DE10151277A1

DE10151277A1 - Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver

Info

Publication number: DE10151277A1
Application number: DE10151277A
Authority: DE
Inventors: Robert A Patzer; Lidong Cheng
Original assignee: Motorola Inc
Current assignee: Motorola Solutions Inc
Priority date: 2000-10-23
Filing date: 2001-10-22
Publication date: 2002-06-13
Also published as: GB2371957B; JP2002197064A; GB0125301D0; US6732270B1; GB2371957A

Abstract

Ein Verfahren zur Authentifizierung zwischen Servern in einem Drei-Parteien-Netzwerk-Protokollnetzwerk (14), das als erstes Bereitstellen mindestens eines Netzwerkzugriffservers (NAS) (18) in Kommunikation mit mindestens einem Benutzer (12) des Netzwerks und des weiteren in Kommunikation mit mindestens einem entfernten Authentifizierungsserver (RAS) (20), der an das Netzwerk gekoppelt ist, umfasst. Eine Zugriffsanfragenachricht, die ein vom Benutzer an den NAS gesendetes (32) Benutzerpasswort umfasst. Der NAS verschlüsselt (34) das Passwort mit einem von dem NAS und dem RAS gemeinsam benutzten Geheimnis. Der NAS hängt (36) daraufhin einen Nachrichtenauthentifizierungskode (MAC) unter Verwendung des gemeinsam benutzten Geheimnisses an das verschlüsselte Passwort an. Das verschlüsselte Passwort und MAC werden dann an den RAS gesendet (38). Der RAS authentifiziert (40) als erstes den NAS durch Verifizierung des MAC, bevor das verschlüsselte Benutzerpasswort entschlüsselt wird (46).

Description

Feld der Erfindung

Die gegenwärtige Erfindung betrifft allgemein ein Kommunikationsnetzwerk, und genauer ein Verfahren zur Authenfifizierung zwischen Servern innerhalb des Netzwerks.

Hintergrund der Erfindung

In einem konventionellen Drei-Parteinen Netzwerkprotokoll greift ein Benutzer, der sich entfernt von einem Netzwerk befindet, auf das Netzwerk zu, indem er eine Anwahlverbindung ("dial-up connection") über einen Netzwerkzugriffserver verwendet. Der Netzwerkzugriffserver übermittelt dann gesicherte Daten an einen Sicherheitsserver oder Authentifizierungsserver bevor der Benutzer Zugriff auf das Netzwerk erhält. Der Netzwerkzugriffserver tritt als Klient ("client") für den Authentifizierungsserver auf und gibt Identifikationsinformation von dem Benutzer an den Sicherheitsserver immer wenn die Identifikationsinformation durch eine Antwort auf eine zufällige Herausforderung repräsentiert wird mit oder ohne Verschlüsselung weiter. In einer typischen Ausführung entschlüsselt der Sicherheitsserver die verschlüsselte Benutzeridentifikationsinformation oder überprüft die Benutzerantwort und verifiziert den Benutzer unter Verwendung eines solchen Protokolls. Eine Zugriffs-Annahme oder Zugriffsherausforderungsnachricht wird mittels dem Netzwerkzugriffserver an den Benutzer zurückgeschickt, falls die Identifikationsinformation erkannt oder autorisiert wird. Eine Zugriff- Zurückweisungsnachricht wird zurückgegeben, falls die Identifikationsinformation nicht erkannt wird.

Das konventionelle Vertrauensmodell eines derartigen Drei-Parteien Protokollsystems besteht darin, dem Netzwerkzugriffserver zu vertrauen, wobei der Netzwerkzugriffserver sich nicht mit dem Netzwerkauthentifizierungsserver authentifiziert. Wenn der Authentifizierungsserver eine Zugriff-Anfragenachricht vom Netzwerkzugriffserver erhält, entschlüsselt oder überprüft er sofort das Passwort oder andere Identifikationsdaten des Benutzers und verifiziert den Benutzer. Es findet keine Verifikation des Netzwerkzugriffservers statt.

Der Netzwerkzugriffserver und der Authentifizierungsserver benutzen in einem derartigen Drei-Parteien Netzwerkprotokoll typischer Weise gemeinsam einen Geheimniswert ("share a secret value between them"). Wenn der Netzwerkzugriffserver die Identifikationsinformation des Benutzers verschlüsselt, wird ein Netzwerkzugriffserver diese mit dem gemeinsam benutzten Geheimniswert verschlüsseln und die verschlüsselte Information an den Authentifizierungsserver senden. Wenn der Sicherheitsserver die Information erhält, entschlüsselt der Server automatisch oder überprüft anderenfalls die Daten unter Verwendung des gemeinsam benutzten Geheimnisses, unter der Annahme, dass es sich um einen autorisierten Netzwerkzugriffserver handelt. Jedoch können in einer derartigen Treue-Anordnung ("trust arrangement") eine Anzahl unterschiedlicher Situationen auftreten, die vom Netzwerk nicht unterschieden werden können. Ein Authentifizierungsserver in einem derartigen Drei-Parteien Protokollnetzwerk kann nicht zwischen den mehreren folgenden unterschiedlichen Fällen unterscheiden, die stattdessen dem Authentifizierungsserver als essentiell gleich erscheinen: (1) ein autorisierter Netzwerkzugriffserver verschlüsselt ein ungültiges Passwort von einem illegalen Benutzer korrekter Weise und leitet es an den Authentifizierungsserver weiter; (2) ein Mogel- oder Betrugsnetzwerkzugriffserver ("cheating or imposter network access server") verschlüsselt ein gültiges Passwort von einem gültigen Benutzer korrekter Weise, wie durch Verwendung eines ungültigen gemeinsam benutzten Geheimniswerts, und leitet es an den Authentifizierungsserver weiter; und (3) ein Betrugsnetzwerkzugriffserver verschlüsselt ein ungültiges Passwort von einem illegalen Benutzer unkorrekter Weise, vielleicht durch Verwendung eines ungültigen gemeinsam benutzten Geheimniswerts, und leitet es an den Authentifizierungsserver weiter.

Der Authentifizierungsserver wird die verschlüsselte Information vom Benutzer entsprechend einer Liste mit autorisierten Benutzern und Passworten verifizieren. Jedoch kann in einem derartigen Netzwerk der Authentifizierungsserver nicht zwischen diesen drei Fällen unterscheiden. In jedem Fall wird der Server versuchen, die Daten unter Verwendung des gemeinsam benutzten Geheimniswerts zu entschlüsseln. Im ersten Fall wird der Authentifizierungsserver korrekt feststellen, dass der Benutzer ungültig ist, weil er das verschlüsselte Passwort nicht erkennen wird. Im zweiten Fall wird der Server nach der Entschlüsselung der Information Müll produziert haben, weil sie nicht unter Verwendung der richtigen gemeinsam benutzten Information verschlüsselt wurde. Jedoch wird der Server nach Nichterkennung des Passwortes noch immer nur feststellen, dass der Benutzer ein illegaler Benutzer ist. Der Server wird nicht den Betrugsnetzwerkzugriffserver erkennen und wird nicht den gültigen Benutzer erkennen. Genauso wird auch im dritten Fall der Server nur Müll erhalten und wird feststellen, dass nur der Benutzer illegal ist, nicht erkennend, dass auch der Netzwerkzugriffserver ein Betrüger ist. Es ist daher ein Problem, wo ein unehrlicher oder Betrugsnetzwerkzugriffserver auf den Sicherheitsserver zuzugreifen versucht.

Daher besteht ein Bedarf nach einem Verfahren zur Authentifizierung eines Netzwerkzugriffservers in einem derartigen Drei-Parteien Netzwerkprotokoll bei einem Sicherheitsserver bevor der Sicherheitsserver dem Betrugsklientenserver Netzwerkzugriffsinformation gibt.

Kurzbeschreibung der Zeichnungen

Fig. 1 zeigt ein Blockdiagramm eines Teils eines Kommunikationsnetzwerks und mehrere Kommunikationsverbindungen zur Verwendung gemäß der Lehre der gegenwärtigen Erfindung.

Fig. 2 zeigt ein Flussdiagramm eines Prozesses zur Authentifizierung eines Netzwerkzugriffservers bei einem entfernten Authentifizierungsserver des in Fig. 1 gezeigten Kommunikationsnetzwerks.

Fig. 3 zeigt eine schematische Darstellung des in Fig. 1 gezeigten Kommunikationsnetzwerks, wobei der Netzwerkzugriffserver vom entfernten Server als ein unautorisierter Server abgelehnt wurde.

Fig. 4 zeigt eine schematische Darstellung des in Fig. 1 gezeigten Kommunikationsnetzwerks, wobei der Netzwerkzugriffserver vom entfernten Server als ein autorisierter Server angenommen wurde.

Detaillierte Beschreibung der bevorzugten Ausführungsform

Die Erfindung betrifft allgemein ein Verfahren zur Authentifizierung oder Verifizierung eines Klientenservers in einem Drei-Parteien Kommunikationsnetzwerkprotokoll. In einem derartigen Netzwerk übersendet ein entfernter Benutzer typischer Weise eine Zugriffs- Anfragenachricht an einen Netzwerkzugriffserver (NAS) oder Klienten des Netzwerks mittels einer Einwahlverbindung. Der NAS wird dann die Benutzeranfrageinformation einschließlich des Passworts verschlüsseln und wird bei Verschlüsselung des Passworts einen gemeinsam benutzten Geheimniswert s verwenden. Das verschlüsselte Passwort und Zugriffs-Anfrage wird dann mittels dem NAS an einen entfernten Authentifizierungsserver (RAS) gesendet, der das Passwort sofort entschlüsselt und die Benutzerinformation verifiziert. Die Erfindung betrifft ein Verfahren zur Authentifizierung des NAS bei dem RAS bevor das Benutzerpasswort entschlüsselt wird. Das erfindungsgemäße Verfahren ermöglicht daher dem RAS zwischen einem legalen und einem illegalen Benutzer zu unterscheiden und auch zwischen einem ehrlichen NAS und einem Betrugs-NAS, als auch zu unterscheiden zwischen unkorrekter Information vom Benutzer und unkorrekter Information vom NAS.

Unter Bezugnahme auf die Zeichnung zeigt Fig. 1 ein Blockdiagramm eines Teils eines Kommunikationsnetzwerks und mehrere Kommunikationsverbindungen zur Verwendung gemäß der Lehre der gegenwärtigen Erfindung. Fig. 1 zeigt allgemein einen Netzwerkbenutzer 12, ein Netzwerk 14, eine Einwahlanbindung oder Kommunikationsverbindung 16, einen Netzwerkzugriffserver (NAS) 18, und einen entfernten Authentifizierungsserver (RAS) 20. Der NAS 18 und der RAS 20 können oder können nicht ein Teil des Netzwerks sein. Jeder kann auch ein Teil eines außenseitigen Services oder Teil von zwei verschiedenen und separaten außenseitigen Services, die Zugriff auf oder Verbindung mit dem Netzwerk 14 ermöglichen, sein und die dem Fachmann bekannt sind. Der Benutzer 12 will auf das Netzwerk 14 oft von einem entfernten Ort zugreifen. Der Benutzer 12 kann dies typischer Weise tun, indem er sich mittels der Verbindung oder Anbindung 16 in den NAS 18 einwählt. Ein Drei-Parteien Protokoll wird für den Benutzer 12, den NAS 18 und den RAS 20 spezifiziert. Der NAS 18 wird Benutzerauthentifizierungsinformation an den RAS 20 senden, um den Benutzer 12 als einen autorisierten Benutzer des Netzwerks zu verifizieren.

Der NAS 18 erhält eine ZUGRIFFS-ANFRAGE Nachricht von dem Benutzer und verschlüsselt mindestens Teile der Nachricht, wie notwendig, und wie es genauer in einem Beispiel unten beschrieben wird. Der NAS übersendet dann die ZUGRIFFS-ANFRAGE Nachricht einschließlich des verschlüsselten Teils an einen entfernten Authentifizierungsserver 20, im Weiteren als der RAS bezeichnet. Der RAS entschlüsselt den verschlüsselten Teil der Nachricht und verifiziert, ob der Benutzer ein autorisierter Benutzer des Netzwerks 14 ist. Allgemein sendet der RAS, falls der Benutzer vom RAS als autorisiert verifiziert wird, eine ZUGRIFFS-ANNAHME Nachricht zurück und erlaubt dem Benutzer auf Teile des Netzwerks 14 zuzugreifen, für die er autorisierten Zugriff besitzt. In einigen Systemen kann der RAS die Benutzerinformation verifizieren und trotzdem eine ZUGRIFFS-INFRAGESTELLUNG Nachricht zurücksenden, die weitere Beweise der Benutzeridentität oder Autorisierung fordert. Für diese Beschreibung bezeichnen wir die Sicherheitsinformation vom Benutzer als Benutzer PASSWORT (P). Das erfindungsgemäße Verfahren wird ausgeführt und die Sicherheitsinformation wird hierbei als das Passwort P bezeichnet, ob der Benutzer 12 versucht, auf das Netzwerk 14 erstmalig zuzugreifen, oder auf einen vom RAS zurückgegebene ZUGRIFFS- INFRAGESTELLUNG antwortet.

Die Verwendung des RAS befreit den NAS von der Speicherung der entfernten Benutzersicherheitsdaten. Die zentralisierte Benutzersicherheitsdatenbank macht das Netzwerk weniger verwundbar bezüglich eines Angriffs durch einen unautorisierten Benutzer, der versucht, in die benutzersensitive Datenbank einzudringen. Derartige Drei- Parteien Netzwerkprotokolle sind dem Fachmann bekannt.

Um die Beschreibung der Erfindung zu vereinfachen werden hier nur ein Benutzer 12, ein NAS 18 und ein RAS 20 beschrieben und in Fig. 1 gezeigt. Jedoch ist es wohl bekannt, dass eine große Anzahl der autorisierten Benutzer 12 auf das Netzwerk 14 zugreifen können. Es ist des Weiteren bekannt, dass Vielklientenserver wie der NAS 18 zur Verfügung stehen können, um Zugriff auf das Netzwerk 14 bereitzustellen. Des Weiteren ist bekannt, dass mehr als ein RAS 20 mit Zugriff auf das Netzwerk 14 für größere Netzwerke bereitgestellt wird. Oft beinhaltet das Netzwerk 14 eine Anzahl verschiedener Authentifizierungsserver 20, wobei jeder RAS eine andere Verifikationsfunktion für einen separaten Teil des Netzwerks oder für eine spezifizierte Gruppe an autorisierten Benutzern ausführt. Manchmal ermöglichen diese Netzwerke es einem Benutzer 12, zu bestimmen, welcher RAS abhängig vom Typ des erforderlichen Zugriffs oder dem Typ des angeforderten Datenzugriffs verwendet werden soll.

Fig. 2 zeigt ein Flussdiagramm eines Beispiels eines Prozesses oder Verfahrens zur Authentifizierung des NAS 18 bei dem RAS 20 des Kommunikationsnetzwerks, das in Figur Gezeigt wird. Als erstes wählt sich der Benutzer 12 in das Netzwerk mittels dem NAS ein, wie bei Block 30 gezeigt. Bei Block 32 übersendet oder stellt der Benutzer Zugriffsinformation einschließlich mindestens dem Benutzerpasswort P bereit. Bei Block 34 verschlüsselt der NAS P mit einem gemeinsam benutzten Geheimniswert, im Folgenden als gemeinsam benutzter geheimer Wert s bezeichnet. Der gemeinsam benutzte geheime Wert s ist zwischen dem NAS 18 und dem RAS 20 bekannt.

Das gemeinsam benutzte Geheimnis s ist in einem Beispiel eine binäre Zeichenfolge, die als Schlüssel zur Verschlüsselung verwendet wird und dem Sicherheits- und Verschlüsselungsfachmann bekannt. Das gemeinsam benutzte Geheimnis kann praktisch jeder brauchbare Schlüssel sein, der zwischen dem RAS und dem NAS gemeinsam benutzt wird, um Information, die zwischen ihnen gemeinsam benutzt wird, abzusichern.

Um die Verschlüsselung bei Block 34 durch ein Beispiel zu illustrieren, nimmt man an, dass das Benutzerpasswort P = (p1, p2, . . ., pi). In einem Beispiel ist jedes Zeichen p eine 128-Bit Nummer. Die Verschlüsselung von P resultiert dann in einem verschlüsselten Benutzerpasswort, identifiziert durch die Gleichung:

E(P) = C = (c(1)2 c(2)2 . . . 2 c(i)), (1)

wobei:

b₁ = MD5(s2RA) und c(1) = b₁ρp₁ (2)

b₂ = MD5(s2c(1)) und c(2) = b₂ρp₂ (3)

b₁ = MD5(s2c(i-1)) und c(i) = b_iρp_i (4).

In den obigen Gleichungen ist der gemeinsam benutzte Geheimniswert s der Schlüssel, der gemeinsam zwischen dem NAS und dem RAS benutzt wird. Der Terminus RA bezeichnet einen Auslösevektor, der eine Zufallszahl sein kann, die von dem NAS zur Verschlüsselung des Passworts erzeugt wird. Die obigen Gleichungen zeigen einen Verschlüsselungsalgorithmus in Form einer Strom-Kode-Verschlüsselung ("stream cipher encryption"), wobei der Schlüsselstrom ("key stream") von MD5 mit dem gemeinsam benutzten Geheimniswert s als Samen erzeugt wird. MD5 repräsentiert eine Verschlüsselung-Hash-Funktion und ist eine Internet Engineering Task Force (IETF) standardisierte Hash-Funktion, die in vielen verschiedenen Anwendungen verwendet wird. Für den Fachmann ist erkennbar, dass die Hash-Funktion MD5, die in diesem Beispiel verwendet wird, ausgetauscht werden kann und im Rahmen der gegenwärtigen Erfindung stark variieren kann.

Das verschlüsselte Passwort E(P) oder, im Folgenden, Kodetext C ("ciphertext") im gegenwärtigen oder existierenden Drei-Parteien Protokoll wird dann an den RAS 20 gesendet. Der RAS wird diesen Kodetext sofort entschlüsseln, wobei er die selbe Funktion und den gemeinsam benutzten Geheimniswert s verwendet, um festzustellen, ob das Passwort ein anerkanntes Passwort für einen autorisierten Benutzer 12 war. Jedoch falls der NAS ein Betrugs-NAS 18x ist, kennt er den gemeinsam benutzten Geheimniswert s nicht. Daher wird der Betrugs-NAS 18x ein Passwort senden, das unzulässig verschlüsselt ist. Beim Entschlüsseln des Kodetextes C hat der RAS 20 keine Möglichkeit festzustellen, ob die gesendete Information ein unzulässiges Passwort von einem illegalen Benutzer 12x oder ein zulässiges Passwort von einem legalen Benutzer 12, das von einem Betrugs- oder illegalen NAS 18x unter Verwendung eines unkorrekten Geheimniswerts gesendet wurde, beinhaltet.

Unter wiederholter Bezugnahme auf Fig. 2 wird die Erfindung klarer verstanden. Bei Block 36 fügt der NAS 18 als nächstes einen Nachrichtauthentifizierungskode (MAC) an den Kodetext C an. Die Gültigkeit oder Autorisierung des NAS 18 kann vom RAS 20 wie unten beschrieben durch diesen gesonderten Schritt ermittelt werden.

Gemäß der Lehre der gegenwärtigen Erfindung ist der MAC an den verschlüsselten Benutzerpasswort-Kodetext C angehängt. Der MAC wird als erstes den NAS 18 oder 18x für den RAS 20 identifizieren bevor der RAS den Kodetext C entschlüsselt. In einem Beispiel hängt der NAS den MAC wie folgt an, anstatt nur den verschlüsselten Kodetext C des Benutzerpassworts P an den RAS zu senden:

c(1)2 c(2)2 . . . 2 c(i)2 c(i+1), (5)

wobei c(i+1) den MAC für den Kodetext C oder verschlüsselte Benutzerpasswort darstellt. In einem Beispiel gemäß der Lehre der gegenwärtigen Erfindung wird c(i+1) aus dem Folgenden abgeleitet:

c(i+1) = MD5(s2 c(1)2 c(2)2 . . . 2 c(i)), (6)

oder in einem anderen Beispiel wird c(i+1) aus dem Folgenden abgeleitet:

c(i+1) = MD5(s2 c(1)2 c(2)2 . . . 2 c(i)2 SQN), (7)

wobei SQN eine optionale Durchlaufnummer ("count number") oder Sequentialisierungsnummer repräsentiert, die auch an den MAC zum Zweck der "Anti- Wiederholungsattacke" angehängt ist, wie unten in größerem Detail beschrieben.

Aus den obigen Gleichungen ist ersichtlich, dass der gemeinsam benutzte Geheimniswert s, der zwischen dem NAS 18 und dem RAS 20 bekannt ist, verwendet wird, um den MAC, der an das verschlüsselte Benutzerpasswort oder den Kodetext C angehängt ist, zu erzeugen. Des weiteren repräsentiert MD5 wieder die Hash-Funktion, die verwendet wird, um den Schlüsselstrom unter Verwendung des gemeinsam benutzten Geheimniswerts s als Samen zu erzeugen. Die SQN Durchlaufnummer oder Sequentialisierungsnummer kann der Information, die vom NAS an den RAS gesendet wird, zugefügt werden, um jede und sämtliche Übertragung genau zu identifizieren. Eine "Wiederholungs"-Attacke ist ein Angriff durch einen Betrüger oder unautorisiertes Individuum, das Nachrichten wiederholen kann, die von einer autorisierten Partei gesendet wurden, um sich die autorisierte Partei zu eigen zu machen und auf das Netzwerk zuzugreifen. Als Beispiel kann ein Betrugs-NAS einen MAC, der an ein verschlüsseltes P von einem autorisierten NAS angehängt ist, abschneiden und ihn an den RAS leiten, um vom RAS Verifikation zu erhalten und auf das Netzwerk unter Verwendung des selben Passworts P zuzugreifen. Hinzufügen einer Sequenzialisierungs- oder Durchlaufnummer zeigt dem RAS an, ob die gesendete Nachricht eine "frische" Nachricht ist. Falls der Betrüger eine "Wiederholungs"- Taktik anwendet, überträgt er den MAC mit der alten angehängten SQN. Diese Falschübertragung wird vom RAS leicht erkannt.

Wie Block 38 zeigt, sendet der NAS 18 dann den MAC an den RAS 20, und wie Block 40 zeigt, verifiziert der RAS als erstes den MAC unter Verwendung des gemeinsam benutzten Geheimniswerts s und, optional, der Sequentialisierungsnummer SQN. Nach Verifikation des vom Klienten-NAS empfangenen MAC hat der RAS 20 mehrere Optionen, die vom Ergebnis der Verifikation der MAC-Information abhängen, wie bei Block 42 gezeigt. Wenn der RAS 20 feststellt, dass der c(i+1) kein korrekter MAC des verschlüsselten Passworts oder Kodetext C ist, dann wird der RAS das Benutzerpasswort P nicht weiter entschlüsseln. Dies zeigt dem RAS an, dass der Klienten-NAS ein Betrugs-Klientenserver wie NAS 18x ist. Ein Betrugs-NAS kann den gemeinsam benutzten Geheimniswert s nicht erraten und wird demnach einen unkorrekten MAC erzeugen, da er keinen korrekten Nachrichtauthentifizierungskode oder MAC an den Kodetext C anhängen kann. In solch einem Fall sendet der RAS 20 eine Nachricht zurück an den NAS, die anzeigt, dass die NAS-Authentifizierung fehlgeschlagen ist und dass Zugriff auf das Netzwerk abgelehnt wurde. Dies wird bei Block 44 dargestellt.

Falls jedoch der RAS 20 den MAC bei Block 44 verifiziert und einen korrekten c(i+1) wie im obigen Beispiel erhält, erkennt der RAS den gültigen NAS 18 an. Nachdem er beim korrekten MAC angekommen ist, entschlüsselt der RAS 20 das Benutzerpasswort P wie bei Block 46 gezeigt, unter Verwendung des gemeinsam benutzten Geheimniswerts s und Entschlüsselung des Kodetextes C. Bei Block 48 vergleicht der RAS 20 das entschlüsselte P mit einer Liste an Daten, die beim RAS gespeichert sind, um den Benutzer, der Zugriff anfordert, zu verifizieren.

Wie bei Block 50 gezeigt kann das Passwort P ein unkorrektes Benutzerpasswort sein, das anzeigt, dass der Benutzer ungültig oder nicht autorisiert ist, wie ein illegaler Benutzer 12x. In einem solchen Fall sendet der RAS eine ACCESS-REJECT Nachricht (Zugriff verweigert) zurück an den NAS 18, die besagt, dass der Benutzer nicht autorisiert ist und dass aus diesem Grund Zugriff aus das Netzwerk 14 verweigert wurde. Der NAS 18 berichtet dem Benutzer 12x dann, dass der Zugriff verweigert wurde.

Wie bei Block 52 gezeigt kann der RAS 20 alternative herausfinden, dass P gültig ist und dass der Benutzer 12 ein autorisierter Benutzer des Netzwerks 14 ist. In einem solchen Fall verständigt der RAS den NAS 18, indem er eine ACCESS-ACCEPT Nachricht (Zugriff gestattet) sendet und der NAS verständigt den Benutzer 12 hinsichtlich der Gestaltung. Unter diesen Umständen hat der Benutzer 12 dann Zugriff auf das Netzwerk 14, wie bei Block 54 gezeigt, einschließlich aller Zugriffsprivilegien, die dem bestimmten Benutzer, durch das Passwort identifiziert, gewährt werden.

Fig. 3 zeigt allgemein das Kommunikationsprotokoll für ein Drei-Parteien Protokoll gemäß der Erfindung, wobei der Betrugs-NAS 18x durch den RAS 20 wie oben beschrieben detektiert wird. Genauso zeigt Fig. 4 ein Drei-Parteien Protokoll gemäß der gegenwärtigen Erfindung, wobei der RAS 20 den gültigen oder autorisierten NAS 18 detektiert hat. Anwendung der Erfindung gestattet einem RAS zwischen einem gültigen NAS 18, einem ungültigen NAS 18x, einem gültigen Benutzer 12, und einem ungültigen Benutzer 12x zu unterscheiden.

Das erfindungsgemäße Verfahren ist insbesondere dahingehend vorteilhaft, als dass ein NAS oder Klientenserver beim RAS oder Authentifizierungsserver eines Netzwerks innerhalb des bestimmten Netzwerkprotokolls autorisiert werden kann. Durch Anwendung des erfindungsgemäßen Verfahrens steigt die Berechnung des MD5 nur von i mal auf (i+1) mal an wenn das Passwort P kleiner ist als 128 × i Bits. Daher wird unter derartigen Umständen der hinzugefügte Kode für den RAS zur separaten Identifikation des NAS nur um 128 Bits ansteigen. Des weiteren erfordert die Anwendung des erfindungsgemäßen Verfahrens nicht, dass eines der original Nachrichtenprotokollformate für das bestimmte Netzwerk geändert werden muss.

Für den Fachmann ist erkennbar, dass das bestimmte Netzwerkprotokoll variieren kann und dennoch in den Bereich der gegenwärtigen Erfindung fallen. Das Verfahren der gegenwärtigen Erfindung kann in jedem Netzwerk, das ein Drei-Parteien Protokoll einschließlich eines Benutzers, eines Netzwerkzugriffservers und eines entfernten Authentifizierungsservers verwendet, eingesetzt werden. Auch können die entsprechenden Verschlüsselungs- und Entschlüsselungsalgorithmen, die für jede betreffende Passwortformulierung verwendet werden, die gemeinsam benutzten Geheimniswerte zwischen den Servern, die Algorithmen zur Berechnung des MAC, und dergleichen beträchtlich variieren. In einem Beispiel verwendet ein Computernetzwerkprotokoll bekannt als ein Entferntes Authentifizierungs Einwahl Benutzer Service ("Remote Authentication Dial In User Service") (RADIUS) Protokoll das Drei-Parteien Protokoll. Der Benutzer wählt sich in einen Klientenserver oder NAS ein, der dann mit einem RADIUS Server kommuniziert, der als hierin beschriebener RAS auftritt. Auch andere derartige Netzwerk-Arrangements sind gut für das Server-zu-Server Authentifizierungsverfahren der Erfindung geeignet.

Die vorangehende detaillierte Beschreibung wurde nur zum besseren Verständnis gegeben, und sie soll nicht als Beschränkung aufgefasst werden, da Modifikationen (an der Erfindung) dem Fachmann offensichtlich sind.

Claims

1. Ein Verfahren zur Authentifizierung zwischen Servern in einem Drei-Partein Netzwerk Authentifizierungsprotokoll, gekennzeichnet durch die Schritte:
Bereitstellen mindestens eines Netzwerkzugriffservers (NAS) (18) in Kommunikation mit mindestens einem Benutzer (12) des Netzwerks (14) und in Kommunikation mit mindestens einem entfernten Authentifizierungsserver (RAS) (20), der an das Netzwerk gekoppelt ist;
Senden (32) einer Zugriffsanfragenachricht, die ein Benutzerpasswort des mindestens einen Benutzers umfasst, an den NAS;
Erzeugen (34) eines verschlüsselten Passworts im NAS mit einem gemeinsam benutzten Geheimnis zwischen dem NAS und dem RAS;
Hinzufügen (36) eines Nachrichtauthentifizierungskodes im NAS an das verschlüsselte Passwort;
Senden (38) des verschlüsselten Passworts und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung (46) des verschlüsselten Benutzerpassworts.

2. Ein Verfahren gemäß Anspruch 1, wobei der Schritt des Hinzufügens des Nachrichtauthentifizierungskodes des weiteren gekennzeichnet ist durch: Erzeugen des Nachrichtauthentifizierungskodes aus dem verschlüsselten Passwort und dem gemeinsam benutzten Geheimnis.

3. Ein Verfahren gemäß Anspruch 1, des weiteren gekennzeichnet durch den Schritt: Verwenden einer einmaligen Sequenzialisierungsnummer als Teil einer Eingabe zur Berechnung des Nachrichtauthentifizierungskodes.

4. Ein Verfahren gemäß Anspruch 1, wobei der Schritt des Sendens des weiteren gekennzeichnet ist durch:
Hinzufügen des Nachrichtauthentifizierungskodes an eine Netzwerkzugriffs- Anfragenachricht gesendet vom NAS (18) an den RAS (20).

5. Ein Verfahren gemäß Anspruch 1, wobei das Passwort P durch Schriftzeichen ("characters") P = (p1, p2, . . . pi) gekennzeichnet ist, und wobei der Schritt des Hinzufügens des Nachrichtauthentifizierungskodes des weiteren Generieren eines Nachrichtauthentifizierungskodes c(i+1) des verschlüsselten Passworts E(P) umfasst, wobei E(P) = (c(1)2 c(2)2 . . . 2 c(i)), und i die Anzahl an Schriftzeichen im Passwort ist.

6. Ein Verfahren zur Authentifizierung in einem Drei-Partein Kommunikationsnetzwerkprotokoll, gekennzeichnet durch die Schritte:
Festsetzen (32) eines Benutzerpassworts zum Identifizieren eines bestimmten Benutzers des Netzwerks (14);
Übergabe (32) einer Zugriss-Anfragenachricht inklusive des Benutzerpassworts vom Benutzer an einen Netzwerkzugriffserver (NAS) (18) des Netzwerks;
Erzeugen (34) eines verschlüsselten Benutzerpassworts im NAS unter Verwendung eines gemeinsam benutzten Geheimnisses, das von dem NAS und einem entfernten Authentifizierungsserver (RAS) (20) des Netzwerks gemeinsam benutzt wird;
Generieren (36) eines separaten Nachrichtauthentifizierungskodes im NAS unter Verwendung des gemeinsam benutzten Geheimnisses;
Hinzufügen (36) des Nachrichtauthentifizierungskodes an das verschlüsselte Passwort;
Senden (38) der Zugriss-Anfragenachricht, die das verschlüsselte Passwort umfasst, und des Nachrichtauthentifizierungskodes an den RAS; und
Authentifizierung (40) des NAS durch Verifizierung des Nachrichtauthentifizierungskodes im RAS vor Entschlüsselung des verschlüsselten Passworts.

7. Ein Verfahren gemäß Anspruch 6, wobei der Schritt des Generierens gekennzeichnet ist durch Generieren des Nachrichtauthentifizierungskodes aus dem verschlüsselten Passwort unter Verwendung des gemeinsam benutzten Geheimnisses.

13. Ein Verfahren gemäß Anspruch 6, des weiteren gekennzeichnet durch den Schritt: Verwenden einer einmaligen Sequenzialisierungsnummer als Teil einer Eingabe zur Berechnung des Nachrichtauthentifizierungskodes.

9. Ein Verfahren gemäß Anspruch 6, wobei der Schritt des Sendens des weiteren gekennzeichnet ist durch: Hinzufügen des Nachrichtauthentifizierungskodes und des verschlüsselten Passworts an die Netzwerkzugriffs-Anfragenachricht gesendet vom NAS (18) an den RAS (20).

10. Ein Verfahren gemäß Anspruch 6, wobei das Passwort P durch Schriftzeichen P = (p1, p2, . . . pi) gekennzeichnet ist, und wobei der Schritt des Hinzufügens des Nachrichtauthentifizierungskodes des weiteren Generieren eines Nachrichtauthentifizierungskodes c(i+1) des verschlüsselten Passworts E(P) umfasst, wobei E(P) = (c(1)2 c(2)2 . . . 2 c(i)), und i die Anzahl an Schriftzeichen im Passwort ist.