DE102020129226B4 - Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt - Google Patents

Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt Download PDF

Info

Publication number
DE102020129226B4
DE102020129226B4 DE102020129226.0A DE102020129226A DE102020129226B4 DE 102020129226 B4 DE102020129226 B4 DE 102020129226B4 DE 102020129226 A DE102020129226 A DE 102020129226A DE 102020129226 B4 DE102020129226 B4 DE 102020129226B4
Authority
DE
Germany
Prior art keywords
access point
data processing
communication
processing device
communication interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102020129226.0A
Other languages
English (en)
Other versions
DE102020129226A1 (de
Inventor
Kai Dörnemann
Götz Salzmann
Patrick Wildt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Genua GmbH
Original Assignee
Genua GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Genua GmbH filed Critical Genua GmbH
Priority to DE102020129226.0A priority Critical patent/DE102020129226B4/de
Publication of DE102020129226A1 publication Critical patent/DE102020129226A1/de
Application granted granted Critical
Publication of DE102020129226B4 publication Critical patent/DE102020129226B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Datenverarbeitungsvorrichtung (100) zum Aufbauen einer sicheren Kommunikationsverbindung (320) zu einem Server (303) über einen Zugangspunkt (301) eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts (200) zur Authentifizierung der Datenverarbeitungsvorrichtung (100), mit:einer Kommunikationsschnittstelle (101), welche ausgebildet ist, mit dem Zugangspunkt (301) des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk (312), insbesondere einem lokalen IP-Netzwerk, zu kommunizieren, wobei der Kommunikationsschnittstelle (101) eine Medium-Access-Control (MAC)-Adresse zugeordnet ist;wobei die Kommunikationsschnittstelle (101) ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät (200) in dem lokalen Kommunikationsnetzwerk zu kommunizieren; undeiner Vermittlungseinrichtung (103), welche ausgebildet ist, eine über die Kommunikationsschnittstelle (101) empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts (200) entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle (101) eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät (200) und dem Zugangspunkt (301) zur Authentifizierung der MAC-Adresse am Zugangspunkt (301) herzustellen,wobei die Kommunikationsschnittstelle (101) ausgebildet ist, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt (301) die sichere Kommunikationsverbindung (320) zu dem Server (303) über den Zugangspunkt (301) des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.

Description

  • Die vorliegende Beschreibung betrifft das Gebiet der Kommunikationstechnik.
  • Die Offenlegungsschrift US 2014 / 0 089 182 A1 offenbart ein Verfahren zum Verwalten und zum Bereitstellen von Inhalten und Services in einem Netzwerksystem.
  • Die Offenlegungsschrift US 2014 / 0 380 450 A1 offenbart ein Verfahren zum Bereitstellen einer mobilen VPN-Verbindung.
  • Zur Datenübertragung zwischen einer Datenverarbeitungsvorrichtung, beispielsweise einem Laptop-Computer, und einem Server wird üblicherweise eine Kommunikationsverbindung zwischen den beiden Kommunikationsteilnehmern aufgebaut. In vielen Anwendungsfällen erfolgt der Aufbau der Kommunikationsverbindung über einen Zugangspunkt (engl. Access Point) eines Kommunikationsnetzwerkes, wobei eine vorherige Authentifizierung der Datenverarbeitungsvorrichtung gegenüber dem Zugangspunkt erfolgen muss, damit eine Datenübertragung über den Zugangspunkt durchgeführt werden kann.
  • Insbesondere bei sicherheitsrelevanten Anwendungsfällen, bei welchen beispielsweise eine VPN-Kommunikationsverbindung (VPN: Virtual Private Network) zwischen einer Datenverarbeitungsvorrichtung und einem VPN-Server aufgebaut werden soll, stellt die Authentifizierung der Datenverarbeitungsvorrichtung gegenüber dem Zugangspunkt eine Herausforderung dar. Dies betrifft insbesondere jene Anwendungsfälle, in welchen die Datenverarbeitungseinrichtung über einen Zugangspunkt eines öffentlichen Netzwerkes, beispielsweise über einen Hotspot in einem Hotel oder in einem Cafe, mit dem VPN-Server kommunizieren soll.
  • Die Authentifizierung gegenüber einem Zugangspunkt ist nämlich zumeist derart ausgestaltet, dass ein Browser zur Eingabe von Authentifizierungsinformationen verwendet werden muss, welcher direkt mit einem Authentifizierungsdienst des öffentlichen Netzwerks kommuniziert. Jede Datenübertragung über ein öffentliches Netzwerk stellt jedoch potentiell ein Sicherheitsrisiko dar und ist mitunter für beruflich bzw. dienstlich genutzte Datenverarbeitungsvorrichtungen untersagt oder technisch abgestellt. Zudem ist ein Browser heutzutage ein komplexes und potentiell fehleranfälliges Programm. Es besteht daher zusätzlich das Problem, dass der Browser während der Authentifizierung manipuliert bzw. gehackt wird, wodurch Angreifer Zugang zu vertraulichen Daten erlangen könnten.
  • Um diese Probleme zu vermeiden, werden derartige Datenverarbeitungsvorrichtungen daher zumeist derart konfiguriert, dass ausschließlich eine direkte VPN-Kommunikationsverbindung zu einem VPN-Server aufgebaut werden kann, und somit Daten nur über ein privates Netzwerk übertragen werden können. Typischerweise können derartige Datenverarbeitungsvorrichtungen dann jedoch keine Authentifizierung gegenüber einem Zugangspunkt eines öffentlichen Netzwerkes durchführen, wodurch folglich keine Kommunikationsverbindung über diesen Zugangspunkt aufgebaut werden kann. Dies kann beispielsweise bereits dann der Fall sein, wenn ein Aufruf eines Browser-Fensters, in welchem beispielsweise ein Nutzername und Passwort zu Authentifizierungszwecken eingegeben werden können, nicht möglich bzw. aus Sicherheitsgründen unterbunden ist. Dies ist beispielsweise bei Nutzung von behördlichen Kommunikationsgeräten der Fall, welche die Sicherheitsstufe VS-NfD (Verschlusssachen - nur für den Dienstgebrauch) erfüllen.
  • Aufgrund der fehlenden Authentifizierung in einem ungesicherten Kommunikationsnetzwerk ist wiederherum ein Aufbau einer sicheren VPN-Kommunikationsverbindung nicht möglich.
  • Ist beispielsweise ein Kommunikationsgerät so konfiguriert, dass bei Anschluss an ein beliebiges Kommunikationsnetzwerk automatisch eine VPN-Verbindung aufgebaut werden soll, jedoch in keinem Fall Nutzdaten an Systeme außerhalb VPN-Verbindung gesendet werden dürfen. So entsteht das folgende praktische Problem: Kommunikationsnetzwerke, die eine Authentisierung eines Benutzers, z.B. durch Eingabe eines Benutzernamens und eines Passworts in einem Browser-Fenster oder sonstige Mechanismen erfordern, kann das vorstehend beschriebene Kommunikationsgerät nicht benutzen. Ohne Authentisierung in einem derartigen Kommunikationsnetzwerk wird der Aufbau einer VPN-Verbindung jedoch üblicherweise verweigert.
  • Als Beispiel ist hier z.B. ein WLAN-Kommunikationsnetzwerk in einem Hotel zu nennen, in welchem ein WLAN-Betreiber eine Authentisierung, z.B. mittels eines Benutzernamens wie beispielsweise einer Zimmernummer und eines Passworts, das mit Ausgabe des Zimmerschlüssels gesetzt wird, verlangt. Hierzu wird üblicherweise ein Browser benötigt, dessen Verbindung in ungesicherte Kommunikationsnetzwerke beispielsweise für VS-NfDkonform aufgesetzte Kommunikationsgeräte unterbunden ist.
  • Es ist daher eine Aufgabe der vorliegenden Beschreibung, ein effizientes Konzept zum Aufbauen einer sicheren Kommunikationsverbindung wie beispielsweise einer VPN-Verbindung zu schaffen, sodass eine sichere Kommunikationsverbindung auch über an sich ungesicherte Kommunikationsnetzwerke wie öffentlich zugängliche Kommunikationsnetzwerke wie beispielsweise WLAN-Netzwerke aufgebaut werden kann.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
  • Die Offenbarung basiert auf der Erkenntnis, dass die obige Aufgabe dadurch gelöst werden kann, dass für die Kommunikation eine Datenverarbeitungsvorrichtung, z.B. ein Laptop, und ein mobiles Kommunikationsgerät, z.B. ein Smartphone, verwendet wird, wobei in der Datenverarbeitungsvorrichtung eine Vermittlungseinrichtung realisiert ist, die als Proxy dient, um sämtliche Kommunikation des mobilen Kommunikationsgeräts zu einem Zugangspunkt des Kommunikationsnetzwerks, z.B. einem Hotel Zugangspunkt, weiterzuvermitteln. Dann kann auf dem mobilen Kommunikationsgerät ein Browser geöffnet werden, mit dem eine Authentifizierung beim Zugangspunkt erfolgen kann. Durch das Weitervermitteln der Authentifizierungsanfrage des Browsers in dem Proxy, d.h. der Datenverarbeitungsvorrichtung, wird die Authentifizierungsanfrage mit der MAC-Adresse (MAC: Medium Access Control) der Datenverarbeitungsvorrichtung bzw. deren entsprechender Kommunikationsschnittstelle an den Zugangspunkt gesendet. Eine Authentifizierung durch den Zugangspunkt authentifiziert somit die MAC-Adresse der Datenverarbeitungsvorrichtung, so dass diese daraufhin zur Kommunikation in dem Kommunikationsnetzwerk authentifiziert ist. Anstatt eines Proxys kann die Datenverarbeitungsvorrichtung auch einen Tunnel aufbauen, z.B. anhand link-lokaler Netzwerkadressen, um die Authentifizierungsanfrage des mobilen Kommunikationsgeräts an den Zugangspunkt zu vermitteln. Auch in diesem Fall wird die Authentifizierungsanfrage mit der MAC-Adresse der Datenverarbeitungsvorrichtung versehen und an den Zugangspunkt weitergeleitet. Das Weitervermitteln der Authentifizierungsanfrage des Browsers in dem Proxy wird auch als „Proxying“ bezeichnet und entspricht einem Weiterleiten via einer Applikation, die auf dem Laptop bzw. der Datenverarbeitungsvorrichtung läuft.
  • Je nach Ausgestaltung des lokalen Kommunikationsnetzes kann die Proxy-Lösung oder die Tunnel-Lösung genutzt werden. Ist das lokale Kommunikationsnetz beispielsweise derart gestaltet, dass Systeme lokal über den Zugangspunkt Daten austauschen können, so kann das mobile Kommunikationsgerät mit der Datenverarbeitungsvorrichtung, z.B. einem Laptop, kommunizieren und es kann die Proxy-Lösung genutzt werden, die in dieser Offenbarung vorgestellt wird.
  • In modernen WLAN-Infrastrukturen kommt es jedoch häufig vor, dass der Zugangspunkt (Access-Point, AP) die Kommunikation zwischen den einzelnen WLAN-Teilnehmern durch Filterregeln unterdrückt. In diesem Fall kann ein Tunnel zwischen den WLAN-Teilnehmern aufgebaut werden, beispielsweise anhand von link-lokalen Netzwerkadressen und es kann die Tunnel-Lösung genutzt werden, die in dieser Offenbarung vorgestellt wird.
  • Damit kann die durch das mobile Kommunikationsgerät erzeugte Authentifizierungsanfrage mit der MAC-Adresse der Datenverarbeitungsvorrichtung versehen werden und an den Zugangspunkt weitergeleitet werden, um diese MAC-Adresse von dem Zugangspunkt authentifizieren zu lassen ohne dass eine eigene Authentifizierung durch die Datenverarbeitungseinrichtung erfolgen muss. Nach der Authentifizierung kann die Datenverarbeitungseinrichtung dann eine sichere Kommunikationsverbindung wie eine VPN-Verbindung aufbauen. Dabei kann das Smartphone die Authentifizierung durchführen und die für die Authentifizierung genutzte MAC-Adresse kann nach erfolgter Authentifizierung von der Datenverarbeitungsvorrichtung, wie beispielsweise einem NfD-Laptop, zur Kommunikation genutzt werden. So kann die Datenverarbeitungsvorrichtung eine VPN-Verbindung unter Benutzung ihrer eigenen MAC-Adresse aufbauen. Neben der MAC-Adresse können auch noch weitere Authentisierungsinformationen und Credentials an den Laptop (bzw. die Datenverarbeitungsvorrichtung) zurückgegeben werden, z.B. MAC, IP-Adresse, Netzmaske, Default-Gateway, und gegebenenfalls Cookies. Cookies können beispielsweise für einen Proxy gebraucht werden.
  • Die Datenverarbeitungsvorrichtung, die selbst keine Authentifizierung in einem beispielsweise ungesicherten Kommunikationsnetzwerk durchführen kann, kann auf diese Weise vor unerwünschten Angriffen effizient geschützt werden.
  • Die MAC-Adresse der Datenverarbeitungsvorrichtung kann über diesen Proxy-Mechanismus bzw. diese Tunnel-Funktionalität an die über das mobile Kommunikationsgerät erzeugte Authentifizierungsanfrage angehängt werden, um die Datenverarbeitungsvorrichtung für eine sichere Kommunikation gegenüber dem Zugangspunkt zu authentifizieren.
  • Der Zugangspunkt des Kommunikationsnetzwerks kann zugleich als Zugangspunkt eines lokalen Kommunikationsnetzes, z.B. WLANs, fungieren, in das die Datenverarbeitungsvorrichtung und das mobile Kommunikationsnetzwerk eingebunden sind. Über dieses lokale Kommunikationsnetz werden dem mobilen Kommunikationsgerät und der Datenverarbeitungsvorrichtung jeweils IP-Adressen zur Kommunikation über den Zugangspunkt zugewiesen. Die Authentifizierungsanfrage, deren Daten durch einen Browser des mobilen Kommunikationsgeräts durch den Nutzer eingegeben werden können, kann somit unter Vermittlung durch die Datenverarbeitungsvorrichtung an den Zugangspunkt gesendet werden. Die Datenverarbeitungsvorrichtung versieht die Authentifizierungsanfrage mit ihrer eigenen MAC-Adresse und vermittelt sie weiter an den Zugangspunkt, damit der Zugangspunkt die MAC-Adresse der Datenverarbeitungsvorrichtung authentifiziert. Somit kann die MAC-Adresse der Datenverarbeitungseinrichtung in dem Zugangspunkt als gültig freigeschaltet werden, wodurch fortan eine sichere Kommunikation über den Zugangspunkt, welcher ein VPN-Zugangspunkt sein kann, unter Verwendung der MAC-Adresse der Datenverarbeitungseinrichtung durchgeführt werden kann.
  • Der Zugangspunkt kann ferner eine zur MAC-Adresse der Datenverarbeitungsvorrichtung zugehörige IP-Adresse an die Datenverarbeitungsvorrichtung übermitteln, wobei die Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung mit dem Kommunikationsnetzwerk derart konfiguriert wird, dass diese fortan unter Verwendung der authentifizierten MAC-Adresse mit/ohne zugehöriger IP-Adresse über den Zugangspunkt des Kommunikationsnetzwerkes kommuniziert. Alternativ kann die zur authentifizierten MAC-Adresse zugehörige IP-Adresse von der Datenverarbeitungsvorrichtung beim Zugangspunkt abgefragt werden, beispielsweise über einen Layer-3-Address-Request, wie zum Beispiel eine DHCP oder DHCPv6 Anfrage oder IPv6 stateless autoconfig. Allgemein kann hierzu ein Konfigurationsdienst genutzt werden, wie z.B. DHCP (Dynamic Host Configuration Protocol), DHCPv6 oder die im IPv6-Standard definierte „stateless autoconfiguration“ (SLAC).
  • Die Datenverarbeitungsvorrichtung kann anschließend eine Kommunikationsverbindung zu einem beliebigen Server über den Zugangspunkt aufbauen, ohne selbst eine Authentifizierung gegenüber dem Zugangspunkt durchführen zu müssen.
  • Das Konzept erlaubt folglich den Aufbau einer Kommunikationsverbindung zwischen einer Datenverarbeitungseinrichtung und einem Server über einen Zugangspunkt eines öffentlichen Netzwerkes selbst bei sicherheitsrelevanten Anwendungsfällen, da die potentiellen Risiken bei der Authentifizierung von der Datenverarbeitungsvorrichtung auf das mobile Kommunikationsgerät verlagert werden. Das Konzept kann besonders vorteilhaft zum Aufbauen einer VPN-Kommunikationsverbindung zwischen einer Datenverarbeitungsvorrichtung und einem VPN-Server über ein öffentliches Netzwerk eingesetzt werden.
  • Gemäß einem ersten Aspekt betrifft die Offenbarung eine Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts zur Authentifizierung der Datenverarbeitungsvorrichtung, mit: einer Kommunikationsschnittstelle, welche ausgebildet ist, mit dem Zugangspunkt des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk, insbesondere einem lokalen IP-Netzwerk, zu kommunizieren, wobei der Kommunikationsschnittstelle eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; wobei die Kommunikationsschnittstelle ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät in dem lokalen Kommunikationsnetzwerk zu kommunizieren; und einer Vermittlungseinrichtung, welche ausgebildet ist, eine über die Kommunikationsschnittstelle empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät und dem Zugangspunkt zur Authentifizierung der MAC-Adresse am Zugangspunkt herzustellen, wobei die Kommunikationsschnittstelle ausgebildet ist, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt die sichere Kommunikationsverbindung zu dem Server über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
  • Die Konfigurationseinrichtung kann beispielsweise durch eine Prozessor-Einrichtung implementiert werden, welche beispielswese als ein Controller ausgeführt ist.
  • Bei der oben vorgestellten Proxying Lösung werden nicht zwingend zwei Kommunikationsschnittstellen benötigt, es ist eine Kommunikationsschnittstelle ausreichend, um über ein WLAN zu kommunizieren. Beispielsweise kann die Kommunikation gemäß folgendem Szenario aufgebaut werden: a) Laptop und Handy melden sich via DHCP beim AccessPoint (AP) an. Laptop bekommt IP L, Handy bekommt H. b) Der Nutzer stellt auf dem Handy die IP L als Proxy ein. c) Der Nutzer startet die Authentisierung gegenüber dem AP mit dem Browser des Handys. Da er den Proxy eingestellt hat, gehen die Pakete von H → L → AP. d) Damit wird die MAC von L authentisiert.
  • Das funktioniert dann, wenn der AP eine Kommunikation zwischen lokalen Netzteilnehmern zulässt. Meistens ist dies möglich. Bei neueren Installationen wird das unterbunden, damit sich die Hotelgäste nicht gegenseitig hacken können, d.h. in diesem Fall kann jeder Netzteilnehmer nur mit dem AP sprechen und somit funktioniert H → L nicht. Dann kann eine zweite Kommunikationsschnittstelle in L erforderlich sein, die nicht über den AP vermittelt wird. Gemäß einer solchen Ausführungsform umfasst die Datenverarbeitungsvorrichtung eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, mit dem mobilen Kommunikationsgerät unter Umgehung des Zugangspunktes in dem lokalen Kommunikationsnetzwerk zu kommunizieren.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle eine kabellose Datenkommunikationsschnittstelle, insbesondere eine WLAN-Datenkommunikationsschnittstelle oder eine NFC-Datenkommunikationsschnittstelle ist, oder ist die Kommunikationsschnittstelle eine drahtgebundene Kommunikationsschnittstelle, insbesondere eine Datenbusschnittstelle wie eine USB-Schnittstelle. Auf diese Weise wird eine besonders einfache Kommunikationsumgebung für den Aufbau einer sicheren Kommunikationsverbindung wie einer VPN-Kommunikationsverbindung in unsicheren Kommunikationsnetzwerken, wie beispielsweise öffentlich zugänglichen Kommunikationsnetzwerken, erreicht.
  • Gemäß einer Ausführungsform umfasst die Vermittlungseinrichtung einen Proxy-Dienst, der ausgebildet ist, die über die Kommunikationsschnittstelle empfangene Authentisierungsanfrage über die Kommunikationsschnittstelle unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle an den Zugangspunkt zu vermitteln; und eine über die Kommunikationsschnittstelle empfangene Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle unter Verwendung einer MAC-Adresse der Kommunikationsschnittstelle an das mobile Kommunikationsgerät zu vermitteln. Dadurch wird erreicht, dass die Authentifizierungsanfrage über den Proxy-Dienst entsprechend an die richtige Zieladresse des Zugangspunkt weitervermittelt werden kann, ohne dass dem mobilen Kommunikationsgerät die genaue Adresse des Zugangspunkts bekannt sein muss.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle ferner ausgebildet, ansprechend auf die Authentifizierung der MAC-Adresse durch den Zugangspunkt, eine IP-Adresse von dem Zugangspunkt zu empfangen, und die Kommunikationsschnittstelle ist ausgebildet, die sichere Kommunikationsverbindung zu dem Server über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der IP-Adresse aufzubauen. Damit kann die Datenverarbeitungsvorrichtung gleich eine IP-Adresse erhalten, um eine Kommunikation auf IP-Ebene freizuschalten. Dadurch wird erreicht, dass die MAC-Adresse mit einer zugehörigen IP-Adresse zum Aufbauen der Kommunikationsverbindung verwendet werden kann. Dies ermöglicht eine effiziente Authentifizierung der Datenverarbeitungsvorrichtung zur sicheren Kommunikation mit dem Kommunikationsnetzwerk.
  • Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung als ein Hardware-Token ausgeführt, welches mit dem mobilen Kommunikationsgerät verbindbar ist. Das Hardware-Token kann mittels der Kommunikationsschnittstelle mit beispielsweise einer Kommunikationsschnittstelle wie einer USB-Schnittstelle des mobilen Kommunikationsgerätes verbunden werden. Auf diese Weise wird eine besonders einfache Kommunikationsumgebung für den Aufbau einer sicheren Kommunikationsverbindung wie einer VPN-Kommunikationsverbindung in unsicheren Kommunikationsnetzwerken, wie beispielsweise öffentlich zugänglichen Kommunikationsnetzwerken, erreicht.
  • Gemäß einer Ausführungsform umfasst die Datenverarbeitungsvorrichtung eine Konfigurationseinrichtung, welche ausgebildet ist, die Kommunikationsschnittstelle basierend auf einer von dem Zugangspunkt empfangenen der Kommunikationsschnittstelle zugeordneten IP-Adresse zu konfigurieren und die Kommunikationsschnittstelle für einen Datenaustausch zwischen dem mobilen Kommunikationsgerät und der Datenverarbeitungsvorrichtung über den Zugangspunkt freizuschalten. Damit wird erreicht, dass die Datenverarbeitungsvorrichtung und das mobile Kommunikationsgerät einfach untereinander im lokalen Kommunikationsnetz kommunizieren können, wobei die Kommunikation hier jeweils über den Zugangspunkt erfolgt, der gleichzeitig Zugangspunkt für das lokale Kommunikationsnetz ist.
  • Gemäß einer Ausführungsform ist die Konfigurationseinrichtung ausgebildet, die Kommunikationsschnittstelle basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit dem mobilen Kommunikationsgerät freizuschalten. Damit wird der Vorteil erreicht, dass für den Fall, dass eine Kommunikation zwischen mobilem Kommunikationsgerät und Datenverarbeitungsvorrichtung im lokalen Kommunikationsnetz von dem Zugangspunkt unterbunden wird, beispielsweise durch entsprechende Filterregeln, immer noch eine Kommunikation zwischen den beiden Einheiten im lokalen Kommunikationsnetz über link-lokale Netzwerkadressen möglich ist.
  • Gemäß einer Ausführungsform ist die Vermittlungseinrichtung ausgebildet, die Authentisierungsanfrage des mobilen Kommunikationsgeräts über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle entgegenzunehmen, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung und dem mobilen Kommunikationsgerät durch den Zugangspunkt unterbunden ist. Die link-lokale Netzwerkadresse kann auch dann noch zur Kommunikation zwischen den beiden Geräten des lokalen Kommunikationsnetzes, d.h. der Datenverarbeitungsvorrichtung und dem mobilen Kommunikationsgerät, verwendet werden, wenn im Zugangspunkt eine direkte Kommunikation zwischen den beiden Einheiten über IP-Adressen des lokalen Kommunikationsnetzes unterbunden ist, beispielsweise anhand entsprechender Filterregeln.
  • Gemäß einem zweiten Aspekt betrifft die Offenbarung ein mobiles Kommunikationsgerät zum Authentifizieren einer Datenverarbeitungsvorrichtung an einem Zugangspunkt eines Kommunikationsnetzwerkes, mit: einer Kommunikationsschnittstelle, welche ausgebildet ist, mit dem Zugangspunkt unter Vermittlung der Datenverarbeitungsvorrichtung in einem lokalen Kommunikationsnetzwerk zu kommunizieren; und einer Authentifizierungseinrichtung, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt des Kommunikationsnetzwerks über die Kommunikationsschnittstelle unter Vermittlung der Datenverarbeitungsvorrichtung an den Zugangspunkt auszusenden, wobei unter Vermittlung der Datenverarbeitungsvorrichtung die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung versehen an den Zugangspunkt gesendet wird, um die MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung an dem Zugangspunkt zu authentifizieren.
  • Die Authentifizierungseinrichtung kann beispielsweise durch eine Prozessor-Einrichtung implementiert werden, welche beispielsweise als ein Controller ausgeführt ist.
  • Der Zugangspunkt kann mit einem Authentifizierungsdienst verbunden sein, welcher die Authentifizierung von Seiten des Zugangspunktes durchführt. Der Authentifizierungsdienst kann jedoch auch in dem Zugangspunkt integriert sein.
  • Gemäß einer Ausführungsform ist die Kommunikationsschnittstelle eine kabellose oder eine kabelgebundene Kommunikationsschnittstelle, insbesondere eine Bus-Kommunikationsschnittstelle wie eine USB-Kommunikationsschnittstelle. Dadurch wird erreicht, dass die Authentifizierungsanfrage effizient von dem mobilen Kommunikationsgerät an die Datenverarbeitungsvorrichtung übermittelt werden kann.
  • Gemäß einer Ausführungsform ist die Authentifizierungseinrichtung ausgebildet, die Authentifizierungsanfrage an einen Proxy-Dienst der Datenverarbeitungsvorrichtung zu richten, welcher die Authentifizierungsanfrage mit der MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung versehen an den Zugangspunkt sendet; und die Authentifizierungseinrichtung ist ausgebildet, eine über den Proxy-Dienst vermittelte Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle zu empfangen, wobei die Antwort mit einer MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung versehen ist.
  • Dadurch wird erreicht, dass die Authentifizierungsanfrage über den Proxy-Dienst mit der MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung versehen entsprechend an die richtige Zieladresse des Zugangspunkt weitervermittelt werden kann, ohne dass dem mobilen Kommunikationsgerät die MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung bekannt sein muss und ohne dass das mobile Kommunikationsgerät die genaue Adresse des Zugangspunkts kennen muss.
  • Gemäß einer Ausführungsform umfasst das mobile Kommunikationsgerät einen Browser, der ausgebildet ist, die Authentisierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt basierend auf einer Nutzereingabe zu initiieren und an den Proxy-Dienst der Datenverarbeitungsvorrichtung zu richten. Damit wird erreicht, dass die entsprechenden Daten zur Authentifizierung der Datenverarbeitungsvorrichtung beim Zugangspunkt auf einfache Art und Weise durch den Benutzer eingegeben werden und effizient über die Authentifizierungsanfrage unter Vermittlung durch den Proxy-Dienst zum Zugangspunkt übermittelt werden können, ohne dass eine Eingabe von Authentifizierungsdaten an der Datenverarbeitungsvorrichtung notwendig ist.
  • Gemäß einer Ausführungsform umfasst das mobile Kommunikationsgerät eine Konfigurationseinrichtung, welche ausgebildet ist, die Kommunikationsschnittstelle basierend auf einer von dem Zugangspunkt empfangenen, der Kommunikationsschnittstelle zugeordneten IP-Adresse, zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung über den Zugangspunkt freizuschalten. Damit wird erreicht, dass das mobile Kommunikationsgerät und die Datenverarbeitungsvorrichtung einfach untereinander im lokalen Kommunikationsnetz kommunizieren können, wobei die Kommunikation hier jeweils über den Zugangspunkt erfolgt, der gleichzeitig Zugangspunkt für das lokale Kommunikationsnetz ist.
  • Gemäß einer Ausführungsform ist die Konfigurationseinrichtung ausgebildet, die Kommunikationsschnittstelle basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung freizuschalten. Damit wird der Vorteil erreicht, dass für den Fall, dass eine Kommunikation zwischen mobilem Kommunikationsgerät und Datenverarbeitungsvorrichtung im lokalen Kommunikationsnetz von dem Zugangspunkt unterbunden wird, beispielsweise durch entsprechende Filterregeln, immer noch eine Kommunikation zwischen den beiden Einheiten im lokalen Kommunikationsnetz über link-lokale Netzwerkadressen möglich ist.
  • Gemäß einer Ausführungsform ist die Authentifizierungseinrichtung ausgebildet, die Authentisierungsanfrage über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle an die Datenvermittlungsvorrichtung auszusenden, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung und dem mobilen Kommunikationsgerät durch den Zugangspunkt unterbunden ist. Die link-lokale Netzwerkadresse kann auch dann noch zur Kommunikation zwischen den beiden Geräten des lokalen Kommunikationsnetzes, d.h. der Datenverarbeitungsvorrichtung und dem mobilen Kommunikationsgerät, verwendet werden, wenn im Zugangspunkt eine direkte Kommunikation zwischen den beiden Einheiten über IP-Adressen des lokalen Kommunikationsnetzes unterbunden ist, beispielsweise anhand entsprechender Filterregeln.
  • Gemäß einem dritten Aspekt betrifft die Offenbarung ein Kommunikationssystem. Das Kommunikationssystem umfasst eine Datenverarbeitungsvorrichtung, z.B. eine Datenverarbeitungsvorrichtung gemäß dem oben beschriebenen ersten Aspekt und ein mobiles Kommunikationsgerät z.B. ein mobiles Kommunikationsgerät gemäß dem oben beschriebenen zweiten Aspekt.
  • Gemäß einer Ausführungsform ist die Datenverarbeitungsvorrichtung als Computer, insbesondere als Laptop-Computer, ausgebildet. Dadurch wird erreicht, dass die Datenverarbeitungsvorrichtung effizient implementiert werden kann.
  • Gemäß einer Ausführungsform ist das mobile Kommunikationsgerät als Smartphone oder als Smartwatch ausgebildet oder es kann sich dabei sogar um einen zweiten Laptop handeln. Dadurch wird erreicht, dass das mobile Kommunikationsgerät effizient implementiert werden kann.
  • Gemäß einem vierten Aspekt betrifft die Offenbarung ein Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt, wobei die Datenverarbeitungsvorrichtung eine Kommunikationsschnittstelle umfasst, welche ausgebildet ist, mit dem Zugangspunkt des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk, insbesondere einem lokalen IP-Netzwerk, zu kommunizieren, wobei der Kommunikationsschnittstelle eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; und wobei die Kommunikationsschnittstelle ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät in dem lokalen Kommunikationsnetzwerk zu kommunizieren. Das Verfahren umfasst die folgenden Schritte:
    • Entgegennehmen einer über die Kommunikationsschnittstelle empfangenen Authentisierungsanfrage des mobilen Kommunikationsgeräts;
    • Herstellen einer Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät und dem Zugangspunkt, unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle, zur Authentifizierung der MAC-Adresse am Zugangspunkt; und
    • ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt: Aufbauen der sicheren Kommunikationsverbindung zu dem Server über die Kommunikationsschnittstelle und über den Zugangspunkt des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse.
  • Das Verfahren kann durch die Datenverarbeitungsvorrichtung, z.B. die Datenverarbeitungsvorrichtung gemäß dem oben beschriebenen ersten Aspekt, ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen und/oder der Funktionalität der Datenverarbeitungsvorrichtung.
  • Gemäß einem fünften Aspekt betrifft die Offenbarung ein Verfahren zum Betreiben eines mobilen Kommunikationsgerätes zum Authentifizieren einer Datenverarbeitungsvorrichtung an einem Zugangspunkt eines Kommunikationsnetzwerkes, wobei das mobile Kommunikationsgerät eine Kommunikationsschnittstelle umfasst, welche ausgebildet ist, mit dem Zugangspunkt unter Vermittlung der Datenverarbeitungsvorrichtung in einem lokalen Kommunikationsnetzwerk zu kommunizieren. Das Verfahren umfasst den folgenden Schritt:
    • Aussenden einer Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung an dem Zugangspunkt des Kommunikationsnetzwerks über die Kommunikationsschnittstelle unter Vermittlung der Datenverarbeitungsvorrichtung an den Zugangspunkt, wobei unter Vermittlung der Datenverarbeitungsvorrichtung die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung versehen an den Zugangspunkt gesendet wird, um die MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung an dem Zugangspunkt zu authentifizieren.
  • Das Verfahren kann durch das mobile Kommunikationsgerät, z.B. das mobile Kommunikationsgerät gemäß dem oben beschriebenen zweiten Aspekt, ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen und/oder der Funktionalität des mobilen Kommunikationsgerätes.
  • Gemäß einem sechsten Aspekt betrifft die Beschreibung ein Computerprogramm mit einem Programmcode zum Durchführen des Verfahrens zum Betreiben der Datenverarbeitungsvorrichtung oder des Verfahrens zum Betreiben des mobilen Kommunikationsgerätes. Die Datenverarbeitungsvorrichtung und/oder das mobile Kommunikationsgerät können jeweils programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
  • Die Beschreibung kann in Hardware und in Software implementiert werden.
  • Weitere Ausführungsformen werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
    • 1 ein schematisches Diagramm einer Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung zu einem Server über einen Zugangspunkt eines Kommunikationsnetzwerkes;
    • 2 ein schematisches Diagramm eines mobilen Kommunikationsgerätes zum Kommunizieren mit einem Zugangspunkt eines Kommunikationsnetzwerkes;
    • 3 ein schematisches Diagramm eines Kommunikationssystems;
    • 3a ein schematisches Diagramm eines Kommunikationssystems;
    • 4 ein schematisches Diagramm eines Verfahrens zum Betreiben einer Datenverarbeitungsvorrichtung; und
    • 5 ein schematisches Diagramm eines Verfahrens zum Betreiben eines mobilen Kommunikationsgerätes.
  • In der folgenden ausführlichen Beschreibung wird auf die beiliegenden Zeichnungen Bezug genommen, die einen Teil hiervon bilden und in denen als Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeführt werden kann. Es versteht sich, dass auch andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist deshalb nicht in einem beschränkenden Sinne zu verstehen. Ferner versteht es sich, dass die Merkmale der verschiedenen hierin beschriebenen Ausführungsbeispiele miteinander kombiniert werden können, sofern nicht spezifisch etwas anderes angegeben ist.
  • Die Aspekte und Ausführungsformen werden unter Bezugnahme auf die Zeichnungen beschrieben, wobei gleiche Bezugszeichen sich im Allgemeinen auf gleiche Elemente beziehen. In der folgenden Beschreibung werden zu Erläuterungszwecken zahlreiche spezifische Details dargelegt, um ein eingehendes Verständnis von einem oder mehreren Aspekten der Erfindung zu vermitteln. Für einen Fachmann kann es jedoch offensichtlich sein, dass ein oder mehrere Aspekte oder Ausführungsformen mit einem geringeren Grad der spezifischen Details ausgeführt werden können. In anderen Fällen werden bekannte Strukturen und Elemente in schematischer Form dargestellt, um das Beschreiben von einem oder mehreren Aspekten oder Ausführungsformen zu erleichtern. Es versteht sich, dass andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen.
  • In dieser Offenbarung werden virtuelle private Netzwerke (VPN) beschrieben. VPN bezeichnet ein virtuelles privates, d.h. in sich geschlossenes, Kommunikationsnetz. Virtuell in dem Sinne, dass es sich nicht um eine eigene physische Verbindung handelt, sondern um ein bestehendes Kommunikationsnetz, das als Transportmedium verwendet wird. Das VPN dient dazu, Teilnehmer des bestehenden Kommunikationsnetzes an ein anderes Netz zu binden. So kann beispielsweise der Computer eines Mitarbeiters von seinem Home-Office direkten Zugriff auf das Firmennetz erlangen. Aus Sicht der VPN-Verbindung werden dafür die dazwischen liegenden Netze (das Heimnetz des Mitarbeiters sowie das Internet) auf die Funktion eines Verlängerungskabels reduziert, das den Computer ausschließlich mit dem zugeordneten Netz verbindet. Dieser Vorgang funktioniert unabhängig von der physischen Topologie und den verwendeten Netzwerkprotokollen selbst dann, wenn das zugeordnete Netz von einer vollkommen anderen Art ist. Das VPN kann je nach verwendetem VPN-Protokoll durch eine Verschlüsselung ergänzt werden, die eine abhör- und manipulationssichere Kommunikation zwischen den VPN-Partnern ermöglicht.
  • In dieser Offenbarung werden ferner Proxy bzw. Proxy-Server und Proxy-Dienste beschrieben. Ein Proxy (auch Stellvertreter oder Nächster bezeichnet) ist eine Kommunikationsschnittstelle in einem Netzwerk. Er arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen. Wird ein Proxy-Server oder Proxy-Dienst als Netzwerkkomponente eingesetzt, bleibt einerseits die tatsächliche Adresse eines Kommunikationspartners dem jeweils anderen Kommunikationspartner verborgen. Als Verbindungsglied zwischen unterschiedlichen Netzwerken kann er andererseits eine Verbindung zwischen Kommunikationspartnern selbst dann realisieren, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich ist. Im Unterschied zu einer einfachen Adressumsetzung (NAT) kann ein Proxy-Server oder Proxy-Dienst die Kommunikation selbst führen und beeinflussen, statt die Pakete ungesehen durchzureichen.
  • Ferner werden in dieser Offenbarung Link-Lokale bzw. „link-local“ Adressen verwendet, die für IPv4 und IPv6 definiert sind, siehe z.B. RFC 4291. Link-Lokale-Adressen nutzt man zur Adressierung von Geräten in abgeschlossenen Netzwerksegmenten. Diese Art von Adressen wird im Internet nicht geroutet. Ein Router leitet an eine link-lokale Adresse gerichtetes Paket nicht in andere Netze weiter. Der große Vorteil liegt darin, dass beinahe jedes IPv6-Gerät diese Adresse automatisch generiert, was bedeutet, dass eine Kommunikation im gleichen Netzwerksegment ohne DHCP oder statische IP-Adressierung sofort möglich ist. Diese Art von Adressen beginnen in der Regel mit „fe80:“.
  • In dieser Offenbarung wird eine Authentisierung bzw. Authentifizierung einer Datenverarbeitungsvorrichtung an einem Zugangspunkt beschrieben. Dabei sind die Begriffe Authentisierung und Authentifizierung gleichbedeutend.
  • 1 zeigt ein schematisches Diagramm einer Datenverarbeitungsvorrichtung 100 zum Aufbauen einer sicheren Kommunikationsverbindung zu einem Server 303 (in 3 dargestellt) über einen Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (in 3a dargestellt) unter Verwendung eines mobilen Kommunikationsgeräts 200 (in 2 dargestellt), beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100.
  • Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, mit dem Zugangspunkt 301 des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk 312, beispielsweise einem lokalen IP-Netzwerk, zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine Medium-Access-Control (MAC)-Adresse zugeordnet.
  • Die Kommunikationsschnittstelle 105 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in dem lokalen Kommunikationsnetzwerk zu kommunizieren.
  • Alternativ kann dafür auch eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 genutzt werden.
  • Die Datenverarbeitungsvorrichtung 100 umfasst ferner eine Vermittlungseinrichtung 103, welche ausgebildet ist, eine über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät 200 und dem Zugangspunkt 301 zur Authentifizierung der MAC-Adresse am Zugangspunkt 301 herzustellen.
  • Die Kommunikationsschnittstelle 101 ist ausgebildet, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301 die sichere Kommunikationsverbindung 320 zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
  • Die Datenverarbeitungsvorrichtung 100 kann beispielsweise ein Laptop oder ein Notebook oder ein Tablet sein.
  • 2 zeigt ein schematisches Diagramm eines mobilen Kommunikationsgerätes 200 zum Authentifizieren einer Datenverarbeitungsvorrichtung, z.B. der Datenverarbeitungsvorrichtung 100 aus 1, an einem Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (siehe 3a).
  • Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit dem Zugangspunkt 301 unter Vermittlung der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk 312 zu kommunizieren.
  • Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205, welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 unter Vermittlung der Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 auszusenden.
  • Dabei wird unter Vermittlung der Datenverarbeitungsvorrichtung 100 die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versehen an den Zugangspunkt 301 gesendet, um die MAC-Adresse der Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren, wie oben zu 1 näher beschrieben.
  • 3 zeigt ein schematisches Diagramm eines Kommunikationssystems 300. Das Kommunikationssystem 300 umfasst eine Datenverarbeitungsvorrichtung 100 und ein mobiles Kommunikationsgerät 200, z.B. entsprechend der Beschreibung zu den 1 und 2.
  • Die Datenverarbeitungsvorrichtung 100 ist ausgebildet, eine sichere Kommunikationsverbindung zu einem Server 303 (in 3 dargestellt) über einen Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes 310 (in 3a dargestellt) unter Verwendung des mobilen Kommunikationsgeräts 200, beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100 aufzubauen.
  • Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, mit dem Zugangspunkt 301 des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk 312, beispielsweise einem lokalen IP-Netzwerk, zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine MAC-Adresse zugeordnet.
  • Die Kommunikationsschnittstelle 105 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in dem lokalen Kommunikationsnetzwerk zu kommunizieren. Alternativ kann dafür auch eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 genutzt werden.
  • Die Datenverarbeitungsvorrichtung 100 umfasst eine Vermittlungseinrichtung 103, welche ausgebildet ist, eine über die Kommunikationsschnittstelle 105 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät 200 und dem Zugangspunkt 301 zur Authentifizierung der MAC-Adresse am Zugangspunkt 301 herzustellen.
  • Die Kommunikationsschnittstelle 101 ist ausgebildet, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301 die sichere Kommunikationsverbindung 320 zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
  • Das mobile Kommunikationsgerät 200 ist ausgebildet, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu authentifizieren.
  • Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit dem Zugangspunkt 301 unter Vermittlung der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk 312 zu kommunizieren.
  • Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205 (siehe 2), welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 unter Vermittlung der Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 auszusenden.
  • Dabei wird unter Vermittlung der Datenverarbeitungsvorrichtung 100 die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versehen an den Zugangspunkt 301 gesendet, um die MAC-Adresse der Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren, wie oben zu den 1 und 2 näher beschrieben.
  • Die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 kann eine kabellose Datenkommunikationsschnittstelle sein, beispielsweise eine WLAN-Datenkommunikationsschnittstelle oder eine NFC-Datenkommunikationsschnittstelle. Alternativ kann die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 eine drahtgebundene Kommunikationsschnittstelle sein, beispielsweise eine Datenbusschnittstelle wie eine USB-Schnittstelle.
  • Die Vermittlungseinrichtung 103 kann einen Proxy-Dienst umfassen. Dieser Proxy-Dienst kann ausgebildet sein, die über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage über die Kommunikationsschnittstelle 101 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle an den Zugangspunkt 301 zu vermitteln.
  • Der Proxy-Dienst kann ferner ausgebildet sein, eine über die Kommunikationsschnittstelle 101 empfangene Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle 101 unter Verwendung einer MAC-Adresse der Kommunikationsschnittstelle an das mobile Kommunikationsgerät 200 zu vermitteln.
  • Die Kommunikationsschnittstelle 101 kann ausgebildet sein, ansprechend auf die Authentifizierung der MAC-Adresse durch den Zugangspunkt 301, eine IP-Adresse von dem Zugangspunkt 301 zu empfangen. Die Kommunikationsschnittstelle 101 kann ferner ausgebildet sein, die sichere Kommunikationsverbindung 320 zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der IP-Adresse aufzubauen.
  • Die Datenverarbeitungsvorrichtung 100 kann als ein Hardware-Token ausgeführt sein, welches mit dem mobilen Kommunikationsgerät 200 verbindbar ist. Ein solcher Hardware-Token kann beispielsweise ein kleiner Rechner (etwa in der Größe eines USB-Sticks, d.h., geeignet, um ihn in die Tasche zu stecken) mit einem Prozessorkern sein, z.B. einem ARM-Prozessorkern, und mit einer USB-Schnittstelle, über welche der Rechner sich an den Laptop 100 anschließen lässt. Dieser kleine Rechner wirkt wie eine mobile Firewall, welche den Laptop 100 vor unerwünschten Kontakten schützt. Beim Einstecken in den USB-Port des Laptop 100 meldet sich der Hardware-Token als Netzwerk-Karte mit eigener IP-Adresse, welche er z.B. über einen Konfigurationsdienst vom Netzwerk erhält.
  • Die Datenverarbeitungsvorrichtung 100 kann als ein Laptop oder Notebook ausgeführt sein, der über eine Schnittstelle, wie z.B. USB, mit einem Hardware-Token verbindbar ist, welches über die Kommunikationsschnittstelle verfügt. Das Hardware-Token kann ein Kartenlesegerät sein, mit dem sich auf einer Karte gespeicherte Sicherheitsinformationen einlesen lassen. Das Hardware-Token kann ferner über einen Prozessor zur Verarbeitung der Daten und eine Anzeige verfügen.
  • Die Datenverarbeitungsvorrichtung 100 kann eine Konfigurationseinrichtung 107 umfassen. Diese Konfigurationseinrichtung 107 kann ausgebildet sein, die Kommunikationsschnittstelle 101 basierend auf einer von dem Zugangspunkt 301 empfangenen der Kommunikationsschnittstelle 101 zugeordneten IP-Adresse zu konfigurieren. Die Konfigurationseinrichtung 107 kann sodann die Kommunikationsschnittstelle 101 für einen Datenaustausch zwischen dem mobilen Kommunikationsgerät 200 und der Datenverarbeitungsvorrichtung 100 über den Zugangspunkt 301 freischalten. Alternativ kann dies auch für eine zweite Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 durchgeführt werden.
  • Die Konfigurationseinrichtung 107 kann ausgebildet sein, die Kommunikationsschnittstelle 101 basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit dem mobilen Kommunikationsgerät 200 freizuschalten.
  • Link-Lokale-Adressen nutzt man zur Adressierung von Geräten nur in einem lokalen, abgegrenzten Bereich. Router und Firewalls sollen laut RFC 4193 Pakete mit derartigen Adressen nicht ins globale Internet durchreichen.
  • Die Vermittlungseinrichtung 103 kann ausgebildet sein, die Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle 101 entgegenzunehmen, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung 100 und dem mobilen Kommunikationsgerät 200 durch den Zugangspunkt 301 unterbunden ist. Über die link-lokale Netzwerkadresse kann ein Tunnel zu dem mobilen Kommunikationsgerät 200 aufgebaut werden, so dass trotz Unterdrückung einer Kommunikation zwischen den beiden Einheiten des lokalen Kommunikationsnetzwerks über den Zugangspunkt 301 ein Datenaustausch über diesen Tunnel stattfinden kann.
  • Die Kommunikationsschnittstelle 201 des mobilen Kommunikationsgeräts 200 kann eine kabellose oder eine kabelgebundene Kommunikationsschnittstelle, beispielsweise eine Bus-Kommunikationsschnittstelle wie eine USB-Kommunikationsschnittstelle sein.
  • Die Authentifizierungseinrichtung 205 des mobilen Kommunikationsgeräts 200 kann ausgebildet sein, die Authentifizierungsanfrage an einen Proxy-Dienst der Datenverarbeitungsvorrichtung 100 zu richten, welcher die Authentifizierungsanfrage mit der MAC-Adresse der Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versieht und an den Zugangspunkt 301 sendet. Die Authentifizierungseinrichtung 205 kann ausgebildet sein, eine über den Proxy-Dienst vermittelte Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle 201 zu empfangen. Diese Antwort kann mit einer MAC-Adresse der Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versehen sein.
  • Das mobile Kommunikationsgerät 200 kann einen Browser umfassen, der ausgebildet sein kann, die Authentisierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 basierend auf einer Nutzereingabe zu initiieren und an den Proxy-Dienst der Datenverarbeitungsvorrichtung 100 zu richten.
  • Das mobile Kommunikationsgerät 200 kann eine Konfigurationseinrichtung 203 umfassen, wie in 2 beschrieben, welche ausgebildet sein kann, die Kommunikationsschnittstelle 201 basierend auf einer von dem Zugangspunkt empfangenen, der Kommunikationsschnittstelle 201 zugeordneten IP-Adresse, zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung 100 über den Zugangspunkt 301 freizuschalten.
  • Die Konfigurationseinrichtung 203 kann ausgebildet sein, die Kommunikationsschnittstelle 201 basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung 100 freizuschalten.
  • Die Authentifizierungseinrichtung 205 kann ausgebildet sein, die Authentisierungsanfrage über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle 201 an die Datenvermittlungsvorrichtung 100 auszusenden, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung 100 und dem mobilen Kommunikationsgerät 200 durch den Zugangspunkt 301 unterbunden ist.
  • Zusammenfassend steht einem Nutzer beispielsweise die Datenverarbeitungsvorrichtung 100 zur Verfügung. Diese kann derart konfiguriert sein, dass bei Detektion eines vorhandenen Netzanschlusses unmittelbar eine VPN-Kommunikationsverbindung aufgebaut werden soll. Zugleich kann eine Übertragung von Daten außerhalb des VPN unerwünscht bzw. unterbunden sein. Eine Ausnahme hiervon kann beispielsweise die Kommunikation mittels Link-Layer-Protokollen, z.B. ARP („Address Resolution Protocol“), und/oder DHCP („Dynamic Host Configuration Protocol“) sein, da diese initial einen rudimentären Netzanschluss bereitstellen. Die Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 kann in der Datenverarbeitungsvorrichtung 100 integriert sein, beispielsweise in Form einer eigenen Network Interface Card (NIC) oder eines eigenen WLAN-Moduls. Alternativ kann die Kommunikationsschnittstelle 101 mittels einer vorgelagerten Firewall implementiert werden.
  • Zur Authentifizierung gegenüber dem Zugangspunkt 301 verwendet ein Nutzer das mobile Kommunikationsgerät 200. Er kann z.B. einen Browser seines Smartphones starten, um die notwendigen Authentifizierungsinformationen, wie z.B. Nutzername und Passwort einzugeben. Das mobile Kommunikationsgerät kann anhand dieser Login-Daten die entsprechende Authentifizierungsanfrage erstellen und diese an die Datenverarbeitungsvorrichtung 100 übermitteln. Die Authentifizierungsanfrage kann in der Datenverarbeitungsvorrichtung 100, welche als Proxy dient, vermittelt werden und mit der MAC-Adresse der Datenverarbeitungsvorrichtung 100 bzw. deren Kommunikationsschnittstelle 101 über den Zugangspunkt 301 an den entsprechenden Authentifizierungsserver oder -dienst im Kommunikationsnetzwerk weitergeleitet werden.
  • Die Kommunikation mit dem Zugangspunkt 301 kann über das lokale Kommunikationsnetz 312, beispielsweise ein WLAN erfolgen. Nach erfolgter Authentifizierung ist die MAC-Adresse der Datenverarbeitungsvorrichtung 100 authentifiziert und die Datenverarbeitungsvorrichtung 100 ist authentifiziert, mit ihrer MAC-Adresse über das Kommunikationsnetz zu kommunizieren.
  • Die zur MAC-Adresse zugehörige IP-Adresse kann von dem Zugangspunkt 103 an die Datenverarbeitungsvorrichtung 100 übermittelt werden. Dies kann beispielsweise mittels WLAN (Wireless Local Area Network), Bluetooth, NFC (Near Field Communication), USB (Universal Serial Bus), oder manuell erfolgen. Ferner können weitere Informationen, wie beispielsweise betreffend Default-Gateway, DNS-Server, etc. übermittelt werden.
  • Die Datenverarbeitungsvorrichtung 100 nutzt die im Zugangspunkt 301 freigeschaltete MAC-Adresse mit/ohne IP-Adresse auf ihrer Kommunikationsschnittstelle 101. Falls zu der MAC-Adresse keine IP-Adresse mit übertragen worden sein sollte, kann die Datenverarbeitungsvorrichtung 100 diese beispielsweise mittels eines DHCP-Dienstes oder anderweitig erfragen. Wie oben beschrieben, kann allgemein hierzu ein Konfigurationsdienst genutzt werden, wie z.B. DHCP (Dynamic Host Configuration Protocol), DHCPv6 oder die im IPv6-Standard definierte „stateless autoconfiguration“ (SLAC). Anschließend kann mit dem Aufbau der VPN-Kommunikationsverbindung begonnen werden, da die Kombination aus MAC-Adresse und zugehöriger IP-Adresse in dem Zugangspunkt 301 freigeschaltet ist. Zur einfacheren Handhabung kann der Ansatz durch ein Computerprogramm bzw. eine App auf der Datenverarbeitungsvorrichtung 100 und/oder dem mobilen Kommunikationsgerät 200 unterstützt werden. Insbesondere kann eine automatische Durchführung des Ansatzes realisiert werden.
  • 3a zeigt ein schematisches Diagramm eines Kommunikationssystems 300. Das Kommunikationssystem 300 umfasst eine Datenverarbeitungsvorrichtung 100, z.B. entsprechend der Darstellung in 1 und 3, und ein mobiles Kommunikationsgerät 200, z.B. entsprechend der Darstellung in 1 und 3. Die Datenverarbeitungsvorrichtung 100 kann beispielsweise als Computer, insbesondere als Laptop-Computer, ausgebildet sein. Das mobile Kommunikationsgerät 200 kann beispielsweise als Smartphone oder als Smartwatch ausgebildet sein.
  • Die Datenverarbeitungsvorrichtung 100 ist ausgebildet, eine sichere Kommunikationsverbindung zu einem Server 303 über einen Zugangspunkt 301 eines Kommunikationsnetzwerkes 310 unter Verwendung des mobilen Kommunikationsgeräts 200, beispielsweise ein Smartphone oder einen mobilen Computer, zur Authentifizierung der Datenverarbeitungsvorrichtung 100 aufzubauen.
  • Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, mit dem Zugangspunkt 301 des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk 312, beispielsweise einem lokalen IP-Netzwerk, zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine MAC-Adresse zugeordnet.
  • Die Kommunikationsschnittstelle 101 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in dem lokalen Kommunikationsnetzwerk zu kommunizieren.
  • Die Datenverarbeitungsvorrichtung 100 umfasst eine Vermittlungseinrichtung 103, welche ausgebildet ist, eine über die Kommunikationsschnittstelle 101 empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts 200 entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101 eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät 200 und dem Zugangspunkt 301 herzustellen, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren.
  • Die Kommunikationsschnittstelle 101 ist ausgebildet, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301 die sichere Kommunikationsverbindung 320 zu dem Server 303 über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
  • Das mobile Kommunikationsgerät 200 ist ausgebildet, die Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerkes 310 zu authentifizieren.
  • Das mobile Kommunikationsgerät 200 umfasst eine Kommunikationsschnittstelle 201, welche ausgebildet ist, mit dem Zugangspunkt 301 unter Vermittlung der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk 312 zu kommunizieren.
  • Das mobile Kommunikationsgerät 200 umfasst ferner eine Authentifizierungseinrichtung 205 (siehe 2), welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 unter Vermittlung der Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301 auszusenden.
  • Dabei wird unter Vermittlung der Datenverarbeitungsvorrichtung 100 die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versehen an den Zugangspunkt 301 gesendet, um die MAC-Adresse der Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren, wie oben zu den 1 und 2 näher beschrieben.
  • Der Ablauf des Aufbaus einer sicheren Kommunikationsverbindung zu dem Server 303 kann beispielsweise wie folgt aussehen:
    • Sowohl das zu authentisierende Gerät, d.h. die Datenverarbeitungsvorrichtung 100, z.B. ein Laptop, Notebook oder Tablet oder ein Hardware-Token, als auch das
    • Mobiltelefon 200 betreten das lokale Kommunikationsnetz 312, z.B. WIFI-Netz 312 des Zugangspunkts („Access Point“, AP) 301. Ist das WIFI-Netz 312 derart gestaltet, dass Systeme lokal über den AP 301 Daten austauschen können, so kann das Mobiltelefon 200 mit dem Laptop 100 kommunizieren.
  • Tatsächlich ist das Verhalten in modernen WLAN-Infrastrukturen meist nicht mehr nutzbar, der Access-Point 301 unterdrückt üblicherweise Kommunikation zwischen den einzelnen WLAN-Teilnehmern (d.h. Mobiltelefon 200 und Laptop 100) durch Filterregeln. Sollte eine Kommunikation trotzdem möglich sein so kann der Browser des Mobiltelefons 100 zur Authentisierung der MAC-Adresse des Laptops 100 in folgenden zwei Varianten genutzt werden:
    • Variante 1: Browser im Mobiltelefon 200 nutzt zu authentisierendes Gerät 100 als Proxy:
      • In dieser Variante können Laptop 100 und Mobiltelefon 200 uneingeschränkt über das durch den Zugangspunkt (AP) 301 definierte IP-Netzwerk (d.h. das lokale Kommunikationsnetz 312) miteinander kommunizieren: Auf dem Laptop 100 wird ein Proxy-Dienst angeboten, der vom Browser im Mobiltelefon 200 angesprochen wird. Der Browser führt die Authentisierung durch und die MAC-Adresse des Laptops 100 wird freigeschaltet.
    • Variante 2: Browser im Mobiltelefon 200 nutzt zu authentisierendes Gerät 100 als Tunnel:
      • Falls die Kommunikation über die vom Zugangspunkt (AP) 301 vergebenen Netzadressen zwischen Mobiltelefon 200 und Laptop 100 im Zugangspunkt, AP, 301 unterbunden wird, kann ein Kanal über Link-Lokale-Adressen genutzt werden, die in vielen Zugangspunkten (APs) freigeschaltet sein können. Laptop 100 und Mobiltelefon 200 nutzen z.B. link-lokale Adressen (RFC-3927 für IPv4 und RFC-4291 für IPv6), um eine Kommunikation aufzubauen.
  • Der Browser auf dem Mobiltelefon 200 spricht wie in der obigen Variante 1 mit dem Laptop 100 und der Zugangspunkt, AP 301 authentifiziert die MAC-Adresse des Laptops 100.
  • Die oben beschriebenen Authentisierungsverfahren eignen sich sowohl für einen üblichen Laptop (bzw. Notebook oder Tablet) mit einer installierten VPN (Virtuelle Private Netzwerk-Software, als auch für ein extern dem Rechner vorgeschaltete Firewall (z.B. Hardware-Token).
  • Der Zugangspunkt 301 kann mit einem Authentifizierungsdienst 301a verbunden sein, welcher die Authentifizierung von Seiten des Zugangspunktes durchführt. Der Authentifizierungsdienst 301a kann jedoch auch in dem Zugangspunkt 301 integriert sein.
  • Der Zugangspunkt 301 kann zusätzlich mit einem DHCP-Dienst 301b verbunden sein, welcher der Adressverwaltung von Seiten des Zugangspunktes dient. Der DHCP-Dienst 301b kann für eine MAC-Adresse eine zugehörige IP-Adresse bestimmen. Der DHCP-Dienst 301b kann jedoch auch in dem Zugangspunkt 301 integriert sein.
  • Der Server 303 kann ein VPN-Server sein. Die Kommunikationsverbindung kann eine VPN-Kommunikationsverbindung sein. Folglich kann eine VPN-Kommunikationsverbindung als gesicherte Kommunikationsverbindung von der Datenverarbeitungsvorrichtung 100 über den Zugangspunkt 301 zu dem Server 303 aufgebaut werden.
  • Zusammenfassend tauscht das mobile Kommunikationsgerät 200, welches über einen Netzzugang zu dem Zugangspunkt 301 in dem lokalen Kommunikationsnetz 312 verfügt, folglich Authentifizierungsinformationen aus. Der Netzzugang wird über die Datenverarbeitungsvorrichtung 100 vermittelt, welche als Proxy bzw. Tunnel dient. Das mobile Kommunikationsgerät 200 wird folglich zur initialen Authentifizierung gegenüber dem Zugangspunkt 301 genutzt. Nach der Authentifizierung der MAC-Adresse mit/ohne zugehöriger IP-Adresse konfiguriert die Datenverarbeitungsvorrichtung 100 ihre Kommunikationsschnittstelle 101 derart, dass eine Kommunikation über den Zugangspunkt 301 fortan mittels der authentifizierten MAC-Adresse mit/ohne zugehöriger IP-Adresse durchgeführt wird. Die Datenverarbeitungsvorrichtung 100 kann folglich unmittelbar die VPN-Kommunikationsverbindung zu dem Server 303 als VPN-Server aufbauen. Insbesondere kann die Authentifizierung gegenüber dem Zugangspunkt 301 damit auf das mobile Kommunikationsgerät 200 ausgelagert werden.
  • 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Betreiben einer Datenverarbeitungsvorrichtung 100 zum Aufbauen einer sicheren Kommunikationsverbindung 320 zu einem Server 303 über einen Zugangspunkt 301 eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts 200 zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301. Die Datenverarbeitungsvorrichtung 100 umfasst eine Kommunikationsschnittstelle 101, welche ausgebildet ist, mit dem Zugangspunkt 301 des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk 312, beispielsweise einem lokalen IP-Netzwerk wie oben zu den 3 und 3a beschrieben, zu kommunizieren. Der Kommunikationsschnittstelle 101 ist eine MAC-Adresse zugeordnet. Die Kommunikationsschnittstelle 101 ist ferner ausgebildet, mit dem mobilen Kommunikationsgerät 200 in dem lokalen Kommunikationsnetzwerk 312 zu kommunizieren, wie oben zu den 3 und 3a beschrieben.
  • Das Verfahren umfasst die folgenden Schritte:
    • Entgegennehmen 401 einer über die Kommunikationsschnittstelle 101 empfangenen Authentisierungsanfrage des mobilen Kommunikationsgeräts 200;
    • Herstellen 402 einer Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät 200 und dem Zugangspunkt 301 unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle 101, um die MAC-Adresse am Zugangspunkt 301 zu authentifizieren; und
    • ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt 301: Aufbauen 403 der sicheren Kommunikationsverbindung 320 zu dem Server 303 über die Kommunikationsschnittstelle 101 und über den Zugangspunkt 301 des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse, wie oben zu den 1 bis 3a beschrieben.
  • Das Verfahren 400 kann mittels eines Computerprogramms mit einem Programmcode implementiert werden. Die Datenverarbeitungsvorrichtung kann programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
  • 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Betreiben eines mobilen Kommunikationsgerätes zum Authentifizieren einer Datenverarbeitungsvorrichtung 100 (siehe 1) an einem Zugangspunkt 301 (siehe 3) eines Kommunikationsnetzwerkes, wobei das mobile Kommunikationsgerät 200 (siehe 2) eine Kommunikationsschnittstelle 201 umfasst, welche ausgebildet ist, mit dem Zugangspunkt 301 unter Vermittlung der Datenverarbeitungsvorrichtung 100 in einem lokalen Kommunikationsnetzwerk 312 zu kommunizieren.
  • Das Verfahren 500 umfasst ein Aussenden 501 einer Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 des Kommunikationsnetzwerks über die Kommunikationsschnittstelle 201 unter Vermittlung der Datenverarbeitungsvorrichtung 100 an den Zugangspunkt 301, wobei unter Vermittlung der Datenverarbeitungsvorrichtung 100 die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle 101 der Datenverarbeitungsvorrichtung 100 versehen an den Zugangspunkt 301 gesendet wird, um die MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung 100 an dem Zugangspunkt 301 zu authentifizieren.
  • Das Verfahren 500 kann mittels eines Computerprogramms mit einem Programmcode implementiert werden. Das mobile Kommunikationsgerät kann programmtechnisch eingerichtet sein, um den Programmcode auszuführen.
  • Alle in Verbindung mit einzelnen Ausführungsformen gezeigten oder beschriebenen Merkmale können in beliebiger Kombination in dem beschreibungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
  • Bezugszeichenliste
    • 100
    Datenverarbeitungsvorrichtung
    101
    Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung
    103
    Vermittlungseinrichtung
    107
    Konfigurationseinrichtung
    200
    Mobiles Kommunikationsgerät
    201
    Kommunikationsschnittstelle des mobilen Kommunikationsgeräts
    203
    Konfigurationseinrichtung
    205
    Authentifizierungseinrichtung
    300
    Kommunikationssystem
    301
    Zugangspunkt
    301a
    Authentifizierungsdienst
    301b
    DHCP-Dienst
    303
    VPN-Server
    310
    Kommunikationsnetzwerk
    312
    lokales Kommunikationsnetzwerk, z.B. WLAN
    320
    sichere Kommunikationsverbindung
    400
    Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung
    401
    Entgegennehmen einer Authentifizierungsanfrage
    402
    Herstellen einer Kommunikationsverbindung zwischen mobilen Kommunikationsgerät und Zugangspunkt
    403
    Aufbauen der sicheren Kommunikationsverbindung
    500
    Verfahren zum Betreiben eines mobilen Kommunikationsgerätes
    501
    Aussenden einer Authentifizierungsanfrage

Claims (15)

  1. Datenverarbeitungsvorrichtung (100) zum Aufbauen einer sicheren Kommunikationsverbindung (320) zu einem Server (303) über einen Zugangspunkt (301) eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts (200) zur Authentifizierung der Datenverarbeitungsvorrichtung (100), mit: einer Kommunikationsschnittstelle (101), welche ausgebildet ist, mit dem Zugangspunkt (301) des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk (312), insbesondere einem lokalen IP-Netzwerk, zu kommunizieren, wobei der Kommunikationsschnittstelle (101) eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; wobei die Kommunikationsschnittstelle (101) ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät (200) in dem lokalen Kommunikationsnetzwerk zu kommunizieren; und einer Vermittlungseinrichtung (103), welche ausgebildet ist, eine über die Kommunikationsschnittstelle (101) empfangene Authentisierungsanfrage des mobilen Kommunikationsgeräts (200) entgegenzunehmen und unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle (101) eine Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät (200) und dem Zugangspunkt (301) zur Authentifizierung der MAC-Adresse am Zugangspunkt (301) herzustellen, wobei die Kommunikationsschnittstelle (101) ausgebildet ist, ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt (301) die sichere Kommunikationsverbindung (320) zu dem Server (303) über den Zugangspunkt (301) des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse aufzubauen.
  2. Datenverarbeitungsvorrichtung (100) nach Anspruch 1, wobei die Vermittlungseinrichtung (103) einen Proxy-Dienst umfasst, der ausgebildet ist, die über die Kommunikationsschnittstelle (101) empfangene Authentisierungsanfrage über die Kommunikationsschnittstelle (101) unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle an den Zugangspunkt (301) zu vermitteln; und eine über die Kommunikationsschnittstelle (101) empfangene Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle (101) unter Verwendung einer MAC-Adresse der Kommunikationsschnittstelle an das mobile Kommunikationsgerät (200) zu vermitteln.
  3. Datenverarbeitungsvorrichtung (100) nach Anspruch 1 oder 2, welche als ein Hardware-Token ausgeführt ist, welches mit dem mobilen Kommunikationsgerät (200) verbindbar ist.
  4. Datenverarbeitungsvorrichtung (100) nach einem der vorstehenden Ansprüche, mit einer Konfigurationseinrichtung (107), welche ausgebildet ist, die Kommunikationsschnittstelle(101) basierend auf einer von dem Zugangspunkt (301) empfangenen der Kommunikationsschnittstelle (101) zugeordneten IP-Adresse zu konfigurieren und die Kommunikationsschnittstelle (101) für einen Datenaustausch zwischen dem mobilen Kommunikationsgerät (200) und der Datenverarbeitungsvorrichtung (100) über den Zugangspunkt (301) freizuschalten.
  5. Datenverarbeitungsvorrichtung (100) nach Anspruch 4, wobei die Konfigurationseinrichtung (107) ausgebildet ist, die Kommunikationsschnittstelle (101) basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit dem mobilen Kommunikationsgerät (200) freizuschalten.
  6. Datenverarbeitungsvorrichtung (100) nach Anspruch 5, wobei die Vermittlungseinrichtung (103) ausgebildet ist, die Authentisierungsanfrage des mobilen Kommunikationsgeräts (200) über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle (105) entgegenzunehmen, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung (100) und dem mobilen Kommunikationsgerät (200) durch den Zugangspunkt (301) unterbunden ist.
  7. Mobiles Kommunikationsgerät (200) zum Authentifizieren einer Datenverarbeitungsvorrichtung (100) an einem Zugangspunkt (301) eines Kommunikationsnetzwerkes, mit: einer Kommunikationsschnittstelle (201), welche ausgebildet ist, mit dem Zugangspunkt (301) unter Vermittlung der Datenverarbeitungsvorrichtung (100) in einem lokalen Kommunikationsnetzwerk (312) zu kommunizieren; und einer Authentifizierungseinrichtung (205), welche ausgebildet ist, eine Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301) des Kommunikationsnetzwerks über die Kommunikationsschnittstelle (201) unter Vermittlung der Datenverarbeitungsvorrichtung (100) an den Zugangspunkt (301) auszusenden, wobei unter Vermittlung der Datenverarbeitungsvorrichtung (100) die Authentisierungsanfrage mit einer MAC-Adresse einer ersten Kommunikationsschnittstelle (101) der Datenverarbeitungsvorrichtung (100) versehen an den Zugangspunkt (301) gesendet wird, um die MAC-Adresse der ersten Kommunikationsschnittstelle (101) der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301) zu authentifizieren.
  8. Mobiles Kommunikationsgerät (200) nach Anspruch 7, wobei die Authentifizierungseinrichtung (205) ausgebildet ist, die Authentifizierungsanfrage an einen Proxy-Dienst der Datenverarbeitungsvorrichtung (100) zu richten, welcher die Authentifizierungsanfrage mit der MAC-Adresse der Kommunikationsschnittstelle (101) der Datenverarbeitungsvorrichtung (100) versehen an den Zugangspunkt (301) sendet; wobei die Authentifizierungseinrichtung (205) ausgebildet ist, eine über den Proxy-Dienst vermittelte Antwort auf die Authentifizierungsanfrage über die Kommunikationsschnittstelle (201) zu empfangen, wobei die Antwort mit einer MAC-Adresse der Kommunikationsschnittstelle (101) der Datenverarbeitungsvorrichtung (100) versehen ist.
  9. Mobiles Kommunikationsgerät (200) nach Anspruch 8, mit einem Browser, der ausgebildet ist, die Authentisierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301) basierend auf einer Nutzereingabe zu initiieren und an den Proxy-Dienst der Datenverarbeitungsvorrichtung (100) zu richten.
  10. Mobiles Kommunikationsgerät (200) nach einem der Ansprüche 7 bis 9, mit einer Konfigurationseinrichtung (203), welche ausgebildet ist, die Kommunikationsschnittstelle (201) basierend auf einer von dem Zugangspunkt empfangenen, der Kommunikationsschnittstelle (201) zugeordneten IP-Adresse, zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung (100) über den Zugangspunkt (301) freizuschalten.
  11. Mobiles Kommunikationsgerät (200) nach Anspruch 10, wobei die Konfigurationseinrichtung (203) ausgebildet ist, die Kommunikationsschnittstelle (201) basierend auf einer link-lokalen Netzwerkadresse zu konfigurieren und für einen Datenaustausch mit der Datenverarbeitungsvorrichtung (100) freizuschalten.
  12. Mobiles Kommunikationsgerät (200) nach Anspruch 11, wobei die Authentifizierungseinrichtung (205) ausgebildet ist, die Authentisierungsanfrage über die link-lokale Netzwerkadresse der Kommunikationsschnittstelle (201) an die Datenvermittlungsvorrichtung (100) auszusenden, falls eine Kommunikation zwischen der Datenverarbeitungsvorrichtung (100) und dem mobilen Kommunikationsgerät (200) durch den Zugangspunkt (301) unterbunden ist.
  13. Kommunikationssystem (300), mit: einer Datenverarbeitungsvorrichtung (100) nach einem der Ansprüche 1 bis 6; und einem mobilen Kommunikationsgerät (200) nach einem der Ansprüche 7 bis 12.
  14. Verfahren (400) zum Betreiben einer Datenverarbeitungsvorrichtung (100) zum Aufbauen einer sicheren Kommunikationsverbindung (320) zu einem Server (303) über einen Zugangspunkt (301) eines Kommunikationsnetzwerkes unter Verwendung eines mobilen Kommunikationsgeräts (200) zur Authentifizierung der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301), wobei die Datenverarbeitungsvorrichtung (100) eine Kommunikationsschnittstelle (101) umfasst, welche ausgebildet ist, mit dem Zugangspunkt (301) des Kommunikationsnetzwerkes in einem lokalen Kommunikationsnetzwerk (312), insbesondere einem lokalen IP-Netzwerk, zu kommunizieren, wobei der Kommunikationsschnittstelle (101) eine Medium-Access-Control (MAC)-Adresse zugeordnet ist; und wobei die Kommunikationsschnittstelle (101) ferner ausgebildet ist, mit dem mobilen Kommunikationsgerät (200) in dem lokalen Kommunikationsnetzwerk (312) zu kommunizieren, wobei das Verfahren die folgenden Schritte umfasst: Entgegennehmen (401) einer über die Kommunikationsschnittstelle (101) empfangenen Authentisierungsanfrage des mobilen Kommunikationsgeräts (200); Herstellen (402) einer Kommunikationsverbindung zwischen dem mobilen Kommunikationsgerät (200) und dem Zugangspunkt (301) unter Verwendung der MAC-Adresse der Kommunikationsschnittstelle (101), zur Authentifizierung der MAC-Adresse am Zugangspunkt (301); und ansprechend auf eine Authentifizierung der MAC-Adresse durch den Zugangspunkt (301): Aufbauen (403) der sicheren Kommunikationsverbindung (320) zu dem Server (303) über die Kommunikationsschnittstelle (101) und über den Zugangspunkt (301) des Kommunikationsnetzwerkes unter Verwendung der authentifizierten MAC-Adresse.
  15. Verfahren (500) zum Betreiben eines mobilen Kommunikationsgerätes (200) zum Authentifizieren einer Datenverarbeitungsvorrichtung (100) an einem Zugangspunkt (301) eines Kommunikationsnetzwerkes, wobei das mobile Kommunikationsgerät (200) eine Kommunikationsschnittstelle (201) umfasst, welche ausgebildet ist, mit dem Zugangspunkt (301) unter Vermittlung der Datenverarbeitungsvorrichtung (100) in einem lokalen Kommunikationsnetzwerk (312) zu kommunizieren, wobei das Verfahren die folgenden Schritte umfasst: Aussenden (501) einer Authentifizierungsanfrage zur Authentifizierung der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301) des Kommunikationsnetzwerks über die Kommunikationsschnittstelle (201) unter Vermittlung der Datenverarbeitungsvorrichtung (100) an den Zugangspunkt (301), wobei unter Vermittlung der Datenverarbeitungsvorrichtung (100) die Authentisierungsanfrage mit einer MAC-Adresse einer Kommunikationsschnittstelle (101) der Datenverarbeitungsvorrichtung (100) versehen an den Zugangspunkt (301) gesendet wird, um die MAC-Adresse der Kommunikationsschnittstelle der Datenverarbeitungsvorrichtung (100) an dem Zugangspunkt (301) zu authentifizieren.
DE102020129226.0A 2020-11-05 2020-11-05 Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt Active DE102020129226B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020129226.0A DE102020129226B4 (de) 2020-11-05 2020-11-05 Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020129226.0A DE102020129226B4 (de) 2020-11-05 2020-11-05 Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt

Publications (2)

Publication Number Publication Date
DE102020129226A1 DE102020129226A1 (de) 2022-05-05
DE102020129226B4 true DE102020129226B4 (de) 2022-10-06

Family

ID=81184445

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020129226.0A Active DE102020129226B4 (de) 2020-11-05 2020-11-05 Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt

Country Status (1)

Country Link
DE (1) DE102020129226B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140089182A1 (en) 1998-12-08 2014-03-27 Nomadix, Inc. Systems and methods for providing content and services on a network system
US20140380450A1 (en) 2005-11-23 2014-12-25 Blackberry Limited System and method to provide built-in and mobile vpn connectivity

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140089182A1 (en) 1998-12-08 2014-03-27 Nomadix, Inc. Systems and methods for providing content and services on a network system
US20140380450A1 (en) 2005-11-23 2014-12-25 Blackberry Limited System and method to provide built-in and mobile vpn connectivity

Also Published As

Publication number Publication date
DE102020129226A1 (de) 2022-05-05

Similar Documents

Publication Publication Date Title
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE602005001542T2 (de) Verfahren und Vorrichtung zur Verwendung eines VPN-Gateways, das als Mobile IP Foreign Agent für mobile Knoten fungiert
DE602004012131T2 (de) Verfahren und einrichtungen zum gemeinsamen benutzen von inhalt in einem netzwerk
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE602004010703T2 (de) Eine persistente und zuverlässige sitzung, die neztwerkkomponenten unter verwendung eines verkapselungsprotokolls sicher durchläuft
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
EP1761082B1 (de) Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
EP3078177B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE10393628T5 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE102005021315A1 (de) Tragbare Rechenvorrichtung für drahtlose Kommunikationen und Betriebsverfahren
WO2004017564A1 (de) Verfahren und system für gsm-authentifizierung bei wlan roaming
DE60311898T2 (de) Verfahren, um ein Paket von einem ersten IPSeC Klienten zu einem zweiten IPSec Klienten über einen L2TP Tunnel zu übertragen
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP3970337A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102020129226B4 (de) Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102020129228B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final