WO2002047353A2 - Verfahren zur durchführung von überwachungsmassnahmen in telekommunikations und datennetzen mit beispielsweise ip-protokoll - Google Patents
Verfahren zur durchführung von überwachungsmassnahmen in telekommunikations und datennetzen mit beispielsweise ip-protokoll Download PDFInfo
- Publication number
- WO2002047353A2 WO2002047353A2 PCT/DE2001/004573 DE0104573W WO0247353A2 WO 2002047353 A2 WO2002047353 A2 WO 2002047353A2 DE 0104573 W DE0104573 W DE 0104573W WO 0247353 A2 WO0247353 A2 WO 0247353A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- icc
- network
- address
- protocol
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012544 monitoring process Methods 0.000 title claims abstract description 14
- 238000004891 communication Methods 0.000 claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims description 19
- 238000006243 chemical reaction Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 6
- 230000009466 transformation Effects 0.000 claims description 2
- 238000012806 monitoring device Methods 0.000 claims 1
- 230000011664 signaling Effects 0.000 claims 1
- 238000011161 development Methods 0.000 abstract 1
- 230000018109 developmental process Effects 0.000 abstract 1
- 230000001131 transforming effect Effects 0.000 abstract 1
- 238000013519 translation Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 101100208308 Homo sapiens TTI1 gene Proteins 0.000 description 1
- 102100029253 TELO2-interacting protein 1 homolog Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000009365 direct transmission Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000009993 protective function Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
Definitions
- IP protocol Internet protocol
- the invention relates to a method for carrying out surveillance measures in telecommunications and data networks, according to the preamble of patent claim 1.
- Packet-oriented telecommunications networks are, for example, cellular mobile radio networks based on the GSM standard with GPRS transmission method (ETSI GSM 03.60).
- the individual data packets with the TCP / IP protocol are transmitted individually in the network.
- TCP / IP protocol according to the Internet Engineering Task Force IETF standard RFC 793 / RFC 791
- IP address In order to be able to offer a competitive service, a way out of the IP address problem must be found. There are procedures available for using the public IP addresses multiple times (multiplex, timeshare, etc.). In principle, however, all of these methods have the functionality that the IP addresses must be converted at the network boundary between the telecommunications network and the external network, Internet, etc.
- the external IP address for Network Address Translation
- the external session reference when using a proxy
- the subscriber-related data traffic is decoupled close to the subscriber (usually in the first exchange) and sent as a copy to the relevant users.
- the reference to the IP address in the adjacent IP network (Internet etc.) is lost if there is any conversion of the IP address behind the exchange (see above).
- the present invention is based on the object of proposing a method on the basis of which an expanded monitoring of IP-based telecommunications and data networks is possible in accordance with the legal guidelines in order to close the monitoring gap which arises from the fact that Internet addresses on the network boundary to other telecommunications and data networks (e.g. public Internet) need to be changed and overarching So far, telecommunication and / or data connections have not been observed.
- telecommunications and data networks e.g. public Internet
- the procedure according to the invention is not limited to the application in mobile radio networks and not to the application in this exemplary network.
- FIG. 1 shows the basic procedure for monitoring subscriber connections in the mobile radio area (ETSI GSM 03.33).
- a mobile terminal communicates with the mobile radio network in such a way that both voice connections and data connections are coupled into / out of the GSM network via the base station subsystem BSS.
- Switching Center MSC ISDN switching center
- packet-oriented data is carried over separate network components / switching components.
- a connection is established (GPRS service activation) to the SGSN (Switching GPRS Support Node).
- SGSN Switchching GPRS Support Node
- PDP Context Packed Data Protocol
- GGSN Gateway GPRS Support Node
- the GGSN is an IP router that establishes the connection to the external network.
- the GGSN performs, for example, authentication to an external ISP (Internet Service Provider) using the RADIUS procedure (Remote Access Dial in User Service), as is carried out in the fixed network when dialing into the ISP.
- ISP Internet Service Provider
- RADIUS procedure Remote Access Dial in User Service
- the GGSN then receives the ISP-side IP address and transmits it to the MT.
- the GGSN assigns its own public IP address from the network operator's own pool, or it uses a private IP address (RFC 1918), for example, when IP servers are addressed in its own network.
- This functionality is common, for example, in WAP mode (Wireless Application Protocol).
- the need for public IP addresses is described in "TCP / IP" Dr. Sidnie Feit, McGraw-Hill, ISBN 0-07-022069-7, on p. 101.
- the notebook (NB) is optional and allows the use of a standardized personal computer (PC) environment with operating system, browser, clients etc. following, for example, the public Internet.
- Access Network AN stands for the functionality of the address conversion.
- the monitoring measures for the entire network are administered in the ICC (Interception Control Center).
- ICC Interception Control Center
- subscriber numbers who are currently subject to the measure is maintained there.
- This subscriber data is transmitted to the network nodes in the form of the phone numbers (IMSI or MSISDN in the GSM network)
- the technical implementation can, if necessary, provide for the direct transmission of certain data from one or more network nodes to the LEA (or several leas) if this saves transmission costs.
- the process is always administered by the ICC (possibly by the LEA via the ICC).
- the further text assumes mutual communication via the ICC.
- the simplification also represents all administered special transfers.
- IMSI / MSISDN other subscriber identifiers such as the TCP address (optionally in combination with the IP port number) can be used with other data networks, for example the Internet.
- an additional connection serves to establish communication between the ICC and the component inside or outside the telecommunications or data network, which operates to implement the IP addresses.
- a connection to an Internet access server IAS (2) is shown here, which carries out NAT and maintains the NAT database (3).
- the IAS is arranged within the AN (simplification, see above).
- the NAT database contains the assignment between internal and external addresses, since the address conversion must be carried out for every data packet.
- the IAS sends the required access parameters (individually or collectively) to the ICC, whereby the ICC carries out needs-specific processing and further transmission to the LEA.
- the IAS automatically transfers the relevant parameters to the ICC each time an address is created. This can be done for all participants, or only for certain (observed) participants. In the latter case, however, the IAS must maintain a list that was previously submitted by the ICC.
- the IAS maintains the complete assignment list
- the ICC maintains a list of phone numbers and internal IP addresses, each the information of the external address parameters is added.
- the IAS Since the IAS generally does not know any phone numbers, the corresponding information must be made available. For this purpose, the internal communication protocols between MT and IAS are expanded by corresponding information, or the IAS starts an inquiry with a database located in the network, which contains this information.
- the ICC generally does not have any IP addresses of the participants being observed, since these can possibly be changed dynamically and do not represent any useful subscriber identification in a telecommunications network. If IP addresses are transferred as selection criteria from the ICC to the IAS, this data must first be made available to the ICC. This can be done by querying the above-mentioned database, or by extracting the monitored protocol data in the ICC, which are decoupled / copied in the switching system and routed to the ICC. In this case, the ICC maintains a corresponding reference list.
- the ICC must carry out the needs-based selection with reduction of the participants, who are actually subject to monitoring. For this purpose, the IAS or alternatively the ICC maintains one of the above. Database or requests the parameters from an internal network database - depending on whether the address conversion parameters are transferred as a reference to an internal IP address or a subscriber number.
- the process is therefore associated with considerable effort, in particular a separate connection (physical or logical) between the ICC and IAS is required, a corresponding processing in the ICC and in the AN (IAS), a database in IAS and / or ICC and, if necessary, more centrally Office and a protocol vote on the LEA for the purpose of arranging the public IP address within the information protocols.
- the PATM Addressing the internal subscriber number, the IP address, the device identifier, etc. to disposal. Since all traffic of the MT in question is monitored and copied in the SGSN, the PATM also reaches the LEA via the ICC and can be evaluated for further monitoring measures.
- FIG. 2 IP surveillance according to the invention, variant 1
- FIG. 3 IP surveillance according to the invention, variant 2
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
Abstract
Die vorliegenden Erfindung betrifft ein Verfahren zur Verbesserung von Überwachungsmasshanem in Telekommunikations- und Datennetzen (typischerweise IP-basierten Netzen mit Internet- und Intranet-Anschluss). Durch verbesserte technologische Entwicklungen entstehen paketorientierten Mobilfunknetze (GSM/GPRS, UMTS etc.) einerseits sowie bessere Internet-Zugänge über Festnetz andererseits, die kostenoptimierte Internetzugänge für Flat rate oderAlways on-Verkehr bieten. Da keine öffentlichen Internet-Adressen in ausreichendem Masse zur Verfügung stehen, müssen öffentliche Internetadressen über Port-Sharing (PAT), Timesharing (NAT), Applications-Sharing (Proxy) oder andere Verfahren vervielfältigt werden. Bei einer Adresstransformation an der Netzgrenze stehen diese Informationen innerhalb der netzinternen Kommunikationsprotokolle jedoch nicht zur Verfügung, so dass Überwachungsmassnahmen über Netzgrenzen nur eingeschränkt realisierbar sind. Die vorliegende Erfindung beseitigt dieses Problem, indem die konvertierenden Einrichtungen über wahlweise zum Einsatz kommende technische Realisierungen in dei Überwachungsmassnahme einbezogen werden, wobei der Betrachtungsschwerpunkt auf einer kostengünstigen und Performance- schonenden Lösung liegt.
Description
Verfahren zur Durchführung von Überwachungsmaßnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP- Protokoll (Internet Protokoll)
Die Erfindung betrifft ein Verfahren zur Durchführung von Überwachungsmaßnahmen in Telekommunikations- und Datennetzen, nach dem Oberbegriff des Patentanspruchs 1.
In der Bundesrepublik Deutschland erfolgt die Überwachung von Telekommunikationsdiensten gemäß den geltenden gesetzlichen Bestimmungen. Vergleichbare Vorschriften finden sich in der Gesetzgebung fast aller Staaten.
Die prinzipielle Verfahrensweise zur Durchführung von Teilnehmer-Überwachungsmaßnahmen in mobilen Telekommunikationsnetzen ist beispielsweise in ETSI GSM 03.33 (Tdoc SMG10 98 D047) beschrieben.
Paketorientierte Telekommunikationsnetze sind beispielsweise zellulare Mobilf nknetze nach dem GSM-Standard mit GPRS- Übertragungsverfahren (ETSI GSM 03.60).
Im Gegensatz zu leitungsvermittelten Diensten werden hierbei die einzelnen Datenpakete mit TCP/IP-Protokoll (gemäß Internet Engineering Task Force IETF-Standard RFC 793/RFC 791) einzeln im Netz übertragen. Somit kann bereits auf der • Luftschnittstelle sowie im weiterführenden Netz eine
Mehrfachnutzung mehrerer Kunden im Timesharing-Verfahren auf den gleichen Übertragungskanälen erfolgen.
Die übliche Zuordnung zwischen Datenübertragungskanal und Kommunikationsteilnehmer ist hier nicht mehr gegeben.
Da das im Internet verwendete TCP/IP-Protokoll heute mit Abstand den größten Verbreitungsgrad hat, andererseits Protokoll- und teilnehmerbedingt große übertragungsfreie Zeiten und burstartige Datenübertragungszyklen vorhanden sind, kann die gemeinsame Nutzung von Übertragungskanälen durch mehrere Kunden zu größerer Wirtschaftlichkeit führen.
Eine transparente Nutzung eines Übertragungskanals pro Kunde für beispielsweise Internetdienste war im Mobilfunkbereich bisher ebenfalls möglich (GSM-Bearer-Services von 2,4 kbps bis 14,4 kbps), die Nutzung scheiterte jedoch weitgehend an den hohen Kosten. Vergleichbares gilt für die exklusive Nutzung mehrfach geketteter Kanäle (HSCSD) .
Ein ähnliches Verfahren wird beim Festnetz-Internet-Zugang genutzt. Systembedingt besitzt hier jeder Teilnehmer seine eigene Teilnehmeranschlussleitung und nutzt diese bis zur Vermittlungsstelle exklusiv. Dort wird der Internetverkehr jedoch über sog. RAS-Server (Remote Access) ausgekoppelt und auf gemeinsam genutzten IP-Übertragungskanälen geführt. Diese Verfahrensweise (Ortsverbindung) spart Leitungskosten im Gegensatz zu einer leitungsgeführten Verbindung zu einem zentralen Übergang (Fernverbindung) . Es wird im analogen Netz, im ISDN-Netz sowie bei den xDSL-Verfahren angewandt.
Bedingt durch diese Verfahren im Fest- oder Mobilfunknetz können Übertragungskosten eingespart werden. Die Zeitdauer der Einwahl zu einem Internet Service Provider ist daher nicht mehr der kos enbestimmende Faktor . Vereinzelt werden bereits Fiat rate-Tarife angeboten.
Im Mobilfunkbereich kann nicht auf eine vorhandene Kabelinfrastruktur zurückgegriffen werden. Daher sind die Kosten höher als im Festnetzbereich und erfordern zusätzliche Leistungsmerkmale als Nutzungsanreiz.
Eine Möglichkeit hierzu ist das Angebot eines Always connect/Always on-Dienstes. Durch dieses Verfahren ist der Kunde immer mit seinem Kommunikationspartner (z.B. Internet) verbunden und spart jeweils die Aktivierungs, -Einwahl- , Authentisierungs- und Adressierungsaufwand. Im Verkehrsfreien Zustand werden dabei kaum Netz-Resources belegt, so dass die Attraktivität des Netzes bei günstiger Kostensituation steigt.
Durch diese Verfahrensweise entstehen jedoch andere Probleme. Zur Kommunikation im öffentlichen Internet werden öffentliche IP-Adressen benötigt. Wenn die Connection Time keine nennenswerten Kosten verursacht, werden Millionen von Mobilfunk-Kunden diesen Service nutzen, so dass Millionen von IP-Adressen erforderlich sind.
Dem gegenüber sind weltweit kaum noch nennenswerte Adress- Kontingente bei den internationalen Verwaltungsinstitutionen (Toplevel Registry IANA/ICANN, bzw. Europa-Registry RIPE-NCC) erhältlich.
Um dennoch einen wettbewerbsfähigen Service anbieten zu können, muss daher ein Ausweg aus der IP-Adressproblematik gefunden werden. Es bieten sich Verfahren an, die öffentlichen IP-Adressen mehrfach zu nutzen (Multiplex, Timesharing etc.). Alle diese Verfahren beitzen jedoch prinzipbedingt die Funktionalität, dass eine Umsetzung der IP-Adressen an der Netzgrenze zwischen Telekommunikationsnetz und externem Netz, Internet etc. stattfinden muss. Die externe IP-Adresse (bei Network Address Translation) , oder
der externe Sessionbezug (bei Proxy-Einsatz) ist in den Übertragungsprotokollen auf der Teilnehmerseite in diesen Fällen nicht enthalten.
Der teilnehmerbezogene Datenverkehr wird im Falle einer Überwachungsmaßnahme teilnehmernah (meist in der ersten Vermittlungsstelle) ausgekoppelt und als Kopie zu den entsprechenden Bedarfsträgern geschickt. Dabei geht der Bezug zur IP-Adresse im angrenzenden IP-Netz (Internet etc.) verloren, wenn hinter der Vermittlungsstelle ein wie auch immer geartete Umwandlung der IP-Adresse stattfindet (s.o.) .
In diesen Fällen kann weder der Datenverkehr des betroffenen Kunden jenseits der Telekommunikationsnetzes observiert werden, noch ist es in umgekehrten Fällen bei
Überwachungsmaßnahmen im Internet oder in anderen Telekommunikationsnetzen möglich, den
Kommunikationsteilnehmer über die Netzgrenze hinweg zu ermitteln, wenn eine Adressumsetzung stattfindet.
Die Umsetzung der gesetzlichen Anforderungen ist mit den bestehenden technischen Möglichkeiten nur sehr begrenzt und lückenhaft möglich, wodurch sich ein überwachungsfreier Raum für gesetzeswidrige Handlungen ergibt, der nicht observiert werden kann.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren vorzuschlagen, auf dessen Basis eine erweiterte Überwachung von IP-basierenden Telekommunikations- und Datennetzen gemäß der gesetzlichen Richtlinien möglich ist, um die Überwachungslücke zu schließen, die dadurch entsteht, dass Internet-Adressen an der Netzgrenze zu anderen Telekommunikations- und Datennetzen (z.B. öffentliches Internet) geändert werden müssen und übergreifende
Telekommunikations- und/oder Datenverbindungen bisher nicht observiert werden können.
Gelöst wird diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruchs 1.
Die Erfindung wird unter Verwendung von Zeichnungsfiguren, die hier lediglich eine mögliche Ausführungsart am Beispiel des GPRS-Dienstes (General Packet Radio Service) in einem GSM-Netz (Global System for Mobile Communications) in sche atischer Darstellung beschreiben, erläutert, wobei sich anhand der Zeichnungsfiguren weitere Anwendungsgebiete und Ansprüche ergeben .
Die erfindungsgemäße Verfahrensweise ist dabei nicht auf die Anwendung in Mobilfunknetzen, und nicht auf die Anwendung in diesem beispielhaften Netz beschränkt.
Fig. 1 zeigt die prinzipielle Verfahrensweise zur Überwachung von Teilnehmeranschlüssen im Mobilfunk-Bereich (ETSI GSM 03.33) .
Die prinzipielle GPRS-Funktionalität ist beispielsweise in ETSI GSM 03.60 beschrieben. Ein Mobile Terminal (MT) kommuniziert in der Art mit dem Mobilfunknetz, dass sowohl Sprachverbindungen, als auch Datenverbindungen über das Base Station Subsystem BSS in das GSM-Netz ein-/ausgekoppelt werden .
Bei den aktuellen Netzen wird die Sprache mittels Mobile
Switching Center MSC (ISDN-Vermittlungsstelle) weitergeführt, während die paketorientierten Daten über getrennte Netzkomponenten/Vermittlungskomponenten geführt werden. Dabei erfolgt zunächst ein Verbindungsaufbau (GPRS Service Activation) zum SGSN (Switching GPRS Support Node) . Dort wird
der Teilnehmer Authentisiert und der Verbindungswünsch samt Verbindungsberechtigung überprüft. Im positiven Fall wird ein PDP Context (Packed Data Protocol) zum GGSN (Gateway GPRS Support Node) aufgebaut. Der GGSN ist ein IP-Router, der die Verbindung zum externen Netz herstellt.
Hierzu führt der GGSN fallspezifisch beispielsweise eine Authentisierung zu einem externen ISP (Internet Service Provider) mittels RADIUS-Prozedur durch (Remote Access Dial in User Service) , wie sie im Festnetz vergleichbar bei der Einwahl zum ISP durchgeführt wird.
Anschließend erhält der GGSN die ISP-seitige IP-Adresse und übermittelt diese an das MT. In anderen Fällen ordnet der GGSN eine eigene öffentliche IP-Adresse aus dem eigenen Pool des Netzbetreibers zu, oder er verwendet eine private IP- Adresse (RFC 1918), beispielsweise wenn IP-Server im eigenen Netz adressiert werden. Diese Funktionalität ist beispielsweise bei WAP-Betrieb üblich (Wireless Application Protocol) . Die Notwendigkeit der öffentlichen IP-Adressen ist in „TCP/IP" Dr. Sidnie Feit, McGraw-Hill, ISBN 0-07-022069-7, auf S. 101 beschrieben. Das Notebook (NB) ist optional und ermöglicht die Verwendung einer standardisierten Personal Computer- (PC) Umgebung mit Betriebssystem, Browser, Clients etc. im Anschluss an beispielsweise das öffentliche Internet.
Sind länger bestehende Sessions erforderlich (z.B. Always Connect/Always on-Betrieb) , dann kann aufgrund der knappen Ressource „Öffentliche IP-Adresse" keine öffentliche IP- Adresse während der gesamten Zeit bereitgestellt werden. Abhilfe schafft beispielsweise NAT (Network Address Translation) , wahlweise mit PAT (Port Address Translation, gemäß RFC 1631 u. 2663) bzw. der Einsatz von Application Gateways (WAP) oder Proxy-Lösungen (HTTP, „TCP/IP" Dr. Sidnie
Feit, McGraw-Hill, ISBN 0-07-022069-7, S. 670) . Diese Verfahren nutzen Timesharing oder Multiplexverfahren von IP- Adressen. Ein Teil der beschriebenen Funktionalität kann alternativ zum GGSN auch in einem separaten Access Network (AN) angeordnet sein, dass innerhalb oder außerhalb des eigentlichen GPRS Netzwerkes angesiedelt ist. Diese Anordnung erlaubt ggf. mehr Flexibilität und zusätzliche Funktionalität. Hier kann beispielsweise auch ein Firewall mit Schutzfunktion installiert sein.
Im folgenden steht der Ausdruck Access Network AN als Stellvertreter für die Funktionalität der Adresskonvertierung .
Die Überwachungsmaßnahmen für das gesamte Netz werden im ICC (Interception Control Center) administriert. Dort wird insbesondere eine Liste der Subscriber (Teilnehmerrufnummern) gepflegt, die der Maßnahme jeweils aktuell unterliegen. Diese Teilnehmerdaten werden in Form der Rufnummern (Im GSM-Netz die IMSI oder MSISDN) zu den Netzknoten übertragen
(MSC/SGSN) . Danach werden die betreffenden Teilnehmer automatisch endgerätenah überwacht. Jeglicher Verkehr, der zum/vo Teilnehmer durch den Vermittlungsknoten transportiert wird, wird kopiert und über das ICC zum Bedarfsträger (LEA/ Law Enforcement Agency) übermittelt. Das ICC steht dabei synonym auch für die Übermittlung des Verkehrs zum LEA. Die technische Realisierung kann bedarfsweise eine unmittelbare Übertragung bestimmter Daten seitens einiger oder mehrerer Netzknoten zum LEA (oder mehreren Leas) vorsehen, wenn dadurch Übertragungskosten gespart werden. Der Vorgang wird jedoch stets vom ICC administriert (ggf. vom LEA über das ICC) . Zur Vereinfachung der Erläuterungen wird im weiteren Text von einer beiderseitigen Kommunikation über das ICC ausgegangen. Die Vereinfachung steht dabei stellvertretend auch für alle administrierten Sonderübertragungen.
Alternativ zur IMSI/MSISDN können bei anderen Datennetzen, beispielsweise dem Internet, andere Subscriber-Kennungen wie beispielsweise die TCP-Adresse (optional in Kombination mit der IP-Port-Nummer) verwendet werden.
Für den Fall, dass die Internet Adresse im GGSN oder AN geändert wird, existieren jedoch zwei getrennte Kommunikationsabschnitte. Eine überwachbare Verbindung zwischen MT und der Netzgrenze (sowohl Rufnummer, als auch IP-Adresse sind bekannt) , als auch eine anonyme Verbindung jenseits der Netzgrenze. Hierbei existiert kein Bezug zum MT, da die externe IP lediglich innerhalb der Konvertierungs- Komponente bekannt ist, nicht jedoch innerhalb der Protokolle zum MT geliefert wird.
D.h. diese Adresse ist bisweilen im ICC sowie beim LEA nicht bekannt und kann nicht ermittelt werden. Damit sind Kommunikationsverbindungen über die Netzgrenze hinaus nur eingeschränkt nachvollziehbar.
Fig. 2 zeigt eine erfindungsgemäße Verfahrensweise zur Behebung der Nachteile.
Hier dient eine zusätzliche Verbindung (Access Link (1) ) dazu, eine Kommunikation zwischen ICC und der Komponente innerhalb oder außerhalb des Telekommunikations-oder Datennetzes aufzubauen, die eine Umsetzung der IP-Adressen betreibt. Beispielsweise ist hier eine Verbindung zu einem Internet Access Server IAS (2) dargestellt, der NAT durchführt und die NAT-Datenbank (3) unterhält. Der IAS ist innerhalb des AN angeordnet (Vereinfachung, s.o.). Die NAT-Datenbank beinhaltet dabei die Zuordnung zwischen internen und externen Adressen, da die Adressumsetzung bei jedem Datenpaket durchgeführt werden muss.
Es lassen sich mehrere im Detail unterschiedliche Verfahrensweisen auf dieser Grundstruktur abbilden, die jeweils unterschiedliche AufWandsschwerpunkte in den betrachteten Komponenten hervorrufen. In jedem Fall sendet der IAS die erforderlichen Access- Parameter (einzeln oder gesammelt) zum ICC, wobei das ICC eine bedarfsspezifische Verarbeitung sowie die weitere Übertragung zum LEA durchführt .
Eine mögliche Verfahrensweise ist dadurch gegeben, dass der IAS bei jeder Neuanlage einer AdressZuordnung, die entsprechenden Parameter auch unmittelbar automatisch an das ICC überträgt. Dies kann für alle Teilnehmer erfolgen, oder nur für bestimmte (observierte) Teilnehmer. In letztgenannten Fall muss das IAS jedoch eine Liste pflegen, die zuvor vom ICC übermittelt wurde.
Hierbei kann es sich um eine Liste auf Rufnummernbasis handeln, oder um eine Liste auf IP-Adress-Basis im ersten Fall pflegt das IAS die komplette Zuordnungsliste, während im zweiten Fall das ICC eine Liste mit Rufnummern und internen IP-Adressen pflegt, die jeweils um die Informationen der externen Adressparameter ergänzt wird.
Da der IAS in der Regel keine Rufnummern kennt, muss die entsprechende Information verfügbar gemacht werden. Hierzu werden die internen Kommunikationsprotokolle zwischen MT und IAS um eine entsprechende Information erweitert, oder der IAS startet eine Anfrage bei einer im Netz angesiedelten Datenbank, die diese Information beinhaltet.
Umgekehrt besitzt das ICC in der Regel keine IP-Adressen der observierten Teilnehmer, da diese ggf. dynamisch geändert werden können und keine sinnvolle Teilnehmerkennung in einem Telekommunikationsnetz darstellen. Werden IP-Adressen als Selektionskriterien vom ICC zum IAS übertragen, so müssen diese Daten für das ICC zuvor verfügbar gemacht werden. Dies
kann durch Abfrage der o.g. Datenbank, oder auch durch Extraktion der überwachten Protokolldaten imICC erfolgen, die im Vermittlungssystem ausgekoppelt/kopiert und zum ICC geführt werden. In diesem Fall pflegt das ICC eine demgemäße Referenzliste.
Werden alle Daten aller Teilnehmer seitens IAS geliefert, muss das ICC die bedarfsgerechte Selektion mit Reduktion der Teilnehmer durchführen, die tatsächlich einer Überwachung unterliegen. Dazu unterhält das IAS oder alternativ das ICC eine o.g. Datenbank bzw. erfragt die Parameter jeweils bei einer netzinternen Datenbank - je nachdem, ob die Adress- Konvertierungsparameter als Referenz zu einer internen IP- Adresse oder einer Teilnehmerrufnummer übertragen werden.
Unterhält der Kunde Verbindungen zu mehreren Netzen, müssen bedarfsweise weitere Acces Links zu anderen Komponenten vorhanden sein.
Das Verfahren ist daher mit beträchtlichem Aufwand verbunden, insbesondere ist eine separate Verbindung (physikalisch oder logisch) zwischen ICC und IAS erforderlich, eine entsprechende Bearbeitung im ICC sowie im AN (IAS) , eine Datenbank in IAS und/oder ICC und ggf. an zentraler Stelle sowie eine Protokollabstimmung zum LEA zwecks Anordnung der öffentlichen IP-Adresse innerhalb der Informationsprotokolle.
Die gesetzlichen Anforderungen sind jedoch erfüllbar, so dass die externen Adressparameter jederzeit zum Bedarfsträger übermittelt werden können.
Fig. 3 zeigt eine alternative erfindungsgemäße Verfahrensweise zur Lösung der Problematik. Diese Variante erfordert weniger Aufwand als Variante 1 und ist daher in der Mehrzahl der Fälle der ökonomischere Weg.
Die Netzstruktur ist identisch zu den bisherigen Betrachtungsfällen. Im Falle einer Adresstransformation speichert der durchführende Netzknoten (NAT, PAT, Proxy, Gateway etc.) die Werte in einer Tabelle oder Datenbank ab und sendet unmittelbar die betreffenden Parameter, die die Kommunikation hinter dem Netzübergang (im öffentlichen Internet o.a.) bestimmen (IP-Adresse, Port-Adresse, Session- Kennung, Timeout etc.) mittels einer Public Address Transmission Message PATM an das MT. Hierzu steht ihm als
Adressierung die interne Teilnehmerrufnummer, die IP-Adresse, die Geräte-Kennung o.a. zur Verfügung. Da sämtlicher Verkehr der betreffenden MT im SGSN überwacht und kopiert wird, gelangt auf diese Weise auch die PATM über das ICC zum LEA und kann für weitere Überwachungsmaßnahmen ausgewertet werden .
Auf diese Art und Weise ist garantiert, dass alle erforderlichen Informationen automatisch und unmittelbar stets aktuell übertragen werden, wobei keine zusätzlichen Leitungsverbindungen zwischen ICC und AN, keine Zusatzmaßnahmen im ICC und nur ein geringer Aufwand im AN betrieben werden muss. Als PATM bietet sich beispielsweise die Verwendung einer bereits bekannten Protokollkomponente im IP-Protokoll an, die im Regelfall im MT nicht benötigt wird und dort keine funktionale Reaktion auswirkt . Nutzbare Beispiele dafür sind Messages aus dem Internet Control Message Protocol ICMP (Ping Echo Message, Information oder Jet Unassigned, „TCP/IP" Dr. Sidnie Feit, McGraw-Hill, ISBN 0-07-022069-7, S. 185) oder beispielsweise einem Router- Protokoll (z.B. Open Shortest Path First- Hello-Message, „TCP/IP" Dr. Sidnie Feit, McGraw-Hill, ISBN 0-07-022069-7, S. 240) . Die Informationsfelder müssen gemäß den zu übertragenden Adressierungsinformationen gestaltet werden.
Abkürzungen
AN Access Network
BSS Base Station Subsystem
GGSN Gateway GPRS Support Node
GPRS General Packet Radio System
ICC Interception Control Center
LEA Law Enforcement Agency
LI Lawful Interception
MSC Mobile Switching Center
MT Mobile Terminal
PATM Publick Address Tranmission Message
SGSN Switching GPRS Support Node
WAP Wireless Application Protocol
Zeichnungen und Anlagen
Fig. 1 Netz- und Interception-Architektur im GSM/GPRS-Netz Fig. 2 Erfindungsgemäße IP- Überwachung, Variante 1 Fig. 3 Erfindungsgemäße IP- Überwachung, Variante 2
Claims
1. Verfahren zur Durchführung von Überwachungsmaßnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP- Protokoll (Internet Protokoll) , dadurch gekennzeichnet, dass Adresskonvertierungseinrichtungen (hier als Access Network AN bezeichnet) , die eine Adressumsetzung zu externen Kommunikations-und Datennetzen, zum öffentlichen Internet, zu Service-Providern (z.B. Internet Service Provider ISP) oder zu privaten Netzen (z.B. Intranets) durchführen, die extern verwendeten
Kommunikationsparameter (IP-Adresse, TCP-Port-Nummer, Proy-Session Kennung, Timout-Parameter etc.), die im internen Verkehr zwischen Teilnehmereinrichtung und AN nicht für die Kommunikation verwendet werden und daher im Zuge einer Überwachungsmaßnahme hier auch nicht erfasst werden können, diese Informationen jeweils aktuell und automatisch auf separaten oder mitgenutzten Übertragungskanälen nach Aufforderung (Abfrage) oder spontan zum ICC und/oder zum Bedarfsträger bzw. zu den Bedarfsträgern übertragen, damit über die Netzgrenze hinweg eine verbesserte Überwachung von Kommunikationsbeziehungen realisierbar ist.
2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass jeweils eine separate Übertragungsleitung bzw. bestehende Übertragungskanäle zwischen dem ICC und einem oder mehreren AN genutzt wird, auf der ein Protokollverkehr . zwischen ICC und AN ausgetauscht wird, wobei der AN mittels Einzel- oder Gesamtadministration (Einzel-oder Gesamtliste) seitens ICC die Information erhält, welche Verkehrsbeziehungen einer Überwachung unterstehen und auf umgekehrtem Wege das ICC informiert wird, welche externen Kommunikationsparameter jeweils genutzt werden.
Verfahren gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass das AN in einer alternativen Ausführung die ICC- seitige Administrationsliste für das gesamte Netz (gleiche Liste für alle Netzknoten) verwaltet und bei jedem Kommunikations- oder Konvertierungsvorgang verifiziert, ob die zugehörigen Datagramme einer Observierung unterliegen, wonach im positiven Fall eine Information zum ICC gesendet wird.
4. Verfahren gemäß einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das AN in einer alternativen Ausführung unaufgefordert und automatisch jede Adresskonvertierung an das ICC überträgt, die aktuell gerade eingerichtet wird, wobei das ICC in diesem Fall die Selektion der überwachten Einzelmaßnahmen aus der Gesamtmenge der zur Verfügung stehenden Information durchführt .
5. Verfahren gemäß einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das AN in alternativer Ausführungsart bei Einzelfällen seitens ICC abgefragt wird und demgemäß die gewünschte Information an das ICC liefert.
6. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass das AN bei jeder Adresstransformation (Neuanlage/Neuzuordnung einer externen Adresse) eine diesbezügliche Protokollinformation über die übliche Übertragungseinrichtungen und -wege an das MT versendet, wobei die Adressinformation auf diese Weise automatisch über die in den Netzknoten integrierten Überwachungseinrichtungen für Signalisierungs- und Datenverkehr zum ICC und/oder zum LEA oder mehreren Leas gelangt, ohne dass zusätzlicher Kommunikations- oder Protokollaufwand zwischen ICC und AN zu leisten ist.
7. Verfahren gemäß Ansprüche 1 oder 6, dadurch gekennzeichnet, dass zur Übertragung der Adressinformation optional ein bereits definiertes Protokollelement genutzt wird, welches im MT ohne funktionale Störungen der aktuellen Kommunikationsbeziehung empfangen wird, wobei es für den Regelbetrieb aber nicht ausgewertet bzw. nicht notwendig ist und im Datenfeld mit der notwendigen Zusatzinformation ausgestattet ist.
8. Verfahren gemäß Ansprüche 7, dadurch gekennzeichnet, dass ICMP- oder Routing-Protokolle bzw. deren Echo-, Alive- oder Informations-Nachrichten genutzt werden.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2002229470A AU2002229470A1 (en) | 2000-12-07 | 2001-12-06 | Method for executing monitoring measures in telecommunications networks and data networks with, for example, an ip protocol (internet protocol) |
| EP01990278A EP1340353B1 (de) | 2000-12-07 | 2001-12-06 | Verfahren zur Durchführung von Überwachungsmassnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP-Protokoll |
| DE50107934T DE50107934D1 (de) | 2000-12-07 | 2001-12-06 | Verfahren zur Durchführung von Überwachungsmassnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP-Protokoll |
| AT01990278T ATE308848T1 (de) | 2000-12-07 | 2001-12-06 | Verfahren zur durchführung von überwachungsmassnahmen in telekommunikations- und datennetzen mit beispielsweise ip-protokoll |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10061128.1 | 2000-12-07 | ||
| DE10061128A DE10061128A1 (de) | 2000-12-07 | 2000-12-07 | Verfahren zur Durchführung von Überwachungsmaßnahmen in Telekommunikation- und Datennetzen mit beispielsweise IP-Protokoll (Internet Protokoll) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2002047353A2 true WO2002047353A2 (de) | 2002-06-13 |
| WO2002047353A3 WO2002047353A3 (de) | 2003-01-09 |
Family
ID=7666323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/DE2001/004573 WO2002047353A2 (de) | 2000-12-07 | 2001-12-06 | Verfahren zur durchführung von überwachungsmassnahmen in telekommunikations und datennetzen mit beispielsweise ip-protokoll |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1340353B1 (de) |
| AT (1) | ATE308848T1 (de) |
| AU (1) | AU2002229470A1 (de) |
| DE (2) | DE10061128A1 (de) |
| WO (1) | WO2002047353A2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002085041A3 (de) * | 2001-04-10 | 2003-04-10 | T Mobile Deutschland Gmbh | Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations- und datennetzen |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040095894A1 (en) * | 2002-11-15 | 2004-05-20 | Jaana Eloranta | Method and system for handling connection information in a communication network |
| DE10323006A1 (de) * | 2003-05-21 | 2004-12-23 | Siemens Ag | Zentrale Abhör- und Auswerteinheit |
| DE102015005387B4 (de) | 2015-04-28 | 2018-06-14 | Walter Keller | Verfahren, Kommunikations-Endgerät, Router-Einrichtung, Servereinrichtung, Internet-Zugang und Computerrogrammprodukt zur Herstellung und Durchführung von Kommunikationsverbindungen zwischen zumindest einem Endgerät und dem Internet |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6104711A (en) * | 1997-03-06 | 2000-08-15 | Bell Atlantic Network Services, Inc. | Enhanced internet domain name server |
| FI106509B (fi) * | 1997-09-26 | 2001-02-15 | Nokia Networks Oy | Laillinen salakuuntelu tietoliikenneverkossa |
| EP1159817B1 (de) * | 1999-03-12 | 2011-11-16 | Nokia Corporation | Auffangsystem und -verfahren |
-
2000
- 2000-12-07 DE DE10061128A patent/DE10061128A1/de not_active Withdrawn
-
2001
- 2001-12-06 AT AT01990278T patent/ATE308848T1/de active
- 2001-12-06 WO PCT/DE2001/004573 patent/WO2002047353A2/de not_active Application Discontinuation
- 2001-12-06 DE DE50107934T patent/DE50107934D1/de not_active Expired - Lifetime
- 2001-12-06 AU AU2002229470A patent/AU2002229470A1/en not_active Abandoned
- 2001-12-06 EP EP01990278A patent/EP1340353B1/de not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002085041A3 (de) * | 2001-04-10 | 2003-04-10 | T Mobile Deutschland Gmbh | Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations- und datennetzen |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE308848T1 (de) | 2005-11-15 |
| DE10061128A1 (de) | 2002-06-13 |
| EP1340353A2 (de) | 2003-09-03 |
| DE50107934D1 (de) | 2005-12-08 |
| EP1340353B1 (de) | 2005-11-02 |
| WO2002047353A3 (de) | 2003-01-09 |
| AU2002229470A1 (en) | 2002-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE60124087T2 (de) | Verfahren zur überwachung von anrufen in einem ip-basierten netzwerk | |
| DE60114163T2 (de) | Ip kommunikation in einem zellularen kommunkationssystem | |
| DE60132387T2 (de) | Richtlinien-Koordination in einem Kommunikationsnetz | |
| EP2005699B1 (de) | Verfahren für lawful interception bei anrufweiterschaltung in einem paketorientierten telekommunikationsnetz | |
| WO1999033239A2 (de) | Verfahren zur unterstützung von mobilität im internet | |
| DE602004008293T2 (de) | Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken | |
| EP1378108B1 (de) | Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations - und datennetzen | |
| DE19948458A1 (de) | Server zur Unterstützung des Aufbaus von Fernsprechverbindungen über ein IP Netz | |
| EP1340353B1 (de) | Verfahren zur Durchführung von Überwachungsmassnahmen in Telekommunikations- und Datennetzen mit beispielsweise IP-Protokoll | |
| DE10316236A1 (de) | Verfahren und Anordnung zur Konfiguration einer Einrichtung in einem Datennetz | |
| EP1929758B1 (de) | VERFAHREN ZUR AKTIVIERUNG ZUMINDEST EINER WEITERER ABHÖRHÖRMAßNAHME IN ZUMINDEST EINEM KOMMUNIKATIONSNETZ | |
| EP2055087B1 (de) | Verfahren zum weiterleiten von notfallnachrichten eines endgerätes in einem kommunikationsnetz | |
| EP1522202B1 (de) | Erstellen von dienstevereinbarungen zur nutzung netzinterner funktionen von telekommunikationsnetzen | |
| DE10053951B4 (de) | Verfahren und Router zur Einrichtung einer Verbindung über ein IP-orientiertes Netz | |
| DE19936783C2 (de) | Verfahren zur Nutzung von durch ein Kommunikationsnetz bereitgestellten teilnehmerbezogenen Wirknetzinformationen in Mehrwert- oder Internetdiensten | |
| DE60202663T2 (de) | System und Verfahren zum Zuteilen dynamischer IP-Adressen | |
| DE10151743A1 (de) | Verfahren zur Durchführung von augenblicklichem Nachrichtenverkehr (Instant Messaging) mit paketvermittelten Daten | |
| DE19833969A1 (de) | Verfahren zum Aufbau einer Kommunikationsverbindung | |
| DE19952669A1 (de) | Umgekehrte Maskierung für die Zugreifbarkeit auf Datenendstationen in privaten IPv4-Netzen | |
| EP1841164A1 (de) | System, Verfahren und Verbindungseinheit zum dynamischen Konfigurieren von NAT-Routern | |
| DE10154546A1 (de) | Verfahren zum Zugänglichmachen von Diensten in Telekommunikationsnetzen, zum Beispiel im Internet | |
| DE102005063048A1 (de) | Vermittlungseinheit für ein IP Multimedia Subsystem | |
| DE102008059522A1 (de) | Vorrichtung und Verfahren zur automatischen Umleitung des VolP-Telefonverkehrs bei Netzstörungen in ein Mobilfunknetz | |
| DE10042267A1 (de) | Adressierungsserver | |
| DE10155939A1 (de) | Verfahren zur Übertragung von Signalisierungsdaten und Telekommunikationssystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A2 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT TZ UA UG US UZ VN YU ZA ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A2 Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| DFPE | Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101) | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 2001990278 Country of ref document: EP |
|
| WWP | Wipo information: published in national office |
Ref document number: 2001990278 Country of ref document: EP |
|
| WWG | Wipo information: grant in national office |
Ref document number: 2001990278 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: JP |
|
| WWW | Wipo information: withdrawn in national office |
Country of ref document: JP |