PatentDe  


Dokumentenidentifikation DE602004006251T2 10.01.2008
EP-Veröffentlichungsnummer 0001617619
Titel Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle
Anmelder Alcatel Lucent, Paris, FR
Erfinder De Cnodder, Stefaan Jozef, 2275 Lille, BE;
Mensch, Patrick Paul Yvonne, 2650 Edegem, BE
Vertreter Patentanwälte U. Knecht und Kollegen, 70435 Stuttgart
DE-Aktenzeichen 602004006251
Vertragsstaaten AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IT, LI, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR
Sprache des Dokument EN
EP-Anmeldetag 16.07.2004
EP-Aktenzeichen 042918318
EP-Offenlegungsdatum 18.01.2006
EP date of grant 02.05.2007
Veröffentlichungstag im Patentblatt 10.01.2008
IPC-Hauptklasse H04L 29/06(2006.01)A, F, I, 20060131, B, H, EP
IPC-Nebenklasse H04L 12/56(2006.01)A, L, I, 20060131, B, H, EP   

Beschreibung[de]

Die vorliegende Erfindung betrifft ein Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle, wie in der Präambel von Anspruch 1 beschrieben.

Die Entnahme der Quelladresse aus eintreffenden Paketen und die Speicherung zusammen mit zugehöriger Information in einer Adressen-Weiterleitungs-Tabelle ist ein weit verbreitetes Verfahren, das als Selbstlernen in lokalen Netzen bekannt ist. Der am weitesten verbreitete Standard für lokale Netze ist der Ethernet-Standard, in dem die Quelladressen als MAC-Adressen bezeichnet werden. Das Selbstlern-Verfahren erlaubt ein einfaches Weiterleiten von Datenpaketen durch und von Lokalnetz-Vermittlungsstellen, ohne dass es erforderlich ist, umfangreiche Leitweglenkungs-Tabellen zu speichern. Bei Eintreffen eines neuen Paketes werden die Quelladresse, sowie zugehörige Informationen, wie z.B. die Verbindung, über die das Paket empfangen wurde und der interne Vermittlungsstellen-Anschluss, über den das Paket empfangen wurde, in einer so genannten Adressen-Weiterleitungs-Tabelle gespeichert. Es gibt heute Ethernet-Vermittlungsstellen, die mindestens zwei Schnittstellen haben, die mindestens eine Teilnehmerschnittstelle und eine Netzwerkschnittstelle umfassen, und man findet sie in Zugangsnetzen, wie z.B. in DSL-Zugangsnetzen, passiven optischen Zugangsnetzen, Kabel-Zugangsnetzen, usw. In diesen speziellen Lokalnetz-Vermittlungsstellen dient eine Teilnehmerschnittstelle zum Empfang und zum Senden von Paketen von und zu Endanwendern über ein lokales Heim-Netzwerk, und auf der anderen Seite dient eine Netzwerkschnittstelle zum Empfang und zum Senden von Paketen von und zu Servern und Routern über zum Beispiel ein lokales Ethernet-Stadtnetz. Auch ist in diesen Lokalnetz-Vermittlungsstellen, die eine Teilnehmer- und eine Netzwerkschnittstelle haben, das Selbstlernen ein übliches Verfahren. Somit wird auch in diesen Lokalnetz-Vermittlungsstellen jedes Mal, wenn von jeder Schnittstelle ein neues Paket eintrifft, die Quelladressen-Information entnommen und zur Weiterleitungs-Tabelle hinzugefügt. Wenn die Quelladresse bereits in der Tabelle vorhanden war, wird die zugehörige Information durch die neue zugehörige Information überschrieben.

Solche klassische selbstlernende Ethernet-Vermittlungsstellen sind jedoch anfällig gegen Adressen-Manipulation, wobei mit diesem Begriff gemeint ist, dass ein Teilnehmer die Adresse eines anderen Teilnehmers oder Servers "stiehlt" und sie als seine eigene Adresse benutzt, indem er sie als Quelladresse in die Pakete einfügt, die von ihm gesendet werden. Die Ethernet-Vermittlungsstelle fügt dann diese Information hinzu oder überschreibt die bereits vorhandene korrekte Information mit der des unberechtigten Teilnehmers, was anderen Teilnehmern und der Ethernet-Vermittlungsstelle selbst eine Menge Unannehmlichkeiten bereitet.

Ein Verfahren zur Sicherung der Kommunikation, mit dem versucht wird, diese Probleme der unberechtigten Benutzung in Ethernet-Vermittlungsstellen zu beseitigen, wird in der veröffentlichten US-Patentanmeldung 2002/0010869 offen gelegt. Dieses den Stand der Technik beschreibende Dokument beschreibt ein auf MAC-Adressen beruhendes Verfahren zur Kommunikations-Einschränkung, bei dem festgestellt wird, ob Zugriffs-Vektoren einer empfangenen MAC-Adresse in einer Adressen-Eintrags-Tabelle vorhanden sind. Falls ja, findet ein Vergleich zwischen in Form von Zugangs-Vektoren gespeicherten Sicherheits-Schlüsseln statt, und zwar zwischen denen des MAC-Ziels und der Quelladresse. Wenn keine Übereinstimmung vorliegt, wird der Zugang verweigert.

Bei diesem Verfahren nach dem Stand der Technik ist es erforderlich, dass diese Sicherheitsschlüssel zuerst konfiguriert und in einer so genannten "Hacker-Tabelle" gespeichert werden. Diese Tabelle muss zur Speicherung der Sicherheitsschlüssel vorkonfiguriert werden. Dieses Verfahren ist jedoch ziemlich kompliziert und erfordert das Eingreifen eines Bedieners, der die Hacker-Tabelle aufbauen muss.

Es ist eine Aufgabe der Erfindung, ein einfacheres Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle bereitzustellen, das einfacher ist und das nicht auf den Aufbau einer solchen Anti-Hacker-Tabelle angewiesen ist.

In der Patentanmeldung US 2003/0208571 wird ein Verfahren zur sicheren Weiterleitung in einer Netzwerk-Vermittlungsstelle offen gelegt. Die Vermittlungsstelle enthält eine Datenbank von Vermittlungs-Einträgen, wobei jeder Eintrag eine Verbindung zwischen einer Quelladresse und einem Anschluss und ein Flag zur Anzeige, ob der Eintrag geschützt ist, spezifiziert. Geschützte Einträge können nicht geändert werden. Eine Warnung über das unberechtigte Eindringen wird erzeugt, wenn ein Paket mit einer Quelladresse, die einem geschützten Eintrag zugeordnet ist, über einen Anschluss empfangen wird, der nicht diesem geschützten Eintrag entspricht.

Gemäß der Erfindung wird dieses Ziel durch die Tatsache erreicht, dass das Verfahren die Schritte umfasst, die im charakterisierenden Teil von Anspruch 1 beschrieben werden.

Auf diese Weise wird eine einfache Art und Weise zur Verhinderung von Manipulationen der Quelladressen eines Routers oder Servers durch einen Teilnehmer bereitgestellt, ohne dass eine Anti-Hacker-Tabelle erforderlich ist. Stattdessen wird eine Unterscheidung zwischen Quelladressen, die an der Teilnehmerschnittstelle empfangen werden und denen, die an der Netzwerkschnittstelle empfangen werden, vorgenommen. Diese Unterscheidung kann die Form eines speziellen Kennzeichens haben, das zusätzlich in der (einzigen) Adressen-Weiterleitungs-Tabelle gespeichert wird, oder die Adressen-Weiterleitungs-Tabelle selbst kann in 2 getrennte Tabellen aufgeteilt werden: Eine für die Teilnehmerschnittstelle und eine für die Netzwerkschnittstelle. Zusätzlich dazu findet ein direkter Vergleich der Quelladressen der Server oder Router, die von der Netzwerkseite entnommen wurden, und den an der Teilnehmerschnittstelle empfangenen statt. Wenn die Lokalnetz-Vermittlungsstelle dann eine Quelladresse auf der Teilnehmerseite entnimmt, und dieselbe Quelladresse bereits auf der Netzwerkseite entnommen wurde, hat die auf der Netzwerkseite entnommene Quelladresse immer Vorrang. Spezieller bedeutet dies, dass wenn die Quelladresse zuerst auf der Netzwerkseite entnommen wird und später dieselbe Quelladresse auch auf der Teilnehmerseite entnommen wird, die Adressen-Weiterleitungs-Tabelle nicht geändert und das neue vom Teilnehmer empfangene Paket verworfen wird. Ein missbräuchlicher Teilnehmer, der eine Quelladresse von dem Server manipulieren will, so dass der für diesen Server gedachte Verkehr nicht beim Server, sondern bei diesem Client ankommt, wenn nur Standard-Lern-Verfahren in der Vermittlungsstelle vorhanden sind, wird nun sein Ziel nicht erreichen. Aufgrund des Selbstlern-Verfahrens werden, wenn ein neu eingetroffenes Paket von der Netzwerkseite eine Quelladresse enthält, die bereits in der Weiterleitungs-Tabelle enthalten ist, die neue Quelladresse und ihre zugeordnete Information vom Standard-Selbstlern-Prozess in der Weiterleitungs-Tabelle gespeichert, wodurch so auch zuvor gespeicherte (falsche) MAC-Quelladressen, die von einem missbräuchlichen Teilnehmer stammen, überschrieben werden.

Das bedeutet, dass nur eine kleine Anpassung, die aus einer Bestimmung der Schnittstelle, auf der das Paket empfangen wurde, und einer kleinen Überprüfung, wenn das Paket von der Teilnehmerschnittstelle empfangen wurde, besteht, zum weit verbreiteten Selbstlern-Mechanismus in den vorhandenen Lokalnetz-Vermittlungsstellen hinzugefügt werden muss. Somit ist das Verfahren der Erfindung sehr einfach und kann in vorhandenen Standard-Ethernet-Vermittlungsstellen einfach eingesetzt werden.

Eine weitere kennzeichnende Eigenschaft der vorliegenden Erfindung wird in Anspruch 2 beschrieben.

Auf diese Weise kann eine Liste missbräuchlicher Teilnehmer automatisch aufgebaut werden, indem Informationen über diese missbräuchlichen Teilnehmer automatisch in der zusätzlichen Tabelle gespeichert werden.

In Anspruch 3 wird ausgeführt, dass diese Liste missbräuchlicher Teilnehmer auch aktualisiert werden kann, wenn eine Quelladresse von der Netzwerkseite entnommen wird, die bereits in der Adressen-Weiterleitungs-Tabelle vorhanden war. Das heißt, dass auch in diesem Fall ein missbräuchlicher Teilnehmer aktiv war, der der Vermittlungsstelle bisher unbekannt war, bis dieselbe (Router-)Quelladresse auf der Netzwerkseite erscheint. In diesem Fall wird die alte Teilnehmer-Information normalerweise durch die Information von der Netzwerkseite überschrieben, wobei diese Aktion nun die Kommunikation in der Vermittlungsstelle sichert, es kann aber nützlich sein, solche missbräuchlichen Teilnehmer nachzuverfolgen und bevor ihre in der Adressen-Weiterleitungs-Tabelle vorhandene Information überschrieben wird, kann sie zuerst in die zusätzliche Tabelle eingegeben werden.

Die vorliegende Erfindung betrifft auch eine Lokalnetz-Vermittlungsstelle, die angepasst ist, das Verfahren der Erfindung auszuführen, wie in den Ansprüchen 4 bis 6 beschrieben.

Es wird darauf hingewiesen, dass der in den Ansprüchen benutzte Begriff "gekoppelt", nicht so interpretiert werden darf, als ob er auf direkte Verbindungen begrenzt wäre. Der Umfang des Ausdrucks "eine Vorrichtung A, die mit einer Vorrichtung B gekoppelt ist" darf nicht auf Vorrichtungen oder Systeme begrenzt werden, bei denen ein Ausgang von Vorrichtung A direkt an einen Eingang von Vorrichtung B angeschlossen ist. Er bedeutet, dass ein Pfad zwischen einem Ausgang von A und einem Eingang von B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen oder Mittel enthält.

Es wird darauf hingewiesen, dass der in den Ansprüchen benutzte Begriff "enthält" nicht so interpretiert werden darf, als ob er auf die danach aufgelisteten Mittel oder Schritte begrenzt wäre. Der Umfang des Ausdrucks "eine Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen begrenzt werden, die nur aus den Komponenten A und B bestehen. Er bedeutet bezüglich der vorliegenden Erfindung, dass nur die Komponenten A und B der Vorrichtung relevant sind.

Die oben angegebenen und weitere Ziele und Eigenschaften der Erfindung werden deutlicher, und die Erfindung selbst wird am besten verstanden, wenn man auf die folgende Beschreibung einer Ausführung in Verbindung mit den begleitenden Zeichnungen Bezug nimmt, in denen:

1 einen schematischen Überblick über ein lokales Netz zeigt, das eine Lokalnetz-Vermittlungsstelle AN enthält, die eine Teilnehmer- und eine Netzwerkschnittstelle hat und die mit den Teilnehmerendgeräten T1 bis Tn und den Routern R1 bis Rr gekoppelt ist,

2 schematisch die verschiedenen Schritte zeigt, die beim Eintreffen eines neuen Paketes an jeder Schnittstelle der Lokalnetz-Vermittlungsstelle AN stattfinden.

Die vorliegende Erfindung ist in Ethernet-Zubringernetzen von Interesse, wo alle Teilnehmer dasselbe lokale Netz, im Folgenden mit LAN (Local Area Network) abgekürzt, gemeinsam nutzen, sie ist aber nicht auf diese lokalen Netze beschränkt, die diesen Ethernet-Standard benutzen. In solchen LAN-Netzen wird jedem Teilnehmer eine eindeutige Adresse zugeordnet, die allgemein als MAC-Adresse für Ethernet-LAN-Netze bekannt ist. Lokalnetz-Vermittlungsstellen führen die Weiterleitung empfangener Pakete auf der Basis der darin enthaltenen Quell- und Zieladressen durch. Zu diesem Zweck muss jede Lokalnetz-Vermittlungsstelle die Quelladressen "lernen", womit gemeint ist, dass eine Adressen-Weiterleitungs-Tabelle mit Informationen bezüglich der Adresse gefüllt wird, wie z.B. dem internen Anschluss-Namen des Anschlusses der Ethernet-Vermittlungsstelle, der mit dem Client oder Teilnehmer mit dieser speziellen Adresse verbunden ist, Informationen, welche die Verbindung selbst betreffen, wie einem Fachmann wohlbekannt ist.

Die vorliegende Erfindung kann auf diese Arten von Lokalnetz-Vermittlungsstellen angewendet werden, die mindestens zwei Schnittstellen haben: Auf der einen Seite eine Teilnehmerschnittstelle, auf der anderen Seite eine Netzwerkschnittstelle. Lokalnetz-Vermittlungsstellen, welche die beiden letztgenannten Schnittstellen haben, können zum Beispiel aus DSL-Zugangsknoten, einem Modem in einem DSL-Netzwerk, das mit mehreren Computern auf der Teilnehmerseite gekoppelt ist, Konzentratoren oder sogar drahtlosen Zugangsknoten bestehen. Eine solche Lokalnetz-Vermittlungsstelle, wie die in 1 durch AN gezeigte, ist an der Teilnehmerseite über die Teilnehmerschnittstelle UI mit mehreren Teilnehmerleitungen gekoppelt, z.B. mit DSL-Leitungen in einem DSL-Zugangsnetz. Diese Teilnehmerleitungen können auch aus mehreren Koaxialkabeln bestehen, wenn ein Konzentrator die Lokalnetz-Vermittlungsstelle bildet, oder aus drahtlosen Verbindungen im Fall eines drahtlosen Zugangsknotens als Lokalnetz-Vermittlungsstelle. Diese Teilnehmerleitungen sind in 1 mit 1 bis n bezeichnet. Jede dieser Teilnehmerleitungen ist auf der Teilnehmerseite mit einem Teilnehmerendgerät oder einer Teilnehmereinrichtung gekoppelt, die mit T1 bis Tn bezeichnet sind. Eine solche Endeinrichtung kann aus einem einfachen Personal-Computer, einem Voice-over-IP-Telefon, einer Set-Top-Box, usw. bestehen. Einige Teilnehmerendgeräte, wie z.B. ein DSL-Modem, können ihrerseits wieder mit mehreren Geräten beim Teilnehmer verbunden sein, wie z.B. mit einem oder mehreren Personal-Computern, möglicherweise intern mit internen Routern gekoppelt. Jede dieser Endeinrichtungen oder Teilnehmereinrichtungen hat ihre eigene Adresse im lokalen Netz. Die Erfindung kann auch auf Lokalnetz-Vermittlungsstellen angewendet werden, die mit mehreren Modems gekoppelt sind, wenn sie eine getrennte Quelladresse im lokalen Netz haben, sowie auch auf die Modems selbst, wenn sie wiederum mit mehreren Geräten gekoppelt sind, wie z.B. mit Computern.

Auf der anderen Seite, welche die rechte Seite von AN ist, wie in 1 schematisch gezeigt, ist der Zugangsknoten AN des lokalen Netzes über seine Netzwerkschnittstelle NI mit einem oder mehreren darin enthaltenen Routern oder Servern gekoppelt, die mit R1 bis Rr bezeichnet werden. Jeder dieser Router hat auch seine eigene Adresse im lokalen Netz (MAC).

Wie oben erläutert, basiert die Weiterleitung eines Paketes von einer mit dem AN gekoppelten Endeinrichtung oder einem Router, wie z.B. T1 oder R1, zu einem anderen auf der anderen Seite des AN auf dem Lernen der Adressen der verschiedenen Teilnehmer-Endeinrichtungen und Router, womit gemeint ist, dass eine Adressen-Weiterleitungs-Tabelle, in 1 mit FT bezeichnet, mit Einträgen gefüllt wird, welche die Quell-(MAC)-Adressen enthalten, die in neu eintreffenden Paketen empfangen wurden, sowie damit verbundene weitere Informationen, wie z.B. ihre entsprechende Anschlusskennung. Wenn ein DSL-Zugangsknoten am lokalen Netz ein Paket empfängt, das von einer bestimmten DSL-Leitung kommt, zum Beispiel von Leitung 1, und MAC1 als Quelladresse enthält, speichert der Zugangsknoten diese Information, wie z.B. MAC1 und den Namen des internen Anschlusses, der mit der DSL-Leitung 1 verbunden ist, in dieser Weiterleitungs-Tabelle. Wenn dann als nächstes von Router R1 ein Paket mit MAC1 als Zieladresse empfangen wird, kann der AN nach Abruf der erforderlichen Information in der Weiterleitungs-Tabelle dieses Paket sofort auf DSL-Leitung 1 weiterleiten.

Alternativ lernt der AN auch die Quelladresse MACR1 vom Router R1 und speichert diese Information zusammen mit dem internen Anschluss, der mit R1 verbunden ist, in der Adressen-Weiterleitungs-Tabelle FT.

Unberechtigte Clients auf der Teilnehmerseite des Zugangsknotens möchten manchmal die Adresse des Routers oder Servers auf der Netzwerkseite als ihre eigene Quelladresse benutzen. Dies wird MAC-Adressen-Manipulation genannt und ist somit die Benutzung einer MAC-Adresse durch einen bestimmten Teilnehmer, die nicht zu dem Teilnehmer gehört. Die Folge ist, dass bei Manipulation einer MAC-Adresse durch einen Teilnehmer, dieser Teilnehmer somit Datenpakete in Aufwärtsrichtung erzeugt, die eine MAC-Quelladresse haben, die jemand anderem gehört. Entsprechend lernt die Adressen-Weiterleitungs-Tabelle im Zugangsknoten die falschen Zuordnungen. Wenn dann andere Teilnehmer Pakete zum Router senden wollen, dessen MAC-Adresse manipuliert ist, zum Beispiel durch Teilnehmer 1, könnten alle Pakete zu Teilnehmer 1 gesendet werden. In einigen vorhandenen Ethernet-Vermittlungsstellen wird dies bereits dadurch verhindert, dass eine direkte Teilnehmer-Teilnehmer-Übertragung blockiert wird, aber in anderen Ethernet-Vermittlungsstellen können ernsthafte Probleme die Folge sein. Und sogar wenn eine direkte Teilnehmer-zu-Teilnehmer-Übertragung nicht möglich ist, können Teilnehmer, welche die Quelladresse eines Routers manipulieren, bewirken, dass dieser Router keine weiteren Pakete empfängt.

Die vorliegende Erfindung bietet eine einfache Lösung zur Verhinderung von Manipulationen von Adressen von Routern auf der Netzwerk-Seite durch einen Teilnehmer auf der Teilnehmerseite. Diese Lösung besteht darin, dass jedes Mal, wenn eine neue Quelladresse empfangen wird, entweder auf der Teilnehmerseite oder auf der Netzwerkseite, festgestellt wird, von welcher Schnittstelle sie empfangen wird. Als nächstes wird ein Vergleich zwischen der neu empfangenen Quelladresse auf der Teilnehmerseite und allen gespeicherten Quelladressen, die auf der Netzwerkseite empfangen werden, durchgeführt. Wenn sich herausstellt, dass die Quelladresse bereits als Quelladresse von der Netzwerkseite gespeichert wurde, wird das Paket, das die neue Quelladresse enthält, verworfen. Wenn eine neue Quelladresse der Netzwerkseite mit einer bereits auf der Teilnehmerseite gespeicherten übereinstimmt, wird der vorhandene Eintrag beim Standard-Lernen mit einer zusätzlichen Anzeige, dass sie aus einer von der Teilnehmerseite empfangenen Quelladresse besteht, überschrieben. Wenn eine neue Quelladresse auf der Teilnehmerseite noch nicht in der Adressen-Weiterleitungs-Tabelle enthalten ist, wird sie zusammen mit der herkömmlichen zugehörigen Information und mit einer Anzeige, dass sie von der Teilnehmerseite kommt, in der Weiterleitungs-Tabelle gespeichert. Zu diesem Zweck kann ein spezielles Flag in der FT gespeichert werden, die FT kann aber auch in zwei Teile aufgeteilt werden: Ein vom Teilnehmer kommender Teil und ein vom Netzwerk kommender Teil, und weitere Verfahren zum Aufbau und zur Speicherung dieser Unterschiede kann sich ein Fachmann vorstellen.

Wenn eine neue Router-Quelladresse noch nicht in der FT gespeichert ist, wird sie ebenfalls mit ihrer zusätzlichen zugehörigen Information und zusammen mit eine Anzeige ihres Ursprungs, Teilnehmer- oder Netzwerkseite, in der FT oder im Netzwerk-Teil der FT gespeichert, abhängig von der Implementation der Tabelle.

Dies wird schematisch in 2 gezeigt. Zusätzlich zum Verwerfen eines Paketes von einem Teilnehmer, das eine bereits gespeicherte "Netzwerk"-Quelladresse hat, können weiterhin zusätzliche Informationen bezüglich dieses Teilnehmers in einer zusätzlichen Tabelle gespeichert werden. Es wird daher auch darauf hingewiesen, dass zusätzlich zum Standard-Selbstlernen, wie in den beiden Kasten rechts in Bild 1 gezeigt, zuerst eine interne Überprüfung dieser zusätzlichen Tabelle durchgeführt werden kann, und dass nach dem Standard-Lernen auch eine Aktualisierung dieser zusätzlichen Tabelle durchgeführt wird, zum Beispiel wenn erkannt wird, dass eine neue empfangene Netzwerkadresse bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle gespeichert war. In diesem Fall wird der Eintrag in der Adressen-Weiterleitungs-Tabelle, der sich auf die Adresse des (böswilligen) Teilnehmers bezieht, kopiert und in der zusätzlichen Tabelle gespeichert, wobei nach diesem Schritt der Eintrag in der Adressen-Weiterleitungs-Tabelle durch die neu empfangene Adresse und ihre zugehörige Information überschrieben wird.

Nach dem Standard-Lernen finden natürlich weitere Schritte bezüglich der weiteren Behandlung der empfangenen Pakete statt, wie einem Fachmann wohlbekannt ist.

Die Ausführung dieser Schritte kann durch Verarbeitungs-Mittel erfolgen, die in der Lokalnetz-Vermittlungsstelle enthalten sind, oder durch mehrere Software-Module. Zu diesem Zweck wird ein Unterscheidungs-Mittel, das entweder in Form eines Software-Programms oder einer Hardware in der Vermittlungsstelle vorhanden ist, angepasst, eine Unterscheidung zwischen Quelladressen, die von der Teilnehmerschnittstelle und von der Netzwerkschnittstelle empfangen wurden, durchzuführen. Auf ähnliche Weise kann auch ein Vergleichs-Mittel zum Vergleich einer Quelladresse, die in einem neu an der Teilnehmerschnittstelle (UI) eintreffenden Paket enthalten ist, mit allen in der Weiterleitungs-Tabelle (FT) gespeicherten Quelladressen, die von der Netzwerkschnittstelle (NI) empfangen werden, durch Software-Module oder in Hardware realisiert werden, um ein Steuerungssignal an ein Verwerfungs-Mittel zu liefern, um die neu eintreffenden Pakete zu verwerfen, wenn die darin enthaltene Quelladresse bereits als eine von der Netzwerkschnittstelle empfangene Quelladresse gespeichert war.

Auch kann ein Mittel zur Erkennung, dass eine neu empfangene Netzwerkadresse bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle (FT) gespeichert wurde und zum Senden des Eintrags in der Adressen-Weiterleitungs-Tabelle bezüglich der Teilnehmeradresse an die zusätzliche Tabelle und zur Anweisung der Weiterleitungs-Tabelle, diesen Eintrag durch eine neu empfangene Adresse und ihre zugehörige Information zu überschreiben, durch Software-Programme oder Verarbeitungsmodule in Hardware realisiert werden.

Natürlich sind andere Implementationen möglich. Obwohl die Prinzipien der Erfindung oben in Zusammenhang mit einer speziellen Vorrichtung beschrieben wurden, muss deutlich verstanden werden, dass diese Beschreibung nur als Beispiel erfolgt und keine Einschränkung des Umfanges der Erfindung darstellt, wie in den beigefügten Ansprüchen definiert. Fig. 1 Fig. 2 New packet... Neues Paket trifft in der AN ein Determine interface... Ankunfts-Schnittstelle feststellen (UI oder UN) Extract MAC... MAC-Quelladresse MACi entnehmen MACi is source... MACi ist eine Quelladresse, die von UI kommt? N Nein Y Ja MACi received at NI MACi an NI empfangen MACi received at UI MACi an UI empfangen MACi already present... MACi bereits in FT als von NI stammende Quelladresse vorhanden? Y (MACi is router...) Ja (MACi ist an UI empfangene Router-MAC-Quelladresse) Discard packet Paket verwerfen Standard learning/storage of MACi + storage/indication of MACi as a MAC source adress from NI Standard-Lernen/Speicherung von MACi + Speicherung/Anzeige von MACi als MAC-Quelladresse von NI Standard learning/storage of MACi + storage/indication of MACi as a MAC source adress from UI Standard-Lernen/Speicherung von MACi + Speicherung/Anzeige von MACi als MAC-Quelladresse von UI


Anspruch[de]
Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle (AN), die eine Teilnehmerschnittstelle (UI) und eine Netzwerkschnittstelle (NI) enthält, wobei das Verfahren die Schritte der Entnahme einer Quelladresse (MACi) aus jedem Paket, das von der Lokalnetz-Vermittlungsstelle (AN) empfangen wurde, und die Speicherung der Adresse (MACi) zusammen mit zugehöriger Information in einer Adressen-Weiterleitungs-Tabelle (FT), die in der Lokalnetz-Vermittlungsstelle (AN) vorhanden ist, umfasst, dadurch gekennzeichnet, dass eine Unterscheidung zwischen Quelladressen, die von der Teilnehmerschnittstelle (UI) und der Netzwerkschnittstelle (NI) empfangen wurden, gemacht wird, so dass bei Erkennung, dass eine Quelladresse (MACi), die in einem an der Teilnehmerschnittstelle (UI) neu empfangenen Paket enthalten ist, bereits als an der Netzwerkschnittstelle (NI) empfangene Quelladresse gespeichert wurde, das neu empfangene Paket verworfen und die darin enthaltene Quelladresse nicht in der Adressen-Weiterleitungs-Tabelle (FT) gespeichert wird. Verfahren gemäß Anspruch 1, wobei weitere Teilnehmer-Information bezüglich des verworfenen Paketes in einer zusätzlichen Tabelle gespeichert wird. Verfahren gemäß Anspruch 2, wobei bei Erkennung, dass eine neu empfangene Netzwerkadresse bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle (FT) gespeichert wurde, der zu der Teilnehmeradresse gehörende Eintrag in der Adressen-Weiterleitungs-Tabelle in der zusätzlichen Tabelle gespeichert wird, wobei nach diesem Schritt der Eintrag durch die neu empfangene Adresse und die zugehörige Information überschrieben wird. Lokalnetz-Vermittlungsstelle (AN), die eine Teilnehmerschnittstelle (UI) und eine Netzwerkschnittstelle (NI) und eine Adressen-Weiterleitungs-Tabelle (FT) enthält, um eine Quelladresse (MACi), die aus jedem Paket entnommen wurde, das von der Lokalnetz-Vermittlungsstelle (AN) empfangen wurde, zusammen mit der zu den Quelladressen gehörenden Information zu speichern, dadurch gekennzeichnet, dass die Lokalnetz-Vermittlungsstelle (AN) weiterhin Unterscheidungs-Mittel enthält, die angepasst sind, eine Unterscheidung zwischen Quelladressen, die von der Teilnehmerschnittstelle und der Netzwerkschnittstelle empfangen wurden, durchzuführen, wobei die Lokalnetz-Vermittlungsstelle (AN) weiterhin Vergleichs-Mittel enthält, um eine Quelladresse, die in einem an der Teilnehmerschnittstelle (UI) neu eintreffenden Paket enthalten ist, mit allen in der Weiterleitungs-Tabelle (FT) gespeicherten Quelladressen, die von der Netzwerkschnittstelle (NI) empfangen wurden, zu vergleichen, um ein Steuerungssignal an ein Verwerfungs-Mittel zu liefern, um das neu eintreffende Paket zu verwerfen, wenn die darin enthaltene Quelladresse bereits als eine von der Netzwerkschnittstelle empfangene Quelladresse gespeichert war. Lokalnetz-Vermittlungsstelle (AN) gemäß Anspruch 4, die weiterhin eine zusätzliche Tabelle enthält, um weitere Teilnehmer-Informationen des verworfenen Paketes zu speichern. Lokalnetz-Vermittlungsstelle (AN) gemäß Anspruch 5, die weiterhin Mittel enthält, um zu erkennen, dass eine neu empfangene Netzwerkadresse bereits als Teilnehmeradresse in der Adressen-Weiterleitungs-Tabelle (FT) gespeichert wurde, und um den zu der Teilnehmeradresse gehörenden Eintrag in der Adressen-Weiterleitungs-Tabelle an die zusätzliche Tabelle zu senden und die Weiterleitungs-Tabelle anzuweisen, diesen Eintrag durch die neu empfangene Adresse und ihre zugehörige Information zu überschreiben.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com