-
Gebiet der Erfindung
-
Die
vorliegende Erfindung bezieht sich auf eine Authentifikation und
Autorisierung eines in ein oder in einem zu seinem Heimatnetzwerk
heterogenen fremden Netzwerk roamenden mobilen Endgeräts, und
insbesondere auf eine hierarchische Authentifikation und Autorisierung
von Endgeräten,
die in oder innerhalb von kabellosen Netzwerken, wie zum Beispiel
WLAN, GPRS und 3G Netzwerken roamen. Ganz besonders bezieht sich
die vorliegende Erfindung auf ein Verfahren, ein System und ein
jeweiliges Computerprogrammprodukt zum Realisieren solch einer hierarchischen
Authentifikation und Autorisierung.
-
Hintergrund der Erfindung
-
In
vergangenen Jahren hat sich die Kommunikationstechnologie bezüglich der
Anzahl von Nutzern und des Nutzungsumfangs von Telekommunikationsdiensten
durch die Nutzer weit ausgebreitet. Das führte auch zu einem Ansteigen
in der Anzahl von verschiedenen Technologien und technologischen
Konzepten, die sich in Verwendung befinden.
-
Zur
Zeit gibt es verschiedene Arten von kabellosen Netzwerken, die einen
Internetzugangsservice bereitstellen, wie zum Beispiel Wireless
Local Area Networks (WLAN), General Packet Radio Service (GPRS)
Netzwerke und Netzwerke der dritten Generation (3G). Bisher wurde
jedes dieser Netzwerke im Wesentlichen als ein einzelnes und individuelles
Netzwerk betrachtet. Dementsprechend waren Netzwerkfunktionen eines
einzelnen der Netzwerke nicht notwendigerweise kompatibel mit denen
von anderen der Netzwerke, und ein Zusammenarbeiten zwischen verschiedenen
Netzwerken war schwierig. Seit kurzem gibt es einen Trend, diese
heterogenen Netzwerke zu integrieren, um einen integrierten mobilen
Internetdienst bereitzustellen. Der Zweck eines solchen integrierten
Dienstes ist es, ein Zusammenarbeiten der Netzwerke bereitzustellen,
die an einem gemeinsamen Vorgang beteiligt sind, der von einem Nutzer,
einem Nutzerendgerät
und/oder einem der beteiligten Netzwerke initiiert wurde. Dadurch
soll es der Nutzer und/oder das Nutzerendgerät nicht einmal bemerken, dass
mehr als ein Netzwerk beteiligt sein könnte, und nur einen nahtlosen
Dienst erfahren, unabhängig
von der zugrundeliegenden Realisation.
-
Für das Folgende
wird ein Roamingszenario angenommen, in dem ein mobiles Endgerät mit sogenannten
Multimodeschnittstellen zum Verbinden mit heterogenen Netzwerken
zwischen verschiedenen Netzwerken roamt. Von Zeit zu Zeit schließt sich
das mobile Endgerät
an diese Netzwerke an und roamt zwischen ihnen. Deswegen ist es
notwendig, dass sich das mobile Endgerät in diesen Netzwerken authentifiziert
und autorisiert, um sich dem Netzwerk gegenüber zu identifizieren, und
um seine Berechtigung für
einen Zugang zu und/oder für
Dienste des jeweiligen Netzwerks zu erhalten. Dazu kann das mobile
Endgerät
Berechtigungsnachweise wie zum Beispiel Nutzername und Passwort
verwenden.
-
Bezüglich einer
Authentifikation und Autorisierung wird Bezug genommen auf ein IP
Netzwerk. Jedoch können
für den
Zweck der vorliegenden Erfindung andere paketbasierte Protokolle
oder sogar nichtpaketbasierte Protokolle anwendbar sein. Jeder Bezug
auf ein besonderes Protokoll dient daher nur als ein Beispiel.
-
Es
gibt verschiedene Authentifikations- und Autorisierungsprotokolle
und/oder Funktionen in IP-(Internetprotokoll)-basierten
Netzwerken und in einem zellulären
mobilen Kommunikationsnetzwerk. Zum Beispiel ist IEEE802.1x populär für WLAN Zugang,
während
GSM (Global System for Mobile Communication) und GPRS Netzwerke
ein Authentifizierungstripel zum Authentifizieren von mobilen Teilnehmern
verwenden, und wird eine Authentifizierungs- und Schlüsselvereinbarungsprozedur
(AKA) verwendet, um eine Authentifizierung in 3G Netzwerken zu erzielen.
Jedoch sind diese Protokolle jeweils reserviert für ein spezifisches
Netzwerk und sind nicht effizient für eine Verwendung in einer
integrierten Netzwerkumgebung.
-
Herkömmlich wird
ein spezialisiertes Netzwerk zum Durchführen solcher oben beschriebenen Funktionen
oberhalb des Kommunikationsnetzwerks gebaut und wird oft als AAA
(Autorisierung, Authentifikation und Abrechnung) Netzwerk bezeichnet.
Die so realisierten Funktionen wie Systemzugang und Datenbankabfragen
können
in spezifischen und separaten AAA Knoten stattfinden, aber in der
Praxis sind diese Knoten oft in den Knoten des darunterliegenden
Kommunikationsnetzwerks implementiert, was den Vorteil einer gemeinsamen
Nutzung von Hardware und dadurch reduzierte Kosten hat. Ungeachtet
der Hardwareanordnung bieten die AAA Knoten eine Funktionalität, die verschieden
ist von anderen Funktionalitäten.
Deswegen wird in der folgenden Beschreibung ein Knoten individuell
adressiert, solange er eine eindeutige Funktionalität unabhängig von
seiner physikalischen Anordnung oder Implementierung bereitstellt.
-
Die
Struktur eines AAA Netzwerks ist herkömmlicherweise in Einklang mit
der Struktur eines darunterliegenden Kommunikationsnetzwerks wie dem
Internet oder einem 3G Netzwerk. Genauer ist ein AAA Netzwerk, das
ein domänenbasiertes
Kommunikationsnetzwerk wie das Internet bedient, auch in einer domänenbasierten
Art organisiert.
-
Die
oben erwähnten
und verschiedene andere Netzwerke sind oft in einer hierarchischen
Art im Sinne eines Zugangssubnetzwerks und eines Kernsubnetzwerks
strukturiert. Selbst innerhalb eines solchen Subnetzwerks wird herkömmlicherweise
eine hierarchische Struktur angewendet. In GSM repräsentieren
zum Beispiel Basisstationen, Basisstationssteuerung und mobile Vermittlungsstellen
verschiedene Hierarchieebenen. Jedoch unterstützen derzeitige AAA Protokolle
wie zum Beispiel RADIUS nicht solch eine Hierarchie.
-
Wie
oben erwähnt,
entwickeln sich verschiedene Arten von Netzwerken und jeweiligen
Zugängen
und/oder Dienstbereitstellungstechnologien sehr schnell. Im Ergebnis
wird ein gemeinsames AAA System gebraucht, um jenen Netzwerkzugangsanbietern
zu helfen, verschiedene Arten von lokalen Kunden oder fremden Kunden
zu verwalten.
-
In
einem integrierten mobilen Internet (vergleiche 1)
hat ein mobiles Endgerät
MT eine Beziehung mit einem Heimat-AAA-Server AAAH in seinem Heimatnetzwerk,
bei dem es registriert ist, und der seine AAA (Authentifikation,
Autorisierung und Abrechnung)- Angelegenheiten
abwickelt. Wenn das mobile Endgerät versucht, Zugang zu einem
Netzwerk zu bekommen, das verschieden von seinem Heimatnetzwerk
ist und fremdes Netzwerk genannt wird, kümmert sich ein Netzwerkzugangsserver
NAS des fremden Netzwerks um den Netzwerkzugang des mobilen Endgeräts. Ein
Netzwerkszugangsserver steht in diesem Zusammenhang für ein Zugangs-/Anschlussnetzwerkelement,
wie zum Beispiel einen Zugangsrouter in IP Netzwerken, einem Basisstationssystem
in GPRS Netzwerken, einem Node B und einer Funknetzwerksteuerung
(RNC) in UMTS Netzwerken. Um das mobile Endgerät zu authentifizieren, wenn
es in ein oder in einem fremden Netzwerk und/oder einer fremden
Domäne
roamt, müssen
lokale AAA Server AAAL1, AAAL2 dieses Netzwerks und/oder dieser
Domäne
den Heimat-AAA-Server
AAAH des mobilen Endgeräts
jedes Mal abfragen, wenn das mobile Endgerät einen Roamingvorgang durchführt, d.
h. ein erstes Anschließen an
das fremde Netzwerk oder ein Handover zwischen verschiedenen Netzwerkelementen.
Dies liegt an der Tatsache, dass eine Identifikation eines mobilen
Endgeräts,
das in ein oder in einem fremden Netzwerk roamt, herkömmlich nur
durch den Heimat-AAA-Server
dieses Endgeräts
durchgeführt
werden kann.
-
Es
besteht das Problem, dass eine herkömmliche Prozedur für eine Authentifizierung
und Autorisierung für
ein mobiles Endgerät,
das in ein oder in einem fremden Netzwerk roamt, jedes Mal Informationsübertragungen
zwischen dem mobilen Endgerät,
dem/den beteiligten NAS(s), dem/den beteiligten AAAL(s) und dem
AAAH aufweist, wenn das mobile Endgerät einen anderen NAS für einen
Netzwerkzugang verwendet.
-
Weil
eine Verzögerungszeit
zwischen verschiedenen Netzwerken, d. h. zwischen einem lokalen
AAA Server AAAL in einem fremden Netzwerk und dem Heimat-AAA-Server
AAAH in einem Heimatnetzwerk eines mobilen Endgeräts ziemlich
lang ist, verursacht eine Prozedur wie die oben Beschriebene jedes
Mal eine signifikante Verzögerung
im Netzwerkzugang, wenn ein Endgerät/Nutzer einen Roamingvorgang
durchführt.
Das Problem ist sogar noch deutlicher, wenn ein Endgerät/Nutzer
oft zwischen heterogenen Netzwerken wechselt. Das kann insbesondere
in Netzwerken mit einer ziemlich kleinen Flächenabdeckung oder einer Vielzahl
von Domänen
mit einer relativ kleinen Flächenabdeckung der
Fall sein, zum Beispiel in WLAN Netzwerken. Ein Endgerät führt auch
häufig
Roamingvorgänge
zwischen verschiedenen Zugangspunkten und/oder Node B in einem Bereich
durch, in dem 3G und WLAN Netzwerke überlappen und einander ergänzen. Deswegen
wäre die
herkömmliche
Prozedur zum Authentifizieren und Autorisieren von roamenden Endgeräten ein
großes
Hindernis für
einen nahtlosen Kommunikationsdienst wie dem mobilen Internetdienst.
-
Weitere
herkömmliche
Techniken mit Bezug auf den obigen Satz von Problemen sind zum Beispiel
von den unten erwähnten
Dokumenten bekannt.
-
Die
US Patentanmeldung mit Publikationsnummer US-2001/0030952-Al bezieht sich zum Beispiel
auf einen mobilen Verwaltungsdienst für das H.323 Protokoll. Dort
gibt es keine Offenbarung oder auch nur Anzeige mit Bezug auf die
Existenz oder Verwendbarkeit von verschiedenen (heterogenen) Netzwerken
und/oder einem Roaming eines mobilen Endgeräts zwischen solchen. Daher
ist die Lehre dieses Dokuments nur anwendbar auf ein (homogenes) H.323
Kommunikationsnetzwerk. Ferner ist ein darin verwendeter H.323 Informationsregulator
konzeptionell nicht vergleichbar mit einem AAA Server und die dort
verwendete darunterliegende Netzwerkarchitektur ist konzeptionell
nicht vergleichbar mit der Netzwerkarchitektur (einschließlich Domänen, lokalen AAA
Servern und Zugangsservern), wie sie in den Präambeln der anhängenden
unabhängigen
Ansprüche
definiert ist.
-
In
dem Dokument "Wireless
LAN access network architecture for mobile operators", Juha Ala-Laurila
et al., IEEE Communications Magazine, November 2001, Seiten 82 bis
89, ist eine SIM-basierte Authentifizierung und Autorisierung in
der Kombination eines GSM/GPRS Netzwerks und eines Computernetzwerks
beschrieben. Die dort beschriebene Prozedur repräsentiert eine grundlegende
Authentifizierung und Autorisierung, die viel Verzögerung im
Netzwerk Handover verursacht. Ferner findet die dort beschriebene
Authentifizierung in nur einem der Netzwerke statt, d. h. in dem
GSM/GPRS Netzwerk, wie es von herkömmlichen Lösungen bekannt ist. Das andere
Netzwerk, d. h. das WLAN Netzwerk, stellt nur Funkzugang bereit,
und ist nicht an der eigentlichen Authentifizierungsprozedur beteiligt.
-
Daher
stellt keines dieser Dokumente eine Lösung oder irgendwelche Hinweise
zu einer Lösung der
oben erwähnten
Probleme einschließlich
zum Beispiel einem Reduzieren einer Verzögerungszeit zwischen verschiedenen
Netzwerken oder einem Bereitstellen eines nahtlosen mobilen Kommunikationsdienstes
in einer heterogenen Netzwerkumgebung bereit.
-
Zusammenfassung der Erfindung
-
Dementsprechend
ist es eine Aufgabe der vorliegenden Erfindung, die obigen, einer
herkömmlichen
Authentifizierung und Autorisierung inhärenten Nachteile zu beseitigen,
und ein entsprechend verbessertes Verfahren, System und Computerprogrammprodukt
bereitzustellen.
-
Gemäß Ausführungsbeispielen
der vorliegenden Erfindung wird diese Aufgabe durch ein Verfahren
wie in Anspruch 1 definiert, durch ein System wie in Anspruch 13
definiert, und durch ein Computerprogrammprodukt wie in Anspruch
33 definiert gelöst.
-
Weitere
vorteilhafte Entwicklungen und Verfeinerungen gemäß Ausführungsbeispielen
der vorliegenden Erfindung sind in den jeweiligen hiermit angehängten abhängigen Ansprüchen dargelegt.
-
Es
ist ein Vorteil der vorliegenden Erfindung, dass eine optimierte
Netzwerkzugangseffizienz für ein
mobiles Endgerät
bereitgestellt wird, das zwischen heterogenen Netzwerken roamt.
-
Es
ist ein weiterer Vorteil der vorliegenden Erfindung, dass es ein
AAA System bereitstellt. Dadurch wird eine signifikant verbesserte
AAA Effizienz bereitgestellt.
-
Es
ist ein weiterer Vorteil der vorliegenden Erfindung, dass eine Roamingverzögerung in
AAA Prozeduren reduziert ist, und dass nahtlose/unverzögerte Roamings
durch eine Integration von derzeitigen Netzwerken bereitgestellt
werden.
-
Es
ist noch ein weiterer Vorteil der vorliegenden Erfindung, dass Authentifikation
und Autorisierungsprozeduren in einer hierarchischen Weise durchgeführt werden
können.
Es ist vorteilhaft, dass dadurch weniger Netzwerkelemente und weniger Schnittstellen
zwischen diesen beteiligt sind, wodurch weniger Netzwerklast erzeugt
wird. Ferner ist es vorteilhaft, dass solch eine Hierarchie in Übereinstimmung
mit verschiedenen Roamingtypen angeordnet werden kann.
-
Ferner
ist es ein Vorteil der vorliegenden Erfindung, dass sie in einer
existierenden AAA Architektur implementiert werden kann.
-
Es
ist noch ein weiterer Vorteil der Ausführungsbeispiele der vorliegenden
Erfindung, dass eine Authentifizierung und Autorisierung gemäß der vorliegenden
Erfindung in einem lokalen Bereich abgewickelt werden kann. Es ist
vorteilhaft, dass es dadurch unnötig
ist, den Heimat-AAA-Server jedes Mal abzufragen, wenn ein mobiles
Endgerät
zu einem anderen Netzwerkzugangsserver in einem fremden Netzwerk
bekommt.
-
Kurze Beschreibung der Zeichnungen
-
Im
Folgenden wird die vorliegende Erfindung im größeren Detail mit Bezug auf
die begleitenden Zeichnungen beschrieben, in denen
-
1 ein
hierarchisches System einer Authentifizierung und Autorisierung
gemäß einem
Ausführungsbeispiel
der Erfindung darstellt;
-
2 ein
Flussdiagramm einer Prozedur eines Verfahrens gemäß einem
Ausführungsbeispiel der
vorliegenden Erfindung darstellt; und
-
3 eine
schematische Struktur eines einzelnen Netzwerkelements und eines
mobilen Endgeräts
gemäß einem
Ausführungsbeispiel
der Erfindung zeigt.
-
Detaillierte
Beschreibung von Ausführungsbeispielen
der vorliegenden Erfindung Es soll bemerkt werden, dass die vorliegende
Erfindung mit einem spezifischen Fokus auf die Verwendung von AAA
Netzwerkelementen beschrieben ist. Dennoch ist die vorliegende Erfindung
nicht beschränkt
auf solche spezialisierte AAA Netzwerkelemente oder eine existierende
AAA Netzwerkinfrastruktur, sondern sie ist auf beliebige andere
Netzwerkelemente anwendbar, solange sie eine ähnliche Funktionalität wie die hierin
beschriebenen bereitstellen.
-
1 präsentiert
ein hierarchisches System für
eine Authentifizierung und Autorisierung gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung.
-
In 1 sind
zwei individuelle und heterogene Netzwerke beispielhaft illustriert.
Eines dieser Netzwerke ist als "Heimatnetzwerk", das von dem Mobilfunkbetreiber
2 betrieben wird, bezeichnet, wobei es als ein zelluläres mobiles
Kommunikationsnetzwerk wie ein GSM, GPRS oder 3G Netzwerk betrachtet
werden kann. Das andere Netzwerk ist als "Fremdes Netzwerk" bezeichnet, das von "I2 Betreiber 1" betrieben wird,
wobei es als ein IP basiertes Netzwerk oder irgendein anderes paketbasiertes Netzwerk
wie dem Internet angesehen werden kann. Es soll bemerkt werden,
dass beide illustrierte Netzwerke domänenbasierte Netzwerke darstellen,
d. h. Netzwerke, die in Domänen
oder Bereichen organisiert und verwaltet sind. Deswegen kann die
vorliegende Erfindung auch in einem beliebigen anderen domänenbasierten
Netzwerk als denen angewendet werden, die in 1 illustriert
sind und/oder oben erwähnt
wurden.
-
Das
Netzwerkelement, das in dem "Heimatnetzwerk" dargestellt ist,
zeigt einen Authentifikations- und Autorisationsheimatserver AAAH
dieses Netzwerks. Jedes mobile Endgerät MT, wie zum Beispiel das
eine illustrierte (dessen Mobilität durch unterbrochene Pfeile
dargestellt ist, die bis zum mobilen Endgerät reichen bzw. von ihm kommen),
das bei diesem Netzwerk registriert ist, d. h. für das das "Heimatnetzwerk" sein Heimatnetzwerk ist, wird durch diesen
Heimat-AAA-Server AAAH in Bezug auf Authentifikation, Autorisierung
und Abrechnungsangelegenheiten bedient. In einem zellulären Netzwerk kann
dieser Heimat-AAA-Server zum Beispiel ein Heimatteilnehmerserver
HSS oder ein Heimatlokalisierungsregister HLR sein.
-
Das
andere Netzwerk ist als "Fremdes
Netzwerk" bezeichnet,
weil es ein von dem Heimatnetzwerk des in Frage stehenden mobilen
Endgeräts
verschiedenes Netzwerk ist, zu dem oder in dem dieses mobile Endgerät roamt.
In diesem fremden Netzwerk mit einer Vielzahl von Domänen sind
zwei lokale AAA Server AAAL1, AAL2 für eine Authentifikation, Autorisierung
und Abrechnung illustriert, wobei jeder von ihnen in einer aus der
Vielzahl von Domänen
angeordnet ist. Jeder der lokalen AAA Server ist mit zumindest einem
Netzwerkzugangsserver NAS, altNAS, neuNAS1, neuNAS2 verbunden. In
diesem Zusammenhang steht ein Netzwerkzugangsserver für ein Zugangsnetzwerkelement
und ist so konfiguriert, dass er einen Zugang von mobilen Endgeräten abwickeln
kann, die in das oder in dem Netzwerk roamen. Solche Netzwerkzugangsserver
können
zum Beispiel Zugangsrouter in IP Netzwerken, Basisstationssysteme
in GPRS oder GSM Netzwerken, Node Bs und Funknetzwerksteuerungen
(RNC) in UMTS Netzwerken seien.
-
Gemäß der vorliegenden
Erfindung ist eine Authentifikation und Autorisation (zusammen abgekürzt mit
Auth) eines mobilen Endgeräts,
das in ein oder in einem fremden Netzwerk roamt, in verschiedene
Hierarchien entsprechend verschiedenen Roamingtypen eingeteilt.
Deswegen wird ein Roaming des mobilen Endgeräts erfasst, d. h. ein erstes
Anschließen
an ein Netzwerk oder ein Handover zwischen Netzwerkelementen wie
zum Beispiel dem Heimat-AAA-Server, dem lokalen AAA Server und den
Netzwerkszugangsservern, eine Kombination von beim Roaming beteiligten
Netzwerkelementen wird identifiziert und eine aus einer Vielzahl
von Authentifikations- und Autorisierungs-(Auth)-Prozeduren, die
durchzuführen
ist, wird basierend auf der identifizierten Kombination ausgewählt. Eine
Authentifikation und Autorisierung wird dann basierend auf der ausgesuchten
Prozedur durchgeführt.
Es ist jedoch nicht von besonderer Bedeutung für die vorliegende Erfindung,
wie solch ein Erfassen realisiert wird, oder ob das Roaming durch
das Mobilgerät oder
das Netzwerk ausgelöst
wird. Zum Erfassen eines Handovers kann zum Beispiel ein von GSM
oder GPRS bekanntes herkömmliches
Verfahren verwendet werden. Eine Identifizierung kann zum Beispiel auf
internen Nachrichten des Netzwerks und/oder einer Analyse von diesen
erfolgen, ein Auswählen kann
zum Beispiel durch eines der beteiligten Netzwerkelemente auf der
Basis eines erhaltenen Wissens durchgeführt werden.
-
Durch
das neue HAAR (hierarchische Authentifikation und Autorisierung)
genannte Auth-Verfahren
ist es möglich,
die Roamingverzögerung
zu reduzieren und die Effizienz von AA Protokollen zu verbessern,
insbesondere in einer Integration des mobilen Internets.
-
Das
hierarchische Auth-Verfahren HAAA wird durch ein Erzeugen und Zuweisen
einer lokalen Sicherheitsinformation an das roamende mobile Endgerät und ihr
Verteilen in der lokalen Netzwerkdomäne durchgeführt, wenn das mobile Endgerät durch den
jeweiligen lokalen AAA Server zum ersten Mal authentifiziert wird,
d. h. bei der Gelegenheit eines Anschließens an das fremde Netzwerk
oder bei der Gelegenheit eines Handovers zu einem anderen Netzwerkelement.
Das wird unten im größeren Detail erklärt.
-
Im
Folgenden sind vier Hierarchiestufen des Verfahrens gemäß der vorliegenden
Erfindung in größerem Detail
mit Bezug auf 1 beschrieben. In 1 ist
jede dieser Hierarchiestufen durch eines der Bezugszeichen I, II,
III oder IV bezeichnet. Jedes dieser Bezugszeichen bezeichnet die
jeweilige Schnittstelle, über
die relevante Authentifikationsinformation während der Prozedur gemäß der jeweiligen
Hierarchiestufe übertragen
wird.
-
ERSTE HIERARCHIESTUFE
-
Die
erste Hierarchiestufe (I) wird durchgeführt bei einem Inter-Netzwerk
und Inter-Domänenroaming
des mobilen Endgeräts
MT von seinem Heimat-AAA-Server AAAH zu einem lokalen AAA Server AAAL2
des fremden Netzwerks. Das passiert, wenn das mobile Endgerät ein fremdes
Netzwerk/Domäne das
erste Mal betritt, d. h. wenn das mobile Endgerät sich an das fremde Netzwerk
anschließt.
-
Man
bemerke, dass Anschließen
in diesem Zusammenhang einen ersten Zugang eines mobilen Endgeräts zu einem
von seinem Heimatnetzwerk verschiedenen Netzwerk bedeutet.
-
In
dieser Hierarchie können
aktuelle Authentifikations- und Autorisierungsprotokolle wiederverwendet
werden, aber verschiedene Modifikationen sind nötig. Eine entsprechend modifizierte
Auth-Prozedur könnte
wie folgt sein:
Nach einem Anschließen des mobilen Endgeräts MT an
das fremde Netzwerk werden die folgenden Schritte zusätzlich durchgeführt: Zuweisen
einer lokalen Kennung wie zum Beispiel einem lokalen Nutzername/Passwort,
lokaler Kennung und Schlüssel oder
lokalem Zertifikat an das mobile Endgerät MT durch den lokalen Server
AAAL2 in der Domäne,
von der aus sich das mobile Endgerät dem fremden Netzwerk anschließt; Definieren
und Erzeugen einer lokalen Sicherheitsinformation, die eine Bindung
einer Nutzerkennung des mobilen Endgeräts MT und der zugewiesenen
temporären
lokalen Kennung durch den lokalen Server AAAL2 repräsentiert;
Zuweisen der lokalen Sicherheitsinformation an das mobile Endgerät MT durch
den lokalen Server AAAL2. In diesem Zusammenhang schließt ein Zuweisen
ein Informieren des mobilen Endgeräts über die zugewiesene lokale
Sicherheitsinformation und/oder lokalen Kennung ein. Das mobile
Endgerät
verwendet die lokale Sicherheitsinformation für eine Authentifikation. Wenn
der lokale Nutzername/Kennung/Zertifikat authentifiziert/autorisiert
ist, ist die entsprechende reale Kennung authentifiziert/autorisiert.
-
Es
ist auch möglich,
dass eine Gültigkeitsdauer
für die
lokale Sicherheitsinformation definiert ist. Solch eine Lebensdauer
kann optional gemäß einer Richtlinie
des Heimatservers bezüglich
einer Autorisationsgültigkeitsdauer
und/oder einer lokalen Richtline bestimmt werden.
-
Der
Typ der lokalen Sicherheitsinformation ist vorzugsweise entsprechend
den derzeit verwendeten Auth-Verfahren.
Wenn zum Beispiel das mobile Endgerät eine Authentifikation basierend
auf Nutzername/Passwort verwendet, ist die lokale Sicherheitsinformation
auch ein lokaler Nutzername/Passwort, und wenn das mobile Endgerät eine Authentifikation
basierend auf einer ID/Schlüssel
verwendet, ist die lokale Sicherheitsinformation auch eine lokale ID/Schlüssel usw..
-
Weiter
fragt der Netzwerkzugangsserver NAS, der einen Zugang des mobilen
Endgeräts
MT zu dem fremden Netzwerk abwickelt, das mobile Endgerät MT nach
seiner Authentifikationsinformation oder Berechtigungsnachweisen.
Dies können zum
Beispiel Nutzername/Passwort, eine MD5 Prüfsumme oder EAP-(erweiterbares Authentifikationsprotokoll)-basierte
Daten sein. Dann antwortet das mobile Endgerät MT durch ein Übertragen
seiner Authentifikationsinformation oder Berechtigungsnachweise
an den fragenden Netzwerkzugangsserver NAS, und der Netzwerkzugangsserver
NAS leitet die empfangene Authentifikationsinformation an den lokalen
AAA Server AAAL2 weiter, mit dem er verbunden ist. Weil der lokale
AAA Server AAAL2 nicht über die
Kennung des mobilen Endgeräts
urteilen kann, weil das mobile Endgerät MT nicht zur lokalen Domäne des AAAL2
gehört,
d. h. nicht bei ihm registriert ist, fragt der lokale AAA Server
AAAL2 den Heimat-AAA-Server AAAH in dem Heimatnetzwerk des mobilen
Endgeräts
ab, um das mobile Endgerät
MT zu identifizieren. Nach Erhalt der Identifikation des mobilen
Endgeräts
von dem Heimatserver AAAH, d. h. nachdem der Heimatserver AAAH und
der lokale Server AAAL2 das mobile Endgerät authentifiziert haben, verteilt
der lokale Server AAAL2 die zugewiesene lokale Sicherheitsinformation
an das mobile Endgerät.
Nach einem Empfangen der lokalen Sicherheitsinformation von dem
lokalen AAA Server authentifiziert und autorisiert das mobile Endgerät außerdem seine
Kennung innerhalb der lokalen Domäne des fremden Netzwerks. Mit
anderen Worten verwendet die Durchführung eine Authentifizierung und
Autorisierung des mobilen Endgeräts
die lokale Sicherheitsinformation.
-
Ein
Verteilen der lokalen Sicherheitsinformation gemäß der Erfindung kann entweder
nichtvertraulich oder vertraulich erfolgen. Auch wenn eine nichtvertrauliche
(d. h. unzuverlässige)
Verteilung in Übereinstimmung
mit der Erfindung möglich
ist, ist die Verwendung einer vertraulichen Verteilung bevorzugt,
um die Verteilung davor zu schützen,
angegriffen zu werden, d. h. um ein Abhören oder ein Manipulieren der
lokalen Sicherheitsinformation zu vermeiden.
-
Der
Weg, die lokale Sicherheitsinformation vertraulich an das mobile
Endgerät
zu verteilen, sorgt für
eine Informationsintegrität
während
einer Prozedur der vorliegenden Erfindung. Der lokale Server AAAL2
verteilt die lokale Sicherheitsinformation an das mobile Endgerät über den
Netzwerkzugangsserver NAS. Weil der NAS eine vorkonfigurierte Sicherheitsverbindung
mit dem lokalen Server AAAL2 hat, ist es für den lokalen Server einfach
möglich,
die lokale Sicherheitsinformation vertraulich an den Netzwerkzugangsserver
NAS zu senden. Aber von dem Netzwerkzugangsserver an das mobile
Endgerät
ist eine vertrauliche Verteilung nicht so einfach. Im Detail gibt
es zwei Arten von Verfahren, um die lokale Sicherheitsinformation
in einer vertraulichen Art zu verteilen.
-
Die
erste Art kann verwendet werden in Authentifikationsverfahren, die
eine gegenseitige Authentifikation unterstützen, wie zum Beispiel PEAP (Geschütztes erweiterbares
Authentifikationsprotokoll) und EAP-TLS (Transportebenensicherheit
des erweiterbaren Authentifikationsprotokolls). Diese Verfahren
bilden oft einen sicheren Kanal zwischen dem Authentifikator (in
diesem Fall dem Netzwerkzugangsserver NAS) und dem Bittsteller (in
diesem Fall dem mobilen Endgerät
MT). Dadurch kann die lokale Sicherheitsinformation vertraulich
zwischen diesen transportiert werden.
-
Die
andere Art, die lokale Sicherheitsinformation an das mobile Endgerät zu verteilen,
ist in Authentikationsverfahren zu verwenden, die keinen sicheren
Kanal zwischen dem Netzwerkzugangsserver NAS und dem mobilen Endgerät MT bilden.
Dann wird eine Aufforderung zum Herausgeben eines vertraulichen
Verschlüsselungsschlüssels von
dem lokalen Server AAAL2 an den Heimatserver AAAH übertragen.
Solch ein Verschlüsselungsschlüssel wird
zum Beispiel durch den Heimatserver unter Verwendung zumindest der
Authentifikationsinformation des mobilen Endgeräts erzeugt, die mit der Anforderung
für den
Schlüssel übertragen
wurde. Zum Beispiel können
Hashfunktionen dafür
verwendet werden. Der Heimatserver AAAH schickt den vertraulichen
Verschlüsselungsschlüssel an
den lokalen Server AAAL2, und der lokale Server kann ihn verwenden,
um die lokale Sicherheitsinformation zu verschlüsseln, die dem mobilen Endgerät zugewiesen wurde.
Danach überträgt der lokale
Server die verschlüsselte
lokale Sicherheitsinformation an das mobile Endgerät, d. h.
er verteilt eine geheime Nachricht, nämlich die lokale Sicherheitsbindung,
unter Verwendung des Verschlüsselungsschlüssels, der durch
den Heimat-AAA-Server
erzeugt wurde, an das mobile Endgerät. Weil das mobile Endgerät auch in
der Lage ist, unter Verwendung von zumindest seiner eigenen Authentifikationsinformation
den vertraulichen Verschlüsselungsschlüssel zu
erzeugen, kann es die lokale Sicherheitsinformation entschlüsseln und
verifizieren.
-
Zum
Beispiel kann der Heimat-AAA-Server AAAH einen 128 Bitschlüssel als
den Verschlüsselungsschlüssel erzeugen,
wobei K1 = PRF (Berechtigungsnachweis, Passwort, Typ) und PRF für eine Pseudozufallsfunktion
steht, wie zum Beispiel einer Art von Hashfunktion, zum Beispiel
MD5. "Berechtigungsnachweis" ist die Auth-Antwort/-Information des
mobilen Endgeräts
auf die Anforderung des Netzwerkzugangsservers und sie ist unverbraucht, um
eine Unverbrauchtheit des Schlüssels
zu garantieren. "Passwort" ist das Passwort
des Nutzers. "Typ" ist ein Typ dieses
Schlüssels,
wie zum Beispiel Verschlüsselung,
Integrität,
usw.. Dadurch gleicht die verschlüsselte lokale Sicherheitsinformation
einer lokalen Sicherheitsinformation XOR K1. Das mobile Endgerät entschlüsselt sie
wie folgt, lokale Sicherheitsinformation: = verschlüsselte lokale
Sicherheitsinformation XOR K1 gleicht der lokalen Sicherheitsinformation
XOR K1 XOR K1. Man beachte, dass XOR für eine logische Exklusives-Oder
Operation steht.
-
Dieses
Verfahren kann bei aktuellen Protokollen wie zum Beispiel Diameter
eingeführt
werden.
-
Entsprechend
sind vier Netzwerkelemente in der Prozedur der ersten Hierarchiestufe
beteiligt, d. h. MT, NAS, AAAL2 und AAAH. Dadurch ist diese Prozedur
nicht zu schnell, insbesondere wegen der großen Verzögerung von Kommunikationen
zwischen den verschiedenen Netzwerken.
-
Deswegen
wird es vorgezogen, dass es unnötig
ist, den Heimat-AAA-Server jedes Mal abzufragen, wenn das mobile
Endgerät
ein Roaming in einem fremden Netzwerk durchführt. Dieses Ziel wird exemplarisch
durch die folgenden drei Hierarchiestufen erreicht. Diese basieren
auf der Information, deren Erzeugung und Verteilung bereits in Verbindung mit
der ersten Hierarchiestufe beschrieben wurde. Deswegen wird eine
Beschreibung der Erzeugung und Verteilung solcher Information im
Folgenden weggelassen.
-
ZWEITE HIERARCHIESTUFE
-
Die
zweite Hierarchiestufe (II) wird durchgeführt bei einem Intra-Netzwerk
und Inter-Domänenroaming/Handover
des mobilen Endgeräts
MT von einem ersten Netzwerkzugangsserver NAS, der mit einem ersten
lokalen AAA Server AAAL2 einer ersten Domäne des fremden Netzwerks verbunden
ist, zu einem zweiten Netzwerkzugangsserver altNAS, neuNAS1 oder
neuNAS2, der verbunden ist mit einem zweiten lokalen AAA Server
AAAL1 einer zweiten Domäne
des fremden Netzwerks.
-
In
dieser Hierarchiestufe bekommt der neue (zweite) lokale AAA Server
AAAL1 die lokale Sicherheitsinformation des mobilen Endgeräts MT von
dem alten (ersten) lokalen AAA Server AAAL2 durch Senden einer Anforderung
der lokalen Sicherheitsinformation des mobilen Endgeräts an den
AAAL2. Nach Empfangen der angeforderten lokalen Sicherheitsinformation
verwendet der neue lokale Server AAAL1 sie für eine Authentifikation und
Autorisierung des mobilen Endgeräts
in der lokalen Domäne.
-
Hier
sind genauso vier Netzelemente an der Auth-Prozedur beteiligt, d. h. MT, Netzwerkzugangsserver,
AAAL1 und AAAL2, wobei der neue Netzwerkzugangsserver altNAS, neuNAS1
oder neuNAS2 sein können.
Diese Auth-Prozedur
beseitigt jede Signalisierung zwischen lokalen Servern und dem Heimatserver
in dem Heimatnetzwerk und ist dadurch schneller als die Prozedur
nach der ersten Hierarchiestufe.
-
DRITTE HIERARCHIESTUFE
-
Die
dritte Hierarchiestufe (III) wird bei einem Intra-Domänenroaming/Handover
des mobilen Endgeräts
MT von einem ersten Netzwerkzugangsserver altNAS einer Domäne des fremden
Netzwerks zu einem zweiten Netzwerkzugangsserver neuNAS2 derselben
Domäne
durchgeführt.
-
In
dieser Hierarchiestufe bekommt der neue (zweite) Netzwerkzugangsserver
neuNAS2 die lokale Sicherheitsinformation des mobilen Endgeräts MT von
dem lokalen AAA Server AAAL1, mit dem sowohl der neue als auch der
alte Netzwerkzugangsserver (altNAS, neuNAS2) verbunden sind, durch
Senden einer Anforderung nach der lokalen Sicherheitsinformation
des mobilen Endgeräts
an den AAAL1. Nach Empfangen der angeforderten lokalen Sicherheitsinformation über eine
vorbestimmte gesicherte Verbindung zwischen diesen verwendet der
neue Netzwerkzugangsserver neuNAS2 sie für eine Authentifikation und
Autorisierung des mobilen Endgeräts
in der lokalen Domäne.
-
An
dieser Prozedur sind nur drei Netzelemente beteiligt, d. h. MT,
neuNAS2 und AAAL1. Diese Auth-Prozedur
beseitigt auch jede Signalisierung zwischen lokalen AAA Servern
und ist dadurch schneller als die Prozeduren nach den ersten und zweiten
Hierarchiestufen.
-
VIERTE HIERARCHIESTUFE
-
Die
vierte Hierarchiestufe (IV) wird auch durchgeführt bei einem Intra-Domänenroaming/Handover
des mobilen Endgeräts
MT von einem ersten Netzwerkzugangsserver altNAS einer Domäne des fremden
Netzwerks zu einem zweiten Netzwerkzugangsserver neuNAS1 derselben
Domäne,
aber in diesem Fall gehören
die beteiligten Netzwerkzugangsserver altNAS und neuNAS1 zu demselben Authentifikations-
und Autorisierungsbereich Auth-Bereich.
-
Ein
Authentifikations- und Autorisierungsbereich bezeichnet einen Bereich
in einer Domäne
eines Netzwerks, innerhalb dessen Netzwerkzugangsserver eine vorbestimmte
gesicherte Verbindung untereinander haben, über die sie Information in
einer vertraulichen Art gemeinsam benutzen. Mit anderen Worten ist
ein Authentifikations- und
Autorisierungsbereich ein Bereich, in dem Netzwerkzugangsserver untereinander
vertrauen können.
Solch ein Auth-Bereich ist in 1 durch
eine unterbrochene Linie in dem linken unteren Abschnitt des fremden
Netzwerks illustriert. Obwohl nur ein solches Bereich in 1 illustriert
ist, kann ein großes
Netzwerk aus mehreren solcher Authentifikations- und Autorisierungsbereichen
bestehen. Für
eine Kommunikation von Netzwerkzugangsservern in demselben Authentifikations-
und Autorisierungsbereich kann ein Übertragungsprotokoll angepasst
werden oder ein spezifisches Protokoll für gemeinsame AAA Informationsverwendung
kann entworfen werden.
-
In
dieser Hierarchiestufe bekommt der neue (zweite) Netzwerkzugangsserver
neuNAS1 die lokale Sicherheitsinformation des mobilen Endgeräts MT direkt
von dem alten (ersten) Netzwerkzugangsserver altNAS durch Senden
einer Anforderung nach der lokalen Sicherheitsinformation des mobilen
Endgeräts
an den altNAS. Nach Erhalten der angeforderten lokalen Sicherheitsinformation
verwendet der neue Netzwerkzugangsserver neuNAS1 sie für eine Authentifikation
und Autorisierung des mobilen Endgeräts in der lokalen Domäne.
-
Hier
sind ebenfalls nur drei Netzwerkelemente an der Prozedur beteiligt,
d. h. MT, altNAS und neuNAS1. Weil jedoch kein lokaler AAA Server
beteiligt ist, ist diese Auth-Prozedur noch schneller als die Prozeduren
nach den ersten, zweiten und dritten Hierarchiestufen.
-
In
diesem Zusammenhang soll bemerkt werden, dass die Prozedur der vierten
Hierarchie durch Netzwerkzugangsserver durchgeführt wird, die das Konzept von
Auth-Bereichen unterstützen,
und die in diesem Zusammenhang als tüchtig angesehen werden können.
-
2 stellt
ein Flussdiagramm einer Prozedur eines Verfahrens gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung dar, an dem ein Netzwerkzugangsserver
und ein mobiles Endgerät beteiligt
sind, wobei die Prozedur beim Roamen (d. h. einem Anschließen oder
Handover) des mobilen Endgeräts
durchgeführt
wird. Die illustrierte Prozedur dient dazu, zu entscheiden, ob eine
Authentifikation und Autorisierung basierend auf einer der Hierarchiestufen
I, II, III oder auf Hierarchiestufe IV durchzuführen ist, d. h. ob das Roamen
des mobilen Endgeräts innerhalb
eines Auth-Bereichs durchgeführt
wurde oder nicht.
-
Man
bemerke, dass ein mobiles Endgerät eine
Liste seiner gültigen
lokalen Sicherheitsinformation bzw. vorigen Netzwerkzugangsservern
in jedem Netzwerk halten soll. Es versteht sich, dass ein mobiles
Endgerät
auch eine Liste von lokaler Sicherheitsinformation für jedes
Netzwerk speichert, an das es angeschlossen war. Wenn das mobile
Endgerät
dann wieder ein Netzwerk betritt, das es bereits vorher betreten
hat, kann es die jeweilige lokale Sicherheitsinformation wieder
benutzen, solange diese lokale Sicherheitsinformation nicht in der
Zwischenzeit abgelaufen ist, d. h. eine Option einer Gültigkeitsdauer
der jeweiligen lokalen Sicherheitsinformation ist noch nicht abgelaufen.
-
Nach
einem Empfangen einer Zugangsanforderung von dem mobilen Endgerät MT sendet
der fragliche Netzwerkzugangsserver seine Kennung (zum Beispiel
NAI) an das mobile Endgerät
(S101). In Schritt S102 sucht das mobile Endgerät entsprechend der gerade empfangenen
NAS Kennung (NAS-ID) nach einer vorigen NAS-ID, die den Netzwerkzugangsserver
repräsentiert,
der früher
einen Zugang für
das mobile Endgerät
zu demselben oder einem anderen Netzwerk abgewickelt hat. Das mobile
Endgerät
MT gibt dann die geeignet ausgewählte NAS-ID
an das NAS zurück,
die zu der aktuell Empfangenen am besten passt. Der NAS empfängt in Schritt
S103 die von dem mobilen Endgerät
zurückgegebene
vorherige NAS-ID und entscheidet in Schritt S104, ob sich das mobile
Endgerät
immer noch in demselben Authentifikations- und Autorisierungsbereich
Auth-Bereich wie zuvor befindet, d. h. ob ein vorheriger NAS in
demselben Auth-Bereich ist oder nicht. Falls ein vorheriger NAS
in dem Auth-Bereich ist, initiiert der Netzwerkzugangsserver, dass
er die lokale Sicherheitsinformation/lokale Bindung von dem vorigen
Netzwerkzugangsserver bekommt (S106), was eine Auth-Prozedur der vierten
Hierarchiestufe ergibt. Andernfalls sendet der Netzwerkzugangsserver
eine Anforderung für
eine Authentifikation und Autorisierung des mobilen Endgeräts MT an den
verbundenen lokalen Server AAAL (S105), was eine Auth-Prozedur der
ersten, zweiten oder dritten Hierarchiestufe ergibt. Danach wird
eine Auth-Prozedur
gemäß der Entscheidung
von Schritt S104 durchgeführt,
und in Schritt S107 der Erfolg dieser Prozedur verifiziert.
-
Eine
Entscheidung gemäß Schritt
S104 kann zum Beispiel auf einer Netzwerkzugangsserverkennung (NAI)
wie zum Beispiel dem Basisstationskennungscode (BSIC) von GSM basieren.
In solch einem Identfizierer können
gewisse Biterweiterungen verwendet werden, um einen gewissen Netzwerkzugangsserver,
Authentifikations- und Autorisierungsbereich und/oder lokalen AAA
Server zu identifizieren. Eine Entscheidung kann auf der Basis solcher Bits,
die mit einer erhaltenen Information verglichen werden, gemäß der einen
in Schritt S104 getroffen werden.
-
Die
Erfindung der vorliegenden Anmeldung kann in jeder beliebigen AAA
Architektur implementiert werden wie zum Beispiel auf einer Clientseite, Netzwerkzugangsservern
und/oder AAA Servern.
-
Das
Verfahren gemäß der vorliegenden
Erfindung kann auch vorteilhaft mit anderen Lösungen für schnell reagierende und sichere
Roamings integriert werden.
-
3 zeigt
eine schematische Struktur von jeweiligen Netzwerkelementen und
einem mobilen Endgerät
gemäß einem
Ausführungsbeispiel
der Erfindung.
-
In 3 sind
die Einrichtungen, die die Netzwerkelemente und das mobile Endgerät gemäß der Erfindung
bilden, als Blöcke
illustriert. Gestrichelte Blöcke
illustrieren übergeordnete
Elemente, d. h. Netzwerkelemente AAAL1, AAAL2, AAAH, NAS, altNAS,
neuNAS1, neuNAS2 und das mobile Endgerät MT. Durchgezogene Linien
zwischen Blöcken
bezeichnen eine Schnittstelle, die in den meisten Fällen als
eine Schnittstelle auf der physikalischen Ebene für einen
Informationsaustausch verstanden wird. Gepunktete Linien zwischen
Blöcken
bezeichnen eine "virtuelle" Schnittstelle, d.
h. die dadurch verbundenen Blöcke
können
in dem anderen Block existierende und/oder erzeugte Information
verwenden, aber diese Information wird nicht notwendigerweise direkt
zwischen diesen übertragen.
-
Die
Funktionen der jeweiligen Elemente und Einrichtungen sind angepasst
an die Operationen, die oben in Verbindung mit dem Verfahren gemäß der Erfindung
beschrieben wurden. Weiter unten werden die Funktionen in größerem Detail
beschrieben.
-
In 3 ist
ein Authentifikations- und Autorisierungsprozessor (im Weiteren
abgekürzt
mit Auth-Prozessor)
in einem gemeinsamen Block mit einer Einrichtung zum Erfassen, Identifizieren
und Auswählen
gezeigt. Solch eine Anordnung ist jedoch nur als Beispiel gedacht,
und die Anordnung dieser Teile ist dadurch nicht beschränkt. Entsprechend
können diese
Teile (genauso wie alle anderen gezeigten Teile) auch in einer anderen
Konfiguration angeordnet werden.
-
Ein
System für
eine Authentifikation und Autorisierung eines mobilen Endgeräts, das
in ein oder in einem fremden Netzwerk roamt, weist gemäß der vorliegenden
Erfindung die oben erwähnten
Netzwerkelemente mit ihren oben beschriebenen Funktionen auf. Alle
solche Netzwerkelemente können
gemäß einer
Authentifikations- und Autorisierungsprozedur betrieben werden,
die basierend auf einer identifizierten Kombination von Netzwerkelementen
ausgewählt
werden kann, die an einem erfassbaren Roaming des mobilen Endgeräts beteiligt
sind, d. h. einem Anschließen
an das fremde Netzwerk oder einem Handover zwischen Netzwerkelementen.
Das System als solches weist bevorzugt eine Erfassungseinrichtung
zum Erfassen eines Roamings des mobilen Endgeräts, einen Identifizierer zum
Identifizieren einer Kombination von beteiligten Netzwerkelementen
und einen Auswähler
zum Auswählen
einer aus einer Vielzahl von Auth-Prozeduren auf, die basierend
auf der identifizierten Kombination von Netzwerkelementen durchzuführen ist.
Das System weist ferner bevorzugt eine Authentifikations- und Autorisierungseinrichtung
zum Durchführen
der ausgewählten Auth-Prozedur
auf.
-
Ein
lokaler AAA Server gemäß der vorliegenden
Erfindung weist bevorzugt eine Einrichtung zum Zuweisen einer temporären lokalen
Kennung an das mobile Endgerät
auf, wenn das mobile Endgerät
sich an das fremde Netzwerk anschließt, und zum Zuweisen einer
lokalen Sicherheitsinformation wie oben beschrieben an das mobile
Endgerät;
Definitions- und Erzeugungseinrichtung für die lokale Sicherheitsinformation;
Speicherungseinrichtung zum Speichern der temporären lokalen Kennung und der lokalen
Sicherheitsinformation; und Zuordnungseinrichtung zum Zuordnen der
lokalen Sicherheitsinformation zu einem realen Nutzerkonto. Ferner
kann ein lokaler AAA Server einen Sender/Empfänger zum Übertragen und/oder Empfangen
von Information zu und/oder von anderen lokalen Servern, Netzwerkzugangsservern,
die mit ihm verbunden werden können,
und einem Heimat-AAA-Server. Zusätzlich
kann er eine Verschlüsselungseinrichtung
zum Verschlüsseln
der lokalen Sicherheitsinformation eines mobilen Endgeräts aufweisen,
bevor sie zu ihm übertragen
wird, und eine Verteilungseinrichtung zum Verteilen der verschlüsselten
Information an das mobile Endgerät.
-
Ein
Heimat-AAA-Server gemäß der vorliegenden
Erfindung weist vorzugsweise eine Schlüsselerzeugungseinrichtung zum
Erzeugen eines Verschlüsselungsschlüssels für das mobile
Endgerät und
einen Sender/Empfänger
zum Empfangen und/oder Übertragen
von Information von und/oder zu einem lokalen AAA Server auf, die
das mobile Endgerät
betrifft.
-
Ein
Netzwerkzugangsserver gemäß der vorliegenden
Erfindung hat vorzugsweise eine Zugangseinrichtung zum Abwickeln
eines Zugangs eines mobilen Endgeräts zu einem Netzwerk, einen
Sender/Empfänger
zum Übertragen
und/oder Empfangen irgendeiner Art von Information zu und/oder von lokalen
AAA Servern, anderen Netzwerkzugangsservern und/oder mobilen Endgeräten, die
mit ihm verbunden sind. Ein Netzwerkzugangsserver der vorliegenden
Erfindung ist weiter angepasst, das Konzept von Authentifizierungs-
und Autorisierungsbereichen zu unterstützen, wie es oben beschrieben
wurde, und eine Authentifizierungstypentscheidung gemäß 2 zu
unterstützen.
-
Ein
mobiles Endgerät
gemäß der vorliegenden
Erfindung weist vorzugsweise einen Sender/Empfänger zum Übertragen und/oder Empfangen
irgendeiner Art von Information zu und/oder von einem Netzwerkzugangsserver
eines Netzwerks auf, an den das mobile Endgerät angeschlossen ist oder sich
anschließt.
Ferner kann das mobile Endgerät
der Erfindung eine Speicherungseinrichtung zum Halten einer Liste
von lokaler Sicherheitsinformation jeder Domäne und/oder Netzwerks aufweisen,
an die es angeschlossen war. Ferner kann es eine Schlüsselerzeugungseinrichtung
zum Erzeugen eines Verschlüsselungsschlüssels aufweisen,
die zumindest seine eigene Authentifikationsinformation verwendet, und
eine Entschlüsselungseinrichtung
zum Entschlüsseln
einer empfangenen verschlüsselten
Information.
-
Es
soll bemerkt werden, dass jede der oben erwähnten Einrichtungen in Hardware
und auch in Software implementiert sein kann. Wenn sie in Hardware
implementiert wird, kann jede beliebige geeignete Technologie oder
Technik benutzt werden, wie zum Beispiel digitales oder analoges
Signalprozessieren. Daher können
Implementierungen bipolare, MOS und/oder CMOS Transistoren genauso
aufweisen wie bekannte digitale Signalprozessoren. Wenn sie in Software
implementiert wird, kann eine beliebige geeignete Programmiersprache
benutzt werden, wie zum Beispiel C, C++, Assembler, usw..
-
Ein
Verfahren, System und Netzwerkelemente für eine Authentifizierung und
Autorisierung eines mobilen Endgeräts, das in ein oder in einem
von seinem Heimatnetzwerk verschiedenen fremden Netzwerk roamt,
wird bereitgestellt, wobei das Heimatnetzwerk einen Authentifikations-
und Autorisierungsheimatserver (AAAH) aufweist, und das fremde Netzwerk
eine Vielzahl von Domänen
aufweist, die jede zumindest einen lokalen Server (AAAL1, AAAL2)
für eine
Authentifikation, Autorisierung und Abrechnung aufweisen, wobei
jeder der lokalen Server mit zumindest einem Netzwerkzugangsserver (NAS)
zum Abwickeln eines Zugangs für
das mobile Endgerät
verbunden ist, die in das oder in dem fremden Netzwerk roamen, wobei
eine Authentifikation und Autorisierung des mobilen Endgeräts durchgeführt wird,
wann immer das mobile Endgerät
ein Roaming durchführt,
wobei die Authentifikation und Autorisierung gemäß einer Prozedur nach einer
aus einer Vielzahl von Hierarchiestufen durchgeführt wird, wobei eine Kombination
von Netzwerkelementen, die an dem Roaming beteiligt sind, die zu
benutzende Hierarchiestufe bestimmt.