Die
vorliegende Erfindung betrifft ein Verfahren zur Ende-zu-Ende-Authentifizierung
zwischen einem Teilnehmernetzanschlussgerät und einem Netzwerk-Zugangsserver,
wie im nicht charakteristischen Teil von Anspruch 1 definiert, ein
Teilnehmernetzanschlussgerät,
wie im nicht charakteristischen Teil von Anspruch 6 definiert, und
einen Netzwerk-Zugangsserver, wie im nicht charakteristischen Teil
von Anspruch 10 definiert.The
The present invention relates to a method for end-to-end authentication
between a subscriber network connection device and a network access server,
as defined in the non-characteristic part of claim 1, a
Premises network termination,
as defined in the non-characteristic part of claim 6, and
a network access server as in the non-characteristic part
defined by claim 10.
Die
Ende-zu-Ende-Authentifizierung, d.h. die Authentifizierung zwischen
einem Teilnehmernetzanschlussgerät
und einem Netzwerk-Zugangsserver, in einem auf MPLS (Multi Protocol
Label Switching) basierenden Breitband-Internet-Zugangsnetz kann einfach implementiert
werden, indem die Datenpakete, zum Beispiel IP-(Internet Protocol)-Pakete,
in PPP-(Point to Point Protocol)-Rahmen eingebettet werden und die
PPP-(Point to Point Protocol)-Rahmen über MPLS übertragen werden. Die Funktionalität der Ende-zu-Ende-Authentifizierung
des PPP (Point to Point Protocol) wird dann dazu benutzt, das Teilnehmernetzanschlussgerät für den Netzwerk-Zugangsserver
zu authentifizieren. Ende-zu-Ende-Authentifizierungs-Mechanismen
von PPP (Point to Point Protocol) werden zum Beispiel in IETF RFC (Request
for Comments) 1334 mit dem Titel "PPP Authentication Protocols" der Autoren B. Lloyd
und W. Simpson beschrieben.The
End-to-end authentication, i. the authentication between
a subscriber network connection device
and a network access server, in one on MPLS (Multi Protocol
Label Switching) based broadband Internet access network can be easily implemented
the data packets, for example IP (Internet Protocol) packets,
embedded in PPP (Point to Point Protocol) frames and the
PPP (Point to Point Protocol) frames are transmitted via MPLS. The functionality of end-to-end authentication
The PPP (Point to Point Protocol) is then used to connect the subscriber access equipment to the network access server
to authenticate. End-to-end authentication mechanisms
PPP (Point to Point Protocol), for example, in IETF RFC (Request
for Comments) 1334 entitled "PPP Authentication Protocols" by the authors B. Lloyd
and W. Simpson.
Die
gerade beschriebene einfache Implementation der Ende-zu-Ende-Authentifizierung
in einem auf MPLS (Multi Protocol Label Switching) basierenden Zugangsnetz
erfordert, dass das Einbettungs-Format für PPP über MPLS so definiert ist, dass
es eine Standard-Möglichkeit
zur Übertragung des
zusätzlichen
Protokolls, d.h. der PPP-Rahmen über
MPLS, bietet. Zusätzlich
dazu muss das MPLS/LDP (Label Distribution Protocol) so erweitert werden,
dass es in der Lage ist, die neue Verkehrsart zu signalisieren,
d.h. die PPP-Rahmen, die übertragen
werden. Weiterhin benutzt, auch wenn das Format der Einbettung von
PPP über
MPLS standardisiert wäre
und sogar wenn MPLS/LDP entsprechend erweitert würde, die einfache Implementation
ein zusätzliches
Protokoll, d.h. das PPP-Protokoll,
nur zur Authentifizierung, und daher erhöht diese Lösung den Zusatzaufwand und
verkompliziert die Verkehrsverwaltung, weil eine zusätzliche
Ebene in den Protokoll-Stack eingefügt wird. Die Ende-zu-Ende-Authentifizierung
bei der MPLS-Signalisierung wird im Internet-Entwurf "The Assignment of
the Information Field and Protocol Identifier in the Q.2941 Generic Identifier
and Q.2957 User-to-user Signaling for the Internet Protocol" erwähnt.The
just described simple implementation of end-to-end authentication
in an access network based on MPLS (Multi Protocol Label Switching)
requires that the embedding format for PPP over MPLS be defined such that
it's a standard way
for the transmission of the
additional
Protocol, i. the PPP frame over
MPLS, offers. additionally
for this the MPLS / LDP (Label Distribution Protocol) has to be extended
that it is able to signal the new mode of transport,
i.e. the PPP frames that transmit
become. Further used, even if the format of the embedding of
PPP over
MPLS would be standardized
and even if MPLS / LDP were extended accordingly, the simple implementation
an additional
Protocol, i. the PPP protocol,
only for authentication, and therefore this solution increases the overhead and
complicates the traffic management, because an additional
Level is inserted into the protocol stack. The end-to-end authentication
in the MPLS signaling, the Internet draft "The Assignment of
the Information Field and Protocol Identifier in the Q.2941 Generic Identifier
and Q.2957 "User-to-user Signaling for the Internet Protocol".
Es
ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren für die Ende-zu-Ende-Authentifizierung
bereitzustellen und Netzwerkelemente bereitzustellen, die in der
Lage sind, dieses Verfahren auszuführen, die aber nicht den Zusatzaufwand
erhöhen
und die die Verkehrs-Verwaltung nicht verkomplizieren.It
It is an object of the present invention to provide a method for end-to-end authentication
to provide and network elements that in the
Able to perform this procedure, but not the extra effort
increase
and that do not complicate the traffic management.
Gemäß der vorliegenden
Erfindung wird dieses Ziel durch das Verfahren zur Ende-zu-Ende-Authentifizierung,
das durch Anspruch 1 definiert wird, das Teilnehmernetzanschlussgerät, das durch
Anspruch 6 definiert wird und den Netzwerk-Zugangsserver, der durch Anspruch 10
definiert wird, erreicht.According to the present
This invention is achieved by the method for end-to-end authentication,
which is defined by claim 1, the subscriber network terminal, the by
Claim 6 and the network access server defined by claim 10
is defined achieved.
In
der Tat wird durch Übertragung
der Ende-zu-Ende-Authentifizierungs-Information über die Label-Distribution-Signalisierungs-Kanäle die gesamte
Ende-zu-Ende-Authentifizierungs-Funktionalität vom Signalisierungs-Protokoll, z.B. MPLS/LDP, bereitgestellt.
Es ist nicht erforderlich, PPP-Rahmen über die Datenkanäle zu übertragen,
so dass zum Beispiel IP-(Internet Protocol)-Pakete direkt über MPLS übertragen
werden können.
Hierdurch wird der Zusatzaufwand verringert und ein schnellerer Verbindungsaufbau
ermöglicht.
Da der Protokoll-Stack im Vergleich zur oben beschriebenen PPP-über-MPLS-Lösung weniger
Schichten enthält, wird
die Verkehrs-Verwaltung vereinfacht.In
the act will be through transfer
the end-to-end authentication information over the label distribution signaling channels the entire
End-to-end authentication functionality of the signaling protocol, e.g. MPLS / LDP provided.
It is not necessary to transmit PPP frames over the data channels,
so that, for example, IP (Internet Protocol) packets are transmitted directly via MPLS
can be.
As a result, the additional effort is reduced and a faster connection
allows.
Because the protocol stack is less compared to the PPP-over-MPLS solution described above
Contains layers
simplifies the traffic management.
Es
wird darauf hingewiesen, dass der in den Ansprüchen benutzte Begriff "enthält" nicht so interpretiert
werden darf, als ob er auf die danach aufgelisteten Mittel oder
Schritte begrenzt wäre.
Der Umfang des Ausdrucks "eine
Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen begrenzt
werden, die nur aus den Komponenten A und B bestehen. Er bedeutet
bezüglich
der vorliegenden Erfindung, dass nur die Komponenten A und B der Vorrichtung
relevant sind.It
It should be noted that the term "contains" used in the claims is not interpreted as such
be allowed to act on the funds listed below or
Steps would be limited.
The scope of the term "one
Device containing Agent A and Agent B "may not be limited to devices
which consist only of components A and B. He means
in terms of
the present invention that only the components A and B of the device
are relevant.
Auf
gleiche Weise muss darauf hingewiesen werden, dass der Begriff "gekoppelt", der ebenfalls in den
Ansprüchen
verwendet wird, nicht so interpretiert werden darf, als ob er auf
direkte Verbindungen begrenzt wäre.
Der Umfang des Ausdrucks "eine
Vorrichtung A, die mit einer Vorrichtung B gekoppelt ist" darf nicht auf Vorrichtungen
oder Systeme begrenzt werden, bei denen ein Ausgang von Vorrichtung
A direkt an einen Eingang von Vorrichtung B angeschlossen ist. Er
bedeutet, dass ein Pfad zwischen einem Ausgang von A und einem Eingang
von B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen
oder Mittel enthält.On
same way it must be pointed out that the term "coupled", which is also in the
claims
is not allowed to be interpreted as if it is being used
direct connections would be limited.
The scope of the term "one
Device A, which is coupled to a device B "may not be used on devices
or systems are limited where an output of device
A is connected directly to an input of device B. He
means a path between an output of A and an input
of B, which may be a path which other devices
or contains funds.
Eine
zusätzliche,
optionale Eigenschaft des Verfahrens zur Ende-zu-Ende-Authentifizierung
wird in Anspruch 2 definiert.A
additional
Optional property of the method for end-to-end authentication
is defined in claim 2.
Somit
kann in einem auf MPLS (Multi Protocol Label Switching) basierenden
Zugangsnetzwerk die vorliegende Erfindung implementiert werden,
indem alle Ende-zu-Ende-Authentifizierungs-Informationen
in LDP-(Label Distribution Protocol)-Nachrichten übertragen
werden.Thus, in an access network based on MPLS (Multi Protocol Label Switching), the present invention can be implemented in all end-to-end authentication information is transferred to LDP (Label Distribution Protocol) messages.
Zusätzliche
Eigenschaften einer ersten Ausführung
der vorliegenden Erfindung werden durch die Ansprüche 3, 7
und 11 definiert.additional
Properties of a first embodiment
The present invention is defined by the claims 3, 7
and 11 defined.
Somit
besteht in dieser ersten Ausführung die
Ende-zu-Ende-Authentifizierungs-Information aus
der PPP-CHAP-(Challenge
Handshake Protocol)-Information, die auf den Label-Distribution-Kanälen zusätzlich übertragen
wird. Diese Implementation erfordert es, dass LDP (Label Distribution
Protocol) so erweitert wird, dass es in der Lage ist, eine Challenge-Request-Nachricht,
eine Challenge-Response-Nachricht,
eine verschlüsselte
Challenge-Request-Nachricht und eine Nachricht über den Authentifizierungs-Erfolg/eine
fehlgeschlagene Authentifizierung zu übertragen.Consequently
exists in this first embodiment the
End-to-end authentication information
the PPP CHAP (Challenge
Handshake Protocol) information, which is additionally transmitted on the label distribution channels
becomes. This implementation requires that LDP (Label Distribution
Protocol) is extended so that it is able to receive a Challenge Request message,
a challenge-response message,
an encrypted one
Challenge Request message and a message about the authentication success / a
to transfer failed authentication.
Weitere
Eigenschaften einer zweiten Ausführung
der vorliegenden Erfindung werden durch die Ansprüche 4, 8
und 12 definiert.Further
Properties of a second embodiment
The present invention is defined by claims 4, 8
and 12 defined.
Somit
werden in dieser zweiten Ausführung digitale
Zertifikate und digitale Signaturen benutzt. Ein digitales Zertifikat
ist ein Objekt, das die Benutzerkennung und einen öffentlichen
Schlüssel,
der durch eine vertrauenswürdige
Stelle signiert ist, enthält.
Ein privater Schlüssel,
der nur dem Benutzer bekannt ist, wird mit dem öffentlichen Schlüssel verbunden.
Eine digitale Signatur besteht aus einem sicheren Hash-Wert (den
man erhält,
indem man eine sichere Hash-Funktion
auf den Nachrichteninhalt anwendet), der unter Verwendung des privaten
Schlüssels
verschlüsselt
wird. Die digitale Signatur kann dazu benutzt werden, die Richtigkeit
der Nachricht und die Identität
des Absenders durch den Netzwerk-Zugangsserver nachzuweisen und
umgekehrt. Diese zweite Implementation erfordert es, das LDP (Label
Distribution Protocol) so zu erweitern, dass es in der Lage ist,
eine Anforderungs-Nachricht mit einer digitalen Signatur und eine
Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
zu übertragen.Consequently
become digital in this second embodiment
Certificates and digital signatures used. A digital certificate
is an object that has the user ID and a public
Key,
by a trusted one
Job is signed contains.
A private key,
which is known only to the user is connected to the public key.
A digital signature consists of a secure hash value (the
you get,
by having a secure hash function
applies to the message content) using the private message
key
encoded
becomes. The digital signature can be used to correct the correctness
the message and the identity
of the sender through the network access server and prove
vice versa. This second implementation requires that the LDP (Label
Distribution Protocol) so that it is able to
a request message with a digital signature and a
Message about
the authentication success / failed authentication
transferred to.
Weitere
Eigenschaften einer dritten bevorzugten Ausführung der vorliegenden Erfindung
werden durch die Ansprüche
5, 9 und 13 definiert.Further
Characteristics of a third preferred embodiment of the present invention
be through the claims
5, 9 and 13 defined.
Auf
diese Weise wird eine Implementation der vorliegenden Erfindung
mit höherer
Bandbreiten-Effizienz als die oben erwähnte erste Implementation bereitgestellt.
Der Nachrichten-Authentifizierungs-Code
authentifiziert den Client beim Netzwerk-Zugangsserver und basiert
auf einem Geheimnis s, das der Client und der Dienstanbieter gemeinsam
kennen, sowie auf einem Platzhalter n, bei dem es sich um einen
eindeutigen Wert handelt, wie z.B. einen Zeitstempel, der verhindert,
dass die Nachricht abgefangen und später durch einen Eindringling
benutzt wird. Diese dritte Implementation erfordert, das LDP (Label
Distribution Protocol) so zu erweitern, dass es in der Lage ist,
eine Authentifizierungs-Anforderung und eine Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung zu übertragen,
und erfordert es, eine Mindest-Bandbreite auf den Signalisierungs-Kanälen durch
Authentifizierungs-Informationen zu belegen.On
this way will be an implementation of the present invention
with higher
Bandwidth efficiency provided as the above-mentioned first implementation.
The message authentication code
authenticates the client to the network access server and is based
on a secret that the client and the service provider share
know, as well as on a placeholder n, which is a
unique value, such as a timestamp that prevents
that the message was intercepted and later by an intruder
is used. This third implementation requires the LDP (Label
Distribution Protocol) so that it is able to
an authentication request and a message about the
Authentication Success / Transfer Failed Authentication
and requires a minimum bandwidth on the signaling channels
To prove authentication information.
Die
oben erwähnten
und weitere Ziele und Eigenschaften der Erfindung werden deutlicher,
und die Erfindung selbst wird am besten verstanden, wenn man auf
die folgende Beschreibung einer Ausführung in Verbindung mit den
begleitenden Zeichnungen Bezug nimmt, in denen:The
mentioned above
and other objects and features of the invention will become more apparent
and the invention itself is best understood when looking at
the following description of an embodiment in conjunction with the
accompanying drawings, in which:
1 ein
Kommunikations-System mit Label-Switching zeigt, in dem verschiedene
Ausführungen
des Verfahrens zur Ende-zu-Ende-Authentifizierung gemäß der vorliegenden
Erfindung angewendet werden können; 1 a label switching communication system in which various embodiments of the end-to-end authentication method according to the present invention can be applied;
2 ein
Zeitdiagramm für
die Übertragung von
Label-Distribution-Protocol-Nachrichten
zwischen dem Teilnehmernetzanschlussgerät CPNT1 und dem Netzwerk-Zugangs-Server NAS1 in 1 zeigt,
wenn eine erste Ausführung
des Ende-zu-Ende-Authentifizierungs-Verfahrens gemäß der vorliegenden
Erfindung implementiert wird; 2 a timing diagram for the transmission of Label Distribution Protocol messages between the subscriber network terminal CPNT1 and the network access server NAS1 in 1 shows when implementing a first embodiment of the end-to-end authentication method according to the present invention;
3 ein
Zeitdiagramm für
die Übertragung von
Label-Distribution-Protocol-Nachrichten
zwischen dem Teilnehmernetzanschlussgerät CPNT1 und dem Netzwerk-Zugangs-Server NAS1 in 1 zeigt,
wenn eine zweite Ausführung
des Ende-zu-Ende-Authentifizierungs-Verfahrens gemäß der vorliegenden
Erfindung implementiert wird; und 3 a timing diagram for the transmission of Label Distribution Protocol messages between the subscriber network terminal CPNT1 and the network access server NAS1 in 1 shows when implementing a second embodiment of the end-to-end authentication method according to the present invention; and
4 ein
Zeitdiagramm für
die Übertragung von
Label-Distribution-Protocol-Nachrichten
zwischen dem Teilnehmernetzanschlussgerät CPNT1 und dem Netzwerk-Zugangs-Server NAS1 in 1 zeigt,
wenn eine dritte Ausführung
des Ende-zu-Ende-Authentifizierungs-Verfahrens gemäß der vorliegenden
Erfindung implementiert wird. 4 a timing diagram for the transmission of Label Distribution Protocol messages between the subscriber network terminal CPNT1 and the network access server NAS1 in 1 shows when implementing a third embodiment of the end-to-end authentication method according to the present invention.
Das
Kommunikations-System mit Label-Switching in 1 enthält: Ein
erstes Teilnehmernetzanschlussgerät CPNT1 und ein zweites Teilnehmernetzanschlussgerät CPNT2,
die zum Beispiel ADSL-(Asymmetric Digital Subscriber Line)-Modems,
VDSL-(Very High Speed Digital Subscriber Line)-Kabelmodems, optische
Netzabschlüsse
oder ähnliches
sein können;
einen Zugangsmultiplexer MUX, der zum Beispiel ein DSLAM (Digital
Subscriber Line Access Multiplexer) sein kann; einen ersten Label-Switch-Router
LSR1, einen zweiten Label-Switch-Router LSR2, einen dritten Label-Switch-Router
LSR3 und einen vierten Label-Switch-Router LSR4, die zum Beispiel MPLS-(Multi
Protocol Label Switched)-Internet Router sein können; einen ersten Netzwerk-Zugangsserver
NAS1 und einen zweiten Netzwerk-Zugangsserver
NAS2, an den zum Beispiel ein Video-on-Demand-Server, ein Audio-Server, ein Bank-Transaktions-Server,
usw. angeschlossen sein kann; eine Internet-Dienstanbieter-Einrichtung ISP,
wie zum Beispiel eine Video-Datenbank und eine Video-on-Demand-Steuerung,
und ein Firmen-Netzwerk CORPNET, z.B. ein LAN (Local Access Network,
lokales Netz), das sich im Privatbesitz einer Firma befindet.The communication system with label switching in 1 includes: a first subscriber network terminal CPNT1 and a second subscriber network terminal CPNT2, which may be, for example, ADSL (Asymmetric Digital Subscriber Line) modems, VDSL (Very High Speed Digital Subscriber Line) cable modems, optical network terminations, or the like; an access multiplexer MUX, which may be, for example, a DSLAM (Digital Subscriber Line Access Multiplexer); a first label switch router LSR1, a second label switch router LSR2, a third la bel switch router LSR3 and a fourth label switch router LSR4, which may be, for example, MPLS (Multi Protocol Label Switched) internet routers; a first network access server NAS1 and a second network access server NAS2 to which, for example, a video-on-demand server, an audio server, a bank transaction server, etc. may be connected; an internet service provider facility ISP, such as a video database and a video-on-demand controller, and a corporate network CORPNET, eg a Local Access Network (LAN), privately owned by a company located.
Das
erste und zweite Teilnehmernetzanschlussgerät CPNT1 und CPNT2 sind über den
Zugangsmultiplexer MUX mit dem ersten Label-Switch-Router LSR1 gekoppelt.
Der erste Label-Switch-Router
LSR1 ist mit dem zweiten Label-Switch-Router LSR2, sowie mit dem
dritten Label-Switch-Router LSR3 gekoppelt. Der zweite Label-Switch-Router
LSR2 und der dritte Label-Switch-Router
LSR3 sind weiterhin mit dem vierten Label-Switch-Router LSR4 verbunden.
Die Internet-Dienstanbieter-Einrichtung ISP ist über den ersten Netzwerk-Zugangs-Server
NAS1 mit dem zweiten Label-Switch-Router LSR2 verbunden. Auf ähnliche
Weise ist das Firmennetz CORPNET über den zweiten Netzwerk-Zugangs-Server NAS2 mit dem vierten
Label-Switch-Router LSR4 verbunden.The
first and second subscriber network terminal CPNT1 and CPNT2 are via the
Access multiplexer MUX coupled to the first label switch router LSR1.
The first label switch router
LSR1 is compatible with the second label switch router LSR2, as well as with the
third label switch router LSR3 coupled. The second label switch router
LSR2 and the third label switch router
LSR3 are also connected to the fourth label switch router LSR4.
The Internet service provider facility ISP is via the first network access server
NAS1 is connected to the second label switch router LSR2. On similar
Way is the corporate network CORPNET via the second network access server NAS2 with the fourth
Label switch router LSR4 connected.
Das
in 1 gezeigte Internet-Zugangsnetz wird von einem
Zugangsnetz-Betreiber betrieben. Die Verbindungen zwischen den Label-Switch-Routern
LSR1, LSR2, LSR3 und LSR4 können
durch ATM (Asynchronous Transfer Mode) oder eine andere Verbindungsebenen-Technologie,
wie z.B. Ethernet oder Packet over SONET/SDH (Synchronous Digital
Hierarchy) erfolgen. Die in 1 gezeigte
Netzwerk-Konfiguration bietet Zugang zu verschiedenen Netzwerk-Dienstanbietern,
z.B. einem kleinen Internet-Dienstanbieter, einem großen Internet-Dienstanbieter
oder einem Firmennetz. Die zum Anschluss der Netzwerk-Dienstanbieter ISP
und des CORPNET an das Zugangsnetz benutze Verbindung ist entsprechend
der betrieblichen Aussichten des Netzwerk-Dienstanbieters skaliert.
Das Ziel von Netzwerk-Dienstanbietern
ist es, den Zugang zu den Internet-Dienstanbieter-Einrichtungen ISP zu
verkaufen, oder Firmennetze CORPNET auf eine VPN (Virtual Private
Network, virtuelles privates Netz) ähnliche Art und Weise zu verkaufen.
Im Rest dieser Patentanmeldung wird angenommen, dass die Teilnehmernetzanschlussgeräte ADSL-(Asymmetric
Digital Subscriber Line)-Modems sind, die im Handel gekauft werden
können,
und es wird angenommen, dass das Zugangsnetz auf ADSL basiert. Es
wird angenommen, dass die Netzwerkarchitektur so ist, dass eine
automatische Konfiguration der ADSL-(Asymmetric Digital Subscriber
Line)-Modems durchgeführt
wird. Wenn es nach der Installation (d.h. nach der Verbindung mit
dem PC des Benutzers und mit der Kupfer-Telefonleitung) eingeschaltet
wird, fordert das ADSL-Modem CPNT1 eine private IP-(Internet Protocol)-Adresse
an, um in der Lage zu sein, mit dem Zugangsnetz zu kommunizieren.
Zu diesem Zweck wird eine Discover-Nachricht über einen vorher festgelegten
VC (Virtual Channel, virtueller Kanal) zum Zugangsmultiplexer MUX
gesendet. Der vorher festgelegte VC ist der festgelegte Steuerungs-VC, über den
privater IP-(Internet Protocol)-Verkehr
fließt,
der aber zu keiner Zeit Teilnehmerverkehr führt. Der Zugangsmultiplexer
MUX schließt
diesen vorher festgelegten VC selbst ab oder kann einen gemeinsam
aufgestellten Server haben, der diesen vorher festgelegten VC abschließt. Es wird
angenommen, dass der Zugangsmultiplexer aus 1 den vorher
festgelegten VC selbst abschließt. Der
Zugangsmultiplexer MUX leitet die Anforderung nach einer privaten
IP-Adresse an einen Konfigurations-Server weiter, der in 1 nicht
gezeigt ist. Zusammen mit der angeforderten privaten IP-Adresse erhält das ADSL-Modem
CPNT1 die Adresse des Konfigurations-Servers. Der Konfigurations-Server kann
zum Beispiel dazu benutzt werden, neben anderen Informationen automatisch
die neueste Version des ADSL-Betriebssystems zu laden. Die Netzwerkmanagement-Konsole
des Zugangsnetz-Betreibers
wird vom speziellen Teilnehmer-Standort, an dem sich das ADSL-Modem
CPNT1 befindet, kontaktiert, damit sie über das Urladen des ADSL-Modems
CPNT1 informiert ist. Der vom Zugangsnetz-Betreiber angebotene Dienst
sind Label-Switch-Verbindungsmöglichkeiten,
die dazu benutzt werden können,
jeden auf Paketen basierenden Teilnehmerverkehr zu unterstützen. Das ADSL-Modem
CPNT1 kann in einem immer eingeschalteten Szenarium oder in einem
Einwahl-Szenarium laufen. Eine teilweise Authentifizierung des Benutzers
kann im Modem durchgeführt
werden. Dies erlaubt es dem Benutzer, bei der Anmeldung einen strukturierten
Benutzernamen einzugeben. Daraufhin kann der vollständig qualifizierte
Domain-Name dazu benutzt werden, eine DNS-(Domain Name Service)-Abfrage
beim DNS-Server des Zugangsnetzes durchzuführen. Dieser DNS-Server liefert
dann die IP-(Internet Protocol)-Adresse des Netzwerk-Zugangs-Servers NAS1
des vom Benutzer des ADSL-Modems CPNT1 gewählten Netzwerk-Dienstanbieters
zurück,
und es wird ein Label Switched Path zu diesem Netzwerk-Zugangs-Server NAS1
aufgebaut. Eine Variante des gerade beschriebenen Verfahrens kann
es sein, dass der Zugangsmultiplexer MUX anstelle des ADSL-Modems
CPNT1 die teilweise Authentifizierung des Benutzers durchführt.This in 1 shown Internet access network is operated by an access network operator. The connections between the label switch routers LSR1, LSR2, LSR3 and LSR4 may be through ATM (Asynchronous Transfer Mode) or other connection layer technology such as Ethernet or Packet over SONET / SDH (Synchronous Digital Hierarchy). In the 1 shown network configuration provides access to various network service providers, such as a small Internet service provider, a large Internet service provider or a corporate network. The connection used to connect the network service providers ISP and CORPNET to the access network is scaled according to the operational prospects of the network service provider. The goal of network service providers is to sell the access to the Internet service provider facilities ISP, or to sell corporate networks CORPNET in a VPN (Virtual Private Network) like manner. In the remainder of this patent application, it is assumed that the subscriber network access devices are ADSL (Asymmetric Digital Subscriber Line) modems that can be purchased commercially, and it is assumed that the access network is based on ADSL. It is assumed that the network architecture is such that an automatic configuration of the ADSL (Asymmetric Digital Subscriber Line) modems is performed. When turned on after installation (ie after connection to the user's PC and to the copper telephone line), the ADSL modem CPNT1 requests a private IP (Internet Protocol) address in order to be able to to communicate with the access network. For this purpose, a Discover message is sent over a pre-established VC (virtual channel) to the access multiplexer MUX. The pre-established VC is the designated control VC over which private IP (Internet Protocol) traffic flows, but which does not carry subscriber traffic at any time. The access multiplexer MUX itself completes this predetermined VC or may have a co-located server terminating this pre-established VC. It is assumed that the access multiplexer off 1 completes the predefined VC itself. The access multiplexer MUX forwards the request for a private IP address to a configuration server located in 1 not shown. Together with the requested private IP address, the ADSL modem CPNT1 receives the address of the configuration server. For example, the configuration server can be used to automatically load the latest version of the ADSL operating system along with other information. The network management console of the access network operator is contacted by the particular subscriber site where the ADSL modem CPNT1 is located to be informed of the bootstrap of the ADSL modem CPNT1. The service offered by the access network operator is label-switch connectivity that can be used to support any packet-based subscriber traffic. The ADSL modem CPNT1 can run in an always-on scenario or in a dial-in scenario. A partial authentication of the user can be done in the modem. This allows the user to enter a structured user name when logging in. Then, the fully qualified domain name can be used to make a DNS (Domain Name Service) query on the access server's DNS server. This DNS server then returns the IP (Internet Protocol) address of the network access server NAS1 of the network service provider selected by the user of the ADSL modem CPNT1, and it becomes a label switched path to that network access server NAS1 built. A variant of the method just described may be that the access multiplexer MUX performs the partial authentication of the user instead of the ADSL modem CPNT1.
Es
wird darauf hingewiesen, dass eine Anforderung zum Aufbau eines
Label Switched Path, die vom ADSL-Modem CPNT1 ausgegeben wird, vom Zugangsmultiplexer
MUX kontrolliert werden kann. Zu diesem Zweck kommuniziert der Zugangsmultiplexer
MUX mit einem Policy Server des Zugangsnetzes, der in 1 ebenfalls
nicht gezeigt ist. Auf diese Weise kann der Zugang vom Teilnehmer-Standort
zu nur einem einzigen Firmennetz zu einem Zeitpunkt kontrolliert
werden.It should be noted that a request to set up a Label Switched Path issued by the ADSL modem CPNT1 from the Access multiplexer MUX can be controlled. For this purpose, the access multiplexer MUX communicates with a policy server of the access network, which in 1 also not shown. In this way, access from the subscriber site to only a single corporate network can be controlled at a time.
Es
ist offensichtlich, dass die Anzahl von anwendbaren Dienstbereitstellungs-Szenarien
und Strategien nur durch die Vorstellung des Netzwerk-Entwicklers
begrenzt ist. Die Bereitstellung des Dienstes VoIP (Voice over Internet
Protocol) kann zum Beispiel angeboten werden, indem ein automatisierter
Zugang zu einem Netzwerk-Zugangs-Server mit Sprach-Gateway-Funktionalität geboten
wird. Der auf diese Weise aufgebaute Label Switched Path kann entweder
PPP-(Point to Point Protocol)- oder ursprüngliche IP-(Internet Protocol)-Pakete übertragen.It
It is obvious that the number of applicable service delivery scenarios
and strategies only by the imagination of the network developer
is limited. The provision of the service VoIP (Voice over Internet
Protocol) can for example be offered by an automated
Provided access to a network access server with voice gateway functionality
becomes. The Label Switched Path set up in this way can either
PPP (Point to Point Protocol) or original IP (Internet Protocol) packets transmitted.
Wenn
MPLS (Multi Protocol Label Switching) oder ein anderes Protokoll
für Pfade
mit Label Switching zum Aufbau der Verbindungen zu einem Dienstanbieter
benutzt wird, will der Dienstanbieter wissen, wer den Label Switched
Path benutzt, um die Zugangsrechte zu überprüfen und die Gebühren korrekt
zu ermitteln. Dies ist als Ende-zu-Ende-Authentifizierung zwischen
dem Benutzer des ADSL-Modems CPNT1 und dem Netzwerk-Zugangs-Server NAS1
des Dienstanbieters, der den Label Switched Path abschließt, bekannt.
Mit Bezug auf 2, 3 und 4 beschreiben
die folgende Abschnitte drei Strategien zur Implementation der Ende-zu-Ende-Authentifizierung über die
Signalisierungs-Kanäle des
LDP (Label Distribution Protocol) des in 1 gezeigten
Netzwerks, so dass kein zusätzliches
Protokoll mit Ende-zu-Ende-Authentifizierungs-Funktionalität, wie PPP
(Point-to-Point
Protocol) über
MPLS übertragen
werden muss.When Multi-Label Label Switching (MPLS) or another protocol is used to establish connections to a service provider, the service provider wants to know who is using the Label Switched Path to verify the access rights and to correctly determine the charges , This is known as end-to-end authentication between the user of the ADSL modem CPNT1 and the service provider's network access server NAS1 completing the label switched path. Regarding 2 . 3 and 4 The following sections describe three strategies for implementing end-to-end authentication over the signaling channels of the Label Distribution Protocol (LDP) in 1 network so that no additional protocol with end-to-end authentication functionality such as PPP (Point-to-Point Protocol) must be transmitted over MPLS.
Mit
Bezug auf 2 wird die CHAP-(Challenge Handshake
Protocol)-Information des PPP (Point-to-Point Protocol) in eine
Anzahl von LDP-(Label Distribution Protocol)-Nachrichten eingebettet, die
vom ADSL-Modem CPNT1 und dem Netzwerk-Zugangs-Server NAS1 in Übereinstimmung
mit dem gezeigten Zeitdiagramm gemeinsam genutzt werden. Nachdem
das ADSL-Modem CPNT1 konfiguriert wurde, fordert es den Aufbau eines
Label Switched Path zum Netzwerk-Zugangs-Server NAS1 an, indem es
eine Challenge-Request-Nachricht CHAL_REQ zum Netzwerk-Zugangs-Server NAS1 sendet.
Diese Challenge-Request-Nachricht CHAL_REQ ist eine herkömmliche
LDP-(Label Distribution Protocol)-Anforderungs-Nachricht, die Informationen
enthält,
die zum Aufbau des Pfades benötigt
werden, wie z.B. eine Kennung des Ziels des Pfades, d.h. eine Kennung
von Netzwerk-Zugangs-Server
NAS1. Die Challenge-Request-Nachricht CHAL_REQ wird transparent
vom Zugangsmultiplexer MUX übertragen.
Bei Empfang der Challenge-Request-Nachricht CHAL_REQ erkennt der
Netzwerk-Zugangs-Server NAS1, dass das ADSL-Modem CPNT1 noch nicht
authentifiziert ist. Der Netzwerk-Zugangs-Server NAS1 sendet daher
eine Challenge-Response-Nachricht CHAL_RESP zurück, die das ADSL-Modem CPNT1
darüber
benachrichtigt, dass die Ende-zu-Ende-Authentifizierung durchgeführt werden
muss, bevor der angeforderte Label Switched Path aufgebaut werden
kann. Die Challenge-Response-Nachricht CHAL_RESP, die eine LDP-(Label
Distribution Protocol)-Nachricht ist, deren Typ-Feld anzeigt, dass es sich um eine Challenge-Response-Nachricht handelt,
enthält
weiterhin einen Challenge-Code, der eine vom Netzwerk-Zugangs-Server
NAS1 zufällig
erzeugte Zahl oder Ziffer-Sequenz ist. Auch die Challenge-Response-Nachricht
CHAL_RESP wird transparent vom Zugangsmultiplexer MUX übertragen.
Bei Empfang der Challenge-Response-Nachricht CHAL_RESP verschlüsselt das
ADSL-Modem CPNT1 den Challenge-Code,
den es von der Challenge-Response-Nachricht CHAL_RESP subtrahiert. Ein
Einwegverschlüsselungs-Verfahren,
wie MD5 oder DES (Data Encryption Standard) kann zum Beispiel verwendet
werden, um eine verschlüsselte
Version des Challenge-Codes zu erzeugen. Diese verschlüsselte Version
des Challenge-Codes wird in eine neue LDP-(Label Distribution Protocol)-Nachricht
eingebettet: die verschlüsselte
Challenge-Request-Nachricht
ENCR_REQ. Die verschlüsselte Challenge-Request-Nachricht
ENCR_REQ wird vom Zugangsmultiplexer MUX transparent übertragen, und
enthält
zusätzlich
zum verschlüsselten
Challenge-Code den Namen des zu Authentizierenden, d.h. einen Benutzernamen
des Benutzers am Standort des Teilnehmers. Dieser Benutzername wurde
offline vom Internet-Dienstanbieter ISP erhalten und versetzt den
Netzwerk-Zugangs-Server NAS1 in die Lage, das richtige Passwort
zur Verschlüsselung
des Challenge-Codes zu verwenden, den der Netzwerk-Zugangs-Server
NAS1 in die Challenge-Response-Nachricht
CHAL_RESP eingebettet hat, und diesen selbst verschlüsselten
Challenge-Code mit dem verschlüsselten
Challenge-Code zu vergleichen, den der Netzwerk-Zugangs-Server NAS1
aus der Challenge-Request-Nachricht ENCR_REQ abruft. Wenn der selbst
verschlüsselte
Challenge-Code und der verschlüsselte
Challenge-Code in der verschlüsselten
Challenge-Request-Nachricht ENCR_REQ übereinstimmen, benachrichtigt
der Netzwerk-Zugangs-Server NAS1 in einer Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
AUTH_S/F das ADSL-Modem CPNT1 darüber, dass die Ende-zu-Ende-Authentifizierung
erfolgreich durchgeführt
wurde. Der Netzwerk-Zugangs-Server NAS1 bettet in die Nachricht über den
Authentifizierungs-Erfolg/eine
fehlgeschlagene Authentifizierung AUTH_S/F auch eine Kennung des
zu verwendenden Label Switched Path ein. Die gerade erwähnte Kennung
des zu verwendenden Label Switched Path wird vom Zugangsmultiplexer MUX überwacht
und wird dabei dazu benutzt, die Information, die zwischen dem ADSL-Modem
CPNT1 und dem Netzwerk-Zugangs-Server NAS1 übertragen wird, korrekt zu
schalten. Im Fall einer erfolgreichen Ende-zu-Ende-Authentifizierung
kann die Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
eine herkömmliche
LDP-(Label Distribution Protocol)-MAP-Nachricht sein. Wenn der selbst
verschlüsselte
Challenge-Code und der verschlüsselte
Challenge-Code in der verschlüsselten
Challenge-Request-Nachricht ENCR_REQ nicht übereinstimmen, benachrichtigt der
Netzwerk-Zugangs-Server NAS1 das ADSL-Modem CPNT1 darüber, dass
die Ende-zu-Ende-Authentifizierung
fehlgeschlagen ist. In diesem Fall wird die Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
AUTH_S/F eine LDP-(Label Distribution Protocol)-Benachrichtigungs-Nachricht
mit einer geeigneten Typ-Kennung.Regarding 2 For example, the PPP (Point-to-Point Protocol) CHAP (Challenge Handshake Protocol) information is embedded in a number of Label Distribution Protocol (LDP) messages sent by the ADSL modem CPNT1 and the network access server NAS1 be shared in accordance with the timing diagram shown. After the ADSL modem CPNT1 has been configured, it requests the establishment of a label switched path to the network access server NAS1 by sending a challenge request message CHAL_REQ to the network access server NAS1. This challenge request message CHAL_REQ is a conventional LDP (Label Distribution Protocol) request message that contains information needed to build the path, such as an identifier of the destination of the path, ie, an identifier of network access Server NAS1. The challenge request message CHAL_REQ is transmitted transparently by the access multiplexer MUX. Upon receipt of the challenge request message CHAL_REQ, the network access server NAS1 recognizes that the ADSL modem CPNT1 is not yet authenticated. The network access server NAS1 therefore sends back a challenge-response message CHAL_RESP, which notifies the ADSL modem CPNT1 that the end-to-end authentication must be performed before the requested label switched path can be established. The challenge-response message CHAL_RESP, which is an LDP (Label Distribution Protocol) message whose type field indicates that it is a challenge-response message, also contains a challenge code, one from the network Access Server NAS1 is a randomly generated number or digit sequence. The challenge-response message CHAL_RESP is also transmitted transparently by the access multiplexer MUX. Upon receipt of the challenge-response message CHAL_RESP, the ADSL modem CPNT1 encrypts the challenge code, which it subtracts from the challenge-response message CHAL_RESP. For example, a one-way encryption method such as MD5 or DES (Data Encryption Standard) may be used to generate an encrypted version of the challenge code. This encrypted version of the challenge code is embedded in a new LDP (Label Distribution Protocol) message: the encrypted challenge request message ENCR_REQ. The encrypted challenge request message ENCR_REQ is transparently transmitted by the access multiplexer MUX, and contains in addition to the encrypted challenge code the name of the user to be authenticated, ie a user name of the user at the subscriber's location. This user name was obtained offline from the Internet service provider ISP and enables the network access server NAS1 to use the correct password to encrypt the challenge code that the network access server NAS1 enters into the challenge-response message CHAL_RESP and compare this self-encrypted challenge code with the encrypted challenge code that the network access server NAS1 retrieves from the challenge request message ENCR_REQ. If the self-encrypted challenge code and the encrypted challenge code in the encrypted challenge request message ENCR_REQ match, the network access server NAS1 notifies the ADSL server in a message about the authentication success / failed authentication AUTH_S / F. Modem CPNT1 that the end-to-end authentication was successful. The network access server NAS1 also embeds a ken in the authentication success / failed authentication AUTH_S / F message tion of the Label Switched Path to be used. The just-mentioned identifier of the label switched path to be used is monitored by the access multiplexer MUX and is thereby used to correctly switch the information transmitted between the ADSL modem CPNT1 and the network access server NAS1. In the case of a successful end-to-end authentication, the authentication success / failed authentication message may be a conventional LDP (Label Distribution Protocol) MAP message. If the self-encrypted challenge code and the encrypted challenge code in the encrypted challenge request message ENCR_REQ do not match, the network access server NAS1 notifies the ADSL modem CPNT1 that the end-to-end authentication failed is. In this case, the Authentication Success / Authentication AUTH_S / F message becomes an LDP (Label Distribution Protocol) notification message with an appropriate type identifier.
Es
wird darauf hingewiesen, dass anstelle der Hinzufügung der
PPP-CHAP-(Challenge Handshake Protocol)-Information in den LDP-(Label
Distribution Protocol)-Kanälen
ein einmaliges Passwort benutzt werden kann. Ein solches Ende-zu-Ende-Authentifizierungs-Verfahren
beruht auf einer eindeutigen Kennung im Teilnehmernetzanschlussgerät CPNT1
und einer Uhr, die synchron zu einer Uhr im Netzwerk-Zugangs-Server
NAS1 läuft.
Ein Passwort wird dann auf der Grundlage dieser eindeutigen Kennung
und der aktuellen Zeit erzeugt. Dieses Verfahren erfordert eine
sichere Synchronisation der Uhren. Alternativ können die Uhren des Teilnehmernetzanschlussgerätes und
des Netzwerk-Zugangs-Servers unsynchronisiert laufen, aber dann
ist die Kennung nur für
eine begrenzte Zeit gültig,
typischerweise für 2
Jahre.It
It is noted that instead of adding the
PPP-CHAP (Challenge Handshake Protocol) information in the LDP (Label
Distribution Protocol) channels
a unique password can be used. Such an end-to-end authentication method
is based on a unique identifier in the subscriber network connection device CPNT1
and a clock that is synchronous to a clock in the network access server
NAS1 is running.
A password is then based on this unique identifier
and the current time. This procedure requires a
secure synchronization of the clocks. Alternatively, the clocks of the subscriber network connection device and
of the network access server run unsynchronized, but then
is the identifier only for
valid for a limited time
typically for 2
Years.
Eine
weitere Implementation der Ende-zu-Ende-Authentifizierung zwischen dem ADSL-Modem
CPNT1 und dem Netzwerk-Zugangs-Server NAS1 aus 1 wird
in 3 gezeigt. Diese Implementation basiert auf der
Verwendung eines Paares von öffentlichen/privaten
Schlüsseln,
digitalen Zertifikaten und digitalen Signaturen. Ein Paar von öffentlichen/privaten
Schlüsseln
besteht aus einem öffentlichen
Schlüssel,
der in einer Datenbank der Zertifizierungs-Stelle geführt wird
und der jedem bekannt ist, und einem privaten Schlüssel, der
mit dem öffentlichen
Schlüssel
verbunden und nur dem Benutzer bekannt ist. Ein digitales Zertifikat
ist ein Objekt, das den öffentlichen
Schlüssel
und eine Benutzerkennung enthält.
Das Paar von öffentlichen/privaten
Schlüsseln
und das digitale Zertifikat werden einem Benutzer von einer vertrauenswürdigen Stelle
zugewiesen, zum Beispiel vom Betreiber des in 1 gezeigten
Zugangsnetzes. Wenn eine Nachricht übertragen wird, kann dieser
Nachricht eine digitale Signatur hinzugefügt werden. Eine solche digitale
Signatur besteht aus einem Hash-Wert (den man erhält, wenn
man eine Hash-Funktion auf den Inhalt der Nachricht anwendet), der
unter Verwendung des privaten Schlüssels verschlüsselt ist. Die
in 3 gezeigte Anforderungs-Nachricht SIGN_REQ ist
eine solche Nachricht, die eine Anforderung vom ADSL-Modem CPNT1,
einen Label Switched Path zum Netzwerk-Zugangs-Server NAS1 aufzubauen,
die Benutzerkennung und eine digitale Signatur enthält. Die
digitale Signatur kann vom Netzwerk-Zugangs-Server NAS1 unter Verwendung
des öffentlichen
Schlüssels
entschlüsselt
werden. Der Netzwerk-Zugangs-Server ruft diesen öffentlichen Schlüssel unter
Verwendung der Kennung des Benutzers ab. Eine erfolgreiche Entschlüsselung
der in die Anforderungs-Nachricht SIGN_REQ eingebetteten digitalen
Signatur beweist die Identität
des Senders und die Integrität
der Nachricht. Bei einer erfolgreichen Ende-zu-Ende-Authentifizierung
sendet der Netzwerk-Zugangs-Server NAS1 eine Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
AUTH_S/F zum ADSL-Modem CPNT1, die anzeigt, dass die Ende-zu-Ende-Authentifizierung
erfolgreich durchgeführt
wurde und die eine Kennung des zu benutzenden Label Switched Path
enthält.
Diese Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung AUTH_S/F
ist eine LDP-(Label Distribution Protocol)-MAP-Nachricht, die vom
Zugangsmultiplexer MUX überwacht
wird, bevor sie an das ADSL-Modem CPNT1 weitergeleitet wird. Der
Zugangsmultiplexer MUX benutzt die Kennung des Label Switched Path in
der Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung AUTH_S/F,
um die Information, die vom ADSL-Modem
CPNT1 und dem Netzwerk-Zugangs-Server NAS1 gemeinsam benutzt wird,
korrekt zu vermitteln. Für
den Fall, dass die digitale Signatur in der Anforderungs-Nachricht
SIGN_REQ vom Netzwerk-Zugangs-Server NAS1 nicht erfolgreich entschlüsselt werden
kann, sendet dieser Netzwerk-Zugangs-Server eine Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung AUTH_S/F
zum ADSL-Modem CPNT1, die anzeigt, dass die Ende-zu-Ende-Authentifizierung
fehlgeschlagen ist. Diese Nachricht über die erfolgreiche/fehlgeschlagene
Authentifizierung ist eine LDP-(Label
Distribution Protocol)-Meldungs-Nachricht, die eine geeignete Typ-Kennung überträgt.Another implementation of end-to-end authentication between the ADSL modem CPNT1 and the network access server NAS1 1 is in 3 shown. This implementation is based on using a pair of public / private keys, digital certificates, and digital signatures. A pair of public / private keys consists of a public key maintained in a database of the certification authority known to each and a private key associated with the public key and known only to the user. A digital certificate is an object that contains the public key and a user ID. The pair of public / private keys and the digital certificate are assigned to a user by a trusted authority, for example, by the operator of the in 1 shown access network. When a message is transmitted, a digital signature can be added to this message. Such a digital signature consists of a hash value (obtained when a hash function is applied to the content of the message) encrypted using the private key. In the 3 Request message SIGN_REQ shown is one such message that contains a request from the ADSL modem CPNT1 to establish a label switched path to the network access server NAS1 containing the user identifier and a digital signature. The digital signature can be decrypted by the network access server NAS1 using the public key. The network access server retrieves this public key using the user's ID. Successful decryption of the digital signature embedded in the request message SIGN_REQ proves the identity of the sender and the integrity of the message. In a successful end-to-end authentication, the network access server NAS1 sends an authentication success / failed authentication AUTH_S / F message to the ADSL modem CPNT1 indicating that the end-to-end authentication was successful and contains an identifier of the Label Switched Path to use. This authentication success / failed authentication message AUTH_S / F is an LDP (Label Distribution Protocol) MAP message that is monitored by the access multiplexer MUX before being forwarded to the ADSL modem CPNT1. The access multiplexer MUX uses the identifier of the Label Switched Path in the Authentication Success / Fail Authentication AUTH_S / F message to correctly assert the information shared by the ADSL Modem CPNT1 and the Network Access Server NAS1 convey. In the event that the digital signature in the request message SIGN_REQ can not be successfully decrypted by the network access server NAS1, this network access server sends a message about the authentication success / failed authentication AUTH_S / F to the ADSL Modem CPNT1 indicating that the end-to-end authentication failed. This successful / failed authentication message is an LDP (Label Distribution Protocol) message that transmits an appropriate type identifier.
Es
wird darauf hingewiesen, dass das gerade beschriebene Ende-zu-Ende-Authentifizierungs-Verfahren
auf der Grundlage von digitalen Zertifikaten und digitalen Signaturen
sowohl für
die Authentifizierung des CPNT1 beim NAS1, als auch für die Authentifizierung
des NAS1 beim CPNT1 angewendet werden kann. Darüber hinaus kann es von den
Label Switch Routern LSR1, LSR2, LSR3 und LSR4 verwendet werden,
um die Authentizität
von Kennzeichen-Ausgabe- und Kennzeichen-Rücknahme-Nachrichten zu überprüfen.It should be noted that the just described end-to-end authentication method based on digital certificates and digital signatures can be applied both for authentication of the CPNT1 in the NAS1, and for authentication of the NAS1 in the CPNT1. In addition, it can be used by the label switch routers LSR1, LSR2, LSR3 and LSR4 can be used to verify the authenticity of license plate exit and license plate withdrawal messages.
Noch
eine andere Implementation der Ende-zu-Ende-Authentifizierung zwischen dem ADSL-Modem
und dem Netzwerk-Zugangs-Server NAS1
aus 1 wird in 4 gezeigt.
Diese Implementation ist bandbreiten-effizienter als die oben beschriebene
erste Implementation, was bedeutet, dass im Vergleich zur oben beschriebenen
Implementation die Bandbreite auf den Signalisierungs-Kanälen, die
durch Authentifizierungs-Information
belegt wird, reduziert ist. Der Grund dafür ist, dass die Challenge-Request-Nachricht
CHAL_REQ und die Challenge-Response-Nachricht CHAL_RESP zum Beispiel
unnötig Bandbreite
auf den Signalisierungs-Kanälen
belegen. Das ADSL-Modem
CPNT1 erzeugt eine Authentifizierungs-Anforderung AUTH_REQ, die
eine LDP-Nachricht ist, die einen bestimmten Inhalt m, einen Platzhalter
n und einen Nachrichten-Authentifizierungs-Code
MAC enthält.
Der Platzhalter n ist ein eindeutiger Wert, wie z.B. ein Zeitstempel,
der verhindert, dass die Nachricht abgefangen und später durch
einen Eindringling benutzt wird. Der Nachrichten-Authentifizierungs-Code MAC ist ein
Code, der den Client authentifiziert und der auf dem Inhalt m, dem
Platzhalter n und einem Geheimnis s, das vom Client und dem Dienstanbieter
gemeinsam benutzt wird, basiert. Das Geheimnis s kann zum Beispiel
ein vorkonfigurierter Geheim-Code sein. Bei Empfang der Authentifizierungs-Anforderung
AUTH_REQ erzeugt der Netzwerk-Zugangs-Server
NAS1 einen Nachrichten-Authentifizierungs-Code und vergleicht diesen
lokal erzeugten Nachrichten-Authentifizierungs-Code
mit dem Nachrichten-Authentifizierungs-Code
MAC, der in der Authentifizierungs-Anforderung AUTH_REQ enthalten ist.
Für den
lokal erzeugten Nachrichten-Authentifizierungs-Code verwendet der
Netzwerk-Zugangs-Server
NAS1 den Inhalt m der empfangenen Authentifizierungs-Anforderung
AUTH_REQ, den Platzhalter n der empfangenen Authentifizierungs-Anforderung
AUTH_REQ und das gemeinsam verwendete Geheimnis s. Wenn der lokal
erzeugte Nachrichten-Authentifizierungs-Code und der Nachrichten-Authentifizierungs-Code
MAC in der Authentifizierungs-Anforderung
AUTH_REQ übereinstimmen,
meldet der Netzwerk-Zugangs-Server
NAS1 in einer Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung AUTH_S/F
an das ADSL-Modem CPNT1, dass die Ende-zu-Ende-Authentifizierung
erfolgreich durchgeführt
wurde. Der Netzwerk-Zugangs-Server NAS1 bettet dann in die Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung AUTH_S/F
eine Kennung des zu verwendenden Label Switched Path ein. Die gerade
erwähnte
Kennung des zu verwendenden Label Switched Path wird vom Zugangsmultiplexer
MUX überwacht
und wird dabei dazu benutzt, die Information, die zwischen dem ADSL-Modem
CPNT1 und dem Netzwerk-Zugangs-Server
NAS1 übertragen
wird, korrekt zu vermitteln. Im Fall einer erfolgreichen Ende-zu-Ende-Authentifizierung
kann die Nachricht über
den Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
eine herkömmliche
LDP-(Label Distribution Protocol)-MAP-Nachricht sein. Wenn der lokal
erzeugte Nachrichten-Authentifizierungs-Code nicht mit dem Nachrichten-Authentifizierungs-Code
MAC in der Authentifizierungs-Anforderung AUTH_REQ übereinstimmt,
benachrichtigt der Netzwerk-Zugangs-Server NAS1 das ADSL-Modem CPNT1
darüber,
dass die Ende-zu-Ende-Authentifizierung fehlgeschlagen ist. In diesem
Fall wird die Nachricht über den
Authentifizierungs-Erfolg/eine fehlgeschlagene Authentifizierung
AUTH_S/F eine LDP-(Label Distribution Protocol)-Benachrichtigungs-Nachricht
mit einer geeigneten Typ-Kennung.Yet another implementation of end-to-end authentication between the ADSL modem and the network access server NAS1 1 is in 4 shown. This implementation is more bandwidth efficient than the first implementation described above, which means that compared to the implementation described above, the bandwidth on the signaling channels occupied by authentication information is reduced. The reason for this is that the challenge request message CHAL_REQ and the challenge-response message CHAL_RESP, for example, occupy unnecessarily bandwidth on the signaling channels. The ADSL modem CPNT1 generates an authentication request AUTH_REQ, which is an LDP message containing a particular content m, a wildcard n, and a message authentication code MAC. The placeholder n is a unique value, such as a timestamp, which prevents the message from being intercepted and later used by an intruder. The message authentication code MAC is a code that authenticates the client and is based on the content m, the placeholder n, and a secret s shared by the client and the service provider. For example, the secret s can be a preconfigured secret code. Upon receipt of the authentication request AUTH_REQ, the network access server NAS1 generates a message authentication code and compares this locally generated message authentication code with the message authentication code MAC included in the authentication request AUTH_REQ. For the locally generated message authentication code, the network access server NAS1 uses the content m of the received authentication request AUTH_REQ, the placeholder n of the received authentication request AUTH_REQ, and the shared secret s. If the locally generated message authentication code and the message authentication code MAC in the authentication request AUTH_REQ match, the network access server NAS1 reports AUTH_S / F to the authentication success / failed authentication NAS1 in the message ADSL modem CPNT1 that the end-to-end authentication was successful. The network access server NAS1 then embeds in the message on the authentication success / failed authentication AUTH_S / F an identifier of the label switched path to be used. The just-mentioned identifier of the label switched path to be used is monitored by the access multiplexer MUX and is thereby used to correctly convey the information transmitted between the ADSL modem CPNT1 and the network access server NAS1. In the case of a successful end-to-end authentication, the authentication success / failed authentication message may be a conventional LDP (Label Distribution Protocol) MAP message. If the locally generated message authentication code does not match the message authentication code MAC in the authentication request AUTH_REQ, the network access server NAS1 notifies the ADSL modem CPNT1 that the end-to-end authentication failed. In this case, the Authentication Success / Authentication AUTH_S / F message becomes an LDP (Label Distribution Protocol) notification message with an appropriate type identifier.
Es
wird darauf hingewiesen, dass Ausführungen der vorliegenden Erfindung
oben in Form von Funktionsblöcken
beschrieben werden. Aus dieser Funktionsbeschreibung wird es einem
Fachmann für die
Entwicklung elektronischer Geräte
und Software-Entwicklung offensichtlich sein, wie Ausführungen mit
wohlbekannten elektronischen Bauelementen und/oder Software-Modulen hergestellt
werden können.It
It should be noted that embodiments of the present invention
above in the form of function blocks
to be discribed. This functional description becomes one
Specialist for the
Development of electronic devices
and software development to be obvious, as with versions
Well-known electronic components and / or software modules manufactured
can be.
Obwohl
die Prinzipien der Erfindung oben in Zusammenhang mit einer speziellen
Vorrichtung beschrieben wurden, muss deutlich verstanden werden,
dass diese Beschreibung nur als Beispiel erfolgt und nicht als Einschränkung des
Umfanges der Erfindung.Even though
the principles of the invention above in connection with a special
Device must be clearly understood,
that this description is given by way of example only and not by way of limitation
Scope of the invention.