专利名称:因特网ip-用户身份认证机制(方法)的制作方法
涉及领域基于TCP/IP协议的因特网。
在TCP/IP协议基础上构建的因特网(InterNet)现在已经普及社会的各个层次。发展到今天,因特网中的用户身份认证越来越显得重要,很多情况下需要对特定用户的身份进行认证。一方面,在网络上各种商务活动中需要基于用户的身份认证服务提供方向特定用户提供服务,并要求用户承担义务(如付款)。另一方面,对网络的各种管理也需要基于用户的身份认证,因为很多特定工作只能由特定的用户(如管理员)来完成。
当有人利用网络进行不法活动时,国家或者网络管理者更需要有界定不法活动者身份的手段。
在因特网上用户身份的唯一标识是用户当前所使用主机的IP地址。如果能够通过IP地址来界定用户身份,因特网上的用户身份认证将会实现非常简单,使用非常方便,推广非常容易。然而,很多情况下IP地址来源于非特定人使用的计算机(特别是网吧等公用计算机场所),要想根据这个IP地址查出具体用户是非常困难的。这里提出的IP-用户身份认证机制的目的便是通过对因特网特定用户身份到特定时刻特定IP的绑定实现后者到前者的可靠转化。一、现行做法目前在因特网中使用传统身份认证方法中都包含提供认证服务的认证中心(CA)。认证中心根据用户向其提供的认证信息确定用户身份。服务提供商(网络管理者、国家安全部门等)作为第三方,信任并使用经认证中心确认的用户身份。目前在局域网中常用的是IP/MAC绑定机制,在因特网中使用较广泛的认证方式则包括简单账号/密码机制和数字签名,另外还有加密数据通道等。1.IP/MAC绑定这种方法只能用于以太网(EtherNet),它基于用户主机网卡的MAC地址,身份验证面向IP地址而非用户。以太网内部TCP/IP协议通信依赖于用户计算机网卡物理地址(MAC),这个数据在网卡制造时固化在其内部,全世界唯一,并且不能随意更改。IP/MAC绑定要求用户在使用网络前向认证中心(通常就是网关)注册其网卡MAC地址。用户通过网关访问外部因特网网络资源时,位于同一子网内部的网关根据该主机注册MAC与其当前使用的IP地址是否匹配决定是否允许该主机访问外部网络。这样网关能够保证该IP地址只被该主机使用。如果该主机的使用权属于特定用户,则可以界定该用户的身份。
IP/MAC绑定机制有很多局限首先,认证中心必须与用户主机位于同一子网内部,因此IP/MAC绑定机制只能用于基于以太网的局域网,无法推广到整个因特网。其次,IP/MAC绑定是面向主机的,它只能确定某时刻使用某IP地址的主机。如果该主机为多人共用或者集体公用(如网吧),则无法界定用户身份。再次,IP/MAC绑定机制要求用户每次在使用网络前要到认证中心去注册其MAC,严重制约移动主机的使用。
IP/MAC绑定曾经是以太网中非常流行的一种管理手段。但由于有的网卡MAC是可修改的,并且许多操作系统都提供了更改网卡逻辑MAC的手段,这使得作为一种认证手段的IP/MAC绑定实际上已经不能保证实现这个目标,正在逐渐被淘汰。
IP/MAC绑定可以看成是一种基于硬件的方法。基于硬件的还有很多其它方法,如交换机端口监控、虚拟电子链路(VLan)、到端口的三层交换等等。由于硬件作用范围的限制,通过硬件实现的办法都只能用于局域网。另外,通过硬件实现必然导致硬件成本的增加,大范围推广非常困难。2.传统的账号/密码机制,数字签名与加密数据通道这几种方法的使用都不受网络范围的限制,在局域网和广域网中都可以使用,并且都是面向用户的。在传统的账号/密码机制中,用户首先通过TCP/IP连接向认证中心提供用户账号和密码(登录)。如果密码匹配(登录成功),认证中心即信任该连接。在这种机制下使用身份信息的第三方(如服务提供商)往往本身就是认证中心,因此第三方与用户的正常通信和身份认证是使用同一个连接。由于实现简单,这是一种在因特网上经常使用的认证方式。出于方便的原因,用户的账号、密码通常在网络中以明文方式传送,因此攻击方很容易通过对网络监听而获取用户账号和密码。数据安全理论中的数字签名技术能够克服这个问题,使用户密码不在网络中直接传递的条件下认证中心仍然能够验证用户身份。
这两种机制实际上都是基于连接的。认证中心不关心用户的IP地址,而是信任当前已经建立的TCP/IP连接。因此,每次重新建立连接的时候都需要重新验证用户身份,即使用户的IP地址没有发生变化。而当用户与认证中心之间存在多个连接时,其中任何一个连接的验证信息不能由其他连接使用。
另外,由于TCP/IP协议本身不包括安全机制,即使不直接传递用户密码的数字签名机制仍然是不安全的。当用户登录成功后,攻击方很容易夺取用户与服务方的TCP/IP连接,冒充原用户身份,而认证中心无法察觉。
数字签名方式的隐患在于网络连接可以被伪造和被接管。加密的虚拟专用网络(VPN)可以解决这个问题。VPN实际可以看成是一条加密数据通道。这种方式下,用户将数据以加密的格式发送给认证中心,认证中心对数据进行解密。除非攻击方能够破解VPN所使用的加密算法,否则是无法长期伪造原用户数据的,因此这种方法能够有效保护用户身份。加密VPN的缺点在于要将所有的数据进行加密运算,运算开销非常巨大。另外,第三方只能间接从认证中心获取数据(一种特殊情况是,认证中心就是第三方自己)。宽带网络的发展将导致用户流量的大幅度增加(带宽爆炸),因此大范围推广加密VPN将无疑对认证中心的计算能力提出巨大挑战。
二、方案目的克服前面各种方案的缺点,通过因特网特定用户身份到特定时刻特定IP的绑定实现后者到前者的可靠转化,有效保护用户身份。三、具体实现1.用户使用网络前应向认证中心登录,提交用户名,并进行必要的身份验证过程。
2.认证中心将用户与其当前使用的IP地址绑定,即认证中心建立特定时刻由已绑定IP地址到特定用户身份的对应关系。
3.认证中心定时向用户发送身份校验请求,用户方应在指定时间内应答;或者由用户方根据特定规则主动地定期向认证中心报告当前状态。该校验过程通过正常的IP连接(包括TCP和UDP)完成。
4.如果用户应答错误或者超时,则认证中心强制注销用户。之前用户可以主动向服务器申请注销。
5.IP地址绑定期间(用户使用该IP地址登录成功后,注销成功前)第三方可以根据IP地址向认证中心查询用户信息,并认为该时刻该IP地址的所有网络行为均为对应绑定用户的行为,直到用户注销。
6.用户注销后,认证中心应通知所有正在使用该认证信息的第三方解除对该IP地址(以及与该IP地址绑定的用户)的信任关系。
该方案的原理基于因特网实现机制保证任何时刻没有IP地址相同的计算机能够同时与外界正常通信(IP地址唯一)。它通过验证客户端与服务端通信的方法保证用户始终持有他所注册IP地址。在以往,攻击成功意味着原客户系统被摧毁,而在该认证机制下,攻击者必须保证原用户能够正常与认证服务器通信。IP地址唯一性保证这样的攻击不可能取得成功。——如果原用户主机被摧毁,认证中心能够在反应时间内察觉,并取消对原用户的信任,使攻击方无法通过冒充原用户身份的方式取得非法利益或者从事非法活动。四、方案特性1、基于IP地址,面向用户。认证中心能够根据认证信息将特定时刻的IP地址行为转换成特定用户行为。用户登录后,认证中心保证用户所使用的IP地址能够成为其身份的唯一标识。同时,该方式不要求用户使用特定IP地址,只要求在登录其间不更改IP地址,因此能够很好结合DHCP(动态主机配置协议),给用户以最大的方便,使移动用户在公用网络环境中实现网络的“即插即用(Plug and Play)”2、不受网络范围限制。认证中心可以安置在任何用户主机能够访问到的位置。只要用户登录,整个因特网中任何第三方可以根据用户IP地址和认证中心提供的用户-IP地址绑定信息界定用户身份。
3、安全可靠。当攻击者试图使用原用户IP地址使用网络资源时,必然打断用户与认证中心间正常的校验通信,导致用户在超时时限内被强制注销。注销后用户不必再为原IP地址负责,第三方可立刻停止服务——攻击方将无利可图,从而有效的保护原用户利益。另外,当用户计算机发生意外(如死机)时,认证中心也可以很快采取措施(如强制注销),实现对用户利益最大程度的保护。
4、该身份校验机制不依赖于具体的校验算法。用户登录时身份验证工作以及后面的定时校验过程中可以通过任何已有的认证方法完成,比如前面提到的数字签名机制和简单账号/密码机制。在条件允许时可以使用硬件手段来辅助验证过程。
5、根据目前的数据安全理论,已经能够将此认证系统设计成在可公开客户端、服务段程序源代码,可公开客户端、服务器之间的通信数据与验证机理,可允许攻击方长期监听网络的条件下,服务端仅根据用户密钥确定用户的合法性。不持有用户密钥的攻击方无法伪造用户与服务期间的通讯数据。因此,该机制能够实现开放协议与开放源码,并实现标准协议。任何人可以为自己的操作系统编写定制的客户端。用Java实现的客户端原则上可以运行于任何操作平台。
6、用户方工作可以通过一个特定的客户端程序完成。该程序工作在纯应用层(TCP/IP协议的最高层),因此不会干扰用户其他的网络访问,也不会破坏用户的操作系统。
7、认证过程不依赖于客户端程序对用户计算机软硬件系统的监视(IP/MAC绑定必须假定用户不会恶意更改其网卡的MAC地址)。
8、强实时性、轻负担,可以有效支持大量用户,并且不受网络数据流量限制,因此特别适合宽带网络。
9、该机制能够非常容易在宽带广域网下推广使用,并且能够最大限度利用已有网络资源。不受网络具体设备限制,不受网络拓扑结构限制。该认证机制实现所需要的额外硬件只包括认证服务器。在用户方所需要的额外软件条件只包括一个客户端程序,该程序甚至可以以Java Applet的形式在用户浏览器中运行。用户不需要额外的硬件条件。
10、将上面的认证过程逆转,能够很容易实现用户与认证中心之间的双向认证。
权利要求
因特网IP-用户身份认证机制(方法)请求保护的技术特征1.用户与认证中心的认证信息使用特定的加密机制通过一个专门的因特网网络连接(包括TCP连接和UDP连接)传递。认证中心通过对该连接的保护实现对用户身份的保护。
2.采取定时校验的措施,实时监视用户状态,以达到保护用户身份的目的。
3.使用IP地址作为因特网身份认证的基础,由认证中心实现特定用户到特定时刻特定IP地址的绑定,以及后者到前者的转换。
全文摘要
本文提出一种因特网IP-用户身份认证机制(方法)。涉及领域基于TCP/IP协议的因特网。目的通过因特网特定用户身份到特定时刻特定IP的绑定实现后者到前者的可靠转化。主要技术特征通过专门IP连接传递校验信息;定时校验用户身份;用IP作为用户身份认证的基础。本机制可以应用在各种需要了解网络用户身份的场合(如电子商务、网络事务管理、不法网络活动追查等),并特别适合宽带网络的应用。
文档编号H04L9/32GK1394044SQ0112958
公开日2003年1月29日 申请日期2001年6月28日 优先权日2001年6月28日
发明者杨磊, 黄辉 申请人:杨磊, 黄辉