DE602004012465T2 - Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke - Google Patents

Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke Download PDF

Info

Publication number
DE602004012465T2
DE602004012465T2 DE602004012465T DE602004012465T DE602004012465T2 DE 602004012465 T2 DE602004012465 T2 DE 602004012465T2 DE 602004012465 T DE602004012465 T DE 602004012465T DE 602004012465 T DE602004012465 T DE 602004012465T DE 602004012465 T2 DE602004012465 T2 DE 602004012465T2
Authority
DE
Germany
Prior art keywords
user
access
session
authentication
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004012465T
Other languages
English (en)
Other versions
DE602004012465D1 (de
Inventor
Luis Ramos Robles
Susana Fernandez Alonso
Victor Manuel ES-28039 AVILA GONZALEZ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE602004012465D1 publication Critical patent/DE602004012465D1/de
Application granted granted Critical
Publication of DE602004012465T2 publication Critical patent/DE602004012465T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft im Allgemeinen Mittel und Verfahren zum Detektieren möglicher betrügerischer Situationen, die auftreten können, wo Benutzern es möglich ist, auf ein Telekommunikationsnetzwerk durch eine Anzahl von Zugangspunkten von einem oder mehreren drahtlosen lokalen Netzwerk (WLAN, Wireless Local Area Network) zuzugreifen. Insbesondere ist die vorliegende Erfindung anwendbar in Szenarios, wo eine Benutzer-Session ermöglicht wird zum simultanen Umfassen von mehr als einer Zugangs-Session, eingerichtet durch eine Anzahl von Zugangspunkten.
  • HINTERGRUND
  • Herkömmliche Mobil- und Festtelefonbetreiber treten in den WLAN-Markt ein, um WLAN-Zugang bereitzustellen zu ihren Teilnehmern unter Verwendung von WLAN-aktivierten Endgeräten in Notspot-Bereichen. In diesem Kontext hat ein Benutzer eine Geschäftsbeziehung mit seinem Heimnetzwerkbetreiber, wie zum Beispiel einem Telefonbetreiber, der Roaming-Übereinkünfte errichtet mit einer Anzahl von WLAN-Zugangsanbietern (hier im Folgenden bezeichnet als WISPs). Insbesondere könnte ein Heimnetzwerkbetreiber selbst auch eine WLAN-Zugangsinfrastruktur aufbauen und als ein WISP agieren.
  • Daher ist ein ziemlich gewöhnliches Szenario ein Szenario, wo ein Benutzer WLAN-Zugriff von verschiedenen WISPs bekommt, die Roaming-Übereinkünfte mit dem Heimnetzwerkbetreiber des Benutzers haben. Der Heimnetzwerkbetreiber des Benutzers berechnet dem Benutzer eine Verwendung des WLAN-Zugangs, und zahlt dem entsprechenden WISP für ein Bereitstellen solch eines WLAN-Zugangs an seinen Teilnehmer. Bei diesem Szenario führt ein Heimnetzwerk eines Benutzers eine Authentifizierung des Benutzers aus und empfängt Buchführungsinformation bzw. Accounting-Information oder Rechnungsinformation von dem WISP, der den WLAN-Zugang bereitstellt.
  • Die Zwischenposition der Netzwerkbetreiber aus einer Berechnungsperspektive im Gedächtnis behaltend, sind die Netzwerkbetreiber momentan interessiert, eine weitere Steuerung bzw. Kontrolle von diesen WLAN-Zugangs-Sessions zu haben, die ihre Benutzer einrichten möchten. Die Kontrolle der WLAN-Zugangs-Sessions wird im Allgemeinen ausgeführt durch jeden WISP und variiert von einem Szenario zu einem anderen oder in anderen Worten, von einer WLAN-Infrastrukturversion zu einer anderen.
  • Eine typische WLAN-Infrastruktur in einem ersten Szenario, der sogenannte Web-basierte WLAN-Zugang, enthält eine Anzahl von WLAN-Zugangspunkten (hier im Folgenden APs), die Benutzern mit einer WLAN-Verbindung über eine Funkschnittstelle versorgt; und einen WLAN-Zugangsserver (hier im Folgenden AS), der eine Zugangssteuerung bzw. Zugangskontrolle und andere Funktionen implementiert, wie zum Beispiel IP-Adressenallokation und Autorisierungsdurchsetzung. In diesem ersten Szenario stellt ein AP WLAN-Zugang für einen Benutzer (UE) bereit, indem dem Benutzer ermöglicht wird, eine IP-Verbindung mit dem AS zu bekommen, aber der AS blockiert jeden Benutzerverkehr, bis der Benutzer erfolgreich authentifiziert wurde.
  • Deshalb enthält, wie in 1 dargestellt, das Benutzergerät (UE-1) einen Web-Browser, wobei der AS eine Login- bzw. Anmelde-Seite dem Benutzer präsentiert (S-04). Der Benutzer fügt (S-05) die Berechtigungsnachweise des Benutzers in die Anmeldungsseite ein, und der AS sendet (S-06) solche Berechtigungsnachweise an den Authentifizierungsserver (Auth-S) in dem Heimnetzwerk (HOME) für eine Verifizierung. Bei einer erfolgreichen Authentifizierung, das heißt, bei Berechtigungsnachweisverifizierung, gibt der AS dem Benutzer Zugang, sendet (S-07) einen Hinweis des Buchführungsstarts an den Accounting-Server bzw. Buchführungsserver (Acc-S) in dem Heimnetzwerk (HOME) und initiiert eine Zugangs-Session.
  • Für den Zweck der vorliegenden Erfindung ist eine Zugangs-Session ein Repository von Daten, die eine Entität, die verantwortlich für eine Zugangskontrolle auf ein Zugangsnetzwerk ist, aufrechterhält in Beziehung zu einem Benutzer des Zugangsnetzwerks. Typischerweise wird diese Zugangs-Session initiiert, sobald der Benutzer authentifiziert wurde, und wird aufrechterhalten, während der Benutzer auf das Zugangsnetzwerk zugreift unter Steuerung der Entität. Daten, die in der Zugangs-Session enthalten sind, enthalten typischerweise einen Benutzeridentifizierer, einen eindeutigen Zugangs-Session-Identifizierer, und andere Parameter, wie zum Beispiel einen Endgerätidentifizierer und Sicherheitsschlüssel.
  • In dieser ersten Ausführungsform wird, sobald die Zugangs-Session initiiert wurde für den Benutzer, Information über diese Zugangs-Session gesendet an das Heimnetzwerk. Nun werden, vorausgesetzt, dass der Benutzer unter verschiedenen APs sich innerhalb der Infrastruktur des gleichen WISP bewegt, diese unterschiedlichen APs verbundene mit dem gleichen AS, und eine neue Authentifizierung ist nicht notwendig. Über dies hinaus ist der AS in der Lage, die gleiche Zugangs-Session beizubehalten, die erzeugt wurde, wenn zugegriffen wird von dem ersten AP.
  • Das heißt, dass in diesem ersten Szenario, es eine eindeutige Zugangs-Session für einen Benutzer gibt, selbst wenn der Benutzer sich von einem ersten zu einem zweiten AP bewegt, beide unter der Steuerung eines AS. Dabei ist, da dieser Ansatz die Zugangssteuerung in dem AS zentralisiert, die Zugangs-Session-Information, die handgehabt wird durch den AS und von dem AS an das Heimnetzwerk gesendet wird, genug, um dem Heimnetzwerk zu erlauben, Kontrolle über die WLAN-Zugangs-Sessions zu haben, die ihre Subscriber bzw. Teilnehmer als Benutzer des WLAN-Zugangsnetzwerks eingerichtet haben.
  • Eine gegenwärtige entwickelte WLAN-Infrastruktur in einem zweiten Szenario, die den IEEE-Standard 802.1x folgt, enthält eine Anzahl von WLAN-Zugangspunkten (APs), die Benutzer mit WLAN-Verbindungsfähigkeit über eine Funkschnittstelle versorgen, wie in dem vorherigen Szenario und eine Zugangskontrolle gemäß dem IEEE-Standard 802.1x ausführen; und optional einen WLAN-Zugangsserver (AS), der Funktionen implementiert, wie zum Beispiel eine IP-Adressen-Allokation.
  • In diesem zweiten Szenario, das in 2 gezeigt ist, ist jeder AP (AP-1) verantwortlich für ein Durchsetzen einer Benutzerauthentifizierung (S-10), basierend auf IETF RFC 2284 "PPP Extensible Authentication Protocol (EAP)". Dieses EAP-Verfahren wird ausgeführt von einem Ende zum anderen Ende (S-11) zwischen dem Benutzer (UE-1) und einem Authentifizierungsserver (Auth-S) bei dem Heimnetzwerk des Benutzers (HOME), und bevor eine IP-Verbindung dem Benutzer gegeben wird. Sobald die Benutzerauthentifizierung erfolgreich beendet ist, gibt der AP (AP-1) dem Benutzer Zugang durch Erlauben einer Einrichtung der WLAN-Verbindung (S-01), Senden (S-07) eines Hinweises eines Buchführungsstarts an den Accounting-Server (Acc-S) in dem Heimnetzwerk (HOME) und Initiieren einer Zugangs-Session für den Benutzer, wie es der AS macht in dem obigen ersten Szenario. Dann sendet der AP (AP-1) in diesem zweiten Szenario eine Zugangs-Session-Information an das Heimnetzwerk für den letzteren, um Kontrolle über die WLAN-Zugangs-Sessions auszuüben, die ihre Teilnehmer als Benutzer des WLAN-Zugangsnetzwerks eingerichtet haben. Vorausgesetzt, dass der WLAN-Zugangsserver (AS) in diesem zweiten Szenario optional ist, kann der Benutzer (UE) eine IP-Verbindung von dem AS bekommen, vorausgesetzt, dass sie existiert, oder von dem AP ansonsten.
  • Das zweite Szenario, das oben beschrieben wird, zeigt einige Vorteile gegenüber dem ersten. Einerseits wird eine Zugangskontrolle ausgeführt vor der Einrichtung der IP-Verbindung, was als sicherer betrachtet wird. Andererseits kann eine größere Vielfalt von Authentifizierungsverfahren innerhalb einer EAP-Struktur verwendet werden, wie beispielhaft gezeigt für das zweite Szenario. Diese Vielfalt von Authentifizierungsverfahren zum Verwenden in dem zweiten Szenario, und die nicht verwendet werden können in dem ersten, enthält SIM-basierte Authentifizierungsverfahren, wie zum Beispiel diese, die entsprechend in IETF draft-haverinenpppext-eap-sim-12 "EAP SIM Authentication", Okt. 2003 erklärt werden; und in IETF draft-arkko-pppext-eap-aka-11 "EAP AKA Authentication", Okt. 2003.
  • Jedoch zeigt das zweite Szenario auch einige Vorteile gegenüber dem ersten Szenario. Beispielsweise wird, wenn ein Benutzer zwischen einem ersten und einem zweiten AP sich in dem zweiten Szenario bewegt, eine neue Authentifizierung des Benutzers wieder benötigt. Dies ist aufgrund der Tatsache, dass jeder AP angeordnet ist zum Steuern bzw. Kontrollieren unabhängiger Zugangs-Sessions, was daher einem Benutzer ermöglicht, unterschiedliche Zugangs-Sessions aufrecht zu erhalten zu einer Zeit durch unterschiedliche APs, und die verschiedenen APs zu einem gleichen WISP oder zu unterschiedlichen WISPs gehören.
  • Andererseits kann die Unterstützung für unterschiedliche Zugangs-Sessions durch unterschiedliche APs, wie es das zweite Szenario macht, betrachtet werden als ein weiterer Vorteil, der eine Unterstützung zum Ausführen einer Vorauthentifizierung gibt. In dieser Hinsicht ermöglicht eine Vorauthentifizierung, dass ein Benutzer, der Zugang zu einem ersten gegebenen AP bekommen hat, ein Authentifizierungsverfahren für eine zweiten AP ausführen kann, was unterschiedlich ist von dem ersten AP, vor einem tatsächlichen Bewegen zu dem zweiten AP. Dadurch kann der Handover bzw. Übergabe von einem AP zu einem anderen schneller durchgeführt werden, was daher eine Wahrnehmung einer kontinuierlichen Benutzer-Session dem Benutzer gibt.
  • Eine beispielhafte Mischung von dem obigen ersten und zweiten Szenario kann aus der internationalen Veröffentlichung WO 2004/029823 gelernt werden, wobei WLAN-Zugangspunkte (APs) bereitgestellt werden mit Zugangssteuerfunktionen gemäß IEEE 802.1x und einschließlich einer "Extensible Authentication Protocol (EAP)"-Anwendung. Eine Zugangssteuerfunktion, die aktiv ist bei einem AP, fordert einen Zugangscode an von einem Benutzer, der versucht, auf das Zugangsnetzwerk zuzugreifen. Der Benutzer kann solch einen Zugangscode von unterschiedlichen Quellen erhalten haben, wie zum Beispiel dem Zugangsnetzwerkbetreiber (WISP) beispielsweise. Der Zugangscode enthält eine Vielfalt von Information über Benutzungsparameter und Geschäftsregeln, die verwendet werden können durch den AP zum Steuern des Zugriffs durch den Benutzer. Zugangscodes können erzeugt werden durch die Zugangssteuerfunktion bei dem AP, oder durch einen entfernten Steuerserver bzw. Kontrollserver in Verbindung mit dem AP und kommuniziert an den Zugangsnetzwerkbetreiber (WISP). Gemäß dieser Veröffentlichung basiert die Erzeugung der Zugangscodes auf spezifischen Geschäftsregeln und Benutzungsparametern des Zugangsnetzwerkbetreibers, für den die Zugangscodes erzeugt werden.
  • Der Steuerserver in dieser internationalen Veröffentlichung ist angeordnet zum Kommunizieren mit einer Anzahl von APS, und zum Leiten eines neuen Netzwerkzugangsbetreibers (WISP) durch den Prozess eines Einrichtens eines neuen Kontos. Das Konto wird derart eingerichtet, dass der Steuerserver Aktivitäten bezüglich des entsprechenden AP überwachen und nachverfolgen kann. Das heißt, dass Konten und Steuerung der Aktivitäten ausgeführt werden auf einer Pro-AP-Basis. Es gibt keine Zitierung oder selbst einen Hinweis in dieser Veröffentlichung hinsichtlich möglicher Einflüsse oder Indifferenzen, abgeleitet von Zugangs-Sessions, die simultan aktiv für einen Benutzer sind durch unterschiedliche APs und selbst, wenn mehr als ein Zugangsnetzwerkbetreiber (WISP) involviert ist. Über dies hinaus betrachtet weder diese Veröffentlichung, noch schlägt sie vor, dass die Authentifizierung der Benutzer ausgeführt wird durch einen Heimnetzwerkbetreiber, der eine Subskription für die Benutzer hält und involviert ist als eine berechnende Zwischenentität.
  • Jedoch führt die gleichzeitige Existenz von mehreren Zugangs-Sessions für einen Benutzer durch unterschiedliche APs und die Gründe, warum die mehreren Zugangs-Sessions initiiert wurden, zu einer Betrachtung von verschiedenen Situationen, wobei einige von diesen perfekt aus der Heimnetzwerkbetreiberperspektive erlaubt sind, wobei andere hinweisen können auf betrügerische Aktivitäten. In der Tat, kann jeder AP, der eine Zugangs-Session für einen Benutzer initiiert, Information über diese Zugangs-Session an das Heimnetzwerk senden, aber das Heimnetzwerk kann nicht unterscheiden, ob mehrere Zugangs-Sessions für einen Benutzer abgeleitet sind von einem erlaubten Fluss von Aktionen, die ausgeführt werden durch den Benutzer. In dieser Hinsicht können unterschiedliche Zugangs-Sessions und Fluss von Aktionen resultieren aus einer Neuauthentifizierung, Vorauthentifizierung, Übergabe oder einfach simultanen Zugriffen.
  • Im Allgemeinen tritt ein Betrug auf, wenn keine autorisierten Benutzer die Berechtigungsnachweise eines legitimen Benutzers verwenden. Dies kann auftreten, weil solche Berechtigungsnachweise gestohlen wurden, oder weil der legitime Benutzer einen Betrug begeht gegen den Heimnetzwerkbetreiber durch Teilen der Berechtigungsnachweise mit anderen Benutzern.
  • Ein erstes darstellendes Beispiel behandelt Prepaid- bzw. Benutzer, die im Voraus bezahlt haben, die eine Benutzer-Passwort-Authentifizierung verwenden, und einen Einheitspreis bzw. Flatrate-Berechnung haben. In diesem Fall tritt eine Betrugssituation auf, falls mehrere Benutzer den gleichen Benutzernamen und Passwort zum Zugreifen auf das Netzwerk verwenden. Beispielsweise führt, wie in 3 gezeigt, ein erster Benutzer (UE-1) ein Authentifizierungsverfahren (S-09, S-10, S-11) bei einem ersten WLAN-Zugangspunkt (AP-1) aus, und bekommt Zugang und WLAN-Verbindung (S-01) durch den ersten WLAN-Zugangspunkt. Dann gibt entweder der erste Benutzer (UE-1) seine Benutzeridentität und Passwort an einen zweiten Benutzer (UE-2), oder der zweite Benutzer (UE-2) täuscht die Benutzeridentität und Passwort des ersten Benutzers vor (UE-1), beide Arten können als Betrug betrachtet werden. Dieser zweite Benutzer (UE-2) greift auf das Netzwerk von einem unterschiedlichen Endgerät zu und kontaktiert einen unterschiedlichen WLAN-Zugangspunkt (AP-2). Aus der Netzwerksicht werden sowohl der erste als auch der zweite Benutzer (UE-1, UE2) der gleiche Benutzer. Für beide Fälle wird Zugang gewährt.
  • Ein zweites darstellendes Beispiel behandelt Benutzer, die eine SIM für eine SIM-Karten-basierte Authentifizierung verwenden. Betrug kann auftreten, falls es ein SIM-Karten-Cloning gibt, oder falls mehrere Teilnehmer die gleiche SIM-Karte verwenden durch Verbinden der SIM-Karte über ein Dongle, und wobei der Dongle zwischen Endgeräten der Benutzer bewegt wird.
  • Nichtsdestotrotz ist die oben präsentierte Situation nicht immer eine Betrugssituation. Ein Betreiber kann daran interessiert sein, gewissen Teilnehmern zu erlauben, mehr als eine Session in einer kontrollierten Art und Weise aufrechtzuerhalten, beispielsweise Gold-Teilnehmern könnte es erlaubt sein, auf das Netzwerk von unterschiedlichen Endgeräten derart zuzugreifen, dass ein Unterscheiden von Betrugssituationen von anderen akzeptierbaren Situationen ein wichtiger Punkt ist für die Betreiber, und daher adressiert durch die vorliegende Erfindung.
  • Gegenwärtig existierende Techniken zwischen einem Zugangsnetzwerk, wie zum Beispiel WLAN und einem Heimnetzwerk, wie zum Beispiel Mobilnetzwerk, erlauben die Detektion dieser Betrugssituation nicht, da ein Accounting-Server die Entität ist, die Accounting-Information bzw. Buchführungsinformation in dem Heimnetzwerk empfängt, und daher Information über die Zugangs-Sessions für einen Benutzer empfangen, und der Accounting-Server hat kein Mittel zum Unterscheiden, ob mehrere Zugangs-Sessions für einen Benutzer abgeleitet werden von einem erlaubten Fluss von Aktionen, ausgeführt durch den Benutzer oder nicht. Beispielsweise kann ein Heimnetzwerkbetreiber es nicht für erwiesen halten, dass der Empfang eines neuen Hinweises eines Accounting-Starts eine neue Zugangs-Session für einen Benutzer impliziert, da es eher sein kann, aufgrund eines Übergabeverfahrens zwischen zwei unterschiedlichen APs.
  • Andererseits ist die zentralisierte Lösung, bereitgestellt durch den Steuerserver in der obigen internationalen Veröffentlichung eher gerichtet auf ein Vereinfachen einer lokalen Zugangssteuerung auf einer Pro-AP-Basis und unter jeder WLAN-Betreiber-Regelung. Diese Stand-Der-Technik-Lösung lehrt keinen Mechanismus, wodurch die Betrugssituationen von oben unterschieden werden können von erlaubten Situationen von einer Heimnetzwerkbetreiberperspektive.
  • Das Dokument "WLAN-handover scenario", 3GPP TSG SA WG3 Security S3#33, S3-040352, Peking, China, Mai 2004, (http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_33_Beijing/Docs/PDF/S3-040352.pdf) offenbart Mechanismen zum Steuern der Maximalanzahl der simultanen Sessions, die ein WLAN-Benutzer einrichten kann. Das 3GPP-Netzwerk entscheidet, ob einem Benutzer erlaubt wird, eine neue Session mit einem Zugangspunkt einzurichten, basierend auf der Authentifizierungsanforderung, die empfangen wird, und auf den anderen Sessions, die der Benutzer schon eingerichtet hat.
  • Eine Aufgabe der vorliegenden Erfindung ist die Bereitstellung eines Mechanismus zum Erlauben einer Detektion von möglichen Betrugssituationen, wenn mehrere Zugangs-Sessions simultan aktiv sind für einen Benutzer durch verschiedene Zugangspunkte bzw. Access Points (APs).
  • Ferner ist das Konzept von Zugangscodes, beschrieben in der obigen internationalen Veröffentlichung, einschließlich einer Erzeugung und Handhabung, nicht eine Standardfrage, die unterstützt wird durch gegenwärtig existierenden APs folgend dem IEEE 802.1x in dem obigen zweiten Szenario. Jede weitere Entwicklung über die Lehre in der obigen internationalen Veröffentlichung zum Enthalten eines Mechanismus für Betrugsdetektion, während Zugangs-Sessions aktiv sind für einen Benutzer, würde die Modifizierung von gegenwärtig existierenden APs implizieren.
  • Dabei ist es eine weitere Aufgabe, auf die die vorliegende Erfindung gerichtet ist, dass der Mechanismus zum Erlauben einer Detektion von möglichen Betrugssituationen keinen Einfluss hat auf existierende Zugangspunkte bzw. Access Points, die gemäß dem obigen zweiten Szenario arbeiten.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die obigen Aufgaben werden erreicht gemäß der vorliegenden Erfindung durch die Bereitstellung einer Vorrichtung gemäß Anspruch 1, genannt Session-Aggregator-Gerät in der momentanen Spezifizierung und einem Verfahren gemäß Anspruch 13.
  • Das Session-Aggregator-Gerät ist passend zum Steuern einer Vielzahl von Zugangs-Sessions, eingerichtet durch einen Benutzer, der auf ein drahtloses lokales Netzwerk (WLAN, Wireless Local Area Network) zugreift durch eine Anzahl von Zugangspunkten, wobei der Benutzer ein Teilnehmer eines ersten Operatornetzwerk bzw. Betreibernetzwerk ist, und die Zugangspunkte zu zweiten Operatornetzwerken gehören. Insbesondere kann das erste Operatornetzwerk und die zweiten Operatornetzwerke betrieben werden durch einen gleichen Operator bzw. Betreiber oder durch verschiedene Operatoren. Die Zugangspunkte führen Zugangssteuerverfahren aus, wobei der Benutzer authentifiziert wird durch das erste Operatornetzwerk. Ein Session-Aggregator-Gerät gemäß der Erfindung hat:
    • a) Mittel zum Empfangen von Information hinsichtlich Authentifizierungsereignissen für den Benutzer, der auf einen gegebenen Zugangspunkt mit einem gegebenen Benutzergerät zugreift; und
    • b) Mittel zum Empfangen von Information über Buchführungsereignissen bzw. Accounting Events, die Information enthalten bezüglich einer Zugangs-Session, eingerichtet für den Benutzer bei dem gegebenen Zugangspunkt mit dem gegebenen Benutzergerät;
    • c) Autorisierungsmittel, angeordnet zum Durchführen einer Entscheidung, ob dem Benutzer erlaubt wird, auf den gegebenen Zugangspunkt zuzugreifen durch Empfangen von Information der Authentifizierungsereignisse, und basierend auf anderen Zugangs-Sessions, die der Benutzer eingerichtet hat; und
    • d) Verarbeitungsmittel, angeordnet zum Bestimmen, ob ein gegenwärtiges Vorgehen einem erlaubten Fluss entspricht, oder einem möglichen betrügerischen Fluss durch Empfangen von Information über Buchführungsereignisse für den Benutzer, der eine Zugangs-Session bei dem gegebenen Zugangspunkt mit dem gegebenen Benutzergerät aufweist.
  • In einer Ausführungsform der Erfindung enthält dieses Autorisierungsmittel Mittel zum Erzeugen eines Access Authentication Records bzw. Zugangsauthentifizierungsaufzeichnung für den Benutzer, sobald ein Hinweis auf ein Authentifizierungsereignis empfangen wird, das kennzeichnet, dass der Benutzer authentifiziert wurde durch einen gegebenen Zugangspunkt. Die Zugangsauthentifizierungsaufzeichnung umfasst: einen Benutzeridentifizierer, der den Benutzer identifiziert, der adressiert wird in dem Hinweis; ein Identifizierer des Benutzergeräts, der in dem Hinweis empfangen wird; und ein Identifizierer des Zugangspunkts, der die Authentifizierung durchsetzt.
  • Im Betrieb wird eine erste Zugangsauthentifizierungsaufzeichnung erzeugt in dem Session-Aggregator-Gerät, wenn der Benutzer durch einen ersten Zugangspunkt authentifiziert wird, wo der Benutzer mit seinem Benutzergerät zugreift, und eine zweite Zugangsauthentifizierungsaufzeichnung wird erzeugt, wenn der Benutzer vorauthentifiziert wird durch einen zweiten Zugangspunkt. Über dies hinaus ist, da einem Benutzer erlaubt werden kann, auf mehr als einen Zugangspunkt mit mehr als einem Benutzergerät zuzugreifen, das Session-Aggregator-Gerät auch auf solch eine Art und Weise angeordnet, dass eine erste Zugangsauthentifizierungsaufzeichnung erzeugt wird, wenn der Benutzer authentifiziert wird durch einen ersten Zugangspunkt mit einem ersten Benutzergerät, und eine zweite Zugangsauthentifizierungsaufzeichnung wird erzeugt, wenn der Benutzer authentifiziert wird durch einen zweiten Zugangspunkt mit einem zweiten Benutzergerät, da dem Benutzer erlaubt wird, mehr als eine Zugangs-Session simultan aktiv zu haben.
  • Da das Session-Aggregator-Gerät verbessert werden kann, wenn die Zugangsauthentifizierungsaufzeichnung auch einen Hinweis umfasst hinsichtlich der Art der Authentifizierung, die für den Benutzer ausgeführt wird, und eine Zeitmessung, die die Zeit kennzeichnet, wann die Zugangsauthentifizierungsaufzeichnung erzeugt wurde. Die Zeitmessung kann hinzugezogen werden, um zu bestimmen, ob ein gegenwärtiger Fluss von Aktionen als erlaubte oder böswillige Aktivität betrachtet wird.
  • Andererseits enthält das Verarbeitungsmittel in dem Session-Aggregator-Gerät, bereitgestellt gemäß der Erfindung, Mittel zum Erzeugen einer aggregierten Session-Aufzeichung bzw. Aggregated Session Record für den Benutzer, sobald der Benutzer eine Zugangs-Session durch einen gegebenen Zugangspunkt eingerichtet hat. Diese aggregierte Session-Aufzeichnung umfasst: einen Benutzeridentifizierer, der den Benutzer identifiziert, der in dem Hinweis adressiert wird; einen Identifizierer des Benutzergeräts, empfangen in dem Hinweis; einem Identifizierer des Zugangspunkts, wo die Session eingerichtet wurde; und eine Liste der Access-Authentication-Records bzw. Zugangsauthentifizierungsaufzeichnungen, die im Zusammenhang stehen mit dieser bestimmten aggregierten Session-Aufzeichnung.
  • Im Betrieb wird eine aggregierte Session-Aufzeichnung in dem Session-Aggregator-Gerät aktualisiert während einer Handover-Prozedur bzw. Übergabeprozedur zum Ersetzen eines ersten Identifizierers eines ersten Zugangspunktes, wo der Benutzer mit dem Benutzergerät zugegriffen hat, durch einen zweiten Identifizierer des zweiten Zugangspunkts, wo der Benutzer eine Zugangs-Session eingerichtet hat, nachdem er eine erfolgreiche Vorauthentifizierung hat. Hinsichtlich der obigen Zugangsauthentifizierungsaufzeichnung und gegeben, dass einem Benutzer erlaubt werden kann, durch verschiedene Zugangspunkte mit unterschiedlichen Benutzergeräten zuzugreifen, wird das Session-Aggregator-Gerät derart angeordnet, dass eine erste aggregierte Session-Aufzeichnung erzeugt wird, wenn der Benutzer eine erste Zugangs-Session eingerichtet hat durch einen ersten Zugangspunkt mit einem ersten Benutzergerät, und eine zweite aggregierte Session-Aufzeichnung wird erzeugt, wenn der Benutzer eine zweite Zugangs-Session eingerichtet hat durch einen zweiten Zugangspunkt mit einem zweiten Benutzergerät, da dem Benutzer erlaubt wird, mehr als eine Zugangs-Session simultan aktiv zu haben.
  • Das Session-Aggregator-Gerät empfängt Hinweise über Buchführungsereignisse, wie zum Beispiel einem Buchführungsstopphinweis. Daher wird beim Empfangen eines Hinweises eines Buchführungsstopps die aggregierte Session-Aufzeichnung entsprechend der Zugangs-Session, die der Benutzer mit dem Benutzergerät durch den Zugangspunkt eingerichtet hat, entfernt.
  • Das Session-Aggregator-Gerät (SAD, Session Aggregator Device) kann auch verbessert werden, wenn die aggregierte Session-Aufzeichnung auch eine Zeitmessung umfasst, die die Zeit kennzeichnet, wann die aggregierte Session-Aufzeichnung erzeugt wurde.
  • Über dies hinaus kann das Session-Aggregator-Gerät auch ein globales Abbildungsmodul zum Korrelieren einer Authentifizierungsidentität und einer Buchführungsidentität umfassen, wobei die Authentifizierungsidentität empfangen wird als der Benutzeridentifizierer, der den Benutzer in jedem Hinweis des Authentifizierungsereignisses identifiziert, und wobei die Buchführungsidentität empfangen wird als Benutzeridentifizierer, der den Benutzer in jedem Hinweis des Buchführungsereignisses identifiziert.
  • Die vorliegende Erfindung stellt auch ein Verfahren bereit zum Steuern einer Vielzahl von Zugangs-Sessions, eingerichtet durch einen Benutzer, der auf ein drahtloses lokales Bereichsnetzwerk (WLAN, Wireless Local Area Network) durch eine Anzahl von Zugangspunkten zugreift, wobei der Benutzer ein Teilnehmer eines ersten Operatornetzwerks bzw. Betreibernetzwerks und der Zugangspunkte ist, die betrieben werden durch zweite Operatornetzwerke, und Zugangssteuerprozeduren ausgeführt werden. Das Verfahren gemäß der Erfindung umfasst die Schritte:
    • (a) Durchsetzen einer Benutzerauthentifizierung bei einem Zugangspunkt, wobei der Benutzer eine Schicht-2-Verbindung mit einem Benutzergerät eingerichtet hat;
    • (b) Ausführen einer Benutzerauthentifizierung zwischen dem Benutzergerät und einem Authentifizierungsserver bei dem ersten Operatornetzwerk;
    • (c) Einrichten einer Zugangs-Session, die einen Zugang für den Benutzer durch den Zugangspunkt bei erfolgreicher Benutzerauthentifizierung erteilt;
    • (d) Hinweisen auf ein Buchführungsereignis an einen Buchführungsserver bei dem ersten Operatornetzwerk, nachdem der Benutzer eine Konnektivität bzw. Verbindung bei der Zugangs-Session erhalten hat;
    • (e) Durchführen einer Autorisierungsentscheidung, basierend auf vorigen Zugangs-Sessions, die schon eingerichtet wurden für den Benutzer mit dem gegebenen Benutzergerät bei Hinweis auf ein Autorifizierungsereignis, das empfangen wird bei einer zentralisierten Entität; und
    • (f) Bestimmen, ob ein gegenwärtiges Vorgehen einem erlaubten Fluss entspricht, oder einem möglichen betrügerischen Fluss, für den Benutzer, der die Zugangs-Session bei dem gegebenen Zugangspunkt mit dem gegebenen Benutzergerät hat, bei Hinweis auf ein Buchführungsereignis, das empfangen wird bei einer zentralisierten Entität.
  • Gemäß einer heutzutage bevorzugten Ausführungsform enthält der Schritt e) eines Durchführens einer Autorifizierungsentscheidung in diesem Verfahren bevorzugt die Schritte:
    • – Überprüfen, ob der Benutzer mit einem gegebenen Benutzeridentifizierer neu ist aus einem Ereignisentscheidungsgesichtspunkt;
    • – Überprüfen für einen nicht-neuen Benutzer, ob ein gegebener Identifizierer des Benutzergeräts neu ist; und
    • – Überprüfen für einen nicht-neuen Benutzer mit einem neuen Identifizierer des Benutzergeräts, ob mehrere Zugangs-Sessions erlaubt sind, simultan aktiv zu sein für den Benutzer.
  • Diesem Verfahren folgend, führen diese Überprüfungsschritte, die aus einem Bestimmen eines nicht-neuen Benutzers mit einem neuen Identifizierer des Benutzergeräts resultieren und mehrere Zugangs-Sessions, die nicht erlaubt sind, simultan aktiv für den Benutzer zu sein, zum Detektieren einer möglichen betrügerischen Aktivität. Jedoch umfasst, wenn die obigen Überprüfungsschritte in einem nicht-neuen Benutzer mit einem nicht-neuen Identifizierer des Benutzergeräts resultieren, das Verfahren ferner einen Schritt eines Überprüfens, ob ein gegebener Identifizierer des Zugangspunkts neu ist, was verstanden wird als eine Authentifizierung oder Vorauthentifizierung des Benutzers, und daher eine erlaubte Aktivität ist.
  • Zusammen mit einer entsprechenden Ausführungsform für die obige Vorrichtung und aus Gründen der Kohärenz und Einheitlichkeit, umfasst das Verfahren auch einen Schritt eines Erzeugens einer ersten Zugangsauthentifizierungsaufzeichnung für den Benutzer, sobald eine positive Autorisierungsentscheidung durchgeführt wurde für den Benutzer zum Zugreifen durch einen ersten Zugangspunkt mit einem Benutzergerät. Über dies hinaus umfasst das Verfahren ferner einen Schritt eines Erzeugens einer zweiten Zugangsauthentifizierungsaufzeichnung für den Benutzer, wenn der Benutzer authentifiziert wird oder vorauthentifiziert wird durch einen zweiten Zugangspunkt. Diese Zugangsauthentifizierungsaufzeichnungen umfassen: einen Benutzeridentifizierer, der den Benutzer identifiziert, der adressiert wird in dem Hinweis auf ein Authentifizierungsereignis; einen Identifizierer des Benutzergeräts, das empfangen wird in diesem Hinweis; und einen Identifizierer des Zugangspunkts, der die Authentifizierung durchsetzt.
  • Gemäß einer heutzutage bevorzugten Ausführungsform enthält der Schritt f) des Bestimmens des vorigen Vorgangs in diesem Verfahren die Schritte:
    • – Überprüfen, ob eine erfolgreiche Authentifizierung stattgefunden hat für den Benutzer mit einem gegebenen Benutzeridentifizierer, mit einem gegebenen Identifizierer des Benutzergeräts und durch einen Zugangspunkt, der identifiziert wird durch einen gegebenen Identifizierer; und
    • – Überprüfen, ob irgendeine vorherige Zugangs-Session für diese erfolgreiche Authentifizierung schon gekennzeichnet wurde.
  • Diesem Verfahren folgend, führen diese Überprüfungsschritte, die im Bestimmen resultieren, dass keine erfolgreiche Authentifizierung stattgefunden hat für den Benutzer mit einem gegebenen Benutzeridentifizierer, mit einem gegebenen Identifizierer des Benutzergeräts und durch einen gegebenen Zugangspunkt, identifiziert durch einen gegebenen Identifizierer, zum Detektieren einer möglichen böswilligen Aktivität. Jedoch bestimmt, wenn die obigen Überprüfungsschritte im Bestimmen resultieren, dass eine erfolgreiche Authentifizierung stattgefunden hat für den Benutzer und eine vorherige Zugangs-Session für diese erfolgreiche Authentifizierung schon gekennzeichnet wurde, das Verfahren, dass es eine Handover-Prozedur gibt.
  • Gemäß einer heutzutage bevorzugten Ausführungsform enthält das Verfahren ferner einen Schritt eines Erzeugens einer aggregierten Session-Aufzeichnung für den Benutzer, sobald bestimmt wird, dass eine positive Authentifizierung schon für den Benutzer zum Zugreifen auf den gegebenen Zugangspunkt durchgeführt wurde, und keine Zugangs-Session schon gekennzeichnet wurde, anders als die gegenwärtige, für diese positive Authentifizierung. Diese aggregierte Session-Aufzeichnung umfasst: einen Benutzeridentifizierer, der den Benutzer identifiziert, der in dem Hinweis eines Buchführungsereignisses adressiert wird; einen Identifizierer des Benutzergeräts, empfangen in dem Hinweis; einen Identifizierer des Zugangspunkts, wo die Session eingerichtet wurde; und eine Liste von Zugangsauthentifizierungsaufzeichnungen, im Zusammenhang stehend mit dieser bestimmten aggregierten Session-Aufzeichnung.
  • Die Einführung der aggregierten Session-Aufzeichnungen stellt zusätzliche Vorteile zu dem Verfahren bereit. Deshalb umfasst das Verfahren ferner einen Schritt eines Aktualisierens einer aggregierten Session-Aufzeichnung durch Detektieren eines Handovers zwischen einem ersten Zugangspunkt und einem zweiten Zugangspunkt, das Aktualisieren, ausgeführt durch Ersetzen eines Identifizierers des ersten Zugangspunkts mit einem Identifizierer des zweiten Zugangspunkts, und durch Entfernen von der Liste der Zugangsauthentifizierungsaufzeichnung entsprechend dem ersten Zugangspunkt.
  • Das Verfahren umfasst ferner einen Schritt eines Trennens eines Benutzers von einem gegebenen Zugangspunkt, wobei die Trennung gekennzeichnet wird mit einem Buchführungsereignis (S-17) gegen die zentralisierte Entität. In einer Ausführungsform, die Zugangsauthentifizierungsaufzeichnungen und aggregierte Session-Aufzeichnungen verwendet, enthält der Schritt ferner die Schritte: Entfernen einer entsprechenden Zugangsauthentifizierungsaufzeichnung; Aktualisieren im Zusammenhang stehender aggregierter Session-Aufzeichnungen zum Entfernen von der Liste der Zugangsauthentifizierungsaufzeichnung; und Entfernen einer aggregierten Session-Aufzeichnung, wenn die Liste leer ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Merkmale, Aufgaben und Vorteile der Erfindung werden ersichtlich durch Lesen dieser Beschreibung im Zusammenhang mit den begleitenden Zeichnungen, in denen folgendes gezeigt wird:
  • 1 zeigt eine Stand-Der-Technik-WLAN-Infrastruktur in einem ersten Szenario, ein sogenannter Web-basierter WLAN-Zugang.
  • 2 zeigt eine Stand-Der-Technik-WLAN-Infrastruktur in einem zweiten Szenario, das dem IEEE-Standard 802.1x folgt.
  • 3 stellt eine Flusssequenz dar, die ein gegenwärtig existierendes Problem beschreibt, das nicht gelöst werden kann mit existierenden Techniken.
  • 4 und 5 zeigen zwei alternative Architekturen, die bereitgestellt werden in der vorliegenden Erfindung.
  • 6a und 6b stellen ein grundlegendes Flussdiagramm einer Ereignisflussmaschine dar, bereitgestellt zum Durchführen von Authentifizierungsentscheidungen und zum Bestimmen, ob ein vorliegendes Vorgehen einer erlaubten oder betrügerischen Aktivität entspricht.
  • 7a stellt ein grundlegendes Sequenzdiagramm einer ersten Teilansicht eines ersten Vorgangs dar, wo ein Benutzer authentifiziert und autorisiert wird zum Zugreifen auf einen ersten Zugangspunkt zuzugreifen, und der Benutzer den ersten Zugangspunkt zugreift.
  • 7b1 stellt ein grundlegendes Sequenzdiagramm einer zweiten Teilansicht dar, die 7a in dem ersten Vorgehen folgt, wo der Benutzer vorauthentifiziert und autorisiert wird zum Zugreifen auf einen zweiten Zugangspunkt.
  • 7c1 stellt ein grundlegendes Sequenzdiagramm einer dritten Teilansicht dar, die 7a und 7b1 in dem ersten Vorgehen folgt, wo der Benutzer ein Handover zwischen ersten und zweiten Zugangspunkten ausführt.
  • 7c2 stellt ein grundlegendes Sequenzdiagramm einer dritten Teilansicht dar, die 7a und 7b1 folgt in einem zweiten Vorgehen, wodurch ein zweiter Benutzer Berechtigungsnachweise des ersten Benutzers vortäuscht zum Zugreifen auf den zweiten Zugangspunkt, wo der erste Benutzer vorauthentifiziert wurde.
  • 7b2 stellt ein grundlegendes Sequenzdiagramm einer zweiten Teilansicht dar, die 7a in einem dritten Vorgehen folgt, wo der Benutzer getrennt wird von einem Zugang, der durch den ersten Zugangspunkt erlangt wurde.
  • 7b3 stellt ein grundlegendes Sequenzdiagramm einer zweiten Teilansicht dar, die 7a in einem vierten Vorgehen folgt, wo der Benutzer mit einem zweiten Benutzergerät authentifiziert wird durch einen zweiten Zugangspunkt und, vorausgesetzt, dass der Benutzer autorisiert ist zum Haben mehrerer simultaner Zugangs-Sessions, kann der Benutzer auf den zweiten Zugangspunkt zugreifen.
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Das Folgende beschreibt einige bevorzugte Ausführungsformen zum Ausführen einer effektiven Detektion von möglichen Betrugssituationen, wenn mehrere Zugangs-Sessions simultan aktiv sind für einen Benutzer durch unterschiedliche Zugangspunkte und zum Unterscheiden dieser möglichen Betrugssituationen von anderen erlaubten Situationen, wobei beide offensichtlich ähnliche Eigenschaften darstellen, obwohl abgeleitet von unterschiedlichen Aktionsflüssen.
  • Deshalb stellt die vorliegende Erfindung eine Anzahl von Schritten bereit, die ausgeführt werden, um auf Aktionen zu achten, die auftreten. Andererseits werden Buchführungsnachrichten, empfangen von dem Buchführungsserver bzw. Accounting-Server (Acc-S) verwendet zum Kennzeichnen, ob eine Zugangs-Session erzeugt wird (Buchführungs-Start) oder noch existiert (Accounting-Zwischenzeit) oder beendet (Accounting-Stopp) und entsprechende daher gelöschte Daten.
  • Andererseits ist ein Handhaben von Buchführungsnachrichten nicht ausreichend, um Authentifizierungsentscheidungen durchzuführen, basierend auf der Anzahl von schon existierenden Zugangs-Sessions für einen Benutzer. Diese Authentifizierungsentscheidungen werden durchgeführt entweder während des Authentifizierungsprozesses selbst oder sofort danach, so dass, sobald der Benutzer authentifiziert wurde bei einem Authentifizierungsserver (Auth-S) des Heimnetzwerks (HOME) eine Steuerüberprüfung ausgeführt werden kann zum Bestimmen, ob eine neue Zugangs-Session erlaubt ist, oder nicht, abhängig von der Existenz von anderen Zugangs-Sessions für den Benutzer, und vor einem Senden einer erfolgreichen Antwort an eine Entität des Zugangsnetzwerks (WLAN), wo der Benutzer Zugang hat. Das heißt, selbst wenn die Authentifizierung erfolgreich ist, könnte die Antwort an eine Zugangsaufforderung, empfangen von dem Zugangsnetzwerk (WLAN), negativ sein, speziell, falls eine mögliche Betrugssituation bestimmt wurde während der Steuerüberprüfung.
  • Die Steuerüberprüfung benötigt ein Mittel zum Sammeln von Information über Ereignisse bezüglich beiden Prozeduren, nämlich Authentifizierung und Buchführungsprozeduren, und die Verwendung von einem zentralisierten Gerät zum Empfangen von Nachrichten, die anfangs an beide entsprechende Entitäten, Authentifizierungsserver (Auth-S) und Buchführungsserver (Acc-S) entsprechend adressiert wurden. Dieses zentralisierte Gerät, das Session-Aggregator-Gerät (SAD, Session Aggregator Device) genannt wird in der momentanen Spezifizierung, hat das Mittel zum Sammeln von Information von Authentifizierungs- und Buchführungsereignissen und ist daher federführend im Managen solch einer Steuerüberprüfung.
  • Momentan sind "RADIUS" und "Diameter"-Protokolle, die gewöhnlichsten verwendeten zum Kommunizieren mit einem Netzwerkzugangsserver (allgemein bekannt als NAS), der insbesondere ein WLAN-Zugangspunkt (AP, Access Point) sein kann, mit dem Authentifizierungsserver (Auth-S) und dem Buchführungsserver (Acc-S).
  • Gemäß einer ersten Ausführungsform der Erfindung, dargestellt in 4, könnte diese Kommunikation erreicht werden durch Besitzen des Session-Aggregator-Geräts (SAD), zwischengeschaltet zwischen dem WLAN-Zugangspunkt (AP) und sowohl dem Authentifizierungsserver (Auth-S) und Buchführungsserver (Acc-S), und daher agierend als ein RADIUS-Proxy oder als ein Diameter-Proxy für sowohl Authentifizierungs- als auch Buchführungsnachrichten. Gemäß einer alternativen zweiten Ausführungsform, dargestellt in 5, leiten der Authentifizierungsserver (Auth-S) und Buchführungsserver (Acc-S) die relevanten Authentifizierungs- und Buchführungsnachrichten an das Session-Aggregator-Gerät (SAD) weiter.
  • Das Session-Aggregator-Gerät (SAD) kann dann Session-Information analysieren, die empfangen wird in Buchführungsnachrichten, wie zum Beispiel einen Benutzeridentifizierer und einen Identifizierer des Benutzerendgeräts, um zu bestimmen, ob unterschiedliche Zugangs-Sessions den gleichen oder unterschiedlichen Benutzer-Sessions entsprechen. In dieser Hinsicht und für den Zweck der vorliegenden Erfindung, ist eine Benutzer-Session eine Steigerung von Ereignissen bezüglich der Verwendung von einer oder mehreren Anwendungen durch ein gegebenes Zugangsnetzwerk (WLAN), unabhängig von dem Eintrittspunkt in das Zugangsnetzwerk oder in anderen Worten, kann eine Benutzer-Session eine Vielzahl von Zugangs-Sessions umfassen, die ein Benutzer eingerichtet hat durch eine Anzahl von Zugangspunkten (APs) eines gegebenen Zugangsnetzwerks.
  • Über dies hinaus kann das Session-Aggregator-Gerät (SAD) Session-Information handhaben über mehrere Benutzer-Sessions, die ein Benutzer bei verschiedenen Zugangsnetzwerken haben kann, wie zum Beispiel eine Anzahl von WLAN-Zugangsnetzwerken, und einem GSM-Paketfunksystem-(GPRS)-Netzwerk, wobei jede Benutzer-Session eine Vielzahl von Zugangs-Sessions umfasst, die der Benutzer eingerichtet hat durch eine Anzahl von Netzwerkzugangsserver (NAS), die insbesondere Zugangspunkte (APs) sein können, von einem gegebenen Zugangsnetzwerk. Diese Session-Information, sobald verarbeitet, kann gesendet werden an ein Betrugsmanagementsystem, was wiederum ein Vorgehen durchführen kann, wie zum Beispiel Alarme auslösen, oder verdächtige Sessions unterbrechen.
  • Das Session-Aggregator-Gerät (SAD) ist verantwortlich für den Prozess zum Durchführen von Autorisierungsentscheidungen, die entweder als eine Fron-End-Entität agieren, zwischengeschaltet zwischen einem Netzwerkzugangsserver (AP) und dem Authentifizierungsserver (Auth-S) (A1, A3) und dem Buchführungsserver (Acc-S) (A2, A4) gemäß der ersten Ausführungsform, dargestellt in 4, oder als eine Back-End-Entität, wo Authentifizierungs- und Buchführungsnachrichten weitergeleitet werden (A5, A6) von dem Authentifizierungsserver (Auth-S) und Buchführungsserver (Acc-S) gemäß der zweiten Ausführungsform, dargestellt in 5.
  • Ein Grundprozess eines Machens von Autorisierungsentscheidungen und Steuerüberprüfungen wird ferner beschrieben mit Bezug auf die obige zweite Ausführungsform, gezeigt in 5, wobei ein WLAN-Netzwerk das Zugangsnetzwerk ist. Deshalb wird das Session-Aggregator-Gerät (SAD) bereitgestellt mit einer Ereignisflussmaschine, dargestellt durch Kombination von 6a und 6b. Diese Ereignisflussmaschine ist betriebsbereit beim Empfang eines Hinweises, der eine erfolgreiche Authentifizierung eines Benutzers zeigt, und eines Hinweises, der zeigt, ob Buchführung startet, weitergeht oder endet für einen Benutzer mit einer gegebenen Zugangs-Session.
  • Obwohl verschiedene Protokolle passend sein können zur Verwendung als entsprechende Protokolle zwischen dem Session-Aggregator-Gerät (SAD) und dem Authentifizierungsserver (Auth-S) und Buchführungsserver (Acc-S), wird aus Gründen der Einfachheit der Prozess eines Nachens von Autorisierungsentscheidungen und Steuerüberprüfungen erklärt mit Bezug auf ein RADIUS-Protokoll. In dieser Hinsicht können mehrere Flüsse auftreten, abhängig von verschiedenen Aktivitäten, die Benutzer ausführen können. Einige von diesen möglichen Flüssen werden beschrieben auf eine darstellende und nicht-beschränkende Art und Weise mit Bezug auf eine erste Kombination von 7a, 7b1 und 7ca; mit Bezug auf eine zweite Kombination von 7a, 7b1 und 7c2; mit Bezug auf eine dritte Kombination von 7a und 7b2; und mit Bezug auf eine vierte Kombination von 7a und 7b3.
  • Ein erster Fluss von Aktionen startet wie dargestellt in 7a, wenn ein Benutzer (UE-1), der ein Teilnehmer eines Heimnetzwerks (HOME) ist, anfangs auf (S-09) einen WLAN-Zugangspunkt (AP-1) zugegriffen hat. Der WLAN-Zugangspunkt (AP-1) setzt die Benutzerauthentifizierung durch (S-10) durch Umleiten des Benutzers zu einem Authentifizierungsserver (Auth-S) bei dem Heimoperatornetzwerk (HOME). Der Authentifizierungsserver (Auth-S) macht Gebrauch von einer passenden Authentifizierungsprozedur, wie wahrscheinlich gekennzeichnet in dem Benutzerprofil, zum Authentifizieren des Benutzers (S-11). Gemäß der Erfindung und vorausgesetzt, dass die Authentifizierungsprozedur erfolgreich ist, wird das Session-Aggregator-Gerät (SAD) informiert (S-13). Das Session-Aggregator-Gerät (SAD) verarbeitet die Information mit einer Ereignisflussmaschine (Ereignisfluss) zum Entscheiden, ob dem Benutzer erlaubt wird, Zugang zu erlangen, unter Berücksichtigung anderer Zugangs-Sessions, die der Benutzer schon eingerichtet haben könnte.
  • In diesem bestimmten Fall ist die Annahme, dass der Benutzer ein neuer Benutzer ist, der einen ersten Zugang versucht, und die Ereignisflussmaschine, die einen Hinweis einer erfolgreichen Benutzerauthentifizierung empfängt, das Authentifizierungsereignishandeln (S-13), gezeigt in 6a und 7a, triggert die Erzeugung einer Zugangsauthentifizierungsaufzeichnung (AAR) für den Benutzer bei dem Session-Aggregator-Gerät (SAD), was ein positives Ergebnis in diesem Fall ist. Der Zugangspunkt (AP-1) wird informiert (S-14, S-12) über das Ergebnis dieser Entscheidung, bevorzugt durch den Authentifizierungsserver (Auth-S) in dieser zweiten Ausführungsform, obwohl er direkt informiert werden könnte von dem Session-Aggregator-Gerät (SAD), falls eine passende Schnittstelle an diesem Ende bereitgestellt wird, wie A1 in 4, und entsprechende Adressierdaten werden empfangen über den Authentifizierungsserver (Auth-S), wie A3 in 4. Vorausgesetzt, dass sowohl eine Authentifizierungsprozedur und Autorisierungsentscheidung ein positives Ergebnis haben, wird der Zugang erteilt beim Zugangspunkt (A2-1).
  • Insbesondere wird eine Zugangsauthentifizierungsaufzeichnung (AAR) erzeugt für einen Benutzer, sobald der Benutzer authentifiziert wird durch einen bestimmten Zugangspunkt (AP-1), und unabhängig davon, ob es sich aus einer Authentifizierung oder einer Vorauthentifizierung ergibt. Die Zugangsauthentifizierungsaufzeichnung (AAR) demonstriert, dass eine erfolgreiche Authentifizierung aufgetreten ist für den Benutzer, und zur selben Zeit hält Information über prozessuale Ereignisse, im Zusammenhang stehend mit der Authentifizierungsprozedur, wie zum Beispiel einem Identifizierer des Benutzerendgeräts, einem Benutzeridentifizierer für Authentifizierungszwecke, einem Identifizierer des Zugangspunkts (AP-1), der Zugang, Zeit der Authentifizierung und einen Authentifizierungstyp anfordert. Da mehrere Zugangs-Sessions eingerichtet werden können durch einen Benutzer durch verschiedene Zugangspunkte, und gegeben, dass jeder Zugangspunkt eine Authentifizierung des Benutzers von dem Heimoperatornetzwerk anfordert, wo der Benutzer ein Teilnehmer ist, kann es mehrere Zugangsauthentifizierungsaufzeichungen (AARs) pro Teilnehmer geben.
  • Bei dieser Stufe bekommt der Benutzer (UE-1) eine WLAN-Konnektivität (s-01) durch den Zugangspunkt (AP-1), wobei eine Zugangs-Session erzeugt wird für den Benutzer, und kommuniziert wird an den Buchführungsserver (Acc-S) mit einem Hinweis eines Buchführungsstarts (S-07). Das Session-Aggregator-Gerät (SAD) wird auch informiert (S-15) über das Buchführungsereignis, und verarbeitet die empfangene Information mit der Ereignisflussmaschine (Ereignisfluss) zum Bestimmen, ob oder ob nicht das momentane Vorgehen einem erlaubten Fluss entspricht. In dem momentanen Fall, wie in 6a dargestellt, wird eine existierende Zugangsauthentifizierungsaufzeichnung (AAR) gefunden für den Benutzer, die kennzeichnet, dass der Benutzer schon authentifiziert wurde, und, da keine vorherige Zugangs-Session eingerichtet wurde, abgesehen von der einen, die gegenwärtig gekennzeichnet wird mit dem Hinweis des Buchführungsstarts, wird eine aggregierte Session-Aufzeichnung (ASR) erzeugt zum Demonstrieren, dass eine erste Zugangs-Session eingerichtet wird durch den Benutzer durch den gegebenen Zugangspunkt (AP-1).
  • Dieser erste Fluss von Aktionen kann anfangen mit einem weiteren Schritt, dargestellt in 7b1, wobei eine Vorauthentifizierungsprozedur ausgeführt wird durch einen zweiten Zugangspunkt (AP-2). Die Wahl des zweiten Zugangspunkts (AP-2) kann sich ergeben aus unterschiedlichen Gründen, wie zum Beispiel Abdeckungsgebiet oder Empfangsqualität beispielsweise.
  • Deshalb initiiert das Benutzergerät (UE-1) einen sogenannten Vorauthentifizierungsversuch (S-22) an dem zweiten Zugangspunkt (AP-2) und der spätere setzt die Benutzerauthentifizierung durch (S-10), die der Benutzer ausführt (S-11) mit einem Authentifizierungsserver (Auth-S) des Heimoperatornetzwerks. Gemäß der Erfindung wird das Session-Aggregator-Gerät (SAD) informiert (S-13) über dies, und verarbeitet die Information mit der Ereignisflussmaschine (Ereignisfluss) wie für eine normale Authentifizierung. In diesem Fall und dem Flussdiagramm von 6a folgend, überprüft die Ereignisflussmaschine die existierenden Zugangsauthentifizierungsaufzeichnungen (AAR) und findet, dass der Benutzer nicht neu ist; die Benutzergerätidentität, beispielsweise eine MAC-Adresse, ist nicht neu; und der Zugangspunkt (AP-2), wo der Benutzer zugreift, ist unterschiedlich von dem einen, gespeichert in der vorigen Zugangsauthentifizierungsaufzeichnung (AAR) für den Benutzer. Die Ereignisflussmaschine in dem Session-Aggregator-Gerät (SAD) entscheidet mit dieser Information die Erzeugung einer zweiten Zugangsauthentifizierungsaufzeichnung (AAR), und gibt ein positives Ergebnis (S-14, S-12) zurück an den zweiten Zugangspunkt (AP-2), wo der Benutzer vorauthentifiziert wurde, bevorzugt durch den Authentifizierungsserver (Auth-S). Nun markiert der zweite Zugangspunkt (AP-2) den Zugang, erteilt für den Benutzer, obwohl der Benutzer noch nicht eine WLAN-Konnektivität erhalten hat.
  • Bei dieser Stufe können unterschiedliche Aktionen auftreten folgend der obigen Vorauthentifizierungsprozedur, unterschiedliche Aktionen, die die vorliegende Erfindung unterscheiden kann, dank dem Session-Aggregator-Gerät (SAD), und Mittel enthalten darin.
  • Eine erste beispielhafte Aktion, gezeigt in 7c1, beendet den ersten Fluss von Aktionen, der oben beschrieben wurde, wenn der Sequenz in 7a, 7b1 und 7c1 gefolgt wird, und stellt eine Handover-Prozedur dar, die ausgeführt werden kann, nachdem die Vorauthentifizierungsprozedur beendet wurde. Der Handover bzw. Übergabe startet durch das Benutzergerät (UE-1), das eine WLAN-Konnektivität (S-01) mit dem zweiten Zugangspunkt (AP-2) erlangt, wo der Zugang schon erteilt wurde. Der zweite Zugangspunkt (AP-2) beim Detektieren von Benutzerkonnektivität, erzeugt eine Zugangs-Session für den Benutzer, und informiert über dies mit einem Hinweis eines Buchführungsstarts (S-07) an den Buchführungsserver (Acc-S). Gemäß der Erfindung wird das Session-Aggregator-Gerät (SAD) auch informiert (S-15) über das Ereignis und verarbeitet die empfangene Information mit der Ereignisflussmaschine (Ereignisfluss). Das Session-Aggregator-Gerät (SAD) detektiert für diesen Benutzer eine erste Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt, wenn der Benutzer zuerst authentifiziert wurde durch den ersten Zugangspunkt (AP-1), eine erste aggregierte Session-Aufzeichnung (ASR), erzeugt, wenn der Benutzer eine erste Zugangs-Session mit dem ersten Zugangspunkt (AP-1) eingerichtet hat, und eine zweite Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt, wenn der Benutzer vorauthentifiziert wurde durch den zweiten Zugangspunkt (AP-2) vor dem gegenwärtigen Handover.
  • In diesem Fall und dem Flussdiagramm von 6a folgend, begegnet die Ereignisflussmaschine, die sich mit einem Buchführungsstarthinweis befasst, Zugangsauthentifizierungsaufzeichnungen (AARs) für den Benutzer, sowie einer in Verbindung stehenden aggregierten Session-Aufzeichnung (ASR) und bestimmt ein Handover ist auf Kurs. Früher oder später detektiert, wie in 7c1 gezeigt, der erste Zugangspunkt (AP-1), dass der Benutzer (UE-1) nicht länger aktiv ist, wahrscheinlich mit Hilfe einer Inaktivauszeit für den Benutzer, und der erste Zugangspunkt (A2-1) sendet (S-17) einen Hinweis des Buchführungsstopps für den Benutzer an den Buchführungsserver (Acc-S). Hinsichtlich anderer Authentifizierungs- und Buchführungsereignissen empfängt das Session-Aggregator-Gerät (SAD) auch diese Information und verarbeitet diese mit dem Teil der Ereignisflussmaschine, gezeigt in 6b. In dieser Hinsicht könnten der spätere Buchführungsstopp, getriggert von dem ersten Zugangspunkt (AP-1), und der vorherigen Identifikation des Handovers, mehr oder weniger gleichzeitig auftreten, und die Ereignisflussmaschine von 6a und 6b enthält einen ersten (T0) und einen zweiten Zeitgeber (T1) zum passenden Unterscheiden von betrügerischen von erlaubten Situationen.
  • In dem vorliegenden Fall, wie in 7c1 gezeigt, wird der Handover zuerst bestimmt, und gemäß dem Flussdiagramm, gezeigt in 6b, wird die aggregierte Session-Aufzeichnung (ASR) aktualisiert zum Ersetzen des Identifizierers des ersten Zugangspunkts (AP-1) durch den Identifizierer des zweiten Zugangspunkts (AP-2). Dann, wenn das Buchführungsstoppereignis (S-18) behandelt wird, wird die erste Zugangsauthentifizierungsaufzeichnung (AAR) im Zusammenhang stehend mit dem ersten Zugangspunkt (AP-1) entfernt. Letztendlich wird die Handover-Prozedur in 7c1 beendet durch Bestätigen eines solchen Buchführungsereignisses zurück an den ersten Zugangspunkt (AP-1).
  • Eine zweite beispielhafte Aktion, gezeigt in 7c2, beendet den zweiten Fluss von Aktionen, der oben beschrieben wurde, wenn der Sequenz in 7a, 7b1 und 7c2 gefolgt wird, und stellt eine betrügerische Aktivität dar, die auftreten könnte nach einem Beendethaben der Vorauthentifizierungsprozedur, gezeigt in 7b1. Kurz gesagt, kann das Vorgehen, ausgeführt wie den Sequenzen in 7a und 7b1 folgend, und vor einem Starten der Sequenz in 7c2, zusammengefasst werden als: ein erster Benutzer (UE-1) hat eine WLAN-Konnektivität in einem ersten Zugangspunkt (AP-1) erlangt; eine erste Zugangsauthentifizierungsaufzeichnung (AAR) und eine erste aggregierte Session-Aufzeichnung (ASR) wurden erzeugt bei dem Session-Aggregator-Gerät (SAD); eine Vorauthentifizierung des ersten Benutzers wurde ausgeführt durch einen zweiten Zugangspunkt (AP-2) und als Ergebnis dieser Vorauthentifizierung wurde eine zweite Zugangsauthentifizierungsaufzeichnung (AAR) auch erzeugt bei dem Session-Aggregator-Gerät (SAD).
  • Zu dieser Zeit kann eine betrügerische Aktivität ausgeführt werden durch einen Angreiferbenutzer (UE-2), der die Sicherheitsschlüssel des ersten Benutzers (UE-1) stiehlt, und ein eigenes Endgerät (UE-2) mit einem unterschiedlichen Endgerätidentifizierer verwendet, das heißt, mit einer MAC-Adresse, die unterschiedlich ist von der einen, die verändert wird durch den ersten Benutzer (UE-1), wie in 7c2 dargestellt, kann der Angreiferbenutzer (UE-2) daher eine WLAN-Konnektivität (S-01) mit dem zweiten Zugangspunkt (AP-2) erlangen, wobei der erste Benutzer (UE-1) vorauthentifiziert wurde. Der zweite Zugangspunkt (AP-2) erzeugt eine Zugangs-Session für den Benutzer und informiert über dies mit einem Hinweis des Buchführungsstarts (S-07) an den Buchführungsserver (Acc-S). Wie für vorherige Fälle und gemäß der Erfindung, wird das Session-Aggregator-Gerät (SAD) auch informiert (S-15) über das Ereignis und verarbeitet die empfangene Information mit der Ereignisflussmaschine (Ereignisfluss), gezeigt in 6a. Tatsächlich wird, nach einem sich Beschäftigen mit einem Buchführungsstart bei der Ereignisflussmaschine, keine Zugangsauthentifizierungsaufzeichnung (AAR) gefunden für den Benutzer mit der empfangenen MAC-Adresse, die dem Angreiferbenutzer (UE-2) entspricht, da die ersten und zweiten Zugangsauthentifizierungsaufzeichnungen (AARs), die bei dem Session-Aggregator-Gerät (SAD) existieren, beide die MAC-Adresse des ersten Benutzers (UE-1) enthalten. Deshalb wird ein möglicher Betrug detektiert, und kann entweder zurückkommuniziert werden (S-16, S-08) an den zweiten Zugangspunkt (AP-2), um Zugang für den Angreiferbenutzer (UE-2) zu verweigern, oder an ein externes Betrugsmanagementsystem bei Heimoperatoreinrichtungen, was in keiner Zeichnung gezeigt ist.
  • Eine Variante der betrügerischen Aktivität, die oben beschrieben wird, mit der zweiten beispielhaften Aktion, gezeigt in 7c2, ist, wenn der Angreiferbenutzer (UE-2) nicht nur die Sicherheitsschlüssel gestohlen oder getäuscht bzw. erschwindelt hat von dem ersten Benutzer (UE-1), aber auch den Endgerätidentifizierer, eine MAC-Adresse, des ersten Benutzers (UE-1). Unter der Annahme, dass der zweite Zugangspunkt (AP-2), wo der erste Benutzer (UE-1) vorauthentifiziert wurde, eine Zugangs-Session für den Benutzer erzeugt, und über diese informiert mit einem Hinweis des Buchführungsstarts (S-07) an den Buchführungsserver (Acc-S), wie dargestellt in 7c2, und vorher kommentiert. Dann begegnet dem Session-Aggregator-Gerät (SAD) empfangend (S-15) und verarbeitend solch eine Information mit der Ereignisflussmaschine (Ereignisfluss) der zweiten Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt, wenn eine Vorauthentifizierung des ersten Benutzers (UE-1) durchgeführt wird, und begegnet auch der ersten aggregierten Session-Aufzeichnung (ASR), die erzeugt wird, wenn der erste Benutzer WLAN-Konnektivität mit dem ersten Zugangspunkt (AP-1) erlangt. Dem in 6a gezeigten Fluss folgend, bestimmt die Ereignisflussmaschine (Ereignisfluss), dass es ein Handover gibt, wie jeder bestimmen kann durch Vergleichen des Vorgehens für die Handover-Prozedur, die auch oben beschrieben ist. Jedoch ist dieser Fall nicht ein Handover und ein Timeout bzw. Auszeit (T0) eines Zeitgebers, wenn bestimmt wird, dass ein Handover abgelaufen ist vor einem Empfangen eines entsprechenden Hinweises eines Buchführungsstopps, was die Ereignisflussmaschine zum Bestimmen einer möglichen Betrugssituation auch für diesen Fall führt.
  • Eine dritte beispielhafte Aktion, gezeigt in 7b2, vervollständigt den dritten Fluss von Aktionen, der oben kommentiert wurde, wenn der Sequenz in 7a und 7b2 gefolgt wird, und stellt die Schritte dar, die ausgeführt werden durch verschiedene Entitäten, wenn der erste Benutzer (UE-1), der authentifiziert wurde, und WLAN-Konnektivität erreicht hat, folgend der Sequenz in 7a, initiiert eine WLAN-Trennung (S-20). Wie 7b2 darstellt, wird die WLAN-Trennung (S-20) empfangen bei dem ersten Zugangspunkt (AP-1), der den Benutzer (UE-1) bedient, und der erste Zugangspunkt sendet (S-17) einen Hinweis eines Buchführungsstopps an den Buchführungsserver (Acc-S). Dieser Hinweis wird auch empfangen (S-15) bei dem Session-Aggregator-Gerät (SAD), wobei das letztere solch eine Information mit der Ereignisflussmaschine (Ereignisfluss) verarbeitet, die der ersten Zugangsauthentifizierungsaufzeichnung (AAR) begegnet, erzeugt, wenn der erste Benutzer (UE-1) authentifiziert wird, und begegnet auch der im Zusammenhang stehenden ersten aggregierten Session-Aufzeichnung (ASR), erzeugt, wenn der erste Benutzer, WLAN-Konnektivität mit dem ersten Zugangspunkt (AP-1) erlangt hat. Das Session-Aggregator-Gerät (SAD), das sich mit solch einem Buchführungsstopp beschäftigt, entfernt die im Zusammenhang stehende erste aggregierte Session-Aufzeichnung (ASR) und als Teil dieser Routine entfernt es auch die im Zusammenhang stehenden Zugangsauthentifizierungsaufzeichnungen (AAR), was im vorliegenden Fall nur die erste Zugangsauthentifizierungsaufzeichnung (AAR) ist. Ein ähnliches Verhalten kann erhalten werden, falls der Benutzer nicht explizit sich von dem ersten Zugangspunkt (AP-1) trennt, wobei eine Benutzerinaktivitätsauszeit abläuft, was verstanden wird bei dem ersten Zugangspunkt (AP-1) als eine implizite Trennung, produzierend den gleichen Effekt wie die explizite Trennung.
  • Eine vierte beispielhafte Aktion, gezeigt in 7b3, vervollständigt den vierten Fluss von Aktionen, der oben kommentiert wurde, wenn der Sequenz in 7a und 7b3 gefolgt wird, und stellt die Prozedur dar, die der Erteilung oder Versagung eines Zugangs für Benutzer mit mehr als einem Benutzergerät simultan folgt. Daher gibt es, sobald ein Benutzer mit einem ersten Benutzergerät (UE-1) authentifiziert wurde, und WLAN-Konnektivität mit einem ersten Zugangspunkt (AP-1) erlangt hat, wie in 7a gezeigt, eine erste Zugangsauthentifizierungsaufzeichnung (AAR) und eine erste aggregierte Session-Aufzeichnung (ASR), erzeugt für den Benutzer in dem Session-Aggregator-Gerät (SAD). Die Sequenz in 7b3 startet, wenn der gleiche Benutzer mit einem zweiten Benutzergerät (UE-1bis) versucht, zuzugreifen (S-09) auf einen zweiten Zugangspunkt (AP-2), was bei dem gleichen Operator (WISP) wie bei dem ersten Zugangspunkt AP-1 ist, oder bei anderen Operatoreinrichtungen, nicht gezeigt in irgendeiner Zeichnung. Der zweite Zugangspunkt (AP-2) setzt dann die Benutzerauthentifizierung (S-11) durch bei einem Authentifizierungsserver (Auth-S) in dem Heimoperatornetzwerk, das eine Subskription für den Benutzer hält. Bei erfolgreicher Benutzerauthentifizierung verarbeitet das Session-Aggregator-Gerät (SAD) die empfangene Information mit der Ereignisflussmaschine (Ereignisfluss). Wie beim sich Beschäftigen mit dem Authentifizierungsereignis bei 6a, begegnet die Ereignisflussmaschine auch einem Fall, dass der Benutzer nicht neu ist, und der Identifizierer des Benutzergeräts (UE-1bis) ist unterschiedlich von einem, der in einem vorherigen Zugang verwendet wird, das heißt, dass die empfangene MAC-Adresse unterschiedlich ist von der vorherigen. Das Ergebnis dieses Prozesses bei dieser Stufe hängt ab, ob mehr als eine Zugangs-Session erlaubt ist, simultan für den Benutzer aktiv zu sein, was bestimmt werden kann, basierend auf Subskriptionsoptionen unter der Heimoperatorperspektive. Vorausgesetzt, dass dem Benutzer erlaubt wird, Zugang durch verschiedene Zugangspunkte (AP-1, AP-2) zu erlangen mit unterschiedlichen Benutzergeräten (UE-1, UE-1bis), erzeugt das Session-Aggregator-Gerät (SAD) eine zweite Zugangsauthentifizierungsaufzeichnung (AAR) und sendet eine erfolgreiche Bestätigung zurück (S-14, S-12) an den zweiten Zugangspunkt (AP-2), wobei der Zugang erteilt wird. Andererseits nimmt das Session-Aggregator-Gerät (SAD) an, dass das zweite Benutzergerät (UE-1bis) verwendet wird durch einen Angreiferbenutzer, der die Benutzerschlüssel oder Berechtigungsnachweise, einen Zugriff auf das Netzwerk zu versuchen, gestohlen hat, was verstanden wird als möglicher Betrug, und gibt die Bestätigung zurück (S-14, S-12) zu dem zweiten Zugangspunkt (AP-2) für den späteren zum Verweigern eines Zugriffs auf den Benutzer. Das Session-Aggregator-Gerät (SAD) kann auch ein externes Betrugsmanagementsystem informieren, um richtige Aktionen zu unternehmen.
  • Im Fall, dass Zugang erteilt wurde, kann der Benutzer eine WLAN-Konnektivität mit dem zweiten Benutzergerät (UE-1bis) durch den zweiten Zugangspunkt (AP-2) erlangen (S-01), wobei der spätere einen Hinweis des Buchführungsstarts an den Buchführungsserver (Acc-S) sendet, und wie in vorherigen Fällen das Session-Aggregator-Gerät (SAD) solch eine Information mit der Ereignisflussmaschine (Ereignisfluss) empfängt und verarbeitet. Das Session-Aggregator-Gerät (SAD) beim sich Befassen mit dem Buchführungsstart, folgt der Prozesssequenz, gezeigt in 6a, und begegnet einer existierenden Zugangsauthentifizierungsaufzeichnung (AAR) für den Benutzer, nämlich die zweite Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt während einer Authentifizierung mit dem zweiten Benutzergerät (UE-1bis). Als gegeben angesehen, dass keine im Zusammenhang stehende aggregierte Session-Aufzeichnung (ASR) gefunden wird für die zweite Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt das Session-Aggregator-Gerät (SAD) eine zweite aggregierte Session-Aufzeichnung (ASR) für den Benutzer (UE-1bis) und sendet diese Information zurück (S-16, S-08) mit einer Bestätigung an den zweiten Zugangspunkt (AP-2), wobei der Benutzer eine WLAN-Konnektivität für das zweite Benutzergerät (UE-1bis) bekommen hat.
  • Hinsichtlich der Mittel, die das Session-Aggregator-Gerät (SAD) hat zum Sammeln von Information von Authentifizierungs- und Buchführungsereignissen, um die Steuerüberprüfung mit der Ereignisflussmaschine auszuführen, enthält das Session- Aggregator-Gerät (SAD) eine Einrichtung zum Empfangen eines Benutzeridentifizierers, der den Benutzer identifiziert; ein Endgerät oder einen Benutzergerätidentifizierer, wie zum Beispiel eine MAC-Adresse, die das Endgerät identifiziert, auf das der Benutzer zugreift; und eine Netzwerkzugangsserver-IP-Adresse, die den Zugangspunkt identifiziert, wo der Benutzer zugreift. Diese Identifizierer werden bevorzug empfangen als Parameter, die enthalten sind in Nachrichten, die kennzeichnen, dass man sich mit einem Authentifizierungsereignis (S-13) und mit einem Buchführungsereignis (S-15, S-17) beschäftigt, empfangen bei dem Session-Aggregator-Gerät (SAD) gemäß der Erfindung.
  • Gemäß heutzutage bevorzugter Ausführungsformen enthält eine Zugangsauthentifizierungsaufzeichnung (AAR), erzeugt bei dem Session-Aggregator-Gerät (SAD), den Benutzeridentifizierer, der verwendet wird während der Authentifizierungsprozedur, der der Zugangsauthentifizierungsaufzeichnung (AAR) entspricht, den Benutzergerätidentifizierer, der verwendet wird während dieser Authentifizierungsprozedur, und die Zugangspunkt-IP-Adresse, die solch eine Authentifizierung durchgesetzt hat. Die Zugangsauthentifizierungsaufzeichnung (AAR) enthält vorteilhaft einen Hinweis über den Typ der Authentifizierung, ausgeführt für den Benutzer, und eine Zeitmessung, die die Zeit kennzeichnet, wann die Zugangsauthentifizierungsaufzeichnung (AAR) erzeugt wurde. Ähnlich enthält eine aggregierte Session-Aufzeichnung (ASR), erzeugt bei dem Session-Aggregator-Gerät (SAD), einen Benutzeridentifizierer, der verwendet wird, wenn eine WLAN-Konnektivität erlangt wird und im Zusammenhang stehend mit der Zugangs-Session, die der aggregierten Session-Aufzeichnung (ASR) entspricht, einen Benutzergerätidentifizierer, der verwendet wird während dieser Zugangs-Session, die Zugangspunkt-IP-Adresse, wo die Zugangs-Session eingerichtet wurde, und eine Liste mit diesen Zugangsauthentifizierungsaufzeichnungen (AAR), im Zusammenhang stehend mit dieser bestimmten aggregierten Session-Aufzeichnung (ASR). Vorteilhaft enthält die aggregierte Session-Aufzeichnung (ASR) auch eine Zeitmessung, die die Zeit kennzeichnet, wann sie bei dem Session-Aggregator-Gerät (SAD) erzeugt wurde.
  • Über dies hinaus gibt es, als gegeben vorausgesetzt, dass der Benutzeridentifizierer, der verwendet wird für die Authentifizierungsprozedur, nämlich eine Authentifizierungsidentität, unterschiedlich sein könnte als die eine, die verwendet wird, wenn eine WLAN-Konnektivität erlangt wird, nämlich eine Buchführungsidentität, gemäß einer Ausführungsform der Erfindung ein Globalabbildungsmodul bei dem Session-Aggregator-Gerät (SAD) zum Korrelieren von Authentifizierungsidentitäten und Buchführungsidentitäten für jeden Benutzer, eine Authentifizierungsidentität, die empfangen wird als der Benutzeridentifizierer, die den Benutzer identifiziert in jedem Hinweis eines Authentifizierungsereignisses (S-13), wobei eine Buchführungsidentität empfangen wird als der Benutzeridentifizierer, der den Benutzer in jedem Hinweis eines Buchführungsereignisses identifiziert (S-15, S-17).
  • Alternativ kann, vorausgesetzt, dass mehrere Authentifizierungsidentitäten und mehrere Buchführungsidentitäten verwenden werden können durch einen Benutzer, ein erstes Abbildungsmodul in dem Authentifizierungsserver (Auth-S) sein zum Abbilden der mehreren Authentifizierungsidentitäten auf eine eindeutige Benutzeridentität, die den Benutzer identifiziert unter Heimoperatoreinrichtungen, und ein zweite Abbildungsmodul kann in dem Buchführungsserver (Acc-S) sein zum Abbilden der mehreren Buchführungsidentitäten auf die eindeutige Benutzeridentität, die den Benutzer in den Heimoperatoreinrichtungen identifiziert. Die eindeutige Benutzeridentität, die den Benutzer bei den Heimoperatoreinrichtungen identifiziert, wird verwendet durch sowohl den Authentifizierungsserver (Auth-S) als auch den Buchführungsserver (Acc-S) als Benutzeridentifizierer, der den Benutzer kennzeichnet in jedem entsprechenden Hinweis auf ein Authentifizierungsereignis (S-13) und ein Buchführungsereignis (S-15).
  • In einer weiteren alternativen Ausführungsform existiert das globale Abbildungsmodul nur in einer zentralisierten Teilnehmerserverdatenbank bei den Heimoperatoreinrichtungen, wobei individuelle Anfragen von dem Authentifizierungsserver (Auth-S) und dem Buchführungsserver (Acc-S) geleitet werden zum Erhalten eines eindeutigen Benutzeridentifizierers zum Identifizieren des Benutzer in dem Session-Aggregator-Gerät (SAD).
  • Weitere Vorteile können erhalten werden durch Besitzen eines zentralisierten Session-Aggregator-Geräts (SAD) zum Steuern von Benutzeraktivitäten, wenn mehr als eine Zugangs-Session simultan für einen Benutzer aktiv sein kann. Ein wichtiger Vorteil ist die zusätzliche Unterstützung, dass das Session-Aggregator-Gerät (SAD) Single-Sign-On-(hier im Folgenden SSO)-Dienste bietet. SSO ist ein aufkommendes Prinzip, wodurch ein Benutzer, der einmal authentifiziert wurde, wenn zuerst auf einen ersten Zugangspunkt zugegriffen wurde in einem ersten Zugangsnetzwerk, auf einen zweiten Zugangspunkt in einem zweiten Zugangsnetzwerk zugreifen kann, ohne dass eine neue Identifizierung gebraucht wird. Wenn der Benutzer zuerst auf den zweiten Zugangspunkt zugreift, triggert deshalb der spätere anstatt eines Durchsetzens der Benutzerauthentifizierung eine Authentifizierungsanforderung an den Authentifizierungsserver (Auth-S), wobei diese Authentifizierungsanforderung auch empfangen wird bei dem Session-Aggregator-Gerät (SAD) und darin verarbeitet wird mit Hilfe der Ereignisflussmaschine (Ereignisfluss). Über dies hinaus kann das Session-Aggregator-Gerät (SAD) auch kontaktiert werden von einem Dienstnetzwerk bzw. Servicenetzwerk, das Dienste Benutzern anbietet, die Teilnehmer sind des ersten Operatornetzwerks, um zu verifizieren, ob oder ob nicht ein Benutzer vorher authentifiziert wurde.
  • Die Erfindung wird oben beschrieben hinsichtlich mehrerer Ausführungsformen auf eine darstellende und nicht beschränkende Art und Weise. Offensichtlich sind Variationen und Kombinationen dieser Ausführungsformen möglich im Lichte der obigen Lehren, und jede Modifizierung der Ausführungsformen, die innerhalb des Umfangs der Ansprüche fällt, wird beabsichtigt, darin enthalten zu sein.

Claims (25)

  1. Ein Session-Aggregator-Gerät (SAD) zum Steuern einer Vielzahl von Zugangs-Sessions, eingerichtet durch einen Benutzer, der auf ein drahtloses lokales Bereichsnetzwerk (WLAN, Wireless Local Area Network) durch eine Anzahl von Zugangspunkten (AP-1, AP-2) zugreift, wobei der Benutzer ein Teilnehmer eines ersten Operatornetzwerks (Heim) ist, und die Zugangspunkte, die zu den zweiten Operatornetzwerken (WISP-1; WISP-2) gehören, und Zugangssteuerprozeduren ausführen, wodurch der Benutzer authentifiziert wird durch das erste Operatornetzwerk (Heim), das Session-Aggregator-Gerät umfassend: a) Mittel zum Empfangen eines Hinweises auf ein Authentifizierungsereignis (S-13) für den Benutzer, der auf einen gegebenen Zugangspunkt (AP-1; AP-2) mit einem gegebenen Benutzergerät (UE-1, UE-2, UE-1bis) zugreift; und b) Mittel zum Empfangen eines Hinweises auf ein Buchführungsereignis (S-15), das Information bezüglich einer Zugangs-Session enthält, eingerichtet für den Benutzer bei dem gegebenen Zugangspunkt mit dem gegebenen Benutzergerät; c) Autorisierungsmittel, angeordnet zum Durchführen einer Entscheidung, ob dem Benutzer erlaubt wird, auf den gegebenen Zugangspunkt zuzugreifen durch Empfangen von Information der Authentifizierungsereignisse (S-13), und basierend auf anderen Zugangs-Sessions, die der Benutzer eingerichtet hat; und gekennzeichnet durch: d) Verarbeitungsmittel, angeordnet zum Bestimmen, ob ein gegenwärtiges Vorgehen einem erlaubtem Fluss entspricht, oder einem möglichen betrügerischen Fluss durch Empfangen von Information der Buchführungsereignisse (S-15) für den Benutzer, der eine Zugangs-Session bei dem gegebenen Zugangspunkt mit dem gegebenen Benutzergerät aufweist.
  2. Das Session-Aggregator-Gerät (SAD, Session Aggregator Device) nach Anspruch 1, wobei das Autorisierungsmittel Mittel enthält zum Erzeugen eines Access Authentication Records bzw. Zugangsauthentifizierungsaufzeichnung für den Benutzer, sobald ein Hinweis auf ein Authentifizierungsereignis (S-13) empfangen wird, das kennzeichnet, dass der Benutzer authentifiziert wurde durch einen gegebenen Zugangspunkt (AP-1, AP-2), wobei die Zugangsauthentifizierungsaufzeichnung umfasst: – einen Benutzeridentifizierer, der den Benutzer identifiziert, der adressiert wird in dem Hinweis (S-13); – einen Identifizierer des Benutzergeräts (UE-1, UE-2, UE-1bis), der in dem Hinweis (S-13) empfangen wird; und – einen Identifizierer des Zugangspunkts (AP-1, AP-2), der die Authentifizierung durchsetzt.
  3. Das Session-Aggregator-Gerät (SAD) nach Anspruch 2, wobei eine erste Zugangsauthentifizierungsaufzeichnung erzeugt wird, wenn der Benutzer authentifiziert wird durch einen ersten Zugangspunkt (AP-1), wobei der Benutzer zugreift mit seinem Benutzergerät (UE-1), und eine zweite Zugangsauthentifizierungsaufzeichnung erzeugt wird, wenn der Benutzer vorauthentifiziert wird durch einen zweiten Zugangspunkt (AP-2) mit dem Benutzergerät (UE-1).
  4. Das Session-Aggregator-Gerät (SAD) nach Anspruch 2, wobei eine erste Zugangsauthentifizierungsaufzeichnung erzeugt wird, wenn der Benutzer authentifiziert wird durch einen ersten Zugangspunkt (AP-1), wobei der Benutzer mit einem ersten Benutzergerät (UE-1) zugreift, und eine zweite Zugangsauthentifizierungsaufzeichnung erzeugt wird, wenn der Benutzer authentifiziert wird durch einen zweiten Zugangspunkt (AP-2), wo der Benutzer mit einem zweiten Benutzergerät (UE-1bis) zugreift, wobei es dem Benutzer erlaubt wird, mehr als eine Zugangs-Session simultan aktiv zu haben.
  5. Das Session-Aggregator-Gerät (SAD) nach Anspruch 2, wobei die Zugangsauthentifizierungsaufzeichnung ferner einen Hinweis umfasst über die Art der Authentifizierung, die ausgeführt wird für den Benutzer, und eine Zeitmessung, die auf die Zeit hinweist, wann die Zugangsauthentifizierungsaufzeichnung erzeugt wurde.
  6. Das Session-Aggregator-Gerät (SAD) nach Anspruch 1, wobei das Verarbeitungsmittel Mittel enthält zum Erzeugen einer Aggregated Session Record bzw. aggregierten Session-Aufzeichnung für den Benutzer, sobald ein Hinweis auf ein Buchführungsereignis (S-15) empfangen wird, das kennzeichnet, dass der Benutzer eine Zugangs-Session durch einen gegebenen Zugangspunkt (AP-1, AP-2) eingerichtet hat, wobei die aggregierte Session-Aufzeichnung umfasst: – einen Benutzeridentifizierer, der den Benutzer identifiziert, der in dem Hinweis adressiert wird (S-15); – einen Identifizierer des Benutzergeräts (UE-1, UE-2, UE-1bis), der empfangen wird in dem Hinweis (S-15); – einen Identifizierer des Zugangspunkts (AP-1, AP-2), wobei die Session eingerichtet wurde; und – eine Liste der Access-Authentification-Records bzw. Zugangsauthentifizierungsaufzeichnungen, die im Zusammenhang stehen mit dieser bestimmten aggregierten Session-Aufzeichnung.
  7. Das Session-Aggregator-Gerät (SAD) nach Anspruch 6, wobei die aggregierte Session-Aufzeichnung aktualisiert wird während einer Handover-Prozedur zum Ersetzen eines ersten Identifizierers eines ersten Zugangspunkts (AP-1), wobei der Benutzer mit dem Benutzergerät (UE-1) zugegriffen hat, durch einen zweiten Identifizierer des zweiten Zugangspunkts (AP-2), wobei der Benutzer eine Zugangs-Session eingerichtet hat, nachdem er eine erfolgreiche Vorauthentifizierung hat.
  8. Das Session-Aggregator-Gerät (SAD) nach Anspruch 6, wobei die aggregierte Session-Aufzeichnung entfernt wird, wenn ein Hinweis auf einen Buchführungsstopp (S-17) empfangen wird, entsprechend der Zugangs-Session, die der Benutzer eingerichtet hat mit dem Benutzergerät (UE-1) durch den Zugangspunkt (AP-1).
  9. Das Session-Aggregator-Gerät (SAD) nach Anspruch 2, wobei eine erste aggregierte Session-Aufzeichnung bzw. Aggregated Session Record erzeugt wird, wenn der Benutzer eine erste Zugangs-Session durch einen ersten Zugangspunkt (AP-1) mit einem ersten Benutzergerät (UE-1) eingerichtet hat, und eine zweite aggregierte Session-Aufzeichnung erzeugt wird, wenn der Benutzer eine zweite Zugangs-Session durch einen zweiten Zugangspunkt (AP-2) mit einem zweiten Benutzergerät (UE-1bis) eingerichtet hat, wobei dem Benutzer erlaubt wird, mehr als eine Zugangs-Session simultan aktiv zu haben.
  10. Das Session-Aggregator-Gerät (SAD) nach Anspruch 6, wobei die aggregierte Session-Aufzeichnung ferner eine Zeitmessung umfasst, die kennzeichnend ist für die Zeit, wann die aggregierte Session-Aufzeichnung erzeugt wurde.
  11. Das Session-Aggregator-Gerät (SAD) nach Anspruch 1, ferner umfassend ein globales Abbildungsmodul zum Korrelieren einer Authentifizierungsidentität und einer Buchführungsidentität, wobei die Buchführungsidentität empfangen wird als der Benutzeridentifizierer, der den Benutzer in jedem Hinweis auf das Authentifizierungsereignis identifiziert (S-13), und wobei die Buchführungsidentität empfangen wird als der Benutzeridentifizierer, der den Benutzer in jedem Hinweis auf das Buchführungsereignis identifiziert (S-15, S-17).
  12. Das Session-Aggregator-Gerät (SAD) nach Anspruch 1, wobei das erste Operatornetzwerk und zweite Operatornetzwerke betrieben werden durch einen gleichen Netzwerkbetreiber bzw. Netzwerkoperator.
  13. Ein Verfahren zum Steuern einer Vielzahl von Zugangs-Sessions, eingerichtet durch einen Benutzer, der auf ein drahtloses lokales Bereichsnetzwerk (WLAN, Wireless Local Area Network) durch eine Anzahl von Zugangspunkten (AP-1, AP-2) zugreift, wobei der Benutzer ein Teilnehmer eines ersten Operatornetzwerks bzw. Betreibernetzwerks (Heim) ist, die Zugangspunkte durch zweite Operatornetzwerke (WISP-1; WISP-2) betrieben werden und Zugangssteuerprozeduren ausgeführt werden, wobei das Verfahren die Schritte umfasst: a) Durchsetzen (S-10) einer Benutzerauthentifizierung bei einem Zugangspunkt (AP-1, AP-2), wobei der Benutzer zugegriffen hat (S-09, S-22) mit einem Benutzergerät (UE-1, UE-2, UE-1bis); b) Ausführen (S-11, S-12) einer Benutzerauthentifizierung zwischen dem Benutzergerät (UE-1, UE-2, UE-1bis) und einem Authentifizierungsserver (Auth-S) bei dem ersten Operatornetzwerk (Heim); c) Einrichten einer Zugangs-Session (S-01), die einen Zugang für den Benutzer durch den Zugangspunkt (AP-1, AP-2) bei erfolgreicher Benutzerauthentifizierung (S-12) erteilt; und d) Hinweisen auf einen Buchführungsstart (S-07) in Richtung eines Buchführungsservers (Acc-S) bei dem ersten Operatornetzwerk (Heim), nachdem der Benutzer eine Konnektivität (S-01) bei der Zugangs-Session erhält; e) Durchführen einer Autorisierungsentscheidung (S-14, S-12), basierend auf vorigen Zugangs-Sessions, die schon eingerichtet wurden für den Benutzer mit dem gegebenen Benutzergerät (UE-1, UE-2, UE-1bis) bei Hinweis auf ein Authentifizierungsereignis (S-13), das empfangen wird bei einer zentralisierten Entität (SAD); gekennzeichnet durch die Schritte: f) Bestimmen (S-16, S-08), ob ein gegenwärtiges Vorgehen einem erlaubten Fluss entspricht, oder einem möglichen betrügerischen Fluss, für den Benutzer, der die Zugangs-Session bei dem gegebenen Zugangspunkt (A2-1, AP-2) mit dem gegebenen Benutzergerät (UE-1, UE-2, UE-1bis) hat, bei Hinweis auf ein Buchführungsereignis (S-15), das empfangen wird bei einer zentralisierten Entität (SAD).
  14. Das Verfahren nach Anspruch 13, wobei der Schritt e) eines Durchführens einer Authentifizierungsentscheidung die Schritte enthält: e1) Überprüfen, ob der Benutzer mit einem gegebenen Benutzeridentifizierer neu ist aus einem Ereignisentscheidungsgesichtspunkt; e2) Überprüfen für einen nicht-neuen Benutzer, ob ein gegebener Identifizierer (MAC-Adresse) des Benutzergeräts neu ist; und e3) Überprüfen für einen nicht-neuen Benutzer mit einem neuen Identifizierer des Benutzergeräts, ob mehrere Zugangs-Sessions erlaubt sind, simultan aktiv zu sein für den Benutzer.
  15. Das Verfahren nach Anspruch 14, wobei die Überprüfungsschritte, die daraus resultieren aus einem Bestimmen eines nicht-neuen Benutzers mit einem neuen Identifizierer des Benutzergeräts und mehreren Zugangs-Sessions, denen es nicht erlaubt ist, simultan aktiv zu sein für den Benutzer, dazu führen, eine möglicherweise betrügerische Aktivität zu detektieren.
  16. Das Verfahren nach Anspruch 14, ferner umfassend eine Schritt eines Überprüfens für einen nicht-neuen Benutzer mit einem nicht-neuen Identifizierer des Benutzergeräts, ob ein gegebener Identifizierer des Zugangspunkts (AP-1, AP-2) neu ist, was als eine Authentifizierung oder Vorauthentifizierung des Benutzers verstanden wird.
  17. Das Verfahren nach Anspruch 13, ferner umfassend einen Schritt eines Erzeugens einer ersten Zugangsauthentifizierungsaufzeichnung bzw. Access Authentication Record für den Benutzer, sobald eine positive Autorisierungsentscheidung durchgeführt wurde für den Benutzer zum Zugreifen durch einen ersten Zugangspunkt (A2-1) mit einem Benutzergerät (UE-1), wobei die Zugangsauthentifizierungsaufzeichnung umfasst: – einen Benutzeridentifizierer, der den Benutzer identifiziert, der adressiert wird in dem Hinweis auf ein Authentifizierungsereignis (S-13); – einen Identifizierer des Benutzergeräts (UE-1, der empfangen wird in dem Hinweis auf ein Authentifizierungsereignis (S-13); und – einen Identifizierer des Zugangspunkts (AP-1), der die Authentifizierung durchgesetzt hat.
  18. Das Verfahren nach Anspruch 17, ferner umfassend einen Schritt eines Erzeugens eines zweiten Access Authentication Records bzw. Zugangsauthentifizierungsaufzeichnung für den Benutzer, wenn der Benutzer vorauthentifiziert wird durch einen zweiten Zugangspunkt (AP-2).
  19. Das Verfahren nach Anspruch 13, wobei der Schritt f) eines Bestimmens des gegenwärtigen Vorgehens die Schritte enthält: f1) Überprüfen, ob eine erfolgreiche Authentifizierung stattgefunden hat für den Benutzer mit einem gegebenen Benutzeridentifizierer, mit einem gegebenen Identifizierer (UE-1, UE-2, UE-1bis) des Benutzergeräts und durch einen Zugangspunkt, der identifiziert wird durch einen gegebenen Identifizierer (AP-1, AP-2) und f2) Überprüfen, ob irgendeine vorherige Zugangs-Session für diese erfolgreiche Authentifizierung schon gekennzeichnet wurde.
  20. Das Verfahren nach Anspruch 19, wobei Überprüfungsschritte, die auf einem Bestimmen resultieren, dass keine erfolgreiche Authentifizierung stattgefunden hat für den Benutzer mit einem gegebenen Benutzeridentifizierer, mit einem gegebenen Identifizierer (UE-1) des Benutzergeräts und durch einen gegebenen Zugangspunkt, der identifiziert wird durch einen gegebenen Identifizierer (AP-2), zum Detektieren einer möglicherweise böswilligen Aktivität führen.
  21. Das Verfahren nach Anspruch 19, wobei Überprüfungsschritte, die auf einem Bestimmen resultieren, dass eine erfolgreiche Authentifizierung schon stattgefunden hat für den Benutzer, und eine vorherige Zugangs-Session für diese erfolgreiche Authentifizierung schon gekennzeichnet wurde, verstanden werden als eine Handover-Prozedur, die auf Kurs ist.
  22. Das Verfahren nach Anspruch 17, ferner enthaltend einen Schritt eines Erzeugens einer aggregierten Session- Aufzeichnung bzw. Aggregated Session Record für den Benutzer, sobald bestimmt wird, dass eine positive Autorisierung schon für den Benutzer zum Zugreifen auf den gegebenen Zugangspunkt durchgeführt wurde, und keine Zugangs-Session schon gekennzeichnet wurde für diese positive Autorisierung, wobei die aggregierte Session-Aufzeichnung umfasst: – einen Benutzeridentifizierer, der den Benutzer identifiziert, der in dem Hinweis auf ein Buchführungsereignis adressiert wird (S-15); – einen Identifizierer des Benutzergeräts (UE-1, UE-2, UE-1bis), der empfangen wird in dem Hinweis auf ein Buchführungsereignis (S-15); – einen Identifizierer des Zugangspunkts (AP-1, AP-2), wobei die Session eingerichtet wurde; und – eine Liste der Access Authentification Records bzw. Zugangsauthentifizierungsaufzeichnungen, die im Zusammenhang stehen mit dieser aggregierten Session-Aufzeichnung.
  23. Das Verfahren nach Ansprüchen 21 und 22, ferner umfassend einen Schritt eines Aktualisierens einer aggregierten Session-Aufzeichnung, sobald ein Handover detektiert wird zwischen einem ersten Zugangspunkt (AP-1) und einem zweiten Zugangspunkt (AP-2), wobei das Aktualisieren ausgeführt wird durch Ersetzen eines Identifizierers des ersten Zugangspunkts (AP-1) mit einem Identifizierer des zweiten Zugangspunkts (AP-2) und durch Entfernen von der Liste der Zugangsauthentifizierungsaufzeichnung entsprechend dem ersten Zugangspunkt.
  24. Das Verfahren nach Ansprüchen 13 oder 23, ferner umfassend einen Schritt eines Trennens eines Benutzers mit einer Zugangs-Session, eingerichtet durch einen gegebenen Zugangspunkt (AP-1), wobei die Trennung gekennzeichnet wird mit einem Buchführungsereignis (S-17) in Richtung einer zentralisierten Entität (SAD).
  25. Das Verfahren nach Anspruch 24, wobei der Schritt eines Trennens die Schritte enthält: Entfernen der entsprechenden Zugangsauthentifizierungsaufzeichnung; Aktualisieren der im Zusammenhang stehenden aggregierten Session-Aufzeichnung zum Entfernen der Zugangsauthentifizierungsaufzeichnung von der Liste; und Entfernen der aggregierten Session-Aufzeichnung, wenn die Liste leer ist.
DE602004012465T 2004-11-09 2004-11-09 Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke Active DE602004012465T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2004/001636 WO2006052170A1 (en) 2004-11-09 2004-11-09 Apparatus and method for fraud prevention when accessing through wireless local area networks

Publications (2)

Publication Number Publication Date
DE602004012465D1 DE602004012465D1 (de) 2008-04-24
DE602004012465T2 true DE602004012465T2 (de) 2009-04-02

Family

ID=34959127

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004012465T Active DE602004012465T2 (de) 2004-11-09 2004-11-09 Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke

Country Status (6)

Country Link
US (1) US7848737B2 (de)
EP (1) EP1810473B1 (de)
AT (1) ATE389292T1 (de)
DE (1) DE602004012465T2 (de)
ES (1) ES2300850T3 (de)
WO (1) WO2006052170A1 (de)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8272032B2 (en) * 2004-11-10 2012-09-18 Mlb Advanced Media, L.P. Multiple user login detection and response system
EP1989827B3 (de) 2006-03-02 2015-11-11 Nokia Corporation Unterstützung eines zugangs zu einem zielnetz über ein drahtloses zugangsnetz
JP4953736B2 (ja) * 2006-09-06 2012-06-13 パナソニック株式会社 無線通信システム
US7769852B2 (en) * 2006-10-13 2010-08-03 Microsoft Corporation Detection and notification of network-related events
CA2942180C (en) * 2006-10-20 2019-02-12 T-Mobile Usa, Inc. System and method to indicate ip-based wireless telecommunications service availability and related information
US8639247B2 (en) * 2006-12-12 2014-01-28 Ericsson Evdo Inc. Access terminal session authentication
US9055511B2 (en) * 2007-10-08 2015-06-09 Qualcomm Incorporated Provisioning communication nodes
US9775096B2 (en) * 2007-10-08 2017-09-26 Qualcomm Incorporated Access terminal configuration and access control
US9167505B2 (en) * 2007-10-08 2015-10-20 Qualcomm Incorporated Access management for wireless communication
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
WO2010116675A1 (ja) * 2009-03-30 2010-10-14 日本電気株式会社 共振器アンテナ
US9143482B1 (en) * 2009-09-21 2015-09-22 Sprint Spectrum L.P. Tokenized authentication across wireless communication networks
KR101867089B1 (ko) 2011-09-14 2018-06-15 삼성전자주식회사 레거시 와이파이와 와이파이 p2p의 동시 사용 방법
KR20140057656A (ko) * 2011-09-16 2014-05-13 알까뗄 루슨트 운영자 네트워크들 사이의 끊김 없는 교환을 위한 시스템 및 방법
US10080166B2 (en) * 2014-04-29 2018-09-18 Hewlett Packard Enterprise Development Lp Software defined wireless device management
US10448249B2 (en) * 2016-12-22 2019-10-15 Cisco Technology, Inc. Network initiated dynamic quality of service for carrier wireless local area network calling

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2358083A1 (en) * 2001-09-28 2003-03-28 Bridgewater Systems Corporation A method for session accounting in a wireless data networks using authentication, authorization and accounting (aaa) protocols (such as ietf radius or diameter) where there is no session handoff communication between the network elements
US7369841B1 (en) * 2001-09-28 2008-05-06 Durham Logistics Llc Wireless network infrastructure
US20040203751A1 (en) * 2002-10-21 2004-10-14 Excino Technologies Inc. Peer-to-peer (P2P) collaborative system for service aggregation, rapid service provisioning and service roaming
US20050177515A1 (en) * 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers

Also Published As

Publication number Publication date
US7848737B2 (en) 2010-12-07
WO2006052170A1 (en) 2006-05-18
EP1810473B1 (de) 2008-03-12
EP1810473A1 (de) 2007-07-25
US20080009267A1 (en) 2008-01-10
DE602004012465D1 (de) 2008-04-24
ES2300850T3 (es) 2008-06-16
ATE389292T1 (de) 2008-03-15

Similar Documents

Publication Publication Date Title
DE602004012465T2 (de) Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE19722424C1 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60109993T2 (de) Verfahren zur überprüfung der menge übermittelter daten
DE60131625T2 (de) Bestimmung verfügbarer dienste über subskription in einem kommunikationssystem
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60119028T2 (de) Zugangspunkt und Authentifizierungsverfahren dafür
DE60106665T2 (de) Vorrichtung und entsprechendes Verfahren zur Vereinfachung der Authentifikation von Kommunikationsstationen in einem mobilen Kommunikationssystem
DE60114789T2 (de) Authentifizierung in einem paketdatennetz
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
EP1449324B1 (de) Nutzung eines public-key-schlüsselpaares im endgerät zur authentisierung und autorisierung des telekommunikations-teilnehmers gegenüber dem netzbetreiber und geschäftspartnern
DE60206634T2 (de) Verfahren und System zur Authentifizierung von Benutzern in einem Telekommunikationssystem
EP1529374A1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
EP2654365B1 (de) Konfiguration eines Endgerätes für einen Zugriff auf ein leitungsloses Kommunikationsnetz
EP1689125A1 (de) Verfahren zum authentisierten Aufbau einer Verbindung
DE112008002860T5 (de) Verfahren und Vorrichtung für das Bereitstellen einer sicheren Verknüpfung mit einer Benutzeridentität in einem System für digitale Rechteverwaltung
DE60008313T2 (de) SIM basierte Authentifizierung als Zahlungsverfahren in öffentlichen ISP Zugangsnetzen
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
EP1285549A1 (de) Verfahren zum aufbau einer verbindung zwischen einem endgerät und einem bedienenden mobilfunknetz, mobilfunknetz und endgerät dafür
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
EP2055087B1 (de) Verfahren zum weiterleiten von notfallnachrichten eines endgerätes in einem kommunikationsnetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition