DE102017115756A1 - Set up a connection between network elements - Google Patents
Set up a connection between network elements Download PDFInfo
- Publication number
- DE102017115756A1 DE102017115756A1 DE102017115756.5A DE102017115756A DE102017115756A1 DE 102017115756 A1 DE102017115756 A1 DE 102017115756A1 DE 102017115756 A DE102017115756 A DE 102017115756A DE 102017115756 A1 DE102017115756 A1 DE 102017115756A1
- Authority
- DE
- Germany
- Prior art keywords
- network element
- server
- key
- connection
- pma
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Abstract
Ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement wird vorgeschlagen, wobei das Verfahren Folgendes umfasst: (i) Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet; (ii) Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement; (iii) Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert; (iv) Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement; und (v) Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels. Auch wird ein dementsprechendes System bereitgestellt.A method for establishing a connection between a first network element and a second network element is proposed, the method comprising: (i) setting up a first connection between the first network element and a server, wherein the first network element logs on to the server; (ii) providing a first key from the server to the first network element; (iii) establishing a second connection between the second network element and the server, the second network element indicating that it requests a connection with the first network element; (iv) providing a second key from the server to the second network element; and (v) establishing one of the connections between the first network element and the second network element by using the first key and the second key. Also, a corresponding system is provided.
Description
HINTERGRUND DER ERFINDUNGBACKGROUND OF THE INVENTION
Ausführungsformen der vorliegenden Erfindungen betreffen eine verbesserte Sicherheit für zwei Netzwerkelemente, die miteinander über das Internet verbunden werden sollen.Embodiments of the present invention relate to improved security for two network elements to be interconnected via the Internet.
KURZDARSTELLUNGSUMMARY
Eine erste Ausführungsform betrifft ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement, umfassend:
- - Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet;
- - Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement;
- - Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert;
- - Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement;
- - Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels.
- Setting up a first connection between the first network element and a server, wherein the first network element logs on to the server;
- Providing a first key from the server to the first network element;
- Establishing a second connection between the second network element and the server, the second network element indicating that it requests a connection to the first network element;
- Providing a second key from the server to the second network element;
- Setting up one of the connections between the first network element and the second network element by using the first key and the second key.
Eine zweite Ausführungsform betrifft ein System zum Aufsetzen einer Verbindung, umfassend:
- - ein erstes Netzwerkelement;
- - ein zweites Netzwerkelement;
- - einen Server;
- - wobei das erste Netzwerkelement dafür ausgelegt ist, sich bei dem Server anzumelden;
- - wobei der Server dafür ausgelegt ist, einen ersten Schlüssel an das erste Netzwerkelement zu liefern, nachdem das erste Netzwerkelement sich bei dem Server angemeldet hat;
- - wobei das zweite Netzwerkelement dafür ausgelegt ist, eine Anforderung für eine Verbindung mit dem ersten Netzwerkelement an den Server zu senden;
- - wobei der Server dafür ausgelegt ist, einen zweiten Schlüssel an das zweite Netzwerkelement zu liefern, nachdem er die Anforderung von dem zweiten Netzwerkelement empfangen hat;
- - wobei das erste Netzwerkelement und das zweite Netzwerkelement dafür ausgelegt sind, eine die Verbindung untereinander durch Verwenden des ersten Schlüssels und des zweiten Schlüssels aufzusetzen.
- a first network element;
- a second network element;
- a server;
- - wherein the first network element is adapted to log in to the server;
- - wherein the server is adapted to deliver a first key to the first network element after the first network element has logged on to the server;
- - wherein the second network element is adapted to send a request for connection to the first network element to the server;
- - wherein the server is adapted to deliver a second key to the second network element after receiving the request from the second network element;
- - wherein the first network element and the second network element are adapted to establish a connection with each other by using the first key and the second key.
Figurenlistelist of figures
Ausführungsformen sind unter Bezugnahme auf die Zeichnungen dargestellt und veranschaulicht. Die Zeichnungen dienen dazu, das grundlegende Prinzip zu veranschaulichen, sodass nur Aspekte veranschaulicht werden, die zum Verstehen des grundlegenden Prinzips notwendig sind. Die Zeichnungen sind nicht maßstabsgetreu. In den Zeichnungen bezeichnen die gleichen Referenzzeichen gleiche Merkmale.
-
1 zeigt ein beispielhaftes Szenarium, umfassend eine DPU (Distribution Point Unit), welche über das Internet mittels einer TCP/IP-Verbindung mit einem PMA (Persistent Management Agent) 103 verbunden ist; -
2 zeigt ein beispielhaftes Szenarium, das einen MITM-Angriff visualisiert, basierend auf dem in1 gezeigten Diagramm, wobei eine MITM-Angriffseinheit innerhalb der Verbindung zwischen der DPU und dem PMA platziert ist; -
3 zeigt ein beispielhaftes Diagramm, umfassend eine DPU, einen PMA und einen Ladungsserver, welche über das Internet verbunden oder verbindbar sind; -
4 zeigt ein beispielhaftes Nachrichtendiagramm zwischen der DPU und dem Ladungsserver zum Liefern eines Schlüssels an die DPU; -
5 zeigt ein beispielhaftes Nachrichtendiagramm zwischen dem PMA und dem Ladungsserver zum Liefern eines Schlüssels an den PMA; -
6 zeigt ein beispielhaftes Nachrichtendiagramm der sich mit dem PMA unter Verwendung der durch den Ladungsserver gelieferten Schlüssel verbindenden DPU. -
7 zeigt ein beispielhaftes Diagramm, basierend auf3 , wobei sowohl der PMA als auch der Ladungsserver einen Verwürfeier umfassen, der symmetrische Verschlüsselungsfähigkeiten liefert.
-
1 shows an exemplary scenario comprising a Distribution Point Unit (DPU) connected to a PMA (Persistent Management Agent) 103 via the Internet via a TCP / IP connection; -
2 shows an exemplary scenario visualizing a MITM attack based on the in1 with a MITM attack unit placed within the connection between the DPU and the PMA; -
3 FIG. 12 is an exemplary diagram including a DPU, a PMA, and a charge server connected or connectable via the Internet; FIG. -
4 shows an exemplary message diagram between the DPU and the load server for providing a key to the DPU; -
5 shows an exemplary message diagram between the PMA and the load server for providing a key to the PMA; -
6 Figure 4 shows an exemplary message diagram of the DPU connecting to the PMA using the key provided by the load server. -
7 shows an exemplary diagram based on3 wherein both the PMA and the load server comprise a deferred eggs providing symmetric encryption capabilities.
AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMENDETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS
Es ist nicht beabsichtigt, dass die Reihenfolge, in der der Prozess beschrieben ist, als eine Beschränkung anzusehen ist, und eine beliebige Anzahl der beschriebenen Prozessblöcke kann in einer beliebigen Reihenfolge kombiniert werden, um den Prozess oder alternative Prozesse zu implementieren. Zusätzlich dazu können individuelle Blöcke aus dem Prozess entfernt werden, ohne vom Gedanken und Schutzumfang des hier beschriebenen Gegenstands abzuweichen. Des Weiteren kann der Prozess in beliebigen geeigneten Materialien oder Kombinationen von diesen implementiert werden, ohne vom Schutzumfang des hier beschriebenen Gegenstands abzuweichen.It is not intended that the order in which the process is described be considered as a limitation, and any number of the described process blocks may be combined in any order to implement the process or alternative processes. In addition, individual blocks may be removed from the process without departing from the spirit and scope of the subject matter described herein. Furthermore, the process may be implemented in any suitable materials or combinations thereof without departing from the scope of the subject matter described herein.
Hier beschriebene Beispiele betreffen insbesondere Mechanismen zum Erhöhen eines Sicherheitsniveaus zwischen Netzwerkkomponenten, insbesondere zum Schutz einer Verbindung zwischen einer ersten Netzwerkkomponente, beispielsweise einem Server, und einer zweiten Netzwerkkomponente, beispielsweise einem Client, vor einem erfolgreichen Mittelsmannangriff (Man-in-the-Middle-Angriff bzw. MITM-Angriff).Specifically, examples described herein relate to mechanisms for increasing a level of security between network components, particularly for protecting a connection between a first network component, such as a server, and a second network component, such as a client, from a successful man-in-the-middle attack or MITM attack).
Eine Verbindung zwischen zwei Vorrichtungen über ein ungesichertes Medium wie das Internet könnte durch Kryptographie mit öffentlichem Schlüssel wie beispielsweise SSH/TLS (Secure Shell / Transport Layer Security) gesichert werden. Allerdings ist ein solches Konzept gegenüber MITM-Angriffen verwundbar.A connection between two devices over an unsecured medium, such as the Internet, could be secured by public key cryptography, such as Secure Shell / Transport Layer Security (SSH). However, such a concept is vulnerable to MITM attacks.
Die DPU
Solch eine ferngemanagte/-gesteuerte Architektur ist mit dem Nachteil behaftet, dass sich das gesamte Internet zwischen dem PMA
Verschlüsselung mit öffentlichem Schlüssel, z. B. SSH, kann auf der Verbindung
Sobald einem Angreifer ein jeglicher privater Schlüssel bekannt wird, kann die gesamte Kommunikation korrumpiert werden. Dies ist insbesondere risikobeladen, da der PMA
Gemäß einem Beispiel der hier beschriebenen Lösung kann eine Schlüsselaustauschinstanz bereitgestellt werden oder eine bereits vorhandene Instanz kann für diesen Zweck eines Schlüsselaustauschs verwendet werden. Diese Instanz kann eine kontrollierte Instanz sein, z. B. eine firmenkontrollierte Instanz, die ein gewisses Vertrauensniveau bereitstellt. Die Instanz für einen Schlüsselaustausch wird hier auch als Schlüsselaustauschserver oder Ladungsserver bezeichnet.According to one example of the solution described herein, a key exchange instance may be provided or an already existing instance may be used for this purpose of key exchange. This instance can be a controlled instance, e.g. For example, a company-controlled entity that provides some level of trust. The instance for a key exchange is also referred to herein as a key exchange server or a load server.
Der Ladungsserver kann eine Netzwerkvorrichtung sein, die insbesondere verschiedene Firmware-Versionen für die verwendeten Vorrichtungen umfasst, wobei deren Firmware-Versionen oder cloudbasierte Anwendungen als Ladungen bezeichnet werden können.The cargo server may be a network device that includes, in particular, different firmware versions for the devices used, and their firmware versions or cloud-based applications may be referred to as loads.
Der PMA
Die DPU
In diesem Szenarium setzt die DPU
Dieser Ansatz erhöht das Sicherheitsniveau signifikant und er verschlechtert die Chancen eines erfolgreichen MITM-Angriffs. Es ist auch ein Vorteil dieses Ansatzes, dass Aufrüstmechanismen und Anfangskonfigurationen eines Fernzugangsknotens verbessert werden.This approach significantly increases security and degrades the chances of a successful MITM attack. It is also an advantage of this approach that upgrade mechanisms and initial configurations of a remote access node are improved.
Wie oben erwähnt, versuchen die DPU
Dies ist nützlich, da der Ladungsserver
Die DPU
Es gibt eine Option, feste Schlüssel zu verwenden, die in der DPU
Sobald die SSH-Verbindung
Der Ladungsserver
Die Prüfsumme kann unter Verwendung eines Message-Digest Algorithmus
Falls es keine verfügbare Anforderung von einem PMA, mit der DPU
Wenn die DPU
Falls die Prüfung der Prüfsumme korrekt ist, versucht die DPU
Falls die Prüfung der Prüfsumme nicht korrekt ist, versucht die DPU
Falls die Nachricht
Falls die DPU
Der PMA
Über die Nachricht
Als eine Option könnte ein Laufsoftwarename (von einer auf dem PMA
In einem beispielhaften Szenarium möchte sich die DPU
In einem anderen Szenarium muss auch der öffentliche Schlüssel der DPU
In einem Schritt
In dem Szenarium
In dem Szenarium
In Abhängigkeit von dem zu verwendenden Schlüsselmechanismus (siehe die nachfolgenden Anmerkungen zur Kryptographie) kann die Verbindung beispielsweise unter Verwendung der ausgetauschten Daten (d. h. des von dem PMA
Die Szenarien
Entsprechend den oben beschriebenen Kommunikationen hinsichtlich
Es ist ebenfalls eine Option, dass der Ladungsserver
Mittels einer Nachricht
In einer Nachricht
In einer Nachricht
In einem beispielhaften Szenarium kann die Verbindung
Der Verwürfeler
Dies erhöht das Sicherheitsniveau. In einem beispielhaften Szenarium kann der PMA
Die Verschlüsselung mit symmetrischem Schlüssel kann ein gemeinsam genutztes Medium nutzen, beispielsweise gemeinsames Nutzen einer mit einem symmetrischen Schlüssel verschlüsselten Leitung für viele Benutzer (hier viele PMA-Instanzen
Anmerkungen zur Kryptographie:Notes on cryptography:
Ein Mechanismus mit öffentlichem Schlüssel kann asymmetrische Verschlüsselung nutzen. In einem solchen Fall weisen beide Vorrichtungen, beispielsweise die DPU und der PMA, ihr eigenes öffentliches und privates Schlüsselpaar auf. In diesem Beispiel sind die DPU und der PMA beispielhafte Einheiten, die asymmetrische Verschlüsselung einsetzen. Allerdings ist Anwenden solcher Verschlüsselung nicht auf diese Einheiten beschränkt.A public key mechanism can use asymmetric encryption. In such a case, both devices, such as the DPU and the PMA, have their own public and private key pairs. In this example, the DPU and the PMA are exemplary entities that use asymmetric encryption. However, applying such encryption is not limited to these entities.
Die DPU verschlüsselt eine Anfangsnachricht unter Verwendung des öffentlichen Schlüssels des PMA. Der PMA entschlüsselt diese Nachricht unter Verwendung seines eigenen privaten Schlüssels. Die Antwort von dem PMA an die DPU wird unter Verwendung des öffentlichen Schlüssels der DPU verschlüsselt und diese Antwort kann durch die DPU mit deren privatem Schlüssel entschlüsselt werden.The DPU encrypts an initial message using the public key of the PMA. The PMA decrypts this message using its own private key. The response from the PMA to the DPU is encrypted using the public key of the DPU and this response can be decrypted by the DPU with its private key.
Allerdings gibt es einige Möglichkeiten zum Erhalten eines öffentlichen Schlüssels von einer Gegenparteieinheit:
- (1) Nur der öffentliche Schlüssel eines Servers ist bekannt:
- Beispielsweise kann die DPU den öffentlichen Schlüssel des PMA kennen. Die DPU verschlüsselt eine Nachricht unter Verwendung dieses öffentlichen Schlüssels des PMA, wobei der öffentliche Schlüssel der DPU in dieser verschlüsselten Nachricht enthalten ist. Die Nachricht wird von der DPU an den PMA gesendet. Der PMA ist in der Lage, die Nachricht zu entschlüsseln und somit den öffentlichen Schlüssel der DPU aus dieser Nachricht zu erhalten.
- Allerdings kann es eine Schwierigkeit dabei geben, den öffentlichen Schlüssel des PMA anfänglich für die DPU verfügbar zu machen. Mit anderen Worten: Wie wird der öffentliche Schlüssel des Servers (hier der PMA) für den Client (hier die DPU) verfügbar gemacht? Eine Lösung besteht darin, dass der öffentliche Schlüssel des Servers in den Client compiliert wird. Dieser öffentliche Schlüssel kann fest sein. Dies kann zu dem Faktum führen, dass auch der private Schlüssel fest ist, was für manche Anwendungen schädlich sein kann. Eine andere Lösung besteht darin, dass der Client den öffentlichen Schlüssel dynamisch erhält, beispielsweise pro Sitzung, über eine Drittpartei (beispielsweise eine Vertrauensentität). In einem solchen Szenarium kann das Schlüsselpaar variieren und ein neues Schlüsselpaar könnte pro Sitzung oder gemäß einem vorbestimmten (z. B. Zeit-) Muster ausgegeben werden.
- (2) Der Server liefert den öffentlichen Schlüssel auf Abruf:
- Der Server kann einen Mechanismus zum Liefern des öffentlichen Schlüssels in Klartext unterstützen, beispielsweise auf eine Anforderung von dem Client.
- In diesem Beispiel kann die DPU den öffentlichen Schlüssel in Klartext erhalten, nachdem er von dem PMA angefordert wurde. Danach ist der gleiche Mechanismus wie unter (1) beschrieben anwendbar.
- (3) Server und Client kennen bereits die öffentlichen Schlüssel von der jeweiligen anderen Einheit:
- In einem solchen Fall muss kein öffentlicher Schlüssel an irgendeine der Einheiten, beispielsweise den PMA und die DPU übertragen werden, und die verschlüsselte Kommunikation kann wie beschrieben vorgenommen werden.
- (4) Server und Client verwenden dasselbe öffentliche/private Schlüsselpaar:
- Dies kann ein Ansatz mit einem verringerten Sicherheitsniveau sein. Andererseits ist dies eine Option zum Verwenden desselben Schlüsselpaars auf der Server- und der Client-Seite für eine asymmetrische Verschlüsselung. Das Schlüsselpaar kann in den Einheiten implementiert sein oder es kann auf Anfrage erhalten werden.
- (1) Only the public key of a server is known:
- For example, the DPU may know the public key of the PMA. The DPU encrypts a message using this public key of the PMA with the public key of the DPU included in this encrypted message. The message is sent from the DPU to the PMA. The PMA is able to decrypt the message and thus obtain the public key of the DPU from this message.
- However, there may be some difficulty in making the public key of the PMA initially available to the DPU. In other words, how is the public key of the server (here the PMA) made available to the client (here the DPU)? One solution is to compile the public key of the server into the client. This public key can be fixed. This can lead to the fact that the private key is also fixed, which can be harmful for some applications. Another solution is that the client receives the public key dynamically, for example, per session, through a third party (for example, a trust entity). In such a scenario, the key pair may vary and a new key pair may be issued per session or according to a predetermined (eg, time) pattern.
- (2) The server delivers the public key on demand:
- The server may support a mechanism for providing the public key in plain text, for example, at the request of the client.
- In this example, the DPU may receive the public key in plain text after being requested by the PMA. Thereafter, the same mechanism as described in (1) is applicable.
- (3) Server and client already know the public keys from the other unit:
- In such a case, no public key needs to be transmitted to any of the units, such as the PMA and the DPU, and the encrypted communication can be made as described.
- (4) Server and client use the same public / private key pair:
- This can be an approach with a reduced level of security. On the other hand, this is an option to use the same key pair on the server side and the client side for asymmetric encryption. The key pair can be implemented in the units or it can be obtained on request.
Allerdings haben der Server und der Client nach der Initialisierungsphase eine sichere Verbindung aufgesetzt. Dann kann eine der folgenden Möglichkeiten zur Anwendung kommen:
- (a) Kommunikation zwischen Server und Client unter Verwendung von asymmetrischer Verschlüsselung:
- Die wie oben erläutert aufgesetzte asymmetrische Verschlüsselung kann für jegliche Kommunikation (vollständige oder ein Teil der Kommunikation) zwischen dem Client und dem Server verwendet werden.
- (b) Kommunikation zwischen Server und Client unter Verwendung von symmetrischer Verschlüsselung:
- Nach der Initialisierungsphase unter Verwendung von asymmetrischer Verschlüsselung kann unter Verwendung dieser asymmetrischen Verschlüsselung ein Sitzungsschlüssel zwischen Server und Client verteilt werden und dieser Sitzungsschlüssel wird als ein symmetrischer Schlüssel zum Verschlüsseln der Kommunikation (oder mindestens eines Teils der Kommunikation) zwischen dem Server und dem Client verwendet.
- Somit kann die asymmetrische Verschlüsselung nur verwendet werden zum Herstellen eines verschlüsselten Kommunikationskanals zwischen der DPU und dem PMA. Die DPU oder der PMA kann einen neuen (symmetrischen) Schlüssel bestimmen (z. B. berechnen), welcher mittels der Verschlüsselung mit asymmetrischem öffentlichen Schlüssel an die Gegenpartei übermittelt wird. Danach sind beide Seiten, d. h. der PMA und die DPU, in der Lage, diesen symmetrischen Schlüssel für Verschlüsselungs- und Entschlüsselungszwecke zu verwenden.
- (a) Communication between server and client using asymmetric encryption:
- The asymmetric encryption set up as described above may be used for any communication (complete or part of the communication) between the client and the server.
- (b) Communication between server and client using symmetric encryption:
- After the initialization phase using asymmetric encryption, using this asymmetric encryption, a session key may be distributed between server and client, and this session key is used as a symmetric key for encrypting the communication (or at least part of the communication) between the server and the client.
- Thus, asymmetric encryption can only be used to establish an encrypted communication channel between the DPU and the PMA. The DPU or PMA may determine (eg, compute) a new (symmetric) key which is transmitted to the counterparty using asymmetric public key encryption. After that, both sides, ie the PMA and the DPU, are able to use this symmetric key for encryption and decryption purposes.
Die vorliegend vorgeschlagenen Beispiele können insbesondere auf mindestens einer der folgenden Lösungen basieren. Insbesondere könnten Kombinationen der folgenden Merkmale genutzt werden, um ein gewünschtes Ergebnis zu erzielen. Die Merkmale des Verfahrens könnten mit einem oder mehreren beliebigen Merkmalen der Einrichtung, der Vorrichtung oder des Systems kombiniert werden oder umgekehrt.In particular, the examples proposed herein may be based on at least one of the following solutions. In particular, combinations of the following features could be used to achieve a desired result. The features of the method could be combined with any one or more features of the device, device, or system, or vice versa.
Ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement wird bereitgestellt, umfassend:
- - Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet;
- - Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement;
- - Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert;
- - Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement;
- - Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels.
- Setting up a first connection between the first network element and a server, wherein the first network element logs on to the server;
- Providing a first key from the server to the first network element;
- Establishing a second connection between the second network element and the server, wherein the second network element indicates that it requests a connection with the first network element;
- Providing a second key from the server to the second network element;
- Setting up one of the connections between the first network element and the second network element by using the first key and the second key.
In einem Beispiel kann das erste Netzwerkelement eine DPU sein und das zweite Netzwerkelement kann ein PMA sein. Der Server kann ein Schlüsselaustauschserver sein. Die DPU und der Schlüsselaustauschserver können im Wesentlichen als getrennte Hardwareeinheiten implementiert werden, wobei der PMA als Software oder Hardware realisiert werden kann.In one example, the first network element may be a DPU and the second network element may be a PMA. The server can be a key exchange server. The DPU and the key exchange server may be implemented substantially as separate hardware units, where the PMA may be implemented as software or hardware.
Bei einer Ausführungsform ist das erste Netzwerkelement eine DPU.In one embodiment, the first network element is a DPU.
Bei einer Ausführungsform ist das zweite Netzwerkelement ein PMA.In one embodiment, the second network element is a PMA.
Bei einer Ausführungsform meldet sich das erste Netzwerkelement beim Server an, indem eine Identifikation des ersten Netzwerkelements bereitgestellt wird.In one embodiment, the first network element registers with the server by providing identification of the first network element.
Diese Identifikation des ersten Netzwerkelements kann eine Seriennummer und/oder eine Softwareinformation (beispielsweise eine Version oder eine beliebige Art von Ladungsinformationen) sein. Somit kann die Anmeldung des ersten Netzwerkelements bei dem Server auf Grundlage der Identifikation des ersten Netzwerkelements vorgenommen werden.This identification of the first network element may be a serial number and / or software information (for example, a version or any type of charge information). Thus, the registration of the first network element at the server can be made based on the identification of the first network element.
Bei einer Ausführungsform liefert der Server den ersten Schlüssel nicht an das erste Netzwerkelement, wenn eine Anforderung von dem zweiten Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist.In one embodiment, the server does not deliver the first key to the first network element when a request from the second network element to connect to the first network element is pending.
Bei einer Ausführungsform liefert der Server den ersten Schlüssel an das erste Netzwerkelement, wenn keine Anforderung von einem Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist.In one embodiment, the server provides the first key to the first network element when no request from a network element to connect to the first network element is pending.
Bei einer Ausführungsform gilt:
- - nach Anmeldung des ersten Netzwerkelements bestimmt der Server eine Prüfsumme auf Grundlage von durch das erste Netzwerkelement bereitgestellten Informationen und überträgt die Prüfsumme mit dem ersten Schlüssel an das erste Netzwerkelement;
- - das erste Netzwerkelement prüft die Prüfsumme, um zu bestimmen, dass es der Ursprung der Anmeldungsanforderung war.
- after the first network element has been registered, the server determines a checksum based on information provided by the first network element and transmits the checksum with the first key to the first network element;
- The first network element examines the checksum to determine that it was the origin of the login request.
Bei einer Ausführungsform gilt:
- - der Server liefert den ersten Schlüssel und eine Adresse des zweiten Netzwerkelements an das erste Netzwerkelement;
- - die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement wird durch Verwenden des ersten Schlüssels, des zweiten Schlüssels und der Adresse des zweiten Netzwerkelements aufgesetzt.
- - The server delivers the first key and an address of the second network element to the first network element;
- the connection between the first network element and the second network element is established by using the first key, the second key and the address of the second network element.
Bei einer Ausführungsform versucht das erste Netzwerkelement erneut, die erste Verbindung zwischen dem ersten Netzwerkelement und dem Server aufzusetzen, falls es den ersten Schlüssel nicht innerhalb eines vorbestimmten Zeitraums empfängt.In one embodiment, the first network element again attempts to set up the first connection between the first network element and the server if it does not receive the first key within a predetermined time period.
Somit kann durch das erste Netzwerkelement ein Zeitgeber (Auszeit) zur Neuanmeldung bei dem Server verwendet werden, wenn keine Antwort oder insbesondere kein erster Schlüssel empfangen wird.Thus, by the first network element, a timer (time out) can be used to log on to the server if no response or, in particular, no first key is received.
Bei einer Ausführungsform liefert der Server den zweiten Schlüssel an das zweite Netzwerkelement, wenn oder nachdem sich das erste Netzwerkelement erfolgreich bei dem Server angemeldet hat.In one embodiment, the server provides the second key to the second network element when or after the first network element successfully logs on to the server.
Bei einer Ausführungsform wird eine symmetrische Verschlüsselung zu der ersten Verbindung und/oder der zweiten Verbindung hinzugefügt.In one embodiment, symmetric encryption is added to the first connection and / or the second connection.
Dies kann durch Hinzufügen eines Verwürfelers, der zu symmetrischer Verschlüsselung fähig ist, zu dem ersten Netzwerkelement und/oder dem zweiten Netzwerkelement sowie zu dem Server erreicht werden.This can be achieved by adding a scrambler capable of symmetric encryption to the first network element and / or the second network element as well as to the server.
Bei einer Ausführungsform kann jede Verbindung Kryptographie mit öffentlichem Schlüssel verwenden.In one embodiment, each connection may use public-key cryptography.
Jede der drei Verbindungen zwischen dem ersten Netzwerkelement, dem zweiten Netzwerkelement und dem Server kann beispielsweise eine SSH-Verbindung umfassen.For example, each of the three connections between the first network element, the second network element and the server may comprise an SSH connection.
Bei einer Ausführungsform wird die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement für mindestens eines der Folgenden verwendet:
- - Konfigurieren des ersten Netzwerkelements durch das zweite Netzwerkelement;
- - Liefern einer Statistik von dem ersten Netzwerkelement an das zweite Netzwerkelement.
- - configuring the first network element by the second network element;
- Providing statistics from the first network element to the second network element.
Eine Option besteht insbesondere darin, dass die Verbindung zwischen den Netzwerkelementen für Management-, Steuerungs- und Überwachungszwecke verwendet wird. Eine weitere Option besteht darin, dass die Verbindung zum Übertragen von Befehlen oder Anweisungen von einem Netzwerkelement zu dem anderen verwendet wird. Als ein Beispiel kann in einem Fall, bei dem eine korrumpierte Vorrichtung detektiert wurde, ein Abschießen- oder Löschen-Befehl ausgegeben werden. Eine weitere Option besteht darin, eine Vorrichtung betriebsunfähig zu machen, aufgrund eines gewissen Befehls.One option in particular is that the connection between the network elements is used for management, control and monitoring purposes. Another option is to use the connection to transfer commands or instructions from one network element to the other. As an example, in a case where a corrupted device has been detected, a fire or clear command may be issued. Another option is to disable a device due to some command.
Eine weitere Option zum Nutzen der Verbindung ist ein automatisches Softwarehochstufen oder -runterstufen. Falls beispielsweise Vorrichtungen eines gewissen Gebiets dieselbe Software-Version betreiben, könnte diese Verbindung sogar bevor die Gegenpartei verfügbar ist, zum Aktualisieren (Runterstufen) einer Vorrichtung verwendet werden. Dies erleichtert Integrieren neuer Vorrichtungen in ein vorhandenes Netzwerk.Another option for using the connection is an automatic software upgrade or downgrade. For example, if devices of a certain area are running the same software version, that link could be used to update (downgrade) a device even before the counterparty is available. This facilitates integration of new devices into an existing network.
Bei einer Ausführungsform umfasst die Anforderung des zweiten Netzwerkelements eine Identifizierung des zweiten Netzwerkelements.In one embodiment, the request of the second network element comprises an identification of the second network element.
Bei einer Ausführungsform gilt:
- - nachdem das zweite Netzwerkelement die Anforderung an den Server übertragen hat, bestimmt der Server eine Prüfsumme auf Grundlage von durch das zweite Netzwerkelement bereitgestellten Informationen und überträgt die Prüfsumme mit dem zweiten Schlüssel an das zweite Netzwerkelement;
- - das zweite Netzwerkelement prüft die Prüfsumme, um zu bestimmen, dass es der Ursprung der Anforderung, mit dem ersten Netzwerkelement verbunden zu werden, war.
- after the second network element has transmitted the request to the server, the server determines a checksum based on information provided by the second network element and transmits the checksum with the second key to the second network element;
- the second network element examines the checksum to determine that it was the origin of the request to connect to the first network element.
Bei einer Ausführungsform wird jede Verbindung über das Internet hinweg hergestellt.In one embodiment, each connection is made across the Internet.
Somit sind das erste Netzwerkelement, das zweite Netzwerkelement und der Server mit dem Internet verbunden und die Verbindung zwischen diesen Komponenten wird über das Internet hinweg oder - mit anderen Worten - als eine Internetverbindung unter Verwendung z. B. eines Internetprotokolls vorgenommen.Thus, the first network element, the second network element and the server are connected to the Internet and the connection between these components is transmitted over the Internet or, in other words, as an Internet connection using e.g. B. an Internet Protocol made.
Auch wird ein System zum Aufsetzen einer Verbindung vorgeschlagen, umfassend
- - ein erstes Netzwerkelement;
- - ein zweites Netzwerkelement;
- - einen Server;
- - wobei das erste Netzwerkelement dafür ausgelegt ist, sich bei dem Server anzumelden;
- - wobei der Server dafür ausgelegt ist, einen ersten Schlüssel an das erste Netzwerkelement zu liefern, nachdem das erste Netzwerkelement sich bei dem Server angemeldet hat;
- - wobei das zweite Netzwerkelement dafür ausgelegt ist, eine Anforderung für eine Verbindung mit dem ersten Netzwerkelement an den Server zu senden;
- - wobei der Server dafür ausgelegt ist, einen zweiten Schlüssel an das zweite Netzwerkelement zu liefern, nachdem er die Anforderung von dem zweiten Netzwerkelement empfangen hat;
- - wobei das erste Netzwerkelement und das zweite Netzwerkelement dafür ausgelegt sind, eine die Verbindung untereinander durch Verwenden des ersten Schlüssels und des zweiten Schlüssels aufzusetzen.
- a first network element;
- a second network element;
- a server;
- - wherein the first network element is adapted to log in to the server;
- - wherein the server is adapted to deliver a first key to the first network element after the first network element has logged on to the server;
- - wherein the second network element is adapted to send a request for connection to the first network element to the server;
- - wherein the server is adapted to deliver a second key to the second network element after receiving the request from the second network element;
- - wherein the first network element and the second network element are adapted to establish a connection with each other by using the first key and the second key.
Obwohl verschiedene Ausführungsbeispiele der Erfindung offenbart worden sind, wird Fachleuten auf dem Gebiet ersichtlich sein, dass verschiedene Änderungen und Modifikationen vorgenommen werden können, die manche der Vorteile der Erfindung erzielen, ohne vom Gedanken und Schutzumfang der Erfindung abzuweichen. Es wird Durchschnittsfachleuten auf dem Gebiet offensichtlich sein, dass andere Komponenten zweckmäßig substituiert werden können, die die gleichen Funktionen durchführen. Es sollte erwähnt werden, dass Merkmale, die unter Bezugnahme auf eine spezifische Figur erläutert werden, selbst in den Fällen mit Merkmalen anderer Figuren kombiniert werden können, in denen dies nicht explizit erwähnt worden ist. Ferner können die Verfahren der Erfindung entweder in reinen Softwareimplementierungen unter Verwendung der geeigneten Prozessoranweisungen oder in hybriden Implementierungen, die eine Kombination von Hardwarelogik und Softwarelogik nutzen, um die gleichen Ergebnisse zu erzielen, erreicht werden. Es wird beabsichtigt, dass derartige Modifikationen am erfindungsgemäßen Konzept durch die angehängten Ansprüche abgedeckt werden.Although various embodiments of the invention have been disclosed, it will be apparent to those skilled in the art that various changes and modifications can be made which will achieve some of the advantages of the invention without departing from the spirit and scope of the invention. It will be apparent to those of ordinary skill in the art that other components performing the same functions may be appropriately substituted. It should be noted that features explained with reference to a specific figure can be combined even in cases with features of other figures in which this has not been explicitly mentioned. Further, the methods of the invention can be achieved either in pure software implementations using the appropriate processor instructions or in hybrid implementations that utilize a combination of hardware logic and software logic to achieve the same results. It is intended that such modifications to the inventive concept be covered by the appended claims.
Claims (17)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017115756.5A DE102017115756A1 (en) | 2017-07-13 | 2017-07-13 | Set up a connection between network elements |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017115756.5A DE102017115756A1 (en) | 2017-07-13 | 2017-07-13 | Set up a connection between network elements |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017115756A1 true DE102017115756A1 (en) | 2019-01-17 |
Family
ID=64745336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017115756.5A Pending DE102017115756A1 (en) | 2017-07-13 | 2017-07-13 | Set up a connection between network elements |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102017115756A1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050125684A1 (en) * | 2002-03-18 | 2005-06-09 | Schmidt Colin M. | Session key distribution methods using a hierarchy of key servers |
US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
-
2017
- 2017-07-13 DE DE102017115756.5A patent/DE102017115756A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
US20050125684A1 (en) * | 2002-03-18 | 2005-06-09 | Schmidt Colin M. | Session key distribution methods using a hierarchy of key servers |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60024800T2 (en) | KEY MANAGEMENT BETWEEN CABLE TELEPHONE SYSTEM ADAPTER AND SIGNAL EQUIPMENT CONTROL | |
DE60028972T2 (en) | METHOD OF DISTRIBUTING GROUP KEY MANAGEMENT FOR SAFE MORE TO MULTIPORT COMMUNICATION | |
EP3518492B1 (en) | Method and system for disclosing at least one cryptographic key | |
DE60114220T2 (en) | SYSTEM AND METHOD FOR IMPLEMENTING THE IMPROVED TRANSPORT COATING SECURITY PROTOCOL | |
EP1793525B1 (en) | Method for changing the group key in a group of network elements in a network | |
EP3443705B1 (en) | Method and assembly for establishing a secure communication between a first network device (initiator) and a second network device (responder) | |
EP3516842B1 (en) | Method and device for transferring data in a topic-based publish-subscribe system | |
WO2017042320A1 (en) | Network-supported electronic therapy monitoring system | |
DE102013221159B3 (en) | A method and system for tamper-providing multiple digital certificates for multiple public keys of a device | |
DE102016216115A1 (en) | Computer apparatus for transferring a certificate to a device in a system | |
DE102014113582A1 (en) | Apparatus, method and system for context aware security control in a cloud environment | |
DE102020003739A1 (en) | Procedure for the distribution and negotiation of key material | |
DE102018202176A1 (en) | Master-slave system for communication via a Bluetooth low-energy connection | |
DE102020205993B3 (en) | Concept for the exchange of cryptographic key information | |
DE602005000900T2 (en) | Secure and transparent virtual private networks | |
WO2023274678A1 (en) | Managing keys for secure communication between communication subscribers via a separate communication channel | |
WO2015185509A1 (en) | Method for forwarding data between computer systems, computer network infrastructure, and computer program product | |
DE60023426T2 (en) | Electronic authentication system | |
EP3785416B1 (en) | Method for connecting a terminal to a cross-linkable computer infrastructure | |
DE102014112478A1 (en) | Method for distributing tasks between computer systems, computer network infrastructure and computer program product | |
DE102017115756A1 (en) | Set up a connection between network elements | |
EP3490285B1 (en) | Wireless communication with user authentication | |
DE3939828A1 (en) | Data transmission with unauthorised access prevention - encoding all data after preamble and transmitting via bus system | |
DE102015119687B4 (en) | Method for generating and/or transmitting an encrypted message | |
DE102014212038A1 (en) | Network system with end-to-end encryption |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication |