-
Die
vorliegende Erfindung bezieht sich auf ein Verfahren zur Bereitstellung
einer Authentifizierung für
einen Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend einem
Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung
gemäß der Präambel von
Anspruch 1, und auf eine Benutzereinrichtung und auf eine Authentifizierungs-Einrichtung gemäß der Präambel von
Anspruch 7 bzw. Anspruch 8, und auf ein Telekommunikationsnetz gemäß der Präambel von
Anspruch 10.
-
Ein
solches Verfahren und die damit verbundenen Einrichtungen sind bereits
in der Technik bekannt. Ein heute aktuell benutztes Protokoll für den Verbindungsaufbau
im Bereich öffentlicher
Netze, wie z.B. bei jeder digitalen Teilnehmerleitung mit XDSL,
ist das bekannte Punkt-zu-Punkt-Protokoll. Dieses
PPP-Protokoll kennt zwei Haupt-Authentifizierungs-Protokolle
zur Authentifizierung eines Benutzers, d.h. das Password Authentication
Protocol, kurz das PAP-Protokoll, und das Challenge-Handshake Authentication
Protocol, kurz das CHAP-Protokoll.
-
Das
Password Authentication Protocol arbeitet mit einer Anforderungs-Nachricht,
die von einem Benutzer an einen Authentifizierer gesendet wird. Diese
Anforderungs-Nachricht enthält
eine Benutzerkennung, die den Benutzer eindeutig kennzeichnet, und
ein Benutzer-Passwort, das dem Benutzer zugeordnet ist. Der Authentifizierer überprüft das empfangene
Benutzer-Passwort gegenüber
einem Überprüfungs-Benutzer-Passwort, das entsprechend
seiner verfügbaren
Information der empfangenen Benutzerkennung zugeordnet wird. Wenn
eine Übereinstimmung
zwischen dem empfangenen Benutzer-Passwort und dem Überprüfungs-Passwort
gefunden wird, wird eine Quittung an den Benutzer gesendet. Das
PAP-Protokoll ist ein einfaches, aber nicht sicheres Protokoll,
da das Benutzer-Passwort des Benutzers in der Anforderungs-Nachricht
gelesen werden kann. Für
ein Punkt-zu-Punkt-Protokoll ist dies jedoch kein wesentliches Problem.
-
Entsprechend
dem Challenge-Handshake Authentication Protocol sendet ein Benutzer
eine Anforderungs-Nachricht an den Authentifizierer. Diese Anforderungs-Nachricht
enthält
eine Benutzerkennung des Benutzers. Der Authentifizierer sendet
eine Zufalls-Zeichenkette zurück,
die "Challenge" genannt wird, wobei
der Benutzer bei Empfang dieser Challenge-Zeichenkette die Zeichenkette umwandelt.
Die Benutzereinrichtung wandelt die Challenge-Zeichenkette mit einer
Einmal-Funktion in eine neue umgewandelte Zeichenkette um, wobei
sie sein Benutzer-Passwort als Schlüssel benutzt. Diese umgewandelte
Zeichenkette wird zurück
zum Athentifizierer gesendet. Der Athentifizierer führt dieselbe
Operation mit der ersten Challenge-Zeichenkette und mit einem Benutzer-Passwort
entsprechend seinen eigenen Informationen aus, d.h. mit einem Benutzer-Passwort,
das in seiner Datenbank vorliegt. Diese Zeichenkette kann Überprüfungs-Zeichenkette genannt
werden. Bei Empfang der umgewandelten Zeichenkette überprüft der Athentifizierer,
ob seine Lösung,
d.h. die Überprüfungs-Zeichenkette
die gleiche ist wie die umgewandelte Zeichenkette und erkennt den
Benutzer an.
-
Ein
Verfahren zur Bereitstellung einer Authentifizierung für einen
Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend
einem Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung wird
auch in der internationalen Patentanmeldung WO-A-0111452 beschrieben,
die am 15. Februar 2001 unter dem PCT mit dem Titel "Access Management
system and Method employing Secure Credentials" veröffentlicht
wurde. Das in diesem Dokument beschriebene Verfahren umfasst einen
Schritt, durch einen ersten Generator der Benutzereinrichtung einen
Berechtigungsnachweis zu erzeugen, der auf einem Benutzer-Passwort basiert,
welches diesem Benutzer zugeordnet ist, und eine Sitzungskennung
zu erzeugen, die durch die Benutzereinrichtung für die aktuelle Sitzung des
Benutzers bestimmt wird, die gerade aufgebaut wird.
-
Es
muss erläutert
werden, dass aus verschiedenen Gründen das benutzte Punkt-zu-Punkt-Protokoll
PPP zum Verbindungsaufbau im öffentlichen
Bereich, wie z.B. in der Umgebung digitaler Teilnehmerleitungen
aktuell durch ein Rundsende-Protokoll, wie z.B. das Dynamic Host Configuration
Protocol DHCP ersetzt wird.
-
Dieses
DHCP-Protokoll wird im Standard Track Document der Network Working
Group, Request For Comment Nummer 2131 und Nummer 2132 der Internet
Engineering Task Force IETF beschrieben.
-
Dieses
bekannte Dynamic Host Configuration Protocol DHCP wird zwischen
einer Benutzereinrichtung und einem DHCP-Server eingesetzt, d.h.
im privaten Bereich, und wurde anfangs von der IETF hauptsächlich für die Identifikation
zwischen Bereichen entwickelt, indem z.B. die Hardware-Adresse der
Benutzereinrichtung, d.h. der Client, in ein Client-Identifikations-Feld
einer DHCP-Nachricht aufgenommen wird.
-
Eine
solche Client-Host-Authentifizierung wird in DROMS R et AL: "Authentication for
DHCP Messages" IETF
Internet Draft <DRAFT-IETF-DHC-AUTHENTICATION-08.TXT>, August 1998 (1998-08),
XP002188155 beschrieben. Dieses Dokument beschreibt, dass das Dynamic Host
Configuration Protocol (DHCP) einen Rahmen zur Weitergabe von Konfigurationsinformation
an Hosts an einem TCP/IP-Netzwerk bereitstellt. In manchen Situationen
kann es sein, dass die Netzwerkverwalter es wünschen, die Adressen auf autorisierte
Hosts zu beschränken.
Zusätzlich
dazu kann es sein, dass einige Netzwerkverwalter es wünschen,
die Authentifizierung der Quelle und des Inhaltes von DHCP-Nachrichten bereitzustellen.
Dieses Dokument definiert eine neue DHCP-Option, mit der Autorisierungs-Tickets
leicht erzeugt werden können
und neu angeschlossene Hosts mit der richtigen Autorisierung von
einem authentifizierten DHCP-Server
automatisch konfiguriert werden können.
-
In öffentlichen
Umfeldern wird das DHCP-Protokoll jedoch zwischen einer Benutzereinrichtung
und einem DHCP-Server verwendet, der sich in einem Zugangs-Multiplexer,
einem Breitband-Zugangs-Server oder einem Edge-Router befinden kann.
Der über
dieses Zugangsnetz angebotene Netzwerkdienst benötigt hauptsächlich eine Benutzer-Identifizierung
statt einer Einrichtungs-Identifizierung, so dass die benutzten
Protokolle daher eine Authentifizierung auf Benutzer-Basis erfordern.
-
Bei
einer einfachen Implementation eines Benutzer-Authentifizierungs-Protokolls, wie PAP oder
CHAP in diesem DHCP-Protokoll treten jedoch die folgenden Probleme
auf. Da DHCP eine Rundsende-Protokoll-Umgebung ist, ist eine PAP-Implementation nicht
sicher, da Passwort und Benutzername in nicht verschlüsselter
Form über
das Netzwerk gesendet werden. Weiterhin enthält der aktuelle Standard des
DHCP-Protokolls keine zusätzlichen Nachrichten,
wie "Weiterleitung
einer Challenge-Zeichenkette",
die erforderlich sind, um das CHAP-Protokoll zu implementieren. In der
Tat müsste
man den Nachrichtenaustausch-Mechanismus von DHCP komplett ändern. Zwischen
dem Augenblick, in dem ein Benutzer, in den DHCP-Dokumenten Client genannt, eine Rundsende-Nachricht
DHCP-Discover an
den Authentifizierer sendet, und dem Augenblick, in dem der Authentifizierer
dem Benutzer eine Angebots-Nachricht
sendet, können
keine DHCP-Nachrichten benutzt werden. Das bedeutet, dass die CHAP-Protokoll-Sequenz
nicht in das DHCP-Protokoll passt. In DHCP gibt es keinen Mechanismus,
der eine sichere Authentifizierung auf Benutzer-Basis erlaubt.
-
Eine
mögliche
Lösung
wäre es,
eine Authentifizierungs-Phase
hinzuzufügen,
indem die Authentifizierung durchgeführt wird, nachdem die IP-Verbindung
aufgebaut wurde, wenn das DHCP-Protokoll verwendet wird. In diesem
Fall kann eine webbasierte Authentifizierung mit dem Hypertext Transfer
Protocol (HTTP) benutzt werden. Eine solche Lösung erfordert es jedoch, dass
der Benutzer bereits eine IP-Adresse hat, bevor die Authentifizierung
durchgeführt
wird.
-
Eine
solche Lösung
wird in dem US-Patent beschrieben, das am 12. April 1999 eingereicht
wurde und die Patent-Nummer
US
6,393,484 B1 und als Datum des Patentes den 21. Mai 2002
hat. Darin werden Informationsnetze und Betriebsverfahren beschrieben.
Spezieller werden ein System und ein Verfahren für den kontrollierten Zugriff
auf öffentliche und
halböffentliche
IP-Netze mit gemeinsam genutztem Medium beschrieben. Die Benutzer-Authentifizierung
wird jedoch nur durchgeführt,
nachdem die IP-Verbindung hergestellt wurde.
-
Auch
die oben erläuterte
veröffentlichte
Patentanmeldung WO 01/11452, die eine Architektur mit einer einzigen
Anmeldung bereitstellt, liefert eine Nachricht in der Form einer
http-Anforderung,
die ein Cookie umfasst, das von einem Browser zu einer Authentifizierungs-Einrichtung
gesendet wird, und zwar nur, nachdem die IP-Verbindung aufgebaut
wurde.
-
Eine
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen,
das eine Authentifizierung für
einen Benutzer eines Telekommunikationsnetzes während eines Sitzungsaufbaus
zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung
gemäß den obigen
bekannten Verfahren bereitstellt, das aber dazu geeignet ist, in öffentlichen
Bereichen eingesetzt zu werden und das in vorhandenen Protokollen
zum Sitzungsaufbau mit Rundsende-Charakter
einfach zu implementieren ist und das so früh wie möglich beim Sitzungsaufbau stattfindet,
bevor dem Benutzer ein Angebot gemacht wird, das spezielle, vom
Benutzer abhängige
Konfigurations-Optionen übermittelt.
-
Gemäß der Erfindung
wird dieses Ziel mit dem Verfahren erreicht, mit dem eine Authentifizierung
für einen
Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus bereitgestellt wird,
wozu ein Protokoll zwischen einer Benutzereinrichtung und einer
Authentifizierungs-Einrichtung gemäß Anspruch 1 verwendet wird,
und mit der Benutzereinrichtung und der Authentifizierungs-Einrichtung
gemäß Anspruch
5 bzw. Anspruch 6, die ein solches Verfahren implementieren, und
mit dem Telekommunikationsnetz gemäß Anspruch 8, das eine solche
Benutzereinrichtung und eine solche Authentifizierungs-Einrichtung
enthält.
-
Das
vorliegende Verfahren zur Bereitstellung einer Authentifizierung
für einen
Benutzer in einem Telekommunikationsnetz während des Sitzungsaufbaus entsprechend
einem Protokoll zwischen einer Benutzereinrichtung und einer Authentifizierungs-Einrichtung
umfasst daher die folgenden Schritte:
- – Durch
einen ersten Generator der Benutzereinrichtung Erzeugung eines Berechtigungsnachweises,
der auf einem Benutzer-Passwort basiert, welches diesem Benutzer
zugeordnet ist, und einer Sitzungskennung, die durch die Benutzereinrichtung
für die
aktuelle Sitzung des Benutzers bestimmt wird, die gerade aufgebaut
wird; und
- – Durch
einen zweiten Generator der Benutzereinrichtung Aufnahme z.B. einer
der ersten Sitzungs-Nachrichten des aktuell benutzten Protokolls
in eine Sitzungs-Nachricht:
- – Eine
Benutzerkennung, die den Benutzer eindeutig kennzeichnet; und
- – die
bestimmte Sitzungskennung; und
- – der
erzeugte Berechtigungsnachweis; und
- – Weiterleitung
der Sitzungs-Nachricht durch den zweiten Generator an die Authentifizierungs-Einrichtung;
und
- – bei
Empfang der Sitzungs-Nachricht durch die Authentifizierungs-Einrichtung
Erzeugung eines Überprüfungs-Berechtigungsnachweises
durch einen dritten Generator, der auf der empfangenen Sitzungskennung
der Sitzungs-Nachricht und auf einem Benutzer-Passwort basiert,
das entsprechend der Information der Authentifizierungs-Einrichtung
der empfangenen Benutzerkennung der Sitzungs-Nachricht zugeordnet
ist; und
- – durch
einen Überprüfer der
Authentifizierungs-Einrichtung
Vergleich des empfangenen Berechtigungsnachweises mit dem Überprüfungs-Berechtigungsnachweis
und dadurch Bereitstellung der Authentifizierung für den Benutzer.
-
Indem
durch die Benutzereinrichtung eine Sitzungs-Nachricht gesendet wird, welche die
Benutzerkennung, z.B. den Benutzernamen und eine verschlüsselte Form
seines Passwortes, d.h. einen Berechtigungsnachweis, enthält, und
durch Erzeugung des Berechtigungsnachweises auf der Basis:
- – einer
Sitzungskennung, wie z.B. der Sitzungskennung der aufgebauten Verbindung,
z.B. einer zufälligen
Sitzungs-Nummer,
die normalerweise in den bekannten Nachrichten sowieso weitergeleitet
wird; und
- – des
Original-Benutzer-Passwortes, das dem Benutzer zugeordnet ist; und
wobei
die Nachricht von der Benutzereinrichtung an den Authentifizierer
die Sitzungskennung, die Benutzerkennung und den erzeugten Berechtigungsnachweis
enthält,
unterscheidet sich das Verfahren vom CHAP-Protokoll durch die Tatsache,
dass die Benutzereinrichtung die Zufalls-Zeichenkette Challenge, wie
die Sitzungskennung selbst auswählt.
Der Authentifizierer wiederum prüft,
ob der Berechtigungsnachweis des Benutzers mit seinem eigenen Überprüfungs-Berechtigungsnachweis übereinstimmt,
indem er seinen eigenen Überprüfungs-Berechtigungsnachweis
auf der Basis des verfügbaren
Passwortes entsprechend seiner Informationen und der empfangenen
Sitzungskennung erzeugt.
-
Dieses
Verfahren und die damit verbundenen Einrichtungen sind weiterhin
so angepasst, dass sie zur Benutzer-Authentifizierung mit einem Rundsende-Protokoll
verwendet werden können,
wobei es sich um das DHCP-Protokoll handelt. Es bietet die Möglichkeit
für eine
bessere Sicherheit als bei Verwendung von Benutzernamen und Benutzer-Passworten
in Klartext, ohne dass neue Protokoll-Nachrichten zum Sitzungsaufbau
eingeführt
werden müssen.
-
Weiterhin
ist die Nachricht zur Bereitstellung der drei Punkte, d.h. der Benutzerkennung,
die den Benutzer eindeutig kennzeichnet, der Sitzungskennung und
des erzeugten Berechtigungsnachweises, die Discover-Nachricht des
DHCP-Protokolls.
Es muss erläutert
werden, dass eine typische DHCP-Nachricht
ein festes Feld und ein Options-Feld enthält. Entsprechend dem in Abschnitt
2 der oben erwähnten
Protokoll-Zusammenfassung RFC
2131 beschriebenen Format der DHCP-Nachrichten enthält jede DHCP-Nachricht ein
Options-Feld. Einige vordefinierte Optionen in diesem Options-Feld
werden in RFC 2132 detaillierter beschrieben.
-
Weiterhin
haben einige vordefinierte Optionen dieses Options-Feldes, wie zum
Beispiel Option Nummer 61, ein vordefiniertes Inhalts-Feld, das
frei nach den Anforderungen des Netzbetreibers implementiert werden
kann. Als Beispiel kann in dieser Option Nummer 61 (siehe Abschnitt
9.14 von RFC 2132 – DHCP)
das Feld i1 ... in, in dem sich typischerweise die Hardware-Adresse
einer Benutzereinrichtung befindet, auch durch eine Benutzerkennung
des Benutzers selbst implementiert werden. Es muss verstanden werden,
dass dieses Beispiel nur eine mögliche Implementation
der vorliegenden Erfindung ist. Das Ziel ist, dass die Discover-Nachricht
des DHCP-Standards verschiedene mögliche Felder für die Aufnahme
der oben erwähnten
drei Punkte umfasst.
-
Hierbei
findet die Benutzer-Authentifizierung so früh wie möglich während des Sitzungsaufbaus statt,
bevor ein Angebot gemacht wird, das spezielle, vom Benutzer abhängige Konfigurations-Optionen enthält. Auf
diese Weise können
die drei in dem Verfahren gemäß der vorliegenden
Erfindung definierten Punkte, die von der Benutzereinrichtung zur
Authentifizierungs-Einrichtung zu übertragen sind, als vordefinierte
neue Option definiert und in ein solches Options-Feld der Discover-Nachricht
aufgenommen werden. Dies wird in Anspruch 1 beschrieben.
-
Die
Sicherheit wird sogar in dem Fall noch mehr garantiert, wenn das
Verfahren weiterhin auch eine Akzeptanz der empfangenen Sitzungskennung entsprechend
vordefinierter Regeln und Bedingungen umfasst. Wenn über die
Prüfung
des Berechtigungsnachweises hinaus der Authentifizierer auch überprüft, ob die
Sitzungskennung entsprechend vordefinierter Regeln und Bedingungen
akzeptierbar ist, können
mögliche
Hacker leicht enttäuscht
werden. Ein Beispiel für
die vordefinierten Regeln und Bedingungen ist z.B. für eine Sitzungskennung,
die beim Start jeder neuen Sitzung inkrementiert werden sollte,
zu überprüfen, ob
die Sitzungskennung nicht häufig
erneut benutzt wird und ob die Sitzungskennung in der Tat jedes
Mal inkrementiert wird. Dies wird in Anspruch 2 beschrieben. Eine
mögliche
Implementation der Sitzungskennung, welche die Sitzung, die gerade aufgebaut
wird, eindeutig kennzeichnet, wird in Anspruch 4 beschrieben. Wie
in RFC 2131 in Abschnitt 2 beschrieben, ist Feld Nummer (4) als
Transaktions-Kennung definiert. Diese Transaktions-Kennung XID, auch
Sitzungskennung genannt, ist normalerweise eine Zufallszahl, die
vom Client, d.h. von der Benutzereinrichtung gewählt und vom Client und vom
Server, d.h. vom Authentifizierer benutzt wird, um Nachrichten und
Antworten zwischen einem Client und einem Server zuzuordnen. Wenn
nun die Benutzereinrichtung diese Sitzungskennung als eine Nummer
wählt,
die bei jedem Start eines neuen Sitzungsaufbaus inkrementiert wird,
wird die Authentifizierungs-Einrichtung in die Lage versetzt, den
erwarteten Wert für
die Sitzungskennung zu verfolgen und entsprechend zu kontrollieren,
bevor sie akzeptiert wird. Da diese Sitzungskennung entsprechend
einer solchen Implementation sowieso von der Benutzereinrichtung
zur Authentifizierungs-Einrichtung weitergeleitet wird, muss kein
zusätzliches
Feld in der verwendeten Sitzungs-Nachricht vorgesehen werden. Da
die Sitzungskennung gemäß dem bekannten Standard
mit einer Länge
von 32 Bit definiert ist, kann sie nur schwer entschlüsselt werden.
-
Schließlich muss
erklärt
werden, dass die Authentifizierungs-Einrichtung gemäß der vorliegenden
Erfindung zumindest teilweise in einen Netzwerk-Zugang aufgenommen
werden kann, der im öffentlichen
Bereich bereitgestellt wird. Dies wird in Anspruch 8 beschrieben.
Das bedeutet, dass die Funktionsblöcke mit ihrer zugehörigen Funktionalität als ganzes
in ein und derselben Netzwerkeinrichtung enthalten sein können, aber
ebenso über
verschiedene Netzwerkbereiche, wie z.B. beim Netzwerk-Zugangs-Anbieter oder beim
Netzwerk-Dienstanbieter verteilt sein können. Obwohl der einfachste
Platz beim aktuellen Netzwerk-Zugangs-Anbieter
ist, über den
die Benutzereinrichtung Zugang zum öffentlichen Bereich des Internet
erhält,
kann ein Teil der Authentifizierungs-Einrichtung gleichzeitig beim
Netzwerk-Dienstanbieter,
z.B. in einem entfernten Authentifizierungs-Protokoll-Server integriert sein. Dies wird
in einem späteren
Abschnitt detaillierter erläutert.
-
Es
muss darauf hingewiesen werden, dass der in den Ansprüchen benutzte
Begriff "enthält" nicht so interpretiert
werden darf, als ob er auf die danach aufgelisteten Mittel begrenzt
wäre. Der
Umfang des Ausdrucks "eine
Vorrichtung, die Mittel A und Mittel B enthält" darf nicht auf Vorrichtungen begrenzt
werden, die nur aus den Komponenten A und B bestehen. Er bedeutet
bezüglich
der vorliegenden Erfindung, dass nur die Komponenten A und B der
Vorrichtung relevant sind.
-
Auf
gleiche Weise muss darauf hingewiesen werden, dass der Begriff "verbunden", der ebenfalls in
den Ansprüchen
verwendet wird, nicht so interpretiert werden darf, als ob er auf
direkte Verbindungen begrenzt wäre.
Der Umfang des Ausdrucks "eine Vorrichtung
A, die mit einer Vorrichtung B verbunden ist" darf nicht auf Vorrichtungen oder Systeme
begrenzt werden, bei denen ein Ausgang von Vorrichtung A direkt
an einen Eingang von Vorrichtung B angeschlossen ist. Er bedeutet,
dass ein Pfad zwischen einem Ausgang von A und einem Eingang von
B vorhanden ist, der ein Pfad sein kann, welcher andere Vorrichtungen
oder Mittel enthält.
-
Die
obigen und weitere Aufgaben und Eigenschaften der Erfindung werden
deutlicher und die Erfindung selbst wird am besten verstanden, wenn
auf die folgende Beschreibung einer Ausführung zusammen mit den begleitenden
Zeichnungen Bezug genommen wird, in denen:
-
1 ein
Telekommunikationsnetz darstellt, das eine Benutzereinrichtung und
eine Authentifizierungs-Einrichtung gemäß der vorliegenden Erfindung enthält; und
-
2 eine
Benutzereinrichtung und eine Authentifizierungs-Einrichtung mit
ihren Interaktionen gemäß der vorliegenden
Erfindung und ihre zugeordneten Funktionsblöcke darstellt.
-
Die
Funktion der Einrichtungen gemäß der vorliegenden
Erfindung entsprechend der Telekommunikations-Umgebung, die in 1 und 2 gezeigt
ist, wird mittels einer Funktionsbeschreibung der verschiedenen
hier gezeigten Blöcke
erklärt.
Auf der Grundlage dieser Beschreibung wird einem Fachmann die praktische
Implementierung der Blöcke
offensichtlich sein und wird daher nicht detailliert beschrieben.
Zusätzlich
dazu wird die prinzipielle Funktion des Verfahrens zur Bereitstellung
einer Authentifizierung für
einen Benutzer detaillierter beschrieben.
-
Mit
Bezug auf 1 wird ein Telekommunikationsnetz
gezeigt. Das Telekommunikationsnetz umfasst ein Zugangsnetz AN,
zwei Dienstanbieter-Netzwerke NSP1 und NSP2 und ein regionales Breitbandnetz
RBN.
-
Das
Zugangsnetz AN enthält
eine Benutzereinrichtung EQUIP eines Benutzers und einen Zugangs-Multiplexer
AMUX am Übergang
zwischen dem Zugangsnetz AN und dem regionalen Breitbandnetz RBN.
-
Das
regionale Breitbandnetz RBN enthält weiterhin
einen Netzwerk-Zugangs-Anbieter NAP und zwei Edge-Router ER1 und
ER2 am Übergang zum
ersten Netzwerk-Dienstanbieter NSP1, bzw. zum zweiten Netzwerk-Dienstanbieter
NSP2.
-
Der
erste Netzwerk-Dienstanbieter NSP1 enthält weiterhin einen entfernten
Authentifizierungs-Protokoll-Server RAP-S.
-
Die
Benutzereinrichtung EQUIP ist über
den Zugangs-Multiplexer
AMUX mit dem Netzwerk-Zugangs-Anbieter NAP gekoppelt. Zwischen der
Benutzereinrichtung EQUIP und dem Netzwerk-Zugangs-Anbieter NAP
ist ein Protokoll zur dynamischen Host-Konfiguration DHCP freigegeben.
-
Der
Netzwerk-Zugangs-Anbieter NAP ist über den ersten Edge-Router
ER1 mit dem entfernten Authentifizierungs-Protokoll-Server RAP-S gekoppelt. Zwischen
dem Netzwerk-Zugangs-Anbieter NAP
und dem entfernten Authentifizierungs-Protokoll-Server ist ein Protokoll zur
entfernten Authentifizierung RAP freigegeben.
-
Als
eine mögliche
Ausführung
der vorliegenden Erfindung sind die Funktionsblöcke der Authentifizierungs-Einrichtung
AUTH über
den entfernten Authentifizierungs-Protokoll-Server RAP-S und den Netzwerk-Zugangs-Anbieter
NAP verteilt. Um diese verteilte Funktionalität zu zeigen, enthält der Netzwerk-Zugangs-Anbieter
NAP einen ersten Teil der Authentifizierungs-Einrichtung, AUTH' genannt, und der entfernte Authentifizierungs-Protokoll-Server
enthält
einen zweiten Teil der Authentifizierungs-Einrichtung, AUTH'' genannt.
-
Die
beiden Teile der Authentifizierungs-Einrichtung AUTH (siehe 1)
stellen gemäß dem Verfahren
der Erfindung eine Authentifizierung für Benutzer 2 zur Verfügung, der
in den Figuren U2 genannt wird und sich an der Benutzereinrichtung EQUIP
befindet. Der Benutzer U2 wünscht,
den Aufbau einer Sitzung zu beginnen. Nehmen wir an, dies sei die
erste Sitzung für
den Benutzer U2. Der gewünschte
Sitzungsaufbau erfolgt entsprechend dem DHCP-Protokoll.
-
In 1 sind
die Benutzereinrichtung EQUIP und die Authentifizierungs-Einrichtung
AUTH mit ihren Interaktionen gemäß der vorliegenden
Erfindung sowie die zugeordneten Funktionsblöcke gezeigt.
-
Benutzer
U2 befindet sich an der Benutzereinrichtung EQUIP und liefert zum
richtigen Zeitpunkt seinen Benutzernamen und sein Passwort.
-
Die
Benutzereinrichtung EQUIP enthält
einen ersten Generator GEN1 und einen zweiten Generator GEN2. Beide
Generatoren sind zur Interaktion mit dem Benutzer U2 mit einem Ausgang
der Benutzereinrichtung EQUIP, mit einem zweiten Speicher MEM2 und
untereinander gekoppelt. Der zweite Generator GEN2 ist zur Interaktion
mit dem Netzwerk auch an einen Ausgang der Benutzereinrichtung EQUIP
gekoppelt, d.h. über
den Zugangs-Multiplexer aus 2 mit der
Authentifizierungs-Einrichtung AUTH.
-
Die
Authentifizierungs-Einrichtung AUTH enthält die beiden oben erwähnten Teile,
d.h. AUTH' und AUTH''.
-
Der
erste Teil der Authentifizierungs-Einrichtung AUTH' enthält einen
Akzeptierer ACC, der über einen
Eingang/Ausgang des ersten Teils der Authentifizierungs-Einrichtung
AUTH' mit dem zweiten
Generator GEN2 der Benutzereinrichtung EQUIP und über einen
Eingang/Ausgang des ersten Teils der Authentifizierungs-Einrichtung
AUTH' mit dem zweiten Teil
der Authentifizierungs-Einrichtung AUTH'' gekoppelt
ist.
-
Der
zweite Teil der Authentifizierungs-Einrichtung AUTH'' enthält einen Eingang/Ausgang, der mit
einem ersten Speicher MEM1 gekoppelt ist, einen dritten Generator
GEN3 und einen Überprüfer VER. Der
erste Speicher MEM1 ist auch mit dem dritten Generator GEN3 gekoppelt,
der wiederum auch mit dem Überprüfer VER
gekoppelt ist.
-
Die
Benutzereinrichtung EQUIP enthält
den ersten Generator GEN1, um einen Berechtigungsnachweis C(P-U2;
XID21) zu erzeugen, der auf einem Benutzer-Passwort P-U2 basiert,
das dem Benutzer U2 zugeordnet ist, und auf einer Sitzungskennung XID21,
die von der Benutzereinrichtung EQUIP für diese Sitzung, die gerade
aufgebaut wird, festgelegt wird.
-
Der
erzeugte Berechtigungsnachweis, der als C(P-U2; XID21) bezeichnet
wird, wird für
diese spezielle Ausführung
als Einmal-Funktion gewählt. Diese
Einmal-Funktion basiert auf dem Benutzer-Passwort P-U2 und auf der
Sitzungskennung XID21. Das Benutzer-Passwort P-U2 wird vom Benutzer
U2 zum Zeitpunkt des Beginns des Sitzungsaufbaus an seine Benutzereinrichtung
geliefert. Dieses Benutzer-Passwort ist ein Passwort des Benutzers
U2, das vordefiniert wurde und das dem Benutzer U2 bekannt ist.
-
Das
Symbol XID21 wird dazu benutzt, zu zeigen, dass die Sitzungskennung
einem Benutzer U2 (zweiter Benutzer) zugeordnet ist, der seine erste
Sitzung aufbaut.
-
Die
Sitzungskennung XID21 wird gewählt, um
die Sitzungskennung gemäß DHCP RFC
2131 zu sein. Es muss verstanden werden, dass ein vordefiniertes
Verfahren mit vordefinierten Regeln und Bedingungen benutzt wird,
um diese Sitzungskennung XID21 zu bestimmen. Nehmen wir an, dass
der Wert der Sitzungskennung von der Benutzereinrichtung EQUIP aus
dem vorherigen Wert einer vorherigen Sitzung von Benutzer U2 durch
Erhöhung
um eins bestimmt wird. Das bedeutet, dass der aktuelle Wert der
Sitzungskennung XID21 in der Benutzereinrichtung immer gespeichert
werden muss. Dies ist in 1 mit dem zweiten Speicher MEM2
gezeigt. Die Funktionsblöcke
zum Nachschlagen des vorherigen wertes einer Sitzungskennung und
zur Berechnung des neuen Wertes werden hier nicht detailliert beschrieben.
Das Ziel ist, dass der neue Wert bestimmt und im zweiten Speicher
MEM2 gespeichert wird. Dieser neue Wert wird vom ersten Generator
mittels der Benutzerkennung USER2, die der Sitzungskennung XID21
zugeordnet ist, in den zweiten Speicher-Mitteln gesucht.
-
Die
Benutzerkennung USER2 wird vom Benutzer U2 an die Benutzereinrichtung
EQUIP geliefert. Die Benutzerkennung wird hier durch "username@servicename" implementiert und
ist eine eindeutige Kennzeichnung des Benutzers U2.
-
Wenn
der erste Generator GEN1 die richtige Sitzungskennung XID21 abgerufen
hat und das Benutzer-Passwort P-U2 von Benutzer U2 empfangen hat,
ist der erste Generator in der Lage, den erforderlichen Berechtigungsnachweis
C(P-U2; XID21) zu erzeugen.
-
Der
erzeugte Berechtigungsnachweis C(P-U2; XID21) wird vom ersten Generator
GEN1 an den zweiten Generator GEN2 geliefert.
-
Der
zweite Generator GEN2 ist in der Lage, in eine Sitzungs-Nachricht
DISCOVER(USER2; XID21; C(P-U2; XID21)) des DHCP-Protokolls eine Benutzerkennung
USER2, die den Benutzer U2 eindeutig kennzeichnet, die Sitzungskennung
XID21 und den erzeugten Berechtigungsnachweis C(P-U2; XID21) aufzunehmen
und diese Sitzungs-Nachricht DISCOVER(USER2; XID21; C(P-U2; XID21))
an den ersten Teil der Authentifizierungs-Einrichtung AUTH' weiterzuleiten.
-
Der
Benutzer-Parameter USER2 wird vom Benutzer U2 an die Benutzereinrichtung
EQUIP geliefert, wie oben beschrieben.
-
Die
Sitzungskennung XID21 wird vom zweiten Generator GEN2 abgerufen,
wieder entsprechend der Zuordnung zur Benutzerkennung USER2, und
wird vom zweiten Speicher MEM2 an diesen zweiten Generator GEN2
geliefert. Auf diese Weise empfängt
der zweite Generator GEN2 alle Informationen, die in eine Sitzungs-Nachricht
aufgenommen werden müssen.
In dieser Ausführung
wird es vorgezogen, die bekannte Nachricht DISCOVER des DHCP-Protokolls
zu verwenden. Die Authentifizierungs-Information wird in das Options-Feld
dieser DISCOVER-Nachricht aufgenommen. Die Authentifizierungs-Information
ist die Benutzerkennung USER2, die Sitzungskennung XID21 und der
erzeugte Berechtigungsnachweis C(P-U2; XID21).
-
Es
muss darauf hingewiesen werden, dass obwohl diese bevorzugte Ausführung die
Aufnahme der kompletten Authentifizierungs-Information in das Options-Feld
einer DHCP-Nachricht
beschreibt, die vorliegende Erfindung nicht auf solche Implementationen
begrenzt ist. In der Tat kann ein Fachmann kleine Änderungen
der vorliegenden Beschreibung einer Ausführung durchführen, um
sie an eine Implementation anzupassen, in der die drei Teile der
Authentifizierungs-Information
nicht in das Options-Feld einer DHCP-Nachricht aufgenommen werden,
sondern in das vordefinierte feste Feld der DHCP-Nachricht. Darüber hinaus
müssen
die drei Authentifizierungs-Teile nicht zusammen in ein identisches
Feld aufgenommen werden, sondern können auf verteilte Weise in
der DHCP-Nachricht enthalten sein. Berücksichtigt man dies, muss darauf
hingewiesen werden, dass die Sitzungskennung XID bereits ein vordefinierter
Teil des festen Feldes der Discover-Nachricht ist, wobei sie nicht
an einer anderen Stelle der Nachricht wiederholt werden muss (nicht
im festen Feld und nicht im Options-Feld der Nachricht). So kann
zum Beispiel die Sitzungskennung im festen Feld der DHCP-Nachricht
enthalten sein, wobei die Benutzerkennung an einer ersten Stelle
einer ersten Option des Options-Feldes enthalten ist und der Berechtigungsnachweis
an einer zweiten Stelle einer zweiten Option des Options-Feldes
enthalten ist.
-
Der
zweite Generator GEN2 erzeugt diese DISCOVER-Nachricht und nimmt
die Authentifizierungs-Information in ihr Options-Feld auf. Die erzeugte
DISCOVER-Nachricht wird über
den Zugangs-Multiplexer AMUX im regionalen Breitbandnetz in Richtung
auf, neben möglichen
anderen, den ersten Teil der Authentifizierungs-Einrichtung AUTH' verteilt.
-
Bei
Empfang der DISCOVER-Nachricht durch den ersten Teil der Authentifizierungs-Einrichtung
AUTH' wird die Sitzungskennung
XID21 aus der Nachricht entnommen und an den Akzeptierer ACC angelegt.
Der Akzeptierer bestimmt entsprechend vordefinierter Regeln und
Bedingungen die Annahme dieser empfangenen Sitzungskennung XID21.
Dazu bestimmt der Akzeptierer zuerst eine erwartete Sitzungskennung.
Diese erwartete Kennung wird entsprechend vordefinierter Regeln
und Bedingungen bestimmt, wie sie von der Benutzereinrichtung EQUIP
benutzt werden. Der Akzeptierer hat dazu einen vorherigen Wert für eine vorherige
Sitzung des Benutzers U2 gespeichert. Der Akzeptierer entnimmt aus
der DISCOVER-Nachricht
die Benutzerkennung USER2 und bestimmt hiermit und entsprechend
der zuvor gespeicherten Information die zuletzt benutzte Sitzungskennung
XID für
Benutzer U2. Bei Erkennung der vorherigen Sitzungskennung wird die
erwartete Sitzungskennung durch den Akzeptierer gemäß vordefinierter
Regeln und Bedingungen bestimmt, d.h. durch Erhöhung um eins. Der Wert der empfangenen
Sitzungskennung XID21 und der Wert der erwarteten Sitzungskennung
werden miteinander verglichen, wobei der Akzeptierer die aktuell
benutzte Sitzungskennung XID21 in dem Fall akzeptiert, wenn diese
Werte zueinander passen. Mit diesem zusätzlichen Schritt der Überprüfung der
Akzeptanz der Sitzungskennung XID21 wird ein zusätzlicher Grad an Sicherheit
bereitgestellt.
-
Obwohl
gemäß dieser
Ausführung
der Akzeptierer einen erwarteten Wert für die Sitzungskennung bestimmt,
kann der Akzeptierer ebenso die empfangene Sitzungskennung mit einem
erwarteten Satz von Sitzungskennungen vergleichen. Ein Beispiel
hierfür
ist, dass die empfangene Sitzungskennung sich im Bereich zwischen
der zuvor empfangenen Sitzungskennung plus 10 befinden muss.
-
Bei
Erzeugung eines Akzeptanz-Signals durch den Akzeptierer ACC erhält der erste
Teil der Authentifizierungs-Einrichtung
AUTH' die Erlaubnis, die
Authentifizierungs-Information
an den zweiten Teil der Authentifizierungs-Einrichtung AUTH'' weiterzuleiten.
-
Wie
oben beschrieben, ist das Protokoll zwischen dem ersten Teil der
Authentifizierungs-Einrichtung AUTH' und dem zweiten Teil der Authentifizierungs-Einrichtung
AUTH'' ein Protokoll zur
entfernten Authentifizierung (Remote Authentication Protocol). Es
muss verstanden werden, dass dieses Protokoll seine eigene sichere
Art und Weise besitzen muss, die Authentifizierungs-Information
zu übertragen.
Der erste Teil der Authentifizierungs-Einrichtung AUTH' nimmt die Authentifizierungs-Information
in eine seiner Nachrichten auf und sendet sie an den zweiten Teil
der Authentifizierungs-Einrichtung
AUTH''.
-
Der
zweite Teil der Authentifizierungs-Einrichtung AUTH'' entnimmt die Authentifizierungs-Information,
d.h. die Benutzerkennung USER2, die Sitzungskennung XID21 und der
Berechtigungsnachweis C(P-U2; XID21) aus der empfangenen Nachricht.
-
Der
dritte Generator GEN3 ist im zweiten Teil der Authentifizierungs-Einrichtung
AUTH'' enthalten, um einen Überprüfungs-Berechtigungsnachweis VC(P-U2;
XID21) zu erzeugen, der auf der empfangenen Sitzungskennung XID21
und auf einem Benutzer-Passwort P-U2 basiert, das der empfangenen Benutzerkennung
USER2 zugeordnet ist, und um den Überprüfungs-Berechtigungsnachweis (VC(P-U2; XID21))
an einen Überprüfer (VER)
zu liefern.
-
Dazu
benutzt der dritte Generator GEN3 die entnommene Sitzungskennung
XID21 und die entnommene Benutzerkennung USER2. Die Benutzerkennung
USER2 wird dazu verwendet, aus dem ersten Speicher MEM1 das zugeordnete
Benutzer-Passwort P-U2 abzurufen. Dieses Benutzer-Passwort wurde
zuvor bereitgestellt und vom Betreiber im zweiten Teil der Authentifizierungs-Einrichtung AUTH'' gespeichert.
-
Mit
der Sitzungskennung XID21 und dem abgerufenen Benutzer-Passwort
P-U2 erzeugt der dritte Generator GEN3 seinen Überprüfungs-Berechtigungsnachweis
VC(P-U2; XID21) und liefert dieses an den Überprüfer VER.
-
Der Überprüfer VER
ist im zweiten Teil der Authentifizierungs-Einrichtung enthalten,
um den Überprüfungs-Berechtigungsnachweis
VC(P-U2; XID21) und den empfangenen Berechtigungsnachweis C(P-U2;
XID21) zu vergleichen und hierdurch die Authentifizierung für den Benutzer
U2 zu liefern.
-
Hierzu
benutzt der Überprüfer VER
den entnommenen Berechtigungsnachweis C(P-U2; XID21) und den erzeugten Überprüfungs-Berechtigungsnachweis
VC(P-U2; XID21). Wenn eine Übereinstimmung
beider Werte gefunden wird, erzeugt der Überprüfer VER eine Bestätigung der
Authentifizierung, die vom zweiten Teil der Authentifizierungs-Einrichtung
AUTH'' an den ersten Teil
der Authentifizierungs-Einrichtung AUTH' (nicht gezeigt) gesendet wird. Der
erste Teil der Authentifizierungs-Einrichtung AUTH' bestätigt dem Benutzer U2 diese
Bestätigung der
Authentifizierung mittels einer DHCP-Nachricht, z.B. durch die DHCP-Nachricht
Offer, die zur Benutzereinrichtung EQUIP gesendet wird.
-
Die
prinzipielle Funktion des Verfahrens zur Bereitstellung einer Authentifizierung
für einen
Benutzer wird nun im folgenden Abschnitt beschrieben.
-
Das
Verfahren zur Bereitstellung einer Authentifizierung für Benutzer
U2 während
des Sitzungsaufbaus entsprechend einem DHCP-Protokoll zwischen der
Benutzereinrichtung und der Authentifizierungs-Einrichtung AUTH
umfasst die folgenden prinzipiellen Schritte:
- – Bereitstellung
eines Benutzer-Kennwortes P-U2 und einer Benutzerkennung USER2 durch
den Benutzer U2 an die Benutzereinrichtung EQUIP; und
- – Feststellung
einer Sitzungskennung XID21 durch die Benutzereinrichtung EQUIP
für diese Sitzung
gemäß vordefinierter
Regeln und Bedingungen; und
- – Speichern
dieser neu berechneten Sitzungskennung im zweiten Speicher MEM2
in Verbindung mit der Benutzerkennung USER2; und
- – Abruf
der Sitzungskennung XID21 durch den ersten Generator GEN1 aus dem
zweiten Speicher MEM2 gemäß der Benutzerkennung USER2;
und
- – Erzeugung
eines Berechtigungsnachweises C(P-U2; XID21) durch den ersten Generator GEN1
auf der Basis des Benutzer-Passwortes P-U2 und der abgerufenen Sitzungskennung XID21;
und
- – Weiterleitung
des erzeugten Berechtigungsnachweises C(P-U2; XID21) durch den ersten
Generator GEN1 an den zweiten Generator GEN2; und
- – Aufnahme
der Benutzerkennung USER2 und der Sitzungskennung XID21 in eine
Nachricht DISCOVER der DHCP-Sitzung DISCOVER(USER2; XID21; C(P-U2;
XID21)); und
- – Weiterleitung
der Discover-Nachricht durch den zweiten Generator GEN2 an den ersten
Teil der Authentifizierungs-Einrichtung AUTH'; und
- – Entnahme
der Sitzungskennung XID21 und der Benutzerkennung USER2 durch den
ersten Teil der Authentifizierungs-Einrichtung AUTH'; und
- – Bestimmung
der vorherigen Sitzungskennung, die der entnommenen Benutzerkennung
USER2 zugeordnet ist; und
- – Bestimmung
einer aktuellen Sitzungskennung entsprechend vordefinierter Regeln
und Bedingungen, die mit der von der Benutzereinrichtung EQUIP verwendeten
verbunden ist; und
- – Durch
den Akzeptierer ACC Vergleich der entnommenen Sitzungskennung XID21
mit der lokal für
die Benutzerkennung USER2 bestimmten Sitzungskennung; und
- – Für den Fall
identischer Sitzungskennungen Erzeugung einer Akzeptanz der empfangenen
Sitzungskennung XID21; und
- – Durch
den Akzeptierer ACC Erlaubnis an den ersten Teil des Authentifizierers
AUTH', die Authentifizierungs-Information weiterzuleiten,
bei der es sich um die Benutzerkennung USER2, die Sitzungskennung
XID21 und den Berechtigungsnachweis C(P-U2; XID21) handelt; und
- – Weiterleitung
der Authentifizierungs-Information entsprechend einem Protokoll
zur sicheren entfernten Authentifizierung RAP durch den ersten Teil
der Authentifizierungs-Einrichtung AUTH'; und
- – Entnahme
der Authentifizierungs-Information durch den zweiten Teil der Authentifizierungs-Einrichtung
AUTH''; und
- – Abruf
des lokal verfügbaren
Benutzer-Passwortes P-U2 durch den dritten Generator GEN3 entsprechend
der entnommenen Benutzerkennung USER2; und
- – Erzeugung
eines Überprüfungs-Berechtigungsnachweises
VC(P-U2; XID21) durch den dritten Generator GEN3, der auf dem abgerufenen
lokalen Benutzer-Passwort P-U2 und der entnommenen Sitzungskennung
XID21 beruht; und
- – Bereitstellung
des erzeugten Überprüfungs-Berechtigungsnachweises
VC(P-U2; XID21) durch den dritten Generator GEN3 an den Überprüfer VER;
und
- – Vergleich
des entnommenen Berechtigungsnachweises C(P-U2; XID21) mit dem lokal erzeugten Überprüfungs-Berechtigungsnachweis VC(P-U2;
XID21) durch den Überprüfer VER;
und
- – Für den Fall
identischer Berechtigungsnachweise Bereitstellung einer Authentifizierungs-Bestätigungs-Nachricht durch den Überprüfer VER;
und
- – Übertragung
der Authentifizierungs-Bestätigung durch
den zweiten Teil der Authentifizierungs-Einrichtung AUTH'' und entsprechend dem Protokoll zur
entfernten Authentifizierung an den ersten Teil der Authentifizierungs-Einrichtung
AUTH'; und
- – Weiterhin Übertragung
dieser Bestätigung
durch den ersten Teil der Authentifizierungs-Einrichtung AUTH' und entsprechend
einer DHCP-Nachricht an die Benutzereinrichtung EQUIP, wodurch die Authentifizierung
für den
Benutzer U2 realisiert wird.
-
Eine
abschließende
Anmerkung ist, dass Ausführungen
der vorliegenden Erfindung oben anhand von Funktionsblöcken beschrieben
wurden. Aus der oben angegebenen funktionellen Beschreibung ist
es einem Fachmann für
die Entwicklung elektronischer Geräte offensichtlich, wie Ausführungen
dieser Blöcke
mit bekannten elektronischen Bauelementen hergestellt werden können. Eine
detaillierte Architektur des Inhaltes der Funktionsblöcke wird daher
nicht angegeben.
-
Obwohl
die Prinzipien der Erfindung oben in Verbindung mit einer speziellen
Vorrichtung beschrieben wurden, muss deutlich verstanden werden,
dass diese Beschreibung nur als Beispiel erfolgt und nicht als Einschränkung des
Umfangs der Erfindung, wie in den beigefügten Ansprüchen definiert.