ES2656058T3 - Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes - Google Patents

Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes Download PDF

Info

Publication number
ES2656058T3
ES2656058T3 ES13198495.7T ES13198495T ES2656058T3 ES 2656058 T3 ES2656058 T3 ES 2656058T3 ES 13198495 T ES13198495 T ES 13198495T ES 2656058 T3 ES2656058 T3 ES 2656058T3
Authority
ES
Spain
Prior art keywords
network node
network
internet protocol
data packet
protocol data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES13198495.7T
Other languages
English (en)
Inventor
Fridtjof Van Den Berge
Amit Kumar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Application granted granted Critical
Publication of ES2656058T3 publication Critical patent/ES2656058T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2876Pairs of inter-processing entities at each side of the network, e.g. split proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/741Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procedimiento para aumentar la seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de red de una red de telecomunicaciones (100), cooperando para la transmisión de un paquete de datos de Protocolo de Internet al menos un primer nodo de red (11) de un primer proveedor de servicios de telecomunicaciones y un segundo nodo de red (12), siendo el segundo nodo de red (12) un nodo vecino del primer nodo de red (11), teniendo asignada el primer nodo de red (11) una información de identificación, teniendo el segundo nodo de red (12) acceso a la información de identificación asignada al primer nodo de red (11), comprendiendo el procedimiento los siguientes pasos: - en un primer paso de procedimiento, el primer nodo de red (11) añade al paquete de datos de Protocolo de Internet la información de identificación del primer nodo de red (11), - en un segundo paso de procedimiento se transmite el paquete de datos de Protocolo de Internet al segundo nodo de red (11), - en un tercer paso de procedimiento, el segundo nodo de red (12) lleva a cabo una comprobación del paquete de datos de Protocolo de Internet, comprendiendo la comprobación por parte del segundo nodo de red comprobar la información de identificación, siendo el paquete de datos de Protocolo de Internet rechazado por el segundo nodo de red (12) cuando la información de identificación del paquete de datos de Protocolo de Internet no coincide con la información de identificación asignada al primer nodo de red (11), a la que el segundo nodo de red (12) tiene acceso, caracterizado porque, para la transmisión del paquete de datos de Protocolo de Internet, coopera un tercer nodo de red (13), además del primer y el segundo nodos de red (12), y porque el paquete de datos de Protocolo de Internet incluye una información de salto que se modifica en cada transmisión de un nodo de red previo a otro nodo de red, reconociendo el tercer nodo de red (13) en virtud de la información de salto del paquete de datos de Protocolo de Internet que la comprobación de la información de identificación en el segundo nodo de red (12) ha sido satisfactoria y transmitiendo el tercer nodo de red (13) el paquete de datos de Protocolo de Internet.

Description

imagen1
DESCRIPCIÓN
Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes
5 Estado actual de la técnica
La invención se refiere a un procedimiento para aumentar la seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de red de una red de telecomunicaciones.
La invención se refiere además a una red de telecomunicaciones para aumentar la
10 seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de red de la red de telecomunicaciones.
Una adaptación de los protocolos SS#7 a los protocolos IP abrirá, con la ampliación de las redes de Internet, nuevos escenarios de fraude y encubrirá éstos también con mayor facilidad y seguridad.
15 Las aplicaciones y los servicios disponibles utilizando Protocolos de Internet son cada vez más extensos y variados. Por ejemplo, actualmente las compañías telefónicas adaptan cada vez más servicios, que hasta ahora se desarrollaban en el campo de la telefonía móvil todavía por señalización SS7, a la utilización del Protocolo de Internet (IP). La voz también desaparece lentamente de los canales
20 de voz (enrutamiento) y se empaqueta en paquetes de datos del Protocolo de Internet, enviándose con una alta priorización en Internet. Así, también pueden multiplicarse ostensiblemente en particular las posibilidades de fraude y lo harán, dado que la utilización de la señalización SS7 va acompañada de un mayor nivel de seguridad, por ejemplo con vistas a la rastreabilidad. Utilizando el Protocolo de
25 Internet se hacen posibles en las redes de telecomunicaciones nuevos escenarios de fraude, por ejemplo el encubrimiento de direcciones de Protocolo de Internet (direcciones IP) mediante, por ejemplo, servidores proxy, la transcripción de direccionamientos de correo electrónico a direccionamientos de correo electrónico ficticios y simulados o también la autoconfiguración para crear direcciones IP.
30 Entre la versión 4 del Protocolo de Internet (IPv4) y la versión 6 del Protocolo de Internet (IPv6) existen diferencias, pero la seguridad del usuario contra el fraude no ha mejorado mucho.
imagen2
imagen3
Por ejemplo, utilizando IPv4 resulta fácil introducir direcciones IP de fuente ficticias (esto es de Protocolo de Internet de origen) en los datos del encabezamiento (es decir en el denominado header). Si además se enruta el mensaje a través de muchos nodos intermedios o servidores proxy hasta el destino, por ejemplo para la
5 policía resulta casi imposible descubrir la procedencia del paquete de datos de Protocolo de Internet. Incluso utilizando IPv6 existe la posibilidad de dificultar o incluso excluir cualquier rastreo (tracking), por ejemplo mediante extensiones de privacidad (privacy extensions) para direcciones IP sin nacionalidad (RFC 4941).
El, así llamado, identificador de interfaz (interface identifier) o la dirección MAC al
10 final de un paquete de datos de Protocolo de Internet en la información del encabezamiento IPv6 puede modificarse, según RFC 4941, en los llamados identificadores de alcance global (global scope identifiers), que para ello no han de ser únicos. En otras palabras, podrían existir al mismo tiempo varios mensajes idénticos con una dirección MAC idéntica. Además, con las llamadas direcciones
15 de alcance global o direcciones de unidifusión global existe la posibilidad de dificultar de nuevo un rastreo de la dirección IPv6, visible en los datagramas. La publicación MURALI BHASKARAN V et al, “Tracebacking the Spoofed IP Packets in Multi ISP Domains with Secured Communication”, ICSCN ’07, IEEE, 22-24 de febrero de 2007, páginas 579-584, da a conocer un sistema para el rastreo de un
20 paquete IP que identifica el origen de una serie de paquetes IP cuando la dirección de fuente de estos paquetes es ficticia. La publicación FERGUSON P et al, “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, RFC 2827, IETF, mayo de 2000, da a conocer un procedimiento para filtrar el tráfico de entrada con el fin de impedir la propagación
25 de ataques DoS (de denegación de servicio) que utilizan direcciones IP de fuentes ficticias. El documento US 2013/152189 da a conocer un procedimiento para detectar e impedir paquetes de datos con direcciones de fuente ficticias.
Por tanto, existe la necesidad de mejorar, en lo que se refiere a su seguridad, los protocolos conocidos en la transmisión de paquetes de datos de Protocolo de
30 Internet.
Descripción de la invención
La invención tiene el objetivo de proporcionar un procedimiento y una red de telecomunicaciones para aumentar la seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de red de una red 35 de telecomunicaciones, consiguiendo una mejora del nivel de seguridad de la comunicación de datos, especialmente en lo referente a la rastreabilidad o la trazabilidad de mensajes. Este objetivo se logra según la invención mediante un procedimiento para aumentar la seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de red de una red de 5 telecomunicaciones, cooperando para la transmisión de un paquete de datos de Protocolo de Internet al menos un primer nodo de red de un primer proveedor de servicios de telecomunicación y un segundo nodo de red, siendo el segundo nodo de red un nodo vecino del primer nodo de red, teniendo asignada el primer nodo de red una información de identificación, teniendo el segundo nodo de red acceso a la
imagen4
imagen5
10 información de identificación asignada al primer nodo de red, comprendiendo el procedimiento los siguientes pasos:
 en un primer paso de procedimiento, el primer nodo de red añade al paquete de datos de Protocolo de Internet la información de identificación del primer nodo de red,
15  en un segundo paso de procedimiento se transmite el paquete de datos de Protocolo de Internet al segundo nodo de red,  en un tercer paso de procedimiento, el segundo nodo de red lleva a cabo una comprobación del paquete de datos de Protocolo de Internet, comprendiendo la comprobación por parte del segundo nodo de red la
20 comprobar la información de identificación, siendo el paquete de datos de Protocolo de Internet rechazado por el segundo nodo de red cuando la información de identificación del paquete de datos de Protocolo de Internet no coincide con la información de identificación asignada al primer nodo de red con el que el segundo nodo de red tiene un enlace.
25 Así, según la presente invención, ventajosamente es posible perseguir mejor, más rápidamente y más inequívocamente un fraude.
Según la invención, es particularmente ventajoso que sea posible lograr estas ventajas sin necesidad de cambiar un RFC existente o las características del Protocolo de Internet (es decir features). En particular se haría o sería necesario 30 por ejemplo un campo de información decimal de 6 posiciones (es decir seis posiciones decimales codificadas en binario (es decir codificadas con, en cada caso, cuatro posiciones binarias) bajo IPv4 y/o un campo de información hexadecimal de 5 posiciones bajo IPv6 como campo obligatorio para la pasarela expedidora del proveedor en el encabezamiento IP con un indicador (flag) (valor
35 binario de una posición).
imagen6
En caso de utilizarse IPv4, la información de identificación (es decir el campo de información de 6 posiciones arriba mencionado) contiene por ejemplo un valor decimal de seis posiciones, con lo que como máximo es posible representar un número de 0 a 999.999. Análogamente, en la notación hexadecimal f423f (es decir
5 1111.01000010.00111111 en binario) podrían hacerse reconocibles en Internet, es decir identificables, casi 1 millón de nodos de red de todo el mundo mediante una información de identificación de este tipo como pasarela de acceso para un mensaje enviado.
En caso de utilizarse IPv6, la información de identificación (es decir el campo de
10 información hexadecimal de 5 posiciones arriba mencionado) contiene el valor hexadecimal de cinco posiciones, con lo que como máximo puede representarse un valor hexadecimal de fffff, es decir 1024·1024 = 1.048.576 (en notación decimal) posibilidades diferentes. Correspondientemente, según la invención, pueden hacerse reconocibles en Internet, es decir identificables, 1.048.576 en decimal (es
15 decir 00000000.00001111.11111111.11111111 en binario), o sea más de 1 millón, de nodos de red de todo el mundo mediante una información de identificación de este tipo como pasarela de acceso para un mensaje enviado.
En caso de una la llamada pila doble (dual-stack), es decir IPv4 paralelo a IPv6 – transmisiones IP para el tiempo de transición para la migración pendiente de IPv4
20 a IPv6–, se escriben ambas características de información de identificación en el encabezamiento IP respectivo. Correspondientemente, en tal caso el campo de información decimal de 6 posiciones del encabezamiento IPv4 es igual al campo de información hexadecimal de 5 posiciones del encabezamiento IPv6 desde el punto de vista del valor binario.
25 Según la invención se prefiere especialmente que sólo los nodos adicionales reciban un nuevo número secuencial de un intervalo numérico asignado a un proveedor de Internet. Los nodos de red ya existentes que se sustituyan entregan su identificación a las nuevas máquinas, es decir los nuevos nodos de red. Correspondientemente, se conservan los números de los intervalos numéricos
30 cuando se cambian nodos en una red.
Según la invención, está previsto que, para la transmisión del paquete de datos de Protocolo de Internet, coopere un tercer nodo de red además del primer y el segundo nodos de red, y que el paquete de datos de Protocolo de Internet incluya una información de salto que se modifique en cada transmisión de un nodo de red 35 previo a otro nodo de red, reconociendo el tercer nodo de red en virtud de la
imagen7
información de salto del paquete de datos de Protocolo de Internet que la comprobación de la información de identificación en el segundo nodo de red ha sido satisfactoria y transmitiendo el tercer nodo de red el paquete de datos de Protocolo de Internet.
De este modo, según la invención se consigue mantener muy pequeño el esfuerzo de comprobación en el tercer nodo de red y, por ello, ésta requiere pocos recursos adicionales.
Según la invención está previsto además preferiblemente que la información de identificación comprenda, en caso de utilizar IPv4 y en caso de utilizar IPv6, al menos 24 posiciones binarias o 3 bytes.
Además, según la invención está previsto preferiblemente
 que la información de identificación, en caso de utilizar IPv4, comprenda al
menos seis posiciones decimales codificadas en binario, es decir en total 24
posiciones binarias (es decir 6 posiciones decimales codificadas en binario,
codificada cada una con 4 bits), o  que la información de identificación, en caso de utilizar IPv6, comprenda al
menos cinco posiciones hexadecimales (es decir en total 20 posiciones
binarias).
Según la invención, de manera especialmente preferente, está previsto que el primer nodo de red añada al paquete de datos de Protocolo de Internet una información de comprobación, además de la información de identificación del primer nodo de red, indicando la información de comprobación que la información de identificación asignada al primer nodo de red se ha añadido al paquete de datos de Protocolo de Internet.
Así, según la invención es ventajosamente posible que también por medio de la información de comprobación pueda determinarse que la información de identificación ha sido introducida en el paquete de datos de Protocolo de Internet. La información de comprobación arriba mencionada está prevista por ejemplo como un llamado indicador (flag), es decir un valor binario de una posición (que puede adoptar bien el valor “0”, bien el valor “1”). En un encabezamiento IP así adaptado, el valor “0” significaría que el mensaje (es decir el paquete de datos de Protocolo de Internet) no está provisto de la información de identificación del nodo de red (es decir, en IPv4, de la habitual identificación decimal de 6 posiciones o, en IPv6, de
imagen8
imagen9
la identificación hexadecimal de 5 posiciones o la información de identificación del enrutador (router) o servidor inicial) que se utiliza en Internet como pasarela para el mensaje (o el paquete de datos de Protocolo de Internet) y, por tanto, no debe ser enviado ni transmitido por un enrutador vecino (o segundo nodo de red). Un valor 5 “1” se coloca como indicador cuando está incluida la información de identificación, es decir se escribe en el campo de información (es decir en la información de identificación) la información hexadecimal de 5 posiciones (en IPv6) o la información decimal de 6 posiciones (en IPv4) como identificación del enrutador inicial (o del primer nodo de red) que sirve en Internet de pasarela para el mensaje
10 (o el paquete de datos de Protocolo de Internet).
Según la invención, está previsto preferiblemente que la información de comprobación del indicador sea un valor binario de una posición.
Otro objeto de la presente invención es una red de telecomunicaciones para aumentar la seguridad en el intercambio de datos en modo de paquetes según un 15 Protocolo de Internet entre nodos de red de la red de telecomunicación, cooperando para la transmisión de un paquete de datos de Protocolo de Internet al menos un primer nodo de red de un primer proveedor de servicios de telecomunicación y un segundo nodo de red, siendo el segundo nodo de red un nodo vecino del primer nodo de red, teniendo asignada el primer nodo de red una información de
20 identificación, teniendo el segundo nodo de red acceso a la información de identificación asignada al primer nodo de red, estando la red de telecomunicación configurada de manera que:
 el primer nodo de red añade al paquete de datos de Protocolo de Internet la información de identificación del primer nodo de red, 25  se transmite el paquete de datos de Protocolo de Internet al segundo nodo de red,
 el segundo nodo de red lleva a cabo una comprobación del paquete de datos de Protocolo de Internet, comprendiendo la comprobación por parte del segundo nodo de red comprobar la información de identificación, siendo el
30 paquete de datos de Protocolo de Internet rechazado por el segundo nodo de red cuando la información de identificación del paquete de datos de Protocolo de Internet no coincide con la información de identificación asignada al primer nodo de red, a la que el segundo nodo de red tiene acceso. Según la invención, se prefiere además –especialmente en atención
35 a la red de telecomunicación– que la red de telecomunicación sea una red de área amplia. Además, está previsto según la invención –especialmente en atención a la red de telecomunicación– que para la transmisión del paquete de datos de Protocolo de Internet coopere un tercer nodo de red, además del primer y el segundo nodos de red, y que el paquete de datos de Protocolo de Internet incluya una información de salto que se modifique en cada transmisión de un nodo de red previo a otro nodo de red, reconociendo el tercer nodo de red en virtud de la información de salto del paquete de datos de Protocolo de Internet que la comprobación de la información de identificación en el segundo nodo de red ha sido satisfactoria y transmitiendo el tercer nodo de red el paquete de datos de Protocolo de Internet.
imagen10
imagen11
Además, según la invención se prefiere –especialmente con vistas a la red de telecomunicación– que la información de identificación comprenda, en caso de utilizar IPv4 y en caso de utilizar IPv6, al menos 24 posiciones binarias o 3 bytes. Además, según la invención se prefiere –especialmente con vistas a la red de telecomunicación– que el primer nodo de red añada al paquete de datos de Protocolo de Internet una información de comprobación, además de la información de identificación del primer nodo de red, indicando la información de comprobación que la información de identificación asignada al primer nodo de red se ha añadido al paquete de datos de Protocolo de Internet.
Además, la presente invención se refiere también a un programa informático con líneas de código de programa con los cuales pueden llevarse a cabo todos los pasos del procedimiento según la invención cuando el programa informático se ejecuta en un dispositivo programable y/o en un equipo terminal de telecomunicación programable y/o en un módulo de interfaz de comunicación, en particular en parte en un equipo terminal de telecomunicación programable y en parte en un módulo de interfaz de comunicación.
Además es objeto de la presente invención un producto de programa informático con un medio legible por ordenador y con un programa informático, almacenado en el medio legible por ordenador, con líneas de código de programa adecuados para que puedan llevarse a cabo todos los pasos del procedimiento según la invención cuando el programa informático se ejecuta en un dispositivo programable y/o en un equipo terminal de telecomunicación programable y/o en un módulo de interfaz de comunicación, en particular en parte en un equipo terminal de telecomunicación programable y en parte en un módulo de interfaz de comunicación.
imagen12
imagen13
Según la invención, está previsto que –después del envío de un paquete de datos de Protocolo de Internet por parte de un primer nodo de red– el primer enrutador siguiente (es decir el segundo nodo de red) que obtenga el paquete de datos de Protocolo de Internet (o un mensaje) para su recepción o para su transmisión 5 compruebe la información de identificación. De este modo se asegura según la invención que la identificación introducida, es decir la información de identificación, sea comprobada por nodos de red vecinos (en relación con el primer nodo de red) (como vecinos conocidos). El mensaje o el paquete de datos de Protocolo de Internet puede procesarse sólo si ésta (es decir la información de identificación) es 10 correcta. Sin embargo, si la información de salto, es decir la secuencia de salto, indica que el mensaje o el paquete de datos de Protocolo de Internet ya ha sido comprobado (por el siguiente vecino, es decir el segundo nodo de red, del nodo expedidor, es decir del primer nodo de red), no tiene lugar (en virtud del valor de la información de salto o la secuencia de salto) ninguna comprobación posterior en
15 cuanto a la información de identificación y/o la información de comprobación.
Cuando se introduce en una red de telecomunicación un nuevo enrutador (o un nuevo nodo de red), éste transmitirá, paralelamente a sus actividades Neighbour Discovery (es decir de detección de nodos vecinos), también su información de identificación (es decir la identificación hexadecimal de 5 bytes (IPv6) o la
20 identificación decimal de 6 bytes (IPv4)). De este modo todos los enrutadores (o nodos de red) introducidos como salto además de los enrutadores (adicionales) de nueva introducción en la red del proveedor son informados sobre su direccionamiento (así como la información de identificación, es decir su identificación hexadecimal de 5 bytes o su identificación decimal de 6 bytes).
25 Por tanto, según la invención se prefiere que, además de la información de identificación (es decir el campo de información de 5 o 6 posiciones o esta identificación), se utilice la información de comprobación (o el indicador arriba mencionado), que indica que el campo de información (o la información de identificación) arriba mencionado está incluido (o se ha cargado con una
30 identificación) y que, según el software del enrutador, permite a éste enviar el mensaje o el paquete de datos de Protocolo de Internet en cuestión.
En un escenario de este tipo según la invención, tales nodos de red (o enrutadores/servidores) con tal ajuste pueden enviar paquetes IP satisfactoriamente sólo si la información de comprobación (o la identificación de 35 indicador) indica que el campo de información de 5 o 6 posiciones (o la información
imagen14
imagen15
de identificación) está incluido, es decir ha recibido una entrada. Los mensajes o paquetes de datos de Protocolo de Internet no pueden ser recibidos ni en caso dado transmitidos por otros nodos de red (o concentradores o enrutadores) cuando la información de comprobación (o el indicador) no corresponda al valor para un
5 campo de información (o información de identificación) de 5 o 6 posiciones introducido (o cargado).
La pasarela original (es decir el primer nodo de red) del operador/proveedor de red inicial para el acceso a Internet o de los operadores de red de la fuente del mensaje (o de la fuente del paquete de datos de Protocolo de Internet) debe escribir en su 10 enrutador (de red) receptor del mensaje de fuente su identificación reconocible o su valor ID en el encabezamiento IP del mensaje por enviar, como primer salto en la conmutación, antes de que éste pueda seguir siendo enrutado. Con este fin existe, además de la información de identificación (es decir la identificación de 5 o 6 posiciones), también la información de comprobación (es decir el indicador), que
15 cambia tras la introducción del valor ID (es decir la información de identificación) a través del software de “0” a “1” en binario (o viceversa).
Con la información de comprobación (es decir el indicador) que tiene el valor (o la magnitud binaria) “1”, el primer enrutador de salto (es decir el segundo nodo de red) puede enviar mensajes enviados por la fuente (es decir por el primer nodo de red). 20 El segundo enrutador de salto (es decir el segundo nodo de red) comprueba las entradas del primer salto (es decir del primer nodo de red), el enrutador vecino que ha enrutado el mensaje en Ethernet / Internet, y lo transmitido o enviado por todos los enrutadores subsiguientes. Dado que en este contexto los enrutadores deben transmitir o enviar el mensaje a continuación del primer salto, debido al salto pasado
25 (> 1) no se comprueba ni la información de comprobación (es decir el indicador) ni la información de identificación (es decir el valor ID en el mensaje).
Por ejemplo en China existen aproximadamente 220 proveedores de Internet. Así, el número total de proveedores diferentes debería oscilar por debajo de aproximadamente 40.000. Correspondientemente, una información de
30 identificación con seis posiciones decimales (codificadas en binario) o con cinco posiciones hexadecimales (codificadas en binario) debería ser suficiente.
De las figuras y de la siguiente descripción de formas de realización preferidas en referencia a las figuras se desprenden otros detalles, características y ventajas de la invención. Las figuras ilustran aquí solamente ejemplos de formas de realización
35 de la invención, sin limitar la idea esencial de la misma.
imagen16
imagen17
Breve descripción de las figuras
Figura 1: vista esquemática de una red de telecomunicaciones según la invención con distintos nodos de red.
Formas de realización de la invención
5 En las distintas figuras, los elementos iguales están provistos siempre de símbolos de referencia iguales y, por tanto, en general se nombran o mencionan sólo una vez.
En la Figura 1 se muestra esquemáticamente una vista de una red de telecomunicaciones 100 según la invención con distintos nodos de red. A modo de 10 ejemplo, se muestra una primera red privada 10, por ejemplo un emisor de un mensaje de correo electrónico, y una segunda red privada 30, por ejemplo un receptor del mensaje de correo electrónico. La primera red privada 10 está conectada a un nodo de red 11 de un proveedor de servicios de telecomunicaciones. La segunda red privada 30 está conectada a un tercer nodo 15 de red 13, por ejemplo de otro proveedor de servicios de telecomunicaciones. Entre el primer y el tercer nodos de red 11, 13 hay otra área de red 15. La otra área de red 15 corresponde por ejemplo a una red pública de Internet o una parte de la misma. En la otra área de red 15 existe un segundo nodo de red 12, que está conectado tanto al primer nodo de red 11 como al tercer nodo de red 13. Si ahora 20 se debe enviar un mensaje, por ejemplo un correo electrónico, de la primera red privada 10 a la segunda red privada 30, se emiten paquetes de datos de Protocolo de Internet desde el primer nodo de red 11, que se transmiten a través del segundo nodo de red 12 al tercer nodo de red 13. En la imagen están representados arriba gráficamente el envío y la recepción de un mensaje de correo electrónico. El cliente 25 (por ejemplo de la primera red privada 10, por ejemplo con la identificación AQZ, Fridtjof van den Berge) crea (por ejemplo con un ordenador portátil / teléfono móvil / pad / ordenador / servidor / tableta) un mensaje de correo electrónico y lo envía, a través de su proveedor Z-Mail (es decir el primer nodo de red 11), al receptor, es decir la segunda red privada 30 (por ejemplo Amit Kumar, con la dirección
30 amit.kumar@topa.message.com). El mensaje de correo electrónico abandona la red Z-Mail (es decir el primer nodo de red 11) en dirección al tercer nodo de red 13 (red TopA-Message). El proveedor TopA-Message (es decir el tercer nodo de red 13) transmite el mensaje de correo electrónico al, por ejemplo, ordenador portátil / teléfono móvil / pad / ordenador / servidor / tableta de Amit Kumar.
imagen18
imagen19
Un correo electrónico fraudulento (por ejemplo con un troyano en un archivo ZIP adjunto) se envía a una dirección de destino en un país A, por ejemplo a través de la red de un proveedor de servicios de telecomunicación XY del país B. Sin embargo, en este ejemplo, XY recibe el mensaje de correo electrónico a través de 5 otro proveedor de servicios de telecomunicación YZ del país B. Así, el proveedor de servicios de telecomunicación YZ (por ejemplo E-Mailprovider) está obligado a escribir la información de identificación (es decir el valor ID) de su pasarela (es decir del primer nodo de red), que envía el mensaje (o el paquete de datos de Protocolo de Internet), en la información de encabezamiento del paquete de datos de
10 Protocolo de Internet en cuestión (es decir en el encabezamiento IP). En cuanto ha pasado esto (automáticamente a través del software del enrutador), se realiza el cambio del indicador de “0” a “1”, es decir la modificación de la información de comprobación.
De este modo se determina qué primer nodo de red (es decir qué red del cliente o
15 que nodo del cliente) es el origen del mensaje (o del paquete de datos de Protocolo de Internet) y, a pesar de que se utilicen por ejemplo servidores proxy para llegar al destino o al “cliente” final (es decir al tercer nodo de red 13), estará claro quién ha iniciado el fraude o el “ataque” para, por ejemplo, espiar.
El proveedor que ha pasado inicialmente el mensaje puede ahora ser consultado
20 en un tiempo breve sobre una sospecha de fraude IP y el proveedor puede ahora comprobar de manera encauzada en su pasarela de dónde o de cuál de sus clientes procedía el mensaje.
imagen20

Claims (11)

  1. imagen1
    Reivindicaciones
    1.
    Procedimiento para aumentar la seguridad en el intercambio de datos en modo
    de paquetes según un Protocolo de Internet entre nodos de red de una red de
    telecomunicaciones (100), cooperando para la transmisión de un paquete de
    5
    datos de Protocolo de Internet al menos un primer nodo de red (11) de un primer
    proveedor de servicios de telecomunicaciones y un segundo nodo de red (12),
    siendo el segundo nodo de red (12) un nodo vecino del primer nodo de red (11),
    teniendo asignada el primer nodo de red (11) una información de identificación,
    teniendo el segundo nodo de red (12) acceso a la información de identificación
    10
    asignada al primer nodo de red (11), comprendiendo el procedimiento los
    siguientes pasos:
     en un primer paso de procedimiento, el primer nodo de red (11) añade al
    paquete de datos de Protocolo de Internet la información de identificación
    del primer nodo de red (11),
    15
     en un segundo paso de procedimiento se transmite el paquete de datos
    de Protocolo de Internet al segundo nodo de red (11),
     en un tercer paso de procedimiento, el segundo nodo de red (12) lleva a
    cabo una comprobación del paquete de datos de Protocolo de Internet,
    comprendiendo la comprobación por parte del segundo nodo de red
    20
    comprobar la información de identificación, siendo el paquete de datos de
    Protocolo de Internet rechazado por el segundo nodo de red (12) cuando
    la información de identificación del paquete de datos de Protocolo de
    Internet no coincide con la información de identificación asignada al primer
    nodo de red (11), a la que el segundo nodo de red (12) tiene acceso,
    25
    caracterizado porque, para la transmisión del paquete de datos de Protocolo de
    Internet, coopera un tercer nodo de red (13), además del primer y el segundo
    nodos de red (12), y porque el paquete de datos de Protocolo de Internet incluye
    una información de salto que se modifica en cada transmisión de un nodo de
    30
    red previo a otro nodo de red, reconociendo el tercer nodo de red (13) en virtud
    de la información de salto del paquete de datos de Protocolo de Internet que la
    comprobación de la información de identificación en el segundo nodo de red
    (12) ha sido satisfactoria y transmitiendo el tercer nodo de red (13) el paquete
    de datos de Protocolo de Internet.
    imagen2
    imagen3
  2. 2.
    Procedimiento según la reivindicación 1, caracterizado porque la información de identificación comprende, en caso de utilizar IPv4 y en caso de utilizar IPv6, al menos 24 posiciones binarias.
  3. 3.
    Procedimiento según una de las reivindicaciones anteriores, caracterizado
    5 porque la información de identificación comprende, en caso de utilizar IPv4, al menos seis posiciones decimales codificadas en binario.
  4. 4. Procedimiento según una de las reivindicaciones anteriores, caracterizado porque la información de identificación comprende, en caso de utilizar IPv6, al menos cinco posiciones hexadecimales.
    10 5. Procedimiento según una de las reivindicaciones anteriores, caracterizado porque el primer nodo de red (11) añade al paquete de datos de Protocolo de Internet una información de comprobación, además de la información de identificación del primer nodo de red (11), indicando la información de comprobación que la información de identificación asignada al primer nodo de
    15 red (11) se ha añadido al paquete de datos de Protocolo de Internet.
  5. 6. Procedimiento según una de las reivindicaciones anteriores, caracterizado porque la información de comprobación es un valor binario de una posición.
  6. 7. Red de telecomunicaciones (100) para aumentar la seguridad en el intercambio de datos en modo de paquetes según un Protocolo de Internet entre nodos de 20 red de la red de telecomunicaciones (100), estando la red de telecomunicaciones (100) configurada de manera que, para la transmisión de un paquete de datos de Protocolo de Internet, cooperan al menos un primer nodo de red (11) de un primer proveedor de servicios de telecomunicaciones y un segundo nodo de red (12), siendo el segundo nodo de red (12) un nodo
    25 vecino del primer nodo de red (11), teniendo asignada el primer nodo de red
    (11) una información de identificación, teniendo el segundo nodo de red (12) acceso a la información de identificación asignada al primer nodo de red (11), estando la red de telecomunicación (100) configurada además de manera que:
     el primer nodo de red (11) añade al paquete de datos de Protocolo de 30 Internet la información de identificación del primer nodo de red (11),  se transmite el paquete de datos de Protocolo de Internet al segundo nodo de red (12),
    imagen4
    imagen5
     el segundo nodo de red (12) lleva a cabo una comprobación del paquete de datos de Protocolo de Internet, comprendiendo la comprobación por parte del segundo nodo de red comprobar la información de identificación, siendo el paquete de datos de Protocolo de Internet rechazado por el
    5 segundo nodo de red (12) cuando la información de identificación del paquete de datos de Protocolo de Internet no coincide con la información de identificación asignada al primer nodo de red (11), con el que el segundo nodo de red (12) tiene una conexión,
    10 caracterizada porque la red de telecomunicación (100) está además configurada de manera que, para la transmisión del paquete de datos de Protocolo de Internet, coopera un tercer nodo de red (13), además del primer y el segundo nodos de red (12), y porque el paquete de datos de Protocolo de Internet incluye una información de salto que se modifica en cada transmisión
    15 de un nodo de red previo a otro nodo de red, estando el tercer nodo de red (13) configurado para, en virtud de la información de salto del paquete de datos de Protocolo de Internet, reconocer que la comprobación de la información de identificación en el segundo nodo de red (12) ha sido satisfactoria y transmitir el paquete de datos de Protocolo de Internet.
    20
  7. 8.
    Red de telecomunicaciones (100) según la reivindicación 7, caracterizada porque la red de telecomunicación (100) es una red de área amplia.
  8. 9.
    Red de telecomunicaciones (100) según una de las reivindicaciones 7 u 8,
    caracterizada porque la información de identificación comprende, en caso de 25 utilizar IPv4 y en caso de utilizar IPv6, al menos 24 posiciones binarias.
  9. 10. Red de telecomunicaciones (100) según una de las reivindicaciones 7, 8 o 9, caracterizada porque el primer nodo de red (11) está configurado de manera que el primer nodo de red (11) añade al paquete de datos de Protocolo de Internet una información de comprobación, además de la información de
    30 identificación del primer nodo de red (11), indicando la información de comprobación que la información de identificación asignada al primer nodo de red (11) se ha añadido al paquete de datos de Protocolo de Internet.
  10. 11. Programa informático con líneas de código de programa por medio de los
    cuales se llevan a cabo todos los pasos de un procedimiento según una de las 35 reivindicaciones 1 a 6 cuando el programa informático se ejecuta en un dispositivo programable y/o en un nodo de red (11, 12, 13), en particular en parte en varios nodos de red (11, 12, 13) de una red de telecomunicaciones.
    imagen6
    imagen7
  11. 12. Producto de programa informático con un medio legible por ordenador y un programa informático, almacenado en el medio legible por ordenador, con
    5 líneas de código de programa adecuados para que se lleven a cabo todos los pasos de un procedimiento según una de las reivindicaciones 1 a 6 cuando el programa informático se ejecuta en un dispositivo programable y/o en un nodo de red (11, 12, 13), en particular en parte en varios nodos de red (11, 12, 13) de una red de telecomunicaciones (100).
    10
    imagen8
ES13198495.7T 2013-12-19 2013-12-19 Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes Active ES2656058T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP13198495.7A EP2887604B1 (de) 2013-12-19 2013-12-19 Verfahren und Telekommunikationsnetz zur Erhöhung der Sicherheit beim paketorientierten Datenaustausch

Publications (1)

Publication Number Publication Date
ES2656058T3 true ES2656058T3 (es) 2018-02-22

Family

ID=49882864

Family Applications (1)

Application Number Title Priority Date Filing Date
ES13198495.7T Active ES2656058T3 (es) 2013-12-19 2013-12-19 Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes

Country Status (2)

Country Link
EP (1) EP2887604B1 (es)
ES (1) ES2656058T3 (es)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060085861A1 (en) * 2004-03-12 2006-04-20 Andrey Belenky Tracing slaves from reflectors with deterministic packet marking
KR101807700B1 (ko) * 2011-12-09 2017-12-14 한국전자통신연구원 근원지 주소 위/변조 패킷 탐지 및 차단을 위한 인증 방법 및 장치

Also Published As

Publication number Publication date
EP2887604A1 (de) 2015-06-24
EP2887604B1 (de) 2017-10-18

Similar Documents

Publication Publication Date Title
JP4020576B2 (ja) パケット転送方法、移動端末装置及びルータ装置
US9407493B2 (en) System and apparatus for router advertisement options for configuring networks to support multi-homed next hop routes
EP3852328B1 (en) Method, device and system for determining routing leakage
US20150188888A1 (en) Virtual private network gateway and method of secure communication therefor
US10560378B2 (en) Data link layer-based communication method, device, and system
Jankiewicz et al. Ipv6 node requirements
CN101820432A (zh) 无状态地址配置的安全控制方法及装置
EP1775910A1 (en) Application layer ingress filtering
US10015136B2 (en) Method and firewall for soliciting incoming packets
JP2005229614A (ja) Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置
ENISA About ENISA
CN102123072A (zh) 数据报文分类处理的实现方法、网络及终端
US20120331551A1 (en) Detecting Phishing Attempt from Packets Marked by Network Nodes
Abdulla Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms
US7567522B2 (en) Suppression of router advertisement
Templin Asymmetric Extended Route Optimization (AERO)
ES2656058T3 (es) Procedimiento y red de telecomunicación para aumentar la seguridad en el intercambio de datos en modo de paquetes
US20180097776A1 (en) Network protection entity and method for protecting a communication network against fraud messages
Chown et al. IPv6 Node Requirements
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
Kuhn et al. Practical interdomain routing security
Abley et al. Considerations on the application of the level 3 multihoming shim protocol for ipv6 (shim6)
Jankiewicz et al. RFC 6434: IPv6 Node Requirements
Xiao et al. RFC 9898 Neighbor Discovery Considerations in IPv6 Deployments
TW202446111A (zh) 防範行動用戶平面中的使用者身分模組欺騙的方法