Zum jetzigen Zeitpunkt entsteht eine Vielzahl neuer Hotspots in kleineren und größeren WLAN-Netzen. Diese werden durch unterschiedliche Provider mit jeweils eigenen Zugangs-und Abrechnungsverfahren angeboten. Dabei fehlt es bisher an Lösungen, die einerseits eine sichere Zugangsregelung und Abrechnung erlauben und andererseits für einen Nutzer einfach zu handhaben sind und eine transparente Nutzung der Infra- struktur erlauben. Diese Eigenschaften werden in allgegen- wärtigen GSM-Netzen mit der dort verwendeten SIM-Karte erreicht. Für WLAN-Netze fehlt bisher eine solche Möglichkeit.

Gegenwärtig existieren verschiedene Verfahren zur Authenti- sierung bzw. Identifizierung nach IEEE 802. 1X (EAP/TLS, LEAP, PEAP). Diese werden von vielen auf dem Markt befindlichen WLAN Access Points unterstützt, wobei je nach Hersteller verschie- dene Varianten angeboten werden. Die Authentisierung des Clients erfolgt in derzeitigen Systemen überwiegend per Software. Diese Funktionalität kann im Betriebssystem enthal- ten sein oder durch eine zusätzliche Software, z. B. vom Hersteller der WLAN-Hardware, vorgenommen werden.

Der Einsatz eines Authentisierungssystems erfordert eine Ab- stimmung aller an der Authentisierung beteiligten Komoponenten (RADIUS-Server [RADIUS = Remote Authentication Dial In User Service], Access Point, WLAN-Hardware, Betriebssystem, Authen- tisierungssoftware) aufeinander. Die komplexen Abhängigkeiten unter den Komponenten, speziell innerhalb des Clients, sind ein wesentlicher Grund für die geringe Verbreitung.

Ein wesentlicher Nachteil einer Authentisierung mittels Soft- ware ist die relativ leichte Angreifbarkeit dieses Prozesses.

Auf dem Client muss ein geheimer Schlüssel oder ein Passwort hinterlegt werden. Durch eine Manipulation des Systems, z. B. durch Trojanische Pferde, ist es prinzipiell relativ einfach möglich, an die geheimen Informationen zu gelangen.

Im Rahmen der Weiterentwicklung der aktuellen WLAN-Technik gibt es eine Reihe von Bestrebungen zur Erhöhung der Sicherheit. Der Fokus liegt dabei auf der Sicherheit der Datenübertragung über die Luftschnittstelle. Als wesentlicher Punkt ist hier die der zukünftige Standard IEEE 802. lli (erwartet für 2004) zu nennen. Mit der Verabschiedung des Standards ist damit zu rechnen, dass er in allen neuen Produkten integriert sein wird und auch in viele existierende Geräte durch Firmware-Upgrades nachgerüstet werden kann.

Im Bereich der Authentisierung existiert der Standard 802. 1X.

Dieser erfordert eine Unterstützung innerhalb des WLAN Access Points, was bei vielen auf dem Markt befindlichen Produkten verschiedener Hersteller gegeben ist. Im Client wird die Funktionalität bei allen bekannten Anwendungen durch Software realisiert, was die bereits erwähnten Nachteile mit sich bringt. Eine weitere Variante ist die Authentisierung mittels Smartcard. Dabei wird die eigentliche Authentisierung inner- halb einer Smartcard durchgeführt, ohne dass die geheime Information diese verlassen muss. Die Vermittlung zwischen WLAN-Karte und Smartcard erfolgt dabei durch das Betriebs- system. Diese Funktion ist z. B. in Windows XP integriert. Der größte Nachteil dieser Variante ist der zusätzlich benötigte Smartcard-Reader. Insbesondere bei kleinen Mobilgeräten, z. B.

PDAs, ist der Einsatz von Smartcards oft nicht möglich bzw. äußerst unpraktisch.

Des weiteren ist aus der deutschen Offenlegungsschrift DE 100 43 203 Al eine generische WLAN-Architektur bekannt, welche ein Verfahren und ein System zur Nutzung von mehreren Netzen un- terschiedlicher Art, beispielsweise die Nutzung von Datennet- zen (WLAN) durch Einwahl über ein zellulares Mobilfunknetz (GSM), beschreibt, wobei eines der Netze logische Funktionen von Komponenten des jeweils anderen Netzes generisch bereit- stellt.

Eine Integration eines Abrechnungssystems zwischen zellularen und WLAN-Netzwerken wird in der Internationalen Patentanmel- dung WO 03/032618 Al"Integration of Billing between Cellular and WLAN Networks"vorgestellt. Durch diese Lösung wird die Einwahl in Datennetze (LAN) mit Hilfe von Mobiltelefonen (GSM/GPRS) über zellulare Netzwerke ermöglicht. Im Datennetz- werk wird ein (temporärer) Account eingerichtet, der die Ge- bühren ermittelt und sie anschließend an das Billingsystem des zellularen Netzwerks sendet. Jedoch ermöglicht es diese Lösung nicht, während der Nutzung der Netze zwischen Einwahlpunkten verschiedener Provider der zellularen Netze zu bewegen.

In der deutschen Offenlegungsschrift DE 101 52 572 Al"Verfah- ren und Vorrichtung zum authentisierten Zugriff einer Station auf lokale Datennetze, insbesondere Funk-Datennetze"wird ein Verfahren und eine entsprechende Vorrichtung beschrieben, durch welche eine Authentisierung in dem Funk-Datennetz ermög- licht wird, indem Zugangsinformationen für den Zugang zu dem Funk-Datennetz über ein von dem Funk-Datennetz verschiedenes Telekommunikationsnetz, insbesondere per SMS (= Short Message System) über ein Mobilfunknetz, an einen Nutzer übersendet werden.

In der deutschen Offenlegungsschrift DE 101 37 551 Al"Voraus- bezahlte Nutzung spezieller Dienstangebote"wird ein System vorgeschlagen, wobei Dienste eines in einem Telekommunika- tionsnetz eingerichteten Server genutzt werden können, nachdem

auf dem Server ein Nutzerkonto und ein Nutzerguthaben einge- richtet wurde. Insbesondere wird ein Pre-paid-Verfahren ge- nutzt.

In der Europäischen Patentanmeldung EP 0 970 411 B1"Daten- kopierschutz"wird ein Verfahren zum Schutz von über ein Netzwerk übertragenen Daten vorgestellt. Dabei werden urheber- rechtlich geschützte Teile von HTML-Seiten einer besonderen Behandlung unterzogen, um unberechtigte Verwendungen zu ver- hindern.

Die Aufgabe der Erfindung besteht somit darin, ein Verfahren und eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten-und/oder Kommunikationsnetzen, wie bspw.

Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entspre- chendes computerlesbares Speichermedium bereitzustellen, welche die erwähnten Nachteile beheben und insbesondere eine Beeinflussung des Authentisierungs-und/oder Identifikations- Ablaufs durch Dritte verhindern.

Diese Aufgabe wird erfindungsgemäß durch die Merkmale in den Ansprüchen 1, 14,15, 27 und 28 gelöst. Zweckmäßige Ausge- staltungen der Erfindung sind in den Unteransprüchen enthalten.

Ein besonderer Vorteil des erfindungsgemäßen Verfahrens für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten-und/ oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, besteht darin, dass sowohl die Speicherung der für eine Authentisierung und/oder Identifikation erforderlichen Daten als auch der Prozeß der Authentisierung und/oder Identifikation ohne Eingriff des Betriebssystems des Kommunikationsendgerätes erfolgt, da Ver- bindungen durch eine Einheit zum Verbindungsaufbau mit integ- riertem Authentisierungs-und/oder Identifikations-Modul her- gestellt werden, wobei die Authentisierung und/oder Identi-

fikation für den Zugang zu dem Daten-und/oder Kommunikations- netz durch das Authentisierungs-und/oder Identifikations- Modul unabhängig vom Betriebssystem des Kommunikationsend- gerätes, durchgeführt wird.

Eine Vorrichtung nach der Erfindung ist vorteilhafterweise so eingerichtet, dass die Vorrichtung eine Einheit zum Verbin- dungsaufbau mit integriertem Authentisierungs-und/oder Iden- tifikations-Modul umfaßt, wobei das Authentisierungs-und/ oder Identifikations-Modul derart eingerichtet ist, daß die Authentisierung und/oder Identifikation für den Zugang zu dem Daten-und/oder Kommunikationsnetz durch das Authentisierungs- und/oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird.

Eine andere Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungs- strecken aufweisenden Daten-und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobil- funknetzen, ist dadurch ausgezeichnet, dass die Vorrichtung neben einer Einheit zum Verbindungsaufbau ein VoIP-Modul umfaßt, wobei das VoIP-Modul unabhängig von dem Kommuni- kationsendgerät nutzbar ist.

Ein erfindungsgemäßes Computerprogramm für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten-und/oder Kommunika- tionsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, ermöglicht es einem Computer, nach- dem es in den Speicher des Computers geladen worden ist, ein derartiges Verfahren für den Aufbau von Verbindungen durch- zuführen, derart, dass Verbindungen durch eine Einheit zum Verbindungsaufbau mit integriertem Authentisierungs-und/oder Identifikations-Modul hergestellt werden, wobei die Authen- tisierung und/oder Identifikation für den Zugang zu dem Daten- und/oder Kommunikationsnetz durch das Authentisierungs-und/ oder Identifikations-Modul unabhängig vom Betriebssystem des Kommunikationsendgerätes, durchgeführt wird. Ein solches Com- puterprogramm kann beispielweise als Firmware der erfindungs- gemäßen Vorrichtung realisiert sein.

Beispielsweise können diese Computerprogramme (gegen Gebühr oder unentgeltlich, frei zugänglich oder passwortgeschützt) downloadbar in einem Daten-oder Kommunikationsnetz bereit- gestellt werden. Die so bereitgestellten Computerprogramme können dann durch ein Verfahren nutzbar gemacht werden, bei dem ein Computerprogramm nach Anspruch 27 aus einem elektronischen Datennetz, wie beispielsweise aus dem Internet, auf eine an das Datennetz angeschlossene Datenverarbeitungs- einrichtung heruntergeladen wird.

Für bestimmte Anwendungen kann es sich als vorteilhaft erweisen, wenn ein computerlesbares Speichermedium eingesetzt wird, auf dem ein Programm gespeichert ist, das es einem Computer ermöglicht, nachdem es in den Speicher des Computers geladen worden ist, ein Verfahren für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten-und/oder Kommuni- kationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, durchzuführen, derart, dass Verbin- dungen durch eine Einheit zum Verbindungsaufbau mit integ- riertem Authentisierungs-und/oder Identifikations-Modul her- gestellt werden, wobei die Authentisierung und/oder Identi- fikation für den Zugang zu dem Daten-und/oder Kommunikations- netz durch das Authentisierungs-und/oder Identifikations- Modul unabhängig vom Betriebssystem des Kommunikationsend- gerätes, durchgeführt wird. Ein solches Computerprogramm kann beispielweise als Firmware der erfindungsgemäßen Vorrichtung realisiert sein.

In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist vorgesehen, daß für den Verbindungsaufbau eine

WLAN-Schnittstellenkarte mit Smartcard-Funktionalität verwen- det wird.

In einer anderen bevorzugten Ausführungsform des erfin- dungsgemäßen Verfahrens ist vorgesehen, daß geheime Infor- mationen wie bspw. private Schlüssel den Sicherheits-Speicher- bereich des Authentisierungs-und/oder Identifikations-Moduls nicht verlassen. Damit wird zum Beispiel das Ausspähen von vertraulichen Daten, wie bspw. eines privaten Schlüssels, erschwert. Eine zusätzliche Erhöhung der Sicherheit wird erreicht, wenn bei unbefugtem Zugriff auf das Authenti- sierungs-und/oder Identifikations-Modul die geheimen Infor- mationen unbrauchbar gemacht werden.

Des weiteren erweist es sich als Vorteil, wenn wenigstens ein Teil der EAPOL-Pakete aus den empfangenen Daten herausgefil- tert und durch das Authentisierungs-und/oder Identifikations- Modul ausgewertet wird.

In einer weiteren bevorzugten Ausführungsform des erfindungs- gemäßen Verfahrens ist vorgesehen, daß eine Authentisierung nach IEEE 802. 1X mit EAP/TLS genutzt wird und/oder krypto- graphische Verfahren zum Einsatz kommen, bei welchen Zerti- fikate übertragen werden.

Neben einem Modul zum Verbindungsaufbau kann die erfindungsge- mäße Vorrichtung weitere nützliche Funktionalitäten bereit- stellen. So ist es beispielsweise von Vorteil, wenn die Einheit zum Verbindungsaufbau ein Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP) umfaßt, wobei das Modul für paketorientierte Sprach- dienste unabhängig vom Betriebssystem des Kommunikationsend- gerätes arbeitet.

Für die eigenständige Nutzung von auf der erfindungsgemäßen Vorrichtung implementierten Module erweist es sich als vor- teilhaft, wenn die Vorrichtung derart eingerichtet ist, dass

die Energieversorgung der Vorrichtung durch die Energiever- sorgungseinrichtung des Kommunikationsendgerätes realisierbar ist.

Das Authentisierungs-und/oder Identifikations-Moduls wird in der Regel die sicherheitsrelevanten Daten selbst in einem Sicherheits-Speicherbereich enthalten. Da ein Nutzer aber oftmals bereits andere Authentisierungs-und/oder Identi- fikations-Daten besitzt, kann es sich als vorteilhaft erweisen, diese auch zur Authentisierung und/oder Identi- fikation für den Aufbau von Verbindungen zwischen Kommuni- kationsendgeräten und drahtlose Übertragungsstrecken aufwei- senden Daten-und/oder Kommunikationsnetzen, wie bspw. Wire- less Local Area Networks (WLAN) und/oder Mobilfunknetzen, zu verwenden. Hierzu ist vorgesehen, dass für die Authentisierung und/oder Identifikation durch das Authentisierungs-und/oder Identifikations-Modul Daten mit einer SIM-Card ausgetauscht werden, und die Authentisierung mit auf der SIM-Card enthal- tenen Daten erfolgt. Die SIM-Card ist dabei als Teil des Authentisierungs-und/oder Identifikations-Moduls anzusehen.

Insbesondere erweist es sich als vorteilhaft, eine intelli- gente SIM-Card oder auch eine Smartcard mit zusätzlichen Informationen auf einem geschützten Speicherbereich ein- zusetzen. Im folgenden sollen Ausführungsformen am Beispiel einer (intelligenten) SIM-Card näher erläutert werden, wobei jedoch anstelle der (intelligenten) SIM-Card stets auch eine Smartcard eingesetzt werden kann.

Die (intelligente) SIM-Card des Authentisierungs-und/oder Identifikations-Moduls kann dabei im gleichen Kommunikations- endgerät installiert sein wie die Einheit zum Verbindungs- aufbau. In einem speziellen Ausführungsbeispiel ist das (intelligente) SIM-Card direkt auf der Einheit zum Verbin- dungsaufbau installiert. In einer alternativen Ausführungsform umfaßt das Authentisierungs-und/oder Identifikations-Modul mehrere Komponenten, wobei die (intelligente) SIM-Card auf einer speziellen, selbständigen Komponente untergebracht ist,

die beispielsweise als eine Art Dongle über eine USB-, Blue- tooth-, Infrarot-oder andere Schnittstelle mit dem Kommunika- tionsendgerät verbunden ist. Es gibt aber auch Fälle, wo die inhärente WLAN-Schnittstellenkarte mit einem Teil des Authen- tisierungs-und/oder Identifikations-Moduls in einem ersten Kommunikationsendgerät und die (intelligente) SIM-Card in einem zweiten, von dem ersten verschiedenen Kommunikations- endgerät installiert ist. Dies ist etwa der Fall, wenn eine in einem Notebook eingesteckte inhärente WLAN-Schnittstellenkarte Daten von einer (intelligenten) SIM-Card eines Mobiltelefons benutzt. In einem solchen Fall ist es zweckmäßig, wenn der Datenaustausch zwischen Authentisierungs-und/oder Identifika- tions-Modul und SIM-Card über eine Infrarot-oder Bluetooth- Schnittstelle erfolgt, die in den meisten neueren Kommuni- kationsendgeräten vorhanden sind. Dafür ist vorgesehen, dass die Vorrichtung eine Schnittstelle zum Datenaustausch mit einer SIM-Card aufweist, wobei die Schnittstelle als Infrarot- oder Bluetooth-Schnittstelle ausgebildet ist. Selbstverständ- lich sind auch andere Schnittstellen bzw. Protokolle für den Datenaustausch einsetzbar.

In einer bevorzugten Ausführungsform der erfindungsgemäßen Vorrichtung ist vorgesehen, dass das Authentisierungs-und/ oder Identifikations-Modul als Hardwarelösung oder als Firmwarelösung realisiert ist.

Insbesondere sieht eine spezielle Ausführungsform vor, dass zur Implementierung des Authentisierungs-und/oder Identi- fikations-Moduls eine FPGA-Komponente dient.

Vorteilhafterweise umfaßt eine Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten-und/oder Kommuni- kationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, neben einem Authentisierungs-und/ oder Identifikations-Modul zusätzlich ein Kompressionsmodul, ein GPS-Modul und/oder ein Modul für paketorientierte Sprach-

dienste, wie beispielsweise Telefonie über Voice over IP (VoIP). In diesem Falle ist vorgesehen, dass die Vorrichtung zusammen mit einem Modul für paketorientierte Sprachdienste, wie beispielsweise Telefonie über Voice over IP (VoIP), eine für ein Head Set geeignete Schnittstelle aufweist.

Durch die Integration der erfindungsgemäßen Smartcard- Funktionalität in die WLAN-Karte wird eine sichere Authentisierung ohne großen Aufwand für eine Vielzahl von Geräten erschlossen. Wahlweise kann diese Funktionalität als hardwarebasierte oder als firmwarebasierte Lösung bereit- gestellt werden. Die Ähnlichkeit zu einer Smartcard-Authenti- sierung besteht darin, dass die geheime Information, der private Schlüssel, nicht aus dem Hardwaremodul herausgelangt.

Die zu signierenden Daten werden an das Modul übergeben und das Ergebnis wird zurückgeliefert. Der Zugriff auf die Hardware wird durch technische Maßnahmen soweit eingeschränkt, dass der Zugriff auf die geschützten Informationen mit einem vertretbaren Aufwand nicht möglich ist.

Die Realisierung erfolgt beispielsweise durch eine Erweiterung der karteninternen Software (Firmware). Dieses ist ohne Modifikation der eigentlichen Hardware möglich. Es würde völlig ausreichen, bereits vorhandene Firmware zu erweitern.

Die Modifikation der Firmware könnte beispielsweise darin bestehen, alle gesendeten EAPOL (EAP over LAN) Pakete aus den empfangenen Daten herauszufiltern, auszuwerten und zu beant- worten. In diesem Falle werden dazu entsprechende krypto- graphische Funktionen implementiert.

Die erfindungsgemäße Lösung lässt sich in allen WLAN- Anwendungen einsetzen, welche eine sichere Authentisierung bzw. Identifizierung erfordern.

Eine Großflächige WLAN-Vernetzung erfordert eine Vielzahl von Zugangspunkten. Diese WLAN-Hotspots werden dabei in der Regel von unterschiedlichen Betreibern bereitgestellt, die darüber hinaus im allgemeinen auch unterschiedliche Zugangsverfahren

durchführen. Für eine kommerzielle Nutzung sind Mechanismen für die Zugangskontrolle, Zugangsbeschränkung und Abrechnung unerlässlich. Diese setzen eine sichere Authentisierung bzw.

Identifizierung des Nutzers voraus. Um die Situation dieser Vielzahl von Zugangserfordernissen, die durch die verschie- denen Provider berücksichtigt werden müssen, zu umgehen, wurde eine Systemarchitektur mit einem zentralisierten Support-und Service-Center (zentraler Service-Stelle für Hotspots) vor- geschlagen, das dann die Zugangsberechtigungen der Nutzer mit einem speziell dafür konzipierten und im Hotspot installierten Proxi (RADIUS-Proxi) überprüft, die Abrechnung von Gebühren für die Clients und für die Hotspots übernimmt sowie umfang- reiche Support-und Serviceleistungen anbietet.

In Verbindung mit dieser einheitlichen Struktur können das erfindungsgemäße Zugangsverfahren und die erfindungsgemäße WLAN-Schnittstellenkarte vorteilhaft eingesetzt werden. Der einheitliche Zugang wird mit der erfindungsgemäßen WLAN- Schnittstellenkarte vorgenommen, wobei die WLAN-Schnittstelle mit einer Smartcard-Funktionalität zu einer Einheit kombiniert bzw. verschmolzen wird. Damit kann eine zentralisierte Über- prüfung durch Einsatz von privaten Geheimschlüsseln vorgenom- men werden, um die Berechtigung des Netzzuganges für einen Klienten sicherzustellen. Das Konzept bietet die höchste Sicherheit, Integrität und Transparenz des Systems für die Nutzer bei der Kommunikation und dem Datenaustausch im Internet Damit entsteht ein System, welches eine vollständige Infra- struktur für großflächige öffentliche WLAN-Netze mit einem horizontalen Handover liefert, angefangen von sicheren Authen- tisierungsmöglichkeiten und der Bereitstellung individueller, personalisierter Dienste bis hin zur Nutzerverwaltung und Abrechnung.

Eine sichere Authentisierung wird dadurch erreicht, indem die entsprechenden Mechanismen in die WLAN-Zugangshardware integ- riert werden. Dazu wird beispielsweise die Authentisierung nach IEEE 802. 1X mit EAP/TLS genutzt, und es kommen krypto-

graphische Verfahren zum Einsatz, bei welchen Zertifikate übertragen werden. Das eigentliche Geheimnis, der Schlüssel, verlässt die WLAN-Karte nie. Dadurch ist es nicht ohne wie- teres möglich, einen fremden Schlüssel abzuhören oder aus- zuspähen. Somit erfolgen die Prozesse zur Authentisierung ohne Beteiligung des Betriebssystems, was einerseits keinen zusätzlichen Aufwand für den Nutzer bedeutet und andererseits eine große Systemunabhängigkeit gewährleistet.

Nachfolgend wird die Erfindung unter Bezugnahme auf die Figuren der Zeichnungen an einem Ausführungsbeispiel näher erläutert. Es zeigen : Figur 1 : Veranschaulichung der WLAN-Systemarchitektur bei Einsatz eines zentralen zentralisierten Support-und Service-Centers ; Figur 2 : Veranschaulichung der bei einer 802. 1X Authen- tisierung ablaufenden Kommunikationsprozesse ; Figur 3 : schematische Darstellung einer Inhärenten WLAN- Schnittstellenkarte mit erweiterter Funktionalität ; Figur 4 : Veranschaulichung einer durch ein Voice-Gateway erweiterten Systemarchitektur.

Eine großflächige WLAN-Vernetzung erfordert eine Vielzahl von Zugangspunkten, sogenannten WLAN-Hotspots, die im allgemeinen durch unabhängige Provider mit unterschiedlichen Zugangsver- fahren angeboten werden. Für eine kommerzielle Nutzung sind Mechanismen für die Zugangskontrolle, Zugangsbeschränkung und Abrechnung unerlässlich. Diese setzen eine sichere Authen- tisierung bzw. Identifizierung des Nutzers voraus. Auf dieser Basis ist es möglich, eine Vielzahl von Daten (z. B. Ver- bindungszeit, Transfervolumen) für Abrechnungszwecke zu erfas- sen. Dazu muss sicher gestellt werden, dass das Identi- fizierungsverfahren einige wesentliche Eigenschaften erfüllt : - Sicherheit : Eine Nutzung des Internetzugangs und der angebotenen Dienste soll nur durch einen authentisierten Nutzer möglich sein. Die Verwendung einer falschen Nutzer- identität soll nahezu ausgeschlossen werden. Damit soll die

höchste, heute verfügbare Datensicherheit für einen Nutzer bereitgestellt werden.

- Kompatibilität : Das verwendete Authentisierungs-/Identifi- zierungsverfahren soll mit einer Vielzahl von bestehenden und zukünftigen Systemen (Hardware und Software) zusammenarbeiten können, ohne dass für jeden Einzelfall aufwendige Anpassungen erforderlich sind.

- Einfachheit : Der Aufwand zur Einrichtung des Netzzugangs und der Identifizierungs-/Authentisierungsmechanismen soll sich auf ein Minimum beschränken. Es sollen dazu auch keine weitreichenden technischen Kenntnisse erforderlich sein.

Der eigentliche Netzwerkzugang erfolgt über eine große Anzahl von Hotspots (siehe Figur 1). Diese bestehen aus einem oder mehreren Access Points (AP) für die WLAN-Verbindung, einem Router für den Internetzugang und wahlweise weiteren Komponenten für lokale Datenerfassung, Dienste usw. Des weiteren liegt den folgenden Ausführungen die oben erwähnte Systemarchitektur mit zentralisiertem Support-und Service- Center (zentraler Service-Stelle für Hotspots) zugrunde, welches die Zugangsberechtigungen der Nutzer mit einem speziell dafür konzipierten und im Hotspot installierten Proxi (RADIUS-Proxi) überprüft, die Abrechnung von Gebühren für die Clients und für die Hotspots übernimmt sowie umfangreiche Support-und Serviceleistungen anbietet. Die Authentisierung wird zentral durch ein im zentralen Support-und Service- Center eingerichteten Authentication Server überprüft.

Die Zugangskontrolle erfolgt durch den Access Point nach dem Standard IEEE 802. 1X (siehe Figur 2). Versucht ein neuer Client, eine Verbindung aufzubauen, fordert der AP von diesem eine Identifizierung 1. Der Client sendet seine Identifikation zum AP 2, welche anschließend vom AP zum Authentication Server weitergeleitet wird 3. Der Authentication Server kann mehrere Anfragen an den Client stellen 4 und anhand der Antworten 5 den Netzwerkzugang erlauben oder ablehnen 6. Erst nach Erhalt der Zugangsgenehmigung ermöglicht 7 der Access Point eine

Verbindung des Clients zum Internet. Um Manipulationen bei der Zugangskontrolle entgegenzuwirken, erfolgt die Übertragung der Zugangsinformationen verschlüsselt.

Die Kommunikation zwischen einem Client und einem Access Point erfolgt über das Extensible Authentication Protocol (EAP). Der Informationsaustausch mit dem Authentication Server erfolgt über das Internet mittels Remote Authentication Dial In User Service (RADIUS). Neben der Zugangskontrolle dient der RADIUS Server auch der Erfassung der Verbindungsdaten. Diese werden vom Access Point ebenfalls mittels RADIUS übertragen.

In dem zentralen Support-und Service-Center werden alle notwendigen Informationen vom RADIUS-Server gesammelt und in einer zentralen Datenbank hinterlegt. Diese dient der Spei- cherung aller Informationen, welche zum Betrieb des Systems notwendig sind. Das umfasst Zugangsdaten, Abrechnungsinfor- mationen, Managementdaten usw. Die Auswertung und Abrechnung erfolgt durch ein angeschlossenes Billing-System. Durch die gesammelten Informationen (Verbindungszeit, Transfervolumen, genutzte Dienste) ist eine Vielzahl von verschiedenen Abrechnungsmodellen möglich.

Die erfindungsgemäße WLAN-Schnittstellenkarte enthält neben Modulen für die drahtlose Kommunikation nach den Standards 802.11 b, g, a o. ä. eine Reihe von weiteren Merkmalen. In einer speziellen Ausführungsform ist sie als eine Inhärente WLAN-Schnittstellenkarte mit integrierter Sicherheitsfunk- tionalität, einem VoIP-Modul für Telefonie ins Fest-bzw.

Mobilnetz, einem GPS-Modul zur Ortsbestimmung und einem Kom- pressionsmodul zur Durchführung von Datenkomprimierungen mit Koprimierungsalgorithmen ausgestattet (vgl. Figur 3).

Das Security-Modul sorgt für eine sichere Datenübertragung sowohl bei der Authentisierung als auch während der laufenden Kommunikation auf der Basis einer Chiffrierung von Daten mit öffentlichen und privaten Schlüsseln. Dieses Modul wird je nach Anforderungen als eine Hardware-oder als eine Firmware- Lösung realisiert. Die Hardware-Lösung wird z. B. durch eine

FPGA-Komponente implementiert. Der FPGA-Baustein wird derart programmiert, damit bei unbefugtem Eingriff seine Funktionalität zerstört, so dass der geheime Schlüssel nicht wieder gefunden werden kann. Eine Software-Lösung kann wiederum als Firmware-Ergänzung in Betracht gezogen werden.

Zur Optimierung der Datenübertragung sind unterschiedliche <BR> <BR> Komp. ressions- bz-w. Verdichtungsalgorithemen bekannt geworden.

Durch eine Verdichtung von Daten wird die Menge der zu über- tragenden Daten und damit die Übertragungszeiten teilweise in hohem Maße reduziert. In dem vorgeschlagenen System kann die beispielhafte WLAN-Smartcard-Schnittstelle mit einem Verdich- tungsalgorithmus entweder als eine Zusatz-Hardware oder als Firmware innerhalb des Steuerprozessors ergänzt werden, um die genannten Vorteile zu erzielen. Die Hadware-Lösung zeichnet sich durch die hohe Geschwindigkeit aus, so dass die Latenz- zeit gering bleibt. Als Verdichtungsalgorithmen werden ver- lustfreie Verfahren zur Gewinnung der originären Daten ver- wendet, während die verlustbehafteten Verfahren für Video-und Audio-Ströme eingesetzt, da sie bei Verlust von Daten in bestimmten Bereichen unempfindlich sind.

Besonders effektiv kann dieser Kompressions-Modul in Verbin- dung mit dem zentralisierten Support-und Service-Center ein- gesetzt werden, denn in diesem Falle können weit leistungs- stärkere Kompressionsverfahren genutzt werden, als in her- kömmlichen Netzen, in denen lediglich einfache Kompressions- verfahren eingesetzt werden können. Der Einsatz von Verfahren mit hoher Komprimierung würde vor allem sie Akzeptanz von vielfältigen Inhalten, wie bspw. Video-on-Demand o. ä., stark erhöhen, da so die Download-Zeiten und somit die Kosten erheb- lich reduziert würden.

Das GPS-Modul ist für Lokalisierung des Nutzers verwendet, um dem Nutzer Dienste mit lokalem Kontext zur Verfügung stellen zu können. Hier wird mit dem Modul entweder in gleichmäßig periodischen Zeitpunkten oder je nach Bedarf, z. B. falls eine Anfrage vorliegt, die Lokalisierung des Gerätes vorgenommen und dem zentralen Support-Center mitgeteilt, in dem die not- wendigen Informationen bereitgestellt werden. Damit wird die

Aufgaben zu"Local-Based-Support"für optimale Unterstützung des Nutzers bei ortsbezogenen Diensten erreicht.

Das VoIP-Modul soll, wie der Name darstellt, einen paket- orientierten Sprach-Dienst bereitstellen. Ein Gespräch erfolgt über das mobile Endgerät entlang der Kommunikationsstrecke zwischen dem Endgerät und dem zentralen Support-Center, wo mit Hilfe eines Gateway eine Verbindung zum PSTN oder eines der mobilen Provider hergestellt wird. Auch umgekehrt können die ankommenden Anrufe für den jeweiligen Nutzer auf dem gleichen Weg weitervermittelt werden. Gespräche innerhalb der Hotspots können nach Methoden der VoIP mit bisher bekannt gewordenen Protokollen wie beispielsweise H323 und SIP erfolgen. Durch die vorgesehenen Sicherheitsmechanismen werden auch die Gespräche mit entsprechenden Verschlüsselungen versehen.

In einem speziellen Ausführungsbeispiel ist vorgesehen, dass die VoIP-Verbindung allein über das VoIP-Modul der Schnitt- stellenkarte hergestellt und aufrechterhalten wird, ohne den Prozessor und ohne das Betriebssystem des Kommunikationsend- gerätes zu nutzen. Die Schnittstellenkarte weist hierfür Anschlußmöglichkeiten für ein Head Set auf. Die VoIP- Funktionalität wird damit allein von der Schnittstellenkarte bereitgestellt, und eine Nutzung dieser VoIP-Funktionalität ist somit von einer Installation entsprechender Applikationen auf dem Kommunikationsendgerät unabhängig.

Eine weitere Anwendungsmöglichkeit eines solchen VoIP-Moduls besteht darin, dieses VoIP-Modul allein mit einer herkömmlichen WLAN-Schnittstellenkarte zu kombinieren. Damit würde ein mobiles WLAN-fähiges VoIP-Telefon bereitgestellt, welches darüber hinaus über eine Schnittstelle für weitere Kommunikationsendgeräte, wie beispielsweise Notebooks oder PDA's, verfügt und so außerdem als Schnittstellenkarte für diese Kommunikationsendgeräte genutzt werden kann, um diesen Kommunikationsendgeräten den Zugang zu einem WLAN-Netz zu ermöglichen.

Um die eigenständige Nutzung von auf der WLAN-Schnittstel- lenkarte implementierten Funktionalitäten, wie bspw. der VoIP- Funktionalität, zu ermöglichen, wird in einem speziellen Aus-

führungsbeispiel für die Stromversorgung der Schnittstellen- karte die Stromversorgungseinheit des Kommunikationsendgerätes genutzt.

In einer weiteren Ausführungsform werden für die Authen- tisierung Schnittstellen der Kommunikationsendgeräte genutzt.

Die meisten neuen Kommunikationsendgeräte wie Notebooks oder PDA's verfügen über drahtlose Schnittstellen wie etwa Infrarot-oder Funk-Schnittstellen (Bluetooth). Um eine weitere Vereinheitlichung der Nutzerverwaltung zu erreichen, können für die Authentisierung eines Nutzers bei der Einwahl beispielsweise in das Internet oder speziell auch in ein Daten-oder Kommunikationsnetz, welches eine Systemarchitektur mit einem zentralisierten Support-und Service-Center aufweist, auch die Sicherheits-bzw. Identitätsfunktionen genutzt werden, die von einer SIM-Card bereitgestellt werden.

Die SIM-Card müßte sich nicht in dem Kommunikationsendgerät befinden, sondern könnte sich in einem weiteren, über eine entsprechende Schnittstelle kontaktierbaren Gerät, beispielsweise einem bluetooth-fähigen Mobiltelefon, befinden.

Um die Funktionen der SIM-Card zu nutzen, baut das in der Einheit zum Verbindungsaufbau integrierte Sicherheitsmodul eine Verbindung zu der SIM-Card auf und tauscht die erforderlichen Informationen mit der SIM-Card und dem Authentication Server im Kommunikationsnetz aus. Das integrierte Sicherheitsmodul operiert dabei sozusagen als Mittler. Es sei jedoch betont, dass die Authentisierung selbst durch das Sicherheitsmodul erfolgt und nicht separat durch die SIM-Card. Die SIM-Card kommuniziert bei diesem Verfahren nicht mit dem Netz und speziell nicht mit dem GPRS-oder GSM-System, sondern die Authentisierung erfolgt ausschließlich über den Internetprovider, mit dem der Nutzer eine Netzzugangs- Vereinbarung geschlossen hat, speziell beispielsweise über den Authentication Server des zentralisierten Support-und Service-Centers.

Analog kann die erforderliche Verbindung zwischen der erfin- dungsgemäßen Vorrichtung zum Verbindungsaufbau und der SIM-

Card auch auf andere Art hergestellt werden, z. B. durch eine elektrische Verbindung der SIM-Card mit einem Steckplatz für die WLAN-Schnittstellenkarte. Diese Ausführungsvariante ist z. B. vorgesehen, wenn sich in dem Kommunikationsendgerät selbst eine SIM-Card befindet, wie das zum Beispiel in sogenannten Smart Phones-internet-und multimediafähigen Mobiltelefonen-der Fall ist.

Die Erfindung beschränkt sich in ihrer Ausführungsform nicht auf die vorstehend angegebenen bevorzugten Ausführungsbei- spiele. Vielmehr ist eine Anzahl von Varianten denkbar, die von dem erfindungsgemäßen System und dem erfindungsgemäßen Verfahren auch bei grundsätzlich anders gearteten Ausführungen Gebrauch machen.