DE60203312T2 - Verfahren und Vorrichtung zur Authentifizierung eines Benutzers - Google Patents

Verfahren und Vorrichtung zur Authentifizierung eines Benutzers Download PDF

Info

Publication number
DE60203312T2
DE60203312T2 DE60203312T DE60203312T DE60203312T2 DE 60203312 T2 DE60203312 T2 DE 60203312T2 DE 60203312 T DE60203312 T DE 60203312T DE 60203312 T DE60203312 T DE 60203312T DE 60203312 T2 DE60203312 T2 DE 60203312T2
Authority
DE
Germany
Prior art keywords
user
xid21
session
authentication
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60203312T
Other languages
English (en)
Other versions
DE60203312D1 (de
Inventor
Christele Bouchat
Sven Maurice Joseph Ooghe
Erwin Alfons Constant Six
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel SA filed Critical Alcatel SA
Application granted granted Critical
Publication of DE60203312D1 publication Critical patent/DE60203312D1/de
Publication of DE60203312T2 publication Critical patent/DE60203312T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Collating Specific Patterns (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung gemäß der Präambel von Anspruch 1, und auf eine Benutzereinrichtung und auf eine Authentifizierungs-Einrichtung gemäß der Präambel von Anspruch 7 bzw. Anspruch 8, und auf ein Telekommunikationsnetz gemäß der Präambel von Anspruch 10.
  • Ein solches Verfahren und die damit verbundenen Einrichtungen sind bereits in der Technik bekannt. Ein heute aktuell benutztes Protokoll für den Verbindungsaufbau im Bereich öffentlicher Netze, wie z.B. bei jeder digitalen Teilnehmerleitung mit XDSL, ist das bekannte Punkt-zu-Punkt-Protokoll. Dieses PPP-Protokoll kennt zwei Haupt-Authentifizierungs-Protokolle zur Authentifizierung eines Benutzers, d.h. das Password Authentication Protocol, kurz das PAP-Protokoll, und das Challenge-Handshake Authentication Protocol, kurz das CHAP-Protokoll.
  • Das Password Authentication Protocol arbeitet mit einer Anforderungs-Nachricht, die von einem Benutzer an einen Authentifizierer gesendet wird. Diese Anforderungs-Nachricht enthält eine Benutzerkennung, die den Benutzer eindeutig kennzeichnet, und ein Benutzer-Passwort, das dem Benutzer zugeordnet ist. Der Authentifizierer überprüft das empfangene Benutzer-Passwort gegenüber einem Überprüfungs-Benutzer-Passwort, das entsprechend seiner verfügbaren Information der empfangenen Benutzerkennung zugeordnet wird. Wenn eine Übereinstimmung zwischen dem empfangenen Benutzer-Passwort und dem Überprüfungs-Passwort gefunden wird, wird eine Quittung an den Benutzer gesendet. Das PAP-Protokoll ist ein einfaches, aber nicht sicheres Protokoll, da das Benutzer-Passwort des Benutzers in der Anforderungs-Nachricht gelesen werden kann. Für ein Punkt-zu-Punkt-Protokoll ist dies jedoch kein wesentliches Problem.
  • Entsprechend dem Challenge-Handshake Authentication Protocol sendet ein Benutzer eine Anforderungs-Nachricht an den Authentifizierer. Diese Anforderungs-Nachricht enthält eine Benutzerkennung des Benutzers. Der Authentifizierer sendet eine Zufalls-Zeichenkette zurück, die "Challenge" genannt wird, wobei der Benutzer bei Empfang dieser Challenge-Zeichenkette die Zeichenkette umwandelt. Die Benutzereinrichtung wandelt die Challenge-Zeichenkette mit einer Einmal-Funktion in eine neue umgewandelte Zeichenkette um, wobei sie sein Benutzer-Passwort als Schlüssel benutzt. Diese umgewandelte Zeichenkette wird zurück zum Athentifizierer gesendet. Der Athentifizierer führt dieselbe Operation mit der ersten Challenge-Zeichenkette und mit einem Benutzer-Passwort entsprechend seinen eigenen Informationen aus, d.h. mit einem Benutzer-Passwort, das in seiner Datenbank vorliegt. Diese Zeichenkette kann Überprüfungs-Zeichenkette genannt werden. Bei Empfang der umgewandelten Zeichenkette überprüft der Athentifizierer, ob seine Lösung, d.h. die Überprüfungs-Zeichenkette die gleiche ist wie die umgewandelte Zeichenkette und erkennt den Benutzer an.
  • Ein Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung wird auch in der internationalen Patentanmeldung WO-A-0111452 beschrieben, die am 15. Februar 2001 unter dem PCT mit dem Titel "Access Management system and Method employing Secure Credentials" veröffentlicht wurde. Das in diesem Dokument beschriebene Verfahren umfasst einen Schritt, durch einen ersten Generator der Benutzereinrichtung einen Berechtigungsnachweis zu erzeugen, der auf einem Benutzer-Passwort basiert, welches diesem Benutzer zugeordnet ist, und eine Sitzungskennung zu erzeugen, die durch die Benutzereinrichtung für die aktuelle Sitzung des Benutzers bestimmt wird, die gerade aufgebaut wird.
  • Es muss erläutert werden, dass aus verschiedenen Gründen das benutzte Punkt-zu-Punkt-Protokoll PPP zum Verbindungsaufbau im öffentlichen Bereich, wie z.B. in der Umgebung digitaler Teilnehmerleitungen aktuell durch ein Rundsende-Protokoll, wie z.B. das Dynamic Host Configuration Protocol DHCP ersetzt wird.
  • Dieses DHCP-Protokoll wird im Standard Track Document der Network Working Group, Request For Comment Nummer 2131 und Nummer 2132 der Internet Engineering Task Force IETF beschrieben.
  • Dieses bekannte Dynamic Host Configuration Protocol DHCP wird zwischen einer Benutzereinrichtung und einem DHCP-Server eingesetzt, d.h. im privaten Bereich, und wurde anfangs von der IETF hauptsächlich für die Identifikation zwischen Bereichen entwickelt, indem z.B. die Hardware-Adresse der Benutzereinrichtung, d.h. der Client, in ein Client-Identifikations-Feld einer DHCP-Nachricht aufgenommen wird.
  • Eine solche Client-Host-Authentifizierung wird in DROMS R et AL: "Authentication for DHCP Messages" IETF Internet Draft <DRAFT-IETF-DHC-AUTHENTICATION-08.TXT>, August 1998 (1998-08), XP002188155 beschrieben. Dieses Dokument beschreibt, dass das Dynamic Host Configuration Protocol (DHCP) einen Rahmen zur Weitergabe von Konfigurationsinformation an Hosts an einem TCP/IP-Netzwerk bereitstellt. In manchen Situationen kann es sein, dass die Netzwerkverwalter es wünschen, die Adressen auf autorisierte Hosts zu beschränken. Zusätzlich dazu kann es sein, dass einige Netzwerkverwalter es wünschen, die Authentifizierung der Quelle und des Inhaltes von DHCP-Nachrichten bereitzustellen. Dieses Dokument definiert eine neue DHCP-Option, mit der Autorisierungs-Tickets leicht erzeugt werden können und neu angeschlossene Hosts mit der richtigen Autorisierung von einem authentifizierten DHCP-Server automatisch konfiguriert werden können.
  • In öffentlichen Umfeldern wird das DHCP-Protokoll jedoch zwischen einer Benutzereinrichtung und einem DHCP-Server verwendet, der sich in einem Zugangs-Multiplexer, einem Breitband-Zugangs-Server oder einem Edge-Router befinden kann. Der über dieses Zugangsnetz angebotene Netzwerkdienst benötigt hauptsächlich eine Benutzer-Identifizierung statt einer Einrichtungs-Identifizierung, so dass die benutzten Protokolle daher eine Authentifizierung auf Benutzer-Basis erfordern.
  • Bei einer einfachen Implementation eines Benutzer-Authentifizierungs-Protokolls, wie PAP oder CHAP in diesem DHCP-Protokoll treten jedoch die folgenden Probleme auf. Da DHCP eine Rundsende-Protokoll-Umgebung ist, ist eine PAP-Implementation nicht sicher, da Passwort und Benutzername in nicht verschlüsselter Form über das Netzwerk gesendet werden. Weiterhin enthält der aktuelle Standard des DHCP-Protokolls keine zusätzlichen Nachrichten, wie "Weiterleitung einer Challenge-Zeichenkette", die erforderlich sind, um das CHAP-Protokoll zu implementieren. In der Tat müsste man den Nachrichtenaustausch-Mechanismus von DHCP komplett ändern. Zwischen dem Augenblick, in dem ein Benutzer, in den DHCP-Dokumenten Client genannt, eine Rundsende-Nachricht DHCP-Discover an den Authentifizierer sendet, und dem Augenblick, in dem der Authentifizierer dem Benutzer eine Angebots-Nachricht sendet, können keine DHCP-Nachrichten benutzt werden. Das bedeutet, dass die CHAP-Protokoll-Sequenz nicht in das DHCP-Protokoll passt. In DHCP gibt es keinen Mechanismus, der eine sichere Authentifizierung auf Benutzer-Basis erlaubt.
  • Eine mögliche Lösung wäre es, eine Authentifizierungs-Phase hinzuzufügen, indem die Authentifizierung durchgeführt wird, nachdem die IP-Verbindung aufgebaut wurde, wenn das DHCP-Protokoll verwendet wird. In diesem Fall kann eine webbasierte Authentifizierung mit dem Hypertext Transfer Protocol (HTTP) benutzt werden. Eine solche Lösung erfordert es jedoch, dass der Benutzer bereits eine IP-Adresse hat, bevor die Authentifizierung durchgeführt wird.
  • Eine solche Lösung wird in dem US-Patent beschrieben, das am 12. April 1999 eingereicht wurde und die Patent-Nummer US 6,393,484 B1 und als Datum des Patentes den 21. Mai 2002 hat. Darin werden Informationsnetze und Betriebsverfahren beschrieben. Spezieller werden ein System und ein Verfahren für den kontrollierten Zugriff auf öffentliche und halböffentliche IP-Netze mit gemeinsam genutztem Medium beschrieben. Die Benutzer-Authentifizierung wird jedoch nur durchgeführt, nachdem die IP-Verbindung hergestellt wurde.
  • Auch die oben erläuterte veröffentlichte Patentanmeldung WO 01/11452, die eine Architektur mit einer einzigen Anmeldung bereitstellt, liefert eine Nachricht in der Form einer http-Anforderung, die ein Cookie umfasst, das von einem Browser zu einer Authentifizierungs-Einrichtung gesendet wird, und zwar nur, nachdem die IP-Verbindung aufgebaut wurde.
  • Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen, das eine Authentifizierung für einen Benutzer eines Telekommunikationsnetzes während eines Sitzungsaufbaus zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung gemäß den obigen bekannten Verfahren bereitstellt, das aber dazu geeignet ist, in öffentlichen Bereichen eingesetzt zu werden und das in vorhandenen Protokollen zum Sitzungsaufbau mit Rundsende-Charakter einfach zu implementieren ist und das so früh wie möglich beim Sitzungsaufbau stattfindet, bevor dem Benutzer ein Angebot gemacht wird, das spezielle, vom Benutzer abhängige Konfigurations-Optionen übermittelt.
  • Gemäß der Erfindung wird dieses Ziel mit dem Verfahren erreicht, mit dem eine Authentifizierung für einen Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus bereitgestellt wird, wozu ein Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung gemäß Anspruch 1 verwendet wird, und mit der Benutzereinrichtung und der Authentifizierungs-Einrichtung gemäß Anspruch 5 bzw. Anspruch 6, die ein solches Verfahren implementieren, und mit dem Telekommunikationsnetz gemäß Anspruch 8, das eine solche Benutzereinrichtung und eine solche Authentifizierungs-Einrichtung enthält.
  • Das vorliegende Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung umfasst daher die folgenden Schritte:
    • – Durch einen ersten Generator der Benutzereinrichtung Erzeugung eines Berechtigungsnachweises, der auf einem Benutzer-Passwort basiert, welches diesem Benutzer zugeordnet ist, und einer Sitzungskennung, die durch die Benutzereinrichtung für die aktuelle Sitzung des Benutzers bestimmt wird, die gerade aufgebaut wird; und
    • – Durch einen zweiten Generator der Benutzereinrichtung Aufnahme z.B. einer der ersten Sitzungs-Nachrichten des aktuell benutzten Protokolls in eine Sitzungs-Nachricht:
    • – Eine Benutzerkennung, die den Benutzer eindeutig kennzeichnet; und
    • – die bestimmte Sitzungskennung; und
    • – der erzeugte Berechtigungsnachweis; und
    • – Weiterleitung der Sitzungs-Nachricht durch den zweiten Generator an die Authentifizierungs-Einrichtung; und
    • – bei Empfang der Sitzungs-Nachricht durch die Authentifizierungs-Einrichtung Erzeugung eines Überprüfungs-Berechtigungsnachweises durch einen dritten Generator, der auf der empfangenen Sitzungskennung der Sitzungs-Nachricht und auf einem Benutzer-Passwort basiert, das entsprechend der Information der Authentifizierungs-Einrichtung der empfangenen Benutzerkennung der Sitzungs-Nachricht zugeordnet ist; und
    • – durch einen Überprüfer der Authentifizierungs-Einrichtung Vergleich des empfangenen Berechtigungsnachweises mit dem Überprüfungs-Berechtigungsnachweis und dadurch Bereitstellung der Authentifizierung für den Benutzer.
  • Indem durch die Benutzereinrichtung eine Sitzungs-Nachricht gesendet wird, welche die Benutzerkennung, z.B. den Benutzernamen und eine verschlüsselte Form seines Passwortes, d.h. einen Berechtigungsnachweis, enthält, und durch Erzeugung des Berechtigungsnachweises auf der Basis:
    • – einer Sitzungskennung, wie z.B. der Sitzungskennung der aufgebauten Verbindung, z.B. einer zufälligen Sitzungs-Nummer, die normalerweise in den bekannten Nachrichten sowieso weitergeleitet wird; und
    • – des Original-Benutzer-Passwortes, das dem Benutzer zugeordnet ist; und
    wobei die Nachricht von der Benutzereinrichtung an den Authentifizierer die Sitzungskennung, die Benutzerkennung und den erzeugten Berechtigungsnachweis enthält, unterscheidet sich das Verfahren vom CHAP-Protokoll durch die Tatsache, dass die Benutzereinrichtung die Zufalls-Zeichenkette Challenge, wie die Sitzungskennung selbst auswählt. Der Authentifizierer wiederum prüft, ob der Berechtigungsnachweis des Benutzers mit seinem eigenen Überprüfungs-Berechtigungsnachweis übereinstimmt, indem er seinen eigenen Überprüfungs-Berechtigungsnachweis auf der Basis des verfügbaren Passwortes entsprechend seiner Informationen und der empfangenen Sitzungskennung erzeugt.
  • Dieses Verfahren und die damit verbundenen Einrichtungen sind weiterhin so angepasst, dass sie zur Benutzer-Authentifizierung mit einem Rundsende-Protokoll verwendet werden können, wobei es sich um das DHCP-Protokoll handelt. Es bietet die Möglichkeit für eine bessere Sicherheit als bei Verwendung von Benutzernamen und Benutzer-Passworten in Klartext, ohne dass neue Protokoll-Nachrichten zum Sitzungsaufbau eingeführt werden müssen.
  • Weiterhin ist die Nachricht zur Bereitstellung der drei Punkte, d.h. der Benutzerkennung, die den Benutzer eindeutig kennzeichnet, der Sitzungskennung und des erzeugten Berechtigungsnachweises, die Discover-Nachricht des DHCP-Protokolls. Es muss erläutert werden, dass eine typische DHCP-Nachricht ein festes Feld und ein Options-Feld enthält. Entsprechend dem in Abschnitt 2 der oben erwähnten Protokoll-Zusammenfassung RFC 2131 beschriebenen Format der DHCP-Nachrichten enthält jede DHCP-Nachricht ein Options-Feld. Einige vordefinierte Optionen in diesem Options-Feld werden in RFC 2132 detaillierter beschrieben.
  • Weiterhin haben einige vordefinierte Optionen dieses Options-Feldes, wie zum Beispiel Option Nummer 61, ein vordefiniertes Inhalts-Feld, das frei nach den Anforderungen des Netzbetreibers implementiert werden kann. Als Beispiel kann in dieser Option Nummer 61 (siehe Abschnitt 9.14 von RFC 2132 – DHCP) das Feld i1 ... in, in dem sich typischerweise die Hardware-Adresse einer Benutzereinrichtung befindet, auch durch eine Benutzerkennung des Benutzers selbst implementiert werden. Es muss verstanden werden, dass dieses Beispiel nur eine mögliche Implementation der vorliegenden Erfindung ist. Das Ziel ist, dass die Discover-Nachricht des DHCP-Standards verschiedene mögliche Felder für die Aufnahme der oben erwähnten drei Punkte umfasst.
  • Hierbei findet die Benutzer-Authentifizierung so früh wie möglich während des Sitzungsaufbaus statt, bevor ein Angebot gemacht wird, das spezielle, vom Benutzer abhängige Konfigurations-Optionen enthält. Auf diese Weise können die drei in dem Verfahren gemäß der vorliegenden Erfindung definierten Punkte, die von der Benutzereinrichtung zur Authentifizierungs-Einrichtung zu übertragen sind, als vordefinierte neue Option definiert und in ein solches Options-Feld der Discover-Nachricht aufgenommen werden. Dies wird in Anspruch 1 beschrieben.
  • Die Sicherheit wird sogar in dem Fall noch mehr garantiert, wenn das Verfahren weiterhin auch eine Akzeptanz der empfangenen Sitzungskennung entsprechend vordefinierter Regeln und Bedingungen umfasst. Wenn über die Prüfung des Berechtigungsnachweises hinaus der Authentifizierer auch überprüft, ob die Sitzungskennung entsprechend vordefinierter Regeln und Bedingungen akzeptierbar ist, können mögliche Hacker leicht enttäuscht werden. Ein Beispiel für die vordefinierten Regeln und Bedingungen ist z.B. für eine Sitzungskennung, die beim Start jeder neuen Sitzung inkrementiert werden sollte, zu überprüfen, ob die Sitzungskennung nicht häufig erneut benutzt wird und ob die Sitzungskennung in der Tat jedes Mal inkrementiert wird. Dies wird in Anspruch 2 beschrieben. Eine mögliche Implementation der Sitzungskennung, welche die Sitzung, die gerade aufgebaut wird, eindeutig kennzeichnet, wird in Anspruch 4 beschrieben. Wie in RFC 2131 in Abschnitt 2 beschrieben, ist Feld Nummer (4) als Transaktions-Kennung definiert. Diese Transaktions-Kennung XID, auch Sitzungskennung genannt, ist normalerweise eine Zufallszahl, die vom Client, d.h. von der Benutzereinrichtung gewählt und vom Client und vom Server, d.h. vom Authentifizierer benutzt wird, um Nachrichten und Antworten zwischen einem Client und einem Server zuzuordnen. Wenn nun die Benutzereinrichtung diese Sitzungskennung als eine Nummer wählt, die bei jedem Start eines neuen Sitzungsaufbaus inkrementiert wird, wird die Authentifizierungs-Einrichtung in die Lage versetzt, den erwarteten Wert für die Sitzungskennung zu verfolgen und entsprechend zu kontrollieren, bevor sie akzeptiert wird. Da diese Sitzungskennung entsprechend einer solchen Implementation sowieso von der Benutzereinrichtung zur Authentifizierungs-Einrichtung weitergeleitet wird, muss kein zusätzliches Feld in der verwendeten Sitzungs-Nachricht vorgesehen werden. Da die Sitzungskennung gemäß dem bekannten Standard mit einer Länge von 32 Bit definiert ist, kann sie nur schwer entschlüsselt werden.
  • Schließlich muss erklärt werden, dass die Authentifizierungs-Einrichtung gemäß der vorliegenden Erfindung zumindest teilweise in einen Netzwerk-Zugang aufgenommen werden kann, der im öffentlichen Bereich bereitgestellt wird. Dies wird in Anspruch 8 beschrieben. Das bedeutet, dass die Funktionsblöcke mit ihrer zugehörigen Funktionalität als ganzes in ein und derselben Netzwerkeinrichtung enthalten sein können, aber ebenso über verschiedene Netzwerkbereiche, wie z.B. beim Netzwerk-Zugangs-Anbieter oder beim Netzwerk-Dienstanbieter verteilt sein können. Obwohl der einfachste Platz beim aktuellen Netzwerk-Zugangs-Anbieter ist, über den die Benutzereinrichtung Zugang zum öffentlichen Bereich des Internet erhält, kann ein Teil der Authentifizierungs-Einrichtung gleichzeitig beim Netzwerk-Dienstanbieter, z.B. in einem entfernten Authentifizierungs-Protokoll-Server integriert sein. Dies wird in einem späteren Abschnitt detaillierter erläutert.
  • Es muss darauf hingewiesen werden, dass der in den Ansprüchen benutzte Begriff "enthält" nicht so interpretiert werden darf, als ob er auf die danach aufgelisteten Mittel begrenzt wäre. Der Umfang des Ausdrucks "eine Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen begrenzt werden, die nur aus den Komponenten A und B bestehen. Er bedeutet bezüglich der vorliegenden Erfindung, dass nur die Komponenten A und B der Vorrichtung relevant sind.
  • Auf gleiche Weise muss darauf hingewiesen werden, dass der Begriff "verbunden", der ebenfalls in den Ansprüchen verwendet wird, nicht so interpretiert werden darf, als ob er auf direkte Verbindungen begrenzt wäre. Der Umfang des Ausdrucks "eine Vorrichtung A, die mit einer Vorrichtung B verbunden ist" darf nicht auf Vorrichtungen oder Systeme begrenzt werden, bei denen ein Ausgang von Vorrichtung A direkt an einen Eingang von Vorrichtung B angeschlossen ist. Er bedeutet, dass ein Pfad zwischen einem Ausgang von A und einem Eingang von B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen oder Mittel enthält.
  • Die obigen und weitere Aufgaben und Eigenschaften der Erfindung werden deutlicher und die Erfindung selbst wird am besten verstanden, wenn auf die folgende Beschreibung einer Ausführung zusammen mit den begleitenden Zeichnungen Bezug genommen wird, in denen:
  • 1 ein Telekommunikationsnetz darstellt, das eine Benutzereinrichtung und eine Authentifizierungs-Einrichtung gemäß der vorliegenden Erfindung enthält; und
  • 2 eine Benutzereinrichtung und eine Authentifizierungs-Einrichtung mit ihren Interaktionen gemäß der vorliegenden Erfindung und ihre zugeordneten Funktionsblöcke darstellt.
  • Die Funktion der Einrichtungen gemäß der vorliegenden Erfindung entsprechend der Telekommunikations-Umgebung, die in 1 und 2 gezeigt ist, wird mittels einer Funktionsbeschreibung der verschiedenen hier gezeigten Blöcke erklärt. Auf der Grundlage dieser Beschreibung wird einem Fachmann die praktische Implementierung der Blöcke offensichtlich sein und wird daher nicht detailliert beschrieben. Zusätzlich dazu wird die prinzipielle Funktion des Verfahrens zur Bereitstellung einer Authentifizierung für einen Benutzer detaillierter beschrieben.
  • Mit Bezug auf 1 wird ein Telekommunikationsnetz gezeigt. Das Telekommunikationsnetz umfasst ein Zugangsnetz AN, zwei Dienstanbieter-Netzwerke NSP1 und NSP2 und ein regionales Breitbandnetz RBN.
  • Das Zugangsnetz AN enthält eine Benutzereinrichtung EQUIP eines Benutzers und einen Zugangs-Multiplexer AMUX am Übergang zwischen dem Zugangsnetz AN und dem regionalen Breitbandnetz RBN.
  • Das regionale Breitbandnetz RBN enthält weiterhin einen Netzwerk-Zugangs-Anbieter NAP und zwei Edge-Router ER1 und ER2 am Übergang zum ersten Netzwerk-Dienstanbieter NSP1, bzw. zum zweiten Netzwerk-Dienstanbieter NSP2.
  • Der erste Netzwerk-Dienstanbieter NSP1 enthält weiterhin einen entfernten Authentifizierungs-Protokoll-Server RAP-S.
  • Die Benutzereinrichtung EQUIP ist über den Zugangs-Multiplexer AMUX mit dem Netzwerk-Zugangs-Anbieter NAP gekoppelt. Zwischen der Benutzereinrichtung EQUIP und dem Netzwerk-Zugangs-Anbieter NAP ist ein Protokoll zur dynamischen Host-Konfiguration DHCP freigegeben.
  • Der Netzwerk-Zugangs-Anbieter NAP ist über den ersten Edge-Router ER1 mit dem entfernten Authentifizierungs-Protokoll-Server RAP-S gekoppelt. Zwischen dem Netzwerk-Zugangs-Anbieter NAP und dem entfernten Authentifizierungs-Protokoll-Server ist ein Protokoll zur entfernten Authentifizierung RAP freigegeben.
  • Als eine mögliche Ausführung der vorliegenden Erfindung sind die Funktionsblöcke der Authentifizierungs-Einrichtung AUTH über den entfernten Authentifizierungs-Protokoll-Server RAP-S und den Netzwerk-Zugangs-Anbieter NAP verteilt. Um diese verteilte Funktionalität zu zeigen, enthält der Netzwerk-Zugangs-Anbieter NAP einen ersten Teil der Authentifizierungs-Einrichtung, AUTH' genannt, und der entfernte Authentifizierungs-Protokoll-Server enthält einen zweiten Teil der Authentifizierungs-Einrichtung, AUTH'' genannt.
  • Die beiden Teile der Authentifizierungs-Einrichtung AUTH (siehe 1) stellen gemäß dem Verfahren der Erfindung eine Authentifizierung für Benutzer 2 zur Verfügung, der in den Figuren U2 genannt wird und sich an der Benutzereinrichtung EQUIP befindet. Der Benutzer U2 wünscht, den Aufbau einer Sitzung zu beginnen. Nehmen wir an, dies sei die erste Sitzung für den Benutzer U2. Der gewünschte Sitzungsaufbau erfolgt entsprechend dem DHCP-Protokoll.
  • In 1 sind die Benutzereinrichtung EQUIP und die Authentifizierungs-Einrichtung AUTH mit ihren Interaktionen gemäß der vorliegenden Erfindung sowie die zugeordneten Funktionsblöcke gezeigt.
  • Benutzer U2 befindet sich an der Benutzereinrichtung EQUIP und liefert zum richtigen Zeitpunkt seinen Benutzernamen und sein Passwort.
  • Die Benutzereinrichtung EQUIP enthält einen ersten Generator GEN1 und einen zweiten Generator GEN2. Beide Generatoren sind zur Interaktion mit dem Benutzer U2 mit einem Ausgang der Benutzereinrichtung EQUIP, mit einem zweiten Speicher MEM2 und untereinander gekoppelt. Der zweite Generator GEN2 ist zur Interaktion mit dem Netzwerk auch an einen Ausgang der Benutzereinrichtung EQUIP gekoppelt, d.h. über den Zugangs-Multiplexer aus 2 mit der Authentifizierungs-Einrichtung AUTH.
  • Die Authentifizierungs-Einrichtung AUTH enthält die beiden oben erwähnten Teile, d.h. AUTH' und AUTH''.
  • Der erste Teil der Authentifizierungs-Einrichtung AUTH' enthält einen Akzeptierer ACC, der über einen Eingang/Ausgang des ersten Teils der Authentifizierungs-Einrichtung AUTH' mit dem zweiten Generator GEN2 der Benutzereinrichtung EQUIP und über einen Eingang/Ausgang des ersten Teils der Authentifizierungs-Einrichtung AUTH' mit dem zweiten Teil der Authentifizierungs-Einrichtung AUTH'' gekoppelt ist.
  • Der zweite Teil der Authentifizierungs-Einrichtung AUTH'' enthält einen Eingang/Ausgang, der mit einem ersten Speicher MEM1 gekoppelt ist, einen dritten Generator GEN3 und einen Überprüfer VER. Der erste Speicher MEM1 ist auch mit dem dritten Generator GEN3 gekoppelt, der wiederum auch mit dem Überprüfer VER gekoppelt ist.
  • Die Benutzereinrichtung EQUIP enthält den ersten Generator GEN1, um einen Berechtigungsnachweis C(P-U2; XID21) zu erzeugen, der auf einem Benutzer-Passwort P-U2 basiert, das dem Benutzer U2 zugeordnet ist, und auf einer Sitzungskennung XID21, die von der Benutzereinrichtung EQUIP für diese Sitzung, die gerade aufgebaut wird, festgelegt wird.
  • Der erzeugte Berechtigungsnachweis, der als C(P-U2; XID21) bezeichnet wird, wird für diese spezielle Ausführung als Einmal-Funktion gewählt. Diese Einmal-Funktion basiert auf dem Benutzer-Passwort P-U2 und auf der Sitzungskennung XID21. Das Benutzer-Passwort P-U2 wird vom Benutzer U2 zum Zeitpunkt des Beginns des Sitzungsaufbaus an seine Benutzereinrichtung geliefert. Dieses Benutzer-Passwort ist ein Passwort des Benutzers U2, das vordefiniert wurde und das dem Benutzer U2 bekannt ist.
  • Das Symbol XID21 wird dazu benutzt, zu zeigen, dass die Sitzungskennung einem Benutzer U2 (zweiter Benutzer) zugeordnet ist, der seine erste Sitzung aufbaut.
  • Die Sitzungskennung XID21 wird gewählt, um die Sitzungskennung gemäß DHCP RFC 2131 zu sein. Es muss verstanden werden, dass ein vordefiniertes Verfahren mit vordefinierten Regeln und Bedingungen benutzt wird, um diese Sitzungskennung XID21 zu bestimmen. Nehmen wir an, dass der Wert der Sitzungskennung von der Benutzereinrichtung EQUIP aus dem vorherigen Wert einer vorherigen Sitzung von Benutzer U2 durch Erhöhung um eins bestimmt wird. Das bedeutet, dass der aktuelle Wert der Sitzungskennung XID21 in der Benutzereinrichtung immer gespeichert werden muss. Dies ist in 1 mit dem zweiten Speicher MEM2 gezeigt. Die Funktionsblöcke zum Nachschlagen des vorherigen wertes einer Sitzungskennung und zur Berechnung des neuen Wertes werden hier nicht detailliert beschrieben. Das Ziel ist, dass der neue Wert bestimmt und im zweiten Speicher MEM2 gespeichert wird. Dieser neue Wert wird vom ersten Generator mittels der Benutzerkennung USER2, die der Sitzungskennung XID21 zugeordnet ist, in den zweiten Speicher-Mitteln gesucht.
  • Die Benutzerkennung USER2 wird vom Benutzer U2 an die Benutzereinrichtung EQUIP geliefert. Die Benutzerkennung wird hier durch "username@servicename" implementiert und ist eine eindeutige Kennzeichnung des Benutzers U2.
  • Wenn der erste Generator GEN1 die richtige Sitzungskennung XID21 abgerufen hat und das Benutzer-Passwort P-U2 von Benutzer U2 empfangen hat, ist der erste Generator in der Lage, den erforderlichen Berechtigungsnachweis C(P-U2; XID21) zu erzeugen.
  • Der erzeugte Berechtigungsnachweis C(P-U2; XID21) wird vom ersten Generator GEN1 an den zweiten Generator GEN2 geliefert.
  • Der zweite Generator GEN2 ist in der Lage, in eine Sitzungs-Nachricht DISCOVER(USER2; XID21; C(P-U2; XID21)) des DHCP-Protokolls eine Benutzerkennung USER2, die den Benutzer U2 eindeutig kennzeichnet, die Sitzungskennung XID21 und den erzeugten Berechtigungsnachweis C(P-U2; XID21) aufzunehmen und diese Sitzungs-Nachricht DISCOVER(USER2; XID21; C(P-U2; XID21)) an den ersten Teil der Authentifizierungs-Einrichtung AUTH' weiterzuleiten.
  • Der Benutzer-Parameter USER2 wird vom Benutzer U2 an die Benutzereinrichtung EQUIP geliefert, wie oben beschrieben.
  • Die Sitzungskennung XID21 wird vom zweiten Generator GEN2 abgerufen, wieder entsprechend der Zuordnung zur Benutzerkennung USER2, und wird vom zweiten Speicher MEM2 an diesen zweiten Generator GEN2 geliefert. Auf diese Weise empfängt der zweite Generator GEN2 alle Informationen, die in eine Sitzungs-Nachricht aufgenommen werden müssen. In dieser Ausführung wird es vorgezogen, die bekannte Nachricht DISCOVER des DHCP-Protokolls zu verwenden. Die Authentifizierungs-Information wird in das Options-Feld dieser DISCOVER-Nachricht aufgenommen. Die Authentifizierungs-Information ist die Benutzerkennung USER2, die Sitzungskennung XID21 und der erzeugte Berechtigungsnachweis C(P-U2; XID21).
  • Es muss darauf hingewiesen werden, dass obwohl diese bevorzugte Ausführung die Aufnahme der kompletten Authentifizierungs-Information in das Options-Feld einer DHCP-Nachricht beschreibt, die vorliegende Erfindung nicht auf solche Implementationen begrenzt ist. In der Tat kann ein Fachmann kleine Änderungen der vorliegenden Beschreibung einer Ausführung durchführen, um sie an eine Implementation anzupassen, in der die drei Teile der Authentifizierungs-Information nicht in das Options-Feld einer DHCP-Nachricht aufgenommen werden, sondern in das vordefinierte feste Feld der DHCP-Nachricht. Darüber hinaus müssen die drei Authentifizierungs-Teile nicht zusammen in ein identisches Feld aufgenommen werden, sondern können auf verteilte Weise in der DHCP-Nachricht enthalten sein. Berücksichtigt man dies, muss darauf hingewiesen werden, dass die Sitzungskennung XID bereits ein vordefinierter Teil des festen Feldes der Discover-Nachricht ist, wobei sie nicht an einer anderen Stelle der Nachricht wiederholt werden muss (nicht im festen Feld und nicht im Options-Feld der Nachricht). So kann zum Beispiel die Sitzungskennung im festen Feld der DHCP-Nachricht enthalten sein, wobei die Benutzerkennung an einer ersten Stelle einer ersten Option des Options-Feldes enthalten ist und der Berechtigungsnachweis an einer zweiten Stelle einer zweiten Option des Options-Feldes enthalten ist.
  • Der zweite Generator GEN2 erzeugt diese DISCOVER-Nachricht und nimmt die Authentifizierungs-Information in ihr Options-Feld auf. Die erzeugte DISCOVER-Nachricht wird über den Zugangs-Multiplexer AMUX im regionalen Breitbandnetz in Richtung auf, neben möglichen anderen, den ersten Teil der Authentifizierungs-Einrichtung AUTH' verteilt.
  • Bei Empfang der DISCOVER-Nachricht durch den ersten Teil der Authentifizierungs-Einrichtung AUTH' wird die Sitzungskennung XID21 aus der Nachricht entnommen und an den Akzeptierer ACC angelegt. Der Akzeptierer bestimmt entsprechend vordefinierter Regeln und Bedingungen die Annahme dieser empfangenen Sitzungskennung XID21. Dazu bestimmt der Akzeptierer zuerst eine erwartete Sitzungskennung. Diese erwartete Kennung wird entsprechend vordefinierter Regeln und Bedingungen bestimmt, wie sie von der Benutzereinrichtung EQUIP benutzt werden. Der Akzeptierer hat dazu einen vorherigen Wert für eine vorherige Sitzung des Benutzers U2 gespeichert. Der Akzeptierer entnimmt aus der DISCOVER-Nachricht die Benutzerkennung USER2 und bestimmt hiermit und entsprechend der zuvor gespeicherten Information die zuletzt benutzte Sitzungskennung XID für Benutzer U2. Bei Erkennung der vorherigen Sitzungskennung wird die erwartete Sitzungskennung durch den Akzeptierer gemäß vordefinierter Regeln und Bedingungen bestimmt, d.h. durch Erhöhung um eins. Der Wert der empfangenen Sitzungskennung XID21 und der Wert der erwarteten Sitzungskennung werden miteinander verglichen, wobei der Akzeptierer die aktuell benutzte Sitzungskennung XID21 in dem Fall akzeptiert, wenn diese Werte zueinander passen. Mit diesem zusätzlichen Schritt der Überprüfung der Akzeptanz der Sitzungskennung XID21 wird ein zusätzlicher Grad an Sicherheit bereitgestellt.
  • Obwohl gemäß dieser Ausführung der Akzeptierer einen erwarteten Wert für die Sitzungskennung bestimmt, kann der Akzeptierer ebenso die empfangene Sitzungskennung mit einem erwarteten Satz von Sitzungskennungen vergleichen. Ein Beispiel hierfür ist, dass die empfangene Sitzungskennung sich im Bereich zwischen der zuvor empfangenen Sitzungskennung plus 10 befinden muss.
  • Bei Erzeugung eines Akzeptanz-Signals durch den Akzeptierer ACC erhält der erste Teil der Authentifizierungs-Einrichtung AUTH' die Erlaubnis, die Authentifizierungs-Information an den zweiten Teil der Authentifizierungs-Einrichtung AUTH'' weiterzuleiten.
  • Wie oben beschrieben, ist das Protokoll zwischen dem ersten Teil der Authentifizierungs-Einrichtung AUTH' und dem zweiten Teil der Authentifizierungs-Einrichtung AUTH'' ein Protokoll zur entfernten Authentifizierung (Remote Authentication Protocol). Es muss verstanden werden, dass dieses Protokoll seine eigene sichere Art und Weise besitzen muss, die Authentifizierungs-Information zu übertragen. Der erste Teil der Authentifizierungs-Einrichtung AUTH' nimmt die Authentifizierungs-Information in eine seiner Nachrichten auf und sendet sie an den zweiten Teil der Authentifizierungs-Einrichtung AUTH''.
  • Der zweite Teil der Authentifizierungs-Einrichtung AUTH'' entnimmt die Authentifizierungs-Information, d.h. die Benutzerkennung USER2, die Sitzungskennung XID21 und der Berechtigungsnachweis C(P-U2; XID21) aus der empfangenen Nachricht.
  • Der dritte Generator GEN3 ist im zweiten Teil der Authentifizierungs-Einrichtung AUTH'' enthalten, um einen Überprüfungs-Berechtigungsnachweis VC(P-U2; XID21) zu erzeugen, der auf der empfangenen Sitzungskennung XID21 und auf einem Benutzer-Passwort P-U2 basiert, das der empfangenen Benutzerkennung USER2 zugeordnet ist, und um den Überprüfungs-Berechtigungsnachweis (VC(P-U2; XID21)) an einen Überprüfer (VER) zu liefern.
  • Dazu benutzt der dritte Generator GEN3 die entnommene Sitzungskennung XID21 und die entnommene Benutzerkennung USER2. Die Benutzerkennung USER2 wird dazu verwendet, aus dem ersten Speicher MEM1 das zugeordnete Benutzer-Passwort P-U2 abzurufen. Dieses Benutzer-Passwort wurde zuvor bereitgestellt und vom Betreiber im zweiten Teil der Authentifizierungs-Einrichtung AUTH'' gespeichert.
  • Mit der Sitzungskennung XID21 und dem abgerufenen Benutzer-Passwort P-U2 erzeugt der dritte Generator GEN3 seinen Überprüfungs-Berechtigungsnachweis VC(P-U2; XID21) und liefert dieses an den Überprüfer VER.
  • Der Überprüfer VER ist im zweiten Teil der Authentifizierungs-Einrichtung enthalten, um den Überprüfungs-Berechtigungsnachweis VC(P-U2; XID21) und den empfangenen Berechtigungsnachweis C(P-U2; XID21) zu vergleichen und hierdurch die Authentifizierung für den Benutzer U2 zu liefern.
  • Hierzu benutzt der Überprüfer VER den entnommenen Berechtigungsnachweis C(P-U2; XID21) und den erzeugten Überprüfungs-Berechtigungsnachweis VC(P-U2; XID21). Wenn eine Übereinstimmung beider Werte gefunden wird, erzeugt der Überprüfer VER eine Bestätigung der Authentifizierung, die vom zweiten Teil der Authentifizierungs-Einrichtung AUTH'' an den ersten Teil der Authentifizierungs-Einrichtung AUTH' (nicht gezeigt) gesendet wird. Der erste Teil der Authentifizierungs-Einrichtung AUTH' bestätigt dem Benutzer U2 diese Bestätigung der Authentifizierung mittels einer DHCP-Nachricht, z.B. durch die DHCP-Nachricht Offer, die zur Benutzereinrichtung EQUIP gesendet wird.
  • Die prinzipielle Funktion des Verfahrens zur Bereitstellung einer Authentifizierung für einen Benutzer wird nun im folgenden Abschnitt beschrieben.
  • Das Verfahren zur Bereitstellung einer Authentifizierung für Benutzer U2 während des Sitzungsaufbaus entsprechend einem DHCP-Protokoll zwischen der Benutzereinrichtung und der Authentifizierungs-Einrichtung AUTH umfasst die folgenden prinzipiellen Schritte:
    • – Bereitstellung eines Benutzer-Kennwortes P-U2 und einer Benutzerkennung USER2 durch den Benutzer U2 an die Benutzereinrichtung EQUIP; und
    • – Feststellung einer Sitzungskennung XID21 durch die Benutzereinrichtung EQUIP für diese Sitzung gemäß vordefinierter Regeln und Bedingungen; und
    • – Speichern dieser neu berechneten Sitzungskennung im zweiten Speicher MEM2 in Verbindung mit der Benutzerkennung USER2; und
    • – Abruf der Sitzungskennung XID21 durch den ersten Generator GEN1 aus dem zweiten Speicher MEM2 gemäß der Benutzerkennung USER2; und
    • – Erzeugung eines Berechtigungsnachweises C(P-U2; XID21) durch den ersten Generator GEN1 auf der Basis des Benutzer-Passwortes P-U2 und der abgerufenen Sitzungskennung XID21; und
    • – Weiterleitung des erzeugten Berechtigungsnachweises C(P-U2; XID21) durch den ersten Generator GEN1 an den zweiten Generator GEN2; und
    • – Aufnahme der Benutzerkennung USER2 und der Sitzungskennung XID21 in eine Nachricht DISCOVER der DHCP-Sitzung DISCOVER(USER2; XID21; C(P-U2; XID21)); und
    • – Weiterleitung der Discover-Nachricht durch den zweiten Generator GEN2 an den ersten Teil der Authentifizierungs-Einrichtung AUTH'; und
    • – Entnahme der Sitzungskennung XID21 und der Benutzerkennung USER2 durch den ersten Teil der Authentifizierungs-Einrichtung AUTH'; und
    • – Bestimmung der vorherigen Sitzungskennung, die der entnommenen Benutzerkennung USER2 zugeordnet ist; und
    • – Bestimmung einer aktuellen Sitzungskennung entsprechend vordefinierter Regeln und Bedingungen, die mit der von der Benutzereinrichtung EQUIP verwendeten verbunden ist; und
    • – Durch den Akzeptierer ACC Vergleich der entnommenen Sitzungskennung XID21 mit der lokal für die Benutzerkennung USER2 bestimmten Sitzungskennung; und
    • – Für den Fall identischer Sitzungskennungen Erzeugung einer Akzeptanz der empfangenen Sitzungskennung XID21; und
    • – Durch den Akzeptierer ACC Erlaubnis an den ersten Teil des Authentifizierers AUTH', die Authentifizierungs-Information weiterzuleiten, bei der es sich um die Benutzerkennung USER2, die Sitzungskennung XID21 und den Berechtigungsnachweis C(P-U2; XID21) handelt; und
    • – Weiterleitung der Authentifizierungs-Information entsprechend einem Protokoll zur sicheren entfernten Authentifizierung RAP durch den ersten Teil der Authentifizierungs-Einrichtung AUTH'; und
    • – Entnahme der Authentifizierungs-Information durch den zweiten Teil der Authentifizierungs-Einrichtung AUTH''; und
    • – Abruf des lokal verfügbaren Benutzer-Passwortes P-U2 durch den dritten Generator GEN3 entsprechend der entnommenen Benutzerkennung USER2; und
    • – Erzeugung eines Überprüfungs-Berechtigungsnachweises VC(P-U2; XID21) durch den dritten Generator GEN3, der auf dem abgerufenen lokalen Benutzer-Passwort P-U2 und der entnommenen Sitzungskennung XID21 beruht; und
    • – Bereitstellung des erzeugten Überprüfungs-Berechtigungsnachweises VC(P-U2; XID21) durch den dritten Generator GEN3 an den Überprüfer VER; und
    • – Vergleich des entnommenen Berechtigungsnachweises C(P-U2; XID21) mit dem lokal erzeugten Überprüfungs-Berechtigungsnachweis VC(P-U2; XID21) durch den Überprüfer VER; und
    • – Für den Fall identischer Berechtigungsnachweise Bereitstellung einer Authentifizierungs-Bestätigungs-Nachricht durch den Überprüfer VER; und
    • – Übertragung der Authentifizierungs-Bestätigung durch den zweiten Teil der Authentifizierungs-Einrichtung AUTH'' und entsprechend dem Protokoll zur entfernten Authentifizierung an den ersten Teil der Authentifizierungs-Einrichtung AUTH'; und
    • – Weiterhin Übertragung dieser Bestätigung durch den ersten Teil der Authentifizierungs-Einrichtung AUTH' und entsprechend einer DHCP-Nachricht an die Benutzereinrichtung EQUIP, wodurch die Authentifizierung für den Benutzer U2 realisiert wird.
  • Eine abschließende Anmerkung ist, dass Ausführungen der vorliegenden Erfindung oben anhand von Funktionsblöcken beschrieben wurden. Aus der oben angegebenen funktionellen Beschreibung ist es einem Fachmann für die Entwicklung elektronischer Geräte offensichtlich, wie Ausführungen dieser Blöcke mit bekannten elektronischen Bauelementen hergestellt werden können. Eine detaillierte Architektur des Inhaltes der Funktionsblöcke wird daher nicht angegeben.
  • Obwohl die Prinzipien der Erfindung oben in Verbindung mit einer speziellen Vorrichtung beschrieben wurden, muss deutlich verstanden werden, dass diese Beschreibung nur als Beispiel erfolgt und nicht als Einschränkung des Umfangs der Erfindung, wie in den beigefügten Ansprüchen definiert.

Claims (8)

  1. Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem Protokoll zwischen einer Benutzereinrichtung (EQUIP) und einer Authentifizierungs-Einrichtung (AUTH), wobei das Verfahren folgendes umfasst: – Durch die Benutzereinrichtung (EQUIP) Erzeugung eines Berechtigungsnachweises (C(P-U2; XID21)), der auf einem Benutzer-Passwort (P-U2), welches dem Benutzer (U2) zugeordnet ist, und einer Sitzungskennung (XID21) basiert, die von der Benutzereinrichtung (EQUIP) für die Sitzung des Benutzers (U2) bestimmt wird, die gerade aufgebaut wird; und dadurch gekennzeichnet, dass das Protokoll (DHCP) ein Protokoll zur dynamischen Host-Konfiguration (Dynamic Host Configuration Protocol) ist und dass das Verfahren weiterhin folgendes umfasst: – In einer Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) des Protokolls (DHCP) Aufnahme einer Benutzerkennung (USER2), die den Benutzer (U2) eindeutig kennzeichnet, der Sitzungskennung (XID21) und des erzeugten Berechtigungsnachweises (C(P-U2; XID21)), wobei die Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) eine Discover-Nachricht des Dynamic Host Configuration Protocol ist; und – Weiterleitung der Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) durch die Benutzereinrichtung (EQUIP) an die Authentifizierungs-Einrichtung (AUTH); und – Bei Empfang der Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) durch die Authentifizierungs-Einrichtung (AUTH) Vergleich des empfangenen Berechtigungsnachweises (C(P-U2; XID21)) mit einem erzeugten Überprüfungs-Berechtigungsnachweis (VC(P-U2; XID21)), der auf der empfangenen Sitzungskennung (XID21) und dem Benutzer-Passwort (P-U2) basiert, das der empfangenen Benutzerkennung (USER2) zugeordnet ist, und dadurch Bereitstellung der Authentifizierung für den Benutzer (U2).
  2. Das Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) gemäß Anspruch 1, dadurch gekennzeichnet, dass das Verfahren weiterhin auch die Bestimmung einer Akzeptanz der empfangenen Sitzungskennung (XID21) entsprechend vordefinierter Regeln und Bedingungen umfasst.
  3. Das Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) gemäß Anspruch 1, dadurch gekennzeichnet, dass die Benutzerkennung (USER2), die Sitzungskennung (XID21) und der erzeugte Berechtigungsnachweis (C(P-U2; XID21)) in eine vordefinierte Option eines Options-Feldes der Discover-Nachricht aufgenommen werden.
  4. Das Verfahren zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) gemäß jedem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Sitzungskennung (XID21) eine Transaktionskennung entsprechend dem Dynamic Host Configuration Protocol ist, welche die Sitzung, die gerade aufgebaut wird, eindeutig kennzeichnet.
  5. Eine Benutzereinrichtung (EQUIP) in einem Telekommunikationsnetz zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) während des Sitzungsaufbaus entsprechend einem Protokoll (DHCP) zwischen der Benutzereinrichtung (EQUIP) und einer Authentifizierungs-Einrichtung (AUTH), wobei die Benutzereinrichtung (EQUIP) folgendes umfasst: – Einen ersten Generator (GEN1) zur Erzeugung eines Berechtigungsnachweises (C(P-U2; XID21)), der auf einem Benutzer-Passwort (P-U2), das dem Benutzer (U2) zugeordnet ist und einer Sitzungskennung (XID21) basiert, die durch die Benutzereinrichtung (EQUIP) für die Sitzung des Benutzers (U2) bestimmt wird, die gerade aufgebaut wird; und dadurch gekennzeichnet, dass das Protokoll (DHCP) ein Protokoll zur dynamischen Host-Konfiguration (Dynamic Host Configuration Protocol) ist und dass die Benutzereinrichtung (EQUIP) weiterhin folgendes umfasst: – Einen zweiten Generator (GEN2), um in eine Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) des Protokolls (DHCP) eine Benutzerkennung (USER2), die den Benutzer (U2) eindeutig kennzeichnet, die Sitzungskennung (XID21) und den erzeugten Berechtigungsnachweis (C(P-U2; XID21)) aufzunehmen und die Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) an die Authentifizierungs-Einrichtung (AUTH) weiterzuleiten, um dadurch die Authentifizierungs-Einrichtung (AUTH) in die Lage zu versetzen, den empfangenen Berechtigungsnachweis (C(P-U2; XID21)) zu überprüfen und dadurch die Authentifizierung für den Benutzer (U2) bereitzustellen, wobei die Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) eine Discover-Nachricht des Dynamic Host Configuration Protocol ist.
  6. Eine Authentifizierungs-Einrichtung (AUTH) zur Bereitstellung einer Authentifizierung für einen Benutzer (U2) in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem Protokoll (DHCP) zwischen einer Benutzereinrichtung (EQUIP) und der Authentifizierungs-Einrichtung (AUTH), dadurch gekennzeichnet, dass das Protokoll (DHCP) ein Dynamic Host Configuration Protocol ist und dass die Authentifizierungs-Einrichtung (AUTH) folgendes enthält: Einen dritten Generator (GEN3) zur Erzeugung eines Überprüfungs-Berechtigungsnachweises (VC(P-U2; XID21)), der auf einer empfangenen Sitzungskennung (XID21) und einem Benutzer-Passwort (P-U2) basiert, das einer empfangenen Benutzerkennung (USER2) zugeordnet ist, und zur Bereitstellung des Überprüfungs-Berechtigungsnachweises (VC(P-U2; XID21)) an einen Überprüfer (VER); und Den Überprüfer (VER), der an den dritten Generator (GEN3) gekoppelt ist, um den Überprüfungs-Berechtigungsnachweis (VC(P-U2; XID21)) mit einem empfangenen Berechtigungsnachweis (C(P-U2; XID21)) zu vergleichen und dadurch die Authentifizierung für den Benutzer (U2) bereitzustellen; Die empfangene Benutzerkennung (USER2), die empfangene Sitzungskennung (XID21) und der empfangene Berechtigungsnachweis (C(P-U2; XID21)) werden von der Benutzereinrichtung (EQUIP) in einer Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) des Protokolls (DHCP) empfangen, wobei die Sitzungs-Nachricht (DISCOVER(USER2; XID21; C(P-U2; XID21))) eine Discover-Nachricht des Dynamic Host Configuration Protocol ist.
  7. Die Authentifizierungs-Einrichtung (AUTH) gemäß Anspruch 6, dadurch gekennzeichnet, dass die Authentifizierungs-Einrichtung mindestens teilweise in einem Netzwerk-Zugangs-Anbieter (NAP) enthalten ist.
  8. Telekommunikationsnetz zur Bereitstellung einer Authentifizierung für einen Benutzer (U2), dadurch gekennzeichnet, dass das Telekommunikationsnetz eine Benutzereinrichtung (EQUIP) gemäß Anspruch 5 und eine Authentifizierungs-Einrichtung (AUTH) gemäß Anspruch 6 oder Anspruch 7 enthält.
DE60203312T 2002-12-20 2002-12-20 Verfahren und Vorrichtung zur Authentifizierung eines Benutzers Expired - Lifetime DE60203312T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP02293184A EP1434404B1 (de) 2002-12-20 2002-12-20 Verfahren und Vorrichtung zur Authentifizierung eines Benutzers

Publications (2)

Publication Number Publication Date
DE60203312D1 DE60203312D1 (de) 2005-04-21
DE60203312T2 true DE60203312T2 (de) 2006-04-27

Family

ID=32405800

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60203312T Expired - Lifetime DE60203312T2 (de) 2002-12-20 2002-12-20 Verfahren und Vorrichtung zur Authentifizierung eines Benutzers

Country Status (4)

Country Link
US (1) US20040128561A1 (de)
EP (1) EP1434404B1 (de)
AT (1) ATE291321T1 (de)
DE (1) DE60203312T2 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1601958B (zh) * 2003-09-26 2010-05-12 北京三星通信技术研究有限公司 基于cave算法的hrpd网络接入认证方法
UA92153C2 (ru) * 2004-07-30 2010-10-11 Квелкомм Инкорпорейтед Быстрое установление соединения для доступа в сеть
US9032065B2 (en) * 2004-07-30 2015-05-12 Qualcomm Incorporated Fast link establishment for network access
JP2006086907A (ja) * 2004-09-17 2006-03-30 Fujitsu Ltd 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
KR20070103362A (ko) * 2004-09-28 2007-10-23 콸콤 인코포레이티드 서로 다른 링크 확립 프로토콜을 가진 네트워크들에 대한핸드오프 지원
US8233416B2 (en) 2004-09-28 2012-07-31 Qualcomm Incorporated Handoff supports for networks having different link establishment protocols
US7558866B2 (en) * 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
US8661252B2 (en) 2008-06-20 2014-02-25 Microsoft Corporation Secure network address provisioning
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10158489B2 (en) 2015-10-23 2018-12-18 Oracle International Corporation Password-less authentication for access management
US11341796B1 (en) 2021-01-04 2022-05-24 Bank Of America Corporation System for secure access and initiation using a remote terminal

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6230269B1 (en) * 1998-03-04 2001-05-08 Microsoft Corporation Distributed authentication system and method
US6161185A (en) * 1998-03-06 2000-12-12 Mci Communications Corporation Personal authentication system and method for multiple computer platform
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6742126B1 (en) * 1999-10-07 2004-05-25 Cisco Technology, Inc. Method and apparatus for identifying a data communications session
AU2001247295A1 (en) * 2000-03-07 2001-09-17 General Instrument Corporation Authenticated dynamic address assignment
JP2002247047A (ja) * 2000-12-14 2002-08-30 Furukawa Electric Co Ltd:The セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US6952428B1 (en) * 2001-01-26 2005-10-04 3Com Corporation System and method for a specialized dynamic host configuration protocol proxy in a data-over-cable network
US7769838B2 (en) * 2001-08-23 2010-08-03 The Directv Group, Inc. Single-modem multi-user virtual private network
US7036143B1 (en) * 2001-09-19 2006-04-25 Cisco Technology, Inc. Methods and apparatus for virtual private network based mobility
US7134140B2 (en) * 2001-09-27 2006-11-07 Mcafee, Inc. Token-based authentication for network connection
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7096490B2 (en) * 2002-03-20 2006-08-22 Actiontec Electronics, Inc. Information routing device having an auto-configuration feature
US20030204744A1 (en) * 2002-04-26 2003-10-30 Robert-Claude Maltais Network access control

Also Published As

Publication number Publication date
EP1434404A1 (de) 2004-06-30
US20040128561A1 (en) 2004-07-01
ATE291321T1 (de) 2005-04-15
EP1434404B1 (de) 2005-03-16
DE60203312D1 (de) 2005-04-21

Similar Documents

Publication Publication Date Title
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60027971T2 (de) Einmalige Anmeldung in einem Netzwerksystem, das mehrere gesondert steuerbare Ressourcen mit begrenztem Zugang enthält
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE60218042T2 (de) Verfahren und system für einen dienstleistungsprozess zur bereitstellung eines dienstes zu einem kunden
DE60203312T2 (de) Verfahren und Vorrichtung zur Authentifizierung eines Benutzers
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60217962T2 (de) Benutzerauthentisierung quer durch die Kommunikationssitzungen
DE69830726T2 (de) Verfahren zum betrieb eines systems von authentifizierungsservern sowie ein solches system
DE60031878T2 (de) Schlüsselaustausch für eine netzwerkarchitektur
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
DE112012002729T5 (de) Zero-Sign-On-Authentifizierung
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
EP3078177A1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems mit hilfe eines modifizierten domain name systems (dns)
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
DE10330079A1 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
DE602004012103T2 (de) Verfahren zum verteilen von passwörtern
EP3432539B1 (de) Verfahren zum aufbau eines kommunikationskanals zwischen einer servereinrichtung und einer clienteinrichtung
EP3376419B1 (de) System und verfahren zum elektronischen signieren eines dokuments
WO2005074189A1 (de) Schaltungsanordnung und verfahren zur kommunikationssicherheit innerhalb von kommunikationsnetzen
DE10260926B4 (de) Kommunikationsverfahren
DE60218554T2 (de) Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server
DE102009031143B3 (de) Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats
DE102008042406B4 (de) Verfahren zum sicheren Austausch von Daten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ALCATEL LUCENT, PARIS, FR