Verfahren zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken

Die Erfindung bezieht sich auf ein Verfahren und Geräte zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken . Zum Schutz ihrer Privatsphäre nutzen Internetnutzer seit vielen Jahren Anonymisierungssoftware und Firewalls, um ein Ver ^¬ folgen ihres Internetnutzungsverhaltens durch Dritte zu ver ^¬ hindern. Auch bei der Verwendung von beispielsweise mobilen Geräten werden diese klassischen Schutzmechanismen verwendet, jedoch sind diese Mechanismen nur beschränkt wirksam. Im Einzelnen ist die Privatsphäre insbesondere durch Suchdienste bzw. Service Discovery von beispielsweise mobilen Geräten bedroht, da durch die Suchdienste Informationen über das mobile Gerät bzw. den Nutzer des Gerätes von Dritten leicht auswert- bar sind.

Allgemein sind hier unter Suchdiensten bzw. „Service Discovery" Netzwerkprotokolle zu verstehen, die in Netzwerken auto ^¬ matisiert Dienste, die durch andere Geräte bereitgestellt werden, erkennen. Hierzu können beispielsweise durch den

Suchdienst auch Informationen über bereitgestellte Dienste bei einem anderen Gerät abgefragt werden. Suchdienste können beispielsweise beim Verbindungsaufbau im WLAN benutzt werden oder von UPnP.

Beispielsweise lassen sich von dem Nutzer Bewegungsmuster, beispielsweise Fahrtwege zur Arbeit, ermitteln, oder es las ^¬ sen sich aus den Informationen Kenntnisse über die sozialen Beziehungen des Nutzers ableiten. Da immer mehr mobile Geräte und drahtlose Netzwerke verwendet werden, ist der Schutz der Privatsphäre insbesondere in drahtlosen Netzwerken von zunehmender Relevanz. Aus der Dissertation von Janne Lindqvist „Practical Privacy Enhancing Technologies for Mobile Systems", Helsinki Univer- sity of Technology, 2009, ist bekannt, die Informationen des Suchdienstes bzw. Service Discovery-Information kryptogra- phisch zu verschlüsseln.

Dies hat den Nachteil, dass nur dann ein Service Discovery geschützt werden kann, wenn ein geheimer Schlüssel im Vorfeld ausgetauscht wurde. Dadurch ist die Lösung nicht geeignet für offene WLAN-Netzwerke, beispielsweise bei Hot Spots mit Web ^¬ basiertem Zugang. Auch ist der Einsatz in Firmennetzen problematisch, bei denen ein Radius-Server zur Authentisierung verwendet wird, da der geheime Schlüssel umständlich und auf ^¬ wendig ausgetauscht werden muss.

Aus der Veröffentlichung von Ben Greenstein et al . „Improving Wireless Privacy with an Identifier-Free Link Layer Proto- col", MobiSys 2008, ist bekannt auf feste Netzwerkidentifi- zierer bzw. Network-Identifier zu verzichten.

Auch hier müssen jedoch alle Knoten im Netzwerk über einen Schlüssel verfügen, damit eine Verbindung mit einem anderen Knoten hergestellt werden kann. Ein weiterer Nachteil ist, dass der WLAN-Protokollstack ersetzt wird, was zu Kompatibi- litätsproblemen führen kann.

Die Aufgabe der vorliegenden Erfindung ist es die Privatsphä ^¬ re bei der Verwendung von Suchdiensten in drahtlosen Netzwerken besser zu schützen.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken. Gemäß dem Verfahren wird ein erster anonymisierter Dienstidentifizierer, der einen Dienst kennzeichnet, aus einem ersten Dienstidentifizierer eines ersten Gerätes mittels einer ersten Generierungsfunktion erzeugt. Es wird der erste anonymisierte Dienstidentifizierer an ein zweites Gerät gesendet. Es wird ein zweiter anonymisierter Dienst- identifizierer aus einem zweiten Dienstidentifizier des zweiten Gerätes mittels der ersten Generierungsfunktion erzeugt. Es wird der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer durch das zweite Gerät verglichen. Es wird der Dienst bereitgestellt oder ak ^¬ zeptiert, falls beim Vergleichen der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstiden- tifizierer übereinstimmen. Die Generierungsfunktion verwendet vorzugsweise einen zufällig bzw. pseudozufällig wählbaren Anonymisierer, um den anonymisierten Dienstidentifizierer abhängig von dem ersten Dienstidentifizierer zu bilden.

Das Verfahren hat den Vorteil auf einfache Weise und ohne ei ^¬ ne vorherige Bereitstellung zusätzlicher Schlüssel oder sons- tiger Sicherheitsinformation Suchdienste in drahtlosen Netzwerken anonymisiert zu nutzen, was im Vergleich mit klassi ^¬ schen Verfahren eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet. Bei einer Ausführungsform des Verfahrens stimmen der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer überein, wenn der erste Dienst- identifizierer und der zweite Dienstidentifizierer gleich sind .

Durch die Verwendung des ersten anonymisierten Dienstidenti- fizierers, der den durch das erste Gerät gesuchten Dienst kennzeichnet, und des zweiten anonymisierten Dienstidentifi- zierers, der den durch das zweite Gerät bereitgestellten Dienst kennzeichnet, ist nur dem ersten Gerät sein erster

Dienstidentifizierer und dem zweiten Gerät nur sein zweiter Dienstidentifizierer bekannt. Folglich werden nur anonymisierte Daten zwischen dem ersten Gerät und dem zweiten Gerät ausgetauscht, sodass die Privatsphäre eines Nutzers, bei- spielsweise dem Nutzer des ersten Gerätes, geschützt wird.

Bei weiteren Ausführungsformen des Verfahrens, wird bei dem Vergleichen des ersten anonymisierten Dienstidentifizierers der zweite anonymisierte Dienstidentifizierer für jeden

Dienstidentifizierer des zweiten Gerätes erzeugt, sodass je ^¬ der Dienstidentifizierer des zweiten Gerätes mit dem ersten Dienstidentifizierer anonym verglichen wird. Es ist auch mög- lieh, dass das Bilden der anonymisierten Dienstidentifizierer für die Dienstidentifizierer des zweiten Gerätes abbricht, sobald beim Vergleich mit dem ersten anonymen Dienstidentifi- zierer eine Übereinstimmung bestimmt wird. Dadurch, dass für jeden Dienstidentifizierer des zweiten Gerätes ein zweiter anonymisierter Dienstidentifizierer erzeugt wird, kann ein Vergleich mit einer Vielzahl von Diensten durch das zweite Gerät möglichst schnell erfolgen. Bei weiteren Ausführungsformen des Verfahrens, verwendet die erste Generierungsfunktion einen Anonymisierer zum Erzeugen des ersten anonymisierten Dienstidentifizierers und des zwei ^¬ ten anonymisierten Dienstidentifizierers . Damit beim Erzeugen eines anonymisierten Dienstidentifizie ^¬ rers die erste Generierungsfunktion für das erste Gerät und das zweite Gerät bei einem inhaltlich gleichen Dienstidenti ^¬ fizier dasselbe Ergebnis erzeugt, kann ein Anonymisierer bzw. Randomisierungsparameter beispielsweise in Form eines Salt- Wertes verwendet werden. Dadurch lässt sich auf einfache Wei ^¬ se sicherstellen, dass die erste Generierungsfunktion bei inhaltlich gleichen Dienstidentifizierern auf unterschiedlichen Geräten, das gleiche Ergebnis liefert. Dadurch lässt sich die Privatsphäre eines Nutzers noch besser schützen.

Bei weiteren Ausführungsformen des Verfahrens ist der

Anonymisierer anhand von bekannten Informationen des ersten und/oder des zweiten Gerätes berechenbar, sodass der

Anonymisierer für die erste Generierungsfunktion auf dem ers- ten Gerät und dem zweiten Gerät identisch ist. Durch die Berechnung des Anonymisierers anhand von bekannten Geräteinformationen, beispielsweise einer MAC-Adresse, ist es möglich den Anonymisierer auf einfache Weise bereitzustellen. Bei weiteren Ausführungsformen des Verfahrens, wird der

Anonymisierer beim Senden des ersten anonymisierten Dienst- identifizierers mitgeschickt und der im zweiten Gerät empfan ^¬ gene Anonymisierer wird in der ersten Generierungsfunktion zur Erzeugung des zweiten anonymisierten

Dienstidentifizierers verwendet.

Durch das Mitschicken des Anonymisierers mit den anonymisierten Dienstinformationen an das zweite Gerät ist es beispiels ^¬ weise möglich, für jeden Nachrichtenaustausch zwischen dem ersten Gerät und dem zweiten Gerät einen anderen Anonymisierer zu verwenden, um den Schutz der Privatsphäre noch weiter zu erhöhen.

Bei weiteren Ausführungsformen des Verfahrens wird der erste anonymisierte Dienstidentifizierer in mindestens eine Verbin ^¬ dungsaufbaunachricht, die zur Aushandlung einer gesicherten Verbindung zwischen dem ersten Gerät und dem zweiten Gerät ausgetauscht wird, eingefügt. Dadurch, dass der erste anonymisierte Dienstidentifizierer in eine Verbindungsaufbaunachricht, die zur Aushandlung einer gesicherten Verbindung zwischen dem ersten Gerät und dem zweiten Gerät ausgetauscht wird, eingefügt wird, ist die Au ^¬ thentizität und die Integrität des ersten anonymisierten Dienstidentifizierers prüfbar. Folglich ist der erste anony ^¬ misierte Dienstidentifizierer vor Manipulationen geschützt.

Bei weiteren Ausführungsformen des Verfahrens, ist die erste Generierungsfunktion eine kryptographische Hashfunktion, wo- bei die kryptographische Hashfunktion vorzugsweise nur lang ^¬ sam berechenbar ist. Die Verwendung einer kryptographischen Hashfunktion, wie beispielsweise MD5, SHA-1, SHA-2, SHA-3 oder BLAKE, als erste Generierungsfunktion macht eine Berechnung beispielsweise des ersten Dienstidentifizierers basierend auf dem ersten anony- misierten Dienstidentifizierer schwierig und aufwendig. Durch eine langsam berechenbare kryptographische Hashfunktion, wie beispielsweise PBKDF2 oder Bcrypt, als erste Generierungs- funktion lässt sich die Sicherheit des Verfahrens noch weiter erhöhen .

Bei weiteren Ausführungsformen des Verfahrens, erzeugt und sendet das zweite Gerät den zweiten anonymisierten Dienst- identifizierer an das erste Gerät, wobei das erste Gerät den zweiten anonymisierten Dienstidentifizierer mit dem ersten anonymisierten Dienstidentifizierer vergleicht, und wobei das erste Gerät den Dienst bereitstellt oder akzeptiert falls beim Vergleichen der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer übereinstimmen .

Durch diesen Rollentausch der Geräte ist es möglich, unterschiedliche Netzwerkarchitekturen, wie beispielsweise Peer- to-Peer Architekturen, zu realisieren. Gemäß einem weiteren Aspekt betrifft die Erfindung ein System zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken. Das System weist ein erstes Gerät und ein zweites Gerät auf. Das erste Gerät enthält eine erste Erzeugungsein ^¬ richtung eine erste Kommunikationseinrichtung und eine erste Akzeptierungseinrichtung für einen Dienst. Die erste Erzeugungseinrichtung ist ausgebildet einen ersten anonymisierten Dienstidentifizierer, der einen Dienst kennzeichnet, aus einem ersten Dienstidentifizierer mittels einer ersten Generierungsfunktion zu erzeugen. Die erste Kommunikationseinrich- tung ist ausgebildet den ersten anonymisierten Dienstidenti- fizierer an ein zweites Gerät zu senden. Die erste Akzeptie ^¬ rungseinrichtung ist ausgebildet einen Dienst zu akzeptieren, falls das zweite Gerät einen zu dem ersten anonymisierten Dienstidentifizierer passenden Dienst bereitstellt. Das zweite Gerät enthält eine zweite Erzeugungseinrichtung, eine zweite Vergleichseinrichtung, eine zweite Bereitstellungseinrichtung und eine zweite Kommunikationseinrichtung. Die zwei- te Kommunikationseinrichtung ist ausgebildet den ersten anonymisierten Dienstidentifizierer von dem ersten Gerät zu empfangen. Die zweite Erzeugungseinrichtung ist ausgebildet, einen zweiten anonymisierten Dienstidentifizierer aus einem zweiten Dienstidentifizierer mittels der ersten Generierungs- funktion zu erzeugen. Die zweite Vergleichseinrichtung ist ausgebildet den ersten anonymisierten Dienstidentifizierers und den zweiten anonymisierten Dienstidentifizierers zu vergleichen. Die zweite Bereitstellungseinrichtung ist ausgebildet den zu dem ersten anonymisierten Dienstidentifizierer passenden Dienst bereitzustellen, falls beim Vergleichen der erste anonymisierte Dienstidentifizierer und der zweite ano ^¬ nymisierte Dienstidentifizierer übereinstimmen.

Das System hat den Vorteil auf einfache Weise und ohne eine vorherige Bereitstellung kryptographischer Schlüssel oder sonstiger Sicherheitsinformation Suchdienste in drahtlosen Netzwerken anonymisiert zu nutzen, was im Vergleich mit klassischen Verfahren eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet. Insbesondere kann ein Nutzer nicht anhand der von ihm gesuchten Dienstidentifizierer identifiziert oder verfolgt (getrackt) werden.

Bei Ausführungsformen des Systems ist das drahtlose Netzwerk ein WLAN-Netzwerk .

Das System eignet sich besonders gut für WLAN-Netzwerke, da diese weit verbreitet sind und dadurch ein hoher Bedarf hin ^¬ sichtlich des Schutzes der Privatsphäre besteht. Bei weiteren Ausführungsformen des Systems ist die erste Ge- nerierungsfunktion eine kryptographische Hashfunktion, wobei die kryptographische Hashfunktion vorzugsweise nur langsam berechenbar ist. Die Verwendung einer kryptographischen Hashfunktion, wie beispielsweise MD5, SHA-1, SHA-2, SHA-3 oder BLAKE, als erste Generierungsfunktion macht eine Berechnung beispielsweise des ersten Dienstidentifizierers basierend auf dem ersten anony ^¬ misierten Dienstidentifizierer schwierig und aufwendig. Durch eine langsam berechenbare kryptographische Hashfunktion, wie beispielsweise PBKDF2 oder Bcrypt, als erste Generierungs- funktion lässt sich die Sicherheit des Verfahrens noch weiter erhöhen.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein erstes Gerät zum Schutz der Privatsphäre bei Suchdiensten in draht ^¬ losen Netzwerken. Das erste Gerät weist eine erste Erzeu- gungseinrichtung, erste Kommunikationseinrichtung und eine erste Akzeptierungseinrichtung auf. Die erste Erzeugungseinrichtung ist ausgebildet einen ersten anonymisierten

Dienstidentifizierer, der einen Dienst kennzeichnet, aus einem ersten Dienstidentifizierer mittels einer ersten Generie- rungsfunktion zu erzeugen. Die erste Kommunikationseinrichtung ist ausgebildet den ersten anonymisierten

Dienstidentifizierer an ein zweites Gerät zu senden. Die erste Akzeptierungseinrichtung ist ausgebildet einen Dienst, der durch das zweiten Geräte bereitgestellt wurde, anzunehmen, wobei das zweite Gerät nur einen Dienst bereitstellt, falls der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer übereinstimmen.

Das erste Gerät hat den Vorteil auf einfache Weise und ohne eine vorherige Bereitstellung zusätzlicher Schlüssel oder sonstiger Sicherheitsinformation Suchdienste in drahtlosen Netzwerken anonymisiert zu nutzen, was im Vergleich mit klassischen Verfahren eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein zwei ^¬ tes Gerät zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken. Das Gerät weist eine zweite Kommunika- tionseinrichtung, eine zweite Erzeugungseinrichtung, eine zweite Vergleichseinrichtung und eine zweite Bereitstellungs ^¬ einrichtung auf. Die zweite Kommunikationseinrichtung ist ausgebildet einen ersten anonymisierten Dienstidentifizierer, der einen Dienst kennzeichnet, von einem ersten Gerät zu emp ^¬ fangen. Die zweite Erzeugungseinrichtung ist ausgebildet einen zweiten anonymisierten Dienstidentifizierer aus einem zweiten Dienstidentifizierer mittels einer ersten Generie- rungsfunktion zu erzeugen. Die zweite Vergleichseinrichtung ist ausgebildet den ersten anonymisierten Dienstidenti- fizierer und den zweiten anonymisierten Dienstidentifizierer zu vergleichen. Die zweite Bereitstellungseinrichtung ist ausgebildet einen Dienst für das erste Gerät bereitzustellen, falls der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer übereinstimmen.

Das zweite Gerät hat den Vorteil auf einfache Weise und ohne eine vorherige Bereitstellung zusätzlicher Schlüssel oder sonstiger Sicherheitsinformation Suchdienste in drahtlosen Netzwerken anonymisiert bereitzustellen, was im Vergleich mit klassischen Verfahren eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet.

Bei einer ersten Ausführungsform des ersten Gerätes und/oder des zweiten Gerätes, ist das drahtlose Netzwerk ein WLAN- Netzwerk .

Bei weiteren Ausführungsformen des zweiten Gerätes, wird bei dem Vergleichen des ersten anonymisierten Dienstidentifi- zierers der zweite anonymisierte Dienstidentifizierer für je ^¬ den Dienstidentifizierer des zweiten Gerätes erzeugt, sodass jeder Dienstidentifizierer des zweiten Gerätes mit dem ersten Dienstidentifizierer anonym verglichen wird. Dadurch, dass für jeden Dienstidentifizierer des zweiten Gerätes ein zweiter anonymisierter Dienstidentifizierer erzeugt wird, kann eine Vielzahl von Diensten durch das zweite Gerät möglichst schnell bereitgestellt werden. Bei weiteren Ausführungsformen des ersten Gerätes und des zweiten Gerätes, ist die erste Generierungsfunktion eine kryptographische Hashfunktion, wobei die kryptographische Hashfunktion vorzugsweise nur langsam berechenbar ist.

Bei weiteren Ausführungsformen des ersten Gerätes und des zweiten Gerätes, verwendet die erste Generierungsfunktion ei ^¬ nen identischen Anonymisierer zum Erzeugen des ersten anony- misierten Dienstidentifizierers und des zweiten anonymisier ^¬ ten Dienstidentifizierers .

Bei weiteren Ausführungsformen des ersten Gerätes und des zweiten Gerätes, ist der Anonymisierer anhand von bekannten Informationen von dem ersten Gerät und zweiten Gerät berechenbar, sodass der Anonymisierer für die erste Generierungs- funktion von miteinander kommunizierenden Geräten gleich ist.

Bei weiteren Ausführungsformen des ersten Gerätes und des zweiten Gerätes, wird der Anonymisierer beim Senden von anonymisierten Dienstidentifizierern mitgeschickt wird, sodass der Anonymisierer für die erste Generierungsfunktion von miteinander kommunizierenden Geräten gleich ist. Gemäß einem weiteren Aspekt betrifft die Erfindung ein drit ^¬ tes Gerät zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken, wobei das dritte Gerät die Merkmale des ersten Gerätes und die Merkmale des zweiten Gerätes auf ^¬ weist.

Das dritte Gerät weist somit eine erste Kommunikationsein ^¬ richtung und eine zweite Kommunikationseinrichtung auf, die als eine Komponente ausgebildet sein können. Das dritte Gerät weist zusätzlich eine erste Erzeugungseinrichtung und eine zweite Erzeugungseinrichtung auf, die als eine Komponente ausgebildet sein kann. Darüber hinaus weist das dritte Gerät eine erste Akzeptierungseinrichtung, eine zweite Vergleichs ^¬ einrichtung und eine zweite Bereitstellungseinrichtung auf. Das dritte Gerät hat den Vorteil, auf einfache Weise und ohne eine vorherige Bereitstellung zusätzlicher Schlüssel oder sonstiger Sicherheitsinformation Suchdienste in drahtlosen Netzwerken anonymisiert zu nutzen oder bereitzustellen, was im Vergleich mit klassischen Verfahren eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet und kann so ^¬ wohl einen Dienst einem ersten Gerät anbieten und einen

Dienst von einem zweiten Gerät akzeptieren.

Desweiteren wird ein Computerprogrammprodukt beansprucht, mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens sowie eine Speicherkomponente, wie bei ^¬ spielsweise ein Datenträger oder ein Server, der das Compu- terprogrammprodukt speichert. Eine solche Speicherkomponente beziehungsweise ein solches Computerprogrammprodukt kann in einem System eingelesen werden und Programmbefehle ausführen, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht wird.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbei- spiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei zeigen: eine Darstellung des Verbindungsaufbaus in einem drahtlosen Netzwerk eines konventionellen Systems wie es aus dem Stand der Technik bekannt ist; eine Darstellung eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Schutz der Privatsphäre eines Nutzers bei der Verwendung von Suchdiensten;

Fig. 3 Darstellung eines zweiten Ausführungsbeispiels erfindungsgemäßen Verfahrens zum Schutz der Privatsphäre eines Nutzers bei der Verwendung von Suchdiensten;

Fig. 4 eine schematische Darstellung eines ersten Ausfüh- rungsbeispiels eines erfindungsgemäßen Systems der

Erfindung zum Schutz der Privatsphäre eines Nutzers bei der Verwendung von Suchdiensten;

Fig. 5 eine schematische Darstellung eines Ausführungsbei- spiels eines ersten erfindungsgemäßen Gerätes der

Erfindung;

Fig. 6 eine schematische Darstellung eines Ausführungsbei ^¬ spiels eines zweiten erfindungsgemäßen Gerätes aus der Erfindung; und

Fig. 7 eine schematische Darstellung eines Ausführungsbei ^¬ spiels eines dritten erfindungsgemäßen Gerätes aus der Erfindung;

In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.

Um die Ausführungsbeispiele möglichst einfach zu halten, wird nachfolgend meist jeweils von einem Dienstidentifizierern gesprochen, was jedoch nicht als Einschränkung zu verstehen ist. In der Praxis werden eine Vielzahl von Dienstidenti- fizierern bzw. Sätze von Dienstidentifizierern verwendet. Fig. 1 ist eine Darstellung des Verbindungsaufbaus eines kon ^¬ ventionellen Systems wie es aus dem Stand der Technik bekannt ist .

Im Einzelnen wird in Fig. 1 der Verbindungsaufbau in WLAN- Netzwerken erläutert. Es werden dabei Service Set Identifier (SSIDs) bzw. ein Satz von Dienstidentifizierern von einem ersten konventionellen Gerät, beispielsweise einem konventio ^¬ nellen Client 101, und einem zweiten konventionellen Gerät, beispielsweise einem konventionellen Zugangspunkt (Access Point) 102, verwendet. Im Einzelnen möchte der konventionelle Client 101 einen Dienst in Anspruch nehmen und fragt mittels der SSIDs beim Zugangspunkt 102 nach, ob der konventionelle Zugangspunkt 102 den gewünschten Dienst zur Verfügung stellt.

Im konventionellen Verbindungsaufbau im WLAN wird zunächst die Prüfanfrage 103 bzw. „Probe Request" vom konventionellen Client 101 an mindestens einen konventionellen Zugangspunkt 102 in der Umgebung geschickt. Die Prüfanfrage 103 beinhaltet einen ersten Dienstidentifizierer SI, der von einem Nutzer frei gewählt werden kann. Dies ist üblicherweise eine Zei ^¬ chenkette, die durch ihre semantische Bedeutung einen Rück- schluss auf den Nutzer zulässt, beispielsweise „Adams WLAN" oder „WLAN Douglasstr. 42".

Ein konventioneller Zugangspunkt 102, der die Prüfanfrage 103 empfangen hat, vergleicht zunächst den ersten Dienstidenti- fizierer SI mit einem zweiten Dienstidentifizierer, der einem unterstützten Dienst des konventionellen Zugangspunktes 102, beispielsweise ein Netzwerk mit dem sich der konventionelle Client 101 verbinden möchte, zugeordnet ist.

Stimmen der erste Dienstidentifizierer SI und der zweite Dienstidentifizierer überein, antwortet der konventionelle

Zugangspunkt 102 dem konventionellen Client 101 mittels einer Prüfantwort 104 bzw. „Probe Response". Die Prüfantwort 104 enthält dabei den übereinstimmenden Dienstidentifizierer SI und weitere Daten, wie beispielsweise einen Zeitstempel.

Erhält der konventionellen Client 101 eine Prüfantwort 104 mit dem gesuchten Dienst bzw. Dienstidentifizierer SI, so wird beispielsweise im WLAN-Verbindungsaufbau die Verbindung authentifiziert, was allgemein unter dem Ausdruck „link au- thentication" bekannt ist. Hierzu werden eine Authentifizie- rungsanfrage 105 bzw. „Authentication Request" und eine Au ^¬ thentifizierungsantwort 106 „Authentication Response" ausge- tauscht, wobei dieser Austausch wieder den gesuchten Dienst- identifizierer SI enthält.

Auf die Verbindungsauthentifizierung folgt die Client Asso- ziierung bzw. „Client Association". Hierzu werden eine Assoziierungsanfrage 106 bzw. „Association Request" und eine As ^¬ soziierungsantwort 107 bzw. „Associaten Response" verwendet, die ebenfalls den gesuchten Dienstidentifizierer bzw. die SSID enthält.

Während all dieser Schritte ist es möglich, dass die vom kon ^¬ ventionellen Client 101 und vom konventionellen Zugangspunkt 102 ausgetauschten Dienstidentifizierer mitgelesen werden. Das Problem hinsichtlich der Privatsphäre besteht darin, dass die Informationen der Dienstidentifizierer SI bzw. des Satzes von Dienstidentifizierern, die während einer Prüfanfrage 103 verwendet werden, im Klartext übertragen werden. Anhand der verwendeten Dienstidentifizierer bzw. die Anzahl der verwen- deten Dienstidentifizierer ist es möglich beispielsweise den konventionellen Client 101 zu verfolgen.

Es wird daher vorgeschlagen anstelle des klassischen

Dienstidentifizierers einen anonymisierten Dienstiden- tifizierer zu verwenden, wie nachfolgend beschrieben wird.

Fig. 2 ist eine Darstellung eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Schutz der Privatsphäre eines Nutzers bei der Verwendung von Suchdiensten.

Zunächst wählt das erste Gerät, beispielsweise ein Client 500, in einem ersten Verfahrensschritt 201 einen zufälligen Anonymisierer AI, beispielsweise einen Saltwert. Als Saltwert ist eine zufällig gewählte Zeichenfolge zu verstehen, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird, um die Entropie der Eingabe zu erhöhen . In einem Verfahrensschritt 202 wird mittels einer ersten Ge- nerierungsfunktion GF, wie beispielsweise eine nur langsam berechenbare Hashfunktion wie PBKDF2 oder Bcrypt, und dem Anonymisierer AI ein erster anonymisierter Dienst- identifizierer PI _C 1 für einen ersten Dienstidentifizierer SI _C 1 des Clients 500 berechnet. Dieser erste anonymisierte Dienstidentifizierer PI _C 1 wird beispielsweise nur für eine Prüfanfrage 210 mit jeweils einem zweiten Gerät, beispiels ^¬ weise einem Zugangspunkt 600, verwendet.

PI _C 1 = GF(SI _C 1, AI) ; Formel 1

Der Client 600 sendet im Verfahrensschritt 203 anstelle des ersten Dienstidentifizierers SI _C 1, der im konventionellen System aus Fig. 1 Informationen im Klartext enthält, den ersten anonymisierten Dienstidentifizierer PI _C 1 und den

Anonymisierer AI in einer Prüfanfrage 210 an den Zugangspunkt 600. Der erste anonymisierte Dienstidentifizierer PI _C 1 ent ^¬ hält somit keine Klartextdaten mehr, wodurch die Privatsphäre des Nutzers geschützt wird.

Der Zugangspunkt 600 empfängt den ersten anonymisierten

Dienstidentifizierer PI _C 1 und den Anonymisierer AI als Teil der Prüfanfrage 210. Der Zugangspunkt umfasst die gleiche erste Generierungsfunktion GF und mindestens einen zweiten

Dienstidentifizierer SI _Z 2. Der Zugangspunkt 600 berechnet in einem Verfahrensschritt 204 unter Verwendung der ersten Generierungsfunktion GF und des empfangenen Anonymisierers AI einen zweiten anonymisierten Dienstidentifizierer PI _Z 2 für sei- nen zweiten Dienstidentifizierer SI _Z 2.

PI _Z 2 = GF(SI _Z 2, AI) ; Formel 2

Der Zugangspunkt 600 vergleicht in einem Verfahrensschritt 205 den ersten anonymisierten Dienstidentifizierer PI _C 1 und den zweiten anonymisierten Dienstidentifizierer PI _Z 2. Da der Zugangspunkt 600 vorzugsweise mehrere Dienste unter ^¬ stützt, ist es notwendig, dass der Zugangspunkt 600 den ers ^¬ ten anonymisierten Dienstidentifizierer PI _C 1 gegen jeden von ihm unterstützten Dienst prüft. Im Einzelnen bildet der Zu- gangspunkt 600 für jeden von ihm unterstützten Dienst, der durch einen zweiten Dienstidentifizierer SI _Z 2 gekennzeichnet ist, einen zweiten anonymisierten Dienstidentifizierer PI _Z 2. Jeder erzeugte zweite anonymisierte Dienstidentifizierer PI _Z 2 wird dann mit dem ersten anonymisierten Dienstidentifizierer PIcl verglichen.

Stimmen beide anonymisierten Dienstidentifizierer PI _C 1, PIz2 überein, schickt der Zugangspunkt 600 in einem Verfahrens ^¬ schritt 205 eine Prüfantwort 211 mit dem anonymisierten ers- ten Dienstidentifizierer PI _C 1 an den Client 500, um mitzutei ^¬ len, dass der durch den Client 500 angefragte Dienst bereit ^¬ gestellt werden kann. Was beim Verbindungsaufbau im WLAN be ^¬ deutet, dass mit dem Verbindungsaufbau weiter gemacht wird. Kann der gesuchte Dienst durch den Zugangspunkt 600 bereitge ^¬ stellt werden, wird ähnlich wie in den in Fig. 1 beschriebenen Stand der Technik in einem nächsten Schritt die Verbindung authentifiziert 212, jedoch wird auch hier nur der erste anonymisierte Dienstidentifizierer PI _C 1 verwendet. Auch bei dem darauf folgenden Schritt des Verbindungsaufbaus , der Client Assoziierung 213, wird nur der erste anonymisierte Dienstidentifizierer PI _C 1 verwendet.

Zum Schutz der Privatsphäre ist es in dem erfindungsgemäßen Verfahren äußerst schwierig, dass der erste anonymisierte

Dienstidentifizierer PI _C 1 verwendbar ist, um einen gesuchten Dienst bzw. Dienstidentifizierer SI _C 1 direkt im Klartext zu identifizieren. Eine direkte Berechnung des ersten Dienstidentifizierers SI _C 1 basierend auf den ersten anonymisierten Dienstidentifizierer PIcl ist äußerst komplex und nur mit erheblichem rechneri ^¬ schem Aufwand durchführbar. Der erste Dienstidentifizierer SI _C 1 ist auch nur dem Client 500 bekannt, somit kann auch nur der Client 500 eine direkte Assoziierung zwischen dem ersten Dienstidentifizierer SI _C 1 und dem ersten anonymisierten

Dienstidentifizierer PI _C 1 durchführen.

Im Einzelnen stellt der Zugangspunkt 600 fest, ob ein durch den Client 500 mittels des ersten anonymisierten Dienst- identifizierers PI _C 1 angefragte Dienst vom Zugangspunkt 600 unterstützt wird, indem dieser unter Verwendung der ersten Generierungsfunktion GF und des Anonymisierers AI einen anonymisierten zweiten Dienstidentifizierer PI _Z 2 aus einem zweiten Dienstidentifizierer SI _Z 2, der einem von dem Zugangspunkt 600 unterstützten Dienst zugeordnet ist, berechnet. Stimmen der erste anonymisierte Dienstidentifizierer PI _C 1 und der zweite anonymisierte Dienstidentifizierer PI _Z 2 überein, so stimmen auch der erste Dienstidentifizierer SI _C 1 und der zweite Dienstidentifizierer SI _Z 2 überein, da auf dieselbe Weise jeweils der anonymisierte Dienstidentifizierer PI _C 1, PI _Z 2 für einen Dienstidentifizierer SI _C 1, SI _Z 2 gebildet wird.

Daraus folgt, dass weder bei einer Übertragung von Daten der erste Dienstidentifizierer SI _C 1 verwendet wird, noch dem Zu ^¬ gangspunkt 600 der erste Dienstidentifizierer SI _C 1 im Klar- text bekannt ist. Durch den Zugangspunkt 600 ist die Informa ^¬ tion des ersten Dienstidentifizierers SI _C 1 nur feststellbar, wenn der Zugangspunkt 600 einen zweiten Dienstidentifizierer SI _Z 2 mit denselben Inhalt bzw. Information aufweist. Die Erfindung wurde anhand von SSIDs bei WLAN erläutert. Die Erfindung ist ebenso mit anderen Dienste-Suchdienst ^¬ protokollen (Service Discovery Protocol) wie z.B. Access Net ^¬ work Query Protocol (ANQP) nach IEEE 802.11-2012, oder Universal Plug and Play (UPnP) anwendbar. Ebenso können andere Funkübertragungsverfahren wie z.B. IEEE 802.15.4, Bluetooth oder ZigBee verwendet werden. Fig. 3 ist eine Darstellung eines zweiten Ausführungsbei ^¬ spiels des erfindungsgemäßen Verfahrens.

Ein erstes Gerät, beispielsweise der Client 500 aus der Be- Schreibung zum ersten Ausführungsbeispiel in Fig. 2, und ein zweites Gerät, beispielsweise der Zugangspunkt 600 aus der Beschreibung zum ersten Ausführungsbeispiel in Fig. 2, können auch ihre Rollen in dem erfindungsgemäßen Verfahren, so wie dies in der Beschreibung zum ersten Ausführungsbeispiel in Fig. 2 erläutert ist, tauschen. Hierdurch hat der Zugangs ^¬ punkt 600 die Möglichkeit in seinem Sendebereich bekannt zu geben, welche Dienste er grundsätzlich bereitstellt.

Hierzu wählt der Zugangspunkt 600 zunächst einen

Anonymisierer A2 in einem Verfahrensschritt 201. In einem Verfahrensschritt 202 erzeugt der Zugangspunkt 600 einen zweiten anonymisierten Dienstidentifizierer PI _Z 2 unter Verwendung der ersten Generierungsfunktion GF und des

Anonymisierers A2 für seinen zweiten Dienstidentifizierer SI _Z 2.

Der Zugangspunkt 600 schickt nun in einem Verfahrensschritt 203 als Beacon-Nachricht 309 oder als Broadcast-Nachricht den zweiten anonymisierten Dienstidentifizierer PI _Z 2 und den Anonymisierer A2 an den Client 500, der diese dann empfängt.

Der Client 500 erzeugt dann in einem Verfahrensschritt 204 unter Verwendung der ersten Generierungsfunktion GF und des Anonymisierers A2 den ersten anonymisierten Dienstidenti- fizierer PI _C 1 für seinen ersten Dienstidentifizierer SI _C 1.

In Verfahrensschritt 205 vergleicht der Client 500 den emp ^¬ fangenen zweiten anonymisierten Dienstidentifizierer PI _Z 2 mit dem ersten anonymisierten Dienstidentifizierer PI _C 1.

Stellt der Client 500 in einem Verfahrensschritt 206 fest, dass der erste anonymisierte Dienstidentifizierer PI _C 1 und der zweite anonymisierte Dienstidentifizierer PI _Z 2 überein- stimmen, sendet der Client 500 unter Verwendung des zweiten anonymisierten Dienstidentifizierers PI _Z 2 eine Prüfanfrage 210 an den Zugangspunkt 600. Der Zugangspunkt 600 schickt dann eine Prüfantwort 211 an den Client 500, dass er den ge- suchten Dienst für den Client 500 bereitstellen kann.

Ist der gesuchte Dienst durch den Zugangspunkt 600 breitge ^¬ stellt worden, wird ähnlich wie in den in Fig. 1 beschriebenen Stand der Technik in einem nächsten Schritt die Verbin- dung authentifiziert 212, jedoch wird auch hier nur der zweite anonymisierte Dienstidentifizierer PI _Z 2 verwendet. Auch bei dem darauf folgenden Schritt des Verbindungsaufbaus , der Client Assoziierung 213, wird nur der zweite anonymisierte Dienstidentifizierer PI _Z 2 verwendet.

Die Privatsphäre eines Nutzers wird durch das zweite Ausfüh ^¬ rungsbeispiel des erfindungsgemäßen Verfahrens auf gleiche Weise geschützt wie in der Beschreibung zum ersten Ausführungsbeispiel in Fig. 2 erläutert ist.

In einer Variante dieses Ausführungsbeispiels wird von dem Client 500 bei der Prüfanfrage anstelle des Anonymisierers A2, ein weiterer Anonymisierer verwendet und analog zur Beschreibung des ersten Ausführungsbeispiels verfahren. Damit kann ein höherer Schutz der Privatsphäre erreicht werden, da der Client 500 beim Anfragen eines Dienstes einen anderen Anonymisierer verwendet als der Zugangspunkt beim Senden der Boadcast-Nachricht . Fig. 4 ist eine Darstellung eines Ausführungsbeispiels eines erfinderischen Systems 400. Das System 400 dient dazu die Privatsphäre eines Nutzers in drahtlosen Netzwerken, wie bei ^¬ spielsweise WLAN, bei der Verwendung von Suchdiensten zu schützen .

Das System 400 zum Schutz der Privatsphäre bei Suchdiensten in drahtlosen Netzwerken weist ein erstes Gerät, beispiels ^¬ weise einen Client 500, und ein zweites Gerät, beispielsweise einen Zugangspunkt 600, auf. Der Client 500 und der Zugangs ^¬ punkt 600 kommunizieren über ein WLAN 401 miteinander.

Um einen möglichst hohen Schutz der Privatsphäre zu ermögli- chen, erzeugt der Client 500 zunächst mittels einer ersten Erzeugungseinrichtung 501 einen ersten anonymisierten

Dienstidentifizierer . Dazu verwendet die erste Erzeugungseinrichtung 501 eine erste Generierungsfunktion und einen durch den Client 500 gewählten Anonymisierer, um den ersten anony- misierten Dienstidentifizierer für einen ersten Dienst- identifizierer, der einem bestimmten Dienst zugeordnet ist, zu erzeugen. Damit ist es dem Client 500 möglich die Verfüg ^¬ barkeit des Dienstes am Zugangspunkt 600 abzufragen. Die Wahl des Anonymisierers kann dabei auf unterschiedliche Weise erfolgen. Der Anonymisierer kann beispielsweise eine zufällig gewählte Bitfolge in Form eines Saltwertes sein, die mittels eines Zufallszahlengenerators erzeugt wird. Alterna ^¬ tiv können auch bekannte Informationen des Clients 500 oder des Zugangspunktes 600 verwendet werden, um den Anonymisierer zu erzeugen. Hierzu eignet sich zum Beispiel eine MAC-Adresse oder ein abfragbarer Zähler des Clients 500 oder des Zugangspunktes 600. Der Vorteil der Verwendung der bekannten Informationen ist, dass eine Übertragung des Anonymisierers ver- zichtbar ist.

Die erste Generierungsfunktion ist in diesem Ausführungsbeispiel eine kryptographischen Hashfunktion, wie beispielsweise MD5, SHA-1, SHA-2, SHA-3 oder BLAKE, oder eine nur langsam berechenbare kryptographische Hashfunktion, wie beispielswei ^¬ se PBKDF2 oder Bcrypt . Dieser erste anonymisierte Dienst- identifizierer und der Anonymisierer werden dann mittels einer ersten Kommunikationseinrichtung 502 bei einer Prüfanfrage an den Zugangspunkt 600 gesendet.

Der Zugangspunkt 600 empfängt mittels einer zweiten Kommuni ^¬ kationseinrichtung 602 den ersten anonymisierten Dienst- identifizierer und den Anonymisierer. Der Zugangspunkt 600 berechnet mittels einer zweiten Erzeugungseinrichtung 601 unter Verwendung der ersten Generierungsfunktion und dem

Anonymisierer, einen zweiten anonymisierten Dienst- identifizierer für seinen zweiten Dienstidentifizierer, der angibt, welche Dienste vom Zugangspunkt 600 unterstützt wer ^¬ den .

Der Zugangspunkt 600 vergleicht mittels einer zweiten Ver ^¬ gleichseinrichtung 603 zunächst den ersten anonymisierten Dienstidentifizierer und den zweiten anonymisierten Dienst- identifizierer. Stimmen beide anonymisierten Dienst- identifizierer überein, schickt der Zugangspunkt 600 eine Prüfantwort mit dem ersten anonymisierten Dienstidentifizierer an den Client 500.

Im Einzelnen bildet der Zugangspunkt 600 für jeden von ihm unterstützten Dienst, der durch einen zweiten Dienst- identifizierer gekennzeichnet ist, einen zweiten anonymisierten Dienstidentifizierer . Jeder erzeugte zweite anonymisierte Dienstidentifizierer wird dann wie oben beschrieben von der zweiten Vergleichseinrichtung 603 mit dem ersten anonymisierten Dienstidentifizierer verglichen und bei einer Übereinstimmung dem Client 500 eine entsprechende Prüfantwort ge ^¬ schickt .

Erhält der Client 500 eine Antwort mit dem gesuchten ersten anonymisierten Dienstidentifizierer, bedeutet dies, dass der Zugangspunkt 600 den vom Client 500 angefragten Dienst mit ^¬ tels einer zweiten Bereitstellungseinrichtung 604 bereitstel- len kann.

Der Client 500 akzeptiert den durch die zweite Bereitstel ^¬ lungseinrichtung 604 bereitgestellten Dienst mit einer ersten Akzeptierungseinrichtung 503.

Da der Zugangspunkt 600 vorzugsweise mehrere Dienste unter ^¬ stützt, ist es notwendig, dass der Zugangspunkt 600 den ers ^¬ ten anonymisierten Dienstidentifizierer gegen jeden von ihm unterstützten Dienst prüft. Im Einzelnen bildet der Zugangspunkt 600 für jeden von ihm unterstützten Dienst, der durch einen zweiten Dienstidentifizierer gekennzeichnet ist, einen zweiten anonymisierten Dienstidentifizierer . Jeder erzeugte zweite anonymisierte Dienstidentifizierer wird dann wie oben beschrieben von der zweiten Vergleichseinrichtung 603 mit dem ersten anonymisierten Dienstidentifizierer verglichen und bei einer Übereinstimmung dem Client 500 eine entsprechende Prüf ^¬ antwort geschickt.

Zusammenfassend ist es mit dem erfindungsgemäßen System mög ^¬ lich Suchdienste in drahtlosen Netzwerken anonymisiert zu nutzen, was im Vergleich mit klassischen Systemen eine erhebliche Verbesserung des Schutzes der Privatsphäre bedeutet.

Fig. 5 ist eine schematische Darstellung eines Ausführungs ^¬ beispiels eines ersten erfindungsgemäßen Gerätes, beispiels ^¬ weise eines Clients 500, der Erfindung. Der Client 500 weist eine erste Erzeugungseinrichtung 501, eine erste Generierungsfunktion, eine erste Kommunikations ^¬ einrichtung 502 und eine erste Akzeptierungseinrichtung 503 auf. Die erste Erzeugungseinrichtung 501, die erste Kommunikationseinrichtung 502 und die erste Akzeptierungseinrichtung 503 sind mit einem Datenbus miteinander verbunden.

Um einen möglichst hohen Schutz der Privatsphäre zu ermögli ^¬ chen, erzeugt der Client 500 zunächst mittels der ersten Er ^¬ zeugungseinrichtung 501 unter Verwendung der ersten Generie- rungsfunktion und einem gewählten Anonymisierer einen ersten anonymisierten Dienstidentifizierer für seinen ersten

Dienstidentifizierer . Die erste Generierungsfunktion ist in diesem Ausführungsbeispiel eine kryptographischen Hashfunkti- on, wie beispielsweise MD5, SHA-1, SHA-2, SHA-3 oder BLAKE, oder eine nur langsam berechenbare kryptographische Hashfunk- tion, wie beispielsweise PBKDF2 oder Bcrypt . Dieser erste anonymisierte Dienstidentifizierer und der

Anonymisierer werden von der ersten Erzeugungseinrichtung 501 über den Datenbus an die erste Kommunikationseinrichtung 502 übertragen. Der erste anonymisierte Dienstidentifizierer und der Anonymisierer werden dann mittels der ersten Kommunikationseinrichtung 502 bei einer Prüfanfrage an ein zweites Gerät, beispielsweise einen Zugangspunkt, gesendet.

Erhält der Client 500 eine Antwort mit dem gesuchten ersten anonymisierten Dienstidentifizierer, bedeutet dies, dass der Zugangspunkt den vom Client 500 angefragten Dienst mittels einer zweiten Bereitstellungseinrichtung bereitstellen kann.

Der Client 500 akzeptiert den durch die zweite Bereitstel- lungseinrichtung bereitgestellten Dienst mit der ersten Akzeptierungseinrichtung 503.

Fig. 6 ist eine schematische Darstellung eines Ausführungs ^¬ beispiels eines zweiten erfindungsgemäßen Gerätes, beispiels- weise ein Zugangspunkt 600, der Erfindung.

Der Zugangspunkt 600 weist eine zweite Kommunikationseinrich ^¬ tung 602, eine zweite Erzeugungseinrichtung 601, eine zweite Vergleichseinrichtung 603 und eine Bereitstellungseinrichtung auf, die durch einen Datenbus miteinander verbunden sind. Zusätzlich weist der Zugangspunkt noch eine erste Generierungs- funktion auf, die von der Erzeugungseinrichtung 601 verwendet wird . Um einen möglichst hohen Schutz der Privatsphäre zu ermögli ^¬ chen, empfängt Zugangspunkt 600 mittels der zweiten Kommuni ^¬ kationseinrichtung 602 einen ersten anonymisierten

Dienstidentifizierer und einen Anonymisierer, der von einem ersten Gerät, beispielsweise einem Client, als Prüfanfrage gesendet wurde.

Der Zugangspunkt 600 berechnet nach Empfang der Prüfanfrage mittels der zweiten Erzeugungseinrichtung 601 unter Verwen- dung der ersten Generierungsfunktion und dem Anonymisierer einen zweiten anonymisierten Dienstidentifizierer für seinen zweiten Dienstidentifizierer . Die erste Generierungsfunktion ist in diesem Ausführungsbeispiel eine kryptographischen Hashfunktion, wie beispielsweise MD5, SHA-1, SHA-2, SHA-3 oder BLAKE, oder eine nur langsam berechenbare kryptographi- sche Hashfunktion, wie beispielsweise PBKDF2 oder Bcrypt .

Der Zugangspunkt 600 vergleicht mittels der zweiten Ver- gleichseinrichtung 603 zunächst den ersten anonymisierten Dienstidentifizierer und den zweiten anonymisierten

Dienstidentifizierer . Stimmen beide anonymisierten

Dienstidentifizierer überein, schickt der Zugangspunkt 600 eine Prüfantwort mit dem anonymisierten Dienstidentifizierer an den Client.

Da der Zugangspunkt 600 vorzugsweise mehrere Dienste unter ^¬ stützt, ist es notwendig, dass der Zugangspunkt 600 den ers ^¬ ten anonymisierten Dienstidentifizierer gegen jeden von ihm unterstützten Dienst prüft. Im Einzelnen bildet der Zugangs ^¬ punkt 600 für jeden von ihm unterstützten Dienst, der durch einen zweiten Dienstidentifizierer gekennzeichnet ist, einen zweiten anonymisierten Dienstidentifizierer . Jeder erzeugte zweite anonymisierte Dienstidentifizierer wird dann wie oben beschrieben von der zweiten Vergleichseinrichtung 603 mit dem ersten anonymisierten Dienstidentifizierer verglichen und bei einer Übereinstimmung dem Client eine entsprechende Prüfant ^¬ wort geschickt. Erhält der Client eine Antwort mit dem gesuchten ersten ano ^¬ nymisierten Dienstidentifizierer, bedeutet dies, dass der Zugangspunkt 600 den vom Client angefragten Dienst mittels der zweiten Bereitstellungseinrichtung 604 bereitstellen kann. Fig. 7 eine schematische Darstellung eines Ausführungsbei ^¬ spiels eines dritten erfindungsgemäßen Gerätes 700 aus der Erfindung, das sowohl die Funktionen des ersten erfindungsge- mäßen Gerätes als auch des zweiten erfindungsgemäßen Gerätes bereitstellt .

Im Einzelnen weist das dritte Gerät 700 eine erste Erzeu- gungseinrichtung 501, eine erste Kommunikationseinrichtung 502 und eine erste Akzeptierungseinrichtung 503, eine zweite Kommunikationseinrichtung 602, eine zweite Erzeugungseinrichtung 601, eine zweite Vergleichseinrichtung 603 und eine zweite Bereitstellungseinrichtung 604 auf, die durch einen Datenbus miteinander verbunden sind. Zusätzlich weist das dritte Gerät 700 noch eine erste Generierungsfunktion auf, die von der ersten Erzeugungseinrichtung 501 und von der zweiten Erzeugungseinrichtung 601 verwendet werden. Um einen möglichst hohen Schutz der Privatsphäre zu ermögli ^¬ chen, erzeugt das dritte Gerät 700 zunächst mittels der ers ^¬ ten Erzeugungseinrichtung 501 unter Verwendung der ersten Generierungsfunktion und einem gewählten Anonymisierer einen ersten anonymisierten Dienstidentifizierer für seinen ersten Dienstidentifizierer .

Dieser erste anonymisierte Dienstidentifizierer und der

Anonymisierer werden dann mittels der ersten Kommunikationseinrichtung 502 an ein weiteres Gerät gesendet.

Bei dem weiteren Gerät handelt es sich beispielsweise um ein erstes erfindungsgemäßes Gerät oder ein zweites erfindungsge ^¬ mäßes Gerät, ist aber vorzugsweise ein weiteres drittes er ^¬ findungsgemäßes Gerät. Nachfolgend wird als weiteres Gerät ein weiteres drittes Gerät verwendet.

Das weitere dritte Gerät empfängt mittels der zweiten Kommu ^¬ nikationseinrichtung 602 den ersten anonymisierten

Dienstidentifizierer . Das weitere dritte Gerät berechnet mit- tels der zweiten Erzeugungseinrichtung 601 unter Verwendung der ersten Generierungsfunktion und dem empfangenen

Anonymisierer einen zweiten anonymisierten

Dienstidentifizierer für seinen zweiten Dienstidentifizierer . Das weitere dritte Gerät vergleicht mittels der zweiten Ver ^¬ gleichseinrichtung 603 zunächst den ersten anonymisierten Dienstidentifizierer und den zweiten anonymisierten

Dienstidentifizierer . Stimmen beide anonymisierten

Dienstidentifizierer überein, schickt das weitere dritte Gerät den anonymisierten Dienstidentifizierer an das dritte Gerät 700. Erhält das dritte Gerät 700 eine Antwort mit dem gesuchten ersten anonymisierten Dienstidentifizierer, bedeutet dies, dass das weitere dritte Gerät den vom dritten Gerät 700 ange ^¬ fragten Dienst mittels der zweiten Bereitstellungseinrichtung 604 bereitstellen kann.

Das dritte Gerät 700 akzeptiert den durch die zweite Bereits ^¬ tellungseinrichtung bereitgestellten Dienst mit der ersten Akzeptierungseinrichtung 503. Die erste Erzeugungseinrichtung 501 und die zweite Erzeu ^¬ gungseinrichtung 601 des dritten Gerätes 700 können in diesem Ausführungsbeispiel als Teil einer gemeinsamen Erzeugungseinrichtung 710 ausgebildet sein. Die erste Kommunikationseinrichtung 502 und die zweite Kommu ^¬ nikationseinrichtung 602 des dritten Gerätes 700 können in diesem Ausführungsbeispiel Teil einer gemeinsamen Kommunika ^¬ tionseinrichtung 720 ausgebildet sein. In einer Variante der beschriebenen Ausführungsbeispiele wer ^¬ den der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer in bestimmten Zeitintervallen dadurch geändert, dass in den bestimmten Zeitintervallen der Anonymisierer oder die Generierungsfunktion ge- ändert wird.

In einer weiteren Variante der beschriebenen Ausführungsbeispiele wird die MAC-Adresse des ersten Gerätes und des zwei- ten Gerätes in bestimmten zeitlichen Intervallen geändert. Damit wird erreicht, dass auch bei der Erzeugung des

Anonymisierers anhand bekannter Informationen des ersten Gerätes und/oder des zweiten Gerätes und/oder des dritten Gerä- tes, der Anonymisierer sich in bestimmten zeitlichen Intervallen ändert.

In einer weiteren Variante der beschriebenen Ausführungsbeispiele werden der erste anonymisierte Dienstidentifizierer und der zweite anonymisierte Dienstidentifizierer ebenfalls in bestimmten Zeitintervallen geändert, wobei die Änderung der anonymen Dienstidentifizierern und die Änderung MAC- Adressen des ersten Gerätes und des zweiten Gerätes vorzugs ^¬ weise zum gleichen Zeitpunkt durchgeführt werden. Dies ist beispielsweise über den Austausch einer speziellen Anweisung realisierbar .

Durch das Ändern der MAC-Adressen und/oder der Anonymisierer lässt sich der Schutz der Privatsphäre noch weiter verbes- sern.

Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und ande- re Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.