EP1961168A1 - Mobile station als gateway für mobile endgeräte zu einem zugangsnetz sowie verfahren zur netzanmeldung der mobilen station und der mobilen endgeräte - Google Patents

Abstract

Mobile Station als Gateway für mobile Endgeräte zu einem Zu- gangsnetz sowie Verfahren zur Netzanmeldung der mobilen Station und der mobilen Endgeräte Mobile Station (MS-GW), welche als Gateway für ein oder meh- rere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobilen Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen, wobei die mobile Station (MS-GW) ein netzbasiertes Mobilitätsmanagement (PMIP) unterstützt, so dass die mobile Station (MS-GW) im Rahmen einer Mobile-IP-Verbindung als Client anstelle der mobilen Endgeräte (ME) bei der Kommunikation mit einem Heimagenten (HA) eines mit dem Zugangsnetz (ASN) verbundenen Heim- oder Zwischennetzes (V-CSN, HN1) auftritt.

Description

Beschreibung

Mobile Station als Gateway für mobile Endgeräte zu einem Zu^¬ gangsnetz sowie Verfahren zur Netzanmeldung der mobilen Sta- tion und der mobilen Endgeräte

Die Erfindung betrifft eine mobile Station (MS-GW) , welche als Gateway für ein oder mehrere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobi- len Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen. Die Erfindung betrifft insbesondere auch solche mobilen Sta^¬ tionen, die drahtlos mit Zugangsnetzen (ASN) kommunizieren, wie beispielsweise bei WiMAX-Netzen .

Netze, die mobilen Endgeräten wie Laptops, PDAs, etc. Zugang etwa zum Internet verschaffen sollen, unterliegen besonderen Anforderungen bezüglich des Mobilitätsmanagements. Das her^¬ kömmliche Internet-Protokoll ist ursprünglich nicht für den mobilen Einsatz konzipiert worden. Bei stationären Rechnern, die Daten bzw. Pakete austauschen, kann grundsätzlich eine für die Zeitdauer der Verbindung feste IP-Adresse zugeordnet werden. Wandern diese Rechner zwischen verschiedenen Subnet- zen, so kann gemäß dem herkömmlichen IP-Standard die Verbindung nicht mehr aufrechterhalten werden. Auch ist eine Ände- rung er Netzwerkadresse selbst in einer laufenden Verbindung nicht vorgesehen, bzw. es resultiert ein Abbruch der Verbindung .

Das DHCP (Dynamik Host Konfiguration Protocol) ermöglicht an- hand eines dedizierten Servers die dynamische Zuweisung einer IP-Adresse und weiterer Konfigurationsparameter an ein Endgerät oder eine Station in einem Netzwerk. Ein solches Gerät bekommt, sobald es in ein Netzwerk eingebunden wird, automa^¬ tisch eine (noch freie) IP-Adresse durch das DHCP-Protokoll zugewiesen. Ist bei einem mobilen Endgerät DHCP installiert, so braucht es lediglich in den Bereich eines lokalen Netzwerkes kommen, das die Konfiguration über das DHCP-Protokoll unterstützt. Bei dem DHCP-Protokoll ist eine dynamische Adress- vergäbe möglich, d.h. eine freie IP-Adresse wird automatisch für eine bestimmte Zeit zugeteilt. Nach Ablauf dieser Zeit muss die Anfrage durch den mobilen Rechner entweder erneut gestellt werden oder die IP-Adresse kann anderweitig vergeben werden.

Mit DHCP kann ein mobiles Endgerät ohne manuelle Konfigurati^¬ on in ein Netzwerk eingebunden werden. Als Voraussetzung muss lediglich der DHCP-Server zur Verfügung stehen. Das mobile Endgerät kann auf diese Weise Dienste des lokalen Netzwerkes nutzen. Bietet ein mobiles Endgerät bzw. eine mobile Station jedoch selbst Dienste an, kann ein potentieller Dienstnutzer dieses Gerät nicht in geeigneter Weise adressieren, da sich dessen IP-Adresse in jedem Netzwerk, in das es eingebunden wird, ändert.

Trotz DHCP werden daher die Anforderungen an Mobilität durch das herkömmliche Internet-Protokoll (IP) nicht erfüllt. Es wurde daher ein besonderes Protokoll, Mobile IP (MIP) ge- schaffen, das den gesonderten Anforderungen Rechnung trägt. Bei Mobile-IP erhält ein mobiles Endgerät bzw. eine mobile Station eine IP-Adresse, die es auch bei Aufenthalt in einem anderen Netzwerk beibehält.

Bei herkömmlichem IP wäre es dabei notwendig, die IP Adres^¬ sen-Einstellungen für die beteiligten Router entsprechend anzupassen. Eine ständige Anpassung von IP- und Routing- Konfigurationen auf dem Endgerät ist aber nicht praktikabel. Das MlP-Protokoll (RFC 2002, RFC 2977, RFC3344, RFC3846, RFC3957, RFC3775, RFC3776, RFC4285) unterstützt dagegen die Mobilität von mobilen Endgeräten, indem es ihm zwei IP- Adressen zuweist, nämlich eine permanente Home-Adresse und eine zweite, temporäre Care-Of-Adresse . Die Care-Of-Adresse ist die IP-Adresse, unter der das mobile Endgerät aktuell - z.B. in einem von ihm besuchten Netz - erreichbar ist. Die

Vermittlung von Informationen, die an die permanent verfügbare Heimadresse gerichtet sind, zum mobilen Endgerät wird durch Heim- und Fremdagenten bewerkstelligt . Der Heimagent (Home Agent) ist ein Stellvertreter des mobilen Endgerätes, solange sich das mobile Endgerät nicht in dem ur^¬ sprünglichen Heimnetz aufhält. Der Heimagent ist ständig über den aktuellen Aufenthaltsort des mobilen Rechners informiert. Der Heimagent stellt üblicherweise eine Komponente eines Rou^¬ ters im Heimnetz (oder einem Zwischennetz) des mobilen Endgerätes dar. Wenn das mobile Endgerät sich außerhalb des Heim^¬ netzes befindet, stellt der Heimagent eine Funktion bereit, damit sich das mobile Endgerät anmelden kann. Danach leitet der Heimagent die an das mobile Endgerät adressierten Daten^¬ pakete in das aktuelle Netz des mobilen Endgerätes weiter.

Ein Fremdagent (Foreign Agent) befindet sich in demjenigen Netz, in dem sich das mobile Endgerät bewegt. Der Fremdagent leitet eingehende Datenpakete an das mobile Endgerät bzw. an den mobilen Rechner weiter. Der Fremdagent stellt dabei ebenfalls üblicherweise eine Komponente eines Routers dar und routet administrative Mobile-Datenpakete zwischen dem mobilen Endgerät und dessen Heimagenten. Der Fremdagent entpackt die von dem Heimagent gesendeten, getunnelten IP-Datenpakete und leitet deren Daten an das mobile Endgerät weiter.

Damit ein mobiles Endgerät in ein Netz eingebunden werden kann, muss es zunächst in Erfahrung bringen, ob es sich in seinem Heim- oder einem Fremdnetz befindet. Zusätzlich muss das mobile Endgerät in Erfahrung bringen, welche Station in dem (ggf. besuchten) Netz der Heim- bzw. der Fremdagent ist. Diese Informationen werden durch ein Agent Discovery ermit- telt.

Durch eine Registrierung kann das mobile Endgerät seinen aktuellen Standort seinem Heimagenten (HA) mitteilen. Hierzu sendet das mobile Endgerät dem Heimagenten die aktuelle Care- Of-Adresse zu - im Rahmen einer Registrierungsanforderung an den Heimagenten. Der Heimagent (HA) antwortet mit einer Registrierungsantwort . Die Registrierung wird abgesichert durch eine vorab durchge^¬ führte Authentikation . Das mobile Endgerät und der Heimagent verfügen danach über z.B. gemeinsame geheime Schlüssel. Die Aufgabe der Authentikation wird durch einen dem Heimagenten im Heimnetz (Home Connectivity Serving Network) des mobilen Endgerätes zugeordneten Authentikationsserver übernommen, auch AAA-Server genannt (AAA: Authentication, Authorization and Accounting) . Befindet sich der Heimagent in einem besuchten Zwischennetz (visited Connectivity Serving Network, CSN) so wird ihm in diesem Netz ein Proxy-Authentikationsserver zur Seite gestellt. Der Heimagent und der Authentikationsserver bzw. dessen Proxy können Module auf ein und demselben Rechner sein.

Mobile Datennetze werden in der Regel durch Funkverbindungen realisiert. Es müssen dann die Nachrichten längere Strecken über Luftschnittstellen zurücklegen und sind somit für potentielle Angreifer leicht erreichbar. Bei mobilen und drahtlosen Datennetzen spielen daher Sicherheitsaspekte eine beson- dere Rolle. Ein mobiles Endgerät besitzt als ersten Anlauf^¬ punkt in einem besuchten Netz daher meist ein Zugangsnetz (Access Serving Network, ASN) , das die Basisstation für die drahtlose Übertragung umfasst. Neben der Vereinbarung von Schlüsseln für die Kommunikation mit den Authentikationsser- vern und den Heimagenten sind daher auch weitere Schlüssel für die Funkdatenübertragung erforderlich.

Neben der bekannten WLAN-Technik (Wireless Local Area Network, Standard IEEE 802.11) ist als drahtloser Zugang für mo- bile Endgeräte in jüngerer Vergangenheit eine viel verspre^¬ chende drahtlose Zugangstechnologie bekannt geworden, die auch größere Reichweiten von bis zu 30 km oder mehr (Sichtlinie) bei hohen Datendurchsätzen von 75 Mb/s erreicht: WiMAX (Worldwide Interoperability for Microwave Access) . WLAN er- reicht aufgrund der begrenzten Sendeleistung bei 100 m Abstand (direkte Sichtlinie) 54 Mb/s. Während mit WLAN daher gerade einmal Hotspots innerhalb von Gebäuden realisierbar sind, können bei WiMAX ganze Stadteile als Metrospots ausge- wiesen werden (etwa 800 - 1000 m Radius) . Drei Frequenzbänder um 2.6 GHz, 3.5 GHz und 5.8 GHz mit Breiten von 100 - 200 MHz sind für WiMAX vorgesehen.

WiMAX unterstützt zwei Varianten von Mobile IP, mit denen ein Makro-Mobilitätsmanagement ermöglicht wird: Proxy - Mobile IP und Client - Mobile IP (basierend auf Mobile IPv4 oder v6) .

Beim Client-MIP (CMIP) verfügt das mobile Endgerät bzw. die mobile Station für Mobile-IP-Funktionalität . Insbesondere ist das Endgerät oder die Station mit eigener IP-Adresse und der^¬ jenigen seines/ihres Heimagenten versehen und besitzt ent^¬ sprechende Schlüssel für die Kommunikation. Das Endgerät bzw. die Station verfügt dann über ein so genanntes endgeräte- basiertes Mobilitätsmanagement.

Beim Proxy-MIP (PMIP) ist die MIP-Client-Funktionalität durch das WiMAX-Zugangsnetz (WiMAX-ASN) anstatt durch das mobile Endgerät selbst realisiert. Die im Zugangsnetz (ASN) vorgese- hene Funktionalität wird als Proxy Mobile Node (PMN) oder als PMIP-Client bezeichnet. Bei dieser Konfiguration kann auch ein solches Endgerät Zugang zu Zwischen- und Heimnetzen finden, dass Mobile-IP gerade nicht unterstützt. Der PMIP-Client übernimmt die MIP-Signalisierung stellvertretend für den ei- gentlichen Client, dem mobilen Endgerät. Das mobile Endgerät zieht dann Nutzen aus einem so genannten netz-basierten Mobilitätsmanagement, das ihm der PMIP-Client zur Verfügung stellt.

Als Mobilitätsmanagement bzw. Makro-Mobilitätsmanagement

(Makro-MM) wird hier die Verfahrensweise bei der Übergabe ei^¬ ner mobilen Station oder eines mobilen Endgerätes bezeichnet, das zwischen zwei Zugangsnetzen (ASN) bzw. zwischen Netzen zweier Netzanbieter (NAP, Network Access Provider) wechselt. Makro-MM wird bei WiMAX auch als R3-Mobility oder Inter-ASN- Mobility bezeichnet. In beiden Fällen muss auf der Gegenseite vom mobilen Endgerät oder CMIP-/PMIP-Client das Heimnetz-CSN (HN), d.h., der Service-Provider der Benutzers ebenfalls Mobile IP unterstützen, um die Kommunikation zu ermöglichen. So fragt etwa bei einer der Authentikation folgenden Registrierung der Heimagent (HA) bei dem Authentikationsserver (AAA-MS) der mobilen Station (MS) Sicherheitsparameter ab. Diese Parameter werden benötigt, damit sich nur ein berechtigter Client beim Heimagenten (HA) registrieren kann.

Ferner wird gemäß Mobile IP dem CMIP- oder PMIP-Client die Adresse des Heimagenten (HA) zugewiesen. Der Heimagent (HA) kann sich dabei im Heimnetz (HN) oder auch im besuchten Zwischennetz (CSN) befinden. Diese Grundfunktionalitäten müssen gewahrt bleiben.

Proxy-Mobile-IP unterstützt die Mobilität nicht MIP-fähiger mobiler Endgeräte (ME) . Der entsprechende PMIP-Client befin^¬ det sich dabei in einem Gateway (GW) , welches im Zugangsnetz (ASN) positioniert ist, mit dem die mobilen Endgeräte (ME) drahtlos über eine Basisstation (BS) kommunizieren.

Sollen nun aber die mobilen Endgeräte jeweils anderen Netzbetreibern (NAP) zugeordnet sein (unterschiedliche Subskrip- tionen beim Roaming) , so entsteht demjenigen Netzbetreiber, der das Gateway im Zugangsnetz betreibt, ein nicht unerhebli^¬ cher Aufwand um diese erweiterte Funktionalität im PMIP- Client in dem Gateway des Zugangsnetzes abzubilden. Er muss dann nämlich dort auch die für die Netzanmeldung erforderli- che AAA-Infrastruktur im Zugangsnetz ASN bereitstellen.

Im Fall von WLAN-Netzen werden DSL-Gateways oftmals im Heimbereich und nicht auf Seite eines Netzanbieters eingesetzt. Hinter solchen Gateways sind - vom Netzanbieter aus gesehen - mobile

Endgeräte erreichbar. In diesem Fall ist nur die Subskription mit dem einen Netzanbieter selbst möglich, der das Gateway vermittelt hat. Die mobilen Endgeräte besitzen keine Sub^¬ skription .

In öffentlichen WLAN-Netzen, etwa Hotspots als drahtlose Ho- telnetze etc., sind dagegen durchaus Subskriptionen mit ande^¬ ren Netzanbietern vorgesehen. Voraussetzung ist lediglich, dass der Hotspot-Anbieter einen Vertrag mit dem dritten Netzanbieter geschlossen hat und demgemäß Verbindungen für die mobilen Endgeräte in dem Hotspot herstellt.

Zwar ist für den Zugang eine EAP-basierte Authentikation (EAP: Extensible Authentication Protocol, RFC 3748) sowohl für das Gateway als auch für die Endgeräte vorgesehen, wenn das Gateway eine Authentikator-Funktionalität zur Verfügung stellt. Aber das Gateway besitzt hier keine Funktionalität zur Ermittlung des jeweiligen Heimnetzes der mobilen Endgeräte.

Dazu müsste das Gateway nämlich wenigstens im Besitz der IP- Adresse und eines gemeinsamen Schlüssels mit dem jeweils zu^¬ ständigen Authentikationsserver des Heimnetzes eines mobilen Endgerätes sein.

Ferner besitzen bei diesen WLAN-Szenarien die mobilen Endge- rate wie auch das Gateway selbst keinerlei Mobilität, sie sind beispielsweise auf den Standort des Hotels angewiesen.

Es besteht daher das Erfordernis, nicht MIP-fähigen Endgerä^¬ ten einen sicheren Zugang zu ihren jeweiligen Heimnetzen zu gewähren und gleichzeitig deren Mobilität zu gewährleisten, dabei aber den Aufwand für die Umsetzung des damit verbunde^¬ nen Mobilitätsmanagement zu gering zu halten.

Diese Anforderungen werden durch eine mobile Station mit den Merkmalen des Anspruchs 1 erfüllt, wobei die mobile Station selbst als Gateway eingesetzt ist. Eine Endgerätenetz aus mo^¬ bilen Endgeräten und der als Gateway eingesetzten mobilen Station ist im Anspruch 14 angegeben. Ein System von Netzen, das das Endgerätenetz, ein Zugangsnetz, ein Zwischennetz und wenigstens ein Heimnetz für eines der mobile Endgeräte und ein weiteres Heimnetz für die mobile Gateway-Station umfasst, ist im Anspruch 16 angegeben.

Die entsprechende Aufgabe wird ferner gelöst durch ein Ver^¬ fahren mit den Merkmalen gemäß Anspruch 18. Vorteilhafte Aus^¬ gestaltungen sind jeweils den unabhängigen Ansprüchen zu entnehmen .

Es wird vorgeschlagen, den PMIP-Client, welcher ein netzbasiertes Mobilitätsmanagement ermöglicht, einer mobilen Stati^¬ on (MS-GW) zuzuordnen, welche als Gateway für ein oder mehrere mobile Endgeräte (ME) eingerichtet ist. Gegenüber der be- kannten Variante von Proxy-Mobile-IP wird die PMIP-Client- Funktionalität demnach vom Gateway im Zugangsnetz (ASN) in den Bereich der mobilen Endgeräte (ME) verschoben.

Die Begriffe mobile Station und mobiles Endgerät für sich ge- nommen können grundsätzlich auch gleiche Typen von Rechnern bezeichnen. Jedoch besitzt die mobile Station hier die Eigenschaft, als Gateway eingerichtet zu sein. Sie besitzt daher zusätzliche, über die mobilen Endgeräte hinausgehende Merkma^¬ le wie auf logischer Seite etwa Adresstabellen der in dem Endgerätenetz angemeldeten Endgeräte, und auf physikalischer Seite z.B. Netzwerkkarte für Netzwerkkabelanschluss und/oder Sende-/Empfangsvorrichtung für drahtlose Funkwellen. Das Endgerätenetz wird durch die Infrastruktur der als Gateway verwendeten mobilen Station (MS-GW) bestimmt . Das Gateway be- sitzt jedenfalls zwei Datenein-/ausgänge, um Verbindungen zwischen Netzen und/oder einzelnen Peers herstellen zu können .

Gemäß Ausführungsformen kommunizieren die mobilen Endgeräte mit der Gateway-mobilen Station (MS-GW) drahtlos oder drahtgebunden. Beispiele sind ein lokales WLAN-Netz oder ein Ethernet-Kabelnetz . Mit besonderem Vorteil kann die Erfindung in WiMAX-Netzen eingesetzt werden. Die Gateway-mobile Station kommuniziert dann auf ihrer Ausgangsseite - von den mobilen Endgeräten aus gesehen - drahtlos mit einer Basisstation (BS) eines Zugangs- netzes (ASN) . Auch hier kann ein Gateway (ASN-GW) eingerichtet sein. Von diesem kann die Verbindung weiter über Zwischennetze zu den Heimnetzen sowohl der mobilen Station (MS- GW) als auch der mobilen Endgeräte (ME) verlaufen. Insbesondere können diese Heimnetze verschieden sein, so dass belie- bige Subskriptionen für die mobilen Endgeräte möglich sind.

Anstatt eines großreichweitigen WiMAX-Netzes kann die mobile Station aber auch serverseitig in einem WLAN-Netz eingesetzt werden. Bei WiMAX-Netzen tritt der Vorteil der Erfindung aber deutlicher hervor: mobile Verkehrsmittel können die Gateway^¬ mobile Station (MS-GW) mit sich führen. Verkehrsteilnehmer, die dieses Verkehrsmittel besteigen, können sich dabei frei anmelden mit ihrem mobilen Endgerät (ME) bei ihrem Heimnetz (HN2) - und zwar über die Gateway-mobile Station (MS-GW) . Beispiele für solche Verkehrsmittel sind Taxis, Busse, Bah^¬ nen, Flugzeuge, Schiffe etc. Bei Reichweiten bei WiMAX von weniger als 1 km bei dichter Bebauung kann eine gute Netzabdeckung erforderlich sein.

Weil die Gateway-mobile Station (MS-GW) die PMIP-Funktio- nalität beisteuert, brauchen die Endgeräte nicht Mobile IP installiert zu haben. Die Gateway-mobile Station (MS-GW) tritt nämlich als Client bei der Mobile-IP-Verbindung anstelle des mobilen Endgerätes bei der Kommunikation mit einem Heimagenten (HA) des mit dem Zugangsnetz (ASN) verbundenen Zwischennetzes (CSN) auf.

Ein wesentliches Ziel ist es also, eine sichere Unterstützung mobiler Endgeräte (ME) , die nicht direkt mit dem WiMAX- Zugangs-Netz kommunizieren sondern über eine drahtlose Technologie wie WLAN IEEE 802.11 oder WiMAX IEEE 802.16 oder über eine drahtgebundene Technologie wie Ethernet IEEE 802.3 mit der WiMAX-fähigen Gateway-MS verbunden sind, im Rahmen der WiMAX-Architektur für den Zugang zum WiMAX-Netz zu gewährleisten .

Eine wichtige Komponente stellt dabei das Schlüsselmanagement dar. Für die Kommunikation der mobilen Endgeräte (ME) mit ihren jeweiligen Heimagenten (HA) ist ein gesonderter Schlüssel (PMIP-key) eingerichtet, mit dem die mobile Station (MS-GW) die entsprechenden Nachrichten sichert. Weiterhin ist ein gesonderter Schlüssel (GW-AAA-key) eingerichtet, mit dem die mobile Station (MS-GW) den Nachrichtenaustausch mit einem

Proxy-Authentikationsserver (AAA-P) im Zugangsnetz (ASN) sichert. Ausgestaltungen der Erfindungen zufolge sind verschiedene Varianten denkbar, wie diese Schlüssel (PMIP-key, GW- AAA-key) in der als Gateway verwendeten mobilen Station (MS- GW) erzeugt bzw. hinterlegt werden.

Eine erste Ausführungsform sieht vor, diesen (ersten) Schlüssel (PMIP-key) aus einem bereits vorhandenen (zweiten) Schlüssel (CMIP-key) abzuleiten. Ein solcher liegt beispiels- weise vor, wenn die als Gateway eingesetzte mobile Station

(MS-GW) zum Zweck der eigenen Mobilität selbst ein endgeräte- basiertes Mobilitätsmanagement (CMIP) betreibt. Der zweite Schlüssel (CMIP-key) wird bei der Registrierung der mobilen Station (MS-GW) gegenüber ihrem Authentikationsserver (AAA- MS) erzeugt bzw. bei der EAP-basierten Authentikation erzeugt, oder ist vorkonfiguriert.

Ein solcher zweiter Schlüssel kann auch als Schlüsselinforma^¬ tion (MSK) vom Authentikationsserver übermittelt sein, um die Luftschnittstelle bei WiMAX oder WLAN vor Angriffen Dritter zu schützen. Dann wird der erste Schlüssel (PMIP-key, GW-AAA- key) aus dieser Schlüsselinformation abgeleitet.

Eine weitere Ausführungsform sieht vor, den ersten Schlüssel (PMIP-key, GW-AAA-key) als solchen in der mobilen Station vorzukonfigurieren . Vorkonfigurieren bedeutet hier, dass er vor Verfahrensschritten der Authentikation, Adresszuweisung, Registrierung etc. bereits in der als Gateway verwendeten mobilen Station (MS-GW) vorliegt.

Die Sicherheitsbeziehung zwischen einer nicht als Gateway verwendeten mobilen Station und einem Proxy-

Authentikationsserver (AAA-P) wurde bisher ohne das Vorhandensein eines automatisierten Mechanismus für eine Schlüssel^¬ verteilung üblicherweise statisch vorkonfiguriert. Insofern stellen insbesondere die genannten Varianten einer dynami- sehen Übertragung bzw. Ableitung des ersten Schlüssels (PMIP- key, GW-AAA-key) aus vorhandenen oder übertragenen Schlüsseln (MSK, CMIP-key, etc.) vorteilhafte Ausführungsformen dar, weil der Aufwand für das Vorkonfigurieren erheblich reduziert ist.

Grundsätzlich muss, da immer zwei Parteien kommunizieren, der erste Schlüssel (im Fall des PMIP-keys) nicht nur in der mo^¬ bilen Station (MS-GW) sondern auch im Authentikationsserver (AAA-MS) vorhanden sein. Im Fall der Vorkonfiguration ist es aber auch möglich, den Schlüssel (PMIP-key) direkt im zuständigen Mobile IP Heimagenten (HA) zu hinterlegen - an Stelle des Authentikationsservers (AAA-MS) , wenn dieser Schlüssel (PMIP-key) eindeutig ist und nicht dynamisch zugewiesen wird für die MS .

Im Fall des Authentikationsschlüssels (GW-AAA-key) wird, weil der zuständige Proxy-Authentikationserver (AAA-P) gemäß der Erfindung bereits im Zugangsnetz (ASN) angelegt ist, dieser Schlüssel entsprechend beim Foreign Agent (FA) alternativ zu dem Proxy-Authentikationserver (AAA-P) hinterlegt.

Eine weitere Ausführungsform sieht vor, ein vereinfachtes Schlüsselmanagement dahingehend einzurichten, dass für viele oder alle im Endgerätenetz (EN) bei der mobilen Station (MS-GW) angemeldeten mobilen Endgeräte (ME) der gleiche erste Schlüssel (PMIP-key, GW-AAA-key) bei der Kommunikation mit dem Heimagenten (HA) verwendet wird. Um die Authentikation eines mobilen Endgerätes mittels EAP- basiertem Protokoll gegenüber dem jeweiligen Heimnetz (HN2) der ME zu ermöglichen, sobald sich das mobile Endgerät über eine mobile Station (MS-GW) mit dem WiMAX-Netz (ASN) verbin- det, ist die als Authentikator agierende mobile Station (MS- GW) in der Lage, den Authentikationsserver (AAA-ME) des jeweiligen Heimatnetzes (HN2) des mobilen Endgerätes aufzufinden können.

Den mobilen Endgeräten müssen zur verbesserten Kommunikation IP-Adressen zugewiesen werden. Eine Zuweisung von IP-Adressen für die mobilen Endgeräte (ME) ist im Rahmen der Erfindung vorgesehen. Dies kann beispielsweise durch eine sog. DHCP- Relay-Funktionalität in der als Gateway verwendeten mobilen Station (MS-GW) erfolgen.

Es ist anzumerken, dass der Heimagent (HA) im besuchten Zwischennetz (CSN) oder im Heimnetz (HNl) angelegt sein kann, je nachdem, wo sich die mobile Station befindet. Bei dem Heim- netz kann es sich auch um ein Netz vom Typ „CSN" (Connectivity Serving Network) handeln.

Die Erfindung soll nun anhand von Ausführungsbeispielen mit Hilfe von Zeichnungen näher erläutert werden. Darin zeigen:

Figur 1 eine Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP) gemäß dem Stand der Technik;

Figur 2 den Verbindungsaufbau in einer Netzstruktur nach Fig. 1 mit PMIP;

Figur 3 eine Netzstruktur bzw. System von Netzen mit netzbasiertem Mobilitätsmanagement (PMIP) gemäß einem Beispiel gemäß der Erfindung; Figur 4 einen Ausschnitt aus dem Verbindungsaufbau mit Au- thentikationsschritten des Gateways und einer ME gemäß einem Ausführungsbeispiel der Erfindung.

Figur 1 zeigt ein Beispiel einer Netzstruktur bzw. eines Systems von miteinander kommunizierenden WiMAX- oder WLAN-Netzen gemäß dem Stand der Technik. Die Kommunikation in dem dargestellten System unterliegt einem netzbasierten Mobilitätsmanagement (PMIP) .

Das mobile Endgerät (ME) 1 ist über eine drahtlose WiMAX- oder WLAN-Schnittstelle 2 mit einer Basisstation (BS) 3 eines Zugangsnetzes (ASN) 4 verbunden. Bei dem mobilen Endgerät 1 handelt es sich um ein beliebiges mobiles Endgerät, bei- spielsweise einen Laptop, einen PDA, ein Mobiltelefon, oder ein sonstiges mobiles Endgerät. Es erfüllt keine Gateway- Funktion, sondern ist wortsinngemäß ein Endgerät.

Die Basisstation (BS) 3 des Zugangsnetzes (ASN) 4 ist über eine Datenübertragungsleitung 5 mit einem Gateway (ASN-GW) 6 des Zugangsnetzes 4 verbunden. In dem Rechner des Gateways 6 sind weitere Funktionen integriert, insbesondere ein Fremd^¬ agent (FA) 6A, ein PMIP-Client 6B, ein Authentikations-Client (AAA-CLIENT) 6C und ein DHCP-Proxy-Server 6D . Der Fremdagent 6A ist ein Router, der Routing-Dienste für das mobile Endge^¬ rät 1 zur Verfügung stellt. Die an das mobile Endgerät 1 ge^¬ richteten Datenpakete werden von einem Heimagenten (HA) ge- tunnelt übertragen und von dem Fremdagenten (FA) 6A entpackt.

Das Gateway 6 des Zugangsnetzes 4 ist über eine Schnittstelle 7 mit einem Rechner 8 eines Zwischennetzes (CSN) 9 verbunden. Der Rechner 8 umfasst einen DHCP-Server 8A, einen Heimagenten (HA) 8B und einen Proxy-Authentikationsserver (AAA-P) 8C. Der Heimagent 8B ist Stellvertreter des mobilen Endgerätes 1, wenn dieses sich nicht in seinem ursprünglichen Heimnetz 12

(HNl) befindet. Der Heimagent 8B ist ständig über den aktuel^¬ len Aufenthaltsort des mobilen Rechners 1 informiert. Daten^¬ pakete für das mobile Endgerät 1 werden zunächst an dem Heim- agenten (HA) übertragen und von dem Heimagenten (HA) aus ge- tunnelt an den Fremdagenten (FA) 6A weitergeleitet.

Umgekehrt können Datenpakete, die von dem mobilen Endgerät 1 ausgesendet werden, direkt an den jeweiligen Kommunikations^¬ partner gesendet werden. Die Datenpakete des mobilen Endgerä^¬ tes 1 enthalten dabei die Heimadresse als Absenderadresse. Die Heimadresse hat dasselbe Adresspräfix, d.h. Netzadresse und Subnetzadresse, wie der Heimagent 8B. Datenpakete, die von anderen Kommunikationspartnern an die Heimadresse des mobilen Endgerätes 1 gesendet werden, werden von dem Heimagenten 8B abgefangen. Der Heimagenten 8B verpackt diese Daten und überträgt sie getunnelt an die Care-of-Adresse des mobi^¬ len Endgerätes 1 im Bereich des Zugangsnetzes. An dem End- punkt des Tunnels werden sie durch den Fremdagenten 6A oder das mobile Endgerät 1 selbst empfangen.

Der Rechner 8 des Zwischennetzes 9 ist über eine weitere Schnittstelle 10 mit einem Authentikationsserver (AAA-SERVER) 11 eines Heimnetzes 12 des mobilen Endgerätes 1 verbunden.

Figur 2 zeigt den beispielhaften Ablauf einer Netzanmeldung des mobilen Endgerätes (ME) , wenn sich der Heimagent (HA) in dem besuchten Netzwerk befindet wie es in Figur. 1 darge- stellt ist.

Nachdem eine Funkverbindung zwischen dem mobilen Endgerät (ME) der Basisstation (BS) hergestellt ist, erfolgt zunächst eine Zugangsauthentikation . Die Authentikation, die Autorisa- tion und das Accounting erfolgt anhand von Authentikations- servern. Zwischen dem mobilen Endgerät (ME) und dem Authentikationsserver (AAA-SERVER) des Heimnetzes (HN) werden Authen- tisierungsnachrichten ausgetauscht. Anhand dieses Nachrichtenaustauschs werden die Adresse des Heimagenten (HA) und ein Authentisierungsschlüssel gewonnen.

Der Authentikationsserver (AAA-SERVER) im Heimnetz (HN) hält die Profildaten des Teilnehmers. Der Authentikationsserver erhält zunächst eine Authentisierungsanfrage, die eine Teil^¬ nehmeridentität des mobilen Endgerätes (ME) umfasst. Nach er^¬ folgreicher Zugangsauthentisierung erzeugt der Authentikati- onsserver dann einen MSK-Schlüssel (MSK: Master Session Key, in Fig. 2) zum Schutz der Datenübertragungsstrecke zwischen dem mobilen Endgerät MS und der Basisstation des Zugangsnetzwerkes ASN. Der MSK-Schlüssel wird von dem Authentikations- server des Heimnetzes (HN) über das Zwischennetz (CSN) an das Zugangsnetzwerk (ASN) übertragen.

Beim netzbasierten Mobilitätsmanagement (PMIP) unterstützt das mobile Endgerät (ME) Mobile-IP nicht. Es kann zum Bei^¬ spiel eine entsprechende MIP-Software in dem mobilen Endgerät nicht aktiviert oder installiert sein.

Das Gateway 6 stellt den Authentikator und den PMIP-Client für das mobile Endgerät (ME) , und übernimmt damit dessen Mo- bile-IP-Kommunikation .

Es wird in einer Antwortnachricht vom Authentikationsserver eine Adresse des zuständigen DHCP-Servers, ein für die Kommu^¬ nikation mit Authentikationsserver abgeleiteter Schlüssel (AAA-key) und die Adresse des zuständigen Heimagenten (HA) an den PMIP-Client 6B übermittelt. In einem weiteren Schritt wird der DHCP-Proxy 6D anhand dieser Daten konfiguriert.

Beim Proxy-Mobile-IP erkennt das mobile Endgerät (ME) nur ei^¬ ne der beiden vom DHCP-Server zugewiesenen IP-Adressen. Nur die vom DHCP-Server zugewiesene Care-of-Adresse ist dem mobi- len Endgerät bekannt, die Heimadresse ist nicht dem mobilen Endgerät selbst, sondern nur dem PMIP-Client, dem Fremdagen^¬ ten sowie dem Heimagenten bekannt. Im Fall endgerätebasierten Mobilitätsmanagements (CMIP) würde das mobile Endgerät 1 sei^¬ ne beiden IP-Adressen, die Heimadresse wie auch die Care-of- Adresse kennen.

Nach erfolgreicher Authentisierung und Autorisierung sendet das mobile Endgerät MS eine sog. DHCP Discovery Nachricht. Es erfolgt nun ein Dialog mit einer IP-Adressenzuweisung zwischen mobilem Endgerät (ME), DHCP-Proxy und DHCP-Server.

Nach der IP-Adressenzuweisung erfolgt eine MIP-Registrierung, wobei der Heimagent über den aktuellen Standort des mobilen Endgerätes informiert wird. Zu seiner Registrierung sendet der das mobile Endgerät repräsentierende PMIP-Client eine Re^¬ gistrierungsanforderung (Registration Request) an den Heimagenten (HA), die die aktuelle Care-of-Adresse enthält. Der Heimagent nimmt die Care-of-Adresse entgegen und antwortet mit einer Registrierungsantwort (Registration Reply) .

Da prinzipiell jeder Rechner an einen Heimagenten eine Registrierungsanforderung schicken kann, könnte auf einfache Weise einem Heimagenten vorgespielt werden, ein Rechner bzw. ein mobiles Endgerät habe sich in ein anderes Netzwerk be^¬ wegt . Um dies zu verhindern, verfügt sowohl das mobile Endge^¬ rät als auch der Heimagent über einen gemeinsamen geheimen Schlüssel (PMIP-key) , den PMIP-Schlüssel bzw. Mobilitäts- Schlüssel, der sich vom Authentikationsschlüssel (AAA-key) unterscheidet .

Die Registrierungsanforderung wird von einem PMIP-Client innerhalb des Zugangsnetzes über einen Fremdagenten (FA) an den Heimagenten (HA) übertragen. Der Heimagent (HA) lässt sich von dem zugehörigen Authentikationsserver (AAA-SERVER) den Schlüssel für den Teilnehmer zuweisen und überträgt diesen mit der MIP-Registrierungsantwort über den Heimagenten (HA) an den PMIP-Client .

Beim netzbasierten Mobilitätsmanagement (PMIP) kann also ein gemeinsamer Mobilitätsschlüssel (PMIP-key) über den PMIP- Client 6B und den Heimagenten (HA) durch einen Authentisie- rungsserver (AAA) erzeugt werden.

Figur 3 zeigt ein erfindungsgemäßes Beispiel einer Netzstruk^¬ tur bzw. eines Systems von miteinander kommunizierenden Wi- MAX-Netzen. Die Kommunikation in dem dargestellten System un- terliegt auch hier einem netzbasierten Mobilitätsmanagement (PMIP) .

Bei diesem Beispiel befindet sich die WiMAX-Schnittstelle zwischen einer als Gateway 16 eingesetzten mobilen Station 16A und der Basisstation 3 des Zugangsnetzes 4. Das Zugangs^¬ netz besitzt eine Infrastruktur ähnlich wie in Fig. 1 gezeigt, jedoch ohne den PMIP-Client 6B. Stattdessen befindet sich ein PMIP-Client 16B im Gateway 16 der mobilen Station 16A.

Darüber hinaus ist der Authentikationsclient 6C (AAA-CLIENT- MS) im Zugangsnetz auf die mobile Station 16A bzw. das Gateway 16 beschränkt. Für die in dem durch das Gateway 16 er- schlossene Endgerätenetz 17 (EN) enthaltenen mobilen Endgeräte 19A-19D (MEl-MEn) sind Authentikationsclients 16C im Gate^¬ way 16 vorgesehen. Die mobilen Endgeräte 19A-19D kommunizie^¬ ren mit dem Gateway 16 ihrerseits über WLAN- oder Ethernet- Schnittstellen 18.

Während die Architektur des Zwischennetzes 9, das über die Leitung 7 mit dem Zugangsnetz verbunden ist im Wesentlichen deckungsgleich mit der in Fig. 1 gezeigten Netzstruktur ist, muss beim erfindungsgemäßen Beispiel zwischen einem Heimnetz 12 für die mobile Station 16A bzw. dem Gateway 16 und Heimnetzen 13 für die mobilen Endgeräte 19A-D unterschieden werden. Das Heimnetz 12 umfasst ein dem Gateway 16 zugeordneten Authentikationsserver 14 (AAA-MS) und die Heimnetze 13 umfas^¬ sen jeweils Authentikationsserver 15 (AAA-ME) .

Figur 4 zeigt einen Ausschnitt einer Netzanmeldungsprozedur gemäß einer möglichen Variante gemäß der Erfindung. Dargestellt ist lediglich der die Authentikation betreffende Teil. Die Authentikation gliedert sich in zwei Abschnitte. In einem ersten Schritt authentifiziert sich das Gateway bzw. die mo^¬ bile Station (MS-GW) 16 gegenüber dem Authentikationsserver (AAA-MS) vermittels des Authentikators (ASN-GW) 8 (ein^¬ schließlich des Authentikationsclients 6C (AAA-MS) ) und des Proxy-Authentikationsservers (AAA-Proxy) 8C. Zur Durchführung der Authentikation wird dabei ein herkömmliches EAP-Verfahren angewendet (EAP: Extensible Authentication Protocol, gemäß IEEE 802.16) .

In einem zweiten Schritt authentifiziert sich eines der mobi^¬ len Endgeräte (MEl-MEn) ebenfalls gemäß EAP-Protokoll gegen^¬ über seinem Authentikationsserver (AAA-ME) vermittels der mobilen Station (MS-GW), die hier als Authentikator fungiert.

In diesem Beispiel erhält der Authentikator (ASN-GW) nach erfolgreicher Authentikation den Schlüssel MSK (Master Session Key) vom Authentikationsserver (AAA-MS) . Sowohl der Authentikator 8 (ASN-GW) als auch die als Gateway 16 eingesetzte mo- bile Station (MS-GW) leiten daraus den Schlüssel AK ab. Mit diesem wird eine gesicherte drahtlose Verbindung nach IEEE 802.16/16e zwischen der mobilen Station 16 und der WiMAX- Basisstation (BS) durchgeführt werden.

Für den PMIP Client im Gateway 16 der mobilen Station liegt am Ende dieses Schrittes ein geeigneter Mobilitätsschlüssel (PMIP-key) vor, mit dem die Kommunikation zum Heimagenten (HA) gesichert werden kann. Im vorliegenden Beispiel wird auf seite des Authentikationsservers (AAA-MS) und der mobilen Station (MS-GW) der Mobilitätsschlüssel (PMIP-key) aus vor^¬ handenem Schlüsselmaterial abgeleitet. Die Schlüsselinforma^¬ tionen sind auf beiden Seiten verfügbar, weil sie im Rahmen der in EAP-Authentikation ausgetauscht werden konnten.

Beim zweiten Schritt tauscht die als Gateway eingesetzte mo^¬ bile Station EAP-Nachrichten mit dem Proxy-

Authentikationsserver im Netz des WiMAX-Anbieters (NAP) bzw. im Zwischennetz 9 aus. Dieser Proxy-Authentikationsserver weist nun gemäß der Erfindung die besondere Eigenschaft auf, die Adressen der für die mobilen Endgeräte jeweils verant^¬ wortlichen Authentikationsserver (AAA-ME) aufzulösen und die entsprechenden Nachrichten mit diesen auszutauschen. Es ist aber auch nicht ausgeschlossen, dass die Authentikationsser- ver (AAA-MS) und (AAA-ME) identisch sind.

Claims

Patentansprüche :

1. Mobile Station (MS-GW), welche als Gateway für ein oder mehrere mobile Endgeräte (ME) dazu eingerichtet ist, eine Verbindung zwischen dem oder den mobilen Endgeräten (ME) und einem Zugangsnetz (ASN) herzustellen, wobei die mobile Station (MS-GW) ein netzbasiertes Mobilitätsmanagement (PMIP) un^¬ terstützt, so dass die mobile Station (MS-GW) im Rahmen einer Mobile-IP-Verbindung als Client anstelle der mobilen Endgerä- te (ME) bei der Kommunikation mit einem Heimagenten (HA) eines mit dem Zugangsnetz (ASN) verbundenen Zwischen- oder Heimnetzes (V-CSN, HNl) auftritt.

2. Mobile Station (MS-GW) nach Anspruch 1, welche dazu einge- richtet ist, mit einer Basisstation (BS) des Zugangsnetzwerks

(ASN) über eine drahtlose Verbindung zu kommunizieren.

3. Mobile Station (MS-GW) nach Anspruch 2, bei der die drahtlose Verbindung dem WiMAX-Standard IEEE 802.16 entspricht.

4. Mobile Station (MS-GW) nach einem der Ansprüche 1 - 3, die eingerichtet ist, mit dem einen oder den mehreren mobilen Endgeräten (ME) über eine drahtlose Verbindung zu kommunizieren .

5. Mobile Station (MS-GW) nach Anspruch 4, bei der die drahtlose Verbindung dem WLAN-Standard IEEE 802.11 entspricht.

6. Mobile Station (MS-GW) nach einem der Ansprüche 1 - 3, die eingerichtet ist, mit dem einen oder den mehreren mobilen

Endgeräten (ME) über eine drahtgebundene Verbindung zu kommunizieren .

7. Mobile Station (MS-GW) nach Anspruch 6, bei der die draht- gebundene Verbindung dem Ethernet-Standard IEEE 802.3 ent^¬ spricht .

8. Mobile Station (MS-GW) nach einem der Ansprüche 1 - 7, die im Besitz eines ersten Schlüssels (PMIP-key) für eine Sicherung und Authentikation der Kommunikation für die Netzanmeldung der mobilen Endgeräte (ME) zwischen der mobilen Station (MS-GW) und dem Heimagenten (HA) im Zwischen- oder

Heimnetz (V-CSN, HNl) im Rahmen des netzbasierten Mobilitätsmanagements (PMIP) ist, und/oder im Besitz eines weiteren ersten Schlüssels (GW-AAA-key) für eine Sicherung und Authentikation der Kommunikation für die Netzanmeldung der mobilen Endgeräte (ME) zwischen der mobilen Station (MS-GW) und dem Proxy-Authentikationsserver (AAA-P) im Zugangsnetz (ASN) ist.

9. Mobile Station (MS-GW) nach einem der Ansprüche 1 - 8, die neben der Eigenschaft, als Client einer Mobile-IP-Verbindung für mobile Endgeräte (ME) netzbasiertes Mobilitätsmanagement (PMIP) zu ermöglichen, ferner dazu eingerichtet ist, als Client einer Mobile-IP-Verbindung zum Zweck der eigenen Mobilität ein endgerätebasiertes Mobilitätsmanagement (CMIP) zu ermöglichen.

10. Mobile Station (MS-GW) nach Anspruch 9, soweit rückbezo^¬ gen auf Anspruch 8, bei der wenigstens einer der ersten Schlüssel (PMIP-key, GW-AAA-key) der mobilen Station (MS-GW) aus einem zweiten Schlüssel (CMIP-key) abgeleitet ist, wel^¬ cher der Sicherung der Kommunikation zwischen der mobilen Station (MS-GW) und dem Heimagenten (HA) im Zwischen- oder Heimnetz (V-CSN, HNl) sowie einem Fremdagenten (FA) im Zugangsnetz (ASN) im Rahmen des endgerätebasierten Mobilitäts- management (CMIP) dient.

11. Mobile Station (MS-GW) nach Anspruch 8, bei der der zweite (CMIP-key) und / oder wenigstens einer der ersten Schlüs^¬ sel (PMIP-key, GW-AAA-key) in der mobilen Station (MS-GW) vorkonfiguriert sind.

12. Mobile Station (MS-GW) nach Anspruch 8, bei der der erste Schlüssel (PMIP-key) für das netzbasierte Mobilitätsmanage- ment (PMIP) aus einer bei einer Authentikation der mobilen Station (MS-GW) gegenüber einem ersten Authentikationsserver (AAA-MS) von diesem zugewiesenen Schlüsselinformation (MSK) abgeleitet ist, wobei sich der erste Authentikationsserver (AAA-MS) in einem ersten Heimnetz (HNl) der mobilen Station (MS-GW) befindet.

13. Mobile Station (MS-GW) nach einem der vorhergehenden Ansprüche, bei der für alle mit ihr verbundenen mobilen Endge- rate (ME) derselbe erste Schlüssel (PMIP-key, GW-AAA-key) bei der Kommunikation mit dem Heimagenten (HA) beziehungsweise dem Proxy-Authentikationsserver (AAA-P) verwendet wird.

14. Netz (EN) aus drahtlos oder drahtgebunden kommunizieren- den mobilen Endgeräten (ME) und einer mobilen Station (MS-GW) nach einem der vorhergehenden Ansprüche, bei dem die mobile Station (MS-GW) als Gateway für die mobilen Endgeräte (ME) eingerichtet ist.

15. Netz (EN) nach Anspruch 14, bei dem die mobilen Endgeräte (ME) jeweils eine Subskription mit Heimnetzen (HN2) besitzen, wobei wenigstens einer der Heimnetze (HN2) ein anderes ist als dasjenige Heimatnetz (HNl) der mobilen Station (MS-GW) .

16. System von Netzen, umfassend:

- das Netz (EN) nach einem der Ansprüche 14 oder 15,

- ein Zugangsnetz (ASN) , das mittels einer Basisstation (BS) drahtlos mit der als Gateway verwendeten mobilen Station (MS- GW) kommuniziert und einen Fremdagenten (FA) , einen Authenti- kationsclient (AAA-CLIENT-MS) und einen Proxy- Authentikationsserver (AAA-P) aufweist,

- ein mit dem Zugangsnetz verbundenes erstes Heimnetz (HNl), das einen Authentikationsserver (AAA-MS) für die mobile Station (MS-GW) aufweist; - einen Heimagenten (HA), der in dem ersten Heimnetz (HNl) oder in einem die Verbindung zwischen Heimnetz (HNl) und Zugangsnetz (ASN) herstellenden Zwischennetz (V-CSN) angelegt ist; - wenigstens ein zweites Heimnetz (HN2), das einen Authenti- kationsserver (AAA-ME) für das wenigstens eine mobile Endge^¬ rät (ME) aufweist und mit dem Heimnagenten (HA) im Heim- oder Zwischennetz (HNl, V-CSN) .

17. System von Netzen nach Anspruch 16, bei dem das Zugangsnetz (ASN) ein WiMAX-Netz ist.

18. Verfahren zur sicheren Netzanmeldung einer als Gateway eingesetzten mobilen Station (MS-GW) und wenigstens eines mit der mobilen Station (MS-GW) drahtlos oder drahtgebunden kommunizierenden mobilen Endgerätes (ME), umfassend:

Authentifizieren der mobilen Station (MS-GW) gegenüber einem ersten Authentikationsserver (AAA-MS) eines ersten Heimnetzes (HNl) der mobilen Station (MS-GW) mit Hilfe eines Authentikations-Clients (AAA-CLIENT-MS) als Authentikator in einem Zugangsnetz (ASN) ; nachfolgend Authentifizieren des wenigstens einen mobi^¬ len Endgerätes (ME) gegenüber einem zweiten Authentikations- Server (AAA-ME) in einem zweiten Heimnetz (HN2) des mobilen Endgerätes (ME) mit Hilfe der angemeldeten mobilen Station (MS-GW) als Authentikator und eines Proxy- Authentikationsservers (AAA-P) in dem Zugangsnetz (ASN) .

19. Verfahren nach Anspruch 18, bei dem das erste Heimnetz (HNl) und das zweite Heimnetz (HN2) verschieden sind.

20. Verfahren nach Anspruch 18 oder 19, bei dem sich die mobile Station (MS-GW) gegenüber dem ersten Authentikationsserver (AAA-MS) anhand eines EAP-Protokolls gemäß Standard IEEE 802.16 authentifiziert.

21. Verfahren nach einem der Ansprüche 18 - 20, bei dem wäh- rend der Authentifizierung gemeinsame Schlüsselinformationen zwischen der mobilen Station (MS-GW) und dem ersten Authentikationsserver (AAA-MS) ausgehandelt werden und bei dem aus den Schlüsselinformationen erste Schlüssel (PMIP-key) in der mobilen Station (MS-GW) und im ersten Authentikationsserver (AAA-MS) abgeleitet werden.

22. Verfahren nach einem der Ansprüche 18 - 21, bei dem wäh- rend der Authentifizierung gemeinsame Schlüsselinformationen zwischen der mobilen Station (MS-GW) und dem ersten Authentikationsserver (AAA-MS) ausgehandelt werden und bei dem aus den Schlüsselinformationen erste Schlüssel (GW-AAA-key) in der mobilen Station (MS-GW) und im Proxy-Authentikations- Server (AAA-P) des Zugangsnetzes (ASN) abgeleitet werden.

23. Verfahren nach einem der Ansprüche 18 - 20, bei dem we^¬ nigstens ein erster Schlüssel (PMIP-key, GW-AAA-key) in der mobilen Station (MS-GW) und

(a) im ersten Authentikationsserver (AAA-MS) oder in einem Heimagenten (HA) ; beziehungsweise

(b) im Proxy-Authentikationsserver (AAA-P) des Zugangsnetzes (ASN) oder einem Fremdagenten (FA) ; zur Sicherung der Signalisierung (RADIUS) im Rahmen der Netzanmeldung eines oder mehrerer mobiler Endgeräte vorkonfiguriert ist .

24. Verfahren nach einem der Ansprüche 18 - 20, bei dem die mobile Station (MS-GW) wenigstens einen ersten Schlüssel (PMIP-key, GW-AAA-key) aus einem zweiten Schlüssel (CMIP-key) ableitet, den sie als Client einer Mobile-IP-Verbindung für die eigene Kommunikation als Endgerät im Rahmen eines endge- rätebasiertes Mobilitätsmanagements (CMIP) verwendet.