EP2014075A1 - Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten - Google Patents

Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten

Info

Publication number
EP2014075A1
EP2014075A1 EP07728121A EP07728121A EP2014075A1 EP 2014075 A1 EP2014075 A1 EP 2014075A1 EP 07728121 A EP07728121 A EP 07728121A EP 07728121 A EP07728121 A EP 07728121A EP 2014075 A1 EP2014075 A1 EP 2014075A1
Authority
EP
European Patent Office
Prior art keywords
subscriber
call
time stamp
public key
positive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07728121A
Other languages
English (en)
French (fr)
Inventor
Joachim Charzinski
Maurice Uhlmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks GmbH and Co KG filed Critical Nokia Siemens Networks GmbH and Co KG
Publication of EP2014075A1 publication Critical patent/EP2014075A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Definitions

  • the subject of the application relates to a method for SPIT defense.
  • white lists are used - lists of known participants from whom calls or other calls (multimedia connections, instant messages, multimedia messages, e-mails) should always be accepted. Calls from subscribers who are not members of a called party positive list will be rejected or referred to an announcer or voice mail facility. In Applicant's series marketed under the product name Surpass hiQ, this is implemented as a "selective call acceptance (SCA)", but terminals may also include such devices, for example by signaling calls from subscribers to the positive list with a particular ringing tone.
  • SCA selective call acceptance
  • a spitter M now wants to call a subscriber B who shields himself from a positive list, he can - e.g. by looking up in a phone book or similar directory - identify suspected members of participant B's positive list and try by
  • Receiver of a call setup message can check whether a SIP INVITE message has been transmitted in the essential fields unadulterated. This procedure requires an infrastructure of CAs associated with the sender IDs. It also has to be received at every
  • INVITE message the public key of the appropriate instance are fetched so that the header fields can be checked.
  • Network elements such as Session Border Controller (SBC) or back to back user agents (B2BUA, for example the device distributed under the product name Surpass hiQ)
  • SBC Session Border Controller
  • B2BUA back to back user agents
  • the secure shell (ssh) protocol uses a fully distributed public key method with no centralized certificate stores to identify a partner computer in a connection.
  • the public key is transmitted from R 2 to R 1 and stored in this in a "known hosts" list
  • the key is then checked and the connection is only established if R2 can authenticate to Rl with the same key as the first contact
  • ssh foresees that Rl has received a "fingerprint" of R2 over a separate channel, which he checks.
  • the subject of the application is based on the problem of specifying a method which prevents an underrunning of the whitelist-based protection against unwanted calls by means of forged sender addresses.
  • the problem is solved by the features of claim 1.
  • the WL can also be maintained for outgoing calls.
  • a call setup request with a public key arrives at an end system in which another PK is stored for this identity, this is recognized as a forgery of the ID, and the call is rejected, or it is forwarded to the method for first contacts. It is additionally demanded that in each case a new time stamp TS is used in the case of a short successive connection setup request, even if this would not be necessary due to the predetermined interval (the tolerance) of B. This prevents replay attacks even in short time intervals.
  • FIG. 1 shows two networks N1 and N2 with SIP proxies SP1 and SP2 and session border controller SBC, signaling and media data traffic between subscriber terminals A and B.
  • FIG. 2 shows a subscriber terminal B with positive list WL and entries for subscriber ID, public key PK, timestamp contained therein TS (optional) and status information Z (optional),
  • FIG. 5 State transition diagram for the public key of A on the positive list (WL) of B.
  • FIG. 6 Processing of the keys for incoming and outgoing calls, FIG. 7 Subroutine After Key Call Processing (x) to FIG. 6, FIG. 8 Subroutine Process new public key to FIG 7, FIG. 9 Subroutine Process known public key to FIG. 6, FIG. 10 Subroutine Process known public key in VALIDATED State to FIG. 9 and FIG. 11 Subroutine Process known public key in VALIDATED_ID State to FIG.
  • FIG. 1 shows a scenario in which two terminals A and B communicate via two communication networks N1 and N2.
  • N1 SPl and in N2 SP2 is used as SIP proxy / SIP server, and between them a session border controller SBC filters the signaling traffic.
  • a subscriber A who wishes to establish a call to subscriber B sends in the initial call setup message (in case of SIP: INVITE) his public key PK A in a field and in a (possibly other) field a cryptotext encrypted or signed with his associated private key KT.
  • This Kryptotext KT contains a timestamp TS.
  • the call On the first call of a hitherto unknown subscriber - as with any system based on positive lists - the call is not initially signaled directly to the called party, but forwarded to a separate treatment.
  • the call can be routed to an answering machine or an announcement system, for example, or it can be signaled to the called subscriber separately (one-time ringing, separate ringing tone).
  • the terminal B stores in this first call from A the public key PK A transmitted in the call setup message and the time stamp TS_A extracted from the KT with the aid of PK A with an initial state. It is checked whether the extracted with PK A from the KT timestamp TS within a certain interval at the current time. If this is not the case, the request is rejected in any case (with SIP: 403 forbidden).
  • subscriber B may decide to record A on the WL.
  • the status information of the entry for A is changed accordingly. If participant B himself is participant A calls, the state information can be changed again. It makes sense to increase the
  • Trustworthiness because A is more likely to foresee a false identity in a signaling message than that the routing in the telephone network additionally results in a call to the wrong party.
  • a subscriber sends his public key not only in the initial call setup message, but also when called, in one of the reply messages to the end system of the call partner.
  • the WL can also be maintained for outgoing calls.
  • time stamp in KT ensures that third parties can not easily reuse a KT observed in the network to gain access to subscriber B (replay protection). It is additionally required that in each case a new time stamp TS is used in the case of connection requests that are placed on each other for a short time, even if this is not necessary due to the tolerance of B. This prevents replay attacks even in short time intervals.
  • the positive list can be maintained in the terminal of subscriber B or in the associated SIP proxy / switching node. Instead of passing state information in
  • Positive lists can also be maintained for multiple positive lists, e.g. one for temporary information, one for WL entries and one for recalled WL entries.
  • PK A and KT can be transmitted in case of using SIP for signaling in the following protocol data fields:
  • a terminal can send the public key information redundantly in several of these fields in the event that systems in the network delete one or the other entry.
  • the positive list WL can be extended by an entry that specifies in which field the public key information for the respective communication partner can best be transmitted by the network.
  • the timestamps are specified in GMT.
  • KT may include an encrypted timestamp or a timestamp in plain text plus a digital signature.
  • KT may also contain information about the identity of the sender and / or the recipient of the message. Instead of rejecting a timestamp or key that does not match, a call setup can be redirected to an announcement unit or an answering machine, or the call can be signaled with a distinctive ringing ring.
  • an end system can carry a conventional whitelist This can be considered one separate list or as an additional state in a common WL.
  • the timestamp is not within the tolerance interval of the addressee B in the case of a connection setup request, the latter can initiate a challenge-response method in which the original sender A of the request encrypts or signs a character string selected by B instead of a timestamp selected by A.
  • the state-transition behavior of the keys in the WL can be designed such that a key that has been confirmed for a long time or repeatedly for many calls is more likely to remain in its state, whereas a key that has been newly recorded will be deleted more quickly and the caller will be referred back to the first contact procedure.
  • the positive list can be maintained in the terminal of subscriber B or in the associated SIP proxy / switching node.
  • PK_A and KT in the case of using SIP, can be transmitted for signaling in the following protocol data fields:
  • a terminal can send the public key information redundantly in several of these fields in the event that systems in the network delete one or the other entry.
  • the positive list WL can be extended by an entry indicating in which field the public key information can be best transmitted to the respective communication partner through the network.
  • G. KT may include an encrypted timestamp or a timestamp in plain text plus a digital signature.
  • H. KT may also provide information about the identity of the person
  • Sender and / or the recipient of the message can be a call setup on an announcement unit or an answering machine be redirected, or the call can be signaled with a special ringing tone ("distinctive ringing").
  • an end system may carry a conventional whitelist. This may be configured as a separate list or as an additional state in a common WL.
  • time stamp is not within the tolerance interval of the addressee B in the case of a connection setup request, this can initiate a challenge-response method in which the original sender A of the request encrypts or signs a string selected by B instead of a time stamp selected by A.
  • the state-transition behavior of the keys in the WL can be designed to be a key that has been repeated for a long time or for many calls has been confirmed, rather remains in its state, whereas a key that has been newly recorded is deleted more quickly and the caller is thus referred back to the procedure for initial contact.
  • Timestamp "* the sender's UTC timestamp *"
  • Public-Key "* the sender's public key *”
  • signing algorithm "* the applied signing algorithm *”

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur SPIT (spam over ip telephony) - Abwehr demzufolge ein A-Teilnehmer, der einen Ruf zu einem B-Teilnehmer aufbauen möchte, in der initialen Rufaufbaunachricht seinen öffentlichen Schlüssel und einen mit seinem dazugehörigen privaten Schlüssel signierten Kryptotext KT, der einen Zeitstempel TS enthält sendet, bei einer Anfrage im Endgerät des B-Teilnehmers geprüft wird, ob der extrahierte Zeitstempel TS innerhalb eines vorgegebenen Intervalls zur momentanen Uhrzeit liegt und wenn dies nicht der Fall ist, die Anfrage abgelehnt wird. Da die Positivlisten-Einträge durch kryptografische Schlüssel zwischen Endteilnehmern abgesichert sind, wird das Schlupfloch der auf vermutete Mitglieder einer Positivliste gefälschten Absenderadressen geschlossen. Durch die Verwendung des Zeitstempels in KT bei jedem Anruf wird sichergestellt, dass Dritte einen im Netz beobachteten KT nicht einfach wieder verwenden können, um sich Zugang zu Teilnehmer B zu verschaffen (replay protection).

Description

Beschreibung
SPIT-ABWEHR DURCH MIT KRYPTOGRAFISCHEN SCHLÜSSELN ABGESICHERTE POSITIVLISTEN
Der Anmeldungsgegenstand betrifft ein Verfahren zur SPIT- Abwehr .
Ahnlich dem Spam-Problem bei E-Mail ist zu erwarten, dass in zukunftigen offeneren SIP-basierten IP-Telefonnetzen SPIT- Anrufe (spam over ip telephony) ein erhebliches
Storungspotenzial für die Telefonteilnehmer bergen. Dagegen werden unter anderem Positivlisten (white lists) eingesetzt - Listen bekannter Teilnehmer, von denen Gespräche bzw. andere Rufe (Multimedia-Verbindungen, instant messages, Multimedia- Nachrichten, Mails) immer angenommen werden sollen. Rufe von Teilnehmern, die nicht Mitglieder dieser Positivliste eines gerufenen Teilnehmers sind, werden abgewiesen oder an eine Ansageeinrichtung oder Sprachspeichereinrichtung verwiesen. Bei der der unter dem Produktname Surpass hiQ vertriebenen Serie der Anmelderin ist dies als „selective call acceptance (SCA)" implementiert, aber auch Endgerate können solche Einrichtungen enthalten, z.B. indem sie Rufe von Teilnehmern auf der Positivliste mit einem besonderen Klingelton signalisieren .
Will ein Spitter M nun einen Teilnehmer B anrufen, der sich durch eine Positivliste abschirmt, so kann er - z.B. durch Nachschlagen in einem Telefonbuch oder einem ahnlichen Adressverzeichnis - vermutliche Mitglieder der Positivliste des Teilnehmers B identifizieren und versuchen, durch
Falschen seiner eigenen Absenderadresse beim Rufaufbau (SIP Invite Nachricht) den Teilnehmer B zu erreichen, obwohl dieser dies nicht wünscht. Gesucht ist hier ein Verfahren, das es dem gerufenen Teilnehmer B erlaubt, einen rufenden Teilnehmer A eindeutig zu identifizieren, auch wenn zwischen den beiden Teilnehmern Netzbetreiber liegen, die u.U. nicht vertrauenswürdig sind, so dass der gerufene Teilnehmer B der im Rufaufbaupaket als Absenderadresse angegebenen Teilnehmeridentifikation nicht trauen kann. Eine entsprechende Verifikation muss geschehen, bevor das Endgerät von B den eingehenden Ruf beispielsweise durch Klingeln signalisiert und damit den Teilnehmer B stört. Somit steht im Protokoll SIP für eine Entscheidung nur diejenige Information zur Verfügung, die in der SIP INVITE Nachricht (dem ersten Paket des Rufaufbaus) enthalten ist.
Positivlisten (white list, selective call acceptance SCA) sind heute als Produkt verfügbar.
In J. Peterson, C. Jennings, „Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP)" IETF Draft draft-ietf-sip-identity-06, Oct . 2005 wird ein Verfahren zur Header-Signierung beschrieben, mit dem der
Empfänger einer Rufaufbau-Nachricht überprüfen kann, ob eine SIP INVITE Nachricht in den wesentlichen Feldern unverfälscht übertragen wurde. Dieses Verfahren benötigt eine Infrastruktur von Zertifizierungsinstanzen, die den Absender- IDs zugeordnet sind. Außerdem muss bei jeder empfangenen
INVITE-Nachricht der public key der entsprechenden Instanz geholt werden, damit die Header-Felder überprüft werden können. Netzelemente wie Session Border Controller (SBC) oder back to back user agents (B2BUA, z.B. der unter dem Produktname Surpass hiQ vertriebene Einrichtung der
Anmelderin) zerstören jedoch einen Teil dieser Header-Felder bzw. schreiben sie neu, so dass das Verfahren entsprechend der Beschreibung in einem öffentlichen Netz nach Stand der Technik nicht funktioniert. Außerdem muss dabei dem Betreiber des Ursprungs-Netzes vertraut werden, was nur eine
Absicherung gegen Angriffe aus anderen Ursprungsnetzen darstellt .
In der Patentanmeldung DE-10 2005 046 965.5 „Verfahren und Anordnung zur Verifikation einer im Zuge einer Verbindungsanfrage zum Zweck des Aufbaus einer Kommunikationsverbindung übermittelten Absenderadresse in einem IP-Kommunikationsnetzwerk" der Anmelderin vom 30. 09. 2005 ist bereits ein Verfahren vorgeschlagen worden, mit dem ohne Beteiligung der Netz-Elemente durch einen automatischen Ruckruf die Erreichbarkeit des Absenders unter der von ihm angegebenen Adresse überprüft werden kann. Dieses Verfahren soll keine Unterstützung durch Netz-Elemente benotigen, lasst sich aber potenziell für distributed denial of Service (DDoS) Angriffe missbrauchen: Wenn ein Angreifer M unter Angabe der Absenderadresse A Rufaufbau-Nachrichten an sehr viele Teilnehmer B_i sendet und alle diese Teilnehmer eine Ruckruf- Validierung der Adresse von A durchfuhren, kann dies zu einer Überlastung der Signalisierungseinrichtungen von A fuhren. Abwehrmaßnahmen dafür mussten im Netz stattfinden, weil nur dort die gleichzeitige Ansammlung von Ruckruf-Nachrichten erkannt und gebremst werden kann. Daher verliert dieser Ansatz nach dem momentanen Stand der Erkenntnisse seine Unabhängigkeit von Netzelementen und Betreibern, sobald DDoS- Abwehrmechanismen eingebaut werden.
Das ssh-Protokoll (secure shell) setzt ein völlig verteiltes public-Key-Verfahren ohne zentralisierte certificate Stores zur Identifikation eines Partnerrechners in einer Verbindung ein. Dabei wird bei einem ersten Kontakt zwischen einem Rechner Rl und einem Rechner R2 der public key von R2 an Rl übermittelt und bei diesem in einer „known hosts" Liste abgespeichert. Bei jedem weiteren Kontakt wird dann der Schlüssel überprüft und die Verbindung wird nur aufgebaut, wenn sich R2 gegenüber Rl mit demselben Schlüssel authentifizieren kann wie beim ersten Kontakt. Zur Sicherstellung der Identifikation für den Erstkontakt ist bei ssh vorgesehen, dass Rl über einen separaten Kanal einen „fingerprint" von R2 erhalten hat, den er überprüft.
Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein Verfahren anzugeben, das ein Unterlaufen des auf einer White List basierenden Schutz' vor unerwünschten Anrufen mittels gefälschter Absenderadressen verhindert. Das Problem wird durch die Merkmale des Anspruchs 1 gelöst.
Da die Positivlisten-Einträge durch kryptografische Schlüssel zwischen Endteilnehmern abgesichert sind, wird das Schlupfloch der auf vermutete Mitglieder einer Positivliste gefälschten Absenderadressen geschlossen. Gleichzeitig sind Vorkehrungen getroffen, um replay-Angriffe auszuschließen und um Man-in-the-middle-Angriffe deutlich zu erschweren. Durch die Forderung nach Verwendung des Zeitstempels in KT bei jedem Anruf wird sichergestellt, dass Dritte einen im Netz beobachteten KT nicht einfach wieder verwenden können, um sich Zugang zu Teilnehmer B zu verschaffen (replay protection) .
Vorteilhafte Weiterbildungen des Anmeldungsgegenstandes sind in den Unteransprüchen angegeben.
In einer Weiterbildung des Anmeldungsgegenstandes sendet ein Endsystem eines Teilnehmers, z. B. B, der angerufen wird, in einer Antwortnachricht an das Endsystem des anrufenden
Teilnehmers, z. B. A, seinen public key. So kann die WL auch bei ausgehenden Rufen gepflegt werden.
Wenn Teilnehmer B selbst Teilnehmer A anruft, kann die Zustandsinformation abermals geändert werden. Sinnvoll ist dabei die Erhöhung der Vertrauenswürdigkeit, weil es wahrscheinlicher ist, dass A eine falsche Identität in einer Signalisierungsnachricht vorspiegeln kann, als dass das Routing im Telefonnetz darüber hinaus einen Ruf zum falschen Teilnehmer führt.
Trifft ein Rufaufbauwunsch mit einem public key bei einem Endsystem ein, bei dem zu dieser Identität ein anderer PK gespeichert ist, so wird dies als Fälschung der ID erkannt, und der Ruf wird abgelehnt, oder er wird dem Verfahren für Erstkontakte zugeleitet. Es wird zusatzlich gefordert, dass bei kurz aufeinander abgesetzten Verbindungsaufbauwunschen jeweils ein neuer Zeitstempel TS verwendet wird, selbst wenn dies aufgrund des vorgegebenen Intervalls (der Toleranz) von B nicht notig wäre. Dadurch werden auch in kurzen Zeitintervallen replay attacks verhindert.
Der Anmeldungsgegenstand wird im Folgenden als Ausfuhrungsbeispiel in einem zum Verständnis erforderlichen Umfang anhand von Figuren naher erläutert. Dabei zeigen:
Fig 1 zwei Netze Nl und N2 mit SIP Proxies SPl und SP2 und Session Border Controller SBC, Signalisier- und Mediendatenverkehr zwischen Teilnehmerendgeraten A und B, Fig 2 eine Teilnehmerendeinrichtung B mit Positivliste WL und darin enthaltenen Eintragen für Teilnehmer ID, public key PK, Zeitstempel TS (optional) und Zustandsinformation Z (optional) ,
Fig 3 den Ablauf des Protokolls zwischen A (Alice) und B (Bob),
Fig 4 Zustande des Schlüssels A auf der WL von B,
Verbindungsaufbau jeweils nur symbolisch dargestellt, Fig 5 Zustands-Ubergangsdiagramm für den public key von A auf der Positivliste (WL) von B. WS = „willingness to störe", d.h. die Bereitschaft, A auf die WL aufzunehmen. Zustande: 0 = unknown, 1 = VALIDATED, 2 = VALIDATED ID (Referenz zu den folgenden Abbildungen) , Fig 6 Verarbeitung der Schlüssel bei ankommenden und abgehenden Anrufen, Fig 7 Subroutine After Key CaIl Processing (x) zu Fig 6, Fig 8 Subroutine Process new public key zu Fig 7, Fig 9 Subroutine Process known public key zu Fig 6, Fig 10 Subroutine Process known public key in VALIDATED State zu Fig 9 und Fig 11 Subroutine Process known public key in VALIDATED_ID State zu Fig 9. In Figur 1 ist ein Szenario dargestellt, in dem zwei Endgeräte A und B über zwei Kommunikationsnetze Nl und N2 kommunizieren. In Nl ist SPl und in N2 SP2 als SIP Proxy / SIP Server eingesetzt, und dazwischen filtert ein Session Border Controller SBC den Signalisierungsverkehr .
Ein Teilnehmer A, der einen Ruf zu Teilnehmer B aufbauen möchte, sendet in der initialen Rufaufbaunachricht (bei SIP: INVITE) in einem Feld seinen öffentlichen Schlüssel PK A und in einem (möglicherweise anderen) Feld ein mit seinem dazugehörigen privaten Schlüssel verschlüsselten oder signierten Kryptotext KT. Dieser Kryptotext KT enthält einen Zeitstempel TS.
Beim ersten Anruf eines bis dahin unbekannten Teilnehmers wird - wie bei jedem auf Positivlisten basierenden System - der Anruf zunächst nicht direkt zum gerufenen Teilnehmer signalisiert, sondern einer gesonderten Behandlung zugeleitet. Dabei kann der Ruf beispielsweise auf einen Anrufbeantworter oder ein Ansagesystem geleitet werden, oder er kann dem gerufenen Teilnehmer gesondert signalisiert werden (einmaliges Klingeln, gesonderter Klingelton) . Zusätzlich speichert das Endgerät B bei diesem ersten Anruf von A den in der Rufaufbaunachricht übermittelten öffentlichen Schlüssel PK A und den mit Hilfe von PK A aus dem KT extrahierten Zeitstempel TS_A mit einem Initialzustand. Dabei wird geprüft, ob der mit PK A aus dem KT extrahierte Zeitstempel TS innerhalb eines gewissen Intervalls zur momentanen Uhrzeit liegt. Wenn dies nicht der Fall ist, wird die Anfrage auf jeden Fall abgelehnt (bei SIP: 403 forbidden) .
Nach dem Annehmen (zB Abhören von der Voicebox) des Anrufes kann Teilnehmer B entscheiden, A auf die WL aufzunehmen. Dabei wird die Zustandsinformation des Eintrages für A entsprechend geändert. Wenn Teilnehmer B selbst Teilnehmer A anruft, kann die Zustandsinformation abermals geändert werden. Sinnvoll ist dabei die Erhöhung der
Vertrauenswürdigkeit, weil es wahrscheinlicher ist, dass A eine falsche Identität in einer Signalisierungsnachricht vorspiegeln kann, als dass das Routing im Telefonnetz zusätzlich einen Ruf zum falschen Teilnehmer führt. Dazu sendet ein Teilnehmer seinen public key nicht nur in der initialen Rufaufbaunachricht, sondern auch, wenn er angerufen wird, in einer der Antwortnachrichten an das Endsystem des Gesprächspartners. So kann die WL auch bei ausgehenden Rufen gepflegt werden.
Trifft ein Rufaufbauwunsch mit einem public key bei einem Endgerät ein, bei dem zu dieser Identität ein anderer PK gespeichert ist, so wird dies als Fälschung der ID erkannt, und der Ruf wird abgelehnt, oder er wird dem Verfahren für Erstkontakte zugeleitet.
Durch die Forderung nach Verwendung des Zeitstempels in KT bei jedem Anruf wird sichergestellt, dass Dritte einen im Netz beobachteten KT nicht einfach wieder verwenden können, um sich Zugang zu Teilnehmer B zu verschaffen (replay protection) . Es wird zusätzlich gefordert, dass bei kurz aufeinander abgesetzten Verbindungsaufbauwünschen jeweils ein neuer Zeitstempel TS verwendet wird, selbst wenn dies aufgrund der Toleranz von B nicht nötig wäre. Dadurch werden auch in kurzen Zeitintervallen replay attacks verhindert.
Im Gegensatz zu dem bei ssh eingesetzten Verfahren ist das hier beschriebene einfacher (kein zusätzlicher Austausch von Paketen) und dadurch schneller. Die Sicherheit ist durch die Verwendung von Zeitstempeln anstelle von Challenges unwesentlich verringert, aber replay attacks sind ausgeschlossen. Im Gegensatz zu ssh findet die Authentifizierung beim Erstkontakt nicht durch einen über einen zweiten Kanal übertragenen Fingerprint des Schlüssels, sondern über den Sprachkanal (Mediendatenaustausch zwischen A und B) statt. Optionen und Erweiterungen
Die Positivliste kann im Endgerät von Teilnehmer B oder im zugehörigen SIP Proxy / Vermittlungsknoten geführt werden. Anstelle des Führens von Zustandsinformationen in
Positivlisten können auch mehrere Positivlisten gepflegt werden, z.B. eine für temporäre Informationen, eine für WL- Einträge und eine für durch Rückruf bestätigte WL-Einträge. PK A und KT können im Falle der Verwendung von SIP zur Signalisierung in den folgenden Protokoll-Datenfeldern übertragen werden:
- ein oder mehrere zusätzliche Header-Felder
- Verstecken im SDP-Teil der Nachrichten, z.B. in einem zusätzlichen Attribut-Eintrag (a=...) Ein Endgerät kann die public-Key-Information in mehreren dieser Felder redundant versenden für den Fall, dass Systeme im Netz den einen oder anderen Eintrag löschen. Die Positivliste WL kann um einen Eintrag erweitert werden, der angibt, in welchem Feld die public-Key-Information zum jeweiligen Kommunikationspartner am besten durch das Netz übertragen werden kann.
Die Zeitstempel werden in GMT angegeben KT kann einen verschlüsselten Zeitstempel oder einen Zeitstempel in Klartext zuzüglich einer digitalen Unterschrift (Signatur) beinhalten.
KT kann zusätzlich zu Option E auch Informationen über die Identität des Absenders und/oder des Empfängers der Nachricht enthalten . Anstelle der Ablehnung bei nicht passendem Zeitstempel bzw. Schlüssel kann ein Rufaufbau auf eine Ansageeinheit oder einen Anrufbeantworter umgelenkt werden, oder der Ruf kann mit einem besonderen Klingelton („distinctive ringing") signalisiert werden. Zusätzlich zur beschriebenen Whitelist kann ein Endsystem eine herkömmliche Whitelist führen. Dies kann als eine separate Liste oder als ein zusatzlicher Zustand in einer gemeinsamen WL ausgestaltet sein.
Falls bei einem Verbindungsaufbauwunsch der Zeitstempel nicht im Toleranzintervall des Adressaten B liegt, kann dieser ein challenge-response-Verfahren initiieren, bei dem der ursprungliche Absender A der Anfrage anstelle eines von A gewählten Zeitstempels eine von B gewählte Zeichenkette verschlüsselt oder signiert. Um im Falle von Man-in-the-middle-Angriffen zusatzliche Stabilität zu erhalten, kann das Zustands-Ubergangs-Verhalten der Schlüssel in der WL so ausgestaltet sein, dass ein Schlüssel, der schon lange bzw. bei vielen Anrufen immer wieder bestätigt wurde, eher in seinem Zustand verbleibt, wohingegen ein Schlüssel, der neu aufgenommen wurde schneller wieder geloscht und der Anrufer somit wieder auf die Prozedur für den Erstkontakt verwiesen wird.
Optionen und Erweiterungen
A. Die Positivliste kann im Endgerät von Teilnehmer B oder im zugehörigen SIP Proxy / Vermittlungsknoten geführt werden.
B. Anstelle des Führens von Zustandsinformationen in Positivlisten können auch mehrere Positivlisten gepflegt werden, z.B. eine für temporäre Informationen, eine für WL-Einträge und eine für durch Rückruf bestätigte WL-Einträge. C. PK_A und KT können im Falle der Verwendung von SIP zur Signalisierung in den folgenden Protokoll-Datenfeldern übertragen werden:
- ein oder mehrere zusätzliche Header-Felder
- Verstecken im SDP-Teil der Nachrichten, z.B. in einem zusätzlichen Attribut-Eintrag (a=...) D. Ein Endgerät kann die public-Key-Information in mehreren dieser Felder redundant versenden für den Fall, dass Systeme im Netz den einen oder anderen Eintrag löschen.
E. Die Positivliste WL kann um einen Eintrag erweitert werden, der angibt, in welchem Feld die public-Key-Information zum jeweiligen Kommunikationspartner am besten durch das Netz übertragen werden kann.
F. Die Zeitstempel werden in GMT angegeben
G. KT kann einen verschlüsselten Zeitstempel oder einen Zeitstempel in Klartext zuzüglich einer digitalen Unterschrift (Signatur) beinhalten. H. KT kann zusätzlich zu Option E auch Informationen über die Identität des
Absenders und/oder des Empfängers der Nachricht enthalten. I. Anstelle der Ablehnung bei nicht passendem Zeitstempel bzw. Schlüssel kann ein Rufaufbau auf eine Ansageeinheit oder einen Anrufbeantworter umgelenkt werden, oder der Ruf kann mit einem besonderen Klingelton („distinctive ringing") signalisiert werden.
J. Zusätzlich zur beschriebenen Whitelist kann ein Endsystem eine herkömmliche Whitelist führen. Dies kann als eine separate Liste oder als ein zusätzlicher Zustand in einer gemeinsamen WL ausgestaltet sein.
K. Falls bei einem Verbindungsaufbauwunsch der Zeitstempel nicht im Toleranzintervall des Adressaten B liegt, kann dieser ein challenge- response-Verfahren initiieren, bei dem der ursprüngliche Absender A der Anfrage anstelle eines von A gewählten Zeitstempels eine von B gewählte Zeichenkette verschlüsselt oder signiert.
L. Um im Falle von Man-in-the-middle-Angriffen zusätzliche Stabilität zu erhalten, kann das Zustands-Übergangs-Verhalten der Schlüssel in der WL so ausgestaltet sein, dass ein Schlüssel, der schon lange bzw. bei vielen Anrufen immer wieder bestätigt wurde, eher in seinem Zustand verbleibt, wohingegen ein Schlüssel, der neu aufgenommen wurde schneller wieder gelöscht und der Anrufer somit wieder auf die Prozedur für den Erstkontakt verwiesen wird.
Zu Option C: Header-Felder:
In an INVITE request:
p3k2006-Authentication:
Timestamp = "*the sender's UTC timestamp*",
Signature = "*the sender' s signature*",
Public-Key = "*the sender' s public key*", Signing-Algorithm = "*the applied signing algorithm*"
In a 200 OK response (in case the sender was successfully authenticated) : p3k2006-PubKey : *the receiver' s public key*
In a 401 Unauthorized (in case the sender was not successfully authenticated) :
p3k2006-Challenge:
Challenge = "*the receiver' s challenge*", List-Signing-Algorithms = "algorithml, algorithm2, ..."
In an reINVITE request upon a 401 Unauthorized response:
p3k2006-Authentication:
Challenge rthe receiver' s challenge*",
Signature rthe sender' s signature*",
Public-Key rthe sender' s public key*",
Signing-Algorithm rthe applied signing algorithm*"
Ausfuhrungsbeispiele
- Endgerat, das Positivlisten verwaltet (Festnetz- oder Mobiltelefon, Anrufbeantworter, soft client)
- System im Netz, das Positivlisten (white lists) für Teilnehmer verwaltet
- Softswitch, der Positivlisten verwaltet
- Softswitch oder Session Border Controller SBC, der Positivlisten unterstutzt und weitergibt
Mögliche Patentansprüche
— client mit pub/private key Paar
— Mitsenden public key in Rufaufbaunachricht
— Mitsenden public key in Antwortnachricht
— Mitsenden Zeitstempel, in Rufaufbau- und/oder Antwortnachricht, verschlüsselt oder signiert
— Überprüfung public key auf Übereinstimmung bei Empfang eines Rufaufbauwunsches
— Ablehnung des Rufaufbauwunsches oder Ruckfall auf Initialkontakt-Verhalten, wenn public key nicht mit dem gespeicherten übereinstimmt — Ablehnung des Rufaufbauwunsches oder Rückfall auf Initialkontakt-Verhalten oder Rückfall auf challenge- response-Prozedur, wenn der Zeitstempel nicht zur momentanen Uhrzeit passt oder schon einmal verwendet wurde
- Zustandsverwaltung im Endgerät, wobei ein bei einem ausgehenden Anruf empfangener public key vertrauenswürdiger eingestuft wird als ein bei einem eingehenden Anruf empfangener. - Teilnehmer kann auswählen, ob er den Gesprächspartner auf die WL aufnehmen will

Claims

Patentansprüche
1. Verfahren zur SPIT-Abwehr demzufolge — ein Teilnehmer A, der einen Ruf zu Teilnehmer B aufbauen möchte, in der initialen Rufaufbaunachricht seinen öffentlichen Schlüssel PK A und ein mit seinem dazugehörigen privaten Schlüssel verschlüsselten oder signierten Kryptotext KT, der einen Zeitstempel TS enthält, sendet,
— beim ersten Anruf des Teilnehmers A das Endsystem des Teilnehmer B den in der Rufaufbaunachricht übermittelten öffentlichen Schlüssel PK A und den mit Hilfe von PK A aus dem KT extrahierten Zeitstempel TS_A mit einem Initialzustand speichert,
- geprüft wird, ob der mit PK_A aus dem KT extrahierte Zeitstempel TS innerhalb eines vorgegebenen Intervalls zur momentanen Uhrzeit liegt und wenn dies nicht der Fall ist, die Anfrage abgelehnt wird.
2 . Verfahren nach Anspruch 1 d a d u r c h g e k e n n z e i c h n e t , d a s s nach dem Annehmen, z.B. Abhören von der Voicebox, des Anrufes ein Eintrag mit positiver Zustandsinformation für den Teilnehmer A in die Whitelist WL des Teilnehmers B aufnehmbar ist .
3. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass ein Endsystem eines Teilnehmers, z. B. B, der angerufen wird, in einer Antwortnachricht an das Endsystem des anrufenden Teilnehmers, z. B. A, seinen public key sendet.
4. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass aufeinander folgende Rufe für eine Akzeptanz beim Teilnehmer B unterschiedliche Zeitstempel aufzuweisen haben.
EP07728121A 2006-04-27 2007-04-13 Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten Withdrawn EP2014075A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006020244A DE102006020244B3 (de) 2006-04-27 2006-04-27 Positiv-Listen zur SPIT-Abwehr
PCT/EP2007/053656 WO2007125025A1 (de) 2006-04-27 2007-04-13 Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten

Publications (1)

Publication Number Publication Date
EP2014075A1 true EP2014075A1 (de) 2009-01-14

Family

ID=38175822

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07728121A Withdrawn EP2014075A1 (de) 2006-04-27 2007-04-13 Spit-abwehr durch mit kryptografischen schlüsseln abgesicherte positivlisten

Country Status (3)

Country Link
EP (1) EP2014075A1 (de)
DE (1) DE102006020244B3 (de)
WO (1) WO2007125025A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020003328A1 (de) 2020-06-03 2021-12-09 Daimler Ag Zeitstempelbasiertes Verfahren zum Schutz vor Replay-Attacken

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005046965B3 (de) * 2005-09-30 2007-02-15 Siemens Ag Verfahren und Anordnung zur Verifikation einer im Zuge einer Verbindungsanfrage zum Zweck des Aufbaus einer Sprach-Kommunikationsverbindung übermittelten Absenderadresse in einem IP-Kommunikationsnetzwerk

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2007125025A1 *

Also Published As

Publication number Publication date
DE102006020244B3 (de) 2007-09-20
WO2007125025A1 (de) 2007-11-08

Similar Documents

Publication Publication Date Title
CN102077550B (zh) Voip地址发现系统中通信的限制
KR101367038B1 (ko) 키 교환 시스템 및 시스템 조작 방법
US7613923B2 (en) Method and apparatus for controlling unsolicited messaging in real time messaging networks
CA2636780C (en) Method and device for anonymous encrypted mobile data and speech communication
US8621033B2 (en) Method for identifying internet users
US20090025075A1 (en) On-demand authentication of call session party information during a telephone call
US9077806B2 (en) Method, system and apparatus for implementing secure call forwarding
Song et al. iVisher: Real‐time detection of caller ID spoofing
Barnes et al. Browser-to-browser security assurances for WebRTC
US20090025062A1 (en) Verifying authenticity of conference call invitees
CN113839905B (zh) 一种证书写入、证书反馈方法、记账节点及身份认证系统
US20080307225A1 (en) Method For Locking on to Encrypted Communication Connections in a Packet-Oriented Network
DE102006020244B3 (de) Positiv-Listen zur SPIT-Abwehr
KR20110038163A (ko) 통신 연결들의 연결-수반 데이터에 대한 접근 관리
Ono et al. Have I met you before? Using cross-media relations to reduce SPIT
CN101296085B (zh) 基于分叉的认证方法、系统以及分叉认证装置
Ahmadzadegan et al. Secure communication and VoIP threats in next generation networks
CN111163465A (zh) 连接用户终端与本地终端的方法、装置以及呼叫中心系统
Patil et al. VoIP security
Song et al. Towards standardized prevention of unsolicited communications and phishing attacks
JP2006005880A (ja) 通知番号検証システム
Ham et al. Vulnerability analysis on Mobile VoIP supplementary services and MITM attack
Wing et al. Voip Security
Voorneveld et al. Proposal for a Possible Solution to Spam for the Session Initiation Protocol
Hossein Ahmadzadegan et al. Secure communication and VoIP threats in next generation networks

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20081127

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK RS

17Q First examination report despatched

Effective date: 20090319

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20090930