DE602004011573T2 - Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken - Google Patents

Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken Download PDF

Info

Publication number
DE602004011573T2
DE602004011573T2 DE602004011573T DE602004011573T DE602004011573T2 DE 602004011573 T2 DE602004011573 T2 DE 602004011573T2 DE 602004011573 T DE602004011573 T DE 602004011573T DE 602004011573 T DE602004011573 T DE 602004011573T DE 602004011573 T2 DE602004011573 T2 DE 602004011573T2
Authority
DE
Germany
Prior art keywords
network
mobile terminal
local
authentication
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004011573T
Other languages
English (en)
Other versions
DE602004011573D1 (de
Inventor
Hong Haidian Dist ZHANG
Luliang Chaoyang Dist. JIANG
Dajiang Chaoyang ZHANG
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of DE602004011573D1 publication Critical patent/DE602004011573D1/de
Application granted granted Critical
Publication of DE602004011573T2 publication Critical patent/DE602004011573T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13095PIN / Access code, authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13096Digital apparatus individually associated with a subscriber line, digital line circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13098Mobile subscriber
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/1329Asynchronous transfer mode, ATM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13389LAN, internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf eine Authentifikation und Autorisierung eines in ein oder in einem zu seinem Heimatnetzwerk heterogenen fremden Netzwerk roamenden mobilen Endgeräts, und insbesondere auf eine hierarchische Authentifikation und Autorisierung von Endgeräten, die in oder innerhalb von kabellosen Netzwerken, wie zum Beispiel WLAN, GPRS und 3G Netzwerken roamen. Ganz besonders bezieht sich die vorliegende Erfindung auf ein Verfahren, ein System und ein jeweiliges Computerprogrammprodukt zum Realisieren solch einer hierarchischen Authentifikation und Autorisierung.
  • Hintergrund der Erfindung
  • In vergangenen Jahren hat sich die Kommunikationstechnologie bezüglich der Anzahl von Nutzern und des Nutzungsumfangs von Telekommunikationsdiensten durch die Nutzer weit ausgebreitet. Das führte auch zu einem Ansteigen in der Anzahl von verschiedenen Technologien und technologischen Konzepten, die sich in Verwendung befinden.
  • Zur Zeit gibt es verschiedene Arten von kabellosen Netzwerken, die einen Internetzugangsservice bereitstellen, wie zum Beispiel Wireless Local Area Networks (WLAN), General Packet Radio Service (GPRS) Netzwerke und Netzwerke der dritten Generation (3G). Bisher wurde jedes dieser Netzwerke im Wesentlichen als ein einzelnes und individuelles Netzwerk betrachtet. Dementsprechend waren Netzwerkfunktionen eines einzelnen der Netzwerke nicht notwendigerweise kompatibel mit denen von anderen der Netzwerke, und ein Zusammenarbeiten zwischen verschiedenen Netzwerken war schwierig. Seit kurzem gibt es einen Trend, diese heterogenen Netzwerke zu integrieren, um einen integrierten mobilen Internetdienst bereitzustellen. Der Zweck eines solchen integrierten Dienstes ist es, ein Zusammenarbeiten der Netzwerke bereitzustellen, die an einem gemeinsamen Vorgang beteiligt sind, der von einem Nutzer, einem Nutzerendgerät und/oder einem der beteiligten Netzwerke initiiert wurde. Dadurch soll es der Nutzer und/oder das Nutzerendgerät nicht einmal bemerken, dass mehr als ein Netzwerk beteiligt sein könnte, und nur einen nahtlosen Dienst erfahren, unabhängig von der zugrundeliegenden Realisation.
  • Für das Folgende wird ein Roamingszenario angenommen, in dem ein mobiles Endgerät mit sogenannten Multimodeschnittstellen zum Verbinden mit heterogenen Netzwerken zwischen verschiedenen Netzwerken roamt. Von Zeit zu Zeit schließt sich das mobile Endgerät an diese Netzwerke an und roamt zwischen ihnen. Deswegen ist es notwendig, dass sich das mobile Endgerät in diesen Netzwerken authentifiziert und autorisiert, um sich dem Netzwerk gegenüber zu identifizieren, und um seine Berechtigung für einen Zugang zu und/oder für Dienste des jeweiligen Netzwerks zu erhalten. Dazu kann das mobile Endgerät Berechtigungsnachweise wie zum Beispiel Nutzername und Passwort verwenden.
  • Bezüglich einer Authentifikation und Autorisierung wird Bezug genommen auf ein IP Netzwerk. Jedoch können für den Zweck der vorliegenden Erfindung andere paketbasierte Protokolle oder sogar nichtpaketbasierte Protokolle anwendbar sein. Jeder Bezug auf ein besonderes Protokoll dient daher nur als ein Beispiel.
  • Es gibt verschiedene Authentifikations- und Autorisierungsprotokolle und/oder Funktionen in IP-(Internetprotokoll)-basierten Netzwerken und in einem zellulären mobilen Kommunikationsnetzwerk. Zum Beispiel ist IEEE802.1x populär für WLAN Zugang, während GSM (Global System for Mobile Communication) und GPRS Netzwerke ein Authentifizierungstripel zum Authentifizieren von mobilen Teilnehmern verwenden, und wird eine Authentifizierungs- und Schlüsselvereinbarungsprozedur (AKA) verwendet, um eine Authentifizierung in 3G Netzwerken zu erzielen. Jedoch sind diese Protokolle jeweils reserviert für ein spezifisches Netzwerk und sind nicht effizient für eine Verwendung in einer integrierten Netzwerkumgebung.
  • Herkömmlich wird ein spezialisiertes Netzwerk zum Durchführen solcher oben beschriebenen Funktionen oberhalb des Kommunikationsnetzwerks gebaut und wird oft als AAA (Autorisierung, Authentifikation und Abrechnung) Netzwerk bezeichnet. Die so realisierten Funktionen wie Systemzugang und Datenbankabfragen können in spezifischen und separaten AAA Knoten stattfinden, aber in der Praxis sind diese Knoten oft in den Knoten des darunterliegenden Kommunikationsnetzwerks implementiert, was den Vorteil einer gemeinsamen Nutzung von Hardware und dadurch reduzierte Kosten hat. Ungeachtet der Hardwareanordnung bieten die AAA Knoten eine Funktionalität, die verschieden ist von anderen Funktionalitäten. Deswegen wird in der folgenden Beschreibung ein Knoten individuell adressiert, solange er eine eindeutige Funktionalität unabhängig von seiner physikalischen Anordnung oder Implementierung bereitstellt.
  • Die Struktur eines AAA Netzwerks ist herkömmlicherweise in Einklang mit der Struktur eines darunterliegenden Kommunikationsnetzwerks wie dem Internet oder einem 3G Netzwerk. Genauer ist ein AAA Netzwerk, das ein domänenbasiertes Kommunikationsnetzwerk wie das Internet bedient, auch in einer domänenbasierten Art organisiert.
  • Die oben erwähnten und verschiedene andere Netzwerke sind oft in einer hierarchischen Art im Sinne eines Zugangssubnetzwerks und eines Kernsubnetzwerks strukturiert. Selbst innerhalb eines solchen Subnetzwerks wird herkömmlicherweise eine hierarchische Struktur angewendet. In GSM repräsentieren zum Beispiel Basisstationen, Basisstationssteuerung und mobile Vermittlungsstellen verschiedene Hierarchieebenen. Jedoch unterstützen derzeitige AAA Protokolle wie zum Beispiel RADIUS nicht solch eine Hierarchie.
  • Wie oben erwähnt, entwickeln sich verschiedene Arten von Netzwerken und jeweiligen Zugängen und/oder Dienstbereitstellungstechnologien sehr schnell. Im Ergebnis wird ein gemeinsames AAA System gebraucht, um jenen Netzwerkzugangsanbietern zu helfen, verschiedene Arten von lokalen Kunden oder fremden Kunden zu verwalten.
  • In einem integrierten mobilen Internet (vergleiche 1) hat ein mobiles Endgerät MT eine Beziehung mit einem Heimat-AAA-Server AAAH in seinem Heimatnetzwerk, bei dem es registriert ist, und der seine AAA (Authentifikation, Autorisierung und Abrechnung)- Angelegenheiten abwickelt. Wenn das mobile Endgerät versucht, Zugang zu einem Netzwerk zu bekommen, das verschieden von seinem Heimatnetzwerk ist und fremdes Netzwerk genannt wird, kümmert sich ein Netzwerkzugangsserver NAS des fremden Netzwerks um den Netzwerkzugang des mobilen Endgeräts. Ein Netzwerkszugangsserver steht in diesem Zusammenhang für ein Zugangs-/Anschlussnetzwerkelement, wie zum Beispiel einen Zugangsrouter in IP Netzwerken, einem Basisstationssystem in GPRS Netzwerken, einem Node B und einer Funknetzwerksteuerung (RNC) in UMTS Netzwerken. Um das mobile Endgerät zu authentifizieren, wenn es in ein oder in einem fremden Netzwerk und/oder einer fremden Domäne roamt, müssen lokale AAA Server AAAL1, AAAL2 dieses Netzwerks und/oder dieser Domäne den Heimat-AAA-Server AAAH des mobilen Endgeräts jedes Mal abfragen, wenn das mobile Endgerät einen Roamingvorgang durchführt, d. h. ein erstes Anschließen an das fremde Netzwerk oder ein Handover zwischen verschiedenen Netzwerkelementen. Dies liegt an der Tatsache, dass eine Identifikation eines mobilen Endgeräts, das in ein oder in einem fremden Netzwerk roamt, herkömmlich nur durch den Heimat-AAA-Server dieses Endgeräts durchgeführt werden kann.
  • Es besteht das Problem, dass eine herkömmliche Prozedur für eine Authentifizierung und Autorisierung für ein mobiles Endgerät, das in ein oder in einem fremden Netzwerk roamt, jedes Mal Informationsübertragungen zwischen dem mobilen Endgerät, dem/den beteiligten NAS(s), dem/den beteiligten AAAL(s) und dem AAAH aufweist, wenn das mobile Endgerät einen anderen NAS für einen Netzwerkzugang verwendet.
  • Weil eine Verzögerungszeit zwischen verschiedenen Netzwerken, d. h. zwischen einem lokalen AAA Server AAAL in einem fremden Netzwerk und dem Heimat-AAA-Server AAAH in einem Heimatnetzwerk eines mobilen Endgeräts ziemlich lang ist, verursacht eine Prozedur wie die oben Beschriebene jedes Mal eine signifikante Verzögerung im Netzwerkzugang, wenn ein Endgerät/Nutzer einen Roamingvorgang durchführt. Das Problem ist sogar noch deutlicher, wenn ein Endgerät/Nutzer oft zwischen heterogenen Netzwerken wechselt. Das kann insbesondere in Netzwerken mit einer ziemlich kleinen Flächenabdeckung oder einer Vielzahl von Domänen mit einer relativ kleinen Flächenabdeckung der Fall sein, zum Beispiel in WLAN Netzwerken. Ein Endgerät führt auch häufig Roamingvorgänge zwischen verschiedenen Zugangspunkten und/oder Node B in einem Bereich durch, in dem 3G und WLAN Netzwerke überlappen und einander ergänzen. Deswegen wäre die herkömmliche Prozedur zum Authentifizieren und Autorisieren von roamenden Endgeräten ein großes Hindernis für einen nahtlosen Kommunikationsdienst wie dem mobilen Internetdienst.
  • Weitere herkömmliche Techniken mit Bezug auf den obigen Satz von Problemen sind zum Beispiel von den unten erwähnten Dokumenten bekannt.
  • Die US Patentanmeldung mit Publikationsnummer US-2001/0030952-Al bezieht sich zum Beispiel auf einen mobilen Verwaltungsdienst für das H.323 Protokoll. Dort gibt es keine Offenbarung oder auch nur Anzeige mit Bezug auf die Existenz oder Verwendbarkeit von verschiedenen (heterogenen) Netzwerken und/oder einem Roaming eines mobilen Endgeräts zwischen solchen. Daher ist die Lehre dieses Dokuments nur anwendbar auf ein (homogenes) H.323 Kommunikationsnetzwerk. Ferner ist ein darin verwendeter H.323 Informationsregulator konzeptionell nicht vergleichbar mit einem AAA Server und die dort verwendete darunterliegende Netzwerkarchitektur ist konzeptionell nicht vergleichbar mit der Netzwerkarchitektur (einschließlich Domänen, lokalen AAA Servern und Zugangsservern), wie sie in den Präambeln der anhängenden unabhängigen Ansprüche definiert ist.
  • In dem Dokument "Wireless LAN access network architecture for mobile operators", Juha Ala-Laurila et al., IEEE Communications Magazine, November 2001, Seiten 82 bis 89, ist eine SIM-basierte Authentifizierung und Autorisierung in der Kombination eines GSM/GPRS Netzwerks und eines Computernetzwerks beschrieben. Die dort beschriebene Prozedur repräsentiert eine grundlegende Authentifizierung und Autorisierung, die viel Verzögerung im Netzwerk Handover verursacht. Ferner findet die dort beschriebene Authentifizierung in nur einem der Netzwerke statt, d. h. in dem GSM/GPRS Netzwerk, wie es von herkömmlichen Lösungen bekannt ist. Das andere Netzwerk, d. h. das WLAN Netzwerk, stellt nur Funkzugang bereit, und ist nicht an der eigentlichen Authentifizierungsprozedur beteiligt.
  • Daher stellt keines dieser Dokumente eine Lösung oder irgendwelche Hinweise zu einer Lösung der oben erwähnten Probleme einschließlich zum Beispiel einem Reduzieren einer Verzögerungszeit zwischen verschiedenen Netzwerken oder einem Bereitstellen eines nahtlosen mobilen Kommunikationsdienstes in einer heterogenen Netzwerkumgebung bereit.
  • Zusammenfassung der Erfindung
  • Dementsprechend ist es eine Aufgabe der vorliegenden Erfindung, die obigen, einer herkömmlichen Authentifizierung und Autorisierung inhärenten Nachteile zu beseitigen, und ein entsprechend verbessertes Verfahren, System und Computerprogrammprodukt bereitzustellen.
  • Gemäß Ausführungsbeispielen der vorliegenden Erfindung wird diese Aufgabe durch ein Verfahren wie in Anspruch 1 definiert, durch ein System wie in Anspruch 13 definiert, und durch ein Computerprogrammprodukt wie in Anspruch 33 definiert gelöst.
  • Weitere vorteilhafte Entwicklungen und Verfeinerungen gemäß Ausführungsbeispielen der vorliegenden Erfindung sind in den jeweiligen hiermit angehängten abhängigen Ansprüchen dargelegt.
  • Es ist ein Vorteil der vorliegenden Erfindung, dass eine optimierte Netzwerkzugangseffizienz für ein mobiles Endgerät bereitgestellt wird, das zwischen heterogenen Netzwerken roamt.
  • Es ist ein weiterer Vorteil der vorliegenden Erfindung, dass es ein AAA System bereitstellt. Dadurch wird eine signifikant verbesserte AAA Effizienz bereitgestellt.
  • Es ist ein weiterer Vorteil der vorliegenden Erfindung, dass eine Roamingverzögerung in AAA Prozeduren reduziert ist, und dass nahtlose/unverzögerte Roamings durch eine Integration von derzeitigen Netzwerken bereitgestellt werden.
  • Es ist noch ein weiterer Vorteil der vorliegenden Erfindung, dass Authentifikation und Autorisierungsprozeduren in einer hierarchischen Weise durchgeführt werden können. Es ist vorteilhaft, dass dadurch weniger Netzwerkelemente und weniger Schnittstellen zwischen diesen beteiligt sind, wodurch weniger Netzwerklast erzeugt wird. Ferner ist es vorteilhaft, dass solch eine Hierarchie in Übereinstimmung mit verschiedenen Roamingtypen angeordnet werden kann.
  • Ferner ist es ein Vorteil der vorliegenden Erfindung, dass sie in einer existierenden AAA Architektur implementiert werden kann.
  • Es ist noch ein weiterer Vorteil der Ausführungsbeispiele der vorliegenden Erfindung, dass eine Authentifizierung und Autorisierung gemäß der vorliegenden Erfindung in einem lokalen Bereich abgewickelt werden kann. Es ist vorteilhaft, dass es dadurch unnötig ist, den Heimat-AAA-Server jedes Mal abzufragen, wenn ein mobiles Endgerät zu einem anderen Netzwerkzugangsserver in einem fremden Netzwerk bekommt.
  • Kurze Beschreibung der Zeichnungen
  • Im Folgenden wird die vorliegende Erfindung im größeren Detail mit Bezug auf die begleitenden Zeichnungen beschrieben, in denen
  • 1 ein hierarchisches System einer Authentifizierung und Autorisierung gemäß einem Ausführungsbeispiel der Erfindung darstellt;
  • 2 ein Flussdiagramm einer Prozedur eines Verfahrens gemäß einem Ausführungsbeispiel der vorliegenden Erfindung darstellt; und
  • 3 eine schematische Struktur eines einzelnen Netzwerkelements und eines mobilen Endgeräts gemäß einem Ausführungsbeispiel der Erfindung zeigt.
  • Detaillierte Beschreibung von Ausführungsbeispielen der vorliegenden Erfindung Es soll bemerkt werden, dass die vorliegende Erfindung mit einem spezifischen Fokus auf die Verwendung von AAA Netzwerkelementen beschrieben ist. Dennoch ist die vorliegende Erfindung nicht beschränkt auf solche spezialisierte AAA Netzwerkelemente oder eine existierende AAA Netzwerkinfrastruktur, sondern sie ist auf beliebige andere Netzwerkelemente anwendbar, solange sie eine ähnliche Funktionalität wie die hierin beschriebenen bereitstellen.
  • 1 präsentiert ein hierarchisches System für eine Authentifizierung und Autorisierung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • In 1 sind zwei individuelle und heterogene Netzwerke beispielhaft illustriert. Eines dieser Netzwerke ist als "Heimatnetzwerk", das von dem Mobilfunkbetreiber 2 betrieben wird, bezeichnet, wobei es als ein zelluläres mobiles Kommunikationsnetzwerk wie ein GSM, GPRS oder 3G Netzwerk betrachtet werden kann. Das andere Netzwerk ist als "Fremdes Netzwerk" bezeichnet, das von "I2 Betreiber 1" betrieben wird, wobei es als ein IP basiertes Netzwerk oder irgendein anderes paketbasiertes Netzwerk wie dem Internet angesehen werden kann. Es soll bemerkt werden, dass beide illustrierte Netzwerke domänenbasierte Netzwerke darstellen, d. h. Netzwerke, die in Domänen oder Bereichen organisiert und verwaltet sind. Deswegen kann die vorliegende Erfindung auch in einem beliebigen anderen domänenbasierten Netzwerk als denen angewendet werden, die in 1 illustriert sind und/oder oben erwähnt wurden.
  • Das Netzwerkelement, das in dem "Heimatnetzwerk" dargestellt ist, zeigt einen Authentifikations- und Autorisationsheimatserver AAAH dieses Netzwerks. Jedes mobile Endgerät MT, wie zum Beispiel das eine illustrierte (dessen Mobilität durch unterbrochene Pfeile dargestellt ist, die bis zum mobilen Endgerät reichen bzw. von ihm kommen), das bei diesem Netzwerk registriert ist, d. h. für das das "Heimatnetzwerk" sein Heimatnetzwerk ist, wird durch diesen Heimat-AAA-Server AAAH in Bezug auf Authentifikation, Autorisierung und Abrechnungsangelegenheiten bedient. In einem zellulären Netzwerk kann dieser Heimat-AAA-Server zum Beispiel ein Heimatteilnehmerserver HSS oder ein Heimatlokalisierungsregister HLR sein.
  • Das andere Netzwerk ist als "Fremdes Netzwerk" bezeichnet, weil es ein von dem Heimatnetzwerk des in Frage stehenden mobilen Endgeräts verschiedenes Netzwerk ist, zu dem oder in dem dieses mobile Endgerät roamt. In diesem fremden Netzwerk mit einer Vielzahl von Domänen sind zwei lokale AAA Server AAAL1, AAL2 für eine Authentifikation, Autorisierung und Abrechnung illustriert, wobei jeder von ihnen in einer aus der Vielzahl von Domänen angeordnet ist. Jeder der lokalen AAA Server ist mit zumindest einem Netzwerkzugangsserver NAS, altNAS, neuNAS1, neuNAS2 verbunden. In diesem Zusammenhang steht ein Netzwerkzugangsserver für ein Zugangsnetzwerkelement und ist so konfiguriert, dass er einen Zugang von mobilen Endgeräten abwickeln kann, die in das oder in dem Netzwerk roamen. Solche Netzwerkzugangsserver können zum Beispiel Zugangsrouter in IP Netzwerken, Basisstationssysteme in GPRS oder GSM Netzwerken, Node Bs und Funknetzwerksteuerungen (RNC) in UMTS Netzwerken seien.
  • Gemäß der vorliegenden Erfindung ist eine Authentifikation und Autorisation (zusammen abgekürzt mit Auth) eines mobilen Endgeräts, das in ein oder in einem fremden Netzwerk roamt, in verschiedene Hierarchien entsprechend verschiedenen Roamingtypen eingeteilt. Deswegen wird ein Roaming des mobilen Endgeräts erfasst, d. h. ein erstes Anschließen an ein Netzwerk oder ein Handover zwischen Netzwerkelementen wie zum Beispiel dem Heimat-AAA-Server, dem lokalen AAA Server und den Netzwerkszugangsservern, eine Kombination von beim Roaming beteiligten Netzwerkelementen wird identifiziert und eine aus einer Vielzahl von Authentifikations- und Autorisierungs-(Auth)-Prozeduren, die durchzuführen ist, wird basierend auf der identifizierten Kombination ausgewählt. Eine Authentifikation und Autorisierung wird dann basierend auf der ausgesuchten Prozedur durchgeführt. Es ist jedoch nicht von besonderer Bedeutung für die vorliegende Erfindung, wie solch ein Erfassen realisiert wird, oder ob das Roaming durch das Mobilgerät oder das Netzwerk ausgelöst wird. Zum Erfassen eines Handovers kann zum Beispiel ein von GSM oder GPRS bekanntes herkömmliches Verfahren verwendet werden. Eine Identifizierung kann zum Beispiel auf internen Nachrichten des Netzwerks und/oder einer Analyse von diesen erfolgen, ein Auswählen kann zum Beispiel durch eines der beteiligten Netzwerkelemente auf der Basis eines erhaltenen Wissens durchgeführt werden.
  • Durch das neue HAAR (hierarchische Authentifikation und Autorisierung) genannte Auth-Verfahren ist es möglich, die Roamingverzögerung zu reduzieren und die Effizienz von AA Protokollen zu verbessern, insbesondere in einer Integration des mobilen Internets.
  • Das hierarchische Auth-Verfahren HAAA wird durch ein Erzeugen und Zuweisen einer lokalen Sicherheitsinformation an das roamende mobile Endgerät und ihr Verteilen in der lokalen Netzwerkdomäne durchgeführt, wenn das mobile Endgerät durch den jeweiligen lokalen AAA Server zum ersten Mal authentifiziert wird, d. h. bei der Gelegenheit eines Anschließens an das fremde Netzwerk oder bei der Gelegenheit eines Handovers zu einem anderen Netzwerkelement. Das wird unten im größeren Detail erklärt.
  • Im Folgenden sind vier Hierarchiestufen des Verfahrens gemäß der vorliegenden Erfindung in größerem Detail mit Bezug auf 1 beschrieben. In 1 ist jede dieser Hierarchiestufen durch eines der Bezugszeichen I, II, III oder IV bezeichnet. Jedes dieser Bezugszeichen bezeichnet die jeweilige Schnittstelle, über die relevante Authentifikationsinformation während der Prozedur gemäß der jeweiligen Hierarchiestufe übertragen wird.
  • ERSTE HIERARCHIESTUFE
  • Die erste Hierarchiestufe (I) wird durchgeführt bei einem Inter-Netzwerk und Inter-Domänenroaming des mobilen Endgeräts MT von seinem Heimat-AAA-Server AAAH zu einem lokalen AAA Server AAAL2 des fremden Netzwerks. Das passiert, wenn das mobile Endgerät ein fremdes Netzwerk/Domäne das erste Mal betritt, d. h. wenn das mobile Endgerät sich an das fremde Netzwerk anschließt.
  • Man bemerke, dass Anschließen in diesem Zusammenhang einen ersten Zugang eines mobilen Endgeräts zu einem von seinem Heimatnetzwerk verschiedenen Netzwerk bedeutet.
  • In dieser Hierarchie können aktuelle Authentifikations- und Autorisierungsprotokolle wiederverwendet werden, aber verschiedene Modifikationen sind nötig. Eine entsprechend modifizierte Auth-Prozedur könnte wie folgt sein:
    Nach einem Anschließen des mobilen Endgeräts MT an das fremde Netzwerk werden die folgenden Schritte zusätzlich durchgeführt: Zuweisen einer lokalen Kennung wie zum Beispiel einem lokalen Nutzername/Passwort, lokaler Kennung und Schlüssel oder lokalem Zertifikat an das mobile Endgerät MT durch den lokalen Server AAAL2 in der Domäne, von der aus sich das mobile Endgerät dem fremden Netzwerk anschließt; Definieren und Erzeugen einer lokalen Sicherheitsinformation, die eine Bindung einer Nutzerkennung des mobilen Endgeräts MT und der zugewiesenen temporären lokalen Kennung durch den lokalen Server AAAL2 repräsentiert; Zuweisen der lokalen Sicherheitsinformation an das mobile Endgerät MT durch den lokalen Server AAAL2. In diesem Zusammenhang schließt ein Zuweisen ein Informieren des mobilen Endgeräts über die zugewiesene lokale Sicherheitsinformation und/oder lokalen Kennung ein. Das mobile Endgerät verwendet die lokale Sicherheitsinformation für eine Authentifikation. Wenn der lokale Nutzername/Kennung/Zertifikat authentifiziert/autorisiert ist, ist die entsprechende reale Kennung authentifiziert/autorisiert.
  • Es ist auch möglich, dass eine Gültigkeitsdauer für die lokale Sicherheitsinformation definiert ist. Solch eine Lebensdauer kann optional gemäß einer Richtlinie des Heimatservers bezüglich einer Autorisationsgültigkeitsdauer und/oder einer lokalen Richtline bestimmt werden.
  • Der Typ der lokalen Sicherheitsinformation ist vorzugsweise entsprechend den derzeit verwendeten Auth-Verfahren. Wenn zum Beispiel das mobile Endgerät eine Authentifikation basierend auf Nutzername/Passwort verwendet, ist die lokale Sicherheitsinformation auch ein lokaler Nutzername/Passwort, und wenn das mobile Endgerät eine Authentifikation basierend auf einer ID/Schlüssel verwendet, ist die lokale Sicherheitsinformation auch eine lokale ID/Schlüssel usw..
  • Weiter fragt der Netzwerkzugangsserver NAS, der einen Zugang des mobilen Endgeräts MT zu dem fremden Netzwerk abwickelt, das mobile Endgerät MT nach seiner Authentifikationsinformation oder Berechtigungsnachweisen. Dies können zum Beispiel Nutzername/Passwort, eine MD5 Prüfsumme oder EAP-(erweiterbares Authentifikationsprotokoll)-basierte Daten sein. Dann antwortet das mobile Endgerät MT durch ein Übertragen seiner Authentifikationsinformation oder Berechtigungsnachweise an den fragenden Netzwerkzugangsserver NAS, und der Netzwerkzugangsserver NAS leitet die empfangene Authentifikationsinformation an den lokalen AAA Server AAAL2 weiter, mit dem er verbunden ist. Weil der lokale AAA Server AAAL2 nicht über die Kennung des mobilen Endgeräts urteilen kann, weil das mobile Endgerät MT nicht zur lokalen Domäne des AAAL2 gehört, d. h. nicht bei ihm registriert ist, fragt der lokale AAA Server AAAL2 den Heimat-AAA-Server AAAH in dem Heimatnetzwerk des mobilen Endgeräts ab, um das mobile Endgerät MT zu identifizieren. Nach Erhalt der Identifikation des mobilen Endgeräts von dem Heimatserver AAAH, d. h. nachdem der Heimatserver AAAH und der lokale Server AAAL2 das mobile Endgerät authentifiziert haben, verteilt der lokale Server AAAL2 die zugewiesene lokale Sicherheitsinformation an das mobile Endgerät. Nach einem Empfangen der lokalen Sicherheitsinformation von dem lokalen AAA Server authentifiziert und autorisiert das mobile Endgerät außerdem seine Kennung innerhalb der lokalen Domäne des fremden Netzwerks. Mit anderen Worten verwendet die Durchführung eine Authentifizierung und Autorisierung des mobilen Endgeräts die lokale Sicherheitsinformation.
  • Ein Verteilen der lokalen Sicherheitsinformation gemäß der Erfindung kann entweder nichtvertraulich oder vertraulich erfolgen. Auch wenn eine nichtvertrauliche (d. h. unzuverlässige) Verteilung in Übereinstimmung mit der Erfindung möglich ist, ist die Verwendung einer vertraulichen Verteilung bevorzugt, um die Verteilung davor zu schützen, angegriffen zu werden, d. h. um ein Abhören oder ein Manipulieren der lokalen Sicherheitsinformation zu vermeiden.
  • Der Weg, die lokale Sicherheitsinformation vertraulich an das mobile Endgerät zu verteilen, sorgt für eine Informationsintegrität während einer Prozedur der vorliegenden Erfindung. Der lokale Server AAAL2 verteilt die lokale Sicherheitsinformation an das mobile Endgerät über den Netzwerkzugangsserver NAS. Weil der NAS eine vorkonfigurierte Sicherheitsverbindung mit dem lokalen Server AAAL2 hat, ist es für den lokalen Server einfach möglich, die lokale Sicherheitsinformation vertraulich an den Netzwerkzugangsserver NAS zu senden. Aber von dem Netzwerkzugangsserver an das mobile Endgerät ist eine vertrauliche Verteilung nicht so einfach. Im Detail gibt es zwei Arten von Verfahren, um die lokale Sicherheitsinformation in einer vertraulichen Art zu verteilen.
  • Die erste Art kann verwendet werden in Authentifikationsverfahren, die eine gegenseitige Authentifikation unterstützen, wie zum Beispiel PEAP (Geschütztes erweiterbares Authentifikationsprotokoll) und EAP-TLS (Transportebenensicherheit des erweiterbaren Authentifikationsprotokolls). Diese Verfahren bilden oft einen sicheren Kanal zwischen dem Authentifikator (in diesem Fall dem Netzwerkzugangsserver NAS) und dem Bittsteller (in diesem Fall dem mobilen Endgerät MT). Dadurch kann die lokale Sicherheitsinformation vertraulich zwischen diesen transportiert werden.
  • Die andere Art, die lokale Sicherheitsinformation an das mobile Endgerät zu verteilen, ist in Authentikationsverfahren zu verwenden, die keinen sicheren Kanal zwischen dem Netzwerkzugangsserver NAS und dem mobilen Endgerät MT bilden. Dann wird eine Aufforderung zum Herausgeben eines vertraulichen Verschlüsselungsschlüssels von dem lokalen Server AAAL2 an den Heimatserver AAAH übertragen. Solch ein Verschlüsselungsschlüssel wird zum Beispiel durch den Heimatserver unter Verwendung zumindest der Authentifikationsinformation des mobilen Endgeräts erzeugt, die mit der Anforderung für den Schlüssel übertragen wurde. Zum Beispiel können Hashfunktionen dafür verwendet werden. Der Heimatserver AAAH schickt den vertraulichen Verschlüsselungsschlüssel an den lokalen Server AAAL2, und der lokale Server kann ihn verwenden, um die lokale Sicherheitsinformation zu verschlüsseln, die dem mobilen Endgerät zugewiesen wurde. Danach überträgt der lokale Server die verschlüsselte lokale Sicherheitsinformation an das mobile Endgerät, d. h. er verteilt eine geheime Nachricht, nämlich die lokale Sicherheitsbindung, unter Verwendung des Verschlüsselungsschlüssels, der durch den Heimat-AAA-Server erzeugt wurde, an das mobile Endgerät. Weil das mobile Endgerät auch in der Lage ist, unter Verwendung von zumindest seiner eigenen Authentifikationsinformation den vertraulichen Verschlüsselungsschlüssel zu erzeugen, kann es die lokale Sicherheitsinformation entschlüsseln und verifizieren.
  • Zum Beispiel kann der Heimat-AAA-Server AAAH einen 128 Bitschlüssel als den Verschlüsselungsschlüssel erzeugen, wobei K1 = PRF (Berechtigungsnachweis, Passwort, Typ) und PRF für eine Pseudozufallsfunktion steht, wie zum Beispiel einer Art von Hashfunktion, zum Beispiel MD5. "Berechtigungsnachweis" ist die Auth-Antwort/-Information des mobilen Endgeräts auf die Anforderung des Netzwerkzugangsservers und sie ist unverbraucht, um eine Unverbrauchtheit des Schlüssels zu garantieren. "Passwort" ist das Passwort des Nutzers. "Typ" ist ein Typ dieses Schlüssels, wie zum Beispiel Verschlüsselung, Integrität, usw.. Dadurch gleicht die verschlüsselte lokale Sicherheitsinformation einer lokalen Sicherheitsinformation XOR K1. Das mobile Endgerät entschlüsselt sie wie folgt, lokale Sicherheitsinformation: = verschlüsselte lokale Sicherheitsinformation XOR K1 gleicht der lokalen Sicherheitsinformation XOR K1 XOR K1. Man beachte, dass XOR für eine logische Exklusives-Oder Operation steht.
  • Dieses Verfahren kann bei aktuellen Protokollen wie zum Beispiel Diameter eingeführt werden.
  • Entsprechend sind vier Netzwerkelemente in der Prozedur der ersten Hierarchiestufe beteiligt, d. h. MT, NAS, AAAL2 und AAAH. Dadurch ist diese Prozedur nicht zu schnell, insbesondere wegen der großen Verzögerung von Kommunikationen zwischen den verschiedenen Netzwerken.
  • Deswegen wird es vorgezogen, dass es unnötig ist, den Heimat-AAA-Server jedes Mal abzufragen, wenn das mobile Endgerät ein Roaming in einem fremden Netzwerk durchführt. Dieses Ziel wird exemplarisch durch die folgenden drei Hierarchiestufen erreicht. Diese basieren auf der Information, deren Erzeugung und Verteilung bereits in Verbindung mit der ersten Hierarchiestufe beschrieben wurde. Deswegen wird eine Beschreibung der Erzeugung und Verteilung solcher Information im Folgenden weggelassen.
  • ZWEITE HIERARCHIESTUFE
  • Die zweite Hierarchiestufe (II) wird durchgeführt bei einem Intra-Netzwerk und Inter-Domänenroaming/Handover des mobilen Endgeräts MT von einem ersten Netzwerkzugangsserver NAS, der mit einem ersten lokalen AAA Server AAAL2 einer ersten Domäne des fremden Netzwerks verbunden ist, zu einem zweiten Netzwerkzugangsserver altNAS, neuNAS1 oder neuNAS2, der verbunden ist mit einem zweiten lokalen AAA Server AAAL1 einer zweiten Domäne des fremden Netzwerks.
  • In dieser Hierarchiestufe bekommt der neue (zweite) lokale AAA Server AAAL1 die lokale Sicherheitsinformation des mobilen Endgeräts MT von dem alten (ersten) lokalen AAA Server AAAL2 durch Senden einer Anforderung der lokalen Sicherheitsinformation des mobilen Endgeräts an den AAAL2. Nach Empfangen der angeforderten lokalen Sicherheitsinformation verwendet der neue lokale Server AAAL1 sie für eine Authentifikation und Autorisierung des mobilen Endgeräts in der lokalen Domäne.
  • Hier sind genauso vier Netzelemente an der Auth-Prozedur beteiligt, d. h. MT, Netzwerkzugangsserver, AAAL1 und AAAL2, wobei der neue Netzwerkzugangsserver altNAS, neuNAS1 oder neuNAS2 sein können. Diese Auth-Prozedur beseitigt jede Signalisierung zwischen lokalen Servern und dem Heimatserver in dem Heimatnetzwerk und ist dadurch schneller als die Prozedur nach der ersten Hierarchiestufe.
  • DRITTE HIERARCHIESTUFE
  • Die dritte Hierarchiestufe (III) wird bei einem Intra-Domänenroaming/Handover des mobilen Endgeräts MT von einem ersten Netzwerkzugangsserver altNAS einer Domäne des fremden Netzwerks zu einem zweiten Netzwerkzugangsserver neuNAS2 derselben Domäne durchgeführt.
  • In dieser Hierarchiestufe bekommt der neue (zweite) Netzwerkzugangsserver neuNAS2 die lokale Sicherheitsinformation des mobilen Endgeräts MT von dem lokalen AAA Server AAAL1, mit dem sowohl der neue als auch der alte Netzwerkzugangsserver (altNAS, neuNAS2) verbunden sind, durch Senden einer Anforderung nach der lokalen Sicherheitsinformation des mobilen Endgeräts an den AAAL1. Nach Empfangen der angeforderten lokalen Sicherheitsinformation über eine vorbestimmte gesicherte Verbindung zwischen diesen verwendet der neue Netzwerkzugangsserver neuNAS2 sie für eine Authentifikation und Autorisierung des mobilen Endgeräts in der lokalen Domäne.
  • An dieser Prozedur sind nur drei Netzelemente beteiligt, d. h. MT, neuNAS2 und AAAL1. Diese Auth-Prozedur beseitigt auch jede Signalisierung zwischen lokalen AAA Servern und ist dadurch schneller als die Prozeduren nach den ersten und zweiten Hierarchiestufen.
  • VIERTE HIERARCHIESTUFE
  • Die vierte Hierarchiestufe (IV) wird auch durchgeführt bei einem Intra-Domänenroaming/Handover des mobilen Endgeräts MT von einem ersten Netzwerkzugangsserver altNAS einer Domäne des fremden Netzwerks zu einem zweiten Netzwerkzugangsserver neuNAS1 derselben Domäne, aber in diesem Fall gehören die beteiligten Netzwerkzugangsserver altNAS und neuNAS1 zu demselben Authentifikations- und Autorisierungsbereich Auth-Bereich.
  • Ein Authentifikations- und Autorisierungsbereich bezeichnet einen Bereich in einer Domäne eines Netzwerks, innerhalb dessen Netzwerkzugangsserver eine vorbestimmte gesicherte Verbindung untereinander haben, über die sie Information in einer vertraulichen Art gemeinsam benutzen. Mit anderen Worten ist ein Authentifikations- und Autorisierungsbereich ein Bereich, in dem Netzwerkzugangsserver untereinander vertrauen können. Solch ein Auth-Bereich ist in 1 durch eine unterbrochene Linie in dem linken unteren Abschnitt des fremden Netzwerks illustriert. Obwohl nur ein solches Bereich in 1 illustriert ist, kann ein großes Netzwerk aus mehreren solcher Authentifikations- und Autorisierungsbereichen bestehen. Für eine Kommunikation von Netzwerkzugangsservern in demselben Authentifikations- und Autorisierungsbereich kann ein Übertragungsprotokoll angepasst werden oder ein spezifisches Protokoll für gemeinsame AAA Informationsverwendung kann entworfen werden.
  • In dieser Hierarchiestufe bekommt der neue (zweite) Netzwerkzugangsserver neuNAS1 die lokale Sicherheitsinformation des mobilen Endgeräts MT direkt von dem alten (ersten) Netzwerkzugangsserver altNAS durch Senden einer Anforderung nach der lokalen Sicherheitsinformation des mobilen Endgeräts an den altNAS. Nach Erhalten der angeforderten lokalen Sicherheitsinformation verwendet der neue Netzwerkzugangsserver neuNAS1 sie für eine Authentifikation und Autorisierung des mobilen Endgeräts in der lokalen Domäne.
  • Hier sind ebenfalls nur drei Netzwerkelemente an der Prozedur beteiligt, d. h. MT, altNAS und neuNAS1. Weil jedoch kein lokaler AAA Server beteiligt ist, ist diese Auth-Prozedur noch schneller als die Prozeduren nach den ersten, zweiten und dritten Hierarchiestufen.
  • In diesem Zusammenhang soll bemerkt werden, dass die Prozedur der vierten Hierarchie durch Netzwerkzugangsserver durchgeführt wird, die das Konzept von Auth-Bereichen unterstützen, und die in diesem Zusammenhang als tüchtig angesehen werden können.
  • 2 stellt ein Flussdiagramm einer Prozedur eines Verfahrens gemäß einem Ausführungsbeispiel der vorliegenden Erfindung dar, an dem ein Netzwerkzugangsserver und ein mobiles Endgerät beteiligt sind, wobei die Prozedur beim Roamen (d. h. einem Anschließen oder Handover) des mobilen Endgeräts durchgeführt wird. Die illustrierte Prozedur dient dazu, zu entscheiden, ob eine Authentifikation und Autorisierung basierend auf einer der Hierarchiestufen I, II, III oder auf Hierarchiestufe IV durchzuführen ist, d. h. ob das Roamen des mobilen Endgeräts innerhalb eines Auth-Bereichs durchgeführt wurde oder nicht.
  • Man bemerke, dass ein mobiles Endgerät eine Liste seiner gültigen lokalen Sicherheitsinformation bzw. vorigen Netzwerkzugangsservern in jedem Netzwerk halten soll. Es versteht sich, dass ein mobiles Endgerät auch eine Liste von lokaler Sicherheitsinformation für jedes Netzwerk speichert, an das es angeschlossen war. Wenn das mobile Endgerät dann wieder ein Netzwerk betritt, das es bereits vorher betreten hat, kann es die jeweilige lokale Sicherheitsinformation wieder benutzen, solange diese lokale Sicherheitsinformation nicht in der Zwischenzeit abgelaufen ist, d. h. eine Option einer Gültigkeitsdauer der jeweiligen lokalen Sicherheitsinformation ist noch nicht abgelaufen.
  • Nach einem Empfangen einer Zugangsanforderung von dem mobilen Endgerät MT sendet der fragliche Netzwerkzugangsserver seine Kennung (zum Beispiel NAI) an das mobile Endgerät (S101). In Schritt S102 sucht das mobile Endgerät entsprechend der gerade empfangenen NAS Kennung (NAS-ID) nach einer vorigen NAS-ID, die den Netzwerkzugangsserver repräsentiert, der früher einen Zugang für das mobile Endgerät zu demselben oder einem anderen Netzwerk abgewickelt hat. Das mobile Endgerät MT gibt dann die geeignet ausgewählte NAS-ID an das NAS zurück, die zu der aktuell Empfangenen am besten passt. Der NAS empfängt in Schritt S103 die von dem mobilen Endgerät zurückgegebene vorherige NAS-ID und entscheidet in Schritt S104, ob sich das mobile Endgerät immer noch in demselben Authentifikations- und Autorisierungsbereich Auth-Bereich wie zuvor befindet, d. h. ob ein vorheriger NAS in demselben Auth-Bereich ist oder nicht. Falls ein vorheriger NAS in dem Auth-Bereich ist, initiiert der Netzwerkzugangsserver, dass er die lokale Sicherheitsinformation/lokale Bindung von dem vorigen Netzwerkzugangsserver bekommt (S106), was eine Auth-Prozedur der vierten Hierarchiestufe ergibt. Andernfalls sendet der Netzwerkzugangsserver eine Anforderung für eine Authentifikation und Autorisierung des mobilen Endgeräts MT an den verbundenen lokalen Server AAAL (S105), was eine Auth-Prozedur der ersten, zweiten oder dritten Hierarchiestufe ergibt. Danach wird eine Auth-Prozedur gemäß der Entscheidung von Schritt S104 durchgeführt, und in Schritt S107 der Erfolg dieser Prozedur verifiziert.
  • Eine Entscheidung gemäß Schritt S104 kann zum Beispiel auf einer Netzwerkzugangsserverkennung (NAI) wie zum Beispiel dem Basisstationskennungscode (BSIC) von GSM basieren. In solch einem Identfizierer können gewisse Biterweiterungen verwendet werden, um einen gewissen Netzwerkzugangsserver, Authentifikations- und Autorisierungsbereich und/oder lokalen AAA Server zu identifizieren. Eine Entscheidung kann auf der Basis solcher Bits, die mit einer erhaltenen Information verglichen werden, gemäß der einen in Schritt S104 getroffen werden.
  • Die Erfindung der vorliegenden Anmeldung kann in jeder beliebigen AAA Architektur implementiert werden wie zum Beispiel auf einer Clientseite, Netzwerkzugangsservern und/oder AAA Servern.
  • Das Verfahren gemäß der vorliegenden Erfindung kann auch vorteilhaft mit anderen Lösungen für schnell reagierende und sichere Roamings integriert werden.
  • 3 zeigt eine schematische Struktur von jeweiligen Netzwerkelementen und einem mobilen Endgerät gemäß einem Ausführungsbeispiel der Erfindung.
  • In 3 sind die Einrichtungen, die die Netzwerkelemente und das mobile Endgerät gemäß der Erfindung bilden, als Blöcke illustriert. Gestrichelte Blöcke illustrieren übergeordnete Elemente, d. h. Netzwerkelemente AAAL1, AAAL2, AAAH, NAS, altNAS, neuNAS1, neuNAS2 und das mobile Endgerät MT. Durchgezogene Linien zwischen Blöcken bezeichnen eine Schnittstelle, die in den meisten Fällen als eine Schnittstelle auf der physikalischen Ebene für einen Informationsaustausch verstanden wird. Gepunktete Linien zwischen Blöcken bezeichnen eine "virtuelle" Schnittstelle, d. h. die dadurch verbundenen Blöcke können in dem anderen Block existierende und/oder erzeugte Information verwenden, aber diese Information wird nicht notwendigerweise direkt zwischen diesen übertragen.
  • Die Funktionen der jeweiligen Elemente und Einrichtungen sind angepasst an die Operationen, die oben in Verbindung mit dem Verfahren gemäß der Erfindung beschrieben wurden. Weiter unten werden die Funktionen in größerem Detail beschrieben.
  • In 3 ist ein Authentifikations- und Autorisierungsprozessor (im Weiteren abgekürzt mit Auth-Prozessor) in einem gemeinsamen Block mit einer Einrichtung zum Erfassen, Identifizieren und Auswählen gezeigt. Solch eine Anordnung ist jedoch nur als Beispiel gedacht, und die Anordnung dieser Teile ist dadurch nicht beschränkt. Entsprechend können diese Teile (genauso wie alle anderen gezeigten Teile) auch in einer anderen Konfiguration angeordnet werden.
  • Ein System für eine Authentifikation und Autorisierung eines mobilen Endgeräts, das in ein oder in einem fremden Netzwerk roamt, weist gemäß der vorliegenden Erfindung die oben erwähnten Netzwerkelemente mit ihren oben beschriebenen Funktionen auf. Alle solche Netzwerkelemente können gemäß einer Authentifikations- und Autorisierungsprozedur betrieben werden, die basierend auf einer identifizierten Kombination von Netzwerkelementen ausgewählt werden kann, die an einem erfassbaren Roaming des mobilen Endgeräts beteiligt sind, d. h. einem Anschließen an das fremde Netzwerk oder einem Handover zwischen Netzwerkelementen. Das System als solches weist bevorzugt eine Erfassungseinrichtung zum Erfassen eines Roamings des mobilen Endgeräts, einen Identifizierer zum Identifizieren einer Kombination von beteiligten Netzwerkelementen und einen Auswähler zum Auswählen einer aus einer Vielzahl von Auth-Prozeduren auf, die basierend auf der identifizierten Kombination von Netzwerkelementen durchzuführen ist. Das System weist ferner bevorzugt eine Authentifikations- und Autorisierungseinrichtung zum Durchführen der ausgewählten Auth-Prozedur auf.
  • Ein lokaler AAA Server gemäß der vorliegenden Erfindung weist bevorzugt eine Einrichtung zum Zuweisen einer temporären lokalen Kennung an das mobile Endgerät auf, wenn das mobile Endgerät sich an das fremde Netzwerk anschließt, und zum Zuweisen einer lokalen Sicherheitsinformation wie oben beschrieben an das mobile Endgerät; Definitions- und Erzeugungseinrichtung für die lokale Sicherheitsinformation; Speicherungseinrichtung zum Speichern der temporären lokalen Kennung und der lokalen Sicherheitsinformation; und Zuordnungseinrichtung zum Zuordnen der lokalen Sicherheitsinformation zu einem realen Nutzerkonto. Ferner kann ein lokaler AAA Server einen Sender/Empfänger zum Übertragen und/oder Empfangen von Information zu und/oder von anderen lokalen Servern, Netzwerkzugangsservern, die mit ihm verbunden werden können, und einem Heimat-AAA-Server. Zusätzlich kann er eine Verschlüsselungseinrichtung zum Verschlüsseln der lokalen Sicherheitsinformation eines mobilen Endgeräts aufweisen, bevor sie zu ihm übertragen wird, und eine Verteilungseinrichtung zum Verteilen der verschlüsselten Information an das mobile Endgerät.
  • Ein Heimat-AAA-Server gemäß der vorliegenden Erfindung weist vorzugsweise eine Schlüsselerzeugungseinrichtung zum Erzeugen eines Verschlüsselungsschlüssels für das mobile Endgerät und einen Sender/Empfänger zum Empfangen und/oder Übertragen von Information von und/oder zu einem lokalen AAA Server auf, die das mobile Endgerät betrifft.
  • Ein Netzwerkzugangsserver gemäß der vorliegenden Erfindung hat vorzugsweise eine Zugangseinrichtung zum Abwickeln eines Zugangs eines mobilen Endgeräts zu einem Netzwerk, einen Sender/Empfänger zum Übertragen und/oder Empfangen irgendeiner Art von Information zu und/oder von lokalen AAA Servern, anderen Netzwerkzugangsservern und/oder mobilen Endgeräten, die mit ihm verbunden sind. Ein Netzwerkzugangsserver der vorliegenden Erfindung ist weiter angepasst, das Konzept von Authentifizierungs- und Autorisierungsbereichen zu unterstützen, wie es oben beschrieben wurde, und eine Authentifizierungstypentscheidung gemäß 2 zu unterstützen.
  • Ein mobiles Endgerät gemäß der vorliegenden Erfindung weist vorzugsweise einen Sender/Empfänger zum Übertragen und/oder Empfangen irgendeiner Art von Information zu und/oder von einem Netzwerkzugangsserver eines Netzwerks auf, an den das mobile Endgerät angeschlossen ist oder sich anschließt. Ferner kann das mobile Endgerät der Erfindung eine Speicherungseinrichtung zum Halten einer Liste von lokaler Sicherheitsinformation jeder Domäne und/oder Netzwerks aufweisen, an die es angeschlossen war. Ferner kann es eine Schlüsselerzeugungseinrichtung zum Erzeugen eines Verschlüsselungsschlüssels aufweisen, die zumindest seine eigene Authentifikationsinformation verwendet, und eine Entschlüsselungseinrichtung zum Entschlüsseln einer empfangenen verschlüsselten Information.
  • Es soll bemerkt werden, dass jede der oben erwähnten Einrichtungen in Hardware und auch in Software implementiert sein kann. Wenn sie in Hardware implementiert wird, kann jede beliebige geeignete Technologie oder Technik benutzt werden, wie zum Beispiel digitales oder analoges Signalprozessieren. Daher können Implementierungen bipolare, MOS und/oder CMOS Transistoren genauso aufweisen wie bekannte digitale Signalprozessoren. Wenn sie in Software implementiert wird, kann eine beliebige geeignete Programmiersprache benutzt werden, wie zum Beispiel C, C++, Assembler, usw..
  • Ein Verfahren, System und Netzwerkelemente für eine Authentifizierung und Autorisierung eines mobilen Endgeräts, das in ein oder in einem von seinem Heimatnetzwerk verschiedenen fremden Netzwerk roamt, wird bereitgestellt, wobei das Heimatnetzwerk einen Authentifikations- und Autorisierungsheimatserver (AAAH) aufweist, und das fremde Netzwerk eine Vielzahl von Domänen aufweist, die jede zumindest einen lokalen Server (AAAL1, AAAL2) für eine Authentifikation, Autorisierung und Abrechnung aufweisen, wobei jeder der lokalen Server mit zumindest einem Netzwerkzugangsserver (NAS) zum Abwickeln eines Zugangs für das mobile Endgerät verbunden ist, die in das oder in dem fremden Netzwerk roamen, wobei eine Authentifikation und Autorisierung des mobilen Endgeräts durchgeführt wird, wann immer das mobile Endgerät ein Roaming durchführt, wobei die Authentifikation und Autorisierung gemäß einer Prozedur nach einer aus einer Vielzahl von Hierarchiestufen durchgeführt wird, wobei eine Kombination von Netzwerkelementen, die an dem Roaming beteiligt sind, die zu benutzende Hierarchiestufe bestimmt.

Claims (33)

  1. Verfahren zur Authentifikation und Autorisierung eines mobilen Endgeräts in heterogenen Netzwerken, wobei das mobile Endgerät (MT) zu oder in einem fremden Netzwerk roamt, welches heterogen zu dessen Heimatnetzwerk ist, wobei das Heimatnetzwerk einen Authentifikations- und Autorisierungs-Heimatserver (AAAH) aufweist, und wobei das fremde Netzwerk eine Vielzahl von Domänen aufweist, von denen jede zumindest einen lokalen Server zur Authentifikation, Autorisierung und Abrechnung (AAAL1, AAAL2) aufweist, wobei jeder der lokalen Server (AAAL1, AAAL2) mit zumindest einem Netzwerkzugangsserver (NAS, oldNAS, newNAS1, newNAS2) zum Abwickeln eines Zugangs für zu oder in dem fremden Netzwerk roamenden mobilen Endgeräten (MT) verbunden ist, wobei das Verfahren die Schritte aufweist: Erfassen (S101) von einem Roaming des mobilen Endgeräts; Identifizieren (S102 bis S104) einer Kombination von bei dem erfassten Roaming beteiligten Netzwerkelementen; Auswählen (S105, S106) eines durchzuführenden Authentifikations- und Autorisierungsvorgangs aus einer Vielzahl von vier Hierarchiestufen basierend auf der identifizierten Kombination; und Durchführen einer Authentifikation und Autorisierung basierend auf dem ausgewählten Authentifikations- und Autorisierungsvorgang, wobei die Authentifikation und Autorisierung auf einer lokalen Kennung des mobilen Endgeräts in dem fremden Netzwerk und einer lokalen Sicherheitsinformation basiert, die eine Bindung einer Benutzerkennung des mobilen Endgeräts und der lokalen Kennung darstellt.
  2. Verfahren gemäß Anspruch 1, wobei das Verfahren auf ein Anschließen des mobilen Endgeräts an das fremde Netzwerk hin ferner die Schritte aufweist: Zuweisen der lokalen Kennung an das mobile Endgerät durch den lokalen Server (AAAL2), in dessen Domäne sich das mobile Endgerät (MT) an das fremde Netzwerk anschließt; Definieren und Erzeugen der lokalen Sicherheitsinformation, die eine Bindung der Benutzerkennung des mobilen Endgeräts und der zugewiesenen temporären lokalen Kennung darstellt, durch den lokalen Server (AAAL2); und Zuweisen der lokalen Sicherheitsinformation an das mobile Endgerät durch den lokalen Server (AAAL2); wobei der Durchführungsschritt die zugewiesene lokale Sicherheitsinformation für Authentifikation und Autorisierung verwendet.
  3. Verfahren gemäß Anspruch 2, wobei die lokale Sicherheitsinformation gemäß einer verwendeten Authentifikationsmethode erzeugt wird.
  4. Verfahren gemäß Anspruch 2 oder 3, wobei die Authentifikation und Autorisierung basierend auf einem Vorgang einer ersten Hierarchiestufe (I) daraufhin durchgeführt wird, dass das mobile Endgerät ein Inter-Domäne-Roaming von seinem Heimatserver (AAAH) zu einem lokalen Server (AAAL2) des fremden Netzwerks durchführt, wenn sich das mobile Endgerät an das fremde Netzwerk anschließt, wobei der Vorgang die folgenden Schritte aufweist: Abfragen des mobilen Endgeräts (MT) nach Authentifikationsinformationen durch den Netzwerkzugangsserver (NAS), der den Anschluss des mobilen Endgeräts an das fremde Netzwerk abwickelt; Übertragen seiner Authentifikationsinformationen an den abfragenden Netzwerkzugangsserver (NAS) durch das mobile Endgerät (MT); Weiterleiten der empfangenen Authentifikationsinformationen des mobilen Endgeräts durch den Netzwerkzugangsserver (NAS) an den mit diesem verbundenen lokalen Server (AAAL2); Anfordern einer Identifikation des mobilen Endgeräts (MT) an dem Heimatserver (AAAH) durch den lokalen Server (AAAL2); Verteilen der lokalen Sicherheitsinformation durch den lokalen Server (AAAL2) an das mobile Endgerät (MT) auf Empfang der Identifikation des mobilen Endgeräts von dem Heimatserver (AAAH) hin; und Authentifizieren und Autorisieren seiner Kennung innerhalb der lokalen Domäne des fremden Netzwerks durch das mobile Endgerät (MT) auf Empfang der lokalen Sicherheitsinformation hin.
  5. Verfahren gemäß Anspruch 4, wobei der Schritt des Verteilens der lokalen Sicherheitsinformation von dem lokalen Server (AAAL2) an das mobile Endgerät in einer vertraulichen Weise durchgeführt wird.
  6. Verfahren gemäß Anspruch 4 oder 5, wobei das Verteilen der lokalen Sicherheitsinformation die Schritte aufweist: Übertragen der lokalen Sicherheitsinformation von dem lokalen Server (AAAL2) an den Netzwerkzugangsserver mit Hilfe einer vorbestimmten Sicherheitsassoziation zwischen dem lokalen Server (AAAL2) und dem Netzwerkzugangsserver (AAAH); und Übertragen der lokalen Sicherheitsinformation von dem Netzwerkzugangsserver an das mobile Endgerät mit Hilfe eines sicheren Kanals, der gemäß einem verwendeten gegenseitigen Authentifikationsverfahren hergestellt wurde, wenn ein gegenseitiges Authentifikationsverfahren verwendet wird.
  7. Verfahren gemäß Anspruch 4 oder 5, wobei das Verteilen der lokalen Sicherheitsinformation die Schritte aufweist: Übertragen einer Anforderung nach einem Verschlüsselungsschlüssel von dem lokalen Server (AAAL2) an den Heimatserver (AAAH) zusammen mit den Authentifikationsinformationen des mobilen Endgeräts, wenn ein Authentifikationsverfahren ohne einen sicheren Kanal zwischen dem Netzwerkzugangsserver (NAS) und dem mobilen Endgerät (MT) verwendet wird; Erzeugen eines Verschlüsselungsschlüssels durch den Heimatserver (AAAH) unter Verwendung von zumindest den empfangenen Authentifikationsinformationen des mobilen Endgeräts (MT) und Übertragen des Verschlüsselungsschlüssels an den lokalen Server (AAAL2); und Verschlüsseln der lokalen Sicherheitsinformation mit dem Verschlüsselungsschlüssel an dem lokalen Server (AAAL2) und Übertragen der verschlüsselten lokalen Sicherheitsinformation von dem lokalen Server (AAAL2) an das mobile Endgerät (MT), wobei das mobile Endgerät (MT) unter Verwendung von zumindest seinen Authentifikationsinformationen den gleichen Verschlüsselungsschlüssel erzeugt, wobei es die empfangene verschlüsselte lokale Sicherheitsinformation mit Hilfe von diesem Verschlüsselungsschlüssel entschlüsselt.
  8. Verfahren gemäß Anspruch 2 oder 3, wobei die Authentifikation und Autorisierung basierend auf einem Vorgang einer zweiten Hierarchiestufe (II) daraufhin durchgeführt wird, dass das mobile Endgerät (MT) ein Inter-Domäne-Roaming von einem ersten Netzwerkzugangsserver (NAS), der mit einem ersten lokalen Server (AAAL2) einer ersten Domäne des fremden Netzwerks verbunden ist, zu einem zweiten Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) durchführt, der mit einem zweiten lokalen Server (AAAL1) einer zweiten Domäne des fremden Netzwerks verbunden ist, wobei der Vorgang die Schritte aufweist: Senden einer Anforderung nach der lokalen Sicherheitsinformation des mobilen Endgeräts (MT) von dem zweiten lokalen Server (AAAL1) an den ersten lokalen Server (AAAL2); Übertragen der lokalen Sicherheitsinformation des mobilen Endgeräts (MT) von dem ersten lokalen Server (AAAL2) an den zweiten lokalen Server (AAAL1); und Verwenden der lokalen Sicherheitsinformation an dem zweiten lokalen Server (AAAL1) zur Authentifikation und Autorisierung des mobilen Endgeräts (MT) innerhalb der lokalen Domäne.
  9. Verfahren gemäß Anspruch 8, wobei der Schritt des Verwendens der lokalen Sicherheitsinformation einen Schritt des Übertragens der lokalen Sicherheitsinformation an den zweiten Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) mit Hilfe einer vorbestimmten Sicherheitsassoziation zwischen dem zweiten lokalen Server (AAAL1) und dem zweiten Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) aufweist.
  10. Verfahren gemäß Anspruch 2 oder 3, wobei die Authentifikation und Autorisierung basierend auf einem Vorgang einer dritten Hierarchiestufe (III) daraufhin durchgeführt wird, dass das mobile Endgerät (MT) ein Intra-Domäne-Roaming von einem ersten Netwerkzugangsserver (oldNAS) einer Domäne des fremden Netzwerks zu einem zweiten Netzwerkzugangsserver (newNAS2) der gleichen Domäne durchführt, wobei der Vorgang die Schritte aufweist: Senden einer Anforderung nach der lokalen Sicherheitsinformation des mobilen Endgeräts (MT) von dem zweiten Netzwerkzugangsserver (newNAS2) an den lokalen Server (AAAL1) der Domäne; Übertragen der lokalen Sicherheitsinformation des mobilen Endgeräts (MT) von dem lokalen Server (AAAL1) der Domäne an den zweiten Netzwerkzugangsserver (newNAS2) mit Hilfe einer vorbestimmten Sicherheitsassoziation zwischen dem lokalen Server der Domäne und dem zweiten Netzwerkzugangsserver; und Verwenden der lokalen Sicherheitsinformation an dem zweiten Netzwerkzugangsserver (newNAS2) zur Authentifikation und Autorisierung des mobilen Endgeräts innerhalb der lokalen Domäne.
  11. Verfahren gemäß Anspruch 2 oder 3, wobei die Authentifikation und Autorisierung basierend auf einem Vorgang einer vierten Hierarchiestufe (IV) daraufhin durchgeführt wird, dass das mobile Endgerät (MT) ein Intra-Domäne-Roaming von einem ersten Netzwerkzugangsserver (oldNAS) eines Authentifikations- und Autorisierungsbereichs des fremden Netzwerks zu einem zweiten Netzwerkzugangsserver (newNAS1) des gleichen Authentisierungs- und Autorisierungsbereichs durchführt, wobei der erste Netzwerkzugangsserver (oldNAS) die lokale Sicherheitsinformation des mobilen Endgeräts (MT) kennt, wobei der Vorgang die Schritte aufweist: Senden einer Anforderung nach der lokalen Sicherheitsinformation des mobilen Endgeräts (MT) von dem zweiten Netzwerkzugangsserver (newNAS1) an den ersten Netzwerkzugangsserver (oldNAS); Übertragen der lokalen Sicherheitsinformation des mobilen Endgeräts von dem ersten Netzwerkzugangsserver (oldNAS) an den zweiten Netzwerkzugangsserver (newNAS1); und Verwenden der lokalen Sicherheitsinformation an dem zweiten Netzwerkzugangsserver (newNAS1) zur Authentifikation und Autorisierung des mobilen Endgeräts innerhalb der lokalen Domäne.
  12. Verfahren gemäß Anspruch 11, wobei ein Authentifikations- und Autorisierungsbereich ein Bereich innerhalb einer Domäne eines Netzwerks ist, wobei innerhalb dieses Bereichs Netzwerkzugangsserver eine vorbestimmte Sicherheitsassoziation miteinander aufweisen, mit Hilfe derer sie sich Authentifikations- und Autorisierungsinformationen in einer vertraulichen Weise teilen können.
  13. System zur Authentifikation und Autorisierung eines mobilen Endgeräts in heterogenen Netzwerken, wobei das mobile Endgerät (MT) zu oder in einem fremden Netzwerk roamt, welches heterogen zu dessen Heimatnetzwerk ist, wobei das System einen Authentifikations- und Autorisierungs-Heimatserver (AAAH) in dem Heimatnetzwerk, zumindest einen lokalen Server zur Authentifikation, Autorisierung und Abrechnung (AAAL1, AAAL2) in jeder einer Vielzahl von Domänen des fremden Netzwerks und zumindest einen Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) zum Abwickeln eines Zugangs von zu oder in dem fremden Netzwerk roamenden mobilen Endgeräten (MT) aufweist, wobei jeder der Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) mit einem der lokalen Server (AAAL1, AAAL2) verbindbar ist, wobei das System konfiguriert ist zum Durchführen einer Authentifikation und Autorisierung des mobilen Endgeräts (MT) basierend auf einem Authentifikations- und Autorisierungsvorgang, der aus einer Vielzahl von vier Hierarchiestufen (I, II, III, IV) basierend auf einer identifizierten Kombination von Netzwerkelementen, die bei einem erfassten Roaming des mobilen Endgeräts (MT) beteiligt sind, ausgewählt wird, wobei die Authentifikation und Autorisierung auf einer lokalen Kennung des mobilen Endgeräts in dem fremden Netzwerk und einer lokalen Sicherheitsinformation basiert, die eine Bindung einer Benutzerkennung des mobilen Endgeräts und der lokalen Kennung darstellt.
  14. System gemäß Anspruch 13, mit: einem Detektor zum Erfassen von dem Roaming des mobilen Endgeräts; einem Identifikator zum Identifizieren der Kombination von Netzwerkelementen, die bei dem durch den Detektor erfassten Roaming beteiligt sind; einem Selektor zum Auswählen des durchzuführenden Authentifikations- und Autorisierungsvorgangs aus der Vielzahl von vier Hierarchiestufen basierend auf der durch den Identifikator identifizierten Kombination; und einem Authentifikations- und Autorisierungsprozessor, der konfiguriert ist zum Durchführen der Authentifikation und Autorisierung des mobilen Endgeräts (MT) basierend auf dem ausgewählten Authentifikations- und Autorisierungsvorgang.
  15. System gemäß Anspruch 13 oder 14, wobei das Heimatnetzwerk und das fremde Netzwerk entweder IP-basierte, zellulare Netzwerke oder IP-basierte zellulare Netzwerke sind.
  16. System gemäß einem der Ansprüche 13 bis 15, mit einem Bedienungsknoten (AAAL1, AAAL2) zur Authentifikation, Autorisierung und Abrechnung in einer Domäne des Netzwerks von heterogenen Netzwerken, wobei der Bedienungsknoten ein lokaler Server der Domäne ist, an der das mobile Endgerät anschließbar ist, und wobei der Bedienungsknoten mit zumindest einem Netzwerkzugangsserver (oldNAS, newNAS1, newNAS2) zum Abwickeln eines Zugangs von zu oder in dem Netzwerk roamenden mobilen Endgeräten verbindbar ist, wobei der Bedienungsknoten aufweist: einen Authentifikations- und Autorisierungsprozessor zur Authentifikation und Autorisierung des mobilen Endgeräts (MT), wobei der Prozessor gemäß einem Authentifikations- und Autorisierungsvorgang aus einer Vielzahl von vier Hierarchiestufen gemäß einer identifizierten Kombination von Netzwerkelementen, die bei einem Roaming des mobilen Endgeräts beteiligt sind, betriebsfähig ist.
  17. System gemäß Anspruch 16, wobei der Bedienungsknoten ferner aufweist: eine Zuweisungseinrichtung zum Zuweisen einer temporären lokalen Kennung an das mobile Endgerät, wenn sich das mobile Endgerät an das Netzwerk anschließt, und zum Zuweisen einer lokalen Sicherheitsinformation an das mobile Endgerät; eine Definitions- und Erzeugungseinrichtung zum Definieren und Erzeugen der lokalen Sicherheitsinformation, die eine Bindung einer Benutzerkennung des mobilen Endgeräts und der durch die Zuweisungseinrichtung zugewiesenen temporären lokalen Kennung darstellt; eine Speichereinrichtung zum Speichern der temporären lokalen Kennung und der lokalen Sicherheitsinformation des Endgeräts; und eine Abbildungseinrichtung zum Abbilden der lokalen Sicherheitsinformation auf ein reales Benutzerkonto.
  18. System gemäß Anspruch 16 oder 17, wobei der Bedienungsknoten ferner aufweist: einen Sendeempfänger, der konfiguriert ist zum Übertragen und Empfangen der lokalen Sicherheitsinformation und weiterer Informationen zu und von einem anderen lokalen Bedienungsknoten und einem Netzwerkzugangsserver, der mit dem Bedienungsknoten verbindbar ist.
  19. System gemäß Anspruch 18, wobei der Sendeempfänger ferner angepasst ist zum Übertragen und Empfangen von Informationen des mobilen Endgeräts zu und von dem Heimatserver des mobilen Endgeräts zur Identifikation des mobilen Endgeräts.
  20. System gemäß einem der Ansprüche 16 bis 19, wobei der Bedienungsknoten ferner aufweist: eine Verschlüsselungseinrichtung, die konfiguriert ist zum Verschlüsseln einer lokalen Sicherheitsinformation mit einem von dem Heimatserver empfangbaren Verschlüsselungsschlüssel; und eine Verteilungseinrichtung, die konfiguriert ist zum Steuern einer Verteilung der verschlüsselten lokalen Sicherheitsinformation an das mobile Endgerät basierend auf einem verwendeten Authentifikationsverfahren.
  21. System gemäß einem der Ansprüche 13 bis 15, mit einem Heimatbedienungsknoten (AAAH) zur Authentifikation, Autorisierung und Abrechnung in der Domäne des Netzwerks von heterogenen Netzwerken, wobei der Heimatbedienungsknoten ein Heimatserver eines mobilen Endgeräts ist, das an ein anderes Netwerk anschließbar ist, wobei der Heimatbedienungsknoten aufweist: eine Schlüsselerzeugungseinrichtung, die konfiguriert ist zum Erzeugen eines Verschlüsselungsschlüssels für das mobile Endgerät unter Verwendung von zumindest Authentifikationsinformationen des mobilen Endgeräts, wobei die Informationen empfangbar sind von einem Bedienungsknoten des anderen Netzwerks; und einen Sendeempfänger, der konfiguriert ist zum Empfangen von zumindest den Authentifikationsinformationen von und zum Übertragen des Verschlüsselungsschlüssels an den Bedienungsknoten.
  22. System gemäß Anspruch 21, wobei der Heimatbedienungsknoten ein Heimatteilnehmerserver eines zellularen Netzwerks ist.
  23. System gemäß einem der Ansprüche 13 bis 15, mit einem Netzwerkzugangsserver (oldNAS, newNAS1, nauNAS2), der mit einem lokalen Server (AAAL1, AAAL2) einer Domäne des Netzwerks von heterogenen Netzwerken verbindbar ist, wobei der Netzwerkzugangsserver aufweist: eine Zugangseinrichtung, die konfiguriert ist zum Abwickeln eines Zugangs eines mobilen Endgeräts zu dem Netzwerk; und einen Sendeempfänger, der konfiguriert ist zum Übertragen und Empfangen einer lokalen Sicherheitsinformation des mobilen Endgeräts und weiterer Informationen zu und von dem verbindbaren lokalen Server, einem weiteren verbindbaren Netzwerkzugangsserver und einem verbindbaren Endgerät; wobei der Netzwerkzugangsserver angepasst ist zum Authentifizieren und Autorisieren gemäß einem Authentifikations- und Autorisierungsvorgang aus einer Vielzahl von vier Hierarchiestufen gemäß einer identifizierten Kombination von Netzwerkelementen, die bei einem erfassbaren Roaming des mobilen Endgeräts beteiligt sind.
  24. System gemäß Anspruch 23, wobei der Netzwerkzugangsserver konfiguriert ist zum Unterstützen eines Authentifikations- und Autorisierungsbereichs, der ein Bereich innerhalb einer Domäne eines Netzwerks ist, wobei innerhalb dieses Bereichs Netzwerkzugangsserver eine vorbestimmte Sicherheitsassoziation miteinander aufweisen, mit Hilfe derer sie angepasst sind zum Teilen von Authentifikations- und Autorisierungsinformationen in einer vertraulichen Weise.
  25. System gemäß Anspruch 23 oder 24, wobei der Netzwerkzugangsserver als ein Zugangsrouter eines IP-Netzwerks betriebsfähig ist.
  26. System gemäß Anspruch 23 oder 24, wobei der Netzwerkzugangsserver als ein Basisstationssystem eines GPRS-Netzwerks betriebsfähig ist.
  27. System gemäß Anspruch 23 oder 24, wobei der Netzwerkzugangsserver als ein Knoten_B eines UMTS-Netzwerks betriebsfähig ist.
  28. System gemäß Anspruch 23 oder 24, wobei der Netzwerkzugangsserver als eine Funknetzwerksteuerung, RNC, eines UMTS-Netzwerks betriebsfähig ist.
  29. System gemäß einem der Ansprüche 13 bis 15, mit einem mobilen Endgerät (MT), das fähig ist zum Registrieren an einem Heimatserver (AAAH) in seinem Heimatnetzwerk, und das mit Hilfe eines Netzwerkzugangsservers (oldNAS, newNAS1, newNAS2) des fremden Netzwerks an ein fremdes Netzwerk anschließbar ist, wobei das mobile Endgerät konfiguriert ist zum Durchführen einer Authentifikation und Autorisierung gemäß einem Authentifikations- und Autorisierungsvorgangs aus einer Vielzahl von vier Hierarchiestufen gemäß einer identifizierten Kombination von Netzwerkelementen, die bei einem erfassbaren Roaming des mobilen Endgeräts beteiligt sind.
  30. System gemäß Anspruch 29, wobei das mobile Endgerät ferner aufweist: einen Sendeempfänger, der konfiguriert ist zum Übertragen und Empfangen von Informationen zu und von einem der Netzwerkzugangsserver des fremden Netzwerks.
  31. System gemäß Anspruch 29 oder 30, wobei das mobile Endgerät ferner aufweist: eine Speichereinrichtung, die konfiguriert ist zum Halten einer Liste von lokalen Sicherheitsinformationen von jedem Netzwerk, an das es sich angeschlossen hat, wobei die lokalen Sicherheitsinformationen durch einen der lokalen Server der fremden Netzwerke an das mobile Endgerät zuweisbar sind.
  32. System gemäß einem der Ansprüche 29 bis 31, wobei das Mobilgerät ferner aufweist: eine Schlüsselerzeugungseinrichtung, die konfiguriert ist zum Erzeugen eines Verschlüsselungsschlüssels unter Verwendung von zumindest dessen Authentifikationsinformationen zur Kommunikation mit einem lokalen Server; und eine Entschlüsselungseinrichtung, die konfiguriert ist zum Entschlüsseln von empfangenen verschlüsselten Informationen mit Hilfe des Verschlüsselungsschlüssels.
  33. Computerprogrammprodukt mit Programmcodemitteln, die angepasst sind zum Durchführen der Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 12, wenn das Programm auf einer Verarbeitungseinrichtung des Systems gemäß einem der Ansprüche 13 bis 32 ausgeführt wird.
DE602004011573T 2004-01-23 2004-12-22 Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken Active DE602004011573T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US819151 1997-03-17
EP04001455 2004-01-23
EP04001455 2004-01-23
US10/819,151 US7461248B2 (en) 2004-01-23 2004-04-07 Authentication and authorization in heterogeneous networks
PCT/IB2004/004240 WO2005081567A1 (en) 2004-01-23 2004-12-22 Improvements in authentication and authorization in heterogeneous networks

Publications (2)

Publication Number Publication Date
DE602004011573D1 DE602004011573D1 (de) 2008-03-13
DE602004011573T2 true DE602004011573T2 (de) 2009-03-05

Family

ID=34778187

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004011573T Active DE602004011573T2 (de) 2004-01-23 2004-12-22 Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken

Country Status (5)

Country Link
US (2) US7461248B2 (de)
EP (1) EP1707024B1 (de)
AT (1) ATE385158T1 (de)
DE (1) DE602004011573T2 (de)
WO (1) WO2005081567A1 (de)

Families Citing this family (89)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060064502A1 (en) * 2004-09-22 2006-03-23 Transaxtions Llc Using Popular IDs To Sign On Creating A Single ID for Access
KR100667284B1 (ko) * 2005-02-24 2007-01-12 삼성전자주식회사 네트워크 시스템상의 인증방법 및 그 시스템
GB2435161B (en) * 2005-03-23 2007-12-12 Dell Products Lp Systems and methods for adaptive authentication
US20060218393A1 (en) * 2005-03-23 2006-09-28 Hernandez Hendrich M Systems and methods for adaptive authentication
US20060274743A1 (en) * 2005-06-06 2006-12-07 Alper Yegin System and method for a mobile device to learn information about the access networks within its neighborhood
EP1911817B1 (de) * 2005-07-25 2014-05-21 Toyo Ink Mfg. Co., Ltd. Durch aktive Energie-Stahlung härtbare Tinte zum Tintenstrahl-Drucken
US20070028092A1 (en) * 2005-07-28 2007-02-01 Alper Yegin Method and system for enabling chap authentication over PANA without using EAP
CN1327663C (zh) * 2005-08-12 2007-07-18 华为技术有限公司 用户接入无线通信网络的方法和无线网络接入控制装置
US7752441B2 (en) * 2006-02-13 2010-07-06 Alcatel-Lucent Usa Inc. Method of cryptographic synchronization
WO2007121786A1 (en) * 2006-04-25 2007-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatuses for securing communications between a user terminal and a sip proxy using ipsec security association
US8151317B2 (en) * 2006-07-07 2012-04-03 International Business Machines Corporation Method and system for policy-based initiation of federation management
EP2051452B1 (de) * 2006-08-09 2013-07-17 Hitachi, Ltd. Kommunikationssystem mit mehrfach-funkmodus
US7881699B2 (en) * 2006-09-26 2011-02-01 Bridgewater Systems Corp Systems and methods for subscriber profile management
KR101236624B1 (ko) * 2007-02-01 2013-02-22 삼성전자주식회사 이종망간 서비스 연동 방법과 장치 및 시스템
CN100496156C (zh) * 2007-02-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于wapi的证书漫游认证方法
EP2053886A3 (de) * 2007-10-26 2015-03-25 Hitachi, Ltd. Kommunikationssystem und Gateway-Vorrichtung
CN100593936C (zh) * 2008-05-09 2010-03-10 西安西电捷通无线网络通信有限公司 一种基于wapi的漫游认证方法
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8725123B2 (en) 2008-06-05 2014-05-13 Headwater Partners I Llc Communications device with secure data path processing agents
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8898293B2 (en) 2009-01-28 2014-11-25 Headwater Partners I Llc Service offer set publishing to device agent with on-device service selection
US8924543B2 (en) 2009-01-28 2014-12-30 Headwater Partners I Llc Service design center for device assisted services
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8924469B2 (en) 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8583781B2 (en) 2009-01-28 2013-11-12 Headwater Partners I Llc Simplified service network architecture
EP2139180A1 (de) * 2008-06-27 2009-12-30 France Telecom Verfahren zur Vereinheitlichung mehrerer Teilnehmerprofile in einem Telekommunikationssystem
CN101621374A (zh) * 2008-06-30 2010-01-06 华为技术有限公司 一种网络认证的方法、装置、系统及服务器
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US8351898B2 (en) 2009-01-28 2013-01-08 Headwater Partners I Llc Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US8606911B2 (en) 2009-03-02 2013-12-10 Headwater Partners I Llc Flow tagging for service policy implementation
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
CN101577904B (zh) 2009-02-27 2011-04-06 西安西电捷通无线网络通信股份有限公司 以分离mac模式实现会聚式wapi网络架构的方法
CN101577978B (zh) * 2009-02-27 2011-02-16 西安西电捷通无线网络通信股份有限公司 一种以本地mac模式实现会聚式wapi网络架构的方法
CN101577905B (zh) 2009-02-27 2011-06-01 西安西电捷通无线网络通信股份有限公司 一种以分离mac模式实现会聚式wapi网络架构的方法
KR20100100134A (ko) * 2009-03-05 2010-09-15 한국전자통신연구원 네트워크 로봇 서비스를 위한 보안 서비스 방법 및 장치
KR101655264B1 (ko) * 2009-03-10 2016-09-07 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
CN101568147A (zh) * 2009-05-15 2009-10-28 刘建 一种无线局域网鉴别基础结构超时处理的方法及装置
WO2011080867A1 (ja) * 2009-12-28 2011-07-07 パナソニック株式会社 機器間の距離に応じてセキュリティレベルを設定するサーバ装置、クライアント装置、通信システム、サーバ制御用集積回路、クライアント制御用集積回路、サーバプログラム、クライアントプログラム、クライアント装置への接続方法、サーバ装置への接続方法、及び通信システム接続方法
JP5139465B2 (ja) * 2010-03-31 2013-02-06 株式会社東芝 メモリチップ、情報記憶システム、読み出し装置
US9154826B2 (en) 2011-04-06 2015-10-06 Headwater Partners Ii Llc Distributing content and service launch objects to mobile devices
US20130046720A1 (en) * 2011-08-17 2013-02-21 International Business Machines Corporation Domain based user mapping of objects
US9094208B2 (en) 2011-12-13 2015-07-28 Sharp Laboratories Of America, Inc. User identity management and authentication in network environments
CN109889509B (zh) 2013-05-22 2021-06-01 康维达无线有限责任公司 用于机器对机器通信的网络辅助引导自举
US20150103678A1 (en) * 2013-10-10 2015-04-16 Fon Wireless Limited Identification of user home system in a distributed environment
CN107026727B (zh) * 2016-02-02 2019-03-29 阿里巴巴集团控股有限公司 一种建立设备间通信的方法、装置和系统
KR102076816B1 (ko) 2016-05-12 2020-02-12 에스케이 텔레콤주식회사 이종 네트워크 환경에서 차세대 네트워크 서비스를 제공하는 방법 및 장치
US10673618B2 (en) * 2018-06-08 2020-06-02 Cisco Technology, Inc. Provisioning network resources in a wireless network using a native blockchain platform
WO2020102585A1 (en) * 2018-11-14 2020-05-22 Eventstream, Inc. Network services platform system, method, and apparatus
EP3755023A1 (de) * 2019-06-17 2020-12-23 Siemens Aktiengesellschaft Verfahren zur konfiguration einer funkverbindung

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
US6519242B1 (en) * 1998-12-09 2003-02-11 Nortel Networks Limited Apparatus and method of PSTN based network roaming and SCP based subscriber management for internet telephony systems
US6947432B2 (en) * 2000-03-15 2005-09-20 At&T Corp. H.323 back-end services for intra-zone and inter-zone mobility management
US6992995B2 (en) * 2000-04-17 2006-01-31 Telcordia Technologies, Inc. Telecommunication enhanced mobile IP architecture for intra-domain mobility
FI110977B (fi) * 2001-02-09 2003-04-30 Nokia Oyj Mekanismi palvelujen mainostamista ja käyttäjän auktorisointia varten
US7266687B2 (en) * 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
US6603968B2 (en) * 2001-06-22 2003-08-05 Level Z, L.L.C. Roaming in wireless networks with dynamic modification of subscriber identification
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7185362B2 (en) * 2001-08-20 2007-02-27 Qualcomm, Incorporated Method and apparatus for security in a data processing system
FI114276B (fi) * 2002-01-11 2004-09-15 Nokia Corp Verkkovierailun järjestäminen
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network

Also Published As

Publication number Publication date
DE602004011573D1 (de) 2008-03-13
US20050166043A1 (en) 2005-07-28
ATE385158T1 (de) 2008-02-15
WO2005081567A1 (en) 2005-09-01
US7831835B2 (en) 2010-11-09
EP1707024A1 (de) 2006-10-04
EP1707024B1 (de) 2008-01-23
US20080072057A1 (en) 2008-03-20
US7461248B2 (en) 2008-12-02

Similar Documents

Publication Publication Date Title
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE112005002297B4 (de) Verfahren und System zum Unterstützen einer schnellen Übergabe von mobilen Teilnehmerstationen in drahtlosen Breitbandnetzen
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE60113925T2 (de) Integritätsprüfung in einem kommunikationssystem
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP2052517B1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
EP2062421B1 (de) Verfahren und system zum kontinuierlichen übertragen von verschlüsselten daten eines broadcast-dienstes an ein mobiles endgerät
DE60122825T2 (de) Verfahren zum Verarbeiten von Positionsinformationen eines Endgerätes welches über ein zellulares Netzwerk an ein Paketdatennetzwerk angeschlossen ist
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60318244T2 (de) 802.11-standard benutzung eines komprimierten reassoziationsaustauschs für schnelles weiterreichen
DE60319542T2 (de) Verfahren und Vorrichtungen für die Zugangskontrolle zu verschlüsselten Datendiensten für ein Unterhaltungs- und Informationsverarbeitungsgerät in einem Fahrzeug
DE60218289T2 (de) Verfahren zum speichern und verteilen von verschlüsselungsschlüsseln
DE60223603T2 (de) Sicherer broadcast-/multicast-dienst
DE60114789T2 (de) Authentifizierung in einem paketdatennetz
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
CN101114900A (zh) 一种组播业务认证方法及其装置、系统
DE112006000950T5 (de) System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz
DE60320322T2 (de) Authentifizierung in einem kommunikationsnetz
DE102021209124A1 (de) Systeme und verfahren zum datenschutz einer multilink-vorrichtung
DE602004012465T2 (de) Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke
WO2006034935A1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes

Legal Events

Date Code Title Description
8364 No opposition during term of opposition