-
HINTERGRUND
DER ERFINDUNG
-
1. Technisches
Gebiet
-
Die
Erfindung betrifft ein Verfahren und System zum legalen Abfangen
von paketvermittelten Netzwerkdiensten.
-
Aufgrund
neuerer Gesetzgebung in vielen Ländern
sind Anbieter von paketvermittelten Netzwerkdiensten verpflichtet,
Möglichkeiten
bereitzustellen, die das legale Abhören des Datenverkehrs über das
Netzwerk erlauben. Während
einige Länder
vorschreiben, daß der
gesamte Verkehr aller Benutzer oder Abonnenten der Netzwerkdienste überwacht werden
soll, sehen die Gesetze anderer Länder vor, daß eine solche
generelle Überwachung
verboten ist und das Abhören
von Verkehr zu oder von Benutzern, selbst das Abhören nur
der Verbindungsdaten, nur für
bestimmte Benutzer oder Abonnenten erlaubt ist, die z.B. aufgrund
gerichtlicher Anordnung als legale Abhörziele gelten.
-
Somit
besteht Bedarf an einem Verfahren und einem System zum legalen Abhören von
paketvermittelten Netzwerkdiensten, das sich zu relativ geringen
Kosten implementieren und betreiben läßt und einfach an unterschiedliche
gesetzliche Vorschriften und Anforderungen in verschiedenen Ländern anpassen
läßt.
-
2. Beschreibung des Standes
der Technik
-
Ein
herkömmlicher
Ansatz ist die sogenannte Hardwareüberwachung, was bedeutet, daß spezielle
Einrichtungen, die für
Abhörzwecke
notwendig sind, an einem Ort installiert sind, wo die spezifizierten
legalen Abhörziele
Zugang zu dem Netzwerk erhalten. Dies bringt hohe Kosten mit sich
und hat den weiteren Nachteil, daß sich die Geheimhaltungsanforderungen
nur schwer erfüllen
lassen, weil die Hardware potentiell für nicht sicherheitsüberprüftes Personal
sichtbar ist. Außerdem
ist dieser Ansatz nicht praktikabel, wenn auf das Netzwerk von mobilen
Einheiten aus zugegriffen werden kann, etwa von Mobiltelefonen,
Laptops und dergleichen oder über öffentliche
Zugangspunkte wie etwa WLAN Hot Spots oder einfach durch Einwahl über ein
PSTN mit einem Modem oder über
ISDN von einem Hoteltelefon oder öffentlichen Telefon aus.
-
Ein
anderer bekannter Ansatz ist die sogenannte Softwareüberwachung,
bei der geeignete Software zur Identifizierung der eingetragenen
Benutzer, die auf das Netzwerk zugreifen, und zur Entscheidung,
ob der Verkehr von diesen Abonnenten abgehört werden soll oder nicht,
innerhalb des internen Netzwerkes des Dienstanbieters implementiert ist.
Diese Lösung
impliziert eine gewisse Menge an abhörbezogenem Verkehr innerhalb
des internen Netzwerkes des Dienstanbieters, und dieser Verkehr kann
durch eine relativ große
Anzahl von Angestellten des Dienstanbieters beobachtbar sein, so
daß in einigen
Ländern
eine sorgfältige
Sicherheitsüberprüfung des
Personals notwendig ist. Dies stellt nicht nur einen hohen Kostenfaktor
dar, sondern kann auch zu schwierigen rechtlichen Problemen im Hinblick
auf Arbeitsverträge
und dergleichen führen.
-
Das
European Telecommunications Standards Institute (ETSI) hat Spezifikationen
für ein
Referenzmodell für
das legale Abhören
veröffentlicht (ETSI-Dokument
ES 201 671).
-
Eine
Darstellung von J. Baloo: "Lawful
Interception of IP Traffic: The European Context", Black Hat Europe 2003, 15. Mai 2003,
http://blackhat.com/presentations/bh-europe-03/bh-europe-03-baloo.pdf
gibt einen Überblick über die
technischen und rechtlichen Herausforderungen des legalen Abhörens von
paketvermittelten Netzwerkdiensten in Europa. Diese Darstellung
gibt weiterhin als Beispiele eine kurze Übersicht über die ETSI Spezifikationen
und niederländische
Spezifikationen für
das legale Abhören
(Transport of Intercepted IP Traffic; TIIT)). Insbesondere zeigt
die Darstellung eine allgemeine Architektur von Schnittstellen in
der TIIT Spezifikation, die die Funktionalität für das Abhören und die Mediation illustriert.
Die Darstellung beschreibt jedoch nicht die Art und Weise, in der
legale Abhörziele in
der TIIT Spezifikation spezifisch identifiziert werden.
-
Ein
Internet-Dokument von Baker et al.: Cisco Support for Lawful Intercept
in IP Networks",
April 2003, http://www.rfc-editor.org/internet-drafts/draftbaker-slem-architecture-00.txt,
empfiehlt, daß der Abhörverkehr
zwischen einem Abfangpunkt und einer Mediationseinrichtung verschlüsselt wird,
um die Kenntnisse nicht autorisierten Personals über gesetzlich erlaubte Abhörvorgänge zu begrenzen.
-
KURZDARSTELLUNG
DER ERFINDUNG
-
Gemäß der Erfindung
umfaßt
ein Verfahren zum legalen Abfangen von paketvermittelten Netzwerkdiensten
die folgenden Schritte:
- – wenn ein Benutzer auf das
Netzwerk zugreift und an einem primären Abfangpunkt des Netzwerks
durch eine Zielkennung identifiziert wird, senden der Zielkennung
an ein Abfang-Managementzentrum,
- – Prüfen in dem
Abfang-Managementzentrum anhand der Zielkennung, ob der Benutzer
ein legales Abfangziel ist, und Senden eines verschlüsselten
Abfangbefehlssatzes an einen sekundären Abfangpunkt,
- – Entschlüsseln des
Abfangbefehlssatzes an dem sekundären Abfangpunkt und Durchführen eines Abfangprozesses
in Übereinstimmung
mit dem Abfangbefehlssatz, wobei der Abfangprozeß das Senden von verschlüsselten
Abhör-
und Blinddaten an eine Mediationseinrichtung einschließt, wobei
die Blinddaten hinzugefügt
werden, um den echten Abhörverkehr
zwischen dem sekundären Abfangpunkt
und der Mediationseinrichtung zu verschleiern.
-
Ein
System, in dem das Verfahren gemäß der Erfindung
implementiert ist, umfaßt
wenigstens einen Paketvermittlungs-Dienstpunkt (Paket Switching
Service Point; PSSP), der Abhörfunktionalität (z.B.
eine interne Abhörfunktion
(Internal Intercept Function; IIF), wie sie in dem ETSI Modell spezifiziert ist)
enthält
und damit als der primäre
und/oder sekundäre
Abfangpunkt dient, und eine Mediationseinrichtung (Mediation Device;
MD), durch welche die abgehörten
Daten und diesbezügliche
Information an eine oder mehrere gesetzliche Aufsichtsinstanzen
(Law Enforcement Agencies; LEA) übergeben
werden, die die abgehörten
Daten empfangen und auswerten wollen. Der PSSP kann irgendein Knoten
in dem Netzwerk sein, wo Datenpakete einschließlich Paketen, die die Benutzerkennung
eines Netzwerkabonnenten enthalten, abgehört werden können. Die oben genannten primären und
sekundären
Abfangpunkte können
durch verschiedene PSSPs gebildet werden, werden jedoch bevorzugt
durch ein und denselben PSSP gebildet. Das System umfaßt weiterhin
ein Abfang-Managementzentrum (Interception Management Center; IMC).
Dies ist der Ort, wo die Abhörstrategie
entsprechend den Anforderungen der Aufsichtsinstanzen eingerichtet
ist. Das IMC speichert die Identitäten von legalen Abhörzielen
(Benutzerkennungen, Gerätekennungen,
Kennungen von Zugangsleitungen oder anderen Einrichtungen, die einen
Ziel-Benutzer mit angemessener Wahrscheinlichkeit identifizieren),
die von dem einen oder den mehreren zu diesem IMC gehörenden PSSPs
bedient werden. Das IMC kann weiterhin Information über die
Modalitäten
und Umfänge
der Abhöraktivitäten speichern,
die für
die verschiedenen Ziele und Nicht-Ziele anwendbar sind.
-
Wie
im Stand der Technik bekannt ist, wird ein Benutzer, der die Dienste
eines paketvermittelten Netzwerkdienstanbieters abonniert hat, durch
irgendeine geeignete Kennung, die als "Benutzerkennung" bezeichnet wird und aus dem Namen des
Benutzers oder irgendeiner anderen geeigneten Kennung wie einem
Pseudonym bestehen kann, eindeutig identifiziert. Alternativ oder
zusätzlich
kann ein Benutzer oder, genauer, ein Abhörziel durch eine Zugangskennung
spezifiziert werden, etwa durch eine Telefonnummer, eine Kennung
einer DSL-Leitung, einen virtuellen ATM Kanal oder dergleichen.
In der vorliegenden Anmeldung wird der Ausdruck "Zielkennung" als Oberbegriff für Benutzerkennungen und Zugangskennungen
und Gerätekennungen
gebraucht, etwa für
die MAC-Adresse einer Netzwerkkarte, die von einem Ziel-Benutzer
verwendet wird.
-
Wenn
ein Benutzer eine Sitzung eröffnet, wird
er durch mindestens eine Zielkennung identifiziert. Manchmal sind
mehrere Zielkennungen vorhanden. Übliche Klassen von Zielkennungen
sind die folgenden:
- 1. eine Benutzerkennung
(gewöhnlich
in Kombination mit einem Paßwort
zur Authentifizierung). Dies wird häufig zusammengefaßt als "was man weiß" (oder was zumindest
als bekannt unterstellt werden kann – der Benutzer oder ein legitimierter Benutzer
kann die Benutzerkennung und das Paßwort auf dem benutzen Gerät gespeichert
haben, so daß der
aktuelle Benutzer die Benutzerkennung nicht zu wissen braucht, wenn
er Zugang zu dem Gerät
hat, auf dem der Benutzername und das Paßwort gespeichert sind).
- 2. eine Gerätekennung
eines Gerätes
das er benutzt (etwa eine MAC-Adresse einer Netzwerkkarte oder eine
Kennung einer mobilen Station eines mobilen Telefonapparats oder über ein
SIM (Subscriber Identification Module) in einem Mobiltelefon). Diese
Klasse von Zielkennungen kann zusammengefaßt werden als: "was einem gehört" und ist in mobilen
Umgebungen besonders zweckmäßig. Eine
IP-Adresse, etwa eine IP-Version 6 Adresse, kann in einer mobilen
IP-Umgebung als eine Gerätekennung
betrachtet werden, wenn die IP-Adresse dem Gerät zugeordnet ist.
- 3. eine Kennung für
eine Zugangsressource zu dem Netzwerk, die im folgenden als Zugangskennung
bezeichnet wird. Dies ist eine Kennung für eine Netzwerkschnittstelle
eines Netzwerkelements, das nicht dem Benutzer, sondern dem Dienstanbieter
oder einem Geschäftspartner
des Dienstanbieters gehört.
Ein Beispiel ist eine Kennung für
eine DSL-Leitung in einem DSL-Zugangsnetzwerk oder die Kombination
aus einem ATM-Gerätenamen,
der Slot-Nummer,
der Port-Nummer und einer Kennung für eine virtuelle ATM-Schaltung.
Ein anderes Beispiel wäre
eine IP-Adresse, die dieser Netzwerkschnittstelle permanent zugewiesen
ist. Diese Klasse von Zielkennungen kann zusammengefaßt werden
als: "was man möglicherweise
in dem Netzwerk benutzt",
wie es z.B. bei der DSL-Leitung in das Haus eines Ziel-Benutzers
der Fall ist. Dieses Konzept ist sehr ähnlich zu dem Anzapfen einer Telefonleitung
in Festnetzen, wie es gewöhnlich auch
bei der Telefonleitung geschieht und wobei alle Kommunikationsvorgänge über diese
Telefonleitung abgehört
werden, unabhängig
davon, ob der vorgesehene Ziel-Benutzer spricht oder jemand anders
Zugang zu dem an die Leitung angeschlossenen Telefon hat.
-
Wenn
sich ein Benutzer mit einer Zielkennung, die eine Benutzerkennung
ist, bei dem Netzwerk anmeldet, so wird eine Anmeldeprozedur ausgeführt, bei
welcher der Benutzer sich durch Angabe seiner Benutzerkennung und,
optional, ein Paßwort oder
dergleichen authentifizieren muß.
Herkömmlich hat
dieser Authentifizierungsprozeß den
Zweck, dem Dienstanbieter die Prüfung
zu ermöglichen,
ob der Benutzer die Dienste wirklich abonniert hat. Im Fall von
kommerziellen Dienstanbietern wird der Authentifizierungsprozeß auch für Abrechnungszwecke
benötigt.
In einigen Fällen
wird eine Identifizierung des Benutzers oder eine Anmeldeprozedur
ausgeführt, bei
der für
die Identifizierung des von dem Benutzer verwendeten Gerätes eine
Gerätekennung
benutzt wird, ohne daß ein
Paßwort
erforderlich ist, z. B. wenn über
DHCP auf der Grundlage einer MAC-Adresse, die von dem Gerät oder einer
zu dem Gerät
gehörenden
Netzwerkkarte angeboten wird, eine IP-Adresse bereitgestellt wird,
die begrenzten Zugang gewährt.
Eine solche Prozedur ist üblich, wenn
einem Benutzer vor der eigentlichen Authentifizierung ein Zugang
mit begrenztem Umfang gewährt wird.
Im Fall eines Festnetzzugangs mag keine besondere Anmeldeprozedur
stattfinden, da der Benutzer als fest an eine be stimmte Zugangsleitung
angeschlossen betrachtet wird, die z. B. permanent mit einer festen
IP-Adresse eingerichtet sein mag (ähnlich der Situation in der
Telefonie, wo eine Telefonleitung permanent mit einer festen Telefonnummer
eingerichtet ist). In einigen Fällen
kann das Gerät
eine IP-Adresse, etwa eine feste IP-Version 6 Adresse vorweisen,
die dem Gerät
zugewiesen worden ist.
-
Gemäß der Erfindung
wird die Tatsache, daß der
Benutzer seine Benutzerkennung angeben muß oder zumindest eine Zielkennung
verwenden muß, wenn
er sich an das Netzwerk anschließt, auch für Abhörzwecke ausgenutzt. Zu diesem
Zweck wird die Benutzerkennung (und gegebenenfalls die Zugangskennung
oder Gerätekennung)
an dem als Abfangpunkt dienenden PSSP detektiert. Es versteht sich, daß, damit
man alle Abonnenten des Netzwerkes abhören kann, wenn dies erforderlich
ist, die mit Abhörfähigkeiten
ausgerüsteten
PSSPs strategisch so in dem Netzwerk angeordnet sein müssen, daß kein Abonnent
Zugang erhalten kann, ohne wenigstens einen Abfangpunkt zu passieren.
Die Zielkennung wird an das IMC gesendet, wo sie gegen eine Liste von
legalen Abhörzielen
und ausdrücklichen Nicht-Zielen
geprüft
wird. Das IMC antwortet an denselben PSSP, von dem die Zielkennung
stammt, – oder
auch an einen anderen PSSP – mit
einer verschlüsselten
Nachricht, die zumindest angibt, ob die Zielkennung ein legales
Abhörziel
repräsentiert
oder nicht. Die Antwort, die als Abfangbefehlssatz bezeichnet wird,
kann weiterhin spezifizieren, ob das Ziel durch seine Benutzerkennung
identifiziert ist (d. h. Abhören
von Verkehr zu oder von diesem Benutzer) oder durch seine Zugangskennung
(d. h. Abhören
von allem Verkehr über
diese Leitung, unabhängig
von der Identität
des Benutzers) oder durch eine andere temporäre Zielkennung, die in dem
Abfangbefehlssatz enthalten ist, und kann auch zusätzliche Information
enthalten. Zum Beispiel kann der Abfangbefehlssatz einen "bedingten Abfangbefehlssatz" enthalten, der den
PSSP anweist, den zu der Zielkennung gehörenden Verkehr zu überwachen und
das Abhören
des gesamten Verkehrs oder eines Teils des Verkehrs nur dann zu
beginnen, wenn eine bestimmte Auslösebedingung eintritt, wobei
diese Auslösebedingung
in der Verwendung bestimmter Netzwerkressourcen oder Inhaltsressourcen
oder der Verwendung eines bestimmten Stichwortes, einer Virussignatur
oder eines Bitmusters bestehen kann, die in dem Abfangbefehlssatz
spezifiziert sind. Als ein anderes Beispiel kann der Abfangbefehlssatz unterschiedliche
Abhörklassen
spezifizieren, die angeben, ob alle Pakete oder nur eine zufällige Auswahl
von Paketen oder nur eine bestimmte Teilmenge von Paketen abgehört werden
soll, die von dem Ziel stammen oder an das Ziel gesendet werden.
Der PSSP wird dann die Datenpakete in Übereinstimmung mit diesen Instruktionen
abhören
und sie, wiederum in verschlüsselter
Form, an die Mediationseinrichtung senden.
-
Der
PSSP enthält
sowohl Verschlüsselungs- als
auch Entschlüsselungseinrichtungen.
Das IMC enthält
zumindest Verschlüsselungseinrichtungen
für den
Abfangbefehlssatz, und die Mediationseinrichtung enthält zumindest
Entschlüsselungseinrichtungen.
-
Es
ist der Vorteil der Erfindung, daß der Verkehr zwischen dem
PSSP und der Mediationseinrichtung und auch der größte Teil
des Verkehrs zwischen dem PSSP und dem IMC verschlüsselt ist,
so daß er nicht
von einem Beobachter verstanden werden kann, der den Verkehr überwacht
(auf die Verschlüsselung
der an das IMC gesendeten Zielkennung kann jedoch verzichtet werden).
Somit können
selbst die Angestellten des Dienstanbieters, denen es höchstwahrscheinlich
möglich
ist, den Verkehr zu überwachen,
nicht ohne weiteres die Identität
eines legalen Abhörziels
feststellen. Im Hinblick auf die Geheimhaltungsanforderungen besteht
ein weiterer Vorteil darin, daß es
nicht notwendig ist, die Funktionalität des IMC an jedem einzelnen
PSSP zu implementieren. Das IMC und die Mediationseinrichtung können entfernt
von dem oder den PSSP(s) angeordnet sein und können somit zentralisiert werden,
so daß beträchtliche
Kosteneinsparungen erreicht werden können, ohne daß die Geheimhaltunganforderungen verletzt
werden. Da außerdem
keine Information über
die Identität
der legalen Abhörziele
permanent an den einzelnen PSSPs vorhanden ist und, soweit sie vorhanden
ist, in verschlüsselter
Form oder in einer verschlüsselten
Datei gespeichert ist, wird das Personal, das nur zu den PSSPs Zugang
hat, nicht in der Lage sein, die Abhörziele zu identifizieren oder festzustellen,
ob ein echtes Abhörziel
auf diesen speziellen PSSP zugreift. Die Identität der Abhörziele wird, wenn überhaupt,
nur einer sehr begrenzten Anzahl von Angestellten bekannt sein,
die Zugang zu der Information haben, die in dem einzigen IMC oder relativ
wenigen zentralisierten IMCs gespeichert ist, oder die spezielle
Operator-Privilegien haben, die für nicht sicherheitsgeprüftes Personal
nicht zur Verfügung
stehen. Es versteht sich, daß,
wenn überhaupt, nur
wenige Betriebsangehörige
des Dienstanbieters Zugang zu einem gesicherten Bereich oder verschlossenen
Raum haben, in dem sich das IMC sowie die Mediationseinrichtung
befinden.
-
Gemäß einem
weiteren wichtigen Merkmal der Erfindung wird die Sicherheit und
Geheimhaltung dadurch weiter verbessert, daß sogar die Tatsache verschleiert
wird, daß abhörbezogener
Verkehr zwischen dem PSSP und der Mediationseinrichtung stattfindet.
Zu diesem Zweck kann der Abfangbefehlssatz, der von dem IMC an den
PSSP gesendet wird, spezifizieren, daß selbst in den Fällen, in
denen der Benutzer nicht abgehört
wird oder nicht einmal ein legales Abhörziel ist, Blinddatenverkehr
zwischen dem PSSP und der Mediationseinrichtung erzeugt wird, so
daß ein
nicht authorisierter Beobachter, der den verschlüsselten Datenverkehr überwachen
mag, nicht entscheiden kann, ob der Verkehr, den er sieht, nur Blindverkehr
oder aber ein Hinweis auf einen tatsächlichen Abhörprozeß ist. Dies
ermöglicht
es dem Dienstanbieter, das IMC und/oder die Mediationseinrichtung
an ein drittes Unternehmen auszugliedern, das für den Dienstanbieter alle von
Aufsichtsinstanzen erteilten Abhörbefugnisse
behandeln kann, ohne daß irgendein
Angestellter des Dienstanbieters etwas über die Einzelheiten einer
Befugnis zu wissen braucht.
-
Der
Blind-Abhörverkehr
kann durch echte Paketankunftsereignisse an dem PSSP ausgelöst werden
oder alternativ durch zufällige
Ereignisse oder irgendwelche anderen Ereignisse wie etwa das Ablaufen
eines Zeitgebers. Der Blindverkehr sollte keinerlei Abonnentendaten
erhalten. Sofern als auslösendes
Ereignis für
den Blindverkehr ein echter Abonnentenverkehr benutzt wurde, so
wird der Inhalt gescambelt und unbrauchbar gemacht, so daß der Empfänger oder
ein Beobachter keine brauchbare Information über den tatsächlichen
Abonnentenverkehr erhalten kann. Somit wird trotz des Blindverkehrs
die Privatsphäre
des Abonnenten geschützt,
falls der Abonnent kein legales Abhörziel ist.
-
Wahlweise
kann die Erfindung eines oder mehrere der folgenden Merkmale enthalten:
- – Senden
von Umklassifizierungnachrichten von dem IMC an den PSSP, um einen
bereits aktiven Benutzer in einen anderen Abfangmodus umzuklassifizieren,
wenn z. B. einen neue Abhörbefugnis
für einen
bereits aktiven Benutzer implementiert werden muß, eine Befugnis für einen
aktiven Benutzer beendet werden soll, wenn die Dauer der Befugnis
abgelaufen ist, eine Befugnis für
einen aktiven Benutzer vor dem Ablauf zurückgenommen wird, oder wenn
sich der Umfang einer Befugnis für
einen aktiven Benutzer ändert,
was eine Umklassifizierung erfordert, z. B. von teilweisem Abfangen
auf vollständiges
Abfangen oder von Nichtabhören
auf Blind-Abhören
oder von Blind-Abhören
auf Nichtabhören.
- – Verbergen
der Information über
die einem aktiven Benutzer zugewiesene Abfangklasse vor nicht sicherheitsgeprüftem Personal
des Dienstanbieters durch Implementieren spezieller Operator-Befehlsprivilegien
an dem PSSP, um zu verhindern, daß nicht abhörpriviligierte Operateure in
der Lage sind, erfolgreich Befehle auszuführen, die die Abfangklasse
eines aktiven Benutzers zeigen, und/oder durch Speichern der Abfangklasse
des Benutzers in verschlüsselter
Form auf den Netzwerkelementen, wobei der Schlüssel für die Entschlüsselung
nicht für
Operateure ohne Abhörprivileg
verfügbar
ist
- – Verwerfen
der Blinddaten direkt nach dem Empfang an der Mediationseinrichtung
oder, alternativ, Verwenden dieser Blinddaten zum Verschleiern von
Weiterleitungsverkehr von der Mediationseinrichtung zu der Aufsichtsinstanz.
- – Statische
oder dynamische Bestimmung, an dem IMC, der Beziehung zwischen echtem
Abhörverkehr
und Blindverkehr unter Berücksichtigung
sowohl der Kosten für
den Blindverkehr als auch der unter den gegebenen Umständen bestehenden
Sicherheitsanforderungen, wobei die angewandte Mischung von Benutzer-Abfangklassen abhängig sein
kann von den von Behörden
geforderten Bestimmungen, der Tageszeit, der Anzahl von Benutzern,
die gleichzeitig an einen bestimmten Abfangpunkt (PSSP) aktiv sind,
dem aktuellen Verkehrsaufkommen, der für Abhörverkehr von echten Zielen
von einem bestimmten Abfangpunkt aus erforderlichen theoretischen
Spitzen-Bandbreite, Risikoklassifizierungsniveaus in Verbindung
mit dem angewandten Betriebsmodell, und allgemeinen Risikoniveaus,
die für
eine gewisse Dauer in einem bestimmten Land bestehen, wie von Regierungsbehörden deklariert
wird.
-
In
einer anderen Ausführungsform
der Erfindung wird eine konstante (oder variable) Menge an "Verschleierungsverkehr" ständig erzeugt
und gesendet (selbst wenn kein echtes Abhören stattfindet). Dieser Verschleierungsverkehr
besteht aus echtem Abhörverkehr
und Blinddaten in einem Verhältnis, das von
dem Bedarf für
echten Abhörverkehr
abhängig
ist, so daß der
echte Abhörverkehr
stets in der Menge des Blindverkehrs verborgen wird. Die Verschleierungspakete
können
eine feste Größe oder variable
Größen haben,
die unabhängig
von den von einem speziellen Abonnenten benutzten Paketgrößen sind. Das Volumen des Verschleierungsverkehrs wird
mindestens so hoch sein wie das maximale theoretische oder praktische
Volumen des echten Abhörverkehrs
plus einem etwaigen Vorlauf zum Verschlüsseln und Einkapseln desselben
in den Strom von Verschleierungspaketen mit fester Länge. Dies würde es einem
Beobachter unmöglich
machen, eine Verkehrsanalyse vorzunehmen, um zu entscheiden, ob
ein echtes Abhören
stattfindet, und es würde
es vollständig
unmöglich
machen, die Tatsache zu erkennen, daß legalea Abhören stattfindet,
selbst wenn der interne legale Abhörverkehr über unsichere öffentliche
Netzwerke wie das Internet an die Mediationseinrichtung gesendet
wird. Es würde
es auch selbst für
ein böswilliges
Mitglied des Betriebspersonals (ohne Befehlsprivilegien für das Abhören), der mit
einem Ziel zusammenarbeitet, unmöglich
machen zu testen, ob ein bestimmter Benutzer zur Zeit ein Abhörziel ist.
-
KURZBESCHREIBUNG
DER ZEICHNUNGEN
-
Bevorzugte
Ausführungsformen
der Erfindung werden nun anhand der Zeichnungen beschrieben, in
denen zeigen:
-
1 ein
Diagramm eines Systems gemäß einer
Ausführungsform
der Erfindung;
-
2 und 3 Diagramme
zur Illustration von zwei Beispielen für das Verfahren gemäß der Erfindung;
-
4 bis 9 Diagramme
von modifizierten Ausführungsformen
des Systems; und
-
10 ein
Verfahren zur Kombination von Abhörverkehr mit Blindverkehr.
-
DETAILLIERTE
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
Wie
in 1 gezeigt ist, trägt ein Anbieter von paketvermittelten
Netzwerkdiensten, in diesem Beispiel ein Internet Service Provider
(ISP), Verantwortung für
eine gewisse Anzahl von Einrichtungen, die es einer Anzahl von Endbenutzern 10 ermöglichen,
Zugang zu dem Netzwerk, d. h. dem Internet 12 zu erhalten.
Diese Einrichtungen sind durch ein internes Netzwerk 14 des
ISP verbunden und umfassen eine Anzahl von Paketvermittlungsdienstpunkten (PSSP) 16,
d. h. Vermittlungsknoten, die jeweils mit einer Abhörfunktion
(Internal Interception Function (IIF) 18 ausgerüstet sind.
-
In
dem gezeigten Beispiel liegen die mit den IIFs 18 ausgerüsteten PSSPs 16 an
der Abonnentenkante des Netzwerkes 14, d. h. an dem Ort,
wo die Endbenutzer 10 sich an das interne Netzwerk 14 und damit
an das Internet 12 anschließen, und zwar über irgendein
geeignetes Zugangsnetzwerk 20 wie z. B. ein öffentlich
vermitteltes Telefonnetzwerk (PSTN), ein Dienste-integrierendes
digitales Netzwerk (ISDN), eine Digital Subscriber Line (DSL) als
Zugangsnetzwerk, ein Mobiltelefonnetz (2G wie GSM, 2,5G wie GPRS
oder 3G wie UMTS), ein WLAN-Zugangsnetzwerk, ein Ethernet-Zugangsnetzwerk
oder ein Kabelmodem-Zugangsnetzwerk (CM) oder eine Kombination hieraus.
Die PSSPs können
jedoch auch an irgendeinem anderen Knoten innerhalb des internen
Netzwerkes 14 angeordnet sein, solange sichergestellt ist,
daß der
interessierende Zieldatenverkehr zu und von den Endbenutzern 10 wenigstens einen
der PSSPs passiert, die mit einer IIF ausgerüstet sind. Zum Beispiel kann
ein PSSP ein "Shasta 5000
BSN" (Warenzeichen)
der Firma Nortel Networks Limited sein (BSN steht für Breitbanddienstknoten;
Broadband Services Node). Über
das interne Netzwerk 14 sind die PSSPs mit wenigstens einem Authentifizierungs-Server
verbunden, in diesem Fall einen "Remote
Authentication Dial-In User Service" (RADIUS) Server 22, der mit
einer persönlichen
Benutzerdatenbank (Personal User Data Base; PUD) 24 zusammenwirkt,
in der die Benutzerdaten der Abonnenten gespeichert sind (das Radius
Protokoll ist beschrieben in RFC 2865 mit dem Titel "Remote Authentication
Dial-In User Server
(RADIUS)" und in RFC
2866 mit dem Titel "Radius
Accounting", beide veröffentlicht
von der Organisation Internet Engeneering Task Force (IETF) im Juni
2000).
-
Wenn
ein Endbenutzer 10 sich mit den Diensten des ISP verbindet,
so authentifiziert er sich durch eine geeignete Benutzerkennung,
durch die der spezielle Benutzer eindeutig identifiziert wird. Der PSSP 16 leitet
die Benutzerkennung an den RADIUS Server 22 weiter und
löst dadurch
eine Authentifizierungsprozedur aus, bei welcher die Benutzerkennung
mit der persönlichen
Benutzerdatenbank 24 abgeglichen wird, um zu sehen, ob
der Benutzer für
die Dienste des ISP autorisiert ist. Wenn diese Authentifizierungsprozedur
erfolgreich ist, so beginnt eine Benutzersitzung für diesen
spezifischen Benutzer, und der Benutzer kann in der persönlichen
Benutzerdatenbank 24 als ein aktiver Benutzer vermerkt
werden. Wenn sich der Benutzer abmeldet oder von dem PSSP getrennt
wird, so kann der Benutzer wieder als ein inaktiver Benutzer gespeichert
werden. Die Nachrichten, die den Beginn und das Ende einer Benutzersitzung
anzeigen, können
gespeichert und für
Abrechnungszwecke verarbeitet werden, wenn der Benutzer nicht eine
Flat-Rate abonniert hat.
-
Das
interne Netzwerk 14 enthält weiterhin wenigstens einen
Mediationspunkt (MP) 26, der als eine Schnittstelle zwischen
dem internen Netzwerk 14 des ISP und einer Aufsichtsinstitution
(Law Enforcement Agency; LEA) 28 dient, die dazu autorisiert
ist, den Verkehr entweder aller Benutzer oder einer Anzahl bestimmter
Nutzer, die als legale Abhörziel
gelten, abzuhören.
Die Identitäten
der legalen Abhörziele
sind am Mediationspunkt 26 gespeichert, vorzugsweise zusammen
mit detaillierter Information über
den Modus und Umfang der Abhörung,
der für jedes
einzelne Ziel erlaubt und erwünscht
ist. Der Mediationspunkt 26 ist mit den Einrichtungen der
Aufsichtsinstitution 28 durch einen sicheren Kommunikationskanal 30 verbunden,
der zum Senden der abgehörten
Daten an die LEA 28 und auch zum Herunterladen von Information,
die die Abhörziele
spezifiziert, in den Mediationspunkt 26.
-
Über das
interne Netzwerk 14 ist der Mediationspunkt 26 mit
der Abhörfunktion 18 wenigstens eines,
vorzugsweise mehrerer PSSPs 16 verbunden, wie in 1 durch
Breite, in Umrissen dargestellte Verbindungsleitungen 32 symbolisiert
wird. Die Umrißdarstellung
der Leitungen 32 gibt an, daß der Verkehr auf diesen Leitungen
nur in verschlüsselter Form
erfolgt.
-
Wenn
ein Endbenutzer 10 sich durch die oben beschriebene Prozedur
angemeldet hat, so wird die an den RADIUS Server 22 übermittelte
Benutzerken nung auch der internen Abhörfunktion 18 des betreffenden
PSSP 16 zur Verfügung
gestellt. Ausgelöst
durch dieses Ereignis erzeugt die IIF 18 eine verschlüsselte Abhöranfrage,
die die verschlüsselte
Benutzerkennung enthält,
und sendet diese über
die Leitung 32 an den Mediationspunkt 26. Hier wird
geprüft,
ob der Benutzer, der sich angemeldet hat, ein legales Abhörziel ist,
und eine verschlüsselte Antwort
wird über
die Leitung 32 an die IIF 18 zurückgesandt.
Diese verschlüsselte
Antwort gibt an, ob der Benutzer abgehört werden soll oder nicht und
auf welche Weise dies zu geschehen hat. In Übereinstimmung mit den in dieser
verschlüsselten
Antwort enthaltenen Befehlen wird die IIF 18 allen oder
gewissen Verkehr von oder zu dem Endbenutzer 10 abhören und
die abgehörten
Daten und/oder auf das Abhören
bezogene Information, wieder in verschlüsselter Form, an den Mediationspunkt 26 senden,
von wo sie über
den sicheren Kanal 30 an die Aufsichtsinstitution 28 weitergeleitet
wird. Als eine Alternative können
die abgehörten
und verschlüsselten
Daten über
verschlüsselte
Kanäle 34 direkt
an die Aufsichtsinstitution 28 gesendet werden, wie in 1 in gestrichelten
Linien angedeutet ist.
-
Ein
Beispiel für
eine solche Abhörprozedur wird
nun mit Bezug auf 2 beschrieben. In Schritt S1
meldet sich ein Benutzer 10 für die von dem ISP bereitgestellten
Dienste an und wird durch eine Zielkennung, in diesem Beispiel eine
Benutzerkennung, identifiziert. In Schritt S2 sendet der PSSP 16, über den
sich der Benutzer an das Netzwerk angeschlossen hat, oder, genauer,
dessen IIF 18, die verschlüsselte Benutzerkennung an den
Mediationspunkt 26. In Schritt S3 sendet der Mediationspunkt 26 einen verschlüsselten
Abfangbefehlssatz an den PSSP 16 zurück. Dieser Befehlssatz enthält zumindest
die Information, daß der
Benutzer abgehört
werden soll oder nicht abgehört
werden soll. Die Befehle können außerdem andere
auf das Abhören
bezogene Information spezifizieren, z. B., daß nur Zugangs- und Verbindungsdaten
abgehört
werden sollen (z. B. die Zeit und Dauer der Online-Sitzung des Benutzers) oder
bestimmte Daten über
End-zu-End-Verbindungen (z. B. URLs von besuchten Webseiten oder IP-Adressen
von VoIP-(Internet Telefonie)Kommunikationspartnern), aber nicht
die Inhalte der Kommunikationen selbst. Ein anderer Befehl kann
spezifizieren, daß der
gesamte Verkehr (Verbindungsdaten und/oder Inhalt) zu und von dem
Benutzer abgehört werden
soll oder nur Nachrichten, die von dem Benutzer an ein anderes Ziel
gesendet werden, oder nur Nachrichten, die von anderen Quellen gesendet
und von dem Benutzer empfangen werden. Noch ein weiterer Befehl
könnte
spezifizieren, daß alle
Datenpakete oder nur eine Teilmenge der übermittelten Datenpakete (z.
B. eine Zufallsauswahl) abgehört
werden sollen, oder daß das
Abhören
aller nachfolgenden Datenpakete durch spezielle Datenpakete ausgelöst werden
soll, die bestimmte Stichwörter
repräsentieren,
die sich auf ungesetzliche Aktivitäten beziehen. Noch ein weiterer
Befehl kann spezifizieren, daß das
Abhören
auf Verkehr zu oder von bestimmten Seiten oder Klassen von Seiten
begrenzt ist, z. B. Web-Server, die sich in einem bestimmten Land
befinden, oder auf bestimmte Protokolle oder Datenflüsse wie
etwa SIP-Verkehr und RTP-Verkehr, die zum Signalisieren und Übertragen
von Internettelefonie oder Multimedia-Kommunikationen verwendet werden.
-
Die
interne Abhörfunktion 18 wird
dann die Abhörprozedur
in Übereinstimmung
mit diesen Befehlen ausführen.
In Schritt S4 verbindet sich der Benutzer mit einer Webseite im
Internet 12, typischerweise durch Eingabe einer URL (Universal
Resource Locator) der gewünschten
Webseite. Dann werden in Schritt S5 die Verbindungsdaten, d. h.
die URL, in verschlüsselter
Form an den Mediationspunkt 26 gesendet.
-
Wenn
der Befehl spezifiziert, daß auch
Inhalte abgehört
werden sollen, so werden die Datenpakete, die den Inhalt der ausgewählten Webseite
repräsentieren
und zu dem Benutzer 10 übermittelt
werden, ebenfalls abgehört
und in Schritt S6 in verschlüsselter
Form an den Mediationspunkt 26 oder die LEA 28 gesendet.
-
Als
ein weiteres Beispiel können
die Schritte S4–S6
auch darin bestehen, daß der
Benutzer 10 eine E-Mail an eine bestimmte E-Mail Adresse
sendet. Dann wird in Schritt S5 die verschlüsselte E-Mail Adresse übermittelt,
und in Schritt S6 wird der verschlüsselte Inhalt der E-Mail übermittelt.
Wenn der Schritt S4 darin besteht, daß der Benutzer eine E-Mail
aus seiner Mailbox abruft, werden folglich die Schritte S5 und S6
darin bestehen, daß der
Ursprung und der Inhalt der E-Mail verschlüsselt und gesendet werden.
Wenn die Mailbox des betreffenden Benutzers von einem Fremden ISP
in einem anderem Land unterhalten wird, so kann die Mailbox ebenfalls
von einem PSSP bewacht werden, der eine interne Abhörfunktion 18 hat
und sich an einem Grenz-Gateway befindet, so daß die an den bestimmten Benutzer adressierte
E-Mail bereits abgehört
werden kann, wenn sie an die Mailbox gesendet wird.
-
In
Schritt S10 meldet sich der Benutzer von dem internen Netzwerk 14 des
ISP ab oder wird davon getrennt. Dies löst die Übermittlung an einer verschlüsselten
Abmeldenachricht an den Mediationspunkt 26 in Schritt S8
aus.
-
Es
versteht sich, daß,
da der gesamte Verkehr zwischen dem PSSP 16 und dem Mediationspunkt 26 verschlüsselt ist,
dieser Verkehr nur von den betreffenden Einrichtungen und nicht
von irgendwelchen Einzelpersonen verstanden werden kann, die den
Verkehr auf dem Kanal 32 überwachen, nicht einmal von
dem Personal des ISP selbst, mit Ausnahme der sehr begrenzten Anzahl
von Angestellten, die Zugang zu dem Mediationspunkt 26 haben.
So kann mit hoher Zuverlässigkeit
die Vertraulichkeit der auf das Abhören bezogenen Information gewährleistet
werden. Da alle relevanten abhörgezogenen
Befehle zentral in dem Mediationspunkt gespeichert sind, kann das
System leicht zu geringen Kosten verwaltet werden. Die Hardware-
und Softwarekomponenten der Abhörfunktionen 18,
die in den einzelnen PSSPs 16 zu implementieren sind, sind
für alle
PSSPs die gleichen.
-
3 illustriert
das Verfahren, das in Fällen angewandt
wird, in denen der Benutzer, der sich in Schritt S1 angemeldet hat, überhaupt
nicht abgehört werden
soll. In dem Fall besteht die Antwort auf die Anfrage S2 in Schritt
S3' in einem Tarnbefehl,
der spezifiziert, daß der
Benutzer nicht abgehört
werden soll aber Tarnverkehr auf der verschlüsselten Leitung 32 erzeugt
werden soll, um die Tatsache zu verschleiern, daß der Benutzer nicht abgehört wird.
Dies wird es für
eine Person, die den Verkehr auf der Leitung 32 überwacht,
schwierig machen, aus dem auf dieser Leitung auftretenden Verkehr
irgendwelche Schlüsse über die
Identität
von legalen Abhörzielen
zu ziehen.
-
Der
Tarnverkehr kann von der Abhörfunktion des
PSSP 16 zufällig
erzeugt werden. In der in 3 gezeigten
Ausführungsform
wird dieser Verkehr jedoch ebenfalls durch die Ereignisse S4 und
S7 und durch das Eintreffen von Datenpaketen an den oder von dem
Benutzer an dem PSSP 16 ausgelöst. Wenn der Benutzer in Schritt
S4 eine Webseite aufgerufen hat, so löst dieses Ereignis somit verschlüsselten Tarnverkehr
in Schritt S5' aus.
Der Inhalt dieses Verkehrs wird jedoch sinnlos oder gescrambelt
und in jedem Fall anonymisiert sein, so daß die Aufsichtsinstitution
oder ein Beobachter keinerlei Kenntnisse über das tatsächliche
Ereignis S4 erhalten kann. Er kann am Mediationspunkt direkt bei
Empfang verworfen werden. Somit wird diese Art von Verkehr selbst in
Fällen
erlaubt sein, in denen das Abhören
des betreffenden Benutzers rechtlich verboten ist. Ähnlich werden
etwaige Paketereignisse an dem PSSP 16 verschlüsselten
Tarnverkehr in Schritt S6' auslösen, um
das Abhören
des Inhalts nachzuahmen. Natürlich kann
Tarnverkehr dieser Art auch im Fall der 3 erzeugt
werden, wenn der Abfangbefehlssatz abhörbezogene Information spezifiziert,
z. B. daß nur
Verbindungsdaten aber keine Inhalte abgehört werden sollen. Weiterhin
kann der Tarnbefehl, der in Schritt S3' gesendet wird, seinerseits sinnlose "Blinddaten" enthalten, damit
die Länge
dieses Befehls der Länge eines
echten Abfangbefehlssatzes ähnelt.
-
Wenn
sich in 3 der Benutzer in Schritt S7
abgemeldet hat, löst
dies einen verschlüsselten Tarn-Abschlußbefehl
in Schritt S8' aus,
der den Schritt S8 in 2 nachahmt. Da jedoch Identität des Benutzers
der LEA 28 oder einem Beobachter nicht bekannt ist, kann
auch aus dem Schritt S8' keine
bedeutungshaltige Information gewonnen werden.
-
Obgleich
das System zu einem Abhören
in Echtzeit in der Lage ist, kann es vorteilhaft sein, die Nachrichten
in den Schritten S5, S5' und
S8, S8' mit einer
zufälligen
Zeitverzögerung
zu senden, so daß der
Benutzer nicht durch Koinzidenz von Ereignissen S4 und S5 oder S7
und S8 identifiziert werden kann. Der genaue Zeitpunkt der Ereignisse
S4 und S7 kann in den verschlüsselten
Nachrichten in der Form eines Zeitstempels enthalten sein, wenn
der Benutzer ein legales Ziel ist.
-
Im
Vergleich der 2 und 3 ist zu
sehen, daß,
sofern nicht der Verschlüsselungscode
gebrochen wird, das Muster des Verkehrs auf der Leitung 32 für Benutzer,
die wirklich abgehört
werden, nicht von dem Muster für
Benutzer unterscheidbar ist, die nicht abgehört werden.
-
Da
der gesamte Verkehr auf der Leitung 32 verschlüsselt ist,
kann der Mediationspunkt 26 sogar außerhalb des internen Netzwerkes 14 des
Dienstanbieters liegen. Dies ist in 4 dargestellt,
wo der Mediationspunkt 26 innerhalb der Einrichtung der Aufsichtsinstitution 28 liegt.
In einigen Ländern
kann es jedoch verlangt sein, daß der Dienstanbieter die Kontrolle über den
Mediationspunkt 26 hat. In anderen Ländern kann gefordert sein,
daß der
Mediationspunkt in der Domäne
der Aufsichtsinstitution liegt, und in wieder anderen Ländern kann
es vorgeschrieben oder zumindest möglich sein, daß der Mediationspunkt
von einer dritten Partei betrieben wird, die durch Regierungsbehörden besonders
zertifiziert ist.
-
Der
Mediationspunkt 26 kann die Zielkennungen aller aktiven
Benutzer zusammen mit einer Kennung für mindestens einen PSSP speichern,
der für
den Zugang zu dem Netzwerk benutzt wird, und mit einer Kennung,
die dazu dient, die Benutzersitzung innerhalb dieses PSSP zu identifizieren,
so daß das
Abhören
eines neuen Ziels selbst dann eingerichtet werden kann, wenn der
Benutzer bereits aktiv ist, indem ein entsprechender Abfangbefehlssatz
gesendet wird. Ebenso kann das Abhören beendet werden oder der
Abfangbefehlssatz verändert
werden, während
der Benutzer aktiv bleibt.
-
4 zeigt
weiterhin ein Beispiel eines PSSP 16', bei dem die Abhörfunktion
(IF) 18 nicht in den PSSP integriert ist, sondern in einer
Einrichtung außerhalb
des PSSP implementiert und damit über eine geeignete Schnittstelle
verbunden ist.
-
Wie
in 5 gezeigt ist, kann die Funktion des Mediationspunktes 26 in
zwei hauptsächliche Funktionsblöcke unterteilt
werden, die als Abhör-Managementzentrum
(Intercept Management Center; IMC) 36 und Mediationseinrichtung
(Mediation Device; MD) 38 bezeichnet werden. Das IMC 36 ist
die Funktion, die die Benutzerkennung oder, allgemeiner, die Zielkennung
von der IIF 18 empfängt
und den Abhörbefehlssatz
IIS zurücksendet.
Die MD 38 ist die Einheit, die die verschlüsselten
Abhördaten
und/oder Blinddaten von der IIF 18 empfängt und die Übergabeschnittstelle
an ein Überwachungszentrum
(Monitoring Center; MC) 40 in der Aufsichtsinstitution 28 bildet.
Wenn die Leitung 30, die die MD 38 mit dem MC 28 verbindet,
nicht als sicher genug angesehen wird, so können die an das Überwachungszentrum 40 übergebenen
Daten immer noch Tarndaten enthalten, die von der IIF 18 erzeugt
wurden.
-
6 zeigt
eine modifizierte Ausführungsform,
bei der das Abhör-Managementzentrum 36 und die
Mediationseinrichtung 38 nicht in eine gemeinsame Einrichtung
(etwa den Mediationspunkt 26 in 5) integriert
sind, sondern als getrennte physikalische Einheiten ausgebildet
sind. In diesem Fall können
der PSSP 16, das IMC 36, die MD 38 und
das MC 40 von zwei, drei oder gar vier verschiedenen Rechtskörperschaften
betrieben werden.
-
Gemäß einer
nicht gezeigten Abwandlung könnte
die Mediationseinrichtung (MD) 38 auch mit dem Überwachungszentrum
(MC) 40 in der LEA 28 kombiniert sein.
-
7 bis 9 zeigen
unterschiedliche Anordnungen des Abhör-Managementzentrums (IMC) 36 in
Bezug auf den RADIUS Server 22 und den PSSP 16.
In 7 wirkt das IMC 36 als ein "Proxy-RADIUS Server". Das bedeutet, daß das IMC
für den
PSSP 16, der als RADIUS Klient arbeitet wie ein RADIUS
Server erscheint und das IMC zugleich gegenüber dem RADIUS Server 22 als
ein RADIUS Klient arbeitet. Der Verkehr zwischen diesen drei Einheiten
wird durch das RADIUS Protokoll reguliert.
-
In 8 ist
die Funktion des IMC in den RADIUS Server 22 eingebaut
worden. In 9 enthält die Leitung, die den RADIUS
Server 22 und den PSSP verbindet, eine Zapfstelle 42,
die in der Lage ist, RADIUS Nachrichten abzufangen und zu manipulieren.
RADIUS Antwortnachrichten von dem RADIUS Server 22 an den
PSSP 16 werden von der Zapfstelle 42 manipuliert,
indem entweder ein Abfangbefehlssatz manipuliert wird, der bereits
in der RADIUS Nachricht enthalten ist, oder indem ein neuer Abfangbefehlssatz
unter der Steuerung durch das IMC 36 eingefügt wird.
Die Zapfstelle 42 kann z. B. durch eine Netzvermittlungsstelle "ALTEON" (Warenzeichen) gebildet
werden, die von Nortel Networks Limited angeboten wird.
-
10 illustriert
eine weitere Ausführungsform
des Verfahrens zum Verschleiern des Verkehrs zwischen der IIF 18 und
der Mediationseinrichtung (MD2) 38 und gegebenenfalls zwischen
der MD 38 und dem MC 40. Hier besteht der Verkehr
aus einem fortlaufenden Strom von verschlüsselten "Tarnpaketen" 44 von einer festen Größe, die
konstant von dem Abfangpunkt (PSSP 16) an die Mediationseinrichtung übermittelt
werden, unabhängig
davon, ob oder nicht oder wieviel echter Abhörverkehr von dem PSSP erzeugt
wird. Wenn überhaupt
kein Abhörverkehr
stattfindet, bestehen die Tarnpakete 44 nur aus Blinddaten.
Wenn umgekehrt das Volumen des echten Abhörverkehrs die Kapazitätsgrenze
des kontinuierlichen Stroms der Tarnpakete 44 erreicht,
so sind diese Pakete nahezu vollständig mit abgehörten Daten
gefüllt.
-
Die
oberste Zeile in 10 illustriert ein abgehörtes Datenpaket,
das an die Mediationseinrichtung 38 übermittelt werden soll und
im gezeigten Beispiel ein Länge
hat, die größer ist
als die Transportkapazität
eines einzelnen Tarnpakets 44. Dann wird der Inhalt des
abgehörten
Pakets 48 auf eine hinreichende Anzahl von Tarnpaketen 44 (zwei
in diesem Beispiel) aufgeteilt, wie in der zweiten Zeile in 10 gezeigt
ist. Diese Zeile zeigt das Format von Transportpaketen 50, 52 und 54,
die durch Verschlüsselung
in die Tarnpakete 44 umgewandelt werden. Jedes Transportpaket
enthält
mindestens einen Fragmentkopf, der wenigstens ein Signifikanzbit 56 enthält. Wenn
dieses Bit auf "0" gesetzt ist, so
enthält der
Rest des Transportpakets nur Blindverkehr (64, 66).
Wenn dieses Bit auf "1" gesetzt ist, so
enthält
der Fragmentkopf auch eine Abhörkennung 57,
die die aktuelle Benutzersitzung des Ziels identifiziert, ein Länge-Feld 58 und
ein "Mehr"-Bit 60.
Auf den Kopf folgt – bei
Signifikanz – ein
Fragment-Lastabschnitt 62, der im Fall der Fragmentlast 62,
die in dem Transportpaket 50 enthalten ist, mit dem Maximum
des Lastabschnitts des Transportpakets folglich mit der maximalen
Transportkapazität
eines einzelnen Tarnpakets identisch ist. Im Fall des Transportpakets 50 ist
der Lastabschnitt 62 zu seiner vollen Kapazität mit einem
ersten Fragment 48a des abgehörten Pakets 48 gefüllt. Das
Signifikanzbit 56 gibt an, daß der Inhalt des Lastabschnitts 62 signifikant
ist, d. h. echte Abhördaten
repräsentiert.
Das "Mehr"-Bit 60 gibt
an, daß eine
Fragmentierung stattgefunden hat und daß der nachfolgende Fragment-Lastabschnitt 62 nur
ein Fragment des abgehörten
Pakets 48 enthält,
das im nächsten
Transportpaket 52 fortgesetzt werden wird. Wenn die abgehörten Pakete
und/oder ein Anfangsfragment eines Pakets 48 relativ kurz
sind, ist es möglich,
daß zwei
oder mehr abgehörte
Pakete in mehreren Fragment-Lastabschnitten 62 enthalten sind,
die in einem einzigen Transportpaket enthalten sind. Dann hat jedes
Datenpaket oder Fragment seinen eigenen Fragmentkopf, da ein einzelner
Fragment-Lastabschnitt 62 auch ein vollständiges Paket tragen
kann, wenn dieses kurz genug ist. Das Länge-Feld 58 des Fragmentkopfes
gibt die Länge
des betreffenden Fragment-Lastabschnitts 62 an.
-
In
dem Transportpaket 50 ist das Signifikanzbit 56 "1", weil der Lastabschnitt 62 das
erste Fragment des abgehörten
Pakets 48 trägt,
und das "Mehr"-Bit ist ebenfalls "1", weil ein weiteres Fragment 48b des
Pakets 48 in dem nächsten
Transportpaket 52 enthalten sein wird.
-
Im
Fall des Transportpakets 52 ist das Signifikanzbit 56 "1", aber ein "Mehr"-Bit 63 ist "0", weil dieses Transportpaket den gesamten
Rest des aktuell ab gehörten
Pakets 48 enthält.
Der Lastabschnitt 62 des Pakets 52 enthält das letzte
Fragment 48b des abgehörten
Pakets 48, und die Länge
dieses Fragments ist in einem Länge-Feld 61 angegeben. Auf
jeden Fragment-Lastabschnitt folgt unmittelbar ein nächster Fragmentkopf,
sofern das Fragment die Transportkapazität nicht vollständig ausgeschöpft hat.
Im Fall des Pakets 52 folgt ein weiterer Fragmentkopf,
der nur aus dem Signifikanzbild 56 (auf "0" gesetzt) besteht, was bedeutet, daß der Rest
des Transportpakets nicht signifikant ist und nur bedeutungslose
Blinddaten 64 trägt.
Anstelle der Blinddaten 64 könnten jedoch auch mehrere Fragmentabschnitte 62 folgen,
die kurze volle Pakete tragen, und der letzte Fragmentabschnitt
könnte
ein Anfangsfragment eines größeren Pakets
tragen, das nicht vollständig
in den Rest des Transportpakets 52 paßt.
-
Da
in dem vorliegenden Beispiel keine weiteren abgehörten Pakete übermittelt
zu werden brauchen, hat das nächste
Transportpaket 54 einen Kopf, der nur aus dem Signifikanzbit 56 mit
dem Wert "0" besteht, worauf
folglich in diesem Fall ein nicht signifikanter Fragmentabschnitt 66 folgt.
-
Nachdem
die Transportpakete 50, 52, 54 verschlüsselt worden
sind, um die Tarnpakete 44 zu bilden, ist es einem Beobachter,
der eine Verkehrsanalyse vornimmt, nicht möglich zu entscheiden, ob echter
Abhörverkehr
stattfindet oder nicht.
-
Die
Länge und/oder Übertragungsfrequenz der
Tarnpakete 44 kann nach Maßgabe der Gesamt-Verkehrslast
auf dem Netzwerk variiert werden, um sicherzustellen, daß stets
genügend
Transportkapazität
für den
echten Abhörverkehr
verfügbar
ist.
-
Um
eine variable Länge
der Tarnpakete 44 zu ermöglichen, kann in einer modifizierten
Ausführungsform
das erste Signifikanzbit in einem Tarnpaket durch ein Signifikanzfeld
ersetzt werden, das das Signifikanzbit enthält, gefolgt von der gesamten
Länge des
Transportpakets (die implizit die Länge des Tarnpakets 44 definiert,
da abhängig
von dem verwendeten Verschlüsselungsalgorithmus
die Längen des
Transportpakets und des Tarnpakets normalerweise gleich sein werden).