CN114826654A - 一种基于域名系统命名的客户端认证方法及系统 - Google Patents
一种基于域名系统命名的客户端认证方法及系统 Download PDFInfo
- Publication number
- CN114826654A CN114826654A CN202210237695.XA CN202210237695A CN114826654A CN 114826654 A CN114826654 A CN 114826654A CN 202210237695 A CN202210237695 A CN 202210237695A CN 114826654 A CN114826654 A CN 114826654A
- Authority
- CN
- China
- Prior art keywords
- client
- identity
- authentication
- authenticated
- information record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于域名系统命名的客户端认证方法及装置,其中的客户端认证方法包括:获取待认证客户端的身份标识码信息;根据身份标识码信息,获取域名系统中预先定义的身份验证信息记录;根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录进行验证;若身份验证信息记录验证通过,则根据身份验证信息记录,对待认证客户端提供的防伪信息进行校验;若校验成功,则待认证客户端的身份认证通过。该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷,实现了网络中客户端设备的身份认证。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于域名系统命名的客户端认证方法及系统。
背景技术
域名系统(Domain Name System,简称DNS)服务是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网。根据2018年赛门铁克(Symantec)威胁报告,针对物联网攻击的数量在2016年和2017年之间增加了600%。因此,当物联网设备在网络中实施部署时,需要更多地关注安全性。
为了解决安全性问题,一方面,必须使用强大而高效的加密解决方案来标准化机器之间的安全通信。另一方面,身份验证也有助于防止攻击者声称自己是物联网设备,以访问服务器上记录的对话、图像和其他潜在的敏感信息等数据。在选择身份验证模型时需要考虑多个因素,例如资源、硬件容量、财务预算、安全专业知识、安全要求和连接性。
现有网络中的交互方式主要包括客户端服务器模式,点对点模式以及一些解耦和的通信场景。在一些应用中,网络或者设备本身可能受到更多限制,在消息有效负载中包含证书可能会在受限网络链接上带来不必要的开销。此外,由于成本等各方面因素,网络中部分客户端设备可能未申请CA(Certification Authority)证书。
DANE协议依托于DNSSEC(Domain Name System Security Extensions,简称安全扩展)机制对身份认证过程中使用的证书及CA机构等进行了一定的限制,但是二级及以下权威域名一直是业界期望整体实现DNSSEC功能、消除安全孤岛的工作难点所在,其部署情况仍然非常滞后,且进展缓慢。
由于DANE协议要基于DNSSEC进行可信认证,其发展受到DNSSEC部署的限制,并且目前DANE协议的应用主要针对服务器端,不支持网络中设备等客户端侧的身份认证。
因此,如何解决现有技术中不支持网络中设备客户端侧的身份认证问题,是网络通信技术领域亟待解决的重要课题。
发明内容
本发明提供一种基于域名系统命名的客户端认证方法及装置,用以解决现有技术中不支持网络中设备客户端侧的身份认证的缺陷,实现网络中客户端设备的身份认证。
第一方面,本发明提供一种基于域名系统命名的客户端认证方法,包括:获取待认证客户端的身份标识码信息;根据所述身份标识码信息,获取所述域名系统中预先定义的身份验证信息记录;根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;根据所述身份验证信息记录和所述目标认证平台的公钥,对所述身份验证信息记录进行验证;若所述身份验证信息记录验证通过,则根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验;若校验成功,则所述待认证客户端的身份认证通过。
进一步地,所述预先定义的身份验证信息记录包括:待认证客户端身份数据、所述待认证客户端身份数据使用的摘要算法、所述待认证客户端身份数据的储存长度以及校验信息。
进一步地,所述根据所述身份验证信息记录和所述目标认证平台的公钥,对所述身份验证信息记录进行验证,包括:通过所述目标认证平台的公钥,对所述校验信息进行解密,获取待校验数据;采用与所述待认证客户端身份数据使用的摘要算法相同的算法对所述待校验数据进行运算,得到目标校验数据;比较所述目标校验数据与所述待认证客户端身份数据的内容;若所述目标校验数据与所述待认证客户端身份数据的内容一致,则确定所述身份验证信息记录的验证通过。
进一步地,所述根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥,包括:通过管理平台数据库获取认证平台与其相对应的公钥信息的映射关系表;基于所述映射关系表,根据所述认证平台标识码获取所述目标认证平台的公钥。
进一步地,所述根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验,包括:通过所述身份验证信息记录,得到所述待认证客户端的原始公钥;根据所述待认证客户端的原始公钥,对所述防伪信息进行校验;其中,所述防伪信息为所述待认证客户端利用自身私钥进行签名的数据。
进一步地,所述客户端认证方法还包括:根据域名持有方发起的更新请求,更新所述身份验证信息记录的内容。
第二方面,本发明还提供一种基于域名系统命名的客户端认证装置,包括:第一信息获取模块,用于获取待认证客户端的身份标识码信息;第二信息获取模块,用于根据所述身份标识码信息中的目标域名,获取所述域名系统中预先定义的身份验证信息记录;认证公钥获取模块,用于根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;身份认证模块,用于根据所述身份验证信息记录和所述目标认证平台的公钥,对所述待认证客户端进行身份认证;防伪校验模块,用于根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验;若校验成功,则所述待认证客户端的身份认证通过。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
本发明提供的基于域名系统命名的客户端认证方法,通过获取待认证客户端的身份标识码信息,根据该身份标识码信息获取域名系统中预先定义的身份验证信息记录,并根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥,从而,根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录的真实性进行验证,若身份验证信息记录验证通过,则利用待认证客户端的防伪信息进行校验,完成待认证客户端的身份认证,该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷,实现了网络中客户端设备的身份认证。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于域名系统命名的客户端认证方法的主体交互图;
图2为本发明提供的基于域名系统命名的客户端认证方法的流程示意图;
图3为本发明提供的身份验证信息记录的结构示意图;
图4为本发明提供的基于域名系统命名的客户端认证装置的结构示意图;
图5为本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明所提供的基于域名系统命名的客户端认证方法的主体交互图。如图1所示,本发明涉及主体包括目标认证平台、管理平台、域名系统、验证方以及待认证客户端,其中,待认证客户端向目标认证平台申请身份校验信息,目标认证平台反馈给待认证客户端相应的数字签名,即身份校验信息;待认证客户端进行身份注册,以获取身份标识码中的身份ID信息并确定组织域名;域名系统包括资源记录,待认证客户端根据身份校验信息及其他相关信息对资源记录进行设置,形成身份验证信息记录,当验证方需要身份验证信息记录时,可根据身份标识码信息,从域名系统中获取;管理平台对目标认证平台进行管理,并且存储有目标认证平台与其公钥的映射关系,当验证方需要获取目标认证平台的公钥时,可根据目标认证平台的认证平台标识码从管理平台处获取;验证方根据身份验证信息记录和目标认证平台的公钥对待认证客户端的身份进行认证。
图2示出了本发明所提供的基于域名系统命名的客户端认证方法的流程示意图。如图2所示,该客户端认证方法包括:
S201,获取待认证客户端的身份标识码信息。
在本步骤中,待认证客户端包括平板、电脑、手机、电子手表等智能设备,其可以是web客户端、游戏客户端或移动客户端,也可以是DNS客户端。其中,当待认证客户端为DNS客户端时,用户会使用域名而不是IP地址访问网络资源,系统会对需要访问的域名进行解析,以找到和域名相对应的IP地址。身份标识码信息包括认证平台标识码、待认证客户端的身份ID、待认证客户端的类型以及待认证客户端的组织域名信息。
其中,认证平台标识码是用于唯一标识认证平台身份的信息,采用限定长度的字符编码表示,如ora表示认证平台A的标识码;待认证客户端的身份ID是待认证客户端在完成注册之后,由管理平台或待认证客户端所属组织机构分配的一个唯一身份ID码,用于唯一标识待认证客户端的身份信息,采用限定长度的字符串表示,具体编码格式可由组织域名持有者自行确定,例如内部序列号+系列编码;待认证客户端的类型,例如medical-dev;待认证客户端的组织域名信息可以是该客户端所属组织的域名信息,如bcompany.com,也可以是管理平台提供的域名信息
可以理解的是,在进行身份认证之前,待认证客户端需要先进行注册,注册的过程中可选择使用自己所属组织机构的域名或管理平台提供的域名作为组织域名,若选择管理平台提供的域名,由管理平台为待认证客户端分配身份ID,否则待认证客户端身份ID由其所属组织机构进行分配。其中,管理平台是指国家或者行业的权威机构建立的可信的、具有权威性的平台,例如物联网行业管理委员会。在注册完成之后,待认证客户端获得对应的身份标识码信息,具体地,身份标识码信息的格式为:待认证客户端的身份ID._认证平台标识码._待认证客户端的类型.组织域名。
S202,根据身份标识码信息,获取域名系统中预先定义的身份验证信息记录。
域名系统(Domain Name System,简称DNS)服务是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网。身份验证信息记录是对于待认证客户端身份信息凭证的记录,身份验证信息记录可以包括待认证客户端的原始公钥,也可以包括待认证客户端的证书,在此不作具体限定。
在本步骤中,可以理解的是,在对待认证客户端进行身份认证之前,待认证客户端需要进行注册,在注册的过程中,待认证客户端可以使用自己所属组织机构的域名或管理平台提供的域名作为绑定自身身份验证信息记录的组织域名,当需要获取域名系统中预先定义的身份验证信息记录时,通过身份标识码信息与身份验证信息记录之间的绑定关系即可进行查询获取。
S203,根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥。
可以理解的是,只有具备认证资质的机构才能申请成为认证平台,并由管理平台对这些认证平台进行管理,在前述步骤获取身份标识码信息的基础上,身份标识码信息包括唯一识别目标认证平台的认证平台标识码,根据该认证平台标识码,即可获取目标认证平台的公钥,其中,目标认证平台为待认证客户端选定且与其进行交互的认证平台。
在一个具体的实施例中,管理平台数据库中存储着各个认证平台与其相对应的公钥信息的映射关系表,基于映射关系表,可根据认证平台标识码获取目标认证平台的公钥。具体地,根据认证平台标识码,即可获得对应的认证平台信息,从而实现从管理平台数据库中的映射关系表中获取与认证平台相对应的公钥信息。
需要说明的是,在认证平台的选择方面,某些网络服务可能会规定认证平台的选择范围,因此,待认证客户端应当根据后续与之交互的服务要求进行认证平台的选择。通过待认证客户端选定的认证平台为目标认证平台,待认证客户端与目标认证平台进行交互,通过申请,待认证客户端可从目标认证平台处获取相应的认证证书,以及目标认证平台利用自己的私钥对待认证客户端的公钥和证书进行签名后的信息。
S204,根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录进行验证。
可以理解的是,在上述步骤获取身份验证信息记录和目标认证平台的公钥的基础上,验证方根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录进行验证。需要注意的是,该步骤用以验证身份验证信息记录中数据的真实性,即身份验证信息记录中数据在进行传输的过程中没有被第三方篡改过,在身份验证信息记录通过验证后,对于持有身份验证信息记录的主体需要进一步校验确定。
S205,若身份验证信息记录验证通过,则根据身份验证信息记录,对待认证客户端提供的防伪信息进行校验;若校验成功,则待认证客户端的身份认证通过。
可以理解的是,步骤S204对身份验证信息记录进行验证且验证通过的基础上,待认证客户端还向验证方提供防伪信息,该防伪信息是待认证客户端利用自身的私钥进行签名的信息。验证方在接收到防伪信息后,利用待认证客户端的原始公钥对防伪信息进行解密校验,若原始公钥无法对防伪信息进行解密,则说明待认证客户端的身份认证未通过;反之,则说明待认证客户端的身份认证通过。
在本实施例中,通过获取待认证客户端的身份标识码信息,根据该身份标识码信息获取域名系统中预先定义的身份验证信息记录,并根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥,从而,根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录的真实性进行验证,若身份验证信息记录验证通过,则利用待认证客户端的防伪信息进行校验,完成待认证客户端的身份认证,该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷,实现了网络中客户端设备的身份认证。
在上述实施例的基础上,进一步地,预先定义的身份验证信息记录包括:待认证客户端身份数据、待认证客户端身份数据所使用的摘要算法、待认证客户端身份数据的储存长度以及校验信息。
可以理解的是,根据身份标识码信息,获取域名系统中预先定义的身份验证信息记录,其中,预先定义的身份验证信息记录包括待认证客户端身份数据、待认证客户端身份数据所使用的摘要算法、待认证客户端身份数据的存储长度以及校验信息。其中,待认证客户端身份数据可以为待认证客户端的证书或原始公钥,也可以为待认证客户端的证书或原始公钥经过不同的摘要算法所得到的摘要内容。
具体地,图3示出了本发明所提供的身份验证信息记录的结构示意图。如图3所示,预先定义的身份验证信息记录可以包括以下字段:
(1)Data Type字段:该字段占一个字节,表示Identity Data字段中存储的内容的形式,即Identity Data字段中存储的为目标认证平台授予待认证客户端的证书还是待认证客户端的原始公钥。取值为1表示目标认证平台授予待认证客户端的证书;取值为2表示待认证客户端的原始公钥。
(2)Hash Type字段:该字段占一个字节,表示Identity Data字段存储的内容所使用的摘要算法。取值为0表示Identity Data字段存储的内容为原始数据(目标认证平台授予待认证客户端的证书或待认证客户端的原始公钥);取值为1表示Identity Data字段存储的内容为采用SHA-256算法后的摘要内容;取值为2表示Identity Data字段存储的内容为采用SHA-512算法后的摘要信息。
其中,摘要算法是一种能产生特殊输出格式的算法,这种算法的特点是:无论用户输入多少长度的原始数据,经过计算后输出的密文都是固定长度的,这种算法的原理是根据一定的运算规则对原数据进行某种形式的提取,这种提取就是摘要,被摘要的数据内容与原数据有密切联系,只要原数据稍有改变,输出的“摘要”便完全不同。基于这种原理的算法便能对数据完整性提供较为健全的保障。
具体地,SHA-256算法和SHA-512算法是比较常见的两种摘要算法,对于任意长度的数据,经过SHA-256算法都会产生一个256bit长的哈希值,经过SHA-512算法都会产生一个512bit长的哈希值,这里的哈希值称作消息摘要。SHA-256算法和SHA-512算法除了输出数据的长度不同以外,在本质上是一样的。
(3)Length字段:该字段占二个字节,用以表示Identity Data字段存储的内容的长度,长度具体由原始数据及Hash Type字段中指定的哈希算法确定,
(4)Identity Data字段:该字段所占字节由原始数据以及Hash Type字段中指定的哈希算法确定,用于存储目标认证平台授予待认证客户端的证书或待认证客户端的原始公钥经Hash Type字段指定的算法计算后得到的结果。
(5)Verification Data字段:存储目标认证平台的私钥对待认证客户端的证书或原始公钥进行签名后的值,即为校验信息。
在本实施例中,定义了一种新的身份验证信息记录,即该身份验证信息记录包括待认证客户端身份数据、待认证客户端身份数据所使用的摘要算法、待认证客户端身份数据的存储长度以及校验信息,以便于验证方根据该身份验证信息记录与目标认证平台的公钥,对待认证客户端进行身份认证。
在上述实施例的基础上,进一步地,根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录进行验证,包括:通过目标认证平台的公钥,对校验信息进行解密,获取待校验数据;采用与客户端身份数据使用的摘要算法相同的算法对待校验数据进行运算,得到目标校验数据;比较目标校验数据与待认证客户端身份数据;若目标校验数据与待认证客户端身份数据的内容一致,则可以确定身份验证信息记录中数据的真实性,以及身份验证信息记录中数据在进行传输的过程中没有被第三方篡改过,对于身份验证信息记录的验证通过。
可以理解的是,通过管理平台数据库中存储的映射关系表,获取得到目标认证平台的公钥;根据身份验证信息记录,获取其中的校验信息。校验信息是目标认证平台的私钥对待认证客户端的证书或原始公钥进行签名后的值,只有目标认证平台的公钥能够解密。
首先,利用目标认证平台的公钥对校验信息进行解密,得到待校验数据,待校验数据包括待认证客户端的实际证书或实际原始公钥。
其次,获取身份验证信息记录中客户端身份数据所使用的摘要算法,采用同样的摘要算法对待校验数据中待认证客户端的实际证书或实际原始公钥进行运算,得到目标校验数据。
最后,比较目标校验数据与身份验证信息记录中待认证客户端身份数据的内容是否一致。若身份验证信息记录在传输过程中未经他人劫持或篡改,则目标校验数据与原始公钥或证书的内容应当是一致的,对于身份验证信息记录的验证通过,可执行后续防伪校验的步骤;反之,若身份验证信息记录在传输过程中经他人劫持或篡改,则目标校验数据与原始公钥或证书的内容必然不一致,身份验证信息记录的验证未通过,无需再执行后续步骤。
需要说明的是,身份验证信息记录中所存储的待认证客户端身份数据可能是原始数据,也可能是经过不同的摘要算法所得到的摘要内容,在这一实施例中,针对的是身份验证信息记录中待认证客户端身份数据经过相应的摘要算法运算的情况。
若身份验证信息记录中存储的待认证客户端身份数据为原始数据,即不经任何摘要算法计算的情况,此时只需利用目标认证平台的公钥对校验信息进行解密,得到待认证客户端的实际证书或实际原始公钥,将待认证客户端的实际证书或实际原始公钥与待认证客户端的证书或原始公钥进行比对,若二者内容一致,则说明身份验证信息记录在传输过程中未经他人劫持或篡改,身份验证信息记录的验证通过,反之,则说明身份验证信息记录的验证未通过。
在本实施例中,通过目标认证平台的公钥对校验信息进行解密,得到待校验数据,采用相应的摘要算法对待校验数据进行运算,得到目标校验数据,通过比较目标校验数据与待认证客户端身份数据的内容,确认身份验证信息记录中数据的真实性,并在此基础上利用防伪信息进行校验,完成待认证客户端的身份认证,该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷,实现了网络中客户端设备的身份认证,并且,由于经摘要算法运算得到的数据是不可逆的,可以保证待认证客户端的身份认证结果的准确性。
在上述实施例的基础上,进一步地,该客户端认证方法还包括:根据域名持有方发起的更新请求,更新身份验证信息记录的内容。
可以理解的是,当身份验证信息记录的内容发生变更时,域名持有方可以发起更新请求,存储域名区文件的服务器根据该更新请求,更新身份验证信息记录的内容。其中,域名持有方为待认证客户端或其所属组织机构。
在本实施例中,通过根据域名持有方发起的更新请求,可以对身份验证信息记录的内容进行更新,使得待认证客户端的身份认证过程中所依据的身份验证信息记录与实际信息得以同步,在实现待认证客户端的身份认证的基础上,进一步保证了待认证客户端身份认证的准确性。
图4示出了本发明所提供的基于域名系统命名的客户端认证装置的结构示意图。如图4所示,该客户端认证装置包括:第一信息获取模块401,用于获取待认证客户端的身份标识码信息;第二信息获取模块402,用于根据身份标识码信息中的目标域名,获取域名系统中预先定义的身份验证信息记录;认证公钥获取模块403,用于根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;身份认证模块404,用于根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录进行验证;防伪校验模块405,用于若身份验证信息记录验证通过,则根据身份验证信息记录,对待认证客户端提供的防伪信息进行校验;若校验成功,则待认证客户端的身份认证通过。
本发明所提供的基于域名系统命名的客户端认证装置与上文描述的基于域名系统命名的客户端认证方法可相互对应参照,在此不再赘述。
在本实施例中,通过第一信息获取模块401获取待认证客户端的身份标识码信息,第二信息获取模块402根据该身份标识码信息获取域名系统中预先定义的身份验证信息记录,认证公钥获取模块403根据身份标识码信息中的认证平台标识码,获取目标认证平台的公钥,从而,身份认证模块404根据身份验证信息记录和目标认证平台的公钥,对身份验证信息记录的真实性进行验证,若身份验证信息记录验证通过,防伪校验模块405则利用待认证客户端的防伪信息进行校验,完成待认证客户端的身份认证,该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷,实现了网络中客户端设备的身份认证。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行基于域名系统命名的客户端认证方法,该方法包括:获取待认证客户端的身份标识码信息;根据所述身份标识码信息,获取所述域名系统中预先定义的身份验证信息记录;根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;根据所述身份验证信息记录和所述目标认证平台的公钥,对所述待认证客户端进行身份认证。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的基于域名系统命名的客户端认证方法,该方法包括:获取待认证客户端的身份标识码信息;根据所述身份标识码信息,获取所述域名系统中预先定义的身份验证信息记录;根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;根据所述身份验证信息记录和所述目标认证平台的公钥,对所述待认证客户端进行身份认证。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于域名系统命名的客户端认证方法,该方法包括:获取待认证客户端的身份标识码信息;根据所述身份标识码信息,获取所述域名系统中预先定义的身份验证信息记录;根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;根据所述身份验证信息记录和所述目标认证平台的公钥,对所述待认证客户端进行身份认证。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于域名系统命名的客户端认证方法,其特征在于,包括:
获取待认证客户端的身份标识码信息;
根据所述身份标识码信息,获取所述域名系统中预先定义的身份验证信息记录;
根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;
根据所述身份验证信息记录和所述目标认证平台的公钥,对所述身份验证信息记录进行验证;
若所述身份验证信息记录验证通过,则根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验;
若校验成功,则所述待认证客户端的身份认证通过。
2.根据权利要求1所述的基于域名系统命名的客户端认证方法,其特征在于,所述预先定义的身份验证信息记录包括:
待认证客户端身份数据、所述待认证客户端身份数据使用的摘要算法、所述待认证客户端身份数据的储存长度以及校验信息。
3.根据权利要求2所述的基于域名系统命名的客户端认证方法,其特征在于,所述根据所述身份验证信息记录和所述目标认证平台的公钥,对所述身份验证信息记录进行验证,包括:
通过所述目标认证平台的公钥,对所述校验信息进行解密,获取待校验数据;
采用与所述待认证客户端身份数据使用的摘要算法相同的算法对所述待校验数据进行运算,得到目标校验数据;
比较所述目标校验数据与所述待认证客户端身份数据的内容;
若所述目标校验数据与所述待认证客户端身份数据的内容一致,则确定所述身份验证信息记录的验证通过。
4.根据权利要求1所述的基于域名系统命名的客户端认证方法,其特征在于,所述根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥,包括:
通过管理平台数据库获取认证平台与其相对应的公钥信息的映射关系表;
基于所述映射关系表,根据所述认证平台标识码获取所述目标认证平台的公钥。
5.根据权利要求1所述的基于域名系统命名的客户端认证方法,其特征在于,所述根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验,包括:
通过所述身份验证信息记录,得到所述待认证客户端的原始公钥;
根据所述待认证客户端的原始公钥,对所述防伪信息进行校验;其中,所述防伪信息为所述待认证客户端利用自身私钥进行签名的数据。
6.根据权利要求1所述的基于域名系统命名的客户端认证方法,其特征在于,还包括:
根据域名持有方发起的更新请求,更新所述身份验证信息记录的内容。
7.一种基于域名系统命名的客户端认证装置,其特征在于,包括:
第一信息获取模块,用于获取待认证客户端的身份标识码信息;
第二信息获取模块,用于根据所述身份标识码信息中的目标域名,获取所述域名系统中预先定义的身份验证信息记录;
认证公钥获取模块,用于根据所述身份标识码信息中的认证平台标识码,获取目标认证平台的公钥;
身份认证模块,用于根据所述身份验证信息记录和所述目标认证平台的公钥,对所述身份验证信息记录进行验证;
防伪校验模块,用于若所述身份验证信息记录验证通过,则根据所述身份验证信息记录,对所述待认证客户端提供的防伪信息进行校验;若校验成功,则所述待认证客户端的身份认证通过。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述基于域名系统命名的客户端认证方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于域名系统命名的客户端认证方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于域名系统命名的客户端认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210237695.XA CN114826654B (zh) | 2022-03-11 | 2022-03-11 | 一种基于域名系统命名的客户端认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210237695.XA CN114826654B (zh) | 2022-03-11 | 2022-03-11 | 一种基于域名系统命名的客户端认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826654A true CN114826654A (zh) | 2022-07-29 |
| CN114826654B CN114826654B (zh) | 2023-09-12 |
Family
ID=82529059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210237695.XA Active CN114826654B (zh) | 2022-03-11 | 2022-03-11 | 一种基于域名系统命名的客户端认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826654B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN101304423A (zh) * | 2008-07-08 | 2008-11-12 | 北京邮电大学 | 用户身份认证方法及系统 |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
| CN103607284A (zh) * | 2013-12-05 | 2014-02-26 | 潘志彪 | 身份认证方法及设备、服务器 |
| US20140115337A1 (en) * | 2012-10-23 | 2014-04-24 | National Sun Yat-Sen University | Symmetric dynamic authentication and key exchange system and method thereof |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| WO2016054905A1 (zh) * | 2014-10-11 | 2016-04-14 | 上海众人网络安全技术有限公司 | 一种数据处理方法 |
| US20170012780A1 (en) * | 2015-07-06 | 2017-01-12 | Verisign, Inc. | Extending dnssec trust chains to objects outside the dns |
| US20170142105A1 (en) * | 2015-11-18 | 2017-05-18 | International Business Machines Corporation | Domain-server public-key reference |
| CN107579817A (zh) * | 2017-09-12 | 2018-01-12 | 广州广电运通金融电子股份有限公司 | 基于区块链的用户身份验证方法、装置及系统 |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| CN108833114A (zh) * | 2018-06-13 | 2018-11-16 | 上海交通大学 | 一种基于区块链的去中心化身份认证系统及方法 |
| CN109040060A (zh) * | 2018-08-01 | 2018-12-18 | 广州杰赛科技股份有限公司 | 终端匹配方法和系统、计算机设备 |
| CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
| CN109981675A (zh) * | 2019-04-04 | 2019-07-05 | 西安电子科技大学 | 一种数字身份认证和属性加密的身份信息保护方法 |
| CN111090888A (zh) * | 2020-03-18 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 验证合约的方法及装置 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN112671806A (zh) * | 2021-03-15 | 2021-04-16 | 北京远鉴信息技术有限公司 | 一种用户的认证方法、用户认证设备及用户认证系统 |
| CN113055182A (zh) * | 2021-03-15 | 2021-06-29 | 中国工商银行股份有限公司 | 认证方法及系统、终端、服务器、计算机系统和介质 |
| CN113472521A (zh) * | 2020-03-30 | 2021-10-01 | 山东浪潮质量链科技有限公司 | 基于区块链的实名数字身份管理方法、签名设备和验证设备 |
-
2022
- 2022-03-11 CN CN202210237695.XA patent/CN114826654B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937499A (zh) * | 2006-10-13 | 2007-03-28 | 清华大学 | 基于域名的统一身份标识和认证方法 |
| CN101304423A (zh) * | 2008-07-08 | 2008-11-12 | 北京邮电大学 | 用户身份认证方法及系统 |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
| US20140115337A1 (en) * | 2012-10-23 | 2014-04-24 | National Sun Yat-Sen University | Symmetric dynamic authentication and key exchange system and method thereof |
| CN103607284A (zh) * | 2013-12-05 | 2014-02-26 | 潘志彪 | 身份认证方法及设备、服务器 |
| CN104158802A (zh) * | 2014-07-28 | 2014-11-19 | 百度在线网络技术(北京)有限公司 | 一种平台授权方法、平台服务端及应用客户端和系统 |
| WO2016054905A1 (zh) * | 2014-10-11 | 2016-04-14 | 上海众人网络安全技术有限公司 | 一种数据处理方法 |
| US20170012780A1 (en) * | 2015-07-06 | 2017-01-12 | Verisign, Inc. | Extending dnssec trust chains to objects outside the dns |
| US20170142105A1 (en) * | 2015-11-18 | 2017-05-18 | International Business Machines Corporation | Domain-server public-key reference |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| CN107579817A (zh) * | 2017-09-12 | 2018-01-12 | 广州广电运通金融电子股份有限公司 | 基于区块链的用户身份验证方法、装置及系统 |
| CN108833114A (zh) * | 2018-06-13 | 2018-11-16 | 上海交通大学 | 一种基于区块链的去中心化身份认证系统及方法 |
| CN109040060A (zh) * | 2018-08-01 | 2018-12-18 | 广州杰赛科技股份有限公司 | 终端匹配方法和系统、计算机设备 |
| CN109347809A (zh) * | 2018-09-25 | 2019-02-15 | 北京计算机技术及应用研究所 | 一种面向自主可控环境下的应用虚拟化安全通信方法 |
| CN109981675A (zh) * | 2019-04-04 | 2019-07-05 | 西安电子科技大学 | 一种数字身份认证和属性加密的身份信息保护方法 |
| CN111090888A (zh) * | 2020-03-18 | 2020-05-01 | 支付宝(杭州)信息技术有限公司 | 验证合约的方法及装置 |
| CN113472521A (zh) * | 2020-03-30 | 2021-10-01 | 山东浪潮质量链科技有限公司 | 基于区块链的实名数字身份管理方法、签名设备和验证设备 |
| CN111953681A (zh) * | 2020-08-11 | 2020-11-17 | 福州职业技术学院 | 一种dns身份认证方法及终端 |
| CN112671806A (zh) * | 2021-03-15 | 2021-04-16 | 北京远鉴信息技术有限公司 | 一种用户的认证方法、用户认证设备及用户认证系统 |
| CN113055182A (zh) * | 2021-03-15 | 2021-06-29 | 中国工商银行股份有限公司 | 认证方法及系统、终端、服务器、计算机系统和介质 |
Non-Patent Citations (2)
| Title |
|---|
| Y. JIN等: ""A Client Based DNSSEC Validation Mechanism with Recursive DNS Server Separation"", 《2018 INTERNATIONAL CONFERENCE ON INFORMATION AND COMMUNICATION TECHNOLOGY CONVERGENCE (ICTC)》 * |
| 王亚伟等: ""基于标识符的Android客户端身份认证方案"", 《网络与信息安全学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826654B (zh) | 2023-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| US7051204B2 (en) | Methods and system for providing a public key fingerprint list in a PK system | |
| US8196186B2 (en) | Security architecture for peer-to-peer storage system | |
| US20070136599A1 (en) | Information processing apparatus and control method thereof | |
| US9531540B2 (en) | Secure token-based signature schemes using look-up tables | |
| CN109886036B (zh) | 基于区块链的域名分布式认证方法、装置及区块链网络 | |
| CN109831311B (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| US8924725B2 (en) | Authenticated file handles for network file systems | |
| US11700125B2 (en) | zkMFA: zero-knowledge based multi-factor authentication system | |
| CN112187466B (zh) | 一种身份管理方法、装置、设备及存储介质 | |
| CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| WO2023124958A1 (zh) | 密钥更新方法、服务器、客户端及存储介质 | |
| CN115345617A (zh) | 一种非同质化通证的生成方法及装置 | |
| CN110086818B (zh) | 一种云文件安全存储系统及访问控制方法 | |
| CN115459929B (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| US8464067B2 (en) | Method for enabling limitation of service access | |
| CN112738005A (zh) | 访问处理方法、装置、系统、第一认证服务器及存储介质 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| EP4252384B1 (en) | Methods, devices and system related to a distributed ledger and user identity attribute | |
| CN114826654B (zh) | 一种基于域名系统命名的客户端认证方法及系统 | |
| Fongen et al. | The integration of trusted platform modules into a tactical identity management system | |
| CN111953495B (zh) | 一种电子签名混合云场景下无私钥签署方法 | |
| CN113726523B (zh) | 基于Cookie和DR身份密码体制的多重身份认证方法及装置 | |
| CN115150831A (zh) | 入网请求的处理方法、装置、服务器及介质 | |
| CN116248628A (zh) | 第三方账户信息管理方法以及用户认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |