DE60128807T2 - Verfahren und anordnung für kommunikationssysteme - Google Patents

Verfahren und anordnung für kommunikationssysteme Download PDF

Info

Publication number
DE60128807T2
DE60128807T2 DE60128807T DE60128807T DE60128807T2 DE 60128807 T2 DE60128807 T2 DE 60128807T2 DE 60128807 T DE60128807 T DE 60128807T DE 60128807 T DE60128807 T DE 60128807T DE 60128807 T2 DE60128807 T2 DE 60128807T2
Authority
DE
Germany
Prior art keywords
address
list
data packet
packet
origin
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60128807T
Other languages
English (en)
Other versions
DE60128807D1 (de
Inventor
Johan SÖDERBERG
Mikael Hedlund
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE60128807D1 publication Critical patent/DE60128807D1/de
Application granted granted Critical
Publication of DE60128807T2 publication Critical patent/DE60128807T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0421Circuit arrangements therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13256Call screening
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13296Packet switching, X.25, frame relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13342Arrangement of switches in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13389LAN, internet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Preparation Of Compounds By Using Micro-Organisms (AREA)
  • Ultra Sonic Daignosis Equipment (AREA)
  • Communication Control (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft das Gebiet von Datenkommunikationen. Insbesondere betrifft die Erfindung ein Verfahren und eine Kommunikationseinheit zum Abblocken von unerwünschtem Verkehr in einem Datenkommunikationssystem.
  • Die Erfindung betrifft insbesondere, aber nicht ausschließlich, ein Verfahren zum Abblocken von unerwünschten Datenpaketen, die auf einem Netz gesendet werden, welches eine Paketvermittlung verwendet und bei dem das Netzprotokoll vorzugsweise durch das Internetprotokoll (IP) dargestellt wird.
  • Die Erfindung kann sowohl auf drahtlose Kommunikationssysteme, zum Beispiel GPRS und WCDMA, als auch auf traditionelle sogenannte feste Kommunikationssysteme, die beispielsweise mit Faserkabeln konstruiert sind, angewendet werden.
  • BESCHREIBUNG DES HINTERGRUNDS DER ERFINDUNG
  • In einem Paketvermittlungs-Datenkommunikationssystem wird Information in Paketen gesendet, wobei jedes Paket über das Netz mit den besten Anstrengungen hinsichtlich der Geschwindigkeit und der Weglenkung transportiert wird, im Gegensatz zu einem leitungsvermittelten Netz, bei dem eine Verbindung aufgebaut wird und sämtliche Information genau in Übereinstimmung mit der vorher eingestellten Route gesendet wird.
  • In Paketvermittlungsnetzen verwendet das Datenpaket Adressen, um seine abschließende Zielstelle zu erreichen, mit anderen Worten, jedes Paket wird mit einer Terminaladresse markiert und dann werden die Pakete abgeschickt. Das Netz stellt dann sicher, dass die Pakete an dem richtigen Empfänger ankommen. Jedes Paket wird normalerweise auch eine Senderadresse einschließen, so dass der Absender des Pakets bekannt sein wird.
  • Somit kann die Information in einem paketvermittelten Netz zu jeder möglichen Zeit und an alle möglichen Knoten, die mit dem Netz verbunden sind, gesendet werden, ohne zunächst den Empfänger zu kontaktieren.
  • Es ist bekannt, beispielsweise aus der PCT-Anmeldung WO9826533 , Datenpakete mit einem Attribut zu filtern, welches anzeigt, ob der Empfang der Pakete gewünscht oder unerwünscht ist. Das Attribut kann die Adresse des Absenders des Pakets sein.
  • Das Dokument „Network Firewalls" aus dem 2460 IEEE COMMUNICATIONS MAGAZIN, Vol. 32, Nr. 9, September 1994, Seiten 50–57 beschreibt Verfahren zum Bereitstellen eines Firewalldienstes in einem Computernetz. In den Absätzen [0037]–[0040] in diesem Dokument wird eine sogenannte Abhängigkeitsmaske (Dependency Mask) oder eine Bedingung beschrieben, insbesondere in Bezugnahme auf 3 und 8. Es wird in dem Absatz [0037] erwähnt, dass „eine Verbindung zurück zu einem Benutzer nur dann erlaubt wird, wenn gleichzeitig eine geeignete Vorwärtsverbindung aktiv ist". Es gibt eine Bedingung dahingehend, dass die Verbindung zurück zu dem Benutzer nur dann erlaubt werden sollte, wenn die Vorwärtsverbindung „gleichzeitig aktiv" ist. Die vorliegende Erfindung erlaubt eine Verbindung zurück zu einem Benutzer bedingungslos, nur wenn die Adresse des Benutzers in dem bedienenden Knoten registriert worden ist. Der Fall, der im Absatz [0037] des angegebenen Dokuments beschrieben wird, setzt eine getrennte, zusätzliche Netzsession voraus (Zeilen 31–32).
  • Die PCT-Anmeldung WO99/21340 beschreibt Verfahren zum Bereitstellen eines Firewalldienstes in einem Computernetz. Es wird erwähnt, dass bei einer TCP-Konversation eine Nachricht nur von einem internen Host zugelassen wird und dass ein Outsider (d. h. nicht ein interner Host) eine Verbindung nicht initiieren kann. Ein interner Host wird identifiziert, indem „unsere Hosts" gesagt wird, und diese Unser-Host-Bedingung (Our-Host-Condition) wird durch eine Maschinennummer oder eine ähnliche Identifikation spezifiziert. Die vorliegende Erfindung trennt nicht interne und externe Knoten/Hosts von einem bestimmten Knoten/Host.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Ein Problem bei einem Paketvermittlungsnetz ist, dass irgendjemand irgendetwas an irgendjemanden senden kann. Das Datenpaket wird in dem Netz ohne eine erste Überprüfung weitergeleitet, ob der Empfänger tatsächlich die Information haben wird oder nicht. Dies tritt in leitungsvermittelten Kommunikationssystemen nicht auf, bei denen zunächst eine Verbindung zwischen zwei Parteien aufgebaut wird. Dies kann dazu führen, dass ein Benutzer mit einer großen Menge von unerwünschten Daten erstickt wird, die ein Ressourcen-begrenztes System unnötig belasten.
  • Wenn eine Bezahlung für die empfangene Datenmenge erwartet wird, besteht ein anderes Problem darin, dass irgendjemand einen wirtschaftlichen Nachteil verursachen kann, indem das Datenpaket an einen Benutzer gesendet wird, der dann gezwungen wird für den Empfang von unerwünschter und nutzloser Information zu bezahlen.
  • Somit besteht die Aufgabe der vorliegenden Erfindung darin eine Lösung der voranstehenden Probleme bereitzustellen. Kurz zusammengefasst wird diese Aufgabe gemäß der Ansprüche 1 und 12 dadurch realisiert, dass angenommen wird, dass jede Terminaladresse, an die Daten gesendet werden, zum Beispiel ein e-mail Empfänger oder im Ansprechen auf eine Aufforderung auf einer Webseite, als zuverlässig angesehen wird. Daten werden dann ausschließlich von diesen akzeptierten Adressen, d. h. von zuverlässigen Absendern, akzeptiert und sämtliche anderen Datenpakete werden verworfen bzw. gelöscht.
  • Insbesondere wird die Überprüfung und die Filterung von Datenpaketen normalerweise automatisch durchgeführt. Eine Liste von akzeptierten Absendern wird automatisch erzeugt, indem die Terminaladresse von abgehenden Paketen untersucht und diese Adresse in die Liste abgelegt wird. Ein Benutzer kann auch vorher Adressen einfügen, von denen er Datenpakete empfangen möchte. Die Absenderadresse von jeweiligen ankommenden Paketen wird dann mit den Adressen auf der Liste verglichen. Die Erfindung kann in irgendeinem möglichen Netzwerkknoten angewendet werden.
  • Ein von der Erfindung bereitgestellter Vorteil besteht darin, dass man den Empfang von unerwünschten Daten von unbekannten oder unzuverlässigen Absendern vermeidet.
  • Ein anderer Vorteil besteht darin, dass kein Risiko besteht, dass ein Erfordernis besteht für Information zu bezahlen, die nicht angefordert worden ist.
  • Die Erfindung wird nun mit näheren Einzelheiten unter Bezugnahme auf bevorzugte beispielhafte Ausführungsformen davon und auch unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • In den Zeichnungen zeigen:
  • 1 Teile eines Paketvermittlungsnetzes;
  • 2 die verschiedenen Verbindungsschichten (Link Lagers) in dem OSI-Modell;
  • 3 einen IP-Header für eine IP-Version 4;
  • 4 einen TCP-Header;
  • 5 eine Darstellung, wie der Dreiwege-Handshake-Algorithmus arbeitet;
  • 6 ein Flussdiagramm für abgehende Pakete gemäß einer Ausführungsform der Erfindung; und
  • 7 ein Flussdiagramm für ankommende Pakete gemäß einer Ausführungsform der Erfindung.
  • BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • 1 zeigt die mögliche Konfiguration von Teilen eines Paketvermittlungsnetzes. Das Beispiel zeigt, wie mehrere Knoten (N1, N2, N3 ...) in ein oder mehreren Netzen miteinander verknüpft sind. Zum Beispiel können die Knoten N1, N3 und N5–N7 zwei getrennte kleine Netze bilden, die wiederum miteinander mit einem größeren Netz, zum Beispiel dem Internet, gekoppelt sind. Jedes kleine Netz kann unterschiedliche Typen einer Technologie verwenden, zum Beispiel FDDI, Ethernet oder ATM. In 2 könnten die Knoten N1–N3 in der Lage sein ATM innerhalb ihres kleinen Netzes zu verwenden, wohingegen die Knoten N5–N7 in der Lage sein könnten ein Ethernet innerhalb ihres kleinen Netzes zu verwenden.
  • Wenn diese kleineren Datennetze zusammengekoppelt werden, wird ein größeres Datennetz geschaffen. Somit ist das Internet tatsächlich ein logisches Netzwerk, welches aus einer Ansammlung von physikalischen Netzen, d. h. einer Ansammlung von kleineren Netzen, die unterschiedliche Technologien verwenden, besteht.
  • Diese kleineren Netze werden mit Hilfe von Routern und Gateways miteinander gekoppelt. Ein Router stellt sicher, dass Datenpakete entlang richtiger Routen zwischen den Netzen gesendet werden, wohingegen ein Gateway die Kommunikation zwischen unterschiedlichen Typen von Protokollen behandelt, beispielsweise so, dass ein ATM-Netz in der Lage ist mit einem Ethernet-Netz zu kommunizieren.
  • Das in 2 gezeigte OSI-Modell beschreibt die verschiedenen Schichten, die in einem Paketvermittlungs-Kommunikationssystem enthalten sind. Die untere Schicht 1 (Lager 1) ist die physikalische Schicht, die einen Transport von Bits über das physikalischen Medium spezifiziert. V.24, V.34 und G.703 sind Beispiele von Lager 1 Standards.
  • Dann folgt die Schicht 2 (Lager 2), die die Datenverbindungsschicht ist, die Rahmen und physikalische Adressen spezifiziert. Ethernet, Token Ring und High Level Data Link Control (HDLC) sind Beispiele von Lager 2 Standards. Lager 3 ist die Netzschicht, die eine Weglenkung (Routing), logische Adressen und eine Datenpaket-Fragmentierung behandelt. Das Internetprotokoll (IP) und Inter-Network Packet Exchange (IPX) sind mögliche Beispiele in dieser Hinsicht.
  • Diese drei untersten Schichten 13 sind, wie in 2 gezeigt, in sämtlichen Netzknoten implementiert, einschließlich von Netzvermittlungsstellen, und sämtlichen Knoten, die entlang der Netze gekoppelt sind.
  • Die Schicht 4 (Lager 4) ist die Transportschicht, die normalerweise ausschließlich in den Endknoten implementiert wird. User Datagram Protocol (UDP) und Transmission Control Protocol (TCP) sind Beispiele von Protokollen in der Transportschicht.
  • Die Schicht 5 (Lager 5) ist die Session-Schicht, die unter anderem überprüft, ob die Session beendet worden ist, bevor sämtliche Daten übertragen worden sind. Beispiele in dieser Hinsicht sind Netbios und Winsock.
  • Die Schicht 6 (Lager 6) ist die Präsentationsschicht, die eine Kodierung von Daten spezifiziert. Die HyperText Markup Language (HTML) und der American Standard Code for Information Interchange (ASCII) sind Beispiele in dieser Hinsicht.
  • Die obere Schicht 7 (Lager 7) ist, wo die tatsächlichen Anwendungen implementiert werden, wie e-mail und Datei-Transfers. Beispiele in dieser Hinsicht sind Telnet, File Transfer Protocol (FTP), Simple Mail Transfer Protocol (SMPT) und HyperText Transport Protocol (HTTP).
  • 3 zeigt die Konstruktion eines IP-Headers für die IP-Version 4. Ein Ipv4 Header besteht aus mehreren 32-Bit Wörtern. Das erste Wort umfasst Version, welches die Version des verwendeten IP anzeigt. Hlen zeigt die Länge des gesamten Headers an. TOS (Type Of Service) wird für die Verwendung von Zusatzdiensten vorgesehen, um beispielsweise Priorität für einen schnelleren Transport zu geben.
  • Das Feld Protocol (Protokoll) betrifft die Tatsache, welches Protokoll auf einer höheren Schicht das IP-Paket behandelt, wobei Beispiele eines derartigen Protokolls TCP und UDP sind. Dieses Feld wird somit untersucht, um nachzusehen, ob TCP verwendet wurde oder nicht, und damit wird es auch untersucht, um nachzusehen, ob SYN und ACK gesendet wurden oder nicht, sowie dies in einer Ausführungsform der Erfindung ausgeführt wird.
  • Eine Prüfsumme (Checksum) ist eine Summe, die dadurch berechnet wird, dass der gesamte IP-Header als eine Anzahl von zueinander aufsummierten 16-Bit Wörtern zerlegt wird. Wenn dieses Feld nicht mit der Berechnung übereinstimmt, die beim Empfang des Pakets ausgeführt wird, dann wird das Paket verworfen bzw. gelöscht.
  • Die SourceAddress (Quellenadresse) zeigt die Adresse an, von der das Paket gesendet wird, d. h. den Ursprung des Pakets, wobei dies erforderlich ist, um auf eine Nachricht antworten zu können. Die Ursprungsadresse kann zum Beispiel eine IP-Adresse sein, beispielsweise 130.240.193.75.
  • Die DestinationAddress (Zieladresse) zeigt die Adresse an, an die das Paket gesendet werden soll, mit anderen Worten die Terminaladresse. Diese Adresse wird von jedem Router verwendet, um eine Entscheidung zu treffen und die Route zu bestimmen, entlang der das Paket in dem Netz weitergeleitet werden soll. Die Empfängeradresse kann zum Beispiel eine IP-Adresse sein, beispielsweise 136.255.151.252. Wenn IP in Verbindung mit der Erfindung verwendet wird ist es genau dieses Feld zusammen mit dem voranstehend erwähnten Quellenadressenfeld, welches verwendet wird, um sicherzustellen, ob das Datenpaket akzeptiert werden sollte oder nicht.
  • Obwohl options (Optionen) normalerweise nicht verwendet wird, kann es jedoch verwendet werden, um eine bestimmte Route durch das Netz anzuzeigen, und Data (Daten) sind die tatsächlichen Nutzlastdaten, die aus dem zu versendenden Gegenstand bestehen können, zum Beispiel aus Text, Bildern oder Sprache.
  • 4 zeigt die Konstruktion eines TCP-Headers. Der TCP-Header besteht ebenfalls aus mehreren 32-Bit Wörtern. Das erste Feld SrcPort zeigt den Port (das Tor) an, der in dem Knoten verwendet wurde, von dem das Paket gesendet wurde. DstPort zeigt den entsprechenden Port in dem Knoten, an den das Paket gesendet werden soll an. Weil TCP ein Byte-orientiertes Protokoll ist, wird jedes Datenbyte eine Sequenznummer aufweisen, die mit SeqNo gegeben wird. Eine Bestätigung zeigt an, welche Sequenz sukzessive die nächste ist, d. h. die Sequenznummer, die als nächstes von dem Empfänger akzeptiert wird. HdrL zeigt die Länge des Headers an.
  • In dem Feld Flags, welches aus sechs Bits besteht, wird der Inhalt des Pakets mit etwas mehr Einzelheiten offenbart, wobei die Bitreihenfolge wie folgt ist: URG-ACK-PUSH-RESET-SYN-FIN, wobei jedes Bit die folgende Bedeutung aufweist:
    URG ist ein Flag für dringende Daten, vorgesehen zur Verwendung bei der Signalisierung von wichtigen Nachrichten, die den Verkehr betreffen;
    das ACK-Bit (010000 in Flags) ist das Flag, welches angibt, ob gültige Information in dem Bestätigungs-Feld (Acknowledgement-Feld) gefunden wird oder nicht;
    PUSH wird verwendet, wenn gewünscht wird gesammelte Daten direkt, ohne ein Warten zum Auffüllen eines vollständigen Pakets, zu senden, wobei PUSH zum Beispiel in Telnet verwendet wird, in dem jedes geschriebene Zeichen direkt gesendet wird;
    RESET zeigt an, dass der Empfänger von Daten fehlerhafte Information erhalten hat, zum Beispiel ein unerwartetes Segment mit der falschen Sequenznummer oder der falschen Checksum, und damit wünscht die Verbindung zu beenden;
    SYN-BIT (000010 in Flags) wird verwendet, wenn eine TCP-Verbindung eingerichtet wird; und
    FIN wird verwendet, wenn eine Verbindung beendet werden soll.
  • AdvWindow zeigt die Größe des verwendeten Übertragungsfensters an, d. h. wie viel Daten gesendet werden, bevor eine Empfangsbestätigung erwartet werden kann. Checksum ist eine Summe, die durch Aufsummieren der Inhalte des Headers berechnet wird, um so festzustellen, ob dieser Inhalt in Übereinstimmung mit dem empfangenen Inhalt ist oder nicht. UrgPtr zeigt die Anzahl von Bytes von dringenden Daten an (wenn URG in Flags platziert ist). Eine TCP-Wahl kann in options (Optionen) spezifiziert werden, und das Data-Feld ist für die gesendeten Nutzlastdaten (Payload-Data).
  • 5 ist eine schematische Darstellung eines sogenannten Dreiwege-Handshake-Algorithmus, der von TCP zur Herstellung einer Verbindung verwendet wird. Der Client beginnt den Prozess durch Senden eines Segments (Flags = SYN, SeqNo = x) an den Server, welches anzeigt, welche Sequenznummer der Client beabsichtigt zu verwenden. Der Server antwortet dann mit einer Bestätigung (Flags = ACQ, SegNo = y) der Sequenznummer des Clients und einer eigenen Sequenznummer (Flags = SYN, Acks = x + 1), die der Server beabsichtigt zu verwenden. Schließlich antwortet der Client mit einem dritten Segment (ACK, Acker + 1), welches die Sequenznummer des Servers bestätigt.
  • Dieser Algorithmus wird zwischen allen Endknoten verwendet, die Daten dazwischen senden, und zwar unabhängig davon, ob zwei Clients, zwei Server oder ein Server und ein Client beteiligt sind. Obwohl der beispielhaft gezeigte Handshaking-Algorithmus für TCP ist, sei darauf hingewiesen, dass andere Handshake-Algorithmen alternativ in Übereinstimmung mit der Erfindung verwendet werden können, mm Beispiel ein WAP Handshake-Algorithmus.
  • Gemäß einer Ausführungsform der Erfindung wird nur SYN/ACK studiert, um festzustellen, ob Pakete, die von dieser Session ankommen, akzeptiert werden oder nicht. Dies verringert die Anzahl von abgehenden Paketen, die überprüft werden müssen. Das einzige, was erforderlich ist, ist nachzusehen, ob eine Verbindung hergestellt ist, wodurch die Notwendigkeit vermieden wird abgehende Pakete in der Session zu überprüfen.?
  • Die 15 geben nun einen Hintergrund an, der zu der Erfindung selbst führt, d. h. wie Datenpakete gefiltert werden. Dies wird nachstehend hauptsächlich unter Bezugnahme auf die 6 und 7 beschrieben.
  • 6 ist ein Flussdiagramm für abgehende Datenpakete in einer Ausführungsform der Erfindung. Der erste Schritt 201 umfasst die Feststellung, ob Datenpakete mit einem Handshake-Protokoll in Verbindung stehen oder nicht. Der zweite Schritt 202 beinhaltet die Feststellung, ob ein abgehendes Datenpaket zu einer Handshake-Prozedur gehört oder nicht, die, wenn TCP verwendet wird, beispielsweise in dem voranstehend erwähnten Feld Flags gezeigt ist, wobei SYN und/oder ACK gegeben werden können. Diese zwei Schritte können innerhalb des Konzepts der Erfindung ausgeführt werden, um die Anzahl von abgehenden Datenpaketen, die untersucht werden sollen, zu verringern.
  • Der dritte Schritt 203 beinhaltet die Untersuchung der Zieladresse des Datenpakets, welche, wenn ein Internet Protokoll (IP) verwendet wird, in der DestinationAdress (Zieladresse) des IP-Headers gefunden werden kann, wobei diese die Adresse angibt, an die jedes Datenpaket gesendet werden soll.
  • Der nächste Schritt 204 beinhaltet das Auffinden der Zieladresse des abgehenden Datenpakets in der Liste von akzeptierten Adressen.
  • Der Schritt 205 wird implementiert, wenn die Antwort in dem vorangehenden Schritt 204 NEGATIV ist, was bedeutet, dass die Adresse nicht in der Liste enthalten ist. Der Benutzer wird dann gefragt, ob die Zieladresse des abgehenden Datenpakets in die Liste eingebaut werden soll oder nicht.
  • Der Schritt 206 beinhaltet den Einbau der Adresse in die Liste, wenn der Benutzer auf die Frage mit JA antwortet.
  • Der Schritt 207 beinhaltet das Freigeben des Pakets zum Transport heraus in das Netz. Diesem Schritt können der Schritt 204, 205 oder 206 folgen, in Abhängigkeit von der auf die voranstehenden Fragen gegebenen Antworten und dem Ergebnis des Listenscans, oder ob eine automatische Aktualisierung der Liste verwendet werden soll oder nicht, anstelle das Stellen einer Frage an den Benutzer in dieser Hinsicht.
  • Die 7 ist ein Flussdiagramm für ankommende Datenpakete in einer Ausführungsform der Erfindung. Der erste Schritt 100 beinhaltet die Untersuchung der Adresse des Ursprungs des Datenpakets. Dies lässt sich beispielsweise in dem SourceAdress (Quellenadressen) Feld des IP-Headers ersehen, wenn ein Internet Protokoll verwendet wird.
  • Der nächste Schritt 101 beinhaltet das Suchen nach der Adresse in der Liste von akzeptierten Adressen.
  • Der Schritt 102 wird ausgeführt, wenn die Adresse in dem vorangehenden Schritt 101 nicht gefunden werden kann, was bedeutet, das der Absender unbekannt/nicht akzeptiert ist/wird.
  • Der Benutzer wird dann befragt, ob er das Datenpaket trotzdem empfangen möchte oder nicht.
  • Der Schritt 103 wird ausgeführt, wenn der Benutzer in dem vorangehenden Schritt 102 angibt, dass er einen Empfang des Pakets nicht wünscht. Das Paket wird dann gelöscht. Alternativ wird dieser Schritt unmittelbar nach dem Schritt 101 ausgeführt, wenn die Adresse nicht gefunden werden kann und der Benutzer nicht wünscht diese Frage für jeden unbekannten Absender zu stellen.
  • Der Schritt 104, der bedeutet, dass ein Empfang des Pakets in dem Knoten vermieden wird, kann nach mehreren Schritten (101 oder 102) stattfinden, abhängig davon, ob die Adresse in der Liste gefunden wird oder nicht, oder in Abhängigkeit von der Antwort, die auf die Frage gegeben wird.
  • Die Liste von akzeptierten Adressen des Ursprungs (Ursprungsadressen) könnte sowohl Adressen, die statistisch in die Liste eingefügt werden, als auch Adressen die automatisch erzeugt werden, umfassen. Dies versetzt einen Benutzer in die Lage die Liste vorher zu erstellen und die Liste mit akzeptierten Adressen des Ursprungs zu aktualisieren. Alternativ kann die Liste automatisch erzeugt oder aktualisiert werden, durch Einbau der Adressen, an die Datenpakete automatisch in der Liste gesendet werden, und zwar in Übereinstimmung mit der Erfindung.
  • Die Person, die die Erfindung anwendet, kann beispielweise eine Person sein, die eine drahtlose Verbindung mit dem Internet, über den Knoten N4 in 1, verwendet. Der Benutzer sendet dann eine email an einen Benutzer, der über den Knoten N6 in 1 verbunden ist, und fordert eine Anzahl von Webseiten in dem Knoten N3 nach Hause an. Der Benutzer sieht dann die Adressen der Knoten N6 und N3 als zuverlässig an. Wenn eine Datei von einer Person gesendet wird, die nicht eine der voranstehend erwähnten Adressen des Ursprungs aufweist, wird die Datei gelöscht, bevor die Person die Datei auf ihrem/seinem Computer empfängt. Für den Fall dieses Beispiels kann die Erfindung somit in einem Knoten stromaufwärts von dem Benutzer, beispielsweise in dem vorletzten Knoten implementiert werden – wobei dies die Basisstation sein kann – bevor die Datei an den Benutzer in einem drahtlosen Knoten gesendet wird. Dies wird durchgeführt, um Platz auf der begrenzten Bandbreite in der Luftschnittstelle einzusparen.
  • Es sei darauf hingewiesen, dass die Erfindung nicht auf die voranstehend beschriebenen und dargestellten beispielhaften Ausführungsformen davon beschränkt ist und dass Modifikationen innerhalb des Umfangs der beigefügten Ansprüche durchgeführt werden können.

Claims (15)

  1. Verfahren zum Abblocken von Datenverkehr, der von einem ersten Knoten (N4) empfangen wird, von einem zweiten Knoten (N3) in einem Kommunikationssystem, welches wenigstens zwei Knoten (N1–N4) einschließt, wobei eine Kommunikation zwischen den Knoten in einem Paketvermittlungsnetz stattfindet, wobei der erste Knoten Datenpakete sendet, die jeweils eine Zieladresse aufweisen, umfassend die folgenden Schritte in Bezug auf ankommende Datenpakete an dem ersten Knoten (N4): – Bestimmen (100) der Adresse des Ursprungs eines ankommenden Datenpakets; – Vergleichen (101) der Adresse des Ursprungs des ankommenden Datenpakets mit einer Liste von akzeptierten Adressen des Ursprungs; – Zulassen eines Durchgangs (104) des Datenpakets, wenn das Datenpaket eine akzeptierte Adresse des Ursprungs aufweist; oder – Löschen (103) des Datenpakets, wenn dessen Adresse des Ursprungs nicht akzeptiert ist; dadurch gekennzeichnet, dass die akzeptierte Adressen in den folgenden Schritten bestimmt werden: – Bestimmen (203) der Zieladresse eines abgehenden Pakets von dem ersten Knoten (N4); – Untersuchen (204), ob die Zieladresse in der Liste gefunden wird; und – Hinzufügen (206) der Zieladresse zu der Liste, wenn noch nicht in der Liste.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Löschung des Datenpakets eine Frage (102) vorausgeht, die anfragt, ob der Benutzer wünscht, dass ein Datenpaket von einer nicht akzeptierten Adresse des Ursprungs empfangen wird.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Hinzufügung (206) einer Zieladresse eine Frage (204) vorausgeht, die anfragt, ob der Benutzer wünscht oder nicht, dass die Zieladresse als eine akzeptierte Adresse des Ursprungs eingeschlossen wird.
  4. Verfahren nach Anspruch 2–3, dadurch gekennzeichnet, dass die vorangehenden Schritte (203207) in Bezug auf abgehende Datenpakete ausschließlich während des Handshake-Algorithmus zum Herstellen einer Verbindung ausgeführt werden, und dass den Schritten die folgenden Schritte vorausgehen: – Bestimmen (201), ob ein abgehendes Datenpaket zu einem Handshake-Protokoll gehört oder nicht, und – Bestimmen (202), ob ein abgehendes Datenpaket in einer Handshake-Prozedur eingeschlossen ist oder nicht.
  5. Verfahren nach irgendeinem der Ansprüche 1–4, dadurch gekennzeichnet, dass das Netzprotokoll aus dem Internet Protokoll IP gebildet ist.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, das Transportprotokoll aus dem User Datagramm Protokoll UDP gebildet ist.
  7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass das Transportprotokoll das Transmission Control Protokoll TCP ist.
  8. Verfahren nach irgendeinem der Ansprüche 1–7, dadurch gekennzeichnet, dass das Kommunikationssystem aus einem System des Typs TDMA, Time Division Multiple Access, mit einer Paketdatenhinzufügung gebildet ist.
  9. Verfahren nach irgendeinem der Ansprüche 1–7, dadurch gekennzeichnet, dass das Kommunikationssystem ein System des Typs PDC, Personal Digital Cellular, ist.
  10. Verfahren nach irgendeinem der Ansprüche 1–7, dadurch gekennzeichnet, dass das Kommunikationssystem ein System des WCDMA, Wideband Code Divison Multiple Access, Typs ist.
  11. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Paketdatenhinzufügung ein GPRS, General Packed Radio Service, ist.
  12. Kommunikationseinheit zum Abblocken von Datenverkehr, der von einem ersten Knoten (N4) empfangen wird, von einem zweiten Knoten (N3) in einem Kommunikationssystem, welches wenigstens zwei Knoten (N1–N4) einschließt, wobei eine Kommunikation zwischen den Knoten in einem Paketvermittlungsnetz stattfindet, wobei der erste Knoten Datenpakete sendet, die jeweils eine Zieladresse aufweisen, umfassend, in Bezug auf ankommende Datenpakete an dem ersten Knoten (N4), – Mittel zum Bestimmen (100) der Adresse des Ursprungs eines ankommenden Datenpakets; – Mittel zum Vergleichen (101) der Adresse des Ursprungs des ankommenden Datenpakets mit einer Liste von akzeptierten Adressen des Ursprungs; – Mittel zum Zulassen eines Durchgangs des Datenpakets, wenn das Datenpaket eine akzeptierte Adresse des Ursprungs aufweist; oder Löschen des Datenpakets, wenn dessen Adresse des Ursprungs nicht akzeptiert ist; dadurch gekennzeichnet, dass die akzeptierte Adressen bestimmt werden durch – Mittel zum Bestimmen der Zieladresse eines abgehenden Pakets von dem ersten Knoten; – Mittel zum Untersuchen, ob die Zieladresse in der Liste gefunden wird; und – Mittel zum Hinzufügen der Zieladresse zu der Liste, wenn noch nicht in der Liste.
  13. Kommunikationseinheit nach Anspruch 12, gekennzeichnet durch Mittel zum Befragen des Benutzers, ob er/sie wünscht, dass ein Datenpaket von einer nicht akzeptierten Adresse des Ursprungs empfangen wird.
  14. Kommunikationseinheit nach Anspruch 12, gekennzeichnet durch Mittel zum Befragen des Benutzers, ob er/sie wünscht, dass eine Zieladresse in die Liste eingebaut wird.
  15. Kommunikationseinheit nach irgendeinem der Ansprüche 12–14, gekennzeichnet durch Mittel zum Bestimmen, ob abgehende Datenpakete zu einem Handshake-Protokoll gehören oder nicht, und durch Mittel zum Bestimmen, ob die abgehenden Datenpakete in einer Handshake-Prozedur eingeschlossen sind oder nicht.
DE60128807T 2000-07-07 2001-07-06 Verfahren und anordnung für kommunikationssysteme Expired - Lifetime DE60128807T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE0002586 2000-07-07
SE0002586A SE519317C2 (sv) 2000-07-07 2000-07-07 Förfarande och kommunikationsenhet för att blockera oönskad trafik i ett datakommunikationssystem
PCT/SE2001/001590 WO2002005514A1 (en) 2000-07-07 2001-07-06 A method and an arrangement relating to communicaitons systems

Publications (2)

Publication Number Publication Date
DE60128807D1 DE60128807D1 (de) 2007-07-19
DE60128807T2 true DE60128807T2 (de) 2008-02-07

Family

ID=20280426

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60128807T Expired - Lifetime DE60128807T2 (de) 2000-07-07 2001-07-06 Verfahren und anordnung für kommunikationssysteme

Country Status (7)

Country Link
US (1) US20030152081A1 (de)
EP (1) EP1305925B1 (de)
AT (1) ATE364284T1 (de)
AU (1) AU2001271184A1 (de)
DE (1) DE60128807T2 (de)
SE (1) SE519317C2 (de)
WO (1) WO2002005514A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030233457A1 (en) * 2002-06-12 2003-12-18 Henrik Basilier Signaling framework for wireless networks
BRPI0417358B1 (pt) 2003-12-05 2018-12-11 Blackberry Ltd aparelho e método para controlar tráfego não-solicitado destinado a um dispositivo de comunicação sem fio
US7848231B2 (en) 2004-10-29 2010-12-07 Nippon Telegraph And Telephone Corporation Packet communication network and packet communication method
US7930740B2 (en) 2005-07-07 2011-04-19 International Business Machines Corporation System and method for detection and mitigation of distributed denial of service attacks
US8301895B2 (en) 2009-12-02 2012-10-30 Microsoft Corporation Identity based network policy enablement

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
US6510151B1 (en) * 1996-09-19 2003-01-21 Enterasys Networks, Inc. Packet filtering in connection-based switching networks
US5996011A (en) * 1997-03-25 1999-11-30 Unified Research Laboratories, Inc. System and method for filtering data received by a computer system
WO1998045995A1 (en) * 1997-04-09 1998-10-15 Alcatel Australia Limited Internet closed user group
US6199102B1 (en) * 1997-08-26 2001-03-06 Christopher Alan Cobb Method and system for filtering electronic messages
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
FI112897B (fi) * 1998-03-03 2004-01-30 Nokia Corp Menetelmä tiedonsiirtoverkossa ja tiedonsiirtolaite
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6189035B1 (en) * 1998-05-08 2001-02-13 Motorola Method for protecting a network from data packet overload
US6112227A (en) * 1998-08-06 2000-08-29 Heiner; Jeffrey Nelson Filter-in method for reducing junk e-mail
US6546416B1 (en) * 1998-12-09 2003-04-08 Infoseek Corporation Method and system for selectively blocking delivery of bulk electronic mail
US6574658B1 (en) * 1999-01-29 2003-06-03 Lucent Technologies Inc. System and method for secure classification of electronic mail
US6578080B1 (en) * 1999-02-04 2003-06-10 Advanced Micro Devices, Inc. Mechanism for run time programming of hardware resources with least interference with continued operation
US7016951B1 (en) * 1999-04-30 2006-03-21 Mantech Ctx Corporation System and method for network security
EP1232431A4 (de) * 1999-09-01 2005-06-08 Peter L Katsikas System zum eliminieren von unerlaubter elektronischer post
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation

Also Published As

Publication number Publication date
EP1305925B1 (de) 2007-06-06
SE0002586L (sv) 2002-01-08
EP1305925A1 (de) 2003-05-02
AU2001271184A1 (en) 2002-01-21
WO2002005514A1 (en) 2002-01-17
SE519317C2 (sv) 2003-02-11
DE60128807D1 (de) 2007-07-19
US20030152081A1 (en) 2003-08-14
SE0002586D0 (sv) 2000-07-07
ATE364284T1 (de) 2007-06-15

Similar Documents

Publication Publication Date Title
DE69533740T2 (de) TCP/IP-Kopfendekompression in X.25-Netzwerken
DE19800772C2 (de) Verfahren und Vorrichtung zur Verbindung mit einem Paketaustauschnetz
DE102004008720B4 (de) Vorrichtung und Verfahren zur Durchführung von Verkehrsflussschablonen-Paketfilterung gemäß Internet-Protokollversionen in einem mobilen Kommunikationssystem
DE60127680T2 (de) Mobiles Endgerät und Verfahren zur Netz-zu-Netz-Verbindung
DE60220978T2 (de) Drahtloses Kommunikationssystem
DE60033162T2 (de) Erleichterung der datenübertragung
DE69833111T2 (de) Bestimmung von trägerdiensten in einem funkzugriffsnetz
DE19950653B4 (de) Verfahren zum Betreiben eines Mobilfunknetzes
EP1994677B1 (de) Verfahren zur übertragung der identität einer multicast-nachricht, verfahren und vorrichtung zur übertragung einer multicast-nachricht sowie vorrichtung zum empfangen einer multicast-nachricht
DE10392494T5 (de) Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche
DE69931874T2 (de) Verfahren zur Herstellung und Aufrechterhaltung einer mobilen TCP-Verbindung
EP1761081A1 (de) Kommunikationssystem, Vermittlungsknoten-Rechner und Verfahren zur Bestimmung eines Kontrollknotens
EP2387261B1 (de) Bereitstellung einer Ende-zu-Ende-Verbindung von einer Endeinheit in ein Netz
EP1282280B1 (de) Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes
DE60128807T2 (de) Verfahren und anordnung für kommunikationssysteme
EP1482701B1 (de) Verfahren zum paketorientierten Übertragen von Daten in Telekommunikationsnetzen mittels Umsetzung in einem Zwischenknoten von einem verbindungslosen zu einem verbindungsorientierten Übertragungsprotokoll und umgekehrt
DE60219263T2 (de) Überwachung und Übertragung von QOS-Daten in einem Telekommunikationsnetzwerk
DE10111493A1 (de) L2TP-Reconnection-Handling durch Verbindungsserver TIP
EP1049294B1 (de) Netzwerk mit mehreren Netzwerk-clustern zur drahtlosen Übertragung von Paketen
DE602004010918T2 (de) Datentrennung und fragmentierung in einem drahtlosen netzwerk zur verbesserung der videoleistungsfähigkeit
DE10231958A1 (de) Direkt adressiertes Multicast-Protokoll
DE60320567T2 (de) Adressenverwaltungsverfahren
EP1266493A1 (de) Verfahren und anordnung zum übertragen eines datenpakets von einer ersten vermittlungseinheit an eine zweite vermittlungseinheit in einem datennetz
DE60037210T2 (de) Datenumwandlungs- und Kommunikationsverfahren
DE102004055505A1 (de) Verfahren zur Autorisierung von Dienst-Anfragen an Service Hosts in einem Netzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition