-
HINTERGRUND
DER ERFINDUNG
-
GEBIET DER
ERFINDUNG
-
Diese
Erfindung bezieht sich im Allgemeinen auf Netzwerke und insbesondere
darauf, wie Geräte
in Netzwerkumgebungen authentifiziert werden.
-
Da
der Wert und Gebrauch von Information immer größer wird, suchen Einzelpersonen
und Unternehmen zusätzliche
Wege, um Information zu verarbeiten und zu speichern. Eine mögliche Option
für Benutzer sind
Datenverarbeitungssysteme. Ein Datenverarbeitungssystem im Allgemeinen
verarbeitet, führt
zusammen, speichert und/oder kommuniziert Informationen oder Daten
für geschäftliche,
persönliche
oder andere Zwecke und erlaubt damit den Benutzern einen Vorteil
aus dem Wert von Information zu ziehen. Da sich die technologischen
und informationsverarbeitenden Bedürfnisse zwischen verschiedenen
Benutzern unterscheiden, sollten auch die Datenverarbeitungssysteme
dahingehend variieren, welche Information verarbeitet wird, wie
die Information verarbeitet, gespeichert oder kommuniziert wird
und wie schnell und effizient die Information verarbeitet, gespeichert
und kommuniziert wird. Die Vielfalt von Datenverarbeitungssystemen
erlaubt es den Datenverarbeitungssystemen, allgemein oder benutzerspezifisch oder
spezifisch für
eine Aufgabe konfiguriert zu sein, wie zum Beispiel für Finanztransaktionen,
Buchungssysteme von Fluglinien, Unternehmensdatenspeicherung und
globale Kommunikation. Außerdem
können
Datenverarbeitungssysteme eine Vielfalt von Hardware- und Software-
Komponenten enthalten, die konfiguriert werden können, um Information zu verarbeiten,
zu speichern und zu kommunizieren, und sie können auch einen oder mehrere
Computersysteme oder Datenspeichersysteme und Netzwerkssysteme enthalten.
-
In
einem typischen drahtlosen Netzwerk (wireless network) müssen die
Systeme, die drahtlose Information verarbeiten, vorher authentifiziert
werden, bevor sie Zugang zu Netzwerkdiensten erhalten. Um diese Aufgabe
zu erfüllen,
kann ein Datenverarbeitungssystem in der Form eines Authentifizierungssservers
oder eine andere Art von Netzwerkauthentifizierungsgerät konfiguriert
werden, das eine große
Zahl von drahtlosen Authentifizierungsverfahren in der Form von
Sicherheitsmoden oder -algorithmen unterstützt. Ein gegebenes drahtloses
Datenverarbeitungssystem, welches als Client mit dem Netzwerk- Authentifizierungsgerät kommuniziert,
ist typischerweise so konfiguriert, dass es eine dieser drahtlosen
Authentifizierungsmethoden nutzt. Wenn der drahtlose Client authentifiziert
wird, muss das Authentifizierungsgerät sich die Zeit nehmen, um
alle Arten von drahtlosen Authentifizierungsverfahren durchzuprobieren,
bis es das korrekte drahtlose Authentifizierungsverfahren findet,
welches vom Client unterstützt
wird.
-
In
einem gewöhnlichen
Netzwerk-Authentifizierungsschema kann eine sogenannte Edge-Authentifizierung über einen
drahtlosen Zugangspunkt (wireless access point) (drahtloser Switch
oder drahtloser Zugangspunkt) für
drahtlose Client-Geräte ausgeführt werden,
welcher eine Anzahl von verschiedenen Authentifizierungsverfahren
unterstützt
und das richtige Authentifizierungsverfahren für einen gegebenen Client auswählt, bevor
es ihm Zugang zum Kernnetzwerk (core network) ermöglicht,
wo eine weitere Authentifizierung durchgeführt werden kann. EAP ist ein
Standardmechanismus zum Gewähren
von Netzwerkzugang und ist definiert im Internet Engineering Task
Force (IETF) Request for Comments (RFC) 3746. EAP definiert ein
Verfahren, um einen Netzwerkzugang anzufragen und zu gewähren und
benutzt eine Authentifikationstelle, die normalerweise ein Remote
Authentication Dial-In User Service (RADIUS)-Server ist. EAP ist
der Authentifizierungsmechanismus, aber die Details der Authentifizierung
werden in einem EAP-Rahmen durchgeführt. Die EAP-Rahmen selbst
werden in IEEE 802.IX-Rahmen in einem Layer 2 verdrahteten oder
drahtlosen (802.11) Netzwerk beschrieben. 1 zeigt ein gewöhnliches 802.1X und EAP Identitätskonvergenzschema,
wie es dem Stand der Technik entspricht, zwischen einem Client-Gerät und einem
drahtlosen Gateway-Zugangspunkt, nachdem das Client-Gerät dem Zugangspunkt
zugeordnet wurde. Wie weiter unten beschrieben, kann die Übereinstimmung
in der gewünschten
Authentifizierungsmethode mehrere Versuche benötigen, wobei jeder Versuch
ein EAP Frage-Antwort-Paar darstellt.
-
In 1 muss das Zugangsgerät das von
dem gegebenen drahtlosen Client benutzte EAP-Authentifizierungsverfahren „raten". Dieses Raten geschieht
durch wiederholtes Übertragen
von EAP-Identitätsanfragen,
wobei jede Anfrage eine andere Art von EAP-Authentifizierungsverfahren
(TYPE) enthält.
Der drahtlose Client antwortet auf jede EAP-Identitätsanfrage
mit einer EAP-Identitätsantwort,
die eine negative Bestätigung (NAK)
enthält,
wenn die erhaltene EAP-Identitätsanfrage
nicht die korrekte Art des EAP-Authentifizierungsverfahrens für das gegebene
drahtlose Client-Gerät
enthält.
Dieser Prozess wiederholt sich so oft wie nötig, bis EAP-Übereinstimmung
auftritt (d.h. Übereinstimmung
zwischen dem Client-Gerät
und dem Gateway-Gerät über ein
bestimmtes EAP-Authentifizierungsverfahren) und der drahtlose Client
auf eine bestimmte EAP-Identitätsanfrage
mit einer EAP-Identitätsantwort
antwortet, die eine positive Bestätigung (TYPE) des korrekten, vom
Client benutzten EAP-Authentifizierungsverfahrens enthält. Da das
EAP-Protokoll bis zu 256 Authentifizierungsverfahren unterstützt (mit
mehr als 50 Authentifizierungsverfahren, von denen gegenwärtig bekannt ist,
dass sie von EAP verwendet werden) kann ein signifikanter Zeitraum
verstrei chen, bis eine EAP-Übereinstimmung
eintritt. Durch diese Versuch-und-Irrtum-Methode kann die drahtlose Authentifizierungsübereinstimmung,
welche traditionelle, auf 802.IX und EAP (Extensible Authentification
Protocol) basierende Verfahren benutzt, eine relativ lange Zeitdauer
benötigen,
wohingegen viele drahtlose Dienstleistungen (Stimme, Video) eine
Authentifizierung mit kurzer Latenzzeit erfordern.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Hier
sind Systeme und Verfahren zur Authentifizierung von Informationsverarbeitungssystemen
als Client-Geräte
innerhalb eines Netzwerkes offenbart. Wenn man die hier offenbarten
Systeme und Verfahren benutzt, kann eine oder mehrere Charakteristiken
von dem/den Authentifizierungsverfahren (z. B. Authentifizierungsmodus/-modi
und -algorithmus/-algorithmen), die früher von einem gegebenen Client-Gerät (z. B. drahtloses
Client-Gerät)
benutzt wurden, von einem Netzwerkauthentifizierungsgerät (z. B.
einem Authentfizierungsserver, einem drahtlosen Gateway-Zugang usw.)
gespeichert werden (z. B. im Cachespeicher), damit das Authentifizierungsgerät sie für die Auswahl
des Authentifizierungsverfahrens für die Kommunikation mit dem
gegebenen Client-Gerät
benutzen kann. Solche Charakteristiken eines Authentifizierungsverfahrens
enthalten – aber
sie sind nicht darauf beschränkt – die Identität des vom
gegebenen Client zuletzt benutzten Authentifizierungsverfahrens,
die relative Gebrauchshäufigkeit
von zwei oder mehr verschiedenen Authentifizierungsverfahren durch
einen gegebenen Client, Muster des Gebrauchs von zwei oder mehr
verschiedenen Authentifizierungsverfahren durch einen gegebenen
Client, Kombinationen davon etc.. Vorteilhafterweise können die
offenbarten Systemen und Verfahren in einer Ausführungsform implementiert werden,
um die Zeit, die für die
Authentifizierungsübereinstimmung
benötigt
wird, gegenüber
der Übereinstimmungszeit
zu reduzieren, die von konventionellen Verfahren benötigt wird.
-
In
einer exemplarischen Ausführungsform
kann ein Cache-Mechanismus auf einem drahtlosen Authentifizierungsgerät implementiert
werden, um das letzte drahtlose Authentifizierungsverfahren (z.
B. Authentifizierungsmodus und -algorithmus) zu speichern, das vom
drahtlosen Authentifizierungsgerät
benutzt wurde, um ein gegebenes drahtloses Clientgerät zu authentifizieren.
Wenn das nächste
Mal das gegebene drahtlose Client-Gerät versucht, sich bei dem drahtlosen
Authentifizierungsgerät
zu authentifizieren, kam das drahtlose Authentifizierungsgerät standardmäßig auf
das gespeicherte drahtlose Authentifizierungsverfahren zurückgreifen,
in einem Versuch, die Authentifizierungszeit durch schnelleres Identifizieren
des korrekten Authentifizierungsverfahrens, welches vom gegebenen
drahtlosen Client-Gerät
verwendet wird, zu verkürzen.
Z.B. kann ein drahtloses Gerät
das letzte Authentifizierungsverfahren, das von einem EAP-Austausch gewählt wurde,
im Cachespeicher speichern oder anderswo speichern und dieses EAP-Verfahren
als den ersten Versuch bei einer zukünftigen Auswahl des Authentifizierungsverfahrens
verwenden. In einer Ausführungsform
können
die offenbarten Systeme und Verfahren zum Gebrauch in drahtlosen
Netzwerken, die homogen bezüglich
des Authentifizierungsverfahrens sind, implementiert werden, um
ein EAP-Verfahren im Cachespeicher zu speichern und damit die Übereinstimmung
der EAP-Verfahren zwischen einem drahtlosen Gerät und einem drahtlosen Authentifizierungsgerät in einer
Art zu rationalisieren, die den Standards entspricht.
-
In
einer weiteren beispielhaften Ausführungsform kann das drahtlose
Authentifizierungsgerät
zusätzlich
oder alternativ (z. B. durch den Gebrauch eines/mehrerer Zähler/s)
die Frequenz oder Anzahl von Zeitpunkten notieren, zu denen ein
gegebener drahtloser Client ein bestimmtes drahtloses Authentifizierungsverfahren
(z. B. Authentifizierungsmodus und -algorithmus) relativ zu einem/mehreren
anderen drahtlosen Authentifizierungsverfahren benutzt. In solch
einer Implementierung kann das drahtlose Authentifizierungsgerät die beobachtete
relative Gebrauchsfrequenz eines gegebenen drahtlosen Authentifizierungsverfahrens
be nutzen, um zwei oder mehrere Authentifizierungsverfahren zu priorisieren.
Z. B. wenn das zuletzt gebrauchte drahtlose Authentifizierungsverfahren
nicht mit dem gegenwärtigen
Authentifizierungsverfahren übereinstimmt,
das das drahtlose Client-Gerät
verwendet, dann kann das drahtlose Authentifizierungsgerät die verbleibenden
möglichen
Authentifizierungsverfahren in der Reihenfolge der relativen Gebrauchshäufigkeit durchprobieren,
bis das korrekte drahtlose Authentifizierungsverfahren gefunden
ist. Alternativ kann ein drahtloses Authentifizierungsgerät damit
anfangen, die möglichen
drahtlosen Authentifizierungsverfahren in der Reihenfolge ihrer
beobachteten relativen Gebrauchsfrequenz durchzuprobieren statt
mit dem drahtlosen Authentifizierungsverfahren anzufangen, das von
einem bestimmten drahtlosen Client zuletzt benutzt wurde.
-
In
einer Hinsicht ist hier ein Kommunikationsverfahren mit einem Informationsverarbeitungssystem
offenbart, wobei das Verfahren folgendes beinhaltet: Auswahl eines
Netzwerkauthentifizierungsverfahrens und Kommunizieren der Identität des ausgewählten Netzwerkauthentifierungsverfahrens
an das Informationsverarbeitungssystem, in welchem das Authentifizierungsverfahren
ausgewählt
wird, wobei dies auf einer oder mehreren Charakteristiken von mindestens
einem Authentifizierungsverfahren beruht, das vorher benutzt wurde,
um das Informationsverarbeitungssystem für Netzwerkkommunikation zu
authentifizieren.
-
In
einer anderen Hinsicht ist hier ein Kommunikationsverfahren mit
einem ersten Informationsverarbeitungssystem, das als ein Client-Gerät konfiguriert
ist, offenbart, wobei das Verfahren folgendes einschließt: Speichern
in einem Speicher eines zweiten Informationsverarbeitungssystems,
das als ein Netzwerkauthentifizierungsgerät konfiguriert ist, von einer
oder mehreren Charakteristiken von mindestens einem Authentifizierungsverfahren,
das vorher vom Netzwerkauthentifizierungsgerät benutzt wurde, um das Client-Gerät für verdrahtete
oder drahtlose Netzwerkkommunikation zu authentifizieren; Empfangen
einer Authentifizierungsanfrage vom Client-Gerät im Netzwerkauthentifizierungsgerät über verdrah tete
oder drahtlose Kommunikation; Auswählen eines ersten Netzwerkauthentifizierungsverfahrens,
basierend auf einer oder mehreren Charakteristiken von dem mindestens
einen Authentifizierungsverfahren, welches vorher durch das Netzwerkauthentifizierungsgerät benutzt
wurde, um das Client-Gerät
für verdrahtete
oder drahtlose Netzwerk-Kommunikation zu authentifizieren und welches
im Speicher des Netzwerkauthentifizierungsgeräts gespeichert ist, und Kommunizieren
der Identität
des ersten ausgewählten
Netzwerkauthentifizierungsverfahrens an das Client-Gerät über verdrahtete
oder drahtlose Kommunikation.
-
In
einer anderen Hinsicht ist hier ein Informationsverarbeitungssystem
offenbart, wobei das Informationsverarbeitungssystem folgendermaßen konfiguriert
ist: wähle
ein Netzwerkauthentifizierungsverfahren auf der Grundlage von einer
oder mehreren Charakteristiken von mindestens einem Authentifizierungsverfahren, das
vorher verwendet wurde, um ein Client-Informationsverarbeitungssystem
für Netzwerkkommunikation
zu authentifizieren, und kommuniziere die Identität des ausgewählten Netzwerkauthentifizierungsverfahrens
an das Client-Informationsverarbeitungssystem.
-
Kurzbeschreibung
der Zeichnungen
-
1 zeigt
ein konventionelles Identitätskonvergenzschema
zwischen einem drahtlosen Client-Gerät und einem drahtlosen Gateway-Zugangspunkt
(gateway access point).
-
2 ist
ein vereinfachtes Diagramm einer Netzwerkumgebung gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren.
-
3 ist
ein vereinfachtes Diagramm einer Netzwerkumgebung gemäß einer
exemplarischen Ausführungsform
der offenbarten Systeme und Verfahren.
-
4 ist
ein vereinfachtes Blockdiagramm, das die Kommunikation zwischen
Authentifizierungsgerät und
einem Client-Gerät
gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren zeigt.
-
5 ist
ein Flussdiagramm, das die Authentifizierungsmethodik gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren zeigt.
-
6 zeigt
ein Identitätsübereinstimmungsschema
(identity convergence scheme) zwischen einem drahtlosen Client-Gerät und einem
drahtlosen Gateway-Zugangspunkt
gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren.
-
Beschreibung
der erläuternden
Ausführungsformen
-
2 ist
ein vereinfachtes Diagramm einer Netzwerkumgebung 200 gemäß einer
exemplarischen Ausführungsform,
in der die offenbarten Systeme und Verfahren implementiert werden
können,
um sowohl verdrahtete als auch drahtlose Netzwerkgeräte zu authentifizieren.
Wie gezeigt beinhaltet die Netzwerkumgebung 200 eine Anzahl
von beispielhaften drahtlosen und verdrahteten Geräten, die
konfiguriert werden können,
um miteinander durch drahtlose beziehungsweise verdrahtete Kommunikation
zu kommunizieren. Obwohl sowohl drahtlose als auch verdrahtete Geräte dargestellt
sind, versteht es sich, dass die offenbarten Systeme und Verfahren
implementiert werden können,
um Geräte
für Netzwerkkommunikation
in jeder anderen Art von Netzwerkumgebung zu authentifizieren, z.B.
in Netzwerkumgebungen, die nur drahtlose Geräte beinhalten oder in Netzwerkumgebungen,
die nur verdrahtete Geräte
beinhalten. Darüber
hinausgehend können
die offenbarten Systeme und Verfahen implementiert werden, um Netzwerkkommunikation
in einer Vielfalt von Netzwerkumgebungen zu authentifizieren, z.B.
in Netzwerkumgebungen zu Hause, Büronetzwerkumgebungen etc.
-
In
der exemplarischen Ausführungsform
von 2 beinhaltet die Netzwerkumgebung 200 die
drahtlosen Client-Geräte 210 und 212,
die als tragbare Informationsverarbeitungssysteme in der Form eines
Notebooks-Computers beziehungsweise eines Personal Data Assistant
(PDA) gezeigt sind. Die Netzwerkumgebung 200 schließt auch
ein verdrahtetes Client-Gerät 206 in
der Form eines Desktop-Computers
ein. Wie gezeigt ist jedes der drahtlosen Client-Geräte 210 und 212 so
konfiguriert, dass es mit den anderen Geräten der Netzwerkumgebung 200 über den
drahtlosen Zugangspunkt 208 und den Netzwerk-Switch 202 kommuniziert. Das
verdrahtete Client-Gerät 206 wird
so konfiguriert gezeigt, dass es mit den anderen Geräten der
Netzwerkumgebung 200 über
den Switch 202 kommuniziert. Ein Authentifizierungsgerät 204 ist
als an den Switch 202 angekoppelt gezeigt, um mit verdrahteten
und drahtlosen Client-Geräten
der Netzwerkumgebung 200 zu kommunizieren. In der gezeigten
Ausführungsform
von 2 ist das Authentifizierungsgerät 204 als
ein Authentifizierungs-Server (z. B. RADIUS-Server) gezeigt, der
angekoppelt ist, um mit den anderen Netzwerkgeräten über eine fest verdrahtete Verbindung
zum Netzwerk-Switch 202 zu kommunizieren.
-
Mit
Bezug auf die exemplarische Anordnung in 2 versteht
es sich, dass die Zahl und die Arten der gezeigten verdrahteten
und drahtlosen Client-Geräte
nur beispielhaften Charakter hat und dass die offenbarten Systeme
und Verfahren auch mit jeder anderen Zahl und/oder Art(en) von Datenverarbeitungsgeräten, die für verdrahtete
oder drahtlose Kommunikation in einer gegebenen Netzwerkumgebung
geeignet konfiguriert sind, benutzt werden können. Weiterhin versteht es
sich, dass die bestimmte gezeigte Anordnung von Netzwerk-Switch 202,
drahtlosem Zugangspunkt 208 und Authentifizierungsserver 204 ebenfalls
nur bei spielhaften Charakter hat und dass jede andere geeignete
Konfiguration von Netzwerkkommunikation und Authentifizierungsgerät/en benutzt
werden kann, wie z. B. ein einziges gemeinsames Gerät, das so
konfiguriert ist, dass es die Aufgaben von drahtlosem Zugangspunkt,
Netzwerk-Router und Authentifizierungsgerät übernimmt.
-
Z.
B. zeigt 3 ein vereinfachtes Diagramm
einer Netzwerkumgebung 300, in der die offenbarten Systeme
und Verfahren in einer anderen beispielhaften Ausführungsform
implementiert sind, um die Edge-Authentifizierung für Netzwerkgeräte durchzuführen. Wie
gezeigt, beinhaltet die Netzwerkumgebung 300 eine Anzahl
von beispielhaften, drahtlosen Client-Geräten 310, 312 und 314,
die konfiguriert werden können,
um miteinander via drahtlose Kommunikation zu kommunizieren, unter
Benutzung eines Authentifizierungsgeräts 302, das ebenfalls
so konfiguriert ist, dass es als drahtloser Gateway-Zugangspunkt
operiert, z. B. als 802.1X-Zugangspunkt. Wie gezeigt ist das Authentifizierungsgerät 302 über eine
verdrahtete Verbindung an einen Authentifizierungsserver 304 (z.
B. RADIUS-Server)
innerhalb des Kernnetzwerkes 320 angekoppelt. Authentifizierungsgerät 302 ist
so konfiguriert, dass es Authentifizierungsanfragen von den drahtlosen
Geräten 310, 312 und 314 erhält, die
nicht das im Gebrauch befindliche Authentifizierungsverfahren des
anfragenden Client-Geräts
offenlegen und dass es Edge-Authentifizierung
durch Informationsaustausch mit dem anfragenden Client-Gerät durchführt, um
zum korrekten Authentifizierungsverfahren zu gelangen, bevor es
dem drahtlosen Client Zugang zum Kernnetzwerk 320 gewährt. In
der dargestellten Ausführungsform
ist der Authentifizierungsserver 304 so konfiguriert, dass
er die Authentifizierungsaufgaben des Kernnetzwerks (z. B. Benutzerverifizierung
etc.) übernimmt,
nachdem ein bestimmtes Client-Gerät 310 edge-authentifiziert
ist und durch das Authentifizierungsgerät 302 Zugang zum Kernnetzwerk 320 erhalten
hat. Auch die drahtlosen Client-Geräte 312 und 314,
die vorher Zugang zum Kernnetzwerk 320 erhalten haben,
sind als kommunizierend innerhalb des Kernnetzwerks 320 dargestellt.
-
Obwohl
sowohl drahtlose als auch verdrahtete Geräte als Teil der Netzwerkumgebung
in den 2 und 3 dargestellt sind, versteht
es sich, dass die offenbarten Systeme und Verfahren implementiert
werden können,
um Geräte
für Netzwerkkommunikation
in anderen Arten einer Netzwerkumgebung zu authentifizieren, z.
B. in Netzwerkumgebungen, die nur drahtlose Geräte oder in Netzwerkumgebungen,
die nur verdrahtete Geräte
enthalten. Außerdem
können
die offenbarten Systeme und Verfahren implementiert werden, um Netzwerkkommunikation
in einer Vielfalt von Netzwerkumgebungstypen zu authentifizieren,
z. B. Netzwerkumgebungen zu Hause und Büronetzwerkumgebungen etc.
-
4 ist
ein vereinfachtes Blockdiagramm, das die Kommunikation zwischen
einem Authentifizierungsgerät 402 und
einem Client-Gerät 420 gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren zeigt. Obwohl die Geräte 402 und 420 in 4 als
drahtlos kommunizierend gezeigt sind, versteht es sich, dass die
Kommunikation zwischen Authentifizierungsgerät 402 und 420 alternativ
auch über eine
verdrahtete Verbindung sein kann. In dieser Hinsicht können die
Authentifizierungsfähigkeiten
des drahtlosen Authentifizierungsgeräts 402 als repräsentativ
für die
Fähigkeiten
des Authentifizierungsservers 204 aus 2 oder
des drahtlosen Gateway-Zugangspunkts 302 aus 3 angesehen
werden.
-
In
der gezeigten Ausführungsform
in 4 ist das drahtlose Authentifizierungsgerät 402 mit
Prozessor 406 gezeigt, der mit Speicher 408 verbunden
ist und der so konfiguriert ist, dass er Netzwerkkommunikationen über die
angekoppelte drahtlose Netzwerk-Interface-Karte 404 (network
interface card, Abk.: NIC) und Antenne 414 empfängt und
erzeugt. Ähnlich
ist das drahtlose Client-Gerät 420 gezeigt
mit einem Prozessor 424 gezeigt, der mit dem Speicher 426 verbunden
ist und der so konfiguriert ist, dass er Netzwerkkommunikationen über eine
angekoppelte drahtlose Netzwerk-Interface-Karte (NIC) 422 und
Antenne 428 empfängt
und erzeugt. Speicher 408 und 426 können jedes
geeignete Speichergerät
(z. B. Halbleiterspeicher, Festplatte etc.) oder eine Kombination
von Speichergeräten
sein, die für
das Speichern von Information geeignet ist, welche notwendig oder
wünschenswert
ist, um die Merkmale der offenbarten Systeme und Verfahren zu erreichen,
wie sie hier weiter beschrieben werden. Ähnlich können die Prozessoren 424 jedes/alle
Verarbeitungsgerät/e
(z.B. Mikroprozessor, Mikrocontroller etc.) sein, die für das Aufrufen
und Speichern von Informationen in den assoziierten Speichergeräten geeignet
sind und zum Ausführen
von Algorithmen und Routinen, welche notwendig oder wünschenswert
sind, um die Merkmale der offenbarten Systeme und Verfahren zu erreichen,
wie sie hier weiter beschrieben werden. Die NICs 404 und 428 können jegliche
Netzwerk-Interface-Karte oder Netzwerk-Adapterkomponenten sein,
die für
das Ermöglichen
von drahtloser Netzwerkkommunikation zwischen dem drahtlosen Authentifizierungsgerät 402 und
dem drahtlosen Client-Gerät 420 über die
Antennen 414 und 428 geeignet sind, wobei es sich
versteht, dass eine verdrahtete NetzwerkAusführungsform implementiert werden
kann durch das Benutzen von NIC-Komponenten, die für verdrahtete
Netzwerkkommunikation zwischen einem verdrahteten Authentifizierungsgerät und einem
verdrahteten Client-Gerät
geeignet sind.
-
In
dieser Ausführungsform
sind der Prozessor 424 und der Speicher 426 des
drahtlosen Client-Geräts 420 so
konfiguriert, um wenigstens ein drahtloses Authentifizierungsverfahren
(z. B. Sicherheitsmodus und/oder -algorithmus) auszuführen, um
die Authentifizierungsinformation zu produzieren, die zum Authentifizierungsgerät 402 über NIC 428 kommuniziert
wird. Das drahtlose Authentifizierungsgerät 402 ist so konfiguriert,
dass es die Authentifizierungsinformation ver arbeitet, die es vom
drahtlosen Kommunikationsgerät 420 durch
Antenne 414 und NIC 404 erhält, wobei es zwei oder mehrere
drahtlose Authentifizierungsverfahren verwendet (z. B. Sicherheitsmoden
und/oder -algorithmen), die auf Prozessor 406 ausführt werden.
-
Noch
immer mit Bezug auf
4 kann das drahtlose Authentifizierungsgerät
402 in
der Lage sein, eine Vielzahl von drahtlosen Authentifizierungsverfahren
416 zu
unterstützen,
z. B. solche, die zu verschiedenen Arten und/oder Marken von Client-Geräten gehören, zu
verschiedenen Netzwerk-Policies (z. B. Sicherheitslevel oder Arbeitsgruppen-Policies)
für verschiedene
drahtlose Client-Geräte
und/oder Benutzer etc. Diese verschiedenen drahtlosen Sicherheitsverfahren
416 können im
Speicher
408 des drahtlosen Authentifizierungsgeräts
402 gespeichert
werden und zur Authentifizierung von verschiedenen drahtlosen Client-Geräten und/oder
Benutzern ausgewählt
und benutzt werden, nach Bedarf auf einer dynamischen Grundlage.
Tabelle 1 ist eine beispielhafte Auflistung von drahtlosen Authentifizierungsverfahren
416,
die im Speicher
408 des drahtlosen Authentifizierungsgeräts
402 gespeichert
werden können
und nicht als vollständig
gemeint ist, sondern es versteht sich, dass die Zahl von gespeicherten
drahtlosen Authentifizierungsverfahren
416 größer oder kleiner
sein kann und/oder dass verschiedene Arten von drahtlosen Authentifizierungsverfahren
ebenfalls im Speicher
408 gespeichert werden können. Tabelle
1 – Authentifizierungsverfahren
-
Wie
in Tabelle 1 gezeigt, kann jedes drahtlose Authentifizierungsverfahren
dieser beispielhaften Ausführungsform
von drahtloser Authentifizierung ausgewählt werden, um zu einer bestimmten
Kombination von Authentifizierungscharakteristiken zu korrespondieren,
wie z. B. zur drahtlosen WLAN-Sicherheitsart (z. B. keine, basic
oder advanced), Netzwerkauthentifizierungsalgorithmus, tunneling
protocol, Datenverschlüsselungsmethode
und Netzwerkauthentifizierungsmodus. Dagegen versteht es sich, dass
in anderen Ausführungsformen
ein bestimmtes verdrahtetes oder drahtloses Authentifizierungsverfahren
entweder zu jeder anderen Authentifizierungscharakteristik oder
einer Kombination von Authentifizierungscharakteristiken korrespondieren
kann, wie es geeignet ist für
den Gebrauch beim Implementieren in einer gegebenen drahtlosen Netzwerkumgebung
von einer oder mehrerer Merkmale der offenbarten Systeme und Verfahren.
In einer beispielhaften Ausführungsform
kann die Information, die in Tabelle 1 enthalten ist, als Nachschlagetabelle
für Authentifizierungsverfahren
im Speicher 408 des drahtlosen Authentifizierungsgeräts 402 gespeichert
werden. In diesem Fall kann ein Cache Entry Identifier (ID) verwendet
werden, um jede Kombination von Authentifizierungscharakteristiken
zu identifizieren, die vom drahtlosen Authentifizierungsgerät 402 unterstützt wird.
-
Wie
in 4 gezeigt, kann der Speicher 408 des
drahtlosen Authentifizierungsgeräts 402 auch
einen Authentifizierungs-Cachespeicher 412 enthalten, um
die Information bezüglich
der Identität
des/der Authentifizierungsverfahren(s) aufzubewahren, das vom drahtlosen
Client-Gerät 420 und
anderen drahtlosen Client-Geräten 420 (wenn
vorhanden) benutzt wird, z. B. eine Auflistung aller Authentifizierungsverfahren,
die von einem drahtlosen Client-Gerät 420 vorher benutzt
wurden, das Authentifizierungsverfahren, das zuletzt von jedem drahtlosen
Client-Gerät 420 benutzt
wurde, eine Auflistung aller Authentifizierungsverfahren, die von
jedem Client-Gerät 420 unterstützt werden
etc. Speicher 408 kann auch einen optionalen Zähler 410 enthalten, um
die Gebrauchshäufigkeit
oder die kumulative Anzahl des Gebrauchs jedes Authentifizierungsverfahrens
(z. B. Algorithmus und Modus) zu registrieren, das von jedem drahtlosen
Client-Gerät 420 benutzt
wurde.
-
Tabelle
2 zeigt eine beispielhafte Ausführungsform
einer Beobachtungstabelle von Authentifizierungsverfahren, wie sie
von einem optionalen Zähler
410 (wenn
vorhanden) eines drahtlosen Authentifizierungsgeräts
402 für mehrere
drahtlose Client-Geräte
420 geführt werden
kann. Wie in Tabelle 2 gezeigt, kann ein Zähler des Gebrauchs (z. B. seit
dem letzten System-Boot-Up) für
jedes drahtlose Client-Gerät
420 (z.
B. Client A, Client B etc.) und für jedes drahtlose Authentifizierungsverfahren
eingesetzt werden, das von einem gegebenen drahtlosen Client-Gerät
420 benutzt
wird. In der gezeigten Ausführungsform
können
auch Zeitstempel (time stamps) mit dem letzten Datum und Zeitpunkt
des Gebrauchs eines jeden Authentifizierungsverfahrens notiert werden,
das von jedem drahtlosen Client-Gerät
420 gebraucht wird,
obwohl dies nicht notwendig ist. Wie gezeigt enthält Tabelle
2 einen Cache Entry Identifier (ID), der zu den Cache Entry Identifiern
aus Tabelle 1 korrespondiert, um die Identifizierung eines jeden
drahtlosen Authentifizierungsverfahrens, das in Tabelle 2 enthalten
ist, zu ermöglichen. Tabelle
2 – Beobachtungstabelle
für Authentifizierungsverfahren
-
Tabelle
3 zeigt eine Cache-Informationstabelle zu Authentifizierungsverfahren,
wie sie im Cache-Speicher
412 des drahtlosen Authentifizierungsgeräts
402 gemäß einer
beispielhaften Ausführungsform
der offenbarten Systeme und Verfah ren unterhalten werden kann. Wie
gezeigt enthält
die Tabelle 3 einen entsprechenden Identifier A bis Z (z. B. MAC-Adresse
oder andere geeignete Identifier), der zu jedem der drahtlosen Client-Geräte A bis
Z korrespondiert, die vorher durch das drahtlose Authentifizierungsgerät
420 authentifiziert worden
sind (oder Authentifizierung versuchen). In dieser beispielhaften
Ausführungsform
enthält
die Cache-Struktur zum Authentifizierungsmodus aus Tabelle 3 sowohl
den Cache Entry Identifier für
das zuletzt benutze (last used, LU) Authentifizierungsverfahren
für jedes
drahtlose Client-Gerät
A bis Z als auch den Cache Entry Identifier für das am meisten benutzten
(most-used, MU) Authentifizierungsverfahren für jedes drahtlose Client-Gerät A bis
Z. Tabelle
3 – Cache-Speicher
von Authentifizierungsverfahren
-
5 ist
ein Flussdiagramm, das die Authentifizierungsmethodik 500 illustriert,
wie sie gemäß einer beispielhaften
Ausführungsform
der offenbarten Systeme und Verfaharen implementiert werden kann,
z. B. als Teil von Begrüßungsoperationen
(handshake operations) zwischen einem drahtlosen Client-Gerät und einem drahtlosen
Authentifizierungsgerät.
Die Methodik 500 kann beispielsweise durch den Authentifizierungsserver 204 implementiert
werden, um das drahtlose Client-Gerät 206 und/oder
die drahtlosen Client-Geräte 210 und 212 aus 2 zu
authentifizieren. Jedoch versteht es sich, dass eine ähnliche
Methodik durch andere Arten von Authentifizierungsgeräten, die
drahtlose und/oder verdrahtete Kom munikation benutzen, implementiert werden
kann, z. B. durch den drahtlosen Gateway-Zugangspunkt 302 aus 3 für den Zweck
der Edge-Authentifizierung.
-
Wie
gezeigt, beginnt die Authentifizierungsmethodik in Schritt 502,
wobei ein wartender Authentifizierungsserver eine Authentifizierungsanfrage
von einem gegebenen Client empfängt.
Die Authentifizierungsanfrage gibt nicht das Authentifizierungsverfahren
preis, das vom gegebenen Client verwendet wird. Als Antwort auf
die Authentifizierungsanfrage greift der Authentifizierungsserver
in Schritt 504 auf die Cache-Information über Authentifizierungsverfahren
zu (z. B. Tabelle 3, die im Authentifizierungs-Cache 412 aus 4 enthalten ist)
und schaut nach dem zuletzt genutzten (LU) Cache Entry Identifier
(ID), der zu dem zuletzt genutzten Authentifizierungsverfahren für die MAC-Adresse
des gegebenen Clients korrespondiert, der die Authentifizierung
angefragt hat. In Schritt 506 greift der Authentifizierungsserver
auf die Information über
das Authentifizierungsverfahren (z. B. Tabelle 1, die in der Information über das
Authentifizierungsverfahren 416 in 4 enthalten
ist) zu und schlägt
das zuletzt genutzte Authentifizierungsverfahren nach, das zum LU-Cache
Entry Indentifizierer korrespondiert, welcher in Schritt 504 erhalten
wurde. In Schritt 508 sendet der Authentifizierungsserver
eine Identitätsanfrage
an den gegebenen Client, die das zuletzt genutzte Authentifizierungsverfahren enthält, welches
in Schritt 506 erhalten wurde.
-
Noch
Bezug nehmend auf 5, erhält das anfragende Client-Gerät die Identitätsanfrage,
die in Schritt 506 vom Authentifizierungsserver gesendet
wurde und bestimmt in Schritt 510, ob das zuletzt benutzte Authentifizierungsverfahren,
das in der Identitätsanfrage
enthalten ist, mit der gegenwärtigen
Konfiguration des Authentifizierungsverfahrens des Clients übereinstimmt.
Wenn das zuletzt genutzte Authentifizierungsverfahren, das in der
Identitätsanfrage
enthalten ist, mit der Konfiguration des gegenwärtigen Authentifizierungsverfahrens
des Clients über einstimmt,
dann antwortet das Client-Gerät
an den Authentifizierungsserver in Schritt 512 mit einer
positiven Identitätsantwort,
und der Authentifizierungsserver wählt das Authentifizierungsverfahren
(z. B. Authentifizierungsmodus und -algorithmus) aus dem Speicher 416 über Authentifizierungsverfahren
und authentifiziert das gegebene anfragende Client-Gerät.
-
In
Schritt 514 aktualisiert der Authentifizierungsserver den
LU-Cache Entry Identifier der Cache-Information über Authentifizierungsverfahren
(z. B. Tabelle 3, die im Cache-Speicher 412 aus 4 enthalten
ist) mit dem Cache Entry Identifier, der zur Identität des Authentifizierungsverfahrens
korrespondiert, das in Schritt 512 für den gegebenen Client benutzt
wurde. In Schritt 514 aktualisiert der Authentifizierungsserver
ebenfalls den Zähler
für den
kumulativen Gebrauch (der die kumulative Anzahl von Benutzungen
wiedergibt) und die Zeitstempel, die in der Beobachtungsinformation
(tracking information) des Authentifizierungsverfahrens (z. B. Tabelle
2, die in Zähler 410 aus 4 enthalten
ist) enthalten sind, welches zu dem Authentifizierungsverfahren
korrespondiert, das in Schritt 512 durch den gegebenen
Client benutzt wurde. In Schritt 516 aktualisiert der Authentifizierungsserver
den MU-Cache Entry Identifier der Cache-Information über Authentifizierungsverfahren
(z. B. Tabelle 3, die im Cache-Speicher 412 aus 4 enthalten
ist) mit dem Cache Entry Identifier, der zu dem am meisten benutzten
Authentifizierungsverfahren nach dem Durchführen von Schritt 512 für den gegebenen
Client gehört.
An dieser Stelle endet die Methodik 500 und der Authentifizierungsserver
wartet auf die nächste
Authentifizierungsanfrage, die von einem Client-Gerät 502 empfangen
wird, wobei zu diesen Zeitpunkt die Methodik 500 wieder
von vorne startet, um die nächste
Authentifizierungsanfrage zu bearbeiten.
-
Zurückgehend
auf Schritt 510 aus 5, wenn
das zuletzt benutzte Authentifizierungsverfahren, das in der Identitätsanfrage
enthalten ist, nicht mit der Konfi guration des gegenwärtigen Authentifizierungsverfahrens
des Clients übereinstimmt,
dann antwortet das Client-Gerät
mit einer negativen Identitätsantwort,
die vom Authentifizierungsserver in Schritt 518 empfangen
wird. Nach dem Empfang einer negativen Identitätsanwort in Schritt 518,
greift in Schritt 520 der Authentifizierungsserver auf
die Cache-Information über
Authentifizierungsverfahren (z. B. Tabelle 3, die im Authentifizierungs-Cache 412 aus 4 enthalten
ist) zu und schlägt den
am meisten benutzten (MU) Cache Entry Identifier (ID) nach, der
zum am meisten benutzten Authentifizierungsverfahren für die MAC-Adresse
des gegebenen Clients korrespondiert, der die Authentifizierung
angefragt hat. In Schritt 522 greift der Authentifizierungsserver
auf die Information über
Identifizierungsverfahren (z. B. Tabelle 1, die in der Information über Authentifizierungsverfahrens 416 in 4 enthalten
ist) zu und schlägt
das am meisten benutzte Authentifizierungsverfahren nach, das zum
MU-Cache Entry Indentifier korrespondiert, der in Schritt 520 erhalten
wurde. In Schritt 524 sendet der Authentifizierungsserver
eine Identitätsanfrage
an den gegebenen Client, die das am meisten benutzte Authentifizierungsverfahren
enthält,
das in Schritt 522 erhalten wurde.
-
Noch
immer mit Bezug auf 5, erhält das anfragende Client-Gerät die Identitätsanfrage,
die in Schritt 524 vom Authentifizierungsserver gesendet
wurde und bestimmt in Schritt 526, ob das am meisten benutzte
Authentifizierungsverfahren, das in der Identitätsanfrage enthalten ist, mit
der gegenwärtigen
Konfiguration des Authentifizierungsverfahrens des Clients übereinstimmt.
Wenn das am meisten benutzte Authentifizierungsverfahren, das in
der Identitätsanfrage
enthalten ist, mit der gegenwärtigen
Konfiguration des Authentifizierungsverfahrens des Clients übereinstimmt,
dann antwortet das Client-Gerät
an den Authentifizierungsserver in Schritt 512 mit einer
positiven Identitätsantwort
und schließt
die Schritte 514 und 516 in der gleichen Art wie
oben beschrieben ab. Wenn jedoch in Schritt 526 das am
meisten benutzte Authentifizierungsverfahren, das in der Identitätsanfrage
enthalten ist, die in Schritt 524 durch den Authentifizierungsserver
gesendet wurde, nicht mit der gegenwärtigen Konfiguration des Authentifizierungsverfahrens
des Clients übereinstimmt,
dann antwortet in Schritt 528 das Client-Gerät mit einer
negativen Identitätsantwort.
-
Nach
dem Empfang einer negativen Identitätsantwort, die in Schritt 528 gesendet
wurde, geht der Authentifizierungsserver in Schritt 530 zurück zu einem
sequenziellen Verfahren der Auswahl von einzelnen Authentifizierungsverfahren
und sendet Identitätsanfragen
für diese
ausgewählten
Authentifizierungsverfahren eine nach der anderen, bis das Client-Gerät an den
Authentifizierungsserver mit einer positiven Identitätsantwort
antwortet (nicht in 5 gezeigt). Nach dem Empfang
einer positiven Identitätsantwort
vom Client-Gerät,
wählt der
Authentifizierungsserver das Authentifizierungsverfahren (z. B.
Authentifizierungsmodus und -algorithmus) aus dem Speicher 416 über Authentifizierungsverfahren
aus und authentifiziert das gegebene anfragende Client-Gerät. Zu diesem
Zeitpunkt können
LU Cache Entry ID, MU Cache Entry ID und der Zähler des Gebrauchs und die
Zeitstempel aktualisiert werden in einer ähnlichen Weise, wie es in Bezug
auf die Schritte 514 und 516 beschrieben wurde.
An dieser Stelle wartet der Authentifizierungsserver auf die nächste Authentifizierungsanfrage,
die in Schritt 502 von einem Client-Gerät empfangen wird, worauf dann
die Methodik 500 von vorne startet, um die nächste Authentifizierungsanfrage
zu bearbeiten.
-
Es
versteht sich, dass Methodik 500 aus 5 nur
beispielhaft ist und dass die offenbarten Systeme und Verfahren
in anderen Ausführungsformen
implementiert werden können
mit zusätzlichen
oder weniger Schritten als in Methodik 500 und/oder mit
Gebrauch einer alternativen Schrittabfolge. Z. B. ist es möglich, ein Authentifizierungsverfahren ähnlich zur
Methodik 500 zu implementieren, das eine oder mehrere geeignete Charakteristiken
eines Authentifizierungsverfahrens benutzt, um ein Authentifizierungsverfahren
zur Kommunikation mit einem gege benen Client-Gerät auszuwählen, z. B. nur das Benutzen
von Information über
die zuletzt genutzte (LU) Authentifizierung oder nur das Benutzen
von Information über
die am meisten genutzte (MU) Authentifizierung oder eine Methodik,
die die Information über
die meistgenutzte (MU) Authentifizierung nutzt, um ein mögliches
Authentifizierungsverfahren auszuwählen, bevor es die Information über die
zuletzt genutzte (LU) Authentifizierung nutzt. Darüber hinaus
versteht es sich, dass es nicht notwendig ist, auf den sequenziellen
Selektionsprozess des Authentifizierungsverfahrens zurückzugreifen,
wie in Bezug auf Schritt 530 beschrieben und/oder dass
eine oder mehrere andere Charakteristiken eines Authentifizierungsverfahrens
bei der Auswahl eines Authentifizierungsverfahrens zur Kommunikation
mit einem gegebenen Client-Gerät
angewandt werden können,
z. B. der Gebrauch der Information über die vorletzte Authentifizierung,
Auswahl der Information über
die am zweithäufigsten
gebrauchte Authentifizierung etc.
-
Es
versteht sich, dass Methodik 500 auch konfiguriert werden
kann, um jedes geeignete Bestimmungsverfahren für ein Authentifizierungsverfahren
zu benutzten, wenn der Cache-Speicher (z. B. Authentifizierungs-Cache 412 aus 4)
keine frühere
Authentifizierungsinformation für
ein gegebenes, Authentifizierung nachfragendes Client-Gerät enthält (z. B:
wenn ein gegebener Client zum ersten Mal Authentifizierung anfragt).
Z. B. wenn keine Information über
den Cache Entry Identifier (ID) für ein gegebenes Client-Gerät in Schritt 504 und/oder 520 gefunden
wird, kann die Methodik 500 zu Schritt 530 springen,
um das Authentifizierungsverfahren für ein gegebenes Client-Gerät erstmalig
auszuwählen.
Nachdem ein Authentifizierungsverfahren gebraucht wurde, um einen
gegebenen drahtlosen Client zum ersten Mal zu authentifizieren,
können LU
Cache Entry ID, MU Cache Entry ID und Gebrauchszähler und die Zeitstempel aktualisiert
werden, in der gleichen Weise wie in Bezug auf die Schritte 514 und 516 beschrieben.
Wenn benötigt,
kann die MAC-Adresse des Client-Geräts zum Speicher hinzugefügt werden,
wenn sie noch nicht vorher vorhanden war.
-
6 zeigt
ein 802.1X- und EAP-Identitätsübereinstimmungsschema
(identity convergence scheme) gemäß einer beispielhaften Ausführungsform
der offenbarten Systeme und Verfahren, wie es zwischen einem gegebenen
Client-Gerät
und einem drahtlosen Gateway-Zugangspunktgerät implementiert werden kann, nachdem
das Client-Gerät
dem Zugangspunkt zugeordnet wurde. In dieser Ausführungsform
hat der drahtlose Gateway-Zugangspunkt Information über frühere Authentifizierungsverfahren
im Cache gespeichert, um sie in einem zukünftigen EAP-Austausch zu gebrauchen.
Wie in 6 gezeigt, startet das Zugangspunkt-Gerät mit der
Auswahl eines EAP-Authentifizierungsverfahrens basierend auf einer
oder mehreren Charakteristiken des/der Authentifizierungsverfahren/s,
die früher
von dem gegebenen Client-Gerät
benutzt wurden (z. B. eine ähnliche
Methodik benutzend wie gezeigt und beschrieben mit Bezug auf 5)
und überträgt dann
eine EAP-Identitätsanfrage,
die das ausgewählte
EAP-Authentifizierungsverfahren
(TYPE) enthält.
Der drahtlose Client antwortet auf diese erste EAP-Identitätsanfrage
mit einer EAP-Identitätsantwort,
die eine positive Bestätigung
(TYPE) des korrekten EAP-Authentifizierungsverfahrens enthält, das
vom Client verwendet wird.
-
Demnach
benötigt
in der beispielhaften Ausführungsform
in 6 das Erreichen der Übereinstimmmung bezüglich des
korrekten Authentifizierungsverfahrens vorteilhafter Weise nur einen
Versuch, d. h. es wird repräsentiert
durch ein einziges EAP-Anfrage-Antwort-Paar. Dies steht im Vergleich
zu den mehrfachen Versuchen (und korrespondierenden mehrfachen EAP-Frage-Antwort-Paaren),
die durch die konventionelle Methodik aus 1 typischerweise
zum Erreichen von Übereinstimmung
bezüglich
des korrekten Authentifizierungsverfahrens benötigt werden. Obwohl es sich
versteht, dass es in einigen Fällen
möglich
ist, dass es mehr als einen Versuch (d.h. mehr als ein einziges
EAP-Frage-Antwort-Paar) benötigt,
um Übereinstimmung
bezüglich
des korrekten Authentifizierungsverfahrens zu erreichen, wenn man
die Methodik der offenbarten Systeme und Verfahren benutzt, werden
typischerweise mit der Methodik der offenbarten Systeme und Verfahren
weniger Versuche (und weniger Bearbeitungszeit) benötigt, um Übereinstimmung
zu erreichen, als wenn die konventionelle Methodik benutzt wird,
die mit Bezug auf 1 erläutert und beschrieben wurde.
-
Für den Zweck
dieser Offenbarung kann ein Informationsverarbeitungssystem jegliches
Gerät oder jeglichen
Verbund von Geräten
enthalten, die betrieben werden können, um jede Art von Information,
Nachricht oder Daten für
geschäftliche,
wissenschaftliche, kontrollierende, unterhaltende oder andere Zwecke
zu berechnen, zu klassifizieren, zu verarbeiten, zu übertragen,
zu empfangen, abzurufen, zu erzeugen, zu schalten, zu speichern,
zu zeigen, zu manifestieren, zu detektieren, aufzuzeichnen, zu reproduzieren,
zu behandeln oder zu gebrauchen. Z. B. kann ein Informationsverarbeitungssystem
ein Personalcomputer, ein PDA, ein Unterhaltungselektronikgerät, ein Netzwerkspeichergerät oder jedes
andere geeignete Gerät
sein und kann in Größe, Form,
Leistung, Funktionalität
und Preis variieren. Das Informationsverarbeitungssystem kann Speicher,
eine oder mehrere verarbeitende Bauteile, wie eine Zentraleinheit
(CPU) oder Hardware- oder Software-Kontrolllogik enthalten. Zusätzliche
Komponenten des Informationsverarbeitungssystems können einen oder
mehrere Speichergeräte,
eine oder mehrere Kommunikationsschnittstellen zum Kommunizieren
mit externen Geräten
enthalten wie auch verschiedene Input- und Output- Geräte (I/O),
wie z. B. Tastatur, eine Maus und einen Bildschirm. Das Informationsverarbeitungssystem
kann auch einen oder mehrere Datenbusse enthalten, die zur Übertragung
von Kommunikation zwischen den verschiedenen Hardware-Komponenten
dienen können.
-
Während die
Erfindung für
verschiedene Modifikationen und alternativen Ausgestaltungen angepasst werden
kann, wurden hier spezifische Ausführungsformen als Beispiele
gezeigt und beschrieben. Jedoch sollte es sich verstehen, dass die
Erfindung nicht als beschränkt
auf die verschiedenen hier gezeigten Ausgestaltungen gedacht ist.
Vielmehr soll die Erfindung alle Modifikationen, Äquivalente
und Alternativen umfassen, die in den Rahmen dieser Erfindung fallen,
wie sie in den angehängten
Ansprüchen
definiert ist. Darüber
hinaus können
die verschiedenen Aspekte der offenbarten Systeme und Verfahren
in verschiedenen Kombinationen und/oder unabhängig voneinander benutzt werden.
Demnach ist die Erfindung nicht begrenzt auf nur jene Kombinationen,
die hier gezeigt werden, sondern sie kann vielmehr andere Kombinationen
umfassen.