DE10152572A1 - Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password - Google Patents
Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access passwordInfo
- Publication number
- DE10152572A1 DE10152572A1 DE10152572A DE10152572A DE10152572A1 DE 10152572 A1 DE10152572 A1 DE 10152572A1 DE 10152572 A DE10152572 A DE 10152572A DE 10152572 A DE10152572 A DE 10152572A DE 10152572 A1 DE10152572 A1 DE 10152572A1
- Authority
- DE
- Germany
- Prior art keywords
- data network
- network
- access
- authentication
- station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
Die Erfindung bezieht sich auf ein Verfahren zum Zugriff auf ein Datennetz bzw. Vorrichtungen zum Durchführen eines solchen Verfahrens mit den oberbegrifflichen Merkmalen des Patentanspruchs 9. Ferner bezieht sich die Erfindung auf ein durch die Authentisierung mögliches Vergebührungsverfahren. The invention relates to a method for accessing a data network or devices for performing a such a process with the generic features of Claim 9. Furthermore, the invention relates to a through the authentication of possible charging procedures.
Zur Kommunikation bzw. zur Übertragung von Daten ist eine Vielzahl verschiedenartigster Telekommunikations- und Datennetze bekannt. Dabei ist zwischen zwei grundsätzlich verschiedenen Netztypen zu unterscheiden. Einerseits gibt es die Telekommunikationsnetze, beispielsweise gemäß dem Standard GSM (Global System for Mobile Telecommunications) oder dem UMTS (Universal Mobile Telecommunications System), bei denen Teilnehmer beim Einbuchen in das entsprechende Netz authentisiert und autorisiert werden. Vorteilhaft an derartigen Netzen ist, dass durch die Authentisierung auch eine Vergebührung von beanspruchten Diensten möglich ist. Weiterhin bieten diese in der Regel zellularen Netze die Möglichkeit einer hohen Mobilität, da sich ein Teilnehmer mit seiner Station von Netzzelle zu Netzzelle bewegen kann. For communication or the transmission of data is one Many different types of telecommunications and Data networks known. It is basically between two differentiate between different network types. On the one hand there is the telecommunications networks, for example according to the Standard GSM (Global System for Mobile Telecommunications) or the UMTS (Universal Mobile Telecommunications System), where participants log into the corresponding network be authenticated and authorized. Advantageous such networks is that through authentication too charging for claimed services is possible. Furthermore, these generally offer cellular networks Possibility of high mobility, as a participant with can move its station from network cell to network cell.
Nachteilhaft ist bei derartigen zellularen Telekommunikationssystemen, dass der Verwaltungsaufwand sehr hoch ist. Außerdem stellen diese Telekommunikationsnetze den Funkschnittstellen zur teilnehmerseitigen Station nur eine niedrige Datenrate zur Verfügung. A disadvantage of such cellular Telecommunications systems that the administrative burden very much is high. In addition, these telecommunications networks Radio interfaces to the subscriber station only one low data rate available.
Andererseits gibt es Datennetze, die als lokale Datennetze bzw. lokale Funk-Datennetze (WLAN: Wireless Local Area Network) ausgestaltet sind. Derartige Datennetze bieten für teilnehmerseitige Stationen einen verwaltungstechnisch sehr einfachen Zugang. Ein weiterer Vorteil besteht in der im Vergleich zu Telekommunikationsnetzen erheblich höheren Datenrate auf den Schnittstellen zur teilnehmerseitigen Station. Nachteilhaft bei derartigen Datennetzen ist jedoch die fehlende Authentisierungsmöglichkeit und somit auch eine fehlende Abrechnungs- bzw. Vergebührungsmöglichkeit. On the other hand, there are data networks that act as local data networks or local radio data networks (WLAN: Wireless Local Area Network) are designed. Such data networks offer for stations on the subscriber side are very administratively easy access. Another advantage is that Compared to telecommunication networks considerably higher Data rate on the interfaces to the subscriber side Station. A disadvantage of such data networks is, however the lack of authentication options and thus one lack of billing or charging options.
Als lokale Datennetze mit funk-basiertem Teilnehmerzugang scheinen sich derzeit vor allem in den USA und Europa fast ausschließlich Produkte auf Basis der IEEE 802.11-Familie durchzusetzen, wobei entsprechende Ethernet-Anschlüsse bereits in vielen Computern und tragbaren Computern (Laptop, Notebook, PDA, . . .) standardmäßig bereitgestellt werden. Die gemäß IEEE 802.11b-Standard definierte Funkschnittstelle zum Zugriff auf lokale Datennetze entspricht funktional einem verdrahteten Anschluss an lokale Datennetze (LAN), die sich heutzutage zum Standard in Büros entwickelt haben. Schnittstellen-Karten für funkgestützte Zugriffe auf lokale Datennetze, die auch als NICs (Network Interface Cards) bezeichnet werden, sind aus architektureller Sicht wie standardisierte Ethernet-Karten gefertigt und mit den heutigen Betriebssystemen per sogenanntem Plug & Play einzusetzen. Tragbare Computer sind mit entsprechenden Schnittstellenkarten problemlos nachrüstbar, sofern sie nicht bereits ab Werk mit einem integrierten Anschluss für einen verdrahteten oder funkgestützten Zugriff auf lokale Datennetze ausgeliefert werden. Bei den nächsten Betriebssystemgenerationen (z. B. Windows XP von Microsoft), wird eine voll integrierte Unterstützung von lokalen Funk- Datennetzen bereitgestellt. As local data networks with radio-based subscriber access seem almost at the moment, especially in the US and Europe only products based on the IEEE 802.11 family enforce, using appropriate ethernet connections already in many computers and portable computers (laptop, Notebook, PDA,. , .) are provided by default. The Radio interface defined according to the IEEE 802.11b standard Functionally, access to local data networks corresponds to one wired connection to local area networks (LAN), the have become the standard in offices these days. Interface cards for radio-based access to local Data networks that are also known as NICs (Network Interface Cards) from an architectural point of view are like standardized ethernet cards manufactured and with the today's operating systems via so-called plug & play use. Portable computers come with appropriate Interface cards can be easily retrofitted if they are not already in the factory with an integrated connection for one wired or radio access to local Data networks are delivered. The next Operating system generations (e.g. Windows XP from Microsoft), fully integrated support from local radio Data networks provided.
Mit Datenraten von derzeit 11 Mbit/s und zukünftig 50 Mbit/s stehen damit Teilnehmern Datenraten zur Verfügung, die erheblich höher liegen, als die Datenraten, die von der nächsten, dritten Mobilfunkgeneration (UMTS) angeboten werden können. Damit ist für die Übertragung von großen Datenmengen, insbesondere in Verbindung mit Internetzugriffen der Zugriff auf funkgestützte lokale Datennetze für hochbitratige Verbindungen zu bevorzugen. With data rates of currently 11 Mbit / s and 50 Mbit / s in the future data rates are available to participants that are significantly higher than the data rates that are provided by the next, third mobile radio generation (UMTS) will be offered can. So for the transfer of large amounts of data, especially in connection with internet access to radio-based local data networks for high bit rate Prefer connections.
Nachteilhafter Weise können die funkgestützten lokalen Datennetze keine Authentisierungsmöglichkeit für nicht bereits im System registrierte Stationen bzw. Computer bieten. Betreiber von funkgestützten lokalen Datennetzen müssen jedoch beispielsweise in einem Flughafenbereich den Zugriff für eine Vielzahl unterschiedlichster Teilnehmer aus unterschiedlichsten Regionen bieten. Um einen Teilnehmer authentisieren zu können, müsste der Betreiber des funkgestützten lokalen Datennetzes sogenannte Cross-License- Agreements mit allen möglichen Internet-Diensteanbietern (ISP: Internet Service Providern) abschließen, wovon es jedoch allein in Deutschland derzeit über 60.000 gibt. Disadvantageously, the radio-based local Data networks no authentication option for not Stations or computers already registered in the system Offer. Operator of radio-based local data networks however, for example in an airport area Access for a variety of different participants offer different regions. To a participant To be able to authenticate, the operator of the radio-supported local data network so-called cross-license Agreements with all possible Internet service providers (ISP: Internet Service Providers) complete what it is however, there are currently over 60,000 in Germany alone.
Ohne eine Authentisierung von Teilnehmern bzw. teilnehmerseitigen Stationen kann jedoch auch keine Abrechnung von beanspruchten Diensten erfolgen, da bereits unbekannt ist, an wen eine Rechnung gesendet werden könnte. Ein Zugriff auf lokale funkgestützte Datennetze muss daher entweder gebührenfrei oder mit Vorausbezahlung als sogenannter Prepaid-Dienst über eine Kreditkartenabrechnung oder dergleichen angeboten werden. Without authentication of participants or However, stations on the subscriber side cannot either Services used are billed because they are already it is unknown to whom an invoice could be sent. Access to local radio-based data networks is therefore essential either free of charge or with prepayment as so-called prepaid service using a credit card statement or the like are offered.
Eine weitere Möglichkeit, Authentisierung und Abrechnung zu ermöglichen, besteht darin, ein Abrechnungsunternehmen bzw. sogenanntes Clearinghouse zwischenzuschalten, welches die entsprechenden Kontakte zu möglichst vielen Internet- Diensteanbietern weltweit übernimmt. Problematisch dabei ist jedoch, dass dann ein Großteil der Einnahmen des Betreibers eines funkgestützten lokalen Datennetzes an das Clearinghouse abzuführen ist. Weiterhin muss es dem Clearinghouse gelingen, auch tatsächlich jeden bzw. zumindest eine Vielzahl der Internet-Diensteanbieter adressieren zu können, also selber eine Vielzahl von Verträgen zu schließen. Damit ist auch diese Lösung sehr schlecht handhabbar. Mit Blick auf den unauthentisierten Zugriff auf Datennetze besteht zunehmend auch das Problem, dass unauthentisierter Inhalt bzw. sogenannter Unauthorized Content von Teilnehmern funkgestützter lokaler Datennetze bereitgestellt wird. Nur durch Authentisierung könnte verhindert werden, dass extremistische oder jugendgefährdende Informationen über die entsprechenden lokalen Datennetze und Internetzugriffe abgerufen werden können. Another way of authentication and billing enable, is a billing company or Intermediate so-called clearing house, which the appropriate contacts to as many internet Service providers worldwide. The problem is however, that then a large part of the operator's revenue a radio-based local data network to the clearinghouse is to be dissipated. The clearinghouse must also succeed actually everyone or at least a large number of To be able to address Internet service providers yourself to conclude a variety of contracts. That is also this solution is very difficult to handle. Looking at the There is increasing unauthenticated access to data networks also the problem that unauthenticated content or so-called unauthorized content from participants radio-supported local data networks is provided. Just authentication could prevent extremist or youthful information about the corresponding local data networks and Internet access can be accessed.
Bei den Betreibern der vorstehend beschriebenen Mobilfunknetzen sind diese Probleme in einfacher Art und Weise lösbar. Die zellularen Mobilfunknetze verfügen über eine große Teilnehmerschaft, die authentisierbar ist. Weiterhin verfügen diese Mobilfunknetze über ein Abrechnungs- bzw. Billing-System. Über ein sogenanntes internationales Roaming können auch Teilnehmer bedient und authentisiert werden, die bei einem anderen Mobilfunkbetreiber registriert bzw. subskribiert sind. Da heutzutage ein Großteil der Verbraucher in Industrieländern Mobilfunkteilnehmer sind, kann ein Mobilfunkbetreiber im Prinzip nahezu jeden Verbraucher selber oder mit Hilfe anderer Mobilfunkbetreiber adressieren. With the operators of those described above Cellular networks are these problems in a simple way and Way solvable. The cellular cellular networks have a large number of participants that can be authenticated. These mobile networks also have a billing or billing system. About a so-called international Roaming can also be used and authenticated by subscribers be registered with another mobile operator or are subscribed. Since much of these days Consumers in industrialized countries are mobile subscribers, In principle, a mobile operator can do almost anyone Consumers themselves or with the help of other mobile operators address.
Ansätze, wie ein Mobilfunkbetreiber ein funkgestütztes lokales Datennetz in sein eigenes zellulares Mobilfunknetz integrieren kann, sind vielfältig. Bei dem derzeitigen Diskussionsstand wird grundsätzlich zwischen fester und loser Kopplung (Tight and Loose Coupling) unterschieden. Unter fester Kopplung wird die vollständige UMTS-Integration verstanden, d. h. man benutzt nur die physikalische Schicht (Layer) des funkgestützten lokalen Datennetzes, während ansonsten alle höheren Protokollschichten vom UMTS übernommen und angepasst werden. Diese Lösung wird mittlerweile nicht mehr diskutiert, da sie sich als wirtschaftlich nicht sinnvoll und technisch schwer realisierbar erwiesen hat. Approaches as to how a mobile operator uses a radio local data network into its own cellular cellular network can integrate are diverse. With the current one The state of discussion is basically between fixed and loose A distinction is made between tight and loose coupling. Under full UMTS integration becomes a fixed link understood, d. H. one only uses the physical layer (Layer) of the radio-supported local data network, while otherwise all higher protocol layers are taken over by UMTS and be customized. This solution is not now discussed more since they don't prove to be economical has proven to be sensible and technically difficult to implement.
Bei den losen Kopplungsvarianten sind zur Zeit die beiden infrastrukturbasierten Kopplungsvarianten in der öffentlichen Diskussion (z. B. ETSI BRAN), die auf der Verwendung einer registrierten Identifizierungskarte (SIM: Subscriber Identification Module) bzw. dem RADIUS-PROTOKOLL (RADIUS: Remote Access Dial-In User Access) beruhen. Bei der SIM- basierten Variante wird in ein Notebook oder eine Netzzugangskarte für dieses eine sogenannte SIM-Karte eingesetzt. Das lokale funkgestützte Datennetz-System erscheint logisch als lokales Besucherregister (VLR: Visitor Local Register) des Telekommunikationsnetzes und wird über das sogenannte MAP (Mobile Application Part) an das Telekommunikationsnetz angebunden. Ein wirtschaftlicher Erfolg für den Betreiber des Telekommunikationsnetzes hängt jedoch stark davon ab, ob zukünftig jede Karte für Zugriffe auf funkgestützte lokale Datennetze standardmäßig eine SIM- Karte beinhalten wird. Hierzu müssten Computerhersteller sowie die Standardisierungsgremien für Datennetze und Telekommunikationsnetze gemeinsame Standards entwickeln oder ein Mobilfunkbetreiber müsste diese spezielle Art von NICs subventionieren. In the case of the loose coupling variants, the two are currently infrastructure-based coupling variants in the public Discussion (e.g. ETSI BRAN) based on the use of a registered identification card (SIM: Subscriber Identification Module) or the RADIUS PROTOCOL (RADIUS: Remote Access Dial-In User Access). With the SIM based variant is in a notebook or a Network access card for this a so-called SIM card used. The local radio-based data network system appears logically as a local visitor register (VLR: Visitor Local Register) of the telecommunications network and is about the so-called MAP (Mobile Application Part) to the Telecommunication network connected. An economical one Success for the operator of the telecommunications network depends however strongly depends on whether in future every card for access a standard SIM for radio-supported local data networks Card will include. This would require computer manufacturers as well as the standardization committees for data networks and Telecommunications networks develop common standards or A cellular operator would need these special types of NICs subsidize.
Bei der RADIUS-Variante erscheint das Telekommunikationsnetz als Authentisierungs-, Autorisierungs- und Abrechnungs- Server, wodurch eine Modifikation der Teilnehmerausstattung nicht erforderlich ist. The telecommunications network appears in the RADIUS version as authentication, authorization and billing Server, causing a modification of the subscriber equipment is not required.
Mit Blick auf die derzeit verfügbare Hardware sind Zugriffspunkte (AP: Access Points), welche auf dem Standard IEEE 802.11b beruhen, als analoge Modems zum Anschluss an eine Telefonleitung, als ISDN-Karten zum Anschluss an einen So-Bus, als DSL-Modems zum Anschluss an eine DSL-Leitung, topologisch als Ethernet-Brücken mit einem lokalen Datennetz- Anschluss zum Anschluss an ein lokales Datennetz und in weiteren Ausführungen als sogenanntes Kabelmodem zum Anschluss an ein Kabel-Fernsehnetz und als Router, beispielsweise mit Ethernet-Anschluss ohne Brückenfunktion bekannt. Diese Zugriffspunkte bestehen dabei aus einem Funkzugriffsabschnitt zur Steuerung des Zugriffs auf die Funkschnittstelle und einer Schnittstelle zum Anschluss an das verdrahtete Telekommunikations- oder Datennetz. Der Funkzugriffsabschnitt und die Schnittstelle für den leitungsgebundenen Anschluss sind mit einer Hardware verbunden, die auch entsprechende Konfigurationsmanagementfunktionen usw. bereitstellt. Looking at the hardware currently available Access points (AP), which are based on the standard IEEE 802.11b are based as analog modems for connection to a telephone line, as ISDN cards for connection to one So-Bus, as DSL modems for connection to a DSL line, topologically as ethernet bridges with a local data network Connection for connection to a local data network and in other versions as a so-called cable modem for Connection to a cable television network and as a router, for example with an Ethernet connection without a bridge function known. These access points consist of one Radio access section for controlling access to the Radio interface and an interface for connection the wired telecommunications or data network. The Radio access section and the interface for the wired connection are with hardware connected, also the corresponding Configuration management functions, etc.
Die Aufgabe der Erfindung besteht darin, ein Verfahren und Vorrichtungen zum authentisierten Zugriff auf lokale Datennetze, insbesondere lokale Funk-Datennetze bereitzustellen, welche die Authentisierung vereinfachen und insbesondere die Möglichkeit zur Vergebührung von mit Hilfe des lokalen Funknutzes in Anspruch genommenen Diensten erleichtern. The object of the invention is a method and Devices for authenticated access to local Data networks, in particular local radio data networks to provide, which simplify authentication and in particular the possibility of billing with the help services used by the local radio network facilitate.
Diese Aufgabe wird durch ein Verfahren zum authentisierten Zugriff auf lokale Datennetze mit den Merkmalen des Patentanspruchs 1, ein Vergebührungsverfahren für datennetz- kompatible Stationen mit den Merkmalen des Patentanspruchs 6, eine Datennetzvorrichtung mit den Merkmalen des Patentanspruchs 10, eine Netzzugriffseinrichtung mit den Merkmalen des Patentanspruchs 11 bzw. Vergebührungssysteme mit den Merkmalen des Anspruchs 17 gelöst. This task is authenticated by a process Access to local data networks with the characteristics of Claim 1, a charging procedure for data network compatible stations with the features of claim 6, a data network device with the features of Claim 10, a network access device with the Features of claim 11 or charging systems solved with the features of claim 17.
Vorteilhafte Ausgestaltungen sind Gegenstand abhängiger und nebengeordneter Ansprüche. Advantageous refinements are subject and dependent sibling claims.
Unter einem authentisierten Zugriff ist insbesondere ein Zugriff auf ein Datennetz, Daten oder dergleichen zu verstehen, bei denen die zugreifende Station oder deren Betreiber direkt oder indirekt identifizierbar sind. An authenticated access is, in particular, a Access to a data network, data or the like too understand where the accessing station or their Operators can be identified directly or indirectly.
Datennetze sind insbesondere lokale Datennetze gemäß z. B. Ethernet, IEEE 802.11 oder HiperLAN2. Datennetz-kompatible Station sind entsprechend Computer, Notebooks und dergleichen, die eine kabel- oder funkgestützte Schnittstelle zu einem solchen Datennetz aufweisen. Für den Zugriff dienen Zugriffspunkte für ein derartiges Datennetz, worunter Hubs, Brücken, Netzkarten in Computern und dergleichen zu verstehen sind. Data networks are in particular local data networks according to e.g. B. Ethernet, IEEE 802.11 or HiperLAN2. Data Network-compatible Computers, notebooks and the like, which is a cable or radio-based Have an interface to such a data network. For the Access serves as access points for such a data network, including hubs, bridges, network cards in computers and the like are to be understood.
Die Identifizierungsinformation kann eine Gerätenummer, eine zugewiesene Telefonnummer, eine passwortartige Zeichenfolge und dergleichen sein, die der Station oder deren Betreiber zugeordnet sind. Die Kenninformation, z. B. ein Passwort, wird hingegen durch die die Authentisierung einleitende Datennetzeinrichtung bereitgestellt. Als gegenüber Manipulationen geschützter Weg zu einer authentisierten Einrichtung wird der Übermittlungsweg einer Kurznachricht, eines Anrufs oder dergleichen beispielhaft aufgeführt. Die Übertragung der Kenninformation zum Zugriffspunkt bzw. Datennetz kann z. B. durch Ablesen von einem Mobilfunktelefondisplay, Fax oder dergleichen durch Personen aber auch automatisch durch Infrarotschnittstellen oder Kabelverbindungen erfolgen. The identification information can be a device number, a assigned phone number, a password-like string and the like, that of the station or its operator assigned. The identification information, e.g. B. a password on the other hand, by initiating authentication Data network facility provided. As opposite Manipulation protected way to an authenticated The transmission path of a short message is set up, a call or the like is listed as an example. The Transmission of the identification information to the access point or Data network can e.g. B. by reading one Mobile phone display, fax or the like by people but also automatically through infrared interfaces or Cable connections are made.
Zur Feststellung der Authentizität eines Teilnehmers bzw. einer teilnehmerseitigen Station ist ein Verfahren besonders vorteilhaft, bei dem seitens des Datennetzes eine Kenninformation über einen sicheren Weg zu einer Datennetz- externen Einrichtung eines Systems mit Authentisierung der Teilnehmer bzw. Teilnehmerstationen übermittelt wird. Der Teilnehmer kann die auf einer solchen Einrichtung empfangene Kenninformation per Hand nach Anzeige auf einem Display oder per automatischer Schnittstelle, z. B. über eine Kabelverbindung oder eine Infrarotverbindung auf den mobilen Host bzw. Rechner übertragen. Dadurch kann einerseits auf sichere Authentisierungsinformationen eines anderen Systems zugegriffen werden, von dem zumindest die Zugriffskennung der eindeutig zuordbaren Einrichtung des Systems mit Authentisierung im Datennetz bekannt ist. In vorteilhafter Weise muss jedoch nicht direkt mit weiteren netzinternen Einrichtungen des anderen Systems mit der Authentisierungsfunktion zugegriffen werden. Das Datennetz und das andere Systeme mit Authentisierungsfunktion bleiben somit vollständig entkoppelt und ermöglichen trotzdem eine sichere Authentisierung des mobilen Host bzw. der Station, mit der auf das Datennetz zugegriffen wird, da die Bedienung dieser Station nur durch einen im anderen System eindeutig authentisierbaren Teilnehmer durchgeführt werden kann. To determine the authenticity of a participant or A procedure is special for a station on the subscriber side advantageous, on the part of the data network Identification information via a secure route to a data network external installation of a system with authentication of the Participant or subscriber stations is transmitted. The Participants can receive those received at such a facility Identification information by hand after being shown on a display or via automatic interface, e.g. B. via a Cable connection or an infrared connection on the mobile Transfer host or computer. This can on the one hand secure authentication information from another system are accessed, from which at least the access identifier of the clearly assignable setup of the system with Authentication in the data network is known. In advantageous However, manner does not have to be directly connected to other internal networks Facilities of the other system with the Authentication function can be accessed. The data network and the other systems with authentication function remain thus completely decoupled and still allow one secure authentication of the mobile host or station, with which the data network is accessed because the operation this station only by one in the other system Authenticable participants can be carried out.
In zweckmäßiger Weise wird die Kenninformation im Zugriffspunkt des Datennetzes oder einer sonstigen Einrichtung des Datennetzes aus dem verfügbaren Standardzeichensatz zufällig erzeugt. Möglich ist aber auch die Auswahl einer Kenninformation aus einer Liste mit einer großen Vielzahl von Passworten, so dass zur Vereinfachung der Übertragung Worte des üblichen Sprachschatzes der Anwender verwendet werden können. The identification information is expediently stored in the Access point of the data network or another Setup of the data network from the available Standard character set generated randomly. But it is also possible the selection of identification information from a list with an large variety of passwords, so that to simplify the Transfer words of the usual vocabulary of users can be used.
Die Übertragung der Kenninformation auf die Einrichtung des Systems mit Authentisierung kann besonders einfach durch Verwendung des Kurznachrichtendienstes (SMS: Short Message System) vorgenommen werden. Diese Vorgehensweise ist bei den derzeitigen und zukünftigen zellularen Telekommunikationssystemen mit einer sehr großen Verbreitung in den relevanten Anwenderkreisen für Datennetzzugriffe einfach umsetzbar. Unter der Übertragung der Kenninformation ohne eine direkte Ausnutzung von Authentisierungsfunktionen in dem Datennetz-externen System wird somit vorzugsweise verstanden, dass der Betreiber dieses fremden Netzes lediglich eine Datenübertragung vergleichbar einem normalen Telefonanruf oder einer Kurznachrichtübermittlung ermöglichen muss. The transfer of the identification information to the establishment of the Systems with authentication can be particularly easily through Use of the short message service (SMS: Short Message System). This procedure is with the current and future cellular Telecommunications systems with a very wide spread in the relevant user groups for data network access easy to implement. Under the transmission of the identification information without direct use of authentication functions in the data network external system is therefore preferred understood that the operator of this foreign network only a data transfer comparable to a normal one Allow phone call or short message delivery got to.
In vorteilhafter Weise erfolgt die Übertragung der Kenninformation ohne eine direkte Ausnutzung von den eigentlichen Authentisierungsfunktionen in dem Datennetz- externen System. 9 Eine direkte Kommunikation mit einer oder mehreren der Einrichtungen und Funktionen des externen Systems ist nicht erforderlich. The transmission of the Identification information without direct use of the actual authentication functions in the data network external system. 9 Direct communication with an or several of the facilities and functions of the external Systems is not required.
Dabei ist es besonders vorteilhaft, die Kenninformation über eine Mobilstation und/oder eine SIM-Karte eines zellularen Mobilfunksystems zu übertragen. It is particularly advantageous to use the identification information a mobile station and / or a SIM card of a cellular To transmit mobile radio system.
Nach der Authentisierung des Teilnehmers bzw. der auf das Datennetz zugreifenden Station kann im Datennetz selber eine Erfassung von vergebührungsrelevanten Daten beim Zugriff der Station über das Datennetz auf einen bestimmten Dienst oder über eine bestimmte Zeitdauer vorgenommen werden. Zweckmäßiger Weise können derartig erfasste vergebührungsrelevante Daten gemäß einem Verfahren mit eigenständiger erfinderischer Ausgestaltung an eine separate Vergebührungszentrale oder ein Vergebührungszentrum des datennetzexternen Systems durchgeführt werden. After the authentication of the participant or the on the A station accessing the data network can have one in the data network itself Collection of data relevant to billing when the Station over the data network to a particular service or be made over a certain period of time. This can expediently be detected fee-relevant data according to a procedure with independent inventive design to a separate Fee center or a fee center of the system external to the network.
Derartige Verfahren sind insbesondere mit einem lokalen Datennetz oder funkgestützten lokalen Datennetz durchführbar, wenn dieses neben einer Schnittstelle für den Zugriff durch eine teilnehmerseitige Station, einer Zugriffssteuereinrichtung mit zweckmäßigerweise einem Authentisierungsspeicher und einer ersten Schnittstelle für einen Zugriff vom Datennetz auf ein externes Netz zusätzlich eine spezielle Zugriffssteuereinrichtung zum Erzeugen einer Kenninformation und Aussenden dieser Kenninformation über das externe Netz ausgestattet ist. Über eine zweite Netzeinrichtungsschnittstelle kann die Kenninformation vom externen Netz auf die an das Datennetz angeschlossene Station übertragen werden, womit zugleich die Authentisierung der Station durch die Zugriffssteuereinrichtung ermöglicht wird. Such methods are particularly local Data network or radio-based local data network can be carried out, if this next to an interface for access through a station on the subscriber side, one Access control device with expediently one Authentication memory and a first interface for additional access from the data network to an external network a special access control device for generating a Identification information and sending this identification information on the external network is equipped. About a second Network device interface can the identification information from external network to the station connected to the data network are transmitted, thereby simultaneously authenticating the Station is made possible by the access control device.
Zum Durchführen eines solchen Verfahrens in einem derartig ausgestatteten Datennetz bieten sich insbesondere Modems oder Netzzugriffseinrichtungen an, die über entsprechende Schnittstellen zu dem Datennetz, z. B. einen Ethernet- Anschluss, und an das externe Netz, z. B. eine Telefonleitung sowie entsprechende Hardware und Software zum Durchführen einer entsprechenden Authentisierung aufweisen. To carry out such a method in such a way equipped data network are particularly modems or Network access devices that have appropriate Interfaces to the data network, e.g. B. an Ethernet Connection, and to the external network, e.g. B. a telephone line as well as appropriate hardware and software to perform have a corresponding authentication.
Zweckmäßiger Weise weist eine solche Zugriffssteuereinrichtung alle für die Authentisierung erforderlichen Einrichtungen und Funktionen sowie ein Schnittstellenmodul auf, wobei das Schnittstellenmodul als modulare Einrichtung zum Anschluss an zumindest ein fremdes Kommunikationssystem oder Kommunikationsnetz mit sicherer Authentisierung ausgelegt ist, so dass durch einen Austausch des Schnittstellenmoduls eine Anpassung an verschiedenartigste externe Netze ohne großen baulichen Aufwand möglich ist. Such a point expediently Access control device all for authentication necessary facilities and functions as well as a Interface module, wherein the interface module as modular device for connection to at least one third party Communication system or communication network with secure Authentication is designed so that through an exchange an adaptation of the interface module various external networks without large structural Effort is possible.
In dem anderen, externen Kommunikationssystem bzw. Kommunikationsnetz mit Authentisierungsfunktion sind geringe bzw. keine Änderungen erforderlich. Da bezüglich der Authentisierung einer auf ein lokales Funk-Datennetz zugreifenden Teilnehmerstation dieses lediglich zum Transport authentisierungsrelevanter Informationen genutzt wird, fallen bezüglich der Teilnehmerauthentisierung in diesem externen Netz keine zusätzlichen Aufwände an. Die Übertragung von Vergebührungsinformationen von einer Zugriffssteuereinrichtung eines lokalen Funk-Datennetzes an ein anderes, externes Kommunikationssystem erfolgt sinnvollerweise in dem Format und über die Schnittstellen, die für die Übertragung vergebührungsrelevanter Informationen innerhalb dieses Netzes oder an dieses Netz üblich sind. In the other, external communication system or Communication network with authentication function are low or no changes required. Because of the Authentication on a local radio data network Accessing subscriber station this only for transport authentication-relevant information is used regarding subscriber authentication in this external No additional effort to the network. The transfer of Billing information from one Access control device of a local radio data network another, external communication system takes place sensibly in the format and via the interfaces, the information relevant for the transfer of fees are common within this network or to this network.
Anpassungen an unterschiedlichste Payment-Systeme können entweder im externen Netz oder aber im lokalen funkbasierten Datennetz erfolgen. Can be adapted to a wide variety of payment systems either in the external network or in the local radio-based Data network.
Die Umsetzung dieses Verfahrens bzw. die Einführung entsprechender technischer Einrichtungen ist mit minimalem Aufwand möglich. Insbesondere können auch kleinste lokale Datennetze bzw. lokale Funk-Datennetze einbezogen werden, so dass die Summe vieler Klein- und Kleinstinstallationen ein Gesamtnetz ausbilden, auf das potentielle Funk-Datennetz- Kunden zugreifen können. In derartigen Szenarien ist kein Hauptbetreiber erforderlich, der ein großes finanzielles Risiko eingeht, und die Investitionen der einzelnen Zugriffsanbieter, beispielsweise Friseursalons, Gaststätten, Flughafenbetreiber sind aufgrund der einfachen Umsetzbarkeit gering. Insbesondere ermöglicht dies auch Mobilfunkbetreibern den Zugang zu derartigen Märkten, wobei die Mobilfunkbetreiber selber entsprechende Datennetzzugänge bereitstellen können oder die Datennetzzugänge Dritter für sich nutzbar machen können. The implementation of this procedure or the introduction Appropriate technical equipment is minimal Effort. In particular, even the smallest local Data networks or local radio data networks are included, so that the sum of many small and very small installations Train the entire network to which potential radio data network Customers can access. In such scenarios there is none Main operator required of a large financial Takes risk, and the investment of each Access providers, for example hairdressing salons, restaurants, Airport operators are easy to implement low. In particular, this also enables mobile operators access to such markets, with the Mobile operators themselves have corresponding data network access can provide or third party data network access for can make use of.
Im wesentlichen wird bei der Installation auf einfache handelsübliche Massenware zurückgegriffen, die von den Inhabern tragbarer Computer und dergleichen mit geringen Kosten erworben werden können. Aufgrund der nur geringen erforderlichen Zusatzfunktionen und Zusatzeinrichtungen bei den Datennetz-Zugriffspunkten sind auch die Installationskosten seitens des Datennetzbetreibers gering und mit weniger als 500 Euro zuzüglich monatlicher Internet- Zugriffsgebühren tragbar. Selbst wenn keine Vergebührung vorgenommen wird, ist der Einsatz eines solchen Systems mit Blick auf die mögliche Kundenbindung zweckmäßig. Essentially, the installation is simple commercially available bulk goods used by the Holders of portable computers and the like with small Costs can be purchased. Because of the low required additional functions and additional equipment the data network access points are also those Installation costs on the part of the data network operator low and with less than 500 euros plus monthly internet Access fees portable. Even if there is no charge is carried out, the use of such a system Appropriate look at the possible customer loyalty.
Vergebührunsverfahren sind besonders gut auf verschiedene Systeme aufteilbar, wenn in einer ersten, kostengünstig bereitstellbaren Vergebührungseinrichtung Vergebührungsgrundinformationen erfasst und an eine zweite, kostenintensiver aber dafür zentral betreibbaren Vergebührungseinrichtung übermittelt werden, welche aus den Vergebührungsgrundinformationen zu verrechnende Gebühren bestimmt. Billing procedures are particularly good on various Systems divisible when in a first, inexpensive available charging facility Basic charging information collected and sent to a second cost-intensive but can be operated centrally Fee facility are transmitted, which from the Basic information on charges to be charged certainly.
Einsatzbereiche sind aufgrund der Verwendung des unlizenzierten Funkbandes private Grundstücke, Geschäfte und Unternehmensbereiche. Areas of application are due to the use of the unlicensed radio band private land, shops and Divisions.
Während bei bekannten Systemen eine vorherige Registrierung und im Fall von Vergebührungen die Einschaltung von Vergebührungsunternehmen oder Instanzen erforderlich war, können mit dem vorgestellten Verfahren Authentisierungen und damit eindeutige Teilnehmeridentifikationen durchgeführt werden, wenn das Datennetz auf ein anderes System oder Netz mit den entsprechenden Informationen zugreifen kann. Insbesondere kann damit auch die Urheberschaft von Inhalten im Netz überprüft werden. While with known systems prior registration and in the case of charges, the involvement of Charging companies or instances were required can authentications and thus carried out clear participant identification if the data network is on another system or network can access with the appropriate information. In particular, this can also be the authorship of content checked in the network.
Der Zugriff auf zellulare Telekommunikationsnetze ist besonders vorteilhaft, da die Mobilfunkbetreiber über die derzeit weltweit größte Teilnehmerschaft verfügen, die derzeit weltweit akzeptierteste Form der Teilnehmerauthentifizierung anwenden und mit ihrer Vergebührungsplattform über ein einfaches Inkassosystem für Dritte verfügen. There is access to cellular telecommunications networks particularly advantageous because the mobile operator over the currently have the largest number of participants worldwide currently the most accepted form of the world Apply subscriber authentication and with their Payment platform via a simple collection system for Third parties.
Ein weiteres, vorteilhaftes Merkmal besteht darin, dass, obwohl der Mobilfunkbetreiber selbst die Verantwortung der Zugangsauthentisierung von Teilnehmern und Teilnehmergeräten vollständig an einen dritten Diensteanbieter übertragen hat, er darüber hinaus mit z. B. Modems oder Netzzugangseinrichtungen genau die Mechanismen bereitstellen kann, die es diesem Diensteanbieter auf einfachste Weise ermöglichen, diese Authentisierung sicher und verläßlich durchzuführen. Another advantageous feature is that although the mobile operator itself is the responsibility of Access authentication of subscribers and subscriber devices completely transferred to a third service provider, he also with z. B. modems or Network access devices provide exactly the mechanisms it can be the easiest way for this service provider enable this authentication to be secure and reliable perform.
Hardwareseitig die entsprechenden Einrichtungen in Form eines Modems bereitzustellen, ist besonders vorteilhaft, da ein Teilnehmer lediglich einfache Verbindungen vorzunehmen hat und die Einrichtung wie ein übliches Modem für Telekommunikationsnetzzugriffe einfach und ohne großen technischen Aufwand selber installieren kann. On the hardware side, the corresponding facilities in the form of a Providing modems is particularly advantageous since one Participant only has to make simple connections and set up like a common modem for Access to telecommunications networks easily and without large can install technical effort yourself.
Besondere Vorteile liegen somit darin, dass zwei verschiedenartige Netze sich gegenseitig ergänzen, in dem ein hochbitratiges Datennetz indirekt auf Funktionen eines niedrigbitratigen Telekommunikationsnetzes mit Authentisierungsfunktionen zugreifen kann. Ein Datennetz, insbesondere Funk-Datennetz kann somit autonom eine Authentisierung einer teilnehmerseitigen Station vornehmen und dazu an unterschiedlichste Netze angeschlossen werden. Das Anschließen an fremde Netze kann dabei derart erfolgen, dass aus Sicht des fremden Netzes eine netzeigene Station zugreift oder eine fremde Einrichtung auf eine für diese bereitgestellte Standardschnittstelle zugreift. Particular advantages are therefore that two different networks complement each other in the one high bit rate data network indirectly on functions of a low bit rate telecommunications network with Authentication functions can access. A data network radio data network in particular can thus autonomously Authenticate a subscriber station and connected to a wide variety of networks. The connection to external networks can be done in such a way that from the point of view of the external network, a network-internal station accesses or a third party to one for this provided standard interface accesses.
Mobilfunkbetreiber können dritten Datennetzanbietern den Anschluss an ihr Bezahlungssystem anbieten und so mit minimalem Aufwand ihren Mobilfunkkunden auch einen Zugriff auf lokale Datennetze anbieten, ohne dabei gezwungen zu sein, selber Zugriffspunkte für Datennetze aufzustellen. Mobile operators can use third-party data network providers Offer connection to your payment system and so with access to your mobile customers with minimal effort offer on local data networks without being forced to set up access points for data networks themselves.
In diesem Zusammenhang ist der Anschluß von Zugriffssteuereinrichtungen lokaler Funk-Datennetze an sogenannte Vergebührungs- bzw. Payment-Systeme von Vorteil. Diese Systeme finden in Telekommunikations-, vor allem aber in zellularen Mobilfunknetzen dann Anwendung, wenn eine Vergebührungsinformation von netzfremden Diensteanbietern übertagen werden soll. So ist es z. B. möglich, den Erwerb von Artikeln über das Mobilfunknetz abzurechnen. In einem solchen Falle nutzt der Verkäufer von Artikeln die Teilnehmerschaft des Kunden bei einem Mobilfunkbetreiber, so dass der Käufer nun, an Stelle von z. B. einer Kreditkarte, über seinen Mobilfunkbetreiber abrechnen kann. Der Verkäufer nutzt also die Inkasso Funktionen, die Mobilfunkbetreiber dritten Diensteanbietern zur Verfügung stellen. Dabei steht der Verkäufer gegenüber dem Mobilfunkbetreiber in der Pflicht, zu gewährleisten, dass nur Vergebührungsinformationen von vollständig authentisierten Teilnehmern übermittelt werden. Entsprechendes kann z. B. in einem Vertrag so geregelt werden, dass der Inanspruch-Nehmer (Verkäufer) von Vergebührungsdienstleistungen eines Mobilfunkbetreibers grundsätzlich für die in Anspruch genommenen Geldbeträge haftet. Über diese in anderen Bereichen für sich bekannten Verfahren, die in kommerziellen Payment-Systemen Anwendung finden, z. B. dem Siemens Pay@Once System, ist es einem Mobilfunkbetreiber möglich, gebührenpflichtige Dienste nicht nur selbst anzubieten, sondern seinen Mobilfunkkunden zusätzlich Dienste von Dritten, nicht dem Mobilfunkbetreiber gehörenden Gesellschaften (untrusted partners) anzubieten zu lassen. In this context, the connection of Access control devices of local radio data networks so-called fee and payment systems are an advantage. These systems can be found in telecommunications, but above all in cellular mobile radio networks when one Billing information from non-network service providers to be transmitted. So it is z. B. possible the acquisition of Selling articles over the cellular network. In one In case the seller of articles uses the participation of the customer at a mobile operator, so the buyer well, instead of e.g. B. a credit card, via his Mobile operator can bill. So the seller uses the collection functions, the mobile operators third Provide service providers. Here is the Seller to the mobile operator in the obligation to ensure that only billing information from fully authenticated participants. The same can be done for. B. are regulated in a contract that the claimant (seller) of Billing services of a mobile operator in principle for the amounts of money used liable. About this well-known in other areas Procedures used in commercial payment systems find, e.g. B. the Siemens Pay @ Once System, it is one Mobile operators possible, but not chargeable services only to offer itself, but to its mobile customers additional services from third parties, not the mobile operator associated companies (untrusted partners) to let.
Ein wesentlicher Vorteil des beschriebenen Verfahrens besteht darin, daß der gebührenpflichtige Zugang zu einem lokalen Funknetz von Dritten angeboten werden kann, deren Vergebührung über das Mobilfunknetz erfolgt, ohne dass der Mobilfunkbetreiber selbst die für den funkbasierten lokalen Funknetzzugang notwendigen Vorrichtungen wie Basisstationen bereitstellen muß. There is a significant advantage of the described method in that the paid access to a local Radio network can be offered by third parties whose Billing takes place via the mobile network without the Mobile operators themselves for the radio-based local Devices such as base stations require radio network access must provide.
Ein Mobilfunkbetreiber kann also seinem Kunden selbst dort einen Zugriff auf Datennetze verschaffen, wo dieser Dienst bereits von einem anderen, Dritten angeboten wird. Dem Dritten kann er die erforderlichen Einrichtungen und Funktionen verkaufen oder schenken. A mobile operator can therefore give his customer there himself provide access to data networks where this service is already being offered by another, third party. the He can provide the necessary facilities and third parties Selling or giving functions.
Dritte Betreiber, z. B. Content-Provider, können motiviert werden, selber einen Zugriff auf lokale Datennetze anzubieten, da diese dritten Betreiber die Möglichkeit der Authentisierung und des Inkassos eines Mobilfunknetzes auf einfache Art und Weise nutzen können. Third party operators, e.g. B. Content providers can be motivated access to local data networks themselves offer because these third operators the possibility of Authentication and collection of a mobile network easy to use.
Für die Authentisierung des Datennetzbetreibers gegenüber einem Dritten als Vergebührungszentrum oder dergleichen kann zweckmäßigerweise eine eigenständige Authentisierung verwendet werden. For the authentication of the data network operator a third party as a charging center or the like expediently an independent authentication be used.
Ein Ausführungsbeispiel wird nachfolgend anhand der Zeichnung näher erläutert. Es zeigen: An embodiment is shown below with reference to the drawing explained in more detail. Show it:
Fig. 1 schematisch Komponenten eines Datennetzes mit Zugriffsmöglichkeit auf ein fremdes, authentisierungsfähiges Kommunikationssystem; . Figure 1 illustrates schematically components of a data network with access capability to a foreign, authentication-capable communication system;
Fig. 2 schematisch den Ablauf eines Authentisierungsverfahrens in einem solchen System; Fig. 2 schematically shows the flow of an authentication procedure in such a system;
Fig. 3 ein Ablaufdiagramm für ein solches Verfahren; Fig. 3 is a flow chart for such a method;
Fig. 4 eine Anordnung zur Vergebührung und Fig. 4 shows an arrangement for charging and
Fig. 5 einen modularen Funk-Zugriffspunkt. Fig. 5 shows a modular radio access point.
Wie aus Fig. 1 ersichtlich, besteht ein beispielhaftes lokales Datennetz, im bevorzugten Ausführungsbeispiel lokales Funk-Datennetz WLAN (Wireless Local Area Network) aus einer Vielzahl von Einrichtungen, die mit entsprechenden Leitungen untereinander verbunden sind. Zu den Einrichtungen gehören Router und Brücken zum Verteilen von Daten auf eine Vielzahl von Netzeinrichtungen. Zwar sind derartige lokale Datennetze WLAN auch ohne eine steuernde Netzeinrichtung betreibbar, wenn die angeschlossenen Stationen, insbesondere Hosts, Computer und dergleichen, über eine entsprechende Funktionalität zur Zugriffssteuerung verfügen, beim bevorzugten Ausführungsbeispiel weist jedoch das lokale Datennetz zur Vergabe von zeitweiligen Adressen gemäß dem Internetprotokoll IP einen sogenannten DHCP-Server auf. Dieser kann direkt an eine Netzleitung oder einen Zugriffsrouter AR (Access Router) angeschlossen oder Bestandteil von einem solchen sein. Weiterhin weist das lokale Datennetz Zugriffspunkte AP (Access Points) für den Zugriff von funkgestützten Stationen auf das lokale Datennetz auf. Derartige funkgestützte Stationen können Computer, Notebooks und dergleichen sein, die mit einer Funkschnittstelle ausgestattet sind, beispielsweise einer sogenannten NIC (Network Internet Card), also einer Netzzugangskarte. Die Kommunikation erfolgt somit von der Station über deren Netzzugangskarte NIC und die zu einem der Zugangspunkte AP aufgebaute Funkschnittstelle V1 auf das lokale funkgestützte Datennetz WLAN. As can be seen from FIG. 1, an exemplary local data network, in the preferred exemplary embodiment local wireless data network WLAN (Wireless Local Area Network), consists of a large number of devices which are connected to one another by corresponding lines. Facilities include routers and bridges to distribute data across a variety of network devices. Although such local data networks WLAN can also be operated without a controlling network device if the connected stations, in particular hosts, computers and the like, have an appropriate functionality for access control, in the preferred exemplary embodiment, however, the local data network has temporary addresses in accordance with the Internet protocol IP a so-called DHCP server. This can be connected directly to a network line or an access router AR (Access Router) or can be part of such. Furthermore, the local data network has access points AP (Access Points) for the access of radio-based stations to the local data network. Such radio-supported stations can be computers, notebooks and the like which are equipped with a radio interface, for example a so-called NIC (Network Internet Card), that is to say a network access card. The communication thus takes place from the station via its network access card NIC and the radio interface V1 to one of the access points AP to the local radio-supported data network WLAN.
Als weitere Baueinheit weist das funkgestützte lokale Datennetz WLAN eine Netzschnittstelle NI (Network Interface) auf, die einen Zugang zu einem Kommunikationsnetz mit Internetzugriff ermöglicht. Die Netzschnittstelle kann dabei in vorteilhafter Weise an dem Zugriffsrouter AR angeschlossen oder ebenfalls in diesem integriert sein. Möglich ist aber auch eine Integration in irgendeinem anderen an dem lokalen Funk-Datennetz WLAN angeschlossenen Computer oder dergleichen. As a further structural unit, the radio-based local Data network WLAN a network interface NI (Network Interface) on having access to a communication network Internet access enabled. The network interface can connected in an advantageous manner to the access router AR or also be integrated into this. But is possible also an integration in any other at the local Wireless data network WLAN connected computer or like.
Beim nachfolgend beschriebenen Verfahren zum losen Koppeln des lokalen Funk-Datennetzes WLAN an ein Mobilfunknetz, im dargestellten Ausführungsbeispiel ein Mobilfunknetz gemäß dem Standard GSM, wird auf weitere Einrichtungen und Funktionen zugegriffen. Dabei werden die Authentisierung und die Vergebührung sowohl voneinander als auch von einer direkten Kommunikation mit dem fremden Netz bzw. System GSM entkoppelt. Bei der unterhalb der bildlichen Netzdarstellung skizzierten Symboldarstellung ist die entsprechende Architektur eines bevorzugten lokalen Funk-Datennetz-Systems dargestellt, welches durch die Entkoppelung von Authentisierung und Vergebührung an unterschiedlichste Netze angekoppelt werden kann. Beispielhaft genannt sind neben Zugriffen auf das GSM Zugriffe auf PLMN HLR/HSS (Public Land Mobile Network; HLR: Home Location Register (Heimat- Ortsregister)/Home Subscriber System), elektronische Handelssysteme (eCommerce), ISP AAA (Internet Service Provider Authentication Authorisation Accounting), intelligente Mikrobezahlungs-Netzsysteme (IN Micropayment Systeme) usw. In the loose coupling procedure described below the local radio data network WLAN to a mobile network, in illustrated embodiment, a cellular network according to the Standard GSM, is based on additional facilities and functions accessed. The authentication and the Billing both from one another and from a direct one Communication with the foreign network or GSM system decoupled. In the below the pictorial network representation sketched symbol representation is the corresponding Architecture of a preferred local radio data network system shown, which by the decoupling of Authentication and charging to a wide variety of networks can be coupled. Examples are next to Access to the GSM Access to PLMN HLR / HSS (Public Land Mobile network; HLR: Home Location Register (home Place Register) / Home Subscriber System), electronic Trading systems (eCommerce), ISP AAA (Internet Service Provider Authentication Authorization Accounting), intelligent micro payment network systems (IN Micropayment Systems) etc.
Der Anschluss dieser verschiedenen Systeme bzw. Netze an das Datennetz WLAN erfolgt über eine Netzschnittstelle, die ein entsprechendes Schnittstellenmodul aufweist. Die übrigen schematisch dargestellten Blöcke können für die verschiedensten Fremdnetze bzw. Fremdsysteme unverändert verwendet werden. Dabei bestehen die generischen Bausteine aus einer Teilnehmerstation bzw. Teilnehmeranwendung, z. B. einem Notebook mit einer Funk-Netzkarte und einem Internetbrowser, einer Funkzugriffseinrichtung, z. B. einem Funk-Zugriffspunkt gemäß dem IEEE 802.11b-Standard, welcher an ein lokales Datennetz LAN angeschlossen ist, einer Zugriffssteuereinrichtung bzw. Zugriffssteuerfunktion, welche erkennt, ob ein Teilnehmer bereits authentisiert ist oder nicht und welche gegebenenfalls eine Authentisierung erzwingt, und einer Authentisierungsfunktion bzw. Authentisierungseinrichtung, welche die Authentisierung durchführt. Ferner kann eine Vergebührungsfunktion bzw. ein Vergebührungssystem, welches Vergebührungsinformati3on anhand der genutzten Zeit der Diensteinanspruchnahme, anhand der übertragenen Datenmenge oder anhand der Art des genutzten Dienstes teilnehmerabhängige Gebührendatensätze erstellt, bereitgestellt sein, wobei solche Funktionen und Systeme jedoch auch in der Netzschnittstelle aufgenommen sein können. The connection of these different systems or networks to the Data network WLAN takes place via a network interface has the corresponding interface module. The remaining schematically illustrated blocks can for the various third-party networks or third-party systems unchanged be used. The generic building blocks exist from a subscriber station or subscriber application, e.g. B. a notebook with a radio network card and one Internet browser, a radio access device, e.g. B. one Radio access point according to the IEEE 802.11b standard, which is connected to a local data network LAN, one Access control device or access control function, which recognizes whether a participant is already authenticated or not and which authentication if necessary enforces, and an authentication function or Authentication device, which the authentication performs. Furthermore, a charging function or a Fee system, which fee information based on the time used for the service, based on the amount of data transferred or based on the type of data used Service subscriber-related fee records created, be provided, such functions and systems however, can also be included in the network interface.
Die generischen Bausteine und Funktionen können sowohl bezüglich ihrer logischen Funktionen als auch hinsichtlich ihrer physikalischen Entitäten unverändert verwendet werden. Unter dem Begriff generisch ist somit insbesondere eine Einrichtung zu verstehen, die bezüglich ihrer physikalischen Bauart und ihrer logischen Funktion unverändert verwendet werden kann, unabhängig von einem fremden System, an das diese generische Einrichtung angeschlossen ist. Die einzelnen Einrichtungen und Funktionen können dabei als voneinander getrennte Einrichtungen bzw. Funktionen bereitgestellt werden, können Bestandteile anderer Netzeinrichtungen sein oder auch in einer nachfolgend als Diensteauswahl-Gateway SSG (Service Selection Gateway) bezeichneten Einrichtung zusammengefasst sein. Die Authentisierungsfunktion soll beim nachfolgend beschriebenen Ausführungsbeispiel durch einen Netzserver bzw. WEB-Server bereitgestellt werden. The generic blocks and functions can both in terms of their logical functions as well as in terms of their physical entities can be used unchanged. The term generic is therefore particularly one To understand the facility regarding its physical Design and its logical function used unchanged can be connected to the this generic device is connected. The single ones Facilities and functions can be considered as different from each other separate facilities or functions provided can be part of other network devices or also in a subsequent service selection gateway SSG (Service Selection Gateway) designated facility be summarized. The authentication function is supposed to embodiment described below by a Network server or web server are provided.
Der Verfahrensablauf bei einem Netzzugriff durch eine Station WH und die entsprechende Authentisierung dieser Station bzw. von dem dieser zugeordneten Benutzer wird auch mit Blick auf die Fig. 2 und 3 beschrieben. In einem ersten Schritt S1 bekommt die teilnehmerseitige Station WH über die Funkschnittstelle V1 einen Funkzugriff auf den Zugriffspunkt AP des lokalen Funk-Datennetzes WLAN, welches beispielsweise an einem Flughafen installiert ist. Nach der Zuweisung einer für die Station WH für Zugriffe zu verwendenden IP-Adresse (IP: Internet Protocol) durch den DHCP-Server gemäß standardisierten Funktionen f3ür lokale Datennetze, wird die Authentisierung dann eingeleitet, wenn zum ersten Mal unter Benutzung der IP-Adresse oder der Netzzugriffskarte eigenen, weltweit eindeutigen MAC-Adresse (MAC: Medium Access Control) auf einen Dienst, z. B. Internet-Zugang, zugegriffen wird. The process sequence for network access by a station WH and the corresponding authentication of this station or of the user assigned to it is also described with reference to FIGS. 2 and 3. In a first step S1, the station WH on the subscriber side has radio access via the radio interface V1 to the access point AP of the local radio data network WLAN, which is installed, for example, at an airport. After the assignment of an IP address (IP: Internet Protocol) to be used for station WH by the DHCP server according to standardized functions for local data networks, authentication is initiated when the IP address or is used for the first time the network access card's own, globally unique MAC address (MAC: Medium Access Control) to a service, e.g. B. Internet access is accessed.
Die Zugriffssteuerfunktion bzw. Zugriffs-Steuereinrichtung weist einen Speicher auf, in dem eine Liste geführt ist, welche IP-Adressen WH-IP bzw. MAC-Adressen WH-MAC bereits als authentisierte Teilnehmer bzw. authentisierte Teilnehmerstationen aufgeführt sind (Schritt S2). The access control function or access control device has a memory in which a list is kept, which IP addresses WH-IP or MAC addresses WH-MAC already as authenticated participants or authenticated Subscriber stations are listed (step S2).
Falls in einem Schritt S3 festgestellt wird, dass die überprüfte IP-Adresse WH-IP bzw. MAC Adresse WH-MAC zu einem bereits authentisierten Teilnehmer bzw. Teilnehmerendgerät gehören, wird der Zugriff auf die gewünschten Dienste, die mit Hilfe des oder von dem lokalen Datennetz angeboten werden, freigegeben. Andernfalls kann z. B. der Zugriff auf gebührenfreie, lokale Dienste, z. B. Abflugtabellen am Flughafen, beschränkt, oder jeglicher Datenzugriff unterbunden, oder eine erneute Authentisierung angereizt werden. If it is determined in a step S3 that the Checked IP address WH-IP or MAC address WH-MAC for one already authenticated subscriber or subscriber terminal include access to the services you want offered with the help of or from the local data network be released. Otherwise, e.g. B. access to toll-free, local services, e.g. B. Departure tables on Airport, restricted, or any data access prevented, or re-authentication stimulated become.
Für alle nicht authentisierten IP- oder MAC-Adressen wird von dem Diensteauswahl-Gateway SSG bzw. der darin befindlichen Zugriffs-Steuereinrichtung anstelle der gewünschten Internetseite eine Portalseite eingespielt, welche den Teilnehmer bzw. Betreiber der Station WH auffordert, eindeutige Identifizierungsmerkmale, z. B. Teilnehmername und Passwort, einzugeben. Diese Parameter werden zu einer Authentisierung herangezogen. Ist diese erfolgreich, so wird die Zugriffssteuerfunktion angewiesen, den Teilnehmer freizuschalten, d. h. ihm den Zugriff auf die gewünschte Internetseite zu gestatten, so dass dieser einen freien Zugang auf den gewünschten Dienst bzw. das Internet hat. For all unauthenticated IP or MAC addresses, from the service selection gateway SSG or the one located therein Access control device instead of the desired one Website imported a portal page, which the Requests participants or operators of the WH station, unique identifiers, e.g. B. Participant name and Password to enter. These parameters become one Authentication used. If this is successful, then the access control function instructed the subscriber unlock, d. H. him access to the one you want Allow website so that this one free Has access to the desired service or the Internet.
Bei dem Übersenden der Portalseite in einem Schritt S4 kann dabei neben oder anstelle der eindeutigen Identifizierungsmerkmale insbesondere auch eine Zugriffsnummer für ein Telefon, insbesondere Zellular-Telefon des Teilnehmers abgefragt werden. Nach Eingabe der Zugriffsnummer bzw. Telefonnummer (Mobilruf-Nr.) bei einem Schritt S5 durch den Teilnehmer bzw. Betreiber der Station WH wird die Identifizierungsnummer bzw. Telefonnummer über den Zugriffspunkt AP an das Diensteauswahl-Gateway SSG in einem Schritt S6 gesendet. When sending the portal page in a step S4 in addition to or instead of the clear Identification features in particular also one Access number for a telephone, in particular cellular telephone of the participant. After entering the Access number or telephone number (mobile number) for one Step S5 by the participant or operator of the station WH the identification number or telephone number is sent via the Access point AP to the service selection gateway SSG in one Step S6 sent.
In einem folgenden Schritt S7 erzeugt das Diensteauswahl- Gateway für den Fall, dass mit den Angaben keine Authentisierung möglich ist, aber eine derartige Telefonnummer angegeben ist, ein Passwort. Das Passwort wird als Kenninformation über das entsprechende, zu der Telefonnummer zugeordnete Kommunikationsnetz an das entsprechende Telefon übermittelt. Anstelle eines Telefons können auch andere geeignete Datenendstationen verwendet werden, beispielsweise Faxgeräte. Wesentlich ist, dass die Kenninformation über ein Telekommunikationsnetz, Datennetz oder System übertragen wird, welches eine eindeutige und verläßliche Teilnehmerzuordnung zulässt, bei welchem also der angegebenen Telefonnummer eindeutig eine bestimmte Person als Teilnehmer oder als ein bestimmtes Datenendgerät zugeordnet ist. Nur diesem darf und kann die Kenninformation zugeleitet werden. In a subsequent step S7, the service selection Gateway in the event that with the information none Authentication is possible, but such Phone number is given, a password. The password will as identification information about the corresponding to the Communication network assigned to the telephone number appropriate phone transmitted. Instead of a phone other suitable data terminals can also be used such as fax machines. It is essential that the Identification information via a telecommunications network, data network or system is transmitted, which is a unique and allows reliable participant assignment, for which the specified phone number clearly as a specific person Associated with or assigned as a specific data terminal is. Only this person can and can receive the identification information become.
Beim dargestellten Ausführungsbeispiel wird die Kenninformation bei einem Schritt S8b über ein Telekommunikationsnetz als Kurznachricht SMS (Short Message Service) an eine mobile Station, insbesondere ein Zellulartelefon des GSM-Netzes mit der zugeordneten Mobilruf- Nr. MSISDN übermittelt. Parallel dazu wird vom Diensteauswahl-Gateway SSG in einem Schritt S8a eine Passwortanfrage als Portalseite an die Station WH gesendet. In the illustrated embodiment, the Identification information at a step S8b Telecommunications network as a short message SMS (Short Message Service) to a mobile station, especially a Cellular phone of the GSM network with the assigned mobile call No. MSISDN transmitted. In parallel, from Service selection gateway SSG in a step S8a Password request sent to station WH as portal page.
Bei einem nächsten Schritt S9 liest der Teilnehmer von seinem Zellulartelefon die Kenninformation ab und gibt diese in seine Station WH ein. Nach einer Bestätigung wird in einem Schritt S10 die Kenninformation bzw. dieses Passwort von der Station WH über den Zugriffspunkt AP an das Diensteauswahl- Gateway SSG gesendet. In a next step S9, the subscriber reads from his Cellular telephone the identification information and gives it in his station WH a. After confirmation is in a Step S10 the identification information or this password from the Station WH via the access point AP to the service selection Gateway SSG sent.
Im nächsten Schritt S11 wird in dem Diensteauswahl-Gateway SSG überprüft, ob die Kenninformation bzw. das Passwort mit dem ursprünglich erzeugten und abgesendeten Passwort übereinstimmt bzw. in zulässiger Form durch beispielsweise Verschlüsselungen verändert wurde. Falls nein, wird eine Fehlermeldung im Schritt S12 an die Station WH ausgegeben und der Ablauf beendet oder eine erneute Anforderung von Authentifizierungsinformationen beim Schritt S4 eingeleitet. In the next step S11 is in the service selection gateway SSG checks whether the identification information or the password is included the password originally generated and sent matches or in a permissible form by, for example Encryption was changed. If no, one will Error message in step S12 output to station WH and the process ends or a new request from Authentication information initiated at step S4.
Falls beim Schritt S11 die Kenninformation in Ordnung ist, erfolgt beim Schritt S13 die Freigabe der Station WH für den gewünschten bzw. zugelassenen Zugriff auf spezielle Dienste und/oder das Internet. Dabei kann eine Beschränkung der Verbindungsdauer vorgesehen werden. If the identification information is OK in step S11, the station WH is released for the step S13 desired or permitted access to special services and / or the internet. A limitation of Connection duration can be provided.
Optional kann auch eine Erfassung von Vergebührungsinformationen in einem Schritt S14 eingeleitet werden. Derartige Vergebührungsinformationen werden in einem Schritt S15 an einen entsprechenden Vergebührungsdienst z. B. einer dritten Partei oder des Betreibers des für die Authentisierung verwendeten Netzes bzw. Systems übermittelt (Schritt S15). Optionally, a detection of Charging information is initiated in a step S14 become. Such billing information is in one Step S15 to a corresponding billing service z. B. a third party or the operator of the for the Authentication used network or system transmitted (Step S15).
Bei der Auswahl des Passwortes bzw. der Kenninformation kann ein Zufallsverfahren verwendet werden, möglich ist aber auch die Verwendung eines Speichers mit einer großen Vielzahl von Begriffen, aus denen nach dem Zufallsprinzip jeweils ein Begriff ausgesucht und über das authentisierungsfähige Netz bzw. System übertragen wird. When selecting the password or the identification information can a random procedure can be used, but is also possible the use of a large variety of memory Terms from which randomly each one Term selected and via the authentication network or system is transferred.
Alternativ oder zusätzlich können Paßworte voreingerichtet sein, z. B. für Flughafenbedienstete am Flughafen, welche von Teilnehmern im Rahmen der Authentisierung entweder direkt eingegeben werden können, oder, um ihnen, z. B. im Falle des Vergessens, per SMS erneut zugeschickt werden zu können. Alternatively or additionally, passwords can be preset be, e.g. B. for airport staff at the airport, which of Authentication participants either directly can be entered, or to give them e.g. B. in the case of Forgetting to be able to be sent again via SMS.
Kurz zusammengefasst gibt der Teilnehmer bzw. Betreiber einer an das lokale Funk-Datennetz WLAN anzuschließenden Station WH anstelle eines Passwortes seine Mobilrufnummer (MSISDN) in die Portalseite ein, die Authentisierungsfunktion erzeugt ein Passwort und schickt dieses als Kenninformation per Kurznachrichtendienst SMS an ein Mobilfunkterminal (GSM- Terminal). Der Teilnehmer überträgt das empfangene Passwort auf die Station und kann somit von der Authentisierungsfunktion im Diensteauswahl-Gateway SSG eindeutig authentisiert werden. Briefly summarized, the participant or operator gives one station WH to be connected to the local radio data network WLAN instead of a password his mobile number (MSISDN) in the portal page on, the authentication function generates a Password and sends this as identification information via Short message service SMS to a mobile radio terminal (GSM Terminal). The participant transmits the received password to the station and can therefore Authentication function in the service selection gateway SSG be clearly authenticated.
Auf diese Art und Weise hat der Betreiber des Datennetzes zwar nur eine Telefonnummer als eindeutige Zuordnungsmöglichkeit zu dem Teilnehmer, jedoch ist bei Bedarf, z. B. vom Stationsbenutzer falsch angegebenen persönlichen Adressdaten, über einen entsprechenden späteren Zugriff auf die Datenbanken des Telekommunikationssystems eine weitergehende Zuordnung zu dem Teilnehmer möglich. Dadurch wird der Teilnehmer letztendlich auf die heutzutage verlässlichste und vertrauenswürdigste Weise zugleich gegenüber der Authentisierungsfunktion des lokalen Funk- Datennetzes authentisiert. Außerdem ist es möglich, evtl. Vergebührungsinformationen über einen zwischengeschalteten Vergebührungsdienst, eine entsprechende Vergebührungsorganisation oder den Betreiber des Mobilfunknetzes gegenüber dem Teilnehmer in Rechnung zu stellen. Insbesondere muss lediglich ein Vertrauensverhältnis zwischen dem Authentisierungsserver und dem Telekommunikationsnetz, welches für die Authentisierung zwischengeschaltet wurde, nicht aber zwischen dem Teilnehmer und dem Betreiber des Datennetzes bestehen. In this way, the operator of the data network although only a phone number as unique Allocation to the participant, however, is at Need, e.g. B. incorrectly specified by the station user personal address data, via a corresponding later Access to the databases of the telecommunications system further assignment to the participant is possible. This will ultimately take the participant to the present day most reliable and trustworthy way at the same time compared to the authentication function of the local radio Authenticated data network. It is also possible to Interim billing information Fee service, a corresponding Billing organization or the operator of the Cellular network to the subscriber put. In particular, only a relationship of trust needs between the authentication server and the Telecommunications network, which for authentication was interposed, but not between the participants and the operator of the data network.
Als Vergebührungsorganisation bzw. Vergebührungsdienst kann auch ein sogenannter Wallet-Server zwischengeschaltet werden, welcher in Art eines Inkassobüros fungiert. Die Verwendung des Mobilfunksystems ist vorstehend lediglich ein Mittel zum Zweck der Authentisierung und soll keine andersartige Netzanbindung ausschließen. As a fee organization or fee service can a so-called wallet server can also be interposed, which acts like a collection agency. The usage the mobile radio system is just a means for Purpose of authentication and is not meant to be any other Exclude network connection.
Die Authentisierungs- und die Zugriffssteuerungsfunktion können physikalisch in einer Entität, z. B. einem Rechner, untergebracht sein, können aber auch getrennt in einer zentralen und/oder mehreren Satelliteneinrichtungen bereitgestellt sein. Dies ist in den Figur durch die Aufteilung in einen WEB-Server i-noc zur Durchführung der Authentisierung und eine Zugriffseinrichtung i-sat mit der Zugriffs-Steuereinrichtung dargestellt. Die Funkzugriffseinrichtung und die Zugriffs-Steuereinrichtung erfassen unter anderem Informationen für Vergebührungen. The authentication and access control functions can be physically in an entity, e.g. B. a calculator, can be accommodated, but can also be separated in one central and / or several satellite devices be provided. This is shown in the figure by the Distribution in a WEB server i-noc to carry out the Authentication and an access device i-sat with the Access control device shown. The Radio access device and the access control device among other things, collect information for charges.
Falls die Authentisierungsfunktion in einer eigenständigen Einrichtung i-noc eingerichtet ist, kann eine solche Authentisierungseinrichtung i-noc auch mehrere Zugriffs- Steuereinrichtungen i-sat versorgen. Insbesondere ist es dann vorteilhaft, die Authentisierungseinrichtung i-noc an einem Ort nahe oder bei einem externen Netz mit zuverlässiger eigenständiger Authentisierungsfunktion oder beim Betreiber eines Vergebührungssystems, z. B. beim Betreiber eines Mobilfunknetzes GSM oder einem Broker zu installieren. Dies ermöglicht die Bereitstellung einer aufwendigen Authentisierungseinrichtung i-noc an einer zentralen Stelle und den Anschluss einer Vielzahl einfach aufgebauter und kostengünstiger Zugriffs-Steuereinrichtungen i-sat bei einzelnen lokalen Netzen WLAN oder Zugriffspunkten AP. Für die Verbindung zwischen getrennten Zugriffs- Steuereinrichtungen i-sat und einer Authentisierungseinrichtung i-noc wird zweckmäßigerweise eine sichere IP-basierte Verbindung gemäß z. B. RADIUS oder HTTP-S (Hypertext Transmission Protocol-Secure) aufgebaut. If the authentication function in a separate Setup i-noc is set up, such Authentication device i-noc also multiple access Supply i-sat control devices. Then in particular it is advantageous, the authentication device i-noc on one Location near or at an external network with more reliable independent authentication function or at the operator a charging system, e.g. B. at the operator of a Mobile network GSM or a broker to install. This enables the provision of an elaborate Authentication device i-noc at a central point and connecting a variety of simple and inexpensive access control devices i-sat individual local area networks WLAN or access points AP. For the connection between separate access Control devices i-sat and one Authentication device i-noc expediently becomes a secure IP-based connection according to e.g. B. RADIUS or HTTP-S (Hypertext Transmission Protocol-Secure).
Neben der Übertragung von Vergebührungsinformationen an einen sogenannten Wallet-Server können die Vergebührungsinformationen auch direkt an den Betreiber beispielsweise eines für die Authentifizierung verwendeten Mobilfunknetzes übermittelt werden, wobei dort vorhandene Vergebührungs- bzw. Payment-Plattformen verwendet werden können. Letztere sind beispielsweise als intelligente Netzfunktionen für sogenannte Mikropayment-Lösungen existent. Unter Bezug auf Fig. 4 wird nachfolgend eine solche Vergebührung beschrieben. In addition to the transmission of billing information to a so-called wallet server, the billing information can also be transmitted directly to the operator of, for example, a mobile radio network used for authentication, wherein existing billing or payment platforms can be used there. The latter exist, for example, as intelligent network functions for so-called micropayment solutions. Such charging is described below with reference to FIG. 4.
Derzeit übliche Mobilfunknetze verfügen über ein intelligentes Netz (IN), mit Hilfe dessen sie sogenannte Hilfsdienstleistungen bzw. Supplementary Services für ihre Mobilfunkkunden anbieten können, z. B. Anrufweiterleitungen auf eine Sprachbox. Diese Systeme bestehen in der Regel aus einem Diensteschaltpunkt SSP (Service Switching Point) und einem Dienstesteuerpunkt SCP (Service Control Point). Ersterer erkennt beispielsweise an der gewählten Rufnummer, dass ein IN-Dienst gewünscht wird, letzterer erkennt den gewünschten Dienst, ermöglicht die Bereitstellung und Vergebührung desselben. Dienstesteuerpunkte SCP sind in der Regel auf Serverplattformen realisiert. Current mobile networks have one intelligent network (IN), with the help of which they so-called Auxiliary or supplementary services for your Mobile customers can offer such. B. Call forwarding on a voicebox. These systems usually consist of a service switching point SSP (Service Switching Point) and a service control point (SCP). The former recognizes, for example, from the dialed number, that an IN service is desired, the latter recognizes the desired service, enables deployment and Billing of the same. Service control points are in the SCP Usually implemented on server platforms.
Mobilfunkbetreiber können nun Dritten Zugriff auf dieses in der Regel sehr komplexe System geben, wenn Dritte eigene Dienste anbieten und das Bezahlungssystem des Mobilfunkbetreibers als Art Inkassosystem nutzen möchten, woher der Begriff Mikropayment stammt. Dazu wird der Anschluss an eine Payment-Plattform bzw. einen Payment-Server bereitgestellt, wobei die Schnittstelle auf einem einfachen in der Regel IP-basierten Protokoll beruht, anstelle komplexe Protokolle gemäß beispielsweise CCS7 oder INAP zu verwenden. Bei einem solchen System tritt jedoch exakt das gleiche Vertrauensproblem auf, wie bei dem Stand der Technik. Falls der Verkäufer von Diensten bzw. Datennetzzugriffen sich an ein solches Vergebührungssystem anschließt und zugleich eine 100%ige Mobilfunkbetreiber-Tochtergesellschaft ist, so können Vergebührungsanforderungen seitens des Verkäufers akzeptiert werden. Der Verkäufer erhält dann im Payment-Server einen sogenannten Account. Handelt es sich jedoch um einen nicht vertrauenswürdigen Verkäufer, z. B. einen unbekannten Datennetzbetreiber, so wird in der Regel ein Wallet-Server zwischengeschaltet. Dieser kann nun Abrechnungen zusätzlich zu Banken oder vertrauenswürdigen Verkäufern direkt an das Bezahlungssystem bzw. Vergebührungssystem des Mobilfunkbetreibers übermitteln. Mobile operators can now access this in third parties usually give very complex system if third party own Offer services and the payment system of the Want to use the mobile operator as a kind of collection system, where the term micropayment comes from. For this the Connection to a payment platform or a payment server provided, the interface on a simple usually based on IP protocol, rather than complex To use protocols according to, for example, CCS7 or INAP. In such a system, however, the exact same thing occurs Trust problem on, as in the prior art. If the seller of services or data network access such a charging system connects and at the same time one Is a 100% subsidiary of the mobile operator, so can Fee requests accepted by the seller become. The seller then receives one in the payment server so-called account. However, it is not one trustworthy seller, e.g. B. an unknown Data network operator, usually becomes a wallet server interposed. This can now do additional billing to banks or trusted sellers directly to that Payment system or fee system of the Transmit operator.
Um dies zu ermöglichen, wird der WEB-Server bei vorstehendem Ausführungsbeispiel durch eine entsprechende erweiterte Netzschnittstelle ergänzt. Dadurch können Vergebührungsinformationen in entsprechenden Nachrichten des Mobilfunk-Inkassosystems eingearbeitet übermittelt werden. To make this possible, the WEB server is used in the above Embodiment by a corresponding extended Network interface added. This allows Fee information in corresponding messages of the Cellular debt collection system can be transmitted incorporated.
Um das Ende der Vergebührung ermitteln zu können, kann beispielsweise eine Aufschaltung auf IN-Dienste, beispielsweise einen Wetterdienst, erfolgen, welche eine Zeitüberwachung ermöglichen. In order to be able to determine the end of the charge, for example a connection to IN services, for example a weather service, which a Enable time monitoring.
Mit Hilfe der vorstehend beschriebenen Verfahrensweise und Vorrichtungen kann ein funkgestütztes lokales Datennetz autonom Authentisierungen von angeschlossenen Stationen bzw. diesen zugeordneten Teilnehmern durchführen, wobei Authentisierungsinformationen von unterschiedlichsten Netzen und Systemen mit entsprechend sicheren Authentisierungsmöglichkeiten verwendet werden können. Ein Mobilfunkbetreiber kann fremde Anbieter lokaler Datennetze an sein Vergebührungs- bzw. Bezahlungssystem anschließen und so mit minimalem Aufwand seinen eigenen Mobilfunkkunden Zugriffe auf lokale Datennetze anbieten, ohne gezwungen zu sein, selber Zugriffspunkte und Datennetze bereit zu stellen. Ferner kann ein Mobilfunkbetreiber seinen Kunden selbst an Orten einen Zugriff auf lokale Datennetze verschaffen, wo dieser Dienst bereits von einem anderen, Dritten angeboten wird, indem er diesem die erforderlichen Einrichtungen und Softwarefunktionen verkauft oder schenkt. Weiterhin können dritte Betreiber, z. B. sogenannte Content-Provider motiviert werden, selber Zugriffsmöglichkeiten auf funkgestützte lokale Datennetze anzubieten, da diese die Möglichkeit der Authentisierung und damit des Inkassos eines Mobilfunknetzes mit ausnutzen können. Using the procedure described above and Devices can be a radio-based local data network autonomous authentication of connected stations or perform assigned participants, where Authentication information from various networks and systems with correspondingly secure Authentication options can be used. On Mobile operators can offer third-party providers of local data networks connect his fee or payment system and so access to its own mobile phone customers with minimal effort offer on local data networks without being forced to provide access points and data networks themselves. Furthermore, a mobile operator can contact its customers Provide access to local data networks where this service is already offered by another third party by giving it the necessary facilities and Software functions sold or donated. Can continue third operator, e.g. B. motivates so-called content providers access to radio-based local ones Offer data networks, as this offers the possibility of Authentication and thus the collection of a mobile network can take advantage of.
Wie aus Fig. 5 ersichtlich, besteht ein besonders bevorzugter Funk-Zugriffspunkt aus einer modularen Einrichtung. Ein Funkteil dient zum Anschluss fremder funkgestützter Stationen an ein lokales Funk-Datennetz gemäß z. B. dem Ethernet- Standard. An der Ethernet-Leitung ist auch ein Modemteil angeschlossen. Das Modemteil weist die Einrichtungen und Funktionen des Diensteauswahl-Gateways auf, d. h. die Zugriffs-Steuereinrichtung und -funktion, einen Verbindungs- bzw. Anschlussabschnitt und modular austauschbare Schnittstelleneinrichtungen zum Anschluss an ein fremdes Kommunikationssystem oder -netz. Eine derart aufgebaute modulare Einrichtung versteckt die Dienstefunktionalität, sieht wie ein Modem aus und bietet, je nach baulicher Ausführung, Anschlussmöglichkeiten an eine Vielzahl verschiedenartigster Kommunikationssysteme und -netze, wie z. B. ISDN oder DSL. Die letztgenannten Anschlussmöglichkeiten dienen zur vorstehend beschriebenen Authentisierung, aber auch zum Bereitstellen eines Internetzugangs oder sonstiger pyhsikalischer Verbindungen zwischen den verschiedenartigen Systemen. Anschließbar sind an die externe Schnittstelle somit die verschiedensten Netztypen, wobei der Zugang zum Versenden von Kurznachrichten SMS zu einem Mobilfunkgerät des GSM-Netzes z. B. über eine 2 MBit-Leitung eines zwischengeschalteten sogenannten IP-backbones erfolgen kann. As seen from Fig. 5, is a particularly preferred radio access point of a modular device. A radio part is used to connect external radio-based stations to a local radio data network according to e.g. B. the Ethernet standard. A modem part is also connected to the Ethernet line. The modem part has the devices and functions of the service selection gateway, ie the access control device and function, a connection or connection section and modularly interchangeable interface devices for connection to an external communication system or network. Such a modular device hides the service functionality, looks like a modem and offers, depending on the construction, connection options to a variety of different communication systems and networks, such as. B. ISDN or DSL. The latter connection options serve for the authentication described above, but also for providing Internet access or other physical connections between the different types of systems. A wide variety of network types can thus be connected to the external interface, with access for sending short messages SMS to a mobile radio device of the GSM network, e.g. B. can take place over a 2 Mbit line of an intermediate so-called IP backbone.
Claims (21)
der Zugriff der Station auf einen Zugriffspunkt (AP) für ein derartiges Datennetz (WLAN) erfolgt (S1),
die Station (WH) eine Identifizierungsinformation (Mobilruf-Nr.) an den Zugriffspunkt (AP) übermittelt (S4),
Zugriffspunkt-seitig oder netzseitig eine Kenninformation (Passwort) bereitgestellt und mittels einer Schnittstelle (SSG, AR, NI) zu einer authentisierten Einrichtung (MS) eines Zugriffspunkt-fremden Systems bzw. Netzes (GSM) mit Authentisierungsfunktion übertragen wird (S7, S8b), wobei die Identifizierungsinformation (Mobilruf-Nr.) der in dem externen System bzw. Netz (GSM) authentisierten Einrichtung (MS) direkt zugeordnet ist und insbesondere Zugriff auf Daten der authentisierten Einrichtung (MS) am Ort der Station (WH) oder des Zugriffspunkts (AP) verfügbar ist,
die zur authentisierten Einrichtung (MS) gesendete Kenninformation (Passwort) auf die Station (WH) übertragen wird,
die Station (WH) die Kenninformation zum Zugriffspunkt (AP) übermittelt,
eine Zugriffspunkt-seitige oder netzseitige Instanz (SSG) die übermittelt mit der gesendeten Kenninformation (Passwort) vergleicht und,
falls der Vergleich positiv ist, der Zugriff der Station (WH) auf bestimmte oder alle Zugriffspunkt-seitigen oder netzseitigen Dienste und Funktionen freigegeben wird. 1. Method for authenticated access by a station (WH) compatible with a data network (WLAN), in which
the station accesses an access point (AP) for such a data network (WLAN) (S1),
the station (WH) transmits identification information (mobile call number) to the access point (AP) (S4),
Identification information (password) is provided on the access point side or on the network side and is transmitted via an interface (SSG, AR, NI) to an authenticated device (MS) of a non-access point system or network (GSM) with an authentication function (S7, S8b), the identification information (mobile number) is directly assigned to the device (MS) authenticated in the external system or network (GSM) and in particular access to data from the authenticated device (MS) at the location of the station (WH) or the access point ( AP) is available,
the identification information (password) sent to the authenticated device (MS) is transmitted to the station (WH),
the station (WH) transmits the identification information to the access point (AP),
an access point-side or network-side instance (SSG) which compares the transmitted with the transmitted identification information (password) and,
if the comparison is positive, the station's (WH) access to certain or all access point-side or network-side services and functions is enabled.
zumindest einem schnittstellenartigen Zugriffspunkt (AP) für einen Zugriff durch teilnehmerseitige Datennetz- kompatible Stationen (WH) auf das Datennetz,
einer Zugriffssteuereinrichtung (SSG) mit einem Authentisierungsspeicher, in dem berechtigte Stationen (WH) registriert sind,
einer ersten externen Netzschnittstelle (NI) für einen Zugriff des Datennetzes (WLAN) auf ein externes, datennetz- inkompatibles System oder Netz (GSM),
gekennzeichnet durch
die Zugriffssteuereinrichtung (SSG), die zum Erzeugen einer Kenninformation und Aussenden dieser über das externe System bzw. Netz (GSM) eingerichtet ist, und
eine Übertragungseinrichtung zum Übertragen der über das externe Netz bzw. System auf eine authentifizierte Einrichtung (MS) dieses externen Netzes bzw. Systems übertragenen Kenninformation (Passwort) auf die Station (WH) und über diese zur Authentisierung der Station (WH) an die Zugriffssteuereinrichtung (SSG). 10. Data network or radio-supported data network (WLAN) with
at least one interface-like access point (AP) for access to the data network by subscriber-side data network-compatible stations (WH),
an access control device (SSG) with an authentication memory in which authorized stations (WH) are registered,
a first external network interface (NI) for access by the data network (WLAN) to an external, data network-incompatible system or network (GSM),
marked by
the access control device (SSG), which is set up to generate identification information and transmit it via the external system or network (GSM), and
a transmission device for transmitting the identification information (password) transmitted via the external network or system to an authenticated device (MS) of this external network or system to the station (WH) and via this to authenticate the station (WH) to the access control device ( SSG).
einer Datennetz-typischen Schnittstelle (ACMI, Ethernet),
zumindest einer weiteren Schnittstelle (ExtI) für einen Zugriff auf ein Datennetz-externes Netz oder System (GSM) und
einer Zugriffssteuereinrichtung (ACM; SSG) zum eigenständigen Prüfen des Authentisierungsstatus der Station (WH) und bei nicht ausreichender Authentisierung zum Veranlassen einer Authentisierung der Station (WH). 11. Modem or access point (AP), in particular an access point (AP) according to a preceding claim for access by subscriber-side data network-compatible stations (WH) to a data network (WLAN) with
a typical data network interface (ACMI, Ethernet),
at least one further interface (ExtI) for access to a data network external network or system (GSM) and
an access control device (ACM; SSG) for independently checking the authentication status of the station (WH) and, in the case of insufficient authentication, for initiating authentication of the station (WH).
zum Erzeugen einer Kenninformation nach Erhalt einer Identifizierungsinformation (Mobilruf-Nr., MSISDN) über die Schnittstelle vom Datennetz und
zum Aussenden der Kenninformation (Passwort) über die Schnittstelle zum externen Netz bzw. System (GSM) und
zum späteren Empfangen der über das externe Netz bzw. System übertragenen Kenninformation (Passwort) über das lokale Datennetz (WLAN) und
zum Vergleichen der ausgesendeten und empfangenen Kenninformation (Passwort) zum Entscheiden der Freigabe von Zugriffen auf das Datennetz (WLAN) ausgebildet ist. 15. Modem or access point (AP) according to any one of claims 11-14, wherein the access control device
to generate identification information after receipt of identification information (mobile number, MSISDN) via the interface from the data network and
to send the identification information (password) via the interface to the external network or system (GSM) and
for later receipt of the identification information (password) transmitted via the external network or system via the local data network (WLAN) and
is designed to compare the transmitted and received identification information (password) for deciding whether to allow access to the data network (WLAN).
eine Datennetz-kompatible Station (WH) auf das Datennetz (WLAN) zugreift,
Datennetz-seitig eine Authentisierung der Station (WH) derart autonom überprüft und veranlasst wird, dass eine direkte oder indirekte Zuordnung zu einer authentisierten Einrichtung (MS) oder einem authentisierten Teilnehmer eines Datennetz-externen Systems oder Netzes (GSM) ermöglicht wird. 17. Authentication and / or charging system for a data network (WLAN), in particular in connection with a method, system or device according to one of the preceding claims, in which
a data network compatible station (WH) accesses the data network (WLAN),
On the data network side, an authentication of the station (WH) is checked and initiated autonomously in such a way that a direct or indirect assignment to an authenticated device (MS) or an authenticated subscriber of a system or network external to the data network (GSM) is made possible.
eine Datennetz-kompatible Station (WH) auf das Datennetz (WLAN) zugreift,
von dem Datennetz eine Kenninformation (Passwort) über ein Datennetz-externes System oder Netz (GSM) zu einer datennetzfremden authentisierten Station (MS) des externen Systems bzw. Netzes (GSM) gesendet wird,
die Kenninformation von der authentisierten Station (MS) auf die Station (WH) übertragen und von dieser an das Datennetz (WH) weiterübertragen wird und
im Datennetz zur indirekten Authentisierung ein Vergleich der gesendeten und der empfangenen Kenninformation durchgeführt wird. 18. Authentication and / or charging system for a data network (WLAN), in particular in connection with a method, system or device according to one of the preceding claims, in which
a data network compatible station (WH) accesses the data network (WLAN),
identification information (password) is sent from the data network via a system or network (GSM) external to a data network to an authenticated station (MS) of the external system or network (GSM) outside the network,
the identification information is transmitted from the authenticated station (MS) to the station (WH) and from there to the data network (WH) and
a comparison of the sent and received identification information is carried out in the data network for indirect authentication.
eine erste Authentisierung von dem System (WLAN, SSG), in dem Gebühren anfallen, hinsichtlich der Authentizität einer auf das Datennetz (WLAN) zugreifenden Datennetz-kompatiblen Station (WH) und
eine zweite Authentisierung hinsichtlich der Authentizität des Systems, in dem Gebühren anfallen, gegenüber einem Vergebührungsdaten empfangenden weiteren System (GSM) veranlasst wird. 19. charging and authentication system according to claim 17 or 18 for a data network in which
a first authentication of the system (WLAN, SSG), in which charges are incurred, with regard to the authenticity of a data network-compatible station (WH) accessing the data network (WLAN) and
a second authentication with respect to the authenticity of the system in which charges are incurred is initiated with respect to a further system (GSM) receiving charging data.
ein Diensteanbieter einen Zugriff für eine Datennetz- kompatible Station (WH) anbietet und
eigenständig eine Authentisierung der zugreifenden Datennetz-kompatiblen Station (WH) anreizt oder durchführt und
Vergebührungsdaten an eine Vergebührungseinrichtung eines fremden Systems oder an eine Vergebührungsorganisation übermittelt. 21. charging system for a data network (WLAN) or for an access point (AP) for a data network-compatible station (WH), in particular in connection with a method, system or device according to any preceding claim, in which
a service provider offers access to a data network compatible station (WH) and
independently stimulates or carries out authentication of the accessing data network-compatible station (WH) and
Billing data transmitted to a billing facility of a third-party system or to a billing organization.
Priority Applications (11)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10152572A DE10152572A1 (en) | 2001-10-24 | 2001-10-24 | Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password |
KR1020047006122A KR100655017B1 (en) | 2001-10-24 | 2002-10-24 | Method for authenticated access, data network, and access point |
PCT/EP2002/011910 WO2003036904A1 (en) | 2001-10-24 | 2002-10-24 | Method and device for authenticated access to a station on local data networks in particular radio data networks |
DE50211063T DE50211063D1 (en) | 2001-10-24 | 2002-10-24 | METHOD AND DEVICE FOR AUTHENTICATED ACCESS OF A STATION ON LOCAL DATA NETWORKS, IN PARTICULAR RADIO DATA NETWORKS |
EP02779508A EP1438826B1 (en) | 2001-10-24 | 2002-10-24 | Method and device for authenticated access to a station on local data networks, in particular radio data networks |
AT02779508T ATE375671T1 (en) | 2001-10-24 | 2002-10-24 | METHOD AND DEVICE FOR AUTHENTICATED ACCESS OF A STATION TO LOCAL DATA NETWORKS, IN PARTICULAR RADIO DATA NETWORKS |
EP05020456A EP1633123A1 (en) | 2001-10-24 | 2002-10-24 | Method and system for billing access of a device on a wireless local area network |
CN02821039A CN100583873C (en) | 2001-10-24 | 2002-10-24 | Method and device for authenticated access to a station on local data networks in particular radio data networks |
JP2003539268A JP4012508B2 (en) | 2001-10-24 | 2002-10-24 | Method and apparatus for authenticated access to a local data net of a station, in particular a wireless data net |
US10/493,489 US7756507B2 (en) | 2001-10-24 | 2002-10-24 | Method and device for authenticated access of a station to local data networks in particular radio data networks |
CA2464622A CA2464622C (en) | 2001-10-24 | 2002-10-24 | Method and device for authenticated access of a station to local data networks, in particular radio data networks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10152572A DE10152572A1 (en) | 2001-10-24 | 2001-10-24 | Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10152572A1 true DE10152572A1 (en) | 2003-05-15 |
Family
ID=7703626
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10152572A Ceased DE10152572A1 (en) | 2001-10-24 | 2001-10-24 | Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10152572A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10255156A1 (en) * | 2002-11-26 | 2004-06-17 | Siemens Ag | Authenticating radio network subscriber, enabling communications involves e.g. sending identification data for user and/or mobile station via user device from first radio network to mobile network |
WO2005026953A1 (en) * | 2003-08-27 | 2005-03-24 | Siemens Aktiengesellschaft | Radio based system for the registration of yacht administration data |
DE10341872A1 (en) * | 2003-09-05 | 2005-05-04 | Local Web Ag | Method and system for access to wireless and data communication networks |
DE102013001733A1 (en) * | 2013-01-31 | 2014-07-31 | Giesecke & Devrient Gmbh | Method for accessing a service of a server via an application of a terminal |
-
2001
- 2001-10-24 DE DE10152572A patent/DE10152572A1/en not_active Ceased
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10255156A1 (en) * | 2002-11-26 | 2004-06-17 | Siemens Ag | Authenticating radio network subscriber, enabling communications involves e.g. sending identification data for user and/or mobile station via user device from first radio network to mobile network |
WO2005026953A1 (en) * | 2003-08-27 | 2005-03-24 | Siemens Aktiengesellschaft | Radio based system for the registration of yacht administration data |
DE10341872A1 (en) * | 2003-09-05 | 2005-05-04 | Local Web Ag | Method and system for access to wireless and data communication networks |
DE102013001733A1 (en) * | 2013-01-31 | 2014-07-31 | Giesecke & Devrient Gmbh | Method for accessing a service of a server via an application of a terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1438826B1 (en) | Method and device for authenticated access to a station on local data networks, in particular radio data networks | |
DE69111553T2 (en) | Radio telephone system with secured payphone service. | |
DE60114535T2 (en) | Access authentication system for a radio environment | |
EP1816845B1 (en) | Method and system for location dependent charging of services | |
DE10296814B4 (en) | Communication method, operator device and line rental device | |
DE102007006659B4 (en) | Mobile real-time payment process | |
WO2001024122A1 (en) | Method for charging internet services via a mobile telephone | |
DE60222810T2 (en) | METHOD, SYSTEM AND DEVICE FOR SELECTING SERVICE VIA A WIRELESS LOCAL NETWORK | |
EP1188341B1 (en) | Method and device for accessing a telecommunications network and for billing telecommunications services | |
WO2005025144A2 (en) | Method, system, corresponding computer program and computer-readable storage medium for access to data and/or communication networks via wireless access points and method for operating said system | |
EP1565801B1 (en) | Method for authenticating and charging a subscriber of a radio network | |
EP1604490B1 (en) | Method and arrangement for externally controlling and managing at least one wlan subscriber who is assigned to a local radio network | |
EP1554903B1 (en) | Message transmission system and method for using sim cards via remote access for economical connections between fixed and mobile radio telephone networks | |
EP0957624B1 (en) | Method for taking over call charges in individual calls, telephone network and terminal | |
EP1034670B1 (en) | Method for managing information on identification cards | |
EP1503538B1 (en) | Method for determining a tariff for a data transmission | |
DE10348912A1 (en) | A method for authenticating a user for the purpose of establishing a connection from a mobile terminal to a WLAN network | |
EP1503539B1 (en) | Method for calculating a tariff for the billing of a data transmission | |
DE10152572A1 (en) | Authenticated access method for data network has identification information provided by station requiring access to data network authenticated in external network for provision of access password | |
EP1307017A1 (en) | Method and system for radio data networks access authentication | |
EP1860595B1 (en) | Chip card with at least two identities | |
EP1535456A1 (en) | Method for automatic charging | |
EP1424825B1 (en) | Method and apparatus for implementing a virtual private network between network nodes | |
EP0915610A2 (en) | Method, telephone network and terminal for transferring billing informations in individual connections | |
DE102007032675A1 (en) | Regulatory monitoring measures i.e. lawful interception architecture, and electronic account information executing method for use in e.g. bank, involves transferring relevant information to account balance and/or financial transactions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8131 | Rejection |