HANS WULFF, VOLKER KANITZ, ALIREZA ASSADI GbR
Verfahren und System zur Übertragung von Sprachinformationen zwischen mindestens zwei Teilnehmern.
Die Erfindung betrifft ein Verfahren und ein System zur Übertragung von Sprachinformationen zwischen mindestens zwei Teilnehmern.
Die Übertragung von Sprachinformation erfolgt heute meist über verbindungsorientierte Verbindungen. Das bedeutet, daß eine Verbindung zwischen mindestens zwei Teilnehmern hergestellt wird. Diese Verbindung bleibt über die gesamte Zeitdauer des Gesprächs bestehen, ungeachtet ob Sprachinformationen übertragen werden oder nicht. Dies hat vor allem Einfluß auf die Ausnutzung der Übertragungsbandbreiten und Übertragungskapazitäten.
In neueren Systemen und Verfahren zur Übertragung von Sprachinformation wird die Sprachinformation, zum Beispiel durch Kodieren, Dekodieren, Multiplexen usw. bearbeitet, um die Übertragungskapazität einer Verbindung effizienter nutzen zu können. Ein klassisches Beispiel sind hierfür die Sprach-Daten-Multiplexer, aber auch das Voice over IP-Ver- fahren (VoIP) .
Sprachinformationen, die über Mobilfunknetze übertragen werden, sind auch kodiert mit dem Ziel, die Informationen hinsichtlich der verwendeten Übertragungskapazitäten so effizient wie möglich zu übertragen.
Bei der Übertragung von Sprachinformationen über die vorhandenen öffentlichen Netze, speziell auch die öffentlichen Mobilfunknetze, ist es ein großer Vorteil, wenn eine Abhörsicherheit gegeben ist. Dies ist insbesondere für Organe mit Sicherheitsaufgaben wesentlich. Um Sprachinformationen
für Organe mit Sicherheitsaufgaben abhörsicher zu übertragen, könnten völlig neue Netze, auch Mobilfunknetze, aufgebaut werden, die allein diesen Organen zur Verfügung stehen. Der Aufbau eines völlig neuen Netzes wäre mit großen Kosten verbunden und würde zu einer höheren Strahlenbelastung führen.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein System zur abhörsicheren Übertragung von Sprachinforma- tionen über die vorhandenen Netze zwischen mindestens zwei Teilnehmern zu schaffen.
Diese Aufgabe wird bei dem Verfahren der eingangs erwähnten Art durch die Merkmale des kennzeichnenden Teils des An- spruchs 1 gelöst und bei einem System der eingangs erwähnten Art durch die Merkmale des kennzeichnenden Teils des Anspruchs 5.
Das erfindungsgemäße Verfahren beschreibt eine abhörsichere Übertragung von Sprachinformationen zwischen mindestens zwei Teilnehmern bzw. Endgeräten. Das erfindungsgemäße Verfahren, das auch mit Secure Mobile Telephone Service (SMTS) bezeichnet werden kann, und das erfindungsgemäße System realisieren die abhörsichere Übertragung von Sprachinforma- tionen Ende zu Ende, das heißt von Teilnehmerendgerät zu Teilnehmerendgerät. Diese abhörsichere Übertragung von Sprachinformationen läßt sich insbesondere bei Mobilfunknetzen anwenden. Grundsätzlich ist das Verfahren jedoch auch nutzbar auf allen Übertragungsmedien, wie drahtgebun- dener Übertragung und nicht drahtgebundener Übertragung wie Mobilfunk oder Richtfunk.
Von großem Vorteil ist die Abhörsicherheit von mobilen Endgeräten, sowie des genutzten Mobilfunknetzes für Behörden mit Sicherheitsaufgaben. Dies vor allem vor dem Hintergrund
einer ständig wachsenden Bedrohung durch verschiedene Formen des Terrorismus .
Jedoch nicht nur für Behörden mit Sicherheitsaufgaben, son- dem vermehrt auch für Unternehmen stellt die Abhörsicherheit einen großen Vorteil dar. Im Falle der Unternehmen besteht der Vorteil der Abhörsicherheit gegenüber Wirtschaftskriminellen. Beispielunternehmen rekrutieren sich aus den Bereichen High-Tech, Phar a, Bio-Tech, etc.
Es lassen sich in Mobilfunknetzen mit abhörsicherer Übertragung von Sprachinformationen geschlossene Nutzergruppen bilden. Somit können beispielsweise Einsatzgruppen von mit Sicherheitsaufgaben befaßten Organen strukturiert werden. Auch beim erfindungsgemäßen Verfahren können für den direkten Verbindungsaufbau zwischen Teilnehmern Verbindungen durch Betätigen von Funktionstasten aufgebaut werden. Es sind keine Wahlprozeduren mehr notwendig; dadurch kann der Verbindungsaufbau zeitlich bedeutend verkürzt sein. Dies ist zum Beispiel bei der Nutzung des erfindungsgemäßen Verfahrens für Sicherheitskräfte im Einsatz notwendig.
Beim erfindungsgemäßen Verfahren und auch System lassen sich auch Rechte an einzelne Teilnehmer vergeben, so daß hierdurch bestimmt werden kann, welcher Teilnehmer mit welchen Teilnehmern zu welchen Zeiten kommunizieren darf. Beim erfindungsgemäßen Verfahren sind auch Gruppenverbindungen auch bei Anwendung in Mobilfunknetzen möglich. In derzeitigen Mobilfunknetzen werden normalerweise Verbindungen zwi- sehen zwei Teilnehmern aufgebaut. Zusätzlich sind auch Konferenzschaltungen möglich. Dabei muß jede einzelne Verbindung separat aufgebaut werden. Die Gruppenverbindungsfunk- tion erlaubt die Kommunikation von Teilnehmergruppen ohne dedizierten Verbindungsaufbau zu jedem einzelnen Teilneh- mer.
Wenn das erfindungsgemäße Verfahren bei Organen mit Sicherheitsaufgaben eingesetzt wird, ist es im Notfall erforderlich, daß einzelne Verbindungswünsche vorrangig bearbeitet werden. Dies ist mit dem erfindungsgemäßen Verfahren mög- lieh.
Mit dem erfindungsgemäßen Verfahren läßt sich nicht nur Sprachinformation verschlüsselt übertragen, sondern es können auch Daten verschlüsselt und abhörsicher übertragen werden.
Das erfindungsgemäße Verfahren wird durch die logische und besondere Abfolge und Kombination der im Patentanspruch 1 aufgeführten Komponenten realisiert.
Vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens sind durch die Unteransprüche gekennzeichnet.
Insbesondere kann bei einem Verfahren zur Übertragung von Sprachinformation nach der Erfindung die Umsetzung der
Sprachinformation in IP-Pakete (Internet-Protokoll-Pakete) und die Übertragung mittels VoIP (Voice over IP-Networks) erfolgen. VoIP ist das derzeit weltweit einzige standardisierte Verfahren, mit dem Sprachinformation in Datenpakete, hier IP-Pakete, umgewandelt und übertragen werden kann. Die Nutzung von IP hängt unter anderem von der weit verbreiteten Nutzung von IP und der Verfügbarkeit IP-basierten Netzwerken zusammen. Außerdem existieren hierfür Standards und RFCs.
Bei der Übertragung von originären Sprachinformationen mittels VoIP als IP-Pakete findet die Umwandlung der Sprachpakete in IP-Pakete in den Endgeräten statt. Dementsprechend müssen Einrichtungen zur Umwandlung von Sprachiformationen in IP-Pakete in die Endgeräte integriert werden oder als Zusatzeinrichtungen für Endgeräte bereitsgestellt werden.
Weitere Komponenten sind in Mobilfunknetzen für die Umwandlung der Sprachinformation in IP-Pakete nicht erforderlich.
Das erfindungsgemäße Verfahren läßt sich in öffentlichen Netzwerken anwenden. Mehrere Teilnehmer von öffentlichen Netzwerken können zu einer Nutzergruppe zusammengeschlossen sein (VPN = Virtual Private Networks) . Dabei können jedem Teilnehmer unterschiedliche Nutzerrechte vergeben werden. Zur Realisierung der Sprachübertragung durch öffentliche Netzwerke wurden verschiedene Protokolle entwickelt. Vorzugsweise wird ein Protokoll IPSec verwendet. Mit diesem Protokoll können IP-Pakete sicher (abhörsicher) übertragen werden.
IPSec arbeitet auf der Netzwerkebene, das heißt auf der
Ebene 3 des OSI-Modells. Dies hat den Vorteil, daß bei einer Verbindung von Endgeräten keine Sicherungsmaßnahmen für jedes einzelne Endgerät erforderlich sind und nicht jede einzelne Anwendung gesichert sein muß.
IPSec realisiert zwei verschiedene Operationen. Zum einen realisiert IPSec die Authentifizierung, zum anderen die Verschlüsselung der IP-Pakete. Die Aufteilung auf diese zwei Operationen hat dazu geführt, daß IPSec in zwei ver- schiedenen Modi arbeitet:
im Transportmodus erfolgt die Authentifizierung und/oder Verschlüsselung jedes IP-Paketes lediglich durch das Segment der Transport-Ebene jedes IP- Paketes.
Im Tunnel-Modus erfolgt die Authentifizierung und/oder Verschlüsselung des gesamten IP-Paketes.
IPSec beinhaltet bereits verschiedene Standards, die Au- thentifikation, Vertraulichkeit und Datenintegrität realisieren, wie zum Beispiel Data Inscription Standard DIS und
andere Standards zur Verschlüsselung oder key hash Allgo- rithmen zur Authentifikation (HMAC, MD5, SHA) .
Neben IPSec existieren noch weitere Protokolle, die für die Realisierung von geschlossenen Nutzergruppen empfohlen werden: PPTP, L2F und L2TP.
Das erfindungsgemäße Verfahren läßt sich bei unterschiedlichen Mobilfunknetzen und zwar sowohl bei analogen als auch bei digitalen Mobilfunknetzen anwenden, solange die Übertragung von IP-Daten gewährleistet ist. Die derzeit eingesetzten Mobilfunknetze genügen dieser Forderung. Die meisten der derzeit weltweit genutzten Mobilfunknetze basieren auf GSM-Standard. Man spricht auch von der zweiten Mobil- funkgeneration. Derzeit werden weltweit Mobilfunknetze, der dritten Mobilfunkgeneration aufgebaut, die auf dem UMTS- Standard basieren. Das Hauptziel der Weiterentwicklung der Mobilfunkstandards besteht in der besseren und effizienteren Bereitstellung von Übertragungskapazitäten, wodurch weitere Anwendungen und Funktionalitäten angeboten werden können. Durch die Bereitstellung höherer Bandbreiten bis zu den Endgeräten können bandbreitenintensive Informationen und Applikationen bedeutend effizienter übertragen werden. Da IP auf lange Sicht das Standard-Protokoll zur Übertra- gung weltweit sein wird, ist davon auszugehen, daß auch zukünftige Mobilfunkstandards dieser Forderung genügen.
Das erfindungsgemäße Verfahren kann auf allen derzeit und zukünftig verfügbaren Mobilfunknetzen, die die Übertragung von IP-Pakte gestatten, realisiert und eingesetzt werden.
Ein Beispiel des erfindungsgemäßen Verfahrens sowie des erfindungsgemäßen Systems werden im folgenden an Hand der Zeichnungen im einzelnen näher erläutert.
Dabei zeigen:
Figur 1 einen Prozeßablaufplan und
Figur 2 ein Blockschaltbild eines erfindungsgemäßen Systems . Beim dem Verfahren erfolgt die Übertragung der Sprachinformationen mittels IP-Paketen. Die Umwandlung der Sprachinformationen in IP-Pakete und umgekehrt erfolgt in den Endgeräten. Die in IP-Pakete umgewandelten Sprachinformationen werden mittels IPSec auf den Mobilfunknetzen übertragen.
In öffentlichen Mobilfunknetzen kann normalerweise jeder Teilnehmer mit jedem kommunizieren. SMTS regelt die Kommunikation einzelner Teilnehmer oder Gruppen von Teilnehmern in einzelnen VPN's innerhalb der Mobilfunknetze. Die in den einzelnen VPN' s angeschlossenen Teilnehmer werden mit entsprechenden Nutzer-Rechten ausgestattet.
Zur Nutzung des Verfahrens und damit der abhörsicheren Sprachübertragung ist es erforderlich, daß eine Zugangskon- trolle erfolgt und sich die Teilnehmer authentifizieren. Zur Realisierung dieser Funktionalitäten ist es erforderlich, daß entsprechende Komponenten wie Server und Datenbanken installiert werden. Diese Komponenten können entweder bei den Mobilfunkbetreibern aufgebaut werden oder bei speziellen Betreibern für die VPN's. Im letzeren Fall muß ein Interface zwischen den Mobilfunkbetreibern und den VPN- Betreibern errichtet werden.
Die Schritte des Verfahrens werden im folgenden an Hand ei- nes Ausführungsbeispiels gemäß dem beigefügten Prozeßablaufplan in Einzelheiten beschrieben, ohne daß die Erfindung auf diese Einzelheiten beschränkt sein soll.
1 . Aufbau der Mobilfunkverbindung .
Der Aufbau einer Mobilfunkverbindung ist festgelegt in den Mobilfunkstandards der Mobilfunknetze. In den meisten der- zeit verfügbaren Mobilfunknetzen erfolgt der Aufbau mittels Wählverbindung, das heißt durch die Anwahl einer Teilnehmerrufnummer durch ein Mobilfunkendgerät . Es ist aber auch möglich, daß Mobilfunkverbindungen aufgebaut werden, die vordefiniert sind und keiner Wahlprozedur bedürfen. Der Aufbau einer Mobilfunkverbindung hat keinen Einfluß auf die Funktionalität des erfindungsgemäßen Verfahrens. Er dient lediglich zur Herstellung der Übertragungsstrecke. Deshalb gibt es keine Restriktionen hinsichtlich der verwendeten Prozeduren zum Aufbau einer Mobilfunkverbindung. Es können alle derzeit verfügbaren sowie auch alle zukünftig verfügbaren Prozeduren zum Aufbau einer Mobilfunkverbindung für das erfindungsgemäße Verfahren benutzt werden.
2. Zugangskontrolle und Authentifikation zur abhörsicheren Übertragung.
Die Zugangskontrolle und die Authentifikation der Teilnehmer für das erfindungsgemäße Verfahren erfolgt mittels in VPN's etablierten Verfahren, wie zum Beispiel Challenge Handshake Authenticaton Protocoll (CHAP) und Remote Authen- tication Dial-in User Service (RADIUS) oder Hardwarebasierte Tokens und Digitale Zertifikate. Diese Verfahren nutzen Datenbanken, die implementiert werden müssen. - entweder bei den Mobilfunkbetreibern selbst oder bei separaten VPN-Betreibern.
Erfolgt die Realisierung durch separate VPN-Betreiber, sind Interfaces zwischen diesen VPN-Betreibern und den Mobilfunkbetreibern erforderlich.
Security-Policy-Server realisieren die Zugangskontrolle und die Rechteverwaltung der Teilnehmer. Certificate Authority Server realisieren die Authentifikation.
3. Umwandlung der Sprachinformationen in IP-Pakete.
Die Umwandlung der Sprachinformationen in Sprachpakete erfolgt mittels VoIP in den Endgeräten heute verfügbarer Mobilfunk-Endgeräte. Diese neuen Endgeräte müssen - IP-fähig sein,
- die Umwandlung von Sprachinformationen IP-Pakete realisieren,
- feste IP-Adressen speichern können.
4. Verschlüsselung der IP-Pakete
Die Verschlüsselung erfolgt im Endgerät. Die Verschlüsselung der IP-Pakete erfolgt mittels' Verschlüsselungs-Algorithmen, die im IPSec implementiert sind.
5. Übertragung der IP-Pakete
Die Übertragung der IP-Pakete erfolgt entsprechend den Mobilfunkstandards der genutzten Mobilfunknetze.
6. Entschlüsseln der IP-Pakete
Nachdem die in IP-Pakete umgewandelten Sprachinformationen verschlüsselt übertragen wurden, müssen diese wieder ent- schlüsselt werden. Die Entschlüsselung der IP-Pakete erfolgt im Endgerät.
7. Umwandlung der IP-Pakete in Sprachinformationen.
Nachdem die IP-Pakete wieder entschlüsselt wurden, müssen die darin enthaltenen Informationen wieder in Sprachinformationen umgewandelt werden.
8. Abbau der Mobilfunkverbindung
Der Abbau der Mobilfunkverbindung erfolgt entsprechend der Standards der genutzten Mobilfunknetze.
Ein Ausführungsbeispiel des erfindungsgemäßen Systems wird im folgenden an Hand des Blockschaltbilds der Figur 2 erläutert.
Die Einrichtungen zur Umwandlung der Sprachinformation in IP-Pakete und die zur Verschlüsselung der IP-Pakete, befinden sich in den Endgeräten der Teilnehmer. Die gleichen Einrichtungen realisieren auch die Entschlüsselung der IP- Pakete und die Wiederherstellung der Sprachinformation.
Wenn diese Teilnehmer miteinander kommunizieren wollen, müssen sie eine Mobilfunkverbindung über das Mobilfunknetz aufbauen, an das sie angeschlossen sind. Beispielhaft sind in dem Blockschaltbild Mobilfunknetze nach GSM- bzw. UMTS- Standard dargestellt.
Nach dem Aufbau der Mobilfunkverbindung erfolgt die Zugangskontrolle und Authentifikation der Teilnehmer. Das dazu erforderliche System ist direkt an das Übertragungssystem angeschlossen. Es befindet sich entweder bei den Mo- bilfunkbetreibern selbst oder einem speziellen Betreiber des VPN. Im Blockschaltbild ist dies als Control Center Intranet dargestellt.
Wer die Zugangskontrolle und Authentifikation der Teilneh- mer erfolgreich, können diese über eine gesicherte Verbindung miteinander kommunizieren. Andernfalls wird die Ver-
bindung entweder beendet oder die Teilnehmer erhalten eine Meldung, daß die Verbindung nicht gesichert ist.
Bei der Kommunikation über eine gesicherte Verbindung wer- den die Sprachinformationen mittels der Einrichtungen in den Endgeräten der Teilnehmer in IP-Pakete umgewandelt. Diese IP-Pakete werden dann durch Einrichtungen, die sich ebenfalls in den Endgeräten befinden, verschlüsselt und über das Übertragungssystem übertragen. Die Entschlüsselung der IP-Pakete und die Wiederherstellung der Sprachinformation finden in den gleichen Einrichtungen in den Endgeräten statt.
Das Network Management Intranet ist ein funktionaler Be- standteil des Betreibers des VPN. Hier wird das VPN und die Rechte der einzelnen Teilnehmer konfiguriert.