DE102004008696A1 - Verfahren zur Gewährung eines Zugangs zu einem Netzwerk - Google Patents

Verfahren zur Gewährung eines Zugangs zu einem Netzwerk Download PDF

Info

Publication number
DE102004008696A1
DE102004008696A1 DE200410008696 DE102004008696A DE102004008696A1 DE 102004008696 A1 DE102004008696 A1 DE 102004008696A1 DE 200410008696 DE200410008696 DE 200410008696 DE 102004008696 A DE102004008696 A DE 102004008696A DE 102004008696 A1 DE102004008696 A1 DE 102004008696A1
Authority
DE
Germany
Prior art keywords
service provider
user
security module
protocol
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200410008696
Other languages
English (en)
Inventor
Martin Noha
Oliver Pannke
Alexander Apostolopoulos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE200410008696 priority Critical patent/DE102004008696A1/de
Publication of DE102004008696A1 publication Critical patent/DE102004008696A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (3) für ein Gerät (4) eines Benutzers. Beim erfindungsgemäßen Verfahren wird die Kommunikation mit dem Gerät (4) des Benutzers über eine Zwischenstation (1) abgewickelt und der Zugang zum Netzwerk (3) von einem ersten Dienstanbieter freigeschaltet, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul (5) verwendeten Protokoll und einem von der Zwischenstation (1) unterstützten Protokoll durchgeführt wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Gewährung eines Zugangs zu einem Netzwerk. Weiterhin betrifft die Erfindung ein Computerprogrammprodukt zur Ausführung eines derartigen Verfahrens und ein System zur Gewährung eines Zugangs zu einem Netzwerk.
  • Mit Hilfe eines Netzwerks können Daten zwischen Geräten, insbesondere zwischen Computern, an unterschiedlichen Standorten übertragen werden. Eine besonders weite Verbreitung besitzt dabei das Internet, mit dem eine Datenübertragung zwischen weltweit beliebigen Standorten möglich ist. Um den Zugang zum Internet möglichst flexibel und komfortabel zu gestalten, besteht die Möglichkeit, einen Computer auf drahtlosem Weg mit dem Internet zu verbinden. Die Verbindung kann insbesondere mittels eines Wireless Local Area Network, kurz WLAN, hergestellt werden. Das WLAN verfügt über wenigstens eine lokale Sende-/Empfangsstation, die üblicherweise als Accesspoint bezeichnet wird und die mit einem Computer oder mehreren Computern innerhalb ihrer Übertragungsreichweite kommuniziert. Hierzu verfügen die Computer jeweils über eine entsprechende WLAN-Schnittstelle. Die Sende-/Empfangsstation ist über ein Gateway mit einem Internetdienstanbieter verbunden, der als Internet Service Provider oder ISP bezeichnet wird. Der Internetdienstanbieter schaltet nach einer erfolgreichen Authentisierung einen Internetzugang für den Computer frei. Ein Internetzugang über ein WLAN kann beispielsweise im privaten Bereich oder firmenintern genutzt werden, um eine gewisse Mobilität zu ermöglichen. So kann der Benutzer eines Laptops in seiner gesamten Wohnung oder auf dem gesamten Firmengelände eine Internetverbindung herstellen, ohne dass es hierzu einer Verkabelung bedarf. Das WLAN kann zudem auch als Intranetzugang z. B. innerhalb der Firma genutzt werden.
  • Neben der vorstehend beschriebenen internen Anwendung kann das WLAN insbesondere zur Bereitstellung eines Internetzugangs auch in öffentlich zugänglichen Bereichen angewendet werden. So ist es bereits bekannt, insbesondere für Geschäftsreisende Sende-/Empfangsstationen beispielsweise auf Flughäfen, auf Bahnhöfen, in Lobbies von Hotels usw. zu installieren, mit deren Hilfe jeder, der über einen dafür geeigneten Computer verfügt, einen Zugang zum Internet erlangen kann. Dabei stellt sich allerdings die Frage, wie die Kosten für den Betrieb der Sende-/Empfangsstationen und für den Netzzugang den einzelnen Benutzern ohne allzu großen Aufwand in Rechnung gestellt werden können. Angesichts der weiten Verbreitung von Mobilfunktelefonen bietet sich ein entsprechendes Abrechnungsverfahren wie bei Mobilfunknetzen an. Dabei wird dem Benutzer auf Basis einer erfolgreichen Authentisierung mittels eines Sicherheitsmoduls (SIM) ein Netzzugang gewährt. Über die Kenndaten des Sicherheitsmoduls kann die Abrechnung dem Benutzer eindeutig zugeordnet werden. Die Authentisierung mittels eines Sicherheitsmoduls ist zwar bestens bekannt und kann auf einfache Weise mittels des Enhanced Authentication Protocol (EAP) abgewickelt werden. Allerdings tritt bei einer Anwendung in einem WLAN das Problem auf, dass eine Abwicklung der Authentisierung mittels Sicherheitsmodul über das EAP von vielen bereits installierten Sende-/Empfangsstationen nicht unterstützt wird. Um das EAP einsetzen zu können, wäre somit eine Nachrüstung oder ein Austausch vieler Sende-/Empfangsstationen erforderlich, was mit hohen Kosten verbunden wäre.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, mit einem vertretbaren Aufwand ausschließlich berechtigten Benutzern Zugang zu einem Netzwerk zu gewähren und weiterhin eine komfortable Abrechnung der Nutzungsdauer zu ermöglichen.
  • Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 bzw. des Anspruchs 3 gelöst.
  • Beim erfindungsgemäßen Verfahren zur Gewährung eines Zugangs zu einem Netzwerk für ein Gerät eines Benutzers wird die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation abgewickelt. Der Zugang zum Netzwerk wird von einem ersten Dienstanbieter frei geschaltet, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde. Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul verwendeten Protokoll und einem von der Zwischenstation unterstützten Protokoll durchgeführt wird.
  • Die Erfindung hat den Vorteil, dass für die Authentisierung mit Hilfe des Sicherheitsmoduls ein Protokoll verwendet werden kann, das von der Zwischenstation nicht unterstützt wird, und dennoch ein Umrüsten der Zwischenstation nicht erforderlich ist. Dadurch ist es möglich, bereits installierte Zwischenstationen ohne Umrüstungsaufwand weiterhin zu verwenden und dennoch ein optimales Protokoll für die Kommunikation mit dem Sicherheitsmodul einzusetzen.
  • Die Umsetzung zwischen den Protokollen wird insbesondere vom Gerät des Benutzers durchgeführt, so dass der hierfür erforderliche Zusatzaufwand nicht besonders hoch ist.
  • Die Erfindung betrifft weiterhin ein Verfahren, das sich dadurch auszeichnet, dass eine Umsetzung zwischen einem von der Zwischenstation unterstützten Protokoll und einem für eine Datenübertragung zwischen einem Rechnersystem des ersten Dienstanbieters und einem Rechnersystem des zweiten Dienstanbieters verwendeten Protokoll durchgeführt wird. Dabei wird die Umsetzung vorzugsweise von dem Rechnersystem des ersten Dienstanbieters durchgeführt.
  • Die beiden vorstehend beschriebenen Verfahren können einzeln oder in Kombination angewendet werden und folgendermaßen ausgestaltet oder weitergebildet werden:
    Die Authentisierung mit Hilfe des Sicherheitsmoduls kann gegenüber dem zweiten Dienstanbieter durchgeführt werden. Auf diese Weise entsteht dem ersten Dienstanbieter nur ein sehr geringer Aufwand für die Authentisierung, der sich im Wesentlichen auf die Weitergabe der benötigten Daten an den zweiten Dienstanbieter beschränkt. Beim zweiten Dienstanbieter ist die Authentisierungsmöglichkeit für das Sicherheitsmodul ohnehin vorgesehen, so dass dort lediglich eine ohnehin vorhandene Routine gestartet werden muss.
  • In einem bevorzugten Ausführungsbeispiel des erfindungsgemäßen Verfahrens kommunizieren die Zwischenstation und das Gerät des Benutzers drahtlos miteinander. Dies ermöglicht eine sehr flexible Handhabung des Geräts des Benutzers ohne aufwendige Verkabelung und ist insbesondere auch dann von Vorteil, wenn mehrere Geräte mit der Zwischenstation kommunizieren. Insbesondere kommunizieren die Zwischenstation und das Gerät des Benutzers als Bestanteile eines Wireless Local Area Network miteinander. Dadurch ist eine sehr breite Einsatzmöglichkeit gegeben.
  • Für die Kommunikation mit dem Sicherheitsmodul wird vorzugsweise das Enhanced Authentication Protocol verwendet. Dieses Protokoll ermöglicht eine zuverlässige und effiziente Durchführung der Authentisierung. Bei dem von der Zwischenstation unterstützten Protokoll kann es sich insbesondere um das gesicherte Hypertext Transportation Protocol (HTTPs) oder einfache Hypertext Transportation Protocol (HTTP) handeln, das von den meisten für die Erfindung in Frage kommenden Zwischenstationen unterstützt wird. Für die Datenübertragung zwischen dem Rechnersystem des ersten Dienstanbieters und dem Rechnersystem des zweiten Dienstanbieters wird vorzugsweise ein Protokoll gemäß dem Authentisierungsstandard Remote Access Dial In and Authentication Server verwendet. Dieser Standard ist weit verbreitet und hat sich gut bewährt.
  • Bei dem Netzwerk, zu dem im Rahmen der Erfindung der Zugang gewährt wird, kann es sich insbesondere um das Internet handeln. Ein Internetzugang ist für eine große Zahl von Benutzern von Interesse, so dass sehr viele Einsatzmöglichkeiten für die Erfindung bestehen. Besonders vorteilhaft ist es, wenn es sich bei dem zweiten Dienstanbieter um einen Betreiber eines Mobilfunksystems handelt, da Sicherheitsmodule für Mobilfunksysteme so weit verbreitet sind, dass nahezu jeder potentielle Benutzer der Erfindung ein derartiges Sicherheitsmodul besitzt.
  • Die Erfindung bezieht sich weiterhin auf ein Computerprogrammprodukt, das Programmbefehle für mindestens einen Prozessor eines Geräts eines Benutzers und/oder eines Rechnersystems eines ersten Dienstanbieters aufweist, um den mindestens einen Prozessor zu veranlassen, das erfindungsgemäße Verfahren auszuführen. Mittels eines Computerprogrammprodukts lässt sich eine relativ kostengünstige Umsetzung der Erfindung erreichen.
  • Das erfindungsgemäße System zur Gewährung eines Zugangs zu einem Netzwerk für wenigstens ein Gerät eines Benutzers weist ein Rechnersystem eines ersten Dienstanbieters und eine Zwischenstation zur Abwicklung der Kommunikation mit dem Gerät des Benutzers auf. Die Gewährung des Zugangs zum Netzwerk hängt von einer erfolgreichen Authentisierung ab, die mit Hilfe eines Sicherheitsmoduls für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters durchzuführen ist. Das erfindungsgemäße System zeichnet sich dadurch aus, dass im Rechnersystem des ersten Dienstanbieters eine Funktionalität zur Durchführung einer Umsetzung zwischen einem von der Zwischenstation unterstützten Protokoll und einem für eine Datenübertragung zwischen dem Rechnersystem des ersten Dienstanbieters und einem Rechnersystem des zweiten Dienstanbieters verwendeten Protokollimplementiert ist.
  • Die Funktionalität zur Durchführung der Umsetzung kann insbesondere auf einem eigens dafür vorgesehenen Zusatzrechner des Rechnersystems des ersten Dienstanbieters implementiert sein. Dies hat den Vorteil, dass eine Nachrüstung eines bestehenden Systems in einfacher Weise möglich ist und keine umfangreichen Eingriffe in die bereits vorhandenen Rechner erforderlich sind.
  • Das Sicherheitsmodul kann an das Gerät des Benutzers angeschlossen sein. Ebenso ist es auch möglich, dass das Sicherheitsmodul an ein weiteres Gerät, insbesondere ein Mobilfunktelefon angeschlossen ist, das mit dem Gerät des Benutzers temporär in Datenverbindung steht. Durch diese Flexibilität ist ein Einsatz der Erfindung bei vielen unterschiedlichen Anwendungsfällen möglich.
  • Das Gerät des Benutzers kann beispielsweise als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant ausgebildet sein. Bei derartigen Geräten besteht ein besonders hoher Bedarf für einen Zugang zu einem Netzwerk.
    •
  • Die Erfindung wird nachstehend anhand des in der Zeichnung dargestellten Ausführungsbeispiels erläutert.
  • Es zeigen:
  • 1 eine schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Systems und
  • 2 eine mögliche Variante für den Ablauf bei der Freischaltung eines Zugangs zum Netzwerk für den Benutzerrechner.
  • 1 zeigt eine schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Systems. Das System weist eine Sende/Empfangsstation 1 auf, die auch als Accesspoint bezeichnet wird und die über einen Zugangsrechner 2 mit einem Netzwerk 3, insbesondere mit dem Internet verbunden ist. Der Zugangsrechner 2 wird in dem hier vorliegenden Fall einer öffentlich zugänglichen Sende-/Empfangsstation 1 als Public Access Gateway, kurz PAG, bezeichnet. Die Sende-/Empfangsstation 1 kommuniziert drahtlos mit einem Benutzerrechner 4, der beispielsweise als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant (PDA) ausgebildet ist. Die Kommunikation erfolgt nach dem Standard für ein Wireless Local Area Network (WLAN).
  • Der Benutzerrechner 4 verfügt über ein Sicherheitsmodul 5, das insbesondere als eine Chipkarte ausgebildet ist und für den Einsatz zur Aktualisierung in einem Mobilfunksystem vorgesehen ist. Das Sicherheitsmodul 5 kann in einen nicht figürlich dargestellten Chipkartenleser des Benutzerrechners 4 eingesteckt sein. Dabei kann der Chipkartenleser beispielsweise mit einem entsprechenden externen Anschluss des Benutzerrechners 4 verbunden sein oder Bestandteil einer WLAN-Karte des Benutzerrechners 4 sein. Alternativ dazu ist es auch möglich, dass das Sicherheitsmodul 5 in einem Mobilfunktelefon angeordnet ist und über eine Schnittstelle des Mobilfunktelefons, beispielsweise eine Infrarotschnittstelle, eine serielle Schnittstelle oder eine Bluetooth-Schnittstelle, eine Kommunikation mit dem Benutzerrechner 4 erfolgt.
  • Auf dem Benutzerrechner 4 ist ein benutzerseitiges Authentisierungsprogramm 6 zur Unterstützung einer Authentisierung auf Basis des Sicherheitsmoduls 5 implementiert. Das benutzerseitige Authentisierungsprogramm 6 verfügt über eine Schnittstelle zum Chipkartenleser, in den das Sicherheitsmodul 5 eingesteckt ist, und ist beispielsweise in JAVA geschrieben. In 1 ist weiterhin ein Rechner 7 eines Anbieters für drahtlose Internetdienste, der auch als Wireless Internet Service Provider (WISP) bezeichnet wird, dargestellt. Am Rechner 7 des Internetdienstanbieters ist ein Zusatzrechner 8 angeschlossen, auf dem ein anbieterseitiges Authentisierungsprogramm 9 implementiert ist. Der Zusatzrechner 8 kann als verlässlicher und kostengünstiger Mikro-Personalcomputer ausgeführt werden und insbesondere eine Flash Disk aufweisen, so dass keine beweglichen Teile vorhanden sind. Der Zusatzrechner 8 ist im Rahmen der Erfindung nicht zwingend erforderlich. Alternativ dazu kann das anbieterseitige Authentisierungsprogramm 9 auch auf dem Rechner 7 des Internetdienstanbieters implementiert werden. Bei beiden Varianten ist der Rechner 7 des Internetdienstanbieters mit dem Netzwerk 3 verbunden. Weiterhin ist ein Rechner 10 eines Betreibers eines Mobilfunksystems oder eines anderen Authentifizierungs-, Authorisierungs und Abrechnungssystems (AAA-Systems), welches unter Umständen wiederum mit einem Rechner eines Mobilfunksystems kommuniziert und beispielsweise als Roaminginstanz für verschiedene Mobilfunksystemefungiert, mit dem Netzwerk 3 verbunden.
  • Mit dem in 1 dargestellten System kann dem Benutzerrechner 4 ein Zugang zum Netzwerk 3 gewährt werden. Da die Sende-/Empfangsstation 1 vorzugsweise öffentlich zugänglich ist und somit ein beliebiger Benutzer seinen Benutzerrechner 4 in Übertragungsreichweite zur Sende/Empfangsstation 1 bringen kann, ist es im Rahmen der Erfindung vorgesehen, die Freischaltung des Zugangs zum Netzwerk 3 von einem Nachweis einer Zugangsberechtigung des Benutzers abhängig zu machen. Der Nachweis wird mit Hilfe des Sicherheitsmoduls 5 erbracht. Wie dies im Einzelnen vor sich geht, wird anhand von 2 erläutert.
  • 2 zeigt eine mögliche Variante für den Ablauf bei der Freischaltung eines Zugangs zum Netzwerk 3 für den Benutzerrechner 4. Die Darstellung gibt den Ablauf nicht in allen Einzelheiten wieder, sondern ist eher als Prinzipdarstellung zu verstehen. Einzelne Aktionen bzw. Gruppen von Aktionen sind geordnet nach ihrer zeitlichen Abfolge jeweils durch einen Pfeil dargestellt, der sich zwischen den an der Aktion beteiligten Partners erstreckt. Als Aktionspartner sind der Reihe nach von links nach rechts der Benutzerrechner 4 mit dem Sicherheitsmodul 5 und dem benutzerseitigen Authentisierungsprogramm 6, die Sende-/Empfangsstation 1, der Zugangsrechner 2, der Zusatzrechner 8 mit dem anbieterseitigen Authentisierungsprogramm 9, der Rechner 7 des Internetdienstanbieters und der Rechner 10 des Mobilfunkbetreibers/AAA-Betreibers dargestellt. Für den Fall, dass kein Zusatzrechner 8 vorhanden ist, wäre anstelle des Zusatzrechners 8 lediglich das anbieterseitige Authentisierungsprogramm 9 darzustellen. Sonst bliebe die Darstellung unverändert.
  • In einem Schritt S1 wird zwischen dem Benutzerrechner 4 und dem Zugangsrechner 2 eine IP-Adresse vereinbart. Die Abkürzung IP steht dabei für Internet Protocol. Danach erfolgt in einem Schritt S2 eine Datenübertragung zwischen dem Benutzerrechner 4 und dem Zusatzrechner 8, bei der EAP SIM Pakete im Hypertext Transfer Protocol (HTTP) zur Authentisierung des Sicherheitsmoduls 5 übertragen werden. Als EAP SIM Pakete werden im vorliegenden Zusammenhang Datenpakete bezeichnet, die im Rahmen der Authentisierung auf Basis des Sicherheitsmoduls 5 und unter Verwendung des Enhanced Authentication Protocol (EAP) übertragen werden. Dabei steht SIM für Subscriber Identity Module und bezeichnet das Sicherheitsmodul 5. Mit Hilfe des Enhanced Authentication Protocol lässt sich eine Authentisierung des Sicherheitsmoduls 5 auf sehr einfache Weise durchführen. Viele bereits installierte Sende-/Empfangsstationen 1 unterstützen das EAP jedoch nicht. Um die Vorzüge des EAP auch bei diesen Sende-/Empfangsstationen 1 nutzen zu können, wird das EAP in der Betrachtungsweise des Open Systems Interconnection (OSI) Schichtenmodels nicht als Schicht 2 Protokoll eingesetzt, sondern verpackt in HTTP bzw. HTTPS als sichere Variante des HTTP. Die derart verpackten EAP SIM Pakete können auch von den Sende/Empfangsstationen 1 weitergeleitet werden, die das EAP nicht unterstützen. Die in Schritt S2 übertragenen Daten enthalten die IP-Adresse und einen Message Authentication Code (MAC) des Benutzerrechners 4 sowie ein Zugangsersuchen des Sicherheitsmoduls 5 in dem gemäß dem EAP vorgegebenen Format. Das Verpacken der Daten in HTTP bzw. HTTPS und ggf. auch das Extrahieren von derart verpackten Daten wird vom Benutzerrechner 4 mit Hilfe des benutzerseitigen Authentisierungsprogramms 6 bzw. vorhandener Funktionen des Betriebssystems des Benutzerrechners durchgeführt.
  • Bevor der Zusatzrechner 8 die EAP SIM Pakete in einem Schritt S3 an den Rechner 10 des Mobilfunkbetreibers weiterleitet, werden diese mit Hilfe des anbieterseitigen Authentisierungsprogramms 9 so konvertiert, dass sie mit dem Authentisierungsstandard RADIUS kompatibel sind und vom Rechner 10 bearbeitet werden können. RADIUS steht dabei für Remote Access Dial In and Authentication Server. Anhand der ihm übermittelten Informationen prüft der Rechner 10 des Mobilfunkbetreibers/AAA-Betreibers, ob das Sicherheitsmodul 5 authentisch ist. Die Schritte S2 und S3 bezeichnen somit die Aktionen zur Authentisierung des Sicherheitsmoduls 5. Im Rahmen dieser Authentisierung werden mehrere Nachrichten ausgetauscht, d. h. die Schritte S2 und S3 werden mehrfach ausgeführt oder entsprechen jeweils mehreren Nachrichten. Der Erfolg der Authentisierung wird dem Zusatzrechner 8 vom Rechner 10 des Mobilfunkbetreibers in einem Schritt S4 mitgeteilt. Daraufhin wird der Benutzerrechner 4 vom Zusatzrechner 8 in einem Schritt S5 über die erfolgreiche Authentisierung informiert. In einem Schritt S6 löst der Zusatzrechner 8 beim Rechner 7 des Internetdienstanbieters eine Autorisierung eines Zugangs des Benutzerrechners 4 zum Netzwerk 3 aus. In einem sich anschließenden Schritt S7 übermittelt der Rechner 7 des Internetdienstanbieters die Autorisierung und eine Aufforderung zur Abrechnung an den Zugangsrechner 2. Der Zugangsrechner 2 meldet dem Rechner 7 des Internetdienstanbieters in einem Schritt S8, dass die Abrechnung für den Zugang zum Netzwerk 3 nun beginnt. In einem Schritt S9 leitet der Rechner 7 des Internetdienstanbieters diese Nachricht an den Rechner 10 des Mobilfunkbetreibers weiter. Durch einen Schritt S10 ist schließlich noch dargestellt, dass dem Benutzerrechner 4 dann der Zugang zum Netzwerk 3 gewährt wird. Dieser Zugang kann vom Benutzerrechner 4 zu einem gewünschten Zeitpunkt wieder beendet werden. Ebenso ist es auch möglich, dass der Rechner 10 des Mobilfunkbetreibers den Rechner 7 des Internetdienstanbieters veranlasst, den Zugang zum Netzwerk 3 für einen bestimmten Benut zerrechner 4 zu beenden oder der Rechner 7 des Internetdienstanbieters selbst veranlasst, den Zugang zum Netzwerk 3 für einen bestimmten Benutzerrechner 4 zu beenden. Die Abrechnung für den Zugang zum Netzwerk 3 wird vom Rechner 10 des Mobilfunkbetreibers durchgeführt.
  • Auf die vorstehend beschriebene Weise ist es somit möglich, für den Benutzerrechner 4 über ein WLAN durch den Internetdienstanbieter einen Internetzugang bereitzustellen, wobei eine Authentisierung auf Basis des Sicherheitsmoduls 5 vorn Mobilfunkbetreiber vorgenommen wird. Durch eine Verpackung in HTTP bzw. HTTPS kann auch dann vom EAP Gebrauch gemacht werden, wenn die beteiligte Sende-/Empfangsstation 1 des WLAN das EAP nicht unterstützt.

Claims (18)

  1. Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (3) für ein Gerät (4) eines Benutzers, wobei die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation (1) abgewickelt wird und der Zugang zum Netzwerk (3) von einem ersten Dienstanbieter frei geschaltet wird, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde, dadurch gekennzeichnet, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul (5) verwendeten Protokoll und einem von der Zwischenstation (1) unterstützten Protokoll durchgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Umsetzung vom Gerät (4) des Benutzers durchgeführt wird.
  3. Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (3) für ein Gerät (4) eines Benutzers, wobei die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation (1) abgewickelt wird und der Zugang zum Netzwerk (3) von einem ersten Dienstanbieter frei geschaltet wird, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde, dadurch gekennzeichnet, dass eine Umsetzung zwischen einem von der Zwischenstation (1) unterstützten Protokoll und einem für eine Datenübertragung zwischen einem Rechnersystem (7, 8) des ersten Dienstanbieters und einem Rechnersystem (10) des zweiten Dienstanbieters verwendeten Protokoll durchgeführt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Umsetzung von dem Rechnersystem (7, 8) des ersten Dienstanbieters durchgeführt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierung mit Hilfe des Sicherheitsmoduls (5) gegenüber dem zweiten Dienstanbieter durchgeführt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zwischenstation (1) und das Gerät (4) des Benutzers drahtlos miteinander kommunizieren.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Zwischenstation (1) und das Gerät (4) des Benutzers als Bestandteile eines Wireless Local Area Network miteinander kommunizieren.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für die Kommunikation mit dem Sicherheitsmodul (5) das Enhanced Authentication Protocol verwendet wird
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem von der Zwischenstation (1) unterstützten Protokoll um das Hypertext Transportation Protocol oder gesicherte Hypertext Transportation Protocol handelt.
  10. Verfahren nach einem der Ansprüche 2 bis 9, dadurch gekennzeichnet, dass für die Datenübertragung zwischen dem Rechnersystem (7, 8) des ersten Dienstanbieters und dem Rechnersystem (10) des zweiten Dienstanbieters ein Protokoll gemäß dem Authentisierungsstan dard Remote Access Dial In and Authentication Server verwendet wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem Netzwerk (3) um das Internet handelt.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem zweiten Dienstanbieter um einen Betreiber eines Mobilfunksystems oder AAA-Betreibershandelt.
  13. Computerprogrammprodukt, das Programmbefehle für mindestens einen Prozessor eines Geräts (4) eines Benutzers und/oder eines Rechnersystems (7, 8) eines ersten Dienstanbieters aufweist, um den mindestens einen Prozessor zu veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 12 auszuführen.
  14. System zur Gewährung eines Zugangs zu einem Netzwerk (3) für wenigstens ein Gerät (4) eines Benutzers, mit einem Rechnersystem (7, 8) eines ersten Dienstanbieters und einer Zwischenstation (1) zur Abwicklung der Kommunikation mit dem Gerät (4) des Benutzers, wobei die Gewährung des Zugangs zum Netzwerk (3) von einer erfolgreichen Authentisierung abhängt, die mit Hilfe eines Sicherheitsmoduls (5) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters durchzuführen ist, dadurch gekennzeichnet, dass im Rechnersystem (7, 8) des ersten Dienstanbieters eine Funktionalität zur Durchführung einer Umsetzung zwischen einem von der Zwischenstation (1) unterstützten Protokoll und einem für eine Datenübertragung zwischen dem Rechnersystem (7, 8) des ersten Dienstanbieters und einem Rechnersystem (10) des zweiten Dienstanbieters verwendeten Protokollimplementiert ist.
  15. System nach Anspruch 14, dadurch gekennzeichnet, dass die Funktionalität zur Durchführung der Umsetzung auf einem eigens dafür vorgesehenen Zusatzrechner des Rechnersystems (7, 8) des ersten Dienstanbieters implementiert ist.
  16. System nach Anspruch 14, dadurch gekennzeichnet, dass das Sicherheitsmodul (5) an das Gerät des Benutzers angeschlossen ist.
  17. System nach Anspruch 14, dadurch gekennzeichnet, dass das Sicherheitsmodul (5) an ein weiteres Gerät, insbesondere ein Mobilfunktelefon angeschlossen ist, das mit dem Gerät (4) des Benutzers temporär in Datenverbindung steht.
  18. System nach einem der Ansprüche 14 bis 17, dadurch gekennzeichnet, dass das Gerät (4) des Benutzers als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant ausgebildet ist.
DE200410008696 2004-02-23 2004-02-23 Verfahren zur Gewährung eines Zugangs zu einem Netzwerk Withdrawn DE102004008696A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200410008696 DE102004008696A1 (de) 2004-02-23 2004-02-23 Verfahren zur Gewährung eines Zugangs zu einem Netzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200410008696 DE102004008696A1 (de) 2004-02-23 2004-02-23 Verfahren zur Gewährung eines Zugangs zu einem Netzwerk

Publications (1)

Publication Number Publication Date
DE102004008696A1 true DE102004008696A1 (de) 2005-09-08

Family

ID=34832950

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410008696 Withdrawn DE102004008696A1 (de) 2004-02-23 2004-02-23 Verfahren zur Gewährung eines Zugangs zu einem Netzwerk

Country Status (1)

Country Link
DE (1) DE102004008696A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020012433A1 (en) * 2000-03-31 2002-01-31 Nokia Corporation Authentication in a packet data network
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
DE10215151A1 (de) * 2002-04-05 2003-10-16 Fg Microtec Gmbh Verfahren zur Übertragung von Informationen über IP-Netzwerke

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020012433A1 (en) * 2000-03-31 2002-01-31 Nokia Corporation Authentication in a packet data network
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
DE10215151A1 (de) * 2002-04-05 2003-10-16 Fg Microtec Gmbh Verfahren zur Übertragung von Informationen über IP-Netzwerke

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ALA-LAURILA,j.,et.al.: Wireless LAN Access Network Architecture for Mobile Operators. In: IEEE Communications Magazine,Vol.39, Issue,11.Nov.2001,S.82-89 *
ALA-LAURILA,j.,et.al.: Wireless LAN Access Network Architecture for Mobile Operators. In: IEEE Communications Magazine,Vol.39, Issue,11.Nov.2001,S.82-89;

Similar Documents

Publication Publication Date Title
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
DE10043203A1 (de) Generische WLAN-Architektur
DE102007048976A1 (de) Virtuelle Prepaid- oder Kreditkarte und Verfahren und System zur Bereitstellung einer solchen und zum elektronischen Zahlungsverkehr
WO2010145979A1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
WO2002084455A2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem softwarebasierten system über ein zugangsmedium
EP1689125A1 (de) Verfahren zum authentisierten Aufbau einer Verbindung
EP1565801B1 (de) Verfahren zur authentisierung und vergebührung eines teilnehmers eines funknetzes
DE102010055375A1 (de) Automatisiertes Loginverfahren auf einer Fahrzeug-Internetseite durch ein mobiles Kommunikationsendgerät
EP1829320A1 (de) Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk
EP3235275B1 (de) Einbringen einer identität in ein secure element
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
EP2213064B1 (de) Verfahren zum zugang zu geschlossenen gruppen in radiozugangsnetzen
EP2482573B1 (de) Verfahren zum Konfigurieren eines Kommunikationsgerätes sowie Kommunikationsgerät
DE60202578T2 (de) Drahtlose Verbindungen kurzer Reichweite in einem Telekommunikationsnetz
DE102004008696A1 (de) Verfahren zur Gewährung eines Zugangs zu einem Netzwerk
EP2528364B1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Identifikationskennung eines elektronischen Endgeräts
DE10025270A1 (de) Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem
EP2456157B1 (de) Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
EP1424825B1 (de) Verfahren und Vorrichtungen zum Aufbauen eines virtuellen privaten Kommunikationsnetzes zwischen Kommunikationsendgeräten
DE10152572A1 (de) Verfahren und Vorrichtung zum authentisierten Zugriff einer Station auf lokale Datennetze, insbesondere Funk-Datennetze
DE10344348B4 (de) Verfahren zum Betreiben einer drahtlosen Verbindung, mobiles Kommunikationsendgerät sowie Netzzugangsknoten
DE102004051403B4 (de) Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren
DE10346086B4 (de) Verfahren zur Datenkommunikation zwischen einem mobilen Datenendgerät (ME) eines Anwenders und einem Zieldatennetzwerk

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee