DE602004008293T2 - Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken - Google Patents

Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken Download PDF

Info

Publication number
DE602004008293T2
DE602004008293T2 DE602004008293T DE602004008293T DE602004008293T2 DE 602004008293 T2 DE602004008293 T2 DE 602004008293T2 DE 602004008293 T DE602004008293 T DE 602004008293T DE 602004008293 T DE602004008293 T DE 602004008293T DE 602004008293 T2 DE602004008293 T2 DE 602004008293T2
Authority
DE
Germany
Prior art keywords
network
address
server
imsi
msisdn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004008293T
Other languages
English (en)
Other versions
DE602004008293D1 (de
Inventor
Stephan Blicker
Matthias Britsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telekom Deutschland GmbH
Original Assignee
T Mobile Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by T Mobile Deutschland GmbH filed Critical T Mobile Deutschland GmbH
Publication of DE602004008293D1 publication Critical patent/DE602004008293D1/de
Application granted granted Critical
Publication of DE602004008293T2 publication Critical patent/DE602004008293T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1033Signalling gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren und ein System für die transparente Zugangsauthentifikation in mobilen 2G- und 2.5G-Zugangsnetzwerken. Dies schließt die Kommunikationsnetzwerke der Norm GSM, GPRS und UMTS mit ein, die Fachleuten sehr wohl bekannt sind.
  • Bei der Standardisierung eines universalen, mobilen Telekommunikationssystem (UMTS Rel. 5) sind umfassende Mittel vorgesehen, um die Authentifikation auf der Anwendungsschicht durchzuführen, ohne dass es erforderlich ist, mit den darunterliegenden Funk- und Transportnetzwerken untereinander zu arbeiten (interwork). Die Mechanismen basieren auf der Annahme, dass eine spezifische Umgebung für die Entwicklung von IP-Multimedia-Subsystemdienstleistungen (IMS) vorbereitet wird. Es schließt die Verwendung der IMS-SIM-Anwendung (ISIM) mit ein, die wiederum Rel. 99UICCs in den angeschlossenen Endgeräten benötigt, um die Authentifikation und die Schlüsselübereinkunft (key agreement) (AKA) zu handhaben. Bei der Entwicklung von IMS- und auf IMS basierenden Dienstleistungen in einer Netzwerkumgebung, die durch die Verwendung von SIM-Karten charakterisiert ist, wird der standardisierte Authentifikationsmechanismus nicht anwendbar sein.
  • In der technischen Spezifikation 3GPP TS 33.203, „Access Security for IP-based Services" (= Zugangssicherheit für auf IP basierenden Dienstleistungen), Ausgabe 5, V5.6.0, Juni 2003, XP-002264085, wird ein Verfahren für die transparente Zugangsauthentifikation von Teilnehmern offengelegt, die mit einem authentifizierenden Netzwerkbereich durch ein GPRS-Kern-Netzwerk oder ein UMTS-Netzwerk verbunden sind, wobei bei dem Verfahren Daten verwendet werden, die von einer Netzwerkschicht während der Einrichtung eines PDP-Kontextes in GPRS-Netzwerken assembliert wurden.
  • Es ist die Aufgabe der Erfindung, ein Verfahren und ein System für die transparente Zugangsauthentifikation bereitzustellen, die es ihr gestattet, bis zum Endgerät authentifikationstransparent zu laufen, ohne dass proprietäre Erweiterungen und Tätigkeiten seitens des Netzwerkes oder des Kunden erforderlich sind.
  • Das Aufgabe wird erreicht, indem ein Verfahren und ein System bereitgestellt werden, so wie dies in den unabhängigen Ansprüchen beschrieben ist.
  • Andere Merkmale, die für die Erfindung als charakteristisch betrachtet werden, sind in den abhängigen Ansprüchen niedergelegt.
  • Die vorliegende Erfindung beschreibt ein Verfahren für die Anwendungsschichtauthentifikation von Teilnehmern, die mit dem authentisierenden Netzwerkbereich durch ein 2G- oder 2.5G-General-Packet-Radio-Service-(GPRS)-Kern-Netzwerk oder ein 3G-UMTS-Netzwerk verbunden sind. Die Authentifikation wird auf Daten basieren, die durch die Netzwerkschicht während der Einrichtung eines PDP-Kontextes in GPRS-Netzwerken assembliert wurden. Diese Informationen werden durch die Standard-SIM-Kartenanwendung gesichert. Da dieselben Mechanismen für die Authentifikation in 3G-Netzwerken angewendet werden, ist der überdies beschriebene Mechanismus dort ebenfalls anwendbar. In keiner Weise wird irgendeine Norm während der Verwendung eines 2G- oder 2.5G-Netzwerkes berührt, weil bei der Norm keine Authentifikation auf der Anwendungsschicht vorgesehen ist. Für die UMTS-Rel. 5-Normen und folgende sieht die Norm bestimmte Verfahren vor. Die Anwendung des überdies beschriebenen Verfahrens würde möglich sein, obgleich der standardisierte Authentifikationsmechanismus ausgeschaltet werden muss. Das Ausschalten des standardisierten Authentifikationsmechanismusses könnte als normensensitiv ausgelegt werden, aber die nachfolgende Anwendung des überdies beschriebenen Mechanismusses wäre erneut normenwillfährig.
  • Weiterhin werden ein Migrationspfad zur UMTS-Rel. 5-standardisierten Authentifikation und das Konzept der parallelen Anwendung von beiden Mechanismen beschrieben.
  • Unter Bezugnahme auf die Zeichnungen wird die Erfindung jetzt in weiteren Einzelheiten beschrieben werden.
  • In 1 wird die allgemeine Konstruktion des Systems zur Durchführung der Erfindung wiedergegeben.
  • In 2 wird ein Ausführungsbeispiel der Erfindung mit Migration zur IMS-willfährigen Konstruktion wiedergegeben.
  • Unter Bezugnahme auf 1 und während der Einrichtung des PDP-Kontextes authentisiert der Serving-GPRS-Unterstützungsknoten(punkt) (SGSN) den Teilnehmer unter Verwendung des A3-/A8-Algorithmusses und basierend auf der SIM-Karte der Endgeräte bei einem GSM- und 2.5G- und EDGE-Zugangsnetzwerk.
  • Der Gateway-GPRS-Unterstützungsknoten 1 (GGSN) empfängt eine Anfrage zur Schaffung eines Kontextes und fragt einen Radius-(Registrierungs)-Server 2 (Remote Authentification Dial-In User Service = Fernauthentisierungseinwahl-Nutzerdienst) an, um eine IP-Adresse zu erhalten, die dem speziellen PDP-Kontext zugeordnet ist. Innerhalb des Kontextes erhält der Radius-Server 2 die MSISDN und/oder die IMSI des Teilnehmers. Somit ist in der Sessionsdatenbank 3 des Radius-Servers 2 für jeden PDP-Kontext ein Paar an IP-Adressen und IMSI/MSISDN gespeichert. Basierend auf dem Tunnelendpunkt ID (TEID) filtert der GGSN 1 alle Pakete, die durch den PDP-Kontext laufen, wenn er erst einmal eingerichtet worden ist, nach der richtigen IP-Quellenadresse (source address). Dies bedeutet, dass der GGSN 1 das Zueinanderpassen/Angleichen der TEID-/IP-Adressenpaare überprüft, um somit die Fälschung von Quellenadressen und ein so genanntes „IP spoofing" über den gesamten Lebensdauerzyklus des PDP-Kontextes zu verhindern. Der TEID identifiziert einen Tunnelendpunkt im eingehenden GTP-U-(GPRS-Tunnelprotokoll-Nutzer) oder GTP-C-Protokoll (GPRS-Tunnelprotokoll-Steuerung) eindeutig. Die empfangende Seite eines GTP-Tunnels ordnet den TEID-Wert für die zu verwendende Übermittlungsseite örtlich zu. Die TEID-Werte werden zwischen Tunnelendpunkten unter Verwendung von GTP-U-Nachrichten (oder RANAP [Radio Accress Network Application Part = Funkzugriffs-Netzwerk-Anwendungsteil]) im UTRAN (UMTS terrestrial Radio Access Network = erdgebundenes UMTS-Funkzugangsnetzwerk) ausgetauscht. Im Anwendungsbereich besteht eine Teilnehmerdatenbank 4, die alle PubIDs speichert, die der Teilnehmer in dem Bereich unter Bezugnahme auf seine PrivID, die in dem entsprechenden Anwendungsbereich einzigartig ist, verwendet. Die PrivID ist mit einer MSISDN und/oder einer IMSI korreliert.
  • Zu Anmeldezwecken nennt der Nutzer in der Anfrage seine PrivID. Bei Erhalt der Anmeldeanfrage fragt der Registrierungs-Proxy (registration proxy) 5 die Teilnehmerdatenbank 4 an, die die IDs des Teilnehmers (sowohl öffentlich als auch privat) zusammen mit der MSISDN/IMSI enthält. Diese Daten werden in einer Tabelle auf der Plattform der Proxy Anmeldestelle gespeichert. Anschließend fragt der Proxy Server 5 die Sessionsdatenbank 3 des Radius-Servers 2 an, um die zugeordnete IP-Adresse jener Session und die IMSI/MSISDN zu erhalten, die bereits vom Heimatstandortregister (Home Location Register [HLR]) des Netzwerkes authentisiert wurden.
  • Die Authentikation des HLR garantiert weiterhin, dass die IP-Adresse ebenfalls als authentisiert betrachtet werden kann. Diese Informationen werden ebenfalls in der Liste der Plattform des Proxyn Servers gespeichert.
  • Gemäß der Erfindung beginnt der Proxy-Server nun mit dem Authentifikationsverfahren.
  • Zunächst einmal prüft der Proxy-Server 5 die IMSI/MSISDN von der Radius-Server-Datenbank 3 und der Anwendungsbereichsdatenbank 4, ob sie zusammenpassen. Wenn die Paare nicht zusammenpassen, hat der Teilnehmer versucht, sich mit einer falschen PrivID zu registrieren, die mit seiner IMSI/MSISDN nicht in Wechselbeziehung steht; wenn die Paare zusammenpassen, wird der nächste Schritt durchgeführt.
  • Der zweite Schritt beinhaltet die Prüfung der Teilnehmer-IP-Adresse in der IP-Netzwerkschicht, d. h. im IP-Paket-Overhead-Bereich nach der Quellenadresse, ob diese mit der IP-Adresse zusammenpasst, die vom Radius-Server 3 zugeordnet wurde. Da die IP-Adresse einer IMSI-/MSISDN-authentisierten Session zugeordnet wurde, kann die IP-Adresse ebenfalls als authentisiert betrachtet werden.
  • Wenn die Paare nicht zusammenpassen, hat der Teilnehmer eine falsche IP-Adresse verwendet; wenn die Paare zusammenpassen, wird der nächste Schritt durchgeführt.
  • Der Proxy-Server 5 analysiert die Anwendungsschicht auf IP-Adressen, die beispielsweise in den Köpfen der SIP-Anmeldenachrichten, den SDP-Nachrichteninhalten usw. angegeben sind, und er prüft, ob sie mit der IP-Adresse zusammenpasst, die bereits überprüft worden ist, ob sie mit der IP-Adresse zusammenpasst, die vom Radius-Server 2 zugeordnet wurde. Wenn die Paare nicht zusammenpassen, hat der Teilnehmer eine falsche Kennzeicheninformation verwendet, z. B. Antwortadressen usw. Wenn die Paare zusammenpassen, kann der Sessionsaufbau (session setup) als authentisiert betrachtet werden.
  • Bei allen nachfolgend beim Proxy-Server 5 eingehenden Nachrichten prüft er nach der Quellenadresse, ob die IP-Adresse im IP-Paket-Overhead-Bereich mit jener in den Headern des Anwendungsschichtprotokolls angegebenen zusammenpasst, und er prüft die zusammenpassenden Paare gegenüber der IP-Adresse, die vom Radius-Server 2 zugeordnet wurde.
  • Wenn PubIDs in der folgenden Session verwendet werden, werden die PubIDs gegenüber der PrivID überprüft, die in einer Tabelle der Plattform des Proxy-Servers gespeichert war, nachdem die Anwendungsbereichsdatenbank 4 abgefragt wurde.
  • Die beschriebene Funktion gibt dem Netzwerkbetreiber die Möglichkeit, die Authentisierungstransparenz bis zum Endgerät auszuführen, ohne dass proprietäre Erweiterungen und Funktionen seitens des Netzwerkes oder des Kunden erforderlich sind. Bei einer SIP-basierender Kennzeichnung sind Migration zu den vollständig willfährigen UMTS-Rel. 5-Mechanismen und eine Strategie zum Parallelbetrieb erforderlich, was jetzt beschrieben wird.
  • Da der IMS-Bereich, so wie er für UMTS Rel. 5 standardisiert wurde, seinen eigenen Authentisierungsmechanismus enthalten wird, ist es notwendig, ein Szenarium zu unterstützen, bei dem die Teilnehmer zu ISIM-fähigen Endgeräten überwechseln. Um den Vorteil des standardisierten Authentisierungsmechanismus auszunutzen, müssen beide Mechanismen parallel zueinander unterstützt werden. Dies geschieht durch eine zusätzliche Funktion, die jede eingehende Kennzeichnungsnachricht zunächst auf das Protokoll hin überprüft; wenn es irgendein anderes Protokoll als das SIP-Protokoll ist, wird die Session an den Proxy-Server 5 geleitet.
  • Unter Bezugnahme auf 2 wird dieselbe Leitentscheidung getroffen, wenn die Nachricht auf SIP basiert, aber der Kunde die standardisierte UMTS-Rel. 5-Authentisierung nicht unterstützt. Wenn der Kunde das standardisierte Authentisierungsverfahren unterstützt, z. B. er ist ISIM-fähig, wird die Nachricht an die standardkonforme Proxy Call State Control Function (P-CSCF) geleitet. Der erste Trigger für Wegeleitentscheidunguen ist die Protokollart, so wie er oben beschrieben ist.
  • Weiterhin könnten der Schlüsselaustauschmechanismus (key exchange mechanism), der für den Aufbau der sicheren Verbindung zwischen UE und P-CSCF (wenn das Endgerät mit dem Schlüsselvergleich [key agreement] beginnt, kann es als standardkonform betrachtet werden, und die Anfrage wird an die P-CSCF geleitet) verwendet wurde oder andere Elemente, die im Kopf des UMTS Rel. 5 angegeben sind, sowie irgendein privater Nebenanschluss getriggert werden, was möglich, jedoch nicht notwendig ist. Wenn Triggerpunkte, die bei der Kennzeichnung verfügbar sind, unzureichend sind, können ebenfalls Datenbankverweise für Basisleitentscheidungen verwendet werden.
  • Das Authentisierungsverfahren sieht wie folgt aus:
    Zunächst einmal wird eine Entscheidung benötigt, durch welchen Knoten(punkt) P-CSCF 6 oder der Proxy-Server 5 das Register geroutet werden soll.
  • Hierfür wird ein Routingmodul 7 bereitgestellt, das der Standardeingangspunkt für alle Nachrichten sein wird. Durch Analyse der PrivID wird das Routingmodul 7 entscheiden, welcher Knoten(punkt) die Nachricht verarbeiten wird. Innerhalb des Bereichsteils des Netzwerkzugangsidentifizierers (NAI) – siehe 3GPP-Spezifikation 23.228 – bezieht sich das Routingmodul 7 auf Unterbereiche (z. B. user@gprs.tmo.de und user@tmc.umts.de). Dies macht es erforderlich, dass Netzwerkzugangsidentifizierer Unterbereiche für 3G-Teilnehmer bereitstellen müssen.
  • Das Routingmodul 7 wird durch alleinige Verwendung des PrivID einen Leiteingang festlegen, und die nachfolgenden Nachrichten werden durch die IP-Quellenadresse, die in der Leittabelle aufgeführt ist, identifiziert werden. Das Routingmodul 7 identifiziert die verantwortliche Proxy-Funktion, d. h. den Proxy-Server 5 oder die P-CSCF 6, durch die Analyse des PrivID (URIs-Unterbereiche). Dieser stellt die Anfrage an IMSI/MSISDN und URIs, die nach dieser Funktion auszuwählen sind.
  • In dem Fall, dass abgesehen vom SIP andere Protokolle, so wie beispielsweise SAMTP, HTTP, SOAP (NET) usw., angewendet werden sollen, muss der Proxy-Server 5 erweitert werden und die Teilnehmer durch Verwendung der IP-Adresse authentisieren, danach die IMSI/MSISDN auflösen/zerlegen und den entsprechenden Identifizierer des Protokolls angleichen, der im Teilnehmerprofil der Teilnehmerdatenbank 4 gespeichert ist. Dies verlangt nach der Besetzung des Teilnehmerprofils mit den erforderlichen Datenelementen und der Erweiterung des Routingmoduls, um protokollabhängiges Leiten zu ermöglichen.
  • In dem Fall, dass separate Zugangsnetzwerke verwendet werden, muss die Anwendungsplattform wissen, welche Art von Zugangsnetzwerk verwendet wird, um die Bereitstellung der Dienstleistung entsprechend anzupassen. Dies verlangt danach, dass gegenüber dem SGSN eine Änderungsanfrage erfolgen muss, um es dem SGSN zu ermöglichen, den Zugangstyp dem SGGN mitzuteilen, das ihn in die Radius-Anfrage einbeschließt, und somit wird der Zugangsnetzwerktyp in der Sessionsdatenbank 3 verfügbar sein. Dies ermöglicht allen Anwendungen, den Zugangsnetzwerktyp anzufragen und zu verwenden, z. B. hinsichtlich der Qualität der Dienstleistungsmittel (QoS).
  • Abkürzungen
    • 2.5.G
      Generation 2,5 (z. B. GPRS, EDGE)
      2G
      zweite Generation (z. B. GSM)
      3G
      dritte Generation (z. B. UMTS)
      AKA
      Authentisierungs- und Schlüsselübereinkunft (Authentication and key arrangement)
      CC
      leitungsvermittelt (circuit switched)
      IMS
      IP-Multimedia-Subsystem
      IMSI
      internationale Identität des mobilen Teilnehmers (International Mobile Subscriber Identity)
      ISIM
      IMS-SIM
      MSISDN
      ISDN-Nummer der mobilen Station (Mobile Station ISDN number)
      NAI
      Netzwerkzugangsidentifizierer (network access identifier(
      P-CSCF
      Proxy-Call-State-Control-Function
      SIM (card)
      (GSM) Teilnehmer-Identitätsmodul(-karte)
      SIP
      Sessionsinitiierungsprotokoll (session initiation protocol)
      TEID
      Tunnelendpunkt-ID (Tunnel Endpoint ID)
      UE
      Nutzerendgerät (User Equipment)
      UICC
      UMTS-IC-Karte
      UMTS
      universales, mobiles Telekommunikationssystem
      URI
      einheitlicher Resourcenanzeiger (uniform ressource locator)

Claims (11)

  1. Ein Verfahren für die transparente Zugriffsberechtigung von Teilnehmern, die durch ein GPRS-Kernnetzwerk oder ein UMTS-Netzwerk mit einem Berechtigungsnetzwerkbereich verbunden sind, wobei bei dem Verfahren Daten verwendet werden, die während der Erstellung eines PDP-Kontextes in GPRS-Netzwerken durch eine Netzwerkschicht assembliert werden, wobei – wenn ein Netzkoppler-GPRS-Stützknoten (1) eine Kontexterzeugungsanfrage erhält – er einen Registrierungs-Server (2) abfragt, um eine IP-Adresse zu erhalten, die dem besonderen PDP-Kontext zugeordnet ist, und innerhalb des Kontextes erhält der Registrierungs-Server (2) eine ISDN-Nummer einer mobilen Station -MSISDN- und/oder eine internationale mobile Teilnehmeridentität – IMSI – des Teilnehmers und speichert für jeden PDP-Kontext ein Paar einer IP-Adresse und einer IMSI/MSISDN in einer Sessionsdatenbank (3), und dass ein Ersatz-Server (proxy server) (5) vorgesehen ist, der die IMSI/MSISDN von einem Registrierungs-Server (2), einer Sessionsdatenbank (3) und die IMSI/MSISDN von einer Anwendungsbereichsdatenbank (4) zwecks Übereinstimmung überprüft, und dass – wenn die IMSI-/MSISDN-Paare übereinstimmen – der Ersatz-Server (proxy server) (5) die IP-Adresse eines Teilnehmers, die in der IP-Netzwerkschicht zugeordnet wurde, zwecks Übereinstimmung mit der IP-Adresse, die vom Registrierungs-Server (2) zugeordnet wurde, überprüft, und dass der Ersatz-Server (proxy server) (5) die Anwendungsschicht für IP-Adressen analysiert, die in den Kopfsätzen der Registrierungsnachrichten angegeben sind und sie zwecks Übereinstimmung mit der IP-Adresse der Netzwerkschicht überprüft, die bereits zwecks Übereinstimmung mit der IP-Adresse, die vom Registrierungs-Server (2) zugeordnet wurde, überprüft worden war.
  2. Ein Verfahren gemäß Anspruch 1, das den Schritt beinhaltet, dass ein Serving-GPRS-Stützknoten (SCSN) den Teilnehmer während der Erstellung des PDP- Kontextes unter Verwendung des A3-/A8-Algorithmusses auf der Grundlage einer Endgerät-SIM-Karte authentisiert.
  3. Ein Verfahren gemäß irgendeinem der vorangehenden Ansprüche, das den Schritt beinhaltet, dass es bei allen Folgenachrichten, die beim Ersatz-Server (proxy server) (5) eingehen, die Übereinstimmung der IP-Adresse im IP-Paket-Overhead-Speicherfeld für eine Ursprungsadresse mit der in den Anwendungsschichtprotokoll-Kopfsatzspeicherfeldern enthaltenen überprüft und die übereinstimmenden Paare gegenüber der IP-Adresse, die durch den Registrierungs-Server (2) zugeordnet wurde, verifiziert.
  4. Ein Verfahren gemäß irgendeinem der vorangehenden Ansprüche, dass ein Leitwegmodul (7) vorgesehen ist, das eine Standardeingangsstelle für alle Nachrichten ist und durch Auswertung der Private ID – PrivID – entscheidet, welcher Netzwerkknoten die Nachricht verarbeiten wird.
  5. Ein System von Geräten in einem mobilen Telekommunikationsnetzwerk, dadurch gekennzeichnet, dass mindestens ein erstes Authentisierungsgerät (2) über eine Datenleitung mit einem zweiten Gerät (5; 6) verbunden ist, das in Übereinstimmung mit dem in Anspruch 1 genannten Verfahren Daten assembliert.
  6. Ein System gemäß Anspruch 5, wobei das erste (1) Gerät einen Registrierungs-Server (2) beinhaltet.
  7. Ein System gemäß Anspruch 5 oder 6, wobei das erste (1) Gerät (2) mit einer Sessionsdatenbank (3) verbunden ist.
  8. Ein System gemäß irgendeinem der Ansprüche 5 bis 7, wobei das zweite Gerät einen Ersatz-Server (proxy server) (5) beinhaltet.
  9. Ein System gemäß irgendeinem der Ansprüche 5 bis 8, wobei das zweite Gerät eine Annäherungsanrufstatussteuerungsfunktion (proxy call state control function) (6) beinhaltet.
  10. Ein System gemäß irgendeinem der Ansprüche 5 bis 9, wobei das zweite Gerät (5; 6) mit einer Teilnehmerdatenbank (4) verbunden ist.
  11. Ein System gemäß irgendeinem der Ansprüche 5 bis 10, wobei ein Leitwegmodul (7) vorgesehen ist, das durch Auswertung der Private ID – PrivID – entscheidet, welches Netzwerk die Nachricht verarbeiten wird.
DE602004008293T 2003-07-31 2004-07-30 Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken Active DE602004008293T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP03017348 2003-07-31
EP03017348 2003-07-31
PCT/EP2004/008574 WO2005015875A1 (en) 2003-07-31 2004-07-30 Transparent access authentication in gprs core networks

Publications (2)

Publication Number Publication Date
DE602004008293D1 DE602004008293D1 (de) 2007-09-27
DE602004008293T2 true DE602004008293T2 (de) 2008-05-08

Family

ID=34130043

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004008293T Active DE602004008293T2 (de) 2003-07-31 2004-07-30 Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken

Country Status (10)

Country Link
US (1) US7770216B2 (de)
EP (1) EP1649661B1 (de)
CN (1) CN100589480C (de)
AT (1) ATE370602T1 (de)
CA (1) CA2532083C (de)
DE (1) DE602004008293T2 (de)
ES (1) ES2293316T3 (de)
PL (1) PL1649661T3 (de)
PT (1) PT1649661E (de)
WO (1) WO2005015875A1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2458295T3 (es) * 2004-11-10 2014-04-30 Telefonaktiebolaget Lm Ericsson (Publ) Disposición, nodos y método en relación con acceso a servicios sobre un sistema de comunicación
US20060174004A1 (en) * 2005-01-31 2006-08-03 Nokia Corporation System and method for optimizing access network authentication for high rate packet data session
US7685633B2 (en) * 2005-02-25 2010-03-23 Microsoft Corporation Providing consistent application aware firewall traversal
US20070055874A1 (en) * 2005-09-05 2007-03-08 Nokia Corporation Bundled subscriber authentication in next generation communication networks
EP1982543B1 (de) * 2006-02-10 2017-06-07 Telefonaktiebolaget LM Ericsson (publ) Überwachung der leistungsfähigkeit eines auf ort basierenden dienstes in einem mobiltelekommunikationsnetz
CN101018128A (zh) * 2006-02-10 2007-08-15 朗迅科技公司 向互联网协议多媒体子系统(ims)鉴权可移除的用户身份模块
EP1959629B1 (de) * 2007-02-13 2016-04-13 Vodafone GmbH Verfahren zur benutzerauthentifizierung für den zugang zu serverbasierten anwendungen von einer mobilen vorrichtung, gateway und identitätsverwaltungseinheit
US8036230B2 (en) * 2007-11-05 2011-10-11 Cisco Technology, Inc. System and method for providing single IP tunnel
CN101453399B (zh) * 2007-11-30 2012-07-04 华为技术有限公司 虚拟网络配置方法及系统
WO2013043129A1 (en) * 2011-09-22 2013-03-28 Goodwin Russel Stuart Network user identification and authentication
CN103166953B (zh) * 2012-12-03 2016-08-03 上海斐讯数据通信技术有限公司 一种网络安全系统及方法
CN108024248B (zh) * 2016-10-31 2022-11-08 中兴通讯股份有限公司 一种物联网平台的鉴权方法和装置
US11438168B2 (en) * 2018-04-05 2022-09-06 T-Mobile Usa, Inc. Authentication token request with referred application instance public key
WO2023094373A1 (en) * 2021-11-26 2023-06-01 Abb Schweiz Ag Method for device commissioning in a network system and network system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09271066A (ja) * 1996-03-29 1997-10-14 Sony Corp 通信方法,通信システム,通信端末及び通信管理装置
US6977917B2 (en) * 2000-03-10 2005-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a service network
AU2001213843A1 (en) 2000-10-09 2002-04-22 Nokia Corporation Method and system for establishing a connection between network elements
US6678517B2 (en) * 2001-06-21 2004-01-13 Spatial Wireless, Inc. Method and system for providing continuous voice and packet data services to a mobile station
US7574735B2 (en) * 2002-02-13 2009-08-11 Nokia Corporation Method and network element for providing secure access to a packet data network
DE10223248A1 (de) * 2002-05-22 2003-12-04 Siemens Ag Verfahren zum Registrieren eines Kommunikationsendgeräts
US7155526B2 (en) * 2002-06-19 2006-12-26 Azaire Networks, Inc. Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
DE10297809D2 (de) 2002-08-16 2005-07-07 Ag Siemens Verfahren zum Authentifizieren eines Nutzers eines Kommunikationsendgeräts beim Registrieren in einem und bei Nutzung von einem Dienstnetz
US6788676B2 (en) * 2002-10-30 2004-09-07 Nokia Corporation User equipment device enabled for SIP signalling to provide multimedia services with QoS
US7417979B2 (en) * 2003-01-11 2008-08-26 At&T Mobility Ii Llc Systems and methods for providing a home network conversion interface
US20040148416A1 (en) * 2003-01-29 2004-07-29 Jryki Aarnos Method and apparatus for messaging between a client of an sip-based network and a client of a wireless village network

Also Published As

Publication number Publication date
DE602004008293D1 (de) 2007-09-27
CA2532083C (en) 2012-02-07
US7770216B2 (en) 2010-08-03
CN1830191A (zh) 2006-09-06
EP1649661B1 (de) 2007-08-15
PT1649661E (pt) 2007-11-22
CN100589480C (zh) 2010-02-10
ATE370602T1 (de) 2007-09-15
WO2005015875A1 (en) 2005-02-17
PL1649661T3 (pl) 2008-01-31
US20060195898A1 (en) 2006-08-31
CA2532083A1 (en) 2005-02-17
ES2293316T3 (es) 2008-03-16
EP1649661A1 (de) 2006-04-26

Similar Documents

Publication Publication Date Title
DE60124087T2 (de) Verfahren zur überwachung von anrufen in einem ip-basierten netzwerk
DE60222874T2 (de) Trassierungsverfahren und -system
EP1365620B1 (de) Verfahren zum Registrieren eines Kommunikationsendgeräts in einem Dienstnetz (IMS)
DE602004009940T2 (de) Bereitstellung von multimediadiensten mittels eines leitungsvermittelnden trägers
EP1625767B1 (de) Multimediakomponentenerfassung in einem gprs übergangsunterstützungsknoten (ggsn)
DE60129821T2 (de) Gemeinsame gebührenerhebung kennung für kommunikationsnetze
EP1989853B1 (de) Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
DE602005005486T2 (de) Verfahren und system zur bereitstellung von information zugehöriger kommunikationssitzungen in hybriden telekommunikationsnetzwerken
DE60214250T2 (de) Informationsübermittlung an ein gesetzmässiges abfangsystem über das betreuende system des abfangziels
DE602004008293T2 (de) Transparente Zugangsauthentifikation in GPRS-Kern-Netzwerken
EP1512260A1 (de) Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wirelees lan (wlan)
DE69933286T2 (de) Telekommunikationssystem
WO2007025905A1 (de) Kommunikationssystem, vermittlungsknoten-rechner und verfahren zur bestimmung eines kontrollknotens
EP1673921B1 (de) Verfahren zur sicherung des datenverkehrs zwischen einem mobilfunknetz und einem ims-netz
EP2055087B1 (de) Verfahren zum weiterleiten von notfallnachrichten eines endgerätes in einem kommunikationsnetz
DE102006054091B4 (de) Bootstrapping-Verfahren
WO2002085041A2 (de) Verfahren zur durchführung von überwachungsmassnahmen und auskunftsersuchen in telekommunikations- und datennetzen
DE10025270A1 (de) Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem
DE10238928B4 (de) Verfahren zur Authentifizierung eines Nutzers eines Kommunikationsendgerätes bei Nutzung eines Dienstnetzes
EP1522202B1 (de) Erstellen von dienstevereinbarungen zur nutzung netzinterner funktionen von telekommunikationsnetzen
EP1776821A1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
EP1844619A1 (de) Mobilfunknetz, verfahren zum betreiben eines endgerätes in einem solchen und endgerät mit integrierten elektronischen schaltungsanordnungen zur speicherung von das endgerät identifizierenden parametern
DE102005014852A1 (de) Entscheidung zur Zuordnung und Ressourcenvergabe für mindestens einem Datenstrom und mindestens eine Nutzverbindung
WO2002047353A2 (de) Verfahren zur durchführung von überwachungsmassnahmen in telekommunikations und datennetzen mit beispielsweise ip-protokoll
WO2003036995A2 (de) Verfahren zur durchführung von augenblicklichem nachrichtenverkehr (instant messaging) mit paketvermittelten daten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition