSN die PDP-Kontextinformation
ab. In der anderen bevorzugten Ausführungsform wird die TID (oder
andere entsprechende, den PDP-Kontext identifizierende Information)
zum Paket hinzugefügt,
und das Paket wird vor Schritt 207, d.h. bevor es an den
GGSN geschickt wird, verkapselt.
-
In
der Zukunft kann ein Adressraum von PDP-Adressen auf einen einzigen
PDP-Kontext oder auf eine entsprechende Verbindungsdefinition bezogen
werden. Der Adressraum kann zu Beispiel eine Liste von erlaubten
PDP-Adressen sein. In diesem Fall reicht es aus, dass die im Paket
enthaltene Quelladresse unter den erlaubten Adressen ist. Desgleichen
kann in der Zukunft die PDP-Kontextinformation
die erlaubte PDP-Adresse als Satz von erlaubten Adressen (d.h. Adressraum)
angeben, indem sie einen Teil der erlaubten PDP-Adresse definiert.
In diesem Fall muss die Quelladresse im Paket den definierten Teil
der Adresse umfassen, d.h. die Quelladresse muss zu dem Satz von
erlaubten Adressen gehören.
Der Adressraum kann auch unter Einsatz beider oben beschriebenen
Verfahren definiert werden. Der Adressraum kann auch auf andere
Art definiert werden.
-
In
Ausführungsformen,
in denen mehrere Paketdatenadresstypen, die Spoofing ermöglichen, definiert
sind, wird bei Schritt 204 geprüft, ob die im Paket verwendete
Paketdatenadresse zu diesen Typen gehört. Falls ja, geht es bei Schritt 205 weiter. Andernfalls
gehen wir zu Schritt 207.
-
In
einigen bevorzugten erfindungsgemäßen Ausführungsformen wird die im Paket
enthaltene Quelladresse mit der aktivierten Paketdatenadresse verglichen,
ungeachtet des Typs der aktivierten Paketdatenadresse. In diesem
Fall wird die Prüfung
in Schritt 204 nicht durchgeführt, aber die Prüfung bei Schritt 206 wird
auf jedem Paket vorgenommen.
-
Die
Reihenfolge der in 2 dargestellten Schritte kann
sich von den obigen Ausführungen
unterscheiden, und die Schritte können auch gleichzeitig ausgeführt werden.
Zum Beispiel kann Schritt 204 vor Schritt 201 und
Schritt 203 gleichzeitig mit Schritt 205 durchgeführt werden.
Zwischen den Schritten ist es möglich,
Schritte auszuführen,
die nicht in der Figur dargestellt sind. In einigen Ausführungsformen können Schritt 201 und/oder 204 weggelassen
werden. In Schritt 202 kann anstatt der TID andere den PDP-Kontext
identifizierende Information extrahiert werden.
-
Zusätzlich zu
den Mitteln, die zur Implementierung des Dienstes nach dem Stand
der Technik benötigt
werden, umfasst das Telekommunikationssystem, das Telekommunikationsnetzwerk
und der Netzwerkknoten, die die erfindungsgemäße Funktionalität implementieren,
Mittel zum Vergleichen der im Paket enthaltenen Adresse mit der/den
aktivierten, d.h. erlaubten Adressen für den Absender des Pakets.
Existente Netzwerkknoten umfassen Prozessoren und Speicher, die
in den erfindungsgemäßen Funktionen verwendet
werden können.
Alle zur Implementierung der Erfindung benötigten Änderungen können als zusätzliche
oder aktualisierte Softwareroutinen und/oder mittels Anwendungsschaltungen
(ASIC) durchgeführt
werden.
-
Obwohl
an früherer
Stelle erklärt
wurde, dass das Kantenelement des Netzwerks (SGSN oder GGSN) den
Teilnehmer authentifiziert, ist die Erfindung nicht auf die Kantenelemente
beschränkt.
Ein anderer Netzwerkknoten, in dem die für den Vergleich notwendige
Adressinformation gespeichert ist, kann ebenfalls den Vergleich
durchführen.
-
Es
versteht sich, dass die obigen Ausdrücke "Paketdatenprotokoll PDP" oder "PDP-Kontext" sich allgemein auf
einen Zustand im Terminal (zum Beispiel in einer Mobilstation) und
auf mindestens ein Netzwerkelement oder eine Funktionalität beziehen. Der
Zustand erzeugt einen Übertragungspfad,
d.h. einen Tunnel, im vom Terminal benutzten Netzwerk (zum Beispiel
in einem mobilen Kommunikationsnetzwerk), der eine spezifische Anzahl
von Parametern für
Datenpakete aufweist. Der in dieser Spezifikation benutzte Ausdruck "Knoten" ist als Ausdruck zu
verstehen, der sich allgemein auf ein Netzwerkelement oder eine
Funktionalität
bezieht, die über
den PDP-Tunnel übertragene
Datenpakete verarbeitet.
-
Es
versteht sich, dass die obige Beschreibung und die darauf bezogenen
Figuren nur zur Veranschaulichung der Erfindung dienen. Für einen Fachmann
ist offensichtlich, dass die Erfindung auf verschiedene Weisen modifiziert
werden kann, ohne vom Geltungsbereich der in den beigefügten Ansprüchen offenbarten
Erfindung abzuweichen.