DE602004013301T2 - 'Denial-of-Service' Schutz - Google Patents

'Denial-of-Service' Schutz Download PDF

Info

Publication number
DE602004013301T2
DE602004013301T2 DE602004013301T DE602004013301T DE602004013301T2 DE 602004013301 T2 DE602004013301 T2 DE 602004013301T2 DE 602004013301 T DE602004013301 T DE 602004013301T DE 602004013301 T DE602004013301 T DE 602004013301T DE 602004013301 T2 DE602004013301 T2 DE 602004013301T2
Authority
DE
Germany
Prior art keywords
port
communication device
selection function
function
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004013301T
Other languages
English (en)
Other versions
DE602004013301D1 (de
Inventor
Stefan Runeson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE602004013301D1 publication Critical patent/DE602004013301D1/de
Application granted granted Critical
Publication of DE602004013301T2 publication Critical patent/DE602004013301T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Ticket-Dispensing Machines (AREA)
  • Bidet-Like Cleaning Device And Other Flush Toilet Accessories (AREA)

Description

  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Verfahren eines Betreibens eines Kommunikationsgerätes und insbesondere ein Verfahren eines Setzens eines Ports auf einen offenen Zustand, wenn das Kommunikationsgerät mit einem Kommunikationsnetzwerk verbunden wird, wobei an dem Port Nachrichten eines spezifischen Typs empfangen werden sollten. Die vorliegende Erfindung betrifft ebenso ein Kommunikationsgerät zum Implementieren des Verfahrens.
  • Beschreibung des verwandten Standes der Technik
  • Ein Kommunikationsgerät, wie zum Beispiel ein Mobiltelefon, kann konfiguriert sein, mit unterschiedlichen Kommunikationsnetzwerken verbunden zu werden, z. B. einem Mobilkommunikationsnetzwerk, einem lokalen Bereichsnetzwerk, einem Weitbereichsnetzwerk und/oder einem globalen Netzwerk, wie zum Beispiel dem Internet. Ein Weitbereichs- oder ein globales Netzwerk können zum Beispiel ein Paket-geschaltetes IP-Netzwerk sein, in dem Datenpakete zwischen Endgeräten mittels eines Anhängens einer elektronischen Adresse an die übertragenen Datenpakete übertragen werden, wie zum Beispiel einer URI (Universal Resource Identifier – universaler Ressourcen-Identifikator) oder einer URL (Universal Resource Locator – universaler Ressourcenlokalisierer), und/oder einer Netzwerkadresse, wie zum Beispiel einer IP-Adresse.
  • Wenn das Kommunikationsgerät mit dem Netzwerk verbunden wird, kann diesem eine IP-Adresse zugewiesen werden, die an einem Proxy-Server zusammen mit der elektronischen Adresse registriert wird. Ebenso kann eine Port-Nummer eines Ports, der offen ist, um Nachrichten eines spezifischen Typs zu empfangen, zusammen mit der Netzwerkadresse und der elektronischen Adresse an dem Proxy gespeichert werden.
  • Ein sendendes Endgerät kann lediglich die URI oder die URL des empfangenden Endgerätes haben, wobei die Nachricht über den Netzwerkserver übertragen wird, der die Nachricht an die korrekte Netzwerkadresse und die korrekte Portadresse in Abhängigkeit des Typs der Nachricht weiterleitet.
  • Ein IP-Multimedia-Subsystem (IMS – IP Multimedia Subsystem) wird von 3GPP (Third Generation Partnership Projekt – Partnerschaftsprojekt der dritten Generation) standardisiert und ist ein System zur Erzeugung von Multimedia-Diensten. Das Sitzungsinitiierungsprotokoll (SIP – Session Initiation Protocol) ist ein Anwendungs-Schichtprotokoll, das von der IETF standardisiert ist (der Internet Engineerung Task Force), das verwendet wird, Multimediasitzungen in IMS zu steuern. SIP läuft auf IP (Internetprotokoll) unter Verwendung von entweder UDP (User Datagram Protocol – Benutzer-Datagram-Protokoll) oder TCP (Transmission Control Protocol – Übertragungs-Steuerprotokoll) als Transportprotokoll.
  • In dem SIP-Standard (RFC3261) gibt es standardisierte, vor eingestellte Portnummern, die für SIP-Nachrichten definiert sind.
  • Ein empfangendes Endgerät, wie zum Beispiel ein IMS-Endgerät, kann einen aktiven PDP-(Packet Data Protocol – Paketdatenprotokoll)-Kontext und eine gültige Netzwerkadresse aufweisen, so lange dieses auf oder in einen spezifischen Modus geschaltet wird, in dem dieses mit dem Netzwerk verbunden wird. Falls es standardisierte, vor eingestellte Ports für Nachrichten eines spezifischen Typs gibt, wie zum Beispiel SIP-Nachrichten, öffnet sich dieser für Denial-of-Service-Angriffe. Ein Angreifer, der mit dem gleichen Netzwerk wie das Endgerät verbunden ist, kann Nachrichten des spezifischen Typs direkt an das Endgerät unter Verwendung des vor eingestellten Ports für die spezifische Nachricht senden. Um sicher zu sein, dass ein spezifisches Endgerät die Denial- of-Service-Nachricht erhält, muss der Angreifer maximal eine Nachricht an den vor eingestellten Port aller IP-Adressen senden, die von einem bestimmten Proxy-Server bedient werden. Falls es folglich die Absicht ist, lediglich ein Endgerät anzugreifen, werden alle Endgeräte, die Nachricht empfangen, angegriffen.
  • Ein erstes Beispiel eines Denial-of-Service-Angriffes ist es, eine falsch gebildete Nachricht zu senden. Falls es dann bekannt wäre, dass ein Endgerät eines bestimmten Typs zusammenbrechen würde, falls dieses eine bestimmte falsch geformte Nachricht empfängt, könnten alle Endgeräte jenes Typs in der Domäne eines Betreibers oder Proxy-Servers durch ein Senden der falsch geformten Nachricht an alle IP-Adressen in der Domäne des Betreibers unter Verwendung des vor eingestellten Ports zusammenbrechen.
  • Ein zweites Beispiel eines Denial-of-Service-Angriffes ist es, eine wohl-geformte Nachricht zu senden. Da jede Nachricht Speicherressourcen in dem Endgerät während einem Zeitraum nach einem Empfang belegt, bis zu mehreren Minuten, könnte eine wiederholte Übertragung von wohl-geformten Nachrichten einen derartigen Betrag von Speicherressourcen belegen, dass andere Dienste oder Anwendungen in dem Endgerät betroffen sein könnten.
  • US 2003/0012149 offenbart ein System und Verfahren zum Bereitstellen von Kommunikationsdiensten. Ein Anwendungs-Schichtprotokoll (SIP) kann zusammen mit einem Transport-Schichtprotokoll (TCP) laufengelassen werden. Eine Portnummer kann dynamisch ausgewählt werden und an einen Server übertragen werden.
  • EP 1424826 offenbart eine IP-Kommunikation, bei der Ports zur Kommunikation von Daten demgemäß ausgewählt werden, ob diese erfolgreich zur Kommunikation verwendet worden sind.
  • Zusammenfassung der Erfindung
  • Es ist ein Ziel der Erfindung ein Verfahren und Gerät bereitzustellen, das einen Port zugänglich macht, bei dem elektronische Nachrichten eines spezifischen Typs empfangen werden können, wenn der Port auf einen offenen Zustand gesetzt wird.
  • Das Ziel gemäß einem ersten Aspekt der Erfindung wird durch ein Verfahren zum Betreiben eines Kommunikationsgerätes erzielt. Das Verfahren wird ausgeführt, wenn ein Anwendungs-Schichtprotokoll zusammen mit einem Transportprotokoll laufengelassen wird und umfasst ein Auswählen mittels einer Port-Auswahlfunktion eines aus einer Vielzahl von Ports, um diesen zugänglich zum Empfang von elektronischen Nachrichten eines spezifischen Typs zu machen; und ein Setzen des ausgewählten Ports auf einen offenen Zustand. Ist der ausgewählte Port einmal auf den offenen Zustand gesetzt, können Nachrichten empfangen werden.
  • Das Verfahren kann ebenso ein Übertragen von Daten an einen Netzwerk-Server zum Identifizieren des Kommunikationsgerätes und einer Portnummer des ausgewählten Ports umfassen, der auf den offenen Zustand gesetzt ist.
  • Die Auswahlfunktion ist eine Funktion eines eindeutigen Identifikators des Kommunikationsgerätes, wobei das Verfahren ein Abrufen des eindeutigen Identifikators des Kommunikationsgerätes vor einem Auswählen des Ports umfasst. Zusätzlich kann die Auswahlfunktion eine Funktion eines Zeitparameters sein, wobei das Verfahren ein Erzeugen des Zeitparameters vor einem Auswählen des Ports umfasst. Ebenso kann die Auswahlfunktion eine Zufallsfunktion zum zufälligen Auswählen eines aus einer Vielzahl von Ports sein.
  • Das Ziel gemäß einem zweiten Aspekt der Erfindung wird durch ein Kommunikationsgerät erzielt, das angepasst ist, das Verfahren gemäß der Erfindung zu implementieren. Das Kommunikationsgerät umfasst eine Vorrichtung zu Empfangen elektronischer Nachrichten, wenn ein Anwendungs-Schichtprotokoll zusammen mit einem Transportprotokoll in dem Kommunikationsgerät laufengelassen wird, eine Port-auswählende Vorrichtung, die angepasst ist, mittels einer Portauswahlfunktion einen aus einer Vielzahl von Ports auszuwählen, um diesen zum Empfangen von elektronischen Nachrichten eines spezifischen Typs zugänglich zu machen und ein Steuergerät, das angepasst ist, den ausgewählten Port auf einen offenen Zustand zu setzen.
  • Das Ziel wird ebenso gemäß einem dritten Aspekt der Erfindung durch ein Computer-Programmprodukt erreicht. Das Computer-Programmprodukt umfasst eine Computer-Programm-Codevorrichtung, um das Verfahren gemäß der Erfindung auszuführen, wenn die Computer-Programm-Codevorrichtung von einem elektronischen Gerät mit Computerfähigkeiten laufengelassen wird. Die Computer-Programm-Codevorrichtung kann auf einem Computer-lesbaren Medium verkörpert sein.
  • Weitere Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen definiert.
  • Es ist ein Vorteil der Erfindung, dass der Port ausgewählt wird und offen ist, Nachrichten eines spezifischen Typs basierend auf einer Auswahlfunktion statt einem vor eingestellten Port zu empfangen. Folglich wird die Sicherheit erhöht, da ein externes Gerät nicht weiß, welcher Port offen ist, um die Nachrichten des spezifischen Typs zu empfangen. Es ist ein weiterer Vorteil, dass die Sicherheit weiter erhöht werden kann, falls die Auswahlfunktion einen oder mehrere Auswahlparameter umfasst, die sicherstellen, dass ein und derselbe Port in einem Kommunikationsgerät nicht während nachfolgender Port-Auswahlverfahren ausgewählt wird.
  • Es sollte betont werden, dass der Begriff „umfasst/umfassen", wenn er in dieser Spezifikation verwendet wird, genommen wird, um das Vorliegen der angegebenen Merkmale, Ganzzahlen, Schritte oder Komponenten zu spezifizieren, jedoch nicht das Vorliegen oder die Hinzufügung von einem oder mehreren anderen Merkmalen, wie Ganzzahlen, Schritten, Komponenten oder Gruppen aus diesen ausschließt.
  • Kurze Beschreibung der Zeichnungen
  • Weitere Ziele, Merkmale und Vorteile der Erfindung werden aus der folgenden detaillierten Beschreibung der Erfindung ersichtlich, wobei auf die begleitenden Zeichnungen Bezug genommen wird, in denen:
  • 1 eine schematische Ansicht eines Kommunikationsgerätes gemäß der Erfindung ist, das mit einem Kommunikationsnetzwerk verbunden ist;
  • 2 ein Blockdiagramm bestimmter Komponenten des Kommunikationsgerätes gemäß der Erfindung ist; und
  • 3 ein Flussdiagramm einer Ausführungsform des Verfahrens gemäß der Erfindung ist.
  • Detaillierte Beschreibung von Ausführungsformen
  • 1 stellt ein Kommunikationsgerät 1 gemäß der Erfindung dar, das mit einem Kommunikationsnetzwerk 2 verbunden sein kann, wie zum Beispiel einem Paket-geschalteten IP-Netzwerk. Ein oder mehrere zusätzliche Endgeräte, die gemeinsam durch ein Endgerät B 3 dargestellt sind, können mit dem Kommunikationsnetzwerk 2 verbunden sein. Ein Netzwerk-Server 4, der angepasst ist, Daten zum Identifizieren des Kommunikationsgerätes 1 und möglicherweise des Endgerätes B 3 zu speichern, ist ebenso mit dem Kommunikationsnetzwerk 2 verbunden. Elektronische Nachrichten können zwischen dem Kommunikationsgerät 1 und dem Endgerät B 3 über das Kommunikationsnetzwerk 2 gesendet werden. Die Nachrichten werden von dem Netzwerk-Server 4 weitergeleitet. Ein Angreifer 5 kann mit dem Kommunikationsnetzwerk 2 verbunden sein. Der Angreifer kann versuchen, elektronische Nachrichten an entweder das Kommunikationsgerät 1 oder das Endgerät B 3 zu übertragen, wie oben erläutert.
  • Das Kommunikationsgerät 1 und das Endgerät B 3 können z. B. ein Mobiltelefon, ein Mobilfunkendgerät, ein Funkrufempfänger, ein Kommunikator, ein elektronischer Organizer, ein Smartphone, ein persönlicher digitaler Assistent oder ein Computer mit Kommunikationsfähigkeiten sein. Für darstellerische Zwecke wird sich lediglich auf ein Mobiltelefon 1 und ein Endgerät B 3 im Folgenden bezogen.
  • Das Mobiltelefon 1 kann eine Antenne 10 zum drahtlosen Kommunizieren mit dem Kommunikationsnetzwerk 2 umfassen, z. B. über ein Mobilkommunikationsnetzwerk, wie zum Beispiel ein GSM-(Globales System zur Mobilkommunikation – Global System for Mobile Communications) oder ein UMTS-(universales Mobiltelekommunikationssystem – Universal Mobile Telecommunications System)-Netzwerk sein. Alternativ kann das Mobiltelefon mit dem Kommunikationsnetzwerk 2 zum Beispiel mittels eines Modems, über eine Drahtverbindung verbunden sein, wie zum Beispiel einem öffentlich geschalteten Telefonnetzwerk.
  • Das Mobiltelefon 1 und das Endgerät B 3 können ein IMS-(IP-Multimedia-Subsystem)-Endgerät sein, das angepasst ist, ein Anwendungs-Schichtprotokoll, wie zum Beispiel SIP (Session Initiation Protocol) zusammen mit einem Netzwerkprotokoll, z. B. IP (Internet Protocol) unter Verwendung z. B. von UDP (User Datagram Protocol) oder TCP (Transmission Control Protocol) als Transportprotokoll laufen zu lassen.
  • Bei IMS passieren alle SIP-Nachrichten zu und von IMS-Endgeräten einen SIP-Proxy-Server, wie zum Beispiel den Netzwerk-Server 4. Daher ist der Netzwerk-Server 4 angepasst, Identifikationsdaten zum Identifizieren von IMS-Endgeräten zu speichern, die als verbunden mit dem Kommunikationsnetzwerk 2 registriert sind, wie zum Beispiel das Mobiltelefon 1 und das Endgerät B 3. Ebenso ist der Netzwerk-Server angepasst, eine Portnummer zu speichern, die mit dem Identifikationsdaten jedes registrierten IMS-Endgerätes verknüpft ist, an das eine bestimmte elektronische Nachricht, z. B. eine SIP-Nachricht, gerichtet werden sollte. Die Identifikationsdaten können eine elektronische Adresse umfassen, wie zum Beispiel eine SIP-URI (Uniform Resource Identifier) und eine Netzwerkadresse, wie zum Beispiel einer IP-Adresse gemäß dem Folgenden:
    SIP URI IP-Adresse Portnummer
    Sip:UserA@operator.com 5555::aaa.bbb.ccc.ddd xxxx
    Sip:UserB@operator.com 5555::eee.fff.ggg.hhh yyyy
  • Die tatsächliche Portnummer und Netzwerkadresse wird lediglich von dem Mobiltelefon 1 und dem Netzwerk-Server 4 gekannt. Die Portnummer identifiziert einen zugänglichen Port, bei dem ein spezifischer Typ einer elektronischen Nachricht, wie zum Beispiel einer SIP-Nachricht, in dem Mobiltelefon 1 empfangen wird.
  • Der Netzwerk-Server 4 kann ein S-CSCF-(Serving Call Session Control Function – bedienender Anrufsitzungs-Steuerfunktions)-Server oder irgendein Server sein, der angepasst ist, elektronische Nachrichten eines spezifischen Typs an einen spezifischen Port weiterzuleiten.
  • Endgerät B 3 kann eine Nachricht des spezifischen Typs an das Mobiltelefon 1 durch Adressieren der Nachricht mit der elektronischen Adresse des Mobiltelefons 1 senden. Die Nachricht wird über das Kommunikationsnetzwerk 2 an den Netzwerk-Server 4 übertragen. Der Netzwerk-Server 4 ist angepasst, die Netzwerkadresse und Portnummer abzurufen, die mit der elektronischen Adresse der Nachricht verknüpft sind und die Nachricht an den Port des Mobiltelefons mit der verknüpften Netzwerkadresse weiterzuleiten.
  • 2 stellt bestimmte Komponenten des Mobiltelefons 1 dar. Eine Kommunikationseinheit 20 umfasst eine sendende Vorrichtung 21, wie zum Beispiel einen Sender und eine empfangende Vorrichtung 22, wie zum Beispiel einen Empfänger. Die Kommunikationseinheit ist mit der Antenne 10 und mit einer verarbeitenden Vorrichtung oder einem Steuergerät 23 verbunden, wie zum Beispiel einem Prozessor oder einer zentralen verarbeitenden Einheit (CPU). Das Steuergerät 23 ist angepasst, unterschiedliche Protokolle laufen zu lassen, wie zum Beispiel die oben erwähnten Anwendungs- und Transportprotokolle. Ebenso ist das Steuergerät 23 angepasst, einen bestimmten Port bereitzustellen, der die logische Schnittstelle zwischen dem Prozess oder dem Protokoll zum Kommunizieren elektronischer Nachrichten und der Kommunikationseinheit 20 ist.
  • Das Mobiltelefon 1 kann eine Vielzahl von Speichern umfassen, wie zum Beispiel ein ROM (Read Only Memory – Nur-Lese-Speicher), ein RAM (Random Access Memory – wahlfreier Zugriffsspeicher) und/oder ein SIM (Subscriber Identification Module – Teilnehmer-Identifikations-Modul), die gemeinsam durch den Speicher 24 dargestellt sind. Der Speicher 24 ist mit dem Steuergerät 23 verbunden.
  • Eine auswählende Vorrichtung oder ein Port-Auswähler 25 ist angepasst, mittels einer Port-Auswahlfunktion einen aus einer Vielzahl von Ports auszuwählen, um diesen zum Empfangen einer elektronischen Nachricht eines spezifischen Typs zugänglich zu machen, wie zum Beispiel einer SIP-Nachricht. Jeder Port weist seine eigene Portnummer auf. Der Port für eine Nachricht eines spezifischen Typs kann aus einer Vielzahl möglicher Ports ausgewählt werden. Ist der Port einmal ausgewählt, wird die Nummer des ausgewählten Ports an das Steuergerät 23 weitergeleitet, das den ausgewählten Port auf einen offenen Zustand setzen kann. Wenn der Port auf den offenen Zustand gesetzt ist, können Nachrichten des spezifischen Typs an dem Port empfangen werden. Der Port-Auswähler 25 kann Software-implementiert sein, z. B. als eine getrennte Anwendung, die von dem Steuergerät 23 laufengelassen wird. Jedoch kann der Port-Auswähler 25 ebenso als eine getrennte Hardware-Einheit bereitgestellt werden, wie zum Beispiel einer CPU oder ein integrierter Schaltkreis, wie zum Beispiel ein ASIC (Anwendungs-spezifischer integrierter Schaltkreis – Application Specific Integrated Circuit) oder eine FPGA (Feld programmierbares Gate-Feld – Field Programmable Gate Array).
  • Der Port-Auswähler 25 kann angepasst sein, den Port auszuwählen, der auf einen offenen Zustand gesetzt werden soll, wenn das Telefon 1 eingeschaltet wird. Alternativ ist der Port-Auswähler 25 angepasst, den Port auszuwählen, wenn das Mobiltelefon 1 in einem spezifischen Modus geht, wie zum Beispiel einen IMS-Modus, bei dem Nachrichten des spezifischen Typs empfangen werden können.
  • Das Steuergerät 23 kann angepasst sein, den auswählten Port auf den offenen Zustand für einen vorbestimmten Zeitraum oder auf einen konstant offenen Zustand für so lange zu setzen, wie das Mobiltelefon eingeschaltet ist oder in dem spezifischen Modus gehalten wird. Das Mobilendgerät 1 kann immer einen aktiven PDP-(Paket-Datenprotokoll – Packet Data Protocol)-Kontext und eine gültige IP-Adresse für so lange aufweisen, wie das Mobiltelefon eingeschaltet oder in dem spezifischen Modus ist. Wenn daher der gewählte Port offen ist, kann das Mobiltelefon 1 immer Nachrichten des spezifischen Typs empfangen, wie zum Beispiel eine IMS-Nachricht. Ein Setzen des Ports auf einen konstant offenen Zustand weist den Vorteil auf, dass das Mobiltelefon 1 Nachrichten des spezifischen Typs für so lange empfangen kann, wie dieses eingeschaltet ist.
  • Die Auswahlfunktion stellt sicher, dass einer aus einer Vielzahl von Ports ausgewählt wird. Die Vielzahl von Ports, aus denen gewählt wird, können die 16384 möglichen Ports außerhalb des wohl bekannten IANA-(Internet Assigned Numbers Authority – Behörde für im Internet zugewiesene Nummern)-Portbereichs und IANA-registrierten Portbereichs sein. Keiner aus dem Satz von 16384 Ports kann registriert sein und daher kann der Port-Auswähler unbedingt aus diesem Satz von Ports auswählen. Falls die Portnummern gemäß dem IANA-Standard bereitgestellt werden, können diese jede Portnummer in dem Bereich von 49152–65535 sein. Falls jedoch die Erfindung zusammen mit einem anderen Standard implementiert wird, können die Ports andere Portnummern aufweisen, die in einem oder mehreren Bereichen bereitgestellt werden.
  • Die Auswahlfunktion kann eine Funktion von einem oder mehreren Auswahlparametern sein. Die Auswahlfunktion stellt sicher, dass ein Port gemäß einem Schemas gewählt wird, das einem externen Teil nicht bekannt ist. Dies ist ein Vorteil, da ein potentieller Angreifer nicht weiß, zu welchem Port die Nachricht zu senden ist. Ein und der gleiche Port kann jedes Mal gewählt werden, falls der ausgewählte Port keinem externen Teil bekannt ist, wie zum Beispiel dem Angreifer 5, um gewidmet zu sein, Nachrichten eines spezifischen Typs zu empfangen. Jedes Mobiltelefon 1 kann einen unterschiedlichen Port auswählen, der z. B. von dem Hersteller eingestellt ist. Die Auswahlfunktion kann ebenso sicherstellen, dass jedes Mal ein unterschiedlicher Port gewählt wird. Diese verbessert die Sicherheit gegen potentielle Angriffe, da jedes Mall wenn das Mobiltelefon aus- und erneut eingeschaltet worden ist, ein unterschiedlicher Port auf einen offenen Zustand gesetzt wird.
  • Darüber hinaus kann die Auswahlfunktion sicherstellen, dass unterschiedliche Mobiltelefone 1 unterschiedliche Ports auf den offenen Zustand setzen, um Nachrichten des spezifischen Typs zu empfangen, z. B. durch Setzen von diesen auf den offenen Zustand gemäß einem unterschiedlichen Schema oder zufällig. Dies weist den Vorteil auf, dass die Sicherheit gegen Angriffe weiter im Vergleich zu einem Auswählen von ein und demselben Port weiter verbessert wird. Wie oben erwähnt, kennt der Angreifer nicht die Netzwerkadresse des Mobilendgerätes 1. Um daher sicher zu sein, ein Endgerät anzugreifen, muss der Angreifer Nachrichten an alle möglichen Ports aller Netzwerkadressen des Kommunikationsnetzwerkes 2 richten, was eine große Menge dazu ist, falls der Port bereits bekannt ist.
  • Die Auswahlfunktion kann eine Zufallsfunktion sein, bei der der Port-Auswähler 25 angepasst ist, eine Zufallszahl innerhalb der Vielzahl von Portnummern auszuwählen.
  • Alternativ ist die Auswahlfunktion eine Funktion eines eindeutigen Identifikators des Mobiltelefons 1. Falls zum Beispiel der Identifikator 123 ist, umfasst die Vielzahl möglicher Ports 10 erste Untergruppen und jede erste Untergruppe umfasst 10 zweite Untergruppen, der Port kann gemäß der folgenden Auswahlfunktion ausgewählt werden: die erste Stelle (1) bestimmt eine erste Untergruppe, die zweite Stelle (2) bestimmt eine zweite Untergruppe innerhalb der bestimmten ersten Untergruppe und die dritte Stelle (3) bestimmt die Portnummer innerhalb der bestimmten zweiten Untergruppe. Alternativ bestimmt die dritte Stelle (3) eine dritte Untergruppe innerhalb der bestimmten zweiten Untergruppe, innerhalb der die Portnummer zufällig gewählt wird.
  • Alternativ ist die Auswahlfunktion eine Funktion einer Vielzahl von Parametern, wie zum Beispiel einer Kombination eines eindeutigen Identifikators, der Anzahl möglicher Ports und der Anzahl des ersten möglichen Ports der zugänglich zu machen ist, d. h. der Port mit der niedrigsten Portnummer der möglichen Ports. Die Auswahlfunktion kann z. B. implementiert werden als: Portnummer eines Ports, der zugänglich zu machen ist = (eindeutigerIdentifikator Modulo AnzahlmöglicherPorts) + erstemöglichePortnummer.
  • Der eindeutige Identifikator kann z. B. die IMSI (International Mobile Subscriber Identifier – internationaler Mobilteilnehmer-Identifikator) des Telefons 1 sein. IMSI wird z. B. in GMS- und UNIS-Telekommunikationssystemen verwendet. Die IMSI kann aus dem Speicher 24 abgerufen werden, in dem diese gespeichert ist. Alternativ wird ein getrennter, eindeutiger Identifikator jedem Mobiltelefon 1 zugewiesen. Jedoch ist es ein Vorteil, die IMSI zu verwenden, da kein zusätzlicher Identifikator zugewiesen werden muss. Ebenso kann irgendein anderer Identifikator des Mobiltelefons 1 verwendet werden. Es ist ein Vorteil, falls die Auswahlfunktion auf dem eindeutigen Identifikator beruht, da dann jedes Mobiltelefon 1 den Port, der auf einen offenen Zustand zu setzen ist, unterschiedlich auswählt.
  • Noch eine alternative Auswahlfunktion ist eine Funktion eines Zeitparameters. Der Zeitparameter kann ein bestimmter Zeitpunkt oder ein Zeitgeberwert sein. Der Zeitpunkt kann z. B. der Zeitpunkt sein, wenn das Mobiltelefon 1 eingeschaltet wird oder wenn dieses in einen bestimmten Modus geht, wie zum Beispiel den INS-Modus. Der Zeitgeberwert kann ein Zeitraum sein, z. B. berechnet zwischen dem Zeitpunkt, wenn das Mobiltelefon 1 eingeschaltet wird bis dieses in einen bestimmten Modus geht, wie zum Beispiel dem IMS-Modus. Der Port-Auswähler 25 kann angepasst sein, den Zeitpunkt zu registrieren, wenn das Mobiltelefon 1 eingeschaltet wird und/oder in den spezifischen Modus geht. Ebenso kann der Port-Auswähler 25 angepasst sein, den Zeitgeber zu starten und zu stoppen. Falls ein Zeitparameter verwendet wird, z. B. hh.mm.ss, und die mögliche Vielzahl von Ports in 25 erste Untergruppen, 61 zweite Untergruppen innerhalb der ersten Untergruppe und 61 dritte Untergruppen innerhalb der zweiten Untergruppe unterteilt wird, kann der Port z. B. gemäß der folgenden Auswahlfunktion ausgewählt werden: wähle die erste Untergruppe als den Stundenwert (hh) des Zeitparameters aus; wähle die zweite Untergruppe innerhalb der ausgewählten ersten Untergruppe als den Minutenwert (mm) des Zeitparameters aus; und wähle die Portnummer innerhalb der ausgewählten zweiten Untergruppe als den zweiten Wert (ss) des Zeitparameters aus. Alternativ bestimmt in der ausgewählten zweiten Untergruppe der zweite Wert (ss) eine dritte Untergruppe innerhalb der zweiten Untergruppe, in der die Portnummer zufällig ausgewählt wird. In noch einer alternativen Auswahlfunktion wird die dritte Untergruppe mittels des Zeitparameters bestimmt und der eindeutige Identifikator bestimmt, welche Portnummer darin auszuwählen ist. Falls die dritte Untergruppe 100 Portnummern (1...99) umfasst und der eindeutige Identifikator fünf Stellen umfasst, z. B. 12345, kann jede Kombination von zwei Stellen, z. B. der Wert der zweiten und fünften Stelle (25 oder 52) die auszuwählende Portnummer bestimmen.
  • In einer alternativen Ausführungsform der Auswahlfunktion ist diese eine Funktion eines Zeitparameters, wie zum Beispiel einem Zeitpunkt oder einem Zeitgeberwert, einem Datum, der Anzahl möglicher zugänglich zu machender Ports und der Nummer des ersten zugänglich zu machenden möglichen Ports, d. h. der Port mit der niedrigsten Portnummer der möglichen Ports. Diese Auswahlfunktion kann z. B. implementiert sein als: Portnummer eines zugänglich zu machenden Ports = (Zeitparameter Modulo AnzahlmöglicherPorts) + erstemöglichePortnummer.
  • 3 stellt eine Ausführungsform des Verfahrens gemäß der Erfindung dar. In einem ersten Schritt 100 wird der Zeitparameter erzeugt. Der Zeitparameter kann ein Zeitpunkt oder ein Zeitgeberwert sein, wie oben beschrieben. In Schritt 110 wird der eindeutige Identifikator des Mobiltelefons 1 aus dem Speicher 24 abgerufen zum Beispiel von der SIM-Karte. In Schritt 120 wird der Port, der auf einen offenen Zustand zu setzen ist, um Nachrichten eines spezifischen Typs zu empfangen, mittels der Auswahlfunktion ausgewählt. Die Auswahlfunktion kann eine Funktion von einem oder mehreren Parametern sein, wie zum Beispiel einem Zeitparameter, einem eindeutigen Identifikator und/oder einer Zufallszahl, wie oben beschrieben. Falls die Auswahlfunktion lediglich eine Funktion einer Zufallszahl ist, muss Schritt 100 und 110 nicht ausgeführt werden. In Schritt 130 wird der ausgewählte Port auf den offenen Zustand gesetzt. Der Port kann in einen konstant offenen Zustand oder in einen offenen Zustand für einen vorbestimmten Zeitraum gesetzt werden, wie oben beschrieben. Ist der Port auf den offenen Zustand gesetzt, ist dieser bereit, Nachrichten des spezifischen Typs zu empfangen. In Schritt 140 werden die Daten zum Identifizieren des Mobilendgerätes 1 und der Portnummer des ausgewählten Ports an den Netzwerk-Server 4 übertragen.
  • Das Verfahren gemäß der Erfindung kann mittels Software implementiert werden. Ein Computer-Programmprodukt mit einer Computer-Programm-Codevorrichtung kann bereitgestellt werden, um das Verfahren auszuführen. Die Code-Vorrichtung kann das Verfahren implementieren, wenn diese von einem elektronischen Gerät (1) laufengelassen wird, das Computerfähigkeiten aufweist. Die Computer-Programm-Codevorrichtung kann auf einem Computer-lesbaren Medium verkörpert sein, wie zum Beispiel dem Speicher 24.
  • Die vorliegende Erfindung ist oben unter Bezug auf spezifische Ausführungsformen beschrieben worden. Jedoch sind andere Ausführungen als die oben beschriebenen innerhalb des Umfangs der Erfindung möglich. Unterschiedliche Verfahrensschritte als die oben Beschriebenen, die das Verfahren mittels Hardware oder Software durchführen, können innerhalb des Umfanges der Erfindung bereitgestellt sein. Die unterschiedlichen Merkmale und Schritte der Erfindung können in anderen Kombinationen als den beschriebenen kombiniert werden. Die Erfindung ist lediglich durch die angehängten Patentansprüche begrenzt.

Claims (16)

  1. Verfahren zum Betreiben eines Kommunikationsgerätes (1), wobei das Verfahren ausgeführt wird, wenn ein Anwendungsschichtprotokoll zusammen mit einem Transport-Protokoll läuft, wobei das Verfahren umfasst: Auswählen (120) mittels einer Port-Auswahlfunktion einen aus einer Vielzahl von Ports, um diesen zugänglich zum Empfangen von elektronischen Nachrichten eines spezifischen Typs zu machen; und Setzen (130) des ausgewählten Ports auf einen offenen Zustand, dadurch gekennzeichnet, dass die Auswahlfunktion eine Funktion eines eindeutigen Identifikators des Kommunikationsgerätes (1) ist, wobei das Verfahren ein Abrufen (110) des eindeutigen Identifikators des Kommunikationsgerätes vor einem Auswählen (120) des Ports umfasst.
  2. Verfahren nach Anspruch 1, weiter mit Übertragen von Daten an einen Netzwerkserver (4) zum Identifizieren des Kommunikationsgerätes (1) und eine Port-Nummer des ausgewählten Ports, der auf den offenen Zustand gesetzt ist.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Anwendungsschichtprotokoll SIP ist und die Nachricht eine SIP-Nachricht ist und wobei das Transportprotokoll UDP oder TCP ist.
  4. Verfahren nach Anspruch 2, wobei die Daten zum Identifizieren das Kommunikationsgerätes (1) eine elektronische Adresse und eine Netzwerkadresse des Kommunikationsgerätes umfassen.
  5. Verfahren nach einem der vorangehenden Ansprüche, wobei die Auswahlfunktion zusätzlich eine Funktion eines Zeitparameters ist, wobei das Verfahren ein Erzeugen des Zeitparameters vor einem Auswählen des Ports umfasst.
  6. Verfahren nach einem der vorangehenden Ansprüche, wobei die Auswahlfunktion zusätzlich eine Zufallsfunktion zum zufälligen Auswählen von einem aus einer Vielzahl von Ports ist.
  7. Kommunikationsgerät (1) mit einer Vorrichtung zum Empfangen elektronischer Nachrichten (21), wenn ein Anwendungsschichtprotokoll zusammen mit einem Transportprotokoll läuft, wobei das Kommunikationsgerät umfasst: eine Port-auswählende Vorrichtung (25), die angepasst ist, mittels einer Port-Auswahlfunktion einen aus einer Vielzahl von Ports auszuwählen, um diesen zugänglich zum Empfangen von elektronischen Nachrichten eines spezifischen Typs zu machen; und ein Steuergerät (23), das angepasst ist, den ausgewählten Port auf einen offenen Zustand zu setzen, dadurch gekennzeichnet, dass die Auswahlfunktion eine Funktion eines eindeutigen Identifikators des Kommunikationsgerätes (1) ist, wobei die Port-auswählende Vorrichtung (25) angepasst ist, aus einem Speicher (24) den eindeutigen Identifikator des Kommunikationsgerätes vor einem Auswählen (120) des Ports abzurufen.
  8. Kommunikationsgerät nach Anspruch 7, weiter mit einem Sender (22), der angepasst ist, an einen Netzwerkserver (4) Daten zum Identifizieren des Kommunikationsgerätes (1) und eine Portnummer des ausgewählten Ports zu senden, der auf den offenen Zustand gesetzt ist.
  9. Kommunikationsgerät nach Anspruch 7 oder 8, wobei das Anwendungsschichtprotokoll SIP ist und die Nachricht eine SIP-Nachricht ist und wobei das Transportprotokoll UDP oder TCP ist.
  10. Kommunikationsgerät nach Anspruch 8, wobei die Daten zum Identifizieren des Kommunikationsgerätes (1) eine elektronische Adresse und eine Netzwerkadresse des Kommunikationsgerätes umfassen.
  11. Kommunikationsgerät nach einem der vorangehenden Ansprüche 7 bis 10, wobei die Auswahlfunktion zusätzlich eine Funktion eines Zeitparameters ist, wobei die Port-auswählende Vorrichtung (25) angepasst ist, den Zeitparameter vor einem Auswählen des Ports zu erzeugen.
  12. Kommunikationsgerät nach einem der vorangehenden Ansprüche 7 bis 11, wobei die Auswahlfunktion zusätzlich eine Zufallsfunktion zum zufälligen Auswählen von einem aus einer Vielzahl von Ports ist.
  13. Kommunikationsgerät nach einem der Ansprüche 7 bis 12, wobei das Kommunikationsgerät ein mobiles Funkendgerät, ein Funkrufempfänger, ein Kommunikator, ein elektronischer Organisator, ein Smartphon, ein persönlicher digitaler Assistent oder ein Computer ist.
  14. Kommunikationsgerät nach einem der Ansprüche 7 bis 12, wobei das Kommunikationsgerät ein Mobiltelefon ist.
  15. Computerprogrammprodukt mit einer Computerprogrammcode-Vorrichtung, um das Verfahren nach Anspruch 1 auszuführen, wenn die Computerprogrammcode-Vorrichtung von einem elektronischen Gerät (1) mit Computer-Fähigkeiten laufen gelassen wird.
  16. Computerprogrammprodukt nach Anspruch 15, wobei die Computerprogrammvorrichtung auf einem Computer-lesbaren Medium (24) verkörpert ist.
DE602004013301T 2004-07-15 2004-07-15 'Denial-of-Service' Schutz Expired - Lifetime DE602004013301T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04016665A EP1617616B1 (de) 2004-07-15 2004-07-15 'Denial-of-Service' Schutz

Publications (2)

Publication Number Publication Date
DE602004013301D1 DE602004013301D1 (de) 2008-06-05
DE602004013301T2 true DE602004013301T2 (de) 2009-06-25

Family

ID=34925770

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004013301T Expired - Lifetime DE602004013301T2 (de) 2004-07-15 2004-07-15 'Denial-of-Service' Schutz

Country Status (7)

Country Link
US (1) US20070280101A1 (de)
EP (1) EP1617616B1 (de)
KR (1) KR101126843B1 (de)
CN (1) CN1985494B (de)
AT (1) ATE393531T1 (de)
DE (1) DE602004013301T2 (de)
WO (1) WO2006005576A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112328207B (zh) * 2020-11-30 2022-08-12 中国石油大学(华东) 一种基于单片机随机源工作参数的真随机数产生器及产生方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6477150B1 (en) * 2000-03-03 2002-11-05 Qualcomm, Inc. System and method for providing group communication services in an existing communication system
US6728356B1 (en) * 2000-04-14 2004-04-27 Lucent Technologies Inc. Method and apparatus for providing telephony services by switch-based processing of media streams
US6937563B2 (en) * 2001-03-08 2005-08-30 Nortel Networks Limited Homing and controlling IP telephones
US7272650B2 (en) * 2001-04-17 2007-09-18 Intel Corporation Communication protocols operable through network address translation (NAT) type devices
US6985479B2 (en) * 2002-03-04 2006-01-10 Qualcomm Incorporated Method and apparatus for processing internet protocol transmissions
JP3761512B2 (ja) * 2002-11-29 2006-03-29 Necインフロンティア株式会社 Ipネットワークにおける音声データ送受信自動選択システム及び方法並びにip端末
US7360243B2 (en) * 2003-10-02 2008-04-15 Adria Comm Llc Standard based firewall adapter for communication systems and method
US20050132060A1 (en) * 2003-12-15 2005-06-16 Richard Mo Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks
JP2006343943A (ja) * 2005-06-08 2006-12-21 Murata Mach Ltd ファイルサーバ装置及び通信管理サーバ装置

Also Published As

Publication number Publication date
EP1617616B1 (de) 2008-04-23
DE602004013301D1 (de) 2008-06-05
EP1617616A1 (de) 2006-01-18
KR20070034629A (ko) 2007-03-28
CN1985494A (zh) 2007-06-20
ATE393531T1 (de) 2008-05-15
CN1985494B (zh) 2011-10-12
KR101126843B1 (ko) 2012-03-23
WO2006005576A1 (en) 2006-01-19
US20070280101A1 (en) 2007-12-06

Similar Documents

Publication Publication Date Title
DE60124643T2 (de) Paketenübertragungsmodel mit einem mobilen Knoten und mit einem Router zur Verhinderung von Angriffen basiert auf einer globalen Adresse
DE60317332T2 (de) Verfahren zum einrichten einer sicherheitsassoziation
DE60116736T2 (de) System und verfahren zur benutzung einer ip-addresse als identifizierung eines drahtlosen endgerätes
DE60202527T2 (de) Verfahren und system zur behandlung von mehrfachanmeldungen
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE602004004165T2 (de) Daten-sharing in einem multimedia-kommunikationssystem
DE60013588T2 (de) Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten
DE60223264T2 (de) System und verfahren zur adressierung eines mobilen gerätes in einem ip-basierten drahtlosen netzwerk
DE60035183T2 (de) System und verfahren zur entdeckung von mitteln unter verwendung von mehrfachübertragungsumfang
EP1994677B1 (de) Verfahren zur übertragung der identität einer multicast-nachricht, verfahren und vorrichtung zur übertragung einer multicast-nachricht sowie vorrichtung zum empfangen einer multicast-nachricht
DE69931344T2 (de) Nachrichtenverarbeitungsverfahren und system in einem telekommunikationssystem
DE10297253T5 (de) Adressiermechanismus in Mobile-IP
DE60213484T2 (de) Kommunikationssystem
DE102005020098A1 (de) Systeme und Verfahren zum Sammeln und Ausgeben von Teilnehmeridentifizierungsdaten
DE60304100T2 (de) Erzwingung eines Zeitpunktes zur Trennung einer Kommmunikationsverbindung mit schnurlosen Endgeräten mit transienten Netzwerkadressen
DE102014000763B4 (de) Kommunikationssystem und Kommunikationsverfahren
EP1555786A1 (de) Verfahren zum Aufbauen einer Datenverbindung zwischen einem ersten und einem zweiten mobilen Kommunikationsendgerät
DE10316236B4 (de) Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz
DE602004013301T2 (de) 'Denial-of-Service' Schutz
DE60127871T2 (de) Einrichtung, verfahren und system für verbessertes routing bei der mobil-ip-vernetzung
DE10393016B4 (de) Verfahren zur automatischen Netzwerkintegration
EP1916817B1 (de) Rufweiterleitung für eine VoIP-Telefonverbindung bei der ein Umleitungsserver in einem Sicherheitsmodul implementiert ist
EP1266493A1 (de) Verfahren und anordnung zum übertragen eines datenpakets von einer ersten vermittlungseinheit an eine zweite vermittlungseinheit in einem datennetz
DE102013105633B4 (de) Kommunikationsvorrichtungen und verfahren zum betreiben einer kommunikationsvorrichtung
EP3059926B1 (de) Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition