CN103078877B - 基于dns的用户认证和域名访问控制方法及系统 - Google Patents
基于dns的用户认证和域名访问控制方法及系统 Download PDFInfo
- Publication number
- CN103078877B CN103078877B CN201310039730.8A CN201310039730A CN103078877B CN 103078877 B CN103078877 B CN 103078877B CN 201310039730 A CN201310039730 A CN 201310039730A CN 103078877 B CN103078877 B CN 103078877B
- Authority
- CN
- China
- Prior art keywords
- user
- server
- dns
- resource record
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
本发明公开一种基于DNS的用户认证和域名访问控制方法及系统。该方法包括:服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,DNS服务器根据该IP地址以及认证协议类型建立CA资源记录;用户向DNS服务器发起域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录;用户根据CA资源记录访问认证服务器并进行认证;认证成功后,认证服务器向用户返回安全连接所需的密钥信息,并指派应用服务器;用户通过该应用服务器访问互联网资源。本发明通过在DNS系统中引入新的资源记录,实现对用户进行认证并向用户指派应用服务器,服务和认证的分离保证了服务提供的安全性和可靠性。
Description
技术领域
本发明属于网络技术、域名系统技术领域,具体涉及一种基于DNS的用户认证和域名访问控制方法,以及采用该方法的系统。
背景技术
互联网实体通常由域名来标识,而DNS是结合域名和实际IP地址的关键纽带。通过DNS可以使用户通过输入易记的域名达到通过IP地址进行最终通信的目的。
为了保证IP地址和域名绑定关系的可信度,IETF推出DNSSEC系列标准,DNSSEC能够通过特定的机制使一个域的运营者直接对DNS信息进行签名,所使用的密钥和其父域之间存在绑定,中间实体能够通过这种逻辑找到可接受的最终信任锚。借助DNSSEC的功能,IETF成立了DANE工作组,旨在利用DNSSEC来实现用户域名及其密钥之间的安全绑定,从而实现用户对服务进行安全认证的目的。但是,这一机制缺乏服务器端对用户的认证以及根据不同用户进行区分服务的功能。
发明内容
本发明提出一种基于DNS的用户认证和域名访问控制方法及系统,通过在DNS系统中引入新的资源记录,引导用户进行服务建立之前的认证,并根据认证结果获取对应服务器的接入地址以及安全密钥信息,实现对访问用户进行认证并根据用户指派服务器的功能。
为实现上述目的,本发明采用如下技术方案:
一种基于DNS的用户认证和域名访问控制方法,其步骤包括:
1)服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;
2)用户向DNS服务器发起一域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录;
3)用户根据获得的CA资源记录中的IP地址访问相应的认证服务器,该认证服务器采用该CA资源记录指定的协议类型对用户进行认证;
4)认证成功后,该认证服务器向用户返回安全连接所需的密钥信息,并为用户指派应用服务器;
5)用户通过该应用服务器发起安全连接,访问互联网资源。
上述方法中,所述认证协议类型可以是RADIUS、Diameter等。
上述方法中,所述CA(Certificate Authority,认证中心)资源记录包含认证服务器的IP地址和认证协议;优选地,其格式为:
Domain-name TTL CA ProtocolIP,
其中Domain-name表示域名,TTL表征该条资源记录的生命值(有效生存时间),Protocol为所使用的认证协议,IP为认证服务器的地址。上述记录的含义是:Domain-name所标识的服务由地址为IP的认证服务器进行安全认证,所使用的认证协议为Protocol,该条记录的有效生存时间是TTL。
上述方法中,所述密钥信息可以是访问https网站时使用的密钥信息,或者是建立SSL等安全连接时需要使用的密钥信息。
一种实现上述方法的基于DNS的用户认证系统,包括DNS服务器和客户端,其特征在于,还包括认证服务器;所述DNS服务器存储所述认证服务器的IP地址,并根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;所述DNS服务器接收用户的域名查询请求,并向用户返回该域名对应的CA资源记录;所述认证服务器采用该CA资源记录指定的协议类型对用户进行认证,在认证成功后向用户返回安全连接所需的密钥信息,并为用户指派应用服务器。
本发明通过在DNS系统中引入新的资源记录,引导用户进行服务建立之前的认证,并根据认证结果获取对应服务器的接入地址以及安全密钥信息,实现对访问用户进行认证并根据用户指派服务器的功能。本发明支持服务提供者对用户的认证,服务和认证的分离保证了服务提供的安全性和可靠性;且可以将不同的用户导向同一服务的不同服务器,起到区分服务的作用。
附图说明
图1是实施例的基于DNS的用户认证和域名访问控制方法的流程图。
图2是实施例的基于DNS的用户认证系统的组成及工作流程示意图。
具体实施方式
下面通过具体实施例,并配合附图,对本发明做详细的说明。
图1是采用该系统进行的基于DNS的用户认证并建立安全连接的流程图。图2是本实施例的基于DNS的用户认证系统的组成及工作流程示意图。该系统包括DNS服务器、客户端、应用服务器以及认证服务器。
下面结合图1、2具体说明本实施例的实施过程:
1)服务提供商为其所提供的服务部署和建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及认证协议类型建立CA资源记录。
域名在DNS上可以有多个资源记录,如A记录存放该域名的IPv4服务器地址,AAAA记录存放该域名的IPv6服务器地址,TLSA记录存放该域名的公钥信息等,本发明所述的CA资源记录存放域名的认证服务器信息。
2)待认证的用户希望向如www.example.cn的域名发起安全连接,首先向DNS服务器发起查询请求,经由DNS查询该域名的地址信息。
3)DNS服务器返回该域名对应的CA资源记录,其中包含认证服务器地址,以及认证服务器支持的安全认证协议类型,比如RADIUS、Diameter等。认证协议由部署认证服务器的服务提供商决定。
具体的,DNS服务器如发现该域名存在CA资源记录,便向客户端响应该CA资源记录,响应消息包含的CA资源记录的内容为:www.example.com100CADiameter1.1.1.1。客户端根据该CA资源记录,发现欲访问的应用服务器配合部署了认证服务器,所采用的认证协议为Diameter,服务器的IP地址为1.1.1.1,该条记录的有效生存时间为100s。
生存时间的设定所考虑的因素主要是这个资源记录的有效时间,比如部署认证服务器时,假设每100s就更新一下服务器的地址或认证协议类型,那么这个TTL就应设置为100s。
4)为了建立安全连接,用户向该认证服务器发起认证过程,所用协议为从DNS返回的Protocol。
具体的,客户端向上述1.1.1.1的认证服务器发起Diameter认证请求,其中携带了客户端欲访问的域名。该认证服务器和客户端交互Diameter信令,对客户端身份进行认证。
该认证过程符合IETF的既有协议的标准流程。
5)认证成功之后,认证服务器向该客户端指派应用服务器以及和该服务器建立安全连接所需要的密钥信息。
所述密钥信息可以是访问https网站时使用的密钥信息,或者建立SSL等安全连接时需要使用的密钥信息等。
认证服务器为用户指派适当的应用服务器IP,如根据用户身份指派不同的服务器,从而获得不同权限的内容,即可以将不同的用户导向同一服务的不同服务器,起到区分服务的作用。
本例中www.example.com对应的应用服务器1为VIP用户方可访问的域名,而应用服务器2为普通用户访问的域名,如图2所示。
6)客户端采用该密钥信息和认证服务器指派的应用服务器2建立SSL安全连接,从而发起安全连接过程,访问该域名对应的内容。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (10)
1.一种基于DNS的用户认证及域名访问控制方法,其步骤包括:
1)服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;
2)用户向DNS服务器发起一域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录;
3)用户根据获得的CA资源记录中的IP地址访问相应的认证服务器,该认证服务器采用该CA资源记录指定的协议类型对用户进行认证;
4)认证成功后,该认证服务器向用户返回安全连接所需的密钥信息,并为用户指派应用服务器;
5)用户通过该应用服务器发起安全连接,访问互联网资源。
2.如权利要求1所述的方法,其特征在于:所述认证协议类型是RADIUS或者Diameter。
3.如权利要求1所述的方法,其特征在于:所述CA资源记录的格式为Domain-name TTL CAProtocolIP,其中Domain-name表示域名,TTL为该条资源记录的生命值,Protocol为所使用的认证协议,IP为认证服务器的地址。
4.如权利要求3所述的方法,其特征在于:所述生命值为100s。
5.如权利要求1所述的方法,其特征在于:所述密钥信息是访问https网站时使用的密钥信息,或者是建立SSL安全连接时需要使用的密钥信息。
6.如权利要求1所述的方法,其特征在于:所述认证服务器根据用户身份将不同的用户导向同一服务的不同服务器。
7.一种基于DNS的用户认证系统,包括DNS服务器和客户端,其特征在于,还包括认证服务器;所述DNS服务器存储该认证服务器的IP地址,并根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;所述DNS服务器接收用户的域名查询请求,并向用户返回该域名对应的CA资源记录;所述认证服务器采用该CA资源记录指定的协议类型对用户进行认证,在认证成功后向用户返回安全连接所需的密钥信息,并为用户指派应用服务器。
8.如权利要求7所述的系统,其特征在于:所述CA资源记录的格式为Domain-name TTL CAProtocolIP,其中Domain-name表示域名,TTL为该条资源记录的生命值,Protocol为所使用的认证协议,IP为认证服务器的地址。
9.如权利要求7所述的系统,其特征在于:所述密钥信息是访问https网站时使用的密钥信息,或者是建立SSL安全连接时需要使用的密钥信息。
10.如权利要求7所述的系统,其特征在于:所述认证服务器根据用户身份将不同的用户导向同一服务的不同服务器。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039730.8A CN103078877B (zh) | 2013-01-31 | 2013-01-31 | 基于dns的用户认证和域名访问控制方法及系统 |
| PCT/CN2013/089836 WO2014117600A1 (zh) | 2013-01-31 | 2013-12-18 | 基于dns的用户认证和域名访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039730.8A CN103078877B (zh) | 2013-01-31 | 2013-01-31 | 基于dns的用户认证和域名访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103078877A CN103078877A (zh) | 2013-05-01 |
| CN103078877B true CN103078877B (zh) | 2015-09-16 |
Family
ID=48155281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310039730.8A Active CN103078877B (zh) | 2013-01-31 | 2013-01-31 | 基于dns的用户认证和域名访问控制方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103078877B (zh) |
| WO (1) | WO2014117600A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
| CN103763133B (zh) * | 2014-01-06 | 2017-02-22 | 上海聚力传媒技术有限公司 | 一种实现访问控制的方法、设备与系统 |
| CN104468859B (zh) * | 2014-11-27 | 2018-01-30 | 中国科学院计算机网络信息中心 | 支持携带服务地址信息的dane扩展查询方法和系统 |
| CN105991597A (zh) * | 2015-02-15 | 2016-10-05 | 中兴通讯股份有限公司 | 认证处理方法及装置 |
| US9641516B2 (en) * | 2015-07-01 | 2017-05-02 | International Business Machines Corporation | Using resource records for digital certificate validation |
| CN105681047B (zh) * | 2016-03-25 | 2019-01-04 | 中国互联网络信息中心 | 一种ca证书签发方法及系统 |
| CN111049789B (zh) * | 2018-10-15 | 2023-05-12 | 北京京东尚科信息技术有限公司 | 域名访问的方法和装置 |
| CN113765905B (zh) * | 2021-08-27 | 2023-04-18 | 深圳市风云实业有限公司 | 一种基于可信服务代理的数据通信方法 |
| CN114401143B (zh) * | 2022-01-19 | 2023-03-21 | 欧瑞科斯科技产业(集团)有限公司 | 一种基于dns的证书加强认证系统及认证方法 |
| CN116980233B (zh) * | 2023-09-21 | 2024-01-30 | 宝略科技(浙江)有限公司 | 离散型数据高频访问时的授权校验方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486013A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 一种对网络接入用户进行认证的方法 |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN101242426A (zh) * | 2007-02-06 | 2008-08-13 | 华为技术有限公司 | 建立传输层安全连接的方法、系统及装置 |
| CN101924801A (zh) * | 2010-05-21 | 2010-12-22 | 中国科学院计算机网络信息中心 | Ip地址管理方法和系统、动态主机配置协议服务器 |
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120793B2 (en) * | 2001-09-28 | 2006-10-10 | Globalcerts, Lc | System and method for electronic certificate revocation |
| CN1505345A (zh) * | 2002-12-02 | 2004-06-16 | 深圳市中兴通讯股份有限公司上海第二 | 一种接入用户强制访问认证服务器的方法 |
| WO2010033126A1 (en) * | 2008-09-22 | 2010-03-25 | Nokia Corporation | Certificate based dns name space control |
| US8484289B2 (en) * | 2009-12-11 | 2013-07-09 | At&T Intellectual Property I, L.P. | Network based audience measurement |
| JP5437785B2 (ja) * | 2009-12-21 | 2014-03-12 | 富士通株式会社 | 認証方法、変換装置、中継装置、及び該プログラム |
| CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
-
2013
- 2013-01-31 CN CN201310039730.8A patent/CN103078877B/zh active Active
- 2013-12-18 WO PCT/CN2013/089836 patent/WO2014117600A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486013A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 一种对网络接入用户进行认证的方法 |
| CN101242426A (zh) * | 2007-02-06 | 2008-08-13 | 华为技术有限公司 | 建立传输层安全连接的方法、系统及装置 |
| CN101217575A (zh) * | 2008-01-18 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种在用户终端认证过程中分配ip地址的方法及装置 |
| CN101924801A (zh) * | 2010-05-21 | 2010-12-22 | 中国科学院计算机网络信息中心 | Ip地址管理方法和系统、动态主机配置协议服务器 |
| CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014117600A1 (zh) | 2014-08-07 |
| CN103078877A (zh) | 2013-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103078877B (zh) | 基于dns的用户认证和域名访问控制方法及系统 | |
| US11223598B2 (en) | Internet security | |
| US9935921B2 (en) | Correlating nameserver IPv6 and IPv4 addresses | |
| US20120254386A1 (en) | Transfer of DNSSEC Domains | |
| CN1984155B (zh) | 一种IPv6接入网中的域名配置方法及其网络设备 | |
| CN101056178B (zh) | 一种控制用户网络访问权限的方法和系统 | |
| WO2017036003A1 (zh) | 一种可信网络身份管理和验证系统和方法 | |
| CN101924801B (zh) | Ip地址管理方法和系统、动态主机配置协议服务器 | |
| CN109714447B (zh) | 基于区块链域名系统的域名生成方法和系统 | |
| Lee et al. | A framework for DNS naming services for Internet-of-Things devices | |
| JP4394701B2 (ja) | ネットワークトポロジーを隠蔽する方法および装置 | |
| WO2008116416A1 (fr) | Procédé, dispositif et système pour qu'un système de nom de domaine se mette à jour de façon dynamique | |
| US9830569B2 (en) | Security assessment using service provider digital asset information | |
| CN102255983B (zh) | 实体标识符分配系统、溯源、认证方法及服务器 | |
| CN104079683A (zh) | 一种授权域名服务器直接响应的域名解析方法及系统 | |
| WO2013170613A1 (zh) | Ip地址管理方法、设备及系统 | |
| CN103581350A (zh) | 跨越nat发布互联网服务的方法、终端、设备和系统 | |
| US20120124649A1 (en) | Attachment method and system for Id-Loc-Split in an NGN | |
| JP2013509837A (ja) | アイデンティティ及びロケーションマッピングの実現方法及びシステム | |
| CN103118025B (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
| CN115580498B (zh) | 融合网络中的跨网通信方法及融合网络系统 | |
| CN105162898B (zh) | Dns与dhcp、ipam实现智能解析的方法及装置 | |
| WO2007095806A1 (fr) | Système d'authentification générale et procédé d'accès à la fonction d'application de réseau du système | |
| CN115442329A (zh) | 域名信息查询方法、系统、装置、设备及存储介质 | |
| US8738038B2 (en) | Method and system for implementing information interaction in a next generation network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210224 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, 4 South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |