-
Bei
Mobilfunknetzen der zweiten und dritten Generation, wie beispielsweise
bei UMTS-Netzen, werden Mobilfunknutzern Dienste angeboten, die von
für eine
Diensterbringung optimierten Spezialnetzen erbracht werden. In einer
3GPP Standardisierung wurde mit Release 5 ein derartiges Dienstnetz, ein
sogenanntes INS (IP Multimedia System) definiert. Die Dienstnutzer
werden dabei über
ein Zugangsnetz, wie beispielsweise ein nach dem GPRS-Standard arbeitendes
Kommunikationsnetz, mit dem Dienstnetz verbunden. Es ist in der
Regel für Netzbetreiber
von Interesse, vor einer Diensterbringung die Identität der Dienstnutzer
festzustellen und bei erfolgreicher Authentifizierung diese Nutzer
zu registrieren. Einzelheiten hierzu sind beispielsweise aus den
folgenden Druckschriften bekannt: Standard 3GPP TS 29.061 V5.2.0
2002-06 Interworking between the Public Land Mobile Network supporting
Packet Based Services and Packet Data Networks (release 5) Seiten
42 bis 68 und Standard 3GPP TS 24.228 V5.1.0 2002-06 Signalling
flows for the IP multimedia call control based an SIP and SDP (release
5) Seiten 31 bis 42.
-
In
der deutschen Patentanmeldung
DE 102 23 248 A1 wird ein Authentifizierungsverfahren
zur sicheren Authentifizierung eines Teilnehmers eines Dienstnetzes
der oben genannten Art beschrieben.
-
Ausgehend
von dieser Erfindung ist es eine Aufgabe der vorliegenden Erfindung
ein einfaches und schnelles Verfahren zur Authentifizierung eines Nutzers
bereitzustellen, der Dienste außerhalb
eines Dienstnetzes der oben genannten Art nutzt. Darunter versteht
man beispielsweise Dienste, die keine IMS-Applikationsdienste innerhalb einer
IMS-Verbindung zur Verfügung
stellen. Eine IMS-Verbindung ist durch einen IMS Call-Aufbau, eine Durchführung von IMS-Applikationsdiensten
und einen IMS Call-Abbau gekennzeichnet. Man bezeichnet dies dann
auch als IMS-Session. Solche Dienste-Server, die keine IMS-Applikationsdienste
innerhalb einer IMS-Verbindung zur Verfügung stellen, können sich
dabei in einem IMS Dienstnetz befinden oder außerhalb in einem anderen Dienstnetz.
-
Gelöst wird
diese Aufgabe durch ein erfindungsgemäßes Verfahren gemäß dem unabhängigen Anspruch
1. Weitere Vorteile des erfindungsgemäßen Verfahrens werden in den
Unteransprüchen aufgeführt.
-
Gemäß Anspruch
1 der vorliegenden Erfindung wird ein Verfahren zur Authentifizierung
eines Nutzers eines Kommunikationsendgerätes bei Nutzung eines einen
Dienst organisierenden Dienste-Servers in einem zweiten Dienstnetz
bereit gestellt, bei dem
- – dem Nutzer bei einer Anmeldung
bei einem Betreiber eines ersten Dienstnetzes und/oder bei Registrierung
in einem ersten Dienstnetz ein Kennzeichen (Token) und eine öffentliche
Kennung zugeordnet wird,
- – das
dem Nutzer zugeordnete Kennzeichen und die ihm zugeordnete öffentliche
Kennung an den Dienste-Server in dem zweiten Dienstnetz übertragen
wird,
- – von
dem Kommunikationsendgerät
eine erste Zufallszahl und die öffentliche
Kennung mit einer Authentifizierungs-Aufforderungsnachricht sicher an den
Dienste-Server in dem zweiten Dienstnetz gesendet wird,
- – in
dem Dienste-Server aus der ersten Zufallszahl und dem dem Dienste-Server
für den
Nutzer des Kommunikationsendgerätes
zugesendeten Kennzeichen gemäß eines
ersten funktionalen Zusammenhangs (f1) ein erster Wert berechnet wird und
zusammen mit einer zweiten Zufallszahl an das Kommunikationsendgerät gesendet
wird,
- – in
dem Kommunikationsendgerät
aus der ersten Zufallszahl und dem dem Nutzer des Kommunikationsendgerät zugeordneten
Kennzeichens gemäß des ersten
funktionalen Zusammenhangs (f1) ein zweiter Wert berechnet wird
und dieser mit dem ersten Wert verglichen wird,
- – bei Übereinstimmung
des ersten und des zweiten Wertes die Authentizität des Dienste-Servers erkannt
wird.
-
In
einer bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
berechnet das Kommunikationsendgerät aus der zweiten Zufallszahl
und dem dem Nutzer des Kommunikationsendgerätes zugeordneten Kennzeichen
gemäß eines
zweiten funktionalen Zusammenhangs (f2) einen dritten Wert und sendet
diesen zusammen mit einer Anforderungsnachricht an den Dienste-Server
in dem zweiten Dienstnetz. In dem Dienste-Server wird aus der zweiten
Zufallszahl und dem dem Dienste-Server für den Nutzer des Kommunikationsendgerätes zugesendeten
Kennzeichen gemäß des zweiten
funktionalen Zusammenhangs ein vierter Wert berechnet und dieser
wird mit dem dritten Wert verglichen. Bei Übereinstimmung des dritten
und des vierten Wertes wird sodann die Authentizität des Nutzers
des Kommunikationsendgerätes
erkannt.
-
Mittels
des erfindungsgemäßen Verfahrens kann
ein Teilnehmer eines ersten Dienstnetzes, in welchem der Teilnehmer
sich mittels des in der deutschen Anmeldung
DE 102 23 248 A1 beschriebenen Authentifizierungsverfahrens
registrieren lassen kann, sich nun auch ohne weitere zusätzlich nötige Parameter,
wie beispielsweise einem Passwort, bei einem Dienste-Server in einem
zweiten Dienstnetz authentifizieren und von diesem angebotene Dienste nutzen.
Das erfindungsgemäße Verfahren
ge währleistet
eine gegenseitige sichere Authentifikation des Nutzers und des entsprechenden
Dienste-Servers.
-
Bei
dem zweiten Dienstnetz kann es sich dabei beispielsweise um eine
von dem ersten Dienstnetz vollkommen unabhängige Infrastruktur handeln, in
welchem der Dienste-Server steht. Bei dem Dienste-Server kann es
sich dabei beispielsweise um einen Server eines externen Anbieters
(3rd-party) oder um ein externes Terminal
handeln.
-
In
einer anderen bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
sind das erste und das zweite Dienstnetz identisch. Das bedeutet,
dass der Dienste-Server zwar in dem ersten Dienstnetz, wie beispielsweise
einem IMS-Dienstnetz steht, dort aber nicht innerhalb einer sogenannten
IMS-Verbindung als
IMS-Applikationsserver beteiligt ist.
-
In
einer anderen besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens
wird als erstes Dienstnetz ein Dienstnetz verwendet, das in der
3GPP Standardisierung Release 5 definiert ist, nämlich das sogenannte IMS (IP
Multimedia System). Mittels des erfindungsgemäßen Verfahrens ist es einem
IMS-Nutzer nun möglich
neben subskribierten IMS-Diensten,
für die
der Nutzer sich über
das in der
DE 102
23 248 A1 beschriebene Verfahren authentifiziert, andere
Dienste, wie beispielsweise Terminal-Software Updates, d. h. Aktualisierungen
von Endgeräte-Software
oder eine Selbstadministration einiger IMS-Dienste, wie beispielsweise Buddy-List-Selfadministration über eine
unabhängige
Infrastruktur, d. h. nicht über
IMS, oder unabhängig
von sogenannten IMS-Sessions
sicher vornehmen zu können,
ohne zusätzliche
Authentifizierungsparameter verwenden zu müssen.
-
Erfindungsgemäß wird eine
gegenseitige sichere Authentifikation des Nutzers und des entsprechenden
Dienste-Servers in dem zweiten Dienstnetz gewährleistet, um darüber hinaus
einen sicheren Datenaustausch, beispielsweise für Aktualisierungen von Endgeräte-Software
oder Modifikationen von Nutzer spezifischen Daten zu ermöglichen.
-
Erfindungsgemäß ist das
Verfahren nicht auf eine spezifische Luftschnittstelle, wie beispielsweise GERAN/UTRAN,
zwischen dem Nutzer und dem zweitem Dienstnetz, in welchem der Dienste-Server steht,
beschränkt.
Erfindungsgemäß ist es
möglich, dass
sich beispielsweise ein IMS-Administrations- und/oder ein 3rd-Party Server in einem eigenen Sicherheitsbereich
außerhalb
des IMS-Netzes befindet. Verfügt
beispielsweise der IMS-Administrations- und/oder der 3rd-Party
Server über
einen öffentlichen Internet-Zugang,
wie beispielsweise über
PSTN/RAS (Remote Access Server) so ist mittels des erfindungsgemäßen Verfahrens
trotzdem ein sicherer Zugang zu dem jeweiligen Server und ein sicherer
Datenaustausch zwischen dem jeweiligen Server und dem Nutzer möglich. Voraussetzung
dabei ist lediglich, dass das Kommunikationsendgerät des Nutzers über entsprechende
Zugangs-Technologien verfügt.
-
Ein
großer
Vorteil der vorliegenden Erfindung ist darin zu sehen, dass für den Zugang
zu einem IMS-Administrations- und/oder
3rd-Party Server neben den durch eine IMS-Registrierung erhältliche IMS
Sicherheitsparameter für
den Nutzer keine weiteren festgelegten Parameter nötig sind.
Das bedeutet, dass von dem Nutzer keine zusätzlichen Vorgehensschritte,
wie beispielsweise eine Passwort-Eingabe gefordert werden.
-
Darüber hinaus
ist die Identität,
die der Nutzer für
die Authentifizierung nutzen kann eindeutig.
-
Ferner
ist das erfindungsgemäße Verfahren sehr
einfach ausführbar
und sehr effizient, da bereits parallel bestehende Mechanismen ausgenutzt
werden.
-
Vorzugsweise
wird das Kennzeichen (Token) zu dem Dienste-Server in dem zweiten Dienstnetz, wie
beispielsweise zu einem Administrationsnetz und/oder einem 3rd-Party Server über einen gesicherten Kanal übertragen.
Hierbei können
gängige
Sicherheitsprotokolle, wie sie beispielsweise in IETF (IPsec, TLS)
definiert sind, verwendet werden. Dies kann beispielsweise während einer
Registrierung des Nutzers in dem ersten Dienstnetz, wie beispielsweise
in einem IMS-Netz vonstatten gehen, wobei dabei das Kennzeichen
von dem ersten Dienstnetz zu dem Dienste-Server in dem zweiten Dienstnetz gesendet
wird. Ferner ist es aber auch denkbar, dass der Nutzer bzw. sein
Kommunikationsendgerät
noch kein Kennzeichen zugeordnet bekam, da er noch nicht in dem
ersten Dienstnetz registriert ist. Somit kann der Nutzer des Kommunikationsendgerätes ein Kennzeichen
nicht über
eine erfolgreiche Registrierung in dem ersten Dienstnetz, wie beispielsweise über eine
IMS-Registrierung
erhalten. Um dennoch Dienste des Dienste-Servers in dem zweiten Dienstnetz sicher
in Anspruch nehmen zu können,
wie beispielsweise die Durchführung
eines Herunterladens von Software aus dem zweiten Dienstnetz, kann
dem Nutzer über
einen unabhängigen
sicheren Kanal ein Kennzeichen, eine Nutzer-Identität (User-ID)
und eine entsprechende zur Durchführung des erfindungsgemäßen Verfahrens
nötige
Software übermittelt
werden. Dies kann beispielsweise beim Kauf des Kommunikationsendgerätes und/oder
bei der Anmeldung des Nutzers bei dem Betreiber (Operator) des ersten
Dienst netzes, wie beispielsweise beim IMS-Betreiber vonstatten gehen.
Der den gewünschten
Dienst zur Verfügung
stellende Dienste-Server, für
welchen der Nutzer subskribiert ist, bezieht die nötigen Daten über eine
sichere Verbindung von einer entsprechenden Vermittlungsstelle (S-CSCF) des
ersten Dienstnetzes. Befindet sich der Dienste-Server beispielsweise
in dem IMS-Dienstnetz, so kann die Datenübertragung über ein ISC-Interface erfolgen.
-
Durch
die erfindungsgemäße Vorgehensweise,
das Kennzeichen zwischen dem Nutzer und dem Dienste-Server nur in
verschlüsselter
Form (preshared-key), nämlich
als berechneter Wert, der sich aus einem funktionalen Zusammenhang
zwischen einer Zufallszahl und dem Kennzeichen ergibt, zu verschicken,
kann vermieden werden, dass Antworten auf Authentifizierungs-Anforderungen (Authentifizierungs-Requests)
im Klartext übertragen
werden. Dadurch ist keine Zugangsnetz-Sicherheit erforderlich, was
eine Unabhängigkeit
des Zuganges garantiert.
-
Weitere
Vorteile des erfindungsgemäßen Verfahrens
werden anhand der folgenden Figuren näher erläutert. Es zeigen
-
1 ein
Ausführungsbeispiel
einer Anordnung zur Ausführung
des erfindungsgemäßen Verfahrens
und
-
2 eine
schematische Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
-
In
1 ist
ein Radio-Zugangsnetz, wie beispielsweise ein nach „General
Packet Radio Service"-Vorgaben
arbeitendes Mobilfunknetz GPRS dargestellt, über welches ein Kommunikationsendgerät UE einen
Zugang zu einem Dienstnetz, wie es beispielweise in dem 3GPP Standard
definiert ist, d. h. einem IMS-Netz, erhält. Bei dem Kommunikationsendgerät UE kann
es sich z. B. um Mobiltelefone, Laptops oder Palmtops mit Mobilfunkmodul
handeln. Von dem Dienstnetz IMS ist schematisch lediglich eine Vermittlungsstelle
S-CSCF (CSCF = Call Session Control Function; S-CSCF = Serving-CSCF),
welche mit einem Applikations-Server und einem Heimatregister HSS
verbunden ist, dargestellt. Über
die Datenverbindung
1 werden Informationen zur Nutzerauthentifizierung
zwischen dem Radio-Zugangsnetz und
dem IMS-Netz ausgetauscht. Über
diese Datenverbindung wird die Registrierung des Kommunikationsendgerätes UE in
dem IMS-Netz vorgenommen. Ferner wird dabei auch ein dem Kommunikationsnetz zugeordnetes
Kennzeichen (Token) übertragen.
Der Ablauf der Registrierung wird in der
DE 102 23 248 A1 beschrieben.
-
Mittels
des Kommunikationsendgeräts
UE können
nun über
ein beliebiges Zugangsnetz Dienste außerhalb des IMS-Dienstnetzes
von einem externen Dienste-Server in einem zweiten Dienstnetz, wie z.
B. einem Nutzer-Administrations- und/oder 3rd-Party-Server angefordert
werden. Zuvor ist jedoch eine Authentifizierung des Kommunikationsendgeräts UE in
dem zweiten Dienstnetz vorzunehmen.
-
Wenn
also ein Nutzer eines Kommunikationsendgerätes Dienste eines Dienste-Servers
in einem zweiten Dienstnetz außerhalb
des IMS-Netzes nutzen möchte,
so wird in dem vorliegenden Beispiel dessen Kommunikationsendgerät UE zunächst in das
Radio-Zugangsnetz eingebucht (das Zugangsnetz ist heute oftmals
durch ein sog. „Release 1999"-GPRS-Netzwerk realisiert).
Beim Einbuchen in das GPRS-Netz wird eine an sich bekannte GPRS-Nutzer-Authentifizierung
durchgeführt,
diese nutzt die im Kommunikationsendgerät vorhandene SIM-Karte. Zusätzlich dazu
muss sich das Kommunikationsendgerät beim Dienstnetz IMS re gistrieren und
dabei authentifizieren. Beide Prozeduren, die Anmeldung im Zugangsnetz
GPRS und die Anmeldung (Registrierung) im Dienstnetz INS, werden
z. B. automatisch beim Einschalten des Kommunikationsendgerätes durchgeführt. Einen
wesentlichen Teil des Registrierens bei dem Dienstnetz stellt das
Authentifizieren durch das Dienstnetz dar. Dabei wird während des
Registrierens des Kommunikationsendgerätes bei dem Dienstnetz ein
Nutzer des Kommunikationsendgerätes
authentifiziert. Genau betrachtet wird dabei die SIM-Karte des Nutzers,
welche in das Kommunikationsendgerät eingelegt ist, erkannt und dadurch
auf die Person des Nutzers geschlossen.
-
Gemäß dem in
der
DE 102 23 248
A1 beschriebenen Verfahrens wird
1 dem Nutzer
bei der Registrierung im IMS-Dienstnetz ein Kennzeichen (Token)
zugeordnet. Dieses Kennzeichen (Token) wird dann über eine
Datenverbindung
2 von dem IMS-Dienstnetz zu dem Dienste-Server,
nämlich
beispielsweise einem Nutzer-Administrations-
und/oder 3
rd-Party-Server zusammen mit einer öffentlichen Kennung
des Nutzers übertragen.
-
Mittels
dieser dann im Dienste-Server vorliegenden Parameter wird der Nutzer über eine
Datenverbindung 3 bei dem Dienste-Server authentifiziert. Auch wird darüber ein
sicherer Datenaustausch vorgenommen. Dank des erfindungsgemäßen Verfahrens
besteht keine Notwendigkeit für
den Nutzer spezielle kryptographische Parameter wie PIN, Passwörter, TAN-Nummern
für unterschiedliche
Nutzer-Administrations- und/oder 3rd-Party
Server zur Verfügung zu
stellen. Für
einen Operator des IMS-Dienstnetzes ergibt
sich daraus die Möglichkeit,
Authentifiaktionsdienste für
3rd-Parties seinen Nutzern bzw. Kunden anzubieten.
-
Abhängig von
Daten, die es zu übermitteln gilt,
können
unterschiedliche Sicherheitsstufen angewendet werden, beispielsweise
eine einseitige Authentifikation, d. h. nur eine Server- oder Nutzer-Authentifizierung
oder eine gegenseitige Authentifizierung, Integritätsschutz
beim Herunterladen von Software und/oder Integritätsschutz
und Vertraulichkeit (Confidentiality) bei einer Aktualisierung eines Adressbuches,
d. h. von sogenannten Listen-Updates, wie beispielsweise einer sogenannten
Buddy-List.
-
Ferner
wird es durch das vorliegende erfindungsgemäße Verfahren möglich, eine
schnelle Erweiterung und Einbringung eines Authentifizierungs-Verfahrens
auf neue Nutzer-Administrations- und/oder
3rd-Party-Server. Keine speziellen Parameter
müssen
seitens der bestehenden IMS Infrastruktur zusätzlich generiert werden.
-
In 2 ist
dargestellt, wie eine gegenseitige Authentifizierung (Server und
Nutzer) bei einem Dienste-Server in einem zweiten Dienstnetz bei
vorheriger Registrierung in einem IMS-Dienstnetz erfolgt. Das Ausführungsbeispiel
beginnt mit der Einbuchung (Schritt 1) eines Kommunikationsendgerätes UE in
ein Zugangsnetz, in diesem Beispiel in ein GPRS Zugangsnetz. Dabei
wird eine GPRS-Nutzer-Authentifizierung ausgeführt. Ist diese erfolgreich,
wird ein sog. „PDP
Context" erzeugt
und von einer Gateway-GPRS-Vermittlungsstelle GGSN (GGSN = Gateway
GPRS Support Node) eine temporäre
IP-Adresse IP-SRC-UE an das Kommunikationsendgerät UE vergeben. Diese IP-Adresse
erlaubt es anderen Netzteilnehmern, IP-Pakete an das Kommunikationsendgerät zu schicken.
-
Nach
erfolgreicher Aktivierung eines PDP-Kontextes als Voraussetzung
für den
Zugang zu IMS Diensten, muss der Nutzer in dem IMS-Dienstnetz registriert
werden. Dies verläuft
nach dem in der
DE
102 23 248 A1 beschriebenen Verfahren. Während des
Authentifizierungs-Vorgangs wird dem Nutzer ein Kennzeichen zugeordnet
und ihm übermittelt.
Dies erfolgt bei einer RE-Registrierung
in einer 200 OK Response. Die Registrierung wird fortgesetzt und
der Nutzer erfolgreich authentifiziert. Dies wird dem Nutzer in
einer sogenannten 200 OK Nachricht bestätigt.
-
In
dem folgenden Schritt (Schritt 6) übermittelt. die Vermittlungsstelle
S-CSCF das Kennzeichen (Token) sowie eine öffentliche Kennung (User-ID)
an den Administrations- und/oder 3rd-Party-Server, wofür der Nutzer
eine Autorisierung besitzt. Dieses Kennzeichen kann als gemeinsames
Geheimnis verwendet werden und ermöglicht dem Dienste-Server, den
entsprechenden Nutzer zu authentifizieren bzw. dem Nutzer, den Server
zu authentifizieren. Dieses Kennzeichen kann auch als Basis für weitere
Schlüssel
und Algorithmen, die davon abgeleitet werden, dienen. Das bedeutet,
dass die Authentifizierung bei dem Dienste-Server Nutzer-spezifisch
realisiert wird. Es muss dabei gewährleistet sein, dass die Datenverbindung
zwischen dem IMS-Dienstnetz und dem Dienste-Server, d. h. hier die
Datenverbindung zwischen der Vermittlungsstelle S-CSCF des IMS-Dienstnetzes und
dem Server gesichert ist. Hierzu können gängige Sicherheits-Protokolle
verwendet werden, wie sie beispielsweise die IETF (Internet Engineering
Task Force) definiert hat, wie beispielsweise IPsec (IP Security)
oder TLS (Transport Layer Security).
-
Nach
der erfolgreichen Registrierung des Nutzers in dem IMS-Dienstnetzes können beispielsweise
IMS-Sessions durchgeführt
werden und anschließend
wieder abgebaut werden (Schritte 7). Letztlich kann sich
der Nutzer wieder de-registrieren und den PDP-Kontext abbauen (Schritte 8 und 9).
-
Der
in den Schritten 1 bis 9 beschriebene Vorgang
beschreibt eine PDP-Kontext-Aktivierung und anschließende IMS
Registrierung sowie einen IMS-Session-Auf- und Abbau sowie eine
PDP-Kontext-Deaktivierung.
Die sich nun anschließende
Authentifikation von einem Administrations- und/oder 3rd-Party-Server
ist ein unabhängiger
Prozess. Das bedeutet, dass das Kennzeichen (Token), dass bei jeder
Registrierung bzw. Re-Registrierung
neu generiert wird, häufiger übertragen
wird. Das ist notwendig, damit das Kennzeichen (Token) im Kommunikationsendgerät UE sowie
auf den Administrations- und/oder 3rd-Party-Servern
konsistent ist. Um ein zu häufiges Übertragen
des Kennzeichens, wie in Schritt 6 beschrieben, zu vermeiden,
ist es ebenfalls möglich,
das Kennzeichen (Token) erst mit einer IMS-De-Registrierung an die
Administrations- und/oder
3rd-Party-Server zu schicken. In diesem
Fall wäre
aber eine parallele IMS-Registrierung und Nutzer-Authentifizierung bei einem Administrations- und/oder
3rd-Party-Server
nicht möglich.
Erfindungsgemäß ist es
daher konfigurierbar, wann das Kennzeichen (Token) übertragen
wird, d. h. bei (Re)-Registrierung bzw. bei IMS-Deregistrierung.
-
Im
vorliegenden Beispiel wird davon ausgegangen, dass der Nutzer sich
mit seinem Kommunikationsendgerät
UE über
das PSTN (Public Switched Telephone Network) an einem RAS (Remote
Access Server) einwählt,
um eine Internet-Verbindung zu erhalten. Dies setzt voraus, dass
das UE hierzu in der Lage ist, neben einem GPRS Zugang, wie er für IMS Dienste
notwendig ist, weitere Zugangsmöglichkeiten
zu unterstützen.
Darüber
hinaus muss gewährleistet
sein, das der Administrations- und/oder 3rd-Party-Server über das öffentliche Internet erreichbar
ist. Es ist aber ebenfalls denkbar, dass der Administrations- und/oder
3rd-Party-Server beispielsweise nur über einen
GPRS-Zugang erreichbar ist. Dies ist möglich, da erfindungsgemäß keine
speziellen Sicherheits-Anforderungen an den Server bestehen, die
vom Zugangsnetz abhängig
sind.
-
In
Schritt 11 wird in dem Kommunikationsendgerät UE eine
Zufallszahl RAND1 generiert. Diese wird benötigt, um das zuvor ausgetauschte
Kennzeichen (Token) nicht im Klartext übertragen zu müssen, da
aufgrund der Zugangsnetz-Unabhängigkeit erfindungsgemäß keine
Sicherheits-Anforderungen an das Zugangsnetz gestellt werden. In 12 wird eine http-Verbindung zu dem Administrations- und/oder
3rd-Party-Server etabliert. Das Kommunikationsendgerät UE generiert
eine http-Anforderungsnachricht
http-REQ an den Administrations- und/oder 3rd-Party-Server, wobei die Zufallszahl RAND1,
eine Nutzer-Kennung sowie eine Auth-Req-Flag (Authentication-Request-Flag) übermittelt
wird. Das Auth_Req-Flag wird benötigt,
um diesen http-Request als Authentifikationsanfrage zu identifizieren (Message-Type).
Die Nutzer-Kennung wird benötigt, damit
der Administrations- und/oder 3rd-Party-Server das
korrespondierende Kennzeichen (Token) für die weitere Authentifikation
zugrunde legen kann. Diese Nachricht entspricht einer Aufforderungsnachricht (Challenge-Nachricht)
zur Authentifizierung des Servers. Nach Erhalt der Aufforderung
kann der Administrations- und/oder 3rd-Party-Server
bereits eine Zufallszahl RAND2 generieren, die er für die Nutzer-Authentifizierung
verwendet. In einer Antwort-Nachricht (Response) erhält das Kommunikationsendgerät UE nun
einen Wert f1 (Kennzeichen, RAND1), der sich über einen eindeutigen funktionalen
Zusammenhang f1 aus dem Kennzeichen (Token) sowie der Zufallszahl
RAND1 ergibt. Wie bereits erwähnt
kann somit verhindert werden, dass das Kennzeichen (Token) im Klartext übertragen
werden muss. Ein derartiger funktionaler Zusammenhang f1 kann beispielsweise
durch MD5 (IETF RFC2403) oder SHA-1 (IETF RFC2404) realisiert werden.
Darüber
hinaus wird die Zufallszahl RAND2 übertragen, um die Nutzer-Authentifizierung
zu initiieren (Challenge für
User-Authentication).
Das Kommunikationsendgerät
UE berechnet über
den funktionalen Zusammenhang f1 aus RAND1 und dem ihm von dem IMS
zugeordneten Kennzeichen Kennzeichen* einen zweiten Wert f1 (Kennzeichen*,
RAND1) und vergleicht diesen mit dem ersten zu ihm übertragenen Wert
f1 (Kennzeichen, RAND1). Bei Übereinstimmung
ist erkannt, dass das an den Administrations- und/oder 3rd-Party-Server übertragene
Kennzeichen gleich ist dem dem Kommunikationsendgerät UE zugeordneten
Kennzeichen. Somit ist der Administrations- und/oder 3rd-Party-Server
authentifiziert, da nur er diesen Wert berechnen kann, denn nur
er kennt das Kennzeichen. Für
Confidentiality und/oder Integritätsschutz späterer Nutzdaten kann bei Bedarf
das Kommunikationsendgerät
UE hieraus einen weiteren Schlüssel
generieren, der sich folgendermaßen zusammensetzen kann:
Schlüssel = f
(Kennzeichen, RAND1, RAND2)
-
Hierfür kann beispielsweise
der MD5 Algorithmus angewendet werden.
-
Das
Kommunikationsendgerät
UE übermittelt
nun seinerseits das verschlüsselte
Kennzeichen (Token) als funktionaler Zusammenhang von Kennzeichen
und der Zufallszahl RAND2 an den Administrations- und/oder 3rd-Party-Server zusammen mit der Nut zer-Kennung
und einem request flag, um diesen http-Request von dem im 12.
Schritt beschriebenen unterscheidbar zu machen.
-
Der
Administrations- und/oder 3rd-Party-Server
selbst kann nun die Authentifizierung des Nutzers mit dem Kommunikationsendgerät UE vornehmen und
bei Bedarf ebenfalls einen Schlüssel
generieren, wie es in Schritt 15 beschrieben ist.
-
Letztendlich
werden dann Nutzer-spezifische Daten von dem Administrations- und/oder 3rd-Party-Server heruntergeladen, wie beispielsweise Selfadministration
Data oder SW-Upgrades. Dabei können
gegebenenfalls ein Integritätsschutz
bzw. Vertraulichkeits-Mechanismen unter Verwendung eines Schlüssels verwendet
werden. Hierzu können bestehende
Mechanismen und Algorithmen verwendet werden, wie sie die IETF bzw.
auch die 3GPP vorsieht.