DE112005002362T5 - System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken - Google Patents

System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken Download PDF

Info

Publication number
DE112005002362T5
DE112005002362T5 DE112005002362T DE112005002362T DE112005002362T5 DE 112005002362 T5 DE112005002362 T5 DE 112005002362T5 DE 112005002362 T DE112005002362 T DE 112005002362T DE 112005002362 T DE112005002362 T DE 112005002362T DE 112005002362 T5 DE112005002362 T5 DE 112005002362T5
Authority
DE
Germany
Prior art keywords
computing device
user certificate
network
mobile
key pair
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112005002362T
Other languages
English (en)
Other versions
DE112005002362B4 (de
Inventor
Selim Beaverton Aissi
Mrudula Portland Yelamanchi
Abhay Beaverton Dharmadhikari
Benjamin Portland Matasar
Jane Beaverton Dashevsky
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112005002362T5 publication Critical patent/DE112005002362T5/de
Application granted granted Critical
Publication of DE112005002362B4 publication Critical patent/DE112005002362B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Verfahren für sichere Abläufe in einem konvergierten zusammenarbeitenden Netzwerk, umfassend:
– Erhalten eines public key aus einer Recheneinrichtung;
– Durchführen eines Bootstrapping- (Urlade-) vorganges mit einem Netzbetreiber;
– Erhalten eines Nutzerzertifikats von dem Netzbetreiber, wobei das Nutzerzertifikat auf dem public key basiert, und
– Übertragen des Nutzerzertifikats von der Recheneinrichtung zur digitalen Signatur, Verifikation und Verschlüsselungszwecken,
wobei das konvergierte zusammenarbeitende Netzwerk ein drahtloses Großflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfasst, wobei das Nutzerzertifikat in sowohl den WWAN und den WLAN-Netzwerken genutzt wird, einen Abonnenten zu authentifizieren.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Ausführungen der vorliegenden Erfindung werden im Allgemeinen im Feld von WLAN-WWAN (wireless local area network-wireless wide area network) Zusammenarbeit genutzt. Insbesondere werden Ausführungen der vorliegenden Erfindung zum Anlegen, Verteilen und zum Zur-Verfügung-Stellen von Benutzerzertifikaten beim konvergenten WLAN-WWAN-Zusammenarbeiten genutzt.
  • Beschreibung
  • Zur Zeit existieren verschiedene Typen von drahtlosen Netzwerken, die für verschiedene Typen von Umgebungen nützlich sind. Zum Beispiel existieren drahtlose Großgebiet-Netzwerke (WWANs) und drahtlose lokale Netzwerke (WLANs). WWAN-Netzwerke können für Mobilfunk Kommunikationen wie z. B., aber nicht beschränkt auf, Mobiltelefone und persönliche digitale Assistenten (PDAs) genutzt werden. beispielhafte WWAN Netzwerke umfassen, sind aber nicht darauf beschränkt, mobile Netzwerke wie das GSM-Netzwerk (Global System for Mobile Communications), Dritte Generation (3G) von Mobile Communications Technology und Code Division Mutiple Access (CDMA). WLAN Netzwerke können auf Computern genutzt werden, sind aber nicht auf diese beschränkt, wie z. B. Laptops, Notebooks, Workstations, usw. Beispielhafte WLAN Netzwerke umfassen, sind aber nicht beschränkt auf 802.11, 802.16, usw.
  • Es gibt ebenfalls drahtlose lokale Verbindungen wie z. B. Bluetooth und IrDA (Infrared Data Association). Solche drahtlose lokalen Verbindungen erlauben es mobilen Geräten (auch mobile Terminals genannt), mit Personalcomputern (PCs), wie z. B. Laptops, Notebooks, Workstations, usw. zu kommunizieren.
  • Heutzutage beginnen drahtlose Netzbetreiber, wie z. B. T-Mobile, AT & T Wireless und Verizon Wireless, die historisch Mobilfunkdienstleistungen über WWAN Netzwerke zur Verfügung stellten, dazu überzugehen auch WLAN-typische Dienstleistungen anzubieten. Durch Anbieten sowohl von WWAN und WLAN-Dienstleistungen bezwecken diese Anbieter etwas zu erreichen, was konvergierter Netzwerkbetrieb genannt wird, bei dem WWAN und WLAN Dienste sich einander annähern. In konvergierten Netzwerken möchten Teilnehmer die gleichen Authentifizierungsdaten oder gleichen Berechtigungsnachweise für alle angebotenen Dienstleistungen (z. B. WWAN und WLAN-Dienstleistungen) nutzen. Unglücklicherweise sind die heutzutage zur Verfügung stehenden Zertifikate-erteilende Technologien entweder WWAN-spezifisch (z. B. GSM 03.48, WPKI (Wireless Application Protocol Public Key Infrastructure)) oder WLAN-spezifisch (z. B. PKI (Public Key Infrastructure)). Zur Zeit gibt es keinen integrierten oder nahtlosen Weg gemeinsame Nutzerzertifikate generieren und in einem kombinierten und konvergierten WWAN-WLAN-Netzwerk zur Verfügung zu stellen, so dass die Zertifikate sowohl für WLAN wie auch für die WWAN-Authentifizierung und Zugang genutzt werden können.
  • Daher wird ein System und ein Verfahren benötigt, dass die Zertifikaterteilung für Nutzer in nahtloser Weise ermöglicht, so dass die Nutzer sich authentifizieren können und auf Dienstleistungen jedes Teils eines Netzwerkes in einem kombinierten und konvergierten zusammenarbeitenden Netzwerk unter Nutzung eines einzigen Berechtigungsnachweis zugreifen können.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die beigefügten Zeichnungen, auf die hiermit Bezug genommen wird und die einen Teil der Beschreibung bilden, illustrieren Ausführungsbeispiele der vorliegenden Erfindung und sind zusammen mit der Beschreibung weiter dazu geeignet, die Prinzipien der Erfindung zu erläutern und einen Fachmann in dem jeweiligen Fachgebiet in die Lage zu versetzen, die Erfindung auszuführen und zu nutzen. Die Zeichnungen bezeichnen gleiche Bezugszeichen mit im Wesentlichen identischen funktionell gleichen und/oder strukturell gleichen Elemente. Die Zeichnung, in der ein Element das erste Mal auftaucht, ist durch die linke Ziffer in dem entsprechenden Bezugszeichen dargestellt.
  • 1 ist ein Diagramm, das ein beispielhaftes System zur Nutzerzertifikatvergabe, Verteilung und Zur-Verfügung-Stellen in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung zeigt.
  • 2 ist ein Flussdiagramm für Tätigkeiten, die ein beispielhaftes Verfahren zum Schaffen von Nutzerzertifikatsvergabe, Verteilung und zum Zur-Verfügung-Stellen in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung illustrieren.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Während die vorliegende Erfindung in Bezug auf dargestellte Ausführungsbeispiele für bestimmte Anwendungen beschrieben ist, sollte verstanden werden, dass die Erfindung nicht hierauf beschränkt ist. Diejenigen, die in entsprechenden Fachgebieten Fachleute sind und Zugang zu dem Fachwissen darin besitzen, werden zusätzliche Modifikationen, Anwendungen und Ausführungen innerhalb des Schutzbereiches erkennen und zusätzliche Felder, in denen Ausführungen der vorliegenden Erfindung von signifikanter Nützlichkeit wären.
  • Bezugnehmend in der Beschreibung auf „ein Ausführungsbeispiel", „das Ausführungsbeispiel" oder „ein anderes Ausführungsbeispiel" der vorliegenden Erfindung meint, dass ein besonderes Merkmal in der Struktur oder ein Charakteristikum des in Verbindung mit dem Ausführungsbeispiel beschrieben ist, in wenigstens einem in einer Ausführung der vorliegenden Erfindung enthalten ist. Daher ist das Auftreten der Phrase „in einem Ausführungsbeispiel" oder „in dem Ausführungsbeispiel" das an verschiedenen Orten während der Beschreibung auftaucht, nicht notwendigerweise jeweils auf das gleiche Ausführungsbeispiel bezogen.
  • Ausführungen der vorliegenden Erfindung werden auf ein System und ein Verfahren gerichtet zum Schaffen von Nutzerzertifikatvergabe, Verteilung und zum Zur-Verfügung-Stellung in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk. Dies wird durch Übertragen eines öffentlichen Schlüssels gewährleistet, der auf einer einem Nutzer zur Verfügung stehenden Recheneinheit an eine mobile Einrichtung übertragen wird, und dann veranlassen des Mobilgeräts dazu, den öffentlichen Schlüssel an eine Mobilnetzwerkinfrastrukturzertifizierung zu senden. Ein Zertifikat, das den öffentlichen Schlüssel in sich trägt, wird dann an das Mobilgerät und die persönliche Recheneinrichtung erteilt, um zu ermöglichen, den Teilnehmer zu authentifizieren, wenn er den WWAN-WLAN-Dienstleistungen in dem konvergierten Netzwerk über die Mobileinrichtung oder die persönliche Recheneinrichtung nutzt. Applikationen können das Zertifikat und Schlüsselpaar für digitale Signaturen, zur Verifikation und zu Verschlüsselungszwecken nutzen. Das Zertifikat kann auch wechselseitige Authentifizierung ermöglichen.
  • Dadurch erlauben Ausführungen der vorliegenden Erfindung es Recheneinrichtungen, in konvergierten WWAN-WLAN zusammenarbeitenden Netzwerken eine Hauptrolle im zum Zur-Verfügung-Stellen von Nutzerzertifikaten zu spielen. Durch eine nahtlose Zertifikaterzeugung zum Zur-Verfügung-Stellen erstreckt sich der Bereich der drahtlosen Teilnehmerzertifikate außerhalb des WWAN-Netzwerkes in die WLAN-Netzwerke zu den SIM (Suscriber-Identity-Module), USIM (UMTS (Universal Mobile Telephone System) – SIM), oder RUIM (Removable User Identiy Module) zu Rechnereinrichtungen wie auch zu Rechnereinrichtungen ohne SIMs, USIMs oder RUIMs. Die Unterstützung von Nichtmobileinrichtungen wie Laptops, Notebooks und anderen Rechnereinrichtungen ist für WLAN-Zugang notwendig, wobei die Rechnereinrichtung eine komfortablere Plattform gegenüber einer Mobilfunkeinrichtung ist (z. B: mehr Speicher, größeren Bildschirm).
  • Obwohl Ausführungen der vorliegenden Erfindung zur Benutzung in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk beschrieben sind, ist die Erfindung nicht auf konvergierte WWAN-WLAN zusammenarbeitende Netzwerke beschränkt. Ein Fachmann würde wissen, dass Ausführungen der Erfindung gleichzeitig auf andere Typen von Netzwerken anwendbar sind, die heutzutage oder in der Zukunft konvergieren, um ein zusammenarbeitendes Netzwerk zu bilden.
  • 1 zeigt ein Diagramm, das ein beispielhaftes System 100 zum Schaffen von Nutzerzertifikaterstellung, Verteilung und zum Zur-Verfügung-Stellung in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung illustriert. Das System 100 umfasst ein WWAN-Netzwerk 102 und ein WLAN-Netzwerk 104. Beide, des WWAN-Netzwerk 102 und das WLAN-Netzwerk 104 können durch einen einzigen Dienstleistungsanbieter betrieben und besessen werden, wie zum Beispiel einem Telekommunikationsbetreiber, der dazu in der Lage ist, WWAN-Dienstleistungen und WLAN-Dienstleisungen anzubieten. Das WWAN-Netzwerk 102 umfasst ein mobiles Terminal 106, das WWAN-Zugang und Unterstützung bietet. Das WLAN-Netzwerk 104 umfasst einen PC 108, der WLAN-Zugang und Unterstützung bietet. Sowohl das WWAN-Netzwerk 102 und das WLAN-Netzwerk 104 erlauben jeweils dem mobilen Terminal 106 und dem PC 108 Zugang auf das Internet 124 oder andere Netzwerke, wie zum Beispiel Fir mennetzwerke. In Ausführungsbeispielen der vorliegenden Erfindung werden das mobile Terminal 106 und der Personalcomputer 108 durch den gleichen Nutzer betrieben.
  • Obwohl Ausführungen der vorliegenden Erfindung unter Benutzung eines mobilen Terminals und eines Personalcomputers beschrieben werden, wird ein Fachmann wissen, dass ein Nutzer mehrere mobile Terminals oder mehrere Personalcomputer nutzend, das Userzertifikat zu jedem mobilen Terminal oder jedem Personalcomputer verteilen kann, um die Benutzung eines einzigen Nutzerzertifikats durch jedes Gerät, das von dem Nutzer genutzt wird, zu ermöglichen.
  • Eine Nachschalt-Infrastruktur 114 für einen Telekommunikationsdienstleister ist in 1 dargestellt. Die Nachschalt-Infrastruktur 114 umfasst unter anderem ein HLR-Register (home location register) 116. HLR 116 umfasst eine Hauptdatei mit der permanenten Teilnehmerinformation beider Netzwerke 102 und 104. HLR 116 umfasst die jeweilige Nutzerinformation wie zum Beispiel Name, Adresse, Status des Teilnehmerkontos, Vorlieben, usw. HLR 116 umfasst weiter einen BSC – Steuerelement (base station controller) 118, einen HSS – Server (home subscriber server) 120 und ein PKI – Portal (public key infrastructure portal) für öffentliche Schlüssel, 122.
  • BSC 118 schafft Kontrollfunktionen und physikalische Verbindungen zwischen einem Mobilfunknetzwerkschaltzentrum (MSC) (nicht dargestellt) und einer Basisübertragungsstation (z. B. einer Radioinstallation) (nicht dargestellt).
  • HSS 120 speichert neue Parameter in dem Nutzerprofil, das unter Benutzung einer Bootstrappingfunktion zugeordnet ist. Bootstrapping (Urladen) ist ein wohlbekanntes Verfahren, das in dem sicheren Handhaben von Information zu oder von entfernten drahtlosen Geräten benutzt wird, wie z. B. aber nicht beschränkt auf, GSM 03.48. In Ausführungsbeispielen der vorliegenden Erfindung kann Bootstrapping dazu genutzt werden, Information, wie zum Beispiel den public key an HSS 120 der Nachschaltinfrastruktur 114 zu schieben, um in das Zertifikat eingesetzt zu werden. Bootstrapping kann auch dazu genutzt werden, das Zertifikat zum Mobilterminal 106 und danach zum PC 108 zu verteilen. Wie im Vorangehenden beschrieben, kann Bootstrapping in Ausführungen, in denen ein Teilnehmer eine Vielzahl von mobilen Terminals oder Personalcomputern besitzt, auch dazu genutzt werden, dass das Nutzerzertifikat zu jedem Mobilterminal und danach jedem Personalcomputer zu verteilen.
  • Das PKI-Portal 122 umfasst eine Sammlung von Zertifikaten. Alle diese Zertifikate, die durch den Telekommunikationsanbieter 114 erzeugt werden, werden in dem PKI-Portal 122 gespeichert.
  • Personalcomputer 108 umfassen unter anderem, einen Schlüsselpaargenerator 110 und eine sichere Speichereinheit 112. Der Personalcomputer 108 kann dabei ein Laptop, ein Notebook, eine Workstation oder eine andere Computereinrichtung sein, die dazu in der Lage ist, WLAN-Unterstützung zu bieten.
  • Der Schlüsselpaargenerator 110 erlaubt es dem Personalcomputer 108, eine Hauptrolle in dem zum Zur-Verfügung-Stellen von Benutzerzertifikaten zu spielen. Der Schlüsselpaargenerator 110 schafft einen sicheren und zuverlässigen Weg ein Schlüsselpaar zu erzeugen. Das Schlüsselpaar umfasst sowohl einen öffentlichen Schlüssel, wie auch einen privaten Schlüssel. Das Schlüsselpaar kann unter Benutzung von Hardware, Software oder über eine smart card erzeugt werden.
  • Zum Beispiel kann das Schlüsselpaar unter Benutzung eines vertrauenswürdigen Plattformmoduls (TMP – trusted platform module) erzeugt werden, die auf den Personalcomputer 108 implementiert ist. Die TPM schafft Hardware-basierten Schutz der Verschlüsselung und der digitalen Signaturschlüssel, die die Vertraulichkeit der Nutzerdaten sichern. Die TPM schützt Verschlüsselungsschlüssel und Plattformauthentifikationsinformation vor softwarebasierten Angriffen, indem sie sie in Hardware sichert.
  • Wie im Vorstehenden dargestellt, kann das Schlüsselpaar auch unter Benutzung von Software zum Beispiel CAPI (Cryptographic Application Program Interface), die von der Microsoft Corporation hergestellt wurde, erzeugt werden. In anderen Ausführungsbeispielen kann eine smart card auch dazu benutzt werden, ein Schlüsselpaar in üblicher Weise zu erzeugen. Wie im Nachfolgenden diskutiert werden wird, kann der öffentliche Schlüsselabschnitt des Schlüsselpaars dazu benutzt werden, das Zertifikat in dem konvergierten Netzwerk zu erzeugen.
  • Die sichere Speichereinheit 112 schafft sichere Mittel zum Speichern des privaten Teils des Schlüsselparts. Die sichere Speichereinheit 112 speichert auch das Zertifikat, das durch die Nachschaltinfrastruktureinheit 114 erzeugt wurde.
  • Das System 100 schafft eine drahtgebundene oder drahtlose lokale Verbindung 126 zwischen dem Mobilterminal 104 und einem Personalcomputer 108, um Daten zwischen die Mobilter minal 104 und dem Personalcomputer 108 zu übertragen. Die lokale Verbindung 126 kann drahtlose Technologien wie z. B. Bluetooth, IrDA, oder andere Typen drahtloser Technologien umfassen, die dazu benutzt werden können, mobile Terminals mit Personalcomputer Kommunizieren zu lassen. Die lokale Verbindung 126 kann auch drahtgebundene Technologien wie z. B. ein USB-Kabel, ein serielles Kabel, ein Ethernet-Kabel oder jedes andere Kabel umfassen, das dazu benutzt werden kann, Kommunikationen zwischen einem mobilen Terminal und einem Personalcomputer zu ermöglichen.
  • Ausführungsbeispiele der vorliegenden Erfindung erlauben den Betreibern und Dienstleistungsanbietern die Fähigkeit, den Abonnenten anzubieten, eine globalen Abrechnung und die Benutzung von existierenden Netzwerkinfrastrukturen in einem konvergierten zusammenarbeitenden Netzwerk einfach zu nutzen. Durch Schaffen eines einzigen Zertifikats zum Zugang an WWAN und WLAN Dienste können mobile Terminals und Personalcomputer ein gemeinsames Netzwerkauthentifikationsverfahren haben. Auch können mobile Personalcomputer, wie z. B. Laptops oder Notebooks mit der Fähigkeit der Nutzung in anderen Zonen (Roaming) versehen werden, etwas was traditionell nur durch drahtlose Telefone genutzt werden konnte.
  • Um Dienstleistungen eines der Netzwerke (WWAN Netzwerk 102 oder WLAN Netzwerk 104) zu nutzen, müssen die Abonnenten dazu in der Lage sein, sich als autorisierte Nutzer des Netzwerkes zu authentifizieren. 2 ist ein Flussdiagramm, das ein beispielhaftes Verfahren 200 zum Schaffen einer Nutzerzertifikatvergabe, zur Verteilung und zum Zur-Verfügung-Stellen in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung ist. Die Erfindung ist nicht auf das Ausführungsbeispiel, das in Bezug auf das Flussdiagramm 200 beschrieben ist, begrenzt. Es wird statt dessen einem Fachmann der entsprechenden Fachgebiete nach einem Lesen der Lehre, die hierin beschrieben ist, offenbar, dass andere Flussdiagramme sich innerhalb des Schutzbereichs der Erfindung befinden können. Das Verfahren wird aus der Perspektive eines Personalcomputers 108, eines Mobilterminals 106 und einer zellularen nachgeschalteten Netzwerkinfrastruktur 114 beschreiben. Das Verfahren beginnt bei 202, wo ein sicheres und zuverlässiges Schlüsselpaar auf dem Personalcomputer 108 erzeugt wird. Das Schlüsselpaar kann über Hardware, Software oder einer Smartcard wie oben beschrieben erzeugt werden. Der private Schlüsselabschnitt des Schlüsselpaares wird in der sicheren Speichereinheit 112 gespeichert.
  • Beo Bezugszeichen 204 kann ein Nutzer (z. B. ein Abonnent) oder eine Applikation das Verfahren des Erzeugens und Verteilens eines Nutzerzertifikats starten. Bei Bezugszeichen 206, wird ein öffentlicher Schlüssel von dem Schlüsselpaar aus der Recheneinheit 108 an das Mo bilterminal 106 über den ortsbegrenzten (location limited) Kanal 126 übertragen. Wie oben dargestellt, wird der ortsbegrenzte Kanal 126 ein drahtgebundener oder eine drahtloser ortsbegrenzter Kanal sein, der das Mobilterminal 106 in die Lage versetzt, mit der Recheneinrichtung 108 zu kommunizieren.
  • Bei 208 führt das Mobilterminal 106 eine Bootstrapping-Vorgang mit dem Mobilfunk-Zell-Betreiber durch Absenden des public key an die Nachschaltinfrastruktur 114 aus. Der Nutzer muss den Bootstrapvorgang autorisieren. In einem Ausführungsbeispiel ist der Bootstrapvorgang dadurch autorisiert, dass der Nutzer veranlasst wird, eine PIN (personal identifikation number), die er von dem Netzbetreiber erhalten hat, in das Mobilterminal 106 einzugeben.
  • Der Bootstrappingvorgang ermöglicht es der Nachschaltinfrastruktur 114, ein Nutzerzertifikat für den öffentlichen Schlüssel zu erzeugen und das Nutzerzertifikat an das Mobilterminal 106 mit Schritt 210 zu verteilen. Das Nutzerzertifikat kann auf dem Mobilterminal 106 bei 212 gespeichert werden. In einem Ausführungsbeispiel kann das Zertifikat auf dem Mobilterminal 106 über eine SIM-Karte gespeichert werden. Das Speichern des Nutzerzertifikats auf dem Mobilterminal 106 ermöglicht die WWAN Authentifizierung und den Zugriff auf Dienste, die durch das WWAN Netzwerk 102 (bei Schritt 213) angeboten werden. In einem Ausführungsbeispiel kann ein Zertifikat des Netzbetreibers auch auf der SIM-Karte erhalten und installiert sein.
  • In 214 wird das Nutzerzertifikat (und das Zertifikat eines Netzwerkbetreibers, wenn ein solches erhalten wurde) an die Recheneinrichtung 108 über einen drahtgebundenen oder drahtlosen Kanal 126 übertragen. In einem Ausführungsbeispiel, wo der Abonnent eine Vielzahl von mobilen Terminals 106 und/oder eine Vielzahl von Recheneinrichtungen 108 besitzt, kann das Nutzerzertifikat über die übrigen Mobilterminals 106 und Recheneinrichtungen 108 ebenso übertragen werden.
  • In 216 ist das Nutzerzertifikat auf einer Recheneinrichtung 108 installiert. In einem Ausführungsbeispiel kann das Nutzerzertifikat durch Speichern des Zertifikates in der TPM, dem vertrauenswürdigen Plattformmodul (z. B. einer sicheren Speichereinheit 112), installiert werden. In einem anderen Ausführungsbeispiel kann das Nutzerzertifikat über einen softwarebasierten Speichervorgang installiert werden. Wieder ein anderes Ausführungsbeispiel nutzt ein Nutzerzertifikat, das in einer smart card des Benutzers installiert ist. In einem weiteren Ausführungsbeispiel kann das Nutzerzertifikat auf einer SIM-Karte bespeichert sein. Wenn das Netzbetreiberzertifikat ebenso erhalten wurde, kann es auf einer Recheneinrichtung, einer smart card oder SIM-Karte installiert werden.
  • In 218 kann die Anwendung das Zertifikat und das Schlüsselpaar für digitale Signatur, Verifikation und/oder Verschlüsselungszwecke nutzen. In einem Ausführungsbeispiel, wo dar Netzbetreiberzertifikat ebenso erhalten und installiert wurde, können die Anwendungen es auch zum Überprüfen digitaler Signaturen nutzen. Das Netzbetreiberzertifikat wird auch die gleichzeitige Authentifizierung ermöglichen, die Fachleuten wohl bekannt ist.
  • In einem anderen Ausführungsbeispiel kann der Nutzer die Zertifikate nutzen, um Dokumente zu signieren, emails oder dgl., oder um emails oder andere Typen von Dokumenten zu verifizieren, emails und andere Typen von Dokumenten zu verschlüsseln, e-commerce (Onlinehandel) durchzuführen usw. Das sichere und zuverlässige Schlüsselpaar kann auch dazu genutzt werden, sichere WLAN Vorgänge durchzuführen.
  • Obwohl Ausführungen der vorliegenden Erfindung zum Erzeugen und Verteilen eines Nutzerzertifikats beschrieben wurden, ist die Erfindung nicht auf das einzelne Erhalten eines Zertifikats beschränkt. In Ausführungsbeispielen der Erfindung können ebenso auch mehr als ein Zertifikat an einen Nutzer erzeugt und verteilt werden.
  • Bestimmte Aspekte und Ausführungen der vorliegenden Erfindung können unter der Benutzung von Hardware, Software oder einer Kombination dieser implementiert werden und können in einem oder mehreren Computersystemen oder anderen Verarbeitungssystemen implementiert werden. Tatsächlich können in einem Ausführungsbeispiel die Verfahren in Programmen implementiert werden, die auf programmierbaren Maschinen, wie mobilen oder stationären Computern, PDAs (personal digital assistants), Set-top-Boxen, Mobiltelefonen und Pagern und anderen elektronischen Einrichtungen ablaufen, die einen Prozessor, ein Speichermedium, das von dem Prozessor lesbar ist (inklusive flüchtige und nicht-flüchtige Speicher und/oder Speicherelemente), und wenigstens eine Eingabeeinrichtung und eine oder mehrere Ausgabeeinrichtungen aufweisen. Das Computerprogramm wird dann auf die Daten angewendet, die unter Nutzung einer Eingabeeinrichtung eingegeben wurden, um die beschriebenen Funktionen durchzuführen und Ausgabeinformation zu erzeugen. Die Ausgabeinformation kann dann einer oder mehreren Ausgabeeinrichtungen zugeführt werden. Ein Durchschnittsfachmann kann erkennen, dass Ausführungen der Erfindung mit verschiedenen Computersystemkonfigurationen inklusive Mehr-Prozessorsystemen, Minicomputern, Großrechenanlagen und dgl. ausgeführt werden kann. Ausführungen der Erfindung können auch in DCE-Umgebungen (distributed computing environments) ausgeführt werden, in denen Anwendungen durch nachgeschaltete Recheneinrichtungen durchgeführt werden, die über ein Kommunikationsnetzwerk miteinander verbunden sind.
  • Jedes Programm kann in einer Hochsprache oder einer objektorientierten Programmsprache implementiert werden, um mit einem Verarbeitungssystem zu kommunizieren. Jedoch können Programme, wenn erforderlich, in Assembler oder Maschinensprache implementiert werden. Auf jeden Fall kann die Sprache kompiliert oder interpretiert werden.
  • Programmbefehle können dazu benutzt werden, ein Allzweck- oder für einen Spezialzweck vorgesehenes Verarbeitungssystem, das mit speziellen Instruktionen programmiert ist, zu veranlassen, die hierin beschriebenen Verfahren auszuführen. Alternativ können die Verfahren durch spezifisch vorgesehene Hardwarekomponenten durchgeführt werden, die verdrahtete Logik zum Durchführen der Verfahren umfassen, oder durch jede Kombination von programmierter Computerkomponenten und speziell vorgesehenen Hardwarekomponenten. Die Verfahren, die hierin beschrieben werden, können als Computerprogrammprodukt vorgesehen werden, dass ein maschinenlesbares Medium umfasst, das in sich die Befehle gespeichert hat, die das Programm veranlassen, ein Verarbeitungssystem oder eine andere elektronische Einrichtung zu steuern, um die Verfahren durchzuführen. Der Begriff „maschinenlesbares Medium" oder „maschinenzugängliches Medium", der hierin benutzt wird, soll jedes Medium umfassen, das dazu in der Lage ist, eine Folge von Befehlen zu speichern und zu verschlüsseln, zur Ausführung durch die Maschine und die die Maschine dazu veranlassen, eines der hierin beschriebenen Verfahren durchzuführen. Der Ausdruck „maschinenlesbares Medium" und „maschinenzugängliches Medium" soll entsprechend Festkörperspeicher, optische und magnetische Platten und eine Trägerwelle umfassen, die ein Datensignal verschlüsselt, aber nicht darauf beschränkt sein. Weiter ist es in dem Stand der Technik üblich, von Software zu sprechen in einer Form oder einer anderen (z.B. einem Programm, einem Verfahren, einem Prozess, einer Anwendung, einem Modul, einer Logik, usw.) für das Veranlassen einer Tätigkeit oder das Erzeugen eines Ergebnisses. Solche Ausdrücke sind lediglich eine Kurzbezeichnung, die das Ausführen von Software durch ein Verarbeitungssystem bedeutet, die den Prozessor veranlaßt, eine Aktion durchzuführen, oder ein Resultat zu erzeugen.
  • Während verschiedene Ausführungen der vorliegenden Erfindung im Obigen beschrieben wurden, wird darauf hingewiesen, dass diese nur beispielhaft dargestellt wurden und nicht schutzbegrenzend. Es wird darauf hingewiesen, dass ein Fachmann verschiedene Änderungen in Form und Einzelheiten hiervon machen kann, ohne aus dem Geist- und Schutzbereich der Erfindung, wie sie durch die angefügten Ansprüche beschrieben sind, abzuweichen. Daher wird die Breite und der Schutzbereich der vorliegenden Erfindung nicht durch eines der oben beschriebenen beispielhaften Ausführungsbeispiele begrenzt, sondern sollte durch die nachfolgenden Ansprüche und deren Äquivalente definiert sein.
  • ZUSAMMENFASSUNG
  • Ein System und ein Verfahren zur Nutzerzertifikatvergabe, Verteilung und zum Zur-Verfügung-Stellung in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk. Eine Recheneinheit (108), die in einem WLAN betrieben werden kann, sendet (206) einen öffentlichen Schlüssel an eine Mobileinrichtung, die in einem drahtlosen Weit-Bereichs Mobilfunknetzwerk betrieben werden kann. Die Mobileinrichtung führt ein Urlade- (bootstrapping) Verfahren mit dem Netzbetreiber durch in dem drahtlosen Weit-Bereichs Mobilfunknetz (208) durch um ein Nutzerzertifikat basierend auf dem öffentlichen Schlüssel (210) zu erhalten. Die Mobileinrichtung sendet (214) das Nutzerzertifikat an die Recheneinrichtung zur Installation auf der Recheneinrichtung. Das Nutzerzertifikat kann benutzt werden für digitale Signaturen, zur Verifikation und zu Verschlüsselungszwecken. Das Nutzerzertifikat wird also in sowohl dem WLAN wie dem WWAN zur Authentifizierung eines Abonnenten genutzt, wenn dieser auf Dienste von beiden Netzwerken (213, 218) zugreift.

Claims (45)

  1. Ein Verfahren für sichere Abläufe in einem konvergierten zusammenarbeitenden Netzwerk, umfassend: – Erhalten eines public key aus einer Recheneinrichtung; – Durchführen eines Bootstrapping- (Urlade-) vorganges mit einem Netzbetreiber; – Erhalten eines Nutzerzertifikats von dem Netzbetreiber, wobei das Nutzerzertifikat auf dem public key basiert, und – Übertragen des Nutzerzertifikats von der Recheneinrichtung zur digitalen Signatur, Verifikation und Verschlüsselungszwecken, wobei das konvergierte zusammenarbeitende Netzwerk ein drahtloses Großflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfasst, wobei das Nutzerzertifikat in sowohl den WWAN und den WLAN-Netzwerken genutzt wird, einen Abonnenten zu authentifizieren.
  2. Das Verfahren nach Anspruch 1, wobei die Recheneinrichtung einen Laptop, ein Notebook oder eine andere Recheneinrichtung mit WLAN-Support umfasst.
  3. Das Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel durch ein Mobilterminal empfangen wird, wobei das Mobilterminal den Bootstrappingprozess mit dem Mobilfunknetzbetreiber durchführt.
  4. Das Verfahren nach Anspruch 3, wobei das mobile Terminal eine mobile Einrichtung umfasst, die dazu in der Lage ist Netzkommunikation durchzuführen.
  5. Das Verfahren nach Anspruch 1, wobei die Computereinrichtung das Nutzerzertifikat in einer sicheren Speichereinrichtung für digitale Signatur, Verifikation und Verschlüsselung speichert.
  6. Das Verfahren nach Anspruch 1, wobei die Computereinrichtung das Nutzerzertifikat auf einer Smartcard des Nutzers speichert.
  7. Das Verfahren nach Anspruch 1, wobei die Computereinrichtung das Nutzerzertifikat in einem software-basiertem Speicher installiert.
  8. Das Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel ein Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst, wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung erzeugt ist.
  9. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar der Nutzung einer vertrauenswürdigen Hardwarekomponente erzeugt ist.
  10. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar unter Nutzung eines Benutzerprogramm-Interfaces (API) erzeugt ist.
  11. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer Smartcard erzeugt ist.
  12. Das Verfahren nach Anpruch 1, wobei der öffentliche Schlüssel über ein kurzreichweitiges drahtloses Netzwerk empfangen wird.
  13. Das Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel durch ein Mobilterminal von einer Recheneinheit über eine Bluetooth-Verbindung empfangen wird.
  14. Das Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel durch ein Mobilterminal von der Recheneinheit über ein IrDA (Infrarot Data Assosiation) – Netzwerk empfangen wird.
  15. Das Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel durch ein Mobilterminal von der Computereinrichtung über eine drahtgebundene Verbindung empfangen wird.
  16. Das Verfahren nach Anspruch 1, wobei das Nutzerzertifikat auf einem Mobilterminal vor der Übertragung des Benutzerzertifikates an die Recheneinrichtung installiert ist.
  17. Ein sicheres konvergentes zusammenarbeitendes Netzwerksystems, umfassend: – ein drahtloses lokales Netzwerk (WLAN), das wenigstens eine Recheneinrichtung aufweist, wobei die wenigstens eine Recheneinrichtung WLAN-Fähigkeit besitzt; – ein drahtloses Großflächennetzwerk (WWAN) mit wenigstens einem Mobilterminal zur Kommunikation über das WWAN-Netzwerk, wobei das WWAN-Netzwerk einen mobilen Netzwerkbetreiber umfasst; wobei ein Einzelnutzerzertifikat genutzt wird, um einen Nutzer zu authentifizieren, wenn er Dienstleistungen nutzt, die durch die WWAN und WLAN-Netzwerke offeriert werden, wobei das Einzelnutzerzertifikat erzeugt wird, indem wenigstens eine Recheneinrichtung dazu in die Lage gesetzt wird, einen öffentlichen Schlüssel an das wenigstens eine Mobilterminal zu setzen, wobei wenigstens ein Mobileterminal ein Bootstrapverfahren mit dem Mobilnetzwerkbetreiber be ginnt, um ein Einzelnutzerzertifikat für den öffentlichen Schlüssel zu erhalten und das wenigstens eine Mobilterminal das Nutzerzertifikat an die wenigstens eine Recheneinrichtung überträgt, um sicher auf der wenigstens einen Recheneinheit installiert zu werden.
  18. Das System nach Anspruch 17, wobei der öffentliche Schlüssel Teil eines Schlüsselpaares ist, wobei das Schlüsselpaar durch die Recheneinrichtung erzeugt wird.
  19. Das System nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung einer vertrauenswürdigen Hardwarekomponenten erzeugt wird.
  20. Das System nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung eines Benutzerprogramm-Interfaces, (API) erzeugt wird.
  21. Das System nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung einer Smartcard erzeugt wird.
  22. Das System nach Anspruch 17, wobei das Nutzerzertifikat auf dem Mobilterminal installiert wird, bevor es an die Recheneinrichtung übertragen wird.
  23. Das System nach Anspruch 17, wobei das Nutzerzertifikat auf der Recheneinrichtung in einer zuverlässigen Hardwarekomponenten installiert ist.
  24. Das System nach Anspruch 17, wobei das Nutzerzertifikat auf einer SIM(subscriber identity module, Abonnentenidentitätsmodul) – Karte für die Recheneinrichtung installiert ist.
  25. Das System nach Anspruch 17, wobei das Nutzerzertifikat auf einer Smartcard installiert ist, wobei die Recheneinrichtung das mobile Terminal und die Smartcard von einem Abonnenten des konvergierenden zusammenarbeitenden Netzwerksystems besessen werden.
  26. Ein Artikel umfassend: ein Speichermedium mit einer Vielzahl von maschinenlesbaren Befehlen, wobei die Befehle durch einen Prozessor ausgeführt werden und die Befehle dafür sorgen, dass ein öffentlicher Schlüssel von einer Recheneinrichtung empfangen wird; ein Bootstrappingverfahren mit einem Netzwerkbetreiber durchgeführt wird; ein Nutzerzertifikat vom Netzwerkbetreiber geschaffen wird, wobei das Nutzerzertifikat auf dem öffentlichen Schlüssel basiert, und das Nutzerzertifikats an die Recheneinrichtung zur Digitalsignatur, Verifikation und Verschlüsselungszwecken übertragen wird; wobei das konvergierende zusammenarbeitende Netzwerk ein drahtloses Weitflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfassen, wobei das Nutzerzertifikat dazu dient, die Dienstleistungen in beiden WWAN und WLAN-Netzwerken einem Abonnenten zu authentifizieren.
  27. Der Gegenstand des Anspruches 26, wobei die Recheneinrichtung eine aus der folgenden Gruppe umfaßt : Laptop, Notebook oder jeder anderen Computereinrichtung, die WLAN-Fähigkeit besitzt.
  28. Gegenstand von Anspruch 26, wobei eine Mobileinrichtung mit Mobilfunkfähigkeit den öffentlichen Schlüssel aus der Recheneinrichtung erhält und den Bootstrappingprozess mit dem Netzbetreiber durchführt.
  29. Der Gegenstand des Anspruchs 26, wobei die Recheneinrichtung das Nutzerzertifikat in einer sicheren Speichereinrichtung zur digitalen Signatur, Verifikation und Verschlüsselung speichert.
  30. Der Gegenstand nach Anspruch 26, wobei die Recheneinrichtung das Nutzerzertifikat auf einer Smartcard des Abonnenten installiert.
  31. Der Gegenstand nach Anspruch 26, wobei die Recheneinrichtung das Nutzerzertifikat in einer Software-basierten Speicherung installiert.
  32. Der Gegenstand nach Anspruch 26, wobei der öffentliche Schlüssel ein Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst und wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung erzeugt ist.
  33. Der Gegenstand nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer vertrauenswürdigen Hardwarekomponenten erzeugt ist.
  34. Der Gegenstand nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung eines Benutzerprogramm Interfaces (API) erzeugt wird.
  35. Der Gegenstand nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer Smartcard erzeugt ist.
  36. Authentifizierungsverfahren mit: – Senden eines öffentlichen Schlüssels an eine Mobileinrichtung, die Mobilfunkfähigkeit besitzt, über eine Computereinrichtung, die in einem lokalen drahtlosen Netzwerk betrieben werden kann, wobei die mobile Einrichtung in einem drahtlo sen Weitgebietsnetzwerk betrieben werden kann, und wobei die mobile Einrichtung ein Bootstrappingverfahren mit einem Netzwerkbetreiber in dem weitflächigen Netzwerk durchführt, um ein Nutzerzertifikat basierend auf dem öffentlichen Schlüssel zu erhalten; und – Empfangen des Nutzerzertifikats von der mobilen Einrichtung zur digitalen Signatur, Verifikation und Verschlüsselungszwecken; wobei das Nutzerzertifikat sowohl in dem drahtlosen lokalen Netzwerk und dem drahtlosen Weitflächennetzwerk zur Authentifizierung eines Abonnenten in jedem der Netzwerke genutzt wird.
  37. Das Verfahren nach Anspruch 36 mit dem weiteren Schritt des sicheren Installierens des Nutzerzertifikats auf der Recheneinrichtung.
  38. Das Verfahren nach Anspruch 36, wobei die Recheneinrichtung einen Laptop, ein Notebook, ein Computertablet und jede andere Recheneinrichtung umfasst, die dazu in der Lage ist, WLAN-Zugang zu schaffen.
  39. Das Verfahren nach Anspruch 36, wobei die Mobileinrichtung ein Mobiltelefon, einen PDA (personal digital assistant) oder jede andere mobile Einrichtung umfasst, die dazu in der Lage ist, in einem Mobilfunknetzwerk betrieben zu werden.
  40. Das Verfahren nach Anspruch 36, wobei der öffentliche Schlüssel einen Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst und wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung erzeugt wird.
  41. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar durch eine vertrauenswürdigen Hardwarekomponente erzeugt wird.
  42. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung eines Benutzerprogrammes-Interfaces API erzeugt wird.
  43. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar unter Nutzung einer Smartcard erzeugt wird.
  44. Das Verfahren nach Anspruch 36 wobei das Nutzerzertifikat das von dem Bootstrappingverfahren erhalten wird, an andere Mobileinrichtungen, die von dem Abonnenten benutzt werden, verteilt wird.
  45. Das Verfahren nach Anspruch 36, wobei das Nutzerzertifikat das von dem Bootstrappingverfahren erhalten wurde an eine Vielzahl von Recheneinrichtungen, die von dem Abonnenten benutzt werden, verteilt ist.
DE112005002362.1T 2004-10-01 2005-09-30 System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken Expired - Fee Related DE112005002362B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/956,765 US9282455B2 (en) 2004-10-01 2004-10-01 System and method for user certificate initiation, distribution, and provisioning in converged WLAN-WWAN interworking networks
US10/956,765 2004-10-01
PCT/US2005/035412 WO2006039616A1 (en) 2004-10-01 2005-09-30 System and method for user certificate initiation, distribution, and provisioning in converged wlan-wwan interworking networks

Publications (2)

Publication Number Publication Date
DE112005002362T5 true DE112005002362T5 (de) 2007-08-30
DE112005002362B4 DE112005002362B4 (de) 2017-11-16

Family

ID=35636646

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112005002362.1T Expired - Fee Related DE112005002362B4 (de) 2004-10-01 2005-09-30 System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken

Country Status (7)

Country Link
US (2) US9282455B2 (de)
JP (1) JP4792037B2 (de)
KR (1) KR100922452B1 (de)
CN (1) CN100542344C (de)
DE (1) DE112005002362B4 (de)
GB (1) GB2433003B (de)
WO (1) WO2006039616A1 (de)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8543814B2 (en) * 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
US8726023B2 (en) * 2005-02-03 2014-05-13 Nokia Corporation Authentication using GAA functionality for unidirectional network connections
US20070049232A1 (en) * 2005-08-15 2007-03-01 Research In Motion Limited Joint Space-Time Optimum Filter (JSTOF) Using QR and Eigenvalue Decompositions
KR100755536B1 (ko) * 2005-12-15 2007-09-06 주식회사 팬택앤큐리텔 복제단말기에 대한 ip 할당 방지시스템
US8005459B2 (en) 2005-12-16 2011-08-23 Research In Motion Limited System and method of authenticating login credentials in a wireless communication system
US8099082B2 (en) 2005-12-16 2012-01-17 Research In Motion Limited System and method wireless messaging in a wireless communication system
US20070149171A1 (en) * 2005-12-27 2007-06-28 Hsin-Hsu Cho Wireless mobile communication system
US8027472B2 (en) 2005-12-30 2011-09-27 Selim Aissi Using a trusted-platform-based shared-secret derivation and WWAN infrastructure-based enrollment to establish a secure local channel
US7885858B2 (en) * 2006-01-24 2011-02-08 Dell Products L.P. System and method for managing information handling system wireless network provisioning
US8527770B2 (en) 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
US8712474B2 (en) * 2007-04-20 2014-04-29 Telefonaktiebolaget L M Ericsson (Publ) Secure soft SIM credential transfer
FR2958821A1 (fr) * 2007-12-11 2011-10-14 Mediscs Procede d'authentification d'un utilisateur
EP2096829B1 (de) * 2008-02-29 2010-12-08 Research In Motion Limited Verfahren und Vorrichtung zur Verwendung zum Erhalten eines digitalen Zertifikats für eine mobile Kommunikationsvorrichtung
US10015158B2 (en) 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
EP2096830B1 (de) 2008-02-29 2011-08-03 Research In Motion Limited Verfahren und Vorrichtung zur Verwendung beim Aktivieren einer mobilen Kommunikationsvorrichtung mit einem digitalen Zertifikat
US9479339B2 (en) * 2008-02-29 2016-10-25 Blackberry Limited Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
KR101236438B1 (ko) * 2008-11-04 2013-02-21 에스케이플래닛 주식회사 Cpns 환경에서 종단 단말기로 서비스를 제공하기 위한 시스템 및 방법과 이를 위한 cpns 서버, 이동통신 단말기 및 종단 단말기
KR101268838B1 (ko) * 2008-11-06 2013-05-29 에스케이플래닛 주식회사 Cpns 환경에서 원거리의 종단 단말기를 제어하기 위한 시스템 및 방법과 이를 위한 cpns 서버, 이동통신 단말기
US8386773B2 (en) * 2008-12-09 2013-02-26 Research In Motion Limited Verification methods and apparatus for use in providing application services to mobile communication devices
US20110161659A1 (en) * 2009-12-28 2011-06-30 Motorola, Inc. Method to enable secure self-provisioning of subscriber units in a communication system
CN102202291B (zh) * 2010-03-22 2014-09-10 中国移动通信集团公司 无卡终端及其业务访问方法及系统、有卡终端及初始化服务器
US20120066750A1 (en) * 2010-09-13 2012-03-15 Mcdorman Douglas User authentication and provisioning method and system
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
WO2012073340A1 (ja) * 2010-11-30 2012-06-07 富士通株式会社 鍵更新方法、ノード、ゲートウェイ、サーバ、およびネットワークシステム
JP5488715B2 (ja) * 2010-11-30 2014-05-14 富士通株式会社 鍵更新方法、ノード、サーバ、およびネットワークシステム
US8863256B1 (en) 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
KR101264299B1 (ko) 2011-01-20 2013-05-22 에스케이플래닛 주식회사 Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법
US8713314B2 (en) 2011-08-30 2014-04-29 Comcast Cable Communications, Llc Reoccuring keying system
CN102364971A (zh) * 2011-10-09 2012-02-29 中兴通讯股份有限公司 一种网络融合方法及系统
CN103404075B (zh) * 2012-01-25 2016-10-05 松下知识产权经营株式会社 密钥管理系统、密钥管理方法以及通信装置
US9338159B2 (en) * 2012-03-19 2016-05-10 Nokia Technologies Oy Method and apparatus for sharing wireless network subscription services
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
JP6357778B2 (ja) * 2013-06-26 2018-07-18 株式会社リコー 通信装置、通信システム及びプログラム
GB2529838B (en) 2014-09-03 2021-06-30 Advanced Risc Mach Ltd Bootstrap Mechanism For Endpoint Devices
GB2540987B (en) * 2015-08-03 2020-05-13 Advanced Risc Mach Ltd Bootstrapping without transferring private key
GB2540989B (en) 2015-08-03 2018-05-30 Advanced Risc Mach Ltd Server initiated remote device registration
WO2018010957A1 (en) * 2016-07-12 2018-01-18 Deutsche Telekom Ag Method for providing an enhanced level of authentication related to a secure software client application provided by an application distribution entity in order to be transmitted to a client computing device; system, application distribution entity, software client application, and client computing device for providing an enhanced level of authentication related to a secure software client application, program and computer program product
WO2018010958A2 (en) * 2016-07-12 2018-01-18 Deutsche Telekom Ag Method for detecting and/or identifying data streams within a telecommunications network; system, telecommunications network, and content server entity for detecting and/or identifying data streams within a telecommunications network, program and computer program product
GB2582735B (en) 2019-02-01 2022-11-30 Arm Ip Ltd Template-based registration
US11475134B2 (en) 2019-04-10 2022-10-18 Arm Limited Bootstrapping a device
CN110599647A (zh) * 2019-09-05 2019-12-20 广东纬德信息科技有限公司 一种智能锁认证方法及系统

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5737419A (en) * 1994-11-09 1998-04-07 Bell Atlantic Network Services, Inc. Computer system for securing communications using split private key asymmetric cryptography
US6886095B1 (en) * 1999-05-21 2005-04-26 International Business Machines Corporation Method and apparatus for efficiently initializing secure communications among wireless devices
CZ20014168A3 (cs) * 1999-05-21 2002-05-15 International Business Machines Corporation Způsob a zařízení pro inicializaci zabezpečné komunikace a pro vytvoření výhradních dvojic bezdrátových přístrojů
GB9922665D0 (en) 1999-09-25 1999-11-24 Hewlett Packard Co A method of enforcing trusted functionality in a full function platform
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
JP4644900B2 (ja) * 2000-03-07 2011-03-09 ソニー株式会社 通信手段を介したサービス提供システム、サービス提供方法、およびサービス仲介装置、並びにプログラム提供媒体
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
JP3973010B2 (ja) * 2000-04-21 2007-09-05 富士通株式会社 複数のサービスのための認証装置および認証方法
JP2002056140A (ja) 2000-05-30 2002-02-20 Nippon Telegr & Teleph Corp <Ntt> チケット、チケット流通方法及びその装置
US7107248B1 (en) 2000-09-11 2006-09-12 Nokia Corporation System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure
NO313480B1 (no) * 2001-01-24 2002-10-07 Telenor Asa Fremgangsmåte for å åpne hele eller deler av et smartkort
JP4766762B2 (ja) 2001-03-26 2011-09-07 三洋電機株式会社 データ再生装置
WO2002101580A1 (en) * 2001-06-12 2002-12-19 Research In Motion Limited Certificate management and transfer system and method
US20030126085A1 (en) * 2001-12-27 2003-07-03 Slamdunk Networks, Inc. Dynamic authentication of electronic messages using a reference to a certificate
JP4186466B2 (ja) 2002-01-16 2008-11-26 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにコンピュータ・プログラム
US20030149874A1 (en) * 2002-02-06 2003-08-07 Xerox Corporation Systems and methods for authenticating communications in a network medium
WO2003071736A1 (en) * 2002-02-22 2003-08-28 Nokia Corporation Method and apparatus for reducing the use of signalling plane in certificate provisioning procedures
AU2002309088A1 (en) * 2002-02-22 2003-09-09 Nokia Corporation Requesting digital certificates
US6868282B2 (en) 2002-03-26 2005-03-15 Ericsson, Inc. Method and apparatus for accessing a network using remote subscriber identity information
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
US7581095B2 (en) * 2002-07-17 2009-08-25 Harris Corporation Mobile-ad-hoc network including node authentication features and related methods
US20040030887A1 (en) * 2002-08-07 2004-02-12 Harrisville-Wolff Carol L. System and method for providing secure communications between clients and service providers
JP3905803B2 (ja) * 2002-08-08 2007-04-18 株式会社エヌ・ティ・ティ・ドコモ 無線通信における認証システム、認証方法及び端末装置
JP2004078426A (ja) * 2002-08-13 2004-03-11 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法及びシステム
KR100819678B1 (ko) * 2002-09-28 2008-04-04 주식회사 케이티 코드분할다중접속 인증 정보를 이용한 공중 무선랜 서비스인증 방법
JP4040424B2 (ja) * 2002-10-16 2008-01-30 Kddi株式会社 ソフトウェアライセンス管理方法、ソフトウェアライセンス管理システム、及びコンピュータプログラム
US8423077B2 (en) * 2002-12-18 2013-04-16 Broadcom Corporation Multi-processor platform for wireless communication terminal having partitioned protocol stack
KR20040063035A (ko) * 2003-01-04 2004-07-12 삼성전자주식회사 이동 전화망을 이용하는 공중 무선 랜의 접속 인증 방법
KR100950662B1 (ko) * 2003-01-30 2010-04-08 삼성전자주식회사 네트웍을 이용한 스마트 카드의 인증방법
JP3964338B2 (ja) 2003-03-07 2007-08-22 株式会社エヌ・ティ・ティ・ドコモ 通信ネットワークシステム、通信端末機、認証装置、認証サーバ、及び電子認証方法
JP2004272792A (ja) * 2003-03-11 2004-09-30 Toshiba Corp ネットワークアクセス制御方法、情報提供装置及び証明書発行装置
US7505756B2 (en) * 2003-10-15 2009-03-17 Microsoft Corporation Dynamic online subscription for wireless wide-area networks
US7263608B2 (en) * 2003-12-12 2007-08-28 Lenovo (Singapore) Pte. Ltd. System and method for providing endorsement certificate
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
ATE428235T1 (de) * 2004-04-30 2009-04-15 Research In Motion Ltd System und verfahren zum erhalten des zertifikatstatus von subschlusseln
US20060046692A1 (en) * 2004-08-26 2006-03-02 Jelinek Lenka M Techniques for establishing secure electronic communication between parties using wireless mobile devices
US7640428B2 (en) * 2004-09-02 2009-12-29 Research In Motion Limited System and method for searching and retrieving certificates
US8611536B2 (en) * 2004-09-08 2013-12-17 Qualcomm Incorporated Bootstrapping authentication using distinguished random challenges
US20060059341A1 (en) * 2004-09-14 2006-03-16 Dharmadhikari Abhay A Apparatus and method capable of network access
US8032753B2 (en) * 2006-11-23 2011-10-04 Electronics And Telecommunications Research Institute Server and system for transmitting certificate stored in fixed terminal to mobile terminal and method using the same

Also Published As

Publication number Publication date
US20060075242A1 (en) 2006-04-06
JP2008515357A (ja) 2008-05-08
GB2433003B (en) 2009-01-14
CN100542344C (zh) 2009-09-16
DE112005002362B4 (de) 2017-11-16
CN101032126A (zh) 2007-09-05
GB2433003A (en) 2007-06-06
JP4792037B2 (ja) 2011-10-12
US9713008B2 (en) 2017-07-18
KR20070046966A (ko) 2007-05-03
WO2006039616A1 (en) 2006-04-13
US9282455B2 (en) 2016-03-08
KR100922452B1 (ko) 2009-10-21
GB0705907D0 (en) 2007-05-09
US20160192198A1 (en) 2016-06-30

Similar Documents

Publication Publication Date Title
DE112005002362T5 (de) System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken
DE102019218394A1 (de) Bereitstellung von elektronischen teilnehmeridentitätsmodulen für mobile drahtlose vorrichtungen
DE102018214850A1 (de) Verwaltung einer eingebetteten universellen integrierten Schaltkarten (EUICC)-Bereitstellung mit mehreren Zertifikatsausstellern (CIS)
DE19756587C2 (de) Verfahren und Kommunikationssystem zur Verschlüsselung von Informationen für eine Funkübertragung und zur Authentifikation von Teilnehmern
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE102016206488A1 (de) Verwalten von inaktiven elektronischen Teilnehmeridentitätsmodulen
DE112016004598T5 (de) INSTANZIIERUNG VON MEHREREN INSTANZEN EINES ELEKTRONISCHEN TEILNEHMERIDENTITÄTSMODULS (eSIM)
EP3198903B1 (de) Verfahren und vorrichtungen zum bereitstellen eines subskriptionsprofils auf einem mobilen endgerät
DE102007012749A1 (de) Verfahren und System zur Bereitstellung von Diensten für Endgeräte
DE112015003277B4 (de) System und verfahren für einzel-sim-marktplatz
EP2443853A1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
DE102017215230A1 (de) Sichere kontrolle von profilrichtlinienregeln
WO1999048318A1 (de) Verfahren, mobilstation und funk-kommunikationssystem zur steuerung von sicherheitsbezogenen funktionen bei der verbindungsbehandlung
DE102016122120A1 (de) Schalten einer Netzwerk-Konnektivität unter Verwendung eines Authentifizierungsgerät
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE112013005031T5 (de) Zuordnung von Mobilstationen an geschützte Zugriffspunkte
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
DE102008017630A1 (de) Verfahren, mobiles Telekommunikationsendgerät und System zur Authentisierung
DE102011007534A1 (de) Datenübermittlung zu einem Identifizierungsmodul in einem Mobilfunkendgerät
EP2688327A2 (de) Aktivieren von Teilnehmeridentitätsdaten
EP3276999B1 (de) Kommunikationsgerät mit esim schaltkreis zum bereitstellen einer elektronischen sim
WO2020254016A1 (de) Verfahren zur konfiguration einer funkverbindung
DE102012020987A1 (de) Verfahren zum sicheren Verwalten von Teilnehmeridentitätsdaten
EP3235275B1 (de) Einbringen einer identität in ein secure element
CN105744507B (zh) 一种终端代理的不同运营商之间通信资源共享的方法、系统

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012280000

Ipc: H04W0084100000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012280000

Ipc: H04W0084100000

Effective date: 20120215

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee