*DE A *

Transkript

1 (19) *DE A * (10) (12) Offenlegungsschrift (21) Aktenzeichen: (22) Anmeldetag: (43) Offenlegungstag: (71) Anmelder: ADTRAN GmbH, Berlin, DE (74) Vertreter: von Lieres Brachmann Schulze Patentanwälte, München, DE (51) Int Cl.: H04L 9/08 ( ) H04L 9/32 ( ) (72) Erfinder: Otto, Benjamin, Dreschvitz, DE; Fritsch, Alexander, Greifswald, DE; Deckert, Mirko, Greifswald, DE (56) Ermittelter Stand der Technik: US B1 US 2005 / A1 Prüfungsantrag gemäß 44 PatG ist gestellt. Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen. (54) Bezeichnung: Aufsetzen einer Verbindung zwischen Netzwerkelementen (57) Zusammenfassung: Ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement wird vorgeschlagen, wobei das Verfahren Folgendes umfasst: (i) Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet; (ii) Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement; (iii) Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert; (iv) Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement; und (v) Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels. Auch wird ein dementsprechendes System bereitgestellt.

2 Beschreibung HINTERGRUND DER ERFINDUNG [0001] Ausführungsformen der vorliegenden Erfindungen betreffen eine verbesserte Sicherheit für zwei Netzwerkelemente, die miteinander über das Internet verbunden werden sollen. KURZDARSTELLUNG [0002] Eine erste Ausführungsform betrifft ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement, umfassend: - Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet; - Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement; - Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert; - Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement; - Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels. [0003] Eine zweite Ausführungsform betrifft ein System zum Aufsetzen einer Verbindung, umfassend: - ein erstes Netzwerkelement; - ein zweites Netzwerkelement; - einen Server; - wobei das erste Netzwerkelement dafür ausgelegt ist, sich bei dem Server anzumelden; - wobei der Server dafür ausgelegt ist, einen ersten Schlüssel an das erste Netzwerkelement zu liefern, nachdem das erste Netzwerkelement sich bei dem Server angemeldet hat; - wobei das zweite Netzwerkelement dafür ausgelegt ist, eine Anforderung für eine Verbindung mit dem ersten Netzwerkelement an den Server zu senden; - wobei der Server dafür ausgelegt ist, einen zweiten Schlüssel an das zweite Netzwerkelement zu liefern, nachdem er die Anforderung von dem zweiten Netzwerkelement empfangen hat; - wobei das erste Netzwerkelement und das zweite Netzwerkelement dafür ausgelegt sind, eine die Verbindung untereinander durch Verwenden des ersten Schlüssels und des zweiten Schlüssels aufzusetzen. Figurenliste [0004] Ausführungsformen sind unter Bezugnahme auf die Zeichnungen dargestellt und veranschaulicht. Die Zeichnungen dienen dazu, das grundlegende Prinzip zu veranschaulichen, sodass nur Aspekte veranschaulicht werden, die zum Verstehen des grundlegenden Prinzips notwendig sind. Die Zeichnungen sind nicht maßstabsgetreu. In den Zeichnungen bezeichnen die gleichen Referenzzeichen gleiche Merkmale. Fig. 1 zeigt ein beispielhaftes Szenarium, umfassend eine DPU (Distribution Point Unit), welche über das Internet mittels einer TCP/IP-Verbindung mit einem PMA (Persistent Management Agent) 103 verbunden ist; Fig. 2 zeigt ein beispielhaftes Szenarium, das einen MITM-Angriff visualisiert, basierend auf dem in Fig. 1 gezeigten Diagramm, wobei eine MITM-Angriffseinheit innerhalb der Verbindung zwischen der DPU und dem PMA platziert ist; Fig. 3 zeigt ein beispielhaftes Diagramm, umfassend eine DPU, einen PMA und einen Ladungsserver, welche über das Internet verbunden oder verbindbar sind; Fig. 4 zeigt ein beispielhaftes Nachrichtendiagramm zwischen der DPU und dem Ladungsserver zum Liefern eines Schlüssels an die DPU; Fig. 5 zeigt ein beispielhaftes Nachrichtendiagramm zwischen dem PMA und dem Ladungsserver zum Liefern eines Schlüssels an den PMA; Fig. 6 zeigt ein beispielhaftes Nachrichtendiagramm der sich mit dem PMA unter Verwendung der durch den Ladungsserver gelieferten Schlüssel verbindenden DPU. Fig. 7 zeigt ein beispielhaftes Diagramm, basierend auf Fig. 3, wobei sowohl der PMA als auch der Ladungsserver einen Verwürfeier umfassen, der symmetrische Verschlüsselungsfähigkeiten liefert. AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN [0005] Es ist nicht beabsichtigt, dass die Reihenfolge, in der der Prozess beschrieben ist, als eine Beschränkung anzusehen ist, und eine beliebige Anzahl der beschriebenen Prozessblöcke kann in einer beliebigen Reihenfolge kombiniert werden, um den Prozess oder alternative Prozesse zu implementieren. 2/18

3 Zusätzlich dazu können individuelle Blöcke aus dem Prozess entfernt werden, ohne vom Gedanken und Schutzumfang des hier beschriebenen Gegenstands abzuweichen. Des Weiteren kann der Prozess in beliebigen geeigneten Materialien oder Kombinationen von diesen implementiert werden, ohne vom Schutzumfang des hier beschriebenen Gegenstands abzuweichen. [0006] Hier beschriebene Beispiele betreffen insbesondere Mechanismen zum Erhöhen eines Sicherheitsniveaus zwischen Netzwerkkomponenten, insbesondere zum Schutz einer Verbindung zwischen einer ersten Netzwerkkomponente, beispielsweise einem Server, und einer zweiten Netzwerkkomponente, beispielsweise einem Client, vor einem erfolgreichen Mittelsmannangriff (Man-in-the-Middle- Angriff bzw. MITM-Angriff). [0007] Eine Verbindung zwischen zwei Vorrichtungen über ein ungesichertes Medium wie das Internet könnte durch Kryptographie mit öffentlichem Schlüssel wie beispielsweise SSH/TLS (Secure Shell / Transport Layer Security) gesichert werden. Allerdings ist ein solches Konzept gegenüber MITM-Angriffen verwundbar. [0008] Fig. 1 zeigt ein beispielhaftes Szenarium, umfassend eine DPU (Distribution Point Unit) 101, welche über das Internet 102 mittels einer TCP/IP-Verbindung 104 mit einem PMA (Persistent Management Agent) 103 verbunden ist. [0009] Die DPU 101 kann eine Vorrichtung eines Kommunikationsnetzwerks sein, die eine Firmware aufweist. Die Firmware-Version der DPU 101 kann auch als Ladung bezeichnet werden. Die DPU 101 kann durch den PMA 103 ferngemanagt und/oder -gesteuert werden. Der PMA 103 kann eine Vorrichtung oder eine cloudbasierte Anwendung sein, die insbesondere auf einer Vorrichtung, einer virtuellen Maschine, auf einer Serverfarm oder dergleichen läuft. In dieser Hinsicht kann der PMA 103 eine Softwareinstanz sein oder er kann mehrere solcher Softwareinstanzen umfassen. [0010] Solch eine ferngemanagte/-gesteuerte Architektur ist mit dem Nachteil behaftet, dass sich das gesamte Internet zwischen dem PMA 103 und der DPU 101 befindet, welches ein signifikantes Risiko für potentielle MITM-Angriffe in sich trägt. [0011] Fig. 2 zeigt ein beispielhaftes Szenarium, das einen MITM-Angriff visualisiert: Basierend auf Fig. 1 kann die TCP/IP-Verbindung 104 innerhalb des Internets 102 durch eine Einheit 201 umgeleitet werden, welche den MITM-Angriff erleichtert. Die Einheit 201 weist eine TCP/IP-Verbindung 202 mit der DPU 101 und eine weitere TCP/IP-Verbindung 203 mit dem PMA 103 auf. [0012] Verschlüsselung mit öffentlichem Schlüssel, z. B. SSH, kann auf der Verbindung 104 zwischen der DPU 101 und dem PMA 103 verwendet werden. Falls eine solche verschlüsselte Verbindung erfolgreich hergestellt wurde, ist sie immun gegen MITM- Angriffe. Allerdings besteht die Schwäche einer solchen Verbindung in dem Austausch des öffentlichen Schlüssels, bevor die verschlüsselte Verbindung aufgesetzt wird. Falls ein solcher Austausch öffentlicher Schlüssel über die Einheit 201 vorgenommen wird, findet der MITM-Angriff bereits vor einer verschlüsselten Verbindung zwischen der DPU 101 und dem PMA 103 statt: In einem solchen Fall erscheint die verschlüsselte Verbindung als im Betrieb, wohingegen die DPU 101 tatsächlich eine sichere Leitung mit der Einheit 201 hergestellt hat und die Einheit 201 eine sichere Leitung mit dem PMA 103 hergestellt hat. Somit kann der MITM-Angreifer, d. h. die Einheit 201, gegenüber der DPU 101 erfolgreich eine PMA-Entität und gegenüber dem PMA 103 eine DPU-Entität simulieren. [0013] Sobald einem Angreifer ein jeglicher privater Schlüssel bekannt wird, kann die gesamte Kommunikation korrumpiert werden. Dies ist insbesondere risikobeladen, da der PMA 103 eine Cloud-Anwendung sein kann, d. h. ein Stück von Software, das einfachem Zugriff unterliegen kann, z. B. durch Hacking oder Rückentwickeln. [0014] Gemäß einem Beispiel der hier beschriebenen Lösung kann eine Schlüsselaustauschinstanz bereitgestellt werden oder eine bereits vorhandene Instanz kann für diesen Zweck eines Schlüsselaustauschs verwendet werden. Diese Instanz kann eine kontrollierte Instanz sein, z. B. eine firmenkontrollierte Instanz, die ein gewisses Vertrauensniveau bereitstellt. Die Instanz für einen Schlüsselaustausch wird hier auch als Schlüsselaustauschserver oder Ladungsserver bezeichnet. [0015] Der Ladungsserver kann eine Netzwerkvorrichtung sein, die insbesondere verschiedene Firmware-Versionen für die verwendeten Vorrichtungen umfasst, wobei deren Firmware-Versionen oder cloudbasierte Anwendungen als Ladungen bezeichnet werden können. [0016] Fig. 3 zeigt ein beispielhaftes Diagramm, umfassend eine DPU 301, einen PMA 303 und einen Ladungsserver 304, welche über das Internet 302 verbunden oder verbindbar sind. [0017] Der PMA 303 kann eine Vorrichtung oder eine cloudbasierte Anwendung sein, die insbesondere auf einer Vorrichtung, einer virtuellen Maschine, auf einer Serverfarm oder dergleichen läuft. [0018] Die DPU 301 ist mit dem PMA 303 über eine SSH-Verbindung 305 verbunden, die DPU ist mit dem 3/18

4 Ladungsserver 304 über eine SSH-Verbindung 306 verbunden und der PMA 303 ist mit dem Ladungsserver 304 über eine SSH-Verbindung 307 verbunden. Es sei angemerkt, dass SSH ein Beispiel für eine verschlüsselte Verbindung ist; andere Arten von verschlüsselten Verbindungen können entsprechend verwendet werden. [0019] In diesem Szenarium setzt die DPU 301 die SSH-Verbindung 305 zu dem PMA 303 nicht direkt auf. Stattdessen stellt die DPU 301 die SSH-Verbindung 306 zu dem Ladungsserver 304 her. Dementsprechend stellt der PMA 303 die SSH-Verbindung 307 zu dem Ladungsserver 304 her. Mit beiden SSH- Verbindungen 306 und 307 hergestellt, sendet der Ladungsserver 304 einen Schlüssel (z. B. einen privaten Schlüssel) an den PMA 303 und einen anderen Schlüssel (einen öffentlichen Schlüssel) an die DPU 301. [0020] Dieser Ansatz erhöht das Sicherheitsniveau signifikant und er verschlechtert die Chancen eines erfolgreichen MITM-Angriffs. Es ist auch ein Vorteil dieses Ansatzes, dass Aufrüstmechanismen und Anfangskonfigurationen eines Fernzugangsknotens verbessert werden. [0021] Wie oben erwähnt, versuchen die DPU 301 und der PMA 303 zunächst nicht, miteinander verbunden zu werden. Stattdessen versuchen die DPU 301 und der PMA 303 anfangs, eine Verbindung mit dem Ladungsserver 304 herzustellen. [0022] Dies ist nützlich, da der Ladungsserver 304 eine feste Entität mit einer bekannten Adresse sein kann, welche sogar in der Firmware der DPU 301 und/oder des PMA 303 vorkonfiguriert sein kann. Es sei angemerkt, dass sich entweder die DPU 301 oder der PMA 303 als erster mit dem Ladungsserver 304 verbindet. [0023] Fig. 4 zeigt ein beispielhaftes Nachrichtendiagramm zwischen der DPU 301 und dem Ladungsserver 304. [0024] Die DPU 301 setzt die SSH-Verbindung 306 (Sitzung) mit dem Ladungsserver 304 auf. Da die Zieladresse des Ladungsservers 304 fest ist (d. h. ihm kann eine feste URL oder IP-Adresse zugewiesen sein), kann der Ladungsserver 304 direkt durch die DPU 301 adressiert werden. [0025] Es gibt eine Option, feste Schlüssel zu verwenden, die in der DPU 301 konfiguriert sind, oder (dynamische) Schlüssel zu berechnen und zu verwenden. Verwenden fester Schlüssel kann eine Option sein, da die DPU 301 eine Vorrichtung ist, die schwer rückentwickelbar (um den festen Schlüssel zu erhalten) sein kann, und der Ladungsserver 304 kann an dem Firmensitz der den Dienst anbietenden Firma angesiedelt sein, welcher als hinreichend sicher angesehen werden kann. [0026] Sobald die SSH-Verbindung 306 aufgesetzt ist, sendet die DPU 301 eine Nachricht 401 an den Ladungsserver 304. Die Nachricht 401 umfasst eine Seriennummer und einen laufenden Ladungsnamen (der DPU 301). [0027] Der Ladungsserver 304 prüft (siehe Schritt 403), ob bereits ein angemeldeter PMA vorhanden ist, welcher diese DPU 301 konfigurieren möchte. Falls es eine anhängige Anforderung von dem PMA 303 gibt, berechnet der Ladungsserver 304 eine Prüfsumme (einen Hash-Wert von einem Softwareimage des Ladungsnamens, welche Software auf der DPU 301 läuft) und überträgt eine Nachricht 402 an die DPU 301. Diese Nachricht 402 umfasst die Prüfsumme, einen öffentlichen Schlüssel des PMA 303 und eine Ziel-IP-Adresse des PMA 303. [0028] Die Prüfsumme kann unter Verwendung eines Message-Digest Algorithmus 5 (MD5) berechnet werden. [0029] Falls es keine verfügbare Anforderung von einem PMA, mit der DPU 301 verbunden zu werden, gibt, ignoriert der Ladungsserver 304 die Nachricht 401 und sendet die Nachricht 402 nicht an die DPU 301. [0030] Wenn die DPU 301 die Nachricht 402 empfängt, prüft sie in einem Schritt 404, ob die Prüfsumme korrekt ist (dies kann durch Berechnen des Hash- Werts von dem Softwareimage des Ladungsnamens und Vergleichen von diesem mit dem in der Nachricht 402 übertragenen Hash-Wert erfolgen). [0031] Falls die Prüfung der Prüfsumme korrekt ist, versucht die DPU 301, die SSH-Verbindung 305 mit dem PMA 303 unter Verwendung des öffentlichen Schlüssels des PMA 303 und der IP-Adresse des PMA 303, beide aus der Nachricht 402 erhalten, herzustellen (siehe Schritt 405). [0032] Falls die Prüfung der Prüfsumme nicht korrekt ist, versucht die DPU 301 nicht, die SSH-Verbindung 305 zu dem PMA 303 herzustellen. [0033] Falls die Nachricht 402 nicht innerhalb eines vordefinierten Zeitraums, nachdem die Nachricht 401 gesendet wurde, empfangen wird, wiederholt die DPU das Senden der Nachricht 401 (siehe Schritt 406). [0034] Falls die DPU 301 und der Ladungsserver 304 von einer Vertrauenskörperschaft geliefert werden, z. B. von einer beide Einheiten bereitstellenden Firma, besteht die Option, die Kommunikation (oder einen Teil der Kommunikation) zwischen der 4/18

5 DPU 301 und dem Ladungsserver 304 zu verschlüsseln. Es ist insbesondere eine Option, dass die Ziel- IP-Adresse des Ladungsservers 304 verschlüsselt ist und der Ladungsserver 304 diese Ziel-IP-Adresse entschlüsselt und sie mit seiner eigenen IP-Adresse vergleicht, um sicherzustellen, dass es zwischen der DPU 301 und dem Ladungsserver 304 keinen MITM- Angriff gibt. [0035] Fig. 5 zeigt ein beispielhaftes Nachrichtendiagramm zwischen dem PMA 303 und dem Ladungsserver 304. [0036] Der PMA 303 versucht, den Ladungsserver 304 zu erreichen und die SSH-Verbindung 307 zu dem Ladungsserver 304 aufzubauen. [0037] Über die Nachricht 501 meldet sich der PMA 303 selbst bei dem Ladungsserver 304 an und fordert an, die DPU 301 zu konfigurieren. Die Seriennummer der DPU 301 ist in dieser Nachricht 501 bereitgestellt. [0038] Als eine Option könnte ein Laufsoftwarename (von einer auf dem PMA 303 laufenden Software), beispielsweise eine Prüfsumme des Softwareimages der fernen Vorrichtung, in der Nachricht 501 enthalten sein, für welche eine Prüfsumme (Hash-Wert) bestimmt wird, und zum Verifizieren an den PMA 303 zurückgeschickt wird. [0039] In einem beispielhaften Szenarium möchte sich die DPU 301 mit dem PMA 303 verbinden und die DPU 301 hat bereits den öffentlichen Schlüssel des PMA 303 erhalten. Die DPU 301 verschlüsselt ihren öffentlichen Schlüssel unter Verwendung des öffentlichen Schlüssels des PMA 303 und sendet ihn mittels einer Nachricht an den PMA 303. Der PMA 303 entschlüsselt diese Nachricht mit seinem privaten Schlüssel. Dies führt dazu, dass der PMA 303 von dem öffentlichen Schlüssel der DPU 301 erfährt. [0040] In einem anderen Szenarium muss auch der öffentliche Schlüssel der DPU 301 möglicherweise über den Ladungsserver 304 an den PMA 303 geliefert werden. In diesem Szenarium kann die DPU 301 ihren eigenen öffentlichen Schlüssel verschlüsseln und ihn mittels einer Nachricht an den PMA 303 senden. Der PMA 303 kann dann den entschlüsselten öffentlichen Schlüssel von der DPU 301 verwenden und zusätzlich kann der PMA 303 den entschlüsselten öffentlichen Schlüssel der DPU 301 mit dem einen, den er bereits von dem Ladungsserver 304 erhalten hat, verifizieren. [0041] In einem Schritt 507 hat sich die DPU 301 erfolgreich bei dem Ladungsserver 304 angemeldet (siehe obige Fig. 4). [0042] Fig. 5 zeigt zwei verschiedene Szenarien, ein Szenarium 502 mit dem PMA 303 als dem Master der Schlüssel und ein anderes Szenarium 503 mit dem Ladungsserver 304 als dem Master der Schlüssel. Das Szenarium 503 kann sicherheitstechnisch vorteilhaft sein. [0043] In dem Szenarium 502 ist der PMA 303 der Master des Schlüsselpaars, d. h., dass der PMA 303 sein Schlüsselpaar berechnet (umfassend den öffentlichen Schlüssel und den privaten Schlüssel) und nur den öffentlichen Schlüssel dieses Schlüsselpaars an den Ladungsserver 304 überträgt. Der Ladungsserver 304 überträgt dann diesen öffentlichen Schlüssel an die DPU 301. Der PMA 303 kann dann (in einem Schritt 505) auf die Anmeldung der DPU 301 warten. [0044] In dem Szenarium 503 ist der Ladungsserver 304 der Master der Schlüssel. Somit berechnet der Ladungsserver 304 das Schlüsselpaar und überträgt den privaten Schlüssel an den PMA 303 und den öffentlichen Schlüssel an die DPU 301. Der PMA 303 kann dann (in einem Schritt 505) auf die Anmeldung der DPU 301 warten. [0045] In Abhängigkeit von dem zu verwendenden Schlüsselmechanismus (siehe die nachfolgenden Anmerkungen zur Kryptographie) kann die Verbindung beispielsweise unter Verwendung der ausgetauschten Daten (d. h. des von dem PMA 303 an die DPU 301 übertragenen öffentlichen Schlüssels) aufgebaut werden. [0046] Die Szenarien 502 und 503 sind vorwiegend Szenarien zwischen dem PMA 303 und dem Ladungsserver 304. Sowohl die Einheit PMA 303 als auch der Ladungsserver 304 können sich insbesondere in Unkenntnis darüber befinden, wie das Schlüsselpaar der DPU 301 erschaffen wurde. Dies kann selbst dann zutreffen, wenn der Ladungsserver 304 der Master der Schlüssel für den PMA 303 ist (d. h., dass dies nicht notwendigerweise bedeutet, dass der Ladungsserver 304 auch der Master der Schlüssel für DPU 301 ist). [0047] Fig. 6 zeigt ein beispielhaftes Nachrichtendiagramm der sich mit dem PMA 303 verbindenden DPU 301. [0048] Entsprechend den oben beschriebenen Kommunikationen hinsichtlich Fig. 4 und Fig. 5 haben beide Seiten, d. h. die DPU 301 und der PMA 303, die geheimen Schlüssel erhalten. [0049] Es ist ebenfalls eine Option, dass der Ladungsserver 304 nicht den öffentlichen Schlüssel an die DPU 301 und nicht den privaten Schlüssel (gemäß dem Szenarium 503) an den PMA 303 überträgt; stattdessen kann der Ladungsserver 304 einen Sitzungsschlüssel für symmetrische Verschlüs- 5/18

6 selung berechnen und diesen Sitzungsschlüssel an den PMA 303 und die DPU 301 übertragen. [0050] Mittels einer Nachricht 601 sendet die DPU 301 unter Verwendung des von dem Ladungsserver 304 erhaltenen Schlüssels eine verschlüsselte Nachricht an den PMA 303 (in der Nachricht 402, wie in Fig. 4 gezeigt ist). [0051] In einer Nachricht 602 von dem PMA 303 an die DPU 301 akzeptiert der PMA 303 die mittels der Nachricht 601 übertragene Anmeldung. [0052] In einer Nachricht 603 von dem PMA 303 an die DPU 301 konfiguriert der PMA 303 die DPU 301. Von da an kann die Kommunikation zwischen der DPU 301 und dem PMA 303 den PMA 303 befähigen, Statistik und andere Informationen zu erhalten, als wären die DPU 301 und der PMA 303 direkt verbunden (durch den Doppelpfeil 604 angezeigt). [0053] In einem beispielhaften Szenarium kann die Verbindung 307 zwischen dem PMA 303 und dem Ladungsserver 304 hinsichtlich Sicherheit das schwächste Glied sein. Allerdings erhält ein Angreifer selbst dann, wenn ein MITM-Angriff innerhalb der Verbindung 307 platziert würde, in einem Worst-Case-Szenarium nur einen Schlüssel, welcher nur dann ausgenutzt werden kann, falls derselbe Angreifer zur selben Zeit auch die Verbindung 305 zwischen der DPU 301 und dem PMA 303 erfolgreich infiltriert hat. Dies ist allerdings eher unwahrscheinlich, da sich die Verbindungen 305 und 307 innerhalb der unermesslichen Sphäre des Internets befinden und somit schwer zu finden und auszuwählen sind. Dadurch, dass man getrennte Verbindungen 305, 306 und 307 anstelle einer einzigen Verbindung zwischen der DPU 301 und dem PMA 303 hat, wird der MITM- Angriff signifikant erschwert, da es für einen Angreifer nicht mehr ausreicht, nur eine einzige Verbindung erfolgreich anzugreifen. [0054] Fig. 7 zeigt ein beispielhaftes Diagramm, basierend auf Fig. 3, wobei sowohl der PMA 303 als auch der Ladungsserver 304 einen Verwürfeler 701, 702 für symmetrische Verschlüsselung über die Verbindung 307 hinweg umfasst. [0055] Der Verwürfeler 701, 702 ist jeweils eine Funktionalität (Hardware und/oder Software), die symmetrische Verschlüsselung umfasst. Somit wird die Kommunikation zwischen dem Ladungsserver 304 und dem PMA 303 über die Verbindung 307 hinweg auch unter Verwendung einer gemeinsamen Passphrase verschlüsselt. [0056] Dies erhöht das Sicherheitsniveau. In einem beispielhaften Szenarium kann der PMA 303 auf einer Serverfarm eingesetzt sein, welche etwa 1 Million PMA-Instanzen hosten kann, von denen jede der PMA-Instanzen eine verschlüsselte Leitung zu dem Ladungsserver 304 nutzen kann. [0057] Die Verschlüsselung mit symmetrischem Schlüssel kann ein gemeinsam genutztes Medium nutzen, beispielsweise gemeinsames Nutzen einer mit einem symmetrischen Schlüssel verschlüsselten Leitung für viele Benutzer (hier viele PMA-Instanzen 303). Dies verringert die erforderlichen tatsächlichen Punkt-zu-Punkt-Verbindungen. In solch einem Szenarium kann eine Serverfarm oder ein Teil der Serverfarm mindestens einen Verwürfeler 702 zum Betreiben einer eineindeutigen Verbindung mit dem Ladungsserver 304 verwenden. Vorteilhafterweise wird der gesamte Verkehr zwischen dem PMA 303 (sei es eine einzige PMA- oder eine Vielzahl von PMA-Instanzen) und dem Ladungsserver 304 unter Verwendung eines symmetrischen Schlüssels verwürfelt und verschlüsselt. Auch kann der Schlüsselaustausch für die SSH-Verbindung diese symmetrische Verschlüsselung verwenden. Anmerkungen zur Kryptographie: [0058] Ein Mechanismus mit öffentlichem Schlüssel kann asymmetrische Verschlüsselung nutzen. In einem solchen Fall weisen beide Vorrichtungen, beispielsweise die DPU und der PMA, ihr eigenes öffentliches und privates Schlüsselpaar auf. In diesem Beispiel sind die DPU und der PMA beispielhafte Einheiten, die asymmetrische Verschlüsselung einsetzen. Allerdings ist Anwenden solcher Verschlüsselung nicht auf diese Einheiten beschränkt. [0059] Die DPU verschlüsselt eine Anfangsnachricht unter Verwendung des öffentlichen Schlüssels des PMA. Der PMA entschlüsselt diese Nachricht unter Verwendung seines eigenen privaten Schlüssels. Die Antwort von dem PMA an die DPU wird unter Verwendung des öffentlichen Schlüssels der DPU verschlüsselt und diese Antwort kann durch die DPU mit deren privatem Schlüssel entschlüsselt werden. [0060] Allerdings gibt es einige Möglichkeiten zum Erhalten eines öffentlichen Schlüssels von einer Gegenparteieinheit: (1) Nur der öffentliche Schlüssel eines Servers ist bekannt: Beispielsweise kann die DPU den öffentlichen Schlüssel des PMA kennen. Die DPU verschlüsselt eine Nachricht unter Verwendung dieses öffentlichen Schlüssels des PMA, wobei der öffentliche Schlüssel der DPU in dieser verschlüsselten Nachricht enthalten ist. Die Nachricht wird von der DPU an den PMA gesendet. Der PMA ist in der Lage, die Nachricht zu entschlüsseln und somit den öffentlichen Schlüssel der DPU aus dieser Nachricht zu erhalten. 6/18

7 Allerdings kann es eine Schwierigkeit dabei geben, den öffentlichen Schlüssel des PMA anfänglich für die DPU verfügbar zu machen. Mit anderen Worten: Wie wird der öffentliche Schlüssel des Servers (hier der PMA) für den Client (hier die DPU) verfügbar gemacht? Eine Lösung besteht darin, dass der öffentliche Schlüssel des Servers in den Client compiliert wird. Dieser öffentliche Schlüssel kann fest sein. Dies kann zu dem Faktum führen, dass auch der private Schlüssel fest ist, was für manche Anwendungen schädlich sein kann. Eine andere Lösung besteht darin, dass der Client den öffentlichen Schlüssel dynamisch erhält, beispielsweise pro Sitzung, über eine Drittpartei (beispielsweise eine Vertrauensentität). In einem solchen Szenarium kann das Schlüsselpaar variieren und ein neues Schlüsselpaar könnte pro Sitzung oder gemäß einem vorbestimmten (z. B. Zeit-) Muster ausgegeben werden. (2) Der Server liefert den öffentlichen Schlüssel auf Abruf: Der Server kann einen Mechanismus zum Liefern des öffentlichen Schlüssels in Klartext unterstützen, beispielsweise auf eine Anforderung von dem Client. In diesem Beispiel kann die DPU den öffentlichen Schlüssel in Klartext erhalten, nachdem er von dem PMA angefordert wurde. Danach ist der gleiche Mechanismus wie unter (1) beschrieben anwendbar. (3) Server und Client kennen bereits die öffentlichen Schlüssel von der jeweiligen anderen Einheit: In einem solchen Fall muss kein öffentlicher Schlüssel an irgendeine der Einheiten, beispielsweise den PMA und die DPU übertragen werden, und die verschlüsselte Kommunikation kann wie beschrieben vorgenommen werden. (4) Server und Client verwenden dasselbe öffentliche/private Schlüsselpaar: Dies kann ein Ansatz mit einem verringerten Sicherheitsniveau sein. Andererseits ist dies eine Option zum Verwenden desselben Schlüsselpaars auf der Server- und der Client-Seite für eine asymmetrische Verschlüsselung. Das Schlüsselpaar kann in den Einheiten implementiert sein oder es kann auf Anfrage erhalten werden. [0061] Allerdings haben der Server und der Client nach der Initialisierungsphase eine sichere Verbindung aufgesetzt. Dann kann eine der folgenden Möglichkeiten zur Anwendung kommen: (a) Kommunikation zwischen Server und Client unter Verwendung von asymmetrischer Verschlüsselung: Die wie oben erläutert aufgesetzte asymmetrische Verschlüsselung kann für jegliche Kommunikation (vollständige oder ein Teil der Kommunikation) zwischen dem Client und dem Server verwendet werden. (b) Kommunikation zwischen Server und Client unter Verwendung von symmetrischer Verschlüsselung: Nach der Initialisierungsphase unter Verwendung von asymmetrischer Verschlüsselung kann unter Verwendung dieser asymmetrischen Verschlüsselung ein Sitzungsschlüssel zwischen Server und Client verteilt werden und dieser Sitzungsschlüssel wird als ein symmetrischer Schlüssel zum Verschlüsseln der Kommunikation (oder mindestens eines Teils der Kommunikation) zwischen dem Server und dem Client verwendet. Somit kann die asymmetrische Verschlüsselung nur verwendet werden zum Herstellen eines verschlüsselten Kommunikationskanals zwischen der DPU und dem PMA. Die DPU oder der PMA kann einen neuen (symmetrischen) Schlüssel bestimmen (z. B. berechnen), welcher mittels der Verschlüsselung mit asymmetrischem öffentlichen Schlüssel an die Gegenpartei übermittelt wird. Danach sind beide Seiten, d. h. der PMA und die DPU, in der Lage, diesen symmetrischen Schlüssel für Verschlüsselungs- und Entschlüsselungszwecke zu verwenden. [0062] Die vorliegend vorgeschlagenen Beispiele können insbesondere auf mindestens einer der folgenden Lösungen basieren. Insbesondere könnten Kombinationen der folgenden Merkmale genutzt werden, um ein gewünschtes Ergebnis zu erzielen. Die Merkmale des Verfahrens könnten mit einem oder mehreren beliebigen Merkmalen der Einrichtung, der Vorrichtung oder des Systems kombiniert werden oder umgekehrt. [0063] Ein Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement wird bereitgestellt, umfassend: - Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet; - Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement; - Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, 7/18

8 dass es eine Verbindung mit dem ersten Netzwerkelement anfordert; - Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement; - Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels. [0064] In einem Beispiel kann das erste Netzwerkelement eine DPU sein und das zweite Netzwerkelement kann ein PMA sein. Der Server kann ein Schlüsselaustauschserver sein. Die DPU und der Schlüsselaustauschserver können im Wesentlichen als getrennte Hardwareeinheiten implementiert werden, wobei der PMA als Software oder Hardware realisiert werden kann. [0065] Bei einer Ausführungsform ist das erste Netzwerkelement eine DPU. [0066] Bei einer Ausführungsform ist das zweite Netzwerkelement ein PMA. [0067] Bei einer Ausführungsform meldet sich das erste Netzwerkelement beim Server an, indem eine Identifikation des ersten Netzwerkelements bereitgestellt wird. [0068] Diese Identifikation des ersten Netzwerkelements kann eine Seriennummer und/oder eine Softwareinformation (beispielsweise eine Version oder eine beliebige Art von Ladungsinformationen) sein. Somit kann die Anmeldung des ersten Netzwerkelements bei dem Server auf Grundlage der Identifikation des ersten Netzwerkelements vorgenommen werden. [0069] Bei einer Ausführungsform liefert der Server den ersten Schlüssel nicht an das erste Netzwerkelement, wenn eine Anforderung von dem zweiten Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist. [0070] Bei einer Ausführungsform liefert der Server den ersten Schlüssel an das erste Netzwerkelement, wenn keine Anforderung von einem Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist. [0071] Bei einer Ausführungsform gilt: - nach Anmeldung des ersten Netzwerkelements bestimmt der Server eine Prüfsumme auf Grundlage von durch das erste Netzwerkelement bereitgestellten Informationen und überträgt die Prüfsumme mit dem ersten Schlüssel an das erste Netzwerkelement; - das erste Netzwerkelement prüft die Prüfsumme, um zu bestimmen, dass es der Ursprung der Anmeldungsanforderung war. [0072] Bei einer Ausführungsform gilt: - der Server liefert den ersten Schlüssel und eine Adresse des zweiten Netzwerkelements an das erste Netzwerkelement; - die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement wird durch Verwenden des ersten Schlüssels, des zweiten Schlüssels und der Adresse des zweiten Netzwerkelements aufgesetzt. [0073] Bei einer Ausführungsform versucht das erste Netzwerkelement erneut, die erste Verbindung zwischen dem ersten Netzwerkelement und dem Server aufzusetzen, falls es den ersten Schlüssel nicht innerhalb eines vorbestimmten Zeitraums empfängt. [0074] Somit kann durch das erste Netzwerkelement ein Zeitgeber (Auszeit) zur Neuanmeldung bei dem Server verwendet werden, wenn keine Antwort oder insbesondere kein erster Schlüssel empfangen wird. [0075] Bei einer Ausführungsform liefert der Server den zweiten Schlüssel an das zweite Netzwerkelement, wenn oder nachdem sich das erste Netzwerkelement erfolgreich bei dem Server angemeldet hat. [0076] Bei einer Ausführungsform wird eine symmetrische Verschlüsselung zu der ersten Verbindung und/oder der zweiten Verbindung hinzugefügt. [0077] Dies kann durch Hinzufügen eines Verwürfelers, der zu symmetrischer Verschlüsselung fähig ist, zu dem ersten Netzwerkelement und/oder dem zweiten Netzwerkelement sowie zu dem Server erreicht werden. [0078] Bei einer Ausführungsform kann jede Verbindung Kryptographie mit öffentlichem Schlüssel verwenden. [0079] Jede der drei Verbindungen zwischen dem ersten Netzwerkelement, dem zweiten Netzwerkelement und dem Server kann beispielsweise eine SSH- Verbindung umfassen. [0080] Bei einer Ausführungsform wird die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement für mindestens eines der Folgenden verwendet: 8/18

9 - Konfigurieren des ersten Netzwerkelements durch das zweite Netzwerkelement; - Liefern einer Statistik von dem ersten Netzwerkelement an das zweite Netzwerkelement. [0081] Eine Option besteht insbesondere darin, dass die Verbindung zwischen den Netzwerkelementen für Management-, Steuerungs- und Überwachungszwecke verwendet wird. Eine weitere Option besteht darin, dass die Verbindung zum Übertragen von Befehlen oder Anweisungen von einem Netzwerkelement zu dem anderen verwendet wird. Als ein Beispiel kann in einem Fall, bei dem eine korrumpierte Vorrichtung detektiert wurde, ein Abschießen- oder Löschen-Befehl ausgegeben werden. Eine weitere Option besteht darin, eine Vorrichtung betriebsunfähig zu machen, aufgrund eines gewissen Befehls. [0082] Eine weitere Option zum Nutzen der Verbindung ist ein automatisches Softwarehochstufen oder -runterstufen. Falls beispielsweise Vorrichtungen eines gewissen Gebiets dieselbe Software-Version betreiben, könnte diese Verbindung sogar bevor die Gegenpartei verfügbar ist, zum Aktualisieren (Runterstufen) einer Vorrichtung verwendet werden. Dies erleichtert Integrieren neuer Vorrichtungen in ein vorhandenes Netzwerk. [0083] Bei einer Ausführungsform umfasst die Anforderung des zweiten Netzwerkelements eine Identifizierung des zweiten Netzwerkelements. [0084] Bei einer Ausführungsform gilt: - nachdem das zweite Netzwerkelement die Anforderung an den Server übertragen hat, bestimmt der Server eine Prüfsumme auf Grundlage von durch das zweite Netzwerkelement bereitgestellten Informationen und überträgt die Prüfsumme mit dem zweiten Schlüssel an das zweite Netzwerkelement; - das zweite Netzwerkelement prüft die Prüfsumme, um zu bestimmen, dass es der Ursprung der Anforderung, mit dem ersten Netzwerkelement verbunden zu werden, war. [0085] Bei einer Ausführungsform wird jede Verbindung über das Internet hinweg hergestellt. [0086] Somit sind das erste Netzwerkelement, das zweite Netzwerkelement und der Server mit dem Internet verbunden und die Verbindung zwischen diesen Komponenten wird über das Internet hinweg oder - mit anderen Worten - als eine Internetverbindung unter Verwendung z. B. eines Internetprotokolls vorgenommen. [0087] Auch wird ein System zum Aufsetzen einer Verbindung vorgeschlagen, umfassend - ein erstes Netzwerkelement; - ein zweites Netzwerkelement; - einen Server; - wobei das erste Netzwerkelement dafür ausgelegt ist, sich bei dem Server anzumelden; - wobei der Server dafür ausgelegt ist, einen ersten Schlüssel an das erste Netzwerkelement zu liefern, nachdem das erste Netzwerkelement sich bei dem Server angemeldet hat; - wobei das zweite Netzwerkelement dafür ausgelegt ist, eine Anforderung für eine Verbindung mit dem ersten Netzwerkelement an den Server zu senden; - wobei der Server dafür ausgelegt ist, einen zweiten Schlüssel an das zweite Netzwerkelement zu liefern, nachdem er die Anforderung von dem zweiten Netzwerkelement empfangen hat; - wobei das erste Netzwerkelement und das zweite Netzwerkelement dafür ausgelegt sind, eine die Verbindung untereinander durch Verwenden des ersten Schlüssels und des zweiten Schlüssels aufzusetzen. [0088] Obwohl verschiedene Ausführungsbeispiele der Erfindung offenbart worden sind, wird Fachleuten auf dem Gebiet ersichtlich sein, dass verschiedene Änderungen und Modifikationen vorgenommen werden können, die manche der Vorteile der Erfindung erzielen, ohne vom Gedanken und Schutzumfang der Erfindung abzuweichen. Es wird Durchschnittsfachleuten auf dem Gebiet offensichtlich sein, dass andere Komponenten zweckmäßig substituiert werden können, die die gleichen Funktionen durchführen. Es sollte erwähnt werden, dass Merkmale, die unter Bezugnahme auf eine spezifische Figur erläutert werden, selbst in den Fällen mit Merkmalen anderer Figuren kombiniert werden können, in denen dies nicht explizit erwähnt worden ist. Ferner können die Verfahren der Erfindung entweder in reinen Softwareimplementierungen unter Verwendung der geeigneten Prozessoranweisungen oder in hybriden Implementierungen, die eine Kombination von Hardwarelogik und Softwarelogik nutzen, um die gleichen Ergebnisse zu erzielen, erreicht werden. Es wird beabsichtigt, dass derartige Modifikationen am erfindungsgemäßen Konzept durch die angehängten Ansprüche abgedeckt werden. Patentansprüche 1. Verfahren zum Aufsetzen einer Verbindung zwischen einem ersten Netzwerkelement und einem zweiten Netzwerkelement, umfassend: - Aufsetzen einer ersten Verbindung zwischen dem ersten Netzwerkelement und einem Server, wobei sich das erste Netzwerkelement bei dem Server anmeldet; 9/18

10 - Liefern eines ersten Schlüssels von dem Server an das erste Netzwerkelement; - Aufsetzen einer zweiten Verbindung zwischen dem zweiten Netzwerkelement und dem Server, wobei das zweite Netzwerkelement anzeigt, dass es eine Verbindung mit dem ersten Netzwerkelement anfordert; - Liefern eines zweiten Schlüssels von dem Server an das zweite Netzwerkelement; - Aufsetzen einer der Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels und des zweiten Schlüssels. 2. Verfahren nach Anspruch 1, bei dem das erste Netzwerkelement eine DPU ist. 3. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das zweite Netzwerkelement ein PMA ist. 4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem sich das erste Netzwerkelement bei dem Server durch Bereitstellen einer Identifikation des ersten Netzwerkelements anmeldet. 5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Server den ersten Schlüssel an das erste Netzwerkelement liefert, falls eine Anforderung von dem zweiten Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist. 6. Verfahren nach Anspruch 5, bei dem der Server den ersten Schlüssel nicht an das erste Netzwerkelement liefert, wenn keine Anforderung von einem Netzwerkelement, mit dem ersten Netzwerkelement verbunden zu werden, anhängig ist. 7. Verfahren nach einem der vorhergehenden Ansprüche, - bei dem nach Anmeldung des ersten Netzwerkelements der Server eine Prüfsumme auf Grundlage von durch das erste Netzwerkelement bereitgestellten Informationen bestimmt und die Prüfsumme mit dem ersten Schlüssel an das erste Netzwerkelement überträgt; - bei dem das erste Netzwerkelement die Prüfsumme prüft, um zu bestimmen, dass es der Ursprung der Anmeldungsanforderung war. 8. Verfahren nach einem der vorhergehenden Ansprüche, - bei dem der Server den ersten Schlüssel und eine Adresse des zweiten Netzwerkelements an das erste Netzwerkelement liefert; - bei dem die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement durch Verwenden des ersten Schlüssels, des zweiten Schlüssels und der Adresse des zweiten Netzwerkelements aufgesetzt wird. 9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das erste Netzwerkelement erneut versucht, die erste Verbindung zwischen dem ersten Netzwerkelement und dem Server aufzusetzen, falls es den ersten Schlüssel nicht innerhalb eines vorbestimmten Zeitraums empfängt. 10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem der Server den zweiten Schlüssel an das zweite Netzwerkelement liefert, falls oder nachdem sich das erste Netzwerkelement erfolgreich bei dem Server angemeldet hat. 11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine symmetrische Verschlüsselung zu der ersten Verbindung und/oder der zweiten Verbindung hinzugefügt wird. 12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jede Verbindung Kryptographie mit öffentlichem Schlüssel verwenden kann. 13. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Verbindung zwischen dem ersten Netzwerkelement und dem zweiten Netzwerkelement für mindestens eines der Folgenden verwendet wird: - Konfigurieren des ersten Netzwerkelements durch das zweite Netzwerkelement; - Liefern einer Statistik von dem ersten Netzwerkelement an das zweite Netzwerkelement. 14. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Anforderung des zweiten Netzwerkelements eine Identifikation des zweiten Netzwerkelements umfasst. 15. Verfahren nach einem der vorhergehenden Ansprüche, - bei dem, nachdem das zweite Netzwerkelement die Anforderung an den Server übertragen hat, der Server eine Prüfsumme auf Grundlage von durch das zweite Netzwerkelement bereitgestellten Informationen bestimmt und die Prüfsumme mit dem zweiten Schlüssel an das zweite Netzwerkelement überträgt; - bei dem das zweite Netzwerkelement die Prüfsumme prüft, um zu bestimmen, dass es der Ursprung der Anforderung, mit dem ersten Netzwerkelement verbunden zu werden, war. 16. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jede der Verbindungen über das Internet hergestellt wird. 17. System zum Aufsetzen einer Verbindung, umfassend: - ein erstes Netzwerkelement; 10/18

11 - ein zweites Netzwerkelement; - einen Server; - wobei das erste Netzwerkelement eingerichtet ist, sich bei dem Server anzumelden; - wobei der Server eingerichtet ist, einen ersten Schlüssel an das erste Netzwerkelement zu liefern, nachdem das erste Netzwerkelement sich bei dem Server angemeldet hat; - wobei das zweite Netzwerkelement eingerichtet ist, eine Anforderung für eine Verbindung mit dem ersten Netzwerkelement an den Server zu senden; - wobei der Server eingerichtet ist, einen zweiten Schlüssel an das zweite Netzwerkelement zu liefern, nachdem er die Anforderung von dem zweiten Netzwerkelement empfangen hat; - wobei das erste Netzwerkelement und das zweite Netzwerkelement eingerichtet sind, eine Verbindung untereinander durch Verwenden des ersten Schlüssels und des zweiten Schlüssels aufzusetzen. Es folgen 7 Seiten Zeichnungen 11/18

12 Anhängende Zeichnungen 12/18

13 13/18

14 14/18

15 15/18

16 16/18

17 17/18

18 18/18