EP1844619A1

EP1844619A1 - Mobile radio network, method for operating a terminal device in such a network and terminal device with integrated electronic circuit arrangements for storing parameters that identify the terminal device

Info

Publication number: EP1844619A1
Application number: EP05714912A
Authority: EP
Inventors: Frank Mademann
Original assignee: Nokia Siemens Networks GmbH and Co KG
Current assignee: Nokia Solutions and Networks GmbH and Co KG
Priority date: 2005-01-26
Filing date: 2005-01-26
Publication date: 2007-10-17
Also published as: WO2006079298A1; DE112005003522A5

Abstract

The invention relates to a mobile radio network (MFN) which comprises at least one network node (NKn) and at least one server (S) and a plurality of terminal devices (ME) comprising one electronic circuit arrangement each that is integrated into the terminal device (ME), a parameter identifying the terminal device (ME) being stored in said circuit arrangement. At least one access network node (ZNK) to a packet data network (PDN) is connected to the network node (NKn). The invention also relates to a method for operating a terminal device (ME) in the mobile radio network (MFN) and to a terminal device (ME) for use in said method.

Description

Beschreibung description

MOBILFUNKNETZ, VERFÄHREN ZtJM BETRIEBEN EINES ENDGERÄTES IN EINEM SOLCHEN UND ENDGERÄT MIT INTEGRIERTEN ELEKTRONISCHEN SCHALTUNGSANORDNUNGEN ZUR SPEICHERUNG VON DAS ENDGERÄT IDENTIFIZIERENDEN PARAMETERNMOBILE RADIO NETWORK PROCESSES ZTJM OPERATING A TERMINAL DEVICE IN SUCH A DEVICE WITH INTEGRATED ELECTRONIC CIRCUIT ARRANGEMENTS FOR STORING PARAMETERS IDENTIFYING THE TERMINAL DEVICE

Die Erfindung betrifft ein Mobilfunknetz mit mindestens einem Netzknoten und mindestens einem Server und mehreren Endgeräten mit j eweils einer in das Endgerät integrierten elektronischen Schaltungsanordnung, in der ein das Endgerät identifi- zierender Parameter gespeichert ist, wobei mit dem Netzknoten mindestens ein Zugangsnetzknoten zu einem Paketdatennetz verbunden ist .The invention relates to a mobile radio network having at least one network node and at least one server and a plurality of terminals with an electronic circuit arrangement integrated into the terminal, in which a parameter identifying the terminal is stored, wherein at least one access network node is connected to the network node to form a packet data network is.

Ein Mobilfunknetz der eingangs angegebenen Art ist ein zellu- lares Mobilfunknetz; derartige Mobilfunknetze werden heutzutage üblicherweise basierend auf Mobilfunkstandards der so genannten zweiten oder dritten Generation betrieben, für welche häufig auch die Abkürzungen 2G bzw . 3G verwendet werden . Ein Beispiel für einen weit verbreiteten Mobilfunkstandard der zweiten Generation ist der GSM-Standard (Global System for Mobile Communications ) . Dieser wurde mit der Einführung des GPRS-Standards (General Packet Radio Service) für die Unterstützung von Diensten in einem Paketdatennetz (Paketdatendienste) weiterentwickelt, wodurch der Zugang zu IP (Internet Protocol) -basierten Paketdatennetzen wie etwa dem Internet ermöglicht wird . Ein Beispiel für ein Mobilfunknetz der dritten Generation ist der UMTS-Standard (Universal Mobile TeIe- communication System) , welcher im Rahmen der 3GPP-Standardi- sierung ( 3rd Generation Partnership Proj ect) spezifiziert worden ist.A mobile radio network of the type specified in the introduction is a cellular mobile radio network; Such mobile networks are nowadays usually operated based on mobile radio standards of the so-called second or third generation, for which often the abbreviations 2G or. 3G can be used. An example of a widely used second generation mobile radio standard is the GSM (Global System for Mobile Communications) standard. This has been further developed with the introduction of the General Packet Radio Service (GPRS) standard for the support of services in a packet data network, allowing access to IP (Internet Protocol) -based packet data networks, such as the Internet. An example of a third-generation mobile network is the Universal Mobile Telephony (UMTS) standard, which has been specified as part of 3GPP standardization (3rd Generation Partnership Project).

In den genannten Mobilfunknetzen der zweiten bzw . dritten Generation findet die Personalisierung eines Endgerätes für ei- nen Teilnehmer durch die Verwendung einer so genannten SIM- Karte (Subscriber Identity Module) statt, welche üblicherweise von den Netzbetreibern beziehungsweise Mobilfunkanbietern bereitgestellt wird . Auf der SIM-Karte, im Rahmen der 3GPP-Standardisierung auch UICC (Universal Integrated Circuit Chip) genannt, befindet sich mindestens eine als (U) SIM ( (Universal) Subscriber Identity Module) bezeichnete Applikation . Diese enthält üblicherweise alle teilnehmerspezifischen Daten wie etwa die internationale Mobilteilnehmer-Rufnummer MSISDN (Mobile Subscriber ISDN Number) , die internationaleIn the aforementioned mobile networks of the second or. third generation, the personalization of a terminal for a NEN participants by the use of a so-called SIM card (Subscriber Identity Module) instead, which is usually provided by the network operators or mobile operators. On the SIM card, also known as Universal Integrated Circuit Chip (UICC) within the framework of 3GPP standardization, there is at least one application known as (U) SIM (Universal Subscriber Identity Module). This usually contains all the subscriber-specific data, such as the international mobile subscriber number MSISDN (Mobile Subscriber ISDN Number), the international

Mobilteilnehmerkennung IMSI ( International Mobile Subscriber Identity) und die bei der Anmeldung des Endgerätes im Mobilfunknetz zwecks Authentifizierung und Schlüsselvereinbarung verwendeten Routinen und Parameter .Mobile subscriber identity IMSI (International Mobile Subscriber Identity) and the routines and parameters used in the registration of the terminal in the mobile network for authentication and key agreement.

Eine wichtige Aufgabe der (U) SIM besteht in der Generierung der zur Verschlüsselung der Datenübertragung und der Signalisierung zwischen dem Endgerät und dem Mobilfunknetz verwendeten Schlüssel . Die Routinen der (U) SIM zur Authentifizierung und zur Schlüsselberechnung sind sowohl im GSM-Standard als auch im 3GPP-Standard üblicherweise spezifisch für den j eweiligen Netzbetreiber, d . h . sie sind nicht Bestandteil der j eweiligen Mobilfunkstandards . Dies bedeutet, dass sowohl in der (U) SIM als auch in den Authentifizierungs-Zentren der Netzbetreiber für den j eweiligen Netzbetreiber spezifische Routinen realisiert werden . Weiterhin speichern die (U) SIM sowie das Authentifizierungs-Zentrum einen geheimen Wert spezifisch für j ede (U) SIM, welcher für das zur Authentifizierung und Schlüsselgenerierung verwendete symmetrische Verfah- ren benötigt wird . Symmetrische Verfahren zeichnen sich generell dadurch aus , dass für die Verschlüsselung und Entschlüsselung j eweils derselbe Schlüssel verwendet wird . Die Mobilfunkstandards GSM und 3GPP sehen derzeit auch für ausschließlich zur Paketdatenübertragung vorgesehene Endgeräte eine auf einer ^• SIM-Karte gespeicherte (U) SIM mit einer internationalen Mobilteilnehmer-Rufnummer MSISDN und einer internationalen Mobilteilnehmerkennung IMSI vor . Die internationale Mobilteilnehmer-Rufnummer MSISDN wird für die Datenübertragung mittels Kurznachrichten SMS (Short Message Service) und für leitungsvermittelte Datendienste benötigt . Darüber hinaus erfolgt typischerweise auch die Vergebührung un- ter der internationalen Mobilteilnehmer-Rufnummer MSISDN .An important task of the (U) SIM is the generation of the keys used to encrypt the data transmission and the signaling between the terminal and the mobile radio network. The routines of the (U) SIM for authentication and key calculation are usually specific to the respective network operator, both in the GSM standard and in the 3GPP standard. H . they are not part of the current mobile radio standards. This means that specific routines are realized both in the (U) SIM and in the authentication centers of the network operator for the respective network operator. Furthermore, the (U) SIM and the authentication center store a secret value specific to each (U) SIM needed for the symmetric procedure used for authentication and key generation. Symmetrical methods are generally distinguished by the fact that the same key is used for encryption and decryption. The mobile radio standards GSM and 3GPP currently also provide exclusively for packet data transmission provided terminals a stored on a ^• SIM card (U) SIM with an international mobile subscriber number MSISDN and an international mobile subscriber identity IMSI. The international mobile subscriber number MSISDN is required for data transmission via short messages SMS (Short Message Service) and for circuit-switched data services. In addition, the billing under the international mobile subscriber number MSISDN typically also takes place.

Mittels der internationalen Mobilteilnehmerkennung IMSI erfolgt die Identifizierung des Teilnehmers , seines Netzbetreibers und der Heimatdatenbank HLR (Home Location Register) , in der die Daten des j eweiligen Teilnehmers gespeichert sind .By means of the international mobile subscriber identity IMSI, the identification of the subscriber, his network operator and the home location database HLR (Home Location Register) takes place, in which the data of the respective subscriber are stored.

Die Einschränkung der von einem Endgerät mit einer (U) SIM nutzbaren Dienste erfolgt durch die Heimatdatenbank HLR . So kann zum Beispiel bei einem nur für die Datenübertragung vorgesehenen Endgerät eine Einschränkung auf ein oder mehrere Datendienste in der Heimatdatenbank HLR konfiguriert werden . Darüber hinaus kann die einem Teilnehmer für Paketdatendienste gewährte Dienstgüte QoS (Quality of Service) in der Heimatdatenbank HLR beschränkt werden .The restriction of the services usable by a terminal with a (U) SIM is performed by the home database HLR. For example, in a terminal intended only for data transmission, a restriction to one or more data services in the home database HLR may be configured. In addition, the quality of service QoS granted to a subscriber for packet data services may be limited in the home database HLR.

Die generelle Netzarchitektur eines digitalen Mobilfunknetzes der dritten Generation entsprechend der 3GPP-Standardisierung ist aus der Internetveröffentlichung 3GPP TS 23.002 V6.6.0 ( 2004-12 ) bekannt (http : //www .3gpp . org/ ) . Im Zusammenhang mit der Erbringung von Paketdatendiensten werden in dieser Inter- netveröffentlichung insbesondere die folgenden Netzelemente beschrieben :The general network architecture of a third generation digital mobile network according to 3GPP standardization is known from the Internet publication 3GPP TS 23.002 V6.6.0 (2004-12) (http://www.3gpp.org/). In connection with the provision of parcel data services, this Internet publication describes in particular the following network elements:

- ein das Endgerät bedienender Netzknoten SGSN ( Serving GPRS Support Node) , - ein Zugangsnetzknoten GGSN (Gateway GPRS Support Node) , welcher mit dem SGSN verbunden ist und den Zugang zu einem Paketdatennetz ermöglicht, unda terminal serving network node SGSN (Serving GPRS Support Node), an access network node GGSN (Gateway GPRS Support Node), which is connected to the SGSN and allows access to a packet data network, and

- ein Server in Form einer Heimatdatenbank HLR .a server in the form of a home database HLR.

Aus der Internetveröffentlichung 3GPP TS 22.016 V6.0.0 (2005- 01 ) ist es bekannt, in einem Endgerät in einer in das Endgerät integrierten elektronischen Schaltungsanordnung in Form eines Speicherbausteins einen das Endgerät identifizierenden Parameter in Form der internationalen Mobilgerätekennung IMEI ( International Mobile Equipment Identity) abzulegen bzw . zu speichern . Generell meint der Begriff "in das Endgerät integrierte elektronische Schaltungsanordnung" im Rahmen der vorliegenden Erfindung alle elektronischen Schaltungsteile des Endgerätes , die konzeptionell untrennbar mit dem Endgerät verbunden sind . Dies umfasst neben flüchtigen und nichtflüchtigen Speichermitteln auch elektronische Schaltungen, durch welche Routinen oder Parameter realisiert werden können . Nicht zu der in das Endgerät integrierten elektronischen Schaltungsanordnung gehört insbesondere die SIM-Karte . Die internationale Mobilgerätekennung IMEI ermöglicht das Sperren von solchen Endgeräten, die entweder als gestohlen gemeldet sind, oder deren Benutzung aus technischen Gründen nicht mehr toleriert werden kann . Darüber hinaus kann die internationale Mobilgerätekennung IMEI auch als Identität zur Durchführung von Notrufen verwendet werden . Dies ist dann der Fall, wenn das Endgerät nicht über eine SIM-Karte mit einer gültigen (U) SIM verfügt, welche eine internationale Mobilteilnehmerkennung IMSI enthält . Die Funktion der internationalen Mobil- gerätekennung IMEI besteht hierbei darin, die missbräuchliche Nutzung von Endgeräten zur Durchführung vorgetäuschter Notrufe zu beschränken . Der Erfindung liegt die Aufgabe zugrunde , ein Mobilfunknetz der eingangs angegebenen Art so fortzuentwickeln, dass Paketdatendienste besonders kostengünstig erbracht werden können .From the Internet publication 3GPP TS 22.016 V6.0.0 (2005-01) it is known in a terminal in an integrated circuit in the device electronic circuitry in the form of a memory module, a terminal identifying parameters in the form of the international mobile device identifier IMEI (International Mobile Equipment Identity) to store or save . In general, the term "electronic device integrated in the terminal" in the context of the present invention means all electronic circuit parts of the terminal that are conceptually inseparably connected to the terminal. In addition to volatile and non-volatile memory means, this also includes electronic circuits through which routines or parameters can be realized. In particular, the SIM card does not belong to the electronic circuitry integrated in the terminal. The international mobile device identifier IMEI allows the blocking of such devices, which are either reported as stolen, or their use for technical reasons can no longer be tolerated. In addition, the international mobile device identifier IMEI can also be used as an identity for making emergency calls. This is the case when the terminal does not have a SIM card with a valid (U) SIM containing an international mobile subscriber identity IMSI. The function of the international mobile device identifier IMEI is to limit the misuse of terminal equipment to make deceptive emergency calls. The invention has for its object to further develop a mobile network of the type specified so that packet data services can be provided particularly cost.

Diese Aufgabe wird bei einem Mobilfunknetz der eingangs angegebenen Art erfindungsgemäß dadurch gelöst, dass die Endgeräte SIM-kartenfreie Endgeräte sind und in der in das Endgerät integrierten elektronischen Schaltungsanordnung ein weiterer Identifizierungsparameter und zur Authentifizierung benötigte Routinen oder zur Authentifizierung benötigte Routinen und Parameter gespeichert sind; der Server ist ein mit dem Netzknoten auf Basis des Internetprotokolls kommunizierender Server, und der Netzknoten ist so ausgestaltet, dass er für den während der Anmeldung des Endgerätes am Mobilfunk- netz gesendeten weiteren Identifizierungsparameter und für den während der Anmeldung des Endgerätes am Mobilfunknetz gesendeten, das Endgerät identifizierenden Parameter empfangsbereit ist .This object is achieved in a mobile network of the type specified according to the invention that the terminals are SIM card-free terminals and in the integrated circuit in the electronic device, a further identification parameters and required for authentication routines or required for authentication routines and parameters are stored; the server is a server communicating with the network node on the basis of the Internet protocol, and the network node is designed such that it for the further identification parameters sent during the registration of the terminal on the mobile network and for the sent during the registration of the terminal on the mobile network Terminal-identifying parameter is ready to receive.

Dabei ist insbesondere vorteilhaft, dass SIM-kartenfreie Endgeräte verwendet werden . Eine SIM-Karte ist ein beachtlicher Kostenfaktor, insbesondere bei einfachen Endgeräten, wie sie z . B . als Datenerfassungsgerät eingesetzt werden . Solche einfachen Endgeräte realisieren oft nur geringe Umsätze, weshalb Interesse daran besteht, durch Wegfall der SIM-Karte die Anschaffungskosten zu reduzieren . Die Verwendung eines mit dem Netzknoten auf Basis des Internetprotokolls kommunizierenden Servers ermöglicht darüber hinaus den Einsatz relativ kostengünstiger Netzelemente, da die Notwendigkeit für eine mobil- funkspezifische Heimatdatenbank HLR entfällt . Der Server verfügt hierbei über eine interne oder externe Datenbank, in welcher die teilnehmerspezifischen Daten abgelegt sind . Weiterhin wird die Anwendung von auch außerhalb des Mobilfunkbe- reichs benutzen Authentifizierungs- und Autorisierungsverfah- ren ermöglicht , wodurch die Betriebskosten für die Verwaltung und Vergebührung der in dem Mobilfunknetz betriebenen Endgeräte reduziert werden . Die Speicherung des weiteren Identifi- zierungsparameters und der zur Authentifizierung benötigten Routinen oder der zur Authentifizierung benötigten Routinen und Parameter in der in das Endgerät integrierten elektronischen Schaltungsanordnung bietet den Vorteil, dass der mögliche Schaden reduziert wird, der bei Verlust, Endwendung oder missbräuchlicher Anwendung des Endgerätes entstehen kann . Da die Einsatzmöglichkeiten derartiger Endgeräte aufgrund der fehlenden Möglichkeit eine SIM-Karte auszutauschen beschränkt sind, wird auch das Interesse an der Entwendung des Endgerätes reduziert .It is particularly advantageous that SIM card-free terminals are used. A SIM card is a considerable cost factor, especially for simple devices such. B. be used as a data collection device. Such simple devices often realize only low sales, which is why there is interest in reducing the acquisition costs by eliminating the SIM card. In addition, the use of a server communicating with the Internet Protocol-based network node enables the use of relatively inexpensive network elements since there is no need for a mobile-specific home database HLR. The server has an internal or external database in which the subscriber-specific data is stored. Furthermore, the application of employs authentication and authorization procedures, thereby reducing the operating costs for the management and billing of operated in the mobile network terminals. The storage of the further identification parameter and the routines required for authentication or the routines and parameters required for authentication in the electronic circuit integrated in the terminal offers the advantage of reducing the possible damage caused by loss, end use or misuse of the terminal can arise. Since the capabilities of such devices are limited due to the lack of ability to exchange a SIM card, the interest in the theft of the terminal is reduced.

Vorteilhafterweise ist der auf Basis des Internetprotokolls kommunizierende Server ein AAA-Server . Solche AAA (Authenti- cation, Authorisation and Accounting) -Server werden insbesondere im Internetbereich in einem größerem Umfang eingesetzt . Die konzeptionelle Idee des AAA-Servers ist es , die verschiedenen Schritte bei der Anmeldung in einem Netz , der Autorisierung für einen Dienst und der Vergebührung zu vereinheitlichen und zusammenzufassen . Die Anbindung eines AAA-Servers erfolgt hierbei über spezielle Protokolle, wie etwa RADIUS oder DIAMETER . Die generelle Architektur eines AAA-Servers ist z . B . aus der Internetveröffentlichung RFC 2903 „Generic AAA Requirements" , August 2000 , der IETF ( Internet Engineering Task Force , http : //www . ietf . org) bekannt . Im Rahmen der 3GPP-Standardisierung ist ein AAA-Server in der Internetver- öffentlichung 3GPP TS 23.234 V6.3.0 ( 2004-12 ) beschrieben worden, in welcher das Interworking zwischen einem 3GPP System und einem WLAN (Wireless Local Area Network) spezifiziert wird . Ziel ist es hierbei, einem 3GPP-Teilnehmer Transport- dienste zur Verfügung zu stellen, welche den Aufbau einer Verbindung über das WLAN zu IP-basierten Diensten, wie etwa dem Internet, ermöglichen . Die Aufgabe des AAA-Servers liegt dabei in der Authentifizierung und Autorisierung des über das WLAN angebundenen 3GPP-Teilnehmers . Im Rahmen der vorliegenden Erfindung ersetzt der AAA-Server für die in dem Mobilfunknetz verwendeten SIM-kartenfreien Endgeräte ganz oder teilweise die mobilfunkspezifische Heimatdatenbank HLR. Eine derartige Verwendung eines AAA-Servers bietet den Vorteil, dass durch die Nutzung von bereits im Internet-Bereich verwendeter Infrastruktur und von dort zum Einsatz kommenden Au- thentifizierungs- und Autorisierungsverfahren eine Verminderung der Anschaffungs- und Verwaltungskosten erzielt werden kann .Advantageously, the server communicating based on the internet protocol is an AAA server. Such AAA (Authentication, Authorization and Accounting) servers are used to a greater extent, in particular in the Internet sector. The conceptual idea of the AAA server is to unify and summarize the different steps involved in logging into a network, authorizing a service, and charging it. The connection of an AAA server takes place via special protocols, such as RADIUS or DIAMETER. The general architecture of an AAA server is z. B. from the Internet publication RFC 2903 "Generic AAA Requirements", August 2000, known to the IETF (Internet Engineering Task Force, http://www.etf.org) As part of the 3GPP standardization, an AAA server is in Internet publication 3GPP TS 23.234 V6.3.0 (2004-12), in which the interworking between a 3GPP system and a WLAN (Wireless Local Area Network) is specified, the aim being to allow a 3GPP user to services that enable the establishment of a connection over the WLAN to IP-based services, such as the Internet. The task of the AAA server is the authentication and authorization of the 3GPP subscriber connected via the WLAN. In the context of the present invention, the AAA server completely or partially replaces the mobile-radio-specific home database HLR for the SIM card-free terminals used in the mobile radio network. Such a use of an AAA server offers the advantage that the use of infrastructure already used in the Internet area and the authentication and authorization procedures used there can reduce the acquisition and administration costs.

Das erfindungsgemäße Mobilfunknetz kann vorteilhafterweise auch derart ausgestaltet sein, dass zwischen dem Netzknoten und dem auf Basis des Internetprotokolls kommunizierenden Server der Zugangsnetzknoten angeordnet ist . In diesem Fall dient der Zugangsnetzknoten neben seiner Hauptaufgabe, welche die Bereitstellung des Zugangs zu dem Paketdatennetz ist, zusätzlich der Anbindung des auf Basis des Internetprotokolls kommunizierenden Servers an den Netzknoten, d . h . der Zugangsnetzknoten ist bei der Kommunikation des Netzknotens mit dem auf Basis des Internetprotokolls kommunizierenden Server zwischengeschaltet . Dies ist insbesondere dann vorteilhaft, wenn der Zugangsnetzknoten bereits ein für die Anbindung des auf Basis des Internetprotokolls kommunizierenden Servers geeignetes Interface aufweist . Dies kann z . B . dann zutreffen, wenn der auf Basis des Internetprotokolls kommunizierendeThe mobile radio network according to the invention can advantageously also be configured such that the access network node is arranged between the network node and the server communicating on the basis of the Internet protocol. In this case, in addition to its main task, which is to provide access to the packet data network, the access network node additionally serves to connect the server communicating on the basis of the internet protocol to the network node, i. H . the access network node is interposed in the communication of the network node with the server communicating based on the Internet protocol. This is particularly advantageous if the access network node already has a suitable interface for connecting the server based on the Internet protocol. This can be z. B. then apply when communicating on the basis of the Internet Protocol

Server ein AAA-Server ist, da der Zugangsnetzknoten üblicherweise bereits ein AAA-Interface aufweist, wodurch die Anbin- dung des auf Basis des Internetprotokolls kommunizierenden Servers erleichtert wird .Server is an AAA server, since the access network node usually already has an AAA interface, whereby the connection tion of the server communicating based on the internet protocol.

Vorteilhafterweise kann ein Mobilfunknetz verwendet werden, bei dem ein Autorisierungs-Server mit dem Zugangsnetzknoten verbunden ist und bei einer durch das Endgerät angeforderten Aktivierung eines Dienstes innerhalb des Paketdatennetzes eine Autorisierung des Endgerätes durchführt . Dies ermöglicht es, auch für die Autorisierung, d . h . die Berechtigungsprü- fung, einen auch anderweitig einsetzbaren Server zu verwenden . Die Benutzung einer mobilfunkspezifischen Heimatdatenbank HLR ist somit nicht mehr erforderlich .Advantageously, a mobile radio network can be used in which an authorization server is connected to the access network node and carries out an authorization of the terminal in the case of an activation of a service within the packet data network requested by the terminal. This also makes it possible for the authorization, d. H . The authorization check to use a server that can also be used elsewhere. The use of a mobile-specific home database HLR is therefore no longer required.

Vorteilhafterweise ist das Mobilfunknetz so ausgestaltet, dass der Autorisierungs-Server ein AAA-Server ist . Dies ist besonders bevorzugt, da ein AAA-Server bezüglich seiner Architektur und der von ihm unterstützten Protokolle wie RADIUS oder DIAMETER speziell auf die Durchführung von Autorisierungen ausgerichtet ist .Advantageously, the mobile radio network is designed such that the authorization server is an AAA server. This is particularly preferred since an AAA server is specifically designed to perform authorizations for its architecture and the protocols it supports, such as RADIUS or DIAMETER.

Das Mobilfunknetz kann vorzugsweise auch so ausgestaltet sein, dass der Autorisierungs-Server der auf Basis des Internetprotokolls kommunizierende Server ist . Dies bietet den Vorteil, dass für Authentifizierung und Autorisierung ein ge- meinsamer Server verwendet werden kann .The mobile radio network can preferably also be designed such that the authorization server is the server communicating based on the Internet protocol. This offers the advantage that a common server can be used for authentication and authorization.

Das erfindungsgemäße Mobilfunknetz kann derart ausgestaltet sein, dass mit dem Netzknoten ein Präsenz-Server verbunden ist , der im Zuge der Anmeldung das Endgerät betreffende Prä- senzdaten speichert . Ein solcher Präsenz-Server (PresenceThe mobile radio network according to the invention can be configured in such a way that a presence server is connected to the network node and stores presence data concerning the terminal in the course of logging on. Such a presence server (Presence

Server) ist aus der Internetveröffentlichung 3GPP TS 23.141 V6.7.0 ( 2004-09 ) bekannt . Seine Aufgabe besteht in der Verwaltung der zu einem Teilnehmer oder einem Endgerät gehören- den Präsenzinformationen . Diese können von dem Präsenz-Server so genannten Watcher Applications zur Verfügung gestellt werden, wodurch es diesen ermöglicht wird, diese Informationen zu verarbeiten, zur Anzeige zu bringen oder für andere Anwen- düngen zu nutzen . Die Verwendung des Präsenz-Servers in dem erfindungsgemäßen Mobilfunknetz ist insbesondere deshalb vorteilhaft, da hierdurch die Möglichkeit besteht, auch ohne Verwendung einer Heimatdatenbank HLR eine Lokalisierung des Endgerätes bzw . des Teilnehmers durchzuführen . Weiterhin kann der Präsenz-Server zusätzliche Funktionen realisieren . Eine solche Funktion könnte z . B . darin bestehen, dass der Präsenz-Server bei in ortsfesten Verkaufsautomaten zur Paketdatenkommunikation verwendeten Endgeräten für den Fall Alarm auslöst, dass das Endgerät seine Position ändert , welches auf einen Missbrauch etwa in Form eines Diebstahls hinweisen könnte . Vorzugsweise kann auch der Zugangsnetzknoten mit dem Präsenz-Server in Verbindung treten . Dies kann entweder mittels des Netzknotens oder aber mittels einer direkten Verbindung zwischen dem Zugangsnetzknoten und dem Präsenz-Server geschehen und ermöglicht es dem Zugangsnetzknoten, etwa nach der Aktivierung eines Paketdatendienstes , eine Aktualisierung des Status des Endgerätes im Präsenz-Server zu veranlassen .Server) is known from the Internet publication 3GPP TS 23.141 V6.7.0 (2004-09). Its task is to manage the belonging to a subscriber or a terminal. the presence information. These can be provided by the presence server, called Watcher Applications, which enables them to process, display or use this information for other applications. The use of the presence server in the mobile radio network according to the invention is particularly advantageous because it makes it possible, even without using a home database HLR localization of the terminal or. of the participant. Furthermore, the presence server can realize additional functions. Such a function could, for. B. in that the presence server in terminals used in fixed vending machines for packet data communication in the event of alarm triggers that the terminal changes its position, which could indicate an abuse in the form of a theft. Preferably, the access network node can also connect to the presence server. This can be done either by means of the network node or by means of a direct connection between the access network node and the presence server and allows the access network node, for example after activation of a packet data service, to update the status of the terminal in the presence server.

Vorteilhafterweise kann ein Mobilfunknetz verwendet werden, bei dem mit dem Zugangsnetzknoten ein weiterer Server verbunden ist, der auf Anfrage des Zugangsnetzknotens Einschränkungen der Dienstgüte QoS an den Zugangsnetzknoten sendet . Hierdurch wird es ermöglicht, die Einschränkung der Dienstgüte QoS betreffende Daten in einem separaten Server zu verwalten, der nicht mit dem auf Basis des Internetprotokolls kommunizierenden Server oder dem Autorisierungs-Server identisch ist . Das erfindungsgemäße Mobilfunknetz kann derart ausgestaltet sein, dass der weitere Server ein Policy Decision Function PDF-Server ist . Die Policy Decision Function ist aus der Internetveröffentlichung 3GPP TS 23.207 Vβ .4.0 (2004-09 ) be- kannt, welche im Rahmen der 3GPP-Standardisierung das Konzept und die Architektur für End-to-end Quality of Service (QoS) beschreibt . Die Einschränkung der nutzbaren Paketdatendienste erfolgt hierbei unter Benutzung von Standard IP-Mechanismen durch die Verwendung der Policy Decision Function PDF. Der PDF-Server ist hierbei mit dem Zugangsnetzknoten verbunden und übermittelt diesem die Diensteinschränkungen bezüglich der zur Verfügung zu stellenden Dienstgüte QoS . Die Realisierung des weiteren Servers in Form eines PDF-Servers ist vorteilhaft, da aufgrund der bereits im Rahmen des 3GPP-Standar- disierung erfolgten Spezifizierung des PDF-Servers die Notwendigkeit einer zusätzlichen Standardisierung und Realisierung einer neuen Netzkomponente entfällt .Advantageously, a mobile radio network can be used in which a further server is connected to the access network node, which sends restrictions of the quality of service QoS to the access network node at the request of the access network node. This makes it possible to manage the quality-of-service QoS restriction data in a separate server that is not identical to the Internet Protocol-based server or the Authorization Server. The mobile radio network according to the invention can be configured such that the further server is a Policy Decision Function PDF server. The policy decision function is known from the Internet publication 3GPP TS 23.207 Vβ .4.0 (2004-09), which describes the concept and architecture for end-to-end Quality of Service (QoS) as part of 3GPP standardization. The limitation of the usable packet data services is made using standard IP mechanisms by using the Policy Decision Function PDF. The PDF server is in this case connected to the access network node and transmits to it the service restrictions with regard to the quality of service QoS to be provided. The realization of the further server in the form of a PDF server is advantageous since, due to the specification of the PDF server that has already been carried out as part of 3GPP standardization, there is no need for additional standardization and implementation of a new network component.

In einer weiteren vorteilhaften Ausführung der Erfindung ist der weitere Server ein Charging Rules Function CRF-Server .In a further advantageous embodiment of the invention, the further server is a charging rules function CRF server.

Die Charging Rules Function ist aus der Internetveröffentlichung 3GPP TS 23.125 Vβ .3.0 (2005-01 ) bekannt und ermöglicht es dem Zugangsnetzknoten, Paketdatenverkehr so zu filtern, dass Pakete, welche zu einem bestimmten Dienstdatenfluss (Service Data Flow) gehören, identifiziert werden können .The Charging Rules Function is known from Internet publication 3GPP TS 23.125 Vβ .3.0 (2005-01) and allows the access network node to filter packet traffic so that packets belonging to a particular service data flow can be identified.

Aufgrund der bereits im Rahmen der 3GPP-Standardisierung erfolgten Spezifizierung vermeidet die Realisierung des weiteren Servers durch einen CRF-Server zusätzlichen Aufwand zur Standardisierung und Realisierung einer neuen Netzkomponente .Due to the already made in the context of 3GPP standardization specification, the realization of the other server by a CRF server avoids additional effort to standardize and implement a new network component.

Die Erfindung betrifft weiterhin ein Verfahren zum Betreiben eines Endgerätes in einem Mobilfunknetz mit mindestens einem Netzknoten, mindestens einem mit dem Netzknoten verbundenen Zugangsnetzknoten zu einem Paketdatennetz und mindestens einem Server, wobei in dem Endgerät ein das Endgerät identifizierender Parameter und ein weiterer Identifizierungsparameter gespeichert sind, und wobei der das Endgerät identifizie- rende Parameter in einer in das Endgerät integrierten elektronischen Schaltungsanordnung gespeichert ist, mit folgenden Verfahrensschritten : der Netzknoten empfängt den weiteren Identifizierungsparameter, der Netzknoten ermittelt aus dem empfangenen weiteren Identifizierungsparameter eine Adresse eines Servers und sendet eine Anfrage an den ermittelten Server, der Server gibt auf die Anfrage durch das Senden von Au- thentifizierungsinformationen an den Netzknoten eine Antwort, der Netzknoten sendet nach Empfang der Authentifizierungsin- formationen eine Authentifizierungsaufforderung an das Endge- rät, das Endgerät ermittelt unter Verwendung von in dem Endgerät gespeicherten, zur Authentifizierung benötigten Routinen oder von in dem Endgerät gespeicherten, zur Authentifizierung benötigten Routinen und Parametern und unter Verwendung von in der Authentifizierungsaufforderung empfangenen Informationen eine Authentifizierungsantwort und sendet sie an den Netzknoten und mit erfolgreicher Überprüfung der Au- thentifizierungsantwort durch den Netzknoten wird die Authentifizierung abgeschlossen . Unter Betreiben eines Endgerätes wird dabei insbesondere dessen Anmelden bzw . Einbuchen in dem Mobilfunknetz und das Anfordern eines Paketdatendienstes verstanden .The invention further relates to a method for operating a terminal in a mobile radio network with at least one network node, at least one connected to the network node Access network node to a packet data network and at least one server, wherein in the terminal a parameter identifying the terminal and another identification parameter are stored, and wherein the terminal-identifying parameter is stored in an integrated circuit in the electronic device, comprising the following method steps: Network node receives the further identification parameter, the network node determines from the received further identification parameter an address of a server and sends a request to the determined server, the server responds to the request by sending authentication information to the network node a response, the network node sends Receiving the authentication information an authentication request to the terminal, the terminal determines using stored in the terminal, required for authentication routines or in the Endgerä t stored, authentication-required routines and parameters and using authentication information received in the authentication request an authentication response and sends it to the network node and with successful verification of Au ätentifizierungsantwort by the network node, the authentication is completed. Under operation of a terminal, in particular its log in or. Log in the mobile network and requesting a packet data service understood.

- Ein Verfahren der angegebenen Art ist aus der Internetveröffentlichung 3GPP TS 23.060 Vβ .7.0 ( 2004-12 ) bekannt, welche eine Beschreibung der im Zusammenhang mit der Erbringung von GPRS-Diensten auftretenden Abläufe und Verfahren enthält . In Kapitel 6.5 dieser Internetveröffentlichung wird der Ablauf des Anmeldeverfahrens für die Nutzung von Paketdatendiensten beschrieben . Das bekannte Anmeldeverfahren zeichnet sich dadurch aus , dass ein Netzknoten in Form eines SGSN einen weiteren Identifizierungsparameter in Form der internationalen Mobilteilnehmerkennung IMSI empfängt, welche sowohl der Iden- tifizierung des das Endgerät nutzenden Teilnehmers, als auch der Identifizierung eines Servers in Form einer Heimatdatenbank HLR, in der die Teilnehmerdaten abgelegt sind, dient . Der SGSN sendet nun eine Authentifizierungsanfrage an das HLR, welche diese durch das Senden von Authentifizierungsin- formationen beantwortet . Der SGSN sendet daraufhin eine Au- thentifizierungsaufforderung an das Endgerät, welches unter Verwendung von auf der (U) SIM gespeicherten Routinen und von in der Authentifizierungsaufforderung empfangenden Informationen eine Authentifizierungsantwort bestimmt und an den SGSN sendet .- A method of the kind specified is known from the Internet publication 3GPP TS 23.060 Vβ .7.0 (2004-12), which contains a description of the processes and procedures occurring in connection with the provision of GPRS services. Chapter 6.5 of this Internet publication describes the procedure for the use of packet data services described. The known registration method is distinguished by the fact that a network node in the form of an SGSN receives a further identification parameter in the form of the international mobile subscriber identity IMSI, which identifies both the subscriber using the terminal and the identification of a server in the form of a home database HLR. in which the subscriber data are stored serves. The SGSN now sends an authentication request to the HLR, which answers it by sending authentication information. The SGSN then sends an authentication request to the terminal, which determines an authentication response and sends it to the SGSN using the routines stored on the (U) SIM and information received in the authentication request.

Im Rahmen der Authentifizierung berechnet das Endgerät auch den Sitzungsschlüssel und den Integritätsschlüssel, welche für die Anwendung der Verschlüsselung benötigt werden . Der SGSN authentifiziert den durch die auf der (U) SIM gespei- cherte internationale Mobilteilnehmerkennung IMSI identifizierten Teilnehmer anhand der von dem Endgerät übermittelten Authentifizierungsantwort .As part of the authentication, the terminal also calculates the session key and the integrity key needed for the application of the encryption. The SGSN authenticates the subscriber identified by the international mobile subscriber identity IMSI stored on the (U) SIM on the basis of the authentication response transmitted by the terminal.

Die Spezifikation der verschiedenen für den Ablauf eines Te- lekommunikationsrufes relevanten Nummern, Adressen und Identifizierungen ist aus der Internetveröffentlichung 3GPP TS 23.003 V6.5.0 ( 2004-12 ) bekannt . So werden hier u . a . der Aufbau und die Formate der folgenden Parameter definiert : internationale Mobilteilnehmerkennung IMSI , temporäre Mobil- teilnehmerkennung TMSI (Temporary Mobile Subscriber Iden- tity) , internationale Mobilteilnehmer-Rufnummer MSISDN, internationale Mobilgerätekennung IMEI und Access Point Name APN . Wie bereits im Zusammenhang mit dem erfindungsgemäßen Mobilfunknetz beschrieben, ist es aus der Internetveröffentlichung 3GPP TS 22.016 Vβ .0.0 (2005-01 ) bekannt, in einer in das Endgerät integrierten elektronischen Schaltungsanordnung in Form eines Speicherbausteins einen das Endgerät identifizierenden Parameter in Form der internationalen Mobilgerätekennung IMEI zu speichern . Darüber hinaus ist es allgemein bekannt in dem Endgerät einen weiteren Identifizierungsparameter in Form der internationalen Mobilteilnehmerkennung IMSI zu speichern .The specification of the various numbers, addresses and identifications relevant for the course of a telecommunication call is known from the Internet publication 3GPP TS 23.003 V6.5.0 (2004-12). So here u. a. the structure and formats of the following parameters are defined: international mobile subscriber identity IMSI, temporary mobile subscriber identity TMSI (Temporary Mobile Subscriber Identity), international mobile subscriber number MSISDN, international mobile device identity IMEI and access point name APN. As already described in connection with the mobile radio network according to the invention, it is known from the Internet publication 3GPP TS 22.016 Vβ .0.0 (2005-01), in an electronic circuit arrangement integrated in the terminal in the form of a memory module, a parameter identifying the terminal in the form of the international mobile device identifier Save IMEI. In addition, it is generally known in the terminal to store a further identification parameter in the form of the international mobile subscriber identity IMSI.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der angegebenen Art so fortzuentwickeln, dass Paketdatendienste besonders kostengünstig erbracht werden können .The invention has for its object to develop a method of the type specified so that packet data services can be provided particularly cost.

Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass als Endgerät ein SIM-kartenfreies Endgerät verwendet wird und in der in das Endgerät integrierten elektronischen Schaltungsanordnung der weitere Identifizierungsparameter und die zur Authentifizierung benötigten Routinen oder die zur Authenti- fizierung benötigten Routinen und Parameter gespeichert werden, der Netzknoten neben dem weiteren Identifizierungsparameter den das Endgerät identifizierenden Parameter empfängt, wobei der weitere Identifizierungsparameter zur Ermittlung der Adresse eines auf Basis des Internetprotokolls kommuni- zierenden Servers dient, und mit der Anfrage an den auf Basis des Internetprotokolls kommunizierenden Server der das Endgerät identifizierende Parameter übertragen wird, und mit erfolgreicher Überprüfung der Authentifizierungsantwort durch den Netzknoten das Endgerät authentifiziert wird .This object is achieved according to the invention in that a SIM card-free terminal is used as the terminal and the further identification parameters and the routines or parameters required for authentication are stored in the electronic circuit arrangement integrated in the terminal, the network node the parameter identifying the terminal is received in addition to the further identification parameter, the further identification parameter being used to determine the address of a server communicating on the basis of the Internet protocol, and the request being transmitted to the server communicating on the basis of the Internet protocol of the parameter identifying the terminal; and the terminal is authenticated upon successful verification of the authentication response by the network node.

Bereits im Zusammenhang mit dem erfindungsgemäßen Mobilfunknetz wurde erläutert, dass die Verwendung eines SIM-karten- freien Endgerätes insbesondere aus Kostengründen vorteilhaft ist . Weiterhin wurde bereits ausgeführt, dass die Speicherung des weiteren Identifizierungsparameters und der zur Authentifizierung benötigten Routinen oder zur Authentifizierung benötigten Routinen und Parameter in der in das Endgerät integ- rierten elektronischen Schaltungsanordnung Vorteile im Falle des Verlustes , der Entwendung oder der missbräuchlichen Anwendung des Endgerätes bietet . Aufgrund des Wegfalls der SIM- Karte und damit verbunden auch der U (SIM) und ihrer Parameter ändert sich gegenüber dem bekannten Verfahren sowohl der Speicherort als auch die Bedeutung des weiteren Identifizierungsparameters . So wird dieser bei dem erfindungsgemäßen Verfahren in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeichert . Dabei ist besonders vorteilhaft, dass der weitere Identifizierungsparameter die Ermitt- lung der Adresse des auf Basis des Internetprotokolls kommunizierenden Servers erlaubt . Dies ermöglicht es dem Netzknoten von dem auf Basis des Internetprotokolls kommunizierenden Server Daten anzufordern, welche im Rahmen der Anmeldung des Endgerätes in dem Mobilfunknetz benötigt werden . Der auf Ba- sis des Internetprotokolls kommunizierende Server ist hierbei typischerweise in dem Mobilfunknetz des Netzbetreibers angeordnet, der das Endgerät ausgegeben hat, wobei die Ausgabe des Endgerätes direkt durch den Netzbetreiber oder mittels eines weiteren Anbieters geschehen sein kann . Dies bedeutet, dass im Falle des so genannten „Roamings" der Netzknoten bei dem sich das Endgerät anmeldet und der auf Basis des Internetprotokolls kommunizierende Server in Mobilfunknetzen unterschiedlicher Netzbetreiber angeordnet sind . Aufgrund der Verwendung des das Endgerät identifizierenden Parameters bei der Anmeldung des Endgerätes im Mobilfunknetz findet eine Authentifizierung des Endgerätes statt . Das Verfahren ist vorzugsweise so ausgestaltet, dass das Endgerät nach Empfang der Authentifizierungsaufforderung unter Verwendung der in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizie- rung benötigten Routinen oder der in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung benötigten Routinen und Parametern und unter Verwendung von in der Authentifizierungsaufforderung empfangenen Informationen eine Authentifizierung des Mobil- funknetzes vornimmt . Dies ist vorteilhaft, da eine Authentifizierung des Mobilfunknetzes durch das Endgerät eine Erhöhung der Sicherheit zur Folge hat und dies weiterhin der vorliegenden 3GPP-Standardisierung entsprechend der Internetveröffentlichung 3GPP TS 23.060 V6.7.0 (2004-12 ) entspricht .Already in connection with the mobile radio network according to the invention has been explained that the use of a SIM card-free terminal especially for cost reasons advantageous is. Furthermore, it has already been stated that the storage of the further identification parameter and the routines or parameters required for authentication in the electronic circuit arrangement integrated in the terminal offers advantages in the case of the loss, theft or misuse of the terminal. Due to the omission of the SIM card and, associated therewith, the U (SIM) and its parameters, both the storage location and the meaning of the further identification parameter change compared to the known method. So this is stored in the inventive method in the integrated circuit in the terminal electronic device. It is particularly advantageous that the further identification parameter allows the determination of the address of the server communicating based on the Internet protocol. This makes it possible for the network node to request data from the server communicating on the basis of the Internet protocol, which data is required in the context of the terminal's log-on in the mobile radio network. The server communicating on the basis of the Internet protocol is typically arranged in the mobile network of the network operator who has issued the terminal, wherein the output of the terminal can be done directly by the network operator or by means of another provider. This means that, in the case of so-called "roaming", the network node at which the terminal registers and the servers communicating based on the Internet protocol are arranged in mobile networks of different network operators an authentication of the terminal takes place. The method is preferably configured in such a way that the terminal, after receiving the authentication request, uses the routines stored in the electronic circuit arrangement integrated in the terminal or the routines stored in the electronic circuit integrated in the terminal and Parameters and using information received in the authentication request to authenticate the mobile network. This is advantageous because an authentication of the mobile network by the terminal has an increase in security result and this continues to comply with the present 3GPP standardization according to the Internet publication 3GPP TS 23.060 V6.7.0 (2004-12).

Das erfindungsgemäße Verfahren zum Betreiben eines Endgerätes in einem Mobilfunknetz kann derart ausgestaltet sein, dass das Endgerät eine Anmeldungsanfrage erster Art an den Netzknoten sendet, wenn eine von einem das Endgerät zuletzt be- dienenden Netzknoten dem Endgerät zugewiesene temporäre Identität noch gültig ist, wobei die Anmeldungsanfrage erster Art die temporäre Identität und eine den das Endgerät zuletzt bedienenden Netzknoten identifizierende Aufenthaltsgebietsken- nung enthält, der Netzknoten von dem das Endgerät zuletzt be- dienenden Netzknoten die zur temporären Identität gehörenden Parameter des Endgerätes erfragt und der das Endgerät zuletzt bedienende Netzknoten den das Endgerät identifizierenden Parameter und den weiteren Identifizierungsparameter an den Netzknoten sendet . Dies ist vorteilhaft , da hierdurch die un- verschlüsselte Übertragung des das Endgerät identifizierenden Parameters und des weiteren Identifizierungsparameters im Mobilfunknetz vermieden wird . Die entsprechende Verwendung temporärer Identitäten ist in Form der temporären Mobilteilneh- merkennung TMSI etwa aus der Internetveröffentlichung 3GPP TS 23.060 V6.7.0 (2004-12 ) bekannt, nicht j edoch im Zusammenhang mit dem erfindungsgemäßen Verfahren .The inventive method for operating a terminal in a mobile network can be configured such that the terminal sends a registration request of the first kind to the network node when one of the terminal last serving network node the terminal assigned temporary identity is still valid, the registration request The network node of the terminal serving the network last requests the parameters of the terminal which belong to the temporary identity and the network node last servicing the terminal identifies the terminal identifying the first type of temporary identity and a network node last identifying the terminal last serving network node Sends parameters and the further identification parameter to the network node. This is advantageous since this avoids the unencrypted transmission of the parameter identifying the terminal and of the further identification parameter in the mobile radio network. The corresponding use of temporary identities is in the form of temporary mobile subscribers. For example, TMSI is known from the Internet publication 3GPP TS 23.060 V6.7.0 (2004-12), but not in connection with the method according to the invention.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass das Endgerät eine Anmeldungsanfrage zweiter Art an den Netzknoten sendet, die den das Endgerät identifizierenden Parameter enthält, der Netzknoten daraufhin das Endgerät nach Informationen über den auf Basis des Internetprotokolls kom- munizierenden Server fragt und das Endgerät mit dem Senden des weiteren Identifizierungsparameters an den Netzknoten antwortet . Hierbei ist insbesondere vorteilhaft, dass bereits derzeit entsprechend der Internetveröffentlichung 3GPP TS 23.060 Vβ .7.0 (2004-12 ) in der 3GPP-Standardisierung eine entsprechende Anmeldungsanfrage den SGSN veranlasst eineThe inventive method can also be configured such that the terminal sends a registration request of the second kind to the network node which contains the parameter identifying the terminal, the network node then requests the terminal for information about the server communicating on the basis of the Internet protocol and the terminal responds with the sending of the further identification parameter to the network node. In this case, it is particularly advantageous that already according to the Internet publication 3GPP TS 23.060 Vβ .7.0 (2004-12) in the 3GPP standardization, a corresponding registration request causes the SGSN

Identitätsanfrage an das Endgerät zu senden, wodurch die erforderlichen Erweiterungen der Schnittstelle zwischen dem Endgerät und dem Netzknoten minimiert werden .Send identity request to the terminal, whereby the necessary extensions of the interface between the terminal and the network node are minimized.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass das Endgerät mit einer Anmeldungsanfrage dritter Art den das Endgerät identifizierenden Parameter und den weiteren Identifizierungsparameter an den Netzknoten sendet . Dies ist vorteilhaft, da durch das gleichzeitige Senden der beiden für die Anmeldung des Endgerätes benötigten Parameter der Signalisierungsverkehr zwischen dem Endgerät und dem Netzknoten optimiert wird.The inventive method can also be configured such that the terminal with a registration request third type sends the terminal identifying parameters and the other identification parameters to the network node. This is advantageous because the signaling traffic between the terminal and the network node is optimized by the simultaneous transmission of the two parameters required for the registration of the terminal.

Vorteilhafterweise kann das Verfahren derart ausgestaltet sein, dass mit dem weiteren Identifizierungsparameter unmittelbar die Identität des auf Basis des Internetprotokolls kommunizierenden Servers festlegt wird und der Netzknoten aus dem weiteren Identifizierungsparameter unmittelbar die Ad- resse des auf Basis des Internetprotokolls kommunizierenden Servers bestimmt . Hierbei ist besonders vorteilhaft, dass die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers auf einfache Art von dem Netzknoten bestimmt werden kann .Advantageously, the method can be configured in such a way that the identity of the server communicating on the basis of the Internet protocol is determined directly with the further identification parameter, and the network node directly determines the identity from the further identification parameter. determines the address of the server communicating based on the Internet protocol. It is particularly advantageous in this case that the address of the server communicating on the basis of the Internet protocol can be determined in a simple manner by the network node.

Das Verfahren kann auch derart ausgestaltet sein, dass der Netzknoten aus dem weiteren Identifizierungsparameter die Identität des Zugangsnetzknotens ableitet, welcher das von dem Endgerät erreichbare Paketdatennetz festlegt . Dies ist vorteilhaft, da durch das Ableiten der Identität des Zugangsnetzknotens aus dem weiteren Identifizierungsparameter der Aufwand für Konfiguration und Verwaltung reduziert wird . Weiterhin wird der Datenverkehr hierdurch auf über die j eweilige Kombination der beiden Parameter Identität des auf Basis des Internetprotokolls kommunizierenden Servers und Identität des Zugangsnetzknotens erreichbare Netze eingeschränkt, wodurch Missbrauchsmöglichkeiten und der Einfluss fehlerhafter Endgeräte reduziert werden .The method can also be configured such that the network node derives the identity of the access network node from the further identification parameter, which identifies the packet data network that can be reached by the terminal. This is advantageous since the complexity for configuration and administration is reduced by deriving the identity of the access network node from the further identification parameter. Furthermore, the data traffic is thereby limited to the respective combination of the two parameters identity of the server communicating on the basis of the Internet protocol and the identity of the access network node reachable networks, whereby abuses and the influence of faulty terminals are reduced.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass mit dem weiteren Identifizierungsparameter unmittelbar die Identität des Zugangsnetzknotens festgelegt wird und der Netzknoten aus dem weiteren Identifizierungsparameter die Identität des auf Basis des Internetprotokolls kommunizierenden Servers ableitet und aus dieser die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers bestimmt . Dies ist vorteilhaft, da in den derzeit im Rahmen der 3GPP-Standardierung zwischen dem Endgerät und dem Zugangs- netzknoten definierten Protokollnachrichten bereits die Identität des Zugangsnetzknotens übertragen wird und somit die Notwendigkeit einer diesbezüglichen Änderung des Protokolls . entfällt . Zusätzlich wird der Konfigurations- und Verwal- tungsaufwand reduziert und der Datenverkehr auf die über die j eweilige Parameterkombination erreichbaren Netze eingeschränkt, wodurch wiederum die Missbrauchmöglichkeiten und der Einfluss fehlerhafter Endgeräte reduziert werden .The method according to the invention can also be designed such that the identity of the access network node is determined directly with the further identification parameter and the network node derives the identity of the server communicating on the basis of the Internet protocol from the further identification parameter and from this the address of the server communicating on the basis of the Internet protocol certainly . This is advantageous since in the protocol messages currently defined in the context of 3GPP standardization between the terminal and the access network node, the identity of the access network node is already transmitted and thus the need for a modification of the protocol in this regard. deleted. In addition, the configuration and administration Reduced processing effort and limited the traffic to the achievable via the jäweilige parameter combination networks, which in turn reduces the abuse and the influence of faulty terminals.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass durch die Identität des auf Basis des Internetprotokolls kommunizierenden Servers der Netzbetreiber des Heimatnetzes und/oder das Anwendungsgebiet des Endgerätes identifiziert wird. Hierdurch wird vorteilhafterweise dieThe method according to the invention can also be configured such that the identity of the server communicating on the basis of the Internet protocol identifies the network operator of the home network and / or the field of application of the terminal. This will advantageously the

Konfiguration erleichtert und es wird ermöglicht, den Datenverkehr von Endgeräten gegeneinander abzugrenzen, welche für verschiedene Anwendungen vorgesehen sind .Configuration is facilitated and it is possible to demarcate the traffic of terminals, which are intended for different applications.

Das erfindungsgemäße Verfahren kann derart ausgestaltet sein, dass die Bestimmung der Adresse des auf Basis des Internetprotokolls kommunizierenden Servers ausgehend von der Identität des auf Basis des Internetprotokolls kommunizierenden Servers unter Verwendung des Domain Name System DNS Verfah- rens erfolgt . Dies ist vorteilhaft, da hiermit für die Bestimmung der Adresse des auf Basis des Internetprotokolls kommunizierenden Servers ein weit verbreitetes Standardverfahren zur Bestimmung von IP-Adressen angewendet werden kann .The method according to the invention can be configured such that the determination of the address of the server communicating on the basis of the Internet protocol is based on the identity of the server communicating on the basis of the Internet protocol using the Domain Name System DNS method. This is advantageous because it can be used to determine the address of the server based on the Internet protocol communicating server, a widely used standard method for the determination of IP addresses.

Vorteilhafterweise wird als das Endgerät identifizierenderAdvantageously, as the terminal identifying

Parameter die internationale Mobilgerätekennung IMEI verwendet . Damit kann zur Identifizierung des Endgerätes ein bereits spezifizierter und in der in das Endgerät integrierten elektronischen Schaltungsanordnung zur Verfügung stehender Parameter verwendet werden .Parameter uses the international mobile device identifier IMEI. This can be used to identify the terminal an already specified and in the integrated circuit in the device integrated circuit available parameters.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass der Netzknoten nach erfolgreicher Authentifizie- rung des Endgerätes das Endgerät beim auf der Basis des Internetprotokolls kommunizierenden Server als im Mobilfunknetz eingebucht meldet, der auf Basis des Internetprotokolls kommunizierende Server eine Aufforderung zum Löschen der dem Endgerät zugeordneten Daten an den das Endgerät zuletzt bedienenden Netzknoten sendet, der das Endgerät zuletzt bedienende Netzknoten das Löschen der dem Endgerät zugeordneten Daten durch das Senden eines Signals an den auf Basis des Internetprotokolls kommunizierenden Server bestätigt und der auf Basis des Internetprotokolls kommunizierende Server die Meldung des Einbuchens des Endgerätes durch das Senden eines Bestätigungssignals an den Netzknoten bestätigt . Unter Verwendung einer Heimatdatenbank HLR anstelle des auf Basis des Internetprotokolls kommunizierenden Servers sind diese Ver- fahrensschritte in der Internetveröffentlichung 3GPP TSThe method according to the invention can also be designed in such a way that, after successful authentication, the network node tion of the terminal the terminal communicates on the basis of the Internet Protocol communicating server as logged in the mobile network, the server communicating based on the Internet Protocol sends a request to delete the data assigned to the terminal to the last node serving the terminal, the terminal last serving network node the deletion of the data associated with the terminal is confirmed by the sending of a signal to the server communicating on the basis of the internet protocol, and the server communicating on the basis of the internet protocol confirms the message of the terminal's booking by sending an acknowledgment signal to the network node. Using a home database HLR instead of the server communicating based on the Internet protocol, these method steps are in the Internet publication 3GPP TS

23.060 V6.7.0 ( 2004-12 ) beschrieben . Dies gilt j edoch nicht im Zusammenhang mit dem erfindungsgemäßen Verfahren für das sie vorteilhaft sind, da der auf Basis des Internetprotokolls kommunizierendes Server in die Lage versetzt wird, den Status der Endgeräte im Mobilfunknetz zu speichern und weiterhin die dem Endgerät zugeordneten Daten aus dem das Endgerät zuletzt bedienenden Netzknoten gelöscht werden können, wodurch eine effektive Datenverwaltung bezüglich der durch den Netzknoten bedienten Endgeräte ermöglicht wird .23,060 V6.7.0 (2004-12). However, this does not apply in connection with the method according to the invention for which they are advantageous, since the server communicating based on the Internet protocol is enabled to store the status of the terminals in the mobile network and furthermore the data assigned to the terminal from the terminal last serving network nodes can be deleted, whereby an effective data management is made possible with respect to the terminals served by the network terminals.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass der auf Basis des Internetprotokolls kommunizierende Server mit dem Bestätigungssignal für das Endgerät gültige Dienst- und/oder Aufenthaltsgebietseinschränkungen an den Netzknoten sendet . Hierdurch wird vorteilhafterweise die Einschränkung der durch das Endgerät nutzbaren Dienste, d . h . insbesondere der für den Paketdatendienst zur Verfügung gestellten Dienstgüte QoS , und der zulässigen Aufenthaltsge- biete ermöglicht, wodurch die vorgesehene Nutzung der Endgeräte sichergestellt werden kann .The method according to the invention can also be configured such that the server communicating on the basis of the Internet protocol sends valid service and / or location area restrictions to the network node with the confirmation signal for the terminal. This advantageously makes it possible to limit the services that can be used by the terminal, ie. H . in particular the quality of service QoS provided for the packet data service, and the permissible residence offers, whereby the intended use of the terminals can be ensured.

Vorteilhafterweise kann das Verfahren so ablaufen, dass der Netzknoten nach erfolgreicher Authentifizierung des Endgerätes eine Anmeldebestätigung an das Endgerät sendet .Advantageously, the method can proceed in such a way that the network node sends a registration confirmation to the terminal after successful authentication of the terminal.

Das Verfahren kann so ausgestaltet sein, dass mit der von dem Netzknoten an das Endgerät gesendeten Anmeldebestätigung in verschlüsselter Form eine neue temporäre Teilnehmeridentität übertragen wird, und das Endgerät mit dem Senden einer Empfangsbestätigung an den Netzknoten antwortet . Durch die Zuweisung einer neuen temporären Teilnehmeridentität durch den Netzknoten an das Endgerät wird für die folgenden Signalisie- rungsnachrichten die Übertragung des das Endgerät identifizierenden Parameters vermieden . Eine entsprechende Vorgehensweise ist in der Internetveröffentlichung 3GPP TS 23.060 V6.7.0 (2004-12 ) für das dort beschriebene Verfahren offenbart .The method may be configured such that a new temporary subscriber identity is transmitted in encrypted form with the registration confirmation sent by the network node to the terminal, and the terminal responds by sending an acknowledgment of receipt to the network node. By assigning a new temporary subscriber identity by the network node to the terminal, the transmission of the parameter identifying the terminal is avoided for the following signaling messages. A corresponding procedure is disclosed in the Internet publication 3GPP TS 23.060 V6.7.0 (2004-12) for the method described there.

Das erfindungsgemäße Verfahren kann derart ausgestaltet sein, dass das Endgerät nach erfolgreicher Authentifizierung von dem Netzknoten einen Dienst in dem Paketdatennetz anfordert, der Netzknoten den Aufbau des Paketdatendienstes von dem Zu- gangsnetzknoten anfordert, der Zugangsnetzknoten eine Autori- sierungsanfrage für die Autorisierung des Paketdatendienstes an einem Autorisierungs-Server sendet, der Autorisierungs- Server das Endgerät durch das Senden einer Autorisierungsbes- tätigung an den Zugangsnetzknoten als für die Nutzung des an- geforderten Dienstes berechtigt meldet , der Zugangsnetzknoten die Einrichtung des Paketdatendienstes an den Netzknoten bestätigt und der Netzknoten ein Signal an das Endgerät sendet, welches die Einrichtung des Paketdatendienstes bestätigt . Die Anforderung des Paketdatendienstes durch das Endgerät kann hierbei entweder unmittelbar im Anschluss an die erfolgreiche Authentifizierung oder aber auch zu einem möglicherweise sehr viel späteren Zeitpunkt erfolgen . Bei dieser Ausgestaltung ist vorteilhaft, dass als Autorisierungs-Server ein Server der Art verwendet werden kann, wie sie auch für andere Anwendungen, etwa im Internetbereich zum Einsatz kommen . Hierdurch ergeben sich gegenüber der Verwendung einer telekommunikationsspezifischen Heimatdatenbank HLR Vorteile bezüglich des Aufwandes und der Kosten für die Einrichtung und die Verwaltung des Autorisierungs-Servers .The inventive method can be configured such that the terminal requests a service in the packet data network after successful authentication from the network node, the network node requests the establishment of the packet data service from the access network node, the access network node an authorization request for the authorization of the packet data service at a Authorization server sends, the authorization server the terminal by sending an authorization confirmation to the access network node as authorized for the use of the requested service, the access network node confirms the establishment of the packet data service to the network node and the network node sends a signal to the Sends terminal confirming the establishment of the packet data service. The Requesting the packet data service by the terminal can be done either immediately following the successful authentication or at a possibly much later date. In this embodiment, it is advantageous that a server of the type can be used as an authorization server, as they are used for other applications, such as the Internet area. This results in advantages over the use of a telecommunications-specific home database HLR advantages in terms of effort and costs for the establishment and management of the authorization server.

Eine weitere vorteilhafte Ausgestaltung des Verfahrens besteht darin, dass als Autorisierungs-Server der auf Basis des Internetprotokolls kommunizierende Server verwendet wird.A further advantageous embodiment of the method is that is used as an authorization server communicating based on the Internet Protocol server.

Hierdurch wird eine zentrale Verwaltung aller für die Authentifizierung und Autorisierung benötigten Daten ermöglicht .This provides centralized management of all data required for authentication and authorization.

Das erfindungsgemäße Verfahren kann derart ausgestaltet sein, dass der Autorisierungs-Server mit der Autorisierungsbestäti- gung eine dem Endgerät zugeteilte Rufnummer und/oder eine dem Endgerät zugeteilte IP-Adresse an den Zugangsnetzknoten übermittelt . Hierbei ist insbesondere vorteilhaft, dass aufgrund der dynamischen Zuweisung während des Verfahrensablaufs auf die Zuteilung einer festen, statischen Rufnummer und/oder die Zuteilung einer festen, statischen IP-Adresse an das Endgerät verzichtet werden kann . Hierbei ist zu berücksichtigen, dass der Adressvorrat an Rufnummern (MSISDN im Rahmen der 3GPP- Standardisierung) für Endgeräte knapp wird und eine große An- zahl von Endgeräten für Datenanwendungen diese Knappheit forcieren würde . Das Verfahren kann derart ausgestaltet sein, dass mit der Au- torisierungsbestätigung von dem Autorisierungs-Server die gewährte Dienstgüte QoS definierende Parameter an den Zugangsnetzknoten übermittelt werden und der Zugangsnetzknoten die empfangenen, die Dienstgüte QoS definierenden Parameter für den von dem Endgerät angeforderten Paketdatendienst anwendet . Diese Ausführung ist vorteilhaft, da hierdurch dem Autorisierungs-Server als zentraler Komponente die Möglichkeit der Einschränkung der zur Verfügung gestellten Dienstgüte QoS ge- geben wird .The inventive method can be configured such that the authorization server with the authorization confirmation transmitted to the terminal number assigned to the terminal and / or an IP address assigned to the terminal to the access network node. In this case, it is particularly advantageous that, due to the dynamic allocation during the process sequence, the allocation of a fixed, static telephone number and / or the allocation of a fixed, static IP address to the terminal can be dispensed with. It should be noted that the supply of addresses to telephone numbers (MSISDN as part of 3GPP standardization) is becoming scarce for end devices and that a large number of terminal devices for data applications would force this shortage. The method can be configured such that with the authorization confirmation from the authorization server the granted quality of service QoS-defining parameters are transmitted to the access network node and the access network node uses the received parameters defining the quality of service QoS for the packet data service requested by the terminal. This embodiment is advantageous because it gives the authorization server as a central component the possibility of limiting the quality of service QoS provided.

Vorteilhafterweise ist das Verfahren derart ausgestaltet, dass als Autorisierungs-Server ein AAA-Server verwendet wird. Dies ist besonders bevorzugt, da ein AAA-Server für die Auto- risierung verwendbare Protokolle, wie etwas RADIUS oder DIAMETER, unterstützt .Advantageously, the method is configured such that an AAA server is used as the authorization server. This is particularly preferred because an AAA server supports protocols suitable for automation, such as RADIUS or DIAMETER.

Das Verfahren kann auch derart ausgestaltet sein, dass der Zugangsnetzknoten nach Empfang der Autorisierungsbestätigung eine Anforderungsnachricht an einen weiteren Server sendet, der weitere Server in seiner Antwort die gewährte Dienstgüte QoS definierende Parameter an den Zugangsnetzknoten sendet und der Zugangsnetzknoten die empfangenen, die Dienstgüte QoS definierenden Parameter für den von dem Endgerät angeforder- ten Paketdatendienst anwendet .The method can also be configured in such a way that the access network node sends a request message to another server after receiving the authorization confirmation, the server sends in its response the granted quality of service QoS-defining parameters to the access network node and the access network node sends the received parameters defining the quality of service QoS for the packet data service requested by the terminal.

Das Verfahren kann vorteilhafterweise weiterhin so ausgestaltet sein, dass als weiterer Server ein Policy Decision Function PDF-Server verwendet wird . Da das Netzelement PDF-Ser- ver, wie schon im Zusammenhang mit dem erfindungsgemäßen Mobilfunknetz erläutert, bereits im Rahmen der 3GPP-Standardi- sierung spezifiziert worden ist, kann hierdurch der Aufwand der zusätzlichen Standardisierung und Realisierung eines weiteren Netzelementes vermieden werden.The method can advantageously also be designed so that a policy decision function PDF server is used as a further server. Since the network element PDF server, as already explained in connection with the mobile radio network according to the invention, has already been specified within the framework of the 3GPP standardization, this can result in the expense the additional standardization and realization of another network element can be avoided.

Vorteilhafterweise kann das erfindungsgemäße Verfahren auch so ablaufen, dass als weiterer Server ein Charging RulesAdvantageously, the method according to the invention can also proceed in such a way that as a further server a charging rule

Function CRF-Server verwendet wird . Diese Ausgestaltung des Verfahrens ist bevorzugt, da auch ein CRF-Server bereits im Rahmen der 3GPP-Standardisierung spezifiziert worden ist, wie ebenfalls im Vorhergehenden bereits beschrieben wurde, und somit der Aufwand der zusätzlichen Standardisierung und Realisierung eines zusätzlichen Netzelementes vermieden wird .Function CRF server is used. This refinement of the method is preferred, since a CRF server has also already been specified within the framework of 3GPP standardization, as has likewise already been described above, and thus the expense of additional standardization and implementation of an additional network element is avoided.

Das Verfahren kann vorteilhafterweise auch so ausgestaltet sein, dass zwischen dem Endgerät und dem Netzknoten zur Au- thentifizierung und Schlüsselvereinbarung ein symmetrisches Verfahren verwendet wird . Aus der Internetveröffentlichung 3GPP TS 33.102 V6.3.0 ( 2004-12 ) ist die Sicherheitsarchitektur für Mobilfunknetze der dritten Generation entsprechend der 3GPP-Standardisierung bekannt . Dabei beschreibt die In- ternetveröffentlichung insbesondere das für die Authentifizierung und Schlüsselvereinbarung verwendete symmetrische Verfahren . Im Rahmen der wechselseitigen Authentifizierung des Endgerätes und des Mobilfunknetzes findet gleichzeitig die Vereinbarung der zur Verschlüsselung der Datenübertragung und Signalisierung zwischen dem Endgerät und dem Mobilfunknetz im Folgenden zu nutzenden Schlüssel statt . Bei dem in der Internetveröffentlichung beschriebenen symmetrischen Verfahren ist es hierzu erforderlich, dass das Endgerät sowie das Authentifizierungs-Zentrum einen geheimen Wert spezifisch für j ede (U) SIM halten . Die Verwendung eines symmetrischen Verfahrens zur Authentifizierung und Schlüsselvereinbarung zwischen dem Netzknoten und dem Endgerät ist für das erfindungsgemäße Verfahren vorteilhaft, da hierdurch Änderungen des aus der 3GPP-Standardisierung bekannten Verfahrensablaufs vermieden werden .The method can advantageously also be designed such that a symmetrical method is used between the terminal and the network node for authentication and key agreement. From the Internet publication 3GPP TS 33.102 V6.3.0 (2004-12), the security architecture for third generation mobile networks according to 3GPP standardization is known. In particular, the Internet publication describes the symmetric method used for authentication and key agreement. In the context of the mutual authentication of the terminal and the mobile network, the agreement of encryption of the data transmission and signaling between the terminal and the mobile network to be used in the following key simultaneously takes place. In the case of the symmetrical method described in the Internet publication, this requires that the terminal as well as the authentication center hold a secret value specific to each (U) SIM. The use of a symmetric method for authentication and key agreement between the network node and the terminal is advantageous for the method according to the invention, since this changes of the procedure known from 3GPP standardization can be avoided.

Das Verfahren kann vorzugsweise auch so ausgestaltet sein, dass zwischen dem Endgerät und dem Netzknoten zur Authentifizierung und Schlüsselvereinbarung ein asymmetrisches Verfahren verwendet wird . Hierbei entfällt im Gegensatz zur Verwendung eines symmetrischen Verfahrens zur Authentifizierung und Schlüsselvereinbarung vorteilhafterweise die Notwendigkeit in der in das Endgerät integrierten elektronischen Schaltungsanordnung netzbetreiberspezifische Routinen vorzusehen bzw. alternativ eine Standardisierung der zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen vorzunehmen . Dies wäre anderenfalls erforderlich, da entsprechend dem er- findungsgemäßen Verfahren die bisher in der (U) SIM gespeicherten und zur Authentifizierung benötigten Routinen in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeichert werden . Darüber hinaus wird im Vergleich zur Verwendung eines symmetrischen Verfahrens zur Authentifizie- rung und Schlüsselvereinbarung der Aufwand zur Konfiguration und zum Schutz der geheimen Werte (auch shared secret genannt) des symmetrischen Verschlüsselungsverfahrens im Au- thentifizierungs-Zentrum vermieden . Die vom asymmetrischen Verschlüsselungsverfahren verwendeten Mechanismen und Authen- tifizierungsparameter können darüber hinaus auch von anderen Anwendungen des Endgerätes genutzt werden .The method can preferably also be designed such that an asymmetrical method is used between the terminal and the network node for authentication and key agreement. In contrast to the use of a symmetrical method for authentication and key agreement, this eliminates advantageously the need to provide network operator-specific routines in the electronic circuit arrangement integrated in the terminal or, alternatively, to standardize the routines required for authentication and key agreement. Otherwise, this would be necessary because, according to the method according to the invention, the routines previously stored in the (U) SIM and required for authentication are stored in the electronic circuit arrangement integrated in the terminal. Moreover, in comparison with the use of a symmetric method for authentication and key agreement, the effort for configuring and protecting the secret values (also known as shared secret) of the symmetric encryption method in the authentication center is avoided. In addition, the mechanisms and authentication parameters used by the asymmetric encryption method can also be used by other applications of the terminal.

Vorzugsweise ist das erfindungsgemäße Verfahren derart ausgestaltet, dass in der in das Endgerät integrierten elektro- nischen Schaltungsanordnung ein privater Schlüssel des Endgerätes und ein öffentlicher Schlüssel des auf Basis des Internetprotokolls kommunizierenden Servers gespeichert werden und in dem auf Basis des Internetprotokolls kommunizierenden Ser- ver ein privater Schlüssel des auf Basis des Internetprotokolls kommunizierenden Servers und ein öffentlicher Schlüssel des Endgerätes gespeichert werden .Preferably, the method according to the invention is configured in such a way that a private key of the terminal and a public key of the server communicating on the basis of the Internet protocol are stored in the electronic circuit arrangement integrated in the terminal and in the server communicating on the basis of the Internet protocol. ver a private key of the server based on the Internet Protocol communicating server and a public key of the terminal are stored.

Besonders bevorzugt ist die Ausgestaltung, dass die j eweils benötigten öffentlichen und privaten Schlüssel in Form von Zertifikaten in der in das Endgerät integrierten elektronischen Schaltungsanordnung und in dem auf Basis des Internetprotokolls kommunizierenden Server gespeichert werden . Hier- bei wird durch die Verwendung von Zertifikaten die Integrität der j eweiligen Schlüssel sichergestellt .The embodiment is particularly preferred in that the respectively required public and private keys are stored in the form of certificates in the electronic circuit arrangement integrated in the terminal and in the server communicating on the basis of the Internet protocol. The use of certificates ensures the integrity of the respective keys.

Das erfindungsgemäße Verfahren kann derart ausgestaltet sein, dass als Authentifizierungsinformationen Informationen ver- wendet werden, die einen Sitzungsschlüssel , einen Integritätsschlüssel, eine Sequenznummer und eine erwartete Antwort beinhalten, welche alle mit dem öffentlichen Schlüssel des Endgerätes verschlüsselt sind, sowie eine Signatur erster Art des auf Basis des Internetprotokolls kommunizierenden Ser- vers , welche mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers aus dem Sitzungsschlüssel , dem Integritätsschlüssel, der Sequenznummer und der erwarteten Antwort berechnet ist, der Netzknoten die empfangenen Informationen mit der Authentifizierungsaufforde- rung an das Endgerät sendet, das Endgerät die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel , Integritätsschlüssel , Sequenznummer und erwartete Antwort unter Verwendung seines privaten Schlüssels entschlüsselt, das Endgerät die Signatur erster Art des auf Ba- sis des Internetprotokolls kommunizierenden Servers mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel , Integritätsschlüssel, Sequenznummer und erwartete Antwort und eines öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers verifiziert und das Endgerät bei erfolgreicher Verifizierung die entschlüsselte erwartete Antwort als Authentifizierungsantwort an den Netzknoten sendet . Dabei ist insbesondere vorteilhaft, dass die erforderlichen Erweiterungen der Funktionalität des Netzknotens minimiert werden . Daraus ergeben sich insbesondere dann Vorteile, wenn der Netzknoten parallel auch weiterhin Endgeräte mit (U) SIM bedienen soll, welche das bekannte symmetrische Verfahren zur Authentifizierung und Schlüsselvereinbarung unterstützen . Für den Netzknoten ergeben sich keine Änderungen bezüglich der Verwendung der Werte aus den zur Authentifizierung und Verschlüsselung verwendeten Authentifizierungsvektoren .The inventive method may be configured such that information is used as the authentication information, which includes a session key, an integrity key, a sequence number and an expected answer, which are all encrypted with the public key of the terminal, and a signature of the first kind Based on the Internet Protocol communicating server, which is calculated by means of the private key of the server based on the Internet Protocol from the session key, the integrity key, the sequence number and the expected response, the network node sends the received information with the authentication request to the terminal The terminal decrypts the parameters encrypted with its public key, session key, integrity key, sequence number and expected response using its private key, the endge advises the signature of the first type of server communicating on the basis of the Internet Protocol with the help of the decrypted parameters session key, integrity key, sequence number and expected response and a public key based on the Internet Protocol verifying server and the terminal sends the decrypted expected response as an authentication response to the network node on successful verification. It is particularly advantageous that the required extensions of the functionality of the network node are minimized. This results in particular advantages if the network node continues to operate in parallel terminals with (U) SIM, which support the known symmetric method for authentication and key agreement. For the network node, there are no changes in the use of the values from the authentication vectors used for authentication and encryption.

Das Verfahren kann auch derart ausgestaltet sein, dass als Authentifizierungsinformationen Informationen verwendet werden, die den Sitzungsschlüssel, die Sequenznummer und die erwartete Antwort beinhalten, welche alle mit dem öffentlichen Schlüssel des Endgerätes verschlüsselt sind, sowie eine Signatur zweiter Art des auf Basis des Internetprotokolls kommu- nizierenden Servers , welche mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers aus dem Sitzungsschlüssel, der Sequenznummer und der erwarteten Antwort berechnet ist, der Netzknoten die empfangenen Informationen mit der Authentifizierungsaufforderung an das Endgerät sendet , das Endgerät die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel, Sequenznummer und erwartete Antwort unter Verwendung seines privaten Schlüssels entschlüsselt, das Endgerät aus dem Sitzungsschlüssel und/oder der Sequenznummer und/oder der erwar- teten Antwort den Integritätsschlüssel bestimmt, das Endgerät die Signatur zweiter Art des auf Basis des Internetprotokolls kommunizierenden Servers mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel , Sequenznummer und erwartete Antwort und des öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers verifiziert und das Endgerät bei erfolgreicher Verifizierung die entschlüsselte erwartete Antwort als Authentifizierungsantwort an den Netzkno- ten sendet . Hierbei ist insbesondere vorteilhaft, dass durch die Ableitung des Integritätsschlüssels aus den übrigen Au- thentifizierungsparametern die Notwendigkeit der Übertragung des Integritätsschlüssels an das Endgerät entfällt . Dies hat zur Folge, dass Datenstruktur und Datenlänge der aus der In- ternetveröffentlichung 3GPP TS 33.102 V6.3.0 ( 2004-12 ) bekannten Authentifizierungsvektoren nicht geändert werden müssen, wodurch der Aufwand bei der Einführung des erfindungsgemäßen Verfahrens reduziert wird.The method can also be configured in such a way that the authentication information includes information that includes the session key, the sequence number and the expected answer, which are all encrypted with the public key of the terminal, and a second type of signature based on the Internet protocol. server, which is calculated by means of the private key of the server based on the Internet Protocol from the session key, the sequence number and the expected response, the network node sends the received information with the authentication request to the terminal, the terminal encrypted with its public key parameters The session key, sequence number and expected response are decrypted using its private key, the terminal from the session key and / or the sequence number and / or the expected response decrypts the integrit tsschlüssel determines the terminal type of the signature second communicating based on the Internet Protocol server using the decrypted session key parameter, sequence number and expected response and the public key of the server communicating based on the Internet Protocol verifies and the terminal sends the decrypted expected response as an authentication response to the network node on successful verification. In this case, it is particularly advantageous that the derivation of the integrity key from the other authentication parameters eliminates the need to transmit the integrity key to the terminal. As a result, the data structure and data length of the authentication vectors known from the Internet publication 3GPP TS 33.102 V6.3.0 (2004-12) do not have to be changed, which reduces the effort involved in introducing the method according to the invention.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass als Authentifizierungsinformationen Informationen verwendet werden, die als mit dem öffentlichen Schlüssel des Endgerätes verschlüsselte Parameter den Sitzungsschlüssel, den Integritätsschlüssel , die Sequenznummer und eine mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers aus dem Sitzungsschlüssel, dem Integritätsschlüssel und der Sequenznummer berechnete Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers beinhalten, der Netzknoten die empfangenen In- formationen mit der Authentifizierungsaufforderung an das Endgerät sendet, das Endgerät die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel , Integritätsschlüssel, Sequenznummer und Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers un- ter Verwendung seines privaten Schlüssels entschlüsselt, das Endgerät die Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel , Integritätsschlüssel und Sequenznummer und des öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers verifiziert und das Endgerät bei erfolgreicher Verifizierung die entschlüsselte Signatur dritter Art des auf Basis des Internet- Protokolls kommunizierenden Servers als Authentifizierung- santwort an den Netzknoten sendet . Die Verwendung der Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers als Authentifizierungsantwort ist vorteilhaft , da hierdurch die Übertragung einer separaten erwarteten Antwort in Form eines zusätzlichen Parameters vermieden wird .The method according to the invention can also be configured such that information is used as authentication information which, as parameters encrypted with the public key of the terminal, comprises the session key, the integrity key, the sequence number and a server communicating by means of the private key of the Internet protocol based key from the session key , third-kind signature of the Internet protocol-communicating server computed by the integrity key and the sequence number, the node sending the received information with the authentication request to the terminal, the terminal transmitting the session key, integrity key, sequence number and signature parameters encrypted with its public key third type of server communicating based on the Internet Protocol using its private key decrypted, the terminal di e Third-party signature of the Internet-protocol-based server using the decrypted session key, integrity key and Sequence number and the public key of the server communicating based on the Internet Protocol verifies and the terminal sends the decrypted signature of the third type of communicating based on the Internet Protocol server authentication response to the network node on successful verification. The use of the third-type signature of the server communicating on the basis of the Internet Protocol as an authentication response is advantageous since this avoids the transmission of a separate expected response in the form of an additional parameter.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass als Authentifizierungsinformationen Informationen verwendet werden, die als mit dem öffentlichen Schlüssel des Endgerätes verschlüsselte Parameter den Sitzungsschlüssel, die Sequenznummer und eine mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers aus dem Sitzungsschlüssel und der Sequenznummer berechnete Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers beinhalten, der Netzknoten die empfangenen Informationen mit der Authentifizierungsaufforderung an das Endgerät sendet, das Endgerät die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel, Sequenznummer und Signatur vierter Art des auf Basis des In- ternetprotokolls kommunizierenden Servers unter Verwendung seines privaten Schlüssels entschlüsselt, das Endgerät aus dem Sitzungsschlüssel und/oder der Sequenznummer den Integritätsschlüssel bestimmt, das Endgerät die Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel und Sequenznummer und des öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers verifiziert und das Endgerät bei erfolgrei- eher Verifizierung die entschlüsselte Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers als Authentifizierungsantwort an den Netzknoten sendet . Diese Ausgestaltung ist besonders vorteilhaft, da hierdurch weder der Integritätsschlüssel noch die erwartete Antwort als separate Parameter benötigt werden .The method according to the invention can also be configured such that information is used as authentication information, the parameters encrypted with the public key of the terminal, the session key, the sequence number and a server communicating by means of the private key of the Internet protocol based on the Internet protocol from the session key and the sequence number include the fourth type signature of the server communicating on the basis of the Internet protocol, the network node sends the received information with the authentication request to the terminal, the terminal the parameters encrypted with its public key, session key, sequence number and fourth type signature of the communication based on the Internet protocol Decrypting server using its private key, the terminal from the session key and / or the sequence number the integrity key besti the terminal verifies the signature of the fourth type of Internet Protocol-based server using the decrypted session key and sequence number parameters and the public key of the Internet Protocol-based server, and terminates the terminal upon successful completion of the Internet protocol. rather, verification sends the decrypted signature of the fourth type of server communicating on the basis of the Internet Protocol as the authentication response to the network node. This embodiment is particularly advantageous, as it requires neither the integrity key nor the expected response as separate parameters.

Vorteilhafterweise ist das Verfahren derart ausgestaltet, dass als auf Basis des Internetprotokolls kommunizierender Server ein AAA-Server verwendet wird . Durch die Verwendung dieses vielfältig anwendbaren Servertyps können die Kosten für die Verwaltung und das Betreiben des Kommunikationsnetzes reduziert werden .Advantageously, the method is configured such that an AAA server is used as the server communicating based on the Internet protocol. By using this versatile type of server, the cost of managing and operating the communications network can be reduced.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass die Kommunikation zwischen dem Netzknoten und dem auf Basis des Internetprotokolls kommunizierenden Server über den Zugangsnetzknoten erfolgt . Dies ist insbesondere dann vorteilhaft, wenn hierdurch ein bereits existierendes Inter- face des Zugangsnetzknotens zu dem auf Basis des Internetprotokolls kommunizierenden Server genutzt werden kann . Dies ist z . B . dann der Fall , wenn es sich bei dem auf Basis des Internetprotokolls kommunizierenden Server um einen AAA-Server handelt und bei dem Zugangsnetzknoten um einen GGSN, da letz- terer bereits über ein AAA-Interface verfügt .The method according to the invention can also be configured such that the communication between the network node and the server communicating on the basis of the Internet protocol takes place via the access network node. This is advantageous in particular if, as a result, an already existing interface of the access network node can be used for the server communicating on the basis of the Internet protocol. This is z. B. this is the case when the server communicating on the basis of the Internet protocol is an AAA server and the access network node is a GGSN, since the latter already has an AAA interface.

Vorteilhafterweise kann das erfindungsgemäße Verfahren so ablaufen, dass das Endgerät mit weiteren Endgeräten der gleichen Art zu einer Gruppe zusammengefasst wird, und der Gruppe von Endgeräten eine gemeinsame Rufnummer zugeordnet wird, unter welcher die Abrechnung der durch die Endgeräte der Gruppe verursachten Gebühren erfolgt, und die Identifizierung der einzelnen Endgeräte anhand des das Endgerät identifizierenden Parameters oder der IP-Adresse des Endgerätes erfolgt . Dies ist vorteilhaft, da wie bereits erläutert der Adressvorrat an Rufnummern (MSISDN im 3GPP-Standard) für Endgeräte knapp wird und dieses Problem durch eine große Anzahl von Endgeräten für Datenanwendungen forciert werden würde . Eine eigene Rufnummer für j edes Endgerät ist nur für die Datenübertragung mittels Kurznachrichten ( Short Message Service SMS ) und für leitungs- vermittelte Datendienste erforderlich, nicht j edoch für paketvermittelte Datendienste . Typischerweise erfolgt weiterhin auch die Vergebührung unter Verwendung der Rufnummer als Zuordnungs-Kriterium. Die Vergabe einer Rufnummer an eine Gruppe von Endgeräten ermöglicht es nun, unter dieser Rufnummer alle für die Endgeräte der Gruppe anfallenden Gebühren zusammenzufassen . Dabei kann es sich bei den zu einer Gruppe zusammengefassten Endgeräten zum Beispiel um alle Endgeräte eines Betreibers von fernablesbaren Stromverbrauchszählern handeln . Darüber hinaus lassen sich auch weitere Aktionen unter der gemeinsamen Rufnummer der Endgeräte, der Identität des über das Internetprotokoll kommunizierenden Servers oder der Identität des Zugangsnetzknotens zusammenfassen . So müssen etwa Regeln für Diensteinschränkungen oder die Regeln zur Vergebührung nur einmal für die gesamte Gruppe definiert werden .Advantageously, the method according to the invention can proceed in such a way that the terminal is combined with further terminals of the same type into a group, and the group of terminals is assigned a common call number, under which the billing of the charges caused by the terminals of the group takes place, and the Identification of the individual terminals on the basis of identifying the terminal Parameters or the IP address of the terminal takes place. This is advantageous because, as already explained, the address list of telephone numbers (MSISDN in the 3GPP standard) becomes scarce for terminals and this problem would be accelerated by a large number of terminals for data applications. A separate telephone number for each terminal is required only for short message service (SMS) data transmission and circuit-switched data services, but not for packet-switched data services. Typically, billing continues to be performed using the phone number as an assignment criterion. The assignment of a telephone number to a group of terminals now makes it possible to summarize all charges for the terminals of the group under this number. For example, the terminals grouped into a group can be all terminals of an operator of remotely readable electricity meters. In addition, further actions can be summarized under the common number of the terminals, the identity of the communicating via the Internet Protocol server or the identity of the access network node. For example, rules for service restrictions or charging rules need only be defined once for the entire group.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass der Netzknoten das Einbuchen des Endgerätes betreffende Präsenzdaten an einen Präsenz-Server sendet und der Präsenz-Server mit einem Antwortsignal das Eintragen der Präsenzdaten bestätigt . Wie bereits im Zusammenhang mit dem erfindungsgemäßen Mobilfunknetz erläutert ist der Präsenz- Server als solcher aus der Internetveröffentlichung 3GPP TS 23.141 V6.7.0 ( 2004-09 ) bekannt . Im Rahmen des erfindungsgemäßen Verfahrens wird es durch seine Verwendung vorteilhaft- erweise ermöglicht, dass auch ohne Verwendung einer Heimatdatenbank HLR eine Lokalisierung des Endgerätes erfolgen kann .The inventive method can also be configured such that the network node sends the registration of the terminal relevant presence data to a presence server and the presence server confirms the entry of the presence data with a response signal. As already explained in connection with the mobile radio network according to the invention, the presence server is known as such from the Internet publication 3GPP TS 23.141 V6.7.0 (2004-09). In the context of the method according to the invention, it is advantageous due to its use. enables a localization of the terminal even without using a home database HLR.

Das Verfahren kann derart ausgestaltet sein, dass als Be- standteil der Präsenzdaten Informationen zum Aufenthaltsort des Endgerätes gesendet werden . Dies ist vorteilhaft, da somit die Überwachung und Auswertung des Aufenthaltsortes des Endgerätes ermöglicht wird.The method can be configured in such a way that as a component of the presence data, information about the location of the terminal is sent. This is advantageous, since thus the monitoring and evaluation of the whereabouts of the terminal is made possible.

Eine weitere bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens ist derart, dass der Präsenz-Server die empfangenen Informationen zum Aufenthaltsort des Endgerätes mit einem vorbestimmten Aufenthaltsort vergleicht und einen Alarm auslöst, wenn der Aufenthaltsort des Endgerätes nicht mit dem vorbestimmten Aufenthaltsort übereinstimmt . Hierdurch wird für ortsfeste Endgeräte zur Datenkommunikation die Möglichkeit gegeben, einen Alarm auszulösen, wenn das Endgerät seine Position ändert, was auf Missbrauch, z . B . den Diebstahl eines Endgerätes oder eines mit ihm verbundenen Verkaufsautoma- ten hinweist .A further preferred embodiment of the method according to the invention is such that the presence server compares the received information on the location of the terminal with a predetermined location and triggers an alarm when the location of the terminal does not match the predetermined location. As a result, for stationary terminals for data communication given the opportunity to trigger an alarm when the terminal changes its position, indicating abuse, z. B. indicates the theft of a terminal or a vending machine connected to it.

Das Verfahren kann vorzugsweise auch so ablaufen, dass der Präsenz-Server nach der Aktivierung des Paketdatendienstes von dem Netzknoten und/oder dem Zugangsnetzknoten eine den Status des Endgerätes aktualisierende Nachricht empfängt, welche Informationen zu dem aktivierten Paketdatendienst und der zugehörigen IP-Adresse enthält, und der Präsenz-Server mit einer Bestätigungsnachricht antwortet . Hierdurch wird es ermöglicht, dass in den durch den Präsenz-Server verwalteten Daten die Aktivierung des Paketdatendienstes zusammen mit der von dem Endgerät verwendeten IP-Adresse vermerkt wird und diese Informationen den für das Endgerät registrierten Wat- cher Applications zur Verfügung gestellt werden kann . Die In- formation bezüglich der von dem Endgerät für die Nutzung des Paketdatendienstes verwendeten IP-Adresse ist insbesondere dann von Interesse, wenn das Endgerät eine dynamische IP-Adresse verwendet, d. h . eine solche, die dem Endgerät erst im Rahmen des Einbuchens im Mobilfunknetz bzw . der Aktivierung eines Paketdatendienstes zugewiesen wird . Dabei besteht die Möglichkeit, dass für den Fall , dass ein Endgerät bereits einen Paketdatendienst mit einer IP-Adresse aktiviert hat, eine Anwendung die IP-Adresse von dem Präsenz-Server erfragen und daraufhin Daten zu dem Endgerät übertragen kann .The method may also preferably be such that, after the packet data service is activated, the presence server receives from the network node and / or the access network node a message updating the status of the terminal, which contains information on the activated packet data service and the associated IP address, and the presence server responds with a confirmation message. This makes it possible that in the data managed by the presence server, the activation of the packet data service is noted together with the IP address used by the terminal and this information can be made available to the encrypted applications for the terminal. In the- Formation with respect to the IP address used by the terminal for the use of the packet data service is of particular interest when the terminal uses a dynamic IP address, i. H . such, the terminal only in the context of the booking in the mobile network or. is assigned to activate a packet data service. There is the possibility that in the event that a terminal has already activated a packet data service with an IP address, an application can request the IP address from the presence server and then transfer data to the terminal.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass ein Anwendungs-Server sich bei dem Präsenz-Server anmeldet, der Präsenz-Server die Anmeldung des Anwendungs- Servers auswertet und der Präsenz-Server bei Vorliegen eines vordefinierten Auswerteresultates das Endgerät zu einer Aktivierung eines weiteren Paketdatendienstes veranlasst, womit dem Endgerät automatisch eine dynamische IP-Adresse zugewiesen wird . Dies ermöglicht den Aufbau von Datenverbindungen vom Mobilfunknetz aus mit Zuweisung einer dynamischen IP-Adresse an das Endgerät, wodurch vorteilhafterweise Netzressourcen für Datenverbindungen für solche Anwendungen eingespart werden, welche nur gelegentlich Daten übertragen und dies von der Netzseite angestoßen . Somit wird es auf dem An- wendungs-Server lokalisierten Anwendungen erlaubt, Daten an das Endgerät zu senden, ohne dass das Endgerät diese zuvor initiiert oder angefordert hat ( so genannte Push-Services ) .The inventive method can also be configured such that an application server logs in to the presence server, the presence server evaluates the application server application and the presence server in the presence of a predefined evaluation result, the terminal to an activation of another Packet data service, which automatically assigns the terminal a dynamic IP address. This allows the establishment of data links from the mobile network with the assignment of a dynamic IP address to the terminal, thereby advantageously saving network resources for data connections for those applications which only occasionally transmit data and trigger this from the network side. Thus, applications located on the application server are allowed to send data to the terminal without the terminal having previously initiated or requested them (so-called push services).

Vorzugsweise läuft das Verfahren so ab, dass der Präsenz-Ser- ver eine zur Nutzung dynamischer IP-Adressen modifiziertePreferably, the method is such that the presence server modifies one to use dynamic IP addresses

Aufforderungsnachricht zur Aktivierung des weiteren Paketdatendienstes an das Endgerät sendet und das Endgerät daraufhin den weiteren Paketdatendienst aktiviert, wodurch dem Endgerät eine dynamische IP-Adresse zugewiesen wird . Der Präsenz-Server kann dabei die Aufforderungsnachricht zunächst direkt an den Netzknoten senden, welcher daraufhin das Endgerät auffordert , den weiteren Paketdatendienst zu aktivieren . Der Prä- senz-Server kann j edoch auch eine Aufforderungsnachricht an den Zugangsnetzknoten senden, welcher dann eine zur Nutzung dynamischer IP-Adressen modifizierte Aufforderungsnachricht an den Netzknoten sendet . Besonders bevorzugt initiiert der Präsenz-Server eine so genannte „network-requested PDP con- text activation" , die bereits aus der Internetveröffentlichung 3GPP TS 23.060 Vβ .7.0 (2004-12 ) bekannt ist und entsprechend einem Vorschlag aus der Internetveröffentlichung 3GPP S2-034257 (http : //www .3gpp . org/ ftp/tsg_sa/WG2_Arch/TSGS2_3β_New_York/tdocs/ ) für die Nutzung dynamischer IP-Adressen modifiziert wird . Daraufhin aktiviert das Endgerät den weiteren Paketdatendienst, wodurch dem Endgerät eine dynamische IP-Adresse zugewiesen wird . Die bereits aus der Internetveröffentlichung 3GPP TS 23.141 V6.7.0 (2004- 09) bekannten Mechanismen melden dann die zugewiesene IP-Ad- resse an den Präsenz-Server, welcher sie wiederum der Watcher Application oder den Watcher Applications mitteilt .Prompt message to activate the further packet data service to the terminal sends and the terminal then activates the other packet data service, which the terminal a dynamic IP address is assigned. The presence server can initially send the request message directly to the network node, which then prompts the terminal to activate the further packet data service. However, the presence server can also send a request message to the access network node, which then sends a request message modified for the purpose of using dynamic IP addresses to the network node. Particularly preferably, the presence server initiates a so-called "network-requested PDP context activation", which is already known from the Internet publication 3GPP TS 23.060 Vβ .7.0 (2004-12) and according to a proposal from the Internet publication 3GPP S2-034257 (http: // www .3gpp.org / ftp / tsg_sa / WG2_Arch / TSGS2_3β_New_York / tdocs /) is modified to use dynamic IP addresses, whereupon the terminal activates the further packet data service, thereby assigning the terminal a dynamic IP address The mechanisms already known from the Internet publication 3GPP TS 23.141 V6.7.0 (2004-09) then report the assigned IP address to the presence server, which in turn informs them of the Watcher Application or the Watcher Applications.

In einer weiteren besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird die dynamische IP-Adresse des Endgerätes dem Präsenz-Server seitens des Zugangsnetzknotens und dem Anwendungs-Server seitens des Präsenz-Servers mitgeteilt . Voraussetzung dabei ist , dass das Endgerät in einem Mobilfunknetz der oben beschriebenen Art eingebucht ist .In a further particularly preferred embodiment of the method according to the invention, the dynamic IP address of the terminal is communicated to the presence server by the access network node and the application server by the presence server. The prerequisite is that the terminal is logged in a mobile network of the type described above.

In einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens meldet sich ein Anwendungs-Server bei dem Präsenz-Server als Watcher-Application an . Wenn dem Endgerät , welchem der Anwendungs-Server Daten senden möchte, noch keine dynamische IP-Adresse zugewiesen ist, veranlasst der Präsenz-Server dies entsprechend dem zuvor beschriebenen Verfahren . Über bekannte Mechanismen wird die zugewiesene IP- Adresse an den Präsenz-Server gemeldet, der sie wiederum der Watcher-Application mitteilt . Der Anwendungs-Server kann nun Daten zum Endgerät übertragen . Nach der Datenübertragung meldet sich der Anwendungs-Server vorzugsweise beim Präsenz-Server als Watcher-Application wieder ab . Somit kann die nächste Anmeldung eines Anwendungs-Servers als Watcher-Application beim Präsenz-Server wiederum eine Zuweisung einer dynamischen IP-Adresse zu einem entsprechenden Endgerät auslösen . Eine erneute Zuweisung ist erforderlich, wenn das Mobilfunknetz oder das entsprechende Endgerät die Ressourcen und die IP-Adresse wegen beispielsweise längerer Nichtnutzung wieder frei- gegeben haben .In a particularly preferred embodiment of the method according to the invention, an application server logs on to the presence server as a watcher application. If the terminal to which the application server wants to send data If no dynamic IP address is assigned yet, the presence server initiates this according to the procedure described above. Using known mechanisms, the assigned IP address is reported to the presence server, which then informs the watcher application. The application server can now transfer data to the terminal. After the data transfer, the application server preferably logs off the presence server as a watcher application again. Thus, the next application server registration as a watcher application at the presence server again trigger an assignment of a dynamic IP address to a corresponding terminal. A reassignment is required if the mobile radio network or the corresponding terminal have released the resources and the IP address due to, for example, prolonged disuse.

In einer anderen bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens meldet sich der Anwendungs-Server nur mittelbar bei dem Präsenz-Server an . Dies bedeutet, dass ein so genannter „Push-Proxy"-Server sich bei dem Präsenz-Server als Watcher-Application anmeldet . Dieser Server ist bereits aus der Spezifikation 3GPP TR 23.976 V6.1.0 (2004-06) bekannt . Der „Push-Proxy"-Server erfährt dabei dann über den Präsenz- Server die dem Endgerät zugewiesene IP-Adresse (n) . Der Anwen- dungs-Server sendet seine Push-Daten dann immer an den entsprechenden, beim Präsenz-Server angemeldeten „Push-Proxy"- Server . Dieser sendet dann die Daten weiter zum Endgerät über die zur Verfügung stehenden Wege, z . B . über einen leitungs- vermittelten Datendienst . Wenn der „Push-Proxy^-Server die Daten paket-basiert übertragen soll , erfolgt dies an die IP- Adresse, die der Präsenz-Server mitteilt . Wenn noch keine dynamische IP-Adresse zugewiesen ist , veranlasst der Präsenz- Server dies entsprechend den beschriebenen Verfahrensschrit- ten . Nach der Datenübertragung meldet sich der „Push-Proxy"- Server vorzugsweise als Watcher-Application beim Präsenz-Server ab . Somit kann die nächste Anmeldung als Watcher-Application für eine Datenübertragung wiederum die Zuweisung einer dynamischen IP-Adresse auslösen, wenn das Mobilfunknetz oder das Endgerät die Ressourcen und die IP-Adresse wegen z . B . längerer Nichtnutzung wieder freigegeben haben .In another preferred embodiment of the method according to the invention, the application server logs on only indirectly to the presence server. This means that a so-called "push proxy" server logs on to the presence server as a watcher application, which is already known from the specification 3GPP TR 23.976 V6.1.0 (2004-06). Proxy "server learns then via the presence server assigned to the terminal IP address (s). The application server then always sends its push data to the corresponding "push proxy" server registered with the presence server, which then sends the data on to the terminal using the available paths, eg via If the "Push Proxy" server is to transmit the data on a packet-based basis, this is done to the IP address that the presence server communicates with, if a dynamic IP address has not yet been assigned Presence server this according to the procedure described th. After the data transmission, the "push proxy" server preferably logs off as a watcher application at the presence server, so that the next logon as a watcher application for a data transmission can in turn trigger the assignment of a dynamic IP address if the mobile radio network or the terminal has released the resources and the IP address due to, for example, prolonged non-use.

In einer weiteren besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird bei der Anmeldung der Anwendung bzw . des Anwendungs-Servers beim Präsenz-Server als Watcher-Application eines Endgerätes bzw . eines entsprechenden Teilnehmers unterschieden, ob diese Anmeldung auch zur Zuweisung einer IP-Adresse, insbesondere einer dynamischen IP-Adresse führen soll oder ob der Watcher-Application lediglich, wie bereits bekannt, über Zustände oder Zustandsände- rungen informiert werden soll . Dazu wird das vordefinierte Auswerteresultat seitens des Endgerätes festgelegt und bei dem Präsenz-Server hinterlegt . Das bedeutet, dass es dadurch dem Endgerät bzw . dem entsprechenden Teilnehmer möglich wird, seine Präferenzen entsprechend zu hinterlegen und zu ändern . Es kann seitens des Endgerätes eingestellt werden, ob das Endgerät Push-Daten empfangen möchte, d . h . , ob das Mobilfunknetz hierzu die Aktivierung eines Paketdatendienstes mit Zuweisung einer dynamischen IP-Adresse veranlassen darf bzw . soll oder ob die Übertragung von Push-Daten seitens des Endgerätes nicht gewünscht ist .In a further particularly preferred embodiment of the method according to the invention in the application of the application or. the application server at the presence server as a watcher application of a terminal or. a corresponding subscriber, whether this application should also lead to the assignment of an IP address, in particular a dynamic IP address, or whether the Watcher application only, as already known, should be informed about states or state changes. For this purpose, the predefined evaluation result is determined by the terminal and stored at the presence server. This means that it thereby the terminal or. the respective participant is able to deposit and change his preferences accordingly. It can be set by the terminal, whether the terminal wants to receive push data, d. H . Whether the mobile network for this purpose may initiate the activation of a packet data service with assignment of a dynamic IP address or. should or whether the transmission of push data by the terminal is not desired.

In einer anderen bevorzugten Ausführungsform des erfindungs- gemäßen Verfahrens wird das vordefinierte Auswerteresultat seitens eines Netzbetreiber derart festgelegt, dass der Präsenz-Server j edes sich neu in das Mobilfunknetz einbuchende Endgerät zur Aktivierung des weiteren Paketdatendienstes ver- anlasst . Dabei wird dem Wunsch eines Netzbetreibers Rechnung getragen, Daten bzw . Informationen zu Endgeräten bzw. entsprechenden Teilnehmern zu übertragen, sobald sich diese im Mobilfunknetz einbuchen . Hierzu meldet sich ein entsprechen- der Anwendungs-Server als Watcher-Application aller Endgeräte bzw . entsprechender Teilnehmer oder einer Untergruppe, beispielsweise von Teilnehmern aus fremden Netzen, bei dem Präsenz-Server an . Sobald der Präsenz-Server von der Einbuchung eines Endgerätes bzw . eines entsprechenden Teilnehmers er- fährt, initiiert der Präsenz-Server die zur Nutzung dynamischer IP-Adressen modifizierte Aufforderungsnachricht, nämlich die bereits genannte modifizierte „network-requested PDP context activation" . Die daraufhin dem Endgerät bzw . dem entsprechenden Teilnehmer zugewiesene dynamische IP-Adresse wird dem Präsenz-Server mittels der in 3GPP TS 23.141 V6.7.0In another preferred embodiment of the method according to the invention, the predefined evaluation result is determined by a network operator in such a way that the presence server stores each terminal newly entering the mobile radio network for activating the further packet data service. starts. The request of a network operator is taken into account, data resp. Transfer information to terminals or their subscribers as soon as they log in to the mobile network. For this purpose, a corresponding application server reports as a watcher application of all terminals or. corresponding subscriber or a subgroup, for example, from subscribers from foreign networks, at the presence server. As soon as the presence server of the booking of a terminal or. The presence server initiates the request message modified for the use of dynamic IP addresses, namely the already mentioned modified "network-requested PDP context activation", which is then assigned to the terminal or the corresponding subscriber becomes the presence server by means of the in 3GPP TS 23.141 V6.7.0

( 2004-09 ) spezifizierten Mechanismen mitgeteilt . Der Präsenz- Server informiert den Anwendungs-Server, welcher Daten, die an das Endgerät übermittelt werden sollen, wie beispielsweise einen Willkommensgruß , dann zu dem Endgerät bzw . zu dem Teil- nehmer übertragen kann .(2004-09) specified mechanisms. The presence server informs the application server which data which is to be transmitted to the terminal, such as a welcome greeting, then to the terminal or. to the participant.

Ferner werden zur Authentifizierung von Anwendungs-Servern in der Funktion von Watcher-Applications für Präsenz-Server in 3GPP TS 23.141 V6.7.0 (2004-09 ) spezifizierte Methoden ver- wendet, um nicht autorisierte Übertragungen zu einem Endgerät bzw . zu dem entsprechenden Teilnehmer zu verhindern . Der Präsenz-Server teilt die IP-Adresse (n) eines Endgerätes bzw . eines entsprechenden Teilnehmers nur vom Teilnehmer und/oder vom Netzbetreiber autorisierten Watcher-Application bzw . An- wendungs-Servern mit . Dementsprechend wird auch nur dann eine Aktivierung eines Paketdatendienstes seitens eines Präsenz- Servers bei einem Endgerät einschließlich einer damit verbundenen Zuweisung einer dynamischen IP-Adresse zu dem Endgerät veranlasst , wenn der Anwendungs-Server vom Teilnehmer und/oder Netzbetreiber autorisiert ist .In addition, methods specified for authentication of application servers in the function of watcher applications for presence servers in 3GPP TS 23.141 V6.7.0 (2004-09) are used in order to prevent unauthorized transmissions to a terminal or to a terminal. to prevent the corresponding participant. The presence server divides the IP address (es) of a terminal or terminal. a corresponding subscriber only from the subscriber and / or authorized by the network operator Watcher application or. Application servers with. Accordingly, activation of a packet data service on the part of a presence server at a terminal including an associated assignment of a dynamic IP address to the terminal only becomes then only then if the application server is authorized by the subscriber and / or network operator.

Vorzugsweise überträgt der Anwendungs-Server mittels der dy- namischen IP-Adresse spezifische Daten an das Endgerät . Das bedeutet, dass der Anwendungs-Server nun die Möglichkeit hat, Daten aus dem Mobilfunknetz zu dem Endgerät zu senden, ohne dass das Endgerät die Übertragung genau dieser Daten initiiert oder angefordert hätte . Die Initiierung seitens des End- gerätes erfolgte quasi mittelbar über die Aktivierung des Paketdatendienstes auf Aufforderung des Präsenz-Servers und eine damit einhergehende automatische Zuweisung einer IP-Adresse, mittels derer nun das Endgerät für den Anwendungs-Server erreichbar ist . Das bedeutet, dass der Anwendungs-Server mit Hilfe der ihm seitens des Präsenz-Servers mitgeteilten IP-Adresse nun Daten in Form eines Push-Dienstes zukommen lassen kann .The application server preferably transmits specific data to the terminal by means of the dynamic IP address. This means that the application server now has the ability to send data from the mobile network to the terminal without the terminal having initiated or requested the transmission of that exact data. The initiation on the part of the terminal took place almost indirectly via the activation of the packet data service at the request of the presence server and an associated automatic assignment of an IP address, by means of which the terminal for the application server can now be reached. This means that the application server can now send data in the form of a push service with the help of the IP address communicated to it by the presence server.

Die Erfindung betrifft weiterhin ein Endgerät mit einer in das Endgerät integrierten elektronischen Schaltungsanordnung, in der ein das Endgerät identifizierender Parameter gespeichert ist, zur Verwendung in einem Mobilfunknetz mit mindestens einem Netzknoten und mindestens einem Server, sowie mit mindestens einem mit dem Netzknoten verbundenen Zugangsnetz- knoten zu einem Paketdatennetz .The invention further relates to a terminal having an electronic circuit arrangement integrated in the terminal, in which a parameter identifying the terminal is stored, for use in a mobile radio network having at least one network node and at least one server, and at least one access network node connected to the network node to a packet data network.

Ein derartiges Endgerät geht aus dem eingangs behandelten Stand der Technik als bekannt hervor .Such a terminal is known from the initially discussed prior art as known.

Der Erfindung liegt die Aufgabe zugrunde, ein Endgerät der angegebenen Art so fortzuentwickeln, dass Paketdatendienste besonders kostengünstig erbracht werden können . Bei einem Endgerät der angegebenen Art wird die Aufgabe erfindungsgemäß dadurch gelöst, dass das Endgerät ein SIM-kar- tenfreies Endgerät ist und in der in das Endgerät integrierten elektronischen Schaltungsanordnung ein weiterer Identifi- zierungsparameter und zur Authentifizierung benötigte Routinen oder zur Authentifizierung benötigte Routinen und Parameter gespeichert sind . Durch die Verwendung eines SIM-karten- freien Endgerätes werden vorteilhafterweise die Kosten für die SIM-Karte und den SIM-Kartenleser des Endgerätes vermie- den . Das Speichern des weiteren Identifizierungsparameters und der zur Authentifizierung benötigten Routinen oder der zur Authentifizierung benötigten Routinen und Parameter in der in das Endgerät integrierten elektronischen Schaltungsanordnung ermöglicht es, dass das Endgerät trotz des Wegfalls der SIM-Karte weiterhin betrieben werden kann .The invention has for its object to further develop a terminal of the specified type so that packet data services can be provided particularly cost. In a terminal of the specified type, the object is achieved according to the invention by the terminal being a SIM card-free terminal and in the electronic circuitry integrated in the terminal a further identification parameter and routines or parameters required for authentication are stored. By using a SIM card-free terminal advantageously the costs for the SIM card and the SIM card reader of the terminal are avoided. Storing the further identification parameter and the routines required for the authentication or the routines and parameters required for the authentication in the electronic circuit arrangement integrated in the terminal makes it possible for the terminal to continue to be operated despite the omission of the SIM card.

Das erfindungsgemäße Endgerät ist vorteilhafterweise derart ausgestaltet, dass in der in das Endgerät integrierten elektronischen Schaltungsanordnung die für ein symmetrisches Ver- fahren zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen oder die zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter gespeichert sind . Durch die Unterstützung eines symmetrischen Verfahrens zur Authentifizierung und Schlüsselvereinbarung werden Ände- rungen im Mobilfunknetz vermieden, da hiermit das aus derThe terminal according to the invention is advantageously configured in such a way that the routines integrated into the terminal and the routines and parameters required for authentication and key agreement are stored in the electronic circuitry required for a symmetric method for authentication and key agreement. Support for a symmetric authentication and key agreement process avoids changes to the mobile network, as it removes the changes from the

3GPP-Standardisierung bekannte symmetrische Verfahren zur Authentifizierung und Schlüsselvereinbarung trotz der Benutzung SIM-kartenfreier Endgeräte weiter verwendet werden kann .3GPP standardization known symmetric method for authentication and key agreement can still be used despite the use of SIM card-free terminals.

Das erfindungsgemäße Verfahren kann auch derart ausgestaltet sein, dass in der in das Endgerät integrierten elektronischen Schaltungsanordnung die für ein asymmetrisches Verfahren zur Authentifizierung und Schlüsselvereinbarung benötigten Routi- nen oder die zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter gespeichert sind. Hierbei ist insbesondere vorteilhaft, dass durch die Verwendung eines asymmetrischen Verfahrens zur Authentifizierung und Schlüs- selvereinbarung sowohl die Notwendigkeit netzbetreiberspezi- fischer Endgeräte als auch die Notwendigkeit der Standardisierung der zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen des symmetrischen Verfahrens oder der zur Authentifizierung und Schlüsselvereinbarung benötigten Routi- nen und Parameter des symmetrischen Verfahrens vermieden wird .The method according to the invention can also be configured in such a way that in the electronic circuit arrangement integrated in the terminal the routines required for an asymmetrical method for authentication and key agreement are used. or the required routines and parameters for authentication and key agreement. In this case, it is particularly advantageous that the use of an asymmetric method for authentication and key agreement both the need of network operator-specific terminals and the need to standardize the required symmetric procedure for authentication and key agreement or the required for authentication and key agreement routines. NEN and parameters of the symmetric method is avoided.

Das erfindungsgemäße Endgerät kann auch derart ausgestaltet sein, dass in der in das Endgerät integrierten elektronischen Schaltungsanordnung ein privater Schlüssel des Endgerätes und ein öffentlicher Schlüssel des auf Basis des Internetprotokolls kommunizierenden Servers gespeichert sind .The terminal according to the invention can also be configured such that a private key of the terminal and a public key of the server communicating on the basis of the Internet protocol are stored in the electronic circuitry integrated in the terminal.

Das erfindungsgemäße Endgerät kann derart ausgestaltet sein, dass die Schlüssel in der in das Endgerät integrierten elektronischen Schaltungsanordnung in Form von Zertifikaten gespeichert sind . Dies ist vorteilhaft, da durch die Verwendung von Zertifikaten die Integrität der gespeicherten Schlüssel gesichert wird .The terminal according to the invention can be configured such that the keys are stored in the electronic circuit arrangement integrated in the terminal in the form of certificates. This is advantageous because the use of certificates ensures the integrity of the stored keys.

In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Endgerätes sind weitere für das Endgerät und/oder für den das Endgerät nutzenden Teilnehmer spezifische Daten in der in das Endgerät integrierten elektronischen Schaltungsan- Ordnung gespeichert . Dies ermöglicht eine Personalisierung des Endgerätes entsprechend den Anforderungen des j eweiligen Netzbetreibers . Durch das Speichern der üblicherweise auf der SIM-Karte gespeicherten Daten in der in das Endgerät integ- rierten elektronischen Schaltungsanordnung werden Einschränkungen bezüglich der Funktionalität des Endgerätes vermieden .In a further preferred embodiment of the terminal according to the invention, further data specific to the terminal and / or to the subscriber using the terminal are stored in the electronic circuit arrangement integrated in the terminal. This allows a personalization of the terminal according to the requirements of the j eweiligen network operator. By storing the data usually stored on the SIM card in the device ration of electronic circuitry, restrictions on the functionality of the terminal are avoided.

Vorteilhafterweise ist das erfindungsgemäße Endgerät derart ausgestaltet, dass es sich bei den weiteren Daten um eineAdvantageously, the terminal according to the invention is configured such that the further data is a

Liste der für das Endgerät erlaubten und/oder eine Liste der nicht erlaubten Netzbetreiber handelt . Dies ist insbesondere deshalb vorteilhaft, da somit ein Endgerät fest mit einem Netzbetreiber verknüpft werden kann, wodurch die Möglichkeit etwaigen Missbrauchs eingeschränkt wird, da Einbuchungsversu- che in die Netze anderer Netzbetreiber vermieden werden . Hierdurch wird auch eine Reduzierung des Signalisierungsver- kehrs erreicht .List of allowed for the terminal and / or a list of unauthorized network operators. This is advantageous in particular since a terminal can thus be permanently linked to a network operator, which limits the possibility of possible misuse, since log-on attempts to the networks of other network operators are avoided. This also achieves a reduction of the signaling traffic.

Das erfindungsgemäße Endgerät kann auch derart ausgestaltet sein, dass die in das Endgerät integrierte elektronische Schaltungsanordnung einen nicht-flüchtigen Speicher enthält . Dies ist vorteilhaft, da üblicherweise auch bei Abschaltung der Stromversorgung die in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten Daten erhalten bleiben sollen .The terminal according to the invention can also be configured such that the electronic circuitry integrated in the terminal contains a non-volatile memory. This is advantageous since the data stored in the electronic circuit arrangement integrated in the terminal should usually also be retained when the power supply is switched off.

Weiterhin kann das erfindungsgemäße Endgerät derart ausgestaltet sein, dass die in das Endgerät integrierte elektroni- sehe Schaltungsanordnung einen flüchtigen Speicher enthält, dessen Inhalt bei Unterbrechung der Stromversorgung verloren geht . Dies ist für bestimmte Anwendungsfälle vorteilhaft, da hierdurch die Missbrauchsmöglichkeiten von gestohlenen Endgeräten reduziert werden und die in der in das Endgerät integ- rierten elektronischen Schaltungsanordnung zur Authentifizierung und Schlüsselvereinbarung gespeicherten Routinen oder zur Authentifizierung und Schlüsselvereinbarung gespeicherten Routinen und Parameter etwa im Falle einer Unterbrechung der Stromversorgung aufgrund eines Diebstahls geschützt sind .Furthermore, the terminal according to the invention can be configured such that the integrated in the terminal electronic see circuit arrangement includes a volatile memory, the contents of which is lost in case of interruption of the power supply. This is advantageous for certain applications, since this reduces the possibilities of abuse of stolen terminals and stores the routines stored in the electronic circuit arrangement integrated in the terminal for authentication and key agreement or for authentication and key agreement Routines and parameters are protected in case of a power interruption due to theft.

Das erfindungsgemäße Endgerät kann auch derart ausgestaltet sein, dass die in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen oder die in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter und/oder die Funktion des Endgerätes insgesamt durch ein Passwort geschützt sind . Somit besteht die Möglichkeit, dass erst nach Passwortfreigabe die Gültigkeit und Integrität der Zertifikate im Endgerät überprüft werden kann . Ein Missbrauch des Endgerätes wird hierdurch erheblich erschwert .The terminal according to the invention can also be configured such that the routines and parameters stored in the electronic circuit arrangement stored in the terminal and required for authentication and key agreement or the routines and parameters stored in the electronic circuit integrated in the terminal and required for authentication and key agreement the function of the terminal are protected by a password. Thus, there is the possibility that only after password release the validity and integrity of the certificates can be checked in the terminal. Misuse of the terminal is thereby made considerably more difficult.

Zur weiteren Erläuterung der Erfindung zeigtTo further illustrate the invention shows

Figur 1 eine schematische Darstellung der Netzelemente ei- ner Ausführungsform des erfindungsgemäßen Mobilfunknetzes zusammen mit einem Paketdatennetz ,FIG. 1 shows a schematic representation of the network elements of an embodiment of the mobile radio network according to the invention together with a packet data network,

Figur 2 in einer Diagrammdarstellung die zwischen den inFIG. 2 is a diagram showing the differences between the in

Figur 1 dargestellten Netzelementen bei einer Aus- führungsform des erfindungsgemäßen Verfahrens im1 network elements in an embodiment of the inventive method in

Rahmen der Authentifizierung und Schlüsselvereinbarung ablaufenden Nachrichtenflüsse,Frames of authentication and key agreement message flows,

Figur 3 in einer Diagrammdarstellung die zwischen den in Figur 1 dargestellten Netzelementen bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens im Rahmen der Authentifizierung und Schlüsselvereinbarung ablaufenden Nachrichtenflüsse , Figur 4 in einer Diagrammdarstellung die zwischen den in Figur 1 dargestellten Netzelementen bei einer zusätzlichen Ausführungsform des erfindungsgemäßen Verfahrens im Rahmen der Authentifizierung und Schlüsselvereinbarung ablaufenden Nachrichtenflüsse,FIG. 3 is a diagrammatic representation of the message flows between the network elements shown in FIG. 1 in a further embodiment of the method according to the invention as part of the authentication and key agreement; FIG. 4 is a diagrammatic representation of the message flows between the network elements shown in FIG. 1 in an additional embodiment of the method according to the invention as part of the authentication and key agreement;

Figur 5 in einer Diagrammdarstellung eine Art der zwischen den in Figur 1 dargestellten Netzelementen im Rah- men der Anforderung eines Paketdatendienstes ablaufenden Nachrichtenflüsse undFIG. 5 is a diagrammatic view of a type of message flows running between the network elements shown in FIG. 1 in the context of the request for a packet data service; and

Figur 6 in einer Diagrammdarstellung eine weitere Art der zwischen den in Figur 1 dargestellten Netzelementen im Rahmen der Anforderung eines Paketdatendienstes ablaufenden Nachrichtenflüsse .FIG. 6 is a diagrammatic view of another type of message flow between the network elements shown in FIG. 1 as part of the request for a packet data service.

In Figur 1 ist eine Ausführungsform des erfindungsgemäßen Mobilfunknetzes MFN und ein Paketdatennetz PDN dargestellt . Es ist zu erkennen, dass ein das Mobilfunknetz MFN nutzendesFIG. 1 shows an embodiment of the mobile radio network MFN according to the invention and a packet data network PDN. It can be seen that a mobile network using MFN

Endgerät ME mittels eines Basisstationssystems BS an die übrigen Elemente des Mobilfunknetzes MFN angeschlossen ist . In diesem Zusammenhang ist zu beachten, dass im Folgenden nicht alle für den Betrieb des Mobilfunknetzes MFN erforderlichen Netzelemente dargestellt und beschrieben sind, sondern nur diej enigen, welche im Zusammenhang mit der Beschreibung der Merkmale des erfindungsgemäßen Mobilfunknetzes MFN relevant sind . So soll etwa die Notwendigkeit eines Basisstationssystems für die Funktionalität eines Mobilfunknetzes an dieser Stelle einmalig erwähnt werden, während weitere übliche Komponenten eines Mobilfunknetzes , welche für die Erläuterung der Erfindung keine wesentliche Rolle spielen, nicht erwähnt werden . Das Basisstationssystem BS ist mit einem Netzknoten NKn des Mobilfunknetzes MFN verbunden . Zur Bereitstellung einer Verbindung mit einem Paketdatennetz PDN ist der Netzknoten NKn mit einem Zugangsnetzknoten ZNK verbunden, welcher an das Pa- ketdatennetz PDN angebunden ist . Üblicherweise handelt es sich bei dem Netzknoten NKn und dem Zugangsnetzknoten ZNK um zwei separate Netzelemente; es besteht j edoch auch die Möglichkeit ein Netzelement zu verwenden, welches sowohl die Funktionalität des Netzknotens NKn als auch die des Zugangs- netzknotens ZNK realisiert .Terminal ME is connected by means of a base station system BS to the other elements of the mobile network MFN. In this context, it should be noted that not all the network elements required for the operation of the mobile radio network MFN are shown and described below, but only those which are relevant in connection with the description of the features of the mobile radio network MFN according to the invention. For example, the need for a base station system for the functionality of a mobile network should be mentioned here once, while other common components of a mobile network, which play no essential role in the explanation of the invention, are not mentioned. The base station system BS is connected to a network node NKn of the mobile network MFN. To provide a connection to a packet data network PDN, the network node NKn is connected to an access network node ZNK, which is connected to the packet data network PDN. Usually, the network node NKn and the access network node ZNK are two separate network elements; However, it is also possible to use a network element which implements both the functionality of the network node NKn and that of the access network node ZNK.

Bei dem Mobilfunknetz MFN kann es sich z . B . um ein solches entsprechend dem GPRS-Standard handeln, in welchem Fall es sich bei dem Netzknoten NKn um einen Serving GPRS Support Node (SGSN) und bei dem Zugangsnetzknoten ZNK um einen Gateway GPRS Support Node (GGSN) handelt . Außer mit dem Zugangsnetzknoten ZNK ist der Netzknoten NKn mit einem Präsenz-Server PS und einem auf Basis des Internetprotokolls kommunizierenden Server S verbunden . Darüber hinaus kommuniziert der Netzknoten NKn auch mit einem das Endgerät zuletzt bedienenden Netzknoten NKa . Der Zugangsnetzknoten ZNK ist mit einem Autorisierungs-Server AS und einem weiteren Server S2 verbunden . Außerdem besteht eine Kommunikationsverbindung zwischen dem Präsenz-Server PS und einem Anwendungs-Server AWS .In the mobile network MFN, it may, for. B. to be one according to the GPRS standard, in which case the network node NKn is a Serving GPRS Support Node (SGSN) and the access network node ZNK is a Gateway GPRS Support Node (GGSN). Apart from the access network node ZNK, the network node NKn is connected to a presence server PS and a server S communicating on the basis of the internet protocol. In addition, the network node NKn also communicates with a network node NKa serving the terminal last. The access network node ZNK is connected to an authorization server AS and another server S2. In addition, there is a communication link between the presence server PS and an application server AWS.

Der auf Basis des Internetprotokolls kommunizierende Server S stellt Authentifizierungsvektoren bereit , wie sie in bekannten Mobilfunknetzen von den Heimatdatenbanken HLR geliefert werden . Dabei kann dies entweder direkt durch den auf Basis des Internetprotokolls kommunizierenden Server S selbst, oder durch ein an den Server S angeschlossenes , nicht dargestelltes Authentifizierungs-Zentrum geschehen . Im Rahmen der Erfindung wird das an den auf Basis des Internetprotokolls kommunizierenden Server S angeschlossene Authentifizierungs- Zentrum als Bestandteil des Servers S betrachtet .The server S communicating on the basis of the Internet protocol provides authentication vectors, as they are supplied in known mobile networks from the home databases HLR. This can be done either directly by the communicating on the basis of the Internet Protocol server S itself, or by an attached to the server S, not shown authentication center. In the context of the invention that is based on the on the basis of the Internet Protocol communicating server S connected authentication center considered as part of the server S.

Der Präsenz-Server PS kann in Abweichung von der Darstellung der Figur 1 auch direkt mit dem Zugangsnetzknoten ZNK verbunden sein; auch eine Verbindung über den Netzknoten NKn zum Zugangsnetzknoten ZNK ist möglich .The presence server PS may, in deviation from the representation of FIG. 1, also be connected directly to the access network node ZNK; It is also possible to connect via the network node NKn to the access network node ZNK.

Im Weiteren soll die Erfindung anhand von Diagrammdarstellun- gen der bei verschiedenen Ausführungsformen zwischen den in Figur 1 dargestellten Netzelementen ablaufenden Nachrichtenflüsse mit den Figuren 2 bis 6 näher erläutert werden .In the following, the invention will be explained in greater detail by means of diagrams of the message flows taking place in different embodiments between the network elements shown in FIG. 1 and FIGS. 2 to 6.

Figur 2 stellt die Nachrichtenflüsse zwischen den Netzelemen- ten bei einer Ausführungsform des erfindungsgemäßen Verfahrens dar . Dabei sind die Netzelemente j eweils durch ein Rechteck mit einer senkrecht nach unten verlaufenden Linie veranschaulicht . Die zwischen den verschiedenen Netzelementen ausgetauschten Nachrichten sind durch horizontale Pfeile rep- räsentiert . Die zeitliche Abfolge der Nachrichten ist durch die vertikale Achse gegeben, d . h . ein weiter unten in der Abbildung dargestellter Pfeil repräsentiert eine Nachricht, welche üblicherweise im zeitlichen Ablauf nach einer durch einen weiter oben dargestellten Pfeil repräsentierten Nach- rieht übertragen wird .FIG. 2 illustrates the message flows between the network elements in one embodiment of the method according to the invention. In this case, the network elements are in each case illustrated by a rectangle with a line running vertically downwards. The messages exchanged between the various network elements are represented by horizontal arrows. The time sequence of the messages is given by the vertical axis, i. H . An arrow shown below in the figure represents a message which is usually transmitted in the time sequence according to a message represented by an arrow shown above.

Entsprechend Figur 2 kann das erfindungsgemäße Verfahren zum Betreiben eines Endgerätes ME in einem Mobilfunknetz MFN so ablaufen, dass sich das Endgerät ME bei dem Netzknoten NKn mit einer Anmeldungsanfrage erster Art Ia anmeldet, welche seine temporäre Identität beinhaltet . Bei der temporären Identität handelt es sich um einen das Endgerät ME identifizierenden Parameter, der dem Endgerät ME im Rahmen eines frü- heren Anmeldevorgangs zugewiesen worden ist . Zusätzlich sendet das Endgerät ME eine den das Endgerät ME zuletzt bedienenden Netzknoten NKa identifizierende Aufenthaltsgebietken- nung an den Netzknoten NKn .According to FIG. 2, the method according to the invention for operating a terminal ME in a mobile radio network MFN can proceed in such a way that the terminal ME registers with the network node NKn with a registration request of the first type Ia, which contains its temporary identity. The temporary identity is a parameter identifying the terminal ME, which is provided to the terminal ME as part of an has been assigned to this registration process. In addition, the terminal ME transmits a location area identifier identifying the network node NKa last serving the terminal ME to the network node NKn.

Daraufhin sendet der Netzknoten NKn eine Anfrage 2 an den das Endgerät ME zuletzt bedienenden Netzknoten NKa, welche die temporäre Identität enthält .The network node NKn then sends a request 2 to the network node NKa serving the terminal ME last, which contains the temporary identity.

Ausgelöst durch die Anfrage 2 sendet der das Endgerät ME zuletzt bedienende Netzknoten NKa mit der Nachricht 3 einen das Endgerät ME identifizierenden Parameter und einen weiteren Identifizierungsparameter an den Netzknoten NKn . Aufgrund der Verwendung der temporären Identität ist es somit möglich, dass der Netzknoten NKn den das Endgerät ME identifizierenden Parameter und den weiteren Identifizierungsparameter empfängt, ohne dass das Endgerät ME diese Parameter in unverschlüsselter Form an den Netzknoten NKn senden muss .Triggered by the request 2, the network node NKa last serving the terminal ME sends with the message 3 a parameter identifying the terminal ME and a further identification parameter to the network node NKn. Due to the use of the temporary identity, it is thus possible for the network node NKn to receive the parameter identifying the terminal ME and the further identification parameter, without the terminal ME having to send these parameters in unencrypted form to the network node NKn.

Im nächsten Verfahrensschritt ermittelt der Netzknoten NKn aus dem empfangenen weiteren Identifizierungsparameter die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers S und sendet eine Anfrage 6 an den Server S . Die Ermittlung der Adresse des auf Basis des Internetprotokolls kommunizierenden Servers S aus dem weiteren Identifizierungsparameter kann hierbei entsprechend verschiedenen Ausführungsformen des erfindungsgemäßen Verfahrens auf unterschiedliche Arten erfolgen . Einerseits besteht die Möglichkeit, dass sich aus dem weiteren Identifizierungsparameter unmit- telbar die Identität , d . h . ein die Anmeldedomäne identifizierender Parameter, des auf Basis des Internetprotokolls kommunizierenden Servers S ableiten lässt . In diesem Fall kann der Netzknoten NKn aus dem weiteren Identifizierungspa- rameter die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers S etwa mittels des Domain Name System- Verfahrens ableiten . Vorzugsweise wird darüber hinaus die Identität des Zugangsnetzknotens ZNK aus der Identität das auf Basis des Internetprotokolls kommunizierenden Servers S abgeleitet . Im Falle eines Mobilfunknetzes gemäß dem GPRS- Standard kann es sich bei der Identität des Zugangsnetzknotens ZNK um den bekannten APN (Access Point Name) handeln, welcher das von dem Endgerät ME erreichbare Paketdatennetz PDN festlegt . Hierbei kann es sich beispielsweise um ein privates IP-Netz einer Firma handeln . Andererseits besteht gemäß einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens die Möglichkeit, dass der weitere Identifizierungsparameter unmittelbar die Identität des Zugangsnetzknotens ZNK festlegt . In diesem Fall leitet der Netzknoten NKn aus dem weiteren Identifizierungsparameter die Identität des auf Basis des Internetprotokolls kommunizierenden Servers S ab und bestimmt aus der Identität des über das Internetprotokoll kommunizierenden Servers S wiederum die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers S . Die beiden Alternativen, d . h . die Ableitung entweder der Identität des Zugangsnetzknotens ZNK aus der Identität des über das Internetprotokoll kommunizierenden Servers S oder aber die Ableitung der Identität des über das Internetprotokoll kommunizie- renden Servers S aus der Identität des Zugangsnetzknotens ZNK sind äquivalent . Generell ist es vorteilhaft , einen der beiden Parameter aus dem anderen abzuleiten, da hierdurch Konfi- gurations- und Verwaltungsaufwände reduziert werden . Weiterhin wird hierdurch der Datenverkehr auf über die j eweilige Identität des über das Internetprotokoll kommunizierendenIn the next method step, the network node NKn determines from the received further identification parameter the address of the server S communicating on the basis of the internet protocol and sends a request 6 to the server S. In this case, the determination of the address of the server S communicating on the basis of the Internet protocol from the further identification parameter can take place in different ways in accordance with various embodiments of the method according to the invention. On the one hand, there is the possibility that the identity, that is, the identity, can be derived directly from the further identification parameter. H . a parameter identifying the logon domain, deriving from the server S communicating based on the internet protocol. In this case, the network node NKn can be selected from the further identification packet. Parameters derive the address of the communicating based on the Internet Protocol server S approximately using the Domain Name System method. In addition, the identity of the access network node ZNK is preferably derived from the identity of the server S communicating on the basis of the Internet protocol. In the case of a mobile network according to the GPRS standard, the identity of the access network node ZNK may be the known APN (Access Point Name), which defines the packet data network PDN that can be reached by the terminal ME. This may be, for example, a private IP network of a company. On the other hand, according to a further embodiment of the method according to the invention, there is the possibility that the further identification parameter directly determines the identity of the access network node ZNK. In this case, the network node NKn derives from the further identification parameter the identity of the server S communicating on the basis of the internet protocol and, from the identity of the server S communicating via the internet protocol, again determines the address of the server S communicating on the basis of the internet protocol. The two alternatives, d. H . the derivation of either the identity of the access network node ZNK from the identity of the server S communicating via the Internet protocol or the derivation of the identity of the server S communicating via the Internet protocol from the identity of the access network node ZNK are equivalent. In general, it is advantageous to derive one of the two parameters from the other, as this reduces configuration and administrative costs. Furthermore, the data traffic is thereby transferred to the respective identity of the person communicating via the Internet protocol

Servers S und die j eweilige Identität des Zugangsnetzknotens ZNK erreichbare Netze eingeschränkt, wodurch sich die Missbrauchsmöglichkeiten und der Einfluss fehlerhafter Endgeräte reduzieren . Als Beispiel für eine mögliche Ableitung eines der Parameter aus dem anderen sei angegeben, dass die Identität des auf Basis des Internetprotokolls kommunizierenden Servers S etwa durch die Zeichenkette AAA. x . y . gprs gegeben sein kann . Die Identität des Zugangsnetzknotens ZNK (welche bei der bekannten 3GPP-Standardisierung dem APN entspricht) könnte hieraus z . B . zu der Zeichenkette M2M_APN . x . y. gprs abgeleitet werden .Servers S and the j eweilige identity of the access network node ZNK accessible networks limited, thereby increasing the abuse and the impact of faulty terminals to reduce . As an example of a possible derivation of one of the parameters from the other, it should be stated that the identity of the server S communicating on the basis of the internet protocol is approximately the character string AAA. x. y. gprs can be given. The identity of the access network node ZNK (which in the known 3GPP standardization corresponds to the APN) could be determined from e.g. B. to the string M2M_APN. x. y. gprs are derived.

Nachdem der Netzknoten NKn unter Verwendung des weiteren Identifizierungsparameters die Identität des auf Basis des Internetprotokolls kommunizierenden Servers S ermittelt hat, sendet er eine Anfrage 6 mit dem das Endgerät identifizierenden Parameter an den auf Basis des Internetprotokolls kommu- nizierenden Server S . Die Identität des auf Basis des Internetprotokolls kommunizierenden Servers S enthält dabei vorteilhafterweise auch den Namen des Heimatnetzes,, z . B . in Form der in der Internetveröffentlichung 3GPP TS 23.003 Vβ .5.0 (2004-12 ) bereits für den APN definierten Namensbe- standteile Ländercode und Netzcode, welche zusammen das Heimatnetz des Endgerätes ME identifizieren . Weiterhin kann der Netzknoten NKn aus der Identität des auf Basis des Internetprotokolls kommunizierenden Servers S wie beschrieben auch die Identität des Zugangsnetzknotens ZNK bestimmen . Im Falle eines Mobilfunknetzes nach dem GPRS-Standard entspricht dies dem APN . Unter Verwendung des APN wird dann ein so genannter HLR PDP Kontext angelegt und abgespeichert, welcher die erlaubten Paketdatendienste einschränkt . Die im HLR PDP Kontext enthaltenen Parameter der Dienstgüte QoS setzt der Netzknoten NKn dabei auf Maximalwerte oder auf im Netzknoten NKn vorgegebene Werte . Diese können dann beim Einrichten eines Paketdatendienstes auf die im konkreten Fall erlaubten Werte ver- ändert werden, wie im Zusammenhang mit den Figuren 5 und 6 näher erläutert werden wird .After the network node NKn has determined the identity of the server S communicating on the basis of the internet protocol using the further identification parameter, it sends a request 6 with the parameter identifying the terminal to the server S communicating on the basis of the internet protocol. The identity of the communicating on the basis of the Internet Protocol server S advantageously contains the name of the home network ,, z. B. in the form of the name components already defined for the APN in the Internet publication 3GPP TS 23.003 Vβ .5.0 (2004-12), country code and network code which together identify the home network of the terminal ME. Furthermore, as described, the network node NKn can also determine the identity of the access network node ZNK from the identity of the server S communicating on the basis of the Internet protocol. In the case of a mobile network according to the GPRS standard, this corresponds to the APN. Using the APN, a so-called HLR PDP context is then created and stored, which restricts the allowed packet data services. The parameters of the quality of service QoS contained in the HLR PDP context are set by the network node NKn to maximum values or to values predefined in the network node NKn. These can then be set to the values permitted in the specific case when setting up a packet data service. be changed, as will be explained in more detail in connection with Figures 5 and 6.

Die Anfrage 6 wird durch den auf Basis des Internetprotokolls kommunizierenden Server S durch das Senden 7 von Authentifi- zierungsinformationen an den Netzknoten NKn beantwortet . Dabei kann sich der Inhalt der Authentifizierungsinformationen in Abhängigkeit davon unterscheiden, ob zur Authentifizierung und Schlüsselvereinbarung ein symmetrisches oder ein asymmet- risches Verfahren verwendet wird . Bei der Verwendung eines symmetrischen Verfahrens zur Authentifizierung- und Schlüsselvereinbarung ist zu beachten, dass in diesem Fall aufgrund der Verwendung von SIM-kartenfreien Endgeräten ME möglicherweise für unterschiedliche Netzbetreiber auch unterschiedli- che Verschlüsselungsverfahren in der in das Endgerät ME integrierten elektronischen Schaltungsanordnung implementiert werden müssen. Vermieden werden könnte dies durch die Standardisierung der zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen . Alternativ hierzu kann entsprechend einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ein asymmetrisches Verfahren verwendet werden, welches zusätzlich den Vorteil bietet, dass der Aufwand zur Konfiguration und zum Schutz der geheimen Werte des symmetrischen Verschlüsselungsverfahrens im Authentifizierungs- Zentrum vermieden wird . Weiterhin können die vom asymmetrischen Verschlüsselungsverfahren verwendeten Mechanismen und Authentifizierungsparameter auch von Anwendungen des Endgerätes benutzt werden . Vorteilhafterweise wird bei Verwendung eines asymmetrischen Verfahrens zur Authentifizierung und Schlüsselvereinbarung das erfindungsgemäße Verfahren derart ausgestaltet , dass die erforderlichen Erweiterungen der Funktionalität des Netzknotens NKn minimiert werden . Dies erleichtert es , gleichzeitig die derzeit existierenden Endge- rate mit SIM-Karten und einer (U) SIM und SIM-kartenfreie Endgeräte ME entsprechend der vorliegenden Erfindung zu verwenden .The request 6 is answered by the communicating on the basis of the Internet Protocol server S by sending 7 of authentication information to the network node NKn. The content of the authentication information may differ depending on whether a symmetric or an asymmetric method is used for authentication and key agreement. When using a symmetric method for authentication and key agreement, it should be noted that in this case, due to the use of SIM card-free terminals ME, different encryption methods may also have to be implemented in the electronic circuit integrated in the terminal ME for different network operators. This could be avoided by standardizing the routines needed for authentication and key agreement. Alternatively, according to a further advantageous embodiment of the method according to the invention, an asymmetric method can be used, which additionally has the advantage that the expense of configuring and protecting the secret values of the symmetric encryption method in the authentication center is avoided. Furthermore, the mechanisms and authentication parameters used by the asymmetric encryption method can also be used by applications of the terminal. Advantageously, when using an asymmetric method for authentication and key agreement, the inventive method is designed such that the required extensions of the functionality of the network node NKn are minimized. This makes it easier, at the same time, to rate with SIM cards and a (U) SIM and SIM card-free terminals ME according to the present invention to use.

Nach dem Empfang der Authentifizierungsinformationen sendet der Netzknoten NKn eine Authentifizierungsaufforderung 8 an das Endgerät ME .After receiving the authentication information, the network node NKn sends an authentication request 8 to the terminal ME.

Das Endgerät ME nimmt daraufhin unter Verwendung der Routi- nen, welche in der in das Endgerät ME integrierten elektronischen Schaltungsanordnung implementiert sind, oder unter Verwendung der Routinen und Parametern, welche in der in das Endgerät ME integrierten elektronischen Schaltungsanordnung implementiert sind, eine Authentifizierung des Mobilfunknet- zes MFN vor, ermittelt unter zusätzlicher Verwendung der in der Authentifizierungsaufforderung empfangenen Informationen einen Wert für die erwartete Antwort, und sendet bei erfolgreicher Authentifizierung eine Authentifizierungsantwort 9 an den Netzknoten NKn .The terminal ME then uses the routines implemented in the electronic circuitry integrated in the terminal ME or using the routines and parameters implemented in the electronic circuitry integrated in the terminal ME, to authenticate the mobile radio network - Some MFN before, with the additional use of the information received in the authentication request determined a value for the expected response, and sends an authentication response 9 to the network node NKn upon successful authentication.

Der Netzknoten NKn führt eine Überprüfung der in der Authen- tifizierungsantwort 9 enthaltenen erwarteten Antwort durch und meldet nach erfolgreicher Authentifizierung das Endgerät ME beim auf Basis des Internetprotokolls kommunizierenden Server S mittels der Nachricht 10 als in das Mobilfunknetz MFN eingebucht .The network node NKn carries out a check of the expected response contained in the authentication response 9 and, after successful authentication, informs the terminal ME of the server S communicating on the basis of the Internet protocol by means of the message 10 as being logged on to the mobile radio network MFN.

Daraufhin sendet der auf Basis des Internetprotokolls kommunizierende Server S eine Aufforderung 11 zum Löschen der dem Endgerät ME zugeordneten Daten an den das Endgerät ME zuletzt bedienenden Netzknoten NKa . Der das Endgerät ME zuletzt bedienende Netzknoten NKa bestätigt das Löschen der dem Endgerät ME zugeordneten Daten durch das Senden eines Signals 12 an den auf Basis des Internetprotokolls kommunizierenden Server S .Thereupon, the server S communicating on the basis of the Internet protocol sends a request 11 for deleting the data assigned to the terminal ME to the network node NKa serving the terminal ME last. The network node NKa last operating the terminal ME confirms the deletion of the data assigned to the terminal ME by sending a signal 12 to the server S communicating on the basis of the internet protocol.

Daraufhin bestätigt der auf Basis des Internetprotokolls kommunizierende Server S das Einbuchen des Endgerätes ME durch das Senden eines Bestätigungssignals 13 an den Netzknoten NKn . Es sei darauf hingewiesen, dass grundsätzlich das Bestä- tigungssignal 13 zeitlich auch vor der Bestätigung des dasThereupon, the server S communicating on the basis of the internet protocol confirms the entry of the terminal ME by sending an acknowledgment signal 13 to the network node NKn. It should be noted that, in principle, the confirmation signal 13 takes place before the acknowledgment of the

Endgerät ME zuletzt bedienenden Netzknotens NKa bezüglich des Löschens der dem Endgerät ME zugeordneten Daten durch das Senden des Signals 12 erfolgen kann . Der auf Basis des Internetprotokolls kommunizierende Server S kann dem Netzknoten NKn nun weitere für das Endgerät ME spezifische Daten mitteilen . Bei diesen Daten kann es sich etwa um einen HLR PDP-Kon- text handeln, sofern dieser nicht bereits nach Übertragung der Nachricht 6 erzeugt worden ist .Terminal ME last serving network node NKa with respect to the deletion of the terminal ME associated data by sending the signal 12 can be done. The server S communicating on the basis of the Internet protocol can now inform the network node NKn of further data specific to the terminal ME. This data may be an HLR PDP context, if it has not already been generated after transmission of the message 6.

Der Netzknoten NKn sendet nun mittels der Nachricht 14 dasThe network node NKn now sends the message by means of the message 14

Endgerät ME betreffende Präsenzdaten an einen Präsenz-Server PS und der Präsenz-Server PS bestätigt das Eintragen der Präsenzdaten mit einem Antwortsignal 15.Terminal ME concerning presence data PS to a presence server PS and the presence server PS confirms the entry of the presence data with a response signal 15th

In dem dargestellten Ausführungsbeispiel sendet der Netzknoten NKn im nächsten Schritt eine Anmeldebestätigung 16 an das Endgerät ME, welche in verschlüsselter Form eine neue temporäre Teilnehmeridentität enthält . Das Endgerät ME antwortet daraufhin mit dem Senden einer Empfangsbestätigung 17 an den Netzknoten NKn .In the illustrated embodiment, the network node NKn sends in the next step a registration confirmation 16 to the terminal ME, which contains in encrypted form a new temporary subscriber identity. The terminal ME then responds by sending an acknowledgment of receipt 17 to the network node NKn.

Figur 3 stellt den Nachrichtenfluss bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens dar . Hierbei sendet das Endgerät ME zunächst eine Anmeldungsanfrage zweiter Art Ib an den Netzknoten NKn, welche den das Endgerät ME identifizierende Parameter enthält . Diese Form der Anmeldungsanfrage ist insbesondere dann erforderlich, wenn das Endgerät ME keine gültige temporäre Identität besitzt .FIG. 3 illustrates the message flow in a further embodiment of the method according to the invention. in this connection the terminal ME first sends a registration request of the second type Ib to the network node NKn, which contains the parameter identifying the terminal ME. This form of the registration request is required in particular if the terminal ME does not have a valid temporary identity.

Da der das Endgerät ME identifizierende Parameter keine Feststellung der Identität des auf Basis des Internetprotokolls kommunizierenden Servers S erlaubt, erfragt der Netzknoten NKn mit der Nachricht 4 eine weitere Identität von dem Endgerät ME .Since the parameter identifying the terminal ME does not allow a determination of the identity of the server S communicating on the basis of the internet protocol, the network node NKn requests with the message 4 a further identity from the terminal ME.

Das Endgerät ME antwortet daraufhin mit dem Senden der Nachricht 5 an den Netzknoten NKn, welche den weiteren Identifi- zierungsparameter enthält . Die weiteren in Figur 3 dargestellten Schritte 6 bis 17 sind identisch mit den bereits im Zusammenhang mit Figur 2 erläuterten Verfahrensschritten .The terminal ME then responds by sending the message 5 to the network node NKn, which contains the further identification parameter. The further steps 6 to 17 shown in FIG. 3 are identical to the method steps already explained in connection with FIG.

Figur 4 zeigt in einer Diagrammdarstellung den Nachrichten- fluss zwischen den beteiligten Netzelementen anhand eines weiteren Ausführungsbeispiels des erfindungsgemäßen Verfahrens , bei dem von dem Endgerät ME eine weitere Art von Anmeldungsanfrage geschickt wird . Bei dieser Anmeldungsanfrage dritter Art Ic sendet das Endgerät ME unmittelbar sowohl den das Endgerät ME identifizierenden Parameter als auch den weiteren Identifizierungsparameter an den Netzknoten NKn . Hierbei werden somit beide von den Netzknoten NKn benötigten Identifizierungsparameter, d . h . sowohl der das Endgerät ME identifizierende Parameter als auch der weitere Identifizie- rungsparameter, gemeinsam mit der Anmeldungsanfrage Ic an den Netzknoten NKn übertragen . Vorteilhaft hierbei ist, dass die Anzahl der zwischen den Netzelementen gesendeten Nachrichten minimiert wird. Allerdings müssen die beiden Identifizie- rungsparameter unverschlüsselt zwischen dem Endgerät ME und dem Netzknoten NKn übertragen werden, da noch keine Authentifizierung und Schlüsselvereinbarung zwischen dem Endgerät ME und dem Netzknoten NKn stattgefunden hat . In diesem Zusammen- hang sei darauf hingewiesen, dass es bei dem erfindungsgemäßen Verfahren generell erforderlich sein kann, dass der Netzknoten NKn die zur Verschlüsselung der Datenübertragung und der Signalisierung verwendeten Schlüssel an das Basisstationssystem BS weitergibt . Dies ist dann erforderlich, wenn das Basisstationssystem BS und nicht der Netzknoten NKn die Verschlüsselung innerhalb des Mobilfunknetzes MFN durchführt .FIG. 4 shows a diagrammatic representation of the message flow between the network elements involved on the basis of a further exemplary embodiment of the method according to the invention, in which a further type of registration request is sent by the terminal ME. In this third-party application request Ic, the terminal ME directly transmits both the parameter ME identifying the terminal ME and the further identification parameter to the network node NKn. In this case, both identification parameters required by the network nodes NKn, ie. H . both the parameter ME identifying the parameter and the further identification parameter, together with the application request Ic to the network node NKn transmitted. The advantage here is that the number of messages sent between the network elements is minimized. However, the two identifiers tion parameters are transmitted unencrypted between the terminal ME and the network node NKn, since no authentication and key agreement between the terminal ME and the network node NKn has yet taken place. In this context, it should be noted that in the method according to the invention, it may generally be necessary for the network node NKn to forward the keys used for encryption of the data transmission and the signaling to the base station system BS. This is necessary if the base station system BS and not the network node NKn performs the encryption within the mobile network MFN.

Die weiteren Nachrichten 6 bis 17 entsprechen den bereits im Zusammenhang mit Figur 2 erläuterten Nachrichten .The further messages 6 to 17 correspond to the messages already explained in connection with FIG.

Figur 5 stellt in einem Diagramm den Nachrichtenfluss für ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens dar, bei dem durch das Endgerät ME ein Paketdatendienst angefordert wird . In Bezug auf die zeitliche Abfolge erfolgt die Signali- sierung der entsprechenden Nachrichten nach der erfolgreichen Authentifizierung und Schlüsselvereinbarung, welche bereits anhand der in den Figuren 2 bis 4 dargestellten Ausführungsbeispiele näher erläutert worden sind .FIG. 5 shows a diagram of the message flow for an exemplary embodiment of the method according to the invention, in which a packet data service is requested by the terminal ME. With regard to the chronological sequence, the signaling of the corresponding messages takes place after the successful authentication and key agreement, which have already been explained in more detail with reference to the exemplary embodiments illustrated in FIGS. 2 to 4.

Das Endgerät ME fordert mit der Nachricht 21 von dem Netzknoten NKn den Paketdatendienst an . Dabei kann das Endgerät ME eine IP-Adresse, eine Identität eines Zugangsnetzknotens (entsprechend dem APN) und die gewünschte Dienstgüte QoS mitteilen . Alternativ kann das Endgerät ME die j eweiligen im Mo- bilfunknetz MFN festgelegten Werte anfordern . Der Netzknoten NKn validiert die angeforderten Parameter und kann die gewünschte Dienstgüte QoS einschränken . Vorzugsweise überläset der Netzknoten NKn die Einschränkung der Dienstgüte QoS j edoch dem Zugangsnetzknoten ZNK.The terminal ME requests the packet data service with the message 21 from the network node NKn. In this case, the terminal ME can notify an IP address, an identity of an access network node (corresponding to the APN) and the desired quality of service QoS. Alternatively, the terminal ME can request the respective values specified in the mobile radio network MFN. The network node NKn validates the requested parameters and can restrict the desired quality of service QoS. Preferably overlaid the network node NKn the restriction of the quality of service QoS j but the access network node ZNK.

Im nächsten Schritt fordert der Netzknoten NKn den Aufbau des Paketdatendienstes mittels der Nachricht 22 mit den gewünschten Parametern von dem Zugangsnetzknoten ZNK an . Die Parameter enthalten u . a . den das Endgerät identifizierenden Parameter und die Identität des Zugangsnetzknotens ZNK, wobei die Identität des Zugangsnetzknotens ZNK vorzugsweise aus der Identität des auf Basis des Internetprotokolls kommunizierenden Servers S abgeleitet wird, d . h . der im angelegten HLR PDP-Kontext abgelegte Wert wird verwendet .In the next step, the network node NKn requests the establishment of the packet data service by means of the message 22 with the desired parameters from the access network node ZNK. The parameters contain u. a. the identifier identifying the terminal and the identity of the access network node ZNK, wherein the identity of the access network node ZNK is preferably derived from the identity of the server S communicating based on the internet protocol, d. H . the value stored in the created HLR PDP context is used.

Der Zugangsnetzknoten ZNK sendet daraufhin eine Autorisie- rungsanfrage 23 für die Autorisierung des Paketdatendienstes oder für das Abfragen von Einschränkungen der Dienstgüte QoS an einen Autorisierungs-Server AS, bei dem es sich vorzugsweise um einen AAA-Server handelt .The access network node ZNK then sends an authorization request 23 for the authorization of the packet data service or for querying restrictions of the quality of service QoS to an authorization server AS, which is preferably an AAA server.

Der Autorisierungs-Server AS autorisiert das Endgerät ME mittels einer an den Zugangsnetzknoten ZNK gesendeten Autorisie- rungsbestätigung 24 und kann dem Endgerät ME dabei eine Rufnummer und/oder eine IP-Adresse und/oder Diensteinschränkungen, insbesondere bezüglich der Dienstgüte QoS, zuweisen, so- weit dies nicht in einem der vorherigen Schritte bereits erfolgt ist . Das Endgerät ME, der Teilnehmer oder die Anwendung (en) auf dem Endgerät ME können hierbei durch die Identität des Zugangsnetzknotens und/oder die Rufnummer und/oder die IP-Adresse identifiziert werden . Diese Parameter können auch als Identität unter der vergebührt wird genutzt werden . Der Zugangsnetzknoten ZNK wendet die mit der Autorisierungs- bestätigung 24 empfangenen Einschränkungen, insbesondere der Dienstgüte QoS , für den von dem Endgerät ME angeforderten Pa- ketdatendienst an . Dies bedeutet, dass der Zugangsnetzknoten die Dienstgüte QoS entsprechend der erhaltenen Einschränkungen reduzieren kann .The authorization server AS authorizes the terminal ME by means of an authorization confirmation 24 sent to the access network node ZNK and can thereby assign the terminal ME a call number and / or an IP address and / or service restrictions, in particular with regard to the quality of service QoS. far as this has not already occurred in one of the previous steps. The terminal ME, the subscriber or the application (s) on the terminal ME can hereby be identified by the identity of the access network node and / or the call number and / or the IP address. These parameters can also be used as an identity under the charge. The access network node ZNK uses the restrictions received with the authorization confirmation 24, in particular the quality of service QoS, for the packet requested by the terminal ME. customer service. This means that the access network node can reduce the quality of service QoS according to the restrictions obtained.

Nach Empfang der Autorisierungsbestätigung 24 bestätigt der Zugangsnetzknoten ZNK die Einrichtung des Paketdatendienstes an den Netzknoten NKn durch das Senden der Nachricht 27. Diese kann die Dienstgüte QoS und/oder die IP-Adresse und/oder die Rufnummer enthalten .Upon receipt of the authorization confirmation 24, the access network node ZNK acknowledges the establishment of the packet data service to the network node NKn by sending the message 27. This may include the quality of service QoS and / or the IP address and / or the telephone number.

Daraufhin sendet der Netzknoten NKn ein Signal 28 an das Endgerät ME, welches die Einrichtung des Paketdatendienstes bestätigt . Dabei kann die Dienstgüte QoS und/oder die IP-Adresse und/oder die Rufnummer von dem Netzknoten NKn an das Endgerät ME übertragen werden, sofern der Netzknoten NKn diese Parameter in der Nachricht 27 zuvor empfangen hat .Subsequently, the network node NKn sends a signal 28 to the terminal ME, which confirms the establishment of the packet data service. In this case, the quality of service QoS and / or the IP address and / or the telephone number can be transmitted from the network node NKn to the terminal ME, provided that the network node NKn has previously received these parameters in the message 27.

Der Netzknoten NKn sendet nun eine den Status des Endgerätes ME aktualisierende Nachricht 29 an den Präsenz-Server PS, welche Informationen über den eingerichteten Paketdatendienst und die zugehörige IP-Adresse enthält . Eine entsprechende Nachricht kann alternativ oder ergänzend auch von dem Zugangsnetzknoten ZNK gesendet werden . Dabei kann der Zugangsnetzknoten ZNK entweder direkt mit dem Präsenz-Server kommu- nizieren oder mittels des Netzknotens NKn .The network node NKn now sends a state updating the status of the terminal ME message 29 to the presence server PS, which contains information about the established packet data service and the associated IP address. A corresponding message can alternatively or additionally also be sent by the access network node ZNK. In this case, the access network node ZNK can either communicate directly with the presence server or by means of the network node NKn.

Der Präsenz-Server PS antwortet mit einer Bestätigungsnachricht 30.The presence server PS responds with a confirmation message 30.

Figur 6 zeigt den Nachrichtenfluss für eine weitere Ausführungsform des erfindungsgemäßen Verfahrens hinsichtlich der Anforderung eines Paketdatendienstes . Die ersten beiden Nachrichten 21 und 22 entsprechen hierbei den bereits im Zusammenhang mit Figur 5 beschriebenen Nachrichten . Im Unterschied zur vorherigen Figur fordert der Zugangsnetzknoten ZNK in der Autorisierungsanfrage 23 nun j edoch keine Einschränkungen der Dienstgüte QoS von dem Autorisierungs- Server AS an, weshalb diese auch nicht mit der Autorisierungsbestätigung 24 von dem Autorisierungs-Server AS an den Zugangsnetzknoten ZNK übermittelt werden . Stattdessen sendet der Zugangsnetzknoten ZNK nach Empfang der Autorisierungsbestätigung 24 zusätzlich eine Anforderungsnachricht 25 an einen weiteren Server S2.FIG. 6 shows the message flow for a further embodiment of the method according to the invention with respect to the request for a packet data service. The first two messages 21 and 22 correspond to the messages already described in connection with FIG. In contrast to the previous figure, the access network node ZNK in the authorization request 23 now, however, does not impose restrictions on the quality of service QoS from the authorization server AS, which is why they are not transmitted with the authorization confirmation 24 from the authorization server AS to the access network node ZNK. Instead, after receiving the authorization confirmation 24, the access network node ZNK additionally sends a request message 25 to a further server S2.

Der weitere Server S2 sendet in seiner Antwort 26 Diensteinschränkungen, insbesondere bezüglich der gewährten Dienstgüte QoS, an dem Zugangsnetzknoten ZNK und dieser wendet die empfangenen Diensteinschränkungen für den von dem Endgerät ME angeforderten Paketdatendienst an . Bei dem weitern Server S2 handelt es sich vorzugsweise um einen Policy Decision Function PDF-Server oder einen Charging Rules Function CRF-Ser- ver .The further server S2 sends in its response 26 service restrictions, in particular with regard to the quality of service QoS granted, at the access network node ZNK and this applies the received service restrictions for the packet data service requested by the terminal ME. The further server S2 is preferably a policy decision function PDF server or a charging rules function CRF server.

Die weiteren in Figur 6 dargestellten Nachrichten 27 bis 30 sind identisch mit den entsprechenden bereits im Zusammenhang mit dem Ausführungsbeispiel der Figur 5 erläuterten Nachrichten . The further messages 27 to 30 shown in FIG. 6 are identical to the corresponding messages already explained in connection with the exemplary embodiment of FIG.

Claims

Patentansprüche claims

1. Mobilfunknetz (MFN) mit mindestens einem Netzknoten (NKn) und mindestens einem Server (S ) und mehreren Endgeräten (ME) mit j eweils einer in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung, in der ein das Endgerät (ME) identifizierender Parameter gespeichert ist, sowie mit mindestens einem mit dem Netzknoten (NKn) verbundenen Zugangsnetzknoten ( ZNK) zu einem Paketdatennetz ( PDN) , d a d u r c h g e k e n n z e i c h n e t , dass1. Mobile radio network (MFN) with at least one network node (NKn) and at least one server (S) and a plurality of terminals (ME) each having an integrated into the terminal (ME) electronic circuitry in which the terminal (ME) identifying parameters is stored, and at least one connected to the network node (NKn) access network node (ZNK) to a packet data network (PDN), characterized in that

- die Endgeräte SIM-kartenfreie Endgeräte (ME) sind,the terminals are SIM card-free terminals (ME),

- in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung ein weiterer Identifizierungsparameter und zur Authentifizierung benötigte Routinen oder zur Authentifizierung benötigte Routinen und Parameter gespeichert sind,in the electronic circuit arrangement integrated in the terminal device (ME), a further identification parameter and routines or parameters required for authentication are stored or routines and parameters required for authentication are stored,

- der Server ein mit dem Netzknoten (NKn) auf Basis des Internetprotokolls kommunizierender Server ( S ) ist undthe server is a server (S) communicating with the network node (NKn) on the basis of the internet protocol, and

- der Netzknoten (NKn) so ausgestaltet ist, dass er für den während der Anmeldung des Endgerätes (ME) am Mobilfunknetz- The network node (NKn) is designed so that it for the during the registration of the terminal (ME) on the mobile network

(MFN) gesendeten weiteren Identifizierungsparameter und für den während der Anmeldung des Endgerätes (ME) am Mobilfunknetz (MFN) gesendeten, das Endgerät (ME) identifizierenden Parameter empfangsbereit ist .(MFN) sent further identification parameters and for the during the registration of the terminal (ME) on the mobile network (MFN) sent, the terminal (ME) identifying parameter is ready to receive.

2. Mobilfunknetz nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass der auf Basis des Internetprotokolls kommunizierende Server ( S ) ein AAA-Server ist .2. Mobile radio network according to claim 1, characterized in that the server (S) communicating on the basis of the internet protocol is an AAA server.

3. Mobilfunknetz nach Anspruch 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t , dass zwischen dem Netzknoten (NKn) und dem auf Basis des Internetprotokolls kommunizierenden Server ( S ) der Zugangsnetzknoten (ZNK) angeordnet ist .3. Mobile radio network according to claim 1 or 2, in that there is arranged between the network node (NKn) and the server (S) communicating on the basis of the Internet protocol the access network node (ZNK).

4. Mobilfunknetz nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass ein Autorisierungs-Server (AS) mit dem Zugangsnetzknoten ( ZNK) verbunden ist und bei einer durch das Endgerät (ME) angeforderten Aktivierung eines Dienstes innerhalb des Paketda- tennetzes (PDN) eine Autorisierung des Endgerätes (ME) durchführt .4. Mobile network according to one of the preceding claims, characterized in that an authorization server (AS) is connected to the access network node (ZNK) and in the case of an activation of a service within the packet data network (PDN) requested by the terminal (ME) performs an authorization of the terminal (ME).

5. Mobilfunknetz nach Anspruch 4, d a d u r c h g e k e n n z e i c h n e t , dass der Autorisierungs-Server (AS) ein AAA-Server ist .5. Mobile network according to claim 4, characterized in that the authorization server (AS) is an AAA server.

6. Mobilfunknetz nach Anspruch 4 oder 5, d a d u r c h g e k e n n z e i c h n e t , dass der Autorisierungs-Server (AS) der auf Basis des Internetpro- tokolls kommunizierende Server ( S) ist .6. Mobile radio network according to claim 4 or 5, characterized in that the authorization server (AS) is the server (S) communicating on the basis of the Internet protocol.

7. Mobilfunknetz nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass mit dem Netznoten (NKn) ein Präsenz-Server (PS ) verbunden ist, der im Zuge der Anmeldung das Endgerät (ME) betreffende Präsenzdaten speichert .7. Mobile network according to one of the preceding claims, characterized in that a presence server (PS) is connected to the network node (NKn), which stores in the course of the registration of the terminal (ME) relevant presence data.

8. Mobilfunknetz nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass mit dem Zugangsnetzknoten ( ZNK) ein weiterer Server ( S2 ) verbunden ist , der auf Anfrage des Zugangsnetzknotens ( ZNK) Einschränkungen der Dienstgüte QoS an den Zugangsnetzknoten ( ZNK) sendet .8. Mobile radio network according to one of the preceding claims, in that a further server (S2) is connected to the access network node (ZNK), which transmits restrictions of the quality of service QoS to the access network node (ZNK) on request of the access network node (ZNK).

9. Mobilfunknetz nach Anspruch 8 , d a d u r c h g e k e n n z e i c h n e t , dass der weitere Server (S2 ) ein Policy Decision Function PDF-Server ist .9. Mobile network according to claim 8, characterized in that the further server (S2) is a Policy Decision Function PDF server.

10. Mobilfunknetz nach Anspruch 8 , d a d u r c h g e k e n n z e i c h n e t , dass der weitere Server ( S2 ) ein Charging Rules Function CRF-Ser- ver ist .10. Mobile network according to claim 8, characterized in that the further server (S2) is a charging rules function CRF server.

11. Verfahren zum Betreiben eines Endgerätes (ME) in einem Mobilfunknetz (MFN) mit mindestens einem Netzknoten (NKn) , mindestens einem mit dem Netzknoten (NKn) verbundenen Zugangsnetzknoten ( ZNK) zu einem Paketdatennetz ( PDN) und mindestens einem Server (S ) , wobei in dem Endgerät (ME ) ein das Endgerät (ME) identifizierender Parameter und ein weiterer Identifizierungsparameter gespeichert sind, und wobei der das Endgerät (ME ) identifizierende Parameter in einer in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung gespeichert ist, mit folgenden Verfahrensschritten :11. Method for operating a terminal (ME) in a mobile radio network (MFN) with at least one network node (NKn), at least one access network node (ZNK) connected to the network node (NKn) to a packet data network (PDN) and at least one server (S) in which a parameter identifying the terminal (ME) and a further identification parameter are stored in the terminal (ME), and wherein the parameter identifying the terminal (ME) is stored in an electronic circuit arrangement integrated in the terminal (ME), with the following method steps :

- der Netzknoten (NKn) empfängt den weiteren Identifizierungsparameter,the network node (NKn) receives the further identification parameter,

- der Netzknoten (NKn) ermittelt aus dem empfangenen weiteren Identifizierungsparameter eine Adresse des Servers (S ) und sendet eine Anfrage ( 6) an den ermittelten Server ( S) ,the network node (NKn) determines from the received further identification parameter an address of the server (S) and sends a request (6) to the ascertained server (S),

- der Server ( S ) gibt auf die Anfrage ( 6) durch das Senden von Authentifizierungsinformationen an den Netzknoten (NKn) eine Antwort ( 7 ) ,the server (S) gives an answer (7) to the request (6) by sending authentication information to the network node (NKn),

- der Netzknoten (NKn) sendet nach Empfang der Authentifi- zierungsinformationen eine Authentifizierungsaufforderung ( 8 ) an das Endgerät (ME ) , - das Endgerät (ME) ermittelt unter Verwendung von in demthe network node (NKn), after receiving the authentication information, sends an authentication request (8) to the terminal (ME), - the terminal (ME) determines, using in the

Endgerät (ME) gespeicherten, zur Authentifizierung benötigten Routinen oder von in dem Endgerät (ME ) gespeicherten, zur Authentifizierung benötigten Routinen und Parametern und unter Verwendung von in der Authentifizierungsaufforderung ( 8 ) emp- fangenen Informationen eine Authentifizierungsantwort ( 9 ) und sendet sie an den Netzknoten (NKn) undTerminal (ME) stored, required for authentication routines or stored in the terminal (ME), required for authentication routines and parameters and using information received in the authentication request (8) an authentication response (9) and sends them to the Network node (NKn) and

- mit erfolgreicher Überprüfung der Authentifizierungsantwort ( 9 ) durch den Netzknoten (NKn) wird die Authentifizierung abgeschlossen, d a d u r c h g e k e n n z e i c h n e t , dass- with successful verification of the authentication response (9) by the network node (NKn), the authentication is completed, but it is not possible that

- als Endgerät ein SIM-kartenfreies Endgerät (ME ) verwendet wird und in der in das Endgerät (ME) integrierten elektroni- sehen Schaltungsanordnung der weitere Identifizierungsparameter und die zur Authentifizierung benötigten Routinen oder die zur Authentifizierung benötigten Routinen und Parameter gespeichert werden, - der Netzknoten (NKn) neben dem weiteren Identifizierungsparameter den das Endgerät (ME) identifizierenden Parameter empfängt, wobei- a SIM card-free terminal (ME) is used as the terminal and in the electronic device integrated into the terminal (ME). see circuit arrangement of the further identification parameters and the required for authentication routines or the required for authentication routines and parameters are stored, - the network node (NKn) next to the further identification parameter receives the terminal (ME) identifying parameters,

- der weitere Identifizierungsparameter zur Ermittlung der Adresse eines auf Basis des Internetprotokolls kom- munizierenden Servers ( S ) dient,the further identification parameter is used to determine the address of a server (S) communicating on the basis of the Internet protocol,

- mit der Anfrage ( 6) an den auf Basis des Internetprotokolls kommunizierenden Server (S ) der das Endgerät (ME) identifizierende Parameter übertragen wird, und- With the request (6) to the communicating based on the Internet Protocol server (S) of the terminal (ME) identifying parameter is transmitted, and

- mit erfolgreicher Überprüfung der Authentifizierungsantwort ( 9) durch den Netzknoten (NKn) das Endgerät (ME) authentifiziert wird .- With successful verification of the authentication response (9) by the network node (NKn) the terminal (ME) is authenticated.

12. Verfahren nach Anspruch 11, d a d u r c h g e k e n n z e i c h n e t , dass - das Endgerät (ME) nach Empfang der Authentifizierungsauf- forderung ( 8 ) unter Verwendung der in der in das Endgerät integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung benötigten Routinen oder der in der in das Endgerät (ME) integrierten elektronischen Schaltungsan- Ordnung gespeicherten, zur Authentifizierung benötigten Routinen und Parametern und unter Verwendung von in der Authentifizierungsaufforderung ( 8 ) empfangenen Informationen eine Authentifizierung des Mobilfunknetzes (MFN) vornimmt .12. The method according to claim 11, characterized in that - the terminal (ME) after receiving the authentication request (8) using the stored in the integrated circuit in the electronic device, required for authentication routines or in the in the terminal (in ME) integrated electronic circuit arrangement stored, required for authentication routines and parameters and using the information received in the authentication request (8) information authentication of the mobile network (MFN) makes.

13. Verfahren nach Anspruch 11 oder 12 , d a d u r c h g e k e n n z e i c h n e t , dass13. A method according to claim 11 or 12, wherein a

- das Endgerät (ME ) eine Anmeldungsanfrage erster Art ( Ia) an den Netzknoten (NKn) sendet, wenn eine von einem das Endgerät (ME ) zuletzt bedienenden Netzknoten (NKa) dem Endgerät (ME) zugewiesene temporäre Identität noch gültig ist, wobei die- The terminal (ME) sends a registration request of the first kind (Ia) to the network node (NKn), if one of the terminal (ME) last serving network node (NKa) the terminal (ME) assigned temporary identity is still valid, the

Anmeldungsanfrage erster Art (Ia ) die temporäre Identität und eine den das Endgerät (ME) zuletzt bedienenden Netzknoten (NKa) identifizierende Aufenthaltsgebietskennung enthält,Registration request of the first kind (Ia) the temporary identity and a location identifier identifying the terminal (ME) last serving network node (NKa),

- der Netzknoten (NKn) von dem das Endgerät (ME) zuletzt bedienenden Netzknoten (NKa) die zur temporären Identität gehö- renden Parameter des Endgerätes (ME) erfragt (2 ) und- The network node (NKn) of the terminal (ME) last serving network nodes (NKa) the temporary identity belonging to the parameters of the terminal (ME) asks (2) and

- der das Endgerät (ME) zuletzt bedienende Netzknoten (NKa) den das Endgerät (ME) identifizierenden Parameter und den weiteren Identifizierungsparameter an den Netzknoten (NKn) sendet (3 ) .- the terminal (ME) last serving network node (NKa) sends the terminal (ME) identifying parameters and the other identification parameters to the network node (NKn) (3).

14. Verfahren nach Anspruch 11 oder 12, d a d u r c h g e k e n n z e i c h n e t , dass14. A method according to claim 11 or 12, wherein a

- das Endgerät (ME) eine Anmeldungsanfrage zweiter Art ( Ib) an den Netzknoten (NKn) sendet, die den das Endgerät (ME) identifizierenden Parameter enthält,the terminal (ME) sends a registration request of the second type (Ib) to the network node (NKn) which contains the parameter identifying the terminal (ME),

- der Netzknoten (NKn) daraufhin das Endgerät (ME) nach Informationen über den auf Basis des Internetprotokolls kommunizierenden Server (S ) fragt ( 4 ) und- The network node (NKn) then the terminal (ME) for information on the basis of the Internet protocol communicating server (S) asks (4) and

- das Endgerät (ME) mit dem Senden (5 ) des weiteren Identifi- zierungsparameters an den Netzknoten (NKn) antwortet .- The terminal (ME) with the transmission (5) of the further identification parameter to the network node (NKn) responds.

15. Verfahren nach Anspruch 11 oder 12, d a d u r c h g e k e n n z e i c h n e t , dass das Endgerät (ME) mit einer Anmeldungsanfrage dritter Art ( Ic) den das Endgerät (ME) identifizierenden Parameter und den weiteren Identifizierungsparameter an den Netzknoten (NKn) sendet .15. The method according to claim 11 or 12, wherein a terminal requesting device of a third type sends the parameter identifying the terminal device and the further identification parameter to the network node NKn.

16. Verfahren nach einem der Ansprüche 11 bis 15 , d a d u r c h g e k e n n z e i c h n e t , dass16. The method of claim 11, wherein:

- mit dem weiteren Identifizierungsparameter unmittelbar die Identität des auf Basis des Internetprotokolls kommunizierenden Servers (S ) festgelegt wird undthe identity of the server (S) communicating on the basis of the Internet protocol is determined directly with the further identification parameter, and

- der Netzknoten (NKn) aus dem weiteren Identifizierungspara- meter unmittelbar die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) bestimmt . - The network node (NKn) from the further identification parameter directly determines the address of the communicating based on the Internet Protocol server (S).

17. Verfahren nach Anspruch 16, d a d u r c h g e k e n n z e i c h n e t , dass17. The method of claim 16, wherein a

- der Netzknoten (NKn) aus dem weiteren Identifizierungsparameter die Identität des Zugangsnetzknotens ( ZNK) ableitet, welcher das von dem Endgerät (ME) erreichbare Paketdatennetz ( PDN) festlegt .- the network node (NKn) derives the identity of the access network node (ZNK) from the further identification parameter, which defines the packet data network (PDN) that can be reached by the terminal (ME).

18. Verfahren nach einem der Ansprüche 11 bis 15, d a d u r c h g e k e n n z e i c h n e t , dass - mit dem weiteren Identifizierungsparameter unmittelbar die Identität des Zugangsnetzknotens ( ZNK) festgelegt wird und18. Method according to one of claims 11 to 15, characterized in that - with the further identification parameter, the identity of the access network node (ZNK) is determined directly, and

- der Netzknoten (NKn) aus dem weiteren Identifizierungsparameter die Identität des auf Basis des Internetprotokolls kommunizierenden Servers ( S) ableitet und aus dieser die Adresse des auf Basis des Internetprotokolls kommunizierenden Servers ( S) bestimmt .- The network node (NKn) from the further identification parameter derives the identity of the communicating based on the Internet Protocol server (S) and determines from this the address of the communicating based on the Internet Protocol server (S).

19. Verfahren nach einem der Ansprüche 16 bis 18, d a d u r c h g e k e n n z e i c h n e t , dass durch die Identität des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) der Netzbetreiber des Heimatnetzes und/oder das Anwendungsgebiet des Endgerätes (ME) identifiziert wird .19. The method according to claim 16, wherein the identity of the server (S) communicating on the basis of the Internet protocol identifies the network operator of the home network and / or the field of application of the terminal (ME).

20. Verfahren nach einem der Ansprüche 16 bis 19 , d a d u r c h g e k e n n z e i c h n e t , dass die Bestimmung der Adresse des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) ausgehend von der Identität des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) unter Verwendung des Domain Name System DNS Verfahrens erfolgt .20. The method according to any one of claims 16 to 19, characterized in that the determination of the address of the communicating based on the Internet Protocol server (S) based on the identity of the communicating based on the Internet Protocol server (S) using the Domain Name System DNS method he follows .

21. Verfahren nach einem der Ansprüche 11 bis 20 , d a d u r c h g e k e n n z e i c h n e t , dass als das Endgerät (ME ) identifizierender Parameter die internationale Mobilgerätekennung IMEI verwendet wird . 21. The method according to any one of claims 11 to 20, characterized in that as the terminal (ME) identifying parameters, the international mobile device identifier IMEI is used.

22. Verfahren nach einem der Ansprüche 11 bis 21, d a d u r c h g e k e n n z e i c h n e t , dass22. The method of claim 11, wherein:

- der Netzknoten (NKn) nach erfolgreicher Authentifizierung des Endgerätes (ME) das Endgerät (ME) beim auf Basis des In- ternetprotokolls kommunizierenden Server ( S ) als im Mobilfunknetz (MFN) eingebucht meldet ( 10 ) ,the network node (NKn), after successful authentication of the terminal (ME), notifies the terminal (ME) of the server (S) communicating on the basis of the internet protocol as logged on in the mobile radio network (MFN) (10),

- der auf Basis des Internetprotokolls kommunizierende Server (S ) eine Aufforderung zum Löschen der dem Endgerät (ME) zugeordneten Daten an den das Endgerät (ME) zuletzt bedienenden Netzknoten (NKa) sendet ( 11) ,- the server (S) communicating on the basis of the internet protocol sends a request to delete the data assigned to the terminal (ME) to the network node (NKa) last serving the terminal (ME) (11),

- der das Endgerät (ME) zuletzt bedienende Netzknoten (NKa) das Löschen der dem Endgerät (ME) zugeordneten Daten durch das Senden eines Signals ( 12 ) an den auf Basis des Internetprotokolls kommunizierenden Server ( S ) bestätigt und - der auf Basis des Internetprotokolls kommunizierende Server (S ) die Meldung des Einbuchens des Endgerätes (ME) durch das Senden eines Bestätigungssignals ( 13 ) an den Netzknoten (NKn) bestätigt .- the terminal (ME) last serving network node (NKa) confirms the deletion of the terminal (ME) associated data by sending a signal (12) to the communicating based on the Internet Protocol server (S) and - based on the Internet Protocol communicating server (S) the message of the booking of the terminal (ME) by sending an acknowledgment signal (13) to the network node (NKn) confirmed.

23. Verfahren nach Anspruch 22 , d a d u r c h g e k e n n z e i c h n e t , dass der auf Basis des Internetprotokolls kommunizierende Server ( S ) mit dem Bestätigungssignal ( 13 ) für das Endgerät (ME) gültige Dienst- und/oder Aufenthaltsgebietseinschränkungen an den Netzknoten (NKn) sendet .23. A method according to claim 22, wherein the server communicating based on the Internet protocol (S) sends valid service and / or location area restrictions to the network node (NKn) with the acknowledgment signal (13) for the terminal (ME).

24. Verfahren nach einem der Ansprüche 11 bis 23, d a d u r c h g e k e n n z e i c h n e t , dass24. The method of claim 11, wherein:

- der Netzknoten (NKn) nach erfolgreicher Authentifizierung des Endgerätes (ME ) eine Anmeldebestätigung ( 16) an das Endgerät (ME ) sendet .- The network node (NKn) after successful authentication of the terminal (ME) sends a registration confirmation (16) to the terminal (ME).

25. Verfahren nach Anspruch 24 , d a d u r c h g e k e n n z e i c h n e t , dass - mit der von dem Netzknoten (NKn) an das Endgerät (ME) gesendeten Anmeldebestätigung ( 16) in verschlüsselter Form eine neue temporäre Teilnehmeridentität übertragen wird, und - das Endgerät (ME ) mit dem Senden einer Empfangsbestätigung ( 17 ) an den Netzknoten (NKn) antwortet .25. The method according to claim 24, characterized in that - with the from the network node (NKn) to the terminal (ME) sent registration confirmation (16) in encrypted form, a new temporary subscriber identity is transmitted, and - The terminal (ME) with the sending of an acknowledgment (17) to the network node (NKn) responds.

26. Verfahren nach einem der Ansprüche 11 bis 25 , d a d u r c h g e k e n n z e i c h n e t , dass26. The method of claim 11, wherein:

- das Endgerät (ME ) nach erfolgreicher Authentifizierung von dem Netzknoten (NKn) einen Dienst in dem Paketdatennetz (PDN) (Paketdatendienst ) anfordert (21 ) ,the terminal (ME), after successful authentication from the network node (NKn), requests a service in the packet data network (PDN) (packet data service) (21),

- der Netzknoten (NKn) den Aufbau des Paketdatendienstes von dem Zugangsnetzknoten ( ZNK) anfordert (22 ) ,the network node (NKn) requests the establishment of the packet data service from the access network node (ZNK) (22),

- der Zugangsnetzknoten ( ZNK) eine Autorisierungsanfrage (23 ) für die Autorisierung des Paketdatendienstes an einen Autori- sierungs-Server (AS ) sendet,the access network node (ZNK) sends an authorization request (23) for the authorization of the packet data service to an authorization server (AS),

- der Autorisierungs-Server (AS ) das Endgerät (ME) durch das Senden einer Autorisierungsbestätigung ( 24 ) an den Zugangsnetzknoten ( ZNK) als für die Nutzung des angeforderten Dienstes berechtigt meldet,the authorization server (AS) reports the terminal (ME) as authorized to use the requested service by sending an authorization confirmation (24) to the access network node (ZNK),

- der Zugangsnetzknoten ( ZNK) die Einrichtung des Paketdatendienstes an den Netzknoten (NKn) bestätigt ( 27 ) und - der Netzknoten (NKn) ein Signal (28 ) an das Endgerät (ME) sendet, welches die Einrichtung des Paketdatendienstes bestätigt .- the access network node (ZNK) confirms the establishment of the packet data service to the network node (NKn) (27) and - the network node (NKn) sends a signal (28) to the terminal (ME) confirming the establishment of the packet data service.

27. Verfahren nach Anspruch 26, d a d u r c h g e k e n n z e i c h n e t , dass als Autorisierungs-Server (AS) der auf Basis des Internetprotokolls kommunizierende Server (S) verwendet wird .27. Method according to claim 26, wherein the server (S) communicating on the basis of the internet protocol is used as the authorization server (AS).

28. Verfahren nach Anspruch 26 oder 27 , d a d u r c h g e k e n n z e i c h n e t , dass der Autorisierungs-Server (AS ) mit der Autorisierungsbestätigung (24 ) eine dem Endgerät (ME) zugeteilte Rufnummer und/oder eine dem Endgerät (ME) zugeteilte IP-Adresse an den Zugangsnetzknoten ( ZNK) übermittelt .28. The method according to claim 26 or 27, characterized in that the authorization server (AS) with the authorization confirmation (24) assigned to the terminal (ME) phone number and / or the terminal (ME) assigned IP address to the access network node ( ZNK).

29. Verfahren nach einem der Ansprüche 26 bis 28, d a d u r c h g e k e n n z e i c h n e t , dass - mit der Autorisierungsbestätigung (24 ) von dem Autorisie- rungs-Server (AS) die gewährte Dienstgüte QoS definierende Parameter an den Zugangsnetzknoten ( ZNK) übermittelt werden und - der Zugangsnetzknoten ( ZNK) die empfangenen, die Dienstgüte QoS definierenden Parameter für den von dem Endgerät (ME) angeforderten Paketdatendienst anwendet .29. The method according to any one of claims 26 to 28, characterized in that - With the authorization confirmation (24) from the authorization server (AS) the quality of service granted QoS parameters are transmitted to the access network node (ZNK) and - the access network node (ZNK) the received, the quality of service QoS defining parameters for the of the Terminal (ME) requested packet data service applies.

30. Verfahren nach einem der Ansprüche 26 bis 29 , d a d u r c h g e k e n n z e i c h n e t , dass als Autorisierungs-Server (AS) ein AAA-Server verwendet wird.30. Method according to one of claims 26 to 29, wherein a AAA server is used as authorization server (AS).

31. Verfahren nach einem der Ansprüche 26, 27, 28 oder 30, d a d u r c h g e k e n n z e i c h n e t , dass - der Zugangsnetzknoten ( ZNK) nach Empfang der31. Method according to one of the claims 26, 27, 28 or 30, in that a - the access network node (ZNK) after receipt of the

Autorisierungsbestätigung eine Anforderungsnachricht (25 ) an einen weiteren Server ( S2 ) sendet,Authorization confirmation sends a request message (25) to another server (S2),

- der weitere Server ( S2 ) in seiner Antwort (26) die gewährte Dienstgüte QoS definierende Parameter an den Zugangsnetzkno- ten ( ZNK) sendet und- the further server (S2) in its response (26) sends the granted quality of service QoS-defining parameters to the access network node (ZNK) and

- der Zugangsnetzknoten ( ZNK) die empfangenen, die Dienstgüte QoS definierenden Parameter für den von dem Endgerät (ME) angeforderten Paketdatendienst anwendet .- The access network node (ZNK) applies the received, the quality of service QoS defining parameters for the requested by the terminal (ME) packet data service.

32. Verfahren nach Anspruch 31 , d a d u r c h g e k e n n z e i c h n e t , dass als weiterer Server (S2 ) ein Policy Decision Function PDF- Server verwendet wird .32. The method as claimed in claim 31, wherein as a further server (S2) a Policy Decision Function PDF server is used.

33. Verfahren nach Anspruch 32 , d a d u r c h g e k e n n z e i c h n e t , dass als weiterer Server ( S2 ) ein Charging Rules Function CRF-Ser- ver verwendet wird .33. The method according to claim 32, wherein a charging server function CRF server is used as further server (S2).

34. Verfahren nach einem der Ansprüche 11 bis 33 , d a d u r c h g e k e n n z e i c h n e t , dass zwischen dem Endgerät (ME) und dem Netzknoten (NKn) zur Authentifizierung und Schlüsselvereinbarung ein symmetrisches Verfahren verwendet wird .34. The method according to any one of claims 11 to 33, characterized in that between the terminal (ME) and the network node (NKn) for authentication and key agreement a symmetric method is used.

35. Verfahren nach einem der Ansprüche 11 bis 33 , d a d u r c h g e k e n n z e i c h n e t , dass zwischen dem Endgerät (ME) und dem Netzknoten (NKn) zur Authentifizierung und Schlüsselvereinbarung ein asymmetrisches Verfahren verwendet wird .35. The method according to claim 11, wherein an asymmetric method is used between the terminal (ME) and the network node (NKn) for authentication and key agreement.

36. Verfahren nach Anspruch 35, d a d u r c h g e k e n n z e i c h n e t , dass36. The method of claim 35, wherein a

- in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung ein privater Schlüssel des Endgerätes (ME) und ein öffentlicher Schlüssel des auf Basis des Internetprotokolls kommunizierenden Servers (S ) gespeichert werden undin the electronic circuit arrangement integrated in the terminal (ME) a private key of the terminal (ME) and a public key of the server (S) communicating on the basis of the internet protocol are stored, and

- in dem auf Basis des Internetprotokolls kommunizierenden Server ( S ) ein privater Schlüssel des auf Basis des Internet- Protokolls kommunizierenden Servers ( S ) und ein öffentlicher Schlüssel des Endgerätes (ME) gespeichert werden .- In the communicating based on the Internet Protocol server (S) a private key of based on the Internet Protocol communicating server (S) and a public key of the terminal (ME) are stored.

37. Verfahren nach Anspruch 35 oder 36, d a d u r c h g e k e n n z e i c h n e t , dass die jeweils benötigten öffentlichen und privaten Schlüssel in Form von Zertifikaten in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung und in dem auf Basis des Internetprotokolls kommunizierenden Server (S) gespeichert werden.37. The method as claimed in claim 35 or 36, wherein the respectively required public and private keys are stored in the form of certificates in the electronic circuit arrangement integrated in the terminal (ME) and in the server (S) which communicates on the basis of the Internet protocol.

38. Verfahren nach Anspruch 36 oder 37, d a d u r c h g e k e n n z e i c h n e t , dass38. The method of claim 36 or 37, wherein a

- als Authentifizierungsinformationen Informationen verwendet werden, die einen Sitzungsschlüssel, einen Integritätsschlüs- sei, eine Sequenznummer und eine erwartete Antwort beinhalten, welche alle mit dem öffentlichen Schlüssel des Endgerätes (ME) verschlüsselt sind, sowie eine Signatur erster Art des auf Basis des Internetprotokolls kommunizierenden Servers (S ) , welche mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers (S) aus dem Sitzungsschlüssel , dem Integritätsschlüssel , der Sequenznummer und der erwarteten Antwort berechnet ist,be used as authentication information information that includes a session key, an integrity key, a sequence number and an expected answer, which are all encrypted with the public key of the terminal (ME), and a signature of the first kind the Internet Protocol based server (S) calculated by the private key of the Internet Protocol based server (S) from the session key, the integrity key, the sequence number and the expected response,

- der Netzknoten (NKn) die empfangenen Informationen mit der Authentifizierungsaufforderung ( 8 ) an das Endgerät (ME) sendet,the network node (NKn) sends the received information with the authentication request (8) to the terminal (ME),

- das Endgerät (ME) die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel, Integritätsschlüssel , Sequenznummer und erwartete Antwort unter Verwendung seines privaten Schlüssels entschlüsselt,the terminal (ME) decrypts, with its public key, encrypted session key, integrity key, sequence number and expected response parameters using its private key,

- das Endgerät (ME) die Signatur erster Art des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel, Integritätsschlüssel, Sequenznummer und erwartete Antwort und eines öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers (S ) verifiziert undthe terminal (ME) verifies the signature of the first type of Internet protocol-based server (S) using the decrypted parameters session key, integrity key, sequence number and expected response and a public key of the Internet Protocol-based server (S)

- das Endgerät (ME) bei erfolgreicher Verifizierung die ent- schlüsselte erwartete Antwort als Authentifizierungsantwort an den Netzknoten (NKn) sendet .- the terminal (ME) sends the decrypted expected response as an authentication response to the network node (NKn) upon successful verification.

39 . Verfahren nach Anspruch 36 oder 37 , d a d u r c h g e k e n n z e i c h n e t , dass als Authentifizierungsinformationen Informationen verwendet werden, die den Sitzungsschlüssel , die Sequenznummer und die erwartete Antwort beinhalten, welche alle mit dem öffentlichen Schlüssel des Endgerätes (ME) verschlüsselt sind, sowie eine Signatur zweiter Art des auf Basis des Internetproto- kolls kommunizierenden Servers ( S) , welche mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers ( S) aus dem Sitzungsschlüssel , der Sequenznummer und der erwarteten Antwort berechnet ist,39. A method according to claim 36 or 37, characterized in that as authentication information information is used, which includes the session key, the sequence number and the expected answer, which are all encrypted with the public key of the terminal (ME), as well as a signature of the second kind on the basis the Internet protocol communicating server (S), which is calculated by means of the private key of the Internet protocol based communicating server (S) from the session key, the sequence number and the expected response,

- der Netzknoten (NKn) die empfangenen Informationen mit der Authentifizierungsaufforderung ( 8 ) an das Endgerät (ME) sendet , - das Endgerät (ME) die mit seinem Öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel, Sequenznummer und erwartete Antwort unter Verwendung seines privaten Schlüssels entschlüsselt, - das Endgerät (ME) aus dem Sitzungsschlüssel und/oder der Sequenznummer und/oder der erwarteten Antwort den Integritätsschlüssel bestimmt,the network node (NKn) sends the received information with the authentication request (8) to the terminal (ME), the terminal (ME) decrypts the session key, sequence number and expected response encrypted using its private key, the terminal (ME) determines the integrity key from the session key and / or the sequence number and / or the expected response,

- das Endgerät (ME) die Signatur zweiter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S) mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel, Sequenznummer und erwartete Antwort und des öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers (S) verifiziert undthe terminal (ME) verifies the signature of the second type of Internet protocol-based server (S) using the decrypted parameters session key, sequence number and expected response and the public key of the Internet protocol-based server (S) and

40 . Verfahren nach Anspruch 36 oder 37 , d a d u r c h g e k e n n z e i c h n e t , dass - als Authentifizierungsinformationen Informationen verwendet werden, die als mit dem öffentlichen Schlüssel des Endgerätes (ME) verschlüsselte Parameter den Sitzungsschlüssel, den Integritätsschlüssel , die Sequenznummer und eine mittels des privaten Schlüssels des auf Basis des Internetprotokolls kom- munizierenden Servers (S ) aus dem Sitzungsschlüssel , dem Integritätsschlüssel und der Sequenznummer berechnete Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S) beinhalten,40. A method according to claim 36 or 37, characterized in that - as authentication information information is used, which as encrypted with the public key of the terminal (ME) parameters komkom the session key, the integrity key, the sequence number and a by means of the private key of the Internet Protocol - Communicating server (S) from the session key, the integrity key and the sequence number third signature signature of the communicating based on the Internet Protocol server (S),

- das Endgerät (ME ) die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel , Integritätsschlüssel, Sequenznummer und Signatur dritter Art des auf Ba- sis des Internetprotokolls kommunizierenden Servers (S ) unter Verwendung seines privaten Schlüssels entschlüsselt,the terminal (ME) decrypts the parameters encrypted with its public key, session key, integrity key, sequence number and third type signature of the Internet protocol-based server (S) using its private key;

61 - das Endgerät (ME) die Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S) mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel, Integritätsschlüssel und Sequenznummer und des öffentlichen Schlüssels des auf. Basis des Internetprotokolls kommunizierenden Servers ( S) verifiziert und61 - the terminal (ME) the third-type signature of the Internet Protocol communicating server (S) using the decrypted parameters session key, integrity key and sequence number and the public key of. Verified based on the Internet Protocol communicating server (S) and

- das Endgerät (ME) bei erfolgreicher Verifizierung die entschlüsselte Signatur dritter Art des auf Basis des Internetprotokolls kommunizierenden Servers ( S) als Authentifizie- rungsantwort an den Netzknoten (NKn) sendet .- The terminal (ME) sends the decrypted third-type signature of communicating on the basis of the Internet Protocol server (S) as an authentication response to the network node (NKn) upon successful verification.

41 . Verfahren nach Anspruch 36 oder 37 , d a d u r c h g e k e n n z e i c h n e t , dass41. A method according to claim 36 or 37, wherein a

- als Authentifizierungsinformationen Informationen verwendet werden, die als mit dem öffentlichen Schlüssel des Endgerätes- Used as authentication information information, as with the public key of the terminal

(ME) verschlüsselte Parameter den Sitzungsschlüssel, die Sequenznummer und eine mittels des privaten Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers (S ) aus dem Sitzungsschlüssel und der Sequenznummer berechnete Signa- tur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S ) beinhalten,(ME) encoded parameters include the session key, the sequence number, and a fourth-type signature of the Internet-protocol-communicating server (S) computed by the private key of the Internet Protocol communicating server (S) from the session key and the sequence number;

- der Netzknoten (NKn) die empfangenen Informationen mit der Authentifizierungsaufforderung ( 8 ) an das Endgerät (ME) sendet , - das Endgerät (ME) die mit seinem öffentlichen Schlüssel verschlüsselten Parameter Sitzungsschlüssel, Sequenznummer und Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S ) unter Verwendung seines privaten Schlüssels entschlüsselt, - das Endgerät (ME) aus dem Sitzungsschlüssel und/oder der Sequenznummer den Integritätsschlüssel bestimmt,- the network node (NKn) sends the received information with the authentication request (8) to the terminal (ME), - the terminal (ME) the parameters encrypted with its public key, session key, sequence number and fourth type signature of the server communicating based on the internet protocol (S) decrypted using its private key, - the terminal (ME) determines the integrity key from the session key and / or the sequence number,

- das Endgerät (ME) die Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers (S) mit Hilfe der entschlüsselten Parameter Sitzungsschlüssel und Sequenz- nummer und des Öffentlichen Schlüssels des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) verifiziert und - das Endgerät (ME) bei erfolgreicher Verifizierung die entschlüsselte Signatur vierter Art des auf Basis des Internetprotokolls kommunizierenden Servers ( S) als Authentifizie- rungsantwort an den Netzknoten (NKn) sendet .the terminal (ME) verifies the signature of the fourth type of server (S) communicating on the basis of the internet protocol using the decrypted parameters session key and sequence number and the public key of the server (S) based on the internet protocol - The terminal (ME) on successful verification, the decrypted signature fourth type of communicating based on the Internet Protocol server (S) as an authentication response to the network node (NKn) sends.

42. Verfahren nach einem der Ansprüche 11 bis 41, d a d u r c h g e k e n n z e i c h n e t , dass als auf Basis des Internetprotokolls kommunizierender Server ( S ) ein AAA-Server verwendet wird .42. Method according to one of claims 11 to 41, wherein a AAA server is used as the server (S) communicating on the basis of the Internet protocol.

43. Verfahren nach einem der Ansprüche 11 bis 42, d a d u r c h g e k e n n z e i c h n e t , dass die Kommunikation zwischen dem Netzknoten (NKn) und dem auf Basis des Internetprotokolls kommunizierenden Server (S ) über den Zugangsnetzknoten ( ZNK) erfolgt .43. The method according to any one of claims 11 to 42, wherein a communication between the network node (NKn) and the server (S) communicating on the basis of the Internet protocol takes place via the access network node (ZNK).

44. Verfahren nach einem der Ansprüche 11 bis 43, d a d u r c h g e k e n n z e i c h n e t , dass44. The method according to any one of claims 11 to 43, d a d e r c h e c e n e c i n e that t

- das Endgerät (ME) mit weiteren Endgeräten der gleichen Art zu einer Gruppe zusammengefasst wird, und der Gruppe von Endgeräten (ME) eine gemeinsame Rufnummer zugeordnet wird, unter welcher die Abrechnung der durch die Endgeräte (ME) der Gruppe verursachten Gebühren erfolgt, undthe terminal (ME) is grouped together with further terminals of the same type, and the group of terminals (ME) is assigned a common number under which billing of the charges caused by the terminals (ME) of the group takes place, and

- die Identifizierung der einzelnen Endgeräte (ME) anhand des das Endgerät (ME) identifizierenden Parameters oder der IP-the identification of the individual terminals (ME) on the basis of the parameter identifying the terminal (ME) or the IP

Adresse des Endgerätes (ME) erfolgt .Address of the terminal (ME) takes place.

45. Verfahren nach einem der Ansprüche 11 bis 44, d a d u r c h g e k e n n z e i c h n e t , dass - der Netzknoten (NKn) das Einbuchen des Endgerätes (ME) betreffende Präsenzdaten an einen Präsenz-Server (PS ) sendet ( 14 ) und45. The method according to claim 11, wherein: the network node sends NKN the presence data relating to the log-in of the terminal to a presence server (PS) and

- der Präsenz-Server ( PS ) mit einem Antwortsignal ( 15 ) das Eintragen der Präsenzdaten bestätigt .- The presence server (PS) with a response signal (15) confirms the entry of the presence data.

46. Verfahren nach Anspruch 45, d a d u r c h g e k e n n z e i c h n e t , dass als Bestandteil der Präsenzdaten Informationen zum Aufenthaltsort des Endgerätes (ME) gesendet werden.46. The method according to claim 45, characterized in that As part of the presence data information about the whereabouts of the terminal (ME) are sent.

47. Verfahren nach Anspruch 46, d a d u r c h g e k e n n z e i c h n e t , dass der Präsenz-Server (PS ) die empfangenen Informationen zum Aufenthaltsort des Endgerätes (ME) mit einem vorbestimmten Aufenthaltsort vergleicht und einen Alarm auslöst, wenn der Aufenthaltsort des Endgerätes (ME) nicht mit dem vorbestimm- ten Aufenthaltsort übereinstimmt .47. The method according to claim 46, characterized in that the presence server (PS) compares the received information about the location of the terminal (ME) with a predetermined location and triggers an alarm if the location of the terminal (ME) does not match the predetermined whereabouts.

48. Verfahren nach einem der Ansprüche 45 bis 47, d a d u r c h g e k e n n z e i c h n e t , dass48. The method of claim 45, wherein:

- der Präsenz-Server (PS) nach der Aktivierung des Paketda- tendienstes von dem Netzknoten (NKn) und/oder dem Zugangsnetzknoten ( ZNK) eine den Status des Endgerätes (ME) aktualisierende Nachricht (29 ) empfängt, welche Informationen zu dem aktivierten Paketdatendienst und der zugehörigen IP-Adresse enthält, und - der Präsenz-Server (PS ) mit einer Bestätigungsnachricht (30 ) antwortet .- The presence server (PS) after activation of the Paketdaten- service from the network node (NKn) and / or the access network node (ZNK) receives a status of the terminal (ME) updating message (29), which information to the activated packet data service and the associated IP address, and - the presence server (PS) responds with an acknowledgment message (30).

49. Verfahren nach einem der Ansprüche 45 bis 48, d a d u r c h g e k e n n z e i c h n e t , dass - ein Anwendungs-Server (AWS ) sich bei dem Präsenz-Server (PS) anmeldet,49. The method of claim 45, wherein: an application server logs into the presence server, PS;

- der Präsenz-Server ( PS ) die Anmeldung des Anwendungs-Servers (AWS ) auswertet und- the presence server (PS) evaluates the application server (AWS) login and

- der Präsenz-Server ( PS ) bei Vorliegen eines vordefinierten Auswerteresultates das Endgerät (ME ) zur Aktivierung eines weiteren Paketdatendienstes veranlasst, womit dem Endgerät (ME) automatisch eine dynamische IP-Adresse zugewiesen wird .- The presence server (PS) in the presence of a predefined evaluation result causes the terminal (ME) to activate another packet data service, whereby the terminal (ME) is automatically assigned a dynamic IP address.

50. Verfahren nach Anspruch 49, d a d u r c h g e k e n n z e i c h n e t, dass der Präsenz-Server (PS ) eine zur Nutzung dynamischer IP- Adressen modifizierte Aufforderungsnachricht zur Aktivierung des weiteren Paketdatendienstes an das Endgerät (ME) sendet und das Endgerät (ME) daraufhin den weiteren Paketdatendienst aktiviert, wodurch dem Endgerät (ME) eine dynamische IP-Ad- resse zugewiesen wird .50. The method according to claim 49, characterized in that the presence server (PS) a modified for the use of dynamic IP addresses request message for activation the further packet data service to the terminal (ME) sends and the terminal (ME) then activates the further packet data service, whereby the terminal (ME) is assigned a dynamic IP address.

51. Verfahren nach einem der Ansprüche 49 oder 50, d a d u r c h g e k e n n z e i c h n e t, dass die dynamische IP-Adresse des Endgerätes (ME) dem Präsenz-Server ( PS ) seitens des Zugangsnetzknotens ( ZNK) und dem Anwendungs-Server (AWS) seitens des Präsenz-Servers (PS) mitgeteilt wird .51. The method according to any one of claims 49 or 50, characterized in that the dynamic IP address of the terminal (ME) the presence server (PS) on the part of the access network node (ZNK) and the application server (AWS) on the part of the presence server (PS) is communicated.

52. Verfahren nach einem der Ansprüche 49 bis 51, d a d u r c h g e k e n n z e i c h n e t, dass der „Push-Proxy"-Server sich bei dem Präsenz-Server (PS) anmeldet, wenn er von dem Anwendungs-Server (AWS ) Daten für das Endgerät (ME ) erhält .52. The method as claimed in one of claims 49 to 51, characterized in that the "push proxy" server registers with the presence server (PS) when it receives data for the terminal (ME) from the application server (AWS). receives.

53. Verfahren nach einem der Ansprüche 49 bis 52, d a d u r c h g e k e n n z e i c h n e t, dass das vordefinierte Auswerteresultat seitens des Endgerätes (ME) festgelegt und bei dem Präsenz-Server (PS ) hinterlegt wird.53. The method according to claim 49, wherein the predefined evaluation result is determined by the terminal (ME) and stored at the presence server (PS).

54. Verfahren nach einem der Ansprüche 49 bis 52, d a d u r c h g e k e n n z e i c h n e t, dass das vordefinierte Auswerteresultat seitens eines Netzbetreibers derart festgelegt wird, dass der Präsenz-Server ( PS ) j edes sich neu in das Mobilfunknetz (MFN) einbuchende Endgerät (ME) oder ausgewählte Gruppen von Endgeräten (ME) zur Aktivierung des weiteren Paketdatendienstes veranlasst .54. The method according to any one of claims 49 to 52, characterized in that the predefined evaluation result is determined by a network operator such that the presence server (PS) each new in the mobile network (MFN) registering terminal (ME) or selected groups of terminals (ME) to activate the further packet data service causes.

55. Verfahren nach einem der Ansprüche 51 bis 54, d a d u r c h g e k e n n z e i c h n e t, dass der Anwendungs-Server (AWS ) mittels der dynamischen IP- Adresse spezifische Daten an das Endgerät (ME) überträgt . 55. The method according to any one of claims 51 to 54, characterized in that the application server (AWS) using the dynamic IP address transmits specific data to the terminal (ME).

56. Verfahren nach einem der Ansprüche 51 bis 55, d a d u r c h g e k e n n z e i c h n e t, dass der Präsenz-Server ( PS) nur bei einem autorisierten Anwendungs-Server (AWS ) das Endgerät (ME) zu Aktivierung des weiteren Paketdatendienstes veranlasst und die dynamische56. The method according to claim 51, wherein the presence server (PS) only causes the terminal device (ME) to activate the further packet data service in the case of an authorized application server (AWS), and the dynamic server

IP-Adresse des Endgerätes (ME) nur einem autorisierten Anwendungs-Server (AWS ) mitteilt .IP address of the end device (ME) only to an authorized application server (AWS).

57. Verfahren nach einem der Ansprüche 51 bis 56, d a d u r c h g e k e n n z e i c h n e t, dass der Anwendungs-Server (AWS ) sich nach Erhalt der Mitteilung der dem Endgerät (ME) zugewiesenen dynamischen IP-Adresse oder nach Beendigung der Datenübertragung an das Endgerät (ME) wieder beim Präsenz-Server ( PS ) abmeldet .57. The method according to any one of claims 51 to 56, characterized in that the application server (AWS) after receiving the notification of the terminal (ME) assigned dynamic IP address or after completion of the data transfer to the terminal (ME) again at Presence server (PS) logs off.

58. Endgerät (ME ) mit einer in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung, in der ein das Endgerät (ME) identifizierender Parameter gespeichert ist, zur Verwendung in einem Mobilfunknetz (MFN) mit mindestens einem Netz- knoten (NKn) und mindestens einem Server, sowie mit mindestens einem mit dem Netzknoten (NKn) verbundenen Zugangsnetzknoten ( ZNK) zu einem Paketdatennetz (PDN) , d a d u r c h g e k e n n z e i c h n e t , dass - das Endgerät ein SIM-kartenfreies Endgerät (ME ) ist und - in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung ein weiterer Identifizierungsparameter und zur Authentifizierung benötigte Routinen oder zur Authentifizierung benötigte Routinen und Parameter gespeichert sind .58. A terminal (ME) having an electronic circuit arrangement integrated in the terminal (ME), in which a parameter identifying the terminal (ME) is stored, for use in a mobile radio network (MFN) with at least one network node (NKn) and at least a server, as well as with at least one access network node (ZNK) connected to the network node (NN) to a packet data network (PDN), characterized in that - the terminal is a SIM card-free terminal (ME) and - in which the terminal (ME) integrated electronic circuitry, a further identification parameters and required for authentication routines or required for authentication routines and parameters are stored.

59. Endgerät nach Anspruch 58 , d a d u r c h g e k e n n z e i c h n e t , dass in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung die für ein symmetrisches Verfahren zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen oder die zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter gespeichert sind . 59. A terminal according to claim 58, characterized in that in the integrated circuit in the device (ME) electronic circuitry required for a symmetric method for authentication and key agreement routines or required for authentication and key agreement routines and parameters are stored.

60. Endgerät nach Anspruch 58 , d a d u r c h g e k e n n z e i c h n e t , dass in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung die für ein asymmetrisches Verfahren zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen oder die zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter gespeichert sind .60. The terminal according to claim 58, wherein the electronic circuit arrangement integrated in the terminal (ME) stores the routines required for an asymmetrical method for authentication and key agreement or the routines and parameters required for authentication and key agreement.

61. Endgerät nach Anspruch 60 , d a d u r c h g e k e n n z e i c h n e t , dass in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung ein privater Schlüssel des Endgerätes (ME) und ein öffentlicher Schlüssel des auf Basis des Internetprotokolls kommunizierenden Servers ( S ) gespeichert sind.61. The terminal according to claim 60, wherein a private key of the terminal (ME) and a public key of the server (S) communicating on the basis of the internet protocol are stored in the electronic circuitry integrated in the terminal (ME).

62. Endgerät nach Anspruch 61 , d a d u r c h g e k e n n z e i c h n e t , dass die Schlüssel in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung in Form von Zertifikaten ge- speichert sind .62. The terminal according to claim 61, wherein a key is stored in the electronic circuit arrangement integrated in the terminal (ME) in the form of certificates.

63. Endgerät nach einem der Ansprüche 58 bis 62 , d a d u r c h g e k e n n z e i c h n e t , dass weitere für das Endgerät (ME) und/oder für den das Endgerät (ME) nutzenden Teilnehmer spezifische Daten in der in das63. The terminal according to claim 58, wherein further subscribers used for the terminal (ME) and / or for the terminal (ME) use data that is specific to the subscriber

Endgerät (ME) integrierten elektronischen Schaltungsanordnung gespeichert sind .Terminal (ME) integrated electronic circuitry are stored.

64. Endgerät nach Anspruch 63 , d a d u r c h g e k e n n z e i c h n e t , dass es sich bei den weiteren Daten um eine Liste der für das Endgerät (ME) erlaubten und/oder eine Liste der nicht erlaubten Netzbetreiber handelt .64. The terminal according to claim 63, wherein the further data is a list of the terminal equipment (ME) permitted and / or a list of the unauthorized network operators.

65. Endgerät nach einem der Ansprüche 58 bis 64 , d a d u r c h g e k e n n z e i c h n e t , dass die in das Endgerät (ME) integrierte elektronische Schaltungsanordnung einen nicht-flüchtigen Speicher enthält .65. Terminal according to one of claims 58 to 64, characterized in that the electronic circuitry integrated into the terminal (ME) contains a non-volatile memory.

66. Endgerät nach einem der Ansprüche 58 bis 65, d a d u r c h g e k e n n z e i c h n e t , dass die in das Endgerät (ME) integrierte elektronische Schaltungsanordnung einen flüchtigen Speicher enthält, dessen Inhalt bei Unterbrechung der Stromversorgung verloren geht .66. The terminal according to claim 58, wherein the electronic circuit arrangement integrated in the terminal (ME) contains a volatile memory whose content is lost when the power supply is interrupted.

67. Endgerät nach einem der Ansprüche 58 bis 66, d a d u r c h g e k e n n z e i c h n e t , dass die in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen oder die in der in das Endgerät (ME) integrierten elektronischen Schaltungsanordnung gespeicherten, zur Authentifizierung und Schlüsselvereinbarung benötigten Routinen und Parameter und/oder die Funktion des Endgerätes (ME) insgesamt durch ein Passwort geschützt sind. 67. Terminal according to one of claims 58 to 66, characterized in that stored in the in the terminal (ME) integrated electronic circuitry stored, required for authentication and key agreement routines or stored in the in the terminal (ME) electronic circuitry, the Authentication and key agreement needed routines and parameters and / or the function of the terminal (ME) are protected by a password.