<Desc/Clms Page number 1>
Die Erfindung betrifft eine Anordnung gemäss dem Oberbegriff des Patentanspruches 1 und ein Verfahren gemäss dem Oberbegriff des Anspruches 10.
Die Publikation Khorramabadi, H. et al. "An ANSI Standard ISDN transceiver chip set" In: SolidState Circuits Conference, 1989. Digest of Technical Papers. 36th ISSCC., 1989 IEEE Internati- onal, 1989, Seiten : 357 beschreibt ein ISDN U-Interface, welches gleichzeitig Interface ist und Datenkonversion übernimmt. Dabei werden Algorithmen mittels eines digitalen subscriber loop Prozessors implementiert, sodass Zusatzfunktionen wie Ratenumsetzung, Verschlüsselung und Entschlüsselung u.dgl. mehr zur Verfügung gestellt werden können.
Die DE 198 07 723 A1 beschreibt eine Vorrichtung zur Übertragung von Datenströmen eines Kommunikationsnetzes, wobei aus den Datenströmen jeweils die für eine Endeinrichtung bestimmten Daten ausgefiltert bzw. vor der Endeinrichtung gesendete Daten eingespeist werden können.
Die DE 198 12 924 A1 beschreibt eine in das Zugangsnetz eines Kommunikationsendgerätes eingebrachte Schnittstelle zur bargeldlosen Bezahlung für den Zugang. Dabei wird auch Datenverschlüsselung zur Sicherung der Übertragung verwendet.
Ziel der Erfindung ist die Erstellung einer Anordnung bzw. eines Verfahrens zur sicheren Kommunikation in digital subscriber line networks (xDSL-Netzen), wobei sowohl vertrauliche Kommunikation über Verschlüsselung der Benutzerdaten als auch Teilnehmerauthentikation in der Aufbauphase eines virtuellen ATM Kanals (VC) gewährleistet sind. Es erfolgt dabei eine Einbettung der für Schlüsselaustausch und Verhandlung von Sicherheitsparametern erforderlichen Kommunikationskanäle in das xDSL Protokollmodell. Des weiteren sollen teilnehmerseitige Transparenz, hinsichtlich der darüber liegenden Protokolle - also Unabhängigkeit vom verwendeten Protokoll Stack- und Dienste-Transparenz gegeben sein.
Erfindungsgemäss werden diese Ziele bei einer Anordnung der eingangs genannten Art mit den im Kennzeichen des Anspruches 1 angeführten Merkmalen erreicht. Bei einem Verfahren der eingangs genannten Art werden diese Ziele mit den im Kennzeichen des Anspruches 10 angegebenen Merkmalen erreicht.
Die UTOPIA-Schnittstelle wurde vom ATM Forum http ://www.atmforum.com und ist auf ftp://ftp.atmforum.com/pub/approved-specs/af-phy-0039.000.pdf abrufbar. Unter der UTOPIA-Schnittstelle (Abkürzung für : Test and Operations Physical Interface for ATM) versteht man eine Schnittstelle, die den ATM-Layer mit dem Physical Layer (PHY) des ATM Protokollmodells verbindet. Es handelt sich um eine Byte-orientierte Schnittstelle samt Takt- und Steuerleitungen, über die die 53 Byte der ATM Zelle zwischen ATM Schicht und der PHY Schicht übermittelt werden.
Je Übertragungsrichtung ATM--> PHY bzw. PHY--> ATM weist die Schnittstelle 8 Datenleitungen, eine Taktleitung und eine Start of Cell (SOC) -Leitung auf, die den Beginn einer Zelle anzeigt. Neben SOC gibt es weitere Steuerleitungen zur Flusskontrolle: Die SOC-Leitung dient zur Anzeige, dass keine Daten verfügbar sind, bzw. dass der Puffer des Empfängers gerade voll ist und der Sender (PHY oder ATM Schicht) somit nicht weiter übermitteln darf.
Erfindungsgemäss wird eine security unit bzw. Verschlüsselungseinheit als zentrale Systemkomponente in den teilnehmerseitigen Netzwerkabschluss, den xDSL network terminator (xDSL-NT) oder auch in ein xDSL Modem, integriert. Die Einbettung der Verschlüsselungseinheit erfolgt an der Schnittstelle zwischen jenen Komponenten der xDSL transmission unit residential site (xTU-R), die am Referenzpunkt U der DSL Referenzarchitektur den leitungsseitigen Netzabschluss und am Referenzpunkt T den teilnehmerseitigen Netzabschluss bilden. Diese Komponenten werden allgemein als xDSL transmission unit (xTU) und transmission convergence (TC) bezeichnet.
<Desc/Clms Page number 2>
Vertrauliche Kommunikation wird über Verschlüsselung der ATM basierenden virtuellen Benutzerkanäle (VC's) in der user plane des xDSL Protokollmodells erreicht. Die Verhandlung von Sicherheitsparametern, wie auch der Schlüsselaustausch sind über das Blockieren der virtuellen ATM Kanäle in band in die user plane des xDSL Protokollmodells eingebunden.
Besondere Vorteile der erfindungsgemässen Anordnung und des erfindungsgemässen Verfahrens sind, dass der Aufbau der Anordnung einfach und sicher ist und dass die Verschlüsselungseinheit benutzerseitig nicht umgehbar oder beeinflussbar ist, aufgrund des Einbaues bzw. der Integration dieser Einheit in interne oder externe xDSL Modems, die ihrerseits mit einem in der Wand oder einem Schaltkasten befindlichen Benutzeranschluss fix verbunden sein können.
Die Verschlüsselung erfolgt Dienste- und Protokoll-unabhängig ; können somit übergeordnete Protokolle oder Dienste (voice, Video, etc. ) in derselben Weise verschlüsselt übertragen werden. Die Übertragung erfolgt transparent für Sender und Empfänger. Bestehende Benutzeranschlüsse können problemlos durch einfaches austauschen der xDSL Modems nachgerüstet werden.
Der Anschluss der Verschlüsselungseinheit zwischen die Referenzpunkte U und T des xDSLNetwork-Terminators war für den Fachmann keinesfalls naheliegend, da eine Vielzahl von Versuchen unternommen wurde, um eine ATM-Verschlüsselung an die verschiedensten Schnittstellen des ATM-Prorokoll-Modells anzubinden. In der historischen Entwicklung der ATM-Verschlüsselung und den entsprechenden wissenschaftlichen Publikationen wurde bislang immer ausgeführt, dass die Anbindung der Verschlüsselung es immer erfordert, die physikalischen Schnittstellen und die verschiedenen Schichten an die angeschlossene Verschlüsselung anzupassen. Die Erfindung stellte eine überraschend einfache Möglichkeit dar, eine ATM-Verschlüsselung vorzunehmen, ohne besondere Eingriffe in die Terminatoren vorzuneh- men.
Bislang wurden die Protokolle verändert bzw. ergänzt ; Aufwand entfällt erfindungs- gemäss, da die bestehenden Systeme nicht verändert werden müssen und die ATM-Verschlüsselung transparent eingefügt werden kann ; wurde für den Fachmann eine überraschend einfache und sichere Verschlüsselungsmöglichkeit gefunden.
Bevorzugte Ausführungsformen der Erfindung sind der folgenden Beschreibung, den Zeichnungen und den Patentansprüchen zu entnehmen.
Im folgenden wird die Erfindung anhand der Zeichnung beispielsweise näher erläutert. Es zeigen Fig. 1 Schnittstellen und Referenzpunkte von xDSL-NT's, Fig. 2 die line code unabhängige Schnittstelle innerhalb eines xDSL-NT's, Fig. 3 die Einbettung einer xDSL crypto unit bzw. Verschlüsselungseinheit in einem xDSL-NT, Fig. 4 die detaillierte Skizze der Integration der crypto unit in den xDSL-NT, Fig. 5 einen endlichen Automaten einer kryptographisch gesicherten Verbindung.
Im Kontext der gegenständlichen Systembeschreibung findet eine Klassifizierung und Einteilung der verwendeten Baugruppen und Schnittstellen anhand der I Serie, ITU-T, broadband integrated services digital network - user-network interface 1.413, Series I Recommendations, International Telecommunication Union, Telecommunication Standardisation Sector, statt, als auch dem ADSL Forum sytem reference model (ADSL Forum TR-001, March 1997), respektive der ATM over ADSL recommendation (ADSL Forum TR-002, March 1997), die sowohl die Gesamtheit des Referenzmodells beschreiben, als auch relevante Teile, die zur Beschreibung der Einbettung des gegenständlichen Verfahrens dienen.
Schnittstellen, Referenzpunkte und Baugruppen der Anordnung werden anhand des ADSL Referenzmodells gemäss ADSL Forum system reference model (ADSL Forum TR-001, March 1997) in Fig. 1 dargestellt. Somit besteht das DSL Übertragungssystem aus einem der vermittlungsseitigen Leitungsabschlüsse xTU-C (xDSL transmission unit - central office site) der Bestandteil und Frontende des xDSL access nodes darstellt und am Referenzpunkt U mit dem teilnehmerseitigen Leitungsabschluss xTU-R (xDSL transmission unit - residential site) verbun-
<Desc/Clms Page number 3>
den ist. Eine detailierte Beschreibung der T-SM Schnittstelle zwischen dem teilnehmerseitigen Netzabschluss (xTU-R) und dem Verteilungsnetzwerk des customer premisses equipment (CPE) wird in Fig. 2 gegeben.
Es ergeben sich somit mit den Referenzpunkten U und S/T zwei Schnittstellen eines xDSL Modems, das sowohl als internes (als integraler Bestandteil des Endgerätes), als auch als externes Gerät ausgeführt sein kann. Prinzipiell kann die Verschlüsselungseinheit an einer beliebigen Stelle zwischen den Referenzpunkten U und S/T eingeschaltet werden.
Fig. 2 zeigt eine xDSL Modem Konfiguration, wobei dem Interface zwischen dem ATM Layer und den zugehörigen Transmission Convergence Layers (TC-x) ein line code unabhängiges Interface zur Verfügung steht, wie zum Beispiel das in der Abbildung angedeutete UTOPIA Interface.
Fig. 3 erläutert die Einbettung der Verschlüsselungseinheit in die Komponenten und Schnittstellen des xDSL Modems. Dabei wird die Verschlüsselungseinheit dergestalt in den Übertragungspfad zwischen die Referenzpunkte U und S geschaltet, dass die Verschlüsselungseinheit die Schnittstelle zwischen dem ATM Layer und dem TC Block überbrückt. Es resultiert daraus ein xDSL Modem, dessen physikalischen Schnittstellen denen eines herkömmlichen Modem entsprechen, die Daten des virtuellen ATM Kanals (VC) jedoch unter Verwendung einer line code unabhängigen Schnittstelle (z. B. UTOPIA) über die Verschlüsselungseinheit geführt werden können.
Die Systemkomponenten der Verschlüsselungseinheit sind in Fig. 4 als Blockschaltbild dargestellt. Dabei sind folgende Basiskomponenten dargestellt: Die xDSL crypto unit 1 ist in Hardware ausgeführt und implementiert die Schnittstelle zwischen den transmission convergence (TC) Bausteinen und dem ATM Layer Baugruppe.
Der crypto core 11ist eine Hardwarekomponente und führt eine Endpunkt-zu-Endpunkt Verschlüsselung der Daten im upstream vom xDSL Modem zur Vermittlungsstelle bzw. zum xDSL access node, respektive die Entschlüsselung von Daten im downstream von der Vermittlungsstelle bzw. access node zum Benutzeranschluss. Dabei sind im gegenständlichen Konzept Blockchiffren und Stromchiffren auf die Daten des virtuellen ATM Kanal (VC) anwendbar.
Die Datenflusskontrolle 8 und die Schlüsselaustauscheinheit 10 können ebenfalls als HardwareBauteile vorliegen oder in einem Prozessor in Form von Software realisiert werden.
Dabei überwacht der signalling monitor 7 die Signalisierungsmeldungen (UNI) in der control plane und erkennt damit den Aufbau eines virtuellen Kanals (VC). Es wird daraufhin die Teilnehmerauthentifizierung mit der Authentikationseinheit 9 und der Austausch von Zertifikaten und Schlüsseln zwischen den beiden im weseentlichen gleich konfigurierten Benutzeranschlüsse besitzenden Verbindungspartnern durchgeführt und die Sitzungsschlüssel in den Encryptor des jeweiligen xDSL Modems geladen, wobei die Datenfluss-Kontrollogik 8 den vom ATM Layer empfangenen klartextlichen Datenstrom dem crypto-core 11 zuführt und nach erfolgter Verschlüsselung diese an den entsprechenden TC weitergeleitet.
In gleicher Weise werden verschlüsselte Date, die über den TC Block an die Kontrollogik gelangen, vom DatenflussKontrollmechanismus 8 dem crypto-core 11zugeführt und nach erfolgter Entschlüsselung an den ATM Layer weitergeleitet.
Die in diesem Abschnitt beschriebenen Einheiten sind nicht zwingend verschiedene Schaltungen, sondern können komponentenweise oder aber auch zu einer einzigen Komponente integriert sein, wie auch die Verschlüsselungseinheit 1 selbst als Teil des xDSL Modems bereits als fixer Bestandteil der T-Schnittstelle integriert sein kann.
<Desc/Clms Page number 4>
Eine vorteilhafte Ausführung einer Integration einer crypto-unit in ein xDSL Modem ist in Fig. 4 beschrieben. Die beiden Funktionalblöcke des ATM Stacks (der TC Layer und er ATM Layer) werden möglicherweise über proprietäre - meist aber über das quasi-Standard Interface UTOPIA miteinander verbunden.
Die UTOPIA Schnittstelle stellt im wesentlichen zwei acht-Bit parallele Interfaces zur Verfügung, wie auch Taktleitungen zur Synchronisation der zu übertragenen Daten als auch zusätzliche Kontrolleitungen zur Steuerung der Datenübertragung. Das UTOPIA Interface kann in Abhängigkeit der Anzahl der vorhandenen TC-Layer als Byte-orientiertes Interface, als auch als Zell-orientiertes Interface realisiert sein. Sollte das im gegenständlichen Fall beschriebene UTOPIA-Interface Zell-orientiert ausgeführt sein, so muss die DatenflussKontrollogik 8 möglicherweise für eine Umsetzung auf ein Byte-orientiertes Interface sorgen, um die empfangenen Daten dem crypto-core 11zuzuführen.
Zuvor müssen aber erst Funktionen der Teilnehmerauthentifizierung und des Schlüsselaustausches abgeschlossen sein, um die Steuerung der Datenfluss-Kontrollogik 8 zu übergeben.
Ausgelöst werden diese Mechanismen, nachdem ein Signalisierungs-Monitor den Wunsch nach einem geschaltenen virtuellen Kanal (VC) erkannt hat.
Im obig dargestellten Beispiel wird die Unterbrechung des Datenstroms aus Gründen der häufigen Verwendung dieser Schnittstelle am Beispiel eines UTOPIA Interfaces beschrieben, wobei sich das Konzept nicht auf diese Schnittstelle beschränkt, sondern nur als Beispiel einer möglichen Unterbrechung des Datenstroms an dieser Stelle anzusehen ist.
Der zeitliche Ablauf einer kryptographisch gesicherten xDSL Verbindung wird anhand eines in Fig. 5 dargestellten endlichen Automaten skizziert. Über den Signalisierungs-Monitor wird das Ende eines möglicherweise initiierten Verbindungsaufbaus (SVC, Soft-PVC) oder das Herstellen eines permanent geschalteten Kanals (PVC) erkannt. Die Verschlüsselungseinheit 1 bzw. die Crypto Unit 11gehen daraufhin in den Status der security service negotiation über, bestehend aus einer Erkennung des Kommunikationspartners samt einer Entscheidung hinsichtlich klartextlicher oder kryptographisch gesicherter Übertragung. Sollte die Übertragung vertraulich und somit kryptographisch gesichert erfolgen, muss es zu einer Teilnehmerauthentikation und zu einem nachfolgend initiierten Schlüsselaustausches des Sitzungsschlüssels kommen.
Somit erfolgt die Kommunikation entweder klartextlich oder verschlüsselt. Nur im Falle eines auftretenden Fehlers kann mit voreingestellten policy-Mechanismen die Übertragung abgelehnt werden oder klartextlich erfolgen. Im Falle einer klartextlichen Übertragung muss dieser Umstand durch geeignete Mitteln dem Benutzer mitgeteilt werden.
Handelt es sich bei den zur Datenübertragung verwendeten virtuellen Kanälen (VC) um anfänglich initiierte Verbindungen, muss die crypto-unit einen möglichen Verbindungsabbau erkennen und in einen sicheren Ausganszustand zurückgeführt werden.
Vorteilhafterweise ist vorgesehen, dass nach Blockieren des virtuellen Kanals (VC) ein Datenaustausch zwischen beiden Teilnehmern zur Authentikation der beiden xDSL Modems und gegebenenfalls zum Austausch der dem jeweiligen Benutzeranschluss eigenen Zertifikate und/oder öffentlichen Schlüsseln ein Sitzungsschlüssel für die Übertragung der Benutzerdaten im zugehörigen virtuellen Kanal (VC) festgelegt bzw. vereinbart wird, und dass erst nach der Erstellung dieses Sitzungsschlüssel und erfolgtem Austausch dieses Schlüssels, die Blockierung dieses Virtuellen Kanals (VC) aufgehoben wird. Die Aufhebung der Blockierung muss mit geeigneten Mitteln (Protokollen) der jeweils anderen Verschlüsselungseinheit mitgeteilt werden, um beide Verschlüsselungseinheiten zu synchronisieren.
Der in Fig. 5 abgebildete Automat bezieht sich auf einen einzelnen virtuellen Kanal (VC). Im Falle mehrerer virtueller Kanäle, oder im Falle einer dynamisch veränderlichen Anzahl von virtuellen Kanälen, müssen analog zur Anzahl der existierenden Kanäle weitere Instanzen eines solchen endlichen Automaten erzeugt werden.
<Desc/Clms Page number 5>
Da die Anzahl der möglichen Verbindungen natürlich begrenzt werden kann, dies aber im Sinne einer dynamisch erweiterbaren Einheit keine Vorteile bringen würde, findet im gegenständlichen Fall die Implementierung dieser dynamisch veränderlichen Anzahl an endlichen Automaten in Software statt und kann leicht in einem Microcontroller realisiert werden.
Für die den Verbindungsaufbau annehmende Crypto Unit 11gelten somit obige Überlegungen, wobei für jeden virtuellen Kanal eine eigene Instanz eines endlichen Automaten geschaffen werden muss.
Die erfindungsmässige Vorgangsweise gewährleistet einen temporär transparenten Kommunikationskanal, in dem sicherheitsrelevante Parameter und Funktionen, wie symmetrische Sitzungsschlüssel für die Sicherung der Benutzerdaten im zugehörigen VC, Authentifikation aber auch das gleichzeitige Umschalten in den vertraulichen Modus (Synchronisation) einbindbar sind.
Das Konzept ist somit von den dabei verwendeten Algorithmen und Verfahren unabhängig.
Darüber hinaus können auch externe Einrichtungen (Smartcards) zur Authentifikation, als auch zum Schlüsselaustausch verwendet werden.
Aus Gründen der Robustheit sind asymmetrische Verfahren des Schlüsselaustausches (z. B.
Diffie Hellman) mit auf Zertifikaten basierenden Verfahren der Authentifikation und Verteilung öffentlicher Schlüssel vorteilhaft.
Nachfolgend wird anhand einer möglicherweise existierenden public key certification infrastructure (PKCI) der prinzipielle Ablauf zur Verdeutlichung skizziert, wobei dieser Ablauf in der gegebenen Form und Sequenz vorteilhaft, aber nicht zwingend vorgeschrieben ist.
Zu Beginn der Verhandlungsphase werden die von einer Zertifizierungsinstanz signierten, öffentlichen Schlüssel zwischen den beiden crypto-units 11 der beteiligten Endgeräte (xDSL Modems) bzw. Benutzeranschlüsse ausgetauscht und mit dem bekannten öffentlichen Schlüssel der Zertifizierungsstelle verifiziert. Die Authentizität der jeweiligen Verschlüsselungseinheiten 1 basiert im wesentlichen auf dem Verschlüsseln von beiden Kommunikationspartnern bekannten Informationen unter dem privaten Schlüssel, was unter der öffentlichen Schlüsselkomponente verifizierbar ist, wohingegen der eigentliche Austausch der meist mit Zufallskomponenten generierten Sitzungsschlüssel unter Verschlüsselung von dessen Komponenten unter dem öffentlichen Schlüssel des Kommunikationspartners erfolgt.
Wesentlich dabei ist, dass für jede Kommunikationsbeziehung ein eigener Sitzungsschlüssel vor Beginn der eigentlichen Kommunikation generiert und in den crypt-core 11geladen wird. Bei mehreren gleichzeitigen Kommunikationsbeziehungen (z. B. mehrere virtuell Kanäle - Punkt-zu-Mehrpunkt Verbindung) wird auch jedem VC ein eigener, für diese Kommunikationsbeziehung gültiger Sitzungsschlüssel zugeordnet.
Die dargestellt Vorgangsweise ist in den verwendeten Mechanismen und Algorithmen nicht beschränkt. Es ist vielmehr jede Form von Blockschiffren oder Stromchiffren auf die Verschlüsselung der Daten der virtuellen Kanäle anwendbar. Dabei ist es aus mancherlei Gründen sinnvoll, Mechanismen zu verwenden, die keine Datenexpansion durchführen, dass heisst Mechanismen zu verwenden, die Datenblöcke in Blöcke gleicher Grösse überführen.
Bedingt durch den strukturellen Aufbau einer xDSL Verbindung zwische xDSL Modem und einem Host, der einen direkten Zugang zum Breitband Netzwerk hat, bedarf es in jedem Fall einer Einrichtung, die für die Umsetzung der unterschiedlichen physikalischen Ausführungsformen der ATM Übertragungsstrecke (z. B. xDSL auf STM-1) zuständig ist. Im Falle von xDSL wird dieser access node auch digital subscriber line access multiplexer (DSLAM) genannt. Je nach Ausführungsform geben diese DSLAM's bereits den möglichen Charakter der virtuellen Kanäle (VC's) vor (PVC, Soft-PVC, SVC).
<Desc/Clms Page number 6>
Im Falle einer dynamisch veränderlichen Anzahl virtueller Kanälen, gibt es bereits standardisierte Mechanismen der Signalisierung (wie z.B. vitual UNI mode oder auch das signalling DSLAM model) wie sich diese access nodes zu verhalten haben, um ein dynamisches Auf- und Abbauen von Verbindungen zu ermöglichen. All diese Mechanismen (sofern sie unterstützt werden und nicht auf das einfachere PVC-Modell zurückgegriffen wird) müssen der crypto-unit bekannt sein und in Form von zusätzlichen Zuständen und Ubergängen im signalling monitor des endlichen Automaten beschrieben werden.
Die Entscheidung zwischen Kommunikation zweier mit crypto-units ausgestatteter Endgeräte oder einer "herkömmlichen" Verbindung eines xDSL Modems und dem Router eines möglichen Internet Providers, ist in verschiedenen Ausprägungen durchführbar. Eine denkbare Möglichkeit wäre das Halten von Verbindungsinformationen in einer Liste von virtuellen Kanälen (VC) mit den zugehörigen virtual path identifier (VPI) und virtual channel identifier (VPI) als möglicher Index. Anhand dieser VPI/VCI Werte kann nun ein einzelner virtueller Kanal (VC) eindeutig identifiziert und Relationen zwischen VC und Verbindungsinformationen hergestellt werden.
Eine andere Möglichkeit wäre das dynamische Erkennen eines xDSL Modems, das ebenfalls über eine crypto-unit verfügt und in Abhängigkeit der Existenz einer solchen Einheit nach vordefinierten policies eine Übertragung unterbindet, klartextlich erlaubt oder verschlüsselt ermöglicht. Der Zustand der Verschlüsselungseinheit muss in jedem Fall in geeigneter Weise dem Benutzer mitgeteilt werden. Im Falle einer Datenübertragung in verschlüsselter Form, ist in der Zeit, in der virtuelle Kanäle blockiert werden, auf jeden Fall dafür zu sorgen, dass keine Endgerätdaten die crypto-unit verlassen und an den DSLAM gelangen können. Dies bedeutet, dass der VC unmittelbar mit dessen Schalten exklusiv der crypto-unit zugeordnet wird.
Dies resultiert in einem transparenten Kommunikationskanal für die kommunizierenden crypto-units, um den Austausch öffentlicher Schlüsselkomponenten und Zertifikaten, sowie Authentikation und Verhandlung des Verschlüsselungsverfahren (z. B. DES oder Tripple DES bzw. deren unterschiedliche Operationsmodi und Initialvektoren) oder zur Verhandlung symmetrischer Sitzungsschlüssel für die nachfolgende Kommunikationsphase zu ermöglichen.
Dabei kann für jeden virtuellen Kanal ein eigener Sitzungsschlüssel verhandelt werden, oder aber auch klartextlich kommuniziert werden, sofern der verwendete Dienst nur diese Form der Kommunikation erlaubt.
Ein wesentliches Element des endlichen Automaten bildet die Synchronisationseinheit, die das Umschalten des blockierten virtuellen Kanals (VC) hin zu einer klartextlichen Übertragung oder zu einer Verschlüsselten Übertragung kontrolliert. Die Ausführung dieses Mechanismus kann Element des zur Authentifikation oder des Schlüsselaustausches benötigten Protokolls sein, oder aber auch eine eindeutig erkennbarer Token der das Umschalten in den vertraulichen Mode signalisiert.
Vorteilhaft ist es, wenn der ATM-Signalisierungskanal-Monitor verbindungsaufbauende Sequenzen im Signalisierungskanal für SVCs, soft PVCs und PVCs erkennt und die Authentifikation und den Schlüsselaustausch initiiert.
Der Signalisierungs-Monitor realisiert unter Verwendung geeigneter Mittel (!Es, OAM) Mechanismen, wie Schlüsselaustausch-, key-renegotiation-, key-change-over etc., und dies in Abhängigkeit vom verwendeten Signalisierungsmodell (Virtual-UNI- oder Signalling-DSLAM-Model) aber auch im Falle einfacher, fix geschaltener PVCs.
**WARNUNG** Ende DESC Feld kannt Anfang CLMS uberlappen**.
<Desc / Clms Page number 1>
The invention relates to an arrangement according to the preamble of claim 1 and a method according to the preamble of claim 10.
The publication Khorramabadi, H. et al. "To ANSI Standard ISDN transceiver chip set" In: Solid State Circuits Conference, 1989. Digest of Technical Papers. 36th ISSCC., 1989 IEEE International, 1989, pages: 357 describes an ISDN U-Interface, which is both an interface and a data converter. In this case, algorithms are implemented by means of a digital subscriber loop processor, so that additional functions such as rate conversion, encryption and decryption and the like. more can be provided.
DE 198 07 723 A1 describes a device for transmitting data streams of a communication network, wherein from the data streams in each case the data intended for a terminal device can be filtered out or data sent in front of the terminal device can be fed in.
DE 198 12 924 A1 describes an interface introduced in the access network of a communication terminal for cashless payment for access. It also uses data encryption to secure the transfer.
The aim of the invention is the creation of an arrangement or a method for secure communication in digital subscriber line networks (xDSL networks), whereby both confidential communication via encryption of the user data and subscriber authentication in the construction phase of a virtual ATM channel (VC) are ensured. An embedding of the communication channels required for key exchange and negotiation of security parameters into the xDSL protocol model takes place. Furthermore, there should be subscriber-side transparency, with regard to the underlying protocols - that is, independence from the protocol used, stack and service transparency.
According to the invention, these objects are achieved in an arrangement of the type mentioned above with the features cited in the characterizing part of claim 1. In a method of the type mentioned, these objects are achieved with the features specified in the characterizing part of claim 10.
The UTOPIA interface was provided by the ATM Forum http://www.atmforum.com and is available at ftp://ftp.atmforum.com/pub/approved-specs/af-phy-0039.000.pdf. The UTOPIA interface (abbreviation for: Test and Operations Physical Interface for ATM) refers to an interface which connects the ATM layer to the physical layer (PHY) of the ATM protocol model. It is a byte-oriented interface with clock and control lines, via which the 53 bytes of the ATM cell are transmitted between the ATM layer and the PHY layer.
Depending on the direction of transmission ATM -> PHY or PHY -> ATM, the interface has 8 data lines, a clock line and a Start of Cell (SOC) line, which indicates the beginning of a cell. In addition to SOC, there are other control lines for flow control: The SOC line is used to indicate that no data is available, or that the buffer of the receiver is just full and the transmitter (PHY or ATM layer) is therefore no longer allowed to transmit.
According to the invention, a security unit or encryption unit is integrated as a central system component into the subscriber-side network termination, the xDSL network terminator (xDSL-NT) or else into an xDSL modem. The encryption unit is embedded at the interface between those components of the xDSL transmission unit residential site (xTU-R) which form the line-side network termination at the reference point U of the DSL reference architecture and the subscriber-side network termination at the reference point T. These components are commonly referred to as xDSL transmission unit (xTU) and transmission convergence (TC).
<Desc / Clms Page number 2>
Confidential communication is achieved via encryption of the ATM based virtual user channels (VC's) in the user plane of the xDSL protocol model. The negotiation of security parameters as well as the key exchange are integrated into the user plane of the xDSL protocol model by blocking the virtual ATM channels in band.
Particular advantages of the arrangement according to the invention and of the method according to the invention are that the structure of the arrangement is simple and secure and that the encryption unit can not be circumvented or influenced by the user due to the incorporation or integration of this unit in internal or external xDSL modems, which in turn a user terminal located in the wall or a switch box can be fixedly connected.
Encryption is service and protocol independent; Thus, higher-level protocols or services (voice, video, etc.) can be transmitted encrypted in the same way. The transmission is transparent for sender and receiver. Existing user ports can be easily retrofitted by simply replacing the xDSL modems.
The connection of the encryption unit between the reference points U and T of the xDSLNetwork terminator was by no means obvious to a person skilled in the art, since a large number of attempts have been made to connect an ATM encryption to the various interfaces of the ATM protocol model. In the historical development of ATM encryption and the corresponding scientific publications, it has always been stated that the connection of the encryption always requires adapting the physical interfaces and the different layers to the connected encryption. The invention provided a surprisingly simple possibility of performing ATM encryption without making special interventions in the terminators.
So far, the protocols have been changed or supplemented; Expenses according to the invention, since the existing systems need not be changed and the ATM encryption can be inserted transparently; A surprisingly simple and secure encryption option was found for the expert.
Preferred embodiments of the invention will become apparent from the following description, the drawings and the claims.
In the following the invention will be explained in more detail with reference to the drawing, for example. 1 shows interfaces and reference points of xDSL NTs, FIG. 2 shows the line code independent interface within an xDSL NT, FIG. 3 shows the embedding of an xDSL crypto unit in an xDSL NT, FIG Sketch of the integration of the crypto unit in the xDSL-NT, Fig. 5 a finite state machine of a cryptographically secured connection.
In the context of the subject system description, a classification and classification of the assemblies and interfaces used is based on the I Series, ITU-T, broadband integrated services digital network - user-network interface 1.413, Series I Recommendations, International Telecommunication Union, Telecommunication Standardization Sector. as well as the ADSL Forum system reference model (ADSL Forum TR-001, March 1997), respectively the ATM over ADSL recommendation (ADSL Forum TR-002, March 1997) describing both the entirety of the reference model and relevant parts serve to describe the embedding of the subject method.
Interfaces, reference points and modules of the arrangement are shown in FIG. 1 on the basis of the ADSL reference model according to the ADSL Forum system reference model (ADSL Forum TR-001, March 1997). Thus, the DSL transmission system consists of one of the exchange-side line terminations xTU-C (xDSL transmission unit - central office site) is the component and front end of the xDSL access nodes and at the reference point U with the subscriber line termination xTU -R (xDSL transmission unit - residential site) connectedness
<Desc / Clms Page 3>
that is. A detailed description of the T-SM interface between the subscriber network termination (xTU-R) and the distribution network of the customer premisses equipment (CPE) is given in FIG.
This results in the reference points U and S / T two interfaces of an xDSL modem, which can be designed both as an internal (as an integral part of the terminal), as well as an external device. In principle, the encryption unit can be switched on at any point between the reference points U and S / T.
2 shows an xDSL modem configuration in which the interface between the ATM layer and the associated transmission convergence layers (TC-x) has a line code-independent interface, such as the UTOPIA interface indicated in the figure.
Fig. 3 illustrates the embedding of the encryption unit in the components and interfaces of the xDSL modem. In this case, the encryption unit is switched in such a way in the transmission path between the reference points U and S, that the encryption unit bridges the interface between the ATM layer and the TC block. The result is an xDSL modem whose physical interfaces correspond to those of a conventional modem but the virtual ATM channel (VC) data can be routed via the encryption unit using a line code independent interface (eg UTOPIA).
The system components of the encryption unit are shown in FIG. 4 as a block diagram. The following basic components are shown: The xDSL crypto unit 1 is implemented in hardware and implements the interface between the transmission convergence (TC) blocks and the ATM layer module.
The crypto core 11 is a hardware component and carries an end-to-end encryption of the data in the upstream of the xDSL modem to the exchange or to the xDSL access node, respectively, the decryption of data in the downstream of the switch or access node to the user terminal. In the present concept, block ciphers and stream ciphers are applicable to the data of the virtual ATM channel (VC).
The data flow control 8 and the key exchange unit 10 may also be present as hardware components or be implemented in a processor in the form of software.
The signaling monitor 7 monitors the signaling messages (UNI) in the control plane and thus recognizes the structure of a virtual channel (VC). It is then carried out the subscriber authentication with the authentication unit 9 and the exchange of certificates and keys between the two in the same equal configured user connections subscriber partners and loaded the session key in the encryptor of each xDSL modem, the data flow control logic 8 received from the ATM layer clear text data stream to the crypto-core 11 feeds and after encryption has been forwarded to the appropriate TC.
In the same way, encrypted data that reach the control logic via the TC block are supplied by the data flow control mechanism 8 to the crypto-core 11 and forwarded to the ATM layer after decryption.
The units described in this section are not necessarily different circuits, but can be integrated component-wise or even into a single component, as well as the encryption unit 1 itself as part of the xDSL modem can already be integrated as a fixed part of the T-interface.
<Desc / Clms Page number 4>
An advantageous embodiment of an integration of a crypto-unit into an xDSL modem is described in FIG. The two functional blocks of the ATM stack (the TC layer and the ATM layer) may be interconnected via proprietary - but usually via the quasi-standard interface UTOPIA.
The UTOPIA interface essentially provides two eight-bit parallel interfaces, as well as clock lines for the synchronization of the data to be transmitted as well as additional control lines for controlling the data transmission. The UTOPIA interface can be implemented as a byte-oriented interface as well as a cell-oriented interface depending on the number of existing TC layers. Should the UTOPIA interface described in the present case be cell-oriented, then the data flow control logic 8 may have to provide for conversion to a byte-oriented interface in order to supply the received data to the crypto-core 11.
First, however, functions of subscriber authentication and key exchange must first be completed in order to transfer the control of the data flow control logic 8.
These mechanisms are triggered after a signaling monitor has detected the desire for a switched virtual channel (VC).
In the example shown above, the interruption of the data stream for reasons of frequent use of this interface using the example of a UTOPIA interfaces is described, the concept is not limited to this interface, but is to be regarded as an example of a possible interruption of the data stream at this point.
The timing of a cryptographically secured xDSL connection is outlined using a finite state machine shown in FIG. The signaling monitor detects the end of a possibly initiated connection establishment (SVC, soft PVC) or the creation of a permanently switched channel (PVC). The encryption unit 1 or the crypto unit 11 then go over to the status of the security service negotiation, consisting of a recognition of the communication partner together with a decision with regard to clear-text or cryptographically secured transmission. If the transmission is confidential and therefore cryptographically secured, subscriber authentication and subsequently initiated key exchange of the session key must occur.
Thus, the communication is either plain text or encrypted. Only in the event of an error can the transmission be rejected or be carried out in plain text using preset policy mechanisms. In the case of a clear text transmission, this circumstance must be communicated to the user by suitable means.
If the virtual channels (VC) used for the data transmission are initially initiated connections, the crypto-unit must detect a possible disconnection and be returned to a secure exit state.
Advantageously, it is provided that, after blocking the virtual channel (VC), a data exchange between both subscribers for the authentication of the two xDSL modems and, if necessary, for exchanging the certificates and / or public keys belonging to the respective user connection, a session key for the transmission of the user data in the associated virtual channel (VC) is set or agreed, and that only after the creation of this session key and exchange of this key, the blocking of this virtual channel (VC) is released. The release of the blocking must be communicated by suitable means (protocols) to the other encryption unit in order to synchronize both encryption units.
The automaton depicted in FIG. 5 relates to a single virtual channel (VC). In the case of multiple virtual channels, or in the case of a dynamically varying number of virtual channels, additional instances of such a finite state machine must be generated analogous to the number of existing channels.
<Desc / Clms Page number 5>
Since the number of possible connections can of course be limited, but this would bring no advantages in terms of a dynamically expandable unit, the implementation of this dynamically variable number of finite state machines in software takes place in the present case and can be easily implemented in a microcontroller.
Thus, the above considerations apply to the connection of the crypto unit 11, whereby a separate instance of a finite automaton has to be created for each virtual channel.
The procedure according to the invention ensures a temporarily transparent communication channel in which security-relevant parameters and functions, such as symmetric session keys for securing user data in the associated VC, authentication but also the simultaneous switching to confidential mode (synchronization) can be integrated.
The concept is thus independent of the algorithms and methods used.
In addition, external devices (smart cards) can be used for authentication as well as key exchange.
For reasons of robustness, asymmetric methods of key exchange (e.g.
Diffie Hellman) with certificate-based methods of authentication and distribution of public keys advantageous.
In the following, the principal procedure for clarification is outlined on the basis of a possibly existing public key certification infrastructure (PKCI), whereby this procedure is advantageous, but not mandatory, in the given form and sequence.
At the beginning of the negotiation phase, the public keys signed by a certification authority are exchanged between the two crypto-units 11 of the participating terminals (xDSL modems) or user connections and verified with the known public key of the certification authority. The authenticity of the respective encryption units 1 is essentially based on the encryption of information known to both parties under the private key, which is verifiable under the public key component, whereas the actual exchange of the session key, which is usually generated with random components, under encryption of its components under the public key of the Communication partner takes place.
It is essential that for each communication relationship a separate session key is generated before the start of the actual communication and loaded into the crypt-core 11. If there are several simultaneous communication relationships (eg multiple virtual channels - point-to-multipoint connection), each VC is also assigned its own session key that is valid for this communication relationship.
The procedure shown is not limited in the mechanisms and algorithms used. Rather, any form of block ciphers or stream ciphers is applicable to the encryption of virtual channel data. For a variety of reasons, it makes sense to use mechanisms that do not perform any data expansion, that is, to use mechanisms that convert data blocks into blocks of the same size.
Due to the structural design of an xDSL connection between the xDSL modem and a host that has direct access to the broadband network, in each case a device is required that is capable of implementing the different physical embodiments of the ATM transmission path (eg xDSL) STM-1). In the case of xDSL, this access node is also called a digital subscriber line access multiplexer (DSLAM). Depending on the embodiment, these DSLAM's already give the possible character of the virtual channels (VC's) (PVC, soft PVC, SVC).
<Desc / Clms Page number 6>
In the case of a dynamically varying number of virtual channels, there are already standardized mechanisms of signaling (such as vitual UNI mode or the signaling DSLAM model) of how these access nodes should behave in order to enable dynamic connection establishment and termination. All these mechanisms (if supported and not resorting to the simpler PVC model) must be known to the crypto-unit and described in the form of additional states and transitions in the signaling monitor of the finite state machine.
The decision between communication of two devices equipped with crypto-units or a "conventional" connection of an xDSL modem and the router of a possible Internet provider, is feasible in various forms. One conceivable possibility would be to keep connection information in a list of virtual channels (VC) with the associated virtual path identifier (VPI) and virtual channel identifier (VPI) as a possible index. Using these VPI / VCI values, a single virtual channel (VC) can now be uniquely identified and relations between VC and connection information established.
Another possibility would be the dynamic detection of an xDSL modem, which also has a crypto-unit and, depending on the existence of such a unit according to predefined policies prevents transmission, allows plain text or encrypted enabled. The state of the encryption unit must in each case be communicated to the user in a suitable manner. In the case of data transmission in encrypted form, in the period in which virtual channels are blocked, in any case it must be ensured that no terminal data can leave the crypto-unit and reach the DSLAM. This means that the VC is assigned exclusively to the crypto-unit immediately with its switching.
This results in a transparent communication channel for the communicating crypto-units, the exchange of public key components and certificates, as well as authentication and negotiation of the encryption process (eg DES or Tripple DES or their different operation modes and initial vectors) or negotiation of symmetric session keys for to enable the subsequent communication phase.
In this case, a separate session key can be negotiated for each virtual channel, or it can also be communicated in clear text, provided that the service used only allows this form of communication.
An essential element of the finite automaton is the synchronization unit, which controls the switching of the blocked virtual channel (VC) to a clear text transmission or to an encrypted transmission. The execution of this mechanism may be an element of the protocol required for authentication or key exchange, or else a clearly identifiable token which signals the switching to the confidential mode.
It is advantageous if the ATM signaling channel monitor recognizes connection-building sequences in the signaling channel for SVCs, soft PVCs and PVCs and initiates the authentication and the key exchange.
The signaling monitor realized using appropriate means (! Es, OAM) mechanisms, such as key exchange, key renegotiation, key change over, etc., and this depending on the signaling model used (Virtual UNI or Signaling DSLAM Model) but also in the case of simple, fixed switched PVCs.
** WARNING ** End of DESC field may overlap CLMS beginning **.