DE102004034363A1 - Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke - Google Patents

Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke Download PDF

Info

Publication number
DE102004034363A1
DE102004034363A1 DE102004034363A DE102004034363A DE102004034363A1 DE 102004034363 A1 DE102004034363 A1 DE 102004034363A1 DE 102004034363 A DE102004034363 A DE 102004034363A DE 102004034363 A DE102004034363 A DE 102004034363A DE 102004034363 A1 DE102004034363 A1 DE 102004034363A1
Authority
DE
Germany
Prior art keywords
interface
private
router
network
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102004034363A
Other languages
English (en)
Other versions
DE102004034363B4 (de
Inventor
Steve Meier
Stephan Sachse
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DATENLOTSEN INFORMATIONSSYSTEM
DATENLOTSEN INFORMATIONSSYSTEME GmbH
Original Assignee
DATENLOTSEN INFORMATIONSSYSTEM
DATENLOTSEN INFORMATIONSSYSTEME GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DATENLOTSEN INFORMATIONSSYSTEM, DATENLOTSEN INFORMATIONSSYSTEME GmbH filed Critical DATENLOTSEN INFORMATIONSSYSTEM
Priority to DE102004034363A priority Critical patent/DE102004034363B4/de
Publication of DE102004034363A1 publication Critical patent/DE102004034363A1/de
Application granted granted Critical
Publication of DE102004034363B4 publication Critical patent/DE102004034363B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft den drahtlosen Zugriff auf Rechnernetzwerke. Man benötigt heute Verfahren mit hohem Sicherheitsstandard, mit denen der gleichzeitige Zugriff auf zwei Arten von Rechnernetzwerken möglich ist, wobei eines ein öffentliches Netzwerk (z. B. das Internet) und das andere ein privates Netzwerk ist (z. B. ein firmeninternes LAN). Gemäß der Erfindung wird beim Empfang von einem mobilen Terminal stammenden Signalen, die eine für private Teilnehmer gültige Authentifizierungsinformation repräsentieren, ein Freigabesignal erzeugt, durch das eine Datenverbindung zwischen dem Terminal und dem privaten Netzwerk über eine Funkschnittstelle und eine erste Schnittstelle frei geschaltet wird, wobei die anschließend zu dem mobilen Terminal des privaten Teilnehmers gesendeten Daten zwischen der ersten Schnittstelle und der Funkschnittstelle verschlüsselt werden und dann, wenn die Auswertung des Signals ergibt, dass es sich nicht um einen privaten Teilnehmer handelt, entweder direkt oder nach einer Passwortüberprüfung ein zweites Freigabesignal erzeugt, durch das eine Datenverbindung zwischen dem mobilen Terminal und dem öffentlichen Netzwerk über die Funkschnittstelle und über eine zweite, von der ersten physikalisch getrennte Schnittstelle frei geschaltet wird. Die Erfindung betrifft auch einen Router, mit dem das Verfahren ausgeführt werden kann.

Description

  • Die Erfindung betrifft das Gebiet der drahtlosen Kommunikation und insbesondere ein Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke und einen Router, mit dem dieses Verfahren ausgeführt werden kann.
  • Immer wichtiger werden in der letzten Zeit drahtlose Internetzugänge für Anwender, die viel unterwegs sind. Deshalb werden z.B. auf vielen Flughäfen, Bahnhöfen und Messegeländen so genannte Hotspots bereitgestellt, die einen drahtlosen Zugang ins Internet für Teilnehmer gewährleisten, die über einen mobilen Terminal, etwa ein Notebook oder einen Pocket-PC mit Wireless-LAN-Karte verfügen.
  • Auch für andere Anwendungen, etwa in kleineren Unternehmen oder bei Freiberuflern wie Ärzten oder Anwälten ist die Einrichtung von Hotspots grundsätzlich interessant, insbesondere in Räumen mit Besucherverkehr, z.B.
  • Besprechungszimmern, um z.B. die unproduktiven Auszeiten für Besucher zu reduzieren. In solchen Unternehmen wird darüber hinaus bereits häufig ein privates drahtloses Firmennetzwerk (WLAN) oder eine Kombination aus verdrahtetem (LAN) und drahtlosem Firmennetzwerk (WLAN) betrieben, wobei allerdings die Bereitstellung eines öffentlichen drahtlosen Zugangs über dieses Firmennetzwerk in das Internet aus Sicherheitsgründen in der Regel unerwünscht ist, da in jedem Fall vermieden werden muss, dass ein Besucher Zugriff auf die sensiblen Daten des firmeninternen Netzwerks erhält. Es besteht daher am Markt ein Bedürfnis nach einfachen Verfahren und Geräten, die sowohl einen abgesicherten drahtlosen Zugang in ein privates Netzwerk als auch eine Hotspot-Funktion übernehmen können, wobei die sensiblen Daten des privaten Netzwerks geschützt bleiben.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und einen zugehörigen Router zu schaffen, mit denen sowohl ein sicherer Zugang in ein privates Netzwerk (WLAN/LAN) für mobile Terminals von privaten Teilnehmern als auch eine Hotspot-Funktion für mobile Terminals von öffentlichen Teilnehmern ermöglicht wird.
  • Diese Aufgabe der Erfindung wird durch ein Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke gelöst, bei dem von einem mobilen Terminal eines Teilnehmers über eine Funkschnittstelle ein Signal empfangen wird, das Signal ausgewertet wird, dann, wenn die Auswertung ergeben hat, dass das Signal Daten repräsentiert, die mit einer für private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen, ein erstes Freigabesignal erzeugt wird, durch das eine Datenverbindung zwischen dem mobilen Terminal des privaten Teilnehmers und einem privaten Netzwerk über die Funkschnittstelle und über eine erste Schnittstelle, über die ein Zugang zu dem privaten Netzwerk möglich ist, frei geschaltet wird, wobei die anschließend von dem privaten Netzwerk zu dem mobilen Terminal des privaten Teilnehmers gesendeten Daten zwischen der ersten Schnittstelle und der Funkschnittstelle verschlüsselt werden, und dann, wenn die Auswertung der Daten, die das Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, ein zweites Freigabesignal erzeugt wird, durch das eine Datenverbindung zwischen dem mobilen Terminal und einem öffentlichen Netzwerk über die Funkschnittstelle und über eine zweite Schnittstelle, die von der ersten Schnittstelle physikalisch getrennt ist und über die ein Zugang zu dem öffentlichen Netzwerk möglich ist, frei geschaltet wird, wobei in diesem Fall die Datenverbindung zwischen dem mobilen Terminal und dem privaten Netzwerk gesperrt bleibt.
  • Die erfindungsgemäße Aufgabe wird ferner durch einen Router mit einer ersten Schnittstelle, über die ein Zugang zu einem privaten Netzwerk möglich ist, einer zweiten Schnittstelle, über die ein Zugang zu einem öffentlichen Netzwerk möglich ist und die von der ersten Schnittstelle physikalisch getrennt ist, einer dritten Schnittstelle, über die Teilnehmer mittels mobiler Terminals drahtlos auf das private Netzwerk oder das öffentliche Netzwerk zugreifen können, einem Routingmittel zum Routen von Daten von den mobilen Terminals zum öffentlichen Netzwerk und zurück, einem Steuerungsmittel zur Steuerung des Zugriffs von mobilen Terminals auf das private Netzwerk oder das öffentliche Netzwerk, das so ausgebildet ist, dass es von einem mobilen Terminal eines Teilnehmers über die dritte Schnittstelle empfangene Signale auswerten kann, dann, wenn die Auswertung ergeben hat, dass das Signal Daten repräsentiert, die mit einer für private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen, ein erstes Freigabesignal erzeugt, durch das eine Datenverbindung zwischen dem mobilen Terminal des privaten Teilnehmers und einem privaten Netzwerk über die dritte Schnittstelle und über die erste Schnittstelle frei geschaltet wird, und dann, wenn die Auswertung der Daten, die das Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, ein zweites Freigabesignal erzeugen kann, durch das eine Datenverbindung zwischen dem mobilen Terminal und einem öffentlichen Netzwerk über die dritte Schnittstelle und über die zweite Schnittstelle frei geschaltet wird, wobei in diesem Fall die Datenverbindung zwischen dem mobilen Terminal und dem privaten Netzwerk gesperrt bleibt, und einem Verschlüsselungsmittel gelöst, das zwischen der ersten Schnittstelle und der dritten Schnittstelle angeordnet ist und so ausgebildet ist, dass es die durch den Router von dem privaten Netzwerk zu dem mobilen Terminal ausgesendeten Daten zwischen der ersten Schnittstelle und der dritten Schnittstelle verschlüsseln kann.
  • Wenn die oben genannten Lösungen in eine WLAN-Infrastruktur integriert werden, besteht ein wesentlicher technischer und wirtschaftlicher Vorteil darin, dass sowohl private als auch öffentliche Teilnehmer dieselbe WLAN-Infrastruktur nutzen können, was im Vergleich zu bisherigen Lösungen deutlich kostengünstiger ist. Darüber hinaus wird durch die vorgeschlagenen Lösungen sichergestellt, dass öffentliche Teilnehmer die sensiblen Daten, die zwischen privaten Teilnehmern und dem privaten Netzwerk übertragen werden, nicht ausspähen können.
  • Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand der beigefügten Zeichnungen erläutert.
  • Es zeigen:
  • 1 ein Ausführungsbeispiel eines erfindungsgemäßen Routers, die Schnittstellen des Routers und die damit verbundenen Geräte;
  • 2 einen Ausschnitt aus dem inneren Aufbau des in der 1 dargestellten erfindungsgemäßen Routers;
  • 3a ein Ablaufdiagram einer ersten Ausführungsform des erfindungsgemäßen Verfahrens zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke;
  • 3b ein Ablaufdiagram einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke.
    •
  • In der 1 ist ein erfindungsgemäßer Router 1 dargestellt, bei dem es sich um einen Internet-Router handeln soll.
  • Der erfindungsgemäße Internet-Router 1 weist drei Schnittstellen auf, die in der 1 mit den Bezugszeichen 2, 3 und 4 gekennzeichnet sind.
  • Die erste Schnittstelle 3 des Internet-Routers 1 ist eine Hardware-Schnittstelle, die mit einem drahtgebundenen lokalen Netzwerk (LAN = Local Area Network) verbunden ist, das z.B. gemäß der Ethernet-Technik aufgebaut sein kann. Bei dem LAN kann es sich z.B. um das firmeninterne Netzwerk eines Unternehmens handeln, auf das die Mitarbeiter des Unternehmens in kontrollierter Weise zugreifen können sollen. Über das LAN kann neben dem Zugriff auf firmeninterne Server und Client-Rechner auch auf verschiedene Peripheriegeräte wie Drucker oder Laufwerke zugegriffen werden, die Bestandteile des LANs sind.
  • Die zweite Schnittstelle 2 des Internet-Routers 1 ist ebenfalls eine Hardware-Schnittstelle, die physikalisch von der ersten Schnittstelle 3 getrennt ist und an der ein DSL-Modem 5 angeschlossen ist, das wiederum mit einem Anschlusskabel verbunden ist, über das eine Verbindung zum Internet möglich sein soll.
  • Die dritte Schnittstelle 4 des Internet-Routers 1 ist mit einem Access Point 6 verbunden, der Bestandteil einer WLAN-Infrastruktur sein kann und dessen Aufgabe es ist, für die mobilen Terminals 7, 8 einen Zugang zum LAN oder zum Internet zu schaffen.
  • Der Access Point 6 besitzt eine Antenne, über die vom Internet-Router 1 stammende Daten über die Funkschnittstelle in die Funkzelle des Access Points 6 ausgesendet werden können. Der Access Point 6 sendet darüber hinaus kontinuierlich in gewissen Zeitabständen den Netznamen sowie andere Daten des WLANs aus, damit die mobilen Teilnehmer (Clients) das Netz erkennen und sich einbuchen können. Befindet sich der Access Point 6 im Sendebereich eines mobilen Teilnehmers 7 oder 8, so kann der Access Point 6 vom mobilen Teilnehmer 7 oder 8 ausgesendete Daten über seine Antenne empfangen und an den Internet-Router 1 über die dritte Schnittstelle 4 weiterleiten.
  • Die mobilen Terminals 7 oder 8, die in der 1 als Laptops dargestellt sind, die mit WLAN-Netzwerkkarten ausgestattet sind, so dass sie über Funk mit dem Access Point 6 kommunizieren können, können auch aus anderen Hardwaregeräten bestehen, z.B. PDAs oder Mobilfunktelefonen mit entsprechender Funktionalität.
  • Es sollen zwei Gruppen von mobilen Terminals unterschieden werden. Zum einen mobile Terminals 7 privater Teilnehmer, wobei ein privater Teilnehmer ein Teilnehmer ist, der berechtigt ist, auf das lokale private Netzwerk (LAN, WLAN) zugreifen zu dürfen, und zum anderen mobile Terminals 8 öffentlicher Teilnehmer, wobei ein öffentlicher Teilnehmer ein Teilnehmer ist, der berechtigt ist, über die zweite Schnittstelle 2 auf das Internet zuzugreifen, jedoch keine Berechtigung hat, auf das lokale private Netzwerk (LAN, WLAN) zuzugreifen. Auch der private Teilnehmer wird über das LAN auf das Internet zugreifen können, da dieses in der Regel ebenfalls mit dem Internet verbunden ist.
  • Ein privater Teilnehmer kann z.B. ein Mitarbeiter eines Unternehmens sein, der in einem Besprechungszimmer des Unternehmens versucht, über sein mobiles Terminal 7 und den im Besprechungszimmer aufgestellten Internet-Router 1 auf das private lokale Netzwerk des Unternehmens zuzugreifen.
  • Ein öffentlicher Teilnehmer kann z.B. ein Besucher des Unternehmens sein, der im Besprechungszimmer des Unternehmens eine Wartezeit ausnützt, indem er über sein mobiles Terminal 8 und den aufgestellten Internet-Router 1 auf das Internet zugreift und Internetseiten oder andere Daten aus dem Internet abruft.
  • 2 zeigt einen Ausschnitt aus dem inneren Aufbau des in der 1 dargestellten erfindungsgemäßen Internet-Routers 1.
  • Der in der 2 dargestellte Internet-Router 1 umfasst in einem stabilen Gehäuse 14, das z.B. aus Kunststoff oder Metall bestehen kann, einen Mikroprozessor 9, der mit einem Speicher 10 verbunden ist. Der Mikroprozessor ist mit den drei bereits in Verbindung mit der 1 beschriebenen Schnittstellen 2, 3 und 4 des Internet-Routers 1 verbunden.
  • Der Speicher 10 soll, was in der 2 aus Gründen der Übersichtlichkeit nicht dargestellt ist, aus mehreren Speicherteilen verschiedener Art bestehen und einen SDRAM- Hauptspeicher, einen FLASH-Speicher zur BIOS-Speicherung und einen in Form einer einschiebbaren Speicherkarte einschiebbaren Programmspeicher aufweisen. Die Speicherkarte kann z.B. aus einer CompactFlash-Karte bestehen, wobei der Internet-Router 1 in diesem Fall einen Kartenschlitz zur Aufnahme der Speicherkarte aufweist. Es sind aber auch beliebige andere Speicherkonstellationen denkbar.
  • Der Internet-Router 1 kann darüber hinaus weitere Hardware-Bausteine, z.B. Treiberbausteine, aufweisen, die aus Gründen der Übersichtlichkeit in der 2 nicht dargestellt sind, da sie für die Erläuterung der Funktionsweise der vorliegenden Erfindung nicht von Bedeutung sind.
  • Im Speicher 10 des Internet-Routers 1 sind verschiedene Softwaremodule abgespeichert, von denen in der 2 ein Routingmodul 29, ein Authentifizierungsmodul 30, ein Passwortmanagementmodul 31, ein Zertifikatsmanagementmodul 32, ein Verschlüsselungsmodul 11 sowie ein Firewallmodul 12 dargestellt sind. Die im Speicher 10 abgespeicherte Software kann weitere Module 13 umfassen. Die Funktion der einzelnen Softwaremodule, deren Funktion auch in Form von Hardwareschaltungen realisiert werden kann, wird im weiteren Teil dieser Beschreibung erläutert.
  • Anhand der 3a wird im Folgenden ein erstes Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke erläutert.
  • Zu Beginn des Verfahrens sperrt 15 der Internet-Router 1 sämtliche Zugänge zu den Rechner-Netzwerken, d.h. zum LAN und zum Internet.
  • Es wird angenommen, dass sich ein Teilnehmer mit einem mobilen Terminal in der Funkzelle, d.h. im Empfangsbereich des in der 1 dargestellten Access Points 6 befindet.
  • Ferner wird dabei zunächst angenommen, dass es sich bei dem Teilnehmer um einen öffentlichen Teilnehmer, also z.B. um den Besucher eines Unternehmens handelt, der im Besprechungszimmer des Unternehmens über den Internet-Router 1 Zugang zum Internet erhalten möchte.
  • Vom Access Point 6 werden der Netzwerkname des WLANs sowie weitere Informationen des WLANs zum mobilen Terminal 8 des öffentlichen Teilnehmers gesendet, so dass dieser das Netz erkennen kann. Das mobile Terminal 8 des öffentlichen Teilnehmers empfängt diese Informationen, durch die beim Versuch des öffentlichen Teilnehmers, mittels seines Webbrowsers eine beliebige Internetseite aufzurufen, eine Eingabemaske erscheint, auf der der öffentliche Teilnehmer aufgefordert wird, sich durch Eingabe eines Passworts anzumelden.
  • Im Speicher des Internet-Routers 1 ist das Passwortmanagementmodul 31 zur Erzeugung und Verwaltung der für die öffentlichen Teilnehmer bestimmten Passwörter zuständig, d.h. das Passwortmanagementmodul 31 enthält Anweisungen, die es dem Prozessor 9 ermöglichen, Passwörter zu erzeugen und zu verwalten. Passwörter können z.B. aus einem achtstelligen alphanumerischen Code bestehen. Gültige Passwörter werden dabei nach einem vorherbestimmten Verfahren in dem Internet-Router 1 erzeugt und in einer Tabelle im Speicher 10 abgelegt.
  • Bei einer weiteren Ausführungsform der Erfindung kann den Passwörtern auch eine Zugangszeit durch das Passwortmanagementmodul 31 zugeordnet werden, die die maximal zulässige Zeitdauer bestimmt, während der der öffentliche Teilnehmer unter dem Passwort in das öffentliche Netzwerk gelangen kann. Ferner kann dem Passwort auch eine Gültigkeitsdauer zugeordnet werden, die bestimmt, bis zu welchem Zeitpunkt (z.B. Jahr, Monat, Tag, Uhrzeit) ein Teilnehmer das Passwort noch verwenden kann, um einen Zugang zum Internet zu erhalten.
  • Auf das Passwortmanagementmodul 31 kann ein Netzwerkadministrator über einen Webbrowser zugreifen, so dass er bei Bedarf gültige Passwörter abrufen kann und an Besucher des Unternehmens vergeben kann, denen ein Zugriff über das Internet für einen bestimmten Zeitpunkt ermöglicht werden soll. Es können dazu z.B. auch so genannte Voucher ausgedruckt und ausgegeben werden, auf denen das Passwort sowie die zulässige Internetnutzungsdauer und die Gültigkeit des Vouchers vermerkt sind.
  • Vorzugsweise ist das Passwortmanagementmodul 31 darüber hinaus so ausgestaltet, dass ein Netzwerkadministrator, der darauf über einen Webbrowser zugreift, auch den Zugang von öffentlichen Teilnehmern überhaupt während eines bestimmten Zeitraums sperren kann, z.B. während eines Zeitraums, der außerhalb der Besuchszeiten des Unternehmens liegt, also etwa an Wochenenden, um einen Missbrauch des Systems während dieser Zeiträume zu verhindern. In diesem Fall stellt der Netzwerkadministrator über den Webbrowser einen vorherbestimmten Zeitraum ein, während dem kein öffentlicher Zugriff über den Internet-Router 1 auf das Internet erlaubt sein soll, und der Zeitraum wird im Speicher 10 gespeichert.
  • Das Passwortmanagementmodul 31 ist gemäß einer weiteren Ausführungsform der Erfindung dabei so ausgebildet, dass die vergebenen gültigen Passwörter während dieses Zeitraums nicht ungültig werden, sondern lediglich temporär zurückgewiesen werden. Auch lassen sich über die Webbrowser-Konfigurierung des Passwortmanagementmoduls 31 bestimmte Passwörter zurückrufen, die bereits als gültig vergeben wurden oder es lässt sich eine Liste sämtlicher zur Zeit gültiger Passwörter abrufen.
  • Wird nun das Passwort vom öffentlichen Teilnehmer in sein mobiles Terminal 8 eingegeben und ein das Passwort repräsentierendes Signal über die WLAN-Netzwerkkarte des mobilen Terminals 8 ausgesendet und über die Funkschnittstelle zwischen mobilem Terminal und Access Point, den Access Point und die dritte Schnittstelle 4 des Internet-Routers 1 empfangen 16, so beginnt 17 das Authentifizierungsmodul 30 im Speicher 10 mit der Auswertung der Authentifizierungsinformation.
  • Im Authentifizierungsmodul 30 sind Informationen und Instruktionen abgelegt, die es dem Prozessor 9 ermöglichen, festzustellen, ob es sich um gültige Authentifizierungsinformationen handelt, die empfangen wurden.
  • Für private Teilnehmer ist gemäß der beschriebenen Ausführungsform eine Authentifizierung über Zertifikate vorgesehen, was unten näher erläutert wird.
  • Das Authentifizierungsmodul 30 überprüft zunächst, ob das empfangene Signal Daten enthält, die ein gültiges Zertifikat umfassen. Der nähere Ablauf dieser Prüfung ist unten weiter beschrieben. Im vorliegenden Fall enthält das vom mobilen Terminal des öffentlichen Teilnehmers ausgesendete Signal kein Zertifikat, so dass das Ergebnis der Prüfung negativ 20 ist und zu dem in der 3a dargestellten Verfahrensschritt 22 verzweigt wird.
  • Nun wird überprüft, ob es sich bei dem empfangenen Passwort um ein gültiges Passwort handelt 22 und ob zu dem Zeitpunkt, zu dem die Abfrage erfolgte, überhaupt Zugriffe auf das Internet über die zweite Schnittstelle 2 des Internet-Routers 1 erlaubt sein sollen. Hierzu wird zunächst im Speicher 10 des Internet-Routers 1 eine Tabelle aufgerufen, in der sämtliche zur Zeit gültigen Passwörter eingetragen sind und das übermittelte Passwort daraufhin überprüft, ob es in dieser Tabelle enthalten ist. Ist dieses der Fall, so wird mittels einer softwaremäßigen Echtzeituhr, die in dem Internet-Router 1 enthalten ist, überprüft, ob die Zugangsanfrage des öffentlichen Teilnehmers zu einem Zeitpunkt erfolgte, zu dem überhaupt ein Zugang zum Internet erlaubt ist.
  • Ist auch diese Prüfung positiv verlaufen, so wird der Internetzugang über die zweite Schnittstelle 2 des Internet-Routers 1 frei geschaltet 24 und der öffentliche Teilnehmer kann nun beliebige Internetseiten aufrufen oder Dienstleistungen über das Internet abwickeln. Der Zugang zum LAN über die erste Schnittstelle 3 des Internet-Routers 1 bleibt dabei weiterhin gesperrt.
  • Im Speicher 10 des Internet-Routers 1 sind für das Routen der Datenpakete vom mobilen Terminal zum Internet und umgekehrt Routinginstruktionen gespeichert, die in dem Routingmodul 29 enthalten sind. Diese Routinginstruktionen, die durch den Prozessor 9 abgearbeitet werden, sorgen in bekannter Weise dafür, dass die Daten von der Funkzelle zum Internet oder in umgekehrter Richtung weitergeleitet werden können. Darüber hinaus können im Routingmodul 29 vorzugsweise auch Instruktionen gespeichert sein, die eine NAT-Funktion ausführen (NAT = Network Address Translation). Die NAT-Unterstützung sorgt dafür, dass die zugeteilte IP-Adresse des Internet-Providers des Unternehmens auf die IP-Adressen der Wireless-Terminals abgebildet wird, so dass sich mehrere Wireless-Terminals innerhalb der Funkzelle des Access-Points aufhalten können, obwohl vom Internet-Provider des Unternehmens nur eine einzige IP-Adresse zugeteilt wurde. Des Weiteren schützt NAT die WLAN-Terminals in gewisser Weise vor Bedrohungen aus dem Internet, da die eigentlichen IP-Adressen verdeckt werden und von der Seite des Internets aus nicht ersichtlich sind.
  • Läuft die für das Passwort vorgesehene und in dem Speicher 10 dem Passwort zugeordnete Nutzungsdauer ab oder wird nach einem gewissen Zeitablauf während der Internetnutzung ein Zeitraum erreicht, während dem keine öffentliche Zugänge zum Internet erlaubt sind, so wird der Zugang zum Internet über den Prozessor 9 des Internet-Routers 1 wieder gesperrt. In jedem Fall bleibt auch hier der Zugang zu den privaten Netzwerken LAN und WLAN für den öffentlichen Teilnehmer gesperrt.
  • Ergibt die Prüfung durch das Authentifizierungsmodul 30 und den Prozessor 9 beim Schritt 22, dass das Passwort des öffentlichen Teilnehmers ungültig ist 25, so bleiben sämtliche Netzwerkzugänge gesperrt 26, d.h. es wird weder ein Zugang zum Internet noch zu den privaten Netzen LAN und WLAN ermöglicht.
  • Es werde nun angenommen, dass es sich bei dem Teilnehmer um einen privaten Teilnehmer, also z.B. um einen Mitarbeiter eines Unternehmens handelt, der im Besprechungszimmer des Unternehmens über seinen Laptop (= mobiler Terminal) und den Internet-Router 1 Zugang zum privaten Netzwerk des Unternehmens (LAN, WLAN) erhalten möchte.
  • Vom Access Point 6 werden wiederum der Netzname des WLANs sowie weitere Informationen des WLANs ausgesendet. Befindet sich das mobile Terminal 7 des öffentlichen Teilnehmers in der Funkzelle des Access Points 6, so empfängt es diese Informationen und kann anhand dieser Informationen erkennen, dass es sich im Empfangsbereich des privaten WLANs befindet.
  • Auf dem privaten mobilen Terminal 7 wurde vorab eine Verschlüsselungs-/Entschlüsselungssoftware installiert, die im vorliegenden Fall auf der bekannten Virtual-Private-Network-Lösung (VPN-Client) basiert und mit dem IP Security Protocol (IPSec) arbeitet, wobei ein 168 Bit langer Triple-DES (DES = Data Encryption Standard) -Schlüssel für die Ver- und Entschlüsselung verwendet wird. Es können aber auch beliebige andere Verschlüsselungs-/Entschlüsselungsverfahren oder Schlüssel verwendet werden, und so kann z.B. auch ein AES-Schlüssel eingesetzt werden.
  • Eine entsprechende Verschlüsselungs-/Entschlüsselungssoftware nach dem VPN/IPSec-Standard, die mit einem entsprechenden Triple-DES-Schlüssel mit einer Bitlänge von 168 arbeitet, ist ebenfalls in dem Verschlüsselungsmodul 11 im Speicher 10 des Internet-Routers 1 enthalten. Die Instruktionen, die zur Ver- und Entschlüsselung notwendig sind, werden dann durch den Prozessor 9 durchgeführt, der eine entsprechende Leistungsfähigkeit aufweisen muss, um die Ver- und Entschlüsselungsschritte in einem vertretbaren Zeitrahmen durchführen zu können. Da es sich bei dem hier gewählten Verschlüsselungsverfahren um ein symmetrisches Verfahren handelt, muss der Internet-Router 1 sämtliche an die privaten Teilnehmer vergebenen Schlüssel kennen und die privaten Teilnehmer müssen den jeweils passenden Schlüssel kennen, der auch im Internet-Router 1 abgelegt ist.
  • Ferner ist im Speicher des mobilen Terminals 7 des privaten Teilnehmers ein vorherbestimmtes digitales Zertifikat gespeichert, das die Identität des Teilnehmers, den Schlüssel für das Ent-/Verschlüsselungsverfahren sowie die Daten einer Zertifizierungsstelle enthält, wobei vorzugsweise ein so genanntes standardisiertes X.509 – Zertifikat verwendet wird.
  • Als Zertifizierungsstelle dient dabei vorzugsweise der Internet-Router 1 selbst, denn er umfasst in seinem Speicher 10 vorzugsweise das in der 2 dargestellte Zertifikatsmanagementmodul 32, mit dem gültige Zertifikate erstellt werden können, die neben der Information über den privaten Teilnehmer, der zur Nutzung des Zertifikats berechtigt ist, auch einen Schlüssel zur Ver- und Entschlüsselung sowie eine Information enthalten, die darauf hinweist, dass dieses Zertifikat von der Zertifizierungsinstanz im Internet-Router 1 erstellt und zertifiziert wurde. Wie bereits oben erwähnt, werden im Internet-Router 1 vorzugsweise Zertifikate vom Typ X.509 erstellt.
  • Auch auf das Zertifikatsmanagementmodul 32 kann ein Netzwerkadministrator über einen Webbrowser zugreifen und Zertifikate verwalten. Gemäß einer bevorzugten Ausführungsform der Erfindung soll es dabei dem Netzwerkadministrator auch möglich sein, bereits als gültig herausgegebene Zertifikate wieder zurückzunehmen und in eine im Speicher 10 abgelegte Liste von zurückgenommenen Zertifikaten einzuordnen.
  • Es werde nun angenommen, dass der private Teilnehmer auf seinem mobilen Terminal den VPN-Client aufruft, woraufhin das auf seinem mobilen Terminal abgespeicherte X.509-Zertifikat, das seine Identität und seinen persönlichen Schlüssel enthält sowie die Information, das es von dem Internet-Router 1 als der Zertifizierungsinstanz erstellt wurde, über die Netzwerkkartenantenne als Authentifizierungsinformation des mobilen Terminals zum Access Point 6 ausgesendet wird.
  • Befindet sich der Access Point 6 in der Funkzelle des mobilen Terminals des privaten Teilnehmers, so kann er über die Funkschnittstelle zwischen dem mobilen Terminal und dem Access Point das vom Terminal ausgesendete Zertifikat empfangen 16 und zum Internet-Router 1 über dessen dritte Schnittstelle 4 weiterleiten.
  • Im Authentifizierungsmodul 30 des Internet-Routers 1 wird nun überprüft 16, ob es sich bei dem Zertifikat auch um ein gültiges Zertifikat handelt. Hierzu wird zunächst durch den Prozessor 9 mittels entsprechender Instruktionen aus dem Authentifizierungsmodul 30 verglichen, ob es sich bei dem Zertifikat um ein gültiges Zertifikat aus einer Liste der im Zertifikatsmanagementmodul als gültig abgespeicherten Zertifikate handelt, wobei Teilnehmer, Schlüssel und Zertifizierungsstelle überprüft werden. Darüber hinaus wird dann, wenn diese Prüfung positiv verlaufen ist, überprüft, ob das Zertifikat nicht in der im Speicher 10 abgespeicherten Liste zurückgenommener Zertifikate enthalten ist. Ergeben diese Prüfungen, dass es sich um ein immer noch gültiges Zertifikat handelt, so wird vom Prozessor 9 ein Freigabesignal ausgesendet, durch das der Zugang zum privaten LAN über die erste Schnittstelle 3 des Internet-Routers 1 frei geschaltet wird. Auch eine Verbindung zum privaten WLAN wird frei geschaltet. Der Zugang zum Internet über die zweite Schnittstelle 2 des Internet-Routers 1 bleibt dabei gesperrt. Allerdings werde angenommen, dass das LAN ebenfalls über einen Internetzugang verfügt, so dass der private Teilnehmer auch über das LAN auf das Internet zugreifen kann. Zudem kann er natürlich auf die mit dem LAN verbundenen anderen Rechner und Peripheriegeräte wie Laufwerke und Drucker zugreifen.
  • Datenpakete, die nun aus dem LAN in den Internet-Router gelangen, werden vor dem Aussenden über die dritte Schnittstelle 4 des Internet-Routers 1 und die Funkschnittstelle des Access Points 6 zwischen der ersten Schnittstelle 3 und der dritten Schnittstelle 4 im Internet-Router 1 mittels der Instruktionen aus dem Verschlüsselungsmodul 11 und mittels des Prozessors 9, der diese Instruktionen abarbeitet, verschlüsselt 21 (nach dem VPN-IPSec-Protokoll unter Zuhilfenahme des Triple-DES-Schlüssels). Ferner werden auch in umgekehrter Richtung gesendete Datenpakete, die über die Luftschnittstelle vom mobilen Terminal des privaten Teilnehmers aus gesendet werden, nur in verschlüsselter Form gesendet und erst durch den Prozessor 9 im Internet-Router mit Hilfe der Entschlüsselungsinstruktionen, die im Verschlüsselungsmodul 11 gespeichert sind, entschlüsselt 21, bevor sie an das LAN über die erste Schnittstelle 3 weitergeleitet werden.
  • Auf diese Weise wird sichergestellt, dass öffentliche Besucher, die über mobile Terminals gleichzeitig mittels des Internet-Routers 1 über die erste Schnittstelle 2 wie oben beschrieben ins Internet gelangen, die über die Luftschnittstelle zwischen privatem LAN und mobilem Terminal eines privaten Teilnehmers übertragenen sensiblen Daten nicht dechiffrieren können (selbst wenn es den öffentlichen Besuchern gelingen sollte, diese Daten zu „sniffen"), da sie den Schlüssel nicht kennen.
  • Somit bieten der erfindungsgemäße Internet-Router sowie das erfindungsgemäße Verfahren sowohl gleichzeitig eine komfortable Hotspot-Funktion als auch einen besonders sicheren drahtlosen Zugang zu einem privaten Netzwerk.
  • Ergibt die Prüfung durch das Authentifizierungsmodul 30 und den Prozessor 9 beim Schritt 18, dass es sich bei dem Zertifikat, das vom mobilen Terminal des privaten Teilnehmers im Internet-Router 1 empfangen wurde, um ein ungültiges oder mittlerweile zurückgenommenes Zertifikat handelt, so bleiben, da auch die Passwort-Prüfung beim Schritt 22 negativ 25 verläuft, sämtliche Netzwerkzugänge des Internet-Routers 1, d.h. insbesondere der Zugang zum LAN über die erste Schnittstelle 3 und der Zugang zum Internet über die zweite Schnittstelle 2 für das mobile Terminal gesperrt 26.
  • Im Speicher 10 des Internet-Routers 1 kann darüber hinaus – wie in der 2 dargestellt – ein Firewallmodul 12 enthalten sein, das eine softwaremäßige Firewallfunktion vor dem LAN oder auch dem Internet realisiert. Firewalls sind im Stand der Technik bekannte Zugangsschutzsysteme zur Trennung von Netzbereichen, wobei softwaremäßige Firewalls als Datenpaketfilter fungieren, die aus Regeln bestehen, welche festlegen, ob einzelne oder zusammenhängende Pakete das Zugangsschutzsystem passieren dürfen oder abgeblockt werden. Vorzugsweise wird bei einer besonderen Ausführungsform der Erfindung die Firewall an der Schnittstelle des Routers zum Internet dabei so eingestellt, dass eine Kommunikation von mobilen WLAN-Terminals verschiedener öffentlicher Teilnehmer untereinander ausgeschlossen wird.
  • Selbstverständlich ist gemäß einer weiteren Ausführungsform der Erfindung auch eine hardwaremäßige Firewallfunktion vor der ersten Schnittstelle 3 zum LAN oder vor der zweiten Schnittstelle 2 zum Internet denkbar.
  • Im Übrigen kann der Speicher 10 des Internet-Routers 1 weitere Module, z.B. eine softwaremäßige Uhr, enthalten, die in der 2 mit dem Bezugszeichen 13 markiert sind.
  • Eine weitere interessante Ausführungsform des erfindungsgemäßen Verfahrens ist in der 3b dargestellt, wobei es sich hier nur um eine leichte Abwandlung des in der 3a dargestellten Verfahrens handelt. Bei dem in der 3b dargestellten Verfahren entfällt der Schritt des Anmeldens der öffentlichen Teilnehmer über ihre mobilen Terminals mittels eines Passwortes oder einer anderen kennzeichnenden Information ganz. In diesem Fall sendet der durch das Authentifizierungsmodul 30 im Internet-Router 1 gesteuerte Prozessor 9 das Signal für die Freigabe des Internetzugangs über die zweite Schnittstelle 2 dann aus, wenn die Überprüfung des vom mobilen Terminal empfangenen Signals beim Schritt 18 ergibt, dass keine für private Teilnehmer definierte gültige Authentifizierungsinformation empfangen wurde, sondern irgendeine beliebige andere Information, die z.B. aus einer Internetseitenanfrage eines öffentlichen Teilnehmers in seinem Browser bestehen kann, die über die Netzwerkkarte an den Access Point gesendet wird. Der Internet-Router 1 kann so z.B. immer dann einen Zugang zum Internet gewähren, wenn das vom mobilen Teilnehmer gesendete Signal kein Zertifikat enthält.
  • Gemäß einer weiteren Ausführungsform der Erfindung können die Passwörter auch so definiert werden, dass sie nur zum einmaligen Zugang zu dem öffentlichen Netzwerk berechtigen.
  • Nachstehend sind eine Reihe von weiteren erfindungsgemäßen Ausführungsformen des erfindungsgemäßen Verfahrens sowie des erfindungsgemäßen Internet-Routers angegeben:
    So muss bei dem erfindungsgemäßen Verfahren das Netzwerk, das über die erste Schnittstelle erreichbar ist, nicht notwendigerweise das Internet sein, sondern es kann stattdessen ein beliebiges anderes öffentliches Netzwerk sein, über das öffentliche Teilnehmer einen kontrollierten Zugang erhalten können. So kann das öffentliche Netzwerk auch ein weiteres firmeninternes „öffentliches" LAN sein, das aber für einen weiteren oder anderen Kreis von Teilnehmern geöffnet werden soll als das andere „sensible" und private firmeninterne LAN, das über die zweite Schnittstelle erreicht werden kann.
  • Darüber hinaus braucht die Funkschnittstelle nicht notwendigerweise eine WLAN-Schnittstelle zu sein, es kann sich dabei auch um eine beliebige andere Funkschnittstelle, z.B. eine UMTS-Schnittstelle, handeln, wobei in diesem Fall die mobilen Terminals vorzugsweise aus Mobilfunktelefonen bestehen.
  • Sämtliche softwaremäßigen Abläufe, die in den Modulen im Speicher 10 des Internet-Routers 1 dargestellt sind, können natürlich auch aus Hardware-Elementen, z.B. Logikschaltungen, bestehen, was unter Umständen – insbesondere beim Verschlüsselungsmodul – Geschwindigkeitsvorteile bei der Verarbeitung von Daten mit sich bringen kann.
  • Der Prozessor 9 im Internet-Router kann von verschiedener Leistungsfähigkeit sein, wobei die Leistungsfähigkeit insbesondere davon abhängig ist, wie viele mobile Terminals privater Teilnehmer unter Ausnutzung der Verschlüsselungs- und Entschlüsselungsfunktionen gleichzeitig über den Router 1 auf das private Netzwerk (z.B. das in der 2 dargestellte LAN) zugreifen können sollen. Dieses kann je nach Anwendung unterschiedlich sein.
  • Wird der erfindungsgemäße Router 1 z.B. im Empfangsbereich eines Hotels aufgestellt, so ist es denkbar, dass die Anzahl der öffentlichen Teilnehmer, nämlich der Hotelgäste, sehr groß ist, während die Anzahl der privaten Teilnehmer, nämlich einiger Hotelmitarbeiter, relativ gering ist, so dass ein preiswerter Prozessor mit relativ geringer Leistungsfähigkeit ausreichen wird (z.B. ein 233 MHz Prozessor).
  • Wird der Router hingegen z.B. im Besprechungszimmer einer großen Anwaltskanzlei aufgestellt, in dem häufig mehrere Anwälte, aber relativ selten Besucher an Besprechungen teilnehmen, so kann unter Umständen ein leistungsfähigerer Prozessor erforderlich sein, um den Zugriff von mehreren Anwälten auf das private Netzwerk unter Ausführung der Datenver- und -entschlüsselungsfunktionen gleichzeitig zu ermöglichen.
  • Gemäß noch einer weiteren Ausführungsform der Erfindung können auch die Schnittstellen des Internet-Routers 1 über einen Standard-Webbrowser konfiguriert werden.
  • Der erfindungsgemäße Internet-Router kann ferner Bestandteil einer ganzen WLAN-Infrastruktur sein, die darüber hinaus über mehrere Access Points verfügt. Diese Lösung kann z.B. in einem mehrstöckigen Hotel eingesetzt werden, um sämtlichen Besuchern in den Zimmern des Hotels Zugriff auf das Internet zu gewähren und gleichzeitig den Mitarbeitern des Hotels einen Zugriff auf das firmeninterne LAN. Die WLAN-Infrastruktur kann darüber hinaus andere übliche WLAN-Elemente wie Hubs umfassen. So kann z.B. ein Hub mit der dritten Schnittstelle des in der 2 dargestellten Internet-Routers 1 verbunden sein und es können eine Reihe von Access Points mit dem Hub verbunden sein.

Claims (56)

  1. Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke, bei dem – von einem mobilen Terminal eines Teilnehmers über eine Funkschnittstelle ein Signal empfangen wird, – das Signal ausgewertet wird, – dann, wenn die Auswertung ergeben hat, dass das Signal Daten repräsentiert, die mit einer für private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen, ein erstes Freigabesignal erzeugt wird, durch das eine Datenverbindung zwischen dem mobilen Terminal des privaten Teilnehmers und einem privaten Netzwerk über die Funkschnittstelle und über eine erste Schnittstelle, über die ein Zugang zu dem privaten Netzwerk möglich ist, frei geschaltet wird, wobei die anschließend von dem privaten Netzwerk zu dem mobilen Terminal des privaten Teilnehmers gesendeten Daten zwischen der ersten Schnittstelle und der Funkschnittstelle verschlüsselt werden, und – dann, wenn die Auswertung der Daten, die das Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, ein zweites Freigabesignal erzeugt wird, durch das eine Datenverbindung zwischen dem mobilen Terminal und einem öffentlichen Netzwerk über die Funkschnittstelle und über eine zweite Schnittstelle, die von der ersten Schnittstelle physikalisch getrennt ist und über die ein Zugang zu dem öffentlichen Netzwerk möglich ist, frei geschaltet wird, wobei in diesem Fall die Datenverbindung zwischen dem mobilen Terminal und dem privaten Netzwerk gesperrt bleibt.
  2. Verfahren nach Anspruch 1, bei dem das private Netzwerk ein drahtgebundenes LAN ist.
  3. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das öffentliche Netzwerk das Internet ist.
  4. Verfahren nach Anspruch 2, bei dem das öffentliche Netzwerk ein zweites drahtgebundenes LAN ist.
  5. Verfahren nach einem der vorhergehenden Ansprüche, das darüber hinaus den Schritt umfasst, dass dann, wenn die Auswertung der Daten, die das empfangene Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, überprüft wird, ob das Signal Daten repräsentiert, die einer vorher für öffentliche Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation entsprechen, und das zweite Freigabesignal nur dann erzeugt wird, wenn eine Entsprechung festgestellt wurde.
  6. Verfahren nach Anspruch 5, bei dem die Authentifizierungsinformation für die öffentlichen Teilnehmer aus einem Passwort besteht.
  7. Verfahren nach Anspruch 6, bei dem darüber hinaus vorab Passwörter generiert und abgespeichert werden, die zum Zugang zu dem öffentlichen Netzwerk berechtigen.
  8. Verfahren nach Anspruch 7, das darüber hinaus den Schritt umfasst, dass ein bereits als gültig erzeugtes Passwort temporär oder endgültig wieder zurückgezogen wird.
  9. Verfahren nach Anspruch 8, bei dem darüber hinaus jedem Passwort eine Zugangszeit, die die maximal zulässige Zeitdauer bestimmt, während der der öffentliche Teilnehmer unter dem Passwort in das öffentliche Netzwerk gelangen kann, sowie eine Gültigkeitsdauer zugeordnet wird, die bestimmt, bis zu welchem Zeitpunkt ein Teilnehmer das Passwort noch verwenden kann, um einen Zugang zu dem öffentlichen Netzwerk zu erhalten.
  10. Verfahren nach Anspruch 9, bei dem darüber hinaus bei der Überprüfung, ob das Signal Daten repräsentiert, die einer vorher für öffentliche Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation entsprechen, ermittelt wird, ob die Zeitdauer des Passworts noch nicht überschritten und/oder die Gültigkeitsdauer des Passworts noch nicht abgelaufen ist.
  11. Verfahren nach einem der Ansprüche 6 bis 10, bei dem die Passwörter aus einem achtstelligen alphanumerischen Code bestehen.
  12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem dann, wenn die Auswertung ergeben hat, dass das vom mobilen Terminal empfangene Signal Daten repräsentiert, die mit einer für private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen, auch die anschließend von dem mobilen Terminal des privaten Teilnehmers stammenden und über die Funkschnittstelle empfangenen Daten zwischen der ersten Schnittstelle und der Funkschnittstelle entschlüsselt werden.
  13. Verfahren nach Anspruch 12, bei dem während der Datenkommunikation zwischen einem mobilen Terminal und dem privaten Netzwerk für die zwischen der Funkschnittstelle und der ersten Schnittstelle stattfindende Verschlüsselung und Entschlüsselung der gleiche Schlüssel verwendet wird.
  14. Verfahren nach Anspruch 13, bei dem die Ver- und Entschlüsselung auf einer VPN – IPSec – Lösung basiert.
  15. Verfahren nach Anspruch 14, bei dem zur Verschlüsselung ein Triple-DES-Schlüssel mit einer Länge von 168 Bit verwendet wird.
  16. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Authentifizierungsinformation für die privaten Teilnehmer aus einem Zertifikat besteht.
  17. Verfahren nach Anspruch 16, bei dem das Zertifikat ein X.509-Zertifikat ist.
  18. Verfahren nach einem der Ansprüche 16 oder 17, bei dem gültige Zertifikate erzeugt und in einer Tabelle gespeichert werden und gültige Zertifikate an die privaten Teilnehmer vergeben werden, die eine Zugangsberechtigung zu dem privaten Netzwerk erhalten sollen.
  19. Verfahren nach Anspruch 18, bei dem darüber hinaus der Schritt vorgesehen ist, dass ein an einen privaten Teilnehmer als gültig herausgegebenes Zertifikat bei Bedarf wieder zurückgezogen wird.
  20. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Funkschnittstelle eine WLAN-Funkschnittstelle ist.
  21. Verfahren nach einem der Ansprüche 1 bis 20, bei dem die Funkschnittstelle eine UMTS-Funkschnittstelle ist.
  22. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die erste Schnittstelle und die zweite Schnittstelle Hardware-Schnittstellen sind.
  23. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mobilen Terminals aus Laptops, PDAs und/oder Mobilfunktelefonen bestehen.
  24. Verfahren nach einem der Ansprüche 3 bis 23, bei dem die erste Schnittstelle mit einem DSL-Modem verbunden ist.
  25. Verfahren nach einem der Ansprüche 3 bis 24, bei dem eine Routing-Funktion vorgesehen ist, die die Daten von dem mobilen Terminal des öffentlichen Teilnehmers zum Internet oder in umgekehrter Richtung weiterleitet.
  26. Verfahren nach Anspruch 25, bei dem die Routing-Funktion auch über eine NAT-Funktion verfügt.
  27. Speichermedium, auf dem Befehle gespeichert sind, die einen Prozessor dazu veranlassen können, ein Verfahren nach einem der vorhergehenden Ansprüche 1 bis 26 auszuführen.
  28. Speichermedium nach Anspruch 27, das aus einer Speicherkarte besteht.
  29. Router mit – einer ersten Schnittstelle, über die ein Zugang zu einem privaten Netzwerk möglich ist, – einer zweiten Schnittstelle, über die ein Zugang zu einem öffentlichen Netzwerk möglich ist und die von der ersten Schnittstelle physikalisch getrennt ist, – einer dritten Schnittstelle, über die Teilnehmer mittels mobiler Terminals drahtlos auf das private Netzwerk oder das öffentliche Netzwerk zugreifen können, – einem Routingmittel zum Routen von Daten von den mobilen Terminals zum öffentlichen Netzwerk und zurück, – einem Steuerungsmittel zur Steuerung des Zugriffs von mobilen Terminals auf das private Netzwerk oder das öffentliche Netzwerk, das so ausgebildet ist, dass es von einem mobilen Terminal eines Teilnehmers über die dritte Schnittstelle empfangene Signale auswerten kann, dann, wenn die Auswertung ergeben hat, dass das Signal Daten repräsentiert, die mit einer für private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen, ein erstes Freigabesignal erzeugt, durch das eine Datenverbindung zwischen dem mobilen Terminal des privaten Teilnehmers und einem privaten Netzwerk über die dritte Schnittstelle und über die erste Schnittstelle frei geschaltet wird, und dann, wenn die Auswertung der Daten, die das Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, ein zweites Freigabesignal erzeugen kann, durch das eine Datenverbindung zwischen dem mobilen Terminal und einem öffentlichen Netzwerk über die dritte Schnittstelle und über die zweite Schnittstelle frei geschaltet wird, wobei in diesem Fall die Datenverbindung zwischen dem mobilen Terminal und dem privaten Netzwerk gesperrt bleibt, – und einem Verschlüsselungsmittel, das zwischen der ersten Schnittstelle und der dritten Schnittstelle angeordnet ist und so ausgebildet ist, dass es die durch den Router von dem privaten Netzwerk zu dem mobilen Terminal ausgesendeten Daten zwischen der ersten Schnittstelle und der dritten Schnittstelle verschlüsseln kann.
  30. Router nach Anspruch 29, der darüber hinaus ein zwischen der ersten Schnittstelle und der dritten Schnittstelle angeordnetes Entschlüsselungsmittel umfasst, das so ausgebildet ist, das es von dem mobilen Terminal des privaten Teilnehmers zu dem Router in verschlüsselter Form gesendete Daten zwischen der dritten Schnittstelle und der ersten Schnittstelle entschlüsseln kann.
  31. Router nach einem der Ansprüche 29 oder 30, bei dem das private Netzwerk ein drahtgebundenes LAN ist.
  32. Router nach einem der Ansprüche 29 bis 31, bei dem das öffentliche Netzwerk das Internet ist, so dass der Router ein Internet-Router ist.
  33. Router nach einem der Ansprüche 29 bis 32, bei dem das Steuerungsmittel darüber hinaus so ausgebildet ist, dass es dann, wenn die Auswertung der Daten, die das empfangene Signal repräsentiert, ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt, überprüfen kann, ob das vom mobilen Terminal empfangene Signal Daten repräsentiert, die einer vorher für öffentliche Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation entsprechen, und dass es das zweite Freigabesignal nur dann erzeugt, wenn es eine Entsprechung festgestellt hat.
  34. Router nach einem der Ansprüche 29 bis 33, bei dem die Authentifizierungsinformation für die öffentlichen Teilnehmer aus einem Passwort besteht.
  35. Router nach Anspruch 34, bei dem das Steuerungsmittel darüber hinaus so ausgebildet ist, das es gültige Passwörter generieren und abspeichern kann, die zum Zugang zu dem öffentlichen Netzwerk berechtigen sollen.
  36. Router nach Anspruch 35, bei dem das Steuerungsmittel darüber hinaus so ausgebildet ist, dass es jedem Passwort eine Zugangszeit, die die maximal zulässige Zeitdauer bestimmt, während der der öffentliche Teilnehmer unter dem Passwort in das öffentliche Netzwerk gelangen kann, sowie eine Gültigkeitsdauer zuordnen kann, die bestimmt, bis zu welchem Zeitpunkt ein Teilnehmer das Passwort noch verwenden kann, um einen Zugang zu dem öffentlichen Netzwerk zu erhalten.
  37. Router nach Anspruch 36, bei dem darüber hinaus das Steuerungsmittel so ausgebildet ist, dass es bei der Überprüfung der Authentifizierungsinformation dann, wenn festgestellt wird, dass die Authentifizierungsinformation ein gültiges Passwort eines öffentlichen Teilnehmers enthält, ermitteln kann, ob die Zeitdauer des Passworts noch nicht überschritten und/oder die Gültigkeitsdauer des Passworts noch nicht abgelaufen ist.
  38. Router nach einem der Ansprüche 34 bis 37, bei dem die Passwörter aus einem achtstelligen alphanumerischen Code bestehen.
  39. Router nach einem der Ansprüche 29 bis 38, bei dem die Authentifizierungsinformation für die privaten Teilnehmer aus einem Zertifikat besteht.
  40. Router nach Anspruch 39, bei dem das Steuerungsmittel darüber hinaus so ausgebildet ist, dass es gültige Zertifikate erzeugen kann, wobei gültige Zertifikate an die privaten Teilnehmer vergeben werden, die eine Zugangsberechtigung zu dem privaten Netzwerk erhalten sollen.
  41. Router nach einem der Ansprüche 29 bis 40, bei dem die dritte Schnittstelle eine WLAN-Schnittstelle ist.
  42. Router nach einem der Ansprüche 29 bis 40, bei dem die dritte Schnittstelle eine UMTS-Schnittstelle ist.
  43. Internet-Router nach Anspruch 32, bei dem die zweite Schnittstelle mit einem DSL-Modem verbunden ist.
  44. Internet-Router nach Anspruch 32 oder 43, bei dem das Routingmittel darüber hinaus so ausgebildet ist, das es auch über eine NAT-Funktion verfügt.
  45. Internet-Router nach einem der Ansprüche 32, 43 oder 44, der so ausgebildet ist, dass er und/oder seine Schnittstellen sich über einen Standard-Webbrowser konfigurieren lassen.
  46. Router nach Anspruch 41, bei dem die dritte Schnittstelle mit einem Access Point eines WLANs verbunden ist.
  47. Router nach einem der Ansprüche 41 oder 46, bei dem die dritte Schnittstelle mit einem Hub verbunden ist, der mit einem oder mehreren Access Points eines WLANs verbunden ist.
  48. Router nach einem der Ansprüche 29 bis 47, bei dem die erste und zweite Schnittstelle jeweils aus einer Ethernet-Schnittstelle bestehen.
  49. Router nach einem der Ansprüche 29 bis 48, der darüber hinaus einen Prozessor und einen Speicher umfasst, wobei eine auf dem Prozessor lauffähige und in dem Speicher abgelegte Software so ausgebildet ist, dass durch ihre Befehle die Funktionen des Steuerungsmittels realisiert werden können.
  50. Router nach Anspruch 49, bei dem die Software eine Ver- und Entschlüsselungssoftware umfasst.
  51. Router nach Anspruch 50, bei dem die Ver- und Entschlüsselungssoftware auf einer VPN – IPSec – Lösung basiert.
  52. Router nach Anspruch 51, bei dem zur Ver- und Entschlüsselung ein Triple-DES-Schlüssel mit 168 Bit verwendet wird.
  53. Router nach einem der Ansprüche 50 bis 52, bei dem die Prozessorleistung so ausgelegt ist, dass eine vorherbestimmte Anzahl mobiler Terminals privater Teilnehmer gleichzeitig drahtlos und über den Router auf das private Netzwerk zugreifen kann, wobei die Prozessorleistung in erster Linie durch den Rechenaufwand für die Verschlüsselung der zu den mobilen Terminals privater Teilnehmer gesendeten Daten und die Entschlüsselung der von den mobilen Terminals privater Teilnehmer empfangenen Daten bestimmt wird.
  54. Router nach einem der Ansprüche 49 bis 53, bei dem der Speicher aus einer in den Router einschiebbaren Speicherkarte besteht.
  55. WLAN-Infrastruktur mit einem oder mehreren Access Points sowie einem Router nach einem der Ansprüche 29 bis 54.
  56. WLAN-Infrastruktur nach Anspruch 55 mit einem Router nach Anspruch 51 und mobilen Terminals der privaten Teilnehmer, die jeweils mit einem VPN-Client ausgestattet sind, der mit dem IPSec-Protokoll arbeitet.
DE102004034363A 2004-07-16 2004-07-16 Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke Expired - Fee Related DE102004034363B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004034363A DE102004034363B4 (de) 2004-07-16 2004-07-16 Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004034363A DE102004034363B4 (de) 2004-07-16 2004-07-16 Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke

Publications (2)

Publication Number Publication Date
DE102004034363A1 true DE102004034363A1 (de) 2006-02-09
DE102004034363B4 DE102004034363B4 (de) 2007-06-28

Family

ID=35612871

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004034363A Expired - Fee Related DE102004034363B4 (de) 2004-07-16 2004-07-16 Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke

Country Status (1)

Country Link
DE (1) DE102004034363B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020207033A1 (de) 2020-06-04 2021-12-09 BSH Hausgeräte GmbH Vorrichtungen und Verfahrenen zur Einbindung eines Geräts in ein Local Area Network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002082730A1 (en) * 2001-04-09 2002-10-17 Colubris Networks Inc. Authentication and encryption method and apparatus for a wireless local access network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002082730A1 (en) * 2001-04-09 2002-10-17 Colubris Networks Inc. Authentication and encryption method and apparatus for a wireless local access network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LANCOM SYSTEMS: Business Networking, www.lancom- systems.de/presselounge/whitepaper/PO EN web.pdf, Oktober 2003, S.1-64 *
REYK FLÖTER: 1-Button-Hotspot, Quickspot. c't Magazin 10/2003, Heise Verlag Hannover, S.1-2 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020207033A1 (de) 2020-06-04 2021-12-09 BSH Hausgeräte GmbH Vorrichtungen und Verfahrenen zur Einbindung eines Geräts in ein Local Area Network
DE102020207033B4 (de) 2020-06-04 2022-03-24 BSH Hausgeräte GmbH Vorrichtungen und Verfahren zur Einbindung eines Geräts in ein Local Area Network

Also Published As

Publication number Publication date
DE102004034363B4 (de) 2007-06-28

Similar Documents

Publication Publication Date Title
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE602005002741T2 (de) System und Verfahren für das Management und das Widerrufen von Rechten
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE69932003T2 (de) System und Verfahren zur Kontrolle einer Netzwerkverbindung
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
WO2006133774A1 (de) Verfahren und vorrichtung zum sicheren kommunizieren einer komponente eines fahrzeugs über eine drahtlose kommunikationsverbindung mit einem externen kommunikationspartner
DE19740547A1 (de) Sicherer Netzwerk-Proxy zum Verbinden von Entitäten
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
DE112013000540T5 (de) Anmeldung von GET VPN Gruppenmitgliedern
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE102008062984A1 (de) Prozess zur Authentifizierung eines Nutzers durch ein Zertifikat unter Verwendung eines Ausserband-Nachrichtenaustausches
DE102009032466B4 (de) Sicherheit in Netzwerken
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE102004034363B4 (de) Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke
WO2004028107A2 (de) Überwachung von datenübertragungen
WO2007096249A1 (de) Verfahren zum sicheren erkennen des endes einer anwender-sitzung
DE60310872T2 (de) Verfahren zur Verwaltung einer Einstellung eines Gateways von einem Benutzer des Gateways
DE60312887T2 (de) Unternehmenszugriffskonfigurationsverfahren
WO2002067532A1 (de) Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee