DE102004008696A1 - Verfahren zur Gewährung eines Zugangs zu einem Netzwerk - Google Patents
Verfahren zur Gewährung eines Zugangs zu einem Netzwerk Download PDFInfo
- Publication number
- DE102004008696A1 DE102004008696A1 DE200410008696 DE102004008696A DE102004008696A1 DE 102004008696 A1 DE102004008696 A1 DE 102004008696A1 DE 200410008696 DE200410008696 DE 200410008696 DE 102004008696 A DE102004008696 A DE 102004008696A DE 102004008696 A1 DE102004008696 A1 DE 102004008696A1
- Authority
- DE
- Germany
- Prior art keywords
- service provider
- user
- security module
- protocol
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (3) für ein Gerät (4) eines Benutzers. Beim erfindungsgemäßen Verfahren wird die Kommunikation mit dem Gerät (4) des Benutzers über eine Zwischenstation (1) abgewickelt und der Zugang zum Netzwerk (3) von einem ersten Dienstanbieter freigeschaltet, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde. Die Besonderheit des erfindungsgemäßen Verfahrens besteht darin, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul (5) verwendeten Protokoll und einem von der Zwischenstation (1) unterstützten Protokoll durchgeführt wird.
Description
- Die Erfindung betrifft ein Verfahren zur Gewährung eines Zugangs zu einem Netzwerk. Weiterhin betrifft die Erfindung ein Computerprogrammprodukt zur Ausführung eines derartigen Verfahrens und ein System zur Gewährung eines Zugangs zu einem Netzwerk.
- Mit Hilfe eines Netzwerks können Daten zwischen Geräten, insbesondere zwischen Computern, an unterschiedlichen Standorten übertragen werden. Eine besonders weite Verbreitung besitzt dabei das Internet, mit dem eine Datenübertragung zwischen weltweit beliebigen Standorten möglich ist. Um den Zugang zum Internet möglichst flexibel und komfortabel zu gestalten, besteht die Möglichkeit, einen Computer auf drahtlosem Weg mit dem Internet zu verbinden. Die Verbindung kann insbesondere mittels eines Wireless Local Area Network, kurz WLAN, hergestellt werden. Das WLAN verfügt über wenigstens eine lokale Sende-/Empfangsstation, die üblicherweise als Accesspoint bezeichnet wird und die mit einem Computer oder mehreren Computern innerhalb ihrer Übertragungsreichweite kommuniziert. Hierzu verfügen die Computer jeweils über eine entsprechende WLAN-Schnittstelle. Die Sende-/Empfangsstation ist über ein Gateway mit einem Internetdienstanbieter verbunden, der als Internet Service Provider oder ISP bezeichnet wird. Der Internetdienstanbieter schaltet nach einer erfolgreichen Authentisierung einen Internetzugang für den Computer frei. Ein Internetzugang über ein WLAN kann beispielsweise im privaten Bereich oder firmenintern genutzt werden, um eine gewisse Mobilität zu ermöglichen. So kann der Benutzer eines Laptops in seiner gesamten Wohnung oder auf dem gesamten Firmengelände eine Internetverbindung herstellen, ohne dass es hierzu einer Verkabelung bedarf. Das WLAN kann zudem auch als Intranetzugang z. B. innerhalb der Firma genutzt werden.
- Neben der vorstehend beschriebenen internen Anwendung kann das WLAN insbesondere zur Bereitstellung eines Internetzugangs auch in öffentlich zugänglichen Bereichen angewendet werden. So ist es bereits bekannt, insbesondere für Geschäftsreisende Sende-/Empfangsstationen beispielsweise auf Flughäfen, auf Bahnhöfen, in Lobbies von Hotels usw. zu installieren, mit deren Hilfe jeder, der über einen dafür geeigneten Computer verfügt, einen Zugang zum Internet erlangen kann. Dabei stellt sich allerdings die Frage, wie die Kosten für den Betrieb der Sende-/Empfangsstationen und für den Netzzugang den einzelnen Benutzern ohne allzu großen Aufwand in Rechnung gestellt werden können. Angesichts der weiten Verbreitung von Mobilfunktelefonen bietet sich ein entsprechendes Abrechnungsverfahren wie bei Mobilfunknetzen an. Dabei wird dem Benutzer auf Basis einer erfolgreichen Authentisierung mittels eines Sicherheitsmoduls (SIM) ein Netzzugang gewährt. Über die Kenndaten des Sicherheitsmoduls kann die Abrechnung dem Benutzer eindeutig zugeordnet werden. Die Authentisierung mittels eines Sicherheitsmoduls ist zwar bestens bekannt und kann auf einfache Weise mittels des Enhanced Authentication Protocol (EAP) abgewickelt werden. Allerdings tritt bei einer Anwendung in einem WLAN das Problem auf, dass eine Abwicklung der Authentisierung mittels Sicherheitsmodul über das EAP von vielen bereits installierten Sende-/Empfangsstationen nicht unterstützt wird. Um das EAP einsetzen zu können, wäre somit eine Nachrüstung oder ein Austausch vieler Sende-/Empfangsstationen erforderlich, was mit hohen Kosten verbunden wäre.
- Der Erfindung liegt die Aufgabe zugrunde, mit einem vertretbaren Aufwand ausschließlich berechtigten Benutzern Zugang zu einem Netzwerk zu gewähren und weiterhin eine komfortable Abrechnung der Nutzungsdauer zu ermöglichen.
- Diese Aufgabe wird durch ein Verfahren mit der Merkmalskombination des Anspruchs 1 bzw. des Anspruchs 3 gelöst.
- Beim erfindungsgemäßen Verfahren zur Gewährung eines Zugangs zu einem Netzwerk für ein Gerät eines Benutzers wird die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation abgewickelt. Der Zugang zum Netzwerk wird von einem ersten Dienstanbieter frei geschaltet, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde. Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul verwendeten Protokoll und einem von der Zwischenstation unterstützten Protokoll durchgeführt wird.
- Die Erfindung hat den Vorteil, dass für die Authentisierung mit Hilfe des Sicherheitsmoduls ein Protokoll verwendet werden kann, das von der Zwischenstation nicht unterstützt wird, und dennoch ein Umrüsten der Zwischenstation nicht erforderlich ist. Dadurch ist es möglich, bereits installierte Zwischenstationen ohne Umrüstungsaufwand weiterhin zu verwenden und dennoch ein optimales Protokoll für die Kommunikation mit dem Sicherheitsmodul einzusetzen.
- Die Umsetzung zwischen den Protokollen wird insbesondere vom Gerät des Benutzers durchgeführt, so dass der hierfür erforderliche Zusatzaufwand nicht besonders hoch ist.
- Die Erfindung betrifft weiterhin ein Verfahren, das sich dadurch auszeichnet, dass eine Umsetzung zwischen einem von der Zwischenstation unterstützten Protokoll und einem für eine Datenübertragung zwischen einem Rechnersystem des ersten Dienstanbieters und einem Rechnersystem des zweiten Dienstanbieters verwendeten Protokoll durchgeführt wird. Dabei wird die Umsetzung vorzugsweise von dem Rechnersystem des ersten Dienstanbieters durchgeführt.
- Die beiden vorstehend beschriebenen Verfahren können einzeln oder in Kombination angewendet werden und folgendermaßen ausgestaltet oder weitergebildet werden:
Die Authentisierung mit Hilfe des Sicherheitsmoduls kann gegenüber dem zweiten Dienstanbieter durchgeführt werden. Auf diese Weise entsteht dem ersten Dienstanbieter nur ein sehr geringer Aufwand für die Authentisierung, der sich im Wesentlichen auf die Weitergabe der benötigten Daten an den zweiten Dienstanbieter beschränkt. Beim zweiten Dienstanbieter ist die Authentisierungsmöglichkeit für das Sicherheitsmodul ohnehin vorgesehen, so dass dort lediglich eine ohnehin vorhandene Routine gestartet werden muss. - In einem bevorzugten Ausführungsbeispiel des erfindungsgemäßen Verfahrens kommunizieren die Zwischenstation und das Gerät des Benutzers drahtlos miteinander. Dies ermöglicht eine sehr flexible Handhabung des Geräts des Benutzers ohne aufwendige Verkabelung und ist insbesondere auch dann von Vorteil, wenn mehrere Geräte mit der Zwischenstation kommunizieren. Insbesondere kommunizieren die Zwischenstation und das Gerät des Benutzers als Bestanteile eines Wireless Local Area Network miteinander. Dadurch ist eine sehr breite Einsatzmöglichkeit gegeben.
- Für die Kommunikation mit dem Sicherheitsmodul wird vorzugsweise das Enhanced Authentication Protocol verwendet. Dieses Protokoll ermöglicht eine zuverlässige und effiziente Durchführung der Authentisierung. Bei dem von der Zwischenstation unterstützten Protokoll kann es sich insbesondere um das gesicherte Hypertext Transportation Protocol (HTTPs) oder einfache Hypertext Transportation Protocol (HTTP) handeln, das von den meisten für die Erfindung in Frage kommenden Zwischenstationen unterstützt wird. Für die Datenübertragung zwischen dem Rechnersystem des ersten Dienstanbieters und dem Rechnersystem des zweiten Dienstanbieters wird vorzugsweise ein Protokoll gemäß dem Authentisierungsstandard Remote Access Dial In and Authentication Server verwendet. Dieser Standard ist weit verbreitet und hat sich gut bewährt.
- Bei dem Netzwerk, zu dem im Rahmen der Erfindung der Zugang gewährt wird, kann es sich insbesondere um das Internet handeln. Ein Internetzugang ist für eine große Zahl von Benutzern von Interesse, so dass sehr viele Einsatzmöglichkeiten für die Erfindung bestehen. Besonders vorteilhaft ist es, wenn es sich bei dem zweiten Dienstanbieter um einen Betreiber eines Mobilfunksystems handelt, da Sicherheitsmodule für Mobilfunksysteme so weit verbreitet sind, dass nahezu jeder potentielle Benutzer der Erfindung ein derartiges Sicherheitsmodul besitzt.
- Die Erfindung bezieht sich weiterhin auf ein Computerprogrammprodukt, das Programmbefehle für mindestens einen Prozessor eines Geräts eines Benutzers und/oder eines Rechnersystems eines ersten Dienstanbieters aufweist, um den mindestens einen Prozessor zu veranlassen, das erfindungsgemäße Verfahren auszuführen. Mittels eines Computerprogrammprodukts lässt sich eine relativ kostengünstige Umsetzung der Erfindung erreichen.
- Das erfindungsgemäße System zur Gewährung eines Zugangs zu einem Netzwerk für wenigstens ein Gerät eines Benutzers weist ein Rechnersystem eines ersten Dienstanbieters und eine Zwischenstation zur Abwicklung der Kommunikation mit dem Gerät des Benutzers auf. Die Gewährung des Zugangs zum Netzwerk hängt von einer erfolgreichen Authentisierung ab, die mit Hilfe eines Sicherheitsmoduls für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters durchzuführen ist. Das erfindungsgemäße System zeichnet sich dadurch aus, dass im Rechnersystem des ersten Dienstanbieters eine Funktionalität zur Durchführung einer Umsetzung zwischen einem von der Zwischenstation unterstützten Protokoll und einem für eine Datenübertragung zwischen dem Rechnersystem des ersten Dienstanbieters und einem Rechnersystem des zweiten Dienstanbieters verwendeten Protokollimplementiert ist.
- Die Funktionalität zur Durchführung der Umsetzung kann insbesondere auf einem eigens dafür vorgesehenen Zusatzrechner des Rechnersystems des ersten Dienstanbieters implementiert sein. Dies hat den Vorteil, dass eine Nachrüstung eines bestehenden Systems in einfacher Weise möglich ist und keine umfangreichen Eingriffe in die bereits vorhandenen Rechner erforderlich sind.
- Das Sicherheitsmodul kann an das Gerät des Benutzers angeschlossen sein. Ebenso ist es auch möglich, dass das Sicherheitsmodul an ein weiteres Gerät, insbesondere ein Mobilfunktelefon angeschlossen ist, das mit dem Gerät des Benutzers temporär in Datenverbindung steht. Durch diese Flexibilität ist ein Einsatz der Erfindung bei vielen unterschiedlichen Anwendungsfällen möglich.
- Das Gerät des Benutzers kann beispielsweise als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant ausgebildet sein. Bei derartigen Geräten besteht ein besonders hoher Bedarf für einen Zugang zu einem Netzwerk.
- Die Erfindung wird nachstehend anhand des in der Zeichnung dargestellten Ausführungsbeispiels erläutert.
- Es zeigen:
-
1 eine schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Systems und -
2 eine mögliche Variante für den Ablauf bei der Freischaltung eines Zugangs zum Netzwerk für den Benutzerrechner. -
1 zeigt eine schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Systems. Das System weist eine Sende/Empfangsstation1 auf, die auch als Accesspoint bezeichnet wird und die über einen Zugangsrechner2 mit einem Netzwerk3 , insbesondere mit dem Internet verbunden ist. Der Zugangsrechner2 wird in dem hier vorliegenden Fall einer öffentlich zugänglichen Sende-/Empfangsstation1 als Public Access Gateway, kurz PAG, bezeichnet. Die Sende-/Empfangsstation1 kommuniziert drahtlos mit einem Benutzerrechner4 , der beispielsweise als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant (PDA) ausgebildet ist. Die Kommunikation erfolgt nach dem Standard für ein Wireless Local Area Network (WLAN). - Der Benutzerrechner
4 verfügt über ein Sicherheitsmodul5 , das insbesondere als eine Chipkarte ausgebildet ist und für den Einsatz zur Aktualisierung in einem Mobilfunksystem vorgesehen ist. Das Sicherheitsmodul5 kann in einen nicht figürlich dargestellten Chipkartenleser des Benutzerrechners4 eingesteckt sein. Dabei kann der Chipkartenleser beispielsweise mit einem entsprechenden externen Anschluss des Benutzerrechners4 verbunden sein oder Bestandteil einer WLAN-Karte des Benutzerrechners4 sein. Alternativ dazu ist es auch möglich, dass das Sicherheitsmodul5 in einem Mobilfunktelefon angeordnet ist und über eine Schnittstelle des Mobilfunktelefons, beispielsweise eine Infrarotschnittstelle, eine serielle Schnittstelle oder eine Bluetooth-Schnittstelle, eine Kommunikation mit dem Benutzerrechner4 erfolgt. - Auf dem Benutzerrechner
4 ist ein benutzerseitiges Authentisierungsprogramm6 zur Unterstützung einer Authentisierung auf Basis des Sicherheitsmoduls5 implementiert. Das benutzerseitige Authentisierungsprogramm6 verfügt über eine Schnittstelle zum Chipkartenleser, in den das Sicherheitsmodul5 eingesteckt ist, und ist beispielsweise in JAVA geschrieben. In1 ist weiterhin ein Rechner7 eines Anbieters für drahtlose Internetdienste, der auch als Wireless Internet Service Provider (WISP) bezeichnet wird, dargestellt. Am Rechner7 des Internetdienstanbieters ist ein Zusatzrechner8 angeschlossen, auf dem ein anbieterseitiges Authentisierungsprogramm9 implementiert ist. Der Zusatzrechner8 kann als verlässlicher und kostengünstiger Mikro-Personalcomputer ausgeführt werden und insbesondere eine Flash Disk aufweisen, so dass keine beweglichen Teile vorhanden sind. Der Zusatzrechner8 ist im Rahmen der Erfindung nicht zwingend erforderlich. Alternativ dazu kann das anbieterseitige Authentisierungsprogramm9 auch auf dem Rechner7 des Internetdienstanbieters implementiert werden. Bei beiden Varianten ist der Rechner7 des Internetdienstanbieters mit dem Netzwerk3 verbunden. Weiterhin ist ein Rechner10 eines Betreibers eines Mobilfunksystems oder eines anderen Authentifizierungs-, Authorisierungs und Abrechnungssystems (AAA-Systems), welches unter Umständen wiederum mit einem Rechner eines Mobilfunksystems kommuniziert und beispielsweise als Roaminginstanz für verschiedene Mobilfunksystemefungiert, mit dem Netzwerk3 verbunden. - Mit dem in
1 dargestellten System kann dem Benutzerrechner4 ein Zugang zum Netzwerk3 gewährt werden. Da die Sende-/Empfangsstation1 vorzugsweise öffentlich zugänglich ist und somit ein beliebiger Benutzer seinen Benutzerrechner4 in Übertragungsreichweite zur Sende/Empfangsstation1 bringen kann, ist es im Rahmen der Erfindung vorgesehen, die Freischaltung des Zugangs zum Netzwerk3 von einem Nachweis einer Zugangsberechtigung des Benutzers abhängig zu machen. Der Nachweis wird mit Hilfe des Sicherheitsmoduls5 erbracht. Wie dies im Einzelnen vor sich geht, wird anhand von2 erläutert. -
2 zeigt eine mögliche Variante für den Ablauf bei der Freischaltung eines Zugangs zum Netzwerk3 für den Benutzerrechner4 . Die Darstellung gibt den Ablauf nicht in allen Einzelheiten wieder, sondern ist eher als Prinzipdarstellung zu verstehen. Einzelne Aktionen bzw. Gruppen von Aktionen sind geordnet nach ihrer zeitlichen Abfolge jeweils durch einen Pfeil dargestellt, der sich zwischen den an der Aktion beteiligten Partners erstreckt. Als Aktionspartner sind der Reihe nach von links nach rechts der Benutzerrechner4 mit dem Sicherheitsmodul5 und dem benutzerseitigen Authentisierungsprogramm6 , die Sende-/Empfangsstation1 , der Zugangsrechner2 , der Zusatzrechner8 mit dem anbieterseitigen Authentisierungsprogramm9 , der Rechner7 des Internetdienstanbieters und der Rechner10 des Mobilfunkbetreibers/AAA-Betreibers dargestellt. Für den Fall, dass kein Zusatzrechner8 vorhanden ist, wäre anstelle des Zusatzrechners8 lediglich das anbieterseitige Authentisierungsprogramm9 darzustellen. Sonst bliebe die Darstellung unverändert. - In einem Schritt S1 wird zwischen dem Benutzerrechner
4 und dem Zugangsrechner2 eine IP-Adresse vereinbart. Die Abkürzung IP steht dabei für Internet Protocol. Danach erfolgt in einem Schritt S2 eine Datenübertragung zwischen dem Benutzerrechner4 und dem Zusatzrechner8 , bei der EAP SIM Pakete im Hypertext Transfer Protocol (HTTP) zur Authentisierung des Sicherheitsmoduls5 übertragen werden. Als EAP SIM Pakete werden im vorliegenden Zusammenhang Datenpakete bezeichnet, die im Rahmen der Authentisierung auf Basis des Sicherheitsmoduls5 und unter Verwendung des Enhanced Authentication Protocol (EAP) übertragen werden. Dabei steht SIM für Subscriber Identity Module und bezeichnet das Sicherheitsmodul5 . Mit Hilfe des Enhanced Authentication Protocol lässt sich eine Authentisierung des Sicherheitsmoduls5 auf sehr einfache Weise durchführen. Viele bereits installierte Sende-/Empfangsstationen1 unterstützen das EAP jedoch nicht. Um die Vorzüge des EAP auch bei diesen Sende-/Empfangsstationen 1 nutzen zu können, wird das EAP in der Betrachtungsweise des Open Systems Interconnection (OSI) Schichtenmodels nicht als Schicht2 Protokoll eingesetzt, sondern verpackt in HTTP bzw. HTTPS als sichere Variante des HTTP. Die derart verpackten EAP SIM Pakete können auch von den Sende/Empfangsstationen1 weitergeleitet werden, die das EAP nicht unterstützen. Die in Schritt S2 übertragenen Daten enthalten die IP-Adresse und einen Message Authentication Code (MAC) des Benutzerrechners4 sowie ein Zugangsersuchen des Sicherheitsmoduls5 in dem gemäß dem EAP vorgegebenen Format. Das Verpacken der Daten in HTTP bzw. HTTPS und ggf. auch das Extrahieren von derart verpackten Daten wird vom Benutzerrechner4 mit Hilfe des benutzerseitigen Authentisierungsprogramms6 bzw. vorhandener Funktionen des Betriebssystems des Benutzerrechners durchgeführt. - Bevor der Zusatzrechner
8 die EAP SIM Pakete in einem Schritt S3 an den Rechner10 des Mobilfunkbetreibers weiterleitet, werden diese mit Hilfe des anbieterseitigen Authentisierungsprogramms9 so konvertiert, dass sie mit dem Authentisierungsstandard RADIUS kompatibel sind und vom Rechner10 bearbeitet werden können. RADIUS steht dabei für Remote Access Dial In and Authentication Server. Anhand der ihm übermittelten Informationen prüft der Rechner10 des Mobilfunkbetreibers/AAA-Betreibers, ob das Sicherheitsmodul5 authentisch ist. Die Schritte S2 und S3 bezeichnen somit die Aktionen zur Authentisierung des Sicherheitsmoduls5 . Im Rahmen dieser Authentisierung werden mehrere Nachrichten ausgetauscht, d. h. die Schritte S2 und S3 werden mehrfach ausgeführt oder entsprechen jeweils mehreren Nachrichten. Der Erfolg der Authentisierung wird dem Zusatzrechner8 vom Rechner10 des Mobilfunkbetreibers in einem Schritt S4 mitgeteilt. Daraufhin wird der Benutzerrechner4 vom Zusatzrechner8 in einem Schritt S5 über die erfolgreiche Authentisierung informiert. In einem Schritt S6 löst der Zusatzrechner8 beim Rechner7 des Internetdienstanbieters eine Autorisierung eines Zugangs des Benutzerrechners4 zum Netzwerk3 aus. In einem sich anschließenden Schritt S7 übermittelt der Rechner7 des Internetdienstanbieters die Autorisierung und eine Aufforderung zur Abrechnung an den Zugangsrechner2 . Der Zugangsrechner2 meldet dem Rechner7 des Internetdienstanbieters in einem Schritt S8, dass die Abrechnung für den Zugang zum Netzwerk3 nun beginnt. In einem Schritt S9 leitet der Rechner7 des Internetdienstanbieters diese Nachricht an den Rechner10 des Mobilfunkbetreibers weiter. Durch einen Schritt S10 ist schließlich noch dargestellt, dass dem Benutzerrechner4 dann der Zugang zum Netzwerk3 gewährt wird. Dieser Zugang kann vom Benutzerrechner4 zu einem gewünschten Zeitpunkt wieder beendet werden. Ebenso ist es auch möglich, dass der Rechner10 des Mobilfunkbetreibers den Rechner7 des Internetdienstanbieters veranlasst, den Zugang zum Netzwerk3 für einen bestimmten Benut zerrechner4 zu beenden oder der Rechner7 des Internetdienstanbieters selbst veranlasst, den Zugang zum Netzwerk3 für einen bestimmten Benutzerrechner4 zu beenden. Die Abrechnung für den Zugang zum Netzwerk3 wird vom Rechner10 des Mobilfunkbetreibers durchgeführt. - Auf die vorstehend beschriebene Weise ist es somit möglich, für den Benutzerrechner
4 über ein WLAN durch den Internetdienstanbieter einen Internetzugang bereitzustellen, wobei eine Authentisierung auf Basis des Sicherheitsmoduls5 vorn Mobilfunkbetreiber vorgenommen wird. Durch eine Verpackung in HTTP bzw. HTTPS kann auch dann vom EAP Gebrauch gemacht werden, wenn die beteiligte Sende-/Empfangsstation1 des WLAN das EAP nicht unterstützt.
Claims (18)
- Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (
3 ) für ein Gerät (4 ) eines Benutzers, wobei die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation (1 ) abgewickelt wird und der Zugang zum Netzwerk (3 ) von einem ersten Dienstanbieter frei geschaltet wird, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5 ) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde, dadurch gekennzeichnet, dass eine Umsetzung zwischen einem für die Kommunikation mit dem Sicherheitsmodul (5 ) verwendeten Protokoll und einem von der Zwischenstation (1 ) unterstützten Protokoll durchgeführt wird. - Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Umsetzung vom Gerät (
4 ) des Benutzers durchgeführt wird. - Verfahren zur Gewährung eines Zugangs zu einem Netzwerk (
3 ) für ein Gerät (4 ) eines Benutzers, wobei die Kommunikation mit dem Gerät des Benutzers über eine Zwischenstation (1 ) abgewickelt wird und der Zugang zum Netzwerk (3 ) von einem ersten Dienstanbieter frei geschaltet wird, wenn eine Authentisierung mit Hilfe eines Sicherheitsmoduls (5 ) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters erfolgreich durchgeführt wurde, dadurch gekennzeichnet, dass eine Umsetzung zwischen einem von der Zwischenstation (1 ) unterstützten Protokoll und einem für eine Datenübertragung zwischen einem Rechnersystem (7 ,8 ) des ersten Dienstanbieters und einem Rechnersystem (10 ) des zweiten Dienstanbieters verwendeten Protokoll durchgeführt wird. - Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Umsetzung von dem Rechnersystem (
7 ,8 ) des ersten Dienstanbieters durchgeführt wird. - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierung mit Hilfe des Sicherheitsmoduls (
5 ) gegenüber dem zweiten Dienstanbieter durchgeführt wird. - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zwischenstation (
1 ) und das Gerät (4 ) des Benutzers drahtlos miteinander kommunizieren. - Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Zwischenstation (
1 ) und das Gerät (4 ) des Benutzers als Bestandteile eines Wireless Local Area Network miteinander kommunizieren. - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für die Kommunikation mit dem Sicherheitsmodul (
5 ) das Enhanced Authentication Protocol verwendet wird - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem von der Zwischenstation (
1 ) unterstützten Protokoll um das Hypertext Transportation Protocol oder gesicherte Hypertext Transportation Protocol handelt. - Verfahren nach einem der Ansprüche 2 bis 9, dadurch gekennzeichnet, dass für die Datenübertragung zwischen dem Rechnersystem (
7 ,8 ) des ersten Dienstanbieters und dem Rechnersystem (10 ) des zweiten Dienstanbieters ein Protokoll gemäß dem Authentisierungsstan dard Remote Access Dial In and Authentication Server verwendet wird. - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem Netzwerk (
3 ) um das Internet handelt. - Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem zweiten Dienstanbieter um einen Betreiber eines Mobilfunksystems oder AAA-Betreibershandelt.
- Computerprogrammprodukt, das Programmbefehle für mindestens einen Prozessor eines Geräts (
4 ) eines Benutzers und/oder eines Rechnersystems (7 ,8 ) eines ersten Dienstanbieters aufweist, um den mindestens einen Prozessor zu veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 12 auszuführen. - System zur Gewährung eines Zugangs zu einem Netzwerk (
3 ) für wenigstens ein Gerät (4 ) eines Benutzers, mit einem Rechnersystem (7 ,8 ) eines ersten Dienstanbieters und einer Zwischenstation (1 ) zur Abwicklung der Kommunikation mit dem Gerät (4 ) des Benutzers, wobei die Gewährung des Zugangs zum Netzwerk (3 ) von einer erfolgreichen Authentisierung abhängt, die mit Hilfe eines Sicherheitsmoduls (5 ) für die Inanspruchnahme von Diensten eines zweiten Dienstanbieters durchzuführen ist, dadurch gekennzeichnet, dass im Rechnersystem (7 ,8 ) des ersten Dienstanbieters eine Funktionalität zur Durchführung einer Umsetzung zwischen einem von der Zwischenstation (1 ) unterstützten Protokoll und einem für eine Datenübertragung zwischen dem Rechnersystem (7 ,8 ) des ersten Dienstanbieters und einem Rechnersystem (10 ) des zweiten Dienstanbieters verwendeten Protokollimplementiert ist. - System nach Anspruch 14, dadurch gekennzeichnet, dass die Funktionalität zur Durchführung der Umsetzung auf einem eigens dafür vorgesehenen Zusatzrechner des Rechnersystems (
7 ,8 ) des ersten Dienstanbieters implementiert ist. - System nach Anspruch 14, dadurch gekennzeichnet, dass das Sicherheitsmodul (
5 ) an das Gerät des Benutzers angeschlossen ist. - System nach Anspruch 14, dadurch gekennzeichnet, dass das Sicherheitsmodul (
5 ) an ein weiteres Gerät, insbesondere ein Mobilfunktelefon angeschlossen ist, das mit dem Gerät (4 ) des Benutzers temporär in Datenverbindung steht. - System nach einem der Ansprüche 14 bis 17, dadurch gekennzeichnet, dass das Gerät (
4 ) des Benutzers als ein Personalcomputer, ein Laptop oder ein Personal Digital Assistant ausgebildet ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410008696 DE102004008696A1 (de) | 2004-02-23 | 2004-02-23 | Verfahren zur Gewährung eines Zugangs zu einem Netzwerk |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410008696 DE102004008696A1 (de) | 2004-02-23 | 2004-02-23 | Verfahren zur Gewährung eines Zugangs zu einem Netzwerk |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102004008696A1 true DE102004008696A1 (de) | 2005-09-08 |
Family
ID=34832950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200410008696 Withdrawn DE102004008696A1 (de) | 2004-02-23 | 2004-02-23 | Verfahren zur Gewährung eines Zugangs zu einem Netzwerk |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102004008696A1 (de) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
DE10043203A1 (de) * | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
DE10215151A1 (de) * | 2002-04-05 | 2003-10-16 | Fg Microtec Gmbh | Verfahren zur Übertragung von Informationen über IP-Netzwerke |
-
2004
- 2004-02-23 DE DE200410008696 patent/DE102004008696A1/de not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
DE10043203A1 (de) * | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
DE10215151A1 (de) * | 2002-04-05 | 2003-10-16 | Fg Microtec Gmbh | Verfahren zur Übertragung von Informationen über IP-Netzwerke |
Non-Patent Citations (2)
Title |
---|
ALA-LAURILA,j.,et.al.: Wireless LAN Access Network Architecture for Mobile Operators. In: IEEE Communications Magazine,Vol.39, Issue,11.Nov.2001,S.82-89 * |
ALA-LAURILA,j.,et.al.: Wireless LAN Access Network Architecture for Mobile Operators. In: IEEE Communications Magazine,Vol.39, Issue,11.Nov.2001,S.82-89; |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60114535T2 (de) | Zugriffsauthentifizierungssystem für eine Funkumgebung | |
DE10043203A1 (de) | Generische WLAN-Architektur | |
DE102007048976A1 (de) | Virtuelle Prepaid- oder Kreditkarte und Verfahren und System zur Bereitstellung einer solchen und zum elektronischen Zahlungsverkehr | |
WO2010145979A1 (de) | Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz | |
DE60222810T2 (de) | Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk | |
WO2002084455A2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem softwarebasierten system über ein zugangsmedium | |
EP1689125A1 (de) | Verfahren zum authentisierten Aufbau einer Verbindung | |
EP1565801B1 (de) | Verfahren zur authentisierung und vergebührung eines teilnehmers eines funknetzes | |
DE102010055375A1 (de) | Automatisiertes Loginverfahren auf einer Fahrzeug-Internetseite durch ein mobiles Kommunikationsendgerät | |
EP1829320A1 (de) | Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk | |
EP3235275B1 (de) | Einbringen einer identität in ein secure element | |
EP1519603A1 (de) | Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst | |
EP2213064B1 (de) | Verfahren zum zugang zu geschlossenen gruppen in radiozugangsnetzen | |
EP2482573B1 (de) | Verfahren zum Konfigurieren eines Kommunikationsgerätes sowie Kommunikationsgerät | |
DE60202578T2 (de) | Drahtlose Verbindungen kurzer Reichweite in einem Telekommunikationsnetz | |
DE102004008696A1 (de) | Verfahren zur Gewährung eines Zugangs zu einem Netzwerk | |
EP2528364B1 (de) | Verfahren und Vorrichtung zum Bereitstellen einer Identifikationskennung eines elektronischen Endgeräts | |
DE10025270A1 (de) | Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem | |
EP2456157B1 (de) | Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes | |
EP3435697B1 (de) | Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung | |
EP1424825B1 (de) | Verfahren und Vorrichtungen zum Aufbauen eines virtuellen privaten Kommunikationsnetzes zwischen Kommunikationsendgeräten | |
DE10152572A1 (de) | Verfahren und Vorrichtung zum authentisierten Zugriff einer Station auf lokale Datennetze, insbesondere Funk-Datennetze | |
DE10344348B4 (de) | Verfahren zum Betreiben einer drahtlosen Verbindung, mobiles Kommunikationsendgerät sowie Netzzugangsknoten | |
DE102004051403B4 (de) | Mobiles Kommunikationsendgerät mit Authentifizierungseinrichtung, ein solches Gerät enthaltende Netzwerkanordnung und Authentifizierungsverfahren | |
DE10346086B4 (de) | Verfahren zur Datenkommunikation zwischen einem mobilen Datenendgerät (ME) eines Anwenders und einem Zieldatennetzwerk |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8110 | Request for examination paragraph 44 | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |