专利名称:基于dns的用户认证和域名访问控制方法及系统的制作方法
技术领域:
本发明属于网络技术、域名系统技术领域,具体涉及一种基于DNS的用户认证和域名访问控制方法,以及采用该方法的系统。
背景技术:
互联网实体通常由域名来标识,而DNS是结合域名和实际IP地址的关键纽带。通过DNS可以使用户通过输入易记的域名达到通过IP地址进行最终通信的目的。为了保证IP地址和域名绑定关系的可信度,IETF推出DNSSEC系列标准,DNSSEC能够通过特定的机制使一个域的运营者直接对DNS信息进行签名,所使用的密钥和其父域之间存在绑定,中间实体能够通过这种逻辑找到可接受的最终信任锚。借助DNSSEC的功能,IETF成立了 DANE工作组,旨在利用DNSSEC来实现用户域名及其密钥之间的安全绑定,从而实现用户对服务进行安全认证的目的。但是,这一机制缺乏服务器端对用户的认证以及根据不同用户进行区分服务的功能。
发明内容
本发明提出一种基于DNS的用户认证和域名访问控制方法及系统,通过在DNS系统中引入新的资源记录,引导用户进行服务建立之前的认证,并根据认证结果获取对应服务器的接入地址以及安全密钥信息,实现对访问用户进行认证并根据用户指派服务器的功倉泛。为实现上述目的,本发明采用如下技术方案:一种基于DNS的用户认证和域名访问控制方法,其步骤包括:I)服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;2)用户向DNS服务器发起一域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录;3)用户根据获得的CA资源记录中的IP地址访问相应的认证服务器,该认证服务器采用该CA资源记录指定的协议类型对用户进行认证;4)认证成功后,该认证服务器向用户返回安全连接所需的密钥信息,并为用户指派应用服务器;5)用户通过该应用服务器发起安全连接,访问互联网资源。上述方法中,所述认证协议类型可以是RADIUS、Diameter等。上述方法中,所述CA (Certificate Authority,认证中心)资源记录包含认证服务器的IP地址和认证协议;优选地,其格式为:Domain-name TTL CA Protocol@IP,其中Domain-name表示域名,TTL表征该条资源记录的生命值(有效生存时间),Protocol为所使用的认证协议,IP为认证服务器的地址。上述记录的含义是:Domain-name所标识的服务由地址为IP的认证服务器进行安全认证,所使用的认证协议为Protocol,该条记录的有效生存时间是TTL。上述方法中,所述密钥信息可以是访问https网站时使用的密钥信息,或者是建立SSL等安全连接时需要使用的密钥信息。一种实现上述方法的基于DNS的用户认证系统,包括DNS服务器和客户端,其特征在于,还包括认证服务器;所述DNS服务器存储所述认证服务器的IP地址,并根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;所述DNS服务器接收用户的域名查询请求,并向用户返回该域名对应的CA资源记录;所述认证服务器采用该CA资源记录指定的协议类型对用户进行认证,在认证成功后向用户返回安全连接所需的密钥信息,并为用户指派应用服务器。本发明通过在DNS系统中引入新的资源记录,引导用户进行服务建立之前的认证,并根据认证结果获取对应服务器的接入地址以及安全密钥信息,实现对访问用户进行认证并根据用户指派服务器的功能。本发明支持服务提供者对用户的认证,服务和认证的分离保证了服务提供的安全性和可靠性;且可以将不同的用户导向同一服务的不同服务器,起到区分服务的作用。
图1是实施例的基于DNS的用户认证和域名访问控制方法的流程图。图2是实施例的基于DNS的用户认证系统的组成及工作流程示意图。
具体实施例方式下面通过具体实施例,并配合附图,对本发明做详细的说明。图1是采用该系统进行的基于DNS的用户认证并建立安全连接的流程图。图2是本实施例的基于DNS的用户认证系统的组成及工作流程示意图。该系统包括DNS服务器、客户端、应用服务器以及认证服务器。下面结合图1、2具体说明本实施例的实施过程:I)服务提供商为其所提供的服务部署和建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及认证协议类型建立CA资源记录。域名在DNS上可以有多个资源记录,如A记录存放该域名的IPv4服务器地址,AAAA记录存放该域名的IPv6服务器地址,TLSA记录存放该域名的公钥信息等,本发明所述的CA资源记录存放域名的认证服务器信息。2)待认证的用户希望向如www.example, cn的域名发起安全连接,首先向DNS服务器发起查询请求,经由DNS查询该域名的地址信息。3) DNS服务器返回该域名对应的CA资源记录,其中包含认证服务器地址,以及认证服务器支持的安全认证协议类型,比如RADIUS、Diameter等。认证协议由部署认证服务器的服务提供商决定。具体的,DNS服务器如发现该域名存在CA资源记录,便向客户端响应该CA资源记录,响应消息包含的CA资源记录的内容为:www.example.comlOOCADiameteril.1.1.1。客户端根据该CA资源记录,发现欲访问的应用服务器配合部署了认证服务器,所采用的认证协议为Diameter,服务器的IP地址为L1.1.1,该条记录的有效生存时间为100s。生存时间的设定所考虑的因素主要是这个资源记录的有效时间,比如部署认证服务器时,假设每IOOs就更新一下服务器的地址或认证协议类型,那么这个TTL就应设置为IOOs04)为了建立安全连接,用户向该认证服务器发起认证过程,所用协议为从DNS返回的 Protocol。具体的,客户端向上述1.1.1.1的认证服务器发起Diameter认证请求,其中携带了客户端欲访问的域名。该认证服务器和客户端交互Diameter信令,对客户端身份进行认证。该认证过程符合IETF的既有协议的标准流程。5)认证成功之后,认证服务器向该客户端指派应用服务器以及和该服务器建立安全连接所需要的密钥信息。所述密钥信息可以是访问https网站时使用的密钥信息,或者建立SSL等安全连接时需要使用的密钥信息等。认证服务器为用户指派适当的应用服务器IP,如根据用户身份指派不同的服务器,从而获得不同权限的内容,即可以将不同的用户导向同一服务的不同服务器,起到区分服务的作用。本例中www.example, com对应的应用服务器I为VIP用户方可访问的域名,而应用服务器2为普通用户访问的域名,如图2所示。6)客户端采用该密钥信息和认证服务器指派的应用服务器2建立SSL安全连接,从而发起安全连接过程,访问该域名对应的内容。以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
权利要求
1.一种基于DNS的用户认证及域名访问控制方法,其步骤包括: 1)服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,该DNS服务器根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录; 2)用户向DNS服务器发起一域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录; 3)用户根据获得的CA资源记录中的IP地址访问相应的认证服务器,该认证服务器采用该CA资源记录指定的协议类型对用户进行认证; 4)认证成功后,该认证服务器向用户返回安全连接所需的密钥信息,并为用户指派应用服务器; 5 )用户通过该应用服务器发起安全连接,访问互联网资源。
2.如权利要求1所述的方法,其特征在于:所述认证协议类型是RADIUS或者Diameter。
3.如权利要求1所述的方法,其特征在于:所述CA资源记录的格式为Domain-nameTTLCA ProtocolOIP,其中Domain-name表示域名,TTL为该条资源记录的生命值,Protocol为所使用的认证协议,IP为认证服务器的地址。
4.如权利要求3所述的方法,其特征在于:所述生命值为100s。
5.如权利要求1所述的方法,其特征在于:所述密钥信息是访问https网站时使用的密钥信息,或者是建立SSL等安全连接时需要使用的密钥信息。
6.如权利要求1所述的方法,其特征在于:所述认证服务器根据用户身份将不同的用户导向同一服务的不同服务器。
7.一种基于DNS的用户认证系统,包括DNS服务器和客户端,其特征在于,还包括认证服务器;所述DNS服务器存储该认证服务器的IP地址,并根据该IP地址以及该认证服务器支持的认证协议类型建立CA资源记录;所述DNS服务器接收用户的域名查询请求,并向用户返回该域名对应的CA资源记录;所述认证服务器采用该CA资源记录指定的协议类型对用户进行认证,在认证成功后向用户返回安全连接所需的密钥信息,并为用户指派应用服务器。
8.如权利要求7所述的系统,其特征在于:所述CA资源记录的格式为Domain-nameTTLCA ProtocolOIP,其中Domain-name表示域名,TTL为该条资源记录的生命值,Protocol为所使用的认证协议,IP为认证服务器的地址。
9.如权利要求7所述的系统,其特征在于:所述密钥信息是访问https网站时使用的密钥信息,或者是建立SSL等安全连接时需要使用的密钥信息。
10.如权利要求7所述的系统,其特征在于:所述认证服务器根据用户身份将不同的用户导向同一服务的不同服务器。
全文摘要
本发明公开一种基于DNS的用户认证和域名访问控制方法及系统。该方法包括服务提供商为其所提供的服务建立认证服务器,并在DNS服务器中注册该认证服务器的IP地址,DNS服务器根据该IP地址以及认证协议类型建立CA资源记录;用户向DNS服务器发起域名查询请求,DNS服务器向该用户返回该域名对应的CA资源记录;用户根据CA资源记录访问认证服务器并进行认证;认证成功后,认证服务器向用户返回安全连接所需的密钥信息,并指派应用服务器;用户通过该应用服务器访问互联网资源。本发明通过在DNS系统中引入新的资源记录,实现对用户进行认证并向用户指派应用服务器,服务和认证的分离保证了服务提供的安全性和可靠性。
文档编号H04L29/12GK103078877SQ201310039730
公开日2013年5月1日 申请日期2013年1月31日 优先权日2013年1月31日
发明者延志伟 申请人:中国科学院计算机网络信息中心