实现是示例;可W存在变形。
[0047] 在图3的示例中,在线认证代理304连接至网络302。可W与在线认证代理106 (图 1)相似的方式实现该认证代理304。
[0048] 在图3的示例中,认证代理规则数据存储器306连接至认证代理304。可与认 证代理规则数据存储器108 (图1)相似的方式实现该认证代理规则数据存储器306。
[0049] 在图3的示例中,管理接口 308连接至认证代理规则306。管理接口 308可被实现 为允许的当事方可W根据许可来创建、读取、更新和删除(CRUD)的入口。网间认证服务提 供方或其服务商可W具有CRUD权限,而网间认证服务提供方或其服务商可W不具有CRUD 权限,或者网间认证服务提供方或其服务商可W具有在特定情形下受到限制的CRUD权限 (例如,网间认证服务提供方可能能够仅在当事方决定停止服务的情况下进行删除,但其它 时候当事方具有完全的CRUD权限)。
[0050] 在图3的示例中,LAUDI310连接至网络302。可与LAUDI110 (图1)相似的 方式实现该LAUDI310。可W利用W下段落所述的附加功能来实现LAUDI310-2,并且不禁 止LAUDI110 (图1)和/或LAUDI310-1包括相同或相似的功能。
[0化1] 在图3的示例中,用户数据存储器312连接至LAUDI310。可W与用户数据存储器 112(图1)相似的方式实现用户数据存储器312。在特定实现中,可W将来自用户数据存储 器312-1的数据的子集提供至用户数据存储器312-2W便于进行离网账户的联网认证。在 其它特定实现中,可W在站点位于本地网络上时,跟随站点的离网认证将来自用户数据存 储器312-1的数据的子集临时提供至用户数据存储器312-2,W避免在网络故障导致第二 网络失去与第一网络和/或在线认证代理304的通信的情况下发生服务丢失。
[0化引 在图3的示例中,AP314连接至LAUDI310-2。在特定实现中,在AP上实现LAUDI, 其中在该种情况下,AP314是至少部分包括AP314和LAUDI310-2该两者的同一单片装置 的一部分。在特定实现中,AP314包括WAP。
[0化引在图3的示例中,站点316连接至AP314。可能需要注意的是,特别是在无线环 境中,站点316可W包括没有利用AP314进行认证的站点。如此,站点316可被视为在AP 314的基本服务集炬SS)、扩展服务集巧S巧或无线访问区域内的装置,但未必无线连接至 无线网络。尽管站点可能包括流巧装置,但针对流巧装置的论述对于理解本文所述的技术 而言并不重要。因此,为了描述图3的示例所例示的系统的操作而将站点316定义为正接 收网络服务或正尝试进行认证的站点。
[0化4] 再次参考LAUDI310-2,在图3的示例中,LAUDI310-2包括基于策略的身份路由 引擎320、联网认证引擎322、访客认证引擎324和离网认证引擎326。基于策略的身份路由 引擎320被配置为将认证请求从站点316路由至适当的认证引擎。此路由判断是结构特有 的,但为了该示例的目的,至少包括用W标识本地无法认证的证书并且在标识出该些证书 的情况下将任何相关联的认证请求路由至离网认证接口 326的能力。
[0055] 联网认证引擎322访问用户数据存储器312-2W判断站点316是否有权接收网络 服务。联网认证引擎322可被视为顶部安置有基于策略的身份路由引擎320的"传统"认 证引擎。在特定实现中,W已知或方便的方式实现联网认证引擎322。然而,在线网络认证 引擎322仅从满足基于策略的身份路由引擎320的要求的站点316接收作为所有认证请求 的子集的认证请求。
[0化6] 可W实现访客认证引擎324,W允许访客访问而与证书无关,或者限制针对具有适 合既不是离网认证也不是联网认证的配置文件的证书的站点316的子集。可选地或另外, 还可W由联网认证引擎322来处理访客认证。有利地,基于策略的身份路由引擎320可W 提供过滤W判断访客的特殊处理是否恰当。
[0化7] 离网认证接口 326被配置为对满足离网可认证站点的配置文件的认证请求进行 转发。成功的认证响应表示该站点有权经由AP314访问网络服务。根据实现,可W更新用 户数据存储器312-2W包括与已被认证的各个站点316相关联的数据,而与站点是本地还 是远程认证的无关。在特定实现中,站点316中的不同站点316基于站点316的证书可W 访问不同的服务,并且该些服务可W或者不会针对离网认证的站点316和联网认证的站点 316而不同。
[0化引 在图3的示例中,在LAUDI310-1和在线认证代理304之间示出连接330。在LAUDI310-2和在线认证代理304之间可W存在或者不存在相似的连接。例如,可W经由不需要 LAUDI310-2和在线认证代理304之间的连接的信道来发送认证请求。在特定实现中,连接 330是持久的(并且与LAUDI310-2之间的连接(在存在的情况下)可W是或者不是持久 的)。
[0059] 在图3的示例中,在操作中,AP314其中之一(或上游组件)和站点316其中之 一参与使站点316其中之一将认证请求发送至AP314的事务。该认证请求可W根据诸如 802. 11等的适用的方便协议来生成。AP314将认证请求提供至LAUDI310-2,该在AP314 和LAUDI310-2不是位于同位置的情况下会引起发送或转发该认证请求。
[0060] 在图3的示例中,在操作中,基于策略的身份路由引擎320判断认证请求是否具有 与表示离网认证的需求的过滤或身份路由规则相匹配的特性。基于策略的身份路由引擎 320还可W判断认证请求是否具有与表示联网认证的可用性的过滤或身份路由规则相匹配 的特性。根据实现,该些判断中的一个判断或另一判断可W是默认判断。例如,基于策略的 身份路由引擎320可W判断认证请求是否具有与表示离网认证的需求的过滤或身份路由 规则相匹配的特性,并且如果认证请求不具有该必需的特性,则基于策略的身份路由引擎 320可W利用联网认证来解决认证请求。可选地,基于策略的身份路由引擎320可W包括用 W标识针对与在线认证代理304相关联地设置的不同的离网认证服务的访客或离网认证 参数的能力。因而,路由算法可W根据具体实现或其配置来使=个(或更多个)路由信道 有效。
[0061] 在图3的示例中,在操作中,如果基于策略的身份路由引擎320明确或默认判断为 认证请求满足适合发起联网认证处理的认证请求的参数,则联网认证引擎322访问用户数 据存储器312-2W生成认证请求。如果成功,则对站点316中的相关站点进行认证,并且向 该相关站点提供W适用方便的方式对适用的一组服务的访问。
[0062] 在图3的示例中,在操作中,如果基于策略的身份路由引擎320判断为认证请求满 足适合提供访客服务的认证请求的参数,则访客认证引擎324生成针对访客的成功认证响 应(或将认证请求转发至离网认证服务并接收针对该离网认证服务的认证响应),并且向 访客提供W适用方便的方式对适用的一组服务的访问。需要注意的是,可有可能被视 为更传统的认证处理的方式经由联网认证引擎322来处理访客访问。因此,在一些实现中, 为了处理访客认证的目的,不需要访客认证引擎324。
[0063] 在图3的示例中,在操作中,如果基于策略的身份路由引擎320明确或默认判断为 认证请求满足适合发起离网认证处理的认证请求的参数,则可W将该认证请求经由离网认 证接口 326发送至在线认证代理304。
[0064] 在图3的示例中,在操作中,尽管LAUDI310-2不必具有与在线认证代理304的持 久连接,但在特定实现中,经由网络302与在线认证代理304建立连接,其中,LAUDI310-2 经由在线认证代理304而发送认证请求。在另一特定实现中,LAUDI310-2经由LAUDI 310-2和在线认证代理304之间的持久连接来发送认证请求。
[00化]在图3的示例中,在操作中,在线认证代理304咨询认证代理规则数据存储器306W判断认证请求是否满足适合将该认证请求路由至LAUDI310-1的认证请求的参数。该些 参数可w包括请求认证的站点的证书、最初请求认证的本地网络的特性、执行认证处理的 远程网络的特性或者辅助满足网间认证服务的订户的期望目标的其它因素。认证代理规 则数据存储器306可W包括或者不包括来自第一网络的与第一网络(被请求进行认证的网 络)原意远程进行认证的证书的子集有关的规则。认证代理规则数据存储器306可W包括 或者不包括来自第二网络(请求网络)的规则,然而在一些实现中,该些规则可W可选地至 少在基于策略的身份路由引擎320中实现。认证代理规则数据存储器306可W包括或者不 包括来自除第一网络和第二网络外的当事方的、与不允许使用网间服务进行认证的站点有 关的规则。在任何该些情况下,可W或者无需将规则经由管理接口 308输入至认证代理规 则数据存储器306。
[0066] 在图3的示例中,在操作中,在线认证代理304将认证请求经由连接330发送至 LAUDI310-1。在特定实现中,连接330是持久的,从而避免了周边安全设备和防火墙等存 在的问题。(在特定实现中,在线认证代理304对在线认证代理304所接收到的认证请求的 子集进行过滤,但为了叙述简便,该里所述的请求是未经过滤的请求。)
[0067] 在图3的示例中,在操作中,LAUDI 310-1发起与认证请求相关联的认证处理。 LAUDI 310-1可W或者无需W与本地认证请求不同的方式处理认证请求。
[0068] 在图3的示例中,在操作中,从概念上作为LAUDI310-1的至少一部分的认证请求 访问用户数据存储器312-1并且生成适当的认证请求。LAUDI310-1将认证响应经由连接 330发送至在线认证代理304。在替代例中,可W经由除连接330W外的通道来发送认证响 应。在又一替代例中,LAUDI310-1可W通过绕开返回行程上的在线认证代理304,将认证 响应发送至LAUDI310-2。
[0069] 在图3的示例中,在操作中,LAUDI310-2接收认证响应并相应地处理站点316中 的请求站点。例如,如果响应是失败,则该站点可W访问一些免费服务或根本无法访问服 务。作为另一示例,如果响应是成功,则该站点可W访问适合关联的访问配置文件的服务。
[0070] 图4示出用于对站点进行认证的方法的示例的流程图400。在图4的示例中,流程 图400从模块402开始,其中在该模块402中,在网络接入点处接收针对站点的认证请求。 在特定实现中,网络接入点是WAP。在特定实现中,认证请求是适用的方便格式。为了例示 方便,即使在认证请求通过系统的各种组件时参数或字段改变,也可W在整个示例中将认 证请求视为相同的认证请求,只要该认证请求保持是针对站点的请求即可。
[0071] 在图4的示例中,流程图400继续进入判定点404,其中在该判定点404中,判断认 证请求的证书是否使认证请求适合离网认证。该判断可W考虑站点(例如,域)的任何适 用的可标识特性。
[0072] 如果判断为认证请求适合离线认证(404中为"是"),则流程图进入模块406,其中 在该模块406中,在离网状态下发送认证请求。在特定实现中,将该认证请求发送至诸如在 线认证代理等的认证代理。可选地,可W将认证请求发送至能够远程地对认证请求进行认 证的网络。
[0073] 在图4的示例中,流程图400进入模块408,其中在该模块408中,从离线网络接收 针对认证请求的离网认证结果。在特定实现中,经由诸如持久连接等的可被视为相对安全 的连接来发送认证请求和认证响应。在其它实现、特别是安全连接较少的实现中,可W对认 证结果进行附加安全检查。为了该示例的目的,如果认证结果表示成功的离网认证并且通 过了安全检查过程(在存在的情况下),则认为该认证结果成功。
[0074] 在图4的示例中,流程图400在模块410结束,其中在该模块410中,根据离网认 证结果来将网络中的服务提供至站点。如果认证结果为"成功",则站点有权访问合适的服 务。如果认证结果为"失