DE60130899T2 - Wap-sitzung tunneling - Google Patents

Wap-sitzung tunneling Download PDF

Info

Publication number
DE60130899T2
DE60130899T2 DE60130899T DE60130899T DE60130899T2 DE 60130899 T2 DE60130899 T2 DE 60130899T2 DE 60130899 T DE60130899 T DE 60130899T DE 60130899 T DE60130899 T DE 60130899T DE 60130899 T2 DE60130899 T2 DE 60130899T2
Authority
DE
Germany
Prior art keywords
layer
request
mobile terminal
wap
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60130899T
Other languages
English (en)
Other versions
DE60130899D1 (de
Inventor
Pär LARSSON
Mikael Nilsson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE60130899D1 publication Critical patent/DE60130899D1/de
Application granted granted Critical
Publication of DE60130899T2 publication Critical patent/DE60130899T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
  • Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
  • Communication Control (AREA)
  • Medicines That Contain Protein Lipid Enzymes And Other Medicines (AREA)

Description

  • Hintergrund der Erfindung
  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf WAP Sitzungen zwischen einem Mobilfunkendgerät und einem WAP Gateway, und genauer auf die Organisation von Protokollschichten in einem WAP Gateway.
  • Beschreibung des zugehörigen Stands der Technik
  • Beim Aufbauen eines virtuellen, nichtöffentlichen Netzwerks für korporative Benutzer, welches Netzwerk für Mobilfunkendgeräte, wie etwa Laptop-Computer, Mobilfunktelefone und dergleichen zugänglich ist, gibt es keine standardisierte Weise zum Aufbauen einer sogenannten "demilitarisierten Zone", die die Authentifizierung von Benutzern der auf das Netzwerk zugreifenden Mobilfunkendgeräte über ein drahtloses Anwendungsprotokoll (WAP, Englisch: Wireless Application Protocol) ermöglicht, bevor einem Benutzer tatsächlich Zugriff auf bzw. Zugang zu dem korporativen Netzwerk gegeben wird. In dem Internet kann ein Anfrage-/Antwort- oder ein Aufrufmechanismus benutzt werden, wobei typischerweise das Punkt-zu-Punkt Protokoll (PPP) oder ein abgesetzter Zugangsserver einem zutretenden Benutzer seinen Benutzernamen abfragt, den Benutzer nach einem Aufruf auffordert, und jedes vom Benutzer in Antwort auf den Aufruf bereitgestellte Passwort liest. Dies geschieht bevor dem Benutzer tatsächlich Zugang verliehen wird. Bestehende Mechanismen zum Authorisieren des Zugangs eines WAP Endgeräts zu einem Netzwerk sind nicht annehmlich und weisen eine Anzahl von Sicherheitsproblemen auf.
  • Eine Authentifizierung kann ausgeführt werden unter Benutzung eines als HTTP Basic Authentication bekannten Mechnismus, wobei der verursachende Server (beispielsweise ein Internetserver) zuerst eine Anfrage von der Endgerätevorrichtung empfangen muss, um mit einer Authentifizierungsaufforderung an das Endgerät zu antworten. Dies erfordert jedoch, dass das Endgerät bereits mit dem Netzwerk, und sogar dem nichtöffentlichen Netzwerk verbunden ist. Eine Authentifizierung kann auch in dem Gateway ausgeführt werden, beispielsweise indem es Benutzern von Mobilfunkendgerätvorrichtungen ermöglicht wird, ein Gateway-Passwort und eine Benutzeridentifizierung ID zu konfigurieren. Alternativ wird dies im Zugangsserver ausgeführt. Diese Verfahren sind sehr unflexibel, und wenn ein sichereres Verfahren, wie etwa das Benutzen eines einmaligen Passworts, einer Sicherheitskarte usw. für den Zugang zum korporativen Netzwerk benutzt wird, ist für den Benutzer ein unangemessen hoher Arbeitsaufwand erforderlich. Derzeitige Endgeräte ermöglichen es den Benutzern nicht, ein "Endgerätefenster" ähnlich wie das, beispielsweise in Windows 98 verfügbare, bei dem dynamische Passwörter eingegeben werden können, zu erhalten. Folglich ist eine Art und Weise zum Bereitstellen eines nicht geprüften Authorisierungsvorgangs für Mobilfunkendgeräte, die einem virtuellen, nichtöffentlichen Netzwerk zutreten wollen, gewünscht.
  • WIRELESS APPLICATION FORUM: „Wireless application protocol Wireless datagram protocol specification", Wireless application protocol Wireless datagram protocol specification, xx, xx, 30 April 1998 (übersetzt: FORUM FÜR DRAHTLOSE ANWENDUNGEN: "Spezifikation für das drahtlose Anwendungsprotokoll und für ein drahtloses Datagrammprotokoll", Spezifikation für ein drahtloses Anwendungsprotokoll und ein drahtloses Datagrammprotokoll, xx, xx, vom 30. April 1998) zeigt einen WAP Gateway nach dem Stand der Technik. Jedoch stellt dieser einen ungeprüften Authorisierungsvorgang für Mobil funkendgeräte, die virtuellen, nichtöffentlichen Netzwerken zutreten, nicht bereit.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung überwindet die vorgenannten und andere Probleme durch einen WAP Gateway, der ein PLMN Netzwerk und ein zweites nichtöffentliches Datennetzwerk miteinander verbindet.
  • Der WAP Gateway umfasst einen Proxy einer ersten Stufe und einen Proxy einer zweiten Stufe. Der Proxy der ersten Stufe ist auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems des zweiten Netzwerks angeordnet und umfasst die WDI Schicht des WAP Protokollstapels. Die verbleibenden Schichten des WAP Protokollstapels sind innerhalb eines auf der anderen Seite des Zugangsschutzsystems des zweiten Netzwerks angeordneten Proxys der zweiten Stufe angeordnet. In Antwort auf Anfragen, die von einem Mobilfunkendgerät bereitgestellt werden, kann die WDP Schicht des Proxys der ersten Stufe mit Protokollschichten innerhalb des Proxys der zweiten Stufe unter Benutzung von SSL/TLS Tunneln kommunizieren. Infolgedessen wird eine Authentifizierung nur einmalig benötigt, nämlich bei der ersten Anfrage, um auf das nichtöffentliche Datennetzwerk zuzugreifen, und alle nachfolgenden Anfragen innerhalb der Sitzung werden durch das Zugangsschutzsystem direkt hindurch getunnelt.
  • Kurze Beschreibung der Zeichnungen
  • Ein vollständigeres Verständnis des Verfahrens und der Vorrichtung der vorliegenden Erfindung kann durch Verweis auf die folgende ausführliche Beschreibung erhalten werden, wenn diese zusammen mit den beigefügten Zeichnungen genommen wird, wobei gilt:
  • 1 ist eine Veranschaulichung eines Mobilfunkendgeräts, das auf einen gemäß der vorliegenden Erfindung konfigurierten WAP Gateway zugreift;
  • 2 ist ein gemäß der vorliegenden Erfindung konfigurierter WAP Gateway; und
  • 3 ist ein Ablaufdiagramm, das die Art und Weise veranschaulicht, in der ein Mobilfunkendgerät auf den WAP Gateway der 2 zugreift.
  • Ausführliche Beschreibung
  • Mit Verweis nun auf die Zeichnungen, und genauer auf 1 wird die Art und Weise veranschaulicht, in der ein Mobilfunkendgerät 10 einem Netzwerk 15, wie etwa einem nichtöffentlichen Intranet-Netzwerk, nach dem Verfahren und der Vorrichtung der vorliegenden Erfindung zutritt. Während die folgende Beschreibung im Hinblick auf einen WAP Gateway und das WAP Protokoll gemacht wird, sollte erkannt werden, dass die vorliegende Erfindung mit einem beliebigen mobilen Internet-Gateway und einer mobilen Internetkonfiguration, die ein Benutzergerät, ein primäres Netzwerk (PLMN), einen Gateway und ein sekundäres Netzwerk (Intranet) benutzt, nützlich sein kann. Das Mobilfunkendgerät 10 erlangt Zugriff auf einen Zugangsserver 25 über ein PLMN Netzwerk 20. Die Verbindung 26 zwischen dem Mobilfunkendgerät 10 und dem PLMN Netzwerk 20 umfasst eine drahtlose Kommunikationsverbindung. Das Mobilfunkendgerät 10 kann aus einem tragbaren Laptop-Computer, einem Minicomputer (PDA, Englisch: Personal Digital Assistant), einem mobilen Telefon, einem Funkrufempfänger (Englisch: Pager) usw. bestehen.
  • Wenn das Mobilfunkendgerät 10 einmal über das PLMN Netzwerk 20 Zugang zu dem Zugangsserver 25 erlangt hat, kann das Mo bilfunkendgerät 10 versuchen, einem nichtöffentliches Netzwerk 15, beispielsweise einem korporativen Netzwerk, unter Benutzung eines WAP Gateways 30 zuzutreten. Der Gateway 30 kann physikalisch mehrere Maschineneinheiten umfassen, die logisch einen einzelnen Gateway umfassen. Das nichtöffentliche Netzwerk 15 kann ein virtuelles nichtöffentliches Netzwerk, das für Benutzer einer bestimmten Firma oder Organisation errichtet worden ist, umfassen.
  • Der WAP Gateway 30 umfasst einen Protokoll-Gateway, der Anforderungen zwischen einem WAP Protokoll (WAE, WSP, WTP, WTLS und WDP) und einem entsprechenden Internetprotokoll (HTTP und TCP/IP) übersetzt zur Übertragung in beiden Richtungen. Die Übersetzung wird über Inhaltscodierer und -decodierer (nicht gezeigt) innerhalb des WAP Gateway 30 ausgeführt. Im Rahmen der vorliegenden Erfindung umfasst der WAP Gateway 30 zwei getrennte, funktionale Komponenten, nämlich einen Proxy 35 einer ersten Stufe und einen Proxy 40 einer zweiten Stufe. Der Proxy 35 der ersten Stufe umfasst die niedrigste Schicht des WAP Protokollstapels und ist verantwortlich zum Erteilen von Zugang für ein Mobilfunkendgerät 10 zu dem nichtöffentlichen Netzwerk 15. Der Proxy 40 der zweiten Stufe enthält den Rest der Schichten des WAP Protokollstapels. Der Proxy 35 der ersten Stufe und der Proxy 40 der zweiten Stufe sind funktionell derart getrennt, dass der Proxy der ersten Stufe auf der Außenseite des Zugangsschutzsystems bzw. der Firewall 37 (d. h. der PLMN Netzwerkseite) des nichtöffentlichen Netzwerks 15 angeordnet ist, während der Proxy 40 der zweiten Stufe innerhalb des Zugangsschutzsystems 37 (d. h. der Seite des nichtöffentlichen Netzwerks) des nichtöffentlichen Netzwerks 15 angeordnet ist.
  • Mit Verweis nun auf 2 wird der Aufbau und die Funktionalität des WAP Gateways 30 vollständiger veranschaulicht. Wie vorhergehend erwähnt, umfasst der WAP Gateway 30 eine Proxyfunktionalität 35 einer ersten Stufe, die auf der öffentlichen Seite des dem PLMN Netzwerk 20 zugeordneten Zugangsschutzsystems 37 angeordnet ist, und die Proxyfunktionalität 40 der zweiten Stufe, die auf der dem nichtöffentlichen Netzwerk 15 zugehörigen, nichtöffentlichen Seite des Zugangsschutzsystems 37 angeordnet ist.
  • Die Proxyfunktionalität 35 der ersten Stufe umfasst die WDP Protokollschicht 45. Die WDP Schicht 45 umfasst das Transportschichtprotokoll innerhalb der WAP Architektur. Die WDP Schicht 45 wird über die durch das PLMN Netzwerk 20 unterstützten, datenfähigen Trägerdiensten (Englisch: Data Capable Bearer Services) betrieben. Die WDP Schicht 45 wirkt als ein allgemeiner Transportdienst für die oberen Schichtprotokolle der WAP Architektur und kommuniziert transparent über einen der verfügbaren Trägerdienste.
  • Der Rest des WAP Protokollstapels ist innerhalb der Proxyfunktionalität 40 der zweiten Stufe angeordnet. Die Schicht 50 des Protokolls einer drahtlosen Sitzung (WSP, Englisch: Wireless Session Protocol) stellt Dienste bereit, die zum Durchsuchen nach Anwendungen geeignet sind. Die WSP Schicht 50 ermöglicht es dem WAP Gateway 30, einen Client an einen Standard HTTP Server anzuschließen. Die WSP Protokollschicht 50 stellt die Sitzungsschicht des WAP Protokollstapels bereit und weist eine konstante Schnittstelle für zwei Sitzungsdienste auf. Der erste Sitzungsdienst ist ein verbindungsorientierter Dienst, der oberhalb des WTP Transaktionsschichtprotokolls operiert. Der zweite Sitzungsdienst ist ein verbindungsloser Dienst, der über einem gesicherten oder nicht gesicherten Datagrammdienst (WDP) operiert.
  • Zusätzliche Protokollschichten umfassen die Schicht 65 der drahtlosen Anwendungsumgebung (WAE, Englisch: Wireless Application Environment), die eine auf einer Kombination von W3C und IETF Technologien für mobiles Internet basierte An wendungsumgebung für allgemeine Zwecke ist. Die WAE Schicht 65 stellt eine vollständig kompatible (Englisch: Interoperable) Umgebung bereit, die es Betreibern und Dienstanbietern ermöglicht, Anwendungen und Dienste zu errichten, die für eine breite Vielfalt von drahtlosen Plattformen nützlich sind. Die Schicht 55 des drahtlosen Transaktionsprotokolls (WTP) stellt ein zur Verwendung mit Mobilfunkendgeräten geeignetes und zum Überwachen von drahtlosen Transaktionen verwendetes, transaktions-orientiertes Protokoll bereit. Die Schicht 60 für die Sicherheit von drahtlosen Transportschichten (WTLS, Englisch: Wireless Transport Layer Security) ist ein sicherheitsbasiertes Protokoll zur Verwendung mit WAP Transportprotokollen. Die WTLS Schicht 60 stellt die Datenintegrität zur Übertragung zwischen dem WAP Gateway 30 und dem Mobilfunkendgerät 10 sicher, stellt die Geheimhaltung von Daten, die zwischen dem Mobilfunkendgerät und dem WAP Gateway übertragen werden, sicher, um ein Mithören und ein Decodieren durch Zwischenparteien zu verhindern, ermöglicht die Authentifizierung des Mobilfunkendgeräts und schützt gegen die Verweigerung von Angriffen auf den Dienst.
  • Der Proxy 35 der ersten Stufe ist in der Lage, unter Benutzung der WTP Schicht 45 und der WSP Schicht 50 mit dem Proxy 40 der zweiten Stufe zu kommunizieren. Die WTP Schicht 45 wird verwendet, weil nur harmlose Operationen durch einen gewährten Zugriff auf diese Schicht ausgeführt werden können. Die WSP Schicht 50 wird benutzt, weil alle WAP Konfigurationen diese Sitzungsschicht umfassen. Jedoch könnte die WTLS Schicht 60 als eine Alternative zu der WSP Schicht 50 benutzt werden. Die Software dieser Schichten kommunizieren unter Benutzung von SSL/TLS Tunneln 70 miteinander. SSL/TLS Tunneln 70 umfassen einen verschlüsselten Kommunikationskanal zwischen den Schichten. Das SSL Protokoll benutzt eine Kombination von Verschlüsselung mit öffentlichem Schlüssel und symmetrischem Schlüssel. Eine Verschlüsselung mit symmetrischem Schlüssel ist viel schneller als eine Verschlüsselung mit öffentlichem Schlüssel, jedoch stellt eine Verschlüsselung mit öffentlichem Schlüssel bessere Authentifizierungstechniken bereit. Eine SSL Sitzung beginnt immer mit einem Austausch von Nachrichten, der SSL Handshake genannt wird. Der Handshake ermöglicht es einem Server, sich gegenüber einem Client unter Benutzung von Techniken mit öffentlichem Schlüssel zu authentifizieren, erlaubt es dann dem Client und dem Server bei der Erzeugung von symmetrischen Schlüsseln zusammenzuarbeiten, wobei die symmetrischen Schlüssel zur schnellen Verschlüsselung, Entschlüsselung und Manipulationserkennung während der nachfolgenden Sitzung benutzt werden. Optional erlaubt es der Handshake auch, dass der Client sich selbst gegenüber dem Server authentifiziert.
  • Das SSL/TLS Tunneln ermöglicht es der WDP Schicht 45 und der WSP Schicht 50 auf den gegenüberliegenden Seiten des Zugangsschutzsystems des nichtöffentlichen Netzwerks miteinander zu kommunizieren. Die WDP Schicht 45 führt Buch über die Benutzer und Tunnelanfragen an den Proxy 40 der zweiten Stufe, wo andere Schichten des Protokollstapels in Antwort auf eine Anfrage hin operieren. Zum ersten Zeitpunkt, wo ein Benutzer versucht, auf den WAP Gateway 30 über den Proxy 35 der ersten Stufe zuzugreifen, ist ein Authentifizierungsvorgang für den Benutzer erforderlich, bevor die Anfrage verarbeitet werden kann. Für nachfolgende Anfragen kann der Proxy 35 der ersten Stufe Anfragen von der WDP Schicht 45 zu der WSP Schicht 50 des Proxys 40 der zweiten Stufe unter Benutzung eines gesicherten SSL/TLS Tunnels 70 ohne einen zusätzlichen Authentifizierungsvorgang tunneln. Vielfältige Verfahren können von dem Proxy der ersten Stufe benutzt werden, um über Benutzer, die sich vorher über den WAP Gateway 30 eingeloggt haben, Buch zu führen. Der Gateway 30 könnte eine kleine relationale Datenbank (nicht gezeigt), eine einfach verlinkte Liste (nicht gezeigt), eine flache Datei (nicht gezeigt) oder einen Typ eines Feldes unterhalten, um früher bzw. vorhergehend authentifizierte Benutzer des Proxys 35 der ersten Stufe nach zu verfolgen.
  • Mit Verweis nun auf 3 wird ein Vorgang veranschaulicht, mit dem Anfragen von dem WAP Gateway 30 behandelt werden. Die Anfrage, die WSP Connect (Verbinden), Resume (Wiederaufnehmen), Suspend (Aussetzen), Get (Einholen) usw. umfassen kann, wird anfänglich beim Schritt 75 von dem Mobilfunkendgerät 10 empfangen. Der Proxy 35 der ersten Stufe des WAP Gateways 30 analysiert die empfangene Anfrage, um im Anfrageschritt 80 zu bestimmen, ob diese Anfrage die erste Anfrage durch das Mobilfunkendgerät 10 an den WAP Gateway 30 umfasst. Wenn die empfangene Anfrage eine erste Anforderung von dem Mobilfunkendgerät 10 umfasst, ergibt der Proxy 35 der ersten Stufe ein WML Deck 85 zurück an das Mobilfunkendgerät, das einen Einloggvorgang durch den Benutzer des Mobilfunkendgeräts 10 erzwingt. In Antwort auf das zurückgegebene WML Deck versucht das Mobilfunkendgerät im Schritt 90, in den Proxy 35 der ersten Stufe des WAP Gateway 30 einzuloggen. Das Einloggen des Benutzers wird im Schritt 95 durch den Proxy der ersten Stufe genehmigt (unter anderem einem gültigen Benutzer), und die Anfrage wird im Schritt 100 unter Benutzung von SSL/TLS Tunneln 70 zu dem Proxy 40 der zweiten Stufe getunnelt, wie vorhergehend mit Bezugnahme auf 2 beschrieben. Wenn der Anforderungsschritt 80 bestimmt, dass die empfangene Anfrage nicht die erste Anfrage von dem Endgerät 10 ist, dann kann die Anfrage im Schritt 100 ohne den Einloggvorgang direkt zu dem Proxy 40 der zweiten Stufe getunnelt werden.
  • Die vorhergehende Beschreibung ist die einer bevorzugten Ausführungsform zum Implementieren der Erfindung, und der Umfang der Erfindung sollte nicht notwendigerweise auf diese Beschreibung beschränkt werden. Stattdessen wird der Schutzumfang der vorliegenden Erfindung durch die folgenden Patentansprüche definiert.

Claims (14)

  1. Ein Verfahren, umfassend die folgenden Schritte: Empfangen (75) einer Anforderung an einem WAP Gateway von einem mobilen Endgerät; gekennzeichnet durch Zugreifen auf nur eine WDP Schicht eines WAP Protokollstapels in einem Proxi einer ersten Stufe in Antwort auf die Anforderung von dem mobilen Endgerät; und Kommunizieren zwischen der WDP Schicht und dem WAP Protokollstapel in einem Proxi einer ersten Stufe und mindestens einer anderen Schicht des WAP Protokollstapels an einem Proxi einer zweiten Stufe unter Benutzung eines verschlüsselten Kommunikationskanals, wobei die WDP Schicht in einem Proxi einer ersten Stufe auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems angeordnet ist und die andere Schicht des WAP Protokollstapels in einem Proxi einer zweiten Stufe auf einer zweiten Seite des Zugangsschutzsystems angeordnet ist.
  2. Das Verfahren nach Anspruch 1, wobei der Schritt des Zugreifens ferner die folgenden Schritte umfasst: Bestimmen, ob eine Anforderung eine erste Anforderung von dem mobilen Endgerät an den Gateway ist; wenn die Anforderung die erste Anforderung von dem mobilen Endgerät an den Server ist, Anfordern einer Authentifizierung von dem mobilen Endgerät.
  3. Das Verfahren nach Anspruch 2, wobei, wenn die Anforderung eine nachfolgende Anforderung von dem mobilen Endgerät ist, das Verfahren ferner den Schritt umfasst: Zugreifen auf die WDP Schicht, um mit der ande ren Schicht des Protokollstapels ohne jegliche Authentifizierung zu kommunizieren.
  4. Das Verfahren nach Anspruch 2, wobei der Schritt des Anforderns ferner umfasst: Zurückgeben eines WML Decks an das mobile Endgerät.
  5. Das Verfahren nach Anspruch 2, wobei der Schritt des Zugreifens ferner umfasst: Genehmigen von durch das mobile Endgerät bereitgestellten Login-Daten.
  6. Das Verfahren nach Anspruch 1, wobei die andere Schicht eine WSP Schicht des Protokollstapels umfasst.
  7. Das Verfahren nach Anspruch 1, wobei der verschlüsselte Kommunikationskanal ein SSL/TLS-Tunnel ist.
  8. Ein WAP Gateway (30) umfassend: eine erste Verbindung mit einem ersten PLMN Netzwerk; eine zweite Verbindung mit einem zweiten privaten Netzwerk; gekennzeichnet durch eine der ersten Verbindung zugewiesenen Proxy (35) einer ersten Stufe und dadurch, dass auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems (37), die/das dem zweiten Netzwerk zugewiesen ist, der Proxy (35) der ersten Stufe eine WDP Schicht eines WAP Protokollstapels umfasst; einen der zweiten Verbindung zugewiesenen Proxy (40) einer zweiten Stufe und dadurch, dass auf einer zweiten Seite des Zugangsschutzsystems (37), das dem zweiten privaten Netzwerk zugewiesen ist, der Proxy (40) der zweiten Stufe einen Teil einer WSP Schicht des WAP Protokollstapels umfasst; und wobei die WDP Schicht des Proxys der ersten Stufe und die WSP Schicht des Proxys der zweiten Stufe unter Benut zung eines verschlüsselten Kommunikationskanals miteinander kommunizieren können.
  9. Der WAP Gateway (30) nach Anspruch 8, wobei die erste WDP Schicht in Antwort auf eine erste Anforderung von dem mobilen Endgerät ein WML Deck an ein mobiles Endgerät überträgt.
  10. Der WAP Gateway (30) nach Anspruch 9, wobei die WDP Schicht in Antwort auf das WML Deck von dem mobilen Endgerät empfangene Login-Daten bestätigt.
  11. Der WAP Gateway (30) nach Anspruch 8, wobei der verschlüsselte Kommunikationskanal ein SSL/TLS Tunnel ist.
  12. Der WAP Gateway (30) nach Anspruch 8, wobei der Proxy der ersten Stufe dazu ausgebildet ist, in Antwort auf eine erste Anforderung von dem mobilen Endgerät eine Authentifizierungsanforderung an ein mobiles Endgerät zu übertragen.
  13. Der WAP Gateway (30) nach Anspruch 12, wobei die Authentifizierungsanforderung ein WML Deck umfasst.
  14. Der WAP Gateway (30) nach Anspruch 12, wobei der Proxy der ersten Stufe dazu ausgebildet ist, in Antwort auf die Authentifizierungsanforderung von dem mobilen Endgerät empfangene Login-Daten zu bestätigen.
DE60130899T 2000-08-31 2001-07-06 Wap-sitzung tunneling Expired - Lifetime DE60130899T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/652,421 US6836474B1 (en) 2000-08-31 2000-08-31 WAP session tunneling
US652421 2000-08-31
PCT/SE2001/001592 WO2002019659A2 (en) 2000-08-31 2001-07-06 Wap session tunneling

Publications (2)

Publication Number Publication Date
DE60130899D1 DE60130899D1 (de) 2007-11-22
DE60130899T2 true DE60130899T2 (de) 2008-07-17

Family

ID=24616773

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60130899T Expired - Lifetime DE60130899T2 (de) 2000-08-31 2001-07-06 Wap-sitzung tunneling

Country Status (8)

Country Link
US (1) US6836474B1 (de)
EP (1) EP1314291B1 (de)
JP (1) JP3854224B2 (de)
AT (1) ATE375669T1 (de)
AU (1) AU2001268015A1 (de)
DE (1) DE60130899T2 (de)
ES (1) ES2290148T3 (de)
WO (1) WO2002019659A2 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020193131A1 (en) * 2001-06-18 2002-12-19 International Business Machines Corporation Mobile wireless management of servers and other resources
US7047560B2 (en) * 2001-06-28 2006-05-16 Microsoft Corporation Credential authentication for mobile users
US7337229B2 (en) * 2001-11-08 2008-02-26 Telefonktiebolaget Lm Ericsson (Publ) Method and apparatus for authorizing internet transactions using the public land mobile network (PLMN)
US7373500B2 (en) * 2003-04-15 2008-05-13 Sun Microsystems, Inc. Secure network processing
GB2418110B (en) * 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
US7853242B2 (en) * 2004-12-20 2010-12-14 Research In Motion Limited Bypass routing to a mobile device
US20070198837A1 (en) * 2005-04-29 2007-08-23 Nokia Corporation Establishment of a secure communication
US20070165582A1 (en) * 2006-01-18 2007-07-19 Puneet Batta System and method for authenticating a wireless computing device
US8023479B2 (en) * 2006-03-02 2011-09-20 Tango Networks, Inc. Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
CN102264070B (zh) * 2010-05-25 2013-11-13 中国移动通信集团设计院有限公司 一种提供业务数据及执行访问业务的方法及设备
US9130935B2 (en) * 2011-05-05 2015-09-08 Good Technology Corporation System and method for providing access credentials
US8843738B2 (en) 2012-05-14 2014-09-23 Sierra Wireless, Inc. TLS abbreviated session identifier protocol

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE33034T1 (de) 1982-09-14 1988-04-15 Reed Int Plc Farbzusammensetzung.
US6061346A (en) 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
DE19742681C2 (de) * 1997-09-26 2003-03-06 Ericsson Telefon Ab L M GPRS-Teilnehmerauswahl von mehreren Internet-Dienstanbietern
US6463475B1 (en) * 1997-09-26 2002-10-08 3Com Corporation Method and device for tunnel switching
US6523068B1 (en) * 1999-08-27 2003-02-18 3Com Corporation Method for encapsulating and transmitting a message includes private and forwarding network addresses with payload to an end of a tunneling association
US6480717B1 (en) * 1999-09-28 2002-11-12 Motorola, Inc. Tunneling of non-GSM signaling messages in a GSM based network to enable both non-GSM circuit service and GSM packet service to the mobile station

Also Published As

Publication number Publication date
AU2001268015A1 (en) 2002-03-13
JP3854224B2 (ja) 2006-12-06
WO2002019659A3 (en) 2002-05-16
DE60130899D1 (de) 2007-11-22
US6836474B1 (en) 2004-12-28
WO2002019659A2 (en) 2002-03-07
EP1314291A2 (de) 2003-05-28
EP1314291B1 (de) 2007-10-10
ATE375669T1 (de) 2007-10-15
ES2290148T3 (es) 2008-02-16
JP2004507977A (ja) 2004-03-11

Similar Documents

Publication Publication Date Title
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60319791T2 (de) Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE60114220T2 (de) System und verfahren zur implementierung des verbesserten transportschicht-sicherheitsprotokolls
DE60100680T2 (de) Vorrichtung und Verfahren mit sicherem und öffentlichem Zugang
DE60026838T2 (de) Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60130899T2 (de) Wap-sitzung tunneling
DE60220718T2 (de) Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
DE69937954T2 (de) Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE10297362T5 (de) Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen
DE10142959A1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
EP2835946A1 (de) Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
DE10025271A1 (de) Verfahren zum Aufbau einer Verbindung zwischen einem Endgerät und einem bedienenden Mobilfunknetz, Mobilfunknetz und Endgerät dafür
DE102006007793B3 (de) Verfahren zum sicheren Erkennen des Endes einer Anwender-Sitzung
EP1829320A1 (de) Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE60115541T2 (de) Verfahren zur Beglaubigung eines tragbaren Endgerätes

Legal Events

Date Code Title Description
8364 No opposition during term of opposition