DE60313445T2 - Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang - Google Patents

Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang Download PDF

Info

Publication number
DE60313445T2
DE60313445T2 DE60313445T DE60313445T DE60313445T2 DE 60313445 T2 DE60313445 T2 DE 60313445T2 DE 60313445 T DE60313445 T DE 60313445T DE 60313445 T DE60313445 T DE 60313445T DE 60313445 T2 DE60313445 T2 DE 60313445T2
Authority
DE
Germany
Prior art keywords
user
service
network
access
credentials
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60313445T
Other languages
English (en)
Other versions
DE60313445D1 (de
Inventor
Luis Ramos Robles
Luis Barriga
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of DE60313445D1 publication Critical patent/DE60313445D1/de
Publication of DE60313445T2 publication Critical patent/DE60313445T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft im Allgemeinen Einmalanmeldungs- bzw. Single-Sign-On-Dienste für eine Vielzahl von Benutzern, die auf ein Dienstnetz über ein nicht vertrauenswürdiges Zugangsnetz zugreifen. Insbesondere betrifft die Erfindung eine Telekommunikationsvorrichtung, eine Benutzerausrüstung und ein Verfahren für Einmalanmeldungs-Authentifizierungszwecke, wenn das Zugangsnetz keine Datenursprungs-Authentifizierung bereitstellt.
  • HINTERGRUND
  • Einmalanmeldung bzw. Single-Sign-On (nachstehend SSO) ist ein aufkommendes Prinzip, das es Benutzern ermöglicht, auf unterschiedliche Dienste ohne explizites Authentifizieren solcher Benutzer für jeden speziellen der unterschiedlichen Dienste zuzugreifen. Die Unterstützung dieses Prinzips impliziert, dass ein Benutzer nur einmal bei einer gegebenen Identitätsanbieter-(nachstehend IdP – vom englischsprachigen Ausdruck Identity Provider) Einheit authentifiziert wird und die resultierende Authentifizierung für den Einlass zu anderen Diensten oder Diensteanbietern (SP bzw. Service Provider) gültig ist. Mit anderen Worten, der Zweck von SSO ist es, Benutzern zu ermöglichen, sicher auf unterschiedliche Dienste und Anwendungen zuzugreifen ohne jedes Mal authentifiziert und authorisiert zu werden.
  • Im Grunde gibt es zwei Ansätze zum Unterstützen von SSO, nämlich einen sogenannten Endgeräte-zentrierten Ansatz und einen sogenannten Netz-zentrierten Ansatz.
  • Bei dem Endgeräte-zentrierten Ansatz ist es das Endgerät des Benutzers, das die unterschiedlichen Authentifizierungsmechanismen unterstützt, die erforderlich sind zum Zugriff auf die unterschiedlichen Dienste. Beispielsweise statt des Benutzers selbst speichert das Endgerät die unterschiedlichen Passwörter. In dieser Hinsicht erlegt dieser Ansatz noch der Benutzer- oder Endgeräteseite die Last des Unterstützens unterschiedlicher Authentifizierungsmechanismen auf. Zudem muss der Benutzer sich selbst bei jeder Einheit, die die Rolle des Diensteanbieters (SP) spielt, registrieren, sodass jede von diesen Einheiten die Information hat, die erforderlich ist in Bezug auf den Benutzer wie z.B. die Benutzeridentität und Passwort, Adresse für Postlieferungen, Kontaktinformation, Bezahlungsmodus etc.
  • Bei dem Netz-zentrierten Ansatz wird "ein Benutzer einfach in Richtung einer zentralen Einheit authentifiziert, die die Rolle des Identitätsbereitstellers (IdP) für diesen Benutzer spielt. Wenn der Benutzer es wünscht, auf einen gegebenen Dienst zuzugreifen, braucht der entsprechende Dienstebereitsteller (SP) keine neue Authentifizierung. Stattdessen werden dem Dienstebereitsteller (SP) von dem Identitätsbereitsteller (IdP) ein oder mehrere Dienstberechtigungsnachweise unterbreitet, demnach festlegend, dass der Benutzer authentifiziert worden ist und die notwendige Information über den Benutzer bereitstellend. Sicherlich erfordert dieser Mechanismus eine Geschäftsbeziehung zwischen dem SP und dem IdP.
  • Es gibt einen speziellen Fall, wenn dieselbe Einheit, beispielsweise ein Mobilnetzbetreiber (nachstehend MNO – vom englischsprachigen Ausdruck Mobile Network Operator) die Zugriffsauthentifizierung steuert und gleichzeitig die Rolle des IdP übernimmt. Beispielsweise führt der Benutzer eine Authentifizierung mit dem Kernnetz (CN) durch, um Zugriff auf das Netz zu erlangen wie während einer General-Packet-Radio-Service- bzw. GPRS-Authentifizierung oder einer Circuit-Switched-Authentifizierung, und der IdP verlässt sich auf diese Authentifizierung, so dass eine neue Authentifizierung in Richtung des IdP nicht benötigt wird, vorausgesetzt, dass der IdP die Einrichtung hat, um die Information von dem CN zu erhalten.
  • In diesem speziellen Fall kann der Identitätsbereitsteller (IdP) sich nur auf die Kernnetz- bzw. CN-Authentifizierung verlassen, wenn das Zugangsnetz, auf das der Benutzer zugreift, Datenursprungs-Authentifizierung bereitstellt. Dies ist beispielsweise der Fall, wenn der Benutzer über ein GPRS Zugangsnetz zugreift.
  • In diesem Zusammenhang bedeutet Datenursprungs-Authentifizierung, dass für irgendwelche vom Zugangsnetz empfangene Daten und egal wer der Erzeuger war, der beanspruchte Erzeuger dieser Daten als authentisch betrachtet werden kann.
  • Jedoch stellen andere Zugangsnetze wie z.B. ein Drahtloslokalbereichsnetz (WLAN) keine Datenursprungs-Authentifizierung bereit, demnach die Wiederverwendung der beim Zugriff auf das Netz für SSO-Authentifizierungszwecke durchgeführte Ursprungs-Authentifizierung ausschließend, oder mit anderen Worten, die Wiederverwendung der Zugriffsauthentifizierung für SSO-Zwecke ausschließend.
  • Konventionell impliziert in der Mobil-Welt das SSO-Prinzip, dass sobald ein Benutzer eine Kernnetz- bzw. CN-Authentifizierung durchgeführt hat, ein solcher Benutzer Zugriff auf Dienste in einer Vielfalt von Netzen erhält ohne weiter explizite Authentifizierung vermöge einer Single-Sign-On- bzw. SSO-Unterstützung, und wobei das Heimatnetz, das die Teilnehmerschaft des Benutzers innehat, die Rolle des IdP für einen solchen Benutzer übernimmt. Allgemein gesagt, ein Benutzer kann durch das Heimatkernnetz des Benutzers authentifiziert werden, bei dem der Benutzer Teilnehmer ist, oder durch ein besuchtes Kernnetz (Visited Core Network), bei dem der Benutzer Roaming durchführt. Zum Zweck der Vereinfachung bezieht sich die vorliegende Beschreibung nachstehend auf eine Kernnetzauthentifizierung, egal ob das Heimat- oder das besuchte Netz den Benutzer authentifiziert hat. In diesem Zusammenhang wird eine Datenursprungs-Authentifizierung sichergestellt, da sie auf der Tatsache beruht, dass das Kernnetz (CN) des Mobilnetzbetreibers ein zuverlässiges Netz ist und demnach eine Mobilstation (oder eine Benutzerausrüstung oder eine Benutzerendgeräteseite), der von dem CN eine IP-Adresse zugewiesen worden ist, über die vertrauenswürdige IP-Adresse identifiziert werden kann. Jedwede Daten, die von der Mobilstation stammen, können als authentisch betrachtet werden. Zudem kann die IP-Adresse als die Pseudo-Identität des Benutzers während der Dauer, in der die IP-Adresse der Mobilstation des Benutzers zugewiesen ist, betrachtet werden. Dieses Prinzip wird unter einem SSO-Ansatz verwendet zum Erhalten anderer Identitäten des Benutzers wie die Mobilteilnehmerverzeichnisnummer (Mobile Subscriber Directory Number, nachstehend MSISDN bezeichnet).
  • Heutzutage gibt es zwei Hautgeschäftsmodelle in Bezug auf Single-Sign-On. Das Erste ist das sogenannte Walled-Garden-SSO und bezieht sich auf die Verwendung von SSO für Dienste, die von derselben Einheit angeboten werden, die SSO anbietet, nämlich Lokaldienste (Local Services) innerhalb dieser Beschreibung. Es gibt keine offenen Spezifikationen oder Standardtechnologie, die dieses Geschäftsmodell unterstützen.
  • Ein anderes wohlbekanntes Modell ist das sogenannte Federated-SSO, wobei der SSO-Dienst durch einen Identitätsbereitsteller (IdP) bereitgestellt wird, wohingegen die Dienste von einem oder mehreren Dienstebereitstellern (SP) bereitgestellt werden, nämlich externe Dienste (External Services) innerhalb dieser Beschreibung. Das als Liberty Alliance Project (LAP) bekannte Industrieforum hat einen Satz von Protokollen entwickelt, um Szenarien zu ermöglichen, die die sogenannte Federated-SSO unterstützen. LAP spezifiziert keinen speziellen Authentifizierungsmechanismus, sondern lediglich wie das Authentifizierungsergebnis von einem Identitätsbereitsteller (IdP) zu einem Dienstebereitsteller (SP) übertragen werden kann, wobei der Letztere letztendlich den Endbenutzer mit Diensten bedient. LAP suggeriert jedoch nicht, wie ein IdP arbeitet, wenn der Benutzer über ein nicht vertrauenswürdiges Zugangsnetz zugreift.
  • Wenn ein Mobilnetzbetreiber (MNO) beide Rollen übernimmt, den Kernnetz- bzw. CN-Authentifizierungsbereitsteller und den Identitätsbereitsteller (IdP) in den obigen Szenarien für Single-Sign-On (SSO), dem Walled-Garden- und dem Federated-SSO-Szenario, und vorausgesetzt, dass das Zugangsnetz Datenursprungs-Authentifizierung bereitstellt, führt ein Benutzer einfach eine Zugangsauthentifizierung durch und sobald dieser Schritt ausgeführt worden ist, kann SSO verwendet werden, um Zugriff auf eine Anzahl von Diensten zu gewähren ohne irgendeinen neuen Authentifizierungsprozess.
  • Beispielsweise vorausgesetzt, dass das Zugangsnetz ein GPRS-Netz ist, ist die Einheit, die die Rolle des Identitätsbereitstellers (IdP) spielt, sobald eine GPRS-Identifizierung erfolgreich durchgeführt worden ist, sicher, dass jede Anfrage für Dienstberechtigungsnachweise, die von einem Benutzer mit einer gegebenen IP-Adresse empfangen werden, tatsächlich von diesem Benutzer kommen und nicht von einem Angreifer, der IP-Spoofing durchführt. Hierdurch kann der IdP die angeforderten Dienstberechtigungsnachweise dem Benutzer bereitstellen ohne das Durchführen einer zusätzlichen Authentifizierung. Einhergehend mit diesem beispielhaften Szenario offenbart US-6253327 eine Vorrichtung und ein Verfahren für einen Benutzer, dem eine IP-Adresse zugewiesen worden ist, als er einmal durch ein Netz authentifiziert worden ist, wobei diese IP-Adresse als eine sicher durch eine verhandelte Punkt-zu-Punkt-Protokollsitzung authentifizierte verwendet wird, hierdurch den Bedarf nach weiteren Authentifizierungen eliminierend, wenn der Benutzer auf öffentliche oder private Netzbereiche zugreift. Dies ist eine akzeptable Lösung, wenn das Zugangsnetz Datenursprungs-Authentifizierung bereitstellt, wie es eine Punkt-zu-Punkt-Protokollsitzung ermöglicht.
  • Jedoch bietet der derzeitige Stand der Technik keine sichere Lösung für eine Single-Sign-On-Authentifizierung, wenn das Zugangsnetz keine Datenursprungs-Authentifizierung bereitstellt, da die gegebene IP-Adresse, die den Benutzer identifiziert, nicht durch den Mobilnetzbetreiber (MNO) kontrolliert ist und von einem IP-Spoofing durchführenden Angreifer verwendet werden könnte. In dieser Hinsicht ist die Verwendung eines Tunnelmechanismus durch ein sicheres Gateway zum Authentifizieren eines auf ein Privatnetz zugreifenden Benutzers mit dem Hinzufügen und Entfernen von IP-Adressen für Netzeinheiten im Privatnetz und dem Verbinden von Funktionen zum Zuordnen des Ursprungs einer Anfrage zu dem Ziel einer entsprechenden Antwort, um einen direkten Zugriff von dem Zugangsnetz zum Privatnetz zu vermeiden, wie in US-6571289 gezeigt, nicht hilfreich, wenn das Zugangsnetz keine Datenursprungs-Authentifizierung bereitstellt, und schließt ein Eindringen eines angreifenden Benutzers, der IP-Spoofing durchführt, nicht aus.
  • Daher ist die vorliegende Erfindung dazu gedacht, diese Einschränkung auf solche Weise auszuräumen, dass ein Mobilnetzbetreiber (MNO), der Zugriff über ein Zugangsnetz bereitstellt, das nicht imstande ist, Datenursprungs-Authentifizierung bereitzustellen, wie z.B. ein WLAN, die Ursprungs-Authentifizierung für SSO wiederverwenden kann. Darüber hinaus richtet sich die vorliegende Erfindung auf das Ausräumen dieser Einschränkung mindestens nach einem Netzzentrierten Ansatz.
  • RESÜMEE DER ERFINDUNG
  • Das obige Ziel wird in Übereinstimmung mit der vorliegenden Erfindung durch das Bereitstellen einer Vorrichtung nach Anspruch 1 erreicht, durch eine Benutzerausrüstung nach Anspruch 14 und das Verfahren nach Anspruch 18, die alle dazu gedacht sind, Single-Sign-On-Dienste für einen Benutzer bereitzustellen, der auf ein Dienstnetz über ein Zugangsnetz zugreift, das keine Datenursprungs-Authentifizierung bereitstellt, durch Wiederverwendung der ursprünglichen Zugangsindentifizierung, die mit dem Kernnetz durchgeführt wird. Die Vorrichtung, die Benutzerausrüstung und das Verfahren bilden demnach ein einziges Erfindungskonzept.
  • Die Vorrichtung in Übereinstimmung mit der Erfindung ist eingerichtet zum Empfangen einer Einmalanmeldungs- bzw. Single-Sign-On-Dienstanfrage in einem Telekommunikationsdienstnetz von einem Benutzer über ein Zugangsnetz, das nicht befähigt ist, Datenursprungs-Authentifizierung bereitzustellen, wobei der Benutzer als ein Ergebnis einer Authentifizierung durch ein Kernnetz Zugriffsberechtigungsnachweise empfangen hat. Diese Vorrichtung umfasst:
    • – eine Vorrichtung zum Einrichten eines sicheren Tunnels mit dem Benutzer über ein Zugangsnetz unter Verwendung einer durch das Zugangsnetz zugewiesen äußeren IP-Adresse;
    • – eine Einrichtung zum Prüfen der Gültigkeit von Zugriffsberechtigungsnachweisen, die von dem Benutzer während des Einrichtens des sicheren Tunnels empfangen worden sind;
    • – eine Einrichtung zum Einrichten einer gültigen Sitzung mit dem Benutzer auf die erfolgreiche Gültigkeitsprüfung der Zugriffsberechtigungsnachweise hin;
    • – eine Einrichtung zum Zuweisen einer internen IP-Adresse, die als eine innere IP-Adresse innerhalb des sicheren Tunnels zu verwenden ist; und
    • – eine Einrichtung zum Verknüpfen von Sitzungsdaten, Zugriffsberechtigungsnachweisen und der zugewiesenen internen IP-Adresse für den Benutzer.
  • Die Vorrichtung ist vorzugsweise mit einer Einrichtung ausgerüstet zum Erzeugen von Dienstberechtigungsnachweisen, die verwendbar sind für den Benutzer, um auf gewisse Dienste zuzugreifen, die einen speziellen Authorisierungsbeleg erfordern. Zudem ist diese Einrichtung eingerichtet zum Erzeugen von Dienstberechtigungsnachweisen auf einer Pro-Dienst-Basis für den Benutzer und auf eine Dienstanfrage hin.
  • Unter der Voraussetzung, dass die Zugriffsberechtigungsnachweise, die dem Dienstnetz bereitgestellt werden, signiert sein können oder nicht, ist die Vorrichtung vorzugsweise mit einer Einrichtung versehen zum Kommunizieren mit einem Authentifizierungsserver des Heimatnetzes, um die Gültigkeit der von dem Benutzer empfangenen Zugriffsberechtigungsnachweise zu prüfen, wenn die Zugriffsberechtigungsnachweise nicht durch eine erkannte Authentifizierungseinheit signiert sind.
  • Die Vorrichtung kann mit unterschiedlichen Komponenten in vorteilhafter Weise implementiert werden, wobei die Einrichtung zum Einrichten des sicheren Tunnels mit einem Benutzer in einer ersten Vorrichtung eingeschlossen ist, die Sicher-Dienstzugangspunkt bzw. Secure-Service-Entry-Point genannt wird, und die Einrichtung zum Verknüpfen von Sitzungsdaten, Zugriffsberechtigungsnachweisen und einer zugeordneten internen IP-Adresse für den Benutzer in einer zweiten Vorrichtung eingeschlossen sind, die Single-Sign-On-Server bzw. SSO-Server genannt wird. Unter diesem Ansatz umfasst die Vorrichtung ferner eine Einrichtung, damit die ersten und zweiten genannten Vorrichtungen kommunizieren können, nämlich der Secure-Service-Entry-Point mit dem Single-Sign-On-Server.
  • Andererseits, unter der Vorraussetzung, dass das Dienstnetz, auf das der Benutzer zugreift, sich von dem Heimatnetz unterscheiden kann, bei dem der Benutzer als Teilnehmer gemeldet ist, umfasst die Vorrichtung der vorliegenden Erfindung eine Einrichtung für eine zusätzliche Koordination mit dem für diesen Benutzer zuständigen Identitätsbereitsteller im Heimatnetz. Diese Einrichtung für die zusätzliche Koordination befindet sich vorzugsweise beim Single-Sign-On-Server, obwohl sie alternativ auch beim Secure-Service-Entry-Point angeordnet sein kann.
  • Im Betrieb schließt die Vorrichtung für eine beispielhafte Benutzung, wenn der Benutzer auf einen lokalen HTTP-Dienst oder auf einen externen Dienst in einem vom derzeit bezugrifften Dienstnetz unterschiedlichen Netz zugreift, eine Einrichtung zum Prüfen ein, ob der Benutzer zuvor authentifiziert worden ist oder nicht. Daher kann die Vorrichtung mit einer Einrichtung versehen sein zum Kommunizieren mit einer Zwischen-Einheit, die angeordnet ist, um den Zugriff des Benutzers auf den HTTP-Lokaldienst oder den externen Dienst in einem externen Netz zu unterbrechen. Speziell kann diese Zwischen-Einheit ein HTTP-Proxy sein oder eine zu diesem Zweck angeordnete Universal-Firewall.
  • Im Betrieb für eine andere beispielhafte Benutzung, wenn der Benutzer auf einen Nicht-HTTP-Lokaldienst zugreift, schließt die Vorrichtung auch eine Einrichtung ein zum Prüfen, ob der Benutzer zuvor authentifiziert worden ist oder nicht. Unter diesem Ansatz können jedoch gegebenenfalls nicht derart angenehme Vorteile gegeben sein, wenn man eine zwischen dem Benutzer und dem Dienst eingefügte Zwischen-Einheit hat, die die Einrichtung ist zum geteilten Prüfen zwischen dem Dienst und der Vorrichtung selbst. In Bezug auf jene beiden beispielhaften Benutzungen bestimmt nicht die Tatsache, einen HTTP-Dienst oder einen Nicht-HTTP-Dienst zu haben die Vorteile oder Nachteile des Vorsehens der Zwischen-Einheit, sondern es zeigen sich eher unterschiedliche Konfigurationen, die mit der Vorrichtung der vorliegenden Erfindung kompatibel sind.
  • Die Benutzerausrüstung im Zusammenhang mit der Erfindung ist eingerichtet zum Ausführen der Authentifizierungsprozeduren mit einem Kernnetz und schließt eine Einrichtung ein zum Einrichten eines sicheren Tunnels mit einem Dienstnetz durch ein nicht mit Datenursprungs-Authentifizierung versehenes Zugangsnetz, wobei der sichere Tunnel eine durch das Zugangsnetz zugewiesene äußere IP-Adresse nutzt und die Benutzerausrüstung auch einschließt:
    • – eine Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen als ein Ergebnis des Authentifiziertwerdens durch das Kernnetz; und
    • – eine Einrichtung zum Verknüpfen des Zugriffsberechtigungsnachweises mit dem sicheren Tunnel.
  • Die Benutzerausrüstung schließt in vorteilhafter Weise eine Einrichtung ein zum Verknüpfen der internen IP-Adresse, die als eine innere IP-Adresse innerhalb des getunnelten Verkehrs verwendet wird, mit den Zugriffsberechtigungsnachweisen und mit dem sicheren Tunnel. Auf diese Weise können weitere Adressen zu speziellen Diensten leicht bei der Benutzerausrüstung auf die zuvor zugewiesene IP-Adresse als eine Pseudo-Identität stoßen zum direkten Zugriff auf die speziellen Dienste.
  • Obwohl unterschiedliche Mechanismen verwendet werden können zum Erhalten von Zugriffsberechtigungsnachweisen, werden zusätzliche Sicherheitsvorteile gesehen beim Bereitstellen einer Benutzerausrüstung, wobei die Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen einschließt:
    • – eine Einrichtung zum Empfangen einer Authentifizierungs-Hinterfragung von dem Kernnetz;
    • – eine Einrichtung zum Erzeugen und Zurückgeben einer Authentifizierungsantwort zum dem Kernnetz;
    • – eine Einrichtung zum Erzeugen eines Paars aus einem öffentlichen und einem privaten Schlüssel; und
    • – eine Einrichtung zum Unterbreiten des öffentlichen Schlüssels gemeinsam mit einer digitalen Signatur, die die Inhaberschaft des privaten Schlüssels bestätigt, gegenüber dem Kernnetz.
  • Alternativ schließt in einer vereinfachten Benutzerausrüstung und einem Kernnetz die Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen bei der Benutzerausrüstung ein:
    • – eine Einrichtung zum Empfangen einer Authentifizierungs-Hinterfragung von dem Kernnetz;
    • – eine Einrichtung zum Erzeugen und Zurückgeben einer Authentifizierungsantwort zu dem Kernnetz; und
    • – eine Einrichtung zum Anfordern eines von dem Kernnetz erhaltbaren digitalen Zertifikat.
  • In Übereinstimmung mit der vorliegenden Erfindung wird auch ein Verfahren zum Unterstützen von Einmalanmeldungs- bzw. Single-Sign-On-Diensten in einem Telekommunikationsdienstnetz bereitgestellt für einen Benutzer, der über ein Zugangsnetz auf das Dienstnetz zugreift, das nicht imstande ist, Datenursprungs-Authentifizierung bereitzustellen, wobei der Benutzer durch ein Kernnetz authentifiziert wird, und das Verfahren die Schritte umfasst:
    • – Bereitstellen von Zugriffsberechtigungsnachweisen für die Seite der Benutzerausrüstung als ein Ergebnis des Authentifiziertwerdens durch das Kernnetz;
    • – Einrichten eines sicheren Tunnels zwischen der Benutzerausrüstungsseite und einer Einheit des Dienstnetzes über das Zugangsnetz unter Verwendung einer durch das Zugangsnetz zugewiesenen äußeren IP-Adresse;
    • – Verknüpfen der Zugriffsberechtigungsnachweise mit dem sicheren Tunnel auf der Benutzerausrüstungsseite;
    • – Prüfen der Gültigkeit der Zugriffsberechtigungsnachweise, die von der Benutzerausrüstungsseite während des Einrichtens des sicheren Tunnels empfangen worden sind;
    • – Einrichten einer gültigen Sitzung mit dem Benutzer auf die erfolgreiche Gültigkeitsprüfung der Zugriffsberechtigungsnachweise hin;
    • – Zuweisen einer internen IP-Adresse für den Benutzer bei dem Dienstnetz, die als innere IP-Adresse innerhalb des getunnelten Verkehrs zu verwenden ist; und
    • – Verknüpfen von Sitzungsdaten, Zugriffsberechtigungsnachweisen und der zugewiesenen internen IP-Adresse für den Benutzer bei einer Einheit des Dienstnetzes.
  • In vorteilhafter Weise und gemäß einem bevorzugten entsprechenden Merkmal bei der Benutzerausrüstung umfasst das Verfahren ferner einen Schritt des Verknüpfens einer als eine innere IP-Adresse innerhalb des getunnelten Verkehrs empfangenen internen IP-Adresse mit den Zugriffsberechtigungsnachweisen und mit dem sicheren Tunnel auf der Benutzerausrüstungsseite.
  • Das Verfahren umfasst ebenfalls gemäß bevorzugter entsprechender Merkmale in der obigen Vorrichtung einen Schritt des Erzeugens von Dienstberechtigungsnachweisen für den Benutzer. Dieser Schritt kann zusätzlich einen Schritt des Erzeugens von Dienstberechtigungsnachweisen auf einer Pro-Dienst-Basis für den Benutzer auf eine Dienstanfrage hin einschließen.
  • Vorzugsweise schließt der Schritt des Prüfens der Gültigkeit der Zugriffsberechtigungsnachweise, die von dem Benutzer erhalten werden, bei dem Dienstnetz ferner einen Schritt ein des Kommunizierens mit einem Authentifizierungsserver des Heimatnetzes, wenn die Zugriffsberechtigungsnachweise nicht durch eine erkannte Authentifizierungseinheit signiert sind.
  • Andererseits und abhängig von der speziellen Konfiguration, die der Vorrichtung verliehen wird in Übereinstimmung mit der Erfindung, kann das Verfahren ferner einen Schritt des Kommunizierens mit einer ersten Vorrichtung einschließen, die Sicher-Diensteingangspunkt bzw. Secure-Service-Entry-Point genannt wird, die zuständig ist für den sicheren Tunnel, und einer zweiten Vorrichtung, die Einmalanmeldungs- bzw. Single-Sign-On-Server genannt wird, bei der der Schritt des Verknüpfens von Sitzungsdaten, Zugriffsberechtigungsnachweisen und der zugewiesenen internen IP-Adresse für den Benutzer stattfindet.
  • In einer beispielhaften Benutzung schließt das Verfahren ferner, wenn der Benutzer auf einen lokalen Dienst oder auf einen externen Dienst in einem von dem derzeit bezugrifften Dienstnetz abweichenden Netz zugreift, eine Einrichtung ein zum Prüfen, ob der Benutzer zuvor authentifiziert worden ist oder nicht.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die Merkmale, Ziele und Vorteile der Erfindung werden auf das Lesen dieser Beschreibung hin im Zusammenhang mit den beiliegenden Zeichnungen ersichtlich, in denen zeigt:
  • 1 eine Basisübersicht einer bekannten Architektur für eine Zugriffssteuerung basierend auf einem erweiterbaren Authentifizierungsprotokoll (Extensible Authentication Protocol);
  • 2 eine Übersicht beispielhafter Architektur und Schnittstellen, auf die Einheiten und Schnittstellen fokussierend, die involviert sind, wenn der Benutzer durch das Heimatnetz des Benutzers authentifiziert wird und ferner auf ein Dienstnetz zugreift über ein Zugangsnetz, das keine Ursprungsauthentifizierung bereitstellt, wobei das Dienstnetz die Zugriffsauthentifizierung wieder verwendet;
  • 3 eine Ablaufsequenz einer derzeit bevorzugten Ausführungsform für einen Benutzer zum Erhalten von Zugriffsberechtigungsnachweisen als ein Ergebnis des Authentifiziertwerdens durch das Heimatkernnetz des Benutzers;
  • 4 eine erste Übersicht beispielhafter Architektur und Schnittstellen, die in 2 gezeigt sind, fokussierend auf einen bevorzugten Betrieb, wenn der Benutzer auf einen lokalen HTTP-Dienst zugreift;
  • 5 eine zweite Übersicht beispielhafter Architektur und Schnittstellen, die in 2 gezeigt werden, fokussierend auf einen bevorzugten Betrieb, wenn der Benutzer auf einen lokalen Nicht-HTTP-Dienst zugreift oder auf einen lokalen HTTP-Dienst ohne Unterstützung irgendeiner Zwischen-Einheit wie eines HTTP-Proxy oder einer Firewall; und
  • 6 eine dritte Übersicht beispielhafter Architektur und Schnittstellen, die in 2 gezeigt sind, fokussierend auf einen bevorzugten Betrieb, wenn der Benutzer auf einen externen Dienst in einem Netz zugreift, das sich von dem derzeit bezugrifften Dienstnetz unterscheidet.
  • DETAILLIERTE BESCHREIBUNG BEVORZUGTER AUSFÜHRUNGSFORMEN
  • Das Folgende beschreibt derzeit bevorzugte Ausführungsformen einer Vorrichtung; einer Benutzerausrüstung und eines Verfahrens, um einem Benutzer die Möglichkeit anzubieten, Single-Sign-On- bzw. Einmalanmeldungs-(SSO-)Dienste zu erhalten beim Zugreifen über ein Zugangsnetz, das keine Ursprungsauthentifizierung bereitstellt, wie z.B., wenn über ein drahtloses Lokalbereichsnetz (WLAN) zugegriffen wird.
  • Die vorliegende Erfindung präsentiert einige Aspekte in Verbindung mit der Benutzerausrüstung, mit dem besuchten Dienstnetz, welches speziell das Heimatdienstnetz sein kann, und mit dem Einrichten eines sicheren Tunnels zwischen dem Benutzerendgerät und dem besuchten Dienstnetz über ein Zugangsnetz, das keine Datenursprungs-Authentifizierung bereitstellt.
  • In Übereinstimmung mit einem ersten Aspekt der vorliegenden Erfindung wird ein neuer Mechanismus bereitgestellt zum Erhalten von Authentifizierungs- oder Zugriffsberechtigungs-Nachweisen auf der Benutzerendgeräteseite (N-10) von dem Kernnetz (N-30) während des Kernnetzauthentifizierungs-Prozesses, und zum Verknüpfen der Authentifizierungs- oder Zugriffsberechtigungsnachweise auf der Benutzerendgeräteseite (N-10) mit einem speziellen sicheren Tunnel (S-24) in Richtung eines Dienstnetzes (N-40), welches speziell ein Heimatdienstnetz sein kann oder ein besuchtes Dienstnetz. Zum Zwecke der Klarheit und Einfachheit wird eine Authentifizierung oder ein Zugriffsberechtigungsnachweis nachstehend als ein "Zugriffsberechtigungsnachweis" bezeichnet.
  • Daher wird, wie in 2 dargelegt und in 3 fortgesetzt, das Erzwingen einer Zugriffsauthentifizierung durch einen generischen Zugriffsserver (nachstehend GAS genannt – vom englischsprachigen Ausdruck Generic Access Server) (N-22) in dem Zugangsnetz (N-20) durchgeführt, obwohl die Authentifizierung selbst auf eine Endpunkt-zu-Endpunkt-Weise zwischen den Benutzern (N-10) und dem Authentifizierungsserver (N-31), der sich im Kernnetz (N-30) befindet, vorgenommen wird unter Verwendung eines erweiterbaren Authentifizierungsprotokoll- bzw. Extensible-Authentication-Protocoll-Systems (nachstehend in Übereinstimmung mit IETF RFC 2284 als EAP bezeichnet). Das Extensible-Authentication-Protocol stellt ein Authentifizierungssystem bereit, das eingerichtet ist zum Unterstützen von Mehrfachauthentifizierungsmechanismen. Heutzutage ist EAP mit Hosts und Routern implementiert worden, die einander über Schaltungsvermittlungen verbinden oder über Wählleitungen unter Verwendung von einem Punkt-zu-Punkt-Protokoll (PPP). Zudem ist EAP auch mit Vermittlungen in Übereinstimmung mit einem IEEE802-Standard wie z.B. 802.1X-2001 implementiert worden, wobei EAP-Nachrichten eingekapselt sind.
  • Ein Vorteil der EAP-Architektur ist ihre Flexibilität. Beispielsweise kann ein Netzzugangsserver (N-21) (allgemein als NAS bzw. Network-Access-Server bekannt) wie der in 1 gezeigte, der über EAP-über-PPP oder über ein IEEE802-Protokoll mit einem Benutzer (N-11) verbunden ist, der eine Authentifizierung benötigt, bevor Zugriff zum Netz gewährt wird, lokale Benutzer authentifizieren während er gleichzeitig als Durchlasseinheit für nicht lokale Benutzer dient sowie für jene Authentifizierungsverfahren, die nicht als ein NAS lokal implementiert sind.
  • Demnach versucht in einer in 2 gezeigten derzeit bevorzugten Ausführungsform ein Benutzer (N-10) Zugriff zum Netz zu erhalten. Eine PPP- oder IEEE802-basierte Verbindung (S-21) wird zwischen dem Client und dem GAS (N-22) im Zugangsnetz (N-20) eingerichtet. Der GAS erzwingt eine Authentifizierung durch Kommunizieren mit einem Authentifizierungsserver (N-31) im Kernnetz (N-30) unter Verwendung eines für "Authentifizierung, Authorisierung und Buchung" bzw. "Authentication, Authorization and Accounting" (nachstehend AAA genannt) geeigneten Protokolls (S-22), und dient als Durchlass für EAP-Nachrichten.
  • Ein konventionelles geeignetes AAA-Protokoll (S-12; S-22) kann ein Fernauthentifizierungs-Einwählbenutzerdienst-(Romote Authentication Dial In User Service gemäß IETF RFC 2865, nachstehend RADIUS genannt) Protokoll sein, das ein Client/Server-Modell zum Durchführen von Authentifizierung Authorisierung und Konfigurationsinformation zwischen einem Netzzugangsserver (NAS) (N-21; N-22) und einem Authentifizierungsserver (N-31) verwendet, wie in 1 dargestellt. Typischer Weise verwenden die Bereitsteller von Verbindbarkeit mit der Telekommunikationsnetzen RADIUS, um die Identität ihrer Benutzer zu verifizieren. Daher wählt ein Benutzer eine wohlbekannte Telefonnummer und die Modems an beiden Enden, der Benutzer und der Verbindbarkeitsbereitsteller richten eine Verbindung ein. Die Modems auf der Serverseite sind mit einem Netzzugangsserver (NAS) verbunden, der von dem Benutzer erfordert, sich zu authentifizieren bevor er Zugang zu dem Netz gewährt durch Fragen (S-11) nach einem Login-Namen und Passwort. Der Netzzugangsserver (NAS) (N-21; N-22) verwendet das RADIUS-Protokoll zum Kommunizieren (S-12) über das Netz mit einem RADIUS-Server (N-31), der die von dem NAS über den Benutzer weitergeleitete Information wie z.B. den Login-Namen und das Passwort sammelt, um den Benutzer zu authentifizieren. Der Authentifizierungsprozess kann gegebenenfalls erfordern, dass der RADIUS-Server eine Anzahl von Hinterfragungen an den NAS sendet, auf die der Benutzer in der Lage sein sollte, zu antworten. Als ein Ergebnis des Authentisierungsprozesses zeigt der RADIUS-Server (N-31) dem NAS (N-21; N-22) an, ob oder nicht der Benutzer (N-10; N-11) berechtigt ist, auf das Netz zuzugreifen. Ein anderes AAA-Protokoll, das geeignet ist zur Verwendung, kann DIAMETER sein, welches eine Weiterentwicklung von RADIUS ist.
  • Dann wird, wie in 2 gezeigt, eine EAP-Authentifizierung (S-23) Ende-zu-Ende zwischen dem Benutzer (N-10) und dem Authentifizierungsserver (N-31) durch einen generischen Zugangsserver (N-22) des Zugangsnetzes (N-20) durchgeführt, welcher speziell beispielsweise der Netzzugangsserver (N-21) der 1 sein kann.
  • Während dieses in 2 gezeigten EAP-Authentifizierungsprozesses werden eine oder mehrere Zugriffsberechtigungsnachweise verteilt oder bestätigt, speziell zwischen dem Benutzer (N-10) und dem Heimatnetz (N-30), oder, allgemeiner, zwischen dem Benutzer und dem Kernnetz, egal, ob das Kernnetz, das den Benutzer authentifiziert, das Heimat- oder das besuchte Netz ist.
  • Diese Zugriffsberechtigungsnachweise werden ferner verwendet zum Einrichten eines sicheren Tunnels (S-24) zwischen dem Benutzer (N-10) und einem Dienstnetz (N-40), das das Heimat- oder das besuchte Netz sein kann. Dieser sichere Tunnel (N-24), nämlich ein sicherer Kommunikationskanal, muss mindestens Datenursprungs-Authentifizierung bereitstellen oder eine hierzu äquivalente Funktionalität, wie durch diesen ersten Aspekt der vorliegenden Erfindung angestrebt.
  • Unterschiedliche Mechanismen zum Verteilen oder Bestätigen von Zugriffsberechtigungsnachweisen können geeignet sein zum Zwecke der vorliegenden Erfindung, sofern sie gültig verwendet werden können als mit dem sicheren Tunnel verknüpft oder hinzugeordnet.
  • Trotzdem wird in Übereinstimmung mit einer heutzutage bevorzugten Ausführungsform ein neuer Mechanismus bereitgestellt zum Erhalten von kurzlebigen Zertifikaten, die geeignet sind zum Zwecke der vorliegenden Erfindung, wie in 3 gezeigt.
  • In dieser Ablauffolge werden, wenn eine Authentifizierungs-Hinterfragung auf der Benutzerendgeräteseite empfangen worden ist (N-10) und zusätzlich zu dem Erzeugen der Authentifizierungsantwort, ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel erzeugt werden. Der öffentliche Schlüssel wird gemeinsam mit der die Inhaberschaft des privaten Schlüssels bestätigenden digitalen Signatur mit der Authentifizierungsantwort in Richtung des Authentifizierungsservers (N-31) in dem Kernnetz gesendet.
  • Dann wird auf das erfolgreiche Authentifizieren des Benutzers hin die empfangene Digitalsignatur geprüft und wenn sie korrekt ist, wird ein kurzlebiges Digitalzertifikat erzeugt für den öffentlichen Schlüssel des Benutzers. Dieses Zertifikat wird von dem Authentifizierungsserver (N-31) zur Benutzerendgeräteseite (N-10) gemeinsam mit einer Nachricht zurückgegeben, die eine erfolgreiche Authentifizierung angibt.
  • Alternativ zu dem Erzeugen eines Schlüsselpaars aus öffentlichem und privaten Schlüssel auf der Benutzerendgeräteseite und in keiner Zeichnung dargestellt, kann die Benutzerendgeräteseite (N-10) einfach eine Anfrage in Bezug auf ein Digitalzertifikat erzeugen, das mit der Antwort der Authentifizierungs-Infragestellung unterbreitet wird.
  • Das derart vermöge dieser bevorzugten oder einer anderen Ausführungsform erhaltene kurzlebige Digitalzertifikat ist eine Art von Zugriffsberechtigungsnachweis, die mit der Benutzerendgeräteseite zu verknüpfen ist, mit einem sicheren Tunnel in Übereinstimmung mit diesem ersten Aspekt der vorliegenden Erfindung.
  • Trotzdem können unterschiedliche Mechanismen zum Erhalten von Zugriffsberechtigungsnachweisen vom Kernnetz verwendet werden, die für den Zweck der vorliegenden Erfindung gültig sind. Eine Möglichkeit, die in der bevorzugten Ausführungsform der 2 gezeigt wird, ist, dass die Zugriffsberechtigungsnachweise wie z.B. das obige kurzlebige Zertifikat zu dem Benutzer (N-10) von dem Authentifizierungsserver (N-31) verteilt werden, der sie wiederum von einem getrennten Berechtigungsnachweis-Bereitsteller (Credential Provider) (N-32) erhält. Eine andere Möglichkeit ist, dass der Authentifizierungsserver (N31) selbst solche Zugriffsberechtigungsnachweise erzeugt. Die Zugriffsberechtigungsweise können elektronisch durch den Authentifizierungsserver (N-31) oder durch den Berechtigungsnachweisbereitsteller (N-32) signiert sein. Eine alternative Ausführungsform ist, dass einiges kryptographisches Material sowohl beim Authentifizierungsserver (N-31) als auch bei der Benutzerausrüstung (N-10) hergeleitet wird und darauf folgend als ein Zugriffsberechtigungsnachweis verwendet wird. Im letzteren Fall ist es nicht erforderlich, die Zugriffsberechtigungsnachweise von dem Authentifizierungsserver in Richtung des Benutzers zu verteilen, aber dann würden die resultierenden Zugriffsberechtigungsnachweise nicht durch das Kernnetz signiert sein (N-30).
  • Zurück zu 2, die von dem Kernnetz (N-30) während der Zugriffsauthentifizierung erhaltenen Zugriffsberechtigungsnachweise werden zum Einrichten eines sicheren Tunnels (N-24) zwischen dem Benutzer (N-10) und einer Einheit (N-41) in dem Heimat- oder besuchten Dienstnetz (N-40) verwendet, die Sicher-Dienstzugangspunkt bzw. Secure-Service-Entry-Point (nachstehend SSEP) genannt wird in der vorliegenden Spezifikation. Wenn die Zugriffsberechtigungsnachweise nicht durch das Kernnetz signiert sind, dann wird vorzugsweise ein Kommunikationskanal (S-25) zwischen dem SSEP (N-41) und dem Authentifizierungsserver (N-31) benötigt, sodass die SSEP mit dem Authentifizierungsserver prüfen kann, ob die von dem Benutzer (N-10) bereitgestellten Zugriffsberechtigungsnachweise akzeptabel sind. Andererseits, unter der Voraussetzung, dass die Zugriffsberechtigungsnachweise signiert sind, ist die SSEP (N-41) vorzugsweise eingerichtet, um sie als gültige Zugriffsberechtigungsnachweise zu akzeptieren, die durch den Authentifizierungsserver (N-31) oder den Berechtigungsnachweisbereitsteller (N-32) signiert sind. In jedem Fall muss der sichere Kommunikationskanal (S-24) zwischen dem Benutzer (N-10) und der SSEP (N-41) mindestens Datenursprungs-Authentifizierung bereitstellen. Auf diese Weise kann der gesamte über diesen sicheren Kommunikationskanal empfangene Verkehr als von dem beanspruchten Benutzer kommend betrachtet werden und nicht von einem den Benutzer nachahmenden Angreifer.
  • In Übereinstimmung mit einem zweiten Aspekt der vorliegenden Erfindung wird ein neuer Mechanismus bei einer Einheit eines Heimat- oder besuchten Dienstnetzes bereitgestellt zum Aufrechterhalten von dem Benutzer zugeordneter Sitzungsinformation und zum Verknüpfen der Sitzungsinformation mit dem Einrichten und dem Abbauen des sicheren Tunnels. Diese Einheit ist vorzugsweise ein Einmalanmeldungs- bzw. Single-Sign-On- (SSO-)Server (N-42) in Kooperation mit dem obigen Secure-Service-Entry-Point (SSEP) (N-41) in einer derzeit bevorzugten Ausführungsform, obwohl es auch nur eine von beiden sein kann. Auf diese Weise werden, wenn der Benutzer (N-10) weiter versucht, auf einen Dienst über den sicheren Kommunikationskanal (S-24) zuzugreifen, und um den Benutzer mit Single-Sign-On-Unterstützung zu versehen, Dienstberechtigungsnachweise von dem Benutzer (N-10) zu dem SSO-Server (N-42) angefordert, oder von dem Dienst selbst, oder von einer mit dem Dienst zu diesem Zweck kooperierenden Einheit. Der SSO-Server (N-42) hat die Sicherheit, dass eine solche Anfrage in Bezug auf Dienstberechtigungsnachweise für diesen Benutzer (N-10) tatsächlich von dem Versuch dieses Benutzers, auf einen solchen Dienst zuzugreifen, herrührt und nicht von einem Angreifer, der den Benutzer nachahmt. Daher kann der SSO-Server (N-42) die angeforderten Dienstberechtigungsnachweise dem Anfordernden ohne das Durchführen irgendeiner zusätzlichen Authentifizierung bereitstellen.
  • Daher, und immer noch unter Bezugnahme auf 2, tauscht die SSEP Information (S-26) mit dem SSO-Server (N-42) aus, um dem Benutzer eine IP-Adresse zuzuweisen, die in dem getunnelten Verkehr zu verwenden ist. Diese IP-Adresse kann zu einem Vorrat von IP-Adressen gehören, die von dem Dienstnetz gehandhabt werden. Dann lässt die SSEP (N-41) den SSO-Server (N-42) wissen, dass der Benutzer (N-10) eine Sitzung eingerichtet hat.
  • Sobald dies vorgenommen worden ist, d.h., die dem Benutzer zugewiesene IP-Adresse ist mit den Benutzer-Zugriffsberechtigungsnachweisen und mit der entsprechenden Sitzungsinformation verknüpft worden, kann der SSO-Server (N-42) versichert sein, dass weitere Anfragen in Bezug auf Dienstberechtigungsnachweise, die von dieser internen IP-Adresse empfangen werden, tatsächlich von dem entsprechenden Benutzer kommen.
  • Vorausgesetzt, dass der Benutzer den sicheren Kommunikationskanal mit einem besuchten Dienstnetz eingerichtet hat, braucht der SSO-Server eine zusätzliche Koordination mit dem Identitätsanbieter (IdP), der für diesen Benutzer zuständig ist, nämlich mit einer Einheit des Heimatdienstnetzes, das die Rolle des IdP spielt, wie in keiner Zeichnung dargestellt. Zum Zwecke der Einfachheit der Darstellung nehmen die nachfolgenden Erläuterungen an, dass der Benutzer mit dem Heimatdienstnetz verbunden ist, welches die Rolle des IdP des Benutzers spielt.
  • Der Benutzer kann an dieser Stelle die Single-Sign-On- (SSO-)Dienste zu seiner oder ihrer Zufriedenheit genießen, selbst wenn Zugriff über ein Zugangsnetz erfolgt ist, das nicht imstande ist, Datenursprungs-Authentifizierung bereitzustellen. Speziell kann der Benutzer (N-10) unter irgendeinem oben kommentierten Geschäftsmodell arbeiten, nämlich unter dem Walled-Garden-Modell oder unter dem Federated-Single-Sign-On-Modell in Übereinstimmung mit derzeit bevorzugten jeweiligen dies befolgenden beschriebenen Ausführungsformen.
  • In einer ersten Ausführungsform unterbricht unter einem Walled-Garden-Szenario, das in 4 dargestellt ist, wenn der Benutzer auf einen HTTP-Lokaldienst zugreift (N-44) ein Zwischenknoten (N-43) den Zugriff (S-30, S-29) zu dem HTTP-Lokaldienst. Dieser Zwischenknoten (N-43), der vorzugsweise ein HTTP-Proxy ist, obwohl auch eine Universal-Firewall ebenfalls zu diesem Zweck eingerichtet werden könnte, fragt den SSO-Server (N-42) ab (S-28), ob der Benutzer zuvor authentifiziert worden ist oder nicht. Eine Pseudo-Identität zum Identifizieren des Benutzers in diesem Fall ist die zuvor zugewiesene IP-Adresse, die Datenursprungs-Authentifizierung sicherstellt. Der SSO-Server (N-42), der eine solche Abfrage empfängt, prüft, dass es eine aktive Sitzung gibt, die mit dieser IP-Adresse etikettiert ist, und sendet eine Bestätigung (Acknowledgement) oder, eher, einen Dienstberechtigungsnachweis zu dem HTTP-Proxy (N-43), wobei der letztere den Benutzerzugriff (N-10) auf den HTTP-Lokaldienst (N-44) ermöglicht, und optional in den Endgeräte-Browser des Benutzers ein Coockie anordnet. Dieses Cookie kann, wenn es bereitgestellt wird, ferner verwendet werden zum Identifizieren des Benutzers (N-10) ohne dass weitere Prüfungen benötigt würden mit dem SSO-Server (N-42) bei nachfolgenden Anfragen für die HTTP-Dienste.
  • In einer zweiten Ausführungsform unter einem in 5 dargestellten Walled-Garden-Szenario, wenn der Benutzer auf Nicht-HTTP-Dienste (N-45) zugreift, oder, allgemeiner gesagt, wenn der Benutzer auf einen Lokaldienst (N-45) zugreift, der keinen obigen HTTP-Proxy erfordert, direkt auf den Lokaldienst (N-45) zugegriffen werden (S-24, S-31) von der Benutzerendgeräteseite (N-10), wahrscheinlich durch die SSEP (N-41). Der angeforderte Lokaldienst (N-45) verwendet die zuvor zugeordnete IP-Adresse als Pseudo-Identität zum direkten Abfragen (S-32) des SSO-Servers (N-42), ob der Benutzer zuvor authentifiziert worden ist. Der SSO-Server (N- 42), der eine solche Abfrage empfängt, prüft, dass es eine aktive Sitzung gibt, die mit der IP-Adresse etikettiert ist, und sendet eine Bestätigung oder, eher, einen Dienstberechtigungsnachweis zu dem Lokaldienst (N-45), um den Benutzerzugriff (N-10) zu ermöglichen.
  • In einer dritten Ausführungsform versucht der Benutzer (N-10) unter einem Federated-SSO-Szenario, das in 6 gezeigt wird, auf einen externen Dienst (N-51) zuzugreifen und der Browser (N-10) des Benutzers wird in Übereinstimmung mit den LAP-Protokollen neu gerichtet (S-30, S-33) auf einen dritten beteiligten SP (N-51), nämlich einen externen Dienst. Dann fordert der dritte beteiligte SP (N-51) eine Dienstauthorisierung zu dem SSO-Server (N-42) mit einer gegebenen IP-Adresse an (S-33, S-28), die zuvor verliehen worden ist, wenn der Benutzer die Zugriffsberechtigungsnachweise bereitgestellt bekommen hat. Der SSO-Server (N-42) prüft unter den SSO-Premissen den Authentifizierungs- und Authorisierungs-Zustand für den Benutzer, dem die gegebene IP-Adresse als Pseudo-Identifizierer zugeordnet worden ist, und gibt dann einen Dienstberechtigungsnachweis zurück, der verwendet werden kann zum Anmelden (Sign-On) bei dem anfragenden dritten Beteiligten (SP). Der SSO-Server kann gut ein Cookie wie bei der obigen ersten Ausführungsform anordnen.
  • Schließlich, wenn ein Benutzer einen sicheren Tunnel abbaut, kommuniziert die SSEP mit dem SSO-Server, um die interne IP-Adresse zu entfernen und um die sich auf den Benutzer beziehende Sitzungsinformation in dem SSO-Server zu löschen.
  • Die Erfindung ist oben in Bezug auf einige Ausführungsformen in erläuternder und nicht einschränkender Weise beschrieben worden. Offensichtlich sind Modifikationen und Variationen dieser Ausführungsformen im Lichte der obigen Lehren möglich und jedwede Modifikation der Ausführungsformen, die in den Schutzbereich der Ansprüche fällt, ist als darin eingeschlossen betrachtet.

Claims (23)

  1. Vorrichtung (N-41, N-42), eingerichtet zum Empfangen einer Einmalanmeldungs- bzw. Single-Sign-On-Dienstanfrage in einem Telekommunikationsdienstnetz (N-40) von einem Benutzer (N-10) über ein Zugangsnetz (N-20), das nicht befähigt ist, Datenursprungs-Authentifizierung bereitzustellen, wobei der Benutzer (N-10) als ein Ergebnis einer Authentifizierung durch ein Kernnetz (N-30) Zugriffsberechtigungsnachweise empfangen hat (S-23), die Vorrichtung umfassend: – eine Einrichtung zum Empfangen (S-24) der Zugriffsberechtigungsnachweise von dem Benutzer (N-10) durch das Zugangsnetz (N-20); – eine Einrichtung zum Prüfen (N-41; 525, N-31) der Gültigkeit der von dem Benutzer (N-10) empfangenen Zugriffsberechtigungsnachweise; – eine Einrichtung zum Einrichten einer gültigen Sitzung mit dem Benutzer (N-10) auf die erfolgreiche Gültigkeitsprüfung der Zugriffsberechtigungsnachweise hin; – eine Einrichtung zum Zuweisen einer internen IP-Adresse zum Identifizieren des Benutzers im Dienstnetz (N-40); und – eine Einrichtung zum Verknüpfen (N-41, S-26, N-42) von Sitzungsdaten, Zugriffsberechtigungsnachweisen und der zugewiesenen internen IP-Adresse für den Benutzer (N-10); – eine Einrichtung zum Einrichten eines sicheren Tunnels (S-24) mit dem Benutzer (N-10) beim Empfangen der Zugriffsberechtigungsnachweise über das Zugangsnetz (N-20) durch Verwenden einer äußeren IP-Adresse, die dem Benutzer durch das Zugangsnetz für das Adressieren des Benutzers zugewiesen worden ist, und durch Verwenden der internen IP-Adresse, die zum Identifizieren des Benutzers im Dienstnetz (N-40) als eine innere IP-Adresse in dem getunnelten Verkehr zugewiesen ist.
  2. Vorrichtung nach Anspruch 1, ferner eine Einrichtung umfassend zum Erzeugen von Dienstberechtigungsnachweisen (N-41, S-26, N-42) zum Autorisieren des Benutzers, auf einen Dienst in dem Dienstnetz (N-40) zuzugreifen.
  3. Vorrichtung nach Anspruch 2, wobei die Dienstberechtigungsnachweise auf einer pro Dienst-Basis für den Benutzer auf eine Dienstanfrage hin erzeugt werden (N-41, S-26, N-42).
  4. Vorrichtung nach Anspruch 1, ferner eine Einrichtung umfassend zum Kommunizieren (S-25) mit einem Authentifizierungsserver (N-31) des Heimat-Netzes (N-30), um die Gültigkeit der von dem Benutzer (N-10) erhaltenen Zugriffsberechtigungsnachweise zu prüfen, wenn die Zugriffsberechtigungsnachweise nicht durch eine erkannte Authentifizierungseinheit (N-31) signiert sind.
  5. Vorrichtung nach Anspruch 1, wobei die Einrichtung zum Einrichten des sicheren Tunnels (S-24) mit dem Benutzer (N-10) in einer ersten, Sicher-Dienstzugangspunkt bzw. Secure-Service-Entry-Point (N-41) genannten Einrichtung eingeschlossen ist und die Vorrichtung zum Verknüpfen von Sitzungsdaten, Zugriffsberechtigungsnachweisen und einer zugeordneten internen IP-Adresse für den Benutzer (N-10) in einer zweiten Einrichtung eingeschlossen sind, die Single-Sign-On-Server genannt wird (N-42).
  6. Vorrichtung nach Anspruch 5, ferner eine Einrichtung umfassend für eine Kommunikation (S-26) zwischen dem Sicher-Dienstzugangspunkt bzw. Secure-Service-Entry-Point (N-41) und dem Single-Sign-On-Server (N-42).
  7. Vorrichtung nach Anspruch 1, ferner eine Einrichtung umfassend für eine zusätzliche Koordination (S-25) zwischen der Vorrichtung (N-41; N-42) und einem Identitätsbereitsteller (N-31), der für den Benutzer in einem Heimatnetz (N-30) zuständig ist, wenn das Heimatnetz sich von dem Dienstnetz (N-40) unterscheidet, für das die Vorrichtung der Zugangspunkt ist.
  8. Vorrichtung nach Anspruch 1 zur Verwendung, wenn der Benutzer (N-10) auf einen lokalen HTTP-Dienst (N-44) oder einen externer Dienst (N-51) in einem Netz (N-50) zugreift, das sich von dem Netz, auf das derzeit zugegriffen wird (N-40) unterscheidet, wobei die Vorrichtung eine Einrichtung hat zum Prüfen (N-41, S-30, N-43, S-28, N-42), ob der Benutzer zuvor authentifiziert worden ist oder nicht.
  9. Vorrichtung nach Anspruch 8 mit einer Einrichtung (S-30, S-28) zum Kommunizieren mit einer Zwischeneinheit (N-43), die eingerichtet ist zum Abfangen des Benutzerzugriffs (S-29) auf den HTTP-Lokaldienst (N-44) oder auf den externen Dienst (N-51) in einem externen Netz (N-50).
  10. Vorrichtung nach Anspruch 9, wobei die Zwischeneinheit (N-43) ein HTTP-Proxy ist.
  11. Vorrichtung nach Anspruch 9, wobei die Zwischeneinheit (N-43) eine Firewall ist.
  12. Vorrichtung nach Anspruch 1 zur Verwendung, wenn der Benutzer (N-10) auf einen Nicht-HTTP-Lokaldienst (N-45) zugreift, mit einer Einrichtung zum Prüfen (N-41, S-31, N-45, S-32, N-42), ob der Benutzer zuvor authentifiziert worden ist oder nicht.
  13. Vorrichtung nach Anspruch 1, wobei die Einrichtung zum Empfangen von Zugriffsberechtigungsnachweisen eine Einrichtung umfasst zum prüfen, ob ein digitales Zertifikat, das durch das Kernnetz ausgegeben worden ist, vorliegt zum Angeben einer erfolgreichen Authentifizierung des Benutzers.
  14. Benutzerausrüstung (N-10; N-11), eingerichtet zum Ausführen einer Authentifizierungsprozedur mit einem Kernnetz (N-30), und eingerichtet zum Zugreifen auf ein Telekommunikationsdienstnetz (N-40) über ein Zugangsnetz (N-20), das nicht imstande ist, Datenursprungsort-Identifizierung bereitzustellen, wobei die Benutzerausrüstung (N-10, N-11) umfasst: – eine Einrichtung zum Erhalten (S-23) von Zugriffsberechtigungsnachweisen als ein Ergebnis des Authentifiziertwerdens durch das Kernnetz (N-30); – eine Einrichtung zum Senden (S-24) der Zugriffsberechtigungsnachweise in Richtung des Dienstnetzes (N-40), wenn über das Zugangsnetz (N-20) zugegriffen wird; – eine Einrichtung zum Einrichten eines sicheren Tunnels (S-24) mit dem Dienstnetz (N-40) über das Zugangsnetz (N-20), wobei der sichere Tunnel eine äußere IP-Adresse verwendet, die dem Benutzer durch das Zugangsnetz zum Adressieren des Benutzers zugewiesen ist; – eine Einrichtung zum Empfangen (S-24) einer internen IP-Adresse, die dem Dienstnetz (N-40) zugewiesen ist und die als innere IP-Adresse innerhalb des getunnelten Verkehrs eingeschlossen ist zum Identifizieren des Benutzers im Dienstnetz; und – eine Einrichtung zum Verknüpfen der Zugriffsberechtigungsnachweise mit der inneren IP-Adresse und mit dem sicheren Tunnel.
  15. Benutzerausrüstung (N-10; N-11) nach Anspruch 14, wobei die Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen einschließt: – eine Einrichtung zum Empfangen einer Authentifizierungs-Hinterfragung von dem Kernnetz; – eine Einrichtung zum Erzeugen und Zurückgeben einer Authentifizierungsantwort zu dem Kernnetz; – eine Einrichtung zum Erzeugen eines Paars aus einem öffentlichen und einem privaten Schlüssel; und – eine Einrichtung um dem Kernnetz den öffentlichen Schlüssel gemeinsam mit einer digitalen Signatur, die die Inhaberschaft des privaten Schlüssels bestätigt, zu unterbreiten.
  16. Benutzerausrüstung (N-10; N-11) nach Anspruch 14, wobei die Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen einschließt: – eine Einrichtung zum Empfangen einer Authentifizierungs-Hinterfragung von dem Kernnetz; – eine Einrichtung zum Erzeugen und Zurückgeben einer Authentifizierungsantwort zu dem Kernnetz; und – eine Einrichtung zum Anfordern eines von dem Kernnetz erhaltbaren digitalen Zertifikats.
  17. Benutzerausrüstung (N-10; N-11) nach Anspruch 16, wobei die Einrichtung zum Erhalten von Zugriffsberechtigungsnachweisen ferner eine Einrichtung zum Erzeugen eines öffentlichen Schlüssels einschließt, für den das Digitalzertifikat erhaltbar ist.
  18. Verfahren zum Unterstützen von Einmalanmeldungs- bzw. Single-Sign-On-Diensten in einem Telekommunikationsdienstnetz (N-40) für einen Benutzer (N-10), der auf das Dienstnetz (N-40) über ein Zugangsnetz (N-20) zugreift, welches nicht imstande ist, Datenursprungsort-Identifizierung bereitzustellen, wobei der Benutzer (N-10) Zugriffsberechtigungsnachweise als ein Ergebnis des Authentifiziertwerdens durch ein Kernnetz (N-30) empfangen hat (S-23), wobei das Verfahren die Schritte umfasst: – Empfangen (S-24) der Zugriffsberechtigungsnachweise von dem Benutzer (N-10) durch das Zugangsnetz (N-20) bei dem Dienstnetz (N-40); – Prüfen (N-41, S-25, N-31) der Gültigkeit der Zugriffsberechtigungsnachweise, die bei dem Dienstnetz (N-40) empfangen werden; – Einrichten (N-41, S-26, N-42) einer gültigen Sitzung mit dem Benutzer (N-10) auf die erfolgreiche Gültigkeitsprüfung der Zugriffsberechtigungsnachweise; – Zuweisen einer internen IP-Adresse für den Benutzer (N-10) bei dem Dienstnetz (N-41, S-26, N-42) zum Identifizieren des Benutzers, wenn er auf einen Dienst im Dienstnetz zugreift; und – Verknüpfen (N-41, S-26, N-42) von Sitzungsdaten, Zugriffsberechtigungsnachweisen und der für den Benutzer (N-10) zugewiesenen internen IP-Adresse bei einer Einheit (N-41; N-42) des Dienstnetzes (N-40); – Einrichten eines sicheren Tunnels (S-24) zwischen der Benutzerausrüstungsseite (N-10) und einer Einheit (N-41) des Dienstnetzes (N-40) über das Zugangsnetz (N-20) durch Verwenden einer äußere IP-Adresse, die von dem Zugangsnetz zum Adressieren des Benutzers zugewiesen worden ist, und durch Verwenden einer inneren IP-Adresse in dem getunnelten Verkehr, wobei die interne IP-Adresse zugewiesen ist zum. Identifizieren des Benutzers im Dienstnetz (N-40); und – Verknüpfen der Zugriffsberechtigungsnachweise mit der internen IP-Adresse und mit dem sicheren Tunnel auf der Benutzerausrüstungsseite (N-10).
  19. Verfahren nach Anspruch 18, ferner einen Schritt umfassend des Erzeugens von Dienstberechtigungsnachweisen (N-41, S-26, N-42) zum Autorisieren des Benutzers, auf einen Dienst im Dienstnetz (N-40) zuzugreifen.
  20. Verfahren nach Anspruch 19, wobei der Schritt des Erzeugens von Dienstberechtigungsnachweisen einen Schritt des Erzeugens von Dienstberechtigungsnachweisen auf einer pro-Dienst-Basis für den Benutzer auf eine Dienstanfrage hin einschließt.
  21. Verfahren nach Anspruch 18, wobei der Schritt des Prüfens (N-41; N-41, S-25, N-31) der Gültigkeit von von dem Benutzer (N-10) bei dem Dienstnetz (N-40) empfangenen Zugriffsberechtigungsnachweisen ferner einen Schritt des Kommunizierens (S-25) mit einem Authentifizierungsserver (N-31) des Heimatnetzes (N-30) einschließt, wenn die Zugriffsberechtigungsnachweise nicht durch eine erkannte Authentifizierungseinheit signiert sind.
  22. Verfahren nach Anspruch 18, wobei der Schritt des Verknüpfens von Sitzungsdaten, Zugriffsberechtigungsnachweisen und einer für den Benutzer (N-10) zugewiesenen internen IP-Adresse ferner einen Schritt einschließt des Kommunizierens (S-26) zwischen einer ersten, Sicher-Dienstzugangspunkt bzw. Secure-Service-Entry-Point (N-41) genannten Vorrichtung, die zuständig ist für den sicheren Tunnel (S-24), und eine zweite Vorrichtung, die Einmalanmeldungs- bzw. Single-Sign-On-Server (N-42) genannt wird, bei der der Schritt des Verknüpfens stattfindet.
  23. Verfahren nach Anspruch 18 zur Verwendung, wenn der Benutzer (N-10) auf einen lokalen Dienst (N-44; N-45), oder einen externen Dienst (N-51) in einem Netz (N-50) zugreift, das sich von dem Dienstnetz (N-40) unterscheidet, auf das derzeit zugegriffen wird, wobei das Verfahren ferner einen Schritt des Prüfens (S-28, N-42; S-32, N-42) umfasst, ob der Benutzer zuvor authentifiziert worden ist oder nicht.
DE60313445T 2003-06-26 2003-06-26 Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang Expired - Lifetime DE60313445T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP03076977A EP1492296B1 (de) 2003-06-26 2003-06-26 Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang

Publications (2)

Publication Number Publication Date
DE60313445D1 DE60313445D1 (de) 2007-06-06
DE60313445T2 true DE60313445T2 (de) 2008-01-10

Family

ID=33395926

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60313445T Expired - Lifetime DE60313445T2 (de) 2003-06-26 2003-06-26 Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang

Country Status (9)

Country Link
US (1) US20060195893A1 (de)
EP (1) EP1492296B1 (de)
JP (1) JP4394682B2 (de)
CN (1) CN1813457B (de)
AT (1) ATE360948T1 (de)
CA (1) CA2530891C (de)
DE (1) DE60313445T2 (de)
ES (1) ES2281599T3 (de)
WO (1) WO2005002165A1 (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US20060218629A1 (en) * 2005-03-22 2006-09-28 Sbc Knowledge Ventures, Lp System and method of tracking single sign-on sessions
US20060218630A1 (en) * 2005-03-23 2006-09-28 Sbc Knowledge Ventures L.P. Opt-in linking to a single sign-on account
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
CN100583761C (zh) * 2005-05-16 2010-01-20 联想(北京)有限公司 一种统一认证的实现方法
JP4984020B2 (ja) * 2005-08-19 2012-07-25 日本電気株式会社 通信システム、ノード、認証サーバ、通信方法及びそのプログラム
CA2527550A1 (en) * 2005-11-24 2007-05-24 Oz Communications Method for securely associating data with https sessions
CA2632159A1 (en) * 2005-11-24 2007-05-31 Oz Communications Inc. Method for securely associating data with http and https sessions
US7561692B2 (en) * 2006-02-27 2009-07-14 Alvarion Ltd. Method of authenticating mobile terminal
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7827275B2 (en) 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
US8261078B2 (en) * 2006-06-09 2012-09-04 Telefonaktiebolaget Lm Ericsson (Publ) Access to services in a telecommunications network
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
CA2672331C (en) * 2006-12-14 2016-10-04 Bce Inc. Method, system and apparatus for provisioning a communication client
JP2008181427A (ja) * 2007-01-25 2008-08-07 Fuji Xerox Co Ltd シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
US7647404B2 (en) * 2007-01-31 2010-01-12 Edge Technologies, Inc. Method of authentication processing during a single sign on transaction via a content transform proxy service
US7941831B2 (en) * 2007-02-09 2011-05-10 Microsoft Corporation Dynamic update of authentication information
US8307411B2 (en) 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US20080222714A1 (en) * 2007-03-09 2008-09-11 Mark Frederick Wahl System and method for authentication upon network attachment
US8572716B2 (en) 2007-04-23 2013-10-29 Microsoft Corporation Integrating operating systems with content offered by web based entities
US20090064291A1 (en) * 2007-08-28 2009-03-05 Mark Frederick Wahl System and method for relaying authentication at network attachment
US20090089870A1 (en) * 2007-09-28 2009-04-02 Mark Frederick Wahl System and method for validating interactions in an identity metasystem
US20100182970A1 (en) * 2009-01-21 2010-07-22 Qualcomm Incorporated Multiple Subscriptions Using a Single Air-Interface Resource
CN102461230B (zh) 2009-04-07 2015-06-17 托吉瓦控股股份公司 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统
US8375429B2 (en) * 2009-04-09 2013-02-12 Novell, Inc. Network-based application control
US8943552B2 (en) * 2009-04-24 2015-01-27 Blackberry Limited Methods and apparatus to discover authentication information in a wireless networking environment
US8607316B2 (en) * 2010-08-31 2013-12-10 Blackberry Limited Simplified authentication via application access server
EP2659649A2 (de) 2010-12-30 2013-11-06 Interdigital Patent Holdings, Inc. Authentifizierung und sichere kanaleinrichtung für kommunikationsübergabesszenarien
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US20150026772A1 (en) * 2013-07-16 2015-01-22 Samsung Electronics Co., Ltd. Media based authentication and authorization for secure services
CN104767721B (zh) * 2014-01-08 2019-03-15 阿尔卡特朗讯公司 向第三方用户提供核心网络服务的方法和网络单元
US9794266B2 (en) * 2014-09-05 2017-10-17 Qualcomm Incorporated Using multiple credentials for access and traffic differentiation
EP3381171B1 (de) * 2015-11-25 2021-12-15 Akamai Technologies, Inc. Eindeutige identifizierung und sichere kommunikation mit einem gerät in einem unkontrollierten netzwerk
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
US10382428B2 (en) 2016-09-21 2019-08-13 Mastercard International Incorporated Systems and methods for providing single sign-on authentication services
MX2019010625A (es) * 2017-03-09 2019-12-19 Skraastad Gulbrandsen Magnus Proveedor de acceso a la red principal.

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6105027A (en) * 1997-03-10 2000-08-15 Internet Dynamics, Inc. Techniques for eliminating redundant access checking by access filters
US6317838B1 (en) * 1998-04-29 2001-11-13 Bull S.A. Method and architecture to provide a secured remote access to private resources
US6311275B1 (en) * 1998-08-03 2001-10-30 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6571289B1 (en) * 1998-08-03 2003-05-27 Sun Microsystems, Inc. Chained registrations for mobile IP
US6253327B1 (en) * 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
WO2001072009A2 (en) * 2000-03-17 2001-09-27 At & T Corp. Web-based single-sign-on authentication mechanism
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
US7793095B2 (en) * 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management

Also Published As

Publication number Publication date
CN1813457B (zh) 2011-04-13
JP4394682B2 (ja) 2010-01-06
CN1813457A (zh) 2006-08-02
US20060195893A1 (en) 2006-08-31
EP1492296A1 (de) 2004-12-29
DE60313445D1 (de) 2007-06-06
CA2530891A1 (en) 2006-01-06
EP1492296B1 (de) 2007-04-25
WO2005002165A1 (en) 2005-01-06
ATE360948T1 (de) 2007-05-15
ES2281599T3 (es) 2007-10-01
JP2009514256A (ja) 2009-04-02
CA2530891C (en) 2014-08-12

Similar Documents

Publication Publication Date Title
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
EP1529374B1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE19722424C1 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60114789T2 (de) Authentifizierung in einem paketdatennetz
DE19983405B4 (de) System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE60320028T2 (de) Single Sign-On (SSO) für Benutzer von Paketfunknetz-Roaming in einem Multinationalen Betreibernetz
EP1749367B1 (de) Verfahren und system für content-basiertes billing in ip-netzwerken
EP1449324B1 (de) Nutzung eines public-key-schlüsselpaares im endgerät zur authentisierung und autorisierung des telekommunikations-teilnehmers gegenüber dem netzbetreiber und geschäftspartnern
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE60132211T2 (de) Steuerung von unchiffriertem benutzerverkehr
EP1989853A2 (de) Vermittlungssystem und entsprechendes verfahren für unicast oder multicast end-to-end daten- und/oder multimediastreamübertragungen zwischen netzwerknodes
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
EP1689125A1 (de) Verfahren zum authentisierten Aufbau einer Verbindung
DE602004012465T2 (de) Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke
DE60130899T2 (de) Wap-sitzung tunneling
DE102011115154B3 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos
DE10348912A1 (de) Verfahren zur Authentisierung eines Nutzers zum Zweck des Aufbaus einer Verbindung von einem mobilen Endgerät zu einem WLAN-Netz
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE10025270A1 (de) Verfahren und System zum Anmelden einer Teilnehmer-Station an der Paketdienst-Dienstezustands-Steuerfunktion CSCF in einem Kommunikationssystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition