-
Die
Erfindung betrifft ein Verfahren und eine Vorrichtung zum Zuweisen
von mindestens einem Parameter an ein mobiles Endgerät in einer
GBA (Generic Bootstrapping Architecture) gemäß 3G TS 33.220 Bootstrapping-Prozedur
im Rahmen von SAE (3GPP System Architecture Evolution).
-
Ein
mobiles Endgerät
MN (Mobile Node) bzw. ein Benutzerendgerät UE (User Equipment) ist zum
Datenaustausch über
eine Funkschnittstelle an ein Zugangsnetz angeschlossen, das seinerseits über optionale
weitere Netze mit einem Heimatnetz des mobilen Endgerätes UE verbunden
ist.
-
Zugangsnetze
können
unterschiedliche standardisierte Zugangstechnologien aufweisen. Man
kann Zugangsnetze in 3GPP standardisierte Zugangsnetze, wie GSM,
UMTS oder LTE (Long Term Evolution) und in sonstige Zugangsnetze,
die nicht dem 3GPP-Standard
entsprechen, unterteilen, wie beispielsweise WiMax, DSL oder WLAN-Zugangsnetze.
Es ist gemäß 3G TR23.882
(3GPP-System Architecture
Evolution: Report an Technical Options and Conclusions (Release
7), Version 1.2.3, ftp://ftp3GPP.Org/specs/) vorgesehen, die Mobilität eines
mobilen Endgeräts
UE bei einem Übergang von
einem 3GPP-Zugangsnetz zu einem Zugangsnetz, welches nicht dem 3GPP-Standard
genügt,
mittels Mobile IP (MIP) zu realisieren. Bei den bisherigen Systemen,
die Zugangsnetze mit unterschiedlicher Zugangstechnologie einsetzen,
ist ein nahtloser Übergang
bzw. ein Handover eines mobilen Endgeräts UE von einem ersten Zugangsnetz,
welches beispielsweise dem 3GPP-Standard genügt, zu einem zweiten Zugangsnetz,
welches beispielsweise nicht gemäß dem 3GPP-Standard
aufgebaut ist, nicht in flexibler Weise bei beliebigen Zugangsnetzen
möglich.
Es gibt verschiedene Teillösungen,
die jedoch alle Nachteile aufweisen.
-
So
erfordern manche bestehende Systeme eine spezielle, für das jeweilige
Zugangsnetz spezifische Konfiguration des Endgeräts UE und erlauben somit nicht
den nahtlosen Übergang
zwischen beliebigen Zugangsnetzen mit unterschiedlicher Technologie.
-
Bei
solchen herkömmlichen
Systemen müssen
beispielsweise Parameter in dem mobilen Endgerät UE fest vorkonfiguriert werden.
Das hat den Nachteil, dass mehrere solche Einträge in dem Endgerät UE vorzukonfigurieren
sind, wobei die Konfiguration des Endgerätes UE mit Kosten verbunden
und unflexibel ist. Ein weiterer Nachteil besteht, dass bereits
von Nutzern eingesetzte Endgeräte
UE nur mit hohem Aufwand nachträglich
umkonfiguriert werden können.
-
Bei
einem WiMax-Zugangsnetz nach dem Stand der Technik wird eine Adresse
eines Heimagenten (Home Agent) HA von einem AAA-Server zugewiesen. Anschließend wird
die HA-Adresse zunächst über das
Radius-Protokoll an das Zugangsnetz übergeben und von dort beispielsweise
mittels DHCP an das mobile Endgerät UE weitergeleitet. Diese
Möglichkeit
besteht bei einer SAE-System
Architektur nicht, da die Mechanismen hier unabhängig von speziellen Zugangsnetzen
bzw. Radiozugangsnetzen funktionieren müssen. Bei einer SAE-Architektur
ist die Mobilität
zwischen verschiedenen Typen von Zugangsnetzen zu gewährleisten,
ohne dass die Zugangsnetze verändert
werden.
-
Ein
weiterer herkömmlicher
Ansatz nach dem Stand der Technik ist in TR 23.882, Section E erwähnt, nämlich die
Zuweisung von Parametern mittels einer Diameter Mobile IP V4 Applikation,
wobei das mobile Endgerät
UE bzw. der mobile Knoten MN eine MIP (Mobile IP) Registrierung
an einen Fremdagenten FA (Foreign Agent) sendet, wobei das mobile Endgerät UE als
HA-Adresse 0.0.0.0
bzw. 255.255.255.255 einträgt.
Dieser Ansatz ist aber nur für
MIP V4 möglich
und auch hier nur, wenn ein Fremdagent FA verwendet wird, was auch
bei MIP V4 nicht der Fall sein muss.
-
Ein
weiterer herkömmlicher
Ansatz besteht in der Zuweisung einer HA-Adresse mittels eines aus GPRS
bekannten Access Point Namen APNs gemäß 3G TS 23.060 (General Packet
Radio Service (GPRS)); Service Description, Stage 2, (Release 6) ftp://ftp.3GPP.org/specs/).
Bei GPRS und UMTS ist die Zuweisung eines Access Point Namens APN
dynamisch beim Attachment möglich.
Dieser Ansatz ist jedoch nicht auf beliebige Zugangsnetze unterschiedlicher
Technologie verallgemeinerbar.
-
Ein
weiterer bekannter Ansatz besteht darin, dem mobilen Endgerät UE die
HA-Konfigurationsinformation für
mobile IP V6 über
DHCP V6 mitzuteilen wie beispielsweise in http://www.ietf.org/internet-drafts/drafting-ietf-mip6-bootstrapping-integrated-dhc-01.txt
beschrieben. Dieser Mechanismus wird allerdings nicht von jedem
besuchten Netz unterstützt
und ist deshalb nicht für
beliebige Zugangsnetze verwendbar.
-
Ferner
wird in RFC3775 Abschnitt 11.4.1 ein DHAAD (Dynamic Home Agent Access
Discovery) genannter Mechanismus zum dynamischen Einrichten einer
HA-Adresse definiert. Dabei sendet das mobile Endgerät UE eine
ICMP Home Agent Discovery Request-Nachricht an die mobile IP V6
Home Agent Anycast-Adresse
seines Heimsubnetzpräfix.
Dieser Ansatz ist aber nur für
MIP V6 geeignet und in dem mobilen Endgerät UE muss das Heimnetzpräfix vorkonfiguriert
werden.
-
Keine
der bisherigen Systeme ermöglicht
einen flexiblen kontinuierlichen Übergang eines mobilen Endgeräts UE von
einem Zugangsnetz mit einer beliebigen ersten Zugangstechnologie
zu einem Zugangsnetz mit einer beliebigen zweiten Zugangstechnologie,
ohne dass eine spezielle Vorkonfiguration in dem mobilen Endgerät UE oder Änderungen
an dem Zugangsnetz vorgenommen werden müssen.
-
Es
ist daher die Aufgabe der vorliegenden Erfindung ein Verfahren und
eine Vorrichtung zu schaffen, die es einem mobilen Endgerät erlauben, sich
in Zugangsnetze unterschiedlicher Technologien in einheitlicher
Weise derart einzubuchen, dass ein nahtloser Übergang zwischen den Zugangsnetzen gewährleistet
ist.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren mit den in Anspruch 1 angegebenen Merkmalen gelöst.
-
Die
Erfindung schafft ein Verfahren zum Zuweisen von mindestens einem
Parameter an ein mobiles Endgerät
UE eines Teilnehmers durch einen Bootstrapping-Server BSF eines
Netzes in einer Authentifizierungserfolgsbestätigungsnachricht einer GBA
(Generic Bootstrapping Architecture) Bootstrapping Prozedur.
-
Dabei
ist der zugewiesene Parameter bzw. eine Gruppe von zugewiesenen
Parametern vorzugsweise jeweils für einen Zugang des mobilen Endgerätes UE zu
jeweils einem weiteren Server des Netzes einsetzbar.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
ist der Bootstrapping-Server BSF in einem Heimatnetz des Teilnehmers
vorgesehen.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
bucht sich das mobile Endgerät UE über ein
Zugangsnetz in das Netz ein.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Parameter über eine
Schnittstelle eines mobilen Endgerätes UE übertragen, wenn das Zugangsnetz
kein 3GPP-Zugangsnetz
ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Parameter über
die Schnittstelle eines mobilen Endgerätes UE übertragen, wenn das Zugangsnetz
durch ein WiMax-, ein DSL- oder ein WLAN-Netz gebildet wird.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
weisen die zugewiesenen Parameter
eine Adresse eines Heimagenten
(HA) des mobilen Endgerätes
UE, oder
eine Adresse eines weiteren Servers des Netzes, oder
kryptographische
Schlüssel
zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server
des Netzes, oder
Ableitungsparameter zur Ableitung eines kryptographischen
Schlüssels
zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server
des Netzes auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Adresse durch eine IP-Adresse gebildet.
-
Bei
einer alternativen Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Adresse durch eine DNS-Adresse gebildet.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird ein Parameter jeweils als Teil eines XML-Elementes innerhalb
von Nutzdaten der Authentifizierungserfolgsbestätigungsnachricht übertragen.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Authentifizierungserfolgsbestätigungsnachricht durch eine
http-Nachricht gebildet.
-
Die
Erfindung schafft ferner einen Bootstrapping-Server BSF eines Netzes
zur Durchführung
einer GBA (Generic Bootstrapping Architecture)-Bootstrapping-Prozedur
für ein
mobiles Endgerät UE
eines Teilnehmers,
wobei der Bootstrapping-Server BSF über eine Schnittstelle
an das mobile Endgerät
UE in einer Authentifizierungserfolgsbestätigungsnachricht mindestens
einen Parameter überträgt, welcher
für den Zugang
des mobilen Endgeräts
UE zu einem weiteren Server des Netzes erforderlich ist.
-
Der
Bootstrapping-Server BSF ist vorzugsweise in einem Heimatnetz des
Teilnehmers vorgesehen.
-
Dabei
weisen die Parameter vorzugsweise die Adresse eines weiteren Servers
des Netzes auf.
-
Bei
einer Ausführungsform
weisen die Parameter eine Adresse eines Heimatagenten des Teilnehmers
auf.
-
Bei
einer weiteren Ausführungsform
weisen die Parameter eine Adresse eines Applikationsservers auf.
-
Bei
einer weiteren Ausführungsform
weisen die Parameter kryptographische Schlüssel zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und weiteren Servern des
Netzes auf.
-
Bei
einer weiteren Ausführungsform
weisen die Parameter Ableitungsparameter zur Ableitung von kryptographischen
Schlüsseln
zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und weiteren Servern des
Netzes auf.
-
Bei
den Ableitungsparametern handelt es sich vorzugsweise um Zufallszahlen.
-
Im
Weiteren werden Ausführungsformen
des erfindungsgemäßen Verfahrens
und des Bootstrapping-Servers unter Bezugnahme auf die beigefügten Figuren
zur Erläuterung
erfindungswesentlicher Merkmale beschrieben.
-
Es
zeigen:
-
1 ein
System zur Durchführung
des erfindungsgemäßen Verfahrens;
-
2 ein
Signaldiagramm zur Darstellung einer möglichen Ausführungsform
des erfindungsgemäßen Verfahrens
zum Zuweisen von Parametern.
-
Wie
man aus 1 erkennen kann, wechselt ein
mobiles Endgerät
UE von einem ersten Zugangsnetz A, welches beispielsweise in einer
3GPP-Zugangstechnologie implementiert ist, zu einem zweiten Zugangsnetz
B, welches in einer anderen Zugangstechnologie implementiert ist,
beispielsweise WiMax, DSL oder WLAN. Die Zugangsnetze kommunizieren
mit dem mobilen Endgerät
UE mittels einer Basisstation BS über eine Funkschnittstelle.
Die Basisstation BS des Zugangsnetzes ist beispielsweise über ein
Gateway GW und optional ein besuchtes Netz mit einem Heimatnetz
des mobilen Endgerätes UE
verbunden. In dem in 1 dargestellten Beispiel befindet
sich in dem Heimatnetz auch der Heimagent HA des mobilen Endgerätes UE.
Bei einer alternativen Ausführungsform
befindet sich der Heimagent HA beispielsweise in einem besuchten
Netz. Ferner ist in dem Heimatnetz ein Bootstrapping-Server mit einer
Bootstrapping-Server-Function BSF vorgesehen. In dem Heimatnetz
befindet sich ferner ein Home-Subscriber-System-Server HSS, der
einen permanenten kryptographischen Schlüssel und das Profil des Teilnehmers
speichert.
-
2 zeigt
eine mögliche
Ausführungsform des
erfindungsgemäßen Verfahrens
zum Zuweisen von mindestens einem Parameter an das mobile Endgerät UE.
-
Das
mobile Endgerät
UE, welches die Adresse des Bootstrapping-Servers BSF innerhalb
des Heimatnetzes kennt, wie in 3G TS 33.220, Kapitel 4.5.4 beschrieben,
sendet zunächst
eine Anforderungsnachricht an den Bootstrapping-Server BSF im Rahmen
eines Authentisierungsvorgangs.
-
Der
Bootstrapping-Server BSF lädt
daraufhin über
ein so genanntes Zh Interface einen Authentisierungsvektor AV und
ein Teilnehmerprofil von dem HSS-Server. Der Authentisierungsvektor
AV umfasst einige notwendige Parameter, wie beispielsweise kryptographische
Schlüssel,
RAND (Authentisierungs-Challenge),
AUTN (Authentification of Network) sowie Schlüssel CK (Cipher Key) und IK
(Integrity Key). Daraufhin leitet der Bootstrapping-Server BSF einige
der Parameter wie RAND und AUTN an das mobile Endgerät UE in
einer Nachricht weiter und behält
einige Parameter wie CK (Cipher Key) und IK (Integrity Key).
-
Das
mobile Endgerät
UE prüft
anschließend AUTN,
um zu verifizieren, ob die Authentisierungs-Challenge aus einem
autorisierten Netzwerk stammt. Darüber hinaus berechnet das mobile
Endgerät
UE CK, IK und RES und übertragt
RES an den Bootstrapping-Server BSF, der den berechneten Wert RES überprüft.
-
Nach
Berechnung eines Schlüssels
Ks in Abhängigkeit
von den Schlüsseln
CK, IK sendet der Bootstrapping-Server BSF eine Authentifizierungserfolgsbestätigungsnachricht
(200 OK). Die Authentifizierungserfolgsbestätigungsnachricht bestätigt den
Erfolg der vorangegangenen Authentifikation. In der Authentifizierungserfolgsbestätigungsnachricht
(200 OK) wird ein sogenannter Transaktionsidentifikator B-TID übertragen.
Die Übertragung des
sogenannten Nachrichtenkörpers
bzw. Message-Bodies,
d.h. eine Nachricht ohne die Verwaltungs- bzw. Header-Daten ist
integritätsgeschützt. Die
Elemente in dem Nachrichtenkörper
der Authentifizierungserfolgsbestätigungsnachricht können gemäß 3G TS
24.109 in einem XML-Datenformat übertragen
werden, das eine flexible Definition neuer Elemente erlaubt.
-
Bei
dem erfindungsgemäßen Verfahren
werden mit der Authentifizierungserfolgsbestätigungsnachricht zusätzliche
Parameter übertragen,
welche einen Zugang des mobilen Endgerätes UE zu jeweils einem weiteren
Server des Netzes erlauben. Dabei wird der Nachrichtenkörper bzw.
der Message-Body der Authentifizierungserfolgsbestätigungsnachricht um
weitere XML-Elemente erweitert, in denen die Parameter transportiert
werden. Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens
wird in einem XML-Element die HA-Adresse des Heimatagenten des mobilen
Endgerätes
UE von dem Bootstrapping-Server
BSF hin zu dem mobilen Endgerät
UE übertragen.
-
Bei
einer weiteren Ausführungsform
des erfindungsgemäßen Verfahrens
werden weitere Parameter zu dem mobilen Endgerät UE übertragen. Bei einer Ausführungsform
werden Adressen weiterer Server des Netzes zu dem mobilen Endgerät UE übertragen.
Weiterhin können
kryptographische Schlüssel
zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server
des Netzes übertragen
werden. Darüber
hinaus können
in der Authentisierungserfolgsbestätigungsnachricht auch Ableitungsparameter
zur Ableitung eines kryptographischen Schlüssels zur Verschlüsselung
von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server
des Netzes übertragen
werden.
-
Bei
einer bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Parameter über
eine Schnittstelle in das mobile Endgerät UE nur übertragen, wenn es sich bei
dem Zugangsnetz um kein 3GPP-Zugangsnetz handelt, d.h. wenn es sich
bei dem Zugangsnetz beispielsweise um ein WiMax-, ein DSL- oder
ein WLAN-Netz handelt. Bei der Authentisierungserfolgsbestätigungsnachricht
handelt es sich vorzugsweise um eine http-Nachricht. Handelt es
sich bei dem übertragenen
Parameter um eine Adresse, so kann dies eine IP-Adresse oder eine
DNS-Adresse sein. Beispielsweise kann die Adresse eines geeigneten
SIP-Servers an das mobile Endgerät
UE von dem Bootstrapping-Server BSF in der Authentifizierungserfolgsbestätigungsnachricht übersendet
werden.
-
Werden
als zusätzliche
Parameter kryptographische Schlüssel
durch den Bootstrapping-Server BSF übertragen, so kann dies in
unterschiedlicher Weise erfolgen.
-
Eine
Möglichkeit
besteht darin, den jeweiligen Schlüssel unverschlüsselt zu übertragen.
Eine alternative Möglichkeit
besteht darin, den jeweiligen Schlüssel verschlüsselt zu übertragen.
Dazu wird beispielsweise eine zusätzliche Verschlüsselungsfunktion
auf einer Ub-Schnittstelle eingeführt. Der dazu wiederum benötigte Schlüssel wird
vorzugsweise zwischen dem mobilen Endgerät UE und dem Bootstrapping-Server
BSF vereinbart.
-
Bei
einer alternativen Ausführungsform
wird zwischen dem mobilen Endgerät
UE und dem Bootstrapping-Server BSF ein Schlüssel KS-UE-Server für den Gebrauch
zwischen dem mobilen Endgerät
UE und dem jeweils zugewiesenen Server, beispielsweise zwischen
dem mobilen Endgerät
UE und dem Heimagenten des mobilen Endgerätes UE, vereinbart. Diese Vereinbarung
erfolgt dabei vorzugsweise derart, dass man in einem geeigneten
weiteren XML-Element der Authentifizierungserfolgsbestätigungsnachricht
passende Schlüsselableitungsparameter
key_deriv-parameter_1, key_deriv-parameter_2, ... key_deriv-parameter_n überträgt und aus
einem, dem mobilen Endgerät
UE und dem Bootstrapping-Server BSF bekannten Schlüssel Ks
und den übertragenen
Schlüsselableitungsparameter
den Schlüssel
KS-UE-Server ableitet, beispielsweise KS-UE-Server = KDF (KS, key_deriv-parameter_1,
key_deriv-parameter_2, ... key_deriv-parameter_n), wobei key_deriv-parameter_1,
key_deriv-parameter_2,
... key_deriv-parameter_n in einem zusätzlich vorgesehenem XML-Element übertragen
werden. Mit KDF (Key Derivation Function) ist eine geeignete Schlüsselableitungsfunktion,
beispielsweise HMAC-SHA1, bezeichnet.
-
Alternativ
erfolgt die Vereinbarung derart, dass aus den schon vorhandenen
Parametern der Schlüssel
abgeleitet wird.
-
Das
erfindungsgemäße Verfahren
hat den Vorteil, dass es unabhängig
von der Technologie des Zugangsnetzes einsetzbar ist. Darüber hinaus
erlaubt das erfindungsgemäße Verfahren
eine benutzerspezifische Zuweisung von Parametern.
-
Das
erfindungsgemäße Verfahren
ist leicht erweiterbar für
die Konfiguration beliebiger weiterer Parameter, d.h. das erfindungsgemäße Verfahren
ist nicht nur spezifisch für
Mobile IP anwendbar. Das erfindungsgemäße Verfahren ist insbesondere
nicht von der speziellen Version von Mobile IP (MIP) abhängig.
-
Ein
weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin,
dass die Zuweisung der Parameter in sicherer Weise erfolgt, d.h.
die Parameter werden integritätsgeschützt dem
mobilen Endgerät
UE zugewiesen.
-
Ein
besonderer Vorteil des erfindungsgemäßen Verfahrens besteht darin,
dass das mobile Endgerät
UE nicht zusätzlich
vorkonfiguriert werden muss, da der ohnehin benötigte Name des Bootstrapping-Server
BSF dem Endgerät
UE bekannt ist.
-
Bei
dem erfindungsgemäßen Verfahren
wird der aus der Generic Bootstrapping-Architecture GBA bekannte
Bootstrapping-Server BSF durch das erfindungsgemäße Verfahren als universeller
Bootstrapping-Server eingesetzt, wobei die GBA Bootstrapping-Architecture in der
3GPP-System-Architektur-Evolution SAE benutzt wird.