DE60320511T2 - Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer - Google Patents

Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer Download PDF

Info

Publication number
DE60320511T2
DE60320511T2 DE60320511T DE60320511T DE60320511T2 DE 60320511 T2 DE60320511 T2 DE 60320511T2 DE 60320511 T DE60320511 T DE 60320511T DE 60320511 T DE60320511 T DE 60320511T DE 60320511 T2 DE60320511 T2 DE 60320511T2
Authority
DE
Germany
Prior art keywords
user profile
user
authentication server
message
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60320511T
Other languages
English (en)
Other versions
DE60320511D1 (de
Inventor
Jukka Tuomi
Timo Takamaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks Oy
Original Assignee
Nokia Siemens Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks Oy filed Critical Nokia Siemens Networks Oy
Publication of DE60320511D1 publication Critical patent/DE60320511D1/de
Application granted granted Critical
Publication of DE60320511T2 publication Critical patent/DE60320511T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/16Communication-related supplementary services, e.g. call-transfer or call-hold
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events

Description

  • Die Erfindung bezieht sich auf das Ausführen einer Authentifizierung in einem Kommunikationssystem.
  • In vielen Kommunikationssystemen, beispielsweise Telefonsystemen, werden Benutzer authentifiziert, bevor ihnen Zugang zu den Ressourcen gewährt wird. Die Ressourcen könnten beispielsweise Datensende- und/oder Datenempfangsdienste, Zugang zu einem Netz oder zu Daten oder Zugang zu Konfigurationsoptionen sein.
  • 1 zeigt ein solches System. 1 ist ein schematisches Diagramm eines GSM-Kommunikationssystems (Global System for Mobile Communications). Nur die relevanten Teile des Systems sind in 1 gezeigt. Das in 1 gezeigte System umfasst ein GSM-Netz, mit dem ein Endgerät 1 kommunizieren kann. Das Netz umfasst ein Heimatregister (HLR) 3, ein Besucherregister (VLR) 4 und einen Authentifizierungsserver (AS) 5. Das System umfasst auch ein drahtloses lokales Netz (WLAN) 7. Das Endgerät kann sowohl im GSM-Netz als auch im WLAN kommunizieren.
  • Das HLR und das VLR liefern zusammen Einrichtungen, die primär für eine Ruflenkung und ein Roaming verwendet werden. Das HLR speichert ein Benutzerprofil für jeden Teilnehmer des Netzes 1, einschließlich von Verwaltungsinformation für den Teilnehmer. Es kann auch Information speichern, die den aktuellen Standort des Endgeräts, das von diesem Teilnehmer verwendet wird, definiert. Der aktuelle Standort des Endgeräts wird typischerweise in Form der Signalisieradresse des VLR, die mit der Mobilstation verknüpft ist, vorgehalten. Wenn das Endgerät im Netz 1 arbeitet, so wird das dann die Adresse des VLR 4 sein. Wenn das Endgerät sich in ein anderes Netz bewegt, dann ist dies die Adresse des VLR dieses Netzes. Es gibt logisch ein einziges HLR in jedem GSM-Netz, obwohl es als eine verteilte Datenbank implementiert sein kann. Das VLR speichert ausgewählte Verwaltungsinformation vom HLR, die für die Rufsteuerung und das Vorsehen von Diensten notwendig ist, für jedes Endgerät, das sich aktuell im geographischen Gebiet befindet, für das das VLR verantwortlicht ist.
  • Der Authentifizierungsserver wird verwendet, um ein Endgerät zu authentifizieren, wenn Dienste an es geliefert werden sollen. Ein Weg, auf dem dies erfolgt, ist der folgende. Das Endgerät 2 umfasst ein Teilnehmeridentitätsmodul (SIM) 6, das einen geheimen Authentifizierungsschlüssel speichert und das eine Authentifizierungsfunktion ausführen kann, die als Operanden diesen Schlüssel und Daten verwendet, die an das SIM vom Endgerät geliefert werden. Das Ergebnis der Funktion wird an das Endgerät zurückgegeben. Der geheime Schlüssel wird auch im Benutzerprofil für den Teilnehmer gespeichert, das in seinem HLR vorgehalten wird. Wenn der Teilnehmer authentifiziert werden soll, werden diesem Endgerät Abfragedaten durch die Einheit geliefert, die wünscht, dass er authentifiziert werden soll. Die Abfragedaten werden an das SIM gegeben, das die Authentifizierungsfunktion aus den Abfragedaten und dem gespeicherten geheimen Schlüssel berechnet. Das Ergebnis dieser Funktion wird an das Netz zurückgegeben, beispielsweise an die Einheit, die wünscht, dass der Teilnehmer authentifiziert wird. Das Ergebnis kann dann zusammen mit den Abfragedaten an den Authentifizierungsserver 5 gegeben werden, der den geheimen Schlüssel für den Teilnehmer vom HLR des Teilnehmers abruft und die Authentifizierungsfunktion dieses Schlüssels und der Abfragedaten berechnet. Wenn das Ergebnis dieser Berechnung zum Ergebnis passt, das an den Authentifizierungsserver geliefert wird, dann gibt der Authentifizierungsserver eine Nachricht an die Einheit zurück, die wünscht, dass der Teilnehmer authentifiziert wird, um anzugeben, dass der Teilnehmer authentifiziert worden ist. Ansonsten ist der Teilnehmer nicht authentifiziert. Ein erweitertes Authentifizierungsprotokoll (Extensible Authentication Protocol, EAP) kann für diesen Zweck verwendet werden.
  • Die konventionelle Sequenz der Signalisierung des AS, um Teilnehmerprofilinformation von einem HLR zu erhalten, ist folgende:
    • A. Der AS überträgt eine MAP_SEND_AUTHENTICATION_INFO-Nachricht (MAP_SENDE_AUTHENTIFIZIERUNGS_INFO-Nachricht) an das HLR.
    • B. Das HLR antwortet mit einer MAP_SEND_AUTHENTICATION_INFO_ACK-Bestätigungsnachricht (MAP_SENDE_AUTHENTIFZIERUNGS_INFO_ACK-Bestätigungsnachricht).
    • C. Der AS überträgt eine MAP_RESTORE_DATE-Nachricht (MAP_WIEDERHERSTELLUNGS_DATEN-Nachricht) an das HLR.
    • D. Das HLR antwortet mit einer MAP_INSERT_SUBSCRIBER_DATA-Nachricht (MAP_EINSCHUB_TEILNEHMER_DATEN-Nachricht), die die Teilnehmerdaten an den AS liefert.
  • Ein Beispiel einer Situation, bei der eine Authentifizierung verwendet werden kann, ist die Authentifizierung eines Endgeräts, um helfen zu bestimmen, ob ihm Zugang zu einem drahtlosen lokalen Netz (WLAN) (7 in 1) gegeben werden soll. Wenn diese Form der Authentifizierung in Gebrauch ist, wenn ein Teilnehmer versucht, auf das WLAN zuzugreifen, so authentifiziert die Einheit, die den Zugang zum WLAN steuert, die Identität des Teilnehmers mittels des AS des GSM-Netzes. Dies erfordert, dass der AS das Teilnehmerbenutzerprofil von seinem HLR abruft. Sogar wenn das Endgerät in beiden Netzen arbeiten kann, kann es sein, dass das Endgerät sich nicht in Kommunikation oder Verbindung mit dem GSM-Netz befindet, wenn es versucht, auf das GSM-Netz zuzugreifen: es könnte sich außerhalb des Bereichs des GSM-Netzes befinden oder sein GSM-Sende-Empfänger könnte ausgeschaltet sein.
  • In obigem Szenarium wird das GSM-Netz verwendet, um die Authentifizierung eines Endgeräts zu unterstützen, das versucht, Zugang zu einem anderen Netz zu bekommen. Die Kreuznetzauthentifizierung (cross-network authentication) dieses Typs stellt eine etwas andere Situation dar als sie vorausgesehen wurde, als die HLRs des GSM zuerst entwickelt wurden. Bevor die Kreuznetzauthentifizierung dieses Typs verbreitet vorausgesehen wurde, konnte angenommen werden, dass das Endgerät, das zu authentifizieren ist, mit dem GSM-Netz verbunden sein würde. Dies ist jedoch nicht notwendigerweise der Fall. Somit kann vorausgesehen werden, dass Probleme auftreten können beim Erhalten des Teilnehmerprofils von einem HLR, um eine Authentifizierung in diesem Szenarium auszuführen.
  • Beispielsweise hat der Anmelder entdeckt, dass HLRs, die von mindestens einem Hersteller hergestellt werden, kein Teilnehmerprofil in Erwiderung auf eine MAP_RESTORE_DATA-Nachricht zurückgeben, es sei denn, dass sie einen Datensatz der Adresse eines VLR für den Teilnehmer speichern, und dass solche HLRs ihre Datensätze des VLR, die mit einem Teilnehmer verbunden sind, nach einer Dauer von ungefähr drei Tagen löschen. Somit kann es mit diesen HLRs, wenn das Endgerät mit dem GSM-Netz in den Tagen vor der Zeit, zu der es versucht, einen Zugang zum WLAN zu erhalten, nicht kommuniziert hat, sein, dass ihm keine VLR zugewiesen ist, und dass somit das HLR das Teilnehmerprofil in Erwiderung auf eine MAP_RESTORE_DATE-Nachricht (MAP_WIEDERHERSTELLUNGS_DATEN-Nachricht) nicht zurückgibt. In diesem Fall würde der AS es nicht authentifizieren können. Einige andere HLRs können so antworten, wie es der AS erfordert, aber sie weisen dies nicht als Standardkonfiguration auf. Es kann sein, dass solche HLRs rekonfiguriert werden müssen, um zu gewährleisten, dass sie das Teilnehmerprofil an den AS liefern.
  • Einige HLRs implementieren einen Mechanismus, wodurch ein Teilnehmerkonto aktiviert wird, nachdem die erste GSM-Standortaktualisierung stattfindet. Dies würde ein Problem verursachen, wenn eine SIM-Karte nur für einen WLAN- Authentifizierung verwendet werden würde, das heißt, wenn der Endbenutzer ein SIM für normale GSM-Sprachdienste verwendet und ein anderes für den WLAN-Datenzugang. In diesem Fall würde der Netzbetreiber sich vom Normalfall unterscheidende Instruktionen spezifizieren müssen, wenn die WLAN-SIM-Karte (nur Daten) geliefert wird. Wenn man dem normalen SIM-Karten-Verteilungsverfahren folgt, bei dem die Teilnahme automatisch durch den Endbenutzer aktualisiert wird, wenn er die erste Standortaktualisierung initiiert, würde die Nur-Daten-SIM-Karte nicht aktiviert werden. Das Aktivieren des Daten-SIM würde es erforderlich machen, dass irgend jemand eine Standortaktualisierung unter Verwendung dieses SIM ausführt, bevor es an den Endbenutzer gegeben würde, was einen zusätzlichen Schritt bei der SIM-Karten-Verteilung und einen möglichen Grund für Fehler darstellen würde.
  • Die EP 1,209,935 offenbart ein Verfahren einer gefälschten Detektion, bei dem Daten, die sich auf nicht erfolgreiche Authentifizierungsversuche beziehen, in eine Authentifizierungsmisslingensnachricht eingeschlossen werden, die von der bedienenden Umgebung zurück zur Heimatumgebung gesendet wird, die im Heimatregister gespeichert und dann an betrügerische Detektionssysteme für eine Verarbeitung gegeben wird.
  • Die US-6,285,882 offenbart ein Verfahren für das Registrieren eines Teilnehmers, bei dem, wenn eine vorbestimmte Anzahl von Teilnehmerverifizierungen ausgeführt worden ist, ein Teilnehmerverifizierungsverfahren angefordert wird.
  • Die WO 01/15463 offenbart ein Verfahren für das Handhaben von Teilnehmerdaten, bei dem ein Teilnehmerprofil, das in einer Einheit eines Besuchsnetzes gespeichert ist, durch das Senden von Modifikationen von einer Heimatnetzeinheit an die Einheit des Besuchsnetzes aktualisiert wird. Es besteht somit ein Bedürfnis nach einem verbesserten Verfahren zur Ausführung einer Authentifizierung und insbesondere für das Erhalten der Benutzerprofildaten.
  • Gemäß der vorliegenden Erfindung wird ein Verfahren für das Ausführen einer Authentifizierung in einem Kommunikationssystem, das einen Authentifizierungsserver (AS) und einen Benutzerprofilspeicher, der Benutzerprofile für die Benutzer des Kommunikationssystems speichert, umfasst, geliefert, wobei das Verfahren die Übertragung einer Anforderung bezüglich eines Benutzerprofils eines Benutzers vom Authentifizierungsserver an den Benutzerprofilspeicher umfasst, wobei der Benutzerprofilspeicher so ausgebildet ist, dass er an den Authentifizierungsserver eine Fehlernachricht in Erwiderung auf diese Anforderung zurück gibt, wenn sich der Benutzer während einer längeren Zeit nicht in Kommunikation mit dem Netz befindet, von dem das Benutzerprofil einen Teil darstellt, Empfangen einer Antwort auf die Anforderung am AS, Bestimmen ob die Antwort einen Fehler angibt, und wenn die Antwort einen Fehler angibt, Übertragen einer Nachricht vom Authentifizierungsserver an den Benutzerprofilspeicher eines Type, die den Benutzerprofilspeicher veranlasst, ein Standortaktualisierungsverfahren bezüglich des Benutzers auszuführen.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Authentifizierungsserver für das Ausführen einer Authentifizierung in einem Kommunikationssystem geliefert, der einen Benutzerprofilspeicher, der Benutzerprofile für die Benutzer des Kommunikationssystems speichert, umfasst, wobei der Benutzerprofilspeicher so ausgelegt ist, dass er an den Authentifizierungsserver eine Fehlernachricht in Erwiderung auf diese Anforderung zurück gibt, wenn sich der Benutzer während längerer Zeit nicht in Kommunikation mit dem Netz befindet, von dem das Benutzerprofil einen Teil darstellt, wobei der Authentifizierungsserver ausgelegt ist, um eine Authentifizierung auszuführen, folgendes zu tun: Übertragen einer Anforderung bezüglich des Benutzerprofils eines Benutzers vom Authentifizierungsserver an den Benutzerprofilspeicher; Empfangen einer Antwort auf die Anforderung am Authentifizierungsserver; Bestimmen, ob die Antwort einen Fehler angibt; und wenn die Antwort einen Fehler angibt, Übertragen einer Nachricht vom Authentifizierungsserver an den Benutzerprofilspeicher eines Typs, der den Benutzerprofilspeicher veranlasst, ein Standortaktualisierungsverfahren bezüglich des Benutzers auszuführen.
  • Gemäß einem dritten Aspekt der vorliegenden Erfindung wird ein Kommunikationssystem geliefert, das umfasst: einen Benutzerprofilspeicher, der Benutzerprofile für die Benutzer des Kommunikationssystems speichert, wobei der Benutzerprofilspeicher so ausgelegt ist, dass er an den Authentifizierungsserver eine Fehlernachricht in Erwiderung auf diese Anforderung zurück gibt, wenn sich der Benutzer längere Zeit nicht in Kommunikation mit dem Netz befunden hat, von dem das Benutzerprofil einen Teil darstellt; und einen Authentifizierungsserver (AS) für das Ausführen einer Authentifizierung im Kommunikationssystem, wobei dieser ausgelegt ist, um die Authentifizierung auszuführen, folgendes zu tun: Übertragen einer Anforderung vom Authentifizierungsserver an den Benutzerprofilspeicher bezüglich des Benutzerprofils eines Benutzers; Empfangen einer Antwort auf die Anforderung an dem AS; Bestimmen, ob die Antwort einen Fehler angibt; und wenn die Antwort einen Fehler angibt, Übertragen einer Nachricht vom Authentifizierungsserver an den Benutzerprofilspeicher eines Typs, die den Benutzerprofilspeicher veranlasst, ein Standortaktualisierungsverfahren in Bezug auf den Benutzer auszuführen.
  • Vorzugsweise ist diese Nachricht von einem Typ, der den Benutzerprofilspeicher veranlasst, die Standortaktualisierung auszuführen und nachfolgend das Benutzerprofil des Benutzers an den Authentifizierungsserver zu übertragen.
  • Der Benutzerprofilspeicher ist geeigneterweise ein Benutzerprofilspeicher eines GSM-Netzes. Der Benutzerprofilspeicher ist vorzugsweise ein Heimatregister (HLR).
  • Der Benutzerprofilspeicher ist geeignet um: in einigen Fällen an den Authentifizierungsserver das Benutzerprofil des Benutzers in Erwiderung auf die Anforderung nach dem Benutzerprofil des Benutzers zurück zu geben, und in anderen Fällen eine Fehlernachricht in Erwiderung auf diese Anforderung an den Authentifizierungsserver zurück zu geben. Diese anderen Umstände umfassen vorzugsweise den Fall, dass sich der Benutzer für eine längere Zeit, beispielsweise ein oder zwei Tage oder mehr, nicht in Kommunikation mit dem Netz befindet, von dem der Benutzerprofilspeicher ein Teil ist. Der Benutzerprofilspeicher kann so ausgelegt sein, dass er an den Authentifizierungsserver das Benutzerprofil des Benutzers in Erwiderung auf diese Anforderung nur dann zurück gibt, wenn er einen Standort für den Benutzer speichert, und dass die anderen Umstände den Fall einschließen, dass der Benutzerprofilspeicher jeglichen Standort des Benutzers aus seinem Datenspeicher gelöscht hat.
  • Die Anforderung ist vorzugsweise eine Nachricht gemäß dem MAP-Protokoll (Mobile Application Part, mobiler Anwendungsteil), am besten eine MAP_RESTORE_DATA-Nachricht (MAP_WIEDERHERSTELLUNGS_DATEN-Nachricht).
  • Die Nachricht des Typs, der den Benutzerprofilspeicher veranlasst, ein Standortaktualisierungsverfahren in Bezug auf den Benutzer auszuführen, ist vorzugsweise eine Nachricht gemäß dem MAP-Protokoll, am besten eine MAP_UPDATE_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_STANDORT-Nachricht) oder eine MAP_UPDATE_GPRS_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_GPRS_STANDORT-Nachricht).
  • Das Verfahren kann umfassen: Empfangen des Benutzerprofils des Benutzers vom Benutzerprofilspeicher am Authentifizierungsserver; und Authentifizieren von Berechtigungen des Benutzers mittels des empfangenen Benutzerprofils; wobei wenn die Berechtigungen korrekt authentifiziert werden, dem Benutzer Zugang zu einer Ressource gewährt wird, und ansonsten dem Benutzer der Zugang zur Ressource verwehrt wird. Die Ressource umfasst geeigneterweise einen Zugang zu einem anderen Netz als demjenigen, von dem der Benutzerprofilspeicher einen Teil darstellt. Das Netz, das ein anderes als das ist, von dem der Benutzerprofilspeicher einen Teil darstellt, kann beispielsweise ein drahtlose lokales Netz sein.
  • Der Benutzer ist vorzugsweise ein Teilnehmer, am besten ein Teilnehmer des Netzes, von dem der Benutzerprofilspeicher einen Teil darstellt. Der Benutzer/Teilnehmer kann mittels eines Endgeräts auf das Netz zugreifen. Vorzugsweise kann das Endgerät eine drahtlose Kommunikation (beispielsweise eine Funkkommunikation) mit dem Netz ausführen. Das Endgerät kann eine Mobilstation sein. Das Endgerät kann ein Mobiltelefon oder eine mobile Datenvorrichtung sein. Das Endgerät kann mit einer Benutzeridentitätseinheit, beispielsweise einem SIM oder USIM (UMTS-SIM (Universal Mobile Telephone System), das Daten einschließt, mittels denen das Endgerät am Authentifizierungsverfahren teilnehmen kann, kommunizieren (und es vorzugsweise enthalten). Das Endgerät kann vorzugsweise in Netzen von mindestens zwei unterschiedlichen Typen kommunizieren. Eines dieser Netze ist vorzugsweise das Netz, von dem der Benutzerprofilspeicher einen Teil darstellt. Das andere ist vorzugsweise die Ressource, zu der ein Zugang gesucht wird.
  • Das Authentifizierungsverfahren umfasst vorzugsweise folgende Schritte: der Benutzer sucht Zugang zu einer Ressource zu erhalten; das Endgerät, das vom Benutzer verwendet wird, bildet Authentifizierungsdaten, die mittels des Benutzerprofils des Benutzers authentifiziert werden können und überträgt diese Daten direkt oder indirekt an den Authentifizierungsserver; der Authentifizierungsserver authentifiziert die Authentifizierungsdaten (vorzugsweise in der oben beschriebenen Art); und dem Benutzer wird entsprechend Zugang zur Ressource gewährt oder verwehrt.
  • Die vorliegende Erfindung wird nun beispielhaft unter Bezug auf die begleitenden Zeichnungen beschrieben.
  • In den Zeichnungen:
  • 1 ist ein schematisches Teildiagramm eines GSM-Kommunikationsnetzes; und
  • 2 zeigt die Signalisierung während der Authentifizierung gemäß einer Ausführungsform der vorliegenden Erfindung.
  • Das vorliegende System kann in einem System implementiert werden, das schematisch dasselbe ist, wie das, das in 1 gezeigt ist. Beim Beschreiben des aktuellen Systems werden äquivalente Komponenten des Systems wie in 1 angegeben. Im aktuellen System ist jedoch die Funktion des AS von der eines konventionellen AS adaptiert.
  • Wie oben angegeben ist, können Probleme auftreten, wenn ein AS ein Teilnehmerprofil von einem HLR bestimmen muss, sich das HLR aber in einem solchen Zustand befindet, dass es kein Profil für den in Frage stehenden Teilnehmer zurück gibt. Ein Weg dies anzusprechen besteht darin, den AS so zu konfigurieren, dass er eine Standortaktualisierung für den Teilnehmer initiiert, wenn die Anforderung nach einem Teilnehmerprofil nicht akzeptabel ist. Dies wird unten detaillierter beschrieben.
  • Um zu rekapitulieren, so stellt sich die konventionelle Sequenz der Signalisierung des AS, um eine Teilnehmerprofilinformation von einem HLR zu erhalten, folgendermaßen dar:
    • A. Der AS überträgt eine MAP_SEND_AUTHENTICATION_INFO-Nachricht (MAP_SENDE_AUTHENTIFIZIERUNGS_INFO-Nachricht) an das HLR.
    • B. Das HLR antwortet mit einer MAP_SEND_AUTHENTICATION_INFO_ACK-Bestätigungsnachricht (MAP_SENDE_AUTHENTIFZIERUNGS_INFO_ACK-Bestätigungsnachricht).
    • C. Der AS überträgt eine MAP_RESTORE_DATE-Nachricht (MAP_WIEDERHERSTELLUNGS_DATEN-Nachricht) an das HLR.
    • D. Das HLR antwortet mit einer MAP_INSERT_SUBSCRIBER_DATA-Nachricht (MAP_EINSCHUB_TEILNEHMER_DATEN-Nachricht), die die Teilnehmerdaten an den AS liefert.
  • Wenn sich das HLR in einem solchen Zustand befindet, dass es kein Profil für den in Frage stehenden Teilnehmer zurückgeben wird, so gibt es eine Fehlernachricht in der Stufe D zurück.
  • Der AS des aktuellen Systems ist so konfiguriert, dass wenn er versucht, ein Benutzerprofil von einem HLR zu erhalten, er eine Fehlernachricht in Erwiderung auf die Nachricht, die er in Stufe C sendet, empfängt, dann eine Standortaktualisierung für den in Frage stehenden Teilnehmer initiiert. Es wird dann vom HLR erwartet, dass es eine Standortaktualisierung für den Teilnehmer ausführt und das Benutzerprofil des Teilnehmers zurück gibt. Somit finden die folgenden zusätzlichen Schritte statt, nachdem im Schritt D ein Fehler zurückgegeben wurde:
    • E. Der AS überträgt eine MAP_UPDATE_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_STANDORT-Nachricht) an das HLR.
    • F. Das HLR führt eine Standortaktualisierung für den Teilnehmer aus und antwortet dem AS mit einer MAP_INSERT_SUBSCRIBER_DATA-Nachricht (MAP_EINSCHUB_TEILNEHMER_DATEN-Nachricht), die die Teilnehmerdaten an den AS liefert.
  • Es kann erwartet werden, dass der AS, der eine MAP_UPDATE_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_STANDORT-Nachricht) an das HLR überträgt, Probleme für die Verbindung des Teilnehmers im GSM-Netz verursachen wird. Der AS überträgt jedoch die MAP_UPDATE_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_STANDORT-Nachricht), wenn ein Fehler im Schritt D empfangen wird. Der Grund hinter diesem Fehlersignal ist der, dass das HLR die VLR-Adresse für den Teilnehmer gelöscht hat, da der Teilnehmer nicht mit dem GSM-Netz verbunden worden ist. Somit wird, wenn die Schritte E und F unternommen werden, erwartet, dass der Teilnehmer nicht wirklich mit dem GSM-Netz verbunden ist.
  • Die Signalisierschritte in dem Fall, dass ein Fehler im Schritt D empfangen wird, sind in 2 dargestellt. Diese Figur zeigt auch die Signalisierung zwischen dem AS 5 und der WLAN-Zugangszone 7 (Schritte X und Y). Diese Signalisierung kann das RADIUS-Protokoll verwenden. Schritt X ist die Anforderung von der WLAN-Zugangszone für die Authentifizierung des Teilnehmers. Dies kann die Authentifizierungsdaten und die Abfragedaten, von denen sie abgeleitet wurde, zusammen mit einer Identifikation des Teilnehmers einschließen. Schritt Y ist die Nachricht, die der WLAN-Zugangszone angibt, ob auf der Basis des Ergebnisses der Authentifizierung der Zugang zu gestatten oder zu verneinen ist.
  • Das oben beschriebene Verfahren kann es ermöglichen, dass ein GSM-Teilnehmerprofil zuverlässig für eine Authentifizierung des Zugangs zu Diensten verwendet werden kann, wenn der Teilnehmer/das Endgerät nicht mit dem GSM-Netz verbunden ist. Solche Dienste können der Zugang zu einem anderen Netz als dem GSM-Netz sein. GSM-Netze sollten so verstanden werden, dass sie Netze einschließen, die auf abgeleiteten Standards von GSM basieren.
  • Die spezifische Nachrichten, die verwendet werden, könnten gegenüber solchen, wie sie oben beschrieben wurden, variieren. Statt einer MAP_UPDATE_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_STANDORT-Nachricht), wie sie in Schritt 5 verwendet wird, könnte eine MAP_UPDATE_GPRS_LOCATION-Nachricht (MAP_AKTUALISIERUNGS_GPRS_STANDORT-Nachricht) verwendet werden. Sie veranlasst auch das HLR, eine Standortaktualisierung für den Teilnehmer auszuführen und muss vom HLR mit einer MAP_INSERT_SUBSCRIBER_DATA-Nachricht (MAP_EINSCHUB_TEILNEHMER_DATEN-Nachricht) beantwortet werden.
  • Es sollte angemerkt werden, dass die Signalisierung, die oben ausgeführt wurde, das MAP-Protokoll verwendet. Obwohl andere Signalisierungsprotokolls verwendet werden könnten, ist das MAP-Protokoll vorteilhaft.
  • Der Authentifizierungsserver kann Teil des Netzes sein, von dem das HLR einen Teil darstellt (wie in 1 dargestellt) oder Teil eines anderen Netzes oder es kann sich um eine unabhängige Funktion handeln. Der Authentifizierungsserver kann als eine einzelne Einheit vorgesehen werden, oder er kann als eine Funktion, die zwischen zwei oder mehr physikalischen Einheiten und/oder Standorten verteilt ist, ausgebildet sein.

Claims (14)

  1. Verfahren zum Durchführen einer Authentifizierung in einem Kommunikationssystem (1, 7), umfassend einen Authentifizierungsserver (AS) (5), und einen Benutzerprofilspeicher (3), der Benutzerprofile für Benutzer des Kommunikationssystems speichert, wobei das Verfahren umfasst: Übertragen einer Anforderung bezüglich des Benutzerprofils eines Benutzers (C) von dem Authentifizierungsserver an den Benutzerprofilspeicher, wobei der Benutzerprofilspeicher so ausgelegt ist, dass er in Reaktion auf die Anforderung eine Fehlernachricht (D) an den Authentifizierungsserver zurückgibt, wenn der Benutzer für längere Zeit nicht in Kommunikation mit dem Netz stand, von dem das Benutzerprofil ein Teil ist; Empfangen einer Antwort auf die Anforderung an dem AS; Bestimmen, ob die Antwort einen Fehler anzeigt; und dadurch gekennzeichnet, dass falls die Antwort einen Fehler anzeigt, Übertragen einer Nachricht von dem Authentifizierungsserver an den Benutzerprofilspeicher, die solcher Art ist, dass sie den Benutzerprofilspeicher dazu veranlasst, einen Standortaktualisierungsvorgang bezüglich des Benutzers (E) durchzuführen.
  2. Verfahren nach Anspruch 1, wobei die Nachricht solcher Art ist, dass sie den Benutzerprofilspeicher dazu veranlasst, die Standortaktualisierung durchzuführen und anschließend das Benutzerprofil des Benutzers an den Authentifizierungsserver zu übertragen.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Benutzerprofilspeicher ein Benutzerprofilspeicher eines GSM-Netzes ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Benutzerprofilspeicher ein Standortverzeichnis (HLR) ist.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei der Benutzerprofilspeicher so ausgelegt ist, dass er an den Authentifizierungsserver eine Fehlernachricht in Reaktion auf die Anforderung zurückgibt, wenn der Benutzer einen Tag oder länger nicht in Kommunikation mit dem Netzwerk stand, von dem das Benutzerprofil ein Teil ist.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Anforderung eine Nachricht gemäß dem MAP-Protokoll ist.
  7. Verfahren nach Anspruch 6, wobei die Anforderung eine MAP_RESTORE_DATA-Nachricht ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nachricht, die solcher Art ist, dass sie den Benutzerprofilspeicher veranlasst, einen Standortaktualisierungsvorgang bezüglich des Benutzers durchzuführen, eine Nachricht gemäß dem MAP-Protokoll ist.
  9. Verfahren nach dem Anspruch 8, wobei die Nachricht, die solcher Art ist, dass sie den Benutzerprofilspeicher veranlasst, einen Standortaktualisierungsvorgang bezüglich des Benutzers durchzuführen, eine MAP_UPDATE_LOCATION- oder eine MAP_UPDATE_GPRS_LOCATION-Nachricht ist.
  10. Verfahren nach einem der vorhergehenden Ansprüche, weiter umfassend: Empfangen des Benutzerprofils des Benutzers von dem Benutzerprofilspeicher an dem Authentifizierungsserver; und Authentifizieren von Berechtigungen des Benutzers mittels des empfangenen Benutzerprofils; und wobei falls die Berechtigungen korrekt authentifiziert werden, dem Benutzer Zugang zu einer Ressource gewährt wird, und andernfalls dem Benutzer der Zugang zu der Ressource verwehrt wird.
  11. Verfahren nach Anspruch 10, wobei die Ressource Zugang zu einem anderen Netz (7) als dem, von dem der Benutzerprofilspeicher ein Teil ist, einschließt.
  12. Verfahren nach Anspruch 11, wobei das andere Netz als das, zu dem der Benutzerprofilspeicher gehört, ein drahtloses lokales Netz ist.
  13. Authentifizierungsserver (AS) (5) zum Durchführen einer Authentifizierung in einem Kommunikationssystem (1, 7), umfassend einen Benutzerprofilspeicher (3), der Benutzerprofile für Benutzer des Kommunikationssystems speichert, wobei der Benutzerprofilspeicher so ausgelegt ist, dass er an den Authentifizierungsserver in Reaktion auf eine Anforderung bezüglich des Benutzerprofils eines Benutzers eine Fehlermeldung (D) zurückgibt, wenn der Benutzer für längere Zeit nicht in Kommunikation mit dem Netz stand, von dem das Benutzerprofil ein Teil ist, wobei der Authentifizierungsserver, um eine Authentifizierung durchzuführen, eingerichtet ist zum: Übertragen einer Anforderung bezüglich des Benutzerprofils eines Benutzers (C) von dem Authentifizierungsserver an den Benutzerprofilspeicher; Empfangen einer Antwort auf die Anforderung an dem AS; Bestimmen, ob die Antwort einen Fehler anzeigt; und dadurch gekennzeichnet, dass falls die Antwort einen Fehler anzeigt, der Authentifizierungsserver eingerichtet ist, eine Nachricht solcher Art von dem Authentifizierungsserver an den Benutzerprofilspeicher zu übertragen, die den Benutzerprofilspeicher dazu veranlasst, einen Standortaktualisierungsvorgang bezüglich des Benutzers (E) durchzuführen.
  14. Kommunikationssystem (1, 7), umfassend: einen Benutzerprofilspeicher, der Benutzerprofile für Benutzer des Kommunikationssystems speichert, wobei der Benutzerprofilspeicher (3) so ausgelegt ist, dass er an den Authentifizierungsserver in Reaktion auf eine Anforderung bezüglich des Benutzerprofils eines Benutzers eine Fehlermeldung (D) zurückgibt, wenn der Benutzer für längere Zeit nicht in Kommunikation mit dem Netz stand, von dem das Benutzerprofil ein Teil ist; und einen Authentifizierungsserver (AS) (5) zum Durchführen einer Authentifizierung in dem Kommunikationssystem, der, um die Authentifizierung durchzuführen, eingerichtet ist zum: Übertragen einer Anforderung bezüglich des Benutzerprofils eines Benutzers (C) von dem Authentifizierungsserver an den Benutzerprofilspeicher; Empfangen einer Antwort auf die Anforderung an dem AS; Bestimmen, ob die Antwort einen Fehler anzeigt; und dadurch gekennzeichnet, dass falls die Antwort einen Fehler anzeigt, der Authentifizierungsserver eingerichtet ist, eine Nachricht solcher Art von dem Authentifizierungsserver an den Benutzerprofilspeicher zu übertragen, die den Benutzerprofilspeicher dazu veranlasst, einen Standortaktualisierungsvorgang bezüglich des Benutzers (E) durchzuführen.
DE60320511T 2002-11-28 2003-11-11 Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer Expired - Lifetime DE60320511T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB0227777.0A GB0227777D0 (en) 2002-11-28 2002-11-28 Performing authentication
GB0227777 2002-11-28

Publications (2)

Publication Number Publication Date
DE60320511D1 DE60320511D1 (de) 2008-06-05
DE60320511T2 true DE60320511T2 (de) 2009-07-23

Family

ID=9948700

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60320511T Expired - Lifetime DE60320511T2 (de) 2002-11-28 2003-11-11 Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer

Country Status (7)

Country Link
US (1) US7082297B2 (de)
EP (1) EP1424868B1 (de)
CN (1) CN1250025C (de)
AT (1) ATE393555T1 (de)
DE (1) DE60320511T2 (de)
ES (1) ES2304492T3 (de)
GB (1) GB0227777D0 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0111290D0 (en) * 2001-05-09 2001-06-27 Nokia Corp Registration in a communication system
KR100664110B1 (ko) * 2004-02-04 2007-01-04 엘지전자 주식회사 이동 통신 단말기의 사용제한 설정 방법
KR20070118222A (ko) * 2004-11-18 2007-12-14 아자이르 네트웍스, 인코포레이티드 3지/지에스엠 네트워크와 상호작용하는 위-피 네트워크에서서비스 권한부여
US7877112B2 (en) * 2004-11-19 2011-01-25 Nextel Communications Inc. SIM card data transfer system and methods
JP5507811B2 (ja) 2005-02-15 2014-05-28 ヴォウダフォン・グループ・ピーエルシー 無線通信のための向上したセキュリティ
US8341708B1 (en) 2006-08-29 2012-12-25 Crimson Corporation Systems and methods for authenticating credentials for management of a client
US7805128B2 (en) * 2006-11-20 2010-09-28 Avaya Inc. Authentication based on future geo-location
US9014666B2 (en) * 2006-12-15 2015-04-21 Avaya Inc. Authentication based on geo-location history
WO2009065045A1 (en) 2007-11-14 2009-05-22 Qualcomm Incorporated Methods and systems for determining a geographic user profile to determine suitability of targeted content messages based on the profile
US8792920B2 (en) * 2007-11-15 2014-07-29 Ubeeairwalk, Inc. System, method, and computer-readable medium for short message service processing by a femtocell system

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5799084A (en) * 1996-05-06 1998-08-25 Synacom Technology, Inc. System and method for authenticating cellular telephonic communication
US6070073A (en) * 1997-12-18 2000-05-30 Nortel Networks Corporation Communication system and method for notification and call routing in a mobile satellite network
US6631140B1 (en) 1998-01-29 2003-10-07 Telefonaktiebolaget Lm Ericsson (Publ) Shared communications protocol layer for interfacing between wireless networks
DE19812215A1 (de) * 1998-03-19 1999-09-23 Siemens Ag Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung
US6463055B1 (en) * 1998-06-01 2002-10-08 Telefonaktiebolaget L M Ericsson (Publ) Integrated radio telecommunications network and method of interworking an ANSI-41 network and the general packet radio service (GPRS)
US6236852B1 (en) * 1998-12-11 2001-05-22 Nortel Networks Limited Authentication failure trigger method and apparatus
US6285882B1 (en) * 1999-01-19 2001-09-04 Iridium Ip Llc Reregistration of network units
US6449479B1 (en) * 1999-04-30 2002-09-10 Telefonaktiebolaget Lm Ericsson (Publ) Apparatus and method for mobile subscriber service modification
US6731932B1 (en) * 1999-08-24 2004-05-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for handling subscriber data
WO2001015463A2 (en) * 1999-08-24 2001-03-01 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for handling subscriber data
US6691164B1 (en) 2000-04-13 2004-02-10 Ericsson Inc. Versatile system for functional distribution of location registers
KR100752927B1 (ko) * 2000-11-23 2007-08-29 주식회사 케이티 차세대 이동통신망에서 국제 로밍 가입자를 위한로밍서비스 제공방법
EP1209935B1 (de) * 2000-11-24 2005-10-12 Telefonaktiebolaget LM Ericsson (publ) Betrugsfeststellungsverfahren für Mobiltelekommunikationsnetze
JP3543322B2 (ja) * 2001-02-02 2004-07-14 日本電気株式会社 移動通信システム及び移動通信システムにおけるデータ転送方法
US6882839B2 (en) * 2001-05-08 2005-04-19 Lucent Technologies Inc. One-way roaming from ANS-41 to GSM systems
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
US20050048984A1 (en) * 2003-05-30 2005-03-03 Foster Neal C. System and method for group restricted access of a shared access controller

Also Published As

Publication number Publication date
DE60320511D1 (de) 2008-06-05
US20040166831A1 (en) 2004-08-26
EP1424868B1 (de) 2008-04-23
ES2304492T3 (es) 2008-10-16
US7082297B2 (en) 2006-07-25
CN1250025C (zh) 2006-04-05
GB0227777D0 (en) 2003-01-08
ATE393555T1 (de) 2008-05-15
CN1527625A (zh) 2004-09-08
EP1424868A1 (de) 2004-06-02

Similar Documents

Publication Publication Date Title
DE69732567T2 (de) Verfahren und vorrichtung zur anonymen datenübetragung in einem kommunikationssystem
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
DE69720912T2 (de) System und Verfahren zum Abrufen von Daten aus einer Datenbank
EP1763200B1 (de) Computersystem und Verfahren zur Übermittlung von kontextbasierten Daten
DE60010290T2 (de) System zum vergleichen von mobilfunkteilnehmerprofilen
DE69637053T2 (de) Personalisierung von Teilnehmeridentifikationsmodulen für Mobiltelefone über Funk
DE69736384T2 (de) Verwaltung von authentifizierungsschlüsseln in einem mobilen kommunikationssystem
DE60307482T2 (de) Authentifizierung zwischen einem zellularen Mobilendgerät und einem kurzreichweitigen Zugangspunkt
DE69839101T2 (de) Verfahren für eine sichere Trennprozedur in einem Mobilfunknetz
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
EP2528362B1 (de) Wechsel von subskriptionsdaten in einem identifizierungsmodul
DE60317849T2 (de) Zugriffskontrollverfahren und -gerät für ein drahtloses LAN
DE60200136T2 (de) Einweg-Roaming von ANS-41 zu GSM Systemen
EP2112797B1 (de) Verfahren zum Ermöglichen des Austauschens von Daten zwischen einer Datenverarbeitungseinrichtung ausserhalb und einer Datenverarbeitungseinheit innerhalb eines Fahrzeugs sowie Kraftfahrzeug
DE60313735T2 (de) Kommunikationsverfahren für ein drahtloses Netz
WO2002021350A1 (de) Kurznachrichtendienst bestellwesen
DE60320511T2 (de) Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer
DE60034054T2 (de) Authentifizierung einer teilnehmerstation
EP2528363A2 (de) Wechsel der Subskription in einem Identifizierungsmodul
EP1230820B1 (de) Verfahren zur authentifikation eines funk-kommunikationsnetzes gegenüber einer mobilstation sowie ein funk-kommunikationsnetz und eine mobilstation
EP3314933B1 (de) Kommunizieren eines teilnehmeridentitätsmoduls zu einem server, insbesondere bei profilwechsel
DE602004010693T3 (de) Verarbeitungsverfahren, nachdem privatsphäreinformationen eines zielbenutzergeräts modifiziert wurden
DE19729933B4 (de) Verfahren zur Konfigurierung, insbesondere Freischaltung eines Endgerätes, Endgerät, Dienstleistungszentrale und Datenerfassungsgerät
EP0934672A2 (de) Verfahren zum ortsabhängigen anmelden eines mobilen endgerätes
EP1624714A2 (de) Verfahren zum Bereitstellen von Diensten verschiedener Diensteanbieter und zentrale, rechnerbasierte Plattform zur Durchführung eines solchen Verfahrens

Legal Events

Date Code Title Description
8364 No opposition during term of opposition