DE102022132703A1 - Resilienzmechanismus gegen Dienstverweigerung-Angriffe - Google Patents

Resilienzmechanismus gegen Dienstverweigerung-Angriffe Download PDF

Info

Publication number
DE102022132703A1
DE102022132703A1 DE102022132703.5A DE102022132703A DE102022132703A1 DE 102022132703 A1 DE102022132703 A1 DE 102022132703A1 DE 102022132703 A DE102022132703 A DE 102022132703A DE 102022132703 A1 DE102022132703 A1 DE 102022132703A1
Authority
DE
Germany
Prior art keywords
proof
access point
client device
processor
work task
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022132703.5A
Other languages
English (en)
Inventor
Jennifer Gabriel
Mauri Seidel
Silvio Ankermann
Frank Fitzek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technische Universitaet Dresden
Original Assignee
Technische Universitaet Dresden
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technische Universitaet Dresden filed Critical Technische Universitaet Dresden
Priority to DE102022132703.5A priority Critical patent/DE102022132703A1/de
Publication of DE102022132703A1 publication Critical patent/DE102022132703A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Gemäß verschiedener Aspekte wird ein Netzwerk-Manager (300) bereitgestellt, wobei der Netzwerk-Manager (300) aufweist: einen Prozessor (302), der eingerichtet ist zum: Empfangen einer Lösung (312) einer Proof-of-Work-Aufgabe (314) von einer Client-Vorrichtung (104a); und falls die empfangene Lösung (312) der Proof-of-Work-Aufgabe (314) einer vorbestimmten Lösung der Proof-of-Work-Aufgabe (314) entspricht, Erlauben einer WPA3-Authentifizierungsprozedur (320) zwischen der Client-Vorrichtung (104a) und einem Zugangspunkt (102).

Description

  • Verschiedene Aspekte betreffen einen Netzwerk-Manager, der eingerichtet ist zum Autorisieren des Aufbaus einer Verbindung zwischen einer Client-Vorrichtung und einem Zugangspunkt basierend auf einem Proof-of-Work-Mechanismus, und Verfahren dazu (z.B. ein Verfahren zum Betreiben eines drahtlosen lokalen Netzwerks, „Wireless Local Area Network“, WLAN).
  • Heutzutage sind drahtlose Netzwerke praktisch überall zu finden, z.B. in Büros, Schulen, Krankenhäusern, Einkaufszentren usw. Mit der Verbreitung drahtloser Netzwerke werden die Sicherheitsaspekte von drahtlosen Verbindungen immer wichtiger, um sicherzustellen, dass die Benutzer Daten über ein drahtloses Netzwerk austauschen können, ohne dass diese Daten von böswilligen Angreifern „abgehört“ werden. In diesem Zusammenhang ist „Wi-Fi Protected Access 3“ (WPA3) ein Wi-Fi-Sicherheitsstandard, der darauf abzielt, mehrere Sicherheitsmängel in den vorherigen Standards (z.B. „Wired Equivalent Privacy“ (WEP), WPA, WPA2) zu beheben.
  • Im Allgemeinen können Vorrichtungen, die mittels drahtloser Signale verbunden sind, ein sogenanntes drahtloses lokales Netzwerk (WLAN, W-LAN oder „Wireless LAN“) bilden. Ein WLAN-Netzwerk kann einen oder mehrere Zugangspunkte aufweisen (die z.B. zusätzlich als Router fungieren), die als Knotenpunkt für Client-Vorrichtungen dienen, die sich mit dem WLAN-Netzwerk verbinden möchten. Ein Zugangspunkt kann somit als zentraler Verbindungspunkt fungieren, mittels dessen die Client-Vorrichtungen des Netzwerks miteinander kommunizieren können. In einer beispielhaften Konfiguration kann ein Zugangspunkt auch den Zugang zu externen Datennetzen, z.B. zum Internet, ermöglichen. Typische Beispiele für ein WLAN-Netzwerk sind das Netzwerk in einer Heimumgebung, das Netzwerk in einem Universitätscampus, das Netzwerk in einem Bürogebäude und dergleichen.
  • WLAN-Netzwerke, aufweisend einen Zugangspunkt (auf Englisch, Access Point, AP) und mehrere Clients (auch als „Station“, STA, gekennzeichnet), sind jedoch grundsätzlich anfällig für sogenannte Dienstverweigerung-Angriffe (auf Englisch, „Denial-of-Service (DoS) Attacks“), auch wenn die neueste Absicherungsmethode WPA3 verwendet wird. Insbesondere kann ein Zugangspunkt von einem böswilligen Angreifer mit Verbindungsanfragen überflutet werden, was dazu führen würde, dass die Ressourcen des Zugangspunkts erschöpft sind und der Betrieb des Netzwerks für die rechtmäßigen Benutzer lahmgelegt wird. Ferner kann in diesem Szenario ein Zugang zum Netz für legitime Benutzer unmöglich sein bzw. werden. Im Rahmen von WPA3-basierten Netzwerken gibt es einige Teillösungen für diese Art von Angriffen (siehe 2A), die jedoch nicht ausreichen, um einen sicheren und zuverlässigen Betrieb zu gewährleisten.
  • Die vorliegende Offenbarung bezieht sich auf eine Strategie zur Abschwächung oder Verhinderung von Dienstverweigerung-Angriffen, die auf einen Zugangspunkt eines WLAN-Netzwerks abzielen, insbesondere zur Integration in den Sicherheitsstandard WPA3. Der hierin beschriebene Ansatz kann darauf beruhen, dass von einer Client-Vorrichtung die Vorlage eines Proof-of-Work verlangt wird, bevor sie autorisiert wird, eine Verbindungsprozedur mit dem Zugangspunkt einzuleiten oder abzuschließen, z.B. bevor sie autorisiert wird, eine Prozedur zum Beitritt zum WLAN-Netzwerk abzuschließen. Zur Veranschaulichung kann sich die vorliegende Offenbarung auf eine WPA3-Authentifizierung basierend auf einem Proof-of-Work beziehen, um einer Vorrichtung den Beitritt zu einem WLAN-Netzwerk zu ermöglichen. „Proof-of-Work“ kann hierin auch als „Arbeitsnachweis“ oder „Arbeitsbeweis“ bezeichnet werden.
  • Der hierin beschriebene Ansatz gewährleistet, dass eine Client-Vorrichtung den Zugangspunkt nicht mit einer großen Anzahl unzulässiger Verbindungsanfragen überfluten kann, da die Client-Vorrichtung für jede Verbindungsanfrage einen entsprechenden Proof-of-Work erbringen muss. Anschaulich führt der Proof-of-Work eine (anpassbare) Wartezeit für eine Vorrichtung ein, um einen gültigen Verbindungsprozess mit dem Zugangspunkt zu initiieren, wodurch die Anzahl der Verbindungsanfragen, die die Vorrichtung innerhalb einer bestimmten Zeitperiode senden kann, begrenzt wird. Gemäß der hierin beschriebenen Strategie werden die Kommunikationsprotokolle im Zugangspunkt und Client-Vorrichtung so erweitert, dass diese in die Lage versetzt werden, eine Ratenlimitierung auf Basis eines Proof-of-Work durchzuführen. Die hierin beschriebene Strategie stellt somit eine Absicherung von WLAN Systemen gegen DoS Angriffe bereit, die von nicht-authentifizierten Geräten ausgehen. Die Kommunikationsprotokolle werden angepasst, um sie in die Lage zu versetzen, die entsprechende Rechenleistung zu verlangen und zu verifizieren.
  • In der vorliegenden Offenbarung kann insbesondere auf die Anwendung des Proof-of-Work-Mechanismus im Rahmen von WPA3 verwiesen werden, da dies angesichts der breiten Anwendungsgebiete von WPA3 der relevanteste Anwendungsfall sein dürfte. So kann insbesondere auf Konfigurationen von Vorrichtungen (z.B. Zugangspunkt, Client-Vorrichtungen) und Netzwerken Bezug genommen werden, die gemäß dem WPA3-Standard eingerichtet sind (z.B. gemäß der WPA3-Spezifikation, die von der WiFi Alliance im Jahr 2020 veröffentlicht wurde). Es versteht sich jedoch, dass die hierin beschriebene Strategie in entsprechender Weise auf Vorrichtungen/Netzwerke angewandt werden kann, die gemäß anderen Standards eingerichtet sind, und zwar sowohl bestehenden (z.B. WPA, WPA2) als auch noch nicht formulierten (z.B. WPA4 und weiter).
  • Gemäß verschiedenen Aspekten wird ein Netzwerk-Manager bereitgestellt, der Netzwerk-Manager aufweisend: einen Prozessor, der eingerichtet ist zum: Empfangen einer Lösung einer Proof-of-Work-Aufgabe von einer Client-Vorrichtung; und falls, dass die Lösung der Proof-of-Work-Aufgabe einer vorbestimmten Lösung der Proof-of-Work-Aufgabe entspricht, Erlauben einer WPA3-Authentifizierungsprozedur zwischen der Client-Vorrichtung und einem Zugangspunkt.
  • Der hierin beschriebene Ansatz gewährleistet, dass der Zugangspunkt nicht mit böswilligen Anfragen belastet wird und stattdessen weiterhin die legitimen Benutzer des WLAN-Netzwerks bedienen kann. Der hierin beschriebene Protokoll schützt das System auch dann, wenn der Angreifer die MAC-Adresse seines Geräts verändert, um somit seine Identität im Netz zu verschleiern, da der Proof-of-Work von allen Teilnehmern erbracht werden sollte. Für legitime Geräte ist die Auswirkung auf die Performance beim Anmeldeprozess minimal. Dadurch wird die sogenannte „Quality-of-Experience“ (QoE) nicht beeinträchtigt.
  • Der Schwierigkeitsgrad der Proof-of-Work-Aufgabe kann dynamisch angepasst werden, um die Wartezeit für eine Client-Vorrichtung basierend auf einem aktuellen Netzwerkszenario anzupassen. Zum Beispiel kann der Schwierigkeitsgrad der Proof-of-Work-Aufgabe dynamisch basierend auf der aktuellen Auslastung des Zugangspunkts angepasst werden, z.B. basierend auf einer aktuellen Erschöpfung der Rechenressourcen des Zugangspunkts. Anschaulich kann die Schwierigkeit erhöht werden, wenn der Zugangspunkt relativ stark ausgelastet ist, um mehr Zeit zwischen den Verbindungsanfragen zu haben, oder die Schwierigkeit kann verringert werden, wenn der Zugangspunkt relativ schwach ausgelastet ist, um einen schnelleren Betrieb zu ermöglichen.
  • Gemäß verschiedenen Aspekten wird ein Netzwerk-Manager bereitgestellt, der Netzwerk-Manager aufweisend: einen Prozessor, der eingerichtet ist zum: Festlegen einer Proof-of-Work-Aufgabe als Teil einer WPA3-Authentifizierungsprozedur zwischen einer Client-Vorrichtung und einem Zugangspunkt; und Übertragen der festgelegten Proof-of-Work-Aufgabe an die Client-Vorrichtung.
  • In einer beispielhaften Konfiguration kann die Generierung und Verifizierung der Proof-of-Work-Aufgabe/der Proof-of-Work-Lösung in den WPA3-Nachrichtenfluss eingeführt werden, bevor der Zugangspunkt ein Passwortelement für die Authentifizierungsprozedur ermittelt. Dieses Timing der Proof-of-Work-Verifikation stellt sicher, dass der Zugangspunkt die zeit- und ressourcenaufwendige Prozedur der Ermittlung des Passwortelements erst dann durchführt, wenn die Client-Vorrichtung ein gültiges Ergebnis der Proof-of-Work-Aufgabe gezeigt hat. Dies sorgt dafür, dass der Zugangspunkt während der WPA3-Authentifizierungsprozedur nicht unnötig belastet wird.
  • Ausführungsbeispiele sind in den Figuren dargestellt und werden im Folgenden näher erläutert.
  • Es zeigen
    • 1A ein WLAN-Netzwerk in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 1B eine Kommunikationsschaltung in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 2A eine WPA3-Authentifizierungsprozedur zwischen einer Client-Vorrichtung und einem Zugangspunkt in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 2B und 2C die Auswirkungen eines Dienstverweigerung-Angriffs auf ein WLAN in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 3 einen Netzwerk-Manager in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 4 einen Netzwerk-Manager in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 5 einen Netzwerk-Manager in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 6 eine Client-Vorrichtung in einer schematischen Ansicht gemäß verschiedener Aspekte;
    • 7A eine angepasste WPA3-Authentifizierungsprozedur zwischen einer Client-Vorrichtung und einem Zugangspunkt in einer schematischen Ansicht gemäß verschiedener Aspekte; und
    • 7B und 7C die Auswirkungen der angepassten WPA3-Authentifizierungsprozedur gegen einem Dienstverweigerung-Angriff auf ein WLAN in einer schematischen Ansicht gemäß verschiedener Aspekte.
  • In der folgenden ausführlichen Beschreibung wird auf die beigefügten Zeichnungen Bezug genommen, die Teil der Beschreibung bilden und in denen zur Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeübt werden kann. Es versteht sich, dass andere Ausführungsformen benutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Schutzumfang der vorliegenden Erfindung abzuweichen. Es versteht sich, dass die Merkmale der hierin beschriebenen verschiedenen beispielhaften Ausführungsformen miteinander kombiniert werden können, sofern nicht spezifisch anders angegeben. Die folgende Beschreibung ist deshalb nicht in einschränkendem Sinne aufzufassen, und der Schutzumfang der vorliegenden Erfindung wird durch die angefügten Ansprüche definiert.
  • 1A zeigt ein WLAN-Netzwerk 100 in einer schematischen Ansicht gemäß verschiedener Aspekte. Das WLAN-Netzwerk 100 stellt ein beispielhaftes Anwendungsszenario dar, in dem die hierin beschriebene Strategie implementiert werden kann. Es versteht sich jedoch, dass der hierin beschriebene Kommunikationsansatz im Allgemeinen in jedem geeigneten Kommunikationsszenario angewendet werden kann, z.B. in jedem Szenario, in dem eine erhöhte Resistenz gegen DoS-Angriffe gewünscht wird.
  • Das WLAN-Netzwerk 100 kann ein Drahtlos-Kommunikationsnetzwerk sein, in welchem verschiedene Diensten (z.B. Datenaustausch, Streaming usw.) für eine oder mehrere Client-Vorrichtungen 104, z.B. mittels eines oder mehrerer Zugangspunkte 102, bereitgestellt werden. Im Allgemeinen kann in einem WLAN-Netzwerk 100 die Kommunikationsverbindung zu einer Client-Vorrichtung 104 eine Drahtlos-Kommunikationsverbindung sein, z.B. kann die Kommunikationsverbindung ein Kommunikationskanal über ein drahtloses Medium (z.B. Luft) sein. Ein WLAN-Netzwerk 100 kann hierin auch als WLAN-System bezeichnet werden. Es versteht sich, dass die Anzahl der Zugangspunkte 102 und Client-Vorrichtungen 104 im WLAN-Netzwerk 100 beispielhaft ist und beliebig skaliert werden kann.
  • Der Begriff „Zugangspunkt“ kann eine netzwerkseitige Vorrichtung beschreiben, die eingerichtet ist, um die Konnektivität zwischen den Netzwerkteilnehmern in einem WLAN-Netzwerk 100 zu ermöglichen. In verschiedenen Aspekten kann ein Zugangspunkt 102 eine Vorrichtung sein, die eingerichtet ist, um ein WLAN-Netzwerk 100 zu erstellen und/oder eingerichtet ist, um den Zugriff auf das WLAN-Netzwerk 100 zu ermöglichen. Im Allgemeinen kann ein Zugangspunkt 102 eingerichtet sein, um den Client-Vorrichtungen 104 die Verbindung und den Informationsaustausch innerhalb des WLAN-Netzwerks 100 zu ermöglichen. Der Zugangspunkt 102 kann eingerichtet sein zum Verteilen von Daten an die Client-Vorrichtungen 104, die an dem WLAN-Netzwerk 100 teilnehmen.
  • Ein Zugangspunkt 102 kann somit eingerichtet sein bzw. werden zum Verwalten des Zugangs einer Client-Vorrichtung 104a zum WLAN-Netzwerk 100, z.B. kann der Zugangspunkt 102 als Eingangstor zum WLAN-Netzwerk 100 fungieren. Zum Beispiel kann der Zugangspunkt 102 ein Wi-Fi/WLAN-Zugangspunkt sein oder aufweisen. In einer beispielhaften Konfiguration kann das WLAN Netzwerk 100 ein Wi-Fi-Netzwerk sein, z.B. kann das WLAN-Netzwerk 100 gemäß dem Wi-Fi Kommunikationsprotokoll eingerichtet sein (z.B. basierend auf den IEEE 802.11 Kommunikationsstandards). In diesem Szenario kann der Zugangspunkt 102 ein 802.11-Zugangspunkt sein.
  • In verschiedenen Aspekten kann ein Zugangspunkt 102 einen Router aufweisen oder mit einem Router gekoppelt sein, um Zugang zu einem oder mehreren externen Datennetzen 106, z.B. zum Internet, zu ermöglichen. Der Router kann extern zum Zugangspunkt 102 oder intern zum Zugangspunkt 102 sein. Im Allgemeinen kann ein Router auch als Zugangspunkt fungieren, um den Zugang zu dem/den externen Datennetz(en) 106 bereitzustellen und noch den Zugang von Client-Vorrichtungen 104a zum WLAN-Netzwerk 100 zu verwalten.
  • Eine Client-Vorrichtung 104 kann eine clientseitige Vorrichtung (anschaulich, eine benutzerseitige Vorrichtung) sein, die eingerichtet ist zum Verbinden mit einem WLAN-Netzwerk 100 mittels eines Zugangspunkts 102. Eine Client-Vorrichtung 104 kann eine drahtlose Kommunikationsvorrichtung sein, die eingerichtet ist, um drahtlos mit anderen Client-Vorrichtungen 104 und/oder Zugangspunkten 102 zu kommunizieren. Eine Client-Vorrichtung 104 kann jede geeignete Art von drahtloser Kommunikationsvorrichtung sein bzw. aufweisen, z.B. ein Mobiltelefon, ein Smartphone, ein Laptop, ein Tablet, ein Computer, eine Audio-Streaming-Vorrichtung, eine Video-Streaming-Vorrichtung, eine Spielkonsole, ein intelligentes Haushaltsgerät, eine automatisierte Maschine und dergleichen. Eine Client-Vorrichtung 104 kann hierin auch als „Endpunkt-Vorrichtung“, „Benutzer-Vorrichtung“ oder einfach als „drahtlose Vorrichtung“ bezeichnet werden. Eine Client-Vorrichtung kann auch als Station (STA) bezeichnet werden.
  • Im Folgenden wird in Bezug auf 1B eine beispielhafte Konfiguration einer Kommunikationsschaltung zur Verwendung in einer Client-Vorrichtung 102 und/oder in einem Zugangspunkt 104 beschrieben. Im Allgemeinen ist die Konfiguration einer drahtlosen Vorrichtung und/oder eines Zugangspunkts für drahtlose Kommunikation im Stand der Technik bekannt. Eine kurze Beschreibung wird hierin gegeben.
  • 1B zeigt eine Kommunikationsschaltung 120 in einer schematischen Ansicht gemäß verschiedenen Aspekten. Die Repräsentation in 1B veranschaulicht beispielhafte Komponenten, die es einem Zugangspunkt 102 bzw. einer Client-Vorrichtung 104 ermöglichen, mit anderen Vorrichtungen drahtlos zu kommunizieren. Es versteht sich, dass die Repräsentation in 1B beispielhaft ist und dass eine Kommunikationsschaltung 120 zusätzliche oder alternative Komponenten als die dargestellten aufweisen kann. Ein Zugangspunkt 102 bzw. eine Client-Vorrichtung 104 kann die Kommunikationsschaltung 120 aufweisen.
  • Die Kommunikationsschaltung 120 kann einen Prozessor 112, eine Speichervorrichtung 108 (anschaulich, einen Speicher) und eine oder mehrere Kommunikationsschnittstellen 110 aufweisen. Im Allgemeinen kann der Prozessor 112 eingerichtet sein zum Steuern des Betriebs der Kommunikationsschaltung 120 (und/oder des Betriebs des Zugangspunkts/Client-Vorrichtung), z.B. zum Steuern einer Übertragung/eines Empfangs von Drahtlos-Signalen mittels der Kommunikationsschnittstellen 110.
  • Die Speichervorrichtung 108 kann eingerichtet sein, um an der Kommunikationsschaltung 120 empfangene Daten und/oder von der Kommunikationsschaltung 120 zu übertragende Daten zu speichern. Zusätzlich oder alternativ kann die Speichervorrichtung 108 eingerichtet sein, um Anweisungen zu speichern, die vom Prozessor 112 ausgeführt werden.
  • Jede Kommunikationsschnittstelle 110 kann eine oder mehrere Komponenten aufweisen, die es der Kommunikationsschaltung 120 ermöglichen, Daten (im Allgemeinen datenübertragende Signale) zu senden/empfangen. Anschaulich kann jede Kommunikationsschnittstelle 110 eine oder mehrere Komponenten aufweisen, die es der Kommunikationsschaltung 120 ermöglichen, eine kommunikative Verbindung mit einer anderen Vorrichtung aufzubauen. Eine Kommunikationsschnittstelle 110 kann somit eine oder mehrere Komponenten aufweisen, die eine Kodierung/Dekodierung analoger Signale für die Übertragung/den Empfang über ein physikalisches Medium ermöglichen.
  • Im Allgemeinen kann jede Kommunikationsschnittstelle 110 eine Transceiver-Schaltung 114 (anschaulich, einen Transceiver-Chip oder eine Transceiver-Kette) aufweisen. Eine Transceiver-Schaltung 114 kann gemäß einem drahtlosen Kommunikationsstandard zum Senden/Empfangen von Daten eingerichtet sein. Eine Transceiver-Schaltung 114 kann somit analoge und/oder digitale Komponenten aufweisen, die eingerichtet sind, um Sende-/Empfangsvorgänge gemäß einer bestimmten Kommunikationstechnologie durchzuführen. Als Beispiel, das den relevantesten Anwendungsfall für die hierin beschriebene Strategie repräsentiert, kann eine Transceiver-Schaltung 114 gemäß einem WLAN-Kommunikationsprotokoll oder -standard (z.B. IEEE 802.11) eingerichtet sein bzw. werden. In einer beispielhaften Konfiguration, kann jede Kommunikationsschnittstelle 110 ein WLAN-Modem aufweisen.
  • In verschiedenen Aspekten kann eine Transceiver-Schaltung 114 eine Antenne (nicht gezeigt) aufweisen oder mit einer Antenne gekoppelt sein, z.B. eine einzelne Antenne oder eine Antennengruppe, und kann Hochfrequenzsignale mittels der entsprechenden Antenne senden und/oder empfangen. In dieser Konfiguration ist eine Transceiver-Schaltung 114 ein RF-Transceiver. Als beispielhafte Komponente kann eine Transceiver-Schaltung 114 einen oder mehrere Verstärker (z.B. Leistungsverstärker, rauscharme Verstärker), einen oder mehrere Filter, einen oder mehrere Mischer, und/oder einen oder mehrere Frequenzwandler aufweisen.
  • Der Prozessor 112 kann zur Signalverarbeitung eingerichtet sein, um das Senden/Empfangen von Daten mittels der Kommunikationsschnittstellen 110 zu ermöglichen. Als Beispiel für eine drahtlose Kommunikation kann der Prozessor 112 ein Basisbandmodem aufweisen.
  • Einer der wichtigsten Aspekte für den Betrieb eines drahtlosen Kommunikationsnetzwerks ist die Sicherheit der Kommunikation. Im Laufe der Jahre wurden verschiedene Protokolle und Sicherheitsstandards entwickelt, um sicherzustellen, dass eine drahtlose Kommunikationsvorrichtung Daten senden/empfangen kann, ohne dass diese Daten von böswilligen Benutzern abgefangen werden. In diesem Zusammenhang kann ein Zugangspunkt 102 (siehe beispielsweise 1A) eingerichtet sein bzw. werden, um den Zugang zum WLAN-Netzwerk 100 und den Datenaustausch innerhalb des WLAN-Netzwerks 100 gemäß jedem geeigneten Sicherheitsstandard zu verwalten.
  • In einer beispielhaften Konfiguration, die den relevantesten Anwendungsfall der hierin beschriebenen Strategie repräsentieren kann, kann ein Zugangspunkt 102 eingerichtet sein bzw. werden, um den WPA3-Sicherheitsstandard zu implementieren. In diesem Szenario kann der Zugangspunkt 102 eingerichtet sein zum Verwalten des Zugangs zum WLAN-Netzwerk 100 gemäß dem WPA3-Sicherheitsstandard und/oder zum Steuern der Datenkommunikation innerhalb des WLAN-Netzwerks 100 gemäß dem WPA3-Sicherheitsstandard. Anschaulich können eine Client-Vorrichtung 104a und ein Zugangspunkt 102 eingerichtet sein, um eine WPA3-Authentifizierungsprozedur durchzuführen, um der Client-Vorrichtung 104a den Zugang zum WLAN-Netzwerk 100 zu gewähren (oder zu verweigern).
  • WPA3 ist eine Weiterentwicklung der früheren Sicherheitsstandards wie WEP, WPA und WPA2. Insbesondere bietet WPA3 im Vergleich zu WPA2 eine widerstandsfähigere Umgebung gegen verschiedene Arten von Angriffen, z.B. gegen Wörterbuchangriffe. Die Aspekte des WPA3-Sicherheitsstandards sind im Allgemeinen bekannt. Hierin wird kurz auf die für die vorliegende Offenbarung relevanten Aspekte eingegangen.
  • Im Allgemeinen verwendet WPA3 den sogenannten „Dragonfly-Handshake“ oder „Dragonfly Key Exchange“, auch bekannt als „Simultaneous Authentication of Equals“ (SAE), anstelle des Pre-Shared Key (PSK) Austauschprotokolls, das in WPA2 verwendet wird. Der Dragonfly-Handshake bietet Widerstand gegen Wörterbuchangriffe, z.B. gegen Krack-Angriffe.
  • Ein weiterer Aspekt von WPA3 ist die sogenannte „Forward Secrecy“. In einem drahtlosen Netzwerk können die drahtlosen Signale, die zwischen einer Client-Vorrichtung und einem Zugangspunkt ausgetauscht werden, von Dritten abgefangen werden. Die Funksignale werden verschlüsselt, so dass ein Dritter nicht unmittelbar auf den Inhalt der Signale zugreifen kann. Der Dritte könnte jedoch die Funksignale aufzeichnen und dann zu einem späteren Zeitpunkt versuchen, sie zu entschlüsseln, wenn er das Netzwerkpasswort kennt. Mit der Forward Secrecy stellt das WPA3-Protokoll sicher, dass selbst dann, wenn ein Angreifer Zugriff auf das Netzwerkpasswort erhält, dieses nicht zur Entschlüsselung vergangener Informationen verwendet werden kann.
  • Ein weiteres Merkmal des WPA3-Protokolls ist die sogenannte „Opportunistic Wireless Encryption“ (OWE). Gemäß OWE variiert der Verschlüsselungsschlüssel für die Kommunikation für jede Client-Vorrichtung, die sich mit einem Zugangspunkt verbindet. OWE bietet somit einen individualisierten Datenschutz für den Datenaustausch zwischen der Client-Vorrichtung und dem Zugangspunkt.
  • Ein weiteres Merkmal des WPA3-Protokolls ist das sogenannte „Device Provisioning Protocol“ (DPP), das anstelle des „Wi-Fi Protected Setup“ (WPS) eingeführt wurde. DPP weist eine „Outof-Band-Kommunikation“ (OOB) auf (z.B. unter Verwendung eines QR-Codes, Nahfeldkommunikation, usw.), damit eine Client-Vorrichtung ohne Passwort für das drahtlose Netzwerk authentifiziert werden kann.
  • WPA3 weist zwei Versionen auf, nämlich WPA3-Personal und WPA3-Enterprise, wobei WPA3-Enterprise strengere Sicherheitsaspekte aufweist, z.B. längere Verschlüsselungsschlüssel. Im Allgemeinen kann die hierin beschriebene Strategie sowohl auf WPA3-Personal als auch auf WPA3-Enterprise angewendet werden.
  • 2A zeigt eine WPA3-Authentifizierungsprozedur 200 zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102. Im Allgemeinen kann die Authentifizierungsprozedur 200 zwischen Peers oder zwischen einer Client-Vorrichtung 104 und einem Zugangspunkt 102 durchgeführt werden. Im Folgenden wird ohne Verlust der Allgemeinheit auf das Szenario einer Authentifizierung zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102 Bezug genommen. Es versteht sich, dass die hierin beschriebenen Aspekte in entsprechender Weise für ein Szenario mit Peer-Vorrichtungen gelten können (z.B. ein Szenario, in dem eine Client-Vorrichtung die Rolle des Zugangspunkts übernimmt, eine sogenannte „Authentication among Equals“). Eine WPA3-Authentifizierungsprozedur kann hierin auch als WPA3-Authentifizierungsverfahren oder WPA3-Verbindungsverfahren bezeichnet werden.
  • Die WPA3-Authentifizierungsprozedur 200 zeigt die Schritte für die Client-Vorrichtung 104a, um Zugang zu dem vom Zugangspunkt 102 verwalteten Netzwerk zu erhalten. 2A zeigt anschaulich einen mit WPA3 abgesicherten WLAN-Verbindungsaufbau, bei dem sich eine Station (STA) mit einem Access Point (AP) verbindet. Es versteht sich, dass der Ablauf in 2A beispielhaft ist, um einige allgemeine Konzepte der WPA3-Authentifizierung vorzustellen, und dass Änderungen des Ablaufs vorgesehen werden können (z.B. zusätzlicher Nachrichtenaustausch, andere Ableitung der Parameter usw.). Es versteht sich, dass die beschriebenen Aktionen in Bezug auf die Client-Vorrichtung 104a oder den Zugangspunkt 102 von einem jeweiligen Prozessor der Client-Vorrichtung 104a oder des Zugangspunkts 102 durchgeführt oder veranlasst werden können.
  • Im Allgemeinen haben die beteiligten Vorrichtungen 102, 104a bei einem Dragonfly-Handshake ein gemeinsames Verständnis eines gemeinsamen Passworts und vereinbaren die Verwendung eines bestimmten Domänenparametersatzes (z.B. „Elliptic Curve Cryptography“, ECC, oder „Finite Field Cryptography“, FFC). Zur Veranschaulichung kann der Dragonfly-Handshake zwei Hauptphasen oder Nachrichtenaustausche aufweisen, nämlich einen „Commit-Exchange“ 208 (hierin auch als „Commit-Austausch“ oder „Commit-Phase“ bezeichnet) und einen „Confirm-Exchange“ 210 (hierin auch als „Confirm-Austausch“, „Bestätigungsaustausch“ oder „Confirm Phase“ bezeichnet). In der Commit-Exchange 208 legen sich die Vorrichtungen 102, 104a auf eine einzige Schätzung des Passworts fest. Im Confirm-Exchange 210 überprüfen/bestätigen die Vorrichtungen 102, 104a die Kenntnis des Passworts.
  • In einer anfänglichen Erkennungsphase 206 kann der Zugangspunkt 102 einen Beacon-Frame 202 senden, z.B. einen Frame, der das Vorhandensein des Zugangspunkts 102 und des zugehörigen drahtlosen Netzwerks anzeigt. Der Beacon-Frame 202 kann Identifikationsinformationen des Zugangspunkts 202 aufweisen, z.B. einen Service Set IDentifier (SSID), die unterstützte Datenrate, den Verschlüsselungstyp und Ähnliches. Die Identifizierungsinformationen ermöglichen es anderen Vorrichtungen 104a, den Zugangspunkt 102 zu finden und zu identifizieren.
  • Die Client-Vorrichtung 104a kann dann eine Sondenanforderung 212 („Probe Request“) übermitteln, die eine Informationsanforderung für den Zugangspunkt 102 repräsentiert, z.B. zur Überprüfung der Kompatibilität. Eine Sondenanforderung 212 kann Informationen über die Client-Vorrichtung 104a aufweisen bzw. repräsentieren, wie z.B. die MAC-Adresse oder SSID. Nach positiver Überprüfung am Zugangspunkt 102 kann der Zugangspunkt 102 eine Sondenantwort 214 („Probe Response“) übermitteln und noch zum Commit-Exchange 208 übergehen.
  • Als Teil des Dragonfly-Handshake können die beteiligten Vorrichtungen 102, 104a ein geheimes Element aus dem gewählten Domänenparametersatz ableiten, das so genannte Passwortelement (PE). Ein Zugangspunkt 102 und/oder eine Client-Vorrichtung 104a kann eingerichtet sein bzw. werden zum Verwenden eines beliebig geeigneten deterministischen Verfahren zur Ableitung des Passwortelements. Als Beispiel kann ein Zugangspunkt 102 und/oder eine Client-Vorrichtung 104a eingerichtet sein bzw. werden zum Verwenden eines „Hunting-and-Pecking“-Verfahrens für ECC oder FFC, um das Passwortelement abzuleiten. Bei ECC kann beispielsweise ein gültiger Punkt auf der elliptischen Kurve ermittelt werden, und die (x,y)-Koordinaten können das Passwortelement sein bzw. repräsentieren.
  • Gemäß dem WPA3-Protokoll kann eine Mindestanzahl von Iterationen zur Ableitung des Passwortelements festgelegt werden. Als numerisches Beispiel, das Teil des WPA3-Sicherheitsstandards ist, kann der Zugangspunkt 102 so eingerichtet sein bzw. werden, dass er mindestens 40 Zyklen (40 Iterationen) zur Ableitung des Passwortelements durchführt. Anschaulich kann die Berechnung von PE anfällig gegenüber Timing-Angriffen sein, bei denen der Angreifer das WPA3 Passwort herausfinden kann. Als Schutzmaßnahme wird der Algorithmus zur Bestimmung von PE auf dem AP insgesamt 40-mal ausgeführt. Dies ist im Standard so vorgesehen.
  • Im Commit-Exchange 208 legen sich die Vorrichtungen 102, 104a auf eine einzige Vermutung des Passworts fest. Der Zugangspunkt 102 und die Client-Vorrichtung 104a können so eingerichtet sein, dass sie in dieser Phase einen Skalar sA/B und ein Element EA/B ermitteln (z.B. generieren), den Skalar und das Element miteinander austauschen, den jeweiligen Skalar sA/B und das Element EA/B verifizieren und einen gemeinsamen Schlüssel ermitteln (z.B. generieren). Beide Endpunkte müssen dabei das Passwortelement (PE) aus dem Passwort und Geräteparametern ableiten, und anschließend daraus die Zahlen sA/B und EA/B bestimmen.
  • Der Zugangspunkt 102 kann eingerichtet sein, um den von der Client-Vorrichtung 104a empfangenen Skalar sA und das Element EA zu validieren, und die Client-Vorrichtung 104a kann eingerichtet sein, um den vom Zugangspunkt 102 empfangenen Skalar sB und das Element EB zu validieren. Der Validierungsprozess kann in Abhängigkeit von der gewählten kryptografischen Umgebung angepasst werden. Schlägt die Validierung fehl, wird das Authentifizierungsverfahren abgebrochen. Der Zugangspunkt 102 und die Client-Vorrichtung 104a können eingerichtet sein bzw. werden, um, im Falle einer positiven Validierung, den Skalar und das Element zusammen mit dem Passwortelement zu verwenden, um einen gemeinsamen Schlüssel abzuleiten.
  • Wie in 2A gezeigt, kann die Client-Vorrichtung 104a eingerichtet sein, um das Passwortelement PE (in 216) abzuleiten, z.B. gemäß einem geeigneten deterministischen Verfahren, und den jeweiligen Skalar sA und das Element EA zu berechnen. Während des Commit-Exchange 208 kann die Client-Vorrichtung 104a eine Commit-Nachricht 218 (z.B. einen Commit-Frame) an den Zugangspunkt 102 übermitteln. Die Commit-Nachricht 218 kann den von der Client-Vorrichtung 204 ermittelten Skalar sA und das Element EA aufweisen bzw. repräsentieren.
  • Der Zugangspunkt 102 kann eingerichtet sein, um das Passwortelement (z.B. mit mehr als einem Zyklus, z.B. mit 40 Zyklen) abzuleiten, in 222, z.B. nach Überprüfung des Skalars sA und des Elements EA, die von der Client-Vorrichtung 104a übermittelt wurden. Ferner kann der Zugangspunkt 102 eingerichtet sein, um den jeweiligen Skalar sB und das Element EB zu ermitteln (z.B. zu berechnen). Der Zugangspunkt 102 kann dann eine Commit-Antwortnachricht 224 an die Client-Vorrichtung 104a senden. Die Commit-Antwortnachricht 224 kann den vom Zugangspunkt 102 ermittelten Skalar sB und das Element EB aufweisen bzw. repräsentieren.
  • Dieser Nachrichtenfluss führt zu einer neuen Schwachstelle: Denial-of-Service (DoS)-Angriffen gegen den Zugangspunkt 102. Dabei kann ein Angreifer mit geringen Ressourcen den Zugangspunkt 102 überlasten, in dem er mit gefälschten Verbindungsanfragen geflutet wird. Kern der Schwachstelle ist, dass der Zugangspunkt 102 einen bedeutend höheren Rechenaufwand hat um eine Anfrage zu bearbeiten. Anschaulich erfordert der Zugangspunkt 102 einen hohen Verbrauch an Rechenressourcen für den Prozess in 222, z.B. insbesondere für die Ableitung des Passwortelements, und auch für die Ermittlung des Skalars sB und des Elements EB.
  • Um solchen Angriffen vorzubeugen, kann WPA3 optional einen („Anti-Clogging“) Token-Austausch 234 aufweisen. Der Zugangspunkt 102 lehnt die erste Verbindungsanfrage automatisch ab und antwortet mit einem Deny-Token 220, dass von der Client-Vorrichtung 104a zurückgeschickt werden sollte, damit die Anfrage bearbeitet wird. Anschaulich kann die Client-Vorrichtung 104a eine weitere Commit-Nachricht 218a übermitteln, die den Skalar sA, das Element EA und das vom Zugangspunkt 102 übermittelte Token aufweist. Allerdings kann dieses Token leicht gefälscht werden und bietet damit nur eine geringe Hürde gegen DoS-Angriffe.
  • Nachdem der Zugangspunkt 102 und die Client-Vorrichtung 104a den jeweiligen Skalar sA/B und das Element EA/B ausgetauscht haben, erfolgt eine Verifizierung des Passworts im Confirm-Exchange 210. Im Confirm-Exchange 210 bestätigen der Zugangspunkt 102 und die Client-Vorrichtung 104a, dass sie den gleichen Schlüssel abgeleitet haben und damit den Hinweis, dass sie das gleiche Passwort haben.
  • Wie in 2A gezeigt, kann die Client-Vorrichtung 104a in 226 den vom Zugangspunkt 102 empfangenen Skalar sB und das Element EB verifizieren und einen geheimen Schlüssel ermitteln (z.B. berechnen). Die Client-Vorrichtung 104a kann eine Bestätigungsnachricht 228 (eine „Confirm-Nachricht“) an den Zugangspunkt 102 übermitteln, um den Zugangspunkt 102 aufzufordern, ebenfalls den gemeinsamen Schlüssel zu ermitteln (230). Anschaulich kann jede Vorrichtung 102, 104a unabhängig den Schlüssel unter Verwendung des Skalars sA/B und des Elements EA/B berechnen, die sie von der anderen Vorrichtung 102, 104a erhalten hat. Der Zugangspunkt 102 kann dann eine Bestätigungsantwortnachricht 232 an die Client-Vorrichtung 104a senden. Die Vorrichtungen 102, 104a können dann die Korrektheit der von der anderen Vorrichtung 102, 104a erhaltenen Bestätigung überprüfen. Wenn die Vorrichtungen 102, 104a denselben Schlüssel ermitteln, ist die Authentifizierung erfolgreich, und die Client-Vorrichtung 104a kann sich mit dem Zugangspunkt 102 verbinden und Zugang zum Netzwerk erhalten.
  • Wie bereits erwähnt, kann eine herkömmliche WPA3-Authentifizierungsprozedur, wie beispielsweise in 2A gezeigt, anfällig für DoS-Angriffe sein, bei denen der Zugangspunkt 102 mit gefälschten Verbindungsanfragen überflutet wird (z.B. mit gefälschten Commit-Nachrichten von einer Client-Vorrichtung). Dieses Szenario ist in 2B und 2C anschaulich dargestellt.
  • Wie in 2B und 2C gezeigt, in einem nicht geschützten Szenario kann eine böswillige Client-Vorrichtung 242 einen Zugangspunkt 102 mit einer großen Anzahl von Verbindungsanfragen überfluten. Die Erstellung einer Verbindungsanfrage kann für den Angreifer einen relativ geringen Ressourcenverbrauch erfordern, so dass die Arbeitsbelastung des Angreifers relativ gering sein kann, wie in der Grafik 250a gezeigt. Andererseits kann die Beantwortung der Verbindungsanfragen einen relativ hohen Ressourcenverbrauch am Zugangspunkt 102 auslösen, was in relativ kurzer Zeit zu einer Sättigung der Arbeitslast führt, wie im Diagramm 250b gezeigt. Das entsprechende drahtlose Netzwerk 100, das von dem Zugangspunkt 102 verwaltet wird, kann somit durch die Überlastung des Zugangspunkts 102 praktisch lahmgelegt werden.
  • Die vorliegende Offenbarung bezieht sich auf eine Anpassung der Authentifizierungsprozedur (z.B. der WPA3-Authentifizierungsprozedur), um sie widerstandsfähig gegen DoS-Angriffe zu machen. Die hierin beschriebene Strategie basiert auf der Einführung eines Proof-of-Work für eine Client-Vorrichtung, die eine Verbindung mit einem Zugangspunkt herstellen möchte, um die Client-Vorrichtung zu zwingen, für jede Verbindungsanfrage Zeit (und Ressourcen) zu investieren. Auf diese Weise wird verhindert, dass die Client-Vorrichtung innerhalb einer kurzen Zeitperiode eine große Anzahl von Verbindungsanfragen stellt. Die Auslastung des Zugangspunkts kann so im Laufe der Zeit in einem vorbestimmten (z.B. akzeptablen) Bereich verbleiben, so dass ein reibungsloser Betrieb des Netzes gewährleistet wird.
  • 3 zeigt einen Netzwerk-Manager 300 in einer schematischen Ansicht gemäß verschiedener Aspekte. Der Netzwerk-Manager 300 kann einen Prozessor 302 und einen Speicher 304 aufweisen, der mit dem Prozessor 302 gekoppelt ist. Der Speicher 304 kann eingerichtet sein, um Anweisungen (z.B. Softwareanweisungen) zu speichern, die von dem Prozessor 302 ausgeführt werden. Die Anweisungen können den Prozessor 302 veranlassen, ein angepasstes Kommunikationsverfahren 310 durchzuführen, das unten noch detaillierter beschrieben wird. Aspekte, die in Bezug auf eine Konfiguration des Prozessors 302 beschrieben werden, können auch für das Verfahren 310 gelten und umgekehrt. Ein Netzwerk-Manager kann hierin auch als Netzwerk-Controller bezeichnet werden.
  • Im Allgemeinen kann der Netzwerk-Manager 300 eine dedizierte Vorrichtung in einem WLAN-Netzwerk (z.B. im WLAN-Netzwerk 100) sein. Beispielsweise kann sich der Netzwerk-Manager 300 physisch im WLAN-Netzwerk befinden, oder er kann sich an einem anderen Ort befinden (anschaulich in der „Cloud“) und kommunikativ mit den Netzwerkteilnehmern gekoppelt sein. In einer anderen Konfiguration können die Funktionen des Netzwerk-Managers 300 jedoch von einer der an der Kommunikation beteiligten Vorrichtungen implementiert werden, z.B. von dem Zugangspunkt 102.
  • Der Netzwerk-Manager 300 kann gemäß dem Verfahren 310 eingerichtet sein zum Steuern (z.B. zum Anweisen) eines Aufbauens einer Verbindung zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102. In einer beispielhaften Konfiguration kann der Zugangspunkt 102 den Netzwerk-Manager 300 aufweisen oder so eingerichtet sein, dass er die Funktion des Netzwerk-Managers implementiert.
  • Der Netzwerk-Manager 300 kann eingerichtet sein zum Steuern einer angepassten Authentifizierungsprozedur (z.B. einer angepassten WPA3-Authentifizierungsprozedur) zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102. Der Prozessor 302 kann somit eingerichtet sein zum Empfangen einer Lösung 312 einer Proof-of-Work-Aufgabe 314 von der Client-Vorrichtung 104a.
  • Zum Beispiel kann der Prozessor 302 eingerichtet sein zum Empfangen einer Nachricht (z.B. eines Frames) von der Client-Vorrichtung 104a, und die Nachricht kann die Lösung 312 der Proof-of-Work-Aufgabe 314 aufweisen. In einer beispielhaften Konfiguration, kann der Prozessor 302 eingerichtet sein zum Empfangen einer Commit-Nachricht von der Client-Vorrichtung 104a, welche die Lösung 314 der Proof-of-Work-Aufgabe 312 aufweist.
  • Im Allgemeinen kann die Lösung 312 jede geeignete Form haben oder annehmen, um einen Hinweis auf das Ergebnis der Proof-of-Work-Aufgabe 314 zu geben, wie es von der Client-Vorrichtung 104a ermittelt (z.B. berechnet) wurde. Die Art und/oder das Format der Lösung 312 kann in Abhängigkeit von der Art der Proof-of-Work-Aufgabe 314 variieren. Als Beispiele kann die Lösung 312 eine Zahl, eine Zeichenkette, ein Hash-Wert, ein Bild oder Ähnliches aufweisen. Zur Veranschaulichung kann die Lösung 312 als ein „Zeitnachweis“ verstanden werden, der von der Client-Vorrichtung 104a aufgewendet wurde, z.B. als Nachweis, dass die Client-Vorrichtung 104a eine bestimmte Menge an Rechenressourcen investiert hat. Die Lösung 312 kann anschaulich ein Ergebnis der Proof-of-Work-Aufgabe sein bzw. repräsentieren.
  • Der Prozessor 302 kann ferner eingerichtet sein zum Erlauben einer Authentifizierungsprozedur 320 (z.B. einer WPA3-Authentifizierungsprozedur 320, anschaulich, eines WPA3-Handshakes) zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102 falls, dass die Lösung 312 der Proof-of-Work-Aufgabe 314 eine vorbestimmte Lösung der Proof-of-Work-Aufgabe 314 entspricht. Anschaulich kann der Prozessor 302 eingerichtet sein zum Autorisieren der Client-Vorrichtung 104a, die (WPA3-)Authentifizierungsprozedur 320 mit dem Zugangspunkt 102 zu beginnen oder fortzusetzen, wenn die von der Client-Vorrichtung 104a gelieferte Lösung 312 positiv verifiziert wurde. Beispielsweise kann der Prozessor 302 eingerichtet sein zum Übertragen eines positiven Verifizierung-Tokens 318 an die Client-Vorrichtung 104a. Das positive Verifizierung-Token 318 kann eine positive Verifizierung der Lösung 312 der Proof-of-Work-Aufgabe 314 repräsentieren.
  • Allgemein kann das Verfahren 310 ein Verfahren zum Betreiben eines WLAN-Netzwerks sein. Das Verfahren 310 kann aufweisen: Verifizieren einer Lösung 312 einer Proof-of-Work-Aufgabe 314, wobei die Lösung 312 von einer Client-Vorrichtung 104a bereitgestellt wird; und falls, dass die Lösung 312 der Proof-of-Work-Aufgabe 314 einer vorbestimmten Lösung der Proof-of-Work-Aufgabe 314 entspricht, Erlauben einer Authentifizierungsprozedur 320 (z.B. einer WPA3-Authentifizierungsprozedur 320) zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102.
  • Im Allgemeinen kann die hierin beschriebene Strategie als Lösungs-Verifizierungsprozess oder als Challenge-Response-Prozess implementiert werden. In einem Lösungs-Verifizierungsszenario kann der Prozessor 302 die Lösung 312 von der Client-Vorrichtung 104a vor dem Beginn der (WPA3-)Authentifizierungsprozedur 320 empfangen. Zum Beispiel kann der Prozessor 302 die Lösung 312 als Teil einer Sondenanforderung von der Client-Vorrichtung 104a empfangen. In dieser beispielhaften Konfiguration kann der Prozessor 302 optional zusätzlich zu der Lösung 312 auch die zugehörige Proof-of-Work-Aufgabe von dem Client-Vorrichtung 104a empfangen.
  • In einer bevorzugten Konfiguration kann der Prozessor 302 eingerichtet sein, dass er die Client-Vorrichtung 104a auffordert, eine Proof-of-Work-Aufgabe 314 zu lösen und eine entsprechende Lösung zu liefern (siehe auch 4), z.B. als Teil der (WPA3-)Authentifizierungsprozedur 320. Diese Konfiguration ermöglicht einen flexibleren und sichereren Prozess für die Verwaltung des Zugangs zu einem WLAN-Netzwerk, wie weiter unten noch detaillierter erläutert wird.
  • Der Prozessor 302 kann eingerichtet sein zum Verifizieren der von der Client-Vorrichtung 104a empfangenen Lösung 312 der Proof-of-Work-Aufgabe 314. Der Prozessor 302 kann die Überprüfung der Lösung 312 auf jede geeignete Weise durchführen, je nach Art/Form, in der die Lösung 312 ausgedrückt ist. Im Allgemeinen kann eine Proof-of-Work-Aufgabe 314 so eingerichtet sein, dass die Suche nach einer Lösung relativ zeit- und ressourcenintensiv ist, während die Verifizierung der Lösung relativ einfach sein kann.
  • Als Beispiel kann der Prozessor 302 eingerichtet sein zum Vergleichen der Lösung 312 mit einer vorbestimmten (z.B. erwarteten) Lösung der Proof-of-Work-Aufgabe 314. Beispielsweise kann der Prozessor 302 auf eine Tabelle, wie eine Nachschlagetabelle, die z.B. im Speicher 304 gespeichert ist, zugreifen, um zu überprüfen, ob die Lösung 312 mit einer vorab gespeicherten Lösung für die entsprechende Proof-of-Work-Aufgabe übereinstimmt. Als weiteres Beispiel kann der Prozessor 302 eingerichtet sein, um eine Hash-Funktion für die Lösung 312 durchzuführen und den resultierenden Hash-Wert zu verifizieren. In einem weiteren Beispiel kann der Prozessor 302 die vorbestimmte Lösung empfangen, z.B. von einer Vorrichtung, die die Proof-of-Work-Aufgabe generiert (z.B. von dem in 4 beschriebenen Netzwerk-Manager 400).
  • Im Allgemeinen kann die Proof-of-Work-Verifizierung zu jedem geeigneten Zeitpunkt einer (WPA3-)Authentifizierungsprozedur durchgeführt werden, z.B. vor dem Start, während einer Entdeckungsphase, während eines Commit-Exchange usw. In einer bevorzugten Konfiguration kann die Proof-of-Work-Verifizierung während des Commit-Exchange der WPA3-Authentifizierungsprozedur zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102 durchgeführt werden. Es hat sich gezeigt, dass die Einführung der Proof-of-Work-Verifikation als Teil des Commit-Exchange zu einer erhöhten Einsparung von Rechenressourcen des Zugangspunkts 102a führt (siehe auch 7A und 7B).
  • Gemäß verschiedener Aspekte kann der Prozessor 302 eingerichtet sein, zum Auffordern (z.B. zum Anweisen) der Client-Vorrichtung 104a, die Lösung 312 der Proof-of-Work-Aufgabe 314 zu übertragen, während eines Commit-Exchange der WPA3-Authentifizierungsprozedur 320 zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102. Anschaulich kann der Prozessor 302 eingerichtet sein zum Übertragen einer Proof-of-Work-Nachricht an die Client-Vorrichtung 104a, um die Client-Vorrichtung 104a anzuweisen, die Lösung 312 der Proof-of-Work-Aufgabe 314 zu ermitteln und zu senden. In einer beispielhaften Konfiguration kann die Proof-of-Work-Nachricht zusätzlich die von der Vorrichtung 104a zu lösende Proof-of-Work-Aufgabe 314 aufweisen (bezüglich dieses Aspekts siehe auch die Beschreibung der 4 und 5).
  • Insbesondere kann der Prozessor 302 eingerichtet sein zum Auffordern (z.B. Anweisen) der Client-Vorrichtung 104a, die Lösung 312 der Proof-of-Work-Aufgabe 314 zu übertragen, bevor der Zugangspunkt 102 ein Passwortelement für die WPA3-Authentifizierungsprozedur 320 ermittelt. Dieses Timing der Proof-of-Work-Verifizierung kann sicherstellen, dass eine übermäßige und unnötige Arbeitsbelastung des Zugangspunktes 312 im Falle von unzulässigen Verbindungsanfragen vermieden wird. Im Allgemeinen kann der Prozessor 302 ferner eingerichtet sein bzw. werden zum Verifizieren der Lösung 312 der Proof-of-Work-Aufgabe 314, bevor der Zugangspunkt 120 das Passwortelement für die WPA3-Authentifizierungsprozedur 320 ermittelt. Dies kann dazu führen, dass die weitere Ermittlung des Passwortelements nur im Falle einer positiven Verifizierung der Lösung 312 erlaubt wird, wodurch Rechenressourcen am Zugangspunkt 102 eingespart werden.
  • Gemäß verschiedenen Aspekten kann der Prozessor 302 eingerichtet sein zum Anweisen des Zugangspunkts 102 und der Client-Vorrichtung 104a, die (WPA3-)Authentifizierungsverfahren 320 bei positiver Verifizierung der Lösung 312 einzuleiten oder fortzusetzen. Im Falle einer negativen Verifizierung, z.B. falls die Lösung 312 nicht der vorbestimmten Lösung entspricht, kann der Prozessor 302 die Autorisierung zur Durchführung der (WPA3-)Authentifizierungsprozedur 320 verweigern. Anschaulich kann der Prozessor 302 in diesem Szenario eingerichtet sein, um eine Unterbrechung der (WPA3-)Authentifizierungsprozedur 320 zu veranlassen.
  • In einer beispielhaften Konfiguration kann der Prozessor 302 eingerichtet sein zum Auffordern (z.B. Anweisen) des Zugangspunkts 102, ein Passwortelement für die WPA3-Authentifizierungsprozedur 320 zu ermitteln, falls die Lösung 312 der Proof-of-Work-Aufgabe 314 der vorbestimmten Lösung der Proof-of-Work-Aufgabe 314 entspricht. Anschaulich kann der Prozessor 302 eingerichtet sein, bei positiver Verifizierung des Ergebnisses 316 den Zugangspunkt 102 anzuweisen, noch mit dem Commit-Exchange der WPA3-Authentifizierungsprozedur 320 fortzufahren und das Passwortelement abzuleiten. Der Zugangspunkt 102 kann dann das Passwortelement nach Autorisierung durch den Prozessor 302 ableiten.
  • Aspekte, welche die Generierung und Übertragung der Proof-of-Work-Aufgabe betreffen, werden noch weiter detailliert in Bezug auf 4 erörtert.
  • 4 zeigt einen Netzwerk-Manager 400 in einer schematischen Ansicht, gemäß verschiedenen Aspekten. Der Netzwerk-Manager 400 kann einen Prozessor 402 und einen Speicher 404 aufweisen, der mit dem Prozessor 402 gekoppelt ist. Der Speicher 404 kann eingerichtet sein, um Anweisungen (z.B. Softwareanweisungen) zu speichern, die von dem Prozessor 402 ausgeführt werden. Die Anweisungen können den Prozessor 402 veranlassen, ein Kommunikationsverfahren 410 durchzuführen, das unten noch detaillierter beschrieben wird. Aspekte, die in Bezug auf eine Konfiguration des Prozessors 402 beschrieben werden, können auch für das Verfahren 410 gelten und umgekehrt.
  • Im Allgemeinen kann der Netzwerk-Manager 400 eine dedizierte Vorrichtung in einem WLAN-Netzwerk sein (z.B. im WLAN-Netzwerk 100). In einer anderen Konfiguration können die Funktionen des Netzwerk-Managers 400 jedoch von einer der an dem Verbindungsverfahren beteiligten Vorrichtungen implementiert werden, z.B. von dem Zugangspunkt. In einigen Aspekten können die Funktionen des Netzwerk-Managers 400 und des Netzwerk-Managers 300 in einer einzigen Vorrichtung kombiniert werden, die beide Funktionen durchführt (z.B. kann die Funktionalität des Prozessors 402 von dem Prozessor 302 durchgeführt werden und umgekehrt).
  • Zur Veranschaulichung kann der Netzwerk-Manager 400 eingerichtet sein zum Einführen eines Proof-of-Work als Teil einer Authentifizierungsprozedur 420 (z.B. einer WPA3-Authentifizierungsprozedur 420) zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102. Gemäß dem Verfahren 410 kann der Prozessor 402 eingerichtet sein zum Festlegen einer Proof-of-Work-Aufgabe 412 (z.B. die Proof-of-Work-Aufgabe 314). Wie oben erwähnt, kann der Prozessor 402 eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412 als Teil einer (WPA3-)Authentifizierungsprozedur 420 zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102. Anschaulich kann der Prozessor 402 eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412 zur Verifizierung einer Verbindungsanfrage der Client-Vorrichtung 104a im Rahmen der (WPA3-)Authentifizierungsprozedur 420. Der Prozessor 402 kann eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412 während der (WPA3-)Authentifizierungsprozedur 420 oder, in anderen Aspekten, vor dem Start der (WPA3-)Authentifizierungsprozedur 420.
  • Der Prozessor 402 kann eingerichtet sein zum Erkennen (z.B. Identifizieren) einer (WPA3-)Authentifizierungsprozedur 420 zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102. Anschaulich kann der Prozessor 402 eingerichtet sein zum Erkennen einer laufenden (WPA3-)Authentifizierungsprozedur 420 oder einer Absicht der Client-Vorrichtung 104a, die (WPA3-)Authentifizierungsprozedur 420 zu initiieren. Beispielsweise kann der Prozessor 402 eingerichtet sein zum Erkennen (z.B. Empfangen) einer Sondenanforderung von der Client-Vorrichtung 104a an den Zugangspunkt 102 oder eine Commit-Nachricht von der Client-Vorrichtung 104a an den Zugangspunkt 102. Der Prozessor 402 kann eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412 bei Erkennung der (WPA3-)Authentifizierungsprozedur 420.
  • Der Prozessor 402 kann ferner eingerichtet sein zum Übertragen der festgelegten Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a. Der Prozessor 402 kann beispielsweise eingerichtet sein zum Übertragen einer Proof-of-Work-Nachricht an die Client-Vorrichtung 414, und die Proof-of-Work-Nachricht (anschaulich eine Aufgabe-Nachricht) kann die Proof-of-Work-Aufgabe 412 aufweisen bzw. repräsentieren. Die Proof-of-Work-Nachricht kann ferner eine Anweisung aufweisen, um die Client-Vorrichtung 104a aufzufordern, die Proof-of-Work-Aufgabe 412 zu lösen (anschaulich, um eine Lösung der Proof-of-Work-Aufgabe 412 zu ermitteln).
  • Zur Veranschaulichung kann das Verfahren 410 ein Verfahren zum Betreiben eines WLAN-Netzwerks sein. Das Verfahren 410 kann aufweisen: Festlegen einer Proof-of-Work-Aufgabe 412 als Teil einer Authentifizierungsprozedur 420 (z.B. einer WPA3-Authentifizierungsprozedur 420) zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102; und Übertragen der festgelegten Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a.
  • Im Allgemeinen kann die Proof-of-Work-Aufgabe 412 eine beliebig geeignete Aufgabe sein, um eine Wartezeit für die Client-Vorrichtung 104a in ihrem Verbindungsverfahren mit dem Zugangspunkt 102 einzuführen. Die Proof-of-Work-Aufgabe 412 kann somit ein beliebig geeignetes Puzzle oder eine beliebig geeignete Herausforderung aufweisen, das/die die Client-Vorrichtung 104a dazu veranlasst, für eine bestimmte Zeitperiode Rechenressourcen zu verwenden. Zum Beispiel kann die Proof-of-Work-Aufgabe 412 so eingerichtet sein, dass die Client-Vorrichtung 104a eine Zeitspanne in einem vorbestimmten Zeitbereich für die Lösung der Proof-of-Work-Aufgabe 412 benötigt. Als numerisches Beispiel kann die Proof-of-Work-Aufgabe 412 so eingerichtet sein, dass die Client-Vorrichtung 104a mindestens 100 ms, mindestens 1 s oder mindestens 10 s benötigt, um eine Lösung für die Proof-of-Work-Aufgabe 412 zu finden. Eine Proof-of-Work-Aufgabe kann hierin auch als Proof-of-Work-Problem, Proof-of-Work-Challenge oder als Proof-of-Work-Puzzle bezeichnet werden.
  • Zum Festlegen der Proof-of-Work-Aufgabe 412 kann der Prozessor 402 eingerichtet sein, die Proof-of-Work-Aufgabe 412 (neu) zu generieren, z.B. „on the fly“ Parameter für die Proof-of-Work-Aufgabe 412 zu bestimmen (z.B. festzulegen). In anderen Aspekten kann der Prozessor 402 eingerichtet sein zum Auswählen der Proof-of-Work-Aufgabe 412 aus einer Vielzahl verfügbarer Proof-of-Work-Aufgaben. Zum Beispiel kann der Speicher 404 eine Datenbank speichern, die einen Satz von Proof-of-Work-Aufgaben aufweist, und der Prozessor 402 kann eingerichtet sein, um eine Proof-of-Work-Aufgabe 412 aus der Datenbank zur Übertragung an die Client-Vorrichtung 104a auszuwählen.
  • Wie in Bezug auf 3 beschrieben, kann der Proof-of-Work-Mechanismus im Allgemeinen zu jedem geeigneten Zeitpunkt der (WPA3-)Authentifizierungsprozedur eingeführt werden. Zum Beispiel kann der Prozessor 402 eingerichtet sein bzw. werden zum Einführen der Proof-of-Work-Aufgabe 412 in einem vom Zugangspunkt 102 gesendeten Beacon-Frame. Als weiteres Beispiel kann der Prozessor 402 eingerichtet sein bzw. werden zum Einführen der Proof-of-Work-Aufgabe 412 in einer vom Zugangspunkt 102 an die Vorrichtung 104a gesendeten Sondenantwort.
  • In einer bevorzugten Konfiguration kann der Prozessor 402 eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a während eines Commit-Exchange der WPA3-Authentifizierungsprozedur 420. In einigen Aspekten kann der Prozessor 402 ferner eingerichtet sein zum Festlegen (z.B. neu Generieren oder Abrufen) der Proof-of-Work-Aufgabe 412 während des Commit-Exchange der WPA-3-Authentifizierungsprozedur 420. Beispielsweise kann der Prozessor 402 so eingerichtet sein, dass er eine zuvor generierte Proof-of-Work-Aufgabe 412 abruft (z.B. aus dem Speicher 404) und eine solche zuvor generierte Proof-of-Work-Aufgabe 412 während des Commit-Exchange an die Client-Vorrichtung 104a übermittelt.
  • Gemäß verschiedenen Aspekten kann der Prozessor 402 eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 an die Client Vorrichtung 104a, bevor der Zugangspunkt 102 ein Passwortelement für die WPA3-Authentifizierungsprozedur 420 ermittelt. In einer beispielhaften Konfiguration kann der Prozessor 402 eingerichtet sein zum Festlegen (z.B. neu Generieren oder Abrufen) der Proof-of-Work-Aufgabe 412, bevor der Zugangspunkt 102 ein Passwortelement für die WPA3-Authentifizierungsprozedur 420 ermittelt.
  • Zum Beispiel kann der Prozessor 402 eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 als Reaktion darauf, dass der Zugangspunkt 102 eine Commit-Nachricht von der Client-Vorrichtung 104a empfängt. Anschaulich kann der Prozessor 402 eingerichtet sein, um das Timing des Proof-of-Work-Mechanismus basierend auf der Übertragung einer Commit-Nachricht von der Client-Vorrichtung 104a zu ermitteln (z.B. eine Commit-Nachricht, die den Skalar und das Element enthält). Der Prozessor 402 kann daher eingerichtet sein, um die Übertragung der Commit-Nachricht und/oder den Empfang der Commit-Nachricht am Zugangspunkt 102 zu erkennen und die Proof-of-Work-Aufgabe 412 zu übertragen, wenn der Prozessor 402 eine solche Übertragung/einen solchen Empfang erkannt hat. In einer beispielhaften Konfiguration kann der Prozessor 402 ferner eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412 als Reaktion darauf, dass der Zugangspunkt 102 eine Commit-Nachricht von der Client-Vorrichtung 104a empfängt (bzw. empfangen hat).
  • Gemäß verschiedenen Aspekten kann der Proof-of-Work-Mechanismus nicht automatisch implementiert werden (z.B. nicht für jede Verbindungsanfrage oder nicht für jede (WPA3-)Authentifizierungsprozedur), sondern auf intelligente Weise unter Berücksichtigung des Netzwerkszenarios. Die intelligente Implementierung des Proof-of-Work-Mechanismus kann eine effizientere Verwaltung der Netzressourcen ermöglichen, z.B. der Leistung des Zugangspunkts hinsichtlich des Ressourcenverbrauchs und/oder der Verarbeitungszeit. Beispielsweise kann ein Zugangspunkt dabei in die Lage versetzt werden, die Auslastung der Rechenzeit zu erkennen und entsprechend schwere Aufgaben an die Endgeräte zu schicken, die dem Netz beitreten wollen.
  • Gemäß verschiedenen Aspekten kann der Prozessor 402 eingerichtet sein zum Ermitteln basierend auf einem aktuellen Netzwerkszenario, ob die Proof-of-Work-Aufgabe 412 generiert werden soll oder ob von der Generierung der Proof-of-Work-Aufgabe 412 abgesehen werden soll. Der „Netzwerkszenario“ kann einen Zustand eines WLAN-Netzwerks beschreiben, z.B. zu einem bestimmten Zeitpunkt, z.B. in Bezug auf die Kommunikation und/oder Verbindungen, die mittels eines Zugangspunkts des WLAN-Netzwerks stattfinden. Ein „Netzwerkszenario“ kann sich auf eine oder mehrere Eigenschaften eines Betriebsszenarios des WLAN-Netzwerks beziehen, z.B. auf eine Anzahl von Client-Vorrichtungen, Downlink/Uplink-Anforderungen der Client-Vorrichtungen, Datenrate und dergleichen. Anschaulich kann der Prozessor 402 eingerichtet sein, um dynamisch eine „Time To Live“ (TTL) des Proof-of-Work-Mechanismus basierend auf dem Netzwerkszenario zu definieren.
  • Als Beispiel kann der Prozessor 402 eingerichtet sein zum Ermitteln einer Anzahl von Verbindungsanfragen, die an dem Zugangspunkt 102 innerhalb einer vorbestimmten Zeitperiode empfangen wurden. Beispielsweise kann der Prozessor 402 eingerichtet sein zum Ermitteln, wie viele Verbindungsanfragen der Zugangspunkt 102 in den letzten 5 Minuten oder in der letzten 1 Minute oder in den letzten 30 Sekunden empfangen hat, als numerische Beispiele.
  • Der Prozessor 402 kann eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a, falls die Anzahl der Verbindungsanfragen in einem vorbestimmten Bereich liegt. Beispielsweise kann der Prozessor 402 eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a falls die Anzahl der Verbindungsanfragen größer als einem vorbestimmten Wert ist, z.B. größer als 10, größer als 50 oder größer als 100, als numerische Beispiele. In einigen Aspekten kann der Prozessor 402 ferner eingerichtet sein zum Festlegen der Proof-of-Work-Aufgabe 412, falls die Anzahl der Verbindungsanfragen in dem vorbestimmten Bereich liegt.
  • Falls die Anzahl der Verbindungsanfragen relativ gering ist (z.B. weniger als zehn pro Minute, als Beispiel), kann der Prozessor 402 darauf verzichten, die Proof-of-Work-Aufgabe 412 zu festlegen/übertragen. In diesem Szenario kann die (WPA3-)Authentifizierungsprozedur 420 zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102 gemäß einer herkömmlichen Konfiguration ablaufen (z.B. wie in 2A gezeigt). Dieser Ansatz ermöglicht es, den Proof-of-Work-Mechanismus nur dann zu aktivieren, wenn dies erforderlich ist, um den Zugangspunkt 102 vor Überlastung zu schützen und so eine effiziente Verwaltung der Netzressourcen zu gewährleisten.
  • Als weiteres Beispiel, zusätzlich oder alternativ, kann der Prozessor 402 eingerichtet sein zum Ermitteln einer (derzeitigen) Auslastung des Zugangspunkts 102, z.B. eine aktuelle Erschöpfung der Rechenressourcen des Zugangspunkts 102. Der Prozessor 402 kann eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 412 an die Client-Vorrichtung 104a, falls die Auslastung des Zugangspunkts 102 in einem vorbestimmten Bereich liegt, z.B. falls die Auslastung größer als ein vorbestimmter Schwellenwert ist.
  • Zusätzlich oder alternativ zu der Entscheidung, ob der Proof-of-Work-Mechanismus aktiviert werden soll, kann auch die Schwierigkeit der Proof-of-Work-Aufgabe 412 dynamisch basierend auf dem Netzwerkszenario angepasst werden. Dadurch kann die Wartezeit für eine Client-Vorrichtung 104a dynamisch angepasst (z.B. erhöht oder verringert) werden. Um zu verhindern, dass ein Angreifer beliebig viele gültige Proofs im Voraus berechnet, um sie in kurzer Zeit abzusenden, kann es sich bei den PoW-Mechanismen um interaktive Mechanismen handeln. Der Netzwerk-Manager (z.B. der Zugangspunkt) kann dadurch dynamisch die Schwierigkeit und die Lebensdauer des erfolgreichen PoW festlegen.
  • Gemäß verschiedenen Aspekten kann der Prozessor 402 eingerichtet sein zum Modifizieren eines Schwierigkeitsgrads (anschaulich einer Schwierigkeit) der Proof-of-Work-Aufgabe 412 basierend auf einem oder mehreren Netzwerkparametern. Die Netzwerkparameter können jeden Parameter aufweisen, um eine geeignete Wartezeit für die Client-Vorrichtung 104a zu ermitteln. Als Beispiele können die Netzwerkparameter aufweisen: eine Anzahl von mit dem Zugangspunkt 102a (bereits) verbundenen Client-Vorrichtungen 104, eine Anzahl von in einer vorbestimmten Zeitperiode am Zugangspunkt 102 empfangenen Verbindungsanfragen, eine Auslastung des Zugangspunkts 102 und/oder Kombinationen davon. Als beispielhafte Implementierung kann der Prozessor eingerichtet sein zum Auswählen einer Kostenfunktion für die Proof-of-Work-Aufgabe 412 (z.B. basierend auf den Netzwerkparametern) und zum Übertragen der ausgewählten Kostenfunktion an die Client-Vorrichtung 104a (anschaulich, gemeinsam mit der Proof-of-Work-Aufgabe 412).
  • Zum Beispiel kann der Prozessor 402 den Schwierigkeitsgrad der Proof-of-Work-Aufgabe 412 erhöhen, falls der Zugangspunkt 102 derzeit eine relativ hohe Auslastung hat (z.B. größer als ein vorbestimmter Schwellenwert). Entsprechend kann der Prozessor 402 den Schwierigkeitsgrad der Proof-of-Work-Aufgabe 412 verringern, wenn der Zugangspunkt 102 derzeit eine relativ geringe Auslastung aufweist (z.B. kleiner als ein vorbestimmter Schwellenwert).
  • 5 zeigt einen Netzwerk-Manager 500 in einer schematischen Ansicht, gemäß verschiedenen Aspekten. Der Netzwerk-Manager 500 kann einen Prozessor 502 und einen Speicher 504 aufweisen, der mit dem Prozessor 502 gekoppelt ist. Der Speicher 504 kann eingerichtet sein, um Anweisungen (z.B. Softwareanweisungen) zu speichern, die von dem Prozessor 502 ausgeführt werden. Die Anweisungen können den Prozessor 502 veranlassen, ein Kommunikationsverfahren 510 durchzuführen, das unten noch detaillierter beschrieben wird. Aspekte, die in Bezug auf eine Konfiguration des Prozessors 502 beschrieben werden, können auch für das Verfahren 510 gelten und umgekehrt.
  • Der Netzwerk-Manager 500 (z.B. der Prozessor 502) kann gemäß einer Kombination der Aspekte arbeiten, die in Bezug auf den Netzwerk-Manager 300 und den Netzwerk-Manager 400 beschrieben wurden. Wie in Bezug auf den Netzwerk-Manager 300, 400 erwähnt, kann der Netzwerk-Manager 500 eine dedizierte Vorrichtung in einem WLAN-Netzwerk sein oder Teil einer der Vorrichtungen des Netzwerks. Zum Beispiel kann der Zugangspunkt 102 den Netzwerk-Manager 500 aufweisen oder so eingerichtet sein, dass er die Funktionen des Netzwerk-Managers 500 durchführt.
  • Anschaulich kann der Prozessor 502 eingerichtet sein zum Festlegen einer Proof-of-Work-Aufgabe 512 als Teil einer Authentifizierungsprozedur 520 (z.B. einer WPA3-Authentifizierungsprozedur 520) zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102. Der Prozessor 502 kann eingerichtet sein zum Übertragen der Proof-of-Work-Aufgabe 512 an die Client-Vorrichtung 104a, z.B. während eines Commit-Exchange der WPA3-Authentifizierungsprozedur 520, z.B. bevor der Zugangspunkt 102 ein Passwortelement ableitet.
  • Der Prozessor 502 kann ferner eingerichtet sein zum Empfangen von der Client-Vorrichtung 104a einer Lösung 514 der Proof-of-Work-Aufgabe 512. Der Prozessor 502 kann ferner eingerichtet sein zum Überprüfen der empfangenen Lösung, z.B. kann er eingerichtet sein zum Ermitteln, ob die empfangene Lösung 514 einer vorbestimmten Lösung der Proof-of-Work-Aufgabe 512 entspricht.
  • Der Prozessor 502 kann ferner eingerichtet sein zum Erlauben der Authentifizierungsprozedur 520 (z.B. der WPA3-Authentifizierungsprozedur 520, anschaulich, eines WPA3-Handshakes) zwischen der Client-Vorrichtung 104a und dem Zugangspunkt 102 im Falle einer positiven Verifizierung der Lösung 514, z.B. falls die Lösung 514 der Proof-of-Work-Aufgabe 512 der vorbestimmten Lösung der Proof-of-Work-Aufgabe 512 entspricht. Beispielsweise kann der Prozessor 502 eingerichtet sein zum Übertragen eines positiven Verifizierung-Tokens 516 an die Client-Vorrichtung 104a. Die Client-Vorrichtung 104a kann die Verifizierungs-Tokens 516 verwenden, um die (WPA3-)Authentifizierungsprozedur 520 mit dem Zugangspunkt 102 einzuleiten oder fortzusetzen.
  • 6 zeigt den Proof-of-Work-Mechanismus aus dem „Blickwinkel“ einer Client-Vorrichtung 104a in einer schematischen Ansicht gemäß verschiedener Aspekte. Anschaulich zeigt 6 den Betrieb eines Prozessors 602 der Client-Vorrichtung 104a (z.B. gekoppelt mit einem Speicher 604), um einen Kommunikationsprozess 610 durchzuführen, der den Empfang/Lösung einer Proof-of-Work-Aufgabe zur Verbindung mit einem Zugangspunkt aufweist.
  • Der Prozessor 602 kann eingerichtet sein zum Initiieren einer Authentifizierungsprozedur 612 (z.B. einer WPA-3-Authentifizierungsprozedur 612) mit einem Zugangspunkt 102. Anschaulich kann der Prozessor 602 eingerichtet sein zum Senden einer Verbindungsanfrage an den Zugangspunkt 602.
  • Der Prozessor 602 kann ferner eingerichtet sein zum Empfangen einer Proof-of-Work-Aufgabe 614 als Teil der initiierten (WPA3-)Authentifizierungsprozedur 612. Zum Beispiel kann der Prozessor 602 die Proof-of-Work-Aufgabe 614 während eines Commit-Exchange der WPA3-Authentifizierungsprozedur 612 empfangen. Zum Beispiel kann der Prozessor 602 die Proof-of-Work-Aufgabe 614 als Antwort auf eine Commit-Nachricht empfangen, die von der Client-Vorrichtung 104a an den Zugangspunkt 102 gesendet wurde.
  • Der Prozessor 602 kann ferner eingerichtet sein zum Ermitteln (z.B. Berechnen) einer Lösung 616 der empfangenen Proof-of-Work-Aufgabe 614. Der Prozessor 602 kann ferner eingerichtet sein zum Übertragen der ermittelten Lösung 616, z.B. an den Zugangspunkt 102 oder an einen Netzwerk-Manager des WLAN-Netzwerks. Beispielsweise kann der Prozessor 602 eingerichtet sein zum Übertragen einer Commit-Nachricht, welche die Lösung 616 der Proof-of-Work-Aufgabe 614 aufweist bzw. repräsentiert.
  • Der Prozessor 602 kann ferner eingerichtet sein zum Fortfahren mit der (WPA3-)Authentifizierungsprozedur 612 basierend auf einer Verifizierung der übertragenen Lösung 616. Beispielsweise kann der Prozessor 602 eingerichtet sein zum Empfangen einer Autorisierungsnachricht (anschaulich, ein positives Verifizierung-Token), die repräsentiert, ob die Client-Vorrichtung 104a mit der initiierten (WPA3-)Authentifizierungsprozedur 612 fortfahren darf, abhängig von einer Verifizierung der ermittelten Lösung der Proof-of-Work-Aufgabe 614.
  • Anschaulich kann eine Client-Vorrichtungen 104a (ein Endgerät) auf ihrer Seite in der Lage sein, das neue Protokoll zu lesen, auszuwerten und die entsprechende Aufgabe zu erfüllen. Eine Client-Vorrichtung kann eine geeignete Auswahl verschiedener geeigneter PoW-Verfahren kennen, um jeweils auf die Anfragen des Netzwerk-Managers (z.B. des Zugangspunkts) ordnungsgemäß antworten zu können.
  • 7A zeigt eine angepasst WPA3-Authentifizierungsprozedur 700 zwischen einer Client-Vorrichtung 104a und einem Zugangspunkt 102.
  • Anschaulich zeigt 7A eine WPA3-Authentifizierungsprozedur 700, die eine Proof-of-Work-Verifizierung 702 aufweist. Insbesondere ist in der WPA3-Authentifizierungsprozedur 700 die Proof-of-Work-Verifizierung 702 Teil des Commit-Exchange 208, was der bevorzugte Anwendungsfall der hierin beschriebenen Strategie sein kann. Es versteht sich jedoch, dass die in Bezug auf die WPA3-Authentifizierungsprozedur 700 beschriebenen Aspekte in entsprechender Weise auch für das Szenario gelten können, in dem die Proof-of-Work-Verifizierung zu einem anderen Zeitpunkt der Authentifizierungsprozedur eingeführt wird. Dem bisherigen Authentifizierungs-Handshake (mit Anfrage und Bestätigung) wird ein weiterer Schritt vorangestellt, in dem die Teilnehmer voneinander einen PoW einer bestimmten Schwierigkeit verlangen. Die Protokollgestaltung kann dabei auf beiden Seiten identisch sein, da der Anmeldeprozess symmetrisch ist. Das kann für den Einsatz im Mesh relevant sein.
  • Wie in 7A dargestellt kann der Zugangspunkt 102 (oder alternativ ein „externer“ Netzwerk-Manager) eine Proof-of-Work-Aufgabe 704 (eine PoW-Challenge) erstellen. Der Zugangspunkt 102 kann eine Kostenfunktion f der Proof-of-Work-Aufgabe 704 wählen und die Schwierigkeit der Proof-of-Work-Aufgabe 704 parametrisieren.
  • Anschließend kann die Client-Vorrichtung 104a (STA) die Challenge lösen, damit ihre Verbindungsanfrage bearbeitet und damit eine Rechenaufwand von dem Zugangspunkt 102 nur in dem Fall investiert wird, dass die Client-Vorrichtung 104a eine gültige Lösung geliefert hat. Anschaulich kann die Client-Vorrichtung 104a eine (zweite) Commit-Nachricht 706 (einen Commit-Frame) schicken, welche den Skalar sA, das Element EA, und die Lösung x der Proof-of-Work-Aufgabe 704 aufweist bzw. repräsentiert.
  • Durch die Verwendung des bisherigen Austauschs des Tokens für diese Nachrichten, ist die Kompatibilität zu bisherigen WPA3-fähigen Geräten sichergestellt. Die hierin beschriebene Strategie kann damit die aufwendige Berechnung von PE absichern. Es handelt sich also nicht um eine allgemeine Absicherung von Wi-Fi, sondern um die konkrete Absicherung eines Arbeitsschrittes in der Authentisierung von WPA3 (der Berechnung von PE).
  • Auch wenn es in 7A nicht gezeigt ist, kann die WPA3-Authentifizierungsprozedur 700, in einigen Aspekten, noch den Austausch eines Deny-Tokens aufweisen (z.B. vor der Proof-of-Work-Verifizierung 702).
  • 7B und 7C veranschaulichen ein Szenario, in dem ein WLAN-Netzwerk mit der hierin beschriebenen Strategie geschützt wird. Wie gezeigt, würde selbst in dem Fall, dass eine böswillige Client-Vorrichtung 710 den Zugangspunkt 102 mit einer großen Anzahl von gefälschten Anfragen überfluten wollte, die Aktivierung (und dynamische Anpassung) des Proof-of-Work-Mechanismus den Angreifer daran hindern, den Zugangspunkt 102 zu erschöpfen. Anschaulich gesagt, benötigt der Angreifer 710 mit dem Proof-of-Work-Mechanismus für jede weitere Verbindungsanfrage mehr Zeit, um sie erfolgreich an den Zugangspunkt 102 zu senden (z.B. unter Berücksichtigung einer dynamischen Erhöhung des Schwierigkeitsgrads der Proof-of-Work-Aufgaben).
  • In diesem Szenario nimmt die Auslastung des Angreifers 710 mit der Zeit zu, wie im Diagramm 750a gezeigt, während die Auslastung des Zugangspunkts 102 nicht in die Sättigung geht, wie im Diagramm 750b gezeigt, so dass der Zugangspunkt 102 weiterhin die anderen Vorrichtungen des WLAN-Netzwerks 100 bedienen kann.
  • Gemäß verschiedener Aspekte kann ein Computerprogrammprodukt bereitgestellt werden, wobei das Computerprogrammprodukt Befehle aufweist, die, wenn das Programm von einem Computer ausgeführt wird, den Computer veranlassen, eines der hierin beschriebenen Verfahren (z.B. die Verfahren 310, 410, 510, 610) durchzuführen.
  • Der Begriff „Speicher“, wie er hierin verwendet wird, kann als ein computerlesbares Medium (z.B. ein nichttransitorisches computerlesbares Medium) verstanden werden, in dem Daten oder Informationen zum Abruf gespeichert werden können. Die hierin enthaltenen Verweise auf „Speicher“ können daher so verstanden werden, dass sie sich auf flüchtige oder nichtflüchtige Speicher beziehen, einschließlich Direktzugriffsspeicher (RAM), Festwertspeicher (ROM), Flash-Speicher, Solid-State-Speicher, Magnetband, Festplattenlaufwerk, optisches Laufwerk, und andere, oder eine beliebige Kombination davon. Register, Schieberegister, Prozessorregister, Datenpuffer usw. werden hierin ebenfalls unter dem Begriff Speicher gefasst. Der Begriff „Software“ bezieht sich auf alle Arten von ausführbaren Befehlen, einschließlich Firmware.
  • Der Begriff „Prozessor“, wie hierin verwendet, kann als jede Art von technischer Einrichtung verstanden werden, die die Verarbeitung von Daten ermöglicht. Die Daten können gemäß einer oder mehrerer spezifischer Funktionen bearbeitet werden, welche von dem Prozessor ausgeführt werden. Ferner kann ein Prozessor, wie hierin verwendet, als jede Art von Schaltung verstanden werden, z.B. jede Art von analoger oder digitaler Schaltung. Ein Prozessor kann somit eine analoge Schaltung, eine digitale Schaltung, eine Mixed-Signal-Schaltung, eine Logik-Schaltung, ein Prozessor, ein Mikroprozessor, ein Hauptprozessor (CPU), ein Grafikprozessor (GPU), ein digitaler Signalprozessor (DSP), ein Universalschaltkreis (FPGA), eine integrierte Schaltung, eine anwendungsspezifische integrierte Schaltung (ASIC), usw. oder eine beliebige Kombination davon sein oder aufweisen. Jede andere Art von Implementierung der jeweiligen Funktionen, welche detaillierter beschrieben wurden, kann ebenfalls als Prozessor verstanden werden. Es versteht sich, dass jede zwei (oder mehr) der hierin beschriebenen Prozessoren als eine einzige Einrichtung mit äquivalenter Funktionalität oder Ähnlichem realisiert werden können, und dass umgekehrt jeder einzelne hierin detailliert beschriebene Prozessor als zwei (oder mehr) separate Einrichtungen mit äquivalenter Funktionalität oder Ähnlichem realisiert werden kann.
  • Der Begriff „Berechnen“ umfasst sowohl „direkte“ Berechnungen mittels eines mathematischen Ausdrucks/einer Formel/einer Beziehung als auch „indirekte“ Berechnungen mittels Lookup- oder Hash-Tabellen und anderen Array-Indexierungs- oder Suchoperationen.
  • Die vorstehende Beschreibung wurde nur als Beispiel gegeben, und der Fachmann wird verstehen, dass Änderungen vorgenommen werden können, ohne vom breiteren Umfang der Erfindung, wie sie in den Patentansprüchen dargelegt ist, abzuweichen. Die Beschreibung und die Zeichnungen sind daher eher in anschaulichem Sinne als in einschränkendem Sinne zu verstehen.
  • Es ist verstanden, dass die Implementierungen der hierin detailliert beschriebenen Verfahren demonstrativen Charakter haben und sind daher als geeignet verstanden, in einer entsprechenden Vorrichtung implementiert werden zu können. Ebenso ist verstanden, dass Implementierungen von hierin detailliert beschriebenen Vorrichtungen als geeignet verstanden sind, als ein entsprechendes Verfahren implementiert werden zu können. Es versteht sich somit, dass eine Vorrichtung, die einem hierin detailliert beschriebenen Verfahren entspricht, eine oder mehrere Komponenten aufweisen kann, die eingerichtet sind zum Durchführen jedes Aspekts des zugehörigen Verfahrens.

Claims (11)

  1. Netzwerk-Manager (300) aufweisend: einen Prozessor (302), der eingerichtet ist zum: Empfangen einer Lösung (312) einer Proof-of-Work-Aufgabe (314) von einer Client-Vorrichtung (104a); und falls die empfangene Lösung (312) der Proof-of-Work-Aufgabe (314) einer vorbestimmten Lösung der Proof-of-Work-Aufgabe (314) entspricht, Erlauben einer WPA3-Authentifizierungsprozedur (320) zwischen der Client-Vorrichtung (104a) und einem Zugangspunkt (102).
  2. Netzwerk-Manager (300) gemäß Anspruch 1, wobei der Prozessor (302) eingerichtet ist zum Auffordern der Client-Vorrichtung (104a), die Lösung (312) der Proof-of-Work-Aufgabe (314) zu übertragen, während eines Commit-Exchange der WPA3-Authentifizierungsprozedur (320) zwischen der Client-Vorrichtung (104a) und dem Zugangspunkt (102).
  3. Netzwerk-Manager (300) gemäß Anspruch 1 oder 2, wobei der Prozessor (302) eingerichtet ist zum Auffordern der Client-Vorrichtung (104a), die Lösung (312) der Proof-of-Work-Aufgabe (314) zu übertragen, bevor der Zugangspunkt (102) ein Passwortelement für die WPA3-Authentifizierungsprozedur (320) ermittelt.
  4. Netzwerk-Manager (300) gemäß einem der Ansprüche 1 bis 3, wobei der Prozessor (302) eingerichtet ist zum Anweisen des Zugangspunkts (102), ein Passwortelement für die WPA3-Authentifizierungsprozedur (320) zu ermitteln, falls die empfangene Lösung (312) der Proof-of-Work-Aufgabe (314) der vorbestimmten Lösung der Proof-of-Work-Aufgabe (314) entspricht.
  5. Netzwerk-Manager (300) gemäß einem der Ansprüche 1 bis 4, wobei der Prozessor (302) ferner eingerichtet ist zum Verifizieren der empfangenen Lösung (312) der Proof-of-Work-Aufgabe (314).
  6. Netzwerk-Manager (400) aufweisend: einen Prozessor (402), der eingerichtet ist zum: Festlegen einer Proof-of-Work-Aufgabe (412) als Teil einer WPA3 Authentifizierungsprozedur (420) zwischen einer Client-Vorrichtung (104a) und einem Zugangspunkt (102); und Übertragen der festgelegten Proof-of-Work-Aufgabe (412) an die Client Vorrichtung (104a).
  7. Netzwerk-Manager (400) gemäß Anspruch 6, wobei der Prozessor (402) eingerichtet ist zum Festlegen der Proof-of-Work-Aufgabe (412) während eines Commit-Exchange der WPA3-Authentifizierungsprozedur (420) zwischen der Client-Vorrichtung (104a) und dem Zugangspunkt (102).
  8. Netzwerk-Manager (400) gemäß Anspruch 6 oder 7, wobei der Prozessor (402) eingerichtet ist zum Festlegen der Proof-of-Work-Aufgabe (412) als Reaktion darauf, dass der Zugangspunkt (102) eine Commit-Nachricht von der Client-Vorrichtung (104a) empfängt.
  9. Netzwerk-Manager (400) gemäß einem der Ansprüche 6 bis 8, wobei der Prozessor (402) eingerichtet ist zum: Ermitteln einer Anzahl von Verbindungsanfragen, die an dem Zugangspunkt (102) innerhalb einer vorbestimmten Zeitperiode empfangen wurden; und Festlegen der Proof-of-Work-Aufgabe (412), falls die Anzahl der Verbindungsanfragen in einem vorbestimmten Bereich liegt.
  10. Netzwerk-Manager (400) gemäß einem der Ansprüche 6 bis 9, wobei der Prozessor (402) eingerichtet ist zum Festlegen der Proof-of-Work-Aufgabe (412) und zum Übertragen der festgelegten Proof-of-Work-Aufgabe (412) an die Client-Vorrichtung (104a), bevor der Zugangspunkt (102) ein Passwortelement für die WPA3-Authentifizierungsprozedur (420) ermittelt.
  11. Netzwerk-Manager (300) aufweisend: einen Prozessor (302), der eingerichtet ist zum: Auffordern einer Client-Vorrichtung (104a), eine Lösung (312) einer Proof-of-Work-Aufgabe (314) zu übertragen, während eines Commit-Exchange einer Authentifizierungsprozedur (320) zwischen der Client-Vorrichtung (104a) und einem Zugangspunkt (102); Empfangen der Lösung (312) der Proof-of-Work-Aufgabe (314) von der Client-Vorrichtung (104a); und falls die empfangene Lösung (312) der Proof-of-Work-Aufgabe (314) einer vorbestimmten Lösung der Proof-of-Work-Aufgabe (314) entspricht, Erlauben der Authentifizierungsprozedur (320) zwischen der Client-Vorrichtung (104a) und dem Zugangspunkt (102).
DE102022132703.5A 2022-12-08 2022-12-08 Resilienzmechanismus gegen Dienstverweigerung-Angriffe Pending DE102022132703A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022132703.5A DE102022132703A1 (de) 2022-12-08 2022-12-08 Resilienzmechanismus gegen Dienstverweigerung-Angriffe

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022132703.5A DE102022132703A1 (de) 2022-12-08 2022-12-08 Resilienzmechanismus gegen Dienstverweigerung-Angriffe

Publications (1)

Publication Number Publication Date
DE102022132703A1 true DE102022132703A1 (de) 2024-06-13

Family

ID=91186039

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022132703.5A Pending DE102022132703A1 (de) 2022-12-08 2022-12-08 Resilienzmechanismus gegen Dienstverweigerung-Angriffe

Country Status (1)

Country Link
DE (1) DE102022132703A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200037158A1 (en) * 2018-07-30 2020-01-30 Hewlett Packard Enterprise Development Lp Systems and methods for using smart contract and light and sound emitting assets provisioned with distributed ledger addresses to identify and locate assets

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200037158A1 (en) * 2018-07-30 2020-01-30 Hewlett Packard Enterprise Development Lp Systems and methods for using smart contract and light and sound emitting assets provisioned with distributed ledger addresses to identify and locate assets

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
D. Harkins, Ed.; Dragonfly Key Exchange (RFC 7664); Internet Research Task Force (IRTF); Aruba Networks; ISSN: 2070-1721; November 2015 *

Similar Documents

Publication Publication Date Title
DE602004003856T2 (de) Verfahren und Vorrichtung zur Authentifizierung in einem Kommunikationssystem
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE60310968T2 (de) Sicherheits- und Privatsphärenverbesserungen für Sicherheitseinrichtungen
DE602004004844T2 (de) Authentifizierung des Zugriffs auf ein drahtloses Local Area Network basierend auf Sicherheitswerte(n), die einem zellularen Mobilfunksystem zugeordnet sind
DE112006002200B4 (de) Gerät für die drahtlose Kommunikation und Verfahren zum Schützen rundgesendeter Verwaltungssteuernachrichten in drahtlosen Netzwerken
DE102019218394A1 (de) Bereitstellung von elektronischen teilnehmeridentitätsmodulen für mobile drahtlose vorrichtungen
DE102017215230B4 (de) Sichere kontrolle von profilrichtlinienregeln
DE112017000483T5 (de) System, gerät und verfahren für schlüsselbereitstellungsdelegation
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE102016204285A1 (de) Mobile Vorrichtung-zentrische elektronische Teilnehmer-Identitätsmodul(Electronic Subscriber ldentity Module, eSIM)-Bereitstellung
DE102012103106A1 (de) Verfahren zum Authentifizieren eines Nutzers an einem Dienst auf einem Diensteserver, Applikation und System
DE102021127364A1 (de) Anschluss von geräten des internet of things ( i0t) an ein drahtloses netz
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
WO2023046457A1 (en) Restricting onboard traffic
CN116368833A (zh) 针对边缘计算服务的安全连接的建立和认证的方法和系统
DE102022109119A1 (de) Verwaltung des sich gegenseitig ausschliessenden zugangs zu netzwerk-slices
DE102022130608A1 (de) Datenschutzbehandlung von medienzugangssteuerung (mac)-adressen
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP3967066B1 (de) Verfahren, mobilfunkendgerät, netzzugangsknoten und computerprogrammprodukt zur konfiguration einer funkverbindung
DE112023003450T5 (de) Verfahren und systeme zur verbesserten sicherheitseinrichtung
DE102024115609A1 (de) Kommunikationssystem, Authentifizierungsverfahren und Speichermedium
DE102022132703A1 (de) Resilienzmechanismus gegen Dienstverweigerung-Angriffe
DE112023003358T5 (de) Zertifikat von einem server
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication