DE60024800T2 - Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle - Google Patents
Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle Download PDFInfo
- Publication number
- DE60024800T2 DE60024800T2 DE60024800T DE60024800T DE60024800T2 DE 60024800 T2 DE60024800 T2 DE 60024800T2 DE 60024800 T DE60024800 T DE 60024800T DE 60024800 T DE60024800 T DE 60024800T DE 60024800 T2 DE60024800 T2 DE 60024800T2
- Authority
- DE
- Germany
- Prior art keywords
- cta
- signaling
- server
- key
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2207/00—Indexing scheme relating to methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F2207/72—Indexing scheme relating to groups G06F7/72 - G06F7/729
- G06F2207/7219—Countermeasures against side channel or fault attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
- G06F2211/008—Public Key, Asymmetric Key, Asymmetric Encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Description
- GEBIET DER ERFINDUNG
- Diese Erfindung bezieht sich im Allgemeinen auf eine Schlüsselverwaltung für Client-Server-Systeme und insbesondere auf ein skalierbares Schlüsselverwaltungssystem zur Verwendung in IP-Telefonie-Netzen.
- ALLGEMEINER STAND DER TECHNIK
- In einem Internetprotokoll-(IP-)Telefonie-Netz kann ein Netzwerk-Server für das Aufsetzen von Telefonanrufen mit bis zu 100 000 Clients verantwortlich sein. Die Clients können über Kabeltelefonieadapter-Vorrichtungen (CTA-Vorrichtungen) an das Telefonie-Netz gekoppelt sein. Um die Anrufsignalisierung zu sichern, wird zwischen jedem Client und dem Server eine Internetprotokollsicherheits-Assoziation (IPSec-Assoziation) aufgesetzt. Dies muss rechtzeitig geschehen, um den CPU-Aufwand am Server und die Verzögerung beim Aufsetzen der Anrufe zu minimieren.
- Um eine große Anzahl an Clients bewältigen zu können, muss die Schlüsselverwaltung so schnell wie möglich sein. Zum Beispiel könnten Sicherheitsassoziationen verloren gehen, wenn ein Server abstürzt oder zu beschäftigt ist, um alle seine Clients zu bewältigen. Die verlorenen Sicherheitsassoziationen müssen dann bei Bedarf wieder neu eingerichtet werden. Die manuelle Administration von Clients ist aufgrund hoher Aufwandkosten und eines Fehlens der Skalierbarkeit ungeeignet. Andere Techniken, die in Architekturen verwendet werden, welche nicht mit der IP-Telefonie verwandt sind, sind ebenfalls ungeeignet, das sie nicht die gewünschte Skalierbarkeit und den gewünschten niedrigen Administrationsaufwand bieten.
-
US 5 867 495 betrifft ein System für Telefonanrufe, Daten und andere Multimedia-Informationen, die durch ein hybrides Netz geleitet werden, welches den Transfer von Informationen über das Internet unter Verwendung von Telefonie-Leitinformationen und Internetprotokoll-Adresseninformationen einschließt. Eine Medienauftragserfassung erfasst die vollständigen Verbraucherprofilinformationen für einen Verbraucher. Diese Profilinformationen werden von dem System während des ganzen Medienerlebnisses zum Leiten, Verrechnen, Überwachen, Berichten und für andere Mediensteuerfunktionen verwendet. Verbraucher können eine größere Zahl an Aspekten eines Netzes verwalten, als vorher möglich war, und Netzaktivitäten von einem zentralen Punkt steuern. Verbrauchern wird Telefonkarten-Zugang geboten, der typische Anrufe sowie Medientransfers über das hybride Netz unterstützt. - WO98/36522 betrifft ein Verfahren und einen Apparat zum Verbessern der Sicherheit einer Nachricht, die durch einen Netzwerk-Server von einem Client-Computer an einen Zielserver gesendet wird. Eine sichere Verbindung zum Empfangen und Übertragen von Daten wird zwischen dem Client-Computer und dem Netzwerk-Server eingerichtet. Es werden Informationen zur Identifizierung des Client und Informationen zur sicheren Authentifizierung von einem Validierungszentrum verwendet. Netzwerk-Server können die Client-Authentifizierungsinformationen verwenden, um die Erlaubnis des Validierungszentrums für den Zugriff auf den Zielserver zu erhalten.
- Keines der obigen Dokumente erörtert jedoch ein System, das ein einfaches und leicht skalierbares Schlüsselverwaltungssystem bereitstellt, das den Bedarf an einer Hauptspeicherstelle für eine große Anzahl an Sicherheitsassoziationen umgeht. Ferner gibt es bei den obigen Dokumenten keine Möglichkeit, nach einem Verlust einer Assoziation mit einem Server, oder wenn ein Client auf einen anderen Server schaltet, schnell umzuschlüsseln.
- ZUSAMMENFASSUNG DER ERFINDUNG
- Die vorliegende Erfindung schließt eine hochgradig skalierbare Schlüsselverwaltungsarchitektur für sichere Client-Server-Systeme, die in IP-Telefonie-Netzen verwendet werden, ein, wobei der kryptographische Zustand nur von den Clients gespeichert zu werden braucht. Diese Architektur nutzt bestehende Schlüsselverwaltungsprotokolle, Kerberos mit der PKINIT-Erweiterung (Erweiterung mit öffentlichem Schlüssel), um ein IP-Telefonie-System bereitzustellen, das ein hohes Maß an Skalierbarkeit aufweist. In dem Fall von verlorenen Sicherheitsassoziationen berücksichtigt die Architektur leichte Umschlüsselungsoperationen, die es den Clients ermöglichen, die verlorene Assoziation schnell wieder einzurichten oder auf einen anderen Server zu schalten.
- In einer Ausführungsform der vorliegenden Erfindung wird ein Verfahren zum Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt und einem Server in einem IP-Telefonie-Netz bereitgestellt. Der Endpunkt ist an einen Verbraucher gekoppelt und der Server ist an das IP-Telefonie-Netz gekoppelt. Das Verfahren umfasst Schritte des Übertragens einer Anforderung eines Sicherheitstickets von dem Endpunkt an ein Schlüsselverteilungszentrum, des Empfangens des Sicherheitstickets von dem Schlüsselverteilungszentrum, des Übertragens einer Anforderung eines Unterschlüssels vom Endpunkt zum Server, des Empfangens des Unterschlüssels von dem Server und des Einrichtens eines sicheren Kanals zwischen dem Endpunkt und dem Server unter Verwendung des Unterschlüssels.
- Ein besseres Verständnis der Beschaffenheit und der Vorteile der hier offenbarten Erfindungen kann unter Bezugnahme auf die verbleibenden Abschnitte der Patentschrift und die beigefügten Zeichnungen realisiert werden.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 zeigt ein Telefonie-Netz, das gemäß der vorliegenden Erfindung konstruiert ist; -
2 zeigt ein Nachrichtenaustauschschema zum Einrichten eines sicheren Nachrichtenkanals gemäß der vorliegenden Erfindung; und -
3 zeigt ein Verfahren zum Einrichten eines sicheren Nachrichtenkanals unter Verwendung der Nachrichten aus2 . - BESCHREIBUNG DER SPEZIFISCHEN AUSFÜHRUNGSFORMEN
- Ausführungsformen der vorliegenden Erfindung sehen das Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt und einem Server in einem IP-Telefonie-Netz vor. In den hier erörterten Ausführungsformen stellt eine Kabeltelefonieadapter-Vorrichtung (CTA-Vorrichtung) den IP-Telefonie-Endpunkt dar, und eine Signalisierungssteuereinheit (SC) stellt den Server dar. Die vorliegende Erfindung ist jedoch zur Verwendung mit anderen Arten von Netzendpunkten und Servern, die hier nicht erörtert werden, geeignet.
-
1 zeigt einen Abschnitt eines Telefonie-Netzes100 , der gemäß der vorliegenden Erfindung konstruiert ist. Um auf das Telefonie-Netz zuzugreifen, bietet CTA102 einem Verbraucher104 Zugang über eine Hybridfaser-Coax-Kopfstelle (HFC-Kopfstelle)106 . Die HFC-Kopfstelle106 weist das Leistungsvermögen auf, anderen Verbrauchern Zugang zu bieten, wie bei108 gezeigt. Die HFC-Kopfstelle ist auch an eine Signalisierungssteuereinheit (SC)110 gekoppelt, die an eine Telefonie-Netzhaupttrasse114 gekoppelt ist. Die Signalisierungssteuereinheit wird verwendet, um den Zugang des CTA zum Telefonie-Netz zu steuern. Ein Schlüsselverteilungszentrum (KDC)112 ist ebenfalls an die Telefonie-Netzhaupttrasse114 gekoppelt. Das KDC112 gibt Kerberos-Tickets aus, die wiederum dazu verwendet werden, Unterschlüssel für sichere Verbindungsprotokolle wie etwa das IPSec-ESP-Protokoll (ESP encapsulating security payload, Verkapselungssicherheitsnutzlast) oder andere sichere Verbindungen zu erzeugen. Das Netz100 schließt außerdem ein Kundendienstberater-Zentrum (KDB-Zentrum)116 , eine bereitstellende Zertifizierungsautorität (CA)118 und einen Verrechnungshauptrechner120 ein. In dem Netz100 kann der Verbraucher104 somit über den CTA102 unter Verwendung eines sicheren Protokolls auf die Telefoniehaupttrasse114 zugreifen. - Ausführungsformen der vorliegenden Erfindung schließen die Verwendung des Kerberos-Protokolls mit PKINIT-Erweiterung mit öffentlichem Schlüssel für die Schlüsselverwaltung ein. Dieses Protokoll basiert auf Kerberos-Tickets, die Cookies sind, welche mit dem Schlüssel des bestimmten Servers verschlüsselt sind. Das Kerberos-Ticket wird verwendet, um sowohl einen Client gegenüber einem Server zu authentifizieren als auch einen Sitzungsschlüssel einzurichten, der in dem Ticket enthalten ist. Das Zugreifen auf Kerberos-Dienste kann unter Verwendung des Standards GSS-API (= Generic Security Service Application Program Interface, generische Sicherheitsdienst-Anwenderprogramm-Schnittstelle) vorgenommen werden.
- In einer Ausführungsform der vorliegenden Erfindung wird von dem CTA eine Zweiweg-Authentifizierung mit Zertifikaten mit öffentlichem Schlüssel verwendet, um ein Sicherheitsticket in der Form eines Signalisierungssteuereinheit-Tickets von dem KDC zu erhalten. An den CTA wird ein entsprechender Sitzungsschlüssel geliefert, der entweder mit dem öffentlichen Schlüssel des CTA oder mit einem geheimen, von einem Diffie-Hellman-Austausch abgeleiteten versiegelt ist. Das Signalisierungssteuereinheit-Ticket wird über eine relativ lange Zeitspanne, zum Beispiel über Tage oder Wochen, behalten. Die Länge dieser Spanne kann auf der Basis der Netzleistungserfordernisse angepasst werden. Zusätzlich dazu wird das Signalisierungssteuereinheit-Ticket dafür verwendet, einen symmetrischen Sitzungsschlüssel einzurichten, der wiederum verwendet wird, um einen Satz Schlüssel zur Verwendung mit dem IPSec-ESP-Modus einzurichten. Die von IPSec verwendeten Schlüssel sind nicht von dem Sitzungsschlüssel selbst abgeleitet. Stattdessen wird für jeden Telefonanruf ein weiterer zufallsverteilter Schlüssel (d. h. ein Unterschlüssel) erzeugt und dann dafür verwendet, die IPSec-Schlüssel abzuleiten. Auf diese Weise braucht die Signalisierungssteuereinheit ihren Zustand nicht beizubehalten. Nachdem sie alle erforderlichen Schlüssel aus dem Unterschlüssel abgeleitet und Signalisierungsnachrichten mit dem CTA ausgetauscht hat, kann die Signalisierungssteuereinheit das Ticket zusammen mit allen zugehörigen Schlüsseln verwerfen.
- Die Verwendung des Kerberos-Protokolls mit der PKINIT-Erweiterung in Ausführungsformen der vorliegenden Erfindung bietet mehrere Vorteile. So muss zum Beispiel die Signalisierungssteuereinheit ihren Zustand nicht beibehalten – Kerberos-Tickets brauchen nur von den Endpunkten (CTAs) behalten zu werden. Außerdem können IPSec-Sicherheitsassoziationen abgebaut werden, wenn sie nicht länger gebraucht werden, und mit effizienter Schlüsselverwaltung auf der Basis der Kerberos-Tickets schnell wieder eingerichtet werden. Das Protokoll läuft über sowohl TCP- als auch UDP-Protokolle und ist ein weithin erhältlicher Standard, wobei verschiedene Anbieter sowohl Kerberos als auch PKINIT unterstützen.
- In einer Ausführungsform innerhalb des PKINIT-Protokolls wird RSA sowohl für Schlüssellieferung als auch Authentifizierung verwendet. In einer anderen Ausführungsform kann eine PKINIT-Option verwendet werden, wobei Diffie-Hellman für den Schlüsselaustausch verwendet wird und RSA zur Authentifizierung verwendet wird. Im Allgemeinen eignen sich Ausführungsformen der vorliegenden Erfindung zur Verwendung mit allen öffentlichen Schlüsselalgorithmen in PKINIT sowohl zur Authentifizierung als auch für Schlüsselaustausche.
-
2 zeigt ein Nachrichtenaustauschschema200 , das veranschaulicht, wie der CTA Kerberos verwendet, um den Unterschlüssel zu erhalten, der wiederum dazu verwendet wird, um IPSec-ESP-Schlüssel für die Signalisierungsnachrichten vom CTA zur Signalisierungssteuereinheit abzuleiten. In dem Austauschschema200 werden nur einige der Informationen, die in den Nachrichten befördert werden, bereitgestellt, um eine deutliche Beschreibung des Protokolls zu präsentieren. Das Austauschschema200 zeigt Nachrichten, die an dem CTA102 übertragen oder empfangen werden, bei Linie220 , Nachrichten, die an dem KDC112 übertragen oder empfangen werden, bei Linie222 und Nachrichten, die an der Signalisierungssteuereinheit110 übertragen oder empfangen werden, bei Linie224 . -
3 zeigt ein Flussdiagramm300 , das veranschaulicht, wie die Nachrichten von2 gemäß der vorliegenden Erfindung ausgetauscht werden. - Bei Block
302 wird eine PKINIT-Anforderung, die ein Sicherheitsticket anfordert, welches in der Form des oben näher erörterten Kerberos-Tickets vorliegen könnte, von dem CTA102 an das KDC112 gesendet, wie durch Nachricht202 gezeigt. Diese Anforderung schließt die CTA-Signatur und das CTA-Zertifikat ein, welche von dem KDC verwendet werden, um den CTA zu authentifizieren. Diese Anforderung befördert auch die aktuelle Zeit, die von dem KDC verwendet wird, um zu verifizieren, dass diese Nachricht keine Wiedergabe oder Neuübertragung einer alten Nachricht ist. Die PKINIT-Anforderung enthält auch einen Zufallswert (Nonce genannt), der verwendet wird, um eine nachfolgende PKINIT-Antwortnachricht an diese Anforderung zu binden. Falls ein Diffie-Hellman-Austausch verwendet wird, schließt der CTA auch seine Diffie-Hellman-Parameter und den öffentlichen Wert in der PKINIT-Anforderung ein. - Bei Block
304 empfängt und verifiziert das KDC112 die PKINIT-Anforderung und gibt dann an den CTA ein Sicherheitsticket für die Signalisierungssteuereinheit aus (hier im Folgenden als Signalisierungssteuereinheit-Ticket oder SC-Ticket bezeichnet), welches mit dem Dienstschlüssel der Signalisierungssteuereinheit verschlüsselt ist. Im Inneren dieses verschlüsselten Sicherheitstickets befinden sich ein symmetrischer Sitzungsschlüssel, seine Gültigkeitsdauer und die CTA-Identität. In diesem Schritt wird außerdem das Sicherheitsticket in einer PKINIT-Antwort, die von Nachricht204 gezeigt wird, zurück an den CTA102 geschickt. Die PKINIT-Antwortnachricht enthält auch das Zertifikat des KDC und die Signatur zur Authentifizierung des KDC, zusammen mit der Nonce von der PKINIT-Anforderung, um gegen Wiedergaben zu schützen. Wenn ein Diffie-Hellman-Austausch verwendet wird, platziert das KDC auch seinen öffentlichen Diffie-Hellman-Wert in dieser Nachricht. - Die PKINIT-Antwort enthält auch eine zweite Kopie des Sitzungsschlüssels und seine in dem Sicherheitsticket zu findende Gültigkeitsdauer – vorgesehen, um von dem CTA entschlüsselt und verwendet zu werden. Diese zweite Kopie des Sitzungsschlüssels und seine zugehörigen Attribute sind entweder mit einem Diffie-Hellman abgeleiteten, geheimen Schlüssel verschlüsselt oder mit dem öffentlichen Schlüssel des CTA umhüllt. Umhüllt bedeutet hier, dass der Sitzungsschlüssel zusammen mit seinen zugehörigen Attributen nicht direkt mit dem öffentlichen Schlüssel des CTA verschlüsselt ist. In der PKINIT-Antwort wird der öffentliche Schlüssel verwendet, um einen zufallsverteilten symmetrischen Schlüssel zu verschlüsseln, der wiederum verwendet wird, um einen anderen symmetrischen Schlüssel zu verschlüsseln, der dann schließlich dazu verwendet wird, den Sitzungsschlüssel und seine Attribute zu verschlüsseln. Diese Ausführungsform verwendet den PKINIT Standard so, wie er ist, selbst wenn in diesem Fall Vereinfachungen an der PKINIT-Antwort möglich scheinen. Wird kein Diffie-Hellman-Austausch verwendet, dann enthält die Antwort Nachrichtenelemente, wie bei
226 gezeigt. - Bei Block
306 wird eine Anwendungsanforderung (AP-Anforderung), die einen Unterschlüssel anfordert, von dem CTA102 an die Signalisierungssteuereinheit110 gesendet, wie von Nachricht206 gezeigt. Hierbei hat ein CTA bereits ein Signalisierungssteuereinheit-Ticket erhalten und initialisiert nun eine Schlüsselverwaltung mit der Signalisierungssteuereinheit, indem er ihr eine AP-Anforderungsnachricht sendet. Die AP-Anforderung enthält das Signalisierungssteuereinheit-Ticket zusammen mit dem CTA-Namen, dem Zeitstempel und einem Nachrichten-Hash, die alle mit dem SC-Sitzungsschlüssel verschlüsselt sind. Der Zeitstempel wird verwendet, um auf Wiedergaben von alten AP-Anforderungsnachrichten hin zu prüfen. - Bei Block
308 empfängt die Signalisierungssteuereinheit110 eine AP- Anforderung. Mit ihrem Dienstschlüssel entschlüsselt sie zunächst das Sicherheitsticket und validiert es. Dann nimmt sie den Sitzungsschlüssel aus dem Ticket und verwendet ihn, um den Rest der AP-Anforderung zu entschlüsseln und zu validieren. Die Signalisierungssteuereinheit erzeugt dann einen zufallsverteilten Unterschlüssel und verschlüsselt ihn zusammen mit dem aktuellen Zeitstempel mit dem Sitzungsschlüssel. Sie platziert diese Informationen in eine AP-Antwortnachricht208 und sendet sie zurück an den CTA. - Bei Block
310 empfängt und validiert der CTA die AP-Antwort, woraufhin er den Unterschlüssel mit der Signalisierungssteuereinheit teilt. Beide Seiten leiten unabhängig voneinander (mit irgendeiner Einwegfunktion) aus diesem Unterschlüssel einen Satz IPSec-Verschlüsselungs- und Authentifizierungsschlüssel ab. Daraufhin sind alle Signalisierungsnachrichten zwischen dem CTA und der Signalisierungssteuereinheit mit einem IPSec-Kanal geschützt. Diese Einrichtung des IPSec-Kanals ist symbolisch bei210 in2 veranschaulicht – obwohl dieser Schritt keinen Nachrichtenaustausch involviert. - In der in
2 und3 abgebildeten Ausführungsform der Erfindung wird der PKINIT-Austausch in großen Intervallen durchgeführt, um einen symmetrischen Zwischensitzungsschlüssel zu erhalten. Dieser Sitzungsschlüssel wird von dem CTA und der Signalisierungssteuereinheit (über das Signalisierungssteuereinheit-Ticket) geteilt. - In dieser Ausführungsform werden die PKINIT-Anforderungs-/Antwortnachrichten, die bei 202 und 204 gezeigt sind, über eine TCP/IP-Verbindung gesendet. Dies liegt daran, dass eine einzelne PKINIT-Anforderungs- oder Antwortnachricht, die einen öffentlichen Schlüssel und Diffie-Hellman-Informationen enthält, zu groß sein kann, um in ein einzelnes UDP-Paket zu passen. Die Verwendung von TCP-Protokoll anstelle von UDP-Protokoll kann eine gewisse Auswirkung auf die Leistung haben, aber da der PKINIT-Austausch in seltenen Intervallen erfolgt (im Abstand von Tagen oder Wochen) und nicht an Telefonanrufe gebunden ist, ist die Auswirkung auf die Leistung nicht signifikant.
- Der Sitzungsschlüssel wird in den AP-Anforderungs- und AP-Antwortnachrichten, die bei
206 ,208 gezeigt sind, verwendet und für jeden Telefonanruf ausgetauscht, um einen symmetrischen Unterschlüssel einzurichten. Dieser Unterschlüssel wird verwendet, um alle IPSec-ESP-Schlüssel und Anfangsfolgenummern, die für beide Richtungen verwendet werden, abzuleiten. Die AP-Anforderungs- und AP-Antwortnachrichten sind klein genug, um in ein einzelnes UDP-Paket zu passen, und laufen daher über UDP-Protokoll. - Die vorliegende Erfindung stellt eine hoch skalierbare Schlüsselverwaltungsarchitektur für sichere Client-Server-Systeme, die in IP-Telefonie-Netzen verwendet werden, bereit. Es wird dem Fachmann ersichtlich sein, dass Abwandlungen an den obigen Verfahren und Ausführungsformen auftreten können, ohne den Bereich der vorliegenden Erfindung zu verlassen. Demgemäß sollen die hiesigen Offenbarungen und Beschreibungen den Bereich der Erfindung, der in den folgenden Ansprüchen dargelegt ist, veranschaulichen, aber nicht einschränken.
Claims (4)
- Ein Verfahren zum Einrichten eines sicheren Kanals zwischen einem IP-Telefonie-Endpunkt (
102 ,220 ) und einem Server (110 ,224 ) in einem IP-Telefonie-Netz (100 ), wobei der Endpunkt (102 ,220 ) an einen Verbraucher (104 ) gekoppelt ist und der Server (110 ,224 ) an das IP-Telefonie-Netz (100 ) gekoppelt ist, wobei das Verfahren durch die folgenden Schritte gekennzeichnet ist: Übertragen einer Anforderung eines Sicherheitstickets von dem Endpunkt (102 ,220 ) an ein Schlüsselverteilungszentrum (112 ,222 ) (202 ); Empfangen des Sicherheitstickets von dem Schlüsselverteilungszentrum (112 ,222 ) (204 ); Übertragen des Sicherheitstickets zusammen mit einer Anforderung eines Unterschlüssels, der unter Verwendung eines Sitzungsschlüssels verschlüsselt ist, vom Endpunkt (102 ,220 ) zum Server (110 ,224 ) (206 ); Validieren des Sicherheitstickets an dem Server (110 ,224 ) unter Verwendung des Sitzungsschlüssels, um die Unterschlüsselanforderung zu entschlüsseln, und Erzeugen eines Unterschlüssels, der mit dem Sitzungsschlüssel verschlüsselt und an den Endpunkt (102 ,220 ) gesendet wird (308 ); Empfangen des Unterschlüssels von dem Server (110 ,224 ) (208 ); und Einrichten eines sicheren Kanals zwischen dem Endpunkt (102 ,220 ) und dem Server (110 ,224 ) unter Verwendung des Unterschlüssels (310 ). - Verfahren gemäß Anspruch 1, wobei der Endpunkt (
102 ,220 ) ein Kabeltelefonadapter (102 ) ist. - Verfahren gemäß Anspruch 1, wobei der Server (
110 ,224 ) eine Signalisierungssteuereinheit (110 ) ist. - Verfahren gemäß Anspruch 1, wobei der sichere Kanal ein IPSec-Kanal ist.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12877299P | 1999-04-09 | 1999-04-09 | |
US128772P | 1999-04-09 | ||
PCT/US2000/009323 WO2000062507A1 (en) | 1999-04-09 | 2000-04-07 | Key management between a cable telephony adapter and associated signaling controller |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60024800D1 DE60024800D1 (de) | 2006-01-19 |
DE60024800T2 true DE60024800T2 (de) | 2006-07-06 |
Family
ID=22436900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60024800T Expired - Lifetime DE60024800T2 (de) | 1999-04-09 | 2000-04-07 | Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle |
Country Status (9)
Country | Link |
---|---|
US (2) | US7568223B2 (de) |
EP (2) | EP1171989A2 (de) |
CN (1) | CN1127835C (de) |
AT (1) | ATE313200T1 (de) |
AU (2) | AU4079200A (de) |
CA (2) | CA2370471A1 (de) |
DE (1) | DE60024800T2 (de) |
HK (1) | HK1045917B (de) |
WO (2) | WO2000062519A2 (de) |
Families Citing this family (59)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000062519A2 (en) * | 1999-04-09 | 2000-10-19 | General Instrument Corporation | Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification |
US20030021417A1 (en) * | 2000-10-20 | 2003-01-30 | Ognjen Vasic | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
US6966003B1 (en) * | 2001-01-12 | 2005-11-15 | 3Com Corporation | System and method for switching security associations |
US8156223B2 (en) * | 2001-03-20 | 2012-04-10 | Microsoft Corporation | Distribution of binary executables and content from peer locations/machines |
US8555062B1 (en) * | 2001-03-26 | 2013-10-08 | Access Co., Ltd. | Protocol to prevent replay attacks on secured wireless transactions |
US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
KR100415117B1 (ko) * | 2002-03-04 | 2004-01-13 | 삼성전자주식회사 | 인터넷프로토콜 전화시스템에서 인터넷프로토콜단말기들간의 다중통화 시 강제 착신장치 및 방법 |
US7565537B2 (en) * | 2002-06-10 | 2009-07-21 | Microsoft Corporation | Secure key exchange with mutual authentication |
FR2845226B1 (fr) * | 2002-10-01 | 2004-12-10 | France Telecom | Procede et installation de controle de l'identite de l'emetteur d'un appel telephonique sur un reseau internet et terminal de telephonie pour une telle installation |
JP4397675B2 (ja) * | 2003-11-12 | 2010-01-13 | 株式会社日立製作所 | 計算機システム |
JP4559794B2 (ja) * | 2004-06-24 | 2010-10-13 | 株式会社東芝 | マイクロプロセッサ |
US8613048B2 (en) | 2004-09-30 | 2013-12-17 | Citrix Systems, Inc. | Method and apparatus for providing authorized remote access to application sessions |
US7711835B2 (en) | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US7748032B2 (en) * | 2004-09-30 | 2010-06-29 | Citrix Systems, Inc. | Method and apparatus for associating tickets in a ticket hierarchy |
US7464267B2 (en) * | 2004-11-01 | 2008-12-09 | Innomedia Pte Ltd. | System and method for secure transmission of RTP packets |
JP4548737B2 (ja) * | 2005-01-24 | 2010-09-22 | パナソニック株式会社 | 署名生成装置及び署名検証装置 |
US7890634B2 (en) * | 2005-03-18 | 2011-02-15 | Microsoft Corporation | Scalable session management |
US7650505B1 (en) * | 2005-06-17 | 2010-01-19 | Sun Microsystems, Inc. | Methods and apparatus for persistence of authentication and authorization for a multi-tenant internet hosted site using cookies |
US7545810B2 (en) * | 2005-07-01 | 2009-06-09 | Cisco Technology, Inc. | Approaches for switching transport protocol connection keys |
WO2007062392A2 (en) * | 2005-11-23 | 2007-05-31 | Riverain Medical Group, Llc | Computer-aided diagnosis using dual-energy subtraction images |
BRPI0520722B1 (pt) * | 2005-11-30 | 2018-12-26 | Telecom Italia Spa | método para prover automaticamente um terminal de comunicação com credencias de acesso de serviço para acessar um serviço on-line, sistema para prover automaticamente a um terminal de comunicação, adaptado ao uso em uma rede de comunicações, credencias de acesso de serviço para acessar um serviço on-line, provedor de serviço on-line, e, terminal de comunicação. |
KR100652017B1 (ko) * | 2005-12-08 | 2006-12-01 | 한국전자통신연구원 | 물리보안공격에 대한 닥시스 케이블 모뎀의 보안 방법 |
US7706381B2 (en) * | 2006-01-10 | 2010-04-27 | Cisco Technology, Inc. | Approaches for switching transport protocol connection keys |
US8140851B1 (en) * | 2006-02-24 | 2012-03-20 | Cisco Technology, Inc. | Approaches for automatically switching message authentication keys |
US8732279B2 (en) * | 2006-08-18 | 2014-05-20 | Cisco Technology, Inc. | Secure network deployment |
US8533846B2 (en) | 2006-11-08 | 2013-09-10 | Citrix Systems, Inc. | Method and system for dynamically associating access rights with a resource |
CA2571891C (en) * | 2006-12-21 | 2015-11-24 | Bce Inc. | Device authentication and secure channel management for peer-to-peer initiated communications |
EP2140611A1 (de) * | 2007-04-30 | 2010-01-06 | Hewlett-Packard Development Company, L.P. | System und verfahren zum verteilen von knotenkonfigurationsinformationen |
ES2906127T3 (es) | 2007-09-17 | 2022-04-13 | Ericsson Telefon Ab L M | Método y disposición en un sistema de telecomunicaciones |
US8171483B2 (en) | 2007-10-20 | 2012-05-01 | Citrix Systems, Inc. | Method and system for communicating between isolation environments |
CN101286840B (zh) * | 2008-05-29 | 2014-07-30 | 西安西电捷通无线网络通信股份有限公司 | 一种利用公钥密码技术的密钥分配方法及其系统 |
US7877503B2 (en) * | 2008-07-02 | 2011-01-25 | Verizon Patent And Licensing Inc. | Method and system for an intercept chain of custody protocol |
US8776238B2 (en) * | 2008-07-16 | 2014-07-08 | International Business Machines Corporation | Verifying certificate use |
KR101255987B1 (ko) * | 2008-12-22 | 2013-04-17 | 한국전자통신연구원 | Dcas 시스템의 sm과 tp간의 페어링 방법, 이를 이용한 셋탑박스 및 인증장치 |
US20110013762A1 (en) * | 2009-07-18 | 2011-01-20 | Gregg Bieser | Notification apparatus & method |
EP2484084B1 (de) * | 2009-09-30 | 2019-03-27 | Orange | Verfahren und geräte zur sicheren kommunikation vor denial-of-service- oder flooding-attacken in einem telekommunikationsnetzwerk |
US20110302416A1 (en) * | 2010-03-15 | 2011-12-08 | Bigband Networks Inc. | Method and system for secured communication in a non-ctms environment |
EP2387262B1 (de) * | 2010-05-10 | 2015-04-29 | BlackBerry Limited | System und Verfahren für eine Multi-Zertifikat- und Zertifikatsautoritätsstrategie |
US8347080B2 (en) | 2010-05-10 | 2013-01-01 | Research In Motion Limited | System and method for multi-certificate and certificate authority strategy |
US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
US8938619B2 (en) * | 2010-12-29 | 2015-01-20 | Adobe Systems Incorporated | System and method for decrypting content samples including distinct encryption chains |
US8843737B2 (en) * | 2011-07-24 | 2014-09-23 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced approach for transmission control protocol authentication option (TCP-AO) with key management protocols (KMPS) |
WO2013061614A2 (en) * | 2011-10-28 | 2013-05-02 | Nec Corporation | Secure method for mtc device triggering |
US9026784B2 (en) * | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
EP2907287B1 (de) * | 2012-10-15 | 2016-06-29 | Nokia Solutions and Networks Oy | Netzwerkauthentifizierung |
US9515996B1 (en) * | 2013-06-28 | 2016-12-06 | EMC IP Holding Company LLC | Distributed password-based authentication in a public key cryptography authentication system |
US9553982B2 (en) * | 2013-07-06 | 2017-01-24 | Newvoicemedia, Ltd. | System and methods for tamper proof interaction recording and timestamping |
JP6278651B2 (ja) * | 2013-09-27 | 2018-02-14 | キヤノン株式会社 | ネットワークシステム、管理サーバシステム、制御方法及びプログラム |
FR3018371B1 (fr) | 2014-03-10 | 2016-05-06 | Commissariat Energie Atomique | Procede et systeme de chiffrement/dechiffrement de donnees a cle distante et verification prealable de jeton |
US20170163607A1 (en) * | 2015-12-03 | 2017-06-08 | Microsoft Technology Licensing, Llc | Establishing a Communication Event Using Secure Signalling |
US10009380B2 (en) | 2016-01-08 | 2018-06-26 | Secureworks Corp. | Systems and methods for security configuration |
US10263788B2 (en) * | 2016-01-08 | 2019-04-16 | Dell Products, Lp | Systems and methods for providing a man-in-the-middle proxy |
US20180123782A1 (en) * | 2016-10-27 | 2018-05-03 | Motorola Solutions, Inc. | Method for secret origination service to distribute a shared secret |
EP3501654B1 (de) | 2017-12-22 | 2021-08-25 | Tecan Trading Ag | Pipettiervorrichtung mit einem pipettenrohr und verfahren zur detektion einer flüssigkeit innerhalb eines mittelabschnitts des pipettenrohrs |
US10771269B2 (en) * | 2018-03-09 | 2020-09-08 | Cisco Technology, Inc. | Automated intelligent node for hybrid fiber-coaxial (HFC) networks |
US10630467B1 (en) * | 2019-01-04 | 2020-04-21 | Blue Ridge Networks, Inc. | Methods and apparatus for quantum-resistant network communication |
US11063753B2 (en) | 2019-03-20 | 2021-07-13 | Arris Enterprises Llc | Secure distribution of device key sets over a network |
US11743242B2 (en) * | 2020-07-27 | 2023-08-29 | Charter Communications Operating, Llc | Establishing an encrypted communications channel without prior knowledge of the encryption key |
CN112492004B (zh) * | 2020-11-17 | 2023-02-17 | 深圳市晨北科技有限公司 | 本地通信链接的建立方法及设备、系统及存储介质 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5235642A (en) | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
WO1995008885A1 (en) * | 1993-09-20 | 1995-03-30 | International Business Machines Corporation | System and method for changing the key or password in a secure distributed communications network |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
IL113259A (en) * | 1995-04-05 | 2001-03-19 | Diversinet Corp | A device and method for a secure interface for secure communication and data transfer |
US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
SE506775C2 (sv) * | 1996-06-04 | 1998-02-09 | Ericsson Telefon Ab L M | Sätt och anordning för samtidig telefon- och Internetförbindelse på en telefonlinje |
US5796830A (en) * | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
US5864665A (en) * | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
US5867495A (en) * | 1996-11-18 | 1999-02-02 | Mci Communications Corporations | System, method and article of manufacture for communications utilizing calling, plans in a hybrid network |
US5917817A (en) * | 1996-12-06 | 1999-06-29 | International Business Machines Corporation | User invocation of services in public switched telephone network via parallel data networks |
US5923756A (en) * | 1997-02-12 | 1999-07-13 | Gte Laboratories Incorporated | Method for providing secure remote command execution over an insecure computer network |
EP0976234A2 (de) | 1997-04-15 | 2000-02-02 | MCI Worldcom, Inc. | System, verfahren und hergestellter gegenstand für fernsprechschaltkommunikation |
US5999612A (en) * | 1997-05-27 | 1999-12-07 | International Business Machines Corporation | Integrated telephony and data services over cable networks |
WO2000062519A2 (en) * | 1999-04-09 | 2000-10-19 | General Instrument Corporation | Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification |
ATE312464T1 (de) * | 2000-09-22 | 2005-12-15 | Gen Instrument Corp | Sicherheitsarchitektur der internet-protokoll telefonie |
US20030163693A1 (en) * | 2002-02-28 | 2003-08-28 | General Instrument Corporation | Detection of duplicate client identities in a communication system |
-
2000
- 2000-04-07 WO PCT/US2000/009318 patent/WO2000062519A2/en active Search and Examination
- 2000-04-07 AU AU40792/00A patent/AU4079200A/en not_active Abandoned
- 2000-04-07 AU AU42136/00A patent/AU4213600A/en not_active Abandoned
- 2000-04-07 DE DE60024800T patent/DE60024800T2/de not_active Expired - Lifetime
- 2000-04-07 WO PCT/US2000/009323 patent/WO2000062507A1/en active IP Right Grant
- 2000-04-07 EP EP00920214A patent/EP1171989A2/de not_active Withdrawn
- 2000-04-07 CN CN00806089A patent/CN1127835C/zh not_active Expired - Lifetime
- 2000-04-07 AT AT00921875T patent/ATE313200T1/de not_active IP Right Cessation
- 2000-04-07 CA CA002370471A patent/CA2370471A1/en not_active Abandoned
- 2000-04-07 CA CA2365856A patent/CA2365856C/en not_active Expired - Lifetime
- 2000-04-07 EP EP00921875A patent/EP1169833B1/de not_active Expired - Lifetime
-
2002
- 2002-10-02 HK HK02107229.6A patent/HK1045917B/zh not_active IP Right Cessation
-
2004
- 2004-07-15 US US10/893,047 patent/US7568223B2/en not_active Expired - Lifetime
-
2009
- 2009-06-23 US US12/490,124 patent/US8544077B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
HK1045917A1 (en) | 2002-12-13 |
CA2365856C (en) | 2011-11-01 |
DE60024800D1 (de) | 2006-01-19 |
WO2000062507A1 (en) | 2000-10-19 |
CA2370471A1 (en) | 2000-10-19 |
EP1169833A1 (de) | 2002-01-09 |
US8544077B2 (en) | 2013-09-24 |
US20050027985A1 (en) | 2005-02-03 |
WO2000062519A3 (en) | 2001-02-08 |
CN1346563A (zh) | 2002-04-24 |
US20090323954A1 (en) | 2009-12-31 |
WO2000062519A2 (en) | 2000-10-19 |
CN1127835C (zh) | 2003-11-12 |
CA2365856A1 (en) | 2000-10-19 |
EP1169833B1 (de) | 2005-12-14 |
AU4079200A (en) | 2000-11-14 |
EP1171989A2 (de) | 2002-01-16 |
US7568223B2 (en) | 2009-07-28 |
HK1045917B (zh) | 2004-09-10 |
ATE313200T1 (de) | 2005-12-15 |
AU4213600A (en) | 2000-11-14 |
WO2000062519A9 (en) | 2002-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60024800T2 (de) | Schlüsselverwaltung zwischen kabeltelefonsystemadapter und signaleinrichtungkontrolle | |
EP1793525B1 (de) | Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz | |
DE60208273T2 (de) | Verfahren zur Schlüsselübereinkunft in einem sicheren Kommunikationssystem | |
DE60017292T2 (de) | Authentifizierungsverfahren zwischen einem Teilnehmer und einem Dienstleister, der durch einen Netzbetreiber erreichbar ist, mittels Bereitstellung eines gesicherten Kanals | |
DE60201522T2 (de) | Ermöglichen legales abfangen von ip-verbindungen | |
EP1308017B1 (de) | Verfahren zur schlüsselvereinbarung für eine kryptographisch gesicherte punkt-zu-multipunkt verbindung | |
EP2975570A1 (de) | Verfahren und eine Vorrichtung zur Absicherung von Zugriffen auf Wallets in denen Kryptowährungen abgelegt sind | |
EP0832542B1 (de) | Verfahren und vorrichtung zur authentisierung von teilnehmern gegenüber digitalen vermittlungsstellen | |
EP3518489A1 (de) | Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels | |
EP1563638A1 (de) | Kommunikationssystem mit quantenkryptographie und vermittlungsstationen | |
DE102020003739A1 (de) | Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial | |
EP3854022A1 (de) | Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system | |
EP2098039A1 (de) | Verfahren zum transferieren von verschlüsselten nachrichten | |
EP0632616B1 (de) | Verfahren zur Datensicherung in einem B-ISDN Telekommunikationssystem | |
DE102006003167B3 (de) | Sichere Echtzeit-Kommunikation | |
DE3939828C2 (de) | ||
DE102014212443A1 (de) | Verringerung des Speicherbedarfs für kryptographische Schlüssel | |
EP2685682A2 (de) | Verfarhen und System zur sicheren Nachrichtenübertragung | |
EP2830277B1 (de) | Verfahren und system zur manipulationssicheren übertragung von datenpaketen | |
EP3066812B1 (de) | Verfahren zur sicherung von telekommunikationsverkehrsdaten | |
EP0877507B1 (de) | Ende-zu-Ende Verschlüsselung | |
EP3005645B1 (de) | Verfahren zur sicherung von telekommunikationsverkehrsdaten | |
DE102009023414B4 (de) | Schlüsselverwaltung für Kommunikationsnetze | |
EP4199419A1 (de) | Sicherung von und zu teilnehmerseitigem verbindungsendpunkt über öffentliches netz übertragener daten | |
EP3907958A1 (de) | Verfahren zum aufbau eines sicheren übertragungskanals zur datenübermittlung innerhalb eines industriellen automatisierungssystems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |