[go: up one dir, main page]

DE60035953T2 - Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers - Google Patents

Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers Download PDF

Info

Publication number
DE60035953T2
DE60035953T2 DE60035953T DE60035953T DE60035953T2 DE 60035953 T2 DE60035953 T2 DE 60035953T2 DE 60035953 T DE60035953 T DE 60035953T DE 60035953 T DE60035953 T DE 60035953T DE 60035953 T2 DE60035953 T2 DE 60035953T2
Authority
DE
Germany
Prior art keywords
stationary unit
security association
unit
stationary
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60035953T
Other languages
English (en)
Other versions
DE60035953D1 (de
Inventor
Martin Rinman
Dan Jerrestam
Yi Cheng
Lars BJÖRUP
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of DE60035953D1 publication Critical patent/DE60035953D1/de
Publication of DE60035953T2 publication Critical patent/DE60035953T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Transceivers (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft drahtlose Telekommunikationssysteme und/oder -Netze, wie etwa drahtlose Lokalbereichs-Netze (LANs, local area networks) und mobile Internetprotokoll-(IP)-Systeme. Insbesondere betrifft die vorliegende Erfindung die Wiederverwendung von Sicherheitszuordnungen, wenn eine Mobileinheit oder ein Mobilendgerät einen Handover von einer stationären Einheit in dem Netz zu einer anderen durchläuft.
  • HINTERGRUND
  • Mit der schnellen Entwicklung von drahtlosen und Mobilkommunikationstechnologien haben Kommunikationssicherheitsangelegenheiten, wie etwa eine Benutzerauthentifizierung, eine Verkehrs-Privatsphäre und eine Nachrichtenintegrität große Bedeutung erlangt. Als Reaktion werden nun eine Anzahl von Internet-Engineering-Task-Force-(IETF)-Sicherheitsprotokollstandards, wie etwa das Internet-Key-Exchange-(IKE, Internet-Schlüsselaustausch)-Protokoll, das Internet-Sicherheitszuordnungs- und Schlüsselverwaltungs-Protokoll (ISAKMP), und die Internetprotokoll-Sicherheit IPSEC) in verschiedenen drahtlosen LAN und Mobil-IP-Umgebungen eingesetzt.
  • Das IKE-Protokoll wurde ausgelegt, um einen Mechanismus für zwei oder mehrere kommunizierende Parteien bereitzustellen, wie etwa eine Mobileinheit (MU) und eine stationäre Netzeinheit (SU), um verschiedene Sicherheitsdienste und Sicherheitszuordnungen auszuhandeln. Ein Sicherheitsdienst ist ein Verfahren oder eine Einrichtung zum Bereitstellen eines Schutzes für die Kommunikation zwischen den zwei oder mehreren Parteien, wohingegen eine Sicherheitszuordnung (SA) eine Beziehung zwischen zwei oder mehreren kommunizierenden Parteien ist, welche definiert, wie die Parteien die vereinbarten Sicherheitsdienste ausführen werden. Eine Sicherheitszuordnung wird tatsächlich durch einen Satz von Attributen definiert, wie etwa einen Authentifizierungsalgorithmus, einen Authentifizierungsschlüssel, einen Verschlüsselungsalgorithmus, einen Verschlüsselungsschlüssel und eine SA-Lebensdauer, welche die Zeitperiode darstellt, während der die entsprechende SA gültig ist. Wie der Fachmann erkennen wird, müssen die SAs ausgehandelt werden, und bevor die zwei oder mehreren Parteien sichere Kommunikationen beginnen können, wird die Prozedur zum Aushandeln von Sicherheitsdiensten und SAs in Übereinstimmung mit dem IKE-Protokoll in zwei Phasen erreicht. In einer ersten Phase (d.h. einer Phase 1) handeln die kommunizierenden Parteien die ISAKMP-SA aus. Die ISAKMP-SA ist definiert durch einen Satz von grundlegenden Sicherheitsattributen, die einen Schutz für nachfolgende ISAKMP-Austausche bereitstellen. In einer zweiten Phase (d.h. einer Phase 2) und unter dem Schutz der ISAKMP-SA handeln die kommunizierenden Parteien die IPSEC SAs, die dem IPSEC-Authentifizierungs-Header-(AH)-Protokoll zugeordnet sind, und/oder das IPSEC-Verkapselungssicherheits-Nutzlast-(ESP)-Protokoll aus. Die IPSEC-Protokolle stellen Sicherheitsdienste für Kommunikationen in der IP-Schicht dar. Wie im Stand der Technik bekannt ist, ist eine spezifische IPSEC-A eindeutig durch einen Sicherheitsparameterindex (SPI), eine Ziel-IP-Adresse und ein IPSEC-Protokoll (d.h. AH oder ESP) definiert.
  • Weil die SAs (d.h. die ISAKMP-SA und die IPSEC SAs) an die aushandelnden Parteien gebunden sind, werden die SAs erneut ausgehandelt, wann immer sich eine Mobileinheit von einem Zugriffspunkt zu einem anderen in einer drahtlosen LAN-Umgebung oder von einem fremden Agenten zu einem anderen in einem mobilen IP-Kontext bewegt. Jedoch ist der IKE-Aushandlungsprozess rechenmäßig intensiv, insbesondere die Phase 1. Dies ist insbesondere mühevoll bei drahtlosen LAN- und mobilen IP-Anwendungen, wo die Mobileinheit einen Handover von einer SU zu einer anderen häufig durchläuft, und wo die MU begrenzte Rechenleistung aufweist. Unter derartigen Bedingungen wird das gesamte System-Betriebsverhalten außergewöhnlich schlecht sein, da ein beträchtlicher Teil der Zeit für ein erneutes Aushandeln von SAs anstelle für ein Kommunizieren verwendet werden muss.
  • Das US-Patent 5,243,653 offenbart ein Verfahren und eine Einrichtung zum Steuern eines Sicherheitsdienstes, wobei sich konstant ändernde Weiterführungsdaten während eines Kanalwechsels zwischen stationären Einheiten weitergeleitet werden, dass ein Verschlüsselungs- oder Entschlüsselungsprozess ohne Unterbrechung andauern kann.
  • Das US-Patent 5,293,423 offenbart einen Sicherheitsdienst, wobei während eines Anruf-Handovers in einer Zeitteilungs-Mehrfachzugriffs-Umgebung ein Chiffrieren durch eine Bereitstellung einer Information zwischen Basisstationen einer variablen Anzeige darüber aufrechterhalten wird, für wie viele Rahmenperioden ein Chiffrieren während dem Handover aufhören wird. Das Chiffrieren wird dann nach der vereinbarten Anzahl weggelassener Rahmen erneut begonnen.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die der Erfindung zugrunde liegende Aufgabe besteht darin, eine Technik bereitzustellen, die das Betriebsverhalten einer Mobileinheit (MU) in einer drahtlosen LAN- oder Mobil-IP-Umgebung insbesondere während eines Handovers verbessert. Die vorliegende Erfindung löst dies durch ein Wiederverwenden statt ein Neuaushandeln der Sicherheitszuordnungen (SAs), die der MU entsprechen, sobald die MU weitergereicht wird. Durch ein Wiederverwenden der SAs wird weniger Zeit zum Aushandeln von SAs verbraucht. Folglich kann eine MU sichere Kommunikationen nahezu unmittelbar beginnen, nachdem sie von einer SU zu einer weiteren SU weitergereicht wurde.
  • Dementsprechend ist es eine Aufgabe der vorliegenden Erfindung, eine effizientere Weise bereitzustellen, um SAs während eines Handovers zu benutzen.
  • Es ist eine weitere Aufgabe der vorliegenden Erfindung, die Latenzperiode zwischen der Zeit, in der eine MU zu einer stationären Einheit weitergereicht wird, und der Zeit zu verringern und/oder zu minimieren, zu der die MU sichere Kommunikationen mit der stationären Einheit beginnen kann.
  • Es ist noch eine weitere Aufgabe der vorliegenden Erfindung, das Betriebsverhalten einer MU durch einen nahtlosen Handover allgemein zu verbessern.
  • Es ist noch eine weitere Aufgabe der vorliegenden Erfindung, einen erforderlichen Pegel eines Betriebsverhaltens aufrechtzuerhalten, ohne eine Kommunikationssicherheit zu opfern.
  • In Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung werden die oben identifizierten und andere Aufgaben durch ein Verfahren und/oder eine Vorrichtung zum Erreichen eines Handovers einer Mobileinheit von einer ersten stationären Einheit zu einer zweiten stationären Einheit gelöst. Das Verfahren bringt ein Trennen der Mobileinheit von der ersten stationären Einheit und danach ein Verbinden der Mobileinheit mit der zweiten stationären Einheit mit sich. Das Verfahren bringt auch ein Wiederverwenden einer existierenden Sicherheitszuordnungen mit sich, um die Verbindung zwischen der Mobileinheit und der zweiten stationären Einheit zu unterstützen, wobei die existierende Sicherheitszuordnung zuvor verwendet wurde, um die Verbindung zwischen der Mobileinheit und der ersten stationären Einheit zu unterstützen.
  • In Übereinstimmung mit einer weiteren Ausführungsform der vorliegenden Erfindung werden die oben identifizierten und andere Aufgaben mit einem Verfahren und/oder einer Vorrichtung zum Einrichten eines Handovers einer Mobileinheit von einer ersten stationären Einheit zu einer zweiten stationären Einheit gelöst. Spezifischer bringt das Verfahren ein Trennen der Mobileinheit von der ersten stationären Einheit und danach ein Verbinden der Mobileinheit mit der zweiten stationären Einheit mit der zweiten stationären Einheit mit sich. Das Verfahren bringt dann ein Wiederverwenden einer existierenden Sicherheitszuordnung mit sich, um die Verbindung zwischen der Mobileinheit und der stationären Einheit zu unterstützen, wobei die existierende Sicherheitszuordnung zuvor verwendet wurde, um sichere Kommunikationen für eine Verbindung zwischen der Mobileinheit und einer dritten stationären Einheit sicherzustellen, und wobei der dritten stationären Einheit und der zweiten stationären Einheit eine erste Verwaltungsdomäne zugeordnet werden, die eine gemeinsame Sicherheitsstrategie einsetzt.
  • In Übereinstimmung mit noch einer weiteren Ausführungsform der vorliegenden Erfindung werden die oben identifizierten und anderen Aufgaben mit einem Verfahren zum Wiederverwenden von Sicherheitszuordnungen gelöst, um ein Handover einer Mobileinheit zwischen stationären Einheiten zu erleichtern, die einer gemeinsamen Verwaltungsdomäne zugeordnet sind, wobei sämtliche der stationären Einheiten, die der gemeinsamen Verwaltungsdomäne zugeordnet sind, der gleichen Sicherheitsstrategie unterworfen werden. Das Verfahren bringt ein Aushandeln einer ersten Sicherheitszuordnung für eine Verbindung zwischen der Mobileinheit und einer ersten stationären Einheit, die der gemeinsamen Verwaltungsdomäne zugeordnet ist, mit sich. Die Mobileinheit wird dann von der ersten stationären Einheit getrennt, und wird danach mit einer zweiten stationären Einheit, die der gemeinsamen Verwaltungsdomäne zugeordnet ist, verbunden. Ein erster Satz von Sicherheitszuordnungsattributen, die der ersten Sicherheitszuordnung entsprechen, wird dann von der ersten stationären Einheit zu der zweiten stationären Einheit übertragen. Die erste Sicherheitszuordnung kann dann eingesetzt werden, um sichere Kommunikationen für die Verbindung zwischen der Mobileinheit und der zweiten stationären Einheit sicherzustellen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Aufgaben und Vorteile der Erfindung werden durch ein Lesen der folgenden detaillierten Beschreibung in Verbindung mit den Zeichnungen verstanden werden. In den Zeichnungen zeigen:
  • 1 eine erste beispielhafte Ausführungsform der vorliegenden Erfindung;
  • 2 eine zweite beispielhafte Ausführungsform der vorliegenden Erfindung;
  • 3 einen ersten beispielhaften Satz von Sicherheitszuordnungsattributen, die in Übereinstimmung mit der vorliegenden Erfindung übertragen werden;
  • 4 einen zweiten Satz von Sicherheitszuordnungsattributen, die in Übereinstimmung mit der vorliegenden Erfindung übertragen werden; und
  • 5 die Übertragung einer Sicherheitszuordnungs-Attributinformation in Übereinstimmung mit der vorliegenden Erfindung unter Verwendung von Verschlüsselungs- und Authentifizierungstechniken.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Zum besseren Verständnis der Erfindung bezieht sich die folgende detaillierte Beschreibung auf die zugehörigen Zeichnungen, wobei bevorzugte exemplarische Ausführungsformen der vorliegenden Erfindung veranschaulicht und beschrieben sind. Zusätzlich sind die Bezugszeichen, die verwendet werden, um Schlüsselelemente der Erfindung in den Zeichnungen zu identifizieren, durchgehend durch diese Beschreibung konsistent.
  • Die vorliegende Erfindung bringt eine Technik mit sich, die das Betriebsverhalten einer Mobileinheit oder eines Mobilendgeräts (nachstehend bezeichnet als eine "MU") in einem Funktelekommunikationssystem insbesondere während eines Handovers verbessert, wobei die MU getrennt wird von einer ersten stationären Einheit (nachstehend bezeichnet als eine "SUk") und verbunden wird mit einer anderen stationären Einheit (nachstehend bezeichnet als eine "SUk+1"), und wobei SUk und SUk+1 zu einer gemeinsamen Verwaltungsnetzdomäne gehören, die unter der Steuerung einer gemeinsamen Sicherheitsstrategie ist. Die vorliegende Erfindung erreicht dies durch ein Wiederverwenden von einer oder mehreren zuvor eingerichteten Sicherheitsassoziationen, um die neu gebildete Verbindung zwischen der MU und der SUk+1 zu unterstützen. Durch ein Wiederverwenden dieser zuvor eingerichteten Sicherheitszuordnungen müssen die MU und die SUk+1 nicht durch die zeitintensive Aufgabe eines erneuten Aushandelns der Sicherheitszuordnungen (hierein bezeichnet als "SA"s) jedes Mal dann gehen, wenn die MU ihren Verbindungspunkt innerhalb der Verwaltungsdomäne ändert (z.B. ein Handover durchläuft). Die vorliegende Erfindung ist insbesondere dort von Bedeutung, wo die kommunizierenden Einheiten (z.B. die MU und die SUk+1) ein niedriges bis mittleres Niveau an Rechenleistung aufzeigen, und wo die MU insbesondere mobil ist und häufig einen Handover durchläuft.
  • In Übereinstimmung mit der vorliegenden Erfindung werden sämtliche einer Anzahl von stationären Einheiten (SUs), die der gleichen Verwaltungsdomäne zugeordnet sind, und somit unter der Steuerung einer gemeinsamen Sicherheitsstrategie sind, auf eine identische Weise bezüglich der SAs verwaltet, die eingesetzt werden, um die Kommunikation zwischen der MU und den verschiedenen SUs zu schützen. Dementsprechend kann der Satz von SAs, die zwischen der MU und irgendeiner der verschiedenen SUs eingerichtet sind, die zu dieser Verwaltungsdomäne gehören, durch irgendeine der anderen SUs wieder verwendet werden, die dieser Verwaltungsdomäne zugeordnet sind, falls und wenn die MU zu einer dieser anderen SUs übergeben wird. Wie zuvor bemerkt, wird die Wiederverwendung der zuvor eingerichteten SAs das Betriebsverhalten der MU während eines Handovers verbessern, ohne eine Kommunikationssicherheit zu opfern. Jedoch werden in Abhängigkeit von dem Ausmaß, in welchem eine MU-Betriebsverhaltens-Verbesserung gewünscht wird, zwei beispielhafte Ausführungsformen der Erfindung untenstehend hierin beschrieben werden.
  • In Übereinstimmung mit einer ersten beispielhaften Ausführungsform der vorliegenden Erfindung, die hierin bezeichnet wird als eine Ausführungsform mit teilweiser SA-Wiederverwendung, wird eine eingerichtete Internetsicherheitszuordnung und eine Schlüsselverwaltungsprotokoll-(ISAKMP)-SA jedes Mal dann wieder verwendet, wenn die MU zu einer anderen SU (d.h. SUk+1) in der Verwaltungsdomäne übergeben wird. Spezifischer werden, wenn die MU eine Verbindung mit einer SU in der Verwaltungsdomäne zum ersten Mal einrichtet, die Internetschlüsselaustausch-(IKE)-Phase-1-Aushandlung, die zum Einrichten der ISAKMP-SA verwendet wird, und die IKE-Phase-2-Aushandlung, die zum Einrichten der IPSEC-SAs verwendet wird, in Übereinstimmung mit den verschiedenen Standards ausgeführt, die durch die Internet Engineering Task Force (IETF) offenbart sind. Jedoch wird, wenn sich die Mobileinheit herum bewegt und zu einer anderen SU (d.h. SUk+1), die der gleichen Verwaltungsdomäne zugeordnet ist, übergeben wird, die zuvor eingerichtete ISAKMP-SA durch die MU und die SUk+1 wieder verwendet. Nichts desto weniger müssen die MU und die SUk+1 immer noch eine IKE-Phasen-2-Aushandlung durchführen; das heißt, die MU und die SUk+1 müssen die IPSEC-SAs erneut aushandeln. Weil der IKE-Phase-1-SA-Aushandlungsprozess viel zeitintensiver relativ zu dem IKE-Phase-2-Aushandlungsprozess ist, verbessert die Wiederverwendung der ISAKMP-SA in hohem Maße das Betriebsverhalten der MU während eines Handovers.
  • In Übereinstimmung mit einer zweiten beispielhaften Ausführungsform der vorliegenden Erfindung, die hierin bezeichnet wird als die Ausführungsform mit der vollständigen SA-Wiederverwendung, werden die zuvor eingerichtete ISAKMP-SA und die zuvor eingerichtete IPSEC-SA jedes Mal wieder verwendet, wenn die MU einen Handover von einer SU (d.h. SUk) zu einer anderen SU (d.h. SUk+1) in der Verwaltungsdomäne durchläuft. Wie oben stehend bemerkt, werden , wenn die MU sich mit einer SU in der Verwaltungsdomäne zum ersten Mal verbindet, die ISAKMP-SA und die IPSEC-SAs in Übereinstimmung mit den IKE-Phase-1- bzw. IKE-Phase-2-Aushandlungsprozessen eingerichtet. Jedoch führen, anders als bei der oben beschriebenen Ausführungsform, mit der teilweisen SA-Wiederverwendung nachfolgende Handovers zu der Wiederverwendung von sowohl der zuvor eingerichteten ISAKMP-SA als auch der zuvor eingerichteten IPSEC-SAs. Somit wird der gesamte IKE-SA-Aushandlungsprozess einschließlich Phase-1 und Phase-2 vermieden. Deswegen können die MU und die SUk+1 miteinander zu kommunizieren beginnen, nahezu unmittelbar, nachdem die ISAKMP-SA und die IPSEC-SAs von der SUk zu der SUk+1 übertragen sind. Folglich wird die Handover-Prozedur auf eine nahtlose oder nahezu nahtlose Weise erreicht.
  • Im Allgemeinen stellt die Ausführungsform mit der vollständigen SA-Wiederverwendung eine größere MU- Betriebsverhaltensverbesserung während eines Handovers bereit, als dies die Ausführungsform mit der teilweisen SA-Wiederverwendung tut. Dies liegt daran, dass die MU und die SUk+1 nicht erneut irgendwelche SAs aushandeln müssen. Wann dann könnte es ein Netzadministrator wünschen, die Ausführungsform mit der teilweisen SA-Wiederverwendung gegenüber der Ausführungsform mit der vollständigen SA-Wiederverwendung zu implementieren? Ein Grund kann darin liegen, dass der Netzadministrator es nicht wünscht, dass die verschiedenen SUs, die einer Verwaltungsdomäne zugeordnet sind, die gleichen Sitzungsschlüssel (d.h. Verschlüsselungs- und Authentifizierungsschlüssel), wie sie durch die IPSEC-SAs spezifiziert sind, teilen. Wenn beispielsweise sämtliche der SUs, die der Verwaltungsdomäne zugeordnet sind, die gleichen Sitzungsschlüssel teilen und nur eine der SUs beeinträchtigt ist, kann ein Angreifer wahrscheinlich Kommunikationen zwischen der MU und jedweder der SUs, die der Verwaltungsdomäne zugeordnet sind, beeinträchtigen.
  • Wie zuvor bemerkt, wird eine spezifische IPSEC-SA eindeutig durch einen Sicherheitsparameterindex (SPI) in Kombination mit einer Ziel-IP-Adresse und ein bestimmtes Sicherheitsprotokoll (z.B. das Authentifizierungs-Header-Protokoll oder das Verschlüsselungs-Sicherheitsnutzlast-Protokoll) identifiziert. Als solche wird eine gemeinsame IP-Adresse für sämtliche SUs in der Verwaltungsdomäne benötigt, um eine IPSEC-SA wieder zu verwenden. In Übereinstimmung der Ausführungsform mit der vollständigen SA-Wiederverwendung kann diese IP-Adresse jeder SU als eine Alias-IP-Adresse zugewiesen werden. Jedoch kann es ein Netzadministrator unter bestimmten Umständen wünschen, eine gemeinsame IP-Adresse jeder SU zuzuweisen. Wenn dies der Fall ist, wünscht der Netzadministrator wahrscheinlich die Ausführungsform mit der teilweisen SA-Wiederverwendung eher als die Ausführungsform mit der vollständigen SA-Wiederverwendung.
  • Wenn eine MU von einer SU (z.B. SUk) zu einer anderen SU (z.B. SUk+1) übergeben wird, müssen die SA-Attribute, die der ISAKMP-SA entsprechen, und die SA-Attribute, die den IPSEC-SAs entsprechen, in Abhängigkeit davon, ob die Ausführungsform mit der teilweisen SA-Wiederverwendung oder die Ausführungsform mit der vollständigen SA-Wiederverwendung eingesetzt wird, von der SUk zu der SUk+1 übertragen werden. Diese Übertragung von SA-Attributen von der SUk zu der SUk+1 kann in Übereinstimmung mit einer Anzahl von beispielhaften Techniken erreicht werden.
  • 1 veranschaulicht eine derartige Technik, die hierin als die direkte Übertragungstechnik bezeichnet wird. Gemäß der direkten Übertragungstechnik durchläuft eine MU 101 einen Handover von der SUk 105 zu der SUk+1 110, wie durch den Richtungspfeil, der mit "1" markiert ist, veranschaulicht. Als nächstes kontaktiert die SUk+1 110 die SUk 105 durch ein Senden einer SA-Anforderungsnachricht, wie durch den Richtungspfeil veranschaulicht, der mit "2" markiert ist. Die SA-Anforderungsnachricht fordert spezifisch jene SAs an, die der MU 101 zugeordnet sind. Dementsprechend muss die SA-Anforderungsnachricht einen Identifizierercode für die MU 101 enthalten. Die SUk 105 antwortet dann auf die SA-Anforderungsnachricht durch ein Senden der geeigneten SA-Attribute zu der SUk+1 110, wie durch den Richtungspfeil veranschaulicht, der mit "3" markiert ist.
  • Zusätzlich zu den Prozessschritten, die oben stehend beschrieben sind, kann die direkte Übertragungstechnik, die in 1 veranschaulicht ist, auch den Schritt eines Verifizierens mit sich bringen, dass die SUk zu der gleichen Verwaltungsdomäne wie die SUk+1 gehört. Um dies zu erreichen, kann jede SU, die der Verwaltungsdomäne zugeordnet ist, eine Liste aufrechterhalten, die sämtliche IP-Adressen, die der Verwaltungsdomäne zugeordnet sind, enthält. Die SUk+1 kann dann die erforderliche Verifikation durch ein einfaches Überprüfen durchführen, um zu sehen, ob die IP-Adresse, die der SUk zugeordnet ist, auf der Liste ist. Alternativ kann, wenn die Verwaltungsdomäne einem IP-Netz oder Unternetz entspricht, die SUk+1 einfach den Netzidentifikationsabschnitt der IP-Adresse der SUk mit dem Netzidentifikationsabschnitt ihrer eigenen IP-Adresse vergleichen. Wenn sie übereinstimmen, hat die SUk+1 verifiziert, dass die SUk tatsächlich zu der gleichen Verwaltungsdomäne gehört. Wenn die SUk+1 bestimmt, dass die SUk nicht zu der gleichen Verwaltungsdomäne gehört, dann kann es erforderlich sein, dass die MU und die SUk+1 die ISAKMP-SA und die IPSEC-SAs erneut aushandeln, außer die Attribute, die der ISAKMP-SA und den IPSEC-SAs zugeordnet sind, wurden beispielsweise in einer Datenbank, wie in 2 veranschaulicht, und einer vorherigen Verbindung zwischen der MU und irgendeiner der SUs, die der Verwaltungsdomäne zugeordnet sind, zu welcher die SUk+1 gehört, wurden gespeichert.
  • 2 veranschaulicht eine alternative Technik zum Übertragen der geeigneten SA-Attribute. Diese alternative Technik wird hierin als die Zwischenspeichertechnik bezeichnet. Die Zwischenspeichertechnik kann vorzuziehen sein, wo die Netzkonfiguration es erschwert, die SUk zu identifizieren, oder wenn eine direkte Kommunikation zwischen der SUk und der SUk+1 schwierig oder unerwünscht ist. In Übereinstimmung mit dieser alternativen Technik, wie sie in 2 gezeigt ist, durchläuft eine MU 201 einen Handover von der SUk 205 zu der SUk+1 210, wie durch den Richtungspfeil veranschaulicht, der mit "1" markiert ist. Vor dem, gleichzeitig mit dem, oder, falls nötig, nach dem Handover überträgt die SUk die geeigneten SAs, die der MU 210 zugeordnet sind, zu einer Datenbank (DBS) 215, wie durch den Richtungspfeil angezeigt, der mit "2" markiert ist. Die SUk+1 210 sendet dann eine SA-Anforderungsnachricht zu der DBS 215, wie durch den Richtungspfeil veranschaulicht, der mit "3" markiert ist. Wie bei der direkten Übertragungstechnik, enthält die SA-Anforderungsnachricht einen Identifizierercode, der spezifisch die MU 210 identifiziert. Somit kann die DBS 215 auf die SA-Anforderungsnachricht durch ein Senden der geeigneten SAs, die der MU 210 zugeordnet sind, zu der SUk+1 210 antworten, wie durch den Richtungspfeil veranschaulicht, der mit "4" markiert ist.
  • Wie eine Fachperson leicht erkennen wird, enthalten die SAs sensitive Information (z.B. Sitzungsschlüssel). Dementsprechend sollte die SA-Information, die von der SUk zu der SUk+1 unter Verwendung der direkten Übertragungs- oder der Zwischenspeichertechnik übertragen wird, geschützt werden. Deswegen kann ein Verschlüsselungs- und Authentifizierungsmechanismus eingesetzt werden, um eine Vertraulichkeit und eine Authentizität für diese Information sicherzustellen.
  • 3 veranschaulicht spezifischer die SA-Attribute, die von der SUk zu der SUk+1 übertragen werden können, wenn die Ausführungsform mit der teilweisen SA-Wiederverwendung eingesetzt wird. Wie veranschaulicht, sendet die SUk 105 auf ein Empfangen einer SA-Anforderungsnachricht von der SUk+1 110 hin, wie durch den Richtungspfeil angezeigt wird, der mit "2" markiert ist, eine Antwortnachricht 305 zu der SUk+1 110, wobei die Antwortnachricht 305 die Information enthält, die notwendig ist, um die folgenden ISAKMP-SA-Attribute zu definieren: die ISAKMP-SA-Lebensdauer; die ISAKMP-Sitzungsschlüssel einschließlich des ISAKMP-Sitzungsschlüssels für die Authentifizierung und des ISAKMP-Sitzungsschlüssels für die Verschlüsselung; Verschlüsselungsmaterial, das erforderlich ist zum Ableiten der IPSEC-Sitzungsschlüssel; den letzten IKE-Phase-1-CBC- (d.h. Chiffre-Block-Verkettungs-, cipher block chaining)-Ausgangsblock zum Erzeugen eines Initialisierungsvektors, der wiederum benötigt wird zur Verschlüsselung der ersten IKE-Phase-2-Nachricht. Obwohl 3 anzeigt, dass die SA-Attribute in Übereinstimmung mit der oben beschriebenen direkten Übertragungstechnik übertragen werden, ist es für die Fachperson leicht einzusehen, dass in der Alternative die Zwischenspeichertechnik eingesetzt werden kann.
  • 4 veranschaulicht die SA-Attribute, die von der SUk 105 zu der SUk+1 110 zusätzlich zu den SA-Attributen, die in 3 identifiziert ist, übertragen werden können, wenn die Ausführungsform mit der vollständigen SA-Wiederverwendung eingesetzt wird. Wie in 4 veranschaulicht, sendet die SUk 105 auf ein Empfangen einer SA-Anforderungsnachricht von der SUk+1 110 hin, wie durch den Richtungspfeil angezeigt, der mit "2" markiert ist, eine Antwortnachricht 405 zu der SUk+1 110, wobei die Antwortnachricht 405 die Information, die notwendig ist, um die ISAKMP-SA-Attribute zu definieren, die oben stehend in 3 identifiziert sind, und die Information enthält, die notwendig ist, um die folgenden IPSEC-SA-Attribute zu definieren: die IPSEC-SA-Lebensdauer; die IPSEC-Protokolle, die verwendet werden, d.h. die Authentifizierungs-Header- und/oder Verschlüsselungs-Sicherheitsnutzlast-Protokolle; den IPSEC-Protokollmodus, d.h. den Transportmodus oder den Tunnelmodus; den (die) Sicherheitsparameterindex-(Indizes); die IPSEC-Sitzungsschlüssel einschließlich der Sitzungsschlüssel für eine Authentifizierung und Verschlüsselung, wie auch ihre jeweiligen Algorithmen; den letzten CBC-Ausgangsblock vor einem Handover, der als der Initialisierungsvektor für eine Verschlüsselung des ersten IP-Pakets nach einem Handover verwendet wird; und den Wert der Sequenznummer in Übereinstimmung mit dem Authentifizierungs-Header-Protokoll oder dem Verschlüsselungs-Sicherheitsnutzlast-Protokoll gerade vor einem Handover, da dieser Wert +1 der Anfangswert der Sequenznummer nach dem Handover für Anti-Weiterleitungs-Überprüfungszwecke sein wird. Wie es in 3 der Fall war, wird die Übertragung der SA-Attribute in 4 in Übereinstimmung mit der direkten Übertragungstechnik erreicht, die oben stehend beschrieben ist. Es ist jedoch zu verstehen, dass die SA-Attribute in Übereinstimmung mit der Zwischenspeichertechnik übertragen werden können, die auch oben stehend beschrieben ist.
  • Wie zuvor erwähnt, müssen dann, wenn die MU sich zum ersten Mal mit irgendeiner SU in einer gegebenen Verwaltungsdomäne verbindet, eine IKE-Phase-1-Aushandlung und eine IKE-Phase-2-Aushandlung erreicht werden, wodurch die ISAKMP-SA und die IPSEC-SAs jeweils eingerichtet werden. Jedoch können in Übereinstimmung mit einem weiteren Aspekt der vorliegenden Erfindung die SA-Attribute, die der ISAKMP-SA und den IPSEC-SAs zugeordnet sind, für eine Zeitperiode gespeichert werden, beispielsweise eine Zeitperiode äquivalent zu der ISAKMP-SA-Lebensdauer bzw. der IPSEC-SA-Lebensdauer. Die SA-Attribute können in einer Datenbank, etwa der Datenbank 215, gespeichert werden, die in 2 veranschaulicht ist. Durch ein Speichern der SA-Attribute kann vermieden werden, dass die MU die ISAKMP-SA und die IPSEC-SAs erneut aushandeln muss, wenn die MU von der Verwaltungsdomäne getrennt wird, indem sie beispielsweise an eine SU übergeben wird, die der Verwaltungsdomäne nicht zugeordnet ist, und die MU dann erneut zu der Verwaltungsdomäne, beispielsweise durch ein Übergeben zurück zu einer SU zugeordnet wird, die der Verwaltungsdomäne zugeordnet ist, bevor die zuvor erwähnte Zeitperiode abläuft. In Übereinstimmung mit diesem Aspekt der Erfindung kann die Übertragung der SA-Attribute zu der SUk+1 auf im Wesentlichen die gleiche Weise wie bei der Zwischenspeichertechnik, die in 2 veranschaulicht ist, eingerichtet werden, außer der Tatsache, dass die MU zu einer SU übergeben wird, die einer anderen Verwaltungsdomäne zugeordnet ist, während einer Zwischenperiode zwischen der Zeit, in der die MU mit der SUk verbunden ist, und der Zeit, während der die MU mit der SUk+1 verbunden ist.
  • 5 veranschaulicht eine Prozedur zum Übertragen von SA-Attribut-Steuernachrichten in Übereinstimmung mit einer beispielhaften Ausführungsform der vorliegenden Erfindung, unter Verwendung von Verschlüsselungs- und Authentifizierungs-Techniken, um die SA-Attribute während einer Übertragung zu schützen. Während die Prozedur, die in 5 veranschaulicht ist, die Zwischenspeichertechnik mit sich bringt, die oben stehend unter Bezugnahme auf 2 beschrieben ist, wird eine Fachperson leicht erkennen, dass eine ähnliche Prozedur auf die direkte Übertragungstechnik angewandt werden kann, die oben stehend unter Bezugnahme auf 1 beschrieben ist.
  • Die in 5 veranschaulichte Prozedur beginnt anfangs damit, dass die MU eine Handover-Prozedur von der stationären Einheit SUk zu der stationären Einheit SUk+1 durchläuft, wie durch den Richtungspfeil angezeigt, der mit "1" markiert ist, wobei die SUk und die SUk+1 der gleichen Verwaltungsdomäne zugeordnet sind. Deswegen sind die SUk und die SUk+1 der gleichen Sicherheitsstrategie unterworfen. Dann überträgt die SUk an einem bestimmten Punkt während der Handover-Prozedur die SA-Attribut-Steuernachricht zu der DBS, wie durch den Richtungspfeil angezeigt, der mit "2" markiert ist. Wie gezeigt, enthält die SA-Attribut-Steuernachricht einen MU-Identifikationscode (IDMU); die SA-Attribute (ENCKSA), die unter Verwendung eines Verschlüsselungsschlüssels KSA verschlüsselt sind; einen Zeitstempel (T); und einen Hash-Wert (HASHKDB). Der Zweck des MU-Identifikationscodes (IDMU) besteht darin, die SA-Attribute (d.h. ENCKSA) zu identifizieren, wie sie der MU zugeordnet sind. Der Zweck des Zeitstempels (T) besteht darin, die DBS bezüglich der Zeitperiode zu informieren, die verstrichen ist, seit die SUK die SA-Steuernachricht sendete, wenn eine signifikante Zeitperiode verstrichen ist, kann die DBS ausgelegt sein, die SA-Attribut-Steuernachricht zurückzuweisen, um gegen eine nicht autorisierte Wiedergabe zu schützen. Während der MU-Identifikationscode a (IDMU) und der Zeitstempel (T) typischerweise nicht verschlüsselt sind, sind die SA-Attribute unter Verwendung eines Verschlüsselungsschlüssels KSA verschlüsselt, der von jeder SUs, die der Verwaltungsdomäne zugeordnet sind, geteilt wird. Der Hash- Wert (HASHKDB) wird für Authentifizierungszwecke verwendet und wird unter Verwendung eines Authentifizierungsschlüssels KDB und als eine Funktion des MU-Identifikationscodes (IDMU), der SA-Attribute (ENCKSA) und des Zeitstempels (T) abgeleitet. Der Authentifizierungsschlüssel KDB wird, wie der Verschlüsselungsschlüssel KSA, von jeder der SUs, die der Verwaltungsdomäne zugeordnet sind, geteilt. Zusätzlich wird er durch die DES geteilt.
  • Wie bemerkt, überträgt die SUk die SA-Attribut-Steuernachricht, die den MU-Identifikationscode (IDMU), die verschlüsselten SA-Attribute (ENCKSA) den Zeitstempel (T) und den Hash-Wert (HASHKDB) enthält, zu der DES. Auf ein Empfangen der SA-Attribut-Steuernachricht hin berechnet die DBS den Hash-Wert als eine Funktion der empfangenen Werte für den MU-Identifikationscode (IDMU), der SA-Attribute (ENCKSA) und des Zeitstempels (T) und auf der Grundlage des Authentifizierungsschlüssels KDB erneut. Dann vergleicht die DBS den erneut berechneten Hash-Wert mit dem empfangenen Hash-Wert. Wenn die beiden Werte gleich sind (d.h. wenn die beiden Werte übereinstimmen), authentifiziert die DBS die SUk und akzeptiert die SA-Attribut-Steuernachricht. Die DBS speichert dann die verschlüsselten SA-Attribute (ENCSKA) zusammen mit dem MU-Identifikationscode (IDMU).
  • Ferner gibt die SUk+1 in Übereinstimmung mit der Prozedur, die in 5 veranschaulicht ist, nun eine SA-Attribut-Anforderungsnachricht zu der DBS aus, wie durch den Richtungspfeil angezeigt ist, der mit "3" markiert ist, wobei die SA-Attribut-Anforderungsnachricht den MU-Identifikationscode (IDMU) enthält. Als Antwort überträgt die DES die verschlüsselten SA-Attribute (ENCKSA) die dem MU-Identifikationscode (IDMU) entsprechen, der in der SA-Attribut-Anforderungsnachricht enthalten ist, zu der SUk+1. Durch ein Anwenden des Verschlüsselungsschlüssels KSA auf die SA-Attribute (ENCKSA) kann die SUk+1 die verschlüsselten SA-Attribute entziffern.
  • Die vorliegende Erfindung ist unter Bezugnahme auf eine bevorzugte Ausführungsform beschrieben worden. Der Umfang der Erfindung ist durch die angehängten Ansprüche eher als durch die voran stehende Beschreibung gegeben, und es ist beabsichtigt, dass sämtliche Variationen und Äquivalente, die in den Bereich der Ansprüche fallen, darin umfasst sind.

Claims (35)

  1. Verfahren zur Verwendung in einem Funktelekommunikationssystem, wobei das Verfahren zum Erreichen eines Handovers einer Mobileinheit (101) von einer ersten stationären Einheit (105) zu einer zweiten stationären Einheit (110) dient, wobei das Verfahren die Schritte umfasst: Trennen der Mobileinheit (101) von der ersten stationären Einheit (105); Verbinden der Mobileinheit (101) mit der zweiten stationären Einheit (110); und Wiederverwenden einer existierenden Sicherheitsassoziierung (SA), die definiert, wie die kommunizierenden Parteien vereinbarte Sicherheitsdienste ausführen werden, um die Verbindung zwischen der Mobileinheit (106) und der zweiten stationären Einheit (110) zu unterstützen; wobei die existierende Sicherheitsassoziierung zuvor verwendet wurde, um die Verbindung zwischen der Mobileinheit (101) und der ersten stationären Einheit (105) zu unterstützen.
  2. Verfahren nach Anspruch 1, weiter umfassend den Schritt: Übertragen einer Anzahl von Sicherheitsassoziierungs-Attributen (305, 405), die der Sicherheitsassoziierung (SA) zugeordnet sind, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110).
  3. Verfahren nach Anspruch 2, wobei die Sicherheitsassoziierungs-Attribute von der ersten stationären Einheit (105) direkt zu der zweiten stationären Einheit (110) übertragen werden (305, 405).
  4. Verfahren nach Anspruch 2, wobei der Schritt eines Übertragens der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405), die der Sicherheitsassoziierung (SA) zugeordnet sind, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110) die Schritte umfasst: Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der ersten stationären Einheit (105) zu einer Datenspeichereinheit (215); und Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der Datenspeichereinheit zu der zweiten stationären Einheit.
  5. Verfahren nach Anspruch 4, wobei die Datenspeichereinheit (215) eine Datenbasis ist, die für die zweite stationäre Einheit (110) zugänglich ist.
  6. Verfahren nach Anspruch 2, weiter umfassend den Schritt: Verschlüsseln der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405), vor dem Schritt eines Übertragens der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110) unter Verwendung eines Verschlüsselungs-Schlüssels, der von den ersten (105) und zweiten (110) stationären Einheiten geteilt wird.
  7. Verfahren nach Anspruch 1, wobei die existierende Sicherheitsassoziierung (SA) eine ISAKMP-Sicherheitsassoziierung ist.
  8. Verfahren nach Anspruch 1, wobei die existierende Sicherheitsassoziierung (SA) eine IPSEC-Sicherheitsassoziierung ist.
  9. Verfahren nach Anspruch 1, wobei die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) beide einer gemeinsamen Verwaltungsdomäne zugeordnet sind, derart, dass die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) einer gemeinsamen Sicherheitsstrategie unterworfen sind.
  10. Verfahren nach Anspruch 9, wobei die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) eine gemeinsame IP-Adresse teilen.
  11. Verfahren nach Anspruch 1, wobei die existierende Sicherheitsassoziierung (SA) zuvor verwendet wurde, um sichere Kommunikationen für eine Verbindung zwischen der Mobileinheit (101) und einer dritten stationären Einheit sicherzustellen, und wobei die dritte stationäre Einheit und die zweite stationäre Einheit (110) einer ersten Verwaltungsdomäne zugeordnet sind, die eine gemeinsame Sicherheitsstrategie einsetzt.
  12. Verfahren nach Anspruch 11, weiter umfassend den Schritt: Übertragen eines Satzes von Sicherheitsassoziierungs-Attributen (305, 405), die der existierenden Sicherheitsassoziierung (SA) zugeordnet sind, von der dritten stationären Einheit zu der zweiten stationären Einheit (110).
  13. Verfahren nach Anspruch 11, wobei der Schritt eines Übertragens des Satzes von Sicherheitsassoziierungs-Attributen (305, 405), die der existierenden Sicherheitsassoziierung zugeordnet sind, von der dritten stationären Einheit zu der zweiten stationären Einheit (110) die Schritte umfasst: Übertragen der Sicherheitsassoziierungs-Attribute (305, 405) von der dritten stationären Einheit zu einem Speicherort (215); und Übertragen der Sicherheitsassoziierungs-Attribute (305, 405) von dem Speicherort (215) zu der zweiten stationären Einheit (110).
  14. Verfahren nach Anspruch 13, wobei der Speicherort (215) in einer Datenbank ist, die der ersten Verwaltungsdomäne zugeordnet ist, zu welcher die dritte stationäre Einheit und die zweite stationäre Einheit (110) gehören.
  15. Verfahren nach Anspruch 11, wobei die erste stationäre Einheit (105) einer zweiten Verwaltungsdomäne zugeordnet ist.
  16. Verfahren zur Verwendung in einem Funktelekommunikationsnetz zur Wiederverwendung von Sicherheitsassoziierungen, um einen Handover einer Mobileinheit (101) zwischen stationären Einheiten (105, 110) zu erleichtern, die einer gemeinsamen Verwaltungsdomäne zugeordnet sind, wobei sämtliche der stationären Einheiten (105, 110), die der gemeinsamen Verwaltungsdomäne zugeordnet sind, der gleichen Sicherheitsstrategie unterworfen sind, wobei das Verfahren die Schritte umfasst: Aushandeln einer ersten Sicherheitsassoziierung (SA), die definiert, wie die kommunizierenden Parteien vereinbarte Sicherheitsdienste für eine Verbindung zwischen der Mobileinheit (101) und einer ersten stationären Einheit (105) ausführen werden, die der gemeinsamen Verwaltungsdomäne zugeordnet ist; Trennen der Mobileinheit (101) von der ersten stationären Einheit (105); Verbinden der Mobileinheit (101) mit einer zweiten stationären Einheit (110), die der gemeinsamen Verwaltungsdomäne zugeordnet ist; Übertragen eines ersten Satzes von Sicherheitsassoziierungs-Attributen (205, 405), die der ersten Sicherheitsassoziierung (SA) entsprechen, die definiert, wie die kommunizierenden Parteien vereinbarte Sicherheitsdienste ausführen werden, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110); und Einsetzen der ersten Sicherheitsassoziierung (SA), um sichere Kommunikationen für die Verbindung zwischen der Mobileinheit (101) und der zweiten stationären Einheit (110) sicherzustellen.
  17. Verfahren nach Anspruch 16, wobei der Schritt eines Aushandelns einer ersten Sicherheitsassoziierung den Schritt umfasst: Einrichten einer ISAKMP-Sicherheitsassoziierung in Übereinstimmung mit einer IKE-Phase-1-Aushandlungsprozedur.
  18. Verfahren nach Anspruch 17, weiter umfassend die Schritte: Aushandeln einer zweiten Sicherheitsassoziierung in Übereinstimmung mit einer IKE-Phase-2-Aushandlungsprozedur für die Verbindung zwischen der Mobileinheit (101) und der ersten stationären Einheit (110); Übertragen eines zweiten Satzes von Sicherheitsassoziierungs-Attributen (305, 405), die der zweiten Sicherheitsassoziierung (SA) entsprechen, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110); und Einsetzen der zweiten Sicherheitsassoziierung (SA) in Verbindung mit der ersten Sicherheitsassoziierung (SA), um sichere Kommunikationen für die Verbindung zwischen der Mobileinheit (101) und der zweiten stationären Einheit (110) weiter sicherzustellen.
  19. Verfahren nach Anspruch 17, wobei die zweite Sicherheitsassoziierung (SA) eine IPSEC-Authentifizierungs-Header-Protokoll-Sicherheitsassoziierung ist.
  20. Verfahren nach Anspruch 18, wobei die zweite Sicherheitsassoziierung eine IPSEC-Verschlüsselungs-Sicherheits-Nutzlastprotokoll-Sicherheitsassoziierung ist.
  21. Vorrichtung zum Erreichen eines Handovers einer Mobileinheit (101) von einer ersten stationären Einheit (105) zu einer zweiten stationären Einheit (110) in einem Funktelekommunikationssystem, wobei die Vorrichtung umfasst: eine Einrichtung zum Trennen der Mobileinheit (101) von der ersten stationären Einheit (105); eine Einrichtung zum Verbinden der Mobileinheit (101) mit der zweiten stationären Einheit (110); und eine Einrichtung zum Wiederverwenden einer existierenden Sicherheitsassoziierung (SA), die definiert, wie die kommunizierenden Parteien vereinbarte Sicherheitsdienste ausführen werden, um die Verbindung zwischen der Mobileinheit (101) und der zweiten stationären Einheit (110) zu unterstützen, wobei die existierende Sicherheitsassoziierung (SA) zuvor verwendet wurde, um die Verbindung zwischen der Mobileinheit (101) und der ersten stationären Einheit (105) zu unterstützen.
  22. Vorrichtung nach Anspruch 20, weiter umfassend: eine Einrichtung zum Übertragen einer Anzahl von Sicherheitsassoziierungs-Attributen (305, 405), die der Sicherheitsassoziierung (SA) zugeordnet sind, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110).
  23. Vorrichtung nach Anspruch 22, wobei die Sicherheitsassoziierungs-Attribute (305, 405) von der ersten stationären Einheit (105) direkt zu der zweiten stationären Einheit (110) übertragen werden.
  24. Vorrichtung nach Anspruch 22, wobei die Einrichtung zum Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405), die der Sicherheitsassoziierung (SA) zugeordnet sind, von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110) umfasst: eine Einrichtung zum Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der ersten stationären Einheit (105) zu einer Datenspeichereinheit (215); und eine Einrichtung zum Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der Datenspeichereinheit (215) zu der zweiten stationären Einheit (110).
  25. Vorrichtung nach Anspruch 24, wobei die Datenspeichereinheit (215) eine Datenbank ist, die für die zweite stationäre Einheit (110) zugänglich ist.
  26. Vorrichtung nach Anspruch 22, weiter umfassend: eine Einrichtung zum Verschlüsseln der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) vor einem Übertragen der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) von der ersten stationären Einheit (105) zu der zweiten stationären Einheit (110), wobei die Einrichtung zum Verschlüsseln der Anzahl von Sicherheitsassoziierungs-Attributen (305, 405) einen Verschlüsselungs-Schlüssel einsetzt, der von den ersten (105) und zweiten (110) stationären Einheiten geteilt wird.
  27. Vorrichtung nach Anspruch 21, wobei die existierende Sicherheitsassoziierung (SA) eine ISAKMP-Sicherheitsassoziierung ist.
  28. Vorrichtung nach Anspruch 21, wobei die existierende Sicherheitsassoziierung (SA) eine IPSEC-Sicherheitsassoziierung ist.
  29. Vorrichtung nach Anspruch 21, wobei die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) beide einer gemeinsamen Verwaltungsdomäne zugeordnet sind, derart, dass die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) einer gemeinsamen Sicherheitsstrategie unterworfen sind.
  30. Vorrichtung nach Anspruch 29, wobei die erste stationäre Einheit (105) und die zweite stationäre Einheit (110) eine gemeinsame IP-Adresse teilen.
  31. Vorrichtung nach Anspruch 21, umfassend: eine Einrichtung zum Trennen der Mobileinheit (101) von der ersten stationären Einheit (105); eine Einrichtung zum Verbinden der Mobileinheit (101) mit der zweiten Mobileinheit (110); wobei die existierende Sicherheitsassoziierung (SA) zuvor verwendet wurde, um Kommunikationen für eine Verbindung zwischen der Mobileinheit (101) und einer dritten stationären Einheit sicherzustellen, und wobei die dritte stationäre Einheit und die zweite stationäre Einheit (110) einer ersten Verwaltungsdomäne zugeordnet sind, die eine gemeinsame Sicherheitsstrategie einsetzt.
  32. Vorrichtung nach Anspruch 31, weiter umfassend: eine Einrichtung zum Übertragen eines Satzes von Sicherheitsassoziierungs-Attributen (305, 405), die der existierenden Sicherheitsassoziierung (SA) zugeordnet sind, von der dritten stationären Einheit zu der zweiten stationären Einheit (110).
  33. Vorrichtung nach Anspruch 31, wobei die Einrichtung zum Übertragen des Satzes von Sicherheitsassoziierungs-Attributen (305, 405), die der existierenden Sicherheitsassoziierung (SA) zugeordnet sind, von der dritten stationären Einheit zu der zweiten stationären Einheit (110) umfasst: eine Einrichtung zum Übertragen der Sicherheitsassoziierungs-Attribute (105, 405), von der dritten stationären Einheit zu einem Speicherort (215); und eine Einrichtung zum Übertragen der Sicherheitsassoziierungs-Attribute (305, 405) von dem Speicherort (215) zu der zweiten stationären Einheit (110).
  34. Vorrichtung nach Anspruch 33, wobei der Speicherort (215) eine Datenbank ist, die der ersten Verwaltungsdomäne zugeordnet ist, zu welcher die dritte stationäre Einheit und die zweite stationäre Einheit (110) gehören.
  35. Vorrichtung nach Anspruch 31, wobei die erste stationäre Einheit (105) einer zweiten Verwaltungsdomäne zugeordnet ist.
DE60035953T 1999-01-08 2000-01-07 Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers Expired - Lifetime DE60035953T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11534999P 1999-01-08 1999-01-08
US115349P 1999-01-08
US09/234,512 US6418130B1 (en) 1999-01-08 1999-01-21 Reuse of security associations for improving hand-over performance
US234512 1999-01-21
PCT/SE2000/000020 WO2000041427A2 (en) 1999-01-08 2000-01-07 Reuse of security associations for improving hand-over performance

Publications (2)

Publication Number Publication Date
DE60035953D1 DE60035953D1 (de) 2007-09-27
DE60035953T2 true DE60035953T2 (de) 2008-05-08

Family

ID=26813098

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60035953T Expired - Lifetime DE60035953T2 (de) 1999-01-08 2000-01-07 Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers

Country Status (7)

Country Link
US (1) US6418130B1 (de)
EP (1) EP1142400B1 (de)
JP (2) JP2002534930A (de)
CN (1) CN1337134A (de)
AU (1) AU2335300A (de)
DE (1) DE60035953T2 (de)
WO (1) WO2000041427A2 (de)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
US7590843B1 (en) * 1999-10-05 2009-09-15 Nortel Networks Limited Key exchange for a network architecture
US6721291B1 (en) * 1999-10-19 2004-04-13 Nokia Ip Anycast binding mobile communication method and system
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
ES2343563T3 (es) * 2000-03-03 2010-08-04 Qualcomm Incorporated Procedimiento y aparato para participar en servicios de comunicacion en grupo en un sistema de comunicacion existente.
US7480939B1 (en) * 2000-04-28 2009-01-20 3Com Corporation Enhancement to authentication protocol that uses a key lease
US6978382B1 (en) * 2000-08-14 2005-12-20 Qualcomm Incorporated Method and an apparatus for granting use of a session of a packet data transmission standard designated by an identifier
GB0020443D0 (en) * 2000-08-18 2000-10-04 Nokia Networks Oy Controlling communication between stations
US6947483B2 (en) * 2000-08-18 2005-09-20 Nortel Networks Limited Method, apparatus, and system for managing data compression in a wireless network
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US7266687B2 (en) * 2001-02-16 2007-09-04 Motorola, Inc. Method and apparatus for storing and distributing encryption keys
US7123719B2 (en) 2001-02-16 2006-10-17 Motorola, Inc. Method and apparatus for providing authentication in a communication system
US20020197979A1 (en) * 2001-05-22 2002-12-26 Vanderveen Michaela Catalina Authentication system for mobile entities
GB2377589B (en) * 2001-07-14 2005-06-01 Motorola Inc Ciphering keys for different cellular communication networks
US20030016819A1 (en) * 2001-07-20 2003-01-23 Lebin Cheng Secure socket layer (SSL) load generation with handshake replay
FI116027B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestien turvallisen lähettämisen varmistamiseksi
FI116025B (fi) * 2001-09-28 2005-08-31 Netseal Mobility Technologies Menetelmä ja verkko viestien turvallisen lähettämisen varmistamiseksi
US7028183B2 (en) * 2001-11-13 2006-04-11 Symantec Corporation Enabling secure communication in a clustered or distributed architecture
SE0104325D0 (sv) 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
FI118170B (fi) 2002-01-22 2007-07-31 Netseal Mobility Technologies Menetelmä ja järjestelmä viestin lähettämiseksi turvallisen yhteyden läpi
JP3789374B2 (ja) * 2002-03-22 2006-06-21 Necインフロンティア株式会社 電話システム
US7103359B1 (en) * 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
FR2840499B1 (fr) * 2002-05-30 2004-12-10 Cit Alcatel Procede et dispositif de controle d'acces a un reseau local de communications sans fil
KR100888471B1 (ko) 2002-07-05 2009-03-12 삼성전자주식회사 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법
US7130286B2 (en) 2002-10-02 2006-10-31 Nokia Corporation System and method for resource authorizations during handovers
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040088550A1 (en) * 2002-11-01 2004-05-06 Rolf Maste Network access management
US7489667B2 (en) * 2002-11-08 2009-02-10 Faccin Stefano M Dynamic re-routing of mobile node support in home servers
EP1597898A2 (de) * 2003-02-26 2005-11-23 Nokia Corporation Verfahren, system und zugangsrouter zur verringerung von denial-of-service angriffen
KR101105552B1 (ko) 2003-03-27 2012-01-17 톰슨 라이센싱 무선 액세스 포인트들간의 보안 로밍
WO2005027560A1 (en) * 2003-09-12 2005-03-24 Ntt Docomo, Inc. Secure intra- and inter-domain handover
US7826614B1 (en) * 2003-11-05 2010-11-02 Globalfoundries Inc. Methods and apparatus for passing initialization vector information from software to hardware to perform IPsec encryption operation
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100523058B1 (ko) * 2003-11-18 2005-10-24 한국전자통신연구원 무선랜 시스템에서의 동적 그룹키 관리 장치 및 그 방법
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
EP1578059A1 (de) * 2004-03-19 2005-09-21 Swisscom Mobile AG WLAN Weiterreichung
US7596226B2 (en) 2004-07-19 2009-09-29 Nokia Corporation Mobile terminal, method and computer program product for storing and retrieving network parameters
JP2006080981A (ja) * 2004-09-10 2006-03-23 Fujitsu Ltd ハンドオーバ方法並びにこれを適用した移動通信システムおよび移動端末
US7643451B2 (en) * 2004-10-15 2010-01-05 Nortel Networks Limited Method and apparatus for extending a mobile unit data path between access points
US7835722B2 (en) * 2004-11-04 2010-11-16 Research In Motion Limited System and method for over the air provisioning of a mobile communications device
US7669230B2 (en) * 2005-03-30 2010-02-23 Symbol Technologies, Inc. Secure switching system for networks and method for securing switching
US20060240802A1 (en) * 2005-04-26 2006-10-26 Motorola, Inc. Method and apparatus for generating session keys
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8559921B2 (en) * 2005-08-17 2013-10-15 Freescale Semiconductor, Inc. Management of security features in a communication network
CN1937840B (zh) * 2005-09-19 2011-04-13 华为技术有限公司 一种移动终端切换过程中获得安全联盟信息的方法及装置
WO2007033548A1 (fr) * 2005-09-19 2007-03-29 Huawei Technologies Co., Ltd. Procede et dispositif pour obtenir les informations d'association de securite pendant la procedure de transfert du terminal mobile
KR101137340B1 (ko) * 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
CN1988716B (zh) * 2005-12-21 2010-05-05 华为技术有限公司 保证移动台和基站之间通讯安全的方法
CN101022647B (zh) * 2006-02-15 2010-09-08 华为技术有限公司 切换处理过程中确定安全协商参数的实现方法及装置
KR101196100B1 (ko) * 2006-05-13 2012-11-02 삼성전자주식회사 통신 시스템에서 인증 방법 및 그 장치
US8086216B2 (en) * 2007-01-31 2011-12-27 Alcatel Lucent Mobility aware policy and charging control in a wireless communication network
CN101022418B (zh) * 2007-03-14 2010-05-26 华为技术有限公司 Hmip认证方法、设备及系统
KR101341720B1 (ko) * 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
JP4964683B2 (ja) * 2007-06-18 2012-07-04 株式会社リコー 通信装置およびプログラム
US8667151B2 (en) 2007-08-09 2014-03-04 Alcatel Lucent Bootstrapping method for setting up a security association
JP4586075B2 (ja) * 2008-02-06 2010-11-24 株式会社エヌ・ティ・ティ・ドコモ 無線端末及び無線通信方法
EP2255560B1 (de) * 2008-03-28 2016-03-30 Telefonaktiebolaget LM Ericsson (publ) Erkennung einer manipulierten oder fehlerhaften basisstation während eines handover
ATE503362T1 (de) * 2008-04-11 2011-04-15 Innovative Sonic Ltd Verfahren und vorrichtung zur handhabung des weiterleitungsverfahrens
CN101321395B (zh) * 2008-06-24 2012-01-11 中兴通讯股份有限公司 下一代网络中支持移动性安全的方法与系统
WO2010151182A1 (en) * 2009-06-22 2010-12-29 Telefonaktiebolaget L M Ericsson (Publ) A method and an arrangement for handling security in a telecommunications system
WO2011113873A1 (en) * 2010-03-17 2011-09-22 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for srns relocation
CN102546154B (zh) * 2011-12-19 2015-09-16 上海顶竹通讯技术有限公司 移动通信网络中终端的切换方法
CN103888941B (zh) * 2012-12-20 2018-03-06 新华三技术有限公司 一种无线网络密钥协商的方法及装置
ES2753824T3 (es) * 2015-10-08 2020-04-14 Ericsson Telefon Ab L M Nodos para uso en una red de comunicación y métodos para operar los mismos
US10390277B2 (en) * 2016-11-30 2019-08-20 Samsung Electronics Co., Ltd. MOBIKE aware LTE to Wi-Fi handoff optimization
EP3709601B1 (de) * 2017-03-17 2022-02-16 Telefonaktiebolaget LM Ericsson (publ) Netzwerkknoten zur verwendung in einem kommunikationsnetzwerk, kommunikationsvorrichtung und verfahren zum betrieb davon
US11196726B2 (en) * 2019-03-01 2021-12-07 Cisco Technology, Inc. Scalable IPSec services
US11146959B2 (en) * 2019-10-29 2021-10-12 Arista Networks, Inc. Security association reuse for multiple connections

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5293423A (en) 1989-09-12 1994-03-08 Telefonaktiebolaget L M Ericsson Synchronizing method in a mobile radio system
US5081679A (en) 1990-07-20 1992-01-14 Ericsson Ge Mobile Communications Holding Inc. Resynchronization of encryption systems upon handoff
US5243653A (en) 1992-05-22 1993-09-07 Motorola, Inc. Method and apparatus for maintaining continuous synchronous encryption and decryption in a wireless communication system throughout a hand-off
JPH06351062A (ja) * 1993-06-10 1994-12-22 Fujitsu Ltd ハンドオーバー時の秘話機能継続方式
US5444766A (en) * 1993-10-01 1995-08-22 At&T Corp. Mobile-synchronized handoff in a wireless communications system
US5546464A (en) 1994-09-16 1996-08-13 Ericsson Inc. Method of and apparatus for selective resynchronization in a digital cellular communications system
US5778075A (en) * 1996-08-30 1998-07-07 Telefonaktiebolaget, L.M. Ericsson Methods and systems for mobile terminal assisted handover in an private radio communications network
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover

Also Published As

Publication number Publication date
US6418130B1 (en) 2002-07-09
JP2002534930A (ja) 2002-10-15
AU2335300A (en) 2000-07-24
DE60035953D1 (de) 2007-09-27
WO2000041427A2 (en) 2000-07-13
EP1142400A2 (de) 2001-10-10
WO2000041427A3 (en) 2000-11-02
JP4515411B2 (ja) 2010-07-28
EP1142400B1 (de) 2007-08-15
JP2006319971A (ja) 2006-11-24
CN1337134A (zh) 2002-02-20

Similar Documents

Publication Publication Date Title
DE60035953T2 (de) Wiederverwendung von sicherheitsbeziehungen zur verbesserung der durchführung eines handovers
DE60121393T2 (de) Schlüsselverwaltungsverfahren für drahtlose lokale Netze
DE60302882T2 (de) Sicherheitsübertragungsprotokoll für ein mobilitäts-ip-netzwerk
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE60122825T2 (de) Verfahren zum Verarbeiten von Positionsinformationen eines Endgerätes welches über ein zellulares Netzwerk an ein Paketdatennetzwerk angeschlossen ist
EP1952574B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE60017292T2 (de) Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals
DE69718258T2 (de) Verbesserte sicherheit der paketübertragung in einem mobilkommunikationssystem
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
EP1529374B1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE112013000649B4 (de) Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit
EP1289227B1 (de) Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
EP1417822A2 (de) Verfahren und datenverarbeitungsvorrichtung zum übertragen von daten über verschiedene schnittstellen
DE69837748T2 (de) Verfahren und Vorrichtung zur Authentifizierung für gesichterte Übertragungen zwischen einem mobilen ATM Endgerät und einem ATM Zugriffsknoten in einem drahtlosen ATM Funkkommunikationsnetzwerk
DE102006038037A1 (de) Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE60203277T2 (de) Verfahren und system zur authentifizierung eines personal security device gegenüber mindestens einem fernrechnersystem
DE102006031870A1 (de) Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
WO2004017566A1 (de) Verfahren und datensystem zum anbinden eines drahtlosen lokalen netzwerks an eine umts-endstation
DE102009032465B4 (de) Sicherheit in Netzwerken
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition