DE102006060040B4 - Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung - Google Patents

Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung Download PDF

Info

Publication number
DE102006060040B4
DE102006060040B4 DE102006060040A DE102006060040A DE102006060040B4 DE 102006060040 B4 DE102006060040 B4 DE 102006060040B4 DE 102006060040 A DE102006060040 A DE 102006060040A DE 102006060040 A DE102006060040 A DE 102006060040A DE 102006060040 B4 DE102006060040 B4 DE 102006060040B4
Authority
DE
Germany
Prior art keywords
server
authentication
network
network access
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102006060040A
Other languages
English (en)
Other versions
DE102006060040A1 (de
Inventor
Rainer Dr. Falk
Florian Kohlmayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks GmbH and Co KG filed Critical Nokia Siemens Networks GmbH and Co KG
Priority to DE102006060040A priority Critical patent/DE102006060040B4/de
Priority to PCT/EP2007/063158 priority patent/WO2008074621A1/de
Publication of DE102006060040A1 publication Critical patent/DE102006060040A1/de
Application granted granted Critical
Publication of DE102006060040B4 publication Critical patent/DE102006060040B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät (MS) und einem Netzwerk über einen Netzwerkzugangsserver (NWZS) eines Zugangsnetzwerkes (ZNW), wobei nach erfolgreicher Authentisierung eines Authentisierungsservers (AS) bei dem mobilen Endgerät (MS) mittels mindestens eines von dem Authentisierungsserver (AS) in Abhängigkeit von einer Vertrauenswürdigkeit des Netzwerkzugangsservers (NWZS) selektierten Authentisierungsserver-Credentials (CAS) ein Sicherheitsmechanismus (SM) zum Schutz der Datenverbindung durch das mobile Endgerät (MS) aktiviert wird.

Description

  • Die Erfindung betrifft ein Verfahren und einen Authentisierungsserver zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät und einem Netzwerk über einen Netzwerkzugangsserver eines Zugangsnetzwerkes.
  • MA, Y. und CAO, X. ”How to Use EAP-TLS Authentication in PWLAN Environment. In Proc IEEE Int. Conf. Neural Networks & Signal Processing, 2003, S- 1677–1680” beschreibt ein Verfahren zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät und einem Netzwerkzugangsserver eines PWLAN-Netzes unter Verwendung einer EAP-TLS-Authentisierung.
  • WO 03/030445 A1 beschreibt ein Authentisierungsverfahren zur Authentisierung eines mobilen Endgerätes mittels einer darin angeordneten Teilnehmeridentifikationskarte.
  • WO 2004/028071 A1 beschreibt ein Authentisierungsverfahren zur Authentisierung eines mobilen Endgerätes unter Einsatz von drei aufeinander aufbauenden Authentisierungsverfahren.
  • 1 zeigt einen Authentisierungsvorgang zwischen einem mobilen Endgerät (Mobile Station) und einem Authentisierungsserver (AS), bei dem es sich beispielsweise um einen AAA-Server in einem Heimatnetz des mobilen Endgerätes handelt. Nach Aufbau einer Funkverbindung zwischen dem mobilen Endgerät MS und dem Netzwerkzugangsserver authentisieren sich das mobile Endgerät MS und der Authentisierungsserver AS gegen seitig mittels eines Authentisierungsverfahrens, bei dem es sich beispielsweise um ein EAP-Authentisierungsverfahren handelt. Der Netzwerkzugangsserver bildet einen Authentikator und ist beispielsweise als ein WLAN-Access Point ausgebildet. Zwischen dem Netzwerkzugangsserver NWZS und dem Authentisierungsserver können mehrere Authentisierungs-Proxy-Server zwischengeschaltet sein. Nach erfolgreicher Authentisierung überträgt der Authentisierungsserver AS eine EAP-Success-Nachricht, die einen Sitzungsschlüssel bzw. einen MSK-Schlüssel (Master Session Key) sowie Policy-Informationen enthält. Der Authentisierungsserver überträgt die Policy-Information, bei der es sich beispielsweise um eine Quality of Service-Berechtigung oder eine Paketfilter-Policy handelt, an den Authentikator bzw. an den Netzwerkzugangsserver. Der übertragene Sitzungsschlüssel bzw. Master Session-Key wird von dem Netzwerkzugangsserver NWZS an das mobile Endgerät MS in einem Vier-Wege-Handshake-Verfahren übergeben. Basierend auf dem Sitzungsschlüssel MSK wird anschließend die Datenverbindung zwischen dem mobilen Endgerät MS und dem Netzwerkzugangsserver kryptographisch geschützt.
  • Weit verbreitete Authentisierungsprotokolle sind Radius und Diameter. Bei dem in 1 dargestellten Beispiel wird das Radius- oder das Diameterprotokoll für die Kommunikation zwischen dem Authentikator bzw. Netzwerkzugangsserver und dem Authentisierungsserver AS im Heimatnetz des mobilen Endgeräts MS verwendet. Über diese Protokolle wird bei der Authentisierung das EAP-Protokoll übertragen. Nach erfolgreicher Authentisierung verschickt der Authentisierungsserver AS einen generierten Master Session Key MSK und optional weitere benötigte Anwendungs- bzw. Applikationsschlüssel AMSK. Diese werden vorzugsweise nicht aus dem Master Session Key MSK abgeleitet, sondern aus dem ebenfalls durch das EAP-Protokoll eingerichteten erweiterten Sitzungsschlüssel bzw. Extended Master Session Key EMSK. Der erweiterte Sitzungsschlüssel bzw. EMSK wird nicht übertragen, da er kryptographisch von dem MSK-Schlüssel separiert gehalten wird. Da der EMSK getrennt von dem MSK-Schlüssel ist, können die aus dem MSK abgeleiteten Anwendungsschlüssel AMSK nicht von Knoten berechnet werden, die ausschließlich über den MSK-Schlüssel verfügen. Der erweiterte Sitzungsschlüssel bzw. Extended EMSK verlässt die EAP-Peers, d. h. den Teilnehmer bzw. Supplicant bzw. das mobile Endgerät MS und den Authentisierungsserver AS nicht. Die Kommunikation im Rahmen der Authentisierung erfolgt optional über einen oder mehrere Zwischenknoten, die auch als Authentisierungs-Proxy-Server bezeichnet werden und die Authentisierungsnachrichten bzw. AAA-Nachrichten weiterleiten.
  • Bei der in 1 dargestellten herkömmlichen auf dem EAP-Verfahren basierten Authentisierung werden keine Informationen bzw. Daten von dem Authentisierungsserver AS an das mobile Endgerät MS geschützt übertragen. Es ist für das mobile Endgerät MS möglich, bestimmte Parameter erst an den Authentikator bzw. den Netzwerkzugangsserver NWZS zu senden, beispielsweise über entsprechende Radius-Attribute. Das Zugangsnetz sendet diese Parameter beispielsweise über das DHCP-Datenübertragungsprotokoll einer Mobilstation bzw. einem mobilen Endgerät MS. Diese Parameter sind jedoch nicht gegen Manipulation durch den Betreiber des Zugangsnetzwerkes ZNS geschützt. Da diese Parameter nicht manipulationssicher sind bzw. verändert werden können, besteht keine Möglichkeit, das mobile Endgerät bzw. die mobile Station MS über die in dem jeweiligen Zugangsnetz erforderlichen Sicherheitsmaßnahmen mittels derartiger Parameter zu informieren.
  • Bei dem herkömmlichen so genannten Channel Binding werden spezielle EAP-Methoden eingesetzt, um integritätsgeschützt Informationen zwischen dem mobilen Endgerät MS und dem EAP-Server bzw. dem Authentisierungsserver AS auszutauschen. Darüber hinaus werden Informationen über einen möglicherweise kompromittierten Authentikator bzw. Netzwerkzugangsserver NWZS, insbesondere dessen Identität zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS ausgetauscht. Es kann damit erkannt werden, dass ein kompromittierter Network Access Server NAS bzw. Netzwerkzugangsserver NWZS der Mobilstation MS falsche Informationen über sich selbst gibt (so genannte ”Lying NAS”).
  • Ein wesentlicher Nachteil eines derartigen herkömmlichen Channel Binding-Verfahrens besteht darin, dass gewöhnliche EAP-Methoden ein derartiges Channel Binding nicht unterstützen, d. h. die EAP-Methoden bzw. das EAP-Protokoll müssen zur Übertragung weiterer Parameter bzw. weiterer Informationen geändert werden. Das Channel Binding-Verfahren nach dem Stand der Technik ist somit nicht geeignet für bereits bestehende weit verbreitete EAP-Methoden. Eine Abwandlung der bestehenden EAP-Methoden mittels eines Channel Binding-Verfahren, um zusätzliche Parameter bzw. Informationen zwischen dem Authentisierungsserver AS und dem mobilen Endgerät MS auszutauschen, stellt einen erheblichen Umkonfigurierungsaufwand der bestehenden Rechnersysteme dar.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und einen Server zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät MS und einem Netzwerk über einen Netzwerkzugangsserver NWZS eines Zugangs netzwerkes zu schaffen, bei dem ein Datenaustausch zwischen dem mobilen Endgerät MS und dem Authentisierungsserver ohne Veränderung herkömmlicher Authentisierungsverfahren gegen Manipulationen, insbesondere gegen Manipulationen eines Zugangsnetzwerkbetreibers, geschützt wird.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.
  • Die Erfindung schafft ein Verfahren zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät und einem Netzwerk über einen Netzwerkzugangsserver eines Zugangsnetzwerkes, wobei nach erfolgreicher Authentisierung eines Authentisierungsservers bei dem mobilen Endgerät mittels mindestens eines von dem Authentisierungsserver in Abhängigkeit von einer Vertrauenswürdigkeit des Netzwerkzugangsservers selektierten Authentisierungsserver-Credentials ein Sicherheitsmechanismus zum Schutz der Datenverbindung durch das mobile Endgerät aktiviert wird.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens baut das mobile Endgerät MS als Sicherheitsmechanismus SM einen VPN-Tunnel zu einem VPN-Server auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens aktiviert das mobile Endgerät MS als Sicherheitsmechanismus SM ein konfigurierbares Datenpaketfilter PF.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird ein von dem Authentisierungsserver AS selektiertes Authentisierungsserver-Credential CAS durch ein Zertifikat Z gebildet.
  • Bei dem Zertifikat Z handelt es sich vorzugsweise um ein x509-Zertifikat.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das von dem Authentifizierungsserver AS selektierte Au thentisierungsserver-Credential CAS durch einen geheimen Schlüssel K gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens authentisiert sich das mobile Endgeräte MS zur gegenseitigen Authentisierung bei dem Authentisierungsserver AS mittels mindestens einem Teilnehmer-Credential CMS.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Authentisierung über ein EAP(Extendable Authentication)-Protokoll gemäß einer EAP-Methode.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die EAP-Methode durch eine EAP-TLS(Transport Layer Security)-Methode, eine EAP-TTLS-Methode oder durch eine PEAP-Methode (Protected EAP) gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird der Authentisierungsserver AS durch einen AAA-Server in einem Heimatnetz des mobilen Endgeräts MS gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt nach Aufbau einer Funkverbindung zwischen dem mobilen Endgerät MS und dem Netzwerkzugangsserver NWZS der Authentisierungsserver AS Netzwerkzugangsserver-Parameter von dem Netzwerkzugangsserver NWZS.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weisen die Netzwerkzugangsserver-Parameter eine IP-Adresse des Netzwerkzugangsservers NWZS, eine MAC-Adresse des Netzwerkzugangsservers NWZS und eine Identität des Netzwerkbetreibers des Zugangsnetzwerkes auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Netzwerkzugangsparameter über mindestens einen Authentisierungs-Proxy-Server von dem Netzwerkzugangsserver NWZS an den Authentisierungsserver AS übertragen.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt der Authentisierungsserver AS Authentisierungs-Proxy-Server-Parameter der Authentisierungs-Proxy-Server.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weisen die Authentisierungs-Proxy-Server-Parameter IP-Adressen der Authentisierungs-Proxy-Server, MAC-Adressen der Authentisierungs-Proxy-Server und Identitäten der Betreiber der Authentisierungs-Proxy-Server auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ermittelt der Authentisierungsserver AS die Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS in Abhängigkeit von den empfangenen Netzwerkzugangsserver-Parametern und den empfangenen Authentisierungs-Proxy-Server-Parametern.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens selektiert der Authentisierungsserver AS die Authentisierungsserver-Credentials CAS aus einer vorgegebenen Gruppe von Authentisierungsserver-Credentials und setzt diese bei seiner Authentisierung bei dem mobilen Endgerät MS ein.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erweitert der Authentisierungsserver AS vorgegebene Authentisierungsserver-Credentials CAS durch Angaben zu auswählbaren Sicherheitsmechanismen SM.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Zugangsnetzwerk ZNW durch ein WLAN-, ein WiMax- oder durch ein Mesh-Zugangsnetz gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird der Netzwerkzugangsserver NWZS durch einen Authentikatorserver gebildet.
  • Die Erfindung schafft ferner einen Authentisierungsserver AS zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät und einem Netz über einen Netzwerkzugangsserver eines Zugangsnetzwerkes, wobei der Authentisierungsserver nach Empfang von Netzwerkzugangsserver-Parametern von dem Netzwerkzugangsserver eine Vertrauenswürdigkeit des Netzwerkzugangsservers ermittelt und in Abhängigkeit von der ermittelten Vertrauenswürdigkeit des Netzwerkzugangsservers Authentisierungsserver-Credentials selektiert, mittels der sich der Authentisierungsserver bei dem mobilen Endgerät authentisiert.
  • Im Weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Servers unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale näher beschrieben.
  • Es zeigen:
  • 1 einen Authentisierungsvorgang zwischen einem mobilen Endgerät MS und einem Authentisierungsserver AS nach dem Stand der Technik;
  • 2 einen Authentisierungsvorgang zwischen einem mobilen Endgerät MS und einem Authentisierungsserver AS nach dem Stand der Technik im Detail;
  • 3 die Struktur eines x509-Zertifikats nach dem Stand der Technik;
  • 4 ein Netzwerkverbund mit mehreren Zugangsnetzwerken, die über Authentisierungs-Proxy-Server mit einem Authentisierungsserver gemäß der Erfindung verbunden sind;
  • 5 ein Signaldiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens;
  • 6 ein weiteres detailliertes Signaldiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens;
  • 7 eine mögliche Ausführungsform eines bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens eingesetzten Zertifikats;
  • 8 eine weitere Ausführungsform eines bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens eingesetzten Zertifikats.
  • 2 zeigt einen Authentisierungsvorgang zwischen einem mobilen Endgerät MS und einem Authentisierungsserver AS über einen Netzwerkzugangsserver NWZS unter Verwendung eines EAP-Protokolls. Bei der in 2 dargestellten EAP-Methode handelt es sich um eine EAP-TLS (Transport Layer Security)-Methode. Nach Aufbau einer Funkverbindung zwischen dem Teilnehmer und dem Authentikator bzw. Netzwerkzugangsserver NWZS wird die Identität des Teilnehmers bzw. des mobilen Endgerätes MS durch den Netzwerkzugangsserver angefragt und anschließend die Identität MyID des mobilen Endgeräts MS an den Authentisierungsserver AS übertragen. Anschließend erfolgt die eigentliche Authentisierung zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS in einem Handshake-Verfahren. Dabei werden in dem dargestellten Beispiel zwischen dem Authentisierungsserver AS und dem mobilen Endgerät MS gegenseitig Credentials C in Form von Zertifikaten Z ausgetauscht. Der Authentisierungsserver AS überträgt ein Authentisierungsserver-Credential CAS in Form eines TLS-Server- Zertifikats an das mobile Endgerät MS und dieses überträgt in seiner Antwort ein Teilnehmer-Credential CMS in Form eines TLS-Client-Zertifikats. 3 zeigt die Struktur eines herkömmlichen x509v3-Zertifikats nach dem Stand der Technik, das im Rahmen der EAP-Authentisierung gemäß 2 verwendet wird.
  • Bei dem erfindungsgemäßen Verfahren werden die zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS ausgetauschten Credentials bzw. Zertifikate dazu benutzt, weitere Informationen bzw. Parameter zu übertragen, ohne die EAP-Methode selbst zu verändern, wobei übertragene Informationen sicher gegenüber Manipulationen des Netzwerkzugangsbetreibers sind.
  • 4 zeigt den Aufbau eines Netzwerkverbundes mit mehreren Zugangsnetzwerken ZNW. Die Zugangsnetzwerke ZNW können Zugangsnetzwerke verschiedener Technologien sein, beispielsweise ein Mesh-Netzwerk, ein WLAN-Zugangsnetzwerk oder ein Wi-Max-Zugangsnetzwerk. Bei dem in 4 dargestellten Beispiel möchte beispielsweise ein Teilnehmer bzw. ein mobiles Endgerät MS eine Datenverbindung zu einer beliebigen Netzwerkkomponente über einen WLAN-Hotspot als Netzwerkzugangsserver aufbauen und muss sich hierzu bei seinem Authentisierungsserver AS dazu autorisieren lassen. Bei dem erfindungsgemäßen Verfahren wird die Datenverbindung zwischen dem mobilen Endgerät MS und dem Netzwerkzugangsserver durch einen aktivierten Sicherheitsmechanismus SM zum Schutz der Datenverbindung durch das mobile Endgerät MS aktiviert. Die Selektion des zu verwendenden Sicherheitsmechanismus SM erfolgt in Abhängigkeit von einer ermittelten Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS. Diese Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS wird durch den Authentisierungsserver AS ermittelt. Dabei ermittelt der Authentisierungsserver AS die Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS in Abhängigkeit von empfangenen Netzwerkzugangsserverparametern und empfangenen Authentisierungs-Proxy-Server-Parametern. Die verschiedenen Zugangsnetzwerke ZNW und deren Zugangsnetzwerkserver NZWS bzw. Authentikatoren sind über Zwischennetze mit dem Heimatnetz des mobilen Endgeräts MS bzw. des Teilnehmers verbunden. In den Zwischennetzen befinden sich Authentisierungs-Proxy-Server zum Weiterleiten der Nachrichten. Jedes der in 4 dargestellten Netzwerke, d. h. die Zugangsnetzwerke ZNWA, ZNWB, ZNWC sowie die Zwischen-Netzwerke und das Heimatnetzwerk können durch unterschiedliche Netzwerkbetreiber bzw. Operatoren betrieben werden. Bei dem in 4 dargestellten Beispiel befinden sich in dem Heimatnetzwerk AS neben dem Authentisierungsserver AS des Endgeräts MS ein VPN-Server.
  • 5 zeigt ein Signaldiagramm zur Darstellung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens. Nach Aufbau einer Funkverbindung zwischen dem mobilen Endgerät MS und einem Netzwerkzugangsserver NWZS, wie beispielsweise dem in 4 dargestellten WLAN-Hotspot, werden Parameter des Netzwerkzugangsservers NWZS-P über einen oder mehrere Authentisierungs-Proxy-Server in Zwischennetzen an den in dem Heimatnetz befindlichen Authentisierungsserver AS übertragen. Dabei fügt jeder Authentisierungsserver bzw. Authentisierungs-Proxy-Server entlang des Authentisierungs-Signalpfades ASP weitere Informationen bzw. Parameter hinzu. Der Authentisierungsserver AS erhält somit Netzwerkserverarameter NWZS-P und Authentisierungs-Proxy-Server-Parametern A-Proxy-P. Bei dem Netzwerkzugangsserverparameter NWZS-P handelt es sich beispielsweise um eine IP-Adresse des Netzwerkzugangsserver NWZS, eine MAC-Adresse des Netzwerkzugangsserver NWZS oder um eine Identität des Netzwerkbetreibers des Zugangsnetzwerkes. Bei den Authentisierungs-Proxy-Server-Parametern A-Proxy-P kann es sich um die IP-Adressen der Authentisierungs-Proxy-Server entlang des Authentisierungs-Signalpfades ASP, um MAC-Adressen der jeweiligen Authentisierungs-Proxy-Server und um Identitäten der Betreiber der jeweiligen Authentisierungs-Proxy-Server handeln. Aus den empfangenen Parametern bzw. Informationen über die im Authentisierungs-Signalpfad ASP befindlichen Authentisierungs-Proxy-Server und dem Netzwerkzugangsserver ermittelt der Authentisierungsser ver AS eine Vertrauenswürdigkeit des jeweiligen Netzwerkzugangsserver NSWZS. Ist beispielsweise der Betreiber eines Zugangsnetzwerkes dem Betreiber des Heimatnetzwerkes relativ unbekannt und/oder sind die Betreiber der Zwischennetzwerke entlang des Authentisierungssignalpfades ebenfalls unbekannt, ist die Vertrauenswürdigkeit der beteiligten Komponenten entlang des Authentisierungssignalpfades ASP relativ gering und der Authentisierungsserver AS, wird dies dem mobilen Endgerät MS mittels Credentials CAS mitteilen, die er während des Authentisierungsprotokolls, beispielsweise während des EAP-Authentisierungsprotokolls an das mobile Endgerät MS überträgt. Die Information über die Vertrauenswürdigkeit des Netzwerkzugangsservers wird gewissermaßen mittels der selektierten Authentisierungsserver-Credentials CAS eincodiert, ohne das EAP-Protokoll selbst zu verändern. Das mobile Endgerät MS, welches die in Abhängigkeit von der ermittelten Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS selektierten Authentisierungsserver-Credential CAS über den Netzwerkzugangsserver NWZS empfängt, aktiviert anhand der empfangenen Authentisierungsserver-Credentials CAS gegebenenfalls einen zusätzlichen Schutzmechanismus SM. Ein derartiger zusätzlicher Schutzmechanismus SM besteht beispielsweise in dem Aufbau eines VPN(Virtual Private Network)-Tunnels zu dem in 4 dargestellten VPN-Server. Ein weiterer möglicher Sicherheitsmechanismus SM besteht in der Aktivierung eines konfigurierbaren Datenpaketfilters PF durch das mobile Endgerät MS. Erkennt das mobile Endgerät MS anhand der empfangenen Authentisierungsserver-Credentials CAS, dass die Vertrauenswürdigkeit des Zugangsnetzwerkservers ZNW hoch ist, kann auf die Aktivierung eines zusätzlichen Sicherheitsmechanismus SM verzichtet werden. Erkennt das mobile Endgerät MS umgekehrt, dass die Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS des Zugangsnetzwerkes von dem Authentisierungsserver AS als relativ gering eingestuft wird, aktiviert es mindestens einen zusätzlichen Schutzmechanismus SM beim Austausch von Daten über die Funkstrecke mit dem Zugangsnetzwerkserver. Dieser Schutzmechanismus SM wird zusätzlich zu der kryptographischen Verschlüsselung der übertragenen Daten aktiviert. Die Über mittlung der Information über die Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS kann einerseits durch eine explizite Anweisung des Authentisierungsservers AS in Form einer Erweiterung eines bestehenden Authentisierungsserver-Credentials CAS, beispielsweise einer Erweiterung eines x509-Zertifikats erfolgen oder andererseits implizit durch die Verwendung unterschiedlicher Authentisierungsserver-Credentials entsprechend der ermittelten Vertrauenswürdigkeitsstufe des Netzwerkzugangsservers NWZS erfolgen.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das von dem Authentisierungsserver AS selektierte Authentisierungsserver-Credential durch ein Zertifikat Z gebildet. Bei diesem Zertifikat Z kann es sich beispielsweise um ein x509-Zertifikat handeln, wie es in 3 dargestellt ist, wobei der Authentisierungsserver dieses mit den entsprechenden Informationen erweitert.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens wird das von dem Authentisierungsserver AS selektierte Authentisierungsserver-Credential durch einen geheimen Schlüssel K gebildet.
  • Die Authentisierung zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS erfolgt gegenseitig, d. h. das mobile Endgerät MS authentisiert sich bei dem zugehörigen Authentisierungsserver AS und der Authentisierungsserver AS authentisiert sich gegenüber dem mobilen Endgerät MS. Das mobile Endgerät MS authentisiert sich gegenüber dem Authentisierungsserver AS durch Übermittlung von mindestens einem Teilnehmer-Credential CMS. Der Authentisierungsserver AS authentisiert sich gegenüber dem mobilen Endgerät MS durch Übermittlung von mindestens einem Authentisierungsserver-Credential, beispielsweise einem Zertifikat Z oder einem geheimen Schlüssel.
  • 6 zeigt den Authentisierungsvorgang zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS gemäß einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens im Detail. Bei dem in 6 dargestellten Beispiel wird das eingesetzte Authentisierungsserver-Credential CAS durch ein TLS-Zertifikat gebildet. In Abhängigkeit von dem übertragenen Zertifikat aktiviert das mobile Endgerät MS gegebenenfalls einen Sicherheitsmechanismus SM zum Schutz der Datenverbindung zu dem Netzwerkzugangsserver NWZS.
  • 7 zeigt ein Beispiel für ein Authentisierungsserver-Credential CAS in Form eines Zertifikats Z, wie es in einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens verwendet wird. Das in 7 dargestellte TLS-Zertifikat enthält neben der Versionsnummer des verwendeten Standards eine Seriennummer des Zertifikats sowie eine Algorithmus-Identifizierung des eingesetzten Algorithmus, beispielsweise MD5 oder MDSHA1. Weiterhin wird eine ID desjenigen generiert, der das Zertifikat Z ausgestellt bzw. generiert hat. Weiterhin enthält das Zertifikat Z eine Gültigkeitsdauer des Zertifikats und ein Thema, auf das sich das Zertifikat bezieht. Neben weiteren Angaben weist das in 7 dargestellte Zertifikat Z spezielle Erweiterungen auf, über welche der Authentisierungsserver AS dem mobilen Endgerät MS eine Mitteilung über die Vertrauenswürdigkeit des Netzwerkzugangsservers NWZS gibt. Bei dem in 7 dargestellten Beispiel teilt der Authentisierungsserver AS durch das übertragene TLS-Zertifikat dem mobilen Endgerät MS mit, dass der Netzwerkzugang nicht vertrauenswürdig ist. Dabei gibt der Authentisierungsserver AS explizit die Anweisung, einen VPN-Tunnel über einen bestimmten VPN-Server (vodafone.com) aufzubauen und zusätzlich eine Personal Firewall bzw. einen Paketfilter mit dem Namen ”External Untrusted” zu aktivieren. Die Erweiterung codiert die von dem mobilen Endgerät MS bzw. dem Client zu aktivierenden Policy (Client Access Policy. Das mobile Endgerät MS bzw. der Client decodiert die in der Erweiterung enthaltene Policy und aktiviert anschließend in diesem Falle mehrere Sicherheitsmechanismen SM, nämlich einerseits den Aufbau eines VPN-Tunnels zu dem bezeichneten Server und die Aktivierung einer Personal Firewalls unter der Konfigurationsbezeichnung ”External Untrusted”.
  • 8 zeigt ein weiteres Beispiel für ein TLS-Zertifikat, bei dem der Authentisierungsserver AS dem mobilen Endgerät MS mittels einer Zertifikaterweiterung mitteilt, dass der Netzwerkzugangsserver vertrauenswürdig ist. In dem gegebenen Beispiel wird das mobile Endgerät MS angewiesen, keinen VPN-Tunnel aufzubauen und einen Datenpaketfilter PF mit der Bezeichnung ”Internal Trusted” einzusetzen. Der Client bzw. die Mobilstation MS decodiert. die in den Erweiterungen enthaltene Policy und kommuniziert bei dem angegebenen Beispiel direkt ohne Aufbau eines VPN-Tunnels. Weiterhin aktiviert das mobile Endgerät MS seine Personal Firewall unter der Konfiguration ”Internal Trusted”.
  • Der Authentisierungsservers AS verfügt bei dem erfindungsgemäßen Verfahren über mindestens zwei unterschiedliche Zertifikate. Dabei kann es sich um ein Root-, Zwischen- oder ein Leaf-Zertifikat handeln. Der Unterschied zwischen den verschiedenen Zertifikaten Z kann in einem Attribut des Zertifikats Z bestehen, in einem zertifizierten Schlüssel oder in dem zum Zertifizieren verwendeten Schlüssel, d. h. desjenigen Schlüssels, der zum Signieren des Zertifikats Z verwendet wird. Abhängig davon, von wem der Authentisierungsserver AS angesprochen wird, d. h. welcher Authentikator bzw. Netzwerkzugangsserver NWZS ihn anspricht, selektiert der Authentisierungsserver AS eines der vorhandenen Zertifikate Z bzw. generiert ein entsprechend erweitertes neues Zertifikat Z.
  • Der Authentisierungsserver AS wählt bzw. erzeugt dynamisch für seine eigene Authentisierung bei dem mobilen Endgerät MS ein Credential bzw. Zertifikat, in dem Parameter stehen, die der Authentisierungsserver AS an den Client MS übermitteln möchte. Diese Parameter sind beispielsweise Policy Informationen oder auch Konfigurationsparameter, die für das von dem mobilen Endgerät MS verwendete Zugangsnetz gelten. Welches Zugangsnetz eingesetzt wird, ist durch entsprechende Radius- /Diameter-Attribute erkennbar, beispielsweise aus der Authentikator-ID.
  • Die Übertragung der Parameter erfolgt bei dem erfindungsgemäßen Verfahren dadurch, dass bei einer EAP-Anmeldung, die Server-Zertifikate bzw. Server-Credentials einsetzt, insbesondere bei EAP-TLS-, EAP-TTLS der Authentisierungsserver AS für seine Authentisierung ein Zertifikat Z verwendet, das die entsprechenden Informationen codiert enthält. Da das Zertifikat Z bzw. das Authentisierungsserver-Credential CAS an die Mobilstation MS übertragen wird bzw. das jeweils verwendete Zertifikat Z dem mobilen Endgerät MS bekannt ist, kann das mobile Endgerät MS in Abhängigkeit von der enthaltenen Information über die Vertrauenswürdigkeit des Zugangsnetzwerkes ZNW einen entsprechenden Sicherheitsmechanismus SM aktivieren bzw. die Verbindung vollständig unterbrechen. Da die übertragenen Zertifikate Z geschützt sind und da der dadurch zertifizierte Schlüssel von dem Authentisierungsserver 1 in dem Rahmen des Authentisierungsprotokolls verwendet wird, kann die übertragene Information über die Vertrauenswürdigkeit nicht durch das Zugangsnetz bzw. dem Authentikator oder durch ein Zwischennetz bzw. einen Authentisierungs-Proxy-Server manipuliert werden.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens setzt der Authentisierungsserver AS für seine Authentisierung abhängig vom verwendeten Zugangsnetz, der Technologie des eingesetzten Zugangsnetzes unterschiedliche Authentisierungssicherheitsparameter bzw. Credentials ein, wie beispielsweise kryptographische Schlüssel oder Zertifikate Z. Dies kann unterschiedliche Zertifikate Z umfassen, beispielsweise Leaf-Zertifikate, Zwischen-Zertifikate oder auch Wurzel-Zertifikate.
  • Das Authentisierungsserver-Credential CAS kann durch den Authentisierungsserver AS aus einer vorgegebenen Gruppe bzw. Menge vorhandener Credentials ausgewählt werden oder dynamisch ”on the fly” mit passenden Informationen erweitert wer den. Beispielsweise verfügt der Authentisierungsserver AS über ein Zwischenzertifikat mit dem jeweils passenden Nebenzertifikate zertifiziert werden. Dabei werden die jeweils gewünschten Informationen in dem Leaf-Zertifikat eingetragen. Der EAP-Client bzw. die Mobilstation MS ermittelt anhand der vom Authentisierungsserver AS eingesetzten Authentisierungsserver-Credentials eine Information zu der EAP-Authentisierung. Im einfachsten Fall kann die Information lediglich ein Flag darstellen, beispielsweise ”VPN ja/nein” oder ”Personal Firewall ja/nein”. Andererseits ist es möglich, eine umfangreichere Policy-Beschreibung, beispielsweise als Liste von Attributwert-Paaren AVP (Attribute Value Pair) zur Verfügung zu stellen.
  • Ein Beispiel für eine derartig übertragene Information lautet wie folgt:
    • VPN: yes
    • VPN server: 1.2.3.4
    • Personal Firewall: activate
    • Personal Firewall Profile: Internet
  • Entsprechendes gilt, wenn das mobile Endgerät MS seinerseits Client-Credentials bzw. Teilnehmer-Credentials CMS überträgt. Hierbei kann die Mobilstation MS dem Authentisierungsserver AS geschützte Informationen zur Übertragung entsprechender Teilnehmer-Credentials CMS mitteilen. Bei einer möglichen Ausführungsform erfolgt ein Konsistenz-Check bei der von der Mobilstation MS beabsichtigten Anmeldung, d. h. der Authentisierungsserver AS wird von der Mobilstation MS darüber informiert, für welchen Zweck die Mobilstation MS diese EAP-Authentisierung vornimmt. Der Authentisierungsserver AS überprüft die übertragenen Informationen bzw. Angaben daraufhin, ob mit dem von dem Authentikator gesendeten Radius-/Diameter-Attributen übereinstimmen bzw. zu diesen passen. Die Mobilstation MS kann auf diese Weise beliebige Parameter geschützt an den Authentisierungsserver AS senden bzw. an diesen übertragen, beispielsweise auch über einen aktuellen Software- Versionsstand, d. h. beispielsweise installierte Software-Packages. Dies ermöglicht dem Authentisierungsserver AS, dem Authentikator bzw. dem Netzwerkzugangsserver NWZS eine entsprechende Policy (Redirect Packet Filter) zu schicken. Hierdurch kann der Authentisierungsserver AS festlegen, ob dem mobilen Endgerät MS mit dieser Softwarekonfiguration bzw. diesem Software-Versionsstand voller Zugriff erlaubt wird oder nur ein eingeschränkter Netzwerkzugriff. Ein eingeschränkter Netzwerkzugriff erlaubt beispielsweise nur das Laden von Patches.
  • Bei einer weiteren Ausführungsform codieren sowohl die übertragenen Teilnehmer-Credentials CMS bzw. Client-Zertifikate als auch die von dem Server übertragenen Authentisierungsserver-Credentials CAS bzw. Server-Zertifikate Sicherheitsparameter, die zwischen dem mobilen Endgerät MS und dem Authentisierungsserver AS ausgetauscht werden. Da sich der Authentisierungsserver AS üblicherweise zuerst authentisiert, findet die Informationsübertragung zuerst von dem Authentisierungsserver AS an die Mobilstation MS und erst danach von der Mobilstation MS bzw. dem Client an den Authentisierungsserver AS statt.
  • Das erfindungsgemäße Verfahren erlaubt die gesicherte Informationsdatenübertragung von dem Authentisierungsserver AS zu dem mobilen Endgerät MS und ist für EAP-Methoden verwendbar, die beispielsweise ein Zertifikat Z einsetzen. Bei diesen EAP-Methoden handelt es sich insbesondere um EAP-TLS. Diese EAP-Methoden müssen zur Informationsübertragung nicht modifiziert werden.

Claims (21)

  1. Verfahren zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät (MS) und einem Netzwerk über einen Netzwerkzugangsserver (NWZS) eines Zugangsnetzwerkes (ZNW), wobei nach erfolgreicher Authentisierung eines Authentisierungsservers (AS) bei dem mobilen Endgerät (MS) mittels mindestens eines von dem Authentisierungsserver (AS) in Abhängigkeit von einer Vertrauenswürdigkeit des Netzwerkzugangsservers (NWZS) selektierten Authentisierungsserver-Credentials (CAS) ein Sicherheitsmechanismus (SM) zum Schutz der Datenverbindung durch das mobile Endgerät (MS) aktiviert wird.
  2. Verfahren nach Anspruch 1, wobei das mobile Endgerät (MS) als Sicherheitsmechanismus (SM) einen VPN(Virtual Private Network)-Tunnel zu einem VPN-Server aufbaut.
  3. Verfahren nach Anspruch 1, wobei das mobile Endgerät (MS) als Sicherheitsmechanismus (SM) ein konfigurierbares Datenpaketfilter (PF) aktiviert.
  4. Verfahren nach Anspruch 1, wobei ein von dem Authentisierungsserver (AS) selektiertes Authentisierungsserver-Credential (CAS) durch ein Zertifikat (Z) gebildet wird.
  5. Verfahren nach Anspruch 4, wobei das Zertifikat (Z) durch ein X509-Zertifikat gebildet wird.
  6. Verfahren nach Anspruch 4, wobei das von dem Authentisierungsserver (AS) selektierte Authentisierungsserver-Credential (CAS) durch einen geheimen Schlüssel (K) gebildet wird.
  7. Verfahren nach Anspruch 1, wobei sich das mobile Endgerät (MS) zur gegenseitigen Authentisierung bei dem Authentisierungsserver (AS) mittels mindestens einem Teilnehmer-Credential (CMS) authentisiert.
  8. Verfahren nach Anspruch 1 und 7, wobei die Authentisierung über ein EAP(Extendable Authentication)-Protokoll gemäß einer EAP-Methode erfolgt.
  9. Verfahren nach Anspruch 8, wobei die EAP-Methode durch eine EAP-TLS(Transport Layer SEcurity)-Methode, eine EAP-TTLS-Methode oder durch eine PEAP-Methode (Protected EAP) gebildet wird.
  10. Verfahren nach Anspruch 1, wobei der Authentisierungsserver (AS) durch einen AAA-Server in einem Heimatnetz des mobilen Endgerätes (MS) gebildet wird.
  11. Verfahren nach Anspruch 1, wobei nach Aufbau einer Funkverbindung zwischen dem mobilen Endgerät (MS) und dem Netzwerkzugangsserver (NWZS) der Authentisierungsserver (AS) Netzwerkzugangsserver-Parameter von dem Netzwerkzugangsserver (NWZS) empfängt.
  12. Verfahren nach Anspruch 11, wobei die Netzwerkzugangsserver-Parameter eine IP-Adresse des Netzwerkzugangsservers (NWZS), eine MAC-Adresse des Netzwerkzugangsservers (NWZS) und eine Identität des Netzwerkbetreibers des Zugangsnetzwerkes (ZNW) aufweisen.
  13. Verfahren nach Anspruch 11, wobei die Netzwerkzugangsserver-Parameter über mindestens einen Authentisierungs-Proxy-Server von dem Netzwerkzugangsserver (NWZS) an den Authentisierungsserver (AS) übertragen werden.
  14. Verfahren nach Anspruch 13, wobei der Authentisierungsserver (AS) Authentisierungs-Proxy-Server-Parameter der Authentisierungs-Proxy-Server empfängt.
  15. Verfahren nach Anspruch 14, wobei die Authentisierungs-Proxy-Server-Parameter IP-Adressen der Authentisierungs-Proxy-Server, MAC-Adressen der Authentisierungs-Proxy-Server und Identitäten der Betreiber der Authentisierungs-Proxy-Server aufweisen.
  16. Verfahren nach einem der Ansprüche 11 bis 14, wobei der Authentisierungsserver (AS) die Vertrauenswürdigkeit des Netzwerkzugangsservers in Abhängigkeit von den empfangenen Netzwerkzugangsserver-Parametern und den empfangenen Authentisierungs-Proxy-Server-Parametern ermittelt.
  17. Verfahren nach Anspruch 1, wobei der Authentisierungsserver (AS) die Authentisierungsserver-Credentials aus einer vorgegebenen Gruppe von Authen tisierungsserver-Credentials selektiert und bei seiner Authentisierung bei dem mobilen Endgerät MS einsetzt.
  18. Verfahren nach Anspruch 1, wobei der Authentisierungsserver (AS) vorgegebene Authentisierungsserver-Credentials durch Angaben zu auswählbaren Sicherheitsmechanismen (SM) erweitert.
  19. Verfahren nach Anspruch 1, wobei das Zugangsnetzwerk (ZNW) durch ein WLAN-, ein WiMax- oder durch ein Mesh-Zugangsnetzwerk gebildet wird.
  20. Verfahren nach Anspruch 1, wobei der Netzwerkzugangsserver durch einen Authentikatorserver gebildet wird.
  21. Authentisierungsserver (AS) zum Bereitstellen einer geschützten Datenverbindung zwischen einem mobilen Endgerät (MS) und einem Netz über einen Netzwerkzugangsserver (NWZS) eines Zugangsnetzwerkes (ZNW), wobei der Authentisierungsserver (AS) nach Empfang von Netzwerkzugangsserver-Parametern von dem Netzwerkzugangsserver (NWZS) eine Vertrauenswürdigkeit des Netzwerkzugangsservers (NWZS) ermittelt und in Abhängigkeit von der ermittelten Vertrauenswürdigkeit des Netzwerkzugangsservers (NWZS) Authentisierungsserver-Credentials (CAS) selektiert, mittels derer sich der Authentisierungsserver (AS) bei dem mobilen Endgerät (MS) authentisiert.
DE102006060040A 2006-12-19 2006-12-19 Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung Expired - Fee Related DE102006060040B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102006060040A DE102006060040B4 (de) 2006-12-19 2006-12-19 Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
PCT/EP2007/063158 WO2008074621A1 (de) 2006-12-19 2007-12-03 Verfahren und server zum bereitstellen einer geschützten datenverbindung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006060040A DE102006060040B4 (de) 2006-12-19 2006-12-19 Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung

Publications (2)

Publication Number Publication Date
DE102006060040A1 DE102006060040A1 (de) 2008-06-26
DE102006060040B4 true DE102006060040B4 (de) 2009-09-17

Family

ID=39271076

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006060040A Expired - Fee Related DE102006060040B4 (de) 2006-12-19 2006-12-19 Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung

Country Status (2)

Country Link
DE (1) DE102006060040B4 (de)
WO (1) WO2008074621A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015214267A1 (de) 2015-07-28 2017-02-02 Siemens Aktiengesellschaft Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte
US11916957B1 (en) 2021-06-24 2024-02-27 Airgap Networks Inc. System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
US11736520B1 (en) 2021-06-24 2023-08-22 Airgap Networks Inc. Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11711396B1 (en) 2021-06-24 2023-07-25 Airgap Networks Inc. Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11757933B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11757934B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11695799B1 (en) 2021-06-24 2023-07-04 Airgap Networks Inc. System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11722519B1 (en) 2021-06-24 2023-08-08 Airgap Networks Inc. System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003030445A1 (en) * 2001-09-28 2003-04-10 Nokia Corporation A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
WO2004028071A1 (en) * 2002-09-18 2004-04-01 Nokia Corporation Linked authentication protocols

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003030445A1 (en) * 2001-09-28 2003-04-10 Nokia Corporation A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
WO2004028071A1 (en) * 2002-09-18 2004-04-01 Nokia Corporation Linked authentication protocols

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MA, Y. und CAO, X.: How to Use EAP-TLS Authentication in PWLAN Environment. In: Proc. IEEE Int. Conf. Neural Networks & Signal Processing, 2003, S. 1677-1680 *

Also Published As

Publication number Publication date
DE102006060040A1 (de) 2008-06-26
WO2008074621A1 (de) 2008-06-26

Similar Documents

Publication Publication Date Title
EP2052487B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP3125492B1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
AT513016B1 (de) Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät
DE60305869T2 (de) Kommunikation zwischen einem privatem Netzwerk und einem mobilem Endgerät
WO2006133774A1 (de) Verfahren und vorrichtung zum sicheren kommunizieren einer komponente eines fahrzeugs über eine drahtlose kommunikationsverbindung mit einem externen kommunikationspartner
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE112006003574T5 (de) Verfahren zur Codierungsschlüsselverwaltung zur Verwendung in einem drathlosen Maschennetz
EP3077952A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
WO2004098218A1 (de) Verfahren zur installation oder deinstallation eines programmcodes in einer teilnehmerstation eines funkkommunikationssystems sowie teilnehmerstation
EP4179758B1 (de) Authentisierung eines kommunikationspartners an einem gerät
DE102006060042A1 (de) Verfahren und Server zum Bereitstellen eines zweckgebundenen Schlüssels
DE102014212219A1 (de) Verfahren zur Authentifizierung und Anbindung eines Geräts an ein Netzwerk sowie hierzu eingerichteter Teilnehmer des Netzwerks
EP4199550A1 (de) Verfahren zum übermitteln eines nachrichteninhalts in verschlüsselter form zwischen einem ersten kommunikationsteilnehmer und wenigstens einem zweiten kommunikationsteilnehmer, system, telekommunikationsnetz, computerprogramm und computerlesbares medium
EP1985086B1 (de) Verfahren zur übermittlung von daten in einem kommunikationsnetz
DE102005027248B4 (de) Verfahren zur Authentifikation eines Benutzers
WO2010127806A1 (de) Verfahren zur mitbenutzung drahtloser zugangspunkte zu einem kommunikationsnetzwerk

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE

8364 No opposition during term of opposition
R081 Change of applicant/patentee

Owner name: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG, DE

Free format text: FORMER OWNER: NOKIA SIEMENS NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE

Effective date: 20140731

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee