[go: up one dir, main page]

WO2006074853A1 - Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle - Google Patents

Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle Download PDF

Info

Publication number
WO2006074853A1
WO2006074853A1 PCT/EP2005/056963 EP2005056963W WO2006074853A1 WO 2006074853 A1 WO2006074853 A1 WO 2006074853A1 EP 2005056963 W EP2005056963 W EP 2005056963W WO 2006074853 A1 WO2006074853 A1 WO 2006074853A1
Authority
WO
WIPO (PCT)
Prior art keywords
port
identification information
network element
access
network
Prior art date
Application number
PCT/EP2005/056963
Other languages
English (en)
French (fr)
Inventor
Oliver Veits
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2006074853A1 publication Critical patent/WO2006074853A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Definitions

  • the invention relates to a method and arrangement for port-related access control of a network element at a multiple connection ports having access element, preferably a switch.
  • a network element or. Client receives access to a data network by transmitting identification and authentication information to an authentication server via an access element.
  • the authentication server checks the information of the network element and decides on access of the network element.
  • the access element is usually designed as a so-called "switch" or more generally as an access point.
  • a common access control method is known from the IEEE 802. Ix standard.
  • the 802. Ix standard provides a general method for authentication and authorization in data networks.
  • a network access is defined, which corresponds to a physical connection resp. Port on a local area network (LAN) or logical port as per the specifications for a wireless LAN or LAN.
  • WLAN complies with the well-known standard IEEE 802.11.
  • Authentication is performed at this network access by a so-called authenticator, which, in cooperation with the authentication server, checks the authentication information transmitted by the network element ("supplicant") and, if appropriate, allows or denies access to the network access offered by the authenticator.
  • the authentication server is designed, for example, according to the known RADIUS server protocols (Remote Authentication Dial-In User Service).
  • RADIUS is a client-server protocol used to authenticate users to dial-in connections to a computer network. This protocol is used, among other things, for central authentication of dial-up connections via modem, ISDN, VPN or wireless LAN.
  • An associated server service, the RADIUS server is used to authenticate network elements using databases in which the identification information of the respective network element, e.g. B. a MAC address of the network element (Media Access Control) and authentication information, eg. B. a password, are stored.
  • the following is a port-related access control of a
  • - the network element resp. Client or even supplicant that is to authenticate in the network
  • the authenticator or even authenticator in the access element which performs the authentication process with the network element
  • - the Authentication Server which provides the authenticator with the information required for authentication.
  • the IEEE 802. IX standard stipulates that two logical ports are assigned to a physical port.
  • the physical connection always routes the received packets to the so-called free port (uncontrolled port). Further .
  • the controlled port can only be reached after an authentication, which can be done via the free port.
  • a major drawback is the fact that access is based on a port. This means that a successfully authenticated network element is assigned a controlled port, which is also open for further third network elements after the authentication of a first network element, without these third network elements having to log in in accordance with the methods described above.
  • a so-called "session hijacking" can be used to attack another network element sending a message (disassociate message) to the successfully authenticated network element requesting it to terminate the connection.
  • the access element still keeps the controlled port open so that the attacker can gain access to the network without valid credentials.
  • Another possible attack is based on the attacker giving incorrect identification information, e.g. B. assign a MAC address that has not been officially assigned to it to maliciously gain access.
  • This attack is also referred to in the art as "MAC Address Spoofing". If a multiplicity of access requests with different MAC addresses identifying the source are sent to an access element, this leads to the fact that the MAC addresses can no longer - as intended - be stored in a MAC address table of the access element, since their capacity is exceeded after a certain number of stored entries. In the case of an access element configured as a switch, this usually leads to the in response messages sent to a switch logic to the respective MAC address are now directed to all ports of the switch due to the capacity overrun. This circumstance can be exploited by the attacker to record communication with other network elements, with the recorded
  • communication provides a basis for accepting authorized MAC addresses and disrupting the communication of other network elements or taking over their communication sessions.
  • a known in the art under the term "LAN Management Policy Server” method which provides a network-wide assignment of MAC addresses on individual network segments, has the disadvantage that the authentication based solely on the MAC address of the operator and not after a authenticated server as in the IEEE 802. Ix protocol. As a result, any operator using a registered MAC address has access to the network. For a malicious operator or However, it is not difficult for an attacker to find out the MAC address of a network element assigned to him and then carry out the attack.
  • the object of the invention is to provide a method and an arrangement with which over the prior art safer access control with less restrictions is achieved.
  • a solution of the object is achieved with regard to its method aspect by a method having the features of patent claim 1 and with regard to its device aspect by a device having the features of patent claim 3.
  • an access element stores identification information of a network element which has already gained access.
  • a network element has then received access when it is released a connection port on the access element.
  • the stored identification information is then compared with the identification information of each message arriving at the released connection port, in particular the header of a data packet.
  • the MAC address of the network element can be used as identification information. If the identification information contained in the messages does not match the stored one, the incoming message is discarded.
  • An essential advantage of the method according to the invention and of the associated device results from the fact that only the network element previously registered with its identification information receives access to a shared connection port.
  • a change of the identification in the sense of a MAC address spoofing has the consequence that further messages of this network element are rejected and advantageously no load on the message traffic »behind « the access element, ie. H . within the network or in data exchange with the authentication server.
  • a previously described flooding of the MAC address table is prevented by the discarding of the message advantageously from the outset.
  • Another advantage of the method and the associated device according to the invention is that Only a relatively simple modification in the control logic of the access element requires. In particular, no modification of the authentication server is required.
  • a mobility of z. B. wirelessly supports data-exchanging network elements, as it does not require any restrictions with regard to a limited number of communication partners and their MAC addresses.
  • FIG. 1 shows a structure diagram for the schematic representation of a message exchange associated with an authentication of a network element CL to an authentication server SRV via an access element AP.
  • the following process steps associated with an exchange of messages are shown in the drawing with arrows and an associated numerical reference. With reference to these reference numerals, the method proceeds as follows:
  • the access element AP requests identification information from the network element CL.
  • the network element CL transmits its identification information to the access element AP in the form of a special IEEE 802. lx message in which the MAC address of the network element CL is entered as the source MAC address.
  • the open port information forwards the access element AP to the authentication server SRV.
  • Authentication of the network element CL is required by authentication server SRV. This requirement resp.
  • the authentication server SRV first sends »challenge « to the access element AP.
  • the network element CL forwards a response to the request to the access element AP.
  • This response contains the required authentication, for example a specific password or a correct encryption of a string contained in the request.
  • the response forwards the access element AP to the authentication server SRV.
  • the authentication server SRV checks the response. In the case of success, he sends a corresponding message to the access element AP. 9 The controlled port is released by the access element AP. In addition, he forwards the message to the network element CL.
  • the access element AP stores the identification information, for. B, the MAC address and / or the VLAN ID (Virtual LAN identification number) of the network element CL.
  • the access element AP stores the identification information, for. B, the MAC address and / or the VLAN ID (Virtual LAN identification number) of the network element CL.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur portbezogenen Zugangskontrolle eines Netzelements (CL) an einem mehrere Anschlussports aufweisenden Zugangselement (AP), wobei eine Identifizierungsinformation und eine Authentifizierungsinformation des Netzelements angefordert wird (1, 5) und im Falle gültiger Identifizierungs und Authentifizierungsinformationen ein Anschlussport freigegeben wird (9). Die Erfindung sieht eine Speicherung der Identifizierungsinformation des Netzelements im Zugangselement vor (2), wobei im Anschluss am freigegebenen Anschlussport eintreffende Nachrichten verworfen werden, wenn die in den Nachrichten enthaltene Identifizierungsinformation, insbesondere MAC-Adresse, nicht mit der gespeicherten Identifizierungsinformation übereinstimmt.

Description

Beschreibung
VERFAHREN UND ANORDNUNG ZUM VERWERFEN EINTREFFENDER NACHRICHTEN MIT NICHT ÜBEREINSTIMMENDER IDENTIFIZIERUNGSINFORMATION IM ANSCHLUSS AN PORTBEZOGENE ZUGANGSKONTROLLE
Die Erfindung betrifft ein Verfahren und Anordnung zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zugangselement, vorzugsweise einem Switch .
Im Stand der Technik sind Verfahren zur Zugangskontrolle eines Netzelements bekannt . Ein Netzelement bzw . Client erhält Zugang zu einem Datennetz , indem Identifizierungs- und Au- thentifizierungsinformationen über ein Zugangselement an ei- nen Authentifizierungsserver übermittelt werden . Der Authen- tifizierungsserver überprüft die Informationen des Netzelements und entscheidet über einen Zugang des Netzelements . Das Zugangselement ist üblicherweise als so genannter »Switch« oder allgemeiner als Access Point ausgestaltet .
Ein verbreitetes Verfahren zur Zugangskontrolle ist aus dem IEEE-Standard 802. Ix bekannt . Der Standard 802. Ix stellt eine generelle Methode für die Authentifizierung und Autorisierung in Datennetzwerken zur Verfügung . Es wird ein Netzwerkzugang definiert, welcher einem physikalischen Anschluss bzw . »Port« in einem lokalen Netzwerk (Local Area Network, LAN) oder einem logischen Port gemäß der Spezifikationen für ein »Wire- less LAN« bzw . WLAN im bekannten Standard IEEE 802.11 entspricht . An diesem Netzwerkzugang erfolgt die Authentifizie- rung durch einen sogenannten Authenticator, der in Zusammenarbeit mit dem Authentifizierungsserver die durch das Netzelement (»Supplicant«) übermittelten Authentifizierungsinfor- mationen prüft und gegebenenfalls den Zugriff auf den durch den Authenticator angebotenen Netzzugang zulässt oder ab- weist . Der Authentifizierungsserver ist beispielsweise gemäß der bekannten RADIUS-Serverprotokolle (Remote Authentication Dial- In User Service) ausgestaltet . RADIUS ist ein Client-Server- Protokoll, das zur Authentifizierung von Benutzern bei Ein- Wahlverbindungen in ein Computernetzwerk dient . Dieses Protokoll wird unter anderem für eine zentrale Authentifizierung von Einwahlverbindungen über Modem, ISDN, VPN oder Wireless LAN verwendet . Ein zugehöriger Server-Dienst, der RADIUS- Server, dient der Authentifizierung von Netzelementen unter Verwendung von Datenbanken, in denen die Identifizierungsinformation der j eweiligen Netzelement, z . B . eine MAC-Adresse des Netzelements (Media Access Control) und Authentifizie- rungsinformationen, z . B . ein Passwort, gespeichert sind.
Im folgenden wird eine portbezogene Zugangskontrolle eines
Netzelements an ein Datennetzwerk (Port Based Network Access Control) betrachtet, die unter anderem verhindern soll, dass sich unautorisierte Netzelement durch z . B . öffentlich zugängliche Anschlussports eines Zugangselements mit einem Netzwerk verbinden . Das Zugangselement kann dabei in beliebiger Weise, z . B . als Switch, Access Point usw . ausgestaltet sein .
An einer solchen portbezogenen Authentifizierung sind drei Elemente beteiligt : - das Netzelement bzw . Client oder auch Supplicant, das sich in dem Netzwerk authentifizieren soll, der Authentifizierer oder auch Authenticator im Zugangselement, welcher den Authentifizierungsvorgang mit dem Netzelement durchführt, und - der Authentifizierungsserver (Authentication Server) , der dem Authentifizierer die zur Authentifizierung erforderlichen Informationen zur Verfügung stellt .
Der Standard IEEE 802. IX sieht vor, dass einem physischen An- Schluss zwei logische Anschlüsse (Ports ) zugeordnet werden . Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter . Der kontrollierte Port (Controlled Port) kann nur nach einer Authentifizierung erreicht werden, die über den freien Port erfolgen kann .
Die bisherigen Verfahren zur portbezogenen Zugangskontrolle haben mehrere Nachteile . Ein gewichtiger Nachteil ist die Tatsache, dass eine Zugangsfreigabe auf Basis eines Ports erfolgt . Dies bedeutet, dass einem erfolgreich authentifizierten Netzelement ein kontrollierter Port zugewiesen wird, wel- eher nach der Authentifizierung eines ersten Netzelements auch für weitere dritte Netzelemente offen ist, ohne dass sich diese dritten Netzelemente eigens gemäß der voraus beschriebenen Verfahren anmelden müssen .
Eine solche Situation kann für eine böswillige Erlangung eines Zugangs durch andere Netzelemente ausgenutzt werden . Durch ein so genanntes »Session Hij acking« kann ein Angriff erfolgen, indem ein anderes Netzelement dem erfolgreich authentifizierten Netzelement eine Meldung (Disassociate- Meldung) sendet, die dieses zur Beendigung der Verbindung auffordert . Das Zugangselement indes behält den kontrollierten Port weiterhin offen, so dass der Angreifer ohne gültige Anmeldeinformationen einen Zugang zum Netzwerk erhalten kann .
Ein weiterer möglicher Angriff basiert darauf, dass der Angreifer falsche Identifizierungsinformationen, z . B . eine MAC- Adresse, die ihm nicht offiziell zugeteilt wurde, zur böswilligen Erlangung eines Zugangs vorgibt . Dieser Angriff wird in der Fachwelt auch als »MAC-Address-Spoofing« bezeichnet . Wer- den an ein Zugangselement dabei eine Vielzahl von Zugangsanforderungen mit unterschiedlichen, die Quelle identifizierenden MAC-Adressen gesendet, führt dies dazu, dass die MAC- Adressen nicht mehr - wie vorgesehen - in eine MAC-Adressen- Tabelle des Zugangselements gespeichert werden können, da de- ren Kapazität nach einer bestimmten Anzahl an gespeicherten Einträgen überschritten ist . Dies führt bei einem als Switch ausgestalteten Zugangselement üblicherweise dazu, dass die in einer Switch-Logik vorgesehenen Antwortnachrichten an die j eweilige MAC-Adresse wegen der Kapazitätsüberschreitung nun an sämtliche Ports des Switches gerichtet werden . Diesen Umstand kann der Angreifer ausnutzen, um eine Kommunikation mit ande- ren Netzelementen aufzuzeichnen, wobei die aufgezeichnete
Kommunikation wiederum eine Basis liefert, authorisierte MAC- Adressen zu übernehmen und die Kommunikation anderer Netzelemente zu stören oder deren Kommunikationssitzungen zu übernehmen .
Im Stand der Technik sind unter dem Gattungsbegriff »Port Se- curity« Verfahren bekannt, welche nur eine begrenzte, vorkon- figurierbare Anzahl von durch eine MAC-Adresse charakterisierten Netzelementen an einem freigegebenen Anschlussport zulässt . Dies schränkt allerdings eine Mobilität von Netzelementen ein, welche beispielsweise unter Anwendung des WLAN- Protokolls (Wireless LAN) häufiger einen Wechsel ihres Standorts erfahren .
Auch ein im Stand der Technik unter dem Begriff »LAN Management Policy Server« bekanntes Verfahren, welches eine netzwerkweite Zuordnung von MAC-Adressen auf einzelne Netzwerksegmente vorsieht, hat den Nachteil, dass die Authentifizierung ausschließlich anhand der MAC-Adresse des Bedieners und nicht nach einem authentifizierten Bediener wie im Protokoll IEEE 802. Ix erfolgt . Dies hat zur Folge, dass j eder Bediener, der eine registrierte MAC-Adresse nutzt, Zugang zum Netzwerk hat . Für einen böswilligen Bediener bzw . Angreifer ist es j edoch nicht schwierig, die MAC-Adresse eines ihm zugewiesenen Netzelements herauszufinden, um danach den Angriff durchzuführen .
Aufgabe der Erfindung ist es , ein Verfahren und eine Anordnung anzugeben, mit denen eine gegenüber dem Stand der Tech- nik sicherere Zugangssteuerung mit weniger Restriktionen erreicht wird. Eine Lösung der Aufgabe erfolgt hinsichtlich ihres Verfahrensaspekts durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 und hinsichtlich ihres Vorrichtungsaspekts durch eine Vorrichtung mit den Merkmalen des Patentanspruchs 3.
In Erweiterung eines bekannten Verfahrens zur Zugangskontrolle gemäß dem Oberbegriff des Anspruchs 1 ist ein erfindungsgemäßes Verfahren vorgesehen, bei dem ein Zugangselement eine Identifizierungsinformation eines Netzelements , welches be- reits Zugang erhalten hat, speichert . Ein Netzelement hat dann Zugang erhalten, wenn diesem ein Anschlussport am Zugangselement freigegeben wird. Die gespeicherte Identifizierungsinformation wird dann mit der Identifizierungsinformation j eder am freigegeben Anschlussport eintreffenden Nachricht - insbesondere dem Header eines Datenpakets - verglichen . Als Identifizierungsinformation ist insbesondere, j edoch nicht ausschließlich, die MAC-Adresse des Netzelements heranziehbar . Stimmt die in den Nachrichten enthaltene Identifizierungsinformation nicht mit der gespeicherten überein, wird die eintreffende Nachricht verworfen .
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens und der zugehörigen Vorrichtung ergibt sich aus der Tatsache, dass nur das zuvor mit seiner Identifizierungsinformation re- gistrierte Netzelement Zugang zu einem freigegebenen Anschlussport erhält . Ein Wechsel der Identifizierung im Sinne eines MAC Address Spoofing hat dann zur Folge, dass weitere Nachrichten dieses Netzelements abgewiesen werden und in vorteilhafter Weise keine Belastung des Nachrichtenverkehrs »hinter« dem Zugangselement, d. h . innerhalb des Netzwerks o- der im Datenaustausch mit dem Authentifizierungsserver zur Folge haben . Eine zuvor beschriebene Überflutung der MAC- Adressen-Tabelle wird durch das Verwerfen der Nachricht in vorteilhafter Weise von vorneherein unterbunden .
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens und der zugehörigen Vorrichtung ist darin zu sehen, dass eine Ver- wirklichung lediglich eine vergleichsweise einfache Modifikation in der Steuerlogik des Zugangselements erfordert . Insbesondere ist keinerlei Modifikation des Authentifizierungsser- vers erforderlich .
Mit dem erfindungsgemäßen Verfahren und der zugehörigen Vorrichtung wird in vorteilhafter Weise eine Mobilität von z . B . drahtlos Daten austauschenden Netzelementen unterstützt, da keine Vorgaben hinsichtlich einer beschränkten Anzahl von Kommunikationspartnern und deren MAC-Adressen gefordert wird.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben .
Ein Ausführungsbeispiel mit weiteren Vorteilen und Ausgestaltungen der Erfindung wird im folgenden anhand der Zeichnung näher erläutert .
Dabei zeigt die einzige FIG ein Strukturbild zur schemati- sehen Darstellung eines mit einer Authentifizierung eines Netzelements CL an einem Authentifizierungsserver SRV über ein Zugangselement AP einhergehenden Nachrichtenaustausch . Die nachfolgenden mit einem Austausch von Nachrichten einhergehenden Verfahrensschritte sind in der Zeichnung mit Pfeilen und einem zugehörigen numerischen Bezugszeichen dargestellt . Mit Bezugnahme auf diese Bezugszeichen läuft das Verfahren dabei wie folgt ab :
1 Das Zugangselement AP fordert vom Netzelement CL Identi- fizierungsinformationen .
2 Der Netzelement CL übermittelt seine Identifizierungsinformationen an das Zugangselement AP in Form einer speziellen IEEE 802. lx-Nachricht, bei der die MAC-Adresse des Netzelements CL als Source-MAC-Adresse eingetragen ist . 3 Die Information über den offenen Port leitet der Zugangselement AP an den Authentifizierungsserver SRV weiter .
4 Eine Authentifizierung des Netzelements CL wird vom Au- thentifizierungsserver SRV gefordert . Diese Anforderung bzw . »Challenge« sendet der Authentifizierungsserver SRV zunächst an den Zugangselement AP .
5 Weiterleitung der Anforderung vom Zugangselement AP an das Netzelement CL . 6 Das Netzelement CL sendet eine Antwort auf die Anforderung an den Zugangselement AP . Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge . 7 Die Antwort leitet der Zugangselement AP an den Authentifizierungsserver SRV weiter .
8 Der Authentifizierungsserver SRV überprüft die Antwort . Im Fall eines Erfolgs sendet er eine entsprechende Meldung an das Zugangselement AP . 9 Der kontrollierte Port wird vom Zugangselement AP freigegeben . Darüber hinaus leitet er die Meldung an das Netzelement CL weiter .
Mit dem erfindungsgemäßen Verfahren wird die oben erläuterte Anmeldeprozedur um folgende Verfahrensschritte erweitert . In Erweiterung des Verfahrensschrittes 2 speichert das Zugangselement AP die Identifizierungsinformationen, z . B die MAC- Adresse und/oder die VLAN ID (Virtual LAN Identifikationsnummer) des Netzelements CL . Nach der Freigabe des kontrollier- ten Ports gemäß Verfahrensschritt 9 wird bei j eder weiteren eintreffenden - nicht dargestellten - Nachricht an diesem kontrollierten Port bzw . Anschlussport eine Überprüfung vorgenommen, ob die in der Nachricht enthaltene Identifizierungsinformation mit der für diesen Anschlussport gespeicher- ten Identifizierungsinformation übereinstimmt . Im gegenteiligen Fall wird die eintreffende Nachricht am Zugangselement AP verworfen . Das erfindungsgemäße Verfahren muss nicht unbedingt ausschließlich im Zugangselement AP implementiert sein . Alternative Ausführungsformen umfassen eine Verteilung auf einzelne im Netzwerk verteilte Komponenten . Auch die Verwendung des Protokolls IEEE 8021. x zur Zugangssteuerung ist aufgrund der weiten Verbreitung vorteilhaft, j edoch nicht zwingend.

Claims

Patentansprüche
1. Verfahren zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zu- gangselement, wobei a) eine Identifizierungsinformation des Netzelements angefordert wird, b) eine Authentifizierungsinformation des Netzelements angefordert wird, c) im Falle gültiger Identifizierungs- und Authentifizie- rungsinformationen ein Anschlussport freigegeben wird, d a d u r c h g e k e n n z e i c h n e t , d) dass die Identifizierungsinformation des Netzelements im
Zugangselement gespeichert wird, e) dass am freigegebenen Anschlussport eintreffende Nachrichten verworfen werden, wenn die in den Nachrichten enthaltene Identifizierungsinformation nicht mit der gespeicherten übereinstimmt .
2. Verfahren nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t , dass der Austausch der Informationen gemäß der Schritt a) bis c) unter Anwendung des Authentifizierungsprotokolls IEEE 802. Ix erfolgt .
3. Vorrichtung zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zugangselement, mit a) Mitteln zur Anforderung einer Identifizierungsinformati- on des Netzelements , b) Mitteln zur Anforderung einer Authentifizierungsinformation des Netzelements , c) Mitteln zur Freigabe eines Anschlussports im Falle gültiger Identifizierungs- und Authentifizierungsinformatio- nen, g e k e n n z e i c h n e t d u r c h , d) Mittel zur Speicherung der Identifizierungsinformation des Netzelements im Zugangselement, e) Mittel zum Vergleich von in am freigegebenen Anschlussport eintreffenden Nachrichten enthaltener Identifizie- rungsinformation mit der gespeicherten Identifizierungsinformation und zum Verwerfen der Nachricht, wenn der Vergleich eine Nichtübereinstimmung ergibt .
4. Vorrichtung nach Anspruch 3, gekennzeichnet durch , eine Ausgestaltung der Mittel zur Unterstützung des Protokolls IEEE 802. Ix .
5. Vorrichtung nach Anspruch 3 oder 4, gekennzeichnet durch , eine Ausgestaltung als Switch .
PCT/EP2005/056963 2005-01-14 2005-12-20 Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle WO2006074853A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005001896.3 2005-01-14
DE102005001896 2005-01-14

Publications (1)

Publication Number Publication Date
WO2006074853A1 true WO2006074853A1 (de) 2006-07-20

Family

ID=35997516

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/056963 WO2006074853A1 (de) 2005-01-14 2005-12-20 Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle

Country Status (1)

Country Link
WO (1) WO2006074853A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032855A1 (en) * 2000-09-08 2002-03-14 Neves Richard Kent Providing secure network access for short-range wireless computing devices
US20030037163A1 (en) * 2001-08-15 2003-02-20 Atsushi Kitada Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
US20030152035A1 (en) * 2002-02-08 2003-08-14 Pettit Steven A. Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules
EP1424807A1 (de) * 2002-11-26 2004-06-02 Huawei Technologies Co., Ltd. Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032855A1 (en) * 2000-09-08 2002-03-14 Neves Richard Kent Providing secure network access for short-range wireless computing devices
US20030037163A1 (en) * 2001-08-15 2003-02-20 Atsushi Kitada Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
US20030152035A1 (en) * 2002-02-08 2003-08-14 Pettit Steven A. Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules
EP1424807A1 (de) * 2002-11-26 2004-06-02 Huawei Technologies Co., Ltd. Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"IEEE Standard for Local and metropolitan area networks - Port-based Network Access Control", IEEE STD 802.1X-2001, 14 June 2001 (2001-06-14), pages I - VIII,1, XP002270244 *

Similar Documents

Publication Publication Date Title
DE69833605T2 (de) Sichere virtuelle LANS
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60309652T2 (de) Verfahren zur Zugehörigkeitsverwaltung einer Mehrfachsendungsgruppe
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE602004011783T2 (de) Beschränkter WLAN-Zugriff für eine unbekannte Mobilstation
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE60206634T2 (de) Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem
EP1365620A1 (de) Verfahren zum Registrieren eines Kommunikationsendgeräts in einem Dienstnetz (IMS)
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
WO2010049138A1 (de) Verfahren zur bereitstellung von sicherheitsmechanismen in drahtlosen mesh-netzwerken
DE102004022552A1 (de) Einrichtung zur Session-basierten Vermittlung von Paketen
EP1673921B1 (de) Verfahren zur sicherung des datenverkehrs zwischen einem mobilfunknetz und einem ims-netz
CN1527557A (zh) 一种桥接设备透传802.1x认证报文的方法
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
WO2006074853A1 (de) Verfahren und anordnung zum verwerfen eintreffender nachrichten mit nicht übereinstimmender identifizierungsinformation im anschluss an portbezogene zugangskontrolle
DE102006040313B3 (de) Verfahren und Anordnung zur automatischen Konfiguration eines lokalen Funknetzwerkes
EP1929741B1 (de) Zugangselement und verfahren zur zugangskontrolle eines netzelements
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP1748619B1 (de) Verfahren zum Aufbau einer direkten, netzübergreifenden und abhörsicheren Kommunikationsverbindung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05825326

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 5825326

Country of ref document: EP