-
Die
vorliegende Erfindung betrifft allgemein eine An und Weise, in der
Authentifizierungen von Übertragungsstationen
bewirkt werden, die in einem Kommunikationssystem wie etwa einem
auf Bluetooth basierenden Kommunikationssystem betreibbar sind.
Genauer betrifft die vorliegende Erfindung Vorrichtungen und ein
zugehöriges
Verfahren, wodurch die Authentifizierung wenigstens eines Teils der
Netzinfrastruktur des auf der Bluetooth- oder einer anderen Norm
basierenden Kommunikationssystems durch eine mobile Endeinrichtung
vereinfacht wird. Der Betrieb einer Ausführungsform der vorliegenden
Erfindung sorgt dafür,
dass eine Authentifizierung bewirkt wird, ohne die Vertraulichkeit
von Kennungen, die bei den Authentifizierungsprozeduren verwendet
werden, zu kompromittieren.
-
HINTERGRUND
DER ERFINDUNG
-
Fortschritte
in der Kommunikationstechnologie haben die Entwicklung und allgemeine
Verbreitung von neuartigen Kommunikationssystemen ermöglicht.
Drahtlose Mehrbenutzer-Kommunikationssysteme sind beispielhaft für Kommunikationssysteme,
die infolge derartiger Fortschritte möglich geworden sind. Ein Mobilfunksystem
ist ein drahtloses Mehrbenutzer-Kommunikationssystem, das von einer
großen
Anzahl von Benutzern gleichzeitig benutzt werden kann.
-
In
einem Mobilfunksystem wie auch in anderen Typen von Funkkommunikationssystemen
ist ein Übertragungskanal,
der zwischen einer sendenden Station und einer empfangenden Station
aufgebaut wird, aus einem Funkkanal gebildet, der auf der Grundlage
eines Abschnitts des elektromagnetischen Spektrums definiert ist.
Es ist nicht notwendig, eine Drahtleitungsverbindung zwischen der
sendenden und der empfangenden Station herzustellen. Deshalb ist
einem Funkkommunikationssystem eine im Vergleich zu herkömmlichen
Drahtleitungskommunikationssystemen höhere Kommunikationsmobilität eigen.
-
Digitale Übertragungsverfahren
sind in sowohl in Funksystemen als auch in anderen Kommunikationssystemen
umgesetzt worden. Digitale Übertragungsverfahren
ermöglichen
im Allgemeinen dem Kommunikationssystem, in dem die Verfahren umgesetzt
sind, eine im Vergleich zu herkömmlichen
analogen Übertragungsverfahren
höhere Übertragungskapazität zu erzielen.
-
Um
in einem Kommunikationssystem, das digitale Übertragungsverfahren verwendet,
Informationen zu übertragen,
werden dieses typisch digitalisiert, um digitale Bits zu bilden.
Die digitalen Bits sind typisch gemäß einem Formatierungsschema
formatiert. Gruppen digitaler Bits werden beispielsweise so angeordnet,
dass sie ein Paket bilden, und ein Paket oder mehrere Pakete von
Daten werden mitunter definiert zusammengefasst, um einen Rahmen
von Daten zu bilden.
-
Da
Pakete oder Rahmen von Daten eher in diskreten Intervallen, als
kontinuierlich übertragen werden
können,
braucht ein Frequenzband nicht speziell nur für die Übertragung von Daten zwischen einem
Kommunikationspaar vorgesehen zu sein. Stattdessen kann das Frequenzband
von vielen verschiedenen Kommunikationspaaren gemeinsam genutzt
werden. Die gemeinsame Nutzung des Frequenzbandes durch mehr als
ein Kommunikationspaar ermöglicht
eine Vervielfachung der Übertragungskapazität des Systems.
-
Paketdatenübertragungen
werden beispielsweise in herkömmlichen
lokalen Datennetzen (LANs: Local Area Networks) durchgeführt. Es
sind außerdem
drahtlose Netze, als WLANs (Wireless Local Area Networks) bezeichnet,
entwickelt worden, die in einer Art und Weise betreibbar sind, die
verdrahteten LANs analog ist; sie werden verwendet, um Daten über eine
Funkverbindung zu übertragen.
Einige dieser Paketübertragungssysteme
sind in der Lage, sowohl für
Sprache, als auch für
nicht Nicht-Sprache-Kommunikationen zu sorgen.
-
Ein
WIO (Wireless Intranet Office) ist beispielhaft für ein Paket-Funkkommunikationssystem, das
dafür vorgesehen
ist, Sprache und andere Echtzeitkommunikationen zu liefern. Sprachkommunikation über ein
WIO bietet den Vorteil der Verwendung eines drahtlosen Kommunikationssystems
in einer kostengünstigen
Art und Weise. Sowohl Sprache als auch andere Daten können zwischen
mobilen Endeinrichtungen übermittelt
werden, die in einem derartigen System betreibbar sind. Verschiedene
Aspekte herkömmlicher
zellularer oder mikrozellularer Kommunikationssysteme werden in
einem WIO-System auf herkömmliche
Weise genutzt.
-
Beispielsweise
werden Authentifizierungsprozeduren ausgeführt, um sicherzustellen, dass
die Mobilstation und der Netzabschnitt des WIO-Systems authen tisch
sind. Im Anschluss an die Authentifizierung sind Kommunikationen
zwischen der Mobilstation und dem Netzabschnitt des Systems zugelassen.
-
Es
ist wenigstens ein Vorschlag dargelegt worden, durch den eine nach
zwei Übertragungsnormen
arbeitende, mobile Endeinrichtung geschaffen wird, die sowohl in
einem herkömmlichen
zellularen Kommunikationssystem, wie etwa einem GSM (Global System
for Mobile Communication), als auch in einem WIO-Netz betreibbar ist. Insbesondere ist
ein WIO-Netz vorgeschlagen worden, um Bluetooth-Funkverfahren zu
verwenden, wobei Bluetooth-Signale das Funkzugangsmedium zwischen der
mobilen Endeinrichtung und einer entsprechenden Infrastruktur des
WIO-Netzes bilden. Um eine sichere Funkverbindung zu schaffen, muss
die Vorrichtung gemäß einer
Kommunikationssitzung betrieben werden können, d. h. die mobile Bluetooth-Endeinrichtung
der nach zwei Übertragungsnormen
arbeitenden, mobilen Endeinrichtung und die Bluetooth-Netzinfrastruktur
des WIO-Systems müssen einander
authentifizieren. Wenn sie authentifiziert sind, können die
Vorrichtungen Verschlüsselungscodes
verwenden, um die Signale, die zwischen ihnen zu übertragen
sind, zu verschlüsseln.
-
Die
Bluetooth-Norm legt beispielsweise eine Authentifizierungsprozedur
dar, durch welche sich Bluetooth-Vorrichtungen gegenseitig authentifizieren,
und sorgt für
die Ausführung
einer Prozedur, die als Paarbildung bezeichnet wird. Bei einer Paarbildungsprozedur
wird auf der Grundlage von geheimen Kennungen einer Bluetooth-Vorrichtung,
die als persönliche
Identifikationsnummern (PIN-Codes) bezeichnet werden, ein geheimer
Verbindungsschlüssel
erzeugt. Sobald die Paarbildung abgeschlossen ist, wird ein Verbindungsschlüssel erzeugt,
der von da an zwischen den Vorrichtungen zu verwenden ist.
-
Ein
derartiger Paarbildungsvorgang erfordert jedoch einen Nutzerdialog
und ist deshalb nicht automatisiert.
-
Eine
automatisierte Prozedur, mit der eine Authentifizierung ausgeführt werden
kann, wäre
vorteilhaft.
-
Im
Stand der Technik sind verschiedene Prozeduren bekannt, um Kommunikationsstationen
zu authentifizieren. Die Veröffentlichung
WO-A-0 001 187 offenbart ein Verfahren zur Validierung einer mobilen
Endeinrichtung in einem Mobilfunksystem. In "Specification Of The Bluetooth System", Core v-1.0b (01-12-1999)
Kapitel 14, Bluetooth Security, S. 149–178, sind Bluetooth-Sicherheitsmaßnahmen dargelegt.
Die Veröffentlichungen
WO-A-9 734 429 und WO-A-9 929 126 offenbaren nach zwei Übertragungsnormen
arbeitende Systeme und Vorrichtungen. Und die Veröffentlichung
WO-A-9 714 258 offenbart eine Art und Weise, um eine Programmierung
einer mobilen Endeinrichtung über
die Luftschnittstelle zu erzielen.
-
Angesichts
dieser Hintergrundinformationen im Zusammenhang mit Funkkommunikationssystemen
sind die erheblichen Verbesserungen der vorliegenden Erfindung entwickelt
worden.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Dementsprechend
schafft die vorliegende Erfindung in vorteilhafter Weise Vorrichtungen
und eine zugehörige
Verfahrensweise, wodurch die Authentifizierung wenigstens eines
Teils des Netzes eines auf Bluetooth oder einer anderen Norm basierenden
Kommunikationssystems durch eine mobile Endeinrichtung vereinfacht
wird. Die Authentifizierung wird automatisch durchgeführt, ohne
einen Nutzerdialog zu erfordern, und wahrt die Vertraulichkeit der Kennungen,
die bei der Authentifizierungsprozedur verwendet werden.
-
Unter
einem Aspekt der vorliegenden Erfindung wird eine Art und Weise
geschaffen, die eine Authentifizierung durch eine nach zwei Übertragungsnormen
arbeitende, mobile Endeinrichtung vereinfacht. Gemäß einer
ersten der zwei Übertragungsnormen
kann die mobile Endeinrichtung so betrieben werden, dass sie in
einem WIO (Wireless Intranet Office) mit einer privaten Basiseinheit
(PBU: Personal Base Unit) kommunizieren kann, die ein Teil der Netzinfrastruktur
des WIOs ist. Die private Basiseinheit ist so angeschlossen, dass
sie in der Lage ist, auf eine Speichereinrichtung zuzugreifen, die
sich beispielsweise in einer Intranet-Standortdatei (ILR: Intranet
Location Register) befindet, die ebenfalls einen Teil der Netzinfrastruktur
des WIO bildet. Die Speichereinrichtung, die sich in der Intranet-Standortdatei
befindet, speichert Kennungen, die mobile Endeinrichtungen identifizieren,
denen erlaubt ist, über
das WIO zu kommunizieren. In einer Ausführung bilden die Kennzeichnungen
PIN-Codes, die jeweils einer mobilen Endeinrichtung zugeordnet sind. Während der
Authentifizierungsprozeduren wird der PIN-Code, der einer mobilen
Endeinrichtung, die eine Authentifizierung anfordert, zugeordnet
ist, aus der Speicherein richtung der Intranet-Standortdatei abgerufen
und während
der Authentifizierungsprozeduren verwendet. Durch das Speichern
der Kennung in der Speichereinrichtung der Intranet-Standortdatei ist
die Kennung wie mittels einer Drahtleitungsverbindung, die zwischen
der Intranet-Standortdatei und der privaten Basiseinheit ausgebildet
ist, zugänglich, wenn
Authentifizierungsprozeduren auszuführen sind. Sobald die Kennung
von der Speichereinrichtung der Intranet-Standortdatei abgerufen
ist, wird ihr Wert in Authentifizierungsprozeduren verwendet, durch
die die mobile Endeinrichtung die private Basiseinheit identifiziert.
-
Unter
einem weiteren Aspekt der vorliegenden Erfindung ist die nach zwei Übertragungsnormen arbeitende,
mobile Endeinrichtung auch in einem Mobilfunksystem wie etwa einem
GSM-Kommunikationssystem (GSM: Global System for Mobile communications)
betreibbar. In einer Ausführungsform werden
Angaben zu der Kennung, die in der Speichereinrichtung der Intranet-Standortdatei
gespeichert werden, während
des Betriebs der mobilen Endeinrichtung dahin geliefert, damit über das
Mobilfunksystem kommuniziert wird.
-
Es
werden nämlich
zuerst Authentifizierungsprozeduren gemäß der Funktionsweise der mobilen
Endeinrichtung in dem Mobilfunksystem ausgeführt, und danach werden unter
Verwendung einer geeigneten Verschlüsselung Kommunikationen bewirkt.
Entsprechend der Funktionsweise der mobilen Endeinrichtung in dem
Mobilfunksystem werden Angaben zu der Kennung, die die mobile Endeinrichtung
in dem Bluetooth-Kommunikationssystem identifiziert, wie etwa der
PIN-Code, an die Netz-Infrastruktur des Mobilfunksystems geliefert.
Sobald die Angaben zu der Kennung von der Netz-Infrastruktur des
Mobilfunksystems empfangen worden sind, werden sie zu der Speichereinrichtung
in der Intranet-Standortdatei geleitet.
-
Danach,
wenn die mobile Endeinrichtung gemäß dem Bluetooth-Kommunikationssystem
betrieben werden soll, wird die in der Speichereinrichtung gespeicherte
Kennung abgerufen und anschließend während der
Authentifizierungsprozeduren, durch welche die mobile Endeinrichtung
die private Basiseinheit des Bluetooth-Kommunikationssystems authentifiziert,
verwendet. In einer Ausführung,
in der das Mobilfunksystem ein GSM-Kommunikationssystem bildet,
das einen Kurznachrichtendienst (Short Message Service) bereitstellt,
wird die Kennung, wie etwa der PIN-Code, in eine Kurznachricht (SMS)
formatiert.
-
Und
die Kurznachricht (SMS) wird an die Netzinfrastruktur des Mobilfunksystems
gesendet, zu einem Kurznachrichtendienstzentrum und danach zu der
Intranet-Standortdatei, in der sich die Speichereinrichtung befindet,
geleitet.
-
In
einer Ausführung,
in der ein Kurznachrichtendienst verwendet wird, um die Kennung
an die Intranet-Standortdatei zu übermitteln, wird zuerst eine Diensteanforderung
von der mobilen Endeinrichtung zu einer Dienstnummer des WIO gesendet.
In einer derartigen Diensteanforderungsnachricht werden die internationale
Mobilteilnehmerkennung (IMSI) und die internationale Mobilgerätekennung
(IMEI) der mobilen Endeinrichtung, die beide in dem GSM-Kommunikationssystem
definiert sind, als Parameter verwendet. Die Nachricht wird zu einem
Dienstezentrum des WIO geleitet. Sobald sie im WIO-Dienstezentrum erfasst
worden ist, wird die Identität
der anfordernden Vorrichtung auf der Grundlage der Werte der internationalen
Mobilteilnehmerkennung und der internationalen Mobilgerätekennung,
die in der Nachricht enthalten sind, geprüft. Wenn festgestellt wird,
dass der Dienst für
die mobile Endeinrichtung erlaubt ist, sendet das Dienstezentrum
des WIO eine Nachricht an die mobile Endeinrichtung zurück, ebenfalls
in Form einer Kurznachricht (SMS), die sowohl die Netzkennung des
WIO als auch weitere erforderliche Parameter enthält. Danach
erzeugt die mobile Endeinrichtung eine Kurznachricht, die die Kennung,
wie etwa den PIN-Code, welche bzw. welcher der mobilen Endeinrichtung
zugeordnet ist, enthält.
Die Angaben der in der Kurznachricht enthaltenen Kennung können später in Authentifizierungsprozeduren
verwendet werden, durch welche die mobile Endeinrichtung eine oder
mehrere private Basiseinheiten des WIO authentifiziert.
-
Unter
einem weiteren Aspekt der vorliegenden Erfindung werden eine Authentifizierung
mit einem öffentlichen
Schlüssel
und eine Verschlüsselung verwendet,
wodurch die mobile Endeinrichtung die private Basiseinheit des WIO
authentifiziert. Zwischen der mobilen Endeinrichtung und der privaten Basiseinheit
des Bluetooth-Kommunikationssystems lässt sich eine nicht sichere
Verbindung herstellen. Von der privaten Basiseinheit des Bluetooth-Kommunikationssystems
wird dann ein öffentlicher
Schlüssel an
die mobile Endeinrichtung geliefert. Der öffentliche Schlüssel wird
von der mobilen Endeinrichtung verwendet, um die Kennung der mobilen
Endeinrichtung, wie etwa den PIN-Code, die bzw. der die mobile Endeinrichtung
identifiziert, zu verschlüsseln,
und die verschlüsselte
Kennung wird an die private Basiseinheit geliefert.
-
Sobald
sie an die private Basiseinheit geliefert ist, werden Authentifizierungsprozeduren
zwischen der mobilen Endeinheit und der privaten Basiseinheit ausgeführt, wodurch
die private Basiseinheit gegenüber
der mobilen Endeinheit authentifiziert wird.
-
Unter
diesen und weiteren Aspekten werden deshalb eine Vorrichtung und
ein zugehöriges
Verfahren geschaffen, um die Authentifizierung in einem Mobilfunksystem
zu vereinfachen. Das Mobilfunksystem weist eine mobile Endeinrichtung
auf, die so betreibbar ist, dass sie gemäß einem ersten Funkübertragungssystem
kommuniziert und gemäß einem zweiten
Funkübertragungssystem
kommuniziert.
-
Die
Authentifizierung des zweiten Funkkommunikationssystems wird vereinfacht.
Mit dem zweiten Funkkommunikationssystem ist ein Speicherelement
gekoppelt. Das Speicherelement speichert Angaben zu einer gesicherten
Kennung, welche die mobile Endeinrichtung in dem zweiten Funkkommunikationssystem
identifiziert. Für
das zweite Funkkommunikationssystem sind die Angaben zu der gesicherten Kennung
zugänglich,
um in Authentifizierungsprozeduren durch die mobile Endeinrichtung
verwendet zu werden, um das zweite Funkkommunikationssystem zu authentifizieren.
-
Eine
umfassendere Beurteilung der vorliegenden Erfindung und ihres Umfangs
kann anhand der beigefügten
Zeichnung, die im Folgenden kurz zusammenfassend beschrieben ist,
anhand der folgenden ausführlichen
Beschreibung der derzeit bevorzugten Ausführungsformen der Erfindung
und der beigefügten
Ansprüche
erzielt werden.
-
KURZBESCHREIBUNG
DER ZEICHNUNG
-
1 zeigt
ein Funktionsschema eines Funkkommunikationssystems, in dem eine
Ausführungsform
der vorliegenden Erfindung betreibbar ist;
-
2 zeigt
ein Teilfunktionsschema von Teilen des in 1 gezeigten
Kommunikationssystems zusammen mit einer Folge von Signalen, die
während
des Betriebs einer Ausführungsform
der vorliegenden Erfindung erzeugt werden;
-
3 zeigt
eine schematische Darstellung der Nachrichtenabfolge, die den Ab lauf
der Mitteilungsübermittlung,
der während
des Betriebs einer Ausführungsform
der vorliegenden Erfindung hervorgebracht wird, auflistet;
-
4 zeigt
eine schematische Darstellung der Nachrichtenabfolge, die die Abfolge
der Nachrichten, die während
des Betriebs einer weiteren Ausführungsform
der vorliegenden Erfindung erzeugt werden, auflistet.
-
AUSFÜHRLICHE
BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORM
-
Zunächst zu 1:
Ein Funkkommunikationssystem, das allgemein mit 10 bezeichnet
ist, kann so betrieben werden, dass es für einen Funkverkehr mit einer
mobilen Mehrknoten-Endeinrichtung 12 sorgt. In der beispielhaften
Ausführung
enthält
das System 10 einen WIO- (Wireless Intranet Office) Abschnitt,
der aus den Elementen gebildet ist, die oberhalb der Linie 14,
gestrichelt gezeigt, angeordnet sind, und außerdem einen zellularen Abschnitt,
der aus den Elementen gebildet ist, die in der Figur unterhalb der
Linie 14 gezeigt sind. In der beispielhaften Ausführung ist
der WIO-Abschnitt ein auf Bluetooth basierendes System, das so betreibbar
ist, dass es die Spezifikationen, die in einer entsprechenden Bluetooth-Norm
dargelegt sind, erfüllt.
Und in der beispielhaften Ausführung
ist der zellulare Abschnitt aus einem GSM- (Global System for Mobile
communications) Netz gebildet. In weiteren Ausführungen ist das Funkkommunikationssystem 10 aus
Abschnitten gebildet, die gemäß anderen
Kommunikationssystemnormen betrieben werden können. Der Betrieb von verschiedenen
Ausführungsformen
der vorliegenden Erfindung ist folglich in solchen anderen Kommunikationssystemen
auf analoge Weise möglich.
-
Die
mobile Endeinrichtung 12 bildet hier eine nach zwei Übertragungsnormen
arbeitende, mobile Endeinrichtung, die sowohl in dem WIO-Abschnitt
als auch in dem zellularen Abschnitt des Kommunikationssystems betreibbar
ist. Allgemeiner ausgedrückt bildet
die mobile Endeinrichtung 12 eine mobile Vielfachbetriebsendeinrichtung,
wobei die mobile Endeinrichtung 12 ferner in weiteren Ausführungen
gemäß weiterer
WIO-Netze zusätzlich
zu dem einen WIO-Netz, das in der Figur gezeigt ist, betreibbar
ist. Und die mobile Endeinrichtung 12 kann in weiteren derartigen
Ausführungen
auch so betrieben werden, dass sie über mehr als ein zellulares
Netz kommuniziert.
-
Dementsprechend
enthält
die mobile Endeinrichtung 12 eine zellulare Sender-Empfänger-Schaltungsanordung 16 und
eine WIO-Netz-Sender-Empfänger-Schaltungsanordnung,
hier die Bluetooth-Sender-Empfänger-Schaltungsanordnung 18,
um damit Kommunikationen mit der mobilen Endeinrichtung über einen
Abschnitt des Funkkommunikationssystems zu ermöglichen.
-
Der
Bluetooth-Sender-Empfänger-Schaltungsanordnung 18 ist
ein PIN-Code 22 zugeordnet. Der PIN-Code 22 identifiziert
die Bluetooth-Sender-Empfänger-Schaltungsanordnung
eindeutig. In einer Ausführung,
in der die mobile Endeinrichtung 12 weitere Bluetooth-Sender-Empfänger-Schaltungselemente
enthält,
sind jedem weiteren Bluetooth-Sender-Empfänger-Schaltungselement weitere
PIN-Codes zugeordnet.
-
Der
WIO-Abschnitt des Systems 10 enthält mehrere private Basiseinheiten 26,
wovon jede eine Bluetooth-Sender-Empfänger-Schaltungsanordnung 28 aufweist.
Die Bluetooth-Sender-Empfänger-Schaltungsanordnung 28,
die jeder der privaten Basiseinheiten zugeordnet ist, ermöglicht auf
Bluetooth basierende Kommunikationen mit der mobilen Endeinrichtung 12,
wenn sich die mobile Endeinrichtung 12 in Bereichen befindet,
die hier als Zellen 32 bezeichnet sind, die die Einzugsbereiche
der Sender-Empfänger-Schaltungsanordnung 28 definieren. Jede
der privaten Basiseinheiten 26 mit der darin verwirklichten
Bluetooth-Sender-Empfänger-Schaltungsanordnung 28 ist
an ein Paketdatennetz gekoppelt, hier an ein lokales Netz (LAN) 34.
Das LAN 34 ist ferner an ein A-Schnittstellen-Gateway (AGW) 36 und
an eine Intranet-Standortdatei (ILR: Intranet Location Register) 38 gekoppelt.
Das Gateway 36 bildet einen Übergang zwischen den Abschnitten
des Funkkommunikationssystems und kann hier so betrieben werden,
dass es die Funktionen der Leitweglenkung und der Datenumsetzung
zwischen den zwei Abschnitten ausführt. Die Intranet-Standortdatei 38 funktioniert
so, dass sie eine Datenbasis bildet, die Teilnehmerdaten speichert,
die mit der mobilen Endeinrichtung verknüpft sind.
-
Gemäß einer
Ausführungsform
der vorliegenden Erfindung enthält
die Intranet-Standortdatei 38 eine
Speichereinrichtung 42, die so betreibbar ist, dass sie
Informationen speichert, die während
der Authentifizierungsprozeduren zu verwenden sind, bevor eine Kommunikation
mit der mobilen Endeinrichtung bewirkt wird.
-
Der
zellulare Abschnitt des Kommunikationssystems enthält einen
Transcoder-Subratenmultiplexer
(TCSM) 46, der an das Gateway 36 gekoppelt ist. Der
Subratenmultiplexer kann so betrieben werden, dass er Transcodierungsoperationen
ausführt.
Ferner ist der zellulare Abschnitt des Kommunikationssystems so
dargestellt, dass er eine Basisstationssteuerung (BSC) 48 und
eine Basis-Sende-/Empfangsstation
(BTS) 52 enthält.
Die Basis-Sende-/Empfangsstation 52 kann in herkömmlicher
Weise betrieben werden, um Kommunikationssignale mit der mobilen
Endeinrichtung 12 auszutauschen, und die Steuereinrichtung 48 kann
ebenfalls in herkömmlicher
Weise so betrieben werden, dass sie den Betrieb der Basis-Sende-/Empfangsstation
steuert. Der zellulare Kommunikationsabschnitt des Kommunikationssystem
ist ferner so dargestellt, dass er ein Heimverzeichnis (HLR: Home
Location Register) 54 enthält, das ebenfalls in herkömmlicher
Weise betreibbar ist, um u. a. teilnehmerbezogene Informationen
zu halten, die mobile Endeinrichtungen betreffen, die in dem zellularen
Systemabschnitt des Kommunikationssystems betrieben werden können.
-
Die
in der Intranet-Standortdatei 38 verkörperte Speichereinrichtung 42 enthält Speicherstellen, an
denen Kennungen gespeichert sind, die die Bluetooth-Sender-Empfänger-Schaltungsanordnung,
wie etwa das Bluetooth-Sender-Empfänger-Schaltungselement 18 der
mobilen Endeinrichtung 12, das in dem Bluetooth-Netzabschnitt
des Funkkommunikationssystems betreibbar ist, identifizieren. Hier
speichert die Speichereinrichtung Daten, die eine Verknüpfung zwischen
dem Wert der internationalen Mobilteilnehmerkennung der mobilen
Endeinrichtung, der in dem GSM-Kommunikationssystem definiert ist, und
einem Wert von BD_ADDR, der in dem Bluetooth-Kommunikationssystem
definiert ist, zulassen. Damit ist die mobile Endeinrichtung 12 bezüglich einer
GSM-Kennung zusammen mit der Kennung der Bluetooth-Sender-Empfänger-Schaltungsanordnung,
die ebenfalls Bestandteil der mobilen Endeinrichtung ist, identifiziert.
Und insbesondere wird die internationale Mobilgerätekennung
der mobilem Endeinrichtung in der Speichereinrichtung 42 gespeichert,
die hier in der Spalte 62 angegeben ist, und die Bluetooth-Einheit-Beschreibung
der Bluetooth-Sender-Empfänger-Schaltungsanordnung,
die in der zugeordneten mobilen Endeinrichtung enthalten ist, ist in
der Spalte 64 gespeichert angegeben. Die Bluetooth-Einheit-Beschreibung
ist beispielsweise BD_ADDR der Bluetooth-Sender-Empfänger-Schaltungsanordnung.
SD_ADDR ist ein 48-Bit-Code,
der die Bluetooth-Sender-Empfänger-Schaltungsanordnung
eindeutig identifiziert. Die Beschreibung kann auch aus dem PIN-Code,
der der Bluetooth-Sender-Empfänger-Schaltungsanordnung
zugeordnet ist, und dem Verbindungsschlüssel, d. h. dem Einheitsschlüssel, der
der Bluetooth-Sender-Empfänger-Schaltungsanordnung
zugeordnet ist, gebildet sein. Ferner speichert die Speichereinrichtung
beispielsweise Teilnehmerdaten, die der mobilen Endeinrichtung zugeordnet
sind.
-
Die
in der Speichereinrichtung 42 gespeicherten Daten werden
während
der Authentifizierungsprozeduren verwendet, wenn sich die mobile Einrichtung
anschickt, über
den Bluetooth-Netzabschnitt des Funkkommunikationssystems zu kommunizieren.
Das heißt,
wenn die Kommunikation über den
Bluetooth-Netzabschnitt des Kommunikationssystems realisiert werden
soll, bilden die Bluetooth-Sender-Empfänger-Schaltungsanordnung 28 einer
passenden privaten Basiseinheit 26 und die entsprechende
Bluetooth-Sender-Empfänger-Schaltungsanordnung 18 der
mobilen Endeinrichtung einen Funkübertragungsweg, über den
sie kommunizieren. Bevor Kommunikationen miteinander realisiert
werden, werden zumindest von der mobilen Endeinrichtung Authentifizierungsprozeduren
ausgeführt,
um die private Basiseinheit 26, nämlich die zugeordnete Bluetooth-Sender-Empfänger-Schaltungsanordnung 28,
zu authentifizieren.
-
Wenn
eine Authentifizierung angefordert ist, wird über das lokale Netz 34 auf
die Speichereinrichtung 42 der Intranet-Standortdatei 38 zugegriffen.
Die Kennungen, die die Bluetooth-Sender-Empfänger-Schaltungsanordnung 18 der
mobilen Endeinrichtung identifizieren, werden aus der Speichereinrichtung 42 abgerufen
und der Bluetooth-Sender-Empfänger-Schaltungsanordnung 28 der
entsprechenden privaten Basisstation zugeführt. Derartige Werte werden,
wie weiter unten beschrieben wird, in den Authentifizierungsprozeduren
verwendet. Sobald die Authentifizierung abgeschlossen ist, sind
auf Bluetooth basierende Kommunikationen zwischen der mobilen Endeinrichtung
und dem Bluetooth-Abschnitt
des Kommunikationssystems möglich.
-
2 veranschaulicht
Teile des in 1 gezeigten Funkkommunikationssystems 10. 2 zeigt
nämlich
die mobile Vorrichtung 12, die private Basiseinheit 26 und
die Speichereinrichtung 42, die einen Teil der Intranet-Standortdatei 38 bildet.
Ferner ist in der Figur die Signalisierung zwischen der mobilen
Endeinrichtung 12 und der privaten Basiseinheit 26 über eine
Blue tooth-Funkverbindung wie auch die Signalisierung zwischen der
privaten Basiseinheit 26 und der Speichereinrichtung 42 gezeigt.
Die Funktionsweise einer Ausführungsform
der vorliegenden Erfindung, durch welche Authentifizierungsprozeduren
vereinfacht werden, wird im Folgenden beschrieben. Es ist zu beachten,
dass, obwohl sich auf die mobile Endeinrichtung und die private
Basiseinheit 26 bezogen wird, die Signalisierung tatsächlich zwischen
den Bluetooth-Sender-Empfänger-Schaltungsanordnungen 18 und 28 der
entsprechenden Einrichtungen erfolgt.
-
Wenn
die mobile Endeinrichtung in einen Bereich gelangt, der von dem
Bluetooth-Abschnitt des Kommunikationssystems umfasst wird, und
sich die mobile Endeinrichtung anschickt, eine Kommunikationssitzung
zu beginnen, wird ein Signal von der mobilen Endeinrichtung zu der
privaten Basiseinheit geschickt. Es wird nämlich eine Verbindungsmanagerprotokoll-Nachricht
(LMP: Link Manager Protocol), ein Signal LMP_In_RAND von der mobilen
Endeinrichtung an die private Basiseinheit geschickt. Ein derartiges
Signal ist in einer bestehenden Bluetoot-Norm definiert. Die Nachricht
ist durch das in der Figur gezeigte Segment 72 angegeben.
Dann sendet die mobile Endeinrichtung als Antwortnachricht eine weitere
Nachricht, eine "Verbindungsmangerprotokoll
akzeptiert"-Nachricht,
die durch das Segment 74 angegeben wird, wird von der privaten
Basiseinheit an die mobile Endeinheit zurückgeschickt. Die private Basiseinheit
(hier der Anforderungssteller) kann eine Paarbildung verwehren.
Hier erzeugt die private Basiseinheit, um die Paarbildungsprozedur
fortzusetzen, einen anfänglichen
Schlüssel,
der auf den Daten des Segments 72 basiert.
-
Dann
wird eine übliche
gegenseitige Authentifizierung, die auf den anfänglichen Schlüsseln beruht,
die auf beiden Seiten erzeugt werden, ausgeführt. Die private Basiseinheit
fragt die Speichereinrichtung 42 nach einer Bluetooth-Kennung ab, die die Bluetooth-Sender-Empfänger-Schaltungsanordnung
der mobilen Endeinrichtung identifiziert, von welcher die Nachricht 72 stammt.
Auf die Kennung, hier PIN_INFO, die der mobilen Endeinrichtung zugeordnet
ist, wird zugegriffen, und Angaben davon werden zu der privaten
Basiseinheit zurückgeschickt. Hier
ist die Anfragenachricht durch das Segment 76 angegeben,
und die Antwort hierauf ist durch das Segment 78 angegeben.
Sowohl die Speichereinrichtung 42 als auch die Verbindung, über welche
die Nachrichten 76 und 78 übertragen werden, sind gesichert,
wodurch ein unberechtigter Zugriff auf die Informationen, die in
der Speichereinrichtung gespeichert sind und von dieser abgerufen
werden, verhindert wird. Wenn diese Informationen zu der privaten Basiseinheit
zurückgeschickt
worden sind, werden sie in nachfolgenden Authentifizierungsprozeduren verwendet.
-
Dann
sendet die mobile Endeinrichtung (hier der Verifizierer) eine Authentifizierungsanforderung an
die private Basiseinheit. Als Erstes wird eine Nachricht LMP_au_rand,
hier durch das Segment 82 angegeben, von der mobilen Endeinrichtung über die Bluetooth-Funkverbindung
zu der privaten Basiseinheit gesendet. Die Nachricht LMP beruht
auf dem anfänglichen
Schlüssel
der mobilen Endeinrichtung.
-
Die
private Basiseinheit wiederum antwortet mit einer Nachricht, die
durch das Segment 84 angegeben ist, der Nachricht LMP_sres.
Dann wird der Austausch von LMP_au_rand vollzogen, wie durch das
Segment 86 angegeben ist. Die Werte beruhen auf dem anfänglichen
Schlüssel
der privaten Basiseinheit. Anschließend wird, wie durch das Segment 88 angegeben
ist, eine Nachricht LMP_sres von der mobilen Endeinrichtung an die
private Basiseinheit gesendet. Der PIN-Code der privaten Basiseinheit
ist fest, z. B. für
das gesamte Netz. Dies vereinfacht der mobilen Endeinrichtung die
Bestimmung, ob ein von der mobilen Endeinrichtung empfangener Wert
eines PIN-Codes von einer gültigen
privaten Basiseinheit gesendet worden ist.
-
Wenn
beide Authentifizierungen erfolgreich sind, d. h. wenn die mobile
Endeinrichtung den festen PIN-Code der privaten Basiseinheit kennt
und die private Basiseinheit den PIN-Code der mobilen Endeinrichtung
(von der Datenbasis abgerufen) kennt, dann kann ein Schlüssel für die Verbindung
zwischen der mobilen Endeinrichtung und der privaten Basiseinheit
erzeugt werden. Der Verbindungsschlüssel, der in der beispielhaften
Ausführung
verwendet wird, ist der Einheitsschlüssel des Bluetooth-Sender-Empfängers der
mobilen Endeinrichtung. Anschließend werden Nachrichten LMP_unit_key,
hier durch die Segmente 92 und 94 dargestellt,
zwischen der mobilen Endeinrichtung und der privaten Basiseinheit
ausgetauscht.
-
In
einer Ausführungsform
sind die Kennungen, wie etwa die PIN-Codes, die der Bluetooth-Sender-Empfänger-Schaltungsanordnung 18 zugeordnet
sind, entsprechend einer Anmeldung durch einen Benutzer der mobilen
Endeinrichtung, um in dem Bluetooth-Netz zu kommunizieren, an welches
die die Speicher einrichtung 42 gekoppelt ist, in der Speichereinrichtung
gespeichert 42.
-
3 veranschaulicht
eine weitere Art und Weise, in der die identifizierenden Informationen
in der Speichereinrichtung gespeichert werden. Bei der in 3 gezeigten
Ausführung
wird die Fähigkeit
der mobilen Endeinrichtung, nach zwei Übertragungsnormen arbeiten
zu können,
vorteilhaft genutzt, und die Authentifizierungsprozeduren werden
in dem Mobilfunksystem ausgeführt,
bevor Kommunikationen in dem zellularen System zugelassen werden.
Auch werden durch die Authentifizierungsprozeduren Verschlüsselungscodes
zwischen der mobilen Endeinrichtung und dem Netzabschnitt des Mobilfunksystems
ausgetauscht, wodurch gewährleistet
ist, dass danach die Kommunikationen zwischen der mobilen Endeinrichtung
und der Netzinfrastruktur des Mobilfunksystems sicher sind.
-
Wenn
Kommunikationen über
das Bluetooth-Netz zu bewerkstelligen sind, sendet die mobile Endeinrichtung 12 zuerst
eine Kurznachricht (SMS), wie durch das Segment 102 angegeben
ist, an ein Dienstezentrum, das dem Bluetooth-WIO-Netz zugeordnet
ist. Die Kurznachricht wird in herkömmlicher Weise durch die Netzinfrastruktur
geleitet, etwa über ein
Kurznachrichten-Dienstezentrum,
das an die Infrastruktur gekoppelt ist, und dann weiter zu dem WIO-Dienstezentrum.
Die Kurznachricht enthält
Werte, die die internationale Mobilteilnehmerkennung (IMSI) und
die internationale Mobilgerätekennung (IMEI)
der mobilen Endeinrichtung angeben. Bei Empfang der Nachricht prüft das WIO-Dienstezentrum 104 die
Identität
der anfordernden mobilen Endeinrichtung, wobei das Verfahren hierfür von herkömmlichen
GSM-Roaming-Konzepten
abgeleitet ist.
-
Wenn
in dem WIO-Dienstezentrum bestimmt wird, dass der Dienst zugelassen
werden kann, wird eine Kurznachricht (SMS), angegeben durch das Segment 106,
an die mobile Endeinrichtung 12 zurückgeschickt. Die Nachricht 106 enthält eine
Angabe zu der Netzkennung des Bluetooth-Netzes, den Aufenthaltsbereichscode
davon, sowie weitere geeignete Parameter. Die mobile Endeinrichtung
ist dann in der Lage, mit ihrem eigenen Netz die Gültigkeit
der Antwortparameter des Dienstezentrums, die in der Nachricht 106 enthalten
sind, zu prüfen.
Wenn das Ergebnis der Bestimmung der Netzgültigkeit positiv ist, sendet
die mobile Endeinrichtung eine weitere Kurznachricht, hier durch
das Segment 108 angegeben, an das WIO-Dienstezentrum 104.
Die Nachricht 108 enthält
die Kennung, etwa den Bluetooth-PIN-Code, der der Bluetooth-Sender-Empfänger-Schaltungsanordnung
der mobilen Endeinrichtung zugeordnet ist. Wenn eine derartige Kennung
in dem WIO-Dienstezentrum erfasst wird, wird sie in der Speichereinrichtung 42 davon
gespeichert, und es wird eine Kurznachricht (SMS), hier durch das
Segment 112 angegeben, zu der mobilen Endeinrichtung zurückgeschickt,
um die Registrierung der mobilen Endeinrichtung für Dienste über das
Bluetooth-Netz zu bestätigen.
Danach werden Authentifizierungsprozeduren, wie sie mit Bezug auf 2 beschrieben worden
sind, ausgeführt.
-
4 veranschaulicht
eine alternative Art und Weise, in der die Kennung zu der Bluetooth-Sender-Empfänger-Schaltungsanordnung
der privaten Basiseinheit 26 des Bluetooth-Netzabschnitts
des Kommunikationssystems geliefert wird. In dieser Ausführungsform
beruht die Zugangsprozedur auf einer Authentifizierung eines öffentlichen
Schlüssels und
auf Verschlüsselung.
-
Die
Speichereinrichtung braucht sich bei dieser Ausführung beispielsweise nicht
in der Intranet-Standortdatei des Bluetooth-Netzabschnitts zu befinden.
Vielmehr könnte
jede private Basiseinheit 26 eine Speichereinrichtung enthalten,
in welcher die Kennung gespeichert ist und entsprechend den Authentifizierungsprozeduren
verwendet wird.
-
Wenn
die mobile Endeinrichtung 12 in eine Zelle 18 eintritt,
die der privaten Basiseinheit 26 zugeordnet ist, wird zwischen
der privaten Basiseinheit und der mobilen Endeinrichtung über einen
Bluetooth-Funkübertragungsweg
eine nicht sichere Verbindung, durch das Segment 122 angegeben,
hergestellt. Dann wird, wie durch das Segment 124 angegeben
ist, ein öffentlicher
Schlüssel,
der der privaten Basiseinheit zugeordnet ist, über den Bluetooth-Funkübertragungsweg
zu der mobilen Endeinrichtung gesendet. In einer Ausführungsform
wird der öffentliche
Schlüssel
zusammen mit einer Ankündigung
eines Bluetooth-Sprachdienstes, wie etwa einer WIO-Diensteankündigungsnachricht,
gesendet.
-
Bei
Empfang des öffentlichen
Schlüssels verschlüsselt die
mobile Endeinrichtung die Kennung, die ihrer Bluetooth-Sender-Empfänger-Schaltungsanordnung
zugeordnet ist, und sendet die einmal in verschlüsselte Form gebrachte Kennung
in einer Bluetooth-Nachricht, die durch das Segment 126 angegeben ist,
an die private Basiseinheit. Danach können herkömmliche Authentifizierungsprozeduren ausgeführt werden.
-
Dadurch
wird eine Art und Weise geschaffen, durch die Angaben zu einer Kennung
geliefert werden, welche die Bluetooth-Sender-Empfänger-Schaltungsanordnung
einer mobilen Endeinrichtung gegenüber der Netzinfrastruktur des
Bluetooth-Netzabschnitts des Funkkommunikationssystems eindeutig identifizieren.
Die Kennung wird der Netzinfrastruktur des Bluetooth-Netzwerkes
in einer An und Weise zur Verfügung
gestellt, die gewährleistet,
dass die Kennung nur Authorisierten zugänglich ist. Und dadurch ist
die mobile Endeinrichtung in der Lage, den Bluetooth-Netzabschnitt
des Kommunikationssystems zu authentifizieren.