multi-domain lightpath authorization architecture using tokens by: leon gommans, paola grosso, fred...
TRANSCRIPT
Multi-Domain Lightpath Authorization Architecture using Tokens
Multi-Domain Lightpath Authorization Architecture using Tokens
By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko, Li Xu, Ralph Koning,
University of Amsterdam
By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko, Li Xu, Ralph Koning,
University of Amsterdam
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
1 To enable fast passage at a checkpoint
2 To allow checking at any place in the service network
3 To separate authorized use from unauthorized use
4 To authorize in advance
5 To separate authorization complexity from usage
6 That can be linked to advance reservations
7 To support both pay-before (pre-pay) or pay-later (billing)
1 To enable fast passage at a checkpoint
2 To allow checking at any place in the service network
3 To separate authorized use from unauthorized use
4 To authorize in advance
5 To separate authorization complexity from usage
6 That can be linked to advance reservations
7 To support both pay-before (pre-pay) or pay-later (billing)
TT TT TT TT TT TT TT TT
Tokens are a proven concept:
.
Main rationale: Time consuming service authorization process can be separate from fast service access.
Service
HRMHRM
NetworkService
NetworkService
ServiceProvider
A
ServiceProvider
A
UserUser
UserHomeOrg
UserHomeOrg
FinanceFinance
WorkGroup
WorkGroup
ServiceProvider
B
ServiceProvider
B
NetworkService
NetworkService
TTT
T T
Testbed shows data- & control plane and involved domains.
QuickTime™ en eenTIFF (LZW)-decompressor
zijn vereist om deze afbeelding weer te geven.
Application sends reservation request to IDC
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
A Global Resource Identifier (GRI) is created as reference
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.GRI
GRI is passed as part of IDC protocol to last domain
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
GRI is handed to the Token Validation Service
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven. GRI
TokenKey
TokenKey
The GRI is “stamped” using an HMAC algorithm into a token. Token = GRI + few bytes of secure hash result
HMAC-SHA1based algoritm
HMAC-SHA1based algoritm
GRIT
Token is send to PEP and IDC and stored along with GRI
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
T
Token is returned to upstream domain and kept for future enforcement
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
TT
Token is handed to reservation application via IDC reply
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
Token is copied onto USB memory stick
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
T
Take USB memory stick with token to HD display station
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
HD display station requests to open connection to IDC including the token in the request message.
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
The IDC may decide not check the validity of the token and provisions the path in its domain.
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
The token is passed to the next IDC. The TVS checks the validity of the token - or alternatively ..
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
.. the token is passed to the GMPLS signaling layer via a gateway such that the token becomes part of RSVP-TE
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.T
RSVPGateway
The last domain checks the token and provisions its circuit
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
1 Tokens are a simple, fast and flexible way to authorize lightpaths
2 Tokens can be recognized by multiple domains
3 Tokens are authentic symbols where an identifier points to a meaning.
4 Tokens symbolize a commit of advance reservations by each domain
5 Tokens can be used at different layers in the network
6 Domains may or may not choose to enforce tokens (be transparent)
7 The Token Validation Service supporting different Control Plane types
1 Tokens are a simple, fast and flexible way to authorize lightpaths
2 Tokens can be recognized by multiple domains
3 Tokens are authentic symbols where an identifier points to a meaning.
4 Tokens symbolize a commit of advance reservations by each domain
5 Tokens can be used at different layers in the network
6 Domains may or may not choose to enforce tokens (be transparent)
7 The Token Validation Service supporting different Control Plane types
TT TT TT TT TT TT TT TT
The demo shows:
.
Yuri Demchenko: Token Validation Service - Phosphorus Project
Fred Wan: Signaling model interfaces - Tree v.s. Chain - NextGrid Project
Marten Hoekstra: Signaling and IDC deployment - GigaPort Project
Li Xu: Token Enforcement at GMPLS layer - StarPlane project
Ralph Koning: HD video content - CineGrid Project
Leon Gommans: Authorization Architecture - GigaPort Project.
Cees de Laat: Scientific group leader
Yuri Demchenko: Token Validation Service - Phosphorus Project
Fred Wan: Signaling model interfaces - Tree v.s. Chain - NextGrid Project
Marten Hoekstra: Signaling and IDC deployment - GigaPort Project
Li Xu: Token Enforcement at GMPLS layer - StarPlane project
Ralph Koning: HD video content - CineGrid Project
Leon Gommans: Authorization Architecture - GigaPort Project.
Cees de Laat: Scientific group leader
TT TT TT TT TT TT TT TT
Talk to us to understand our research:
.
Internet2
ESNET
SURFnet
NL GigaPort RoN project
EU Phosphorus Project
EU NextGrid Project
Electronic Visualisation Lab
CineGrid project
GLIF
Acknowledgement.
.
Thank you for watching