-
Die
Erfindung betrifft das Gebiet der drahtlosen Kommunikation und insbesondere
ein Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke
und einen Router, mit dem dieses Verfahren ausgeführt werden
kann.
-
Immer
wichtiger werden in der letzten Zeit drahtlose Internetzugänge für Anwender,
die viel unterwegs sind. Deshalb werden z.B. auf vielen Flughäfen, Bahnhöfen und
Messegeländen
so genannte Hotspots bereitgestellt, die einen drahtlosen Zugang ins
Internet für
Teilnehmer gewährleisten,
die über
einen mobilen Terminal, etwa ein Notebook oder einen Pocket-PC mit
Wireless-LAN-Karte verfügen.
-
Auch
für andere
Anwendungen, etwa in kleineren Unternehmen oder bei Freiberuflern
wie Ärzten
oder Anwälten
ist die Einrichtung von Hotspots grundsätzlich interessant, insbesondere
in Räumen mit
Besucherverkehr, z.B.
-
Besprechungszimmern,
um z.B. die unproduktiven Auszeiten für Besucher zu reduzieren. In solchen
Unternehmen wird darüber
hinaus bereits häufig
ein privates drahtloses Firmennetzwerk (WLAN) oder eine Kombination
aus verdrahtetem (LAN) und drahtlosem Firmennetzwerk (WLAN) betrieben,
wobei allerdings die Bereitstellung eines öffentlichen drahtlosen Zugangs über dieses
Firmennetzwerk in das Internet aus Sicherheitsgründen in der Regel unerwünscht ist,
da in jedem Fall vermieden werden muss, dass ein Besucher Zugriff
auf die sensiblen Daten des firmeninternen Netzwerks erhält. Es besteht
daher am Markt ein Bedürfnis
nach einfachen Verfahren und Geräten,
die sowohl einen abgesicherten drahtlosen Zugang in ein privates Netzwerk
als auch eine Hotspot-Funktion übernehmen
können,
wobei die sensiblen Daten des privaten Netzwerks geschützt bleiben.
-
Es
ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren
und einen zugehörigen Router
zu schaffen, mit denen sowohl ein sicherer Zugang in ein privates
Netzwerk (WLAN/LAN) für mobile
Terminals von privaten Teilnehmern als auch eine Hotspot-Funktion
für mobile
Terminals von öffentlichen
Teilnehmern ermöglicht
wird.
-
Diese
Aufgabe der Erfindung wird durch ein Verfahren zur Steuerung des
Zugriffs von mobilen Terminals auf Rechnernetzwerke gelöst, bei
dem von einem mobilen Terminal eines Teilnehmers über eine Funkschnittstelle
ein Signal empfangen wird, das Signal ausgewertet wird, dann, wenn
die Auswertung ergeben hat, dass das Signal Daten repräsentiert,
die mit einer für
private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen,
ein erstes Freigabesignal erzeugt wird, durch das eine Datenverbindung
zwischen dem mobilen Terminal des privaten Teilnehmers und einem
privaten Netzwerk über
die Funkschnittstelle und über eine
erste Schnittstelle, über
die ein Zugang zu dem privaten Netzwerk möglich ist, frei geschaltet
wird, wobei die anschließend
von dem privaten Netzwerk zu dem mobilen Terminal des privaten Teilnehmers gesendeten
Daten zwischen der ersten Schnittstelle und der Funkschnittstelle
verschlüsselt
werden, und dann, wenn die Auswertung der Daten, die das Signal
repräsentiert,
ergeben hat, dass es sich nicht um einen privaten Teilnehmer handelt,
ein zweites Freigabesignal erzeugt wird, durch das eine Datenverbindung
zwischen dem mobilen Terminal und einem öffentlichen Netzwerk über die
Funkschnittstelle und über
eine zweite Schnittstelle, die von der ersten Schnittstelle physikalisch
getrennt ist und über
die ein Zugang zu dem öffentlichen
Netzwerk möglich
ist, frei geschaltet wird, wobei in diesem Fall die Datenverbindung
zwischen dem mobilen Terminal und dem privaten Netzwerk gesperrt
bleibt.
-
Die
erfindungsgemäße Aufgabe
wird ferner durch einen Router mit einer ersten Schnittstelle, über die
ein Zugang zu einem privaten Netzwerk möglich ist, einer zweiten Schnittstelle, über die
ein Zugang zu einem öffentlichen
Netzwerk möglich
ist und die von der ersten Schnittstelle physikalisch getrennt ist,
einer dritten Schnittstelle, über
die Teilnehmer mittels mobiler Terminals drahtlos auf das private Netzwerk
oder das öffentliche
Netzwerk zugreifen können,
einem Routingmittel zum Routen von Daten von den mobilen Terminals
zum öffentlichen
Netzwerk und zurück,
einem Steuerungsmittel zur Steuerung des Zugriffs von mobilen Terminals
auf das private Netzwerk oder das öffentliche Netzwerk, das so ausgebildet
ist, dass es von einem mobilen Terminal eines Teilnehmers über die
dritte Schnittstelle empfangene Signale auswerten kann, dann, wenn
die Auswertung ergeben hat, dass das Signal Daten repräsentiert,
die mit einer für
private Teilnehmer vorherbestimmten gültigen Authentifizierungsinformation übereinstimmen,
ein erstes Freigabesignal erzeugt, durch das eine Datenverbindung
zwischen dem mobilen Terminal des privaten Teilnehmers und einem
privaten Netzwerk über
die dritte Schnittstelle und über
die erste Schnittstelle frei geschaltet wird, und dann, wenn die
Auswertung der Daten, die das Signal repräsentiert, ergeben hat, dass
es sich nicht um einen privaten Teilnehmer handelt, ein zweites Freigabesignal
erzeugen kann, durch das eine Datenverbindung zwischen dem mobilen
Terminal und einem öffentlichen
Netzwerk über
die dritte Schnittstelle und über
die zweite Schnittstelle frei geschaltet wird, wobei in diesem Fall
die Datenverbindung zwischen dem mobilen Terminal und dem privaten
Netzwerk gesperrt bleibt, und einem Verschlüsselungsmittel gelöst, das
zwischen der ersten Schnittstelle und der dritten Schnittstelle
angeordnet ist und so ausgebildet ist, dass es die durch den Router
von dem privaten Netzwerk zu dem mobilen Terminal ausgesendeten
Daten zwischen der ersten Schnittstelle und der dritten Schnittstelle
verschlüsseln kann.
-
Wenn
die oben genannten Lösungen
in eine WLAN-Infrastruktur
integriert werden, besteht ein wesentlicher technischer und wirtschaftlicher
Vorteil darin, dass sowohl private als auch öffentliche Teilnehmer dieselbe
WLAN-Infrastruktur
nutzen können, was
im Vergleich zu bisherigen Lösungen
deutlich kostengünstiger
ist. Darüber
hinaus wird durch die vorgeschlagenen Lösungen sichergestellt, dass öffentliche
Teilnehmer die sensiblen Daten, die zwischen privaten Teilnehmern
und dem privaten Netzwerk übertragen
werden, nicht ausspähen
können.
-
Vorteilhafte
Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.
-
Ausführungsbeispiele
der Erfindung werden nachfolgend anhand der beigefügten Zeichnungen erläutert.
-
Es
zeigen:
-
1 ein
Ausführungsbeispiel
eines erfindungsgemäßen Routers,
die Schnittstellen des Routers und die damit verbundenen Geräte;
-
2 einen
Ausschnitt aus dem inneren Aufbau des in der 1 dargestellten
erfindungsgemäßen Routers;
-
3a ein
Ablaufdiagram einer ersten Ausführungsform
des erfindungsgemäßen Verfahrens zur
Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke;
-
3b ein
Ablaufdiagram einer zweiten Ausführungsform
des erfindungsgemäßen Verfahrens
zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke.
-
In
der 1 ist ein erfindungsgemäßer Router 1 dargestellt,
bei dem es sich um einen Internet-Router handeln soll.
-
Der
erfindungsgemäße Internet-Router 1 weist
drei Schnittstellen auf, die in der 1 mit den Bezugszeichen 2, 3 und 4 gekennzeichnet
sind.
-
Die
erste Schnittstelle 3 des Internet-Routers 1 ist
eine Hardware-Schnittstelle, die mit einem drahtgebundenen lokalen
Netzwerk (LAN = Local Area Network) verbunden ist, das z.B. gemäß der Ethernet-Technik
aufgebaut sein kann. Bei dem LAN kann es sich z.B. um das firmeninterne
Netzwerk eines Unternehmens handeln, auf das die Mitarbeiter des
Unternehmens in kontrollierter Weise zugreifen können sollen. Über das
LAN kann neben dem Zugriff auf firmeninterne Server und Client-Rechner auch auf
verschiedene Peripheriegeräte
wie Drucker oder Laufwerke zugegriffen werden, die Bestandteile
des LANs sind.
-
Die
zweite Schnittstelle 2 des Internet-Routers 1 ist
ebenfalls eine Hardware-Schnittstelle, die physikalisch von der
ersten Schnittstelle 3 getrennt ist und an der ein DSL-Modem 5 angeschlossen
ist, das wiederum mit einem Anschlusskabel verbunden ist, über das
eine Verbindung zum Internet möglich sein
soll.
-
Die
dritte Schnittstelle 4 des Internet-Routers 1 ist
mit einem Access Point 6 verbunden, der Bestandteil einer
WLAN-Infrastruktur
sein kann und dessen Aufgabe es ist, für die mobilen Terminals 7, 8 einen
Zugang zum LAN oder zum Internet zu schaffen.
-
Der
Access Point 6 besitzt eine Antenne, über die vom Internet-Router 1 stammende
Daten über
die Funkschnittstelle in die Funkzelle des Access Points 6 ausgesendet
werden können.
Der Access Point 6 sendet darüber hinaus kontinuierlich in gewissen
Zeitabständen
den Netznamen sowie andere Daten des WLANs aus, damit die mobilen
Teilnehmer (Clients) das Netz erkennen und sich einbuchen können. Befindet
sich der Access Point 6 im Sendebereich eines mobilen Teilnehmers 7 oder 8, so
kann der Access Point 6 vom mobilen Teilnehmer 7 oder 8 ausgesendete
Daten über
seine Antenne empfangen und an den Internet-Router 1 über die dritte
Schnittstelle 4 weiterleiten.
-
Die
mobilen Terminals 7 oder 8, die in der 1 als
Laptops dargestellt sind, die mit WLAN-Netzwerkkarten ausgestattet
sind, so dass sie über
Funk mit dem Access Point 6 kommunizieren können, können auch
aus anderen Hardwaregeräten bestehen,
z.B. PDAs oder Mobilfunktelefonen mit entsprechender Funktionalität.
-
Es
sollen zwei Gruppen von mobilen Terminals unterschieden werden.
Zum einen mobile Terminals 7 privater Teilnehmer, wobei
ein privater Teilnehmer ein Teilnehmer ist, der berechtigt ist,
auf das lokale private Netzwerk (LAN, WLAN) zugreifen zu dürfen, und
zum anderen mobile Terminals 8 öffentlicher Teilnehmer, wobei
ein öffentlicher
Teilnehmer ein Teilnehmer ist, der berechtigt ist, über die
zweite Schnittstelle 2 auf das Internet zuzugreifen, jedoch
keine Berechtigung hat, auf das lokale private Netzwerk (LAN, WLAN)
zuzugreifen. Auch der private Teilnehmer wird über das LAN auf das Internet
zugreifen können,
da dieses in der Regel ebenfalls mit dem Internet verbunden ist.
-
Ein
privater Teilnehmer kann z.B. ein Mitarbeiter eines Unternehmens
sein, der in einem Besprechungszimmer des Unternehmens versucht, über sein
mobiles Terminal 7 und den im Besprechungszimmer aufgestellten
Internet-Router 1 auf das private lokale Netzwerk des Unternehmens
zuzugreifen.
-
Ein öffentlicher
Teilnehmer kann z.B. ein Besucher des Unternehmens sein, der im
Besprechungszimmer des Unternehmens eine Wartezeit ausnützt, indem
er über
sein mobiles Terminal 8 und den aufgestellten Internet-Router 1 auf
das Internet zugreift und Internetseiten oder andere Daten aus dem
Internet abruft.
-
2 zeigt
einen Ausschnitt aus dem inneren Aufbau des in der 1 dargestellten
erfindungsgemäßen Internet-Routers 1.
-
Der
in der 2 dargestellte Internet-Router 1 umfasst
in einem stabilen Gehäuse 14,
das z.B. aus Kunststoff oder Metall bestehen kann, einen Mikroprozessor 9,
der mit einem Speicher 10 verbunden ist. Der Mikroprozessor
ist mit den drei bereits in Verbindung mit der 1 beschriebenen
Schnittstellen 2, 3 und 4 des Internet-Routers 1 verbunden.
-
Der
Speicher 10 soll, was in der 2 aus Gründen der Übersichtlichkeit
nicht dargestellt ist, aus mehreren Speicherteilen verschiedener
Art bestehen und einen SDRAM- Hauptspeicher,
einen FLASH-Speicher zur BIOS-Speicherung und einen in Form einer
einschiebbaren Speicherkarte einschiebbaren Programmspeicher aufweisen.
Die Speicherkarte kann z.B. aus einer CompactFlash-Karte bestehen,
wobei der Internet-Router 1 in diesem Fall einen Kartenschlitz
zur Aufnahme der Speicherkarte aufweist. Es sind aber auch beliebige
andere Speicherkonstellationen denkbar.
-
Der
Internet-Router 1 kann darüber hinaus weitere Hardware-Bausteine,
z.B. Treiberbausteine, aufweisen, die aus Gründen der Übersichtlichkeit in der 2 nicht
dargestellt sind, da sie für
die Erläuterung
der Funktionsweise der vorliegenden Erfindung nicht von Bedeutung
sind.
-
Im
Speicher 10 des Internet-Routers 1 sind verschiedene
Softwaremodule abgespeichert, von denen in der 2 ein
Routingmodul 29, ein Authentifizierungsmodul 30,
ein Passwortmanagementmodul 31, ein Zertifikatsmanagementmodul 32,
ein Verschlüsselungsmodul 11 sowie
ein Firewallmodul 12 dargestellt sind. Die im Speicher 10 abgespeicherte Software
kann weitere Module 13 umfassen. Die Funktion der einzelnen
Softwaremodule, deren Funktion auch in Form von Hardwareschaltungen
realisiert werden kann, wird im weiteren Teil dieser Beschreibung
erläutert.
-
Anhand
der 3a wird im Folgenden ein erstes Ausführungsbeispiel
des erfindungsgemäßen Verfahrens
zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke
erläutert.
-
Zu
Beginn des Verfahrens sperrt 15 der Internet-Router 1 sämtliche
Zugänge
zu den Rechner-Netzwerken, d.h. zum LAN und zum Internet.
-
Es
wird angenommen, dass sich ein Teilnehmer mit einem mobilen Terminal
in der Funkzelle, d.h. im Empfangsbereich des in der 1 dargestellten Access
Points 6 befindet.
-
Ferner
wird dabei zunächst
angenommen, dass es sich bei dem Teilnehmer um einen öffentlichen
Teilnehmer, also z.B. um den Besucher eines Unternehmens handelt,
der im Besprechungszimmer des Unternehmens über den Internet-Router 1 Zugang
zum Internet erhalten möchte.
-
Vom
Access Point 6 werden der Netzwerkname des WLANs sowie
weitere Informationen des WLANs zum mobilen Terminal 8 des öffentlichen
Teilnehmers gesendet, so dass dieser das Netz erkennen kann. Das
mobile Terminal 8 des öffentlichen Teilnehmers
empfängt
diese Informationen, durch die beim Versuch des öffentlichen Teilnehmers, mittels seines
Webbrowsers eine beliebige Internetseite aufzurufen, eine Eingabemaske
erscheint, auf der der öffentliche
Teilnehmer aufgefordert wird, sich durch Eingabe eines Passworts
anzumelden.
-
Im
Speicher des Internet-Routers 1 ist das Passwortmanagementmodul 31 zur
Erzeugung und Verwaltung der für
die öffentlichen
Teilnehmer bestimmten Passwörter
zuständig,
d.h. das Passwortmanagementmodul 31 enthält Anweisungen,
die es dem Prozessor 9 ermöglichen, Passwörter zu
erzeugen und zu verwalten. Passwörter
können
z.B. aus einem achtstelligen alphanumerischen Code bestehen. Gültige Passwörter werden
dabei nach einem vorherbestimmten Verfahren in dem Internet-Router 1 erzeugt
und in einer Tabelle im Speicher 10 abgelegt.
-
Bei
einer weiteren Ausführungsform
der Erfindung kann den Passwörtern
auch eine Zugangszeit durch das Passwortmanagementmodul 31 zugeordnet
werden, die die maximal zulässige
Zeitdauer bestimmt, während
der der öffentliche
Teilnehmer unter dem Passwort in das öffentliche Netzwerk gelangen
kann. Ferner kann dem Passwort auch eine Gültigkeitsdauer zugeordnet werden,
die bestimmt, bis zu welchem Zeitpunkt (z.B. Jahr, Monat, Tag, Uhrzeit) ein
Teilnehmer das Passwort noch verwenden kann, um einen Zugang zum
Internet zu erhalten.
-
Auf
das Passwortmanagementmodul 31 kann ein Netzwerkadministrator über einen
Webbrowser zugreifen, so dass er bei Bedarf gültige Passwörter abrufen kann und an Besucher des
Unternehmens vergeben kann, denen ein Zugriff über das Internet für einen
bestimmten Zeitpunkt ermöglicht
werden soll. Es können
dazu z.B. auch so genannte Voucher ausgedruckt und ausgegeben werden,
auf denen das Passwort sowie die zulässige Internetnutzungsdauer
und die Gültigkeit
des Vouchers vermerkt sind.
-
Vorzugsweise
ist das Passwortmanagementmodul 31 darüber hinaus so ausgestaltet,
dass ein Netzwerkadministrator, der darauf über einen Webbrowser zugreift,
auch den Zugang von öffentlichen
Teilnehmern überhaupt
während
eines bestimmten Zeitraums sperren kann, z.B. während eines Zeitraums, der
außerhalb
der Besuchszeiten des Unternehmens liegt, also etwa an Wochenenden,
um einen Missbrauch des Systems während dieser Zeiträume zu verhindern.
In diesem Fall stellt der Netzwerkadministrator über den Webbrowser einen vorherbestimmten
Zeitraum ein, während
dem kein öffentlicher
Zugriff über
den Internet-Router 1 auf das Internet erlaubt sein soll,
und der Zeitraum wird im Speicher 10 gespeichert.
-
Das
Passwortmanagementmodul 31 ist gemäß einer weiteren Ausführungsform
der Erfindung dabei so ausgebildet, dass die vergebenen gültigen Passwörter während dieses
Zeitraums nicht ungültig werden,
sondern lediglich temporär
zurückgewiesen werden.
Auch lassen sich über
die Webbrowser-Konfigurierung des Passwortmanagementmoduls 31 bestimmte
Passwörter
zurückrufen,
die bereits als gültig
vergeben wurden oder es lässt
sich eine Liste sämtlicher
zur Zeit gültiger
Passwörter
abrufen.
-
Wird
nun das Passwort vom öffentlichen
Teilnehmer in sein mobiles Terminal 8 eingegeben und ein
das Passwort repräsentierendes
Signal über
die WLAN-Netzwerkkarte des mobilen Terminals 8 ausgesendet
und über
die Funkschnittstelle zwischen mobilem Terminal und Access Point,
den Access Point und die dritte Schnittstelle 4 des Internet-Routers 1 empfangen 16,
so beginnt 17 das Authentifizierungsmodul 30 im
Speicher 10 mit der Auswertung der Authentifizierungsinformation.
-
Im
Authentifizierungsmodul 30 sind Informationen und Instruktionen
abgelegt, die es dem Prozessor 9 ermöglichen, festzustellen, ob
es sich um gültige
Authentifizierungsinformationen handelt, die empfangen wurden.
-
Für private
Teilnehmer ist gemäß der beschriebenen
Ausführungsform
eine Authentifizierung über
Zertifikate vorgesehen, was unten näher erläutert wird.
-
Das
Authentifizierungsmodul 30 überprüft zunächst, ob das empfangene Signal
Daten enthält, die
ein gültiges
Zertifikat umfassen. Der nähere
Ablauf dieser Prüfung
ist unten weiter beschrieben. Im vorliegenden Fall enthält das vom
mobilen Terminal des öffentlichen
Teilnehmers ausgesendete Signal kein Zertifikat, so dass das Ergebnis
der Prüfung
negativ 20 ist und zu dem in der 3a dargestellten Verfahrensschritt 22 verzweigt
wird.
-
Nun
wird überprüft, ob es
sich bei dem empfangenen Passwort um ein gültiges Passwort handelt 22 und
ob zu dem Zeitpunkt, zu dem die Abfrage erfolgte, überhaupt
Zugriffe auf das Internet über
die zweite Schnittstelle 2 des Internet-Routers 1 erlaubt sein sollen.
Hierzu wird zunächst
im Speicher 10 des Internet-Routers 1 eine Tabelle
aufgerufen, in der sämtliche
zur Zeit gültigen
Passwörter
eingetragen sind und das übermittelte
Passwort daraufhin überprüft, ob es
in dieser Tabelle enthalten ist. Ist dieses der Fall, so wird mittels
einer softwaremäßigen Echtzeituhr,
die in dem Internet-Router 1 enthalten ist, überprüft, ob die
Zugangsanfrage des öffentlichen Teilnehmers
zu einem Zeitpunkt erfolgte, zu dem überhaupt ein Zugang zum Internet
erlaubt ist.
-
Ist
auch diese Prüfung
positiv verlaufen, so wird der Internetzugang über die zweite Schnittstelle 2 des
Internet-Routers 1 frei
geschaltet 24 und der öffentliche
Teilnehmer kann nun beliebige Internetseiten aufrufen oder Dienstleistungen über das
Internet abwickeln. Der Zugang zum LAN über die erste Schnittstelle 3 des
Internet-Routers 1 bleibt dabei weiterhin gesperrt.
-
Im
Speicher 10 des Internet-Routers 1 sind für das Routen
der Datenpakete vom mobilen Terminal zum Internet und umgekehrt
Routinginstruktionen gespeichert, die in dem Routingmodul 29 enthalten sind.
Diese Routinginstruktionen, die durch den Prozessor 9 abgearbeitet
werden, sorgen in bekannter Weise dafür, dass die Daten von der Funkzelle
zum Internet oder in umgekehrter Richtung weitergeleitet werden
können.
Darüber
hinaus können
im Routingmodul 29 vorzugsweise auch Instruktionen gespeichert
sein, die eine NAT-Funktion ausführen
(NAT = Network Address Translation). Die NAT-Unterstützung sorgt dafür, dass
die zugeteilte IP-Adresse des Internet-Providers des Unternehmens
auf die IP-Adressen der Wireless-Terminals abgebildet wird, so dass
sich mehrere Wireless-Terminals innerhalb der Funkzelle des Access-Points
aufhalten können, obwohl
vom Internet-Provider des Unternehmens nur eine einzige IP-Adresse
zugeteilt wurde. Des Weiteren schützt NAT die WLAN-Terminals
in gewisser Weise vor Bedrohungen aus dem Internet, da die eigentlichen
IP-Adressen verdeckt werden und von der Seite des Internets aus
nicht ersichtlich sind.
-
Läuft die
für das
Passwort vorgesehene und in dem Speicher 10 dem Passwort
zugeordnete Nutzungsdauer ab oder wird nach einem gewissen Zeitablauf
während
der Internetnutzung ein Zeitraum erreicht, während dem keine öffentliche
Zugänge
zum Internet erlaubt sind, so wird der Zugang zum Internet über den
Prozessor 9 des Internet-Routers 1 wieder gesperrt.
In jedem Fall bleibt auch hier der Zugang zu den privaten Netzwerken
LAN und WLAN für
den öffentlichen
Teilnehmer gesperrt.
-
Ergibt
die Prüfung
durch das Authentifizierungsmodul 30 und den Prozessor 9 beim
Schritt 22, dass das Passwort des öffentlichen Teilnehmers ungültig ist 25,
so bleiben sämtliche
Netzwerkzugänge gesperrt 26,
d.h. es wird weder ein Zugang zum Internet noch zu den privaten
Netzen LAN und WLAN ermöglicht.
-
Es
werde nun angenommen, dass es sich bei dem Teilnehmer um einen privaten
Teilnehmer, also z.B. um einen Mitarbeiter eines Unternehmens handelt,
der im Besprechungszimmer des Unternehmens über seinen Laptop (= mobiler
Terminal) und den Internet-Router 1 Zugang zum privaten
Netzwerk des Unternehmens (LAN, WLAN) erhalten möchte.
-
Vom
Access Point 6 werden wiederum der Netzname des WLANs sowie
weitere Informationen des WLANs ausgesendet. Befindet sich das mobile Terminal 7 des öffentlichen
Teilnehmers in der Funkzelle des Access Points 6, so empfängt es diese
Informationen und kann anhand dieser Informationen erkennen, dass
es sich im Empfangsbereich des privaten WLANs befindet.
-
Auf
dem privaten mobilen Terminal 7 wurde vorab eine Verschlüsselungs-/Entschlüsselungssoftware
installiert, die im vorliegenden Fall auf der bekannten Virtual-Private-Network-Lösung (VPN-Client) basiert und
mit dem IP Security Protocol (IPSec) arbeitet, wobei ein 168 Bit
langer Triple-DES (DES = Data Encryption Standard) -Schlüssel für die Ver- und
Entschlüsselung
verwendet wird. Es können aber
auch beliebige andere Verschlüsselungs-/Entschlüsselungsverfahren
oder Schlüssel
verwendet werden, und so kann z.B. auch ein AES-Schlüssel eingesetzt
werden.
-
Eine
entsprechende Verschlüsselungs-/Entschlüsselungssoftware
nach dem VPN/IPSec-Standard, die mit einem entsprechenden Triple-DES-Schlüssel mit
einer Bitlänge
von 168 arbeitet, ist ebenfalls in dem Verschlüsselungsmodul 11 im Speicher 10 des
Internet-Routers 1 enthalten. Die Instruktionen, die zur
Ver- und Entschlüsselung
notwendig sind, werden dann durch den Prozessor 9 durchgeführt, der
eine entsprechende Leistungsfähigkeit
aufweisen muss, um die Ver- und
Entschlüsselungsschritte
in einem vertretbaren Zeitrahmen durchführen zu können. Da es sich bei dem hier
gewählten
Verschlüsselungsverfahren
um ein symmetrisches Verfahren handelt, muss der Internet-Router 1 sämtliche
an die privaten Teilnehmer vergebenen Schlüssel kennen und die privaten
Teilnehmer müssen
den jeweils passenden Schlüssel
kennen, der auch im Internet-Router 1 abgelegt ist.
-
Ferner
ist im Speicher des mobilen Terminals 7 des privaten Teilnehmers
ein vorherbestimmtes digitales Zertifikat gespeichert, das die Identität des Teilnehmers,
den Schlüssel
für das
Ent-/Verschlüsselungsverfahren
sowie die Daten einer Zertifizierungsstelle enthält, wobei vorzugsweise ein
so genanntes standardisiertes X.509 – Zertifikat verwendet wird.
-
Als
Zertifizierungsstelle dient dabei vorzugsweise der Internet-Router 1 selbst,
denn er umfasst in seinem Speicher 10 vorzugsweise das
in der 2 dargestellte Zertifikatsmanagementmodul 32,
mit dem gültige
Zertifikate erstellt werden können,
die neben der Information über
den privaten Teilnehmer, der zur Nutzung des Zertifikats berechtigt
ist, auch einen Schlüssel
zur Ver- und Entschlüsselung
sowie eine Information enthalten, die darauf hinweist, dass dieses
Zertifikat von der Zertifizierungsinstanz im Internet-Router 1 erstellt
und zertifiziert wurde. Wie bereits oben erwähnt, werden im Internet-Router 1 vorzugsweise
Zertifikate vom Typ X.509 erstellt.
-
Auch
auf das Zertifikatsmanagementmodul 32 kann ein Netzwerkadministrator über einen
Webbrowser zugreifen und Zertifikate verwalten. Gemäß einer
bevorzugten Ausführungsform
der Erfindung soll es dabei dem Netzwerkadministrator auch möglich sein,
bereits als gültig
herausgegebene Zertifikate wieder zurückzunehmen und in eine im Speicher 10 abgelegte
Liste von zurückgenommenen
Zertifikaten einzuordnen.
-
Es
werde nun angenommen, dass der private Teilnehmer auf seinem mobilen
Terminal den VPN-Client aufruft, woraufhin das auf seinem mobilen
Terminal abgespeicherte X.509-Zertifikat, das seine Identität und seinen
persönlichen
Schlüssel enthält sowie
die Information, das es von dem Internet-Router 1 als der
Zertifizierungsinstanz erstellt wurde, über die Netzwerkkartenantenne
als Authentifizierungsinformation des mobilen Terminals zum Access
Point 6 ausgesendet wird.
-
Befindet
sich der Access Point 6 in der Funkzelle des mobilen Terminals
des privaten Teilnehmers, so kann er über die Funkschnittstelle zwischen dem
mobilen Terminal und dem Access Point das vom Terminal ausgesendete
Zertifikat empfangen 16 und zum Internet-Router 1 über dessen
dritte Schnittstelle 4 weiterleiten.
-
Im
Authentifizierungsmodul 30 des Internet-Routers 1 wird
nun überprüft 16,
ob es sich bei dem Zertifikat auch um ein gültiges Zertifikat handelt. Hierzu
wird zunächst
durch den Prozessor 9 mittels entsprechender Instruktionen
aus dem Authentifizierungsmodul 30 verglichen, ob es sich
bei dem Zertifikat um ein gültiges
Zertifikat aus einer Liste der im Zertifikatsmanagementmodul als
gültig
abgespeicherten Zertifikate handelt, wobei Teilnehmer, Schlüssel und
Zertifizierungsstelle überprüft werden. Darüber hinaus
wird dann, wenn diese Prüfung
positiv verlaufen ist, überprüft, ob das
Zertifikat nicht in der im Speicher 10 abgespeicherten
Liste zurückgenommener
Zertifikate enthalten ist. Ergeben diese Prüfungen, dass es sich um ein
immer noch gültiges Zertifikat
handelt, so wird vom Prozessor 9 ein Freigabesignal ausgesendet,
durch das der Zugang zum privaten LAN über die erste Schnittstelle 3 des
Internet-Routers 1 frei geschaltet wird. Auch eine Verbindung
zum privaten WLAN wird frei geschaltet. Der Zugang zum Internet über die
zweite Schnittstelle 2 des Internet-Routers 1 bleibt
dabei gesperrt. Allerdings werde angenommen, dass das LAN ebenfalls über einen
Internetzugang verfügt,
so dass der private Teilnehmer auch über das LAN auf das Internet
zugreifen kann. Zudem kann er natürlich auf die mit dem LAN verbundenen
anderen Rechner und Peripheriegeräte wie Laufwerke und Drucker
zugreifen.
-
Datenpakete,
die nun aus dem LAN in den Internet-Router gelangen, werden vor
dem Aussenden über
die dritte Schnittstelle 4 des Internet-Routers 1 und
die Funkschnittstelle des Access Points 6 zwischen der
ersten Schnittstelle 3 und der dritten Schnittstelle 4 im
Internet-Router 1 mittels
der Instruktionen aus dem Verschlüsselungsmodul 11 und mittels
des Prozessors 9, der diese Instruktionen abarbeitet, verschlüsselt 21 (nach
dem VPN-IPSec-Protokoll unter Zuhilfenahme des Triple-DES-Schlüssels).
Ferner werden auch in umgekehrter Richtung gesendete Datenpakete,
die über die
Luftschnittstelle vom mobilen Terminal des privaten Teilnehmers
aus gesendet werden, nur in verschlüsselter Form gesendet und erst
durch den Prozessor 9 im Internet-Router mit Hilfe der
Entschlüsselungsinstruktionen,
die im Verschlüsselungsmodul 11 gespeichert
sind, entschlüsselt 21,
bevor sie an das LAN über
die erste Schnittstelle 3 weitergeleitet werden.
-
Auf
diese Weise wird sichergestellt, dass öffentliche Besucher, die über mobile
Terminals gleichzeitig mittels des Internet-Routers 1 über die
erste Schnittstelle 2 wie oben beschrieben ins Internet
gelangen, die über
die Luftschnittstelle zwischen privatem LAN und mobilem Terminal
eines privaten Teilnehmers übertragenen
sensiblen Daten nicht dechiffrieren können (selbst wenn es den öffentlichen
Besuchern gelingen sollte, diese Daten zu „sniffen"), da sie den Schlüssel nicht kennen.
-
Somit
bieten der erfindungsgemäße Internet-Router
sowie das erfindungsgemäße Verfahren sowohl
gleichzeitig eine komfortable Hotspot-Funktion als auch einen besonders
sicheren drahtlosen Zugang zu einem privaten Netzwerk.
-
Ergibt
die Prüfung
durch das Authentifizierungsmodul 30 und den Prozessor 9 beim
Schritt 18, dass es sich bei dem Zertifikat, das vom mobilen
Terminal des privaten Teilnehmers im Internet-Router 1 empfangen
wurde, um ein ungültiges
oder mittlerweile zurückgenommenes
Zertifikat handelt, so bleiben, da auch die Passwort-Prüfung beim
Schritt 22 negativ 25 verläuft, sämtliche Netzwerkzugänge des
Internet-Routers 1, d.h. insbesondere der Zugang zum LAN über die
erste Schnittstelle 3 und der Zugang zum Internet über die
zweite Schnittstelle 2 für das mobile Terminal gesperrt 26.
-
Im
Speicher 10 des Internet-Routers 1 kann darüber hinaus – wie in
der 2 dargestellt – ein Firewallmodul 12 enthalten
sein, das eine softwaremäßige Firewallfunktion
vor dem LAN oder auch dem Internet realisiert. Firewalls sind im
Stand der Technik bekannte Zugangsschutzsysteme zur Trennung von Netzbereichen,
wobei softwaremäßige Firewalls
als Datenpaketfilter fungieren, die aus Regeln bestehen, welche
festlegen, ob einzelne oder zusammenhängende Pakete das Zugangsschutzsystem
passieren dürfen
oder abgeblockt werden. Vorzugsweise wird bei einer besonderen Ausführungsform
der Erfindung die Firewall an der Schnittstelle des Routers zum
Internet dabei so eingestellt, dass eine Kommunikation von mobilen
WLAN-Terminals verschiedener öffentlicher
Teilnehmer untereinander ausgeschlossen wird.
-
Selbstverständlich ist
gemäß einer
weiteren Ausführungsform
der Erfindung auch eine hardwaremäßige Firewallfunktion vor der
ersten Schnittstelle 3 zum LAN oder vor der zweiten Schnittstelle 2 zum
Internet denkbar.
-
Im Übrigen kann
der Speicher 10 des Internet-Routers 1 weitere
Module, z.B. eine softwaremäßige Uhr,
enthalten, die in der 2 mit dem Bezugszeichen 13 markiert
sind.
-
Eine
weitere interessante Ausführungsform des
erfindungsgemäßen Verfahrens
ist in der 3b dargestellt, wobei es sich
hier nur um eine leichte Abwandlung des in der 3a dargestellten
Verfahrens handelt. Bei dem in der 3b dargestellten
Verfahren entfällt
der Schritt des Anmeldens der öffentlichen
Teilnehmer über
ihre mobilen Terminals mittels eines Passwortes oder einer anderen
kennzeichnenden Information ganz. In diesem Fall sendet der durch
das Authentifizierungsmodul 30 im Internet-Router 1 gesteuerte
Prozessor 9 das Signal für die Freigabe des Internetzugangs über die
zweite Schnittstelle 2 dann aus, wenn die Überprüfung des vom
mobilen Terminal empfangenen Signals beim Schritt 18 ergibt,
dass keine für
private Teilnehmer definierte gültige
Authentifizierungsinformation empfangen wurde, sondern irgendeine
beliebige andere Information, die z.B. aus einer Internetseitenanfrage eines öffentlichen
Teilnehmers in seinem Browser bestehen kann, die über die
Netzwerkkarte an den Access Point gesendet wird. Der Internet-Router 1 kann so
z.B. immer dann einen Zugang zum Internet gewähren, wenn das vom mobilen
Teilnehmer gesendete Signal kein Zertifikat enthält.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung können
die Passwörter
auch so definiert werden, dass sie nur zum einmaligen Zugang zu
dem öffentlichen
Netzwerk berechtigen.
-
Nachstehend
sind eine Reihe von weiteren erfindungsgemäßen Ausführungsformen des erfindungsgemäßen Verfahrens
sowie des erfindungsgemäßen Internet-Routers
angegeben:
So muss bei dem erfindungsgemäßen Verfahren das Netzwerk,
das über
die erste Schnittstelle erreichbar ist, nicht notwendigerweise das
Internet sein, sondern es kann stattdessen ein beliebiges anderes öffentliches
Netzwerk sein, über
das öffentliche
Teilnehmer einen kontrollierten Zugang erhalten können. So
kann das öffentliche
Netzwerk auch ein weiteres firmeninternes „öffentliches" LAN sein, das aber für einen
weiteren oder anderen Kreis von Teilnehmern geöffnet werden soll als das andere „sensible" und private firmeninterne
LAN, das über
die zweite Schnittstelle erreicht werden kann.
-
Darüber hinaus
braucht die Funkschnittstelle nicht notwendigerweise eine WLAN-Schnittstelle
zu sein, es kann sich dabei auch um eine beliebige andere Funkschnittstelle,
z.B. eine UMTS-Schnittstelle, handeln, wobei in diesem Fall die
mobilen Terminals vorzugsweise aus Mobilfunktelefonen bestehen.
-
Sämtliche
softwaremäßigen Abläufe, die
in den Modulen im Speicher 10 des Internet-Routers 1 dargestellt
sind, können
natürlich
auch aus Hardware-Elementen, z.B. Logikschaltungen, bestehen, was
unter Umständen – insbesondere
beim Verschlüsselungsmodul – Geschwindigkeitsvorteile
bei der Verarbeitung von Daten mit sich bringen kann.
-
Der
Prozessor 9 im Internet-Router kann von verschiedener Leistungsfähigkeit
sein, wobei die Leistungsfähigkeit
insbesondere davon abhängig
ist, wie viele mobile Terminals privater Teilnehmer unter Ausnutzung
der Verschlüsselungs-
und Entschlüsselungsfunktionen
gleichzeitig über
den Router 1 auf das private Netzwerk (z.B. das in der 2 dargestellte
LAN) zugreifen können
sollen. Dieses kann je nach Anwendung unterschiedlich sein.
-
Wird
der erfindungsgemäße Router 1 z.B.
im Empfangsbereich eines Hotels aufgestellt, so ist es denkbar,
dass die Anzahl der öffentlichen
Teilnehmer, nämlich
der Hotelgäste,
sehr groß ist,
während
die Anzahl der privaten Teilnehmer, nämlich einiger Hotelmitarbeiter,
relativ gering ist, so dass ein preiswerter Prozessor mit relativ
geringer Leistungsfähigkeit ausreichen
wird (z.B. ein 233 MHz Prozessor).
-
Wird
der Router hingegen z.B. im Besprechungszimmer einer großen Anwaltskanzlei
aufgestellt, in dem häufig
mehrere Anwälte,
aber relativ selten Besucher an Besprechungen teilnehmen, so kann
unter Umständen
ein leistungsfähigerer
Prozessor erforderlich sein, um den Zugriff von mehreren Anwälten auf
das private Netzwerk unter Ausführung
der Datenver- und -entschlüsselungsfunktionen gleichzeitig
zu ermöglichen.
-
Gemäß noch einer
weiteren Ausführungsform
der Erfindung können
auch die Schnittstellen des Internet-Routers 1 über einen
Standard-Webbrowser konfiguriert werden.
-
Der
erfindungsgemäße Internet-Router
kann ferner Bestandteil einer ganzen WLAN-Infrastruktur sein, die
darüber
hinaus über
mehrere Access Points verfügt.
Diese Lösung
kann z.B. in einem mehrstöckigen
Hotel eingesetzt werden, um sämtlichen
Besuchern in den Zimmern des Hotels Zugriff auf das Internet zu
gewähren
und gleichzeitig den Mitarbeitern des Hotels einen Zugriff auf das
firmeninterne LAN. Die WLAN-Infrastruktur
kann darüber
hinaus andere übliche
WLAN-Elemente wie Hubs umfassen. So kann z.B. ein Hub mit der dritten
Schnittstelle des in der 2 dargestellten Internet-Routers 1 verbunden
sein und es können
eine Reihe von Access Points mit dem Hub verbunden sein.