CN100539501C - 基于域名的统一身份标识和认证方法 - Google Patents
基于域名的统一身份标识和认证方法 Download PDFInfo
- Publication number
- CN100539501C CN100539501C CNB2006101137079A CN200610113707A CN100539501C CN 100539501 C CN100539501 C CN 100539501C CN B2006101137079 A CNB2006101137079 A CN B2006101137079A CN 200610113707 A CN200610113707 A CN 200610113707A CN 100539501 C CN100539501 C CN 100539501C
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- server
- territory
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于互联网用户身份标识与认证领域,具体特征在于利用下一代互联网协议IPv6所提出的良好的体系结构设计,通过与安全域名服务相结合,扩展现有身份认证系统的功能,实现用户身份与当前真实IPv6地址的绑定关系,为上层的应用提供了更加可靠的安全服务。在用户管理域内设有:网络访问控制服务器:通过用户计算机源MAC地址、源IPv6地址以及端口所组成的三元组<MAC,IPv6,Port>来标识注册用户;身份认证服务器:对用户身份标识进行认证并设定相应的访问权限;域名服务器建立了用户个人域名与IPv6地址之间的正反向对应关系。本发明能够为未来互联网的应用提供多种有效的身份认证手段,同时具有良好的可扩展性,能够适应未来互联网应用发展所带来的要求。
Description
技术领域
基于域名的统一身份标识和认证方法属于互联网用户身份标识与认证领域,要求用户在请求服务之前确认身份与权限。
背景技术
身份标识是用户向网络服务提供者表明身份的符号,身份认证用于验证用户身份标识的合法性与有效性。用户在访问网络资源之前,首先应该经过身份认证系统识别身份,身份认证服务器根据用户的身份标识和授权数据库决定用户是否能够访问某个网络资源。可以说,身份认证系统是整个网络安全体系的第一道关口,访问控制、审计等安全服务都依赖于它所提供的用户身份信息。
在目前的IPv4网络环境下,要对互联网上的用户和主机的访问行为进行有效的控制,存在一些难以解决的问题,其中一个重要的问题就是互联网主机系统的全局身份认证和访问授权问题。一方面,互联网主机大多是匿名的,身份标识无法得到有效的识别和验证,助长了网络用户行为的随意性。另一方面,用户对不同网络资源的访问大多依赖于这些资源本身的应用级的访问控制,缺乏一种统一的授权和访问控制机制。
此外,现有的身份标识与认证体系也存在一定的缺点,主要体现在以下方面:
1、现有的应用系统独立使用各自的身份标识与认证系统,互操作困难。用户身份标识与具体的应用服务结合在一起,各种认证系统只能独立运行,用户访问不同的网络资源必须进行多次不同的认证,缺乏全局统一的用户身份标识与认证机制。
2、现有各种身份认证系统只能验证用户是否具有访问网络资源的权限,而无法对用户的各种行为进行追踪。在现有的安全机制下,当有网络安全事件发生时,各种追踪系统只能定位到导致事件的源地址而无法迅速确定相应的责任人。
随着IPv6协议的大力推广和应用,主机的移动特性、协议的加密特性也会导致问题变得更加复杂。主机的IP地址可以随时更换,IP地址将不再是主机的对外标识,通过传统的防火墙、IDS(入侵检测系统)也已经难以实现对主机的身份认证和对用户行为的控制,新的攻击和非法访问手段将会随之出现。为了解决以上的问题,本发明设计了一种基于域名的统一的身份标识和命名机制,结合相应的身份认证手段,来实现对互联网上任意主机的身份标识、认证和访问控制。
发明内容
针对现有身份认证系统所存在的缺陷,本发明的设计思想是在互联网基础设施中的IP层能够分配真实IPv6地址的基础之上,验证用户的身份标识,实现用户身份标识与对应地址的绑定关系,同时将这种绑定关系体现在域名服务中,为上层应用提供统一的用户身份标识与身份认证服务,同时也可以提供一定的用户行为追踪机制。
2.本发明的特征在于:依次含有以下步骤:
步骤(1),在用户所在的身份认证管理域中设有身份认证服务器、网络访问控制服务器、身份认证客户端以及域名服务器:
身份认证服务器含有:网络层、协议处理层、逻辑控制层、数据控制层以及数据库,其中:
网络层,通过身份认证请求端口和计费请求端口将从网络访问控制服务器发来的请求数据传递给协议处理层,再将从协议处理层传来的响应数据封装成数据包发送给该网络访问控制服务器;
协议处理层,根据身份认证协议组合、解析、校验和处理来自网络层的请求报文,并将处理后的数据送给逻辑控制层,同时也将逻辑控制层送来的数据根据身份认证协议处理后发送给网络层;
逻辑控制层,设有:身份认证授权模块,用于根据用户身份认证标识进行认证,并且根据用户身份标识授予相应的访问权限,所述用户身份认证标识是一个与用户当前IPv6地址相对应的一个全网唯一的个人域名PDN,表明该用户属于某个给定的管理域,同时该身份认证授权模块用下述算法生成一个合法的真实IPv6地址给用户;计费模块,用于对用户访问网络资源的行为进行计费或审计;漫游模块,当请求认证的用户不属于本管理域A时,须与对方管理域的身份认证服务器通信,实现用户的跨网络管理域身份认证;
数据控制层,设有:数据库接口,用于从数据库中查询用于信息;配合接口,用于从配置文件中读取身份认证系统运行所需要的包括服务器地址等信息;
数据库,设有用户帐号权限信息表、其中含有用户个人域名PDN、用户口令Password以及用户权限Right等字段;
网络访问控制服务器,采用802.1x交换机实现,在该交换机中绑定了用户计算机源MAC地址、源IPv6地址以及分配的端口,构成三元组<MAC,IPv6,Port>,在用户通过身份认证之后访问网络时作匹配用,为此设有含该三元组<MAC,IPv6,Port>的源地址绑定表;
身份认证客户端计算机,含有网络层、协议处理层和逻辑控制层,其中:
网络层,把来自协议处理层的数据进行封装后发送给网络网络访问控制服务器端,而把来自网络访问控制服务器端的数据解封装后传递给协议处理层;
协议处理层,根据身份认证协议组合、解析、校验和处理来自逻辑层的以及发送给网络层的认证请求报文;
逻辑控制层,设有:用户接口,用于身份认证客户端计算机与用户之间的交互;地址接口,用于将从服务器获得的IPv6地址配置到本地计算机中;接口地址,读取身份认证客户端计算机运行时所需的包括认证服务器地址等信息;消息定时器,用于控制身份认证客户端计算机每隔设定的时间间隔向网络访问控制服务器发送保持用户认证状态的信息;
域名服务器,根据用户个人域名从数据库中查询用户当前的IPv6地址,或者反之,在其中设有用户个人域名→IPv6地址的对应表以及IPv6地址→用户个人域名的对应表;
步骤(2),在管理域A内认证按以下步骤进行:
步骤(2.1),用户在身份认证客户端中输入包括用户个人域名及用户口令在内的用户信息,身份认证客户端向本管理域的访问控制服务器发出含有用户信息的认证请求;
步骤(2.2),网络访问控制服务器收到用户的认证请求后,首先从认证请求中取出认证消息,然后向身份认证服务器发出认证请求;
步骤(2.3),身份认证服务器收到认证请求后,根据用户个人域名所属管理域判断进行域内认证,然后判断用户的认证状态,如果是首次请求,则产生一个随机数R,将其封装在认证质询报文中通过访问网络控制服务器返回给身份认证客户端;
步骤(2.4),身份认证客户端从收到的质询报文中提取出服务器的随机数R,将用户口令P与该随机数进行混合,计算出一个强制访问控制校验码MAC=MD5(P‖R),其中:MD5是国际标准的散列值计算函数,P为字符串,“‖”表示将R放在P后形成一个新的字符串,并将该校验码放在响应消息中,再次发送给网络访问控制服务器;
步骤(2.5),网络访问控制服务器将响应报文进行格式处理后转发给身份认证服务器,身份认证服务器从本地数据库中取出用户口令P’,与随机数R混合后计算强制访问控制校验码MAC’=MD5(P’‖R),然后比较MAC与MAC′是否相等,如果相等则认证成功,并根据用户个人域名PDN生成IPv6地址,IPv6Addr=IPv6Prefix(N)‖Hash128-N(PDN),其中IPv6Addr表示生成的IPv6地址,IPv6Prefix表示从配置文件中读出的N位地址前缀,Hash128-N表示用MD5算法对个人域名PDN进行散列后取前面128-N位数值,“‖”表示
将前后两部分联结起来生成新的字符串,并将该地址放入认证成功报文里发送给网络访问控制服务器;否则发送认证失败报文;
步骤(2.6),网络访问控制服务器收到返回报文后,判断报文类型,如果是认证成功报文,则从中取出IPv6地址,进行<MAC,IPv6,Port>三元组的绑定,通知身份认证客户端通过认证并打开受控端口允许用户访问网络资源;如果是认证失败报文则通知身份认证客户端失败信息;
步骤(2.7),网络访问控制服务器打开受控端口后,向身份认证服务器发出计费请求;步骤(2.8),身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正反向对应关系注册到本域的域名服务器上;
步骤(2.9),用户退出身份认证系统时,向网络访问控制服务器发出退出请求;
步骤(2.10),网络访问控制服务器收到退出请求后,通知身份认证服务器停止对用户的计费,报文里同时包含了用户对网络资源的访问量;
步骤(2.11),身份认证服务器收到停止计费请求后,将用户的计费信息记入数据库中,同时注销在域名服务器上的域名与IPv6地址的对应关系;
步骤(2.12),网络访问控制服务器关闭受控端口,禁止用户访问网络资源;
步骤(3),域间认证是指个人域名PDN为User@DomainB的B域用户在A域身份认证客户端计算机上用自己在B域的个人域名请求认证,按以下步骤进行:
步骤(3.1),根据步骤(2.1)-(2.2)判断用户进行域间认证;
步骤(3.2),A域的身份认证服务器将认证请求转发给B域的身份认证服务器;
步骤(3.3),B域的身份认证服务器判断用户的认证状态,如果是第一次请求,则产生一个随机数R,将其封装在认证质询报文中返回给A域的身份认证服务器;
步骤(3.4),A域的身份认证服务器将认证质询报文通过A域的网络访问控制服务器返回给用户身份认证客户端;
步骤(3.5),A域的身份认证客户端按照步骤(2.4)所述方法计算出一个校验码MAC放在响应消息中,再次通过A域的网络访问控制服务器发送给A域的身份认证服务器;
步骤(3.6),A域身份认证服务器又将报文转发给B域的身份认证服务器,B域的身份认证服务器按步骤(2.5)所述方法计算校验码MAC’,然后比较MAC与MAC′是否相等,如果相等则认证成功并将认证成功报文发送给A域身份认证服务器;否则发送认证失败报文给A域身份认证服务器;
步骤(3.7),A域身份认证服务器收到报文后,判断报文类型,如果是认证成功报文则按照步骤(2.5)根据用户个人域名生成IPv6地址,并将其放入认证成功报文中返回给本管理域的网络访问控制服务器;
步骤(3.8),A域网络访问控制服务器收到返回报文后按步骤(2.6)-(2.7)进行处理;
步骤(3.9),A域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的反向对应关系注册到A域的域名服务器上,同时A域身份认证服务器向B域身份认证服务器发出计费请求;
步骤(3.10),B域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正向对应关系注册到B域的域名服务器上;
步骤(3.11),用户退出身份认证系统时,按步骤(2.9)-(2.11)所述方法处理,但在A域身份认证服务器把用户的计费信息记入数据库的同时注销该用户在A域域名服务器DNS上的域名与IPv6地址反向对应关系关系;
步骤(3.12),A域身份认证服务器向B域身份认证服务器发出停止对用户计费的请求;步骤(3.13),B域身份认证服务器收到停止计费请求后,停止计费,并同时注销该用户在B域域名服务器DNS上的域名与IPv6地址正向对应关系;
步骤(3.14),A域网络访问控制服务器关闭端口,禁止用户访问网络资源。
目前我们已经实现了本发明的一个原型系统,并且在CERNET2上进行了一系列的试验,系统表现出如下优点:
1.支持用户身份标识与真实源IPv6地址的绑定,防止非法用户利用非授权IPv6地址访问网络。
2.支持跨域的身份认证,支持不同域之间用户的漫游。
3.具有较好的可扩展性,支持多种不同的应用,即为多种安全应用提供统一的应用开发接口。
4.通过统一的界面和逻辑对各应用系统中的用户基本信息进行集中管理。
5.为用户提供认证与票据服务,实现单点登陆、引用和漫游。
6.为用户提供一定的匿名机制,为系统管理提供一定的追踪机制。
7.简化各种网络服务的认证机制,避免用户口令在网络上的多次传递,减小了口令泄露的风险。
附图说明
图1.基于域名的身份认证系统结构图;
图2.身份认证服务器结构图;
图3.身份认证客户端结构图;
图4.域内认证交互顺序图;
图5.域间认证交互顺序图;
图6.实验拓扑图。
具体实施方式
系统结构如图1所示:其中显示了两个管理域A、B。其中每个域包含:
●身份认证服务器;
●网络访问控制服务器;
●域名服务器。
身份标识
针对下一代互联网中IPv6地址难以记忆和管理,以及现有身份标识机制存在的各种问题,本发明提出用个人域名来对用户进行标识。
个人域名PDN是指分配给某个用户的一个全网唯一的身份标识,它与用户当前的IPv6地址相对应,用于对用户进行寻址。个人域名采用类似于电子邮件地址的Username@Domainname形式,意味着该用户属于某个管理域。当用户成功得进行了身份认证后,身份认证服务器将会将该用户的个人域名及当前IPv6地址的对应关系注册到本域的域名服务器DNS上,这样其他用户可以利用该用户的个人域名解析来得到该用户的IPv6地址。
身份认证服务器
身份认证服务器的主要功能是完成对用户身份标识的验证功能,根据用户的身份标识来授予其一定的网络资源访问权限,并对用户的访问网络资源的行为进行计费等。身份认证服务器的机构如图2所示。
身份认证服务器得结构主要可以分为以下几个层次:
●网络层:主要负责监听身份认证请求端口1812与计费请求端口1813,将从网络访问控制服务器发来的请求数据传递给协议处理层,并将协议处理层传来的响应数据封装成数据包传给网络访问控制服务器。
●协议处理层:协议处理层主要负责根据身份认证协议解析、校验、处理请求报文,便于逻辑控制层处理数据;同时也负责将逻辑控制层传来的数据根据身份认证协议格式进行组合,便于网路层发送该数据。
●逻辑控制层主要是根据业务的需要,对接受到的消息内容进行相应处理。本层由身份认证授权模块、计费模块、漫游模块以及身份注册模块等部分组成。身份认证授权模块负责对用户的身份标识进行认证,并根据用户身份标识来授予一定的访问权限,同时该模块还要根据一定的算法生成合理的真实IPv6地址给用户;计费模块是对用户访问网络资源的行为进行计费,并可以对用户行为进行审计;漫游模块是当认证用户不属于本管理域时,要与对方管理域的认证服务器进行通信,实现用户的跨网络管理域认证;身份注册模块主要是将通过认证的用户的身份标识与当前IPv6地址注册到DNS服务器上。
●数据控制层主要由数据库接口和配置文件接口组成。数据库接口是对数据库进行操作,例如查询用户身份信息、添加用户计费信息等。配置文件接口主要是从配置文件中读取系统运行所需要的各种配置信息。
●数据结构:用户账号权限信息
网络访问控制服务器
网络访问控制服务器采用802.1x交换机实现。802.1x交换机的端口分为受控以及非受控两种:用户通过身份认证之前可以利用非受控端口向身份认证服务器发出认证请求,但不能通过该端口访问其他网络资源;当用户通过身份认证之后交换机会打开受控端口,此时用户可以通过受控端口来访问网络资源。
传统的802.1x交换机存在一定的缺陷,即当用户认证成功后,交换机打开受控端口,允许用户访问网络,但是不对用户所发出的报文再作任何检查,这就给恶意者伪造源地址数据包来攻击他人的机会。因此在我们的方案中对802.1x交换机进行了扩展,绑定了用户计算机源MAC地址,源IPv6地址以及分配的端口号Port这个三元组<MAC,IPv6,Port>。当用户访问网络时,交换机会检查数据包的源IPv6地址,源MAC地址以及端口号是否匹配,如果匹配则可以通过,否则不转发该数据包。
数据结构:源地址绑定表
身份认证客户端
身份认证客户端的功能是将用户的认证、计费等信息发送给身份认证服务器端,并接受服务器返回的处理结果。身份认证客户端的结构如图3所示:
身份认证客户端由以下几个部分组成:
●网络层:主要负责与服务器端的交互。将来自协议处理层的数据进行封装,然后发送给服务器端,而将来自网络的数据包进行解封装后传递给协议处理层。
●协议处理层:协议处理层主要负责根据身份认证协议组合、解析、校验和处理认证请求报文,便于逻辑控制层处理数据和网络层传输数据。
●逻辑控制层包括消息定时器、用户接口、地址接口以及配置文件接口等四个部分。消息定时器用于控制客户端每隔一定的时间间隔向服务器发送保持用户认证状态的消息,防止其他用户劫持用户的认证状态;用户接口用于客户端与用户的交互,例如提示用户输入认证信息,向用户返处理结果等;地址接口用于将服务器下放的IPv6地址配置到用户主机中;配置文件接口主要是读取客户端运行所需要的配置信息,包含认证服务器的地址在内的信息。
域名服务器
域名服务器的作用是实现根据用户的个人域名在数据库中查询出用户所注册的IPv6地址(正向查询),或者根据IPv6地址来查找注册该地址的用户个人域名(反向查询)数据结构:个人域名—>IPv6地址对应表
IPv6地址—>个人域名对应表
协议交互流程
用户首先必须在身份认证服务器上进行注册,管理员根据用户的身份来为其分配一定的访问权限。用户进行身份认证的过程分为两部分:域内认证和域间认证。
1、域内认证
域内认证是指用户在自己所在的管理域请求网络服务时所进行的身份认证过程,流程如图4所示:
域内认证流程描述如下:
(1)用户在身份认证客户端中输入用户个人域名及口令,身份认证客户端向本管理域的访问控制服务器发出认证请求EAPoL-Start,EAPoL为可扩展认证协议,其中包含用户名等信息。
(2)网络访问控制服务器收到用户的认证请求后,首先从EAPoL报文中取出认证消息,然后向身份认证服务器发出认证请求Access-Request。
(3)身份认证服务器收到认证请求后,根据用户个人域名所属管理域判断进行域内认证。然后判断用户的认证状态,如果是第一次请求,则产生一个随机数R,将其封装在认证质询报文Access-Challenge中返回给访问网络控制服务器。
(4)网络访问控制服务器将质询Access-Challenge报文返回给身份认证客户端。
(5)身份认证客户端从收到的质询Access-Challenge报文中提取出服务器的随机数R,将口令P与该随机数进行混合,计算出一个校验码MAC=MD5(P‖R)。并将该校验码放在响应消息中,再次发送给网络访问控制服务器。
(6)网络访问控制服务器将响应报文进行格式处理后转发给身份认证服务器。身份认证服务器从本地数据库中取出用户口令P’,与随机数R混合后计算校验码MAC’=MD5(P’‖R),然后比较MAC与MAC′是否相等。如果相等则认证成功,并根据用户个人域名生成IPv6地址,并将该地址放入认证成功Access-Accept报文里发送给网络访问控制服务器;否则发送认证失败Access-Reject报文。
(7)网络访问控制服务器收到返回报文后,判断报文类型。如果是认证成功Access-Accept报文,则从中取出IPv6地址,进行<MAC,IPv6,Port>三元组的绑定,通知身份认证客户端通过认证并打开受控端口允许用户访问网络资源;如果是认证失败Access-Reject报文则通知身份认证客户端失败信息。
(8)网络访问控制服务器打开受控端口后,向身份认证服务器发出计费请求Account-Request,其中设置了一些计费参数。
(9)身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正反向对应关系注册到本域的域名服务器上。
(10)用户退出身份认证系统时,向网络访问控制服务器发出退出EAPoL-Logout请求。
(11)网络访问控制服务器收到退出请求后,通知身份认证服务器停止对用户的计费,报文里同时包含了用户对网络资源的访问量。
(12)身份认证服务器收到停止计费请求后,将用户的计费信息记入数据库中,同时注销在域名服务器上的域名与IPv6地址的对应关系。
(13)网络访问控制服务器关闭受控端口,禁止用户访问网络资源。
2、域间认证
域间认证是指用户在自己不属于的管理域请求网络服务时所进行的认证,流程如图5所示:
图5中包含了两个域A和B,现在我们假设用户属于B域,个人域名PDN为User@DomainB。该用户现在在A域用自己在B域的个人域名请求认证。域间认证过程描述如下:
(1)用户在身份认证客户端中输入用户个人域名及口令,身份认证客户端向A域网络访问控制服务器发出认证请求EAPoL-Start,其中包含用户名。
(2)A域网络访问控制服务器受到用户的认证请求后,首先从EAPoL报文中取出认证消息,然后向A域身份认证服务器发出认证请求Access-Request。
(3)A域身份认证服务器收到认证请求后,根据用户个人域名所属管理域判断进行域间认证。
(4)A域身份认证服务器将认证请求Access-Request转发给B域的身份认证服务器。
(5)B域的身份认证服务器判断用户的认证状态,如果是第一次请求,则产生一个随机数R,将其封装在认证质询报文Access-Challenge中返回给A域的身份认证服务器。
(6)A域的身份认证服务器将认证质询Access-Challenge报文返回给A域的网络访问控制服务器。
(7)A域网络访问控制服务器将质询Access-Challenge报文进行格式转换后,再返回给A域的身份认证客户端。
(8)A域的身份认证客户端从收到的质询报文Access-Challenge中提取出服务器的随机数R,将口令P与该随机数进行混合,计算出一个校验码MAC=MD5(P‖R)。并将该校验码放在响应消息中,再次发送给A域的网络访问控制服务器。
(9)A域网络访问控制服务器将响应报文转发给A域身份认证服务器。A域身份认证服务器又将报文转发给B域的身份认证服务器。
(10)B域的身份认证服务器从本地数据库中取出用户口令P’,与随机数R混合后计算校验码MAC’=MD5(P’‖R),然后比较MAC与MAC′是否相等。如果相等则认证成功并将认证成功Access-Accept报文发送给A域身份认证服务器;否则发送认证失败Access-Reject报文给A域身份认证服务器。
(11)A域身份认证服务器收到报文后,判断报文类型,如果是认证成功Access-Accept报文报文则根据用户个人域名生成IPv6地址,并将其放入认证成功Access-Accept报文中返回给本管理域的网络访问控制服务器。
(12)A域网络访问控制服务器收到返回报文后,判断报文类型。如果是认证成功Access-Accept报文,则从中取出所分配IPv6地址,进行<MAC,IPv6,Port>三元组的绑定,通知A域的身份认证客户端通过认证并打开受控端口允许用户访问网络资源;如果是认证失败Access-Reject则通知A域的身份认证客户端失败信息。
(13)A域网络访问控制服务器打开受控端口后,向A域身份认证服务器发出计费请求Account-Request,其中设置了一些计费参数。
(14)A域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的反向解析注册到A域的域名服务器上。
(15)A域身份认证服务器向B域身份认证服务器发出计费请求Account-Request,其中包含了用户的个人域名及当前IPv6地址等信息。
(16)B域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正向解析注册到B域的域名服务器上。
(17)用户退出身份认证系统时,向A域网络访问控制服务器发出退出EAPoL-Logout请求。
(18)A域网络访问控制服务器收到退出请求后,通知A域身份认证服务器停止对用户的计费,报文里同时包含了用户对网络资源的访问量。
(19)A域身份认证服务器收到停止计费请求后,将用户的计费信息记入数据库中,同时注销该用户在A域域名服务器DNS上的域名与IPv6地址反向解析关系。
(20)A域身份认证服务器向B域身份认证服务器发出停止对用户计费的请求。
(21)B域身份认证服务器收到停止计费请求后,停止计费,并同时注销该用户在B域域名服务器DNS上的域名与IPv6地址正向解析关系。
(23)A域网络访问控制服务器关闭端口,禁止用户访问网络资源。
为了对本发明的性能进行论证,我们设计了以下实验场景,如图6所示:
我们假设属于B域B_Domain的用户User@B_Domain漫游到了A域A_Domain,当该用户向邮件服务器Email Server提出服务请求时,须执行以下步骤:
1、用户User@B_Domain首先通过网络访问控制服务器A向身份认证服务器A提出认证请求,请求中包含用户的身份信息。
2、身份认证服务器A发现用户来自B域,于是将用户的认证请求转发到域身份认证服务器B。
3、身份认证服务器B验证用户身份的真实性。如果验证成功就将用户名→IPv6地址的对应关系注册到域名服务器B上,同时身份认证服务器A将IPv6地址→用户名的对应关系注册到域名服务器A上;否则向用户返回认证失败信息。
4、用户认证成功后,可以向电子邮件服务器提出服务请求,电子邮件服务器通过正向查询和反向查询两个操作就可以确认用户是否进行了身份认证,以及用户身份是否合法,从而决定是否提供相应服务。
Claims (1)
1.基于域名的统一身份标识和认证方法,其特征在于:依次含有以下步骤:
步骤(1),在用户所在的身份认证管理域中设有身份认证服务器、网络访问控制服务器、身份认证客户端以及域名服务器:
身份认证服务器含有:网络层、协议处理层、逻辑控制层、数据控制层以及数据库,其中:
网络层,通过身份认证请求端口和计费请求端口将从网络访问控制服务器发来的请求数据传递给协议处理层,再将从协议处理层传来的响应数据封装成数据包发送给该网络访问控制服务器;
协议处理层,根据身份认证协议组合、解析、校验和处理来自网络层的请求报文,并将处理后的数据送给逻辑控制层,同时也将逻辑控制层送来的数据根据身份认证协议处理后发送给网络层;
逻辑控制层,设有:身份认证授权模块,用于根据用户身份认证标识进行认证,并且根据用户身份标识授予相应的访问权限,所述用户身份认证标识是一个与用户当前IPv6地址相对应的一个全网唯一的个人域名PDN,表明该用户属于某个给定的管理域,同时该身份认证授权模块用下述算法生成一个合法的真实IPv6地址给用户;计费模块,用于对用户访问网络资源的行为进行计费或审计;漫游模块,当请求认证的用户不属于本管理域A时,须与对方管理域的身份认证服务器通信,实现用户的跨网络管理域身份认证;
数据控制层,设有:数据库接口,用于从数据库中查询用于信息;配合接口,用于从配置文件中读取身份认证系统运行所需要的包括服务器地址信息;
数据库,设有用户帐号权限信息表、其中含有用户个人域名PDN、用户口令Password以及用户权限Right字段;
网络访问控制服务器,采用802.1x交换机实现,在该交换机中绑定了用户计算机源MAC地址、源IPv6地址以及分配的端口,构成<MAC,IPv6,Port>三元组,在用户通过身份认证之后访问网络时作匹配用,为此设有含<MAC,IPv6,Port>三元组的源地址绑定表;
身份认证客户端计算机,含有网络层、协议处理层和逻辑控制层,其中:
网络层,把来自协议处理层的数据进行封装后发送给网络访问控制服务器端,而把来自网络访问控制服务器端的数据解封装后传递给协议处理层;
协议处理层,根据身份认证协议组合、解析、校验和处理来自逻辑层的以及发送给网络层的认证请求报文;
逻辑控制层,设有:用户接口,用于身份认证客户端计算机与用户之间的交互;地址接口,用于将从服务器获得的IPv6地址配置到本地计算机中;配置文件接口,读取身份认证客户端计算机运行时所需的认证服务器地址信息;消息定时器,用于控制身份认证客户端计算机每隔设定的时间间隔向网络访问控制服务器发送保持用户认证状态的信息;
域名服务器,根据用户个人域名从数据库中查询用户当前的IPv6地址,或者反之,在其中设有用户个人域名与IPv6地址的对应表以及IPv6地址与用户个人域名的对应表;
步骤(2),在管理域A内认证按以下步骤进行:
步骤(2.1),用户在身份认证客户端中输入包括用户个人域名及用户口令在内的用户信息,身份认证客户端向本管理域的访问控制服务器发出含有用户信息的认证请求;
步骤(2.2),网络访问控制服务器收到用户的认证请求后,首先从认证请求中取出认证消息,然后向身份认证服务器发出认证请求;
步骤(2.3),身份认证服务器收到认证请求后,根据用户个人域名所属管理域判断进行域内认证,然后判断用户的认证状态,如果是首次请求,则产生一个随机数R,将其封装在认证质询报文中通过访问网络控制服务器返回给身份认证客户端;
步骤(2.4),身份认证客户端从收到的质询报文中提取出服务器的随机数R,将用户口令P与该随机数进行混合,计算出一个强制访问控制校验码MAC=MD5(P‖R),其中:MD5是国际标准的散列值计算函数,P为字符串,“‖”表示将R放在P后形成一个新的字符串,并将该校验码放在响应消息中,再次发送给网络访问控制服务器;
步骤(2.5),网络访问控制服务器将响应报文进行格式处理后转发给身份认证服务器,身份认证服务器从本地数据库中取出用户口令P’,与随机数R混合后计算强制访问控制校验码MAC’=MD5(P’‖R),然后比较MAC与MAC′是否相等,如果相等则认证成功,并根据用户个人域名PDN生成IPv6地址,IPv6Addr=IPv6Prefix(N)‖Hash128-N(PDN),其中:IPv6Addr表示生成的IPv6地址,IPv6Prefix表示从配置文件中读出的N位地址前缀,Hash128-N表示用MD5算法对个人域名PDN进行散列后取前面128-N位数值,“‖”表示将前后两部分联结起来生成新的字符串,并将该地址放入认证成功报文里发送给网络访问控制服务器;否则发送认证失败报文;
步骤(2.6),网络访问控制服务器收到返回报文后,判断报文类型,如果是认证成功报文,则从中取出IPv6地址,进行<MAC,IPv6,Port>三元组的绑定,通知身份认证客户端通过认证并打开受控端口允许用户访问网络资源;如果是认证失败报文则通知身份认证客户端失败信息;
步骤(2.7),网络访问控制服务器打开受控端口后,向身份认证服务器发出计费请求;
步骤(2.8),身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正反向对应关系注册到本域的域名服务器上;
步骤(2.9),用户退出身份认证系统时,向网络访问控制服务器发出退出请求;
步骤(2.10),网络访问控制服务器收到退出请求后,通知身份认证服务器停止对用户的计费,报文里同时包含了用户对网络资源的访问量;
步骤(2.11),身份认证服务器收到停止计费请求后,将用户的计费信息记入数据库中,同时注销在域名服务器上的域名与IPv6地址的对应关系;
步骤(2.12),网络访问控制服务器关闭受控端口,禁止用户访问网络资源;
步骤(3),域间认证是指个人域名PDN为User@DomainB的B域用户在A域身份认证客户端计算机上用自己在B域的个人域名请求认证,按以下步骤进行:
步骤(3.1),根据步骤(2.1)-(2.2)判断用户进行域间认证;
步骤(3.2),A域的身份认证服务器将认证请求转发给B域的身份认证服务器;
步骤(3.3),B域的身份认证服务器判断用户的认证状态,如果是第一次请求,则产生一个随机数R,将其封装在认证质询报文中返回给A域的身份认证服务器;
步骤(3.4),A域的身份认证服务器将认证质询报文通过A域的网络访问控制服务器返回给用户身份认证客户端;
步骤(3.5),A域的身份认证客户端按照步骤(2.4)所述方法计算出一个校验码MAC放在响应消息中,再次通过A域的网络访问控制服务器发送给A域的身份认证服务器;
步骤(3.6),A域身份认证服务器又将报文转发给B域的身份认证服务器,B域的身份认证服务器按步骤(2.5)所述方法计算校验码MAC’,然后比较MAC与MAC′是否相等,如果相等则认证成功并将认证成功报文发送给A域身份认证服务器;否则发送认证失败报文给A域身份认证服务器;
步骤(3.7),A域身份认证服务器收到报文后,判断报文类型,如果是认证成功报文则按照步骤(2.5)根据用户个人域名生成IPv6地址,并将其放入认证成功报文中返回给本管理域的网络访问控制服务器;
步骤(3.8),A域网络访问控制服务器收到返回报文后按步骤(2.6)-(2.7)进行处理;
步骤(3.9),A域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的反向对应关系注册到A域的域名服务器上,同时A域身份认证服务器向B域身份认证服务器发出计费请求;
步骤(3.10),B域身份认证服务器收到计费请求后,开始计费,同时将用户的个人域名与IPv6的正向对应关系注册到B域的域名服务器上;
步骤(3.11),用户退出身份认证系统时,按步骤(2.9)-(2.11)所述方法处理,但在A域身份认证服务器把用户的计费信息记入数据库的同时注销该用户在A域域名服务器DNS上的域名与IPv6地址反向对应关系;
步骤(3.12),A域身份认证服务器向B域身份认证服务器发出停止对用户计费的请求;
步骤(3.13),B域身份认证服务器收到停止计费请求后,停止计费,并同时注销该用户在B域域名服务器DNS上的域名与IPv6地址正向对应关系;
步骤(3.14),A域网络访问控制服务器关闭端口,禁止用户访问网络资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101137079A CN100539501C (zh) | 2006-10-13 | 2006-10-13 | 基于域名的统一身份标识和认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101137079A CN100539501C (zh) | 2006-10-13 | 2006-10-13 | 基于域名的统一身份标识和认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1937499A CN1937499A (zh) | 2007-03-28 |
| CN100539501C true CN100539501C (zh) | 2009-09-09 |
Family
ID=37954788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101137079A Expired - Fee Related CN100539501C (zh) | 2006-10-13 | 2006-10-13 | 基于域名的统一身份标识和认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100539501C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019169482A1 (en) * | 2018-03-06 | 2019-09-12 | Kaloom Inc | Computing device and method for performing a fabric deployment in a data center |
| WO2019169481A1 (en) * | 2018-03-06 | 2019-09-12 | Kaloom Inc | Computing device and method for generating a link ipv6 address |
| WO2019178671A1 (en) * | 2018-03-19 | 2019-09-26 | Kaloom Inc | Computing device and method for performing a secure neighbor discovery |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282249B (zh) * | 2007-04-27 | 2010-11-10 | 清华大学 | 分布式互联网测量服务器自动注册与管理方法 |
| CN101257486B (zh) * | 2007-06-05 | 2012-07-18 | 中兴通讯股份有限公司 | 客户端发现网络接入认证信息承载协议认证代理的方法 |
| CN101494668B (zh) * | 2008-01-24 | 2012-05-23 | 华硕电脑股份有限公司 | 设定网域名称的方法、系统及其网络装置 |
| CN101582882B (zh) * | 2008-10-10 | 2011-04-20 | 华为技术有限公司 | 一种接入方法、网络系统和装置 |
| CN101741554A (zh) * | 2008-11-21 | 2010-06-16 | 华为终端有限公司 | 网络接入控制的方法、服务器、用户网络设备和通信系统 |
| CN101741817B (zh) * | 2008-11-21 | 2013-02-13 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
| CN101534300B (zh) * | 2009-04-17 | 2012-05-30 | 公安部第一研究所 | 多访问控制机制结合的系统保护架构及方法 |
| CN101997904B (zh) * | 2009-08-21 | 2013-10-09 | 华为技术有限公司 | 一种会话区分方法和装置 |
| CN102055748B (zh) * | 2009-11-05 | 2016-08-03 | 中兴通讯股份有限公司 | 电子公告板管理方法和系统 |
| CN101714911B (zh) * | 2009-11-11 | 2013-06-12 | 北京交控科技有限公司 | 基于通信的列车运行控制系统的数据通信方法 |
| CN102104585B (zh) * | 2009-12-17 | 2014-04-09 | 中兴通讯股份有限公司 | 全网屏蔽的管理方法和系统 |
| CN101764822B (zh) * | 2010-01-29 | 2013-02-13 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
| CN101873211B (zh) * | 2010-06-18 | 2012-08-08 | 深圳市万兴软件有限公司 | 一种密码串的生成方法及装置 |
| CN102571344B (zh) * | 2010-12-08 | 2014-12-03 | 中国电信股份有限公司 | 一种单点认证方法和系统 |
| CN102088377B (zh) * | 2011-01-04 | 2012-05-23 | 深圳市易聆科信息技术有限公司 | 一种用于资产管理的人机对应方法及装置 |
| CN102186173B (zh) * | 2011-04-26 | 2013-08-07 | 广州市动景计算机科技有限公司 | 身份认证方法及系统 |
| CN102891794B (zh) * | 2011-07-22 | 2015-07-29 | 华为技术有限公司 | 一种数据包传输控制的方法及网关 |
| CN102496225B (zh) * | 2011-12-07 | 2014-09-03 | 蓬天信息系统(北京)有限公司 | 一种税务发票开票系统的应用方法 |
| CN102611764A (zh) * | 2012-03-20 | 2012-07-25 | 中兴通讯股份有限公司 | 一种查询IPv6地址的方法及装置 |
| CN102647432B (zh) * | 2012-05-17 | 2016-04-20 | 湖南神州祥网科技有限公司 | 一种认证信息传输方法、装置及认证中间件 |
| CN102769621B (zh) * | 2012-07-20 | 2015-03-04 | 清华大学 | 一种面向真实用户身份的主机移动方法 |
| CN102761630B (zh) * | 2012-07-20 | 2015-01-14 | 清华大学 | 一种面向真实用户身份信息的IPv6地址分配方法 |
| CN102769677B (zh) * | 2012-07-20 | 2015-09-02 | 清华大学 | 面向真实用户身份信息的IPv6地址设置方法及服务器 |
| CN103209168B (zh) * | 2013-01-30 | 2017-03-08 | 广东欧珀移动通信有限公司 | 一种实现单点登录的方法和系统 |
| CN105262848B (zh) * | 2015-06-30 | 2018-08-28 | 清华大学 | 用户互联网身份标识及生成方法和系统 |
| CN106789881A (zh) * | 2016-11-17 | 2017-05-31 | 中国互联网络信息中心 | 一种基于域名服务dns系统的区块链数字身份认证方法及系统 |
| FR3081573A1 (fr) * | 2018-06-29 | 2019-11-29 | Orange | Procedes de verification de la validite d'une ressource ip, serveur de controle d'acces, serveur de validation, nœud client, nœud relais et programme d'ordinateur correspondants. |
| CN109120611B (zh) * | 2018-08-03 | 2021-07-06 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 用于地址生成服务器的用户认证方法、设备、系统及介质 |
| CN109741585B (zh) * | 2018-12-12 | 2020-11-24 | 青岛海尔科技有限公司 | 一种通信控制系统及方法 |
| CN109684820A (zh) * | 2018-12-28 | 2019-04-26 | 天津卓朗科技发展有限公司 | 服务权限获取方法、装置以及电子设备 |
| CN110943827B (zh) * | 2019-10-18 | 2023-04-18 | 天津幸福生命科技有限公司 | 一种基于网络协议的数据获取方法及装置 |
| CN112073428B (zh) * | 2020-09-17 | 2022-11-29 | Vidaa(荷兰)国际控股有限公司 | 一种应用端身份认证方法及显示设备 |
| CN113992402B (zh) * | 2021-10-27 | 2023-11-21 | 贝壳找房(北京)科技有限公司 | 一种基于零信任策略的访问控制方法、系统及介质 |
| CN114826654B (zh) * | 2022-03-11 | 2023-09-12 | 中国互联网络信息中心 | 一种基于域名系统命名的客户端认证方法及系统 |
| CN114666303B (zh) * | 2022-03-18 | 2024-01-30 | 唯品会(广州)软件有限公司 | Dns调度方法、装置及计算机设备 |
-
2006
- 2006-10-13 CN CNB2006101137079A patent/CN100539501C/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019169482A1 (en) * | 2018-03-06 | 2019-09-12 | Kaloom Inc | Computing device and method for performing a fabric deployment in a data center |
| WO2019169481A1 (en) * | 2018-03-06 | 2019-09-12 | Kaloom Inc | Computing device and method for generating a link ipv6 address |
| US10673695B2 (en) | 2018-03-06 | 2020-06-02 | Kaloom Inc. | Computing device and method for performing a fabric deployment in a data center |
| US10873500B2 (en) | 2018-03-06 | 2020-12-22 | Kaloom Inc. | Computing device and method for generating a link IPV6 address |
| WO2019178671A1 (en) * | 2018-03-19 | 2019-09-26 | Kaloom Inc | Computing device and method for performing a secure neighbor discovery |
| US11005667B2 (en) | 2018-03-19 | 2021-05-11 | Kaloom Inc. | Computing device and method for performing a secure neighbor discovery |
| US11695575B2 (en) | 2018-03-19 | 2023-07-04 | Kaloom Inc | Computing device and method for performing a secure neighbor discovery |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1937499A (zh) | 2007-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100539501C (zh) | 基于域名的统一身份标识和认证方法 | |
| CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
| Chen et al. | Lightweight and provably secure user authentication with anonymity for the global mobility network | |
| CN104335546B (zh) | 使用邻居发现来为其它应用创建信任信息的方法和装置 | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| CN101645900A (zh) | 一种跨域权限管理系统及方法 | |
| CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
| CN103281305B (zh) | 基于安全网关的智慧城市系统的接入控制方法 | |
| WO2014177938A2 (en) | Digital credential with embedded authentication instructions | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN101047502B (zh) | 一种网络认证方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN102315996B (zh) | 网络准入控制方法及系统 | |
| CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
| WO2017210914A1 (zh) | 传输信息的方法和装置 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 | |
| CN102769621B (zh) | 一种面向真实用户身份的主机移动方法 | |
| Ayday et al. | Secure device authentication mechanisms for the smart grid-enabled home area networks | |
| Bhaya et al. | Prevention of Spoofing Attacks in the Infrastructure wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090909 Termination date: 20171013 |