DE60130899T2 - Wap-sitzung tunneling - Google Patents
Wap-sitzung tunneling Download PDFInfo
- Publication number
- DE60130899T2 DE60130899T2 DE60130899T DE60130899T DE60130899T2 DE 60130899 T2 DE60130899 T2 DE 60130899T2 DE 60130899 T DE60130899 T DE 60130899T DE 60130899 T DE60130899 T DE 60130899T DE 60130899 T2 DE60130899 T2 DE 60130899T2
- Authority
- DE
- Germany
- Prior art keywords
- layer
- request
- mobile terminal
- wap
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Communication Control (AREA)
- Acyclic And Carbocyclic Compounds In Medicinal Compositions (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
- Medicines That Contain Protein Lipid Enzymes And Other Medicines (AREA)
Description
- Hintergrund der Erfindung
- Technisches Gebiet der Erfindung
- Die vorliegende Erfindung bezieht sich auf WAP Sitzungen zwischen einem Mobilfunkendgerät und einem WAP Gateway, und genauer auf die Organisation von Protokollschichten in einem WAP Gateway.
- Beschreibung des zugehörigen Stands der Technik
- Beim Aufbauen eines virtuellen, nichtöffentlichen Netzwerks für korporative Benutzer, welches Netzwerk für Mobilfunkendgeräte, wie etwa Laptop-Computer, Mobilfunktelefone und dergleichen zugänglich ist, gibt es keine standardisierte Weise zum Aufbauen einer sogenannten "demilitarisierten Zone", die die Authentifizierung von Benutzern der auf das Netzwerk zugreifenden Mobilfunkendgeräte über ein drahtloses Anwendungsprotokoll (WAP, Englisch: Wireless Application Protocol) ermöglicht, bevor einem Benutzer tatsächlich Zugriff auf bzw. Zugang zu dem korporativen Netzwerk gegeben wird. In dem Internet kann ein Anfrage-/Antwort- oder ein Aufrufmechanismus benutzt werden, wobei typischerweise das Punkt-zu-Punkt Protokoll (PPP) oder ein abgesetzter Zugangsserver einem zutretenden Benutzer seinen Benutzernamen abfragt, den Benutzer nach einem Aufruf auffordert, und jedes vom Benutzer in Antwort auf den Aufruf bereitgestellte Passwort liest. Dies geschieht bevor dem Benutzer tatsächlich Zugang verliehen wird. Bestehende Mechanismen zum Authorisieren des Zugangs eines WAP Endgeräts zu einem Netzwerk sind nicht annehmlich und weisen eine Anzahl von Sicherheitsproblemen auf.
- Eine Authentifizierung kann ausgeführt werden unter Benutzung eines als HTTP Basic Authentication bekannten Mechnismus, wobei der verursachende Server (beispielsweise ein Internetserver) zuerst eine Anfrage von der Endgerätevorrichtung empfangen muss, um mit einer Authentifizierungsaufforderung an das Endgerät zu antworten. Dies erfordert jedoch, dass das Endgerät bereits mit dem Netzwerk, und sogar dem nichtöffentlichen Netzwerk verbunden ist. Eine Authentifizierung kann auch in dem Gateway ausgeführt werden, beispielsweise indem es Benutzern von Mobilfunkendgerätvorrichtungen ermöglicht wird, ein Gateway-Passwort und eine Benutzeridentifizierung ID zu konfigurieren. Alternativ wird dies im Zugangsserver ausgeführt. Diese Verfahren sind sehr unflexibel, und wenn ein sichereres Verfahren, wie etwa das Benutzen eines einmaligen Passworts, einer Sicherheitskarte usw. für den Zugang zum korporativen Netzwerk benutzt wird, ist für den Benutzer ein unangemessen hoher Arbeitsaufwand erforderlich. Derzeitige Endgeräte ermöglichen es den Benutzern nicht, ein "Endgerätefenster" ähnlich wie das, beispielsweise in Windows 98 verfügbare, bei dem dynamische Passwörter eingegeben werden können, zu erhalten. Folglich ist eine Art und Weise zum Bereitstellen eines nicht geprüften Authorisierungsvorgangs für Mobilfunkendgeräte, die einem virtuellen, nichtöffentlichen Netzwerk zutreten wollen, gewünscht.
- WIRELESS APPLICATION FORUM: „Wireless application protocol Wireless datagram protocol specification", Wireless application protocol Wireless datagram protocol specification, xx, xx, 30 April 1998 (übersetzt: FORUM FÜR DRAHTLOSE ANWENDUNGEN: "Spezifikation für das drahtlose Anwendungsprotokoll und für ein drahtloses Datagrammprotokoll", Spezifikation für ein drahtloses Anwendungsprotokoll und ein drahtloses Datagrammprotokoll, xx, xx, vom 30. April 1998) zeigt einen WAP Gateway nach dem Stand der Technik. Jedoch stellt dieser einen ungeprüften Authorisierungsvorgang für Mobil funkendgeräte, die virtuellen, nichtöffentlichen Netzwerken zutreten, nicht bereit.
- Zusammenfassung der Erfindung
- Die vorliegende Erfindung überwindet die vorgenannten und andere Probleme durch einen WAP Gateway, der ein PLMN Netzwerk und ein zweites nichtöffentliches Datennetzwerk miteinander verbindet.
- Der WAP Gateway umfasst einen Proxy einer ersten Stufe und einen Proxy einer zweiten Stufe. Der Proxy der ersten Stufe ist auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems des zweiten Netzwerks angeordnet und umfasst die WDI Schicht des WAP Protokollstapels. Die verbleibenden Schichten des WAP Protokollstapels sind innerhalb eines auf der anderen Seite des Zugangsschutzsystems des zweiten Netzwerks angeordneten Proxys der zweiten Stufe angeordnet. In Antwort auf Anfragen, die von einem Mobilfunkendgerät bereitgestellt werden, kann die WDP Schicht des Proxys der ersten Stufe mit Protokollschichten innerhalb des Proxys der zweiten Stufe unter Benutzung von SSL/TLS Tunneln kommunizieren. Infolgedessen wird eine Authentifizierung nur einmalig benötigt, nämlich bei der ersten Anfrage, um auf das nichtöffentliche Datennetzwerk zuzugreifen, und alle nachfolgenden Anfragen innerhalb der Sitzung werden durch das Zugangsschutzsystem direkt hindurch getunnelt.
- Kurze Beschreibung der Zeichnungen
- Ein vollständigeres Verständnis des Verfahrens und der Vorrichtung der vorliegenden Erfindung kann durch Verweis auf die folgende ausführliche Beschreibung erhalten werden, wenn diese zusammen mit den beigefügten Zeichnungen genommen wird, wobei gilt:
-
1 ist eine Veranschaulichung eines Mobilfunkendgeräts, das auf einen gemäß der vorliegenden Erfindung konfigurierten WAP Gateway zugreift; -
2 ist ein gemäß der vorliegenden Erfindung konfigurierter WAP Gateway; und -
3 ist ein Ablaufdiagramm, das die Art und Weise veranschaulicht, in der ein Mobilfunkendgerät auf den WAP Gateway der2 zugreift. - Ausführliche Beschreibung
- Mit Verweis nun auf die Zeichnungen, und genauer auf
1 wird die Art und Weise veranschaulicht, in der ein Mobilfunkendgerät10 einem Netzwerk15 , wie etwa einem nichtöffentlichen Intranet-Netzwerk, nach dem Verfahren und der Vorrichtung der vorliegenden Erfindung zutritt. Während die folgende Beschreibung im Hinblick auf einen WAP Gateway und das WAP Protokoll gemacht wird, sollte erkannt werden, dass die vorliegende Erfindung mit einem beliebigen mobilen Internet-Gateway und einer mobilen Internetkonfiguration, die ein Benutzergerät, ein primäres Netzwerk (PLMN), einen Gateway und ein sekundäres Netzwerk (Intranet) benutzt, nützlich sein kann. Das Mobilfunkendgerät10 erlangt Zugriff auf einen Zugangsserver25 über ein PLMN Netzwerk20 . Die Verbindung26 zwischen dem Mobilfunkendgerät10 und dem PLMN Netzwerk20 umfasst eine drahtlose Kommunikationsverbindung. Das Mobilfunkendgerät10 kann aus einem tragbaren Laptop-Computer, einem Minicomputer (PDA, Englisch: Personal Digital Assistant), einem mobilen Telefon, einem Funkrufempfänger (Englisch: Pager) usw. bestehen. - Wenn das Mobilfunkendgerät
10 einmal über das PLMN Netzwerk20 Zugang zu dem Zugangsserver25 erlangt hat, kann das Mo bilfunkendgerät10 versuchen, einem nichtöffentliches Netzwerk15 , beispielsweise einem korporativen Netzwerk, unter Benutzung eines WAP Gateways30 zuzutreten. Der Gateway30 kann physikalisch mehrere Maschineneinheiten umfassen, die logisch einen einzelnen Gateway umfassen. Das nichtöffentliche Netzwerk15 kann ein virtuelles nichtöffentliches Netzwerk, das für Benutzer einer bestimmten Firma oder Organisation errichtet worden ist, umfassen. - Der WAP Gateway
30 umfasst einen Protokoll-Gateway, der Anforderungen zwischen einem WAP Protokoll (WAE, WSP, WTP, WTLS und WDP) und einem entsprechenden Internetprotokoll (HTTP und TCP/IP) übersetzt zur Übertragung in beiden Richtungen. Die Übersetzung wird über Inhaltscodierer und -decodierer (nicht gezeigt) innerhalb des WAP Gateway30 ausgeführt. Im Rahmen der vorliegenden Erfindung umfasst der WAP Gateway30 zwei getrennte, funktionale Komponenten, nämlich einen Proxy35 einer ersten Stufe und einen Proxy40 einer zweiten Stufe. Der Proxy35 der ersten Stufe umfasst die niedrigste Schicht des WAP Protokollstapels und ist verantwortlich zum Erteilen von Zugang für ein Mobilfunkendgerät10 zu dem nichtöffentlichen Netzwerk15 . Der Proxy40 der zweiten Stufe enthält den Rest der Schichten des WAP Protokollstapels. Der Proxy35 der ersten Stufe und der Proxy40 der zweiten Stufe sind funktionell derart getrennt, dass der Proxy der ersten Stufe auf der Außenseite des Zugangsschutzsystems bzw. der Firewall37 (d. h. der PLMN Netzwerkseite) des nichtöffentlichen Netzwerks15 angeordnet ist, während der Proxy40 der zweiten Stufe innerhalb des Zugangsschutzsystems37 (d. h. der Seite des nichtöffentlichen Netzwerks) des nichtöffentlichen Netzwerks15 angeordnet ist. - Mit Verweis nun auf
2 wird der Aufbau und die Funktionalität des WAP Gateways30 vollständiger veranschaulicht. Wie vorhergehend erwähnt, umfasst der WAP Gateway30 eine Proxyfunktionalität35 einer ersten Stufe, die auf der öffentlichen Seite des dem PLMN Netzwerk20 zugeordneten Zugangsschutzsystems37 angeordnet ist, und die Proxyfunktionalität40 der zweiten Stufe, die auf der dem nichtöffentlichen Netzwerk15 zugehörigen, nichtöffentlichen Seite des Zugangsschutzsystems37 angeordnet ist. - Die Proxyfunktionalität
35 der ersten Stufe umfasst die WDP Protokollschicht45 . Die WDP Schicht45 umfasst das Transportschichtprotokoll innerhalb der WAP Architektur. Die WDP Schicht45 wird über die durch das PLMN Netzwerk20 unterstützten, datenfähigen Trägerdiensten (Englisch: Data Capable Bearer Services) betrieben. Die WDP Schicht45 wirkt als ein allgemeiner Transportdienst für die oberen Schichtprotokolle der WAP Architektur und kommuniziert transparent über einen der verfügbaren Trägerdienste. - Der Rest des WAP Protokollstapels ist innerhalb der Proxyfunktionalität
40 der zweiten Stufe angeordnet. Die Schicht50 des Protokolls einer drahtlosen Sitzung (WSP, Englisch: Wireless Session Protocol) stellt Dienste bereit, die zum Durchsuchen nach Anwendungen geeignet sind. Die WSP Schicht50 ermöglicht es dem WAP Gateway30 , einen Client an einen Standard HTTP Server anzuschließen. Die WSP Protokollschicht50 stellt die Sitzungsschicht des WAP Protokollstapels bereit und weist eine konstante Schnittstelle für zwei Sitzungsdienste auf. Der erste Sitzungsdienst ist ein verbindungsorientierter Dienst, der oberhalb des WTP Transaktionsschichtprotokolls operiert. Der zweite Sitzungsdienst ist ein verbindungsloser Dienst, der über einem gesicherten oder nicht gesicherten Datagrammdienst (WDP) operiert. - Zusätzliche Protokollschichten umfassen die Schicht
65 der drahtlosen Anwendungsumgebung (WAE, Englisch: Wireless Application Environment), die eine auf einer Kombination von W3C und IETF Technologien für mobiles Internet basierte An wendungsumgebung für allgemeine Zwecke ist. Die WAE Schicht65 stellt eine vollständig kompatible (Englisch: Interoperable) Umgebung bereit, die es Betreibern und Dienstanbietern ermöglicht, Anwendungen und Dienste zu errichten, die für eine breite Vielfalt von drahtlosen Plattformen nützlich sind. Die Schicht55 des drahtlosen Transaktionsprotokolls (WTP) stellt ein zur Verwendung mit Mobilfunkendgeräten geeignetes und zum Überwachen von drahtlosen Transaktionen verwendetes, transaktions-orientiertes Protokoll bereit. Die Schicht60 für die Sicherheit von drahtlosen Transportschichten (WTLS, Englisch: Wireless Transport Layer Security) ist ein sicherheitsbasiertes Protokoll zur Verwendung mit WAP Transportprotokollen. Die WTLS Schicht60 stellt die Datenintegrität zur Übertragung zwischen dem WAP Gateway30 und dem Mobilfunkendgerät10 sicher, stellt die Geheimhaltung von Daten, die zwischen dem Mobilfunkendgerät und dem WAP Gateway übertragen werden, sicher, um ein Mithören und ein Decodieren durch Zwischenparteien zu verhindern, ermöglicht die Authentifizierung des Mobilfunkendgeräts und schützt gegen die Verweigerung von Angriffen auf den Dienst. - Der Proxy
35 der ersten Stufe ist in der Lage, unter Benutzung der WTP Schicht45 und der WSP Schicht50 mit dem Proxy40 der zweiten Stufe zu kommunizieren. Die WTP Schicht45 wird verwendet, weil nur harmlose Operationen durch einen gewährten Zugriff auf diese Schicht ausgeführt werden können. Die WSP Schicht50 wird benutzt, weil alle WAP Konfigurationen diese Sitzungsschicht umfassen. Jedoch könnte die WTLS Schicht60 als eine Alternative zu der WSP Schicht50 benutzt werden. Die Software dieser Schichten kommunizieren unter Benutzung von SSL/TLS Tunneln70 miteinander. SSL/TLS Tunneln70 umfassen einen verschlüsselten Kommunikationskanal zwischen den Schichten. Das SSL Protokoll benutzt eine Kombination von Verschlüsselung mit öffentlichem Schlüssel und symmetrischem Schlüssel. Eine Verschlüsselung mit symmetrischem Schlüssel ist viel schneller als eine Verschlüsselung mit öffentlichem Schlüssel, jedoch stellt eine Verschlüsselung mit öffentlichem Schlüssel bessere Authentifizierungstechniken bereit. Eine SSL Sitzung beginnt immer mit einem Austausch von Nachrichten, der SSL Handshake genannt wird. Der Handshake ermöglicht es einem Server, sich gegenüber einem Client unter Benutzung von Techniken mit öffentlichem Schlüssel zu authentifizieren, erlaubt es dann dem Client und dem Server bei der Erzeugung von symmetrischen Schlüsseln zusammenzuarbeiten, wobei die symmetrischen Schlüssel zur schnellen Verschlüsselung, Entschlüsselung und Manipulationserkennung während der nachfolgenden Sitzung benutzt werden. Optional erlaubt es der Handshake auch, dass der Client sich selbst gegenüber dem Server authentifiziert. - Das SSL/TLS Tunneln ermöglicht es der WDP Schicht
45 und der WSP Schicht50 auf den gegenüberliegenden Seiten des Zugangsschutzsystems des nichtöffentlichen Netzwerks miteinander zu kommunizieren. Die WDP Schicht45 führt Buch über die Benutzer und Tunnelanfragen an den Proxy40 der zweiten Stufe, wo andere Schichten des Protokollstapels in Antwort auf eine Anfrage hin operieren. Zum ersten Zeitpunkt, wo ein Benutzer versucht, auf den WAP Gateway30 über den Proxy35 der ersten Stufe zuzugreifen, ist ein Authentifizierungsvorgang für den Benutzer erforderlich, bevor die Anfrage verarbeitet werden kann. Für nachfolgende Anfragen kann der Proxy35 der ersten Stufe Anfragen von der WDP Schicht45 zu der WSP Schicht50 des Proxys40 der zweiten Stufe unter Benutzung eines gesicherten SSL/TLS Tunnels70 ohne einen zusätzlichen Authentifizierungsvorgang tunneln. Vielfältige Verfahren können von dem Proxy der ersten Stufe benutzt werden, um über Benutzer, die sich vorher über den WAP Gateway30 eingeloggt haben, Buch zu führen. Der Gateway30 könnte eine kleine relationale Datenbank (nicht gezeigt), eine einfach verlinkte Liste (nicht gezeigt), eine flache Datei (nicht gezeigt) oder einen Typ eines Feldes unterhalten, um früher bzw. vorhergehend authentifizierte Benutzer des Proxys35 der ersten Stufe nach zu verfolgen. - Mit Verweis nun auf
3 wird ein Vorgang veranschaulicht, mit dem Anfragen von dem WAP Gateway30 behandelt werden. Die Anfrage, die WSP Connect (Verbinden), Resume (Wiederaufnehmen), Suspend (Aussetzen), Get (Einholen) usw. umfassen kann, wird anfänglich beim Schritt75 von dem Mobilfunkendgerät10 empfangen. Der Proxy35 der ersten Stufe des WAP Gateways30 analysiert die empfangene Anfrage, um im Anfrageschritt80 zu bestimmen, ob diese Anfrage die erste Anfrage durch das Mobilfunkendgerät10 an den WAP Gateway30 umfasst. Wenn die empfangene Anfrage eine erste Anforderung von dem Mobilfunkendgerät10 umfasst, ergibt der Proxy35 der ersten Stufe ein WML Deck85 zurück an das Mobilfunkendgerät, das einen Einloggvorgang durch den Benutzer des Mobilfunkendgeräts10 erzwingt. In Antwort auf das zurückgegebene WML Deck versucht das Mobilfunkendgerät im Schritt90 , in den Proxy35 der ersten Stufe des WAP Gateway30 einzuloggen. Das Einloggen des Benutzers wird im Schritt95 durch den Proxy der ersten Stufe genehmigt (unter anderem einem gültigen Benutzer), und die Anfrage wird im Schritt100 unter Benutzung von SSL/TLS Tunneln70 zu dem Proxy40 der zweiten Stufe getunnelt, wie vorhergehend mit Bezugnahme auf2 beschrieben. Wenn der Anforderungsschritt80 bestimmt, dass die empfangene Anfrage nicht die erste Anfrage von dem Endgerät10 ist, dann kann die Anfrage im Schritt100 ohne den Einloggvorgang direkt zu dem Proxy40 der zweiten Stufe getunnelt werden. - Die vorhergehende Beschreibung ist die einer bevorzugten Ausführungsform zum Implementieren der Erfindung, und der Umfang der Erfindung sollte nicht notwendigerweise auf diese Beschreibung beschränkt werden. Stattdessen wird der Schutzumfang der vorliegenden Erfindung durch die folgenden Patentansprüche definiert.
Claims (14)
- Ein Verfahren, umfassend die folgenden Schritte: Empfangen (
75 ) einer Anforderung an einem WAP Gateway von einem mobilen Endgerät; gekennzeichnet durch Zugreifen auf nur eine WDP Schicht eines WAP Protokollstapels in einem Proxi einer ersten Stufe in Antwort auf die Anforderung von dem mobilen Endgerät; und Kommunizieren zwischen der WDP Schicht und dem WAP Protokollstapel in einem Proxi einer ersten Stufe und mindestens einer anderen Schicht des WAP Protokollstapels an einem Proxi einer zweiten Stufe unter Benutzung eines verschlüsselten Kommunikationskanals, wobei die WDP Schicht in einem Proxi einer ersten Stufe auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems angeordnet ist und die andere Schicht des WAP Protokollstapels in einem Proxi einer zweiten Stufe auf einer zweiten Seite des Zugangsschutzsystems angeordnet ist. - Das Verfahren nach Anspruch 1, wobei der Schritt des Zugreifens ferner die folgenden Schritte umfasst: Bestimmen, ob eine Anforderung eine erste Anforderung von dem mobilen Endgerät an den Gateway ist; wenn die Anforderung die erste Anforderung von dem mobilen Endgerät an den Server ist, Anfordern einer Authentifizierung von dem mobilen Endgerät.
- Das Verfahren nach Anspruch 2, wobei, wenn die Anforderung eine nachfolgende Anforderung von dem mobilen Endgerät ist, das Verfahren ferner den Schritt umfasst: Zugreifen auf die WDP Schicht, um mit der ande ren Schicht des Protokollstapels ohne jegliche Authentifizierung zu kommunizieren.
- Das Verfahren nach Anspruch 2, wobei der Schritt des Anforderns ferner umfasst: Zurückgeben eines WML Decks an das mobile Endgerät.
- Das Verfahren nach Anspruch 2, wobei der Schritt des Zugreifens ferner umfasst: Genehmigen von durch das mobile Endgerät bereitgestellten Login-Daten.
- Das Verfahren nach Anspruch 1, wobei die andere Schicht eine WSP Schicht des Protokollstapels umfasst.
- Das Verfahren nach Anspruch 1, wobei der verschlüsselte Kommunikationskanal ein SSL/TLS-Tunnel ist.
- Ein WAP Gateway (
30 ) umfassend: eine erste Verbindung mit einem ersten PLMN Netzwerk; eine zweite Verbindung mit einem zweiten privaten Netzwerk; gekennzeichnet durch eine der ersten Verbindung zugewiesenen Proxy (35 ) einer ersten Stufe und dadurch, dass auf einer ersten Seite einer Firewall bzw. eines Zugangsschutzsystems (37 ), die/das dem zweiten Netzwerk zugewiesen ist, der Proxy (35 ) der ersten Stufe eine WDP Schicht eines WAP Protokollstapels umfasst; einen der zweiten Verbindung zugewiesenen Proxy (40 ) einer zweiten Stufe und dadurch, dass auf einer zweiten Seite des Zugangsschutzsystems (37 ), das dem zweiten privaten Netzwerk zugewiesen ist, der Proxy (40 ) der zweiten Stufe einen Teil einer WSP Schicht des WAP Protokollstapels umfasst; und wobei die WDP Schicht des Proxys der ersten Stufe und die WSP Schicht des Proxys der zweiten Stufe unter Benut zung eines verschlüsselten Kommunikationskanals miteinander kommunizieren können. - Der WAP Gateway (
30 ) nach Anspruch 8, wobei die erste WDP Schicht in Antwort auf eine erste Anforderung von dem mobilen Endgerät ein WML Deck an ein mobiles Endgerät überträgt. - Der WAP Gateway (
30 ) nach Anspruch 9, wobei die WDP Schicht in Antwort auf das WML Deck von dem mobilen Endgerät empfangene Login-Daten bestätigt. - Der WAP Gateway (
30 ) nach Anspruch 8, wobei der verschlüsselte Kommunikationskanal ein SSL/TLS Tunnel ist. - Der WAP Gateway (
30 ) nach Anspruch 8, wobei der Proxy der ersten Stufe dazu ausgebildet ist, in Antwort auf eine erste Anforderung von dem mobilen Endgerät eine Authentifizierungsanforderung an ein mobiles Endgerät zu übertragen. - Der WAP Gateway (
30 ) nach Anspruch 12, wobei die Authentifizierungsanforderung ein WML Deck umfasst. - Der WAP Gateway (
30 ) nach Anspruch 12, wobei der Proxy der ersten Stufe dazu ausgebildet ist, in Antwort auf die Authentifizierungsanforderung von dem mobilen Endgerät empfangene Login-Daten zu bestätigen.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US652421 | 2000-08-31 | ||
US09/652,421 US6836474B1 (en) | 2000-08-31 | 2000-08-31 | WAP session tunneling |
PCT/SE2001/001592 WO2002019659A2 (en) | 2000-08-31 | 2001-07-06 | Wap session tunneling |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60130899D1 DE60130899D1 (de) | 2007-11-22 |
DE60130899T2 true DE60130899T2 (de) | 2008-07-17 |
Family
ID=24616773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60130899T Expired - Lifetime DE60130899T2 (de) | 2000-08-31 | 2001-07-06 | Wap-sitzung tunneling |
Country Status (8)
Country | Link |
---|---|
US (1) | US6836474B1 (de) |
EP (1) | EP1314291B1 (de) |
JP (1) | JP3854224B2 (de) |
AT (1) | ATE375669T1 (de) |
AU (1) | AU2001268015A1 (de) |
DE (1) | DE60130899T2 (de) |
ES (1) | ES2290148T3 (de) |
WO (1) | WO2002019659A2 (de) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020193131A1 (en) * | 2001-06-18 | 2002-12-19 | International Business Machines Corporation | Mobile wireless management of servers and other resources |
US7047560B2 (en) * | 2001-06-28 | 2006-05-16 | Microsoft Corporation | Credential authentication for mobile users |
US7337229B2 (en) * | 2001-11-08 | 2008-02-26 | Telefonktiebolaget Lm Ericsson (Publ) | Method and apparatus for authorizing internet transactions using the public land mobile network (PLMN) |
US7373500B2 (en) * | 2003-04-15 | 2008-05-13 | Sun Microsystems, Inc. | Secure network processing |
GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
US7853242B2 (en) * | 2004-12-20 | 2010-12-14 | Research In Motion Limited | Bypass routing to a mobile device |
US20070198837A1 (en) * | 2005-04-29 | 2007-08-23 | Nokia Corporation | Establishment of a secure communication |
US20070165582A1 (en) * | 2006-01-18 | 2007-07-19 | Puneet Batta | System and method for authenticating a wireless computing device |
US8023479B2 (en) * | 2006-03-02 | 2011-09-20 | Tango Networks, Inc. | Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks |
US20080115202A1 (en) * | 2006-11-09 | 2008-05-15 | Mckay Michael S | Method for bidirectional communication in a firewalled environment |
CN102264070B (zh) * | 2010-05-25 | 2013-11-13 | ***通信集团设计院有限公司 | 一种提供业务数据及执行访问业务的方法及设备 |
US9130935B2 (en) * | 2011-05-05 | 2015-09-08 | Good Technology Corporation | System and method for providing access credentials |
US8843738B2 (en) | 2012-05-14 | 2014-09-23 | Sierra Wireless, Inc. | TLS abbreviated session identifier protocol |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE33034T1 (de) | 1982-09-14 | 1988-04-15 | Reed Int Plc | Farbzusammensetzung. |
US6061346A (en) | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
US6463475B1 (en) * | 1997-09-26 | 2002-10-08 | 3Com Corporation | Method and device for tunnel switching |
DE19742681C2 (de) * | 1997-09-26 | 2003-03-06 | Ericsson Telefon Ab L M | GPRS-Teilnehmerauswahl von mehreren Internet-Dienstanbietern |
US6523068B1 (en) * | 1999-08-27 | 2003-02-18 | 3Com Corporation | Method for encapsulating and transmitting a message includes private and forwarding network addresses with payload to an end of a tunneling association |
US6480717B1 (en) * | 1999-09-28 | 2002-11-12 | Motorola, Inc. | Tunneling of non-GSM signaling messages in a GSM based network to enable both non-GSM circuit service and GSM packet service to the mobile station |
-
2000
- 2000-08-31 US US09/652,421 patent/US6836474B1/en not_active Expired - Fee Related
-
2001
- 2001-07-06 AU AU2001268015A patent/AU2001268015A1/en not_active Abandoned
- 2001-07-06 AT AT01945907T patent/ATE375669T1/de not_active IP Right Cessation
- 2001-07-06 DE DE60130899T patent/DE60130899T2/de not_active Expired - Lifetime
- 2001-07-06 EP EP01945907A patent/EP1314291B1/de not_active Expired - Lifetime
- 2001-07-06 ES ES01945907T patent/ES2290148T3/es not_active Expired - Lifetime
- 2001-07-06 WO PCT/SE2001/001592 patent/WO2002019659A2/en active IP Right Grant
- 2001-07-06 JP JP2002523828A patent/JP3854224B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2002019659A3 (en) | 2002-05-16 |
JP2004507977A (ja) | 2004-03-11 |
US6836474B1 (en) | 2004-12-28 |
JP3854224B2 (ja) | 2006-12-06 |
ES2290148T3 (es) | 2008-02-16 |
AU2001268015A1 (en) | 2002-03-13 |
WO2002019659A2 (en) | 2002-03-07 |
EP1314291B1 (de) | 2007-10-10 |
EP1314291A2 (de) | 2003-05-28 |
DE60130899D1 (de) | 2007-11-22 |
ATE375669T1 (de) | 2007-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60313445T2 (de) | Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang | |
DE60223951T2 (de) | System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz | |
DE60114535T2 (de) | Zugriffsauthentifizierungssystem für eine Funkumgebung | |
DE602004005461T2 (de) | Mobile Authentifizierung für den Netzwerkzugang | |
DE602005000543T2 (de) | Ein Verfahren und eine Vorrichtung zur Unterstützung des Umschaltens derselben Sitzung zwischen den Endgeräten eines Endnutzers | |
DE602004007708T2 (de) | Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke | |
DE60319791T2 (de) | Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk | |
DE60100680T2 (de) | Vorrichtung und Verfahren mit sicherem und öffentlichem Zugang | |
DE60026838T2 (de) | Dynamische verbindung zu mehreren quellen-servern in einem transcodierungs-proxy | |
DE602004012870T2 (de) | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung | |
DE60130899T2 (de) | Wap-sitzung tunneling | |
DE60220718T2 (de) | Verfahren und system zur sicheren behandlung von elektronischen geschäften im internet | |
DE10392208T5 (de) | Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung | |
DE69937954T2 (de) | Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem | |
DE60201522T2 (de) | Ermöglichen legales abfangen von ip-verbindungen | |
DE10297362T5 (de) | Auswählen einer Sicherheitsformatumwandlung für drahtgebundene und drahtlose Vorrichtungen | |
DE10392283T5 (de) | System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen | |
DE10142959A1 (de) | Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht | |
EP2835946A1 (de) | Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients | |
DE10025271A1 (de) | Verfahren zum Aufbau einer Verbindung zwischen einem Endgerät und einem bedienenden Mobilfunknetz, Mobilfunknetz und Endgerät dafür | |
DE102006007793B3 (de) | Verfahren zum sicheren Erkennen des Endes einer Anwender-Sitzung | |
EP1829320A1 (de) | Verfahren zum anmelden eines mobilen kommunikationsendgerätes gegenüber einem lokalen netzwerk | |
EP1776821B1 (de) | System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern | |
EP2456157B1 (de) | Schutz der Privatsphäre bei der Anmeldung eines Nutzers an einem gesicherten Webdienst mittels eines Mobilfunkgerätes | |
EP1424825B1 (de) | Verfahren und Vorrichtungen zum Aufbauen eines virtuellen privaten Kommunikationsnetzes zwischen Kommunikationsendgeräten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |