[发明专利]用于在分组交换通信网络中过滤并且处理数据的方法

说明书

技术领域

本发明涉及用于在分组交换通信网络中、尤其是在无线通信网络中处理数据的方法，其中所述通信网络具有多个在其之间传送数据分组的网络节点。此外，本发明还涉及相应的通信网络以及相应的网络节点。

背景技术

为了保护分组交换通信网络中的网络节点以防不希望的或受操纵的数据分组，由现有技术已知：以合适的方式过滤数据分组，例如借助所谓的防火墙。防火墙为此分析所接收的数据分组的协议字段并且只有当协议字段的内容基于预先确定的准则被识别为允许的时，才例如进行数据分组的转发。

由现有技术还已知，对在分组交换数据网络中所传输的数据分组以密码方式进行保护，例如其方式是将数据分组中的有用数据用合适的密钥加密。这里，数据分组或头部字段的完整性可以通过密码的校验和在使用密码密钥的情况下被保护，其中仅仅数据分组利用有效的校验和来进一步处理。

由现有技术还已知所谓的侵入探测系统，其例如被使用在WLAN系统中，以便监控无线通信并且识别不希望的通信。

在分组交换通信网络中的通信范畴中，各个网络节点通常通过相应的地址例如OSI参考模型的层2中的MAC地址或层3中的IP地址来识别。但是，也已知如下方案，其中在WLAN网络中基于所谓的WLAN指纹识别来识别发送节点。这里，发送节点可以基于发送节点的物理传输信号的所测量的特性被识别。尤其是，在接通发送节点时出现的瞬态被评估。但是用于分析瞬态的测量耗费是显著的并且并不总能实现发送节点的可靠识别。

用于过滤或者用于保护数据分组的已知方法基于如下原则：被包含在数据分组中的信息被分析或者加密。但是在确定的情景中值得期望的是，也借助其他准则作为被包含在数据分组中的信息来探测未经授权的操纵，例如当在没有密码保障的通信范畴中传送密码密钥时。

发明内容

因此，本发明的任务是，实现一种用于在分组交换通信网络中处理数据的方法，其中数据分组不仅仅基于被包含在数据分组中的信息被分析。

该任务通过按照权利要求1的方法或者按照权利要求18的分组交换通信网络或者按照权利要求19的网络节点来解决。本发明的改进方案在从属权利要求中被定义。

本发明的方法用于在分组交换通信网络中、尤其是在无线通信网络中处理数据，其中所述通信网络具有在其之间传送数据分组的多个网络节点。在该方法的范畴中，从一个或者多个在通信网络的一个或多个网络节点中接收的数据分组中至少部分地提取被包含在其中的信息。此外，所述一个或多个所接收的数据分组的一个或多个物理传输参数被确定，其中所述一个或多个物理传输参数详细说明所述一个或多个接收的数据分组的物理传输的一个或多个特性或者与其相关。所述物理传输参数的概念在本发明的意义上应被广义地理解并且可以包括任意的、与数据分组的传输相关联的参数、尤其是也包括涉及数据分组的发送和涉及接收的参数，其中物理传输参数也可以被设计为使得其仅仅间接涉及物理传输的特性。

在本发明方法的范畴中，所述一个或多个所接收的数据分组基于规则组（也即所述规则组包括一个或多个规则）被过滤并且根据该过滤被进一步处理，其中该规则组考虑所提取的信息的至少一部分和所述一个或多个所接收的数据分组的所述一个或多个确定的物理传输参数的至少一部分。过滤的概念在本发明意义上应被广义地理解并且尤其包括数据分组的每种类型的合适的规范或者分类，其中根据该规范或分类执行数据分组的相应的进一步处理。

本发明方法的特征在于，在过滤数据分组时除了在数据分组中包含的信息之外也使用物理传输参数。与开始部分所述的WLAN指纹识别不同，这里不试图基于网络节点的传输特性来识别网络节点，而是在使用物理传输参数的情况下过滤数据分组，以便例如确定是否多个相继的数据分组的传输参数是可信的。例如可以基于可信性检验来确定，所接收的数据分组是否来自同一发送节点。这尤其可以由此导出，相继的数据分组的确定的传输参数是保持恒定还是具有较强的偏差。如果这样的较强的偏差应该出现，那么所接收的数据分组可以例如被丢弃。同样，在较强的偏差的情况下，例如用于配置密码密钥的自动设立过程被中止，只要通过所述数据分组来执行这样的设立过程的话。

在本发明的方法的优选的实施方式中，从数据分组中提取的信息包括一个或多个如下信息：

－源网络节点的一个或多个地址和/或端口号，其中所述一个或多个所接收的数据分组来自所述源网络节点，和/或目标网络节点的一个或多个地址和/或端口号，其中所述一个或多个接收的数据分组针对所述目标网络节点被确定；