![Page 1: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/1.jpg)
Multi-Domain Lightpath Authorization Architecture using Tokens
Multi-Domain Lightpath Authorization Architecture using Tokens
By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko, Li Xu, Ralph Koning,
University of Amsterdam
By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko, Li Xu, Ralph Koning,
University of Amsterdam
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
![Page 2: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/2.jpg)
1 To enable fast passage at a checkpoint
2 To allow checking at any place in the service network
3 To separate authorized use from unauthorized use
4 To authorize in advance
5 To separate authorization complexity from usage
6 That can be linked to advance reservations
7 To support both pay-before (pre-pay) or pay-later (billing)
1 To enable fast passage at a checkpoint
2 To allow checking at any place in the service network
3 To separate authorized use from unauthorized use
4 To authorize in advance
5 To separate authorization complexity from usage
6 That can be linked to advance reservations
7 To support both pay-before (pre-pay) or pay-later (billing)
TT TT TT TT TT TT TT TT
Tokens are a proven concept:
.
![Page 3: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/3.jpg)
Main rationale: Time consuming service authorization process can be separate from fast service access.
Service
HRMHRM
NetworkService
NetworkService
ServiceProvider
A
ServiceProvider
A
UserUser
UserHomeOrg
UserHomeOrg
FinanceFinance
WorkGroup
WorkGroup
ServiceProvider
B
ServiceProvider
B
NetworkService
NetworkService
TTT
T T
![Page 4: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/4.jpg)
Testbed shows data- & control plane and involved domains.
QuickTime™ en eenTIFF (LZW)-decompressor
zijn vereist om deze afbeelding weer te geven.
![Page 5: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/5.jpg)
Application sends reservation request to IDC
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
![Page 6: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/6.jpg)
A Global Resource Identifier (GRI) is created as reference
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.GRI
![Page 7: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/7.jpg)
GRI is passed as part of IDC protocol to last domain
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
![Page 8: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/8.jpg)
GRI is handed to the Token Validation Service
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven. GRI
![Page 9: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/9.jpg)
TokenKey
TokenKey
The GRI is “stamped” using an HMAC algorithm into a token. Token = GRI + few bytes of secure hash result
HMAC-SHA1based algoritm
HMAC-SHA1based algoritm
GRIT
![Page 10: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/10.jpg)
Token is send to PEP and IDC and stored along with GRI
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
T
![Page 11: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/11.jpg)
Token is returned to upstream domain and kept for future enforcement
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
TT
![Page 12: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/12.jpg)
Token is handed to reservation application via IDC reply
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
![Page 13: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/13.jpg)
Token is copied onto USB memory stick
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
T
![Page 14: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/14.jpg)
Take USB memory stick with token to HD display station
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
![Page 15: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/15.jpg)
HD display station requests to open connection to IDC including the token in the request message.
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
![Page 16: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/16.jpg)
The IDC may decide not check the validity of the token and provisions the path in its domain.
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
![Page 17: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/17.jpg)
The token is passed to the next IDC. The TVS checks the validity of the token - or alternatively ..
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
![Page 18: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/18.jpg)
.. the token is passed to the GMPLS signaling layer via a gateway such that the token becomes part of RSVP-TE
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.T
RSVPGateway
![Page 19: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/19.jpg)
The last domain checks the token and provisions its circuit
InterDomain
Controller
InterDomain
Controller
ReservationApplication
ReservationApplication
Domain A
DRAGONDRAGON
InterDomain
Controller
InterDomain
Controller
DomainB
DRAGONDRAGON
PolicyEnforcement
Point
PolicyEnforcement
Point
InterDomain
Controller
InterDomain
Controller
DomainC
DRAGONDRAGON
TokenValidationService
PolicyEnforcement
Point
PolicyEnforcement
Point
TokenValidationService
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
QuickTime™ en eenTIFF (LZW)-decompressorzijn vereist om deze afbeelding weer te geven.
T
![Page 20: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/20.jpg)
1 Tokens are a simple, fast and flexible way to authorize lightpaths
2 Tokens can be recognized by multiple domains
3 Tokens are authentic symbols where an identifier points to a meaning.
4 Tokens symbolize a commit of advance reservations by each domain
5 Tokens can be used at different layers in the network
6 Domains may or may not choose to enforce tokens (be transparent)
7 The Token Validation Service supporting different Control Plane types
1 Tokens are a simple, fast and flexible way to authorize lightpaths
2 Tokens can be recognized by multiple domains
3 Tokens are authentic symbols where an identifier points to a meaning.
4 Tokens symbolize a commit of advance reservations by each domain
5 Tokens can be used at different layers in the network
6 Domains may or may not choose to enforce tokens (be transparent)
7 The Token Validation Service supporting different Control Plane types
TT TT TT TT TT TT TT TT
The demo shows:
.
![Page 21: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/21.jpg)
Yuri Demchenko: Token Validation Service - Phosphorus Project
Fred Wan: Signaling model interfaces - Tree v.s. Chain - NextGrid Project
Marten Hoekstra: Signaling and IDC deployment - GigaPort Project
Li Xu: Token Enforcement at GMPLS layer - StarPlane project
Ralph Koning: HD video content - CineGrid Project
Leon Gommans: Authorization Architecture - GigaPort Project.
Cees de Laat: Scientific group leader
Yuri Demchenko: Token Validation Service - Phosphorus Project
Fred Wan: Signaling model interfaces - Tree v.s. Chain - NextGrid Project
Marten Hoekstra: Signaling and IDC deployment - GigaPort Project
Li Xu: Token Enforcement at GMPLS layer - StarPlane project
Ralph Koning: HD video content - CineGrid Project
Leon Gommans: Authorization Architecture - GigaPort Project.
Cees de Laat: Scientific group leader
TT TT TT TT TT TT TT TT
Talk to us to understand our research:
.
![Page 22: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/22.jpg)
Internet2
ESNET
SURFnet
NL GigaPort RoN project
EU Phosphorus Project
EU NextGrid Project
Electronic Visualisation Lab
CineGrid project
GLIF
Acknowledgement.
.
![Page 23: Multi-Domain Lightpath Authorization Architecture using Tokens By: Leon Gommans, Paola Grosso, Fred Wan, Cees de Laat, Marten Hoekstra, Yuri Demchenko,](https://reader035.vdocuments.us/reader035/viewer/2022070411/56649c865503460f9493deb6/html5/thumbnails/23.jpg)
Thank you for watching