[发明专利]因特网IP－用户身份认证机制(方法)

说明书

涉及领域：基于TCP/IP协议的因特网。

在TCP/IP协议基础上构建的因特网(InterNet)现在已经普及社会的各个层次。发展到今天，因特网中的用户身份认证越来越显得重要，很多情况下需要对特定用户的身份进行认证。一方面，在网络上各种商务活动中需要基于用户的身份认证：服务提供方向特定用户提供服务，并要求用户承担义务(如付款)。另一方面，对网络的各种管理也需要基于用户的身份认证，因为很多特定工作只能由特定的用户(如管理员)来完成。

当有人利用网络进行不法活动时，国家或者网络管理者更需要有界定不法活动者身份的手段。

在因特网上用户身份的唯一标识是用户当前所使用主机的IP地址。如果能够通过IP地址来界定用户身份，因特网上的用户身份认证将会实现非常简单，使用非常方便，推广非常容易。然而，很多情况下IP地址来源于非特定人使用的计算机(特别是网吧等公用计算机场所)，要想根据这个IP地址查出具体用户是非常困难的。这里提出的IP-用户身份认证机制的目的便是通过对因特网特定用户身份到特定时刻特定IP的绑定实现后者到前者的可靠转化。一、现行做法

目前在因特网中使用传统身份认证方法中都包含提供认证服务的认证中心(CA)。认证中心根据用户向其提供的认证信息确定用户身份。服务提供商(网络管理者、国家安全部门等)作为第三方，信任并使用经认证中心确认的用户身份。目前在局域网中常用的是IP/MAC绑定机制，在因特网中使用较广泛的认证方式则包括简单账号/密码机制和数字签名，另外还有加密数据通道等。1.IP/MAC绑定

这种方法只能用于以太网(EtherNet)，它基于用户主机网卡的MAC地址，身份验证面向IP地址而非用户。以太网内部TCP/IP协议通信依赖于用户计算机网卡物理地址(MAC)，这个数据在网卡制造时固化在其内部，全世界唯一，并且不能随意更改。IP/MAC绑定要求用户在使用网络前向认证中心(通常就是网关)注册其网卡MAC地址。用户通过网关访问外部因特网网络资源时，位于同一子网内部的网关根据该主机注册MAC与其当前使用的IP地址是否匹配决定是否允许该主机访问外部网络。这样网关能够保证该IP地址只被该主机使用。如果该主机的使用权属于特定用户，则可以界定该用户的身份。

IP/MAC绑定机制有很多局限：首先，认证中心必须与用户主机位于同一子网内部，因此IP/MAC绑定机制只能用于基于以太网的局域网，无法推广到整个因特网。其次，IP/MAC绑定是面向主机的，它只能确定某时刻使用某IP地址的主机。如果该主机为多人共用或者集体公用(如网吧)，则无法界定用户身份。再次，IP/MAC绑定机制要求用户每次在使用网络前要到认证中心去注册其MAC，严重制约移动主机的使用。

IP/MAC绑定曾经是以太网中非常流行的一种管理手段。但由于有的网卡MAC是可修改的，并且许多操作系统都提供了更改网卡逻辑MAC的手段，这使得作为一种认证手段的IP/MAC绑定实际上已经不能保证实现这个目标，正在逐渐被淘汰。

IP/MAC绑定可以看成是一种基于硬件的方法。基于硬件的还有很多其它方法，如交换机端口监控、虚拟电子链路(VLan)、到端口的三层交换等等。由于硬件作用范围的限制，通过硬件实现的办法都只能用于局域网。另外，通过硬件实现必然导致硬件成本的增加，大范围推广非常困难。2.传统的账号/密码机制，数字签名与加密数据通道

这几种方法的使用都不受网络范围的限制，在局域网和广域网中都可以使用，并且都是面向用户的。在传统的账号/密码机制中，用户首先通过TCP/IP连接向认证中心提供用户账号和密码(登录)。如果密码匹配(登录成功)，认证中心即信任该连接。在这种机制下使用身份信息的第三方(如服务提供商)往往本身就是认证中心，因此第三方与用户的正常通信和身份认证是使用同一个连接。由于实现简单，这是一种在因特网上经常使用的认证方式。出于方便的原因，用户的账号、密码通常在网络中以明文方式传送，因此攻击方很容易通过对网络监听而获取用户账号和密码。数据安全理论中的数字签名技术能够克服这个问题，使用户密码不在网络中直接传递的条件下认证中心仍然能够验证用户身份。

这两种机制实际上都是基于连接的。认证中心不关心用户的IP地址，而是信任当前已经建立的TCP/IP连接。因此，每次重新建立连接的时候都需要重新验证用户身份，即使用户的IP地址没有发生变化。而当用户与认证中心之间存在多个连接时，其中任何一个连接的验证信息不能由其他连接使用。