DE19983405B4 - System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem - Google Patents

System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem Download PDF

Info

Publication number
DE19983405B4
DE19983405B4 DE19983405T DE19983405T DE19983405B4 DE 19983405 B4 DE19983405 B4 DE 19983405B4 DE 19983405 T DE19983405 T DE 19983405T DE 19983405 T DE19983405 T DE 19983405T DE 19983405 B4 DE19983405 B4 DE 19983405B4
Authority
DE
Germany
Prior art keywords
network
subscriber
mobile communication
authentication
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19983405T
Other languages
English (en)
Other versions
DE19983405T1 (de
Inventor
Jan-Erik Ekberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Networks Oy filed Critical Nokia Networks Oy
Publication of DE19983405T1 publication Critical patent/DE19983405T1/de
Application granted granted Critical
Publication of DE19983405B4 publication Critical patent/DE19983405B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

Verfahren zum Authentifizieren der Identität eines Teilnehmers, der einem von einem mobilen Kommunikationssystem separaten IP-Netzwerk angegliedert ist, gekennzeichnet durch Empfangen, wenn sich ein Endgerät (TE1) dem IP-Netzwerk angliedert, wobei das Endgerät (TE1) ein Teilnehmeridentitätsmodul (SIM) von der gleichen Art wie in dem mobilen Kommunikationssystem (MN) aufweist, einer Nachricht von einem neuen Teilnehmer an einem speziellen Sicherheitsserver (SS), der an das IP-Netzwerk angeschlossen ist und Zugriff auf das mobile Kommunikationssystem hat, Auslesen von dem neuen Teilnehmer entsprechenden Teilnehmerauthentifikationsinformationen aus dem mobilen Kommunikationssystem zu dem Sicherheitsserver (SS), wobei die Authentifikationsinformationen zumindest eine Authentifikationsabfrage und eine Antwort enthalten, und Durchführen einer Authentifikation beruhend auf den aus dem mobilen Kommunikationssystem erhaltenen Authentifikationsinformationen durch Übertragen der Authentifikationsabfrage zu dem Endgerät (TE1) über das IP-Netzwerk, durch Empfangen einer Antwort, die als Ergebnis der dem Teilnehmeridentitätsmodul (SIM) als Eingabe zugeführten Authentifikationsabfrage erhalten wird, vom dem Endgerät (TE1) über das IP-Netzwerk, sowie durch Vergleichen...

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft eine Authentifikation in einem Telekommunikationsnetzwerk, insbesondere in einem IP-Netzwerk (IP = Internet-Protokoll), und ebenso Verbesserungen der Datensicherheitsmerkmale des Netzwerks mit Hilfe der durchgeführten Authentifikation. Unter ”Authentifikation” ist die Verifikation der Identität der Partei wie beispielsweise dem Teilnehmer zu verstehen, die bzw. der Daten erzeugt hat. Unter Verwendung der Authentifikation ist es ebenfalls möglich, die Integrität und Vertraulichkeit der besagten Daten zu garantieren. Authentifikation kann zu verschiedensten Zwecken, wie beispielsweise dem Überprüfen des Rechts zur Benutzung von Netzwerkdiensten, durchgeführt werden. Die Erfindung ist insbesondere zur Verwendung in Verbindung mit mobilen Endgeräten gedacht, jedoch werden mit der erfindungsgemäßen Lösung ebenfalls Vorteile in Verbindung mit festen Endgeräten erzielt.
  • Hintergrund der Erfindung
  • Ein System und ein Verfahren zur Authentifikation in einem GSM-Netzwerk sind etwa aus der Druckschrift WO 98/41050 A1 bekannt, die nach dem Zeitrang der vorliegenden Erfindung veröffentlicht wurde. Die Lehre dieser Druckschrift ist lediglich auf eine Authentifikation eines GSM-Endgeräts bzw. dessen Teilnehmer in einem GSM-Netzwerk gerichtet.
  • Dagegen war das starke Wachstum der Anzahl von Internetbenutzern eines der bemerkenswertesten Phänomene auf dem Gebiet der Kommunikation in den letzten Jahren. Das starke Wachstum ließ ebenfalls Schwachstellen des Internets hervortreten. Eine von diesen ist die geringe Datensicherheit des Netzwerks. Die IP-Protokollversion (IPv4), die derzeit allgemein verwendet wird, stellt keinerlei derartige Einrichtungen zur Verfügung, mit welchen es möglich wäre, sicherzustellen, dass Informationen, die von der Gegenseite her ankamen, sich nicht während der Übertragung änderten, oder dass die Informationen tatsächlich von dieser Quelle her stammen, welche behauptet, die betreffenden Informationen gesendet zu haben. Zudem ist es leicht, verschiedene Werkzeuge in dem Netzwerk zum Abhören des Verkehrs zu verwenden. Aus diesen Gründen sind jene Systeme, die nicht verschlüsselte kritische Informationen, z. B. Passwörter, übertragen, sehr verwundbar.
  • Die neue IP-Version (IPv6) hat interne Eigenschaften, die eine sichere Kommunikation zwischen Internetnutzern erlauben. Da der Übergang zu dem neuen Protokoll langsam sein wird, sollten die Datensicherheitsmerkmale derart sein, dass sie mit der derzeitigen IP-Version (IPv4) kompatibel sind, und derart, dass sie zu dieser hinzugefügt werden können.
  • Zahlreiche derartige Systeme wurden entwickelt, um die Datensicherheitseigenschaften des Internets zu verbessern, wo Benutzer die Informationen verschlüsselt zu der anderen Partei senden können. Ein solches System ist das Kerberos-System, bei dem es sich um einen Dienst handelt, mit dem Netzwerkbenutzer und Dienste einander authentifizieren können, und mit dem Benutzer und Dienste untereinander verschlüsselte Verbindungen erstellen können. Das Kerberos-System wird in einem Ausführungsbeispiel der vorliegenden Erfindung verwendet, was nachfolgend ausführlicher beschrieben wird.
  • Ein anderer aktueller Trend ist das starke Ansteigen der Verwendung verschiedenster mobiler Endgeräte. Zusammen mit diesem Trend ist es sogar noch wichtiger, dass die Endgeräte auch Zugriff zu dem Datennetzwerk haben, selbst wenn sie sich außerhalb ihres eigenen Heimatnetzwerkes befinden. Solch ein Zugriff kann die Verwendbarkeit beispielsweise eines tragbaren Computers wesentlich verbessern, wenn der Benutzer nicht in seinem/ihrem herkömmlichen Arbeitsumfeld ist. Zugriffspunkte können beispielsweise an Flughäfen, in Bahnstationen, in Einkaufszentren oder einem beliebigen anderen öffentlichen Standort angesiedelt sein, wobei der Zugriff drahtgebunden oder drahtlos erfolgen kann.
  • Systeme der beschriebenen Art, die zum Senden verschlüsselter Informationen zwischen Parteien verwendet werden können, sind im wesentlichen für feste Endgeräte vorgesehen, und sie erfordern, dass die Benutzer vorab als Benutzer des Dienstes registriert sind. Es ist heutzutage ein Problem, dass es für die Mobilität der Endgeräte unterstützende IP-Netzwerke kein derartiges existierendes und funktionierendes Authentifikations- oder Schlüsselverwaltungssystem gibt, welches eine gute geographische Abdeckung garantieren würde und es dem Benutzer gleichzeitig leicht erlauben würde, eine authentifizierte und sichere Verbindung für ihn/sie in einem Gebiet zur Verfügung zu haben, das geographisch so groß wie möglich ist.
  • Zusammenfassung der Erfindung
  • Es ist eine Aufgabe der Erfindung, den vorstehend beschriebenen Nachteil zu beseitigen und eine Lösung zu schaffen, gemäß der Benutzer eines Telekommunikationsnetzwerks, insbesondere eines IP-Netzwerks, leicht und glatt authentifiziert werden können, annähernd unabhängig davon, wo ihr Netzwerkzugriffspunkt geographisch zu jeder Zeit angeordnet ist.
  • Diese Aufgabe wird gemäß der in den unabhängigen Patentansprüchen definierten Lösung gelöst.
  • Die Erfindung verwendet das Authentifikationsverfahren eines existierenden mobilen Kommunikationsnetzwerks, insbesondere des GSM-Netzwerks (Globales System für mobile Kommunikation) in einem IP-Netzwerk (oder in irgendeinem anderen, von dem mobilen Kommunikationsnetzwerk separaten Netzwerk). Das bedeutet, dass ein Benutzer des IP-Netzwerks in seinem IP-Netzwerk-Endgerät die gleiche (oder eine im wesentlichen ähnliche) Teilnehmeridentifikationseinheit (SIM) wie in seinem mobilen Telefon oder seiner mobilen Station verwendet. Die Idee besteht darin, die Teilnehmerauthentifikationsdaten aus dem mobilen Kommunikationsnetzwerk hinüber zu der IP-Netzwerkseite auszulesen und die Authentifikation in dem IP-Netzwerk auf diesen Daten beruhend auszuführen. Das mobile Netzwerk ist nicht notwendigerweise ein GSM-Netzwerk, sondern es kann irgendein anderes mobiles Kommunikationsnetzwerk sein, in dem eine Authentifikation im wesentlichen auf die gleiche Weise verwendet wird, beispielsweise ein DCS-Netzwerk (Digitales Zellulares System), ein GPRS-Netzwerk (General Packet Radio Service, bei dem es sich um ein Unternetzwerk von GSM handelt), oder ein UMTS-Netzwerk (Universelles Mobiles Telekommunikations-System).
  • Bei einem vorteilhaften Ausführungsbeispiel der Erfindung wird der Benutzer im Ansprechen auf eine erfolgreiche Authentifikation in einem separaten Schlüsselverwaltungssystem, vorzugsweise einem Kerberos-System, registriert, wodurch es dann möglich ist, einen verschlüsselten Kanal zwischen miteinander kommunizierenden Benutzern leicht herzustellen. Dies ist insbesondere wichtig, wenn zumindest ein Teil des Übertragungswegs aus einer Funkstrecke besteht.
  • Aufgrund der erfindungsgemäßen Lösung werden Benutzer des IP-Netzwerks leicht und glatt authentifiziert, und zusätzlich ist es den Benutzern möglich, von effizienten Sicherheitsmerkmalen in einem geographisch großen Bereich Gebrauch zu machen. Dies ist sowohl auf die weitverbreitete Nutzung von GSM-Netzwerken als auch auf die Tatsache zurückzuführen, dass Roaming-Vereinbarungen zwischen Betreibern die Authentifikation von Teilnehmern erlauben, die in ein fremdes Netzwerk eintreten. Beispielsweise hat heute (1998) ein finnischer GSM-Betreiber gemeinsame Verkehrsvereinbarungen mit Betreibern, die in mehr als 60 Ländern arbeiten.
  • Aufgrund der erfindungsgemäßen Lösung brauchen ISP-Betreiber (Internet Service Provider bzw. Internetdiensteanbieter), die typischerweise ebenfalls mobile Kommunikationsdienste bereitstellen, nicht getrennt Authentifikations- und Schlüsselverwaltungssysteme in dem IP-Netzwerk zu beschaffen, sondern sie können ebenfalls zu diesem Zweck die Merkmale des mobilen Kommunikationsnetzwerks verwenden, welches sie betreiben.
  • Gemäß der erfindungsgemäßen Lösung ist ein solcher Vorteil auch in Verbindung mit festen Endgeräten erreicht, dass in Verbindung mit dem mobilen Kommunikationsnetzwerk geschaffene Funktionen in Verbindung mit Internetdiensten verwendet werden können. Beispielsweise kann eine Organisation, die sowohl als mobiler Kommunikationsbetreiber als auch als ISP-Betreiber arbeitet, in Verbindung mit dem mobilen Kommunikationsnetzwerk geschaffene Gebührenerfassungsdienste zur Gebührenerfassung für die Internetdienste verwenden, die sie bzw. er bereitstellt. Wenn ebenfalls feste Endgeräte anhand des erfindungsgemäßen Verfahrens authentifiziert werden, wird eine hohe Gewissheit dafür erreicht, dass die Rechnung an den richtigen Teilnehmer gerichtet wird. Zudem kann der Teilnehmer selbst dann authentifiziert werden, wenn er sich von einem fremden Endgerät aus an das Netzwerk anschließt.
  • Kurze Beschreibung der Zeichnungen
  • Nachfolgend wird die Erfindung und ihre bevorzugten Ausführungsbeispiele ausführlicher unter Bezugnahme auf die in den 1 bis 10 in der beigefügten Zeichnung gezeigten Beispiele beschrieben. Dabei zeigen:
  • 1 eine Betriebsumgebung für das erfindungsgemäße Verfahren,
  • 2 einen Austausch von Nachrichten zwischen verschiedenen Elementen, wenn das Endgerät sich dem Netzwerk angliedert oder sich von dem Netzwerk abgliedert,
  • 3 die Struktur jener Nachrichten, mittels derer dem Server des Systems mitgeteilt wird, dass der Benutzer sich an das Netzwerk angegliedert oder sich von dem Netzwerk abgegliedert hat,
  • 4 einen Austausch von Nachrichten, der zwischen den verschiedenen Elementen während der Authentifikation stattfindet,
  • 5 die allgemeine Struktur der in 5 gezeigten Nachrichten,
  • 6 jene Elemente des Systems, die zur Gewinnung eines verbindungsspezifischen Verschlüsselungsschlüssels zwischen zwei Endgeräten verwendet werden,
  • 7 einen Austausch von Nachrichten, der stattfindet, um eine anfängliche Berechtigung bzw. ein anfängliches Ticket von dem Kerberos-Server zu erhalten,
  • 8 jene Teile eines Endgeräts, die unter dem Gesichtspunkt der Erfindung von Bedeutung sind,
  • 9 einen Austausch von Nachrichten, der stattfindet, um einen Verschlüsselungsschlüssel zur Kommunikation zwischen zwei Endgeräten zu erhalten, und
  • 10 ein alternatives Ausführungsbeispiel des Systems.
  • Ausführliche Beschreibung der Erfindung
  • Nachfolgend wird die Erfindung mit Bezug auf eine Netzwerkumgebung beschrieben, wobei die Mobilität der Teilnehmer mit Hilfe eines (nachstehend als MIP bezeichneten) mobilen IP-Protokolls unterstützt wird. Das MIP ist eine derartige Version des existierenden IP, welches Mobilität der Endgeräte unterstützt. (Das Prinzip des MIP ist beispielsweise in der RFC 2002, Oktober 1996, oder in dem Artikel von Upkar Varshney, Supporting Mobility with Wireless ATM, Internet Watch, Januar 1997, beschrieben).
  • Das MIP beruht auf dem Gedanken, dass jeder mobile Host oder mobile Knoten einen Agenten (Heimatagenten) hat, der ihm selbst zugewiesen ist, welcher Pakete zu der derzeitigen Stelle des mobilen Knotens weiterleitet. Wenn der mobile Knoten sich von einem Unternetzwerk in ein anderes bewegt, registriert er sich bei dem Agenten (Fremdagenten), der das betroffene Unternetzwerk versorgt. Der letztgenannte führt Überprüfungen mit dem Heimatagenten des mobilen Knotens durch, registriert den mobilen Knoten und sendet die Registrierungsinformation an diesen. An den mobilen Knoten adressierte Pakete werden zu dem ursprünglichen Ort (zu dem Heimatagenten) des mobilen Knotens gesendet, daraufhin werden sie weiter zu dem derzeitigen Fremdagenten weitergeleitet, welcher sie zu dem mobilen Knoten übermitteln wird.
  • 1 zeigt eine typische Betriebsumgebung für das erfindungsgemäße Verfahren. Das Herz des Systems ist der Sicherheitsserver SS, welcher sowohl an das Internet als auch an einen Proxyserver HP angeschlossen ist, welcher Zugriff auf ein separates mobiles Netzwerk MN hat, welches bei diesem Beispiel ein GSM-Netzwerk ist. Der Proxyserver bildet ein Netzwerkelement, welches (auf eine nachfolgend noch zu beschreibende Weise) Verkehr zwischen dem Sicherheitsserver und den Heimatortsregistern HLR des mobilen Kommunikationsnetzwerks weiterleitet, wobei die Heimatortsregister HLR in den Heimatnetzwerken der Teilnehmer angeordnet sind. In der Praxis sind beide, der Proxyserver und der Sicherheitsserver, an den Örtlichkeiten des Netzwerkbetreibers, beispielsweise in dem gleichen Raum, angeordnet, so dass, selbst wenn es eine IP-Verbindung zwischen dem Sicherheitsserver und dem Proxyserver gibt, diese eine gesicherte Verbindung ist. Da das GSM-Netzwerk als solches bekannt ist, und die Erfindung keinerlei Änderungen an diesem erfordert, wird es in diesem Zusammenhang nicht mehr näher beschrieben.
  • In dem Bereich des Systems sich bewegende Benutzer können tragbare Computer, PDA-Geräte, intelligente Telefone oder andere derartige Endgeräte verwenden. Lediglich ein Endgerät TE1 ist in der Figur anhand der Bezeichnung KLIENT dargestellt. Für die hier betroffenen Zwecke bedeutet Klient bzw. Client im allgemeinen ein Objekt, welches die durch das Netzwerk bereitgestellten Dienste und durch die Netzwerkserver ausgeführten Dienste nutzt. Ein ”Klient” meint oft ein Programm, welches für den Netzwerkbenutzer eine Verbindung mit einem Server herstellt.
  • Zwei Unternetzwerke sind in der Figur dargestellt, und in der Praxis können sie beispielsweise lokale Ethernet-Netzwerke sein, in denen TCP/IP Pakete gesendet werden: das Heimatnetzwerk HN des Benutzers und das fremde Netzwerk FN, von dem angenommen ist, dass das Endgerät TE1 an dieses angeschlossen ist. Diese zwei Unternetzwerke sind beide mittels eines Gateways GW (einem Router) an das Internet angeschlossen. Das Heimatnetzwerk enthält den Heimatagenten HA des mobilen Hosts, und das fremde Netzwerk enthält entsprechend den Fremdagenten FA. Zugriffe auf die Unternetzwerke erfolgen über Zugriffspunkte AP, beispielsweise wie in der Figur dargestellt, auf eine drahtlose Weise.
  • Die Endgeräte sind durch zwei Teile auf die gleiche Weise wie ein herkömmliches GSM-Telefon gebildet: aus der eigentlichen Teilnehmervorrichtung, wie beispielsweise einem tragbaren Computer (mit Software) und dem SIM (Subscriber Identity Module bzw. Teilnehmeridentitätsmodul), wodurch unter dem Gesichtspunkt des Netzwerks die Teilnehmervorrichtung zu einem funktionierenden Endgerät nur dann wird, wenn das SIM in dieses eingefügt wurde. In diesem als ein Beispiel beschriebenen Fall handelt es sich bei dem SIM um das Teilnehmeridentitätsmodul zur Verwendung in dem GSM-Netzwerk. Ein Endgerät kann Zugriff lediglich auf das IP-Netzwerk haben, oder es kann sich bei diesem um eine sogenannte Dual-Betriebsartenvorrichtung handeln, welche Zugriff sowohl auf das IP-Netzwerk als auch auf das GSM-Netzwerk hat. Der Zugriff auf das IP-Netzwerk erfolgt beispielsweise mit der Hilfe einer LAN-Karte in dem Endgerät, und auf das GSM-Netzwerk mit der Hilfe einer GSM-Karte, welche in der Praxis ein abgespecktes bzw. auf notwendigste Funktionen reduziertes Telefon ist, welches beispielsweise in dem PCMCIA-Erweiterungs-Steckplatz bzw. -slot des Computers angeordnet ist.
  • Bei einem bevorzugten Ausführungsbeispiel der Erfindung gibt es ebenfalls einen Kerberos-Server KS in Verbindung mit dem Sicherheitsserver, der als solcher bekannt ist, und der zur Errichtung verschlüsselter Verbindungen auf eine nachfolgend zu beschreibende Weise verwendet wird. Der Sicherheitsserver und der Kerberos-Server können physikalisch in dem gleichen Gerät sein.
  • Damit der Sicherheitsserver weiß, wann der Benutzer in das IP-Netzwerk eintritt oder dieses verlässt, wird ein Kanal zwischen dem Sicherheitsserver und dem Heimatagenten auf die in 2 dargestellte Weise geschaffen. Gemäß dem MIP-Protokoll sendet der Fremdagent FA kontinuierlich Rundspruchnachrichten an sein eigenes Unternetzwerk, wobei die Nachrichten mit dem Namen ”Agentenbekanntmachung” [”Agent Advertisement”] bezeichnet werden und die durch das Bezugszeichen AA in der Figur bezeichnet sind. Wenn sich das Endgerät dem Unternetzwerk angliedert, wird es diese Nachrichten empfangen und aus diesen schlussfolgern, ob es in seinem eigenen Heimatnetzwerk oder in irgendeinem anderen Netzwerk ist. Wenn das Endgerät herausfindet, dass es in seinem Heimatnetzwerk ist, wird es ohne jegliche Mobilitätsdienste funktionieren. Andernfalls bekommt das Endgerät eine ”c/o”-Adresse in dem betreffenden Fremdnetzwerk. Diese Adresse ist die Adresse des Punktes in dem Netzwerk, an den das Endgerät zeitweise angeschlossen ist. Diese Adresse bildet gleichzeitig den Endpunkt des zu dem Endgerät führenden Tunnels. Typischerweise bekommt das Endgerät die Adresse beispielsweise von den vorstehend erwähnten Rundspruchnachrichten, welche der Fremdagent sendet. Daraufhin sendet das Endgerät eine RR (Registrierungsanforderung bzw. Registration Request) an seinen eigenen Heimatagenten durch den Fremdagenten FA. Die Nachricht enthält unter anderem jene ”c/o”-Adresse, die das Endgerät gerade empfangen hat. Beruhend auf dessen empfangener Anforderungsnachricht, aktualisiert der Heimatagent die das Endgerät betreffenden Ortsinformationen in seiner Datenbank und sendet durch den Fremdagenten eine Registrierungsantwort R Reply zu dem Endgerät. In der Antwortnachricht ist all die notwendige Information enthalten, die angibt, wie (unter welchen Bedingungen) der Heimatagent die Registrierungsanforderung akzeptiert hat.
  • All die Nachrichten zwischen dem Endgerät, dem Fremdagenten und dem Heimatagenten, die vorstehend beschrieben wurden, sind normale Nachrichten gemäß dem MIP-Protokoll. Der mobile Knoten kann sich ebenfalls direkt bei dem Heimatagenten registrieren. Die vorstehend genannte RFC beschreibt die Regeln, die festlegen, ob der mobile Knoten sich direkt bei dem Heimatagenten oder durch den Fremdagenten registriert. Wenn der mobile Knoten auf die vorstehend beschriebene Weise eine ”c/o”-Adresse erhält, muss die Registrierung stets durch den Fremdagenten erfolgen. Gemäß dem MIP-Protokoll wird die Authentifikation auch in Verbindung mit der Registrierung durchgeführt, mit dem Zweck, das Auftreten von Fehlern in Verbindung mit der Registrierung zu verringern. Die Registrierung beruht auf einem aus der Registrierungsnachricht (aus der Registrierungsanforderung oder -antwort) berechneten Prüfwert, und die Registrierung darf nur zwischen dem mobilen Knoten und dem Heimatagenten erfolgen, die einen gemeinsamen festen Schlüssel haben (auf den man sich bereits zuvor geeinigt hat). Unter diesen Umständen ist es dem Fremdagenten nicht notwendigerweise möglich, den mobilen Knoten zu authentifizieren. Dieses Problem wird verschlimmert, wenn es in dem System angestrebt ist, eine möglichst große geographische Abdeckung zu erreichen.
  • Erfindungsgemäß wird eine Einrichtung mit der Wirkung zu dem Heimatagenten hinzugefügt, dass der Heimatagent den Sicherheitsserver mit Informationen über das an das Netzwerk angegliederte Endgerät versorgt, nachdem die Registrierungsanforderungsnachricht von dem Fremdagenten angekommen ist. Diese Nachricht ist in der Figur durch das Bezugszeichen MOB_ATTACH bezeichnet. Dementsprechend versorgt der Heimatagent den Sicherheitsserver mit Informationen über das Endgerät, welches das Netzwerk verlassen hat, nachdem das Endgerät sich von dem Netzwerk abgegliedert hat (nachdem das Endgerät sich von dem Netzwerk abgegliedert hat, oder nachdem die Lebensdauer bzw. Gültigkeitsdauer der diesem zugewiesenen Adresse ausgelaufen ist). In der Figur ist diese Nachricht durch das Bezugszeichen MOB_DETACH bezeichnet. Für jede Art von Nachricht sendet der Sicherheitsserver eine Bestätigungsnachricht (MOB_ACK). Hinsichtlich ihres Verwendungszweckes entsprechen die MOB_ATTACH und MOB_DETACH Nachrichten den IMSI-Angliederungs-/Abgliederungsprozeduren, die in einem GSM-Netzwerk verwendet werden.
  • Der Heimatagent überwacht die von dem Sicherheitsserver ankommenden Antworten und sendet die Nachrichten erneut (mit den gleichen Parametern), falls keine Bestätigungsnachricht von dem Sicherheitsserver innerhalb einer vorbestimmten Zeit von beispielsweise 30 Sekunden ankommen sollte.
  • 3 stellt die Struktur der MOB_ATTACH, MOB_DETACH und MOB_ACK Nachrichten dar. In den Nachrichten gibt es ein Typfeld 31, welches den Typ bzw. die Art der Nachricht identifiziert, ein Nummernfeld 32, welches die Zufallsnummer oder Sequenznummer enthält, welche die Sitzung identifiziert, und ein Adressfeld 33, welches die IP-Adresse des Klienten enthält. Das letztgenannte Feld ist nicht bei der Bestätigungsnachricht vorhanden. Die Nachrichten werden in Feldern übertragen, die für die Nutzlasten von IP-Datagrammen reserviert sind.
  • Wenn das Endgerät sich dem Netzwerk angegliedert hat, empfängt der Sicherheitsserver somit von dem Heimatagenten Informationen bezüglich der IP-Adresse des betroffenen Endgeräts. Daraufhin erfolgt eine Authentifikation des Klienten, die nachfolgend mit Bezug auf 4 beschrieben wird. Für die Authentifikation fragt der Sicherheitsserver zuerst den Klienten nach der IMSI (Internationale Mobile Teilnehmeridentität, [International Mobile Subscriber Identity]), die auf der SIM (der AUTH_ID_REQ Nachricht) gespeichert ist. Auf diese antwortet der Klient durch Mitteilung seiner IMSI (welche gemäß der GSM Spezifikation eine 9 Byte umfassende Kennung ist) in der AUTH_ID_RSP Antwortnachricht. Die Anfrage gelangt durch den Heimatagenten zu dem Endpunkt des vorstehend genannten Tunnels, jedoch kommt die Antwort direkt von dem Endgerät zu dem Sicherheitsserver.
  • Wenn die IP-Adresse des Klienten sich nicht oft ändert, ist es vorzuziehen, die den IP-Adressen entsprechenden IMSI-Kennungen in dem Sicherheitsserver zu speichern, wodurch Kennungen nicht unnötigerweise in dem Netzwerk hin und her bewegt werden müssen. Folglich sind die vorstehend genannten Nachrichten nicht notwendig.
  • Wenn das Endgerät seine IMSI-Kennung mitgeteilt hat, oder wenn der Sicherheitsserver sie aus seiner Datenbank ausgelesen hat, beginnt der Sicherheitsserver mit der tatsächlichen Authentifikation. Zum Ermöglichen der Authentifikation des SIM des Endgeräts muss eine Verbindung zwischen dem Sicherheitsserver und dem AuC (Authentifikationszentrum [Authentication Center]) vorhanden sein, welches in Verbindung mit dem Heimatregister bzw. Heimatortsregister HLR [Home Location Register] des GSM-Netzwerks des Teilnehmers angeordnet ist. Dies wird mittels eines Proxyservers HP implementiert, der als Verbindungsnetzwerkelement zwischen dem IP-Netzwerk und dem GSM-Netzwerk dient, genauer gesagt, zwischen dem IP-Netzwerk und dem durch das GSM-Netzwerk verwendeten SS7-Signalisierungsnetzwerk. Der bei der Authentifikation benötigte GSM-Netzwerkdienst ist MAP_SEND_AUTHENTICATION_INFO (GSM 9.02, v.4.9.). Dieser Dienst ist unter Verwendung des Proxyservers HP implementiert, der in den Räumlichkeiten des örtlichen GSM-Betreibers angeordnet sein kann. Der Sicherheitsserver übermittelt zu dem Proxyserver eine SEC_INFO_REQ Authentifikationsanforderungsnachricht, welche eine Sitzungskennung und die IMSI-Teilnehmerkennung enthält. Der Proxyserver seinerseits übermittelt dem Authentifikationszentrum AuC eine Anfragenachricht gemäß dem MAP (Mobile Application Part) Protokoll, wobei die Anfragenachricht zur Anforderung eines Authentifikationstripletts verwendet wird, und wobei die Anforderungsnachricht normalerweise zwischen dem VLR und dem HLR übermittelt wird. In Beantwortung dieser Anforderungsnachricht gibt das HLR dem Proxyserver ein normales Authentifikationstriplett zurück, welches eine Authentifikationsabfrage (RAND), eine Antwort SRES (Signierte Antwort) und einen Schlüssel Kc (den in dem GSM-Netzwerk verwendeten verbindungsspezifischen Verschlüsselungsschlüssel) enthält. Der Proxyserver leitet das Triplett weiter zu dem Sicherheitsserver in einer SEC_INFO_RSP Nachricht. Der Sicherheitsserver speichert das Triplett und überträgt die Authentifikationsabfrage (die AUTH_CHALLENGE_REQ Nachricht) weiter zu dem SIM des Endgeräts, welches beruhend auf dieser Nachricht eine Antwort (SRES) und einen Schlüssel Kc generiert. Das Endgerät speichert den Schlüssel und überträgt die Antwort (die AUTH_CHALLENGE_RSP Nachricht) (SRES) zurück zu dem Sicherheitsserver.
  • In dem Endgerät gibt es vorzugsweise eine Datenbank, in der die Authentifikationsabfragen gespeichert sind bzw. werden. Auf diese Weise ist es möglich sicherzustellen, dass eine Authentifikationsabfrage auch nur einmal verwendet wird. Auf diese Weise ist es möglich zu verhindern, dass irgendjemand vorgibt, ein Sicherheitsserver zu sein, indem er die (nicht verschlüsselte) Authentifikationsabfrage und die Antwort aus dem Netzwerk aufschnappt bzw. abhört und aus diesen den Schlüssel Kc herausfindet. Wenn die gleiche Authentifikationsabfrage noch einmal auftritt, wird diese Authentifikationsabfrage nicht beantwortet werden. Der Sicherheitsserver kann ebenfalls jene Authentifikationsabfragen ausfiltern, die bereits benutzt wurden, und, falls erforderlich, kann er nach einem neuen Authentifikationstriplett von dem GSM-Netzwerk fragen, so dass keine Authentifikationsabfrage, die bereits benutzt wurde, zu dem Endgerät übertragen wird.
  • Der Proxyserver HP dient in dem System als ein virtuelles Besucherregister bzw. Besucherortsregister VLR [Visitor Location Register], da er zumindest hinsichtlich der Authentifikationstriplettanfragen für das Heimatregister wie ein Netzwerkelement der gleichen Art wie die ursprünglichen Besucherregister des GSM-Netzwerks erscheint. Der Proxyserver dient ebenfalls als ein Filter, das einen Zugriff auf das Signalisierungsnetzwerk des GSM-Systems lediglich für Authentifikationstriplettanfragen erlaubt. Der Proxyserver beeinträchtigt in keiner Weise irgendwelche anderen Anfragen von dem Heimatregister auf der GSM-Netzwerkseite.
  • 5 stellt die allgemeine Struktur der in 4 vorgestellten Nachrichten dar. In den Nachrichten gibt es ein Typfeld 51, welches den Typ bzw. die Art der Nachricht identifiziert, ein Nummernfeld 52, welches die Zufallsnummer oder Sequenznummer enthält, welche die Sitzung identifiziert, und ein Nutzlastfeld bzw. Nutzdatenfeld 53, dessen Länge abhängig von der betreffenden Nachricht variiert. In Nachrichten zwischen dem Sicherheitsserver und dem Endgerät tauchen die beiden ersten Felder in allen Nachrichten auf, jedoch gibt es kein Nutzlastfeld in der AUTH_ID_REQ Nachricht. In der AUTH_ID_RSP Nachricht beträgt die Länge des Nutzlastfeldes 9 Byte (die Länge der IMSI ist 1 + 8 Byte), in der AUTH_CHALLENGE_REQ Nachricht beträgt seine Länge 16 Byte (die Länge von RAND ist 16 Byte), und in der AUTH_CHALLENGE_RSP Nachricht beträgt seine Länge 4 Byte (die Länge von SRES beträgt 4 Byte). In den Nachrichten zwischen dem Sicherheitsserver und dem Proxyserver beträgt die Länge des Nutzlastfeldes 9 Byte (IMSI), in dem Fall der SEC_INFO_REQ Nachricht und n × 28 Byte in dem Fall der SEC_INFO_RSP Nachricht (in dem Triplett gibt es eine Gesamtheit von 28 Byte und die Netzwerkelemente sind im allgemeinen derart konfiguriert, dass sie 1...3 teilnehmerspezifische Tripletts gleichzeitig übertragen). Wie vorstehend erwähnt, wird eine normale GSM-Netzwerksignalisierung zwischen dem Proxyserver und dem Heimatregister bzw. Heimatortsregister HLR verwendet.
  • Der Sicherheitsserver vergleicht die Antwort, die er von dem Endgerät empfängt, mit der in dem Triplett angekommenen Antwort, und falls bei dem Vergleich festgestellt wird, dass die Antworten die gleichen sind, ist die Authentifikation erfolgreich.
  • Im Ansprechen auf eine erfolgreiche Authentifikation startet der Sicherheitsserver eine Registrierung mit dem Kerberos-Server bzw. Zerberus-Server. In diesem Kontext meint der ”Kerberos-Server” einen Prozess, der einen Kerberos-Dienst bereitstellt. Der Kerberos-Server ist vorzugsweise in Verbindung mit dem Sicherheitsserver angeordnet, wie in 1 dargestellt.
  • Kerberos ist ein zur Authentifikation von Netzwerkbenutzern und -diensten vorgesehenes System. Es ist ein vertrauenswürdiger Dienst in dem Sinne, dass jeder seiner Klienten darauf vertraut, dass die Einschätzungen bzw. Beurteilungen des Systems all seiner anderen Klienten korrekt sind. Da das Kerberos-System als solches bekannt ist und seine Funktionsweise nicht auf irgendeine Weise verändert ist, wird es in diesem Zusammenhang nicht näher beschrieben. Das System ist beispielsweise in dem Dokument von Steiner, Neuman, Schiller: Kerberos: An Authentication Service for Open Network Systems, 12. Januar 1988, beschrieben, aus dem der interessierte Leser Hintergrundinformationen erhalten kann, falls er dies wünscht. In der nachfolgenden Beschreibung werden die gleichen Arten von Markierungen bzw. Variablenvergabe wie bei dem vorstehend erwähnten Dokument verwendet. Die Beschreibung beruht auf der Kerberos-Version 4.
    c → Klient
    s → Server
    c-adr → Netzwerkadresse des Klienten
    tgs → Berechtigungszuteilungsserver
    Kx → privater Schlüssel von x
    Kx,y → Sitzungsschlüssel für x und y
    {abc}Kx → abc, verschlüsselt unter Verwendung
    des persönlichen Schlüssels von x
    Tx,y → Berechtigung von x zur Verwendung von y.
  • 6 stellt die Objekte der Kerberos- und Authentifikationsanwendungen dar. Es ist in der Figur angenommen, dass das System zwei Klienten, A und B hat. Jeder Klient kann ein Endgerät sein, welches durch den Sicherheitsserver auf die vorstehend beschriebene Weise authentifiziert wurde, wenn es sich dem IP-Netzwerk angegliedert hat, oder einer kann ein ”permanent” authentifizierter Klient wie beispielsweise ein Server sein. Die Kerberos-Anwendung enthält zwei Teile: ein Klientenprogramm KC, welches an dem Endgerät angeordnet ist, und ein Serverprogramm KS, welches an dem Sicherheitsserver angeordnet ist. Das Serverprogramm enthält ebenfalls einen Berechtigungszuteilungsserver TGS. Entsprechend enthält die Authentifikationsanwendung zwei Teile. Das Klientenprogramm AC, welches an dem Endgerät angeordnet ist, und das Serverprogramm AS, welches an dem Sicherheitsserver angeordnet ist. Eine Kommunikation findet mit Hilfe von IP/MIP/IP-SEC Stapeln statt, welche nachfolgend ausführlicher beschrieben werden.
  • Das nachfolgende ist eine Beschreibung, wie das Kerberos-Protokoll zur Erstellung eines verbindungsspezifischen Schlüssels zwischen Endgeräten A und B verwendet wird.
  • Wenn der Sicherheitsserver herausgefunden hat, dass die Authentifikation erfolgreich war, wird er die Registrierung des Kerberos-Klienten bei dem Kerberos-Server starten. In der Praxis erfolgt dies auf eine derartige Weise, dass der Authentifikationsblock des Sicherheitsservers AS den Schlüssel Kc, der in dem Authentifikationstriplett angekommen ist, (a) als das Passwort des Klienten und (b) als ein Passwort in dem Dienst registriert, der für die IP-Adresse des Klienten oder für die IMSI-Teilnehmerkennung gebildet ist. Dem Dienst wird irgendein Name zugewiesen, der vorab bestimmt wird.
  • Dann kann der Klient eine Berechtigung für den Berechtigungszuteilungsserver unter Verwendung des Schlüssels Kc anfordern. Dieser Austausch von Nachrichten ist in 7 dargestellt. Nachdem der Klient den Schlüssel Kc erhalten hat, sendet er eine Nachricht zu dem Sicherheitsserver (zu dem Kerberos-Server), mit welcher er eine anfängliche Berechtigung von dem Kerberos-System anfordert. Es kann eine kurze vorbestimmte Verzögerung zwischen dem Empfang des Schlüssels und der Übertragung der Nachricht geben, so dass der Sicherheitsserver Zeit haben wird, um zuerst die Registrierung bei dem Kerberos-Server durchzuführen. Nach der Verzögerung sendet das Endgerät zu dem Sicherheitsserver eine Anforderung gemäß dem Kerberos-Protokoll, welche stets die Identität des Klienten (die IMSI oder IP-Adresse) und den Namen tgs eines gewissen speziellen Dienstes, des Berechtigungszuteilungsdienstes, enthält. Auf den Empfang dieser Anforderung hin überprüft der Kerberos-Server, ob er den Klienten kennt. Falls dies so ist, wird er einen zufälligen verbindungsspezifischen Schlüssel Kc,tgs generieren, welcher später für Datenübertragungen zwischen dem Klienten und dem Berechtigungszuteilungsserver verwendet wird. Daraufhin generiert der Kerberos-Server eine Berechtigung Tc,tgs, mit welcher der Klient den Berechtigungszuteilungsdienst nutzen kann. Diese Berechtigung enthält den Namen des Klienten, den Namen des Berechtigungszuteilungsservers, die derzeitige Tageszeit, die Lebens- bzw. Gültigkeitsdauer der Berechtigung, die IP-Adresse des Klienten und den gerade generierten verbindungsspezifischen Schlüssel. Unter Verwendung der vorstehend beschriebenen Verfahren der Markierung bzw. Variablenvergabe kann der Inhalt der Berechtigung wie folgt dargestellt werden: Tc,tgs = {c, tgs, Zeitstempel, Gültigkeitsdauer, c-adr, Kc,tgs}. Diese Berechtigung wird unter Verwendung des Schlüssels Ktgs verschlüsselt, welcher lediglich dem Berechtigungszuteilungsserver und dem Kerberos-Server bekannt ist. Dann überträgt der Kerberos-Server als eine Antwort ein Paket zu dem Klienten, welches die verschlüsselte Berechtigung und eine Kopie des verbindungsspezifischen Schlüssels Kc,tgs enthält. Die Antwort wird unter Verwendung des eigenen Schlüssels Kc des Klienten verschlüsselt. Das Endgerät speichert die Berechtigung und den Sitzungsschlüssel zur zukünftigen Verwendung.
  • Wenn das Endgerät die Berechtigung und den Sitzungsschlüssel gespeichert hat, hat es während der Gültigkeitsdauer der Berechtigung Zugriff auf den Berechtigungszuteilungsdienst und ist vorbereitet, um in Verbindung mit einer dritten Partei zu sein bzw. zu treten.
  • 8 stellt jene funktionellen Blöcke eines Endgeräts dar, die unter dem Gesichtspunkt der Erfindung wesentlich sind. Das Endgerät ist in Verbindung mit dem Netzwerk mittels des IP/MIP/IP-SEC Protokollstapels, wobei IP/MIP/IP-SEC ein derartiger bekannter TCP/IP Stapel ist, welcher eingebaute mobile IP-Eigenschaften und Verschlüsselungsfunktionen hat. Von oben gesehen, erscheint dieser Stapel lediglich wie ein herkömmlicher IP Stapel, jedoch von unten gesehen (von der Netzwerkseite) überträgt der Stapel verschlüsselte Informationen gemäß einer gewissen Sicherheitspolitik. Diese Sicherheitspolitik ist durch einen separaten Sicherheitspolitikblock SPB bestimmt, welcher den IP/MIP/IP-SEC Stapel steuert, indem er dem Stapel die anderen Objekte in dem Netzwerk anzeigt, zu denen verschlüsselte Informationen gesendet werden müssen. Diese Objekte sind im allgemeinen in dem Sicherheitspolitikblock mit der Hilfe der IP-Adresse des Endgeräts und der Anschlussnummer definiert. Die Definition kann noch feiner erfolgen, indem ebenfalls solche Benutzerkennungen definiert werden, für welche die Verschlüsselung erfolgt. In der Praxis ist der Sicherheitspolitikblock in den IP/MIP/IP-SEC Stapel eingebaut, jedoch ist er in funktioneller Hinsicht ein eigenständiger Block.
  • Zusätzlich zu dem Sicherheitspolitikblock enthält das Endgerät einen Schlüsselverwaltungsblock KM, der sich um die Verwaltung von Schlüsseln kümmert. In Verbindung mit dem Schlüsselverwaltungsblock gibt es eine Datenbank, die all die Verschlüsselungsschlüssel enthält, die durch das Endgerät verwendet werden. Der Schlüsselverwaltungsblock kann beispielsweise mit Hilfe der bekannten PF_KEY API (API = Anwendungsprogrammierungsschnittstelle bzw. Application Programming Interface) implementiert werden. PF_KEY ist eine generische Anwendungsprogrammierungsschnittstelle, die nicht nur für IP-Schicht-Sicherheitsdienste verwendet werden kann, sondern ebenfalls für andere Sicherheitsdienste des Netzwerks. Diese API bestimmt die Sockelprotokollfamilie, welche die Schlüsselverwaltungsanwendungen verwenden, um mit Teilen des in Beziehung zu der Schlüsselverwaltung stehenden Betriebssystems zu kommunizieren. Da die Erfindung nicht auf das bekannte PF_KEY Protokoll bezogen ist, wird es in diesem Zusammenhang nicht näher beschrieben. Das Protokoll ist in dem Dokument von McDonald, Metz, Phan: PF_KEY Management API, Version 2, 21. April 1997, beschrieben, wo der interessierte Leser Hintergrundinformationen finden wird.
  • In dem Schlüsselverwaltungsblock KM gibt es spezifische Definitionen dafür, wie und mit welchem Schlüssel die Verschlüsselung für jede Netzwerkadresse durchgeführt wird. Diese Definition kann beispielsweise derart beschaffen sein, dass für jede individuelle IP-Adresse und jeden Anschluss das Protokoll und der Schlüssel genannt sind, die verwendet werden müssen, falls eine Verbindung zu dem betreffenden Anschluss besteht.
  • Wenn ein nach außen zu übertragendes Paket in dem IP/MIP/IP-SEC Stapel ankommt, liest der Stapel die Bestimmungsadresse des Pakets und fragt den Sicherheitspolitikblock SPB nach der Verschlüsselungspolitik im Hinblick auf ein Paket, das die betreffende Adresse trägt. In Beantwortung dessen teilt der Sicherheitspolitikblock dem IP/MIP/IP-SEC Stapel mit, ob eine Verschlüsselung zu erfolgen hat, und, falls ja, anhand welchen Verfahrens die Verschlüsselung auszuführen ist. Diese Information wird zu dem Schlüsselverwaltungsblock KM weitergeleitet.
  • In der Anfangsstufe hat der Benutzer jene Verbindungen für den Sicherheitspolitikblock bestimmt, auf denen eine Verschlüsselung verwendet werden muss. Wenn der Sicherheitspolitikblock feststellt, dass eine Verschlüsselung verwendet werden muss, und wenn der Schlüsselverwaltungsblock feststellt, dass bislang kein Schlüssel für das Endgerät, mit dem eine Verbindung gewünscht wird, vorhanden ist, wird der Schlüsselverwaltungsblock eine Schlüsselanforderung zu dem Kerberos-Klienten KC senden, welcher eine Serverberechtigung für das betroffene Endgerät von dem Berechtigungszuteilungsdienst des Sicherheitsservers anfordern wird. Diese Signalisierung ist in 9 dargestellt. Das Endgerät (der Kerberos-Klient) sendet zu dem Berechtigungszuteilungsserver eine derartige Anforderung gemäß dem Kerberos-Protokoll, welche den Namen (s, beispielsweise Endgerät B) von diesem Server, für den die Berechtigung gewünscht wird, eine Berechtigung Tc,tgs, welche verschlüsselt ist mit dem eigenen Schlüssel Ktgs des Berechtigungszuteilungsservers zum Zugriff auf den Berechtigungszuteilungsdienst und einen Authentifizierer Ac enthält, welcher mit einem verbindungsspezifischen Schlüssel Kc,tgs verschlüsselt ist. Der Authentifizierer ist eine Datenstruktur, welche den Namen des Klienten und dessen IP-Adresse als auch die aktuelle Zeit enthält. Unter Beachtung des verwendeten Verfahrens zur Variablenvergabe ist Ac = {c, c-adr, Zeitstempel}.
  • Der Berechtigungszuteilungsserver überprüft die Informationen des Authentifizierers und der Berechtigung Tc,tgs. Wenn die Berechtigung in Ordnung ist, erzeugt der Berechtigungszuteilungsserver einen neuen zufälligen Sitzungsschlüssel Kc,s, welchen der Klient zusammen mit einer dritten Partei seiner Wahl verwenden kann. Dann bildet der Berechtigungszuteilungsserver eine neue Berechtigung Tc,s für diese dritte Partei, verschlüsselt die Berechtigung unter Verwendung des eigenen Schlüssels Ks der dritten Partei, welcher der gleiche wie der betroffene Teilnehmerschlüssel Kc ist, wie vorstehend beschrieben, und überträgt den verschlüsselten Schlüssel zusammen mit dem Sitzungsschlüssel zu dem Endgerät. Die gesamte Antwort wird unter Verwendung des Schlüssels Kc,tgs verschlüsselt.
  • Auf den Empfang der Antwortnachricht hin entpackt das Endgerät das Paket, überträgt den ersten Teil {Tc,s}Ks zu der dritten Partei (zu dem Endgerät B) und speichert den neuen Sitzungsschlüssel Kc,s in der Schlüsseldatenbank. Das Endgerät der dritten Partei erhält den kürzlich generierten Sitzungsschlüssel Kc,s von der Berechtigung, indem die Berechtigung zuerst mit seinem eigenen Schlüssel Kc entschlüsselt wird. Danach ist der neue Sitzungsschlüssel für beide Endgeräte verfügbar und eine verschlüsselte Datenübertragung kann beginnen.
  • Wenn der Kerberos-Klient diese Aktivität begonnen hat (wenn der Klient bei dem Kerberos-Server registriert ist), muss er die IP/MIP/IP-SEC Schicht informieren, dass es ihm möglich ist, Sitzungsschlüsselanforderungen zu bedienen bzw. zu verarbeiten. Unter Verwendung des PF_KEY Protokolls erfolgt dies auf eine derartige Weise, dass der Kerberos-Klient eine spezielle Sockeladresse bzw. Socket-Adresse in dem Kern des Betriebssystems öffnet und sich in dem Kern mit einer SADB_REGISTER Nachricht registriert. Dann sendet das PF_KEY Protokoll eine SADB_ACQUIRE Nachricht jedes Mal, wenn der Schlüssel für irgendeine nach außen gerichtete Schnittstelle benötigt wird. Auf den Empfang dieser Nachricht hin wird der Kerberos-Klient auf die vorstehend beschriebene Weise handeln, das heisst, er sendet eine Anforderung zu dem Berechtigungszuteilungsserver, von der empfangenen Antwort sendet er den für die andere Partei bestimmten Teil zum entgegengesetzten Ende der Verbindung und leitet den empfangenen Sitzungsschlüssel zu dem Schlüsselverwaltungsblock weiter. Zusätzlich hört der Kerberos-Klient eine gewisse Sockeladresse ab, um irgendwelche Berechtigungen zu bemerken, die von anderen Objekten in dem Netzwerk ankommen können. Auf den Empfang eines derartigen Berechtigungspakets bestätigt er den Empfang des Pakets, entpackt das Paket und leitet die notwendigen Schlüssel zu dem Schlüsselverwaltungssystem weiter, wodurch diese Schlüssel verwendet werden können, wenn Verbindungen mit dem betroffenen Gleichgestellten existieren.
  • Wenn sich das Endgerät von dem Netzwerk abgliedert (Nachricht MOB_DETACH), wird der Sicherheitsserver beide Registrierungen aus dem Kerberos-Server entfernen.
  • In der Praxis müssen das Endgerät und der Sicherheitsserver gewisse Anschlussnummern für nicht-verschlüsselte Datenübertragung offen bzw. frei haben. Solche Anschlüsse sind der Anschluss, über den Authentifikationsnachrichten zwischen dem Endgerät und dem Server (4) übertragen werden, der Anschluss, über den Berechtigungen zu den Kerberos-Klienten übertragen werden, sowie der Anschluss, über den Berechtigungsanforderungen übertragen werden.
  • Das Authentifikationstriplett kann auf verschiedenste Weisen ersonnen werden. In einem klein bemessenen Ausführungsbeispiel ist es möglich, eine virtuelle ”HLR-Datenbank” zu verwenden, in der eine geeignete Anzahl von Authentifikationstripletts vorab gespeichert ist. Beispielsweise 10000 Tripletts von jedem Benutzer würden 280 Kilobyte Speicher pro Benutzer erfordern. Somit könnte beispielsweise eine Festplatte mit 6 GB Authentifikationstripletts für mehr als 21000 Benutzer aufnehmen. Die Authentifikationstripletts können vorab geladen werden, wenn der Benutzer den Dienst erhält, indem das SIM-Modul für einige Stunden in einem Chipkartenleser bzw. Smartcard-Leser belassen wird, welcher die Authentifikationsabfragen dem Modul zuführt. Die aus den erhaltenen Antworten gebildeten Authentifikationstripletts werden in der Datenbank unter Verwendung der Modulinformation gespeichert. Dieses Verfahren arbeitet ebenfalls mit allen SIM-Modulen, unabhängig von den Betreibern. Die Datenbank kann beispielsweise in Verbindung mit dem Sicherheitsserver angeordnet sein. Somit ist es nicht notwendig, das (die) Authentifikationstriplett(s) von dem mobilen Kommunikationsnetzwerk her zu suchen, sondern teilnehmerspezifische Authentifikationstripletts können vorab in einer Datenbank DB gespeichert werden, die in Verbindung mit dem Sicherheitsserver angeordnet ist (vergleiche mit 1). Das heißt, dass Proxyserver nicht notwendigerweise überhaupt gebraucht werden. Für einige Teilnehmer können ebenfalls fertig erstellte Authentifikationstripletts in der Datenbank sein, und für einige können sie in Echtzeit aus dem mobilen Kommunikationssystem ausgelesen werden. Authentifikationstripletts können ebenfalls vorab aus dem mobilen Kommunikationssystem ausgelesen und in der Datenbank abgelegt werden.
  • Im Prinzip ist es ebenfalls möglich, das SIM-Modul von jedem Benutzer zu kopieren und die Kopie in Verbindung mit dem Sicherheitsserver zur Authentifikation des Benutzers zu verwenden (wodurch keine Anfrage bzw. Aufforderung von dem mobilen Kommunikationssystem erfolgt).
  • Diese beiden vorstehend beschriebenen Verfahren ermöglichen es für die verwendeten SIM-Module, Module zu sein, die einzig für diesen Zweck vorgesehen sind, und sie betreffen nicht notwendigerweise den Teilnehmer des mobilen Kommunikationsnetzwerks.
  • Die notwendigen Authentifikationsdaten können ebenfalls von dem GSM-Netzwerk erhalten werden, beispielsweise von der Verbindung zwischen dem MSC (Mobilvermittlungszentrum bzw. Mobilvermittlung bzw. Mobile Switching Centre) und dem BSC (Basisstationssteuereinrichtung bzw. Basisstationskontroller). Somit braucht der Proxyserver nicht notwendigerweise das Besucherortsregister bzw. Besucherregister VLR zu emulieren, wie es vorstehend dargestellt wurde, sondern er kann ebenfalls als ein Netzwerkelement der gleichen Art wie der Basisstationskontroller des GSM-Netzwerks dienen. Eine solche Alternative ist in 10 dargestellt, wo das Netzwerkelement mit dem Bezugszeichen BP bezeichnet ist. In diesem Fall ist der Proxyserver somit ein virtueller Basisstationskontroller, welcher auf die gleiche Weise wie die normalen BSCs (Basisstationskontroller) des GSM-Netzwerks an die MSC (Mobilvermittlung bzw. Mobile Switching Centre) angeschlossen ist. Von der Mobilvermittlung her gesehen sieht der Proxyserver wie ein herkömmlicher Basisstationskontroller zumindest hinsichtlich der die Authentifikation betreffenden Signalisierung aus.
  • Jedoch ist es bei dieser zweiten Alternative ein Problem, dass sie beträchtlich komplexere Signalisierung zwischen dem Proxyserver und dem GSM-Netzwerk als bei der ersten Alternative (1) erfordert. Darüber hinaus, als Konsequenz der Authentifikation bei der zweiten Alternative, wird der Benutzer in dem GSM-System sich in den Bereich des einen Basisstationskontroller emulierenden Proxyservers BP bewegen, jedoch ist dies kein wirklicher Basisstationskontroller in dem Sinne, dass es ihm möglich wäre, auch Anrufe zu vermitteln. Somit kann diese Lösung lediglich in Verbindung mit Datendiensten verwendet werden, und das Endgerät kann nicht von der Art eines Geräts mit zweierlei Betriebsarten wie vorstehend erwähnt sein.
  • Obwohl die Erfindung zuvor mit Bezug auf ein MIP fähiges Netzwerk beschrieben wurde, ist die erfindungsgemäße Lösung nicht an dieses Protokoll gebunden. Wenn das zu verwendende Protokoll IPv6 ist, dann gibt es keine richtigen Agenten in dem Netzwerk. Hierbei muss die Information bezüglich wann der Benutzer in dem Netzwerk ist aus den Routingtabellen des Routers in dem Heimatnetzwerk des Benutzers gewonnen werden. In der Praxis bedeutet dies, dass das Netzwerk einen separaten ”Ortsfindungsagenten” bzw. ”Lokalisierungsagenten” enthalten muss, welcher durch Überwachen oder ”Anklingeln” bzw. ”Anklopfen” des Routers erkennen wird, dass der Benutzer in das Netzwerk eingetreten ist und infolgedessen mit der Authentifikation durch Senden einer Nachricht (MOB_ATTACH) bezüglich des neuen Benutzers zu dem Sicherheitsserver beginnen wird. Es ist jedoch wahrscheinlich, dass Hersteller von Routern ein Protokoll entwerfen, aus dem sich ergibt, wann der Benutzer in dem Netzwerk ist.
  • Obwohl die Erfindung vorstehend mit Bezug auf die in den beigefügten Zeichnungen dargestellten Beispiele beschrieben wurde, ist es offensichtlich, dass die Erfindung nicht auf diese beschränkt ist, sondern innerhalb der in den beigefügten Patentansprüchen dargelegten erfinderischen Idee modifiziert werden kann. Eine Authentifikation braucht nicht notwendigerweise durchgeführt zu werden, um eine verschlüsselte Verbindung zwischen Benutzern aufzubauen, jedoch kann man als ein Ergebnis einer erfolgreichen Authentifikation beispielsweise eine Registrierung bei einem Postserver bzw. Mailserver durchführen, bevor E-Mail-Nachrichten zu dem Gerät des Benutzers gesendet werden. Auf diese Weise wird eine noch zuverlässigere Authentifikation erreicht als durch die derzeitigen, auf Passwörtern beruhenden Verfahren. Zusätzlich können in Verbindung mit den Zugriffspunkten lokale Server vorhanden sein, welche als Proxyserver für den eigentlichen Sicherheitsserver dienen, oder das System kann mehr als einen Sicherheitsserver enthalten. Anstatt des Kerberos-Systems ist es auch möglich, beispielsweise eine Verwaltung öffentlicher Schlüssel zu verwenden, welche auf einer x.500 Datenbank und auf x.509 Zertifikaten beruht.

Claims (22)

  1. Verfahren zum Authentifizieren der Identität eines Teilnehmers, der einem von einem mobilen Kommunikationssystem separaten IP-Netzwerk angegliedert ist, gekennzeichnet durch Empfangen, wenn sich ein Endgerät (TE1) dem IP-Netzwerk angliedert, wobei das Endgerät (TE1) ein Teilnehmeridentitätsmodul (SIM) von der gleichen Art wie in dem mobilen Kommunikationssystem (MN) aufweist, einer Nachricht von einem neuen Teilnehmer an einem speziellen Sicherheitsserver (SS), der an das IP-Netzwerk angeschlossen ist und Zugriff auf das mobile Kommunikationssystem hat, Auslesen von dem neuen Teilnehmer entsprechenden Teilnehmerauthentifikationsinformationen aus dem mobilen Kommunikationssystem zu dem Sicherheitsserver (SS), wobei die Authentifikationsinformationen zumindest eine Authentifikationsabfrage und eine Antwort enthalten, und Durchführen einer Authentifikation beruhend auf den aus dem mobilen Kommunikationssystem erhaltenen Authentifikationsinformationen durch Übertragen der Authentifikationsabfrage zu dem Endgerät (TE1) über das IP-Netzwerk, durch Empfangen einer Antwort, die als Ergebnis der dem Teilnehmeridentitätsmodul (SIM) als Eingabe zugeführten Authentifikationsabfrage erhalten wird, vom dem Endgerät (TE1) über das IP-Netzwerk, sowie durch Vergleichen der von dem Endgerät empfangenen Antwort mit der von dem mobilen Kommunikationssystem empfangenen Antwort.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Auslesen der Teilnehmerauthentifikationsinformation aus dem mobilen Kommunikationsnetzwerk von dem Sicherheitsserver (SS) im Ansprechen auf die Nachricht begonnen wird.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass im Ansprechen auf eine erfolgreiche Authentifikation eine Registrierung des Teilnehmers als ein Klient eines separaten Schlüsselverwaltungssystems durchgeführt wird.
  4. Verfahren nach Anspruch 3 für IP-Netzwerke, dadurch gekennzeichnet, dass das bekannte Kerberos-System als das Schlüsselverwaltungssystem verwendet wird.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die von dem mobilen Kommunikationssystem erhaltene teilnehmerspezifische Authentifikationsinformation auch einen Schlüssel (Kc) enthält, wobei der Teilnehmer als ein Klient des Kerberos-Systems registriert wird, so dass der Schlüssel (a) als das Passwort des Klienten und (b) als ein Passwort für einen Dienst registriert wird, der für die IP-Adresse des Klienten oder für eine in dem mobilen Kommunikationssystem verwendete Teilnehmeridentität (IMSI) geschaffen ist.
  6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Teilnehmerauthentifikationsinformation mit Hilfe eines separaten Proxyservers (HP) ausgelesen wird, welcher als ein das Besucherortsregister VLR des mobilen Kommunikationssystems emulierendes Netzwerkelement dient und welcher die Authentifikationsinformation von einem Authentifikationszentrum AuC anfordert, das auf die gleiche Art und Weise wie das eigene Besucherortsregister des mobilen Kommunikationssystems in Verbindung mit dem Heimatortsregister HLR des Teilnehmers angeordnet ist.
  7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Teilnehmerauthentifikationsinformation mit Hilfe eines separaten Proxyservers (BP) ausgelesen wird, welcher als ein Netzwerkelement dient, welches einen Basisstationskontroller des mobilen Kommunikationssystems emuliert und welches in Verbindung mit dem Mobilvermittlungszentrum (MSC) des mobilen Kommunikationssystems zum Auslesen der Authentifikationsinformation von einem Authentifikationszentrum AuC ist, welches in Verbindung mit dem Heimatortsregister HLR des Teilnehmers angeordnet ist, wobei das Auslesen auf die gleiche Weise wie das Auslesen der Authentifikationsinformation zu dem eigenen Basisstationskontroller des mobilen Kommunikationssystems erfolgt.
  8. Authentifikationsvorrichtung zur Authentifikation der Identität eines Teilnehmers, der einem von einem mobilen Kommunikationssystem separaten IP-Netzwerk angegliedert ist, dadurch gekennzeichnet, dass die Vorrichtung an das IP-Netzwerk angeschlossen ist und Zugriff auf das mobile Kommunikationssystem hat, und dass sie aufweist Einrichtungen zum Empfangen einer Nachricht eines neuen Teilnehmers, wenn sich ein Endgerät (TE1) dem IP-Netzwerk angliedert, wobei das Endgerät (TE1) ein Teilnehmeridentitätsmodul (SIM) von der gleichen Art wie in dem mobilen Kommunikationssystem (MN) aufweist, Einrichtungen zum Auslesen von dem neuen Teilnehmer entsprechenden Teilnehmerauthentifikationsinformationen aus dem mobilen Kommunikationssystem (MN), wobei die Authentifikationsinformationen zumindest eine Authentifikationsabfrage und eine Antwort enthalten, und Einrichtungen zum Durchführen einer Authentifikation beruhend auf den aus dem mobilen Kommunikationssystem erhaltenen Authentifikationsinformationen durch Übertragen der Authentifikationsabfrage zu dem Endgerät (TE1) über das IP-Netzwerk, durch Empfangen einer Antwort, die als Ergebnis der dem Teilnehmeridentitätsmodul (SIM) als Eingabe zugeführten Authentifikationsabfrage erhalten wird, von dem Endgerät (TE1) über das IP-Netzwerk, und durch Vergleichen der von dem Endgerät empfangenen Antwort mit der von dem mobilen Kommunikationssystem empfangenen Antwort.
  9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass das Identitätsmodul das in einem GSM-Netzwerk als das mobile Kommunikationssystem verwendete Teilnehmeridentitätsmodul (SIM) ist.
  10. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Nachrichtenempfangseinrichtungen angepasst sind, die Nachricht von einem Heimatagenten (HA) gemäß einem mobilen IP-Netzwerk als das IP-Netzwerk zu empfangen.
  11. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Ausleseeinrichtungen angepasst sind, die Teilnehmerauthentifikationsinformationen über einen Proxyserver (HP, BP) abzufragen, der an ein GSM-Netzwerk als das mobile Kommunikationssystem angeschlossen ist.
  12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass der Proxyserver als ein das Besucherortsregister VLR des GSM-Netzwerks emulierendes Netzwerkelement dient.
  13. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass der Proxyserver als ein den Basisstationskontroller BSC des GSM-Netzwerks emulierendes Netzwerkelement dient.
  14. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass die Vorrichtung ferner einen Kerberos-Server (KS) enthält, als dessen Klient der Teilnehmer als Ergebnis einer erfolgreichen Authentifikation registriert wird.
  15. Verfahren zum Authentifizieren der Identität eines Teilnehmers, der einem von einem mobilen Kommunikationssystem separaten IP-Netzwerk angegliedert ist, gekennzeichnet durch Speichern teilnehmerspezifischer Authentifikationsinformationen in einer Datenbank (DB), wobei die Informationen zumindest eine Authentifikationsabfrage und eine Antwort der gleichen Art enthalten, wie sie in dem mobilen Kommunikationssystem (MN) zur Authentifikation verwendet werden, Empfangen, wenn sich ein Endgerät (TE1) dem IP-Netzwerk angliedert, wobei das Endgerät (TE1) ein Teilnehmeridentitätsmodul (SIM) von der gleichen Art wie in dem mobilen Kommunikationssystem (MN) aufweist, einer Nachricht von einem neuen Teilnehmer an einem speziellen Sicherheitsserver (SS), der an das IP-Netzwerk angeschlossen ist und Zugriff auf das mobile Kommunikationssystem hat, Wiederauffinden, im Ansprechen auf die Nachricht, von dem neuen Teilnehmer entsprechenden Teilnehmerauthentifikationsinformationen aus der Datenbank (DB), und Durchführen einer Authentifikation beruhend auf den aus der Datenbank erhaltenen Authentifikationsinformationen durch Übertragen der Authentifikationsabfrage an das Endgerät (TE1) über das IP-Netzwerk, durch Empfangen einer Antwort, die als Ergebnis der dem Teilnehmeridentitätsmodul (SIM) als Eingabe zugeführten Authentifikationsabfrage erhalten wird, vom dem Endgerät (TE1) über das IP-Netzwerk, und durch Vergleichen der von dem Endgerät empfangenen Antwort mit der aus der Datenbank erhaltenen Antwort.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass die Datenbank in Verbindung mit dem Sicherheitsserver gespeichert ist.
  17. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass im Ansprechen auf eine erfolgreiche Authentifikation eine Registrierung des Teilnehmers als der Benutzer eines separaten Schlüsselverwaltungssystems durchgeführt wird.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass das bekannte Kerberos-System als das Schlüsselverwaltungssystem verwendet wird.
  19. Authentifikationsvorrichtung zur Authentifikation der Identität eines Teilnehmers, der einem von einem mobilen Kommunikationssystem separaten IP-Netzwerk angegliedert ist, dadurch gekennzeichnet, dass die Vorrichtung an das IP-Netzwerk angeschlossen ist und Zugriff auf das mobile Kommunikationssystem hat, und dass sie aufweist Einrichtungen zum Empfangen einer Nachricht eines neuen Teilnehmers, wenn sich ein Endgerät (TE1) dem IP-Netzwerk angliedert, wobei das Endgerät (TE1) ein Teilnehmeridentitätsmodul (SIM) von der gleichen Art wie in dem mobilen Kommunikationssystem (MN) aufweist, Datenbankeinrichtungen (SS, DB), welche eine Datenbank (DB) zum Speichern von teilnehmerspezifischen Authentifikationsinformationen enthalten, welche zumindest eine Authentifikationsabfrage und eine Antwort der gleichen Art enthalten, wie sie in dem mobilen Kommunikationssystem (MN) zur Authentifikation verwendet werden, und welche eine Wiederauffindeeinrichtung (SS) enthalten, zum Wiederauffinden von dem neuen Teilnehmer entsprechenden teilnehmerspezifischen Authentifikationsinformationen aus der Datenbank im Ansprechen auf die Nachricht, Einrichtungen zum Durchführen einer Authentifikation beruhend auf den aus der Datenbank erhaltenen Authentifikationsinformationen durch Übertragen der Authentifikationsabfrage an das Endgerät (TE1) über das IP-Netzwerk, durch Empfangen einer Antwort, die als Ergebnis der dem Teilnehmeridentitätsmodul (SIM) als Eingabe zugeführten Authentifikationsabfrage erhalten wird, von dem Endgerät (TE1) über das IP-Netzwerk, und durch Vergleichen der von dem Endgerät empfangenen Antwort mit der aus der Datenbank erhaltenen Antwort.
  20. Vorrichtung nach Anspruch 19, dadurch gekennzeichnet, dass das Identitätsmodul ein in einem GSM-Netzwerk als das mobile Kommunikationssystem verwendetes Teilnehmeridentitätsmodul (SIM) ist.
  21. Vorrichtung nach Anspruch 19, dadurch gekennzeichnet, dass die Nachrichtenempfangseinrichtungen angepasst sind, die Nachricht von einem Heimatagenten (HA) gemäß einem mobilen IP-Netzwerk als das IP-Netzwerk zu empfangen.
  22. Vorrichtung nach Anspruch 19, dadurch gekennzeichnet, dass die Vorrichtung ferner einen Kerberos-Server (KS) enthält, als dessen Klient der Teilnehmer als Ergebnis einer erfolgreichen Authentifikation registriert wird.
DE19983405T 1998-07-07 1999-06-24 System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem Expired - Lifetime DE19983405B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI981565A FI105966B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkossa
FI981565 1998-07-07
PCT/FI1999/000565 WO2000002406A2 (en) 1998-07-07 1999-06-24 System and method for authentication in a mobile communications system

Publications (2)

Publication Number Publication Date
DE19983405T1 DE19983405T1 (de) 2001-05-31
DE19983405B4 true DE19983405B4 (de) 2011-08-18

Family

ID=8552157

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19983405T Expired - Lifetime DE19983405B4 (de) 1998-07-07 1999-06-24 System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem

Country Status (7)

Country Link
US (2) US7003282B1 (de)
JP (1) JP2002520923A (de)
AU (1) AU4912199A (de)
DE (1) DE19983405B4 (de)
FI (1) FI105966B (de)
GB (1) GB2355157B (de)
WO (1) WO2000002406A2 (de)

Families Citing this family (122)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6560216B1 (en) 1998-09-17 2003-05-06 Openwave Systems Inc. Data network computing device call processing
US7809382B2 (en) * 2000-04-11 2010-10-05 Telecommunication Systems, Inc. Short message distribution center
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6834341B1 (en) 2000-02-22 2004-12-21 Microsoft Corporation Authentication methods and systems for accessing networks, authentication methods and systems for accessing the internet
US7444669B1 (en) 2000-05-05 2008-10-28 Microsoft Corporation Methods and systems for providing variable rates of service for accessing networks, methods and systems for accessing the internet
US7032241B1 (en) * 2000-02-22 2006-04-18 Microsoft Corporation Methods and systems for accessing networks, methods and systems for accessing the internet
WO2001069838A2 (en) * 2000-03-15 2001-09-20 Nokia Corporation Method, and associated apparatus, for generating security keys in a communication system
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI108769B (fi) 2000-04-07 2002-03-15 Nokia Corp Liityntäpisteen liittäminen langattomassa tietoliikennejärjestelmässä
WO2001086883A2 (en) * 2000-05-05 2001-11-15 Nokia Internet Communications Inc. Method and apparatus for translating network address identifiers related to mobile stations
FI110558B (fi) * 2000-05-24 2003-02-14 Nokia Corp Menetelmä matkaviestinverkon kautta pakettidataverkkoon kytketyn päätelaitteen paikkatiedon käsittelemiseksi
FI20001512A (fi) * 2000-06-26 2001-12-27 Nokia Corp Salaamattoman käyttäjäliikenteen kontrollointi
GB2365264B (en) * 2000-07-25 2004-09-29 Vodafone Ltd Telecommunication systems and methods
FI110736B (fi) * 2000-08-01 2003-03-14 Nokia Corp Datansiirtomenetelmä, tilaajapäätelaite ja GPRS/EDGE-radioliityntäverkko
JP2002064851A (ja) 2000-08-18 2002-02-28 Nec Corp 移動通信システム及び移動通信端末の在圏位置情報整合方法
TW548535B (en) * 2000-10-17 2003-08-21 Ericsson Telefon Ab L M Security system
US20020056001A1 (en) * 2000-11-09 2002-05-09 Magee Stephen D. Communication security system
GB0028730D0 (en) * 2000-11-24 2001-01-10 Nokia Oy Ab Improvement in and relating to transaction security
GB2369530A (en) * 2000-11-24 2002-05-29 Ericsson Telefon Ab L M IP security connections for wireless authentication
CN100428751C (zh) * 2000-12-25 2008-10-22 松下电器产业株式会社 安全通信包处理装置及其方法
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US7224801B2 (en) * 2000-12-27 2007-05-29 Logitech Europe S.A. Wireless secure device
US20020090089A1 (en) * 2001-01-05 2002-07-11 Steven Branigan Methods and apparatus for secure wireless networking
BR0202291A (pt) * 2001-01-31 2003-06-10 Ntt Docomo Inc Aperfeiçoamento introduzido em método e aparado para a entrega de um programa para o módulo de armazenagem de um terminal móvel
GB2366141B (en) * 2001-02-08 2003-02-12 Ericsson Telefon Ab L M Authentication and authorisation based secure ip connections for terminals
US20020138635A1 (en) * 2001-03-26 2002-09-26 Nec Usa, Inc. Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
GB0108041D0 (en) * 2001-03-30 2001-05-23 Nokia Networks Oy Presence service in IP multimedia
WO2002087272A1 (en) * 2001-04-25 2002-10-31 Nokia Corporation Authentication in a communication system
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7185362B2 (en) * 2001-08-20 2007-02-27 Qualcomm, Incorporated Method and apparatus for security in a data processing system
KR100422826B1 (ko) * 2001-08-27 2004-03-12 삼성전자주식회사 이동 아이피 망에서 챌린지를 이용한 메시지 재사용에의한 공격방지 방법
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
JP2003101570A (ja) * 2001-09-21 2003-04-04 Sony Corp 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム
FI114953B (fi) 2001-09-28 2005-01-31 Nokia Corp Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US7649829B2 (en) 2001-10-12 2010-01-19 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
CA2358732A1 (en) * 2001-10-12 2003-04-12 Wmode Inc. Method and system for remote authentication of a digital wireless device using a personal identification number
JP4019266B2 (ja) 2001-10-25 2007-12-12 日本電気株式会社 データ送信方法
US7409549B1 (en) * 2001-12-11 2008-08-05 Cisco Technology, Inc. Methods and apparatus for dynamic home agent assignment in mobile IP
CN1268093C (zh) * 2002-03-08 2006-08-02 华为技术有限公司 无线局域网加密密钥的分发方法
GB0206849D0 (en) 2002-03-22 2002-05-01 Nokia Corp Communication system and method
US7356147B2 (en) * 2002-04-18 2008-04-08 International Business Machines Corporation Method, system and program product for attaching a title key to encrypted content for synchronized transmission to a recipient
JP4977315B2 (ja) * 2002-04-25 2012-07-18 日本電気株式会社 移動通信網システム及び移動通信方法
US7587498B2 (en) * 2002-05-06 2009-09-08 Cisco Technology, Inc. Methods and apparatus for mobile IP dynamic home agent allocation
FI20020982A (fi) * 2002-05-24 2003-11-25 Sonera Oyj Autentikointimenetelmä ja -järjestely
ES2254693T3 (es) * 2002-06-07 2006-06-16 Siemens Aktiengesellschaft Procedimiento y dispositivo para la auntentificacion de un usuario para la utilizacion de servicios de una red local sin hilos (wlan).
ITRM20020335A1 (it) * 2002-06-14 2003-12-15 Telecom Italia Mobile Spa Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa.
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
DE50207674D1 (de) * 2002-08-16 2006-09-07 Togewa Holding Ag Verfahren und system für gsm-authentifizierung bei wlan-roaming
US7239861B2 (en) * 2002-08-26 2007-07-03 Cisco Technology, Inc. System and method for communication service portability
GB0221674D0 (en) * 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7870389B1 (en) * 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
US7599655B2 (en) 2003-01-02 2009-10-06 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US20040203739A1 (en) * 2003-01-22 2004-10-14 Jun Li Mobile communication system
ITRM20030100A1 (it) 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
US20040202329A1 (en) * 2003-04-11 2004-10-14 Samsung Electronics Co., Ltd. Method and system for providing broadcast service using encryption in a mobile communication system
US7181196B2 (en) * 2003-05-15 2007-02-20 Lucent Technologies Inc. Performing authentication in a communications system
CN1297155C (zh) * 2003-06-10 2007-01-24 华为技术有限公司 全球移动通信系统用户漫游到码分多址网络的鉴权方法
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US20050060551A1 (en) * 2003-09-15 2005-03-17 Barchi Ronald S. Terminal device IP address authentication
EP1679922A4 (de) * 2003-10-29 2008-07-23 Fujitsu Ltd Funkeinheit
BR0318596B1 (pt) * 2003-11-07 2018-01-09 Telecom Italia Spa “método e sistema para autenticar um terminal de processamento de dados de um usuário, método pelo qual um terminal de processamento de dados em um sistema de processamento de dados é autenticado, e, conjunto de autenticação para autenticar o terminal de processamento de dados de um usuário em um sistema de processamento de dados”
US7185091B2 (en) * 2003-11-20 2007-02-27 Motorola, Inc. Method and system for transmitting compressed messages at a proxy to a mobile device in a network
US20050198506A1 (en) * 2003-12-30 2005-09-08 Qi Emily H. Dynamic key generation and exchange for mobile devices
KR100664110B1 (ko) * 2004-02-04 2007-01-04 엘지전자 주식회사 이동 통신 단말기의 사용제한 설정 방법
JP4630275B2 (ja) * 2004-03-17 2011-02-09 アイピートーク株式会社 無線通信端末及び無線通信方法
US20050221853A1 (en) * 2004-03-31 2005-10-06 Silvester Kelan C User authentication using a mobile phone SIM card
WO2005120007A1 (en) 2004-05-31 2005-12-15 Telecom Italia S.P.A. Method and system for a secure connection in communication networks
WO2006012058A1 (en) * 2004-06-28 2006-02-02 Japan Communications, Inc. Systems and methods for mutual authentication of network
US7725716B2 (en) * 2004-06-28 2010-05-25 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
WO2006000900A1 (en) * 2004-06-29 2006-01-05 Nokia Corporation Internet high speed packet access
ATE552708T1 (de) 2004-07-16 2012-04-15 Bridgeport Networks Präsenzdetektion und weiterreichung für die zellulare und internet-protokoll-telefonie
WO2006015266A2 (en) * 2004-07-30 2006-02-09 Meshnetworks, Inc. System and method for effecting the secure deployment of networks
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US8179870B2 (en) * 2004-09-29 2012-05-15 Intel Corporation Method and apparatus for securing devices in a network
DE602004005461T2 (de) 2004-09-30 2007-12-13 Alcatel Lucent Mobile Authentifizierung für den Netzwerkzugang
US20060089123A1 (en) * 2004-10-22 2006-04-27 Frank Edward H Use of information on smartcards for authentication and encryption
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
US7616594B2 (en) * 2005-04-22 2009-11-10 Microsoft Corporation Wireless device discovery and configuration
DE102005027027B4 (de) * 2005-06-11 2014-07-31 Keynote Systems, Inc. Verfahren zur Authentisierung eines mobilen Testgerätes in einem Mobilfunknetz sowie Testsystem zur Überprüfung von Übertragungsvorgängen innerhalb eines Mobilfunknetzes und zur Durchführung eines derartigen Authentisierungsverfahrens
US8356175B2 (en) 2005-06-29 2013-01-15 Intel Corporation Methods and apparatus to perform associated security protocol extensions
US10867024B2 (en) * 2005-08-20 2020-12-15 Tara Chand Singhal Systems and methods for two-factor remote user authentication
US20070047477A1 (en) * 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US8165565B2 (en) 2006-01-24 2012-04-24 British Telecommunications Plc Method and system for recursive authentication in a mobile network
US8774155B2 (en) * 2006-02-03 2014-07-08 Broadcom Corporation Transporting call data via a packet data network
ES2617546T3 (es) * 2006-02-23 2017-06-19 Togewa Holding Ag Sistema de conmutación y método correspondiente para la unidifusión o multidifusión de transmisiones de flujo de datos de extremo a extremo y/o multimedia entre nodos de red
EP1835688A1 (de) 2006-03-16 2007-09-19 BRITISH TELECOMMUNICATIONS public limited company Authentisierung basiert auf dem SIM
US8332923B2 (en) * 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
CN101184008B (zh) * 2007-12-14 2010-06-09 北京中星微电子有限公司 一种远程信息访问方法及装置
WO2009086661A1 (en) * 2007-12-29 2009-07-16 Motorola, Inc. User identification method and apparatus for multimedia priority service
BRPI0917067A2 (pt) * 2008-12-03 2016-02-16 Entersect Internat Ltd método de autenticação de uma transação segura e sistema para autenticar uma transação segura
US8559949B2 (en) * 2009-01-06 2013-10-15 Altobridge Limited Base station subsystem multiplexer with support for local switching
US9774695B2 (en) 2009-06-17 2017-09-26 Counterpath Corporation Enhanced presence detection for routing decisions
US8375432B2 (en) 2009-08-31 2013-02-12 At&T Mobility Ii Llc Methods, apparatus, and computer program products for subscriber authentication and temporary code generation
US8271784B2 (en) 2009-10-15 2012-09-18 International Business Machines Corporation Communication between key manager and storage subsystem kernel via management console
CN102396284B (zh) * 2009-10-30 2015-05-06 华为技术有限公司 用于传输净负荷数据的方法和设备
US8515063B2 (en) * 2009-12-21 2013-08-20 Motorola Mobility Llc Coordinated viewing experience among remotely located users
US8423760B2 (en) * 2010-02-23 2013-04-16 Stoke, Inc. Method and system for reducing packet overhead for an LTE architecture while securing traffic in an unsecured environment
US8862145B2 (en) * 2010-04-05 2014-10-14 Qualcomm Incorporated Method and apparatus to improvie idle mode power consumption in multiple USIM configuration
CN103338443B (zh) * 2013-05-29 2016-04-20 北京奇虎科技有限公司 一种终端安全保护方法和系统
JP6248422B2 (ja) * 2013-06-05 2017-12-20 富士通株式会社 情報開示システム、情報開示プログラム及び情報開示方法
WO2015006047A1 (en) * 2013-07-11 2015-01-15 Eden Rock Communications, Llc Method and system for proxy base station
US10002248B2 (en) 2016-01-04 2018-06-19 Bank Of America Corporation Mobile device data security system
US9912700B2 (en) 2016-01-04 2018-03-06 Bank Of America Corporation System for escalating security protocol requirements
US10003686B2 (en) 2016-01-04 2018-06-19 Bank Of America Corporation System for remotely controlling access to a mobile device
US9749308B2 (en) * 2016-01-04 2017-08-29 Bank Of America Corporation System for assessing network authentication requirements based on situational instance
US9985834B1 (en) 2016-11-30 2018-05-29 Wipro Limited Methods and systems for auto-configuration of digital subscriber line (DSL) modems in wireline broadband networks
US10361858B2 (en) * 2017-04-07 2019-07-23 Hushmesh Inc. Residence-based digital identity and strong authentication system
US11233647B1 (en) 2018-04-13 2022-01-25 Hushmesh Inc. Digital identity authentication system
CN111030964A (zh) * 2018-10-09 2020-04-17 中国移动通信有限公司研究院 一种响应Detach指令的方法和设备
US11962617B2 (en) 2021-03-03 2024-04-16 Bank Of America Corporation Cross-channel network security system with tiered adaptive mitigation operations
US11877218B1 (en) 2021-07-13 2024-01-16 T-Mobile Usa, Inc. Multi-factor authentication using biometric and subscriber data systems and methods

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041050A1 (en) * 1997-03-10 1998-09-17 Nokia Telecommunications Oy Finding copied sim cards

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI96261C (fi) * 1992-12-01 1996-05-27 Nokia Telecommunications Oy Menetelmä tilaajan laitetunnuksen tarkistamiseksi tilaajalaiterekisteristä ja matkapuhelinkeskus
FI952146A (fi) * 1995-05-04 1996-11-05 Nokia Telecommunications Oy Tilaajalaitteen käyttoikeuden tarkistus
US5864757A (en) * 1995-12-12 1999-01-26 Bellsouth Corporation Methods and apparatus for locking communications devices
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
EP0960402B1 (de) * 1996-06-19 2007-09-26 Behruz Vazvan Echtzeitsystem und -verfahren für ferneinkaufs- oder fernrechnungszahlungstransaktionen und übertragung von elektronischem geld und anderen notwendigen daten
US6088451A (en) * 1996-06-28 2000-07-11 Mci Communications Corporation Security system and method for network element access
US6496704B2 (en) * 1997-01-07 2002-12-17 Verizon Laboratories Inc. Systems and methods for internetworking data networks having mobility management functions
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
EP0970411B1 (de) * 1997-03-27 2002-05-15 BRITISH TELECOMMUNICATIONS public limited company Datenkopierschutz
US6466780B1 (en) * 1997-09-03 2002-10-15 Interlok Technologies, Llc Method and apparatus for securing digital communications
US6148402A (en) * 1998-04-01 2000-11-14 Hewlett-Packard Company Apparatus and method for remotely executing commands using distributed computing environment remote procedure calls

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998041050A1 (en) * 1997-03-10 1998-09-17 Nokia Telecommunications Oy Finding copied sim cards

Also Published As

Publication number Publication date
DE19983405T1 (de) 2001-05-31
JP2002520923A (ja) 2002-07-09
FI981565A0 (fi) 1998-07-07
GB2355157B (en) 2003-03-19
US20060073811A1 (en) 2006-04-06
FI105966B (fi) 2000-10-31
GB0100021D0 (en) 2001-02-14
GB2355157A (en) 2001-04-11
AU4912199A (en) 2000-01-24
US7280820B2 (en) 2007-10-09
FI981565A (fi) 2000-01-08
WO2000002406A2 (en) 2000-01-13
US7003282B1 (en) 2006-02-21
WO2000002406A3 (en) 2000-02-24

Similar Documents

Publication Publication Date Title
DE19983405B4 (de) System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
EP1529375B1 (de) Verfahren und system für gsm-billing bei wlan roaming
EP1749367B1 (de) Verfahren und system für content-basiertes billing in ip-netzwerken
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60114789T2 (de) Authentifizierung in einem paketdatennetz
EP1989853B1 (de) Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
DE60013588T2 (de) Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten
DE60320028T2 (de) Single Sign-On (SSO) für Benutzer von Paketfunknetz-Roaming in einem Multinationalen Betreibernetz
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60109993T2 (de) Verfahren zur überprüfung der menge übermittelter daten
EP1316230B1 (de) Generische wlan-architektur
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
DE102006031870B4 (de) Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE69914340T2 (de) System und verfahren zum unterhalten einer virtuellen verbindung zu einem netzknoten
WO2007051793A1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
EP1825648B1 (de) Zugangsverfahren im wlan von ip-mobilfunktelefon mit authentifizierung mittels hlr
EP1721235A1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE60038678T2 (de) Mobiler internetzugriff
EP1522202B1 (de) Erstellen von dienstevereinbarungen zur nutzung netzinterner funktionen von telekommunikationsnetzen
CH694678A5 (de) Verfahren und System für GSM-Authentifizierung bei WLAN Roaming.
DE60215978T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8125 Change of the main classification

Ipc: H04W 12/06 AFI20051017BHDE

R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20111119

R082 Change of representative

Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, 80538 MUENCHEN,

Representative=s name: SAMSON & PARTNER, PATENTANWAELTE, DE

Representative=s name: SAMSON & PARTNER PATENTANWAELTE MBB, DE

R081 Change of applicant/patentee

Owner name: NOKIA TECHNOLOGIES OY, FI

Free format text: FORMER OWNER: NOKIA NETWORKS OY, ESPOO, FI

R082 Change of representative

Representative=s name: SAMSON & PARTNER PATENTANWAELTE MBB, DE

R071 Expiry of right