VERFAHREN UND VORRICHTUNG ZUR ÜBERTRAGUNG VON SICHERHEITS- UND NUTZINFORMATIONEN ÜBER GETRENNTE GESICHERTE VERBINDUNGEN
Beschreibung Verfahren und Vorrichtung zum gesicherten Übertragen von Informationen über eine gesicherte Verbindung 5 Die Erfindung bezieht sich auf ein Verfahren zum gesicherten ttbertagen von Informationen über eine gesicherte Verbindung zwischen zwei Datenendeinrichtungen gemäß den oberbegrifflichen Merkmalen des Patentanspruchs 1 bzw. eine Vorrichtung 10 zum Durchführen eines solchen Verfahrens. Allgemein bekannt ist das Übertragen von Informationen, insbesondere von Signalisierungen und Daten über eine Verbindung in einem öffentlichen Netz zwischen zwei Datenendeinrichtun- 15 gen. Gesicherte Übertragungen über eine gesicherte Verbindung werden vorgenommen, beispielsweise durch den Einsatz von Ver- schlüsselungsverfahren, um die Informationen vor unberechtigtem Zugriff zu schützen. Dazu werden zwischen den Kommunikationsendgeräten als Datenendeinrichtungen zu Beginn des Auf- 20 baus einer Verbindung oder zu Beginn der eigentlichen Übertragungsverbindung Zertifikate und/oder Schlüssel ausgetauscht, ggf. ausgehandelt. Zur Steuerung des Verbindungsaufbaus und der Übertragung wird 25 für eine logische und/oder physikalische Verbindung zumindest ein Protokoll verwendet. Allgemein bekannte Protokolle sind das sog. Session Initiation Protocol (SIP) als Signalisie- rungsprotokoll zwischen derartigen Datenendeinrichtungen als Signalisierungsprotokoll mit zwischenzeitlich weiteren Funk- 30 tionen und das in Entwicklung befindliche sog. Datagram Con- gestion Control Protocol (DCCP) als sehr einfaches Übertragungsprotokoll. Eine Verbindung gemäß SIP kann als gesicherte Verbindung zwischen den Datenendeinrichtungen und ggf. einer Vielzahl zwischen diesen angeordneten Zwischenstationen, wie 35 z.B. sog. Proxys und Registrierungsrechnern eingerichtet werden. Die Sicherung kann dabei von Station zu Station durch den Einsatz von Zertifikaten, Schlüsseln und/oder sonstigen
Sicherheitsmerkmalen der jeweiligen Verbindungstechnologie durchgeführt werden. Außerdem kann ein Austausch von Zertifikaten oder Schlüsseln zwischen den beiden Datenendeinrichtungen erfolgen, so dass diese alternativ oder zusatzlich eine gesicherte Übertragung zwischen diesen selber vornehmen kon-
In DCCP existiert nur ein rudimentärer Sicherheitsmechanismus, welcher bei genauerer Betrachtung jedoch als nicht aus- reichend sicher anzusehen ist. Gemäß dem Standardisierungs- Entwurf/Draft wird ein hoherwertiger Sicherheitsmechanismus auch nicht aufgenommen werden. Der vorhandene Sicherheitsmechanismus entspricht einem einfachen Sicherheitsmechanismus zum Aushandeln von Zertifikaten/Schlüsseln zwischen zwei Da- tenendeinrichtungen. Höhere Protokollschichten oder Applikationen werden nicht involviert. DCCP liefert insbesondere in Punkto kryptografischer Sicherheit keine Garantien. Für Applikationen, welche derartige Anforderungen haben, wird auf Mechanismen in höheren Schichten verwiesen. Auf DCCP-Ebene werden nur Zertifikate erzeugt, welche zwischen zwei Datenendeinrichtungen, also Sender und Empfanger, ein gegenseitiges Identifizieren ermöglichen, um mit diesen DCCP- Mechanismen ein gewisses Maß an Sicherheit gegen bestimmte Angriffe zu gewährleisten. Die Generierung von Zertifikaten auf DCCP-Ebene ist beispielsweise notwendig, um Funktionen wie DCCP-Mobilitat (DCCP Mobility) und das sog. Multi Homeing anbieten zu können. Eine Sicherheit auf Applikationsebene (Application Layer Security) reicht in diesem Zusammenhang jedoch nicht aus, da DCCP selber diese Zertifikate benotigen wurde und noch keine Möglichkeit besteht, diese Zertifikate von höheren ayern (Ebenen) zu nutzen. Ein Grundproblem besteht darin, dass Sender und Empfanger nach einem Verbindungsaufbau wechselseitig Zertifikate/Schlüssel zur Verfugung stellen müssen, welche mit Hilfe eines sicheren Verfahrens gewonnen wurden, um eine Identitatsuberprufung bei einem
Wechsel der IP-Adressen zu gewahrleisten (IP: Internet Protocol) Solche Zertifikate/Schlüssel können derzeit nur auf zwei
Ebenen erzeugt werden, nämlich innerhalb DCCP einerseits und andererseits auf der Applikationsebene.
Sollen Informationen über eine Verbindung zwischen zwei Da- tenendeinrichtungen gesichert übertragen werden, wird zwischen den beiden Datenendeinrichtungen eine erste Verbindung aufgebaut, wobei dafür zum Steuern/Signalisieren ein erstes Protokoll, beispielsweise SIP, verwendet wird. Dies ermöglicht den Aufbau einer gesicherten Verbindung für die Signa- lisierung und den Aufbau der eigentlichen Übertragungsverbindung als einer zweiten Verbindung zwischen den beiden Datenendeinrichtungen. Über die erste gesicherte Verbindung wird der Standort bzw. eine temporäre Internetadresse einer einzuladenden Datenendeinrichtung ermittelt, um dieser eine Einla- düng zum Verbindungsaufbau zu übertragen. Nach dem Zurücksenden einer Bestätigungsnachricht kann dann eine direkte und einfach verwaltete Internetverbindung zwischen den beiden Datenendeinrichtungen aufgebaut werden. Dies erfolgt über die zweite Verbindung mit einem eigenen Protokoll, beispielsweise DCCP. Zu Beginn der Übertragung von Informationen über die zweite Verbindung werden zwischen den beiden Datenendeinrichtungen Zertifikate und/oder Schlüssel ausgetauscht, um die nachfolgende Übertragung von Daten, insbesondere Anwenderdaten, als Informationen mit Hilfe dieser Zertifikate und/oder Schlüssel absichern zu können.
Die Aufgabe der Erfindung besteht darin, ein Verfahren zum gesicherten Übertragen von Informationen über eine Verbindung zwischen zwei Datenendeinrichtungen mit Blick auf die Absi- cherung und die Verfahrensweise bis zur eigentlichen Übertragung von Nutzdaten als Informationen zu vereinfachen.
Diese Aufgabe wird durch das Verfahren mit den Merkmalen des Patentanspruchs 1 bzw. durch die Vorrichtung mit den Merkma- len des Patentanspruchs 16 gelöst.
Ein Verfahren mit eigenständigem erfinderischen Gedanken und bevorzugter Ausfuhrung in Verbindung mit dem Verfahren des Patentanspruchs 1 weist die Merkmale des Patentanspruchs 2 auf.
Besonders bevorzugt wird ein Verfahren zum gesicherten übertragen von Informationen, worunter allgemein auch Signalisierungen und Daten zu verstehen sind, über eine Verbindung zwischen zwei Datenendeinrichtungen, wobei bei dem Verfahren zwischen den Datenendeinrichtungen hinsichtlich zumindest eines ersten und eines zweiten Protokolls zum Steuern und/oder Signalisieren zumindest erste bzw. zweite zueinander verschiedene Verbindungen aufbaubar sind und zum Sichern der zum übertragen der Informationen verwendeten Verbindung zumindest eine Sicherheitsinformation verwendet wird. Dabei kann zur
Vereinfachung für die Zweite der Verbindungen als die Sicherheitsinformation eine SicherheitsInformation von der ersten Verbindung verwendet werden, wobei die erste und die zweite Verbindung die erste und die zweite Datenendeinrichtung über verschiedene logische und/oder physikalische Wege verbinden.
Gemäß dem zweiten hervorzuhebenden und besonders bevorzugten Aspekt, der auch eigenständig umsetzbar ist, werden bei dem Verfahren zum gesicherten Übertragen von Informationen über eine Verbindung zwischen zwei Datenendeinrichtungen zwischen den Datenendeinrichtungen zumindest hinsichtlich eines ersten und eines zweiten Protokolls zumindest erste bzw. zweite zueinander verschiedene Verbindungen aufgebaut, wobei die erste Verbindung als gesicherte Verbindung parallel zur zweiten Verbindung und/oder zum Initialisieren der zweiten Verbindung aufgebaut wird, und wobei zum Sichern der zum übertragen der Informationen verwendeten zweiten Verbindung eine Sicherheitsinformation verwendet wird. Die Sicherheitsinformation für die zweite Verbindung kann dabei zuvor über die zuvor o- der parallel bestehende erste Verbindung übertragen werden.
Unabh ngig von der prinzipiellen Möglichkeit der Nutzung ein- und derselben Sicherheitsinformation für beide Verbindungen,
die erste und die zweite Verbindung, besteht somit die vorteilhafte Möglichkeit, über eine bestehende erste Verbindung, welche bereits mit irgendwie gearteten Mechanismen gesichert ist, Schlüssel und/oder Zertifikate zwischen den beiden Da- tenendeinrichtungen auszutauschen, die dann für die andere, zweite Verbindung verwendet werden. Über die zweite Verbindung kann somit ohne einen ersten anfänglich erforderlichen Austausch von Schlüsseln und Zertifikaten als Sicherheitsinformationen direkt mit der Übertragung von Nutzdaten als In- formationen begonnen werden.
Eine bevorzugte Vorrichtung als Datenendeinrichtung oder als Bestandteil für eine solche Datenendeinrichtung zum Umsetzen solcher Verfahren weist vorteilhafterweise eine Steuerein- richtung zum Steuern der Funktionalität der Vorrichtung und/oder zum Steuern von Signalisierungs- und/oder Übertragungsprogrammen entsprechend verschiedener Protokolle, zumindest eine Speichereinrichtung zum Speichern zumindest einer SicherheitsInformation zum Sichern der Übertragung von Infor- mationen über eine gesicherte von verschiedenen Verbindungen zwischen derartigen Datenendeinrichtungen und zumindest eine Schnittstelle zum Übertragen von Informationen, insbesondere Signalisierungen und/oder Daten, über eine oder beide der Verbindungen zu zumindest der einen oder anderen Datenendein- richtungen auf. Zweckmäßigerweise ist die Steuereinrichtung dabei derart ausgelegt, dass die Sicherheitsinformation, d.h. insbesondere Zertifikate und Schlüssel, die für die oder von der ersten Verbindung mit dem ersten Protokoll bereitsteht, für die zweite Verbindung mit dem zweiten Protokoll verwendet werden kann.
Vorteilhafte Ausgestaltungen sind Gegenstand von abhängigen Ansprüchen . Die Sicherheitsinformation kann über die erste Verbindung vorteilhafterweise als Dateninformation übertragen werden. Dies ermöglicht den Einsatz eines höherwertigen Protokolls
wie SIP, gem ß dem Datenpakete mit einem Body (Rumpfabschnitt) als Datenabschnitt zum übertragen von Zertifikaten und Schlüsseln für die zweite Verbindung verwendet werden können. Neben der Übertragung der Sicherheitsinformation in dem Body bzw. Datenpaket-Datenabschnitt für Nutzdaten kann die Sicherheitsinformation vorteilhafterweise auch in einem Datenpaket-Kopfabschnitt übertragen werden. Beispielsweise kann die Sicherheitsinformation in einer sog. Header-Zeile eingesetzt werden. So kann ein einziger Schlüssel oder ein einziges Zertifikat zu einer entfernten Datenendeinrichtung übertragen werden, um damit beide Verbindungen oder ggf. noch weitere Verbindungen zu sichern.
Vorteilhafterweise wird die erste Verbindung zwischen den Da- tenendeinrichtungen und zwischen dazwischen zwischengeschalteten Ubertragungs- und/oder Steuereinrichtungen individuell gesichert. Dies ermöglicht einer Datenendeinrichtung zu einer zweiten Datenendeinrichtung an einem unbekannten Ort bzw. mit einer unbekannten temporaren Internetadresse eine Verbindung aufzubauen und dabei übliche Verfahrensweisen gemäß SIP zu verwenden. Dabei wird in üblicher Art und Weise von einer einladenden Datenendeinrichtung über deren Schnittstelle zu einem öffentlichen Netz und z.B. einen oder mehrere Proxys als zwischengeschaltete Ubertragungseinrichtungen eine Ver- bindung zu einem Registrierungsrechner, insbesondere zu einer sog. S-CSCF (Serving Call State Control Function) als dienende Rufzustands-Steuerfunktion darin, aufgenommen. Nach dem Erhalt der temporaren IP-Adresse (Adresse gemß Internet- Protokoll) wird eine entsprechende einladende Verbindungsan- forderung (INVITE-Nachricht) an die einzuladende Datenendeinrichtung weitergesendet. Alternativ kann der anfragenden Datenendeinrichtung auch direkt die tempor re Internetadresse mitgeteilt werden. Nachdem die Datenendeinrichtung von der eingeladenen Datenendeinrichtung eine Antwort oder direkt von dem Registrierungsrechner deren temporare IP-Adresse erhalten hat, kann eine direkte Verbindung aufgebaut werden, welche nicht von Punkt zu Punkt (Hop-by-Hop) aufwandig zu sichern
ist. Für die direkte, zweite Verbindung reicht die Verwendung von Schlüsseln und/oder Zertifikaten aus, die zwischen den beiden Datenendeinrichtungen ausgetauscht wurden, wobei auf in den Datenendeinrichtungen bereits bekannte und für vor- zugsweise alle verschiedenartigen Verbindung verwendbare Zertifikate und Schlüssel zurückgegriffen werden kann. Alternativ kann für die direkte, zweite Verbindung auch ein Schlüssel oder ein Zertifikat verwendet werden, welche zuvor über die erste Verbindung mit der Antwort-Nachricht (OK-Nachricht) übertragen wurden. Die zweite Datenendeinrichtung kann im
Falle von aktuell übertragenen Sicherheitsinformationen, insbesondere Schlüsseln und Zertifikaten, solche direkt mit einer ersten Übertragung über die direkte, zweite Verbindung oder zuvor über die gesicherte erste Verbindung, beispiels- weise als Bestandteil der INVITE-Nachricht übertragen bekommen.
Die Übertragung der Sicherheitsinformation innerhalb der Datenendeinrichtungen von einem Steuerbereich und/oder einem Steuerprogramm für das erste Protokoll, insbesondere SIP, zu einem Steuerbereich und/oder Steuerprogramm für das zweite Protokoll, insbesondere DCCP, wird vorteilhafterweise durch eine Steuereinrichtung der Datenendeinrichtung veranlasst. Möglich ist aber auch die Veranlassung durch eine Applikati- on, insbesondere ein Anwendungsprogramm, welches den Aufbau und Unterhalt der einzelnen Verbindung steuert.
Ermöglicht wird somit die Verwendung von Endpunkt-zuEndpunkt-Zertifikaten und Schlüsseln, die in einer Datenend- einrichtung beispielsweise durch eine vorherige Signalisierung bereits vorhanden sind und vorteilhafterweise von einer Applikation auf Applikationsebene zur Verfügung gestellt werden. Dies reduziert die Anzahl der insgesamt benötigten Zertifikate und Schlüssel als Sicherheitsinformation, wenn diese zusätzlich in den unteren Schichten bzw. Ebenen Verwendung finden. Dies ist ein besonderer Vorteil gegenüber bisherigen Verfahren, bei denen auf Applikationsschicht vorhandene Zer
tifikate und Schlüssel in den untern Schichten nicht wiederverwendet wurden. Die Applikationsschicht übergibt beispielsweise der Schicht mit DCCP ihre Zertifikate oder sonstige Sicherheitsinformationen auf sichere Art und Weise. Fokussiert wird insbesondere eine Verfahrensweise außerhalb des direkten Bereichs des DCCP für die Beschaffung und Bereitstellung von Sicherheitsinformationen, die im DCCP-Bereich verwendet werden können. Insbesondere können im DCCP-Bereich Zertifikate wiederverwendet werden, die im SIP-Bereich bzw. im Bereich sonstiger Signalisierungsprotokolle bereits vorhanden sind.
Ein Ausführungsbeispiel wird nachfolgend anhand der Zeichnung näher erläutert. Es zeigen:
Fig. 1 zwei verschiedene Verbindungen zwischen zwei Daten- endeinrichtungen;
Fig. 2 ein zeitliches Ablaufdiagramm von Übertragungen zwischen einzelnen der dargestellten Einrichtungen und Stationen; und
Fig. 3 verschiedene Schichten zweier miteinander kommunizierender Datenendeinrichtungen, wobei Sicherheitsinformationen zu Beginn eines Verbindungsaufbaus über eine erste Verbindung übertragen werden und anschließend Nutzdaten über eine zweite Verbindung übertragen werden, wobei die zweite Verbindung mit den über die erste Verbindung übertragenen Sicherheitsinformationen gesichert wird. Wie aus Fig. 1 ersichtlich, besteht die Möglichkeit, zwischen zwei Datenendeinrichtungen, beispielsweise üblichen Terminals Tl, T2, Mobilfunkgeräten, mobilen oder fest vernetzten Computern und dergleichen eine Kommunikationsverbindung zur Übertragung von Informationen aufzubauen. Die Informationen kön- nen dabei Signalisierungen sein, wie sie zum Aufbauen, Aufrechterhalten und Abbauen einer Verbindung oder sonstige Zwe
cke verwendet werden. Informationen können auch Daten, insbesondere Anwenderdaten sein.
Die Übertragung kann über verschiedene Verbindungen VI, V2 erfolgen, welche zeitlich direkt oder versetzt nacheinander aufgebaut werden und ggf. zeitlich parallel zueinander bestehen. Bei den Verbindungen VI, V2 kann es sich je nach Bedarf um reine Signalisierungsverbindungen, kombinierte Signalisie- rungs- und Datenübertragungsverbindungen oder reine Datenver- bindungen handeln. Die Verbindungswege der Verbindungen VI, V2 können dabei hinsichtlich logischer und physikalischer Verbindungen gleich oder verschieden sein.
Die erste Verbindung VI des dargestellten Ausführungsbei- Spiels führt als Funkverbindung von der ersten Datenendeinrichtung Tl zu einer ersten Zwischeneinrichtung, beispielsweise einem Proxy Pl mit einer entsprechenden Sende- und Empfangseinrichtung. Der weitere Verlauf der ersten Verbindung VI führt vom Proxy Pl zu einem zentralen Rechner S-CSCF (Ser- ving Call State Control Function) , der eine dienende Rufzu- stands-Steuerfunktion S-CSCF als eine Funktionskomponente aufweist. Der zentrale Rechner S-CSCF kann somit eine Funktion als ein Registrar übernehmen, bei dem in einem Speicher MR Adressen verschiedener registrierter Teilnehmer Ti: Tl, T2, T3 registriert sind. Alternativ kann der zentrale Rechner S- CSCF auch eine weitere Verbindung zu entsprechenden Registrierungseinrichtungen aufweisen. Für jeden Teilnehmer Ti sind in dem Speicher MR jeweils zumindest eine globale Adresse und eine temporäre Adresse hinterlegt. Die globale Adresse ist die dem Teilnehmer Ti eindeutig und dauerhaft zugeordnete SIP-Adresse, unter welcher der Teilnehmer bzw. die Teilneh- merstation als Datenendeinrichtung Ti, Tl, T2, T3 erreichbar ist. Die temporäre Adresse ist diejenige IP-Adresse (IP: Internet Protokoll) , welche einer Datenendeinrichtung Ti, Tl, T2 als momentane Zugangsadresse zugeordnet ist. Die temporäre Adresse ist somit diejenige Adresse unter der die Datenendeinrichtung Tl, T2 momentan tatsächlich erreichbar ist. Der
zentrale Rechner S-CSCF nimmt eine Umsetzung einer globalen Adresse in eine temporäre Adresse vor.
Die erste Verbindung VI führt von dem zentralen Rechner S- CSCF über z.B. eine leitungsgebundene Verbindung zu einem weiteren zwischengeschalteten Rechner, vorliegend Proxy P2, und von dort aus über z.B. eine weitere Funkschnittstelle zu der zweiten Datenendeinrichtung T2. Typische Anwendungsfälle sehen Verbindungen mit mehr oder weniger sowie ggf. auch an- dersartigen Zwischeneinrichtungen längs der Verbindungsstrecke der Verbindung VI vor.
Die zweite Verbindung V2 führt von der ersten Datenendeinrichtung Tl über zwei Zwischeneinrichtungen, vorliegend zwei Proxys P3, P4, zu der zweiten Datenendeinrichtung T2. Wie dargestellt, kann auch diese Verbindung V2 über verschiedenartige Schnittstellentypen, vorliegend zwei Funkschnittstellen und eine kabelgebundene Schnittstelle, aufgebaut werden. Die erste Verbindung VI dient beim bevorzugten Ausführungsbeispiel dazu, eine gesicherte Verbindung V2 zwischen der zweiten Datenendeinrichtung T2 und der ersten Datenendeinrichtung Tl aufzubauen. Der Verbindungsaufbau erfolgt dabei unter Verwendung eines Signalisierungsprotokolls, beispiels- weise SIP, H.323 oder MGCP (Media Gateway Control Protocol) . Für die Sicherung der Verbindung können beliebige für sich bekannte Sicherungsmechanismen verwendet werden. Beispielsweise kann eine Sicherung über die Verwendung von Sicherheitsinformationen, z.B. Schlüsseln und Zertifikaten erfol- gen, welche zwischen den jeweiligen miteinander kommunizierenden Stationen und Zwischenstationen T2, P2, S-CSCF, Pl, Tl ausgetauscht werden. Bekannt sind z.B. auch gesicherte Verbindungen, die auf der Verwendung einer individuell zugeordneten Leitung oder Funkverbindung beruhen. Über die gesicher- te erste Verbindung VI kann dann eine Einladung, z.B. eine sog. INVITE-Nachricht von der zweiten Datenendeinrichtung T2 zu dem zentralen Rechner S-CSCF gesendet werden, wobei die
INVITE-Nachricht I-Tl u.a. die Adresse der angeforderten ersten Datenendeinrichtung Tl enthalt. Bei der Adresse handelt es sich um die globale Adresse, welcher von dem zentralen Rechner S-CSCF die temporare IP-Adresse zugeordnet wird, um daraufhin die INVITE-Nachricht zu der ersten Datenendeinrichtung Tl weiterzuleiten. Mit einer Bestatigungsnachricht OK- T2, welche neben der IP-Adresse der zweiten Datenendeinrichtung T2 als Zieladresse als Absenderadresse die temporare IP- Adresse der ersten Datenendeinrichtung Tl enthalt, werden der zweiten Datenendeinrichtung T2 die für den Verbindungsaufbau erforderlichen Informationen übermittelt. Die zweite Datenendeinrichtung T2 erhalt somit über eine gesicherte Verbindung alle Informationen für einen direkten Verbindungsaufbau über eine zweite Verbindung V2 zwischen der zweiten und der ersten Datenendeinrichtung T2, Tl.
Die zweite Verbindung V2 wird jedoch vorteilhafterweise mit Hilfe eines sehr einfachen Signalisierungsprotokolls, beispielsweise DCCP aufgebaut und dient zur nachfolgenden Uber- tragung von Daten als den eigentlichen Informationen. Zur Absicherung der zweiten Verbindung V2 werden üblicherweise zu Beginn Sicherheitsinformationen zwischen den Datenendstationen ausgetauscht. Vorliegend wird jedoch vorteilhafterweise ausgenutzt, dass bereits über die erste Verbindung VI Sicher- heitsinformationen austauschbar sind, so dass der ersten Datenendeinrichtung Tl zusammen mit der INVITE-Nachricht I-Tl auch ein Zertifikat C2 und/oder Schlüssel der zweiten Datenendeinrichtung T2 übertragen werden kann. Mit der Bestatigungsnachricht 0K-T2 werden in umgekehrter Richtung von der ersten Datenendeinrichtung Tl zur zweiten Datenendeinrichtung T2 Sicherheitsinformationen, wiederum beispielsweise ein Zertifikat Cl und Schlüssel der ersten Datenendeinrichtung Tl, übertragen. Für die zweite Verbindung V2 werden diese zuvor ausgetauschten Sicherheitsinformationen mitverwendet, so dass ein einleitender Austausch derartiger Sicherheitsinformationen entbehrlich ist.
Anhand Fig. 2 ist der zeitliche Ablauf von Informationsübertragungen zweier Datenendeinrichtungen sowie zwischengeschal- teter Zwischeneinrichtungen veranschaulicht. Zu einem ersten Zeitpunkt tl registriert sich die erste Datenendeinrichtung Tl bei dem zentralen Rechner S-CSCF durch das Aussenden einer sog. REGISTER-Nachricht Rl . Die REGISTER-Nachricht Rl wird dazu von der ersten Datenendeinrichtung Tl zu einer Zwischeneinrichtung, vorliegend einem Proxy Pl gesendet, an dem die erste Datenendeinrichtung Tl angeschlossen ist. Der Proxy Pl leitet die REGISTER-Nachricht Rl zu dem zentralen Rechner S- CSCF weiter. Der zentrale Rechner S-CSCF entnimmt der REGISTER-Nachricht die temporäre IP-Adresse der ersten Datenendeinrichtung Tl und trägt diese in die entsprechende Zeile einer Adresszuordnungstabelle ein. Zum gleichen oder einem anderen Zeitpunkt meldet sich die zweite Datenendeinrichtung T2 beim zentralen Rechner S-CSCF durch das Übertragen einer entsprechenden REGISTER-Nachricht R2 an. In der Tabelle des zentralen Rechners sind somit für die erste und für die zweite Datenendeinrichtung Tl, T2 neben deren globalen Adressen auch die temporären Adressen registriert, unter denen die Datenendeinrichtungen Tl, T2 momentan erreichbar sind.
Zu einem späteren, zweiten Zeitpunkt t2 möchte die zweite Datenendeinrichtung T2 bzw. deren Anwender eine Datenübertra- gungsverbindung zur ersten Datenendeinrichtung Tl aufbauen. Dazu sendet die zweite Datenendeinrichtung T2 eine sog. INVITE-Nachricht I-Tl über eine gesicherte Verbindung zu dem Zwischenrechner bzw. Proxy P2, mit dem die zweite Datenendeinrichtung T2 in Verbindung steht. Die Einladungs- bzw. INVITE-Nachricht I-Tl enthält als Information neben der Ab- senderadresse, insbesondere temporären IP-Adresse, der zweiten Datenendeinrichtung T2 auch die globale Adresse der ersten Datenendeinrichtung Tl. Bei dem bevorzugten Ausführungsbeispiel wird außerdem zusammen mit der INVITE-Nachricht I-Tl ein Zertifikat und/oder Schlüssel T2 der zweiten Datenendeinrichtung T2 übertragen. Über eine weitere gesicherte Verbindung wird die INVITE-Nachricht I-Tl* von dem Proxy P2 zu dem
zentralen Rechner S-CSCF weitergeleitet. Dabei wird die temporäre und/oder globale IP-Adresse der zweiten Datenendeinrichtung T2 sowie die Sicherheitsinformation C2 als Datenbestandteile von Kopfabschnittzeilen (Header) oder als Bestand- teile des Nutzdatenabschnitts (Body) weitergeleitet. Der zentrale Rechner S-CSCF ordnet der angeforderten globalen Adresse der ersten Datenendeinrichtung Tl deren momentane temporäre IP-Adresse zu und leitet eine entsprechende Nachricht an die zweite Datenendeinrichtung T2 zurück. Bei dem bevor- zugten Ausfuhrungsbeispiel leitet der zentrale Rechner S-CSCF die INVITE-Nachricht in Richtung der ersten Datenendeinrichtung Tl bzw. zu deren temporärer IP-Adresse weiter. Die Weiterleitung dieser INVITE-Nachricht I-Tl° erfolgt beispielsweise über einen oder mehrere Proxys Pl, welche diese oder eine entsprechend den jeweiligen Systemvoraussetzungen modifizierte INVITE-Nachricht I-Tl00 zu der ersten Datenendeinrichtung Tl weiterleiten.
Nach dem Empfang der INVITE-Nachricht I-Tl°° und der Bereit- schaft zum Aufbauen der angeforderten Verbindung sendet die erste Datenendeinrichtung Tl eine entsprechende Bestätigung in Form einer Bestätigungsnachricht OK-T2 ° ° in Richtung der zweiten Datenendeinrichtung T2 ab. Die Bestätigungsnachricht OK-T200 weist dabei als Zieladresse die globale IP-Adresse der zweiten Datenendeinrichtung T2 sowie vorzugsweise eine Sicherheitsinformation in Form eines Zertifikats und/oder Schlüssels Cl der ersten Datenendeinrichtung Tl auf. Beim dargestellten Beispiel wird die Bestätigungsnachricht OK-T200 über denselben von Station zu Station gesicherten Weg, d.h. die Zwischeneinrichtungen in Form der Proxys Pl, P2 und den zentralen Rechner S-CSCF übertragen. Die Bestätigungsnachricht OK-T200, 0K-T2", OK-T2*, 0K-T2 wird dabei entsprechend den Anforderungen des gewählten ÜbertragungsSystems ggf. modifiziert übertragen. Nachdem die erste Datenendeinrichtung Tl zu einem dritten Zeitpunkt t3 die Bestätigungsnachricht 0K-T2°° abgesendet hat und die zweite Datenendeinrichtung T2 die Bestätigungsnachricht 0K-T200 empfangen hat, sind die für
den Aufbau einer direkten Verbindung V2 erforderlichen Informationen zwischen den beiden Datenendeinrichtungen Tl, T2 ausgetauscht. Die Registrierung sowie 'der Austausch erforderlicher Informationen über die gesicherte Verbindung VI erfolgt vorteilhafterweise gemäß einem für sich bekannten und sicheren Signali- sierungsprotokoll, beispielsweise das SIP. Nachfolgend wird die zweite Verbindung V2 als direkte Verbindung von Endpunkt zu Endpunkt zwischen der zweiten und der ersten Datenendeinrichtung T2, Tl aufgebaut. Dabei wird nun vorzugsweise jeweils die nun bekannte globale Adresse verwendet. Optional wird der Aufbau durch das Übertragen einer Bes- tätigungsnachricht ACK von der zweiten zur ersten Datenendeinrichtung T2, Tl bestätigt. Ab einem nachfolgenden fünften Zeitpunkt t5 erfolgt dann die direkte Endpunkt-zu-Endpunkt- Übertragung von Informationen, vorliegend von Daten. Die Ü- bertragung kann dabei unter Zwischenschaltung der beiden Zwi- scheneinrichtungen bzw. Proxys P3, P4 erfolgen, wobei eine Endpunktabsicherung für die Sicherung der zu übertragenden Informationen bzw. Daten verwendet wird. Anstelle eines vorherigen Austauschs entsprechender Sicherheitsinformationen verwenden die beiden Datenendeinrichtungen Tl, T2, die wäh- rend der Initialisierungsphase über die erste Verbindung VI empfangenen Sicherheitsinformationen C2 bzw. Cl der jeweils anderen Datenendeinrichtung T2, Tl .
Zu einem sechsten Zeitpunkt t6 wird die Verbindung nach Über- tragung aller erforderlicher Informationen bzw. Daten in für sich bekannter Art und Weise durch das Übertragen entsprechender Verbindungsabbau-Nachrichten BY, OK abgebaut.
Alternative Ausführungsbeispiele können für verschiedenar- tigste Signalisierungs- und Übertragungsprotokolle entwickelt werden. Auch können Zwischeneinrichtungen Pl, P2, P3, P4 oder der zentralen Rechner S-CSCF aus der ersten bzw. zweiten Ver
bindung VI, V2 weggelassen werden oder weitere Zwischenstationen und dergleichen hinzugefügt werden. Insbesondere kann die erste Verbindung VI an einem zentralen Rechner S-CSCF vorbeigeführt werden, wenn die notwendige temporäre Adresse der ersten Datenendeinrichtung Tl beispielsweise von einem Proxy beschafft wird, welcher eine separate Verbindung zu einem entsprechenden zentralen Rechner S-CSCF oder dergleichen mit einer geeigneten Adresstabelle aufbauen kann. Fig. 3 zeigt schematisch einzelne Elemente und Funktionen der beiden miteinander kommunizierenden Datenendeinrichtungen Tl, T2. Die logisch unterste Schicht bzw. Ebene wird durch den sog. physikalischen Layer ausgebildet. Der physikalische Lay- er dient zur physikalischen Übertragung der Informationen und Signalisierungen gemäß einem Standard wie beispielsweise E- thernet, UMTS (Universal Mobile Telecommunications System) oder GPRS (General Packet Radio Service) . Über den physikalischen Layer werden die erste Verbindung VI und die zweite Verbindung V2 aufgebaut. Beim bevorzugten Ausführungsbeispiel erfolgt der Aufbau der ersten Verbindung VI gemäß SIP und der Aufbau und Unterhalt der zweiten Verbindung V2 gemäß DCCP. Von den einzelnen Datenendeinrichtungen Tl, T2 führen jeweils einer oder mehrere Ports p als Schnittstellen zum physikalischen Layer p.
Die zweite Ebene wird durch das Internetprotokoll IP ausgebildet, nachdem in für sich bekannter Art und Weise die Steuerung der Übertragung auf der physikalischen Schicht durchgeführt wird. In der zweiten Schicht sind das sog. User Da- tagram Protocol (UDP) und das Transmission Control Protocol
(TCP) als weitere Protokolle der Transportschicht angeordnet. Das TCP ermöglicht den höheren Schichten eine verbindungsori- entierte Arbeitsweise. Über UDP und TCP sitzt in einer höheren Schicht das Signalisierungsprotokoll SIP als eine Art Ap- plikation. Mit dieser Schichtanordnung lassen sich von einer übergeordneten Applikation aus SIP-gesteuerte Verbindungen, wie die erste Verbindung VI, ansteuern.
Für die Ansteuerung der zweiten Verbindung V2 gemäß DCCP gibt es einen ähnlichen Schichtau au, der von der übergeordneten Applikation angesteuert werden kann. In der untersten Schicht befindet sich wiederum der physikalische Layer mit einem oder mehreren Ports p. Übergeordnet ist das Internetprotokoll IP, dem als darüber liegende Schicht das DCCP übergeordnet ist. Dem DCCP ist z.B. ein Echtzeit-Transportprotokoll RTP (Realtime Transport Protocol) übergeordnet, welches beispielsweise für die Steuerung von Sprachübertragungen über das Internet gemäß dem sog. Voice over IP (VoIP) einsetzbar ist.
Die Datenendeinrichtungen Tl, T2, weisen zweckmäßigerweise auch eine Steuereinrichtung C zum Steuern der Funktionalität sowie eine Speichereinrichtung M zum Abspeichern von Steuerprogrammen, Betriebsparametern und vorzugsweise auch Schlüsseln und Zertifikaten Cl, C2 auf. Die einzelnen Komponenten sowie weitere für den Betrieb erforderlichen Komponenten sind über geeignete Busse und Leitungen L miteinander verbunden.
Fig. 3 zeigt eine zeitliche Situation ab dem dritten Zeitpunkt t3. In der ersten Datenendeinrichtung Tl ist in deren Speichereinrichtung M ein erstes Zertifikat Cl abgespeichert. In der zweiten Datenendeinrichtung T2 ist in deren Spei- chereinrichtung M ein dieser zugeordnetes zweites Zertifikat C2 abgespeichert.
Über eine vorherige INVITE-Nachricht I-Tl wurde der ersten Datenendeinrichtung Tl über die erste Verbindung VI zuvor be- reits das zweite Zertifikat C2 übertragen und in einem Speicherabschnitt des DCCP und/oder der zentralen Speichereinrichtung der ersten Datenendeinrichtung Tl gespeichert. Vorteilhafterweise erfolgt die Speicherung nur zeitlich befristet für die Dauer der ersten und der zweiten Verbindung VI, V2 oder eine begrenzte Zeitdauer darüber hinaus, innerhalb derer eine erneute Übertragung von Informationen zwischen den beiden Datenendeinrichtungen Tl, T2 zu erwarten ist.
Zu dem dritten Zeitpunkt t3 wird zusammen mit der Bestätigungsnachricht OK-Tl oder in einer eigenen zusätzlichen Nachricht das Zertifikat Cl der ersten Datenendeinrichtung Tl nach dem Auslesen aus deren Speichereinrichtung M von der aktiven Applikation über die Schicht des SIP, die Schicht mit UDP, TCP und die Schicht des Internetprotokolls IP zur physikalischen Schicht übergeben. Über die physikalische Schicht erfolgt die Übertragung über die erste Verbindung VI zu der zweiten Datenendeinrichtung T2, wobei wiederum entsprechend geeignete und/oder erforderliche Zwischeneinrichtungen Pl, S- CSCF, P2 durchlaufen werden.
In der zweiten Datenendeinrichtung T2 wird die empfangene Bestätigungsnachricht 0K-T2 von der physikalischen Schicht über die Protokollschichten zu der Signalisierungsprotokoll- schicht SIP übertragen. In dieser kann das Zertifikat Cl für eine Zertifizierung weiterer von der ersten Datenendeinrichtung Tl empfangener Datenpakete verwendete werden. Gemäß dem bevorzugten Ausführungsbeispiel übernimmt die Applikation der zweiten Datenendeinrichtung T2 das Zertifikat Cl aus der Sig- nalisierungsprotokollschicht SIP und überträgt dieses Zertifikat in den Bereich der Schicht für das DCCP. Zusätzlich o- der alternativ kann das empfangene Zertifikat Cl auch in der zentralen Speichereinrichtung M der zweiten Datenendeinrichtung T2 zwischengespeichert werden, um von der zentralen Speichereinrichtung aus einen Zugriff für verschiedenste Einrichtungen und Protokolle der zweiten Datenendeinrichtung T2 auf dieses Zertifikat Cl der ersten Datenendeinrichtung Tl zu ermöglichen.
Nachdem die beiden Datenendeinrichtungen Tl, T2 auf diese Art und Weise über die erste Verbindung VI jeweils ein Zertifikat C2 bzw. Cl der anderen Datenendeinrichtung T2 bzw. Tl empfan- gen haben und auch alle anderen Informationen für den Aufbau einer direkten zweiten Verbindung V2 vorliegen, wird zwischen der ersten und der zweiten Datenendeinrichtung Tl, T2 die
zweite Verbindung V2 gemäß DCCP für den vierten bis sechsten Zeitschritt, d.h. für die eigentliche Übertragung von Informationen bzw. Daten aufgebaut. Die Verbindung erfolgt dabei über die physikalische Schicht und ggf. zwischengeschaltete Zwischenstationen P3, P4.
Ermöglicht wird insbesondere auf Applikationsebene vorhandene Zertifikate und Schlüssel in den unteren Schichten wieder zu verwenden. Die benötigten Zertifikate und/oder Schlüssel wer- den von der jeweiligen Applikation an die entsprechenden Pro- tokollschichten (DCCP) übergeben. Dabei wird für den ersten Austausch der Zertifikate eine gesicherte SIP-basierte Signa- lisierungsverbindung verwendet, wobei die Zertifikate auch für die spätere Sicherung der Teilnehmer-Datenverbindung zwi- sehen den Datenendeinrichtungen Tl, T2 verwendet werden. Die Übergabe der Zertifikate und Schlüssel kann beispielsweise mit Hilfe spezieller Softwaremechanismen, beispielsweise gemäß den bekannten Konzepten shared emory (geteilter Speicher) , call back Funktion (Rückruffunktion) oder flags reali- siert werden. Vorteilhafterweise wird dazu in den Protokollen der unteren Schichten die Obergabe der Zertifikate und Schlüssel an diese unteren Schichten berücksichtigt. Zur eigentlichen Verschlüsselung können für sich bekannte Verfahren herangezogen werden.
Vorteilhafterweise ist bei dieser Vorgehensweise während der Übertragung verschlüsselter Daten ein unberechtigter Zugriff ausgeschlossen. Außerdem können Zertifikate und Schlüssel der Applikation verwendet werden, so dass eine spezielle Aushand- lung beim Aufbau der zweiten Verbindung V2 nicht erforderlich ist. Die Übergabe der Zertifikate und Schlüssel an die unteren Schichten zur Verschlüsselung der Daten ist effektiver als die Verschlüsselung in der Applikation selber durchzuführen. Vorteilhafterweise wird auch die Zeit für ein erneutes Aushandeln von Zertifikaten und Schlüsseln eingespart. Außerdem kann die Anzahl der zu verwaltenden Zertifikate und Schlüssel reduziert werden, was zusätzlich Aufwand einspart.
Gemäß dem zweiten grundlegenden Aspekt wird der in z.B. DCCP als einfachem Protokoll existierende rudimentäre Sicherheitsmechanismus verbessert, indem in Verbindung mit SIP- gesteuerten Verbindungen zuvor übertragene Zertifikate und Schlüssel auch für DCCP verwendet werden. Anstelle von SIP und DCCP ist die Verfahrensweise auch auf andere Protokolle, insbesondere Signalisierungsprotokolle übertragbar. Über die bereits von Station zu Station (Hop-by-Hop) gesicherte SIP-Signalisierungsverbindung als erster Verbindung VI zwischen zwei Terminals bzw. Datenendstationen Tl, T2 werden während der Signalisierung zum Aufbau einer Datenverbindung (Session) die zum Sichern der Datenverbindung notwendigen En- de-zu-Ende-gültigen Sicherheitszertifikate als Sicherheitsinformation ausgetauscht.
Dafür kann beispielsweise ein neuer SIP-Header signalisiert werden, um mitzuteilen, dass die aufzubauende Session bzw. Datenverbindung gesichert werden soll. Außerdem wird der öffentliche Teil des Sicherheitszertifikates des Einladenden übertragen, was vorteilhafterweise in der SIP-Nachricht INVITE erfolgen kann. Wenn die eingeladene Datenendeinrichtung Tl die Session annimmt, überträgt sie in der Bestätigungsantwort OK (z.B. der für sich bekannten SIP Response 200 OK) den öffentlichen Teil ihres eigenen Zertifikates Cl . Die Zertifikate Cl, C2 für eine Ende-zu-Ende-Verbindung V2 werden dann von der SIP-Software übergeben, wobei dazu die Applikation der jeweiligen Protokollsoftware verwendet werden kann, nachdem innerhalb von DCCP die jeweilige Option (Feature Option) ausgewählt worden ist.
Eine weitere Möglichkeit besteht darin, dass der Transport der notwendigen Informationen, insbesondere Sicherheitsinf r
mationen, wie z.B. das Flag, dass Sicherheit für die User plane (Anwenderebene) erforderlich ist, sowie die Zertifikate Cl, C2 der Anwender bzw. Datenendeinrichtungen Tl, T2, in einem Teil des SIP-Body durchgeführt wird. Der SIP-Body ist ein Teil bzw. Abschnitt der SIP-Nachricht, über den für SIP transparente Daten zwischen Applikationen ausgetauscht werden können. Dies wird derzeit z.B. für Presence-Informationen oder sog. Instant-Message-Daten und Daten des Session Desc- ription Protocol (SDP) benutzt.
Die Ende-zu-Ende-Zertifikate Cl, C2 für die Anwendungsdaten werden somit bereits während der Signalisierung über die erste Verbindung VI ausgetauscht und stehen daher der Anwenderebene bzw. der DCCP-gesteuerten zweiten Verbindung V2 ohne Zeitverzögerung zur Verfügung, was einen schnelleren Session- Aufbau ermöglicht. Es können bereits vorhandene Zertifikate Cl, C2 verwendet werden, ohne den komplizierten Mechanismus zum Austausch dieser Zertifikate für die zweite Verbindung V2 erneut durchführen zu müssen. Insbesondere müssen keine neuen Zertifikate generiert und verwaltet werden. Die Zertifikate Cl, C2 können unter Echtzeitbedingungen zwischen den Bereichen für SIP und DCCP sowie der Anwenderebene übertragen werden.