DE19821911A1 - Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz - Google Patents

Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz

Info

Publication number
DE19821911A1
DE19821911A1 DE1998121911 DE19821911A DE19821911A1 DE 19821911 A1 DE19821911 A1 DE 19821911A1 DE 1998121911 DE1998121911 DE 1998121911 DE 19821911 A DE19821911 A DE 19821911A DE 19821911 A1 DE19821911 A1 DE 19821911A1
Authority
DE
Germany
Prior art keywords
agent
operator
manager
omc1
nmc1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1998121911
Other languages
English (en)
Other versions
DE19821911C2 (de
Inventor
Lucian Hirsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE1998121911 priority Critical patent/DE19821911C2/de
Publication of DE19821911A1 publication Critical patent/DE19821911A1/de
Application granted granted Critical
Publication of DE19821911C2 publication Critical patent/DE19821911C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung geht davon aus, daß über die Manager-Agent-Schnittstelle (SSAB) eine Authentifizierungsprozedur bei Zugriffen eines Operators auf den Manager (NMC1) durchgeführt wird. Gemäß dem Gegenstand der Erfindung wird dabei vom Manager (NMC1) ein verschlüsseltes Operator-Paßwort (oppw) anhand einer vom Agent (OMC1) übersandten Geheiminformation (Sstr) gebildet und zusammen mit einem Operator-Namen (opna) zwischen Manager (NMC1) und Agent (OMC1) übertragen. Vom Agent (OMC1) wird anschließend eine Zugriffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator-Paßwortes (oppw) und des Operator-Namens (opna) überprüft, sowie das Ergebnis der Überprüfung dem Manager (NMC1) übermittelt.

Description

Die Erfindung betrifft ein Verfahren und ein Kommunikations­ system zur Zugriffskontrolle durch ein mehrere Managementebe­ nen aufweisendes Managementnetz, das zumindest eine Manager- Agent-Schnittstelle zwischen einem Manager einer Manage­ mentebene und einem Agent einer darunterliegenden Management­ ebene aufweist, über die eine Authentifizierungsprozedur bei Zugriffen eines Operators auf den Manager durchgeführt wird.
Die Prinzipien eines Managementnetzes, die auch als TMN-Prin­ zipien (Telecommunications Management Network) bezeichnet werden, definieren mehrere Managementebenen für das Manage­ ment eines Kommunikationssystems - beispielsweise eines Mo­ bil-Kommunikationssystems -, wobei nahezu jede Ebene eine duale Manager-Agent-Funktionalität innehat. Die jeweilige Ma­ nagementebene - mit Ausnahme der untersten Ebene - hat eine Manager-Funktion für die darunterliegende Managementebene so­ wie - mit Ausnahme der obersten Ebene - eine Agent-Funktion für die nächsthöhere Managementebene.
Üblicherweise gibt es mehrere TMN-Funktionsbereiche, die den Zustand gemanagter Objekte kennzeichnen. Ein gemanagtes Ob­ jekt ist eine logische Abstraktion einer Ressource im Kommu­ nikationssystem. Hierbei wird unterschieden zwischen hardwa­ rebezogenen gemanagten Objekten, die eine herstellerspezifi­ sche Realisierung einer Funktion beschreiben, und funktions­ bezogenen gemanagten Objekten, bei denen es sich jeweils um die Abstraktion einer herstellerunabhängigen Funktionalität handelt. In einer objekt-orientierten Umgebung - wie zwischen Manager und Agent in einem Mobil-Kommunikationssystem - wird jede Agent-Funktionalität von einem bestimmten Objekt - als Instanz einer Objektklasse - bereitgestellt, das sowohl dem Agent als auch dem Manager bekannt ist.
Einer der TMN-Funktionsbereiche betrifft das Management si­ cherheitsrelevanter Funktionen (security management), von de­ nen die Zugriffskontrolle im Kommunikationssystem eine wich­ tige Aufgabe darstellt. Sie stellt sicher, daß eine Zugriffs­ möglichkeit nur berechtigten Operatoren eines externen Sy­ stems erlaubt ist. Für einen Informationsaustausch zwischen offenen Systemen definieren die Standards ITU T X.217 und ITU-T X.227 die Funktionalität - Dienste und Protokolle - auf Anwendungsebene. Für den Verbindungsaufbau zwischen Manager und Agent verwendet derjenige, der die Initiative zum Aufbau ergreift (association initiator), einen bestimmten Dienst (A-ASSOCIATE) gemäß der ITU T X.217. Gemäß dem Standard ITU-T X.710 ist in einem Parameter (user information) dieses Dien­ stes eine globale Information (access control) vorgesehen, um die Zugriffsberechtigung für die gesamte Informationsübertra­ gung zwischen den Diensteanwendern während einer Kommunikati­ onsverbindung zu definieren. Wenn diese systembezogene Zu­ griffskontrolle über die Manager-Agent-Schnittstelle erfolg­ reich ist, gelten gleiche Zugriffsrechte für alle Operatoren, die die Verbindung nutzen. Üblicherweise wendet man eine Au­ thentifizierungsprozedur für die Zugriffskontrolle bei Zu­ griffen von Operatoren externer Systeme an.
Es ist Aufgabe der Erfindung, ein Verfahren und ein Kommuni­ kationssystem zur individuellen, operatorbezogenen Zugriffs­ kontrolle an der Manager-Agent-Schnittstelle anzugeben.
Diese Aufgabe wird gemäß der Erfindung hinsichtlich des Ver­ fahrens durch die Merkmale des Patentanspruchs 1 und hin­ sichtlich des Kommunikationssystems durch die Merkmale des Patentanspruchs 6 gelöst. Weiterbildungen der Erfindung sind den Unteransprüchen zu entnehmen.
Ausgehend von einer Authentifizierungsprozedur bei Zugriffen eines Operators auf den Manager über die Manager-Agent- Schnittstelle wird dabei gemäß dem Gegenstand der Erfindung vom Manager ein verschlüsseltes Operator-Paßwort anhand einer vom Agent übersandten Geheiminformation gebildet und zusammen mit einem Operator-Namen zwischen Manager und Agent übertra­ gen. Vom Agent wird anschließend eine Zugriffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator- Paßwortes und des Operator-Namens überprüft, sowie das Ergeb­ nis der Überprüfung dem Manager übermittelt.
Der Erfindungsgegenstand bietet den Vorteil einer operatorbe­ zogenen Zugriffskontrolle, die im Gegensatz zur systembezoge­ nen Zugriffskontrolle individuell für jeden Operator unabhän­ gig von anderen Operatoren für die gesamte Lebensdauer der Kommunikationsverbindung zwischen Manager und Agent einstell­ bar ist. Nur einem erfindungsgemäß authentifizierten Operator ist die Zugriffsmöglichkeit erlaubt. Ein weiterer Vorteil der Erfindung ist die Paßwort-Verschlüsselung unter Kontrolle des Agent, der die Geheiminformation zur individuellen Verschlüs­ selung liefert, in Kombination mit der verschlüsselten Paß­ wort-Übertragung über die Manager-Agent-Schnittstelle. Die operatorbezogene Zugriffskontrolle gemäß der Erfindung braucht darüber hinaus nicht bei jeder Nutzung eines CMISE (Common Management Information Service Element) - Dienstes zur Informationsübertragung aufgerufen zu werden.
Gemäß einer Weiterbildung der Erfindung wird vom Agent und vom Manager ein identischer Verschlüsselungsalgorithmus für die Authentifizierungsprozedur verwendet. Dies hat den Vor­ teil einer einheitlichen Behandlung der Authentifizierung für die Zugriffskontrolle zu beiden Seiten der Manager-Agent- Schnittstelle.
Gemäß einer anderen Weiterbildung der Erfindung wird vom Agent die Überprüfung der Zugriffsberechtigung des Operators durch Vergleich des verschlüsselt empfangenen Operator-Paß­ wortes und Operator-Namens mit jeweils in einer Tabelle ge­ speicherten Operator-Paßworten und Operator-Namen zugriffsbe­ rechtigter Operatoren durchgeführt.
Vorzugsweise wird vor der Authentifizierungsprozedur eine An­ forderung vom Manager zum Aufbau einer Kommunikationsverbin­ dung an den Agent gerichtet. Damit ist aus Sicht des Manage­ ments sicherheitsrelevanter Funktionen eine Verbindung zwi­ schen Manager und Agent hergestellt, bevor die nachfolgende operatorbezogene Zugriffskontrolle gemäß den Erfindungsmerk­ malen ablaufen kann.
Das Kommunikationssystem gemäß der Erfindung zur Zugriffskon­ trolle durch ein mehrere Managementebenen aufweisendes Mana­ gementnetz weist auf
  • - Mittel im Manager zur Bildung eines verschlüsselten Opera­ tor-Paßwortes anhand einer vom Agent übersandten Geheiminfor­ mation und Mittel im Manager zur Übertragung des Operator- Paßwortes zusammen mit einem Operator-Namen zum Agent,
  • - Mittel im Agent zur Überprüfung einer Zugriffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator- Paßwortes und des Operator-Namens und Mittel zur Übermittlung des Ergebnisses der Überprüfung an den Manager.
Nachstehend wird die Erfindung anhand eines Ausführungsbei­ spiels unter Bezugnahme auf die Figuren näher erläutert. Es zeigen
Fig. 1 das Blockschaltbild eines Managementnetzes für ein Mobil-Kommunikationssystem mit Manager-Agent- Schnittstelle zwischen jeweils einem Netzmanage­ mentzentrum und einem Betriebs- und Wartungs­ zentrum,
Fig. 2 das Blockschaltbild des Managementnetzes gemäß Fig. 1 mit Manager-Agent-Schnittstelle zwischen einem Basisstationssystem und einem Betriebs- und Wartungszentrum, und
Fig. 3 den Nachrichtenfluß zwischen Manager und Agent zur Steuerung der Authentifizierungsprozedur für die Zugriffskontrolle gemäß der Erfindung.
Das Ausführungsbeispiel beschreibt die Erfindung anhand eines TMN-Konzepts für das Management eines Mobil-Kommunikationssy­ stems, das beispielsweise Netzeinrichtungen eines Mobilfunk­ netzes nach dem GSM-Standard aufweist. Die Erfindung ist we­ der auf den GSM-Standard noch auf Mobilfunknetze beschränkt, sondern läßt sich auf Telekommunikationsnetze jeder Art und Betriebsweise, die ein TMN-Managementnetz nutzen, anwenden.
Ein Mobil-Kommunikationssystem ist ein hierarchisch ge­ gliedertes System verschiedener Netzeinrichtungen, bei dem die unterste Hierarchiestufe von den Mobilstationen gebildet wird. Diese Mobilstationen kommunizieren über eine Funk­ schnittstelle mit die nächste Hierarchieebene bildenden Funk­ stationen, die als Basisstationen bezeichnet werden. Die bei­ spielsweise Mobilstationen in einem Funkbereich einer Funk­ zelle versorgenden Basisstationen sind vorzugsweise zur Ab­ deckung eines größeren Funkgebiets zusammengefaßt und mit übergeordneten Netzeinrichtungen, den Basisstationssteuerun­ gen verbunden. Die Basisstationen und Basisstationssteuerun­ gen gehören zu einem Basisstationssystem (Base Station Subsy­ stem) des Mobil-Kommunikationssystems. Die Basisstations­ steuerungen kommunizieren über definierte Schnittstellen mit einer oder mehreren Vermittlungseinrichtungen, den Mobilver­ mittlungsstellen, über die u. a. auch der Übergang zu anderen Kommunikationsnetzen erfolgt. Die Mobilvermittlungsstellen bilden gemeinsam mit einer Mehrzahl von Datenbasen das Ver­ mittlungssystem (Switching Subsystem) des Mobil-Kommunikati­ onssystems.
Neben den obigen Netzeinrichtungen existieren ein oder mehre­ re Betriebs- und Wartungszentren (Operation and Maintenance Centers), die u. a. zum Konfigurieren und Überwachen der Netz­ einrichtungen dient. Überwachungsmaßnahmen und Konfigurie­ rungsmaßnahmen werden hierzu meist vom Betriebs- und War­ tungszentrum aus ferngesteuert, die üblicherweise im Bereich der Mobilvermittlungsstellen angeordnet sind. Ein Betriebs- und Wartungszentrum kommuniziert dabei jeweils mit einem Ba­ sisstationssystem oder Vermittlungssystem über eine defi­ nierte Schnittstelle. Mehrere TMN-Funktionsbereiche existie­ ren, die jeweils den Zustand von gemanagten Objekten kenn­ zeichnen. Ein gemanagtes Objekt ist eine logische Abstraktion einer physikalischen Ressource - d. h. einer Netzeinrichtung - im Mobil-Kommunikationssystem. Hierbei wird unterschieden zwischen hardwarebezogenen gemanagten Objekten, die eine her­ stellerspezifische Realisierung einer Funktion beschreiben, und funktionsbezogenen gemanagten Objekten, bei denen es sich jeweils um die Abstraktion einer herstellerunabhängigen Funk­ tionalität handelt.
Für das Management des Mobil-Kommunikationssystems definieren die TMN-Prinzipien mehrere Ebenen ("Levels"), von denen im vorliegenden Beispiel drei Ebenen unter Bezugnahme auf die Fig. 1 und Fig. 2 nachfolgend erläutert werden.
Die Fig. 1 und Fig. 2 zeigen jeweils drei Ebenen A, B und C des Managementnetzes, von denen die Managementebene C die Netz­ einrichtungsebene ("Network Element Level") mit mehreren Ba­ sisstationssystemen BSS11, BSS12. . .BSS1N sowie BSS21, BSS22. . .BSS2M enthält. Die Managementebene B kennzeichnet die Netzeinrichtungsmanagementebene ("Network Element Management Level"), in der Betriebs- und Wartungszentren OMC1 und OMC2 jeweils die herstellerspezifische Managementfunktionalität für einzelne Subsysteme, wie im vorliegenden Beispiel das Be­ triebs- und Wartungszentrum OMC1 für die Basisstationssysteme BSS11, BSS12. . .BSS1N und das Betriebs- und Wartungszentrum OMC2 für die Basisstationssysteme BSS21, BSS22. . .BSS2M, be­ reitstellen. Die Managementebene A kennzeichnet die Netzmana­ gementebene ("Network Management Level"), in der Netzmanage­ mentzentren NMC1 und NMC2 jeweils eine integrierte, vom Her­ steller unabhängige Management-Funktionalität realisieren. Dabei können mehrere Netzmanagementzentren einen Zugriff zu derselben Netzeinrichtung der nächstniedrigeren Management­ ebene B haben, im vorliegenden Beispiel die Netzmanagement­ zentren NMC1 und NMC2 der nächsthöheren Managementebene C zum Betriebs- und Wartungszentrum OMC1 der nächstniedrigeren Ma­ nagementebene B. Zwischen den Netzeinrichtungen unterschied­ licher Managementebenen sind definierte Schnittstellen zur Informationsübertragung vorgesehen.
Der Unterschied in den Darstellungen gemäß den Fig. 1 und Fig. 2 liegt darin, daß in Fig. 1 eine Manager-Agent-Beziehung zwi­ schen dem Netzmanagementzentrum NMC1 (Manager) und dem Be­ triebs- und Wartungszentrum OMC1 (Agent) für den Nachrichten­ fluß über eine Schnittstelle SSAB sowie in Fig. 2 zwischen dem Betriebs- und Wartungszentrum OMC1 (Manager) und dem Basis­ stationssystem BSS11 (Agent) für den Nachrichtenfluß über ei­ ne Schnittstelle SSBC existiert.
Im Rahmen der TMN-Funktionsbereiche sieht das Management si­ cherheitsrelevanter Funktionen (security management) vor, die Zugriffskontrolle im beispielhaft beschriebenen Mobil-Kommu­ nikationssystem bei Zugriffen von Operatoren externer Systeme einheitlich zu gestalten. Die Operatoren - die nicht näher dargestellt sind, da sie nicht unmittelbar Einrichtungen des Mobil-Kommunikationssystems oder des Managementnetzes bil­ den - können im vorliegenden Beispiel als Manager-Operator auf das Netzmanagementzentrum NMC1 oder auf das Betriebs- und Wartungszentrum OMC1 einwirken. Die Standards ITU-T X.217 und ITU-T X.227 beschreiben die Funktionalität - Dienste und Pro­ tokolle - eines ACSE-Elements (Association Control Service Element) zur Informationsübertragung auf Anwendungsebene zwi­ schen offenen Systemen. Demnach wird ein ACSE-Dienst A-ASSOOIATE jedesmal dann aufgerufen, wenn ein Verbindungs­ aufbau zwischen dem Anwender "Netzmanagementzentrum" und dem Anwender "Betriebs- und Wartungszentrum" gewünscht ist. Für die Zugriffskontrolle erfolgt eine Authentifizierungsproze­ dur, die sicherstellt, daß nur berechtigten Operatoren die Zugriffsmöglichkeit erlaubt ist. Diese operatorbezogene Zu­ griffskontrolle in dem hierarchisch aufgebauten Management­ netz wird nachfolgend an einem Beispiel erläutert.
Fig. 3 zeigt den Nachrichtenfluß zwischen einem Manager MAN - im Beispiel gemäß der Fig. 1 dem Netzmanagementzentrum NMC1 oder im Beispiel der Fig. 2 dem Betriebs- und Wartungszentrum OMC1 - und einem Agent AG - im Beispiel der Fig. 1 dem Be­ triebs- und Wartungszentrum OMC1 oder im Beispiel der Fig. 2 dem Basisstationssystem BSS11 -, wobei die Nachrichten über die jeweiligen Manager-Agent-Schnittstellen SSAB und SSBC ge­ mäß den Darstellungen in Fig. 1 und Fig. 2 gesendet und empfan­ gen werden. Sowohl der Manager MAN als auch der Agent AG wei­ sen eine Steuereinrichtung M-CTR bzw. A-CTR und eine Sende/Empfangs­ einrichtung M-TRX bzw. A-TRX auf, die die nachfolgen­ den steuerungstechnischen und übertragungstechnischen Funk­ tionen in der jeweiligen Netzeinrichtung bei der Authentifi­ zierungsprozedur zur Zugriffskontrolle übernehmen. Außerdem weist der Agent AG eine Tabelle TAB auf, die zur Überprüfung der Zugriffsberechtigung der Operatoren herangezogen wird.
Der Nachrichtenfluß für die Authentifizierungsprozedur er­ folgt vorzugsweise mit einem standardisierten M-ACTION Dienst, der eine gemäß ITU-T X.710 definierte generische CMISE-standardisierte (Common Management Information Service Element) Prozedur ist. Gestartet wird die Nachrichtenübertra­ gung vor der eigentlichen Authentifizierungsprozedur mit ei­ ner Anforderung ASS (association establishment), die bei­ spielsweise vom Netzmanagementzentrum NMC1 (Manager MAN) zum Aufbau einer logischen Kommunikationsverbindung (association) an das Betriebs- und Wartungszentrum OMC1 (Agent AG) gerich­ tet ist. Die Anforderung ASS enthält im Parameter des A-ASSOCIATE Dienstes gemäß der ITU-T X.217 eine Information (access control) enthalten, die als globaler Parameter für gleiche Zugriffsrechte aller Operatoren unabhängig vom jewei­ ligen Authentifizierungsprofil des zugreifenden Operators be­ nutzt wird. Ist Netzmanagementzentrum NMC1 im Betriebs- und Wartungszentrum OMC1 registriert, ist ein erfolgreicher Ver­ bindungsaufbau zustandegekommen, der dem Netzmanagementzen­ trum NMC1 als Antwort auf die Anforderung signalisiert wird.
Das Betriebs- und Wartungszentrum OMC1 generiert daraufhin eine Nachricht uSIN (user Secret Information), in der als Pa­ rameter eine Geheiminformation Sstr - beispielsweise der Län­ ge 8 Bytes - enthalten ist. Diese Geheiminformation Sstr wird vom Betriebs- und Wartungszentrum OMC1 für jede neue Verbin­ dung (association), die vom Netzmanagementzentrum NMC1 ange­ fordert ist, vergeben und über die Schnittstelle SSAB gesen­ det. Bucht sich der Operator im Zugriff auf das Netzmanage­ mentzentrum NMC1 dort ein, wendet das Netzmanagementzentrum NMC1 einen Verschlüsselungsalgorithmus MD5 (Hash-Funktion) an. Dieser Algorithmus, der vorzugsweise mit dem Verschlüsse­ lungsalgorithmus auf der Gegenseite, d. h. dem des Betriebs- und Wartungszentrums OMC1, identisch ist, benutzt außer der eingetroffenen Geheiminformation Sstr ein in Klartext vom Operator eingegebenes Operator-Paßwort Tstr - beispielsweise der maximalen Länge von 16 Bytes - und eine den Operator- Namen opna kennzeichnende Identitätsinformation Istr - bei­ spielsweise ebenfalls der maximalen Länge von 16 Bytes. An­ hand der vom Betriebs- und Wartungs Zentrums OMC1 übermittel­ ten Geheiminformation Sstr erzeugt das Netzmanagementzentrum NMC1 ein verschlüsseltes Operator-Paßwort oppw und sendet es zusammen mit dem Operator-Namen opna in einer Nachricht cUID (current User Identification) als CMISE-standardisierte M-ACTION zum Betriebs- und Wartungszentrums OMC1. Damit hat ei­ ne individuelle Paßwort-Verschlüsselung für den Operator des Netzmanagementzentrum NMC1 unter Kontrolle des Betriebs- und Wartungszentrums OMC1 stattgefunden.
Das Betriebs- und Wartungszentrum OMC1 überprüft die Zu­ griffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator-Paßwortes oppw und anhand des Operator- Namens opna. Vorzugsweise vergleicht es in der Tabelle TAB verschlüsselt gespeicherte Operator-Paßworte und Operator-Na­ men zugriffsberechtigter Operatoren mit dem verschlüsselt empfangenen Operator-Paßwort oppw und mit dem Operator-Namen opna auf Identität. Das Ergebnis der Überprüfung wird dem Be­ triebs- und Wartungszentrum OMC1 in einer Nachricht repA (reply Action) übermittelt. Dabei weist die Nachricht repA entweder eine Information succ, die eine erfolgreiche Authen­ tifikation für die operatorbezogene Zugriffskontrolle signa­ lisiert, oder eine Information fail, die eine nicht erfolg­ reiche Authentifikation für die operatorbezogene Zugriffskon­ trolle kennzeichnet, auf. Aktivitäten des Operators am Netz­ managementzentrum NMC1 sind nur dann möglich, wenn als Ergeb­ nis der Überprüfung die Information succ empfangen wird. An­ sonsten muß der Operator am Netzmanagementzentrum NMC1 seine Authentifikationsprozedur wiederholen.

Claims (8)

1. Verfahren zur Zugriffskontrolle in einem Kommunikationssy­ stem durch ein mehrere Managementebenen (A, B, C) aufweisen­ des Managementnetz, das zumindest eine Manager-Agent-Schnitt­ stelle (SSAB) zwischen einem Manager (NMC1) einer Manage­ mentebene (A) und einem Agent (OMC1) einer darunterliegenden Managementebene (B) aufweist, über die eine Authentifizie­ rungsprozedur bei Zugriffen eines Operators auf den Manager (NMC1) durchgeführt wird, bei der
  • - vom Manager (NMC1) ein verschlüsseltes Operator-Paßwort (oppw) anhand einer vom Agent (OMC1) übersandten Geheiminfor­ mation (Sstr) gebildet und zusammen mit einem Operator-Namen (opna) zwischen Manager (NMC1) und Agent (OMC1) übertragen wird,
  • - vom Agent (OMC1) eine Zugriffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator-Paßwortes (oppw) und des Operator-Namens (opna) überprüft wird, und
  • - vom Agent (OMC1) das Ergebnis der Überprüfung dem Manager (NMC1) übermittelt wird.
2. Verfahren nach Anspruch 1, bei dem vom Agent (OMC1) und vom Manager (NMC1) ein identischer Ver­ schlüsselungsalgorithmus (MD5) für die Authentifizierungspro­ zedur verwendet wird.
3. Verfahren nach Anspruch 1 oder 2, bei dem vom Agent (OMC1) die Überprüfung der Zugriffsberechtigung des Operators durch Vergleich des verschlüsselt empfangenen Ope­ rator-Paßwortes (oppw) und des Operator-Namens (opna) mit je­ weils in einer Tabelle (TAB) gespeicherten Operator-Paßworten und Operator-Namen zugriffsberechtigter Operatoren durchge­ führt wird.
4. Verfahren nach Anspruch 3, bei dem die Operator-Paßworte zugriffsberechtigter Operatoren in der Tabelle verschlüsselt eingetragen werden.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem vor der Authentifizierungsprozedur eine Anforderung vom Mana­ ger (NMC1) zum Aufbau einer Kommunikationsverbindung an den Agent (OMC1) gerichtet wird.
6. Kommunikationssystem zur Zugriffskontrolle durch ein meh­ rere Managementebenen (A, B, C) aufweisendes Managementnetz, das zumindest eine Manager-Agent-Schnittstelle (SSAB) zwi­ schen einem Manager (NMC1) einer Managementebene (A) und ei­ nem Agent (OMC1) einer darunterliegenden Managementebene (B) aufweist, über die eine Authentifizierungsprozedur bei Zu­ griffen eines Operators auf den Manager (NMC1) durchführbar ist, mit
  • - Mittel (M-CTR) im Manager (NMC1) zur Bildung eines ver­ schlüsselten Operator-Paßwortes (oppw) anhand einer vom Agent (OMC1) übersandten Geheiminformation (Sstr) und Mittel (M-TRX) im Manager (NMC1) zur Übertragung des verschlüsselten Opera­ tor-Paßwortes (oppw) zusammen mit einem Operator-Namen (opna) zum Agent (OMC1),
  • - Mittel (A-CTR) im Agent (OMC1) zur Überprüfung einer Zu­ griffsberechtigung des Operators anhand des verschlüsselt empfangenen Operator-Paßwortes (oppw) und des Operator-Namens (opna), und
  • - Mittel (A-TRX) im Agent (OMC1) zur Übermittlung des Ergeb­ nisses der Überprüfung an den Manager (NMC1).
7. Kommunikationssystem nach Anspruch 6, bei dem der Manager als Netzmanagementzentrum (NMC1) und der Agent als Betriebs- und Wartungszentrum (OMC1) ausgebildet sind.
8. Kommunikationssystem nach Anspruch 6 oder 7, bei dem das Kommunikationssystem als Mobil-Kommunikationssystem aus­ gebildet ist.
DE1998121911 1998-05-15 1998-05-15 Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz Expired - Fee Related DE19821911C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1998121911 DE19821911C2 (de) 1998-05-15 1998-05-15 Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1998121911 DE19821911C2 (de) 1998-05-15 1998-05-15 Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz

Publications (2)

Publication Number Publication Date
DE19821911A1 true DE19821911A1 (de) 1999-11-25
DE19821911C2 DE19821911C2 (de) 2000-07-06

Family

ID=7867938

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1998121911 Expired - Fee Related DE19821911C2 (de) 1998-05-15 1998-05-15 Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz

Country Status (1)

Country Link
DE (1) DE19821911C2 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398492A2 (de) * 1989-05-15 1990-11-22 International Business Machines Corporation Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
US5526415A (en) * 1994-03-18 1996-06-11 Fujitsu Limited Integrated communication system with intelligent network and telecommunications management network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0398492A2 (de) * 1989-05-15 1990-11-22 International Business Machines Corporation Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
US5526415A (en) * 1994-03-18 1996-06-11 Fujitsu Limited Integrated communication system with intelligent network and telecommunications management network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SCHULTE, H.: Telekommunikation, Bd.3, Augsburg, INTEREST Verlag GmbH, 1995, Teil 13, Kap.2.6, S. 11-23, u. Kap. 2.8, S. 1-13 *

Also Published As

Publication number Publication date
DE19821911C2 (de) 2000-07-06

Similar Documents

Publication Publication Date Title
EP0993750B1 (de) Betriebs- und wartungssystem für ein mobilfunknetz
DE19722424C5 (de) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
DE69839101T2 (de) Verfahren für eine sichere Trennprozedur in einem Mobilfunknetz
DE69635328T2 (de) Personalisierung von Teilnehmeridentifikationsmodulen für Mobiltelefone über Funk
DE69601349T2 (de) Überprüfung der persönlichen Identifizierungsnummer eines mobilen Teilnehmers
EP1034639B1 (de) Verfahren und kommunikationssystem zur behandlung von alarmen durch ein mehrere managementebenen aufweisendes managementnetz
DE69018452T2 (de) Telefonanlage für das Fernladen von Fernsprechabonnement-Daten einer autonomen Station.
DE602005000543T2 (de) Ein Verfahren und eine Vorrichtung zur Unterstützung des Umschaltens derselben Sitzung zwischen den Endgeräten eines Endnutzers
EP1002440B1 (de) Verfahren und vorrichtung zur kundenseitigen personalisierung von gsm-chips
WO1999048318A1 (de) Verfahren, mobilstation und funk-kommunikationssystem zur steuerung von sicherheitsbezogenen funktionen bei der verbindungsbehandlung
DE19801784A1 (de) Verfahren und Kommunikationssystem zur Behandlung von Alarmen durch ein mehrere Managementebenen aufweisendes Managementnetz
EP0980635B1 (de) Verfahren und vorrichtung zum authentisieren von mobilfunkteilnehmern
DE60034054T2 (de) Authentifizierung einer teilnehmerstation
WO2017133963A1 (de) Verfahren und vorrichtungen betreffend ein kraftfahrzeugzugangs- und/oder start-system
DE19708189C2 (de) Zu einem öffentlichen Mobilkommunikationssystem kompatibles nicht öffentliches Schnurlos-Kommunikationssystem
EP1241061A2 (de) Autorisierungsverfahren für die Kommunikation mit einem Datenbus
DE3441724A1 (de) Verfahren zur missbrauchsverhinderung in fernmeldenetzen, insbesondere mobilfunknetzen
DE19821911C2 (de) Verfahren und Kommunikationssystem zur Zugriffskontrolle durch ein mehrere Managementebenen aufweisendes Managementnetz
EP1020335A2 (de) Verfahren zum Authentisieren eines Ersatzschlüssels zum Benutzen eines Fahrzeugs
DE19911221A1 (de) Verfahren zur Verteilung von Schlüsseln an Teilnehmer von Kommunikationsnetzen
DE3922642C2 (de)
DE19850792A1 (de) Benutzeridentifikationsvorrichtung
WO2000057597A2 (de) Verfahren zur prüfung der authentität einer manager applikation in einem telekommunikations management netz bediensystem durch ein netzelement sowie ein dafür geeignetes netzelement
EP1001640A1 (de) Sicherung von Mobilstationen eines Funk-Kommunikationssystems
EP1419636B1 (de) Verfahren zum automatischen login einer kraftfahrzeugsteilnehmerstation

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20141202