-
Die
vorliegende Erfindung betrifft die Authentifizierung einer Netzwerkvorrichtung
und im Besonderen eine Netzwerkvorrichtung und ein System zum Authentifizieren
und ein Verfahren zum Authentifizieren von Netzwerkvorrichtungen,
die die Netzwerkvorrichtung zum Authentifizieren nutzen.
-
Die 1 zeigt
einen Authentifizierungsprozess nach dem Stand der Technik in einer
verdrahteten Kommunikationsumgebung. Ein in dem Prozess zu verwendendes
Authentifizierungssystem umfasst eine Netzwerkvorrichtung 120 zum
Anfordern von Authentifizierung, einen Authentifizierungs-Server 100 zum
Zulassen der angeforderten Authentifizierung und eine vorhergehend
authentifizierte Netzwerkvorrichtung 140. Hierbei registriert
ein Manager in dem Authentifizierungs-Server 100 im Voraus
Authentifizierungsinformationen 160 in Bezug auf eine Netzwerkvorrichtung 120,
die zu authentifizieren ist. Die registrierten Authentifizierungsinformationen 170 können MAC-Adressen
(Medium Access Control addresses), Sicherheitsschlüssel und
SSID-Werte (Service Set Identifier values) usw. der die Authentifizierung
anfordernden Netzwerkvorrichtung 120 enthalten. Wenn die
Authentifizierung anfordernde Netzwerkvorrichtung 120 an
ein Netzwerk angeschlossen ist, wird die Authentifizierungsanforderung
der Netzwerkvorrichtung 120 zu dem Authentifizierungs-Server 100 gesendet.
Danach bestätigt
der Authentifizierungs-Server 100 die Authentifizierungsinformationen über die
Netzwerkvorrichtung, die die Authentifizierungsanforderung sendet,
und authentifiziert die die Authentifizierung anfordernde Netzwerkvorrichtung 120.
-
Die 2 zeigt
einen Authentifizierungsprozess nach dem Stand der Technik in einer
drahtlosen Kommunikationsumgebung. Ein in dem Prozess zu verwendendes
System umfasst eine drahtlose Netzwerkvorrichtung 220 zum
Anfordern von Authentifizierung, einen Zugriffspunkt 200 zum
Zulassen der angeforderten Authentifizierung für die drahtlose Netzwerkvorrichtung
und eine zuvor authentifizierte Netzwerkvorrichtung 240.
Hierbei dient der Zugriffspunkt 200 zum Zuordnen einer
Adresse zu der Authentifizierung anfordernden drahtlosen Netzwerkvorrichtung 220.
Ein Manager registriert, auf Seiten des Zugriffspunktes und im Voraus,
die zu authentifizierende Netzwerkvorrichtung 220, wie
in der 2 gezeigt. Wenn die die Authentifizierung anfordernde drahtlose
Netzwerkvorrichtung 220 von dem Zugriffspunkt 200 Authentifizierung
anfordert, bestätigt
der Zugriffspunkt 200 die in ihm registrierten Authentifizierungsinformationen
und bestimmt, ob er die angeforderte Authentifizierung zulässt.
-
Die 3 zeigt
einen Authentifizierungsprozess in einer Client-Server-Umgebung.
Ein in dem Prozess zu verwendendes Authentifizierungssystem umfasst
einen Client 320 zum Anfordern von Authentifizierung und
einen Authentifizierungs-Server 320. Der Server 320 enthält einen
Dienst 375, der für
den Client bereitgestellt werden kann, und eine Liste 370 von
unikalen IDs und Passwörtern,
die zur Verwendung durch den Client zugelassen sind, um auf den Dienst
zuzugreifen. Hierbei registriert ein Manager, auf Seiten des Servers
und im Voraus, eine Gruppe 360 von IDs und Passwörtern, die
genutzt werden, wenn der Client 320 Authentifizierung anfordert. Wenn
sich der Client 320 mit dem Server verbindet und durch
Eingabe seiner ID und seines Passwortes Authentifizierung anfordert,
bestätigt
der Authentifizierungs-Server 300 die registrierte Liste 370 von
IDs und Passwörtern,
um zu bestimmen, ob die Authentifizierung und die Nutzung des Dienstes 375 zugelassen
werden.
-
Die 4 zeigt
einen Betriebsprozess zwischen authentifizierten Netzwerkvorrichtungen,
die auf Seiten des Authentifizierungs-Servers registrierte Authentifizierungsinformationen
nutzen, nachdem die Authentifizierung durch den in der 1 gezeigten
Prozess abgeschlossen wurde. Zuerst wird vorausgesetzt, dass eine
Authentifizierung anfordernde Netzwerkvorrichtung eine Heim-Netzwerkvorrichtung ist.
Eine Heim-Netzwerkvorrichtung
A 420 fordert Verbindung und Nutzung eines Dienstes von
einer anderen Heim-Netzwerkvorrichtung B 440 an, wie durch
einen Pfeil 480 angezeigt. Anschließend fordert die Heim-Netzwerkvorrichtung
B 440 von einem Authentifizierungs-Server 400 an, zu bestätigen, dass
die Authentifizierung anfordernde Heim-Netzwerkvorrichtung A 420 eine
authentifizierte Vorrichtung ist, wie durch einen Pfeil 482 angezeigt.
Auf Basis einer Authentifizierungsinformationsliste 460 prüft der Authentifizierungs-Server 400,
ob die die Authentifizierung anfordernde Heim-Netzwerkvorrichtung A 420 eine
authentifizierte Vorrichtung ist, und informiert die Heim-Netzwerkvorrichtung
B 440 über
das Ergebnis der Prüfung,
wie durch einen Pfeil 484 angezeigt. Im Anschluss daran,
wenn auf der Basis des Ergebnisses der Prüfung bestä tigt ist, dass die Heim-Netzwerkvorrichtung
A 420 eine authentifizierte Vorrichtung ist, kommuniziert
die Heim-Netzwerkvorrichtung B 440 mit der Heim-Netzwerkvorrichtung A 420.
-
Die
in den 1 bis 3 gezeigten, bekannten Authentifizierungsverfahren
leiden jedoch unter mehr als einem der folgenden Probleme:
- 1. Zum Authentifizieren von Netzwerkvorrichtungen
ist ein Manager, der Kenntnis von den Netzwerken oder Computern
hat, erforderlich.
- 2. In einer verdrahteten Kommunikationsumgebung können von
außen
vorsätzlich
Verbindungen mit dem Netzwerk hergestellt werden. Die 5 stellt
ein solches Problem dar, das beispielsweise in einem Heim-Netzwerk
auftritt. Das heißt,
dass in einem Heim 590 mit einem verdrahten Heim-Netzwerk 580,
in dem ein Authentifizierungs-Server 500 und die Heim-Netzwerkvorrichtungen 540 und 542 untereinander über ein
verdrahtetes Kommunikationsnetzwerk verbunden sind, durch ein verdrahtetes
Netzwerk 585, das von außen zugänglich ist, eine externe Vorrichtung 520 mit
dem Heim-Netzwerk vorsätzlich
verbunden werden kann.
- 3. In einer drahtlosen Kommunikationsumgebung können die
Authentifizierungsinformationen durch jede Authentifizierung anfordernde
drahtlose Netzwerkvorrichtung, die in anderen Netzwerken vorhanden
ist, in einem Netzwerk registriert werden, weil die Abdeckung des
drahtlosen Netzwerkes nicht genau begrenzt ist. Die 6 stellt
ein solches Problem beispielhaft für ein drahtloses Heim-Netzwerk dar. Das
heißt,
dass in einem Heim 690 mit einem drahtlosen Heim-Netzwerk, in dem
ein Zugriffspunkt 600 und die drahtlosen Netzwerkvorrichtungen 640 und 642 untereinander über einen
drahtlosen Link verbunden sind, kann von einer externen Vorrichtung
ein externer Link 685 zu dem drahtlosen Heim-Netzwerk eingerichtet
werden kann, weil die Abdeckung des Heim-Netzwerkes üblicherweise
nicht begrenzt ist. Dementsprechend können nicht nur die in dem relevanten
drahtlosen Heim-Netzwerk vorhandenen drahtlosen Vorrichtungen 640 und 642 sondern
auch die in anderen drahtlosen Netzwerken vorhandenen externen drahtlosen
Vorrichtungen 620 registriert werden.
-
Deshalb
werden technische Lösungen
zum Überwinden
der Probleme der bekannten Technik gebraucht.
-
GB-A-2
131 offenbart ein Nahkommunikationsnetzwerk, das eine Vielzahl von
HF-Stationen mit kurzer
Abdeckung, bevorzugt Bluetooth, umfasst, die mit autorisierten Endgeräten Kommunikation
in einem Bereich von Interesse, der durch die Basisstationen abgedeckt
wird, einrichten. Das Netzwerk verbindet die autorisierten Endgeräte untereinander.
Die Basisstationen werden innerhalb eines Gebäudes bereitgestellt und nutzen
die Verdrahtungsinfrastruktur innerhalb des Gebäudes, wie zum Beispiel Telefonleitungen
oder ein LAN, um sich mit einer Datenverarbeitungszentrale mit einem
Mobilitätsmanager zu
verbinden. Die Verarbeitungszentrale überwacht den Standort von autorisierten
Endgeräten
innerhalb des Gebäudes,
stellt fest, ob diese mobil sind oder nicht, und validiert ihre
Identität
und damit verbundene Zugriffsrechte.
-
XP-002250118 „802.11
b Wireless LAN Authentication, Encryption, and Security", Young Kim, offenbart
einen RADIUS-Authentifizierungs-Server (Remote Authentication Dial
In User Service authentication server), der während Verhandlungen Sitzungsschlüssel erzeugt.
Der Authentifizierungs-Server kommuniziert die Schlüssel während einer
Transaktion zu dem Authentifikator und zu einem Anfordernden (über den
Authentifikator). Ein Zugriffspunkt und eine Endstation haben Kenntnis
von den Sitzungsschlüsseln.
Der Authentifikator nutzt die Sitzungsschlüssel, um einen dynamischen
WEPN-Algorithmusschlüssel (Wired
Equivalent Privacy algorithm key) zu erzeugen.
-
US
2002/0032 855 offenbart ein Verfahren, ein System und ein Computerprogramm
zum Bereitstellen von standortunabhängigem Paket-Routing, sicherem
Zugriff und drahtlosem Vernetzen der Umgebung, das Client-Vorrichtungen
in die Lage versetzt, sich nahtlos in der Umgebung zu bewegen. Ein
für den
Client und den Server einsehbarer Adressentranslatierungsprozess
wird automatisch ausgeführt, während sich
die Vorrichtung durch die Umgebung bewegt, wodurch effiziente Migration
von einem Zugriffspunkt zu dem anderen möglich ist. Die sichere Zugriffstechnik
stellt eine benutzerzentrierte Authentifizierung bereit und ermöglicht richtliniengesteuerte Paketfilterung
bei gleichzeitiger Nutzung der in die Hardware eingebauten Verschlüsselungsfähigkeiten.
-
US
2003/0035544 offenbart einen Mobilstations-Standortserver, der den
Standort der Mobilstation durch verschiedene Lokalisierungstechniken
oder durch Empfangen der Standortinformationen von der Mobilstation über einen
verschlüsselten
Kanal bestimmt.
-
WO-A-03/010669
offenbart ein System, ein Verfahren, ein Signal und ein Computerprogramm zum
Bereitstellen von sicherem drahtlosem Zugriff für eine private Datenbank und
deren Anwendung, ohne eine separate drahtlose Client-Server-Sicherheitsprotokollstruktur,
die über
das Internet arbeitet, erforderlich zu machen.
-
Gemäß der vorliegenden
Erfindung werden ein System, ein Verfahren und Heim-Netzwerkvorrichtungen,
wie in den beigefügten
Ansprüchen
dargestellt, bereitgestellt. Bevorzugte Merkmale der Erfindung werden
aus den abhängigen
Ansprüchen und
der folgenden Beschreibung ersichtlich.
-
Die
vorliegende Erfindung ermöglicht
einem normalen Benutzer, der über
keine Kenntnisse über Authentifizierung,
Computer und dergleichen verfügt, die
Authentifizierung für
Netzwerkvorrichtungen einfach auszuführen und ermöglicht einem
Benutzer darüber
hinaus, durch Bewirken, dass Authentifizierung unter Verwendung
eines Interface mit einer begrenzten Abdeckung ausgetauscht wird,
Authentifizierung für
Netzwerkvorrichtungen sicher und einfach so durchzuführen, dass
jede nicht authentifizierte Verbindung zwischen Netzwerkvorrichtungen
vermieden wird.
-
Gemäß einem
Aspekt der Erfindung wird ein System zur Authentifizierung in einem
Heim-Netzwerk bereitgestellt, das umfasst: eine erste Heim-Netzwerkvorrichtung,
die eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden
kann, um ihre eigenen Authentifizierungsinformationen zu erzeugen,
und eine Schnittstelleneinheit enthält, die betrieben werden kann,
um die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen
zu senden, und eine zweite Heim-Netzwerkvorrichtung,
die eine Schnittstelleneinheit enthält, die betrieben werden kann,
um die Authentifizierungsinformationen zu empfangen, und eine Authentifizierungsinformations-Registriereinheit
enthält,
die betrieben werden kann, um die empfangenen Authentifizierungsinformationen
darin zu registrieren, dadurch gekennzeichnet, dass die Schnittstelleneinheit
der ersten Heim-Netzwerkvorrichtung so eingerichtet ist, dass sie
die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen über ein
privates Netzwerk mit begrenzter Abdeckung sendet, und die Schnittstelleneinheit
der zweiten Heim-Netzwerkvorrichtung betrieben werden kann, um die
Authentifizierungsinformationen über
das private Netzwerk zu empfangen.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird außerdem ein
Verfahren zum Authentifizieren von Heim-Netzwerkvorrichtungen bereitgestellt,
das umfasst: Erzeugen von Authentifizierungsinformationen über eine
bestimmte Heim-Netzwerkvorrichtung
und Senden der erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen
und Empfangen der gesendeten Authentifizierungsinformationen und
Registrieren der empfangenen Authentifizierungsinformationen in
einer anderen Heim-Netzwerkvorrichtung, dadurch gekennzeichnet,
dass die erzeugten Authentifizierungsinformationen über ein
privates Netzwerk mit begrenzter Abdeckung zu der anderen Heim-Netzwerkvorrichtung
gesendet werden und die gesendeten Authentifizierungsinformationen über die andere
Heim-Netzwerkvorrichtung über
das private Netzwerk empfangen werden.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung
bereitgestellt, die umfasst: eine erste Heim-Netzwerkvorrichtung,
die eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden
kann, um ihre eigenen Authentifizierungsinformationen zu erzeugen,
und eine Schnittstelleneinheit enthält, die betrieben werden kann,
um die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen
zu senden, dadurch gekennzeichnet, dass die Schnittstelleneinheit
betrieben werden kann, um die erzeugten Authentifizierungsinformationen über ein
privates Netzwerk mit begrenzter Abdeckung zu anderen Heim-Netzwerkvorrichtungen
zu senden.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung
zur Authentifizierung bereitgestellt, die umfasst: eine Einrichtung
zum Empfangen von Authentifizierungsinformationen und eine Einrichtung
zum Registrieren der empfangenen Authentifizierungsinformationen,
dadurch gekennzeichnet, dass die Einrichtung zum Empfangen von Authentifizierungsinformationen so
eingerichtet ist, dass sie die Authentifizierungsinformationen über ein
privates Netzwerk mit einer begrenzten Abdeckung empfängt.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung
bereitgestellt, die umfasst: eine Einrichtung zum Empfangen von
Authentifizierungsinformationen von einer bestimmten Heim-Netzwerkvorrichtung,
dadurch gekennzeichnet, dass die Einrichtung zum Empfangen betrieben
werden kann, um die Authentifizierungsinformationen von der bestimmten Heim-Netzwerkvorrichtung über ein
privates Netzwerk mit einer begrenzten Abdeckung zu empfangen und
die Heim-Netzwerkvorrichtung eine Einrichtung zum Senden der empfangenen
Authentifizierungsinformationen über
das private Netzwerk zu anderen Heim-Netzwerkvorrichtungen umfasst.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird ein Verfahren zum
Authentifizieren von Heim-Netzwerkvorrichtungen bereitgestellt,
das umfasst: Senden von durch eine Netzwerkvorrichtung erzeugten
Authentifizierungsinformationen und Empfangen der Authentifizierungsinformationen,
dadurch gekennzeichnet, dass das Verfahren des Weiteren umfasst:
Senden eines ersten unikalen Schlüssels, der über ein privates Netzwerk empfangen
wird, und der Authentifizierungsinformationen, die durch die Netzwerkvorrichtung,
die den ersten unikalen Schlüssel
empfangen hat, erzeugt wurde, Empfangen des ersten unikalen Schlüssels und
der Authentifizierungsinformationen, Vergleichen des empfangenen
ersten Schlüssels
mit einem zweiten unikalen Schlüssel,
der über
das private Netzwerk empfangen wird, und Registrieren der empfangenen Authentifizierungsinformationen,
wenn beide Schlüssel übereinstimmen.
-
Für ein besseres
Verständnis
der Erfindung und um zu zeigen, wie Ausführungsformen dieser umgesetzt
werden können,
wird im Folgenden beispielhaft auf die begleitenden diagrammatischen Zeichnungen
Bezug genommen, in denen:
-
1 ein
Diagramm ist, das einen Authentifizierungsprozess nach dem Stand
der Technik in einer verdrahteten Netzwerkumgebung darstellt;
-
2 ein
Diagramm ist, das einen Authentifizierungsprozess nach dem Stand
der Technik in einer drahtlosen Netzwerkumgebung darstellt;
-
3 ein
Diagramm ist, das einen Authentifizierungsprozess nach dem Stand
der Technik in einer Client-Server-Umgebung darstellt;
-
4 ein
Diagramm ist, das einen Betriebsprozess zwischen authentifizierten
Netzwerkvorrichtungen, nachdem die Authentifizierung abgeschlossen
wurde, entsprechend verwandter Technik darstellt;
-
5 ein
Diagramm ist, das Probleme verwandter Technik in einem verdrahteten
Heim-Netzwerk darstellt;
-
6 ein
Diagramm ist, das Probleme verwandter Technik in einem drahtlosen
Heim-Netzwerk darstellt;
-
7 ein
Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch
Schnittstelleneinheiten von Netzwerkvorrichtungen gemäß einer
Ausführungsform
der vorliegenden Erfindung darstellt;
-
8 ein
Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch
Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung
eines Repeaters gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung darstellt;
-
9 ein
Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch
Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung
eines unikalen Schlüssels gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung darstellt;
-
10 ein
Format einer Authentifizierungsinformationsnachricht für eine Authentifizierung
anfordernde Netzwerkvorrichtung gemäß einer Ausführungsform
der vorliegenden Erfindung darstellt;
-
11 ein
Prozessablaufdiagramm zum Darstellen eines Authentifizierungsverfahrens
in einer wie in der 7 gezeigten Umgebung ist;
-
12 ein
Prozessablaufdiagramm zum Darstellen eines Authentifizierungsverfahrens
in einer wie in der 9 gezeigten Umgebung ist;
-
13 ein
Diagramm ist, das einen Betriebsprozess für Netzwerkvorrichtungen, die
in einem verdrahteten Netzwerk betrieben werden, nachdem die Authentifizierung
abgeschlossen wurde, gemäß der Erfindung
darstellt und
-
14 ein
Diagramm ist, das einen Betriebsprozess für Netzwerkvorrichtungen, die
in einem drahtlosen Netzwerk betrieben werden, nachdem die Authentifizierung
abgeschlossen wurde, gemäß der Erfindung
darstellt.
-
Vor
einer ausführlichen
Beschreibung der vorliegenden Erfindung werden zuerst einige der hierin
verwendeten Terminologien definiert:
- 1. Authentifizierungsinformation:
Entspricht Informationen, die zur Authentifizierung gebraucht werden,
und enthält
Informationen über
eine Authentifizierung anfordernde Netzwerkvorrichtung, Authentifizierungsinformationskennung
usw.
- 2. Authentifizierungsinformationskennung: Entspricht einer Kennung
zum Unterscheiden, ob eine zu sendende Nachricht Authentifizierungsinformationen
enthält.
- 3. SSID (Service Set Identifier): Entspricht einer unikalen
Kennung von 32-Byte-Länge, die
jedem Kopf von Paketen, die über
ein drahtloses LAN gesendet werden, hinzugefügt wird.
- 4. Bluetooth: Entspricht einem drahtlosen Internetverbindungssystem über ein
LAN.
-
Im
Folgenden werden unter Bezugnahme auf die begleitenden Zeichnungen
eine Netzwerkvorrichtung und ein System zur Authentifizierung von Netzwerkvorrichtungen,
das eine solche Netzwerkvorrichtung nutzt, gemäß einer bevorzugten Ausführungsform
der vorliegenden Erfindung beschrieben.
-
Die 7 ist
ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen gemäß einer
Ausführungsform
der vorliegenden Erfindung darstellt. Ein Benutzer weist eine Netzwerkvorrichtung 720 an,
von einem Authentifizierungs-Server 700 Authentifizierung
anzufordern. Anschließend
werden die Authentifizierungsinformationen über die die Authentifizierung
anfordernde Netzwerkvorrichtung 720 über ein Interface 722 der
Netzwerkvorrichtung 720 über ein privates Netzwerk zu dem
Authentifizierungs-Server 700 gesendet.
Zu diesem Zeitpunkt kann der Benutzer unter Verwendung einer Authentisierungsschaltfläche in der
Netzwerkvorrichtung 720, durch ein Anwendungsprogramm für Authentifizierung
oder dergleichen, anweisen, die Authentifizierung zuzulassen. Die
Interfaces 702 und 722 sind verdrahte/drahtlose
Interfaces mit begrenzter Abdeckung und Richtwirkung und enthalten LAN-Kommunikationsschnittstellen,
wie beispielsweise IrDA-Anschlüsse
(Infra-red Data Association communications) und Bluetooth-Anschlüsse oder Drahtkabelschnittstellen,
wie serielle/parallele Kabel. Der Authentifizierungs-Server 700 prüft, ob eine Authentifizierungsinformationsliste 770 des
Servers die durch das Interface 702 empfangenen Authentifizierungsinformationen 766 enthält. Wenn
die Authentifizierungsinformationen 766 in der Liste nicht vorhanden
sind, fügt
der Server die Authentifizierungsinformationen 766 über die
Netzwerkvorrichtung 720 zu der Authentifizierungsinformationsliste 770 hinzu
und schließt
dann den Authentifizierungsprozess ab. Die 11 ist
ein Prozessablaufdiagramm, das die in der 7 beschriebene
Authentifizierungsmethode darstellt, die später beschrieben wird.
-
Die 8 ist
ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen, die
einen Repeater gemäß einer
weiteren Ausführungsform
der Erfindung verwenden, darstellt. Der Repeater 840 empfängt über sein
eigenes Interface 842, über
ein privates Netzwerk 890, Authentifizierungsinformationen 860 in
einer Authentifizierung anfordernden Netzwerkvorrichtung 820 und
sendet die Authentifizierungsinformationen 860 zu einem
Interface 802 des Authentifizierungs-Servers 800.
Der Authentifizierungs-Server 800 prüft, ob die Authentifizierungsinformationen über die
die Authentifizierung anfordernde Netzwerkvorrichtung 820 aus
dem Repeater 840 in einer Authentifizierungsinformationsliste 870 vorhanden
sind. Falls sie nicht vorhanden sind, fügt der Authentifizierungs-Server 800 die Authentifizierungsinformationen
zu der Authentifizierungsinformationsliste 870 hinzu und
schließt
den Authentifizierungsprozess ab. Zu diesem Zeitpunkt kann der Repeater
als eine Form von Fernsteuerung verwendet werden. Gemäß dieser
Ausführungsform, die
in der 8 gezeigt ist, kann ein Benutzer die Authentifizierung
für die
Authentifizierung anfordernde Netzwerkvorrichtung 820 innerhalb
eines lokalen Bereiches ausführen,
ohne die Authentifizierung anfordernde Netzwerkvorrichtung 820 direkt
zu kontaktieren.
-
Die 9 ist
ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen, die
einen unikalen Schlüssel
verwenden, gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung darstellt. Ein Repeater 940 sendet über seine eigene
Schnittstelle 942 über
ein privates Netzwerk 990 einen ersten unikalen Schlüssel 944 und
einen zweiten unikalen Schlüssel 946 jeweils
zu einem Interface 922 einer Authentifizierung anfordernden Netzwerkvorrichtung 920 und
zu einem Interface 902 eines Authentifizierungs-Servers 900.
Die Authentifizierung anfordernde Netzwerkvorrichtung 920 generiert
unter Verwendung des ersten unikalen Schlüssels 944 eine Authentifizierungsanforderungsnachricht 950 und
die Authentifizierungsinformationen 960 und sendet die
erzeugte Nachricht 950 zu dem Authentifizierungs-Server 900.
-
Nach
Empfangen der Authentifizierungsanforderungsnachricht 950 vergleicht
der Authentifizierungs-Server 900 den zweiten unikalen
Schlüssel 946 mit
dem ersten unikalen Schlüssel 944 in
der Authentifizierungsanforderungsnachricht 950. Wenn die
beiden Schlüssel übereinstimmen,
prüft der
Authentifizierungs-Server, ob die in der Authentifizierungsanforderungsnachricht 950 enthaltenen
Authentifizierungsinformationen in der Authentifizierungsinformationsliste 970 vorhanden
sind. Falls diese nicht vorhanden sind, fügt der Authentifizierungs-Server
die Authentifizierungsinformationen zu der Liste hinzu und schließt den Authentifizierungsprozess
ab.
-
Die 12 ist
ein Prozessablaufdiagramm der in der 9 gezeigten
Authentifizierungsmethode, die später beschrieben wird. Gemäß dieser
in der 9 gezeigten Ausführungsform kann der Benutzer durch
das Vergleichen des ersten unikalen Schlüssels 944 mit dem
zweiten unikalen Schlüssel
selbst dann vorsätzliches
Verbinden von außen
verhindern, wenn anstelle des privaten Netzwerkes ein vorhandenes
allgemeines Netzwerk genutzt wird.
-
Die 10 stellt
ein Format einer Authentifizierungsinformationsnachricht für eine Authentifizierung
anfordernde Netzwerkvorrichtung gemäß einer Ausführungsform
der vorliegenden Erfindung dar. Die Authentifizierungsinformationsnachricht 1010 enthält Authentifizierungsinformationen 1050 und kann
alternativ zusätzlich
zu den Authentifizierungsinformationen 1050 eine Erweiterung 1070 enthalten. Die
Authentifizierungsinformationen 1050 können Informationen über die
die Authentifizierung anfordernde Netzwerkvorrichtung, Informationen über die
die Authentifizierungsinformationen registrierende Netzwerkvorrichtung,
eine Kennung zum Unterscheiden, ob die Nachricht Authentifizierungsinformationen
enthält,
usw. enthalten. Die Informationen über die Authentifizierung anfordernde
Netzwerkvorrichtung können
einen Sicherheitsschlüssel,
eine MAC-Adresse, eine SSID usw. enthalten. Die Authentifizierungsinformationsnachricht 1010 kann die
Erweiterung 1070 umfassen, um alle anderen Informationen,
außer
den Authentifizierungsinformationen 1050, zu enthalten.
-
11 ist
ein Prozessablaufdiagramm, das die in der 7 gezeigte
Authentifizierungsmethode darstellt. Ein Authentifizierungs-Server 1100 prüft, ob von
einer Authentifizierung anfordernden Netzwerkvorrichtung 1150 eine
Authentifizierungsanforderung vorhanden ist (S1110). Wenn festgestellt
ist, dass eine Authentifizierungsanforderung vorhanden ist, prüft der Authentifizierungs-Server 1100,
ob die Authentifizierungsinformationen über die Authentifizierung anfordernde
Netzwerkvorrichtung 1150 in seiner eigenen Authentifizierungsinformationsliste
enthalten ist (S1120). Wenn die Authentifizierungsinformationen über die
die Authentifizierung anfordernde Netzwerkvorrichtung 1150 nicht
in der Authentifizierungsinformationsliste sind, wird der Authentifizierungs-Server die Authentifizierung
nicht zulassen und den Authentifizierungsprozess abschließen (S1125).
Andernfalls fügt
der Authentifizierungs-Server die Authentifizierungsinformationen
und die anderen Informationen über
die Netzwerkvorrichtung 1150 zu der Authentifizierungsinformationsliste
hinzu (S1130) und erlaubt die Authentifizierung (S1140).
-
Andererseits
bestätigt
die Authentifizierung anfordernde Netzwerkvorrichtung 1150,
ob durch den Benutzer ausgegebene Authentifizierungsanweisungen
zu nutzen sind (S1160). Wenn der Benutzer Authentifizierugsanweisungen
ausgibt, sendet die Authentifizierung anfordernde Netzwerkvorrichtung über ihr
eigenes Interface, über
ein privates Netzwerk, ihre eigenen Authentifizierungsinformationen (S1170).
Wenn der Authentifizierungs-Server die Authentifizierung zulässt, wird
anschließend
der Authentifizierungsprozess abgeschlossen. Andernfalls kann eine
Nachricht zum Anzeigen einer weiteren Authentifizierungsanforderung
oder ein Authentifizierungsfehler angezeigt werden (S1185).
-
Die 12 ist
ein Prozessablaufdiagramm, das die in der 9 gezeigte
Authentifizierungsmethode darstellt. Ein Authentifizierungs-Server 1200 prüft, ob ein
Repeater eine Anforderung für
Authentifizierung erzeugt (S1205). Wenn eine Authentifizierungsanforderung
von dem Repeater vorhanden ist, prüft der Authentifizierungs-Server,
ob die Authentifizierung anfordernde Netzwerkvorrichtung 1250 einen
ersten unikalen Schlüssel
und die Authentifizierungsinformationen zu dem Authentifizierungs-Server
sendet (S1210). Sofern er nicht den ersten unikalen Schlüssel und
die Authentifizierungsinformationen von der die Authentifizierung
anfordernden Netzwerkvorrichtung 1250 erhält, zeigt
der Authentifizierungs-Server 1200 eine Authentifizierungsfehlernachricht
an oder schließt
den Authentifizierungsprozess ab (S1235). Andernfalls vergleicht
der Authentifizierungs-Server 1200 den von der die Authentifizierung
anfordernden Netzwerkvorrichtung 1250 empfangenen ersten
unikalen Schlüssel
mit einem aus dem Repeater empfangenen unikalen Schlüssel und stellt
fest, ob beide Schlüssel übereinstimmen (S1215).
Wenn die beiden Schlüssel
dieselben sind, prüft
der Authentifizierungs-Server 1200, ob die Authentifizierungsinformationen
von der Authentifizierung anfordernden Netzwerkvorrichtung 1250 in
einer Authentifizierungsinformationsliste des Authentifizierungs-Servers
enthalten sind. Wenn die Authentifizierungsinformationen in der
Liste enthalten sind, lässt
der Authentifizierungs-Server die Authentifizierung (S1230) zu.
Andernfalls fügt
der Authentifizierungs-Server die Authentifizierungsinformationen und
weitere Informationen über
die Authentifizierung anfordernde Netzwerkvorrichtung 1250 zu
der Authentifizierungsinformationsliste hinzu (S1225) und lässt anschließend die
Authentifizierung zu (S1230). Auf der anderen Seite bestätigt die
Authentifizierung anfordernde Netzwerkvorrichtung 1250,
ob der Repeater eine Authentifizierungsanforderung vornimmt (S1255).
Wenn der Repeater eine Anforderung für Authentifizierung vorgenommen
hat, sendet die Netzwerkvorrichtung 1250 den ersten unikalen Schlüssel aus
dem Repeater und ihre eigenen Authentifizierungsinformationen zu
dem Authentifizierungs-Server 1200 (S1260). Wenn der Authentifizierungs-Server 1200 die
Authentifizierung zulässt,
wird der Authentifizierungsprozess abgeschlossen. Andernfalls wird
der Authentifizierungs-Server eine Nachricht zum Anzeigen einer
weiteren Authentifizierungsanforderung oder eines Authentifizierungsfehlers
anzeigen (S1270) und schließt
dann den Authentifizierungsprozess ab.
-
Die 13 stellt
einen Prozess des Betreibens von authentifizierten Netzwerkvorrichtungen
in einer verdrahteten Umgebung gemäß einer Ausführungsform
der vorliegenden Erfindung dar. Eine authentifizierte Netzwerkvorrichtung
A 1320 sendet eine Nachricht, die ihre eigenen Authentifizierungsinformationen 1360 enthält, zu einer
anderen Netzwerkvorrichtung B 1340, wie durch einen Pfeil 1380 angezeigt.
Nach dem Empfang der Nachricht sendet die Netzwerkvorrichtung B 1340 die
in der empfangenen Nachricht enthaltenen Authentifizierugsinformationen
zu einem Authentifizierungs-Server 1300 und fordert von
dem Authentifizierungs-Server 1300 an, zu bestätigen, ob
die Netzwerkvorrichtung A 1320 authentifiziert wurde, wie
durch einen Pfeil 1382 angezeigt. Anschließend prüft der Authentifizierungs-Server 1300,
ob die in der empfangenen Nachricht enthaltenen Authentifizierungsinformationen
in seiner eigenen Authentifizierungsinformationsliste 1370 enthalten
sind, und sendet das Ergebnis der Prüfung zu der Netzwerkvorrichtung
B 1340, die die Bestätigung
angefordert hat, wie durch einen Pfeil 1384 angezeigt.
Schließlich
bestätigt
die Netzwerkvorrichtung B 1340, dass die Netzwerkvorrichtung 1320 authentifiziert
ist und kommuniziert dann mit der Netzwerkvorrichtung A, wie durch
einen Pfeil 1386 angezeigt.
-
Die 14 stellt
einen Prozess des Betreibens von authentifizierten Netzwerkvorrichtungen
in einer drahtlosen Netzwerkumgebung gemäß einer weiteren Ausführungsform
der vorliegenden Erfindung dar. Die authentifizierte drahtlose Netzwerkvorrichtung 1420 sendet
eine Anforderung für
Verbindung mit einer anderen Netzwerkvorrichtung zu einem Zugriffspunkt 1400,
wie durch einen Pfeil 1480 angezeigt. Als Antwort auf die
Anforderung authentifiziert der Zugriffspunkt 1400 die
drahtlose Netzwerkvorrichtung 1420 unter Verwendung ihrer
eigenen Authentifizierungsinformationsliste 1470 und weist der
drahtlosen Netzwerkvorrichtung eine vorgegebene Adresse zu, wie
durch einen Pfeil 1482 angezeigt. Anschließend sendet
die drahtlose Netzwerkvorrichtung 1420 der anderen Netzwerkvorrichtung 1440 eine
Anforderung zum Verbinden mit dieser, wie durch einen Pfeil 1484 angezeigt.
Die angeforderte Netzwerkvorrichtung 1440 lässt die
Verbindung zu, wie durch einen Pfeil 1486 angezeigt.
-
Gemäß der vorliegenden
Erfindung, wie beschrieben konfiguriert, können die folgenden Vorteile erhalten
werden.
- 1. In einer Netzwerkumgebung, die nicht
durch einen Manager verwaltet wird, können Authentifizierungen für Netzwerkvorrichtungen
durchgeführt werden.
- 2. Ein durchschnittlicher Netzwerkbenutzer, der keine Kenntnis über Netzwerke
und Authentifizierung hat, kann einen Authentifizierungsprozess einfach
durchführen.
- 3. In einer verdrahteten oder drahtlosen Netzwerkumgebung kann
durch ein vorgegebenes Interface unberechtigtes oder versehentliches
Verbinden einfach und effektiv verhindert werden.
-
Obwohl
einige bevorzugte Ausführungsformen
gezeigt und beschrieben wurden, wird ein Fachmann in dieser Technik
ohne Weiteres anerkennen, dass verschiedene Änderungen und Modifikationen vorgenommen
werden können,
ohne von dem Schutzanspruch der Erfindung, wie in den angehängten Ansprüchen definiert,
abzuweichen.
-
Alle
in dieser Beschreibung offenbarten Merkmale (einschließlich aller
begleitenden Ansprüche,
der Zusammenfassung und der Zeichnungen) und alle anderen Schritte
jedes Verfahrens oder Prozesses, wie offenbart, können miteinander
in jeder Kombination kombiniert werden, ausgenommen sind nur solche
Kombinationen, bei denen sich wenigstens einige der Merkmale und/oder
Schritte wechselseitig ausschließen.
-
Die
Erfindung ist nicht auf die Einzelheiten der zuvor beschriebenen
Ausführungsform(en)
beschränkt.
Die Erfindung erstreckt sich auf jedes neue Merkmal oder jede neue
Kombination der Merkmale, die in dieser Spezifikation (einschließlich aller
begleitenden Ansprüche,
der Zusammenfassung und den Zeichnungen) offenbart sind oder jeden
neuen Schritt oder jede neue Kombination der Schritte jedes offenbarten
Verfahrens oder Prozesses.