DE69733685T2 - Verfahren und System zur gesicherten Datenübertragung - Google Patents

Verfahren und System zur gesicherten Datenübertragung Download PDF

Info

Publication number
DE69733685T2
DE69733685T2 DE69733685T DE69733685T DE69733685T2 DE 69733685 T2 DE69733685 T2 DE 69733685T2 DE 69733685 T DE69733685 T DE 69733685T DE 69733685 T DE69733685 T DE 69733685T DE 69733685 T2 DE69733685 T2 DE 69733685T2
Authority
DE
Germany
Prior art keywords
data
secure
channel
general
remote
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69733685T
Other languages
English (en)
Other versions
DE69733685D1 (de
Inventor
Ove Grunner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of DE69733685D1 publication Critical patent/DE69733685D1/de
Publication of DE69733685T2 publication Critical patent/DE69733685T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0435Details
    • H04Q11/0457Connection protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13174Data transmission, file transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13176Common channel signaling, CCS7
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13204Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13209ISDN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13298Local loop systems, access network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13339Ciphering, encryption, security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13389LAN, internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13395Permanent channel, leased line

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

  • EINFÜHRUNG
  • Gebiet der Erfindung
  • Die Erfindung bezieht sich auf Kommunikation von Daten zwischen Datenverarbeitungssystemen, worin sichere Daten zwischen den Systemen über einen sicheren Kanal übertragen werden. Der Begriff "sichere Daten" bedeutet Daten, die vertraulich sind, sodass der Benutzer wünscht sicherzustellen, dass sie den maximalen Schutz vor nicht-autorisiertem Zugriff haben.
  • Erörterung des Standes der Technik
  • Es ist für sichere Daten, wie etwa Kreditkartennummern, ziemlich üblich, über Telefonsprachkanäle, über Faxübertragungen oder unter Verwendung von DTMF-Tönen mit einem Telefon übertragen zu werden. Auf eine begrenzte Weise kann derartige Kommunikation ziemlich effektiv sein. Z.B. gibt es eine wachsende Verwendung von DTMF-Interaktion für automatisches 24-Stunden-Online-Banking. Dieser Typ von Kommunikation wird als ziemlich sicher betrachtet.
  • Derartige Kommunikation ist jedoch ziemlich begrenzt und kann den Bereich von Diensten und Flexibilität nicht vorsehen, was durch Systeme vorgesehen werden kann, wie etwa PCs, die mit einem Hostsystem verbunden sind. Ein Beispiel ist eine Verbindung mit einem Internet-Dienstanbieter.
  • Es ist auch bekannt, sichere Daten in einem Rundrufsystem zu übertragen, wie in GB 2154108 (Communications Patents Limited) beschrieben wird. In dieser Spezifikation wird eine Anordnung beschrieben, wodurch ein Teilnehmer einen sicheren Kanal auswählt, der der Übertragung von verschlüsselten Daten gewidmet ist, und sein oder ihr Endgerät zeitweilig mit dem sicheren Kanal verbunden ist. Der Kanal wird für Kommunikation (Übermittlung) von Chiffrierschlüsseln verwendet. Das System inkludiert einen Kanalselektor, einen Signalgenerator des sicheren Kanals und einen Auswahldetektor des sicheren Kanals in dem Kopfende. Das Benutzerende inkludiert einen Empfänger, eine Kanalselektor-Steuervorrichtung, eine Dechiffriereinrichtung, einen Algorithmusspeicher und eine Chiffriereinrichtung. Dieses System involviert viel Signalisierung, um Kommunikation herzustellen und erfordert spezielle Hardware. Ferner erscheint es nicht, dass es die notwendige Vielseitigkeit vorsehen würde, die für allgemeine Kommunikation erforderlich ist, worin ein großer Abschnitt der Daten, die zu übermitteln sind, nicht notwendigerweise sichere Daten sind.
  • Die europäische Patentanmeldung Nr. 0511420 A1 "Alcatel STK AS" offenbart ein Kommunikationsnetz, das für sichere Übertragung von Sprache und Daten gedacht ist. Sie bezieht sich insbesondere auf ein Netz, inkludierend unterschiedliche Typen von Teilnehmerendgeräten und Vermittlungsmodulen, wo sich Teilnehmerleitungen zu jedem Teilnehmerendgerät mit einem Vermittlungsmodul verbinden und sich Übertragungsverknüpfungen jedes Vermittlungsmoduls mit anderen Vermittlungsmodulen in dem Netz verbinden und wo das Netz ferner eine Krypto-Einrichtung umfasst, um Verschlüsselung/Entschlüsselung der Information vorzunehmen, die durch das Netz übertragen wird. Diese Erfindung lehrt ein System zum Entscheiden, ob ein Kommunikationsendgerät zu verschlüsseln/zu entschlüsseln ist oder ein Datenpaket (Nachricht) zu schützen ist, je nach Er fordernis. Ein Problem bei dieser europäischen Patentanmeldung besteht jedoch darin, dass sie Mittel zum Weiterleiten von sicheren Daten und allgemeinen Daten über die eine Verbindung nicht offenbart. Ferner offenbart diese europäische Patentanmeldung nicht, dass sichere Daten und allgemeine Daten gleichzeitig über die eine Verbindung gesendet werden können.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die Erfindung sieht ein Datenkommunikationsverfahren (Datenübermittlungsverfahren) vor, das durch zueinander entfernt liegende Datenverarbeitungssysteme ausgeführt wird, wobei jedes System ein Übertragungssystem und ein Empfangssystem hat, das Verfahren die Schritte umfassend:
    Identifizieren einer Kategorie von Daten als entweder sicher oder allgemein in dem Übertragungssystem eines ersten entfernten Datenverarbeitungssystems;
    Übertragen von sicheren Daten von dem Übertragungssystem des ersten entfernten Datenverarbeitungssystems zu dem Empfangssystem eines zweiten entfernten Datenverarbeitungssystems durch einen sicheren Kanal;
    gekennzeichnet dadurch, dass das Verfahren ferner die Schritte umfasst:
    Übertragen von dem Übertragungssystem des ersten entfernten Datenverarbeitungssystems der allgemeinen Daten über einen allgemeinen Kanal, der mindestens teilweise von dem sicheren Kanal physisch getrennt ist;
    Empfangen in dem Empfangssystem des zweiten entfernten Datenverarbeitungssystems sowohl der sicheren als auch der allgemeinen Daten über die sicheren und allgemeinen Kanäle und Vereinigen der sicheren und allgemeinen Daten.
  • Somit sieht die Erfindung ein großes Maß an Flexibilität vor, da das eine System sowohl sichere Daten als auch allgemeine Daten handhabt und beide Typen gleichzeitig übertragen kann. Dies erlaubt auch eine schnelle Reaktion, da es keine seriellen Kommunikationsverzögerungen gibt. Die Erfindung erlaubt somit z.B. einem PC, mit einem entfernten System, wie etwa einem Dienstanbieter, unter Verwendung eines Internet-Zu-gangsprogramms zu kommunizieren, um die umfassenden und flexiblen Dienste zu erreichen, die auf diese Art und Weise bereitgestellt werden können, während auch sichergestellt wird, dass sichere Daten über einen sicheren Pfad übertragen werden. Die Rollen von den Empfangs- und Übersetzungssystemen können jederzeit umgekehrt werden, inkludierend während einer einzelnen Kommunikationssitzung. Dies erlaubt bidirektionale sichere Datenkommunikation.
  • In einer Ausführungsform umfasst das Übertragungssystem Mittel zum automatischen Identifizieren einer Datenkategorie.
  • In einer Ausführungsform erkennt das Übertragungssystem automatisch die Kategorie der Daten gemäß Programmen, die anfangs von dem Empfangssystem empfangen werden.
  • Vorzugsweise ist der sichere Kanal ein Signalisierungskanal, der in den Terminierungspunkten mit dem allgemeinen Kanal in Verbindung steht.
  • In einer Ausführungsform hat der sichere Kanal eine geringere Bandbreite als der allgemeine Kanal.
  • In einer anderen Ausführungsform umfasst das Verfahren den weiteren Schritt des Empfangssystems, der eine sichere Kanaladresse zu dem Übertragungssystem z.B. über den allgemeinen Kanal überträgt.
  • In einer Ausführungsform werden sowohl die sicheren als auch die allgemeinen Daten durch eine Vermittlung empfangen, die mit dem Übertragungssystem verbunden ist, und die Vermittlung leitet sichere Daten über eine Telekommunikationsverknüpfung zu dem Empfangssystem weiter.
  • In einer Ausführungsform leitet die Vermittlung die sicheren Daten zu dem Empfangssystem über eine Managementfunktion weiter.
  • In einer Ausführungsform leitet die Vermittlung die sicheren Daten zu der Managementfunktion über eine gemietete Leitung weiter.
  • In einer anderen Ausführungsform leitet die Managementfunktion die sicheren Daten zu einem System über eine gemietete Leitung weiter.
  • Vorzugsweise umfasst die Managementfunktion eine Matrix, die Ferndatenverarbeitungssystemadressen, die durch die Systeme verwendet werden, mit Adressen für ein Protokoll zwischen der Vermittlung und den Systemen korreliert.
  • In einer Ausführungsform umfasst der sichere Kanal den D-Kanal einer ISDN-Verbindung, und der allgemeine Kanal umfasst den B-Kanal der ISDN-Verbindung.
  • Gemäß einem anderen Aspekt sieht die Erfindung ein Datenkommunikationsverfahren vor, das durch ein Benutzersystem und ein entferntes Hostsystem ausgeführt wird, das Verfahren die Schritte umfassend:
    Identifizieren von Daten in dem Benutzersystem als entweder sicher oder allgemein;
    Übertragen von sicheren Daten von dem Benutzersystem zu dem entfernten System über einen sicheren Kanal, wobei der sichere Kanal einen D-Kanal einer ISDN-Verbindung inkludiert;
    gekennzeichnet dadurch, dass das Verfahren ferner die Schritte umfasst:
    Übertragen der allgemeinen Daten von dem Benutzersystem über einen ISDN-B-Kanal;
    Weiterleiten der sicheren Daten über eine Telekommunikationsverknüpfung, die von dem ISDN-B-Kanal physisch getrennt ist, durch eine digitale Vermittlung von dem Benutzersystem zu dem entfernten Hostsystem;
    Weiterleiten der allgemeinen Daten über einen nicht-sicheren Pfad durch die digitale Vermittlung von dem Benutzersystem zu dem entfernten Hostsystem, wobei die allgemeinen Daten und die sicheren Daten gleichzeitig übertragen werden können, und wobei das entfernte Hostsystem sowohl die sicheren Daten als auch die allgemeinen Daten empfangen und die sicheren Daten und die allgemeinen Daten vereinigen kann.
  • In einer Ausführungsform leitet eine digitale Vermittlung die sicheren Daten über eine Managementfunktion zu dem Hostsystem weiter.
  • In einer Ausführungsform umfasst die Managementfunktion eine Adressierungsmatrix, um Kommunikation mit einer großen Zahl von Hostsystemen durch Vorsehen einer Adresse für eines der entfernten Hostsysteme zu ermöglichen, wenn durch das Benutzersystem angefordert.
  • Die Erfindung sieht auch ein Datenverarbeitungssystem vor, umfassend Mittel zum Übertragen von sicheren Daten zu einem entfernten Datenverarbeitungssystem über einen sicheren Kanal, gekennzeichnet dadurch, dass ein Datenverarbeitungssystem ferner Mittel umfasst zum:
    Identifizieren einer Kategorie von Daten als entweder sicher oder allgemein, und
    Übertragen der allgemeinen Daten über einen allgemeinen Kanal, der mindestens teilweise von dem sicheren Kanal physisch getrennt ist.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Die Erfindung wird aus der folgenden Beschreibung von einigen ihrer Ausführungsformen klarer verstanden, die nur als ein Beispiel gegeben werden, mit Bezug auf die begleitenden Zeichnungen, in denen:
  • 1 ein schematischer Überblick ist, der ein Benutzersystem und ein entferntes Hostsystem und die Art und Weise, auf der sie miteinander kommunizieren, veranschaulicht;
  • 2 ein Diagramm ist, das die Art und Weise veranschaulicht, auf der eine große Zahl von Benutzersystemen mit einer Zahl von entfernten Hostsystemen kommunizieren können; und
  • 3 ein Diagramm ist, das eine Operation eines Benutzersystems von 1 veranschaulicht.
  • Bezug nehmend auf 1 und 2 wird ein Datenverarbeitungs- und Kommunikationssystem 1 gezeigt. Das System 1 umfasst eine Zahl von Benutzersystemen 2, und eine Zahl von entfernten Hostsystemen, in dieser Ausführungsform Internet-Dienstanbieter 3. Das System kann jedoch alternativ nur zwei Datenverarbeitungssysteme umfassen, die miteinander kommunizieren.
  • Jedes Benutzersystem 2 umfasst einen Datenprozessor 5, der ein konventioneller Mikrocomputer-Datenprozessor ist, und eine Teilnehmer-Kommunikationsschaltung 6, die in dieser Ausführungsform eine digitale ISDN-Schaltung ist. Der Datenprozessor ist programmiert, allgemein Kommunikation für derartige Dinge zu ermöglichen, wie etwa Bezahlung von Rechnungen und Online-Banking.
  • Diese Programme identifizieren Daten als entweder sicher oder allgemein. Sichere Daten werden in dem D-Kanal einer ISDN-Leitung 7 übertragen, und allgemeine Daten in dem konventionellen B-Kanal. Die ISDN-Leitung 7 verbindet die Schaltung 6 mit einer digitalen Vermittlung 8. Die Vermittlung 8 ist vollständig konventionell und leitet die Daten, die in dem D-Kanal übertragen werden, getrennt von den B-Kanaldaten weiter. Somit werden allgemeine Daten auf eine konventionelle Art und Weise über den B-Kanal der ISDN-Leitung 7 und das Internet übertragen. Sichere Daten werden jedoch in einem sicheren Pfad übertragen, umfassend den D-Kanal der ISDN-Leitung 7 und ein Telekommunikationsnetz, das die Vermittlung 8 und den Dienstanbieter 3 verknüpft. Eine Telekommunikationsnetzverknüpfung ist viel sicherer als eine Internet-Verknüpfung.
  • Bezug nehmend außerdem auf 3 wird ein Kommunikationsverfahren, das durch das System 1 ausgeführt wird, in Form eines Flussdiagramms beschrieben. In einem Schritt 31 empfängt der Datenprozessor 5 Programme von dem Dienstanbieter 3 über die ISDN-Schaltung 6. In Schritt 32 empfängt der Datenprozessor auch eine Telekommunikationsadresse des Dienstanbieters zum Senden von sicheren Daten über den sicheren Pfad. Alternativ kann die Adresse zu dem Benutzersystem durch den Benutzer nach Übermittlung durch einen Brief oder Telefon, wie etwa auf Registration für einen Dienst hin, eingegeben werden. Zusätzlich zu der gewöhnlichen Internet-Kommunikationsadresse, die verwendet wird, hat der Teilnehmer-Datenprozessor 5 somit auch eine Telekommunikationsadresse, die für sichere Datenkommunikation verwendet werden kann.
  • In Schritt 33 empfängt der Datenprozessor 5 Benutzereingaben und verarbeitet die Daten unter Verwendung der Programme, die von dem Dienstanbieter 3 empfangen wurden. Diese Eingaben können sich z.B. auf Online-Einkauf von Waren beziehen. In diesem Beispiel können finanzielle Abrechnungsdaten als sicher betrachtet werden. In Schritt 34 identifiziert der Datenprozessor 5 sichere Datenfelder innerhalb der Daten. Dies kann z.B. unter Verwendung von Vorlagen erreicht werden, die von dem Dienstanbieter empfangen werden, wobei die Vorlagen bestimmte Felder für sichere Daten anzeigen, und der Rest für allgemeine Daten verbleibt. Alternativ kann der Benutzer die sicheren Daten durch Eingeben eines Flags anzeigen, wenn die Daten eingegeben werden. Der wichtige Punkt besteht darin, dass der Datenprozessor 5 eine Kategorie der Daten als entweder sicher oder allgemein erkennt.
  • Der Datenprozessor 5 lenkt die Operation der ISDN-Schaltung 6, ein Hochladen von Daten zu dem Dienstanbieter 3 zu übertragen, worin die sicheren Daten in dem ISDN-D-Kanal in Schritt 35 übertragen werden und die allgemeinen Daten unter Verwendung des ISDN-B-Kanals in Schritt 36 übertragen werden. Der D-Kanal ist ein Signalisierungskanal geringer Bandbreite, der für derartige Dinge verwendet wird, wie etwa Rufeinrichtung und Rufterminierung. Es gibt jedoch ausreichend Band breite innerhalb dieses Kanals, um sichere Daten zu inkludieren, wie etwa empfindliche finanzielle oder Chiffrierschlüsseldaten.
  • In Schritt 37 fängt die Rahmenhandhabungseinrichtung innerhalb der digitalen Vermittlung 5 die sicheren Daten in dem D-Kanal ab.
  • Die allgemeinen Daten werden in Schritt 38 auf die konventionelle Art und Weise zu dem Internet 12 weitergeleitet. Die Verbindung zwischen der Vermittlung 8 und dem ersten Knoten in dem Internet 12 kann eine Einwahlverbindung sein. Die endgültige Verbindung zwischen dem Internet 12 und dem Dienstanbieter 3 kann eine gemietete Leitung 13 sein. Während diese ersten und endgültigen Verknüpfungen ziemlich sicher sind, ist allgemein anerkannt, dass Daten, die über Knoten des Internet 12 übertragen werden, offener sind als Daten, die über Telekommunikationsnetzverknüpfungen übertragen werden. Dies ist jedoch kein Problem, da die Daten nicht empfindlich sind.
  • Die Rahmenhandhabungseinrichtung der digitalen Vermittlung 8 leitet die sicheren Daten in Schritt 39 zu dem Dienstanbieter 3 in einer Telekommunikationsverknüpfungen 20 weiter. Dies ist ein vollständig anderer und physisch getrennter Pfad.
  • Bezug nehmend insbesondere auf 2 wird die Art und Weise detaillierter beschrieben, mit der dies erreicht wird. In dieser Ausführungsform inkludiert die Telekommunikationsverknüpfung eine Managementfunktion 21. Die Managementfunktion 21 verwendet eine Kombination der sendenden Identität und eines Endgeräteendpunktidentifikator- (TEI) Wertes zwischen 0 und 63. Die Managementfunktion 21 hat eine Matrix, die das endgültige Ziel einer unbegrenzten Zahl von Dienstanbietern 3 auswählt und sie zu dem Ziel über eine gemietete Leitung überträgt.
  • Es wird erkannt, dass die Verknüpfung zwischen der Vermittlung 8 und dem Dienstanbieter 3 für die sicheren Daten vollständig anders als für die allgemeinen Daten ist. Die Telekommunikationsadresse, die anfangs zu dem Benutzersystem übertragen wird, wird für eine Identifikation des korrekten Dienstanbieters in der Managementfunktionsmatrix verwendet. Dieser Pfad wird unabhängig von dem allgemeinen Datenpfad gesteuert – ein Aspekt, der für sichere Kommunikation sehr wichtig ist.
  • In Schritt 40 von 3 vereinigt der Dienstanbieter 3 die sicheren und allgemeinen Daten, um die notwendige Transaktionsverarbeitung abzuschließen.
  • In einer anderen Ausführungsform erkennt die Vermittlungsrahmenhandhabungseinrichtung einen Dienstzugangspunktidentifikator (SAPI, Service Access Point Identificator) eines bestimmten Wertes, ein Signal zu sein, um die Daten zu der Managementfunktion 21 weiterzuleiten. Auf diese Weise könnte die Operation der Rahmenhandhabungseinrichtung mit einer allgemeineren Paketvermittlungsanordnung integriert sein, wodurch der SAPI-Wert bestimmen kann, ob die Managementfunktion 21 verwendet werden sollte oder allgemeine Paketvermittlungsnetze, wie etwa das X.25-Netz, verwendet werden sollten. Es gibt viele Möglichkeiten, wobei der wichtigsten Punkt ist, dass da die sicheren Daten in einem anderen Kanal sind, wenn sie in der Vermittlung empfangen werden, sie anders gehandhabt und über eine alternative und physisch getrennte Verknüpfung zu dem Zieldienstanbieter weitergeleitet werden können. Dies wird einfach erreicht, da die sicheren Daten identifiziert und in dem D-Kanal übertragen werden. Es ist keine Modifikation der Vermittlung erforderlich.
  • Während die Erfindung für eine Verwendung zwischen einem Benutzersystem und einem Dienstanbieter beschrieben wurde, wird vorausgesehen, dass sie allgemeiner zwischen beliebigen zwei Systemen verwendet werden kann, die Daten verarbeiten und sichere Daten untereinander kommunizieren müssen. Ein Beispiel ist Rundruf von allgemeinen Daten und Übertragung von sicheren Daten parallel in einer Telekommunikationsverknüpfung. Derartige sichere Daten können Codes oder Schlüssel zum Dekodieren von Rundrufsignalen inkludieren.
  • Der sichere Kanal kann auf eine bidirektionale Art und Weise umfassender verwendet werden.
  • Es wird auch vorausgesehen, dass sichere und allgemeine Datenpfade anders als die ISDN-D- und B-Kanäle verwendet werden können. Z.B. können die sicheren Daten über eine Einwahl- oder gemietete Leitung getrennt von allgemeinen Daten übertragen werden, die über das Internet übertragen werden.
  • Die Erfindung ist nicht auf die beschriebene Ausführungsform begrenzt, sondern kann innerhalb des Bereichs der Ansprüche in Aufbau und Detail variiert werden.

Claims (15)

  1. Datenübermittlungsverfahren (1), ausgeführt von zueinander ortsfernen Datenverarbeitungssystemen, wobei jedes System ein Sendesystem (2) und ein Empfangssystem (3) hat, wobei das Verfahren die folgenden Schritte umfasst: Identifizieren (34) einer Kategorie von Daten als sicher oder allgemein in dem Sendesystem (2) eines ersten Ferndatenverarbeitungssystems, Senden (35) von sicheren Daten vom Sendesystem (2) des ersten Ferndatenverarbeitungssystems zum Empfangssystem (3) eines zweiten Ferndatenverarbeitungssystems über einen sicheren Kanal; Senden (36) der allgemeinen Daten vom Sendesystem (2) des ersten Ferndatenverarbeitungssystems über einen allgemeinen Kanal, der von dem sicheren Kanal wenigstens teilweise physisch getrennt ist; Empfangen (38, 39) sowohl der sicheren als auch der allgemeinen Daten am Empfangssystem (3) des zweiten Ferndatenverarbeitungssystems über den sicheren und den allgemeinen Kanal; und Zusammenführen (40) der sicheren und der allgemeinen Daten.
  2. Verfahren nach Anspruch 1, bei dem das Sendesystem (2) Mittel (5) zum automatischen Identifizieren der Datenkategorie umfasst.
  3. Verfahren nach Anspruch 2, bei dem das Sendesystem (2) automatisch die Kategorie der Daten anhand von Programmen erkennt, die anfänglich von dem Empfangssystem empfangen (33) wurden.
  4. Verfahren nach einem der vorherigen Ansprüche, wobei der sichere Kanal ein Signalgabekanal ist, der an den Endpunkten mit dem allgemeinen Kanal assoziiert ist.
  5. Verfahren nach Anspruch 4, bei dem der sichere Kanal eine geringere Bandbreite hat als der allgemeine Kanal.
  6. Verfahren nach einem der vorherigen Ansprüche, umfassend den weiteren Schritt, dass das Empfangssystem (3) eine sichere Kanaladresse zum Sendesystem sendet (32).
  7. Verfahren nach einem der vorherigen Ansprüche, wobei sowohl die sicheren als auch die allgemeinen Daten von einer mit dem Sendesystem (2) verbundenen Vermittlung (8) empfangen werden und die Vermittlung sichere Daten über eine Telekommunikationsverbindung (20) zum Empfangssystem (3) leitet.
  8. Verfahren nach Anspruch 7, bei dem die Vermittlung (8) die sicheren Daten über eine Managementfunktion (21) zum Empfangssystem (3) leitet.
  9. Verfahren nach Anspruch 8, bei dem die Vermittlung (8) die sicheren Daten über eine Mietleitung (11) zur Managementfunktion (21) leitet.
  10. Verfahren nach Anspruch 8 oder 9, bei dem die Managementfunktion (21) die sicheren Daten über eine Mietleitung (11) zu einem System leitet.
  11. Verfahren nach einem der Ansprüche 8 bis 10, bei dem die Managementfunktion (21) eine Matrix umfasst, die von den genannten Systemen (2, 3) verwendete Datenverarbeitungssystemadressen mit Adressen für ein Protokoll zwischen der Vermittlung und den genannten Systemen (2, 3) korreliert.
  12. Verfahren nach einem der vorherigen Ansprüche, bei dem der sichere Kanal den D-Kanal einer ISDN-Verbindung (7) und der allgemeine Kanal den B-Kanal der ISDN-Verbindung (7) umfasst.
  13. Datenübermittlungsverfahren, das von einem Anwendersystem (2) und einem Fernhostsystem (3) ausgeführt wird, wobei das Verfahren die folgenden Schritte umfasst: Identifizieren (34) von Daten im Anwendersystem (2) als sicher oder allgemein; Senden (35) von sicheren Daten vom Anwendersystem (2) zum Fernsystem (3) über einen sicheren Kanal, wobei der sichere Kanal einen D-Kanal einer ISDN-Vebindung (7) beinhaltet; Senden (36) der allgemeinen Daten vom Anwendersystem (2) über einen ISDN-B-Kanal; Leiten (39) der sicheren Daten über eine Telekommunikationsverbindung, die vom ISDN-B-Kanal physisch getrennt ist, mit einer digitalen Vermittlung (8) vom Anwendersystem (2) zum Fernhostsystem (3); und Leiten (38) der allgemeinen Daten mit der digitalen Vermittlung (8) über einen unsicheren Pfad vom Anwendersystem (2) zum Fernhostsystem (3), wobei die allgemeinen Daten und die sicheren Daten gleichzeitig gesendet werden können und wobei das Ferhostsystem (3) sowohl die sicheren Daten als auch die allgemeinen Daten empfangen und die sicheren Daten und die allgemeinen Daten zusammenführen kann (40).
  14. Verfahren nach Anspruch 13, wobei eine digitale Vermittlung (8) die sicheren Daten über eine Managementfunktion (21) zum Hostsystem leitet.
  15. Verfahren nach Anspruch 14, wobei die Managementfunktion (21) eine Adressiermatrix umfasst, um eine Übermittlung mit einer großen Zahl von Fernhostsystemen (3) zuzulassen, indem auf Anforderung vom Anwendersystem (2) eine Adresse für eines der Fernhostsysteme bereitgestellt wird.
DE69733685T 1997-04-01 1997-04-01 Verfahren und System zur gesicherten Datenübertragung Expired - Lifetime DE69733685T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP97650011A EP0869651B1 (de) 1997-04-01 1997-04-01 Verfahren und System zur gesicherten Datenübertragung

Publications (2)

Publication Number Publication Date
DE69733685D1 DE69733685D1 (de) 2005-08-11
DE69733685T2 true DE69733685T2 (de) 2006-05-18

Family

ID=8230115

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69733685T Expired - Lifetime DE69733685T2 (de) 1997-04-01 1997-04-01 Verfahren und System zur gesicherten Datenübertragung

Country Status (9)

Country Link
US (1) US6199165B1 (de)
EP (1) EP0869651B1 (de)
JP (1) JP3877782B2 (de)
AT (1) ATE299326T1 (de)
AU (1) AU744273B2 (de)
CA (1) CA2285399C (de)
DE (1) DE69733685T2 (de)
NO (1) NO994221L (de)
WO (1) WO1998044693A1 (de)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU1743500A (en) * 1998-11-24 2000-06-13 Hughes Electronics Corporation Improved in-call dtmf transport for geostationary mobile satellite communicationsystem
DE19855988B4 (de) * 1998-12-04 2007-12-27 Deutsche Telekom Ag Kostengünstiger Online-Zugang
US7904951B1 (en) 1999-03-16 2011-03-08 Novell, Inc. Techniques for securely accelerating external domains locally
US8060926B1 (en) 1999-03-16 2011-11-15 Novell, Inc. Techniques for securely managing and accelerating data delivery
GB0006213D0 (en) * 2000-03-15 2000-05-03 Dell Christopher Data transmission management system
BG63887B1 (bg) * 1999-10-18 2003-04-30 Ивайло ПОПОВ Метод и устройство за създаване на сигурен канал за връзка, идентификация и извършване на разплащания
US6882649B1 (en) 2000-03-31 2005-04-19 Sun Microsystems, Inc. Least choice first arbiter
US7061929B1 (en) 2000-03-31 2006-06-13 Sun Microsystems, Inc. Data network with independent transmission channels
US7065580B1 (en) 2000-03-31 2006-06-20 Sun Microsystems, Inc. Method and apparatus for a pipelined network
US6975626B1 (en) 2000-03-31 2005-12-13 Sun Microsystems, Inc. Switched network for low latency communication
US7020161B1 (en) 2000-03-31 2006-03-28 Sun Microsystems, Inc. Prescheduling arbitrated resources
WO2002006948A1 (en) * 2000-07-13 2002-01-24 Digineer, Inc. Method for protecting the privacy, security, and integrity of sensitive data
US20060031456A1 (en) * 2000-07-31 2006-02-09 Marcos Della Method and apparatus for transmitting data between devices in a web networking environment
US6745231B1 (en) * 2000-08-08 2004-06-01 International Business Machines Corporation System for securing electronic mail
DE10054941A1 (de) * 2000-11-06 2002-05-29 Siemens Ag Verfahren zur sicheren Datenübertrgung zwischen zwei Endgeräten und Vorrichtung zur Durchführung dieses Verfahrens
EP1284568A1 (de) * 2001-08-17 2003-02-19 Siemens Aktiengesellschaft Verfahren und Datenverarbeitungsvorrichtung zum Übertragen von Daten über verschiedene Schittstellen
US7865446B2 (en) * 2001-12-11 2011-01-04 International Businesss Machines Corporation Method for secure electronic commercial transaction on-line processing
US20030149869A1 (en) * 2002-02-01 2003-08-07 Paul Gleichauf Method and system for securely storing and trasmitting data by applying a one-time pad
US7352741B2 (en) 2002-02-21 2008-04-01 Sun Microsystems, Inc. Method and apparatus for speculative arbitration
US20030174841A1 (en) * 2002-03-15 2003-09-18 Novell Inc. Methods, systems, and data structures for secure data content presentation
EP1475755A1 (de) * 2003-05-05 2004-11-10 Openlot Systems B.V. Lotteriesystem mit mobilem Zugang
US7310730B1 (en) 2003-05-27 2007-12-18 Cisco Technology, Inc. Method and apparatus for communicating an encrypted broadcast to virtual private network receivers
US7684754B2 (en) 2003-06-03 2010-03-23 Microsoft Corporation Capacitive bonding of devices
US7822983B2 (en) 2003-08-21 2010-10-26 Microsoft Corporation Physical device bonding
US8065720B1 (en) 2004-01-06 2011-11-22 Novell, Inc. Techniques for managing secure communications
US7636841B2 (en) * 2004-07-26 2009-12-22 Intercall, Inc. Systems and methods for secure data exchange in a distributed collaborative application
US20060153384A1 (en) * 2004-12-30 2006-07-13 Microsoft Corporation Extensible architecture for untrusted medium device configuration via trusted medium
EP1691521B1 (de) * 2005-02-09 2013-12-25 Deutsche Post AG Datenübertragungssystem, Benachrichtigungskomponente und Verfahren zum Übertragen von Daten
US7657255B2 (en) 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
US8213602B2 (en) * 2006-11-27 2012-07-03 Broadcom Corporation Method and system for encrypting and decrypting a transport stream using multiple algorithms
US8281369B2 (en) 2008-03-12 2012-10-02 Avaya Inc. Method and apparatus for creating secure write-enabled web pages that are associated with active telephone calls
US9525710B2 (en) 2009-01-29 2016-12-20 Avaya Gmbh & Co., Kg Seamless switch over from centralized to decentralized media streaming
US8879464B2 (en) 2009-01-29 2014-11-04 Avaya Inc. System and method for providing a replacement packet
US8238335B2 (en) 2009-02-13 2012-08-07 Avaya Inc. Multi-route transmission of packets within a network
US7936746B2 (en) 2009-03-18 2011-05-03 Avaya Inc. Multimedia communication session coordination across heterogeneous transport networks
US8094556B2 (en) 2009-04-27 2012-01-10 Avaya Inc. Dynamic buffering and synchronization of related media streams in packet networks
US8553849B2 (en) 2009-06-17 2013-10-08 Avaya Inc. Personal identification and interactive device for internet-based text and video communication services
US8914631B2 (en) 2009-07-01 2014-12-16 Oracle International Corporation Performing secure and non-secure communication over the same socket
US8683484B2 (en) * 2009-07-23 2014-03-25 Novell, Inc. Intelligently pre-placing data for local consumption by workloads in a virtual computing environment
US8800049B2 (en) 2009-08-26 2014-08-05 Avaya Inc. Licensing and certificate distribution via secondary or divided signaling communication pathway
US9813384B2 (en) * 2012-10-31 2017-11-07 The Boeing Company Time-locked network and nodes for exchanging secure data packets
US20140258511A1 (en) * 2013-03-11 2014-09-11 Bluebox Security Inc. Methods and Apparatus for Reestablishing Secure Network Communications
US10153966B1 (en) * 2015-03-12 2018-12-11 Alarm.Com Incorporated Hybrid mesh network monitoring signaling environment

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2154108B (en) 1984-02-07 1987-06-03 Communications Patents Ltd Broadcasting system
US4802220A (en) * 1985-03-20 1989-01-31 American Telephone And Telegraph Company, At&T Bell Laboratories Method and apparatus for multi-channel communication security
NO173418C (no) * 1991-04-29 1993-12-08 Alcatel Stk As Kommunikasjonsnett
GB2273851A (en) * 1992-12-22 1994-06-29 Ibm Call routing in switched digital networks
DE59510279D1 (de) * 1994-03-16 2002-08-22 Siemens Ag Verfahren zur Inbetriebnahme einer unterschiedlichen Übertragungswegen zuzuordnenden Schnittstelle in einem programmgesteuerten Kommunikationssystem
US5579394A (en) * 1994-09-06 1996-11-26 Motorola, Inc. Clear channel interface module and method therefor
US5826245A (en) * 1995-03-20 1998-10-20 Sandberg-Diment; Erik Providing verification information for a transaction
US5703943A (en) * 1995-10-16 1997-12-30 Lucent Technologies, Inc. Completion of calls to a preferred agent in an automatic call distributor
US5862220A (en) * 1996-06-03 1999-01-19 Webtv Networks, Inc. Method and apparatus for using network address information to improve the performance of network transactions
US6012144A (en) * 1996-10-08 2000-01-04 Pickett; Thomas E. Transaction security method and apparatus

Also Published As

Publication number Publication date
AU6632598A (en) 1998-10-22
AU744273B2 (en) 2002-02-21
NO994221D0 (no) 1999-08-31
EP0869651B1 (de) 2005-07-06
NO994221L (no) 1999-09-30
EP0869651A1 (de) 1998-10-07
WO1998044693A1 (en) 1998-10-08
CA2285399A1 (en) 1998-10-08
DE69733685D1 (de) 2005-08-11
CA2285399C (en) 2007-05-29
ATE299326T1 (de) 2005-07-15
US6199165B1 (en) 2001-03-06
JP2001517396A (ja) 2001-10-02
JP3877782B2 (ja) 2007-02-07

Similar Documents

Publication Publication Date Title
DE69733685T2 (de) Verfahren und System zur gesicherten Datenübertragung
DE69028614T2 (de) Kommunikationsnetzwerk mit Schlüsselverteilung
DE69835102T2 (de) Verfahren und vorrichtung zur gesicherten übertragung eines datensatzes
DE69905807T2 (de) Optimale Lenkung von Anrufen über das öffentliche Telefonnetz und über Internet
DE60016840T2 (de) Verfahren zum Bestimmen des Übertragungssichheitszustandes in einem Telekommunikationsnetzwerk
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE69718258T2 (de) Verbesserte sicherheit der paketübertragung in einem mobilkommunikationssystem
DE69220141T2 (de) Geschütztes Fernmeldenetz
DE69914340T2 (de) System und verfahren zum unterhalten einer virtuellen verbindung zu einem netzknoten
EP0832542B1 (de) Verfahren und vorrichtung zur authentisierung von teilnehmern gegenüber digitalen vermittlungsstellen
EP0834238B1 (de) Verfahren und vorrichtung zur übertragung von vertraulichen verbindungsaufbau- und serviceinformationen zwischen teilnehmerseitigen endeinrichtungen und einer oder mehreren digitalen vermittlungsstellen
DE69938252T2 (de) Sicherheit in telekommunikationsnetzübergangseinrichtungen
DE60032096T2 (de) Mehrkanal- Kommunikationssteuerungssystem und -verfahren
EP1430685B1 (de) Verfahren zur übertragung von daten in einem paketorientierten datennetz
DE60004718T2 (de) Server zur Kommunikation zwischen einem Paar von Maschinen und einer dritten Maschine und privates DECT Fernsprechsystem mit einem solchen Server
EP0740439A2 (de) Verfahren, System und Teilnehmereinrichtung zum manipulationssicheren Trennen von Nachrichtenströmen
DE69834167T2 (de) Vorrichtung zur Sicherung einer Telefonverbindung zwischen zwei Teilnehmerendgeräte
DE69520110T2 (de) Kommunikationssystem
EP0639931A2 (de) Verfahren zum Austausch von Informationen zwischen ISDN-Endeinrichtungen
DE10034319A1 (de) Internettelefonsystem
DE19817494C2 (de) Netzkopplungseinheit für ein Kommunikationssystem
EP0688140A2 (de) Verfahren zur sicheren Übertragung der Rufnummer eines rufenden Teilnehmers und zur verschlüsselten Übertragung von Daten
DE10203331B4 (de) Rufweiterleitung von PBX zu externen Zielen mit Zuweisung von Serviceberechtigungen
DE19705772C2 (de) Schnittstelle zwischen einem Zubringernetz mit schnurlos und leitungsgebunden angeschlossenen Kommunikationsendgeräten und einem Kommunikationsnetz
EP1133892A2 (de) Isdn-netz mit einer hardware-plattform in vermittlungsstellen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition