-
Die vorliegende Beschreibung betrifft das Gebiet der Kommunikationstechnik.
-
Die Offenlegungsschrift
US 2014 / 0 380 450 A1 offenbart eine Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung zu einem Server.
-
Die Offenlegungsschrift
US 2007 / 0 127 461 A1 offenbart ein System bestehend aus einem ersten Terminal, einem ersten Router, einem zweiten Router und einem zweiten Terminal sowie einem Server.
-
Die Offenlegungsschrift
US 2012 / 0 272 310 A1 beschreibt eine sichere Kommunikation von einem mobilen Gerät eines außerhalb arbeitenden Mitarbeiters über ein drahtloses Netzwerk zu einem Firmennetzwerk.
-
Zur Datenübertragung zwischen einer Datenverarbeitungsvorrichtung, beispielsweise einem Laptop-Computer, und einem Server wird üblicherweise eine Kommunikationsverbindung zwischen den beiden Kommunikationsteilnehmern aufgebaut. In vielen Anwendungsfällen erfolgt der Aufbau der Kommunikationsverbindung über einen Zugangspunkt (engl. Access Point) eines Kommunikationsnetzwerkes, wobei eine vorherige Authentifizierung der Datenverarbeitungsvorrichtung gegenüber dem Zugangspunkt erfolgen muss, damit eine Datenübertragung über den Zugangspunkt durchgeführt werden kann.
-
Insbesondere bei sicherheitsrelevanten Anwendungsfällen, bei welchen beispielsweise eine VPN-Kommunikationsverbindung (VPN: Virtual Private Network) zwischen einer Datenverarbeitungsvorrichtung und einem VPN-Server aufgebaut werden soll, stellt die Authentifizierung der Datenverarbeitungsvorrichtung gegenüber dem Zugangspunkt eine Herausforderung dar. Dies betrifft insbesondere jene Anwendungsfälle, in welchen die Datenverarbeitungseinrichtung über einen Zugangspunkt eines öffentlichen Netzwerkes, beispielsweise über einen Hotspot in einem Hotel oder in einem Cafe, mit dem VPN-Server kommunizieren soll.
-
Die Authentifizierung gegenüber einem Zugangspunkt ist nämlich zumeist derart ausgestaltet, dass ein Browser zur Eingabe von Authentifizierungsinformationen verwendet werden muss, welcher direkt mit einem Authentifizierungsdienst des öffentlichen Netzwerks kommuniziert. Jede Datenübertragung über ein öffentliches Netzwerk stellt jedoch potentiell ein Sicherheitsrisiko dar und ist mitunter für beruflich bzw. dienstlich genutzte Datenverarbeitungsvorrichtungen untersagt oder technisch abgestellt. Zudem ist ein Browser heutzutage ein komplexes und potentiell fehleranfälliges Programm. Es besteht daher zusätzlich das Problem, dass der Browser während der Authentifizierung manipuliert bzw. gehackt wird, wodurch Angreifer Zugang zu vertraulichen Daten erlangen könnten.
-
Um diese Probleme zu vermeiden, werden derartige Datenverarbeitungsvorrichtungen daher zumeist derart konfiguriert, dass ausschließlich eine direkte VPN-Kommunikationsverbindung zu einem VPN-Server aufgebaut werden kann, und somit Daten nur über ein privates Netzwerk übertragen werden können. Typischerweise können derartige Datenverarbeitungsvorrichtungen dann jedoch keine Authentifizierung gegenüber einem Zugangspunkt eines öffentlichen Netzwerkes durchführen, wodurch folglich keine Kommunikationsverbindung über diesen Zugangspunkt aufgebaut werden kann. Dies kann beispielsweise bereits dann der Fall sein, wenn ein Aufruf eines Browser-Fensters, in welchem beispielsweise ein Nutzername und Passwort zu Authentifizierungszwecken eingegeben werden können, nicht möglich bzw. aus Sicherheitsgründen unterbunden ist. Dies ist beispielsweise bei Nutzung von behördlichen Kommunikationsgeräten der Fall, welche die Sicherheitsstufe VS-NfD (Verschlusssachen - nur für den Dienstgebrauch) erfüllen.
-
Aufgrund der fehlenden Authentifizierung in einem ungesicherten Kommunikationsnetzwerk ist wiederherum ein Aufbau einer sicheren VPN-Kommunikationsverbindung nicht möglich.
-
Ist beispielsweise ein Kommunikationsgerät so konfiguriert, dass bei Anschluss an ein beliebiges Kommunikationsnetzwerk automatisch eine VPN-Verbindung aufgebaut werden soll, jedoch in keinem Fall Nutzdaten an Systeme außerhalb VPN-Verbindung gesendet werden dürfen. So entsteht das folgende praktische Problem: Kommunikationsnetzwerke, die eine Authentisierung eines Benutzers, z.B. durch Eingabe eines Benutzernamens und eines Passworts in einem Browser-Fenster oder sonstige Mechanismen erfordern, kann das vorstehend beschriebene Kommunikationsgerät nicht benutzen. Ohne Authentisierung in einem derartigen Kommunikationsnetzwerk wird der Aufbau einer VPN-Verbindung jedoch üblicherweise verweigert.
-
Als Beispiel ist hier z.B. ein WLAN-Kommunikationsnetzwerk in einem Hotel zu nennen, in welchem ein WLAN-Betreiber eine Authentisierung, z.B. mittels eines Benutzernamens wie beispielsweise einer Zimmernummer und eines Passworts, das mit Ausgabe des Zimmerschlüssels gesetzt wird, verlangt. Hierzu wird üblicherweise ein Browser benötigt, dessen Verbindung in ungesicherte Kommunikationsnetzwerke beispielsweise für VS-NfDkonform aufgesetzte Kommunikationsgeräte unterbunden ist.
-
Es ist daher eine Aufgabe der vorliegenden Beschreibung, ein effizientes Konzept zum Aufbauen einer sicheren Kommunikationsverbindung wie beispielsweise einer VPN-Verbindung zu schaffen, sodass eine sichere Kommunikationsverbindung auch über an sich ungesicherte Kommunikationsnetzwerke wie öffentlich zugängliche Kommunikationsnetzwerke wie beispielsweise WLAN-Netzwerke aufgebaut werden kann.
-
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
-
Die Offenbarung basiert auf der Erkenntnis, dass die obige Aufgabe dadurch gelöst werden kann, dass für die Kommunikation eine Datenverarbeitungsvorrichtung, z.B. ein Laptop, und ein mobiles Kommunikationsgerät, z.B. ein Smartphone, verwendet wird, wobei in der Datenverarbeitungsvorrichtung eine Konfigurationseinrichtung realisiert ist, welche sämtliche Kommunikation des mobilen Kommunikationsgeräts zu einem Zugangspunkt des Kommunikationsnetzwerks, z.B. einem Hotel Zugangspunkt, weiterleitet bzw. routet. Dann kann auf dem mobilen Kommunikationsgerät ein Browser geöffnet werden, mit dem eine Authentifizierung beim Zugangspunkt erfolgen kann. Durch das Routen der Authentifizierungsanfrage des Browsers in der Datenverarbeitungsvorrichtung wird die Authentifizierungsanfrage mit der MAC-Adresse (MAC: Medium Access Control) der Datenverarbeitungsvorrichtung an den Zugangspunkt gesendet. Eine Authentifizierung durch den Zugangspunkt authentifiziert somit die MAC-Adresse der Datenverarbeitungsvorrichtung, so dass diese daraufhin zur Kommunikation in dem Kommunikationsnetzwerk authentifiziert ist.
-
Dadurch kann die Konfigurationseinrichtung der Datenverarbeitungseinrichtung die MAC-Adresse der Datenverarbeitungsvorrichtung in der durch das mobile Kommunikationsgerät erzeugten Authentifizierungsanfrage angeben, um diese MAC-Adresse von dem Zugangspunkt authentifizieren zu lassen ohne dass eine eigene Authentifizierung durch die Datenverarbeitungseinrichtung erfolgen muss. Nach der Authentifizierung kann die Datenverarbeitungseinrichtung dann eine sichere Kommunikationsverbindung wie eine VPN-Verbindung aufbauen. Dabei kann das Smartphone die Authentifizierung durchführen und die für die Authentifizierung genutzte MAC-Adresse kann nach erfolgter Authentifizierung von der Datenverarbeitungsvorrichtung, wie beispielsweise einem NfD-Laptop, zur Kommunikation genutzt werden. So kann die Datenverarbeitungsvorrichtung eine VPN-Verbindung unter Benutzung ihrer eigenen MAC-Adresse aufbauen. Neben der MAC-Adresse können auch noch weitere Authentisierungsinformationen und Credentials an den Laptop (bzw. die Datenverarbeitungsvorrichtung) zurückgegeben werden, z.B. MAC, IP-Adresse, Netzmaske, Default-Gateway, und gegebenenfalls Cookies. Cookies können beispielsweise für einen Proxy gebraucht werden.
-
Die Datenverarbeitungsvorrichtung, die selbst keine Authentifizierung in einem beispielsweise ungesicherten Kommunikationsnetzwerk durchführen kann, kann auf diese Weise vor unerwünschten Angriffen effizient geschützt werden.
-
Die MAC-Adresse der Datenverarbeitungsvorrichtung kann mit diesem Routing der über das mobile Kommunikationsgerät erzeugten Authentifizierungsanfrage für eine Authentifizierung in dem sicheren Kommunikationsnetzwerk, beispielsweise gegenüber einem Zugangspunkt, verwendet werden.
-
Das mobile Kommunikationsgerät kann beispielsweise eine von der Datenverarbeitungseinrichtung zugeteilte IP-Adresse in einem lokalen Kommunikationsnetz, z.B. einem WLAN, aufweisen. So kann die Datenverarbeitungseinrichtung als Zugangspunkt eines eigenen WLANs fungieren, welche ein lokales Kommunikationsnetz mit dem mobilen Kommunikationsgerät ausbildet. Über diese lokale Kommunikationsnetz erhält das mobile Kommunikationsgerät eine IP-Adresse und ein Default-Gateway zur Kommunikation mit der Datenverarbeitungseinrichtung. Die Authentifizierungsanfrage, deren Daten durch einen Browser des mobilen Kommunikationsgeräts durch den Nutzer eingegeben werden können, wird an die IP-Adresse der Datenverarbeitungseinrichtung gesendet und von der Datenverarbeitungseinrichtung an den Zugangspunkt des Kommunikationsnetzwerks geroutet. Somit kann die MAC-Adresse der Datenverarbeitungseinrichtung in dem Zugangspunkt als gültig freigeschaltet werden, wodurch fortan eine sichere Kommunikation über den Zugangspunkt, welcher ein VPN-Zugangspunkt sein kann, unter Verwendung der MAC-Adresse der Datenverarbeitungseinrichtung durchgeführt werden kann.
-
Der Zugangspunkt kann ferner eine zur MAC-Adresse der Datenverarbeitungsvorrichtung zugehörige IP-Adresse an die Datenverarbeitungsvorrichtung übermitteln, wobei die Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung mit dem Kommunikationsnetzwerk derart konfiguriert wird, dass diese fortan unter Verwendung der authentifizierten MAC-Adresse mit/ohne zugehöriger IP-Adresse über den Zugangspunkt des Kommunikationsnetzwerkes kommuniziert. Alternativ kann die zur authentifizierten MAC-Adresse zugehörige IP-Adresse von der Datenverarbeitungsvorrichtung beim Zugangspunkt abgefragt werden, beispielsweise über einen Layer-3-Address-Request, wie zum Beispiel eine DHCP oder DHCPv6 Anfrage oder IPv6 stateless autoconfig. Allgemein kann hierzu ein Konfigurationsdienst genutzt werden, wie z.B. DHCP (Dynamic Host Configuration Protocol), DHCPv6 oder die im IPv6-Standard definierte „stateless autoconfiguration“ (SLAC).
-
Die Datenverarbeitungsvorrichtung kann anschließend eine Kommunikationsverbindung zu einem beliebigen Server über den Zugangspunkt aufbauen, ohne selbst eine Authentifizierung gegenüber dem Zugangspunkt durchführen zu müssen.
-
Das Konzept erlaubt folglich den Aufbau einer Kommunikationsverbindung zwischen einer Datenverarbeitungseinrichtung und einem Server über einen Zugangspunkt eines öffentlichen Netzwerkes selbst bei sicherheitsrelevanten Anwendungsfällen, da die potentiellen Risiken bei der Authentifizierung von der Datenverarbeitungsvorrichtung auf das mobile Kommunikationsgerät verlagert werden. Das Konzept kann besonders vorteilhaft zum Aufbauen einer VPN-Kommunikationsverbindung zwischen einer Datenverarbeitungsvorrichtung und einem VPN-Server über ein öffentliches Netzwerk eingesetzt werden.
-
Gemäß einem ersten Aspekt betrifft die Offenbarung eine Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts zur Authentifizierung der Datenverarbeitungsvorrichtung. Die Datenverarbeitungsvorrichtung umfasst eine Kommunikationsschnittstelle, welche ausgebildet ist, über den Zugangspunkt des Kommunikationsnetzwerkes zu kommunizieren, wobei der Kommunikationsschnittstelle eine Medium-Access-Control (MAC)-Adresse zugeordnet ist. Die Kommunikationsschnittstelle ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät in einem lokalen Kommunikationsnetzwerk zu kommunizieren. Die Datenverarbeitungsvorrichtung umfasst eine Konfigurationseinrichtung, welche ausgebildet ist, eine IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk zu konfigurieren und über die Kommunikationsschnittstelle an das mobile Kommunikationsgerät zu senden. Die Konfigurationseinrichtung ist ausgebildet, eine über die Kommunikationsschnittstelle empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts über die Kommunikationsschnittstelle unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle an den Zugangspunkt weiterzuleiten, um die MAC-Adresse am Zugangspunkt zu authentifizieren. Die Kommunikationsschnittstelle ist ausgebildet, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt die sichere Kommunikationsverbindung zu dem Server über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
-
Die Konfigurationseinrichtung kann beispielsweise durch eine Prozessor-Einrichtung implementiert werden, welche beispielswese als ein Controller ausgeführt ist.
-
Bei der oben vorgestellten Routing Lösung werden nicht zwingend zwei Kommunikationsschnittstellen benötigt, es ist eine Kommunikationsschnittstelle ausreichend, um über ein WLAN zu kommunizieren. Beispielsweise kann die Kommunikation gemäß folgendem Szenario aufgebaut werden: a) Laptop und Handy melden sich via DHCP beim AccessPoint (AP) an. Laptop bekommt IP L, Handy bekommt H. b) Der Nutzer stellt auf dem Handy die IP L als Proxy ein. c) Der Nutzer startet die Authentisierung gegenüber dem AP mit dem Browser des Handys. Da er den Proxy eingestellt hat, gehen die Pakete von H → L → AP. d) Damit wird die MAC von L authentisiert.
-
Das funktioniert dann, wenn der AP eine Kommunikation zwischen lokalen Netzteilnehmern zulässt. Meistens ist dies möglich. Bei neueren Installationen wird das unterbunden, damit sich die Hotelgäste nicht gegenseitig hacken können, d.h. in diesem Fall kann jeder Netzteilnehmer nur mit dem AP sprechen und somit funktioniert H → L nicht. Dann kann eine zweite Kommunikationsschnittstelle in L erforderlich sein, die nicht über den AP vermittelt wird. Gemäß einer solchen Ausführungsform umfasst die Datenverarbeitungsvorrichtung eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, mit dem mobilen Kommunikationsgerät unter Umgehung des Zugangspunktes in dem lokalen Kommunikationsnetzwerk zu kommunizieren.
-
Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung als ein Hardware-Token ausgeführt, welches mit dem mobilen Kommunikationsgerät verbindbar ist. Das Hardware-Token kann mittels seiner Kommunikationsschnittstelle mit beispielsweise einer Kommunikationsschnittstelle wie einer USB-Schnittstelle des mobilen Kommunikationsgerätes verbunden werden. Auf diese Weise wird eine besonders einfache Kommunikationsumgebung für den Aufbau einer sicheren Kommunikationsverbindung wie einer VPN-Kommunikationsverbindung in unsicheren Kommunikationsnetzwerken, wie beispielsweise öffentlich zugänglichen Kommunikationsnetzwerken, erreicht.
-
Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle eine kabellose Datenkommunikationsschnittstelle, insbesondere eine WLAN-Datenkommunikationsschnittstelle oder eine NFC-Datenkommunikationsschnittstelle, oder die Kommunikationsschnittstelle ist eine drahtgebundene Kommunikationsschnittstelle, insbesondere eine Datenbusschnittstelle wie eine USB-Schnittstelle. Dadurch wird erreicht, dass die Authentifizierungsanfrage des mobilen Kommunikationsgeräts effizient an die Datenverarbeitungsvorrichtung übermittelt werden kann und von dieser an den Zugangspunkt geroutet werden kann.
-
Gemäß einer Ausführungsform umfasst die Konfigurationseinrichtung eine Routing-Tabelle, welche für über die Kommunikationsschnittstelle empfangene Nachrichten die (selbe) Kommunikationsschnittstelle zur Weiterleitung der Nachrichten spezifiziert. Mittels dieser Routing-Tabelle kann die Datenverarbeitungsvorrichtung die von dem mobilen Kommunikationsgerät empfangene Authentifizierungsanfrage auf einfache Art und Weise an den Zugangspunkt weiterleiten. Das Routing kann auf IP-Ebene erfolgen und beim Absenden der Authentifizierungsanfrage über die Kommunikationsschnittstelle an den Zugangspunkt kann die Authentifizierungsanfrage auf MAC-Ebene mit der MAC-Adresse der Kommunikationsschnittstelle versehen werden, d.h. der MAC-Adresse der Datenverarbeitungsvorrichtung. Somit kann auf effiziente Weise die Authentifizierung durch das mobile Kommunikationsgerät initiiert werden, aber für die Datenverarbeitungsvorrichtung durchgeführt werden.
-
Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ferner ausgebildet, ansprechend auf die Authentifizierung der MAC-Adresse durch den Zugangspunkt, eine IP-Adresse von dem Zugangspunkt zu empfangen, und die Kommunikationsschnittstelle ist ausgebildet, die sichere Kommunikationsverbindung zu dem Server über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der IP-Adresse aufzubauen. Damit kann die Datenverarbeitungsvorrichtung gleich eine IP-Adresse erhalten, um eine Kommunikation auf IP-Ebene freizuschalten. Dadurch wird erreicht, dass die MAC-Adresse mit einer zugehörigen IP-Adresse zum Aufbauen der Kommunikationsverbindung verwendet werden kann. Dies ermöglicht eine effiziente Authentifizierung der Datenverarbeitungsvorrichtung zur sicheren Kommunikation mit dem Kommunikationsnetzwerk.
-
Gemäß einer Ausführungsform ist die Konfigurationseinrichtung ausgebildet, eine Netzwerkadresse, insbesondere eine URL (Uniform Resource Locator)-Adresse, zum Authentifizieren der MAC-Adresse der Datenverarbeitungsvorrichtung, über die Kommunikationsschnittstelle an das mobile Kommunikationsgerät zu senden. Mit dieser URL-Adresse wird das mobile Kommunikationsgerät darüber in Kenntnis gesetzt, an welchen Server oder Dienst im Kommunikationsnetzwerk es die Authentifizierungsanfrage richten soll. Damit wird in vorteilhafter Weise erreicht, dass das mobile Kommunikationsgerät alle Informationen erhält, um die Authentifizierung für die Datenverarbeitungsvorrichtung zu initiieren.
-
Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ausgebildet, mit einem DHCP-Dienst (Dynamic Host Configuration Protocol) über den Zugangspunkt des Kommunikationsnetzwerkes zu kommunizieren, die MAC-Adresse der Kommunikationsschnittstelle an den DHCP-Dienst auszusenden, ansprechend hierauf, eine IP-Adresse von dem DHCP-Dienst zu empfangen, und die Kommunikationsverbindung zu dem Server über den Zugangspunkt des Kommunikationsnetzwerkes ferner unter Verwendung der IP-Adresse aufzubauen. Dadurch wird erreicht, dass die Datenverarbeitungsvorrichtung unabhängig von dem mobilen Kommunikationsgerät eine zugehörige IP-Adresse mittels des DHCP-Dienstes erhalten kann. Wie oben beschrieben, kann allgemein hierzu ein Konfigurationsdienst genutzt werden, wie z.B. DHCP (Dynamic Host Configuration Protocol), DHCPv6 oder die im IPv6-Standard definierte „stateless autoconfiguration“ (SLAC).
-
Gemäß einer Ausführungsform ist der Server ein VPN-Server, wobei die Kommunikationsverbindung eine VPN-Kommunikationsverbindung ist. Dadurch wird erreicht, dass eine gesicherte Kommunikationsverbindung aufgebaut werden kann.
-
Gemäß einem zweiten Aspekt betrifft die Offenbarung ein mobiles Kommunikationsgerät zum Authentifizieren einer Datenverarbeitungsvorrichtung an einem Zugangspunkt eines Kommunikationsnetzwerkes. Das mobile Kommunikationsgerät umfasst eine Kommunikationsschnittstelle, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung in einem lokalen Kommunikationsnetzwerk zu kommunizieren. Das mobile Kommunikationsgerät umfasst eine Konfigurationseinrichtung, welche ausgebildet ist, über die Kommunikationsschnittstelle eine IP-Adresse von der Datenverarbeitungsvorrichtung zur Kommunikation mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk zu empfangen und die Kommunikationsschnittstelle unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk zu konfigurieren. Das mobile Kommunikationsgerät umfasst eine Authentifizierungseinrichtung, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt des Kommunikationsnetzwerks über die Kommunikationsschnittstelle an die Datenverarbeitungsvorrichtung auszusenden, um mittels Weiterleitung der Authentisierungsanfrage durch die Datenverarbeitungsvorrichtung an den Zugangspunkt unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung, die Datenverarbeitungsvorrichtung an dem Zugangspunkt zu authentifizieren.
-
Die Konfigurationseinrichtung kann beispielsweise durch eine Prozessor-Einrichtung implementiert werden, welche beispielsweise als ein Controller ausgeführt ist.
-
Der Zugangspunkt kann mit einem Authentifizierungsdienst verbunden sein, welcher die Authentifizierung von Seiten des Zugangspunktes durchführt. Der Authentifizierungsdienst kann jedoch auch in dem Zugangspunkt integriert sein.
-
Gemäß einer Ausführungsform umfasst ist die Kommunikationsschnittstelle eine kabellose oder eine kabelgebundene Kommunikationsschnittstelle, insbesondere eine Bus-Kommunikationsschnittstelle wie eine USB-Kommunikationsschnittstelle. Dadurch wird erreicht, dass die Authentifizierungsanfrage effizient von dem mobilen Kommunikationsgerät an die Datenverarbeitungsvorrichtung übermittelt werden kann.
-
Gemäß einer Ausführungsform ist die Authentifizierungseinrichtung ausgebildet, über die Kommunikationsschnittstelle eine Netzwerkadresse, insbesondere eine URL-Adresse, zum Authentifizieren der Datenverarbeitungsvorrichtung zu empfangen und die Authentisierungsanfrage an die Netzwerkadresse zu richten. Mit dieser Netzwerkadresse bzw. URL-Adresse wird das mobile Kommunikationsgerät darüber in Kenntnis gesetzt, an welchen Server oder Dienst im Kommunikationsnetzwerk es die Authentifizierungsanfrage richten soll. Damit wird in vorteilhafter Weise erreicht, dass das mobile Kommunikationsgerät alle Informationen erhält, um die Authentifizierung für die Datenverarbeitungsvorrichtung zu initiieren. Dadurch wird ferner erreicht, dass die Authentifizierungsanfrage an den entsprechenden Authentifizierungsdienst oder -server adressiert werden kann.
-
Gemäß einer Ausführungsform umfasst das mobile Kommunikationsgerät einen Browser, der ausgebildet ist, die Authentisierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt basierend auf einer Nutzereingabe zu initiieren. Damit wird erreicht, dass die entsprechenden Daten zur Authentifizierung der Datenverarbeitungsvorrichtung beim Zugangspunkt auf einfache Art und Weise durch den Benutzer eingegeben werden und effizient über die Authentifizierungsanfrage zum Zugangspunkt übermittelt werden können, ohne dass eine Eingabe von Authentifizierungsdaten an der Datenverarbeitungsvorrichtung notwendig ist.
-
Gemäß einer Ausführungsform ist die Konfigurationseinrichtung ausgebildet, die IP-Adresse der Datenverarbeitungsvorrichtung als Default-Gateway zu konfigurieren. Dadurch wird erreicht, dass das mobile Kommunikationsgerät sich in einem lokalen Kommunikationsnetz, z.B. einem WLAN, mit der Datenverarbeitungsvorrichtung befindet, wobei die Datenverarbeitungsvorrichtung als Zugangspunkt bzw. Access Point (AP) in diesem lokalen Kommunikationsnetz fungiert und das mobile Kommunikationsgerät als ein Terminal. Durch Konfiguration der von der Datenverarbeitungsvorrichtung empfangenen IP-Adresse als Default-Gateway werden alle Nachrichten, d.h. auch die Authentifizierungsanfrage, an die Datenverarbeitungsvorrichtung gesendet, es sei denn sie sind einem anderen Gateway zuordenbar. Damit kann der Nutzer auf einfache Art und Weise die Authentifizierungsanfrage im Browser des mobilen Kommunikationsgeräts erzeugen ohne dass er zusätzlichen Konfigurationsaufwand hat. Er muss also keine Kommunikationsinterfaces konfigurieren.
-
Gemäß einem dritten Aspekt betrifft die Offenbarung ein Kommunikationssystem. Das Kommunikationssystem umfasst eine Datenverarbeitungsvorrichtung, z.B. eine Datenverarbeitungsvorrichtung gemäß dem oben beschriebenen ersten Aspekt und ein mobiles Kommunikationsgerät z.B. ein mobiles Kommunikationsgerät gemäß dem oben beschriebenen zweiten Aspekt.
-
Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung als Computer, insbesondere als Laptop-Computer, ausgebildet. Dadurch wird erreicht, dass die Datenverarbeitungsvorrichtung effizient implementiert werden kann.
-
Gemäß einer Ausführungsform ist das mobile Kommunikationsgerät als Smartphone oder als Smartwatch ausgebildet oder es kann sich dabei sogar um einen zweiten Laptop handeln. Dadurch wird erreicht, dass das mobile Kommunikationsgerät effizient implementiert werden kann.
-
Gemäß einem vierten Aspekt betrifft die Offenbarung ein Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt, wobei die Datenverarbeitungsvorrichtung eine Kommunikationsschnittstelle umfasst, welche ausgebildet ist, über den Zugangspunkt des Kommunikationsnetzwerkes zu kommunizieren, wobei der Kommunikationsschnittstelle eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; und wobei die Kommunikationsschnittstelle ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät in einem lokalen Kommunikationsnetzwerk zu kommunizieren. Das Verfahren umfasst die folgenden Schritte:
- Konfigurieren einer IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk;
- Senden der IP-Adresse über die Kommunikationsschnittstelle an das mobile Kommunikationsgerät;
-
Weiterleiten einer über die Kommunikationsschnittstelle empfangenen Authentifizierungsanfrage des mobilen Kommunikationsgeräts über die Kommunikationsschnittstelle unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle an den Zugangspunkt, um die MAC-Adresse am Zugangspunkt zu authentifizieren; und
ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt: Aufbauen der sicheren Kommunikationsverbindung zu dem Server über die Kommunikationsschnittstelle und über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse.
-
Das Verfahren kann durch die Datenverarbeitungsvorrichtung, z.B. die Datenverarbeitungsvorrichtung gemäß dem oben beschriebenen ersten Aspekt, ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen und/oder der Funktionalität der Datenverarbeitungsvorrichtung.
-
Gemäß einem fünften Aspekt betrifft die Offenbarung ein Verfahren zum Betreiben eines mobilen Kommunikationsgerätes zum Authentifizieren einer Datenverarbeitungsvorrichtung an einem Zugangspunkt eines Kommunikationsnetzwerkes, wobei das mobile Kommunikationsgerät eine Kommunikationsschnittstelle umfasst, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung in einem lokalen Kommunikationsnetzwerk zu kommunizieren. Das Verfahren umfasst die folgenden Schritte:
- Empfangen einer IP-Adresse von der Datenverarbeitungsvorrichtung über die Kommunikationsschnittstelle zur Kommunikation mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk;
- Konfigurieren der Kommunikationsschnittstelle unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung in dem lokalen Kommunikationsnetzwerk; und
- Aussenden einer Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt des Kommunikationsnetzwerks über die Kommunikationsschnittstelle an die Datenverarbeitungsvorrichtung, um mittels Weiterleitung der Authentifizierungsanfrage durch die Datenverarbeitungsvorrichtung an den Zugangspunkt unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung, die Datenverarbeitungsvorrichtung am Zugangspunkt zu authentifizieren.
-
Die Weiterleitung der Authentifizierungsanfrage ist oben zum Verfahren gemäß dem vierten Aspekt genauer beschrieben oder auch oben zur Vorrichtung gemäß dem ersten Aspekt.
-
Das Verfahren kann durch das mobile Kommunikationsgerät, z.B. das mobile Kommunikationsgerät gemäß dem oben beschriebenen zweiten Aspekt, ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen und/oder der Funktionalität des mobilen Kommunikationsgerätes.
-
Gemäß einem sechsten Aspekt betrifft die Beschreibung ein Computerprogramm mit einem Programmcode zum Durchführen des Verfahrens zum Betreiben der Datenverarbeitungsvorrichtung oder des Verfahrens zum Betreiben des mobilen Kommunikationsgerätes. Die Datenverarbeitungsvorrichtung und/oder das mobile Kommunikationsgerät können jeweils programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
-
Die Beschreibung kann in Hardware und in Software implementiert werden.
-
Weitere Ausführungsformen werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
- 1 ein schematisches Diagramm einer Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes;
- 2 ein schematisches Diagramm eines mobilen Kommunikationsgerätes zum Kommunizieren mit einem Zugangspunkt eines Kommunikationsnetzwerkes;
- 3 ein schematisches Diagramm eines Kommunikationssystems;
- 3a ein schematisches Diagramm eines Kommunikationssystems;
- 4 ein schematisches Diagramm eines Verfahrens zum Betreiben einer Datenverarbeitungsvorrichtung; und
- 5 ein schematisches Diagramm eines Verfahrens zum Betreiben eines mobilen Kommunikationsgerätes.
-
In der folgenden ausführlichen Beschreibung wird auf die beiliegenden Zeichnungen Bezug genommen, die einen Teil hiervon bilden und in denen als Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeführt werden kann. Es versteht sich, dass auch andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist deshalb nicht in einem beschränkenden Sinne zu verstehen. Ferner versteht es sich, dass die Merkmale der verschiedenen hierin beschriebenen Ausführungsbeispiele miteinander kombiniert werden können, sofern nicht spezifisch etwas anderes angegeben ist.
-
Die Aspekte und Ausführungsformen werden unter Bezugnahme auf die Zeichnungen beschrieben, wobei gleiche Bezugszeichen sich im Allgemeinen auf gleiche Elemente beziehen. In der folgenden Beschreibung werden zu Erläuterungszwecken zahlreiche spezifische Details dargelegt, um ein eingehendes Verständnis von einem oder mehreren Aspekten der Erfindung zu vermitteln. Für einen Fachmann kann es jedoch offensichtlich sein, dass ein oder mehrere Aspekte oder Ausführungsformen mit einem geringeren Grad der spezifischen Details ausgeführt werden können. In anderen Fällen werden bekannte Strukturen und Elemente in schematischer Form dargestellt, um das Beschreiben von einem oder mehreren Aspekten oder Ausführungsformen zu erleichtern. Es versteht sich, dass andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen.
-
1 zeigt ein schematisches Diagramm einer Datenverarbeitungsvorrichtung 100 zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server 303 (in 3 dargestellt) über einen Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (in 3a dargestellt) unter Verwendung eines mobilen Kommunikationsgeräts 200 (in 2 dargestellt), beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, über den Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine Medium-Access-Control (MAC)-Adresse zugeordnet.
-
Die Kommunikationsschnittstelle 101 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in einem lokalen Kommunikationsnetzwerk 311 (siehe 3a) zu kommunizieren. Alternativ kann dafür auch eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 genutzt werden.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Konfigurationseinrichtung 103, welche ausgebildet ist, eine IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts 200 mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren und über die Kommunikationsschnittstelle 101 an das mobile Kommunikationsgerät 200 zu senden.
-
Die Konfigurationseinrichtung 103 ist ausgebildet, eine über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 über die Kommunikationsschnittstelle 101 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 an den Zugangspunkt 301 weiterzuleiten, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren.
-
Die Kommunikationsschnittstelle 101 ist ausgebildet, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301 die sichere Kommunikationsverbindung zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes 310 unter Verwendung der authentifizierten MAC-Adresse aufzubauen. Die Datenverarbeitungsvorrichtung 100 kann beispielsweise ein Laptop oder ein Notebook sein.
-
2 zeigt ein schematisches Diagramm eines mobilen Kommunikationsgerätes 200 zum Authentifizieren einer Datenverarbeitungsvorrichtung, z.B. der Datenverarbeitungsvorrichtung 100 aus 1, an einem Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (siehe 3a).
-
Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk 311 (siehe 3a) zu kommunizieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Konfigurationseinrichtung 203, welche ausgebildet ist, über die Kommunikationsschnittstelle 201 eine IP-Adresse von der Datenverarbeitungsvorrichtung 100 zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu empfangen und die Kommunikationsschnittstelle 201 unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 an die Datenverarbeitungsvorrichtung 100 auszusenden, um mittels Weiterleitung der Authentisierungsanfrage durch die Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung 100, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren, wie oben zu 1 näher beschrieben.
-
3 zeigt ein schematisches Diagramm eines Kommunikationssystems 300. Das Kommunikationssystem 300 umfasst eine Datenverarbeitungsvorrichtung 100 und ein mobiles Kommunikationsgerät 200, z.B. entsprechend der Beschreibung zu den 1 und 2.
-
Die Datenverarbeitungsvorrichtung 100 ist ausgebildet, eine sichere Kommunikationsverbindung zu einem Server 303 (in 3 dargestellt) über einen Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (in 3a dargestellt) unter Verwendung des mobilen Kommunikationsgeräts 200, beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100 aufzubauen.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, über den Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine Medium-Access-Control (MAC)-Adresse zugeordnet.
-
Die Kommunikationsschnittstelle 101 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in einem lokalen Kommunikationsnetzwerk 311 (siehe 3a) zu kommunizieren. Alternativ kann dafür auch eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 genutzt werden.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Konfigurationseinrichtung 103, welche ausgebildet ist, eine IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts 200 mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren und über die Kommunikationsschnittstelle 101 an das mobile Kommunikationsgerät 200 zu senden.
-
Die Konfigurationseinrichtung 103 ist ausgebildet, eine über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 über die Kommunikationsschnittstelle 101 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 an den Zugangspunkt 301 weiterzuleiten, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren.
-
Das mobile Kommunikationsgerät 200 ist ausgebildet, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu authentifizieren.
-
Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu kommunizieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Konfigurationseinrichtung 203, welche ausgebildet ist, über die Kommunikationsschnittstelle 201 eine IP-Adresse von der Datenverarbeitungsvorrichtung 100 zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu empfangen und die Kommunikationsschnittstelle 201 unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 an die Datenverarbeitungsvorrichtung 100 auszusenden, um mittels Weiterleitung der Authentisierungsanfrage durch die Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung 100, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren.
-
Die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 kann eine kabellose Datenkommunikationsschnittstelle sein, beispielsweise eine WLAN-Datenkommunikationsschnittstelle oder eine NFC-Datenkommunikationsschnittstelle. Alternativ kann die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 eine drahtgebundene Kommunikationsschnittstelle sein, beispielsweise eine Datenbusschnittstelle wie eine USB-Schnittstelle.
-
Die Konfigurationseinrichtung 103 kann eine Routing-Tabelle aufweisen, welche für über die Kommunikationsschnittstelle 101 empfangene Nachrichten die Kommunikationsschnittstelle 101 zur Weiterleitung der Nachrichten spezifiziert.
-
Die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 kann ausgebildet sein, ansprechend auf die Authentifizierung der MAC-Adresse durch den Zugangspunkt 301, eine IP-Adresse von dem Zugangspunkt 301 zu empfangen. Die Kommunikationsschnittstelle 101 kann ausgebildet sein, die sichere Kommunikationsverbindung zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes 310 unter Verwendung der IP-Adresse aufzubauen.
-
Die Datenverarbeitungsvorrichtung 100 kann beispielsweise als ein Hardware-Token ausgeführt sein, welches mit dem mobilen Kommunikationsgerät verbindbar ist.
-
Die Datenverarbeitungsvorrichtung 100 kann als ein Laptop oder Notebook ausgeführt sein, der über eine Schnittstelle, wie z.B. USB, mit einem Hardware-Token verbindbar ist, welches über die Kommunikationsschnittstelle verfügt. Das Hardware-Token kann ein Kartenlesegerät sein, mit dem sich auf einer Karte gespeicherte Sicherheitsinformationen einlesen lassen. Das Hardware-Token kann ferner über einen Prozessor zur Verarbeitung der Daten und eine Anzeige verfügen.
-
Die Konfigurationseinrichtung 103 der Datenverarbeitungsvorrichtung 100 kann ausgebildet sein, eine Netzwerkadresse, beispielsweise eine URL-Adresse, zum Authentifizieren der MAC-Adresse der Datenverarbeitungsvorrichtung 100, über die Kommunikationsschnittstelle 101 an das mobile Kommunikationsgerät 200 zu senden.
-
Die Kommunikationsschnittstelle 201 des mobilen Kommunikationsgeräts 200 kann eine kabellose oder eine kabelgebundene Kommunikationsschnittstelle sein, beispielsweise eine Bus-Kommunikationsschnittstelle wie eine USB-Kommunikationsschnittstelle.
-
Die Authentifizierungseinrichtung 205 des mobilen Kommunikationsgeräts 200 kann ausgebildet sein, über die Kommunikationsschnittstelle 201 eine Netzwerkadresse, beispielsweise eine URL-Adresse, zum Authentifizieren der Datenverarbeitungsvorrichtung 100 zu empfangen und die Authentisierungsanfrage an die Netzwerkadresse zu richten.
-
Das mobile Kommunikationsgerät 200 kann einen Browser umfassen, der ausgebildet ist, die Authentisierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 basierend auf einer Nutzereingabe zu initiieren. Über den Browser können Zugangsdaten zu dem Kommunikationsnetz 311 eingegeben werden, beispielsweise eine Zimmernummer und ein Passwort zur Authentifizierung, z.B. eines Hotelnutzers am Zugangspunkt des Hotels.
-
Die Konfigurationseinrichtung 203 des mobilen Kommunikationsgeräts 200 kann ausgebildet sein, die IP-Adresse der Datenverarbeitungsvorrichtung 100 als Default-Gateway zu konfigurieren.
-
Zusammenfassend steht einem Nutzer beispielsweise die Datenverarbeitungsvorrichtung 100 zur Verfügung. Diese kann derart konfiguriert sein, dass bei Detektion eines vorhandenen Netzanschlusses unmittelbar eine VPN-Kommunikationsverbindung aufgebaut werden soll. Zugleich kann eine Übertragung von Daten außerhalb des VPN unerwünscht bzw. unterbunden sein. Eine Ausnahme hiervon kann beispielsweise die Kommunikation mittels Link-Layer-Protokollen, z.B. ARP (Address Resolution Protocol), und/oder DHCP sein, da diese initial einen rudimentären Netzanschluss bereitstellen. Die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 kann in der Datenverarbeitungsvorrichtung 100 integriert sein, beispielsweise in Form einer eigenen Network Interface Card (NIC) oder eines eigenen WLAN-Moduls. Alternativ kann die Kommunikationsschnittstelle 101 mittels einer vorgelagerten Firewall implementiert werden.
-
Zur Authentifizierung gegenüber dem Zugangspunkt 301 verwendet ein Nutzer das mobile Kommunikationsgerät 200. Er kann z.B. einen Browser seines Smartphones starten, um die notwendigen Authentifizierungsinformationen, wie z.B. Nutzername und Passwort einzugeben. Das mobile Kommunikationsgerät kann anhand dieser Login-Daten die entsprechende Authentifizierungsanfrage erstellen und diese an die Datenverarbeitungsvorrichtung 100 übermitteln. Die Authentifizierungsanfrage kann in der Datenverarbeitungsvorrichtung 100 geroutet werden und mit der MAC-Adresse der Datenverarbeitungsvorrichtung 100 über den Zugangspunkt an den entsprechenden Authentifizierungsserver oder -dienst im Kommunikationsnetzwerk weitergeleitet werden.
-
Die Kommunikation mit dem Zugangspunkt 301 kann beispielsweise über WLAN erfolgen. Nach erfolgter Authentifizierung ist die MAC-Adresse der Datenverarbeitungsvorrichtung 100 authentifiziert und die Datenverarbeitungsvorrichtung 100 ist authentifiziert, mit ihrer MAC-Adresse über das Kommunikationsnetz zu kommunizieren.
-
Die zur MAC-Adresse zugehörige IP-Adresse kann von dem Zugangspunkt 103 an die Datenverarbeitungsvorrichtung 100 übermittelt werden. Dies kann beispielsweise mittels WLAN (Wireless Local Area Network), Bluetooth, NFC (Near Field Communication), USB (Universal Serial Bus), oder manuell erfolgen. Ferner können weitere Informationen, wie beispielsweise betreffend Default-Gateway, DNS-Server, etc. übermittelt werden.
-
Die Datenverarbeitungsvorrichtung 100 nutzt die im Zugangspunkt 301 freigeschaltete MAC-Adresse mit/ohne IP-Adresse auf ihrer Kommunikationsschnittstelle 101. Falls zu der MAC-Adresse keine IP-Adresse mit übertragen worden sein sollte, kann die Datenverarbeitungsvorrichtung 100 diese beispielsweise mittels eines DHCP-Dienstes oder anderweitig erfragen. Anschließend kann mit dem Aufbau der VPN-Kommunikationsverbindung begonnen werden, da die Kombination aus MAC-Adresse und zugehöriger IP-Adresse in dem Zugangspunkt 301 freigeschaltet ist. Zur einfacheren Handhabung kann der Ansatz durch ein Computerprogramm bzw. eine App auf der Datenverarbeitungsvorrichtung 100 und/oder dem mobilen Kommunikationsgerät 200 unterstützt werden. Insbesondere kann eine automatische Durchführung des Ansatzes realisiert werden.
-
3a zeigt ein schematisches Diagramm eines Kommunikationssystems 300. Das Kommunikationssystem 300 umfasst eine Datenverarbeitungsvorrichtung 100, z.B. entsprechend der Darstellung in 1 und 3, und ein mobiles Kommunikationsgerät 200, z.B. entsprechend der Darstellung in 1 und 3. Die Datenverarbeitungsvorrichtung 100 kann beispielsweise als Computer, insbesondere als Laptop-Computer, ausgebildet sein. Das mobile Kommunikationsgerät 200 kann beispielsweise als Smartphone oder als Smartwatch ausgebildet sein.
-
Die Datenverarbeitungsvorrichtung 100 ist ausgebildet, eine sichere Kommunikationsverbindung zu einem Server 303 über einen Zugangspunkt 301 eines Kommunikationsnetzwerkes 310 unter Verwendung des mobilen Kommunikationsgeräts 200, beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100 aufzubauen.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, über den Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine Medium-Access-Control (MAC)-Adresse zugeordnet.
-
Die Kommunikationsschnittstelle 101 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in einem lokalen Kommunikationsnetzwerk 311 zu kommunizieren. Alternativ kann dafür auch eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 genutzt werden.
-
Die Datenverarbeitungsvorrichtung 100 umfasst eine Konfigurationseinrichtung 103, welche ausgebildet ist, eine IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts 200 mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren und über die Kommunikationsschnittstelle 101 an das mobile Kommunikationsgerät 200 zu senden.
-
Die Konfigurationseinrichtung 103 ist ausgebildet, eine über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 über die Kommunikationsschnittstelle 101 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 an den Zugangspunkt 301 weiterzuleiten, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren.
-
Das mobile Kommunikationsgerät 200 ist ausgebildet, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu authentifizieren.
-
Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu kommunizieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Konfigurationseinrichtung 203, welche ausgebildet ist, über die Kommunikationsschnittstelle 201 eine IP-Adresse von der Datenverarbeitungsvorrichtung 100 zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu empfangen und die Kommunikationsschnittstelle 201 unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk 311 zu konfigurieren.
-
Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 an die Datenverarbeitungsvorrichtung 100 auszusenden, um mittels Weiterleitung der Authentisierungsanfrage durch die Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung 100, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren.
-
Der Ablauf des Aufbaus einer sicheren Kommunikationsverbindung zu dem Server 303 kann beispielsweise wie folgt aussehen:
- Das mobile Kommunikationsgerät 200, z.B. Mobiltelefon, wird mit dem zu authentisierenden Gerät, d.h. der Datenverarbeitungsvorrichtung 100, z.B. Laptop oder Notebook oder Tablet oder Hardware Token verbunden. Eine Kopplung kann via Kabel (z.B. USB, Ethernet) oder über Funk (z.B. WLAN, Bluetooth) erfolgen. Hierzu kann ein eigener WLAN-AP (Access Point, d.h. Zugangspunkt) in der Datenverarbeitungsvorrichtung 100 genutzt werden. Zur Authentisierung am WLAN-Portal kann der Browser des Mobiltelefons 200 genutzt werden. Da sämtliche Kommunikation von dem Mobiltelefon 200 über das zu authentisierende Gerät 100, z.B. Laptop oder Hardware Token, geroutet wird, sieht das WLAN-Portal nur die MAC-Adresse des zu authentisierenden Geräts 100, d.h. der Datenverarbeitungsvorrichtung 100. Diese MAC-Adresse wird dann durch den Browser des Mobiltelefons 200 freigeschaltet.
-
Zu dem Ablauf werden im Folgenden zwei Beispiele beschrieben.
-
Beispiel 1:
-
Das Mobiltelefon 200 wird via USB-Kabel mit dem Laptop 100 verbunden. Der Laptop 100 fungiert als Router, d.h. das Mobiltelefon erhält eine lokale IP-Adresse und hat als Default-Gateway den Laptop 100. Die Authentisierung im WLAN erfolgt mit dem Browser des Mobiltelefons 200. Da das Mobiltelefon über den Rechner, d.h. den Laptop 100, kommuniziert, wird die MAC des Rechners, also des Laptops 200 authentisiert. Eine App kann den Prozess für den Endnutzer einfacher gestalten: Bei Verbinden des Mobiltelefons 200 mit dem Rechner bzw. Laptop 100 kann die notwendige WLAN-Information (z.B. URL zur Authentisierung) von einem Prozess auf dem Rechner 100 an das Mobiltelefon 200 übergeben werden. Ein Browser kann direkt innerhalb der Telefon-App gestartet werden.
-
Beispiel 2:
-
Dieses Beispiel zeigt eine Realisierung mit einem Hardware-Token. Ein solcher Hardware-Token kann beispielsweise ein kleiner Rechner (etwa in der Größe eines USB-Sticks, d.h., geeignet, um ihn in die Tasche zu stecken) mit einem Prozessorkern sein, z.B. einem ARM-Prozessorkern, und mit einer USB-Schnittstelle, über welche der Rechner sich an den Laptop 100 anschließen lässt. Dieser kleine Rechner wirkt wie eine mobile Firewall, welche den Laptop 100 vor unerwünschten Kontakten schützt. Beim Einstecken in den USB-Port des Laptop 100 meldet sich der Hardware-Token als Netzwerk-Karte mit eigener IP-Adresse, welche er z. B. über einen Konfigurationsdienst vom Netzwerk erhält.
-
Die folgenden Schritte werden durchgeführt:
- Das Hardware-Token 100 verbindet sich mit dem ersten WLAN 312. Der Zugangspunkt (AP) 301 benötigt eine Authentifizierung an einem Web-Portal, um die Verbindung freizuschalten. Das Hardware-Token 100 erstellt zusätzlich einen privaten WLAN Accesspoint und definiert ein zweites WLAN 311, mit dem sich das Mobiltelefon 200 des Nutzers verbindet. Der Nutzer öffnet den Browser seines Mobiltelefons 200 und führt die Authentifizierung am öffentlichen Zugangspunkt 301 durch. Da die TCP-Verbindung über das Hardware Token 100 vom zweiten WLAN 311 ins erste WLAN 312 geroutet wird, wird somit die MAC-Adresse des Hardware Tokens 100 im ersten WLAN 312 freigeschaltet.
-
Das gleiche Verfahren kann mittels eines Laptop 100 anstatt des Hardware Tokens 100 durchgeführt werden.
-
Der Zugangspunkt 301 kann mit einem Authentifizierungsdienst 301a verbunden sein, welcher die Authentifizierung von Seiten des Zugangspunktes durchführt. Der Authentifizierungsdienst 301a kann jedoch auch in dem Zugangspunkt 301 integriert sein.
-
Der Zugangspunkt 301 kann zusätzlich mit einem DHCP-Dienst 301b verbunden sein, welcher der Adressverwaltung von Seiten des Zugangspunktes dient. Der DHCP-Dienst 301b kann für eine MAC-Adresse eine zugehörige IP-Adresse bestimmen. Der DHCP-Dienst 301 b kann jedoch auch in dem Zugangspunkt 301 integriert sein.
-
Der Server 303 kann ein VPN-Server sein. Die Kommunikationsverbindung kann eine VPN-Kommunikationsverbindung sein. Folglich kann eine VPN-Kommunikationsverbindung als gesicherte Kommunikationsverbindung von der Datenverarbeitungsvorrichtung 100 über den Zugangspunkt 301 zu dem Server 303 aufgebaut werden.
-
Zusammenfassend tauscht das mobile Kommunikationsgerät 200, welches über einen Netzzugang zu dem Zugangspunkt 301 mittels Routing von Nachrichten in der Datenverarbeitungsvorrichtung 100 verfügt, folglich Authentifizierungsinformationen aus. Das mobile Kommunikationsgerät 200 wird folglich zur initialen Authentifizierung gegenüber dem Zugangspunkt 301 genutzt. Nach der Authentifizierung der MAC-Adresse mit/ohne zugehöriger IP-Adresse konfiguriert die Datenverarbeitungsvorrichtung 100 ihre Kommunikationsschnittstelle 101 derart, dass eine Kommunikation über den Zugangspunkt 301 fortan mittels der authentifizierten MAC-Adresse mit/ohne zugehöriger IP-Adresse durchgeführt wird. Die Datenverarbeitungsvorrichtung 100 kann folglich unmittelbar die VPN-Kommunikationsverbindung zu dem Server 303 als VPN-Server aufbauen. Insbesondere kann die Authentifizierung gegenüber dem Zugangspunkt 301 damit auf das mobile Kommunikationsgerät 200 ausgelagert werden.
-
4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Betreiben einer Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server 303 (siehe 3) über einen Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts 200 zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301, wobei die Datenverarbeitungsvorrichtung 100 eine Kommunikationsschnittstelle 101 umfasst, welche ausgebildet ist, über den Zugangspunkt 301 des Kommunikationsnetzwerkes zu kommunizieren, wobei der Kommunikationsschnittstelle 101 eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; und wobei die Kommunikationsschnittstelle 101 ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät 200 in einem lokalen Kommunikationsnetzwerk zu kommunizieren, wie oben zu den 1 bis 3a beschrieben.
-
Das Verfahren umfasst ein Konfigurieren 401 einer IP-Adresse zur Kommunikation des mobilen Kommunikationsgeräts 200 mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk.
-
Das Verfahren umfasst ein Senden 403 der IP-Adresse über die Kommunikationsschnittstelle 101 an das mobile Kommunikationsgerät 200.
-
Das Verfahren umfasst ein Weiterleiten 405 einer über die Kommunikationsschnittstelle 101 empfangenen Authentifizierungsanfrage des mobilen Kommunikationsgeräts 200 über die Kommunikationsschnittstelle 101 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 an den Zugangspunkt 301, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren.
-
Das Verfahren umfasst ferner, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301, ein Aufbauen 407 der sicheren Kommunikationsverbindung zu dem Server 303 über die Kommunikationsschnittstelle 101 und über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse.
-
Das Verfahren 400 kann mittels eines Computerprogramms mit einem Programmcode implementiert werden. Die Datenverarbeitungsvorrichtung kann programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
-
5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Betreiben eines mobilen Kommunikationsgerätes zum Authentifizieren einer Datenverarbeitungsvorrichtung 100 (siehe 1) an einem Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes, wobei das mobile Kommunikationsgerät 200 (siehe 2) eine Kommunikationsschnittstelle 201 umfasst, welche ausgebildet ist, mit der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk zu kommunizieren.
-
Das Verfahren umfasst ein Empfangen 501 einer IP-Adresse von der Datenverarbeitungsvorrichtung 100 über die Kommunikationsschnittstelle 201 zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk.
-
Das Verfahren umfasst ein Konfigurieren 503 der Kommunikationsschnittstelle unter Verwendung der IP-Adresse zur Kommunikation mit der Datenverarbeitungsvorrichtung 100 in dem lokalen Kommunikationsnetzwerk.
-
Das Verfahren umfasst ein Aussenden 505 einer Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 an die Datenverarbeitungsvorrichtung 100, um mittels Weiterleitung der Authentifizierungsanfrage durch die Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 unter Verwendung einer MAC-Adresse der Datenverarbeitungsvorrichtung 100, die Datenverarbeitungsvorrichtung 100 am Zugangspunkt 301 zu authentifizieren.
-
Das Verfahren 500 kann mittels eines Computerprogramms mit einem Programmcode implementiert werden. Das mobile Kommunikationsgerät kann programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
-
Alle in Verbindung mit einzelnen Ausführungsformen gezeigten oder beschriebenen Merkmale können in beliebiger Kombination in dem beschreibungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
-
Bezugszeichenliste
-
- 100
- Datenverarbeitungsvorrichtung
- 101
- Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung
- 103
- Konfigurationseinrichtung
- 200
- Mobiles Kommunikationsgerät
- 201
- Kommunikationsschnittstelle des mobilen Kommunikationsgeräts
- 203
- Konfigurationseinrichtung
- 205
- Authentifizierungseinrichtung
- 300
- Kommunikationssystem
- 301
- Zugangspunkt
- 301a
- Authentifizierungsdienst
- 301b
- DHCP-Dienst
- 303
- VPN-Server
- 310
- Kommunikationsnetzwerk
- 311
- (zweites) lokales Kommunikationsnetz, z.B. WLAN
- 312
- (erstes) lokales Kommunikationsnetz, z.B. WLAN
- 400
- Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung
- 401
- Konfigurieren einer IP-Adresse
- 403
- Senden der IP-Adresse
- 405
- Weiterleiten einer Authentifizierungsanfrage
- 407
- Aufbauen einer Kommunikationsverbindung
- 500
- Verfahren zum Betreiben eines mobilen Kommunikationsgerätes
- 501
- Empfangen einer IP-Adresse
- 503
- Konfigurieren der Kommunikationsschnittstelle
- 505
- Aussenden einer Authentifizierungsanfrage