-
Die
vorliegende Erfindung betrifft eine Netzwerkvorrichtungs-Authentifizierung
und insbesondere eine Netzwerkvorrichtung und ein System zur Authentifizierung
und ein Verfahren zum Authentifizieren von Netzwerkvorrichtungen
unter Verwendung der Netzwerkvorrichtung zur Authentifizierung.
-
1 zeigt
einen Authentifizierungsprozess des Stands der Technik in einer
verdrahteten Kommunikationsumgebung. Ein Authentifizierungssystem
zur Verwendung in dem Prozess umfasst eine Netzwerkvorrichtung 120,
um die Authentifizierung zu gestatten, einen Authentifizierungs-Server 100 zum
Gestatten der angeforderten Authentifizierung, und eine vorher authentifizierte
Netzwerkvorrichtung 140. Hier registriert ein Manager in
dem Authentifizierungs-Server 100 und im Voraus die Authentifizierungsinformationen 160 in
Bezug auf eine Netzwerkvorrichtung 120, die authentifiziert
werden soll. Registrierte Authentifizierungsinformationen 170 können MAC-(Medium
Access Control)Adressen, Sicherheitsschlüssel, SSID-(Dienstgruppenkennung (Service
Set Identifier)) Werte usw. der Authentifizierungsanforderungs-Netzwerkvorrichtung 120 enthalten.
Wenn die Authentifizierungsanforderungs-Netzwerkvorrichtung 120 mit
einem Netzwerk verbunden ist, werden die Authentifizierungsinformationen 160 auf
der Authentifizierungsanforderungs-Netzwerkvorrichtung 120 zu
dem Authentifizierungs-Server 100 gesendet. Somit bestätigt der
Authentifizierungs-Server 100 die Authentifizierungsinformationen 160 auf
der Authentifizierungsanforderungs-Netzwerkvorrichtung 120 und
authentifiziert die Authentifizierungsanforderungs-Netzwerkvorrichtung 120.
-
2 zeigt
einen Authentifizierungsprozess des Stands der Technik in einer
drahtlosen Kommunikationsumgebung. Ein Authentifizierungssystem zur
Verwendung in dem Prozess umfasst eine drahtlose Netzwerkvorrichtung 220 zum
Anfordern der Authentifizierung, einen Zugriffspunkt 200 zum
Gestatten der angeforderten Authentifizierung für die drahtlose Netzwerkvorrichtung,
und eine vorher authentifizierte Netzwerkvorrichtung 240.
Hier dient der Zugriffspunkt 200 zum Zuweisen einer Adresse
zu der Authentifizierungsanforderungs-Netzwerkvorrichtung 220.
Ein Manager registriert an dem Zugriffspunkt 200 und im
Voraus die Authentifizierungsinformationen 260 in Bezug
auf die drahtlose Netzwerkvorrichtung 220, wie in 2 gezeigt.
Wenn die Authentifizierungsanforderungs-Netzwerkvorrichtung 220 die
Authentifizierung von dem Zugriffspunkt 200 anfordert,
bestätigt
der Zugriffspunkt 200 die Authentifizierungsinformationen,
die auf ihm selbst registriert sind, und entscheidet, ob die angeforderte
Authentifizierung gestattet werden soll.
-
3 zeigt
einen Authentifizierungsprozess des Stands der Technik in einer
Client-Server-Umgebung.
Ein Authentifizierungssystem zur Verwendung in dem Prozess umfasst
einen Client 320 zum Anfordern der Authentifizierung und
einen Authentifizierungs-Server 300 zum
Bereitstellen eines Dienstes 375 für den Client 320.
Der Server 300 enthält
einen Dienst 375, der für
den Client bereitgestellt werden kann, und eine Liste 370 mit
eindeutigen Kennungen und Passwörtern,
die der Client verwenden darf, um auf den Dienst zuzugreifen. Hier
registriert ein Manager auf dem Server 300 und im Voraus
eine Gruppe 360 von Kennungen und Passwörtern, die verwendet werden,
wenn der Client 320 eine Authentifizierung anfordert. Wenn
der Client 320 mit dem Server 300 verbunden ist
und eine Authentifizierung anfordert, indem er seine eigene Kennung
und sein eigenes Passwort eingibt, bestätigt der Authentifizierungs-Server 300 die
registrierte Liste 370 von Kennungen und Passwörtern, um
zu entscheiden, ob die Authentifizierung und die Nutzung des Dienstes
3785 gestattet sind.
-
4 zeigt
einen Betriebsprozess zwischen authentifizierten Netzwerkvorrichtungen
unter Verwendung der Authentifizierungsinformationen, die auf einem
Authentifizierungs-Server registriert sind, nachdem die Authentifizierung
durch den in 1 gezeigten Prozess abgeschlossen
worden ist. Zuerst wird angenommen, dass eine Authentifizierungsanforderungs-Netzwerkvorrichtung
eine Heimat-Netzwerkvorrichtung ist. Eine Heimat-Netzwerkvorrichtung
A 420 erfordert eine Verbindung zum und Nutzung von einem
Dienst von einer anderen Heimat-Netzwerkvorrichtung B 440,
wie durch einen Pfeil 480 angegeben. Dann fordert die Heimat-Netzwerkvorrichtung
B 440 einen Authentifizierungs-Server 400 auf,
zu bestätigen,
ob die Authentifizierungsanforderungs-Heimat-Netzwerkvorrichtung A 420 eine
authentifizierte Vorrichtung ist, wie durch einen Pfeil 482 angegeben.
Auf Basis einer Authentifizierungsinformationenliste 460 prüft der Authentifizierungs-Server 400,
ob die Authentifizierungsanforderungs-Heimat-Netzwerkvorrichtung
A 420 eine authentifizierte Vorrichtung ist, und informiert
die Heimat-Netzwerkvorrichtung B 440 über das Prüfergebnis, wie durch einen
Pfeil 484 angegeben. Dann kommuniziert die Heimat-Netzwerkvorrichtung
B 440 mit der Heimat-Netzwerkvorrichtung A 420,
wenn auf Basis des Prüfergebnisses
bestätigt
wird, dass die Heimat-Netzwerkvorrichtung
A 420 authentifiziert ist.
-
Die
Authentifizierungsverfahren des Stands der Technik, die in 1 bis 3 gezeigt
sind, leiden jedoch unter einem oder mehreren der folgenden Probleme:
- 1. Zum Authentifizieren von Netzwerkvorrichtungen
ist ein Manager erforderlich, der Fachkenntnis über die Netzwerke oder Computer
besitzt.
- 2. In einer verdrahteten Kommunikationsumgebung können beabsichtigte
Verbindungen von außen
zu dem Netzwerk hergestellt werden. 5 veranschaulicht
eine solches Problem, das zum Beispiel in einem Heimat-Netzwerk
auftritt. Das heißt,
in einer Haus 590 mit einem verdrahteten Heimat-Netzwerk 580,
in dem ein Authentifizierungs-Server 500 und Heimat-Netzwerkvorrichtungen 540 und 542 über ein
verdrahtetes Kommunikationsnetzwerk verbunden sind, kann eine externe
Vorrichtung 520 beabsichtigt mit einem Heimat-Netzwerk 580 über ein
verdrahtetes Netzwerk 585 verbunden werden, auf das von
außen zugegriffen
werden kann.
- 3. In einer drahtlosen Kommunikationsumgebung können Authentifizierungsinformationen
auf einem Netzwerk durch jede in den anderen Netzwerken vorhandene
drahtlose Authentifizierungsanforderungs-Netzwerkvorrichtung registriert werden,
weil der Versorgungsbereich drahtloser Netzwerke nicht klar abgegrenzt
ist. 6 veranschaulicht ein solches Problem zum Beispiel
in einem drahtlosen Heimat-Netzwerk. Das heißt, in einem Haus 690 mit
einem drahtlosen Heimat-Netzwerk,
in dem ein Zugriffspunkt 600 und drahtlose Netzwerkvorrichtungen 640 und 642 über eine
drahtlose Verbindung verbunden sind, kann eine drahtlose Verbindung 685 von
einer externen Vorrichtung 620 aus zu dem drahtlosen Heimat-Netzwerk
hergestellt werden, weil der Versorgungsbereich von drahtlosen Heimat-Netzwerken
im Allgemeinen nicht abgegrenzt ist. Dementsprechend können Authentifizierungsinformationen
nicht nur auf den drahtlosen Vorrichtungen 640 und 642,
die in dem relevanten drahtlosen Heimat-Netzwerk vorhanden sind,
sondern auch auf der externen drahtlosen Vorrichtung 620, die
in den anderen drahtlosen Netzwerken vorhanden ist, registriert
werden.
-
Daher
sind technische Lösungen
zur Beseitigung dieser Probleme des Stands der Technik erwünscht.
-
802.11b
Wireless LAN Authentication Encryption and Security (XP-002250118)
offenbart einen Wired Equivalent Privacy-(WEP)Algorithmus, in dem
ein Authentifizierungs-Server
Sitzungsschlüssel generiert,
die dann zu einem Authentifikator und einem Anforderer (supplicant) übertragen
werden. Der Authentifikator verwendet den Sitzungsschlüssel zum
Erstellen eines dynamischen WEP-Schlüssels. Der WEP-Schlüssel wird
dann unter Verwendung des Sitzungsschlüssels verschlüsselt und
von dem Authentifikator zu dem Anforderer übertragen. Der Anforderer entschlüsselt den
WEP-Schlüssel
unter Verwendung des Sitzungsschlüssels und verwendet den Schlüssel zum
Verschlüsseln
und Entschlüsseln von
Nachrichten. Dieses Dokument bildet den vor-kennzeichnenden Teil
der Ansprüche
im Anhang hierzu.
-
Gemäß der vorliegenden
Erfindung werden eine Vorrichtung und ein Verfahren bereitgestellt,
wie in den Ansprüchen
im Anhang dargelegt. Bevorzugte Merkmale der Erfindung werden aus
den Unteransprüchen
und der folgenden Beschreibung offenkundig.
-
Die
vorliegende Erfindung gestattet es einem normalen Benutzer, der
keine Fachkenntnis in Bezug auf Authentifizierung, Computer und
dergleichen besitzt, die Authentifizierung für Netzwerkvorrichtungen problemlos
durchzuführen,
und gestattet einem Benutzer auch, die Authentifizierung für Netzwerkvorrichtungen
sicher und problemlos durchzuführen,
indem veranlasst wird, dass Authentifizierungsinformationen unter
Verwendung einer Schnittstelle mit einem begrenzten Versorgungsbereich
ausgetauscht werden, um so jede nicht-authentifizierte Verbindung zwischen
Netzwerkvorrichtungen zu vermeiden.
-
Gemäß einem
ersten Gesichtspunkt der vorliegenden Erfindung wird ein Netzwerksystem
zur Authentifizierung bereitgestellt, das dadurch gekennzeichnet
ist, dass es Folgendes umfasst: eine Erzeugungsvorrichtung für eindeutige
Schlüssel,
die zum Erzeugen von eindeutigen Schlüsseln eingerichtet ist; eine
erste Netzwerkvorrichtung zum An fordern einer Authentifizierung;
und eine zweite Netzwerkvorrichtung zur Authentifizierung; gekennzeichnet durch:
die Erzeugungsvorrichtung für
eindeutige Schlüssel,
die so angeordnet ist, dass sie einen ersten eindeutigen Schlüssel zu
der ersten Netzwerkvorrichtung und einen zweiten eindeutigen Schlüssel zu
der zweiten Netzwerkvorrichtung über
ein privates Netzwerk mit einem begrenzten Versorgungsbereich überträgt; die
erste Netzwerkvorrichtung, die so eingerichtet ist, dass sie zu
der zweiten Netzwerkvorrichtung den ersten eindeutigen Schlüssel, der über das
private Netzwerk von der Erzeugungsvorrichtung für eindeutige Schlüssel empfangen
wird, und Authentifizierungsinformationen, die von der ersten Netzwerkvorrichtung
erzeugt werden, überträgt; und die
zweite Netzwerkvorrichtung, die so eingerichtet ist, dass sie den
ersten eindeutigen Schlüssel,
der von der ersten Netzwerkvorrichtung empfangen wird, mit dem zweiten
eindeutigen Schlüssel,
der über
das private Netzwerk von der Erzeugungseinrichtung für eindeutige
Schlüssel
empfangen wird, vergleicht und die empfangenen Authentifizierungsinformationen, die
von der ersten Netzwerkvorrichtung empfangen werden, darauf registriert,
wenn beide Schlüssel übereinstimmen.
-
Gemäß einem
zweiten Gesichtpunkt der vorliegenden Erfindung wird auch ein Verfahren
zum Authentifizieren von Netzwerkvorrichtungen bereitgestellt, das
Folgendes umfasst: Senden von Authentifizierungsinformationen, die
von einer Netzwerkvorrichtung erzeugt werden; und Empfangen der
Authentifizierungsinformationen; dadurch gekennzeichnet, dass das
Verfahren Folgendes umfasst: Senden eines ersten eindeutigen Schlüssels, der über ein
privates Netzwerk mit einem begrenzten Versorgungsbereich empfangen
wird, und der Authentifizierungsinformationen, die von der Netzwerkvorrichtung
erzeugt werden, die den ersten eindeutigen Schlüssel empfangen hat; Empfangen
des ersten eindeutigen Schlüssels
und der Authentifizierungsinformationen; Vergleichen des empfangenen
ersten eindeutigen Schlüssels
mit einem zweiten eindeutigen Schlüssel, der über das private Netzwerk empfangen
wurde; und Registrieren der empfangenen Authentifizierungsinformationen,
wenn beide Schlüssel übereinstimmen.
-
Gemäß einem
dritten Gesichtspunkt der vorliegenden Erfindung wird eine Netzwerkvorrichtung zum
Anfordern einer Authentifizierung bereitgestellt, die Folgendes
umfasst: eine Einrichtung zum Empfangen eines eindeutigen Schlüssels, der
von einer Erzeugungsvorrichtung für eindeutige Schlüssel erzeugt
wurde; dadurch gekennzeichnet, dass der eindeutige Schlüssel über ein
privates Netzwerk mit einem begrenzten Versor gungsbereich empfangen wird;
und eine Einrichtung zum Senden des empfangenen eindeutigen Schlüssels und
der Authentifizierungsinformationen, die von der Netzwerkvorrichtung erzeugt
werden.
-
Gemäß einem
weiteren Gesichtspunkt der vorliegenden Erfindung wird eine Netzwerkvorrichtung
zur Authentifizierung bereitgestellt, die Folgendes umfasst: eine
Einrichtung zum Empfangen von Authentifizierungsinformationen von
einer Netzwerkvorrichtung zum Anfordern einer Authentifizierung; gekennzeichnet
durch: die Einrichtung zum Empfangen von Authentifizierungsinformationen,
die so angeordnet ist, dass sie einen ersten eindeutigen Schlüssel von
der Netzwerkvorrichtung zum Anfordern einer Authentifizierung empfängt; eine
Einrichtung zum Empfangen eines zweiten eindeutigen Schlüssels, der
von einer Erzeugungsvorrichtung für eindeutige Schlüssel erzeugt
wird, über
ein privates Netzwerk mit einem begrenzten Versorgungsbereich; eine
Einrichtung zum Vergleichen des ersten eindeutigen Schlüssels mit
dem zweiten eindeutigen Schlüssel;
und eine Einrichtung zum Registrieren der Authentifizierungsinformationen
darauf, wenn beide Schlüssel übereinstimmen.
-
Gemäß einem
weiteren Gesichtspunkt der vorliegenden Erfindung wird eine erste
Netzwerkvorrichtung bereitgestellt, die Folgendes umfasst: eine Einrichtung
zum Erzeugen eines eindeutigen Schlüssels und zum Senden des erzeugten
eindeutigen Schlüssels;
dadurch gekennzeichnet, dass der erzeugte eindeutige Schlüssel über ein
privates Netzwerk mit einem begrenzten Versorgungsbereich zu einer
zweiten Netzwerkvorrichtung zum Anfordern einer Authentifizierung
und einer dritten Netzwerkvorrichtung zum Empfangen einer Authentifizierungsanforderung
von der zweiten Netzwerkvorrichtung gesendet wird.
-
Zum
besseren Verständnis
der Erfindung und um zu zeigen, wie Ausführungsformen derselben umgesetzt
werden können,
wird im Folgenden beispielhaft auf die folgenden begleitenden Zeichnungen
Bezug genommen:
-
1 ist
eine schematische Darstellung, die einen Authentifizierungsprozess
des Stands der Technik in einer verdrahteten Netzwerkumgebung veranschaulicht;
-
2 ist
eine schematische Darstellung, die einen Authentifizierungsprozess
des Stands der Technik in einer drahtlosen Netzwerkumgebung veranschaulicht;
-
3 ist
eine schematische Darstellung, die einen Authentifizierungsprozess
des Stands der Technik in einer Client-Server-Umgebung veranschaulicht;
-
4 ist
eine schematische Darstellung, die einen Betriebsprozess zwischen
authentifizierten Netzwerkvorrichtungen gemäß dem Stand der Technik veranschaulicht,
nachdem die Authentifizierung abgeschlossen ist:
-
5 ist
eine schematische Darstellung, die Probleme in einem verdrahteten
Wohnungs-Netzwerk des Stands der Technik zeigt;
-
6 ist
eine schematische Darstellung, die Probleme in einem drahtlosen
Heimat-Netzwerk
des Stands der Technik zeigt;
-
7 ist
eine schematische Darstellung, die einen Prozess des Sendens von
Authentifizierungsinformationen über
Schnittstelleneinheiten von Netzwerkvorrichtungen gemäß einer
Ausführungsform der
vorliegenden Erfindung veranschaulicht;
-
8 ist
eine schematische Darstellung, die einen Prozess des Sendens von
Authentifizierungsinformationen über
Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung
eines Repeaters gemäß einer
anderen Ausführungsform
der vorliegenden Erfindung veranschaulicht;
-
9 ist
eine schematische Darstellung, die einen Prozess des Sendens von
Authentifizierungsinformationen über
Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung
eines eindeutigen Schlüssels
gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung veranschaulicht;
-
10 veranschaulicht
ein Format einer Authentifizierungsinformationen-Nachricht für eine Authentifizierungsanforderungs-Netzwerkvorrichtung gemäß einer
Ausführungsform
der vorliegenden Erfindung;
-
11 ist
ein Prozess-Ablaufdiagramm zum Veranschaulichen eines Authentifizierungsverfahrens
in einer Umgebung wie in 7 gezeigt;
-
12 ist
ein Prozess-Ablaufdiagramm zum Veranschaulichen eines Authentifizierungsverfahrens
in einer Umgebung wie in 9 gezeigt;
-
13 ist
eine schematische Darstellung, die einen Prozess zum Betreiben von
Netzwerkvorrichtungen gemäß der vorliegenden
Erfindung veranschaulicht, die in einer verdrahteten Netzwerkumgebung
arbeiten, nachdem die Authentifizierung abgeschlossen ist; und
-
14 ist
eine schematische Darstellung, die einen Prozess zum Betreiben von
Netzwerkvorrichtungen gemäß der vorliegenden
Erfindung veranschaulicht, die in einer drahtlosen Netzwerkumgebung
arbeiten, nachdem die Authentifizierung abgeschlossen ist.
-
Vor
einer ausführlichen
Beschreibung der vorliegenden Erfindung werden zunächst einige
Definitionen von Begriffen, die hierin verwendet werden, zunächst wie
folgt erörtert:
- 1. Authentifizierungsinformationen: Sie entsprechen
Informationen, die zur Authentifizierung erforderlich sind und umfassen
Informationen über eine
Authentifizierungsanforderungs-Netzwerkvorrichtung, Authentifizierungsinformationen-Kennung
usw.
- ifizierungsinformationen-Kennung: Sie entsp2. Authentricht einer
Kennung zur Unterscheidung, ob eine zu sendende Nachricht Authentifizierungsinformationen
enthält.
- 3. SSID (Dienstgruppenkennung): Sie entspricht einer eindeutigen
Kennung mit einer Länge
von 32 Bytes, die zu jedem Kopf der Pakete hinzugefügt wird,
die über
ein drahtloses LAN gesendet werden.
- 4. Bluetooth: Dies entspricht einem drahtlosen Internet-Verbindungsschema über ein
lokales Netz.
-
Im
Folgenden werden Netzwerkvorrichtungen, ein System zur Authentifizierung
und ein Verfahren zum Authentifizieren von Netzwerkvorrichtungen unter
Verwendung solcher Netzwerkvorrichtungen gemäß einer bevorzugten Ausführungsform
der vorliegenden Erfindung unter Bezugnahme auf die begleitenden
Zeichnungen beschrieben.
-
7 ist
eine schematische Darstellung, die ein Verfahren zum Authentifizieren
von Netzwerkvorrichtungen veranschaulicht und eine Einführung in die
vorliegende Erfindung gibt. Ein Benutzer weist eine Netzwerkvorrichtung 720 an,
eine Authentifizierung von einem Authentifizierungs-Server 700 anzufordern.
Dann werden Authentifizierungsinformationen 760 auf der
Authentifizierungsanforderungs-Netzwerkvorrichtung 720 über eine
Schnittstelle 722 der Netzwerkvorrichtung 720 über ein
privates Netzwerk 790 zu dem Authentifizierungs-Server 700 gesendet.
Zu diesem Zeitpunkt kann der Benutzer die Anweisung geben, die Authentifizierung unter
Verwendung einer Authentifizierungs-Schaltfläche zu gestatten, die der Netzwerkvorrichtung 720, einem
Anwendungsprogramm zur Authentifizierung und dergleichen zugeordnet
ist. Die Schnittstellen 702 und 722 sind verdrahtete/drahtlose
Schnittstellen mit begrenzter Versorgung und Richtwirkung und umfassen
lokale Kommunikationsschnittstellen wie zum Beispiel IrDA-(Infrared
Data Association)Kommunikationen und Bluetooth-Kommunikationen,
oder Drahtkabel-Schnittstellen, wie beispielsweise Seriell/Parallel-Kabel
mit einer Schließ-Eigenschaft
(closure property). Der Authentifizierungs-Server 700 prüft, ob eine
Authentifizierungsinformationenliste 770 des Servers die
Authentifizierungsinformationen 766 enthält, die über die
Schnittstelle 702 empfangen wurden. Wenn die Authentifizierungsinformationen 766 in
der Liste nicht vorhanden sind, fügt der Server die Authentifizierungsinformationen über die
Netzwerkvorrichtung 720 zu der Authentifizierungsinformationenliste 770 hinzu
und schließt
den Authentifizierungsprozess dann ab. 11 ist
ein Prozess-Ablaufdiagramm, das das in 7 gezeigte
Authentifizierungsverfahren veranschaulicht, das später beschrieben
wird.
-
8 ist
eine schematische Darstellung, die ein Verfahren zur Authentifizierung
von Netzwerkvorrichtungen unter Verwendung eines Repeaters veranschaulicht.
Der Repeater 840 empfängt
nur die Authentifizierungsinformationen 860 über eine
Authentifizierungsanforderungs-Netzwerkvorrichtung 820 über seine
eigene Schnittstelle 842 über ein privates Netzwerk 890 und
sendet die Authentifizierungsinformationen 860 zu einer
Schnittstelle 802 eines Authentifizierungs-Servers 800.
Der Authentifizierungs-Server 800 prüft, ob die Authentifizierungsinformationen über die
Authentifizierungsanforderungs-Netzwerkvorrichtung 820 von
dem Repeater 840 in einer Authentifizierungsinformationenliste 870 vorhanden
sind. Wenn sie nicht vorhanden sind, fügt der Authentifizierungs-Server 800 die
Authentifizierungsinformationen zu der Authentifizierungsinformationenliste 870 hinzu
und schließt
den Authentifizierungsprozess ab. Zu diesem Zeitpunkt kann der Repeater
in Form einer Fernsteuerung verwendet werden. Gemäß dieser
in 8 gezeigten Ausführungsform kann ein Benutzer
eine Authentifizierung für
die Authentifizierungsanforderungs-Netzwerkvorrichtung in einem
lokalen Bereich durchführen,
ohne sich direkt mit der Authentifizierungsanforderungs-Netzwerkvorrichtung 820 in
Verbindung zu setzen.
-
9 ist
eine schematische Darstellung, die ein Verfahren zum Authentifizieren
von Netzwerkvorrichtungen unter Verwendung eines eindeutigen Schlüssels gemäß einer
Ausführungsform
der vorliegenden Erfindung veranschaulicht. Ein Repeater 940 sendet
einen ersten eindeutigen Schlüssel 944 und einen
zweiten eindeutigen Schlüssel 946 über seine eigene
Schnittstelle 942 über
ein privates Netzwerk 990 jeweils zu einer Schnittstelle 922 einer
Authentifizierungsanforderungs-Netzwerkvorrichtung 920 und
eine Schnittstelle 902 eines Authentifizierungs-Servers 900.
Die Authentifizierungsanforderungs-Netzwerkvorrichtung 920 erzeugt
eine Authentifizierunganforderungs-Nachricht 950 unter
Verwendung des ersten eindeutigen Schlüssels 944 und Authentifizierungsinformationen 960 und
sendet die erzeugte Nachricht 950 zum Authentifizierungs-Server 900.
-
Nach
dem Empfangen der Authentifizierungsanforderungs-Nachricht 950 vergleicht
der Authentifizierungs-Server 900 den zweiten eindeutigen Schlüssel 946 mit
dem ersten eindeutigen Schlüssel 944,
der in der Authentifizierungsanforderungs-Nachricht 950 enthalten
ist. Wenn die beiden Schlüssel übereinstimmen,
prüft der
Authentifizierungs-Server,
ob die in der Authentifizierungsanforderungs-Nachricht 950 enthaltenen
Authentifizierungsinformationen in der Authentifizierungsinformationenliste 970 vorhanden
sind. Dann, wenn sie nicht vorhanden sind, fügt der Authentifizierungs-Server die
Authentifizierungsinformationen zu der Liste hinzu und schließt den Authentifizierungsprozess
ab. 12 ist ein Prozess-Ablaufdiagramm, das das in 9 gezeigte
Authentifizierungsverfahren veranschaulicht, das später beschrieben
wird. Gemäß dieser
in 9 gezeigten Ausführungsform kann der Benutzer
eine beabsichtigte Verbindung von au ßen in das Netz verhindern,
indem der erste eindeutige Schlüssel 944 mit
dem zweiten eindeutigen Schlüssel 946 verglichen
wird, auch während
das bestehende allgemeine Netzwerk, das nicht das private Netzwerk
ist, verwendet wird.
-
10 veranschaulicht
ein Format einer Authentifizierungsinformationen-Nachricht für eine Authentifizierungsanforderungs-Netzwerkvorrichtung gemäß einer
Ausführungsform
der vorliegenden Erfindung. Die Authentifizierungsinformationen-Nachricht 1010 enthält Authentifizierungsinformationen 1050 und
kann alternativ zusätzlich
zu den Authentifizierungsinformationen 1050 eine Erweiterung 1070 enthalten.
Die Authentifizierungsinformationen 1050 können Informationen über die
Authentifizierungsanforderungs-Netzwerkvorrichtung, Informationen über die
Authentifizierungsinformationen-Registrierungsnetzwerkvorrichtung,
eine Kennung zum Unterscheiden, ob die Nachricht Authentifizierungsinformationen
und dergleichen enthält,
umfassen. Die Informationen über
die Authentifizierungsanforderungs-Netzwerkvorrichtung können einen
Sicherheitsschlüssel, eine
MAC-(Medium Access Control)Adresse, ein SSID usw. enthalten. Die
Authentifizierungsinformationen-Nachricht 1010 kann die
Erweiterung 1070 enthalten, um irgendwelche anderen Informationen
als die Authentifizierungsinformationen 1050 zu übergeben.
-
11 ist
ein Prozess-Ablaufdiagramm, das das in 7 gezeigte
Authentifizierungsverfahren veranschaulicht. Ein Authentifizierungs-Server 1100 prüft, ob eine
Authentifizierungsanforderung von einer Authentifizierungsanforderungs-Netzwerkvorrichtung 1150 vorliegt
(S1110). Wenn festgestellt wird, dass eine Authentifizierungsanforderung
vorliegt, prüft
der Authentifizierungs-Server 1100, ob die Authentifizierungsinformationen über die
Authentifizierungsanforderungs-Netzwerkvorrichtung 1150 in seiner
eigenen Authentifizierungsinformationenliste enthalten sind (S1120).
Wenn die Authentifizierungsinformationen über die Authentifizierungsanforderungs-Netzwerkvorrichtung 1150 nicht
in der Authentifizierungsinformationenliste enthalten sind, gestattet
der Authentifizierungs-Server die Authentifizierung nicht und schließt den Authentifizierungsprozess
ab (S1125). Andernfalls fügt
der Authentifizierungs-Server die Authentifizierungsinformationen und
die anderen Informationen über
die Netzwerkvorrichtung 1150 zu der Authentifizierungsinformationenliste
hinzu (S1130) und gestattet die Authentifizierung (S1140).
-
Andererseits
bestätigt
die Authentifizierungsanforderungs-Netzwerkvorrichtung 1150,
ob ein Benutzer Authentifizierungsanweisungen erteilt (S1160). Wenn
der Benutzer Authentifizierungsanweisungen erteilt, sendet die Authentifizierungsanforderungs-Netzwerkvorrichtung
ihre eigenen Authentifizierungsinformationen über ihre eigene Schnittstelle über ein
privates Netzwerk (S1170). Wenn dann der Authentifizierungs-Server
die Authentifizierung gestattet, wird der Authentifizierungsprozess
abgeschlossen. Anderenfalls kann eine Meldung angezeigt werden,
die eine weitere Authentifizierungsanforderung oder einen Authentifizierungsfehler
angibt.
-
12 ist
ein Prozess-Ablaufdiagramm, das das in 9 gezeigte
Authentifizierungsverfahren veranschaulicht. Ein Authentifizierungs-Server 1200 prüft, ob ein
Repeater eine Anforderung für
eine Authentifizierung vornimmt (S1250). Wenn eine Authentifizierungsanforderung
von dem Repeater vorliegt, prüft
der Authentifizierungs-Server, ob die Authentifizierungsanforderungs-Netzwerkvorrichtung 1250 einen
ersten eindeutigen Schlüssel
und Authentifizierungsinformationen zu dem Server sendet (S1210). Sofern
der erste eindeutige Schlüssel
und die Authentifizierungsinformationen nicht von der Authentifizierungsanforderungs-Vorrichtung 1250 empfangen werden,
zeigt der Authentifizierungs-Server 1200 eine Authentifizierungs-Fehlermeldung
an oder schließt
den Authentifizierungsprozess ab (S1235). Anderenfalls vergleicht
der Authentifizierungs-Server 1200 den ersten eindeutigen
Schlüssel,
der von der Authentifizierungsanforderungs-Vorrichtung 1250 empfangen
wurde, mit einem zweiten eindeutigen Schlüssel, der von dem Repeater
empfangen wurde, und prüft
dann, ob beide Schlüssel übereinstimmen (S1215).
Wenn die beiden Schlüssel
gleich sind, prüft der
Authentifizierungs-Server 1200, ob Authentifizierungsinformationen
von der Authentifizierungsanforderungs-Vorrichtung 1250 in
einer Authentifizierungsinformationenliste des Authentifizierungs-Servers
enthalten sind. Wenn die Authentifizierungsinformationen in der
Liste enthalten sind, gestattet der Authentifizierungs-Server die
Authentifizierung (S1230). Anderenfalls aber fügt der Authentifizierungs-Server
die Authentifizierungsinformationen und die anderen Informationen über die
Vorrichtung der Authentifizierungsinformationenliste hinzu und gestattet
dann die Authentifizierung (S1230). Andererseits bestätigt die
Authentifizierungs-Netzwerkvorrichtung 1250, ob der Repeater
eine Anforderung für eine
Authentifizierung vornimmt (S12559. Wenn der Repeater eine Anforderung
für eine
Authentifizierung vorgenommen hat, sendet die Netzwerkvorrichtung 1250 den
ersten eindeutigen Schlüssel
von dem Repeater und ihre eigenen Authentifizierungsinformationen
zu dem Authentifizierungs-Server 1200 (S1260). Wenn dann
der Authentifizierungs-Server 1200 die Authentifizierung
gestattet, wird der Authentifizierungsprozess abgeschlossen. Anderenfalls
zeigt der Server eine Meldung an, die eine weitere Authentifizierungsanforderung
oder einen Authentifizierungsfehler angibt, und schließt den Authentifizierungsprozess
dann ab.
-
13 veranschaulicht
einen Prozess zum Betreiben von authentifizierten Netzwerkvorrichtungen
in einer verdrahteten Netzwerkumgebung gemäß einer Ausführungsform
der vorliegenden Erfindung. Eine authentifizierte Netzwerkvorrichtung
A 1320 sendet eine Nachricht, die ihre eigenen Authentifizierungsinformationen 1360 enthält, um mit
einer anderen Netzwerkvorrichtung B 1340 zu kommunizieren,
wie durch einen Pfeil 1380 angegeben. Nach dem Empfang
der Nachricht sendet die Netzwerkvorrichtung B 1340 die
Authentifizierungsinformationen, die in der empfangenen Nachricht
enthalten sind, an einen Authentifizierungs-Server 1300 und
fordert den Server 1300 auf, zu bestätigen, ob die Netzwerkvorrichtung
A1320 authentifiziert ist, wie durch einen Pfeil 1382 angegeben.
Dann prüft
der Authentifizierungs-Server 1300, ob die in der empfangenen
Nachricht enthaltenen Authentifizierungsinformationen in seiner
eigenen Authentifizierungsinformationenliste 1370 enthalten
sind, und sendet das Ergebnis an die Netzwerkvorrichtung B 1340,
die die Bestätigung
angefordert hat, wie durch einen Pfeil 1384 angegeben. Schließlich bestätigt die
Netzwerkvorrichtung B 1340, dass die Netzwerkvorrichtung
A 1320 authentifiziert ist und kommuniziert dann mit der
Netzwerkvorrichtung A, wie durch einen Pfeil 1386 angegeben.
-
14 veranschaulicht
einen Prozess zum Betreiben von authentifizierten Netzwerkvorrichtungen
in einer drahtlosen Netzwerkumgebung gemäß einer anderen Ausführungsform
der vorliegenden Erfindung. Die authentifizierte drahtlose Netzwerkvorrichtung 1420 sendet
an einen Zugriffspunkt 1400 eine Anforderung für eine Verbindung
mit einer anderen Netzwerkvorrichtung, wie durch einen Pfeil 1480 angegeben.
In Reaktion auf die Anforderung authentifiziert der Zugriffspunkt 1400 die
drahtlose Netzwerkvorrichtung 1420 unter Verwendung seiner
eigenen Authentifizierungsinformationenliste 1470 und weist
der drahtlosen Netzwerkvorrichtung eine vorgegebene Adresse zu,
wie durch einen Pfeil 1482 angegeben. Dann sendet die drahtlose
Netzwerkvorrichtung 1420 der anderen Netzwerkvorrichtung 1440 eine
Anforderung für
eine Verbindung mit dieser, wie durch einen Pfeil 1484 angegeben.
Damit gestattet die angeforderte Netzwerkvorrichtung 1440 die
Verbindung, wie durch einen Pfeil 1486 angegeben.
-
Mit
den oben erörterten
Ausführungsformen lassen
sich die folgenden Vorteile erzielen.
- 1. In
einer Netzwerkumgebung, die nicht durch einen Manager verwaltet
wird, kann eine Authentifizierung für Netzwerkvorrichtungen vorgenommen werden.
- 2. Ein allgemeiner Netzwerk-Benutzer, der keine Fachkenntnis über Netzwerke
oder Authentifizierung besitzt, kann einen Authentifizierungsprozess
problemlos durchführen.
- 3. In einer verdrahteten oder drahtlosen Netzwerkumgebung kann
eine beabsichtigte nicht-autorisierte oder unbeabsichtigte Verbindung
mit dem Netzwerk bzw. die Nutzung eines Dienstes problemlos und
effektiv durch eine vorgegebene Schnittstelle verhindert werden.
-
Obwohl
einige bevorzugte Ausführungsformen
gezeigt und beschrieben worden sind, ist dem Fachmann klar, dass
verschiedene Änderungen
und Modifizierungen vorgenommen werden könnten, ohne von dem Umfang
der Erfindung abzuweichen, wie er in den Ansprüchen im Anhang definiert ist.
-
Alle
in dieser Spezifikation offenbarten Merkmale, (einschließlich aller
begleitenden Ansprüche, der
Zusammenfassung und den Zeichnungen), und/oder allen Schritten jedes
so offenbarten Verfahrens oder Prozesses, können in jeder Kombination kombiniert
werden, mit Ausnahme von Kombinationen, in denen sich wenigstens
einige solcher Merkmale und/oder Schritte gegenseitig ausschließen.
-
Jedes
in dieser Spezifikation offenbarte Merkmal, (einschließlich aller
begleitenden Ansprüche,
der Zusammenfassung und den Zeichnungen), kann durch alternative
Merkmale ersetzt werden, die dem gleichen, einem äquivalenten
oder ähnlichen Zweck
dienen, es sei denn, dies ist ausdrücklich anders angegeben. Sofern
nicht anders angegeben, ist jedes offenbarte Merkmal somit nur ein
Beispiel einer allgemeinen Reihe von äquivalenten oder ähnlichen Merkmalen.
-
Die
Erfindung ist nicht auf die Details der vorgenannten Ausführungsform
bzw. Ausführungsformen
beschränkt.
Die Erfindung erstreckt sich auf jedes neuartige oder jede neuartige
Kombination der Merkmale, die in dieser Spezifikation offenbart
wurden, (einschließlich
aller begleitenden Ansprüche, der
Zusammenfassung und den Zeichnungen), oder auf jeden neuartigen
oder jede neuartige Kombination der Schritte jedes so offenbarten
Verfahrens oder Prozesses.