SIM mit Doppelnutzen
Geht es nach T-Mobile, wird der Komfort bei der Anmeldung zum mobilen WLAN-Surfen höher: Mit Hilfe der Handy-SIM-Karte soll die Anmeldeprozedur lediglich noch ein Mausklick sein.
- Richard Sietmann
![Bild 5 [250 x 196 Pixel @ 15,2 KB]](/imgs/18/2/1/9/5/0/1/0bf8d4c55c6f85dc.jpeg)
T-Mobile will demnächst mehr Komfort beim WLAN-Roaming bieten. Künftig soll die GPRS/UMTS/WLAN-Datenkarte die Anmeldeprozedur auf einen Mausklick reduzieren.
Der Mobilfunk-Teilnehmer hat mit dem Subscriber Identity Module, der SIM-Karte, seinen "Ausweis" bereits in der Tasche. Durch die Eingabe der PIN ist er umgehend authentisiert und bekommt den Netzzugang freigeschaltet. Im Hintergrund stellt dazu das Mobile Switching Center anhand der SIM-Kennung eine Verbindung zum Home Location Register (HLR) her, in dem die Nutzerdaten gespeichert sind, verifiziert die Berechtigung, hinterlässt dort die Routing-Informationen zur Weiterleitung eingehender Anrufe zum aktuellen Standort und legt ein Logfile für den Abrechnungsserver an. Die Kosten erscheinen dann am Monatsende auf der Telefonrechnung.
Von der Einfachheit der Telefoneinwahl sind die Anmeldeprozeduren in öffentlichen WLANs weit entfernt. Bevor das mobile Büro unterwegs über einen Hotspot mit dem Internet verbunden werden kann, sind einige Hindernisse zu überwinden. Häufig muss man zunächst unter mehreren verfügbaren Signalen durch Eingabe der SSID den richtigen Access Point auswählen; erscheint dann die lokale Anmeldeseite des Anbieters auf dem Browser, steht das Login an: Hat man bereits einen Account, genügen Username und Passwort, um den Weg ins Internet freizugeben. Andernfalls wird oftmals das Login per Kreditkartenzahlung angeboten, oder ein zeitlich befristeter Zugangscode ist irgendwo vor Ort gegen Vorkasse erhältlich. Als Gast bei einem Roaming-Partner des eigenen Wireless Internet Service Providers (WISP) erlaubt der bereits vorhandene Account den Netzzugang; aber dazu muss man auf der Startseite in dem ungewohnten Layout die Liste der Roaming-Partner erst einmal finden, die einige WISPs hinter Menü-Leisten, andere unter Icons verbergen.
SMS-Login
T-Mobile – mit 27,4 Millionen Mobilfunk-Teilnehmern und 4030 WLAN-Hotspots in beiden Welten die Nummer Eins in Deutschland – hat zumindest den eigenen Vertragskunden das Leben immerhin schon wesentlich erleichtert. Die "Multimedia NetCard" und die mitgelieferte Client-Software "Communication Center" (TMCC) (siehe Überall dienstbereit in heise mobil) wickeln das GPRS/UMTS-Login mobilfunktypisch über das Subscriber Identity Module ab. Indirekt hilft die SIM-Karte aber auch beim Aufenthalt in einem Hotspot, indem sie die Anmeldung über den Kurznachrichtendienst des Mobilfunks unterstützt: Der Client fordert Zugangskennung und Passwort per SMS an und präsentiert die Authentifizierungsdaten automatisch dem Access Point. Ohne den Umweg über das Portal ist man mit einem Klick auf den "Connect"-Button dann sofort online.
Das kommt dem Ziel schon recht nahe, doch in fremden Netzen funktioniert die proprietäre Lösung nicht. Da steht der User dann meist wieder vor der Wahl, sich entweder einen Account einzurichten oder per Kreditkarte zu bezahlen und sich dem Risiko des Phishing der Kartendaten auszusetzen oder Rubbelkarten mit dem für eine festgelegte Zeitspanne gültigen Zugangscode zu erwerben. Solche vorausbezahlten Karten bieten insbesondere die größeren Hotspot-Betreiber jedoch aus betriebswirtschaftlichen Gründen nur ungern an, weil das Handling der bargeldähnlichen Voucher bei einer großen Zahl von Vertriebspunkten zusätzliche Kosten verursacht und in der Abwicklung letztlich einen Medienbruch darstellt.
Die Kombination von Authentifizierung und Abrechnung per SMS versuchen indes einige Hersteller inzwischen auch jenen Hotspot-Betreibern schmackhaft zu machen, die im Unterschied zu T-Mobile über kein eigenes Mobilfunknetz verfügen. Die kalifornische Firma Pronto Networks beispielsweise vermarktet seit kurzem ein Premium SMS Service Gateway (PSSG), mit dem die Mobilfunkbetreiber Authentifizierung und Rechnungsstellung für die Betreiber öffentlicher WLANs übernehmen.
Auf dem Login-Portal erhält der User dazu eine fünfstellige Hotspot-Kennung wie "80211", die er als SMS an seinen Mobilfunkbetreiber sendet, woraufhin das PSSG ihm einen Bestätigungscode auf das Handy zurücksendet, den er nun eintippt und sich damit anmeldet. Das Einloggen wiederum ist als ein Web-Service des PSSG implementiert, der den via Internet zurückübermittelten Code mit dem ausgegebenen vergleicht, nach erfolgreicher Verifikation dem Hotspot-Betreiber die Kostenübernahme signalisiert und den Zugang für eine bestimmte Zeitdauer freischaltet. Der Betrag – 1,99 Euro für 20 Minuten bei Cingular und Nextel – wird dann mit der Telefonrechnung abgebucht.
Im Mobilfunknetz wie auch in den Hotspots vor Ort ist das Verfahren recht einfach zu implementieren, und von dem Geschäftsmodell profitieren im Grunde alle Beteiligten: Der Access Point gewinnt Laufkundschaft, der Mobilfunkbetreiber erzielt zusätzliche Einnahmen als Authentifizierungs-Dienstleister, und dem reisenden Büroarbeiter beschert es ein vergleichsweise unbeschwertes Roaming. Allerdings muss der Bestätigungscode nach wie vor von Hand eingegeben werden, um die Lücke zwischen SMS/Mobilfunk und WLAN zu schließen.
Login ohne SMS
Weil der Portalzugang vielfach als immer noch zu umständlich empfunden wird, bereitet T-Mobile derzeit den nächsten Schritt vor, der die Geheimwaffe SIM-Karte ohne den Umweg via SMS unmittelbar zum Einsatz bringen soll. Die Plattform dafür bilden der IEEE-Standard 802.1x sowie das in RFC 3748 dokumentierte "Extensible Authentication Protocol" (EAP) der Internet Engineering Task Force. Während IEEE 802.1x die Einbettung von EAP-Datagrammen zur Übertragung in MAC-Frames beschreibt und damit den Austausch von Authentisierungs-Messages auf der OSI-Netzwerkschicht 2 ermöglicht, implementiert EAP selbst verschiedene Verfahren zur Nutzer-Authentifizierung. Dazu gehören beispielsweise Nutzerkennung/Passwort, Challenge/Response-Verfahren oder Signaturkarten-gestützte Systeme, die auch umgekehrt die Authentifizierung des Netzes durch den Client erlauben.
![Bild 4 [250 x 121 Pixel @ 9,4 KB]](/imgs/18/2/1/9/5/0/1/a32b4581a2554bcc.jpeg)
EAP-SIM ist ein weiterer Mechanismus in dieser Palette, der die Verifikationsroutinen fĂĽr die Authentifizierung des WLAN-Zugangs ĂĽber die SIM-Karte festlegt. Dabei dient zur Freischaltung der WLAN-Verbindung ein SIM-Authentifizierungsserver, der die BrĂĽcke zwischen Internet und Mobilfunknetz bildet und ĂĽber eine SS7/MAP-Verbindung zum HLR im Heimatnetz des Kunden die Berechtigung abfragt. Der Hotspot selbst wird mit 802.1x/EAP quasi "transparent", indem er die Authentifizierung zwar initiiert, ansonsten aber die Challenge/Response-Pakete zwischen dem SIM-Server und dem Client durchreicht. Nach erfolgreicher PrĂĽfung der Kundendaten wird er erst im letzten Schritt wieder aktiv und gibt den Netzzugang frei.
T-Mobile will 802.1x und EAP bereits in diesem Jahr einführen; künftige Versionen des Software-Client TMCC werden dann EAP-fähig ausgeliefert. Das Rollout erfolgt in Stufen: Zunächst mit dem Protokoll EAP-TTLS, über das die Authentifizierung zwar noch anhand der im TMCC abgelegten Nutzerkennung und Passwort, jedoch schon automatisch abgewickelt wird. Im zweiten Schritt soll dann EAP-SIM folgen. Denn auf Dauer, heißt es bei T-Mobile, sei es den Kunden schwer zu vermitteln, warum sie neben dem GPRS/UMTS-Vertrag zusätzlich noch einen WLAN-Account benötigen, wenn sie die Hotspots nutzen wollen.
Die bisherigen Zugangswege bleiben jedoch erhalten, sodass die Kunden in Deutschland den Unterschied kaum merken werden. Sobald aber die Roaming-Partner in der FreeMove-Allianz und der Wireless Broadband Alliance nachgezogen haben – voraussichtlich Mitte kommenden Jahres –, soll dann das Login mit der Multimedia NetCard an weltweit 25 000 Hotspots ebenso einfach wie die GPRS/UMTS-Einwahl mit einem Mausklick möglich sein. (anm) (ll)
