DE60319791T2 - Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk - Google Patents

Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk Download PDF

Info

Publication number
DE60319791T2
DE60319791T2 DE60319791T DE60319791T DE60319791T2 DE 60319791 T2 DE60319791 T2 DE 60319791T2 DE 60319791 T DE60319791 T DE 60319791T DE 60319791 T DE60319791 T DE 60319791T DE 60319791 T2 DE60319791 T2 DE 60319791T2
Authority
DE
Germany
Prior art keywords
network
access
computer system
user
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60319791T
Other languages
English (en)
Other versions
DE60319791D1 (de
Inventor
Anton W. Krantz
Timothy M. Moore
Dalen M. Abraham
Shai Guday
Pradeep Bahl
Bernhard D. Adoba
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of DE60319791D1 publication Critical patent/DE60319791D1/de
Application granted granted Critical
Publication of DE60319791T2 publication Critical patent/DE60319791T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf das Konfigurieren von Computersystemen, so dass diese in einem Netzwerk geeignet kommunizieren, und im Speziellen auf das automatische Versorgen eines Computersystems mit geeigneter Information, so dass das Computersystem ausgestattet ist, um in einem Netzwerk zu kommunizieren.
  • Computersysteme und verwandte Technologien beeinflussen viele Aspekte der Gesellschaft. Tatsächlich hat die Fähigkeit von Computersystemen, Informationen zu verarbeiten, die Lebens- und Arbeitsweise verändert. Computersysteme führen nun eine große Zahl von Aufgaben durch (z. B. Textverarbeitung, Planung und Datenbankverwaltung), die vor dem Aufkommen der Computersysteme manuell ausgeführt wurden. Computersysteme wurden kürzlich miteinander verbunden, um Computernetzwerke zu bilden, über welche die Computersysteme elektronisch kommunizieren können, um Daten auszutauschen. Als Ergebnis umfassen viele der von einem Computersystem ausgeführten Aufgaben (z. B. Zugriff auf E-Mail und Webbrowsen) elektronische Kommunikation mit ein oder mehreren anderen Computersystemen über ein Computernetzwerk (z. B. das Internet).
  • Um elektronisch über ein Computernetzwerk zu kommunizieren, kann es nötig sein, dass das Computersystem autorisiert sein muss, um auf das Computernetzwerk zuzugreifen. Bevor beispielsweise das Computersystem elektronisch über das Internet kommunizieren kann, ist oftmals eine Registrierung des Benutzers des Computersystems bei einem Internetserviceprovider (hiernach bezeichnet als ISP) nötig, der den Zugriff auf das Internet autorisieren kann. Die Registrierung bei einem ISP umfasst typischerweise eine von der elektronischen Kommunikation abweichende Form der Kommunikation über das Netzwerk. Beispielsweise kann es notwendig sein, dass ein Benutzer eine telefonische Kommunikation mit einem Vertreter eines ISP's aufnimmt, um ein Kundenkonto bei dem ISP zu errichten.
  • Während dieser telefonischen Kommunikation kann ein Benutzer bei dem Vertreter des ISP's allgemeine Informationen (z. B. Name, Adresse, und so fort) und eine Bezahlweise (z. B. eine Kreditkartennummer) angeben. Im Gegenzug stellt der ISP dem Benutzer einen Benutzernamen und Passwort zur Verfügung, die benutzt werden können, um den Benutzer zu authentifizieren und zu autorisieren um auf das Internet zuzugreifen. In vielen Fällen sendet der ISP ebenso, über Post oder einen anderen Lieferdienst, Zugangssoftware (z. B. eine Einwählsoftware, Webbrowser, und so fort) und/oder Hardware (z. B. ein DSL-Modem oder ein Kabelmodem), welche in dem Computersystem installiert werden müssen. Damit sich der Benutzer mit dem ISP verbinden und somit auf das Internet zugreifen kann, muss jede Zugangssoftware und Hardware korrekt in dem Computersystem installiert sein. Somit muss ein Benutzer, der auf das Internet zugreifen möchte, oftmals darauf warten bis solche Software und Hardware empfangen wird. Nachdem die Zugangssoftware und/oder Hardware empfangen wurde, muss der Benutzer die Zugangssoftware und/oder Hardware in dem Computersystem korrekt installieren, um den Internetzugang zu ermöglichen.
  • Wenn diese korrekt installiert sind, kann es notwendig sein, dass der Benutzer sich mit dem ISP verbindet und den Benutzernamen und Passwort eingibt, die von dem ISP zur Verfügung gestellt wurden. Der ISP kann den Benutzer basierend auf Benutzernamen und Passwort authentifizieren und entsprechend (z. B. wenn die Zahlung des Benutzers gewährleistet ist) kann der ISP das Computersystem des Benutzers autorisieren, auf das Internet zuzugreifen. Unglücklicherweise gibt es in den meisten Fällen keine Möglichkeit, die elektronische Kommunikation über das Internet zu benutzen, um einen Registrierungsprozess zu initiieren, wenn ein Benutzer aktuell nicht bei einem ISP registriert ist. Dies ist darin begründet, dass die meisten ISP's über das Internet erreichbar sind, und wenn der Benutzer keine Möglichkeit hat auf das Internet zuzugreifen, gibt es für diesen keinen Weg, den ISP für eine Registrierung zu erreichen.
  • Daher müssen viele Benutzer, die auf das Internet zugreifen wollen, den ISP telefonisch kontaktieren und auf die entsprechende Zugangssoftware und/oder Hardware warten, bis diese geliefert wird. Des Weiteren werden Benutzer, die versuchen, sich mit einem ISP ohne entsprechende Berechtigungsnachweise (z. B. Benutzername und Passwort) oder ohne Autorisierung (z. B. ohne Zahlungsmöglichkeit) zu verbinden, typischerweise vollkommen von jeglichem Netzwerkzugriff auf sowohl den ISP und das Internet blockiert. Daher, selbst wenn ein Benutzer eine ISP Zugangsnummer für das Einwählen kennt (oder eine ISP Netzwerkadresse, um damit eine Verbindung zu versuchen), kann es nötig sein, dass der Benutzer den ISP unter Benutzung von anderen Kommunikationsmethoden kontaktieren muss, um sich bei dem ISP zu registrieren (oder um Kundenkontenunstimmigkeiten zu korrigieren).
  • In manchen Fällen, beispielsweise wenn man sich mit einem ISP von zu Hause verbinden möchte, kann eine Verzögerung beim Warten auf die Zugangssoftware und Hardware akzeptabel sein. In anderen Fällen kann solch eine Verzögerung nicht akzeptabel sein. Wenn man sich beispielsweise durch einen Flughafen bewegt oder sich in einem Hotel befindet, kann sich ein Benutzer mit einem mobilen Computersystem, wie beispielsweise einem Laptop, wünschen, sich mit dem Internet zu verbinden. Teilweise als ein Ergebnis dieses Wunsches nach einem mobilen Zugang, bieten viele Hotels und Flughäfen den Internetzugang durch sowohl kabelgebundene und kabellose Dienste an. Das Erlangen einer Autorisierung, um auf das Internet über diese Dienste zuzugreifen, benötigt typischerweise eine Art von elektronischer Kommunikation mit dem Dienst, um Benutzerinformation und Bezahlinformationen einzugeben.
  • Typischerweise erfordern es diese Dienste, dass der Benutzer ein Kabel in eine Netzwerkschnittstellenkarte des mobilen Computersystems einsteckt (oder die Benutzung einer kabellosen Netzwerkschnittstellenkarte, um eine Verbindung aufzubauen) sowie das Öffnen eines Webbrowsers. Jedoch muss ein Benutzer darüber informiert sein, dass diese Schritte durchgeführt werden müssen, bevor man versucht, sich bei einem Dienst zu registrieren. Wenn ein Benutzer beispielsweise nicht weiß, dass er den Webbrowser öffnen muss, gibt es für diesen keinen Weg, um sich bei dem Dienst zu registrieren. Wenn der Webbrowser geöffnet ist, lenkt der Dienst jede Kommunikation von dem Webbrowser durch einen webbasierten Registrierungsprozess. Eine Schnittstelle, um Registrationsinformationen (z. B. Name, Raumnummer, Kreditkartennummer, und so fort) einzugeben, kann dem Benutzer gezeigt werden. Wenn die Registrierungsinformation es zulässt, kann der Benutzer autorisiert werden, um auf das Internet unter Benutzung des Dienstes zuzugreifen.
  • Unglücklicherweise sind viele Dienste proprietär und jeder Dienst kann unterschiedliche Computersystemkonfigurationen und/oder Registrierungsinformationen erfordern, um den Zugriff auf das Internet zu autorisieren. Jedoch kann es einen Benutzer nicht möglich gewesen sein, in Erfahrung zu bringen, welche Systemkonfiguration und/oder Registrierungsinformation benötigt wird, um sich bei einem Dienst zu registrieren. Selbst wenn sich ein Benutzer erfolgreich bei einem Dienst an einem Ort (z. B. Flughafen) registriert, kann es daher dem Benutzer nicht möglich sein, sich an einem anderen Ort (z. B. Hotel) aufgrund eines nicht richtig konfigurierten Computersystems oder aufgrund des Fehlens der richtigen Registrierungsinformation zu registrieren.
  • Des Weiteren autorisieren die meisten Hotel- und Flughafendienste den Internetzugang nur für eine verhältnismäßig kurze Zeitperiode (z. B. 24 Stunden) bevor das Benutzerkonto ausläuft. Nachdem das Benutzerkonto ausläuft, kann es notwendig sein, dass der Benutzer wieder einen Webbrowser öffnet (und möglicherweise sich wieder über ein Kabel verbinden muss) und die gesamte Registrierungsinformation, welche zuvor eingegeben wurde, erneut eingeben muss. Selbst wenn ein Benutzer anfänglich wusste, dass dieser einen Webbrowser öffnen muss, um sich bei einem Dienst zu registrieren, kann es daher sein dass der Benutzer nicht weiß, dass der Webbrowser jeden Tag geöffnet werden muss, um sich erneut bei dem Dienst zu registrieren. Des Öfteren muss die Registrierungsinformation, die in einer vorherigen Registrierung (z. B. an einem vorangegangenen Tag) eingegeben wurde, erneut eingegeben werden, selbst wenn sich keine der Registrierungsinformationen geändert hat. Wenn die Registrierungsinformation sehr umfänglich ist, ist das erneute Registrieren nach einer kurzen Zeitperiode sehr ärgerlich für den Benutzer, der die entsprechende Registrierungsinformation in der Vergangenheit schon eingegeben hat.
  • Zusätzlich fehlt den meisten, wenn nicht allen, dieser Dienste Mechanismen für das Ändern der Softwarekonfiguration des Computersystems. Dies bedeutet, dass ein Dienst ein Computersystem typischerweise nicht mit maschinenlesbaren Instruktionen versorgen kann, welche in dem Computersystem verarbeitet werden können, um das Computersystem zu veranlassen, dass dieses kompatibel zu dem Dienst wird. Ein Dienst kann HTML (HyperText Markup Language) Instruktionen als einen Teil der webbasierten Schnittstelle für das Empfangen der Registrierungsinformation bereitstellen. Jedoch können typischerweise HTML Instruktionen nicht von einem Computersystem verarbeitet werden, um die Konfiguration des Computersystems zu ändern. Daher müssen jegliche Softwareinkompatibilitäten von dem Benutzer bearbeitet werden, dem eventuell die technische Expertise oder das Verlangen, die Software für die Kompatibilität mit dem Dienst zu rekonfigurieren, fehlt.
  • US 2002/013831 A1 bezieht sich auf ein System, das über mobile Endgeräte mit kabellosem Zugang zu dem Internet verfügt sowie auf ein entsprechendes Verfahren. System und Verfahren sind angegeben, um es zu ermöglichen, dass ein Benutzer Informationsverwaltungsaufgaben ausführt und Zugriff auf das Internet hat. Wenn ein Endgerät authentifiziert ist, kann das Endgerät als ein Internetbrowser funktionieren, um auf das Internet zuzugreifen, mit der zusätzlichen Fähigkeit, Dienste und Informationen von einem Server anzufordern. Die Autorisation wird von einer Zugriffseinheit ausgeführt, welche nach dem Login Bildschirm auf dem Endgerät angezeigt wird. Die Angabe des Passwortes und einer Benutzerkennung ermöglicht den Zugriff auf jeden benutzten Dienst, wie beispielsweise Browsen oder ein systemspezifischer Dienst, solange wie das Endgerät eingeschaltet und mit dem Server verbunden ist. Eine individuelle Sitzung auf dem individuellen Niveau erfordert eine Authentisierung durch Benutzereingaben, um auf Informationen zuzugreifen, die nur für den Benutzer bestimmt sind. Zugriffsrechte werden nur einmal nach dem anfänglichen Login vergeben. Der Zugriff auf individuelle Niveaus ermöglicht es dem Benutzer ebenso auf einem Familienniveau zuzugreifen. Beispielsweise könnte der Benutzer ein Endgerät innerhalb der Benutzergruppe benutzen, um eine individuelle Sitzung zu initiieren. Wenn der Benutzer eine individuelle Sitzung aktiviert, werden Konfigurationsparameter, welche für den Benutzer spezifisch sind, in das Endgerät heruntergeladen.
  • Es ist die Aufgabe der vorliegenden Erfindung, den Umfang der Automatisierung für das Bereitstellen und Konfigurieren eines Computersystems, um auf ein Netzwerk zuzugreifen, zu steigern.
  • Diese Aufgabe ist durch die unabhängigen Ansprüche gelöst.
  • Bevorzugte Ausführungsformen sind in den abhängigen Ansprüchen definiert.
  • Kurzüberblick über die Erfindung
  • Die zuvor beschriebenen Probleme mit dem Stand der Technik werden durch die Prinzipien der vorliegenden Erfindung überwunden, welche auf Verfahren, Systeme, Computerprogrammprodukte und Datenstrukturen für das Steigern des Maßes an Automation für das Bereitstellen und Konfigurieren eines Computersystems, um auf ein Netzwerk zuzugreifen, gerichtet sind.
  • Ein Server beinhaltet die Funktionalität, um Klienten (Client-Computer) zu autorisieren, um auf ein zweites Netzwerk (z. B. das Internet) zuzugreifen. Der Server kann sich in einem ersten Netzwerk, welches von dem zweiten Netzwerk getrennt ist, oder auch in dem zweiten Netzwerk befinden. Ein Klient sendet Berechtigungsnachweise (Credentials) an den Server, um die Authentifikation mit dem Server anzustreben. Basierend auf den Berechtigungsnachweisen kann der Server den Klienten für zumindest teilweisen Zugriff auf das zweite Netzwerk autorisieren und/oder kann den Zugriff auf das zweite Netzwerk verweigern und den Klienten zumindest für teilweisen Zugriff auf das erste Netzwerk autorisieren. Der Server kann ein RADIUS (Remote Authentication Dial-In User Service) Server sein, der sich in dem ersten Netzwerk befindet. Klienten können mit teilweisem Zugriff auf das erste oder zweite Netzwerk, zumindest für den Zweck des Authentifizierens mit dem Server und für das Herunterladen von Provisioning-Dateien (Versorgungsdateien/Freischaltungsdateien), welche benutzt werden, um vollen Zugriff auf das zweite Netzwerk zu erlangen, versehen sein. Daher können Computersysteme, die aktuell nicht in der Lage sind, um auf Ressourcen in dem zweiten Netzwerk zuzugreifen, in der Lage sein, um elektronisch Provisioning-Dateien für das Erlangen von Zugriff auf diese Ressourcen herunterzuladen.
  • Eine Überprüfung, ob Daten von dem Klient zu dem ersten Netzwerk oder dem zweiten Netzwerk übertragen werden sollen, kann unter Benutzung von einer Zahl von Techniken, beispielsweise Virtual Local Area Networks (VLAN), Internet Protocol (IP) Filterung, Virtual Private Networks (VPNs) oder die Benutzung von IP Security (IPSec) Protokollen, implementiert sein. In machen Ausführungsformen können ähnliche Techniken ebenso innerhalb eines einzigen Netzwerks benutzt werden. In diesen Ausführungsformen kann der Server (basierend zumindest im Teil auf den empfangenen Berechtigungsnachweisen) dem Klienten für zumindest teilweisen Zugriff auf das einzige Netzwerk zu autorisieren, wie beispielsweise durch das Autorisieren von einem Klientenzugang auf ausgewählte Computersysteme oder Module in dem einzigen Netzwerk.
  • Das Senden von Berechtigungsnachweisen kann das Senden einer erweiterbaren Authentifizierungsprotokoll (EAP) Antwort/Identitätsnachricht von dem Klienten an den Server umfassen. Wenn der Klient versucht, mit einem Netzwerk über einen Zugangspunkt (Access Point) zu verbinden, kann die EAP-Antwort/Identitäts-Nachricht in andere Typen von Nachrichten, die durch den Zugriffspunkt übertragen werden, eingekapselt werden. In VLAN Umgebungen kann der Zugangspunkt einen „Tag Header" (Kennzeichner-Kopfteil) in die eingekapselte Nachricht einfügen, um einem Datenweiterleitungsgerät (Daten-Router) anzuzeigen, dass die eingekapselte Nachricht an das erste Netzwerk übertragen werden soll. Der Zugangspunkt kann ebenso eingerichtet sein, um Kommunikationen von dem Klienten zu blockieren der andere als das EAP und 802.1X Protokoll verwendet.
  • Wenn die Berechtigungsnachweise nicht dem vollen Zugriff auf das zweite Netzwerk autorisieren (z. B. können die Berechtigungsnachweise nicht authentifiziert werden, die Berechtigungsnachweise sind Gast-Berechtigungsnachweise, oder ein authentifizierter Benutzer ist nicht entsprechend autorisiert), kann der Server durch das Senden einer Benachrichtigung antworten, wie beispielsweise eine EAP-Benachrichtigung oder eines TLV (Typ-Längen-Wert) Objektes innerhalb eines PEAP (geschütztes EAP) an den Klienten. Die Benachrichtigung kann verschlüsselt sein und die Integrität kann gemäß PEAP überprüft werden. Die Benachrichtigung kann einen URI (Uniform Resource Identifier) auf ein Hauptdokument (Master Document) enthalten, welches Informationen für das Bereitstellen des Klienten enthält. Die Benachrichtigung kann ebenso Bedingungen (z. B. Anmeldung, Erneuerung, und so fort) enthalten, welchen ein Benutzer genügen muss, um für den unbeschränkten Zugriff auf Ressourcen in dem zweiten Netzwerk autorisiert zu werden.
  • Die Benachrichtigung kann dem Zugangspunkt anzeigen, dass Kommunikationen, die das HTTP Protokoll benutzen, zugelassen (freigegeben) werden sollen, so dass der Klient das Hauptdokument durch Zugriff auf den beinhalteten URI (z. B. durch das Ausführen eines HTTP oder HTTPS get) herunterladen kann. In Erwiderung der Benachrichtigung kann der Klient das Hauptdokument automatisch herunterladen. Das Hauptdokument kann URIs auf Unterdateien beinhalten, welche eine Konfigurations-Unterdatei und eine Anmeldeunterdatei beinhalten, welche ebenso automatisch heruntergeladen werden können. Wenn ein ISP Dienste von einem anderen ISP benutzt, kann ein Hauptdokument ebenso URIs auf andere Hauptdokumente beinhalten. Daher gibt es kaum die Notwendigkeit, um einen Serviceprovider unter Benutzung von anderen Kommunikationsverfahren zu kontaktieren, um Dateien für das Erlangen von Zugriff auf ein Netzwerk anzufordern. Das Hauptdokument und verknüpfte Unterdateien können gemäß einem erweiterbaren Auszeichnungssprachen (XML) Schema definiert sein. Bbeispielsweise kann eine Konfigurationsunterdatei gemäß einem XML Konfigurationsschema definiert sein.
  • In manchen Ausführungsformen kann auf das Hauptdokument und die Unterdateien über andere Mechanismen als den URI in einer Benachrichtigung zugegriffen werden, wie beispielsweise durch das Zugreifen auf ein Hauptdokument und/oder Unterdateien von entfernbaren computerlesbaren Medien (Floppy Disk, Flash-Karte und so fort). Dies ist vorteilhaft in Umgebungen, welche das Bereitstellen von Informationen erfordern, bevor die Netzwerkverbindbarkeit konfiguriert werden kann, wie beispielsweise ein entferntes Einwählen. Nachdem die Verbindung errichtet ist, werden das Hauptdokument und die Unterdateien nach und nach von dem Netzwerk aktualisiert.
  • Eine heruntergeladene Anmeldeunterdatei kann in dem Klienten verarbeitet werden, um automatisch eine Benutzerschnittstelle anzuzeigen, welche benutzereingegebene Informationen empfangen kann. Daher muss der Benutzer keine Vorkenntnisse haben, wie das Anzeigen der Benutzerschnittstelle ausgelöst wird. Eine Benutzerschnittstelle kann in einer Vielzahl von unterschiedlichen geschriebenen Sprachen, wie z. B. Englisch, Japanisch, Französisch oder Deutsch, präsentiert werden. Nachdem diese angezeigt wird, können benutzereingegebene Informationen von der Benutzerschnittstelle empfangen werden. Wenn eine Benutzerschnittstelle zum Zweck des Erneuerns einer Registrierung angezeigt wird, kann die Menge der benutzereingegebenen Information, welche von der Benutzerschnittstelle empfangen wird, reduziert sein. Beispielsweise kann zuvor eingegebene Benutzerinformation von einer Benutzerdatenbank abgerufen werden. Es kann sein, dass eine angezeigte Benutzerschnittstelle lediglich „JA" und „NEIN" Steuerungsobjekte für das Autorisieren von weiteren Kreditkartenzahlungen umfasst.
  • Ein erstes schemabasiertes Dokument, welches die benutzereingegebene Information enthält, wird an den Server, z. B. durch das Ausführen eines HTTP oder HTTPS post, übertragen. Dies kann das Senden eines XML Dokuments, welches gemäß eines XML Anmeldeschemas definiert ist, umfassen. Nach dem Senden des ersten schemabasierten Dokuments kann der Klient einen Hinweis empfangen, dass der Server den Klienten autorisiert hat, um auf Ressourcen, die sich in dem zweiten Netzwerk befinden, zuzugreifen. Dies kann das Empfangen eines zweiten schemabasierten Dokuments umfassen, welches einen Benutzeridentifikator und Passwort oder eine Indikation, dass eine Kreditkartenzahlung genehmigt wurde, umfasst. In VLAN Ausführungsformen, wenn ein Klient autorisiert ist, um auf Ressourcen in dem zweiten Netzwerk zuzugreifen, kann der Zugangspunkt „Tag Header" in Klientendaten einfügen, um dem Datenweiterleitungsgerät anzuzeigen, dass die Klientendaten zu dem zweiten Netzwerk übertragen werden sollen. Der Zugangspunkt kann ebenso eine Kommunikation unter Benutzung von aktuell blockierten Protokollen, wie beispielsweise SMTP (Simple Mail Transfer Protocol) oder DHCP (Dynamic Host Control Protocol), ermöglichen.
  • Ein drittes schemabasiertes Dokument wird ausgeführt, um den Klienten für den kompatiblen Betrieb mit dem zweiten Netzwerk zu konfigurieren. Dies kann das Ausführen einer Konfigurationsunterdatei umfassen, welche von dem Server empfangen wurde. Eine Konfigurationsunterdatei kann ausgeführt werden, um den Verbindungstyp, Kommunikationsprotokoll, Authentifizierungstyp, Verschlüsselungstyp, und so fort zu konfigurieren. Eine Konfigurationsunterdatei kann zu praktisch jeder Zeit nach dem Herunterladen ausgeführt werden. Es gibt kein Erfordernis, dass die Konfigurationsunterdatei vor oder nach dem Empfangen der benutzereingegebenen Information ausgeführt werden soll. Durch das Ausführen eines schemabasierten Dokuments kann der Klient mit geringem oder ohne Benutzereingriff re konfiguriert werden. Dies entlastet den Benutzer davon, den Klienten für den kompatiblen Betrieb mit dem zweiten Netzwerk manuell zu rekonfigurieren.
  • Zusätzliche Merkmale und Vorteile der Erfindung werden in der folgenden Beschreibung ausgeführt und werden teilweise aus der Beschreibung klar oder können durch das Ausführen der Erfindung verstanden werden. Die Merkmale und Vorteile der Erfindung können mittels der Instrumente und der Kombinationen, die in den angefügten Ansprüchen beschrieben sind, realisiert und erhalten werden. Diese und andere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und beigefügten Ansprüchen deutlicher oder können in der Praxis der Erfindung, wie im Folgenden beschrieben, erlernt werden.
  • Kurzbeschreibung der Zeichnungen
  • Um zu beschreiben, wie die zuvor erwähnten und weitere Vorteile und Merkmale erhalten werden können, wird eine detaillierte Beschreibung der Erfindung, die kurz zuvor beschrieben wurde, in Bezug auf bestimmte Ausführungsformen gegeben, welche in den beigefügten Zeichnungen illustriert sind. Da diese Zeichnungen lediglich typische Ausführungsformen der Erfindung darstellen und deshalb nicht als Beschränkung betrachtet werden können, wird die Erfindung mit zusätzlicher Genauigkeit und Details beschrieben und erklärt durch die Benutzung der begleitenden Zeichnungen, in welchen:
  • 1 eine geeignete Betriebsumgebung für die Prinzipien der vorliegenden Erfindung zeigt.
  • 2 ein Beispiel einer Netzwerkarchitektur zeigt, die es ermöglicht das Ausmaß der Automation beim Bereitstellen eines Klienten zu steigern.
  • 3 ein Flussdiagramm ist, welches ein Beispiel eines Verfahrens für das Bereitstellen eines Computersystems zeigt.
  • 4 ein allgemeines Beispiel einer Netzwerkarchitektur zeigt, die Zugriff auf ein erstes Netzwerk geben kann, während der Zugriff auf ein zweites Netzwerk beschränkt wird.
  • Detaillierte Beschreibung der bevorzugten Ausführungsformen
  • Die Prinzipien der vorliegenden Erfindung gewährleisten die Steigerung des Maßes an Automation für das Bereitstellen (Freischalten) und Konfigurieren eines Computersystems, um auf ein Netzwerk zuzugreifen. Ein Klient versucht autorisiert zu werden, um auf Ressourcen, die sich in einem zweiten Netzwerk (z. B. dem Internet) befinden, zuzugreifen. Der Klient sendet Berechtigungsnachweise an einen Zugangspunkt, der kommunikativ mit einem Server (der sich in einem ersten Netzwerk oder in dem zweiten Netzwerk befindet), der den Zugriff auf das zweite Netzwerk autorisieren kann, verbunden ist. Der Server empfängt die Berechtigungsnachweise des Klienten und ermittelt, ob die Berechtigungsnachweise des Klienten den Zugriff auf das zweite Netzwerk autorisieren.
  • Wenn der volle Zugriff auf die in dem zweiten Netzwerk befindlichen Ressourcen nicht autorisiert ist, kann der Server den beschränkten Zugriff auf das erste Netzwerk oder zweite Netzwerk autorisieren, so dass der Klient Provisioning Dateien (Freischalte- oder Versorgungs-Dateien) herunterladen kann, um Vollzugriff auf die Ressourcen des zweiten Netzwerks zu erlangen. In manchen Ausführungsformen (z. B. wenn sich der Server in dem ersten Netzwerk befindet), kann der Server (zumindest beschränkten) Zugriff auf das erste Netzwerk autorisieren, während der Zugriff auf das zweite Netzwerk beschränkt bleibt. In manchen Ausführungsformen (z. B. wenn sich der Server in dem zweiten Netzwerk befindet) kann der Server beschränkten Zugang auf das zweite Netzwerk autorisieren. Das Beschränken und/oder die Begrenzung des Zugriffs auf ein Netzwerk kann unter Benutzung einer Vielzahl von Techniken implementiert sein, so wie beispielsweise VLANs (Virtual Local Area Networks), IP (Internet Protocol) Filterung, VPNs (Virtual Private Networks) oder IPSec (IP Security) Protokollen.
  • Der Server versorgt den Klient mit einem Uniform Resource Identifier (URI) zu einem Hauptdokument, welches Informationen für das Versorgen des Klienten beinhaltet. Das Hauptdokument kann weitere URIs zu Unterdateien oder anderen Hauptdokumenten beinhalten, welche eine Konfigurationsunterdatei und eine Anmeldeunterdatei umfassen. Nach dem Empfangen der URIs, kann der Klient automatisch entsprechende Provisioning Dateien herunterladen. Das Hauptdokument und verknüpfte Unterdateien können gemäß eines XML (erweiterbaren Auszeichnungssprachen) Schemas definiert sein.
  • Eine heruntergeladene Anmeldeunterdatei kann von dem Klienten verarbeitet werden, um automatisch eine Benutzerschnittstelle anzuzeigen, die benutzereingegebene Informationen empfangen kann. Der Klient kann ein erstes schemabasiertes Dokument, welches die benutzereingegebene Information beinhaltet, an den Server senden. Dies kann das Senden eines XML Dokuments umfassen, welches gemäß eines XML Schemas definiert ist. Nach dem Senden des ersten schemabasierten Dokuments, kann der Klient ein zweites schemabasiertes Dokument empfangen, welches anzeigt (beispielsweise durch das Beinhalten eines Benutzeridentifikators und Passworts) das der Klient autorisiert wurde, um auf Ressourcen in dem zweiten Netzwerk zuzugreifen.
  • Ein drittes schemabasiertes Dokument wird von dem Klient ausgeführt, um den Klient für den kompatiblen Betrieb mit dem zweiten Netzwerk zu konfigurieren. Dies kann das Ausführen einer Konfigurationsunterdatei umfassen, die von dem Server empfangen wurde. Eine Konfigurationsunterdatei kann ausgeführt werden, um Verbindungstyp, Kommunikationsprotokolle, Authentifizierungstyp, Verschlüsselungstyp und so fort zu konfigurieren. Eine Konfigurationsunterdatei kann praktisch zu jeder Zeit nach dem Herunterladen ausgeführt werden. Es ist nicht notwendig, dass eine Konfigurationsunterdatei vor oder nach dem Empfangen von benutzereingegebenen Informationen ausgeführt wird.
  • Ausführungsformen innerhalb des Bereichs der vorliegenden Erfindung umfassen computerlesbare Medien, die computerausführbare Instruktionen oder Datenstrukturen aufweisen oder tragen. Solche computerlesbaren Medien können jede verfügbaren Medien umfassen, auf die von einem Mehrzweck- oder Spezialcomputer zugegriffen werden kann. Als ein Beispiel, aber nicht als Beschränkung, umfassen solche computerlesbaren Medien physikalische computerlesbare Medien, wie RAM, ROM, EEPROM, CD-ROM oder weitere optische Scheibenspeicher, magnetische Scheibenspeicher oder andere magnetische Speichervorrichtungen, oder jedes andere Medium, welches benutzt werden kann, um gewünschte Programmcodemittel in der Form von computerausführbaren Instruktionen oder Datenstrukturen zu tragen oder zu speichern und auf welche von einem Mehrzweck- oder Spezialcomputer zugegriffen werden kann.
  • Wenn Informationen über ein Netzwerk oder eine andere Kommunikationsverbindung an ein Computersystem übertragen oder bereitgestellt werden (entweder verkabelt, kabellos oder eine Kombination von verkabelt oder kabellos), zeigt das Computersystem diese Verbindung als ein computerlesbares Medium an. Daher wird solch eine Verbindung korrekt als computerlesbares Medium bezeichnet. Kombinationen des vorhergehenden sollen ebenso unter den Begriff der computerlesbaren Medien fallen. Computerausführbare Instruktionen umfassen beispielsweise Instruktionen und Daten, welche ein Mehrzweck-Computersystem, Spezialcomputersystem oder ein Spezialverarbeitungsgerät veranlassen, bestimmte Funktionen oder eine Gruppe von Funktionen auszuführen. Die computerausführbaren Instruktio nen könnten beispielsweise binäre Instruktionen, Zwischenformatfunktionen, wie beispielsweise Assembler Sprache oder sogar Quellcode sein.
  • In dieser Beschreibung und in den folgenden Ansprüchen ist eine „logische Kommunikationsverbindung" definiert als jeder Kommunikationspfad, der es ermöglicht, elektronische Daten zwischen zwei Einheiten, wie beispielsweise Computersystemen oder Modulen zu transportieren. Die tatsächliche physikalische Repräsentation eines Kommunikationspfads zwischen zwei Einheiten ist nicht relevant und kann sich mit der Zeit ändern. Eine logische Kommunikationsverbindung kann Teile eines Systembus, ein Lokalnetzwerk (LAN, z. B. ein Ethernet Netzwerk), ein WAN, das Internet, Kombinationen von diesen oder Teilen von jedem anderen Pfad, der den Transport von elektronischen Daten ermöglicht, umfassen. Logische Kommunikationsverbindungen können fest verdrahtete Verbindungen, kabellose Verbindungen oder auch Kombinationen von fest verdrahteten Verbindungen und kabellosen Verbindung umfassen. Logische Kommunikationsverbindungen können ebenso Software-Module oder Hardware-Module umfassen, welche Teile von elektronischen Daten derart konditionieren oder formatieren, so dass diese für Komponenten, welche die Prinzipien der vorliegenden Erfindung implementieren, zugreifbar sind. Solche Module umfassen beispielsweise Proxy-Einrichtungen, Router, Firewalls, Switche oder Gateways. Logische Kommunikationsverbindungen können ebenso Teile eines virtuellen Netzwerks, wie beispielsweise ein VPN (Virtual Private Network) oder ein VLAN (Virtual Local Area Network), umfassen.
  • In dieser Beschreibung und in den folgenden Ansprüchen ist ein „Schema" definiert als ein Ausdruck eines gemeinsam genutzten Vokabulars zwischen einer Vielzahl von Computersystemen, welches es der Vielzahl von Computersystemen ermöglicht, Dokumente gemäß des ausgedrückten gemeinsamen Vokabulars zu verarbeiten. Beispielsweise kann ein XML(erweiterbares Auszeichnungssprachen)-Schema eine Klasse von XML Dokumenten unter Benutzung von Schemakonstrukten einer XML Schemasprache definieren und beschreiben. Diese Schemakonstrukte können benutzt werden, um die Bedeutung, den Gebrauch und das Verhältnis von Datentypen, Elementen und deren Inhalt, Attributen und deren Werte, Entitäten und deren Inhalt und Notationen, wie diese in XML Dokumenten benutzt werden, zu beschränken und zu dokumentieren. Daher kann jedes Computersystem, das auf ein XML Schema zugreifen kann, XML Dokumente gemäß des XML Schemas verarbeiten. Des Weiteren kann jedes Computersystem, das auf ein XML Schema zugreifen kann, XML Do kumente für die Benutzung durch andere Computersysteme, die ebenso auf das XML Schema zugreifen können, erstellen oder modifizieren.
  • Ein Schema ist definiert, so dass dieses eine DTD (Dokumenten Typ Definition) umfasst, die beispielsweise DTD Dateien, die mit einer „.dtd" Erweiterung enden. Ein Schema umfasst definitionsgemäß ebenso W3C (World Wide Web Consortium) XML Schemata wie beispielsweise XML Schemadateien, die mit einer „.xsd" Dateierweiterung enden. Jedoch ist die tatsächliche Dateierweiterung für ein bestimmtes DTD oder XML Schema nicht relevant. Ein Schema kann benutzt werden, um nahezu jeden Datentyp, umfassend Logische, Binäre, Oktale, Dezimale, Hexadezimale, Integer, Fließkomma, Zeichen, Zeichenketten, benutzerdefinierte Datentypen und Kombinationen von diesen Datentypen, zu definieren, die benutzt werden, um Datenstrukturen zu definieren. XML Elemente und Attribute können definiert sein, um Datentypen, die durch ein Schema definiert sind, zu repräsentieren. In dieser Definition und den folgenden Ansprüchen, bezieht sich „schemabasiert" auf eine Definition durch und/oder innerhalb eines Schemas.
  • 1 und die folgende Diskussion geben eine kurze, allgemeine Beschreibung einer geeigneten Computerumgebung, in welcher die Erfindung implementiert sein kann. Obwohl dies nicht erforderlich ist, wird die Erfindung in dem allgemeinen Kontext von computerausführbaren Instruktionen, wie Programmmodulen, die von Computern in einer Netzwerkumgebung ausgeführt werden, beschrieben. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen und so weiter, welche bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren. Computerausführbare Instruktionen, verknüpfte Datenstrukturen, und Programmmodule stellen Beispiele des Programmcodemittel für das Ausführen der Schritte des hier offenbarten Verfahrens dar. Die bestimmte Reihenfolge von solchen ausführbaren Instruktionen repräsentiert ein Beispiel von entsprechenden Vorgängen für das Implementieren der Funktion, die in solchen Schritten beschrieben ist.
  • In Bezug auf 1 umfasst ein beispielhaftes System für das Implementieren der Erfindung ein Mehrzweckcomputergerät in der Form eines herkömmlichen Computers 120, welches eine Verarbeitungseinheit 121, einen Systemspeicher 122 umfasst, sowie einen Systembus 123, welcher zahlreiche Systemkomponenten umfassend den Systemspeicher 122 und die Verarbeitungseinheit 121 miteinander koppelt. Der Systembus 123 kann einer von vielen Typen von Busstrukturen sein, welche einen Speicherbus oder einen Speichercontroller, einen Peripheriebus und einen Local Bus, der eine Vielzahl von Busarchitekturen benutzt, umfassen. Der Systemspeicher umfasst einen Festwertspeicher (ROM) 124 und einen wahlfreien Zugriffsspeicher (RAM) 125. Ein BIOS (Basic Input/Output System) 126, welches die Grundroutinen umfasst, welche es ermöglichen, Informationen zwischen Elementen innerhalb des Computers 120, wie beispielsweise während des Startvorgangs, zu übertragen, kann in dem ROM 124 gespeichert sein.
  • Der Computer 120 kann ebenso ein Magnetfestplattenlaufwerk 127 für das Lesen und Schreiben von oder auf eine magnetische Festplatte 139, ein magnetisches Plattenlaufwerk 128 für das Lesen/Schreiben von/auf eine entfernbare magnetische Platte 129, und ein optisches Plattenlaufwerk für das Lesen/Schreiben von/auf eine entfernbare optische Platte 131, wie beispielsweise ein CD-ROM oder andere optische Medien umfassen. Das magnetische Festplattenlaufwerk 127, magnetische Plattenlaufwerk 128, und optische Plattenlaufwerk 130 sind mit dem Systembus 123 jeweils durch eine Festplattenlaufwerkschnittstelle 132, eine magnetische Plattenlaufwerkschnittstelle 133 und eine optische Laufwerkschnittstelle 134 verbunden. Die Laufwerke und deren zugehörige computerlesbare Medien ermöglichen die nicht flüchtige Speicherung von computerausführbaren Instruktionen, Datenstrukturen, Programmmodulen und anderen Daten von dem Computer 120. Obwohl die beschriebene beispielhafte Umgebung eine magnetische Festplatte 139, eine entfernbare magnetische Platte 129 und eine entfernbare optische Platte 131 beschreibt, können auch andere Typen von computerlesbaren Medien zum Speichern von Daten benutzt werden, wie magnetische Kassetten, Flashspeicherkarten, digitale Videodisketten, Bernoulli-Kassetten, RAM, ROM, oder ähnliches.
  • Programmcodemittel umfassen ein oder mehrere Programmmodule, die auf der Festplatte 139, Magnetplatte 129, optischen Platte 131, ROM 124 oder RAM 125 gespeichert sein können, welche ein Betriebssystem 135, ein oder mehrere Anwendungsprogramme 136, weitere Programmmodule 137 und Programmdaten 138 umfassen. Ein Benutzer kann Anweisungen und Informationen in den Computer 120 über eine Tastatur 140, Zeigevorrichtung 142 oder andere Eingabegeräten (nicht gezeigt), wie beispielsweise ein Mikrophon, Joystick, Gamepad, Satellitenschüssel, Scanner oder ähnliches eingeben. Diese und andere Eingabegeräte sind oftmals mit der Verarbeitungseinheit 121 über eine serielle Schnittstelle 146 mit dem Systembus 123 verbunden. Alternativ können diese Eingabegeräte mittels anderer Schnittstellen, wie einer Parallelen Schnittstelle, einer Spiel-Schnittstelle oder einem USB (Universal Serial Bus) verbunden sein. Ein Bildschirm 147 oder ein anderes Anzeigegerät ist ebenso mit dem Systembus 123 über eine Schnittstelle, wie z. B. einen Videoadapter 148, verbunden. Zusätzlich zu dem Bildschirm umfassen Personal Computer typischerweise weitere Peripherieausgabegeräte (nicht gezeigt), wie beispielsweise Lautsprecher und Drucker.
  • Der Computer 120 kann in einer Netzwerkumgebung unter Benutzung von logischen Kommunikationsverbindungen zu ein oder mehreren entfernten Computern, wie beispielsweise die entfernten Computer 149a und 149b, operieren. Die entfernten Computer 149a und 149b können jeweils ein anderer Personalcomputer, ein Klient, ein Server, ein Weiterleitungsrechner (Router), ein Switch, ein Netzwerk-PC, ein gleichrangiges Gerät (Peer Device) oder ein anderer allgemeiner Netzwerkknoten sein, und kann viele oder alle der zuvor in Bezug auf den Computer 120 beschriebenen Elemente enthalten, obwohl nur die Speichervorrichtungen 150a und 150b und deren verknüpfte Anwendungsprogramme 136a und 136b in 1 gezeigt sind. Die logischen Kommunikationsverbindungen, die in 1 gezeigt sind, umfassen ein lokales Netzwerk (LAN) 151 und ein Weitverkehrsnetz (WAN) 152, die hier als Beispiele und nicht als Beschränkung gezeigt sind. Solche Netzwerkumgebungen sind alltäglich für Büro- oder Unternehmenscomputernetzwerke, Intranets oder das Internet.
  • Wenn der Computer 120 in einer LAN Netzwerkumgebung (z. B. ein Ethernet Netzwerk) verwendet wird, ist dieser mit einem LAN 151 durch eine Netzwerkschnittstelle oder Adapter 153 verbunden, welche kabelgebunden oder kabellos sein kann. Wenn dieser in einer WAN Netzwerkumgebung verwendet wird, kann der Computer 120 eine Kabelverbindung, wie beispielsweise ein Modem 154, eine kabellose Verbindung oder andere Mittel für das Aufbauen einer Verbindung über das WAN 152 umfassen. Das Modem 154, welches intern oder extern sein kann, ist mit dem Systembus 123 über die serielle Schnittstelle 146 verbunden. In einer Netzwerkumgebung können Programmmodule, die relativ zu dem Computer 120 oder Teilen von diesem dargestellt sind, in einer entfernten Speichervorrichtung gespeichert sein. Es versteht sich, dass die gezeigten Netzwerkverbindungen lediglich beispielhaft sind und auch andere Mittel für das Aufbauen von Kommunikation über ein WAN 152 benutzt werden können.
  • Während 1 ein Beispiel für ein Computersystem, das die Prinzipien der vorliegenden Erfindung implementieren kann, zeigt, kann jedes Computersystem diese Merkmale der vorliegenden Erfindung implementieren. In der Beschreibung und in den Ansprüchen ist ein „Computersystem” im breitesten Sinne als jede Hardwarekomponente oder Komponenten, die geeignet sind für die Benutzung von Software, um eine oder mehrere Funktionen auszuführen, definiert. Beispiele für solche Computersysteme umfassen Desktopcomputer, Laptopcomputer, PDAs (Personal Digital Assistants), Telefone (Festnetz und Mobiltelefone), kabellose Zugangspunkte, Gateways, Firewalls, Proxy-Computer, Router, Switcher, Handheldgeräte, Multiprozessorsysteme, mikroprozessorbasierte oder programmierbare Verbraucherelektronik, Netzwerk PCs, Minicomputer, Mainframe Computer, oder jedes andere System oder Gerät, das die Fähigkeit zur Verarbeitung hat.
  • Es ist dem Fachmann klar, dass die Erfindung in Netzwerkcomputerumgebungen unter Benutzung von praktisch jeder Computersystemkonfiguration ausgeführt werden kann. Die Erfindung kann ebenso in verteilten Systemumgebungen ausgeführt werden, in welcher lokale und entfernte Computersysteme, welche miteinander durch ein Netzwerk (entweder durch fest verkabelte Verbindungen, kabellose Verbindungen oder durch eine Kombination von verkabelten und kabellosen Verbindungen) verbunden sind, die Aufgaben jeweilig ausführen. In einer verteilten Systemumgebung können sich Programmmodule sowohl in lokalen und entfernten Speichergeräten befinden.
  • Gemäß der vorliegenden Erfindung können Benutzerschnittstelle, Versorgung (Freischaltung), Kundenkontenbetreuung, sowie Authentifizierungsmodule und auch zugehörige Daten, welche Versorgungsdaten und Benutzerdaten umfassen, in jedem der mit dem Computer 120 verknüpften computerlesbaren Medien gespeichert sein und durch diese zugreifbar sein. Beispielsweise können Teile von solchen Modulen und Teile der verknüpften Programmdaten in Betriebssystem 135, Anwendungsprogrammen 136, Programmmodulen 137 und/oder Programmdaten 138 für die Speicherung in dem Systemspeicher 122 beinhaltet sein. Wenn eine Massenspeichervorrichtung, wie beispielsweise Magnetfestplatte 139, mit dem Computer 120 verbunden ist, können solche Module und verknüpfte Programmdaten ebenso in der Massenspeichervorrichtung gespeichert sein. In einer Netzwerkumgebung können Programmmodule, die relativ zu dem Computer 120 gezeigt sind, oder Teile von diesen, in entfernten Speichervorrichtungen, wie z. B. Systemspeicher und/oder Massenspeichervorrichtungen, die mit dem entfernten Computersystem 149a und/oder 149b verknüpft sind, gespeichert sein. Die Ausführung von solchen Modulen kann in einer verteilten Umgebung wie zuvor beschrieben durchgeführt werden.
  • 4 stellt im Allgemeinen ein Beispiel für eine Netzwerkarchitektur 400 dar, die den Zugriff auf ein erstes Netzwerk ermöglichen kann, während der Zugriff auf ein zweites Netzwerk beschränkt wird. Die Netzwerkarchitektur 400 umfasst den Klient 405 und den Server 415. Obwohl dies nicht erforderlich ist, können der Klient 405 und der Server 415 wie der zuvor beschriebene Computer 120 strukturiert sein. Die Begriffe „Klient" und „Server" werden benutzt, um anzudeuten, dass der Klient 405 von dem Server 415 einen Dienst empfängt, wie beispielsweise den Zugriff zum Netzwerk 413. Während der Klient 405 und der Server 415 in diesem Kontext jeweils Klient und Server sind, kann der Klient 405 auch als Server in einem anderen Kontext funktionieren und der Server 415 kann in einem anderen Kontext auch als Klient funktionieren.
  • Wie in der Netzwerkarchitektur 400 gezeigt, ist ein Datenweiterleitungsgerät 414 mit dem Netzwerk 411, Netzwerk 412 und Netzwerk 413 durch entsprechende logische Kommunikationsverbindungen 433, 434 und 435 verbunden. Das Datenweiterleitungsgerät 414 repräsentiert logisch ein Computersystem, das feststellen kann, ob Daten, die vom Netzwerk 411 empfangen wurden, gesendet werden sollen, wie zum Beispiel Daten, die vom Klient 405 empfangen wurden. Das bedeutet, wenn das Datenweiterleitungsgerät 414 Daten vom Netzwerk 411 empfängt, kann das Datenweiterleitungsgerät 414 ermitteln, ob die Daten an das Netzwerk 412 oder das Netzwerk 413 gesendet werden sollen. Beispielsweise kann das Datenweiterleitungsgerät 414 eingerichtet sein, um den Zugriff auf ein Netzwerk (z. B. Netzwerk 412) zu erlauben, während zur gleichen Zeit der Zugriff auf ein anderes Netzwerk (z. B. Netzwerk 413) beschränkt wird. Das Datenweiterleitungsgerät 414 kann diesen Entschluss unter Benutzung von einer Vielzahl von unterschiedlichen Techniken treffen.
  • In manchen Ausführungsformen kann der Zugriff auf Ressourcen in dem Netzwerk 413 beschränkt sein durch Benutzung von Virtual Local Area Networks (VLANs). In diesen Ausführungsformen können die Netzwerke 411, 412 und 413 jeweils ein Teil eines unterschiedlichen VLAN sein. VLAN Geräte in der Netzwerkarchitektur 400 können Datenrahmen kennzeichnen, um dem Datenweiterleitungsgerät 414 anzuzeigen, wohin die Datenrahmen weitergeleitet werden sollen. Wenn beispielsweise der Klient 405 nicht autorisiert ist, auf Ressourcen im Netzwerk 413 zuzugreifen, können Komponenten im Netzwerk 411 oder logische Kommunikationsverbindungen 433 die Datenrahmen vom Klient 405 kennzeichnen, so dass angezeigt wird, dass diese Datenrahmen zum Server 415 (oder zu anderen Ressourcen im Netzwerk 412) geleitet werden sollen. Wenn der Klient 405 autorisiert ist, um auf das Netzwerk 413 zuzugreifen, können die Komponenten im Netzwerk 411 oder logische Kommunikationsverbindungen 433 die Datenrahmen vom Klient 405 kennzeichnen, so dass angezeigt wird, dass die Datenrahmen zu den Ressourcen im Netzwerk 413 (z. B. das Internet) oder zu Ressourcen im Netzwerk 412 (z. B. Server 412) entsprechend weitergeleitet werden.
  • In anderen Ausführungsformen kann der Zugriff auf Ressourcen, die sich im Netzwerk 413 befinden, durch die Benutzung von IP (Internet Protocol) Filterung beschränkt sein. Das Datenweiterleitungsgerät 414, Komponenten im Netzwerk 411, oder Komponenten in der logischen Kommunikationsverbindung 433 können Internet Protocol (IP) Adressen filtern, um den Zugriff des Klienten 405 auf Ressourcen mit bestimmten IP Adressen zu beschränken. Wenn der Klient 405 nicht autorisiert ist, auf Ressourcen in dem Netzwerk 413 zuzugreifen, können IP Adressen derart gefiltert werden, so dass der Klient 405 für IP Adressen von Ressourcen, die sich im Netzwerk 412 befinden, sichtbar ist, aber für IP Adressen von Ressourcen, die sich im Netzwerk 413 befinden, nicht sichtbar ist. Wenn der Klient 405 autorisiert ist, auf das Netzwerk 413 zuzugreifen, können IP Adressen gefiltert werden, so dass der Klient für IP Adressen von Ressourcen sowohl in dem Netzwerk 412 als auch Netzwerk 413 sichtbar ist. Alternativ, wenn der Klient autorisiert ist, um auf Ressourcen im Netzwerk 413 zuzugreifen, kann die IP Filterung eingestellt werden.
  • In weiteren Ausführungsformen kann der Zugriff auf Ressourcen im Netzwerk 413 durch die Benutzung eines VPN (Virtual Private Network) beschränkt werden. Wenn der Klient 405 nicht autorisiert ist, um auf Ressourcen, die sich im Netzwerk 413 befinden, zuzugreifen, kann ein VPN konfiguriert werden, so dass der Klient 405 für Ressourcen im Netzwerk 412 sichtbar ist, aber nicht für Ressourcen im Netzwerk 413 sichtbar ist. Wenn der Klient 405 autorisiert ist, um auf Ressourcen im Netzwerk 413 zuzugreifen, kann ein VPN konfiguriert sein, so dass der Klient 405 für Ressourcen in den Netzwerken 412 und 413 sichtbar ist. Alternativ, wenn der Klient 405 autorisiert ist, um auf Ressourcen im Netzwerk 413 zuzugreifen, kann die Benutzung eines VPN eingestellt werden.
  • Es versteht sich, dass VLAN, IP Filterung und VPN Techniken lediglich Beispiele für Techniken sind, die benutzt werden können, um zwischen Netzwerken zu differenzieren, so dass Zugriff auf ein Netzwerk ermöglicht wird, während der Zugriff auf ein anderes Netzwerk beschränkt wird. Es versteht sich, dass der Zugriff auf ein einzelnes Netzwerk durch die Benutzung von VLAN, IP Filterung oder VPN beschränkt werden kann. Beispielsweise kann ein Server, der sich im Netzwerk 413 befindet, einen Klienten 405 mit beschränktem Zugang zu Ressourcen im Netzwerk 413 versehen. Der Fachmann weiß, nachdem er diese Beschreibung gelesen hat, dass auch andere Techniken zusätzlich zu VLAN, IP Filterung und VPN Techniken benutzt werden können, um den Zugriff auf ein Netzwerk zu ermöglichen, während der Zugriff auf ein anderes Netzwerk beschränkt wird.
  • Es versteht sich des Weiteren, dass die Techniken, die benutzt werden, um den Zugriff auf ein Netzwerk zu begrenzen, ebenso benutzt werden können, um eingeschränkten Zugriff auf ein Netzwerk zu ermöglichen. In manchen Ausführungsformen kann ein Server in einem Netzwerk einen Klienten mit eingeschränktem Zugriff auf das Netzwerk versehen. Beispielsweise kann ein Server im Netzwerk 413 die IP Filterung anwenden, um den Klienten 405 mit beschränktem Zugriff auf das Netzwerk 413 zu versehen. Dieser eingeschränkte Zugriff kann den Zugriff auf Computersysteme oder Module umfassen, die die Provisioning Dateien speichern, die benötigt werden, um vollen Zugriff auf das Netzwerk 413 zu erlangen. Der Klient 405 kann autorisiert sein, um die Provisioning Dateien von diesen Computersystemen oder Modulen herunterzuladen, während Zugriff auf andere Ressourcen im Netzwerk 413 verwehrt ist.
  • Eine beispielhafte Ausführungsform der vorliegenden Erfindung, die VLAN Techniken benutzt, wird nun beschrieben. 2 zeigt ein Beispiel einer Netzwerkarchitektur 200, die den Grad der Automatisierung steigern kann, wenn ein Klient versorgt/freigeschaltet wird. Die Netzwerkarchitektur 200 umfasst einen Klienten 205 und einen Server 215, welche jeweils wie der zuvor beschriebene Computer 120 strukturiert sein können.
  • In manchen Ausführungsformen repräsentiert der Server 215 logisch einen RADIUS (Remote Authentication Dial In User Service) Server. Das bedeutet, obwohl dieser als ein einzelnes System gezeigt ist, kann der Server 215 einen separaten NAS (Network Access Server), einen separaten Authentifizierungsserver, und einen separaten gemeinsamen Verrechnungsserver umfassen. Diese Server sind logisch durch den Server 215 repräsentiert und können eingerichtet sein, um unter Benutzung des RADIUS Protokoll zu kommunizieren und können im Speziellen die RADIUS Attribut EAP Nachricht und einen Nachrichten-Authentifizierer unterstützen. Der Server 215 kann Module von einer Vielzahl von unterschiedlichen Diensten aufweisen, die in den Systemspeicher geladen sind, wie beispielsweise IIS (Internet Information Services) Module, IAS (Internet Authentication Services) Module, DHCP (Dynamic Host Control Protocol) Module und AD (Active Directory) Module, um die Implementierung der Prinzipien der vorliegenden Erfindung zu ermöglichen.
  • Die Netzwerkarchitektur 200 umfasst ebenso ein Datenweiterleitungsgerät 214. Das Datenweiterleitungsgerät 214 repräsentiert logisch ein spezialisiertes Computersystem, wie beispielsweise einen Router und/oder einen Switch, welches ermitteln kann, wie Daten zwischen den Anschlüssen in dem Datenweiterleitungsgerät 214 übertragen werden sollen. Das bedeutet, wenn eine Datenportion, wie beispielsweise ein Datenrahmen, in einen ersten Port (Anschluss) (z. B. Port 242) übertragen werden soll, kann das Datenweiterleitungsgerät 214 basierend auf Konfigurationsregeln ermitteln, dass diese Datenportion aus einem zweiten Port (z. B. Port 243) übertragen werden soll. Beispielsweise kann das Datenweiterleitungsgerät 214 ermitteln, dass ein Datenrahmen, der von einem Zugangspunkt 209 empfangen wurde, zum Server 215 gesendet werden soll. Es kann ebenso sein, dass ein Datenrahmen in das und aus dem Datenweiterleitungsgerät 214 durch den gleichen Anschluss übertragen wird.
  • Wie in der Netzwerkarchitektur 200 gezeigt, ist das Datenweiterleitungsgerät 214 mit dem Netzwerk 213, Server 215 und Zugangspunkt 209 durch entsprechende logische Kommunikationsverbindungen 233, 234 und 235 verbunden. Das Netzwerk 213 kann praktisch von jedem Typ von Netzwerk sein, wie beispielsweise ein Unternehmensnetzwerk oder das Internet. Das Datenweiterleitungsgerät 214 kann ein Gerät sein, welches Computersysteme in einer einzigen Übertragungsdomäne, basierend auf Kriterien die von der physischen Position (z. B. einer physischen Position auf einer bestimmten Seite eines Routers) abweichen, gruppieren kann. Daher kann das Datenweiterleitungsgerät 214 eingerichtet sein, um Computersysteme in unterschiedliche VLANs zu separieren. Wie in 2 gezeigt, wurde das Datenweiterleitungsgerät 214 konfiguriert, um die Netzwerkarchitektur 200 in die VLANs A, B und C aufzuteilen. Das Datenweiterleitungsgerät 214 kann eingerichtet sein, um sowohl gekennzeichnete als auch ungekennzeichnete Datenrahmen zwischen den VLANs, die in 2 gezeigt sind, zu übertragen.
  • Ein gekennzeichneter (tagged) Datenrahmen ist ein Datenrahmen, welcher eine Indikation umfasst, wie z. B. einen „Tag Header, welcher eine VLAN und/oder Rahmenklassifizierung bezeichnet, die mit dem gekennzeichneten Datenrahmen verknüpft ist. Ein Tag Header kann von einem VLAN Gerät in einen Datenrahmen eingefügt werden, um dem Datenweiterleitungsgerät 214 eine VLAN ID des VLAN, von welchem der gekennzeichnete Datenrahmen empfangen wurde, anzuzeigen. Beispielsweise kann der Zugangspunkt 209 einen Tag Header in Daten von dem Klienten 205 einfügen, um dem Datenweiterleitungsgerät 214 anzuzeigen, dass die Daten von dem VLAN A empfangen wurden. Ein Tag Header kann ebenso andere Steuerungsinformationen umfassen, die von dem Datenweiterleitungsgerät 214 benutzt werden können, um einen entsprechenden Datenrahmen zu klassifizieren. Ein nicht gekennzeichneter Datenrahmen ist ein Rahmen, der keinen Tag Header enthält. Eine Port VLAN ID (PVID) kann benutzt werden, um ein VLAN anzugeben, von welchem ein nicht gekennzeichneter Datenrahmen empfangen wurde. Beispielsweise können nicht gekennzeichnete Datenrahmen, die am Port 243 empfangen wurden, als vom VLAN B empfangen klassifiziert werden.
  • Jeder der Ports, die in dem Datenweiterleitungsgerät 214 (z. B. Ports 242, 243, 244) enthalten sind, können eingerichtet sein, um gekennzeichnete Datenrahmen zu übertragen und ungekennzeichnete Datenrahmen fallen zu lassen. Auf der anderen Seite kann jeder der Ports des Datenweiterleitungsgeräts 214 eingerichtet sein, um ungekennzeichnete Datenrahmen zu übertragen und gekennzeichnete Datenrahmen fallen zu lassen. Es kann ebenso sein, dass einer der Ports des Datenweiterleitungsgeräts 214 eingerichtet ist, um sowohl gekennzeichnete als auch ungekennzeichnete Datenrahmen (eine hybride Port-Konfiguration) weiterzuleiten.
  • Die Netzwerkarchitektur umfasst ebenso einen Zugangspunkt 209. Der Zugangspunkt 209 kann ein verkabelter oder kabelloser Zugangspunkt sein, der die Kommunikation zwischen dem Klient 205 und dem Datenweiterleitungsgerät 214 ermöglicht oder unterstützt. Wie in der Netzwerkarchitekur 200 gezeigt, ist der Zugangspunkt 209 mit dem Klient 205 über eine entsprechende logische Kommunikationsverbindung 231 verbunden. Der Zugangspunkt 209 kann mit anderen Klienten (nicht gezeigt) über weitere entsprechende logische Kommunikationsverbindungen (ebenso nicht gezeigt) verbunden sein. Der Zugangspunkt 209 umfasst die Ports 251 und 252. Daten können zwischen dem Zugangspunkt 209 und dem Klient 205 durch den Port 251 übertragen werden. Ebenso können Daten zwischen dem Zugangspunkt 209 und dem Datenweiterleitungsgerät 214 durch den Port 252 übertragen werden. Der Zugangspunkt 209 kann weitere Ports (nicht gezeigt) für die Kommunikation mit anderen Computersystemen, wie beispielsweise weitere Klienten und/oder Datenweiterleitungsgeräten, umfassen.
  • In manchen Ausführungsformen ist der Zugangspunkt 209 ein kabelloser Zugangspunkt, der den Zugriff auf kabelgebundene Computersysteme in VLAN B (z. B. Server 215) und VLAN C (z. B. Computersysteme im Netzwerk 213) ermöglicht. Der Zugangspunkt 209 kann als ein VLAN-bewusstes (VLAN-aware) Gerät konfiguriert sein und kann vom Klienten 205 (oder anderen Computersystemen im VLAN A) empfangene Tag Header in Datenrahmen einfügen, die zum VLAN B und/oder VLAN C übertragen werden sollen. Der Zugangspunkt 209 kann konfiguriert sein, um unter Benutzung des RADIUS Protokolls zu kommunizieren und im Speziellen kann RADIUS Zugriffsnachrichten, welche einen VLAN Tag (VLAN-Kennzeichner) für den Klienten 205 (oder einen anderen Klienten) umfassen, unterstützen.
  • In manchen Ausführungsformen kann der Klient 205 potentiell mit ein oder mehreren anderen Zugangspunkten (nicht gezeigt) zusätzlich zum Zugangspunkt 209 verbunden sein. Es kann sein, dass der Zugangspunkt 209 und die anderen Zugangspunkte allesamt Zugangspunkte für denselben Dienstanbieter sind. Auf der anderen Seite können ein oder mehrere Zugangspunkte Zugangspunkte für einen oder mehrere andere Dienstanbieter sein, welche sich von dem Dienstanbieter für den, der dem Zugangspunkt 209 den Zugang ermöglicht, unterscheiden. Dem Klient 205 kann eine Liste von verfügbaren Dienstanbietern vorgelegt werden. Eine Benutzerauswahl kann empfangen werden, um eine Verbindung mit einem Dienstanbieter der Liste zu initiieren.
  • Der Klient kann verfügbare kabellose Netzwerke aufspüren, wie z. B. durch das Empfangen von IEEE 802.11 Ortungsrahmen (Beacon Frames) und/oder durch das Senden von IEEE 802.11 Messanfragerahmen (Probe Request Frames) und das Empfangen von IEEE 802.11 Messantwortrahmen. Die Ortungsrahmen können einen SSID (Service Set Identifier) enthalten, welcher im Wesentlichen ein Netzwerkidentifikator ist, der benutzt wird, um ein kabelloses Netzwerk von einem anderen zu unterscheiden. Durch die Benutzung der Ortungs- und Messrahmen kann der Klient 205 ebenso andere Konfigurationseinstellungen eines Zugangspunktes, wie beispielsweise Datentransferrate, unterstützte Authentifizierungstypen (z. B. offene oder gemeinsame Authentifizierung), unterstützte Verschlüsselungstypen (z. B. WEP (Wire Equivalent Protection) oder TKEP (Temporal Key Integrity Protocol)), usw., detektieren.
  • Es versteht sich, dass die aufgeführten Konfigurationseinstellungen lediglich Beispiele für manche der möglichen Konfigurationseinstellungen sind und dass eine größere Nummer von anderen Konfigurationseinstellungen zusätzlich zu diesen Beispielen bestimmt werden können. Wenn beispielsweise eine Verbindung zwischen Computersystemen errichtet wird, kann ein LCP (Link Control Protocol) benutzt werden, um Verbindungseinstellungen, wie beispielsweise die Paketgröße, ein Authentifizierungsprotokoll, ein Protokoll um die Verbin dungsqualität aufzuzeichnen, Kompression und so fort, zu verhandeln. Numerische Werte können in einem Optionsfeld eines LCP Pakets beinhaltet sein (z. B. Konfigurationsanfrage, Konfigurationsbestätigung, Konfigurations-Nicht-Bestätigung, und Konfigurationszurückweisungspakete), um diese Verbindungseinstellungen auszuhandeln. Numerische Werte können in einem Typenfeld (z. B. der numerische Wert 3 für die Aushandlung des Authentifizierungsprotokolls) innerhalb des Optionsfeldes eines LCP Pakets beinhaltet sein, um den Typ der Konfigurationsoption, der ausgehandelt wird, anzuzeigen. Numerische Werte können in einem Datenfeld (z. B. der hexadezimale Wert C227, um EAP anzuzeigen) innerhalb des Optionsfeldes eines LCP Paketes beinhaltet sein, um korrespondierende Daten für den Typ der Aushandlung, der in dem Typenfeld angezeigt ist, anzugeben. Wenn die Konfiguration von EAP angezeigt wird, können weitere numerische Werte (z. B. der numerische Wert 13, um EAP-TLS anzuzeigen oder der numerische Wert 25, um PEAP anzuzeigen) in einem LCP Paket beinhaltet sein, um den spezifischen EAP Typ der Authentifizierung anzuzeigen, der erwünscht ist.
  • Es kann sein, dass ein bestimmter EAP Typ deterministisch ausgewählt wird (z. B. durch einen Administrator des Servers 215 und/oder einen Benutzer des Klienten 205), wenn sowohl ein Klient und ein Server diesen bestimmten EAP Typ unterstützen. Daher gibt es einen verringerten Bedarf für das Verhandeln, wenn LCP Pakete benutzt werden. Nachdem ein EAP Typ ausgewählt ist (entweder durch Verhandlung oder deterministisch), können Computersysteme versuchen, sich durch die Übertragung von EAP Nachrichten (z. B. Start Nachrichten, Antwortnachrichten, Anfragenachrichten, Zustimmungsnachrichten, Zurückweisungsnachrichten, und so fort) gemäß dem ausgewählten EAP Typ miteinander zu authentifizieren. Wenn beispielsweise EAP-TLS ausgewählt wurde, kann der Klient 205 mit dem Server 215 durch eine Reihe von EAP Nachrichten gemäß EAP-TLS kommunizieren, um authentifiziert zu werden und möglicherweise autorisiert zu werden, um auf Ressourcen in dem VLAN C zuzugreifen.
  • In manchen Ausführungsformen werden EAP Nachrichten innerhalb anderer Protokolle eingekapselt. Daher kann das Computersystem in der Lage sein, eine gekapselte EAP Nachricht zu übertragen, obwohl ein Computersystem einen bestimmten EAP Typ nicht nativ unterstützt. Ein Protokoll, das für die Einkapselung benutzt wird, ist das 802.1X Protokoll, welches auch als EAP Einkapselungs über LAN (EAPOL) bezeichnet werden kann. Der Zugangspunkt 209 und das Datenweiterleitungsgerät 214 können eingerichtet sein, um EAPOL zu unterstützen. Daher können der Zugangspunkt 209 und das Datenweiterleitungsgerät 214 EAP Nachrichten von bestimmten EAP Typen übertragen, selbst wenn der Zugangspunkt 209 und das Datenweiterleitungsgerät 214 diese bestimmten EAP Typen nicht nativ unterstützen. Ein weiteres Protokoll, welches für das Einkapseln benutzt wird, ist EAP RADIUS, welches EAP Nachrichten in RADIUS Nachrichten einkapselt. EAP RADIUS kann benutzt werden, um EAP Nachrichten durch ein Computersystem zu übertragen, das das RADIUS Protokoll versteht, aber das EAP nicht nativ versteht.
  • 3 ist ein Flussdiagramm, welches ein Verfahren 300 für das Versorgen (Freischalten) eines Computersystems zeigt. Das Verfahren 300 wird in Bezug auf die Komponenten beschrieben, die in der Netzwerkarchitektur 200 gezeigt sind.
  • Das Verfahren 300 umfasst einen Vorgang des Sendens von Berechtigungsnachweisen (Vorgang 301). Dies kann einen Klienten umfassen, der Berechtigungsnachweise zu einem Server sendet, um zu versuchen, sich mit einem Server zu authentifizieren. Beispielsweise kann der Klient 205 Berechtigungsnachweise zum Server 215 senden, um zu versuchen, sich mit dem Server 215 zu authentifizieren. Wenn sich der Klient 205 mit dem Zugangspunkt 209 verbindet, kann der Zugangspunkt 209 detektieren, dass die Verbindung aktiv ist und kann eine EAP-Request/Identity Nachricht zum Klient 205 senden. Alternativ kann der Klient 205 eine EAP Start Nachricht zum Zugangspunkt 209 senden, welcher eine EAP-Anfrage/Identitäts(EAP-Request/Identity)-Nachricht auslöst. Der Klient 205 kann auf die EAP-Request/Identity Nachricht mit einer EAP-Response/Identity Nachricht, die einen Benutzeridentifizierer beinhalten kann, antworten. Wenn ein Benutzer des Klienten 205 ein Benutzerkonto bei dem Server 215 hat, kann dieser Benutzeridentifizierer ein dem Benutzer von dem Server 215 zugewiesener Benutzeridentifizierer sein. Wenn der Server 215 einem Benutzer des Klienten 205 keinen Benutzeridentifizierer zugewiesen hat, kann der Klient einen Gast-Benutzeridentifizierer senden.
  • Der Zugangspunkt 209 kann die Übertragung von EAPOL Paketen für den Port 251 ermöglichen. Das bedeutet, dass EAPOL Pakete, die am Port 251 empfangen wurden, zu dem Zugangspunkt 209 am Port 252 übertragen werden können. Jedoch kann der Zugangspunkt 209 andere Typen von Protokollen, wie beispielsweise HTTP (Hyper Text Transfer Protocol), DHCP und SMTP (Simple Mail Transfer Protocol) von der Übertragung blockieren, bis der Klient 205 authentifiziert (und autorisiert) ist. Der Zugangspunkt 209 kann einen Tag Header in ein EAPOL Paket (z. B. in die EAP-Response/Identify Nachricht) einfügen, um anzuzeigen, dass das EAPOL Paket zum VLAN B übertragen werden soll.
  • Das Datenweiterleitungsgerät 214 kann den eingefügten Tag Header verarbeiten und das EAPOL Paket in das VLAN B übertragen. Der Server 215 kann das EAPOL Paket empfangen, welches zu einem Authentifizierungsmodul 217 zur Authentifizierung übertragen wird. Alternativ können der Zugangspunkt 209 und/oder das Datenweiterleitungsgerät 214 die 802.1X Einkapselung abstreifen und stattdessen die EAP-Response/Identify Nachricht in eine EAP-RADIUS Nachricht einkapseln, die in das VLAN B übertragen wird. Daher kann die EAP-Response/Identity durch diese anderen Server zum Server 215 übertragen werden, wenn die logische Kommunikationsverbindung 234 weitere RADIUS Server beinhaltet.
  • Abhängig von diesem speziellen EAP Typ kann der Server 215 auf die EAP-Response/Identity Nachricht in einer Vielzahl von Weisen antworten. Der Server 215 kann anfragen, dass der Klient 205 ein Passwort angibt, das mit einem Benutzeridentifizierer verknüpft ist. Ein Benutzer des Klient 205 kann dem Server 215 durch die Angabe eines Passwortes antworten. Es kann ebenso sein, dass der Klient 205 und der Server 215 EAP Nachrichten austauschen, um Zertifikate, Schlüssel und unterstützte Codefolgen zu überreichen. Abhängig von dem EAP Typ können auch andere Berechtigungsnachweisinformationen zwischen dem Klient 205 und dem Server 215 ausgetauscht werden.
  • Zurück zu 3, umfasst das Verfahren 300 einen Vorgang des automatischen Anzeigens einer Benutzerschnittstelle (Vorgang 302). Dies kann das automatische Anzeigen einer Benutzerschnittstelle, die benutzereingegebene Informationen empfangen kann, so dass es nicht notwendig ist, dass ein Benutzer des Computersystems Vorkenntnisse darüber haben muss, wie das Anzeigen der Benutzerschnittstelle erwirkt wird, umfassen. Beispielsweise kann ein Benutzerschnittstellenmodul 206 eine Benutzerschnittstelle automatisch bei dem Klienten 205 anzeigen.
  • Wenn Berechtigungsnachweise zu dem Server 215 gesendet werden, kann das Authentifizierungsmodul 217 die Berechtigungsnachweise (beispielsweise Benutzeridentifizierer und Passwort) empfangen und kann die Berechtigungsnachweise mit Einträgen in einer Benutzerdatenbank 218 vergleichen. Wenn die Berechtigungsnachweisinformation mit einem Eintrag in der Benutzerdatenbank 218 übereinstimmt, ist die Identität eines Benutzer authentifiziert (d. h. der Server 215 glaubt, dass der Benutzer, der durch den Benutzeridentifizierer repräsentiert wird, der Benutzer ist, der die Berechtigungsnachweisinformation eingegeben hat). Wenn ein authentifizierter Benutzer des Klienten 205 autorisiert ist, um auf Ressourcen im VLAN C zuzugreifen (beispielsweise hat der Benutzer aktuell Zahlungen für das Kundenkonto geleistet) kann der Klient autorisiert werden, um auf Ressourcen in dem VLAN C zuzugreifen.
  • Wenn auf der anderen Seite dem Klienten 205 der Zugriff auf die Ressourcen, die sich in dem VLAN C befinden, verwehrt wurde, kann der Server 215 dem Klient 205 für einen beschränkten Zugriff auf Ressourcen im VLAN B autorisieren. Wenn der Klient 205 aktuell nicht in der Lage ist, um auf Ressourcen im VLAN C zuzugreifen (z. B. Internet Ressourcen), kann der Klient 205 daher in der Lage sein, um elektronisch Provisioning Dateien herunterzuladen (vom VLAN B), um autorisiert zu werden, um auf Ressourcen im VLAN C zuzugreifen. Dem Klient 205 kann der Zugriff auf Ressourcen im VLAN C verwehrt werden, wenn ein Benutzer nicht authentifiziert werden kann, wenn ein Benutzer Gast-Berechtigungsnachweise gesendet hat, oder wenn ein authentifizierter User nicht autorisiert ist, um auf Ressourcen im VLAN C zuzugreifen (z. B. wenn Zahlungen nicht geleistet wurden).
  • Wenn dem Klient 205 der Zugriff auf Ressourcen im VLAN C verwehrt wurde, kann der Server 215 eine EAP-Benachrichtigung an den Klient 205 senden, welche verschlüsselt ist und deren Integrität gemäß PEAP überprüft wurde. Die EAP-Benachrichtigung kann einen URI (Uniform Resource Identifier) auf ein Hauptdokument umfassen, welches Informationen für das Freischalten von Computersystemen für den Zugriff auf Ressourcen im VLAN C umfasst. Ein URI auf ein Hauptdokument kann ein HTTP URL (Uniform Resource Locator) sein, wie beispielsweise https://www.provider12.com/provisioning/master.xml oder http://www.provider9.com/provisioning/master.xml. Die EAP-Benachrichtigung kann ebenso Bedingungen umfassen, denen ein Benutzer genügen muss, um für den Zugriff auf Ressourcen im VLAN C autorisiert zu werden (z. B. Anmeldung, Erneuerung, und so fort). Wenn der Klient 205 Downloads durch den Zugriff auf eine gegebene URI tätigen möchte, kann der Zugangspunkt 209 die Übertragung von HTTP Paketen für den Port 251 ermöglichen. Der Server 215 kann Anweisungen an den Zugangspunkt 209 senden, um den Zugangspunkt 209 zu veranlassen, die Übertragung der HTTP Pakete zu ermöglichen.
  • Alternativ kann der Server 215 ein EAP Typ-Längen-Wert (TLV) Objekt innerhalb PEAP zu dem Klienten 205 senden. Das TLV Objekt kann einen URI (Uniform Resource Identifier) auf ein Hauptdokument umfassen, welches Informationen für das Freischalten von Computer systemen für den Zugriff auf Ressourcen im VLAN C beinhaltet. In manchen Ausführungsformen kann auf das Hauptdokument (und Unterdateien) durch andere Mechanismen als URI, wie beispielsweise durch den Zugriff auf ein Hauptdokument und/oder Unterdateien von entfernbaren computerlesbaren Medien (Floppy Disk, Flashkarte und so fort) zugegriffen werden. Dies ist vorteilhaft in Umgebungen, welche die Provisioning-Informationen erfordern, bevor die Netzwerkverbindbarkeit konfiguriert werden kann, wie beispielsweise bei entfernten Einwählverbindungen. Nachdem die Konnektivität hergestellt ist, kann das Hauptdokument (und Unterdateien) nach und nach von dem Netzwerk aktualisiert werden.
  • Das Hauptdokument kann eine XML Datei sein, die gemäß einem XML Hauptdokumentenschema definiert ist, auf das durch in der Netzwerkarchitektur 200 dargestellte Computersysteme zugegriffen werden kann. Unterschiedliche Hauptdokumente können für unterschiedliche Verbindungstypen, wie beispielsweise kabellose Verbindung, DSL(Digital Subscriber Line)-Verbindung, RAS(Remote Access Server)-Verbindung, LAN-Verbindung, ISP Verweisung(Internet Service Provider Referral)-Verbindung, WISP(Wireless ISP)-Verbindung, und so fort, erzeugt werden. Daher können die Prinzipien der vorliegenden Erfindung implementiert werden, um ein Computersystem für den Netzwerkzugriff unter Benutzung von praktisch jedem Verbindungstyp, umfassend die zuvor aufgezählten Verbindungstypen, freizuschalten. Ein Hauptdokument kann URLs auf Unterdateien, wie beispielsweise Hilfedateien, Konfigurationsdateien, Anmeldedateien, und Positionsdateien, enthalten. Ein Hauptdokument kann ebenso URLs auf andere Hauptdokumente enthalten, beispielsweise wenn ein erster ISP die Dienste eines zweiten ISP benutzt.
  • Ein Hauptdokument kann ebenso einen TTL (Time to Live) Wert enthalten (z. B. 5 Minuten, 24 Stunden, und so fort), welcher anzeigt, wenn eine Überprüfung auf ein aktualisiertes Hauptdokument durchgeführt werden soll. Wenn eine Überprüfung anzeigt, dass ein aktualisiertes Hauptdokument verfügbar ist, kann das aktualisierte Hauptdokument heruntergeladen werden (z. B. zum Klient 205). Ein Hauptdokument kann Versionsnummern für jede Unterdatei enthalten. Wenn ein Hauptdokument aktualisiert wird, können die Versionsnummern der Unterdateien überprüft werden und wenn neuere Versionen der Unterdateien verfügbar sind, können diese neueren Versionen heruntergeladen werden (z. B. zum Klient 205).
  • Es versteht sich, dass die vorliegende Erfindung nicht auf bestimmte Schematypen beschränkt ist. Jedoch ist ein Schematyp, der benutzt werden kann, um die Prinzipien der vorliegenden Erfindung zu implementieren, ein XML Schema. Ein XML Schema kann Elemente und entsprechende Datentypen definieren, welche in einem XML Dokument benutzt werden. Das folgende ist ein Beispiel für ein XML Hauptdokumentenschema, welches Elemente und entsprechende Datentypen definiert, welche in einem XML Hauptdokument benutzt werden können:
    Figure 00280001
  • Das Beispiel für ein XML Hauptdokumentenschema definiert einen „Master" Komplextyp (Zeilen 5 bis 22) der benutzt werden kann, um ein Hauptdokument für das Freischalten eines Computersystems zu erzeugen. Der „Master" Komplextyp definiert des Weiteren ein TTL Element (Zeile 7), welches eine „Time to Live" darstellt. Ein TTL Element kann in einem Hauptdokument benutzt werden, um anzuzeigen, wann das Hauptdokument aktualisiert werden soll. Der „Master" Komplextyp definiert des Weiteren ein „Update from" Element (Zeile 10). Wenn der Wert eines TTL Elements in einem XML Hauptdokument anzeigt, dass das XML Hauptdokument aktualisiert werden soll, kann auf ein URL, das mit einem Update from Element verknüpft ist, zugegriffen werden, um eine aktualisierte Version des XML Hauptdokumentes herunterzuladen. Der „Master" Komplextyp definiert des Weiteren ein „Subfile" Element (Zeilen 11 bis 20), das in einem Hauptdokument benutzt werden kann, um den Zugriff auf eine Unterdatei zu definieren. Das „maxOccurs" Attribut des Subfile Elements zeigt die Anzahl der Unterdateien an, die in dem Hauptdokument enthalten sein können. Der Wert „unbounded" zeigt an, dass es keine Grenze für die Anzahl der Unterdateien gibt, die in dem Hauptdokument enthalten sein können.
  • Innerhalb des Subfile Elements ist ein „Schema" Element (Zeile 14), ein URL Element (Zeile 15) und ein Versionselement (Zeile 16) definiert. Ein Schema Element kann in einem Hauptdokument enthalten sein, um einen Namen eines mit einer Unterdatei verknüpften Schemas anzuzeigen. Ein Version Element kann in einem Hauptdokument enthalten sein, um die Version einer Unterdatei anzuzeigen. Ein URL Element kann in einem Hauptdokument enthalten sein, um einen Ort anzuzeigen, an dem ein Schema, welches mit einer Unterdatei verknüpft ist, heruntergeladen werden kann. In dem beispielhaften XML Hauptdokumentenschema ist ein URL Element als eine Zeichenkette definiert, die mit dem Textpräfix https:// (Zeilen 23 bis 27) beginnt. Jedoch kann praktisch jeder Textpräfix, wie beispielsweise http://, ftp://, telnet:// und so fort verwendet werden, wenn die Prinzipien der vorliegenden Erfindung implementiert werden. Ein Subfile Element kann ebenso ein optionales „Fragment" Attribut definieren, das in einem Hauptdokument enthalten sein kann, um eine bestimmte Unterdatei zu repräsentieren (Zeile 18). Beispielsweise kann das Fragment Attribut „#signup" benutzt werden, um eine Anmeldeunterdatei zu repräsentieren. Ein Fragment Attribut kann mit einem URL Element innerhalb eines XML Hauptdokumentes kombiniert werden, um eine absolute Position einer Unterdatei anzugeben, wie beispielsweise „https://www.provisiong.com/master.xml#signup".
  • Hauptdokumente und Unterdateien können in einem Versorgungsdatenspeicher (Freischaltedatenspeicher) 219 gespeichert sein. Der Klient 205 kann auf eine angegebene URL (oder URI) zugreifen, um ein Hauptdokument und entsprechende Unterdateien herunterzuladen. Hauptdokumente und Unterdateien können unter Benutzung eines HTTP oder HTTPS get heruntergeladen werden. Dies kann die Benutzung eines HTTP oder HTTPS get umfassen, um Dateien von einem Computersystem im VLAN B herunterzuladen, wie beispielsweise ein Hot Spot Provider (HSP), einen ISP Web Server oder einen Versorgungsdatenspeicher 219. Heruntergeladene Hauptdokumente und Unterdateien können in Versorgungsdaten (Freischaltedaten) 207 gespeichert werden.
  • Eine Hilfe Unterdatei kann ein XML Dokument sein, welches gemäß einem XML Hilfeschema definiert ist, auf welches durch die in der Netzwerkarchitektur 200 gezeigten Computersysteme zugegriffen werden kann. Eine Hilfedatei kann URLs umfassen, die auf HTML (Hyper Text Markup Language) Dateien verweisen, die von einem Server 215 bereitgestellt werden, um einem Benutzerversorgungsklient 205 zu helfen. Eine Hilfedatei kann ebenso Informationen über einen Diensteanbieter umfassen, so dass ein Benutzer sich vor der Anmeldung über den Diensteanbieter informieren kann.
  • Eine Positions-Unterdatei kann ein XML Dokument sein, welches gemäß eines XML Positionsschemas definiert ist, auf welches durch die in der Netzwerkarchitektur 200 gezeigten Computersystem zugegriffen werden kann. Eine Positionsunterdatei kann eine Liste von HSPs zusammen mit entsprechenden Postadressen, Hotels und Flughäfen, wo die HSPs sich befinden, umfassen. Daher kann ein Benutzer, der zu einem bestimmten Ort geht, in der Lage sein, Versorgungsdateien herunterzuladen, um auf ein Netzwerk (z. B. das Internet) von einem bestimmten Ort zuzugreifen, bevor dieser an dem bestimmten Ort ankommt.
  • Es versteht sich, dass die vorliegende Erfindung nicht auf das Verbinden mit einem Netzwerk an einem bestimmten Ort beschränkt ist. Das folgende ist ein beispielhaftes XML Positionsschema, welches Elemente und entsprechende Datentypen definiert, die in einer Positionsunterdatei benutzt werden können, um einen physikalischen Ort anzuzeigen, an dem der Netzwerkzugriff verfügbar ist:
    Figure 00310001
  • Das Beispiel für ein XML Positionsschema definiert einen „Location" Komplextyp (Zeilen 7 bis 31), der benutzt werden kann, um physikalische Positionsinformationen für den Netzwerkzugriff zur Verfügung zu stellen. Eines, manche, oder alle Elemente, die in den Zeilen 9 bis 17 definiert sind, können in einer Positionsunterdatei beinhaltet sein, um unterschiedliche Typen von Positionsinformationen, wie beispielsweise Straße, Stadt, Staat, Land, Postleitzahl, Vorwahl, Telefonnummer, Unterstützungsnummer, und Providernamen, anzuzeigen. Der Location Komplextyp definiert des Weiteren ein „Category" Element (Zeilen 18 bis 29), das wiederum weitere Kategorien von Positionen definiert, wie beispielsweise Hotel, Flughafen und Bar, an denen sich der Zugang auf ein Netzwerk physikalisch befinden kann.
  • Eine Konfigurationsunterdatei kann ein XML Dokument sein, welches gemäß eines XML Konfigurationsschemas definiert ist, auf das durch die in der Netzwerkarchitektur 200 ge zeigten Computersysteme zugegriffen werden kann. Eine Konfigurationsunterdatei kann Konfigurationsprofile für Netzwerke enthalten, auf welche vom Klienten 205 zugegriffen werden kann. Wenn der Klient 205 versucht, auf ein kabelloses Netzwerk zuzugreifen, kann eine Konfigurationsunterdatei Profile enthalten, die den SSIDs entsprechen, auf welche vom Klient 205 zugegriffen werden kann. Konfigurationsunterdateien können Informationen für das Konfigurieren von Authentifizierung, Verschlüsselung, unterstützten Protokollen und so weiter enthalten. Empfangene Konfigurationsunterdateien können in den Versorgungsdaten 207 gespeichert werden und von einem Versorgungsmodul (Freischaltemodul) 208 verarbeitet werden, um den Klient 205 für den Betrieb in einem bestimmten Netzwerk zu konfigurieren.
  • Es versteht sich, dass die vorliegende Erfindung nicht auf das Verbinden mit einem Netzwerk unter Benutzung einer speziellen Schnittstelle beschränkt ist. Jedoch ist ein möglicher Schnittstellentyp, der benutzt werden kann, um mit einem Netzwerk zu verbinden, eine kabellose Schnittstelle (z. B. kann die Netzwerkschnittstelle 153 eine kabellose Netzwerkschnittstelle sein). Das folgende ist ein beispielhaftes XML Konfigurationsschema, welches Elemente und entsprechende Datentypen definiert, welche in einer Konfigurationsunterdatei benutzt werden können, um mit einem Netzwerk über eine kabellose Schnittstelle (z. B. einen kabellosen Zugangspunkt) zu verbinden:
    Figure 00330001
    Figure 00340001
    Figure 00350001
  • Das Beispiel für ein XML Konfigurationsschema definiert einen „SSID" Komplextyp (Zeilen 9 bis 92), welcher benutzt werden kann, um Parameter für das Verbinden durch einen kabellosen Zugangspunkt mit einem durch den SSID repräsentierten Netzwerk zu verbinden. Der SSID Komplextyp definiert des Weiteren ein „Connection" Element (Zeilen 11 bis 18), ein „Authentication" Element (Zeilen 19 bis 28), ein „Encryption" Element (Zeilen 29 bis 39), einen „KeyIndex" Element (Zeile 40), ein „802.1Xauth" Element (Zeilen 41 bis 49), ein „Non802.1XURL" Element (Zeile 50), ein „PEAPParameters" Element (Zeilen 51 bis 76) und ein „TLSParameters" Element (Zeilen 77 bis 90).
  • Das definierte „Connection"-Element (Zeilen 11 bis 18) definiert des Weiteren die Verbindungstypen, die von einem Netzwerk unterstützt werden können. Das definierte „IBSS" Element (Zeile 14) repräsentiert den Namen eines „Basic Service Set". Ein IBSS Element kann in einer Konfigurationsunterdatei enthalten sein, um einen bedeutungsvolleren Netzwerknamen mit einem SSID für ein Netzwerk, auf das potentiell über einen einzelnen kabel losen Zugangspunkt zugegriffen wird, zu verknüpfen. Das definierte „ESS" Element (Zeile 15) repräsentiert den Namen eines „Extended Service Set". Ein ESS Element kann in einer Konfigurationsunterdatei enthalten sein, um einen bedeutungsvolleren Netzwerknamen mit einer Vielzahl von SSIDs, welche ein einzelnes Netzwerk bilden, und/oder, wenn auf ein Netzwerk potentiell über eine Vielzahl von kabellosen Zugangspunkten zugegriffen wird, zu verknüpfen.
  • Das definierte Authentication Element (Zeilen 19 bis 28) definiert des Weiteren Authentifizierungstypen, die von einem Netzwerk unterstützt werden können. Das definierte „Open" Element (Zeile 22) kann in einer Konfigurationsunterdatei enthalten sein, um eine „Open Authentication" anzuzeigen. Das bedeutet dass die Authentifizierung keinen vorverteilten (Pre-Shared) Schlüssel benutzt, welcher benötigt ist, um sich mit einem Zugangspunkt zu authentifizieren. Das definierte „Shared" Element (Zeile 23) kann in einer Konfigurationsdatei enthalten sein, um anzuzeigen, dass die Authentifizierungsinformation zwischen Anwendungen geteilt wird. Das definierte „WPA" Element (Zeile 24) kann in einer Konfigurationsdatei enthalten sein, um anzuzeigen, dass die Authentifizierung gemäß „WiFi Protected Access" durchgeführt wird. Das definierte „WPAPSK" Element (Zeile 25) kann in einer Konfigurationsunterdatei enthalten sein, um anzuzeigen, dass die Authentifizierung gemäß einer „WiFi Protected Access Pre Shared Key" Authentifizierung durchgeführt wird.
  • Das definierte Encryption Element (Zeile 29 bis 39) definiert des Weiteren Verschlüsselungstypen, die von einem Netzwerk unterstützt werden können. Eins, manche oder alle der in den Zeilen 32 bis 36 definierten Elemente können in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche Verschlüsselungstypen, wie beispielsweise keine Verschlüsselung, WEP Verschlüsselung, TKIP Verschlüsselung, WRAP (Wireless Robust Authenticated Protocol) Verschlüsselung und CCMP (Counter with Cipher Block Chaining Message Authentication Code Protocol) Verschlüsselung, anzuzeigen.
  • Das definierte Key Index Element (Zeile 40) kann in einer Konfigurationsunterdatei enthalten sein, um die Position eines Schlüssels anzuzeigen, beispielsweise dass ein Schlüssel für das Verschlüsseln oder Bestätigen von Informationen benutzt werden kann.
  • Das definierte „802.1Xauth" Element (Zeilen 41 bis 49) definiert des Weiteren 802.1X Authentifizierungstypen, die von einem Netzwerk unterstützt werden können. Eines, manche oder alle der Elemente in den Zeilen 44 bis 46 können in einer Konfigurationsunterdatei ent halten sein, um unterschiedliche Typen der 802.1X Authentifizierung, wie beispielsweise keine, TLS und PEAP, anzuzeigen.
  • Das definierte „Non802.1XURL" Element (Zeile 50) kann in einer Konfigurationsunterdatei enthalten sein, um ein URL anzuzeigen, auf den für eine Nicht-802.1X Authentifizierung zugegriffen werden kann. Dies kann aus Gründen der Kompatibilität mit alten Systemen, welche nicht EAP unterstützen, implementiert sein.
  • Das definierte „PEAPParameters" Element (Zeilen 51 bis 76) definiert des Weiteren PEAP Optionen, die von einem Netzwerk unterstützt werden können. Eins, manche oder alle der Elemente der Zeilen 54 bis 57 und 66 können in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche PEAP Optionen, wie beispielsweise Serverbestätigung, Servernamenslisten, Serverzertifikatsignatur, Zertifikatrückruflisten (CRLS) und schnelle Wiederverbindung, anzuzeigen. Das definierte „PEAPParameters" Element (Zeilen 51 bis 76) kann des weiteren ein „EAPType" Element definieren, welches in einer Konfigurationsunterdatei enthalten sein kann, um einen EAP Typ anzuzeigen, welcher benutzt wird, um einen Server mit einem Klienten und/oder einen Klienten mit einem Server zu authentifizieren. Eines oder beide der Elemente der Zeilen 61 und 62 können in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche EAP Typen anzuzeigen, wie beispielsweise EAP-TLS oder EAP Microsoft Challange/Replay Handshake Protocol Version 2 (EAP-MSCHAPV2). Wenn EAP-MSCHAPV2 angezeigt ist, dann kann das „MSCHAPV2Parameters" Element der Zeile 67 in einer Konfigurationsunterdatei enthalten sein, um anzuzeigen, ob Berechtigungsnachweise des Betriebssystems für die Authentifizierung benutzt werden sollen.
  • Das definierte „TLSParameters" Element (Zeilen 77 bis 90) definiert des Weiteren EAP-TLS Optionen, die von einem Netzwerk unterstützt werden können. Eines, manche oder alle der Elemente der Zeilen 80 bis 87 können in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche EAP-TLS Optionen, wie beispielsweise die Benutzung einer Smart Card, Benutzung eines Zertifikats in dem Klient, Benutzung einer vereinfachten Zertifikatauswahl, die Nichtbenutzung einer Zertifikatauswahl, die Serverbestätigung, Servernamenslisten, Serverzertifikatsignaturen, und Zertifikatrückruflisten (CRLS) anzuzeigen.
  • Eine Anmelde (oder Erneuerungs) Unterdatei kann ein XML Dokument sein, welches gemäß eines XML Anmeldeschemas definiert ist, auf das durch die in der Netzwerkarchitektur 200 gezeigten Computersysteme zugegriffen werden kann. In Erwiderung auf das Empfan gen einer EAP Benachrichtigung (oder TLV Objekt), dass weitere Informationen benötigt werden (z. B. um den Zugriff auf Ressourcen in dem VLAN C zu ermöglichen), kann der Klient 205 automatisch eine Anmeldedatei herunterladen. Die Anmeldedatei kann von einem Benutzerschnittstellenmodul 206 verarbeitet werden und eine Benutzerschnittstelle kann automatisch am Klienten 205 angezeigt werden. Daher ist es nicht notwendig, dass der Benutzer Kenntnisse darüber haben muss, wie das Anzeigen der Benutzerschnittstelle hervorgerufen wird.
  • Ein XML Anmeldeschema kann Markeninformationen, Subskriptionsinformationen (z. B. Perioden, Preise und so fort), Anbieterkontaktinformationen, Eingabefelder für Bezahlmethoden (z. B. Kreditkarte, PayPal, vorbezahlte Karten, Zertifikate und so fort), Eingabefelder für Kontaktinformationen (Name, Adresse, Telefonnummer, und so fort), Berechtigungsnachweistypen, Benutzernamen, Passwörter, RADIUS Server Zertifikate, und so fort enthalten. Des Weiteren kann eine Benutzerschnittstelle in einer Vielzahl von unterschiedlichen geschriebenen Sprachen, wie beispielsweise Englisch, Japanisch, Französisch oder Deutsch, angezeigt werden. Die Unterstützung für unterschiedliche geschriebene Sprachen kann durch die Benutzung eines XML Sprachen-Kennzeichnungs-Tag ermöglicht werden.
  • Wenn eine Benutzerschnittstelle zum Zweck des Erneuerns einer Registrierung angezeigt wird, kann die Menge der benutzerangegebenen Information, die durch die Benutzerschnittstelle empfangen wird, reduziert werden. Es kann sein, dass die angezeigte Benutzerschnittstelle lediglich „JA" und „NEIN" Kontrollfelder für das Autorisieren von weiteren Kreditkartenzahlungen oder anderen elektronischen Bezahloptionen anzeigt.
  • Wieder in Bezug auf 3, umfasst das Verfahren 300 einen funktionalen, ergebnisorientierten Schritt für das Anfordern einer Autorisierung, um auf Ressourcen, die sich in einem zweiten Netzwerk befinden zuzugreifen (Schritt 307). Schritt 307 kann jeden entsprechenden Vorgang für das Erreichen des Ergebnisses des Anforderns einer Autorisierung für den Zugriff auf Ressourcen im zweiten Netzwerk enthalten. Jedoch umfasst Schritt 307 in dem in 3 gezeigten Beispiel einen entsprechenden Vorgang des Empfangens von benutzereingegebenen Informationen (Vorgang 303). Eine angezeigte Benutzerschnittstelle kann benutzt werden, um benutzereingegebene Information (z. B. Benutzeridentifikator, Passwort, Name, Adresse, Kreditkarteninformation, und so fort) von einem Benutzer am Klient 205 zu empfangen. Wenn ein Benutzer sein Benutzerkonto erneuert, kann eine reduzierte Menge an Informationen empfangen werden. Wenn sich beispielsweise ein Benutzer zuvor ange meldet hat, um auf Ressourcen im VLAN C zuzugreifen, kann ein Kontowartungsmodul 216 auf eine Benutzerdatenbank 218 zugreifen, um zuvor eingegebene Benutzerinformationen abzurufen, um dadurch den Benutzer davon zu entlasten, die Benutzerinformation erneut einzugeben. Es kann sein, dass ein Benutzer eine „JA" Kontrollfeld auswählt, um benutzereingegebene Information zur Bestätigung einer Kreditkartenzahlung oder einer anderen elektronischen Bezahloptionen einzugeben.
  • Schritt 307 umfasst ebenso einen entsprechenden Vorgang des Übermittelns eines schemabasierten Dokuments (Vorgang 304). Dies kann umfassen, dass ein Klient ein erstes schemabasiertes Dokument an einen Server übermittelt, welches benutzereingegebene Informationen umfasst. Beispielsweise kann der Klient 205 ein erstes XML Dokument absenden, welches gemäß eines XML Anmeldeschema definiert ist, das benutzereingegebene, an der angezeigten Benutzerschnittstelle empfangene Informationen enthält. Es kann sein, dass der Klient ein HTTP oder HTTPS post benutzt, um schemabasierte Dokumente bei einem HSP, einer ISP Web Site oder bei einem Server 215 hochzuladen. Das Kontowartungsmodul 216 kann eine webbasierte Schnittstelle für das Empfangen von schemabasierten Dokumenten, die unter Benutzung von HTTP oder HTTPS post hochgeladen wurden, haben. In manchen Ausführungsformen kann eine webbasierte Schnittstelle zum Kontowartungsmodul 216 die benutzereingegebene Information, die in dem schemabasierten Dokument enthalten ist, verarbeiten und eine Benutzerdatenbank 218 aktualisieren.
  • Das Verfahren 300 umfasst ebenso einen Vorgang des Empfangens eines Hinweises auf eine Autorisierung (Vorgang 305). Dieses kann umfassen, dass der Klient ein zweites schemabasiertes Dokument empfängt, welches einen Hinweis bereitstellt, dass ein Server den Klienten autorisiert hat, um auf Ressourcen in einem VLAN zuzugreifen. Beispielsweise kann der Klient 205 ein zweites XML Dokument empfangen, welches gemäß eines XML Anmeldeschemas definiert ist, welches einen Hinweis darauf bereitstellt, dass der Klient 205 autorisiert ist, um auf Ressourcen im VLAN C zuzugreifen. Der Empfang eines zweiten schemabasierten Dokumentes kann in Erwiderung auf das Übermitteln des ersten schemabasierten Dokumentes erfolgen. Beispielsweise in Erwiderung auf das Übermitteln entsprechender benutzereingegebener Information kann der Klient 205 einen Hinweis empfangen, dass der Server 215 den Klient 205 autorisiert hat, um auf Ressourcen im VLAN C zuzugreifen. Dies kann das Empfangen eines Benutzeridentifizierers und Passwortes oder das Empfangen eines Hinweises, dass eine Kreditkartenzahlung akzeptiert wurde, umfassen.
  • Wenn der Klient 205 autorisiert ist, um auf Ressourcen im VLAN C zuzugreifen, kann der Zugangspunkt 209 Protokolle aktivieren, die aktuell für den Port 251 blockiert sind, und dann Tag Header einfügen, die anzeigen, dass Daten von Klient 205 zum VLAN C übertragen werden sollen. Der Server 215 kann Anweisungen zum Zugangspunkt 209 senden, um zu veranlassen, dass der Zugangspunkt 209 Protokolle aktiviert/freigibt und dass der Zugangspunkt 209 entsprechende Tag Header einfügt.
  • Es kann sein, dass der Server 215 einen Sitzungs-Timeout einstellt, beispielsweise eine Stunde, nach dessen Verstreichen der Zugangspunkt 209 den Klient 205 auffordert, sich erneut zu authentifizieren. Wenn ein Abonnement zum Zeitpunkt der erneuten Authentifizierung immer noch gültig ist, kann der Klient 205 sich im Hintergrund durch das Absenden von entsprechenden Berechtigungsnachweisen zum Server 215 erneut authentifizieren. Wenn andererseits eine Abonnementperiode zum Zeitpunkt der erneuten Authentifizierung abgelaufen ist, kann der Server 215 eine EAP-Benachrichtigung (oder ein TLV Objekt) senden, welche bewirkt, dass eine Erneuerungsbenutzerschnittstelle am Klienten 205 angezeigt wird. Eine Abonnementperiode kann nach dem Ablauf einer angegebenen Zeitperiode (z. B. ein Monat, 24 Stunden, und so fort) oder nach einer angegebenen Anzahl von Verbindungen (z. B. eine Verbindung, 10 Verbindungen, und so fort) durch einen bestimmten Diensteanbieter ablaufen. Nach einer entsprechenden Beendigung der Erneuerungsbenutzerschnittstelle, kann der Klient 205 erneut authentifiziert werden.
  • Wenn ein Benutzer die Erneuerungsbenutzerschnittstelle nicht entsprechend beendet, kann der Zugangspunkt 209 damit aufhören, Tag Header für das VLAN C in die Daten von Klient 205 einzufügen, und kann stattdessen damit anfangen, Tag Header für das VLAN B in die Daten von Klient 205 einzufügen. Der Zugangspunkt 209 kann ebenso damit anfangen, Protokolle für den Port 251 zu blockieren. Der Server kann Anweisungen zum Zugangspunkt 209 senden, um zu bewirken, dass der Zugangspunkt 209 Protokolle blockiert und entsprechende Tag Header einfügt.
  • Parallel zu den Vorgängen 302 bis 305 umfasst das Verfahren 300 ebenso einen Vorgang des Ausführens eines schemabasierten Dokumentes (Vorgang 306). Dies kann das Ausführen eines dritten schemabasierten Dokumentes umfassen, um einen Klienten für den Zugriff auf das zweite Netzwerk zu konfigurieren. Beispielsweise kann das Freischaltungsmodul 208 ein XML Dokument ausführen, welches gemäß eines XML Konfigurationsschemas definiert ist, um den Klient 205 entsprechend zu konfigurieren, um auf Ressourcen im VLAN C zuzugreifen. Das Freischaltungsmodul 208 kann zuvor heruntergeladene XML Dokumente, wie beispielsweise eine Konfigurationsunterdatei von den Freischaltedaten 207, abrufen.
  • Eine Konfigurationsunterdatei kann ausgeführt werden, um Verbindungstyp, Kommunikationsprotokolle, Authentifizierungstyp, Verschlüsselungstyp, usw. zu konfigurieren. Eine Konfigurationsunterdatei kann praktisch zu jeder Zeit ausgeführt werden, nachdem diese heruntergeladen wurde. Daher kann ein Klient entsprechend für den Zugriff auf Ressourcen in einem Netzwerk konfiguriert werden, selbst wenn dem Klient der Zugriff auf das Netzwerk verwehrt wurde. Durch die Ausführung des schemabasierten Dokumentes kann ein Klient ohne oder mit nur geringem Bedienereingriff rekonfiguriert werden. Dies entlastet den Benutzer davon, einen Klienten für die kompatible Funktion mit einem Netzwerk manuell zu rekonfigurieren.
  • In manchen Ausführungsformen ist ein Computersystem, welches aktuell für den Internetzugang unter Benutzung einer ersten Netzwerkkonfiguration freigeschaltet ist, für den Internetzugang unter Benutzung einer zweiten Netzwerkkonfiguration voreingestellt. Beispielsweise kann ein Computersystem mit Internetzugang durch einen ISP sich an der ISP Webseite für einen Internetzugang über einen kabellosen Hot Spot anmelden. Während des Registrierungsprozesses bei dem ISP kann das Computersystem Freischaltedateien für den kabellosen Hot Spot herunterladen. Daher kann das Computersystem nach dem Verbinden mit dem kabellosen Hot Spot schon entsprechend für den Zugriff auf das Internet durch den kabellosen Hot Spot konfiguriert sein. Wenn des Weiteren Konteninformationen (z. B. Name, Adresse, Bezahlinformationen, usw.) während des Anmeldevorgangs bei dem ISP eingegeben wurde, kann das Computersystem bereits autorisiert sein, um auf das Internet durch den kabellosen Hot Spot zuzugreifen.

Claims (29)

  1. Verfahren für ein Computersystem, das durch ein intermediäres Computersystem mit einem Netzwerk verbunden werden kann und das sowohl mit einem zweiten Netzwerk, welches eine Vielzahl von Ressourcen umfasst, als auch mit einem ersten Netzwerk, welches mindestens Ressourcen um es dem Computersystem zu ermöglichen auf das zweite Netzwerk zuzugreifen, umfasst, verbunden werden kann, wobei das intermediäre Computersystem ermittelt, ob Daten von dem Computersystem zu dem ersten Netzwerk oder zu dem zweiten Netzwerk übertragen werden, so dass Zugriff auf das erste Netzwerk erlaubt werden kann während Zugriff auf das zweite Netzwerk beschränkt ist, wobei das erste Netzwerk des Weiteren einen Server umfasst, welcher Computersysteme autorisieren kann auf das zweite Netzwerk zuzugreifen, und wobei das Verfahren um dem Computersystem den Zugang auf das zweite Netzwerk zu ermöglichen, um Benutzereingaben zu verringern, wobei das Verfahren das Folgende umfasst: einen Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server um zu versuchen sich mit dem Server zu authentifizieren, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen den Vorgang des Aushandelns des Authentifizierungstyps, welcher durch das Computersystem um sich mit dem Server authentifizieren benutzt wird; einen Vorgang des automatischen Darstellens (302) einer Benutzerstelle, welche durch einen Benutzer eingegebene Informationen empfangen kann, so dass es nicht erforderlich ist, dass ein Benutzer des Computersystems Vorkenntnisse haben muss, wie das Darstellen der Benutzerschnittstelle veranlasst wird, umfasst; ein Vorgang des Empfangens (303) von einem Benutzer eingegebenen Informationen in die Benutzerschnittstelle; einen Vorgang des Sendens (304) eines ersten schemabasierten Dokumentes, welches die durch den Benutzer eingegebenen Informationen umfasst, an den Server; einen Vorgang des Empfangens (305), nach dem Senden des ersten schemabasierten Dokumentes, eines zweiten schemabasierten Dokumentes, welches eine Angabe darüber, dass der Server das Computersystem autorisiert hat, auf sich in dem zweiten Netzwerk befindende Ressourcen zuzugreifen, zur Verfügung stellt; und einen Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für eine kompatible Funktion mit und für den Zugang zu dem zweiten Netzwerk zu konfigurieren, wobei das dritte schemabasierte Dokument von dem Server des ersten Netzwerks empfangen wird und die Ausführung dessen bewirkt, dass das Computersystem Verbindungstyp, Kommunikationsprotokoll, Authentifizierungstyp oder Verschlüsselungstyp konfiguriert um einen Benutzer die manuelle Konfiguration des Computersystems zu erleichtern.
  2. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Sendens der Berechtigungsnachweise an einen Access-Point (Zugangspunkt) umfasst, welcher zur Übertragung an den Server gekoppelt ist.
  3. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Sendens einer EAP-Nachricht an den Server umfasst.
  4. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Einkapselns einer EAP-Nachricht innerhalb einer IEEE 802.1X-Nachricht umfasst.
  5. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Verknüpfens eines „Tag-Headers" (Kennzeichner-Kopfteil) mit den Berechtigungsnachweisen umfasst, um anzuzeigen, dass die Berechtigungsnachweise an ein virtuelles Netzwerk, welches den Server beinhaltet, übertragen werden sollen.
  6. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Sendens von Berechtigungsnachweisen an eine Internet-Protokoll-Adresse umfasst, welche dem Computersystem durch eine Internetprotokolladressfilterungskomponente bekannt gemacht wurde.
  7. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Einrichtens eines virtuellen privaten Netzwerkes zwischen dem Computersystem und dem ersten Netzwerk umfasst.
  8. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Sendens eines Benutzer-Identifikators umfasst.
  9. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (301) von Berechtigungsnachweisen an den Server einen Vorgang des Sendens von Gast-Berechtigungsnachweisen umfasst.
  10. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Empfangens einer Benachrichtigung über EAP, welches ein URI zu einem Masterprovisioning-Dokument (Hauptversorgungs-Dokument) beinhaltet, umfasst.
  11. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Empfangens eines TLV-Objekts über PEAP, welcher ein URI zu einem Masterprovisioning-Dokument beinhaltet, umfasst.
  12. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Empfangens einer EAP-Benachrichtigung umfasst, welche die Bedingungen beinhaltet, welcher erfüllt sein müssen um autorisiert zu werden um auf ein virtuelles Netzwerk zuzugreifen, welches die Vielzahl von Ressourcen umfasst.
  13. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Zugreifens auf ein URI, um ein Masterprovisioning-Dokument herunterzuladen, umfasst.
  14. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Herunterladens einer Datei von einem virtuellen Netzwerk, welches den Server beinhaltet, umfasst.
  15. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Verarbeitens einer Anmelde-Sub-Datei umfasst, um zu bewirken, dass die Benutzerschnittstelle dargestellt wird.
  16. Verfahren gemäß Anspruch 1, wobei der Vorgang des automatischen Darstellens (302) einer Benutzerschnittstelle, welche durch einen Benutzer eingegeben Informationen empfangen kann, einen Vorgang des Darstellens einer Erneuerungs-Benutzerschnittstelle umfasst, welche durch einen Benutzer eingegebene Informationen, welche zuvor für einen Benutzer eingegeben wurden, umfasst.
  17. Verfahren gemäß Anspruch 1, wobei der Vorgang des Sendens (304) eines ersten schemabasierten Dokumentes, welches durch einen Benutzer eingegebene Informationen beinhaltet, das Senden eines XML-Dokumentes umfasst, welches gemäß einem XML-Anmeldeschema definiert ist.
  18. Verfahren gemäß Anspruch 1, wobei der Vorgang des Empfangens (305) eines zweiten schemabasierten Dokuments, welches eine Angabe bereitstellt, dass der Server das Computersystem autorisiert hat, auf das zweite Netzwerk zuzugreifen, einen Vorgang des Empfangens eines zweiten XML-Dokumentes umfasst, welches gemäß einem XML-Anmeldeschema definiert ist.
  19. Verfahren gemäß Anspruch 1, wobei der Vorgang des Empfangens (305) eines zweiten schemabasierten Dokuments, welches eine Angabe bereitstellt, dass der Server das Computersystem autorisiert hat, um auf Ressourcen, welche sich in dem zweiten Netzwerk befinden, zuzugreifen, einen Vorgang des Empfangens einer Zugangsberechtigung, welche benutzt werden kann, um sich mit dem Server zu authentifizieren, umfasst.
  20. Verfahren gemäß Anspruch 1, wobei der Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für den Zugang zu dem zweiten Netzwerk zu konfigurieren, einen Vorgang des Führens eines XML-Dokumentes umfasst, welches gemäß eines XML-Konfigurationsschemas definiert ist.
  21. Verfahren gemäß Anspruch 1, wobei der Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für den Zugang zu dem zwei ten Netzwerk zu konfigurieren, einen Vorgang des Ausführens eines schemabasierten Dokumentes umfasst, um das Computersystem zu konfigurieren, um entsprechend mit einem kabelgebundenen Netzwerk zu kommunizieren, auf welches durch einen kabellosen Access-Point zugegriffen wird.
  22. Verfahren gemäß Anspruch 1, wobei der Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für den Zugang zu dem zweiten Netzwerk zu konfigurieren, einen Vorgang des Ausführens eines schemabasierten Dokuments umfasst, um das Computersystem zu konfigurieren, um entsprechend mit einem DSL-Provider zu kommunizieren.
  23. Verfahren gemäß Anspruch 1, wobei der Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für den Zugang zu dem zweiten Netzwerk zu konfigurieren, einen Vorgang des Ausführens eines schemabasierten Dokuments umfasst, um das Computersystem zu konfigurieren, um entsprechend mit einem ISP zu kommunizieren.
  24. Verfahren gemäß Anspruch 1, wobei der Vorgang des Ausführens (306) eines dritten schemabasierten Dokumentes, um das Computersystem für den Zugang zu dem zweiten Netzwerk zu konfigurieren, einen Vorgang des Ausführens eines schemabasierten Dokuments umfasst, um das Computersystem zu konfigurieren, um entsprechend mit einem Ethernetnetzwerk zu kommunizieren.
  25. Verfahren gemäß Anspruch 1, des Weiteren umfassend: einen Vorgang des Empfangens, nach dem Senden der Berechtigungsnachweise, eines Hinweises, dass der Server einen beschränkten Zugang zu dem ersten Netzwerk autorisiert hat, zum Zweck des Herunterladens von Versorgungsdateien, welche benötigt werden, um autorisiert zu werden, auf die Vielzahl von Ressourcen in dem zweiten Netzwerk zuzugreifen.
  26. Verfahren gemäß Anspruch 1, des Weiteren umfassend: einen Vorgang des Wählens eines EAP-Typs, welcher für die Authentifizierung benutzt werden soll.
  27. Ein Computerprogrammprodukt zur Benutzung in einem Computersystem, welches durch ein intermediäres Computersystem mit einem Netzwerk verbunden werden kann und das zu sowohl einem zweiten Netzwerk, welches eine Vielzahl von Ressourcen umfasst, als auch einem ersten Netzwerk, welches mindestens Ressourcen für das Ermöglichen, dass das Computersystem auf das zweite Netzwerk zugreift, umfasst, verbunden werden kann, wobei das intermediäre Computersystem ermittelt, ob Daten von dem Computersystem an das erste oder das zweite Netzwerk übertragen werden, so dass der Zugang zu dem ersten Netzwerk erlaubt werden kann, während der Zugang zu dem zweiten Netzwerk beschränkt ist, wobei das erste Netzwerk des Weiteren einen Server, welcher Computersysteme autorisieren kann auf das zweite Netzwerk zuzugreifen, umfasst, das Computerprogrammprodukt für das Implementieren eines Verfahrens des Ermöglichens, dass das Computersystem Zugang zu dem zweiten Netzwerk erhält, um Benutzereingaben zu verringern, wobei das Computerprogrammprodukt auf ein oder mehreren computerlesbaren Medien das Folgende gespeichert hat: computerausführbare Instruktionen für das Senden von Berechtigungsnachweisen an den Server um zu versuchen, sich mit dem Server zu authentifizieren, wobei die computerausführbaren Funktionen des Weiteren computerausführbare Instruktionen umfassen, um den Typ der Authentifizierung auszuhandeln, welcher durch das Computersystem benutzt wird, um sich mit dem Server zu authentifizieren; computerausführbare Instruktionen für das Darstellen einer Benutzerschnittstelle, welche benutzereingegebene Informationen empfangen kann, so dass es nicht nötig ist, dass ein Benutzer des Computersystems Vorwissen haben muss, wie das Darstellen der Benutzerschnittstelle hervorgerufen wird; computerausführbare Instruktionen für das Empfangen von benutzereingegebenen Informationen in die Benutzerschnittstelle; computerausführbare Instruktionen für das Senden eines ersten schemabasierten Dokumentes, welches die benutzereingegebenen Informationen beinhaltet, an den Server; computerausführbare Instruktionen für das Empfangen, nach dem Senden des ersten schemabasierten Dokuments, eines zweiten schemabasierten Dokuments, welches eine Angabe darüber, dass der Server das Computersystem autorisiert hat, auf Ressourcen in dem zweiten Netzwerk zuzugreifen, zur Verfügung stellt; und computerausführbare Instruktionen für das Ausführen eines dritten schemabasierten Dokuments, um das Computersystem für einen kompatiblen Betrieb mit und für den Zugriff auf das zweite Netzwerk zu konfigurieren, wobei das dritte schemabasierte Do kument von dem Server des ersten Netzwerks empfangen wird, und die Ausführung dessen das Computersystem veranlasst, Verbindungstyp, Kommunikationsprotokoll, Authentifizierungstyp oder Verschlüsselungstyp zu konfigurieren, um einem Benutzer die manuelle Konfiguration des Computersystems zu erleichtern.
  28. Computerprogrammprodukt gemäß Anspruch 27, wobei computerausführbare Instruktionen für das Darstellen einer Benutzerschnittstelle, welche benutzereingegebene Informationen empfangen kann, des Weiteren computerausführbare Instruktionen für das Empfangen einer EAP-Benachrichtigung umfasst.
  29. Computerprogrammprodukt gemäß Anspruch 27, wobei computerausführbare Instruktionen für das Ausführen eines dritten schemabasierten Dokuments, um das Computersystem für den Zugriff auf das zweite Computernetzwerk zu konfigurieren, des Weiteren computerausführbare Instruktionen für das Ausführen eines XML-Dokuments, welches gemäß eines XML-Konfigurationsschemas definiert ist, umfassen.
DE60319791T 2002-12-06 2003-11-27 Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk Expired - Lifetime DE60319791T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US313084 2002-12-06
US10/313,084 US7284062B2 (en) 2002-12-06 2002-12-06 Increasing the level of automation when provisioning a computer system to access a network

Publications (2)

Publication Number Publication Date
DE60319791D1 DE60319791D1 (de) 2008-04-30
DE60319791T2 true DE60319791T2 (de) 2009-04-16

Family

ID=32312283

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60319791T Expired - Lifetime DE60319791T2 (de) 2002-12-06 2003-11-27 Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk

Country Status (12)

Country Link
US (1) US7284062B2 (de)
EP (1) EP1427163B1 (de)
JP (1) JP2004213632A (de)
KR (1) KR101004504B1 (de)
CN (1) CN100581154C (de)
AT (1) ATE390008T1 (de)
AU (2) AU2003266437B2 (de)
BR (1) BR0305307A (de)
CA (1) CA2448946A1 (de)
DE (1) DE60319791T2 (de)
MX (1) MXPA03011281A (de)
RU (1) RU2342700C2 (de)

Families Citing this family (125)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7483984B1 (en) * 2001-12-19 2009-01-27 Boingo Wireless, Inc. Method and apparatus for accessing networks by a mobile device
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7336783B2 (en) * 2003-01-24 2008-02-26 Samsung Electronics, C., Ltd. Cryptographic systems and methods supporting multiple modes
EP1614267B1 (de) * 2003-04-15 2016-07-20 Thomson Licensing Verfahren zur nahtloser zugangsversorgung in unternehmenshotspots sowohl für gastgebraucher als auch für lokale gebraucher
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7827556B2 (en) * 2003-07-17 2010-11-02 Silicon Graphics International Method for equitable resource sharing between local and network filesystems
CN1826766B (zh) * 2003-07-22 2010-07-28 汤姆森许可贸易公司 用于控制基于信用的(预付费)访问无线网络的方法和设备
JP2007506197A (ja) * 2003-09-19 2007-03-15 ピーシーテル インコーポレイテッド 無線ネットワークの自動アップデートシステム装置及び方法
US20050097199A1 (en) * 2003-10-10 2005-05-05 Keith Woodard Method and system for scanning network devices
DE10351350A1 (de) * 2003-11-04 2005-06-02 Siemens Ag Verfahren zum Projektieren einer Automatisierungsanlage
US7505596B2 (en) * 2003-12-05 2009-03-17 Microsoft Corporation Automatic detection of wireless network type
US7493394B2 (en) * 2003-12-31 2009-02-17 Cisco Technology, Inc. Dynamic timeout in a client-server system
GB0400694D0 (en) * 2004-01-13 2004-02-18 Nokia Corp A method of connection
JP3736641B2 (ja) * 2004-01-22 2006-01-18 セイコーエプソン株式会社 データ転送制御装置及び電子機器
JP4261382B2 (ja) * 2004-02-17 2009-04-30 株式会社日立コミュニケーションテクノロジー 通信統計情報収集機能を備えたアクセスサーバ
JP2005268936A (ja) * 2004-03-16 2005-09-29 Canon Inc アクセスポイント、ネットワークシステム及びネットワークサービス提供方法
US20050226175A1 (en) * 2004-03-30 2005-10-13 Ajay Gupta Device, system and method for configuration of wireless access point
US20050223086A1 (en) * 2004-03-31 2005-10-06 Raverdy Pierre G Discovering nearby hosts and applications for impromptu interactions using well-known ad-hoc network configuration
US20070274232A1 (en) * 2004-04-05 2007-11-29 Telefonaktiebolaget Lm Ericsson (Pub) Method, Communication Device and System for Detecting Neighboring Nodes in a Wireless Multihop Network Using Ndp
US7676585B1 (en) * 2004-04-29 2010-03-09 Cisco Technology, Inc. System and method for dynamically adjusting a refresh interval
EP1780643A4 (de) * 2004-07-02 2010-12-08 Ibm Quarantänesystem
US9021253B2 (en) 2004-07-02 2015-04-28 International Business Machines Corporation Quarantine method and system
US7273179B2 (en) * 2004-07-09 2007-09-25 Datalogic Scanning, Inc. Portable data reading device with integrated web server for configuration and data extraction
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
US7987499B2 (en) * 2004-08-18 2011-07-26 Broadcom Corporation Method and system for exchanging setup configuration protocol information in beacon frames in a WLAN
US7930737B2 (en) * 2004-08-18 2011-04-19 Broadcom Corporation Method and system for improved communication network setup utilizing extended terminals
US20060046693A1 (en) * 2004-08-31 2006-03-02 Hung Tran Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
JP2006072682A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 中継装置及び通信システム及び通信方法及びプログラム
KR100851184B1 (ko) * 2004-09-24 2008-08-08 주식회사 케이티 가상 사무 서비스 제공 시스템
US7437721B2 (en) * 2004-09-29 2008-10-14 Microsoft Corporation Isolating software deployment over a network from external malicious intrusion
US7925540B1 (en) * 2004-10-15 2011-04-12 Rearden Commerce, Inc. Method and system for an automated trip planner
US20060129557A1 (en) * 2004-12-10 2006-06-15 Microsoft Corporation Wireless network sign-up experience
US7805414B2 (en) * 2004-12-10 2010-09-28 Jean-Pierre Duplessis Wireless network customization
US7310669B2 (en) * 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US7949114B2 (en) * 2005-03-15 2011-05-24 Avaya Inc. Granting privileges to a telecommunications terminal based on the relationship of a first signal to a second signal
US7720018B2 (en) * 2005-04-21 2010-05-18 Microsoft Corporation Low power transmission provisioning for wireless network devices
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US7657255B2 (en) * 2005-06-23 2010-02-02 Microsoft Corporation Provisioning of wireless connectivity for devices using NFC
US20060294580A1 (en) * 2005-06-28 2006-12-28 Yeh Frank Jr Administration of access to computer resources on a network
US7733906B2 (en) * 2005-06-30 2010-06-08 Intel Corporation Methodology for network port security
US8286223B2 (en) 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US8705550B2 (en) * 2005-08-08 2014-04-22 Qualcomm Incorporated Device interface architecture and protocol
US7570939B2 (en) * 2005-09-06 2009-08-04 Apple Inc. RFID network arrangement
US20070101401A1 (en) * 2005-10-27 2007-05-03 Genty Denise M Method and apparatus for super secure network authentication
US9768963B2 (en) 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
US20070162909A1 (en) * 2006-01-11 2007-07-12 Microsoft Corporation Reserving resources in an operating system
JP2007199880A (ja) * 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
US7333464B2 (en) * 2006-02-01 2008-02-19 Microsoft Corporation Automated service discovery and wireless network set-up
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US20070203852A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
JP2007280221A (ja) * 2006-04-10 2007-10-25 Fujitsu Ltd 認証ネットワークシステム
US8595794B1 (en) 2006-04-13 2013-11-26 Xceedium, Inc. Auditing communications
US20070288853A1 (en) * 2006-06-09 2007-12-13 Nextair Corporation Software, methods and apparatus facilitating presentation of a wireless communication device user interface with multi-language support
US20070294699A1 (en) * 2006-06-16 2007-12-20 Microsoft Corporation Conditionally reserving resources in an operating system
US9250972B2 (en) * 2006-06-19 2016-02-02 International Business Machines Corporation Orchestrated peer-to-peer server provisioning
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
KR100739809B1 (ko) * 2006-08-09 2007-07-13 삼성전자주식회사 Wpa-psk 환경의 무선 네트워크에서 스테이션을관리하는 방법 및 이를 위한 장치
US8174995B2 (en) * 2006-08-21 2012-05-08 Qualcom, Incorporated Method and apparatus for flexible pilot pattern
US8978103B2 (en) * 2006-08-21 2015-03-10 Qualcomm Incorporated Method and apparatus for interworking authorization of dual stack operation
EP2055078B1 (de) 2006-08-21 2017-03-08 QUALCOMM Incorporated Verfahren und vorrichtung zur autorisierung einer doppelstapel-verbindungstechnik
US8266681B2 (en) * 2006-08-29 2012-09-11 Ca, Inc. System and method for automatic network logon over a wireless network
US8266702B2 (en) 2006-10-31 2012-09-11 Microsoft Corporation Analyzing access control configurations
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8087072B2 (en) * 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US7886339B2 (en) * 2007-01-20 2011-02-08 International Business Machines Corporation Radius security origin check
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8356176B2 (en) 2007-02-09 2013-01-15 Research In Motion Limited Method and system for authenticating peer devices using EAP
KR101450774B1 (ko) * 2007-02-21 2014-10-14 삼성전자주식회사 무선랜에서의 자기 스캔을 통한 중복 ssid 검출 방법및 그 시스템
US8646045B1 (en) * 2007-07-26 2014-02-04 United Services Automobile Association (Usaa) Bank speech authentication
US8353052B2 (en) * 2007-09-03 2013-01-08 Sony Mobile Communications Ab Providing services to a guest device in a personal network
US8762999B2 (en) * 2007-09-27 2014-06-24 Oracle America, Inc. Guest-initiated resource allocation request based on comparison of host hardware information and projected workload requirement
US7958211B2 (en) * 2007-10-22 2011-06-07 Sony Corporation Automatic configuration of wireless device for router
JP5052367B2 (ja) * 2008-02-20 2012-10-17 株式会社リコー 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体
US8726042B2 (en) * 2008-02-29 2014-05-13 Microsoft Corporation Tamper resistant memory protection
US8429739B2 (en) * 2008-03-31 2013-04-23 Amazon Technologies, Inc. Authorizing communications between computing nodes
US8374159B2 (en) 2008-05-21 2013-02-12 Microsoft Corporation Wireless network host in silent mode
US9094301B2 (en) * 2008-05-30 2015-07-28 Red Hat, Inc. Provisioning network resources by environment and network address
US9009310B1 (en) * 2008-06-12 2015-04-14 Hlt Domestic Ip Llc System and method for provisioning of internet access services in a guest facility
US8245276B1 (en) * 2008-06-12 2012-08-14 Hilton Hotels Corporation System and method for providing internet access services at hotels within a hotel chain
US20100132047A1 (en) * 2008-11-24 2010-05-27 Honeywell International Inc. Systems and methods for tamper resistant memory devices
US8855087B2 (en) 2008-12-18 2014-10-07 Microsoft Corporation Wireless access point supporting control by multiple applications
US20100157850A1 (en) * 2008-12-23 2010-06-24 Qualcomm Incorporated In-band provisioning for a closed subscriber group
US9244882B2 (en) * 2009-02-26 2016-01-26 Red Hat, Inc. Provisioning network resources based on environment
US8819791B2 (en) * 2009-03-16 2014-08-26 Apple Inc. Captive network negotiation interface and automation
US8898748B2 (en) * 2009-05-21 2014-11-25 Mobile Iron, Inc. Remote verification for configuration updates
DE102009029828B4 (de) * 2009-06-18 2011-09-01 Gigaset Communications Gmbh DEFAULT Verschlüsselung
EP2278834A1 (de) * 2009-06-30 2011-01-26 Alcatel Lucent Verfahren zur Übertragung von Daten zwischen einem Client und einem Server in einem Telekommunikationsnetzwerk, sowie System, Server, Client und Knoten
US8630901B2 (en) * 2009-10-09 2014-01-14 Pravala Inc. Using a first network to control access to a second network
CA2777098C (en) * 2009-10-09 2018-01-02 Tajinder Manku Using a first network to control access to a second network
US9203831B2 (en) * 2009-11-25 2015-12-01 Red Hat, Inc. SSL client authentication
US8792392B2 (en) * 2010-02-10 2014-07-29 Qualcomm Incorporated Method and apparatus for in-band provisioning of a device at a closed subscriber group
US8804957B2 (en) * 2010-03-29 2014-08-12 Nokia Corporation Authentication key generation arrangement
JP4888588B2 (ja) * 2010-07-26 2012-02-29 日本電気株式会社 通信システム、ネットワーク機器、通信機器及びそれらに用いるネットワーク接続方法
KR101587003B1 (ko) * 2010-09-07 2016-01-20 삼성전자주식회사 무선 통신 시스템에서 와이 파이 연결 확인을 위한 장치 및 방법
JP2012073893A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
US20120102207A1 (en) * 2010-10-26 2012-04-26 Joseph Salowey Registration of ad-hoc group members into an infrastructure network
SG192006A1 (en) 2011-01-18 2013-08-30 Nomadix Inc Systems and methods for group bandwidth management in a communication systems network
EP3700163B1 (de) * 2011-02-14 2022-01-19 Nokia Technologies Oy Nahtlose wi-fi-subskriptionserneuerung
US20120243444A1 (en) * 2011-03-25 2012-09-27 Mitel Networks Corporation Communication system to localize devices and methods thereof
CN102299924A (zh) * 2011-08-22 2011-12-28 神州数码网络(北京)有限公司 RADIUS服务器与802.1x客户端信息交互、认证方法及系统
CN102957678B (zh) * 2011-08-26 2016-04-06 北京华为数字技术有限公司 认证ip电话机和协商语音域的方法、系统以及设备
US8959572B2 (en) 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices
US8984606B2 (en) * 2011-12-22 2015-03-17 Hewlett-Packard Development Company, L.P. Re-authentication
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
EP2880822A4 (de) * 2012-07-30 2016-03-16 Hewlett Packard Development Co Netzwerkkommunikation mit anbieterüberbrückung
US20140337926A1 (en) * 2013-05-10 2014-11-13 Matthew Martin Shannon Systems and methods for on-demand provisioning of user access to network-based computer applications and programs
RU2598787C2 (ru) * 2014-02-13 2016-09-27 Общество с ограниченной ответственностью "ТатАСУ" СИСТЕМА АВТОМАТИЗИРОВАННОГО СБОРА И ОБРАБОТКИ ДАННЫХ gps-МОНИТОРИНГА
US10063998B2 (en) * 2014-11-07 2018-08-28 Tevnos LLC Mobile authentication in mobile virtual network
CN105429800A (zh) * 2015-12-03 2016-03-23 小米科技有限责任公司 网络连接的处理方法、装置和终端设备
US10257237B2 (en) * 2016-12-21 2019-04-09 Netapp, Inc. Recovering from and avoiding network connectivity loss
US11070392B2 (en) 2017-10-27 2021-07-20 Hilton International Holding Llc System and method for provisioning internet access
US11470132B2 (en) * 2018-11-29 2022-10-11 Ricoh Company, Ltd. Information processing apparatus, information processing system, electronic blackboard apparatus, control method, and program
US11363000B1 (en) 2021-01-04 2022-06-14 Bank Of America Corporation System for virtual private network authentication sensitivity with read only sandbox integration

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5943674A (en) * 1996-07-11 1999-08-24 Tandem Computers Incorporated Data structure representing an interface definition language source file
US6608832B2 (en) 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
JP2000324104A (ja) * 1999-05-10 2000-11-24 Matsushita Electric Works Ltd バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
CA2388623C (en) * 1999-10-22 2010-06-22 Nomadix,Inc. Systems and methods for redirecting users attempting to access a network site
US7007080B2 (en) * 1999-12-23 2006-02-28 Solution Inc Limited System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention
US20020013831A1 (en) * 2000-06-30 2002-01-31 Arto Astala System having mobile terminals with wireless access to the internet and method for doing same
WO2002009458A2 (en) * 2000-07-24 2002-01-31 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US7016877B1 (en) * 2000-08-04 2006-03-21 Enfotrust Networks, Inc. Consumer-controlled limited and constrained access to a centrally stored information account
US6571201B1 (en) * 2000-08-18 2003-05-27 Gilbarco Inc. Remote-access fuel dispenser using a data type aware mark-up language
DE50011222D1 (de) * 2000-12-04 2005-10-27 Siemens Ag Verfahren zum Nutzen einer Datenverarbeitungsanlage abhängig von einer Berechtigung, zugehörige Datenverarbeitungsanlage und zugehöriges Programm
EP1246445B1 (de) * 2001-03-22 2006-01-04 Nortel Networks Limited Flexible kundenspezifische Anpassung von Netzwerkdiensten
JPWO2002080467A1 (ja) * 2001-03-29 2004-07-22 三菱電機株式会社 ネットワーク管理システム
US20030065919A1 (en) * 2001-04-18 2003-04-03 Albert Roy David Method and system for identifying a replay attack by an access device to a computer system
US20040139204A1 (en) * 2001-04-23 2004-07-15 Siegried Ergezinger Architecture for providing services in the internet
US7269668B2 (en) * 2001-09-05 2007-09-11 Redford Darrell J Mobile, seamless, temporary, wireless network access apparatus and method
US20040019786A1 (en) * 2001-12-14 2004-01-29 Zorn Glen W. Lightweight extensible authentication protocol password preprocessing
US7082535B1 (en) * 2002-04-17 2006-07-25 Cisco Technology, Inc. System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol
US20040225709A1 (en) * 2003-05-06 2004-11-11 Joseph Kubler Automatically configuring security system

Also Published As

Publication number Publication date
EP1427163B1 (de) 2008-03-19
EP1427163A2 (de) 2004-06-09
AU2009208127A1 (en) 2009-09-03
RU2342700C2 (ru) 2008-12-27
AU2003266437A1 (en) 2004-06-24
CN1514619A (zh) 2004-07-21
RU2003135540A (ru) 2005-05-27
CA2448946A1 (en) 2004-06-06
AU2003266437B2 (en) 2009-10-29
KR101004504B1 (ko) 2010-12-31
AU2009208127B2 (en) 2011-03-03
JP2004213632A (ja) 2004-07-29
MXPA03011281A (es) 2004-09-10
ATE390008T1 (de) 2008-04-15
BR0305307A (pt) 2004-08-31
CN100581154C (zh) 2010-01-13
EP1427163A3 (de) 2005-04-13
US7284062B2 (en) 2007-10-16
KR20040049822A (ko) 2004-06-12
US20040111520A1 (en) 2004-06-10
DE60319791D1 (de) 2008-04-30

Similar Documents

Publication Publication Date Title
DE60319791T2 (de) Verfahren und Vorrichtung für den Zugang eines Computers zu einem Kommunikationsnetzwerk
DE602004004325T2 (de) Verfahren und Vorrichtung zur Bereitstellung eines sicheren VPN-Zugriffs mittels veränderter Zertifikat-Zeichenketten
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
DE602005005131T2 (de) Nutzungsberechtigung für Dienste in einem drahtlosen Kommunikationsnetzwerk
DE69932003T2 (de) System und Verfahren zur Kontrolle einer Netzwerkverbindung
US7483984B1 (en) Method and apparatus for accessing networks by a mobile device
DE10392208T5 (de) Mechanismus zum Unterstützten drahtgebundener und drahtloser Verfahren für eine client- und serverseitige Authentifizierung
EP2632104B1 (de) Verfahren und Telekommunikationssystem zur Anmeldung eines Nutzers an einem gesicherten personalisierten IPTV-Dienst
EP2835946A1 (de) Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients
DE102011115154B3 (de) Verfahren zur Initialisierung und/oder Aktivierung wenigstens eines Nutzerkontos
EP3432539B1 (de) Verfahren zum aufbau eines kommunikationskanals zwischen einer servereinrichtung und einer clienteinrichtung
EP2919145B1 (de) Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren
WO2007096249A1 (de) Verfahren zum sicheren erkennen des endes einer anwender-sitzung
Cisco Overview
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
Cisco Overview
Cisco Overview
Cisco Overview
Cisco Overview
Cisco Overview
DE10107883B4 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
EP4179758B1 (de) Authentisierung eines kommunikationspartners an einem gerät
EP2397960A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token über eine Telekommunikations-Chipkarte und ein Server-Computersystem
DE10009537A1 (de) Verfahren und Kommunikationssystem zum Authentifizieren eines Mobilfunkkommunikationsendgeräts durch einen Authentifikations-Server sowie Protokollumsetzungseinheit

Legal Events

Date Code Title Description
8364 No opposition during term of opposition