DE60221907T2 - Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen - Google Patents
Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen Download PDFInfo
- Publication number
- DE60221907T2 DE60221907T2 DE60221907T DE60221907T DE60221907T2 DE 60221907 T2 DE60221907 T2 DE 60221907T2 DE 60221907 T DE60221907 T DE 60221907T DE 60221907 T DE60221907 T DE 60221907T DE 60221907 T2 DE60221907 T2 DE 60221907T2
- Authority
- DE
- Germany
- Prior art keywords
- eap
- billing information
- terminal
- service authorization
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Meter Arrangements (AREA)
Description
- TECHNISCHES GEBIET DER ERFINDUNG
- Die Erfindung bezieht sich auf ein Verfahren in einem System und auf ein System für das Übertragen von Abrechnungsinformation. Weiterhin bezieht sich die Erfindung auf ein Verfahren in einem Endgerät, ein Endgerät, einen Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver, ein Verfahren in einem EAP-Dienstautorisierungsserver, ein Computerprogramm und einen EAP-Untertyp.
- HINTERGRUND DER ERFINDUNG
- In lokalen Netzen kann ein Betreiber eines Dienstes daran interessiert sein, sich selbst mit einer Vielzahl von Abrechnungsinformation, die in Bezug steht zu den Benutzern, die das Netz für das Zugreifen auf verschiedene Dienste verwenden, zu versorgen. Beispiele solcher Abrechnungsinformation können aus einem Wert bestehen, der anzeigt, wie lange ein Benutzer einen spezifischen Dienst verwendet hat, einem Wert, der die Menge der Daten anzeigt, die von einem spezifischen Dienst empfangen wurden und/oder an diesen gesendet wurden, aus Information darüber, wann der Benutzer den Dienst verwendet hat, und/oder der Anzahl und/oder dem Typ der durchgeführten Transaktionen.
- Heute gibt es Systeme, in welchen die Zugangspunkte des Netzes Abrechnungsinformation für jeden Benutzer/jedes Endgerät, der oder das sich über den Zugangspunkt mit dem Netz verbindet, sammeln. Die Zugangspunkte senden dann Information an einen Authentication Authorization Accounting (AAA) Server mittels eines AAA-Protokolls, wie RADIUS oder DIAMETER.
- Es kann jedoch einen Mangel an Vertrauen zwischen einem Dienstanbieter, der einen Dienst verwaltet, der von einem Benutzer verwendet wird, und einem Betreiber eines Heimnetzes, der dem Benutzer die verwendeten Dienste berechnet, geben. Somit muss Abrechnungsinformation vom Dienstanbieter verifiziert und autorisiert werden, bevor sie an den AAA-Server des Betreibers des Heimnetzes gesandt wird.
- ZUSAMMENFASSUNG DER ERFINDUNG
- Eine Aufgabe der vorliegenden Erfindung besteht darin, eine verbesserte Lieferung von Abrechnungsinformation bereitzustellen.
- Diese Aufgabe wird mittels eines Verfahrens in einem System für das Übertragen von Abrechnungsinformation nach Anspruch 1, mittels eines Systems für das Übertragen der Abrechnungsinformation gemäß Anspruch 11, mittels einem Verfahren in einem Endgerät gemäß Anspruch 19, mittels einem Endgerät gemäß Anspruch 22, mittels einem Verfahren in einem Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver gemäß Anspruch 25, einem EAP-Dienstautorisierungsserver gemäß Anspruch 31, einem Computerprogramm gemäß Anspruch 35, einem Computerprogramm gemäß Anspruch 36, einem Extensible Authentication Protokoll Antwortpaket (EAP-Antwortpaket) gemäß Anspruch 37 gelöst. Bevorzugte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen offenbart.
- Insbesondere umfasst gemäß einem Aspekt ein Verfahren in einem System für das Übertragen von Abrechungsinformation:
Messen von Daten, die sich auf einen Dienst beziehen, der von mindestens einem Endgerät verwendet wird,
Bereitstellen der gemessenen Daten als Abrechnungsinformation an mindestens einen Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver, Senden einer Dienstautorisierungsanforderung mittels einer Extensible Authentication Protokoll Anforderung (EAP-Anforderung) von dem mindestens einen EAP-Dienstautorisierungsserver an das mindestens eine Endgerät,
digitales Signieren von Abrechnungsinformation in dem mindestens einen Endgerät,
Einschließen der digital signierten Abrechnungsinformation in einer Extensible Authentication Protokoll Antwort (EAP-Antwort) an dem mindestens einen Endgerät, und
Senden der digital signierten Abrechnungsinformation an einen AAA-Server. - Gemäß einem anderen Aspekt umfasst ein System für das Übertragen von Abrechnungsinformation:
einen Messserver für das Messen von Daten, die sich auf einen Dienst beziehen,
einen Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver, der einen Erzeuger für das Erzeugen einer Extensible Authentication Protokoll Anforderung (EAP-Anforderung) nach Dienstautorisierungen, und ein Netzverbindungsmittel einschließt,
ein Endgerät, das einen Signierer einschließt, der eingerichtet ist zum digitalen Signieren verifizierter Abrechnungsinformation, einen Extensible Authentication Protokoll (EAP-Antwort) Erzeuger, der eingerichtet ist, um verifizierte und digital signierte Abrechnungsinformation in EAP-Antworten einzuschieben, und ein Netzverbindungsmittel, und
einen Authentication Authorization Accounting Server, der eingerichtet ist, um Abrechnungsinformation, die sich auf mindestens ein Endgerät bezieht, zu verwalten. - Gemäß einem nochmals anderen Aspekt umfasst ein Verfahren in einem Endgerät:
das Sammeln von Daten, die Abrechnungsinformation entsprechen, die für mindestens einen Dienst relevant ist, der derzeit in dem Endgerät verwendet wird,
Empfangen einer Extensible Authentication Protocol Anforderung (EAP-Anforderung), die Abrechnungsinformation einschließt, die für den mindestens einen Dienst relevant ist, der derzeit im Endgerät verwendet wird,
Vergleichen der empfangenen Abrechnungsinformation mit den gesammelten Daten, und
wenn die gesammelten Daten der Abrechnungsinformation entsprechen, umfasst dieses Verfahren weiter:
digitales Signieren der empfangenen Abrechnungsinformation, und
Senden der digital signierten Abrechnungsinformation in einer Extensible Authentication Protokoll Antwort (EAP-Antwort). - Gemäß einem weiteren Aspekt umfasst ein Endgerät:
einen Sammler, der eingerichtet ist zum Sammeln von Daten, die Abrechnungsinformation entsprechen, die für mindestens einen Dienst relevant ist, der derzeit in dem WLAN-Endgerät ausgeführt wird,
eine Vergleichsvorrichtung, die eingerichtet ist, um die gesammelten Daten mit der empfangenen Abrechnungsinformation zu vergleichen,
einen Signierer, der eingerichtet ist, um verifizierte Abrechnungsinformation digital zu signieren,
einen Extensible Authentication Protokoll Antwort-Erzeuger (EAP-Antworterzeuger), der eingerichtet ist, um digital signierte Abrechnungsinformation in EAP-Antworten einzuschieben, und
ein Netzverbindungsmittel. - Gemäß einem nochmals anderen Aspekt umfasst ein Verfahren in einem Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver:
Empfangen von Abrechnungsinformation, die sich auf mindestens ein Endgerät bezieht,
Einschieben der Abrechnungsinformation in eine Extensible Authentication Protokoll Anforderung (EAP-Anforderung), und
Senden der EAP-Anforderung an das mindestens eine Endgerät. - Gemäß einem nochmals anderen Aspekt umfasst ein Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver:
einen Abrechnungsinformationsempfänger für das Empfangen von Abrechnungsinformation, die sich auf mindestens ein Endgerät bezieht,
einen Extensible Authentication Protokoll Anforderungserzeuger (EAP-Erzeuger), der eingerichtet ist, um Abrechnungsinformation des mindestens einen Endgeräts in eine EAP-Anforderung einzuschieben, und
ein Netzverbindungsmittel. - Indem vorgesehen wird, dass das Endgerät/der Benutzer die Abrechnungsinformation unter Verwendung des EAP autorisiert, um diese Autorisierung zu initiieren und um die signierte Abrechnungsinformation von diesem Endgerät/Benutzer zu transportieren, kann es möglich sein, eine Autorisierung von Abrechnungsinformation durch den Benutzer des Endgeräts vom Benutzer zu liefern, ohne dass ein großer Aufwand von einem Zugangsnetzbetreiber, einem Dienstbetreiber oder dem Benutzer in Hinsicht auf eine Modifizierung existierender Systeme vorgenommen werden muss. In vielen Fällen kann es ein Vorteil sein, dass das EAP schon existiert, so dass keine Notwendigkeit besteht, zusätzliche Protokolle zu implementieren oder zu entwickeln. Weiter errichtet der EAP-Dienstautorisierungsserver einen Kontakt mit dem Endgerät während des Aufbaus einer Verbindung zum Zugangsnetz, so dass keine Notwendigkeit besteht, Serverentdeckungsprotokolle, Client-IP-Adressen-Entdeckungen oder andere ähnliche Prozeduren zu verwenden. Auch kann die EAP-Nachricht, die die Dienstautorisierung einschließt, persönliche Firewalls und Virtual Private Network (VPN) Clients im Endgerät überwinden.
- Indem es für den Benutzer/das Endgerät möglich ist, die Abrechnungsinformation zu autorisieren, kann die Korrektheit der Abrechnungsinformation garantiert werden, und die Unsicherheit von Abrechnungsinformation, die direkt von einem Betreiber des Zugangsnetzes gesandt wird, wobei dieser Betreiber vertrauenswürdig oder nicht vertrauenswürdig sein kann, wird eliminiert. Somit kann ein Betreiber des Zugangsnetzes oder irgend eines anderen Dienstes die Abrechnungsinformation nicht fälschen und dadurch kann der Benutzer die Abrechnungsinformation nicht später nicht anerkennen. Weiterhin erzeugt dies für einen Benutzer ein besseres Gefühl, wenn er Dienste verwendet, die Geld kosten, da der Benutzer in einem gewissen Ausmaß eine Kontrolle der Abrechnungsprozedur hat und sich nicht total in den Händen des Betreibers befindet.
- Im Kontext der Erfindung ist ein Dienst ein Dienst, auf den mittels eines Endgeräts über einen Dienstanbieter zugegriffen werden kann. Ein Dienst kann beispielsweise Zugang zu einer Netzumgebung oder einer Vielzahl von Netzumgebungen, beispielsweise einem lokalen Netz, einem privaten Netz, dem Internet, einem spezifischen von einem Betreiber gesteuerten Netz oder einem virtuellen lokalen Netz einschließen, und er kann einen Zugang zu verschiedenen Möglichkeiten, beispielsweise Möglichkeiten für E-Mail, Möglichkeit für einen Kurznachrichtendienst (SMS), Möglichkeit für einen Multimediadienst (MMS), Möglichkeit für E-Commerce, Druckgelegenheiten etc. einschließen.
- Gemäß einer Ausführungsform sind der Messserver und der EAP-Dienstautorisierungsserver in derselben Vorrichtung, beispielsweise einem Zugangspunkt, eingeschlossen. Dies kann die verfügbare Bandbreite in einem Zugangsnetz erhöhen, da der Informationsaustausch zwischen dem Messserver und dem EAP-Dienstautorisierungsserver nicht länger das Netz verwenden muss, das heißt, die Menge der gesendeten Protokollnachrichten kann abnehmen.
- Gemäß einer anderen Ausführungsform sind der Messserver und der EAP-Dienstautorisierungsserver in verschiedenen Vorrichtungen angeordnet. Dieses Merkmal kann das Einführen eines EAP-Dienstautorisierungsserver in ein Netzsystem, das schon einen Messserver enthält, erleichtern. Beispielsweise in einem drahtlosen LAN, das Zugangspunkte einschließt, die eine RADIUS-Abrechnung oder irgend ein anderes Abrechnungsprotokoll unterstützen.
- In einer Ausführungsform wird die EAP-Anforderung und die EAP-Antwort über eine WLAN-Verbindung gesandt.
- In einer anderen Ausführungsform wird die EAP-Antwort, die die signierte Abrechnungsinformation vom Endgerät einschließt, an den EAP-Dienstautorisierungsserver gesandt oder von diesem empfangen. Dies macht es für den Betreiber des Zugangsnetzes möglich, zu prüfen, dass der Benutzer des Endgeräts oder das Endgerät sich nicht an der Abrechnungsinformation zu schaffen gemacht haben. Zusätzlich kann der Betreiber des Zugangsnetzes die Identität des Benutzers des Endgeräts kontrollieren, wenn es notwendig ist.
- In einer nochmals anderen Ausführungsform wird das Signieren und die Verifizierung einer Signatur mittels eines Verschlüsselungssystems mit einem öffentlichen Schlüssel ausgeführt.
- Der weitere Umfang der Anwendbarkeit der vorliegenden Erfindung wird aus der nachfolgend angegebenen detaillierten Beschreibung deutlich. Es sollte jedoch verständlich sein, dass die detaillierte Beschreibung und spezifische Beispiele, während sie bevorzugte Ausführungsformen der Erfindung anzeigen, nur in illustrierender Weise angegeben sind, da verschiedene Änderungen und Modifikationen innerhalb des Umfangs der Erfindung für Fachleute aus dieser detaillierten Beschreibung deutlich werden.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
- Andere Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung einer aktuell bevorzugten Ausführungsform unter Bezug auf die begleitenden Zeichnungen deutlich.
-
1 zeigt eine schematische Übersicht eines Systems gemäß einer Ausführungsform, -
2 zeigt eine schematische Ansicht einer Ausführungsform eines Endgeräts, -
3 zeigt ein Flussdiagramm eines Verfahrens für das Handhaben von Abrechnungsinformation im Endgerät der2 , -
4 zeigt eine schematische Ansicht einer Ausführungsform eines EAP-Dienstautorisierungsservers, -
5 zeigt ein Flussdiagramm eines Verfahrens für das Handhaben von Abrechnungsinformation, -
6 zeigt ein Zeitablaufdiagramm von Nachrichten, die während einer Übertragung von Abrechnungsinformation gemäß einer Ausführungsform gesendet werden, -
7 zeigt ein Zeitablaufdiagramm von Nachrichten, die während einer Übertragung von Abrechnungsinformation gemäß einer anderen Ausführungsform gesendet werden, -
8 zeigt eine schematische Ansicht des Formats einer Ausführungsform eines EAP-Anforderungs-/Dienstautorisierungs-Pakets und eines EAP-Antwort-/Dienstautorisierungs-Pakets, -
9 zeigt eine schematische Ansicht des Formats einer anderen Ausführungsform eines EAP-Anforderungs/Dienstautorisierungs-Pakets und eines EAP-Antwort/Dienstautorisierungs-Pakets, und -
10 zeigt eine schematische Ansicht eines Flag-Feldes eines Pakets gemäß der9 . - DETAILLIERTE BESCHREIBUNG EINER AUSFÜHRUNGSFORM
- In
1 ist eine schematische Übersicht eines Systems gemäß einer Ausführungsform gezeigt. Das System umfasst einen Extensible Authentication Protokoll (EAP) Dienstautorisierungsserver10 , einen Zugangspunkt12 , einen Authentication Authorization Accounting (AAA) Server14 und ein Endgerät16 . - In einer Ausführungsform wird die Kommunikation zwischen einem Zugangspunkt
12 , einem EAP-Dienstautorisierungsserver10 und einem AAA-Server14 über ein Netz18 ausgeführt. - Der EAP-Dienstautorisierungsserver
10 ist ausgelegt, um dem Endgerät16 Abrechnungsinformation zu liefern, die das Endgerät verifizieren kann. Der EAP-Dienstautorisierungsserver10 kann beispielsweise als ein getrennter Server ausgelegt sein, der sich im Zugangspunkt12 befindet, der sich im AAA-Server14 befindet oder der in irgend einer anderen Vorrichtung eingeschlossen ist, die mit dem Endgerät16 , dem AAA-Server14 und dem Zugangspunkt12 kommunizieren kann. - Der AAA-Server
14 kann irgend ein Typ eines AAA-Servers sein, der Fachleuten bekannt ist. - Der Zugangspunkt
12 kann irgend ein Typ eines Zugangspunkts sein, der Fachleuten bekannt ist. Der Zugangspunkt12 umfasst Mittel für das Messen von Abrechnungsinformation in Bezug auf ein Endgerät oder eine Vielzahl von Endgeräten, das oder die mit ihm verbunden sind. Somit kann man sagen, dass er einen Messserver enthält. Der Zugangspunkt12 ist ausgelegt, um Daten mittels einer drahtlosen Übertragung, beispielsweise einer Übertragung über ein drahtloses lokales Netz, einer Infrarotübertragung, Bluetooth oder irgend einer auf Funk basierende Übertragung, zu senden und zu empfangen. In einer Ausführungsform ist der Zugangspunkt12 ein Zugangspunkt, der gemäß der Norm IEEE 802 arbeitet und der ein Extensible Authentication Protokoll (ERP) gemäß IEEE 802.1x verwendet. - Das Endgerät kann jede Vorrichtung sein, die eine Benutzerschnittstelle und Mittel für das Ausführen einer Übertragung aufweist. Beispielsweise kann das Endgerät ein Telefon, ein persönlicher digitaler Assistent (PDA), ein tragbarer Computer, ein Laptop-Computer, ein Desktop-Computer sein. Das Endgerät kann ausgelegt sein, um über einen drahtlosen Übertragungskanal zu kommunizieren, wie das in
1 gezeigt ist, oder über eine Leitung, was in1 nicht gezeigt ist. Die drahtlose Übertragung kann beispielsweise eine Übertragung über ein drahtloses lokales Netz, eine Infrarotübertragung, Bluetooth oder irgend eine auf Funk basierende Übertragung sein. Die Kommunikation über eine Leitung kann beispielsweise eine Kommunikation über ein Modem, und ein Telefonnetz oder eine direkte Verbindung mit einem lokalen Netz sein. In einem System, bei dem es Endgeräte gibt, die mit dem Netz über Leitungen verbunden sind, kann ein getrennter Messserver für das Sammeln der Abrechnungsinformation angeordnet sein. - In einer Ausführungsform ist der Zugangspunkt
12 ein Teil eines Zugangsnetzes, das von einem Zugangsnetzbetreiber verwaltet wird, und der AAA-Server ist Teil eines Abrechnungsverwaltungssystems, das von einem AAA-Server-Betreiber oder einem Heimnetzbetreiber verwaltet wird. Der Zugangsnetzbetreiber und der Heimnetzbetreiber können Teil derselben Organisation sein oder verschiedenen Organisationen angehören. - Die Dienstautorisierung kann sich auf einen Netzzugang beziehen, aber sie kann sich auch auf einen Druckerdienst beziehen, bei dem ein Benutzer beispielsweise für jede gedruckte Seite zahlt, einen E-Commerce-Dienst, bei dem ein Benutzer beispielsweise für den bestellten Dienst oder das bestellte Produkt zahlt, etc.
- In
2 ist eine Ausführungsform eines Endgeräts16 gezeigt. Das Endgerät16 umfasst ein Verbindungsmittel202 für eine drahtlose Verbindung zu einem Zugangspunkt und eine Kommunikation über diesen Zugangspunkt, und einen Protokollstapel, der ein EAP206 umfasst. Wie oben erwähnt wurde, kann das Verbindungsmittel jedoch ein Modem oder eine normale Netzschnittstellenkarte für eine Verbindung mit dem Netz mittels einer Leitung sein. Weiterhin umfasst das Endgerät16 einen Sammler208 für das Sammeln von Daten, die einer Abrechnungsinformation entsprechen, die für mindestens einen Dienst relevant ist, der aktuell im Endgerät verwendet wird, einen Verifizierer210 für das Verifizieren, dass die Abrechnungsinformation, die vom Betreiber empfangen wird, den gesammelten Daten entspricht, einen Signierer212 für das Signieren von Abrechnungsinformation, die durch die Vergleichsvorrichtung bestätigt wurde, und einen EAP-Antwort-Erzeuger214 für das Einschieben signierter Abrechnungsinformation in eine EAP-Antwortnachricht. - In einer Ausführungsform sammelt der Sammler eine Eingabe von einem Benutzer, die angibt, ob der Benutzer die Abrechnungsinformation akzeptiert oder nicht. Dann muss in einer solchen Ausführungsform der Verifizierer nur die gesammelte Eingabe vom Benutzer prüfen, um zu entscheiden, ob die Verifikation ein Erfolg ist oder nicht.
- Der Signierer
212 kann Mittel für das Ausführen jeglichen Typs einer digitalen Signierung, die einem Fachmann bekannt ist, umfassen, beispielsweise kann ein Verschlüsselungssystem mit einem öffentlichen Schlüssel vorhanden sein, das normalerweise für ein Signieren verwendet wird, oder es kann ein symmetrisches Verschlüsselungssystem vorhanden sein. In einem Verschlüsselungssystem mit öffentlichem Schlüssel gibt es einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel kann an alle beteiligten Parteien verteilt werden. Der Signierer verschlüsselt dann eine Nachricht mittels dem privaten Schlüssel. Wenn diese Nachricht dann unter Verwendung des öffentlichen Schlüssels entschlüsselt werden kann, so ist die Signatur verifiziert als die Signatur der Person, die den öffentlichen Schlüssel hat. - Die oben beschriebenen Mittel
202 –214 können ganz oder teilweise mittels eines Softwarekodes implementiert werden. - Die Abrechnungsinformation kann ein Wert sein, der anzeigt, wie lange das Endgerät mit einem Dienst verbunden war, ein Wert, der die Menge der Daten angibt, die unter Verwendung eines spezifischen Dienstes gesandt und/oder empfangen wurden, Information darüber, wann der Benutzer den Dienst verwendet hat, die Anzahl und/oder der Typ der ausgeführten Transaktionen und/oder die Anzahl der Verwendungen des Dienstes.
- In
3 ist ein Verfahren in einer Ausführungsform des Endgeräts gezeigt. Das Verfahren startet, wenn das Endgerät eine EAP-Anforderung für eine Dienstautorisierung, die eine Abrechnungsinformation einschließt, im Schritt300 empfängt. Dann wird im Schritt302 die Abrechnungsinformation aus der EAP-Anforderung extrahiert. Wenn die Abrechnungsinformation im Endgerät verfügbar ist, so beginnt im Schritt304 ein Verfahren der Verifikation. Der Schritt der Verifizierung kann auf viele Arten ausgeführt werden. In einer Ausführungsform sammelt das Endgerät Daten, die der Abrechnungsinformation für einen Dienst entsprechen, der aktuell verwendet wird, während im wesentlichen der gesamten Zeitdauer, zu der der Dienst verwendet wird. Wenn dann der Verifizierungsschritt304 ausgeführt wird, vergleicht das Endgerät die gesammelten Daten mit der empfangenen Abrechnungsinformation und fällt eine Entscheidung auf der Basis des Unterschieds zwischen den gesammelten Daten und der empfangenen Abrechnungsinformation im Hinblick darauf, ob die Verifikation der Abrechnungsinformation erfolgreich ist oder nicht. - In einer anderen Ausführungsform führt das Endgerät mit der empfangenen Abrechnungsinformation den Vergleich nicht aus, sondern präsentiert die Abrechnungsinformation und die gesammelten Daten dem Benutzer, der entscheidet, ob er die Abrechnungsinformation verifiziert oder nicht. Wenn der Benutzer eine Verifikation ausführt, so ist der Schritt
304 der Verifikation ein Erfolg, sonst ist er ein Misserfolg. - In einer nochmals andere Ausführungsform sammelt das Endgerät nicht diese Daten, und somit sind keine gesammelten Daten verfügbar. In einem solchen Fall kann der Schritt
304 der Verifikation die empfangene Abrechnungsinformation dem Benutzer präsentieren und darauf warten, dass er die Abrechnungsinformation verifiziert. Wenn der Benutzer diese verifiziert, dann ist der Verifizierung304 ein Erfolg, sonst ein Misslingen. - In einer weiteren Ausführungsform sammelt das Endgerät Daten und vergleicht die Daten mit der empfangenen Abrechnungsinformation. Das Endgerät liefert jedoch dem Benutzer eine Schnittstelle, mittels der der Benutzer "ok" oder "Löschen" wählen kann, um die Abrechnungsinformation zu akzeptieren oder zu verhindern, dass sie gesandt wird. Das Signieren der Abrechnungsinformation kann ausgeführt werden, bevor oder nachdem der Benutzer das Endgerät über die Auswahl benachrichtigt hat.
- In einer anderen Ausführungsform umfasst die im Schritt
300 empfangene EAP-Anforderung für eine Dienstautorisierung keine Abrechungsinformation. In einem solchen Fall wird der Schritt302 in Bezug auf das Extrahieren der Abrechnungsinformation nicht ausgeführt. Nach dem Empfang der EAP-Anforderung für die Dienstautorisation betrachtet das Endgerät Daten, die durch es selbst gesammelt wurden, als verifizierte Abrechnungsinformation und somit wird der Schritt der Verifizierung als ein Erfolg angesehen. - Im Schritt
306 prüft das Verfahren, unabhängig davon welche der obigen Ausführungsformen des Verifikationsschrittes304 verwendet wird, ob der Verifikationsschritt304 zu einem Erfolg oder einem Misserfolg geführt hat. Wenn das Ergebnis ein Misslingen ist, so wird das Verfahren im Schritt308 beendet. Wenn das Ergebnis jedoch ein Erfolg ist, so setzt sich das Verfahren mit dem Schritt310 der Signierung der Abrechnungsinformation fort. - Das Signieren im Schritt
310 kann mittels jedes Verfahrens, das einem Fachmann bekannt ist, ausgeführt werden. Beispielsweise mit einer Verschlüsselung mit einem öffentlichen Schlüssel. Es können auch andere Signierschemata verwendet werden, beispielsweise kann ein symmetrisches Verschlüsselungssystem verwendet werden, um die Abrechnungsinformation zu verschlüsseln, wobei aber in einem solchen Fall nur das Endgerät und der Heimbetreiber den Schlüssel zur Darstellung der Signatur gemeinsam benutzen. - Dann wird die signierte Abrechnungsinformation im Schritt
314 in eine EAP-Antwort eingeschoben, und die EAP-Antwort wird über eine Netzverbindung gesandt. - In
4 ist eine Ausführungsform des EAP-Dienstautorisierungsservers10 gezeigt. Der EAP-Dienstautorisierungsserver gemäß der Figur umfasst Netzverbindungsmittel402 für die Verbindung mit einem Netz403 , und einen Protokollstapel404 , der ein ERP406 einschließt. Wenn der ERP-Dienstautorisierungsserver10 keine Vorrichtung ist, in der nur der EAP-Dienstautorisierungsserver10 implementiert ist, können das Netzverbindungsmittel402 und der Protokollstapel404 von anderen Vorrichtungen gemeinsam genutzt werden, beispielsweise wenn der EAP-Dienstautorisierungsserver10 in einem Zugangspunkt, in einem AAA-Server oder in einem AAA- Proxyserver enthalten ist. In einer Ausführungsform umfasst der Stapel auch ein AAA-Protokoll, beispielsweise ein RADIUS-Protokoll oder ein DIAMETER-Protokoll. - Weiterhin umfasst der ERP-Dienstautorisierungsserver
10 einen Abrechnungsinformationsempfänger408 , der ausgelegt ist, um Abrechnungsinformation zu verwalten, die von einem oder einer Vielzahl von Zugangspunkten empfangen wird, und einen EAP-Anforderungserzeuger, der ausgelegt ist, um das EAP406 zu verwenden und um EAP-Anforderungen für Dienstautorisierungen zu erzeugen. Gemäß einer Ausführungsform umfasst die EAP-Anforderung Abrechnungsinformation eines spezifischen Endgeräts für ein Senden an das spezifische Endgerät, wobei dies implementiert ist, wenn das Endgerät oder der Benutzer die Entscheidung fällen muss, ob die Abrechnungsinformation vom EAP-Dienstautorisierungsserver korrekt ist oder nicht. Gemäß einer anderen Ausführungsform umfasst die EAP-Anforderung für die Dienstautorisierung keine Abrechnungsinformation, wobei dies implementiert wird, wenn der EAP-Dienstautorisierungsserver die Entscheidung fällen muss, ob die Abrechnungsinformation vom Endgerät korrekt ist oder nicht. - Die Zeit zwischen dem Senden zweier aufeinander folgender EAP-Anforderungen, die eine Abrechnungsinformation eines spezifischen Endgeräts einschließen, kann auf der Zeit zwischen dem Empfang der Abrechnungsinformation, einem Wert einer spezifischen Eigenschaft der Abrechnungsinformation, basieren, beispielsweise ist diese EAP-Anforderung zu senden, wenn die Zeit, die seit der letzten Anforderung vergangen ist, einen spezifischen Wert übersteigt, oder wenn die Menge der Daten, die seit der letzten Anforderung gesendet und/oder empfangen wurden, einen spezifischen Wert übersteigt, oder wenn ein vorbestimmtes Kriterium, das von einem der Betreiber aufgestellt wurde, erfüllt ist. Die EAP-Dienstautorisierung kann ausgelegt sein, um Abrechnungsinformation in Bezug auf ein Endgerät oder eine Vielzahl von Endgeräten zu handhaben.
- Weiterhin umfasst der EAP-Dienstautorisierungsserver
10 einen Extrahierer412 , einen Signaturverifizierer414 , eine Zugangsbeendigungsvorrichtung416 und einen Abrechnungsnachrichterzeuger418 . - Der Extrahierer
412 ist ausgelegt, um signierte Abrecnungsinformation von einer EAP-Antwort, die von einem Endgerät herrührt, zu extrahieren. - Der Verifizierer
414 ist ausgelegt, um die Signatur und den Inhalt der EAP-Antwortnachricht zu verifizieren. Die Verifikation des Inhalts kann durch das Prüfen, ob die empfangene Abrechnungsinformation einer Information entspricht, die vom EAP-Dienstautorisierungsserver an das Endgerät gesandt wurde, oder ob die empfangene Information einer Information entspricht, die am EAP-Dienstautorisierungsserver gesammelt wurde, erzielt werden. Die Verifikation der Signatur kann mittels eines öffentlichen Schlüssels, der im EAP-Dienstautorisierungsserver10 gespeichert ist, erzielt werden. Der öffentliche Schlüssel kann dem EAP-Dienstautorisierungsserver10 vom Endgerät in Form eines Zertifikats in einer EAP-Antwort oder vom AAA-Server in einer DIAMETER/RADIUS-EAP-Antwortnachricht während des Zugangsautorisierungsverfahrens geliefert werden. - Die Zugangsbeendigungsvorrichtung
416 ist ausgelegt, um den Zugang zu einem spezifischen Dienst zu beenden, wenn ein vorbestimmtes Kriterium oder eine Vielzahl von vorbestimmten Kriterien nicht erfüllt werden. - Der Abrechnungsnachrichterzeuger ist ausgelegt, um eine AAA-Nachricht zu erzeugen, die signierte Abrechnungsinformation einschließt, und das Senden der Nachricht an einen AAA-Server zu initiieren, der den Dienst verwaltet, auf den sich die Abrechnungsinformation bezieht.
- In
5 ist ein Verfahren einer Ausführungsform des EAP-Dienstautorisierungsservers10 gezeigt. Das Verfahren startet im Schritt502 , wenn der EAP-Dienstautorisierungsserver10 eine Abrechnungsinformation empfängt, die sich auf ein spezifisches Endgerät bezieht. Dann wird im Schritt504 eine EAP-Anforderung erzeugt, wobei die EAP-Anforderung die Abrechnungsinformation einschließt. Dann wird im Schritt506 die EAP-Anforderung an das Endgerät gesandt, auf das sich die Abrechnungsinformation bezieht. In einer Ausführungsform wird die Erzeugung und das Senden der EAP-Anforderung, die die Abrechnungsinformation enthält, nicht ausgeführt, bevor der akkumulierte Wert einer spezifischen Eigenschaft in der Abrechnungsinformation erreicht wurde, beispielsweise ein Zeitwert, ein Wert der gesendeten und/oder empfangenen Daten oder ein Wert, der sich direkt auf Geld bezieht, das heißt, das Senden kann periodisch oder einmal in einer gewissen Zeitdauer ausgeführt werden. - Wenn die EAP-Anforderung gesandt wird, so wird im Schritt
508 ein Zeitgeber gestartet. Im Schritt510 wird der Wert des Zeitgebers mit einer vorbestimmten Zeitgrenze tlimit verglichen. Wenn der Wert des Zeitgebers tlimit nicht übersteigt, so setzt sich das Verfahren im Schritt514 fort, wo geprüft wird, ob eine EAP-Antwort vom Endgerät empfangen wurde. Wenn keine EAP-Antwort empfangen wurde, so geht das Verfahren zum Schritt510 zurück und vergleicht den Wert des Zeitgebers mit dem Wert von tlimit. Wenn der Wert des Zeitgebers den Wert von tlimit übersteigt, dann wurde keine EAP-Antwort innerhalb der Zeitgrenze empfangen, und das Verfahren geht zum Schritt512 und beendet den Zugang zum Dienst, auf den sich die Abrechnungsinformation bezieht. Wenn jedoch im Schritt514 eine ERP-Antwort empfangen wird, bevor die Zeitgrenze überschritten wird, verifiziert der EAP-Dienstautorisierungsserver10 im Schritt516 die Signatur in der EAP-Antwort mittels der Signatur des Endgeräts oder des Benutzers des Endgeräts, die in einem Speicher des EAP-Dienstautorisierungsservers10 gespeichert ist. Das Verfahren kann auch verifizieren, dass die empfangene Abrechnungsinformation der Abrechnungsinformation entspricht, die an das Endgerät gesandt wurde. Wenn die Signatur nicht gültig ist, Schritt518 , so geht das Verfahren zum Schritt512 und beendet den Zugang zum Dienst, auf den sich die Abrechnungsinformation bezieht. Wenn die Signatur jedoch gültig ist, so geht das Verfahren zum Schritt520 weiter, wo es die signierte Abrechnungsinformation vorbereitet und an einen AAA-Server sendet. - Gemäß einer anderen Ausführungsform umfasst die EAP-Anforderung, die im Schritt
504 erzeugt wurde, keine Abrechnungsinformation, und somit ist die Abrechnungsinformation, die im Schritt514 in der EAP-Antwort empfangen wurde, Information, die vom Endgerät gesammelt wurde. Somit wird die Verifizierung des Inhalts im Schritt516 durch das Vergleichen der empfangenen Abrechnungsinformation mit entsprechender Abrechnungsinformation, die am EAP-Dienstautorisierungsserver gesammelt wurde, ausgeführt. - In
6 ist ein Zeitablaufdiagramm gemäß einer Ausführungsform gezeigt, in welchem der EAP-Dienstautorisierungsserver als eine getrennte Vorrichtung in einem AAA-Proxy oder einer anderen geeigneten Vorrichtung eingerichtet ist. Gemäß dieser Ausführungsform sammelt ein Zugangspunkt Abrechnungsinformation für einen Benutzer/ein Endgerät oder eine Vielzahl von Benutzern/Endgeräten. Für jeden Benutzer/jedes Endgerät sammelt der Zugangspunkt Daten mindestens während der Zeitdauer, zu der das Endgerät auf einen Dienst zugreift,602 . Wenn Abrechnungsinformation während einer vorbestimmten Zeitdauer oder für eine vorbestimmte Menge von gesendeten und/oder empfangenen Daten gesammelt worden ist, so sendet der Zugangspunkt eine DIAMETER-Abrechnungsanforderung,604 , die die Abrechnungsinformation einschließt, die sich auf ein spezifisches Endgerät bezieht, an einen EAP-Dienstautorisierungsserver. Die Abrechnungsanforderung wird nicht notwendigerweise mittels des DIAMETER-Protokolls gesandt, sondern sie kann mittels jedes Protokolls gesandt werden, das verwendet werden kann, um eine entsprechende Funktion zu erzielen, beispielsweise dem RADIUS-Protokoll. Dies gilt auch für andere Übertragungen, die unten so erwähnt sind, dass sie das DIAMETER-Protokoll verwenden. - Der EAP-Dienstautorisierungsserver verwaltet dann die DIAMETER-Abrechnungsanforderung, Nachricht
604 , siehe4 und5 , und die eingeschlossene Abrechnungsinformation und antwortet durch das Senden einer DIAMETER-EAP-Antwort, Nachricht606 , an den Zugangspunkt. Die DIAMETER-EAP-Antwort umfasst eine EAP-Anforderungs-/Dienst-Autorisierung, die Abrechnungsinformation trägt. Die EAP-Anforderungs-/Dienst-Autorisierungsnachricht, die die Abrechnungsinformation trägt, wird dann durch das EAP über LAN-Protokoll (EAPOL) am Zugangspunkt verpackt und wie jede andere EAP-Anforderung an dieses spezifische Endgerät gesandt, Nachricht608 . In der dargestellten Ausführungsform ist das Endgerät ein Endgerät, das mit einem drahtlosen lokalen Netz (WLAN) arbeiten kann. Das Endgerät kann jedoch, wie das oben erwähnt ist, für eine Übertragung mittels anderer Verfahren ausgelegt sein. Das Endgerät verwaltet dann die empfangene EAP-Anforderung, prüft die Abrechnungsinformation609 , siehe auch die2 und3 , und sendet eine EAPOL, das eine EAP-Antwort/Dienstautorisierung einschließt, die die signierte Abrechnungsinformation trägt, an den Zugangspunkt, Nachricht610 . Das Senden des EAPOL, das die EAP-Antwort/Dienst-Autorisierung einschließt, die eine signierte Abrechnungsinformation trägt, wird nur ausgeführt, wenn die Verifizierung der Abrechnungsinformation erfolgreich war. Der Zugangspunkt gibt dann die EAP-Antwort/Dienst-Autorisierung, die die signierte Abrechnungsinformation trägt, an den EAP-Dienstautorisierungsserver mittels einer DIAMETER-EAP-Anforderung, Nachricht612 . Dann erzeugt der EAP-Dienstautorisierungsserver eine EAP-Erfolgsnachricht und sendet sie in einer DIAMETER EAP-Antwort an den Zugangspunkt, Nachricht614 . Der Zugangspunkt gibt dann die EAP-Erfolgsnachricht mittels des EAPOL an das Endgerät, Nachricht616 . Wenn die signierte Abrechnungsinformation am EAP-Dienstautorisierungsserver in der Nachricht612 empfangen wird, startet der EAP-Dienstautorisierungsserver, die Signatur der Abrechnungsinformation617 zu verifizieren, siehe auch4 und5 . Wenn die Verifizierung der Signatur erfolgreich ist, das heißt die Signatur ist gültig, dann sendet der ERP-Dienstautorisierungsserver eine DIAMETER-Abrechnungsanforderung, die die signierte Abrechnungsinformation enthält, an einen AAA-Server, der die Abrechnungsinformation verwaltet. - In
7 ist ein Zeitablaufdiagramm gemäß einer anderen Ausführungsform gezeigt, in welcher der EAP-Dienstautorisierungsserver im Zugangspunkt eingeschlossen ist. In dieser Ausführungsform ist die Abrechnungsinformation, die mittels des Zugangspunkt gesammelt oder gemessen wurde,702 , für den EAP-Dienstautorisierungsserver zugänglich oder sie wird an den EAP-Dienstautorisierungsserver mittels einer internen Kommunikation innerhalb des Zugangspunkts übertragen. Dann erzeugt und sendet der Zugangspunkt/EAP-Dienstautorisierungsserver eine EAPOL-Nachricht, die eine EAP-Anforderung/Dienstautorisierung, die die Abrechnungsinformation trägt, einschließt, an das Endgerät, Nachricht704 . In der dargestellten Ausführungsform ist das Endgerät ein WLAN ermöglichendes Endgerät. Das Endgerät kann jedoch, wie das oben erwähnt wurde, für eine Kommunikation mittels anderer Verfahren ausgelegt sein. Im Endgerät wird die Abrechnungsinformation verifiziert,706 . Wenn die Verifizierung erfolgreich ist, dann wird die Abrechnungsinformation signiert, und das Endgerät sendet eine EAPOL-Nachricht708 , die eine EAP-Antwort/Dienstautorisierung einschließt, die die signierte Abrechnungsinformation trägt, an den Zugangspunkt. In Erwiderung auf diese Nachricht antwortet der Zugangspunkt durch das Senden einer EAPOL-Nachricht, die eine ERP-Erfolgsnachricht710 einschließt. Dann erzeugt und sendet der Zugangspunkt/ EAP-Dienstautorisierungsserver eine DIAMETER-Abrechnungsanforderung714 an den AAA-Server. - In
8 ist eine Ausführungsform eines EAP-Untertyps in Form eines EAP-Paketformats, das für eine EAP-Anforderung/Dienstautorisierung und EAP-Antwort/Dienstautorisierung spezialisiert ist, gezeigt. Das Paket für die EAP-Anforderung/Dienstautorisierung und EAP-Antwort/Dienstautorisierung umfasst beide Male ein Kodefeld802 , ein Kennungsfeld804 , ein Längenfeld806 , ein Typfeld808 , ein Datentypfeld810 und ein Datenfeld812 . - Wie in der EAP-Spezifikation beträgt die Länge des Kodefelds
802 8 Bits, das ist ein Oktett, und identifiziert den Typ eines EAP-Pakets, das zu senden ist. EAP-Kodes werden folgendermaßen zugewiesen: - 1 Anforderung
- 2 Antwort
- Andere Kodes, die im Kodefeld
802 der EAP-Pakete verwendet werden, sind 3 für Erfolg und 4 für Misslingen. Für diese Kodes entspricht das Format des EAP-Pakets jedoch nicht notwendigerweise dem Format der EAP-Anforderung/Dienstautorisierung und der EAP-Antwort/Dienstautorisierung, wie es in8 gezeigt ist. Ein spezifisches Format für EAP-Erfolg- und EAP-Misslingen-Pakete kann man in der Spezifikation des EAP, enthalten in IETF RFC 2284, finden. - Das Kennungsfeld
804 ist auch ein Oktett und umfasst einen Identifikationskode für das Anpassen von Antworten an Anforderungen. Die Erzeugung solcher Identifikationskodes ist Fachleuten bekannt. - Das Längenfeld
806 umfasst zwei Oktette und zeigt die Länge des EAP-Pakets an, das das Kodefeld802 , das Kennungsfeld804 , das Längenfeld806 , das Typfeld808 , das Datentypfeld810 und das Datenfeld812 einschließt. - Das Typfeld
808 umfasst ein Oktett und spezifiziert den Typ des EAP-Pakets. Für die EAP-Anforderung/Dienstautorisierung und die EAP-Antwort/Dienstautorisierung wird das Typfeld808 auf einen Kode gesetzt, der das Paket als Dienstautorisierungspaket identifiziert. - Das Datentypfeld
810 umfasst ein Oktett und spezifiziert den Typ der Daten des Datenfelds812 . Gemäß einer Ausführungsform der EAP-Anforderung/Dienstautorisierung kann der Typ der Daten beispielsweise aus Attributwertpaaren, einer anzuzeigenden Textfolge oder einem XML-Dokument bestehen. Gemäß einer Ausführungsform der EAP-Antwort/Dienstautorisierung identifiziert das Datentypfeld den Typ der signierten Daten, wobei es beispielsweise eine PKCS#1 Signatur, PKCS#7 signierte Daten oder eine XML-Signatur sein kann. Eine Beschreibung von PKCS#1 kann man finden in "PKCS #1: RSA Cryptography Standard", Version 2.0, Oktober 1998 von RSA Laboratories. Eine Beschreibung von PKCS#7 kann man finden in "PKCS#7: Cryptographic Message Syntax Standard", Version 1.5, November 1993, von RSA Laboratories. Eine Beschreibung einer XML-Signatur kann man finden im Dokument von D. Eastlake 3rd, J. Reagle, D. Solo "(Extensible Markup Language" XML-signature Syntax and Processing", RFC 3275, März 2002. - Das Datenfeld
812 kann eine beliebige Anzahl von Oktetten umfassen. Gemäß einer Ausführungsform der EAP-Anforderung/Dienstautorisierung umfasst das Datenfeld812 die Abrechnungsinformation, die beispielsweise in Form von Attributwertepaaren, einem anzuzeigenden Textfolge oder einem XML-Dokument vorliegen kann. Gemäß einer Ausführungsform der EAP-Antwort/Dienstautorisierung umfasst das Datenfeld812 die signierte Abrechnungsinformation, die gemäß dem Verfahren, das im Datentypfeld810 spezifiziert ist, signiert sein kann. - Die Menge der Daten, die in einer einzigen Dienstautorisierungsnachricht zu übertragen ist, kann sehr groß sein. Die Dienstautorisierungsnachrichten, die in einer einzigen Runde gesendet werden, können somit größer als die Größe einer Point-to-Point Protokoll Maximum Transmission Unit (PPP MTU), einer maximalen RADIUS-Paketgröße von 4096 Oktetten oder sogar einer Multilink Maximum Received Reconstructed Unit (MRRU) sein. Wie in IETF RFC 1990" The PPP Multilink Protocol (MP)" von Slower, K., Lloyd, B., McGregor, G., Carr, D. und T. Coradetti, August 1996 beschrieben ist, wird die Mehrfachverbindung MRRU über die Mehrfachverbindung MRRU CLP Option ausgehandelt, die ein MRRU Längenfeld von zwei Oktetten einschließt, und somit MRRUs bis zu einer Größe von 64 KB unterstützen kann.
- Um einen Schutz gegen Wiederzusammenbauverriegelung und das Ablehnen von Dienstangriffen zu geben, kann es jedoch für eine Implementierung wünschenswert sein, eine maximale Größe für eine solche Gruppe von Dienstautorisierungsnachrichten festzulegen. Da eine typische Zertifikatkette kaum länger als einige wenige Tausend Oktette ist, und kein anderes Feld in die Nähe dieser Länge kommt, kann eine vernünftige Wahl einer maximal akzeptablen Nachrichtenlänge bei 64 KB liegen.
- Wenn dieser Wert gewählt wird, kann die Fragmentierung über die Multilink PPP Fragmentierungsmechanismen, die in IETF RFC 1990 beschrieben sind, gehandhabt werden. Während dieses wünschenswert ist, kann es Fälle geben, in welchen die Mehrfachverbindung oder die MRRU LCP Option nicht ausgehandelt werden können. Somit kann eine Implementierung einer EAP-Dienstautorisierung gemäß einer Ausführungsform angeordnet werden, um ihre eigene Unterstützung für eine Fragmentierung und einen Wiederzusammenbau zu liefern.
- Da das ERP ein einfache ACK-NAK-Protokoll ist, kann eine Fragmentierungsunterstützung auf eine einfache Art hinzugefügt werden. Im ERP werden Fragmente, die bei der Übertragung verloren oder beschädigt wurden, erneut übertragen, und da eine Sequenzinformation vom Kennungsfeld im EAP geliefert wird, besteht keine Notwendigkeit für ein Fragmentversatzfeld, wie es bei IP2v4 vorgesehen ist.
- Eine Fragmentierungsunterstützung für eine EAP-Dienstautorisierung kann durch das Hinzufügen eines Flagoktetts in den EAP-Antwort- und EAP-Anforderungspaketen als auch eines Dienstautorisierungsnachrichtenlängenfeld von vier Oktetts geliefert werden. Beispielsweise können die Flags die eingeschlossene Länge (L) und Mehr Fragmente (M) Bits einschließen. In einem solchen Fall kann das L-Flag gesetzt werden, um das Vorhandensein des Dienstautorisierungsnachrichtenlängenfeldes von vier Oktett anzuzeigen, und es wird für das erste Fragment einer fragmentierten Dienstautorisierungsnachricht oder eines Satzes von Nachrichten gesetzt. Entsprechend wird das M Flag in allen Fragmenten bis auf das letzte Fragment gesetzt. Das Dienstautorisierungsnachrichtenlängenfeld kann vier Oktette umfassen und liefert die gesamte Länge der Dienstautorisierungsnachricht oder des Satzes von Nachrichten, die oder der fragmentiert sind; dies kann einfach eine Pufferzuweisung sein.
- Wenn ein EAP-Dienstautorisierungspartner ein EAP-Anforderungspaket mit M gesetzten Bits empfängt, so antwortet er mit einer EAP-Antwort mit der EAP-Typ-EAP-Dienstautorisierung und keinen Daten. Dies dient als eine Fragmentbestätigung (ACK). Der EAP-Server wartet, bis er die EAP-Antwort empfängt, bevor er ein anderes Fragment sendet. Um Fehler beim Verarbeiten von Fragmenten zu verhindern, kann der EAP-Server das Kennungsfeld für jedes Fragment, das in einer EAP-Anforderung enthalten ist, inkrementieren, und der Partner kann diesen Kennungswert in die Fragment-ACK, die in der EAP-Antwort enthalten ist, einschließen. Wieder übertragene Fragmente können denselben Kennungswert enthalten.
- In ähnlicher Weise antwortet der EAP-Server, wenn er eine EAP-Antwort empfängt, bei der M Bit gesetzt sind, mit einer EAP-Anforderung mit einer EAP-Typ-ERP-Dienstautorisierung und keinen Daten. Diese dient als eine Fragment-ACK. Der EAP-Partner wartet, bis er die EAP-Anforderung empfängt, bevor er ein anderes Fragment sendet. Um Fehler beim Verarbeiten der Fragmente zu verhindern, kann der EAP-Server den Kennungswert für jede Fragment-ACK, die in einer EAP-Anforderung enthalten ist, inkrementieren, und der Partner kann diesen Kennungswert in das nachfolgende Fragment, das in einer EAP-Antwort enthalten ist, einschließen.
- Gemäß einer Ausführungsform kann eine Implementierung einer EAP-Dienstautorisierung, die ausgebildet ist, um ihre eigene Unterstützung für eine Fragmentierung und einen Wiederzusammenbau zu liefern, ein EAP-Anforderungs/Dienstautorisierungspaketformat verwenden, das unten beschrieben und in
9 gezeigt ist. - Unabhängig davon, ob das Paket ein EAP-Anforderungs/Dienstautorisierungspaket oder ein EAP-Antwort/Dienstautorisierungspaket ist, umfasst das Paket ein Kodefeld
802 , ein Kennungsfeld804 , ein Längenfeld806 , ein Typfeld808 , ein Flagfeld902 , ein Dienstautorisierungsnachrichtlängenfeld904 . Das Kodefeld802 , das Kennungsfeld804 , das Längenfeld806 und das Typfeld808 können identisch zu den entsprechenden Feldern, die in Verbindung mit8 beschrieben wurden, sein. - Das Flagfeld
902 kann ein Oktett in der Länge umfassen und umfasst Flags für das Steuern der Fragmentierung. In einer Ausführungsform kann das Flagfeld das Format aufweisen, das in10 gezeigt ist, in welchem die Zeichen L, M und R ein Bit umfassen und Anzeigeflags sind, und: - L
- = Länge eingeschlossen
- M
- = Mehr Fragmente
- R
- = Reserviert
- Das L-Flag (Länge eingeschlossen) wird gesetzt, um das Vorhandensein der Längenfeldes der Dienstautorisierungsnachricht mit vier Oktett anzuzeigen, und es kann für das erste Fragment einer fragmentierten Dienstautorisierungsnachricht oder eines Satzes von Nachrichten gesetzt werden. Das M Bit (mehr Fragmente) wird in alle Fragmenten bis auf das letzte Fragment gesetzt.
- Das Längenfeld
904 der Dienstautorisierungsnachricht kann vier Oktette umfassen, und es ist nur vorhanden, wenn das L-Bit gesetzt ist. Dieses Feld liefert die gesamte Länge der Dienstautorisierung oder des Satzes von Nachrichten, die fragmentiert sind. - Das Dienstautorisierungs-XXX-Nachrichtenfeld
906 ist ein Dienstautorisierungsanforderungsnachrichtenfeld in einem EAP-Anforderungs-/Dienstautorisierungspaket und ein Dienstautorisierungsantwortnachrichtenfeld in einem EAP-Antwort-/Dienstautorisierungspaket. - Das Dienstautorisierungsanforderungsnachrichtenfeld im EAP-Anforderungs-/Dienstautorisierungspaket kann zu signierende Daten, das ist Abrechnungsinformation, und eine Anzeige des Formats dieser Daten enthalten. Dies kann auf vielen Wegen implementiert werden. Beispielsweise kann das Transport Layer Security (TLS) Protokoll verwendet werden. Das TSL-Protokoll und die Präsentationssprache von TLS ist beschrieben in IETF RFC 2246, "The TLS Protocol Version 1.0", von T. Dierks, C. Allen, Januar 1999. Dieses Format kann beispielsweise eine textbasierte Zeichenfolge, Attributwertpaare oder ein XML-Dokument anzeigen.
- Das Dienstautorisierungsantwortnachrichtenfeld in einem EAP-Antwort-/Dienstautorisierungspaket umfasst die signierten Daten, und, wenn es notwendig ist, eine Anzeige des Signierverfahrens. Die Signierverfahren können beispielsweise eines der Verfahren sein, die in Verbindung mit
8 beschrieben sind.
Claims (41)
- Verfahren für ein System zur Übertragung von Abrechnungsinformationen, wobei das Verfahren umfasst: – Messen von Daten, die sich auf einen Dienst beziehen, der von mindestens einem Endgerät (
16 ) verwendet wird; – Bereitstellen der gemessenen Daten als Abrechnungsinformationen an mindestens einen Extensible Authentication Protocol, EAP, Dienstautorisierungs-Server (10 ); – Senden einer Dienstautorisierungs-Anforderung mittels einer Extensible Authentication Protocol Anforderung, EAP Anforderung, von dem mindestens einen EAP Dienstautorisierungs-Server an das mindestens eine Endgerät; – digitales Signieren von Abrechnungsinformationen in dem mindestens einen Endgerät; – Einschließen der digital signierten Abrechnungsinformationen in einer Extensible Authentication Protocol Antwort, EAP Antwort, an dem mindestens einen Endgerät; und – Senden der digital signierten Abrechnungsinformationen an einen Authentication Authorization Accounting, AAA, Server (14 ). - Verfahren nach Anspruch 1, wobei der Vorgang des Bereitstellens der gemessenen Daten an den mindestens einen EAP Dienstautorisierungs-Server mittels interner Kommunikation in einer Vorrichtung ausgeführt wird, die sowohl den mindestens einen Mess-Server als auch den mindestens einen EAP Dienstautorisierungs-Server umfasst.
- Verfahren nach Anspruch 1, wobei der Vorgang des Bereitstellens der gemessenen Daten an den mindestens einen EAP Dienstautorisierungs-Server mittels Netzwerkkommunikation zwischen einer Vorrichtung umfassend den mindestens einen Mess-Server und einer Vorrichtung umfassend den mindestens einen EAP Dienstautorisierungs-Server ausgeführt wird.
- Verfahren nach irgendeinem der Ansprüche 1 bis 3, wobei der mindestens eine Mess-Server in einem Zugangspunkt (
12 ) enthalten ist, und wobei die EAP Anforderung nach einer Dienstautorisierung und die EAP Antwort, die signierte Abrechnungsinformationen einschließt, von dem Endgerät mittels des Zugangspunkts gesendet und empfangen werden. - Verfahren nach Anspruch 4, wobei das Empfangen und Senden durch das mindestens eine Endgerät von dem/an den Zugangspunkt mittels Wireless Local Area Network, WLAN, Kommunikation ausgeführt wird.
- Verfahren nach irgendeinem der Ansprüche 1 bis 5, wobei das Senden einer Dienstautorisierungsanforderung Einschließen der Abrechnungsinformationen, die dem mindestens einen EAP Dienstautorisierungsserver bereitgestellt werden, in der EAP Anforderung nach Dienstautorisierung umfasst, und wobei das Verfahren weiter Überprüfen, ausgeführt an dem mindestens einen Endgerät, der Abrechnungsinformationen umfasst, die von dem mindestens einen EAP Dienstautorisierungs-Server empfangen werden, das ausgeführt wird, bevor der Schritt des digitalen Signierens von Abrechnungsinformationen ausgeführt wird, wobei die Abrechungsinformationen, die signiert werden, die überprüften Abrechnungsinformationen sind.
- Verfahren nach irgendeinem der Ansprüche 1 bis 5, wobei das Senden einer Dienstautorisierungsanforderung Einschließen der Abrechnungsinformationen, die dem mindestens einen EAP Dienstautorisierungsserver bereitgestellt werden, in der EAP Anforderung nach Dienstautorisierung umfasst, und wobei das Verfahren weiter Überprüfen, ausgeführt von dem Benutzer des mindestens einen Endgeräts, der Abrechnungsinformationen umfasst, die von dem mindestens einen EAP Dienstautorisierungs-Server empfangen werden, das ausgeführt wird, bevor der Schritt des digitalen Signierens von Abrechnungsinformationen ausgeführt wird, wobei die Abrechungsinformationen, die signiert werden, die überprüften Abrechnungsinformationen sind.
- Verfahren nach irgendeinem der Ansprüche 1 bis 5, wobei das digitale Signieren von Abrechnungsinformationen ein digitales Signieren von Abrechnungsinformationen umfasst, die von dem mindestens einen Endgerät gesammelt werden.
- Verfahren nach irgendeinem der Ansprüche 1 bis 8, wobei der Schritt des Sendens der überprüften und digital signierten Abrechnungsinformationen an den AAA Server umfasst: – Senden der digital signierten Abrechnungsinformationen von dem mindestens einen Endgerät an den mindestens einen EAP Dienstautorisierungsserver mittels der EAP Antwort; – Überprüfen der Signatur der digital signierten Abrechnungsinformationen an dem mindestens einen EAP Dienstautorisierungsserver; und – Senden der digital signierten Abrechnungsinformationen von dem mindestens einen EAP Dienstautorisierungsserver an den AAA Server.
- Verfahren nach irgendeinem der Ansprüche 1 bis 9, wobei das digitale Signieren mittels eines Algorithmus mit öffentlichem Schlüssel ausgeführt wird.
- System zum Übertragen von Abrechnungsinformationen, wobei das System umfasst: – einen Mess-Server zum Messen von Daten, die sich auf einen Dienst beziehen; – einen Extensible Authentication Protocol, EAP, Dienstautorisierungs-Server (
10 ), der einen Erzeuger (410 ) zum Erzeugen von Extensible Authentication Protocol Anforderungen, EAP Anforderung, nach Dienstautorisierungen, und ein Netzwerkverbindungsmittel (402 ); – ein Endgerät (16 ), einschließend einen Signierer (212 ), der eingerichtet ist zum digitalen Signieren überprüfter Abrechnungsinformationen, einen Extensible Authentication Protocol Antwort, EAP Antwort, Erzeuger (214 ), der eingerichtet ist zum Einfügen von digital signierten Abrechnungsinformationen in EAP Antworten, und ein Netzwerkverbindungsmittel (202 ); und – einen Authentication Authorization Accounting, AAA, Server (14 ), der eingerichtet ist zum Verwalten von Abrechnungsinformationen, die sich auf mindestens ein Endgerät beziehen. - System nach Anspruch 11, wobei der Mess-Server und der EAP Dienstautorisierungs-Server in der gleichen Vorrichtung eingerichtet sind.
- System nach Anspruch 11, wobei der Mess-Server und der EAP Dienstautorisierungs-Server in verschiedenen Vorrichtungen eingerichtet sind.
- System nach irgendeinem der Ansprüche 11 bis 13, weiter einen Zugangspunkt (
12 ) umfassend, wobei der Zugangspunkt den Mess-Server umfasst. - System nach Anspruch 14, wobei das mindestens eine Endgerät ein Wireless Local Area Network, WLAN, fähiges Endgerät ist und der mindestens eine Zugangspunkt ein WLAN Zugangspunkt ist.
- System nach irgendeinem der Ansprüche 11 bis 15, wobei der Erzeuger zum Erzeugen von Extensible Authentication Protocol Anforderungen, EAP Anforderungs-Dienstautorisierungen eingerichtet ist zum Einfügen von Abrechnungsinformationen von mindestens einem Endgerät in EAP Anforderungen nach Dienstautorisierungen.
- System nach irgendeinem der Ansprüche 11 bis 16, wobei das Endgerät weiter einen Überprüfer (
210 ) umfasst, der eingerichtet ist zum Überprüfen von Abrechnungsinformationen, die von einem Dienstautorisierungsserver empfangen werden. - System nach irgendeinem der Ansprüche 11 bis 17, wobei der EAP Dienstautorisierungs-Server weiter einen Signaturüberprüfer (
414 ) zum Überprüfen von Signaturen von Endgeräten umfasst, und einen Abrechnungsnachrichtenerzeuger (418 ) zum Erzeugen von Abrechnungsinformationen, die an den AAA Server zu senden sind. - Verfahren für ein Endgerät (
16 ), wobei das Verfahren umfasst: – Sammeln von Daten, die Abrechnungsinformationen entsprechen, die für mindestens einen Dienst relevant sind, der derzeit in dem Endgerät verwendet wird; – Empfangen einer Extensible Authentication Protocol Anforderung, EAP Anforderung nach Dienstautorisierung, digitales Signieren von Abrechnungsinformationen; und – Senden der digital signierten Abrechnungsinformationen in einer Extensible Authentication Protocol Antwort, EAP Antwort. - Verfahren nach Anspruch 19, wobei die Abrechnungsinformationen, die in dem Schritt des digitalen Signierens von Abrechnungsinformationen digital signiert werden, die Daten sind, die in dem Schritt des Sammelns von Daten gesammelt werden, die Abrechnungsinformationen entsprechen.
- Verfahren nach Anspruch 19, wobei die EAP Anforderung nach Dienstautorisierung, die in dem Schritt des Empfangens einer EAP Anforderung nach Dienstautorisierung empfangen wird, Abrechnungsinformationen einschließt, die für den mindestens einen Dienst relevant sind, der derzeit in dem Endgerät verwendet wird.
- Verfahren nach Anspruch 21, wobei das Verfahren weiter umfasst: – Vergleichen der empfangenen Abrechnungsinformationen mit den gesammelten Daten; und – falls die gesammelten Daten den Abrechnungsinformationen entsprechen, dann Ausführen der Schritte des digitalen Signierens von Abrechnungsinformationen und Senden der digital signierten Abrechnungsinformationen.
- Verfahren nach einem der Ansprüche 19 bis 22, wobei Empfangen einer EAP Anforderung und Senden einer EAP Antwort über eine Wireleless Local Area Netzwerkverbindung ausgeführt werden.
- Verfahren nach einem der Ansprüche 19 bis 23, wobei der Vorgang des digitalen Signierens Verschlüsseln der überprüften Abrechnungsinformationen mittels eines Verschlüsselungssystems mit öffentlichem Schlüssel umfasst.
- Endgerät (
16 ), umfassend: – einen Sammler (208 ), der eingerichtet ist zum Sammeln von Daten, die Abrechnungsinformationen entsprechen, die für mindestens einen Dienst relevant sind, der derzeit in dem Endgerät ausgeführt wird; – einen Signierer (212 ), der eingerichtet ist zum digitalen Signieren von Abrechnungsinformationen; – einen Extensible Authentication Protocol Antwort, EAP Antwort-Erzeuger (214 ), der eingerichtet ist zum Einfügen digital signierter Abrechnungsinformationen in EAP Antworten; und – ein Netzwerkverbindungsmittel (202 ). - Endgerät nach Anspruch 25, weiter eine Vergleichsvorrichtung (
210 ) umfassend, die eingerichtet ist zum Vergleichen der gesammelten Daten mit empfangenen Abrechnungsinformationen. - Endgerät nach Anspruch 25 oder 26, wobei das Netzwerkverbindungsmittel ein Wireleless Local Area Network, WLAN, Verbindungsmittel zum Verbinden des Endgeräts mit einem WLAN ist.
- Endgerät nach Anspruch 25 oder 27, weiter ein Verschlüsselungsalgorithmusmittel eines Verschlüsselungssystems mit öffentlichem Schlüssel zum Signieren überprüfter Abrechnungsinformationen umfassend.
- Verfahren für einen Extensible Authentication Protocol, EAP, Dienstautorisierungs-Server (
10 ), wobei das Verfahren umfasst: – Empfangen von Abrechnungsinformationen, die sich auf mindestens ein Endgerät (16 ) beziehen; – Senden einer Extensible Authentication Protocol Anforderung, EAP Anforderung zum Bestellen einer Dienstautorisierung an mindestens ein Endgerät; – Empfangen einer Extensible Authentication Protocol Antwort, EAP, Antwort, die signierte Abrechnungsinformationen einschließt, die in dem mindestens einen Endgerät signiert wurden; – Bereitstellen der signierten Abrechnungsinformationen an einen Authentication Authorization Accounting Server (14 ). - Verfahren nach Anspruch 29, wobei die Abrechnungsinformationen mittels eines Netzwerks (
18 ) empfangen werden. - Verfahren nach Anspruch 29, wobei die Abrechnungsinformationen mittels interner Kommunikationsmittel einer Vorrichtung empfangen werden, in welcher der EAP Dienstautorisierungs-Server enthalten ist.
- Verfahren nach irgendeinem der Ansprüche 29 bis 31, weiter umfassend: – Einfügen der empfangenen Abrechnungsinformationen in der EAP Anforderung, bevor die Schritte des Sendens einer EAP Anforderung und des Empfangens einer EAP Antwort ausgeführt werden, um Dienstautorisierung zu bestellen.
- Verfahren nach irgendeinem der Ansprüche 29 bis 32, wobei die Signatur der signierten Abrechnungsinformationen mittels eines Algorithmus eines Verschlüsselungssystems mit öffentlichem Schlüssel überprüft wird.
- Verfahren nach irgendeinem der Ansprüche 29 bis 33, weiter ein Überprüfen der signierten Abrechnungsinformationen umfassend, bevor die signierten Abrechnungsinformationen dem AAA Server bereitgestellt werden.
- Verfahren nach irgendeinem der Ansprüche 29 bis 34, wobei die EAP Antwort von einem Endgerät über ein Wireleless Local Area Network, WLAN empfangen wird.
- Extensible Authentication Protocol, EAP, Dienstautorisierungsserver (
10 ), umfassend: – einen Abrechnungsinformations-Empfänger (408 ) zum Empfangen von Abrechnungsinformationen, die sich auf mindestens ein Endgerät (16 ) beziehen, einen Extensible Authentication Protocol Antwort, EAP Anforderungs-Erzeuger (410 ), der eingerichtet ist zum Erzeugen von EAP Anforderungen nach Dienstautorisierungen; – einen Extraktor (412 ) zum Extrahieren digital signierter Abrechnungsinformationen aus einer empfangenen Extensible Authentication Protocol Antwort, EAP Antwort; – einen Abrechnungsnachrichten-Erzeuger (418 ) zum Erzeugen einer Nachricht, die einem Authentication Authorization Accounting, AAA, Protokoll entspricht, welche die digital signierten Abrechnungsinformationen einschließt; und – ein Netzwerkverbindungsmittel (402 ). - EAP Dienstautorisierungsserver nach Anspruch 36, wobei der EAP Dienstautorisierungsserver angepasst ist, um in einem Zugangspunkt (
12 ) eingeschlossen zu werden. - EAP Dienstautorisierungsserver nach Anspruch 36 oder 37, wobei der EAP Anforderungserzeuger weiter eingerichtet ist zum Einfügen von Abrechnungsinformationen in eine EAP Anforderung, die sich auf Dienste beziehen, die von mindestens einem Endgerät verwendet werden.
- EAP Dienstautorisierungsserver nach irgendeinem der Ansprüche 36 bis 38, weiter mindestens einen öffentlichen Schlüssel zum Entschlüsseln einer signierten Nachricht umfassend.
- Computerprogramm, direkt in den internen Speicher eines Endgeräts (
16 ) ladbar, wobei das Computerprogramm Softwarecodeabschnitte umfasst, um das Verfahren nach irgendeinem der Ansprüche 19-24 auszuführen. - Computerprogramm, direkt in den internen Speicher eines Extensible Authentication Protocol, EAP, Dienstautorisierungsservers (
10 ) ladbar, wobei das Computerprogramm Softwarecodeabschnitte umfasst, um das Verfahren nach irgendeinem der Ansprüche 29-35 auszuführen.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IB2002/002289 WO2004002108A1 (en) | 2002-06-20 | 2002-06-20 | Method, system and devices for transferring accounting information |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60221907D1 DE60221907D1 (de) | 2007-09-27 |
DE60221907T2 true DE60221907T2 (de) | 2008-05-15 |
Family
ID=29798152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60221907T Expired - Lifetime DE60221907T2 (de) | 2002-06-20 | 2002-06-20 | Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen |
Country Status (8)
Country | Link |
---|---|
US (1) | US7251733B2 (de) |
EP (1) | EP1514394B1 (de) |
CN (1) | CN1628449B (de) |
AT (1) | ATE370599T1 (de) |
AU (1) | AU2002314407A1 (de) |
DE (1) | DE60221907T2 (de) |
ES (1) | ES2289114T3 (de) |
WO (1) | WO2004002108A1 (de) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040166874A1 (en) * | 2002-11-14 | 2004-08-26 | Nadarajah Asokan | Location related information in mobile communication system |
CN1293728C (zh) * | 2003-09-30 | 2007-01-03 | 华为技术有限公司 | 无线局域网中用户终端选择接入移动网的快速交互方法 |
JP4070708B2 (ja) * | 2003-11-14 | 2008-04-02 | 株式会社リコー | セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体 |
CN100344094C (zh) * | 2004-09-01 | 2007-10-17 | 华为技术有限公司 | IPv6网络中对多地址用户进行授权计费的实现方法 |
EP1864426A4 (de) * | 2005-03-09 | 2016-11-23 | Korea Electronics Telecomm | Authentifikationsverfahren und schlüsselerzeugungsverfahren in einem drahtlosen tragbaren internetsystem |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
CN100382653C (zh) * | 2005-05-19 | 2008-04-16 | 中国科学院计算技术研究所 | 一种无线分组网络中语音通信的认证、授权、记账方法 |
KR101261637B1 (ko) * | 2006-02-01 | 2013-05-06 | 엘지전자 주식회사 | 이기종 망 간 핸드오버 수행시 mih 메시지 전송 방법 |
US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
CN101496387B (zh) | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
CN101064616A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 一种网络计费方法、系统及设备 |
CN101087297A (zh) * | 2006-06-06 | 2007-12-12 | 华为技术有限公司 | 用于传递计费信息的方法和装置 |
CN101237443B (zh) | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
KR100864902B1 (ko) | 2007-04-17 | 2008-10-22 | 성균관대학교산학협력단 | 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체 |
CN101039197A (zh) * | 2007-04-18 | 2007-09-19 | 华为技术有限公司 | 点对点应用中收集计费信息的方法、设备和系统 |
US20090328147A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Eap based capability negotiation and facilitation for tunneling eap methods |
US20100058317A1 (en) * | 2008-09-02 | 2010-03-04 | Vasco Data Security, Inc. | Method for provisioning trusted software to an electronic device |
KR101655264B1 (ko) | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
US8352603B2 (en) | 2010-08-10 | 2013-01-08 | Telefonaktiebolaget L M Ericsson (Publ) | Limiting resources consumed by rejected subscriber end stations |
JP5934364B2 (ja) * | 2011-09-09 | 2016-06-15 | インテル コーポレイション | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 |
CN103108325B (zh) * | 2011-11-10 | 2018-05-18 | 中兴通讯股份有限公司 | 一种信息安全传输方法及系统及接入服务节点 |
KR101880493B1 (ko) * | 2012-07-09 | 2018-08-17 | 한국전자통신연구원 | 무선 메쉬 네트워크에서의 인증 방법 |
CN103716762B (zh) * | 2012-09-29 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种互联网计费系统以及其实现安全计费的方法 |
US10027722B2 (en) * | 2014-01-09 | 2018-07-17 | International Business Machines Corporation | Communication transaction continuity using multiple cross-modal services |
US20200322334A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Authentication of network devices based on extensible access control protocols |
CN114244532A (zh) * | 2021-12-14 | 2022-03-25 | 视联动力信息技术股份有限公司 | 终端的计费方法和计费装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2669773B1 (fr) * | 1990-11-26 | 1993-01-08 | Socop Sa | Lampe de signalisation et son procede de fabrication. |
US5240334A (en) * | 1992-06-04 | 1993-08-31 | Saul Epstein | Hand held multiline printer with base member for guiding |
US5369258A (en) * | 1993-07-29 | 1994-11-29 | Pitney Bowes Inc. | Postage applying kiosk |
US6219790B1 (en) * | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
AU6861100A (en) * | 1999-09-29 | 2001-04-30 | Nortel Networks Limited | Apparatus and method for routing aaa messages between domains of a network |
US8463231B1 (en) * | 1999-11-02 | 2013-06-11 | Nvidia Corporation | Use of radius in UMTS to perform accounting functions |
US6775262B1 (en) * | 2000-03-10 | 2004-08-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network |
GB2367213B (en) * | 2000-09-22 | 2004-02-11 | Roke Manor Research | Access authentication system |
AU2002213367A1 (en) * | 2000-10-20 | 2002-05-06 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
-
2002
- 2002-06-20 AT AT02740980T patent/ATE370599T1/de not_active IP Right Cessation
- 2002-06-20 EP EP02740980A patent/EP1514394B1/de not_active Expired - Lifetime
- 2002-06-20 ES ES02740980T patent/ES2289114T3/es not_active Expired - Lifetime
- 2002-06-20 AU AU2002314407A patent/AU2002314407A1/en not_active Abandoned
- 2002-06-20 DE DE60221907T patent/DE60221907T2/de not_active Expired - Lifetime
- 2002-06-20 CN CN02829170.0A patent/CN1628449B/zh not_active Expired - Fee Related
- 2002-06-20 WO PCT/IB2002/002289 patent/WO2004002108A1/en active IP Right Grant
-
2003
- 2003-06-20 US US10/601,337 patent/US7251733B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
AU2002314407A1 (en) | 2004-01-06 |
EP1514394A1 (de) | 2005-03-16 |
EP1514394B1 (de) | 2007-08-15 |
ATE370599T1 (de) | 2007-09-15 |
US7251733B2 (en) | 2007-07-31 |
ES2289114T3 (es) | 2008-02-01 |
WO2004002108A1 (en) | 2003-12-31 |
DE60221907D1 (de) | 2007-09-27 |
US20040064741A1 (en) | 2004-04-01 |
CN1628449B (zh) | 2010-06-16 |
CN1628449A (zh) | 2005-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60221907T2 (de) | Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen | |
US7360079B2 (en) | System and method for processing digital documents utilizing secure communications over a network | |
DE69826609T2 (de) | Verfahren und Vorrichtung zum Aufbau einer authentifizierten und sicheren Kommunikationssession über ein drahtloses Datennetzwerk | |
DE69830726T2 (de) | Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system | |
DE69433771T2 (de) | Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz | |
DE60221113T3 (de) | Verfahren und system für die fernaktivierung und -verwaltung von personal security devices | |
CN1711740B (zh) | 轻度可扩展验证协议的密码预处理 | |
DE60220665T3 (de) | Verfahren und system für den aufbau einer verbindung zwischen einem personal security device und einem fernrechnersystem | |
KR100207815B1 (ko) | 클라이언트-서버 통신 인증방법 및 장치 | |
EP2749003B1 (de) | Verfahren zur authentisierung eines telekommunikationsendgeräts umfassend ein identitätsmodul an einer servereinrichtung eines telekommunikationsnetzes, verwendung eines identitätsmoduls, identitätsmodul und computerprogramm | |
JP4741193B2 (ja) | インターネット接続時のネットワークアクセスにおけるユーザ認証方法およびシステム | |
EP2207301A1 (de) | Authentifizierungsverfahren für eine anforderungsnachricht sowie einrichtung davon | |
CN103503408A (zh) | 用于提供访问凭证的系统和方法 | |
CN101645883A (zh) | 数据传输方法、数据发送方法及数据接收方法 | |
EP2106089A1 (de) | Ein verfahren und system zur authentifizierung von benutzern | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
DE60203277T2 (de) | Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem | |
DE10124427A1 (de) | System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten | |
DE602005004341T2 (de) | Cookie-basiertes Verfahren zur Authentifizierung von MAC-Nachrichten | |
DE602005003221T2 (de) | Verfahren und Vorrichtung für die Verarbeitung der digital unterzeichneten Anzeigen, um Adressen-Fehlanpassungen festzustellen | |
CN106549918B (zh) | 一种推送业务异常原因页面的方法及装置 | |
DE102020128700A1 (de) | System zur Authentifizierung eines Benutzers an einer Ladevorrichtung und zur Berichterstattung über die Verwendung derselben | |
US20080028044A1 (en) | System and method for file transfer | |
WO2002067532A1 (de) | Verfahren zur übertragung von daten, proxy-server und datenübertragungssystem | |
DE102022112839B4 (de) | Kommunikationssystem, Verfahren und Computerprogrammprodukt zur Bereitstellung von Dokumenten von einem oder mehreren Absendern an mindestens einen Empfänger |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1514394 Country of ref document: EP Representative=s name: BECKER, KURIG, STRAUS, 80336 MUENCHEN, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1514394 Country of ref document: EP Owner name: CORE WIRELESS LICENSING S.A.R.L., LU Free format text: FORMER OWNER: NOKIA CORP., ESPOO, FI Effective date: 20120215 |
|
R082 | Change of representative |
Ref document number: 1514394 Country of ref document: EP Representative=s name: TBK, 80336 MUENCHEN, DE |
|
R082 | Change of representative |
Ref document number: 1514394 Country of ref document: EP Representative=s name: TBK, 80336 MUENCHEN, DE |