DE102006043340A1 - Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur - Google Patents

Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur Download PDF

Info

Publication number
DE102006043340A1
DE102006043340A1 DE102006043340A DE102006043340A DE102006043340A1 DE 102006043340 A1 DE102006043340 A1 DE 102006043340A1 DE 102006043340 A DE102006043340 A DE 102006043340A DE 102006043340 A DE102006043340 A DE 102006043340A DE 102006043340 A1 DE102006043340 A1 DE 102006043340A1
Authority
DE
Germany
Prior art keywords
network
mobile terminal
bootstrapping
server
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102006043340A
Other languages
English (en)
Inventor
Rainer Dr. Falk
Günther. Dr. Horn
Dirk Kröselberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks GmbH and Co KG filed Critical Nokia Siemens Networks GmbH and Co KG
Priority to DE102006043340A priority Critical patent/DE102006043340A1/de
Priority to PCT/EP2007/056495 priority patent/WO2008000798A1/de
Publication of DE102006043340A1 publication Critical patent/DE102006043340A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Bei einem erfindungsgemäßen Verfahren erfolgt ein Zuweisen von mindestens einem Parameter an ein mobiles Endgerät (UE) eines Teilnehmers durch einen Bootstrapping-Server (BSF) eines Netzes in einer Authentifizierungserfolgsbestätigungsnachricht einer GBA(Generic Bootstrapping Architecture)-Bootstrapping-Prozedur, wobei die zugewiesenen Parameter in ihrem Verwendungszweck nicht durch das Verfahren eingeschränkt sind.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Zuweisen von mindestens einem Parameter an ein mobiles Endgerät in einer GBA (Generic Bootstrapping Architecture) gemäß 3G TS 33.220 Bootstrapping-Prozedur im Rahmen von SAE (3GPP System Architecture Evolution).
  • Ein mobiles Endgerät MN (Mobile Node) bzw. ein Benutzerendgerät UE (User Equipment) ist zum Datenaustausch über eine Funkschnittstelle an ein Zugangsnetz angeschlossen, das seinerseits über optionale weitere Netze mit einem Heimatnetz des mobilen Endgerätes UE verbunden ist.
  • Zugangsnetze können unterschiedliche standardisierte Zugangstechnologien aufweisen. Man kann Zugangsnetze in 3GPP standardisierte Zugangsnetze, wie GSM, UMTS oder LTE (Long Term Evolution) und in sonstige Zugangsnetze, die nicht dem 3GPP-Standard entsprechen, unterteilen, wie beispielsweise WiMax, DSL oder WLAN-Zugangsnetze. Es ist gemäß 3G TR23.882 (3GPP-System Architecture Evolution: Report an Technical Options and Conclusions (Release 7), Version 1.2.3, ftp://ftp3GPP.Org/specs/) vorgesehen, die Mobilität eines mobilen Endgeräts UE bei einem Übergang von einem 3GPP-Zugangsnetz zu einem Zugangsnetz, welches nicht dem 3GPP-Standard genügt, mittels Mobile IP (MIP) zu realisieren. Bei den bisherigen Systemen, die Zugangsnetze mit unterschiedlicher Zugangstechnologie einsetzen, ist ein nahtloser Übergang bzw. ein Handover eines mobilen Endgeräts UE von einem ersten Zugangsnetz, welches beispielsweise dem 3GPP-Standard genügt, zu einem zweiten Zugangsnetz, welches beispielsweise nicht gemäß dem 3GPP-Standard aufgebaut ist, nicht in flexibler Weise bei beliebigen Zugangsnetzen möglich. Es gibt verschiedene Teillösungen, die jedoch alle Nachteile aufweisen.
  • So erfordern manche bestehende Systeme eine spezielle, für das jeweilige Zugangsnetz spezifische Konfiguration des Endgeräts UE und erlauben somit nicht den nahtlosen Übergang zwischen beliebigen Zugangsnetzen mit unterschiedlicher Technologie.
  • Bei solchen herkömmlichen Systemen müssen beispielsweise Parameter in dem mobilen Endgerät UE fest vorkonfiguriert werden. Das hat den Nachteil, dass mehrere solche Einträge in dem Endgerät UE vorzukonfigurieren sind, wobei die Konfiguration des Endgerätes UE mit Kosten verbunden und unflexibel ist. Ein weiterer Nachteil besteht, dass bereits von Nutzern eingesetzte Endgeräte UE nur mit hohem Aufwand nachträglich umkonfiguriert werden können.
  • Bei einem WiMax-Zugangsnetz nach dem Stand der Technik wird eine Adresse eines Heimagenten (Home Agent) HA von einem AAA-Server zugewiesen. Anschließend wird die HA-Adresse zunächst über das Radius-Protokoll an das Zugangsnetz übergeben und von dort beispielsweise mittels DHCP an das mobile Endgerät UE weitergeleitet. Diese Möglichkeit besteht bei einer SAE-System Architektur nicht, da die Mechanismen hier unabhängig von speziellen Zugangsnetzen bzw. Radiozugangsnetzen funktionieren müssen. Bei einer SAE-Architektur ist die Mobilität zwischen verschiedenen Typen von Zugangsnetzen zu gewährleisten, ohne dass die Zugangsnetze verändert werden.
  • Ein weiterer herkömmlicher Ansatz nach dem Stand der Technik ist in TR 23.882, Section E erwähnt, nämlich die Zuweisung von Parametern mittels einer Diameter Mobile IP V4 Applikation, wobei das mobile Endgerät UE bzw. der mobile Knoten MN eine MIP (Mobile IP) Registrierung an einen Fremdagenten FA (Foreign Agent) sendet, wobei das mobile Endgerät UE als HA-Adresse 0.0.0.0 bzw. 255.255.255.255 einträgt. Dieser Ansatz ist aber nur für MIP V4 möglich und auch hier nur, wenn ein Fremdagent FA verwendet wird, was auch bei MIP V4 nicht der Fall sein muss.
  • Ein weiterer herkömmlicher Ansatz besteht in der Zuweisung einer HA-Adresse mittels eines aus GPRS bekannten Access Point Namen APNs gemäß 3G TS 23.060 (General Packet Radio Service (GPRS)); Service Description, Stage 2, (Release 6) ftp://ftp.3GPP.org/specs/). Bei GPRS und UMTS ist die Zuweisung eines Access Point Namens APN dynamisch beim Attachment möglich. Dieser Ansatz ist jedoch nicht auf beliebige Zugangsnetze unterschiedlicher Technologie verallgemeinerbar.
  • Ein weiterer bekannter Ansatz besteht darin, dem mobilen Endgerät UE die HA-Konfigurationsinformation für mobile IP V6 über DHCP V6 mitzuteilen wie beispielsweise in http://www.ietf.org/internet-drafts/drafting-ietf-mip6-bootstrapping-integrated-dhc-01.txt beschrieben. Dieser Mechanismus wird allerdings nicht von jedem besuchten Netz unterstützt und ist deshalb nicht für beliebige Zugangsnetze verwendbar.
  • Ferner wird in RFC3775 Abschnitt 11.4.1 ein DHAAD (Dynamic Home Agent Access Discovery) genannter Mechanismus zum dynamischen Einrichten einer HA-Adresse definiert. Dabei sendet das mobile Endgerät UE eine ICMP Home Agent Discovery Request-Nachricht an die mobile IP V6 Home Agent Anycast-Adresse seines Heimsubnetzpräfix. Dieser Ansatz ist aber nur für MIP V6 geeignet und in dem mobilen Endgerät UE muss das Heimnetzpräfix vorkonfiguriert werden.
  • Keine der bisherigen Systeme ermöglicht einen flexiblen kontinuierlichen Übergang eines mobilen Endgeräts UE von einem Zugangsnetz mit einer beliebigen ersten Zugangstechnologie zu einem Zugangsnetz mit einer beliebigen zweiten Zugangstechnologie, ohne dass eine spezielle Vorkonfiguration in dem mobilen Endgerät UE oder Änderungen an dem Zugangsnetz vorgenommen werden müssen.
  • Es ist daher die Aufgabe der vorliegenden Erfindung ein Verfahren und eine Vorrichtung zu schaffen, die es einem mobilen Endgerät erlauben, sich in Zugangsnetze unterschiedlicher Technologien in einheitlicher Weise derart einzubuchen, dass ein nahtloser Übergang zwischen den Zugangsnetzen gewährleistet ist.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Anspruch 1 angegebenen Merkmalen gelöst.
  • Die Erfindung schafft ein Verfahren zum Zuweisen von mindestens einem Parameter an ein mobiles Endgerät UE eines Teilnehmers durch einen Bootstrapping-Server BSF eines Netzes in einer Authentifizierungserfolgsbestätigungsnachricht einer GBA (Generic Bootstrapping Architecture) Bootstrapping Prozedur.
  • Dabei ist der zugewiesene Parameter bzw. eine Gruppe von zugewiesenen Parametern vorzugsweise jeweils für einen Zugang des mobilen Endgerätes UE zu jeweils einem weiteren Server des Netzes einsetzbar.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der Bootstrapping-Server BSF in einem Heimatnetz des Teilnehmers vorgesehen.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens bucht sich das mobile Endgerät UE über ein Zugangsnetz in das Netz ein.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Parameter über eine Schnittstelle eines mobilen Endgerätes UE übertragen, wenn das Zugangsnetz kein 3GPP-Zugangsnetz ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Parameter über die Schnittstelle eines mobilen Endgerätes UE übertragen, wenn das Zugangsnetz durch ein WiMax-, ein DSL- oder ein WLAN-Netz gebildet wird.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weisen die zugewiesenen Parameter
    eine Adresse eines Heimagenten (HA) des mobilen Endgerätes UE, oder
    eine Adresse eines weiteren Servers des Netzes, oder
    kryptographische Schlüssel zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server des Netzes, oder
    Ableitungsparameter zur Ableitung eines kryptographischen Schlüssels zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server des Netzes auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die Adresse durch eine IP-Adresse gebildet.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens wird die Adresse durch eine DNS-Adresse gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird ein Parameter jeweils als Teil eines XML-Elementes innerhalb von Nutzdaten der Authentifizierungserfolgsbestätigungsnachricht übertragen.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die Authentifizierungserfolgsbestätigungsnachricht durch eine http-Nachricht gebildet.
  • Die Erfindung schafft ferner einen Bootstrapping-Server BSF eines Netzes zur Durchführung einer GBA (Generic Bootstrapping Architecture)-Bootstrapping-Prozedur für ein mobiles Endgerät UE eines Teilnehmers,
    wobei der Bootstrapping-Server BSF über eine Schnittstelle an das mobile Endgerät UE in einer Authentifizierungserfolgsbestätigungsnachricht mindestens einen Parameter überträgt, welcher für den Zugang des mobilen Endgeräts UE zu einem weiteren Server des Netzes erforderlich ist.
  • Der Bootstrapping-Server BSF ist vorzugsweise in einem Heimatnetz des Teilnehmers vorgesehen.
  • Dabei weisen die Parameter vorzugsweise die Adresse eines weiteren Servers des Netzes auf.
  • Bei einer Ausführungsform weisen die Parameter eine Adresse eines Heimatagenten des Teilnehmers auf.
  • Bei einer weiteren Ausführungsform weisen die Parameter eine Adresse eines Applikationsservers auf.
  • Bei einer weiteren Ausführungsform weisen die Parameter kryptographische Schlüssel zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und weiteren Servern des Netzes auf.
  • Bei einer weiteren Ausführungsform weisen die Parameter Ableitungsparameter zur Ableitung von kryptographischen Schlüsseln zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und weiteren Servern des Netzes auf.
  • Bei den Ableitungsparametern handelt es sich vorzugsweise um Zufallszahlen.
  • Im Weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des Bootstrapping-Servers unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben.
  • Es zeigen:
  • 1 ein System zur Durchführung des erfindungsgemäßen Verfahrens;
  • 2 ein Signaldiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zum Zuweisen von Parametern.
  • Wie man aus 1 erkennen kann, wechselt ein mobiles Endgerät UE von einem ersten Zugangsnetz A, welches beispielsweise in einer 3GPP-Zugangstechnologie implementiert ist, zu einem zweiten Zugangsnetz B, welches in einer anderen Zugangstechnologie implementiert ist, beispielsweise WiMax, DSL oder WLAN. Die Zugangsnetze kommunizieren mit dem mobilen Endgerät UE mittels einer Basisstation BS über eine Funkschnittstelle. Die Basisstation BS des Zugangsnetzes ist beispielsweise über ein Gateway GW und optional ein besuchtes Netz mit einem Heimatnetz des mobilen Endgerätes UE verbunden. In dem in 1 dargestellten Beispiel befindet sich in dem Heimatnetz auch der Heimagent HA des mobilen Endgerätes UE. Bei einer alternativen Ausführungsform befindet sich der Heimagent HA beispielsweise in einem besuchten Netz. Ferner ist in dem Heimatnetz ein Bootstrapping-Server mit einer Bootstrapping-Server-Function BSF vorgesehen. In dem Heimatnetz befindet sich ferner ein Home-Subscriber-System-Server HSS, der einen permanenten kryptographischen Schlüssel und das Profil des Teilnehmers speichert.
  • 2 zeigt eine mögliche Ausführungsform des erfindungsgemäßen Verfahrens zum Zuweisen von mindestens einem Parameter an das mobile Endgerät UE.
  • Das mobile Endgerät UE, welches die Adresse des Bootstrapping-Servers BSF innerhalb des Heimatnetzes kennt, wie in 3G TS 33.220, Kapitel 4.5.4 beschrieben, sendet zunächst eine Anforderungsnachricht an den Bootstrapping-Server BSF im Rahmen eines Authentisierungsvorgangs.
  • Der Bootstrapping-Server BSF lädt daraufhin über ein so genanntes Zh Interface einen Authentisierungsvektor AV und ein Teilnehmerprofil von dem HSS-Server. Der Authentisierungsvektor AV umfasst einige notwendige Parameter, wie beispielsweise kryptographische Schlüssel, RAND (Authentisierungs-Challenge), AUTN (Authentification of Network) sowie Schlüssel CK (Cipher Key) und IK (Integrity Key). Daraufhin leitet der Bootstrapping-Server BSF einige der Parameter wie RAND und AUTN an das mobile Endgerät UE in einer Nachricht weiter und behält einige Parameter wie CK (Cipher Key) und IK (Integrity Key).
  • Das mobile Endgerät UE prüft anschließend AUTN, um zu verifizieren, ob die Authentisierungs-Challenge aus einem autorisierten Netzwerk stammt. Darüber hinaus berechnet das mobile Endgerät UE CK, IK und RES und übertragt RES an den Bootstrapping-Server BSF, der den berechneten Wert RES überprüft.
  • Nach Berechnung eines Schlüssels Ks in Abhängigkeit von den Schlüsseln CK, IK sendet der Bootstrapping-Server BSF eine Authentifizierungserfolgsbestätigungsnachricht (200 OK). Die Authentifizierungserfolgsbestätigungsnachricht bestätigt den Erfolg der vorangegangenen Authentifikation. In der Authentifizierungserfolgsbestätigungsnachricht (200 OK) wird ein sogenannter Transaktionsidentifikator B-TID übertragen. Die Übertragung des sogenannten Nachrichtenkörpers bzw. Message-Bodies, d.h. eine Nachricht ohne die Verwaltungs- bzw. Header-Daten ist integritätsgeschützt. Die Elemente in dem Nachrichtenkörper der Authentifizierungserfolgsbestätigungsnachricht können gemäß 3G TS 24.109 in einem XML-Datenformat übertragen werden, das eine flexible Definition neuer Elemente erlaubt.
  • Bei dem erfindungsgemäßen Verfahren werden mit der Authentifizierungserfolgsbestätigungsnachricht zusätzliche Parameter übertragen, welche einen Zugang des mobilen Endgerätes UE zu jeweils einem weiteren Server des Netzes erlauben. Dabei wird der Nachrichtenkörper bzw. der Message-Body der Authentifizierungserfolgsbestätigungsnachricht um weitere XML-Elemente erweitert, in denen die Parameter transportiert werden. Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird in einem XML-Element die HA-Adresse des Heimatagenten des mobilen Endgerätes UE von dem Bootstrapping-Server BSF hin zu dem mobilen Endgerät UE übertragen.
  • Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden weitere Parameter zu dem mobilen Endgerät UE übertragen. Bei einer Ausführungsform werden Adressen weiterer Server des Netzes zu dem mobilen Endgerät UE übertragen. Weiterhin können kryptographische Schlüssel zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server des Netzes übertragen werden. Darüber hinaus können in der Authentisierungserfolgsbestätigungsnachricht auch Ableitungsparameter zur Ableitung eines kryptographischen Schlüssels zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät UE und einem weiteren Server des Netzes übertragen werden.
  • Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens werden die Parameter über eine Schnittstelle in das mobile Endgerät UE nur übertragen, wenn es sich bei dem Zugangsnetz um kein 3GPP-Zugangsnetz handelt, d.h. wenn es sich bei dem Zugangsnetz beispielsweise um ein WiMax-, ein DSL- oder ein WLAN-Netz handelt. Bei der Authentisierungserfolgsbestätigungsnachricht handelt es sich vorzugsweise um eine http-Nachricht. Handelt es sich bei dem übertragenen Parameter um eine Adresse, so kann dies eine IP-Adresse oder eine DNS-Adresse sein. Beispielsweise kann die Adresse eines geeigneten SIP-Servers an das mobile Endgerät UE von dem Bootstrapping-Server BSF in der Authentifizierungserfolgsbestätigungsnachricht übersendet werden.
  • Werden als zusätzliche Parameter kryptographische Schlüssel durch den Bootstrapping-Server BSF übertragen, so kann dies in unterschiedlicher Weise erfolgen.
  • Eine Möglichkeit besteht darin, den jeweiligen Schlüssel unverschlüsselt zu übertragen. Eine alternative Möglichkeit besteht darin, den jeweiligen Schlüssel verschlüsselt zu übertragen. Dazu wird beispielsweise eine zusätzliche Verschlüsselungsfunktion auf einer Ub-Schnittstelle eingeführt. Der dazu wiederum benötigte Schlüssel wird vorzugsweise zwischen dem mobilen Endgerät UE und dem Bootstrapping-Server BSF vereinbart.
  • Bei einer alternativen Ausführungsform wird zwischen dem mobilen Endgerät UE und dem Bootstrapping-Server BSF ein Schlüssel KS-UE-Server für den Gebrauch zwischen dem mobilen Endgerät UE und dem jeweils zugewiesenen Server, beispielsweise zwischen dem mobilen Endgerät UE und dem Heimagenten des mobilen Endgerätes UE, vereinbart. Diese Vereinbarung erfolgt dabei vorzugsweise derart, dass man in einem geeigneten weiteren XML-Element der Authentifizierungserfolgsbestätigungsnachricht passende Schlüsselableitungsparameter key_deriv-parameter_1, key_deriv-parameter_2, ... key_deriv-parameter_n überträgt und aus einem, dem mobilen Endgerät UE und dem Bootstrapping-Server BSF bekannten Schlüssel Ks und den übertragenen Schlüsselableitungsparameter den Schlüssel KS-UE-Server ableitet, beispielsweise KS-UE-Server = KDF (KS, key_deriv-parameter_1, key_deriv-parameter_2, ... key_deriv-parameter_n), wobei key_deriv-parameter_1, key_deriv-parameter_2, ... key_deriv-parameter_n in einem zusätzlich vorgesehenem XML-Element übertragen werden. Mit KDF (Key Derivation Function) ist eine geeignete Schlüsselableitungsfunktion, beispielsweise HMAC-SHA1, bezeichnet.
  • Alternativ erfolgt die Vereinbarung derart, dass aus den schon vorhandenen Parametern der Schlüssel abgeleitet wird.
  • Das erfindungsgemäße Verfahren hat den Vorteil, dass es unabhängig von der Technologie des Zugangsnetzes einsetzbar ist. Darüber hinaus erlaubt das erfindungsgemäße Verfahren eine benutzerspezifische Zuweisung von Parametern.
  • Das erfindungsgemäße Verfahren ist leicht erweiterbar für die Konfiguration beliebiger weiterer Parameter, d.h. das erfindungsgemäße Verfahren ist nicht nur spezifisch für Mobile IP anwendbar. Das erfindungsgemäße Verfahren ist insbesondere nicht von der speziellen Version von Mobile IP (MIP) abhängig.
  • Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass die Zuweisung der Parameter in sicherer Weise erfolgt, d.h. die Parameter werden integritätsgeschützt dem mobilen Endgerät UE zugewiesen.
  • Ein besonderer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass das mobile Endgerät UE nicht zusätzlich vorkonfiguriert werden muss, da der ohnehin benötigte Name des Bootstrapping-Server BSF dem Endgerät UE bekannt ist.
  • Bei dem erfindungsgemäßen Verfahren wird der aus der Generic Bootstrapping-Architecture GBA bekannte Bootstrapping-Server BSF durch das erfindungsgemäße Verfahren als universeller Bootstrapping-Server eingesetzt, wobei die GBA Bootstrapping-Architecture in der 3GPP-System-Architektur-Evolution SAE benutzt wird.

Claims (23)

  1. Verfahren zum Zuweisen von mindestens einem Parameter an ein mobiles Endgerät (UE) eines Teilnehmers durch einen Bootstrapping-Server (BSF) eines Netzes in einer Authentifizierungserfolgsbestätigungsnachricht einer GBA (Generic Bootstrapping Architecture)-Bootstrapping-Prozedur, wobei die zugewiesenen Parameter nicht im Rahmen einer generischen Bootstrapping-Architektur (GBA) eingesetzt werden
  2. Verfahren nach Anspruch 1, wobei die zugewiesenen Parameter jeweils zu einem Zugang des mobilen Endgeräts (UE) zu einem weiteren Server des Netzes einsetzbar sind.
  3. Verfahren nach Anspruch 1, wobei der Bootstrapping-Server (BSF) in einem Heimatnetz des Teilnehmers vorgesehen wird.
  4. Verfahren nach Anspruch 1, wobei sich das mobile Endgerät (UE) über ein Zugangsnetz in das Netz einbucht.
  5. Verfahren nach Anspruch 4, wobei die Parameter über eine Schnittstelle an das mobile Endgerät (UE) übertragen werden, wenn das Zugangsnetz kein 3GPP-Zugangsnetz ist.
  6. Verfahren nach Anspruch 5, wobei die Parameter über eine Schnittstelle an das mobile Endgerät (UE) übertragen werden, wenn das Zugangsnetz durch ein WiMax-, ein DSL- oder ein WLAN-Netz gebildet wird.
  7. Verfahren nach Anspruch 1, wobei die Parameter eine Adresse eines Heimagenten (HA) des mobilen Endgeräts (UE), oder eine Adresse eines weiteren Servers des Netzes, oder kryptographische Schlüssel zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät (UE) und einem weiteren Server des Netzes, oder Ableitungsparameter zur Ableitung eines kryptographischen Schlüssels zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät und einem weiteren Server des Netzes aufweisen.
  8. Verfahren nach Anspruch 7, wobei die Adresse durch eine IP-Adresse gebildet wird.
  9. Verfahren nach Anspruch 7, wobei die Adresse durch eine DNS-Adresse gebildet wird.
  10. Verfahren nach Anspruch 1, wobei ein Parameter jeweils als Teil eines XML-Elementes innerhalb von Nutzdaten der Authentifizierungserfolgsbestätigungsnachricht übertragen wird.
  11. Verfahren nach Anspruch 1, wobei die Authentifizierungserfolgsbestätigungsnachricht durch eine http-Nachricht gebildet wird.
  12. Bootstrapping-Server (BSF) eines Netzes zur Durchführung einer GBA (Generic Bootstrapping Architecture)-Bootstrapping-Prozedur für ein mobiles Endgerät (UE) eines Teilnehmers, wobei der Bootstrapping-Server (BSF) über eine Schnittstelle an das mobile Endgerät (UE) in einer Authentifizierungserfolgsbestätigungsnachricht mindestens einen Parameter überträgt, der nicht im Rahmen der generischen Bootstrapping Architektur (GBA) eingesetzt wird.
  13. Bootstrapping-Server nach Anspruch 12, welcher für den Zugang des mobilen Endgeräts (UE) zu einem weiteren Server des Netzes erforderlich ist.
  14. Bootstrapping-Server nach Anspruch 12, wobei der Bootstrapping-Server (BSF) in einem Heimatnetz des Teilnehmers vorgesehen ist.
  15. Bootstrapping-Server nach Anspruch 12, wobei die Parameter eine Adresse aufweisen.
  16. Bootstrapping-Server nach Anspruch 15, wobei die Parameter die Adresse des weiteren Servers des Netzes aufweisen.
  17. Bootstrapping-Server nach Anspruch 16, wobei die Parameter eine Adresse eines Heimatagenten (HA) des Teilnehmers aufweisen.
  18. Bootstrapping-Server nach Anspruch 16, wobei die Parameter eine Adresse eines Applikationsservers aufweisen.
  19. Bootstrapping-Server nach Anspruch 12, wobei die Parameter kryptographische Schlüssel zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät (UE) und weiteren Servern des Netzes aufweisen.
  20. Bootstrapping-Server nach Anspruch 12, wobei die Parameter Ableitungsparameter zur Ableitung von kryptographischen Schlüsseln zur Verschlüsselung von Nachrichten zwischen dem mobilen Endgerät (UE) und weiteren Servern des Netzes aufweisen.
  21. Bootstrapping-Server nach Anspruch 20, wobei die Ableitungsparameter generierte Zufallszahlen aufweisen.
  22. Bootstrapping-Server nach Anspruch 15, wobei die Adresse eine IP-Adresse ist.
  23. Bootstrapping-Server nach Anspruch 15, wobei die Adresse eine DNS-Adresse ist.
DE102006043340A 2006-06-29 2006-09-15 Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur Ceased DE102006043340A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102006043340A DE102006043340A1 (de) 2006-06-29 2006-09-15 Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur
PCT/EP2007/056495 WO2008000798A1 (de) 2006-06-29 2007-06-28 Verfahren und vorrichtung zum zuweisen eines parameters in einer gba-bootstrapping-prozedur

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102006029939 2006-06-29
DE102006029939.6 2006-06-29
DE102006043340A DE102006043340A1 (de) 2006-06-29 2006-09-15 Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur

Publications (1)

Publication Number Publication Date
DE102006043340A1 true DE102006043340A1 (de) 2008-01-03

Family

ID=38512189

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006043340A Ceased DE102006043340A1 (de) 2006-06-29 2006-09-15 Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur

Country Status (2)

Country Link
DE (1) DE102006043340A1 (de)
WO (1) WO2008000798A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016165737A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20041447A0 (fi) * 2004-11-09 2004-11-09 Nokia Corp Avainderivointitoiminnon määrittäminen

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016165737A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
US10158993B2 (en) 2015-04-13 2018-12-18 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications

Also Published As

Publication number Publication date
WO2008000798A1 (de) 2008-01-03

Similar Documents

Publication Publication Date Title
DE102006004868B4 (de) Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006015033B4 (de) Mobile Station als Gateway für mobile Endgeräte zu einem Zugangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP1761082B1 (de) Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
DE602005001542T2 (de) Verfahren und Vorrichtung zur Verwendung eines VPN-Gateways, das als Mobile IP Foreign Agent für mobile Knoten fungiert
DE102006031870B4 (de) Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
EP1943856B1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
WO2007051776A1 (de) Verfahren und server zum bereitstellen eines mobilitätsschlüssels
EP1943806B1 (de) Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip)
EP1673921B1 (de) Verfahren zur sicherung des datenverkehrs zwischen einem mobilfunknetz und einem ims-netz
DE102006043340A1 (de) Verfahren und Vorrichtung zum Zuweisen eines Parameters in einer GBA-Bootstrapping-Prozedur
DE10238928B4 (de) Verfahren zur Authentifizierung eines Nutzers eines Kommunikationsendgerätes bei Nutzung eines Dienstnetzes
DE102006054091A1 (de) Bootstrapping-Verfahren
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE102010011656A1 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
EP2536101B1 (de) Verfahren zum Aufbau einer verschlüsselten Verbindung, Netzvermittlungseinheit und Telekommunikationssystem
WO2008074620A2 (de) Verfahren und server zum bereitstellen eines zweckgebundenen schlüssels
DE10356091A1 (de) Verfahren zur Sicherung des Datenverkehrs zwischen einem Mobilfunknetz und einem IMS-Netz
EP1965557A1 (de) Verfahren zum Durchführen einer Netzanmeldung in einem Funkkommunikationssystem
DE102009019864A1 (de) Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection