-
Die
vorliegende Erfindung bezieht sich auf das Konfigurieren von Computersystemen,
so dass diese in einem Netzwerk geeignet kommunizieren, und im Speziellen
auf das automatische Versorgen eines Computersystems mit geeigneter
Information, so dass das Computersystem ausgestattet ist, um in
einem Netzwerk zu kommunizieren.
-
Computersysteme
und verwandte Technologien beeinflussen viele Aspekte der Gesellschaft.
Tatsächlich
hat die Fähigkeit
von Computersystemen, Informationen zu verarbeiten, die Lebens-
und Arbeitsweise verändert.
Computersysteme führen
nun eine große
Zahl von Aufgaben durch (z. B. Textverarbeitung, Planung und Datenbankverwaltung),
die vor dem Aufkommen der Computersysteme manuell ausgeführt wurden.
Computersysteme wurden kürzlich
miteinander verbunden, um Computernetzwerke zu bilden, über welche
die Computersysteme elektronisch kommunizieren können, um Daten auszutauschen.
Als Ergebnis umfassen viele der von einem Computersystem ausgeführten Aufgaben
(z. B. Zugriff auf E-Mail
und Webbrowsen) elektronische Kommunikation mit ein oder mehreren
anderen Computersystemen über
ein Computernetzwerk (z. B. das Internet).
-
Um
elektronisch über
ein Computernetzwerk zu kommunizieren, kann es nötig sein, dass das Computersystem
autorisiert sein muss, um auf das Computernetzwerk zuzugreifen.
Bevor beispielsweise das Computersystem elektronisch über das
Internet kommunizieren kann, ist oftmals eine Registrierung des
Benutzers des Computersystems bei einem Internetserviceprovider
(hiernach bezeichnet als ISP) nötig,
der den Zugriff auf das Internet autorisieren kann. Die Registrierung
bei einem ISP umfasst typischerweise eine von der elektronischen
Kommunikation abweichende Form der Kommunikation über das
Netzwerk. Beispielsweise kann es notwendig sein, dass ein Benutzer
eine telefonische Kommunikation mit einem Vertreter eines ISP's aufnimmt, um ein
Kundenkonto bei dem ISP zu errichten.
-
Während dieser
telefonischen Kommunikation kann ein Benutzer bei dem Vertreter
des ISP's allgemeine
Informationen (z. B. Name, Adresse, und so fort) und eine Bezahlweise
(z. B. eine Kreditkartennummer) angeben. Im Gegenzug stellt der
ISP dem Benutzer einen Benutzernamen und Passwort zur Verfügung, die benutzt
werden können,
um den Benutzer zu authentifizieren und zu autorisieren um auf das
Internet zuzugreifen. In vielen Fällen sendet der ISP ebenso, über Post
oder einen anderen Lieferdienst, Zugangssoftware (z. B. eine Einwählsoftware,
Webbrowser, und so fort) und/oder Hardware (z. B. ein DSL-Modem
oder ein Kabelmodem), welche in dem Computersystem installiert werden
müssen.
Damit sich der Benutzer mit dem ISP verbinden und somit auf das
Internet zugreifen kann, muss jede Zugangssoftware und Hardware
korrekt in dem Computersystem installiert sein. Somit muss ein Benutzer,
der auf das Internet zugreifen möchte,
oftmals darauf warten bis solche Software und Hardware empfangen
wird. Nachdem die Zugangssoftware und/oder Hardware empfangen wurde,
muss der Benutzer die Zugangssoftware und/oder Hardware in dem Computersystem korrekt
installieren, um den Internetzugang zu ermöglichen.
-
Wenn
diese korrekt installiert sind, kann es notwendig sein, dass der
Benutzer sich mit dem ISP verbindet und den Benutzernamen und Passwort
eingibt, die von dem ISP zur Verfügung gestellt wurden. Der ISP kann
den Benutzer basierend auf Benutzernamen und Passwort authentifizieren
und entsprechend (z. B. wenn die Zahlung des Benutzers gewährleistet
ist) kann der ISP das Computersystem des Benutzers autorisieren, auf
das Internet zuzugreifen. Unglücklicherweise
gibt es in den meisten Fällen
keine Möglichkeit,
die elektronische Kommunikation über
das Internet zu benutzen, um einen Registrierungsprozess zu initiieren,
wenn ein Benutzer aktuell nicht bei einem ISP registriert ist. Dies
ist darin begründet,
dass die meisten ISP's über das Internet
erreichbar sind, und wenn der Benutzer keine Möglichkeit hat auf das Internet
zuzugreifen, gibt es für diesen
keinen Weg, den ISP für
eine Registrierung zu erreichen.
-
Daher
müssen
viele Benutzer, die auf das Internet zugreifen wollen, den ISP telefonisch
kontaktieren und auf die entsprechende Zugangssoftware und/oder
Hardware warten, bis diese geliefert wird. Des Weiteren werden Benutzer,
die versuchen, sich mit einem ISP ohne entsprechende Berechtigungsnachweise
(z. B. Benutzername und Passwort) oder ohne Autorisierung (z. B.
ohne Zahlungsmöglichkeit)
zu verbinden, typischerweise vollkommen von jeglichem Netzwerkzugriff
auf sowohl den ISP und das Internet blockiert. Daher, selbst wenn
ein Benutzer eine ISP Zugangsnummer für das Einwählen kennt (oder eine ISP Netzwerkadresse,
um damit eine Verbindung zu versuchen), kann es nötig sein,
dass der Benutzer den ISP unter Benutzung von anderen Kommunikationsmethoden
kontaktieren muss, um sich bei dem ISP zu registrieren (oder um
Kundenkontenunstimmigkeiten zu korrigieren).
-
In
manchen Fällen,
beispielsweise wenn man sich mit einem ISP von zu Hause verbinden
möchte, kann
eine Verzögerung
beim Warten auf die Zugangssoftware und Hardware akzeptabel sein.
In anderen Fällen
kann solch eine Verzögerung
nicht akzeptabel sein. Wenn man sich beispielsweise durch einen
Flughafen bewegt oder sich in einem Hotel befindet, kann sich ein
Benutzer mit einem mobilen Computersystem, wie beispielsweise einem
Laptop, wünschen,
sich mit dem Internet zu verbinden. Teilweise als ein Ergebnis dieses Wunsches
nach einem mobilen Zugang, bieten viele Hotels und Flughäfen den
Internetzugang durch sowohl kabelgebundene und kabellose Dienste
an. Das Erlangen einer Autorisierung, um auf das Internet über diese Dienste
zuzugreifen, benötigt
typischerweise eine Art von elektronischer Kommunikation mit dem
Dienst, um Benutzerinformation und Bezahlinformationen einzugeben.
-
Typischerweise
erfordern es diese Dienste, dass der Benutzer ein Kabel in eine
Netzwerkschnittstellenkarte des mobilen Computersystems einsteckt
(oder die Benutzung einer kabellosen Netzwerkschnittstellenkarte,
um eine Verbindung aufzubauen) sowie das Öffnen eines Webbrowsers. Jedoch
muss ein Benutzer darüber
informiert sein, dass diese Schritte durchgeführt werden müssen, bevor
man versucht, sich bei einem Dienst zu registrieren. Wenn ein Benutzer
beispielsweise nicht weiß,
dass er den Webbrowser öffnen
muss, gibt es für
diesen keinen Weg, um sich bei dem Dienst zu registrieren. Wenn
der Webbrowser geöffnet
ist, lenkt der Dienst jede Kommunikation von dem Webbrowser durch
einen webbasierten Registrierungsprozess. Eine Schnittstelle, um
Registrationsinformationen (z. B. Name, Raumnummer, Kreditkartennummer,
und so fort) einzugeben, kann dem Benutzer gezeigt werden. Wenn
die Registrierungsinformation es zulässt, kann der Benutzer autorisiert
werden, um auf das Internet unter Benutzung des Dienstes zuzugreifen.
-
Unglücklicherweise
sind viele Dienste proprietär
und jeder Dienst kann unterschiedliche Computersystemkonfigurationen
und/oder Registrierungsinformationen erfordern, um den Zugriff auf
das Internet zu autorisieren. Jedoch kann es einen Benutzer nicht
möglich
gewesen sein, in Erfahrung zu bringen, welche Systemkonfiguration
und/oder Registrierungsinformation benötigt wird, um sich bei einem
Dienst zu registrieren. Selbst wenn sich ein Benutzer erfolgreich
bei einem Dienst an einem Ort (z. B. Flughafen) registriert, kann
es daher dem Benutzer nicht möglich
sein, sich an einem anderen Ort (z. B. Hotel) aufgrund eines nicht
richtig konfigurierten Computersystems oder aufgrund des Fehlens
der richtigen Registrierungsinformation zu registrieren.
-
Des
Weiteren autorisieren die meisten Hotel- und Flughafendienste den
Internetzugang nur für
eine verhältnismäßig kurze
Zeitperiode (z. B. 24 Stunden) bevor das Benutzerkonto ausläuft. Nachdem
das Benutzerkonto ausläuft,
kann es notwendig sein, dass der Benutzer wieder einen Webbrowser öffnet (und
möglicherweise
sich wieder über
ein Kabel verbinden muss) und die gesamte Registrierungsinformation,
welche zuvor eingegeben wurde, erneut eingeben muss. Selbst wenn
ein Benutzer anfänglich
wusste, dass dieser einen Webbrowser öffnen muss, um sich bei einem
Dienst zu registrieren, kann es daher sein dass der Benutzer nicht
weiß,
dass der Webbrowser jeden Tag geöffnet
werden muss, um sich erneut bei dem Dienst zu registrieren. Des Öfteren muss
die Registrierungsinformation, die in einer vorherigen Registrierung
(z. B. an einem vorangegangenen Tag) eingegeben wurde, erneut eingegeben
werden, selbst wenn sich keine der Registrierungsinformationen geändert hat.
Wenn die Registrierungsinformation sehr umfänglich ist, ist das erneute
Registrieren nach einer kurzen Zeitperiode sehr ärgerlich für den Benutzer, der die entsprechende
Registrierungsinformation in der Vergangenheit schon eingegeben
hat.
-
Zusätzlich fehlt
den meisten, wenn nicht allen, dieser Dienste Mechanismen für das Ändern der
Softwarekonfiguration des Computersystems. Dies bedeutet, dass ein
Dienst ein Computersystem typischerweise nicht mit maschinenlesbaren
Instruktionen versorgen kann, welche in dem Computersystem verarbeitet
werden können,
um das Computersystem zu veranlassen, dass dieses kompatibel zu
dem Dienst wird. Ein Dienst kann HTML (HyperText Markup Language)
Instruktionen als einen Teil der webbasierten Schnittstelle für das Empfangen
der Registrierungsinformation bereitstellen. Jedoch können typischerweise
HTML Instruktionen nicht von einem Computersystem verarbeitet werden,
um die Konfiguration des Computersystems zu ändern. Daher müssen jegliche
Softwareinkompatibilitäten
von dem Benutzer bearbeitet werden, dem eventuell die technische
Expertise oder das Verlangen, die Software für die Kompatibilität mit dem
Dienst zu rekonfigurieren, fehlt.
-
US 2002/013831 A1 bezieht
sich auf ein System, das über
mobile Endgeräte
mit kabellosem Zugang zu dem Internet verfügt sowie auf ein entsprechendes
Verfahren. System und Verfahren sind angegeben, um es zu ermöglichen,
dass ein Benutzer Informationsverwaltungsaufgaben ausführt und
Zugriff auf das Internet hat. Wenn ein Endgerät authentifiziert ist, kann
das Endgerät
als ein Internetbrowser funktionieren, um auf das Internet zuzugreifen,
mit der zusätzlichen
Fähigkeit,
Dienste und Informationen von einem Server anzufordern. Die Autorisation
wird von einer Zugriffseinheit ausgeführt, welche nach dem Login
Bildschirm auf dem Endgerät
angezeigt wird. Die Angabe des Passwortes und einer Benutzerkennung
ermöglicht
den Zugriff auf jeden benutzten Dienst, wie beispielsweise Browsen
oder ein systemspezifischer Dienst, solange wie das Endgerät eingeschaltet
und mit dem Server verbunden ist. Eine individuelle Sitzung auf
dem individuellen Niveau erfordert eine Authentisierung durch Benutzereingaben,
um auf Informationen zuzugreifen, die nur für den Benutzer bestimmt sind.
Zugriffsrechte werden nur einmal nach dem anfänglichen Login vergeben. Der
Zugriff auf individuelle Niveaus ermöglicht es dem Benutzer ebenso
auf einem Familienniveau zuzugreifen. Beispielsweise könnte der
Benutzer ein Endgerät
innerhalb der Benutzergruppe benutzen, um eine individuelle Sitzung
zu initiieren. Wenn der Benutzer eine individuelle Sitzung aktiviert,
werden Konfigurationsparameter, welche für den Benutzer spezifisch sind,
in das Endgerät
heruntergeladen.
-
Es
ist die Aufgabe der vorliegenden Erfindung, den Umfang der Automatisierung
für das
Bereitstellen und Konfigurieren eines Computersystems, um auf ein
Netzwerk zuzugreifen, zu steigern.
-
Diese
Aufgabe ist durch die unabhängigen
Ansprüche
gelöst.
-
Bevorzugte
Ausführungsformen
sind in den abhängigen
Ansprüchen
definiert.
-
Kurzüberblick über die Erfindung
-
Die
zuvor beschriebenen Probleme mit dem Stand der Technik werden durch
die Prinzipien der vorliegenden Erfindung überwunden, welche auf Verfahren,
Systeme, Computerprogrammprodukte und Datenstrukturen für das Steigern
des Maßes
an Automation für
das Bereitstellen und Konfigurieren eines Computersystems, um auf
ein Netzwerk zuzugreifen, gerichtet sind.
-
Ein
Server beinhaltet die Funktionalität, um Klienten (Client-Computer)
zu autorisieren, um auf ein zweites Netzwerk (z. B. das Internet)
zuzugreifen. Der Server kann sich in einem ersten Netzwerk, welches von
dem zweiten Netzwerk getrennt ist, oder auch in dem zweiten Netzwerk
befinden. Ein Klient sendet Berechtigungsnachweise (Credentials)
an den Server, um die Authentifikation mit dem Server anzustreben.
Basierend auf den Berechtigungsnachweisen kann der Server den Klienten
für zumindest
teilweisen Zugriff auf das zweite Netzwerk autorisieren und/oder
kann den Zugriff auf das zweite Netzwerk verweigern und den Klienten
zumindest für
teilweisen Zugriff auf das erste Netzwerk autorisieren. Der Server
kann ein RADIUS (Remote Authentication Dial-In User Service) Server
sein, der sich in dem ersten Netzwerk befindet. Klienten können mit
teilweisem Zugriff auf das erste oder zweite Netzwerk, zumindest
für den
Zweck des Authentifizierens mit dem Server und für das Herunterladen von Provisioning-Dateien
(Versorgungsdateien/Freischaltungsdateien), welche benutzt werden,
um vollen Zugriff auf das zweite Netzwerk zu erlangen, versehen
sein. Daher können
Computersysteme, die aktuell nicht in der Lage sind, um auf Ressourcen
in dem zweiten Netzwerk zuzugreifen, in der Lage sein, um elektronisch
Provisioning-Dateien für
das Erlangen von Zugriff auf diese Ressourcen herunterzuladen.
-
Eine Überprüfung, ob
Daten von dem Klient zu dem ersten Netzwerk oder dem zweiten Netzwerk übertragen
werden sollen, kann unter Benutzung von einer Zahl von Techniken,
beispielsweise Virtual Local Area Networks (VLAN), Internet Protocol
(IP) Filterung, Virtual Private Networks (VPNs) oder die Benutzung
von IP Security (IPSec) Protokollen, implementiert sein. In machen
Ausführungsformen
können ähnliche
Techniken ebenso innerhalb eines einzigen Netzwerks benutzt werden.
In diesen Ausführungsformen
kann der Server (basierend zumindest im Teil auf den empfangenen
Berechtigungsnachweisen) dem Klienten für zumindest teilweisen Zugriff
auf das einzige Netzwerk zu autorisieren, wie beispielsweise durch
das Autorisieren von einem Klientenzugang auf ausgewählte Computersysteme
oder Module in dem einzigen Netzwerk.
-
Das
Senden von Berechtigungsnachweisen kann das Senden einer erweiterbaren
Authentifizierungsprotokoll (EAP) Antwort/Identitätsnachricht
von dem Klienten an den Server umfassen. Wenn der Klient versucht,
mit einem Netzwerk über
einen Zugangspunkt (Access Point) zu verbinden, kann die EAP-Antwort/Identitäts-Nachricht
in andere Typen von Nachrichten, die durch den Zugriffspunkt übertragen
werden, eingekapselt werden. In VLAN Umgebungen kann der Zugangspunkt
einen „Tag
Header" (Kennzeichner-Kopfteil)
in die eingekapselte Nachricht einfügen, um einem Datenweiterleitungsgerät (Daten-Router)
anzuzeigen, dass die eingekapselte Nachricht an das erste Netzwerk übertragen
werden soll. Der Zugangspunkt kann ebenso eingerichtet sein, um
Kommunikationen von dem Klienten zu blockieren der andere als das
EAP und 802.1X Protokoll verwendet.
-
Wenn
die Berechtigungsnachweise nicht dem vollen Zugriff auf das zweite
Netzwerk autorisieren (z. B. können
die Berechtigungsnachweise nicht authentifiziert werden, die Berechtigungsnachweise
sind Gast-Berechtigungsnachweise, oder ein authentifizierter Benutzer
ist nicht entsprechend autorisiert), kann der Server durch das Senden
einer Benachrichtigung antworten, wie beispielsweise eine EAP-Benachrichtigung oder
eines TLV (Typ-Längen-Wert) Objektes innerhalb
eines PEAP (geschütztes
EAP) an den Klienten. Die Benachrichtigung kann verschlüsselt sein
und die Integrität
kann gemäß PEAP überprüft werden.
Die Benachrichtigung kann einen URI (Uniform Resource Identifier)
auf ein Hauptdokument (Master Document) enthalten, welches Informationen
für das
Bereitstellen des Klienten enthält.
Die Benachrichtigung kann ebenso Bedingungen (z. B. Anmeldung, Erneuerung,
und so fort) enthalten, welchen ein Benutzer genügen muss, um für den unbeschränkten Zugriff
auf Ressourcen in dem zweiten Netzwerk autorisiert zu werden.
-
Die
Benachrichtigung kann dem Zugangspunkt anzeigen, dass Kommunikationen,
die das HTTP Protokoll benutzen, zugelassen (freigegeben) werden
sollen, so dass der Klient das Hauptdokument durch Zugriff auf den
beinhalteten URI (z. B. durch das Ausführen eines HTTP oder HTTPS
get) herunterladen kann. In Erwiderung der Benachrichtigung kann
der Klient das Hauptdokument automatisch herunterladen. Das Hauptdokument
kann URIs auf Unterdateien beinhalten, welche eine Konfigurations-Unterdatei
und eine Anmeldeunterdatei beinhalten, welche ebenso automatisch
heruntergeladen werden können.
Wenn ein ISP Dienste von einem anderen ISP benutzt, kann ein Hauptdokument
ebenso URIs auf andere Hauptdokumente beinhalten. Daher gibt es
kaum die Notwendigkeit, um einen Serviceprovider unter Benutzung
von anderen Kommunikationsverfahren zu kontaktieren, um Dateien
für das
Erlangen von Zugriff auf ein Netzwerk anzufordern. Das Hauptdokument
und verknüpfte
Unterdateien können
gemäß einem
erweiterbaren Auszeichnungssprachen (XML) Schema definiert sein.
Bbeispielsweise kann eine Konfigurationsunterdatei gemäß einem
XML Konfigurationsschema definiert sein.
-
In
manchen Ausführungsformen
kann auf das Hauptdokument und die Unterdateien über andere Mechanismen als
den URI in einer Benachrichtigung zugegriffen werden, wie beispielsweise
durch das Zugreifen auf ein Hauptdokument und/oder Unterdateien
von entfernbaren computerlesbaren Medien (Floppy Disk, Flash-Karte
und so fort). Dies ist vorteilhaft in Umgebungen, welche das Bereitstellen
von Informationen erfordern, bevor die Netzwerkverbindbarkeit konfiguriert
werden kann, wie beispielsweise ein entferntes Einwählen. Nachdem
die Verbindung errichtet ist, werden das Hauptdokument und die Unterdateien
nach und nach von dem Netzwerk aktualisiert.
-
Eine
heruntergeladene Anmeldeunterdatei kann in dem Klienten verarbeitet
werden, um automatisch eine Benutzerschnittstelle anzuzeigen, welche
benutzereingegebene Informationen empfangen kann. Daher muss der
Benutzer keine Vorkenntnisse haben, wie das Anzeigen der Benutzerschnittstelle
ausgelöst
wird. Eine Benutzerschnittstelle kann in einer Vielzahl von unterschiedlichen
geschriebenen Sprachen, wie z. B. Englisch, Japanisch, Französisch oder
Deutsch, präsentiert
werden. Nachdem diese angezeigt wird, können benutzereingegebene Informationen
von der Benutzerschnittstelle empfangen werden. Wenn eine Benutzerschnittstelle
zum Zweck des Erneuerns einer Registrierung angezeigt wird, kann
die Menge der benutzereingegebenen Information, welche von der Benutzerschnittstelle
empfangen wird, reduziert sein. Beispielsweise kann zuvor eingegebene
Benutzerinformation von einer Benutzerdatenbank abgerufen werden.
Es kann sein, dass eine angezeigte Benutzerschnittstelle lediglich „JA" und „NEIN" Steuerungsobjekte
für das
Autorisieren von weiteren Kreditkartenzahlungen umfasst.
-
Ein
erstes schemabasiertes Dokument, welches die benutzereingegebene
Information enthält,
wird an den Server, z. B. durch das Ausführen eines HTTP oder HTTPS
post, übertragen.
Dies kann das Senden eines XML Dokuments, welches gemäß eines
XML Anmeldeschemas definiert ist, umfassen. Nach dem Senden des ersten
schemabasierten Dokuments kann der Klient einen Hinweis empfangen,
dass der Server den Klienten autorisiert hat, um auf Ressourcen,
die sich in dem zweiten Netzwerk befinden, zuzugreifen. Dies kann
das Empfangen eines zweiten schemabasierten Dokuments umfassen,
welches einen Benutzeridentifikator und Passwort oder eine Indikation,
dass eine Kreditkartenzahlung genehmigt wurde, umfasst. In VLAN
Ausführungsformen,
wenn ein Klient autorisiert ist, um auf Ressourcen in dem zweiten
Netzwerk zuzugreifen, kann der Zugangspunkt „Tag Header" in Klientendaten
einfügen,
um dem Datenweiterleitungsgerät
anzuzeigen, dass die Klientendaten zu dem zweiten Netzwerk übertragen
werden sollen. Der Zugangspunkt kann ebenso eine Kommunikation unter
Benutzung von aktuell blockierten Protokollen, wie beispielsweise
SMTP (Simple Mail Transfer Protocol) oder DHCP (Dynamic Host Control
Protocol), ermöglichen.
-
Ein
drittes schemabasiertes Dokument wird ausgeführt, um den Klienten für den kompatiblen
Betrieb mit dem zweiten Netzwerk zu konfigurieren. Dies kann das
Ausführen
einer Konfigurationsunterdatei umfassen, welche von dem Server empfangen
wurde. Eine Konfigurationsunterdatei kann ausgeführt werden, um den Verbindungstyp,
Kommunikationsprotokoll, Authentifizierungstyp, Verschlüsselungstyp,
und so fort zu konfigurieren. Eine Konfigurationsunterdatei kann
zu praktisch jeder Zeit nach dem Herunterladen ausgeführt werden.
Es gibt kein Erfordernis, dass die Konfigurationsunterdatei vor
oder nach dem Empfangen der benutzereingegebenen Information ausgeführt werden
soll. Durch das Ausführen
eines schemabasierten Dokuments kann der Klient mit geringem oder
ohne Benutzereingriff re konfiguriert werden. Dies entlastet den
Benutzer davon, den Klienten für
den kompatiblen Betrieb mit dem zweiten Netzwerk manuell zu rekonfigurieren.
-
Zusätzliche
Merkmale und Vorteile der Erfindung werden in der folgenden Beschreibung
ausgeführt und
werden teilweise aus der Beschreibung klar oder können durch
das Ausführen
der Erfindung verstanden werden. Die Merkmale und Vorteile der Erfindung
können
mittels der Instrumente und der Kombinationen, die in den angefügten Ansprüchen beschrieben
sind, realisiert und erhalten werden. Diese und andere Merkmale der
vorliegenden Erfindung werden aus der nachfolgenden Beschreibung
und beigefügten
Ansprüchen
deutlicher oder können
in der Praxis der Erfindung, wie im Folgenden beschrieben, erlernt
werden.
-
Kurzbeschreibung der Zeichnungen
-
Um
zu beschreiben, wie die zuvor erwähnten und weitere Vorteile
und Merkmale erhalten werden können,
wird eine detaillierte Beschreibung der Erfindung, die kurz zuvor
beschrieben wurde, in Bezug auf bestimmte Ausführungsformen gegeben, welche
in den beigefügten
Zeichnungen illustriert sind. Da diese Zeichnungen lediglich typische
Ausführungsformen
der Erfindung darstellen und deshalb nicht als Beschränkung betrachtet
werden können,
wird die Erfindung mit zusätzlicher
Genauigkeit und Details beschrieben und erklärt durch die Benutzung der
begleitenden Zeichnungen, in welchen:
-
1 eine
geeignete Betriebsumgebung für
die Prinzipien der vorliegenden Erfindung zeigt.
-
2 ein
Beispiel einer Netzwerkarchitektur zeigt, die es ermöglicht das
Ausmaß der
Automation beim Bereitstellen eines Klienten zu steigern.
-
3 ein
Flussdiagramm ist, welches ein Beispiel eines Verfahrens für das Bereitstellen
eines Computersystems zeigt.
-
4 ein
allgemeines Beispiel einer Netzwerkarchitektur zeigt, die Zugriff
auf ein erstes Netzwerk geben kann, während der Zugriff auf ein zweites
Netzwerk beschränkt
wird.
-
Detaillierte Beschreibung
der bevorzugten Ausführungsformen
-
Die
Prinzipien der vorliegenden Erfindung gewährleisten die Steigerung des
Maßes
an Automation für das
Bereitstellen (Freischalten) und Konfigurieren eines Computersystems,
um auf ein Netzwerk zuzugreifen. Ein Klient versucht autorisiert
zu werden, um auf Ressourcen, die sich in einem zweiten Netzwerk
(z. B. dem Internet) befinden, zuzugreifen. Der Klient sendet Berechtigungsnachweise
an einen Zugangspunkt, der kommunikativ mit einem Server (der sich
in einem ersten Netzwerk oder in dem zweiten Netzwerk befindet),
der den Zugriff auf das zweite Netzwerk autorisieren kann, verbunden
ist. Der Server empfängt
die Berechtigungsnachweise des Klienten und ermittelt, ob die Berechtigungsnachweise
des Klienten den Zugriff auf das zweite Netzwerk autorisieren.
-
Wenn
der volle Zugriff auf die in dem zweiten Netzwerk befindlichen Ressourcen
nicht autorisiert ist, kann der Server den beschränkten Zugriff
auf das erste Netzwerk oder zweite Netzwerk autorisieren, so dass der
Klient Provisioning Dateien (Freischalte- oder Versorgungs-Dateien)
herunterladen kann, um Vollzugriff auf die Ressourcen des zweiten
Netzwerks zu erlangen. In manchen Ausführungsformen (z. B. wenn sich
der Server in dem ersten Netzwerk befindet), kann der Server (zumindest
beschränkten)
Zugriff auf das erste Netzwerk autorisieren, während der Zugriff auf das zweite
Netzwerk beschränkt
bleibt. In manchen Ausführungsformen
(z. B. wenn sich der Server in dem zweiten Netzwerk befindet) kann
der Server beschränkten
Zugang auf das zweite Netzwerk autorisieren. Das Beschränken und/oder
die Begrenzung des Zugriffs auf ein Netzwerk kann unter Benutzung
einer Vielzahl von Techniken implementiert sein, so wie beispielsweise
VLANs (Virtual Local Area Networks), IP (Internet Protocol) Filterung,
VPNs (Virtual Private Networks) oder IPSec (IP Security) Protokollen.
-
Der
Server versorgt den Klient mit einem Uniform Resource Identifier
(URI) zu einem Hauptdokument, welches Informationen für das Versorgen
des Klienten beinhaltet. Das Hauptdokument kann weitere URIs zu Unterdateien
oder anderen Hauptdokumenten beinhalten, welche eine Konfigurationsunterdatei
und eine Anmeldeunterdatei umfassen. Nach dem Empfangen der URIs,
kann der Klient automatisch entsprechende Provisioning Dateien herunterladen.
Das Hauptdokument und verknüpfte
Unterdateien können
gemäß eines
XML (erweiterbaren Auszeichnungssprachen) Schemas definiert sein.
-
Eine
heruntergeladene Anmeldeunterdatei kann von dem Klienten verarbeitet
werden, um automatisch eine Benutzerschnittstelle anzuzeigen, die
benutzereingegebene Informationen empfangen kann. Der Klient kann
ein erstes schemabasiertes Dokument, welches die benutzereingegebene
Information beinhaltet, an den Server senden. Dies kann das Senden
eines XML Dokuments umfassen, welches gemäß eines XML Schemas definiert
ist. Nach dem Senden des ersten schemabasierten Dokuments, kann
der Klient ein zweites schemabasiertes Dokument empfangen, welches
anzeigt (beispielsweise durch das Beinhalten eines Benutzeridentifikators
und Passworts) das der Klient autorisiert wurde, um auf Ressourcen
in dem zweiten Netzwerk zuzugreifen.
-
Ein
drittes schemabasiertes Dokument wird von dem Klient ausgeführt, um
den Klient für
den kompatiblen Betrieb mit dem zweiten Netzwerk zu konfigurieren.
Dies kann das Ausführen
einer Konfigurationsunterdatei umfassen, die von dem Server empfangen
wurde. Eine Konfigurationsunterdatei kann ausgeführt werden, um Verbindungstyp,
Kommunikationsprotokolle, Authentifizierungstyp, Verschlüsselungstyp
und so fort zu konfigurieren. Eine Konfigurationsunterdatei kann
praktisch zu jeder Zeit nach dem Herunterladen ausgeführt werden.
Es ist nicht notwendig, dass eine Konfigurationsunterdatei vor oder
nach dem Empfangen von benutzereingegebenen Informationen ausgeführt wird.
-
Ausführungsformen
innerhalb des Bereichs der vorliegenden Erfindung umfassen computerlesbare Medien,
die computerausführbare
Instruktionen oder Datenstrukturen aufweisen oder tragen. Solche
computerlesbaren Medien können
jede verfügbaren
Medien umfassen, auf die von einem Mehrzweck- oder Spezialcomputer
zugegriffen werden kann. Als ein Beispiel, aber nicht als Beschränkung, umfassen
solche computerlesbaren Medien physikalische computerlesbare Medien,
wie RAM, ROM, EEPROM, CD-ROM oder weitere optische Scheibenspeicher,
magnetische Scheibenspeicher oder andere magnetische Speichervorrichtungen, oder
jedes andere Medium, welches benutzt werden kann, um gewünschte Programmcodemittel
in der Form von computerausführbaren
Instruktionen oder Datenstrukturen zu tragen oder zu speichern und
auf welche von einem Mehrzweck- oder Spezialcomputer zugegriffen
werden kann.
-
Wenn
Informationen über
ein Netzwerk oder eine andere Kommunikationsverbindung an ein Computersystem übertragen
oder bereitgestellt werden (entweder verkabelt, kabellos oder eine
Kombination von verkabelt oder kabellos), zeigt das Computersystem
diese Verbindung als ein computerlesbares Medium an. Daher wird
solch eine Verbindung korrekt als computerlesbares Medium bezeichnet.
Kombinationen des vorhergehenden sollen ebenso unter den Begriff
der computerlesbaren Medien fallen. Computerausführbare Instruktionen umfassen
beispielsweise Instruktionen und Daten, welche ein Mehrzweck-Computersystem,
Spezialcomputersystem oder ein Spezialverarbeitungsgerät veranlassen,
bestimmte Funktionen oder eine Gruppe von Funktionen auszuführen. Die
computerausführbaren
Instruktio nen könnten
beispielsweise binäre
Instruktionen, Zwischenformatfunktionen, wie beispielsweise Assembler
Sprache oder sogar Quellcode sein.
-
In
dieser Beschreibung und in den folgenden Ansprüchen ist eine „logische
Kommunikationsverbindung" definiert
als jeder Kommunikationspfad, der es ermöglicht, elektronische Daten
zwischen zwei Einheiten, wie beispielsweise Computersystemen oder
Modulen zu transportieren. Die tatsächliche physikalische Repräsentation
eines Kommunikationspfads zwischen zwei Einheiten ist nicht relevant
und kann sich mit der Zeit ändern.
Eine logische Kommunikationsverbindung kann Teile eines Systembus,
ein Lokalnetzwerk (LAN, z. B. ein Ethernet Netzwerk), ein WAN, das
Internet, Kombinationen von diesen oder Teilen von jedem anderen Pfad,
der den Transport von elektronischen Daten ermöglicht, umfassen. Logische
Kommunikationsverbindungen können
fest verdrahtete Verbindungen, kabellose Verbindungen oder auch
Kombinationen von fest verdrahteten Verbindungen und kabellosen
Verbindung umfassen. Logische Kommunikationsverbindungen können ebenso
Software-Module oder Hardware-Module umfassen, welche Teile von
elektronischen Daten derart konditionieren oder formatieren, so
dass diese für
Komponenten, welche die Prinzipien der vorliegenden Erfindung implementieren,
zugreifbar sind. Solche Module umfassen beispielsweise Proxy-Einrichtungen,
Router, Firewalls, Switche oder Gateways. Logische Kommunikationsverbindungen
können
ebenso Teile eines virtuellen Netzwerks, wie beispielsweise ein
VPN (Virtual Private Network) oder ein VLAN (Virtual Local Area
Network), umfassen.
-
In
dieser Beschreibung und in den folgenden Ansprüchen ist ein „Schema" definiert als ein
Ausdruck eines gemeinsam genutzten Vokabulars zwischen einer Vielzahl
von Computersystemen, welches es der Vielzahl von Computersystemen
ermöglicht,
Dokumente gemäß des ausgedrückten gemeinsamen
Vokabulars zu verarbeiten. Beispielsweise kann ein XML(erweiterbares
Auszeichnungssprachen)-Schema eine Klasse von XML Dokumenten unter
Benutzung von Schemakonstrukten einer XML Schemasprache definieren
und beschreiben. Diese Schemakonstrukte können benutzt werden, um die
Bedeutung, den Gebrauch und das Verhältnis von Datentypen, Elementen
und deren Inhalt, Attributen und deren Werte, Entitäten und
deren Inhalt und Notationen, wie diese in XML Dokumenten benutzt
werden, zu beschränken
und zu dokumentieren. Daher kann jedes Computersystem, das auf ein
XML Schema zugreifen kann, XML Dokumente gemäß des XML Schemas verarbeiten.
Des Weiteren kann jedes Computersystem, das auf ein XML Schema zugreifen
kann, XML Do kumente für
die Benutzung durch andere Computersysteme, die ebenso auf das XML
Schema zugreifen können,
erstellen oder modifizieren.
-
Ein
Schema ist definiert, so dass dieses eine DTD (Dokumenten Typ Definition)
umfasst, die beispielsweise DTD Dateien, die mit einer „.dtd" Erweiterung enden.
Ein Schema umfasst definitionsgemäß ebenso W3C (World Wide Web
Consortium) XML Schemata wie beispielsweise XML Schemadateien, die
mit einer „.xsd" Dateierweiterung
enden. Jedoch ist die tatsächliche
Dateierweiterung für
ein bestimmtes DTD oder XML Schema nicht relevant. Ein Schema kann
benutzt werden, um nahezu jeden Datentyp, umfassend Logische, Binäre, Oktale,
Dezimale, Hexadezimale, Integer, Fließkomma, Zeichen, Zeichenketten,
benutzerdefinierte Datentypen und Kombinationen von diesen Datentypen,
zu definieren, die benutzt werden, um Datenstrukturen zu definieren.
XML Elemente und Attribute können
definiert sein, um Datentypen, die durch ein Schema definiert sind,
zu repräsentieren.
In dieser Definition und den folgenden Ansprüchen, bezieht sich „schemabasiert" auf eine Definition
durch und/oder innerhalb eines Schemas.
-
1 und
die folgende Diskussion geben eine kurze, allgemeine Beschreibung
einer geeigneten Computerumgebung, in welcher die Erfindung implementiert
sein kann. Obwohl dies nicht erforderlich ist, wird die Erfindung
in dem allgemeinen Kontext von computerausführbaren Instruktionen, wie
Programmmodulen, die von Computern in einer Netzwerkumgebung ausgeführt werden,
beschrieben. Im Allgemeinen umfassen Programmmodule Routinen, Programme,
Objekte, Komponenten, Datenstrukturen und so weiter, welche bestimmte
Aufgaben ausführen
oder bestimmte abstrakte Datentypen implementieren. Computerausführbare Instruktionen,
verknüpfte
Datenstrukturen, und Programmmodule stellen Beispiele des Programmcodemittel
für das
Ausführen
der Schritte des hier offenbarten Verfahrens dar. Die bestimmte
Reihenfolge von solchen ausführbaren
Instruktionen repräsentiert
ein Beispiel von entsprechenden Vorgängen für das Implementieren der Funktion,
die in solchen Schritten beschrieben ist.
-
In
Bezug auf 1 umfasst ein beispielhaftes
System für
das Implementieren der Erfindung ein Mehrzweckcomputergerät in der
Form eines herkömmlichen
Computers 120, welches eine Verarbeitungseinheit 121,
einen Systemspeicher 122 umfasst, sowie einen Systembus 123,
welcher zahlreiche Systemkomponenten umfassend den Systemspeicher 122 und
die Verarbeitungseinheit 121 miteinander koppelt. Der Systembus 123 kann
einer von vielen Typen von Busstrukturen sein, welche einen Speicherbus
oder einen Speichercontroller, einen Peripheriebus und einen Local
Bus, der eine Vielzahl von Busarchitekturen benutzt, umfassen. Der
Systemspeicher umfasst einen Festwertspeicher (ROM) 124 und
einen wahlfreien Zugriffsspeicher (RAM) 125. Ein BIOS (Basic
Input/Output System) 126, welches die Grundroutinen umfasst,
welche es ermöglichen,
Informationen zwischen Elementen innerhalb des Computers 120,
wie beispielsweise während
des Startvorgangs, zu übertragen,
kann in dem ROM 124 gespeichert sein.
-
Der
Computer 120 kann ebenso ein Magnetfestplattenlaufwerk 127 für das Lesen
und Schreiben von oder auf eine magnetische Festplatte 139,
ein magnetisches Plattenlaufwerk 128 für das Lesen/Schreiben von/auf
eine entfernbare magnetische Platte 129, und ein optisches
Plattenlaufwerk für
das Lesen/Schreiben von/auf eine entfernbare optische Platte 131,
wie beispielsweise ein CD-ROM oder andere optische Medien umfassen.
Das magnetische Festplattenlaufwerk 127, magnetische Plattenlaufwerk 128,
und optische Plattenlaufwerk 130 sind mit dem Systembus 123 jeweils
durch eine Festplattenlaufwerkschnittstelle 132, eine magnetische
Plattenlaufwerkschnittstelle 133 und eine optische Laufwerkschnittstelle 134 verbunden.
Die Laufwerke und deren zugehörige
computerlesbare Medien ermöglichen
die nicht flüchtige
Speicherung von computerausführbaren
Instruktionen, Datenstrukturen, Programmmodulen und anderen Daten
von dem Computer 120. Obwohl die beschriebene beispielhafte
Umgebung eine magnetische Festplatte 139, eine entfernbare
magnetische Platte 129 und eine entfernbare optische Platte 131 beschreibt,
können
auch andere Typen von computerlesbaren Medien zum Speichern von
Daten benutzt werden, wie magnetische Kassetten, Flashspeicherkarten,
digitale Videodisketten, Bernoulli-Kassetten, RAM, ROM, oder ähnliches.
-
Programmcodemittel
umfassen ein oder mehrere Programmmodule, die auf der Festplatte 139,
Magnetplatte 129, optischen Platte 131, ROM 124 oder
RAM 125 gespeichert sein können, welche ein Betriebssystem 135,
ein oder mehrere Anwendungsprogramme 136, weitere Programmmodule 137 und
Programmdaten 138 umfassen. Ein Benutzer kann Anweisungen
und Informationen in den Computer 120 über eine Tastatur 140,
Zeigevorrichtung 142 oder andere Eingabegeräten (nicht
gezeigt), wie beispielsweise ein Mikrophon, Joystick, Gamepad, Satellitenschüssel, Scanner
oder ähnliches
eingeben. Diese und andere Eingabegeräte sind oftmals mit der Verarbeitungseinheit 121 über eine
serielle Schnittstelle 146 mit dem Systembus 123 verbunden.
Alternativ können
diese Eingabegeräte
mittels anderer Schnittstellen, wie einer Parallelen Schnittstelle, einer
Spiel-Schnittstelle oder einem USB (Universal Serial Bus) verbunden
sein. Ein Bildschirm 147 oder ein anderes Anzeigegerät ist ebenso
mit dem Systembus 123 über
eine Schnittstelle, wie z. B. einen Videoadapter 148, verbunden.
Zusätzlich
zu dem Bildschirm umfassen Personal Computer typischerweise weitere
Peripherieausgabegeräte
(nicht gezeigt), wie beispielsweise Lautsprecher und Drucker.
-
Der
Computer 120 kann in einer Netzwerkumgebung unter Benutzung
von logischen Kommunikationsverbindungen zu ein oder mehreren entfernten
Computern, wie beispielsweise die entfernten Computer 149a und 149b,
operieren. Die entfernten Computer 149a und 149b können jeweils
ein anderer Personalcomputer, ein Klient, ein Server, ein Weiterleitungsrechner
(Router), ein Switch, ein Netzwerk-PC, ein gleichrangiges Gerät (Peer
Device) oder ein anderer allgemeiner Netzwerkknoten sein, und kann
viele oder alle der zuvor in Bezug auf den Computer 120 beschriebenen
Elemente enthalten, obwohl nur die Speichervorrichtungen 150a und 150b und
deren verknüpfte
Anwendungsprogramme 136a und 136b in 1 gezeigt
sind. Die logischen Kommunikationsverbindungen, die in 1 gezeigt
sind, umfassen ein lokales Netzwerk (LAN) 151 und ein Weitverkehrsnetz
(WAN) 152, die hier als Beispiele und nicht als Beschränkung gezeigt
sind. Solche Netzwerkumgebungen sind alltäglich für Büro- oder Unternehmenscomputernetzwerke,
Intranets oder das Internet.
-
Wenn
der Computer 120 in einer LAN Netzwerkumgebung (z. B. ein
Ethernet Netzwerk) verwendet wird, ist dieser mit einem LAN 151 durch
eine Netzwerkschnittstelle oder Adapter 153 verbunden,
welche kabelgebunden oder kabellos sein kann. Wenn dieser in einer
WAN Netzwerkumgebung verwendet wird, kann der Computer 120 eine
Kabelverbindung, wie beispielsweise ein Modem 154, eine
kabellose Verbindung oder andere Mittel für das Aufbauen einer Verbindung über das
WAN 152 umfassen. Das Modem 154, welches intern
oder extern sein kann, ist mit dem Systembus 123 über die
serielle Schnittstelle 146 verbunden. In einer Netzwerkumgebung
können
Programmmodule, die relativ zu dem Computer 120 oder Teilen
von diesem dargestellt sind, in einer entfernten Speichervorrichtung
gespeichert sein. Es versteht sich, dass die gezeigten Netzwerkverbindungen
lediglich beispielhaft sind und auch andere Mittel für das Aufbauen
von Kommunikation über
ein WAN 152 benutzt werden können.
-
Während 1 ein
Beispiel für
ein Computersystem, das die Prinzipien der vorliegenden Erfindung implementieren
kann, zeigt, kann jedes Computersystem diese Merkmale der vorliegenden
Erfindung implementieren. In der Beschreibung und in den Ansprüchen ist
ein „Computersystem” im breitesten
Sinne als jede Hardwarekomponente oder Komponenten, die geeignet
sind für
die Benutzung von Software, um eine oder mehrere Funktionen auszuführen, definiert.
Beispiele für
solche Computersysteme umfassen Desktopcomputer, Laptopcomputer,
PDAs (Personal Digital Assistants), Telefone (Festnetz und Mobiltelefone),
kabellose Zugangspunkte, Gateways, Firewalls, Proxy-Computer, Router,
Switcher, Handheldgeräte,
Multiprozessorsysteme, mikroprozessorbasierte oder programmierbare
Verbraucherelektronik, Netzwerk PCs, Minicomputer, Mainframe Computer,
oder jedes andere System oder Gerät, das die Fähigkeit
zur Verarbeitung hat.
-
Es
ist dem Fachmann klar, dass die Erfindung in Netzwerkcomputerumgebungen
unter Benutzung von praktisch jeder Computersystemkonfiguration
ausgeführt
werden kann. Die Erfindung kann ebenso in verteilten Systemumgebungen
ausgeführt
werden, in welcher lokale und entfernte Computersysteme, welche
miteinander durch ein Netzwerk (entweder durch fest verkabelte Verbindungen,
kabellose Verbindungen oder durch eine Kombination von verkabelten
und kabellosen Verbindungen) verbunden sind, die Aufgaben jeweilig
ausführen.
In einer verteilten Systemumgebung können sich Programmmodule sowohl
in lokalen und entfernten Speichergeräten befinden.
-
Gemäß der vorliegenden
Erfindung können
Benutzerschnittstelle, Versorgung (Freischaltung), Kundenkontenbetreuung,
sowie Authentifizierungsmodule und auch zugehörige Daten, welche Versorgungsdaten und
Benutzerdaten umfassen, in jedem der mit dem Computer 120 verknüpften computerlesbaren
Medien gespeichert sein und durch diese zugreifbar sein. Beispielsweise
können
Teile von solchen Modulen und Teile der verknüpften Programmdaten in Betriebssystem 135,
Anwendungsprogrammen 136, Programmmodulen 137 und/oder
Programmdaten 138 für
die Speicherung in dem Systemspeicher 122 beinhaltet sein.
Wenn eine Massenspeichervorrichtung, wie beispielsweise Magnetfestplatte 139,
mit dem Computer 120 verbunden ist, können solche Module und verknüpfte Programmdaten
ebenso in der Massenspeichervorrichtung gespeichert sein. In einer
Netzwerkumgebung können
Programmmodule, die relativ zu dem Computer 120 gezeigt
sind, oder Teile von diesen, in entfernten Speichervorrichtungen,
wie z. B. Systemspeicher und/oder Massenspeichervorrichtungen, die
mit dem entfernten Computersystem 149a und/oder 149b verknüpft sind,
gespeichert sein. Die Ausführung
von solchen Modulen kann in einer verteilten Umgebung wie zuvor
beschrieben durchgeführt
werden.
-
4 stellt
im Allgemeinen ein Beispiel für
eine Netzwerkarchitektur 400 dar, die den Zugriff auf ein erstes
Netzwerk ermöglichen
kann, während
der Zugriff auf ein zweites Netzwerk beschränkt wird. Die Netzwerkarchitektur 400 umfasst
den Klient 405 und den Server 415. Obwohl dies
nicht erforderlich ist, können
der Klient 405 und der Server 415 wie der zuvor
beschriebene Computer 120 strukturiert sein. Die Begriffe „Klient" und „Server" werden benutzt,
um anzudeuten, dass der Klient 405 von dem Server 415 einen
Dienst empfängt, wie
beispielsweise den Zugriff zum Netzwerk 413. Während der
Klient 405 und der Server 415 in diesem Kontext
jeweils Klient und Server sind, kann der Klient 405 auch
als Server in einem anderen Kontext funktionieren und der Server 415 kann
in einem anderen Kontext auch als Klient funktionieren.
-
Wie
in der Netzwerkarchitektur 400 gezeigt, ist ein Datenweiterleitungsgerät 414 mit
dem Netzwerk 411, Netzwerk 412 und Netzwerk 413 durch
entsprechende logische Kommunikationsverbindungen 433, 434 und 435 verbunden.
Das Datenweiterleitungsgerät 414 repräsentiert
logisch ein Computersystem, das feststellen kann, ob Daten, die
vom Netzwerk 411 empfangen wurden, gesendet werden sollen,
wie zum Beispiel Daten, die vom Klient 405 empfangen wurden.
Das bedeutet, wenn das Datenweiterleitungsgerät 414 Daten vom Netzwerk 411 empfängt, kann
das Datenweiterleitungsgerät 414 ermitteln,
ob die Daten an das Netzwerk 412 oder das Netzwerk 413 gesendet
werden sollen. Beispielsweise kann das Datenweiterleitungsgerät 414 eingerichtet
sein, um den Zugriff auf ein Netzwerk (z. B. Netzwerk 412)
zu erlauben, während
zur gleichen Zeit der Zugriff auf ein anderes Netzwerk (z. B. Netzwerk 413)
beschränkt
wird. Das Datenweiterleitungsgerät 414 kann
diesen Entschluss unter Benutzung von einer Vielzahl von unterschiedlichen
Techniken treffen.
-
In
manchen Ausführungsformen
kann der Zugriff auf Ressourcen in dem Netzwerk 413 beschränkt sein
durch Benutzung von Virtual Local Area Networks (VLANs). In diesen
Ausführungsformen
können
die Netzwerke 411, 412 und 413 jeweils
ein Teil eines unterschiedlichen VLAN sein. VLAN Geräte in der
Netzwerkarchitektur 400 können Datenrahmen kennzeichnen,
um dem Datenweiterleitungsgerät 414 anzuzeigen,
wohin die Datenrahmen weitergeleitet werden sollen. Wenn beispielsweise
der Klient 405 nicht autorisiert ist, auf Ressourcen im
Netzwerk 413 zuzugreifen, können Komponenten im Netzwerk 411 oder
logische Kommunikationsverbindungen 433 die Datenrahmen
vom Klient 405 kennzeichnen, so dass angezeigt wird, dass
diese Datenrahmen zum Server 415 (oder zu anderen Ressourcen
im Netzwerk 412) geleitet werden sollen. Wenn der Klient 405 autorisiert
ist, um auf das Netzwerk 413 zuzugreifen, können die
Komponenten im Netzwerk 411 oder logische Kommunikationsverbindungen 433 die
Datenrahmen vom Klient 405 kennzeichnen, so dass angezeigt
wird, dass die Datenrahmen zu den Ressourcen im Netzwerk 413 (z.
B. das Internet) oder zu Ressourcen im Netzwerk 412 (z.
B. Server 412) entsprechend weitergeleitet werden.
-
In
anderen Ausführungsformen
kann der Zugriff auf Ressourcen, die sich im Netzwerk 413 befinden, durch
die Benutzung von IP (Internet Protocol) Filterung beschränkt sein.
Das Datenweiterleitungsgerät 414, Komponenten
im Netzwerk 411, oder Komponenten in der logischen Kommunikationsverbindung 433 können Internet
Protocol (IP) Adressen filtern, um den Zugriff des Klienten 405 auf
Ressourcen mit bestimmten IP Adressen zu beschränken. Wenn der Klient 405 nicht
autorisiert ist, auf Ressourcen in dem Netzwerk 413 zuzugreifen,
können
IP Adressen derart gefiltert werden, so dass der Klient 405 für IP Adressen
von Ressourcen, die sich im Netzwerk 412 befinden, sichtbar
ist, aber für
IP Adressen von Ressourcen, die sich im Netzwerk 413 befinden,
nicht sichtbar ist. Wenn der Klient 405 autorisiert ist,
auf das Netzwerk 413 zuzugreifen, können IP Adressen gefiltert
werden, so dass der Klient für
IP Adressen von Ressourcen sowohl in dem Netzwerk 412 als
auch Netzwerk 413 sichtbar ist. Alternativ, wenn der Klient
autorisiert ist, um auf Ressourcen im Netzwerk 413 zuzugreifen,
kann die IP Filterung eingestellt werden.
-
In
weiteren Ausführungsformen
kann der Zugriff auf Ressourcen im Netzwerk 413 durch die
Benutzung eines VPN (Virtual Private Network) beschränkt werden.
Wenn der Klient 405 nicht autorisiert ist, um auf Ressourcen,
die sich im Netzwerk 413 befinden, zuzugreifen, kann ein
VPN konfiguriert werden, so dass der Klient 405 für Ressourcen
im Netzwerk 412 sichtbar ist, aber nicht für Ressourcen
im Netzwerk 413 sichtbar ist. Wenn der Klient 405 autorisiert
ist, um auf Ressourcen im Netzwerk 413 zuzugreifen, kann
ein VPN konfiguriert sein, so dass der Klient 405 für Ressourcen
in den Netzwerken 412 und 413 sichtbar ist. Alternativ, wenn
der Klient 405 autorisiert ist, um auf Ressourcen im Netzwerk 413 zuzugreifen,
kann die Benutzung eines VPN eingestellt werden.
-
Es
versteht sich, dass VLAN, IP Filterung und VPN Techniken lediglich
Beispiele für
Techniken sind, die benutzt werden können, um zwischen Netzwerken
zu differenzieren, so dass Zugriff auf ein Netzwerk ermöglicht wird,
während
der Zugriff auf ein anderes Netzwerk beschränkt wird. Es versteht sich,
dass der Zugriff auf ein einzelnes Netzwerk durch die Benutzung
von VLAN, IP Filterung oder VPN beschränkt werden kann. Beispielsweise
kann ein Server, der sich im Netzwerk 413 befindet, einen
Klienten 405 mit beschränktem
Zugang zu Ressourcen im Netzwerk 413 versehen. Der Fachmann
weiß,
nachdem er diese Beschreibung gelesen hat, dass auch andere Techniken
zusätzlich
zu VLAN, IP Filterung und VPN Techniken benutzt werden können, um
den Zugriff auf ein Netzwerk zu ermöglichen, während der Zugriff auf ein anderes
Netzwerk beschränkt
wird.
-
Es
versteht sich des Weiteren, dass die Techniken, die benutzt werden,
um den Zugriff auf ein Netzwerk zu begrenzen, ebenso benutzt werden
können,
um eingeschränkten
Zugriff auf ein Netzwerk zu ermöglichen.
In manchen Ausführungsformen
kann ein Server in einem Netzwerk einen Klienten mit eingeschränktem Zugriff
auf das Netzwerk versehen. Beispielsweise kann ein Server im Netzwerk 413 die
IP Filterung anwenden, um den Klienten 405 mit beschränktem Zugriff
auf das Netzwerk 413 zu versehen. Dieser eingeschränkte Zugriff
kann den Zugriff auf Computersysteme oder Module umfassen, die die
Provisioning Dateien speichern, die benötigt werden, um vollen Zugriff
auf das Netzwerk 413 zu erlangen. Der Klient 405 kann
autorisiert sein, um die Provisioning Dateien von diesen Computersystemen
oder Modulen herunterzuladen, während
Zugriff auf andere Ressourcen im Netzwerk 413 verwehrt
ist.
-
Eine
beispielhafte Ausführungsform
der vorliegenden Erfindung, die VLAN Techniken benutzt, wird nun
beschrieben. 2 zeigt ein Beispiel einer Netzwerkarchitektur 200,
die den Grad der Automatisierung steigern kann, wenn ein Klient
versorgt/freigeschaltet wird. Die Netzwerkarchitektur 200 umfasst
einen Klienten 205 und einen Server 215, welche
jeweils wie der zuvor beschriebene Computer 120 strukturiert
sein können.
-
In
manchen Ausführungsformen
repräsentiert
der Server 215 logisch einen RADIUS (Remote Authentication
Dial In User Service) Server. Das bedeutet, obwohl dieser als ein
einzelnes System gezeigt ist, kann der Server 215 einen
separaten NAS (Network Access Server), einen separaten Authentifizierungsserver,
und einen separaten gemeinsamen Verrechnungsserver umfassen. Diese
Server sind logisch durch den Server 215 repräsentiert
und können
eingerichtet sein, um unter Benutzung des RADIUS Protokoll zu kommunizieren und
können
im Speziellen die RADIUS Attribut EAP Nachricht und einen Nachrichten-Authentifizierer
unterstützen.
Der Server 215 kann Module von einer Vielzahl von unterschiedlichen
Diensten aufweisen, die in den Systemspeicher geladen sind, wie
beispielsweise IIS (Internet Information Services) Module, IAS (Internet
Authentication Services) Module, DHCP (Dynamic Host Control Protocol)
Module und AD (Active Directory) Module, um die Implementierung
der Prinzipien der vorliegenden Erfindung zu ermöglichen.
-
Die
Netzwerkarchitektur 200 umfasst ebenso ein Datenweiterleitungsgerät 214.
Das Datenweiterleitungsgerät 214 repräsentiert
logisch ein spezialisiertes Computersystem, wie beispielsweise einen
Router und/oder einen Switch, welches ermitteln kann, wie Daten
zwischen den Anschlüssen
in dem Datenweiterleitungsgerät 214 übertragen
werden sollen. Das bedeutet, wenn eine Datenportion, wie beispielsweise
ein Datenrahmen, in einen ersten Port (Anschluss) (z. B. Port 242) übertragen
werden soll, kann das Datenweiterleitungsgerät 214 basierend auf
Konfigurationsregeln ermitteln, dass diese Datenportion aus einem
zweiten Port (z. B. Port 243) übertragen werden soll. Beispielsweise
kann das Datenweiterleitungsgerät 214 ermitteln,
dass ein Datenrahmen, der von einem Zugangspunkt 209 empfangen
wurde, zum Server 215 gesendet werden soll. Es kann ebenso
sein, dass ein Datenrahmen in das und aus dem Datenweiterleitungsgerät 214 durch
den gleichen Anschluss übertragen
wird.
-
Wie
in der Netzwerkarchitektur 200 gezeigt, ist das Datenweiterleitungsgerät 214 mit
dem Netzwerk 213, Server 215 und Zugangspunkt 209 durch
entsprechende logische Kommunikationsverbindungen 233, 234 und 235 verbunden.
Das Netzwerk 213 kann praktisch von jedem Typ von Netzwerk
sein, wie beispielsweise ein Unternehmensnetzwerk oder das Internet.
Das Datenweiterleitungsgerät 214 kann
ein Gerät
sein, welches Computersysteme in einer einzigen Übertragungsdomäne, basierend
auf Kriterien die von der physischen Position (z. B. einer physischen
Position auf einer bestimmten Seite eines Routers) abweichen, gruppieren
kann. Daher kann das Datenweiterleitungsgerät 214 eingerichtet
sein, um Computersysteme in unterschiedliche VLANs zu separieren.
Wie in 2 gezeigt, wurde das Datenweiterleitungsgerät 214 konfiguriert, um
die Netzwerkarchitektur 200 in die VLANs A, B und C aufzuteilen.
Das Datenweiterleitungsgerät 214 kann eingerichtet
sein, um sowohl gekennzeichnete als auch ungekennzeichnete Datenrahmen
zwischen den VLANs, die in 2 gezeigt
sind, zu übertragen.
-
Ein
gekennzeichneter (tagged) Datenrahmen ist ein Datenrahmen, welcher
eine Indikation umfasst, wie z. B. einen „Tag Header, welcher eine
VLAN und/oder Rahmenklassifizierung bezeichnet, die mit dem gekennzeichneten
Datenrahmen verknüpft
ist. Ein Tag Header kann von einem VLAN Gerät in einen Datenrahmen eingefügt werden,
um dem Datenweiterleitungsgerät 214 eine
VLAN ID des VLAN, von welchem der gekennzeichnete Datenrahmen empfangen
wurde, anzuzeigen. Beispielsweise kann der Zugangspunkt 209 einen
Tag Header in Daten von dem Klienten 205 einfügen, um
dem Datenweiterleitungsgerät 214 anzuzeigen, dass
die Daten von dem VLAN A empfangen wurden. Ein Tag Header kann ebenso
andere Steuerungsinformationen umfassen, die von dem Datenweiterleitungsgerät 214 benutzt
werden können,
um einen entsprechenden Datenrahmen zu klassifizieren. Ein nicht
gekennzeichneter Datenrahmen ist ein Rahmen, der keinen Tag Header
enthält.
Eine Port VLAN ID (PVID) kann benutzt werden, um ein VLAN anzugeben,
von welchem ein nicht gekennzeichneter Datenrahmen empfangen wurde.
Beispielsweise können
nicht gekennzeichnete Datenrahmen, die am Port 243 empfangen
wurden, als vom VLAN B empfangen klassifiziert werden.
-
Jeder
der Ports, die in dem Datenweiterleitungsgerät 214 (z. B. Ports 242, 243, 244)
enthalten sind, können
eingerichtet sein, um gekennzeichnete Datenrahmen zu übertragen
und ungekennzeichnete Datenrahmen fallen zu lassen. Auf der anderen
Seite kann jeder der Ports des Datenweiterleitungsgeräts 214 eingerichtet
sein, um ungekennzeichnete Datenrahmen zu übertragen und gekennzeichnete
Datenrahmen fallen zu lassen. Es kann ebenso sein, dass einer der
Ports des Datenweiterleitungsgeräts 214 eingerichtet
ist, um sowohl gekennzeichnete als auch ungekennzeichnete Datenrahmen
(eine hybride Port-Konfiguration)
weiterzuleiten.
-
Die
Netzwerkarchitektur umfasst ebenso einen Zugangspunkt 209.
Der Zugangspunkt 209 kann ein verkabelter oder kabelloser
Zugangspunkt sein, der die Kommunikation zwischen dem Klient 205 und
dem Datenweiterleitungsgerät 214 ermöglicht oder
unterstützt.
Wie in der Netzwerkarchitekur 200 gezeigt, ist der Zugangspunkt 209 mit
dem Klient 205 über
eine entsprechende logische Kommunikationsverbindung 231 verbunden.
Der Zugangspunkt 209 kann mit anderen Klienten (nicht gezeigt) über weitere
entsprechende logische Kommunikationsverbindungen (ebenso nicht
gezeigt) verbunden sein. Der Zugangspunkt 209 umfasst die
Ports 251 und 252. Daten können zwischen dem Zugangspunkt 209 und
dem Klient 205 durch den Port 251 übertragen
werden. Ebenso können
Daten zwischen dem Zugangspunkt 209 und dem Datenweiterleitungsgerät 214 durch
den Port 252 übertragen
werden. Der Zugangspunkt 209 kann weitere Ports (nicht
gezeigt) für
die Kommunikation mit anderen Computersystemen, wie beispielsweise
weitere Klienten und/oder Datenweiterleitungsgeräten, umfassen.
-
In
manchen Ausführungsformen
ist der Zugangspunkt 209 ein kabelloser Zugangspunkt, der
den Zugriff auf kabelgebundene Computersysteme in VLAN B (z. B.
Server 215) und VLAN C (z. B. Computersysteme im Netzwerk 213)
ermöglicht.
Der Zugangspunkt 209 kann als ein VLAN-bewusstes (VLAN-aware)
Gerät konfiguriert
sein und kann vom Klienten 205 (oder anderen Computersystemen
im VLAN A) empfangene Tag Header in Datenrahmen einfügen, die
zum VLAN B und/oder VLAN C übertragen
werden sollen. Der Zugangspunkt 209 kann konfiguriert sein,
um unter Benutzung des RADIUS Protokolls zu kommunizieren und im
Speziellen kann RADIUS Zugriffsnachrichten, welche einen VLAN Tag
(VLAN-Kennzeichner)
für den
Klienten 205 (oder einen anderen Klienten) umfassen, unterstützen.
-
In
manchen Ausführungsformen
kann der Klient 205 potentiell mit ein oder mehreren anderen
Zugangspunkten (nicht gezeigt) zusätzlich zum Zugangspunkt 209 verbunden
sein. Es kann sein, dass der Zugangspunkt 209 und die anderen
Zugangspunkte allesamt Zugangspunkte für denselben Dienstanbieter
sind. Auf der anderen Seite können
ein oder mehrere Zugangspunkte Zugangspunkte für einen oder mehrere andere
Dienstanbieter sein, welche sich von dem Dienstanbieter für den, der
dem Zugangspunkt 209 den Zugang ermöglicht, unterscheiden. Dem
Klient 205 kann eine Liste von verfügbaren Dienstanbietern vorgelegt
werden. Eine Benutzerauswahl kann empfangen werden, um eine Verbindung
mit einem Dienstanbieter der Liste zu initiieren.
-
Der
Klient kann verfügbare
kabellose Netzwerke aufspüren,
wie z. B. durch das Empfangen von IEEE 802.11 Ortungsrahmen (Beacon
Frames) und/oder durch das Senden von IEEE 802.11 Messanfragerahmen (Probe
Request Frames) und das Empfangen von IEEE 802.11 Messantwortrahmen.
Die Ortungsrahmen können
einen SSID (Service Set Identifier) enthalten, welcher im Wesentlichen
ein Netzwerkidentifikator ist, der benutzt wird, um ein kabelloses
Netzwerk von einem anderen zu unterscheiden. Durch die Benutzung
der Ortungs- und Messrahmen kann der Klient 205 ebenso
andere Konfigurationseinstellungen eines Zugangspunktes, wie beispielsweise
Datentransferrate, unterstützte
Authentifizierungstypen (z. B. offene oder gemeinsame Authentifizierung),
unterstützte
Verschlüsselungstypen
(z. B. WEP (Wire Equivalent Protection) oder TKEP (Temporal Key
Integrity Protocol)), usw., detektieren.
-
Es
versteht sich, dass die aufgeführten
Konfigurationseinstellungen lediglich Beispiele für manche
der möglichen
Konfigurationseinstellungen sind und dass eine größere Nummer
von anderen Konfigurationseinstellungen zusätzlich zu diesen Beispielen
bestimmt werden können.
Wenn beispielsweise eine Verbindung zwischen Computersystemen errichtet
wird, kann ein LCP (Link Control Protocol) benutzt werden, um Verbindungseinstellungen,
wie beispielsweise die Paketgröße, ein
Authentifizierungsprotokoll, ein Protokoll um die Verbin dungsqualität aufzuzeichnen,
Kompression und so fort, zu verhandeln. Numerische Werte können in
einem Optionsfeld eines LCP Pakets beinhaltet sein (z. B. Konfigurationsanfrage,
Konfigurationsbestätigung, Konfigurations-Nicht-Bestätigung,
und Konfigurationszurückweisungspakete),
um diese Verbindungseinstellungen auszuhandeln. Numerische Werte
können
in einem Typenfeld (z. B. der numerische Wert 3 für die Aushandlung
des Authentifizierungsprotokolls) innerhalb des Optionsfeldes eines
LCP Pakets beinhaltet sein, um den Typ der Konfigurationsoption,
der ausgehandelt wird, anzuzeigen. Numerische Werte können in
einem Datenfeld (z. B. der hexadezimale Wert C227, um EAP anzuzeigen)
innerhalb des Optionsfeldes eines LCP Paketes beinhaltet sein, um
korrespondierende Daten für
den Typ der Aushandlung, der in dem Typenfeld angezeigt ist, anzugeben.
Wenn die Konfiguration von EAP angezeigt wird, können weitere numerische Werte
(z. B. der numerische Wert 13, um EAP-TLS anzuzeigen oder der numerische
Wert 25, um PEAP anzuzeigen) in einem LCP Paket beinhaltet sein,
um den spezifischen EAP Typ der Authentifizierung anzuzeigen, der
erwünscht
ist.
-
Es
kann sein, dass ein bestimmter EAP Typ deterministisch ausgewählt wird
(z. B. durch einen Administrator des Servers 215 und/oder
einen Benutzer des Klienten 205), wenn sowohl ein Klient
und ein Server diesen bestimmten EAP Typ unterstützen. Daher gibt es einen verringerten
Bedarf für
das Verhandeln, wenn LCP Pakete benutzt werden. Nachdem ein EAP
Typ ausgewählt
ist (entweder durch Verhandlung oder deterministisch), können Computersysteme
versuchen, sich durch die Übertragung
von EAP Nachrichten (z. B. Start Nachrichten, Antwortnachrichten,
Anfragenachrichten, Zustimmungsnachrichten, Zurückweisungsnachrichten, und
so fort) gemäß dem ausgewählten EAP
Typ miteinander zu authentifizieren. Wenn beispielsweise EAP-TLS
ausgewählt
wurde, kann der Klient 205 mit dem Server 215 durch
eine Reihe von EAP Nachrichten gemäß EAP-TLS kommunizieren, um
authentifiziert zu werden und möglicherweise
autorisiert zu werden, um auf Ressourcen in dem VLAN C zuzugreifen.
-
In
manchen Ausführungsformen
werden EAP Nachrichten innerhalb anderer Protokolle eingekapselt. Daher
kann das Computersystem in der Lage sein, eine gekapselte EAP Nachricht
zu übertragen,
obwohl ein Computersystem einen bestimmten EAP Typ nicht nativ unterstützt. Ein
Protokoll, das für
die Einkapselung benutzt wird, ist das 802.1X Protokoll, welches
auch als EAP Einkapselungs über
LAN (EAPOL) bezeichnet werden kann. Der Zugangspunkt 209 und
das Datenweiterleitungsgerät 214 können eingerichtet
sein, um EAPOL zu unterstützen.
Daher können
der Zugangspunkt 209 und das Datenweiterleitungsgerät 214 EAP
Nachrichten von bestimmten EAP Typen übertragen, selbst wenn der
Zugangspunkt 209 und das Datenweiterleitungsgerät 214 diese
bestimmten EAP Typen nicht nativ unterstützen. Ein weiteres Protokoll,
welches für
das Einkapseln benutzt wird, ist EAP RADIUS, welches EAP Nachrichten
in RADIUS Nachrichten einkapselt. EAP RADIUS kann benutzt werden,
um EAP Nachrichten durch ein Computersystem zu übertragen, das das RADIUS Protokoll
versteht, aber das EAP nicht nativ versteht.
-
3 ist
ein Flussdiagramm, welches ein Verfahren 300 für das Versorgen
(Freischalten) eines Computersystems zeigt. Das Verfahren 300 wird
in Bezug auf die Komponenten beschrieben, die in der Netzwerkarchitektur 200 gezeigt
sind.
-
Das
Verfahren 300 umfasst einen Vorgang des Sendens von Berechtigungsnachweisen
(Vorgang 301). Dies kann einen Klienten umfassen, der Berechtigungsnachweise
zu einem Server sendet, um zu versuchen, sich mit einem Server zu
authentifizieren. Beispielsweise kann der Klient 205 Berechtigungsnachweise
zum Server 215 senden, um zu versuchen, sich mit dem Server 215 zu
authentifizieren. Wenn sich der Klient 205 mit dem Zugangspunkt 209 verbindet,
kann der Zugangspunkt 209 detektieren, dass die Verbindung aktiv
ist und kann eine EAP-Request/Identity Nachricht zum Klient 205 senden.
Alternativ kann der Klient 205 eine EAP Start Nachricht
zum Zugangspunkt 209 senden, welcher eine EAP-Anfrage/Identitäts(EAP-Request/Identity)-Nachricht
auslöst.
Der Klient 205 kann auf die EAP-Request/Identity Nachricht
mit einer EAP-Response/Identity Nachricht, die einen Benutzeridentifizierer
beinhalten kann, antworten. Wenn ein Benutzer des Klienten 205 ein
Benutzerkonto bei dem Server 215 hat, kann dieser Benutzeridentifizierer
ein dem Benutzer von dem Server 215 zugewiesener Benutzeridentifizierer
sein. Wenn der Server 215 einem Benutzer des Klienten 205 keinen
Benutzeridentifizierer zugewiesen hat, kann der Klient einen Gast-Benutzeridentifizierer
senden.
-
Der
Zugangspunkt 209 kann die Übertragung von EAPOL Paketen
für den
Port 251 ermöglichen.
Das bedeutet, dass EAPOL Pakete, die am Port 251 empfangen
wurden, zu dem Zugangspunkt 209 am Port 252 übertragen
werden können.
Jedoch kann der Zugangspunkt 209 andere Typen von Protokollen,
wie beispielsweise HTTP (Hyper Text Transfer Protocol), DHCP und
SMTP (Simple Mail Transfer Protocol) von der Übertragung blockieren, bis
der Klient 205 authentifiziert (und autorisiert) ist. Der
Zugangspunkt 209 kann einen Tag Header in ein EAPOL Paket
(z. B. in die EAP-Response/Identify Nachricht) einfügen, um
anzuzeigen, dass das EAPOL Paket zum VLAN B übertragen werden soll.
-
Das
Datenweiterleitungsgerät 214 kann
den eingefügten
Tag Header verarbeiten und das EAPOL Paket in das VLAN B übertragen.
Der Server 215 kann das EAPOL Paket empfangen, welches
zu einem Authentifizierungsmodul 217 zur Authentifizierung übertragen
wird. Alternativ können
der Zugangspunkt 209 und/oder das Datenweiterleitungsgerät 214 die
802.1X Einkapselung abstreifen und stattdessen die EAP-Response/Identify
Nachricht in eine EAP-RADIUS Nachricht einkapseln, die in das VLAN
B übertragen
wird. Daher kann die EAP-Response/Identity durch diese anderen Server
zum Server 215 übertragen
werden, wenn die logische Kommunikationsverbindung 234 weitere
RADIUS Server beinhaltet.
-
Abhängig von
diesem speziellen EAP Typ kann der Server 215 auf die EAP-Response/Identity
Nachricht in einer Vielzahl von Weisen antworten. Der Server 215 kann
anfragen, dass der Klient 205 ein Passwort angibt, das
mit einem Benutzeridentifizierer verknüpft ist. Ein Benutzer des Klient 205 kann
dem Server 215 durch die Angabe eines Passwortes antworten.
Es kann ebenso sein, dass der Klient 205 und der Server 215 EAP
Nachrichten austauschen, um Zertifikate, Schlüssel und unterstützte Codefolgen
zu überreichen.
Abhängig
von dem EAP Typ können
auch andere Berechtigungsnachweisinformationen zwischen dem Klient 205 und
dem Server 215 ausgetauscht werden.
-
Zurück zu 3,
umfasst das Verfahren 300 einen Vorgang des automatischen
Anzeigens einer Benutzerschnittstelle (Vorgang 302). Dies
kann das automatische Anzeigen einer Benutzerschnittstelle, die
benutzereingegebene Informationen empfangen kann, so dass es nicht
notwendig ist, dass ein Benutzer des Computersystems Vorkenntnisse
darüber
haben muss, wie das Anzeigen der Benutzerschnittstelle erwirkt wird,
umfassen. Beispielsweise kann ein Benutzerschnittstellenmodul 206 eine
Benutzerschnittstelle automatisch bei dem Klienten 205 anzeigen.
-
Wenn
Berechtigungsnachweise zu dem Server 215 gesendet werden,
kann das Authentifizierungsmodul 217 die Berechtigungsnachweise
(beispielsweise Benutzeridentifizierer und Passwort) empfangen und kann
die Berechtigungsnachweise mit Einträgen in einer Benutzerdatenbank 218 vergleichen.
Wenn die Berechtigungsnachweisinformation mit einem Eintrag in der
Benutzerdatenbank 218 übereinstimmt,
ist die Identität
eines Benutzer authentifiziert (d. h. der Server 215 glaubt,
dass der Benutzer, der durch den Benutzeridentifizierer repräsentiert
wird, der Benutzer ist, der die Berechtigungsnachweisinformation
eingegeben hat). Wenn ein authentifizierter Benutzer des Klienten 205 autorisiert
ist, um auf Ressourcen im VLAN C zuzugreifen (beispielsweise hat
der Benutzer aktuell Zahlungen für
das Kundenkonto geleistet) kann der Klient autorisiert werden, um
auf Ressourcen in dem VLAN C zuzugreifen.
-
Wenn
auf der anderen Seite dem Klienten 205 der Zugriff auf
die Ressourcen, die sich in dem VLAN C befinden, verwehrt wurde,
kann der Server 215 dem Klient 205 für einen
beschränkten
Zugriff auf Ressourcen im VLAN B autorisieren. Wenn der Klient 205 aktuell
nicht in der Lage ist, um auf Ressourcen im VLAN C zuzugreifen (z.
B. Internet Ressourcen), kann der Klient 205 daher in der
Lage sein, um elektronisch Provisioning Dateien herunterzuladen
(vom VLAN B), um autorisiert zu werden, um auf Ressourcen im VLAN
C zuzugreifen. Dem Klient 205 kann der Zugriff auf Ressourcen
im VLAN C verwehrt werden, wenn ein Benutzer nicht authentifiziert
werden kann, wenn ein Benutzer Gast-Berechtigungsnachweise gesendet
hat, oder wenn ein authentifizierter User nicht autorisiert ist,
um auf Ressourcen im VLAN C zuzugreifen (z. B. wenn Zahlungen nicht
geleistet wurden).
-
Wenn
dem Klient 205 der Zugriff auf Ressourcen im VLAN C verwehrt
wurde, kann der Server 215 eine EAP-Benachrichtigung an
den Klient 205 senden, welche verschlüsselt ist und deren Integrität gemäß PEAP überprüft wurde.
Die EAP-Benachrichtigung kann einen URI (Uniform Resource Identifier)
auf ein Hauptdokument umfassen, welches Informationen für das Freischalten
von Computersystemen für
den Zugriff auf Ressourcen im VLAN C umfasst. Ein URI auf ein Hauptdokument
kann ein HTTP URL (Uniform Resource Locator) sein, wie beispielsweise
https://www.provider12.com/provisioning/master.xml oder http://www.provider9.com/provisioning/master.xml.
Die EAP-Benachrichtigung kann ebenso Bedingungen umfassen, denen
ein Benutzer genügen
muss, um für
den Zugriff auf Ressourcen im VLAN C autorisiert zu werden (z. B.
Anmeldung, Erneuerung, und so fort). Wenn der Klient 205 Downloads
durch den Zugriff auf eine gegebene URI tätigen möchte, kann der Zugangspunkt 209 die Übertragung
von HTTP Paketen für
den Port 251 ermöglichen.
Der Server 215 kann Anweisungen an den Zugangspunkt 209 senden,
um den Zugangspunkt 209 zu veranlassen, die Übertragung
der HTTP Pakete zu ermöglichen.
-
Alternativ
kann der Server 215 ein EAP Typ-Längen-Wert (TLV) Objekt innerhalb
PEAP zu dem Klienten 205 senden. Das TLV Objekt kann einen
URI (Uniform Resource Identifier) auf ein Hauptdokument umfassen,
welches Informationen für
das Freischalten von Computer systemen für den Zugriff auf Ressourcen
im VLAN C beinhaltet. In manchen Ausführungsformen kann auf das Hauptdokument
(und Unterdateien) durch andere Mechanismen als URI, wie beispielsweise
durch den Zugriff auf ein Hauptdokument und/oder Unterdateien von
entfernbaren computerlesbaren Medien (Floppy Disk, Flashkarte und
so fort) zugegriffen werden. Dies ist vorteilhaft in Umgebungen,
welche die Provisioning-Informationen erfordern, bevor die Netzwerkverbindbarkeit
konfiguriert werden kann, wie beispielsweise bei entfernten Einwählverbindungen.
Nachdem die Konnektivität
hergestellt ist, kann das Hauptdokument (und Unterdateien) nach
und nach von dem Netzwerk aktualisiert werden.
-
Das
Hauptdokument kann eine XML Datei sein, die gemäß einem XML Hauptdokumentenschema
definiert ist, auf das durch in der Netzwerkarchitektur 200 dargestellte
Computersysteme zugegriffen werden kann. Unterschiedliche Hauptdokumente
können
für unterschiedliche
Verbindungstypen, wie beispielsweise kabellose Verbindung, DSL(Digital
Subscriber Line)-Verbindung, RAS(Remote Access Server)-Verbindung, LAN-Verbindung,
ISP Verweisung(Internet Service Provider Referral)-Verbindung, WISP(Wireless
ISP)-Verbindung,
und so fort, erzeugt werden. Daher können die Prinzipien der vorliegenden
Erfindung implementiert werden, um ein Computersystem für den Netzwerkzugriff
unter Benutzung von praktisch jedem Verbindungstyp, umfassend die
zuvor aufgezählten
Verbindungstypen, freizuschalten. Ein Hauptdokument kann URLs auf
Unterdateien, wie beispielsweise Hilfedateien, Konfigurationsdateien,
Anmeldedateien, und Positionsdateien, enthalten. Ein Hauptdokument
kann ebenso URLs auf andere Hauptdokumente enthalten, beispielsweise
wenn ein erster ISP die Dienste eines zweiten ISP benutzt.
-
Ein
Hauptdokument kann ebenso einen TTL (Time to Live) Wert enthalten
(z. B. 5 Minuten, 24 Stunden, und so fort), welcher anzeigt, wenn
eine Überprüfung auf
ein aktualisiertes Hauptdokument durchgeführt werden soll. Wenn eine Überprüfung anzeigt,
dass ein aktualisiertes Hauptdokument verfügbar ist, kann das aktualisierte
Hauptdokument heruntergeladen werden (z. B. zum Klient 205).
Ein Hauptdokument kann Versionsnummern für jede Unterdatei enthalten.
Wenn ein Hauptdokument aktualisiert wird, können die Versionsnummern der
Unterdateien überprüft werden
und wenn neuere Versionen der Unterdateien verfügbar sind, können diese
neueren Versionen heruntergeladen werden (z. B. zum Klient 205).
-
Es
versteht sich, dass die vorliegende Erfindung nicht auf bestimmte
Schematypen beschränkt
ist. Jedoch ist ein Schematyp, der benutzt werden kann, um die Prinzipien
der vorliegenden Erfindung zu implementieren, ein XML Schema. Ein
XML Schema kann Elemente und entsprechende Datentypen definieren,
welche in einem XML Dokument benutzt werden. Das folgende ist ein
Beispiel für
ein XML Hauptdokumentenschema, welches Elemente und entsprechende
Datentypen definiert, welche in einem XML Hauptdokument benutzt werden
können:
-
Das
Beispiel für
ein XML Hauptdokumentenschema definiert einen „Master" Komplextyp (Zeilen 5 bis 22) der benutzt
werden kann, um ein Hauptdokument für das Freischalten eines Computersystems
zu erzeugen. Der „Master" Komplextyp definiert
des Weiteren ein TTL Element (Zeile 7), welches eine „Time to
Live" darstellt.
Ein TTL Element kann in einem Hauptdokument benutzt werden, um anzuzeigen,
wann das Hauptdokument aktualisiert werden soll. Der „Master" Komplextyp definiert
des Weiteren ein „Update
from" Element (Zeile
10). Wenn der Wert eines TTL Elements in einem XML Hauptdokument
anzeigt, dass das XML Hauptdokument aktualisiert werden soll, kann
auf ein URL, das mit einem Update from Element verknüpft ist,
zugegriffen werden, um eine aktualisierte Version des XML Hauptdokumentes
herunterzuladen. Der „Master" Komplextyp definiert
des Weiteren ein „Subfile" Element (Zeilen
11 bis 20), das in einem Hauptdokument benutzt werden kann, um den
Zugriff auf eine Unterdatei zu definieren. Das „maxOccurs" Attribut des Subfile Elements zeigt
die Anzahl der Unterdateien an, die in dem Hauptdokument enthalten
sein können.
Der Wert „unbounded" zeigt an, dass es
keine Grenze für
die Anzahl der Unterdateien gibt, die in dem Hauptdokument enthalten
sein können.
-
Innerhalb
des Subfile Elements ist ein „Schema" Element (Zeile 14),
ein URL Element (Zeile 15) und ein Versionselement (Zeile 16) definiert.
Ein Schema Element kann in einem Hauptdokument enthalten sein, um
einen Namen eines mit einer Unterdatei verknüpften Schemas anzuzeigen. Ein
Version Element kann in einem Hauptdokument enthalten sein, um die
Version einer Unterdatei anzuzeigen. Ein URL Element kann in einem
Hauptdokument enthalten sein, um einen Ort anzuzeigen, an dem ein
Schema, welches mit einer Unterdatei verknüpft ist, heruntergeladen werden
kann. In dem beispielhaften XML Hauptdokumentenschema ist ein URL
Element als eine Zeichenkette definiert, die mit dem Textpräfix https://
(Zeilen 23 bis 27) beginnt. Jedoch kann praktisch jeder Textpräfix, wie
beispielsweise http://, ftp://, telnet:// und so fort verwendet
werden, wenn die Prinzipien der vorliegenden Erfindung implementiert
werden. Ein Subfile Element kann ebenso ein optionales „Fragment" Attribut definieren,
das in einem Hauptdokument enthalten sein kann, um eine bestimmte
Unterdatei zu repräsentieren
(Zeile 18). Beispielsweise kann das Fragment Attribut „#signup" benutzt werden,
um eine Anmeldeunterdatei zu repräsentieren. Ein Fragment Attribut
kann mit einem URL Element innerhalb eines XML Hauptdokumentes kombiniert
werden, um eine absolute Position einer Unterdatei anzugeben, wie
beispielsweise „https://www.provisiong.com/master.xml#signup".
-
Hauptdokumente
und Unterdateien können
in einem Versorgungsdatenspeicher (Freischaltedatenspeicher) 219 gespeichert
sein. Der Klient 205 kann auf eine angegebene URL (oder
URI) zugreifen, um ein Hauptdokument und entsprechende Unterdateien
herunterzuladen. Hauptdokumente und Unterdateien können unter
Benutzung eines HTTP oder HTTPS get heruntergeladen werden. Dies
kann die Benutzung eines HTTP oder HTTPS get umfassen, um Dateien
von einem Computersystem im VLAN B herunterzuladen, wie beispielsweise
ein Hot Spot Provider (HSP), einen ISP Web Server oder einen Versorgungsdatenspeicher 219. Heruntergeladene
Hauptdokumente und Unterdateien können in Versorgungsdaten (Freischaltedaten) 207 gespeichert
werden.
-
Eine
Hilfe Unterdatei kann ein XML Dokument sein, welches gemäß einem
XML Hilfeschema definiert ist, auf welches durch die in der Netzwerkarchitektur 200 gezeigten
Computersysteme zugegriffen werden kann. Eine Hilfedatei kann URLs
umfassen, die auf HTML (Hyper Text Markup Language) Dateien verweisen, die
von einem Server 215 bereitgestellt werden, um einem Benutzerversorgungsklient 205 zu
helfen. Eine Hilfedatei kann ebenso Informationen über einen
Diensteanbieter umfassen, so dass ein Benutzer sich vor der Anmeldung über den
Diensteanbieter informieren kann.
-
Eine
Positions-Unterdatei kann ein XML Dokument sein, welches gemäß eines
XML Positionsschemas definiert ist, auf welches durch die in der
Netzwerkarchitektur 200 gezeigten Computersystem zugegriffen werden
kann. Eine Positionsunterdatei kann eine Liste von HSPs zusammen
mit entsprechenden Postadressen, Hotels und Flughäfen, wo
die HSPs sich befinden, umfassen. Daher kann ein Benutzer, der zu
einem bestimmten Ort geht, in der Lage sein, Versorgungsdateien
herunterzuladen, um auf ein Netzwerk (z. B. das Internet) von einem
bestimmten Ort zuzugreifen, bevor dieser an dem bestimmten Ort ankommt.
-
Es
versteht sich, dass die vorliegende Erfindung nicht auf das Verbinden
mit einem Netzwerk an einem bestimmten Ort beschränkt ist.
Das folgende ist ein beispielhaftes XML Positionsschema, welches
Elemente und entsprechende Datentypen definiert, die in einer Positionsunterdatei
benutzt werden können,
um einen physikalischen Ort anzuzeigen, an dem der Netzwerkzugriff
verfügbar
ist:
-
Das
Beispiel für
ein XML Positionsschema definiert einen „Location" Komplextyp (Zeilen 7 bis 31), der benutzt
werden kann, um physikalische Positionsinformationen für den Netzwerkzugriff
zur Verfügung
zu stellen. Eines, manche, oder alle Elemente, die in den Zeilen
9 bis 17 definiert sind, können
in einer Positionsunterdatei beinhaltet sein, um unterschiedliche
Typen von Positionsinformationen, wie beispielsweise Straße, Stadt,
Staat, Land, Postleitzahl, Vorwahl, Telefonnummer, Unterstützungsnummer,
und Providernamen, anzuzeigen. Der Location Komplextyp definiert
des Weiteren ein „Category" Element (Zeilen
18 bis 29), das wiederum weitere Kategorien von Positionen definiert,
wie beispielsweise Hotel, Flughafen und Bar, an denen sich der Zugang
auf ein Netzwerk physikalisch befinden kann.
-
Eine
Konfigurationsunterdatei kann ein XML Dokument sein, welches gemäß eines
XML Konfigurationsschemas definiert ist, auf das durch die in der
Netzwerkarchitektur 200 ge zeigten Computersysteme zugegriffen
werden kann. Eine Konfigurationsunterdatei kann Konfigurationsprofile
für Netzwerke
enthalten, auf welche vom Klienten 205 zugegriffen werden
kann. Wenn der Klient 205 versucht, auf ein kabelloses
Netzwerk zuzugreifen, kann eine Konfigurationsunterdatei Profile
enthalten, die den SSIDs entsprechen, auf welche vom Klient 205 zugegriffen
werden kann. Konfigurationsunterdateien können Informationen für das Konfigurieren von
Authentifizierung, Verschlüsselung,
unterstützten
Protokollen und so weiter enthalten. Empfangene Konfigurationsunterdateien
können
in den Versorgungsdaten 207 gespeichert werden und von
einem Versorgungsmodul (Freischaltemodul) 208 verarbeitet
werden, um den Klient 205 für den Betrieb in einem bestimmten
Netzwerk zu konfigurieren.
-
Es
versteht sich, dass die vorliegende Erfindung nicht auf das Verbinden
mit einem Netzwerk unter Benutzung einer speziellen Schnittstelle
beschränkt
ist. Jedoch ist ein möglicher
Schnittstellentyp, der benutzt werden kann, um mit einem Netzwerk
zu verbinden, eine kabellose Schnittstelle (z. B. kann die Netzwerkschnittstelle
153 eine
kabellose Netzwerkschnittstelle sein). Das folgende ist ein beispielhaftes
XML Konfigurationsschema, welches Elemente und entsprechende Datentypen
definiert, welche in einer Konfigurationsunterdatei benutzt werden
können,
um mit einem Netzwerk über
eine kabellose Schnittstelle (z. B. einen kabellosen Zugangspunkt)
zu verbinden:
-
Das
Beispiel für
ein XML Konfigurationsschema definiert einen „SSID" Komplextyp (Zeilen 9 bis 92), welcher
benutzt werden kann, um Parameter für das Verbinden durch einen
kabellosen Zugangspunkt mit einem durch den SSID repräsentierten
Netzwerk zu verbinden. Der SSID Komplextyp definiert des Weiteren
ein „Connection" Element (Zeilen
11 bis 18), ein „Authentication" Element (Zeilen
19 bis 28), ein „Encryption" Element (Zeilen
29 bis 39), einen „KeyIndex" Element (Zeile 40),
ein „802.1Xauth" Element (Zeilen
41 bis 49), ein „Non802.1XURL" Element (Zeile 50),
ein „PEAPParameters" Element (Zeilen
51 bis 76) und ein „TLSParameters" Element (Zeilen
77 bis 90).
-
Das
definierte „Connection"-Element (Zeilen
11 bis 18) definiert des Weiteren die Verbindungstypen, die von
einem Netzwerk unterstützt
werden können.
Das definierte „IBSS" Element (Zeile 14)
repräsentiert
den Namen eines „Basic
Service Set". Ein
IBSS Element kann in einer Konfigurationsunterdatei enthalten sein,
um einen bedeutungsvolleren Netzwerknamen mit einem SSID für ein Netzwerk,
auf das potentiell über
einen einzelnen kabel losen Zugangspunkt zugegriffen wird, zu verknüpfen. Das
definierte „ESS" Element (Zeile 15)
repräsentiert
den Namen eines „Extended
Service Set". Ein
ESS Element kann in einer Konfigurationsunterdatei enthalten sein,
um einen bedeutungsvolleren Netzwerknamen mit einer Vielzahl von
SSIDs, welche ein einzelnes Netzwerk bilden, und/oder, wenn auf
ein Netzwerk potentiell über
eine Vielzahl von kabellosen Zugangspunkten zugegriffen wird, zu
verknüpfen.
-
Das
definierte Authentication Element (Zeilen 19 bis 28) definiert des
Weiteren Authentifizierungstypen, die von einem Netzwerk unterstützt werden
können.
Das definierte „Open" Element (Zeile 22)
kann in einer Konfigurationsunterdatei enthalten sein, um eine „Open Authentication" anzuzeigen. Das
bedeutet dass die Authentifizierung keinen vorverteilten (Pre-Shared) Schlüssel benutzt,
welcher benötigt
ist, um sich mit einem Zugangspunkt zu authentifizieren. Das definierte „Shared" Element (Zeile 23)
kann in einer Konfigurationsdatei enthalten sein, um anzuzeigen,
dass die Authentifizierungsinformation zwischen Anwendungen geteilt
wird. Das definierte „WPA" Element (Zeile 24)
kann in einer Konfigurationsdatei enthalten sein, um anzuzeigen,
dass die Authentifizierung gemäß „WiFi Protected
Access" durchgeführt wird.
Das definierte „WPAPSK" Element (Zeile 25)
kann in einer Konfigurationsunterdatei enthalten sein, um anzuzeigen,
dass die Authentifizierung gemäß einer „WiFi Protected
Access Pre Shared Key" Authentifizierung
durchgeführt
wird.
-
Das
definierte Encryption Element (Zeile 29 bis 39) definiert des Weiteren
Verschlüsselungstypen,
die von einem Netzwerk unterstützt
werden können.
Eins, manche oder alle der in den Zeilen 32 bis 36 definierten Elemente
können
in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche
Verschlüsselungstypen,
wie beispielsweise keine Verschlüsselung,
WEP Verschlüsselung,
TKIP Verschlüsselung,
WRAP (Wireless Robust Authenticated Protocol) Verschlüsselung
und CCMP (Counter with Cipher Block Chaining Message Authentication
Code Protocol) Verschlüsselung,
anzuzeigen.
-
Das
definierte Key Index Element (Zeile 40) kann in einer Konfigurationsunterdatei
enthalten sein, um die Position eines Schlüssels anzuzeigen, beispielsweise
dass ein Schlüssel
für das
Verschlüsseln
oder Bestätigen
von Informationen benutzt werden kann.
-
Das
definierte „802.1Xauth" Element (Zeilen
41 bis 49) definiert des Weiteren 802.1X Authentifizierungstypen,
die von einem Netzwerk unterstützt
werden können.
Eines, manche oder alle der Elemente in den Zeilen 44 bis 46 können in
einer Konfigurationsunterdatei ent halten sein, um unterschiedliche
Typen der 802.1X Authentifizierung, wie beispielsweise keine, TLS
und PEAP, anzuzeigen.
-
Das
definierte „Non802.1XURL" Element (Zeile 50)
kann in einer Konfigurationsunterdatei enthalten sein, um ein URL
anzuzeigen, auf den für
eine Nicht-802.1X Authentifizierung zugegriffen werden kann. Dies kann
aus Gründen
der Kompatibilität
mit alten Systemen, welche nicht EAP unterstützen, implementiert sein.
-
Das
definierte „PEAPParameters" Element (Zeilen
51 bis 76) definiert des Weiteren PEAP Optionen, die von einem Netzwerk
unterstützt
werden können.
Eins, manche oder alle der Elemente der Zeilen 54 bis 57 und 66
können
in einer Konfigurationsunterdatei enthalten sein, um unterschiedliche
PEAP Optionen, wie beispielsweise Serverbestätigung, Servernamenslisten,
Serverzertifikatsignatur, Zertifikatrückruflisten (CRLS) und schnelle
Wiederverbindung, anzuzeigen. Das definierte „PEAPParameters" Element (Zeilen
51 bis 76) kann des weiteren ein „EAPType" Element definieren, welches in einer
Konfigurationsunterdatei enthalten sein kann, um einen EAP Typ anzuzeigen,
welcher benutzt wird, um einen Server mit einem Klienten und/oder
einen Klienten mit einem Server zu authentifizieren. Eines oder
beide der Elemente der Zeilen 61 und 62 können in einer Konfigurationsunterdatei
enthalten sein, um unterschiedliche EAP Typen anzuzeigen, wie beispielsweise
EAP-TLS oder EAP Microsoft Challange/Replay Handshake Protocol Version
2 (EAP-MSCHAPV2). Wenn EAP-MSCHAPV2
angezeigt ist, dann kann das „MSCHAPV2Parameters" Element der Zeile
67 in einer Konfigurationsunterdatei enthalten sein, um anzuzeigen,
ob Berechtigungsnachweise des Betriebssystems für die Authentifizierung benutzt
werden sollen.
-
Das
definierte „TLSParameters" Element (Zeilen
77 bis 90) definiert des Weiteren EAP-TLS Optionen, die von einem
Netzwerk unterstützt
werden können.
Eines, manche oder alle der Elemente der Zeilen 80 bis 87 können in
einer Konfigurationsunterdatei enthalten sein, um unterschiedliche
EAP-TLS Optionen, wie beispielsweise die Benutzung einer Smart Card,
Benutzung eines Zertifikats in dem Klient, Benutzung einer vereinfachten
Zertifikatauswahl, die Nichtbenutzung einer Zertifikatauswahl, die
Serverbestätigung,
Servernamenslisten, Serverzertifikatsignaturen, und Zertifikatrückruflisten
(CRLS) anzuzeigen.
-
Eine
Anmelde (oder Erneuerungs) Unterdatei kann ein XML Dokument sein,
welches gemäß eines XML
Anmeldeschemas definiert ist, auf das durch die in der Netzwerkarchitektur 200 gezeigten
Computersysteme zugegriffen werden kann. In Erwiderung auf das Empfan gen
einer EAP Benachrichtigung (oder TLV Objekt), dass weitere Informationen
benötigt
werden (z. B. um den Zugriff auf Ressourcen in dem VLAN C zu ermöglichen),
kann der Klient 205 automatisch eine Anmeldedatei herunterladen.
Die Anmeldedatei kann von einem Benutzerschnittstellenmodul 206 verarbeitet
werden und eine Benutzerschnittstelle kann automatisch am Klienten 205 angezeigt
werden. Daher ist es nicht notwendig, dass der Benutzer Kenntnisse
darüber
haben muss, wie das Anzeigen der Benutzerschnittstelle hervorgerufen
wird.
-
Ein
XML Anmeldeschema kann Markeninformationen, Subskriptionsinformationen
(z. B. Perioden, Preise und so fort), Anbieterkontaktinformationen,
Eingabefelder für
Bezahlmethoden (z. B. Kreditkarte, PayPal, vorbezahlte Karten, Zertifikate
und so fort), Eingabefelder für
Kontaktinformationen (Name, Adresse, Telefonnummer, und so fort),
Berechtigungsnachweistypen, Benutzernamen, Passwörter, RADIUS Server Zertifikate,
und so fort enthalten. Des Weiteren kann eine Benutzerschnittstelle
in einer Vielzahl von unterschiedlichen geschriebenen Sprachen,
wie beispielsweise Englisch, Japanisch, Französisch oder Deutsch, angezeigt werden.
Die Unterstützung
für unterschiedliche
geschriebene Sprachen kann durch die Benutzung eines XML Sprachen-Kennzeichnungs-Tag
ermöglicht
werden.
-
Wenn
eine Benutzerschnittstelle zum Zweck des Erneuerns einer Registrierung
angezeigt wird, kann die Menge der benutzerangegebenen Information,
die durch die Benutzerschnittstelle empfangen wird, reduziert werden.
Es kann sein, dass die angezeigte Benutzerschnittstelle lediglich „JA" und „NEIN" Kontrollfelder für das Autorisieren
von weiteren Kreditkartenzahlungen oder anderen elektronischen Bezahloptionen
anzeigt.
-
Wieder
in Bezug auf 3, umfasst das Verfahren 300 einen
funktionalen, ergebnisorientierten Schritt für das Anfordern einer Autorisierung,
um auf Ressourcen, die sich in einem zweiten Netzwerk befinden zuzugreifen
(Schritt 307). Schritt 307 kann jeden entsprechenden
Vorgang für
das Erreichen des Ergebnisses des Anforderns einer Autorisierung
für den
Zugriff auf Ressourcen im zweiten Netzwerk enthalten. Jedoch umfasst Schritt 307 in
dem in 3 gezeigten Beispiel einen entsprechenden Vorgang
des Empfangens von benutzereingegebenen Informationen (Vorgang 303).
Eine angezeigte Benutzerschnittstelle kann benutzt werden, um benutzereingegebene
Information (z. B. Benutzeridentifikator, Passwort, Name, Adresse,
Kreditkarteninformation, und so fort) von einem Benutzer am Klient 205 zu
empfangen. Wenn ein Benutzer sein Benutzerkonto erneuert, kann eine
reduzierte Menge an Informationen empfangen werden. Wenn sich beispielsweise
ein Benutzer zuvor ange meldet hat, um auf Ressourcen im VLAN C zuzugreifen,
kann ein Kontowartungsmodul 216 auf eine Benutzerdatenbank 218 zugreifen,
um zuvor eingegebene Benutzerinformationen abzurufen, um dadurch
den Benutzer davon zu entlasten, die Benutzerinformation erneut
einzugeben. Es kann sein, dass ein Benutzer eine „JA" Kontrollfeld auswählt, um
benutzereingegebene Information zur Bestätigung einer Kreditkartenzahlung
oder einer anderen elektronischen Bezahloptionen einzugeben.
-
Schritt 307 umfasst
ebenso einen entsprechenden Vorgang des Übermittelns eines schemabasierten Dokuments
(Vorgang 304). Dies kann umfassen, dass ein Klient ein
erstes schemabasiertes Dokument an einen Server übermittelt, welches benutzereingegebene
Informationen umfasst. Beispielsweise kann der Klient 205 ein
erstes XML Dokument absenden, welches gemäß eines XML Anmeldeschema definiert
ist, das benutzereingegebene, an der angezeigten Benutzerschnittstelle
empfangene Informationen enthält.
Es kann sein, dass der Klient ein HTTP oder HTTPS post benutzt,
um schemabasierte Dokumente bei einem HSP, einer ISP Web Site oder
bei einem Server 215 hochzuladen. Das Kontowartungsmodul 216 kann
eine webbasierte Schnittstelle für
das Empfangen von schemabasierten Dokumenten, die unter Benutzung
von HTTP oder HTTPS post hochgeladen wurden, haben. In manchen Ausführungsformen
kann eine webbasierte Schnittstelle zum Kontowartungsmodul 216 die
benutzereingegebene Information, die in dem schemabasierten Dokument enthalten
ist, verarbeiten und eine Benutzerdatenbank 218 aktualisieren.
-
Das
Verfahren 300 umfasst ebenso einen Vorgang des Empfangens
eines Hinweises auf eine Autorisierung (Vorgang 305). Dieses
kann umfassen, dass der Klient ein zweites schemabasiertes Dokument
empfängt,
welches einen Hinweis bereitstellt, dass ein Server den Klienten
autorisiert hat, um auf Ressourcen in einem VLAN zuzugreifen. Beispielsweise
kann der Klient 205 ein zweites XML Dokument empfangen,
welches gemäß eines
XML Anmeldeschemas definiert ist, welches einen Hinweis darauf bereitstellt,
dass der Klient 205 autorisiert ist, um auf Ressourcen
im VLAN C zuzugreifen. Der Empfang eines zweiten schemabasierten
Dokumentes kann in Erwiderung auf das Übermitteln des ersten schemabasierten
Dokumentes erfolgen. Beispielsweise in Erwiderung auf das Übermitteln
entsprechender benutzereingegebener Information kann der Klient 205 einen
Hinweis empfangen, dass der Server 215 den Klient 205 autorisiert
hat, um auf Ressourcen im VLAN C zuzugreifen. Dies kann das Empfangen
eines Benutzeridentifizierers und Passwortes oder das Empfangen
eines Hinweises, dass eine Kreditkartenzahlung akzeptiert wurde,
umfassen.
-
Wenn
der Klient 205 autorisiert ist, um auf Ressourcen im VLAN
C zuzugreifen, kann der Zugangspunkt 209 Protokolle aktivieren,
die aktuell für
den Port 251 blockiert sind, und dann Tag Header einfügen, die anzeigen,
dass Daten von Klient 205 zum VLAN C übertragen werden sollen. Der
Server 215 kann Anweisungen zum Zugangspunkt 209 senden,
um zu veranlassen, dass der Zugangspunkt 209 Protokolle
aktiviert/freigibt und dass der Zugangspunkt 209 entsprechende
Tag Header einfügt.
-
Es
kann sein, dass der Server 215 einen Sitzungs-Timeout einstellt,
beispielsweise eine Stunde, nach dessen Verstreichen der Zugangspunkt 209 den
Klient 205 auffordert, sich erneut zu authentifizieren.
Wenn ein Abonnement zum Zeitpunkt der erneuten Authentifizierung
immer noch gültig
ist, kann der Klient 205 sich im Hintergrund durch das
Absenden von entsprechenden Berechtigungsnachweisen zum Server 215 erneut authentifizieren.
Wenn andererseits eine Abonnementperiode zum Zeitpunkt der erneuten
Authentifizierung abgelaufen ist, kann der Server 215 eine
EAP-Benachrichtigung (oder ein TLV Objekt) senden, welche bewirkt, dass
eine Erneuerungsbenutzerschnittstelle am Klienten 205 angezeigt
wird. Eine Abonnementperiode kann nach dem Ablauf einer angegebenen
Zeitperiode (z. B. ein Monat, 24 Stunden, und so fort) oder nach
einer angegebenen Anzahl von Verbindungen (z. B. eine Verbindung,
10 Verbindungen, und so fort) durch einen bestimmten Diensteanbieter
ablaufen. Nach einer entsprechenden Beendigung der Erneuerungsbenutzerschnittstelle,
kann der Klient 205 erneut authentifiziert werden.
-
Wenn
ein Benutzer die Erneuerungsbenutzerschnittstelle nicht entsprechend
beendet, kann der Zugangspunkt 209 damit aufhören, Tag
Header für
das VLAN C in die Daten von Klient 205 einzufügen, und
kann stattdessen damit anfangen, Tag Header für das VLAN B in die Daten von
Klient 205 einzufügen.
Der Zugangspunkt 209 kann ebenso damit anfangen, Protokolle
für den
Port 251 zu blockieren. Der Server kann Anweisungen zum
Zugangspunkt 209 senden, um zu bewirken, dass der Zugangspunkt 209 Protokolle
blockiert und entsprechende Tag Header einfügt.
-
Parallel
zu den Vorgängen 302 bis 305 umfasst
das Verfahren 300 ebenso einen Vorgang des Ausführens eines
schemabasierten Dokumentes (Vorgang 306). Dies kann das
Ausführen
eines dritten schemabasierten Dokumentes umfassen, um einen Klienten
für den
Zugriff auf das zweite Netzwerk zu konfigurieren. Beispielsweise
kann das Freischaltungsmodul 208 ein XML Dokument ausführen, welches
gemäß eines
XML Konfigurationsschemas definiert ist, um den Klient 205 entsprechend
zu konfigurieren, um auf Ressourcen im VLAN C zuzugreifen. Das Freischaltungsmodul 208 kann
zuvor heruntergeladene XML Dokumente, wie beispielsweise eine Konfigurationsunterdatei
von den Freischaltedaten 207, abrufen.
-
Eine
Konfigurationsunterdatei kann ausgeführt werden, um Verbindungstyp,
Kommunikationsprotokolle, Authentifizierungstyp, Verschlüsselungstyp,
usw. zu konfigurieren. Eine Konfigurationsunterdatei kann praktisch
zu jeder Zeit ausgeführt
werden, nachdem diese heruntergeladen wurde. Daher kann ein Klient
entsprechend für
den Zugriff auf Ressourcen in einem Netzwerk konfiguriert werden,
selbst wenn dem Klient der Zugriff auf das Netzwerk verwehrt wurde.
Durch die Ausführung
des schemabasierten Dokumentes kann ein Klient ohne oder mit nur
geringem Bedienereingriff rekonfiguriert werden. Dies entlastet
den Benutzer davon, einen Klienten für die kompatible Funktion mit
einem Netzwerk manuell zu rekonfigurieren.
-
In
manchen Ausführungsformen
ist ein Computersystem, welches aktuell für den Internetzugang unter Benutzung
einer ersten Netzwerkkonfiguration freigeschaltet ist, für den Internetzugang
unter Benutzung einer zweiten Netzwerkkonfiguration voreingestellt.
Beispielsweise kann ein Computersystem mit Internetzugang durch
einen ISP sich an der ISP Webseite für einen Internetzugang über einen
kabellosen Hot Spot anmelden. Während
des Registrierungsprozesses bei dem ISP kann das Computersystem
Freischaltedateien für
den kabellosen Hot Spot herunterladen. Daher kann das Computersystem
nach dem Verbinden mit dem kabellosen Hot Spot schon entsprechend
für den
Zugriff auf das Internet durch den kabellosen Hot Spot konfiguriert
sein. Wenn des Weiteren Konteninformationen (z. B. Name, Adresse,
Bezahlinformationen, usw.) während
des Anmeldevorgangs bei dem ISP eingegeben wurde, kann das Computersystem
bereits autorisiert sein, um auf das Internet durch den kabellosen
Hot Spot zuzugreifen.