CN101507228B - 用于位于线缆网络中的装置的改善的认证 - Google Patents

用于位于线缆网络中的装置的改善的认证 Download PDF

Info

Publication number
CN101507228B
CN101507228B CN2006800556779A CN200680055677A CN101507228B CN 101507228 B CN101507228 B CN 101507228B CN 2006800556779 A CN2006800556779 A CN 2006800556779A CN 200680055677 A CN200680055677 A CN 200680055677A CN 101507228 B CN101507228 B CN 101507228B
Authority
CN
China
Prior art keywords
cable modem
authentication
cmts
place
session key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2006800556779A
Other languages
English (en)
Other versions
CN101507228A (zh
Inventor
曾生尤
乔舒亚·B·利德菲尔德
詹森·弗瑞泽
约瑟夫·A·萨洛韦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN101507228A publication Critical patent/CN101507228A/zh
Application granted granted Critical
Publication of CN101507228B publication Critical patent/CN101507228B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Small-Scale Networks (AREA)

Abstract

可扩展认证架构被用于诸如线缆数据服务接口规范(DOCSIS)的线缆网络。该认证方案准许对线缆调制解调器进行集中认证和通过线缆调制解调器对线缆网络进行认证。此外,该认证方案准许线缆调制解调器终端系统(CMTS)对例如客户侧设备(CPE)装置的线缆调制解调器下游的装置进行认证。

Description

用于位于线缆网络中的装置的改善的认证
背景技术
线缆调制解调器(cable modem)通过与线缆调制解调器终端系统(CMTS,或“头端”)进行通信而通过线缆网络提供宽带服务。线缆调制解调器位于端用户侧。
线缆网络一般对线缆调制解调器进行认证以部分地确保使用线缆调制解调器的端用户是付费客户。图1示出了在线缆数据服务接口规范(DOCSIS)系统中使用的传统线缆调制解调器基线接口加(BPI+)认证方案。
参考图1,位于线缆网络2中的线缆调制解调器(CM)4使用基线私有密钥管理(BPKM)协议来发送授权请求6,授权请求6包括线缆调制解调器的身份属性5。身份属性5基于用于线缆调制解调器4的X.509证书以及媒体接入控制(MAC)地址、序列号、制造商标识和RSA(RivestShamir Adleman)公共密钥的级联。授权请求6可以在线缆调制解调器14的登记之后被发送。
CMTS 3在接收到授权请求6之后通过使用CMTS本地存储器中所提供的证书链对身份属性5中的X.509证书进行有效确认来对线缆调制解调器4进行认证。当线缆调制解调器4被授权用于线缆服务时,CMTS 3使用BPKM协议来发回授权答复8,授权答复8包括本地产生的授权密钥7。授权答复8中包括授权密钥7的期限信息和加密套件信息。
图1中所示的BPI+认证方案具有局限性。例如,线缆调制解调器4不对CMTS 3进行认证,即,线缆调制解调器用户容易受到欺诈性网络装置的损害。并且,BPI+不准许线缆调制解调器的认证被集中用于线缆网络。换而言之,所有CMTS都包括用于对下游线缆调制解调器进行本地认证的本地资源。并且,当线缆调制解调器的认证在线缆调制解调器的登记之后发生时,线缆调制解调器认证容易受到涉及修改线缆调制解调器的配置值的安全漏洞的损害。并且,认证交换的序列是预先定义的、不可协商的或是被固定在BPI+中的。因为这些和其它原因,随着线缆网络规模增大,需要用于线缆网络的改善的远程并且可扩展的认证系统。
发明内容
可扩展的认证架构被用在诸如线缆数据服务接口规范(DOCSIS)线缆网络的线缆网络中。该认证方案准许线缆调制解调器的集中认证和通过线缆调制解调器对线缆网络的认证。此外,该认证方案准许线缆调制解调器终端系统(CMTS)对诸如客户侧设备(CPE)装置之类的线缆调制解调器下游的装置进行认证。
附图说明
图1是示出CMTS对线缆调制解调器进行认证的背景技术图。
图2是示出提供对线缆调制解调器和CPE装置的改善的认证的系统的一个实施例的图。
图3是示出CMTS如何使用集中式AAA服务器对图2中的线缆调制解调器进行认证的详图。
图4A和图4B是将用于图2中CMTS使用的改善的认证协议的帧结构与DOCSIS BPKM协议中的帧结构进行比较的详图。
图5是示出图2中的CMTS如何提供认证的流程图。
图6A是示出图2中的线缆调制解调器如何对图2中的CMTS进行认证的流程图。
图6B是示出图2中的线缆调制解调器在对图2中的下游CPE装置进行认证中如何中继认证消息的流程图。
图7是示出图2中的AAA服务器如何对图2中的线缆调制解调器进行认证的流程图。
图8是示出图2中的CMTS如何借助(leverages)对线缆调制解调器的改善的认证用于DHCP认证的详图。
图9是示出图2和图5中的CMTS如何独立地对图2中的线缆调制解调器进行认证的详图。
图10是示出图4B中所示的帧结构的可替换配置的详图。
图11A和图11B是示出为位于线缆网络中的装置提供改善的认证的CMTS的可替换实施例的详图。
具体实施方式
现在将参考附图描述本申请的一些优先实施例。本发明的各种其它示例也是可能的和可行的。本申请可以以许多不同形式为例,并且不应当被理解为限制于在此所述的示例。
以上所列的图示出本申请的优选示例和这样的示例的操作。在图中,框的大小不意欲表示各种物理组件的大小。在多个图中出现同样的元件的情况中,在该元件出现的所有图中用同样的标号来标注该元件。当两个元件操作不同时,用不同的标号进行标注,而不论这两个元件是否是同一类网络装置。
只示出并描述各种单元中的向本技术领域技术人员传递对示例的理解所需要的那些部件。未示出的那些部件和元件是本技术领域中传统的和公知的。
图2是示出在线缆数据服务接口规范(DOCSIS)网络中使用可扩展认证协议(EAP)架构的系统100的一个实施例的图。因此,系统100准许线缆调制解调器的集中认证、网络装置的线缆调制解调器认证和许多其它特征。
将图1和图2进行比较,一些差异立即显而易见。首先,线缆调制解调器终端系统(CMTS)13包括认证软件28,认证软件28用于与位于网际协议(IP)网络1中的认证授权和计费(AAA)服务器20交换远程认证拨号用户服务(RADIUS)协议认证消息30。结果,为了改善的网络规模,用于多个CMTS的认证工作负荷可以推给一个或多个集中式AAA服务器20。尽管一些实施例准许根据位于AAA服务器20上的认证软件24而在AAA服务器20处进行集中认证,但是其它实施例在CMTS 13处提供本地认证。
第二,线缆调制解调器14包括证书认证软件29,证书认证软件29用于对诸如CMTS 13或AAA服务器20的网络装置进行认证。因此,与传统系统形成对照,线缆调制解调器14核实认证者是真正的。
第三,运行802.1x客户端软件或其它基于EAP的认证软件的传统的客户侧设备(CPE)22可以要么由CMTS 13要么由AAA服务器20通过由线缆调制解调器14中继的认证直通(pass-thru)消息34的方式进行认证。因此,除了线缆调制解调器以外,诸如CPE装置22的下游装置也可以被认证。
第四,CMTS 13或AAA服务器20可以使用自举(bootstrapping)认证消息35来分发在线缆调制解调器14和诸如动态主机配置协议(DHCP)服务器21的服务器之间共享的加密密钥。这样的分发准许DHCP服务器21对在线缆调制解调器14和DHCP服务器21之间发送的DHCP消息31进行认证,进一步改善线缆调制解调器初始化过程的安全性。
第五,认证消息33包括包含诸如802.1x分组之类的基于EAP的协议分组的以太网帧,而不是BPKM协议消息。正如将参考图3、4A和4B而详细说明的,该配置借助了现有的结构,例如在现有DOCSIS规范中所定义的DOCSIS帧。
第六,CMTS 13和线缆调制解调器14可以交换认证协商消息32。这些认证协商消息32准许认证者和客户端来协商认证方法,即,认证交换序列。例如,协商消息32可以修改预定的交换序列以包括用于线缆调制解调器安全状态评估的附加交换。除了准许序列定制之外,协商消息32还准许认证者和客户端改变或者添加认证期间所使用的标准。例如,当不包括证书的网络装置(例如个人计算机(PC))请求认证时,协商消息32被用来基于共享的秘密或一次性口令而非证书来定义认证。
图3是示出集中认证期间在图2所示的CMTS 13、线缆调制解调器14和AAA服务器20之间交换的通信的详图。
线缆调制解调器14可以通过发送启动消息40触发认证过程,启动消息40可以是DOCSIS中的EAP(EAPoD)型消息或者任何其它类型的消息。在本实施例中,EAPoD-启动40以及在CMTS 13和线缆调制解调器14之间交换的其它通信被封装在具有以太网头38的以太网帧中,以太网帧又被封装在具有DOCSIS头39的DOCSIS帧中。这种独特的结构准许802.1x协议和其它基于EAP的协议被用于根据传统DOCSIS协议规范的系统100中。将参考图4A和图4B更详细地描述与现有DOCSIS规范兼容的DOCSIS/以太网/802.1x结构。
仍然参考图3,CMTS 13根据认证软件28剥除一个或多个头并且将EAPoD-启动40封装在RADIUS请求41中,RADIUS请求41被发送到AAA服务器20。在其它实施例中,请求41可被封装在Diameter中或AAA服务器20使用的任何其它协议中。
AAA服务器20被称为集中式服务器,这是因为AAA服务器20可以对多个CMTS下游的线缆调制解调器进行认证。尽管在本实施例中集中式认证服务器20是AAA型,但是也可以使用其它类型。
作为可选的交换,AAA服务器20在接收EAPoD-启动40之后可以请求线缆调制解调器14的身份,特别是当EAPoD-启动40不包括包含线缆调制解调器14的MAC地址的属性时或者当EAPoD-启动40被省略时。为简短起见,在图3中未示出该可选交换;然而,图9示出了这样的可选交换的示例。在可选交换之后,或者当可选交换被跳过时,AAA服务器20响应于EAPoD-启动40而发送RADIUS质询(RADIUS challenge)42。
接着,CMTS 13接收回RADIUS质询42,RADIUS质询42包括具有网络证书60的EAP请求/授权43。在本实施例中,网络证书60是由AAA服务器20提供的X.509型。在其它实施例中,网络证书60可以是任何类型并且可由AAA服务器20、CMTS 13或任何其它网络装置提供。CMTS13剥除RADIUS封装,并且根据之前所描述的独特的DOCSIS/以太网/802.1x协议进行封装。
消息“EAP-请求/授权”43包含网络证书60并且被转发到线缆调制解调器14。本技术领域技术人员将理解句式“EAP-请求/授权”是指特定类型的EAP消息。换而言之,当“/”被用来指EAP消息时不表示“或”。在其它实施例中,任何通信可用来发送网络证书60。因为由线缆调制解调器14进行的认证是可选的,所以在其它实施例中,EAP-请求/授权43可以不包括网络证书60。
尽管在本实施例中CMTS 13转发EAPoD-启动40和EAP-请求/授权43,但是其它实施例可以包括自己处理EAPoD-启动40并且生成EAP-请求/授权43的CMTS 13。换而言之,在这些其它实施例中,CMTS 13直到接收到来自线缆调制解调器14的认证标准之后才涉及AAA服务器20。
总结该点,当线缆调制解调器14发起认证时,EAPoD-启动40被发送以引出EAP-请求/授权43。不论线缆调制解调器14是否发起认证过程,该认证过程通常要么发生在线缆调制解调器14的登记之后,要么优选地发生在紧接测距(ranging)之后,如同时待审的申请________所述,该申请通过引用而被结合于此。在登记之前并且紧接测距之后执行认证的优点是防止如在同时待审的申请____中所述的安全漏洞。
接着,线缆调制解调器14用X.509证书链66来对网络证书60进行有效确认,X.509证书链66由存储在线缆调制解调器14中的DOCSIS RootCA证书而确立。当网络证书60有效确认失败时,线缆调制解调器14可以将失败的有效确认警告用户。在其它实施例中,线缆调制解调器14可以因网络证书60的失败的有效确认而中止认证过程。在另一实施例中,线缆调制解调器14可以绕过网络证书60的有效确认。
附加地并且可选地,线缆调制解调器14可以对由认证者(本示例中的AAA服务器20)代表的网络1和网络2进行认证。为了执行该附加认证,线缆调制解调器14判定AAA服务器20是否拥有与网络证书60中所包括的公共密钥相对应的私有密钥。线缆调制解调器14可以使用用于证实私有密钥的拥有的任何机制或者过程来执行这一检查。
当网络证书60被成功地确认有效时,线缆调制解调器14通过将EAP-响应/授权44发回CMTS 13而继续认证过程。EAP-响应/授权44包括线缆调制解调器标识61、线缆调制解调器X.509证书62,并且可以包括用于网络认证的可选质询。线缆调制解调器标识61和证书62包含诸如用于线缆调制解调器14的媒体接入控制(MAC)地址、序列号和RSA公共密钥之类的值。CMTS 13接收EAP-响应/授权44并且将其以与之前的消息类似的方式转发给AAA服务器20。
在AAA服务器20接收到包含EAP-响应/授权44的RADIUS请求45之后,AAA服务器20通过将线缆调制解调器标识61和X.509证书62与本地存储的证书链36进行比较而执行有效确认。当AAA服务器20没有本地存储完整的证书链36时,AAA服务器20发送包含EAP-请求/认证信息47的可选RADIUS质询46。包含EAP-请求/认证信息47的RADIUS质询46可以被用来请求来自线缆调制解调器14的制造商证书授权(CA)证书63,AAA服务器20可以使用制造商证书授权(CA)证书63来完成证书链36。或者,可选RADIUS质询46或另一类似的消息可以请求任何其它的认证标准,例如,由认证协商消息32(图2)标识的任何认证标准。
当RADIUS质询46被发送时,CMTS 13以之前描述的方式转发EAP-请求/认证信息47。然后,CMTS 13接收回EAP-响应/认证信息48,EAP-响应/认证信息48包含CA证书63和/或经过协商的认证标准。
接着,CMTS 13以之前所述的方式转发可选RADIUS请求49,RADIUS请求49包含具有制造商CA证书63的EAP-响应/认证信息48。然后,AAA服务器20将制造商CA证书63和本地存储的预先提供的DOCSIS Root CA证书组合到一起来形成完整的证书链。AAA服务器20使用完整的证书链来对线缆调制解调器标识61和线缆调制解调器X.509证书62进行有效确认。
不论可选的RADIUS消息46和49是否被发送,在AAA服务器20对线缆调制解调器证书62成功进行有效确认之后,AAA服务器20都发送RADIUS质询50,RADIUS质询50包括EAP-请求/授权-答复51中的会话密钥64。当线缆调制解调器14在EAP-响应/授权44中发送可选的质询时,RADIUS质询50和EAP-请求/授权-答复51包含对该可选质询的响应,证明由AAA服务器20代表的网络拥有网络证书60的私有密钥,通过线缆调制解调器完成网络认证。
会话密钥64可以被封装在RADIUS质询50的EAP-消息属性中。EAP-消息属性中的会话密钥64可以通过线缆调制解调器X.509证书62的公共密钥进行加密。在其它实施例中,该会话密钥是在线缆调制解调器14处进行加密计算的,因此EAP-请求/授权-答复51不包含该会话密钥。
在本实施例中,会话密钥64等于随机生成的64字节值。称为授权密钥的另一个钥是从会话密钥64中获得的。具体而言,授权密钥等于会话密钥64的第一个20字节。
在其它实施例中,64字节会话密钥64是经由不同的加密过程而建立的。并且,在其它实施例中,授权密钥可以基于会话密钥64的第一个20字节之外的其它因素。
接着,CMTS 13将包括经过加密的会话密钥64的EAP-请求/授权-答复51转发给线缆调制解调器14。线缆调制解调器14接收EAP-请求/授权-答复51并且通过使用本地私有密钥对其进行解密而提取会话密钥64。
然后,线缆调制解调器14通过发送EAP-响应/授权-确认52来确认EAP-请求/授权-答复51的接收。线缆调制解调器14还可以证明它已经通过使用从会话密钥64中获得的钥而成功解密会话密钥以生成包括在EAP-响应/授权-确认52中的消息认证码(MAC)。在本实施例中,会话密钥的成功使用完成了线缆调制解调器14的认证。然后,CMTS 13将包括EAP-响应/授权-确认52的RADIUS请求53转发给AAA服务器20。
最后,AAA服务器20发送包括EAP-成功消息55和会话密钥64的RADIUS接受54。CMTS 13接收RADIUS接受54并且提取并存储会话密钥64,会话密钥64随后被用于附加密钥的加密计算,附加密钥被用于正在进行的块流量保护和数据解密。CMTS 13将EAP-成功消息55发送给线缆调制解调器14。在EAP交换完成后,CMTS 13和线缆调制解调器14可以根据软件56和57从会话密钥64提取附加密钥。
当授权交换的任何步骤失败时,AAA服务器20将该失败通知CMTS13,并且然后CMTS 13将EAP-失败发送给线缆调制解调器14。为了防止受到DOS攻击,当密钥资料可以获得的时,EAP-成功和EAP-失败消息可以是受到MAC保护的。
当认证交换成功时,CMTS 13将线缆调制解调器14的逻辑端口的状态从不受控状态改为受控状态。状态改变的结果是:线缆调制解调器14不再受限于仅发送授权消息。换而言之,线缆调制解调器14现在能够通过线缆网络2发送和接收媒体和其它通信。状态改变的一个功能结果是:线缆调制解调器14现在可以通过线缆网络2发送和接收层3通信。
在其它实施例中,线缆调制解调器14上的逻辑端口的状态可以根据除受控状态和不受控状态之外的多种不同状态来进行操作。例如,逻辑端口的状态起初可以仅被改变成部分受控状态,直到进一步的认证被执行为止。
尽管上述实施例描述了根据证书的认证,其它示例实施例也可以使用各种其它认证标准。EAP架构的特征之一是它是可扩展的,这准许认证标准协商。因此,认证可以是根据诸如共享的秘密、一次性口令等的其它认证标准的。
参考图4A,示出传统的基线私有密钥管理(BPKM)认证消息400,其可与用于DOCSIS中的EAP认证消息的DOCSIS/以太网/802.1x配置消息450(图4B)进行对比。
如同其它DOCSIS MAC管理消息一样,传统的BPKM认证消息400在MAC头中包括帧控制(FC)头401,帧控制(FC)头401具有FC类型403字段和FC参数404字段,它们分别被设置为二进制11和00001。这些字段403和404用信号通知接收装置:BPKM认证消息400包括MAC管理消息405。MAC管理消息405中的字段用信号通知接收装置:MAC管理消息405是BPKM认证消息。
相对地,DOCSIS/以太网/802.1x配置消息450包括FC头451,FC头451具有分别被设置为二进制00和00000的字段403和404。这些字段403和404中的二进制设置用信号通知接收装置:消息450包括分组协议数据单元(PDU)454。
在PDU 454中包含完整的以太网帧498,以太网帧498包括目的地地址字段455和源地址字段456。完整的以太网帧498还包括类型字段457、有效载荷458和循环冗余校验(CRC)字段459。在本实施例中,类型字段457被设置成以太网类型0x888E以与IEEE 802.1x EAPOL(局域网中的EAP)分组相对应;然而,在其它实施例中,类型字段457可以被不同地设置。
在以太网帧498的有效载荷458中包括完整的802.1x分组499。在其它实施例中,可以包括不同的协议基于EAP的分组而不是802.1x分组499。802.1x分组499包括标识802.1x版本的协议版本字段460、分组类型字段461、分组体长度字段462和分组体463。分组体463由经过加密的会话密钥、线缆调制解调器标识信息和图3中所示的认证过程中所描述的其它信息填充。
DOCSIS/以太网/802.1x消息450的独特配置准许在此所述的认证改善向后可与诸如DOCSIS 1.0、1.1和2.0之类的现有DOCSIS规范兼容并且可以与诸如DOCSIS 3.0之类的将来的版本兼容。不是更新DOCSIS规范而重新定义DOCSIS成帧以包含基于EAP的分组,而是上述以太网帧498已经被包括在DOCSIS帧497A内。
图5是示出图2中的CMTS 13如何提供集中认证的流程图。在块501中,CMTS 13接收来自请求对在第一网络中操作进行认证的诸如线缆调制解调器或CPE之类的装置的包括启动消息的DOCSIS帧。接着,在块502中,CMTS 13判定其是否已被配置为用于集中认证。CMTS 13例如通过访问本地配置做出判定。当CMTS 13已被配置为用于本地认证而非集中认证时,在块503A中,CMTS 13对该装置进行本地认证。
当集中认证将被使用时,在块503B中,CMTS 13从DOCSIS帧提取启动消息并且通过第二网络将该启动消息转发给位于第二网络中的集中认证服务器。CMTS 13可以在转发之前封装启动消息。
接着,在块504中,CMTS 13接收回包括网络证书的授权请求消息并且通过第一网络将授权请求的表示(representation)转发给启动消息的发起源。在块505中,CMTS 13接收回DOCSIS帧,提取授权响应,并且将通过第二网络授权响应转发给中央认证服务器。
接着,在块506中,CMTS 13接收回包括经过加密的会话密钥的消息并且将该消息的表示转发给该装置。所转发的消息包含经过加密的会话密钥以用于由线缆调制解调器使用。在块507中,CMTS 13接收回DOCSIS帧,提取确认消息并且将该确认消息转发给中央认证服务器。最后,在块508中,CMTS 13接收回包含EAP-成功消息和会话密钥的消息。CMTS 13提取会话密钥并且将成功消息转发给该装置。在块509中,CMTS 13随后可以使用会话密钥获得附加加密密钥。
图6A是示出图2中的线缆调制解调器14如何对网络证书进行有效确认以及如何对诸如CMTS或AAA服务器之类的网络装置进行认证的流程图。在块600中,线缆调制解调器14判定授权请求是否已被接收到。当授权请求还未被接收到时,在块601中,线缆调制解调器14发送包括启动消息的DOCSIS帧。接着,在块602中,线缆调制解调器14接收回包括网络证书的授权请求。
在接收到授权请求之后,在块603中,线缆调制解调器14例如通过使用预先提供的证书链来对网络证书进行有效确认。在块604中,当网络证书被查明是无效的时,在块605A中,线缆调制解调器14将无效证书警告用户。线缆调制解调器14还可以改为在接收到无效证书之后中止过程。
当网络证书有效时,在块605B中,线缆调制解调器14对诸如CMTS或AAA服务器的网络装置进行认证。线缆调制解调器14使用任何方法来对该网络装置进行认证,例如判定该网络装置是否包括与被确认有效的网络证书中所包括的公共密钥相对应的私有密钥。在块606中,当网络装置认证失败时,在块607A中,线缆调制解调器14将欺诈性网络装置警告用户。
当网络装置被查明是可信的时,在块607B中,线缆调制解调器14发送回授权响应,所述授权响应包括一个或多个装置证书和线缆调制解调器标识。该授权响应被封装在DOCSIS帧中,DOCSIS帧封装以太网帧。在块608中,线缆调制解调器14接收回包括会话密钥的消息。
在块609中,线缆调制解调器14发送指示包括会话密钥的消息被接收到并且会话密钥被成功解密的确认。该确认可以包含线缆调制解调器14知道会话密钥的证据。在块610中,线缆调制解调器14接收回成功消息,该成功消息指示线缆调制解调器14的端口将从不受控状态变为受控状态。在块609中,线缆调制解调器14还可以使用会话密钥来获得附加密钥。
图6B是示出图2中的线缆调制解调器14如何为图2中所示的CPE装置22中继认证交换的流程图。在块901中,线缆调制解调器14接收来自位于DOCSIS网络中的上游装置的DOCSIS帧。在块902中,线缆调制解调器14提取表示授权请求并且包含802.1x分组的以太网帧。在块903中,线缆调制解调器14将所提取的802.1x分组转发给下游CPE装置22。
接着,在块904中,线缆调制解调器14接收回授权响应,该授权响应包括封装在以太网帧和802.1x分组中的认证标准。当下游CPE装置22已被指配这样的证书时,所述认证标准可以包括一个或多个证书。否则,所述认证标准包括非证书标识符,例如用于下游装置的MAC地址。在块905中,线缆调制解调器14将授权响应封装在DOCSIS帧中并且将该DOCSIS帧转发给认证者。
接着,在块906中,线缆调制解调器14接收回DOCSIS帧并且提取包含具有会话密钥的802.1x分组的以太网帧,会话密钥可以是经过加密的。在其它实施例中,会话密钥在下游CPE装置22处被加密计算,而不是被中继到下游CPE装置22。在块907中,线缆调制解调器14将802.1x分组转发给CPE装置。最后,在块908中,线缆调制解调器14将确认转发给认证者,并且在块909中将成功消息转发给该CPE装置。
在其它实施例中,线缆调制解调器14可以用任何EAP方法中继EAP消息。在其它实施例中,替代仅仅中继认证消息,线缆调制解调器14自己对该CPE装置进行认证。线缆调制解调器14甚至可配置成要么中继认证消息要么执行本地认证。
图7是示出图2中的AAA服务器20如何对图2中的线缆调制解调器进行认证的流程图。在块701中,服务器20从自CMTS转发的通信中提取启动消息。接着,在块702中,服务器20生成包含网络证书的消息并且将该消息发送到作为启动消息的生成源的线缆网络装置。
在块703中,服务器20接收回包括诸如装置标识和装置证书之类的装置信息的授权响应。在块704中,服务器20对包括在授权响应中的任何证书进行有效确认。当在块705中有效确认失败时,在块706A中,服务器20发送认证失败消息。
在块706B中,当有效确认成功时,服务器20生成包含经过加密的会话密钥的消息并且将该消息发送给线缆网络装置。在块707中,服务器20接收回指示具有会话密钥的消息被接收到并且该会话密钥被成功解密的确认。最后,在块708中,服务器20将成功消息发送给线缆网络装置并且将该会话密钥发送给CMTS。
图8示出在会话密钥64生成之后可能被CMTS 13选择执行的认证借助(leveraging)。
可以执行认证借助软件27来借助线缆调制解调器14对CMTS 13或AAA服务器的认证结果以用于由诸如DHCP服务器21的其它网络装置使用。AAA服务器20与DHCP服务器21和CMTS 13具有信任关系25A和25B。当AAA服务器20不存在时,可以借助信任关系25C。可以以不同的方式建立信任关系25A、25B和25C。例如,AAA服务器20可以之前已经对这些装置中的每一个装置进行了认证,或者信任关系25A、25B和25C可以被静态配置。
接着,CMTS 13在接收到会话密钥64之后的某一时刻使用会话密钥64加密计算DHCP密钥88。在本实施例中,使用安全哈希函数版本1(Secure Hash Function version 1,SHA-1)加密计算DHCP密钥88。当执行SHA-1时,考虑以下因素:SHA-1块大小、字符串“dhcp”的长度、会话密钥64中所包括的字节数和十六进制因素43。在CMTS 13加密计算出DHCP密钥88之后,通信81A和81B被发送以向DHCP服务器21和线缆调制解调器14提供DHCP密钥88。在其它实施例中,AAA服务器20可以根据同时待审的专利申请__________加密计算和分发DHCP密钥88,所述专利申请通过引用而被结合于此。
在其它实施例中,线缆调制解调器14可以自己使用与CMTS 13所使用的获得算法一样的获得算法来根据会话密钥获得DHCP密钥88。当线缆调制解调器14和CMTS 13使用同样的获得算法和关联因素时,由线缆调制解调器14获得的DHCP密钥的值与由CMTS 13获得的DHCP 88的值一样。
此后,线缆调制解调器14和DHCP服务器21可以开始通信而不中断认证和密钥分发过程。换而言之,DHCP服务器21可以通过仅仅观察受DHCP密钥消息认证码保护的(受MAC保护的)通信82来对线缆调制解调器14进行认证。当DHCP服务器21判定通信82是使用秘密DHCP密钥88而受MAC保护的时,线缆调制解调器14被判定为是真正的,反之亦然。
尽管在本示例中,CMTS 13或AAA服务器20只对DHCP密钥88进行加密计算,但是在其它实施例中,CMTS 13或AAA服务器20对附加密钥进行加密计算,所述附加密钥例如是用于线缆调制解调器14和配置文件服务器之间的消息的消息认证密钥和用于对线缆调制解调器配置文件进行加密和解密的密钥。这些附加密钥可以是基于诸如DHCP密钥88的同样的因素,不同的是:字符串“auth”和“crypto”的长度分别替换字符串“dhcp”的长度并且十六进制因素43分别被因素十六进制4C和4E替换。
图9是示出图2的CMTS如何独立地对图2的线缆调制解调器14进行认证的详图。
线缆调制解调器14可以通过发送可选EAPoD-启动140或任何其它消息来触发认证过程。EAPoD-启动140和在CMTS 13与线缆调制解调器14之间交换的其它通信可以使用之前所述的DOCSIS/以太网/802.1x结构进行配置。
CMTS 13接收EAPoD-启动140并且发回包括网络证书60的EAP-请求/授权143,在本示例中网络证书60是用于CMTS 13的X.509证书。当可选的EAPoD-启动140被省略时,EAP-请求/授权143启动该认证过程。
然而,在发送回EAP-请求/授权143之前,并且当CMTS 13不包括线缆调制解调器14的身份时,CMTS 13可以可选地发送EAP-请求/身份141以引出具有线缆调制解调器14的身份的响应。线缆调制解调器14以包含线缆调制解调器14的MAC地址的EAP-响应/身份142进行响应。当CMTS 13已经包含线缆调制解调器14的身份时,可选的身份交换可以被省略。
接着,在接收请求/授权143之后,线缆调制解调器14使用本地存储的X.509证书链66对网络证书60进行有效确认。当网络证书60有效确认失败时,线缆调制解调器14不继续该过程并且警告用户:欺诈性网络装置正在试图与线缆调制解调器14进行通信。在其它实施例中,线缆调制解调器14可以被配置为绕过对网络证书60的有效确认。
接着,线缆调制解调器14可以以与关于图3所述的方式类似的方式可选地对网络2进行认证。线缆调制解调器14可以使用对CMTS 13进行认证的任何其它方法。
在可选的网络认证之后,线缆调制解调器14通过将EAP-响应/授权144发送回CMTS 13而继续该过程。EAP-响应/授权144包括线缆调制解调器标识61和线缆调制解调器X.509证书62。EAP-响应/授权144还包括CA证书,CA证书的公共密钥被用来对向CM证书签名的数字签名进行有效确认。在另一实施例中,CM的制造商证书63可以在独立的消息交换中被发送给CMTS 13。
在CMTS 13接收EAP-响应/授权144之后,CMTS 13将线缆调制解调器标识61和X.509证书62与本地存储的证书链36进行比较。当线缆调制解调器标识61和X.509证书62有效确认失败时,CMTS 13不继续该过程并且可以发送失败消息以通知线缆调制解调器14。
当有效确认成功时,CMTS 13将在线缆调制解调器的私有密钥中加密的本地生成的会话密钥64在EAP-请求/授权-答复151中发送给线缆调制解调器14。CMTS 13还存储会话密钥64用于稍后的附加密钥的加密计算。线缆调制解调器14通过发送EAP-响应/确认152来确认会话密钥64的成功解密。
CMTS 13在接收到EAP-响应/确认152之后,将EAP-成功155发送给线缆调制解调器14。EAP-成功155可以可选地被哈希消息认证码(Hashed Message Authentication Code,HMAC)密钥保护。当EAP-成功155包括HMAC保护时,线缆调制解调器14使用会话密钥64加密计算HMAC密钥以访问EAP-成功155。
如之前所说明的,CMTS 13在发送成功消息155时还将线缆调制解调器14的逻辑端口的状态从不受控状态改为受控状态。状态改变的结果是;线缆调制解调器14不再受限于仅发送授权消息。换而言之,线缆调制解调器14被认证以通过线缆网络2发送和接收媒体和其它通信。
在本实施例中,随后使用DOCSIS BPKM协议来协商用于会话密钥64的期限信息和加密套件信息。密钥期限指定要求线缆调制解调器14刷新其会话密钥64之前的时间量。加密套件信息指定线缆调制解调器14在传送媒体和其它用户数据时所使用的加密和认证算法。
图10是示出图4B中所示的帧结构的可替换配置的详图。该可替换配置可以用在用于DOCSIS网络的改善的认证系统的其它实施例中。
可替换DOCSIS帧497B在MAC头部中包括FC头402,FC头402具有分别被设置为二进制11和00001的FC类型403字段和FC参数404字段。这些字段403和404用信号通知装置:DOCSIS帧497B包括DOCSISMAC管理消息449。
DOCSIS MAC管理消息449包括目的地地址字段470、源地址字段471、长度字段472和CRC字段475。MAC管理消息449还包括802.2逻辑链路控制(LLC)头473和EAPoD 474。
802.2LLC头473包括DSAP和SSAP字段480和481、控制字段482、版本字段483和类型字段484。版本字段483被设置为值N,N表示传统版本1、2和3之外的任何值。类型字段484被设置为“EAPoD”,但不能被设置为比31大的任何其它单字节值。EAPoD消息474包括标识EAPoD版本的协议版本字段485、分组类型字段486、分组体长度字段487和分组体488。
使用可替换DOCSIS帧497B替代DOCSIS帧498的一个优点是:将线缆调制解调器生成的认证消息从CPE装置生成的认证消息中区分出来。例如,因为CPE装置通常不被配置为生成MAC管理消息,所以包括具有MAC管理消息的帧结构的任何DOCSIS帧都与线缆调制解调器生成的消息相对应。当然,当可替换的DOCSIS帧497B未被使用时,将源地址与表格进行比较也可以提供该区分。
图11A和11B是示出提供用于位于线缆网络的装置的改善的认证的CMTS的可替换实施例的详图。
CMTS 1113独立于与诸如BPI+的传统线缆网络装置认证方法相关联的任何现有结构或认证标准而提供对位于线缆网络2的线缆网络装置的认证。CMT S1113要么根据本地认证软件1129(图11A)要么根据集中认证软件1128(图11B)来提供认证。
例如,当提供图11A中的本地认证时,CMTS 1113通过线缆网络2交换认证消息1103A和1104A以收集认证标准。认证消息1103A和1104A被构建为包括基于EAP的认证消息1110A的DOCSIS帧1109A,DOCSIS帧1109A可以是802.1x分组。CMTS 1113使用经由认证消息1103A和1104A接收到的认证标准来对位于线缆网络中的装置进行认证。CMTS1113可以发送附加消息来将成功认证通知该装置。
当提供图11B中的集中认证时,CMTS 1113通过线缆网络2发送认证消息1103B和1104B以收集认证标准。认证消息1103B和1104B被构建为包括基于EAP的认证消息1110B的DOCSIS帧1109B,DOCSIS帧1109B可以是802.1x分组。CMTS 1113从DOCSIS帧1109B提取至少一个基于EAP的认证消息1110B用于通过分组交换网络74进行转发。
接着,CMTS 1113将所提取的包括认证标准的基于EAP的认证消息1110作为一个或多个认证消息1101和1102的部分通过分组交换网络发送给服务器。这些认证消息1101和1102可以将成功认证的通知提供给CMTS113和线缆网络装置之一或两者。
总之,图11A和11B中所示的可替换实施例清楚地说明:除图2至图9所示的示例之外,本发明的各种其它示例也是可能的和可行的。因此,与在传统线缆网络装置认证中所使用的现有传统认证结构和标准(例如BPI+)有有限的对应或者没有对应的实施例也是可能的和可行的。
以上已经参考附图描述了几个优选示例。本发明的各种其它示例也是可能的和可行的。该系统可以是以不同的形式为例并且不应当被理解为限制于上述示例。
以上列出的图示出本申请的优选示例和这样的示例的操作。在图中,框的大小并不意欲表示各种物理组件的大小。在多个图中出现同样的元件时,在该元件出现的所有图中用同样的标号标注该元件。
只示出并描述各种单元中向本技术领域技术人员传递对示例的理解所需要的那些部件。未示出的那些部件和元件是本技术领域中传统的和公知的。
上述系统可以使用执行某些或所有操作的专用处理器系统、微控制器、可编程逻辑器件或微处理器。上述操作中的一些可以以软件实现并且其它操作可以以硬件实现。
为了方便起见,所述操作被描述为各种互连功能块或不同的软件模块。然而,这不是必需的,并且存在这样的情况:这些功能块或模块被等同地集成进单个逻辑器件、程序或没有清晰界限的操作中。在任何情况下,功能块和软件模块或者灵活接口的特征可以由它们自己来实现,或者在硬件或者软件中与其它操作组合实现。
已经在本发明的优选实施例中描述和示出了本发明的原理,显而易见的是:本发明可以在不偏离这样的原理的情况下在布置和细节上进行修改。要求在下述权利要求的精神和范围以内的所有修改和更改的权利。

Claims (32)

1.一种认证方法,包括:
在线缆调制解调器终端系统CMTS处通过线缆网络接收授权响应,所述授权响应包括用于线缆调制解调器的线缆调制解调器地址和一个或多个认证标准;
在所述CMTS处从所述授权响应提取转发消息;
从所述CMTS通过分组交换网络将所述转发消息发送到服务器;
在所述CMTS接收来自所述服务器的通信,所述通信用于在所述线缆调制解调器上建立会话密钥;以及
从所述CMTS将所述通信的表示转发给所述线缆调制解调器,用于在所述线缆调制解调器上建立所述会话密钥。
2.根据权利要求1的认证方法,还包括从所述CMTS将确认转发给所述服务器,所述确认指示:所述线缆调制解调器使用存储在所述线缆调制解调器上的私有凭证成功地建立了所述会话密钥。
3.根据权利要求1的认证方法,还包括:
在所述CMTS处通过所述分组交换网络接收来自所述服务器的对于所述认证标准的请求,所述请求包括网络身份;以及
从所述CMTS将所述对于所述认证标准的请求的表示转发给所述线缆调制解调器以引出所述授权响应。
4.根据权利要求3所述的认证方法,还包括:
在将所述请求的表示转发给所述线缆调制解调器之前,在所述CMTS处对包括在所述请求中的远程认证拨号用户服务RADIUS消息进行标识,所述RADIUS消息含有可扩展认证协议EAP分组,其中所述可扩展认证协议EAP分组包含所述网络身份;
在所述CMTS处提取所述EAP分组;
在所述CMTS处格式化所述EAP分组;并且
从所述CMTS将经过格式化的包含所述网络身份的EAP分组发送到所述线缆调制解调器。
5.根据权利要求4所述的认证方法,还包括:
在所述CMTS处使用所述会话密钥,加密计算认证密钥;并且
从所述CMTS将所述认证密钥发送给动态主机配置协议DHCP服务器。
6.根据权利要求5的认证方法,还包括:
在所述CMTS处通过所述分组交换网络接收来自所述DHCP服务器的下游装置凭证请求,所述下游装置凭证请求包括网络身份;
从所述CMTS通过所述线缆网络将所述下游装置凭证请求发送到位于所述线缆网络中并且位于所述线缆调制解调器下游的下游装置;并且
在所述CMTS处接收来自所述下游装置的下游装置响应,所述下游装置响应包括与所述下游装置关联的认证凭证。
7.根据权利要求6所述的认证方法,还包括:
在所述CMTS处从所述下游装置响应中剥除包括线缆数据服务接口规范DOCSIS帧的一个或多个帧;
从所述CMTS将所述下游装置响应的剩余部分转发给位于所述分组交换网络中的所述服务器;并且
在所述CMTS处接收回用于所述下游装置的认证成功。
8.根据权利要求1所述的认证方法,其中,所述授权响应包括DOCSIS帧,所述DOCSIS帧包含含有802.1x分组的以太网帧。
9.一种认证方法,包括:
在线缆调制解调器处从通过线缆网络从线缆调制解调器终端系统CMTS接收到的授权请求提取一个或多个网络认证标准;
在所述线缆调制解调器处使用本地存储的认证值对所述网络认证标准进行有效确认;
当所述网络认证标准与所述本地存储的认证值相对应时,从所述线缆调制解调器向所述CMTS发送包括一个或多个线缆调制解调器认证标准的授权响应;并且
在所述线缆调制解调器处接收与本地逻辑线缆调制解调器端口相对应的状态改变通知消息。
10.根据权利要求9所述的认证方法,还包括:
在所述线缆调制解调器处在发送所述授权响应之后接收回会话密钥;
在所述线缆调制解调器处使用本地私有密钥对所述会话密钥进行解密;以及
从所述线缆调制解调器发送指出所述会话密钥成功解密的确认。
11.根据权利要求9所述的认证方法,其中,所述状态改变通知消息指示所述逻辑线缆调制解调器端口被授权以发送网络寻址的通信。
12.根据权利要求9所述的认证方法,还包括:
在所述线缆调制解调器处生成基于可扩展认证协议EAP的分组,所述基于EAP的分组包括所述线缆调制解调器认证标准;
在所述线缆调制解调器处格式化包括所述基于EAP的分组的目的地帧;并且
在所述线缆调制解调器处将具有所述基于EAP的分组的目的地帧包括在所述授权响应中。
13.根据权利要求12所述的认证方法,还包括将所述目的地帧包括在线缆数据服务接口规范DOCSIS帧中。
14.根据权利要求9所述的认证方法,还包括:
在所述线缆调制解调器处在接收所述授权请求之前与认证者交换认证协商消息,所述认证协商消息将用于线缆调制解调器安全状态评估的附加交换序列添加到预定的交换序列;并且
在所述线缆调制解调器处响应于所述认证协商消息,交换附加认证消息来执行所述线缆调制解调器安全状态评估。
15.一种认证系统,包括:
用于将包含网络身份的认证标准请求发送给线缆调制解调器的装置;
用于在所述线缆调制解调器处对所述网络身份进行有效确认的装置;
用于对被确认有效的网络身份的源进行认证的装置;
用于将一个或多个认证标准发送给所述认证标准请求的经过认证的源的装置;
用于对所述线缆调制解调器进行认证的装置;和
用于改变经过认证的线缆调制解调器上的端口的状态以准许所述线缆调制解调器发送层3通信的装置。
16.根据权利要求15所述的认证系统,还包括:
用于将经过加密的会话密钥发送给所述线缆调制解调器的装置,所述经过加密的会话密钥是使用公共密钥进行加密的,所述公共密钥被包括在在所述线缆调制解调器和所述被确认有效的网络身份的源之间进行交换的证书中;
用于使用本地私有密钥对所述经过加密的会话密钥进行解密的装置;以及
用于发送成功解密的确认以对所述线缆调制解调器进行认证的装置。
17.根据权利要求15所述的认证系统,其中,所述认证标准请求是包括在线缆数据服务接口规范DOCSIS帧的可变长度协议数据单元PDU字段内的基于可扩展认证协议EAP的分组。
18.根据权利要求15所述的认证系统,还包括:
用于将包含所述网络身份的附加认证标准请求发送给下游装置的装置,其中,所述下游装置位于所述线缆调制解调器下游;
用于从所述附加认证标准请求中剥除包括DOCSIS帧的一个或多个帧并且将剩余的部分转发给所述下游装置的装置;和
用于在所述下游装置处对所述网络身份进行有效确认的装置。
19.根据权利要求16所述的认证系统,还包括:
用于使用所述经过加密的会话密钥加密计算配置文件授权密钥的装置;和
用于使用所述配置文件授权密钥对规定所述线缆调制解调器配置的文件进行加密的装置。
20.一种认证方法,包括:
在线缆调制解调器终端系统CMTS处通过线缆网络接收授权响应,所述授权响应包括装置标识和一个或多个认证标准;
在所述CMTS处从所述授权响应提取转发消息;
从所述CMTS将所述转发消息转发给位于分组交换网络中的服务器;
在所述CMTS处接收来自所述服务器的授权消息,所述授权消息用于在具有所述装置标识的装置上建立会话密钥;并且
在所述CMTS处将所述授权消息的表示转发给所述装置。
21.根据权利要求20所述的认证方法,还包括:在所述CMTS处转发确认,所述确认指示所述装置使用存储在所述装置上的私有凭证成功地建立了所述会话密钥。
22.根据权利要求20所述的认证方法,还包括:在将所述授权消息的表示发送给所述装置之前,在所述CMTS处从所述授权消息移除远程认证拨号用户服务RADIUS或Diameter头。
23.根据权利要求20所述的认证方法,还包括:
在所述CMTS处从所述授权消息提取所述会话密钥和可扩展认证协议EAP成功两者;
在所述CMTS处使用所述会话密钥计算哈希消息认证码HMAC密钥;
在所述CMTS处使用所述HMAC密钥完整保护所述EAP成功;并且
在所述CMTS处将受完整保护的EAP成功发送给所述装置。
24.根据权利要求20所述的认证方法,还包括:
在所述授权响应被接收到之前,在所述CMTS处用所述装置完成测距并发送引出所述授权响应的证书请求;并且
在所述授权消息的表示被转发给所述装置之后,在所述CMTS处将所述装置登记为经过认证的线缆调制解调器。
25.一种认证方法,包括:
在线缆调制解调器处从通过线缆网络接收到的授权请求提取第一认证标准;
在所述线缆调制解调器处用存储的认证值对所述第一认证标准进行有效确认;
当所述第一认证标准与所述存储的认证值匹配时,在所述线缆调制解调器处发送包括装置标识和第二认证标准的响应;并且
在发送所述响应之后,在所述线缆调制解调器处接收本地提供会话密钥的消息。
26.根据权利要求25所述的认证方法,其中,还包括:在所述线缆调制解调器处建立所述会话密钥并且发送,并且进行确认。
27.根据权利要求25所述的认证方法,其中,所述授权请求包括线缆数据服务接口规范DOCSIS头,所述DOCSIS头具有分别等于二进制00和00000的帧控制类型和帧控制参数。
28.根据权利要求25所述的认证方法,其中,第一认证标准是由位于分组交换网络中的认证授权和计费AAA服务器生成的AAA证书,并且所述第二认证标准包括用于线缆调制解调器的X.509证书。
29.一种认证方法,包括:
在集中式服务器处接收包括线缆调制解调器地址和一个或多个线缆调制解调器证书的授权响应;
在所述集中式服务器处提取与可扩展认证协议EAP构架相对应的第一分组;
在所述集中式服务器处从所述第一分组提取所述线缆调制解调器地址和所述一个或多个线缆调制解调器证书;
在所述集中式服务器处将所述线缆调制解调器地址和所述一个或多个线缆调制解调器证书与一个或多个本地存储的认证值进行比较;
当所述线缆调制解调器地址和所述一个或多个线缆调制解调器证书与一个或多个本地存储的认证值相对应时,从所述集中式服务器将会话密钥建立消息发送到所述线缆调制解调器地址。
30.根据权利要求29所述的认证方法,其中,所述会话密钥建立消息包括本地生成的会话密钥,所述会话密钥被使用与位于具有所述线缆调制解调器地址的线缆调制解调器上的私有密钥相对应的公共密钥进行加密。
31.根据权利要求29所述的认证方法,其中,所述会话密钥建立消息包括本地生成的会话密钥,所述会话密钥被包括在与所述可扩展认证协议EAP构架相对应的第二分组内,并且所述第二分组被包括在以太网帧中,所述以太网帧被包括在线缆数据服务接口规范DOCSIS帧内。
32.根据权利要求29所述的认证方法,其中,所述会话密钥建立消息包括本地生成的会话密钥,所述会话密钥被包括在与所述可扩展认证协议EAP构架相对应的第二分组内,并且所述第二分组被封装在另一通信中以用于通过分组交换网络进行发送。
CN2006800556779A 2006-08-24 2006-10-25 用于位于线缆网络中的装置的改善的认证 Active CN101507228B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/467,002 US7865727B2 (en) 2006-08-24 2006-08-24 Authentication for devices located in cable networks
US11/467,002 2006-08-24
PCT/US2006/060235 WO2008024133A1 (en) 2006-08-24 2006-10-25 Improved authentication for devices located in cable networks

Publications (2)

Publication Number Publication Date
CN101507228A CN101507228A (zh) 2009-08-12
CN101507228B true CN101507228B (zh) 2013-03-27

Family

ID=39107098

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006800556779A Active CN101507228B (zh) 2006-08-24 2006-10-25 用于位于线缆网络中的装置的改善的认证

Country Status (4)

Country Link
US (2) US7865727B2 (zh)
EP (1) EP2055071B1 (zh)
CN (1) CN101507228B (zh)
WO (1) WO2008024133A1 (zh)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539559B2 (en) * 2006-11-27 2013-09-17 Futurewei Technologies, Inc. System for using an authorization token to separate authentication and authorization services
US8099597B2 (en) * 2007-01-09 2012-01-17 Futurewei Technologies, Inc. Service authorization for distributed authentication and authorization servers
US8285990B2 (en) * 2007-05-14 2012-10-09 Future Wei Technologies, Inc. Method and system for authentication confirmation using extensible authentication protocol
KR101365857B1 (ko) * 2007-06-14 2014-02-21 엘지전자 주식회사 인증서를 이용한 제어 시그널링 보호 방법
US8347355B2 (en) * 2008-01-17 2013-01-01 Aerohive Networks, Inc. Networking as a service: delivering network services using remote appliances controlled via a hosted, multi-tenant management system
US8259616B2 (en) * 2008-01-17 2012-09-04 Aerohive Networks, Inc. Decomposition of networking device configuration into versioned pieces each conditionally applied depending on external circumstances
US9503354B2 (en) 2008-01-17 2016-11-22 Aerohive Networks, Inc. Virtualization of networking services
CN101547383B (zh) * 2008-03-26 2013-06-05 华为技术有限公司 一种接入认证方法及接入认证系统以及相关设备
US20100146262A1 (en) * 2008-12-04 2010-06-10 Shenzhen Huawei Communication Technologies Co., Ltd. Method, device and system for negotiating authentication mode
US20100242062A1 (en) * 2009-03-23 2010-09-23 At&T Intellectual Property I, Lp. Method and apparatus for authenticating a plurality of media devices simultaneously
US8787182B2 (en) * 2009-05-18 2014-07-22 Comcast Cable Holdings, Llc Configuring network devices
CN102045280B (zh) * 2009-10-26 2013-08-07 国基电子(上海)有限公司 线缆调制解调器及其证书测试方法
TWI423643B (zh) * 2009-10-29 2014-01-11 Hon Hai Prec Ind Co Ltd 纜線數據機及其憑證測試方法
US20110302416A1 (en) * 2010-03-15 2011-12-08 Bigband Networks Inc. Method and system for secured communication in a non-ctms environment
US8874711B1 (en) 2010-07-13 2014-10-28 Cisco Technology, Inc. Classifying objects on a cable modem termination system using tagging
WO2012021662A2 (en) * 2010-08-10 2012-02-16 General Instrument Corporation System and method for cognizant transport layer security (ctls)
DE102010044518A1 (de) 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
US8551186B1 (en) * 2010-12-06 2013-10-08 Amazon Technologies, Inc. Audible alert for stolen user devices
US9088358B1 (en) * 2011-04-20 2015-07-21 Arris Enterprises, Inc. OBI detection and avoidance in broadband devices
CA2840154C (en) * 2011-06-28 2017-08-15 Zte Portugal-Projectos De Telecomunicacoes Unipessoal Lda Establishing a secure file transfer session for secure file transfer to a demarcation device
US9231931B2 (en) 2012-05-23 2016-01-05 Kt Corporation Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card
US10231004B2 (en) * 2012-06-20 2019-03-12 Adobe Systems Incorporated Network recording service
US10078524B2 (en) 2013-03-01 2018-09-18 Hewlett Packard Enterprise Development Lp Secure configuration of a headless networking device
US9628457B2 (en) 2013-11-01 2017-04-18 Charter Communications Operating, Llc System and method for authenticating local CPE
WO2015196441A1 (zh) * 2014-06-27 2015-12-30 华为技术有限公司 配置文件的获取方法、装置和系统
CN108781219B (zh) * 2016-03-14 2021-08-03 艾锐势有限责任公司 电缆调制解调器反克隆
US10880090B2 (en) * 2016-03-14 2020-12-29 Arris Enterprises Llc Cable modem anti-cloning
US11387996B2 (en) 2016-03-14 2022-07-12 Arris Enterprises Llc Cable modem anti-cloning
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
US10951467B2 (en) * 2017-06-02 2021-03-16 Arris Enterprises Llc Secure enabling and disabling points of entry on a device remotely or locally
US10728233B2 (en) 2017-06-02 2020-07-28 Arris Enterprises Llc Secure key management in a high volume device deployment
US11089059B2 (en) * 2017-09-15 2021-08-10 Cable Television Laboratories, Inc. Cloned device detection
TWI668971B (zh) * 2018-02-12 2019-08-11 和碩聯合科技股份有限公司 數據機裝置及驗證資料的方法
EP3897915A4 (en) 2018-12-20 2022-09-21 Haven Technology Solutions LLC APPARATUS AND METHOD FOR GAS-LIQUID SEPARATION OF MULTIPHASE FLUID
US10478753B1 (en) 2018-12-20 2019-11-19 CH International Equipment Ltd. Apparatus and method for treatment of hydraulic fracturing fluid during hydraulic fracturing
US11336514B2 (en) * 2020-03-25 2022-05-17 Arris Enterprises Llc Systems and methods for secure provisioning of SSH credentials
US20220294610A1 (en) * 2021-03-10 2022-09-15 Epifi Technologies Private Limited Methods, systems and computer program products for secure encryption of data for transmission via an untrusted intermediary
CN114065181A (zh) * 2021-11-30 2022-02-18 成都三零嘉微电子有限公司 一种基于安全芯片的线缆认证方法及系统
US20230283605A1 (en) * 2022-03-02 2023-09-07 Arris Enterprises Llc Authentication of consumer premise equipment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6028933A (en) * 1997-04-17 2000-02-22 Lucent Technologies Inc. Encrypting method and apparatus enabling multiple access for multiple services and multiple transmission modes over a broadband communication network
US6189102B1 (en) * 1998-05-27 2001-02-13 3Com Corporation Method for authentication of network devices in a data-over cable system

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5918019A (en) * 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
US6137793A (en) * 1997-12-05 2000-10-24 Com21, Inc. Reverse path multiplexer for use in high speed data transmissions
US6049826A (en) * 1998-02-04 2000-04-11 3Com Corporation Method and system for cable modem initialization using dynamic servers
US6170061B1 (en) * 1998-02-04 2001-01-02 3Com Corporation Method and system for secure cable modem registration
US6058421A (en) * 1998-02-04 2000-05-02 3Com Corporation Method and system for addressing network host interfaces from a cable modem using DHCP
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
US6202081B1 (en) * 1998-07-21 2001-03-13 3Com Corporation Method and protocol for synchronized transfer-window based firewall traversal
US6986157B1 (en) * 1998-12-21 2006-01-10 3Com Corporation Method and system for dynamic service registration in a data-over-cable system
US7099338B1 (en) * 1999-02-27 2006-08-29 3Com Corporation System and method for insuring dynamic host configuration protocol operation by a host connected to a data network
CA2371795C (en) 1999-05-26 2012-02-07 Bigband Networks, Inc. Communication management system and method
US6715075B1 (en) 1999-07-08 2004-03-30 Intel Corporation Providing a configuration file to a communication device
US6819682B1 (en) * 1999-09-03 2004-11-16 Broadcom Corporation System and method for the synchronization and distribution of telephony timing information in a cable modem network
US7065779B1 (en) * 1999-10-13 2006-06-20 Cisco Technology, Inc. Technique for synchronizing multiple access controllers at the head end of an access network
US7149223B2 (en) * 2000-03-06 2006-12-12 Juniper Networks, Inc. Enhanced fiber nodes with CMTS capability
US7274679B2 (en) * 2000-06-22 2007-09-25 Mati Amit Scalable virtual channel
KR100672400B1 (ko) * 2000-11-20 2007-01-23 엘지전자 주식회사 케이블 모뎀의 컨피그레이션 파일 다운로드 장치 및 방법
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US7110398B2 (en) * 2001-01-12 2006-09-19 Broadcom Corporation Packet tag for support of remote network function/packet classification
EP1356653B1 (en) * 2001-01-24 2011-07-20 Broadcom Corporation Method for processing multiple security policies applied to a data packet structure
US6952428B1 (en) * 2001-01-26 2005-10-04 3Com Corporation System and method for a specialized dynamic host configuration protocol proxy in a data-over-cable network
US7145887B1 (en) * 2001-02-23 2006-12-05 3Com Corporation Communication of packet arrival times to cable modem termination system and uses thereof
US20020133618A1 (en) * 2001-03-14 2002-09-19 Desai Bhavesh N. Tunneling system for a cable data service
US6993050B2 (en) * 2001-03-14 2006-01-31 At&T Corp. Transmit and receive system for cable data service
ATE449465T1 (de) * 2001-04-12 2009-12-15 Juniper Networks Inc Zugangsrauschunterdrückung in einem digitalen empfänger
US7139923B1 (en) * 2001-06-27 2006-11-21 Cisco Technology, Inc. Technique for synchronizing network devices in an access data network
US7639617B2 (en) * 2001-06-27 2009-12-29 Cisco Technology, Inc. Upstream physical interface for modular cable modem termination system
US20030105959A1 (en) * 2001-12-03 2003-06-05 Matyas Stephen M. System and method for providing answers in a personal entropy system
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US6947725B2 (en) * 2002-03-04 2005-09-20 Microsoft Corporation Mobile authentication system with reduced authentication delay
US7080404B2 (en) * 2002-04-01 2006-07-18 Microsoft Corporation Automatic re-authentication
US7782898B2 (en) * 2003-02-04 2010-08-24 Cisco Technology, Inc. Wideband cable system
US7023871B2 (en) * 2003-05-28 2006-04-04 Terayon Communication Systems, Inc. Wideband DOCSIS on catv systems using port-trunking
US7293282B2 (en) * 2003-07-03 2007-11-06 Time Warner Cable, Inc. Method to block unauthorized access to TFTP server configuration files
US20050064845A1 (en) * 2003-09-23 2005-03-24 Transat Technologies, Inc. System and method for radius accounting for wireless communication networks
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
US7539208B2 (en) * 2004-05-25 2009-05-26 Cisco Technology, Inc. Timing system for modular cable modem termination system
US8149833B2 (en) * 2004-05-25 2012-04-03 Cisco Technology, Inc. Wideband cable downstream protocol
US7532627B2 (en) * 2004-05-25 2009-05-12 Cisco Technology, Inc. Wideband upstream protocol
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070220598A1 (en) 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6028933A (en) * 1997-04-17 2000-02-22 Lucent Technologies Inc. Encrypting method and apparatus enabling multiple access for multiple services and multiple transmission modes over a broadband communication network
US6189102B1 (en) * 1998-05-27 2001-02-13 3Com Corporation Method for authentication of network devices in a data-over cable system

Also Published As

Publication number Publication date
EP2055071A4 (en) 2016-08-24
WO2008024133A1 (en) 2008-02-28
US8453216B2 (en) 2013-05-28
EP2055071A1 (en) 2009-05-06
CN101507228A (zh) 2009-08-12
US20080065883A1 (en) 2008-03-13
EP2055071B1 (en) 2017-10-18
US7865727B2 (en) 2011-01-04
US20110066855A1 (en) 2011-03-17

Similar Documents

Publication Publication Date Title
CN101507228B (zh) 用于位于线缆网络中的装置的改善的认证
CN103155512B (zh) 用于对服务提供安全访问的系统和方法
EP1929745B1 (en) Method for secure device discovery and introduction
JP4649513B2 (ja) 無線携帯インターネットシステムの認証方法及び関連キー生成方法
US7934005B2 (en) Subnet box
JP4000111B2 (ja) 通信装置および通信方法
US8886934B2 (en) Authorizing physical access-links for secure network connections
KR100749846B1 (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
US8380980B2 (en) System and method for providing security in mobile WiMAX network system
US11075907B2 (en) End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same
JP2002247047A (ja) セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置
US20200092113A1 (en) Method and System For Securing In-Vehicle Ethernet Links
US20220141004A1 (en) Efficient Internet-Of-Things (IoT) Data Encryption/Decryption
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
CN115459912A (zh) 一种基于量子密钥集中管理的通信加密方法及系统
CN105591748B (zh) 一种认证方法和装置
CN113973001A (zh) 一种认证密钥的更新方法及装置
JP2004194196A (ja) パケット通信認証システム、通信制御装置及び通信端末
JP2020136863A (ja) 通信制御システム
CN114614984A (zh) 一种基于国密算法的时间敏感网络安全通信方法
CN114760093B (zh) 通信方法及装置
US11973700B2 (en) Trusted remote management unit
CN117544951B (zh) 一种5g物联网安全网关
JP2002247023A (ja) セッション共有鍵共有方法、ネットワーク端末認証方法、ネットワーク端末および中継装置
CN115278660A (zh) 接入认证方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant