專利名稱:基于數(shù)字證書的網(wǎng)絡接入認證方法和網(wǎng)絡接入認證服務器的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信領域����。更具體地���,涉及一種基于數(shù)字證書的網(wǎng)絡接入認證方 法和網(wǎng)絡接入認證服務器���。
背景技術:
隨著網(wǎng)絡技術的不斷發(fā)展����,各種網(wǎng)絡應用在提供便捷高效的服務的同時�,也帶來 了潛在的管理和通信的安全性問題。而作為用戶訪問大部分網(wǎng)絡服務的必經階段和最初階 段��,確保網(wǎng)絡接入階段的安全性對于確保整個網(wǎng)絡通信系統(tǒng)的安全性是至關重要的�����。在網(wǎng)絡接入階段���,安全性問題主要涉及三方面內容�。第一方面���,為了確保僅允許有 資格的用戶接入網(wǎng)絡訪問服務并防止非法用戶侵入或者盜用服務���,需要對用戶身份進行認 證。第二方面�����,為了防止假冒站點,需要對認證服務器進行身份認證���。第三方面����,如果認證 服務器為需要保密服務(如電子商務等)的用戶提供認證服務��,為了確保接入用戶和認證 服務器間通信的保密性����,需要在兩者間提供安全的加密通道。就以上第一方面而言���,現(xiàn)階段大部分身份認證系統(tǒng)都采用用戶名/密碼方式的單 因素身份認證�。就以上第二方面和第三方面而言�����,目前在服務器上廣泛使用單向認證的SSL 證書��,當安全鎖顯示在瀏覽器的下方時��,它表明了有一個服務器SSL證書正在為用戶終端 與服務器之間的通信提供一個加密通道來保護數(shù)據(jù)傳輸安全���。然而��,對用戶的單因素身份認證無法應對日益猖獗的在線欺詐犯罪行為��,同時����,由 于用戶名/密碼認證方式比較繁瑣���,用戶名和密碼容易丟失和遺忘���。
發(fā)明內容
鑒于現(xiàn)有技術采用單因素身份認證方法對用戶進行身份認證所存在的以上問題, 本發(fā)明的目的是����,提供一種基于用戶數(shù)字證書的網(wǎng)絡接入認證方法以及實現(xiàn)這種網(wǎng)絡接入 認證方法的網(wǎng)絡接入認證服務器,使在網(wǎng)絡接入階段對于用戶的身份認證更為便捷�,安全 性更強。為此�,根據(jù)本發(fā)明的第一方面,提出了一種網(wǎng)絡接入認證方法和相應的網(wǎng)絡接入 認證服務器����,所述方法可以包括以下步驟接收用戶主機發(fā)送的用戶數(shù)字證書���;基于接收 到的用戶數(shù)字證書對用戶進行身份認證;從用戶數(shù)字證書中解析用戶信息�����,并根據(jù)從用戶 數(shù)字證書中解析出的用戶信息�����,通過查詢訪問控制列表��,判斷是否允許用戶主機對目的地 址進行訪問�����;認證成功并且判斷允許訪問后����,向接入控制網(wǎng)關發(fā)送對于所述用戶主機的接 入授權請求,并接收接入控制網(wǎng)關返回的對于所述用戶主機的接入授權�����;以及將認證結果 和接入授權結果發(fā)送給用戶主機。通過在網(wǎng)絡接入過程中采用數(shù)字證書而不是用戶名/密碼的單因素身份認證方 式對用戶進行身份認證��,極大地提高了用戶身份認證的便捷性和安全性���。根據(jù)本發(fā)明的第二方面,本發(fā)明第一方面的網(wǎng)絡接入認證方法和服務器���,還可以 包括向用戶主機發(fā)送網(wǎng)絡接入認證服務器的數(shù)字證書�,用戶主機利用所述網(wǎng)絡接入認證服務器的數(shù)字證書��,能夠對網(wǎng)絡接入認證服務器進行身份認證�。利用認證服務器的數(shù)字證書,用戶主機可以對認證服務器進行身份認證���,防止假 冒站點��。進一步增強了網(wǎng)絡接入的安全性��。根據(jù)本發(fā)明的第三方面�,在采用用戶數(shù)字證書和認證服務器數(shù)字證書分別對用戶 和認證服務器進行身份認證的情況下�����,可以在所述用戶主機和認證服務器間使用SSL雙向 認證,在兩者間提供安全的加密通道��,以保證認證服務器和用戶之間數(shù)據(jù)的安全通信�����。根據(jù)本發(fā)明的第四方面��,在本發(fā)明以上網(wǎng)絡接入認證方法和服務器中�,所述數(shù)字 證書嵌入了用戶的CerlD、用戶身份證號���、電子郵件地址����、用戶個人照片���。根據(jù)本發(fā)明的第五方面�,在本發(fā)明第四方面的網(wǎng)絡接入認證方法和服務器中�����,數(shù) 字證書符合ITU X. 509及ITU X. 500國際標準��。
結合下面
本發(fā)明的優(yōu)選實施例,將使本發(fā)明的上述及其它目的�、特征和 優(yōu)點更加清楚,其中圖1示出了根據(jù)本發(fā)明的網(wǎng)絡接入認證方法的網(wǎng)絡應用環(huán)境��;圖2示出了認證服務器200對用戶主機100進行網(wǎng)絡接入認證的流程圖��,其中���,只 對用戶主機100進行基于數(shù)字證書的接入認證,用戶主機100之間認證服務器200無需安 全連接�;圖3示出了用戶主機100的聯(lián)網(wǎng)流程圖,其中�,用戶主機100和認證服務器200間 采用SSL認證,認證服務器200的SSL模塊能夠提示用戶在未安裝用戶證書的情況下安裝 數(shù)字證書�;以及圖4示出了本發(fā)明所應用的用戶主機100、認證服務器300和接入控制網(wǎng)關300三 方通信的詳細流程示意圖���,其中�����,用戶主機100和認證服務器200間采用雙向SSL認證����。
具體實施例方式為了清楚詳細的闡述本發(fā)明的實現(xiàn)過程,下面給出了一些本發(fā)明的具體實施例��。 在具體實施例中�,以CERNET2網(wǎng)絡為例進行了描述。但所屬領域技術人員將理解��,本發(fā)明不 限于應用于CERNET2網(wǎng)絡����,還適用于各種采用類似網(wǎng)絡結構的現(xiàn)有的、正處于開發(fā)和實驗 階段的以及未來的網(wǎng)絡���,如INTERNET網(wǎng)絡���、CERNET網(wǎng)絡等等。參照附圖對本發(fā)明的優(yōu)選實 施例進行詳細說明����,在描述過程中省略了對本發(fā)明來說不必要的細節(jié)和功能,以防止對本 發(fā)明的理解造成混淆����。為說明本發(fā)明的網(wǎng)絡接入認證方法和服務器的工作原理,首先參照圖1描述根據(jù) 本發(fā)明的網(wǎng)絡接入認證方法和服務器所應用的網(wǎng)絡環(huán)境����。如圖1所示��,網(wǎng)絡接入認證方法 主要涉及三個網(wǎng)絡單元用戶主機100�����、認證服務器200和接入控制網(wǎng)關300��。三者均連接 至局域網(wǎng)400�。接入控制網(wǎng)關300具有同CERNET2500的通信連接��。用戶主機100�����、認證服 務器200和接入控制網(wǎng)關300可以均安裝基于CerID的數(shù)字證書�。當然���,也可以只有用戶 主機100安裝基于CerID的用戶數(shù)字證書���。所述CerID指CNGI-CERNET2的用戶身份標識,即用戶ID�����,是全網(wǎng)唯一標識用戶合 法身份的編碼字符串,由中央系統(tǒng)存儲并在全網(wǎng)統(tǒng)一分配和管理�。所述基于CerID的數(shù)字證書符合ITU X. 509及ITUX. 500國際標準,在證書中嵌入CerlD����、用戶身份證號、電子郵件 地址和用戶個人照片���,證書由證書中心簽發(fā)����。用戶數(shù)字證書的生成流程為��,用戶向證書中心提交證書申請����,在線填寫證書業(yè)務 申請表,包括姓名���、工作單位�、身份證號、電子郵箱等���。個人資料提交完成后用戶攜帶及相關 資料至對應的證書受理點進行資料審核和現(xiàn)場照片采集����。審核無誤���,收回證件副本原件��,并 領取數(shù)字證書及相關資料�。認證服務器200支持獲取用戶主機的數(shù)字證書�,驗證用戶身份,和接入控制網(wǎng)關 通信進行相應的認證授權操作�。具體而言����,認證服務器200接收用戶主機100發(fā)送的用戶 數(shù)字證書;基于接收到的用戶數(shù)字證書對用戶進行身份認證�;從用戶數(shù)字證書中解析用戶 信息,并根據(jù)從用戶數(shù)字證書中解析出的用戶信息(如CerID)����,通過查詢訪問控制列表,判 斷是否允許用戶主機100對目的地址進行訪問;認證成功并且判斷允許訪問后�����,向接入控 制網(wǎng)關300發(fā)送對于所述用戶主機的接入授權請求��,并接收接入控制網(wǎng)關300返回的對于 所述用戶主機的接入授權����;將認證結果和接入授權結果發(fā)送給用戶主機100。查詢訪問控 制列表可以是例如但不限于��,查詢列表中存儲的用戶是否具有訪問權限��、用戶賬號上是否 有可用余額等訪問控制信息�。認證服務器200和用戶主機100可以使用SSL雙向認證,以保證認證服務器和用 戶之間數(shù)據(jù)的安全通信����。具體而言,未通過認證的用戶連接CERNET2時被接入控制網(wǎng)關300 重定向到認證服務器200的認證頁面���,用戶向認證服務器發(fā)起SSL連接請求��,用戶主機100 和認證服務器200之間建立安全的SSL通道���。在SSL會話產生時首先���,認證服務器200會 傳送它的服務器證書,用戶主機100會自動的分析服務器證書��,來驗證認證服務器200的身 份����。其次,認證服務器200會要求用戶出示用戶數(shù)字證書�����,認證服務器200完成用戶數(shù)字 證書的驗證�����,來對用戶進行身份認證�。對用戶數(shù)字證書的驗證包括驗證用戶數(shù)字證書是否 由認證服務器200信任的證書頒發(fā)機構頒發(fā)����、用戶數(shù)字證書是否在有效期內、用戶數(shù)字證 書是否有效(即是否被竄改等)和用戶數(shù)字證書是否被吊銷等�。驗證通過后,認證服務器 200會解析用戶數(shù)字證書,獲取用戶信息�,并根據(jù)用戶信息查詢訪問控制列表來決定是否允 許訪問。所有的過程都會在幾秒鐘內自動完成���,對用戶是透明的�����。接入控制網(wǎng)關300連接至CERNET2主干網(wǎng)��。接入控制網(wǎng)關300啟動時加載預先定 義的IP地址屬性表�����,其中IP地址屬性包括但不限于白名單地址��、黑名單地址����、需認證地址�����、 已認證地址四種屬性����。接入控制網(wǎng)關300運行時可通過命令修改單個IP地址或IP地址段 的屬性����。當接收到來自認證服務器200針對其認證通過的用戶主機的授權請求時�,接入控 制網(wǎng)關300判斷用戶主機IP地址屬性,并向認證服務器200返回接入授權�。接入控制網(wǎng)關 300包含重定向控制裝置,用于在未通過授權用戶主機IP地址對CERNET2目的地址進行訪 問的情況下�����,根據(jù)訪問端口參數(shù)���,將數(shù)據(jù)包重定向到認證服務器200認證頁面�,可選地�,系 統(tǒng)管理員可通過命令設置重定向位置。接入控制網(wǎng)關300能實現(xiàn)數(shù)據(jù)包的轉發(fā)���,對經過的 數(shù)據(jù)包進行檢測��,判斷源IP地址(或目的IP地址)的屬性����,根據(jù)IP地址屬性控制轉發(fā)或 丟棄該數(shù)據(jù)包或重定向該數(shù)據(jù)包�����,具體的�����,接入控制網(wǎng)關300轉發(fā)白名單地址�����、已認證地址 的數(shù)據(jù)包�,丟棄黑名單地址的數(shù)據(jù)包,重定向需認證地址的數(shù)據(jù)包�����。接入控制網(wǎng)關300有流 量采集功能�����,流量采集可以控制用戶上網(wǎng)速度��,同時也為用戶計費提供依據(jù)�����。圖2示出了認證服務器200對用戶主機100進行網(wǎng)絡接入認證的流程圖,其中�����,只利用用戶數(shù)字證書對用戶主機100進行接入認證���,用戶主機100不對認證服務器200進行 身份認證�,用戶主機100認證服務器200之間無需安全連接�。如圖所示,用戶主機100進行 網(wǎng)絡接入�����,向認證服務器200發(fā)送用戶數(shù)字證書�����,認證服務器200接收用戶主機100發(fā)送的 用戶數(shù)字證書(步驟S210)����。認證服務器200基于接收到的用戶數(shù)字證書對用戶進行身份 認證(步驟S220)。認證服務器200從用戶數(shù)字證書中解析用戶信息����,并根據(jù)從用戶數(shù)字證 書中解析出的用戶信息�����,通過查詢存儲在數(shù)據(jù)庫(未示出)中的訪問控制列表,判斷是否允 許用戶主機100對目的地址進行訪問(步驟S230)����。認證成功并且判斷允許訪問后,認證服 務器200向接入控制網(wǎng)關300發(fā)送對于所述用戶主機的接入授權請求���,并接收接入控制網(wǎng) 關300返回的對于所述用戶主機的接入授權(步驟S240和S250)���。取得接入授權后,認證 服務器200將認證結果和接入授權結果發(fā)送給用戶主機100 (步驟S260)�����。圖3示出了用戶主機100的聯(lián)網(wǎng)流程圖�,其中,用戶主機100和認證服務器200間 采用SSL認證����,認證服務器200的SSL模塊能夠提示用戶在未安裝用戶證書的情況下安裝 數(shù)字證書����。如圖2所示���,用戶主機100通過IP協(xié)議發(fā)起連接請求(步驟S310)���,IP分組經過 接入控制網(wǎng)關300時,對于訪問預先設定的免費訪問地址的IP分組���,接入控制網(wǎng)關300允 許其通過�����;對于訪問其它地址的IP分組���,接入控制網(wǎng)關300將其重定向到認證服務器200 的認證頁面(步驟S320);用戶主機100自動向認證服務器200發(fā)起SSL連接���,SSL模塊檢 查用戶主機100是否安裝了數(shù)字證書并進行身份驗證(步驟S330)���;如用戶主機100未安 裝數(shù)字證書,提示用戶安裝(步驟S340);認證服務器200通過SSL連接狀態(tài)和數(shù)字證書獲 取用戶主機100的CerID和IP地址���,和接入控制網(wǎng)關300進行聯(lián)網(wǎng)認證(步驟S350)�����,認 證成功后則用戶主機100可以訪問互聯(lián)網(wǎng)(步驟S360 是)�����,如果認證未成功(步驟S360 否),則返回錯誤頁面��。圖4示出了本發(fā)明所應用的用戶主機100��、認證服務器300和接入控制網(wǎng)關300三 方通信的詳細流程示意圖��,其中���,用戶主機100和認證服務器200間采用雙向SSL認證����。如圖所示����,該流程包括以下步驟����。用戶主機發(fā)起網(wǎng)絡接入請求��,將其SSL版本號��、 加密設置參數(shù)����、與會話有關的數(shù)據(jù)以及其它一些必要信息發(fā)送到認證服務器(步驟S410)。 認證服務器將自己的證書�,以及同證書相關的信息發(fā)送給用戶主機(步驟S420)。用戶主機 檢查認證服務器發(fā)送過來的證書是否是由自己信賴的CA中心所簽發(fā)并驗證認證服務器的 合法身份(步驟S430)��,驗證通過后用戶主機發(fā)送用戶證書���、用戶主機所支持的加密方案給 服務器�����,所發(fā)送的數(shù)據(jù)用認證服務器公鑰加密(步驟S440)��。認證服務器收到用戶證書���,驗 證用戶身份��,獲取用戶身份信息(步驟S450)�,向接入控制網(wǎng)關發(fā)送授權請求(步驟S460)��。 接入控制網(wǎng)關向認證服務器發(fā)送授權應答(步驟S470)����。認證服務器向用戶主機發(fā)送會話 加密方案,發(fā)送數(shù)據(jù)用用戶主機公鑰加密(步驟S480)�����。用戶主機根據(jù)接收到的會話加密方 案����,選擇會話密鑰��,發(fā)送給認證服務器���,發(fā)送數(shù)據(jù)用認證服務器公鑰加密(步驟S490)�����。認證 服務器解密獲得會話密鑰�����,之后認證服務器和用戶主機的通信都采用會話密鑰加密�����。此外����,在以上的描述中,針對各個實施方式�����,列舉了多個單元結構實例或步驟實 例��,雖然發(fā)明人盡可能地標示出彼此關聯(lián)的實例�����,但這并不意味著這些實例必然按照相應 的標號存在對應關系����。只要所選擇的單元結構實例或步驟實例所給定的條件間不存在矛 盾�����,可以在不同的實施方式中���,選擇標號并不對應的實例來構成相應的技術方案,這樣的技 術方案也應視為被包含在本發(fā)明的范圍內����。
至此已經結合優(yōu)選實施例對本發(fā)明進行了描述。應該理解����,本領域技術人員在不 脫離本發(fā)明的精神和范圍的情況下,可以進行各種其它的改變���、替換和添加。因此�,本發(fā)明 的范圍不局限于上述特定實施例,而應由所附權利要求所限定�����。
權利要求
一種網(wǎng)絡接入認證方法����,包括以下步驟接收用戶主機發(fā)送的用戶數(shù)字證書����;基于接收到的用戶數(shù)字證書對用戶進行身份認證���;從用戶數(shù)字證書中解析用戶信息��,并根據(jù)從用戶數(shù)字證書中解析出的用戶信息���,通過查詢訪問控制列表,判斷是否允許用戶主機對目的地址進行訪問���;認證成功并且判斷允許訪問后�����,向接入控制網(wǎng)關發(fā)送對于所述用戶主機的接入授權請求����,并接收接入控制網(wǎng)關返回的對于所述用戶主機的接入授權��;以及將認證結果和接入授權結果發(fā)送給用戶主機�。
2.根據(jù)權利要求1所述的網(wǎng)絡接入認證方法�����,還包括向用戶主機發(fā)送網(wǎng)絡接入認證服務器的數(shù)字證書���,用戶主機利用所述網(wǎng)絡接入認證服 務器的數(shù)字證書,能夠對網(wǎng)絡接入認證服務器進行身份認證����。
3.根據(jù)權利要求2所述的網(wǎng)絡接入認證方法,其中�����,所述用戶主機和認證服務器間使 用SSL雙向認證�。
4.根據(jù)權利要求1至3中任一項所述的網(wǎng)絡接入認證方法,其中����,所述數(shù)字證書嵌入了 用戶的CerlD、用戶身份證號����、電子郵件地址���、用戶個人照片�����。
5.根據(jù)權利要求4所述的網(wǎng)絡接入認證方法�,其中,所述數(shù)字證書符合ITUX.509及 ITU X. 500國際標準��。
6.一種網(wǎng)絡接入認證服務器����,包括以下步驟接收裝置,用于接收用戶主機發(fā)送的用戶數(shù)字證書���; 用戶身份認證裝置��,基于接收到的用戶數(shù)字證書對用戶進行身份認證���; 訪問許可判斷裝置,從用戶數(shù)字證書中解析用戶信息�����,并根據(jù)從用戶數(shù)字證書中解析 出的用戶信息,通過查詢訪問控制列表����,判斷是否允許用戶主機訪問目的地址;接入授權獲取裝置�����,認證成功并且判斷允許訪問后����,向接入控制網(wǎng)關發(fā)送對于所述用 戶主機的接入授權請求,并接收接入控制網(wǎng)關返回的對于所述用戶主機的接入授權�;以及 結果返回裝置,將認證結果和接入授權結果發(fā)送給用戶主機���。
7.根據(jù)權利要求6所述的網(wǎng)絡接入認證服務器��,還包括數(shù)字證書發(fā)送器��,用于向用戶主機發(fā)送網(wǎng)絡接入認證服務器的數(shù)字證書�����,用戶主機利 用所述網(wǎng)絡接入認證服務器的數(shù)字證書����,能夠對網(wǎng)絡接入認證服務器進行身份認證�。
8.根據(jù)權利要求7所述的網(wǎng)絡接入認證服務器,其中�,所述用戶主機和認證服務器間 使用SSL雙向認證。
9.根據(jù)權利要求6至8中任一項所述的網(wǎng)絡接入認證服務器���,其中���,所述數(shù)字證書嵌入 了用戶的CerlD、用戶身份證號����、電子郵件地址、用戶個人照片����。
10.根據(jù)權利要求9所述的網(wǎng)絡接入認證服務器,其中�,所述數(shù)字證書符合ITUX. 509 及ITU X. 500國際標準。全文摘要
本發(fā)明提供了一種網(wǎng)絡接入認證方法和網(wǎng)絡接入認證服務器����。所述方法包括以下步驟接收用戶主機發(fā)送的用戶數(shù)字證書;基于接收到的用戶數(shù)字證書對用戶進行身份認證;從用戶數(shù)字證書中解析用戶信息�,并根據(jù)從用戶數(shù)字證書中解析出的用戶信息,通過查詢訪問控制列表�����,判斷是否允許用戶主機對目的地址進行訪問�;認證成功并且判斷允許訪問后,向接入控制網(wǎng)關發(fā)送對于所述用戶主機的接入授權請求�����,并接收接入控制網(wǎng)關返回的對于所述用戶主機的接入授權��;以及將認證結果和接入授權結果發(fā)送給用戶主機�����。
文檔編號H04L29/06GK101883106SQ20101021290
公開日2010年11月10日 申請日期2010年6月30日 優(yōu)先權日2010年6月30日
發(fā)明者吳建平, 張輝, 李威, 李星, 黃友俊 申請人:賽爾網(wǎng)絡有限公司