DE60115725T2 - Verfahren und Anordnung zur Konfigurieren von Kommunikationssitzung in einem Kommunikationsnetz - Google Patents

Verfahren und Anordnung zur Konfigurieren von Kommunikationssitzung in einem Kommunikationsnetz Download PDF

Info

Publication number
DE60115725T2
DE60115725T2 DE60115725T DE60115725T DE60115725T2 DE 60115725 T2 DE60115725 T2 DE 60115725T2 DE 60115725 T DE60115725 T DE 60115725T DE 60115725 T DE60115725 T DE 60115725T DE 60115725 T2 DE60115725 T2 DE 60115725T2
Authority
DE
Germany
Prior art keywords
gprs
computer
network
session
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60115725T
Other languages
English (en)
Other versions
DE60115725D1 (de
Inventor
Sven Jörgen Lantto
Guilham Ensuque
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alice Systems AB
Original Assignee
Alice Systems AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=20280297&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE60115725(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Alice Systems AB filed Critical Alice Systems AB
Publication of DE60115725D1 publication Critical patent/DE60115725D1/de
Application granted granted Critical
Publication of DE60115725T2 publication Critical patent/DE60115725T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1425Charging, metering or billing arrangements for data wireline or wireless communications involving dedicated fields in the data packet for billing purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)
  • Facsimile Transmission Control (AREA)
  • Facsimiles In General (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Anordnung in einem Datenkommunikationssystem in Internetprotokoll- (IP-) Umgebungen gemäß der Präambel der unabhängigen Ansprüche. Genauer bezieht sie sich auf entfernten und sicheren Zugriff auf ein Datenkommunikationsnetz, wie etwa ein Unternehmens-Intranet über eine sogenannte pseudo-verbindungslose Technologie- (PCT, Pseudo-Connectionless Technology) Einrichtung, wie etwa einen allgemeinen Paketfunkdienst (GPRS, General Packet Radio Service).
  • BESCHREIBUNG DES STANDES DER TECHNIK
  • In der sehr nahen Zukunft werden, wenn kommerzieller GPRS oder andere ähnliche Dienste eingeführt sind, die mobile Arbeitskraft von Unternehmen, z.B. geschäftliche Führungskräfte, Berater, Verkäufer, Zustellungsflotten etc., in der Lage sein, auf eine kosteneffiziente Art und Weise auf ihr Unternehmensnetz zuzugreifen, während sie sich unterwegs befinden, im Gegensatz zu früheren schaltungsvermittelten Daten eines globalen Systems für mobile Kommunikationen (GSM, Global System for Mobile Communications), die hohe Belastungen pro Minute ungeachtet dessen nach sich gezogen haben, ob Daten tatsächlich übertragen wurden. (Eine Liste von Akronymen ist am Ende der Beschreibung zu finden.) Um den Fernzugriff zu erreichen, sind verschiedene Prozeduren zum Speichern und Handhaben von Konfigurationsinformation und dynamischen Einrichten von Kommunikationskanälen erforderlich.
  • Spezieller betreffen die Konfigurationsinformation und dynamischen Einrichtungsprozeduren drei unterschiedliche Bereiche:
    • – Datenverknüpfung zwischen einer Berechnungseinrichtung und einer Mobildaten-Kommunikationseinrichtung.
    • – Öffentliche Kommunikationskanäle, d.h. Datendienste, wie etwa z.B. GPRS, Internet, die die sogenannte IP-Protokollsuite verwenden.
    • – Sichere private Kommunikationskanäle, wie etwa virtuelle private Netze (VPN, Virtual Private Networks), Authentifizierungsdienste etc.
  • In WO 98/32301 werden z.B. ein System und ein Verfahren für einen Fernzugriff eines Hosts auf ein privates Netz über ein GPRS-Telefon offengelegt.
  • US 6.012.088 beschreibt ein Verfahren zum Konfigurieren einer Internet-Zugriffseinrichtung für Kommunikation mit einem Datenkommunikationsnetz.
  • Fernzugriff auf Datennetze.
  • Sogenannte "Einwahl-Clients" und "Verbindungsmanager" ermöglichen, Netzverbindungen für Computer, z.B. Desktop-PCs, Laptops, persönliche digitale Assistenten (PDAs) etc. automatisch zu konfigurieren und zu managen. Allgemeiner kann eine derartige Software innerhalb einer beliebigen Verbraucher- oder industriellen elektronischen Einrichtung, z.B. einer Spielkonsole, einer digitalen Kamera, eines Verkaufsautomaten, eines digitalen Messgerätes etc., eingebettet sein, die eine interne oder externe Kommunikationseinrichtung verwendet, um auf ein Datennetz über ein unterschiedliches, häufig öffentliches, Telekommunikationsnetz zuzugreifen.
  • Es gibt hauptsächlich zwei Arten von Software, die für einen Fernzugriff auf Datennetze verwendet wird:
    • – Software für Basis-Einwahl-Konnektivität, und
    • – Software für Einwahl-Manager.
  • Der erste Typ von Software sieht die Basiskomponenten vor, die durch einen Computer oder eine integrierte Kommunikationseinrichtung benötigt werden, um auf das Internet unter Verwendung eines Modems über ein öffentliches Telekommunikationsnetz zuzugreifen, gewöhnlich das analoge festverdrahtete Telefon oder ein mobiler Telefondienst, entweder analog oder digital.
  • Derartige Software umfasst:
    • – Modem-Steuerprozeduren, die ermöglichen, eine Telefonnummer zu dem Point of Presence (POP, Anwesenheitspunkt) des Internetdienstanbieters zu wählen, eine Installation, die ein "Gateway" zwischen dem Telefonnetz und dem Internet über das private Netz des ISP vorsieht, und anschließend die Verbindung zu steuern.
    • – Formatieren von Daten für einen geeigneten Transfer über Telefonleitungen unter Verwendung des Punkt-zu-Punkt-Protokolls (PPP).
    • – Grundlegende Benutzerauthentifizierungsmechanismen, die z.B. ein standardisiertes Passwort-Identifikationsprotokoll (PAP, Password identification Protocol), Aufforderungs-Handshake-Authentifizierungsprotokoll (CHAP, Challenge Handshake Authentication Protocol) oder proprietäre Algorithmen (z.B. Microsoft'sTM MS-CHAP, Shiva'sTM Password identification Protocol (SPAP), RSA's(TM) SecurId) verwenden.
    • – "System"-Funktionen, um die unterschiedlichen Funktionen, den Datenkommunikations-Protokollstapel in dem System, z.B. Übertragungssteuerprotokoll (Transmission Control Protocol TCP)/IP und sogenannte Anwendungen einer "oberen Schicht" zu verknüpfen.
  • Der zweite Typ von Software, Einwahl-Manager, baut auf der Funktionalität des ersten durch Vorsehen einiger "Mehrwert"-Funktionen auf, wie etwa:
    • – Bereitstellen von Statistiken und Sitzungsinformation für den Benutzer, wie etwa online verbrachte Zeit, Volumen von transferierten Daten, Status der Kommunikation, Netzadressinformation etc.
    • – Unterhalten einer Liste der Telefonnummern für die POPs vom ISP weltweit, d.h. ein Telefonbuch.
    • – Managen aller Kommunikationseinstellungen für unterschiedliche Standorte oder Dienste und automatisches Konfigurieren von allem abhängig von dem durch den Benutzer gewählten Standort und Dienst.
    • – Ermöglichen, Kommunikationseinstellungen zu exportieren oder zu importieren, um z.B. einem IT-Manager zu ermöglichen, Einstellungsprofile zu Unternehmensendbenutzern zu verteilen.
  • Mobile Datentechnologien
  • Es existiert ein breiter Bereich von festen und mobilen Datenkommunikationstechnologien. Alle diese Technologien haben gemeinsam, dass sie stets verbunden sind, erfordern aber einige komplexe Einrichtungsinformation. Im folgenden werden diese Charakteristika "pseudo"-verbindungslos genannt. Diese Technologien haben weiter gemeinsam, dass sie ein spezialisiertes Zugriffsnetz verwenden und dedizierte Gateways verwenden, um auf das Internet zuzugreifen. Diese Technologien werden im weiteren pseudo-verbindungslose Technologien (PCT) genannt.
  • Eine derartige mobile Datenkommunikationstechnologie ist die sogenannte GPRS-Technologie. (GPRS) ist ein Telekommunikationsdienst, der speziell auf digitale zellulare Netze angepasst ist, wie etwa GSM, universelles mobiles Telekommunikationssystem (Universal Mobile Telecommunications System, UMTS) und Vielfachzugriff im Zeitmultiplex (TDMA, Time Division Multiple Access), was der digitale mobile Dienst in den USA und auf anderen Märkten ist, der in dem Frequenzband von 800 und 1900 MHz arbeitet. GPRS macht vom Paketfunkprinzip Gebrauch und wird verwendet, um Daten über z.B. die Protokolle IP und X.25 von einem GPRS-Endgerät zu anderen GPRS-Endgeräten oder externen Datennetzen zu transferieren. GPRS ist im European Telecommunication Standardisation Institute (ETSI) (ETSI GSM 09.61, 07.07, 04.60 für GPRS- und GSM-Technologien) und in dem third Generation Partnership Project (3GPP), z.B. der Spezifikation 3GPP 23.060, standardisiert. GPRS macht von einer Paketdatentechnik Gebrauch, um Daten hoher Geschwindigkeit und Daten geringer Geschwindigkeit auf eine effiziente Weise z.B. über GSM-Funknetze zu übertragen. GPRS optimiert die Verwendung von Netzressourcen und Funkressourcen. Es wird eine strikte Trennung der Funkteilsysteme und der Netzteilsysteme erhalten, was dazu führt, dass die Netzteilsysteme durch andere Funkzugriffstechnologien wieder verwendet werden können.
  • GPRS ist folglich ein paketvermittelter Datendienst, der eine mobile Übertragung hoher Geschwindigkeit von Daten mit effizienter Verwendung der verfügbaren Bandbreite ergibt. In der Theorie können Übertragungsraten bis zu mehreren 100 kb/s erreicht werden. Mit einer Luftschnittstelle der dritten Generation, wie etwa Breitband-Vielfachzugriff im Codemultiplex (WCDMA, Wideband Code Division Multiple Access), wie in dem globalen UMTS-Standard, kann ein Durchsatz von rohen Daten bis zu 2000 kb/s ansteigen, im Vergleich zu 9,6 kb/s, was GSM heute zustellen kann. Datenübertragung über GSM kann auf zwei unterschiedlichen Wegen realisiert werden, schaltungsvermittelt wie in Sprachübertragungen von heute oder paketvermittelt wie in GPRS.
  • Es können jedoch andere feste oder mobile Datenkommunikationstechnologien eine ähnliche "Träger"-Rolle erfüllen und einige Charakteristika mit GPRS gemeinsam nutzen, wie etwa, dass sie "pseudoverbindungslos" sind, ein spezialisiertes dediziertes Zugriffsnetz und dedizierte Gateways verwenden, um auf das Internet zuzugreifen. Ein Beispiel sind zellulare digitale Paketdaten (CDPD, Cellular Digital Packet Data), die auf die standardisierte Technologie "Telecommunications Industry Association (TIA) TR-45.6 (IS-732 and IS-732A) for CDPD" verweisen. Eine ähnliche, aber leitungsgebundene pseudo-verbindungslose Technologie ist asymmetrische digitale Teilnehmerleitung (ADSL, Asymmetric Digital Subscriber Line).
  • Einwahl-Software erfordert, an die pseudo-verbindungslosen Charakteristika dieser Technologien angepasst zu sein und Konfigurationsparameter und Sitzungseinrichtungsprozeduren einzubeziehen, die für diese Technologien spezifisch sind.
  • Die gegenwärtige Implementierungen verwenden Software wieder, die für eine Einwahl im öffentlichen vermittelten Telefonnetz (PSTN, Public Switched Telephone Network) entwickelt wurde, und verwenden Tricks, um die GPRS-Verbindung von einer Berechnungseinrichtung zu managen. Dies wird im weiteren beschrieben.
  • Software für ein virtuelles privates Netz (VPN) im Fernzugriff.
  • Sichere Vernetzung deckt drei Bereiche ab:
    Authentifizierung: Dies sind Techniken, die ermöglichen sicherzustellen, dass beide Enden der Sitzung, der Benutzer und der Fernnetzzugriffserver, tatsächlich das sind, was sie sagen, dass sie sind. Dies wird auf eine Reihe von Wegen erreicht, erfordert aber im allgemeinen, dass der Benutzer irgendeine Eingabe vorsieht, z.B. ein Passwort, eine Smart-Karte etc., und die Maschinen irgendeine kryptografische Behandlung durchführen, z.B. Hash-Funktionen. Passwortauthentifizierungsprotokoll (PAP), Aufforderungs-Handshake-Authentifizierungsprotokoll (CHAP), erweiterbares Authentifizierungsprotokoll (EAP), Nachrichten-Auszugs-Algorithmus Nummer 5 (MD-5) und öffentliche Schlüsselinfrastruktur (PKI) sind Beispiele von standardmäßigen Authentifizierungstechniken, die auf dem Markt existieren.
  • Verschlüsselung: Unter Verwendung eines vorher abgestimmten Verschlüsselungsalgorithmus können Maschinen die Daten verwürfeln, die sie austauschen, sodass sie einen beliebigen Versuch erfassen können, sie zu manipulieren und Vertraulichkeit von Ende zu Ende sicherstellen. Dies erfordert jedoch im allgemeinen, dass die zwei Maschinen eine identische Menge von kryptografischem Material oder Schlüsseln haben, um den Verschlüsselungsalgorithmus vorzusehen. Es gibt eine Reihe von Verschlüsselungsalgorithmen, wie etwa Datenverschlüsselungsstandard (DES, Data Encryption Standard), 3-DES, Blowfish, Carlisle Adams und Stafford Tavares (CAST), internationaler Datenverschlüsselungsstandard (International Data encryption Standard, IDEA), Rons Code RC-40/128) etc., und eine Reihe von Schlüsselaustauschmechanismen, wie etwa den Internet-Schlüsselaustausch (IKE, Internet Key Exchange), Diffie-Hellman, Rivest Shamir und Aldeman's (RSA) Verschlüsselungsalgorithmus für einen öffentlichen Schlüssel (public key encryption algorithm) etc. mit verschiedenen Parametern, aus denen Benutzer auswählen können.
  • Tunneln oder virtuelle private Netze (VPNs): Schließlich erfordern private Netze, z.B. ein Unternehmen, von dem öffentlichen Internet isoliert zu sein. Entfernte mobile Benutzer kommunizieren jedoch über ein öffentliches Netz, im allgemeinen das Internet. Deshalb erfordert sichere Vernetzung ein Protokoll, das die Tatsache verbirgt, dass Verkehr zwischen den privaten "Inseln" durch den öffentlichen Internet-"Ozean" läuft, dargestellt in 1. Dies ist notwendig, da ausgehender Verkehr von einem lokalen Computer 100 innerhalb eines Privatnetzes 101 zu einem entferntverbundenen Computer 102 ein dediziertes Sicherheits-Gateway 103, z.B. einen VPN-Router, durchlaufen muss, der auf den Datenverkehr kryptografische Behandlung anwendet.
  • Um dies zu erreichen, ist ein so genanntes "Tunnel-Protokoll" erforderlich. Dieses Protokoll liefert die Illusion, dass ein entfernter Computer 102 direkt mit dem privaten Netz 101 verbunden ist. Es vermeidet, dass lokale Maschinen Daten im Klartext über ein nicht-sicheres öffentliches Gateway 104 senden, wenn sie einem entfernten Computer antworten. Stattdessen werden Daten zu dem entfernten Computer durch das sichere Gateway 103 abgefangen, z.B. unter Verwendung vom Proxy-Adressauflösungsprotokoll (ARP, proxy Address Resolution Protocol), optional verschlüsselt, dann "gekapselt" und schließlich über das Internet 105 zu dem entfernten Computer 102 weitergeleitet. Dieser gesicherte private Datenverkehr wird in 1 mit einer unterbrochenen Linie 106 angezeigt.
  • Erneut gibt es einen Bereich von Protokollen, aus denen Benutzer auswählen können, jedes mit seinen eigenen Besonderheiten und spezifische Konfigurationsdaten erfordernd. Die Standards von Internet Engineering Task Force (IETF), wie etwa Sicheres IP (IPSec), Tunnel-Protokoll in Schicht 2 (Layer 2 Tunneling Protocol, L2TP), allgemeine Weiterleitungs-Kapselung (General Routing Encapsulation, GRE), etc. sind Beispiele von derartigen Protokollen.
  • Kommerzielle sichere VPN-Client-Software umfasst im allgemeinen zwei Komponenten:
    • – Einen Kernel-Modus-Treiber, der in dem Betriebssystem der Maschine installiert wird und den gesamten Netzverkehr abfängt und die geeignete Transformationen durchführt, wie etwa Paket-Header-Formatierung, Prüfsummen, Sequenz-Nummerierung, Verschlüsselung etc.
    • – Ein Benutzermodus-Konfigurationswerkzeug, das ermöglicht, die Parameter für den bestimmten VPN-Protokolltreiber einzustellen und die Sicherheitsrichtlinie einzustellen, z.B. welcher Verkehr gesichert werden sollte, unter welchen Bedingungen, unter Verwendung welcher Techniken etc.
  • Typisches Verwendungsszenarium mit gegenwärtigen Techniken
  • In der sehr nahen Zukunft, wenn kommerzielle GPRS- und ähnliche Dienste eingeführt werden, wird eine mobile Arbeitskraft eines Unternehmens, für die es erforderlich ist, unterwegs auf ihr Unternehmensnetz zuzugreifen, mit zwei Herausforderungen konfrontiert:
    • – Durchführen der Installation und Konfiguration der geeigneten Software und Kommunikationsparameter, und
    • – Starten mehrerer Anwendungen und Durchführen mehrerer An meldungsprozeduren jedes Mal, wenn sie auf ihr entferntes Unternehmensnetz zuzugreifen wünschen.
  • Nachstehend wird ein Überblick der erforderlichen Installation und Konfigurationsschritte mit gegenwärtigen Techniken gezeigt:
    • 1. Installieren und Konfigurieren eines Modems in dem PC, möglicherweise unter Verwendung einiger zusätzlicher Treiber und/oder Skripte, die durch den GPRS-Handgerät-Hersteller bereitgestellt werden.
    • 2. Definieren von einem oder mehrerer Paketdaten-Protokoll (PDP) Kontexten. Dies kann auf mehreren Wegen erreicht werden, wie etwa: – Statische Konfiguration durch Handgerät-Fabrikeinstellungen. – Definiert durch einen GPRS-Betreiber zur Dienstbereitstellungszeit durch Aktivierung vom Teilnehmeridentitätsmodul (SIM, Subscriber Identity Module), oder Aktivierung über-die-Luft. – Direktes manuelles Eintasten der PDP-Kontextdaten in dem Handgerät durch Verwenden von Menüs. – Durch den PC durch Eingeben GPRS-spezifischer Standard- Initialisierungsbefehle, wie "AT + CGDCONT = 0, IP, internet .gprs.telia.se „ 0,1" (PDP-Kontextdefinition), in den Parametern des Modems oder Verwenden einer HyperTerminalTM-Sitzung und Kommunizieren der Parameter zu dem Handgerät durch den seriellen Port des PC. Dieser PDP-Definitionsschritt könnte auch zur Sitzungseinrichtungszeit durchgeführt werden (siehe nächsten Teilabschnitt).
    • 3. Konfigurieren eines Benutzernamens und eines Passwortes in dem Handgerät. Dies ist optional und dies kann erneut auf mehreren Wegen erreicht werden: – Manuelles Eintasten dieser Authentifizierungsbeglaubigungen. – Fabrikeinstellungen durch den GPRS-Handgerät-Hersteller. – Einstellung durch den GPRS-Betreiber während der Dienstbereitstellungsprozedur, z.B. Aktivierung der SIM-Karte, Aktivierung über-die-Luft.
    • 4. Erstellen und Konfigurieren einer Einwahl-Vernetzungsverbindung mit einer GPRS-"Dienstzeichenkette" in der Form von "*98**#" an Stelle der Telefonnummer. Dies ist ein sogenannter "Modem-Kompatibilitäts"-Trick um in der Lage zu sein, existierende Einwahl-Software zu verwenden.
    • 5. Installieren der VPN-Software, z.B. von einer kompakten Scheibe (CD), und dann Konfigurieren der geeigneten Adressierung und Authentifizierungsoptionen, die Installieren und Konfigurieren zusätzlicher Software, z.B. SecurID von RSA, Importieren eines digitalen Zertifikates implizieren können.
  • Wenn ein Benutzer wünscht, auf ein Netz, z.B. sein/ihr Unternehmensnetz, unter Verwendung des GPRS-Dienstes zuzugreifen, ist die nachstehende Prozedur gegenwärtig wie folgt:
    • 1. Physisches Verknüpfen des PC und des Handgerätes, z.B. durch Verwenden eines seriellen Kabels oder durch Aktivieren der Infrarot-Verknüpfung an dem Handgerät.
    • 2. Optionales Starten einer GPRS-spezifischen Software oder Skriptes, um den obigen Schritt 2 (PDP-Kontextdefinition) durchzuführen und den zu aktivierenden PDP-Kontext auszuwählen.
    • 3. Starten der Einwahl-Software. Dies aktiviert den PDP-Kontext.
    • 4. Eingeben eines Benutzernamens und eines Passwortes, falls dazu aufgefordert wird. Diese sind die, die im obigen Schritt 3 gesetzt wurden.
    • 5. Warten auf Verbindungseinrichtung, dann Starten der VPN-Software.
    • 6. Eingeben von Benutzerbeglaubigungen, falls dazu aufgefordert wird, z.B. Benutzername/Passwort, Smart-Karte/persönlicher Identifikationsnummern- (PIN) Code.
  • Wie in dem obigen "typischen Verwendungsszenarium" gesehen werden kann, können Installation und Sitzungseinrichtung ziemlich komplex sein und eine Barriere für die anfängliche Einarbeitung durch Unternehmensbenutzer und weitere Massenverwendung von GPRS-Diensten bilden.
  • Die Konfiguration erfordert besonders eine Menge manueller Eingabe von Information in dem Handgerät und manuelle Softwarekonfiguration an zahlreichen Stellen des Betriebssystems und der Einwahl-/VPN-Software. Dies erfordert ein in die Tiefe gehendes technisches Wissen, das die meisten Endbenutzer nicht haben werden.
  • Auch erfordert die Sitzungseinrichtungsprozedur, dass der Benutzer unterschiedliche Anwendungen startet und viele Benutzernamen/Passwörter eingibt, ebenso wie optionales Ausführen eines Skriptes einer bestimmten Art, um die spezifischen GPRS-Sitzungsparameter (PDP-Kontextdaten) zu konfigurieren. Dies ist zeitraubend und erfordert ein in die Tiefe gehendes technisches Wissen, das die meisten Endbenutzer nicht haben werden.
  • Außerdem ist der gegenwärtige Weg zum Konfigurieren und Einrichten eines derartigen GPRS-Fernzugriffs nicht flexibel und ermöglicht nicht, Vorteile aus zukünftigen Fähigkeiten von z.B. GPRS-Endgeräten zu ziehen, wie etwa vielfältige PDP-Kontextunterstützung, Roaming unter Verwendung eines "besuchten" Zugriffspunktnamens (APN, Access Point Name), alternative ISP-Unterstützung und Qualität von Dienstoptionen.
  • Hauptsächlich ist dies wegen der Tatsache so, dass die PDP-Kontextdaten entweder in dem Handgerät oder unter Verwendung von Modeminitialisierungsbefehlen konfiguriert sind. Deswegen kann abhängig von dem PC-Betriebssystem und den Fähigkeiten des GPRS-Handgerätes nur eine Menge von PDP-Kontextinformation gespeichert werden, oder eine Unterstützung von mehreren ist umständlich.
  • Zusammenfassend gesagt bestehen die Nachteile bei dem gegenwärtigen Fernzugriff auf ein privates Datenkommunikationsnetz über eine PCT-Einrichtung darin, dass dem Management von PCT-Sitzungsparametern (z.B. GPRS-PDP-Kontext) Flexibilität fehlt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Das Ziel der Erfindung besteht darin, die oben erwähnten Nachteile zu überwinden und einen Konfigurationsprozess, wenn Datenkommunikationstechnologiesitzungsprofile in einem Computer konfiguriert werden zum Einrichten einer Fern- und sicheren Zugriffsitzung von dem Computer zu dem Datenkommunikationsnetz, der für den Benutzer weiter erleichtert ist, vorzusehen.
  • Dies wird gemäß dem Verfahren und der Anordnung erreicht, die in den charakterisierenden Teilen der unabhängigen Ansprüche dargelegt sind.
  • Dank der Bereitstellung des Fernzugriffsanmeldungssystems werden die Information und Instruktionen, die für eine sichere Vernetzungssitzungskonfiguration und Einrichtung benötigt werden, in einer einzelnen Schnittstelle zusammengebracht, und Dank der Bereitstellung des Fernzugriffsanmeldungsverfahrens wird eine einzelne Verbindungsaktivität durch einen Benutzer den entfernten und sicheren Zugriff durchführen.
  • Bevorzugte Ausführungsformen werden in den abhängigen Ansprüchen dargelegt.
  • Ein Vorteil der vorliegenden Erfindung besteht darin, dass die Prozeduren für Sitzungseinrichtung und Konfiguration kürzer sind und weniger Benutzereingriff erfordern.
  • Ein anderer Vorteil der vorliegenden Erfindung besteht darin, dass die Konfiguration einfacher wird.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein Blockdiagramm eines Kommunikationssystems gemäß dem Stand der Technik.
  • 2 zeigt ein Blockdiagramm von einbezogenen Softwarekomponenten gemäß der Erfindung.
  • 3 zeigt ein Flussdiagramm des Verfahrens gemäß der Erfindung.
  • 4 zeigt Signalisierungssequenzen gemäß der Erfindung.
  • BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Die vorliegende Erfindung kann in Kürze als ein Einwahl-Fernzugriff"Dialler" (Wähler) bezeichnet werden, integriert mit einem sicheren VPN-Client und mit Merkmalen für die Unterstützung sogenannter Einrichtungen pseudo-verbindungsloser Technologie (PCT) und Diensten, wie etwa GPRS-Einrichtungen und Diensten, ebenso wie einer verbesserten Benutzerschnittstelle für größere Verwendbarkeit. Die Erfindung, umfassend Software-Logik und Softwarekomponenten, wird in einem Computer implementiert, z.B. einem Personalcomputer (PC) – einem Desktop oder einem Laptop, einem persönlichen digitalen Assistenten (PDA) oder einer beliebigen industriellen oder Verbraucher-Elektronikeinrichtung mit Kommunikations- oder Verbindungsfähigkeiten, und wird von nun an das Fernzugriffsanmeldungs(RAL, Remote Access Login) System genannt.
  • 2 veranschaulicht einen Überblick über die Softwarekomponenten, die in einem sicheren GPRS-Fernzugriffsclient gemäß der vorliegenden Erfindung involviert sind. Die RAL-Softwarekomponenten gemäß der vorliegenden Erfindung werden durch 201 dargestellt, und der Rest der Softwarekomponenten in 2 sind Stand der Technik. Gestrichelte Linien repräsentieren einen Konfigurationsdatenfluss, dicke durchgehende Linien repräsentieren den Pfad, der durch "Benutzer"-Datagramme von Anwendungen einer oberen Schicht durch die Kernel-Komponenten zu dem GPRS-Handgerät genommen wird. Microsoft's WindowsTM Betriebssystem wird als ein Beispiel verwendet, die vorliegende Erfindung ist aber auch zusammen mit anderen Betriebssystemen anwendbar, wie etwa MacTM OS, PalmTM OS, EPOCTM, etc.
  • Die vertikalen Bereiche in der Figur repräsentieren den Benutzermodus 202, die Kernelmodus-Transporttreiber 203 und die Kernelmodus-Netztreiber-Schnittstellenspezifikations- (NDIS, Network Driver Interface Specification) Treiber 204 und sind durch horizontale gestrichelte Linien getrennt.
  • Die involvierten Softwarekomponenten sind, beginnend von der unteren Schicht, die Kernelmodus-NDIS-Treiber 204, die asynchronen/seriellen Porttreiber 205, der Netztreiber- (ND) Proxy 206, der sogenannte Einwahl-Adapter, PPP-NDIS-Weitbereichsnetz (WAN, Wide Area Network) 207, der virtuelle 802.3 Adapter (unter Verwendung der Ethernet (IEEE 802.3 Spezifikation)) 208, die Punkt-zu-Punkt-Tunnel-Protokoll/Schicht 2 Tunnel-Protokoll (PPTP/L2TP, Point to Point Tunnelling Protocol/Layer 2 Tunnelling Protocol) Komponente 209 mit einem virtuellen Adapter 218 und zwei Instanzen eines IPsec-Treibers einer dritten Seite 210 und seinem virtuellen Adapter 211. Dieser IPsec einer dritten Seite ist ein NDIS-Treiber, der durch einen unabhängigen Softwareanbieter bereitgestellt wird. Der virtuelle Adapter 211 erfüllt eine ähnliche Rolle wie der zuvor erwähnten 802.3 virtuelle Adapter 208. Beim Funktionieren in dem sogenannten "Tunnel-Modus" muss die zweite Instanz des IPsec-Treibers der dritten Seite einer Netzschnittstellenkarte (NIC, Network Interface Card) aus der Sicht der ersten Instanz des IPsec-Treibers der dritten Seite ähnlich sein.
  • Involvierte Softwarekomponenten in den Kernelmodus-Transporttreibern 203 sind das Microsoft IPsec 212 und der Übertragungssteuerprotokoll-/Internetprotokoll- (TCP/IP, Transmission Control Protocol/Internet Protocol) Protokolltreiber 213 und das UNImodem 217.
  • Involvierte Softwarekomponenten in dem Benutzermodus 202 sind die Telekommunikationsanwendungs-Programmierschnittstelle (TAPI, Telecommunication Application Programming Interface) 214, der Fernzugriffsdienst (RAS, Remote Access Service) 215 und die Anwendung einer oberen Schicht 216, z.B. ein Web-Browser.
  • Der Benutzermodus 202 umfasst ferner das RAL-System 201, d.h. die Softwarekomponenten gemäß der vorliegenden Erfindung, die nun detaillierter beschrieben werden.
  • Beginnend von den unteren Schichten können diese Komponenten des Benutzermodus 202 hauptsächlich enthalten:
    Eine Anwendungsprogrammierschnittstelle (API, Application Programming Interface) zu GPRS 220 und eine API zu VPN 221 Einrichtungen. Um Einrichtungen zu unterstützen, die für das Betriebssystem kein Standard sind, umfasst das RAL-System Komponenten-APIs, die ermöglichen, ein generisches Verhalten dieser Einrichtungen für andere höhere Softwarekomponenten zu abstrahieren. Dieses generische Verhalten wird durch eine Standardmenge von Befehlen für jede der GPRS-Einrichtung und der VPN-Einrichtung verkörpert, die durch die Komponenten einer höheren Schicht gesendet und in vorrichtungs- oder systemspezifische Signale übersetzt werden, was mit Pfeilen 222 und 223 zu den geeigneten unterliegenden Kernel-Einrichtungen angezeigt wird.
  • Falls erforderlich, gibt es eine Menge von RAS-Funktionen 224 für VPNs und GPRS, wegen möglicher Begrenzungen des Betriebssystems. Diese Komponenten ermöglichen, spezifische Sitzungseinrichtungsprozeduren durchzuführen, die durch existierende Software nicht abgedeckt werden, z.B. spezifische GPRS-Funktionen, wie etwa PDP-Kontextdefinition.
  • Eine Benutzerprofildatenbank 225. Das RAL-System 201 unterhält eine Datenbank, die alle Daten enthält, die für die Kette von Ende zu Ende von Konfigurationsdaten relevant sind, die durch die unterschiedlichen Softwarekomponenten außerhalb des RAL-Systems 201 erforderlich ist, um eine sichere mobile Datenverbindung einzurichten. Sie ermöglicht besonders, PDP-Kontextdaten flexibel zu managen. Wo angemessen, werden die Daten zu Komponenten außerhalb des RAL-Systems weitergereicht, z.B. zu dem RAS für die Einwahlparameter, wie etwa Telefonnummern etc.
  • Generische APIs gibt es in zwei Formen:
    • – Plattform-APIs 226, die Unterstützung für viele Betriebssystemplattformen bereitstellen, z.B. Windows, PalmTM, EPOCTM, MacTM etc., und sie sind nur in dem Kontext von Softwarecodeimplementierung relevant.
    • – Plugin-APIs, die eine Menge von öffentlichen Befehlen und Parametern sind, die das RAL versteht oder für die Unterstützung von autonomen Plugins 229 generiert.
  • Der Verarbeitungskern 227 ist der Steuerungsteil des RAL-Systems 201. Er übersetzt eine Benutzereingabe, wie etwa Text, Zahlen, Mausklicks etc., die von der grafischen Benutzerschnittstelle (GUI, Graphical User Interface) 228 genommen werden, in Signale zu den geeigneten unterliegenden Komponenten und koordiniert und triggert die unterschiedlichen Prozeduren gemäß der geeigneten Logik, z.B. Definieren eines PCT-Sitzungs-PDP-Kontexts, Weitergeben des Sitzungskontexts zu der PCT-Einrichtung, Triggern der Einrichtung einer Einwahlverbindung, dann Einrichten der VPN-Verbindung.
  • Die GUI 228 des RAL-Systems bringt in der gleichen Anwendung alle notwendigen Schnittstellen für die Konfiguration und Einrichtung einer Vernetzungssitzung über pseudo-verbindungslose Träger, z.B. GPRS, oder Standard-Einwahl-Träger, z.B. PSTN, ein dienstintegrierendes digitales Netz (ISDN, Integrated Services Digital Network) zusammen.
  • Ein Beispiel einer GUI des RAL-Systems umfasst ein generisches Steuerfenster, welches Sitzungsmanagement ermöglicht und Zugriff zu "Sitzungsprofilen" für die drei Schichten gibt, die in mobiler sicherer Vernetzung relevant sind, VPN, GPRS (PDP), Mobileinrichtung (Modemeinwahl). Ein erweiterter unterer Rahmen umfasst die bestimmten Konfigurationseinstellungen des gewählten Profils. Ein Informationselement ermöglicht, die drei Schichten zusammen zu verknüpfen, wobei somit ermöglicht wird, die Einrichtung für eine bestimmte Ende-zu-Ende-Sitzung zu automatisieren.
  • Als ein Zusatz zu dem Haupt-RAL-System 201 können mehrere autonome Plugin-Module 229 mit dem RAL 201 über einen generischen API-Teil von 226 kommunizieren, um Mehrwertfunktionen durchzuführen, die von speziellen Charakteristika oder Funktionen der PCT-Verbindung oder PCT-Einrichtung Gebrauch machen. In dem Fall von GPRS könnte ein derartiges Plugin-Modul 229 z.B. ein Messgerät sein, welches das Volumen von transferierten Daten aufzeichnet und es in die Geldmenge übersetzt, die der Benutzer dem GPRS-Betreiber bezahlen muss (der letztere berechnet Verwendung pro Einheit von transferiertem Datenvolumen), die Geldmenge wird dann in Echtzeit zu dem Benutzer angezeigt, über eine GUI, die in dem Plugin-Softwarecode 229 unabhängig von dem Haupt-RAL-System 201 implementiert ist. Die Prinzipien von derartigen Plugins sind die, dass sie vollständig autonom sind und nur auf der API 226 beruhen.
  • 3 zeigt ein Flussdiagramm der Einrichtung einer entfernten und sicheren Zugriffsitzung von einem Computer, umfassend die Softwarelogik und Softwarekomponenten des RAL-Systems, zu einem privaten Datenkommunikationsnetz über eine sogenannte pseudo-verbindungslose Technologie- (PCT) Einrichtung, z.B. eine Einrichtung vom allgemeinen Paketfunkdienst (GPRS).
  • Das Verfahren enthält die folgenden Schritte:
  • 301. Ein Benutzer des Computers führt eine einzelne Verbindungsaktivität durch, z.B. einen Mausklick, der automatisch das RAL-System triggert, die folgenden Schritte durchzuführen:
  • 302. Definieren eines PCT-Sitzungs-Paketdatenprotokoll- (PDP) Kontexts, umfassend pseudo-verbindungslose Charakteristika einer PCT-Sitzung.
  • 303. Weiterreichen des definierten Sitzungskontexts zu der PCT-Einrichtung.
  • 304. Triggern der Einrichtung einer Einwahlverbindung, und
  • 305. Triggern der Herstellung einer sicheren Sitzung eines virtuellen privaten Netzes (VPN).
  • Das Verfahren wird mittels eines Computerprogrammprodukts implementiert, umfassend die Softwarecodeabschnitte zum Durchführen der Schritte des Verfahrens. Das Computerprogrammprodukt wird auf dem Computer betrieben.
  • Das Computerprogramm wird direkt oder von einem computerverwendbaren Medium, wie etwa einer Floppy-Diskette, CD, Internet etc., geladen.
  • Die erforderliche Installation und Konfiguration des RAL-Systems.
  • In diesen Beispielen ist die verwendete PCT GPRS.
    • – Es soll ein Modem in einem Computer installiert und konfiguriert werden, möglicherweise unter Verwendung einiger zusätzlicher Treiber und/oder Skripte, die durch den Hersteller des GPRS-Handgerätes bereitgestellt werden (wie oben in dem Teil der "Beschreibung des Standes der Technik" beschrieben).
    • – Der Benutzer installiert die RAL-Systemsoftware in dem Computer.
    • – Der Benutzer konfiguriert pseudo-verbindungslose Sitzungsprofile, mit allen Informationselementen (IEs), die für die Einrichtung einer sicheren mobilen Vernetzungssitzung von Ende zu Ende notwendig sind. Das RAL sieht ein einzelnes Fenster vor, um auf alle relevanten IEs zuzugreifen. Zwei mögliche Verfahren sind: 1. Der Benutzer erstellt ein Profil und füllt es unter Verwendung von Information aus, die durch den GPRS-Betreiber oder eine IT-Abteilung des Unternehmens bereitgestellt wird. 2. Der Benutzer führt eine Konfiguration mit einem einzelnen Click durch Importieren einer Konfigurationsdatei durch, die durch den GPRS-Betreiber oder eine IT-Abteilung des Unternehmens verteilt wird. Optional werden Authentifizierungsbeglaubigungen in dem Handgerät konfiguriert, falls diese nicht unter Verwendung des RAL-Systems wegen Begrenzungen des GPRS-Handgerätes konfiguriert werden können.
  • Die Sitzungseinrichtung gemäß dem RAL-System.
  • Wenn ein Benutzer eines Computers wünscht, auf sein Unternehmensnetz über den GPRS-Dienst unter Verwendung des RAL-Systems zuzugreifen, wird die Prozedur die folgende sein:
    • – Der Benutzer verknüpft den Computer und den Handgerät physisch, entweder unter Verwendung eines seriellen Kabels oder durch Aktivieren der Infrarot-Verknüpfung an dem Handgerät, wie oben in der Beschreibung des Standes der Technik beschrieben.
    • – Der Benutzer startet die Software für das RAL-System, optional kann das RAL-System automatisch beim Hochfahren des Computers gestartet werden, und
    • – klickt mit einem Cursor auf ein Verbindungssymbol innerhalb der GUI, oder ein äquivalentes GUI-Widget, z.B. Drücken des Eingabeknopfes auf einem Tastenfeld, das an dem Computer agiert. Zukünftige Technologien können andere Schnittstellenmetaphern ermöglichen, z.B. Sprachbefehle, Augenbewegung etc.
  • Das Diagramm in 4 legt dar, was in dem Netz geschieht, nachdem der Benutzer auf "Verbinden" klickt. Die involvierten Netze sind die GPRS öffentliche landgestützte mobile Netz (PLMN, Public Land Mobile Network) Haupttrasse 24, das öffentliche Internet 430 und das private IP-Netz 440. Der Prozess kann in die vier Hauptteile unterteilt werden:
  • 302. Definieren eines GPRS-Sitzungs-Paketdatenprotokoll- (PDP) Kontexts, umfassend pseudo-verbindungslose Charakteristika einer GPRS-Sitzung.
  • 303. Weiterreichen des definierten Sitzungskontexts zu der GPRS-Einrichtung.
  • 304. Triggern einer Einrichtung einer Einwahlverbindung durch Aktivieren vom PDP-Kontext, und
  • 305. Triggern einer Herstellung einer sicheren Sitzung eines virtuellen privaten Netzes (VPN).
  • Nachdem der Benutzer auf "Verbinden" geklickt hat, wird die RAL-Systemsoftware, die in dem Computer 401 enthalten ist, zuerst eine Nachricht 402 zu der GPRS-Einrichtung 403 weiterreichen, wobei die Nachricht 402 die GPRS-Sitzungsparameter umfasst, die konfiguriert wurden, als das Sitzungsprofil erstellt wurde. Diese Parameter definieren die pseudo-verbindungslosen Charakteristika der GPRS-Sitzung, und bilden den sogenannten "PDP-Kontext".
  • Diese Parameter sind z.B. PDP-Typ, Zugriffspunktname (APN), Komprimierungsoptionen, IP-Adresse und Optionen für Qualität eines Dienstes. Alle diese Parameter sind in einer PDP-Kontextdefinitionsnachricht optional. wo sie nicht explizit gesetzt sind, können sie später entweder durch den Computer 401 während der PPP-Verhandlungsphase 405, vorgesehen durch das GPRS-Netz in dem Heimatstandortregister- (HLR, Home Location Register) Abfrageschritt 407, oder durch Vorgabeeinstellung in dem Handgerät 403 eingestellt werden.
  • Mit gegenwärtigen GPRS-Endgeräten wird die Nachricht 402 unter Verwendung eines Standard-AT-Befehls weitergegeben, zu dem Endgerät über eine PC-Peripherieschnittstelle gesendet, wie etwa z.B.
    • – einen seriellen Port,
    • – einen parallelen Port,
    • – eine Schnittstelle mit einer Personalcomputerspeicherkarte internationaler Verbindung (PCMCIA, Personal Computer memory Card International Association),
    • – einen berechnenden Bus, z.B. Mikrokanal-Architektur (MCA, Micro Channel Architecture), Industriestandard-Architektur (ISA, Industry Standard Architecture), verbesserte ISA (EISA), einen lokalen Bus einer Videoelektronik-Standardverbindung (VESA, Video Electronics Standards Association local bus), periphere Komponentenzusammenschaltung (PCI, Peripheral Component Interconnect), mini-PCI, eine Kleincomputer-Systemschnittstelle (SCSI, Small computer System Interface), einen Faserkanal, ein serielles Busprotokoll mit IEEE 1394 mit einer physischen Schicht von Firewire,
    • – einen Port eines universellen seriellen Busses (USB, Universal Serial Bus),
    • – eine Schnittstelle mit einer Infrarot-Datenverbindung (IrDA, Infrared Data Association),
    • – Bluetooth-Kurzbereichs-Funkschnittstelle.
  • Dann ruft die Softwarelogik des RAL-Systems 401 die Einwahl-Fähigkeiten des Betriebssystems auf, in dem es sich befindet Für Windows 98, NT oder 2000 macht dies Gebrauch von Funktionen, die durch die Fernzugriffsdienst- (RAS) Komponente vorgesehen werden. Alternativ kann das Betriebssystem ein beliebiges der existierenden sein, wie etwa PalmTM, EPOCTM, MacTM, LinuxTM, UnixTM; in welchem Fall die Einwahl-Fähigkeiten von Funktionen, die durch OS-Funktionen äquivalent zu dem RAS bereitgestellt werden, oder Funktionen, die durch Software unabhängiger Dritter bereitgestellt werden, Gebrauch machen.
  • Die Parameter, die zu dem RAS weitergereicht werden, sind Einwahlparameter, z.B. Authentifizierungsprotokoll, Adresszuordnungsrichtlinie, Komprimierung etc., und Authentifizierungsbeglaubigungen, die optional für den nicht-transparenten Zugriffsfall von GPRS verwendet werden.
  • In WindowsTM schreibt die Softwarelogik des RAL-Systems die Einwahlparameter in eine Systemdatei, ein so genanntes Telefonbuch, die dann durch den RAS gelesen wird, wenn er die Einwahlverbindungsprozedur durchführt. Die Softwarelogik des RAL-Systems zeigt dem RAS auch an, in welcher Datei zu lesen ist, wenn sie die RAS-Einwahl triggert. Diese Datei enthält auch hartkodiert die Dienstzeichenkette, d.h. Telefonnummer, für GPRS, z.B. *98**1#.
  • Die Authentifizierungsbeglaubigungen werden in einen "undurchsichtigen" Speicher- (Speicher mit wahlfreiem Zugriff (RAM)) Standort durch die Softwarelogik des RAL-Systems gebracht, wo sie später durch den RAS unter Verwendung von Standard-Betriebssystem- (OS) Funktionen abgerufen werden. Ein Zeiger zu diesem Standort wird zu dem RAS weitergegeben.
  • Sobald der RAS gestartet ist, führt er die folgenden Operationen ohne die Einbeziehung der Softwarelogik des RAL-Systems durch:
    Senden eines "Wahl"-Befehls 404 zu der GPRS-Einrichtung 403 mit der GPRS-"Dienstzeichenkette". Eintreten in die sogenannte "PPP-Verhandlungsphase" 405, (terminiert durch 414), was selbst drei aufeinanderfolgende Schritte umfasst:
    • 1. PPP-Verknüpfungssteuerprotokoll (LCP, Link Control Protocol): der Computer 401 und die GPRS-Einrichtung 403 tauschen mehrere Nachrichten aus, um Verknüpfungsparameter zu verhandeln, z.B. Maximalempfangseinheit (MRU, Maximum Receive Unit), Authentifizierungsprotokoll.
    • 2. PPP-Authentifizierung: Optional fragt die RAS-Komponente 215 in dem Computer 401 die Authentifizierungsbeglaubigungen vom RAM ab und gibt sie zu dem GPRS-Telefon 403 weiter.
    • 3. PPP-Netzsteuerprotokoll (NCP, Network Control Protocol)/IP-Steuerprotokoll (IPCP, IP Control Protocol): der RAS fordert gewisse IP-Netzparameter (wie durch die Anforderungen, die durch das RAL-System weitergegeben werden) in einer "PPP-IPCP-Konfigurationsanforderungs"-Nachricht an. Diese Parameter umfassen z.B. IP-Adresszuordnungsrichtlinie, Namensserver, Komprimierung von Ende zu Ende etc.
  • Dieser dritte Schritt wiederum triggert das GPRS-Handgerät 403, eine PDP-Kontextaktivierungsprozedur mit dem bedienenden GPRS-Unterstützungsknoten (SGSN, Serving GPRS Support Node) in dem GPRS-Netz zu initiieren 406. Diese "Aktivierungs-PDP-Kontextanforderungs"-Nachricht 406 enthält den APN und optional die Authentifizierungsbeglaubigungen.
  • Die PPP-IPCP-Konfigurationsphase wird beendet, wenn das GPRS-Netz das Ende der PDP-Kontextaktivierungsprozedur 413 bestätigt. Das Handgerät wird dann eine "PPP-IPCP-Konfigurationsbestätigung" 414 zu dem Computer 401 zurückgeben, was den RAS über das Ende der Sitzungseinrichtung benachrichtigt. Der Steuerungsschwerpunkt kehrt dann zu dem RAL-System zurück.
  • Abhängig von dem Dienstszenarium wird die PDP-Kontextaktivierungsprozedur innerhalb des GPRS-Netzes mehr oder weniger komplex sein. Hier sind mehrere Kombinationen von Fällen möglich, z.B. ein transparenter oder nicht-transparenter Fall und ein Roaming- oder Nicht-Roaming-Fall.
  • Das Verhalten des Netzes wird durch den APN bestimmt, der zu dem bedienenden GPRS-Unterstützungsknoten (SGSN) und Gateway-GPRS-Unterstützungsknoten (GGSN, Gateway GPRS Support Node) zur PDP-Kontextaktivierungszeit weitergegeben wird. Dies ist von dem RAL-System unabhängig. Basierend auf dem APN ist es der SGSN, der das Verhalten in Bezug auf Roaming bestimmt, der SGSN stellt dann einen GPRS-Tunnelungs-Protokoll (GTP) Tunnel her und reicht den APN zu dem GGSN weiter, der das Verhalten in Bezug auf Zugriffstransparenz bestimmt.
  • Z.B. in dem kompliziertesten Fall, der der nicht-transparente Roaming-Zugriff ist:
    • – Der SGSN wird 407 das HLR abfragen, um die PDP-Kontextaktivierungsparameter mit den Teilnehmeraufzeichnungen zu prüfen, wobei somit ermöglicht wird, betrügerische Verwendung zu verhindern und die optionalen Parameter auszufüllen, die zuvor nicht definiert worden sein können.
    • – Der SGSN wird 408 den Domänennamendienst (DNS, Domain Name Service) nach dem APN abfragen.
    • – Der DNS gibt eine IP-Adresse für den GGSN für eine Verwendung zurück, d.h. den Heimat-GGSN oder einen GGSN in dem besuchten Netz abhängig von der Roaming-Richtlinie des Betreibers, die in dem DNS implementiert ist.
    • – Der SGSN sendet eine Nachricht "PDP-Kontextanfrage erstellen" 409, die den APN und die Authentifizierungsbeglaubigungen enthält, zu dem GGSN.
    • – Basierend auf dem APN bestimmt der GGSN, dass er eine nicht-transparente Zugriffsprozedur durchführen muss. Deshalb kontaktiert er einen Server 410 in dem privaten Unternehmensnetz (z.B. Fernauthentifizierungs-Einwahl-Benutzerdienst (RADIUS, Remote Authentication Dial-In User Service) und/oder dynamisches Host-Konfigurationsprotokoll (DHCP, Dynamic Host Configuration Protocol), um eine IP-Adresse zu erhalten, die er der Mobilstation zuordnet, die den PDP-Kontext an erster Stelle 411 aktiviert hat. Der GGSN gibt eine Nachricht "PDP-Kontextannahme erstellen" 412 zurück, die die IP-Adresse enthält, die er dem GPRS-Handgerät 403 und dem Computer 401 zugeordnet hat.
    • – Der SGSN reicht diese Nachricht zu dem GPRS-Handgerät 403 in einer Nachricht "PDP-Kontextantwort aktivieren" 413 weiter.
    • – Das GPRS-Handgerät 403 generiert eine PPP-IPCP-Konfigurationsbestätigungsnachricht 414, die er zu dem RAS in dem Computer über z.B. die serielle oder Infrarot-Verknüpfung weiterreicht. Diese Nachricht 414 umfasst die IP-Einstellungen.
    • – Sobald der RAS diese PPP-IPCP-Konfigurationsbestätigungsnach richt 414 empfängt, konfiguriert er den TCP/IP-Stapel des Betriebssystems des Computers 401 korrekt und bindet ihn mit den NDIS-Treibern unterer Ebene für Einwahl-NDISWAN – siehe 2.
  • Der RAS generiert dann eine Antwort zu der RAL-Systemsoftware um zu bestätigen, dass die GPRS-Verbindung erfolgreich eingerichtet wurde.
  • In Fällen, wo VPN-Komponenten verwendet werden sollen, wie in dem benutzer-definierten Profil angezeigt, triggert das RAL-System dann den nächsten Schritt, die notwendigen Prozeduren, um eine sichere VPN-Sitzung herzustellen.
  • Basierend auf den Benutzerkonfigurationsparametern, die es speichert, wählt das RAL-System z.B. eine VPN-Einrichtung, z.B. Microsoft IPsec 212 in 2 und Microsoft L2TP 209, oder einen IPsec-Treiber 210 einer dritten Seite, und reicht, entweder über den RAS 215 oder direkt 223, die erforderlichen zusätzlichen Parameter weiter, wie etwa VPN-Gateway-Name oder IP-Adresse, Authentifizierungsprotokoll, einen Zeiger zu Authentifizierungsbeglaubigungen, z.B. digitale Zertifikate oder Benutzername/Passwort, die unter Verwendung des RAL-Systems definiert worden sein können.
  • Die VPN-Software wird dann die notwendigen Schritte durchführen, um die sichere Verbindung durch Verhandeln von Mengen-Chiffrierschlüsseln mit dem VPN-Gateway 415, durch Verwenden des Internet-Schlüsselaustausch (IKE, Internet Key Exchange) Protokolls 416 von IPsec herzustellen, dann den VPN-Tunnel, z.B. L2TP 417, herzustellen und den Benutzer 418 zu authentifizieren, was optional eine RADIUS/Authentifizierungs-, Autorisierungs-, Abrechnungs- (AAA) Abfrage 419 involvieren kann.
  • Die Erfindung ist nicht auf die oben beschriebenen Ausführungsformen begrenzt. Es können verschiedene Alternativen, Modifikationen und Äquivalente verwendet werden. Deshalb sollten die obigen Ausführungsformen nicht als den Bereich der Erfindung begrenzend angenommen werden, der durch die angefügten Ansprüche definiert wird.
  • Akronyme
    • 3GPP
      Partnerschaftsprojekt der dritten Generation (Third Generation Partnership Project)
      AAA
      Authentifizierung, Autorisierung, Abrechnung durch Erweiterung der Suite von IETF-Protokollen, um diese Funktionen durchzuführen.
      ADSL
      Asymmetrische digitale Teilnehmerleitung (Asymmetric Digital Subscriber Line)
      API
      Anwendungsprogrammierungsschnittstelle (Application Programming Interface)
      APN
      Zugriffspunktname (Access Point Name)
      ARP
      Adressauflösungsprotokoll (Address Resolution Protocol)
      CAST
      Carlisle Adams und Stafford Tavares
      CD
      Kompakte Scheibe (Compact Disk)
      CDPD
      Zellulare digitale Paketdaten (Cellular Digital Packet Data)
      CHAP
      Aufforderungs-Handshake-Authentifizierungsprotokoll (Challenge Handshake Authentication Protocol)
      DECT
      Digitales erweitertes schnurloses Telefon (Digital Enhanced Cordless Telephone)
      DES
      Datenverschlüsselungsstandard (Data Encryption Standard)
      DHCP
      Dynamisches Host-Konfigurationsprotokoll (Dynamic Host Configuration Protocol)
      DNS
      Domänen-Namensdienst (Domain Name Service)
      EAP
      Erweiterbares Authentifizierungsprotokoll (Extensible Authentication Protocol)
      EISA
      Verbesserte ISA (Enhanced ISA)
      ETSI
      European Telecommunications Standards Institute
      GGSN
      Gateway-GPRS-Unterstützungsknoten (Gateway GPRS Support Node)
      GPRS
      Allgemeiner Paketfunkdienst (General Packet Radio Service)
      GRE
      Generische Weiterleitungskapselung (Generic Routing Encapsulation)
      GSM
      Globales System für mobile Kommunikationen (Global System for Mobile communications)
      GTP
      GPRS-Tunnelungsprotokoll (GPRS Tunnelling Protocol)
      GUI
      Grafische Benutzerschnittstelle (Graphical User Interface)
      HLR
      Heimatstandortregister (Home Location Register)
      IDEA
      Internationaler Datenverschlüsselungsalgorithmus (International Data Encryption Algorithm)
      IE
      Informationselement
      IETF
      Internet Engineering Task Force
      IKE
      Internet-Schlüsselaustausch (Internet Key Exchange)
      IP
      Internetprotokoll
      IPSec
      Sicheres IP (Secure IP) (IETF)
      IPCP
      IP-Steuerprotokoll (IP Control Protocol)
      IrDA
      Infrarot-Datenverbindung (Infrared Data Association)
      ISA
      Industriestandardarchitektur) Industry Standard Architecture)
      ISDN
      Dienstintegrierendes digitales Netz (Integrated Services Digital Network)
      ISP
      Internetdienstanbieter (Internet Service Provider)
      L2TP
      Tunnelprotokoll von Schicht 2 (Layer 2 Tunnelling Protocol) (IETF)
      LCP
      Verknüpfungssteuerprotokoll (Link Control Protocol)
      MCA
      Mikrokanalarchitektur (Micro Channel Architecture)
      MD-5
      Nachrichtenauszugsalgorithmus Nummer 5 (Message Digest algorithm number 5)
      MRU
      Maximalempfangseinheit (Maximum Receive Unit)
      MS-CHAP
      Microsoft-CHAP
      MSC
      Mobilvermittlungsstelle (Mobile Switching Centre)
      NCP
      Netzsteuerprotokoll (Network Control Protocol)
      ND
      Netztreiber (Network Driver)
      NDIS
      Netztreiber-Schnittstellenspezifikation (Network Driver Interface Specification)
      NIC
      Netzschnittstellenkarte (Network Interface Card)
      OS
      Betriebssystem (Operating System)
      PAP
      Passwortauthentifizierungsprotokoll (Password Authentication Protocol)
      PC
      Personalcomputer
      PCI
      Periphere Komponentenzusammenschaltung (Peripheral Component Interconnect)
      PCMCIA
      Personalcomputerspeicherkarte internationaler Verbindung (Personal Computer Memory Card International Association)
      PCS
      Persönliches Kommunikationssystem (Personal Communications System)
      PCT
      Pseudo-verbindungslose Technologie (Pseudo Connectionless Technology)
      PDA
      Persönlicher digitaler Assistent (Personal Digital Assistant)
      PDP
      Paketdatenprotokoll (Packet Data Protocol)
      PIN
      Persönliche Identifikationsnummer (Personal Identification Number)
      PKI
      Öffentliche Schlüsselinfrastruktur (Public Key Infrastructure)
      PLMN
      Öffentliches landgestütztes mobiles Netz (Public Land Mobile Network)
      POP
      Anwesenheitspunkt (Point Of Presence)
      PPP
      Punkt-zu-Punkt-Protokoll (Point to Point Protocol)
      PPTP
      Punkt-zu-Punkt-Tunnelungsprotokoll (Point to Point Tunnelling Protocol) (Microsoft)
      PSTN
      Öffentliches vermitteltes Telefonnetz (Public Switched Telephone Network)
      QoS
      Qualität eines Dienstes (Quality of Service)
      RADIUS
      Fernauthentifizierungs-Einwahl-Benutzerdienst (Remote Authentication Dial-In User Service)
      RAL
      Fernzugriffsanmeldung (Remote Access Login)
      RAM
      Speicher mit wahlfreiem Zugriff (Random Access Memory)
      RAS
      Fernzugriffsserver(Remote Access Server)
      RC
      Ron's Code
      RC-40/128
      RC mit Schlüssel von 40 Bits oder 128 Bits
      RSA
      Rivest Shamir und Aldeman's öffentlicher Schlüssel-Verschlüsselungsalgorithmus oder namengebende Firma, die sich auf Sicherheitssoftware spezialisiert.
      SCSI
      Kleincomputer-Systemschnittstelle (Small Computer System Interface)
      SGSN
      Bedienender GPRS-Unterstützungsknoten (Serving GPRS Support Node)
      SIM
      Teilnehmeridentitätsmodul (Subscriber Identity Module)
      SPAP
      Passwortauthentifizierungsprotokoll von Shiva
      TCP
      Übertragungssteuerprotokoll (Transmission Control Protocol)
      TIA
      Telecommunications Industry Associations
      UI
      Benutzerschnittstelle (User Interface)
      UMTS
      Universelles mobiles Telekommunikationssystem (Universal Mobile Telecommunications System)
      USB
      Universeller serieller Bus (Universal Serial Bus)
      VESA
      Lokaler Bus von Videoelektronik-Standardverbindung (Video Electronics Standards Association local bus)
      VPN
      Virtuelles privates Netz (Virtual Private Network)
      WAN
      Weitbereichsnetz (Wide Area Network)
      WCDMA
      Breitband-Vielfachzugriff im Codemultiplex (Wideband Code Division Multiple Access)

Claims (4)

  1. Verfahren zum Konfigurieren von Pseudo-verbindungslos-Technologie-Sitzungsprofilen in einem Fernzugangsanmeldesystem, RAT, (201), das in einem Computer arbeitet, zum Einrichten einer entfernten und sicheren Zugangssitzung vom Computer zu einem Datenkommunikationsnetzwerk über eine Pseudo-verbindungslos-Technologie-Vorrichtung, PCT, (403), wobei die PCT einige Einrichtinformationen benötigt und sie ein spezialisiertes Zugangsnetzwerk und dezidierte Gateways verwendet, wobei der Computer Kommunikationsfähigkeiten umfasst, und das RAL-System umfasst: eine graphische Benutzeroberfläche, GUI (228), umfassend Verbindungsmittel für einen Anwender zum Durchführen einer einzelnen Verbindungsaktivität; einen Verarbeitungskern (227), der von der GUI übernommene Benutzereingaben in Signale an geeignete unterliegende Komponenten umwandelt; wobei der Verarbeitungskern (227) auch die Prozeduren zum Definieren eines PCT-Sitzungs-Paketdatenprotokolls, PDP, -Kontexts koordiniert, wobei er den Sitzungskontext zur PCT-Vorrichtung (40) weiterreicht, die eine Einwahlverbindung einrichtet und wenn nötig eine Sitzung eines Virtuellen Privaten Netzwerks, VPN; zwischen dem Computer (401) und einem VPN-Gateway im Datenkommunikationsnetzwerk (440) etabliert; wobei das Verfahren die Schritte umfasst: – Das RAL-System gibt Zugang zu allen notwendigen Informationselementen, IE, in einem einzelnen Fenster der GUI, die zum Einrichten einer sicheren End-zu-End-Netzwerksitzung nötig sind, wobei die Informationselemente Konfigurationsinformationen enthalten, die zur PCT-Vorrichtung (403), der Pseudo-verbindungslos-Technologie und dem virtuellen privaten Netzwerk gehören, – Das RAL-System führt nach einer Einzelaktivität des Anwenders die Konfiguration durch Importieren einer vom PCT-Betreiber oder einer IT-Abteilung eines Unternehmens distributierten Konfiguration durch.
  2. Computerprogrammprodukt, umfassend Software-Codeteile zum Durchführen aller Schritte des Verfahrens nach Anspruch 1, wenn das Produkt auf einem Computer läuft.
  3. Computerprogrammprodukt gemäß Anspruch 2, wobei das Computerprogrammprodukt direkt in den internen Speicher des Computers ladbar ist.
  4. Computerprogrammprodukt gemäß Anspruch 2, wobei das Computerprogrammprodukt auf einem Computer-verwendbaren Medium gespeichert ist.
DE60115725T 2000-06-29 2001-06-13 Verfahren und Anordnung zur Konfigurieren von Kommunikationssitzung in einem Kommunikationsnetz Expired - Lifetime DE60115725T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
SE0002446 2000-06-29
SE0002446A SE518604C2 (sv) 2000-06-29 2000-06-29 Metod och anordning för säker anslutning till ett kommunikationsnätverk

Publications (2)

Publication Number Publication Date
DE60115725D1 DE60115725D1 (de) 2006-01-12
DE60115725T2 true DE60115725T2 (de) 2006-08-24

Family

ID=20280297

Family Applications (2)

Application Number Title Priority Date Filing Date
DE60106047T Revoked DE60106047T2 (de) 2000-06-29 2001-06-13 Verfahren und anordnung zum sicheren zugriff auf ein kommunikationsnetz
DE60115725T Expired - Lifetime DE60115725T2 (de) 2000-06-29 2001-06-13 Verfahren und Anordnung zur Konfigurieren von Kommunikationssitzung in einem Kommunikationsnetz

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE60106047T Revoked DE60106047T2 (de) 2000-06-29 2001-06-13 Verfahren und anordnung zum sicheren zugriff auf ein kommunikationsnetz

Country Status (10)

Country Link
US (1) US7152160B2 (de)
EP (2) EP1302032B1 (de)
JP (1) JP2004502345A (de)
AT (2) ATE312485T1 (de)
AU (1) AU2001274737A1 (de)
DE (2) DE60106047T2 (de)
ES (2) ES2228881T3 (de)
HK (1) HK1071651A1 (de)
SE (1) SE518604C2 (de)
WO (1) WO2002001822A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007039160A1 (de) 2007-08-20 2009-03-05 Vodafone Holding Gmbh Verfahren zum Herstellen einer Remote-Kommunikationsverbindung

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7243225B2 (en) * 2001-07-13 2007-07-10 Certicom Corp. Data handling in IPSec enabled network stack
US6732105B1 (en) * 2001-07-27 2004-05-04 Palmone, Inc. Secure authentication proxy architecture for a web-based wireless intranet application
US7389412B2 (en) * 2001-08-10 2008-06-17 Interactive Technology Limited Of Hk System and method for secure network roaming
WO2003027878A1 (en) * 2001-09-28 2003-04-03 Fiberlink Communications Corporation Client-side network access polices and management applications
FI118170B (fi) * 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
US7301918B2 (en) * 2002-04-18 2007-11-27 Telefonaktiebolaget Lm Ericsson (Publ) Fixed cellular terminal with packet data transmission over analog interface
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
FR2841077B1 (fr) * 2002-06-17 2004-11-19 Orange France Sa Systeme et procede de gestion sur un terminal de l'architecture dediee a un reseau de communication
US20030236997A1 (en) * 2002-06-24 2003-12-25 Paul Jacobson Secure network agent
FR2848052B1 (fr) * 2002-11-29 2005-03-18 Orange France Systeme et procede de selection dans un terminal pour une architecture dediee a un reseau de communication
US7324489B1 (en) * 2003-02-18 2008-01-29 Cisco Technology, Inc. Managing network service access
KR20040075380A (ko) * 2003-02-20 2004-08-30 삼성전자주식회사 억세스 가상 사설망의 데이터 암호화 방법
US20060179474A1 (en) * 2003-03-18 2006-08-10 Guillaume Bichot Authentication of a wlan connection using gprs/umts infrastructure
US7239865B2 (en) * 2003-07-25 2007-07-03 Qualcomm Incorporated Proxy authentication for tethered devices
US7877081B2 (en) * 2003-07-25 2011-01-25 Qualcomm Incorporated Proxy-encrypted authentication for tethered devices
US8417834B2 (en) 2003-09-10 2013-04-09 Broadcom Corporation Unified infrastructure over ethernet
US8285881B2 (en) * 2003-09-10 2012-10-09 Broadcom Corporation System and method for load balancing and fail over
US20050060551A1 (en) * 2003-09-15 2005-03-17 Barchi Ronald S. Terminal device IP address authentication
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
WO2005051024A1 (ja) * 2003-11-20 2005-06-02 Nec Corporation 私設網を利用した移動通信システム、中継ノード及び無線基地制御局
US6947406B2 (en) * 2003-12-23 2005-09-20 Motorola, Inc Establishing connections between terminal equipment and a mobile terminal
JP4261382B2 (ja) * 2004-02-17 2009-04-30 株式会社日立コミュニケーションテクノロジー 通信統計情報収集機能を備えたアクセスサーバ
US20050221770A1 (en) * 2004-03-31 2005-10-06 Shipshock Michael D User configurable pre-activated GPRS PDP context handling for improved activation time
CN1961557B (zh) * 2004-05-31 2011-03-30 意大利电信股份公司 通信网络中的安全连接方法和系统
US7835330B2 (en) * 2004-06-21 2010-11-16 Ipwireless, Inc. Accessing a data network through a cellular communication system
JP4707992B2 (ja) * 2004-10-22 2011-06-22 富士通株式会社 暗号化通信システム
US8291236B2 (en) * 2004-12-07 2012-10-16 Digital Keystone, Inc. Methods and apparatuses for secondary conditional access server
WO2006069428A1 (en) * 2004-12-30 2006-07-06 Bce Inc. System and method for secure access
US8059672B2 (en) 2005-05-18 2011-11-15 Sprint Communications Company L.P. Internet communications between wireless base stations and service nodes
FI118110B (fi) * 2005-05-24 2007-06-29 Teliasonera Ab Verkkojen välinen palveluyhteistoiminta
US8532136B1 (en) * 2005-10-19 2013-09-10 American Megatrends, Inc. Communication with a handset via a private network
DE102005055646B4 (de) * 2005-11-22 2018-01-18 O2 (Germany) Gmbh & Co. Ohg Kommunikationssystem
EP1791315A1 (de) * 2005-11-23 2007-05-30 Research In Motion Limited System und Verfahren zur Bereitstellung mobiler VPN Konnektivität
US7882557B2 (en) * 2005-11-23 2011-02-01 Research In Motion Limited System and method to provide built-in and mobile VPN connectivity
FR2897222A1 (fr) * 2006-02-03 2007-08-10 Gemplus Sa Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable
US7779099B2 (en) 2006-03-16 2010-08-17 Us Beverage Net Inc. Distributed intelligent systems and methods therefor
US7640023B2 (en) * 2006-05-03 2009-12-29 Cisco Technology, Inc. System and method for server farm resource allocation
US8555350B1 (en) 2006-06-23 2013-10-08 Cisco Technology, Inc. System and method for ensuring persistent communications between a client and an authentication server
US8353048B1 (en) * 2006-07-31 2013-01-08 Sprint Communications Company L.P. Application digital rights management (DRM) and portability using a mobile device for authentication
US9167423B2 (en) * 2006-09-29 2015-10-20 Rosemount Inc. Wireless handheld configuration device for a securable wireless self-organizing mesh network
DE102006050757A1 (de) * 2006-10-27 2008-04-30 Metten Stein + Design Gmbh & Co. Kg Mauersystem
US7846018B2 (en) 2006-11-08 2010-12-07 Igt Gaming device and method having purchasable enhanced paytables
FI20065809L (fi) 2006-12-15 2008-06-16 Elisa Oyj Datayhteyksien käsitteleminen matkaviestinverkossa
US20080268815A1 (en) * 2007-04-26 2008-10-30 Palm, Inc. Authentication Process for Access to Secure Networks or Services
US8260248B2 (en) * 2007-07-27 2012-09-04 Broadcom Corporation Method and system for automatically establishing a dial-up connection to a network through a mobile device
US8656449B1 (en) * 2007-07-30 2014-02-18 Sprint Communications Company L.P. Applying policy attributes to events
KR20090012755A (ko) * 2007-07-31 2009-02-04 삼성전자주식회사 이동단말에서 패킷 데이터 프로토콜 콘텍스트 관리 방법
US8656424B2 (en) * 2007-12-31 2014-02-18 Digital Keystone, Inc. Distributed TV access system
US8090767B2 (en) * 2008-01-07 2012-01-03 Apple Inc. Pairing and storage access scheme between a handheld device and a computing system
US8826015B2 (en) * 2008-04-21 2014-09-02 Agency For Science, Technology And Research Portable system and method for remotely accessing data
CN101616136B (zh) * 2008-06-26 2013-05-01 阿里巴巴集团控股有限公司 一种提供互联网服务的方法及服务集成平台系统
CN101374111B (zh) * 2008-10-22 2011-02-09 华为技术有限公司 Ps业务发送的方法、设备和系统
US9588226B2 (en) * 2008-12-23 2017-03-07 Trimble Inc. System and method for providing position correction data
US8538919B1 (en) * 2009-05-16 2013-09-17 Eric H. Nielsen System, method, and computer program for real time remote recovery of virtual computing machines
CN101655823B (zh) * 2009-06-12 2012-12-19 中兴通讯股份有限公司 免安装数据卡驱动的实现方法、操作方法及系统
FR2948926B1 (fr) 2009-08-06 2011-10-21 Michelin Soc Tech Transitique adaptee au transfert et au stockage des carcasses de pneumatiques
CN101765100B (zh) * 2009-08-14 2012-08-22 北京握奇数据系统有限公司 一种实现移动办公的方法、系统及装置
CN102378219A (zh) * 2010-08-03 2012-03-14 北京西塔网络科技股份有限公司 一种监测优化软件的数据关联算法及程序
CN101977244A (zh) 2010-09-21 2011-02-16 华为终端有限公司 一种控制方法、装置和系统
CN103973658A (zh) * 2013-02-04 2014-08-06 中兴通讯股份有限公司 静态用户终端认证处理方法及装置
CN105432102A (zh) * 2013-05-22 2016-03-23 康维达无线有限责任公司 用于机器对机器通信的网络辅助引导自举
GB2527069A (en) * 2014-06-10 2015-12-16 Eseye Ltd Routing
US9973340B2 (en) * 2015-11-13 2018-05-15 Verizon Patent And Licensing Inc. Mobile content delivery via toll-free uniform resource locators
JP2022500889A (ja) 2018-07-29 2022-01-04 ヌーヴェン コーポレイションNouvenn Corporation データ通信ネットワークのセキュリティ方法
US11095650B1 (en) 2020-02-03 2021-08-17 Bank Of America Corporation Resource transfer authorization decision engine
CN111614538B (zh) * 2020-04-30 2022-03-29 网络通信与安全紫金山实验室 一种基于IPsec封装协议的报文转发方法
US11601401B1 (en) 2022-03-29 2023-03-07 Uab 360 It Secure configuration of a virtual private network server

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6012088A (en) * 1996-12-10 2000-01-04 International Business Machines Corporation Automatic configuration for internet access device
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US6029196A (en) * 1997-06-18 2000-02-22 Netscape Communications Corporation Automatic client configuration system
EP0910015B1 (de) * 1997-10-08 2005-08-24 Sony Corporation Programmstartgerät und Verfahren zum Gebrauch in elektronischen Maschinen und zugehörigen Medien
FI106831B (fi) * 1998-01-14 2001-04-12 Nokia Networks Oy Pääsyn kontrollointimenetelmä matkaviestinjärjestelmää varten
FI107864B (fi) * 1998-11-23 2001-10-15 Nokia Mobile Phones Ltd Menetelmä ja järjestelmä virhekriittisen, ei-reaaliaikaisen datan häviämisen estämiseksi eräissä solunvaihtotilanteissa
AU3750400A (en) * 1999-03-15 2000-10-04 Netpliance, Inc. Method and system for communicating over the internet
GB9913102D0 (en) 1999-06-04 1999-08-04 Nokia Telecommunications Oy An element for a communications system
EP1094682B1 (de) 1999-10-22 2005-06-08 Telefonaktiebolaget LM Ericsson (publ) Mobiltelefon mit eingebauter Sicherheitsfirmware

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007039160A1 (de) 2007-08-20 2009-03-05 Vodafone Holding Gmbh Verfahren zum Herstellen einer Remote-Kommunikationsverbindung

Also Published As

Publication number Publication date
HK1071651A1 (en) 2005-07-22
US20040054794A1 (en) 2004-03-18
EP1450571B1 (de) 2005-12-07
DE60106047D1 (de) 2004-11-04
DE60115725D1 (de) 2006-01-12
EP1302032B1 (de) 2004-09-29
AU2001274737A1 (en) 2002-01-08
ATE312485T1 (de) 2005-12-15
ES2228881T3 (es) 2005-04-16
WO2002001822A1 (en) 2002-01-03
EP1302032A1 (de) 2003-04-16
US7152160B2 (en) 2006-12-19
SE518604C2 (sv) 2002-10-29
SE0002446D0 (sv) 2000-06-29
EP1450571A1 (de) 2004-08-25
JP2004502345A (ja) 2004-01-22
ES2255012T3 (es) 2006-06-16
DE60106047T2 (de) 2005-11-03
SE0002446L (sv) 2001-12-30
ATE278303T1 (de) 2004-10-15

Similar Documents

Publication Publication Date Title
DE60115725T2 (de) Verfahren und Anordnung zur Konfigurieren von Kommunikationssitzung in einem Kommunikationsnetz
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
US8239531B1 (en) Method and apparatus for connection to virtual private networks for secure transactions
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
CN1781099B (zh) 在公共热点中的客户终端的自动配置
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
US7827292B2 (en) Flexible automated connection to virtual private networks
DE60220665T3 (de) Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem
DE60319791T2 (de) Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk
DE60220718T2 (de) Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
DE102019218394A1 (de) Bereitstellung von elektronischen teilnehmeridentitätsmodulen für mobile drahtlose vorrichtungen
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE19960733A1 (de) Verfahren und Anordnung zur verbesserten Ausnutzung von technischen Ressourcen zwischen Telekommunikations- und IP-Netzen
CA2521510C (en) System and method for providing end to end authentication in a network environment
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
EP2575385A1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
Cisco Strategies for Applying Attributes
Cisco Strategies Applying Attributes
DE102020129227B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung
EP3276999B1 (de) Kommunikationsgerät mit esim schaltkreis zum bereitstellen einer elektronischen sim
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102006048453B4 (de) Verfahren und System zur Kommunikation mit dem Internet
DE602004005582T2 (de) Paketbasiertes Kommunikationssystem und Verfahren
DE102020129226A1 (de) Datenverarbeitungsvorrichtung und mobiles Kommunikationsgerät zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102018005201A1 (de) Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem

Legal Events

Date Code Title Description
8363 Opposition against the patent