DE60024800T2 - Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle - Google Patents

Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle Download PDF

Info

Publication number
DE60024800T2
DE60024800T2 DE60024800T DE60024800T DE60024800T2 DE 60024800 T2 DE60024800 T2 DE 60024800T2 DE 60024800 T DE60024800 T DE 60024800T DE 60024800 T DE60024800 T DE 60024800T DE 60024800 T2 DE60024800 T2 DE 60024800T2
Authority
DE
Germany
Prior art keywords
cta
signaling
server
key
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60024800T
Other languages
English (en)
Other versions
DE60024800D1 (de
Inventor
Sasha Medvinsky
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Arris Technology Inc
Original Assignee
Arris Technology Inc
General Instrument Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Arris Technology Inc, General Instrument Corp filed Critical Arris Technology Inc
Publication of DE60024800D1 publication Critical patent/DE60024800D1/de
Application granted granted Critical
Publication of DE60024800T2 publication Critical patent/DE60024800T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1043Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2207/00Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F2207/72Indexing scheme relating to groups G06F7/72 - G06F7/729
    • G06F2207/7219Countermeasures against side channel or fault attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Description

  • GEBIET DER ERFINDUNG
  • Diese Erfindung bezieht sich im Allgemeinen auf eine Schlüsselverwaltung für Client-Server-Systeme und insbesondere auf ein skalierbares Schlüsselverwaltungssystem zur Verwendung in IP-Telefonie-Netzen.
  • ALLGEMEINER STAND DER TECHNIK
  • In einem Internetprotokoll-(IP-)Telefonie-Netz kann ein Netzwerk-Server für das Aufsetzen von Telefonanrufen mit bis zu 100 000 Clients verantwortlich sein. Die Clients können über Kabeltelefonieadapter-Vorrichtungen (CTA-Vorrichtungen) an das Telefonie-Netz gekoppelt sein. Um die Anrufsignalisierung zu sichern, wird zwischen jedem Client und dem Server eine Internetprotokollsicherheits-Assoziation (IPSec-Assoziation) aufgesetzt. Dies muss rechtzeitig geschehen, um den CPU-Aufwand am Server und die Verzögerung beim Aufsetzen der Anrufe zu minimieren.
  • Um eine große Anzahl an Clients bewältigen zu können, muss die Schlüsselverwaltung so schnell wie möglich sein. Zum Beispiel könnten Sicherheitsassoziationen verloren gehen, wenn ein Server abstürzt oder zu beschäftigt ist, um alle seine Clients zu bewältigen. Die verlorenen Sicherheitsassoziationen müssen dann bei Bedarf wieder neu eingerichtet werden. Die manuelle Administration von Clients ist aufgrund hoher Aufwandkosten und eines Fehlens der Skalierbarkeit ungeeignet. Andere Techniken, die in Architekturen verwendet werden, welche nicht mit der IP-Telefonie verwandt sind, sind ebenfalls ungeeignet, das sie nicht die gewünschte Skalierbarkeit und den gewünschten niedrigen Administrationsaufwand bieten.
  • US 5 867 495 betrifft ein System für Telefonanrufe, Daten und andere Multimedia-Informationen, die durch ein hybrides Netz geleitet werden, welches den Transfer von Informationen über das Internet unter Verwendung von Telefonie-Leitinformationen und Internetprotokoll-Adresseninformationen einschließt. Eine Medienauftragserfassung erfasst die vollständigen Verbraucherprofilinformationen für einen Verbraucher. Diese Profilinformationen werden von dem System während des ganzen Medienerlebnisses zum Leiten, Verrechnen, Überwachen, Berichten und für andere Mediensteuerfunktionen verwendet. Verbraucher können eine größere Zahl an Aspekten eines Netzes verwalten, als vorher möglich war, und Netzaktivitäten von einem zentralen Punkt steuern. Verbrauchern wird Telefonkarten-Zugang geboten, der typische Anrufe sowie Medientransfers über das hybride Netz unterstützt.
  • WO98/36522 betrifft ein Verfahren und einen Apparat zum Verbessern der Sicherheit einer Nachricht, die durch einen Netzwerk-Server von einem Client-Computer an einen Zielserver gesendet wird. Eine sichere Verbindung zum Empfangen und Übertragen von Daten wird zwischen dem Client-Computer und dem Netzwerk-Server eingerichtet. Es werden Informationen zur Identifizierung des Client und Informationen zur sicheren Authentifizierung von einem Validierungszentrum verwendet. Netzwerk-Server können die Client-Authentifizierungsinformationen verwenden, um die Erlaubnis des Validierungszentrums für den Zugriff auf den Zielserver zu erhalten.
  • Keines der obigen Dokumente erörtert jedoch ein System, das ein einfaches und leicht skalierbares Schlüsselverwaltungssystem bereitstellt, das den Bedarf an einer Hauptspeicherstelle für eine große Anzahl an Sicherheitsassoziationen umgeht. Ferner gibt es bei den obigen Dokumenten keine Möglichkeit, nach einem Verlust einer Assoziation mit einem Server, oder wenn ein Client auf einen anderen Server schaltet, schnell umzuschlüsseln.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung schließt eine hochgradig skalierbare Schlüsselverwaltungsarchitektur für sichere Client-Server-Systeme, die in IP-Telefonie-Netzen verwendet werden, ein, wobei der kryptographische Zustand nur von den Clients gespeichert zu werden braucht. Diese Architektur nutzt bestehende Schlüsselverwaltungsprotokolle, Kerberos mit der PKINIT-Erweiterung (Erweiterung mit öffentlichem Schlüssel), um ein IP-Telefonie-System bereitzustellen, das ein hohes Maß an Skalierbarkeit aufweist. In dem Fall von verlorenen Sicherheitsassoziationen berücksichtigt die Architektur leichte Umschlüsselungsoperationen, die es den Clients ermöglichen, die verlorene Assoziation schnell wieder einzurichten oder auf einen anderen Server zu schalten.
  • In einer Ausführungsform der vorliegenden Erfindung wird ein Verfahren zum Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt und einem Server in einem IP-Telefonie-Netz bereitgestellt. Der Endpunkt ist an einen Verbraucher gekoppelt und der Server ist an das IP-Telefonie-Netz gekoppelt. Das Verfahren umfasst Schritte des Übertragens einer Anforderung eines Sicherheitstickets von dem Endpunkt an ein Schlüsselverteilungszentrum, des Empfangens des Sicherheitstickets von dem Schlüsselverteilungszentrum, des Übertragens einer Anforderung eines Unterschlüssels vom Endpunkt zum Server, des Empfangens des Unterschlüssels von dem Server und des Einrichtens eines sicheren Kanals zwischen dem Endpunkt und dem Server unter Verwendung des Unterschlüssels.
  • Ein besseres Verständnis der Beschaffenheit und der Vorteile der hier offenbarten Erfindungen kann unter Bezugnahme auf die verbleibenden Abschnitte der Patentschrift und die beigefügten Zeichnungen realisiert werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein Telefonie-Netz, das gemäß der vorliegenden Erfindung konstruiert ist;
  • 2 zeigt ein Nachrichtenaustauschschema zum Einrichten eines sicheren Nachrichtenkanals gemäß der vorliegenden Erfindung; und
  • 3 zeigt ein Verfahren zum Einrichten eines sicheren Nachrichtenkanals unter Verwendung der Nachrichten aus 2.
  • BESCHREIBUNG DER SPEZIFISCHEN AUSFÜHRUNGSFORMEN
  • Ausführungsformen der vorliegenden Erfindung sehen das Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt und einem Server in einem IP-Telefonie-Netz vor. In den hier erörterten Ausführungsformen stellt eine Kabeltelefonieadapter-Vorrichtung (CTA-Vorrichtung) den IP-Telefonie-Endpunkt dar, und eine Signalisierungssteuereinheit (SC) stellt den Server dar. Die vorliegende Erfindung ist jedoch zur Verwendung mit anderen Arten von Netzendpunkten und Servern, die hier nicht erörtert werden, geeignet.
  • 1 zeigt einen Abschnitt eines Telefonie-Netzes 100, der gemäß der vorliegenden Erfindung konstruiert ist. Um auf das Telefonie-Netz zuzugreifen, bietet CTA 102 einem Verbraucher 104 Zugang über eine Hybridfaser-Coax-Kopfstelle (HFC-Kopfstelle) 106. Die HFC-Kopfstelle 106 weist das Leistungsvermögen auf, anderen Verbrauchern Zugang zu bieten, wie bei 108 gezeigt. Die HFC-Kopfstelle ist auch an eine Signalisierungssteuereinheit (SC) 110 gekoppelt, die an eine Telefonie-Netzhaupttrasse 114 gekoppelt ist. Die Signalisierungssteuereinheit wird verwendet, um den Zugang des CTA zum Telefonie-Netz zu steuern. Ein Schlüsselverteilungszentrum (KDC) 112 ist ebenfalls an die Telefonie-Netzhaupttrasse 114 gekoppelt. Das KDC 112 gibt Kerberos-Tickets aus, die wiederum dazu verwendet werden, Unterschlüssel für sichere Verbindungsprotokolle wie etwa das IPSec-ESP-Protokoll (ESP encapsulating security payload, Verkapselungssicherheitsnutzlast) oder andere sichere Verbindungen zu erzeugen. Das Netz 100 schließt außerdem ein Kundendienstberater-Zentrum (KDB-Zentrum) 116, eine bereitstellende Zertifizierungsautorität (CA) 118 und einen Verrechnungshauptrechner 120 ein. In dem Netz 100 kann der Verbraucher 104 somit über den CTA 102 unter Verwendung eines sicheren Protokolls auf die Telefoniehaupttrasse 114 zugreifen.
  • Ausführungsformen der vorliegenden Erfindung schließen die Verwendung des Kerberos-Protokolls mit PKINIT-Erweiterung mit öffentlichem Schlüssel für die Schlüsselverwaltung ein. Dieses Protokoll basiert auf Kerberos-Tickets, die Cookies sind, welche mit dem Schlüssel des bestimmten Servers verschlüsselt sind. Das Kerberos-Ticket wird verwendet, um sowohl einen Client gegenüber einem Server zu authentifizieren als auch einen Sitzungsschlüssel einzurichten, der in dem Ticket enthalten ist. Das Zugreifen auf Kerberos-Dienste kann unter Verwendung des Standards GSS-API (= Generic Security Service Application Program Interface, generische Sicherheitsdienst-Anwenderprogramm-Schnittstelle) vorgenommen werden.
  • In einer Ausführungsform der vorliegenden Erfindung wird von dem CTA eine Zweiweg-Authentifizierung mit Zertifikaten mit öffentlichem Schlüssel verwendet, um ein Sicherheitsticket in der Form eines Signalisierungssteuereinheit-Tickets von dem KDC zu erhalten. An den CTA wird ein entsprechender Sitzungsschlüssel geliefert, der entweder mit dem öffentlichen Schlüssel des CTA oder mit einem geheimen, von einem Diffie-Hellman-Austausch abgeleiteten versiegelt ist. Das Signalisierungssteuereinheit-Ticket wird über eine relativ lange Zeitspanne, zum Beispiel über Tage oder Wochen, behalten. Die Länge dieser Spanne kann auf der Basis der Netzleistungserfordernisse angepasst werden. Zusätzlich dazu wird das Signalisierungssteuereinheit-Ticket dafür verwendet, einen symmetrischen Sitzungsschlüssel einzurichten, der wiederum verwendet wird, um einen Satz Schlüssel zur Verwendung mit dem IPSec-ESP-Modus einzurichten. Die von IPSec verwendeten Schlüssel sind nicht von dem Sitzungsschlüssel selbst abgeleitet. Stattdessen wird für jeden Telefonanruf ein weiterer zufallsverteilter Schlüssel (d. h. ein Unterschlüssel) erzeugt und dann dafür verwendet, die IPSec-Schlüssel abzuleiten. Auf diese Weise braucht die Signalisierungssteuereinheit ihren Zustand nicht beizubehalten. Nachdem sie alle erforderlichen Schlüssel aus dem Unterschlüssel abgeleitet und Signalisierungsnachrichten mit dem CTA ausgetauscht hat, kann die Signalisierungssteuereinheit das Ticket zusammen mit allen zugehörigen Schlüsseln verwerfen.
  • Die Verwendung des Kerberos-Protokolls mit der PKINIT-Erweiterung in Ausführungsformen der vorliegenden Erfindung bietet mehrere Vorteile. So muss zum Beispiel die Signalisierungssteuereinheit ihren Zustand nicht beibehalten – Kerberos-Tickets brauchen nur von den Endpunkten (CTAs) behalten zu werden. Außerdem können IPSec-Sicherheitsassoziationen abgebaut werden, wenn sie nicht länger gebraucht werden, und mit effizienter Schlüsselverwaltung auf der Basis der Kerberos-Tickets schnell wieder eingerichtet werden. Das Protokoll läuft über sowohl TCP- als auch UDP-Protokolle und ist ein weithin erhältlicher Standard, wobei verschiedene Anbieter sowohl Kerberos als auch PKINIT unterstützen.
  • In einer Ausführungsform innerhalb des PKINIT-Protokolls wird RSA sowohl für Schlüssellieferung als auch Authentifizierung verwendet. In einer anderen Ausführungsform kann eine PKINIT-Option verwendet werden, wobei Diffie-Hellman für den Schlüsselaustausch verwendet wird und RSA zur Authentifizierung verwendet wird. Im Allgemeinen eignen sich Ausführungsformen der vorliegenden Erfindung zur Verwendung mit allen öffentlichen Schlüsselalgorithmen in PKINIT sowohl zur Authentifizierung als auch für Schlüsselaustausche.
  • 2 zeigt ein Nachrichtenaustauschschema 200, das veranschaulicht, wie der CTA Kerberos verwendet, um den Unterschlüssel zu erhalten, der wiederum dazu verwendet wird, um IPSec-ESP-Schlüssel für die Signalisierungsnachrichten vom CTA zur Signalisierungssteuereinheit abzuleiten. In dem Austauschschema 200 werden nur einige der Informationen, die in den Nachrichten befördert werden, bereitgestellt, um eine deutliche Beschreibung des Protokolls zu präsentieren. Das Austauschschema 200 zeigt Nachrichten, die an dem CTA 102 übertragen oder empfangen werden, bei Linie 220, Nachrichten, die an dem KDC 112 übertragen oder empfangen werden, bei Linie 222 und Nachrichten, die an der Signalisierungssteuereinheit 110 übertragen oder empfangen werden, bei Linie 224.
  • 3 zeigt ein Flussdiagramm 300, das veranschaulicht, wie die Nachrichten von 2 gemäß der vorliegenden Erfindung ausgetauscht werden.
  • Bei Block 302 wird eine PKINIT-Anforderung, die ein Sicherheitsticket anfordert, welches in der Form des oben näher erörterten Kerberos-Tickets vorliegen könnte, von dem CTA 102 an das KDC 112 gesendet, wie durch Nachricht 202 gezeigt. Diese Anforderung schließt die CTA-Signatur und das CTA-Zertifikat ein, welche von dem KDC verwendet werden, um den CTA zu authentifizieren. Diese Anforderung befördert auch die aktuelle Zeit, die von dem KDC verwendet wird, um zu verifizieren, dass diese Nachricht keine Wiedergabe oder Neuübertragung einer alten Nachricht ist. Die PKINIT-Anforderung enthält auch einen Zufallswert (Nonce genannt), der verwendet wird, um eine nachfolgende PKINIT-Antwortnachricht an diese Anforderung zu binden. Falls ein Diffie-Hellman-Austausch verwendet wird, schließt der CTA auch seine Diffie-Hellman-Parameter und den öffentlichen Wert in der PKINIT-Anforderung ein.
  • Bei Block 304 empfängt und verifiziert das KDC 112 die PKINIT-Anforderung und gibt dann an den CTA ein Sicherheitsticket für die Signalisierungssteuereinheit aus (hier im Folgenden als Signalisierungssteuereinheit-Ticket oder SC-Ticket bezeichnet), welches mit dem Dienstschlüssel der Signalisierungssteuereinheit verschlüsselt ist. Im Inneren dieses verschlüsselten Sicherheitstickets befinden sich ein symmetrischer Sitzungsschlüssel, seine Gültigkeitsdauer und die CTA-Identität. In diesem Schritt wird außerdem das Sicherheitsticket in einer PKINIT-Antwort, die von Nachricht 204 gezeigt wird, zurück an den CTA 102 geschickt. Die PKINIT-Antwortnachricht enthält auch das Zertifikat des KDC und die Signatur zur Authentifizierung des KDC, zusammen mit der Nonce von der PKINIT-Anforderung, um gegen Wiedergaben zu schützen. Wenn ein Diffie-Hellman-Austausch verwendet wird, platziert das KDC auch seinen öffentlichen Diffie-Hellman-Wert in dieser Nachricht.
  • Die PKINIT-Antwort enthält auch eine zweite Kopie des Sitzungsschlüssels und seine in dem Sicherheitsticket zu findende Gültigkeitsdauer – vorgesehen, um von dem CTA entschlüsselt und verwendet zu werden. Diese zweite Kopie des Sitzungsschlüssels und seine zugehörigen Attribute sind entweder mit einem Diffie-Hellman abgeleiteten, geheimen Schlüssel verschlüsselt oder mit dem öffentlichen Schlüssel des CTA umhüllt. Umhüllt bedeutet hier, dass der Sitzungsschlüssel zusammen mit seinen zugehörigen Attributen nicht direkt mit dem öffentlichen Schlüssel des CTA verschlüsselt ist. In der PKINIT-Antwort wird der öffentliche Schlüssel verwendet, um einen zufallsverteilten symmetrischen Schlüssel zu verschlüsseln, der wiederum verwendet wird, um einen anderen symmetrischen Schlüssel zu verschlüsseln, der dann schließlich dazu verwendet wird, den Sitzungsschlüssel und seine Attribute zu verschlüsseln. Diese Ausführungsform verwendet den PKINIT Standard so, wie er ist, selbst wenn in diesem Fall Vereinfachungen an der PKINIT-Antwort möglich scheinen. Wird kein Diffie-Hellman-Austausch verwendet, dann enthält die Antwort Nachrichtenelemente, wie bei 226 gezeigt.
  • Bei Block 306 wird eine Anwendungsanforderung (AP-Anforderung), die einen Unterschlüssel anfordert, von dem CTA 102 an die Signalisierungssteuereinheit 110 gesendet, wie von Nachricht 206 gezeigt. Hierbei hat ein CTA bereits ein Signalisierungssteuereinheit-Ticket erhalten und initialisiert nun eine Schlüsselverwaltung mit der Signalisierungssteuereinheit, indem er ihr eine AP-Anforderungsnachricht sendet. Die AP-Anforderung enthält das Signalisierungssteuereinheit-Ticket zusammen mit dem CTA-Namen, dem Zeitstempel und einem Nachrichten-Hash, die alle mit dem SC-Sitzungsschlüssel verschlüsselt sind. Der Zeitstempel wird verwendet, um auf Wiedergaben von alten AP-Anforderungsnachrichten hin zu prüfen.
  • Bei Block 308 empfängt die Signalisierungssteuereinheit 110 eine AP- Anforderung. Mit ihrem Dienstschlüssel entschlüsselt sie zunächst das Sicherheitsticket und validiert es. Dann nimmt sie den Sitzungsschlüssel aus dem Ticket und verwendet ihn, um den Rest der AP-Anforderung zu entschlüsseln und zu validieren. Die Signalisierungssteuereinheit erzeugt dann einen zufallsverteilten Unterschlüssel und verschlüsselt ihn zusammen mit dem aktuellen Zeitstempel mit dem Sitzungsschlüssel. Sie platziert diese Informationen in eine AP-Antwortnachricht 208 und sendet sie zurück an den CTA.
  • Bei Block 310 empfängt und validiert der CTA die AP-Antwort, woraufhin er den Unterschlüssel mit der Signalisierungssteuereinheit teilt. Beide Seiten leiten unabhängig voneinander (mit irgendeiner Einwegfunktion) aus diesem Unterschlüssel einen Satz IPSec-Verschlüsselungs- und Authentifizierungsschlüssel ab. Daraufhin sind alle Signalisierungsnachrichten zwischen dem CTA und der Signalisierungssteuereinheit mit einem IPSec-Kanal geschützt. Diese Einrichtung des IPSec-Kanals ist symbolisch bei 210 in 2 veranschaulicht – obwohl dieser Schritt keinen Nachrichtenaustausch involviert.
  • In der in 2 und 3 abgebildeten Ausführungsform der Erfindung wird der PKINIT-Austausch in großen Intervallen durchgeführt, um einen symmetrischen Zwischensitzungsschlüssel zu erhalten. Dieser Sitzungsschlüssel wird von dem CTA und der Signalisierungssteuereinheit (über das Signalisierungssteuereinheit-Ticket) geteilt.
  • In dieser Ausführungsform werden die PKINIT-Anforderungs-/Antwortnachrichten, die bei 202 und 204 gezeigt sind, über eine TCP/IP-Verbindung gesendet. Dies liegt daran, dass eine einzelne PKINIT-Anforderungs- oder Antwortnachricht, die einen öffentlichen Schlüssel und Diffie-Hellman-Informationen enthält, zu groß sein kann, um in ein einzelnes UDP-Paket zu passen. Die Verwendung von TCP-Protokoll anstelle von UDP-Protokoll kann eine gewisse Auswirkung auf die Leistung haben, aber da der PKINIT-Austausch in seltenen Intervallen erfolgt (im Abstand von Tagen oder Wochen) und nicht an Telefonanrufe gebunden ist, ist die Auswirkung auf die Leistung nicht signifikant.
  • Der Sitzungsschlüssel wird in den AP-Anforderungs- und AP-Antwortnachrichten, die bei 206, 208 gezeigt sind, verwendet und für jeden Telefonanruf ausgetauscht, um einen symmetrischen Unterschlüssel einzurichten. Dieser Unterschlüssel wird verwendet, um alle IPSec-ESP-Schlüssel und Anfangsfolgenummern, die für beide Richtungen verwendet werden, abzuleiten. Die AP-Anforderungs- und AP-Antwortnachrichten sind klein genug, um in ein einzelnes UDP-Paket zu passen, und laufen daher über UDP-Protokoll.
  • Die vorliegende Erfindung stellt eine hoch skalierbare Schlüsselverwaltungsarchitektur für sichere Client-Server-Systeme, die in IP-Telefonie-Netzen verwendet werden, bereit. Es wird dem Fachmann ersichtlich sein, dass Abwandlungen an den obigen Verfahren und Ausführungsformen auftreten können, ohne den Bereich der vorliegenden Erfindung zu verlassen. Demgemäß sollen die hiesigen Offenbarungen und Beschreibungen den Bereich der Erfindung, der in den folgenden Ansprüchen dargelegt ist, veranschaulichen, aber nicht einschränken.

Claims (4)

  1. Ein Verfahren zum Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt (102, 220) und einem Server (110, 224) in einem IP-Telefonie-Netz (100), wobei der Endpunkt (102, 220) an einen Verbraucher (104) gekoppelt ist und der Server (110, 224) an das IP-Telefonie-Netz (100) gekoppelt ist, wobei das Verfahren durch die folgenden Schritte gekennzeichnet ist: Übertragen einer Anforderung eines Sicherheitstickets von dem Endpunkt (102, 220) an ein Schlüsselverteilungszentrum (112, 222) (202); Empfangen des Sicherheitstickets von dem Schlüsselverteilungszentrum (112, 222) (204); Übertragen des Sicherheitstickets zusammen mit einer Anforderung eines Unterschlüssels, der unter Verwendung eines Sitzungsschlüssels verschlüsselt ist, vom Endpunkt (102, 220) zum Server (110, 224) (206); Validieren des Sicherheitstickets an dem Server (110, 224) unter Verwendung des Sitzungsschlüssels, um die Unterschlüsselanforderung zu entschlüsseln, und Erzeugen eines Unterschlüssels, der mit dem Sitzungsschlüssel verschlüsselt und an den Endpunkt (102, 220) gesendet wird (308); Empfangen des Unterschlüssels von dem Server (110, 224) (208); und Einrichten eines sicheren Kanals zwischen dem Endpunkt (102, 220) und dem Server (110, 224) unter Verwendung des Unterschlüssels (310).
  2. Verfahren gemäß Anspruch 1, wobei der Endpunkt (102, 220) ein Kabeltelefonadapter (102) ist.
  3. Verfahren gemäß Anspruch 1, wobei der Server (110, 224) eine Signalisierungssteuereinheit (110) ist.
  4. Verfahren gemäß Anspruch 1, wobei der sichere Kanal ein IPSec-Kanal ist.
DE60024800T 1999-04-09 2000-04-07 Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle Expired - Lifetime DE60024800T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12877299P 1999-04-09 1999-04-09
US128772P 1999-04-09
PCT/US2000/009323 WO2000062507A1 (en) 1999-04-09 2000-04-07 Key management between a cable telephony adapter and associated signaling controller

Publications (2)

Publication Number Publication Date
DE60024800D1 DE60024800D1 (de) 2006-01-19
DE60024800T2 true DE60024800T2 (de) 2006-07-06

Family

ID=22436900

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60024800T Expired - Lifetime DE60024800T2 (de) 1999-04-09 2000-04-07 Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle

Country Status (9)

Country Link
US (2) US7568223B2 (de)
EP (2) EP1171989A2 (de)
CN (1) CN1127835C (de)
AT (1) ATE313200T1 (de)
AU (2) AU4079200A (de)
CA (2) CA2370471A1 (de)
DE (1) DE60024800T2 (de)
HK (1) HK1045917B (de)
WO (2) WO2000062519A2 (de)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000062519A2 (en) * 1999-04-09 2000-10-19 General Instrument Corporation Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US6966003B1 (en) * 2001-01-12 2005-11-15 3Com Corporation System and method for switching security associations
US8156223B2 (en) * 2001-03-20 2012-04-10 Microsoft Corporation Distribution of binary executables and content from peer locations/machines
US8555062B1 (en) * 2001-03-26 2013-10-08 Access Co., Ltd. Protocol to prevent replay attacks on secured wireless transactions
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
KR100415117B1 (ko) * 2002-03-04 2004-01-13 삼성전자주식회사 인터넷프로토콜 전화시스템에서 인터넷프로토콜단말기들간의 다중통화 시 강제 착신장치 및 방법
US7565537B2 (en) * 2002-06-10 2009-07-21 Microsoft Corporation Secure key exchange with mutual authentication
FR2845226B1 (fr) * 2002-10-01 2004-12-10 France Telecom Procede et installation de controle de l'identite de l'emetteur d'un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation
JP4397675B2 (ja) * 2003-11-12 2010-01-13 株式会社日立製作所 計算機システム
JP4559794B2 (ja) * 2004-06-24 2010-10-13 株式会社東芝 マイクロプロセッサ
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US7748032B2 (en) * 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7464267B2 (en) * 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
JP4548737B2 (ja) * 2005-01-24 2010-09-22 パナソニック株式会社 署名生成装置及び署名検証装置
US7890634B2 (en) * 2005-03-18 2011-02-15 Microsoft Corporation Scalable session management
US7650505B1 (en) * 2005-06-17 2010-01-19 Sun Microsystems, Inc. Methods and apparatus for persistence of authentication and authorization for a multi-tenant internet hosted site using cookies
US7545810B2 (en) * 2005-07-01 2009-06-09 Cisco Technology, Inc. Approaches for switching transport protocol connection keys
WO2007062392A2 (en) * 2005-11-23 2007-05-31 Riverain Medical Group, Llc Computer-aided diagnosis using dual-energy subtraction images
BRPI0520722B1 (pt) * 2005-11-30 2018-12-26 Telecom Italia Spa método para prover automaticamente um terminal de comunicação com credencias de acesso de serviço para acessar um serviço on-line, sistema para prover automaticamente a um terminal de comunicação, adaptado ao uso em uma rede de comunicações, credencias de acesso de serviço para acessar um serviço on-line, provedor de serviço on-line, e, terminal de comunicação.
KR100652017B1 (ko) * 2005-12-08 2006-12-01 한국전자통신연구원 물리보안공격에 대한 닥시스 케이블 모뎀의 보안 방법
US7706381B2 (en) * 2006-01-10 2010-04-27 Cisco Technology, Inc. Approaches for switching transport protocol connection keys
US8140851B1 (en) * 2006-02-24 2012-03-20 Cisco Technology, Inc. Approaches for automatically switching message authentication keys
US8732279B2 (en) * 2006-08-18 2014-05-20 Cisco Technology, Inc. Secure network deployment
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
CA2571891C (en) * 2006-12-21 2015-11-24 Bce Inc. Device authentication and secure channel management for peer-to-peer initiated communications
EP2140611A1 (de) * 2007-04-30 2010-01-06 Hewlett-Packard Development Company, L.P. System und verfahren zum verteilen von knotenkonfigurationsinformationen
ES2906127T3 (es) 2007-09-17 2022-04-13 Ericsson Telefon Ab L M Método y disposición en un sistema de telecomunicaciones
US8171483B2 (en) 2007-10-20 2012-05-01 Citrix Systems, Inc. Method and system for communicating between isolation environments
CN101286840B (zh) * 2008-05-29 2014-07-30 西安西电捷通无线网络通信股份有限公司 一种利用公钥密码技术的密钥分配方法及其系统
US7877503B2 (en) * 2008-07-02 2011-01-25 Verizon Patent And Licensing Inc. Method and system for an intercept chain of custody protocol
US8776238B2 (en) * 2008-07-16 2014-07-08 International Business Machines Corporation Verifying certificate use
KR101255987B1 (ko) * 2008-12-22 2013-04-17 한국전자통신연구원 Dcas 시스템의 sm과 tp간의 페어링 방법, 이를 이용한 셋탑박스 및 인증장치
US20110013762A1 (en) * 2009-07-18 2011-01-20 Gregg Bieser Notification apparatus & method
EP2484084B1 (de) * 2009-09-30 2019-03-27 Orange Verfahren und geräte zur sicheren kommunikation vor denial-of-service- oder flooding-attacken in einem telekommunikationsnetzwerk
US20110302416A1 (en) * 2010-03-15 2011-12-08 Bigband Networks Inc. Method and system for secured communication in a non-ctms environment
EP2387262B1 (de) * 2010-05-10 2015-04-29 BlackBerry Limited System und Verfahren für eine Multi-Zertifikat- und Zertifikatsautoritätsstrategie
US8347080B2 (en) 2010-05-10 2013-01-01 Research In Motion Limited System and method for multi-certificate and certificate authority strategy
US8566596B2 (en) * 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
US8938619B2 (en) * 2010-12-29 2015-01-20 Adobe Systems Incorporated System and method for decrypting content samples including distinct encryption chains
US8843737B2 (en) * 2011-07-24 2014-09-23 Telefonaktiebolaget L M Ericsson (Publ) Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS)
WO2013061614A2 (en) * 2011-10-28 2013-05-02 Nec Corporation Secure method for mtc device triggering
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
EP2907287B1 (de) * 2012-10-15 2016-06-29 Nokia Solutions and Networks Oy Netzwerkauthentifizierung
US9515996B1 (en) * 2013-06-28 2016-12-06 EMC IP Holding Company LLC Distributed password-based authentication in a public key cryptography authentication system
US9553982B2 (en) * 2013-07-06 2017-01-24 Newvoicemedia, Ltd. System and methods for tamper proof interaction recording and timestamping
JP6278651B2 (ja) * 2013-09-27 2018-02-14 キヤノン株式会社 ネットワークシステム、管理サーバシステム、制御方法及びプログラム
FR3018371B1 (fr) 2014-03-10 2016-05-06 Commissariat Energie Atomique Procede et systeme de chiffrement/dechiffrement de donnees a cle distante et verification prealable de jeton
US20170163607A1 (en) * 2015-12-03 2017-06-08 Microsoft Technology Licensing, Llc Establishing a Communication Event Using Secure Signalling
US10009380B2 (en) 2016-01-08 2018-06-26 Secureworks Corp. Systems and methods for security configuration
US10263788B2 (en) * 2016-01-08 2019-04-16 Dell Products, Lp Systems and methods for providing a man-in-the-middle proxy
US20180123782A1 (en) * 2016-10-27 2018-05-03 Motorola Solutions, Inc. Method for secret origination service to distribute a shared secret
EP3501654B1 (de) 2017-12-22 2021-08-25 Tecan Trading Ag Pipettiervorrichtung mit einem pipettenrohr und verfahren zur detektion einer flüssigkeit innerhalb eines mittelabschnitts des pipettenrohrs
US10771269B2 (en) * 2018-03-09 2020-09-08 Cisco Technology, Inc. Automated intelligent node for hybrid fiber-coaxial (HFC) networks
US10630467B1 (en) * 2019-01-04 2020-04-21 Blue Ridge Networks, Inc. Methods and apparatus for quantum-resistant network communication
US11063753B2 (en) 2019-03-20 2021-07-13 Arris Enterprises Llc Secure distribution of device key sets over a network
US11743242B2 (en) * 2020-07-27 2023-08-29 Charter Communications Operating, Llc Establishing an encrypted communications channel without prior knowledge of the encryption key
CN112492004B (zh) * 2020-11-17 2023-02-17 深圳市晨北科技有限公司 本地通信链接的建立方法及设备、系统及存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5235642A (en) 1992-07-21 1993-08-10 Digital Equipment Corporation Access control subsystem and method for distributed computer system using locally cached authentication credentials
WO1995008885A1 (en) * 1993-09-20 1995-03-30 International Business Machines Corporation System and method for changing the key or password in a secure distributed communications network
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
IL113259A (en) * 1995-04-05 2001-03-19 Diversinet Corp A device and method for a secure interface for secure communication and data transfer
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
SE506775C2 (sv) * 1996-06-04 1998-02-09 Ericsson Telefon Ab L M Sätt och anordning för samtidig telefon- och Internetförbindelse på en telefonlinje
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US5864665A (en) * 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US5867495A (en) * 1996-11-18 1999-02-02 Mci Communications Corporations System, method and article of manufacture for communications utilizing calling, plans in a hybrid network
US5917817A (en) * 1996-12-06 1999-06-29 International Business Machines Corporation User invocation of services in public switched telephone network via parallel data networks
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
EP0976234A2 (de) 1997-04-15 2000-02-02 MCI Worldcom, Inc. System, verfahren und hergestellter gegenstand für fernsprechschaltkommunikation
US5999612A (en) * 1997-05-27 1999-12-07 International Business Machines Corporation Integrated telephony and data services over cable networks
WO2000062519A2 (en) * 1999-04-09 2000-10-19 General Instrument Corporation Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification
ATE312464T1 (de) * 2000-09-22 2005-12-15 Gen Instrument Corp Sicherheitsarchitektur der internet-protokoll telefonie
US20030163693A1 (en) * 2002-02-28 2003-08-28 General Instrument Corporation Detection of duplicate client identities in a communication system

Also Published As

Publication number Publication date
HK1045917A1 (en) 2002-12-13
CA2365856C (en) 2011-11-01
DE60024800D1 (de) 2006-01-19
WO2000062507A1 (en) 2000-10-19
CA2370471A1 (en) 2000-10-19
EP1169833A1 (de) 2002-01-09
US8544077B2 (en) 2013-09-24
US20050027985A1 (en) 2005-02-03
WO2000062519A3 (en) 2001-02-08
CN1346563A (zh) 2002-04-24
US20090323954A1 (en) 2009-12-31
WO2000062519A2 (en) 2000-10-19
CN1127835C (zh) 2003-11-12
CA2365856A1 (en) 2000-10-19
EP1169833B1 (de) 2005-12-14
AU4079200A (en) 2000-11-14
EP1171989A2 (de) 2002-01-16
US7568223B2 (en) 2009-07-28
HK1045917B (zh) 2004-09-10
ATE313200T1 (de) 2005-12-15
AU4213600A (en) 2000-11-14
WO2000062519A9 (en) 2002-02-21

Similar Documents

Publication Publication Date Title
DE60024800T2 (de) Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE60208273T2 (de) Verfahren zur Schlüsselübereinkunft in einem sicheren Kommunikationssystem
DE60017292T2 (de) Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
EP1308017B1 (de) Verfahren zur schlüsselvereinbarung für eine kryptographisch gesicherte punkt-zu-multipunkt verbindung
EP2975570A1 (de) Verfahren und eine Vorrichtung zur Absicherung von Zugriffen auf Wallets in denen Kryptowährungen abgelegt sind
EP0832542B1 (de) Verfahren und vorrichtung zur authentisierung von teilnehmern gegenüber digitalen vermittlungsstellen
EP3518489A1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
EP1563638A1 (de) Kommunikationssystem mit quantenkryptographie und vermittlungsstationen
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
EP3854022A1 (de) Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system
EP2098039A1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
EP0632616B1 (de) Verfahren zur Datensicherung in einem B-ISDN Telekommunikationssystem
DE102006003167B3 (de) Sichere Echtzeit-Kommunikation
DE3939828C2 (de)
DE102014212443A1 (de) Verringerung des Speicherbedarfs für kryptographische Schlüssel
EP2685682A2 (de) Verfarhen und System zur sicheren Nachrichtenübertragung
EP2830277B1 (de) Verfahren und system zur manipulationssicheren übertragung von datenpaketen
EP3066812B1 (de) Verfahren zur sicherung von telekommunikationsverkehrsdaten
EP0877507B1 (de) Ende-zu-Ende Verschlüsselung
EP3005645B1 (de) Verfahren zur sicherung von telekommunikationsverkehrsdaten
DE102009023414B4 (de) Schlüsselverwaltung für Kommunikationsnetze
EP4199419A1 (de) Sicherung von und zu teilnehmerseitigem verbindungsendpunkt über öffentliches netz übertragener daten
EP3907958A1 (de) Verfahren zum aufbau eines sicheren übertragungskanals zur datenübermittlung innerhalb eines industriellen automatisierungssystems

Legal Events

Date Code Title Description
8364 No opposition during term of opposition