CN114401143B - 一种基于dns的证书加强认证系统及认证方法 - Google Patents
一种基于dns的证书加强认证系统及认证方法 Download PDFInfo
- Publication number
- CN114401143B CN114401143B CN202210060154.4A CN202210060154A CN114401143B CN 114401143 B CN114401143 B CN 114401143B CN 202210060154 A CN202210060154 A CN 202210060154A CN 114401143 B CN114401143 B CN 114401143B
- Authority
- CN
- China
- Prior art keywords
- dns
- component
- authentication
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于DNS的证书加强认证系统及认证方法,本发明涉及基于DNS的证书加强认证系统及认证方法,本发明的目的是为了解决现有HTTPS协议存在可被攻击的风险的问题,一种基于DNS的证书加强认证系统包括DNS‑CA认证组件;DNS‑CA认证组件为HTTPS服务器提供证书加强认证服务,DNS‑CA认证组件包含了DNS‑CA客户端组件和DNS‑CA服务端组件;所述DNS‑CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;所述DNS‑CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件。本发明用于DNS的证书加强认证领域。
Description
技术领域
本发明涉及基于DNS的证书加强认证系统及认证方法。
背景技术
随着互联网电子商务的快速应用和电子支付的蓬勃发展,越来越多的HTTP应用转移到HTTPS上,网站需要部署HTTPS协议实现安全可信的互联网应用,作为重要的互联网基础服务是公钥基础设施(PKI)公钥证书系统,一个典型的应用场景是WEB服务器和浏览器之间的安全通信:由一个可信的第三方CA为WEB服务器签发公钥证书,浏览器信任该CA(预置了CA的根证书列表,浏览器显示绿标),信任该CA所签发证书的真实性,包括密钥协商、数据加密等等,通过证书信息交互完成后续的安全通信。
当前基于可信第三方的信任模型和安全通信协议TLS已经成为当前互联网安全通信的基础方式。然而,这种信任模型和应用场景在当下的具体使用过程中仍然存在安全问题。最初的公钥证书和证书的持有者是一一对应的,然而随着技术的发展,一个组织存在多个HTTPS网站应用,为了使用方便或者说应用快捷部署,而在同一个组织内的不同的个体部署HTTPS应该是一种非常常见的应用场景,在此场景下,为组织-子机构-成员之间提供共享证书是一种必然的选择。最常见的场景是内容分发网络(CDN)的场景,两个毫无关联的网站因为使用了签发的同一个CDN厂商的服务而共享同一个公钥证书。另外还有一种场景出现在同一组织内,集团公司和子公司之间的证书共享,子公司和子公司之间共享证书,或者收购公司之间临时共享证书等。当下很多的公有云证书提供了支持成员间共享的增强证书,多个网站共享一个证书的情况已经比比皆是。但是由于Web网站的HTTPS部署比较复杂而且技术仍在进一步发展,共享证书的多个网站之间难免会出现配置故障或者策略不一致的现象。但这种在成员间共享证书的场景实际是有很大风险的,一旦对共享证书组织中最薄弱的成员环节进行攻击获取了权限,就能够进行劫持证书操作,进而会直接影响到其他成员的安全性,这一证书共享的安全短板效应是证书大规模安全应用的一大阻碍。
根据最新国际顶级安全会议相关研究论文表明,当前在共享证书的应用场景下,利用共享证书之间网站的安全脆弱性进行中间人攻击已经存在,该攻击利用了客户端对证书的信任关系,通过攻击配置较为脆弱的网站服务器,仿冒身份从而绕过证书信任体系的方式,实现了对加密HTTPS保护下的用户和口令窃取、传输的网页内容的修改等攻击。这种中间人攻击本质上还是利用了证书共享中客户端对证书的信任关系,虽然部署证书应用的服务器安全配置等级很高没有被攻击,但是攻击者可以通过攻击与其共享同一个证书的配置相对薄弱的服务器,在获取了薄弱服务器的权限后,通过利用HTTPS协议一系列操作,把自己伪装成为那个高配置的服务器,从而实现了中间人攻击劫持,通常可以将HTTPS降级为明文传输的HTTP,从而实现传输内容的监听和篡改。根据最新的研究表明,通过对热门的网站的HTTPS配置信息进行了大范围的测量和分析,世界排名前100的网站及其子网站,63%的存在可被攻击的风险,包括京东JD、阿里和微软MS和搜狐等HTTPS证书共享均存在类似的缺陷。
发明内容
本发明的目的是为了解决现有HTTPS协议存在可被攻击的风险的问题,而提出一种基于DNS的证书加强认证系统及认证方法。
一种基于DNS的证书加强认证系统包括DNS-CA认证组件;
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务,DNS-CA认证组件包含了DNS-CA客户端组件和DNS-CA服务端组件;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为执行认证信息功能的客户端;
所述DNS-CA服务端组件为执行认证信息功能的服务端;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件。
优选地,所述认证信息发布组件包括信任列表单元、信任解释单元和信任委托单元。
优选地,所述DNS-CA服务端组件配置一个DNS服务器,用于配置认证信息;
所述DNS-CA客户端组件通过与DNS服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP址,返回DNS-CA服务端组件地址。
优选地,所述DNS-CA客户端组件向信任列表单元发起一条HTTPS证书所包含的域名信息认证查询请求,信任列表单元返回认证结果,如果信任列表中包括了该域名信息,则返回认证正确的结果,如果不包含该域名信息,则返回认证不通过结果;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起HTTPS应用访问请求,完成HTTPS访问。
优选地,所述DNS-CA客户端组件根据需要向信任解释单元发起一条HTTPS证书相关的认证实体信息查询请求,信任解释单元返回对应登记的实体信息;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起HTTPS应用访问请求,完成HTTPS访问。
优选地,所述信任委托单元的具体执行过程为:
当待认证的子域名系统存在委托关系,所述DNS-CA客户端组件根据需要向信任委托单元发起一条上级域名委托信息认证查询请求,信任委托单元根据对应登记的委托关系返回查询结果,如果上级域名托管关系存在,则返回认证正确的结果,如果不存在,则返回认证不通过结果;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起HTTPS应用访问请求,完成HTTPS访问。
优选地,所述信任列表单元通过DNSA记录发布域名信息列表,提供对HTTPS证书的信任域名成员资格的声明验证,A记录域名信息列表中包括的子域名就是授权认可的,域名信息列表所包含的子域名信息可以同时预置在签发的HTTPS证书中,便于电脑的浏览器读取配置,浏览器端提示是合法证书信息,也可以不预置,由DNS-CA认证组件来完整验证;
所述信任解释单元利用当前支持DNSSEC的DNS服务器向不同子域发布信任数据,充分利用DNS协议的TXT发布证书公钥信息数据;
所述信任委托单元利用当前支持DNSSEC的DNS服务器向不同子域分别发布多个委托,是一种信任关系的转移传递,利用DNS协议的CNAME别名记录来做信任关系转移,向不同子域分别发布多个委托,通过委托来实现信任关系的转移传递。
优选地,所述DNS-CA服务端组件具体为:
当存在多级子域名认证需求时,DNS-CA服务端组件向级联的DNS-CA服务端组件发起查询请求,首先从最低一级的域名发起,通过逐级迭代查询,最终根据最后一级的信任列表来验证认证子域名的合法性。
优选地,所述认证信息管理组件通过与DNS服务器互动,通过添加、删除和更新DNS-CA服务端组件记录信息,同时负责登记管理DNS-CA服务端组件中三个组件的信息,完成认证和信任关系的更新和维护工作。
一种基于DNS的证书加强认证方法具体过程为:
步骤S101:WEB应用服务提供商为HTTPS建立一个DNS-CA认证组件;执行步骤S102;
所述DNS-CA认证组件上安装DNS协议软件并配置部署DNS-CA服务端组件和DNS-CA客户端组件;
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为认证信息执行客户端组件;
所述DNS-CA服务端组件为认证信息执行服务端组件;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件;
所述HTTPS为安全超文本传输协议;
所述DNS协议为域名解析协议;
步骤S102:DNS-CA服务端组件通过在WEB应用服务提供商自己的DNS服务器上添加用于DNS-CA服务端组件的IP地址信息,同时DNS-CA服务端组件通过利用DNS协议解析的A记录、TXT记录和CNAME记录分别配置实现信任列表单元、信息解释单元和信任委托单元,用于发布认证信息,并执行相应的增加、删除和变更证书信息管理任务;执行步骤S103;
步骤S103:用户在访问HTTPS应用之前,认证信息执行客户端组件通过与DNS服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP址,获得DNS-CA服务端组件的地址;执行步骤S104;
步骤S104:HTTPS客户端对服务提供商提供的某站点域名信息domain.cn证书信息的有效性进行验证,过程为:
首先通过DNS-CA客户端组件向DNS-CA服务端组件发起域名身份查询请求,基于DNS-CA服务端组件发布的DNS记录查询结果对域名的授权信息进行验证,验证通过表示域名信息domain.cn证书信息完全有效,执行步骤S105;
步骤S105:DNS-CA服务端组件向HTTPS客户端DNS-CA客户端组件返回密钥证书信息,HTTPS客户端浏览器向对应的域名应用服务器建立HTTPS安全连接,发起正常的应用访问。
本发明的有益效果为:
基于DNS的证书加强认证方案DNS-CA非常适合于云服务提供商向客户提供多用户认证支持的云主机+建站+云解析+云证书的云认证服务场景。在当前市场环境中许多云服务提供商已经提供了云主机、资源池和证书业务,可以使用该方法自建一套加强的证书验证认证体系,配合DNS基础设施来提供增强证书认证服务,非常适用于有多组织的用户差异化认证需求场景。通过部署该方案提升了认证自主能力,此外还能在此架构基础上拓展更多新的功能,满足用户在共享证书特定条件下提供差异认证的需求,比当前现有的增强型多域名证书方案更加安全和灵活,还可以叠加上云解析和域名注册业务,为用户提供一站式的HTTPS应用建站服务,降低了现有HTTPS协议存在的被攻击的风险。
本发明一种基于DNS的证书加强认证方法和处理装置DNS-CA,利用互联网基础设施DNS来发布认证信息,对HTTPS证书信息进行加强认证,是一种灵活、简便和安全的认证方式,任意一个机构可以用这个方法发布他们的证书信息并进行加强认证操作,完成认证过程验证网站的信任关系,通过这个方法构建了一个简便快捷易用的轻量级认证框架体系,具有很好的灵活性和安全性,非常有利于推广HTTPS证书规模推广部署应用。
附图说明
图1为DNS-CA证书加强认证装置示意图;
图2为DNS-CA-服务器结构示意图;
图3为装置实施实例流程图。
具体实施方式
具体实施方式一:本实施方式一种基于DNS的证书加强认证系统包括DNS-CA认证组件,DNS-CA认证组件为常规的HTTPS服务器提供证书加强认证服务:
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务,DNS-CA认证组件包含了DNS-CA客户端组件和DNS-CA服务端组件;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为执行认证信息功能的客户端;
所述DNS-CA服务端组件为执行认证信息功能的服务端;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件。
具体实施方式二:本实施方式与具体实施方式一不同的是,所述认证信息发布组件包括信任列表单元、信任解释单元和信任委托单元。
其它步骤及参数与具体实施方式一相同。
具体实施方式三:本实施方式与具体实施方式一或二不同的是,所述DNS-CA服务端组件配置一个DNS服务器,用于配置认证信息;
所述DNS-CA客户端组件通过与DNS权威服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP址,返回查询结果DNS-CA服务端组件地址。
其它步骤及参数与具体实施方式一或二相同。
具体实施方式四:本实施方式与具体实施方式一至三之一不同的是,所述DNS-CA客户端组件向信任列表单元发起一条HTTPS证书所包含的域名信息认证查询请求,信任列表单元返回认证结果,如果信任列表中包括了该域名信息,则返回认证正确的结果,如果不包含该域名信息,则返回认证不通过结果;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起正常的HTTPS应用访问请求,完成HTTPS访问。
其它步骤及参数与具体实施方式一至三之一相同。
具体实施方式五:本实施方式与具体实施方式一至四之一不同的是,所述DNS-CA客户端组件根据需要向信任解释单元发起一条必要的HTTPS证书相关的认证实体信息查询请求,信任解释单元返回对应登记的实体信息,比如返回公钥信息等;该查询流程不是必须的;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起正常的HTTPS应用访问请求,完成HTTPS访问。
其它步骤及参数与具体实施方式一至四之一相同。
具体实施方式六:本实施方式与具体实施方式一至五之一不同的是,所述信任委托单元的具体执行过程为:
当待认证的子域名系统存在委托关系,所述DNS-CA客户端组件根据需要向信任委托单元发起一条必要的上级域名委托信息认证查询请求,信任委托单元根据对应登记的委托关系返回查询结果,如果上级域名托管关系存在,则返回认证正确的结果,如果不存在,则返回认证不通过结果;该查询流程不是必须的;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPSWEB应用服务器发起正常的HTTPS应用访问请求,完成HTTPS访问。
其它步骤及参数与具体实施方式一至五之一相同。
具体实施方式七:本实施方式与具体实施方式一至六之一不同的是,
所述认证信息发布组件与网站权威DNS服务器进行交互,充分利用现有的权威DNS服务器来进行辅助认证,根据证书的授权关系向网站权威DNS服务器添加对应的DNS记录信息,按照不同的功能可以分为了信任列表单元、信任解释单元和信任委托单元,如图2所示,下面介绍一下几个单元的原理和作用;
所述信任列表单元通过DNSA记录发布域名信息列表,提供对HTTPS证书的信任域名成员资格的声明验证,A记录域名信息列表中包括的子域名就是授权认可的,域名信息列表所包含的子域名信息可以同时预置在签发的HTTPS证书中,便于电脑的浏览器读取配置,浏览器端提示是合法证书信息,也可以不预置,由DNS-CA组件来完整验证;
证书是一个完整的信息,包含了域名、日期、签发机构、密钥等等;信任列表只是一个登记的子域名信息列表。
作用举例说明,例如:某组织的域名company.com.cn,使用某个固定证书,组织部署有权威DNS(ns.company.com.cn),组织有很多下属成员,某成员ZXY属于可以信任成员需要建立信任关系,就由信任发布组件在权威DNS服务器上增加一条解析记录(zxy.ca.company.com.cn,通常也可以专门为认证单独再部署次一级的DNS服务,用这个DNS发布一条下一级的解析A记录),相当于发布了信任列表,客户端CAV在对ZXY进行身份验证的时候,发起一条DNS的A记录查询请求,能查到信息说明可以信任,查不到说明不能信任。当实际应用中可能还会部署多层的DNS,利用多个DNS解析记录发布信任信息,以适应更复杂的信任发布要求;
所述信任解释单元利用当前支持DNSSEC的DNS服务器向不同子域发布信任数据,充分利用DNS协议的TXT发布证书公钥信息数据及其他证书附加信息及信任转化列表,信任转换列表来自其他信任子域的上级哪些授权是受信任的;
信任解释组件的作用举例说明,例如:同样,某成员ZXY属于可以信任成员需要建立信任关系,就由TSPA权威DNS增加一条解析记录(zxy.ca.company.com.cn,),同时可以利用DNSTXT发布ZXY的公钥信息,客户端ATV在对ZXY进行身份验证的时候,如果需要查阅ZXY的公钥,就可以发起一条DNSTXT记录查询请求,获取公钥对ZXY的其他信任信息就行。此外由于DNSTXT可以存放相对丰富的文本信息,根据实际需要还能利用TXT做其他一些应用;
所述信任委托单元利用当前支持DNSSEC的DNS服务器向不同子域分别发布多个委托,是一种信任关系的转移传递,利用DNS协议的CNAME别名记录来做信任关系转移,向不同子域分别发布多个委托,通过委托来实现信任关系的转移传递;
信任委托组件的作用举例说明,例如:同样,某成员ZXY原来属于组织company2,现在company2被company收购了,诸多成员关系转移到company旗下,对于如此多的信任成员委托或者转移,按照常规的做法需要重新建立信任关系,但通过信任委托组件可以很方便的实现信任的委托,由组件向company权威DNS增加一条DNSCNAME别名解析记录(company2.com.cn,),这样就相当于company信任company2旗下所有成员,因为DNS CNAME别名记录可以有很多条,因此可以实现多层信任委托关系,这个与前文提到的同一个证书给不同的别名域名形态类似,该方法大大提升了认证的灵活性。
其它步骤及参数与具体实施方式一至六之一相同。
具体实施方式八:本实施方式与具体实施方式一至七之一不同的是,所述认证信息执行服务端组件具体为:
当存在复杂的多级子域名认证需求时,需要部署多级级联的DNS-CA组件服务端来适应这种新情况,正好DNS协议的树形结构能很好的满足上述需求,在具体执行过程中,认证信息执行服务端组件向级联的DNS-CA服务端组件发起查询请求,首先从最低一级的域名发起,通过多次逐级迭代查询,最终根据最后一级的信任列表来验证认证子域名的合法性。按照常规的树形域名命名规则来配置分级DNS解析记录,并按照分级树形域名配置对应的DNS-CA认证信息,实现了对各子域名的CA的灵活授权认证,满足各种大型应用中复杂的域名认证需求。该方法需要服务提供商在自己的权威DNS服务器已经成功部署了DNSSEC,确保整个DNS基础信息和整个认证过程是完全安全可靠的;
图3显示认证信息执行客户端组件向信任列表单元发起域名信息认证查询请求,信任列表单元返回认证结果,当有复杂的多级子域名认证需求的时候,需要部署多级的DNS-CA。
其它步骤及参数与具体实施方式一至七之一相同。
具体实施方式九:本实施方式与具体实施方式一至八之一不同的是,所述认证信息管理组件通过与DNS权威服务器互动,通过添加、删除和更新DNS-CA服务端组件记录信息,同时负责登记管理DNS-CA服务端组件中三个组件的信息,完成认证和信任关系的更新和维护工作。
DNS-CA认证服务器认证方案需要服务提供商在自己的权威DNS服务器已经成功部署了DNSSEC,确保整个DNS基础信息安全可靠的,整个认证过程是完全安全可靠的。
其它步骤及参数与具体实施方式一至八之一相同。
具体实施方式十:本实施方式一种基于DNS的证书加强认证方法具体过程为:
鉴于上述HTTPS证书复用存在诸多安全问题,本发明充分利用现有的部署完善的DNS基础设施框架,给出了一种灵活简便安全的认证方法和处理装置DNS-CA,任意一个认证机构可以用这个方法发布他们的认证信息,发现和验证信任成员身份,构建一个相对简便和快捷的轻量级认证体系,非常适合于多用户安全共享数字证书的场景。
DNS-CA很好利用了当前已经成熟应用的DNS基础设施,充分利用DNS全球唯一的信任根树形结构和天然优良信任特性,发布信任方案的组织通过重用权威DNS服务器,方便快捷的部署一套加强认证的基础设施,此外重用简单易用的DNS协议大大降低了用户应用的门槛,具有广泛部署和易于使用等特点。
本发明阐述了一种灵活简便安全的认证体系,充分利用现有的部署完善的DNS基础设施框架,构建一个相对简便和快捷的证书加强认证体系。
下面结合附图和实施例对本发明作进一步的描述。针对基于DNS的多用户认证方法和装置的第一实施用例,图3示出了本发明的第一实施例的流程。本实施例的方法的详细步骤如下详述。
步骤S101:WEB应用服务提供商为HTTPS建立一个DNS-CA认证组件;执行步骤S102;
所述DNS-CA认证组件上安装DNS协议软件并配置部署DNS-CA服务端组件和DNS-CA客户端组件;
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为执行认证信息功能的客户端;
所述DNS-CA服务端组件为执行认证信息功能的服务端;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件。
所述HTTPS为安全超文本传输协议;
所述DNS协议为域名解析协议;
步骤S102:DNS-CA服务端组件通过在WEB应用服务提供商自己的权威DNS服务器上添加用于DNS-CA服务端组件的IP地址信息,同时DNS-CA服务端组件通过利用DNS协议解析的A记录、TXT记录和CNAME记录分别配置实现信任列表单元、信息解释单元和信任委托单元,用于发布认证信息,并执行相应的增加、删除和变更等证书信息管理任务;执行步骤S103;
步骤S103:用户在访问HTTPS应用之前,DNS-CA客户端组件通过与DNS权威服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP址,获得DNS-CA服务端组件的地址;执行步骤S104;
步骤S104:HTTPS客户端对服务提供商提供的某站点域名信息domain.cn证书信息的有效性进行验证,过程为:
首先通过DNS-CA客户端组件向DNS-CA服务端组件发起域名身份查询请求,基于DNS-CA服务端组件发布的DNS记录查询结果对域名的授权信息进行验证,验证通过表示域名信息domain.cn证书信息完全有效,执行步骤S105;
步骤S105:DNS-CA服务端组件向HTTPS客户端DNS-CA客户端组件返回密钥等证书信息,HTTPS客户端浏览器向对应的域名应用服务器建立HTTPS安全连接,发起正常的应用访问。
本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,本领域技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (2)
1.一种基于DNS的证书加强认证系统,其特征在于:所述系统包括DNS-CA认证组件;
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务,DNS-CA认证组件包含了DNS-CA客户端组件和DNS-CA服务端组件;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为执行认证信息功能的客户端;
所述DNS-CA服务端组件为执行认证信息功能的服务端;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件;
所述认证信息发布组件包括信任列表单元、信任解释单元和信任委托单元;
所述DNS-CA服务端组件配置一个DNS服务器,配置必要的DNS认证解析记录信息,专门用于加强认证使用;
所述DNS-CA客户端组件通过与DNS服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP地址,返回DNS- CA服务端组件地址;
所述DNS-CA客户端组件向信任列表单元发起一条HTTPS证书所包含的域名信息认证查询请求,信任列表单元返回认证结果,如果信任列表中包括了该域名信息,则返回认证正确的结果,如果不包含该域名信息,则返回认证不通过结果;
所述DNS-CA客户端组件根据需要向信任解释单元发起一条HTTPS证书相关的认证实体信息查询请求,信任解释单元返回对应登记的实体信息;
认证通过后,所述嵌入到用户浏览器的DNS-CA客户端组件可再向HTTPS WEB应用服务器发起HTTPS应用访问请求,完成HTTPS访问;
所述信任委托单元的具体执行过程为:
当待认证的子域名系统存在委托关系,所述DNS-CA客户端组件根据需要向信任委托单元发起一条上级域名委托信息认证查询请求,信任委托单元根据对应登记的委托关系返回查询结果,如果上级域名托管关系存在,则返回认证正确的结果,如果不存在,则返回认证不通过结果;
所述信任列表单元通过DNS A记录发布域名信息列表,提供对HTTPS证书的信任域名成员资格的声明验证,A记录域名信息列表中包括的子域名是授权认可的,域名信息列表所包含的子域名信息可以同时预置在签发的HTTPS证书中,便于电脑的浏览器读取配置,浏览器提示是合法证书信息,也可以不预置,由DNS-CA认证组件来完整验证;
所述信任解释单元利用当前支持DNSSEC的DNS服务器向不同子域发布信任数据,充分利用DNS协议的 TXT记录发布证书公钥信息数据;
所述信任委托单元利用当前支持DNSSEC的DNS服务器向不同子域分别发布多个信任委托,是一种信任关系的转移传递,充分利用DNS协议的CNAME别名记录来做信任关系委托转移,向不同子域分别发布不同的委托,通过委托来实现信任关系的转移传递;
所述认证信息执行服务端组件具体为:
当存在多级子域名认证需求时,认证信息执行服务端组件向级联的DNS-CA服务端组件发起查询请求,首先从最低一级的域名发起,通过逐级迭代查询,最终根据最后一级的信任列表来验证认证子域名的合法性;
所述认证信息管理组件通过与DNS服务器互动,通过添加、删除和更新DNS-CA服务端组件记录信息,同时负责登记管理DNS-CA服务端组件中三个组件的信息,完成认证和信任关系的更新和维护工作。
2.基于权利要求1所述一种基于DNS的证书加强认证系统的认证方法,其特征在于:所述方法具体过程为:
步骤S101:WEB应用服务提供商为HTTPS建立一个DNS-CA认证组件;执行步骤S102;
所述DNS-CA认证组件上安装DNS协议软件并配置部署DNS-CA服务端组件和DNS-CA客户端组件;
DNS-CA认证组件为HTTPS服务器提供证书加强认证服务;
所述DNS-CA认证组件为认证信息执行组件;
所述DNS-CA客户端组件为执行认证信息功能的客户端;
所述DNS-CA服务端组件为执行认证信息功能的服务端;
所述DNS-CA客户端组件嵌入到用户浏览器,通过查询服务端信息来验证信任关系;
所述DNS-CA服务端组件包括认证信息发布组件、认证信息执行服务端组件、认证信息管理组件;
所述HTTPS为安全超文本传输协议;
所述DNS协议为域名解析协议;
步骤S102:DNS-CA服务端组件通过在WEB应用服务提供商自己的DNS服务器上添加用于DNS-CA服务端组件的IP地址信息,同时DNS-CA服务端组件通过利用DNS协议解析的A记录、TXT记录和CNAME记录分别配置实现信任列表单元、信息解释单元和信任委托单元,用于发布认证信息,并执行相应的增加、删除和变更证书信息管理任务;执行步骤S103;
步骤S103:用户在访问HTTPS应用之前,DNS-CA客户端组件通过与DNS服务器互动,利用DNS服务器查询DNS-CA服务端组件的IP地址,获得DNS-CA服务端组件的地址;执行步骤S104;
步骤S104:HTTPS客户端对服务提供商提供的某站点域名信息domain.cn证书信息的有效性进行验证,过程为:
首先通过DNS-CA客户端组件向DNS-CA服务端组件发起域名信息认证查询请求,基于DNS-CA服务端组件发布的DNS记录查询结果对域名的授权信息进行验证,验证通过表示域名信息domain.cn证书完全有效,执行步骤S105;
步骤S105:DNS-CA服务端组件向HTTPS客户端DNS-CA客户端组件返回密钥证书信息,HTTPS客户端浏览器向对应的域名应用服务器建立HTTPS安全连接,发起正常的应用访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210060154.4A CN114401143B (zh) | 2022-01-19 | 2022-01-19 | 一种基于dns的证书加强认证系统及认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210060154.4A CN114401143B (zh) | 2022-01-19 | 2022-01-19 | 一种基于dns的证书加强认证系统及认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114401143A CN114401143A (zh) | 2022-04-26 |
CN114401143B true CN114401143B (zh) | 2023-03-21 |
Family
ID=81230490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210060154.4A Active CN114401143B (zh) | 2022-01-19 | 2022-01-19 | 一种基于dns的证书加强认证系统及认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114401143B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078877B (zh) * | 2013-01-31 | 2015-09-16 | 中国科学院计算机网络信息中心 | 基于dns的用户认证和域名访问控制方法及系统 |
CN105357212A (zh) * | 2015-11-23 | 2016-02-24 | 北京天地互连信息技术有限公司 | 一种保证安全和隐私的dns端到端解析方法 |
CN107306251B (zh) * | 2016-04-20 | 2020-03-17 | 中国移动通信有限公司研究院 | 一种信息认证方法及网关设备 |
CN108809892A (zh) * | 2017-04-27 | 2018-11-13 | 贵州白山云科技有限公司 | 一种ip白名单生成方法和装置 |
CN109818946B (zh) * | 2019-01-11 | 2022-07-26 | 网宿科技股份有限公司 | Ca证书申请和部署的方法和系统 |
-
2022
- 2022-01-19 CN CN202210060154.4A patent/CN114401143B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114401143A (zh) | 2022-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240129290A1 (en) | Authenticated name resolution | |
CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
EP2842258B1 (en) | Multi-factor certificate authority | |
CN112425139B (zh) | 用于解析域名的设备和方法 | |
WO2017036003A1 (zh) | 一种可信网络身份管理和验证系统和方法 | |
AU2010241810B2 (en) | User-based authentication for realtime communications | |
CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
US20110289575A1 (en) | Directory authentication method for policy driven web filtering | |
CN103051643A (zh) | 云计算环境下虚拟主机安全连接动态建立方法与系统 | |
CN109274579A (zh) | 一种基于微信平台的多应用用户统一认证方法 | |
CN102075504B (zh) | 一种实现二层门户认证的方法、系统及门户服务器 | |
CN105577667A (zh) | 多帐号一键登录及认证机制 | |
CN114401143B (zh) | 一种基于dns的证书加强认证系统及认证方法 | |
CN115622817B (zh) | 网络标识的处理系统及方法 | |
WO2013150543A2 (en) | Precomputed high-performance rule engine for very fast processing from complex access rules | |
Banday | Recent Developments in the Domain Name System | |
CN103118025A (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
CN106330894B (zh) | 基于本地链路地址的savi代理认证系统及方法 | |
WO2011131002A1 (zh) | 身份管理方法及系统 | |
CN113572844A (zh) | 一种工业互联网标识解析方法 | |
CN103491073A (zh) | 在c/s网络架构下基于tlsa协议的安全通信方法 | |
Jin et al. | A client based dnssec validation system with adaptive alert mechanism considering minimal client timeout | |
Contributors | Relevant DNSSEC Concepts and Basic Building Blocks | |
CN118157864A (zh) | 授权名单产生的系统及其方法 | |
Andreeva | DNSSEC key management and exchange |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |