DE102006015033A1 - Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte - Google Patents

Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte Download PDF

Info

Publication number
DE102006015033A1
DE102006015033A1 DE102006015033A DE102006015033A DE102006015033A1 DE 102006015033 A1 DE102006015033 A1 DE 102006015033A1 DE 102006015033 A DE102006015033 A DE 102006015033A DE 102006015033 A DE102006015033 A DE 102006015033A DE 102006015033 A1 DE102006015033 A1 DE 102006015033A1
Authority
DE
Germany
Prior art keywords
mobile station
network
key
mobile
aaa
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102006015033A
Other languages
English (en)
Other versions
DE102006015033B4 (de
Inventor
Dirk Kröselberg
Maximilian Riegel
Hannes Tschofenig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102006015033.3A priority Critical patent/DE102006015033B4/de
Priority to PCT/EP2006/069389 priority patent/WO2007068640A1/de
Priority to US12/097,747 priority patent/US8036191B2/en
Priority to CN2006800474035A priority patent/CN101375563B/zh
Priority to EP06819918A priority patent/EP1961168A1/de
Publication of DE102006015033A1 publication Critical patent/DE102006015033A1/de
Application granted granted Critical
Publication of DE102006015033B4 publication Critical patent/DE102006015033B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Mobile Station (MS-GW), welche als Gateway für ein oder mehrere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobilen Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen, wobei die mobile Station (MS-GW) ein netzbasiertes Mobilitätsmanagement (PMIP) unterstützt, so dass die mobile Station (MS-GW) im Rahmen einer Mobile-IP-Verbindung als Client anstelle der mobilen Endgeräte (ME) bei der Kommunikation mit einem Heimagenten (HA) eines mit dem Zugangsnetz (ASN) verbundenen Heim- oder Zwischennetzes (V-CSN, HN1) auftritt.

Description

  • Die Erfindung betrifft eine mobile Station (MS-GW), welche als Gateway für ein oder mehrere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobilen Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen. Die Erfindung betrifft insbesondere auch solche mobilen Stationen, die drahtlos mit Zugangsnetzen (ASN) kommunizieren, wie beispielsweise bei WiMAX-Netzen.
  • Netze, die mobilen Endgeräten wie Laptops, PDAs, etc. Zugang etwa zum Internet verschaffen sollen, unterliegen besonderen Anforderungen bezüglich des Mobilitätsmanagements. Das herkömmliche Internet-Protokoll ist ursprünglich nicht für den mobilen Einsatz konzipiert worden. Bei stationären Rechnern, die Daten bzw. Pakete austauschen, kann grundsätzlich eine für die Zeitdauer der Verbindung feste IP-Adresse zugeordnet werden. Wandern diese Rechner zwischen verschiedenen Subnetzen, so kann gemäß dem herkömmlichen IP-Standard die Verbindung nicht mehr aufrechterhalten werden. Auch ist eine Änderung er Netzwerkadresse selbst in einer laufenden Verbindung nicht vorgesehen, bzw. es resultiert ein Abbruch der Verbindung.
  • Das DHCP (Dynamik Host Konfiguration Protocol) ermöglicht anhand eines dedizierten Servers die dynamische Zuweisung einer IP-Adresse und weiterer Konfigurationsparameter an ein Endgerät oder eine Station in einem Netzwerk. Ein solches Gerät bekommt, sobald es in ein Netzwerk eingebunden wird, automatisch eine (noch freie) IP-Adresse durch das DHCP-Protokoll zugewiesen. Ist bei einem mobilen Endgerät DHCP installiert, so braucht es lediglich in den Bereich eines lokalen Netzwerkes kommen, das die Konfiguration über das DHCP-Protokoll unterstützt. Bei dem DHCP-Protokoll ist eine dynamische Adress vergabe möglich, d.h. eine freie IP-Adresse wird automatisch für eine bestimmte Zeit zugeteilt. Nach Ablauf dieser Zeit muss die Anfrage durch den mobilen Rechner entweder erneut gestellt werden oder die IP-Adresse kann anderweitig vergeben werden.
  • Mit DHCP kann ein mobiles Endgerät ohne manuelle Konfiguration in ein Netzwerk eingebunden werden. Als Voraussetzung muss lediglich der DHCP-Server zur Verfügung stehen. Das mobile Endgerät kann auf diese Weise Dienste des lokalen Netzwerkes nutzen. Bietet ein mobiles Endgerät bzw. eine mobile Station jedoch selbst Dienste an, kann ein potentieller Dienstnutzer dieses Gerät nicht in geeigneter Weise adressieren, da sich dessen IP-Adresse in jedem Netzwerk, in das es eingebunden wird, ändert.
  • Trotz DHCP werden daher die Anforderungen an Mobilität durch das herkömmliche Internet-Protokoll (IP) nicht erfüllt. Es wurde daher ein besonderes Protokoll, Mobile IP (MIP) geschaffen, das den gesonderten Anforderungen Rechnung trägt. Bei Mobile-IP erhält ein mobiles Endgerät bzw. eine mobile Station eine IP-Adresse, die es auch bei Aufenthalt in einem anderen Netzwerk beibehält.
  • Bei herkömmlichem IP wäre es dabei notwendig, die IP Adressen-Einstellungen für die beteiligten Router entsprechend anzupassen. Eine ständige Anpassung von IP- und Routing-Konfigurationen auf dem Endgerät ist aber nicht praktikabel. Das MIP-Protokoll (RFC 2002, RFC 2977, RFC3344, RFC3846, RFC3957, RFC3775, RFC3776, RFC4285) unterstützt dagegen die Mobilität von mobilen Endgeräten, indem es ihm zwei IP-Adressen zuweist, nämlich eine permanente Home-Adresse und eine zweite, temporäre Care-Of-Adresse. Die Care-Of-Adresse ist die IP-Adresse, unter der das mobile Endgerät aktuell – z.B. in einem von ihm besuchten Netz – erreichbar ist. Die Vermittlung von Informationen, die an die permanent verfügbare Heimadresse gerichtet sind, zum mobilen Endgerät wird durch Heim- und Fremdagenten bewerkstelligt.
  • Der Heimagent (Home Agent) ist ein Stellvertreter des mobilen Endgerätes, solange sich das mobile Endgerät nicht in dem ursprünglichen Heimnetz aufhält. Der Heimagent ist ständig über den aktuellen Aufenthaltsort des mobilen Rechners informiert. Der Heimagent stellt üblicherweise eine Komponente eines Routers im Heimnetz (oder einem Zwischennetz) des mobilen Endgerätes dar. Wenn das mobile Endgerät sich außerhalb des Heimnetzes befindet, stellt der Heimagent eine Funktion bereit, damit sich das mobile Endgerät anmelden kann. Danach leitet der Heimagent die an das mobile Endgerät adressierten Datenpakete in das aktuelle Netz des mobilen Endgerätes weiter.
  • Ein Fremdagent (Foreign Agent) befindet sich in demjenigen Netz, in dem sich das mobile Endgerät bewegt. Der Fremdagent leitet eingehende Datenpakete an das mobile Endgerät bzw. an den mobilen Rechner weiter. Der Fremdagent stellt dabei ebenfalls üblicherweise eine Komponente eines Routers dar und routet administrative Mobile-Datenpakete zwischen dem mobilen Endgerät und dessen Heimagenten. Der Fremdagent entpackt die von dem Heimagent gesendeten, getunnelten IP-Datenpakete und leitet deren Daten an das mobile Endgerät weiter.
  • Damit ein mobiles Endgerät in ein Netz eingebunden werden kann, muss es zunächst in Erfahrung bringen, ob es sich in seinem Heim- oder einem Fremdnetz befindet. Zusätzlich muss das mobile Endgerät in Erfahrung bringen, welche Station in dem (ggf. besuchten) Netz der Heim- bzw. der Fremdagent ist. Diese Informationen werden durch ein Agent Discovery ermittelt.
  • Durch eine Registrierung kann das mobile Endgerät seinen aktuellen Standort seinem Heimagenten (HA) mitteilen. Hierzu sendet das mobile Endgerät dem Heimagenten die aktuelle Care-Of-Adresse zu – im Rahmen einer Registrierungsanforderung an den Heimagenten. Der Heimagent (HA) antwortet mit einer Registrierungsantwort.
  • Die Registrierung wird abgesichert durch eine vorab durchgeführte Authentikation. Das mobile Endgerät und der Heimagent verfügen danach über z.B. gemeinsame geheime Schlüssel. Die Aufgabe der Authentikation wird durch einen dem Heimagenten im Heimnetz (Home Connectivity Serving Network) des mobilen Endgerätes zugeordneten Authentikationsserver übernommen, auch AAA-Server genannt (AAA: Authentication, Authorization and Accounting). Befindet sich der Heimagent in einem besuchten Zwischennetz (visited Connectivity Serving Network, CSN) so wird ihm in diesem Netz ein Proxy-Authentikationsserver zur Seite gestellt. Der Heimagent und der Authentikationsserver bzw. dessen Proxy können Module auf ein und demselben Rechner sein.
  • Mobile Datennetze werden in der Regel durch Funkverbindungen realisiert. Es müssen dann die Nachrichten längere Strecken über Luftschnittstellen zurücklegen und sind somit für potentielle Angreifer leicht erreichbar. Bei mobilen und drahtlosen Datennetzen spielen daher Sicherheitsaspekte eine besondere Rolle. Ein mobiles Endgerät besitzt als ersten Anlaufpunkt in einem besuchten Netz daher meist ein Zugangsnetz (Access Serving Network, ASN), das die Basisstation für die drahtlose Übertragung umfasst. Neben der Vereinbarung von Schlüsseln für die Kommunikation mit den Authentikationsservern und den Heimagenten sind daher auch weitere Schlüssel für die Funkdatenübertragung erforderlich.
  • Neben der bekannten WLAN-Technik (Wireless Local Area Network, Standard IEEE 802.11) ist als drahtloser Zugang für mobile Endgeräte in jüngerer Vergangenheit eine viel versprechende drahtlose Zugangstechnologie bekannt geworden, die auch größere Reichweiten von bis zu 30 km oder mehr (Sichtlinie) bei hohen Datendurchsätzen von 75 Mb/s erreicht: WiMAX (Worldwide Interoperability for Microwave Access). WLAN erreicht aufgrund der begrenzten Sendeleistung bei 100 m Abstand (direkte Sichtlinie) 54 Mb/s. Während mit WLAN daher gerade einmal Hotspots innerhalb von Gebäuden realisierbar sind, können bei WiMAX ganze Stadteile als Metrospots ausge wiesen werden (etwa 800-1000 m Radius). Drei Frequenzbänder um 2.6 GHz, 3.5 GHz und 5.8 GHz mit Breiten von 100-200 MHz sind für WiMAX vorgesehen.
  • WiMAX unterstützt zwei Varianten von Mobile IP, mit denen ein Makro-Mobilitätsmanagement ermöglicht wird: Proxy-Mobile IP und Client-Mobile IP (basierend auf Mobile IPv4 oder v6).
  • Beim Client-MIP (CMIP) verfügt das mobile Endgerät bzw. die mobile Station für Mobile-IP-Funktionalität. Insbesondere ist das Endgerät oder die Station mit eigener IP-Adresse und derjenigen seines/ihres Heimagenten versehen und besitzt entsprechende Schlüssel für die Kommunikation. Das Endgerät bzw. die Station verfügt dann über ein so genanntes endgerätebasiertes Mobilitätsmanagement.
  • Beim Proxy-MIP (PMIP) ist die MIP-Client-Funktionalität durch das WiMAX-Zugangsnetz (WiMAX-ASN) anstatt durch das mobile Endgerät selbst realisiert. Die im Zugangsnetz (ASN) vorgesehene Funktionalität wird als Proxy Mobile Node (PMN) oder als PMIP-Client bezeichnet. Bei dieser Konfiguration kann auch ein solches Endgerät Zugang zu Zwischen- und Heimnetzen finden, dass Mobile-IP gerade nicht unterstützt. Der PMIP-Client übernimmt die MIP-Signalisierung stellvertretend für den eigentlichen Client, dem mobilen Endgerät. Das mobile Endgerät zieht dann Nutzen aus einem so genannten netz-basierten Mobilitätsmanagement, das ihm der PMIP-Client zur Verfügung stellt.
  • Als Mobilitätsmanagement bzw. Makro-Mobilitätsmanagement (Makro-MM) wird hier die Verfahrensweise bei der Übergabe einer mobilen Station oder eines mobilen Endgerätes bezeichnet, das zwischen zwei Zugangsnetzen (ASN) bzw. zwischen Netzen zweier Netzanbieter (NAP, Network Access Provider) wechselt. Makro-MM wird bei WiMAX auch als R3-Mobility oder Inter-ASN-Mobility bezeichnet.
  • In beiden Fällen muss auf der Gegenseite vom mobilen Endgerät oder CMIP-/PMIP-Client das Heimnetz-CSN (HN), d.h., der Service-Provider der Benutzers ebenfalls Mobile IP unterstützen, um die Kommunikation zu ermöglichen. So fragt etwa bei einer der Authentikation folgenden Registrierung der Heimagent (HA) bei dem Authentikationsserver (AAA-MS) der mobilen Station (MS) Sicherheitsparameter ab. Diese Parameter werden benötigt, damit sich nur ein berechtigter Client beim Heimagenten (HA) registrieren kann.
  • Ferner wird gemäß Mobile IP dem CMIP- oder PMIP-Client die Adresse des Heimagenten (HA) zugewiesen. Der Heimagent (HA) kann sich dabei im Heimnetz (HN) oder auch im besuchten Zwischennetz (CSN) befinden. Diese Grundfunktionalitäten müssen gewahrt bleiben.
  • Proxy-Mobile-IP unterstützt die Mobilität nicht MIP-fähiger mobiler Endgeräte (ME). Der entsprechende PMIP-Client befindet sich dabei in einem Gateway (GW), welches im Zugangsnetz (ASN) positioniert ist, mit dem die mobilen Endgeräte (ME) drahtlos über eine Basisstation (BS) kommunizieren.
  • Sollen nun aber die mobilen Endgeräte jeweils anderen Netzbetreibern (NAP) zugeordnet sein (unterschiedliche Subskriptionen beim Roaming), so entsteht demjenigen Netzbetreiber, der das Gateway im Zugangsnetz betreibt, ein nicht unerheblicher Aufwand um diese erweiterte Funktionalität im PMIP-Client in dem Gateway des Zugangsnetzes abzubilden. Er muss dann nämlich dort auch die für die Netzanmeldung erforderliche AAA-Infrastruktur im Zugangsnetz ASN bereitstellen.
  • Im Fall von WLAN-Netzen werden DSL-Gateways oftmals im Heimbereich und nicht auf Seite eines Netzanbieters eingesetzt. Hinter solchen Gateways sind – vom Netzanbieter aus gesehen – mobile Endgeräte erreichbar. In diesem Fall ist nur die Subskription mit dem einen Netzanbieter selbst möglich, der das Gateway vermittelt hat. Die mobilen Endgeräte besitzen keine Subskription.
  • In öffentlichen WLAN-Netzen, etwa Hotspots als drahtlose Hotelnetze etc., sind dagegen durchaus Subskriptionen mit anderen Netzanbietern vorgesehen. Voraussetzung ist lediglich, dass der Hotspot-Anbieter einen Vertrag mit dem dritten Netzanbieter geschlossen hat und demgemäß Verbindungen für die mobilen Endgeräte in dem Hotspot herstellt.
  • Zwar ist für den Zugang eine EAP-basierte Authentikation (EAP: Extensible Authentication Protocol, RFC 3748) sowohl für das Gateway als auch für die Endgeräte vorgesehen, wenn das Gateway eine Authentikator-Funktionalität zur Verfügung stellt. Aber das Gateway besitzt hier keine Funktionalität zur Ermittlung des jeweiligen Heimnetzes der mobilen Endgeräte.
  • Dazu müsste das Gateway nämlich wenigstens im Besitz der IP-Adresse und eines gemeinsamen Schlüssels mit dem jeweils zuständigen Authentikationsserver des Heimnetzes eines mobilen Endgerätes sein.
  • Ferner besitzen bei diesen WLAN-Szenarien die mobilen Endgeräte wie auch das Gateway selbst keinerlei Mobilität, sie sind beispielsweise auf den Standort des Hotels angewiesen.
    •
  • Es besteht daher das Erfordernis, nicht MIP-fähigen Endgeräten einen sicheren Zugang zu ihren jeweiligen Heimnetzen zu gewähren und gleichzeitig deren Mobilität zu gewährleisten, dabei aber den Aufwand für die Umsetzung des damit verbundenen Mobilitätsmanagement zu gering zu halten.
  • Diese Anforderungen werden durch eine mobile Station mit den Merkmalen des Anspruchs 1 erfüllt, wobei die mobile Station selbst als Gateway eingesetzt ist. Eine Endgerätenetz aus mobilen Endgeräten und der als Gateway eingesetzten mobilen Station ist im Anspruch 14 angegeben. Ein System von Netzen, das das Endgerätenetz, ein Zugangsnetz, ein Zwischennetz und wenigstens ein Heimnetz für eines der mobile Endgeräte und ein weiteres Heimnetz für die mobile Gateway-Station umfasst, ist im Anspruch 16 angegeben.
  • Die entsprechende Aufgabe wird ferner gelöst durch ein Verfahren mit den Merkmalen gemäß Anspruch 18. Vorteilhafte Ausgestaltungen sind jeweils den unabhängigen Ansprüchen zu entnehmen.
  • Es wird vorgeschlagen, den PMIP-Client, welcher ein netzbasiertes Mobilitätsmanagement ermöglicht, einer mobilen Station (MS-GW) zuzuordnen, welche als Gateway für ein oder mehrere mobile Endgeräte (ME) eingerichtet ist. Gegenüber der bekannten Variante von Proxy-Mobile-IP wird die PMIP-Client-Funktionalität demnach vom Gateway im Zugangsnetz (ASN) in den Bereich der mobilen Endgeräte (ME) verschoben.
  • Die Begriffe mobile Station und mobiles Endgerät für sich genommen können grundsätzlich auch gleiche Typen von Rechnern bezeichnen. Jedoch besitzt die mobile Station hier die Eigenschaft, als Gateway eingerichtet zu sein. Sie besitzt daher zusätzliche, über die mobilen Endgeräte hinausgehende Merkmale wie auf logischer Seite etwa Adresstabellen der in dem Endgerätenetz angemeldeten Endgeräte, und auf physikalischer Seite z.B. Netzwerkkarte für Netzwerkkabelanschluss und/oder Sende-/Empfangsvorrichtung für drahtlose Funkwellen. Das Endgerätenetz wird durch die Infrastruktur der als Gateway verwendeten mobilen Station (MS-GW) bestimmt. Das Gateway besitzt jedenfalls zwei Datenein-/ausgänge, um Verbindungen zwischen Netzen und/oder einzelnen Peers herstellen zu können.
  • Gemäß Ausführungsformen kommunizieren die mobilen Endgeräte mit der Gateway-mobilen Station (MS-GW) drahtlos oder drahtgebunden. Beispiele sind ein lokales WLAN-Netz oder ein Ethernet-Kabelnetz.
  • Mit besonderem Vorteil kann die Erfindung in WiMAX-Netzen eingesetzt werden. Die Gateway-mobile Station kommuniziert dann auf ihrer Ausgangsseite – von den mobilen Endgeräten aus gesehen – drahtlos mit einer Basisstation (BS) eines Zugangsnetzes (ASN). Auch hier kann ein Gateway (ASN-GW) eingerichtet sein. Von diesem kann die Verbindung weiter über Zwischennetze zu den Heimnetzen sowohl der mobilen Station (MS-GW) als auch der mobilen Endgeräte (ME) verlaufen. Insbesondere können diese Heimnetze verschieden sein, so dass beliebige Subskriptionen für die mobilen Endgeräte möglich sind.
  • Anstatt eines großreichweitigen WiMAX-Netzes kann die mobile Station aber auch serverseitig in einem WLAN-Netz eingesetzt werden. Bei WiMAX-Netzen tritt der Vorteil der Erfindung aber deutlicher hervor: mobile Verkehrsmittel können die Gatewaymobile Station (MS-GW) mit sich führen. Verkehrsteilnehmer, die dieses Verkehrsmittel besteigen, können sich dabei frei anmelden mit ihrem mobilen Endgerät (ME) bei ihrem Heimnetz (HN2) – und zwar über die Gateway-mobile Station (MS-GW). Beispiele für solche Verkehrsmittel sind Taxis, Busse, Bahnen, Flugzeuge, Schiffe etc. Bei Reichweiten bei WiMAX von weniger als 1 km bei dichter Bebauung kann eine gute Netzabdeckung erforderlich sein.
  • Weil die Gateway-mobile Station (MS-GW) die PMIP-Funktionalität beisteuert, brauchen die Endgeräte nicht Mobile IP installiert zu haben. Die Gateway-mobile Station (MS-GW) tritt nämlich als Client bei der Mobile-IP-Verbindung anstelle des mobilen Endgerätes bei der Kommunikation mit einem Heimagenten (HA) des mit dem Zugangsnetz (ASN) verbundenen Zwischennetzes (CSN) auf.
  • Ein wesentliches Ziel ist es also, eine sichere Unterstützung mobiler Endgeräte (ME), die nicht direkt mit dem WiMAX-Zugangs-Netz kommunizieren sondern über eine drahtlose Technologie wie WLAN IEEE 802.11 oder WiMAX IEEE 802.16 oder über eine drahtgebundene Technologie wie Ethernet IEEE 802.3 mit der WiMAX-fähigen Gateway-MS verbunden sind, im Rahmen der WiMAX-Architektur für den Zugang zum WiMAX-Netz zu gewährleisten.
  • Eine wichtige Komponente stellt dabei das Schlüsselmanagement dar. Für die Kommunikation der mobilen Endgeräte (ME) mit ihren jeweiligen Heimagenten (HA) ist ein gesonderter Schlüssel (PMIP-key) eingerichtet, mit dem die mobile Station (MS-GW) die entsprechenden Nachrichten sichert. Weiterhin ist ein gesonderter Schlüssel (GW-AAA-key) eingerichtet, mit dem die mobile Station (MS-GW) den Nachrichtenaustausch mit einem Proxy-Authentikationsserver (AAA-P) im Zugangsnetz (ASN) sichert. Ausgestaltungen der Erfindungen zufolge sind verschiedene Varianten denkbar, wie diese Schlüssel (PMIP-key, GW-AAA-key) in der als Gateway verwendeten mobilen Station (MS-GW) erzeugt bzw. hinterlegt werden.
  • Eine erste Ausführungsform sieht vor, diesen (ersten) Schlüssel (PMIP-key) aus einem bereits vorhandenen (zweiten) Schlüssel (CMIP-key) abzuleiten. Ein solcher liegt beispielsweise vor, wenn die als Gateway eingesetzte mobile Station (MS-GW) zum Zweck der eigenen Mobilität selbst ein endgerätebasiertes Mobilitätsmanagement (CMIP) betreibt. Der zweite Schlüssel (CMIP-key) wird bei der Registrierung der mobilen Station (MS-GW) gegenüber ihrem Authentikationsserver (AAA-MS) erzeugt bzw. bei der EAP-basierten Authentikation erzeugt, oder ist vorkonfiguriert.
  • Ein solcher zweiter Schlüssel kann auch als Schlüsselinformation (MSK) vom Authentikationsserver übermittelt sein, um die Luftschnittstelle bei WiMAX oder WLAN vor Angriffen Dritter zu schützen. Dann wird der erste Schlüssel (PMIP-key, GW-AAA-key) aus dieser Schlüsselinformation abgeleitet.
  • Eine weitere Ausführungsform sieht vor, den ersten Schlüssel (PMIP-key, GW-AAA-key) als solchen in der mobilen Station vorzukonfigurieren. Vorkonfigurieren bedeutet hier, dass er vor Verfahrensschritten der Authentikation, Adresszuweisung, Registrierung etc. bereits in der als Gateway verwendeten mobilen Station (MS-GW) vorliegt.
  • Die Sicherheitsbeziehung zwischen einer nicht als Gateway verwendeten mobilen Station und einem Proxy-Authentikationsserver (AAA-P) wurde bisher ohne das Vorhandensein eines automatisierten Mechanismus für eine Schlüsselverteilung üblicherweise statisch vorkonfiguriert. Insofern stellen insbesondere die genannten Varianten einer dynamischen Übertragung bzw. Ableitung des ersten Schlüssels (PMIP-key, GW-AAA-key) aus vorhandenen oder übertragenen Schlüsseln (MSK, CMIP-key, etc.) vorteilhafte Ausführungsformen dar, weil der Aufwand für das Vorkonfigurieren erheblich reduziert ist.
  • Grundsätzlich muss, da immer zwei Parteien kommunizieren, der erste Schlüssel (im Fall des PMIP-keys) nicht nur in der mobilen Station (MS-GW) sondern auch im Authentikationsserver (AAA-MS) vorhanden sein. Im Fall der Vorkonfiguration ist es aber auch möglich, den Schlüssel (PMIP-key) direkt im zuständigen Mobile IP Heimagenten (HA) zu hinterlegen – an Stelle des Authentikationsservers (AAA-MS), wenn dieser Schlüssel (PMIP-key) eindeutig ist und nicht dynamisch zugewiesen wird für die MS.
  • Im Fall des Authentikationsschlüssels (GW-AAA-key) wird, weil der zuständige Proxy-Authentikationserver (AAA-P) gemäß der Erfindung bereits im Zugangsnetz (ASN) angelegt ist, dieser Schlüssel entsprechend beim Foreign Agent (FA) alternativ zu dem Proxy-Authentikationserver (AAA-P) hinterlegt.
  • Eine weitere Ausführungsform sieht vor, ein vereinfachtes Schlüsselmanagement dahingehend einzurichten, dass für viele oder alle im Endgerätenetz (EN) bei der mobilen Station (MS-GW) angemeldeten mobilen Endgeräte (ME) der gleiche erste Schlüssel (PMIP-key, GW-AAA-key) bei der Kommunikation mit dem Heimagenten (HA) verwendet wird.
  • Um die Authentikation eines mobilen Endgerätes mittels EAP-basiertem Protokoll gegenüber dem jeweiligen Heimnetz (HN2) der ME zu ermöglichen, sobald sich das mobile Endgerät über eine mobile Station (MS-GW) mit dem WiMAX-Netz (ASN) verbindet, ist die als Authentikator agierende mobile Station (MS-GW) in der Lage, den Authentikationsserver (AAA-ME) des jeweiligen Heimatnetzes (HN2) des mobilen Endgerätes aufzufinden können.
  • Den mobilen Endgeräten müssen zur verbesserten Kommunikation IP-Adressen zugewiesen werden. Eine Zuweisung von IP-Adressen für die mobilen Endgeräte (ME) ist im Rahmen der Erfindung vorgesehen. Dies kann beispielsweise durch eine sog. DHCP-Relay-Funktionalität in der als Gateway verwendeten mobilen Station (MS-GW) erfolgen.
  • Es ist anzumerken, dass der Heimagent (HA) im besuchten Zwischennetz (CSN) oder im Heimnetz (HN1) angelegt sein kann, je nachdem, wo sich die mobile Station befindet. Bei dem Heimnetz kann es sich auch um ein Netz vom Typ „CSN" (Connectivity Serving Network) handeln.
  • Die Erfindung soll nun anhand von Ausführungsbeispielen mit Hilfe von Zeichnungen näher erläutert werden. Darin zeigen:
  • 1 eine Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP) gemäß dem Stand der Technik;
  • 2 den Verbindungsaufbau in einer Netzstruktur nach 1 mit PMIP;
  • 3 eine Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP) gemäß einem Beispiel gemäß der Erfindung;
  • 4 einen Ausschnitt aus dem Verbindungsaufbau mit Authentikationsschritten des Gateways und einer ME gemäß einem Ausführungsbeispiel der Erfindung.
  • 1 zeigt ein Beispiel einer Netzstruktur bzw. eines Systems von miteinander kommunizierenden WiMAX- oder WLAN-Netzen gemäß dem Stand der Technik. Die Kommunikation in dem dargestellten System unterliegt einem netzbasierten Mobilitätsmanagement (PMIP).
  • Das mobile Endgerät (ME) 1 ist über eine drahtlose WiMAX- oder WLAN-Schnittstelle 2 mit einer Basisstation (BS) 3 eines Zugangsnetzes (ASN) 4 verbunden. Bei dem mobilen Endgerät 1 handelt es sich um ein beliebiges mobiles Endgerät, beispielsweise einen Laptop, einen PDA, ein Mobiltelefon, oder ein sonstiges mobiles Endgerät. Es erfüllt keine Gateway-Funktion, sondern ist wortsinngemäß ein Endgerät.
  • Die Basisstation (BS) 3 des Zugangsnetzes (ASN) 4 ist über eine Datenübertragungsleitung 5 mit einem Gateway (ASN-GW) 6 des Zugangsnetzes 4 verbunden. In dem Rechner des Gateways 6 sind weitere Funktionen integriert, insbesondere ein Fremdagent (FA) 6A, ein PMIP-Client 6B, ein Authentikations-Client (AAA-CLIENT) 6C und ein DHCP-Proxy-Server 6D. Der Fremdagent 6A ist ein Router, der Routing-Dienste für das mobile Endgerät 1 zur Verfügung stellt. Die an das mobile Endgerät 1 gerichteten Datenpakete werden von einem Heimagenten (HA) getunnelt übertragen und von dem Fremdagenten (FA) 6A entpackt.
  • Das Gateway 6 des Zugangsnetzes 4 ist über eine Schnittstelle 7 mit einem Rechner 8 eines Zwischennetzes (CSN) 9 verbunden. Der Rechner 8 umfasst einen DHCP-Server 8A, einen Heimagenten (HA) 8B und einen Proxy-Authentikationsserver (AAA-P) 8C. Der Heimagent 8B ist Stellvertreter des mobilen Endgerätes 1, wenn dieses sich nicht in seinem ursprünglichen Heimnetz 12 (HN1) befindet. Der Heimagent 8B ist ständig über den aktuellen Aufenthaltsort des mobilen Rechners 1 informiert. Datenpakete für das mobile Endgerät 1 werden zunächst an dem Heim agenten (HA) übertragen und von dem Heimagenten (HA) aus getunnelt an den Fremdagenten (FA) 6A weitergeleitet.
  • Umgekehrt können Datenpakete, die von dem mobilen Endgerät 1 ausgesendet werden, direkt an den jeweiligen Kommunikationspartner gesendet werden. Die Datenpakete des mobilen Endgerätes 1 enthalten dabei die Heimadresse als Absenderadresse. Die Heimadresse hat dasselbe Adresspräfix, d.h. Netzadresse und Subnetzadresse, wie der Heimagent 8B. Datenpakete, die von anderen Kommunikationspartnern an die Heimadresse des mobilen Endgerätes 1 gesendet werden, werden von dem Heimagenten 8B abgefangen. Der Heimagenten 8B verpackt diese Daten und überträgt sie getunnelt an die Care-of-Adresse des mobilen Endgerätes 1 im Bereich des Zugangsnetzes. An dem Endpunkt des Tunnels werden sie durch den Fremdagenten 6A oder das mobile Endgerät 1 selbst empfangen.
  • Der Rechner 8 des Zwischennetzes 9 ist über eine weitere Schnittstelle 10 mit einem Authentikationsserver (AAA-SERVER) 11 eines Heimnetzes 12 des mobilen Endgerätes 1 verbunden.
  • 2 zeigt den beispielhaften Ablauf einer Netzanmeldung des mobilen Endgerätes (ME), wenn sich der Heimagent (HA) in dem besuchten Netzwerk befindet wie es in 1 dargestellt ist.
  • Nachdem eine Funkverbindung zwischen dem mobilen Endgerät (ME) der Basisstation (BS) hergestellt ist, erfolgt zunächst eine Zugangsauthentikation. Die Authentikation, die Autorisation und das Accounting erfolgt anhand von Authentikationsservern. Zwischen dem mobilen Endgerät (ME) und dem Authentikationsserver (AAA-SERVER) des Heimnetzes (HN) werden Authentisierungsnachrichten ausgetauscht. Anhand dieses Nachrichtenaustauschs werden die Adresse des Heimagenten (HA) und ein Authentisierungsschlüssel gewonnen.
  • Der Authentikationsserver (AAA-SERVER) im Heimnetz (HN) hält die Profildaten des Teilnehmers. Der Authentikationsserver erhält zunächst eine Authentisierungsanfrage, die eine Teilnehmeridentität des mobilen Endgerätes (ME) umfasst. Nach erfolgreicher Zugangsauthentisierung erzeugt der Authentikationsserver dann einen MSK-Schlüssel (MSK: Master Session Key, in 2) zum Schutz der Datenübertragungsstrecke zwischen dem mobilen Endgerät MS und der Basisstation des Zugangsnetzwerkes ASN. Der MSK-Schlüssel wird von dem Authentikationsserver des Heimnetzes (HN) über das Zwischennetz (CSN) an das Zugangsnetzwerk (ASN) übertragen.
  • Beim netzbasierten Mobilitätsmanagement (PMIP) unterstützt das mobile Endgerät (ME) Mobile-IP nicht. Es kann zum Beispiel eine entsprechende MIP-Software in dem mobilen Endgerät nicht aktiviert oder installiert sein.
  • Das Gateway 6 stellt den Authentikator und den PMIP-Client für das mobile Endgerät (ME), und übernimmt damit dessen Mobile-IP-Kommunikation.
  • Es wird in einer Antwortnachricht vom Authentikationsserver eine Adresse des zuständigen DHCP-Servers, ein für die Kommunikation mit Authentikationsserver abgeleiteter Schlüssel (AAA-key) und die Adresse des zuständigen Heimagenten (HA) an den PMIP-Client 6B übermittelt. In einem weiteren Schritt wird der DHCP-Proxy 6D anhand dieser Daten konfiguriert.
  • Beim Proxy-Mobile-IP erkennt das mobile Endgerät (ME) nur eine der beiden vom DHCP-Server zugewiesenen IP-Adressen. Nur die vom DHCP-Server zugewiesene Care-of-Adresse ist dem mobilen Endgerät bekannt, die Heimadresse ist nicht dem mobilen Endgerät selbst, sondern nur dem PMIP-Client, dem Fremdagenten sowie dem Heimagenten bekannt. Im Fall endgerätebasierten Mobilitätsmanagements (CMIP) würde das mobile Endgerät 1 seine beiden IP-Adressen, die Heimadresse wie auch die Care-of-Adresse kennen.
  • Nach erfolgreicher Authentisierung und Autorisierung sendet das mobile Endgerät MS eine sog. DHCP Discovery Nachricht. Es erfolgt nun ein Dialog mit einer IP-Adressenzuweisung zwischen mobilem Endgerät (ME), DHCP-Proxy und DHCP-Server.
  • Nach der IP-Adressenzuweisung erfolgt eine MIP-Registrierung, wobei der Heimagent über den aktuellen Standort des mobilen Endgerätes informiert wird. Zu seiner Registrierung sendet der das mobile Endgerät repräsentierende PMIP-Client eine Registrierungsanforderung (Registration Request) an den Heimagenten (HA), die die aktuelle Care-of-Adresse enthält. Der Heimagent nimmt die Care-of-Adresse entgegen und antwortet mit einer Registrierungsantwort (Registration Reply).
  • Da prinzipiell jeder Rechner an einen Heimagenten eine Registrierungsanforderung schicken kann, könnte auf einfache Weise einem Heimagenten vorgespielt werden, ein Rechner bzw. ein mobiles Endgerät habe sich in ein anderes Netzwerk bewegt. Um dies zu verhindern, verfügt sowohl das mobile Endgerät als auch der Heimagent über einen gemeinsamen geheimen Schlüssel (PMIP-key), den PMIP-Schlüssel bzw. Mobilitätsschlüssel, der sich vom Authentikationsschlüssel (AAA-key) unterscheidet.
  • Die Registrierungsanforderung wird von einem PMIP-Client innerhalb des Zugangsnetzes über einen Fremdagenten (FA) an den Heimagenten (HA) übertragen. Der Heimagent (HA) lässt sich von dem zugehörigen Authentikationsserver (AAA-SERVER) den Schlüssel für den Teilnehmer zuweisen und überträgt diesen mit der MIP-Registrierungsantwort über den Heimagenten (HA) an den PMIP-Client.
  • Beim netzbasierten Mobilitätsmanagement (PMIP) kann also ein gemeinsamer Mobilitätsschlüssel (PMIP-key) über den PMIP-Client 6B und den Heimagenten (HA) durch einen Authentisierungsserver (AAA) erzeugt werden.
    •
  • 3 zeigt ein erfindungsgemäßes Beispiel einer Netzstruktur bzw. eines Systems von miteinander kommunizierenden WiMAX-Netzen. Die Kommunikation in dem dargestellten System un terliegt auch hier einem netzbasierten Mobilitätsmanagement (PMIP).
  • Bei diesem Beispiel befindet sich die WiMAX-Schnittstelle zwischen einer als Gateway 16 eingesetzten mobilen Station 16A und der Basisstation 3 des Zugangsnetzes 4. Das Zugangsnetz besitzt eine Infrastruktur ähnlich wie in 1 gezeigt, jedoch ohne den PMIP-Client 6B. Stattdessen befindet sich ein PMIP-Client 16B im Gateway 16 der mobilen Station 16A.
  • Darüber hinaus ist der Authentikationsclient 6C (AAA-CLIENT-MS) im Zugangsnetz auf die mobile Station 16A bzw. das Gateway 16 beschränkt. Für die in dem durch das Gateway 16 erschlossene Endgerätenetz 17 (EN) enthaltenen mobilen Endgeräte 19A-19D (ME1-MEn) sind Authentikationsclients 16C im Gateway 16 vorgesehen. Die mobilen Endgeräte 19A-19D kommunizieren mit dem Gateway 16 ihrerseits über WLAN- oder Ethernet-Schnittstellen 18.
  • Während die Architektur des Zwischennetzes 9, das über die Leitung 7 mit dem Zugangsnetz verbunden ist im Wesentlichen deckungsgleich mit der in 1 gezeigten Netzstruktur ist, muss beim erfindungsgemäßen Beispiel zwischen einem Heimnetz 12 für die mobile Station 16A bzw. dem Gateway 16 und Heimnetzen 13 für die mobilen Endgeräte 19A-D unterschieden werden. Das Heimnetz 12 umfasst ein dem Gateway 16 zugeordneten Authentikationsserver 14 (AAA-MS) und die Heimnetze 13 umfassen jeweils Authentikationsserver 15 (AAA-ME).
  • 4 zeigt einen Ausschnitt einer Netzanmeldungsprozedur gemäß einer möglichen Variante gemäß der Erfindung. Dargestellt ist lediglich der die Authentikation betreffende Teil. Die Authentikation gliedert sich in zwei Abschnitte. In einem ersten Schritt authentifiziert sich das Gateway bzw. die mobile Station (MS-GW) 16 gegenüber dem Authentikationsserver (AAA-MS) vermittels des Authentikatoos (ASN-GW) 8 (einschließlich des Authentikationsclients 6C (AAA-MS)) und des Proxy-Authentikationsservers (AAA-Proxy) 8C. Zur Durchführung der Authentikation wird dabei ein herkömmliches EAP-Verfahren angewendet (EAP: Extensible Authentication Protocol, gemäß IEEE 802.16).
  • In einem zweiten Schritt authentifiziert sich eines der mobilen Endgeräte (ME1-MEn) ebenfalls gemäß EAP-Protokoll gegenüber seinem Authentikationsserver (AAA-ME) vermittels der mobilen Station (MS-GW), die hier als Authentikator fungiert.
  • In diesem Beispiel erhält der Authentikator (ASN-GW) nach erfolgreicher Authentikation den Schlüssel MSK (Master Session Key) vom Authentikationsserver (AAA-MS). Sowohl der Authentikator 8 (ASN-GW) als auch die als Gateway 16 eingesetzte mobile Station (MS-GW) leiten daraus den Schlüssel AK ab. Mit diesem wird eine gesicherte drahtlose Verbindung nach IEEE 802.16/16e zwischen der mobilen Station 16 und der WiMAX-Basisstation (BS) durchgeführt werden.
  • Für den PMIP Client im Gateway 16 der mobilen Station liegt am Ende dieses Schrittes ein geeigneter Mobilitätsschlüssel (PMIP-key) vor, mit dem die Kommunikation zum Heimagenten (HA) gesichert werden kann. Im vorliegenden Beispiel wird auf seite des Authentikationsservers (AAA-MS) und der mobilen Station (MS-GW) der Mobilitätsschlüssel (PMIP-key) aus vorhandenem Schlüsselmaterial abgeleitet. Die Schlüsselinformationen sind auf beiden Seiten verfügbar, weil sie im Rahmen der in EAP-Authentikation ausgetauscht werden konnten.
  • Beim zweiten Schritt tauscht die als Gateway eingesetzte mobile Station EAP-Nachrichten mit dem Proxy-Authentikationsserver im Netz des WiMAX-Anbieters (NAP) bzw. im Zwischennetz 9 aus. Dieser Proxy-Authentikationsserver weist nun gemäß der Erfindung die besondere Eigenschaft auf, die Adressen der für die mobilen Endgeräte jeweils verantwortlichen Authentikationsserver (AAA-ME) aufzulösen und die entsprechenden Nachrichten mit diesen auszutauschen. Es ist aber auch nicht ausgeschlossen, dass die Authentikationsserver (AAA-MS) und (AAA-ME) identisch sind.

Claims (24)

  1. Mobile Station (MS-GW), welche als Gateway für ein oder mehrere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobilen Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen, wobei die mobile Station (MS-GW) ein netzbasiertes Mobilitätsmanagement (PMIP) unterstützt, so dass die mobile Station (MS-GW) im Rahmen einer Mobile-IP-Verbindung als Client anstelle der mobilen Endgeräte (ME) bei der Kommunikation mit einem Heimagenten (HA) eines mit dem Zugangsnetz (ASN) verbundenen Zwischen- oder Heimnetzes (V-CSN, HN1) auftritt.
  2. Mobile Station (MS-GW) nach Anspruch 1, welche dazu eingerichtet ist, mit einer Basisstation (BS) des Zugangsnetzwerks (ASN) über eine drahtlose Verbindung zu kommunizieren.
  3. Mobile Station (MS-GW) nach Anspruch 2, bei der die drahtlose Verbindung dem WiMAX-Standard IEEE 802.16 entspricht.
  4. Mobile Station (MS-GW) nach einem der Ansprüche 1-3, die eingerichtet ist, mit dem einen oder den mehreren mobilen Endgeräten (ME) über eine drahtlose Verbindung zu kommunizieren.
  5. Mobile Station (MS-GW) nach Anspruch 4, bei der die drahtlose Verbindung dem WLAN-Standard IEEE 802.11 entspricht.
  6. Mobile Station (MS-GW) nach einem der Ansprüche 1-3, die eingerichtet ist, mit dem einen oder den mehreren mobilen Endgeräten (ME) über eine drahtgebundene Verbindung zu kommunizieren.
  7. Mobile Station (MS-GW) nach Anspruch 6, bei der die drahtgebundene Verbindung dem Ethernet-Standard IEEE 802.3 entspricht.
  8. Mobile Station (MS-GW) nach einem der Ansprüche 1-7, die – im Besitz eines ersten Schlüssels (PMIP-key) für eine Sicherung und Authentikation der Kommunikation für die Netzanmeldung der mobilen Endgeräte (ME) zwischen der mobilen Station (MS-GW) und dem Heimagenten (HA) im Zwischen- oder Heimnetz (V-CSN, HN1) im Rahmen des netzbasierten Mobilitätsmanagements (PMIP) ist, und/oder – im Besitz eines weiteren ersten Schlüssels (GW-AAA-key) für eine Sicherung und Authentikation der Kommunikation für die Netzanmeldung der mobilen Endgeräte (ME) zwischen der mobilen Station (MS-GW) und dem Proxy-Authentikationsserver (AAA-P) im Zugangsnetz (ASN) ist.
  9. Mobile Station (MS-GW) nach einem der Ansprüche 1-8, die neben der Eigenschaft, als Client einer Mobile-IP-Verbindung für mobile Endgeräte (ME) netzbasiertes Mobilitätsmanagement (PMIP) zu ermöglichen, ferner dazu eingerichtet ist, als Client einer Mobile-IP-Verbindung zum Zweck der eigenen Mobilität ein endgerätebasiertes Mobilitätsmanagement (CMIP) zu ermöglichen.
  10. Mobile Station (MS-GW) nach Anspruch 9, soweit rückbezogen auf Anspruch 8, bei der wenigstens einer der ersten Schlüssel (PMIP-key, GW-AAA-key) der mobilen Station (MS-GW) aus einem zweiten Schlüssel (CMIP-key) abgeleitet ist, welcher der Sicherung der Kommunikation zwischen der mobilen Station (MS-GW) und dem Heimagenten (HA) im Zwischen- oder Heimnetz (V-CSN, HN1) sowie einem Fremdagenten (FA) im Zugangsnetz (ASN) im Rahmen des endgerätebasierten Mobilitätsmanagement (CMIP) dient.
  11. Mobile Station (MS-GW) nach Anspruch 8, bei der der zweite (CMIP-key) und/oder wenigstens einer der ersten Schlüssel (PMIP-key, GW-AAA-key) in der mobilen Station (MS-GW) vorkonfiguriert sind.
  12. Mobile Station (MS-GW) nach Anspruch 8, bei der der erste Schlüssel (PMIP-key) für das netzbasierte Mobilitätsmanage ment (PMIP) aus einer bei einer Authentikation der mobilen Station (MS-GW) gegenüber einem ersten Authentikationsserver (AAA-MS) von diesem zugewiesenen Schlüsselinformation (MSK) abgeleitet ist, wobei sich der erste Authentikationsserver (AAA-MS) in einem ersten Heimnetz (HN1) der mobilen Station (MS-GW) befindet.
  13. Mobile Station (MS-GW) nach einem der vorhergehenden Ansprüche, bei der für alle mit ihr verbundenen mobilen Endgeräte (ME) derselbe erste Schlüssel (PMIP-key, GW-AAA-key) bei der Kommunikation mit dem Heimagenten (HA) beziehungsweise dem Proxy-Authentikationsserver (AAA-P) verwendet wird.
  14. Netz (EN) aus drahtlos oder drahtgebunden kommunizierenden mobilen Endgeräten (ME) und einer mobilen Station (MS-GW) nach einem der vorhergehenden Ansprüche, bei dem die mobile Station (MS-GW) als Gateway für die mobilen Endgeräte (ME) eingerichtet ist.
  15. Netz (EN) nach Anspruch 14, bei dem die mobilen Endgeräte (ME) jeweils eine Subskription mit Heimnetzen (HN2) besitzen, wobei wenigstens einer der Heimnetze (HN2) ein anderes ist als dasjenige Heimatnetz (HN1) der mobilen Station (MS-GW).
  16. System von Netzen, umfassend: – das Netz (EN) nach einem der Ansprüche 14 oder 15, – ein Zugangsnetz (ASN), das mittels einer Basisstation (BS) drahtlos mit der als Gateway verwendeten mobilen Station (MS-GW) kommuniziert und einen Fremdagenten (FA), einen Authentikationsclient (AAA-CLIENT-MS) und einen Proxy-Authentikationsserver (AAA-P) aufweist, – ein mit dem Zugangsnetz verbundenes erstes Heimnetz (HN1), das einen Authentikationsserver (AAA-MS) für die mobile Station (MS-GW) aufweist; – einen Heimagenten (HA), der in dem ersten Heimnetz (HN1) oder in einem die Verbindung zwischen Heimnetz (HN1) und Zugangsnetz (ASN) herstellenden Zwischennetz (V-CSN) angelegt ist; – wenigstens ein zweites Heimnetz (HN2), das einen Authentikationsserver (AAA-ME) für das wenigstens eine mobile Endgerät (ME) aufweist und mit dem Heimnagenten (HA) im Heim- oder Zwischennetz (HN1, V-CSN).
  17. System von Netzen nach Anspruch 16, bei dem das Zugangsnetz (ASN) ein WiMAX-Netz ist.
  18. Verfahren zur sicheren Netzanmeldung einer als Gateway eingesetzten mobilen Station (MS-GW) und wenigstens eines mit der mobilen Station (MS-GW) drahtlos oder drahtgebunden kommunizierenden mobilen Endgerätes (ME), umfassend: – Authentifizieren der mobilen Station (MS-GW) gegenüber einem ersten Authentikationsserver (AAA-MS) eines ersten Heimnetzes (HN1) der mobilen Station (MS-GW) mit Hilfe eines Authentikations-Clients (AAA-CLIENT-MS) als Authentikator in einem Zugangsnetz (ASN); – nachfolgend Authentifizieren des wenigstens einen mobilen Endgerätes (ME) gegenüber einem zweiten Authentikationsserver (AAA-ME) in einem zweiten Heimnetz (HN2) des mobilen Endgerätes (ME) mit Hilfe der angemeldeten mobilen Station (MS-GW) als Authentikator und eines Proxy-Authentikationsservers (AAA-P) in dem Zugangsnetz (ASN).
  19. Verfahren nach Anspruch 18, bei dem das erste Heimnetz (HN1) und das zweite Heimnetz (HN2) verschieden sind.
  20. Verfahren nach Anspruch 18 oder 19, bei dem sich die mobile Station (MS-GW) gegenüber dem ersten Authentikationsserver (AAA-MS) anhand eines EAP-Protokolls gemäß Standard IEEE 802.16 authentifiziert.
  21. Verfahren nach einem der Ansprüche 18-20, bei dem während der Authentifizierung gemeinsame Schlüsselinformationen zwischen der mobilen Station (MS-GW) und dem ersten Authentikationsserver (AAA-MS) ausgehandelt werden und bei dem aus den Schlüsselinformationen erste Schlüssel (PMIP-key) in der mobilen Station (MS-GW) und im ersten Authentikationsserver (AAA-MS) abgeleitet werden.
  22. Verfahren nach einem der Ansprüche 18-21, bei dem während der Authentifizierung gemeinsame Schlüsselinformationen zwischen der mobilen Station (MS-GW) und dem ersten Authentikationsserver (AAA-MS) ausgehandelt werden und bei dem aus den Schlüsselinformationen erste Schlüssel (GW-AAA-key) in der mobilen Station (MS-GW) und im Proxy-Authentikationsserver (AAA-P) des Zugangsnetzes (ASN) abgeleitet werden.
  23. Verfahren nach einem der Ansprüche 18-20, bei dem wenigstens ein erster Schlüssel (PMIP-key, GW-AAA-key) in der mobilen Station (MS-GW) und (a) im ersten Authentikationsserver (AAA-MS) oder in einem Heimagenten (HA); beziehungsweise (b) im Proxy-Authentikationsserver (AAA-P) des Zugangsnetzes (ASN) oder einem Fremdagenten (FA); zur Sicherung der Signalisierung (RADIUS) im Rahmen der Netzanmeldung eines oder mehrerer mobiler Endgeräte vorkonfiguriert ist.
  24. Verfahren nach einem der Ansprüche 18-20, bei dem die mobile Station (MS-GW) wenigstens einen ersten Schlüssel (PMIP-key, GW-AAA-key) aus einem zweiten Schlüssel (CMIP-key) ableitet, den sie als Client einer Mobile-IP-Verbindung für die eigene Kommunikation als Endgerät im Rahmen eines endgerätebasiertes Mobilitätsmanagements (CMIP) verwendet.
DE102006015033.3A 2005-12-16 2006-03-31 Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte Active DE102006015033B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102006015033.3A DE102006015033B4 (de) 2005-12-16 2006-03-31 Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte
PCT/EP2006/069389 WO2007068640A1 (de) 2005-12-16 2006-12-06 Mobile station als gateway für mobile endgeräte zu einem zugangsnetz sowie verfahren zur netzanmeldung der mobilen station und der mobilen endgeräte
US12/097,747 US8036191B2 (en) 2005-12-16 2006-12-06 Mobile station as a gateway for mobile terminals to an access network, and method for registering the mobile station and the mobile terminals in a network
CN2006800474035A CN101375563B (zh) 2005-12-16 2006-12-06 作为到接入网的移动终端设备的网关的移动站以及对移动站和移动终端设备进行网络登记的方法
EP06819918A EP1961168A1 (de) 2005-12-16 2006-12-06 Mobile station als gateway für mobile endgeräte zu einem zugangsnetz sowie verfahren zur netzanmeldung der mobilen station und der mobilen endgeräte

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102005060349 2005-12-16
DE102005060349.1 2005-12-16
DE102006015033.3A DE102006015033B4 (de) 2005-12-16 2006-03-31 Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte

Publications (2)

Publication Number Publication Date
DE102006015033A1 true DE102006015033A1 (de) 2007-06-21
DE102006015033B4 DE102006015033B4 (de) 2016-07-07

Family

ID=37808037

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006015033.3A Active DE102006015033B4 (de) 2005-12-16 2006-03-31 Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte

Country Status (5)

Country Link
US (1) US8036191B2 (de)
EP (1) EP1961168A1 (de)
CN (1) CN101375563B (de)
DE (1) DE102006015033B4 (de)
WO (1) WO2007068640A1 (de)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8316434B2 (en) 2005-02-23 2012-11-20 At&T Intellectual Property I, L.P. Centralized access control system and methods for distributed broadband access points
US7631347B2 (en) * 2005-04-04 2009-12-08 Cisco Technology, Inc. System and method for multi-session establishment involving disjoint authentication and authorization servers
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统
JP4727537B2 (ja) * 2006-09-11 2011-07-20 富士通株式会社 リレーエージェント装置及び代行アドレス貸与装置
US20080139205A1 (en) * 2006-12-08 2008-06-12 Motorola, Inc. Method and apparatus for supporting handover in a communication network
JP4869057B2 (ja) * 2006-12-27 2012-02-01 富士通株式会社 ネットワーク接続復旧方法及びaaaサーバ及び無線アクセス網ゲートウェイ装置
US20080279151A1 (en) * 2007-05-09 2008-11-13 Nokia Siemens Networks Gmbh & Co. Kg Method and device for processing data and communication system comprising such device
CN101355474B (zh) * 2007-07-25 2010-09-08 华为技术有限公司 请求、分配连接点地址的方法及设备
KR100897175B1 (ko) * 2007-07-26 2009-05-14 한국전자통신연구원 Ip 기반 센서 네트워크 시스템에서 센서 노드의 이동성을지원하기 위한 장치 및 방법
EP2040432A1 (de) 2007-09-18 2009-03-25 Nokia Siemens Networks Oy Örtlicher Durchbruch bei WiMAX-Roaming
CN101400160B (zh) * 2007-09-29 2013-04-10 北京三星通信技术研究有限公司 Hnb建立连接的方法
US20100268804A1 (en) * 2007-11-20 2010-10-21 Panasonic Corporation Address allocation method, address allocation system, mobile node, and proxy node
FI20080032A0 (fi) 2008-01-16 2008-01-16 Joikusoft Oy Ltd Älypuhelin WLAN-tukiasemana
US8942112B2 (en) * 2008-02-15 2015-01-27 Cisco Technology, Inc. System and method for providing selective mobility invocation in a network environment
FI20080345A0 (fi) 2008-05-09 2008-05-09 Joikusoft Oy Ltd Symbian S60 puhelin 3G kaistanyhdistäjänä
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
JP5481979B2 (ja) * 2009-07-15 2014-04-23 Jsr株式会社 感放射線性樹脂組成物及びそれに用いられる重合体
ES2531545T3 (es) * 2009-09-28 2015-03-17 Huawei Technologies Co., Ltd. Pasarela WLAN escalable
WO2011113873A1 (en) * 2010-03-17 2011-09-22 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for srns relocation
US9215588B2 (en) 2010-04-30 2015-12-15 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment
WO2012137882A1 (ja) * 2011-04-06 2012-10-11 日本電気株式会社 アドホックネットワーク、ユーザノード、管理サーバ、通信方法およびプログラム
CN102917355A (zh) * 2011-08-03 2013-02-06 中兴通讯股份有限公司 一种接入方法、系统及移动智能接入点
CN102547707A (zh) * 2012-02-15 2012-07-04 张群 一种移动通信终端接入网络的方法
CN102685748B (zh) * 2012-05-07 2014-11-05 张群 一种移动通信终端在网络中移动的方法
US9161376B2 (en) * 2013-08-20 2015-10-13 Cisco Technology, Inc. System and method for managing access point communication channel utilization
TWI580224B (zh) * 2015-06-24 2017-04-21 財團法人工業技術研究院 延後認證用戶設備的方法、控制器及網路系統

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
JP3636356B2 (ja) * 2000-03-31 2005-04-06 日本電気株式会社 移動通信システム及びその制御方法
US6910074B1 (en) * 2000-07-24 2005-06-21 Nortel Networks Limited System and method for service session management in an IP centric distributed network
US7231521B2 (en) * 2001-07-05 2007-06-12 Lucent Technologies Inc. Scheme for authentication and dynamic key exchange
US6999731B2 (en) * 2001-11-27 2006-02-14 Intel Corporation Control of an alert mechanism by communication of an event-associated command
AU2003217301A1 (en) * 2002-02-04 2003-09-02 Flarion Technologies, Inc. A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity
US7269173B2 (en) * 2002-06-26 2007-09-11 Intel Corporation Roaming in a communications network
US7457289B2 (en) * 2002-12-16 2008-11-25 Cisco Technology, Inc. Inter-proxy communication protocol for mobile IP
WO2004059926A1 (ja) * 2002-12-26 2004-07-15 Matsushita Electric Industrial Co., Ltd. モバイルネットワーク制御装置および モバイルネットワーク制御方法
US20040142657A1 (en) * 2003-01-21 2004-07-22 Masahiro Maeda Location registration using multiple care of addresses
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
CN100344199C (zh) * 2003-11-19 2007-10-17 华为技术有限公司 无线局域网网络移动性管理的系统及其方法
US7873036B2 (en) * 2004-02-03 2011-01-18 Nokia Siemens Networks Oy Method and apparatus to provide group management of multiple link identifiers for collective mobility
DE102004008760B4 (de) 2004-02-23 2010-07-29 O2 (Germany) Gmbh & Co. Ohg Vorrichtung zum Umwandeln von UMTS-Signalen
US7313394B2 (en) * 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
US8730796B2 (en) * 2005-09-30 2014-05-20 Alcatel Lucent Providing radio access between cellular and internet protocol-based wireless communication networks
US20070189219A1 (en) * 2005-11-21 2007-08-16 Mruthyunjaya Navali Internet protocol tunneling on a mobile network

Also Published As

Publication number Publication date
CN101375563B (zh) 2012-11-14
US8036191B2 (en) 2011-10-11
US20090207819A1 (en) 2009-08-20
WO2007068640A1 (de) 2007-06-21
DE102006015033B4 (de) 2016-07-07
CN101375563A (zh) 2009-02-25
EP1961168A1 (de) 2008-08-27

Similar Documents

Publication Publication Date Title
DE102006015033B4 (de) Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
EP1943808B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
EP1943806B1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
EP1943855B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
DE602005001542T2 (de) Verfahren und Vorrichtung zur Verwendung eines VPN-Gateways, das als Mobile IP Foreign Agent für mobile Knoten fungiert
EP1391081B1 (de) Heterogenes mobilfunksystem
DE102005043364B4 (de) Telekommunikationssystem und Verfahren zum Steuern eines Wechsels eines Teilnehmerendgerätes zwischen zwei Netzwerken
EP2025120B1 (de) Verfahren und system zum bereitstellen eines mobile ip schlüssels
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60216862T2 (de) System und Verfahren zum mikromobilitätsbasierten Netz-Routing
EP1943856B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
EP1798905B1 (de) Verfahren zur Übertragung von auf dem Ethernet-Übertragungsprotokoll basierenden Datenpaketen zwischen zumindest einer mobilen Kommunkationseinheit und einem Kommunikationssystems
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE602004013377T2 (de) Netzwerk-mobilitäts-unterstützung und zugangsregelung für bewegliche netzwerke
DE60038678T2 (de) Mobiler internetzugriff
WO2003079706A1 (de) Verfahren und kommunikationssystem zum anbinden alternativer zugriffsnetze an ein kommunikationssystem, insbesondere gprs/umts
DE602004000762T2 (de) Verfahren und System zur Steuerung des Weiterreichens eines Endgeräts
DE10339769A1 (de) Verfahren zum Aufbauen einer Datenverbindung zwischen einem IP-basierten Kommunikationsnetz und einem Adhoc-Netz und Netzverbindungseinrichtung
DE102006043340A1 (de) Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur
EP1965557A1 (de) Verfahren zum Durchführen einer Netzanmeldung in einem Funkkommunikationssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final