败",则站点有权访问免费服务或站点无权访问服务。
[0075]另一方面,如果判断为认证请求不适合离线认证(404中为"否"),则作为代替,流 程图400从判定点404进入模块412,其中在该模块412中,发起站点的联网认证。站点的 联网认证可W是或者不是"传统上"已知或方便的认证处理。
[0076] 在图4的示例中,流程图400继续进入模块414并且在模块416中结束,其中在该 模块414中,获得响应于来自站点的认证请求的联网认证结果,并且在该模块416中,根据 联网认证结果来向站点提供服务。
[0077] 图5示出用于促进网间认证的方法的示例的流程图500。在图5的示例中,流程图 500从模块502开始,其中在该模块502中,使第一网络可利用网间认证服务。可W如W上 参考图2W示例方式所述或者W某些其它适用方式来实现使网间认证服务可用。
[007引在图5的示例中,流程图500继续进入模块504,其中在该模块504中,从第二网 络接收站点的认证请求。该第二网络可被配置为或者不被配置为远程地对其它网络进行认 证。
[0079] 在图5的示例中,流程图500继续进入模块506,其中在该模块506中,基于身份路 由规则来将认证请求路由至第一网络的LAUDI。在特定实现中,身份路由规则是过滤和身份 路由规则。
[0080] 在图5的示例中,流程图500继续进入模块508,其中在该模块508中,从第一网络 上的LAUDI接收认证结果。在特定实现中,可W经由持久连接将认证请求发送至LAUDI并 且可W经由持久连接从LAUDI接收认证结果。
[0081] 在图5的示例中,流程图500在模块510结束,其中在该模块510中,将认证结果 发送至第二网络。然后,第二网络可W根据第二网络的策略、基于认证结果来授权对服务的 访问。
[0082] W下论述是高度特定实现的,并且意图W示例方式提供前述段落所论述的网间认 证代理和网络装置的详情。
[0083]为了实现诸如目录集成和跨组织认证代理等的特征,命令信道可W使得能够将请 求发送至防火墙后方的网络装置,或者利用某种形式的网络地址翻译,该样使得跨组织认 证代理通常将不能发起向网络装置的连接。尽管客户可W改变网络策略W使得能够进行连 接,但尚不清楚具有安全意识的网络操作员将允许该些例外。
[0084]为了解决该问题,可W使用持久连接。特别是在对诸如HTTP所用的TCP端口 80 等的通常众所周知的端口进行输出连接的情况下,至少一个网络装置有可能将允许进行输 出连接。一旦网络装置使向网间认证代理的该些连接其中之一开放,则将使该连接保持开 放并且用作服务器,等待认证请求。特别地,一旦建立了连接,客户端和服务器的角色就会 反转。
[0085] 命令信道的有用特性包括防火墙友好性W及安全传输和连接标识的能力。期望该 命令信道在不必改变客户的网络内的防火墙设置或网络策略的情况下进行工作。在一些IT 部口中发现的处理和策略在部署期间可能会引发足够的摩擦而破环用户体验。有利地,网 间认证服务可w"解决该问题"。命令信道可能需要遍历公共因特网。由于网间认证服务的 一些应用设及传送可能敏感的数据,因此在特定实现中,信道必须提供机密性。如果网间认 证服务提供多租户技术,则期望命令信道使各通信信道与客户相关联。在特定实现中,网间 认证代理可W验证尝试建立连接的网络装置的身份。
[0086] 在特定实现中,强制执行传输层安全(TLS)。TLS是用于建立网络装置和网间 认证代理之间的安全连接的自然选择。有能力获得用于标识所有者的TLS客户端证书 (cedificate)的网络装置可W使用该证书来与具有此功能的网间认证代理建立相互认证 的TLS会话。在网间认证代理侧,认证网关通常可W接受例如TCP端口 80和443上的化S 连接。由于该些端口被保留W分别供HTTP和HTTPS使用,因此向该些端口的连接有可能将 被大多数网络安全策略所允许。此外,认证网络最有可能从未运行web服务;因而该些众所 周知的端口的非正规使用不太可能会干设任何操作。
[0087] 在建立TLS会话的情况下,各端必须相互认证。网络装置必须确定该网络装置正 允许来自真正的网间认证代理的请求,W使得该网络装置可W信任传入请求。作为TLS服 务器的网间认证代理可W进行客户端验证W获得网络装置的证书。通过对证书进行验证, 网间认证代理可W使合适的客户账户与正建立的会话相关联。如果任一端无法认证其对等 体,则可能期望中止TLS会话。如果无法确认积极验证,则从安全的观点来看使TLS会话继 续构建是有风险的。
[008引由于不确定地使通信信道保持开放,因此TLS握手可W协商通过参考而并入的RFC6520中所定义的屯、跳协议化eartbeatprotocol)W向任意端警告连接性是否丢失。 该两端都应准备好进行屯、跳消息的发送和接收。如果网络装置检测到TLS会话关闭,则在 客户具有针对该特征的活动许可证的情况下,该网络装置可W尝试重建连接。如果网间认 证代理检测到TLS会话关闭,则该网间认证代理可W停止使用针对待处理请求的信道并且 尝试发现替代路径。在所需的特征许可证到期之后,网间认证代理还可W终止连接。
[0089] 在特定实现中,一旦建立了TLS会话,网络装置和网间认证代理就在该会话的目 的方面达成一致。各会话应专用于高层应用程序所定义的一个目的。不同的应用程序应建 立它们自己的命令信道连接。在特定实现中,为了建立目的,网络装置通过发送W下的四个 8字节(octet)序列而开始。
[0090] ?1个8字节-主版本
[0091] -1个8字节-次版本
[0092] ?1个8字节-类型
[0093] ?1个8字节-子类型
[0094] 该序列可W在该协议的所有将来修改中保持恒定。如果网间认证代理理解并接受 了该目的,则由该特殊目的来定义后续动作。否则,网间认证代理将终止TLS会话。发送至 提出目的的网络装置的该信号当前无效。
[0095] 可选地,协议的主版本为1并且次版本为0。不存在与各版本编号何时W及如何改 变有关的困难要求。意图是给出针对各版本的变化程度的大致感觉。例如,从版本1.0到 版本1. 1可能暗示了不会影响互操作性的微小变化,而从版本1. 1到版本1. 101可能暗示 了向协议的实质性添加。运行(ticking)主版本应被解释为协议的大幅变化,使得先前版 本无法与新版本交互操作。版本编号通常从严格意义上应不断增加,但该些版本编号序号 无需是顺次的。
[0096] 类型字段意图将上述会话的目的通信至网间认证代理。基于该值,网间认证代理 可W将会话的可利用性登记至适当应用程序。最初,网间认证代理将支持W下的针对类型 字段的值。
[0097] ? 0-保留
[009引 ? 1-认证/授权
[0099] *2-数据同步
[0100] . 255-测试
[0101] 类型字段意图将上述的会话的目的通信至网间认证代理。基于该值,网间认证代 理可W将会话的可利用性登记至适当的应用程序。最初,网间认证代理将支持W下的针对 类型字段的值。
[0102] 将认证/授权类型进一步分割成用W指示具体方法的子类型。最初,网间认证代 理将具有值0的一个子类型用于RADIUS。该子类型使会话变成客户端和服务器的角色反转 的RadSec隧道。一旦RADIUS访问-请求消息向网间认证代理示出该目的,网络装置就应 准备好W接收并处理该些消息。请求格式将遵循RadSec,其中,发送包长度,之后发送表示 RADIUS消息的该数量的字节。W相同方式将响应发送回至网间认证代理。在要求RADIUS 共享秘密的情况下,将按照通过引用而并入的RFC6614使用串"radsec"。设想了随后可W 弓I入附加子类型W更好地利用网络装置向客户的目录服务和内部网络的访问。可化围过创 造性地利用RADIUS来实现该附加功能中的大部分功能,但允许不同的方法可W提供更直 接的解决方案。
[0103] 将使用数据同步类型(值2)来将数据分发至网络装置,W使得在本地可利用该网 络装置。第一个使用情况将证书高速缓存在网络装置中,W使得即使在向网间认证代理的 连接性丢失的情况下认证也能够成功。该使用将被指定为子类型0。
[0104] 保留测试类型(值255)W隔离任何特定应用程序地测试TLS处理的操作。
[01化]一些组织部署某种形式的目录服务W存储并管理用户账户。网间认证代理将受益 于可W访问该些目录服务。该种访问将允许来自该些组织的用户在订制了网间认证服务的 任何位置处使用他们的家庭证书化ome credentials)来进行认证。然而,该些组织不太可 能允许从超出他们的控制的外部实体向他们的目录进行连接。该些目录通常仅可从组织的 专用内部网络进行访问。
[0106] 尽管网间认证代理无法连接至专用目录,但同一专用网络中所部署的网络装置 可W具有与各种目录服务集成的能力,从而可W桥接目录服务和网间认证代理之间的间 隙。通过利用该能力,网间认证代理可W提供围绕允许用户利用他们在家庭组织化ome organization)内使用的相同密码来在任何位置处进行认证的概念所构建的高级特征。
[0107] 在特定实现中,网间认证代理目录集成依赖于网络装置中的目录集成能力,从而 使得仅部署了适当的网络装置的客户能够利用该网间认证代理目录集成。一个使用情况是 访客的员工保证人。该样使得能够在无需创建针对各员工的单独管理账户的情况下,在客 户的目录中可利用的用户账户可W访问网间认证代理web接口W创建针对某人的访客账 户。用W支持员工保证人的作业可W包括用W进行基本代理认证的能力,从而使得一个客 户的用户能够在访问另一网间认证服务客户的情况下对它们的家庭目录进行认证。随着网 间认证服务订制基地增加,该能力可能变得越来越有用。
[0108] 员工保证人允许员工使用他们的家庭目录证书进行认证并登录至简化且"美观" 的web应用程序。在登录的情况下,可W包括本地和远程的组件的网间认证服务判断该网 间认证服务是否具有针对登录名的本地账户(并且,如果适用,则检查其它参数)。如果找 到了本地账户,则使用该本地账户来对用户进行认证。如果没有找到本地账户,则例如检查 登录名的域部分W寻找拥有该域并具有目录集成特征的客户。如果没有客户与该域匹配, 则登录失败。如果客户与目录匹配,则网间认证服务可W将认证请求转发到此处。一旦登 录,员工就能够创建受到例如网间认证服务许可证所施加的限制的访客账户。
[0109] 在来自一个网间认证服务客户组织的用户作为访客访问另一网间认证服务客户 组织的情况下,发生另一使用情况即代理认证。如果该两个客户都具有目录集成许可证,贝U 用户将能够利用他在家庭组织所使用的相同证书来进行认证。
[0110] 作为多租户系统,网间认证系统可W产生各客户具有独立的认证服务器的错觉。 结果,用户名不必是全局唯一的。例如,可W在多个客户账户中存在用户名alice@example. com,并且各实例并未暗示与任何其它账户的关系。该如同各客户账户是唯一领域一样。
[0111] 目录集成通过将域所有权的概念引入网间认证系统来削弱了该隔离。一旦客户账 户使目录集成启用,则客户必须声明他的目录所服务的域名。在特定实现中,代理认证在使 目录集成启用的账户之间工作。例如,没有购买目录集成许可证的客户将如当前那样进行 工作,并且即使访客的组织是启用了目录集成的网间认证服务客户,也不能经由代理网络 对访客进行认证。
[0112] 在客户要求域的情况下,期望网间认证代理判断为客户是该域的合法所有者。在 特定实现中,域必须是唯一的;因而,在该特定实现中,在任何给定时间仅一个客户与域相 关联。如果大组织的不同分部独立购买目录集成许可证,则要求该组织的域的第一个分部 将与该目录集成许可证相关联。后面的要求该域的请求则会满足表示域不可利用的错误。 可W适当破例。
[0113] 在特定实现中,网间认证代理可W向可W部署在公司防火墙的后方的网络装置发 起请求。目录集成可W使用网络装