[发明专利]基于DNS的用户认证和域名访问控制方法及系统

说明书

技术领域

本发明属于网络技术、域名系统技术领域，具体涉及一种基于DNS的用户认证和域名访问控制方法，以及采用该方法的系统。

背景技术

互联网实体通常由域名来标识，而DNS是结合域名和实际IP地址的关键纽带。通过DNS可以使用户通过输入易记的域名达到通过IP地址进行最终通信的目的。

为了保证IP地址和域名绑定关系的可信度，IETF推出DNSSEC系列标准，DNSSEC能够通过特定的机制使一个域的运营者直接对DNS信息进行签名，所使用的密钥和其父域之间存在绑定，中间实体能够通过这种逻辑找到可接受的最终信任锚。借助DNSSEC的功能，IETF成立了DANE工作组，旨在利用DNSSEC来实现用户域名及其密钥之间的安全绑定，从而实现用户对服务进行安全认证的目的。但是，这一机制缺乏服务器端对用户的认证以及根据不同用户进行区分服务的功能。

发明内容

本发明提出一种基于DNS的用户认证和域名访问控制方法及系统，通过在DNS系统中引入新的资源记录，引导用户进行服务建立之前的认证，并根据认证结果获取对应服务器的接入地址以及安全密钥信息，实现对访问用户进行认证并根据用户指派服务器的功能。

为实现上述目的，本发明采用如下技术方案：

一种基于DNS的用户认证和域名访问控制方法，其步骤包括：

1）服务提供商为其所提供的服务建立认证服务器，并在DNS服务器中注册该认证服务器的IP地址，该DNS服务器根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录；

2）用户向DNS服务器发起一域名查询请求，DNS服务器向该用户返回该域名对应的CA资源记录；

3）用户根据获得的CA资源记录中的IP地址访问相应的认证服务器，该认证服务器采用该CA资源记录指定的协议类型对用户进行认证；

4）认证成功后，该认证服务器向用户返回安全连接所需的密钥信息，并为用户指派应用服务器；

5）用户通过该应用服务器发起安全连接，访问互联网资源。

上述方法中，所述认证协议类型可以是RADIUS、Diameter等。

上述方法中，所述CA（Certificate Authority，认证中心）资源记录包含认证服务器的IP地址和认证协议；优选地，其格式为：

Domain-name TTL CA ProtocolIP，

其中Domain-name表示域名，TTL表征该条资源记录的生命值（有效生存时间），Protocol为所使用的认证协议，IP为认证服务器的地址。上述记录的含义是：Domain-name所标识的服务由地址为IP的认证服务器进行安全认证，所使用的认证协议为Protocol，该条记录的有效生存时间是TTL。

上述方法中，所述密钥信息可以是访问https网站时使用的密钥信息，或者是建立SSL等安全连接时需要使用的密钥信息。

一种实现上述方法的基于DNS的用户认证系统，包括DNS服务器和客户端，其特征在于，还包括认证服务器；所述DNS服务器存储所述认证服务器的IP地址，并根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录；所述DNS服务器接收用户的域名查询请求，并向用户返回该域名对应的CA资源记录；所述认证服务器采用该CA资源记录指定的协议类型对用户进行认证，在认证成功后向用户返回安全连接所需的密钥信息，并为用户指派应用服务器。

本发明通过在DNS系统中引入新的资源记录，引导用户进行服务建立之前的认证，并根据认证结果获取对应服务器的接入地址以及安全密钥信息，实现对访问用户进行认证并根据用户指派服务器的功能。本发明支持服务提供者对用户的认证，服务和认证的分离保证了服务提供的安全性和可靠性；且可以将不同的用户导向同一服务的不同服务器，起到区分服务的作用。

附图说明

图1是实施例的基于DNS的用户认证和域名访问控制方法的流程图。

图2是实施例的基于DNS的用户认证系统的组成及工作流程示意图。

具体实施方式

下面通过具体实施例，并配合附图，对本发明做详细的说明。

图1是采用该系统进行的基于DNS的用户认证并建立安全连接的流程图。图2是本实施例的基于DNS的用户认证系统的组成及工作流程示意图。该系统包括DNS服务器、客户端、应用服务器以及认证服务器。

下面结合图1、2具体说明本实施例的实施过程：