置所发起的TLS会话作为发送请求所要经由的命令信 道。该命令信道可W在认证网关处终止。在建立了各命令信道连接之后,认证网关使用来 自客户端证书的客户IDW标识连接的源。如果网络装置中编码有客户ID,则网络装置可W 使用发出至该网络装置的相同证书W连接至例如RadSec服务器的网间认证代理。
[0114] 在特定实现中,认证网关在TCP端口 80和443上运行服务器W处理传入的命令信 道请求。还可W使仅针对来自内部网络的传入RADIUS请求的UDP端口开放。在特定实现 中,可W访问UDP端口的服务器只有认证服务器。认证网关不必处理该些RADIUS请求;网 间认证代理可W将该些请求原样经由命令信道发送至网络装置。
[0115] 在创建了各网络命令信道的情况下,网间认证代理保持客户ID向认证网关的映 射。通过两步查找来使用该映射W找到代理请求的正确的认证网关。如果认证请求无法找 到本地账户,则该认证请求使用用户名的域部分来寻找客户ID。然后,客户ID指向认证网 关。在命令信道连接终止的情况下,注销相应映射。目前为了方便,将该些映射存储在网间 认证代理数据存储器中。在该些映射与实际不同步的情况下,可W在认证网关上运行定期 清除任务W修复陈旧数据。
[0116] -些潜在有价值的界面可W包括使得客户应能够看见他们的当前许可证状态W 及何时过期的界面、用W设置域所有权的界面、用W设置域白名单和黑名单或者过滤规则 的界面、向目录组映射示出用户组的界面、W及员工访客创建所用的界面(仅举几个例 子)。此外,操作员界面可W具有用W将域所有权记录标记为已被验证并且看见代理"路由 表"中的一部分或全部的界面。实际验证可W是或者不是手动处理。
[0117] 有利地,本文所述的技术的使用可W得到改进的报告。可W更好地报告在给定时 间内存在/使用多少个访客账户、多少个访客在线W及该些访客正使用多少数据、访客来 自于何处、W及访客使用什么装置。
[011引图6示出包括基于云的认证管理系统(AM巧的网间认证系统的示例的图600。该图 600包括基于云的AMS602、用户数据存储器604、在线认证管理器606、企业办公系统608、 AP/桥610、LDAP数据存储器612、企业办公系统614、企业办公系统616、LDAP绑定618、远 程LDAP620、热点622-2~622-N(统称为热点622)和eduroam(全球高效网络漫游)系统 624。
[0119] 在图6的示例中,基于云的AMS602可W包括针对专用网络的认证管理系统。通 过将AMS放置在云中,可W将AMS作为服务来提供。
[0120] 在图6的示例中,用户数据存储器604连接至基于云的AMS602。用户数据存储器 604可被实现为具有针对各客户的"片"的多租户数据存储器。在该示例中,假定用户数据 存储器604利用7?存储资源。
[0121] 在图6的示例中,在线管理系统606连接至基于云的AMS602。自动设置创建从基 于云的AMS602到在线管理系统606的桥。
[0122] 在图6的示例中,企业办公系统608连接至基于云的AMS602。
[012引在图6的示例中,企业办公系统608包括AP/桥610。Radsec可W使用针对防火 墙和NAT兼容性的TCP。还可W使用RADIUS,但可能不太安全。在图6的示例中,将从AP/ 桥610向基于云的AMS602的箭头标记为RadsecW表示该特定实现。如此,在该示例中,可 W将认证请求经由Radsec发送至云。
[0124]在图6的示例中,企业办公系统608包括LDAP数据存储器612。LDAP数据存储器 612被视为活动目录。LDAP数据存储器612可W接收针对内部目录的请求和针对远程场所 (诸如同一(第一)公司的其它办公室(即企业办公系统614)、或者识别来自第一公司的 访客的第二公司的办公室(即企业办公系统616))的授权。如果基于云的AMS602将618 经由VPN绑定至远程LDAP620,可W在第一公司的WAN失败的情况下对auth请求进行高速 缓存。
[012引在图6的示例中,基于云的AMS连接至热点622。公司可输出"用户数据存储 器W在热点622中使用。或者可W将本地用户数据存储器输出至e化roam系统624。
[01%] 基于云的认证系统的优点包括将装置从客户场所去除,从而降低与两端的提供商 的兼容性测试和认证系统的故障排除,并且可W促进相对简单的免费样本到达潜在用户。 作为第一示例,一些组织可能不具有重要的IT专业技术,并且现有网络可能仅是无域控制 器或服务器的PSK。云服务可W向针对许多服务的单点登录控制提供RADIUS前端(可能需 要从桥或AP向云服务进行代理)。作为另一示例,用户可能到达公司建筑物并且需要针对 演示等的网络访问。最佳联系点是前台,而不是可W实现本文所述的技术的IT人员。还可 W相对容易地创建批量账户。作为另一示例,许多网络从单个共用PSK开始(并且由于感 知到过于复杂因而不会移动至802. 1幻。用W管理PPSK的基于云的服务可W在不会明显增 加可管理性的同时提高安全性。作为另一示例,并非所有公司都具有不同办公室的IT组之 间的协调。用户从场所1进入场所2,然后需要发现场所2的ITW确保对于IT而言耗时且 存在附加开支的网络访问。利用场所之间的一个SSID,RADIUS代理型配置可W在无需查看 用户证书的情况下路由请求,从而用作为"粘合"来代替有缺陷的IT计划。作为另一示例, 许多组织具有移动用户。IT购买用户对热点网络的访问。用户发现IT购买了访问的热点 网络,并且签约使用合作证书。VPN自动被配置为全体安全的端到端连接性,自动处理账单 记录,并且可W利用iPass或其它漫游联盟或甚至Skyp来进行。作为另一示例,一些网络 可能具有愿意支付W进行访问的访问者,诸如具有家庭访问者的健康护理组织(医院、熟 练的长期护理设施)等。可W零售提供"无线区域网络盒化otspotinabox)"。你可W 创建公共访问所用的SSID并将请求传递至服务提供方。Skype可W检测具有Skype功能的 热点并利用Skype储值卡进行支付W供访问。
[0127] 本文所提供的该些和其它示例意图例示而未必限制所述实施例。如该里所使用 的,术语"实施例"是指用于通过示例而非限制性的方式进行例示的实施例。在前面的文本 和附图中所述的技术可根据情况要求进行混合和匹配W产生替代实施例。
【主权项】
1. 一种方法,包括以下步骤: 接收针对第一网络的基于策略的身份路由服务的请求; 将本地授权用户数据存储器接口即LAUDI提供至所述第一网络的网络装置; 获得用于向所述第一网络的身份路由的一组规则;以及 建立与所述第一网络的所述网络装置上的所述LAUDI之间的连接, 其中,来自所述LAUDI的针对第二网络上的站点的成功的认证结果表示允许所述站点 访问所述第二网络上的服务。
2. 根据权利要求1所述的方法,其中,还包括以下步骤:经由第三网络提供作为服务所 提供的计算资源上的网间认证服务。
3. 根据权利要求1所述的方法,其中,还包括以下步骤:经由软件下载来提供所述 LAUDIo
4. 根据权利要求1所述的方法,其中,还包括以下步骤: 将所述LAUDI安装在所述网络装置上;以及 将所述网络装置运输到与所述第一网络相关联的接受方, 其中,所述网络装置是在所述接受方接受之后与所述第一网络相关联地实现的。
5. 根据权利要求1所述的方法,其中,还包括以下步骤:将所述网络装置实现为无线接 入点即WAP或者控制器。
6. 根据权利要求1所述的方法,其中,还包括以下步骤:使所述LAUDI连接至所述第一 网络中的用户数据存储器。
7. 根据权利要求1所述的方法,其中,还包括以下步骤:经由管理接口获得所述一组规 则。
8.根据权利要求1所述的方法,其中,还包括以下步骤:获得用于过滤和向所述第一网 络的身份路由的一组规则,其中,所述成功的认证结果表示站点证书,所述站点证书足以避 免根据过滤规则对与所述站点相关联的认证请求进行过滤、并且足以许可根据身份路由规 则将所述认证请求路由至所述第一网络。
9. 根据权利要求1所述的方法,其中,所述连接是持久的。
10. 根据权利要求1所述的方法,其中,还包括以下步骤: 从所述第二网络接收针对所述站点的认证请求; 基于所述一组规则中的规则将认证请求路由至所述LAUDI ; 从所述LAUDI接收认证结果;以及 将认证结果发送至所述第二网络, 其中,所述成功的认证结果表示允许所述站点访问所述第二网络上的服务。
11. 根据权利要求1所述的方法,其中,将来自所述第一网络中的本地授权用户数据存 储器的账户数据与所述第二网络共享。
12. 根据权利要求1所述的方法,其中,所述站点是第一站点,所述方法还包括以下步 骤: 存储与所述第二网络中的第二站点相关联的用户数据;以及 对所述第二网络中的所述第二站点进行认证。
13. -种系统,包括: 用于接收针对第一网络的基于策略的身份路由服务的请求的部件; 用于将本地授权用户数据存储器接口即LAUDI提供至所述第一网络的网络装置的部 件; 用于获得用于向所述第一网络的身份路由的一组规则的部件;以及 用于建立与所述第一网络的所述网络装置上的所述LAUDI之间的连接的部件, 其中,来自所述LAUDI的针对第二网络上的站点的成功的认证结果表示允许所述站点 访问所述第二网络上的服务。
14. 根据权利要求13所述的系统,其中,还包括用于获得用于过滤和向所述第一网络 的身份路由的一组规则的部件,其中,所述成功的认证结果表示站点证书,所述站点证书足 以避免根据过滤规则对与所述站点相关联的认证请求进行过滤、并且足以许可根据身份路 由规则将所述认证请求路由至所述第一网络。
15. 根据权利要求13所述的系统,其中,所述连接是持久的,所述系统还包括用于建立 持久的连接的部件。
16. -种方法,包括以下步骤: 在网络接入点接收针对站点的认证请求; 判断所述认证请求是否适合离网认证; 在离网状态下发送所述认证请求; 从离线网络接收响应于所述认证请求的离网认证结果;以及 根据所述离网认证结果向所述站点提供服务。
17. 根据权利要求16所述的方法,其中,还包括以下步骤: 确定与所述认证请求相关联的身份;以及 根据该确定来在离网状态下发送所述认证请求。
18. 根据权利要求16所述的方法,其中,还包括以下步骤:与网间认证服务提供方建立 持久的连接,其中,将所述认证请求发送至所述网间认证服务提供方,并且从所述网间认证 服务提供方接收所述离网认证结果。
19. 根据权利要求18所述的方法,其中,所述持久的连接是输出加密的通道。
20. 根据权利要求16所述的方法,其中,所述认证请求是第一认证请求并且所述站点 是第一站点,所述方法还包括以下步骤: 在所述网络接入点接收针对第二站点的第二认证请求; 判断所述第二认证请求是否适合联网认证; 发起对所述第二站点的联网认证; 获得响应于所述第二认证请求的联网认证结果;以及 根据所述联网认证结果向所述第二站点提供服务。
【专利摘要】针对网络认证互操作性的技术涉及在第一网络上发起认证过程、在第二网络上进行认证并且允许在第一网络中进行访问。该技术可以包括对向网络的访问进行过滤,由此将访问局限于具有可接受的证书的用户。提供包含这些技术的服务,这可以使得能够在对网络配置的影响最小的情况下将这些技术并入现有系统。
【IPC分类】H04L29-06
【公开号】CN104769909
【申请号】CN201380057158
【发明人】谦信樱, M·S·加斯特, 傅龙
【申请人】艾诺威网络有限公司
【公开日】2015年7月8日
【申请日】2013年8月30日
【公告号】EP2891295A2, US9143498, US20140068707, WO2014036504A2, WO2014036504A3