[发明专利]基于域名的统一身份标识和认证方法

摘要

本发明属于互联网用户身份标识与认证领域，具体特征在于利用下一代互联网协议IPv6所提出的良好的体系结构设计，通过与安全域名服务相结合，扩展现有身份认证系统的功能，实现用户身份与当前真实IPv6地址的绑定关系，为上层的应用提供了更加可靠的安全服务。在用户管理域内设有：网络访问控制服务器：通过用户计算机源MAC地址、源IPv6地址以及端口所组成的三元组来标识注册用户；身份认证服务器：对用户身份标识进行认证并设定相应的访问权限；域名服务器建立了用户个人域名与IPv6地址之间的正反向对应关系。本发明能够为未来互联网的应用提供多种有效的身份认证手段，同时具有良好的可扩展性，能够适应未来互联网应用发展所带来的要求。

主权项

1.基于域名的统一身份标识和认证方法，其特征在于：依次含有以下步骤：步骤(1)，在用户所在的身份认证管理域中设有身份认证服务器、网络访问控制服务器、身份认证客户端以及域名服务器：身份认证服务器含有：网络层、协议处理层、逻辑控制层、数据控制层以及数据库，其中：网络层，通过身份认证请求端口和计费请求端口将从网络访问控制服务器发来的请求数据传递给协议处理层，再将从协议处理层传来的响应数据封装成数据包发送给该网络访问控制服务器；协议处理层，根据身份认证协议组合、解析、校验和处理来自网络层的请求报文，并将处理后的数据送给逻辑控制层，同时也将逻辑控制层送来的数据根据身份认证协议处理后发送给网络层；逻辑控制层，设有：身份认证授权模块，用于根据用户身份认证标识进行认证，并且根据用户身份标识授予相应的访问权限，所述用户身份认证标识是一个与用户当前IPv6地址相对应的一个全网唯一的个人域名PDN，表明该用户属于某个给定的管理域，同时该身份认证授权模块用下述算法生成一个合法的真实IPv6地址给用户；计费模块，用于对用户访问网络资源的行为进行计费或审计；漫游模块，当请求认证的用户不属于本管理域A时，须与对方管理域的身份认证服务器通信，实现用户的跨网络管理域身份认证；数据控制层，设有：数据库接口，用于从数据库中查询用于信息；配合接口，用于从配置文件中读取身份认证系统运行所需要的包括服务器地址等信息；数据库，设有用户帐号权限信息表、其中含有用户个人域名PDN、用户口令Password以及用户权限Right等字段；网络访问控制服务器，采用802.1x交换机实现，在该交换机中绑定了用户计算机源MAC地址、源IPv6地址以及分配的端口，构成三元组，在用户通过身份认证之后访问网络时作匹配用，为此设有含该三元组的源地址绑定表；身份认证客户端计算机，含有网络层、协议处理层和逻辑控制层，其中：网络层，把来自协议处理层的数据进行封装后发送给网络网络访问控制服务器端，而把来自网络访问控制服务器端的数据解封装后传递给协议处理层；协议处理层，根据身份认证协议组合、解析、校验和处理来自逻辑层的以及发送给网络层的认证请求报文；逻辑控制层，设有：用户接口，用于身份认证客户端计算机与用户之间的交互；地址接口，用于将从服务器获得的IPv6地址配置到本地计算机中；接口地址，读取身份认证客户端计算机运行时所需的包括认证服务器地址等信息；消息定时器，用于控制身份认证客户端计算机每隔设定的时间间隔向网络访问控制服务器发送保持用户认证状态的信息；域名服务器，根据用户个人域名从数据库中查询用户当前的IPv6地址，或者反之，在其中设有用户个人域名→IPv6地址的对应表以及IPv6地址→用户个人域名的对应表；步骤(2)，在管理域A内认证按以下步骤进行：步骤(2.1)，用户在身份认证客户端中输入包括用户个人域名及用户口令在内的用户信息，身份认证客户端向本管理域的访问控制服务器发出含有用户信息的认证请求；步骤(2.2)，网络访问控制服务器收到用户的认证请求后，首先从认证请求中取出认证消息，然后向身份认证服务器发出认证请求；步骤(2.3)，身份认证服务器收到认证请求后，根据用户个人域名所属管理域判断进行域内认证，然后判断用户的认证状态，如果是首次请求，则产生一个随机数R，将其封装在认证质询报文中通过访问网络控制服务器返回给身份认证客户端；步骤(2.4)，身份认证客户端从收到的质询报文中提取出服务器的随机数R，将用户口令P与该随机数进行混合，计算出一个强制访问控制校验码MAC＝MD5(P‖R)，其中：MD5是国际标准的散列值计算函数，P为字符串，“‖”表示将R放在P后形成一个新的字符串，并将该校验码放在响应消息中，再次发送给网络访问控制服务器；步骤(2.5)，网络访问控制服务器将响应报文进行格式处理后转发给身份认证服务器，身份认证服务器从本地数据库中取出用户口令P’，与随机数R混合后计算强制访问控制校验码MAC’＝MD5(P’‖R)，然后比较MAC与MAC′是否相等，如果相等则认证成功，并根据用户个人域名PDN生成IPv6地址，IPv6Addr＝IPv6Prefix(N)‖Hash128-N(PDN)，其中IPv6Addr表示生成的IPv6地址，IPv6Prefix表示从配置文件中读出的N位地址前缀，Hash128-N表示用MD5算法对个人域名PDN进行散列后取前面128-N位数值，“‖”表示将前后两部分联结起来生成新的字符串，并将该地址放入认证成功报文里发送给网络访问控制服务器；否则发送认证失败报文；步骤(2.6)，网络访问控制服务器收到返回报文后，判断报文类型，如果是认证成功报文，则从中取出IPv6地址，进行三元组的绑定，通知身份认证客户端通过认证并打开受控端口允许用户访问网络资源；如果是认证失败报文则通知身份认证客户端失败信息；步骤(2.7)，网络访问控制服务器打开受控端口后，向身份认证服务器发出计费请求；步骤(2.8)，身份认证服务器收到计费请求后，开始计费，同时将用户的个人域名与IPv6的正反向对应关系注册到本域的域名服务器上；步骤(2.9)，用户退出身份认证系统时，向网络访问控制服务器发出退出请求；步骤(2.10)，网络访问控制服务器收到退出请求后，通知身份认证服务器停止对用户的计费，报文里同时包含了用户对网络资源的访问量；步骤(2.11)，身份认证服务器收到停止计费请求后，将用户的计费信息记入数据库中，同时注销在域名服务器上的域名与IPv6地址的对应关系；步骤(2.12)，网络访问控制服务器关闭受控端口，禁止用户访问网络资源；步骤(3)，域间认证是指个人域名PDN为User@DomainB的B域用户在A域身份认证客户端计算机上用自己在B域的个人域名请求认证，按以下步骤进行：步骤(3.1)，根据步骤(2.1)-(2.2)判断用户进行域间认证；步骤(3.2)，A域的身份认证服务器将认证请求转发给B域的身份认证服务器；步骤(3.3)，B域的身份认证服务器判断用户的认证状态，如果是第一次请求，则产生一个随机数R，将其封装在认证质询报文中返回给A域的身份认证服务器；步骤(3.4)，A域的身份认证服务器将认证质询报文通过A域的网络访问控制服务器返回给用户身份认证客户端；步骤(3.5)，A域的身份认证客户端按照步骤(2.4)所述方法计算出一个校验码MAC放在响应消息中，再次通过A域的网络访问控制服务器发送给A域的身份认证服务器；步骤(3.6)，A域身份认证服务器又将报文转发给B域的身份认证服务器，B域的身份认证服务器按步骤(2.5)所述方法计算校验码MAC’，然后比较MAC与MAC′是否相等，如果相等则认证成功并将认证成功报文发送给A域身份认证服务器；否则发送认证失败报文给A域身份认证服务器；步骤(3.7)，A域身份认证服务器收到报文后，判断报文类型，如果是认证成功报文则按照步骤(2.5)根据用户个人域名生成IPv6地址，并将其放入认证成功报文中返回给本管理域的网络访问控制服务器；步骤(3.8)，A域网络访问控制服务器收到返回报文后按步骤(2.6)-(2.7)进行处理；步骤(3.9)，A域身份认证服务器收到计费请求后，开始计费，同时将用户的个人域名与IPv6的反向对应关系注册到A域的域名服务器上，同时A域身份认证服务器向B域身份认证服务器发出计费请求；步骤(3.10)，B域身份认证服务器收到计费请求后，开始计费，同时将用户的个人域名与IPv6的正向对应关系注册到B域的域名服务器上；步骤(3.11)，用户退出身份认证系统时，按步骤(2.9)-(2.11)所述方法处理，但在A域身份认证服务器把用户的计费信息记入数据库的同时注销该用户在A域域名服务器DNS上的域名与IPv6地址反向对应关系关系；步骤(3.12)，A域身份认证服务器向B域身份认证服务器发出停止对用户计费的请求；步骤(3.13)，B域身份认证服务器收到停止计费请求后，停止计费，并同时注销该用户在B域域名服务器DNS上的域名与IPv6地址正向对应关系；步骤(3.14)，A域网络访问控制服务器关闭端口，禁止用户访问网络资源。