WO2006034935A1 - Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes - Google Patents

Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes Download PDF

Info

Publication number
WO2006034935A1
WO2006034935A1 PCT/EP2005/054245 EP2005054245W WO2006034935A1 WO 2006034935 A1 WO2006034935 A1 WO 2006034935A1 EP 2005054245 W EP2005054245 W EP 2005054245W WO 2006034935 A1 WO2006034935 A1 WO 2006034935A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
network
mep
communication
aaa
Prior art date
Application number
PCT/EP2005/054245
Other languages
English (en)
French (fr)
Inventor
Alfons Fartmann
Günter Schäfer
Jürgen Totzke
Lars Westerhoff
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP05786876A priority Critical patent/EP1721235B1/de
Priority to US11/547,815 priority patent/US8688077B2/en
Priority to DE502005001186T priority patent/DE502005001186D1/de
Publication of WO2006034935A1 publication Critical patent/WO2006034935A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1886Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/189Arrangements for providing special services to substations for broadcast or conference, e.g. multicast in combination with wireless systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Definitions

  • the present invention relates to a communication system and a method for providing a mobile communication service by means of a communication network, which is set up for message transmission on the basis of at least one Internet protocol, and by means of an access network for mobile computers, within which a message using a Multicasting process is transmitted.
  • a communication network operating on the basis of an Internet protocol allows a network-overlapping packet-oriented data exchange between end systems of the communication system. In this way, a communication protocol is provided which enables a network-spanning message transmission between geographically distributed computers of different networks.
  • Mobile IP Internet Engineering Task Force
  • MOMBASA Software Environment - A Toolkit for Performance Evaluation of Multicast-Based Mobility Support.
  • Proc. Of Performance Tools 2002 pages 212-219, London, GB, April 2002, an architecture for a communication system called "MOMBASA" is presented, which operates on the basis of the Internet Protocol.
  • This communication system operates an access network for a mobile computer using a multicasting process to convey the individual messages.
  • point-to-multipoint communication In the case of point-to-multipoint communication
  • Multicasting A process in which a message is transmitted in a transmission process with a so-called group address to a specified group or class of recipients.
  • An infrastructure of the MOMBASA communication system provides the following components as communication elements: in the access network for the mobile computer, several access points with a respective access point connection computer (so-called mobility-enabling proxies) are provided which are interconnected via multicasting-capable routers are.
  • a network connection computer for example in the form of a gateway, serves to connect the access network and the public or private, fixed Internet network.
  • the mobile computers execute so-called mobility agents (mobile or mobility agents), which represent a network entity responsible for the so-called mobility support. tion of mobile computers in individual sub-networks.
  • a mobile computer must be able to communicate with other computers even after switching the access point to the Internet.
  • mobile computers at least for the duration of their stay within an access network, are assigned a globally reachable IP address, which lies in the address range of the access network. Consequently, all message packets from the public Internet network addressed to the mobile computer are sent via normal Internet routing to the network connection computer for connection to the access network.
  • a block of unicast addresses of multiple mobile computers is allocated to a block of multicast groups within the access network. When a mobile computer registers with an access point connection computer, this access point connection computer becomes part of an associated multicasting group.
  • a message packet for a mobile computer is transmitted to a defined group of access points and from the assigned access point to the mobile computer.
  • the use of a multicasting process within the access network facilitates the process of predictively tracking an existing network data connection between two access points.
  • adjacent access point connection computers become part of a multicast group.
  • These store data in a so-called ring buffer, whereby, in the event of tracking of an existing user data connection, the so-called handover, the messages received in the ring buffer are forwarded to the mobile computer by a loss to compensate for messages during the handover.
  • the mobile computer switches to the so-called idle mode. This represents an operating state in which the mobile computer is indeed switched on, but has not yet logged in and is therefore not yet accessible from the access network.
  • a relevant multicasting group is degraded, and the position of a mobile computer is known only in terms of rudi ⁇ ment as a so-called paging area, represented by a permanent multicasting group, which inde pendent of the mobile computer is.
  • a paging request is sent to a specified multicast group of the last known paging request.
  • Transmitted area of the mobile computer and forwarded to the last-mentioned access point connection computers this Paging area, whereby the mobile computer is put into the active state and logs into the access network.
  • Such a communication system is exposed to a number of security threats which jeopardize the operation of the mobile telecommunications service.
  • the internal exchange of messages in the access network can be endangered by external attacks from external links.
  • the internal message exchange in the access network can be used by an attacker who can gain access to the access network in various ways.
  • messages or information can be intercepted or manipulated by an attacker during their transmission if the attacker pretends to be a legitimized user of the access network. The attacker could continue to use this to make use of a telecommunications service at the expense of a mobile computer that has been computerized.
  • a mobile computer does not know in advance which of the access points in the access network is responsible for it.
  • Denial-Of-Service means as much as a functional failure or a denial of function. Behind this is a multitude of different attack possibilities, all of which aim to bring certain computers to crash or to paralyze certain functions. Such attacks can be directed from the last used access point against an authentication process itself at a time when the authentication of the identity of the data transfer point (so-called peer node) can not be guaranteed.
  • denial-of-service attacks can be performed from the Internet by using data packets. If data packets are sent to several mobile computers in an idle state (for example with varying sources and protocols), they are simultaneously ne paging request addressed and causes to change to ak ⁇ tive state. This leads to a signal overload within the access network and to a justification checking computer for carrying out authentication, authorization and accounting (so-called AAA server).
  • the present invention has for its object to provide a communication system and a method for providing a mobile telecommunications service of the type mentioned, with which suitable precautions against such security threats can be taken and are wei ⁇ terhin suitable for automatic tracking of an existing payload connection ,
  • This object is achieved by a communication system for providing a mobile telecommunication service according to claim 1 and by a method for providing a mobile telecommunication service according to claim 8.
  • the communication system for providing a mobile telecommunication service has a plurality of communication elements: a communication network is set up for message transmission on the basis of at least one Internet protocol. Furthermore, at least one mobile computer is provided as well as an access network for the mobile computer, in which messages are transmitted using a multicasting process.
  • a network connection computer serves to connect the access network and the communication network. In the access network, a plurality of access points with respective access point connection computers are provided, each of which is set up to be able to establish a communication connection between changing access points and the mobile computer.
  • a credentialing computer is used to set up and manage trust relationships between several of the communication elements.
  • the network connection computer and the access point connection computers are set up to carry out a packet filter method for security-related protection of the communication system when receiving and sending messages. Furthermore, the network connection computer and the authorization checking computer are set up to carry out a method of overload control by providing a communication protocol for the communication elements in order to prevent a functional failure of one of the communication elements as a result of an attack.
  • a packet filter method for security-related protection of the communication system at the boundaries of the access network is carried out when receiving and sending messages. Furthermore, trust relations between a plurality of communication elements of the communication system are set up and managed and, moreover, an overload check is carried out by providing a communication protocol for the communication elements of the communication system in order to prevent a functional failure of one of the communication elements as a result of an attack.
  • the combination of these different techniques offers the following advantages in particular: With the packet filter method for security-related protection of the communication system at the borders of the access network, an internal message exchange in the access network can be protected against external attacks. Denial-of-service attacks against the authorization check computer and the network connection computer can be fended off with the overload control.
  • the method for overload control is carried out during an initial registration process of the mobile computer and / or during the execution or actuation of paging services. These operations must be performed via the authorization checking computer or the network connection computer.
  • the overload control (so-called rate-based congestion control) can be realized with a Linux network filter architecture, so that it can be integrated in a high degree with the packet filter method.
  • the overload control procedure can also be implemented on several levels, in particular decentrally on a level of geographical cells and centrally on a level of the entire network load. As a result, a negative effect of the method for overload control for legitimized users of the communication system can be reduced to a minimum.
  • a further access point is enabled to perform a local authentication of a mobile computer during the automatic tracking of an existing payload data connection.
  • a signal stream to a central authorization check computer is avoided; at the same time, the increase in handover latency as a result of the authentication process is minimal.
  • the decentralized handling of handover processes prevents or avoids denial-of-service attacks against the authorization checking computer without affecting a legitimized user.
  • the invention provides effective protection against security threats in a communication system of the type mentioned at the outset, without significantly increasing handover latency. A negative effect of the overload control for legitimate users is minimized.
  • an advantageous embodiment of the invention provides that the network connection computer and the access point connection computers are set up to execute a packet filter method in order to fend off a predetermined class of attacks with deliberately changed source addresses.
  • source addresses of a mo- bilen computer may occur only from the direction of the wireless link, source addresses of non-mobile and kommuni nikationsierin that do not belong to the access network may be transmitted only via the network connection computer.
  • FIG. 1 is a block diagram of a basic structure of a MOMBASA communication system
  • FIG. 2 shows a further schematic representation of a der ⁇ like communication system for representing trust relationships between the individual communication nikations instituten.
  • 3 shows the initial registration process of a mobile computer to a communication system according to the invention
  • 4 shows an exemplary handover process of a mobile computer when changing between different access points
  • Fig. 5 shows a switching of the mobile computer in the inactive
  • FIG. 7 shows an exemplary table for filtering denial-of-service attacks on a network connection computer.
  • FIG. 1 an exemplary architecture of a MOMBASA
  • a communication network IN serves for the Transmission on the basis of at least one Internet Protocol, so is aus ⁇ led in particular as an Internet network.
  • an access network AN is provided for a mobile computer MN, in which messages are transmitted using a multicasting process.
  • multicasting is a process in which a message is transmitted in a transmission process with a group address to a specified group or class of receivers.
  • the access network AN several access points AP are provided with a respective access point connection computer MEP, so-called mobility enabling proxies, which are each set up to establish a communication connection between changing access points AP and the mobile computer MN.
  • a network connection computer GW in the form of a gateway is used to connect the access network AN and the Internet network IN.
  • a connection between the correspondence computer CH and the mobile computer MN is established via the Internet network IN and the access network AN.
  • Two of the access points AP with associated access point connection computers MEP are interconnected via a multicast router MR.
  • mobility agents are carried out by the mobile computer MN, which are used for mobility support of the mobile computer MN when changing access points.
  • the network connection computer GW and the access point connection computers MEP are set up to perform a packet filter method for the security-related protection of the communication system when receiving and transmitting messages.
  • the packet filter method is performed to fend off a predetermined class of attacks with willfully changed source addresses.
  • source addresses of mobile computers may only appear from the direction of the wireless link, whereas source addresses may be accessed by non-mobile computers.
  • communication elements and of communication elements that are not part of the access network are transmitted only via the network connection computer GW.
  • messages of the wireless link and paging requests should be discarded, unless they come from the network connection computer GW itself. If a message arrives from the Internet network, it should be discarded if it has an Internet connection Source address of a mobile computer or the access network or a MOMBASA-internal message represents or a message according to the Internet Group Management Protocol (IGMP) or the Protocol Independent Multicast Sparse Mode (PIM-SM), which is a multicasting Address, which is used internally by the access network.
  • IGMP Internet Group Management Protocol
  • PIM-SM Protocol Independent Multicast Sparse Mode
  • each message packet designating a source address of a non-mobile communication element, inter-MEP advertisements, paging requests, update of paging services (Paged Updates) and any IGMP or PIM-SM based message designating a multicast address used internally by the access network.
  • Messages from the wireless link should be discarded when they arrive at the upstream interface.
  • the following message packets should only be generated by one access point, but should not be forwarded by it, i. they should be discarded if they arrive at an input-side interface: Advertisements of access point connection computers MEP, responses to the registration process (MH Registration Response, MH: message handling), IGMP mem- ber ship reports and IGMP Leave Groups ,
  • the packet filter method is a relatively simple variant of a firewall for protecting the communication. tion system.
  • the packet filtering method is not intended to protect the mobile computer against attacks, but only intended to protect the internal message exchange in the access network from external attacks.
  • FIG. 2 shows a further illustration according to which a verification check computer in the form of an AAA server is furthermore provided in the communication system according to the invention.
  • This represents a multifunctional communication server for the provision of services for authentication of persons or users, for checking the access authorization of these persons to certain applications and resources (authorization) as well as for logging the activities (accounting) of these persons.
  • a trust model is introduced in order to offer telecommunication services only for legitimate users.
  • the mobile computers are authenticated and authorized if they want to use the service level they have requested. Messages must be protected against counterfeiting and manipulation, security-critical content in addition to interception bei ⁇ spielmud in the form of a "eavesdropping".
  • a security architecture which applies in particular a method for symmetric cryptography, for example by means of so-called cryptographic hash functions and symmetric encryption.
  • symmetric encryption a message undergoes an encryption operation.
  • the key is another input of the encryption operation.
  • the encrypted message (cryptogram) can be sent over an insecure channel and decrypted again on the receiver side with the aid of the key.
  • the sender and receiver must, among other things, agree on a key that must be exchanged via a secure channel before starting operation.
  • the security architecture of the present invention distinguishes between permanent and temporary trust relationships. In this case, at least one of the following permanent trust relationships is set up and managed via the authorization checking computer AAA:
  • Trust relations SA M EP i, AAA between each of the access point connection computers MEP and the authorization verification computer AAA,
  • Trust relations SA GWP AAA between the network connection computer GW and the authorization checking computer AAA, trust relationships SA G wp, MEP : i between the network connection computer GW and each of the access point connection computers MEP,
  • Trust relations SA MG i between access point connection computers MEP of a group MCG of access point connection computers MEP, - trust relations SA PA: i between communication elements in a network area PA (paging area) set up to receive a uniform paging service ,
  • the trust relationships SA MG: i are known only to the members of a respective group MCG and the relationships of trust SAp A: i to the members within a paging area PA: i only.
  • a permanent trust relationship SA MN AAA between the authorization checking computer AAA and the mobile computer MN is set up and managed by the authorization checking computer AAA. This happens for every mobi ⁇ len computer, which is logged in the access network AN.
  • a temporary trust relationship SA MN L , AN between the mobile computer MN and at least one of the communication elements MEP, GW of the Access network AN set up and managed.
  • the local AAA server can contact other AAA servers of other communication networks in order to establish a respective relationship of trust.
  • the access point connection computers MEP send regular advertisement messages according to a so-called challenge / response mechanism.
  • a so-called challenge / response mechanism It is a method for authentication that can be performed with symmetric and asymmetric encryption algorithms.
  • the party to be authenticated receives from the authenticating party any number, the so-called challenge.
  • the party to be authenticated considers this challenge when calculating its authentication value of the transmitted MH Registration Request in order to prevent so-called replay attacks.
  • a replay attack is an active attack, in which the attacker re-imports the data obtained in an earlier session at a later time into a system in order to obtain the desired information.
  • the mobile host MH transmits a registration request that includes the last challenge, which is incorporated into a MEP Advertisement and with the trust relationship SAMN: L is authenticated, AAA (MH RegReq).
  • an access point connection computer MEP checks the validity of the challenge. However, the access point connection computer MEP can not determine whether the message has been modified by an attacker.
  • the access point connection computer MEP sends a key request for requesting a key to the AAA server, which contains the original request and additional changes to the requested parameters (for example limited lifetime as a consequence of a local principle).
  • the message is authenticated with the trust relationship
  • the authorization checking computer AAA checks the message authentication code MAC of the message originating from the mobile computer and the message authentication code MAC which is received from the access point connection computer MEP has been generated for the whole message, and verifies that the requested telecommunication service is allowed for the mobi ⁇ len computer according to its profile.
  • the sawn-emption verification computer AAA creates the session trust relationship SAMN: L, AN ⁇ encrypts the session key with the trust relationship SA M EP: i, AAA and generates the MH Registration Response authenticated with the Vertrau ⁇ enstinct SAMN: i, AAA ⁇ encrypting the session key since contains for the mobile computer.
  • the MH Registration Response is returned to the requesting access point connection computer MEP.
  • the access point connection computer MEP transmits the MH registration response which was contained in the key response, decrypts the session key and registers the mobile computer in its database.
  • the access point connection computer MEP becomes part of the multicast group MCG associated with the mobile computer and sets up messaging for the mobile computer.
  • connection computer MEP the mobile computer and its Ser ⁇ vice class and its session key, encrypted using the trust relationship SA M G: i r i n the next Advertisement between the access point connection computers MEP, which was sent to the neighboring MEP multicast group (IMEP Adv).
  • the neighboring access point connection computer MEP In an eighth step (JoinMCG), the neighboring access point connection computer MEP generate a database entry of the mobile computer containing the trust relationship SAMN: L, AN ⁇ when they receive the Inter-MEP Advertisement, were ⁇ the part of the multicast group with the mobile computer and begin to buffer the message transfer for the mobile computer.
  • Securing the messages with a message authentication code MAC ensures that only legitimate users receive a telecommunications service and that messages can not be modified without being detected.
  • the encryption of security-critical information and the use of message authentication codes within the Access network protects against attackers who are able to intercept a link in the internal access network if they are unable to affect an access network node.
  • a first step the need for a handover by the mobile computer is determined by MEP adapters are received from a new access point connection computer MEP (MEP Adv).
  • MH RegReq the mobile computer sends an MH registration request with the last challenge, which was recorded in a MEP advertisement.
  • L TO au- thent After a session is already established in the access network, the message with the trust relationship is SAMN.
  • a third step the following is carried out: normally, the new access point connection computer MEP is one of the neighboring MEPs of the old access point connection computer MEP and is therefore already in possession of the session key of the incoming mobile computer. As a result, the new MEP can check the Message Authentication Code MAC locally and generate an MH Registration Response, which is signed with the trust relationship SA MN :: L , AN . If the new access point connection computer MEP does not have an entry for the incoming mobile computer, an error is displayed to the mobile computer, so that the latter must perform an initial registration process in this case.
  • the new access point connection computer MEP directs a transmission for the mobile access point. and clears its buffer memory to compensate for message loss during the handover process.
  • a fifth step (steps 5a and 5b), the process proceeds as in the case of the initial registration.
  • the access point connection computers MEP which are not adjacent to the old MEP but to the new MEP, leave the multicasting group MCG. Furthermore, they delete the entry with the trust relationship if they receive the next Inter-MEP Advertisement of the old access point connection computer MEP, which is no longer in communication with the mobile computer.
  • MH RegReq a first step (MH RegReq) the mobile computer sends an MH Registration Request, with an inactive set
  • the latter checks the message in a second step (PagUpd) and sends a paging update with the corresponding paging area and the encrypted session key of the mobile computer, authenticated with the trust relationship SA G wp, MEP : i r to the network connection.
  • Computer GW Gateway Proxy
  • a third step (leave MCG)
  • the access point connection computer MEP leaves the multicasting group MCG and deletes the entry of the mobile computer.
  • the network connection computer GW checks the message and generates a paging entry for the mobile computer.
  • a fifth step the neighboring access point connection computers MEP remove the entry of the mobile computer and leave the multicasting group MCG as a consequence of message traffic between the access point connection computers MEP.
  • a paging update is carried out as follows: the mobile computer in idle state refreshes its location regularly, but at a lower frequency than in the active state. For this purpose, as explained in more detail with reference to FIG. 5, the following steps are carried out:
  • the mobile computer sends an MH registration request (MH RegReq) with an inactive flag authenticated with the trusted relationship SAMN: L, ON
  • MH RegReq MH registration request
  • SAMN trusted relationship
  • L trusted relationship
  • the emp ⁇ catching access point connection computer MEP does not check the validity of the message.
  • a method of overload control could be used. Such a method is implemented, for example, by so-called rate-based congestion control in order to fend off denial-of-service attacks against the network connection computer GW.
  • a next step the message is transmitted as a paging update to the network connection computer GW and validated there.
  • the paging entry in the network connection computer GW is updated.
  • a transition from the inactive status to the active status can be triggered by two events: the mobile computer, for example, wants to send messages or messages destined for the mobile computer reach the network connection computer.
  • the mobile computer for example, wants to send messages or messages destined for the mobile computer reach the network connection computer.
  • an initial registration is performed by the mobile computer; in the other case, a paging process is carried out for the mobile computer by the network connection computer.
  • Network connection computer GW performs in the following manner:
  • the network connection computer transmits paging in a multicasting process.
  • a second step (PagReq) all access point connection computers MEP within the paging area check the paging request, strip the SA PA: i authenticator, and transmit the paging request to the most recently used access points.
  • a paging update signed with the trust relationship SA G wp, MEP: i is sent with the lifetime zero to the network connection computer GW.
  • the network connection computer GW modifies the paging update and completes the paging process.
  • the communication system according to the invention is furthermore designed to ward off or prevent denial-of-service attacks.
  • the network connection computer GW and the authorization checking computer AAA are furthermore set up to perform a method for monitoring the overload by providing a communication protocol for the communication elements GW, MEP, AAA and MN in order to prevent a functional failure of one of these communication elements as a result of a denial -Of service attack to prevent.
  • the authorization checking computer AAA is advantageously set up in such a way that it carries out a method for monitoring the overload according to a token-bucket method.
  • a method for overload control (for example, so-called rate-based congestion control according to H. Ohsaki, ea, Rate-Based Congestion Control for ATM Networks.Computer Communication Review, ACM SIGCOMM, volume 25, No. 2, April 1995) , pp. 60-72) has the The task is to prevent the messages transmitted by transmitting institutions from overburdening the performance of the network.
  • a related method is the token-bucket algorithm, a method for traffic smoothing with the aim of shaping data traffic with a discontinuous traffic characteristic as far as possible in such a way that approximately continuous data streams are generated.
  • Token bucket works with a Zwi ⁇ benset (Bücket) with limited volume.
  • a token generator generates permission symbols, the so-called tokens, at a constant rate.
  • Incoming data are stored in Bücket.
  • Per token an appropriate amount of data is drained from the bucket. If more is permanently sent than agreed, the bucket overflows, ie this then leads to data losses.
  • Such an overload control can be achieved with the Netfilter / IP tables architecture of a standard Linux kernel.
  • Fig. 7 a table is shown in which rules are shown necessary to limit the number of message packets.
  • message packets that cause paging requests are to be limited, preferably to a number of ten per second with a burst length of 20.
  • the netfilter provides a module that allows IP addresses to be pooled into addresses dynamically insert and remove within a certain range. This can be used to distinguish mobile machines with idle status from active mobile computers.
  • the table shown in FIG. 7 presupposes a pool referred to as an active pool, which initially contains all addresses of mobile computers, wherein the mobile computers in the idle state are removed from the pool by the network connection computer GW.
  • rule # 1 When an incoming message packet arrives at the network connection computer GW, it is determined if it matches rule # 1 in the main table. If the destination address in the pool is active (-m pool: load module pool, -dst-pool active: search destination address in the pool active) is included, it is accepted. Rule # 2 applies only to message packets that are directed to mobile machines in idle state. This rule can only be executed ten times a second with a burst length twice that of the
  • Refresh rate is equivalent to 20 message packets (-m limit: load module limit, -limit 10 / s: limit to 10 / s, -limit-burst 2: burst length 20 packets). If the rule is applicable, the process is continued in the IdIe table (-j IdIe). All other message packages which are not applicable to Rule No 1 and Rule No 2 shall apply to Rule No 3 and shall be rejected.
  • Rule # 1 in the idIe table causes the message packet destination to be added to the pool active (-j
  • Rate Control Operations affected by Rate Control are not time critical. An initial registration generally only takes place when the communication network is contacted for the first time, a paging process generally at the beginning of the communication session, and paging update messages transmit the position of the mobile computer only rudimentarily. For this reason, a certain delay time due to the overload control is acceptable even under high network load.
  • legitimate users are also affected in a state in which a denial-of-service attack takes place, but only with regard to the opera- tion that is being used for the attack. This locally limits a denial-of-service attack, which without the invention would affect the entire access network and the users logged therein. In accordance with the invention, such an attack is limited to the portion of the users who are currently inactive and to users attempting to perform an initial registration process.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Kommunikationssystem und ein Ver fahren zur Bereitstellung eines mobilen Telekommunikations dienstes. Ein Kommunikationsnetz (IN) ist zur Nachrichtenübermittlung auf Basis wenigstens eines Internet-Protokolls eingerichtet. Ein Netzwerkverbindungs-Rechner (GW) dient zur Verbindung eines Zugangsnetzwerks (AN) für mobile Rechner (MN) und des Kommunikationsnetzes (IN) . Es sind mehrere Zugangspunkte (AP) im Zugangsnetzwerk mit jeweiligen Zugangspunkt-Verbindungsrechnern (MEP) vorgesehen, welche jeweils dazu eingerichtet sind, eine Kommunikationsverbindung zwischen wechselnden Zugangspunkten (AP) und dem mobilen Rechner (MN) herstellen zu können. Ein Berechtigungsüberprüfungs-Rechner (AAA) dient zur Einrichtung und Verwaltung von Vertrauensbeziehungen (SA) zwischen mehreren der Kommunikationselemente (GW, MEP, AAA, MN) . Der Netzwerkverbindungs-Rechner (GW) und die Zugangspunkt-Verbindungsrechner (MEP) sind dazu eingerichtet, beim Empfang und Versenden von Nachrichten ein Paketfilter-Verfahren zum sicherheitsbezogenen Schutz des Kommunikationssystems durchzuführen. Der Netzwerkverbindungs-Rechner (GW) und der Berechtigungsüberprüfungs-Rechner (AAA) sind weiterhin dazu eingerichtet, ein Verfahren zur Überlastkontrolle durch Bereitstellung eines Kommunikationsprotokolls für die Kommunikationselemente (GW, MEP, AAA, MN) durchzuführen, um einen Funktionsausfall eines der Kommunikationselemente infolge eines Angriffs zu verhindern.

Description

Beschreibung
KommunikationsSystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes
Die vorliegende Erfindung betrifft ein Kommunikationssystem und ein Verfahren zur Bereitstellung eines mobilen Kommunika¬ tionsdienstes mittels eines Kommunikationsnetzes, das zur Nachrichtenübermittlung auf Basis wenigstens eines Internet- Protokolls eingerichtet ist, und mittels eines Zugangsnetz¬ werkes für mobile Rechner, innerhalb dessen eine Nachricht unter Verwendung eines Multicasting-Prozesses übermittelt wird.
Bestehende Kommunikationssysteme zur Bereitstellung eines mo¬ bilen Telekommunikationsdienstes verwenden zum Teil ein Kom¬ munikationsnetz, das zur Nachrichtenübermittlung auf Basis wenigstens eines Internet-Protokolls eingerichtet ist. Hier¬ bei ist es bislang jedoch üblich, die internet-protokoll- basierte Kommunikation nur innerhalb eines Kernnetzwerkes zu verwenden, so dass es weiterhin notwendig ist, zur Bereit¬ stellung von mobilen Kommunikationsdiensten speziell dafür zugeschnittene Kommunikationsprotokolle zu verwenden. Ein Kommunikationsnetzwerk, das auf Basis eines Internet- Protokolls arbeitet, gestattet einen netzüberschreitenden pa¬ ketorientierten Datenaustausch zwischen Endsystemen des Kom¬ munikationssystems. Damit wird ein Kommunikationsprotokoll bereitgestellt, das eine netzüberschreitende Nachrichtenüber¬ tragung zwischen geographisch verteilten Rechnern verschiede- ner Netze ermöglicht.
Durch die so genannte Internet Engineering Task Force (IETF) wurde eine Spezifikation vorgestellt, die mobile Telekommuni¬ kationsdienste im Internet ermöglicht. Ausgangspunkt für die Spezifikation des vorgestellten Konzepts „Mobile IP" waren in erster Linie die Unzulänglichkeiten eines herkömmlichen In¬ ternet-Protokolls (IP) hinsichtlich der Mobilität. „Mobile IP" stellt eine Lösung für Mobilität im Internet zur Verfü¬ gung, die skalierbar, robust und sicher ist. Insbesondere werden Mechanismen für das so genannte Routing von IP-Paketen zu mobilen Rechnern zur Verfügung gestellt, die sich in einem fremden Netz aufhalten können, während sie ihre permanente
IP-Adresse beibehalten. Ein Problem von „Mobile IP" ist, dass das Basiskonzept nicht geeignet ist für die Unterstützung der automatischen Nachführung einer bestehenden Nutzdatenverbin¬ dung, das so genannte „Seamless Handover" .
Insbesondere in A. Festag, L. Westerhoff and A. Wolisz. The MOMBASA Software Environment - A Toolkit for Performance Evaluation of Multicast-Based Mobility Support. In Proc. Of Performance Tools 2002, pages 212-219, London, GB, April 2002 wird eine Architektur für ein Kommunikationssystem mit Namen „MOMBASA" vorgestellt, das auf Basis des Internet-Protokolls arbeitet. Bei diesem Kommunikationssystem arbeitet ein Zu¬ gangsnetzwerk für einen mobilen Rechner unter Verwendung ei¬ nes Multicasting-Prozesses, um die einzelnen Nachrichten zu übermitteln. Bei der Punkt-zu-Mehrpunkt-Kommunikation ist
Multicasting ein Prozess, bei dem eine Nachricht in einem Ü- bertragungsvorgang mit einer so genannten Gruppenadresse an eine festgelegte Gruppe bzw. Klasse von Empfängern übermit¬ telt wird.
Eine Infrastruktur des MOMBASA-KommunikationsSystems sieht als Kommunikationselemente folgende Komponenten vor: im Zu¬ gangsnetzwerk für den mobilen Rechner sind mehrere Zugangs¬ punkte mit einem jeweiligen Zugangspunkt-Verbindungsrechner (so genannten Mobility-Enabling Proxies) vorgesehen, die über multicasting-fähige Router miteinander verbunden sind. Ein Netzwerkverbindungs-Rechner, beispielsweise in Form eines Ga¬ teways, dient zur Verbindung des Zugangsnetzwerks und des öf¬ fentlichen oder privaten, fixen Internet-Netzwerks. Durch die mobilen Rechner werden so genannte Mobilitätsagenten (Mobile oder Mobility Agents) ausgeführt, welche eine Netzinstanz repräsentieren, die für die so genannte Mobilitätsunterstüt- zung der mobilen Rechner in einzelnen Sub-Netzen eingesetzt wird.
Ein mobiler Rechner muss in der Lage sein, auch nach dem Wechsel des Zugangspunktes zum Internet mit anderen Rechnern zu kommunizieren. Zu diesem Zweck wird mobilen Rechnern, we¬ nigstens für die Dauer ihres Aufenthalts innerhalb eines Zu¬ gangsnetzwerks, eine global erreichbare IP-Adresse zugeord¬ net, welche im Adressbereich des Zugangsnetzwerks liegt. Folglich werden alle Nachrichtenpakete vom öffentlichen In¬ ternet-Netzwerk, die an den mobilen Rechner adressiert sind, über das normale Internet-Routing an den Netzwerkverbindungs- Rechner zur Verbindung mit dem Zugangsnetzwerk gesendet. Ein Block von Unicasting-Adressen mehrerer mobiler Rechner wird einem Block von Multicasting-Gruppen innerhalb des Zugangs¬ netzwerks zugeordnet. Wenn sich ein mobiler Rechner an einem Zugangspunkt-Verbindungsrechner registriert, wird dieser Zu¬ gangspunkt-Verbindungsrechner Teil einer zugeordneten Multi- casting-Gruppe. An dem Netzwerkverbindungs-Rechner zur Ver- bindung des Zugangsnetzwerks und des Internet-Netzes wird ein Nachrichtenpaket für einen mobilen Rechner an eine festgeleg¬ te Gruppe von Zugangspunkten übermittelt und vom zugeordneten Zugangspunkt an den mobilen Rechner.
Die Verwendung eines Multicasting-Prozesses innerhalb des Zu¬ gangsnetzwerks erleichtert den Prozess der voraussagenden Nachführung einer bestehenden Netzdatenverbindung zwischen zwei Zugangspunkten. Ausgehend von dem Zugangspunkt- Verbindungsrechner, an dem der mobile Rechner direkt regist- riert ist, werden benachbarte Zugangspunkt-Verbindungsrechner Teil einer Multicasting-Gruppe. Diese speichern Daten in ei¬ nem so genannten Ring-Puffer, wobei bei einer Nachführung ei¬ ner bestehenden Nutzdatenverbindung, dem so genannten Hando- ver, die zurückliegend empfangenen Nachrichten im Ring-Puffer an den mobilen Rechner weitergeleitet werden, um einen Ver¬ lust von Nachrichten während des Handover zu kompensieren. Für den Fall, dass ein mobiler Rechner für eine bestimmte Zeitdauer weder Daten empfängt noch sendet, schaltet der mo¬ bile Rechner in den so genannten Idle-Modus . Dieser repräsen¬ tiert einen Betriebszustand, in dem der mobile Rechner zwar eingeschaltet ist, sich aber noch nicht eingebucht hat und damit vom Zugangsnetzwerk aus noch nicht erreichbar ist. In diesem Fall wird eine betreffende Multicasting-Gruppe abge¬ baut, und die Position eines mobilen Rechners ist nur rudi¬ mentär bekannt als ein so genanntes Paging-Gebiet, repräsen- tiert durch eine permanente Multicasting-Gruppe, welche unab¬ hängig vom mobilen Rechner ist. Wenn Nachrichten für einen mobilen Rechner, der sich im Idle-Zustand befindet, an dem Netzwerk-Verbindungsrechner empfangen werden, wird eine Pa- ging-Anforderung (so genannter Paging Request) an eine fest- gelegte Multicasting-Gruppe des zuletzt bekannten Paging-
Gebiets des mobilen Rechners übermittelt und zu den zuletzt angesprochenen Zugangspunkt-Verbindungsrechnern dieses Pa- ging-Gebiets weitergeleitet, wodurch der mobile Rechner in den aktiven Zustand versetzt wird und sich in das Zugangs- netzwerk einbucht.
Ein solches Kommunikationssystem ist einer Reihe von Sicher¬ heitsbedrohungen ausgesetzt, welche den Betrieb des mobilen Telekommunikationsdienstes gefährden. Zum einen kann der in- terne Nachrichtenaustausch im Zugangsnetzwerk durch externe Angriffe von externen Links gefährdet sein. Weiterhin kann der interne Nachrichtenaustausch im Zugangsnetzwerk durch ei¬ nen Angreifer benutzt werden, der Zugang zum Zugangsnetzwerk auf verschiedene Weise erlangen kann. Weiterhin können von einem Angreifer Nachrichten oder Informationen während ihrer Übermittlung abgehört oder manipuliert werden, wenn der An¬ greifer vorgibt, ein legitimierter Nutzer des Zugangsnetz¬ werks zu sein. Das könnte der Angreifer weiterhin dazu nut¬ zen, einen Telekommunikations-Service auf Kosten eines perso- nifizierten mobilen Rechners in Anspruch zu nehmen. Im allgemeinen weiß ein mobiler Rechner nicht im vorhinein, welcher der Zugangspunkte im Zugangsnetzwerk für ihn zustän¬ dig ist. Aus diesem Grund können gefälschte so genannte Ad- vertisements, d.h. Nachrichten, mit denen Mobilitätsagenten dem mobilen Rechner ihre Dienste anbieten, die über den zu¬ letzt benutzten Zugangspunkt produziert werden, dazu führen, dass sich der mobile Rechner irrtümlich bei einem Angreifer registriert. Dabei ist das Problem folgendes: die so genann¬ ten MEP Advertisements (Mobility-Enabling Proxies Advertise- ments) sind nicht für einen einzelnen mobilen Rechner be¬ stimmt, sondern für eine Gruppe von mobilen Rechnern. Für den Fall der Verwendung einer symmetrischen Verschlüsselung würde es jedem involvierten mobilen Rechner ermöglicht, selbst ge¬ fälschte Advertisments zu produzieren. Würde dagegen ein Ver- fahren zur asymetrischen Kryptografie verwendet werden, würde dies bedeuten, dass Überprüfungswerte von heute mehreren Hun¬ dert bis zu 2048 Bits benutzt werden müssten. Jedoch könnte ein falscher Zugangspunkt potentiell immer noch später ent¬ larvt werden während des Registrierungsprozesses, wenn der mobile Rechner und der Zugangspunkt direkt miteinander kommu¬ nizieren.
Als weitere Bedrohung sind so genannte Denial-Of-Service At- tacks zu nennen. Hierbei bedeutet Denial-Of-Service soviel wie Funktionsausfall oder Funktionsverweigerung. Dahinter verbirgt sich eine Vielzahl verschiedener Angriffsmöglichkei¬ ten, die alle das Ziel haben, bestimmte Rechner zum Absturz zu bringen oder in bestimmten Funktionen lahm zu legen. Sol¬ che Angriffe können vom zuletzt benutzen Zugangspunkt aus ge- gen einen Authentifizierungs-Prozess selbst gerichtet werden zu einer Zeit, in der die Authentifizierung der Identität des Datenübergabepunkts (so genannte Peer Node) nicht garantiert werden kann. Weiterhin können Denial-Of-Service Attacks vom Internet aus durchgeführt werden mittels Verwendung von Da- tenpaketen. Werden Datenpakete zu mehreren mobilen Rechnern im Idle-Zustand geschickt (beispielsweise mit variierenden Quellen und Protokollen) , werden diese gleichzeitig durch ei- ne Paging-Anforderung angesprochen und veranlasst, in den ak¬ tiven Zustand zu wechseln. Dies führt zu einer Signal¬ überlast innerhalb des Zugangsnetzwerks und an einem Berech- tigungs-Überprüfungsrechner zur Durchführung von Authentifi- kation, Authorisierung und Accounting (so genannter AAA- Server) .
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein KommunikationsSystem und ein Verfahren zur Bereitstellung ei- nes mobilen Telekommunikationsdienstes der eingangs genannten Art anzugeben, mit denen geeignete Vorkehrungen gegen solche Sicherheitsbedrohungen getroffen werden können und die wei¬ terhin für eine automatische Nachführung einer bestehenden Nutzdatenverbindung geeignet sind.
Diese Aufgabe wird gelöst durch ein Kommunikationssystem zur Bereitstellung eines mobilen Telekommunikationsdienstes gemäß Patentanspruch 1 und durch ein Verfahren zur Bereitstellung eines mobilen Telekommunikationsdienstes gemäß Patentanspruch 8.
Das Kommunikationssystem zur Bereitstellung eines mobilen Te¬ lekommunikationsdienstes gemäß der Erfindung weist mehrere Kommunikationselemente auf: ein Kommunikationsnetz ist zur Nachrichtenübermittlung auf Basis wenigstens eines Internet- Protokolls eingerichtet. Weiterhin ist wenigstens ein mobiler Rechner vorgesehen sowie ein Zugangsnetzwerk für den mobilen Rechner, bei dem Nachrichten unter Verwendung eines Multi- casting-Prozesses übermittelt werden. Ein Netzwerkverbin- dungs-Rechner dient zur Verbindung des Zugangsnetzwerks und des Kommunikationsnetzes. Im Zugangsnetzwerk sind mehrere Zu¬ gangspunkte mit jeweiligen Zugangspunkt-Verbindungsrechnern vorgesehen, welche jeweils dazu eingerichtet sind, eine Kom¬ munikationsverbindung zwischen wechselnden Zugangspunkten und dem mobilen Rechner herstellen zu können. Ein Berechtigungsü- berprüfungs-Rechner dient zur Einrichtung und Verwaltung von Vertrauensbeziehungen zwischen mehreren der Kommunikations- elemente. Der Netzwerkverbindungs-Rechner und die Zugangs¬ punkt-Verbindungsrechner sind dazu eingerichtet, beim Empfang und Versenden von Nachrichten ein Paketfilter-Verfahren zum sicherheitsbezogenen Schutz des Kommunikationssystems durch- zuführen. Weiterhin sind der Netzwerkverbindungs-Rechner und der Berechtigungsüberprüfungs-Rechner dazu eingerichtet, ein Verfahren zur Überlastkontrolle durch Bereitstellung eines Kommunikationsprotokolls für die Kommunikationselemente durchzuführen, um einen Funktionsausfall eines der Kommunika- tionselemente infolge eines Angriffs zu verhindern.
Gemäß der Erfindung wird also beim Empfang und Versenden von Nachrichten ein Paketfilter-Verfahren zum sicherheitsbezoge¬ nen Schutz des Kommunikationssystems an den Grenzen des Zu- gangsnetzwerks durchgeführt. Weiterhin werden Vertrauensbe¬ ziehungen zwischen mehreren Kommunikationselementen des Kom¬ munikationssystems eingerichtet und verwaltet und außerdem eine Überlastkontrolle durch Bereitstellung eines Kommunika¬ tionsprotokolls für die Kommunikationselemente des Kommunika- tionssystems durchgeführt, um einen Funktionsausfall eines der Kommunikationselemente infolge eines Angriffs zu verhin¬ dern. Dabei bietet die Kombination dieser unterschiedlichen Techniken insbesondere folgende Vorteile: mit dem Paketfil¬ ter-Verfahren zum sicherheitsbezogenen Schutz des Kommunika- tionssystems an den Grenzen des Zugangsnetzwerks kann ein in¬ terner Nachrichtenaustausch im Zugangsnetzwerk vor externen Angriffen geschützt werden. Mit der Überlastkontrolle können vor allem Denial-Of-Service Attacks gegen den Berechtigungsü- berprüfungs-Rechner und den Netzwerkverbindungs-Rechner abge- wehrt werden. Insbesondere wird hierbei das Verfahren zur Ü- berlastkontrolle bei einem anfänglichen Registrierungsprozess des mobilen Rechners und/oder bei der Durchführung oder Aktu¬ alisierung von Paging-Diensten durchgeführt. Diese Operatio¬ nen müssen über den Berechtigungsüberprüfungs-Rechner oder den Netzwerkverbindungs-Rechner durchgeführt werden. Die Ü- berlastkontrolle (so genannte Rate-based Congestion Control) kann mit einer Linux Netzfilterarchitektur realisiert werden, so dass sie in hohem Maße mit dem Paketfilter-Verfahren in¬ tegriert werden kann. Das Verfahren zur Überlastkontrolle kann auch auf mehreren Ebenen durchgeführt werden, insbeson¬ dere dezentral auf einer Ebene von geographischen Zellen und zentral auf einer Ebene der gesamten Netzlast. Dadurch kann ein negativer Effekt des Verfahrens zur Überlastkontrolle für legitimierte Benutzer des Kommunikationssystems auf ein Mini¬ mum reduziert werden.
Gemäß einer weiteren vorteilhaften Ausführungsform der Erfin¬ dung wird mittels einer Schlüsselverteilung an benachbarte Kommunikationselemente eines Zugangspunktes des Zugangsnetzes einem weiteren Zugangspunkt ermöglicht, eine lokale Authenti- fikation eines mobilen Rechners bei der automatischen Nach- führung einer bestehenden Nutzdatenverbindung durchzuführen. Dadurch wird ein Signalstrom zu einem zentralen Berechti- gungsüberprüfungs-Rechner vermieden, gleichzeitig ist der Zu¬ wachs einer Handover-Latenz infolge des Authentifikations- Prozesses minimal. Durch das dezentralisierte Handling von Handover-Prozessen werden Denial-Of-Service Attacks gegen den Berechtigungsüberprüfungs-Rechner vermieden bzw. abgewehrt, ohne einen legitimierten Nutzer zu beeinträchtigen.
Zusammenfassend wird mit der Erfindung in einem Kommunikati- onssystem der eingangs genannten Art ein wirksamer Schutz ge¬ gen Sicherheitsbedrohungen zur Verfügung gestellt, ohne eine Handover-Latenz signifikant zu erhöhen. Ein negativer Effekt der Überlastkontrolle für legitimierte Benutzer wird mini¬ miert.
Betreffend die Implementierung des Paketfilter-Verfahrens sieht eine vorteilhafte Ausführungsform der Erfindung vor, dass der Netzwerkverbindungs-Rechner und die Zugangspunkt- Verbindungsrechner dazu eingerichtet sind, ein Paketfilter- Verfahren durchzuführen, um eine vorbestimmte Klasse von An¬ griffen mit mutwillig veränderten Quelladressen abzuwehren. Hierbei ist zu berücksichtigen, dass Quelladressen eines mo- bilen Rechners nur aus der Richtung des drahtlosen Links auf¬ treten dürfen, Quelladressen von nicht-mobilen und von Kommu¬ nikationselementen, die nicht zum Zugangsnetzwerk gehören, dürfen nur über den Netzwerkverbindungs-Rechner übermittelt werden.
Weitere vorteilhafte Aus- und Weiterbildungen der Erfindung sind in Unteransprüchen angegeben.
Die Erfindung wird im folgenden anhand der in der Zeichnung dargestellten Figuren, die vorteilhafte Ausführungsformen zur vorliegenden Erfindung darstellen, näher erläutert.
Es zeigen:
Fig. 1 ein Übersichtsschema einer grundlegenden Struktur eines MOMBASA-KommunikationsSystems;
Fig. 2 eine weitere schematisierte Darstellung eines der¬ artigen Kommunikationssystems zur Darstellung von Vertrauensbeziehungen zwischen den einzelnen Kommu¬ nikationselementen;
Fig. 3 den anfänglichen Registrierungsprozess eines mobi¬ len Rechners an ein Kommunikationssystem gemäß der Erfindung; Fig. 4 einen beispielhaften Handover-Prozess eines mobilen Rechners beim Wechsel zwischen verschiedenen Zu¬ gangspunkten;
Fig. 5 ein Schalten des mobilen Rechners in den inaktiven
Zustand und einen Paging-Update-Prozess; Fig. 6 einen beispielhaften Paging-Prozess; und
Fig. 7 eine beispielhafte Tabelle zur Filterung von Deni- al-Of-Service Attacks an einem Netzwerkverbindungs- Rechner.
In Fig. 1 ist eine beispielhafte Architektur eines MOMBASA-
Kommunikationssystems gezeigt, das mehrere Kommunikationsele¬ mente aufweist. Ein Kommunikationsnetz IN dient zur Nachrich- tenübermittlung auf Basis wenigstens eines Internet- Protokolls, ist also insbesondere als Internet-Netzwerk aus¬ geführt. Weiterhin ist ein Zugangsnetzwerk AN für einen mobi¬ len Rechner MN vorgesehen, bei dem Nachrichten unter Verwen- düng eines Multicasting-Prozesses übermittelt werden. Bei der Punkt-zu-Mehrpunkt-Kommunikation ist Multicasting ein Pro- zess, bei dem eine Nachricht in einem Übertragungsvorgang mit einer Gruppenadresse an eine festgelegte Gruppe oder Klasse von Empfängern übermittelt wird. Im Zugangsnetzwerk AN sind mehrere Zugangspunkte AP mit einem jeweiligen Zugangspunkt- Verbindungsrechner MEP vorgesehen, so genannte Mobility- Enabling Proxies, welche jeweils dazu eingerichtet sind, eine Kommunikationsverbindung zwischen wechselnden Zugangspunkten AP und dem mobilen Rechner MN herstellen zu können. Ein Netzwerkverbindungs-Rechner GW in Form eines Gateways dient zur Verbindung des Zugangsnetzwerks AN und des Internet- Netzwerks IN. Für eine Kommunikationsverbindung zwischen zwei Endgeräten wird beispielsweise eine Verbindung zwischen dem Korrespondenz-Rechner CH und dem mobilen Rechner MN über das Internet-Netzwerk IN und das Zugangsnetzwerk AN hergestellt. Zwei der Zugangspunkte AP mit zugehörigen Zugangspunkt- Verbindungsrechnern MEP sind über einen Multicast-Router MR miteinander verbunden. Zum Aufbau einer Kommunikationsverbin¬ dung werden durch den mobilen Rechner MN Mobilitätsagenten ausgeführt, die zur Mobilitätsunterstützung des mobilen Rech¬ ners MN beim Wechsel von Zugangspunkten eingesetzt werden.
Gemäß der Erfindung sind der Netzwerkverbindungs-Rechner GW und die Zugangspunkt-Verbindungsrechner MEP dazu eingerich- tet, beim Empfang und Versenden von Nachrichten ein Paketfil¬ ter-Verfahren zum sicherheitsbezogenen Schutz des Kommunika¬ tionssystems durchzuführen. Insbesondere wird das Paketfil¬ ter-Verfahren durchgeführt, um eine vorbestimmte Klasse von Angriffen mit mutwillig veränderten Quelladressen abzuwehren. Hierbei ist zu berücksichtigen, dass Quelladressen von mobi¬ len Rechnern nur aus der Richtung des drahtlosen Links auf¬ treten dürfen, Quelladressen hingegen von nicht-mobilen Kom- munikationselementen und von Kommunikationselementen, die nicht Teil des Zugangsnetzwerks sind, werden nur über den Netzwerkverbindungs-Rechner GW übertragen.
Am Netzwerkverbindungs-Rechner GW sollten Nachrichten des drahtlosen Links und Paging-Anforderungen verworfen werden, es sei denn, sie stammen vom Netzwerkverbindungs-Rechner GW selbst. Falls eine Nachricht aus dem Internet-Netzwerk an¬ kommt, sollte sie verworfen werden, wenn sie eine Quelladres- se eines mobilen Rechners oder des Zugangsnetzwerks enthält oder eine MOMBASA-interne Nachricht darstellt oder eine Nach¬ richt nach dem Internet Group Management Protocol (IGMP) oder nach dem Protocol Independent Multicast-Sparse Mode (PIM-SM) darstellt, die eine Multicasting-Adresse bezeichnet, welche intern durch das Zugangsnetzwerk benutzt wird. An den Zu¬ gangspunkten AP sollten die folgenden Nachrichtenpakete ver¬ worfen werden, wenn sie vom drahtlosen Link stammen: jedes Nachrichtenpaket, das eine Quelladresse eines nicht-mobilen Kommunikationselements bezeichnet, Inter-MEP-Advertisements, Paging-Anforderungen, Aktualisierung von Paging-Diensten (Pa- ging Updates) und jede IGMP- oder PIM-SM-basierte Nachricht, die eine Multicasting-Adresse bezeichnet, die intern von dem Zugangsnetzwerk benutzt wird. Nachrichten vom drahtlosen Link sollten verworfen werden, wenn sie am Upstream-Interface an- kommen.
Die folgenden Nachrichtenpakete sollten nur durch einen Zu¬ gangspunkt erzeugt werden, jedoch nicht durch diesen weiter¬ geleitet werden, d.h. sie sollten verworfen werden, falls sie an einem eingangsseitigen Interface ankommen: Advertisements von Zugangspunkt-Verbindungsrechnern MEP, Antworten auf Mit¬ teilungsübermittlungen bezüglich des Registrierungsprozesses (MH Registration Response, MH: Message Handling) , IGMP Mem- ber-ship Reports und IGMP Leave Groups .
Das Paketfilter-Verfahren ist dabei eine relativ einfache Re¬ alisierungsvariante eines Firewalls zum Schutz des Kommunika- tionssystems . Dabei ist das Paketfilter-Verfahren nicht dazu bestimmt, den mobilen Rechner gegen Angriffe zu schützen, sondern nur dazu vorgesehen, den internen Nachrichtenaus¬ tausch im Zugangsnetzwerk vor externen Angriffen zu schützen.
In Fig. 2 ist eine weitere Darstellung gezeigt, nach der im Kommunikationssystem gemäß der Erfindung weiterhin ein Be- rechtigungsüberprüfungs-Rechner in Form eines AAA-Servers vorgesehen ist. Dieser repräsentiert einen multifunktionalen Kommunikations-Server zur Bereitstellung von Diensten zur Au¬ thentifizierung von Personen bzw. Benutzern, zur Prüfung der Zugangsberechtigung dieser Personen zu bestimmten Anwendungen und Resourcen (Autorisierung) sowie zur Protokollierung der Aktivitäten (Accounting) dieser Personen. Erfindungsgemäß wird also ein Vertrauensmodell eingeführt, um Telekommunika¬ tionsdienste nur für legitimierte Benutzer anzubieten. Zu diesem Zweck werden die mobilen Rechner authentifiziert und autorisiert, wenn sie den von ihnen angeforderten Service- Level benutzen wollen. Nachrichtenübermittlungen müssen dabei gegen Fälschungen und Manipulationen gesichert werden, si¬ cherheitskritische Inhalte zusätzlich gegen das Abhören bei¬ spielsweise in Form eines „Lauschangriffs".
Zu diesem Zweck wird eine Sicherheits-Architektur eingesetzt, die insbesondere ein Verfahren zur symmetrischen Kryptografie anwendet, beispielsweise mittels so genannter kryptografi- scher Hash-Funktionen und symmetrische Verschlüsselung. Bei der symmetrischen Verschlüsselung wird eine Nachricht einer Verschlüsselungsoperation unterzogen. Hierbei ist neben der Nachricht selbst der Schlüssel eine weitere Eingangsgröße der Verschlüsselungsoperation. Die verschlüsselte Nachricht (Kryptogramm) kann über einen unsicheren Kanal gesendet und auf der Empfängerseite wieder unter Zuhilfenahme des Schlüs¬ sels entschlüsselt werden. Damit dieser Prozess reversibel ist, müssen Sender und Empfänger sich unter anderem auf einen Schlüssel einigen, der vor der Betriebsaufnahme über einen sicheren Kanal ausgetauscht werden muss. Die Sicherheits-Architektur der vorliegenden Erfindung unter¬ scheidet zwischen permanenten und temporären Vertrauensbezie¬ hungen. Hierbei wird über den Berechtigungsüberprüfungs- Rechner AAA zumindest eine der folgenden permanenten Vertrau¬ ensbeziehungen eingerichtet und verwaltet:
Vertrauensbeziehungen SAMEP:i,AAA zwischen jedem der Zu¬ gangspunkt-Verbindungsrechner MEP und dem Berechtigungs- Überprüfungs-Rechner AAA,
Vertrauensbeziehungen SAGWP,AAA zwischen dem Netzwerkver- bindungs-Rechner GW und dem Berechtigungsüberprüfungs- Rechner AAA, Vertrauensbeziehungen SAGwp,MEP:i zwischen dem Netzwerkver- bindungs-Rechner GW und jedem der Zugangspunkt- Verbindungsrechner MEP,
- Vertrauensbeziehungen SAMG:i zwischen Zugangspunkt- Verbindungsrechnern MEP einer Gruppe MCG von Zugangs¬ punkt-Verbindungsrechnern MEP, - Vertrauensbeziehungen SAPA:i zwischen Kommunikationsele¬ menten in einem Netzwerkgebiet PA (Paging Area) einge¬ richtet zum Empfang eines einheitlichen Paging-Dienstes .
Hierbei sind die Vertrauensbeziehungen SAMG:i nur den Mitglie- dern einer jeweiligen Gruppe MCG und die Vertrauensbeziehun¬ gen SApA:i nur den Mitgliedern innerhalb einer Paging Area PA:i bekannt.
Weiterhin wird durch den Berechtigungsüberprüfungs-Rechner AAA eine permanente Vertrauensbeziehung SAMN::L,AAA zwischen dem Berechtigungsüberprüfungs-Rechner AAA und dem mobilen Rechner MN eingerichtet und verwaltet. Dies geschieht für jeden mobi¬ len Rechner, der beim Zugangsnetzwerk AN angemeldet ist. Bei der anfänglichen Registrierung des mobilen Rechners MN wird durch den Berechtigungsüberprüfungs-Rechner AAA eine temporä¬ re Vertrauensbeziehung SAMN::L,AN zwischen dem mobilen Rechner MN und zumindest einer der Kommunikationselemente MEP, GW des Zugangsnetzes AN eingerichtet und verwaltet. Für externe Be¬ nutzer kann der lokale AAA-Server andere AAA-Server anderer Kommunikationsnetze kontaktieren, um eine jeweilige Vertrau¬ ensbeziehung aufzubauen.
Im folgenden werden unterschiedliche Schritte bei der Besi- cherung von Protokoll-Operationen innerhalb eines MOMBASA- Kommunikationssystems näher beschrieben.
Wenn ein mobiler Rechner eine anfängliche Registrierung an einem Zugangsnetzwerk eines MOMBASA-KommunikationsSystems durchführt, wird eine Nachrichtensequenz für diese Operation durchgeführt, wie beispielhaft anhand von Fig. 3 verdeut¬ licht.
In einem ersten Schritt senden die Zugangspunkt- Verbindungsrechner MEP reguläre Advertisement-Nachrichten nach einem so genannten Challenge/Response-Mechanismus . Es handelt sich dabei um ein Verfahren zur Authentifikation, das mit symmetrischen und asymmetrischen Verschlüsselungsalgo¬ rithmen durchgeführt werden kann. Bei dem Verfahren bekommt die zu authentifizierende Partei von der authentisierenden Partei eine beliebige Zahl, die so genannte Challenge, über¬ mittelt. Die zu authentifizierende Partei berücksichtigt die- se Challenge bei der Berechnung ihres Authentifizierungswer- tes des übermittelten MH Registration Request, um so genannte Replay-Angriffe zu verhindern. Ein Replay-Angriff ist ein ak¬ tiver Angriff, bei dem der Angreifer die bei einer früheren Session gewonnenen Daten zu einem späteren Zeitpunkt wieder in ein System einspielt, um an die gewünschten Information zu gelangen. Ohne den Challenge/Response-Mechanismus würde es für einen Angreifer ermöglicht werden, gültige, d.h. authen¬ tifizierte, MH Registration Requests auszuspionieren und sie bei einem anderen Zugangspunkt-Verbindungsrechner oder zu ei- ner späteren Zeit wieder einzuspielen. Mit dem Challen¬ ge/Response-Mechanismus hingegen kann ein Angreifer den MH Registration Request nur an demselben Zugangspunkt- Verbindungsrecher MEP wieder einspielen wie der legitimierte mobile Rechner, und das nur innerhalb einer kurzen Zeitspan¬ ne, in der er im Effekt den Request anstelle des legitimier¬ ten Benutzers wiederholt. Schritt eins wird in Fig. 3 anhand von „MEP Adv" repräsentiert.
In einem zweiten Schritt sendet der mobile Rechner einen MH Registration Request, der die letzte Challenge beinhaltet, die in einem MEP Advertisement aufgenommen wurde und mit der Vertrauensbeziehung SAMN::L,AAA authentifiziert wurde (MH RegReq) .
In einem dritten Schritt (KeyReq) überprüft ein Zugangspunkt- Verbindungsrechner MEP die Gültigkeit der Challenge. Jedoch kann der Zugangspunkt-Verbindungsrechner MEP nicht festellen, ob die Nachricht durch einen Angreifer modifiziert wurde. Der Zugangspunkt-Verbindungsrechner MEP sendet einen Key Request zur Anforderung eines Schlüssels an den AAA-Server, welche die Originalanforderung und zusätzliche Veränderungen zu den angeforderten Parametern beinhaltet (beispielsweise limitier¬ te Lebenszeit als Folge eines lokalen Grundsatzes) . Die Nach¬ richt wird authentifiziert mit der Vertrauensbeziehung
SAMEP:i,AAA-
In einem vierten Schritt (KeyRepl) überprüft der Berechti- gungsüberprüfungs-Rechner AAA den Nachrichtenauthentifizie- rungscode MAC (Message Authentication Code) der von dem mobi¬ len Rechner stammenden Nachricht und den Message Authentica¬ tion Code MAC, der von dem Zugangspunkt-Verbindungsrechner MEP für die ganze Nachricht erzeugt wurde, und verifiziert, dass der angeforderte Telekommunikationsservice für den mobi¬ len Rechner erlaubt ist entsprechend seinem Profil. Der Be- rechtigungsüberprüfungs-Rechner AAA kreiert die Session- Vertrauensbeziehung SAMN::L,ANΛ verschlüsselt den Session- Schlüssel mit der Vertrauensbeziehung SAMEP:i,AAA und erzeugt den MH Registration Response authentifiziert mit der Vertrau¬ ensbeziehung SAMN:i,AAAΛ der den Session-Schlüssel verschlüs- seit für den mobilen Rechner enthält. Der MH Registration Response wird an den anfordernden Zugangspunkt- Verbindungsrechner MEP zurückgesandt.
In einem fünften Schritt (MH RegRepl) übermittelt der Zu¬ gangspunkt-Verbindungsrechner MEP den MH Registration Respon¬ se, der in dem Key Response enthalten war, entschlüsselt den Session-Schlüssel und bucht den mobilen Rechner in seine Da¬ tenbank ein.
In einem sechsten Schritt (JoinMCG) wird der Zugangspunkt- Verbindungsrechner MEP Teil der Multicasting-Gruppe MCG, die mit dem mobilen Rechner assoziiert ist, und richtet eine Nachrichtenübermittlung für den mobilen Rechner ein.
In einem siebten Schritt fügt der Zugangspunkt- Verbindungsrechner MEP den mobilen Rechner sowie dessen Ser¬ vice-Klasse und seinen Session-Schlüssel, verschlüsselt über die Vertrauensbeziehung SAMG:ir in das nächste Advertisement zwischen den Zugangspunkt-Verbindungsrechnern MEP ein, die zu der benachbarten MEP Multicasting-Gruppe gesendet wurde (IMEP Adv) .
In einem achten Schritt (JoinMCG) erzeugen die benachbarten Zugangspunkt-Verbindungsrechner MEP einen Datenbankeintrag des mobilen Rechners enthaltend die Vertrauensbeziehung SAMN::L,ANΛ wenn sie das Inter-MEP Advertisement empfangen, wer¬ den Teil der Multicasting-Gruppe, die mit dem mobilen Rechner assoziiert ist, und beginnen den Nachrichtentransfer für den mobilen Rechner zu puffern.
Das Sichern der Nachrichten mit einem Message-Authentication Code MAC stellt sicher, dass nur legitimierte Benutzer einen Telekommunikationsdienst empfangen und dass Nachrichten nicht modifiziert werden können, ohne dass dies detektiert wird.
Das Verschlüsseln von sicherheitskritischen Informationen und die Verwendung von Message Authentication Codes innerhalb des Zugangsnetzwerks schützt gegen Angreifer, die in der Lage sind, einen Link im internen Zugangsnetzwerk abzuhören, wenn sie nicht in der Lage sind, einen Zugangsnetzwerkknoten zu beeinträchtigen.
Im folgenden wird anhand von Fig. 4 ein Handover-Prozess zu einem neuen Zugangspunkt-Verbindungsrechner MEP näher erläu¬ tert.
In einem ersten Schritt wird die Notwendigkeit für einen Han- dover durch den mobilen Rechner festgestellt, indem MEP Ad- vertisements von einem neuen Zugangspunkt-Verbindungsrechner MEP empfangen werden (MEP Adv) .
In einem zweiten Schritt (MH RegReq) sendet der mobile Rech¬ ner einen MH Registration Request mit der letzten Challenge, die in einem MEP Advertisement aufgezeichnet wurde. Nachdem bereits eine Session in dem Zugangsnetzwerk eingerichtet ist, wird die Nachricht mit der Vertrauensbeziehung SAMN::L,AN au- thentifiziert.
In einem dritten Schritt (MH RegRepl) wird folgendes durchge¬ führt: normalerweise ist der neue Zugangspunkt- Verbindungsrechner MEP einer der benachbarten MEPs des alten Zugangspunkt-Verbindungsrechners MEP und ist deshalb bereits im Besitz des Session-Schlüssels des ankommenden mobilen Rechners. Dadurch kann der neue MEP den Message Authenticati- on Code MAC lokal überprüfen und einen MH Registration Res¬ ponse generieren, der mit der Vertrauensbeziehung SAMN::L,AN signiert ist. Falls der neue Zugangspunkt-Verbindungsrechner MEP keinen Eintrag für den ankommenden mobilen Rechner auf¬ weist, wird dem mobilen Rechner ein Fehler angezeigt, so dass dieser einen anfänglichen Registrierungsprozess in diesem Fall durchführen muss.
In einem vierten Schritt richtet der neue Zugangspunkt- Verbindungsrechner MEP eine Übertragung für den mobilen Rech- ner ein und leert seinen Puffer-Speicher, um einen Nachrich¬ tenverlust während des Handover-Prozesses zu kompensieren.
In einem fünften Schritt (Schritte 5a und 5b) schreitet der Prozess fort wie im Fall der anfänglichen Registrierung.
In einem sechsten Schritt (Leave MCG) verlassen die Zugangs¬ punkt-Verbindungsrechner MEP, welche benachbart zu dem alten MEP jedoch nicht zu dem neuen MEP sind, die Multicasting- Gruppe MCG. Weiterhin löschen sie den Eintrag mit der Ver¬ trauensbeziehung, wenn sie das nächste Inter-MEP Advertise- ment des alten Zugangspunkt-Verbindungsrechners MEP empfan¬ gen, der nicht mehr mit dem mobilen Rechner in Verbindung steht.
Anhand von Fig. 5 wird im folgenden ein Übergang des mobilen Rechners in den inaktiven Zustand näher beschrieben.
In einem ersten Schritt (MH RegReq) sendet der mobile Rechner einen MH Registration Request, mit einem inaktiv gesetzten
Flag und authentifiziert mit der Vertrauensbeziehung SAMN::L,ANΛ zu dem momentan zugeordneten Zugangspunkt-Verbindungsrechner MEP.
Dieser überprüft in einem zweiten Schritt (PagUpd) die Nach¬ richt und versendet ein Paging Update mit dem entsprechenden Paging-Gebiet und dem verschlüsselten Session-Schlüssel des mobilen Rechners, authentifiziert mit der Vertrauensbeziehung SAGwp,MEP:ir an den Netzwerkverbindungs-Rechner GW (Gateway Pro- xy) .
In einem dritten Schritt (Leave MCG) verlässt der Zugangs¬ punkt-Verbindungsrechner MEP die Multicasting-Gruppe MCG und löscht den Eintrag des mobilen Rechners. In einem vierten Schritt überprüft der Netzwerkverbindungs- Rechner GW die Nachricht und erzeugt einen Paging-Eintrag für den mobilen Rechner.
In einem fünften Schritt (Schritte 5a, 5b) entfernen die be¬ nachbarten Zugangspunkt-Verbindungsrechner MEP den Eintrag des mobilen Rechners und verlassen die Multicasting-Gruppe MCG als Folge eines Nachrichtenverkehrs zwischen den Zugangs¬ punkt-Verbindungsrechnern MEP.
Ein Paging-Update wird dabei wie folgt vollzogen: der mobile Rechner im Idle-Zustand frischt seinen Standort regelmäßig auf, jedoch mit niedriger Frequenz als im aktiven Zustand. Hierzu werden, wie anhand von Fig. 5 näher erläutert, folgen- de Schritte vollzogen:
Der mobile Rechner versendet einen MH Registration Request (MH RegReq) mit einem inaktiven Flag, authentifiziert mit der Vertrauensbeziehung SAMN::L,AN- Nachdem die Zugangspunkt- Verbindungsrechner MEP nicht jeden Status betreffend eines mobilen Rechners im Idle-Zustand aufzeichnen, kann der emp¬ fangende Zugangspunkt-Verbindungsrechner MEP nicht die Gül¬ tigkeit der Nachricht überprüfen. Für solche Nachrichten könnte ein Verfahren zur Überlastkontrolle zur Anwendung kom- men. Ein solches Verfahren wird beispielsweise durch so ge¬ nannte Rate-based Congestion Control realisiert, um Denial- Of-Service Attacks gegen den Netzwerkverbindungs-Rechner GW abzuwehren.
In einem nächsten Schritt (PagUpd) wird die Nachricht als ein Paging-Update zu dem Netzwerkverbindungs-Rechner GW übermit¬ telt und dort validiert. Der Paging-Eintrag in dem Netzwerk¬ verbindungs-Rechner GW wird aktualisiert.
Ein Übergang vom inaktiven Status in den aktiven Status kann durch zwei Ereignisse ausgelöst werden: der mobile Rechner will beispielsweise Nachrichten versenden, oder Nachrichten bestimmt für den mobilen Rechner erreichen den Netzwerkver- bindungs-Rechner. Im ersten Fall wird eine anfängliche Re¬ gistrierung, wie oben bereits beschrieben, durch den mobilen Rechner durchgeführt, im anderen Fall wird für den mobilen Rechner durch den Netzwerkverbindungs-Rechner ein Paging- Prozess durchgeführt.
Im folgenden wird anhand von Fig. 6 ein Paging-Prozess näher beschrieben. Wenn Nachrichten für einen mobilen Rechner MN im Idle-Status ankommen, wird ein Paging-Prozess durch den
Netzwerkverbindungs-Rechner GW in folgender Weise durchge¬ führt:
In einem ersten Schritt (PagReq) übermittelt der Netzwerkver- bindungs-Rechner in einem Multicasting-Prozess Paging-
Anforderungen, authentifiziert mit den Vertrauensbeziehungen SAMN::L,AN und SApA:i, an das zuletzt übermittelte Paging-Gebiet.
In einem zweiten Schritt (PagReq) überprüfen alle Zugangs- punkt-Verbindungsrechner MEP innerhalb des Paging-Gebiets die Paging-Anforderung, streifen den SAPA:i Authentifikator ab und übermitteln die Paging-Anforderung zu den zuletzt benutzten Zugangspunkten.
In einem dritten Schritt (MH RegReq) verifiziert der mobile
Rechner die Paging-Anforderung und führt eine anfängliche Re¬ gistrierung durch mit einem zusätzlichen so genannten Wake- up-Flag.
In einem vierten Schritt (Schritte 4, 4a-4c) wird zusätzlich zu den Operationen bezüglich der anfänglichen Registrierung durch den Zugangspunkt-Verbindungsrechner MEP ein Paging- Update versendet, das mit der Vertrauensbeziehung SAGwp,MEP:i signiert ist, mit der Lebensdauer null an den Netzwerkverbin- dungs-Rechner GW. In einem fünften Schritt modifiziert der Netzwerkverbindungs- Rechner GW das Paging-Update und komplettiert den Paging- Prozess .
Das Kommunikationssystem gemäß der Erfindung ist hinsichtlich seiner sicherheitsrelevanten Architektur weiterhin dazu ein¬ gerichtet, Denial-Of-Service Attacks abzuwehren bzw. zu ver¬ hindern. Zu diesem Zweck sind der Netzwerkverbindungs-Rechner GW und der Berechtigungsüberprüfungs-Rechner AAA weiterhin dazu eingerichtet, ein Verfahren zur Überlastkontrolle durch Bereitstellung eines Kommunikationsprotokolls für die Kommu¬ nikationselemente GW, MEP, AAA und MN durchzuführen, um einen Funktionsausfall eines dieser Kommunikationselemente infolge eines Denial-Of-Service-Angriffs zu verhindern. Nachdem die Authentifikation des Benutzers, wie oben beschrieben, im Fal¬ le eines Handover-Prozesses dezentral an den Zugangspunkt- Verbindungsrechnern MEP durchgeführt wird, können Angriffe gegen den zentralen Berechtigungsüberprüfungs-Rechner AAA vermieden werden, so dass ein Funktionsausfall nur einen lo- kalen Effekt nach sich ziehen würde. Ein solcher könnte auch durch einfachere Vorgänge verursacht werden, wie beispiels¬ weise durch Datenstau. Auf der anderen Seite müssen Vorgänge wie die anfängliche Registrierung, Paging-Updates während Id- le-Perioden und die Wake-up-Sequenz über den Berechtigungsü- berprüfungs-Rechner AAA ausgeführt werden, weil das permanen¬ te Speichern geteilter Geheimnisse an einem dezentralen Ort eine größere Verletzbarkeit für die Architektur bedeuten wür¬ de.
Um Denial-Of-Service Attacks abzuwehren, ist der Berechti- gungsüberprüfungs-Rechner AAA vorteilhaft derart eingerich¬ tet, dass er ein Verfahren zur Überlastkontrolle nach einem Token-Bucket-Verfahren durchführt. Ein Verfahren zur Über¬ lastkontrolle (beispielsweise so genannte Rate-Based Con- gestion Control nach H. Ohsaki, e.a., Rate-Based Congestion Control for ATM Networks . Computer Communication Review, ACM SIGCOMM, vol. 25, no. 2, April 1995, pp. 60-72) hat dabei die Aufgabe zu verhindern, dass die von sendenden Einrichtungen übergebenen Nachrichten die Leistungsfähigkeit des Netzes ü- berfordern. Eine diesbezügliche Methode ist der Token-Bucket- Algorithmus, eine Methode zur Verkehrsglättung mit dem Ziel, Datenverkehr mit diskontinuierlicher Verkehrscharakteristik möglichst so zu formen, dass angenähert kontinuierliche Da¬ tenströme entstehen. Token-Bucket arbeitet mit einem Zwi¬ schenspeicher (Bücket) mit begrenztem Volumen. Ein Token- Generator erzeugt mit konstanter Rate Berechtigungssymbole, die so genannten Token. Ankommende Daten werden im Bücket ab¬ gelegt. Pro Token wird eine entsprechende Menge Daten aus dem Eimer abgelassen. Wenn permanent mehr gesandt wird als ver¬ einbart, läuft der Eimer über, d.h. dies führt dann zu Daten¬ verlusten.
Eine solche Überlastkontrolle (Rate Control) kann erreicht werden mit der Netfilter/IP-tables-Architektur eines Stan¬ dard-Linux-Kernels. In Fig. 7 ist eine Tabelle gezeigt, in der Regeln dargestellt sind, die notwendig sind, um die Zahl der Nachrichtenpakete zu begrenzen. In diesem Zusammenhang sollen Nachrichtenpakete begrenzt werden, die Paging- Anforderungen verursachen, vorzugsweise auf eine Anzahl von zehn pro Sekunde mit einer Burst-Länge von 20. Der Netfilter stellt ein Modul zur Verfügung, welches es erlaubt, IP- Adressen in einen Pool von Adressen innerhalb eines bestimm¬ ten Bereichs dynamisch einzufügen und wieder zu entfernen. Dies kann dazu benutzt werden, mobile Rechner mit Idle-Status von aktiven mobilen Rechnern zu unterscheiden. Die in Fig. 7 gezeigte Tabelle setzt einen als active Pool bezeichneten Pool voraus, der am Anfang alle Adressen mobiler Rechner be¬ inhaltet, wobei die mobilen Rechner im Idle-Zustand vom Pool entfernt werden durch den Netzwerkverbindungs-Rechner GW.
Wenn ein eingehendes Nachrichtenpaket an den Netzwerkverbin- dungs-Rechner GW ankommt, wird festgestellt, ob es mit Regel Nr. 1 in der Haupttabelle übereinstimmt. Falls die Zieladres¬ se in dem Pool active (-m pool: lade Modul Pool, -dst-pool active: suche Zieladresse im Pool active) enthalten ist, wird sie akzeptiert. Regel Nr. 2 wird nur auf Nachrichtenpakete angewandt, die an mobile Rechner im Idle-Zustand gerichtet sind. Diese Regel kann nur zehnmal pro Sekunde mit einer Burst-Länge ausgeführt werden, die dem zweifachen der
Refresh-Rate entspricht, das bedeutet 20 Nachrichtenpakete (-m limit: Lade Modul limit, -limit 10/s: Begrenzung auf 10/s, -limit-burst 2: Burstlänge 20 Pakete) . Falls die Regel anwendbar ist, wird der Prozess in der Tabelle IdIe fortge- setzt (-j IdIe) . Alle anderen Nachrichtenpakete, die nicht auf Regel Nr. 1 und Regel Nr. 2 anwendbar sind, sind auf Re¬ gel Nr. 3 anwendbar und werden abgelehnt.
Regel Nr. 1 in der Tabelle IdIe sorgt dafür, dass das Ziel des Nachrichtenpakets dem Pool active hinzugefügt wird (-j
Pool: Führe Pool-Operation aus, -pool active -add-dst-ip: Fü¬ ge Zieladresse des Pakets dem Pool active hinzu) . Dies aus dem Grund, weil zusätzliche Nachrichtenpakete an dasselbe Ziel keinen weiteren Paging-Prozess auslösen, sondern in ei- nem Ringpuffer durch den Netzwerkverbindungs-Rechner GW ge¬ puffert werden. Deshalb können sie durch den Paketfilter in gleicher Weise behandelt werden wie Nachrichtenpakete an ak¬ tive mobile Rechner. Die Regel Nr. 2 veranlasst das Nachrich¬ tenpaket, den Paging-Prozess auszulösen, um akzeptiert zu werden.
Operationen, die durch die Rate Control betroffen sind, sind nicht zeitkritisch. Eine anfängliche Registrierung findet im allgemeinen nur statt, wenn das Kommunikationsnetzwerk zum ersten Mal kontaktiert wird, ein Paging-Prozess im allgemei¬ nen am Beginn der Kommunikationssitzung, und Paging-Update- Nachrichten übermitteln die Position des mobilen Rechners oh¬ nehin nur rudimentär. Aus diesem Grund ist eine bestimmte Verzögerungszeit infolge der Überlastkontrolle auch bei hoher Netzlast akzeptabel. Natürlich werden in einem Zustand, in dem ein Denial-Of-Service Attack stattfindet, auch legiti¬ mierte Benutzer betroffen, jedoch nur hinsichtlich der Opera- tion, die für den Angriff gerade benutzt wird. Dadurch wird ein Denial-Of-Service Attack lokal begrenzt, welcher ohne die Erfindung das gesamte Zugangsnetzwerk und die darin angemel¬ deten Benutzer betreffen würde. Gemäß der Erfindung wird ein solcher Angriff auf den Teil der Benutzer begrenzt, die mo¬ mentan inaktiv sind, und auf Benutzer, die versuchen einen anfänglichen Registrierungsprozess durchzuführen.

Claims

Patentansprüche
1. KommunikationsSystem zur Bereitstellung eines mobilen Te¬ lekommunikationsdienstes, das als Kommunikationselemente um- fasst:
- ein Kommunikationsnetz (IN) , das zur Nachrichtenübermitt¬ lung auf Basis wenigstens eines Internet-Protokolls einge¬ richtet ist,
- wenigstens einen mobilen Rechner (MN) , - ein Zugangsnetzwerk (AN) für den mobilen Rechner (MN) , bei dem Nachrichten unter Verwendung eines Multicasting-Prozesses übermittelt werden,
- einen Netzwerkverbindungs-Rechner (GW) zur Verbindung des Zugangsnetzwerks (AN) und des Kommunikationsnetzes (IN) , - mehrere Zugangspunkte (AP) im Zugangsnetzwerk mit jeweili¬ gen Zugangspunkt-Verbindungsrechnern (MEP) , welche jeweils dazu eingerichtet sind, eine Kommunikationsverbindung zwi¬ schen wechselnden Zugangspunkten (AP) und dem mobilen Rechner (MN) herstellen zu können, - einen Berechtigungsüberprüfungs-Rechner (AAA) zur Einrich¬ tung und Verwaltung von Vertrauensbeziehungen (SA) zwischen mehreren der Kommunikationselemente (GW, MEP, AAA, MN) ,
- wobei der Netzwerkverbindungs-Rechner (GW) und die Zugangs¬ punkt-Verbindungsrechner (MEP) dazu eingerichtet sind, beim Empfang und Versenden von Nachrichten ein Paketfilter- Verfahren zum sicherheitsbezogenen Schutz des Kommunikations¬ systems durchzuführen,
- wobei der Netzwerkverbindungs-Rechner (GW) und der Berech- tigungsüberprüfungs-Rechner (AAA) weiterhin dazu eingerichtet sind, ein Verfahren zur Überlastkontrolle durch Bereitstel¬ lung eines Kommunikationsprotokolls für die Kommunikations¬ elemente (GW, MEP, AAA, MN) durchzuführen, um einen Funkti¬ onsausfall eines der Kommunikationselemente infolge eines An¬ griffs zu verhindern.
2 . Kommunikationssystem nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t, dass der Netzwerkverbindungs-Rechner (GW) und die Zugangspunkt- Verbindungsrechner (MEP) dazu eingerichtet sind, ein Paket¬ filter-Verfahren durchzuführen, um eine vorbestimmte Klasse von Angriffen mit mutwillig veränderten Quelladressen abzu- wehren.
3. Kommunikationssystem nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t, dass der Netzwerkverbindungs-Rechner (GW) und die Zugangspunkt- Verbindungsrechner (MEP) eingerichtet sind, das Paketfilter- Verfahren zum Schutz eines internen Nachrichtenaustausches im Zugangsnetzwerk (AN) vor externen Angriffen durchzuführen.
4. Kommunikationssystem nach einem der vorhergehenden Ansprü- che, d a d u r c h g e k e n n z e i c h n e t, dass der Berechtigungsüberprüfungs-Rechner (AAA) zur Einrichtung und Verwaltung von zumindest einer permanenten Vertrauensbe¬ ziehungen (SA) eingerichtet ist: - zwischen jedem der Zugangspunkt-Verbindungsrechner (MEP) und dem Berechtigungsüberprüfungs-Rechner (AAA) ,
- zwischen dem Netzwerkverbindungs-Rechner (GW) und dem Be- rechtigungsüberprüfungs-Rechner (AAA) ,
- zwischen dem Netzwerkverbindungs-Rechner (GW) und jedem der Zugangspunkt-Verbindungsrechner (MEP) ,
- zwischen Zugangspunkt-Verbindungsrechnern (MEP) einer Grup¬ pe (MCG) von Zugangspunkt-Verbindungsrechnern (MEP) ,
- zwischen Kommunikationselementen in einem Netzwerkgebiet (PA) eingerichtet zum Empfang eines einheitlichen Paging- Dienstes.
5. Kommunikationssystem nach einem der vorhergehenden Ansprü¬ che, d a d u r c h g e k e n n z e i c h n e t, dass der Berechtigungsüberprüfungs-Rechner (AAA) eine permanente Vertrauensbeziehung (SA) zwischen dem Berechtigungsüberprü- fungs-Rechner (AAA) und dem mobilen Rechner (MN) einrichtet und verwaltet.
6. Kommunikationssystem nach einem der vorhergehenden Ansprü- che, d a d u r c h g e k e n n z e i c h n e t, dass der Berechtigungsüberprüfungs-Rechner (AAA) bei der anfängli¬ chen Registrierung des mobilen Rechners (MN) eine temporäre Vertrauensbeziehung (SA) zwischen dem mobilen Rechner (MN) und zumindest einer der Kommunikationselemente (MEP, GW) des Zugangsnetzes (AN) einrichtet und verwaltet.
7. Kommunikationssystem nach einem der vorhergehenden Ansprü¬ che, d a d u r c h g e k e n n z e i c h n e t, dass der Berechtigungsüberprüfungs-Rechner (AAA) eingerichtet ist, ein Verfahren zur Überlastkontrolle nach einem Token-Bucket- Verfahren durchzuführen.
8. Verfahren zur Bereitstellung eines mobilen Telekommunika¬ tionsdienstes mittels eines Kommunikationsnetzes (IN) , das zur Nachrichtenübermittlung auf Basis wenigstens eines Inter¬ net-Protokolls eingerichtet ist, und eines Zugangsnetzwerkes (AN) für mobile Rechner (MN) , innerhalb dessen eine Nachricht nach einem Multicasting-Prozess übermittelt wird,
- bei dem mehrere Zugangspunkte (AP, MEP) im Zugangsnetzwerk (AN) vorgesehen sind, über welche jeweils eine Kommunikati¬ onsverbindung zwischen dem Zugangsnetzwerk (AN) und einem mo¬ bilen Rechner (MN) hergestellt wird, der mit wechselnden Zu- gangspunkten (AP, MEP) im Zugangsnetzwerk (AN) kommunizieren kann,
- bei dem beim Empfang und Versenden von Nachrichten ein Pa¬ ketfilter-Verfahren zum sicherheitsbezogenen Schutz des Kom¬ munikationssystems an den Grenzen des Zugangsnetzwerks (AN) durchgeführt wird, - bei dem Vertrauensbeziehungen (SA) zwischen mehreren Kommu¬ nikationselementen (GW, MEP, AAA, MN) des Kommunikationssys¬ tems eingerichtet und verwaltet werden,
- bei dem eine Überlastkontrolle durch Bereitstellung eines Kommunikationsprotokolls für die Kommunikationselemente (GW,
MEP, AAA, MN) des Kommunikationssystems durchgeführt wird, um einen Funktionsausfall eines der Kommunikationselemente in¬ folge eines Angriffs zu verhindern.
9. Verfahren nach Anspruch 8, d a d u r c h g e k e n n z e i c h n e t, dass ein Paketfilter-Verfahren zur Abwehr einer vorbestimmten Klasse von Angriffen mit mutwillig veränderten Quelladressen durchgeführt wird.
10. Verfahren nach Anspruch 8 oder 9, d a d u r c h g e k e n n z e i c h n e t, dass das Paketfilter-Verfahren zum Schutz eines internen Nachrich¬ tenaustausches im Zugangsnetzwerk (AN) vor externen Angriffen durchgeführt wird.
11. Verfahren nach einem der Ansprüche 8 bis 10, d a d u r c h g e k e n n z e i c h n e t, dass mittels einer Schlüsselverteilung an benachbarte Kommunikati- onselemente eines Zugangspunktes (AP, MEP) des Zugangsnetzes (AN) einem weiteren Zugangspunkt (AP, MEP) ermöglicht wird, eine lokale Authentifikation eines mobilen Rechners (MN) bei der automatischen Nachführung einer bestehenden Nutzdatenver¬ bindung durchzuführen.
12. Verfahren nach einem der Ansprüche 8 bis 11, d a d u r c h g e k e n n z e i c h n e t, dass das Verfahren zur Überlastkontrolle bei einem anfänglichen Registrierungsprozess des mobilen Rechners (MN) und/oder bei der Durchführung oder Aktualisierung von Paging-Diensten durchgeführt wird.
13. Verfahren nach einem der Ansprüche 8 bis 12, d a d u r c h g e k e n n z e i c h n e t, dass das Verfahren zur Überlastkontrolle durch eine Linux- Netzfilter-Architektur realisiert wird.
14. Verfahren nach einem der Ansprüche 8 bis 13, d a d u r c h g e k e n n z e i c h n e t, dass das Verfahren zur Überlastkontrolle auf mehreren Ebenen durchgeführt wird, insbesondere dezentral auf einer Ebene von geographischen Zellen und zentral auf einer Ebene der gesam¬ ten Netzlast.
15. Verfahren nach einem der Ansprüche 8 bis 14, d a d u r c h g e k e n n z e i c h n e t, dass das Verfahren zur Überlastkontrolle nach einem Token-Bucket- Verfahren durchgeführt wird.
PCT/EP2005/054245 2004-09-30 2005-08-29 Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes WO2006034935A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP05786876A EP1721235B1 (de) 2004-09-30 2005-08-29 Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
US11/547,815 US8688077B2 (en) 2004-09-30 2005-08-29 Communication system and method for providing a mobile communications service
DE502005001186T DE502005001186D1 (de) 2004-09-30 2005-08-29 Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004047692A DE102004047692A1 (de) 2004-09-30 2004-09-30 Kommunikationssystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes
DE102004047692.6 2004-09-30

Publications (1)

Publication Number Publication Date
WO2006034935A1 true WO2006034935A1 (de) 2006-04-06

Family

ID=35429390

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/054245 WO2006034935A1 (de) 2004-09-30 2005-08-29 Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes

Country Status (5)

Country Link
US (1) US8688077B2 (de)
EP (1) EP1721235B1 (de)
CN (1) CN100538588C (de)
DE (2) DE102004047692A1 (de)
WO (1) WO2006034935A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769402B2 (en) * 2009-03-03 2014-07-01 Admeta Aktiebolag Method for optimising the placement of at least two pieces of information
US9107048B2 (en) * 2009-06-29 2015-08-11 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for mobile IP route optimization
US8831568B2 (en) * 2011-09-27 2014-09-09 Qualcomm Incorporated Automatic configuration of a wireless device
US9031050B2 (en) 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
TWI469599B (zh) * 2012-06-08 2015-01-11 Arcadyan Technology Corp 無線行動通訊方法
US9215591B2 (en) * 2012-12-06 2015-12-15 At&T Intellectual Property I, L.P. Security for network load broadcasts over cellular networks
JP2020108070A (ja) * 2018-12-28 2020-07-09 株式会社東芝 通信制御装置および通信制御システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040077350A1 (en) * 2002-10-17 2004-04-22 Siamak Naghian Transmission method in a communication system
US20040087304A1 (en) * 2002-10-21 2004-05-06 Buddhikot Milind M. Integrated web cache

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI100158B (fi) * 1995-11-09 1997-09-30 Nokia Telecommunications Oy Liikenteen ohjaus tietoliikennejärjestelmässä
EP1103121B1 (de) * 1998-08-04 2008-06-04 AT&T Corp. Verfahren zur zuweisung von netzressourcen
US6615186B1 (en) * 2000-04-24 2003-09-02 Usa Technologies, Inc. Communicating interactive digital content between vehicles and internet based data processing resources for the purpose of transacting e-commerce or conducting e-business
WO2002013437A2 (en) * 2000-08-04 2002-02-14 Xtradyne Technologies Ag Method and system for session based authorization and access control for networked application objects
US6954790B2 (en) * 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
US6934533B2 (en) * 2001-05-30 2005-08-23 Nortel Networks Limited Voucher redemption in mobile networks
EP1265445A3 (de) * 2001-06-08 2007-05-30 The Distribution Systems Research Institute Endgerät-zu-Endgerät-Kommunikationssteurungssystem für einen IP-Volldienst
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
US7339928B2 (en) * 2001-08-29 2008-03-04 Alcatel Lucent Micro-mobility network routing system and method
KR100446240B1 (ko) * 2001-12-05 2004-08-30 엘지전자 주식회사 이동통신 시스템의 방송형 무선 데이터 서비스 방법
EP1324541B1 (de) * 2001-12-26 2007-09-05 Kabushiki Kaisha Toshiba Kommunikationssystem, drahtlose Kommunikationsvorrichtung und Kommunikationsverfahren
KR100765123B1 (ko) * 2002-02-16 2007-10-11 엘지전자 주식회사 Srns 재할당 방법
US7565688B2 (en) * 2002-12-23 2009-07-21 Hewlett-Packard Development Company, L.P. Network demonstration techniques
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040077350A1 (en) * 2002-10-17 2004-04-22 Siamak Naghian Transmission method in a communication system
US20040087304A1 (en) * 2002-10-21 2004-05-06 Buddhikot Milind M. Integrated web cache

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WESTERHOFF L ET AL: "Security analysis and concept for the multicast-based handover support architecture MOMBASA", GLOBAL TELECOMMUNICATIONS CONFERENCE, 2004. GLOBECOM '04. IEEE DALLAS, TX, USA 29 NOV.-3 DEC., 2004, PISCATAWAY, NJ, USA,IEEE, vol. 4, 29 November 2004 (2004-11-29), pages 2201 - 2207, XP010757921, ISBN: 0-7803-8794-5 *

Also Published As

Publication number Publication date
DE102004047692A1 (de) 2006-04-13
CN101061450A (zh) 2007-10-24
US8688077B2 (en) 2014-04-01
DE502005001186D1 (de) 2007-09-20
US20070287422A1 (en) 2007-12-13
EP1721235A1 (de) 2006-11-15
EP1721235B1 (de) 2007-08-08
CN100538588C (zh) 2009-09-09

Similar Documents

Publication Publication Date Title
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
DE69433771T2 (de) Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz
DE19983405B4 (de) System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
DE60109993T2 (de) Verfahren zur überprüfung der menge übermittelter daten
EP1826956B1 (de) Anpassung von virtuellen und physikalischen Netzwerkschnittstellen
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE60113925T2 (de) Integritätsprüfung in einem kommunikationssystem
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE60206856T2 (de) Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen
DE60317296T2 (de) Sicherheitsprozessorspiegelung
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE60306835T2 (de) Vorrichtung zur sicheren Mehrfachsendung
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
CA2480496C (en) Monitoring of information in a network environment
EP1982495B1 (de) Verfahren zum sichern der authentizität von nachrichten, die gemäss einem mobile internet protokoll ausgetauscht werden
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP1836810B1 (de) Verfahren und system für mobile netzwerknodes in heterogenen netzwerken
Estrin et al. VISA scheme for inter-organization network security
EP2685696A1 (de) Verfahren zum sicheren Betrieb von Verbundnetzen, insbesondere von Windpark- oder anderen ausgedehnten Netzen

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

WWE Wipo information: entry into national phase

Ref document number: 2005786876

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 5342/DELNP/2006

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 11547815

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 200580010887.1

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWP Wipo information: published in national office

Ref document number: 2005786876

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWG Wipo information: grant in national office

Ref document number: 2005786876

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 11547815

Country of ref document: US