DE69925381T2 - Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz - Google Patents

Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz Download PDF

Info

Publication number
DE69925381T2
DE69925381T2 DE69925381T DE69925381T DE69925381T2 DE 69925381 T2 DE69925381 T2 DE 69925381T2 DE 69925381 T DE69925381 T DE 69925381T DE 69925381 T DE69925381 T DE 69925381T DE 69925381 T2 DE69925381 T2 DE 69925381T2
Authority
DE
Germany
Prior art keywords
packet
signature
router
packets
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69925381T
Other languages
English (en)
Other versions
DE69925381D1 (de
Inventor
Olivier Hersent
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NETCT X CAEN
Netcentrex
Original Assignee
NETCT X CAEN
Netcentrex
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NETCT X CAEN, Netcentrex filed Critical NETCT X CAEN
Application granted granted Critical
Publication of DE69925381D1 publication Critical patent/DE69925381D1/de
Publication of DE69925381T2 publication Critical patent/DE69925381T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Sorting Of Articles (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf Netze mit paketweiser Datenübertragung. Sie betrifft insbesondere, aber nicht ausschließlich, gemeinsam genutzte Netze, die gemäß dem Internet-Protokoll (IP) arbeiten.
  • Die Erfindung wird im Rahmen der vertraglichen Beziehungen zwischen einem Zugangsanbieter zum gemeinsam genutzten Netz und seinen Kunden eingesetzt. Der Anbieter verfügt für den Anschluss der Anlagen seiner Kunden über einen oder mehrere Konzentrationsrouter des gemeinsam genutzten Netzes. Übertragungsleitungen verbinden diesen Konzentrationsrouter mit den Zugangsschnittstellen der Anlagen der Kunden, die Schnittenstellen von Zugangsroutern privater Netze sein können.
  • Als „Polizei"-Funktionen werden hier verschiedene Verarbeitungs- oder Prüfungsvorgänge bezeichnet, die auf der Ebene einer derartigen Schnittstelle an diesen durchfließenden Datenflüssen durchgeführt werden. Als nicht einschränkend zu verstehende Beispiele können das Zählen der zwischen einer gegebenen Quellenadresse und einer gegebenen Zieladresse ausgetauschten Pakete, die Zuordnung von Prioritäten zu bestimmten Paketen, Adressumsetzungen, die selektive Zerstörung bestimmter Pakete usw. erwähnt werden.
  • Diese Polizei-Funktionen können in einen Vertragsrahmen zwischen einem Teilnehmer (Kunde) und einem Netzverwalter (Dienstanbieter) eingetragen werden. Dies kann zum Beispiel bei die Fakturierung, die Durchsatzkontrolle, die Zugriffsgenehmigungen zu bestimmten mit dem Netz verbundenen Websites, die Anwendung von Reservierungsprotokollen wie RSVP, usw. betreffenden Funktionen der Fall sein. Sie können auch im Rahmen der internen Organisation eines öffentlichen oder privaten Netzes liegen, zum Beispiel, um bestimmte Zugänge zu prüfen.
  • Üblicherweise werden die Polizei-Funktionen, die dem Vertragsrahmen zwischen dem Zugangsanbieter und seine Kunden unterliegen, auf der Ebene der Anschluss-Schnittstellen des Konzentrationsrouters eingesetzt. Dieser Router enthält Softwareprogramme zur Prüfung der Datenflüsse, die über seine verschiedenen Schnittstellen zirkulieren. Die Pakete mit bestimmten Adressen oder Ports der Herkunft oder des Ziels werden gezählt, gefiltert, neu angeordnet ..., je nach dem angebotenen Dienst. Aufgrund der hohen Anzahl von Anlagen, die mit dem Konzentrationsrouter verbunden sein können, und der Vielfalt von Diensten, die an diese Anlagen geliefert werden können, können die verschiedenen anzuwendenden Flussprüfungen die Komplexität des Routers beträchtlich erhöhen. Dieser Nachteil ist umso bedeutender, als immer unterschiedlichere Verarbeitungen von den Kunden angefordert werden oder für die neuen Reservierungsprotokolle erforderlich sind.
  • Andererseits ist diese Organisation aus Sicht des Kunden nicht flexibel, der manche Eigenschaften des ihm angebotenen Dienstes weiterentwickeln möchte. Hierzu muss er sich an seinen Anbieter wenden, damit dieser die erforderlichen Änderungen auf der Ebene seines Konzentrationsrouters durchführt.
  • Das Dokument „Router Encryption Made Easy – The Hard Way", A. Cray, DATA COMMUNICATIONS, Vol. 26, Nr. 2, 1. Februar 1997, Seite 36, 38 XP000 659573 ISSN: 0363-6399 beschreibt einen Router, der es ermöglicht, IP-Pakete selektiv zu chiffrieren.
  • Die Druckschrift GB 2 323 757 beschreibt ein Protokoll des gesicherten Tunnelns, das die Kommunikation über eine oder mehrere Firewalls mit Hilfe von dedizierten Servern oder Proxies ermöglicht.
  • Das Dokument „Security", L. Bruno, DATA COMMUNICATIONS, Vol. 27, Nr. 1, 1. Januar 1998, Seite 88, 90 XP 000733531, ISSN: 0363-6399 beschreibt ein System, das die Chiffrierung von Daten ermöglicht, die zwischen Netz-Gateways übertragen werden.
  • Das Dokument „Locking Down Intranets From Afar – For Less", J. Makris, DATA COMMUNICATIONS, Vol. 27, Nr. 11, 11. August 1998, Seiten 25, 26, XP000782253, ISSN: 0363-6399 beschreibt eine Architektur, die sich auf mehrere Firewalls stützt, um gesicherte Tunnel einzusetzen.
  • Ein Ziel der vorliegenden Erfindung ist es, einen Betriebsmodus des Netzes vorzuschlagen, der die Berücksichtigung einer großen Vielfalt von Flussprüfungen ohne übermäßige Erhöhung der Komplexität der Konzentrationsrouter erlaubt und eine relative Konfigurations-Flexibilität aufweist.
  • Die Erfindung schlägt ein Verfahren zum Transport von Paketen zwischen einer Zugangsschnittstelle einer Teilnehmeranlage und einem Konzentrationsrouter eines gemeinsam genutzten Netzes vor, bei dem die Zugangsschnittstelle im Rahmen eines Vertrags zwischen dem Teilnehmer und einem Steuerprogramm-Verwalter des gemeinsam genutzten Netzes Prüfoperationen an zum Konzentrationsrouter übertragenen Paketflüssen durchführt. Nach der Durchführung der Prüfoperationen an einem zu sendenden Paket sendet die Zugangsschnittstelle dieses Paket mit einer Signatur zum Konzentrationsrouter, die auf einem gemeinsamen Geheimnis mit dem Konzentrationsrouter beruht und authentifiziert, dass das Paket den Prüfoperationen unterzogen wurde.
  • Vorzugsweise werden der Erhalt der Signatur und zumindest bestimmte der Prüfoperationen innerhalb der gleichen integrierten Schaltung durchgeführt, ohne physischen Zugriff direkt vor dem Erhalt der Signatur.
  • Die Flussprüfungen gemäß dem Vertragsrahmen zwischen dem Netzverwalter und dem Teilnehmer sind dezentralisiert, wodurch vermieden wird, dass der Konzentrationsrouter die ganze Vielfalt der von den verschiedenen Abonnements geforderten Operationen übernehmen muss. Der Mechanismus der Signatur der Pakete garantiert dem Netzverwalter, dass der Teilnehmer, der in seinen Räumen über den Schnittstellenzugang verfügt, ihm keine Pakete sendet, die keinen Flussprüfungsoperationen unterzogen wurden, d.h. die die Polizei- und Fakturierungsfunktionen umgangen haben.
  • Das Verfahren führt zu einer verteilten Architektur des Zugangs und der Konzentration, die gut geeignet ist, um die Zunahme des Verkehrs und der Vielfalt an Diensten zu berücksichtigen, die die zukünftigen Anwendungen nach sich ziehen werden.
  • Der Teilnehmer profitiert außerdem von einer größeren Flexibilität, um die Eigenschaften seines Abonnements dynamisch definieren zu können. Es genügt, dass er auf der Ebene der Zugangsschnittstelle eingreift, über die er verfügt. Andererseits kann er die Polizei-Funktionen, die dem Vertragsrahmen mit dem Zugangsanbieter unterliegen, auf der gleichen Plattform wie die anderen Polizei-Funktionen definieren, die er für die interne Organisation seiner Anlage verwendet, was seine Organisation vereinfacht.
  • Ein weiterer Aspekt der vorliegenden Erfindung bezieht sich auf eine Zugangsschnittstelle, um einen Zugangsrouter einer Teilnehmeranlage mit einem Konzentrationsrouter eines gemeinsam genutzten Netzes zu verbinden, die Mittel zur Prüfung der im Rahmen eines Vertrags zwischen dem Teilnehmer und einem Verwalter des gemeinsam genutzten Netzes zum Konzentrationsrouter gesendeten Paketflüsse und Signaturmittel aufweist, die die von den Mitteln zur Prüfung des Paketflusses gelieferten Pakete empfangen und signierte Pakete erzeugen, die zum Konzentrationsrouter gesendet werden, wobei jedes signierte Paket eine Signatur aufweist, die auf einem gemeinsamen Geheimnis mit dem Konzentrationsrouter beruht und authentifiziert, dass das Paket den Flussprüfmitteln unterzogen wurde.
  • Weitere Besonderheiten und Vorteile der vorliegenden Erfindung gehen aus der nachfolgenden Beschreibung von nicht einschränkend zu verstehenden Ausführungsbeispielen unter Bezugnahme auf die beiliegenden Zeichnungen hervor. Es zeigen:
  • 1 ein Schaltbild eines Netzes, in dem die Erfindung eingesetzt werden kann;
  • 2 ein Funktionsschaltbild eines Zugangsrouters einer privaten Anlage ddieses Netzes;
  • 3 ein Funktionsschaltbild einer Flussverarbeitungsvorrichtung, die Teil einer Schnittstelle des Routers der 2 ist; und
  • 4 einen Graph von Elementarverarbeitungen, die von der Vorrichtung der 3 gewährleistet werden.
  • 1 zeigt ein gemeinsames Weitverkehrsnetz (WAN) 10, das eine gewisse Anzahl von miteinander verbundenen Routern und Switches 11, 12 aufweist. Hier wird der Fall betrachtet, in dem das gemeinsame Netz 10 gemäß dem IP-Protokoll arbeitet. Eine bestimmte Anzahl der Router sind Konzentrationsrouter 12, mit denen private Anlagen 13 verbunden sind.
  • Eine private Teilnehmeranlage 13 ist typischerweise mit dem gemeinsamen Netz 10 mittels eines Zugangsrouters 15 verbunden, von dem eine der Schnittstellen 16 mit einer Leitung 17 zur Übertragung vom und zum Konzentrationsrouter 12 verbunden ist. Der Zugangsrouter 15 kann mit anderen Routern der privaten Anlage 13 oder mit Servern oder Terminals 18 dieser Anlage mittels weiterer Schnittstellen verbunden sein, die nicht in 1 dargestellt sind.
  • 2 zeigt ein Beispiel einer Architektur des Zugangsrouters 15. Die externe Schnittstelle 16 sowie die Schnittstellen 20, 21 mit dem Rest der privaten Anlage 13 sind mit dem Kern des Routers verbunden, der aus einer Paketweiterleitungsmaschine 22 („Packet Forwarding Engine") besteht. Die Weiterleitungsmaschine 22 befördert die Pakete auf der Basis der Adressen- und Portfelder, die in den Köpfen der Pakete gemäß dem IP-Protokoll und seinen möglichen Erweiterungen (TCP, UDP etc.) enthalten sind, unter Zuhilfenahme von Routingtabellen von einer Schnittstelle zur anderen.
  • Manche der Schnittstellen des Zugangsrouters 15 sind nur in einer oder in beiden Übertragungsrichtungen mit Verarbeitungsvorrichtungen, oder Flussprozessoren, 24, 25 versehen, die Polizei-Funktionen gewährleisten. Im illustrierenden Beispiel der 2 gehört die Vorrichtung 24 zur externen Schnittstelle 16 in ausgehender Richtung, und die Vorrichtung 25 gehört zu einer anderen Schnittstelle 20 in eingehender Richtung.
  • Der Zugangsrouter wird von einer Steuerungseinheit 26 überwacht, die aus einem Mikrocomputer oder einer Workstation bestehen kann, die eine Routing-Software ausführt, die insbesondere dazu dient, die Routingtabelle der Weiterleitungsmaschine 22 und die Flussprozessoren 24, 25 zu konfigurieren und mit ihnen Prüf- oder Protokollinformationen auszutauschen. Diese Befehle und Austauschvorgänge erfolgen über eine geeignete Anwendungsprogrammierungs-Schnittstelle (API).
  • Die meisten existierenden Paket-Routing- und Weiterleitungs-Softwareprogramme sind frei verfügbar in Unix-Umgebungen, aber ihre Leistungsfähigkeit ist üblicherweise aufgrund der häufigen Unterbrechungen des Betriebssystems begrenzt. Es ist sehr viel schneller, ein Echtzeit-Betriebssystem wie VxWorks zu verwenden, aber dies verkompliziert die Implementation der Routing-Software.
  • Es ist die Aufgabe der Flussprozessoren 24, 25, das Nicht-Echtzeit-Betriebssystem (wie Unix), auf dessen Basis die Steuerungseinheit 26 arbeitet, bei den komplexen Prozessen der Manipulation der Flüsse zu unterstützen, die Echtzeit-Leistungen erfordern (Weiterleitung, Filterung, Chiffrierung etc.). Diese Prozessoren verwenden eine gewisse Anzahl von Werkzeugen zur Manipulation der Flüsse, die entsprechend jeder beliebigen Kombination dynamisch verbunden sein können, um die geforderte Task auszuführen. Diese Konfiguration kann über das Betriebssystem Unix durch Aufrufen der API-Funktionen durchgeführt werden, was das Einsetzen neuer Funktionalitäten durch den Programmierer wesentlich vereinfacht.
  • Wie schematisch in 1 dargestellt, besteht eine der vom Flussprozessor 24 der externen Schnittstelle 16 des Zugangsrouters 15 durchgeführten Prozesse darin, jedes Paket zu einem Konzentrationsrouter 12 zu senden, wobei er dem Paket eine numerische Signatur hinzugefügt (Block 40). Diese Signatur bezeugt, dass die fraglichen Pakete den anderen Flussprüfungsoperationen (Block 39) unterzogen wurden, die vom Prozessor 24 durchgeführt werden.
  • Die entsprechende Schnittstelle 28 des Konzentrationsrouters 12 weist einen Modul zur Analyse der über die Leitung 17 empfangenen Pakete auf, um sich vom Vorhandensein der Signatur zu überzeugen.
  • Diese Signaturtechnik ermöglicht es vorteilhafterweise, die Flussprüfungsoperationen zu dezentralisieren, die für die Vertragsbeziehungen zwischen dem Verwalter des Konzentrationsrouters 12, der den Anschlussdienst zum gemeinsamen Netz 10 liefert, und den Teilnehmern notwendig sind, deren Anlagen 13 mit diesem Konzentrationsrouter 12 verbunden sind. In den herkömmlichen Ausführungsformen werden diese Flussprüfungsoperationen auf der Ebene des Konzentrationsrouters durchgeführt. Daraus entsteht eine beträchtliche Komplexität des Konzentrationsrouters, wenn er mit einer größeren Anzahl von privaten Anlagen verbunden ist, und ein Mangel an Flexibilität für die Teilnehmer, wenn Änderungen erforderlich sind.
  • Die Tatsache, dass diese Flussprüfungsoperationen in Höhe der Zugangsrouter 15 durchgeführt werden, bringt in dieser Hinsicht eine große Flexibilität. Die Signatur der Pakete garantiert dann dem Dienstanbieter, dass die Leitung 17 ihm keine gültigen Pakete schickt, die außerhalb des Vertragsrahmens mit dem Teilnehmer liegen. Wenn ein solches Paket ankommen würde, würde es die Schnittstelle 28 des Konzentrationsrouters 12 einfach eliminieren, nachdem sie die Abwesenheit der entsprechenden Signatur festgestellt hat.
  • Es können verschiedene herkömmliche Methoden verwendet werden, um die Signatur der Pakete auf der Basis eines den Routern 12 und 15 gemeinsamen Geheimnisses zu konstruieren und zu analysieren. Die Signatur kann insbesondere die Form eines Codeworts haben, das zum Inhalt des Pakets hinzugefügt und auf der Basis des ganzen oder eines Teils dieses Inhalts und eines geheimen Schlüssels berechnet wird, wobei die Berechnung mit Hilfe einer Funktion durchgeführt wird, die äußerst schwierig invertierbar ist, um den Geheimschlüssel wiederzugewinnen. Man kann so eine Technik des Zerhackens des Inhalts oder nur eines Teils des Inhalts des Pakets verwenden, zum Beispiel ein MD5-Zerhacken (siehe R. Rivest, RFC 1231, „The MD5 Message Digest Algorithm").
  • Man kann auch eine Chiffriermethode verwenden, um die Signatur der Pakete zu bilden. Der Inhalt des Pakets wird dann mit Hilfe eines privaten Schlüssels chiffriert, wobei die Schnittstelle 28 des Konzentrationsrouters die entsprechende Dechiffrierung mit Hilfe eines öffentlichen oder privaten Schlüssels gewährleistet. Die nicht chiffrierten oder mit einem falschen Schlüssel chiffrierten Pakete werden dann auf der Ebene der Schnittstelle 28 zerstört.
  • Optional kann man vorsehen, dass die Schnittstelle 28 des Konzentrationsrouters ebenfalls die Pakete signiert, die sie auf der Leitung 17 sendet, und dass die Schnittstelle 16 des Zugangsrouters diese Signatur überprüft, um die Gültigkeit der empfangenen Pakete sicherzustellen.
  • 3 zeigt die Organisation eines Flussprozessors 24 oder 25 einer Schnittstelle des Zugangsrouters 15.
  • Der Flussprozessor empfängt eine Folge von eingehenden Paketen 30, die je einen Kopf 31 entsprechend dem IP-Protokoll aufweisen, und liefert eine Folge von ausgehenden Paketen 32 mit einem Kopf 33, nachdem er bestimmte Elementarverarbeitungen durchgeführt hat, deren Art von den betreffenden Datenflüssen abhängt.
  • Die eingehenden Pakete 30 werden in einem Paketspeicher 35 eingeordnet, der als Stapelspeicher vom Typ First-In-First-Out (FIFO) organisiert ist. Jedes Paket wird an den Speicher 35 mit einem Verarbeitungs-Kennsatz 36 geliefert. Der Verarbeitungs-Kennsatz hat zu Anfang einen bestimmten Wert (0 im dargestellten Beispiel) für die eingehenden Pakete 30.
  • Der Flussprozessor wird von einer Einheit 37 überwacht, die mit einer Tabelle 38 zusammenwirkt, die es ermöglicht, jedem Wert des Verarbeitungs-Kennsatzes einen besonderen Verarbeitungsmodul zuzuordnen. Im in 3 dargestellten, vereinfachten Beispiel weist der Flussprozessor eine Gruppe von fünf Verarbeitungsmodulen M1–M5 auf, die Elementarverarbeitungen unterschiedlicher Art durchführen.
  • Nach der Ausführung einer Elementarverarbeitung fragt die Überwachungseinheit 37 den Paketspeicher 35 ab. Wenn dieser nicht leer ist, wird gemäß der FIFO-Organisation ein Paket daraus entnommen. Die Überwachungseinheit 37 fragt die Tabelle 38 ab, um zu bestimmen, welches Verarbeitungsmodul dem Kennsatz dieses Pakets entspricht. Die Einheit 37 aktiviert dann das betreffende Modul, damit dieses entsprechende Elementarverarbeitung durchführt. In manchen Fällen kann diese Elementarverarbeitung eine Veränderung des Paketinhalts nach sich ziehen, insbesondere seines Kopfes.
  • Es ist klar, dass die „Entnahme" des Pakets, auf die Bezug genommen wird, eine Entnahme aus dem FIFO-Speicher im logischen Sinn ist. Das Paket wird nicht unbedingt aus dem Speicher entfernt. Die Adressen der Pakete im Speicher 35 können üblicherweise mittels Pointern verwaltet werden, um die FIFO-Organisation zu berücksichtigen. Der aktivierte Verarbeitungsmodul kann einfach über die Adresse des laufenden Pakets verfügen, um die Lesevorgänge, Analysen, Veränderungen oder Unterdrückungen durchzuführen, die ggf. erforderlich sind.
  • Der erste Verarbeitungsmodul M1, dem der Ursprungs-Kennsatz 0 zugeordnet ist, ist ein Filtermodul, das die Adressen- und/oder Protokolldefinitions- und/oder Portfelder des IP-Kopfes der Pakete analysiert. Mit Hilfe einer Zuordnungstabelle T1 liefert der Filtermodul M1 einen zweiten Verarbeitungs-Kennsatz, der eine Verkettung von Elementarverarbeitungen identifiziert, die anschließend am Paket durchgeführt werden müssen. Nachdem der zweite Verarbeitungs-Kennsatz für das aus dem Speicher 35 entnommene Paket bestimmt wurde, speichert das Filtermodul M1 das Paket mit dem zweiten Verarbeitungs-Kennsatz erneut im Speicher 35. Die folgende Elementarverarbeitung wird dann in dem Moment durchgeführt, in dem das Paket erneut aus dem Speicher entnommen wird.
  • Das Modul M2 ist ein Modul, um Pakete, die zu bestimmten Flüssen gehören, zu zählen. Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird dieser Modul M2 für die Verarbeitungs-Kennsätze 2 und 4 aufgerufen. Wenn er ein Paket verarbeitet, inkrementiert das Modul M2 einen Zähler mit der Anzahl von Bytes des Pakets, oder andernfalls mit dem Wert 1 im Fall eines Paketzählers. Der Zähler kann gesichert sein, insbesondere, wenn er zur Fakturierung an den Teilnehmer durch den Verwalter des Netzes 10 dient. Bei einem gesicherten Zähler werden beim Zugangsanbieter regelmäßig Übertragungskredite angefordert, wobei die relevanten Pakete zerstört werden, wenn der Kredit erschöpft ist.
  • Das Modul M3 der 3 ist ein Prioritätenverwaltungsmodul. Im Fall der in 3 dargestellten Zuordnungstabelle 38 wird dieser Modul M3 für den Verarbeitungs-Kennsatz 3 aufgerufen. Das Modul M3 bearbeitet das Feld TOS („Type Of Service") des IP-Kopfes der Pakete. Der TOS wird im Netz zur Verwaltung der Weiterleitungsprioritäten verwendet, um auf bestimmten Verbindungen eine bestimmte Dienstqualität zu liefern. Das Feld TOS kann gemäß vorher gespeicherten Tabellen verändert werden. Diese Tabellen können unter der Kontrolle des Zugangsanbieters definiert werden, um zu verhindern, dass Pakete in ungeeigneter Weise mit einer hohen Priorität übertragen werden, wodurch das Netz gestört werden könnte.
  • Die zuletzt an einem Paket des Speichers 35 durchgeführte Elementarverarbeitung ist entweder seine Zerstörung (Modul M4 aktiviert durch den Kennsatz 8), oder seine Rückführung zum Ausgang des Flussprozessors (Modul M5 aktiviert durch den Kennsatz 5 oder 9). Das Modul M4 kann verwendet werden, um Pakete zu zerstören, die ein bestimmtes Ziel und/oder einen bestimmten Ursprung haben.
  • Die Module M2 und M3, die nicht die für ein Paket zu gewährleistenden Verarbeitungen beenden (außer im Fall der Zerstörung), arbeiten je mit einer Kennsatz-Übersetzungstabelle T2, T3. Diese Übersetzungstabelle bezeichnet für den aus dem Speicher 35 mit dem laufenden Paket entnommenen Verarbeitungs-Kennsatz einen anderen Verarbeitungs-Kennsatz, der die folgende zu gewährleistende Elementarverarbeitung bezeichnet. Die von diesem Modul M2 oder M3 gewährleistete Elementarverarbeitung endet durch die Zuordnung des Pakets zu diesem anderen Verarbeitungs-Kennsatz und die Wiedereinspeisung des so verarbeiteten Pakets in den Speicher 35.
  • So kann man sehr unterschiedliche Verarbeitungskombinationen an den verschiedenen den Prozessor durchfließenden Datenflüssen durchführen.
  • 4 zeigt ein vereinfachtes Beispiel, das den in 3 dargestellten Tabellen 38, T1–T3 entspricht. Das eingehende Paket 30, das dem ersten Kennsatz 0 zugeordnet ist, wird zunächst der vom Modul M1 durchgeführten Filterung unterzogen.
  • Im einem besonders betrachteten Fall zählt der Flussprozessor 24 die von einer Quellenadresse AS1 zu einer Zieladresse AD1 und einem Port P1 gesendeten Pakete und verändert das Feld TOS dieser Pakete, ehe er sie über die Leitung 17 ausliefert, was dem oberen Zweig des Graphs der 4 entspricht. Darüber hinaus zählt der Flussprozessor 24 die von einer Quellenadresse AS2 zu einem Port P2 kommenden Pakete, ehe er sie zerstört, was dem unteren Zweig der 4 entspricht. Die anderen Pakete werden einfach an die Leitung 17 geliefert. Der Vorgabewert (9) des Verarbeitungs-Kennsatzes, der vom Modul M1 zurückgeschickt wird, bezeichnet also einfach den Ausgangsmodul M5. Wenn der Modul M1 im aus dem Speicher 35 entnommenen Paket die Kombination AS1, AD1, P1 in den zutreffenden Adressen- und Portfeldern erfasst, schickt er das Paket mit dem Verarbeitungs-Kennsatz 2 zurück. Wenn die Werte AS2, P2 in den Adressen- und Portfeldern erfasst werden, ist es der Kennsatz 4, der mit dem Paket zurückgeschickt wird.
  • Diese Kennsätze 2 und 4 entsprechen beide dem Zählmodul M2. Der Kennsatz zeigt für diesen Modul auch die Speicheradresse des Zählers an, der inkrementiert werden muss. Die Tabelle T2, mit der das Modul M2 arbeitet, ermöglicht es am Ende der Verarbeitung, die Rückkehr zum nächsten zu aktivierenden Modul durchzuführen (M3 bezeichnet mit Kennsatz 3 die Pakete, deren TOS verändert werden muss, M4 bezeichnet mit Kennsatz 8 die zu zerstörenden Pakete).
  • Der Modul M3 empfängt Pakete mit dem Verarbeitungs-Kennsatz 3 und schickt sie mit dem Kennsatz 9 zurück, nachdem er die erforderliche Veränderung des Felds TOS durchgeführt hat.
  • Ausgehend von diesem vereinfachten Beispiel sieht man, dass der Flussprozessor es ermöglicht, ausgehend von der Identifikation eines Flusses durch den Filtermodul M1, verschiedene Kombinationen von Elementarverarbeitungen auf relativ einfache und schnelle Weise durchzuführen.
  • Ein Hauptvorteil dieser Vorgehensweise ist die Flexibilität der Konfigurationsoperationen des Flussprozessors. Die Tabellen 38, T1–T3, die einen beliebigen Graph von Elementarverarbeitungen definieren, wie derjenige, der in 4 dargestellt ist, können relativ einfach und mit einem geringen Echtzeitzwang mittels der Verwaltungseinheit 36 über die API konstruiert werden. Gleiches gilt für die Informationen, die es den Modulen M1–M5 erlauben, ihre Elementarverarbeitungen durchzuführen (Beschreibung der durch den Modul M2 durchzuführenden Zählvorgänge, Art der Änderung der Felder TOS durch den Modul M3, ... ).
  • In der Praxis kann der Flussprozessor verschiedene andere Verarbeitungsmodule als diejenigen aufweisen, die als Beispiel in den 3 und 4 dargestellt sind, je nach den Bedürfnissen der besonderen Anlage (zum Beispiel Verwaltungsmodul der Ausgangswarteschlangen, Adressumsetzungsmodul, ...).
  • Die oben beschriebene Signaturfunktion der gesendeten Pakete kann Teil der Elementarverarbeitung sein, die vom Ausgangsmodul M5 gewährleistet wird. In einer typischen Ausführung des Zugangsrouters ist der Flussprozessor 24 in einer integrierten Schaltung für eine spezifische Anwendung (ASIC) enthalten, die um einen Mikrocontrollerkern herum organisiert ist. Diese Ausführung ermöglicht es, dass es keinerlei physikalischen Zugang zwischen den Flussprüfungsmodulen 39 (zumindest denen, die die Beziehungen zwischen dem Teilnehmer und dem Verwalter des Netzes 10 betreffen) und dem Modul M5 gibt, der die Signatur der Pakete übernimmt, entsprechend dem Block 40 der 1. Dies verbessert die Sicherheit der Verbindung aus der Sicht des Netzverwalters.

Claims (10)

  1. Verfahren zum Transport von Paketen zwischen einer Zugangsschnittstelle (16) einer Teilnehmeranlage (13) und einem Konzentrationsrouter (12) eines gemeinsam genutzten Netzes (10), dadurch gekennzeichnet, dass die Zugangsschnittstelle im Rahmen eines Vertrags zwischen dem Teilnehmer und einem Betreiber des gemeinsam genutzten Netzes Prüfoperationen an zum Konzentrationsrouter übertragenen Paketflüssen durchführt, und dass nach der Durchführung der Prüfoperationen an einem zu sendenden Paket die Zugangsschnittstelle dieses Paket mit einer Signatur zum Konzentrationsrouter sendet, die auf einem gemeinsamen Geheimnis mit dem Konzentrationsrouter beruht und authentifiziert, dass das Paket den Prüfoperationen unterzogen wurde.
  2. Verfahren nach Anspruch 1, bei dem die Signatur aus einem zum Inhalt des Pakets hinzugefügten Codewort besteht.
  3. Verfahren nach Anspruch 2, bei dem das Codewort durch eine Technik des Zerhackens zumindest eines Teils des Inhalts des Pakets berechnet wird, die das gemeinsame Geheimnis einsetzt.
  4. Verfahren nach Anspruch 1, bei dem die Signatur aus einer Verschlüsselung des Inhalts des Pakets mit Hilfe eines privaten Schlüssels besteht, der das gemeinsame Geheimnis bildet.
  5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem der Erhalt der Signatur und zumindest bestimmte Prüfoperationen innerhalb der gleichen integrierten Schaltung bewirkt werden, ohne physischen Zugriff direkt vor dem Erhalt der Signatur.
  6. Zugangsschnittstelle, um einen Zugangsrouter (15) einer Teilnehmeranlage (13) mit einem Konzentrationsrouter (12) eines gemeinsam genutzten Netzes (10) zu verbinden, dadurch gekennzeichnet, dass sie Mittel (39) zur Prüfung des zum Konzentrationsrouter gesendeten Paketflusses im Rahmen eines Vertrags zwischen dem Teilnehmer und einem Betreiber des gemeinsam genutzten Netzes und Signaturmittel (40) aufweist, die die von den Mitteln zur Prüfung des Paketflusses gelieferten Pakete empfangen und signierte Pakete erzeugen, die zum Konzentrationsrouter gesendet werden, wobei jedes signierte Paket eine Signatur aufweist, die auf einem gemeinsamen Geheimnis mit dem Konzentrationsrouter beruht und authentifiziert, dass das Paket den Flussprüfmitteln unterzogen wurde.
  7. Schnittstelle nach Anspruch 6, bei der die Signatur aus einem zum Inhalt des Pakets hinzugefügten Codewort besteht.
  8. Schnittstelle nach Anspruch 7, bei der das Codewort von den Signaturmitteln (40) durch eine Technik des Zerhackens zumindest eines Teils des Inhalts des Pakets berechnet wird, wobei das gemeinsame Geheimnis eingesetzt wird.
  9. Schnittstelle nach Anspruch 6, bei der die Signatur aus einer Verschlüsselung des Inhalts des Pakets mit Hilfe eines privaten Schlüssels besteht, der das gemeinsame Geheimnis bildet.
  10. Schnittstelle nach einem der Ansprüche 6 bis 9, bei der die Signaturmittel (40) und zumindest ein Teil der Flussprüfmittel (39) Teil der gleichen integrierten Schaltung sind, ohne physischen Zugriff zwischen den Flussprüfmitteln und den Signaturmitteln.
DE69925381T 1998-12-14 1999-12-10 Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz Expired - Lifetime DE69925381T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9815756 1998-12-14
FR9815756A FR2787265B1 (fr) 1998-12-14 1998-12-14 Procede de transport de paquets entre une interface d'acces d'une installation d'abonne et un reseau partage, et interface d'acces mettant en oeuvre un tel procede
PCT/FR1999/003097 WO2000036778A2 (fr) 1998-12-14 1999-12-10 Procede de transport de paquets entre une interface d'acces et un reseau partage

Publications (2)

Publication Number Publication Date
DE69925381D1 DE69925381D1 (de) 2005-06-23
DE69925381T2 true DE69925381T2 (de) 2006-05-04

Family

ID=9533938

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69925381T Expired - Lifetime DE69925381T2 (de) 1998-12-14 1999-12-10 Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz

Country Status (8)

Country Link
US (1) US7409541B1 (de)
EP (1) EP1142261B1 (de)
AT (1) ATE296013T1 (de)
CA (1) CA2357896A1 (de)
DE (1) DE69925381T2 (de)
ES (1) ES2243084T3 (de)
FR (1) FR2787265B1 (de)
WO (1) WO2000036778A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014017528A1 (de) * 2014-11-26 2016-06-02 Giesecke & Devrient Gmbh Signaturerstellung

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010063308A1 (en) * 2008-12-01 2010-06-10 Nokia Corporation Scalable message authentication framework

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870474A (en) * 1995-12-04 1999-02-09 Scientific-Atlanta, Inc. Method and apparatus for providing conditional access in connection-oriented, interactive networks with a multiplicity of service providers
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
US5455865A (en) * 1989-05-09 1995-10-03 Digital Equipment Corporation Robust packet routing over a distributed network containing malicious failures
JP2782973B2 (ja) * 1991-04-10 1998-08-06 株式会社日立製作所 パケット網における流量監視方法及びシステム
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5623492A (en) * 1995-03-24 1997-04-22 U S West Technologies, Inc. Methods and systems for managing bandwidth resources in a fast packet switching network
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
US5726660A (en) * 1995-12-01 1998-03-10 Purdy; Peter K. Personal data collection and reporting system
SG67354A1 (en) * 1996-06-27 1999-09-21 Inst Of Systems Science Nation Computationally efficient method for trusted and dynamic digital objects dissemination
US6067620A (en) * 1996-07-30 2000-05-23 Holden; James M. Stand alone security device for computer networks
US5892904A (en) * 1996-12-06 1999-04-06 Microsoft Corporation Code certification for network transmission
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6289451B1 (en) * 1997-04-18 2001-09-11 Sun Microsystems, Inc. System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection
FI104667B (fi) * 1997-07-14 2000-04-14 Nokia Networks Oy Liittymäpalvelun toteuttaminen
US6119228A (en) * 1997-08-22 2000-09-12 Compaq Computer Corporation Method for securely communicating remote control commands in a computer network
US6230271B1 (en) * 1998-01-20 2001-05-08 Pilot Network Services, Inc. Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration
US6073242A (en) * 1998-03-19 2000-06-06 Agorics, Inc. Electronic authority server
US6389532B1 (en) * 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
CA2337035C (en) * 1998-07-13 2004-10-26 International Business Machines Corporation Method of transmitting information data from a sender to a receiver via a transcoder, method of transcoding information data, method for receiving transcoded information data, sender, transcoder and receiver
US6038322A (en) * 1998-10-20 2000-03-14 Cisco Technology, Inc. Group key distribution
US6370629B1 (en) * 1998-10-29 2002-04-09 Datum, Inc. Controlling access to stored information based on geographical location and date and time
US6466976B1 (en) * 1998-12-03 2002-10-15 Nortel Networks Limited System and method for providing desired service policies to subscribers accessing the internet
US7099916B1 (en) * 2000-01-06 2006-08-29 International Business Machines Corporation System and method for downloading a virus-free file certificate from a file server
JP2002077274A (ja) * 2000-08-31 2002-03-15 Toshiba Corp ホームゲートウェイ装置、アクセスサーバ装置及び通信方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014017528A1 (de) * 2014-11-26 2016-06-02 Giesecke & Devrient Gmbh Signaturerstellung

Also Published As

Publication number Publication date
CA2357896A1 (fr) 2000-06-22
EP1142261A2 (de) 2001-10-10
WO2000036778A2 (fr) 2000-06-22
FR2787265A1 (fr) 2000-06-16
WO2000036778A3 (fr) 2001-02-22
DE69925381D1 (de) 2005-06-23
ES2243084T3 (es) 2005-11-16
US7409541B1 (en) 2008-08-05
ATE296013T1 (de) 2005-06-15
FR2787265B1 (fr) 2001-02-16
EP1142261B1 (de) 2005-05-18

Similar Documents

Publication Publication Date Title
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE69327576T2 (de) Paralleles Rechnersystem
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69425038T2 (de) Rechnernetzwerksicherheitsverfahren
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE602005006070T2 (de) Interner Lastausgleich in einem Datenschalter mit verteiltem Netzwerkprozess
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE69333852T2 (de) Verfahren, Gerät und Anordnung zur Verschlüsselung von Daten die über verbundene Netze übertragen werden
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60029879T2 (de) System zur mehrschichtigen Bereitstellung in Computernetzwerken
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
DE60121755T2 (de) Ipsec-verarbeitung
DE60133241T2 (de) Mehranwendung-sicherheitsrelais
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE69828600T2 (de) Steuerung in einem datenzugriffsübertragungsdienst
DE69926599T2 (de) Verfahren und Vorrichtung zur Reglementierung des Datenverkehrs
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
DE69925380T2 (de) Vorrichtung und verfahren zur verarbeitung einer paketsequenz
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
DE602005006127T2 (de) Sicheres Kommunikationsverfahren- und gerät zur Verarbeitung von SEND-Datenpaketen
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
DE69925381T2 (de) Verfahren zum transport von paketen von einer zugangsschnittstelle zu einem geteilten netz
EP1430685B1 (de) Verfahren zur übertragung von daten in einem paketorientierten datennetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition