DE102009033250A1 - Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken - Google Patents

Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken Download PDF

Info

Publication number
DE102009033250A1
DE102009033250A1 DE102009033250A DE102009033250A DE102009033250A1 DE 102009033250 A1 DE102009033250 A1 DE 102009033250A1 DE 102009033250 A DE102009033250 A DE 102009033250A DE 102009033250 A DE102009033250 A DE 102009033250A DE 102009033250 A1 DE102009033250 A1 DE 102009033250A1
Authority
DE
Germany
Prior art keywords
access network
terminal
configuration
network
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009033250A
Other languages
English (en)
Inventor
Klaus Wehrle
Tobias Heer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rheinisch Westlische Technische Hochschuke RWTH
Original Assignee
Rheinisch Westlische Technische Hochschuke RWTH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rheinisch Westlische Technische Hochschuke RWTH filed Critical Rheinisch Westlische Technische Hochschuke RWTH
Priority to DE102009033250A priority Critical patent/DE102009033250A1/de
Publication of DE102009033250A1 publication Critical patent/DE102009033250A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication

Abstract

Die Erfindung betrifft ein Verfahren und ein System zur Weitergabe einer aktiven Kommunikationsverbindung (3a, 3b, 3c), die zwischen einem mobilen Endgerät (1) und einem Endpunkt (7) besteht, von zumindest einem ersten Zugangsnetzwerk (4) zu einem zweiten Zugangsnetzwerk (5). Zunächst wird eine Authentifizierung des Endgeräts (1) gegenüber dem zweiten Zugangsnetzwerk (5) und eine Konfiguration der über das zweite Zugangsnetzwerk (5) zu führenden Kommunikationsverbindung (6a, 6b) durchgeführt. Anschließend baut das Endgerät (1) über das zweite Zugangsnetzwerk (5) eine Kommunikationsverbindung (6a, 6b, 6c) für die Nutzdatenübertragung auf und führt die Kommunikation über diese Verbindung (6a, 6b, 6c) weiter. Das Endgerät (1) beauftragt hierzu einen netzwerkfremden Stellvertreter (2), eine Authentisierung des Endgeräts (1) gegenüber dem zweiten Zugangsnetzwerk (5) und eine Konfigurierung der aufzubauenden Kommunikationsverbindung (6a, 6b, 6c) durchzuführen, wobei dieser anschließend die Authentisierung und Konfigurierung im Auftrag des Endgeräts (1) zumindest teilweise vornimmt und das Endgerät anschließend die Kommunikationsverbindung (6a, 6b, 6c) zu dem Endpunkt (7) über das zweite Zugangsnetzwerk (5) aufbaut und die Kommunikation über dieses Zugangsnetzwerk (5) weiterführt.

Description

  • Die vorliegenden Erfindung betrifft ein Verfahren und ein System zur Weitergabe einer aktiven Kommunikationsverbindung, die zwischen einem mobilen Endgerät und einem Endpunkt besteht, von zumindest einem ersten Zugangsnetzwerk zu einem zweiten Zugangsnetzwerk, wobei zunächst eine Authentifizierung des Endgeräts gegenüber dem zweiten Zugangsnetzwerk und eine Konfiguration der über das zweite Zugangsnetzwerk aufzubauenden Kommunikationsverbindung durchgeführt wird und das Endgerät anschließend über das zweite Zugangsnetzwerk eine Kommunikationsverbindung für die Nutzdatenübertragung aufbaut und die Kommunikation über diese Verbindung weiterführt.
  • Bei einem Wechsel eines mobilen Endgeräts, wie einem mobilen Computer, von einem ersten Zugangsnetzwerk zu einem zweiten Zugangsnetzwerk, in der englischen Fachterminologie auch als Handover bezeichnet, müssen zwischen dem das Zielnetzwerk darstellende zweite Zugangsnetzwerk und dem Mobilgerät sowohl Konfigurationsschritte als auch Authentifizierungsschritte durchgeführt werden. Es ist üblich, diese Schritte nach einer Trennung der Verbindung zum vorigen Zugangsnetzwerk, d. h. zum Ursprungsnetzwerk, und während dem Verbindungsaufbau mit dem zweiten Zugangsnetzwerk durchzuführen. Sie belasten und verlangsamen den Prozess des Netzwerkwechsels, da sie zu einer Verbindungsunterbrechung in der Größenordnung von Sekunden führen sowie erhebliche Rechenressourcen benötigen. Um die daraus resultierende Qualitätsverschlechterung interaktiver Kommunikationsanwendungen zu reduzieren, wird angestrebt, die Verbindungsunterbrechung möglichst kurz zu halten. Jedoch lassen sich die Konfigurations- und Authentifizierungsschritte aufgrund ihrer Komplexität nicht beliebig beschleunigen.
  • Der Vorgang des Handover wird nachfolgende am Beispiel zweier mit dem Internet verbundener WLAN (Wireless Local Area Network) Funknetzwerke illustriert:
    Ein mobiles Endgerät ist über ein erstes kabelloses Zugangsnetzwerk (WLAN), dem Ursprungsnetzwerk, mit einem Endpunkt verbunden und kommuniziert drahtlos über WLAN mit diesem. Das Endgerät entscheidet sich für einen Wechsel zu einem anderen Zugangsnetzwerk, dem Zielnetzwerk. Das Endgerät trennt daraufhin die WLAN Verbindung mit dem ersten Zugangsnetzwerk und verbindet sich per WLAN mit dem zweiten Zugangsnetzwerk. Bevor das Endgerät das zweite Zugangsnetzwerk zum Senden von Daten verwenden kann, muss es sich diesem gegenüber authentisieren und gegebenenfalls Konfigurationsdaten mit dem zweiten Zugangsnetzwerk austauschen. Während diesen Vorgängen können keine Nutzdaten zu dem zweiten Zugangsnetzwerk gesendet werden bzw. vom mobilen Endgerät aus dem zweiten Zugangsnetzwerk empfangen werden. Der Wechsel führt daher zu einer Unterbrechung der Kommunikation des Endgeräts, d. h. der Nutzdatenübertragung.
  • Zur Verbesserung des Netzwechsels sind Maßnahmen bekannt, die die Vermeidung der Kommunikationsverzögerung anstreben. Beispielsweise kann die Authentisierung mit dem zweiten Zugangsnetzwerk vor der Trennung der Kommunikationsverbindung mit dem ersten Zugangsnetzwerk über diese noch bestehende Verbindung durchgeführt werden. Hierzu baut das Mobilgerät über das erste Zugangsnetzwerk und das Internet eine direkte Verbindung zum zweiten Zugangsnetzwerk auf. Ein derartiges Verfahren ist aus der WO 2008/103488 A2 bekannt.
  • In diesem Fall stellt das mobile Endgerät zunächst fest, mit welchem Netzwerk es sich verbinden bzw. verbunden sein möchte und verwendet die bestehende Funk- bzw. Internetverbindung dazu, die Konfigurations- und Authentisierungsschritte mit dem zweiten Zugangsnetzwerk durchzuführen, ohne mit diesem Netzwerk über einen Zugangspunkt, beispielsweise eine Funkschnittstelle (WLAN) direkt verbunden zu sein. Vielmehr wird ein Umweg über das erste Zugangsnetzwerk für die Kommunikation mit dem zweiten Zugangsnetzwerk zu Authentisierungs- und Konfigurationszwecken verwendet.
  • Während der Durchführung der Konfiguration und Authentisierung bleibt die Internetverbindung mit dem Ursprungsnetz über WLAN erhalten, so dass das Gerät während dieser Zeit ohne Einschränkung weiter kommunizieren kann. Dieser Vorgang wird als Pre-Authentisierung bzw. Pre-Konfiguration bezeichnet.
  • Nach erfolgreicher Pre-Authentisierung und Pre-Konfiguration trennt das Gerät die WLAN Verbindung zum ersten Zugangsnetzwerk und verbindet sich mit dem WLAN des zweiten Zugangsnetzwerks. Das Mobilgerät kann nach dem reinen Verbindungswechsel ohne weitere Verzögerung das zweite Zugangsnetzwerk verwenden, da es bereits die notwendigen Authentisierungs- und Konfigurationsschritte abgeschlossen hat.
  • Zwar bietet dieser Ansatz die Möglichkeit die Unterbrechungszeit bei einem Netzwerkwechsel zu reduzieren. Dennoch belasten die Authentisierungs- und Konfigurationsschritte das Endgerät, da sie parallel zur aktiven Kommunikationsverbindung zusätzliche Rechenleistung und Speicherressourcen benötigen.
  • Es ist daher Aufgabe der vorliegenden Erfindung ein Verfahren sowie ein System zur Durchführung des Verfahrens zur Verfügung zu stellen, das die Unterbrechung einer aktiven Kommunikationsverbindung über ein erstes Zugangsnetzwerk bei einem Wechsel zu einem zweiten Zugangsnetzwerk minimiert und gleichzeitig das Endgerät hinsichtlich der für den Aufbau einer Kommunikationsverbindung mit dem zweiten Zugangsnetzwerk nötigen Authentisierungs- und Konfigurationsschritte entlastet.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche 1 und 8 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen formuliert und werden nachfolgend näher erläutert.
  • Die Grundidee der vorliegenden Erfindung liegt darin, dass ein Stellvertreter im Auftrag des mobilen Endgeräts die Authentisierung und Konfiguration der neuen Kommunikationsverbindung durchführt, während die Kommunikationsverbindung über das erste Zugangsnetzwerk aktiv bleibt. Da die Authentisierung und Konfiguration von dem Stellvertreter vor dem Handover durchgeführt wird, kann auch hier von einer Pre-Authentisierung und Pre-Konfiguration gesprochen werden. Der Stellvertreter, in der englischen Fachterminologie Proxy genannt, ist weder Teil des ersten noch des zweiten Zugangsnetzwerks. Er steht zu dem Endgerät in einem starken Vertrauensverhältnis.
  • Dadurch, dass der Stellvertreter die Authentisierung und Konfiguration vornimmt, wird die Qualität der über das erste Zugangsnetzwerk aktiven Kommunikationsverbindung weder beeinträchtigt, noch wird das Endgerät mit authentisierungsbedingten Rechenschritten belastet.
  • Erfindungsgemäß wird ein Verfahren zur Weitergabe einer aktiven Kommunikationsverbindung, die zwischen einem mobilen Endgerät und einem Endpunkt besteht, von zumindest einem ersten Zugangsnetzwerk zu einem zweiten Zugangsnetzwerk vorgeschlagen, wobei zunächst eine Authentifizierung des Endgeräts gegenüber dem zweiten Zugangsnetzwerk und eine Konfiguration der über das zweite Zugangsnetzwerk zu führenden Kommunikationsverbindung durchgeführt wird und das Endgerät anschließend über das zweite Zugangsnetzwerk eine Kommunikationsverbindung für die Nutzdatenübertragung aufbaut und die Kommunikation über diese Verbindung weiterführt, wobei das Endgerät einen netzwerkfremden Stellvertreter beauftragt, eine Authentisierung des Endgeräts gegenüber dem zweiten Zugangsnetzwerk und eine Konfigurierung der aufzubauenden Kommunikationsverbindung durchzuführen, dieser anschließend die Authentisierung und Konfigurierung im Auftrag des Endgeräts zumindest teilweise vornimmt und das Endgerät anschließend die Kommunikationsverbindung zu dem Endpunkt über das zweite Zugangsnetzwerk aufbaut und die Kommunikation über diese Zugangsnetzwerk weiterführt.
  • Aus der Verwendung eines Stellvertreters, der die Authentisierung des Endgeräts und die Konfiguration der neuen Kommunikationsverbindung übernimmt, ergeben sich mehrere Vorteile. Zum einen ist hervorzuheben, dass der Stellvertreter nicht durch die geringe Hardwareausstattung des mobilen Endgeräts begrenzt ist. Dadurch können vor allem die rechenintensiven Schritte zur Authentisierung gegenüber dem zweiten Zugangsnetzwerk beschleunigt werden. Dies ist besonders in Szenarien mit mehreren möglichen Zielnetzwerken von Bedeutung, da sich die Berechnungszeiten der Authentisierungsschritte gegenüber den einzelnen Netzwerken aufaddieren. Unter einem netzwerkfremden Stellvertreter wird ein solcher Stellvertreter verstanden, der weder Teil des ersten, noch des zweiten Kommunikationsnetzwerks ist.
  • Aus der Übernahme der Aufgabe der Authentisierung des Endgeräts gegenüber dem zweiten Zugangsnetzwerk folgt, dass sich das Endgerät nicht direkt gegenüber den Zielnetzwerken authentisieren muss. Dadurch wird eine gewisse Anonymität gegenüber den verwendeten Zugangsnetzen gewahrt, da nur die Identität des Stellvertreters bekannt wird. In denjenigen Fällen, in denen viele Benutzer einen Stellvertreter gemeinsam verwenden, kann auf diese Weise nicht durch das Netzwerk nachvollzogen werden, welcher Benutzer sich im Netz anmeldet. Die Kenntnis der Identität der Benutzer liegt daher nur dem Stellvertreter vor.
  • Ein Handover zwischen Netzwerken wird in der Regel in Situationen angestoßen, in denen die qualitativen Eigenschaften, z. B. die Signalstärke, Bandbreite oder Zuverlässigkeit des aktuellen Netzwerkes nicht mehr den Anforderungen des Endgeräts entsprechen. Dementsprechend werden die Schritte zur Pre-Authentisierung und Pre-Konfiguration gerade bei niedriger Verbindungsqualität durchgeführt. Dies ist bei herkömmlichen Verfahren ohne Stellvertreter problematisch, da gerade diese Schritte mehrstufige Kommunikationsprozesse zwischen dem Endgerät und dem zweiten Zugangsnetzwerk bedingen. Bricht während der Pre-Authentisierung bzw. Pre-Konfiguration die Verbindung zum Endgerät ab, so scheitert das Verfahren. Durch die Verwendung des Stellvertreters kann dieser Nachteil umgangen werden. Das Endgerät kontaktiert den Stellvertreter, der im Anschluss autonom die Pre-Authentisierungs- und Pre-Konfigurationsschritte mit dem/den Zielnetz(en) durchführt. Ein Verbindungsabbruch oder Qualitätseinbußen der Verbindung zum Endgerät sind dabei nicht von Nachteil, da die Kommunikation direkt zwischen Stellvertreter und dem zweiten Zugangsnetzwerk stattfindet. Der Stellvertreter kann selbst bei Nichterreichbarkeit des Mobilgeräts die Pre-Authentisierungs- und Pre-Konfigurationsschritte abschließen und so den schnellen Netzwechsel für das Mobilgerät vorbereiten.
  • Vorzugsweise kann das Endgerät aus einer Menge verfügbarer Zielnetzwerke zumindest ein Zielnetzwerk als zweites Kommunikationsnetzwerk selbstständig auswählen, mit dem es sich verbinden möchte. Dies kann beispielsweise auf der Grundlage vorgegebener Kriterien erfolgen, die das Endgerät bei den möglichen Zielnetzwerken vergleichend prüft, beispielsweise die Übertragungsqualität, die Übertragungsrate oder die Tarifierung, wobei das Endgerät dasjenige Zielnetzwerk wählt, dass die beste Übertragungsqualität, Übertragungsrate oder die günstigste Tarifierung bereitstellt.
  • Die Menge verfügbarer Zielnetzwerke kann das Endgerät selbst ermitteln, beispielsweise durch eine Suche, ein sogenanntes Scanning, nach verfügbaren Netzzugangspunkten in der Umgebung. Alternativ oder in Kombination kann die Menge dem Endgerät auch mitgeteilt werden, vorzugsweise von einer Instanz im ersten Kommunikationsnetzwerk. Diese Ausführungsvariante ist dabei zu bevorzugen, da ein Scanvorgang zu einer Verbindungsunterbrechung führt. Das aktuelle Netzwerk, d. h. das erste Zugangsnetzwerk kann zur Erhebung und Auslieferung der Zielnetzwerkinformation einen Dienst bereitstellen, der durch Beobachtung der verfügbaren Kanäle regelmäßig mögliche Zielnetzwerke erkennt.
  • Das Endgerät überträgt bei der Beauftragung des Stellvertreters an diesen die Information, mit welchem Netzwerk es sich verbinden möchte. Alternativ kann das Endgerät dem Stellvertreter auch mehrere Zielnetzwerke nennen, wobei bei der Beauftragung des Stellvertreters eine Liste der ausgewählten Zielnetzwerke an diesen übertragen werden kann. Der Stellvertreter kann dann bei allen Zielnetzwerken der Liste eine Pre-Authentisierung des Endgeräts und Pre-Konfiguration der Kommunikationsverbindungen über die potentiellen Zielnetzwerke durchführen, so dass sich das Endgerät zu einem späteren Zeitpunkt für eines der Zielnetzwerke entscheiden kann.
  • Das Endgerät sollte nach der Beauftragung des Stellvertreters mindestens den Zeitraum für die Durchführung der Authentisierung und Konfiguration abwarten, bevor der Wechsel zum zweiten Zugangsnetzwerk, d. h. zum Zielnetzwerk erfolgt. Dieser Zeitraum beträgt mehrere hundert Millisekunden und ist abhängig von der Netzwerklatenz und der Entfernung zwischen Stellvertreter und Zielnetzwerk. Eine Wartezeit zwischen einer und zwei Sekunden ist daher vorteilhaft. Das Endgerät kann nach der Wartezeit, eine Kommunikationsverbindung zu dem Endpunkt über das zweite Zugangsnetzwerk aufbauen und die Kommunikationsverbindung über das erste Zugangsnetzwerk abbauen. Für den Aufbau der neuen Kommunikationsverbindung benötigt das Endgerät eine eindeutige Netzwerkadresse. Diese kann das Endgerät zwar vor dem Aufbau der neuen Kommunikationsverbindung bei dem zweiten Zugangsnetzwerk erfragen. Es ist jedoch von Vorteil, wenn der Stellvertreter die mit der Konfigurierung ermittelten Konfigurationsdaten an das Endgerät überträgt, solange die Kommunikationsverbindung mit dem ersten Zugangsnetzwerk noch besteht. Die Unterbrechungszeit für die Beziehung der Netzwerkadresse wird dadurch vermieden.
  • Erfindungsgemäß umfasst das System zur Durchführung des beschriebenen Verfahrens ein mobiles Endgerät, ein einen Endpunkt darstellendes System, zumindest ein erstes Zugangsnetzwerk und ein zweites Zugangsnetzwerk, wobei zwischen dem Endgerät und dem System über eines der Zugangsnetzwerke eine Kommunikationsverbindung für die Nutzdatenübertragung aufbaubar ist, das System einen Stellvertreter umfasst, der kein Bestandteil des ersten oder zweiten Zugangsnetzwerks ist, und zu dem vom Endgerät ein Auftrag übermittelbar ist, eine Authentisierung des Endgeräts gegenüber dem zweiten Zugangsnetzwerk und eine Konfigurierung einer über das zweite Zugangsnetzwerk aufzubauenden Kommunikationsverbindung durchzuführen, während zwischen dem Endgerät und dem Endpunkt eine aktive Kommunikationsverbindung über das erste Zugangsnetzwerk besteht, wobei der Stellvertreter dazu eingerichtet ist, die Authentisierung und Konfigurierung im Auftrag des Endgeräts zumindest teilweise vorzunehmen.
  • Das erste und das zweite Zugangsnetzwerk bilden Zugänge zu einem Transportnetz, auch Kernnetz genannt, beispielsweise dem Internet, über das das Endgerät mit dem Stellvertreter verbunden oder zumindest verbindbar ist.
  • Vorzugsweise ist das Endgerät dazu eingerichtet ist, aus einer Menge verfügbarer Zielnetzwerke zumindest ein Zielnetzwerk als zweites Zugangsnetzwerk selbstständig auszuwählen, mit dem es sich verbinden möchte.
  • Weiterhin kann das System eine Instanz im ersten Kommunikationsnetzwerk umfassen, die die Menge verfügbarer Zielnetzwerke dem Endgerät mitteilt. Der Stellvertreter kann dazu eingerichtet sein, mit der Konfigurierung Konfigurationsdaten zu ermitteln und diese an das Endgerät zu übertragen.
  • Weiterhin sind alle Komponenten des Systems zur Durchführung der beschriebenen, erfindungsgemäßen Verfahrensschritte eingerichtet.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels unter Bezugnahme auf die Figur und Nennung weiterer Vorteile und Merkmale näher erläutert.
  • 1 veranschaulicht einen Netzwerkwechsel mit der erfindungsgemäßen Pre-Authentisierung und Pre-Konfiguration durch einen Stellvertreter.
  • Betrachtet wird ein Netzwerkwechsel, nachfolgend Handover genannt, einer Verbindung 3a, 3b, 3c zwischen einem mobilen Endgerät 1 und einem Endpunkt 7 über einen Stellvertreter 2 von einem drahtlosen oder drahtgebundenen ersten Zugangsnetzwerk 4 zu einem zweiten drahtlosen oder drahtgebundenen Zugangsnetzwerk 5. Die Verbindung 3a, 3b, 3c besteht aus einer ersten Teilverbindung 3a, die über das erste Zugangsnetzwerk 4 geführt ist, einer zweiten Teilverbindung 3b, die über ein Transportnetz 6 wie das Internet zu dem Stellvertreter 2 geführt ist und einer dritten Teilverbindung 3c, die zwischen dem Stellvertreter 2 und einem Endpunkt 7 über das Transportnetz 6 und/oder ein anderes Netzwerk geführt ist. Der Endpunkt 7 wird von einem System gebildet, bei dem die Kommunikationsverbindung endet und das innerhalb des Transportnetzes 6 liegt oder zumindest mit diesem verbunden ist. Der Stellvertreter 2 ist für die Datenübertragung von und zu dem mobilen Endgerät 1 ein Übergabepunkt in das Transportnetz 6. Die Kommunikation zwischen dem Endgerät 1 und dem System 7 wird über den Stellvertreter 2 geführt, um gegenüber dem System 7 die Mobilität des Endgeräts 1 zu verbergen.
  • Die Zugangsnetze 4, 5 stellen Zugänge zum Transportnetz 6 bereit. Die Netzzugangstechnologien beider Netzwerke 4, 5 können gleich oder unterschiedlich sein, beispielsweise von WLAN zu UMTS (Universal Mobile Telecommunications System), jedoch eignet sich das im Folgenden vorgestellte Verfahren besonders für den Einsatz innerhalb derselben Technologie, d. h. beispielsweise von WLAN zu WLAN, da gerade in diesem Fall kein ”weicher” Handover durch die parallele Verwendung zweier Technologien möglich ist, sondern eine tatsächliche Trennung vor der Wiederherstellung der Verbindung mit dem zweiten Zugangsnetzwerk notwendig wird, um die WLAN-Schnittstelle für das neue Netzwerk zu konfigurieren.
  • Für die Veranschaulichung des erfindungsgemäßen Verfahrens wird davon ausgegangen, dass eine Kommunikationsverbindung 3a, 3b zwischen einem mobilen Endgerät 1 und einem Stellvertreter 2 besteht, nachfolgend Proxy genannt. Der Proxy 2 steht mit dem Endgerät 1 in einer Vertrauensbeziehung derart, dass er die Identität des Endgerätes 1 kennt und bezeugen kann. Der Proxy 2 ist autorisiert, sich für das Mobilgerät auszuweisen. Dies bedeutet, dass der Proxy 2 mit seiner Identität die Identität des Mobilgeräts 1 verkörpert. Er bildet daher einen über das Internet 6 erreichbaren Vertrauenspunkt und kann sowohl den Verbindungsendpunkt der Kommunikationsverbindung 3a, 3b mit dem Mobilgerät 1 darstellen oder als weiterleitende Instanz Datenpakete zu oder von einem System 7 weiterleiten. In 1 ist die Weiterleitung zu/von dem System 7 dargestellt.
  • Es wird davon ausgegangen, dass zwischen dem Proxy 2 und dem zweiten Zugangsnetzwerk 5 ursprünglich keine Vertrauensbeziehung besteht. Ebenfalls besteht keine Vertrauensbeziehung zwischen dem Mobilgerät 1 und dem zweiten Zugangsnetzwerk 5. Daher ist es notwendig, dass sich das Mobilgerät 1 gegenüber dem zweiten Zugangsnetzwerk 5 ausweist, was erfindungsgemäß durch den Proxy 2 erfolgt. Dies geschieht über eine Authentisierung des Proxy 2 gegenüber dem zweiten Zugangsnetzwerk 5, insbesondere gegenüber einer Verwaltungseinheit des zweiten Zugangsnetzwerks 5, wie einem Authentifizierungsdienst, einer Firewall oder einem Gateway.
  • Für die Authentisierung des Endgeräts 1 gegenüber dem zweiten Zugangsnetzwerk 5 und für die Konfiguration der über dieses aufzubauenden Kommunikationsverbindung 6a werden die Schritte der Konfigurationsaushandlung und Authentisierung vom Mobilgerät 1 auf den Proxy 2 als vertrauenswürdige dritte Instanz übertragen. Dies bedeutet, dass der Proxy 2 alle vorbereitenden Schritte zum Handover für das Mobilgerät 1 durchführt, sich also gegenüber dem zweiten Zugangsnetzwerk 5 ausweist (authentisiert) und Konfigurationsschritte mit dem zweiten Zugangsnetzwerk 5 durchführt.
  • Im Gegensatz zum Handover ohne Pre-Authentisierung und Pre-Konfiguration muss die Authentisierung und Konfiguration nicht nach der Trennung von dem ersten Zugangsnetzwerk 4 geschehen, so dass das Mobilgerät 1 während der Durchführung der Authentisierung gegenüber dem zweiten Zugangsnetzwerk 5 mit dem ersten Zugangsnetzwerk 4 verbunden bleiben kann. Da alle Authentisierungs- und Konfigurationsschritte durch den Proxy 2 durchgeführt werden, entsteht für das Mobilgerät 1 kein zusätzlicher Kommunikations- bzw. Rechenaufwand.
  • Vor dem Wechsel vom aktuellen, ersten Zugangsnetzwerk 4 zum zweiten Zugangsnetzwerk 5 besteht eine sichere Verbindung zwischen dem Mobilgerät 1 und dem Proxy 2 über das erste Zugangsnetzwerk 4. Diese Verbindung kann z. B. durch VPN-Technologie (Virtual Private Network) wie IPsec (Internet Protocol Security) und IKE (Internet-Key-Exchange) oder OpenVPN aufgebaut werden.
  • Nachfolgend werden die Schritte zur Durchführung eines beschleunigten Handovers beschrieben:
    In einem ersten Schritt trifft das Endgerät 1 eine Auswahl aus der Menge an verfügbaren Zielnetzen 5, die als Ziel des Handovers in Frage kommen, Pfeil 1.
  • In einem zweiten Schritt beauftragt das Endgerät 1 den Proxy 2, die Pre-Authentisierung und Pre-Konfiguration mit einem oder mehreren Zielnetzwerkkandidaten 5 durchzuführen, Pfeil 2. Dazu verwendet es die sichere Verbindung zum Proxy 5. Das Mobilgerät 1 überträgt dazu eine nach Präferenz sortierte Liste der Zielnetzwerke.
  • In einem dritten Schritt authentisiert sich der Proxy 2 im Auftrag des Mobilgeräts 1 gegenüber den Zielnetzwerken 5, Pfeil 3. Dabei werden sowohl Konfigurationsdaten, als auch authentifikationsrelevante Informationen zwischen Proxy 2 und Zielnetz 5 übertragen. Die Konfigurationsdaten dienen zum einen dem zweiten Zugangsnetzwerk zur schnellen Erkennung des Mobilgeräts und zum anderen dem Mobilgerät 1 zur schnellen Konfiguration beim Eintritt in das zweite Zugangsnetzwerk 5.
  • Falls nach erfolgreicher Authentisierung gegenüber einem oder mehreren Zielnetzen 5 die Verbindung zwischen Proxy 2 und Mobilgerät 1 noch besteht, übermittelt der Proxy 2 in einem vierten Schritt die Konfigurationsdaten der Zielnetze 5 an das Mobilgerät 1, Pfeil 4.
  • In einem fünften Schritt trennt das Mobilgerät 1 die Verbindung 3a zum ersten Zugangsnetzwerk 4 und baut eine Verbindung 6a zum zweiten Zugangsnetzwerk 5 auf, Pfeil 5. Falls die in Schritt 4 übermittelten Konfigurationsdaten vorliegen, verwendet das Mobilgerät 1 diese zur beschleunigten Konfiguration. Durch die bereits erfolgte Pre-Authentisierung können zeitaufwändige Authentifikationsschritte vermieden werden. Das zweite Zugangsnetzwerk 5 kann das Mobilgerät 1 anhand der in Schritt 3 übermittelten Konfigurationsdaten wieder erkennen und so die erfolgte Pre-Konfiguration und Pre-Authentifikation durch den Proxy 2 dem Mobilgerät 1 zuordnen.
  • Im Folgenden wird noch einmal an einem Beispiel verdeutlicht, wie die Pre-Authentisierung und Pre-Konfiguration durch den Proxy 2 ausgeführt werden kann:
    Der Benutzer bzw. das Mobilgerät 1 stellt fest, mit welchem Zugangsnetzwerk 5 er sich zukünftig verbinden möchte und verwendet die bestehende Funk- 3a und Internetverbindung 3b dazu, den Stellvertreter 2 zu beauftragen, einen beschleunigten Handover mit einem oder mehreren Zielnetzen 5 durchzuführen. Der Proxy 2 stellt eine direkte Verbindung 6b zum zweiten Zugangsnetzwerk 5 über dessen Internetverbindung her und führt die notwendigen Konfigurations- und Authentisierungsschritte durch. Gegebenenfalls meldet der Proxy 2 eine erfolgreiche Authentisierung dem Mobilgerät 1. Das Mobilgerät 1 kann nun ohne Authentisierung und Konfiguration zum zweiten Zugangsnetzwerk 5 wechseln und sich mit dessen Funkschnittstelle verbinden. Auch die Weiterleitung von Daten in das Internet 6 kann ohne Verzögerung beginnen, da bereits alle Authentifizierungsschritte durch den Proxy 2 durchgeführt wurden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2008/103488 A2 [0004]

Claims (12)

  1. Verfahren zur Weitergabe einer aktiven Kommunikationsverbindung (3a, 3b, 3c), die zwischen einem mobilen Endgerät (1) und einem Endpunkt (7) besteht, von zumindest einem ersten Zugangsnetzwerk (4) zu einem zweiten Zugangsnetzwerk (5), wobei zunächst eine Authentifizierung des Endgeräts (1) gegenüber dem zweiten Zugangsnetzwerk (5) und eine Konfiguration der über das zweite Zugangsnetzwerk (5) zu führenden Kommunikationsverbindung (6a, 6b) durchgeführt wird und das Endgerät (1) anschließend über das zweite Zugangsnetzwerk (5) eine Kommunikationsverbindung (6a, 6b, 6c) für die Nutzdatenübertragung aufbaut und die Kommunikation über diese Verbindung (6a, 6b, 6c) weiterführt, dadurch gekennzeichnet, dass das Endgerät (1) einen netzwerkfremden Stellvertreter (2) beauftragt, eine Authentisierung des Endgeräts (1) gegenüber dem zweiten Zugangsnetzwerk (5) und eine Konfigurierung der aufzubauenden Kommunikationsverbindung (6a, 6b, 6c) durchzuführen, dieser anschließend die Authentisierung und Konfigurierung im Auftrag des Endgeräts (1) zumindest teilweise vornimmt und das Endgerät anschließend die Kommunikationsverbindung (6a, 6b, 6c) zu dem Endpunkt (7) über das zweite Zugangsnetzwerk (5) aufbaut und die Kommunikation über dieses Zugangsnetzwerk (5) weiterführt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Endgerät (1) aus einer Menge verfügbarer Zielnetzwerke zumindest ein mögliches Zugangsnetzwerk als zweites Zugangsnetzwerk (5) selbstständig auswählt, mit dem es sich verbinden möchte.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Menge verfügbarer Zielnetzwerke (5) dem Endgerät (1) von einer Instanz im ersten Zugangsnetzwerk (4) bereitgestellt wird.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass das Endgerät (1) bei der Beauftragung des Stellvertreters (2) eine Liste der ausgewählten Zugangsnetzwerke (5) an diesen überträgt.
  5. Verfahren Anspruch 4, dadurch gekennzeichnet, dass der Stellvertreter (2) bei allen Zielnetzwerken (5) der Liste eine Authentisierung des Endgeräts (1) und Konfiguration möglicher Kommunikationsverbindungen durchführt.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Stellvertreter (2) mit der Konfigurierung Konfigurationsdaten ermittelt und an das Endgerät (1) überträgt und das Endgerät (1) diese Konfigurationsdaten für den Aufbau der Kommunikationsverbindung (6a, 6b) über das zweite Zugangsnetzwerk (5) verwendet.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Stellvertreter (2) den Endpunkt (7) der Kommunikationsverbindung (3a, 3b, 6a, 6b) des Endgerätes (1) bildet oder zur Weiterleitung von Daten zu oder von einem den Endpunkt bildenden System (7) verwendet wird.
  8. System zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 7, mit einem mobilen Endgerät (1), einem Endpunkt (7), zumindest einem ersten Zugangsnetzwerk (4) und einem zweiten Zugangsnetzwerk (5), wobei zwischen dem Endgerät (1) und dem Endpunkt (7) über jedes der Zugangsnetzwerke (4, 5) eine Kommunikationsverbindung (3a, 3b, 3c, 6a, 6b, 6c) für die Nutzdatenübertragung aufbaubar ist, dadurch gekennzeichnet, dass das System einen netzwerkfremden Stellvertreter (2) umfasst, zu dem vom Endgerät (1) ein Auftrag übermittelbar ist, eine Authentisierung des Endgeräts (1) gegenüber dem zweiten Zugangsnetzwerk (5) und eine Konfigurierung einer über das zweite Zugangsnetzwerk (5) aufzubauenden Kommunikationsverbindung (6a, 6b) durchzuführen, während zwischen dem Endgerät (1) und dem Endpunkt (7) eine aktive Kommunikationsverbindung (3a, 3b, 3c) über das erste Zugangsnetzwerk (4) besteht, wobei der Stellvertreter (2) dazu eingerichtet ist, die Authentisierung und Konfigurierung im Auftrag des Endgeräts (1) zumindest teilweise vorzunehmen.
  9. System nach Anspruch 8, dadurch gekennzeichnet, dass das Endgerät (1) dazu eingerichtet ist, aus einer Menge verfügbarer Zugangsnetzwerke zumindest ein Zielnetzwerk als zweites Zugangsnetzwerk (5) selbstständig auszuwählen, mit dem es sich verbinden möchte.
  10. System nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass es eine Instanz im ersten Zugangsnetzwerk (4) umfasst, die die Menge verfügbarer Zielnetzwerke (5) dem Endgerät (1) mitteilen kann.
  11. System nach Anspruch 8, 9 oder 10, dadurch gekennzeichnet, dass der Stellvertreter (2) dazu eingerichtet ist, mit der Konfigurierung Konfigurationsdaten zu ermitteln und an das Endgerät (1) zu übertragen.
  12. System nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass der Stellvertreter (2) den Endpunkt (7) der Kommunikationsverbindung (3a, 3b, 3c, 6a, 6b, 6c) oder einen Übergabepunkt zu einem Transportnetz zur Weiterleitung von Daten zu oder von einem den Endpunkt bildenden System (7) bildet.
DE102009033250A 2009-07-14 2009-07-14 Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken Withdrawn DE102009033250A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009033250A DE102009033250A1 (de) 2009-07-14 2009-07-14 Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009033250A DE102009033250A1 (de) 2009-07-14 2009-07-14 Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken

Publications (1)

Publication Number Publication Date
DE102009033250A1 true DE102009033250A1 (de) 2011-04-14

Family

ID=43734350

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009033250A Withdrawn DE102009033250A1 (de) 2009-07-14 2009-07-14 Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken

Country Status (1)

Country Link
DE (1) DE102009033250A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060104262A1 (en) * 2004-11-18 2006-05-18 Azaire Networks Inc. Maintaining consistent network connections while moving through wireless networks
US20070064647A1 (en) * 2003-09-12 2007-03-22 Ntt Docomo, Inc. Secure intra-and inter-domain handover
WO2008103488A2 (en) 2007-02-23 2008-08-28 Kabushiki Kaisha Toshiba Media independent pre-authentication supporting fast handoff in proxy mipv6 environment
EP1986372A1 (de) * 2007-04-26 2008-10-29 Nokia Siemens Networks Oy Verfahren und Vorrichtung zur Unterstützung des Handovers zwischen heterogenen Zugangsnetzwerken

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070064647A1 (en) * 2003-09-12 2007-03-22 Ntt Docomo, Inc. Secure intra-and inter-domain handover
US20060104262A1 (en) * 2004-11-18 2006-05-18 Azaire Networks Inc. Maintaining consistent network connections while moving through wireless networks
WO2008103488A2 (en) 2007-02-23 2008-08-28 Kabushiki Kaisha Toshiba Media independent pre-authentication supporting fast handoff in proxy mipv6 environment
EP1986372A1 (de) * 2007-04-26 2008-10-29 Nokia Siemens Networks Oy Verfahren und Vorrichtung zur Unterstützung des Handovers zwischen heterogenen Zugangsnetzwerken

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CHOI,H.,et.al.: Seamless Handoff Scheme based on Pre-registration and Pre-authentication for UMTS-WLAN Interworking. Kluwer Academic Publishers,2006 $S.7-11Abs.3,3.1,3.2,Fig.5$ *
CHOI,H.,et.al.: Seamless Handoff Scheme based on Pre-registration and Pre-authentication for UMTS-WLAN Interworking. Kluwer Academic Publishers,2006 S.7-11Abs.3,3.1,3.2,Fig.5

Similar Documents

Publication Publication Date Title
DE69931356T2 (de) System und vorrichtung zum zugriff auf dienste eines mobilkommunikationsnetzwerkes entweder direkt oder über ein ip netzwerk
DE60032229T2 (de) Automatische ip adressvergabe für mobilfunkendgeräte
DE602005002048T2 (de) Wlan-handover
DE60317243T2 (de) Weiterreichung zwischen domänen
DE112006001657T5 (de) System und Verfahren zum Geräteruf und zur Standortaktualisierung in einem Netzwerk
DE112006001618B4 (de) Verfahren und Vorrichtung zum Verringern der Latenz während Änderungen einer drahtlosen Konnektivität
DE102010055375A1 (de) Automatisiertes Loginverfahren auf einer Fahrzeug-Internetseite durch ein mobiles Kommunikationsendgerät
EP1639851B1 (de) Verfahren zur auswahl eines dienstanbieters für einen von einer mobilen station über ein funkzugangsnetz empffangbaren und von wenigstens zwei dienstanbietern angebotenen dienst sowie auswahlvorrichtung
DE69929328T2 (de) Drahtlose kopplung inkompatibler knoten über ein virtuelles netz
EP1779613B1 (de) Aufbau eines drahtungebundenen netzes unter ermittlung und nutzung lokaler topologie-information
DE60008979T2 (de) Verfahren zur Erhaltung einer Kommunikationsverbindung in drahtlosen Netzwerkgruppen
DE102005005712A1 (de) Verfahren zur Anpassung einer Verbindung zwischen einem Diensteanbieter und einem Kommunikationsgerät und entsprechendes Kommunikationssystem
EP1236372B2 (de) Verfahren zum betreiben eines mobilfunknetzes
DE102009033250A1 (de) Stellvertreterbasierte Vorauthentisierung und Vorkonfigurierung für den Wechsel zwischen zwei Zugangsnetzwerken
EP2700281B1 (de) Verfahren zum leiten von telekommunikationsverbindungen zu einem mobilfunk-endgerät sowie mobilfunk-gateway
DE202012101164U1 (de) System zur Erkennung von Netzwerkgeräten für einen Aufbau einer Punkt-zu-Punkt-Verbindung
EP3607437B1 (de) Verfahren zum konfigurieren zumindest eines geräts eines schienenfahrzeugs in einem netzwerk, computerprogramm und computerlesbares speichermedium
DE602004005445T2 (de) Verfahren zur aktualisierung von sitzungseinleitungsinformationen in verbindung mit einer fernsprechverbindung und endgeräteeinrichtung mit dem verfahren
DE102016104162B4 (de) Peer-to-Peer-Datentransferverfahren unter Verwendung einer Wireless-Local-Area-Network-Funkausrüstung
WO2003079706A1 (de) Verfahren und kommunikationssystem zum anbinden alternativer zugriffsnetze an ein kommunikationssystem, insbesondere gprs/umts
WO2008119779A1 (de) Verfahren und system zur bereitstellung von ortsdaten in einem medienunabhängigen hand-over-system
EP3898317A1 (de) Ladesystem für ein fahrzeug
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
EP1563691B1 (de) Verfahren und anordnung zur bereitstellung eines verbindungsweges zu einem mobilfunknetz sowie hierfuer geeignetes telekommunikationsendgeraet
EP3094062B1 (de) Verfahren zur kommunikation zwischen einer kommunikationseinheit eines geräts und einer externen kommunikationseinheit über eine mobile telefoneinheit

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140201