DE10341873A1 - Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium - Google Patents

Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium Download PDF

Info

Publication number
DE10341873A1
DE10341873A1 DE10341873A DE10341873A DE10341873A1 DE 10341873 A1 DE10341873 A1 DE 10341873A1 DE 10341873 A DE10341873 A DE 10341873A DE 10341873 A DE10341873 A DE 10341873A DE 10341873 A1 DE10341873 A1 DE 10341873A1
Authority
DE
Germany
Prior art keywords
authentication
identification module
data
networks
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10341873A
Other languages
English (en)
Inventor
Magnus H. Bergs
Djamshid Prof. Dr. Tavangarian
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LOCAL WEB AG
LOCAL-WEB AG
Original Assignee
LOCAL WEB AG
LOCAL-WEB AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LOCAL WEB AG, LOCAL-WEB AG filed Critical LOCAL WEB AG
Priority to DE10341873A priority Critical patent/DE10341873A1/de
Priority to US10/932,935 priority patent/US20050195778A1/en
Priority to PCT/EP2004/010074 priority patent/WO2005024543A2/de
Publication of DE10341873A1 publication Critical patent/DE10341873A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium, welche insbesondere einsetzbar sind, um einen sicheren Zugang zu WLAN-Netzen aufzubauen. DOLLAR A Hierfür wird vorgeschlagen, für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, eine Vorrichtung einzusetzen, wobei die Vorrichtung eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul umfaßt, wobei das Authentisierungs- und/oder Identifikations-Modul derart eingerichtet ist, daß die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes durchgeführt wird.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium, welche insbesondere einsetzbar sind, um einen sicheren Zugang zu WLAN-Netzen aufzubauen.
  • Zum jetzigen Zeitpunkt entsteht eine Vielzahl neuer Hotspots in kleineren und größeren WLAN-Netzen. Diese werden durch unterschiedliche Provider mit jeweils eigenen Zugangs- und Abrechnungsverfahren angeboten. Dabei fehlt es bisher an Lösungen, die einerseits eine sichere Zugangsregelung und Abrechnung erlauben und andererseits für einen Nutzer einfach zu handhaben sind und eine transparente Nutzung der Infrastruktur erlauben. Diese Eigenschaften werden in allgegenwärtigen GSM-Netzen mit der dort verwendeten SIM-Karte erreicht. Für WLAN-Netze fehlt bisher eine solche Möglichkeit.
  • Gegenwärtig existieren verschiedene Verfahren zur Authentisierung bzw. Identifizierung nach IEEE 802.1X (EAP/TLS, LEAP, PEAP). Diese werden von vielen auf dem Markt befindlichen WLAN Access Points unterstützt, wobei je nach Hersteller verschiedene Varianten angeboten werden. Die Authentisierung des Clients erfolgt in derzeitigen Systemen überwiegend per Software. Diese Funktionalität kann im Betriebssystem enthalten sein oder durch eine zusätzliche Software, z.B. vom Hersteller der WLAN-Hardware, vorgenommen werden.
  • Der Einsatz eines Authentisierungssystems erfordert eine Abstimmung aller an der Authentisierung beteiligten Komoponenten (RADIUS-Server [RADIUS = Remote Authentication Dial In User Service], Access Point, WLAN-Hardware, Betriebssystem, Authentisierungssoftware) aufeinander. Die komplexen Abhängigkeiten unter den Komponenten, speziell innerhalb des Clients, sind ein wesentlicher Grund für die geringe Verbreitung.
  • Ein wesentlicher Nachteil einer Authentisierung mittels Software ist die relativ leichte Angreifbarkeit dieses Prozesses. Auf dem Client muss ein geheimer Schlüssel oder ein Passwort hinterlegt werden. Durch eine Manipulation des Systems, z.B. durch Trojanische Pferde, ist es prinzipiell relativ einfach möglich, an die geheimen Informationen zu gelangen.
  • Im Rahmen der Weiterentwicklung der aktuellen WLAN-Technik gibt es eine Reihe von Bestrebungen zur Erhöhung der Sicherheit. Der Fokus liegt dabei auf der Sicherheit der Datenübertragung über die Luftschnittstelle. Als wesentlicher Punkt ist hier die der zukünftige Standard IEEE 802.11i (erwartet für 2004) zu nennen. Mit der Verabschiedung des Standards ist damit zu rechnen, dass er in allen neuen Produkten integriert sein wird und auch in viele existierende Geräte durch Firmware-Upgrades nachgerüstet werden kann.
  • Im Bereich der Authentisierung existiert der Standard 802.1X. Dieser erfordert eine Unterstützung innerhalb des WLAN Access Points, was bei vielen auf dem Markt befindlichen Produkten verschiedener Hersteller gegeben ist. Im Client wird die Funktionalität bei allen bekannten Anwendungen durch Software realisiert, was die bereits erwähnten Nachteile mit sich bringt. Eine weitere Variante ist die Authentisierung mittels Smartcard. Dabei wird die eigentliche Authentisierung innerhalb einer Smartcard durchgeführt, ohne dass die geheime Information diese verlassen muss. Die Vermittlung zwischen WLAN-Karte und Smartcard erfolgt dabei durch das Betriebssystem. Diese Funktion ist z.B. in Windows XP integriert. Der größte Nachteil dieser Variante ist der zusätzlich benötigte Smartcard-Reader. Insbesondere bei kleinen Mobilgeräten, z.B. PDAs, ist der Einsatz von Smartcards oft nicht möglich bzw. äußerst unpraktisch.
  • Des weiteren ist aus der deutschen Offenlegungsschrift DE 100 43 203 A1 eine generische WLAN-Architektur bekannt, welche ein Verfahren und ein System zur Nutzung von mehreren Netzen unterschiedlicher Art, beispielsweise die Nutzung von Datennetzen (WLAN) durch Einwahl über ein zellulares Mobilfunknetz (GSM), beschreibt, wobei eines der Netze logische Funktionen von Komponenten des jeweils anderen Netzes generisch bereitstellt.
  • Eine Integration eines Abrechnungssystems zwischen zellularen und WLAN-Netzwerken wird in der Internationalen Patentanmeldung WO 03/032618 A1 „Integration of Billing between Cellular and WLAN Networks" vorgestellt. Durch diese Lösung wird die Einwahl in Datennetze (LAN) mit Hilfe von Mobiltelefonen (GSM/GPRS) über zellulare Netzwerke ermöglicht. Im Datennetzwerk wird ein (temporärer) Account eingerichtet, der die Gebühren ermittelt und sie anschließend an das Billingsystem des zellularen Netzwerks sendet. Jedoch ermöglicht es diese Lösung nicht, während der Nutzung der Netze zwischen Einwahlpunkten verschiedener Provider der zellularen Netze zu bewegen.
  • In der deutschen Offenlegungsschrift DE 101 52 572 A1 „Verfahren und Vorrichtung zum authentisierten Zugriff einer Station auf lokale Datennetze, insbesondere Funk-Datennetze" wird ein Verfahren und eine entsprechende Vorrichtung beschrieben, durch welche eine Authentisierung in dem Funk-Datennetz ermöglicht wird, indem Zugangsinformationen für den Zugang zu dem Funk-Datennetz über ein von dem Funk-Datennetz verschiedenes Telekommunikationsnetz, insbesondere per SMS (= Short Message System) über ein Mobilfunknetz, an einen Nutzer übersendet werden.
  • In der deutschen Offenlegungsschrift DE 101 37 551 A1 „Vorausbezahlte Nutzung spezieller Dienstangebote" wird ein System vorgeschlagen, wobei Dienste eines in einem Telekommunikationsnetz eingerichteten Server genutzt werden können, nachdem auf dem Server ein Nutzerkonto und ein Nutzerguthaben eingerichtet wurde. Insbesondere wird ein Pre-paid-Verfahren genutzt.
  • In der Europäischen Patentanmeldung EP 0 970 411 B1 „Datenkopierschutz" wird ein Verfahren zum Schutz von über ein Netzwerk übertragenen Daten vorgestellt. Dabei werden urheberrechtlich geschützte Teile von HTML-Seiten einer besonderen Behandlung unterzogen, um unberechtigte Verwendungen zu verhindern.
    •
  • Die Aufgabe der Erfindung besteht somit darin, ein Verfahren und eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium bereitzustellen, welche die erwähnten Nachteile beheben und insbesondere eine Beeinflussung des Authentisierungs- und/oder Identifikations-Ablaufs durch Dritte verhindern.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale in den Ansprüchen 1, 14, 15, 27 und 28 gelöst. Zweckmäßige Ausgestaltungen der Erfindung sind in den Unteransprüchen enthalten.
  • Ein besonderer Vorteil des erfindungsgemäßen Verfahrens für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/ oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, besteht darin, dass sowohl die Speicherung der für eine Authentisierung und/oder Identifikation erforderlichen Daten als auch der Prozeß der Authentisierung und/oder Identifikation ohne Eingriff des Betriebssystems des Kommunikationsendgerätes erfolgt, da Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  • Eine Vorrichtung nach der Erfindung ist vorteilhafterweise so eingerichtet, dass die Vorrichtung eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul umfaßt, wobei das Authentisierungs- und/ oder Identifikations-Modul derart eingerichtet ist, daß die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  • Eine andere Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, ist dadurch ausgezeichnet, dass die Vorrichtung neben einer Einheit zum Verbindungsaufbau ein VoIP-Modul umfaßt, wobei das VoIP-Modul unabhängig von dem Kommunikationsendgerät nutzbar ist.
  • Ein erfindungsgemäßes Computerprogramm für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, ermöglicht es einem Computer, nachdem es in den Speicher des Computers geladen worden ist, ein derartiges Verfahren für den Aufbau von Verbindungen durchzuführen, derart, dass Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/ oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird. Ein solches Computerprogramm kann beispielweise als Firmware der erfindungsgemäßen Vorrichtung realisiert sein.
  • Beispielsweise können diese Computerprogramme (gegen Gebühr oder unentgeltlich, frei zugänglich oder passwortgeschützt) downloadbar in einem Daten- oder Kommunikationsnetz bereitgestellt werden. Die so bereitgestellten Computerprogramme können dann durch ein Verfahren nutzbar gemacht werden, bei dem ein Computerprogramm nach Anspruch 27 aus einem elektronischen Datennetz, wie beispielsweise aus dem Internet, auf eine an das Datennetz angeschlossene Datenverarbeitungseinrichtung heruntergeladen wird.
  • Für bestimmte Anwendungen kann es sich als vorteilhaft erweisen, wenn ein computerlesbares Speichermedium eingesetzt wird, auf dem ein Programm gespeichert ist, das es einem Computer ermöglicht, nachdem es in den Speicher des Computers geladen worden ist, ein Verfahren für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, durchzuführen, derart, dass Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird. Ein solches Computerprogramm kann beispielweise als Firmware der erfindungsgemäßen Vorrichtung realisiert sein.
  • In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist vorgesehen, daß für den Verbindungsaufbau eine WLAN-Schnittstellenkarte mit Smartcard-Funktionalität verwendet wird.
  • In einer anderen bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist vorgesehen, daß geheime Informationen wie bspw. private Schlüssel den Sicherheits-Speicherbereich des Authentisierungs- und/oder Identifikations-Moduls nicht verlassen. Damit wird zum Beispiel das Ausspähen von vertraulichen Daten, wie bspw. eines privaten Schlüssels, erschwert. Eine zusätzliche Erhöhung der Sicherheit wird erreicht, wenn bei unbefugtem Zugriff auf das Authentisierungs- und/oder Identifikations-Modul die geheimen Informationen unbrauchbar gemacht werden.
  • Des weiteren erweist es sich als Vorteil, wenn wenigstens ein Teil der EAPOL-Pakete aus den empfangenen Daten herausgefiltert und durch das Authentisierungs- und/oder Identifikations-Modul ausgewertet wird.
  • In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist vorgesehen, daß eine Authentisierung nach IEEE 802.1X mit EAP/TLS genutzt wird und/oder kryptographische Verfahren zum Einsatz kommen, bei welchen Zertifikate übertragen werden.
  • Neben einem Modul zum Verbindungsaufbau kann die erfindungsgemäße Vorrichtung weitere nützliche Funktionalitäten bereitstellen. So ist es beispielsweise von Vorteil, wenn die Einheit zum Verbindungsaufbau ein Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP) umfaßt, wobei das Modul für paketorientierte Sprachdienste unabhängig vom Betriebssystem des Kommunikationsendgerätes arbeitet.
  • Für die eigenständige Nutzung von auf der erfindungsgemäßen Vorrichtung implementierten Module erweist es sich als vorteilhaft, wenn die Vorrichtung derart eingerichtet ist, dass die Energieversorgung der Vorrichtung durch die Energieversorgungseinrichtung des Kommunikationsendgerätes realisierbar ist.
  • Das Authentisierungs- und/oder Identifikations-Moduls wird in der Regel die sicherheitsrelevanten Daten selbst in einem Sicherheits-Speicherbereich enthalten. Da ein Nutzer aber oftmals bereits andere Authentisierungs- und/oder Identi fikations-Daten besitzt, kann es sich als vorteilhaft erweisen, diese auch zur Authentisierung und/oder Identifikation für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, zu verwenden. Hierzu ist vorgesehen, dass für die Authentisierung und/oder Identifikation durch das Authentisierungs- und/oder Identifikations-Modul Daten mit einer SIM-Card ausgetauscht werden, und die Authentisierung mit auf der SIM-Card enthaltenen Daten erfolgt. Die SIM-Card ist dabei als Teil des Authentisierungs- und/oder Identifikations-Moduls anzusehen. Insbesondere erweist es sich als vorteilhaft, eine intelligente SIM-Card oder auch eine Smartcard mit zusätzlichen Informationen auf einem geschützten Speicherbereich einzusetzen. Im folgenden sollen Ausführungsformen am Beispiel einer (intelligenten) SIM-Card näher erläutert werden, wobei jedoch anstelle der (intelligenten) SIM-Card stets auch eine Smartcard eingesetzt werden kann.
  • Die (intelligente) SIM-Card des Authentisierungs- und/oder Identifikations-Moduls kann dabei im gleichen Kommunikationsendgerät installiert sein wie die Einheit zum Verbindungsaufbau. In einem speziellen Ausführungsbeispiel ist das (intelligente) SIM-Card direkt auf der Einheit zum Verbindungsaufbau installiert. In einer alternativen Ausführungsform umfaßt das Authentisierungs- und/oder Identifikations-Modul mehrere Komponenten, wobei die (intelligente) SIM-Card auf einer speziellen, selbständigen Komponente untergebracht ist, die beispielsweise als eine Art Dongle über eine USB-, Bluetooth-, Infrarot- oder andere Schnittstelle mit dem Kommunikationsendgerät verbunden ist. Es gibt aber auch Fälle, wo die inhärente WLAN-Schnittstellenkarte mit einem Teil des Authentisierungs- und/oder Identifikations-Moduls in einem ersten Kommunikationsendgerät und die (intelligente) SIM-Card in einem zweiten, von dem ersten verschiedenen Kommunikationsendgerät installiert ist. Dies ist etwa der Fall, wenn eine in einem Notebook eingesteckte inhärente WLAN-Schnittstellenkarte Daten von einer (intelligenten) SIM-Card eines Mobiltelefons benutzt. In einem solchen Fall ist es zweckmäßig, wenn der Datenaustausch zwischen Authentisierungs- und/oder Identifikations-Modul und SIM-Card über eine Infrarot- oder Bluetooth-Schnittstelle erfolgt, die in den meisten neueren Kommunikationsendgeräten vorhanden sind. Dafür ist vorgesehen, dass die Vorrichtung eine Schnittstelle zum Datenaustausch mit einer SIM-Card aufweist, wobei die Schnittstelle als Infrarot- oder Bluetooth-Schnittstelle ausgebildet ist. Selbstverständlich sind auch andere Schnittstellen bzw. Protokolle für den Datenaustausch einsetzbar.
  • In einer bevorzugten Ausführungsform der erfindungsgemäßen Vorrichtung ist vorgesehen, dass das Authentisierungs- und/ oder Identifikations-Modul als Hardwarelösung oder als Firmwarelösung realisiert ist.
  • Insbesondere sieht eine spezielle Ausführungsform vor, dass zur Implementierung des Authentisierungs- und/oder Identifikations-Moduls eine FPGA-Komponente dient.
  • Vorteilhafterweise umfaßt eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, neben einem Authentisierungs- und/ oder Identifikations-Modul zusätzlich ein Kompressionsmodul, ein GPS-Modul und/oder ein Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP). In diesem Falle ist vorgesehen, dass die Vorrichtung zusammen mit einem Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP), eine für ein Head Set geeignete Schnittstelle aufweist.
  • Durch die Integration der erfindungsgemäßen Smartcard-Funktionalität in die WLAN-Karte wird eine sichere Authentisierung ohne großen Aufwand für eine Vielzahl von Geräten erschlossen. Wahlweise kann diese Funktionalität als hardwarebasierte oder als firmwarebasierte Lösung bereitgestellt werden. Die Ähnlichkeit zu einer Smartcard-Authentisierung besteht darin, dass die geheime Information, der private Schlüssel, nicht aus dem Hardwaremodul herausgelangt. Die zu signierenden Daten werden an das Modul übergeben und das Ergebnis wird zurückgeliefert. Der Zugriff auf die Hardware wird durch technische Maßnahmen soweit eingeschränkt, dass der Zugriff auf die geschützten Informationen mit einem vertretbaren Aufwand nicht möglich ist.
  • Die Realisierung erfolgt beispielsweise durch eine Erweiterung der karteninternen Software (Firmware). Dieses ist ohne Modifikation der eigentlichen Hardware möglich. Es würde völlig ausreichen, bereits vorhandene Firmware zu erweitern. Die Modifikation der Firmware könnte beispielsweise darin bestehen, alle gesendeten EAPOL (EAP over LAN) Pakete aus den empfangenen Daten herauszufiltern, auszuwerten und zu beantworten. In diesem Falle werden dazu entsprechende kryptographische Funktionen implementiert.
  • Die erfindungsgemäße Lösung lässt sich in allen WLAN-Anwendungen einsetzen, welche eine sichere Authentisierung bzw. Identifizierung erfordern.
  • Eine Großflächige WLAN-Vernetzung erfordert eine Vielzahl von Zugangspunkten. Diese WLAN-Hotspots werden dabei in der Regel von unterschiedlichen Betreibern bereitgestellt, die darüber hinaus im allgemeinen auch unterschiedliche Zugangsverfahren durchführen. Für eine kommerzielle Nutzung sind Mechanismen für die Zugangskontrolle, Zugangsbeschränkung und Abrechnung unerlässlich. Diese setzen eine sichere Authentisierung bzw. Identifizierung des Nutzers voraus. Um die Situation dieser Vielzahl von Zugangserfordernissen, die durch die verschiedenen Provider berücksichtigt werden müssen, zu umgehen, wurde eine Systemarchitektur mit einem zentralisierten Support- und Service-Center (zentraler Service-Stelle für Hotspots) vorgeschlagen, das dann die Zugangsberechtigungen der Nutzer mit einem speziell dafür konzipierten und im Hotspot installierten Proxi (RADIUS-Proxi) überprüft, die Abrechnung von Gebühren für die Clients und für die Hotspots übernimmt sowie umfangreiche Support- und Serviceleistungen anbietet.
  • In Verbindung mit dieser einheitlichen Struktur können das erfindungsgemäße Zugangsverfahren und die erfindungsgemäße WLAN-Schnittstellenkarte vorteilhaft eingesetzt werden. Der einheitliche Zugang wird mit der erfindungsgemäßen WLAN-Schnittstellenkarte vorgenommen, wobei die WLAN-Schnittstelle mit einer Smartcard-Funktionalität zu einer Einheit kombiniert bzw. verschmolzen wird. Damit kann eine zentralisierte Überprüfung durch Einsatz von privaten Geheimschlüsseln vorgenommen werden, um die Berechtigung des Netzzuganges für einen Klienten sicherzustellen. Das Konzept bietet die höchste Sicherheit, Integrität und Transparenz des Systems für die Nutzer bei der Kommunikation und dem Datenaustausch im Internet
  • Damit entsteht ein System, welches eine vollständige Infrastruktur für großflächige öffentliche WLAN-Netze mit einem horizontalen Handover liefert, angefangen von sicheren Authentisierungsmöglichkeiten und der Bereitstellung individueller, personalisierter Dienste bis hin zur Nutzerverwaltung und Abrechnung.
  • Eine sichere Authentisierung wird dadurch erreicht, indem die entsprechenden Mechanismen in die WLRN-Zugangshardware integriert werden. Dazu wird beispielsweise die Authentisierung nach IEEE 802.1X mit EAP/TLS genutzt, und es kommen kryptographische Verfahren zum Einsatz, bei welchen Zertifikate übertragen werden. Das eigentliche Geheimnis, der Schlüssel, verlässt die WLAN-Karte nie. Dadurch ist es nicht ohne wieteres möglich, einen fremden Schlüssel abzuhören oder auszuspähen. Somit erfolgen die Prozesse zur Authentisierung ohne Beteiligung des Betriebssystems, was einerseits keinen zusätzlichen Aufwand für den Nutzer bedeutet und andererseits eine große Systemunabhängigkeit gewährleistet.
  • Nachfolgend wird die Erfindung unter Bezugnahme auf die Figuren der Zeichnungen an einem Ausführungsbeispiel näher erläutert. Es zeigen:
  • 1: Veranschaulichung der WLAN- Systemarchitektur bei Einsatz eines zentralen zentralisierten Support- und Service-Centers;
  • 2: Veranschaulichung der bei einer 802.1X Authentisierung ablaufenden Kommunikationsprozesse;
  • 3: schematische Darstellung einer Inhärenten WLAN-Schnittstellenkarte mit erweiterter Funktionalität;
  • 4: Veranschaulichung einer durch ein Voice-Gateway erweiterten Systemarchitektur.
    •
  • Eine großflächige WLAN-Vernetzung erfordert eine Vielzahl von Zugangspunkten, sogenannten WLAN-Hotspots, die im allgemeinen durch unabhängige Provider mit unterschiedlichen Zugangsverfahren angeboten werden. Für eine kommerzielle Nutzung sind Mechanismen für die Zugangskontrolle, Zugangsbeschränkung und Abrechnung unerlässlich. Diese setzen eine sichere Authentisierung bzw. Identifizierung des Nutzers voraus. Auf dieser Basis ist es möglich, eine Vielzahl von Daten (z.B. Verbindungszeit, Transfervolumen) für Abrechnungszwecke zu erfassen. Dazu muss sicher gestellt werden, dass das Identifizierungsverfahren einige wesentliche Eigenschaften erfüllt:
    • – Sicherheit: Eine Nutzung des Internetzugangs und der angebotenen Dienste soll nur durch einen authentisierten Nutzer möglich sein. Die Verwendung einer falschen Nutzeridentität soll nahezu ausgeschlossen werden. Damit soll die höchste, heute verfügbare Datensicherheit für einen Nutzer bereitgestellt werden.
    • – Kompatibilität: Das verwendete Authentisierungs-/Identifizierungsverfahren soll mit einer Vielzahl von bestehenden und zukünftigen Systemen (Hardware und Software) zusammenarbeiten können, ohne dass für jeden Einzelfall aufwendige Anpassungen erforderlich sind.
    • – Einfachheit: Der Aufwand zur Einrichtung des Netzzugangs und der Identifizierungs-/Authentisierungsmechanismen soll sich auf ein Minimum beschränken. Es sollen dazu auch keine weitreichenden technischen Kenntnisse erforderlich sein.
  • Der eigentliche Netzwerkzugang erfolgt über eine große Anzahl von Hotspots (siehe 1). Diese bestehen aus einem oder mehreren Access Points (AP) für die WLAN-Verbindung, einem Router für den Internetzugang und wahlweise weiteren Komponenten für lokale Datenerfassung, Dienste usw. Des weiteren liegt den folgenden Ausführungen die oben erwähnte Systemarchitektur mit zentralisiertem Support- und Service-Center (zentraler Service-Stelle für Hotspots) zugrunde, welches die Zugangsberechtigungen der Nutzer mit einem speziell dafür konzipierten und im Hotspot installierten Proxi (RADIUS-Proxi) überprüft, die Abrechnung von Gebühren für die Clients und für die Hotspots übernimmt sowie umfangreiche Support- und Serviceleistungen anbietet. Die Authentisierung wird zentral durch ein im zentralen Support- und Service-Center eingerichteten Authentication Server überprüft.
  • Die Zugangskontrolle erfolgt durch den Access Point nach dem Standard IEEE 802.1X (siehe 2). Versucht ein neuer Client, eine Verbindung aufzubauen, fordert der AP von diesem eine Identifizierung 1. Der Client sendet seine Identifikation zum AP 2, welche anschließend vom AP zum Authentication Server weitergeleitet wird 3. Der Authentication Server kann mehrere Anfragen an den Client stellen 4 und anhand der Antworten 5 den Netzwerkzugang erlauben oder ablehnen 6. Erst nach Erhalt der Zugangsgenehmigung ermöglicht 7 der Access Point eine Verbindung des Clients zum Internet. Um Manipulationen bei der Zugangskontrolle entgegenzuwirken, erfolgt die Übertragung der Zugangsinformationen verschlüsselt.
  • Die Kommunikation zwischen einem Client und einem Access Point erfolgt über das Extensible Authentication Protocol (EAP). Der Informationsaustausch mit dem Authentication Server erfolgt über das Internet mittels Remote Authentication Dial In User Service (RADIUS). Neben der Zugangskontrolle dient der RADIUS Server auch der Erfassung der Verbindungsdaten. Diese werden vom Access Point ebenfalls mittels RADIUS übertragen.
  • In dem zentralen Support- und Service-Center werden alle notwendigen Informationen vom RADIUS-Server gesammelt und in einer zentralen Datenbank hinterlegt. Diese dient der Spei cherung aller Informationen, welche zum Betrieb des Systems notwendig sind. Das umfasst Zugangsdaten, Abrechnungsinformationen, Managementdaten usw. Die Auswertung und Abrechnung erfolgt durch ein angeschlossenes Billing-System. Durch die gesammelten Informationen (Verbindungszeit, Transfervolumen, genutzte Dienste) ist eine Vielzahl von verschiedenen Abrechnungsmodellen möglich.
  • Die erfindungsgemäße WLAN-Schnittstellenkarte enthält neben Modulen für die drahtlose Kommunikation nach den Standards 802.11 b, g, a o.ä. eine Reihe von weiteren Merkmalen. In einer speziellen Ausführungsform ist sie als eine Inhärente WLAN-Schnittstellenkarte mit integrierter Sicherheitsfunktionalität, einem VoIP-Modul für Telefonie ins Fest- bzw. Mobilnetz, einem GPS-Modul zur Ortsbestimmung und einem Kompressionsmodul zur Durchführung von Datenkomprimierungen mit Koprimierungsalgorithmen ausgestattet (vgl. 3).
  • Das Security-Modul sorgt für eine sichere Datenübertragung sowohl bei der Authentisierung als auch während der laufenden Kommunikation auf der Basis einer Chiffrierung von Daten mit öffentlichen und privaten Schlüsseln. Dieses Modul wird je nach Anforderungen als eine Hardware- oder als eine Firmware-Lösung realisiert. Die Hardware-Lösung wird z. B. durch eine FPGA-Komponente implementiert. Der FPGA-Baustein wird derart programmiert, damit bei unbefugtem Eingriff seine Funktionalität zerstört, so dass der geheime Schlüssel nicht wieder gefunden werden kann. Eine Software-Lösung kann wiederum als Firmware-Ergänzung in Betracht gezogen werden.
  • Zur Optimierung der Datenübertragung sind unterschiedliche Kompressions- bzw. Yerdichtungsalgorithemen bekannt geworden. Durch eine Verdichtung von Daten wird die Menge der zu übertragenden Daten und damit die Übertragungszeiten teilweise in hohem Maße reduziert. In dem vorgeschlagenen System kann die beispielhafte WLAN-Smartcard-Schnittstelle mit einem Verdichtungsalgorithmus entweder als eine Zusatz-Hardware oder als Firmware innerhalb des Steuerprozessors ergänzt werden, um die genannten Vorteile zu erzielen. Die Hadware-Lösung zeichnet sich durch die hohe Geschwindigkeit aus, so dass die Latenzzeit gering bleibt. Als Verdichtungsalgorithmen werden verlustfreie Verfahren zur Gewinnung der originären Daten verwendet, während die verlustbehafteten Verfahren für Video- und Audio-Ströme eingesetzt, da sie bei Verlust von Daten in bestimmten Bereichen unempfindlich sind.
  • Besonders effektiv kann dieser Kompressions-Modul in Verbindung mit dem zentralisierten Support- und Service-Center eingesetzt werden, denn in diesem Falle können weit leistungsstärkere Kompressionsverfahren genutzt werden, als in herkömmlichen Netzen, in denen lediglich einfache Kompressionsverfahren eingesetzt werden können. Der Einsatz von Verfahren mit hoher Komprimierung würde vor allem sie Akzeptanz von vielfältigen Inhalten, wie bspw. Video-on-Demand o.ä., stark erhöhen, da so die Download-Zeiten und somit die Kosten erheblich reduziert würden.
  • Das GPS-Modul ist für Lokalisierung des Nutzers verwendet, um dem Nutzer Dienste mit lokalem Kontext zur Verfügung stellen zu können. Hier wird mit dem Modul entweder in gleichmäßig periodischen Zeitpunkten oder je nach Bedarf, z. B. falls eine Anfrage vorliegt, die Lokalisierung des Gerätes vorgenommen und dem zentralen Support-Center mitgeteilt, in dem die notwendigen Informationen bereitgestellt werden. Damit wird die Aufgaben zu „Local-Based-Support" für optimale Unterstützung des Nutzers bei ortsbezogenen Diensten erreicht.
  • Das VoIP-Modul soll, wie der Name darstellt, einen paketorientierten Sprach-Dienst bereitstellen. Ein Gespräch erfolgt über das mobile Endgerät entlang der Kommunikationsstrecke zwischen dem Endgerät und dem zentralen Support-Center, wo mit Hilfe eines Gateway eine Verbindung zum PSTN oder eines der mobilen Provider hergestellt wird. Auch umgekehrt können die ankommenden Anrufe für den jeweiligen Nutzer auf dem gleichen Weg weitervermittelt werden. Gespräche innerhalb der Hotspots können nach Methoden der VoIP mit bisher bekannt gewordenen Protokollen wie beispielsweise H323 und SIP erfolgen. Durch die vorgesehenen Sicherheitsmechanismen werden auch die Gespräche mit entsprechenden Verschlüsselungen versehen.
  • In einem speziellen Ausführungsbeispiel ist vorgesehen, dass die VoIP-Verbindung allein über das VoIP-Modul der Schnittstellenkarte hergestellt und aufrechterhalten wird, ohne den Prozessor und ohne das Betriebssystem des Kommunikationsendgerätes zu nutzen. Die Schnittstellenkarte weist hierfür Anschlußmöglichkeiten für ein Head Set auf. Die VoIP-Funktionalität wird damit allein von der Schnittstellenkarte bereitgestellt, und eine Nutzung dieser VoIP-Funktionalität ist somit von einer Installation entsprechender Applikationen auf dem Kommunikationsendgerät unabhängig.
  • Eine weitere Anwendungsmöglichkeit eines solchen VoIP-Moduls besteht darin, dieses VoIP-Modul allein mit einer herkömmlichen WLAN-Schnittstellenkarte zu kombinieren. Damit würde ein mobiles WLAN-fähiges VoIP-Telefon bereitgestellt, welches darüber hinaus über eine Schnittstelle für weitere Kommunikationsendgeräte, wie beispielsweise Notebooks oder PDA's, verfügt und so außerdem als Schnittstellenkarte für diese Kommunikationsendgeräte genutzt werden kann, um diesen Kommunikationsendgeräten den Zugang zu einem WLAN-Netz zu ermöglichen.
  • Um die eigenständige Nutzung von auf der WLAN-Schnittstellenkarte implementierten Funktionalitäten, wie bspw. der VoIP-Funktionalität, zu ermöglichen, wird in einem speziellen Ausführungsbeispiel für die Stromversorgung der Schnittstellenkarte die Stromversorgungseinheit des Kommunikationsendgerätes genutzt.
  • In einer weiteren Ausführungsform werden für die Authentisierung Schnittstellen der Kommunikationsendgeräte genutzt. Die meisten neuen Kommunikationsendgeräte wie Notebooks oder PDA's verfügen über drahtlose Schnittstellen wie etwa Infrarot- oder Funk-Schnittstellen (Bluetooth). Um eine weitere Vereinheitlichung der Nutzerverwaltung zu erreichen, können für die Authentisierung eines Nutzers bei der Einwahl beispielsweise in das Internet oder speziell auch in ein Daten- oder Kommunikationsnetz, welches eine Systemarchitektur mit einem zentralisierten Support- und Service-Center aufweist, auch die Sicherheits- bzw. Identitätsfunktionen genutzt werden, die von einer SIM-Card bereitgestellt werden. Die SIM-Card müßte sich nicht in dem Kommunikationsendgerät befinden, sondern könnte sich in einem weiteren, über eine entsprechende Schnittstelle kontaktierbaren Gerät, beispielsweise einem bluetooth-fähigen Mobiltelefon, befinden. Um die Funktionen der SIM-Card zu nutzen, baut das in der Einheit zum Verbindungsaufbau integrierte Sicherheitsmodul eine Verbindung zu der SIM-Card auf und tauscht die erforderlichen Informationen mit der SIM-Card und dem Authentication Server im Kommunikationsnetz aus. Das integrierte Sicherheitsmodul operiert dabei sozusagen als Mittler. Es sei jedoch betont, dass die Authentisierung selbst durch das Sicherheitsmodul erfolgt und nicht separat durch die SIM-Card. Die SIM-Card kommuniziert bei diesem Verfahren nicht mit dem Netz und speziell nicht mit dem GPRS- oder GSM-System, sondern die Authentisierung erfolgt ausschließlich über den Internetprovider, mit dem der Nutzer eine Netzzugangs-Vereinbarung geschlossen hat, speziell beispielsweise über den Authentication Server des zentralisierten Support- und Service-Centers.
  • Analog kann die erforderliche Verbindung zwischen der erfindungsgemäßen Vorrichtung zum Verbindungsaufbau und der SIM-Card auch auf andere Art hergestellt werden, z.B. durch eine elektrische Verbindung der SIM-Card mit einem Steckplatz für die WLAN-Schnittstellenkarte. Diese Ausführungsvariante ist z.B. vorgesehen, wenn sich in dem Kommunikationsendgerät selbst eine SIM-Card befindet, wie das zum Beispiel in sogenannten Smart Phones – internet- und multimediafähigen Mobiltelefonen – der Fall ist.
  • Die Erfindung beschränkt sich in ihrer Ausführungsform nicht auf die vorstehend angegebenen bevorzugten Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, die von dem erfindungsgemäßen System und dem erfindungsgemäßen Verfahren auch bei grundsätzlich anders gearteten Ausführungen Gebrauch machen.

Claims (29)

  1. Verfahren für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, dadurch gekennzeichnet, daß Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß für den Verbindungsaufbau eine WLAN-Schnittstellenkarte mit inhärenter Smartcard-Funktionalität verwendet wird.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß geheime Informationen wie bspw. private Schlüssel den Sicherheits-Speicherbereich des Authentisierungs- und/oder Identifikations-Moduls nicht verlassen.
  4. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß wenigstens ein Teil der EAPOL-Pakete aus den empfangenen Daten herausgefiltert und durch das Authentisierungs- und/oder Identifikations-Modul ausgewertet wird.
  5. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß eine Authentisierung nach IEEE 802.1X mit EAP/TLS genutzt wird und/oder kryptographische Verfahren zum Einsatz kommen, bei welchen Zertifikate übertragen werden.
  6. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß bei unbefugtem Zugriff auf das Authentisierungs- und/oder Identifikations-Modul die geheimen Informationen unbrauchbar gemacht werden.
  7. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß die Einheit zum Verbindungsaufbau ein Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP) umfaßt, wobei das Modul für paketorientierte Sprachdienste unabhängig vom Betriebssystem des Kommunikationsendgerätes arbeitet.
  8. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß für die Authentisierung und/oder Identifikation durch das Authentisierungs- und/oder Identifikations-Modul Daten mit einer SIM-Card oder einer Smartcard ausgetauscht werden, und die Authentisierung mit auf der SIM-Card oder auf der Smartcard enthaltenen Daten erfolgt.
  9. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, daß ein mehrere Komponenten umfassendes Authentisierungs- und/oder Identifikations-Modul verwendet wird.
  10. Verfahren nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, daß die Einheit zum Verbindungsaufbau und SIM-Card oder die Einheit zum Verbindungsaufbau und Smartcard im gleichen Kommunikationsendgerät installiert sind.
  11. Verfahren nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, daß die die SIM-Card oder die Smartcard enthaltende Komponente als Dongle mit dem Kommunikationsendgerät verbunden ist.
  12. Verfahren nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, daß eine erste Komponente des Authentisierungs- und/oder Identifikations-Moduls zusammen mit der Einheit zum Verbindungsaufbau in einem ersten Kommunikationsendgerät und eine zweite, die SIM-Card oder die Smartcard enthaltende, Komponente des Authentisierungs- und/oder Identifikations-Moduls in einem zweiten, von dem ersten verschiedenen Kommunikationsendgerät installiert sind.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, daß der Datenaustausch zwischen der ersten Komponente des Authentisierungs- und/oder Identifikations-Moduls und der zweiten, die SIM-Card enthaltenden, Komponente des Authentisierungs- und/oder Identifikations-Moduls über eine Infrarot- oder Bluetooth-Schnittstelle erfolgt.
  14. Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, dadurch gekennzeichnet, daß die Vorrichtung eine Einheit zum Verbindungsaufbau, mit integriertem Authentisierungs- und/oder Identifikations-Modul umfaßt, wobei das Authentisierungs- und/oder Identifikations-Modul derart eingerichtet ist, daß die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  15. Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, dadurch gekennzeichnet, daß die Vorrichtung neben einer Einheit zum Verbindungsaufbau ein VoIP-Modul umfaßt, wobei das VoIP-Modul unabhängig von dem Kommunikationsendgerät nutzbar ist.
  16. Vorrichtung nach Anspruch 14, dadurch gekennzeichnet, daß die Vorrichtung als WLAN-Schnittstellenkarte mit inhärenter Smartcard-Funktionalität ausgebildet ist.
  17. Vorrichtung nach Anspruch 14 oder 16, dadurch gekennzeichnet, daß das Authentisierungs- und/oder Identifikations-Modul als Hardwarelösung oder als Firmwarelösung realisiert ist.
  18. Vorrichtung nach Anspruch 14, dadurch gekennzeichnet, daß zur Implementierung des Authentisierungs- und/oder Identifikations-Moduls eine FPGA-Komponente dient.
  19. Vorrichtung nach einem der Ansprüche 14 bis 18, dadurch gekennzeichnet, daß die Vorrichtung – ein Kompressionsmodul, – ein GPS-Modul und/oder – ein Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP), umfaßt.
  20. Vorrichtung nach einem der Ansprüche 14 bis 19, dadurch gekennzeichnet, daß das Authentisierungs- und/oder Identifikations-Modul mehrere Komponenten umfaßt.
  21. Vorrichtung nach Anspruch 20, dadurch gekennzeichnet, daß eine Komponente des Authentisierungs- und/oder Identifikations-Moduls als Dongle ausgebildet ist.
  22. Vorrichtung nach einem der Ansprüche 20 oder 21, dadurch gekennzeichnet, daß eine Komponente des Authentisierungs- und/oder Identifikations-Moduls eine SIM-Card oder eine Smartcard umfaßt.
  23. Vorrichtung nach einem der Ansprüche 14 bis 22, dadurch gekennzeichnet, daß die Vorrichtung eine Schnittstelle zum Datenaustausch mit einer SIM-Card oder Smartcard aufweist.
  24. Vorrichtung nach Anspruch 23, dadurch gekennzeichnet, daß die Schnittstelle als Infrarot-, USB- oder Bluetooth-Schnittstelle ausgebildet ist.
  25. Vorrichtung nach Anspruch 15, dadurch gekennzeichnet, daß die Vorrichtung zusammen mit einem Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP), eine für ein Head Set geeignete Schnittstelle aufweist.
  26. Vorrichtung nach einem der Ansprüche 14 bis 25, dadurch gekennzeichnet, daß die Vorrichtung derart eingerichtet ist, dass die Energieversorgung der Vorrichtung durch die Energieversorgungseinrichtung des Kommunikationsendgerätes realisierbar ist.
  27. Computerprogramm, das es einem Computer ermöglicht, nachdem es in den Speicher des Computers geladen worden ist, ein Verfahren für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, durchzuführen, derart, dass Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  28. Computerlesbares Speichermedium, auf dem ein Programm gespeichert ist, das es einem Computer ermöglicht, nachdem es in den Speicher des Computers geladen worden ist, ein Verfahren für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikations netzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, durchzuführen, derart, dass Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs- und/oder Identifikations-Modul hergestellt werden, wobei die Authentisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.
  29. Verfahren, bei dem ein Computerprogramm nach Anspruch 27 aus einem elektronischen Datennetz, wie beispielsweise aus dem Internet, auf eine an das Datennetz angeschlossene Datenverarbeitungseinrichtung heruntergeladen wird.
DE10341873A 2003-09-05 2003-09-05 Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium Withdrawn DE10341873A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10341873A DE10341873A1 (de) 2003-09-05 2003-09-05 Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
US10/932,935 US20050195778A1 (en) 2003-09-05 2004-09-02 Method and device for setting up connections between communication terminals and data and/or communication networks having wireless transmission links, such as, for example, wireless local area networks (WLAN) and/or mobile telephone networks, and a corresponding computer program and a corresponding computer-readable storage medium
PCT/EP2004/010074 WO2005024543A2 (de) 2003-09-05 2004-09-06 Verfahren und vorrichtung für den aufbau von verbindungen zwischen kommunikationsendgeräten und drahtlose übertragungsstrecken aufweisenden kommunikationsnetzen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10341873A DE10341873A1 (de) 2003-09-05 2003-09-05 Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium

Publications (1)

Publication Number Publication Date
DE10341873A1 true DE10341873A1 (de) 2005-04-07

Family

ID=34258555

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10341873A Withdrawn DE10341873A1 (de) 2003-09-05 2003-09-05 Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium

Country Status (3)

Country Link
US (1) US20050195778A1 (de)
DE (1) DE10341873A1 (de)
WO (1) WO2005024543A2 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006047650A1 (de) * 2006-10-09 2008-04-10 Giesecke & Devrient Gmbh Kryptographische Berechnungen für VoIP-Verbindung
DE102006047648A1 (de) * 2006-10-09 2008-04-10 Giesecke & Devrient Gmbh Initialisierung einer VoIP-Verbindung
WO2014115211A1 (en) * 2013-01-25 2014-07-31 Sony Corporation Method and apparatus for wireless lan access using sim

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4774831B2 (ja) * 2005-06-30 2011-09-14 沖電気工業株式会社 音声処理周辺装置及びip電話システム
DE102005037874B4 (de) * 2005-08-10 2008-07-24 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und Anordnung zur Kontrolle und Vergebührung von Peer to Peer-Diensten in einem IP-basierten Kommunikationsnetzwerk
FR2894101B1 (fr) * 2005-11-25 2008-11-21 Oberthur Card Syst Sa Entite electronique portable destinee a etablir une communication voix sur ip securisee
US7983413B2 (en) * 2005-12-09 2011-07-19 Sony Ericsson Mobile Communications Ab VoIP accessory
CN101341710B (zh) * 2005-12-16 2013-06-05 诺基亚公司 对于集成wlan热点客户端的支持
AU2006337227B2 (en) * 2006-02-03 2010-09-09 Mideye Ab A system, an arrangement and a method for end user authentication
KR100772923B1 (ko) * 2006-08-23 2007-11-05 한국전자통신연구원 휴대용 단말기에서 서버의 응용프로그램을 실행하기 위한시스템 및 방법
US8024806B2 (en) * 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
US8332495B2 (en) * 2008-06-27 2012-12-11 Affinegy, Inc. System and method for securing a wireless network
US8411604B2 (en) * 2009-12-21 2013-04-02 Research In Motion Limited Methods and apparatus for use in facilitating access to aggregator services for mobile communication devices via wireless communication networks
JP2011176582A (ja) * 2010-02-24 2011-09-08 Buffalo Inc 無線lan装置、無線lanシステム及びそのプログラム
US9107142B2 (en) 2010-08-18 2015-08-11 Blackberry Limited Network selection methods and apparatus with use of a master service management module and a prioritized list of multiple aggregator service profiles
CN111182512B (zh) * 2018-11-09 2023-09-01 中国电信股份有限公司 终端的连接方法、装置、终端和计算机可读存储介质
CN114158136B (zh) * 2020-08-17 2023-06-09 Oppo(重庆)智能科技有限公司 一种WiFi模式配置方法、装置及计算机可读存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6577229B1 (en) * 1999-06-10 2003-06-10 Cubic Corporation Multiple protocol smart card communication device
US6607316B1 (en) * 1999-10-15 2003-08-19 Zih Corp. Portable label printer
DE10013607B4 (de) * 2000-03-18 2015-02-26 Ipcom Gmbh & Co. Kg Funkgerät
SE517352C2 (sv) * 2000-09-25 2002-05-28 Possio Ab Publ En gateway för ett trådlöst internetsystem
US6717801B1 (en) * 2000-09-29 2004-04-06 Hewlett-Packard Development Company, L.P. Standardized RF module insert for a portable electronic processing device
JP2002163584A (ja) * 2000-11-24 2002-06-07 Fujitsu Ltd 携帯情報端末を利用したカード決済方法及びシステム
US6456245B1 (en) * 2000-12-13 2002-09-24 Magis Networks, Inc. Card-based diversity antenna structure for wireless communications
AU2002302956A1 (en) * 2001-05-16 2002-11-25 Adjungo Networks Ltd. Access to plmn networks for non-plmn devices
CA2456446C (en) * 2001-08-07 2010-03-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
US7548491B2 (en) * 2002-06-13 2009-06-16 General Motors Corporation Personalized key system for a mobile vehicle
US7590084B2 (en) * 2003-02-14 2009-09-15 Onlive, Inc. Self-configuring, adaptive, three-dimensional, wireless network
US7177837B2 (en) * 2003-07-11 2007-02-13 Pascal Pegaz-Paquet Computer-implemented method and system for managing accounting and billing of transactions over public media such as the internet
DE10341872A1 (de) * 2003-09-05 2005-05-04 Local Web Ag Verfahren und System für den Zugang zu drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006047650A1 (de) * 2006-10-09 2008-04-10 Giesecke & Devrient Gmbh Kryptographische Berechnungen für VoIP-Verbindung
DE102006047648A1 (de) * 2006-10-09 2008-04-10 Giesecke & Devrient Gmbh Initialisierung einer VoIP-Verbindung
EP1912406A3 (de) * 2006-10-09 2016-03-30 Giesecke & Devrient GmbH Kryptographische Berechnungen für VoIP-Verbindungen
WO2014115211A1 (en) * 2013-01-25 2014-07-31 Sony Corporation Method and apparatus for wireless lan access using sim
US9756043B2 (en) 2013-01-25 2017-09-05 Sony Corporation Terminal apparatus, program, and communication system

Also Published As

Publication number Publication date
WO2005024543A3 (de) 2006-05-04
US20050195778A1 (en) 2005-09-08
WO2005024543A2 (de) 2005-03-17

Similar Documents

Publication Publication Date Title
DE10341873A1 (de) Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
DE69916277T2 (de) Aufbau einer gesicherten Sitzungsverbindung basierend auf dem Wireless Application Protocol
DE69933863T2 (de) Kommunikationsverfahren und vorrichtung
DE60226014T2 (de) Tragbares gerät zum sichern des paketenverkehrs in einem wirtsystem
EP1756966B1 (de) Telekommunikationsanordnung
DE10296814B4 (de) Kommunikationsverfahren, Betreibervorrichtung und Leitungsleih-Vorrichtung
DE69914340T2 (de) System und verfahren zum unterhalten einer virtuellen verbindung zu einem netzknoten
WO2007025981A1 (de) Verfahren, anordnung und speichermedium zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten
EP1602258B1 (de) Verfahren zum bereitstellen von mit einer kennung versehenen einsteckkarten in einem mobilfunkendgerät
EP1290905B1 (de) Verfahren zur kryptografischen identifikation einer physikalischen einheit in einem drahtlosen telekommunikationsnetzwerk
DE10142959A1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
EP1240794B1 (de) Verfahren zur Verschlüsselung von Daten und Telekommunikationsendgerät und Zugangsberechtigungskarte
DE69937718T2 (de) Verfahren zum mobilstationseitigen Zugriff auf von einem Server gelieferte Dienste und zugehöriges Teilnehmeridentitätsmodul und Endgerät
EP1406464A1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
WO2012140101A1 (de) Verfahren und system zur datenübermittlung zu einem identifizierungsmodul in einem mobilfunkendgerät
EP2482573B1 (de) Verfahren zum Konfigurieren eines Kommunikationsgerätes sowie Kommunikationsgerät
EP2700281B1 (de) Verfahren zum leiten von telekommunikationsverbindungen zu einem mobilfunk-endgerät sowie mobilfunk-gateway
EP2528364B1 (de) Verfahren und Vorrichtung zum Bereitstellen einer Identifikationskennung eines elektronischen Endgeräts
EP1856932B1 (de) Vorrichtung mit zwei sende-/empfangseinrichtungen zum austausch von informationen zwischen einem mobilen endgerät und einem mobilfunknetz
WO2004098218A1 (de) Verfahren zur installation oder deinstallation eines programmcodes in einer teilnehmerstation eines funkkommunikationssystems sowie teilnehmerstation
DE10152572A1 (de) Verfahren und Vorrichtung zum authentisierten Zugriff einer Station auf lokale Datennetze, insbesondere Funk-Datennetze
DE102011122874B4 (de) Verfahren zum Durchführen einer Transaktion, sowie Endgerät
EP1307017A1 (de) Verfahren und Vorrichtung zum authentisierten Zugriff auf lokale Funk-Datennetze

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee
8170 Reinstatement of the former position
8139 Disposal/non-payment of the annual fee