Netze,
die mobilen Endgeräten
wie Laptops, PDAs, etc. Zugang etwa zum Internet verschaffen sollen,
unterliegen besonderen Anforderungen bezüglich des Mobilitätsmanagements.
Das herkömmliche
Internet-Protokoll ist ursprünglich
nicht für
den mobilen Einsatz konzipiert worden. Bei stationären Rechnern,
die Daten bzw. Pakete austauschen, kann grundsätzlich eine für die Zeitdauer
der Verbindung feste IP-Adresse zugeordnet werden. Wandern diese Rechner
zwischen verschiedenen Subnetzen, so kann gemäß dem herkömmlichen IP-Standard die Verbindung
nicht mehr aufrechterhalten werden. Auch ist eine Änderung
er Netzwerkadresse selbst in einer laufenden Verbindung nicht vorgesehen,
bzw. es resultiert ein Abbruch der Verbindung.
Das
DHCP (Dynamik Host Konfiguration Protocol) ermöglicht anhand eines dedizierten
Servers die dynamische Zuweisung einer IP-Adresse und weiterer Konfigurationsparameter
an ein Endgerät
oder eine Station in einem Netzwerk. Ein solches Gerät bekommt,
sobald es in ein Netzwerk eingebunden wird, automatisch eine (noch
freie) IP-Adresse durch das DHCP-Protokoll zugewiesen. Ist bei einem mobilen
Endgerät
DHCP installiert, so braucht es lediglich in den Bereich eines lokalen
Netzwerkes kommen, das die Konfiguration über das DHCP-Protokoll unterstützt. Bei
dem DHCP-Protokoll ist eine dynamische Adress vergabe möglich, d.h.
eine freie IP-Adresse wird automatisch für eine bestimmte Zeit zugeteilt.
Nach Ablauf dieser Zeit muss die Anfrage durch den mobilen Rechner
entweder erneut gestellt werden oder die IP-Adresse kann anderweitig
vergeben werden.
Mit
DHCP kann ein mobiles Endgerät
ohne manuelle Konfiguration in ein Netzwerk eingebunden werden.
Als Voraussetzung muss lediglich der DHCP-Server zur Verfügung stehen.
Das mobile Endgerät
kann auf diese Weise Dienste des lokalen Netzwerkes nutzen. Bietet
ein mobiles Endgerät
bzw. eine mobile Station jedoch selbst Dienste an, kann ein potentieller
Dienstnutzer dieses Gerät
nicht in geeigneter Weise adressieren, da sich dessen IP-Adresse
in jedem Netzwerk, in das es eingebunden wird, ändert.
Trotz
DHCP werden daher die Anforderungen an Mobilität durch das herkömmliche
Internet-Protokoll (IP) nicht erfüllt. Es wurde daher ein besonderes
Protokoll, Mobile IP (MIP) geschaffen, das den gesonderten Anforderungen
Rechnung trägt.
Bei Mobile-IP erhält
ein mobiles Endgerät
bzw. eine mobile Station eine IP-Adresse, die es auch bei Aufenthalt
in einem anderen Netzwerk beibehält.
Bei
herkömmlichem
IP wäre
es dabei notwendig, die IP Adressen-Einstellungen für die beteiligten
Router entsprechend anzupassen. Eine ständige Anpassung von IP- und
Routing-Konfigurationen auf
dem Endgerät
ist aber nicht praktikabel. Das MIP-Protokoll (RFC 2002, RFC 2977,
RFC3344, RFC3846, RFC3957, RFC3775, RFC3776, RFC4285) unterstützt dagegen
die Mobilität
von mobilen Endgeräten,
indem es ihm zwei IP-Adressen zuweist,
nämlich
eine permanente Home-Adresse und eine zweite, temporäre Care-Of-Adresse.
Die Care-Of-Adresse ist die IP-Adresse, unter der das mobile Endgerät aktuell – z.B. in
einem von ihm besuchten Netz – erreichbar
ist. Die Vermittlung von Informationen, die an die permanent verfügbare Heimadresse
gerichtet sind, zum mobilen Endgerät wird durch Heim- und Fremdagenten
bewerkstelligt.
Der
Heimagent (Home Agent) ist ein Stellvertreter des mobilen Endgerätes, solange
sich das mobile Endgerät
nicht in dem ursprünglichen
Heimnetz aufhält.
Der Heimagent ist ständig über den
aktuellen Aufenthaltsort des mobilen Rechners informiert. Der Heimagent
stellt üblicherweise
eine Komponente eines Routers im Heimnetz (oder einem Zwischennetz) des
mobilen Endgerätes
dar. Wenn das mobile Endgerät
sich außerhalb
des Heimnetzes befindet, stellt der Heimagent eine Funktion bereit,
damit sich das mobile Endgerät
anmelden kann. Danach leitet der Heimagent die an das mobile Endgerät adressierten Datenpakete
in das aktuelle Netz des mobilen Endgerätes weiter.
Ein
Fremdagent (Foreign Agent) befindet sich in demjenigen Netz, in
dem sich das mobile Endgerät
bewegt. Der Fremdagent leitet eingehende Datenpakete an das mobile
Endgerät
bzw. an den mobilen Rechner weiter. Der Fremdagent stellt dabei ebenfalls üblicherweise
eine Komponente eines Routers dar und routet administrative Mobile-Datenpakete
zwischen dem mobilen Endgerät
und dessen Heimagenten. Der Fremdagent entpackt die von dem Heimagent
gesendeten, getunnelten IP-Datenpakete und leitet deren Daten an
das mobile Endgerät
weiter.
Damit
ein mobiles Endgerät
in ein Netz eingebunden werden kann, muss es zunächst in Erfahrung bringen,
ob es sich in seinem Heim- oder einem Fremdnetz befindet. Zusätzlich muss
das mobile Endgerät
in Erfahrung bringen, welche Station in dem (ggf. besuchten) Netz
der Heim- bzw. der Fremdagent ist. Diese Informationen werden durch
ein Agent Discovery ermittelt.
Durch
eine Registrierung kann das mobile Endgerät seinen aktuellen Standort
seinem Heimagenten (HA) mitteilen. Hierzu sendet das mobile Endgerät dem Heimagenten
die aktuelle Care-Of-Adresse
zu – im
Rahmen einer Registrierungsanforderung an den Heimagenten. Der Heimagent
(HA) antwortet mit einer Registrierungsantwort.
Die
Registrierung wird abgesichert durch eine vorab durchgeführte Authentikation.
Das mobile Endgerät
und der Heimagent verfügen
danach über z.B.
gemeinsame geheime Schlüssel.
Die Aufgabe der Authentikation wird durch einen dem Heimagenten
im Heimnetz (Home Connectivity Serving Network) des mobilen Endgerätes zugeordneten
Authentikationsserver übernommen,
auch AAA-Server genannt (AAA: Authentication, Authorization and
Accounting). Befindet sich der Heimagent in einem besuchten Zwischennetz
(visited Connectivity Serving Network, CSN) so wird ihm in diesem
Netz ein Proxy-Authentikationsserver zur Seite gestellt. Der Heimagent
und der Authentikationsserver bzw. dessen Proxy können Module
auf ein und demselben Rechner sein.
Mobile
Datennetze werden in der Regel durch Funkverbindungen realisiert.
Es müssen
dann die Nachrichten längere
Strecken über
Luftschnittstellen zurücklegen
und sind somit für
potentielle Angreifer leicht erreichbar. Bei mobilen und drahtlosen Datennetzen
spielen daher Sicherheitsaspekte eine besondere Rolle. Ein mobiles
Endgerät
besitzt als ersten Anlaufpunkt in einem besuchten Netz daher meist
ein Zugangsnetz (Access Serving Network, ASN), das die Basisstation
für die
drahtlose Übertragung
umfasst. Neben der Vereinbarung von Schlüsseln für die Kommunikation mit den
Authentikationsservern und den Heimagenten sind daher auch weitere
Schlüssel
für die
Funkdatenübertragung
erforderlich.
Neben
der bekannten WLAN-Technik (Wireless Local Area Network, Standard
IEEE 802.11) ist als drahtloser Zugang für mobile Endgeräte in jüngerer Vergangenheit
eine viel versprechende drahtlose Zugangstechnologie bekannt geworden,
die auch größere Reichweiten
von bis zu 30 km oder mehr (Sichtlinie) bei hohen Datendurchsätzen von
75 Mb/s erreicht: WiMAX (Worldwide Interoperability for Microwave
Access). WLAN erreicht aufgrund der begrenzten Sendeleistung bei
100 m Abstand (direkte Sichtlinie) 54 Mb/s. Während mit WLAN daher gerade
einmal Hotspots innerhalb von Gebäuden realisierbar sind, können bei
WiMAX ganze Stadteile als Metrospots ausge wiesen werden (etwa 800-1000
m Radius). Drei Frequenzbänder
um 2.6 GHz, 3.5 GHz und 5.8 GHz mit Breiten von 100-200 MHz sind
für WiMAX
vorgesehen.
WiMAX
unterstützt
zwei Varianten von Mobile IP, mit denen ein Makro-Mobilitätsmanagement
ermöglicht
wird: Proxy-Mobile IP und Client-Mobile IP (basierend auf Mobile
IPv4 oder v6).
Beim
Client-MIP (CMIP) verfügt
das mobile Endgerät
bzw. die mobile Station für
Mobile-IP-Funktionalität.
Insbesondere ist das Endgerät
oder die Station mit eigener IP-Adresse und derjenigen seines/ihres
Heimagenten versehen und besitzt entsprechende Schlüssel für die Kommunikation.
Das Endgerät
bzw. die Station verfügt
dann über
ein so genanntes endgerätebasiertes
Mobilitätsmanagement.
Beim
Proxy-MIP (PMIP) ist die MIP-Client-Funktionalität durch das WiMAX-Zugangsnetz (WiMAX-ASN)
anstatt durch das mobile Endgerät selbst
realisiert. Die im Zugangsnetz (ASN) vorgesehene Funktionalität wird als
Proxy Mobile Node (PMN) oder als PMIP-Client bezeichnet. Bei dieser Konfiguration
kann auch ein solches Endgerät
Zugang zu Zwischen- und Heimnetzen finden, dass Mobile-IP gerade
nicht unterstützt.
Der PMIP-Client übernimmt
die MIP-Signalisierung stellvertretend für den eigentlichen Client,
dem mobilen Endgerät.
Das mobile Endgerät
zieht dann Nutzen aus einem so genannten netz-basierten Mobilitätsmanagement,
das ihm der PMIP-Client zur Verfügung
stellt.
Als
Mobilitätsmanagement
bzw. Makro-Mobilitätsmanagement
(Makro-MM) wird hier die Verfahrensweise bei der Übergabe
einer mobilen Station oder eines mobilen Endgerätes bezeichnet, das zwischen
zwei Zugangsnetzen (ASN) bzw. zwischen Netzen zweier Netzanbieter
(NAP, Network Access Provider) wechselt. Makro-MM wird bei WiMAX
auch als R3-Mobility oder Inter-ASN-Mobility bezeichnet.
In
beiden Fällen
muss auf der Gegenseite vom mobilen Endgerät oder CMIP-/PMIP-Client das Heimnetz-CSN
(HN), d.h., der Service-Provider der Benutzers ebenfalls Mobile
IP unterstützen,
um die Kommunikation zu ermöglichen.
So fragt etwa bei einer der Authentikation folgenden Registrierung
der Heimagent (HA) bei dem Authentikationsserver (AAA-MS) der mobilen
Station (MS) Sicherheitsparameter ab. Diese Parameter werden benötigt, damit sich
nur ein berechtigter Client beim Heimagenten (HA) registrieren kann.
Ferner
wird gemäß Mobile
IP dem CMIP- oder PMIP-Client die Adresse des Heimagenten (HA) zugewiesen.
Der Heimagent (HA) kann sich dabei im Heimnetz (HN) oder auch im
besuchten Zwischennetz (CSN) befinden. Diese Grundfunktionalitäten müssen gewahrt
bleiben.
Proxy-Mobile-IP
unterstützt
die Mobilität nicht
MIP-fähiger
mobiler Endgeräte
(ME). Der entsprechende PMIP-Client befindet sich dabei in einem Gateway
(GW), welches im Zugangsnetz (ASN) positioniert ist, mit dem die
mobilen Endgeräte
(ME) drahtlos über
eine Basisstation (BS) kommunizieren.
Sollen
nun aber die mobilen Endgeräte
jeweils anderen Netzbetreibern (NAP) zugeordnet sein (unterschiedliche
Subskriptionen beim Roaming), so entsteht demjenigen Netzbetreiber,
der das Gateway im Zugangsnetz betreibt, ein nicht unerheblicher
Aufwand um diese erweiterte Funktionalität im PMIP-Client in dem Gateway des Zugangsnetzes
abzubilden. Er muss dann nämlich
dort auch die für
die Netzanmeldung erforderliche AAA-Infrastruktur im Zugangsnetz
ASN bereitstellen.
Im
Fall von WLAN-Netzen werden DSL-Gateways oftmals im Heimbereich
und nicht auf Seite eines Netzanbieters eingesetzt. Hinter solchen Gateways
sind – vom
Netzanbieter aus gesehen – mobile
Endgeräte
erreichbar. In diesem Fall ist nur die Subskription mit dem einen
Netzanbieter selbst möglich,
der das Gateway vermittelt hat. Die mobilen Endgeräte besitzen
keine Subskription.
In öffentlichen
WLAN-Netzen, etwa Hotspots als drahtlose Hotelnetze etc., sind dagegen
durchaus Subskriptionen mit anderen Netzanbietern vorgesehen. Voraussetzung
ist lediglich, dass der Hotspot-Anbieter einen Vertrag mit dem dritten
Netzanbieter geschlossen hat und demgemäß Verbindungen für die mobilen
Endgeräte
in dem Hotspot herstellt.
Zwar
ist für
den Zugang eine EAP-basierte Authentikation (EAP: Extensible Authentication
Protocol, RFC 3748) sowohl für
das Gateway als auch für
die Endgeräte
vorgesehen, wenn das Gateway eine Authentikator-Funktionalität zur Verfügung stellt. Aber
das Gateway besitzt hier keine Funktionalität zur Ermittlung des jeweiligen
Heimnetzes der mobilen Endgeräte.
Dazu
müsste
das Gateway nämlich
wenigstens im Besitz der IP-Adresse
und eines gemeinsamen Schlüssels
mit dem jeweils zuständigen
Authentikationsserver des Heimnetzes eines mobilen Endgerätes sein.
Ferner
besitzen bei diesen WLAN-Szenarien die mobilen Endgeräte wie auch
das Gateway selbst keinerlei Mobilität, sie sind beispielsweise
auf den Standort des Hotels angewiesen.
Es
besteht daher das Erfordernis, nicht MIP-fähigen Endgeräten einen
sicheren Zugang zu ihren jeweiligen Heimnetzen zu gewähren und gleichzeitig
deren Mobilität
zu gewährleisten,
dabei aber den Aufwand für
die Umsetzung des damit verbundenen Mobilitätsmanagement zu gering zu halten.
Diese
Anforderungen werden durch eine mobile Station mit den Merkmalen
des Anspruchs 1 erfüllt,
wobei die mobile Station selbst als Gateway eingesetzt ist. Eine
Endgerätenetz
aus mobilen Endgeräten
und der als Gateway eingesetzten mobilen Station ist im Anspruch
14 angegeben. Ein System von Netzen, das das Endgerätenetz,
ein Zugangsnetz, ein Zwischennetz und wenigstens ein Heimnetz für eines
der mobile Endgeräte
und ein weiteres Heimnetz für
die mobile Gateway-Station umfasst, ist im Anspruch 16 angegeben.
Die
entsprechende Aufgabe wird ferner gelöst durch ein Verfahren mit
den Merkmalen gemäß Anspruch
18. Vorteilhafte Ausgestaltungen sind jeweils den unabhängigen Ansprüchen zu
entnehmen.
Es
wird vorgeschlagen, den PMIP-Client, welcher ein netzbasiertes Mobilitätsmanagement
ermöglicht,
einer mobilen Station (MS-GW) zuzuordnen, welche als Gateway für ein oder
mehrere mobile Endgeräte
(ME) eingerichtet ist. Gegenüber
der bekannten Variante von Proxy-Mobile-IP wird die PMIP-Client-Funktionalität demnach
vom Gateway im Zugangsnetz (ASN) in den Bereich der mobilen Endgeräte (ME)
verschoben.
Die
Begriffe mobile Station und mobiles Endgerät für sich genommen können grundsätzlich auch gleiche
Typen von Rechnern bezeichnen. Jedoch besitzt die mobile Station
hier die Eigenschaft, als Gateway eingerichtet zu sein. Sie besitzt
daher zusätzliche, über die
mobilen Endgeräte
hinausgehende Merkmale wie auf logischer Seite etwa Adresstabellen
der in dem Endgerätenetz
angemeldeten Endgeräte,
und auf physikalischer Seite z.B. Netzwerkkarte für Netzwerkkabelanschluss
und/oder Sende-/Empfangsvorrichtung für drahtlose Funkwellen. Das
Endgerätenetz
wird durch die Infrastruktur der als Gateway verwendeten mobilen
Station (MS-GW) bestimmt. Das Gateway besitzt jedenfalls zwei Datenein-/ausgänge, um
Verbindungen zwischen Netzen und/oder einzelnen Peers herstellen
zu können.
Gemäß Ausführungsformen
kommunizieren die mobilen Endgeräte
mit der Gateway-mobilen Station (MS-GW) drahtlos oder drahtgebunden.
Beispiele sind ein lokales WLAN-Netz oder ein Ethernet-Kabelnetz.
Mit
besonderem Vorteil kann die Erfindung in WiMAX-Netzen eingesetzt
werden. Die Gateway-mobile Station kommuniziert dann auf ihrer Ausgangsseite – von den
mobilen Endgeräten
aus gesehen – drahtlos
mit einer Basisstation (BS) eines Zugangsnetzes (ASN). Auch hier
kann ein Gateway (ASN-GW) eingerichtet sein. Von diesem kann die Verbindung
weiter über
Zwischennetze zu den Heimnetzen sowohl der mobilen Station (MS-GW) als auch der
mobilen Endgeräte
(ME) verlaufen. Insbesondere können
diese Heimnetze verschieden sein, so dass beliebige Subskriptionen
für die
mobilen Endgeräte
möglich
sind.
Anstatt
eines großreichweitigen
WiMAX-Netzes kann die mobile Station aber auch serverseitig in einem
WLAN-Netz eingesetzt werden. Bei WiMAX-Netzen tritt der Vorteil
der Erfindung aber deutlicher hervor: mobile Verkehrsmittel können die
Gatewaymobile Station (MS-GW) mit sich führen. Verkehrsteilnehmer, die
dieses Verkehrsmittel besteigen, können sich dabei frei anmelden
mit ihrem mobilen Endgerät
(ME) bei ihrem Heimnetz (HN2) – und zwar über die
Gateway-mobile Station (MS-GW). Beispiele für solche Verkehrsmittel sind
Taxis, Busse, Bahnen, Flugzeuge, Schiffe etc. Bei Reichweiten bei WiMAX
von weniger als 1 km bei dichter Bebauung kann eine gute Netzabdeckung
erforderlich sein.
Weil
die Gateway-mobile Station (MS-GW) die PMIP-Funktionalität beisteuert,
brauchen die Endgeräte
nicht Mobile IP installiert zu haben. Die Gateway-mobile Station
(MS-GW) tritt nämlich
als Client bei der Mobile-IP-Verbindung anstelle des mobilen Endgerätes bei
der Kommunikation mit einem Heimagenten (HA) des mit dem Zugangsnetz
(ASN) verbundenen Zwischennetzes (CSN) auf.
Ein
wesentliches Ziel ist es also, eine sichere Unterstützung mobiler
Endgeräte
(ME), die nicht direkt mit dem WiMAX-Zugangs-Netz kommunizieren sondern über eine
drahtlose Technologie wie WLAN IEEE 802.11 oder WiMAX IEEE 802.16
oder über eine
drahtgebundene Technologie wie Ethernet IEEE 802.3 mit der WiMAX-fähigen Gateway-MS
verbunden sind, im Rahmen der WiMAX-Architektur für den Zugang
zum WiMAX-Netz zu gewährleisten.
Eine
wichtige Komponente stellt dabei das Schlüsselmanagement dar. Für die Kommunikation der
mobilen Endgeräte
(ME) mit ihren jeweiligen Heimagenten (HA) ist ein gesonderter Schlüssel (PMIP-key)
eingerichtet, mit dem die mobile Station (MS-GW) die entsprechenden
Nachrichten sichert. Weiterhin ist ein gesonderter Schlüssel (GW-AAA-key)
eingerichtet, mit dem die mobile Station (MS-GW) den Nachrichtenaustausch
mit einem Proxy-Authentikationsserver (AAA-P) im Zugangsnetz (ASN)
sichert. Ausgestaltungen der Erfindungen zufolge sind verschiedene
Varianten denkbar, wie diese Schlüssel (PMIP-key, GW-AAA-key) in der als Gateway
verwendeten mobilen Station (MS-GW)
erzeugt bzw. hinterlegt werden.
Eine
erste Ausführungsform
sieht vor, diesen (ersten) Schlüssel
(PMIP-key) aus einem bereits vorhandenen (zweiten) Schlüssel (CMIP-key)
abzuleiten. Ein solcher liegt beispielsweise vor, wenn die als Gateway
eingesetzte mobile Station (MS-GW) zum Zweck der eigenen Mobilität selbst
ein endgerätebasiertes
Mobilitätsmanagement
(CMIP) betreibt. Der zweite Schlüssel
(CMIP-key) wird bei der Registrierung der mobilen Station (MS-GW)
gegenüber
ihrem Authentikationsserver (AAA-MS)
erzeugt bzw. bei der EAP-basierten Authentikation erzeugt, oder
ist vorkonfiguriert.
Ein
solcher zweiter Schlüssel
kann auch als Schlüsselinformation
(MSK) vom Authentikationsserver übermittelt
sein, um die Luftschnittstelle bei WiMAX oder WLAN vor Angriffen
Dritter zu schützen. Dann
wird der erste Schlüssel
(PMIP-key, GW-AAA-key)
aus dieser Schlüsselinformation
abgeleitet.
Eine
weitere Ausführungsform
sieht vor, den ersten Schlüssel
(PMIP-key, GW-AAA-key) als solchen in der mobilen Station vorzukonfigurieren.
Vorkonfigurieren bedeutet hier, dass er vor Verfahrensschritten
der Authentikation, Adresszuweisung, Registrierung etc. bereits
in der als Gateway verwendeten mobilen Station (MS-GW) vorliegt.
Die
Sicherheitsbeziehung zwischen einer nicht als Gateway verwendeten
mobilen Station und einem Proxy-Authentikationsserver
(AAA-P) wurde bisher ohne das Vorhandensein eines automatisierten
Mechanismus für
eine Schlüsselverteilung üblicherweise
statisch vorkonfiguriert. Insofern stellen insbesondere die genannten
Varianten einer dynamischen Übertragung
bzw. Ableitung des ersten Schlüssels
(PMIP-key, GW-AAA-key)
aus vorhandenen oder übertragenen
Schlüsseln
(MSK, CMIP-key, etc.) vorteilhafte Ausführungsformen dar, weil der Aufwand
für das
Vorkonfigurieren erheblich reduziert ist.
Grundsätzlich muss,
da immer zwei Parteien kommunizieren, der erste Schlüssel (im
Fall des PMIP-keys) nicht nur in der mobilen Station (MS-GW) sondern
auch im Authentikationsserver (AAA-MS) vorhanden sein. Im Fall der
Vorkonfiguration ist es aber auch möglich, den Schlüssel (PMIP-key)
direkt im zuständigen
Mobile IP Heimagenten (HA) zu hinterlegen – an Stelle des Authentikationsservers (AAA-MS),
wenn dieser Schlüssel
(PMIP-key) eindeutig ist und nicht dynamisch zugewiesen wird für die MS.
Im
Fall des Authentikationsschlüssels (GW-AAA-key)
wird, weil der zuständige
Proxy-Authentikationserver (AAA-P) gemäß der Erfindung bereits im
Zugangsnetz (ASN) angelegt ist, dieser Schlüssel entsprechend beim Foreign
Agent (FA) alternativ zu dem Proxy-Authentikationserver (AAA-P) hinterlegt.
Eine
weitere Ausführungsform
sieht vor, ein vereinfachtes Schlüsselmanagement dahingehend einzurichten,
dass für
viele oder alle im Endgerätenetz
(EN) bei der mobilen Station (MS-GW) angemeldeten mobilen Endgeräte (ME)
der gleiche erste Schlüssel
(PMIP-key, GW-AAA-key) bei der Kommunikation mit dem Heimagenten
(HA) verwendet wird.
Um
die Authentikation eines mobilen Endgerätes mittels EAP-basiertem Protokoll
gegenüber dem
jeweiligen Heimnetz (HN2) der ME zu ermöglichen, sobald sich das mobile
Endgerät über eine
mobile Station (MS-GW) mit dem WiMAX-Netz (ASN) verbindet, ist die
als Authentikator agierende mobile Station (MS-GW) in der Lage, den Authentikationsserver
(AAA-ME) des jeweiligen Heimatnetzes (HN2) des mobilen Endgerätes aufzufinden
können.
Den
mobilen Endgeräten
müssen
zur verbesserten Kommunikation IP-Adressen zugewiesen werden. Eine
Zuweisung von IP-Adressen für
die mobilen Endgeräte
(ME) ist im Rahmen der Erfindung vorgesehen. Dies kann beispielsweise
durch eine sog. DHCP-Relay-Funktionalität in der
als Gateway verwendeten mobilen Station (MS-GW) erfolgen.
Es
ist anzumerken, dass der Heimagent (HA) im besuchten Zwischennetz
(CSN) oder im Heimnetz (HN1) angelegt sein kann, je nachdem, wo
sich die mobile Station befindet. Bei dem Heimnetz kann es sich
auch um ein Netz vom Typ „CSN" (Connectivity Serving
Network) handeln.
Die
Erfindung soll nun anhand von Ausführungsbeispielen mit Hilfe
von Zeichnungen näher
erläutert
werden. Darin zeigen:
1 eine
Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP)
gemäß dem Stand
der Technik;
2 den
Verbindungsaufbau in einer Netzstruktur nach 1 mit PMIP;
3 eine
Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP)
gemäß einem
Beispiel gemäß der Erfindung;
4 einen
Ausschnitt aus dem Verbindungsaufbau mit Authentikationsschritten
des Gateways und einer ME gemäß einem
Ausführungsbeispiel
der Erfindung.
1 zeigt
ein Beispiel einer Netzstruktur bzw. eines Systems von miteinander
kommunizierenden WiMAX- oder WLAN-Netzen gemäß dem Stand der Technik. Die
Kommunikation in dem dargestellten System unterliegt einem netzbasierten
Mobilitätsmanagement
(PMIP).
Das
mobile Endgerät
(ME) 1 ist über
eine drahtlose WiMAX- oder
WLAN-Schnittstelle 2 mit einer Basisstation (BS) 3 eines
Zugangsnetzes (ASN) 4 verbunden. Bei dem mobilen Endgerät 1 handelt
es sich um ein beliebiges mobiles Endgerät, beispielsweise einen Laptop,
einen PDA, ein Mobiltelefon, oder ein sonstiges mobiles Endgerät. Es erfüllt keine Gateway-Funktion, sondern
ist wortsinngemäß ein Endgerät.
Die
Basisstation (BS) 3 des Zugangsnetzes (ASN) 4 ist über eine
Datenübertragungsleitung 5 mit einem
Gateway (ASN-GW) 6 des Zugangsnetzes 4 verbunden.
In dem Rechner des Gateways 6 sind weitere Funktionen integriert,
insbesondere ein Fremdagent (FA) 6A, ein PMIP-Client 6B,
ein Authentikations-Client (AAA-CLIENT) 6C und ein DHCP-Proxy-Server 6D.
Der Fremdagent 6A ist ein Router, der Routing-Dienste für das mobile
Endgerät 1 zur
Verfügung
stellt. Die an das mobile Endgerät 1 gerichteten
Datenpakete werden von einem Heimagenten (HA) getunnelt übertragen
und von dem Fremdagenten (FA) 6A entpackt.
Das
Gateway 6 des Zugangsnetzes 4 ist über eine
Schnittstelle 7 mit einem Rechner 8 eines Zwischennetzes
(CSN) 9 verbunden. Der Rechner 8 umfasst einen
DHCP-Server 8A, einen Heimagenten (HA) 8B und
einen Proxy-Authentikationsserver (AAA-P) 8C. Der Heimagent 8B ist
Stellvertreter des mobilen Endgerätes 1, wenn dieses
sich nicht in seinem ursprünglichen
Heimnetz 12 (HN1) befindet. Der Heimagent 8B ist
ständig über den
aktuellen Aufenthaltsort des mobilen Rechners 1 informiert.
Datenpakete für
das mobile Endgerät 1 werden
zunächst
an dem Heim agenten (HA) übertragen
und von dem Heimagenten (HA) aus getunnelt an den Fremdagenten (FA) 6A weitergeleitet.
Umgekehrt
können
Datenpakete, die von dem mobilen Endgerät 1 ausgesendet werden,
direkt an den jeweiligen Kommunikationspartner gesendet werden.
Die Datenpakete des mobilen Endgerätes 1 enthalten dabei
die Heimadresse als Absenderadresse. Die Heimadresse hat dasselbe
Adresspräfix,
d.h. Netzadresse und Subnetzadresse, wie der Heimagent 8B.
Datenpakete, die von anderen Kommunikationspartnern an die Heimadresse
des mobilen Endgerätes 1 gesendet
werden, werden von dem Heimagenten 8B abgefangen. Der Heimagenten 8B verpackt
diese Daten und überträgt sie getunnelt
an die Care-of-Adresse des mobilen Endgerätes 1 im Bereich des
Zugangsnetzes. An dem Endpunkt des Tunnels werden sie durch den
Fremdagenten 6A oder das mobile Endgerät 1 selbst empfangen.
Der
Rechner 8 des Zwischennetzes 9 ist über eine
weitere Schnittstelle 10 mit einem Authentikationsserver
(AAA-SERVER) 11 eines Heimnetzes 12 des mobilen
Endgerätes 1 verbunden.
2 zeigt
den beispielhaften Ablauf einer Netzanmeldung des mobilen Endgerätes (ME),
wenn sich der Heimagent (HA) in dem besuchten Netzwerk befindet
wie es in 1 dargestellt ist.
Nachdem
eine Funkverbindung zwischen dem mobilen Endgerät (ME) der Basisstation (BS) hergestellt
ist, erfolgt zunächst
eine Zugangsauthentikation. Die Authentikation, die Autorisation
und das Accounting erfolgt anhand von Authentikationsservern. Zwischen
dem mobilen Endgerät
(ME) und dem Authentikationsserver (AAA-SERVER) des Heimnetzes (HN)
werden Authentisierungsnachrichten ausgetauscht. Anhand dieses Nachrichtenaustauschs werden
die Adresse des Heimagenten (HA) und ein Authentisierungsschlüssel gewonnen.
Der
Authentikationsserver (AAA-SERVER) im Heimnetz (HN) hält die Profildaten
des Teilnehmers. Der Authentikationsserver erhält zunächst eine Authentisierungsanfrage,
die eine Teilnehmeridentität
des mobilen Endgerätes
(ME) umfasst. Nach erfolgreicher Zugangsauthentisierung erzeugt
der Authentikationsserver dann einen MSK-Schlüssel (MSK: Master Session Key,
in 2) zum Schutz der Datenübertragungsstrecke zwischen
dem mobilen Endgerät
MS und der Basisstation des Zugangsnetzwerkes ASN. Der MSK-Schlüssel wird
von dem Authentikationsserver des Heimnetzes (HN) über das Zwischennetz
(CSN) an das Zugangsnetzwerk (ASN) übertragen.
Beim
netzbasierten Mobilitätsmanagement (PMIP)
unterstützt
das mobile Endgerät
(ME) Mobile-IP nicht. Es kann zum Beispiel eine entsprechende MIP-Software
in dem mobilen Endgerät
nicht aktiviert oder installiert sein.
Das
Gateway 6 stellt den Authentikator und den PMIP-Client
für das
mobile Endgerät
(ME), und übernimmt
damit dessen Mobile-IP-Kommunikation.
Es
wird in einer Antwortnachricht vom Authentikationsserver eine Adresse
des zuständigen DHCP-Servers,
ein für
die Kommunikation mit Authentikationsserver abgeleiteter Schlüssel (AAA-key) und
die Adresse des zuständigen
Heimagenten (HA) an den PMIP-Client 6B übermittelt. In einem weiteren Schritt
wird der DHCP-Proxy 6D anhand dieser Daten konfiguriert.
Beim
Proxy-Mobile-IP erkennt das mobile Endgerät (ME) nur eine der beiden
vom DHCP-Server zugewiesenen IP-Adressen. Nur die vom DHCP-Server
zugewiesene Care-of-Adresse ist dem mobilen Endgerät bekannt,
die Heimadresse ist nicht dem mobilen Endgerät selbst, sondern nur dem PMIP-Client,
dem Fremdagenten sowie dem Heimagenten bekannt. Im Fall endgerätebasierten
Mobilitätsmanagements
(CMIP) würde
das mobile Endgerät 1 seine
beiden IP-Adressen, die Heimadresse wie auch die Care-of-Adresse kennen.
Nach
erfolgreicher Authentisierung und Autorisierung sendet das mobile
Endgerät
MS eine sog. DHCP Discovery Nachricht. Es erfolgt nun ein Dialog mit
einer IP-Adressenzuweisung zwischen mobilem Endgerät (ME),
DHCP-Proxy und DHCP-Server.
Nach
der IP-Adressenzuweisung erfolgt eine MIP-Registrierung, wobei der
Heimagent über
den aktuellen Standort des mobilen Endgerätes informiert wird. Zu seiner
Registrierung sendet der das mobile Endgerät repräsentierende PMIP-Client eine
Registrierungsanforderung (Registration Request) an den Heimagenten
(HA), die die aktuelle Care-of-Adresse enthält. Der Heimagent nimmt die
Care-of-Adresse entgegen und antwortet mit einer Registrierungsantwort
(Registration Reply).
Da
prinzipiell jeder Rechner an einen Heimagenten eine Registrierungsanforderung
schicken kann, könnte
auf einfache Weise einem Heimagenten vorgespielt werden, ein Rechner
bzw. ein mobiles Endgerät
habe sich in ein anderes Netzwerk bewegt. Um dies zu verhindern,
verfügt
sowohl das mobile Endgerät
als auch der Heimagent über
einen gemeinsamen geheimen Schlüssel
(PMIP-key), den PMIP-Schlüssel
bzw. Mobilitätsschlüssel, der
sich vom Authentikationsschlüssel
(AAA-key) unterscheidet.
Die
Registrierungsanforderung wird von einem PMIP-Client innerhalb des
Zugangsnetzes über einen
Fremdagenten (FA) an den Heimagenten (HA) übertragen. Der Heimagent (HA)
lässt sich
von dem zugehörigen
Authentikationsserver (AAA-SERVER) den Schlüssel für den Teilnehmer zuweisen und überträgt diesen
mit der MIP-Registrierungsantwort über den Heimagenten (HA) an
den PMIP-Client.
Beim
netzbasierten Mobilitätsmanagement (PMIP)
kann also ein gemeinsamer Mobilitätsschlüssel (PMIP-key) über den
PMIP-Client 6B und
den Heimagenten (HA) durch einen Authentisierungsserver (AAA) erzeugt
werden.