网间认证的制作方法
【专利说明】网间认证
【背景技术】
[0001] 改进向网络、特别是无线网络的访问是正在进行研究和开发的领域。经常利用 802. 11标准管理无线网络。尽管并非所有网络都需要使用与802. 11相关联的所有标准,但 是至少部分因为标准是众所周知并被文档记载的,与诸如所谓802.lln等的标准相关的讨 论提供了有用的描述无线系统相关问题的背景。
[0002] 公司经常维持专用网络。认证通常确保了员工和访客具有用W访问网络上的服务 的适当证书(credential)。特别是在W个人为单位提供访客访问的情况下,访客账户通常 在服务提供方面存在限制,并且实现起来可能是负担(通常由接待员来承担)。用W消除 提供个人访客账户的一些负担的努力并没有解决信任问题,而信任问题对于私有公司而言 通常具有非凡意义。从技术角度,加入认证联盟需要一些网络架构工作。具体来说,设置 RADIUS服务器、配置防火墙W确保安全、并且在两家公司的RADIUS服务器之间创建连接。
[0003] 对相关技术及与之相关的限制的上述示例意图为说明性的并且不是排它性的。例 如,无线客户端可W使用除802. 11W外的不同协议,可能包括尚未开发出的协议。然而,与 性能相关的问题可能继续存在。在阅读说明书并且研究附图的情况下,相关技术的其它限 制对于本领域技术人员将是显而易见的。
【发明内容】
[0004] 与仅为示例性和说明性的而非限制范围的系统、工具和方法相结合地描述并且示 出W下实施例及其方面。在各实施例中解决了上述问题中的一个或多个,而其它实施例旨 在进行其它改进。
[0005] 网络认证互操作性所用的技术设及在第一网络上发起认证过程,在第二网络上进 行认证,并且允许在第一网络中进行访问。包含该技术的系统可W使得第一网络的账户持 有者能够使用第二网络。另外,第二网络的账户持有者可能能够使用第一网络。认证系统 的两个订户可W指示员工相互信任。第一个订户的员工可W使用第二个订户的网络并且第 二个订户的员工可W使用第一个订户的网络。
[0006] 该技术可W包括对向网络的访问进行过滤,由此将访问局限于具有可接受的证书 的用户。根据第二订户的过滤规则,第一个订户的员工可能能够或者不能够访问第二个订 户的网络。可W对包含该技术的系统进行设置,W仅接受来自特定对等体的请求。提供包 含该些技术的服务可W在对网络配置的影响最小的情况下使得能够将该些技术并入现有 系统。
[0007] 在阅读W下说明并且研究附图的若干示例的情况下,该些化及其它优点对于相关 领域的技术人员将变得明显。
【附图说明】
[000引 图1示出网间认证系统的示例的图。
[0009] 图2示出用于提供网间认证服务的方法的示例的流程图。
[0010] 图3示出网间认证系统的示例的图。
[0011] 图4示出用于对站进行认证的方法的示例的流程图。
[0012] 图5示出用于促进网间认证的方法的示例的流程图。
[0013] 图6示出包括基于云的认证管理系统(AM巧的网间认证系统的示例的图。
【具体实施方式】
[0014] 图1示出网间认证系统的示例的图100。在图1的示例中,图100包括网络102、 网络104-1~104-3 (统称为网络104)、在线认证代理106、认证代理规则数据存储器108、 本地授权用户数据存储器接口(LAUDI) 110和授权用户数据存储器112。
[001引在图1的示例中,网络102可W是几乎任何类型的通信网络,诸如因特网或者基础 结构网络等。如本文所使用的术语"因特网"是指使用诸如TCP/IP协议等的特定协议W及 诸如超文本传输协议化IT巧等的可能的其它协议用于组成万维网("web")的超文本标记 语言(HTML)文档的网络。更一般地,网络102可W包括例如广域网(WAN)、城域网(MAN)、 校园区域网(CAN)或者局域网(LAN),但是网络102至少理论上可W是任意大小或者具有 其它形式的特征(例如,个人区域网(PAN)或者家域网(HAN)(仅举出几个替代))。网络 可W包括企业专用网络W及虚拟专用网络(统称专用网络)。如其名称所暗示的,专用网 络由单个实体控制。专用网络可W包括总部办公室W及可选的区域分部办公室(统称办公 室)。许多办事处使得远程用户能够通过诸如因特网等的其它一些网络连接至专用网络办 事处。图1的示例意图示出可W包括或者不包括一个W上的专用网络的网络102。在具体 实现中,网络102可被实现为能够连接诸如网络104等的两个专用网络的WAN、公共交换电 话网(PSTN)、蜂窝网络、或者某些其它网络或类似或不同网络的组合。
[0016] 在特定实现中,网络104-1包括处于第一实体的控制下的第一LAN并且网络104-2 包括处于第二实体的控制下的第二LAN。本文所述的技术可W适用于或者不适用于处于相 同的管理控制下的网络。网络104-3是处于网间认证服务提供方或者其代理、合作方、伙伴 或合约方的管理控制下的网络。管理控制可W包括或者不包括包含提供计算资源作为服务 的实现所用的硬件的所有权。在特定实现中,网络104-3包括云网络。
[0017] 网络104可W包括有线网络。网络104还可W包括或者不包括诸如无线LAN (WLAN) 等的无线网络。如该里所使用的,无线网络是指包括但不限于结构化网络或自组织网络的 任何类型的无线网络。通常对无线网络上的数据进行加密。然而,在期望的情况下,也可W W明文方式发送数据。在利用加密数据的情况下,假定需要对策,则在采取对策应对流巧装 置之前,流巧装置将很难从客户端获知任何信息(诸如密码等)。
[001引在本文中,通过相对较好理解的示例的方式使用802.11标准来论述包括无线技 术的实现。例如,如本文所使用的站点可W是指具有符合IEEE 802. 11标准的介质访问控 制(MAC)地址和与无线介质的物理层牌巧接口的装置。因而,例如,在适用的情况下,可 朗尋站点和与该些站点相关联的WAP称为站点。IE邸802. lla-1999、I邸E 802. 1化-1999、 IE邸802. llg-2003、I邸E802. 11-2007和IE邸802. llnTGnDraft8.0(2009)通过引用而 被包含。如本文所使用的,兼容802.11标准或者符合802.11标准的系统符合所包含的文档 的要求和/或建议W及文档的较早草案的要求和/或建议的一个或多个中的至少一部分, 并且该系统包括Wi-Fi系统。Wi-Fi是非技术性描述,其一般与IE邸802. 11标准和Wi-Fi 保护接入(WPA)和WPA2安全标准W及可扩展认证协议(EA巧标准相关。在替代实施例中, 站点可W符合除Wi-Fi或者IEEE802. 11W外的不同标准,可W被称作除"站点"W外的名 称,并且可W具有与无线介质或其它介质的不同接口。
[0019] IE邸802. 3是工作组,并且是通过该工作组定义有线W太网的物理层和数据链路 层的介质访问控制(MAC)所产生的IE邸标准的集合。该一般是具有一些广域网应用的局 域网技术。通常通过各种铜电缆或者光纤电缆在节点和/或基础设施装置(集线器、交换 机、路由器)之间进行物理连接。IE邸802. 3是支持IE邸802. 1网络架构的技术。如相关 技术中所周知的,IE邸802. 11是一个工作组,并且是用于在2. 4、3. 6和5GHz频带中实现 WLAN计算机通信的标准的集合。标准IE邸802. 11-2007的基础版本已有随后的修订。该 些标准为使用Wi-Fi品牌的无线网络产品提供了基础。IE邸802.1和802.3通过引用而被 包含。
[0020] 在图1的示例中,在线认证代理106连接至网络104-3。在线认证代理106 (更通 常为连接至网络的任何装置)可W被称为在网络"上"。为了例示目的,在该示例中将在线 认证代理106描述为服务器。因此,在该示例中,可W将在线认证代理106称为服务器,然 而将在线认证代理106表征为"代理服务器"可能适当或者不适当。作为一种类型的服务器 的web服务器通常是作为服务器计算机系统进行工作的至少一个计算机系统,被配置为利 用万维网的(WorldWideWeb)协议进行工作,并且连接至因特网。除非上下文另外指出, 否则如本文所使用的服务器包括运行服务器软件的计算机系统的至少一部分。
[0021] 如本文所使用的计算机系统意图是从广义上理解。通常,计算机系统将包括处理 器、存储器、非易失性存储器和接口。典型的计算机系统通常至少包括处理器、存储器和使 存储器连接至处理器的装置(例如,总线)。处理器例如可W是诸如微处理器等的通用中央 处理单元(CPU)或者诸如微控制器等的专用处理器。
[0022] 存储器可W通过示例而非限制性的方式包括诸如动态RAM值RAM)和静态 RAM(SRAM)等的随机存取存储器(RAM)。存储器可W为本地的、远程的或分布式的。如本文 所使用的,术语"计算机可读存储介质"意图仅包括诸如存储器等的物理介质。如本文所使 用的,计算机可读介质意图包括法定的(例如,在美国为根据35U.S.C. 101的)所有介质, 并且具体排除从性质上非法定的所有介质,W达到针对包括有效的计算机可读介质的权利 要求需要进行该排除的程度。已知的法定计算机可读介质包括硬件(例如,寄存器、随机存 取存储器(RAM)、非易失性(NV)存储器(仅举几个例子)),但可W局限于或者不局限于硬 件。
[0023] 总线还可W使处理器连接至非易失性存储器。非易失性存储器经常是磁性软盘或 硬盘、磁光盘、光盘、只读存储器(ROM)(诸如CD-R0M、EPR0M或邸PROM等)、磁性或光学卡、 或者针对大量数据的其它形式的存储器。在计算机系统上执行软件期间,该数据中的一部 分经常通过直接存储器访问处理而被写入存储器。非易失性存储器可W是本地的、远程的 或分布式的。由于可W利用存储器内可利用的所有适用数据来创建系统,因此非易失性存 储器是可选的。
[0024] 通常将软件存储在非易失性存储器中。实际上,对于大型程序,可能甚至无法将整 个程序存储在存储器中。然而,应当理解,为了运行软件,在需要的情况下,将该软件移动至 适合处理的计算机可读位置,并且为了例示目的,在本文中将该位置称为存储器。即使在将 软件移动至存储器w供执行的情况下,处理器通常也将利用用w存储与该软件相关联的值 的硬件寄存器、W及理想地用W加速执行的本地高速缓冲存储器。如该里所使用的,在将软 件程序称为"W计算机可读存储介质来实现"的情况下,假定将该软件程序存储在适用的已 知或方便的位置(从非易失性存储器到硬件寄存器)。在将与程序相关联的至少一个值存 储在处理器可读取的寄存器中的情况下,处理器被视为"被配置为执行该程序"。
[0025] 在操作的一个示例中,可W利用操作系统软件,即,包括诸如盘操作系统等的文件 管理系统的软件程序,来控制计算机系统。具有关联的文件管理系统软件的操作系统软件 的一个示例是已知为位于华盛顿州雷德蒙德市的微软公司的Windows饭的操作系统家族 及其关联的文件管理系统。具有关联的文件管理系统软件的操作系统软件的另一示例是 Linux操作系统及其关联的文件管理系统。文件管理系统通常被存储在非易失性存储器中, 并且使处理器执行操作系统所要求的用W输入和输出数据并将数据存储在存储器中(包 括将文件存储在非易失性存储器上)的各种动作。
[0026] 总线还可W使处理器连接至接口。接口可W包括一个或多个输入和/或输出(1/ 0)装置。I/O装置可W通过示例而非限制性的方式包括键盘、鼠标或其它指示装置、盘驱动 器、打印机、扫描器和包括显示装置的其它I/O装置。显示装置可W通过示例而非限制性的 方式包括阴极射线管(CRT)、液晶显示器(LCD)或某些其它适用的已知或方便的显示装置。 接口可W包括调制解调器或网络接口中的一个或多个。应当理解,调制解调器或网络接口 可被视为计算机系统的一部分。接口可W包括模拟调制解调器、is化调制解调器、线缆调 制解调器、令牌环接口、卫星传输接口(例如,"直播卫星(direct PC)")、或