[go: up one dir, main page]

DE60013588T2 - Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten - Google Patents

Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten Download PDF

Info

Publication number
DE60013588T2
DE60013588T2 DE60013588T DE60013588T DE60013588T2 DE 60013588 T2 DE60013588 T2 DE 60013588T2 DE 60013588 T DE60013588 T DE 60013588T DE 60013588 T DE60013588 T DE 60013588T DE 60013588 T2 DE60013588 T2 DE 60013588T2
Authority
DE
Germany
Prior art keywords
network
user
authentication information
server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60013588T
Other languages
English (en)
Other versions
DE60013588D1 (de
Inventor
Juha Ala-Laurila
Patrik Flykt
Nadarajah Asokan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Nokia Inc
Original Assignee
Nokia Oyj
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj, Nokia Inc filed Critical Nokia Oyj
Publication of DE60013588D1 publication Critical patent/DE60013588D1/de
Application granted granted Critical
Publication of DE60013588T2 publication Critical patent/DE60013588T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Communication Control (AREA)
  • Telephone Function (AREA)

Description

  • Die vorliegende Erfindung betrifft Verfahren zum Authentifizieren von Benutzern (Endgeräten in Datennetzwerken) und die Zuweisung von Adressen zu Endgeräten, die auf Datennetzwerke zugreifen.
  • Das Dynamic Host Configuration Protocol (DHCP) schlägt Authentifizierungs(auth)ergänzung vor, um zu garantieren, dass nur autorisierte Benutzer Zugang zu einem Paketdatennetzwerk (IP Netzwerke) haben. Das Netzwerk des Dienstanbieters, das Verbindungen eines Benutzers an ein Paketdatennetzwerk bereitstellt, muss den Benutzer (drahtloses Endgerät) während des Netzwerkregistrierungs- und Adresszuweisungsvorgangs authentifizieren. Typischerweise verwenden mobile Netzwerke ein dynamisches Adressierungsschema, das unter Verwendung des DHCP-Protokolls implementiert ist, um Benutzer mit Netzwerkvorrichtungen zu verbinden, die den Benutzer mit dem Paketdatennetzwerk verbinden. Es sollte jedoch verstanden werden, dass die Verwendung des DHCP-Protokolls nicht auf drahtlose Netzwerke beschränkt ist. Die DHCPv4 und die DHCPv6 Protokolle ermöglichen eine dynamische Konfiguration von IP-Adressen und Optionen und verwenden das User Data Protocol (UDP) als das Kommunikationsprotokoll. Die Netzwerkentitäten, die bei den DHCPv4 und DHCPv6 Protokollen verwendet werden, sind die Server, der Benutzer und ein optionaler Weiterleiter (relay). Der Server ist die Entität, die Netzwerkadressen und Information an die Benutzer verteilt. Der optionale Weiterleiter stellt Weiterleiten von DHCP-Nachrichten bereit, so dass ein DHCP-Server viele Unternetzwerke bedient, anstatt dass jedem Unternetzwerk ein Server zugewiesen wird. Alle Kommunikationen zwischen dem DHCP-Benutzer und dem DHCP-Server finden unter Verwendung eines Nachrichtenaustauschs einer An von Anforderung-Antwort (request-reply) statt. Alle DHCP-Nachrichten können ebenfalls eine oder mehrere Optionen (DHCPv4)/Erweiterungen (DHCPv6) enthalten, die zusätzliche nützliche Parameter zwischen dem DHCP-Benutzer und dem DHCP-Server übertragen.
  • Die Kommunikationen, die das DHCPv4 Protokoll betreffen, sind in 1 dargestellt. Obwohl nicht dargestellt, kann ein optionaler Weiterleiter verwendet werden, um DHCP-Nachrichten weiterzuleiten, so dass der Server eine Mehrzahl von Unternetzwerken bedient. Wenn ein DHCPv4-Benutzer sich mit einem Netzwerk verbindet und wünscht, eine IPv4-Adresse und andere Arbeitsinformationen zu erhalten, sendet er zuerst eine DHCP-Entdeckungsnachricht (discover message) an das Netzwerk, um die Anwesenheit eines DHCP-Servers zu entdecken, der Verbindungen des Benutzers mit einem Paketdatennetzwerk bereitstellen kann. Der Benutzer empfängt eine DHCP-Angebotsnachricht (offer message) von allen Servern, die seine DHCP-Entdeckungsnachricht empfangen haben, und die konfiguriert wurden, dem Benutzer zu antworten. Die DHCP-Angebotsnachricht enthält die IP-Adresse des Servers und jede andere Netzwerkinformation, von welcher der Server annimmt, dass der Benutzer sie benötigen wird. Der Benutzer wählt den DHCP-Server aus, dessen DHCP-Angebotsnachricht die ist, die als erste empfangen wurde und verwirft den Rest. Der Benutzer informiert den Server, dessen DHCP-Angebotsnachricht akzeptiert wurde, mit einer DHCP-Anforderung (request), die an den Server übermittelt wird, um die Verwendung der IP-Adresse des Benutzers zu beginnen. Der Server bestätigt die Anforderung durch Senden der DHCP-Bestätigung (acknowledgement) an den Benutzer, der dann anfangen kann, die zugewiesene IP-Adresse zu verwenden.
  • Wann immer der Benutzer seine IP-Adresse freigeben will, sendet er eine DHCP-Freigabenachricht (release message) an den Server. Nach der DHCP-Freigabenachricht kann der Benutzer die IP-Adresse nicht mehr verwenden. Wenn der Benutzer die Adresse für eine längere Zeit verwenden muss als angegeben, muss der Benutzer versuchen, die Verwendung der zugewiesenen IP-Adresse zu erneuern. Dies darf nicht später erfolgen als wenn die Hälfte der Zeit, die dem Benutzer zugewiesen wurde, verwendet worden ist, um die Adresse erneuert zu bekommen. Der Benutzer erneuert die Adresse durch Senden einer neuen DHCP-Anforderungsnachricht an den DHCP-Server. Wenn der Server die Erneuerung der IP-Adresse akzeptiert, sendet er eine DHCP-Bestätigung an den Benutzer, die neue Ablaufzeitgeberwerte enthält. Der Server kann ebenfalls die Erneuerung der Adresse verweigern, durch Senden einer DHCP-Ablehnung (non-acknowledgement) an den Benutzer, was den Benutzer zwingt, die Verwendung der IP-Adresse sofort einzustellen und zu einem anfänglichen Zustand zurückzukehren, an dem der Neustart des DHCP-Adressenerwerbsvorgangs und der Authentifizierung beginnt. Wenn der Server nicht antwortet, hat der Benutzer die Möglichkeit, an alle der DHCP-Server eine DHCP-Anforderungsnachricht zu senden, die die IP-Adresse des Benutzers enthält. Jeder DHCP-Server, der konfiguriert ist, um die IP-Adresse dem Benutzer bereitzustellen, kann entweder die Adresse erneuern durch Senden einer DHCP-Bestätigung, oder die Adresse verweigern mit einer DHCP-Ablehnung. Wenn keine Antworten gesendet werden, hört der Benutzer auf, die IP-Adresse zu verwenden, wenn der Ablaufzeitgeber abgelaufen ist, und muss danach das DHCP-Protokoll aus dem anfänglichen Zustand neu starten.
  • Die Kommunikationen, die das DHCPv6-Protokoll betreffen, sind in 2 dargestellt. Wenn ein Benutzer das Netzwerk kontaktiert, wird er zuerst eine Verbindungs-lokale (link-local) IPv6-Adresse gemäß den Regeln der "stateless auto configuration" erzeugen, wie in RFC 2462 beschrieben. Danach wird der Benutzer eine Router-Ankündigung empfangen, und wenn die Router-Ankündigung dem Benutzer sagt, "stateful auto configuration", d.h. DHCPv6, zu verwenden, wird der Benutzer eine DHCP-Bewerbungsnachricht (solicit message) an die alle-DHCP-Agenten-Multicast-Adresse senden, um eine oder mehrere DHCP-Serveradressen zu erhalten. Die Bewerbungsnachricht kann von einem DHCP-Weiterleiter an die alle-DHCP-Server-Multicast-Adresse eines anderen Netzwerks weitergeleitet werden. Wenn der Benutzer mit der IP-Adresse eines Servers oder eines Weiterleiters vorkonfiguriert worden ist, und der Server oder der Weiterleiter auf der selben Netzwerkverbindung sind wie der Benutzer, kann der Benutzer die Bewerbungsnachricht überspringen und den DHCP-Server mit der Anforderungsnachricht auswählen. Ein DHCP-Server, der die Bewerbungsnachricht empfängt, wird mit einer DHCP-Ankündigungsnachricht antworten, um den Benutzer über den Server zu informieren. Die Ankündigungsnachricht enthält ein Vorliebefeld (preference field), dass darüber informiert, wie interessiert der Server ist, den betreffenden Benutzer zu bedienen. Wenn der Benutzer und der Server auf der selben Verbindung sind, antwortet der Server direkt an den Benutzer, anderenfalls wird die angekündigte Nachricht durch den selben DHCP-Weiterleiter gesendet, der die Bewerbungsnachricht an den Server weitergeleitet hat.
  • Der Benutzer wartet eine vorbestimmte Zeitdauer, so dass er die Möglichkeit hat, die DHCP-Ankündigungsnachrichten von verschiedenen Servern zu empfangen. Der DHCP-Benutzer trifft die Auswahl zwischen den DHCP-Servern basierend auf dem Vorzugswert durch Auswählen des Servers, der den höchsten Wert des Interesses angibt. Wenn der Benutzer eine Ankündigungsnachricht mit dem maximalen Vorzugswert von 255 empfängt, kann er den jeweiligen Server sofort auswählen und alle später empfangenen Ankündigungsnachrichten ignorieren.
  • Der Benutzer sendet eine DHCP-Adressanforderungsnachricht an den Server, den er ausgewählt hat, um die Netzwerkkonfigurationsparameter von dem Server anzufordern. Der Benutzer fordert diese Parameter an, indem eine Erweiterung, die diese Parameter betrifft, zu der Anforderungsnachricht hinzugefügt wird. Indem das "C"-Bitfeld in der Anforderungsnachricht gesetzt wird, kann der Benutzer eine Freigabe seiner Ressourcen anfordern, ausgenommen diese, die explizit in den Erweiterungen aufgelistet sind. Indem das "R"-Bitfeld gesetzt wird, fragt der Benutzer eine Freigabe von allen seinen Ressourcen nach, die er vorher angefordert hat. Diese Freigabeanforderungen sind sehr nützlich, wenn ein Benutzer neu startet, weil der Benutzer möglicherweise einige oder alle der vorherigen Zustände bei dem Neustartvorgang verloren hat. Die Angebotsnachricht enthält ein Transaktions-ID-Feld, das eine monoton ansteigende, vorzeichenlose Ganzzahl-Nummer ist, die verwendet wird, um die Angebotsnachricht zu identifizieren und sie mit der DHCP-Antwort kombiniert.
  • Der Server sendet eine DHCP-Antwortnachricht in Antwort auf jede empfangene DHCP-Angebotsnachricht. Die Antwortnachricht trägt die gesamten wichtigen Netzwerkinformationen als Nachrichtenerweiterungen, was Flexibilität für Informationsaustausch bereitstellt. Das Transaktions-ID-Feld wird von der Angebotsnachricht kopiert, um die Antwortnachricht der korrekten Anforderung zuzuordnen.
  • Wann immer der Benutzer einige Parameter, die er erhalten hat, freigeben will, kann er dies tun, indem er eine DHCP-Freigabenachricht direkt an den Server sendet. Die Parameter, die freigegeben werden sollen, sind als Erweiterungen aufgelistet. Eine Freigabenachricht ohne Erweiterungen bewirkt, dass der Server alle Ressourcen, die der Benutzer erhalten hat, freigibt. Das Freigeben von Parametern unter Verwendung der Freigabenachricht wird gegenüber den vorstehend genannten "C" und "R"-Bitfeldern in der Angebotsnachricht bevorzugt, die nur dazu verwendet werden soll, Benutzerparameter zur Startzeit zu bereinigen.
  • Server können die Benutzer durch Senden einer DHCP-Neukonfigurationsnachricht benachrichtigen, dass einige ihrer Parameter aktualisiert werden müssen. Die Parameter, die in der Neukonfigurationsnachricht enthalten sind, müssen von dem Benutzer neu erworben werden. Um die neuen Parameter zu empfangen, sendet der Benutzer eine neue Anforderungsnachricht an den Server, der dann mit einer Antwortnachricht antwortet, die die Parameter enthält. Siehe "Dynamic Host Configuration Protocol For IPv6 (DHCPv6) Work in Progress DHCP Working Group 1998", J. Bound and C. Perkins und "Extensions for the Dynamic Host Configuration Protocol For IPv6 Work in Progress 1998", von C. Perkins.
  • Es wird Bezug genommen auf "Kobayashi K et al: "Network Access Control for DHCP Environment" IEICE TRANSACTIONS ON COMMUNICATIONS, JP, INSTITUTE OF ELECTRONICS INFORMATION AND COMM. ENG. TOKYO, Vol. E81-B, No.9, 1. September 1998, Seiten 1718–1723, XP 000790192 ISSN: 0916–8516.
  • Das GSM(Global System for Mobile Communications)-Telefonsystem verwendet Algorithmen in den mobilen Benutzereinheiten und in den Netzwerkservern, die die Authentifizierung des Benutzers steuern, um unautorisierten Zugriff auf das Netzwerk zu verhindern, und um Verschlüsselung der Übertragungen zwischen dem Endgerät und Netzwerken bereitzustellen. Das GSM-System ist ausführlich beschrieben in der Veröffentlichung "The GSM System for Mobile Communication" von Mouly und Pautet, Copyright 1992. Die Authentifizierung in einem GSM-Netzwerk wird ausgeführt durch die Erzeugung einer signierten Antwort SRES sowohl von dem Mobilteil des Benutzers als auch dem Netzwerk, die eine Funktion eines eindeutigen geheimen Bezeichners Ki des Mobilteils des Benutzers und einer Zufallszahl RAND ist. Die signierte Antwort SRES wird in dem Subscriber-Identifikations-Modul (SIM) berechnet, basierend auf dem Ki, der innerhalb des SIM gespeichert ist, und einer Zufallszahl RAND, die von dem Netzwerkauthentifizierungzentrum (AuC) erhalten worden ist. Zusätzlich führen das Mobilteil des Benutzers und das Netzwerk beide Verschlüsselung aus, durch Erzeugung eines Schlüssels Kc, der eine Funktion derselben Zufallszahl RAND und des geheimen Bezeichners Ki des Mobilteils ist. Der erste Authentifizierungsalgorithmus, der SRES berechnet, ist als der A3 Algorithmus bekannt, und der zweite Algorithmus, der Kc berechnet, der jedes Mal berechnet wird, wenn ein Mobilteil eines Benutzers authentifiziert wird, ist als der A8 bekannt. Jedoch erfordert jeder der Vorgänge der Authentifizierung und der Berechnung des verschlüsselnden Schlüssels Kc, dass das Mobilteil programmiert wird, um die vorstehend genannten Berechnungen und den geheimen Algorithmus auszuführen, der im SIM gespeichert ist.
  • Die vorliegende Erfindung sucht ein verbessertes Verfahren bereitzustellen, um einem Benutzer eine Endgerätenetzwerkadresse in dem ersten Netzwerk bereitzustellen und eine Verbindung des Benutzers in dem ersten Netzwerk zu authentifizieren.
  • Gemäß der vorliegenden Erfindung wird ein Verfahren bereitgestellt, um einem Benutzer eine Endgerätenetzwerkadresse in einem ersten Netzwerk bereitzustellen, durch das ein Benutzer mit einem Datennetzwerk kommuniziert, und um eine Verbindung des Benutzers mit dem ersten Netzwerk zu authentifizieren, umfassend Übertragen einer Anforderung an mindestens einen Server in dem ersten Netzwerk, um die Endgerätenetzwerkadresse in dem ersten Netzwerk zu erhalten, die eine Verbindung des Benutzers mit dem Datennetzwerk bereitstellt, und einer Identifikation des Benutzers zu einem zweiten Netzwerk, durch das der Benutzer mit dem ersten Netzwerk kommuniziert, Übertragen der Identifikation des Benutzers an das zweite Netzwerk, Übertragen von Authentifizierungsinformation des Benutzers, die in dem zweiten Netzwerk gespeichert ist, die der Identifikation des Benutzers zugeordnet ist, von dem Netzwerk zu dem ersten Netzwerk, Übertragen mindestens einer Ankündigung der Endgerätenetzwerkadresse und von Information innerhalb der Authentifizierungsinformation von dem ersten Netzwerk an den Benutzer, und Bearbeiten der empfangenen mindestens einen Ankündigung und der empfangenen Information innerhalb der Authentifizierungsinformation, und Bestimmen, ob die Authentifizierungsinformation korrekt ist.
  • Das Verfahren kann weiterhin Übertragen einer Anforderungsnachricht von dem Benutzer zu dem ersten Netzwerk umfassen, die einen Server auswählt, um Verbindung des Benutzers mit dem Datennetzwerk bereitzustellen, und die Konfigurationsparameter des ersten Netzwerks anfordert, einer Authentifizierung und einer signierten Antwort SRES, die eine Funktion eines geheimen Parameters, der dem Benutzer zugeordnet ist, und einer Zufallszahl ist, die in der empfangenen Authentifizierungsinformation enthalten ist. Das Verfahren kann weiterhin umfassen, mit dem ersten Netzwerk zu bestimmen, ob die signierte Antwort korrekt ist, und wenn die signierte Antwort korrekt ist, dem Benutzer mit Konfigurationsparametern des ersten Netzwerks und einer Bestätigung, die eine Funktion des verschlüsselnden Schlüssels ist, zu antworten, und worin die an das erste Netzwerk übertragene Authentifizierung eine Funktion eines verschlüsselnden Schlüssels sein kann. Das Verfahren kann weiterhin umfassen, nach der Antwort mit der Bestätigung, die eine Funktion eines verschlüsselnden Schlüssels ist, Kommunikationen zwischen dem Benutzer und dem Netzwerk zu übertragen, die mit dem verschlüsselnden Schlüssel authentifiziert sind. Das zweite Netzwerk kann ein drahtloses Netzwerk sein. Die Authentifizierungsinformation kann eine Zufallszahl RAND, eine signierte Antwort SRES, die eine Funktion der Zufallszahl ist, und einen geheimen Bezeichner des Benutzers und einen verschlüsselnden Schlüssel Kc umfassen. Jede übertragene Information kann einen IPSEC Authentifizierungs-Anfangsblock enthalten. Jede übertragene Kommunikation kann verschlüsselt und/oder mit einer Encapsulating Security Payload authentifiziert sein. Eine Authentifizierung des Benutzers in dem ersten Netzwerk kann ausgeführt werden, bevor dem Benutzer die Endgerätenetzwerkadresse bereitgestellt wird. Die Authentifizierungsinformation kann in dem drahtlosen Netzwerk in einem Register gespeichert werden, das Information des Standorts des Benutzers in dem drahtlosen Netzwerk speichert. Das Datennetzwerk kann ein Paketdatennetzwerk sein. Der Benutzer kann in einem drahtlosen Zugangsnetzwerk sein.
  • Gemäß der vorliegenden Erfindung wird ebenfalls ein Verfahren bereitgestellt, um einem Benutzer eine Endgerätenetzwerkadresse in einem ersten Netzwerk bereitzustellen, durch das ein Benutzer mit dem Datennetzwerk kommuniziert, und um eine Verbindung eines Benutzers in einem ersten Netzwerk zu authentifizieren, umfassend Senden einer Anforderung an mindestens einen Server in dem ersten Netzwerk, um die Endgerätenetzwerkadresse in dem ersten Netzwerk zu erhalten, das bzw. die eine Verbindung des Benutzers mit dem Paketdatennetzwerk bereitstellt, und einer Identifikation des Benutzers in einem zweiten Netzwerk, durch das der Benutzer mit dem ersten Netzwerk kommuniziert, Übertragen mindestens einer Ankündigung der Endgerätenetzwerkadresse und von Information innerhalb von Authentifizierungsinformation, die in dem ersten Netzwerk gespeichert ist, die durch die Identifikation des Benutzers identifiziert ist, von dem ersten Netzwerk an den Benutzer, und Bearbeiten der empfangenen mindestens einen Ankündigung und der empfangenen Information innerhalb der Authentifizierungsinformation, und Bestimmen, ob die Authentifizierungsinformation korrekt ist.
  • Das Verfahren kann weiterhin Übertragen einer Anforderungsnachricht von dem Benutzer zu dem ersten Netzwerk umfassen, die einen Server auswählt, um eine Verbindung des Benutzers zu dem Datennetzwerk bereitzustellen, und die Konfigurationsparameter des ersten Netzwerks anfordert, einer Authentifizierung und einer signierten Antwort, die eine Funktion eines geheimen Parameters, der dem Benutzer zugeordnet ist, und einer Zufallszahl ist, die in der empfangenen Authentifizierungsinformation enthalten ist. Das Verfahren kann weiterhin umfassen, mit dem ersten Netzwerk zu bestimmen, ob die signierte Antwort korrekt ist, und wenn die signierte Antwort korrekt ist, dem Benutzer mit Konfigurationsparametern des ersten Netzwerks und einer Bestätigung, die eine Funktion des verschlüsselnden Schlüssels ist, zu antworten, und worin die an das erste Netzwerk übertragene Authentifizierung eine Funktion eines verschlüsselnden Schlüssels sein kann. Das Verfahren kann weiterhin umfassen, nach der Antwort mit der Bestätigung, die eine Funktion eines verschlüsselnden Schlüssels ist, Kommunikationen zwischen dem Benutzer und dem Netzwerk übertragen, die mit dem verschlüsselnden Schlüssel authentifiziert sind. Das zweite Netzwerk kann ein drahtloses Netzwerk sein. Die Authentifizierungsinformation kann eine Zufallszahl RAND, eine signierte Antwort SRES, die eine Funktion der Zufallszahl ist, und einen geheimen Bezeichner des Benutzers mit einem verschlüsselnden Schlüssel Kc umfassen. Jede übertragene Information kann einen IPSEC Authentifizierungs-Anfangsblock enthalten. Jede übertragene Kommunikation kann verschlüsselt und/oder authentifiziert mit einer Encapsulating Security Payload sein. Das Datennetzwerk kann ein Paketdatennetzwerk sein, und der Benutzer kann sich in einem drahtlosen Zugangsnetzwerk befinden.
  • Gemäß der vorliegenden Erfindung ist weiter ein Verfahren bereitgestellt, um einem Benutzer eine Endgerätenetzwerkadresse in einem ersten Netzwerk bereitzustellen, durch das der Benutzer mit dem Datennetzwerk kommuniziert, und zum Authentifizieren der Verbindung des Benutzers mit dem ersten Netzwerk, umfassend, an mindestens einen Server in dem ersten Netzwerk in einer Anforderung zu senden, die Endgerätenetzwerkadresse in dem ersten Netzwerk zu erhalten, die eine Verbindung des Benutzers mit dem Paketdatennetzwerk bereitstellt, Übertragen mindestens einer Ankündigung der Endgerätenetzwerkadresse von dem ersten Netzwerk an den Benutzer, Übertragen eines Bezeichners des Benutzers in einem zweiten Netzwerk, durch das der Benutzer mit dem ersten Netzwerk kommuniziert, an mindestens einen Server, Übertragen von Information innerhalb von Authentifizierungsinformation, die in dem ersten Netzwerk gespeichert ist, die durch die Identifikation des Benutzers identifiziert ist, an den Benutzer, und dass der Benutzer die empfangene mindestens eine Ankündigung und die empfangene Information innerhalb der Authentifizierungsinformation bearbeitet und bestimmt, ob die Authentifizierungsinformation korrekt ist.
  • Gemäß der vorliegenden Erfindung ist ferner ein System bereitgestellt, um einem Benutzer eine Endgerätenetzwerkadresse bereitzustellen, das Mittel umfasst, um das Verfahren auszuführen.
  • Ausführungsformen der vorliegenden Erfindung werden nun durch Beispiele beschrieben werden, mit Bezug auf die begleitende Zeichnung, in der:
  • 1 ein Diagramm ist, das den Betrieb des DHCPv4-Protokolls des Stands der Technik darstellt;
  • 2 ein Diagramm ist, das den Betrieb des DHCPv6-Protokolls des Stands der Technik darstellt;
  • 3A eine erste exemplarische Netzwerkstruktur darstellt und 3B eine zweite exemplarische Netzwerkstruktur darstellt, in der die vorliegende Erfindung angewendet werden kann;
  • 4 eine Modifikation des DHCPv6-Protokolls darstellt, in der eine erste Ausführungsform der vorliegenden Erfindung angewendet wird;
  • 5 eine Modifikation des DHCPv4-Protokolls darstellt, in der eine zweite Ausführungsform der vorliegenden Erfindung angewendet wird;
  • 6 eine Modifikation des DHCPv4-Protokolls darstellt, in der eine dritte Ausführungsform der vorliegenden Erfindung angewendet wird; Gleiche Teile und Terminologie sind in der Zeichnung identisch bezeichnet.
  • 3A und 3B stellen exemplarische Netzwerkarchitekturen 10 und 10' dar, in denen das Verfahren der Erfindung angewendet wird, wobei ein Benutzerendgerät 12 bereitgestellt wird, enthaltend eine Smartcard, eine Endgerätenetzwerkadresse, die von einem Server 14 in einem ersten Netzwerk 16 bereitgestellt wird, durch das der Benutzer mit einem Datennetzwerk kommuniziert, das bevorzugt ein Paketdatennetzwerk 18 ist, und die Verbindung des Benutzers mit dem ersten Netzwerk authentifiziert.
  • Die Smartcard, die dem Benutzerendgerät 12 zugeordnet ist, die von verschiedener Auslegung sein kann, stellt die Benutzeridentifikation (USER ID) bereit, wie nachfolgend in Verbindung mit den 46 beschrieben, und kann ohne Einschränkung IMSI oder NAI (Network Access Identifier) sein gemäß RFC 2486. In einer bevorzugten Ausführungsform kann die Smartcard SIM berechnen, um die USER ID bereitzustellen, aber die Erfindung ist nicht darauf beschränkt.
  • Ein Beispiel des Benutzerendgerätes 12 ist ein Endgerät, das eine Smartcard-gesteuerte Mobilstation ist, die eine Hauptsteuereinheit, eine Benutzerschnittstelle, einen HF Hochfrequenzteil, einen Audio-Niedrigfrequenzteil, eine Benutzerschnittstelle, eine Stromeinheit, eine Datenübertragung und eine Anwendungsmodul-Verbindungseinheit aufweist. Das Endgerät wird von der Hauptsteuereinheit mit Steuerprogrammen gesteuert, die darin gespeichert sind. Die Benutzerschnittstelle weist ein Display, ein Tastenfeld und Zustandsanzeiger auf. Die Hauptsteuereinheit erzeugt verschiedene Situations-spezifische Nachrichten, Bedieninstruktionen und Menüs auf dem Display. Ein Benutzer gibt Information durch das Tastenfeld ein, so wie die Endgeräte-Identifikationsnummer, Telefonnummer und wählt Vorgänge aus den Menüs aus. Die Zustandsanzeiger können bevorzugt verwendet werden, um interne Betriebsmodi des Endgerätes anzuzeigen. Der HF Hochfrequenzteil ist Teil eines herkömmlichen Mobiltelefons, das verwendet wird, um Anrufe und Nachrichten zu übertragen und zu empfangen, wobei Funkfrequenzen in einem Funkkommunikationsnetzwerk so wie ein GSM Netzwerk verwendet werden, z.B. durch ein Umschaltzentrum mobiler Dienste. Der Audiofrequenzteil enthält ein Mikrofon, einen Kopfhörer und einen Summer (buzzer).
  • Der Betriebsstrom für das Endgerät wird durch eine ladbare Batterie geliefert. Eine Stromeinheit überwacht die Ladestation und das Laden der Batterie. Die Stromeinheit signalisiert der Hauptsteuereinheit, wenn der Ladezustand der Batterie unter einen vorbestimmen Wert fällt.
  • Eine Smartcard ist mit einem Modul und einem Verbinder verbunden, die in dem Endgerät angeordnet sind. Die Smartcard stellt eine Identifikation des Benutzers (USER ID so wie, aber nicht beschränkt auf, IMSI oder NAI) bereit, wobei eine Form der Smartcard-Implementierung ohne Beschränkung SIM ist. Die Verbindung der Smartcard während der Verwendung stellt die USER ID dem Benutzerendgerät 12 bereit, für Zwecke der Bereitstellung der USER ID während der Authentifizierung wie nachfolgend beschrieben.
  • Es sollte verstanden werden, dass die Netzwerkarchitekturen 10 und 10' nur vorschlagend für diverse Netzwerkarchitekturen sind, in denen die vorliegende Erfindung angewendet werden kann. Die Verbindungen des Benutzerendgerätes 12 sind direkt in der ersten Ausführungsform 10 zu einem zweiten Netzwerk 20 dargestellt, das ein Heimatort-Register/Besuchs-/Geschäfts-Ort-Register 22 (home register/visiting/business location register) hat, das in Mobilfunktechnik, so wie das GSM-System, gut bekannt ist. Die Erfindung ist jedoch nicht auf drahtlose Verbindungen zwischen dem Benutzerendgerät und dem ersten Netzwerk 16 beschränkt, wobei Verbindungen in den zweiten Netzwerkarchitekturen 10' von 3B zwischen dem Benutzerendgerät 12 und dem Paketdatennetzwerk 18 durch ein dazwischenliegendes drahtloses Zugangsnetzwerk 19 und dem ersten Netzwerk 16 eine Alternative sind. Das erste Netzwerk ist bevorzugt ein ISP oder Unternehmens-IP-Netzwerk. Weiterhin kann der Benutzer 12 Teil eines drahtlosen Zugangsnetzwerks sein, wie in 3B dargestellt. Der Weiterleiter 24 in dem ersten Netzwerk 16 entspricht dem vorstehend beschriebenen Weiterleiter in Anbetracht des Stands der Technik und ist in der Anwendung der vorliegenden Erfindung optional.
  • Wie hier verwendet, bedeutet der Ausdruck "Benutzer" jedes Kommunikationsendgerät einschließlich jedes zugeordneten Computers, Modems, etc. die mit dem Datennetzwerk 18 kommunizieren, mobile Endgeräte, drahtlose IP-Endgeräte oder andere Netzwerk-verbindbare Endgeräte.
  • 4 stellt eine erste Ausführungsform eines Verfahrens gemäß der vorliegenden Erfindung dar, die mit einer Modifikation des DHCPv6-Protokolls angewendet wird. Es sollte jedoch verstanden werden, dass die Erfindung nicht darauf beschränkt ist. Die Abfolge von Kommunikationen, die als Stand der Technik in der Beschreibung des DHCPv6-Protokolls in 2 beschrieben worden sind, die der ersten Ausführungsform gemein sind, führen dieselben Funktionen im Stand der Technik aus und werden hier nicht wiederholt werden. Während weiterhin, wie in 4 dargestellt, ein bevorzugter Speicher für Authentifizierungsinformation betreffend den Benutzer, die unter Verwendung der USER ID, die von einer Benutzerendgeräte- Smartcard erhalten wurde, berechnet wird, in einem HLR/VLR-Register 22 ist, das in drahtlosen System so wie dem GSM-System gut bekannt ist, kann die Authentifizierungsinformation des Benutzers in dem Server 14 gespeichert werden. Wenn die Benutzerauthentifizierungsinformation in dem Server 14 gespeichert wird, ist es nicht notwendig, die Benutzerauthentifizierungsinformation von dem zweiten Netzwerk 20 zu übertragen, um Verbindungen mit dem Netzwerk 18 zu erhalten, in Anbetracht dessen, dass die Benutzerauthentifizierungsinformation in dem ersten Netzwerk 16 zur Hand ist zu der Zeit, zu der das Adress- und Authentifizierungs-Bewerben beginnt. Wenn die Authentifizierungsinformation durch den Server 14 gespeichert wird, wird die USER ID (z.B. IMSI oder NAI) verwendet, um die Authentifizierungsinformation in dem Server zu lokalisieren.
  • Im Betrieb der in 4 dargestellten ersten Ausführungsform beginnt der Betrieb in der oberen linken Ecke bei dem Benutzer 12 und endet in der unteren rechten Ecke, wobei dazwischen bidirektionale Nachrichten plus jede IPSEC-Authentifizierung zwischen dem Benutzer 12 und dem Server 14 übertragen werden. Der Benutzer 12 überträgt eine USER ID durch den optionalen Weiterleiter 24 an den Server 14, der die USER ID an das HLR/VLR-Register 22 des drahtlosen Netzwerks 20 weiterleitet. Das HLR/VLR-Register 22 verwendet die USER ID, um eine Zufallszahl RAND, eine signierte Antwort SRES, und den verschlüsselnden Schlüssel Kc zu erzeugen, die durch die USER ID in dem HLR/VLR-Register identifiziert sind und antwortet durch Senden dieser Information an den Server 14. Die RAND, SRES und Kc sind identisch zu ihrer Verwendung in dem GSM-Telefonsystem. Die Erfindung ist nicht beschränkt auf Benutzerauthentifizierungsinformation, die identisch zu der in GSM-Systemen Verwendeten ist. Durch Ausführen von Authentifizierung zu diesem Zeitpunkt wird der Authentifizierungsvorgang durch das erste Netzwerk 16 vollendet, bevor ein Server 14 anbietet, dem Benutzer 12 eine Endgerätenetzwerkadresse und Zugang zu dem Paketdatennetzwerk 18 bereitzustellen. Diese Abfolge hindert Server 14 daran, anzubieten, eine Endgerätenetzwerkadresse bereitzustellen, bevor der Benutzer 12 authentifiziert ist, was eine effizientere Verwendung von Netzwerkvermögen ist. Der Server 14 überträgt eine Authentifizierung, die unter Verwendung des Schlüssels Kc und der Zufallszahl RAND berechnet worden ist, durch den optionalen Weiterleiter 24 an den Benutzer 12. Der Benutzer 12 verwendet die Smartcard, die darin befindlich ist, die bevorzugt eine SIM enthält, die identisch zu der ist, die in dem GSM-Telefonsystem verwendet wird, die die empfangene RAND bearbeitet, um SRES zu erzeugen. Der Benutzer 12 prüft die berechnete SRES zur Authentifizierung mit der Smartcard, und wenn eine Übereinstimmung gefunden wird, wird die zugewiesene DHCP-angekündigte Adresse für gültig erklärt. Wenn die Authentifizierungsinformation korrekt ist, sendet Benutzer 12 eine Anforderungsnachricht an den Server 14 über den Weiterleiter 24, die die SRES und eine mit dem Schlüssel Kc ausgeführte Authentifizierung enthält. Wenn die Authentifizierungsinformation korrekt ist, antwortet der Server 14 mit einer Antwortnachricht, die mit dem Schlüssel Kc authentifiziert ist. Nachfolgende Nachrichten zwischen dem Benutzer und dem Server werden ebenso unter Verwendung des Schlüssels Kc authentifiziert, wie angezeigt durch bidirektionale "Nachrichten + IPSEC Authentifizierung", die zusätzliche Authentifizierung jeder Nachricht bereitstellt. Diese Aufgabe wird ausgeführt, indem ein IPSEC-Anfangsblock in jeder Nachricht angeordnet wird, um einen Vorteil aus der IPSEC Protokoll-Authentifizierung zu ziehen. Alternativ können Nachrichten verschlüsselt und/oder authentifiziert werden durch das ESP oder durch Verbindungs-spezifische Funktionen wie GSM.
  • Die USER ID und RAND, SRES und Kc Authentifizierungsinformationen benötigen separate Options/Erweiterungs-Felder worin die Information in dem DHCPv6-Protokoll enthalten ist. Die Useridentifikationsinformation einer Smartcard kann zum Beispiel in Plattform-spezifischen Erweiterungen gesendet werden. Es wird identifiziert, dass die Plattform-spezifische Erweiterung Useridentifikationsinformation einer Smartcard oder Authentifizierungsinformation trägt, indem eine Plattformklassenbezeichnererweiterung mit einem geeigneten Identifikationswert verwendet wird. Die derzeitige Version von DHCPv6 spezifiziert keine besonderen Erweiterungen für die Bewerbungsnachrichten, was eine Modifikation der derzeitigen Form von DHCPv6 erfordert, wie vorstehend beschrieben, um Erweiterungen für die Bewerbungsnachrichten zu gestatten, oder alternativ, um eine neue DHCPv6 Zielort-Option zu erzeugen. Die Authentifizierungsinformation verwendet die voreingestellte Identifikationserweiterung und optional den voreingestellten Authentifizierungsalgorithmus, der für DHCPv6 definiert ist, unter Verwendung von Kc als dem geteilten Geheimnis. Wenn die Aufrechterhaltung von Sicherheit von großer Wichtigkeit ist, kann Kc umgewandelt werden durch eine Hash-Funktion, wobei der Hash-Wert anstatt des Schlüssels Kc verwendet wird, um die Geheimheit des Schlüssels Kc aufrechtzuerhalten. Die Angebots-/angekündigten Nachrichten zu authentifizieren ist nützlich dabei, böswilligen Hauptrechnern zu verbieten, als Benutzer oder Server aufzutreten und dadurch die Informationen, die zu den Benutzern und Servern gesendet werden, zu verfälschen.
  • 5 stellt eine zweite Ausführungsform des Verfahrens der vorliegenden Erfindung dar, unter Modifikation des DHCPv4-Protokolls wie vorstehend als Stand der Technik beschrieben in Verbindung mit 1. Ein Weiterleiter kann optional in 5 verwendet werden, der die selbe Funktion ausführt wie der Weiterleiter von 4. 5 ist ähnlich zur 4 in Anbetracht der Informationen, die zu dem DHCPv4-Protokoll hinzugefigt worden sind, was als Stand der Technik beschrieben worden ist und hiernach nicht weiter diskutiert wird.
  • Beim Abbilden eines Authentifizierungsmodells auf DHCP-Nachricht könnten nicht genügend Nachrichten in einer einzelnen DHCP-Protokoll-Runde sein, um alle benötigten Signale zu tragen. Was gesendet werden muss ist die USER ID, eine RAND, die aus der USER ID erzeugt wird, eine SRES in Antwort auf die RAND und letztlich eine Nachricht, die den Ausgang der Authentifizierungskommunikation angibt. Die letzte Nachricht, die den Ausgang des Authentifizierungsprotokolls angibt, ist implizit in einer DHCP-Bestätigung oder -Ablehnung oder -Nachricht eingebettet, so dass sowohl das DHCP-Protokoll als auch das Authentifizierungsprotokoll in Synchronisation miteinander gehalten werden. Die tatsächlichen Authentifizierungsnachrichten, die zwischen dem Benutzer und dem DHCP-Server ausgetauscht werden, sind vorstehend diskutiert worden.
  • Eine dritte Ausführungsform der Erfindung, die in 6 dargestellt ist, die eine Modifikation der Ausführungsform von 5 ist, beinhaltet die Übertragung von Authentifizierungsinformation unter Verwendung der Kommunikationen in mehrfachen DHCP-Protokoll-Runden:
    • 1. Der Benutzer 12 sendet eine DHCP-Bewerbungsnachricht.
    • 2. Der/die DHCP-Server 14 sendet/senden DHCP-Ankündigungsnachrichten.
    • 3. Der Benutzer 12 sendet Benutzeridentifikationsinformation in einer DHCP-Anforderungsnachricht an einen ausgewählten DHCP-Server 14.
    • 4. Der ausgewählte DHCP-Server 14 sendet die Benutzer ID an das HLR/VLR 22 und das HLR/VLR antwortet mit einer RAND, SRES und einem Kc an den ausgewählten Server.
    • 5. Der ausgewählte DHCP-Server 14 sendet die RAND, SRES und den Kc an den Benutzer 12 in einer DHCP-Nachricht.
    • 6. Der Benutzer 12 sendet eine neue DHCP-Bewerbungsnachricht.
    • 7. Der ausgewählte DHCP-Server 14 sendet eine neue DHCP-Ankündigungsnachricht.
    • 8. Der Benutzer 12 wählt denselben Server 14 wie in obigem Schritt 3 aus und sendet SRES-Information in jeder DHCP-Angebotsnachricht an einen anderen DHCP-Server.
    • 9. Der DHCP-Server sendet eine DHCP-Antwortnachricht.
    • 10. Nachrichten und IPSEC Authentifizierung werden zwischen dem Benutzer 12, den Servern 14 und dem HLR/VLR 22 gesendet.
  • Mit der dritten Ausführungsform ist es möglich, einen öffentlichen Schlüssel (public key), einstweilen (nonces), zu senden etc. in Schritt 2 von dem DHCP-Server zu dem Benutzer, vor dem Senden der Benutzeridentifikation in Schritt 3. Jedoch wird es ebenso schwieriger, wenn nicht unmöglich, ohne Modifikationen an dem Protokoll-Code, in Schritt 8 denselben DHCP-Server auszuwählen wie in Schritt 3. Modifizieren des DHCP-Protokoll-Codes sowohl im Benutzer als auch im Server wird die Komplexität der DHCP-Protokollzustände erhöhen. Nachrichten, insbesondere in den Schritten 2, 3, 7 und 8, können verlorengehen, so dass derselbe DHCP-Server nicht zweimal kontaktiert werden kann. Jedoch können die Schritte 6 und 7 ausgelassen werden, wodurch die Wahrscheinlichkeit, eine Nachricht zu verlieren, verringert wird. Diese Schritte können ausgelassen werden, wenn zum Beispiel Schritt 4 einen Grund für die Verweigerung enthält, die in diesem Fall eine spezielle "Authentifizierung fehlgeschlagen" (authentication failed) Option sein kann oder implizit aus den anderen angefügten Optionen gewonnen werden kann. Andererseits kann nur ein DHCP-Server in einem Unternetzwerk verwendet werden, dies hat aber den Nachteil reduzierter Skalierbarkeit.
  • Die DHCP-Nachrichten, die die SIM-Autorisationsnachrichten enthalten, sollten mit einem symmetrischen oder asymmetrischen Schlüssel authentifiziert sein, so dass der DHCP-Server weiss, welche SIM-Autorisation zu welchem Benutzer gehört, um zu verhindern, dass ein Aussenstehender eine gültige SIM-Authentifizierungsinformation in die DHCP-Nachrichten kopiert.
  • Anders als ein DHCPv6-Server ist der DHCPv4-Server nicht in der Lage, eine Registrierung von dem Benutzer zu verlangen. Daher müssen die Lebensdauer der Authentifizierung/Autorisation und die Länge der DHCP-Pachtzeit (lease) in Verbindung miteinander gewählt werden. Da ein Ausgang der Authentifizierung ebenfalls die Möglichkeit der Erzeugung neuer Schlüssel ist, müssen keine Schlüssel zwischen dem DHCP-Server und dem Benutzer verteilt werden. Die Schlüssel, die zur Authentifizierung von DHCP-Nachrichten verwendet werden, müssen während der Pachtzeit nicht gewechselt werden, wenn angenommen wird, dass der Benutzer seine Pachtzeit nicht unendlich erneuern wird. Es können jedoch Schlüssel für andere Zwecke verwendet werden, so wie das Authentifizieren jeder Kommunikation zwischen dem Benutzer und einem Sicherheitsnetzübergang. Das bedeutet, dass ein Lebensdauer-Wert zwischen dem DHCP-Server und dem Benutzer kommuniziert werden muss, wenn der Authentifizierungsvorgang stattfindet. Die Lebensdauer sollte als ein Vielfaches der Pachtzeit-Lebendauer gewählt werden, wobei die Werte des Pachtzeit-Ablaufzeitgebers in Betracht gezogen werden. Wenn die Lebensdauer dabei ist, vor der nächsten Registrierung zu enden, schließt der Benutzer seine NAI in die Wieder-Registrierungsnachricht ein, die den Authentifizierungsvorgang auslöst.
  • Die Verwendung einer Smartcard in beiden Ausführungsformen erlaubt dynamische Authentifizierung und Benutzeridentitätsverwaltung.
  • Die vorliegende Erfindung erleichtert Produkte, die WLAN-Netzwerke beinhalten, indem ein WLAN-Endgerät bereitgestellt wird, das eine zuverlässige, leichte und flexible Authentifizierung aufweist, Autorisation und ein Abrechnungsmodell für ISPs und private Unternehmen. Die Verwendung von Smartcards, um SIM zu implementieren, fügt Wert hinzu als ein Ergebnis der Gewährung einer leichten und sicheren An, den notwendigen geheimen Schlüssel an die Benutzer zu verteilen, um SIM zu berechnen.
  • Die Verwendung von Smartcards, um SIM bereitzustellen, weist einen dreifachen Vorteil auf. Erstens sind Smartcards handfest. Zweitens kann dieselbe Smartcard multiple Mehrwert-Anwendungen aufweisen, zusätzlich zu SIM, so wie Electronic Cash. Drittens unterstützt die Smartcard elektronische Signaturen. Der erste Vorteil ist wichtig für Informationsabteilungen von Unternehmen und von ISPs dabei, den Benutzer mit einer Unfähigkeit zu versehen, die Identität des Benutzers zu duplizieren. Der zweite Vorteil gestattet es Betreibern, Benutzer mit Multifunktionskarten zu versorgen, die Electronic Cash-Zahlung für Netzwerkdienste einsetzen.
  • Drittens stellen elektronische Signaturen ein Verfahren zu Authentifizierung bereit, das auf zukünftige drahtlose Büroanwendungen anwendbar ist.
  • Obwohl die Erfindung in den Ausdrücken ihrer bevorzugten Ausführungsformen beschrieben worden ist, sollte verstanden werden, dass eine Vielzahl von Modifikationen daran ausgeführt werden können, ohne den Schutzumfang der Erfindung, wie sie in den angefügten Ansprüchen definiert wird, zu verlassen. Es ist beabsichtigt, dass alle solche Modifikationen in den Schutzumfang der angefügten Ansprüche fallen.

Claims (26)

  1. Verfahren, um einem Benutzer (12) eine Endgeräte-Netzwerkadresse in einem ersten Netzwerk (16) bereitzustellen, durch das der Benutzer mit einem Datennetzwerk (18) kommuniziert, und Authentifizierung der Verbindung des Benutzers mit dem ersten Netzwerk, umfassend: Übertragen einer Anforderung an mindestens einen Server (14) in dem ersten Netzwerk (16), um die Endgeräte-Netzwerkadresse in dem ersten Netzwerk zu erhalten, die Verbindung des Benutzers mit dem Datennetzwerk (18) bereitstellt, und einer Identifikation des Benutzers in einem zweiten Netzwerk (20), durch das der Benutzer mit dem ersten Netzwerk kommuniziert; Übertragen der Identifikation des Benutzers (12) an das zweite Netzwerk (20); Übertragen von Authentifizierungsinformation des Benutzers, die in dem zweiten Netzwerk gespeichert ist, und die der Identifikation des Benutzers zugeordnet ist, von dem zweiten Netzwerk (20) zu dem ersten Netzwerk (16); Übertragen mindestens einer Ankündigung der Endgeräte-Netzwerkadresse und Information innerhalb der Authentifizierungsinformation von dem ersten Netzwerk (16) an den Benutzer; und Bearbeiten der empfangenen mindestens einen Ankündigung und der empfangenen Information innerhalb der Authentifizierungsinformation und Bestimmen, ob die Authentifizierungsinformation korrekt ist.
  2. Verfahren gemäß Anspruch 1, weiterhin umfassend: Übertragen einer Anforderungsnachricht von dem Benutzer (12) zu dem ersten Netzwerk (16), die einen Server auswählt, um Verbindung des Benutzers mit dem Datennetzwerk (18) bereitzustellen und die Konfigurationsparameter des ersten Netzwerks anfordert, einer Authentifizierung und einer signierten Antwort (SRES), die eine Funktion eines geheimen Parameters (Ki), der dem Benutzer zugeordnet ist, und einer Zufallszahl (RAND) ist, die in der empfangenen Authentifizierungsinformation enthalten ist.
  3. Verfahren gemäß Anspruch 2, weiterhin umfassend: Mit dem ersten Netzwerk (16) bestimmen, ob die signierte Antwort (SRES) korrekt ist und wenn die signierte Antwort korrekt ist, dem Benutzer mit Konfigurationsparametern des ersten Netzwerks (16) und einer Bestätigung, die eine Funktion des verschlüsselnden Schlüssels (Kc) ist, antworten; und worin die an das erste Netzwerk (16) übertragene Authentifizierung eine Funktion eines verschlüsselnden Schlüssels (Kc) ist.
  4. Verfahren gemäß Anspruch 3, worin: nach der Antwort mit der Bestätigung, die eine Funktion eines verschlüssenden Schlüssels (Kc) ist, Kommunikationen zwischen dem Benutzer (12) und dem Netzwerk senden, die mit dem verschlüsselnden Schlüssel authentifiziert sind.
  5. Verfahren gemäß Anspruch 1, worin: das zweite Netzwerk (20) ein drahtloses Netzwerk ist.
  6. Verfahren gemäß Anspruch 1, worin: die Authentifizierungsinformation eine Zufallszahl RAND, eine signierte Antwort SRES, die eine Funktion der Zufallszahl ist, und einen geheimen Bezeichner des Benutzers und einen verschlüsselnden Schlüssel Kc umfasst.
  7. Verfahren gemäß Anspruch 4, worin: jede übertragene Kommunikation einen IPSEC Authentifizierungs-Anfangsblock enthält.
  8. Verfahren gemäß Anspruch 4, worin: jede übertragene Kommunikation verschlüsselt und/oder mit einer Encapsulating Security Payload authentifiziert ist.
  9. Verfahren gemäß Anspruch 5, worin: Authentifizierung des Benutzers in dem ersten Netzwerk (16) ausgeführt wird, bevor dem Benutzer die Endgerätenetzwerkadresse bereitgestellt wird.
  10. Verfahren gemäß Anspruch 5, worin: die Authentifizierungsinformation in dem drahtlosen Netzwerk in einem Register gespeichert ist, das Information des Standortes eines Benutzermobilteils in dem drahtlosen Netzwerk speichert.
  11. Verfahren gemäß Anspruch 1, worin: das Datennetzwerk (18) ein Paketdatennetzwerk ist.
  12. Verfahren gemäß Anspruch 1, worin: der Benutzer (12) in einem drahtlosen Zugangsnetzwerk (19) ist.
  13. Verfahren, um einem Benutzer (12) eine Endgerätenetzwerkadresse in einem ersten Netzwerk (16) bereitzustellen, durch das der Benutzer mit einem Datennetzwerk (18) kommuniziert und Authentifizieren der Verbindung des Benutzers mit dem ersten Netzwerk, umfassend: an mindestens einen Server (14) in dem ersten Netzwerk (16) eine Anforderung senden, um die Endgerätenetzwerkadresse in dem ersten Netzwerk zu erhalten, die eine Verbindung des Benutzers mit dem Paketdatennetzwerk (18) bereitstellt, und eine Identifikation des Benutzers in einem zweiten Netzwerk (20), durch das der Benutzer mit dem ersten Netzwerk kommuniziert; Übertragen mindestens einer Ankündigung der Endgerätenetzwerkadresse und von Information innerhalb von Authentifizierungsinformation, die in dem ersten Netzwerk gespeichert ist, die durch die Identifikation des Benutzers (12) identifiziert ist, von dem ersten Netzwerk (16) an den Benutzer (12); und Bearbeiten der empfangenen mindestens einen Ankündigung und der empfangenen Information innerhalb der Authentifizierungsinformation und Bestimmen, ob die Authentifizierungsinformation korrekt ist.
  14. Verfahren gemäß Anspruch 13, weiterhin umfassend: Übertragen einer Anforderungsnachricht von dem Benutzer (12) zu dem ersten Netzwerk (16), die einen Server auswählt, um eine Verbindung des Benutzers zu dem Datennetzwerk (18) bereitzustellen, und die Konfigurationsparameter des ersten Netzwerks anfordert, einer Authentifizierung und einer signierten Antwort (SRES), die eine Funktion eines geheimen Parameters, der dem Benutzer zugeordnet ist, und einer Zufallszahl (RAND) ist, die in der empfangenen Authentifizierungsinformation enthalten ist.
  15. Verfahren gemäß Anspruch 14, weiterhin umfassend: mit dem ersten Netzwerk (16) bestimmen, ob die signierte Antwort (SRES) korrekt ist und wenn die signierte Antwort korrekt ist, dem Benutzer mit Konfigurationsparametern des ersten Netzwerks und einer Bestätigung, die eine Funktion des verschlüsselnden Schlüssels ist, antworten; und worin die an das erste Netzwerk (16) übertragene Authentifizierung eine Funktion eines verschlüsselnden Schlüssels ist.
  16. Verfahren gemäß Anspruch 15, worin: nach der Antwort mit der Bestätigung, die eine Funktion eines verschlüsselnden Schlüssels ist, Kommunikationen zwischen dem Benutzer (12) und dem Netzwerk übertragen, die mit dem verschlüsselnden Schlüssel authentifiziert sind.
  17. Verfahren gemäß Anspruch 16, worin: das zweite Netzwerk (20) ein drahtloses Netzwerk ist.
  18. Verfahren gemäß Anspruch 13, worin: die Authentifizierungsinformation eine Zufallszahl RAND, eine signierte Antwort SRES, die eine Funktion der Zufallszahl ist, und einen geheimen Bezeichner des Benutzers und einen verschlüsselnden Schlüssel Kc umfasst.
  19. Verfahren gemäß Anspruch 16, worin jede übertragene Kommunikation einen IPSEC-Authentifizierungs-Anfangsblock enthält.
  20. Verfahren gemäß Anspruch 16, worin: jede übertragene Kommunikation verschlüsselt und/oder authentifiziert ist mit Encapsulating Security Payload.
  21. Verfahren gemäß Anspruch 14, worin: das Datennetzwerk ein Paketdatennetzwerk ist.
  22. Verfahren gemäß Anspruch 1, worin: der Benutzer (12) in einem drahtlosen Zugangsnetzwerk (19) ist.
  23. Verfahren, um einem Benutzer (12) eine Endgerätenetzwerkadresse in einem ersten Netzwerk (16) bereitzustellen, durch das der Benutzer mit einem Datennetzwerk (18) kommuniziert und Authentifizieren der Verbindung des Benutzers mit dem ersten Netzwerk, umfassend: an mindestens einen Server (14) in dem ersten Netzwerk (16) eine Anforderung senden, um die Endgerätenetzwerkadresse in dem ersten Netzwerk zu erhalten, die eine Verbindung des Benutzers mit dem Paketdatennetzwerk (18) bereitstellt; Übertragen mindestens einer Ankündigung der Endgerätenetzwerkadresse von dem ersten Netzwerk (16) an den Benutzer (12); Übertragen eines Bezeichners des Benutzers (12) in einem zweiten Netzwerk (20), durch das der Benutzer mit dem ersten Netzwerk (16) kommuniziert, an mindestens einen Server; Übertragen von Information innerhalb von Authentifizierungsinformation, die in dem ersten Netzwerk (16) gespeichert ist, die durch die Identifikation des Benutzers (12) identifiziert wird, an den Benutzer; und dass der Benutzer (12) die empfangene mindestens eine Ankündigung und die empfangene Information innerhalb der Authentifizierungsinformation bearbeitet und bestimmt, ob die Authentifizierungsinformation korrekt ist.
  24. System, um einem Benutzer eine Endgerätenetzwerkadresse bereitzustellen, aufweisend Mittel zur Ausführung der Schritte des Verfahrens der Ansprüche 1 bis 12.
  25. System, um einem Benutzer eine Endgerätenetzwerkadresse bereitzustellen, aufweisend Mittel zur Ausführung der Schritte des Verfahrens der Ansprüche 13 bis 22.
  26. System, um einem Benutzer eine Endgerätenetzwerkadresse bereitzustellen, aufweisend Mittel zur Ausführung der Schritte des Verfahrens des Anspruchs 23.
DE60013588T 1999-05-03 2000-05-03 Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten Expired - Lifetime DE60013588T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US303423 1989-01-30
US30342399A 1999-05-03 1999-05-03
PCT/IB2000/000696 WO2000067446A1 (en) 1999-05-03 2000-05-03 SIM BASED AUTHENTICATION MECHANISM FOR DHCRv4/v6 MESSAGES

Publications (2)

Publication Number Publication Date
DE60013588D1 DE60013588D1 (de) 2004-10-14
DE60013588T2 true DE60013588T2 (de) 2005-07-21

Family

ID=23172017

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60013588T Expired - Lifetime DE60013588T2 (de) 1999-05-03 2000-05-03 Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten

Country Status (6)

Country Link
US (1) US6704789B1 (de)
EP (1) EP1175765B1 (de)
AT (1) ATE275788T1 (de)
AU (1) AU4603100A (de)
DE (1) DE60013588T2 (de)
WO (1) WO2000067446A1 (de)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7327711B2 (en) * 1996-09-05 2008-02-05 Symbol Technologies, Inc. System for digital radio communication between a wireless LAN and a PBX
JP2001359165A (ja) * 2000-06-15 2001-12-26 Mitsubishi Electric Corp モバイル通信システム
US7571308B1 (en) * 2000-06-28 2009-08-04 Microsoft Corporation Method for controlling access to a network by a wireless client
GB2366705B (en) * 2000-08-29 2004-07-14 Motorola Inc Communications system, communications unit and method of operation
DE10043203A1 (de) 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
US7043635B1 (en) * 2000-09-15 2006-05-09 Swivel Secure Limited Embedded synchronous random disposable code identification method and system
US6925297B2 (en) * 2000-09-19 2005-08-02 Nortel Networks, Limited Use of AAA protocols for authentication of physical devices in IP networks
US20020097674A1 (en) * 2000-09-22 2002-07-25 Narad Networks, Inc. System and method for call admission control
US6948000B2 (en) * 2000-09-22 2005-09-20 Narad Networks, Inc. System and method for mapping end user identifiers to access device identifiers
US7072360B2 (en) * 2000-09-22 2006-07-04 Narad Networks, Inc. Network architecture for intelligent network elements
US20020075805A1 (en) * 2000-09-22 2002-06-20 Narad Networks, Inc. Broadband system with QOS based packet handling
US7146630B2 (en) * 2000-09-22 2006-12-05 Narad Networks, Inc. Broadband system with intelligent network devices
US20020085589A1 (en) * 2000-09-22 2002-07-04 Narad Networks, Inc. System and method for assigning network data packet header
US20020075875A1 (en) * 2000-09-22 2002-06-20 Narad Networks, Inc. Broadband system with transmission scheduling and flow control
GB2367213B (en) * 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
US20020085552A1 (en) * 2000-09-22 2002-07-04 Narad Networks, Inc., Westford Massachusetts Broadband system having routing identification assignment
US7027394B2 (en) * 2000-09-22 2006-04-11 Narad Networks, Inc. Broadband system with traffic policing and transmission scheduling
US20020105965A1 (en) * 2000-09-22 2002-08-08 Narad Networks, Inc. Broadband system having routing identification based switching
US7139247B2 (en) * 2000-09-22 2006-11-21 Narad Networks, Inc. Broadband system with topology discovery
US20060282319A1 (en) * 2000-10-12 2006-12-14 Maggio Frank S Method and system for substituting media content
US7058059B1 (en) * 2001-02-20 2006-06-06 At&T Corp. Layer-2 IP networking method and apparatus for mobile hosts
US7069433B1 (en) 2001-02-20 2006-06-27 At&T Corp. Mobile host using a virtual single account client and server system for network access and management
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
US7178027B2 (en) * 2001-03-30 2007-02-13 Capital One-Financial Corp. System and method for securely copying a cryptographic key
US20020169976A1 (en) * 2001-05-10 2002-11-14 Schelling Todd A. Enabling optional system features
FI20011680A7 (fi) * 2001-08-21 2003-02-22 Bookit Oy Ajanvarausmenetelmä ja -järjestelmä
JP4222938B2 (ja) * 2001-08-24 2009-02-12 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー 網事象を調整する装置及び方法
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US7134140B2 (en) * 2001-09-27 2006-11-07 Mcafee, Inc. Token-based authentication for network connection
ES2203295B1 (es) * 2001-10-03 2005-06-01 Airtel Movil, S.A. Sistema y procedimiento de acceso a la informacion de abonado de una red de telefonia movil desde la red tcp/ip.
SE0103337D0 (sv) * 2001-10-08 2001-10-08 Service Factory Sf Ab System and method relating to mobile communications
CA2358732A1 (en) * 2001-10-12 2003-04-12 Wmode Inc. Method and system for remote authentication of a digital wireless device using a personal identification number
US8046577B2 (en) * 2001-12-12 2011-10-25 At&T Corp. Secure IP access protocol framework and supporting network architecture
FI112311B (fi) * 2002-03-15 2003-11-14 Sonera Oyj Tunnistusyksiköttömän tilaajalaitteen laskutus
US7362865B2 (en) * 2002-04-15 2008-04-22 Hewlett-Packard Development Company, L.P. Wireless network system
JP4301770B2 (ja) * 2002-06-10 2009-07-22 健 坂村 接続情報管理システム、接続情報管理方法、icカード、サーバ
DE60221912T2 (de) * 2002-09-21 2008-05-08 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zur anfrage des zugangs eines teilnehmers zu einer anwendung
US7221929B2 (en) * 2002-10-12 2007-05-22 Lg Electronics Inc. Handling charging information in interworking structure of mobile communication and wireless local area networks
DE10259755A1 (de) * 2002-12-19 2004-07-08 Bt Ingnite Gmbh & Co Automatische Terminal- oder Nutzeridentifizierung in Netzwerken
JP3997159B2 (ja) * 2003-01-07 2007-10-24 キヤノン株式会社 アドレス予約装置、方法、および、プログラム
JP4270888B2 (ja) * 2003-01-14 2009-06-03 パナソニック株式会社 Wlan相互接続におけるサービス及びアドレス管理方法
JP4054719B2 (ja) * 2003-05-29 2008-03-05 キヤノン株式会社 特定アドレス使用制限装置
CN100346615C (zh) * 2003-06-17 2007-10-31 华为技术有限公司 目的用户设备接收外部网络数据的方法
US20050018677A1 (en) * 2003-07-23 2005-01-27 Samsung Electronics Co., Ltd. Method and system for generating IP addresses of access terminals and transmitting messages for generation of IP addresses in an IP system
EP1507433B1 (de) * 2003-08-15 2013-02-13 Research In Motion Limited Verfahren und Vorrichtung zum Bestimmen der Verschlüsselungsaktivierungszeit für ein UMTS-Teilnehmergerät
CN1599338A (zh) * 2003-09-19 2005-03-23 皇家飞利浦电子股份有限公司 增强无线局域网安全的方法
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
KR100694045B1 (ko) * 2003-10-23 2007-03-12 삼성전자주식회사 DHCPv4 환경하에서의 핸드오버 방법, 핸드오버 장치및 상기 핸드오버 방법이 저장된 정보저장매체
KR100546778B1 (ko) * 2003-12-17 2006-01-25 한국전자통신연구원 무선 인터넷 가입자 인증 방법 및 그 장치
KR101166765B1 (ko) * 2004-05-07 2012-07-27 엘지전자 주식회사 IPv4 및 IPv6을 지원하기 위한 IP 주소 설정
KR20060047692A (ko) * 2004-05-07 2006-05-18 엘지전자 주식회사 광대역 무선접속 시스템에 적용되는 수면모드 수행 및 제어방법
KR101119372B1 (ko) * 2004-05-10 2012-06-12 엘지전자 주식회사 Ip 연결 설정 방법
US8688834B2 (en) * 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
US7877112B2 (en) * 2004-11-19 2011-01-25 Nextel Communications Inc. SIM card data transfer system and methods
US7711826B2 (en) * 2005-03-22 2010-05-04 Cisco Technology, Inc. Remote survivable DHCP for a DHCP relay agent
FR2887723A1 (fr) * 2005-06-28 2006-12-29 France Telecom Procede d'obtention de donnees de configuration pour un terminal par utilisation du protocole dhcp
TWI286014B (en) * 2005-09-07 2007-08-21 Lite On Technology Corp Data transmission system
KR100818916B1 (ko) * 2005-09-12 2008-04-03 삼성전자주식회사 Ip 주소 할당에 대한 정보 제공을 위한 이동 노드, 데이터 서버 및 ip 주소 할당 정보 제공 방법
US8184643B2 (en) * 2005-09-14 2012-05-22 Ciena Corporation Device, system, and method for transporting data using combined broadband and legacy network infrastructures
US8266696B2 (en) * 2005-11-14 2012-09-11 Cisco Technology, Inc. Techniques for network protection based on subscriber-aware application proxies
US20070129057A1 (en) * 2005-12-06 2007-06-07 Chuan Xu Service provider subsidy lock
US20070149170A1 (en) * 2005-12-23 2007-06-28 Sony Ericsson Mobile Communications Ab Sim authentication for access to a computer/media network
CA2571255C (en) 2005-12-23 2016-05-10 Bce Inc. Wireless device authentication between different networks
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US7624181B2 (en) * 2006-02-24 2009-11-24 Cisco Technology, Inc. Techniques for authenticating a subscriber for an access network using DHCP
US20080166994A1 (en) * 2007-01-04 2008-07-10 Bernard Ku Methods and apparatus to implement an internet multimedia sub-system (IMS) terminal
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US20100188224A1 (en) * 2009-01-26 2010-07-29 Cheng Loong Corporation. Method for searching electronic data and system thereof
FR2947133B1 (fr) * 2009-06-18 2017-09-15 Sagem Comm Procede de controle d'un decodeur et decodeur mettant en ouvre un tel procede.
FI20106032A0 (fi) * 2010-10-06 2010-10-06 Teliasonera Ab Henkilötietojen vahvistaminen tietoliikennejärjestelmän kautta
CN102098674B (zh) * 2010-11-25 2015-08-12 中兴通讯股份有限公司 一种克隆设备的检测方法和装置
US8930481B2 (en) * 2012-12-31 2015-01-06 Huawei Technologies Co., Ltd. Message processing method, terminal and system
TW201705739A (zh) * 2015-07-29 2017-02-01 鴻海精密工業股份有限公司 時間戳記認證系統及方法
WO2017127972A1 (zh) * 2016-01-25 2017-08-03 华为技术有限公司 一种数据传输方法以及宿主机
CN106254204A (zh) * 2016-09-28 2016-12-21 乐视控股(北京)有限公司 云环境下的Ipsec 隧道生命期的配置方法及装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5790548A (en) * 1996-04-18 1998-08-04 Bell Atlantic Network Services, Inc. Universal access multimedia data network
US6373946B1 (en) * 1996-05-31 2002-04-16 Ico Services Ltd. Communication security
US5922049A (en) * 1996-12-09 1999-07-13 Sun Microsystems, Inc. Method for using DHCP and marking to override learned IP addesseses in a network
US5884024A (en) * 1996-12-09 1999-03-16 Sun Microsystems, Inc. Secure DHCP server
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
FR2763769B1 (fr) * 1997-05-21 1999-07-23 Alsthom Cge Alcatel Procede destine a permettre une communication cryptee directe entre deux terminaux de reseau radiomobile et agencements de station et de terminal correspondants
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6061796A (en) * 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US6032260A (en) * 1997-11-13 2000-02-29 Ncr Corporation Method for issuing a new authenticated electronic ticket based on an expired authenticated ticket and distributed server architecture for using same
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
JP3641128B2 (ja) * 1998-02-20 2005-04-20 株式会社東芝 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6407988B1 (en) * 1998-10-06 2002-06-18 At&T Corp. Mobility support services using mobility aware access networks
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device

Also Published As

Publication number Publication date
US6704789B1 (en) 2004-03-09
AU4603100A (en) 2000-11-17
EP1175765A1 (de) 2002-01-30
DE60013588D1 (de) 2004-10-14
WO2000067446A1 (en) 2000-11-09
ATE275788T1 (de) 2004-09-15
EP1175765B1 (de) 2004-09-08

Similar Documents

Publication Publication Date Title
DE60013588T2 (de) Sim authentifizierungsmechanismus für dhcrv4/v6 nachrichten
DE60132591T2 (de) Arrangieren der datenchiffrierung in einem drahtlosen telekommunikationssystem
DE19983405B4 (de) System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60223264T2 (de) System und verfahren zur adressierung eines mobilen gerätes in einem ip-basierten drahtlosen netzwerk
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60116736T2 (de) System und verfahren zur benutzung einer ip-addresse als identifizierung eines drahtlosen endgerätes
DE60114789T2 (de) Authentifizierung in einem paketdatennetz
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE69923942T2 (de) Verfahren und System zur drahtlosen mobile Server und Gleichrangigendiensten mit Dynamische DNS Aktualisierung
DE60035183T2 (de) System und verfahren zur entdeckung von mitteln unter verwendung von mehrfachübertragungsumfang
DE69732567T2 (de) Verfahren und vorrichtung zur anonymen datenübetragung in einem kommunikationssystem
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE602005001542T2 (de) Verfahren und Vorrichtung zur Verwendung eines VPN-Gateways, das als Mobile IP Foreign Agent für mobile Knoten fungiert
DE60307482T2 (de) Authentifizierung zwischen einem zellularen Mobilendgerät und einem kurzreichweitigen Zugangspunkt
DE60308251T2 (de) Vorrichtung zur Bereitstellung von öffentlichen Schlüsselzertifikaten
WO2008019989A1 (de) Verfahren und system zum bereitstellen eines zugangsspezifischen schlüssels
DE602004012233T2 (de) Verfahren zur Bereitstellung eines Signierungsschlüssels zur digitalen Signierung, Überprüfung oder Verschlüsselung von Daten
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1529374A1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE102006038591A1 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE10297253T5 (de) Adressiermechanismus in Mobile-IP

Legal Events

Date Code Title Description
8332 No legal effect for de
8370 Indication related to discontinuation of the patent is to be deleted
8364 No opposition during term of opposition