WO2001028207A1 - Method for preventing un-authorized access to a network - Google Patents

Method for preventing un-authorized access to a network Download PDF

Info

Publication number
WO2001028207A1
WO2001028207A1 PCT/EP2000/010061 EP0010061W WO0128207A1 WO 2001028207 A1 WO2001028207 A1 WO 2001028207A1 EP 0010061 W EP0010061 W EP 0010061W WO 0128207 A1 WO0128207 A1 WO 0128207A1
Authority
WO
WIPO (PCT)
Prior art keywords
network node
connection
request
network
authorization code
Prior art date
Application number
PCT/EP2000/010061
Other languages
German (de)
French (fr)
Inventor
Andrea Demmel
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to DE10083125T priority Critical patent/DE10083125D2/en
Publication of WO2001028207A1 publication Critical patent/WO2001028207A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/38Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections
    • H04M3/382Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections using authorisation codes or passwords

Definitions

  • authorization codes are used to restrict access to a network (e.g. telecommunications network, computer network, etc.) to an authorized group of users, it must be prevented that an unauthorized person finds a valid authorization code by trying out possible codes.
  • a network e.g. telecommunications network, computer network, etc.
  • Blocking the user due to repeated incorrect entry of the authorization code cannot be saved in an existing user entry. It is also not possible to save a counter for the number of failed attempts.
  • Access attempts with an invalid authorization code are recorded in a log file.
  • the operator can recognize from the accumulation of unauthorized access attempts that codes have been tried. However, trying out a large number of codes and misusing a found authorization code is not prevented.
  • the 'Single Digit Difference' (SDD) method recognizes the entry of several invalid codes that differ in exactly one digit. If a certain number of such codes is determined within a certain time, an alarm printout is initiated on the control console. The operator is informed earlier than with the above procedure, but the other disadvantages remain.
  • the mechanism can also be circumvented by trying codes in an irregular sequence.
  • the invention has for its object to overcome the disadvantages mentioned.
  • the stated object is achieved by a method according to claim 1 or a service network node according to claim 5 or 6.
  • the invention is explained in more detail below with the aid of the drawing, the drawing comprising two figures.
  • the invention makes it possible to automatically block a (network) connection for a service or a network for the access of which an authorization code is used, if after several requests to the service or network for which invalid authorization codes have been found misuse is recognized.
  • the solution according to the invention represents effective protection and is independent of the presence of an operator.
  • the invention frees itself from the usual protection of an object (e.g. UserID) by locking the object against further access attempts. As a result, cases can be solved with the invention in which such an object is not present.
  • the mechanism according to the invention starts at the 'other end', namely at the person accessing it himself.
  • the solution according to the invention can be usefully applied whenever there is no clear user identification (e.g. UserID, chip card) stored in the service network node, the sending point of the
  • Authorization codes can be determined based on a clear, non-manipulable feature.
  • the sequence according to the invention is explained in more detail below with reference to FIGS. 1 and 2, a telecommunications network being used as an example and considering a request for a service of the telecommunications network becomes.
  • the network node responsible for the provision of services which is also referred to below as the service network node, is independent of the switching center to which the subscriber who requests the service is connected. For example, it belongs to the network of another operator.
  • a request from a subscriber (user) for a service of the telecommunications network is initially received by the network node that manages the connection used by the subscriber for the request.
  • This network node is also referred to below as a connection network node (or as a connection switching center in a telecommunications network or connection server in a computer network).
  • the switching component of the connection network node transmits the request to said service network node.
  • the service network node (more precisely the switching technology component of the service network node) then requests from the via the connection network node
  • the requested authorization code is then transmitted to the service network node via the connection network node.
  • an identifier of the above is also mentioned
  • Connection here e.g. the phone number, transmitted to the service node.
  • the number can be transmitted, for example, together with the service request or with the transmission of the authorization code or separately.
  • the switching technology of the service network node then first checks whether there is a block for the number transmitted as an identifier. If there is a block, it terminates the service request (triggering the call). If there is no blocking, the
  • Switching technology using a service access device the validity of the transmitted authorization code. If the switching technology detects an invalid authorization code, it informs a fraud prevention component (hereinafter referred to as FP process) and terminates the service request.
  • FP process a fraud prevention component
  • the FP process is decoupled (as an independent process) from the switching technology in order not to burden its dynamic behavior.
  • the FP process comprises a table (FP table for short, see FIG. 2) in which it writes an entry for each invalid authorization code, the entry containing the invalid one
  • Authorization code which includes the number of the calling connection (A number), date, time and the number called.
  • the table is then searched for entries with the same A number. If entries with the same A number are found, the type of repeated is used
  • Occurrence of such entries evaluates whether the A number is blocked for further connection attempts to the operator concerned or not.
  • a particularly simple assessment of the type of chronological succession of such entries is e.g. in counting the number of such entries that are within a given period of time. If a number of such entries is found which corresponds to a predetermined threshold value or exceeds it, the A number is blocked for further connection attempts to the service or to the operator network concerned.
  • the above-mentioned blocking occurs by entry in a blocking table (see FIG. 1 or 2), in which the switching technology searches for the A number with every connection attempt.
  • a connection attempt whose A number is found in the lock table, is rejected.
  • the organization of the lock table as a (number) tree enables favorable dynamic behavior. The operator is notified of a block and can be released with a command.
  • the lock table is semi-permanent trained so that blockings made survive all types of recovery measures in the network node.

Abstract

The invention enables automatic prevention of access to a network connection for a service or a network requiring an access authorization code when a non-valid authorization code is determined after several demands on the service or network have been made, thereby facilitating recognition of an un-authorized access attempt.

Description

Beschreibungdescription
Verfahren zur Verhinderung eines mißbräuchlichen Zugangs zu einem NetzProcedure for preventing improper access to a network
Wenn Authorisierungscodes verwendet werden, um den Zugang zu einem Netz (z.B. Telekommunikationsnetz, Rechnernetz, usw.) auf einen berechtigten Benutzerkreis zu beschränken, so muß verhindert werden, daß eine nicht berechtigte Person durch Ausprobieren möglicher Codes einen gültigen Authorisierungscode findet.If authorization codes are used to restrict access to a network (e.g. telecommunications network, computer network, etc.) to an authorized group of users, it must be prevented that an unauthorized person finds a valid authorization code by trying out possible codes.
Wenn der Authorisierungscode gleichzeitig zur Identifizierung des Benutzers dient oder keine Identifikation stattfindet, also keine gesonderte UserlD vorhanden ist, kann eineIf the authorization code is used to identify the user at the same time or if no identification takes place, i.e. no separate user ID is available, a
Sperrung des Benutzers wegen mehrmaliger Fehleingabe des Authorisierungscodes nicht in einem bestehenden Benutzereintrag gespeichert werden. Das Speichern eines Zählers für die Anzahl der Fehlversuche ist ebenfalls nicht möglich.Blocking the user due to repeated incorrect entry of the authorization code cannot be saved in an existing user entry. It is also not possible to save a counter for the number of failed attempts.
Die genannten Umstände liegen z.B. dann vor, wenn sich Kunden eines Betreibers eines Telekommunikationsnetzes beispielsweise mithilfe des Dienstes Travel Service' über einen beliebigen Telefonanschluß bei ihrem Betreiber einwählen, ihr persönliches Profil nutzen und die Gebühren über ihr Kundenkonto abrechnen können. Der Benutzer identifiziert sich dabei mit seinem Authorisierungscode. Eine nicht berechtigte Person, der es gelingt, einen Authorisierungscode herauszufinden, kann die Dienste desThe circumstances mentioned are e.g. then, when customers of an operator of a telecommunications network, for example using the Travel Service service, can dial in to their operator via any telephone connection, use their personal profile and can charge the fees via their customer account. The user identifies himself with his authorization code. An unauthorized person who can find out an authorization code can use the services of
Betreibers auf Kosten des Inhabers des Authorisierungscodes nutzen.Use operator at the expense of the holder of the authorization code.
Weitere Mißbrauchsmöglichkeiten, z.B. bei Einwahl in einOther possibilities of abuse, e.g. when dialing into a
Rechnersystem über Modem, sind denkbar. Im folgenden werden die derzeit angewendeten Mechanismen beschrieben.Computer system via modem are conceivable. The mechanisms currently used are described below.
a) Zugriffsversuche mit ungültigem Authorisierungscode werden in einer Protokolldatei festgehalten. Der Betreiber kann bei der Auswertung der Datei an der Häufung unberechtigter Zugangsversuche erkennen, daß Codes durchprobiert wurden. Das Ausprobieren einer großen Zahl von Codes sowie der Mißbrauch eines gefundenen Authorisierungscodes wird jedoch nicht verhindert.a) Access attempts with an invalid authorization code are recorded in a log file. When evaluating the file, the operator can recognize from the accumulation of unauthorized access attempts that codes have been tried. However, trying out a large number of codes and misusing a found authorization code is not prevented.
b) Die 'Single Digit Difference' (SDD) Methode erkennt die Eingabe mehrerer ungültiger Codes, die sich in genau einer Ziffer unterscheiden. Wird eine bestimmte Anzahl solcher Codes in einer bestimmten Zeit festgestellt, so wird ein Alarmausdruck an der Bedienkonsole veranlaßt. Der Betreiber wird zwar früher informiert, als bei obigem Verfahren, die übrigen Nachteile bleiben jedoch bestehen. Außerdem kann der Mechanismus umgangen werden, indem Codes in unregelmäßiger Folge probiert werden.b) The 'Single Digit Difference' (SDD) method recognizes the entry of several invalid codes that differ in exactly one digit. If a certain number of such codes is determined within a certain time, an alarm printout is initiated on the control console. The operator is informed earlier than with the above procedure, but the other disadvantages remain. The mechanism can also be circumvented by trying codes in an irregular sequence.
c) Bei Erkennen eines ungültigen Authorisierungscodes wird sofort ein Operator eingeschaltet. Dieses Verfahren bietet zwar ein hohes Maß an Sicherheit, ist jedoch personalaufwendig und erfordert, daß die Vermittlungsstelle 24 Stunden täglich besetzt ist.c) If an invalid authorization code is recognized, an operator is immediately switched on. Although this method offers a high level of security, it is labor intensive and requires that the exchange be manned 24 hours a day.
Der Erfindung liegt die Aufgabe zugrunde, die genannten Nachteile zu überwinden.The invention has for its object to overcome the disadvantages mentioned.
Die genannte Aufgabe wird durch ein Verfahren gemäß Anspruch 1 bzw. einen Dienst-Netzknoten gemäß Anspruch 5 oder 6 gelöst.The stated object is achieved by a method according to claim 1 or a service network node according to claim 5 or 6.
Im folgenden wird die Erfindung mithilfe der Zeichnung näher erläutert, wobei die Zeichnung zwei Figuren umfaßt. Die Erfindung ermöglicht es, einen (Netz-) Anschluß automatisch für einen Dienst bzw. ein Netz, für dessen Zugang ein Authorisierungscode verwendet wird, zu sperren, wenn nach mehreren Anforderungen zu dem Dienst bzw. Netz, bei denen ungültige Authorisierungscodes festgestellt wurden, auf eine mißbräuchliche Nutzung erkannt wird.The invention is explained in more detail below with the aid of the drawing, the drawing comprising two figures. The invention makes it possible to automatically block a (network) connection for a service or a network for the access of which an authorization code is used, if after several requests to the service or network for which invalid authorization codes have been found misuse is recognized.
Dies geschieht mithilfe eines dem Dienst-Netzknoten bzw. Zugangs-Netzknoten mitgeteilten Merkmals bzw. Kennzeichens des rufenden Anschlusses (z.B. mithilfe der bei jedem Ruf übermittelten Rufnummer des Anschlusses) , über das auf denselben Anschluß erkannt werden kann.This is done with the aid of a feature or identifier of the calling connection communicated to the service network node or access network node (e.g. using the connection number transmitted for each call), which can be used to identify the same connection.
Es ist für einen böswilligen Teilnehmer somit nicht mehr möglich, eine große Anzahl von Codes zu probieren, um einen gültigen Authorisierungscode zu finden. Im Gegensatz zu den oben genannten Methoden a) und b) stellt die erfindungsgemäße Lösung einen wirksamen Schutz dar und ist unabhängig von der Anwesenheit eines Operators.It is therefore no longer possible for a malicious participant to try a large number of codes in order to find a valid authorization code. In contrast to the methods a) and b) mentioned above, the solution according to the invention represents effective protection and is independent of the presence of an operator.
Die Erfindung löst sich von dem üblichen Schutz eines Objektes (z.B. UserlD) durch Sperren des Objektes gegen weitere Zugriffsversuche. Dadurch können mit der Erfindung Fälle gelöst werden, in denen ein solches Objekt nicht vorhanden ist. Der erfindungsgemäße Mechanismus setzt hierzu am 'anderen Ende', nämlich beim Zugreifenden selbst an. Prinzipiell ist die erfindungsgemäße Lösung immer dann sinnvoll anwendbar, wenn keine eindeutige in dem Dienst- Netzknoten gespeicherte Benutzeridentifikation (z.B. UserlD, Chipkarte) vorliegt, die absendende Stelle desThe invention frees itself from the usual protection of an object (e.g. UserID) by locking the object against further access attempts. As a result, cases can be solved with the invention in which such an object is not present. For this purpose, the mechanism according to the invention starts at the 'other end', namely at the person accessing it himself. In principle, the solution according to the invention can be usefully applied whenever there is no clear user identification (e.g. UserID, chip card) stored in the service network node, the sending point of the
Authorisierungscodes jedoch aufgrund eines eindeutigen, nicht manipulierbaren Merkmals festgestellt werden kann.Authorization codes, however, can be determined based on a clear, non-manipulable feature.
Im folgenden wird der erfindungsgemäße Ablauf anhand der Figuren 1 und 2 näher erläutert, wobei beispielhaft von einem Telekommunikationsnetz ausgeggangen wird und eine Anforderung nach einem Dienst des Telekommunikationsnetzes betrachtet wird. Der für die Diensterbringung zuständige Netzknoten, der im weiteren auch als Dienst-Netzknoten bezeichnet wird, ist dabei unabhängig von der Vermittlungsstelle, an der der Teilnehmer angeschlossen ist, der den Dienst anfordert. Er gehört bspw. zum Netz eines anderen Betreibers.The sequence according to the invention is explained in more detail below with reference to FIGS. 1 and 2, a telecommunications network being used as an example and considering a request for a service of the telecommunications network becomes. The network node responsible for the provision of services, which is also referred to below as the service network node, is independent of the switching center to which the subscriber who requests the service is connected. For example, it belongs to the network of another operator.
Eine Anforderung eines Teilnehmers (Benutzers) nach einem Dienst des Telekommunikationsnetzes wird zunächst von demjenigen Netzknoten entgegengenommen, der den von dem Teilnehmer zu der Anforderung verwendeten Anschluß verwaltet. Dieser Netzknoten wird im folgenden auch als Anschluß- Netzknoten (oder als Anschlußvermittlungsstelle bei einem Telekommunikationsnetz bzw. Anschluß-Server bei einem Rechnernetz) bezeichnet.A request from a subscriber (user) for a service of the telecommunications network is initially received by the network node that manages the connection used by the subscriber for the request. This network node is also referred to below as a connection network node (or as a connection switching center in a telecommunications network or connection server in a computer network).
Die Vermittlungskomponente des Anschluß-Netzknotens übermittelt die Anforderung zu dem genannten Dienst- Netzknoten. Der Dienst-Netzknoten (genauer gesagt die Vermittlungstechnik-Komponente des Dienst-Netzknotens) fordert daraufhin über den Anschluß-Netzknoten von demThe switching component of the connection network node transmits the request to said service network node. The service network node (more precisely the switching technology component of the service network node) then requests from the via the connection network node
Teilnehmer einen Authorisierungscode an. Der angeforderte Authorisierungscode wird daraufhin über den Anschluß- Netzknoten an den Dienst-Netzknoten übermittelt. Im Rahmen dieser Kommunikation zwischen Anschluß-Netzknoten und Dienst- Netzknoten wird auch ein Kennzeichen des genanntenAn authorization code. The requested authorization code is then transmitted to the service network node via the connection network node. In the context of this communication between the connection network node and the service network node, an identifier of the above is also mentioned
Anschlusses, hier z.B. die Rufnummer, zum Dienst-Netzknoten übertragen. Die Übertragung der Rufnummer kann bspw. zusammen mit der Dienstanforderung oder mit der Übertragung des Authorisierungscodes oder separat erfolgen.Connection, here e.g. the phone number, transmitted to the service node. The number can be transmitted, for example, together with the service request or with the transmission of the authorization code or separately.
Die Vermittlungstechnik des Dienst-Netzknotens prüft daraufhin zunächst, ob für die als Kennzeichen übermittelte Rufnummer eine Sperrung vorliegt. Liegt eine Sperrung vor, so terminiert sie die Dienst-Anforderung (Auslösen des Calls) . Wenn keine Sperrung vorliegt, überprüft dieThe switching technology of the service network node then first checks whether there is a block for the number transmitted as an identifier. If there is a block, it terminates the service request (triggering the call). If there is no blocking, the
Vermittlungstechnik mithilfe einer Dienstzugangseinrichtung die Gültigkeit des übermittelten Authorisierungscodes. Erkennt die Vermittlungstechnik dabei auf einen ungültigen Authorisierungscode, informiert sie eine Fraud-Prevention- Komponente (im folgenden kurz FP-Prozeß genannt) und terminiert die Dienst-Anforderung. Der FP-Prozeß ist (als eigenständiger Prozeß) von der Vermittlungstechnik entkoppelt, um deren dynamisches Verhalten nicht zu belasten.Switching technology using a service access device the validity of the transmitted authorization code. If the switching technology detects an invalid authorization code, it informs a fraud prevention component (hereinafter referred to as FP process) and terminates the service request. The FP process is decoupled (as an independent process) from the switching technology in order not to burden its dynamic behavior.
Der FP-Prozeß umfaßt eine Tabelle (kurz FP-Tabelle, siehe FIG 2), in die er für jeden ungültigen Authorisierungscode einen Eintrag schreibt, wobei der Eintrag den ungültigenThe FP process comprises a table (FP table for short, see FIG. 2) in which it writes an entry for each invalid authorization code, the entry containing the invalid one
Authorisierungscode, die Rufnummer des rufenden Anschlusses (A-Nummer), Datum, Uhrzeit und die gerufene Nummer umfaßt. Anschließend wird die Tabelle nach Einträgen mit der gleichen A-Nummer durchsucht. Werden dabei Einträge mit der gleichen A-Nummer gefunden, wird nach der Art des mehrmaligenAuthorization code, which includes the number of the calling connection (A number), date, time and the number called. The table is then searched for entries with the same A number. If entries with the same A number are found, the type of repeated is used
Auftretens solcher Einträge (z.B. nach der Art der zeitlichen Aufeinanderfolge solcher Einträge) bewertet, ob die A-Nummer für weitere Verbindungsversuche zu dem betroffenen Betreiber gesperrt wird oder nicht. Eine besonders einfache Bewertung der Art der zeitlichen Aufeinanderfolge solcher Einträge besteht z.B. darin, die Anzahl solcher Einträge, die innerhalb einer vorgegebenen Zeitspanne liegen, zu zählen. Wird eine Anzahl solcher Einträge gefunden, die einem vorgegebenen Schwellwert entspricht bzw. ihn überschreitet, dann wird die A-Nummer für weitere Verbindungsversuche zu dem Dienst bzw. zu dem betroffenen Betreiber-Netz gesperrt.Occurrence of such entries (e.g. according to the type of chronological succession of such entries) evaluates whether the A number is blocked for further connection attempts to the operator concerned or not. A particularly simple assessment of the type of chronological succession of such entries is e.g. in counting the number of such entries that are within a given period of time. If a number of such entries is found which corresponds to a predetermined threshold value or exceeds it, the A number is blocked for further connection attempts to the service or to the operator network concerned.
Das genannte Sperren geschieht durch Eintrag in eine Sperrtabelle (siehe Figur 1 oder 2) , in der die Vermittlungstechnik bei jedem Verbindungsversuch nach der A- Nummer sucht. Ein Verbindungsversuch, dessen A-Nummer in der Sperrtabelle gefunden wird, wird abgewiesen. Die Organisation der Sperrtabelle als (Ziffern-) Baum ermöglicht ein günstiges dynamisches Verhalten. Eine erfolgte Sperrung wird dem Betreiber gemeldet und kann mit einem Kommando wieder aufgehoben werden. Die Sperrtabelle ist semipermanent ausgebildet, so daß erfolgte Sperrungen alle Arten von Recovery-Maßnahmen in dem Netzknoten überleben. The above-mentioned blocking occurs by entry in a blocking table (see FIG. 1 or 2), in which the switching technology searches for the A number with every connection attempt. A connection attempt, whose A number is found in the lock table, is rejected. The organization of the lock table as a (number) tree enables favorable dynamic behavior. The operator is notified of a block and can be released with a command. The lock table is semi-permanent trained so that blockings made survive all types of recovery measures in the network node.

Claims

Patentansprüche claims
1. Verfahren zur Verhinderung eines mißbräuchlichen Zugangs zu einem Netz, demgemäß - von einem Netzknoten bei Empfang einer Dienst-Anforderung bzw. Netzzugangs-Anforderung, die von einem beliebigen (Netz-) Anschluß stammt, ein Authorisierungscode von dem Anschluß-Netzknoten, der diesen Anschluß verwaltet, angefordert wird, - im Rahmen der diesbezüglichen Kommunikation zwischen dem Netzknoten und dem Anschluß-Netzknoten auch ein Kennzeichen (z.B. Rufnummer) des für die Anforderung verwendeten Anschlusses an den Netzknoten übermittelt wird, - von dem Netzknoten die Gültigkeit des übermittelten1. A method for preventing improper access to a network, accordingly - from a network node on receipt of a service request or network access request originating from any (network) connection, an authorization code from the connection network node which is the latter Connection is managed, requested, - within the framework of the relevant communication between the network node and the connection network node, an identifier (eg telephone number) of the connection used for the request is also transmitted to the network node, - the validity of the transmitted is transmitted by the network node
Authorisierungscodes geprüft wird, wenn für das Anschluß- Kennzeichen keine Sperrung vorliegt,Authorization code is checked if there is no blocking for the connection identifier,
- die Anforderung abgewiesen und das Anschluß-Kennzeichen in einem Speichermittel (FP-Tabelle) abgespeichert wird, wenn die genannte Prüfung die Ungültigkeit des Authorisierungscodes ergibt,the request is rejected and the connection identifier is stored in a memory means (FP table) if the said check reveals that the authorization code is invalid,
- das Speichermittel nach bereits vorhandenen Einträgen mit dem gleichen Anschluß-Kennzeichen durchsucht wird,the storage medium is searched for already existing entries with the same connection identifier,
- der Anschluß mithilfe des Anschluß-Kennzeichens für weitere Zugangssversuche zu dem Dienst bzw. dem Netz gesperrt wird, wenn nach einer Bewertung der Art des mehrfachen Auftretens solcher Einträge auf einen mißbräuchlichen Zugangsversuch erkannt wird.- The connection is blocked using the connection indicator for further attempts to access the service or the network, if after an assessment of the type of repeated occurrence of such entries, an improper access attempt is detected.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Art des Auftretens der genannten Einträge bewertet wird, indem überprüft wird, ob die Anzahl solcher Einträge innerhalb einer vorgegebenen Zeitspanne einen vorgegebenen Schwellwert erreicht bzw. überschreitet. 2. The method according to claim 1, characterized in that the type of occurrence of the said entries is evaluated by checking whether the number of such entries within a predetermined period of time reaches or exceeds a predetermined threshold.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß im Fall, daß aus dem Anschluß-Netzknoten im Verlauf des Dialogs kein Anschluß-Kennzeichen an den Netzknoten übermittelt wird3. The method according to claim 1 or 2, characterized in that in the event that no connection identifier is transmitted to the network node from the connection network node in the course of the dialog
- die Anforderung abgewiesen wird,- the request is rejected,
- bzw. der anfordernde Anschluß mit einem Operator verbunden wird,- or the requesting connection is connected to an operator,
- bzw. der Betreiber des Netzknotens einstellen kann, wie eine solche Anforderung behandelt werden soll.- or the operator of the network node can set how such a request should be handled.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß4. The method according to any one of claims 1 to 3, characterized in that
Einträge ungültiger Authorisierungscodes nicht aus dem genannten Speichermittel entfernt werden, sobald ein gültiger Authorisierungscode in Verbindung mit dem gleichen Anschluß- Kennzeichen festgestellt wird.Entries of invalid authorization codes are not removed from the mentioned storage means as soon as a valid authorization code is found in connection with the same connection identifier.
5. Netzknoten, der5. network node, the
- bei Empfang einer Anforderung eines Dientes oder eines Netzzugangs von dem anderen Netzknoten, von dem die- upon receipt of a request for service or network access from the other network node from which the
Anforderung stammt, einen Authorisierungscode anfordert, im Verlauf des Dialogs mit dem anderen Netzknoten von diesem auch ein Anschluß-Kennzeichen empfängt,Request originates, requests an authorization code, in the course of the dialogue with the other network node also receives a connection identifier from the latter,
- überprüft, ob der übermittelte Authorisierungscode gültig ist, wenn für das übermittelte Anschluß-Kennzeichen keine- Checks whether the transmitted authorization code is valid if none for the transmitted connection identifier
Sperrung vorliegt,Blocked,
- die Anforderung abweist und das übermittelte Anschluß- Kennzeichen in einem Speichermittel abspeichert, wenn die genannte Prüfung die Ungültigkeit des Authorisierungscodes ergibt,- rejects the request and stores the transmitted connection identifier in a storage means if the said check reveals the invalidation of the authorization code,
- das Speichermittel nach bereits vorhandenen Einträgen mit dem gleichen Anschluß-Kennzeichen durchsucht, - das Anschluß-Kennzeichen für weitere Verbindungsversuche zu dem Dienst bzw. Netz sperrt, wenn sie aufgrund einer Bewertung der Art des mehrfachen Auftretens solcher Einträge den Versuch eines mißbräuchlichen Zugangs feststellt.- searches the storage medium for existing entries with the same connection identifier, - Blocks the connection indicator for further attempts to connect to the service or network if, based on an assessment of the nature of the multiple occurrence of such entries, it detects an attempt at improper access.
6. Netzknoten, mit a) einer Vermittlungskomponente, die6. network node, with a) a switching component, the
- bei Empfang einer Anforderung einer Anforderung eines Dientes oder eines Netzzugangs von dem anderen Netzknoten, von dem die Anforderung stammt, einen Authorisierungscode anfordert,- upon receipt of a request for a service request or for network access from the other network node from which the request originates, requests an authorization code,
- im Verlauf der Kommunikation mit dem anderen Netzknoten von diesem auch ein Anschluß-Kennzeichen empfängt, - überprüft, ob der übermittelte Authorisierungscode gültig ist, wenn für das übermittelte Anschluß-Kennzeichen keine Sperrung vorliegt,- in the course of communication with the other network node also receives a connection identifier from the latter, - checks whether the transmitted authorization code is valid if there is no blocking for the transmitted connection identifier,
- die Anforderung zurückweist, wenn die genannte Prüfung die Ungültigkeit des Authorisierungscodes ergibt oder wenn bereits eine Sperrung vorliegt, b) einer Fraud-Prevention-Komponente, die- rejects the request if the said check reveals the invalidation of the authorization code or if there is already a block, b) a fraud prevention component that
- eine niedrigere Prozeßpriorität als die Vermittlungskomponente aufweist,- has a lower process priority than the switching component,
- das Anschluß-Kennzeichen des Anschlusses, über den der Dienst bzw. Netzzugang angefordert wird, von der- The connection identifier of the connection via which the service or network access is requested from the
Vermittlungskomponente erhält, wenn die genannte Prüfung die Ungültigkeit des Authorisierungscodes ergibt,Mediation component receives, if the said check reveals the invalidation of the authorization code,
- das erhaltene Anschluß-Kennzeichen in einem Speichermittel abspeichert, - das Speichermittel nach bereits vorhandenen Einträgen mit dem gleichen Anschluß-Kennzeichen durchsucht,stores the connection identifier received in a storage device, searches the storage device for existing entries with the same connection identifier,
- das Anschluß-Kennzeichen für weitere Verbindungsversuche zu dem Dienst bzw. Netz sperrt, wenn sie aufgrund einer Bewertung der Art des mehrfachen Auftretens solcher Einträge den Versuch eines mißbräuchlichen Zugangs feststellt. - Blocks the connection indicator for further attempts to connect to the service or network if, based on an assessment of the nature of the multiple occurrence of such entries, it detects an attempt at improper access.
7. Netzknoten nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, daß der Netzknoten die Art des Auftretens der genannten Einträge bewertet, indem er überprüft, ob die Anzahl solcher Einträge innerhalb einer vorgegebenen Zeitspanne einen vorgegebenen Schwellwert erreicht bzw. überschreitet.7. Network node according to one of claims 5 or 6, characterized in that the network node evaluates the type of occurrence of the said entries by checking whether the number of such entries reaches or exceeds a predetermined threshold value within a predetermined period of time.
8. Netzknoten nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, daß er das Sperren eines Anschluß-Kennzeichens durch Eintragen in eine Sperrtabelle bewirkt und die Sperrtabelle baumartig organisiert ist.8. Network node according to one of claims 5 to 7, characterized in that it causes the locking of a connection identifier by entering in a lock table and the lock table is organized tree-like.
9. Netzknoten nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, daß im Fall, daß aus dem anderen Netzknoten im Verlauf des9. Network node according to one of claims 5 to 8, characterized in that in the event that from the other network node in the course of
Dialogs kein Anschluß-Kennzeichen an den Netzknoten übermittelt wird, - die Anforderung abgewiesen wird,Dialog no connection identifier is transmitted to the network node, - the request is rejected,
- bzw. der anfordernde Anschluß mit einem Operator verbunden wird,- or the requesting connection is connected to an operator,
- bzw. der Betreiber des Netzknotens einstellen kann, wie eine solche Anforderung behandelt werden soll. - or the operator of the network node can set how such a request should be handled.
PCT/EP2000/010061 1999-10-12 2000-10-12 Method for preventing un-authorized access to a network WO2001028207A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10083125T DE10083125D2 (en) 1999-10-12 2000-10-12 Procedure for preventing improper access to a network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP99119949 1999-10-12
EP99119949.8 1999-10-12

Publications (1)

Publication Number Publication Date
WO2001028207A1 true WO2001028207A1 (en) 2001-04-19

Family

ID=8239142

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2000/010061 WO2001028207A1 (en) 1999-10-12 2000-10-12 Method for preventing un-authorized access to a network

Country Status (3)

Country Link
CN (1) CN1264322C (en)
DE (1) DE10083125D2 (en)
WO (1) WO2001028207A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101998575B (en) * 2009-08-24 2013-04-24 华为技术有限公司 Method, device and system for access control

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0451695A2 (en) * 1990-04-05 1991-10-16 Texas Instruments Incorporated Method and apparatus for securing access to telecommunications based assets and services
US5559505A (en) * 1992-05-20 1996-09-24 Lucent Technologies Inc. Security system providing lockout for invalid access attempts
WO1997016915A1 (en) * 1995-11-02 1997-05-09 Siemens Aktiengesellschaft Authentication system for a communication network
DE19612662A1 (en) * 1996-03-29 1997-10-02 Ulrich Dipl Ing Seng Method for checking the access authorization of an operator when accessing via a connection-oriented data network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0451695A2 (en) * 1990-04-05 1991-10-16 Texas Instruments Incorporated Method and apparatus for securing access to telecommunications based assets and services
US5559505A (en) * 1992-05-20 1996-09-24 Lucent Technologies Inc. Security system providing lockout for invalid access attempts
WO1997016915A1 (en) * 1995-11-02 1997-05-09 Siemens Aktiengesellschaft Authentication system for a communication network
DE19612662A1 (en) * 1996-03-29 1997-10-02 Ulrich Dipl Ing Seng Method for checking the access authorization of an operator when accessing via a connection-oriented data network

Also Published As

Publication number Publication date
DE10083125D2 (en) 2002-11-07
CN1378737A (en) 2002-11-06
CN1264322C (en) 2006-07-12

Similar Documents

Publication Publication Date Title
WO2004057824A1 (en) Automatic, connection-based terminal or user authentication in communication networks
EP1326470A2 (en) Method and device for authenticating a subscriber in a communications network
WO2005046196A1 (en) Method for the operation of a mobile part in a mobile radio network
EP1009150A2 (en) Telecommunications network with virus protection in the signalling channels
WO2002003668A1 (en) Control of access for telephone service providers by means of voice recognition
EP1311105B1 (en) Method to support the billing of services
WO2001028207A1 (en) Method for preventing un-authorized access to a network
WO1995035617A1 (en) Circuit arrangement to prevent unauthorised operations on a wired telephone system
DE60122989T2 (en) Method and device for data communication
EP0935870B1 (en) Authentication system for a communication network
EP0935869B1 (en) Method of rendering misuse of communication services more difficult
DE60107433T2 (en) Method and device for the coordination of telecommunications services
DE60026316T2 (en) SYSTEM AND METHOD FOR PROCESSING TELEPHONE CALLS
WO1997010683A1 (en) Operational environment system for communication network service applications
EP0933001B1 (en) Method and device for controlling access to mobile radio telephone networks
WO1998002991A1 (en) Key distribution process between two units in an isdn/internet connection
DE4323869C2 (en) Process for securing data traffic in complex telecommunication and data systems
DE2816093C2 (en) Method for the secure change of customer and program data in telecommunication systems, in particular telephone systems, from a central administration point
DE19646266C2 (en) Procedures to protect against forced or involuntary authorization for an IT transaction
EP0634852A2 (en) Method of remote interrogation of access authorisation for subscriber equipment
DE10047177A1 (en) Authentication method for a telecommunications subscriber and telecommunications system
EP2299394A1 (en) Discount processing method
EP1011251B1 (en) Method for error checking and evaluation of messages by members of an operator service and corresponding equipped switch
DE10321122A1 (en) Network-based security of value-added services against automated connections
DE19821566C2 (en) Method and device for monitoring and securing public telephone systems

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): CN DE US

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 008141207

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 10110548

Country of ref document: US

122 Ep: pct application non-entry in european phase