DE102009019864A1 - Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk - Google Patents

Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk Download PDF

Info

Publication number
DE102009019864A1
DE102009019864A1 DE102009019864A DE102009019864A DE102009019864A1 DE 102009019864 A1 DE102009019864 A1 DE 102009019864A1 DE 102009019864 A DE102009019864 A DE 102009019864A DE 102009019864 A DE102009019864 A DE 102009019864A DE 102009019864 A1 DE102009019864 A1 DE 102009019864A1
Authority
DE
Germany
Prior art keywords
network node
communication terminal
network
communication
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009019864A
Other languages
English (en)
Inventor
Wolfgang Kiess
Björn Scheuermann
Till Elsner
Martin Mauve
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DUESSELDORF H HEINE, University of
Heinrich Heine Universitaet Duesseldof
Original Assignee
DUESSELDORF H HEINE, University of
Heinrich Heine Universitaet Duesseldof
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DUESSELDORF H HEINE, University of, Heinrich Heine Universitaet Duesseldof filed Critical DUESSELDORF H HEINE, University of
Priority to DE102009019864A priority Critical patent/DE102009019864A1/de
Priority to PCT/EP2010/002634 priority patent/WO2010127806A1/de
Publication of DE102009019864A1 publication Critical patent/DE102009019864A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Aufbau einer Kommunikationsverbindung zwischen einem mobilen Kommunikationsendgerät (G) und einem diesem zugeordneten ersten Netzwerkknoten (R) über mindestens einen zweiten Netzwerkknoten (H) eines Kommunikationsnetzwerks. Das Kommunikationsendgerät (G) übermittelt dabei dem zweiten Netzwerkknoten (H) eine Verbindungsanfrage zum ersten Netzwerkknoten (R), wobei der zweite Netzwerkknoten (H) anschließend den ersten Netzwerkknoten (R) auffordert, ihm Daten für die Autorisierung des Kommunikationsendgerätes (G) zu übermitteln. Der erste Netzwerkknoten (R) übermittelt anschließend diese Daten zur Autorisierung an den zweiten Netzwerkknoten (H), wobei nach erfolgreicher Autorisierung durch den zweiten Netzwerkknoten (H) von dem Kommunikationsendgerät (G) über den zweiten Netzwerkknoten (H) eine Verbindung zu dem ersten Netzwerkknoten (R) hergestellt wird und eine Datenübertragung zwischen dem Kommunikationsendgerät (G) und dem ersten Netzwerkknoten (R) über den zweiten Netzwerkknoten (H) erfolgt. Darüber hinaus betrifft die Erfindung ein Kommunikationsnetzwerk zur Durchführung des Verfahrens.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Aufbau einer Kommunikationsverbindung zwischen einem mobilen Kommunikationsendgerät und einem diesem zugeordneten ersten Netzwerkknoten über zumindest einen zweiten Netzwerkknoten eines Kommunikationsnetzwerks.
  • Anwendungsgebiet der vorliegenden Erfindung ist der Aufbau eines vollständig dezentralen Netzwerks zur Mitbenutzung öffentlicher oder privater, insbesondere drahtloser Internetanschlüsse durch mobile Internetnutzer ohne eine zentrale Instanz zur Authentifizierung des mobilen Internetnutzers respektive seines Kommunikationsendgerätes. Eine derartige Mitbenutzung wird auch als „Access-Point-Sharing” bezeichnet.
  • Um mobilen Internetbenutzern die Möglichkeit eines Zugriffs auf das als Internet bekannte Kommunikationsnetzwerk zu gewähren, existieren drahtlose öffentliche Zugangspunkte, die in der englischen Terminologie „Wireless LAN (WLAN) Access-Points” genannt werden. Derartige Zugangspunkte, auch „Hotspots” genannt, finden sich in Schul- bzw. Hochschulgebäuden, Bahnhöfen, Flughäfen und anderen öffentlichen Plätzen, aber auch in vielen Gaststätten, Restaurants und Hotels und nicht zuletzt in Eisenbahnzügen. Sie stellen Netzwerkknoten des Kommunikationsnetzwerkes dar, mit welchem sich die Internetbenutzer mittels ihres Kommunikationsendgerätes drahtlos verbinden können, um Zugang zum Netzwerk zu erhalten. Als Kommunikationsendgerät kann dabei ein beliebiges mobiles Gerät verwendet werden, beispielsweise ein Notebook, ein PDA (Personal Digital Assistent) oder auch ein Mobiltelefon. Sofern das Kommunikationsnetzwerk das Internet ist, ist das Kommunikationsendgerät entsprechend internetfähig ausgebildet.
  • Es sind darüber hinaus auch Ansätze bekannt, die es mobilen Benutzern ermöglichen, fremde, d. h. private Internetzugänge mitzunutzen. Im Gegenzuge hierzu stellt dann der Internetbenutzer in der Regel seinen eigenen privaten, d. h. heimischen Internetzugang für andere fremde Benutzer zur Verfügung. Sowohl bei dem Zugriff auf das Internet über öffentliche Netzzugangspunkte als auch bei der Mitbenutzung privater Netzzugangspunkte werden stets zentrale Authentifizierungsinstanzen benötigt, die den Netzzugangsknoten, über den der Internetbenutzer einen Zugang zum Internet gewährt haben möchte, versichern, dass der Internetbenutzer dazu berechtigt ist auf das Kommunikationsnetzwerk zuzugreifen und dass er vertrauenswürdig ist.
  • Diese zentralen Authentifizierungsinstanzen werden von einem Serviceprovider betrieben, bei dem der mobile Benutzer Kunde ist. Die Authentifizierungsinstanz kennt damit den Benutzer und seine Vertrauenswürdigkeit und versichert dem Netzwerkknoten, über den der Internetnutzer Zugriff auf das Internet wünscht, dessen Berechtigung und Vertrauenswürdigkeit. Dies bedeutet, dass der Netzzugangsknoten für die Gewährung des Zugriffs auf das Netzwerk der Authentifizierungsinstanz uneingeschränkt vertrauen muss. Dieses erzwungene Vertrauen hält, insbesondere in Verbindung mit Haftungsrisiken des Betreibers des Netzwerkknotens, viele Nutzer davon ab, an einem Access-Point-Sharing mit dezentraler Netzwerkstruktur teilzunehmen. Dies wird nachfolgend näher erläutert.
  • Bei dezentralen Netzen schaffen im Allgemeinen private Betreiber weitere Hotspots, in dem sie einen Teil der Bandbreite ihrer heimischen drahtlosen Internetzugänge mobilen Internetnutzern zur Verfügung stellen. Ein Netzwerk entsteht dann dadurch, dass die mobilen Gäste ihre heimischen WLAN-Zugänge anderen Gästen zur Verfügung stellen. Durch den Aufbau und die Benutzung dezentraler Netzwerke entstehen rechtliche Probleme, da der Netzwerkknoten, über den ein Internetznutzer auf das Internet zugreift, aus rechtlicher Sicht dafür verantwortlich ist, dass seine Nutzer gesetzliche Grenzen nicht überschreiten. Dies ist beispielsweise der Fall, wenn der Internetnutzer urheberrechtlich geschützte Werke zum Download von seinem Kommunikationsendgerät über den Netzwerkknoten frei zur Verfügung stellt oder Medien mit kinderpornografischem Inhalt über das Internet via diesen Netzwerkknoten anbietet. Erfolgt dies über den benutzten Netzwerkknoten, liegt eine missbräuchliche Nutzung dieses Zugangspunktes vor. Dies ist insbesondere dann sehr problematisch, wenn die Identität des tatsächlichen Verursachers nicht absolut zuverlässig zurückverfolgt und im Nachhinein durch den Betreiber des Zugangspunktes belegt werden kann.
  • Zwar kann ein Schutz des benutzten Netzwerkknotens durch die Authentifizierung des Internetbenutzers sichergestellt werden, jedoch ist der Schutz von der Zuverlässigkeit der Authentifizierungsinstanz abhängig. Das Betreiben einer entsprechenden Authentifizierungsinstanz ist vergleichsweise aufwendig, da sie eine nicht unerhebliche Netzinfrastruktur erfordert und außerdem eine zumindest einmalige Identifikation des Internetnutzers über einen meist auf postalischem Wege durchgeführten Identifikationsvorgang notwendig macht. Führt der Authentifizierungsinstanzbetreiber eine derartige Identifikation des Internetnutzers nicht durch, kann der Netzwerkknoten nicht darauf vertrauen, dass der Internetnutzer bei einer Netzzugangsanfrage tatsächlich derjenige ist, der er vorgibt, zu sein. Der beschriebene Schutzmechanismus unter Verwendung einer zentralen Authentifizierungsinstanz ist daher mit einem gewissen Sicherheitsrisiko für den Netzwerkknoten behaftet.
  • Ein weiterer Nachteil einer zentralen Authentifizierungsinstanz liegt in einem bestehenden Ausfallrisiko. Im Falle eines Ausfalls der zentralen Instanz ist ein Zugriff auf das Internet für keinen der ihn benötigenden Internetnutzer mehr möglich. Das gesamte Netzwerk ist damit betroffen. Darüber hinaus bedingt eine zentrale Instanz nicht unerhebliche Wartungsarbeiten, da ihre Betriebssoftware und Ressourcen stets auf dem aktuellen Stand gehalten werden müssen. Schließlich ist die Administration derartiger zentraler Instanzen für die Internetbenutzer unkomfortabel, da sie durch den Internetdienstanbieter vorgenommen wird und nicht individuell möglich ist.
  • Eine weitere Möglichkeit, den Netzwerkknoten in der Mitte zwischen dem Kommunikationsendgerät und dem Kommunikationsnetzwerk zu schützen, ist in der Veröffentlichung „Secure Wi-Fi Sharing at global Scales", RWTH Aachen University, 978-1-4244-20360, 2008 IEEE, bekannt. Bei dem in dieser Veröffentlichung vorgeschlagenen Verfahren wird ein einem mobilen Kommunikationsendgerät zugeordneter Netzwerkknoten als vertrauenswürdige Relaisstation verwendet, um ins Internet zu gehen. Das Kommunikationsendgerät greift dabei zunächst auf einen ersten Netzwerkknoten zu, etabliert dann zu einem zweiten Netzwerkknoten einen gesicherten Tunnel und greift über diesen zweiten Netzwerkknoten auf das Internet zu, wobei dieser Zugriff dadurch gewährt wird, dass das Kommunikationsendgerät der Relaisstation ein durch eine zentrale Authentifizierungsinstanz ausgestelltes Zertifikat übermittelt, ausweislich welchem das Kommunikationsendgerät berechtigt ist, auf das Internet zuzugreifen. Der gesicherte Tunnel zwischen dem Kommunikationsendgerät und dem zweiten als Relaisstation wirkendem Netzwerkknoten gewährleistet, dass die von dem Kommunikationsendgerät übertragenen Datenpakete aus der Perspektive des Kommunikationsnetzwerkes als von dem zweiten Netzwerkknoten stammend angesehen werden.
  • Der den Netzzugang zur Verfügung stellende Netzwerkknoten muss damit lediglich dem Aussteller des Zertifikates vertrauen und überträgt dann ein etwaiges rechtliches Haftungsrisiko auf den zweiten Netzwerkknoten. Letztlich ist bei diesem Verfahren jedoch ebenfalls eine zentrale Instanz notwendig, die dem zweiten Netzwerkknoten mittels eines Zertifikats versichert, dass der Internetnutzer auf das Kommunikationsnetzwerk zugreifen und zu diesem Zwecke mit einem bestimmten ersten Netzwerkknoten kommunizieren darf. Ein derartiges Zertifikat kann jedoch gestohlen, erschlichen oder sogar gefälscht werden, so dass ein in Schädigungsabsicht handelnder Internetnutzer dennoch den zweiten Netzwerkknoten zur Weiterleitung seiner Daten in das Kommunikationsnetz bzw. zu einem von dem Internetnutzer gewählten Netzwerkknoten bewegen könnte. Der zweite Netzwerkknoten ist damit weiterhin darauf angewiesen, einer zentralen Instanz und der Richtigkeit der von dieser ausgestellten Zertifikate zu vertrauen, was weiterhin ein Sicherheitsrisiko für ihn birgt.
  • Es ist daher Aufgabe der vorliegenden Erfindung, ein einfaches Verfahren zum Aufbau einer Kommunikationsverbindung zwischen einem mobilen Kommunikationsendgerät und einem diesem zugeordneten ersten Netzwerkknoten über zumindest einen zweiten Netzwerkknoten eines Kommunikationsnetzes bereit zu stellen, bei welchem eine zentrale Instanz zur Authentifizierung des Kommunikationsendgerätes oder zur Zertifikatsvergabe vermieden wird, so dass die Ausfallsicherheit erhöht, die Administration für den Netzwerkzugang vereinfacht und gleichzeitig gewährleistet ist, dass der zweite Netzwerkknoten keine Sicherheits- oder Haftungsrisiken trägt.
  • Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch ein dezentrales Kommunikationsnetzwerk mit den Merkmalen des Anspruchs 12 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen formuliert.
  • Erfindungsgemäß wird ein Verfahren zum Aufbau einer Kommunikationsverbindung zwischen einem mobilen Kommunikationsendgerät und einem diesem zugeordneten ersten Netzwerkknoten über zumindest einen zweiten Netzwerkknoten eines Kommunikationsnetzes vorgeschlagen, bei dem das Kommunikationsendgerät dem zweiten Netzwerkknoten eine Verbindungsanfrage zum ersten Netzwerkknoten übermittelt und der zweite Netzwerkknoten anschließend den ersten Netzwerkknoten auffordert, ihm Daten für die Autorisierung des Kommunikationsendgerätes zu übermitteln, wobei der erste Netzwerkknoten anschließend Daten zur Autorisierung an den zweiten Netzwerkknoten übermittelt und nach erfolgreicher Autorisierung durch den zweiten Netzwerkknoten von dem Kommunikationsendgerät über den zweiten Netzwerkknoten eine Verbindung zu dem ersten Netzwerkknoten hergestellt wird und eine Datenübertragung zwischen dem Kommunikationsendgerät und dem ersten Netzwerkknoten über den zweiten Netzwerkknoten erfolgt.
  • Dieses Verfahren ermöglicht es, ohne eine zentrale Authentifizierungsinstanz oder Zertifikatsvergabestelle auszukommen, da der zweite, dem Kommunikationsendgerät zugeordnete Netzwerkknoten die für die Autorisierung des Kommunikationsendgerätes nötigen Daten bereitstellt. Die Autorisierung selbst erfolgt dann durch den zweiten Netzwerkknoten. Bei einem Kommunikationsnetzwerk mit vielen Kommunikationsendgeräten und entsprechend diesen zugeordneten Netzwerkknoten entsteht somit ein dezentrales Netzwerk mit einer dezentralen Autorisierung der Kommunikationsendgeräte respektive der entsprechenden Nutzer.
  • Dies hat den Vorteil, dass der Netzwerkknoten zwischen dem Kommunikationsendgerät und dem ersten Netzwerkknoten keinem Dritten mehr vertrauen muss, da der Aufbau der Kommunikationsverbindung ausschließlich auf einer Vertrauensbeziehung zwischen dem Kommunikationsendgerät und dem diesem zugeordneten ersten Netzwerkknoten basiert. Die Existenz dieser Vertrauensbeziehung kann der zweite Netzwerkknoten ohne die Hilfe einer zentralen Instanz überprüfen.
  • Das mobile Kommunikationsendgerät kann beispielsweise ein Notebook, ein PDA (Personal Digital Assistent), ein Mobiltelefon oder ein beliebiges anderes, insbesondere internetfähiges Kommunikationsendgerät sein. Bei dem ersten Netzwerkknoten kann es sich beispielsweise um einen Computer handeln, von dem das Kommunikationsendgerät Daten abzurufen wünscht oder zu dem das Kommunikationsendgerät Daten zu übertragen wünscht. Alternativ kann der erste Netzwerkknoten ein privater Zugangspunkt zu dem Kommunikationsnetzwerk sein, beispielsweise ein Router, der dem Benutzer des Kommunikationsendgerätes gehört und der bereits aufgrund dieser Beziehung dem Kommunikationsendgerät zugeordnet ist. Der Zugangspunkt des ersten Netzwerkknotens kann drahtlos ausgeführt sein, so dass der erste Netzwerkknoten einen so genannten WLAN-Zugang zu dem Kommunikationsnetzwerk gewährt, d. h. einen Wireless-Access-Point darstellt.
  • In einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens kann daher der als Netzzugangspunkt ausgebildete erste Netzwerkknoten dazu benutzt werden, dem Kommunikationsendgerät einen Zugang zu dem Kommunikationsnetzwerk zu gewähren, wobei erst nach erfolgreicher Autorisierung des Kommunikationsendgerätes diesem über den zweiten Netzwerkknoten die Verbindung zu dem ersten Netzwerkknoten und von diesem wiederum zum Kommunikationsnetzwerk gewährt wird. Der erste Netzwerkknoten wird damit als Relaisstation verwendet, über die die Datenkommunikation zwischen dem Kommunikationsendgerät und dem Kommunikationsnetzwerk geführt wird.
  • Der zweite Netzwerkknoten kann in dieser Ausführungsvariante ebenfalls einen Netzwerkzugang aufweisen, der vorzugsweise drahtlos ausgeführt sein kann. Insbesondere kann der zweite Netzwerkknoten ein öffentlicher oder ein privater, d. h. einem anderen Internetbenutzer respektive einem anderen Kommunikationsendgerät zugeordneter Access-Point in Gestalt eines Routers oder eines Computers sein, über den ein Zugang zu dem Kommunikationsnetzwerk möglich ist.
  • Die Verbindung zwischen dem Kommunikationsendgerät und dem ersten Netzwerkknoten kann über einen VPN (Virtual Private Network)-Tunnel erfolgen. Dies hat den Vorteil, dass die Daten gesichert übertragen werden und der zweite Netzwerkknoten vom Inhalt der Daten keine Kenntnis nehmen kann.
  • Weiterhin können die von dem Kommunikationsendgerät zu dem zweiten Netzwerkknoten übertragenen Daten von dem Kommunikationsendgerät digital authentifiziert worden sein. Dabei werden kryptographische Verfahren verwendet, bei denen zu einer Gruppe beliebiger Daten als kryptographische Prüfsumme bezeichnete zusätzliche Daten hinzugefügt werden, die den Daten eindeutig zugeordnet sind. Hierbei wird ein Schlüssel verwendet, der dem Kommunikationsendgerät und dem zweiten Netzwerkknoten bekannt ist. Der zweite Netzwerkknoten kann sich nach Überprüfung der kryptographischen Prüfsumme sicher sein, dass die an ihn übertragenen Daten von dem richtigen Absender, d. h. dem zuvor um Verbindung zu dem ersten Zugangsknoten gebetenen Kommunikationsendgerät stammen.
  • Wie bereits erwähnt, kann das erfindungsgemäße Verfahren auf ein beliebiges dezentrales Netzwerk angewendet werden, d. h. beispielsweise auf ein dezentrales Netzwerk mit mehreren Netzwerkknoten mit Zugangspunkten, bei dem die Benutzer jeweils diese privaten Zugangspunkte anderen Nutzern zur Verfügung stellen, d. h. ein Access-Point-Sharing bietet. In diesem Sinne kann bei dem erfindungsgemäßen Verfahren der zweite Netzwerkknoten einem zweiten mobilen Kommunikationsendgerät zugeordnet sein, und dieses zumindest über den ersten Netzwerkknoten eine Verbindung zu dem zweiten Netzwerkknoten aufbauen, wobei das zweite Kommunikationsendgerät dem ersten Netzwerkknoten eine Verbindungsanfrage zu dem zweiten Netzwerkknoten übermittelt und der erste Netzwerkknoten anschließend den zweiten Netzwerkknoten auffordert, ihm Daten für die Autorisierung des zweiten Kommunikationsendgerätes zu übermitteln, wobei der zweite Netzwerkknoten anschließend Daten zur Autorisierung an den ersten Netzwerkknoten übermittelt und nach erfolgreicher Autorisierung durch den ersten Netzwerkknoten von dem Kommunikationsendgerät über den ersten Netzwerkknoten eine Verbindung zu dem zweiten Netzwerkknoten und von diesem wiederum zum Kommunikationsnetzwerk hergestellt werden kann.
  • In dieser erfindungsgemäßen Ausführungsvariante des Verfahrens ist folglich eine Möglichkeit zum Betreiben eines dezentralen Netzwerks realisiert, bei dem diejenigen unmittelbar mit dem Kommunikationsendgerät in Verbindung stehenden Netzwerkknoten den Datentransfer risikolos weiterleiten können, da es aus Sicht des Kommunikationsnetzwerks den Anschein hat, als kämen die übertragenen Daten von dem dem Kommunikationsendgerät zugeordneten Netzzugang. Gleichzeitig kann auf eine zentrale Instanz vollständig verzichtet werden.
  • Die Zuordnung eines Netzwerkknotens zu einem Kommunikationsendgerät kann erfindungsgemäß dadurch erfolgen, dass ihnen beiden ein erster kryptografischer Schlüssel bekannt ist. Dieser kryptografische Schlüssel kann von einem Internetbenutzer manuell ausgewählt und seinem Kommunikationsendgerät sowie seinem privaten Netzwerkknoten manuell mitgeteilt werden. Bei einem Schlüssel kann es sich beispielsweise um ein Passwort oder eine Zufallsfolge von Zahlen und Buchstaben handeln. Aufgrund der Tatsache, dass sowohl das Kommunikationsendgerät als auch der ihm zugeordnete Netzwerkknoten im Besitz desselben Schlüssels sind, besteht zwischen ihnen beiden eine Vertrauensbeziehung, die für eine Autorisierung des Kommunikationsendgerätes verwendet werden kann.
  • Die zur Autorisierung des Kommunikationsendgerätes verwendeten Schritte können sich beispielsweise wie folgt darstellen:
    Zunächst wählt der zur Übermittlung der Autorisierungsdaten aufgeforderte Netzwerkknoten einen zweiten kryptografischen Schlüssel, den er anschließend unter Verwendung des ersten kryptografischen Schlüssels verschlüsselt. Die Wahl des zweiten kryptografischen Schlüssels kann durch eine Auswahl aus einer Menge vorhandener Schlüssel oder durch Generierung eines neuen Schlüssels erfolgen. Anschließend versendet der Netzwerkknoten sowohl den unverschlüsselten zweiten kryptografischen Schlüssel als auch dessen verschlüsselte Form an den auffordernden Netzwerkknoten, welcher den zweiten kryptografischen Schlüssel behält und lediglich die verschlüsselte Form dieses zweiten kryptografischen Schlüssels an das Kommunikationsendgerät weiterleitet. Anschließend kann das Kommunikationsendgerät die verschlüsselte Form des zweiten kryptografischen Schlüssels unter Verwendung des ersten kryptografischen Schlüssels entschlüsseln. Dies ist möglich, weil das Kommunikationsendgerät im Besitz des ersten kryptografischen Schlüssels ist, der zur Verschlüsselung des zweiten kryptografischen Schlüssels verwendet worden ist. Der zweite kryptografische Schlüssel ist nunmehr sowohl dem Kommunikationsendgerät als auch dem auffordernden Netzwerkknoten bekannt. In einem weiteren Verfahrensschritt kann das Kommunikationsendgerät nunmehr dem auffordernden Netzwerkknoten gegenüber den Nachweis erbringen, dass er im Besitz des zweiten Schlüssels ist. Dieser Nachweis beweist, dass das Kommunikationsendgerät eine Vertrauensbeziehung zu dem aufgeforderten Netzwerkknoten hat.
  • Der Nachweis kann beispielsweise durch eine kryptografische Prüfsumme erfolgen, die das Kommunikationsendgerät mit Hilfe des zweiten kryptografischen Schlüssels generiert und diese zumindest ein Mal an dem Netzwerkknoten zu übermittelnde Daten anhängt, wobei der Netzwerkknoten die Prüfsumme mittels des ihm bekannten zweiten kryptografischen Schlüssels überprüfen kann. Ist die Prüfsumme korrekt, weiß der Netzwerkknoten, dass die übermittelten Daten von demjenigen Kommunikationsendgerät stammen, das eine Vertrauensbeziehung zu dem zur Authentifizierung aufgeforderten Netzwerkknoten hat.
  • Vorzugsweise kann eine solche Prüfsumme an jede dem Netzwerkknoten übermittelte Datensequenz angehängt und vom Netzwerkknoten überprüft werden. Dies vermeidet die Gefahr, dass Daten von einem nicht vertrauenswürdigen Absender eingeschleust werden.
  • Weiterhin betrifft die Erfindung ein Kommunikationsnetzwerk umfassend zumindest ein mobiles Kommunikationsendgerät, einen diesem zugeordneten ersten Netzwerkknoten und zumindest einen zweiten Netzwerkknoten, wobei von dem Kommunikationsendgerät zumindest über den zweiten Netzwerkknoten eine Kommunikationsverbindung zu dem ersten Netzwerkknoten aufbaubar ist, und das Kommunikationsendgerät, der erste und der zweite Netzwerkknoten zur Durchführung des vorbeschriebenen Verfahrens eingerichtet sind.
  • In einer vorteilhaften Weiterbildung kann ein zweites Kommunikationsendgerät vorgesehen sein, welches wiederum dem zweiten Netzwerkknoten zugeordnet ist und zu diesem eine Kommunikationsverbindung über den ersten Netzwerkknoten begehrt, wobei auch hier die beteiligten Komponenten dazu eingerichtet sind, dass vorbeschriebene Verfahren durchzuführen.
  • Das erfindungsgemäße Verfahren wird nachfolgend anhand eines konkreten Ausführungsbeispiels sowie den beigefügten Figuren näher erläutert.
  • Es zeigen:
  • 1: Schematische Darstellung des Datenübertragungsweges nach Aufbau der Kommunikationsverbindung
  • 2: schematische Darstellung des Verfahrensablaufs zum Aufbau der Kommunikationsverbindung
  • 1 zeigt ein Kommunikationsnetzwerk umfassend zumindest ein mobiles Kommunikationsendgerät G, einen diesem zugeordneten ersten Netzwerkknoten R und zumindest einen zweiten Netzwerkknoten H, wobei von dem Kommunikationsendgerät G über den zweiten Netzwerkknoten H eine Kommunikationsverbindung zu dem ersten Netzwerkknoten R und von diesem zu einem beliebigen Rechner des Kommunikationsnetzwerks aufgebaut ist, welches gemäß 1 das Internet darstellt. Das Kommunikationsendgerät G ist als Notebook ausgeführt und greift über eine drahtlose Kommunikationsverbindung auf den als Netzzugangspunkt ausgeführten zweiten Netzwerkknoten H zu. Der erste Netzwerkknoten R umfasst ebenfalls einen Netzzugangspunkt, über den das Kommunikationsendgerät G Zugang zum Internet erlangt.
  • Der erste Netzwerkknoten R ist dem Kommunikationsendgerät G dergestalt zugeordnet, dass sowohl das Kommunikationsendgerät G als auch der erste Netzwerkknoten demselben Internetbenutzer gehören. Des Weiteren ist die Zuordnung dadurch gekennzeichnet, dass ihnen beiden ein und derselbe kryptografische Schlüssel s bekannt ist. Der zweite Netzwerkknoten H dient als Relaisstation, da er die von dem Kommunikationsendgerät G stammenden Daten an den ersten Netzwerkknoten weiterleitet, welcher als fernbediente Station betrachtet werden kann. Der erste Netzwerkknoten dient wiederum als Relaisstation für die Daten des Kommunikationsendgerätes G, indem er diese in das Internet und eingehende Antworten zum Kommunikationsgerät weiterleitet. Dabei kann eine unter der Bezeichnung Network Address Translation (NAT) in der Fachwelt bekannte Technik zum Einsatz kommen. Dabei ersetzt der erste Netzwerkknoten die Absenderadresse bei vom Kommunikationsgerät in Richtung Internet weitergeleiteten Daten durch eine ihm selbst zugeordnete Adresse, und ersetzt analog in daraufhin eintreffenden Antwortdaten die Zieladresse durch eine dem Kommunikationsendgerät G zugeordnete Adresse. Zwischen dem Kommunikationsendgerät G und dem ersten Netzwerkknoten R besteht eine gesicherte Verbindung in Gestalt eines Tunnels. Ein Zugriff des Kommunikationsendgerätes G auf das Internet ist folglich nur über den ersten Netzwerkknoten R möglich.
  • Mit einer derartigen Anordnung kann eine zentrale Instanz zur Authentifizierung des Kommunikationsendgerätes, der alle Nutzer des Kommunikationsnetzwerkes zwangsläufig vertrauen müssen, entfallen und gleichzeitig die Haftungsrisiken für den Betreiber des zweiten Netzwerkknotens H aufgrund dessen Benutzung durch den fremden Benutzer, d. h. das Kommunikationsendgerät G, vermieden werden. Ein mobiler Nutzer wird so von seinem eigenen heimischen Internetzugang in Gestalt des ersten Netzwerkknotens R indirekt autorisiert und nutzt den fremden drahtlosen Netzzugang, d. h. WLAN-Zugang, lediglich als Relaisstation.
  • 2 zeigt einen erfindungsgemäßen Ablauf des Authentifizierungsverfahrens zum Aufbau der Kommunikationsverbindung. Dabei ist dargestellt, dass sowohl dem Kommunikationsendgerät G als auch dem ersten Netzwerkknoten R derselbe Schlüssel s bekannt ist.
  • In einem ersten Schritt stellt das Kommunikationsendgerät G dem zweiten Netzwerkknoten H zunächst eine Verbindungsanfrage zum ersten Netzwerkknoten R. Der zweite Netzwerkknoten H fordert anschließend den ersten Netzwerkknoten R auf, die notwendigen Daten bereitzustellen, um die Autorisierung, d. h. die Berechtigung des Kommunikationsendgerätes G, zu dem ersten Netzwerkknoten eine Verbindung aufzubauen, überprüfen zu können. Der erste Netzwerkknoten R wählt daraufhin einen zweiten kryptografischen Schlüssel t und verschlüsselt diesen mittels des ihm bekannten ersten kryptografischen Schlüssels s zu einem Schlüsseltext s(t). Sowohl der zweite kryptografische Schlüssel t als auch der zugehörige Schlüsseltext s(t) werden von dem ersten Netzwerkknoten R anschließend an den zweiten Netzwerkknoten H übermittelt, welcher den zweiten kryptografischen Schlüssel t behält und den Schlüsseltext s(t) an das mobile Kommunikationsendgerät G weiterleitet.
  • Da dem Kommunikationsendgerät G der erste kryptografische Schlüssel s bekannt ist, kann es den Schlüsseltext s(t) entschlüsseln, was in 2 mit s–1(s(t)) = t zum Ausdruck gebracht wird. Durch die Entschlüsselung erhält das Kommunikationsendgerät G den zweiten kryptografischen Schlüssel t.
  • Werden nunmehr Daten p von dem Kommunikationsendgerät G über den zweiten Netzwerkknoten H zu dem ersten Netzwerkknoten R übertragen, wird der zweite kryptografische Schlüssel t dazu verwendet, diese Daten p zu authentifizieren. Dies erfolgt durch Bildung einer Prüfsumme HMAC (Keyed-Hash Message Authentication Code), die an die Daten p angehängt wird. Bestehen die Daten p aus mehreren, in einer konkreten Reihenfolge anzuordnenden Datenpakten, kann für die Zusammensetzung der Pakete in der korrekten Reihenfolge am Empfangsort eine Sequenznummer sn gebildet werden, die den Daten p, bzw. der Datensequenz ebenfalls angehängt wird. Die aus den Datenpaketen und der Sequenznummer gebildeten Daten werden dann gemeinsam authentifiziert, d. h. eine Prüfsumme HMAC unter Verwendung des zweiten kryptografischen Schlüssels t gebildet. Da der zweite Netzwerkknoten H im Besitz des zweiten Schlüssels t ist, kann er die kryptographische Prüfsumme HMAC überprüfen und im Falle einer Übereinstimmung sicher sein, dass die Daten von demjenigen Absender stammen, der zu dem ersten Netzwerkknoten eine Vertrauensbeziehung unterhält. Der zweite Netzwerkknoten H kann folglich die Daten p ohne Sicherheitsbedenken an den ersten Netzwerkknoten R übertragen.
  • Weitere Merkmale und Alternativen des erfindungsgemäßen Verfahrens werden nachfolgend noch einmal zusammenfassend erläutert.
  • Das Kommunikationsendgerät kann auch als Gast G bezeichnet werden, der erste Netzwerkknoten als Remote Station G und der zweite Netzwerkknoten als Host G. Nachdem der Gast G mit dem Host G Verbindung aufgenommen hat – beispielsweise, indem er sich in ein hierfür bereitgestelltes drahtloses Netzwerk eingebucht und dort eine lokale Adresse erhalten hat – erbittet der Gast G beim Host G, Verbindung zu seiner Remote Station G herstellen zu dürfen. Es existiert nun allerdings keine zentrale Instanz, mittels derer Host G die Identität des Gastes G verifizieren und diesen einer bestimmten Remote Station zuordnen könnte. Daher wäre es dem Gast G prinzipiell möglich, dem Host G gegenüber einen beliebigen anderen, ans Internet angeschlossenen Rechner als angebliche Remote Station zu benennen und den Host G so dazu zu bewegen, ihn mit diesem (vom Gast dann beliebig gewählten) Rechner kommunizieren zu lassen. Der in dieser Erfindung beschriebene Mechanismus ermöglicht es dem Host G, die Zugehörigkeit des Gastes G zur Remote Station G zu überprüfen und damit die Autorisierung des Gastes G, mit der von diesem benannten Remote Station G zu kommunizieren, sicherzustellen. Hierfür werden keine zentral authentifizierten Identitätsmerkmale des Gastes G benötigt. Insbesondere ist es sogar möglich, die Zugehörigkeit des Gastes G zur Remote Station G zu verifizieren und damit die Berechtigung zur Datenübertragung festzustellen ohne dass der Host G von der Identität des Gastes G oder der Remote Station G Kenntnis erlangt. Es muss zum Zwecke der Verifizierung auch keine direkte Kommunikation zwischen Gast G und Remote Station G zugelassen werden.
  • Der Ablauf einer erfindungsgemäßen Autorisierung ist der Folgende, er ist in 2 dargestellt:
    Erhält der Host G einen Verbindungswunsch eines Gastes G, kontaktiert er die in diesem Verbindungswunsch benannte Remote Station G und erbittet die Bereitstellung eines temporären Schlüssels t zur Autorisierung des Gastes G. Der Gast und die Remote Station G teilen bereits zuvor einen geheimen Schlüssel s. Die Remote Station G wählt einen Schlüssel t und verschlüsselt diesen mit dem Schlüssel s. Sowohl der gewählte Schlüssel selbst t als auch der verschlüsselte Schlüssel s(t) werden an den Host G übertragen. Der Host G leitet den verschlüsselten Schlüssel s(t) weiter an den Gast G. Besitzt der Gast G den gleichen Schlüssel s wie die Remote Station G, dann ist er in der Lage, die notwendige Entschlüsselungsoperation s–1(s(t)) = t auszuführen und somit in Besitz des von der Remote Station G gewählten Schlüssels t zu gelangen. Damit verfügen der Gast G und der Host G nun über ein gemeinsames Geheimnis t, welches dem Host G die eigentliche Autorisierungsprüfung des Gastes G ermöglicht. Ist der Gast G nicht in Besitz des Schlüssels s, so hat er keine Möglichkeit, aus der Schlüsselübertragung s(t) auf den gewählten Schlüssel t zu schließen. Die Tatsache, dass der Gast G in Besitz des Schlüssels t ist, zeigt das er auch den Schlüssel s besitzt und belegt dann dem Host G gegenüber, dass eine Vertrauensbeziehung zwischen dem Gast G und der Remote Station G existiert, und dass die Remote Station G bereit und willens ist, Daten des Gastes G zu empfangen.
  • Die Authentifizierung von durch den Gast G generiertem, an die Remote Station G gerichtetem Datenverkehr mittels des im Zuge des Mechanismus ausgetauschten Schlüssels t kann beispielsweise durch eine kryptographische Prüfsumme erfolgen. Dabei würde der Gast den Schlüssel t verwenden, um den Übertragungen der von ihm erzeugten Datenpakete p eine solche Prüfsumme (Hashed Message Authentication Code, HMAC) anzuhängen. Typischerweise würde hier auch noch eine Seriennummer sn mit einbezogen, um mögliche Angriffe durch Wiederholen früher aufgezeichneter Übertragungen zu verhindern. Der Host G kann, wenn eine solche Nachricht bei ihm eintrifft, denselben Schlüssel t verwenden, um dieselbe Prüfsumme zu berechnen und mit der übertragenen zu vergleichen. Eine korrekte Prüfsumme belegt dann, dass der Erzeuger der Nachricht im Besitz des Schlüssels t ist, und bestätigt somit dem Host G, dass das Datenpaket p an die Remote Station G weitergeleitet werden darf.
  • Wie in der Fachwelt allgemein bekannt, kann symmetrische Kryptographie durch asymmetrische Kryptographie ersetzt werden. In allen beschriebenen Ausprägungen des Verfahrens ist es deshalb möglich, die mit s und t bezeichneten symmetrischen Schlüssel einzeln oder beide durch je ein asymmetrisches Schlüsselpaar zu ersetzen. In diesem Falle kennt dann jeder Netzwerkknoten, der gemäß den beschriebenen Verfahrensschritten Kenntnis von dem jeweiligen symmetrischen Schlüssel hätte, mindestens einen der Schlüssel des entsprechenden asymmetrischen Schlüsselpaares.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • - Secure Wi-Fi Sharing at global Scales”, RWTH Aachen University, 978-1-4244-20360, 2008 IEEE [0009]

Claims (12)

  1. Verfahren zum Aufbau einer Kommunikationsverbindung zwischen einem mobilen Kommunikationsendgerät (G) und einem diesem zugeordneten ersten Netzwerkknoten (R) über zumindest einen zweiten Netzwerkknoten (H) eines Kommunikationsnetzwerks, dadurch gekennzeichnet, dass das Kommunikationsendgerät (G) dem zweiten Netzwerkknoten (H) eine Verbindungsanfrage zum ersten Netzwerkknoten (R) übermittelt und der zweite Netzwerkknoten (H) anschließend den ersten Netzwerkknoten (R) auffordert, ihm Daten für die Autorisierung des Kommunikationsendgerätes (G) zu übermitteln, wobei der erste Netzwerkknoten (R) anschließend Daten zur Autorisierung an den zweiten Netzwerkknoten (H) übermittelt und nach erfolgreicher Autorisierung durch den zweiten Netzwerkknoten (H) von dem Kommunikationsendgerät (G) über den zweiten Netzwerkknoten (H) eine Verbindung zu dem ersten Netzwerkknoten (R) hergestellt wird und eine Datenübertragung zwischen dem Kommunikationsendgerät (G) und dem ersten Netzwerkknoten (R) über den zweiten Netzwerkknoten (H) erfolgt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als erster und/oder zweiter Netzwerkknoten (R, H) jeweils ein öffentlicher oder privater, insbesondere drahtloser, Zugangspunkt zu dem Kommunikationsnetzwerk verwendet wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass nach erfolgreicher Autorisierung dem Kommunikationsendgerät (G) über den zweiten Netzwerkknoten (H) die Verbindung zu dem ersten Netzwerkknoten (R) und von diesem zum Kommunikationsnetzwerk gewährt wird.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass die Verbindung zwischen dem Kommunikationsendgerät (G) und dem ersten Netzwerkknoten (R) über einen VPN-Tunnel erfolgt.
  5. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die von dem Kommunikationsendgerät (G) zu dem zweiten Netzwerkknoten (H) übertragenen Daten von dem Kommunikationsendgerät (G) kryptographisch authentifiziert werden.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der zweite Netzwerkknoten (H) einem zweiten mobilen Kommunikationsendgerät zugeordnet ist und dieses zumindest über den ersten Netzwerkknoten (R) eine Verbindung zu dem zweiten Netzwerkknoten (H) aufbaut, wobei das zweite Kommunikationsendgerät dem ersten Netzwerkknoten (R) eine Verbindungsanfrage zu dem zweiten Netzwerkknoten (H) übermittelt und der erste Netzwerkknoten (R) anschließend den zweiten Netzwerkknoten (H) auffordert, ihm Daten für die Autorisierung des zweiten Kommunikationsendgerätes zu übermitteln, wobei der zweite Netzwerkknoten (H) anschließend Daten zur Autorisierung an den ersten Netzwerkknoten (R) übermittelt und nach erfolgreicher Autorisierung durch den ersten Netzwerkknoten (H) von dem zweiten Kommunikationsendgerät über den ersten Netzwerkknoten (R) eine Verbindung zu dem zweiten Netzwerkknoten (H) und von diesem zum Kommunikationsnetzwerk hergestellt wird.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Zuordnung eines Netzwerkknotens (R, H) zu einem Kommunikationsendgerät (G) dadurch erfolgt, dass ihnen beiden ein erster kryptografischer Schlüssel (s) bekannt ist.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass zur Autorisierung des entsprechenden Kommunikationsendgerätes (G) zunächst der zur Bereitstellung von Daten zur Autorisierung aufgeforderte Netzwerkknoten (R, H) die folgenden Schritte durchführt: – Wahl eines zweiten kryptografischen Schlüssels (t) – Verschlüsselung (s(t)) des zweiten kryptografischen Schlüssels (t) mittels des ersten kryptografischen Schlüssels (s) – Versenden des zweiten kryptografischen Schlüssels (t) und des Ergebnisses der Verschlüsselung (s(t)) des zweiten kryptografischen Schlüssels (t) an den auffordernden Netzwerkknoten (R, H), wobei der auffordernde Netzwerkknoten (R, H) dem anfragenden Kommunikationsendgerät (G) anschließend nur das Ergebnis der Verschlüsselung (s(t)) des zweiten kryptografischen Schlüssels (t) übermittelt und den zweiten kryptografischen Schlüssel (t) selbst behält, wobei anschließend das Kommunikationsendgerät (G) das Ergebnis der Verschlüsselung (s(t)) zur Gewinnung des zweiten kryptografischen Schlüssels (t) unter Verwendung des ersten kryptografischen Schlüssels (s) entschlüsselt (s–1(s(t))) und dem auffordernden Netzwerkknoten gegenüber den Nachweis erbringt, dass er im Besitz des zweiten Schlüssels (t) ist.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass der Nachweis dadurch erbracht wird, dass das Kommunikationsendgerät (G) mit Hilfe des zweiten kryptografischen Schlüssels (t) eine kryptografische Prüfsumme (HMAC) generiert und diese zumindest einmalig an dem Netzwerkknoten (H, R) übermittelte Daten (p) anhängt, wobei der Netzwerkknoten (H, R) die Prüfsumme mittels des zweiten kryptografischen Schlüssels (t) überprüft.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass an jedes dem Netzwerkknoten (H, R) übermittelte Datenpaket eine Prüfsumme angehängt wird.
  11. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der dem Kommunikationsendgerät (G) zugeordnete Netzwerkknoten (R, H) die Absenderadresse von durch das Kommunikationsendgerät (G) übermittelten Daten vor der Weiterleitung an andere Netzwerkknoten des Kommunikationsnetzwerks durch eine andere, ihm selbst zugeordnete Adresse ersetzt und bei eintreffenden Antworten auf diese Daten die Zieladresse dieser Antworten durch eine dem Kommunikationsendgerät (G) zugeordnete Adresse ersetzt.
  12. Kommunikationsnetzwerk umfassend zumindest ein mobiles Kommunikationsendgerät (G), einen diesem zugeordneten ersten Netzwerkknoten (R) und zumindest einen zweiten Netzwerkknoten (H), wobei von dem Kommunikationsendgerät (G) zumindest über den zweiten Netzwerkknoten (H) eine Kommunikationsverbindung zu dem ersten Netzwerkknoten (R) aufbaubar ist, dadurch gekennzeichnet, dass das Kommunikationsendgerät (G), der erste und der zweite Netzwerkknoten (H, R) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 11 eingerichtet sind.
DE102009019864A 2009-05-06 2009-05-06 Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk Withdrawn DE102009019864A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102009019864A DE102009019864A1 (de) 2009-05-06 2009-05-06 Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk
PCT/EP2010/002634 WO2010127806A1 (de) 2009-05-06 2010-04-29 Verfahren zur mitbenutzung drahtloser zugangspunkte zu einem kommunikationsnetzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009019864A DE102009019864A1 (de) 2009-05-06 2009-05-06 Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk

Publications (1)

Publication Number Publication Date
DE102009019864A1 true DE102009019864A1 (de) 2010-11-18

Family

ID=42556916

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009019864A Withdrawn DE102009019864A1 (de) 2009-05-06 2009-05-06 Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk

Country Status (2)

Country Link
DE (1) DE102009019864A1 (de)
WO (1) WO2010127806A1 (de)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE519471C2 (sv) * 1999-09-20 2003-03-04 Ericsson Telefon Ab L M Metod för att etablera en säker förbindelse mellan accesspunkter och en mobilterminal i ett paketförmedlat nät
EP1542401B8 (de) * 2003-12-11 2010-09-08 Swisscom AG Netzzugangsvorrichtung für funkbasierte drahtlose lokale Netze

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHOI,W.,et.al.: Designing a Novel Unlicensed Nomadic Access Relay Station in IEEE 802.16-based Wireless Access Networks. In: IEEE 65th Vehicular Technology Conference,2007,S.2961-2965.ISBN 1-4244 -0266-2 $ges.Dokument v.a.Fig.6,Kap. IV.C$ *
CHOI,W.,et.al.: Designing a Novel Unlicensed Nomadic Access Relay Station in IEEE 802.16-based Wireless Access Networks. In: IEEE 65th Vehicular Technology Conference,2007,S.2961-2965.ISBN 1-4244 -0266-2 ges.Dokument v.a.Fig.6,Kap. IV.C
Secure Wi-Fi Sharing at global Scales", RWTH Aachen University, 978-1-4244-20360, 2008 IEEE

Also Published As

Publication number Publication date
WO2010127806A1 (de) 2010-11-11

Similar Documents

Publication Publication Date Title
EP2052487B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE602004000695T2 (de) Erzeugung von asymmetrischen Schlüsseln in einem Telekommunicationssystem
EP3077952B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE112016002319T5 (de) Verfahren und vorrichtung zur initialzertifikatregistrierung in einem drahtlosen kommunikationssystem
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
CN101114900A (zh) 一种组播业务认证方法及其装置、系统
WO2007138060A1 (de) Verfahren und system zum bereitstellen eines mesh-schlüssels
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
WO2012031820A1 (de) Verfahren zur zertifikats-basierten authentisierung
EP3078177A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102009032466B4 (de) Sicherheit in Netzwerken
EP1406464A1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
EP2685696A1 (de) Verfahren zum sicheren Betrieb von Verbundnetzen, insbesondere von Windpark- oder anderen ausgedehnten Netzen
DE102009019864A1 (de) Verfahren zur Mitbenutzung drahtloser Zugangspunkte zu einem Kommunikationsnetzwerk
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
EP3669508B1 (de) Geschützte nachrichtenübertragung
DE102007003492B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP2759089A2 (de) System und verfahren zur sicheren spontanen übermittlung vertraulicher daten über unsichere verbindungen und vermittlungsrechner
EP4203387A1 (de) Verfahren und system zur authentifizierung eines endgeräts eines nutzers

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8181 Inventor (new situation)

Inventor name: SCHEUERMANN, BJOERN, 40597 DUESSELDORF, DE

Inventor name: ELSNER, TILL, 40591 DUESSELDORF, DE

Inventor name: MAUVE, MARTIN, 40215 DUESSELDORF, DE

Inventor name: KIESS, WOLFGANG, 81373 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20131203