【摘要】
本發明屬于互聯網用戶身份標識與認證領域,具 體特征在于利用下一代互聯網協議IPv6所提出的良好的體系 結構設計,通過與安全域名服務相結合,擴展現有身份認證系 統的功能,實現用戶身份與當前真實IPv6地址的綁定關系, 為上層的應用提供了更加可靠的安全服務。在用戶管理域內設 有:網絡訪問控制服務器:通過用戶計算機源MAC地址、源 IPv6地址以及端口所組成的三元組來標識 注冊用戶;身份認證服務器:對用戶身份標識進行認證并設定 相應的訪問權限;域名服務器建立了用戶個人域名與IPv6地 址之間的正反向對應關系。本發明能夠為未來互聯網的應用提 供多種有效的身份認證手段,同時具有良好的可擴展性,能夠 適應未來互聯網應用發展所帶來的要求。
【專利類型】發明申請
【申請人】清華大學
【申請人類型】學校
【申請人地址】100084北京市100084-82信箱
【申請人地區】中國
【申請人城市】北京市
【申請人區縣】海淀區
【申請號】CN200610113707.9
【申請日】2006-10-13
【申請年份】2006
【公開公告號】CN1937499A
【公開公告日】2007-03-28
【公開公告年份】2007
【授權公告號】CN100539501C
【授權公告日】2009-09-09
【授權公告年份】2009.0
【發明人】吳建平; 段海新; 張洪; 付強
【主權項內容】1.基于域名的統一身份標識和認證方法,其特征在于:依次含有以下步驟:步驟(1),在用戶所在的身份認證管理域中設有身份認證服務器、網絡訪問控制服務器、身份認證客戶端以及域名服務器: 身份認證服務器含有:網絡層、協議處理層、邏輯控制層、數據控制層以及數據庫,其中: 網絡層,通過身份認證請求端口和計費請求端口將從網絡訪問控制服務器發來的請求數據傳遞給協議處理層,再將從協議處理層傳來的響應數據封裝成數據包發送給該網絡訪問控制服務器; 協議處理層,根據身份認證協議組合、解析、校驗和處理網絡層的請求報文,并將處理后的數據送給邏輯控制層,同時也將邏輯控制層送來的數據根據身份認證協議處理后發送給網絡層; 邏輯控制層,設有:身份認證授權模塊,用于根據用戶身份認證標識進行認證,并且根據用戶身份標識授予相應的訪問權限,所述用戶身份認證標識是一個與用戶當前IPv6地址相對應的一個全網唯一的個人域名PDN,表明該用戶屬于某個給定的管理域,同時該身份認證授權模塊用下述算法生成一個合法的真實IPv6地址給用戶;計費模塊,用于對用戶訪問網絡資源的行為進行計費或審計;漫游模塊,當請求認證的用戶不屬于本管理域A時,須與對方管理域的身份認證服務器通信,實現用戶的跨網絡管理域身份認證; 數據控制層,設有:數據庫接口,用于從數據庫中查詢用于信息;配合接口,用于從配置文件中讀取身份認證系統運行所需要的包括服務器地址等信息; 數據庫,設有用戶帳號權限信息表、其中含有用戶個人域名PDN、用戶口令Password以及用戶權限Right等字段; 網絡訪問控制服務器,采用802.1x交換機實現,在該交換機中綁定了用戶計算機源MAC地址、源IPv6地址以及分配的端口,構成三元組,在用戶通過身份認證之后訪問網絡時作匹配用,為此設有含該三元組的源地址綁定表;身份認證客戶端計算機,含有網絡層、協議處理層和邏輯控制層,其中: 網絡層,把協議處理層的數據進行封裝后發送給網絡網絡訪問控制服務器端, 而把網絡訪問控制服務器端的數據解封裝后傳遞給協議處理層; 協議處理層,根據身份認證協議組合、解析、校驗和處理邏輯層的以及發送給網絡層的認證請求報文; 邏輯控制層,設有:用戶接口,用于身份認證客戶端計算機與用戶之間的交互;地址接口,用于將從服務器獲得的IPv6地址配置到本地計算機中;接口地址,讀取身份認證客戶端計算機運行時所需的包括認證服務器地址等信息;消息定時器,用于控制身份認證客戶端計算機每隔設定的時間間隔向網絡訪問控制服務器發送保持用戶認證狀態的信息; 域名服務器,根據用戶個人域名從數據庫中查詢用戶當前的IPv6地址,或者反之,在其中設有用戶個人域名→IPv6地址的對應表以及IPv6地址→用戶個人域名的對應表; 步驟(2),在管理域A內認證按以下步驟進行: 步驟(2.1),用戶在身份認證客戶端中輸入包括用戶個人域名及用戶口令在內的用戶信息,身份認證客戶端向本管理域的訪問控制服務器發出含有用戶信息的認證請求; 步驟(2.2),網絡訪問控制服務器收到用戶的認證請求后,首先從認證請求中取出認證消息,然后向身份認證服務器發出認證請求; 步驟(2.3),身份認證服務器收到認證請求后,根據用戶個人域名所屬管理域判斷進行域內認證,然后判斷用戶的認證狀態,如果是首次請求,則產生一個隨機數R,將其封裝在認證質詢報文中通過訪問網絡控制服務器返回給身份認證客戶端; 步驟(2.4),身份認證客戶端從收到的質詢報文中提取出服務器的隨機數R,將用戶口令P與該隨機數進行混合,計算出一個強制訪問控制校驗碼MAC=MD5(P‖R),其中:MD5是國際標準的散列值計算函數,P為字符串,“‖”表示將R放在P后形成一個新的字符串,并將該校驗碼放在響應消息中,再次發送給網絡訪問控制服務器; 步驟(2.5),網絡訪問控制服務器將響應報文進行格式處理后轉發給身份認證服務器,身份認證服務器從本地數據庫中取出用戶口令P’,與隨機數R混合后計算強制訪問控制校驗碼MAC’=MD5(P’‖R),然后比較MAC與MAC′是否相等,如果相等則認證成功,并根據用戶個人域名PDN生成IPv6地址,IPv6Addr=IPv6Prefix(N)‖Hash128-N(PDN),其中IPv6Addr表示生成的IPv6地址,IPv6Prefix表示從配置文件中讀出的N位地址前綴,Hash128-N表示用MD5算法對個人域名PDN進行散列后取前面128-N位數值,“‖”表示 將前后兩部分聯結起來生成新的字符串,并將該地址放入認證成功報文里發送給網絡訪問控制服務器;否則發送認證失敗報文; 步驟(2.6),網絡訪問控制服務器收到返回報文后,判斷報文類型,如果是認證成功報文,則從中取出IPv6地址,進行三元組的綁定,通知身份認證客戶端通過認證并打開受控端口允許用戶訪問網絡資源;如果是認證失敗報文則通知身份認證客戶端失敗信息; 步驟(2.7),網絡訪問控制服務器打開受控端口后,向身份認證服務器發出計費請求;步驟(2.8),身份認證服務器收到計費請求后,開始計費,同時將用戶的個人域名與IPv6的正反向對應關系注冊到本域的域名服務器上; 步驟(2.9),用戶退出身份認證系統時,向網絡訪問控制服務器發出退出請求; 步驟(2.10),網絡訪問控制服務器收到退出請求后,通知身份認證服務器停止對用戶的計費,報文里同時包含了用戶對網絡資源的訪問量; 步驟(2.11),身份認證服務器收到停止計費請求后,將用戶的計費信息記入數據庫中,同時注銷在域名服務器上的域名與IPv6地址的對應關系; 步驟(2.12),網絡訪問控制服務器關閉受控端口,禁止用戶訪問網絡資源; 步驟(3),域間認證是指個人域名PDN為User@DomainB的B域用戶在A域身份認證客戶端計算機上用自己在B域的個人域名請求認證,按以下步驟進行: 步驟(3.1),根據步驟(2.1)-(2.2)判斷用戶進行域間認證; 步驟(3.2),A域的身份認證服務器將認證請求轉發給B域的身份認證服務器; 步驟(3.3),B域的身份認證服務器判斷用戶的認證狀態,如果是第一次請求,則產生一個隨機數R,將其封裝在認證質詢報文中返回給A域的身份認證服務器; 步驟(3.4),A域的身份認證服務器將認證質詢報文通過A域的網絡訪問控制服務器返回給用戶身份認證客戶端; 步驟(3.5),A域的身份認證客戶端按照步驟(2.4)所述方法計算出一個校驗碼MAC放在響應消息中,再次通過A域的網絡訪問控制服務器發送給A域的身份認證服務器; 步驟(3.6),A域身份認證服務器又將報文轉發給B域的身份認證服務器,B域的身份認證服務器按步驟(2.5)所述方法計算校驗碼MAC’,然后比較MAC與MAC′是否相等,如果相等則認證成功并將認證成功報文發送給A域身份認證服務器;否則發送認證失敗報文給A域身份認證服務器; 步驟(3.7),A域身份認證服務器收到報文后,判斷報文類型,如果是認證成功報文則按照步驟(2.5)根據用戶個人域名生成IPv6地址,并將其放入認證成功報文中返回給本管理域的網絡訪問控制服務器; 步驟(3.8),A域網絡訪問控制服務器收到返回報文后按步驟(2.6)-(2.7)進行處理; 步驟(3.9),A域身份認證服務器收到計費請求后,開始計費,同時將用戶的個人域名與IPv6的反向對應關系注冊到A域的域名服務器上,同時A域身份認證服務器向B域身份認證服務器發出計費請求; 步驟(3.10),B域身份認證服務器收到計費請求后,開始計費,同時將用戶的個人域名與IPv6的正向對應關系注冊到B域的域名服務器上; 步驟(3.11),用戶退出身份認證系統時,按步驟(2.9)-(2.11)所述方法處理,但在A域身份認證服務器把用戶的計費信息記入數據庫的同時注銷該用戶在A域域名服務器DNS上的域名與IPv6地址反向對應關系關系; 步驟(3.12),A域身份認證服務器向B域身份認證服務器發出停止對用戶計費的請求; 步驟(3.13),B域身份認證服務器收到停止計費請求后,停止計費,并同時注銷該用戶在B域域名服務器DNS上的域名與IPv6地址正向對應關系; 步驟(3.14),A域網絡訪問控制服務器關閉端口,禁止用戶訪問網絡資源。
【當前權利人】清華大學
【當前專利權人地址】北京市100084-82信箱
【專利權人類型】公立
【統一社會信用代碼】12100000400000624D
【被引證次數】61
【被自引次數】9.0
【家族被引證次數】69
未經允許不得轉載:http://m.mhvdw.cn/1776328151.html
