-
Technisches
Gebiet
-
Die
Erfindung betrifft Computer und Computernetzwerke und insbesondere
Verfahren und Anordnungen zum Einsatz bei der Steuerung des Zugriffs
auf verschiedene in dem Computer oder Computernetzwerk befindliche
Ressourcen auf Basis von Authentifizierungsverfahren.
-
Hintergrund
der Erfindung
-
In
der Vergangenheit konnte ausführbarer
Inhalt nur dann auf einem Computersystem installiert werden, wenn
magnetische Medien zu dem Computer verbracht wurden und ein Nutzer
einsetzbare Privilegien (beispielsweise administrative Privilegien) besaß, um diese
zu installieren. In der Gegenwart machen es das Internet, Intranets,
Großbereichsnetzwerke
(wide area networks WANs), Ortsbereichsnetzwerke (local area networks
LANs) und dergleichen für
normale Computernutzer äußerst einfach,
ausführbaren
Inhalt, so beispielsweise Steuerungen, Programme und Skripten von
ActiveX®,
herunterzuladen. In vielen Fällen
kann ausführbarer
Inhalt über
das Internet heruntergeladen und ausgeführt werden, ohne dass der Nutzer
hiervon überhaupt
Kenntnis erlangt.
-
Bedauerlicherweise
destabilisiert derartiger ausführbarer
Inhalt den Client-Rechner oftmals auf irgendeine Weise absichtlich
oder unabsichtlich. So kann sich der Inhalt beispielsweise als fehleranfällig erweisen
und Abstürze
des Client-Rechners bewirken. Der Inhalt kann darüber hinaus
die Sicherheit des Client-Rechners untergraben, indem er vertrauliche
Informationen über
den Client/Nutzer weitergibt. Obwohl diese Arten von Computerproblemen
schon früher
in Form von „Viren" und „Trojanern" existiert haben,
hat die Allgegenwart des WWW-Teils (World Wide Web) des Internet
dazu beigetragen, dass sich diese Probleme weiter verbreiten. Im
Allgemeinen ist die Betriebsumgebung der meisten Clients gegen derartigen
unsicheren Code nicht angemessen geschützt.
-
Einige
Betriebssysteme enthalten bereits einen existierenden Sicherheitsmechanismus,
der eine Beschränkung
dessen, was nichtprivilegierte Nutzer tun dürfen, bewirkt. So kontrolliert
beispielsweise das in das Windows®-NT-Betriebssystem
eingebaute Sicher heitssystem den Zugriff auf Ressourcen auf Basis
der Identitäten
der Nutzer. Wünscht
ein Windows-NT-Prozess den Zugriff auf eine Ressource, um eine bestimmte
Handlung vorzunehmen, so vergleicht der Sicherheitsmechanismus bei
Windows NT die dem Client zu Eigenen Nutzer- und Gruppen-IDs (Kennungen)
sowie die Privilegien, die mit jenem Prozess verbunden sind, mit
Sicherheitsinformationen, die jener Ressource zugewiesen sind, um
den Zugriff auf die Ressource zu gewähren oder zu verweigern. Auf
diese Weise wird verhindert, dass nichtautorisierte Nutzer auf die
Ressourcen zugreifen und möglicherweise
Schaden anrichten, während
autorisierten Nutzern Beschränkungen
dahingehend auferlegt werden können,
welche Handlungen sie vornehmen dürfen.
-
Es
gibt zahlreiche verschiedene Authentifizierungsverfahren, die zum
Einsatz auf einem Client-Betriebssystem bereitstehen. So kann ein
Client beispielsweise unter Kerberos, NTLM, Digest, SSL (Secure
Socket Layer) und anderen auswählen,
die im Betriebssystem zur Verfügung
stehen. Jedes dieser Protokolle ist anders. Die Unterschiede führen zu verschiedenen
Sicherheitsstufeniveaus mit Blick auf die Identität der Beteiligten.
Einem Fachmann auf dem einschlägigen
Gebiet erschließt
sich der Unterschied zwischen einem Verfahren hoher Sicherheitsstufe,
so beispielsweise einer biometrischen Authentifizierung, und einem
Schema niedriger Sicherheitsstufe, so beispielsweise einem Passwort.
-
Aufgrund
der Tatsache, dass die möglichen Endnutzer
oder Administratoren eines Computerbetriebssystems den Zugriff auf
Daten handhaben, ihre Ressourcen gegen Missbrauch schützen und
auch andere Aufgaben ausführen
müssen,
sind sie jeweils die geeigneten Personen, um zu entscheiden, welche
Sicherheitsstufe sie für
bestimmte Aufgaben anfordern. Beim Betrachten einer Website kann
beispielsweise ein niedriger Wert ausreichend sein, sodass der Einsatz
eines Verfahrens niedriger Sicherheitsstufe, so beispielsweise eines
Passwortes, genügt.
Das Aktualisieren buchhalterischer Informationen einer Firma kann
hingegen ein Verfahren höherer
Sicherheitsstufe, so beispielsweise SSL, erfordern. Die Nutzbarkeit
eines konsistenten Verfahrens zur Steuerung des Zugriffs auf eine
Vielzahl möglicher
Anwendungen ist hierbei wesentlich.
-
Der
Beitrag „Network
authentication tokens" von
Davis R., veröffentlicht
bei Computer Security Applications Conference, Fifth Annual Tuscon,
AZ, USA, 4. bis 8. Dezember 1989, Los Alamitos, CA, USA, IEEE, 4.
Dezember 1989, Seiten 234 bis 238, betrifft ein Verfahren zum Bestimmen
der Authentisierungsstärke
eines Nutzers und verteilt diese Informationen innerhalb eines verteilten
Netzwerkes, um Zugriff auf von dem Nutzer an geforderte Ressourcen auf
Basis der Authentisierungsstärke
zu gewähren. Das
Verfahren bedient sich eines Authentifizierungstokens, der von demjenigen
Host stammt, bei dem der Nutzer erstmals das Netzwerk betreten hat.
Jedem Authentifizierungsmechanismus wird ein bestimmtes numerisches
Sicherheitsniveau zugewiesen. Der Token enthält die Nutzerkennung (ID) und einen
entsprechenden Wert für
die Authentifizierung oder das Vertraulichkeitsniveau, der der Summe
aller einzelnen Niveaus derjenigen Authentifizierungsverfahren entspricht,
die der Nutzer bestanden hat. Wann immer der Nutzer Dienste an einer
entfernt angeordneten Stelle des Netzwerkes anfordert, wird der Authentifizierungstoken
zusammen mit der Anforderung gesendet. Sobald der Token empfangen
ist, bestimmt die entfernt angeordnete Stelle den Zugriff des Nutzers
auf Basis eines Vergleichs der Werte eines bestimmten Minimalschwellenwertes
und des Vertraulichkeitsniveaus des Authentifizierungstokens.
-
Die
Druckschrift EP-A2-1 050 993 betrifft ein System und ein zugehöriges Verfahren
zur Autorisierung eines Nutzerzugriffes auf eine Ressource auf Basis
der Reaktion des Nutzers auf einen oder mehrere Authentifizierungstests.
Das System bestimmt, welche Authentifizierungsmechanismen mit der
Ressource, auf die der Nutzer zuzugreifen erwünscht, verbunden sind und weist
jedem der ausgewählten Authentifizierungsmechanismen
eine Gewichtung zu. Die Gewichtung kann auf der Stärke der
Authentifizierungstests beruhen. Nachdem der Nutzer sämtliche
von dem System vorgelegten Authentifizierungsverfahren durchlaufen
hat, wird der Zugriff auf Basis des Verhaltens des Nutzers bei den
verschiedenen Authentifizierungstests gewährt oder verweigert. Bei einem
Ausführungsbeispiel
summiert das Verfahren einfach die Werte jeder Gewichtung jener Authentifizierungsverfahren,
die der Nutzer bestanden hat. Die Summe, die auch Testwertung (test score)
genannt wird, wird anschließend
mit ausgewählten
Schwellenwertungen verglichen. Ist die Testwertung gleich oder größer als
eine bestimmte Schwellenwertung in Verbindung mit der Anforderung
des Nutzers, so wird der Zugriff gewährt. Andernfalls wird der Zugriff
verweigert. Bei einem weiteren Ausführungsbeispiel wird die Testwertung
mit einer Folge ansteigender Schwellenwerte verglichen, die verschiedenen
Untermengen der angeforderten Ressource zugewiesen worden sind.
Entsprechend der Testwertung des Nutzers wird sodann der Zugriff auf
verschiedene Untermengen der angeforderten Ressource gewährt, wobei
die Untermenge in dem Bereich zwischen „kein Zugriff " und „vollständiger Zugriff" angesiedelt sein
kann.
-
Es
besteht daher nach wie vor Bedarf an verbesserten Verfahren und
Anordnungen zur Steuerung des Zugriffs auf verschiedene vernetzte
Server, Vorrichtungen, Dienste, An wendungen und dergleichen mehr,
und zwar insbesondere im Bereich der Internet/Intranet-Vernetzung.
-
Die
Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte
Ausführungsbeispiele
sind Gegenstand der abhängigen Ansprüche.
-
Entsprechend
bestimmter Aspekte der vorliegenden Erfindung werden verbesserte
Verfahren und Anordnungen zur Steuerung des Zugriffs auf Ressourcen
in einer Computerumgebung bereitgestellt. Die Verfahren und Anordnungen
identifizieren insbesondere einen Authentifizierungsmechanismus beziehungsweise
Authentifizierungsmechanismen sowie Eigenschaften hiervon, die bei
der Verifizierung eines Nutzers verwendet werden, für nachfolgende
Betriebssicherheitsmechanismen. Damit bietet das Differenzieren
von Nutzeranforderungen auf Basis dieser zusätzlichen Informationen eine
zusätzliche
Steuerung.
-
Die
vorgenannten Anforderungen wie auch weitere Anforderungen werden
beispielsweise durch ein Verfahren zum Einsatz in einem Computer
erfüllt, das
der Lage ist, mehrere Authentifizierungsmechanismen zu unterstützen. Das
Verfahren umfasst das Erzeugen einer Betriebssystemdarstellung (beispielsweise
eines Sicherheitstokens und dergleichen mehr) wenigstens eines Identitätsindikators,
so beispielsweise eine Nutzer- oder
Accountidentität,
die mit wenigstens einem Authentifizierungsmechanismus verbunden
ist und diesen identifiziert, sowie das anschließende Steuern des Zugriffs
auf wenigstens eine Ressource auf Basis der Betriebssystemdarstellung.
Bei bestimmten Implementierungen umfasst das Verfahren darüber hinaus
das Erzeugen wenigstens einer Sicherheitskennung (SID), die den
Authentifizierungsmechanismus auf bestimmte Weise, so beispielsweise über Name
oder Nummer und gegebenenfalls ein Maß für die Stärke, so beispielsweise die
Art beziehungsweise Länge
eines bei dem Authentifizierungsmechanismus zum Einsatz kommenden
Verschlüsselungsprozesses
oder Schlüssels, identifiziert.
Bei anderen Implementierungen umfasst das Verfahren beispielsweise
das Vergleichen der Betriebssystemdarstellung mit wenigstens einer
Zugriffssteuerungsliste, die wenigstens einen Zugriffssteuerungseintrag
enthält.
Hierbei kann der Zugriffssteuerungseintrag beispielsweise operativ
spezifizieren, ob der von dem Authentifizierungsmechanismus authentifizierte
Nutzer einen berechtigten Zugriff auf die Ressource hat.
-
Kurzbeschreibung
der Zeichnung
-
Ein
tiefergehendes Verständnis
der verschiedenen Verfahren und Anordnungen der vorliegenden Erfindung
ergibt sich bei Betrachtung der nachfolgenden Detailbeschreibung
im Zusammenhang mit der begleitenden Zeichnung, die sich wie folgt
zusammensetzt.
-
1 ist
ein Blockdiagramm, das eine als Beispiel angegebene funktionelle
Anordnung zur Steuerung des Zugriffs auf Ressourcen entsprechend
bestimmten Implementierungen der vorliegenden Erfindung darstellt.
-
2 ist
ein Blockdiagramm, das eine als Beispiel angegebene Computerumgebung
darstellt, die zum Einsatz mit der Anordnung gemäß 1 geeignet
ist.
-
Detailbeschreibung
-
Die
Authentifizierung stellt im Grunde einen Prozess des Verifizierens
beziehungsweise Nachprüfens
dar, ob ein Nutzer, der einen eindeutigen Namen oder eine andere
Kennung benutzt, tatsächlich jener
Nutzer ist. In der physischen Welt wird dies oftmals unter Verwendung
irgendeiner Art von Dokumentierung, die von einer vertrauenswürdigen dritten Seite,
so beispielsweise einer Regierung, ausgegeben worden ist, bewerkstelligt.
Ein sehr gängiges
Beispiel hierfür
ist der Pass. Im Computerbereich hingegen wird dies oftmals durch
ein Authentifizierungsprotokoll bewerkstelligt. Die Autorisierung
ist hierbei die Bestimmung dessen, was einem bestimmten Nutzer oder
einem anderen Beteiligten zu tun gestattet ist. Die Autorisierung
kann sich in Beschränkungen niederschlagen,
so beispielsweise in einer Kreditbegrenzung auf einer Kreditkarte,
oder auch in Zugriffssteuerungen oder beispielsweise in Beschränkungen dahingehend,
welche Bereiche eines Gebäudes
ein Angestellter betreten darf. Die Authentifizierung und die Autorisierung
sind miteinander verwandt, werden jedoch oftmals getrennt voneinander
analysiert und auch implementiert.
-
Zwei
gängige
Arten der Autorisierung in einem typischen Computersystem sind die
namensbasierte und die identitätsbasierte
Autorisierung. Die namensbasierte Autorisierung bedient sich im
Wesentlichen einer einzigen Kennung, nämlich des Namens des Nutzers,
um Autorisierungsentscheidungen zu verwalten. Viele Websites bedienen
sich dieser Art. Ein Beispiel hierfür liegt dann vor, wenn auf einer
typischen handelsüblichen
Website nur der Nutzer Zugriff auf den Account des Nutzers hat.
Die andere Form der Autorisierung, nämlich die identitätsbasierte,
stellt eine ausgefeiltere Umgebung dar. Hier hält das Betriebssystem die Kennung
für den Nutzer
und möglicherweise
zusätzliche
Kennungen, die Gruppen oder Ansammlungen von dem Administrator verwalteter
Nutzer angeben, zur Verwendung durch eine Anwendung vor. Viele Systeme
auf Unix-Basis greifen hierauf zurück, und zwar in Form einer
Nutzerkennung und einer Liste von Gruppenkennungen. Die Systeme
Windows® NT
und Windows® 2000
verwirklichen dies mittels eines Konstruktes namens Zugriffstoken
(access token), der die Nutzerkennung, die Liste der Gruppen und
zusätzliche
Einschränkungen
und/oder Privilegien beinhaltet.
-
Die
Authentifizierung kann auf zwei Arten erfolgen. Eine Art besteht
in der Verbindung des Namens einer Vertrauensperson (trustee) mit
einem Passwort bei der erstmaligen Verbindung mit dem Datenquellenobjekt.
Die zweite und bevorzugte Art besteht in der Verwendung sicherer
Zugriffstokens oder entsprechender Betriebssystemdarstellungen irgendeines
identifizierenden Indikators, der von dem Betriebssystem nur an
authentisierte Nutzer/Accounts vergeben wird. Hierbei umfasst der
Zugriffstoken oder eine entsprechende Betriebssystemdarstellung
einen oder mehrere Sicherheitsidentifizierungsdeskriptoren (SIDs),
die mit einer oder mehreren auswählbaren
in einem Datenspeicher abgelegten Zugriffssteuerungslisten (access
control list ACL) oder dergleichen abgeglichen werden kann.
-
Eine
Anzahl herkömmlicher
Authentifizierungstechniken wird in Authentifizierungspackages implementiert.
So stellen Windows NT und Windows 2000 beispielsweise den Windows
NT LAN Manager (NTLM) bereit. Windows 2000 bietet zusätzlich die Unterstützung für das Sicherheitsprotokoll
Kerberos. Andere bekannte Authentifizierungstechniken sind SSL (Secure
Socket Layer), Schannel, Passport und dergleichen. Darüber hinaus
können
auch andere ähnliche
proprietäre
Authentifizierungstechniken implementiert werden.
-
Eingedenk
dessen wird in 1 eine generische Anordnung 100 dargestellt,
die ohne Weiteres auf eine ähnliche
Anordnung übertragen
werden kann. Die wesentliche Funktionalität der Anordnung 100 beinhaltet
den Einsatz eines Zugriffstokens oder einer entsprechenden Betriebssystemdarstellung 110,
die weiter derart modifiziert worden ist, dass sie Informationen
enthält,
die einen oder mehrere Arten, Merkmale und andere Aspekte im Zusammenhang mit
dem Authentifizierungspackage oder den Authentifizierungspackages
enthalten, die zur Validierung des Nutzers/Accounts verwendet werden.
-
Die
Betriebssystemdarstellung 110 bietet vorteilhafterweise
eine zusätzliche
Granularität
im Sicherheitsmodell des Gesamtsystems.
-
Wie
in 1 dargestellt ist, umfasst die Anordnung 100 eine
Anmeldefunktion (logon function) 102, die die Schnittstelle
zum Nutzer darstellt. Der Nutzer muss beispielsweise einen Nutzer-
oder Accountnamen, ein Passwort oder einen anderen Nutzer-/Gruppenidentifizierer
bereitstellen (das heißt eingeben).
Bei bestimmten Implementierungen kann die Anmeldefunktion 102 darüber hinaus
eine Schnittstelle zu einer Logik auf einer Smartcard oder einer ähnlichen
tragbaren Tokenvorrichtung darstellen. Bei anderen Implementierungen
können
biometrische Informationen über
oder von dem Nutzer von der Anmeldefunktion 102 gesammelt
werden.
-
Die
Anmeldefunktion 102 gibt die Nutzeranmeldeinformationen,
so beispielsweise den Namen oder das Passwort (oder den Hash-Wert
des Passwortes), an ein Authentifizierungspackage 104 weiter.
Das Authentifizierungspackage 104 ist so eingerichtet,
dass es authentisiert oder auf andere Weise validiert beziehungsweise
nachprüft,
dass der Nutzer (auf Basis der Nutzeranmeldeinformationen) tatsächlich derjenige
Nutzer ist, den der Name impliziert. Wie erwähnt, gibt es eine Reihe von
Authentifizierungstechniken, die heutzutage verwendet werden.
-
Das
Authentifizierungspackage 104 kann sich eines Kodierungs-
oder Verschlüsselungsschemas
bedienen, das einen Schlüssel 106 erfordert.
Bei bestimmten Implementierungen ist die Vertrauenswürdigkeit
der Authentifizierungstechnik mit der Stärke (so beispielsweise mit
der Länge)
des Schlüssels 106 verbunden.
Dies wird herausgestellt, da es sich hierbei um ein Sicherheitsmaß handeln
kann, das sich später
in der Betriebssystemdarstellung 110 wiederfindet. Das
Authentifizierungspackage 104 kann zudem auf ein oder mehrere
andere Subauthentifizierungspackages 108 zugreifen, um
die Nutzeranmeldung zu verifizieren. Die Verwendung eines Subauthentifizierungspackages 108 kann
auch Auswirkungen auf die Vertrauenswürdigkeit der Authentifizierungstechnik
haben und sich per se in der resultierenden Betriebssystemdarstellung 110 widerspiegeln.
-
Wie
dargestellt, gibt das Authentifizierungspackage 104 eine
oder mehrere Authentifizierungspackage-SIDs 112 aus, die
in einer Betriebssystemdarstellung 110 bereitgestellt werden.
Bei diesem Beispiel ist die Betriebssystemdarstellung 110 ein Objekt,
das den Nutzer/Account gemäß nachstehender
Beschreibung identifiziert und permanent mit den Nutzer-/Accountprozessen
verbunden ist.
-
Hierbei
enthält
die Betriebssystemdarstellung 110 eine herkömmliche
Nutzer-SID auf Basis des Anmeldenamens und Passwortes und dergleichen
mehr und wenigstens eine Authentifizierungspackage-SID 112.
Die Betriebssystemdarstellung 110 kann darüber hinaus
andere Attribute enthalten, so beispielsweise eine oder mehrere
Gruppen-IDs (Kennungen), Privilegien und dergleichen mehr.
-
Durch
Bereitstellung einer Authentifizierungspackage-SID 112 in
der Betriebssystemdarstellung 110 sind nachfolgende Sicherheitsfunktionen
in der Lage, weiter zwischen Nutzern/Accounts zu differenzieren.
Dieser Vorteil wie auch weitere werden nachstehend beschrieben,
und zwar im Anschluss an eine Übersicht
einer als Beispiel angegebenen Sicherheitsanordnung mit einem Objektmanager 114, einem
Sicherheitsmechanismus 116 und einer ACL 118.
-
Wünscht der
Nutzerprozess einen Zugriff auf ein weiteres Objekt, so spezifiziert
er die Art des gewünschten
Zugriffes (beispielsweise das Erhalten eines Lese-/Schreibzugriffes
auf ein Dateiobjekt) und stellt auf Kernelniveau die entsprechende
Betriebssystemdarstellung 110 für einen Objektmanager 114 bereit.
Das gesuchte Objekt weist einen damit verbundenen Kernelniveausicherheitsdeskriptor
auf, der eine ACL 118 enthält. Der Objektmanager 110 veranlasst,
dass die Betriebssystemdarstellung 110 und die ACL 118 für den Sicherheitsmechanismus 116 bereitgestellt
werden.
-
Innerhalb
der ACL 118 ist wenigstens ein Zugriffssteuerungseintrag
(access control entry ACE) 120 vorhanden, der bestimmte
Zugriffsrechte (erlaubte oder verweigerte Handlungen) definiert,
die jenem Eintrag entsprechen. So kann beispielsweise ein ACE 120 einen
Typindikator (verweigern oder erlauben), Flags, einen oder mehrere
SIDs und Zugriffsrechte in Form einer Bitmaske enthalten, bei der jedes
Bit einer Erlaubnis (beispielsweise ein Bit für einen Lesezugriff, eines
für einen
Schreibzugriff und dergleichen mehr) entspricht.
-
Als
solches ist der Sicherheitsmechanismus 116 in der Lage,
die SIDs in der Betriebssystemdarstellung 110 zusammen
mit der Art der Handlung oder der Handlungen, die von dem Nutzerprozess angefordert
wurde beziehungsweise wurden, mit ACE(s) 120 in der ACL 118 zu
vergleichen. Wird eine Übereinstimmung
mit einem erlaubten Nutzer oder einer Gruppe vorgefunden und ist
die Art des gewünschten
Zugriffs für
den Nutzer oder die Gruppe freigegeben, so wird ein Handle auf das
gewünschte Objekt
an den Nutzerprozess ausgegeben, wohingegen andernfalls der Zugriff
verweigert wird.
-
Unter
Hinzufügung
einer Authentifizierungspackage-SID beziehungsweise von Authentifizierungspackage-SIDs 112 kann
sich der Sicherheitsmechanismus 116 auch des Authentifizierungspackages
oder -mechanismus bedienen. So kann einem Nutzer, der unter Verwendung
von NTLM authentifiziert wurde, beispielsweise der Zugriff auf ein gewünschtes
Objekt auf Basis eines Verweigerungs-NTLM-Authentifizierungs-ACE 120 in
der ACL 118 verweigert werden, während einem anderen Nutzer,
der mittels Kerberos authentifiziert wurde, der Zugriff auf das
gewünschte
Objekt erlaubt wird. Eine weitere Granularität wird durch Definieren verschiedener
SIDs 112 und ACEs 120 auf Basis einer Authentifizierungspackage 104,
einer Subauthentifizierungspackage 108, eines Schlüssels 106 oder
beliebiger Kombinationen hieraus bereitgestellt.
-
2 ist
ein Blockdiagramm, das ein als Beispiel dargestelltes Computersystem 200 darstellt, das
auf die Anordnung 100 anwendbar ist.
-
Das
Computersystem 200 liegt in diesem Beispiel in Form eines
Personalcomputers (PC) vor, wohingegen das Computersystem bei anderen
Beispielen die Form eines eigens vorgesehenen Servers beziehungsweise
eigens vorgesehener Server, einer Sonderzweckvorrichtung, eines
Gerätes,
einer Handcomputervorrichtung, einer Mobiltelefoneinrichtung, eine
Pagervorrichtung und dergleichen mehr annehmen kann.
-
Wie
gezeigt, umfasst das Computersystem 200 eine Verarbeitungseinheit 221,
einen Systemspeicher 222 und einen Systembus 223.
Der Systembus 223 verbindet die verschiedenen Systemkomponenten,
darunter den Systemspeicher 222 und die Verarbeitungseinheit 221 miteinander.
Der Systembus 223 kann von einer beliebigen Busstrukturart sein,
darunter ein Speicherbus oder ein Speicherkontroller, ein Peripheriebus
und ein lokaler Bus unter Verwendung einer beliebigen Architektur
aus einer Vielzahl von Busarchitekturen. Der Systemspeicher 222 umfasst üblicherweise
einen Nurlesespeicher (read-only memory ROM) 224 und einen
Speicher mit wahlfreiem Zugriff (random access memory RAM) 225.
Ein grundlegendes Eingabel-Ausgabesystem 226 (basic input/output
system BIOS), das die Grundroutine enthält, die den Transfer von Informationen zwischen
den Elementen innerhalb des Computersystems 200, so beispielsweise
während
des Hochfahrens, unterstützt,
ist in dem ROM 224 abgelegt. Das Computersystem 200 umfasst
darüber
hinaus ein Festplattenlaufwerk 227 zum Lesen von einer Festplatte
und Schreiben hierauf (nicht gezeigt), ein Magnetplattenlaufwerk 228 zum
Lesen von einer entnehmbaren Magnetplatte 229 oder zum
Schreiben hierauf und ein Optikplattenlaufwerk 230 zum
Lesen von einer entnehmbaren optischen Platte 231, so beispielsweise einer
CD-ROM oder einem anderen optischen Medium, und zum Schreiben hierauf.
Das Festplattenlaufwerk 227, das Magnetplattenlaufwerk 228 und
das Optikplattenlaufwerk 230 sind mit dem Systembus 223 über eine
Festplattenlaufwerkschnittstelle 232, eine Magnetplattenlaufwerkschnittstelle 233 beziehungsweise
eine Optiklaufwerkschnittstelle 234 verbunden. Diese Laufwerke
und die zugehörigen
computerlesbaren Medien stellen einen nichtflüchtigen Speicher für computerlesbare
Anwendungen, Datenstrukturen, Computerprogramme und andere Daten
für das
Computersystem 200 dar.
-
Eine
Anzahl von Computerprogrammen kann auf der Festplatte, der Magnetplatte 229,
der Optikplatte 231, in dem ROM 224 oder dem RAM 225 abgelegt
sein, darunter ein Betriebssystem 235, ein oder mehrere
Anwendungsprogramme 236, andere Programme 237 und
Programmdaten 238.
-
Ein
Nutzer kann Befehle und Informationen in das Computersystem 200 über verschiedene
Eingabevorrichtungen eingeben, so beispielsweise eine Tastatur 240 und
eine Zeigevorrichtung 242 (so beispielsweise eine Maus).
Eine Kamera oder ein Mikrofon 255 oder eine ähnliche
Medienvorrichtung, die in der Lage ist, Echtzeitdaten 256 zu
erfassen oder auf andere Weise auszugeben, kann ebenfalls als Eingabevorrichtung
in dem Computersystem 200 enthalten sein. Die Echtzeitdaten 256 können in
das Computersystem 200 über
eine geeignete Schnittstelle 257 eingegeben werden. Die
Schnittstelle 257 kann mit dem Systembus 223 verbunden
sein, um eine Speicherung oder anderweitige Verarbeitung der Echtzeitdaten 256 in
dem RAM 225 oder einer der anderen Datenablagevorrichtungen
zu ermöglichen.
-
Wie
gezeigt, ist ein Monitor 247 oder eine andere Art von Anzeigevorrichtung
ebenfalls mit dem Systembus 223 über eine Schnittstelle, so
beispielsweise einen Videoadapter 248, verbunden. Zusätzlich zu
dem Monitor kann das Computersystem 200 auch andere Peripherieausgabevorrichtungen
(nicht gezeigt), so beispielsweise Lautsprecher, Drucker und dergleichen
mehr, enthalten.
-
Das
Computersystem 200 kann in einer vernetzten Umgebung unter
Verwendung logischer Verbindungen mit einem oder mehreren entfernt
angeordneten Computern, so beispielsweise einem entfernt angeordneten
Computer 249, arbeiten. Der entfernt angeordnete Computer 249 kann
ein weiterer Personalcomputer, ein Server, ein Router, ein Netzwerk-PC,
eine Peervorrichtung oder ein anderer gängiger Netzwerkknoten sein
und enthält üblicherweise viele
oder sämtliche
der vorstehend im Zusammenhang mit dem Computersystem 200 beschriebenen Elemente,
obwohl lediglich eine Speicherablagevorrichtung 250 in 2 dargestellt
ist.
-
Die
in 2 dargestellten logischen Verbindungen umfassen
ein Ortsbereichsnetzwerk (LAN) 251 und ein Großbereichsnetzwerk
(WAN) 252. Derartige Netzwerkumgebungen sind in Büros, unternehmensweiten
Computernetzwerken, Intranets und dem Internet weit verbreitet.
-
Bei
Einsatz in einer LAN-Netzwerkumgebung ist das Computersystem 200 mit
dem örtlichen Netzwerk 251 über eine
Netzwerkschnittstelle oder einen Netzwerkadapter 253 verbunden.
Bei Einsatz in einer WAN-Netzwerkumgebung umfasst das Computersystem 200 üblicherweise
ein Modem 254 oder eine andere Einrichtung zur Bewerkstelligung
eines Datenaustausches über
das Großbereichsnetzwerk 252,
so beispielsweise das Internet. Ein Modem 254, das intern
oder extern sein kann, ist mit dem Systembus 223 über die
serielle Portschnittstelle 246 verbunden.
-
In
einer vernetzten Umgebung können
Computerprogramme, die im Zusammenhang mit dem Computersystem 200 dargestellt
sind, oder Teile hiervon in entfernt angeordneten Speicherablagevorrichtungen
abgelegt sein. Es ist einsichtig, dass die gezeigten Netzwerkverbindungen
lediglich Beispiele sind und andere Mittel zur Bewerkstelligung
einer Datenaustauschverbindung zwischen den Computern eingesetzt
werden können.