DE10132333A1 - Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät - Google Patents

Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät

Info

Publication number
DE10132333A1
DE10132333A1 DE10132333A DE10132333A DE10132333A1 DE 10132333 A1 DE10132333 A1 DE 10132333A1 DE 10132333 A DE10132333 A DE 10132333A DE 10132333 A DE10132333 A DE 10132333A DE 10132333 A1 DE10132333 A1 DE 10132333A1
Authority
DE
Germany
Prior art keywords
network
access
mobile
server
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10132333A
Other languages
English (en)
Other versions
DE10132333B4 (de
Inventor
Marin Kissner
Ralf Rammig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10132333A priority Critical patent/DE10132333B4/de
Priority to US10/187,444 priority patent/US20030017822A1/en
Publication of DE10132333A1 publication Critical patent/DE10132333A1/de
Application granted granted Critical
Publication of DE10132333B4 publication Critical patent/DE10132333B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4588Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/38Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections
    • H04M3/382Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections using authorisation codes or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/0016Arrangements providing connection between exchanges
    • H04Q3/0029Provisions for intelligent networking
    • H04Q3/0045Provisions for intelligent networking involving hybrid, i.e. a mixture of public and private, or multi-vendor systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2207/00Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
    • H04M2207/18Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/12Arrangements for interconnection between switching centres for working between exchanges having different types of switching equipment, e.g. power-driven and step by step or decimal and non-decimal
    • H04M7/1205Arrangements for interconnection between switching centres for working between exchanges having different types of switching equipment, e.g. power-driven and step by step or decimal and non-decimal where the types of switching equipement comprises PSTN/ISDN equipment and switching equipment of networks other than PSTN/ISDN, e.g. Internet Protocol networks
    • H04M7/1225Details of core network interconnection arrangements
    • H04M7/1235Details of core network interconnection arrangements where one of the core networks is a wireless network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zum Zugriff auf geschützte Datenbestände oder andere Ressourcen in einem IP-Netz bzw. auf einem Content-Server per Mobilfunk-Endgerät über ein Mobilfunknetz, wobei über ein mit dem Mobilfunknetz verknüpftes intelligentes Netz in Reaktion auf einen Zugriffsversuch allein aufgrund eines Identifikators, insbesondere der Rufnummer, unter Zugriff auf eine in einer Authentisierungsdatenbasis gespeicherte Berechtigungsliste eine Berechtigungsprüfung ausgeführt und der Zugriff in Abhängigkeit vom Prüfungsergebnis freigegeben oder gesperrt wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Zugriff auf geschützte Ressourcen in einem IP-Netz nach dem Oberbegriff des Anspruchs 1 sowie eine entsprechende Netzanordnung nach dem Oberbegriff des Anspruchs 15.
  • Das Internet bietet traditionell eine unübersehbare Fülle von Diensten, Informationen und Kommunikationsmöglichkeiten, die jedem angeschlossenen Nutzer unentgeltlich und ohne besondere Autorisierung bzw. Authentisierung offenstehen. Diese weitgehend freie Zugänglichkeit hat wesentlich zum schnellen Bedeutungszuwachs dieses Daten- und Kommunikationsnetzes und zum explosionsartigen Anstieg der Anzahl seiner Nutzer beigetragen. Von Anfang an gab es aber im Internet auch Informationsquellen, die nicht jedermann offenstanden, sondern zu denen ein Zugriff nur aufgrund spezifischer Berechtigung möglich war. In letzter Zeit erhöht sich im Zusammenhang mit der zunehmenden Kommerzialisierung und gesamtwirtschaftlichen Bedeutung des Internet die Anzahl derartiger, beschränkt und/oder nur gegen Entgelt zugänglicher Informations- und sonstiger Dienste.
  • Für IP-Netze von Firmen und staatlichen oder gesellschaftlichen Einrichtungen (Intranets) ist die Gewährung von Zugriffen zumindest auf bestimmte Datenbestände und Kommunikationswege aufgrund bestimmter Berechtigungen sogar die Regel.
  • Es ist seit langem bekannt, Zugangsberechtigungen in Form von Paßworten, PINs oder anderen Codes zu handhaben, die der berechtigte Benutzer zugewiesen bekommt und die in einer Prüfeinrichtung des Systems, welche bei einem versuchten Zugriff eine Authentisierungsprüfung ausführt, gespeichert sind. Bekannt ist auch seit langem - vor allem aus dem Bankwesen - die Nutzung von Magnetkarten oder Smartcards als Mittel zum Nachweis einer Zugriffsberechtigung. Schließlich etabliert sich in den letzten Jahren auch nach und nach die Nutzung physiometrischer Merkmale (Fingerabdruck, Netzhautbild) zum Nachweis der Identität einer Person, die Zugriff zu geschützten Datenbeständen oder Diensten in einem Datennetz sucht.
  • Bekanntlich sind diese etablierten Möglichkeiten entweder für den Nutzer relativ umständlich - weil er sich beispielsweise für verschiedene Systeme, zu denen er eine Zugriffsberechtigung hat, eine Vielzahl von verschiedenen PINs oder Paßworten merken oder eine größere Anzahl von Zugangskarten mit sich tragen muß - und/oder ihre Nutzung setzt das Vorhandensein spezieller, relativ aufwendiger Lesegeräte voraus. Der letztere Nachteil, der für professionelle Anwendungen die breite Durchsetzung von Kartenzugangssystemen deshalb nicht verhindern konnte, weil sich der Hardwareaufwand hier auf einen sehr breiten Nutzerkreis verteilt, stellt für den privaten Einsatz eine erhebliche Hürde dar. Er gilt neben Kartenzugangssystemen natürlich auch für Systeme, die auf der Erfassung und Auswertung physiometrischer Merkmale des Nutzers beruhen.
  • Für Massenanwendungen wird daher zunehmend versucht, mit möglichst einfachen und unaufwendigen Zugangskontrollsystemen auszukommen, welche einerseits dem Nutzer nicht die Eingabe von Berechtigungscode abverlangen und andererseits ohne spezielle Lese- bzw. Erfassungseinrichtungen am Endgerät des Nutzers auskommen. Neben Systemen, die ein "echtes" Login voraussetzen - wie telnet, ftp oder POP3 - etablieren sich daher zunehmend Zugriffssteuersysteme, welche lediglich einen Identifikator des vom Teilnehmer benutzten Endgerätes prüfen. Derartige Verfahren werden zudem als zusätzliche Sicherungsmaßnahmen bei den bekannten login-basierten Systemen angewandt. Hierzu zählt das ISDN-Dial-In, bei dem aufgrund der Rufnummer des ISDN-Anschlusses, von dem aus auf das geschützte System zugegriffen wird, eine (zusätzliche) Identitätsprüfung erfolgt.
  • Mit der massenhaften (in den Industrieländern inzwischen nahezu flächendeckenden) Verbreitung der mobilen Telekommunikation wird das Mobilfunk-Endgerät als Mittel zum Zugriff auf IP-Netze immer bedeutsamer. Die oben geschilderten Entwicklungen und Zusammenhänge erfordern daher die Realisierung bequemer und kostengünstiger Zugriffskontrollsysteme zu Ressourcen in IP-Netzen auch im Rahmen der Mobilfunknetze. Hierbei besteht jedoch ein grundsätzliches Problem im zellularen Aufbau in Verbindung mit dem (im Rahmen der Netzabdeckung) frei wählbaren Zugangsort des einzelnen Mobilfunk-Endgerätes.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren und eine Netzanordnung anzugeben, welche in für den Nutzer einfacher und kostengünstiger Weise den Zugriff auf geschützte Datenbestände oder andere Ressourcen aufgrund bestimmter Zugriffsberechtigungen erlauben.
  • Diese Aufgabe wird in ihrem Verfahrensaspekt durch ein Verfahren mit den Merkmalen des Anspruchs 1 und in ihrem Vorrichtungsaspekt durch eine Netzanordnung mit den Merkmalen des Anspruchs 15 gelöst.
  • Die Erfindung schließt den grundlegenden Gedanken ein, den Zugang zu geschützten Ressourcen in einem IP-Netz auch von einem Mobilfunk-Endgerät aus ohne spezielle, fallweise Authentisierung durch den Nutzer zu ermöglichen. Sie schließt weiter den Gedanken einer Authentisierung aufgrund der MSISDN (Mobile Station International ISDN Number) des Endgerätes ein. Allein diese MSISDN oder dieser zugeordnete Berechtigungscodes bilden die Grundlage der Zugriffssteuerung.
  • Der beim Zugriffsversuch durch ein im Bereich des Netzüberganges zwischen Mobilfunknetz und IP-Netz plaziertes intelligentes Netz ermittelte Identifikator des Mobilfunk-Endgerätes wird mit den in einer Authentisierungsdatenbasis abgelegten Identifikatoren verglichen. Im Ergebnis dieser Berechtigungsprüfung wird der Zugriff zu der gewünschten Ressource freigegeben oder gesperrt.
  • Sinnvollerweise wird die erwähnte Berechtigungsprüfung durch einen IN-Server in Verbindung mit der (an sich aus allen Mobilfunknetzen bekannten) Heimatdatenbasis HLR des Mobilfunknetzes ausgeführt, in der die MSISDN aller angemeldeten Endgeräte gespeichert sind. Die erwähnte Authentisierungsdatenbasis umfaßt in Speicherbereichen, die jeweils bestimmten Ressourcen des zu schützenden IP-Netzes zugeordnet sind, Teilmengen der MSISDN der Endgeräte der zum Zugriff auf die jeweilige Ressource berechtigten Teilnehmer und gegebenenfalls weitere Codes und Angaben.
  • Die Anwendung der Erfindung ist in durchaus erheblichem Umfang bereits bei den derzeitigen Mobilfunknetzen nach dem GSM-Standard möglich und sinnvoll, bei denen Informationen aus IP-Netzen aufgrund des WAP(Wireless Application Protocol)-Standards von entsprechend ausgerüsteten Mobilfunk-Endgeräten abgefragt werden können. Deutlich größere Bedeutung gewinnt sie aber im Rahmen der Etablierung des GPRS(General Packet Radio Service)-Standards, bei dem an die Stelle der schaltvermittelten Mobilfunkverbindung eine permanente, paketvermittelte Verbindung tritt und Datenabfragen in wesentlich breiterem Umfang und höherer Geschwindigkeit möglich sind.
  • Der erwähnte IN-Server empfängt bei einem Zugriffsversuch über ein Mobilfunk-Endgerät ein Zugriffssignal von einem IP- Netzserver (Access Point). Er wertet daraufhin die beim Verbindungsaufbau angefallenen Verbindungsdaten aus, ermittelt den Identifikator des zugreifenden Endgerätes und stellt einen Identifizierungs- und Authentisierungscode im IP-Netzwerk zur Verfügung. Dieser entspricht gängigen IP-Mitteln. (Diese sind nämlich LDAP/Radius.) Ein angesprochener IP-Server erfragt die Authentifizierung im IP-Netz.
  • Beim Verbindungsaufbau vom Endgerät in das IP-Netz wird bei einer Netzverknüpfungseinheit ein geeigneter Datenprotokoll- Kontext etabliert und über eine vorgeschaltete Vermittlungsstelle des Mobilfunknetzes an das intelligente Netz eine Nachricht übermittelt, mit der das intelligente Netz über die gültige dynamische IP-Adresse des die Verbindung aufbauenden Endgerätes informiert wird. Mit dem Kontext erfährt das IN- System die dynamische IP-Adresse des zugriffswilligen Nutzers. Diese gilt solange der Kontext besteht, und ist daher für alle Requests an den IP-Netzserver (Application Server) gültig.
  • In der oben als bevorzugt hervorgehobenen Realisierung im GPRS-Standard wird speziell beim GGSN (Gateway GPRS Support Node) ein PDP(Packet Data Protocol)-Kontext etabliert, und die Nachricht an das IN wird über das SGSN (Serving GPRS Support Node) des GPRS-Systems übermittelt. In der Vermittlungsstelle wurde vorab ein Trigger zur Auslösung der Benachrichtigung des IN über den Aufbau des Datenprotokoll-Kontexts gesetzt. In der Realisierung bei einem GSM-System tritt an die Stelle des GGSN ein Router bzw. Gateway des GSM-Systems, und die Funktion des SGSN wird durch das MSC (Mobile Switching Centre) realisiert.
  • Zwischen der Mobilvermittlungsstelle (dem SGSN) und dem intelligenten Netz besteht zur Realisierung dieses Ablaufes eine (als solche bekannte) CAMEL Phase 3-Schnittstelle.
  • Mit der vorgeschlagenen Lösung kann ein Datenzugriff beispielsweise auf Web-Seiten oder WAP-Seiten in sicherer, aber transparenter Weise erfolgen - d. h. diese können wie öffentliche Seiten adressiert werden, sind aber nur für autorisierte Nutzer zugänglich. Dienste, die ein explizites Login verwenden (wie die oben erwähnten telnet, ftp und POP3), können durch das vorgeschlagene Verfahren zusätzlich gesichert werden. Bei Verwendung eines PC (Laptop, PDA . . .) in Verbindung mit einem Mobilfunk-Endgerät als Client, sind auch File- Zugriff, E-Mail und die übrigen etablierten Informations- und Kommunikationsmöglichkeiten von IP-Netzen im Rahmen der Erfindung mit Zugriffskontrolle realisierbar.
  • Im Zusammenhang mit der Erfindung ist neben der oben erwähnten zusätzlichen Sicherung bei login-basierten Systemen auch eine Veränderung der Logik des Server-Prozesses auf dem IP- Netzserver (Application Server) derart möglich, daß auch für diese Dienste kein explizites Login mehr erforderlich ist. Eine Zwischenstufe besteht darin, daß die vorgesehene Überprüfung der Zugriffsberechtigung bei IP-Verbindung auf dem Application Server so abgeändert wird, daß der IN-Server die Authentisierung bzw. Prüfung der Zugriffsberechtigung übernimmt.
  • Gemäß einem relativ selbständigen Aspekt der Erfindung ist in deren Rahmen die Realisierung gemeinschaftlicher Zugriffsberechtigungen von Benutzergruppen über Mobilfunk-Endgeräte auf ausgewählte (beispielsweise für ein gemeinsames Projekt benötigte) Ressourcen in einem IP-Netz möglich. Hierbei definiert ein spezieller VPN-Dienst (VPN = Virtual Private Network) eine Benutzergruppe im Sinne eines Rufnummern-Schemas resp. einer Menge von MSISDN der eingesetzten Mobilfunk-Endgeräte.
  • Die Authentisierung und Autorisierung erfolgt über die Teilnehmeridentifikation des Endgerätes (SIM, MSISDN), womit die Sicherheitsstandards von öffentlichen Festnetzen erreicht werden, ohne daß ein zusätzliches Login erforderlich wäre.
  • Aufgrund der der Gruppe zugewiesenen Zugriffsberechtigung können die Mitglieder der Benutzergruppe - für die insbesondere zusätzlich eine SMS/Mailbox angelegt wird - jeweils einzeln die verfügbaren Datenquellen in Anspruch nehmen (insbesondere von einem datenfähigen Endgerät auf einen gemeinsamen Fileserver zugreifen) und SMS bzw. E-Mails an die übrigen Gruppenmitglieder versenden.
  • Wie die vorgeschlagene Lösung insgesamt, ist auch die hier angesprochene Ausführung - mit gewissen Einschränkungen - bereits im Rahmen des GSM/WAP-Systems anwendbar, womit beispielsweise ein durch Gruppenzugriffsberechtigung autorisierter Zugriff auf WML-Seiten eines WAP-Fileservers möglich ist. Bevorzugt ist auch hier die Realisierung im Rahmen des GPRS- Systems, wobei dann auch HTML-Seiten eines HTTP-Fileservers abgefragt werden können.
  • Bevorzugt wird für jedes Gruppenmitglied ein eigenes Teilnehmerkonto (Account) eingerichtet und ein Teilnehmer-Identifikator vergeben. Mindestens ausgewählte Zugriffe innerhalb des aufgrund der gemeinschaftlichen Zugriffsberechtigung zugänglichen Bereiches des IP-Netzes können dann individuell den Teilnehmerkonten zugeordnet werden. Damit können gegebenenfalls Abrechnungen der individuell in Anspruch genommenen Ressourcen ausgeführt werden.
  • Es versteht sich, daß den oben erwähnten Verfahrensaspekten - soweit nicht bereits explizit auf korrespondierende Vorrichtungsaspekte hingewiesen wurde - auch Vorrichtungsaspekte der vorgeschlagenen Lösung entsprechen. Diese werden daher hier nicht noch mal im einzelnen erläutert. Vorteile und Zweckmäßigkeiten der Erfindung ergeben sich im übrigen aus den Unteransprüchen sowie der nachfolgenden, skizzenartigen Beschreibung zweier grundsätzlicher Realisierungsmöglichkeiten anhand der Figuren. Von diesen zeigen:
  • Fig. 1 eine schematische Darstellung zur Berechtigungsprüfung beim Zugriff auf ein IP-Netz von einem Mobilfunk-Endgerät aus und
  • Fig. 2 eine schematische Darstellung zur Erläuterung des Zugriffs auf VPN-gruppenspezifische Ressourcen in einem IP- Netz.
  • In Fig. 1 ist skizziert, wie ein Nutzer über ein datenfähiges Mobilfunk-Endgerät (Communicator) MS in einem Schritt (1) eine Verbindung in ein GSM-Netz nach dem GPRS-Standard aufbaut, um auf Ressourcen im Internet IP zugreifen zu können. Beim Verbindungsaufbau des IP-Kanals vom Endgerät MS zum ACCESS POINT NAME im GGSM wird ein PDP-Kontext etabliert. In einem Schritt (2) informiert das SGSN aufgrund eines vorab gesetzten Triggers das intelligente Netz IN über den neuen Kontext. Mit dem Kontext erfährt das intelligente Netz die dynamische IP-Adresse des Nutzers.
  • In einem Schritt (3) wird der IP-Zugriff zum Application Server durchgeschaltet, und von dort wird in einem Schritt (4) an das intelligente Netz eine Berechtigungsanfrage bzw. Authentisierungsaufforderung gegeben. Ergibt sich im Ergebnis einer daraufhin auf einem Server des intelligenten Netzes ausgeführten Berechtigungsprüfung unter Zugriff auf das HLR, daß der Nutzer des Endgerätes MS über die für die angeforderte Ressource benötigte Berechtigung verfügt, wird dies in einem Schritt (5) dem Application Server mitgeteilt und daraufhin dem Nutzer der gewünschte Zugriff gewährt - anderenfalls aber verweigert.
  • In Fig. 2 ist dargestellt, wie ein Nutzer über ein GPRS-fähiges Mobiltelefon MS unter Nutzung des GPRS-Standards über ein Mobilfunknetz GSM und ein Gateway GW auf ein IP-Netz IP zugreift, in dem ein WAP-Gateway/File-Server steht, der in der Figur als VPN-Server bezeichnet ist. Über diesen sind drei Ressourcengruppen DB1, DB2 und DB3 zugreifbar.
  • Das WAP-Gateway bzw. der File-Server kommuniziert mit einem Server eines intelligenten Netzes IN-Server, der Identifikations- und Berechtigungsdaten dreier Benutzergruppen VPNG1, VPNG2 und VPNG3 verwaltet. Ein Zugriff auf die Ressourcen DB1 bis DB3 erfolgt über das Mobilfunk-Endgerät ohne explizites Login.
  • Der Nutzer ist über seine MSISDN bekannt und authentisiert, und zwischen dem IP-Netz IP und dem Server VPN-Server wird eine spezielle Service-Instanz zur Gewährung eines Zugriffs mit den erforderlichen Zugriffsrechten gestartet. Der VPN- Server initiiert dazu eine Berechtigungsprüfung beim IN-Server. Dieser ordnet den zugreifenden Teilnehmer aufgrund der MSISDN einer der VPN-Gruppen VPNG1 bis VPNG3 zu und sendet an den VPN-Server einen entsprechenden Berechtigungscode. Dieser verarbeitet daraufhin die Anfrage und gewährt in Abhängigkeit von dem erhaltenen Berechtigungscode den Zugriff auf die gewünschte Ressource oder verweigert diesen (falls der Nutzer nicht über die nötige Gruppen-Zugriffsberechtigung verfügt).
  • Bei dieser Ausführung können die Ressourcen vorzugsweise entsprechend dem Ausrüstungsstandard des Endgerätes gewählt werden. Falls diese nicht bekannt sind, werden sie implizit durch die eingesetzte URL mitgeteilt. Jeder Anwender, der online ist, hat defacto seine eigene Serverinstanz.
  • Die Ausführung der Erfindung ist nicht auf die oben beschriebenen Beispiele und hervorgehobenen Aspekte beschränkt, sondern ebenso in einer Vielzahl von Abwandlungen möglich, die im Rahmen fachgemäßen Handelns liegen.

Claims (21)

1. Verfahren zum Zugriff auf geschützte Datenbestände oder andere Ressourcen in einem IP-Netz bzw. auf einem Content- Server per Mobilfunk-Endgerät über ein Mobilfunknetz, dadurch gekennzeichnet, dass über ein mit dem Mobilfunknetz verknüpftes intelligentes Netz in Reaktion auf einen Zugriffsversuch allein aufgrund eines Identifikators, insbesondere der Rufnummer, unter Zugriff auf eine in einer Authentisierungsdatenbasis gespeicherte Berechtigungsliste eine Berechtigungsprüfung ausgeführt und der Zugriff in Abhängigkeit vom Prüfungsergebnis freigegeben oder gesperrt wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Berechtigungsprüfung durch einen IN-Server in Verbindung mit einer Heimatdatenbasis des Mobilfunknetzes ausgeführt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Berechtigungsliste in der Authentisierungsdatenbasis die MSISDN der im Mobilfunknetz angemeldeten Mobilfunk-Endgeräte, insbesondere mit jeweils zugeordneten Berechtigungscodes, aufweist.
4. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Mobilfunknetz nach dem GPRS-, dem GSM/WAP- oder dem UMTS- Standard betrieben wird.
5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass der IN-Server bei einem Zugriffsversuch ein Zugriffssignal von einem IP-Netzserver empfängt und bei positivem Prüfungsergebnis an den IP-Netzserver einen Identifizierungs- und/oder Authentisierungscode sendet, welcher eine definierte Zugriffsberechtigung für ausgewählte Ressourcen repräsentiert.
6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass beim Verbindungsaufbau vom Mobilfunk-Endgerät in das IP-Netz bei einer Netzverknüpfungseinheit, insbesondere dem SGSN eines GPRS-Systems, ein Datenprotokoll-Kontext, insbesondere ein PDP-Kontext, etabliert und über eine vorgeschaltete Vermittlungsstelle, insbesondere das SGSN des GPRS-Systems, an das intelligente Netz eine entsprechende Nachricht übermittelt wird, wodurch das intelligente Netz über die gültige dynamische IP-Adresse des Mobilfunk-Endgerätes informiert wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass in der Vermittlungsstelle vorab ein Trigger zur Benachrichtigung des intelligenten Netzes über den Aufbau des Datenprotokoll-Kontexts gesetzt wird.
8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die Nachricht vom SGSN an das intelligente Netz über eine CAMEL Phase 3-Schnittstelle übertragen wird.
9. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die geschützten Ressourcen Web- oder WAP-Seiten sind.
10. Verfahren nach einem der vorangehenden Ansprüche, gekennzeichnet durch die Verwendung zur zusätzlichen Sicherung der Ressourcen bei einem Login-geschützten Dienst, insbesondere telnet, ftp oder POP3.
11. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass einer definierten Gruppe von Nutzern des Mobilfunknetzes eine gemeinschaftliche Zugriffsberechtigung zugewiesen wird, die durch einen Gruppenidentifikator repräsentiert wird.
12. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass aufgrund der gemeinschaftlichen Zugriffsberechtigung den Nutzern der Gruppe der Zugang zu einem HTTP- oder WAP-Fileserver gewährt wird, durch den Datenbestände und/oder und dergleichen Ressourcen verwaltet werden.
13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Datenbestände auf dem Fileserver als HTML- oder WML-Seiten und/oder die Nachrichtenspeicher als Mailboxen oder Voice-Mailboxen ausgebildet sind.
14. Verfahren nach einem der Ansprüche 11 bis 13, dadurch gekennzeichnet, dass für jeden Teilnehmer der Gruppe ein Teilnehmerkonto eingerichtet und ein Teilnehmer-Identifikator vergeben und mindestens ausgewählte Zugriffe auf Datenbestände oder andere Ressourcen unter Nutzung des Teilnehmer-Identifikators dem Teilnehmerkonto zugeordnet werden.
15. Netzanordnung mit einem Mobilfunknetz und einem mit diesem verknüpften IP-Netz bzw. Content-Server, gekennzeichnet durch eine Authentisierungsdatenbasis zur Speicherung einer Berechtigungsliste von Zugriffsberechtigungen von Teilnehmern des Mobilfunknetzes zu dem IP-Netz bzw. Content-Server und einem intelligenten Netz zur Ausführung einer Berechtigungsprüfung aufgrund eines Identifikators eines zugreifenden Mobilfunk-Endgerätes und unter Zugriff auf die Authentisierungsdatenbasis sowie zur Freigabe oder Sperrung des Zugriffs in Abhängigkeit vom Prüfungsergebnis.
16. Netzanordnung nach Anspruch 15, dadurch gekennzeichnet, dass das intelligente Netz einen IN-Server aufweist, der mit einer Heimatdatenbasis des Mobilfunknetzes zusammenwirkt.
17. Netzanordnung nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass das Mobilfunknetz ein Netz nach dem GPRS-, GSM/WAP- oder dem UMTS-Standard ist.
18. Netzanordnung nach einem der Ansprüche 15 bis 17, gekennzeichnet durch Mittel zur Etablierung eines Datenprotokoll-Kontexts, insbesondere PDP-Kontexts bei einer Netzverknüpfungseinheit zwischen dem Mobilfunknetz und dem IP-Netz, insbesondere dem GGSN eines GPRS-Systems.
19. Netzanordnung nach einem der Ansprüche 15 bis 18, gekennzeichnet durch eine CAMEL Phase 3-Schnittstelle zwischen einer Vermittlungsstelle des Mobilfunknetzes, insbesondere des SGSN eines GPRS- Systems, und dem intelligenten Netz bzw. IN-Server.
20. Netzanordnung nach einem der Ansprüche 15 bis 19, dadurch gekennzeichnet, dass das intelligente Netz einen HTTP- oder WAP-Fileserver aufweist bzw. der Content-Server einen solchen darstellt, durch den Datenbestände und/oder individuell Teilnehmern des Mobilfunknetzes zugeordnete Nachrichtenspeicher und dergleichen Ressourcen verwaltet werden.
21. Netzanordnung nach einem der Ansprüche 15 bis 20, dadurch gekennzeichnet, dass die Authentisierungsdatenbasis mindestens einen Speicherbereich zur Speicherung einer gemeinschaftlichen Zugriffsberechtigung für eine Gruppe von Teilnehmern des Mobilfunknetzes aufweist bzw. zur Speicherung einer Berechtigungsliste mit mindestens einer Gruppe zusammengehöriger Zeilen ausgebildet ist.
DE10132333A 2001-07-02 2001-07-02 Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät Expired - Fee Related DE10132333B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10132333A DE10132333B4 (de) 2001-07-02 2001-07-02 Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät
US10/187,444 US20030017822A1 (en) 2001-07-02 2002-07-02 Method and network arrangement for accessing protected resources using a mobile radio terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10132333A DE10132333B4 (de) 2001-07-02 2001-07-02 Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät

Publications (2)

Publication Number Publication Date
DE10132333A1 true DE10132333A1 (de) 2003-01-23
DE10132333B4 DE10132333B4 (de) 2006-05-24

Family

ID=7690525

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10132333A Expired - Fee Related DE10132333B4 (de) 2001-07-02 2001-07-02 Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät

Country Status (2)

Country Link
US (1) US20030017822A1 (de)
DE (1) DE10132333B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006016828A1 (de) * 2006-04-07 2007-10-11 Sennheiser Electronic Gmbh & Co. Kg Verfahren zum Übertragen von Daten

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040038667A1 (en) * 2002-08-22 2004-02-26 Vance Charles Terry Secure remote access in a wireless telecommunication system
GB2398707B (en) * 2003-02-21 2005-03-30 Schlumberger Holdings Authentication method for enabling a user of a mobile station to access to private data or services
JP4338993B2 (ja) * 2003-02-28 2009-10-07 モトローラ・インコーポレイテッド 無線端末のセッション制御方法及びインターフェース設定方法
US20050177577A1 (en) * 2004-01-30 2005-08-11 Nokia Corporation Accessing data on remote storage servers
DE102004028181A1 (de) * 2004-06-07 2005-12-29 Siemens Ag Verfahren und Anordnung zum Zugriff auf ein externes Dateisystem
FI20041655A0 (fi) * 2004-12-22 2004-12-22 Nokia Corp Tietopalvelin kommunikaatiojärjestelmässä
KR100749745B1 (ko) * 2005-09-23 2007-08-17 엘지전자 주식회사 Evdo 시스템으로의 접근을 제어하는 휴대단말기 및시스템 그리고 그 방법
US20070286386A1 (en) * 2005-11-28 2007-12-13 Jeffrey Denenberg Courteous phone usage system
US8442060B2 (en) * 2008-01-31 2013-05-14 Qualcomm Incorporated Method and apparatus for providing signaling access
US8849316B2 (en) 2008-01-31 2014-09-30 Qualcomm Incorporated Paging and access via different nodes
DE102008012073B4 (de) 2008-02-29 2010-06-10 Vodafone Holding Gmbh Konfiguration eines E-Mail-Postfachs in einem Mobilfunknetz
DE102008017515A1 (de) 2008-04-04 2009-10-15 Vodafone Holding Gmbh Einrichtung eines Benutzerkontos eines Teilnehmers in einem IP-Netz
US8452934B2 (en) * 2008-12-16 2013-05-28 Sandisk Technologies Inc. Controlled data access to non-volatile memory
US8914468B2 (en) * 2009-02-27 2014-12-16 Blackberry Limited System and method for providing access links in a media folder
US20100220851A1 (en) * 2009-02-27 2010-09-02 Research In Motion Limited System and method for providing dialing access links
US8214357B2 (en) * 2009-02-27 2012-07-03 Research In Motion Limited System and method for linking ad tagged words
US9264905B2 (en) 2013-02-21 2016-02-16 Digi International Inc. Establishing secure connection between mobile computing device and wireless hub using security credentials obtained from remote security credential server
CN107517236B (zh) 2016-06-17 2021-06-15 斑马智行网络(香港)有限公司 一种用于物联网的事件处理方法、装置和设备
CN107517238A (zh) * 2016-06-17 2017-12-26 阿里巴巴集团控股有限公司 一种用于物联网的智能设备控制方法、装置和设备

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5349678A (en) * 1991-08-21 1994-09-20 Norand Corporation Versatile RF data capture system
EP0802690B1 (de) * 1996-04-17 2004-01-14 Siemens Aktiengesellschaft Steuerungseinrichtung im Intelligenten Netz
US6134316A (en) * 1996-10-18 2000-10-17 Telefonaktiebolaget Lm Ericsson Telecommunications network with relocateability of subscriber number
US6608832B2 (en) * 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
DE19742997A1 (de) * 1997-09-29 1999-04-08 Siemens Ag Verfahren zur Autorisierung eines Endgeräteanschlusses eines Telekommunikationsnetzes
US6510216B1 (en) * 1998-03-23 2003-01-21 Mci Communications Corporation Intelligent network provisioning system and method
US6876632B1 (en) * 1998-09-25 2005-04-05 Hitachi, Ltd. Intelligent network with an internet call waiting function
FI105520B (fi) * 1998-10-28 2000-08-31 Nokia Networks Oy Menetelmä ja järjestelmä tietoliikenneverkossa
US6453162B1 (en) * 1998-12-10 2002-09-17 Nortel Networks Limited Method and system for subscriber provisioning of wireless services
FI107772B (fi) * 1998-12-16 2001-09-28 Nokia Networks Oy Menetelmä ja järjestelmä tiedonsiirron palvelunlaadun rajoittamiseksi
GB2348778A (en) * 1999-04-08 2000-10-11 Ericsson Telefon Ab L M Authentication in mobile internet access
US6804505B1 (en) * 1999-05-06 2004-10-12 Telefonaktiebolaget Lm Ericsson Mobile internet access
CA2272020C (en) * 1999-05-17 2003-04-29 Ibm Canada Limited-Ibm Canada Limitee Method and apparatus to enable enhanced services of an intelligent telephone network in a wireless environment
DE19927296A1 (de) * 1999-06-15 2000-12-28 Siemens Ag Anordnung zur Gebührenerhebung in einem Telefonnetz und Verfahren zum Betrieb einer solchen
DE19932737A1 (de) * 1999-07-14 2001-01-18 Alcatel Sa Verfahren zur Positionsüberwachung eines Mobilfunk-Teilnehmers sowie IN-Server (Intelligent Network) und WEB-Server zur Durchführung des Verfahrens
US6636596B1 (en) * 1999-09-24 2003-10-21 Worldcom, Inc. Method of and system for providing intelligent network control services in IP telephony
DE19946537A1 (de) * 1999-09-28 2001-04-05 Deutsche Telekom Mobil Verfahren zur Abrechnung von Internet-Dienstleistungen über Mobilfunk
US6977917B2 (en) * 2000-03-10 2005-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a service network
DE10019727A1 (de) * 2000-04-20 2001-10-25 Alcatel Sa Netzwerkserver
US6697806B1 (en) * 2000-04-24 2004-02-24 Sprint Communications Company, L.P. Access network authorization
US7043233B2 (en) * 2001-04-27 2006-05-09 Comverse, Inc. Messaging protocol over internet protocol

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006016828A1 (de) * 2006-04-07 2007-10-11 Sennheiser Electronic Gmbh & Co. Kg Verfahren zum Übertragen von Daten

Also Published As

Publication number Publication date
US20030017822A1 (en) 2003-01-23
DE10132333B4 (de) 2006-05-24

Similar Documents

Publication Publication Date Title
DE10132333B4 (de) Verfahren und Netzanordnung zum Zugriff auf geschützte Ressourcen per Mobilfunk-Endgerät
EP1044554B1 (de) Verfahren und system, um benutzern eines telekommunikationsnetzes objekte zur verfügung zu stellen
DE602004012602T2 (de) Verfahren und vorrichtung zur personalisierung und identitätsverwaltung
DE60307482T2 (de) Authentifizierung zwischen einem zellularen Mobilendgerät und einem kurzreichweitigen Zugangspunkt
EP1407629B1 (de) Telekommunikationsverfahren, identifizierungsmodul und computerisierte diensteinheit
EP1763200B1 (de) Computersystem und Verfahren zur Übermittlung von kontextbasierten Daten
DE60317849T2 (de) Zugriffskontrollverfahren und -gerät für ein drahtloses LAN
EP1260077B1 (de) Verfahren zur transaktionsbestaetigung, authentifizierungsserver und wap-server
DE69924185T2 (de) Verfahren und anordnung zur zugriffssteuerung für ein mobilfunksystem
DE4317143C2 (de) Verfahren und Einrichtung zum Betrieb eines Mobilfunknetzes
DE69732567T2 (de) Verfahren und vorrichtung zur anonymen datenübetragung in einem kommunikationssystem
EP1430697B1 (de) Verfahren zum übertragen von daten
EP2453633A1 (de) Teilnehmeridentifikationseinrichtung und Verfahren zur Teilnehmerauthentisierung
DE69839090T2 (de) Verfahren um einen service in einem daten-kommunikations-system in anspruch zu nehmen und daten-kommunikations-system
DE60031137T2 (de) Verwendung von teilnehmerdaten in einem telekommunikationssystem
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE10025271A1 (de) Verfahren zum Aufbau einer Verbindung zwischen einem Endgerät und einem bedienenden Mobilfunknetz, Mobilfunknetz und Endgerät dafür
EP1895792B1 (de) Verfahren und Vorrichtungen für die Aktualisierung der Konfiguration eines Mobilfunkteilnehmer-Identifikations-Moduls
WO2003058994A1 (de) Verbesserter datenschutz für positionabhängige dienste
DE19911221B4 (de) Verfahren zur Verteilung von Schlüsseln an Teilnehmer von Kommunikationsnetzen
DE10348912A1 (de) Verfahren zur Authentisierung eines Nutzers zum Zweck des Aufbaus einer Verbindung von einem mobilen Endgerät zu einem WLAN-Netz
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
DE19912782A1 (de) Privates Telefonbuch
EP1860595B1 (de) Chipkarte mit wenigstens zwei Identitäten
EP1419638B1 (de) Verfahren, Servercomputer und System zur Datenzugriffskontrolle

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140201