Title:
System und Verfahren zur User-Zertifikat-Anlage, -Verteilung und zur-Verfügung-stellen in konvergierten WLAN-WWAN zusammenarbeitenden Netzwerken
Document Type and Number:
Kind Code:
B4

Abstract:

Ein Verfahren für sichere Abläufe in einem konvergierten zusammenarbeitenden Netzwerk, umfassend:
– Erhalten eines public key aus einer Recheneinrichtung (108);
– Durchführen (208) eines Bootstrapping-(Urlade-)vorganges mit einem Netzbetreiber;
– Erhalten (210) einer ersten Instanz eines Nutzerzertifikats von dem Netzbetreiber, wobei das Nutzerzertifikat auf dem public key basiert, und
– Übertragen (214) einer zweiten Instanz des Nutzerzertifikats an die Recheneinrichtung (108) zu Zwecken der digitalen Signatur, Verifikation und Verschlüsselung,
wobei das konvergierte zusammenarbeitende Netzwerk ein drahtloses Großflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfasst, wobei die erste und die zweite Instanz des Nutzerzertifikats gleichzeitig und jeweils in den WWAN und WLAN-Netzwerken genutztwerden, um einen Abonnenten zu authentifizieren.





Inventors:
Aissi, Selim, Oreg. (Beaverton, US)
Yelamanchi, Mrudula, Oreg. (Portland, US)
Dharmadhikari, Abhay, Oreg. (Beaverton, US)
Matasar, Benjamin, Oreg. (Portland, US)
Dashevsky, Jane, Oreg. (Beaverton, US)
Application Number:
DE112005002362T
Publication Date:
11/16/2017
Filing Date:
09/30/2005
Assignee:
Intel Corporation (Calif., Santa Clara, US)
International Classes:
H04W84/10; G06F21/33; H04L9/08; H04L9/30; H04L9/32; H04L12/28; H04L29/06; H04M1/66; H04W12/06
Foreign References:
WO2003071734A1
WO2003091858A2
Attorney, Agent or Firm:
BOEHMERT & BOEHMERT Anwaltspartnerschaft mbB - Patentanwälte Rechtsanwälte, 28209, Bremen, DE
Claims:
1. Ein Verfahren für sichere Abläufe in einem konvergierten zusammenarbeitenden Netzwerk, umfassend:
– Erhalten eines public key aus einer Recheneinrichtung (108);
– Durchführen (208) eines Bootstrapping-(Urlade-)vorganges mit einem Netzbetreiber;
– Erhalten (210) einer ersten Instanz eines Nutzerzertifikats von dem Netzbetreiber, wobei das Nutzerzertifikat auf dem public key basiert, und
– Übertragen (214) einer zweiten Instanz des Nutzerzertifikats an die Recheneinrichtung (108) zu Zwecken der digitalen Signatur, Verifikation und Verschlüsselung,
wobei das konvergierte zusammenarbeitende Netzwerk ein drahtloses Großflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfasst, wobei die erste und die zweite Instanz des Nutzerzertifikats gleichzeitig und jeweils in den WWAN und WLAN-Netzwerken genutztwerden, um einen Abonnenten zu authentifizieren.

2. Das Verfahren nach Anspruch 1, wobei die Recheneinrichtung (108) einen Laptop, ein Notebook oder eine andere Recheneinrichtung mit WLAN-Support umfasst.

3. Das Verfahren nach Anspruch 1, wobei der public key durch ein Mobilterminal (106) empfangen wird, wobei das Mobilterminal (106) den Bootstrappingprozess mit dem Mobilfunknetzbetreiber durchführt.

4. Das Verfahren nach Anspruch 3, wobei das mobile Terminal (106) eine mobile Einrichtung umfasst, die dazu in der Lage ist Netzkommunikation durchzuführen.

5. Das Verfahren nach Anspruch 1, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats in einer sicheren Speichereinrichtung zur digitalen Signatur, Verifikation und Verschlüsselung speichert.

6. Das Verfahren nach Anspruch 1, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats auf einer Smartcard des Nutzers speichert.

7. Das Verfahren nach Anspruch 1, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats in einem Speicher installiert.

8. Das Verfahren nach Anspruch 1, wobei der public key ein Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst, wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung (108) erzeugt ist.

9. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar unter Verwendung einer vertrauenswürdigen Hardwarekomponente erzeugt ist.

10. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar unter Nutzung eines Benutzerprogramm-Interfaces (API) erzeugt ist.

11. Das Verfahren nach Anspruch 8, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer Smartcard erzeugt ist.

12. Das Verfahren nach Anpruch 1, wobei der public key über ein kurzreichweitiges drahtloses Netzwerk empfangen wird.

13. Das Verfahren nach Anspruch 1, wobei der public key durch ein Mobilterminal (106) von der Recheneinrichtung (108) über eine Bluetooth®-Verbindung empfangen wird.

14. Das Verfahren nach Anspruch 1, wobei der public key durch ein Mobilterminal von der Recheneinrichtung (108) über ein IrDA(Infrarot Data Assosiation)-Netzwerk empfangen wird.

15. Das Verfahren nach Anspruch 1, wobei der public key durch ein Mobilterminal (106) von der Recheneinrichtung (108) über eine drahtgebundene Verbindung empfangen wird.

16. Das Verfahren nach Anspruch 1, wobei die erste Instanz des Nutzerzertifikats auf einem Mobilterminal (106) vor der Übertragung der zweiten Instanz des Nutzerzertifikates an die Recheneinrichtung (108) installiert ist.

17. Ein sicheres konvergentes zusammenarbeitendes Netzwerksystem (100), umfassend:
– ein drahtloses lokales Netzwerk (WLAN), das wenigstens eine Recheneinrichtung (108) aufweist, wobei die wenigstens eine Recheneinrichtung (108) WLAN-Fähigkeit besitzt;
– ein drahtloses Großflächennetzwerk (WWAN) mit wenigstens einem Mobilterminal (106) zur Kommunikation über das WWAN-Netzwerk, wobei das WWAN-Netzwerk einen mobilen Netzwerkbetreiber umfasst;
– wobei eine erste und eine zweite Instanz eines Nutzerzertifikats gleichzeitig und jeweils genutzt werden, um einen Nutzer zu authentifizieren, wenn er Dienstleistungen nutzt, die durch die WWAN und WLAN-Netzwerke offeriert werden, wobei die erste und zweite Instanz des Nutzerzertifikats erzeugt werden, indem die wenigstens eine Recheneinrichtung dazu in die Lage versetzt wird, einen public key an das wenigstens eine Mobilterminal zu senden, wobei das wenigstens eine Mobilterminal ein Bootstrapverfahren mit dem Mobilnetzwerkbetreiber beginnt, um die erste Instanz des Einzelnutzerzertifikats für den public key zu erhalten und das wenigstens eine Mobilterminal die zweite Instanz des Nutzerzertifikats an die wenigstens eine Recheneinrichtung überträgt, um sicher auf der wenigstens einen Recheneinrichtung (108) installiert zu werden.

18. Das System (100) nach Anspruch 17, wobei der public key Teil eines Schlüsselpaares ist, wobei das Schlüsselpaar durch die Recheneinrichtung (108) erzeugt wird.

19. Das System (100) nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung einer vertrauenswürdigen Hardwarekomponenten erzeugt wird.

20. Das System (100) nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung eines Benutzerprogramm-Interfaces, (API) erzeugt wird.

21. Das System (100) nach Anspruch 18, wobei das Schlüsselpaar unter Benutzung einer Smartcard erzeugt wird.

22. Das System (100) nach Anspruch 17, wobei die erste Instanz des Nutzerzertifikats auf dem Mobilterminal (106) installiert wird, bevor die zweite Instanz an die Recheneinrichtung (108) übertragen wird.

23. Das System (100) nach Anspruch 17, wobei die zweite Instanz des Nutzerzertifikat auf der Recheneinrichtung (108) in einer zuverlässigen Hardwarekomponente installiert ist.

24. Das System (100) nach Anspruch 17, wobei die zweite Instanz des Nutzerzertifikats auf einer SIM-(subscriber identity module, Abonnentenidentitätsmodul)-Karte für die Recheneinrichtung (108) installiert ist.

25. Das System (100) nach Anspruch 17, wobei die zweite Instanz des Nutzerzertifikats auf einer Smartcard installiert ist, wobei die Recheneinrichtung (108), das Mobilterminal und die Smartcard von einem Abonnenten des konvergierenden zusammenarbeitenden Netzwerksystems besessen werden.

26. Artikel umfassend: ein Speichermedium mit einer Vielzahl von maschinenlesbaren Befehlen, wobei die Befehle durch einen Prozessor ausgeführt werden und die Befehle dafür sorgen, dass
ein public key von einer Recheneinrichtung (108) empfangen wird;
ein Bootstrappingverfahren mit einem Netzwerkbetreiber durchgeführt wird;
eine erste Instanz eines Nutzerzertifikats vom Netzwerkbetreiber erhalten wird, wobei die erste Instanz des Nutzerzertifikats auf dem public key basiert, und
eine zweite Instanz des Nutzerzertifikats an die Recheneinrichtung (108) zu Zwecken der zur Digitalsignatur, Verifikation und Verschlüsselung übertragen wird;
wobei das konvergierende zusammenarbeitende Netzwerk ein drahtloses Weitflächennetzwerk (WWAN) und ein drahtloses lokales Netzwerk (WLAN) umfasst, wobei die erste und zweite Instanz des Nutzerzertifikats dazu verwendet werden, um gleichzeitig und jeweils auf Dienstleistungen in beiden WWAN und WLAN-Netzwerken zuzugreifen, um einen Abonnenten zu authentifizieren.

27. Artikel nach Anspruches 26, wobei die Recheneinrichtung (108) eines aus der folgenden Gruppe umfaßt: Laptop, Notebook oder eine andere Recheneinrichtung, die WLAN-Fähigkeit besitzt.

28. Artikel nach Anspruch 26, wobei eine Mobileinrichtung mit Mobilfunkfähigkeit den public key von der Recheneinrichtung (108) erhält und den Bootstrappingprozess mit dem Netzbetreiber durchführt.

29. Artikel nach Anspruchs 26, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats in einer sicheren Speichereinrichtung zur digitalen Signatur, Verifikation und Verschlüsselung speichert.

30. Artikel nach Anspruch 26, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats auf einer Smartcard des Abonnenten installiert.

31. Artikel nach Anspruch 26, wobei die Recheneinrichtung (108) die zweite Instanz des Nutzerzertifikats in einem Speicher installiert.

32. Artikel nach Anspruch 26, wobei der public key einen Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst, und wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung (108) erzeugt ist.

33. Artikel nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer vertrauenswürdigen Hardwarekomponenten erzeugt ist.

34. Artikel nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung eines Benutzerprogramm-Interfaces (API) erzeugt wird.

35. Artikel nach Anspruch 32, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung einer Smartcard erzeugt ist.

36. Authentifizierungsverfahren mit:
– Senden eines public key an eine Mobileinrichtung, die Mobilfunkfähigkeit besitzt, über eine Recheneinrichtung (108), die in einem lokalen drahtlosen Netzwerk betrieben werden kann, wobei die Mobileinrichtung in einem drahtlosen Weitgebietsnetzwerk betrieben werden kann, und wobei die Mobileinrichtung ein Bootstrappingverfahren mit einem Netzwerkbetreiber in dem weitflächigen Netzwerk durchführt, um eine erste Instanz eines Nutzerzertifikats basierend auf dem public key zu erhalten; und
– Empfangen einer zweiten Instanz des Nutzerzertifikats von der mobilen Einrichtung zu Zwecken der digitalen Signatur, Verifikation und Verschlüsselung;
wobei die erste und zweite Instanz des Nutzerzertifikats gleichzeitig und jeweils in dem drahtlosen lokalen Netzwerk und dem drahtlosen Weitflächennetzwerk zur Authentifizierung eines Abonnenten in jedem der Netzwerke genutzt werden.

37. Das Verfahren nach Anspruch 36 mit dem weiteren Schritt des sicheren Installierens der zweiten Instanz des Nutzerzertifikats auf der Recheneinrichtung (108).

38. Das Verfahren nach Anspruch 36, wobei die Recheneinrichtung (108) einen Laptop, ein Notebook, einen Tablet-Computer oder eine andere Recheneinrichtung umfasst, die für einen WLAN-Zugang geeignet ist.

39. Das Verfahren nach Anspruch 36, wobei die Mobileinrichtung ein Mobiltelefon, einen PDA (personal digital assistant) oder jede andere mobile Einrichtung umfasst, die dazu in der Lage ist, in einem Mobilfunknetzwerk betrieben zu werden.

40. Das Verfahren nach Anspruch 36, wobei der public key einen Teil eines sicheren und zuverlässigen Schlüsselpaares umfasst und wobei das sichere und zuverlässige Schlüsselpaar durch die Recheneinrichtung (107) erzeugt wird.

41. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar durch eine vertrauenswürdige Hardwarekomponente erzeugt wird.

42. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar unter Benutzung eines Benutzerprogramm-Interfaces API erzeugt wird.

43. Das Verfahren nach Anspruch 40, wobei das sichere und zuverlässige Schlüsselpaar unter Nutzung einer Smartcard erzeugt wird.

44. Das Verfahren nach Anspruch 36, wobei weitere Instanzen des Nutzerzertifikats an andere Mobileinrichtungen, die von dem Abonnenten benutzt werden, verteilt werden.

45. Das Verfahren nach Anspruch 36, wobei weitere Instanzen des Nutzerzertifikat an eine Vielzahl von Recheneinrichtungen, die von dem Abonnenten benutzt werden, verteilt werden.

Description:
HINTERGRUND DER ERFINDUNGGebiet der Erfindung

Ausführungen der vorliegenden Erfindung werden im Allgemeinen im Feld von WLAN-WWAN (wireless local area network-wireless wide area network) Zusammenarbeit genutzt. Insbesondere werden Ausführungen der vorliegenden Erfindung zum Anlegen, Verteilen und zum Zur-Verfügung-Stellen von Benutzerzertifikaten beim konvergenten WLAN-WWAN-Zusammenarbeiten genutzt.

Beschreibung

Zur Zeit existieren verschiedene Typen von drahtlosen Netzwerken, die für verschiedene Typen von Umgebungen nützlich sind. Zum Beispiel existieren drahtlose Großgebiet-Netzwerke (WWANs) und drahtlose lokale Netzwerke (WLANs). WWAN-Netzwerke können für Mobilfunk Kommunikationen wie z. B., aber nicht beschränkt auf, Mobiltelefone und persönliche digitale Assistenten (PDAs) genutzt werden. beispielhafte WWAN Netzwerke umfassen, sind aber nicht darauf beschränkt, mobile Netzwerke wie das GSM-Netzwerk (Global System for Mobile Communications), Dritte Generation (3G) von Mobile Communications Technology und Code Division Mutiple Access (CDMA). WLAN Netzwerke können auf Computern genutzt werden, sind aber nicht auf diese beschränkt, wie z. B. Laptops, Notebooks, Workstations, usw. Beispielhafte WLAN Netzwerke umfassen, sind aber nicht beschränkt auf 802.11, 802.16, usw.

Es gibt ebenfalls drahtlose lokale Verbindungen wie z. B. Bluetooth und IrDA (Infrared Data Association). Solche drahtlose lokalen Verbindungen erlauben es mobilen Geräten (auch mobile Terminals genannt), mit Personalcomputern (PCs), wie z. B. Laptops, Notebooks, Workstations, usw. zu kommunizieren.

Aus der Druckschrift WO 03/071734 A1 ist ein Verfahren zum Anfordern eines Zertifikats für einen public key bekannt. Dabei wird eine Zertifikatsanforderung erzeugt und übertragen. Hierzu können ein Laptop und eine Nutzereinheit über eine Verbindung miteinander kommunizieren, um den public key von dem Laptop zur Nutzereinheit zu übertragen oder das Zertifikat von der Nutzereinheit zu dem Laptop zu übertragen.

Ferner ist aus der Druckschrift WO 03/091858 A2 ein Verfahren zur Authentifizierung in einem System mit zwei zusammenarbeitenden Netzwerken bekannt. Hierbei sendet das zweite Netzwerk einen public key an das erste Netzwerk und ein Zertifikat an eine Mobileinrichtung. Das Zertifikat beinhaltet Informationen bezüglich eines Abonnementniveaus der Mobileinrichtung und ist mit einem private key des zweiten Netzwerks signiert. Nach dem Detektieren des zweiten Netzwerks überträgt die Mobileinrichtung das Zertifikat und das erste Netzwerk authentifiziert das Zertifikat mittels des public key und des private key des zweiten Netzwerks.

Heutzutage beginnen drahtlose Netzbetreiber, wie z. B. T-Mobile, AT & T Wireless und Verizon Wireless, die historisch Mobilfunkdienstleistungen über WWAN Netzwerke zur Verfügung stellten, dazu überzugehen auch WLAN-typische Dienstleistungen anzubieten. Durch Anbieten sowohl von WWAN und WLAN-Dienstleistungen bezwecken diese Anbieter etwas zu erreichen, was konvergierter Netzwerkbetrieb genannt wird, bei dem WWAN und WLAN Dienste sich einander annähern. In konvergierten Netzwerken möchten Teilnehmer die gleichen Authentifizierungsdaten oder gleichen Berechtigungsnachweise für alle angebotenen Dienstleistungen (z. B. WWAN und WLAN-Dienstleistungen) nutzen. Unglücklicherweise sind die heutzutage zur Verfügung stehenden Zertifikate-erteilende Technologien entweder WWAN-spezifisch (z. B. GSM 03.48, WPKI (Wireless Application Protocol Public Key Infrastructure)) oder WLAN-spezifisch (z. B. PKI (Public Key Infrastructure)). Zur Zeit gibt es keinen integrierten oder nahtlosen Weg gemeinsame Nutzerzertifikate generieren und in einem kombinierten und konvergierten WWAN-WLAN-Netzwerk zur Verfügung zu stellen, so dass die Zertifikate sowohl für WLAN wie auch für die WWAN-Authentifizierung und Zugang genutzt werden können.

Daher wird ein System und ein Verfahren benötigt, dass die Zertifikaterteilung für Nutzer in nahtloser Weise ermöglicht, so dass die Nutzer sich authentifizieren können und auf Dienstleistungen jedes Teils eines Netzwerkes in einem kombinierten und konvergierten zusammenarbeitenden Netzwerk unter Nutzung eines einzigen Berechtigungsnachweis zugreifen können. Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1, ein Netzwerksystem gemäß Anspruch 17, einen Artikel gemäß Anspruch 26 und ein Authentifizierungsverfahren gemäß Anspruch 36 gelöst. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche.

KURZE BESCHREIBUNG DER ZEICHNUNGEN

Die beigefügten Zeichnungen, auf die hiermit Bezug genommen wird und die einen Teil der Beschreibung bilden, illustrieren Ausführungsbeispiele der vorliegenden Erfindung und sind zusammen mit der Beschreibung weiter dazu geeignet, die Prinzipien der Erfindung zu erläutern und einen Fachmann in dem jeweiligen Fachgebiet in die Lage zu versetzen, die Erfindung auszuführen und zu nutzen. Die Zeichnungen bezeichnen gleiche Bezugszeichen mit im Wesentlichen identischen funktionell gleichen und/oder strukturell gleichen Elemente. Die Zeichnung, in der ein Element das erste Mal auftaucht, ist durch die linke Ziffer in dem entsprechenden Bezugszeichen dargestellt.

1 ist ein Diagramm, das ein beispielhaftes System zur Nutzerzertifikatvergabe, Verteilung und Zur-Verfügung-Stellen in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung zeigt.

2 ist ein Flussdiagramm für Tätigkeiten, die ein beispielhaftes Verfahren mm Schaffen von Nutzerzertifikatsvergabe, Verteilung und zum Zur-Verfügung-Stellen in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung illustrieren.

DETAILLIERTE BESCHREIBUNG DER ERFINDUNG

Während die vorliegende Erfindung in Bezug auf dargestellte Ausführungsbeispiele für bestimmte Anwendungen beschrieben ist, sollte verstanden werden, dass die Erfindung nicht hierauf beschränkt ist. Diejenigen, die in entsprechenden Fachgebieten Fachleute sind und Zugang zu dem Fachwissen darin besitzen, werden zusätzliche Modifikationen, Anwendungen und Ausführungen innerhalb des Schutzbereiches erkennen und zusätzliche Felder, in denen Ausführungen der vorliegenden Erfindung von signifikanter Nützlichkeit wären.

Bezugnehmend in der Beschreibung auf „ein Ausführungsbeispiel”, „das Ausführungsbeispiel” oder „ein anderes Ausführungsbeispiel” der vorliegenden Erfindung meint, dass ein besonderes Merkmal in der Struktur oder ein Charakteristikum des in Verbindung mit dem Ausführungsbeispiel beschrieben ist, in wenigstens einem in einer Ausführung der vorliegenden Erfindung enthalten ist. Daher ist das Auftreten der Phrase „in einem Ausführungsbeispiel” oder „in dem Ausführungsbeispiel” das an verschiedenen Orten während der Beschreibung auftaucht, nicht notwendigerweise jeweils auf das gleiche Ausführungsbeispiel bezogen.

Ausführungen der vorliegenden Erfindung werden auf ein System und ein Verfahren gerichtet zum Schaffen von Nutzerzertifikatvergabe, Verteilung und zum Zur-Verfügung-Stellung in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk. Dies wird durch Übertragen eines öffentlichen Schlüssels gewährleistet, der auf einer einem Nutzer zur Verfügung stehenden Recheneinheit an eine mobile Einrichtung übertragen wird, und dann veranlassen des Mobilgeräts dazu, den öffentlichen Schlüssel an eine Mobilnetzwerkinfrastrukturzertifizierung zu senden. Ein Zertifikat, das den öffentlichen Schlüssel in sich trägt, wird dann an das Mobilgerät und die persönliche Recheneinrichtung erteilt, um zu ermöglichen, den Teilnehmer zu authentifizieren, wenn er den WWAN-WLAN-Dienstleistungen in dem konvergierten Netzwerk über die Mobileinrichtung oder die persönliche Recheneinrichtung nutzt. Applikationen können das Zertifikat und Schlüsselpaar für digitale Signaturen, zur Verifikation und zu Verschlüsselungszwecken nutzen. Das Zertifikat kann auch wechselseitige Authentifizierung ermöglichen.

Dadurch erlauben Ausführungen der vorliegenden Erfindung es Recheneinrichtungen, in konvergierten WWAN-WLAN zusammenarbeitenden Netzwerken eine Hauptrolle im zum Zur-Verfügung-Stellen von Nutzerzertifikaten zu spielen. Durch eine nahtlose Zertifikaterzeugung zum Zur-Verfügung-Stellen erstreckt sich der Bereich der drahtlosen Teilnehmerzertifikate außerhalb des WWAN-Netzwerkes in die WLAN-Netzwerke zu den SIM (Suscriber-Identity-Module), USIM (UMTS(Universal Mobile Telephone System)-SIM), oder RUIM (Removable User Identiy Module) zu Rechnereinrichtungen wie auch zu Rechnereinrichtungen ohne SIMs, USIMs oder RUIMs. Die Unterstützung von Nichtmobileinrichtungen wie Laptops, Notebooks und anderen Rechnereinrichtungen ist für WLAN-Zugang notwendig, wobei die Rechnereinrichtung eine komfortablere Plattform gegenüber einer Mobilfunkeinrichtung ist (z. B.: mehr Speicher, größeren Bildschirm).

Obwohl Ausführungen der vorliegenden Erfindung zur Benutzung in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk beschrieben sind, ist die Erfindung nicht auf konvergierte WWAN-WLAN zusammenarbeitende Netzwerke beschränkt. Ein Fachmann würde wissen, dass Ausführungen der Erfindung gleichzeitig auf andere Typen von Netzwerken anwendbar sind, die heutzutage oder in der Zukunft konvergieren, um ein zusammenarbeitendes Netzwerk zu bilden.

1 zeigt ein Diagramm, das ein beispielhaftes System 100 zum Schaffen von Nutzerzertifikaterstellung, Verteilung und zum Zur-Verfügung-Stellung in einem konvergierten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung illustriert. Das System 100 umfasst ein WWAN-Netzwerk 102 und ein WLAN-Netzwerk 104. Beide, des WWAN-Netzwerk 102 und das WLAN-Netzwerk 104 können durch einen einzigen Dienstleistungsanbieter betrieben und besessen werden, wie zum Beispiel einem Telekommunikationsbetreiber, der dazu in der Lage ist, WWAN-Dienstleistungen und WLAN-Dienstleisungen anzubieten. Das WWAN-Netzwerk 102 umfasst ein mobiles Terminal 106, das WWAN-Zugang und Unterstützung bietet. Das WLAN-Netzwerk 104 umfasst einen PC 108, der WLAN-Zugang und Unterstützung bietet. Sowohl das WWAN-Netzwerk 102 und das WLAN-Netzwerk 104 erlauben jeweils dem mobilen Terminal 106 und dem PC 108 Zugang auf das Internet 124 oder andere Netzwerke, wie zum Beispiel Firmennetzwerke. In Ausführungsbeispielen der vorliegenden Erfindung werden das mobile Terminal 106 und der Personalcomputer 108 durch den gleichen Nutzer betrieben.

Obwohl Ausführungen der vorliegenden Erfindung unter Benutzung eines mobilen Terminals und eines Personalcomputers beschrieben werden, wird ein Fachmann wissen, dass ein Nutzer mehrere mobile Terminals oder mehrere Personalcomputer nutzend, das Userzertifikat zu jedem mobilen Terminal oder jedem Personalcomputer verteilen kann, um die Benutzung eines einzigen Nutzerzertifikats durch jedes Gerät, das von dem Nutzer genutzt wird, zu ermöglichen.

Eine Nachschalt-Infrastruktur 114 für einen Telekommunikationsdienstleister ist in 1 dargestellt. Die Nachschalt-Infrastruktur 114 umfasst unter anderem ein HLR-Register (home location register) 116. HLR 116 umfasst eine Hauptdatei mit der permanenten Teilnehmerinformation beider Netzwerke 102 und 104. HLR 116 umfasst die jeweilige Nutzerinformation wie zum Beispiel Name, Adresse, Status des Teilnehmerkontos, Vorlieben, usw. HLR 116 umfasst weiter einen BSC – Steuerelement (base station controller) 118, einen HSS – Server (home subscriber server) 120 und ein PKI – Portal (public key infrastructure portal) für öffentliche Schlüssel, 122.

BSC 118 schafft Kontrollfunktionen und physikalische Verbindungen zwischen einem Mobilfunknetzwerkschaltzentrum (MSC) (nicht dargestellt) und einer Basisübertragungsstation (z. B. einer Radioinstallation) (nicht dargestellt).

HSS 120 speichert neue Parameter in dem Nutzerprofil, das unter Benutzung einer Bootstrappingfunktion zugeordnet ist. Bootstrapping (Urladen) ist ein wohlbekanntes Verfahren, das in dem sicheren Handhaben von Information zu oder von entfernten drahtlosen Geräten benutzt wird, wie z. B. aber nicht beschränkt auf, GSM 03.48. In Ausführungsbeispielen der vorlegenden Erfindung kann Bootstrapping dazu genutzt werden, Information, wie zum Beispiel den public key an HSS 120 der Nachschaltinfrastruktur 114 zu schieben, um in das Zertifikat eingesetzt zu werden. Bootstrapping kann auch dazu genutzt werden, das Zertifikat zum Mobilterminal 106 und danach zum PC 108 zu verteilen. Wie im Vorangehenden beschrieben, kann Bootstrapping in Ausführungen, in denen ein Teilnehmer eine Vielzahl von mobilen Terminals oder Personalcomputern besitzt, auch dazu genutzt werden, dass das Nutzerzertifikat zu jedem Mobilterminal und danach jedem Personalcomputer zu verteilen.

Das PKI-Portal 122 umfasst eine Sammlung von Zertifikaten. Alle diese Zertifikate, die durch den Telekommunikationsanbieter 114 erzeugt werden, werden in dem PKI-Portal 122 gespeichert.

Personalcomputer 108 umfassen unter anderem, einen Schlüsselpaargenerator 110 und eine sichere Speichereinheit 112. Der Personalcomputer 108 kann dabei ein Laptop, ein Notebook, eine Workstation oder eine andere Computereinrichtung sein, die dazu in der Lage ist, WLAN-Unterstützung zu bieten.

Der Schlüsselpaargenerator 110 erlaubt es dem Personalcomputer 108, eine Hauptrolle in dem zum Zur-Verfügung-Stellen von Benutzerzertifikaten zu spielen. Der Schlüsselpaargenerator 110 schafft einen sicheren und zuverlässigen Weg ein Schlüsselpaar zu erzeugen. Das Schlüsselpaar umfasst sowohl einen öffentlichen Schlüssel, wie auch einen privaten Schlüssel. Das Schlüsselpaar kann unter Benutzung von Hardware, Software oder über eine smart card erzeugt werden.

Zum Beispiel kann das Schlüsselpaar unter Benutzung eines vertrauenswürdigen Plattformmoduls (TMP – trusted platform module) erzeugt werden, die auf den Personalcomputer 108 implementiert ist. Die TPM schafft Hardware-basierten Schutz der Verschlüsselung und der digitalen Signaturschlüssel, die die Vertraulichkeit der Nutzerdaten sichern. Die TPM schützt Verschlüsselungsschlüssel und Plattformauthentifikationsinformation vor softwarebasierten Angriffen, indem sie sie in Hardware sichert.

Wie im Vorstehenden dargestellt, kann das Schlüsselpaar auch unter Benutzung von Software zum Beispiel CAPI (Cryptographic Application Program Interface), die von der Microsoft Corporation hergestellt wurde, erzeugt werden. In anderen Ausführungsbeispielen kann eine smart card auch dazu benutzt werden, ein Schlüsselpaar in üblicher Weise zu erzeugen. Wie im Nachfolgenden diskutiert werden wird, kann der öffentliche Schlüsselabschnitt des Schlüsselpaars dazu benutzt werden, das Zertifikat in dem konvergierten Netzwerk zu erzeugen.

Die sichere Speichereinheit 112 schafft sichere Mittel zum Speichern des privaten Teils des Schlüsselparts. Die sichere Speichereinheit 112 speichert auch das Zertifikat, das durch die Nachschaltinfrastruktureinheit 114 erzeugt wurde.

Das System 100 schafft eine drahtgebundene oder drahtlose lokale Verbindung 126 zwischen dem Mobilterminal 104 und einem Personalcomputer 108, um Daten zwischen die Mobilterminal 104 und dem Personalcomputer 108 zu übertragen. Die lokale Verbindung 126 kann drahtlose Technologien wie z. B. Bluetooth, IrDA, oder andere Typen drahtloser Technologien umfassen, die dazu benutzt werden können, mobile Terminals mit Personalcomputer kommunizieren zu lassen. Die lokale Verbindung 126 kann auch drahtgebundene Technologien wie z. B. ein USB-Kabel, ein serielles Kabel, ein Ethernet-Kabel oder jedes andere Kabel umfassen, das dazu benutzt werden kann, Kommunikationen zwischen einem mobilen Terminal und einem Personalcomputer zu ermöglichen.

Ausführungsbeispiele der vorliegenden Erfindung erlauben den Betreibern und Dienstleistungsanbietern die Fähigkeit, den Abonnenten anzubieten, eine globalen Abrechnung und die Benutzung von existierenden Netzwerkinfrastrukturen in einem konvergierten zusammenarbeitenden Netzwerk einfach zu nutzen. Durch Schaffen eines einzigen Zertifikats zum Zugang an WWAN und WLAN Dienste können mobile Terminals und Personalcomputer ein gemeinsames Netzwerkauthentifikationsverfahren haben. Auch können mobile Personalcomputer, wie z. B. Laptops oder Notebooks mit der Fähigkeit der Nutzung in anderen Zonen (Roaming) versehen werden, etwas was traditionell nur durch drahtlose Telefone genutzt werden konnte.

Um Dienstleistungen eines der Netzwerke (WWAN Netzwerk 102 oder WLAN Netzwerk 104) zu nutzen, müssen die Abonnenten dazu in der Lage sein, sich als autorisierte Nutzer des Netzwerkes zu authentifizieren. 2 ist ein Flussdiagramm, das ein beispielhaftes Verfahren 200 zum Schaffen einer Nutzerzertifikatvergabe, zur Verteilung und zum Zur-Verfügung-Stellen in einem konvergenten WWAN-WLAN zusammenarbeitenden Netzwerk nach einem Ausführungsbeispiel der vorliegenden Erfindung ist. Die Erfindung ist nicht auf das Ausführungsbeispiel, das in Bezug auf das Flussdiagramm 200 beschrieben ist, begrenzt. Es wird statt dessen einem Fachmann der entsprechenden Fachgebiete nach einem Lesen der Lehre, die hierin beschrieben ist, offenbar, dass andere Flussdiagramme sich innerhalb des Schutzbereichs der Erfindung befinden können. Das Verfahren wird aus der Perspektive eines Personalcomputers 108, eines Mobilterminals 106 und einer zellularen nachgeschalteten Netzwerkinfrastruktur 114 beschreiben. Das Verfahren beginnt bei 202, wo ein sicheres und zuverlässiges Schlüsselpaar auf dem Personalcomputer 108 erzeugt wird. Das Schlüsselpaar kann über Hardware, Software oder einer Smartcard wie oben beschrieben erzeugt werden. Der private Schlüsselabschnitt des Schlüsselpaares wird in der sicheren Speichereinheit 112 gespeichert.

Beo Bezugszeichen 204 kann ein Nutzer (z. B. ein Abonnent) oder eine Applikation das Verfahren des Erzeugens und Verteilens eines Nutzerzertifikats starten. Bei Bezugszeichen 206, wird ein öffentlicher Schlüssel von dem Schlüsselpaar aus der Recheneinheit 108 an das Mobilterminal 106 über den ortsbegrenzten (location limited) Kanal 126 übertragen. Wie oben dargestellt, wird der ortsbegrenzte Kanal 126 ein drahtgebundener oder eine drahtloser ortsbegrenzter Kanal sein, der das Mobilterminal 106 in die Lage versetzt, mit der Recheneinrichtung 108 zu kommunizieren.

Bei 208 führt das Mobilterminal 106 eine Bootstrapping-Vorgang mit dem Mobilfunk-Zell-Betreiber durch Absenden des public key an die Nachschaltinfrastruktur 114 aus. Der Nutzer muss den Bootstrapvorgang autorisieren. In einem Ausführungsbeispiel ist der Bootstrapvorgang dadurch autorisiert, dass der Nutzer veranlasst wird, eine PIN (personal identifikation number), die er von dem Netzbetreiber erhalten hat, in das Mobilterminal 106 einzugeben.

Der Bootstrappingvorgang ermöglicht es der Nachschaltinfrastruktur 114, ein Nutzerzertifikat für den öffentlichen Schlüssel zu erzeugen und das Nutzerzertifikat an das Mobilterminal 106 mit Schritt 210 zu verteilen. Das Nutzerzertifikat kann auf dem Mobilterminal 106 bei 212 gespeichert werden. In einem Ausführungsbeispiel kann das Zertifikat auf dem Mobilterminal 106 über eine SIM-Karte gespeichert werden. Das Speichern des Nutzerzertifikats auf dem Mobilterminal 106 ermöglicht die WWAN Authentifizierung und den Zugriff auf Dienste, die durch das WWAN Netzwerk 102 (bei Schritt 213) angeboten werden. In einem Ausführungsbeispiel kann ein Zertifikat des Netzbetreibers auch auf der SIM-Karte erhalten und installiert sein.

In 214 wird das Nutzerzertifikat (und das Zertifikat eines Netzwerkbetreibers, wenn ein solches erhalten wurde) an die Recheneinrichtung 108 über einen drahtgebundenen oder drahtlosen Kanal 126 übertragen. In einem Ausführungsbeispiel, wo der Abonnent eine Vielzahl von mobilen Terminals 106 und/oder eine Vielzahl von Recheneinrichtungen 108 besitzt, kann das Nutzerzertifikat über die übrigen Mobilterminals 106 und Recheneinrichtungen 108 ebenso übertragen werden.

In 216 ist das Nutzerzertifikat auf einer Recheneinrichtung 108 installiert. In einem Ausführungsbeispiel kann das Nutzerzertifikat durch Speichern des Zertifikates in der TPM, dem vertrauenswürdigen Plattformmodul (z. B. einer sicheren Speichereinheit 112), installiert werden. In einem anderen Ausführungsbeispiel kann das Nutzerzertifikat über einen softwarebasierten Speichervorgang installiert werden. Wieder ein anderes Ausführungsbeispiel nutzt ein Nutzerzertifikat, das in einer smart card des Benutzers installiert ist. In einem weiteren Ausführungsbeispiel kann das Nutzerzertifikat auf einer SIM-Karte bespeichert sein. Wenn das Netzbetreiberzertifikat ebenso erhalten wurde, kann es auf einer Recheneinrichtung, einer smart card oder SIM-Karte installiert werden.

In 218 kann die Anwendung das Zertifikat und das Schlüsselpaar für digitale Signatur, Verifikation und/oder Verschlüsselungszwecke nutzen. In einem Ausführungsbeispiel, wo dar Netzbetreiberzertifikat ebenso erhalten und installiert wurde, können die Anwendungen es auch zum Überprüfen digitaler Signaturen nutzen. Das Netzbetreiberzertifikat wird auch die gleichzeitige Authentifizierung ermöglichen, die Fachleuten wohl bekannt ist.

In einem anderen Ausführungsbeispiel kann der Nutzer die Zertifikate nutzen, um Dokumente zu signieren, emails oder dgl., oder um emails oder andere Typen von Dokumenten zu verifizieren, emails und andere Typen von Dokumenten zu verschlüsseln, e-commerce (Onlinehandel) durchzuführen usw. Das sichere und zuverlässige Schlüsselpaar kann auch dazu genutzt werden, sichere WLAN Vorgänge durchzuführen.

Obwohl Ausführungen der vorliegenden Erfindung zum Erzeugen und Verteilen eines Nutzerzertifikats beschrieben wurden, ist die Erfindung nicht auf das einzelne Erhalten eines Zertifikats beschränkt. In Ausführungsbeispielen der Erfindung können ebenso auch mehr als ein Zertifikat an einen Nutzer erzeugt und verteilt werden.

Bestimmte Aspekte und Ausführungen der vorliegenden Erfindung können unter der Benutzung von Hardware, Software oder einer Kombination dieser implementiert werden und können in einem oder mehreren Computersystemen oder anderen Verarbeitungssystemen implementiert werden. Tatsächlich können in einem Ausführungsbeispiel die Verfahren in Programmen implementiert werden, die auf programmierbaren Maschinen, wie mobilen oder stationären Computern, PDAs (personal digital assistants), Set-top-Boxen, Mobiltelefonen und Pagern und anderen elektronischen Einrichtungen ablaufen, die einen Prozessor, ein Speichermedium, das von dem Prozessor lesbar ist (inklusive flüchtige und nicht-flüchtige Speicher und/oder Speicherelemente), und wenigstens eine Eingabeeinrichtung und eine oder mehrere Ausgabeeinrichtungen aufweisen. Das Computerprogramm wird dann auf die Daten angewendet, die unter Nutzung einer Eingabeeinrichtung eingegeben wurden, um die beschriebenen Funktionen durchzuführen und Ausgabeinformation zu erzeugen. Die Ausgabeinformation kann dann einer oder mehreren Ausgabeeinrichtungen zugeführt werden. Ein Durchschnittsfachmann kann erkennen, dass Ausführungen der Erfindung mit verschiedenen Computersystemkonfigurationen inklusive Mehr-Prozessorsystemen, Minicomputern, Großrechenanlagen und dgl. ausgeführt werden kann. Ausführungen der Erfindung können auch in DCE-Umgebungen (distributed computing environments) ausgeführt werden, in denen Anwendungen durch nachgeschaltete Recheneinrichtungen durchgeführt werden, die über ein Kommunikationsnetzwerk miteinander verbunden sind.

Jedes Programm kann in einer Hochsprache oder einer objektorientierten Programmsprache implementiert werden, um mit einem Verarbeitungssystem zu kommunizieren. Jedoch können Programme, wenn erforderlich, in Assembler oder Maschinensprache implementiert werden. Auf jeden Fall kann die Sprache kompiliert oder interpretiert werden.

Programmbefehle können dazu benutzt werden, ein Allzweck- oder für einen Spezialzweck vorgesehenes Verarbeitungssystem, das mit speziellen Instruktionen programmiert ist, zu veranlassen, die hierin beschriebenen Verfahren auszuführen. Alternativ können die Verfahren durch spezifisch vorgesehene Hardwarekomponenten durchgeführt werden, die verdrahtete Logik zum Durchführen der Verfahren umfassen, oder durch jede Kombination von programmierter Computerkomponenten und speziell vorgesehenen Hardwarekomponenten. Die Verfahren, die hierin beschrieben werden, können als Computerprogrammprodukt vorgesehen werden, dass ein maschinenlesbares Medium umfasst, das in sich die Befehle gespeichert hat, die das Programm veranlassen, ein Verarbeitungssystem oder eine andere elektronische Einrichtung zu steuern, um die Verfahren durchzuführen. Der Begriff „maschinenlesbares Medium” oder „maschinenzugängliches Medium”, der hierin benutzt wird, soll jedes Medium umfassen, das dazu in der Lage ist, eine Folge von Befehlen zu speichern und zu verschlüsseln, zur Ausführung durch die Maschine und die die Maschine dazu veranlassen, eines der hierin beschriebenen Verfahren durchzuführen. Der Ausdruck „maschinenlesbares Medium” und „maschinenzugängliches Medium” soll entsprechend Festkörperspeicher, optische und magnetische Platten und eine Trägerwelle umfassen, die ein Datensignal verschlüsselt, aber nicht darauf beschränkt sein. Weiter ist es in dem Stand der Technik üblich, von Software zu sprechen in einer Form oder einer anderen (z. B. einem Programm, einem Verfahren, einem Prozess, einer Anwendung, einem Modul, einer Logik, usw.) für das Veranlassen einer Tätigkeit oder das Erzeugen eines Ergebnisses. Solche Ausdrücke sind lediglich eine Kurzbezeichnung, die das Ausführen von Software durch ein Verarbeitungssystem bedeutet, die den Prozessor veranlaßt, eine Aktion durchzuführen, oder ein Resultat zu erzeugen.

Während verschiedene Ausführungen der vorliegenden Erfindung im Obigen beschrieben wurden, wird darauf hingewiesen, dass diese nur beispielhaft dargestellt wurden und nicht schutzbegrenzend. Es wird darauf hingewiesen, dass ein Fachmann verschiedene Änderungen in Form und Einzelheiten hiervon machen kann, ohne aus dem Geist- und Schutzbereich der Erfindung, wie sie durch die angefügten Ansprüche beschrieben sind, abzuweichen. Daher wird die Breite und der Schutzbereich der vorliegenden Erfindung nicht durch eines der oben beschriebenen beispielhaften Ausführungsbeispiele begrenzt, sondern sollte durch die nachfolgenden Ansprüche und deren Äquivalente definiert sein.