EP1829320A1 - Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk - Google Patents

Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk

Info

Publication number
EP1829320A1
EP1829320A1 EP05784531A EP05784531A EP1829320A1 EP 1829320 A1 EP1829320 A1 EP 1829320A1 EP 05784531 A EP05784531 A EP 05784531A EP 05784531 A EP05784531 A EP 05784531A EP 1829320 A1 EP1829320 A1 EP 1829320A1
Authority
EP
European Patent Office
Prior art keywords
communication terminal
mobile communication
server
identity
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05784531A
Other languages
English (en)
French (fr)
Inventor
Stefan Berg
Wolfgang Gröting
Kalyan Koora
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Nokia Siemens Networks GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Nokia Siemens Networks GmbH and Co KG filed Critical Siemens AG
Publication of EP1829320A1 publication Critical patent/EP1829320A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/022Selective call receivers
    • H04W88/023Selective call receivers with message or information receiving capability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Definitions

  • the invention relates to a method for registering a mobile communication terminal with respect to a local network, comprising the steps of: sending a start message from the mobile communication terminal to an access point of the local network, b) sending out an identity request message c) sending an identity-response message from the mobile communication terminal to the access point and forwarding the identity-response message to a server, e) performing an authentication procedure between the server and the mobile communication terminal, f) sending an authentication-successful message from the server to the access point and forwarding the authentication-successful message from the access point to the mobile communication terminal.
  • EAP "Extensible Authentication Protocol”
  • This protocol defines the message structure as well as an exchange of data, which serve primarily authentication of the mobile communication terminal to the network.
  • a type of authentication between a client for example a mobile Ltdunikationsend ⁇ device, and an authentication server is negotiated.
  • Supported authentication methods include, for example, generic token cards, MD5-CHAP (encryption of user names and passwords) and transport-level security (smart cards or other certificates).
  • the EAP protocol has been extended in the standardization body IETF responsible for this so that in addition to the data mentioned above, which serve for the purpose of authentication, additional data, namely information about available network providers, can be transmitted.
  • additional data namely information about available network providers
  • Farid Adrangi entitled “Mediating Network Discovery and Selection” IETF, Internet Draft, draft-adrangi-eap-network-discovery-and-selection 02.txt, February 2004.
  • the amount of data transmitted depends directly on a number of supported network providers and can therefore be very large.
  • a transmission of data that differ from the data for authentication purposes, according to the illustrated prior art is therefore limited to that information about network providers from a server within the Netz ⁇ factory to a requesting mobile communication terminal ge be sent. According to Adrangi, this takes place in the form of a combined identity request / network information message, which is sent by the server via the access point to the mobile communication terminal.
  • the object of the invention is to design the initially described application method for a mobile communication terminal in a local network in such a way that large amounts of data can be transmitted to the mobile communication terminal from the server with at most minor changes in the EAP protocol.
  • this object is achieved by virtue of the fact that, in the step e), the server sends a first identity information request message, which contains an identity request message and network information, via the Access point is sent to the mobile communication terminal, wherein the network information includes the information to the mobile communication terminal that in the frame Further identity information request messages via the access point further data to the mobile Ltdunikationsend ⁇ device are transmitted, and at least one second Identi ⁇ tiquess information request message containing an ignorable I- dentistry request message and at least a part the wei ⁇ n data to the server via the access point contains, is sent to the mobile communication terminal.
  • the basic idea of the invention is therefore to send out the intended identity information request message several times, whereby only the first identity request message which the mobile communication terminal receives is to be further processed by it in the context of an authentication.
  • the further identity information request messages likewise contain identity request messages, which can however be ignored on the part of the mobile communication terminal.
  • the purpose of the identity information request messages is, in the case of the first, to inform the mobile communication terminal that further data is provided by the server, and in the case of the further identity information request messages, while maintaining the format provided for the identity information request message, the notified data is to be transmitted.
  • the identity information request messages both the first and the further, are sent by the server via the access point to the mobile communication terminal before an actual authentication, the method is highly advantageous in order to provide network information for the Client acting mobile communication terminal to send.
  • the number of identity information request messages issued by the server to the mobile communication terminal. are unlimited by the EAP protocol, so that large amounts of data can be transported in that direction.
  • the identity information request messages contain as data a number of still coming identity information request messages from the server via the access point to the mobile communication terminal. In this way, the latter is provided with information about how many identity information request messages are to be awaited until the data volume to be transmitted is completely received.
  • identity information request messages may include as data an indication of an amount of data still to be transmitted from the server via the access point to the mobile communication terminal, so that information about bits / bytes to be received is provided on the mobile communication terminal side is present. In this respect, a performance check on received data volumes becomes possible.
  • the identity information request messages may contain as data an indication of a number of identity information request messages or identity request messages already sent, so that it is possible to count for the mobile communication terminal when the notified number of messages has been received and thus the amount of data to be transmitted is complete.
  • the identity-response message already provided within the EAP protocol can also be used as the basis for transporting data from the mobile communication terminal back to the server. NEN.
  • the identity-response message is combined, for example, with data which contains an indication of a number of already sent identity request messages from the server via the access point to the mobile communication terminal. From this information, a conclusion can be drawn on the server side as to whether the identity information request messages already sent to the mobile communication terminal have been completely received so far.
  • the mobile communication terminal upon receipt of the identity information request messages, sends identity information-response messages via the access point to the server, each of which confirms the receipt of the data from the preceding identity - Information request message included. In this way, a confirmation is sent back for each identity information request message arriving from the server to the mobile communication terminal, which acknowledges successful reception.
  • the identity information response message may contain information about an already received amount of data. In this way, as the basis for a complete transmission of the network information from the server to the mobile communication terminal, the amount of data transmitted is used, that is, not the identity information request messages received from the mobile communication terminal.
  • a follow-up of the data volume entails a lower error rate as a restriction on the number of received identity information request messages.
  • the network information just received, or the associated data can be sent back to the server as a confirmation message.
  • This data is then part of the Identity Information Response message.
  • the method is preferably based on the EAP protocol, in particular according to the IETF RFC 3748. This document is available for example free of charge on the Internet for downloading.
  • FIG. 1 shows a schematic representation of a log-on method according to the EAP protocol for a mobile communication terminal in relation to a local network
  • FIG. 2 shows a method for registering a mobile communication terminal in a local network with transmission of network information out of the network to the mobile communication terminal.
  • FIG. 1 shows a schematic representation of messages which according to the EAP protocol are available as a client at a server S, in particular an authentication server of a local area network (WLAN) with wireless access, in the context of a registration method for a mobile communication terminal K.
  • a server S in particular an authentication server of a local area network (WLAN) with wireless access, in the context of a registration method for a mobile communication terminal K.
  • WLAN local area network
  • the mobile communication terminal K sends out an EAPOL message EM for starting a logon process, which is received by an access point AP of the local network.
  • the access point AP then sends an identity request message IR back to the mobile communication terminal K, which in turn sends back an identity-response message IA to the access point AP, which sends the identity-response message IA to the server S.
  • an authentication method AV takes place between the mobile communication terminal K and the server S by means of the access point AP, which is subsequently ter is explained in more detail with reference to FIG 2.
  • the logon process is concluded by an authentication-successful message AE which arrives from the server S via the access point AP to the mobile communication terminal K.
  • the services of the local network can be used by the mobile communication terminal K.
  • the authentication method AV is initiated by an identity request message IRS of the server S, which arrives at the mobile communication terminal K from the access point AP.
  • the identity request message IRS is embedded in an identity information request message IRML, IRM2, ..., IRMn, which in addition to the identity request message IRS contains a network information element NIL.
  • NIL network information element
  • Each identity information request message IRM1, IRM2,..., IRMn contains respective network information elements NI1, NI2, NI3,..., Which in turn contain information about a number of future identity information request messages IRM2, IRM2, ..., IRMn or the number of bits / bytes still to be transmitted and the number of identity information request messages IRM1, IRM2,..., IRMn already sent, all of which can be used on pages the mobile communication terminal K is determined whether a previous data transmission from the server S to the mobile communication terminal K has been error-free or preparations for further data transfer met the was ⁇ can.
  • the confirmation elements BEI, BE2,..., BEn which contain data obtained with the previously received network information element NI1, NI2, NI3,..., Can be used to verify the correctness of the transmitted data can be further processed on the server side.
  • the message IAK required to record the authentication method AV is sent to the server S.
  • the user data NI1, NI2,... NIn received from the server S can be used for the evaluation, since it is clear from them when a data transfer from the server S to the communication terminal K has been completed.
  • the message IAK does not have to be contained in all the identity information response messages IAM1, IAM2,..., IAMn. general It is safe to say that the authentication method AV is not started before the data transfer of user data NI1, NI2,..., NIn, from the server S to the communication terminal K has been completed.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Anmelden eines mobilen Kommunikationsendgerätes (K) gegenüber einem lokalen Netzwerk wobei in einem Verfahrensschritt von einem Server (S) eine erste Identitäts-Informations-Anfrage-Meldung (IRMl, IRM2, ..., IRMn) , die eine Identitäts-Anfrage-Meldung (IRS) und ein Netzwerkinformationselement (NIl, NI2, ..., NIn) enthält, über einen Zugriffspunkt (AP) zu dem mobilen Kommunikationsendgerät (K) gesendet wird, wobei das Netzwerkinformationselement (NIl, NI2, ..., NIn) die Information an das mobile Kommunikationsendgerät (K) enthält, dass im Rahmen weiterer Identitäts- Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) über den Zugriffspunkt (AP) weitere Daten an das mobile Kommunikationsendgerät (K) übermittelt werden, und wenigstens eine zweite Identitäts-Informations-Anfrage-Meldung (IRM2), die eine ignorierbare Identitäts-Anfrage-Meldung (IR) und wenigstens einen Teil der zweiten Daten dem Server (S) über den Zugriffspunkt (AP) enthält, zu dem mobilen Kommunikationsendgerät (K) gesendet wird.

Description

Beschreibung
Verfahren zum Anmelden eines mobilen Kommunikationsendgerätes gegenüber einem lokalen Netzwerk
Die Erfindung bezieht sich auf ein Verfahren zum Anmelden ei¬ nes mobilen Kommunikationsendgerätes gegenüber einem lokalen Netzwerk, mit den Schritten: Aussenden einer Start-Mitteilung von dem mobilen Kommunikati¬ onsendgerät zu einem Zugriffspunkt des lokalen Netzwerks, b) Aussenden einer Identitäts-Anfrage-Meldung von dem Zugriffspunkt zu dem mobilen Kommunikationsendgerät, c) Aussenden einer Identitäts-Antwort-Meldung von dem mobi- len Kommunikationsendgerät zu dem Zugriffspunkt und Weiter¬ leiten der Identitäts-Antwort-Meldung zu einem Server, e) Durchführung eines Authentifizierungsverfahrens zwischen dem Server und dem mobilen Kommunikationsendgerät, f) Aussenden einer Authentifizierung-Erfolgreich-Meldung von dem Server zu dem Zugriffspunkt und Weiterleitung der Authen¬ tifizierung-Erfolgreich-Meldung von dem Zugriffspunkt zu dem mobilen Kommunikationsendgerät.
Ein solches Verfahren zum Anmelden eines Kommunikationsendge- rätes gegenüber einem lokalen Netzwerk (WLAN) ist beispiels¬ weise im Rahmen des „EAP"-Protokolls (EAP = „Extensible Au- thentication Protocol") standardisiert, vgl. dazu IETF RFC 3748. Dieses Protokoll definiert den Nachrichtenaufbau sowie einen Austausch von Daten, die primär einer Authentifizierung des mobilen Kommunikationsendgerätes gegenüber dem Netzwerk dienen. Dabei wird eine Art der Authentifizierung zwischen einem Client, beispielsweise einem mobilen Kommunikationsend¬ gerät, und einem Authentifizierungs-Server ausgehandelt. Un¬ terstützt werden als Authentifizierungsmethoden beispielswei- se generische Tokenkarten, MD5-CHAP (Verschlüsselung von Be¬ nutzernamen und Kennwörtern) und Transport Level Security (Smartcards oder andere Zertifikate) . Das EAP-Potokoll wurde in dem dafür zuständigen Standardisie¬ rungsgremium IETF derart erweitert, dass neben den oben ge¬ nannten, zur Authentifizierungszwecken dienenden Daten zu- sätzliche Daten, nämlich Informationen über verfügbare Netz¬ werkprovider, übertragen werden können. In diesem Zusammen¬ hang wird auf den Fachartikel von Farid Adrangi mit dem Titel „Mediating Network Discovery and Selection", IETF, Internet Draft, draft-adrangi-eap-network-discovery-and-Selection- 02.txt, February 2004 verwiesen. Die übermittelte Datenmenge ist dabei direkt abhängig von einer Anzahl der unterstützten Netzwerkprovider und kann daher sehr groß werden.
Eine Übermittlung von Daten, die sich von den Daten zu Au- thentifizierungszwecken unterscheiden, nach dem dargestellten Stand der Technik ist daher darauf beschränkt, dass Angaben über Netzwerkprovider von einem Server innerhalb des Netz¬ werks zu einem anfragenden mobilen Kommunikationsendgerät ge¬ sendet werden. Nach Adrangi geschieht das in Form einer kom- binierten Identitäts-Anfrage/Netzwerk-Informations-Meldung, die von dem Server über den Zugriffspunkt zu dem mobilen Kom¬ munikationsendgerät gesendet wird.
Ausgehend hiervon liegt der Erfindung die Aufgabe zugrunde, das eingangs beschriebene Anmeldeverfahren für ein mobiles Kommunikationsendgerät bei einem lokalen Netzwerk derart zu gestalten, dass sich von dem Server aus mit allenfalls gerin¬ gen Änderungen des EAP-Protokolls große Datenmengen zu dem mobilen Kommunikationsendgerät übertragen lassen.
Diese Aufgabe wird bei dem eingangs genannten Verfahren da¬ durch gelöst, dass in dem Schritt e) von dem Server eine ers¬ te Identitäts-Informations-Anfrage-Meldung, die eine Identi¬ täts-Anfrage-Meldung und eine Netzwerkinformation enthält, über den Zugriffspunkt zu dem mobilen Kommunikationsendgerät gesendet wird, wobei die Netzwerkinformation die Information an das mobile Kommunikationsendgerät enthält, dass im Rahmen weiterer Identitäts-Informations-Anfrage-Meldungen über den Zugriffspunkt weitere Daten an das mobile Kommunikationsend¬ gerät übermittelt werden, und wenigstens eine zweite Identi¬ täts-Informations-Anfrage-Meldung, die eine ignorierbare I- dentitäts-Anfrage-Meldung und wenigstens einen Teil der wei¬ teren Daten dem Server über den Zugriffspunkt enthält, zu dem mobilen Kommunikationsendgerät gesendet wird.
Grundidee der Erfindung ist somit, die vorgesehene Identi- täts-Informations-Anfrage-Meldung mehrfach auszusenden, wobei lediglich die erste Identitäts-Anfrage-Meldung, die das mobi¬ le Kommunikationsendgerät erhält, von ihm im Rahmen einer Au¬ thentifizierung weiterzuverarbeiten ist. Die weiteren Identi¬ täts-Informations-Anfrage-Meldungen enthalten zwar ebenfalls Identitäts-Anfrage-Meldungen, welche jedoch auf Seiten des mobilen Kommunikationsendgerätes ignoriert werden können. Zweck der Identitäts-Informations-Anfrage-Meldungen ist es, im Falle der ersten, das mobile Kommunikationsendgerät dar¬ über zu informieren, dass weitere Daten von dem Server be- reitgestellt werden, und im Falle der weiteren Identitäts- Informations-Anfrage-Meldungen, unter Beibehaltung des für die Identitäts-Informations-Anfrage-Meldung vorgesehenen For¬ mats, die avisierten Daten zu übermitteln.
Aufgrund dieser Vorgehensweise ist es möglich, dass keine zu¬ sätzlichen EAP-Dienstprimitiven vorgesehen werden müssen. In¬ sofern ist Konformität mit dem IETF-Konzept von Adrangi gege¬ ben.
Da die Identitäts-Informations-Anfrage-Meldungen, sowohl die erste als auch die weiteren, vor einer eigentlichen Authenti¬ fizierung von dem Server über den Zugriffspunkt zu dem mobi¬ len Kommunikationsendgerät gesendet werden, ist das Verfahren höchst vorteilhaft, um Netzwerkinformationen zu dem als Client wirkenden mobilen Kommunikationsendgerät zu senden.
Die Anzahl der Identitäts-Informations-Anfrage-Meldungen, die von dem Server zu dem mobilen Kommunikationsendgerät ausge- sendet werden, ist von Seiten des EAP-Protokolls unbegrenzt, so dass große Datenmengen in diese Richtung transportiert werden können.
Es ist von Vorteil, wenn die Identitäts-Informations-Anfrage- Meldungen als Daten eine Anzahl noch kommender Identitäts- Informations-Anfrage-Meldungen von dem Server über den Zugriffspunkt an das mobile Kommunikationsendgerät enthalten. Auf diese Weise wird letzterem eine Information darüber be- reitgestellt, wie viele Identitäts-Informations-Anfrage- Meldungen abzuwarten sind, bis die zu übertragende Datenmenge vollständig empfangen wird.
Vorteilhafter Weise können Identitäts-Informations-Anfrage- Meldungen als Daten eine Angabe über eine noch von dem Server über den Zugriffspunkt an das mobile Kommunikationsendgerät zu übertragende Datenmenge enthalten, so dass Angaben über Bits/Bytes, die zu empfangen sind, auf Seiten des mobilen Kommunikationsendgerätes vorliegt. Insofern wird eine VoIl- ständigkeitsprüfung über empfangene Datenmengen möglich.
Auch können die Identitäts-Informations-Anfrage-Meldungen als Daten einer Angabe über eine Anzahl bereits gesendeter Iden¬ titäts-Informations-Anfrage-Meldungen bzw. Identitäts- Anfrage-Meldungen enthalten, so dass für das mobile Kommuni¬ kationsendgerät mitgezählt werden kann, wann die avisierte Anzahl von Meldungen empfangen worden ist und damit die zu übertragende Datenmenge komplett ist.
Vorstehende Ausführungen gelten für die erste Identitäts- Informations-Anfrage-Meldung gleichermaßen wie für die weite¬ ren
Ebenso wie die Identitäts-Anfrage-Meldung kann auch die be- reits innerhalb des EAP-Protokolls vorgesehene Identitäts- Antwort-Meldung als Basis für einen Transport von Daten von dem mobilen Kommunikationsendgerät zurück zu dem Server die- nen. Dazu ist die Identitäts-Antwort-Meldung beispielsweise mit Daten kombiniert, die eine Angabe über eine Anzahl be¬ reits gesendeter Identitäts-Anfrage-Meldungen von dem Server über den Zugriffspunkt an das mobile Kommunikationsendgerät enthält. Aus dieser Angabe kann auf Serverseite ein Rück- schluss darüber gezogen werden, ob die bereits an das mobile Kommunikationsendgerät ausgesandten Identitäts-Informations- Anfrage-Meldungen bisher vollständig empfangen worden sind.
Auch ist es möglich, das das mobile Kommunikationsendgerät auf Empfang der Identitäts-Informations-Anfrage-Meldungen I- dentitäts-Informations-Antwort-Meldungen über den Zugriffs¬ punkt an den Server sendet, die jeweils Bestätigungselemente über den Erhalt der Daten aus der vorhergehenden Identitäts- Informations-Anfrage-Meldung enthalten. Auf diese Weise wird für jede von dem Server zu dem mobilen Kommunikationsendgerät gelangende Identitäts-Informations-Anfrage-Meldung eine Bes¬ tätigung zurück geschickt, die einen erfolgreichen Empfang bestätigt. Auch kann die Identitäts-Informations-Antwort- Meldung Angaben über eine bereits empfangene Datenmenge ent¬ halten. Auf diese Weise wird als Basis für eine vollständige Übermittlung der Netzwerkinformationen von dem Server zu dem mobilen Kommunikationsendgerät auf die übertragene Datenmenge zurückgegriffen, d. h. nicht auf die von dem mobilen Kommuni- kationsendgerät empfangenen Identitäts-Informations-Anfrage- Meldungen. Eine Mitverfolgung der Datenmenge birgt eine ge¬ ringere Fehlerhäufigkeit in sich als eine Beschränkung auf die Anzahl der empfangenen Identitäts-Informations-Anfrage- Meldungen. Zur besonders einfachen Bestätigung eines Erhalts von Netzwerkinformationen von dem Server können die gerade empfangenen Netzwerkinformationen, bzw. die zugehörigen Da¬ ten, als Bestätigungsmeldung an den Server zurückgeschickt werden. Diese Daten sind dann Teil der Identitäts- Informations-Antwort-Meldung. Das Verfahren basiert bevorzugt auf dem EAP-Protokoll, insbe¬ sondere nach dem IETF RFC 3748. Diese Druckschrift steht bei¬ spielsweise im Internet frei zum Herunterladen zur Verfügung.
Die Erfindung wird nachfolgend anhand eines Ausführungsbei¬ spiels unter Bezugnahme auf die Zeichnung noch näher erläu¬ tert. Es zeigen:
Figur 1: eine Schematische Darstellung eines Anmeldeverfah- rens nach dem EAP-Protokoll für ein mobiles Kommu¬ nikationsendgerät gegenüber einem lokalen Netzwerk und
Figur 2 : ein Verfahren zum Anmelden eines mobilen Kommunika- tionsendgerätes in einem lokalen Netzwerk mit Über¬ tragung von Netzwerkinformationen aus dem Netzwerk heraus zu dem mobilen Kommunikationsendgerät.
Figur 1 zeigt in schematischer Darstellung Meldungen, die nach dem EAP-Protokoll im Rahmen eines Anmeldeverfahrens für ein mobiles Kommunikationsendgerät K als Client bei einem Server S, insbesondere Authentifizierungsserver eines lokalen Netzwerks (WLAN) mit drahtlosem Zugriff von statten geht.
In einem ersten Schritt sendet das mobile Kommunikationsend¬ gerät K zum Starten eines Anmeldevorgangs eine EAPOL-Meldung EM aus, die von einem Zugriffspunkt AP des lokalen Netzwerks empfangen wird. Daraufhin sendet der Zugriffspunkt AP eine Identitäts-Anfrage-Meldung IR zurück zu dem mobilen Kommuni- kationsendgerät K, das wiederum daraufhin eine Identitäts- Antwort-Meldung IA zu dem Zugriffspunkt AP zurück sendet, der die Identitäts-Antwort-Meldung IA an den Server S weiterlei¬ tet.
Im Anschluss daran findet unter Vermittlung des Zugriffspunk¬ tes AP ein Authentifizierungsverfahren AV zwischen dem mobi¬ len Kommunikationsendgerät K und dem Server S statt, das spä- ter anhand der Figur 2 näher erläutert wird. Der Anmeldevor¬ gang wird bei erfolgreicher Durchführung abgeschlossen durch eine Authentifizierung-Erfolgreich-Meldung AE die von dem Server S über den Zugriffspunkt AP zu dem mobilen Kommunika- tionsendgerät K gelangt. Nach erfolgreichem Abschluss dieses Verfahrens kann von Seiten des mobilen Kommunikationsendgerä¬ tes K aus eine Nutzung von Diensten des lokalen Netzwerks er¬ folgen.
Für die Erfindung besonders relevant ist nunmehr der Beginn des Authentifizierungsverfahrens AV, das zwischen dem Server S und dem Kommunikationsendgerät K vorgenommen wird, um letz¬ terem einen Zugang zu dem lokalen Netzwerk zu gewähren.
Das Authentifizierungsverfahren AV wird, wie Figur 2 zu ent¬ nehmen ist, von einer Identitäts-Anfrage-Meldung IRS des Ser¬ vers S eingeleitet, die von dem Zugriffspunkt AP aus zu dem mobilen Kommunikationsendgerät K gelangt. Allerdings ist die Identitäts-Anfrage-Meldung IRS in eine Identitäts- Informations-Anfrage-Meldung IRMl, IRM2, ..., IRMn eingebettet, die zusätzlich zu der Identitäts-Anfrage-Meldung IRS ein Netzwerkinformationselement NIl enthält. Nach dem bereits o- ben erläuterten Vorschlag von Andrangi wären solche Netzwerk¬ informationselemente ausschließlich zu dem Zweck einsetzbar, Informationen über verfügbare Netzwerkprovider zur Verfügung zu stellen. Nach der Erfindung dient die Identitäts- Informations-Anfrage-Meldung IRMl, insbesondere ihr Netzwerk¬ informationselement NIl dazu, dem mobilen Kommunikationsend¬ gerät K unter anderem mitzuteilen, dass im Rahmen weiterer Identitäts-Informations-Anfrage-Meldungen IRM2 ..., IRMn, wei¬ tere Daten von dem Server S an das mobile Kommunikationsend¬ gerät K übermittelt werden sollen.
Jede Identitäts-Informations-Anfrage-Meldung IRMl, IRM2, ..., IRMn, enthält jeweilige Netzwerkinformationselemente NIl, NI2, NI3, ..., welche wiederum Angaben über eine Anzahl noch kommender Identitäts-Informations-Anfrage-Meldungen IRM2, IRM2, ..., IRMn oder die Anzahl noch zu übertragender Bits/Bytes und die Anzahl der bereits gesendeten Identitäts- Informations-Anfrage-Meldungen IRMl, IRM2, ..., IRMn, wobei diese sämtlichen Informationen dazu dienen können, dass auf Seiten des mobilen Kommunikationsendgerätes K festgestellt wird, ob eine bisherige Datenübermittlung von dem Server S zu dem mobilen Kommunikationsendgerät K fehlerfrei gewesen ist bzw. Vorbereitungen für weiteren Datentransfer getroffen wer¬ den können.
Zu jeder Identitäts-Informations-Anfrage-Meldung IRMl, IRM2, ..., IRMn, gehört eine Identitäts-Informations-Antwort-Meldung IAMl, IAM2, ..., IAMn, die das mobile Kommunikationsendgerät K jeweils als Antwort auf eine vorhergehende Identitäts- Informations-Anfrage-Meldung IRMl, IRM2, ..., IRMn, aussendet. Die Identitäts-Informations-Antwort-Meldungen IRMl, IRM2, ..., IRMn, ..., enthalten sämtlich eine auf Serverseite ignorierbare Identitäts-Antwort-Meldung IAK sowie ein Bestätigungselement BEI, BE2, ..., BEn, das jeweils angibt, wie viel Bytes/Bits be- reits bei dem mobilen Kommunikationsendgerät K angekommen sind, was als Bestätigungs-/Statusinformation für den Server S dient. Alternativ oder zusätzlich können die Bestätigungs¬ elemente BEI, BE2, ..., BEn, die mit der zuvor empfangenen Netzwerkinformationselement NIl, NI2, NI3, ..., erhaltenen Da- ten enthalten, was zur Verifizierung der Richtigkeit der ü- bertragenen Daten auf Serverseite weiterverarbeitet werden kann.
Auf Seiten des mobilen Kommunikationsendgerätes K kann ge- prüft werden, wann die zur Aufnahme des Authentifizierungs- verfahrens AV benötigte Meldung IAK an den Server S geschickt wird. Dazu können die von dem Server S empfangenen Nutzdaten NIl, NI2, ... NIn zur Auswertung verwendet werden, denn aus ih¬ nen geht hervor, wann ein Datentransfer von dem Server S zu dem Kommunikationsendgerät K abgeschlossen ist. Insofern muss die Meldung IAK nicht in sämtlichen Identitäts-Informations- Antwort-Meldungen IAMl, IAM2, ..., IAMn enthalten sein. Allge- mein ist sicher zustellen, dass das Authentifizierungsverfah- ren AV nicht gestartet wird, bevor der Datentransfer von Nutzdaten NIl, NI2, ..., NIn, von dem Server S zum Kommunikati¬ onsendgerät K abgeschlossen ist.

Claims

Patentansprüche
1. Verfahren zum Anmelden eines mobilen Kommunikationsend¬ gerätes (K) gegenüber einem lokalen Netzwerk, mit den Schrit- ten: a) Aussenden einer Start-Mitteilung von dem mobilen Kommuni¬ kationsendgerät (K) zu einem Zugriffspunkt (AP) des lokalen Netzwerks, b) Aussenden einer Identitäts-Anfrage-Meldung (IR) von dem Zugriffspunkt (AP) zu dem mobilen Kommunikationsendgerät (K) , c) Aussenden einer Identitäts-Antwort-Meldung (IA) von dem mobilen Kommunikationsendgerät (K) zu dem Zugriffspunkt
(AP) und Weiterleiten der Identitäts-Antwort-Meldung (IA) zu einem Server (S) , e) Durchführung eines Authentifizierungsverfahrens (AV) zwi¬ schen dem Server (S) und dem mobilen Kommunikationsendgerät (K), f) Aussenden einer Authentifizierung-Erfolgreich-Meldung (AE) von dem Server (S) zu dem Zugriffspunkt (AP) und Weiter- leitung der Authentifizierung-Erfolgreich-Meldung (AE) von dem Zugriffspunkt (AP) zu dem mobilen Kommunikationsendgerät (K), dadurch gekennzeichnet, dass in dem Schritt e) von dem Server (S) eine erste Identitäts- Informations-Anfrage-Meldung (IRMl, IRM2, ..., IRMn), die eine Identitäts-Anfrage-Meldung (IRS) und ein Netzwerkinformati¬ onselement (NIl, NI2, ..., NIn) enthält, über den Zugriffspunkt (AP) zu dem mobilen Kommunikationsendgerät (K) gesendet wird, wobei das Netzwerkinformationselement (NIl, NI2, ..., NIn) die Information an das mobile Kommunikationsendgerät (K) enthält, dass im Rahmen weiterer Identitäts-Informations-Anfrage- Meldungen (IRMl, IRM2, ..., IRMn) über den Zugriffspunkt (AP) weitere Daten an das mobile Kommunikationsendgerät (K) über¬ mittelt werden, und wenigstens eine zweite Identitäts- Informations-Anfrage-Meldung (IRM2), die eine ignorierbare
Identitäts-Anfrage-Meldung (IR) und wenigstens einen Teil der zweiten Daten dem Server (S) über den Zugriffspunkt (AP) ent- hält, zu dem mobilen Kommunikationsendgerät (K) gesendet wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Identitäts-Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) als Daten eine Anzahl noch kommender Identitäts- Informations-Anfrage-Meldungen (IRM2, ..., IRMn) von dem Server (S) über den Zugriffspunkt (AP) an das mobile Kommunikations- endgerät (K) enthalten.
3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die Identitäts-Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) als Daten eine Angabe über eine noch von dem Server (S) über den Zugriffspunkt (AP) an das mobile Kommunikationsend¬ gerät (K) zu übertragende Datenmenge enthalten.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Identitäts-Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) als Daten eine Angabe über eine Anzahl bereits gesende¬ ter Identitäts-Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) von dem Server (S) über den Zugriffspunkt (AP) an das mobile Kommunikationsendgerät (K) enthalten.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das mobile Kommunikationsendgerät (K) auf Empfang der Identi- täts-Informations-Anfrage-Meldungen (IRMl, IRM2, ..., IRMn) I- dentitäts-Informations-Antwort-Meldungen (IAMl, IAM2, ..., IAM3) über den Zugriffspunkt (AP) an den Server (S) sendet, die Bestätigungselemente (BEI, BE2, ..., Ben) über den Erhalt der Daten aus der vorhergehenden Identitäts-Informations- Anfrage-Meldung (IRMl, IRM2, ..., IRMn) enthalten.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Identitäts-Informations-Antwort-MeIdüng (IAMl, IAM2, ..., IAMn) als die Daten eine bereits empfangene Datenmenge ent- hält.
7. Verfahren nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, dass die Identitäts-Informations-Antwort-Meldung (IAMl, IAM2, ..., IAMn) als Daten die von dem Server (S) beim Empfang der vor¬ hergehenden Identitäts-Informations-Anfrage-Meldung (IRMl, IRM2, ..., IRMn) erhaltenen Daten enthält.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Verfahren auf dem EAP-Protokoll (IETF REC 3748) basiert.
EP05784531A 2004-10-25 2005-09-06 Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk Withdrawn EP1829320A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004051840A DE102004051840A1 (de) 2004-10-25 2004-10-25 Verfahren zum Anmelden eines mobilen Kommunikationsendgerätes gegenüber einem lokalen Netzwerk
PCT/EP2005/054387 WO2006045665A1 (de) 2004-10-25 2005-09-06 Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk

Publications (1)

Publication Number Publication Date
EP1829320A1 true EP1829320A1 (de) 2007-09-05

Family

ID=35354995

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05784531A Withdrawn EP1829320A1 (de) 2004-10-25 2005-09-06 Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk

Country Status (9)

Country Link
US (1) US20070294758A1 (de)
EP (1) EP1829320A1 (de)
KR (1) KR20070065390A (de)
CN (1) CN101048997A (de)
DE (1) DE102004051840A1 (de)
MX (1) MX2007005008A (de)
RU (1) RU2007119383A (de)
TW (1) TW200625898A (de)
WO (1) WO2006045665A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8037522B2 (en) * 2006-03-30 2011-10-11 Nokia Corporation Security level establishment under generic bootstrapping architecture
US9392434B2 (en) 2007-01-22 2016-07-12 Qualcomm Incorporated Message ordering for network based mobility management systems
US8689301B2 (en) * 2008-09-30 2014-04-01 Avaya Inc. SIP signaling without constant re-authentication
US9113500B2 (en) 2011-07-10 2015-08-18 Qualcomm Incorporated Device and method for communication of management information in ad-hoc wireless networks
US8843629B2 (en) * 2012-05-14 2014-09-23 Nokia Corporation Method, apparatus, and computer program product for response criteria
KR101863615B1 (ko) 2017-05-24 2018-06-01 (주)이스트소프트 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
US11019564B2 (en) * 2018-11-21 2021-05-25 Cisco Technology, Inc. Roaming consortium identifier (RCOI)-based system for handling identity requirements

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7523306B2 (en) * 2003-01-16 2009-04-21 Texas Instruments Incorporated Simplified CCMP mode for a wireless local area network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006045665A1 *

Also Published As

Publication number Publication date
KR20070065390A (ko) 2007-06-22
CN101048997A (zh) 2007-10-03
WO2006045665A1 (de) 2006-05-04
MX2007005008A (es) 2007-06-12
DE102004051840A1 (de) 2006-05-04
RU2007119383A (ru) 2008-11-27
US20070294758A1 (en) 2007-12-20
TW200625898A (en) 2006-07-16

Similar Documents

Publication Publication Date Title
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
DE60307482T2 (de) Authentifizierung zwischen einem zellularen Mobilendgerät und einem kurzreichweitigen Zugangspunkt
EP1379935B1 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem softwarebasierten system über ein zugangsmedium
EP1829320A1 (de) Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk
DE60222810T2 (de) Verfahren, system und einrichtung zur dienstauswahl über ein drahtloses lokales netzwerk
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE102006024041B4 (de) Verfahren zum Personalisieren eines Sicherheitsmoduls eines Telekommunikations-Endgerätes
WO2009095048A1 (de) Verfahren zur verwaltung der autorisierung von mobiltelefonen ohne sim-karte
DE29624480U1 (de) System zum Ermöglichen des Bestellens und Bezahlens von Dienstleistungen mittels eines Kommunikationsnetzwerkes
EP1689125A1 (de) Verfahren zum authentisierten Aufbau einer Verbindung
EP1565801B1 (de) Verfahren zur authentisierung und vergebührung eines teilnehmers eines funknetzes
DE10158739B4 (de) WAP-Browserfähiges Kommunikationssytem sowie Client und Server für ein solches Kommunikationssystem
DE60130899T2 (de) Wap-sitzung tunneling
DE60219076T2 (de) Herunterladung eines applets in einem kommunikationssystem
EP2575385B1 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos, zum Durchführen einer Transaktion, sowie Endgerät
DE60206592T2 (de) Offset Sicherheitsverfahren zum Datenaustausch
EP1723815B1 (de) Synchronisation von daten in zwei oder mehr teilnehmerkarten zum betreiben eines mobilen endgeräts
EP3785459A1 (de) Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
EP3432539B1 (de) Verfahren zum aufbau eines kommunikationskanals zwischen einer servereinrichtung und einer clienteinrichtung
DE60320511T2 (de) Verfahren, Vorrichtung und System zur Behandlung von einem Authentifizierungsfehler von einem zwischen einem GSM-Netz und einem WLAN-Netz umherstreifenden Teilnehmer
DE69937718T2 (de) Verfahren zum mobilstationseitigen Zugriff auf von einem Server gelieferte Dienste und zugehöriges Teilnehmeridentitätsmodul und Endgerät
EP1519603A1 (de) Verfahren zur Authentisierung eines Teilnehmers für einen über ein Kommunikationssystem angebotenen Dienst
DE60202578T2 (de) Drahtlose Verbindungen kurzer Reichweite in einem Telekommunikationsnetz
EP1424825B1 (de) Verfahren und Vorrichtungen zum Aufbauen eines virtuellen privaten Kommunikationsnetzes zwischen Kommunikationsendgeräten

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070525

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

RIN1 Information on inventor provided before grant (corrected)

Inventor name: GROETING, WOLFGANG

Inventor name: BERG, STEFAN

Inventor name: KOORA, KALYAN

17Q First examination report despatched

Effective date: 20070928

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS S.P.A.

RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO. KG

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20080209