PatentDe  


Dokumentenidentifikation DE602004002425T2 29.03.2007
EP-Veröffentlichungsnummer 0001469631
Titel Netzwerkgerät, System und Verfahren zur Authentifizierung
Anmelder Samsung Electronics Co., Ltd., Suwon, Kyonggi, KR
Erfinder Choi, Cheol-won, Seoul, KR;
Yi, Kyoung-hoon, Gwanak-gu, Seoul, KR;
Yoon, Hyun-sik, Gangdong-gu, Seoul, KR
Vertreter Grünecker, Kinkeldey, Stockmair & Schwanhäusser, 80538 München
DE-Aktenzeichen 602004002425
Vertragsstaaten AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IT, LI, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR
Sprache des Dokument EN
EP-Anmeldetag 16.04.2004
EP-Aktenzeichen 042522250
EP-Offenlegungsdatum 20.10.2004
EP date of grant 20.09.2006
Veröffentlichungstag im Patentblatt 29.03.2007
IPC-Hauptklasse H04L 9/00(2006.01)A, F, I, 20051017, B, H, EP
IPC-Nebenklasse H04L 29/06(2006.01)A, L, I, 20051017, B, H, EP   H04L 12/28(2006.01)A, L, I, 20051017, B, H, EP   

Beschreibung[de]

Die vorliegende Erfindung betrifft die Authentifizierung einer Netzwerkvorrichtung und im Besonderen eine Netzwerkvorrichtung und ein System zum Authentifizieren und ein Verfahren zum Authentifizieren von Netzwerkvorrichtungen, die die Netzwerkvorrichtung zum Authentifizieren nutzen.

Die 1 zeigt einen Authentifizierungsprozess nach dem Stand der Technik in einer verdrahteten Kommunikationsumgebung. Ein in dem Prozess zu verwendendes Authentifizierungssystem umfasst eine Netzwerkvorrichtung 120 zum Anfordern von Authentifizierung, einen Authentifizierungs-Server 100 zum Zulassen der angeforderten Authentifizierung und eine vorhergehend authentifizierte Netzwerkvorrichtung 140. Hierbei registriert ein Manager in dem Authentifizierungs-Server 100 im Voraus Authentifizierungsinformationen 160 in Bezug auf eine Netzwerkvorrichtung 120, die zu authentifizieren ist. Die registrierten Authentifizierungsinformationen 170 können MAC-Adressen (Medium Access Control addresses), Sicherheitsschlüssel und SSID-Werte (Service Set Identifier values) usw. der die Authentifizierung anfordernden Netzwerkvorrichtung 120 enthalten. Wenn die Authentifizierung anfordernde Netzwerkvorrichtung 120 an ein Netzwerk angeschlossen ist, wird die Authentifizierungsanforderung der Netzwerkvorrichtung 120 zu dem Authentifizierungs-Server 100 gesendet. Danach bestätigt der Authentifizierungs-Server 100 die Authentifizierungsinformationen über die Netzwerkvorrichtung, die die Authentifizierungsanforderung sendet, und authentifiziert die die Authentifizierung anfordernde Netzwerkvorrichtung 120.

Die 2 zeigt einen Authentifizierungsprozess nach dem Stand der Technik in einer drahtlosen Kommunikationsumgebung. Ein in dem Prozess zu verwendendes System umfasst eine drahtlose Netzwerkvorrichtung 220 zum Anfordern von Authentifizierung, einen Zugriffspunkt 200 zum Zulassen der angeforderten Authentifizierung für die drahtlose Netzwerkvorrichtung und eine zuvor authentifizierte Netzwerkvorrichtung 240. Hierbei dient der Zugriffspunkt 200 zum Zuordnen einer Adresse zu der Authentifizierung anfordernden drahtlosen Netzwerkvorrichtung 220. Ein Manager registriert, auf Seiten des Zugriffspunktes und im Voraus, die zu authentifizierende Netzwerkvorrichtung 220, wie in der 2 gezeigt. Wenn die die Authentifizierung anfordernde drahtlose Netzwerkvorrichtung 220 von dem Zugriffspunkt 200 Authentifizierung anfordert, bestätigt der Zugriffspunkt 200 die in ihm registrierten Authentifizierungsinformationen und bestimmt, ob er die angeforderte Authentifizierung zulässt.

Die 3 zeigt einen Authentifizierungsprozess in einer Client-Server-Umgebung. Ein in dem Prozess zu verwendendes Authentifizierungssystem umfasst einen Client 320 zum Anfordern von Authentifizierung und einen Authentifizierungs-Server 320. Der Server 320 enthält einen Dienst 375, der für den Client bereitgestellt werden kann, und eine Liste 370 von unikalen IDs und Passwörtern, die zur Verwendung durch den Client zugelassen sind, um auf den Dienst zuzugreifen. Hierbei registriert ein Manager, auf Seiten des Servers und im Voraus, eine Gruppe 360 von IDs und Passwörtern, die genutzt werden, wenn der Client 320 Authentifizierung anfordert. Wenn sich der Client 320 mit dem Server verbindet und durch Eingabe seiner ID und seines Passwortes Authentifizierung anfordert, bestätigt der Authentifizierungs-Server 300 die registrierte Liste 370 von IDs und Passwörtern, um zu bestimmen, ob die Authentifizierung und die Nutzung des Dienstes 375 zugelassen werden.

Die 4 zeigt einen Betriebsprozess zwischen authentifizierten Netzwerkvorrichtungen, die auf Seiten des Authentifizierungs-Servers registrierte Authentifizierungsinformationen nutzen, nachdem die Authentifizierung durch den in der 1 gezeigten Prozess abgeschlossen wurde. Zuerst wird vorausgesetzt, dass eine Authentifizierung anfordernde Netzwerkvorrichtung eine Heim-Netzwerkvorrichtung ist. Eine Heim-Netzwerkvorrichtung A 420 fordert Verbindung und Nutzung eines Dienstes von einer anderen Heim-Netzwerkvorrichtung B 440 an, wie durch einen Pfeil 480 angezeigt. Anschließend fordert die Heim-Netzwerkvorrichtung B 440 von einem Authentifizierungs-Server 400 an, zu bestätigen, dass die Authentifizierung anfordernde Heim-Netzwerkvorrichtung A 420 eine authentifizierte Vorrichtung ist, wie durch einen Pfeil 482 angezeigt. Auf Basis einer Authentifizierungsinformationsliste 460 prüft der Authentifizierungs-Server 400, ob die die Authentifizierung anfordernde Heim-Netzwerkvorrichtung A 420 eine authentifizierte Vorrichtung ist, und informiert die Heim-Netzwerkvorrichtung B 440 über das Ergebnis der Prüfung, wie durch einen Pfeil 484 angezeigt. Im Anschluss daran, wenn auf der Basis des Ergebnisses der Prüfung bestätigt ist, dass die Heim-Netzwerkvorrichtung A 420 eine authentifizierte Vorrichtung ist, kommuniziert die Heim-Netzwerkvorrichtung B 440 mit der Heim-Netzwerkvorrichtung A 420.

Die in den 1 bis 3 gezeigten, bekannten Authentifizierungsverfahren leiden jedoch unter mehr als einem der folgenden Probleme:

  • 1. Zum Authentifizieren von Netzwerkvorrichtungen ist ein Manager, der Kenntnis von den Netzwerken oder Computern hat, erforderlich.
  • 2. In einer verdrahteten Kommunikationsumgebung können von außen vorsätzlich Verbindungen mit dem Netzwerk hergestellt werden. Die 5 stellt ein solches Problem dar, das beispielsweise in einem Heim-Netzwerk auftritt. Das heißt, dass in einem Heim 590 mit einem verdrahten Heim-Netzwerk 580, in dem ein Authentifizierungs-Server 500 und die Heim-Netzwerkvorrichtungen 540 und 542 untereinander über ein verdrahtetes Kommunikationsnetzwerk verbunden sind, durch ein verdrahtetes Netzwerk 585, das von außen zugänglich ist, eine externe Vorrichtung 520 mit dem Heim-Netzwerk vorsätzlich verbunden werden kann.
  • 3. In einer drahtlosen Kommunikationsumgebung können die Authentifizierungsinformationen durch jede Authentifizierung anfordernde drahtlose Netzwerkvorrichtung, die in anderen Netzwerken vorhanden ist, in einem Netzwerk registriert werden, weil die Abdeckung des drahtlosen Netzwerkes nicht genau begrenzt ist. Die 6 stellt ein solches Problem beispielhaft für ein drahtloses Heim-Netzwerk dar. Das heißt, dass in einem Heim 690 mit einem drahtlosen Heim-Netzwerk, in dem ein Zugriffspunkt 600 und die drahtlosen Netzwerkvorrichtungen 640 und 642 untereinander über einen drahtlosen Link verbunden sind, kann von einer externen Vorrichtung ein externer Link 685 zu dem drahtlosen Heim-Netzwerk eingerichtet werden kann, weil die Abdeckung des Heim-Netzwerkes üblicherweise nicht begrenzt ist. Dementsprechend können nicht nur die in dem relevanten drahtlosen Heim-Netzwerk vorhandenen drahtlosen Vorrichtungen 640 und 642 sondern auch die in anderen drahtlosen Netzwerken vorhandenen externen drahtlosen Vorrichtungen 620 registriert werden.

Deshalb werden technische Lösungen zum Überwinden der Probleme der bekannten Technik gebraucht.

GB-A-2 131 offenbart ein Nahkommunikationsnetzwerk, das eine Vielzahl von HF-Stationen mit kurzer Abdeckung, bevorzugt Bluetooth, umfasst, die mit autorisierten Endgeräten Kommunikation in einem Bereich von Interesse, der durch die Basisstationen abgedeckt wird, einrichten. Das Netzwerk verbindet die autorisierten Endgeräte untereinander. Die Basisstationen werden innerhalb eines Gebäudes bereitgestellt und nutzen die Verdrahtungsinfrastruktur innerhalb des Gebäudes, wie zum Beispiel Telefonleitungen oder ein LAN, um sich mit einer Datenverarbeitungszentrale mit einem Mobilitätsmanager zu verbinden. Die Verarbeitungszentrale überwacht den Standort von autorisierten Endgeräten innerhalb des Gebäudes, stellt fest, ob diese mobil sind oder nicht, und validiert ihre Identität und damit verbundene Zugriffsrechte.

XP-002250118 „802.11 b Wireless LAN Authentication, Encryption, and Security", Young Kim, offenbart einen RADIUS-Authentifizierungs-Server (Remote Authentication Dial In User Service authentication server), der während Verhandlungen Sitzungsschlüssel erzeugt. Der Authentifizierungs-Server kommuniziert die Schlüssel während einer Transaktion zu dem Authentifikator und zu einem Anfordernden (über den Authentifikator). Ein Zugriffspunkt und eine Endstation haben Kenntnis von den Sitzungsschlüsseln. Der Authentifikator nutzt die Sitzungsschlüssel, um einen dynamischen WEPN-Algorithmusschlüssel (Wired Equivalent Privacy algorithm key) zu erzeugen.

US 2002/0032 855 offenbart ein Verfahren, ein System und ein Computerprogramm zum Bereitstellen von standortunabhängigem Paket-Routing, sicherem Zugriff und drahtlosem Vernetzen der Umgebung, das Client-Vorrichtungen in die Lage versetzt, sich nahtlos in der Umgebung zu bewegen. Ein für den Client und den Server einsehbarer Adressentranslatierungsprozess wird automatisch ausgeführt, während sich die Vorrichtung durch die Umgebung bewegt, wodurch effiziente Migration von einem Zugriffspunkt zu dem anderen möglich ist. Die sichere Zugriffstechnik stellt eine benutzerzentrierte Authentifizierung bereit und ermöglicht richtliniengesteuerte Paketfilterung bei gleichzeitiger Nutzung der in die Hardware eingebauten Verschlüsselungsfähigkeiten.

US 2003/0035544 offenbart einen Mobilstations-Standortserver, der den Standort der Mobilstation durch verschiedene Lokalisierungstechniken oder durch Empfangen der Standortinformationen von der Mobilstation über einen verschlüsselten Kanal bestimmt.

WO-A-03/010669 offenbart ein System, ein Verfahren, ein Signal und ein Computerprogramm zum Bereitstellen von sicherem drahtlosem Zugriff für eine private Datenbank und deren Anwendung, ohne eine separate drahtlose Client-Server-Sicherheitsprotokollstruktur, die über das Internet arbeitet, erforderlich zu machen.

Gemäß der vorliegenden Erfindung werden ein System, ein Verfahren und Heim-Netzwerkvorrichtungen, wie in den beigefügten Ansprüchen dargestellt, bereitgestellt. Bevorzugte Merkmale der Erfindung werden aus den abhängigen Ansprüchen und der folgenden Beschreibung ersichtlich.

Die vorliegende Erfindung ermöglicht einem normalen Benutzer, der über keine Kenntnisse über Authentifizierung, Computer und dergleichen verfügt, die Authentifizierung für Netzwerkvorrichtungen einfach auszuführen und ermöglicht einem Benutzer darüber hinaus, durch Bewirken, dass Authentifizierung unter Verwendung eines Interface mit einer begrenzten Abdeckung ausgetauscht wird, Authentifizierung für Netzwerkvorrichtungen sicher und einfach so durchzuführen, dass jede nicht authentifizierte Verbindung zwischen Netzwerkvorrichtungen vermieden wird.

Gemäß einem Aspekt der Erfindung wird ein System zur Authentifizierung in einem Heim-Netzwerk bereitgestellt, das umfasst: eine erste Heim-Netzwerkvorrichtung, die eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden kann, um ihre eigenen Authentifizierungsinformationen zu erzeugen, und eine Schnittstelleneinheit enthält, die betrieben werden kann, um die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen zu senden, und eine zweite Heim-Netzwerkvorrichtung, die eine Schnittstelleneinheit enthält, die betrieben werden kann, um die Authentifizierungsinformationen zu empfangen, und eine Authentifizierungsinformations-Registriereinheit enthält, die betrieben werden kann, um die empfangenen Authentifizierungsinformationen darin zu registrieren, dadurch gekennzeichnet, dass die Schnittstelleneinheit der ersten Heim-Netzwerkvorrichtung so eingerichtet ist, dass sie die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen über ein privates Netzwerk mit begrenzter Abdeckung sendet, und die Schnittstelleneinheit der zweiten Heim-Netzwerkvorrichtung betrieben werden kann, um die Authentifizierungsinformationen über das private Netzwerk zu empfangen.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird außerdem ein Verfahren zum Authentifizieren von Heim-Netzwerkvorrichtungen bereitgestellt, das umfasst: Erzeugen von Authentifizierungsinformationen über eine bestimmte Heim-Netzwerkvorrichtung und Senden der erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen und Empfangen der gesendeten Authentifizierungsinformationen und Registrieren der empfangenen Authentifizierungsinformationen in einer anderen Heim-Netzwerkvorrichtung, dadurch gekennzeichnet, dass die erzeugten Authentifizierungsinformationen über ein privates Netzwerk mit begrenzter Abdeckung zu der anderen Heim-Netzwerkvorrichtung gesendet werden und die gesendeten Authentifizierungsinformationen über die andere Heim-Netzwerkvorrichtung über das private Netzwerk empfangen werden.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung bereitgestellt, die umfasst: eine erste Heim-Netzwerkvorrichtung, die eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden kann, um ihre eigenen Authentifizierungsinformationen zu erzeugen, und eine Schnittstelleneinheit enthält, die betrieben werden kann, um die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen zu senden, dadurch gekennzeichnet, dass die Schnittstelleneinheit betrieben werden kann, um die erzeugten Authentifizierungsinformationen über ein privates Netzwerk mit begrenzter Abdeckung zu anderen Heim-Netzwerkvorrichtungen zu senden.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung zur Authentifizierung bereitgestellt, die umfasst: eine Einrichtung zum Empfangen von Authentifizierungsinformationen und eine Einrichtung zum Registrieren der empfangenen Authentifizierungsinformationen, dadurch gekennzeichnet, dass die Einrichtung zum Empfangen von Authentifizierungsinformationen so eingerichtet ist, dass sie die Authentifizierungsinformationen über ein privates Netzwerk mit einer begrenzten Abdeckung empfängt.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Heim-Netzwerkvorrichtung bereitgestellt, die umfasst: eine Einrichtung zum Empfangen von Authentifizierungsinformationen von einer bestimmten Heim-Netzwerkvorrichtung, dadurch gekennzeichnet, dass die Einrichtung zum Empfangen betrieben werden kann, um die Authentifizierungsinformationen von der bestimmten Heim-Netzwerkvorrichtung über ein privates Netzwerk mit einer begrenzten Abdeckung zu empfangen und die Heim-Netzwerkvorrichtung eine Einrichtung zum Senden der empfangenen Authentifizierungsinformationen über das private Netzwerk zu anderen Heim-Netzwerkvorrichtungen umfasst.

Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Verfahren zum Authentifizieren von Heim-Netzwerkvorrichtungen bereitgestellt, das umfasst: Senden von durch eine Netzwerkvorrichtung erzeugten Authentifizierungsinformationen und Empfangen der Authentifizierungsinformationen, dadurch gekennzeichnet, dass das Verfahren des Weiteren umfasst: Senden eines ersten unikalen Schlüssels, der über ein privates Netzwerk empfangen wird, und der Authentifizierungsinformationen, die durch die Netzwerkvorrichtung, die den ersten unikalen Schlüssel empfangen hat, erzeugt wurde, Empfangen des ersten unikalen Schlüssels und der Authentifizierungsinformationen, Vergleichen des empfangenen ersten Schlüssels mit einem zweiten unikalen Schlüssel, der über das private Netzwerk empfangen wird, und Registrieren der empfangenen Authentifizierungsinformationen, wenn beide Schlüssel übereinstimmen.

Für ein besseres Verständnis der Erfindung und um zu zeigen, wie Ausführungsformen dieser umgesetzt werden können, wird im Folgenden beispielhaft auf die begleitenden diagrammatischen Zeichnungen Bezug genommen, in denen:

1 ein Diagramm ist, das einen Authentifizierungsprozess nach dem Stand der Technik in einer verdrahteten Netzwerkumgebung darstellt;

2 ein Diagramm ist, das einen Authentifizierungsprozess nach dem Stand der Technik in einer drahtlosen Netzwerkumgebung darstellt;

3 ein Diagramm ist, das einen Authentifizierungsprozess nach dem Stand der Technik in einer Client-Server-Umgebung darstellt;

4 ein Diagramm ist, das einen Betriebsprozess zwischen authentifizierten Netzwerkvorrichtungen, nachdem die Authentifizierung abgeschlossen wurde, entsprechend verwandter Technik darstellt;

5 ein Diagramm ist, das Probleme verwandter Technik in einem verdrahteten Heim-Netzwerk darstellt;

6 ein Diagramm ist, das Probleme verwandter Technik in einem drahtlosen Heim-Netzwerk darstellt;

7 ein Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch Schnittstelleneinheiten von Netzwerkvorrichtungen gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;

8 ein Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung eines Repeaters gemäß einer weiteren Ausführungsform der vorliegenden Erfindung darstellt;

9 ein Diagramm ist, das einen Prozess des Sendens von Authentifizierungsinformationen durch Schnittstelleneinheiten von Netzwerkvorrichtungen unter Verwendung eines unikalen Schlüssels gemäß einer weiteren Ausführungsform der vorliegenden Erfindung darstellt;

10 ein Format einer Authentifizierungsinformationsnachricht für eine Authentifizierung anfordernde Netzwerkvorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung darstellt;

11 ein Prozessablaufdiagramm zum Darstellen eines Authentifizierungsverfahrens in einer wie in der 7 gezeigten Umgebung ist;

12 ein Prozessablaufdiagramm zum Darstellen eines Authentifizierungsverfahrens in einer wie in der 9 gezeigten Umgebung ist;

13 ein Diagramm ist, das einen Betriebsprozess für Netzwerkvorrichtungen, die in einem verdrahteten Netzwerk betrieben werden, nachdem die Authentifizierung abgeschlossen wurde, gemäß der Erfindung darstellt und

14 ein Diagramm ist, das einen Betriebsprozess für Netzwerkvorrichtungen, die in einem drahtlosen Netzwerk betrieben werden, nachdem die Authentifizierung abgeschlossen wurde, gemäß der Erfindung darstellt.

Vor einer ausführlichen Beschreibung der vorliegenden Erfindung werden zuerst einige der hierin verwendeten Terminologien definiert:

  • 1. Authentifizierungsinformation: Entspricht Informationen, die zur Authentifizierung gebraucht werden, und enthält Informationen über eine Authentifizierung anfordernde Netzwerkvorrichtung, Authentifizierungsinformationskennung usw.
  • 2. Authentifizierungsinformationskennung: Entspricht einer Kennung zum Unterscheiden, ob eine zu sendende Nachricht Authentifizierungsinformationen enthält.
  • 3. SSID (Service Set Identifier): Entspricht einer unikalen Kennung von 32-Byte-Länge, die jedem Kopf von Paketen, die über ein drahtloses LAN gesendet werden, hinzugefügt wird.
  • 4. Bluetooth: Entspricht einem drahtlosen Internetverbindungssystem über ein LAN.

Im Folgenden werden unter Bezugnahme auf die begleitenden Zeichnungen eine Netzwerkvorrichtung und ein System zur Authentifizierung von Netzwerkvorrichtungen, das eine solche Netzwerkvorrichtung nutzt, gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung beschrieben.

Die 7 ist ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen gemäß einer Ausführungsform der vorliegenden Erfindung darstellt. Ein Benutzer weist eine Netzwerkvorrichtung 720 an, von einem Authentifizierungs-Server 700 Authentifizierung anzufordern. Anschließend werden die Authentifizierungsinformationen über die die Authentifizierung anfordernde Netzwerkvorrichtung 720 über ein Interface 722 der Netzwerkvorrichtung 720 über ein privates Netzwerk zu dem Authentifizierungs-Server 700 gesendet. Zu diesem Zeitpunkt kann der Benutzer unter Verwendung einer Authentisierungsschaltfläche in der Netzwerkvorrichtung 720, durch ein Anwendungsprogramm für Authentifizierung oder dergleichen, anweisen, die Authentifizierung zuzulassen. Die Interfaces 702 und 722 sind verdrahte/drahtlose Interfaces mit begrenzter Abdeckung und Richtwirkung und enthalten LAN-Kommunikationsschnittstellen, wie beispielsweise IrDA-Anschlüsse (Infra-red Data Association communications) und Bluetooth-Anschlüsse oder Drahtkabelschnittstellen, wie serielle/parallele Kabel. Der Authentifizierungs-Server 700 prüft, ob eine Authentifizierungsinformationsliste 770 des Servers die durch das Interface 702 empfangenen Authentifizierungsinformationen 766 enthält. Wenn die Authentifizierungsinformationen 766 in der Liste nicht vorhanden sind, fügt der Server die Authentifizierungsinformationen 766 über die Netzwerkvorrichtung 720 zu der Authentifizierungsinformationsliste 770 hinzu und schließt dann den Authentifizierungsprozess ab. Die 11 ist ein Prozessablaufdiagramm, das die in der 7 beschriebene Authentifizierungsmethode darstellt, die später beschrieben wird.

Die 8 ist ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen, die einen Repeater gemäß einer weiteren Ausführungsform der Erfindung verwenden, darstellt. Der Repeater 840 empfängt über sein eigenes Interface 842, über ein privates Netzwerk 890, Authentifizierungsinformationen 860 in einer Authentifizierung anfordernden Netzwerkvorrichtung 820 und sendet die Authentifizierungsinformationen 860 zu einem Interface 802 des Authentifizierungs-Servers 800. Der Authentifizierungs-Server 800 prüft, ob die Authentifizierungsinformationen über die die Authentifizierung anfordernde Netzwerkvorrichtung 820 aus dem Repeater 840 in einer Authentifizierungsinformationsliste 870 vorhanden sind. Falls sie nicht vorhanden sind, fügt der Authentifizierungs-Server 800 die Authentifizierungsinformationen zu der Authentifizierungsinformationsliste 870 hinzu und schließt den Authentifizierungsprozess ab. Zu diesem Zeitpunkt kann der Repeater als eine Form von Fernsteuerung verwendet werden. Gemäß dieser Ausführungsform, die in der 8 gezeigt ist, kann ein Benutzer die Authentifizierung für die Authentifizierung anfordernde Netzwerkvorrichtung 820 innerhalb eines lokalen Bereiches ausführen, ohne die Authentifizierung anfordernde Netzwerkvorrichtung 820 direkt zu kontaktieren.

Die 9 ist ein Diagramm, das ein Verfahren zur Authentifizierung von Netzwerkvorrichtungen, die einen unikalen Schlüssel verwenden, gemäß einer weiteren Ausführungsform der vorliegenden Erfindung darstellt. Ein Repeater 940 sendet über seine eigene Schnittstelle 942 über ein privates Netzwerk 990 einen ersten unikalen Schlüssel 944 und einen zweiten unikalen Schlüssel 946 jeweils zu einem Interface 922 einer Authentifizierung anfordernden Netzwerkvorrichtung 920 und zu einem Interface 902 eines Authentifizierungs-Servers 900. Die Authentifizierung anfordernde Netzwerkvorrichtung 920 generiert unter Verwendung des ersten unikalen Schlüssels 944 eine Authentifizierungsanforderungsnachricht 950 und die Authentifizierungsinformationen 960 und sendet die erzeugte Nachricht 950 zu dem Authentifizierungs-Server 900.

Nach Empfangen der Authentifizierungsanforderungsnachricht 950 vergleicht der Authentifizierungs-Server 900 den zweiten unikalen Schlüssel 946 mit dem ersten unikalen Schlüssel 944 in der Authentifizierungsanforderungsnachricht 950. Wenn die beiden Schlüssel übereinstimmen, prüft der Authentifizierungs-Server, ob die in der Authentifizierungsanforderungsnachricht 950 enthaltenen Authentifizierungsinformationen in der Authentifizierungsinformationsliste 970 vorhanden sind. Falls diese nicht vorhanden sind, fügt der Authentifizierungs-Server die Authentifizierungsinformationen zu der Liste hinzu und schließt den Authentifizierungsprozess ab.

Die 12 ist ein Prozessablaufdiagramm der in der 9 gezeigten Authentifizierungsmethode, die später beschrieben wird. Gemäß dieser in der 9 gezeigten Ausführungsform kann der Benutzer durch das Vergleichen des ersten unikalen Schlüssels 944 mit dem zweiten unikalen Schlüssel selbst dann vorsätzliches Verbinden von außen verhindern, wenn anstelle des privaten Netzwerkes ein vorhandenes allgemeines Netzwerk genutzt wird.

Die 10 stellt ein Format einer Authentifizierungsinformationsnachricht für eine Authentifizierung anfordernde Netzwerkvorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung dar. Die Authentifizierungsinformationsnachricht 1010 enthält Authentifizierungsinformationen 1050 und kann alternativ zusätzlich zu den Authentifizierungsinformationen 1050 eine Erweiterung 1070 enthalten. Die Authentifizierungsinformationen 1050 können Informationen über die die Authentifizierung anfordernde Netzwerkvorrichtung, Informationen über die die Authentifizierungsinformationen registrierende Netzwerkvorrichtung, eine Kennung zum Unterscheiden, ob die Nachricht Authentifizierungsinformationen enthält, usw. enthalten. Die Informationen über die Authentifizierung anfordernde Netzwerkvorrichtung können einen Sicherheitsschlüssel, eine MAC-Adresse, eine SSID usw. enthalten. Die Authentifizierungsinformationsnachricht 1010 kann die Erweiterung 1070 umfassen, um alle anderen Informationen, außer den Authentifizierungsinformationen 1050, zu enthalten.

11 ist ein Prozessablaufdiagramm, das die in der 7 gezeigte Authentifizierungsmethode darstellt. Ein Authentifizierungs-Server 1100 prüft, ob von einer Authentifizierung anfordernden Netzwerkvorrichtung 1150 eine Authentifizierungsanforderung vorhanden ist (S1110). Wenn festgestellt ist, dass eine Authentifizierungsanforderung vorhanden ist, prüft der Authentifizierungs-Server 1100, ob die Authentifizierungsinformationen über die Authentifizierung anfordernde Netzwerkvorrichtung 1150 in seiner eigenen Authentifizierungsinformationsliste enthalten ist (S1120). Wenn die Authentifizierungsinformationen über die die Authentifizierung anfordernde Netzwerkvorrichtung 1150 nicht in der Authentifizierungsinformationsliste sind, wird der Authentifizierungs-Server die Authentifizierung nicht zulassen und den Authentifizierungsprozess abschließen (S1125). Andernfalls fügt der Authentifizierungs-Server die Authentifizierungsinformationen und die anderen Informationen über die Netzwerkvorrichtung 1150 zu der Authentifizierungsinformationsliste hinzu (S1130) und erlaubt die Authentifizierung (S1140).

Andererseits bestätigt die Authentifizierung anfordernde Netzwerkvorrichtung 1150, ob durch den Benutzer ausgegebene Authentifizierungsanweisungen zu nutzen sind (S1160). Wenn der Benutzer Authentifizierugsanweisungen ausgibt, sendet die Authentifizierung anfordernde Netzwerkvorrichtung über ihr eigenes Interface, über ein privates Netzwerk, ihre eigenen Authentifizierungsinformationen (S1170). Wenn der Authentifizierungs-Server die Authentifizierung zulässt, wird anschließend der Authentifizierungsprozess abgeschlossen. Andernfalls kann eine Nachricht zum Anzeigen einer weiteren Authentifizierungsanforderung oder ein Authentifizierungsfehler angezeigt werden (S1185).

Die 12 ist ein Prozessablaufdiagramm, das die in der 9 gezeigte Authentifizierungsmethode darstellt. Ein Authentifizierungs-Server 1200 prüft, ob ein Repeater eine Anforderung für Authentifizierung erzeugt (S1205). Wenn eine Authentifizierungsanforderung von dem Repeater vorhanden ist, prüft der Authentifizierungs-Server, ob die Authentifizierung anfordernde Netzwerkvorrichtung 1250 einen ersten unikalen Schlüssel und die Authentifizierungsinformationen zu dem Authentifizierungs-Server sendet (S1210). Sofern er nicht den ersten unikalen Schlüssel und die Authentifizierungsinformationen von der die Authentifizierung anfordernden Netzwerkvorrichtung 1250 erhält, zeigt der Authentifizierungs-Server 1200 eine Authentifizierungsfehlernachricht an oder schließt den Authentifizierungsprozess ab (S1235). Andernfalls vergleicht der Authentifizierungs-Server 1200 den von der die Authentifizierung anfordernden Netzwerkvorrichtung 1250 empfangenen ersten unikalen Schlüssel mit einem aus dem Repeater empfangenen unikalen Schlüssel und stellt fest, ob beide Schlüssel übereinstimmen (S1215). Wenn die beiden Schlüssel dieselben sind, prüft der Authentifizierungs-Server 1200, ob die Authentifizierungsinformationen von der Authentifizierung anfordernden Netzwerkvorrichtung 1250 in einer Authentifizierungsinformationsliste des Authentifizierungs-Servers enthalten sind. Wenn die Authentifizierungsinformationen in der Liste enthalten sind, lässt der Authentifizierungs-Server die Authentifizierung (S1230) zu. Andernfalls fügt der Authentifizierungs-Server die Authentifizierungsinformationen und weitere Informationen über die Authentifizierung anfordernde Netzwerkvorrichtung 1250 zu der Authentifizierungsinformationsliste hinzu (S1225) und lässt anschließend die Authentifizierung zu (S1230). Auf der anderen Seite bestätigt die Authentifizierung anfordernde Netzwerkvorrichtung 1250, ob der Repeater eine Authentifizierungsanforderung vornimmt (S1255). Wenn der Repeater eine Anforderung für Authentifizierung vorgenommen hat, sendet die Netzwerkvorrichtung 1250 den ersten unikalen Schlüssel aus dem Repeater und ihre eigenen Authentifizierungsinformationen zu dem Authentifizierungs-Server 1200 (S1260). Wenn der Authentifizierungs-Server 1200 die Authentifizierung zulässt, wird der Authentifizierungsprozess abgeschlossen. Andernfalls wird der Authentifizierungs-Server eine Nachricht zum Anzeigen einer weiteren Authentifizierungsanforderung oder eines Authentifizierungsfehlers anzeigen (S1270) und schließt dann den Authentifizierungsprozess ab.

Die 13 stellt einen Prozess des Betreibens von authentifizierten Netzwerkvorrichtungen in einer verdrahteten Umgebung gemäß einer Ausführungsform der vorliegenden Erfindung dar. Eine authentifizierte Netzwerkvorrichtung A 1320 sendet eine Nachricht, die ihre eigenen Authentifizierungsinformationen 1360 enthält, zu einer anderen Netzwerkvorrichtung B 1340, wie durch einen Pfeil 1380 angezeigt. Nach dem Empfang der Nachricht sendet die Netzwerkvorrichtung B 1340 die in der empfangenen Nachricht enthaltenen Authentifizierugsinformationen zu einem Authentifizierungs-Server 1300 und fordert von dem Authentifizierungs-Server 1300 an, zu bestätigen, ob die Netzwerkvorrichtung A 1320 authentifiziert wurde, wie durch einen Pfeil 1382 angezeigt. Anschließend prüft der Authentifizierungs-Server 1300, ob die in der empfangenen Nachricht enthaltenen Authentifizierungsinformationen in seiner eigenen Authentifizierungsinformationsliste 1370 enthalten sind, und sendet das Ergebnis der Prüfung zu der Netzwerkvorrichtung B 1340, die die Bestätigung angefordert hat, wie durch einen Pfeil 1384 angezeigt. Schließlich bestätigt die Netzwerkvorrichtung B 1340, dass die Netzwerkvorrichtung 1320 authentifiziert ist und kommuniziert dann mit der Netzwerkvorrichtung A, wie durch einen Pfeil 1386 angezeigt.

Die 14 stellt einen Prozess des Betreibens von authentifizierten Netzwerkvorrichtungen in einer drahtlosen Netzwerkumgebung gemäß einer weiteren Ausführungsform der vorliegenden Erfindung dar. Die authentifizierte drahtlose Netzwerkvorrichtung 1420 sendet eine Anforderung für Verbindung mit einer anderen Netzwerkvorrichtung zu einem Zugriffspunkt 1400, wie durch einen Pfeil 1480 angezeigt. Als Antwort auf die Anforderung authentifiziert der Zugriffspunkt 1400 die drahtlose Netzwerkvorrichtung 1420 unter Verwendung ihrer eigenen Authentifizierungsinformationsliste 1470 und weist der drahtlosen Netzwerkvorrichtung eine vorgegebene Adresse zu, wie durch einen Pfeil 1482 angezeigt. Anschließend sendet die drahtlose Netzwerkvorrichtung 1420 der anderen Netzwerkvorrichtung 1440 eine Anforderung zum Verbinden mit dieser, wie durch einen Pfeil 1484 angezeigt. Die angeforderte Netzwerkvorrichtung 1440 lässt die Verbindung zu, wie durch einen Pfeil 1486 angezeigt.

Gemäß der vorliegenden Erfindung, wie beschrieben konfiguriert, können die folgenden Vorteile erhalten werden.

  • 1. In einer Netzwerkumgebung, die nicht durch einen Manager verwaltet wird, können Authentifizierungen für Netzwerkvorrichtungen durchgeführt werden.
  • 2. Ein durchschnittlicher Netzwerkbenutzer, der keine Kenntnis über Netzwerke und Authentifizierung hat, kann einen Authentifizierungsprozess einfach durchführen.
  • 3. In einer verdrahteten oder drahtlosen Netzwerkumgebung kann durch ein vorgegebenes Interface unberechtigtes oder versehentliches Verbinden einfach und effektiv verhindert werden.

Obwohl einige bevorzugte Ausführungsformen gezeigt und beschrieben wurden, wird ein Fachmann in dieser Technik ohne Weiteres anerkennen, dass verschiedene Änderungen und Modifikationen vorgenommen werden können, ohne von dem Schutzanspruch der Erfindung, wie in den angehängten Ansprüchen definiert, abzuweichen.

Alle in dieser Beschreibung offenbarten Merkmale (einschließlich aller begleitenden Ansprüche, der Zusammenfassung und der Zeichnungen) und alle anderen Schritte jedes Verfahrens oder Prozesses, wie offenbart, können miteinander in jeder Kombination kombiniert werden, ausgenommen sind nur solche Kombinationen, bei denen sich wenigstens einige der Merkmale und/oder Schritte wechselseitig ausschließen.

Die Erfindung ist nicht auf die Einzelheiten der zuvor beschriebenen Ausführungsform(en) beschränkt. Die Erfindung erstreckt sich auf jedes neue Merkmal oder jede neue Kombination der Merkmale, die in dieser Spezifikation (einschließlich aller begleitenden Ansprüche, der Zusammenfassung und den Zeichnungen) offenbart sind oder jeden neuen Schritt oder jede neue Kombination der Schritte jedes offenbarten Verfahrens oder Prozesses.


Anspruch[de]
System zur Authentifizierung in einem Heim-Netzwerk, das umfasst:

eine erste Heim-Netzwerkvorrichtung (720, 820), die eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden kann, um ihre eigenen Authentifizierungsinformationen (760, 860) zu erzeugen, und eine Schnittstelleneinheit (722, 822) enthält, die betrieben werden kann, um die erzeugten Authentifizierungsinformationen (760, 860) zu anderen Heim-Netzwerkvorrichtungen (700, 800) zu senden;

eine zweite Heim-Netzwerkvorrichtung (700, 800), die eine Schnittstelleneinheit (702, 802), die betrieben werden kann, um die Authentifizierungsinformationen (760) zu empfangen, und eine Authentifizierungsinformations-Registriereinheit (770, 870) enthält, die betrieben werden kann, um die empfangenen Authentifizierungsinformationen (760, 860) darin zu registrieren;

dadurch gekennzeichnet, dass:

die Schnittstelleneinheit (722, 822) der ersten Heim-Netzwerkvorrichtung (720, 820) so eingerichtet ist, dass sie die erzeugten Authentifizierungsinformationen (760, 860) zu anderen Heim-Netzwerkvorrichtungen (700, 800) über ein privates Netzwerk (790, 890) mit einer begrenzten Abdeckung sendet; und

die Schnittstelleneinheit (702, 802) der zweiten Heim-Netzwerkvorrichtung (700, 800) betrieben werden kann, um die Authentifizierungsinformationen (760, 860) über das private Netzwerk (790, 890) zu empfangen.
System nach Anspruch 1, das umfasst:

eine Heim-Netzwerkvorrichtung (840), die betrieben werden kann, um die von der ersten Heim-Netzwerkvorrichtung (720, 820) gesendeten Authentifizierungsinformationen (760, 860) über das private Netzwerk (790, 890) zu empfangen und die empfangenen Authentifizierungsinformationen (760, 860) über das private Netzwerk (790, 890) zu der zweiten Heim-Netzwerkvorrichtung (700, 800) zu senden.
System nach Anspruch 1 oder 2, wobei die Authentifizierungsinformationen (760, 860) Informationen über die erste Heim-Netzwerkvorrichtung (720, 820) enthalten, um ihre eigenen Authentifizierungsinformationen (760, 860) zu erzeugen. System nach Anspruch 1, 2 oder 3, wobei die Authentifizierungsinformationen (760, 860) Informationen über die zweite Heim-Netzwerkvorrichtung (700, 800) enthalten, um die Authentifizierungsinformationen (760, 860) darin zu registrieren. System nach einem der Ansprüche 1 bis 4, wobei die Authentifizierungsinformationen (760, 860) eine Authentifizierungsinformations-Kennung enthalten. System nach einem der Ansprüche 1 bis 5, wobei die Schnittstelleneinheit (722, 702, 822, 802) eine Sendeempfängereinheit für lokale Kommunikation enthält. System nach Anspruch 6, wobei die lokale Kommunikation IrDA-Kommunikation einschließt. System nach Anspruch 6, wobei die lokale Kommunikation Bluetooth-Kommunikation einschließt. System nach Anspruch 6, wobei die lokale Kommunikation verdrahtete Seriell-Kommunikation einschließt. System nach Anspruch 6, wobei die lokale Kommunikation verdrahtete Parallel-Kommunikation einschließt. Verfahren zum Authentifizieren von Heim-Netzwerkvorrichtungen, das umfasst:

Erzeugen von Authentifizierungsinformationen (760) über eine bestimmte Heim-Netzwerkvorrichtung (720) und Senden der erzeugten Authentifizierungsinformationen (760) zu anderen Heim-Netzwerkvorrichtungen (700); und

Empfangen der gesendeten Authentifizierungsinformationen (760) und Registrieren der empfangenen Authentifizierungsinformationen (766) in einer anderen HeimNetzwerkvorrichtung (700);

dadurch gekennzeichnet, dass

die erzeugten Authentifizierungsinformationen (760) über ein privates Netzwerk (790) mit begrenzter Abdeckung zu anderen Heim-Netzwerkvorrichtungen (700) gesendet werden; und

die gesendeten Authentifizierungsinformationen in der anderen Heim-Netzwerkvorrichtung (700) über das private Netzwerk (790) empfangen werden.
Verfahren nach Anspruch 11, das umfasst:

Wiederholen der in dem Erzeugungsschritt über das private Netzwerk (890) gesendeten Authentifizierungsinformationen (860); und

wobei die empfangenen Authentifizierungsinformationen (860) in dem Wiederholungsschritt über das private Netzwerk (890) gesendet werden.
Verfahren nach Anspruch 11 oder 12, wobei die Authentifizierungsinformationen (760, 860) Informationen über die bestimmte Heim-Netzwerkvorrichtung (720, 820) enthalten, um ihre eigenen Authentifizierungsinformationen (760, 860) zu erzeugen. Verfahren nach Anspruch 11, 12 oder 13, wobei die Authentifizierungsinformationen (760, 860) Informationen über die andere Heim-Netzwerkvorrichtung (700, 800) enthalten, um die Authentifizierungsinformationen (760) darin zu registrieren. Verfahren nach einem der Ansprüche 11 bis 14, wobei die Authentifizierungsinformationen (760, 860) eine Authentifizierungsinformations-Kennung enthalten. Heim-Netzwerkvorrichtung (720, 820), die umfasst:

eine Authentifizierungsinformations-Erzeugungseinheit, die betrieben werden kann, um Authentifizierungsinformationen (760, 860) der Netzwerkvorrichtung (720, 820) zu erzeugen; und

eine Schnittstelleneinheit (722, 822), die betrieben werden kann, um die erzeugten Authentifizierungsinformationen zu anderen Heim-Netzwerkvorrichtungen (700, 800) zu senden;

dadurch gekennzeichnet, dass

die Schnittstelleneinheit (722, 728) betrieben werden kann, um die erzeugten Authentifizierungsinformationen (760, 860) über ein privates Netzwerk (790, 890) mit einer begrenzten Abdeckung zu den anderen Heim-Netzwerkvorrichtung (700, 800) zu senden.
Heim-Netzwerkvorrichtung (720, 820) nach Anspruch 16, wobei die Heim-Netzwerkvorrichtung (720, 820) ihre eigenen Authentifizierungsinformationen (760, 860) erzeugt und die erzeugten Authentifizierungsinformationen (760, 860) über das private Netzwerk (790, 890) zu anderen Heim-Netzwerkvorrichtung (700, 800) sendet. Heim-Netzwerkvorrichtung (700, 800) zur Authentifizierung (700), die umfasst:

eine Einrichtung (702, 802) zum Empfangen von Authentifizierungsinformationen (760, 860); und

eine Einrichtung (770, 870) zum Registrieren der empfangenen Authentifizierungsinformationen;

dadurch gekennzeichnet, dass:

die Einrichtung (702, 802) zum Empfangen von Authentifizierungsinformationen so eingerichtet ist, dass sie Authentifizierungsinformationen (760, 860) über ein privates Netzwerk (790, 890) mit einer begrenzten Abdeckung empfängt.
Heim-Netzwerkvorrichtung nach Anspruch 18, die umfasst:

eine Schnittstelleneinheit (702, 802), die betrieben werden kann, um die Authentifizierungsinformationen (760) über das private Netzwerk (790, 890) von einer Heim-Netzwerkvorrichtung (720, 820) zum Anfordern von Authentifizierung zu empfangen; und

eine Authentifizierungsinformations-Registriereinheit (770, 870), die betrieben werden kann, um die empfangenen Authentifizierungsinformationen (760, 860) zu empfangen.
Heim-Netzwerkvorrichtung (840), die umfasst:

eine Einrichtung (842) zum Empfangen von Authentifizierungsinformationen (860) von einer bestimmten Heim-Netzwerkvorrichtung (820);

dadurch gekennzeichnet, dass

die Einrichtung zum Empfangen (842) betrieben werden kann, um die Authentifizierungsinformationen (860) von der bestimmten Heim-Netzwerkvorrichtung (820) über ein privates Netzwerk (890) mit einer begrenzten Abdeckung zu empfangen; und

die Heim-Netzwerkvorrichtung (840) eine Einrichtung (842) zum Senden der empfangenen Authentifizierungsinformationen (860) über das private Netzwerk (890) zu anderen Heim-Netzwerkvorrichtungen (800) umfasst.
Heim-Netzwerkvorrichtung nach einem der Ansprüche 16 bis 20, wobei die Authentifizierungsinformationen (760, 860) Informationen über eine Heim-Netzwerkvorrichtung (720, 820) zum Anfordern von Authentifizierung enthalten. Heim-Netzwerkvorrichtung nach einem der Ansprüche 16 bis 21, wobei die Authentifizierungsinformationen (760, 860) Informationen über eine Heim-Netzwerkvorrichtung (700, 800) zum Registrieren der Authentifizierung enthalten. Heim-Netzwerkvorrichtung nach einem der Ansprüche 16 bis 22, wobei die Authentifizierungsinformation (760, 860) eine Authentifizierungsinformations-Kennung enthalten. Heim-Netzwerkvorrichtung nach Anspruch 17 oder 19, wobei die Schnittstelleneinheit (702, 722) eine Sendeempfängereinheit (702, 722) für lokale Kommunikation enthält. Heim-Netzwerkvorrichtung nach Anspruch 24, wobei die lokale Kommunikation IrDA-Kommunikation einschließt. Heim-Netzwerkvorrichtung nach Anspruch 24, wobei die lokale Kommunikation Bluetooth-Kommunikation einschließt. Heim-Netzwerkvorrichtung nach Anspruch 24, wobei die lokale Kommunikation verdrahtete Seriell-Kommunikation einschließt. Heim-Netzwerkvorrichtung nach Anspruch 24, wobei die lokale Kommunikation verdrahtete Parallel-Kommunikation einschließt.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com