专利名称:互联网身份认证方法及系统的制作方法
技术领域:
本发明涉及互联网的身份管理领域,尤其涉及在互联网上认证个人身份的方法及系统。
背景技术:
如今,互联网已经走入千家万户,广泛应用在生产、服务、生活等各个领域。在带来巨大的社会效益和经济效益的同时,互联网正逐步改变着人类社会的生产方式和人们的生活方式。
网络技术在推动社会进步的同时,也带来了一系列的问题。由于互联网具有受众广泛、成本低、使用便利的特点,越来越多的国家机关、金融机构、商业组织开始在互联网上提供服务,整个社会对互联网的依赖日益加深。而同时发展迅速的还有利用网络进行的种种非法和不当行为,从侵入他人系统、网络诈骗等犯罪行为,到发布假消息、随意攻击他人等不道德行为,这些做法正在并且还将继续对社会造成危害。
现有技术中,在网络基础设施、操作系统、通用基础应用程序等各个层面有多种技术可以进行漏洞检测与修复,以防止本方的网络系统被非法入侵;同时还有多种加密技术用来保障在网络上传输的数据的安全,这些技术的共同之处在于加大非法获得信息的难度,但是对于非法行为发生后对责任人的查找则起不到多少作用,尤其是对在互联网上散布留言、攻击他人等行为更是无能为力。事实上,网络行为的责任人很难查找的根源在于互联网的匿名性。虽然通过网络系统的日志能够知道某一行为的时间甚至地点,但却很难对应到某个具体的能够承担责任的人。
现有的身份认证方法中,由认证中心提供身份认证服务,认证方式包括帐号/密码机制、加密数据通道、数字签名等。用户与互联网上的某项应用建立连接后,向认证中心请求身份认证,由认证中心将认证结果通知该应用的服务器,该应用服务器根据认证结果信任或拒绝该用户。这种认证方式是基于连接的,如果要确定每一个网络行为的用户,就必须对每一次连接进行一次认证。考虑到互联网庞大的用户群,很难承受这样的流量。所以这种方法只应用于必须即时认证用户身份的少量关键应用,而对其他大量的互联网应用,仍然不能确定实施网络行为的人。
同时,如今用户使用互联网时,在不同的网站、甚至在相同网站提供的不同服务上往往不得不注册为不同的用户名。而用户使用互联网的范围越大,注册的用户名就越多,记住每个用户名都很困难,更不用说还得记住对应的网站或服务了。缺乏统一的身份认证系统对用户使用互联网造成了不便。
发明内容
本发明要解决的技术问题是提供一种在互联网上认证个人身份的方法及系统,通过将在互联网上必须使用的IP(Internet Protocol,互联网协议)地址对应到实施网络行为的责任人,建立起用户网络标识与现实生活中个人身份的直接关系。
本发明所述互联网身份认证方法,包括以下步骤A.身份服务器接受用户注册,在身份数据库中存储用户身份信息及对应的密码;B.在身份数据库中建立该用户包括身份信息的登记数据与用户终端IP地址的对应关系;C.所述用户终端连接至应用服务器,向该应用服务器发送密码;D.所述应用服务器将用户终端的IP地址及密码发送至身份服务器;E.所述身份服务器查询该身份数据库,进行密码验证;如果验证成功,则向应用服务器返回身份数据库中该IP地址对应的登记数据;如果验证失败,则进行失败处理。
优选地,在所述步骤A与B之间还包括为用户终端分配IP地址的步骤。
优选地,所述为用户终端分配IP地址包括固定IP地址的分配,具体步骤为用户向IP地址提供方提供包括用户身份信息、该用户终端所在的互联网网段号的登记数据和密码;IP地址提供方查询所述身份数据库,进行密码验证;IP地址提供方为用户终端指定IP地址。
优选地,上述指定具体是根据用户身份信息、互联网网段号生成IP地址。
优选地,所述为用户终端分配IP地址包括动态IP地址的分配,具体步骤为用户终端向其所在互联网网段的动态地址分配服务单元发送包括用户身份信息的登记数据和密码,申请IP地址;所述动态地址分配服务单元指定IP地址,并将登记数据、密码和指定的IP地址发送到身份服务器;所述身份服务器进行密码验证;如果验证成功,则进入步骤B;如果验证失败,则进行失败处理。
优选地,上述登记数据还包括用户终端的MAC地址。
优选地,所述MAC地址与IP地址之间一一对应;且用户身份信息对应多个IP地址。
优选地,本发明所述方法在步骤E之后还包括用户终端申请IP地址释放;向身份服务器提供身份信息、密码、MAC地址;所述身份服务器进行密码验证;如果验证成功,则删除身份数据库中所述身份信息项下对应于所述MAC地址的记录;如果验证失败,进行失败处理。
优选地,所述密码包括鉴权密码和查询密码,鉴权密码用于对IP地址的申请和释放进行验证,查询密码用于对应用服务器的身份查询进行验证。
本发明还提供一种互联网身份认证系统,包括身份服务器、用户终端和应用服务器;且所述身份服务器与用户终端及应用服务器之间具有数据通道,所述用户终端与应用服务器之间具有数据通道;所述身份服务器包括身份数据库,用于存储包括用户身份信息的登记数据与用户终端IP地址的对应关系、密码;其中,所述用户终端在连接应用服务器时向应用服务器发送密码;所述应用服务器向身份服务器发送用户终端的IP地址和从用户终端接收的密码;所述身份服务器在收到应用服务器发送的IP地址和密码后,查询身份数据库,进行密码验证;并且在通过密码验证后向应用服务器返回身份数据库中该IP地址对应的登记数据。
本发明通过建立IP地址与用户个人身份之间的对应关系,实现了从互联网用户的网络地址即可查找到该用户的真实身份,这样对于需要即时认证用户的关键应用,可以向身份服务器认证用户的身份,对于其他网络应用,则可以在有必要时通过查询身份数据库得到网络行为实施者的用户身份,便于对网络的监管。
同时,应用本发明后,各个网站和互联网服务可以使用统一的身份认证体系,用户不再需要记忆不同网站或不同服务的注册名称和口令,简化了所有与身份相关的网络应用,为互联网用户提供了便利。
图1所示为本发明的系统结构图;图2所示为本发明所述方法的流程图;图3所示为本发明所述固定IP地址申请的流程图;图4所示为本发明所述动态IP地址申请的流程图;图5所示为本发明所述通过IP地址查询用户身份信息的流程图;图6所示为本发明所述固定IP地址释放的流程图;
图7所示为本发明所述动态IP地址释放的流程图。
具体实施例方式
在互联网上,每个网络终端都有唯一的地址与其他终端或网络设备相区别,这个区别的地址可以是IP地址,也可以是MAC(MediaAccess Control,媒质接入控制)地址。MAC地址是网络终端的固有属性,不可更改,MAC地址与网络终端是一一对应的;而当前IP地址,包括IPV4(Internet ProtocolVersion 4,第4版互联网协议)和IPV6(Internet Protocol Version 6,第6版互联网协议)地址,代表当前的设备;在某一子网中某一时刻,IP地址与网络终端也是一一对应的。同时,在互联网上传输的各种应用数据包中,IP地址是必不可少的。
而对于社会中的人,其个人身份的证明也是必不可少的,这些证明包括身份证、护照证件、军人证件等。一般而言这些证件中都有唯一的序列号码与其证件一一对应,如身份证号码、护照号码、军人证件号码等,这些号码不重复,具有唯一性,从而这些号码与个人之间又建立了一一对应的关系,即“人即是号码”。
可见,建立IP地址与个人身份之间的对应关系不会增加当前个人身份管理体系的负荷,是一种良好的选择方案。尤其是未来应用IPV6时,由于全球人口数远远小于IPV6的总容量,从一个较小的集合A可以建立映射关系到另外一个较大的集合B,A中的元素可以对应B中一个或多个元素,并保证A中不同的元素对应B中不同的元素,此映射是由个人身份号码得到IPV6地址的过程,而逆映射的过程即可完成从IPV6地址到个人身份号码的转换。
以下参考附图,详细说明本发明的优选实施方式。
参见图1,包括用户终端110、身份服务器130、和应用服务器140;且所述身份服务器130与用户终端110及应用服务器140之间具有数据通道,所述用户终端110与应用服务器140之间具有数据通道。
用户通过终端110接入Internet(互联网),路由器120为用户终端110所在的网段提供路由服务。
身份服务器130上的身份数据库为根据本发明所述方法建立的存储用户IP地址与身份信息对应关系的数据库,用于存储包括用户身份信息的登记数据与用户终端IP地址的对应关系、密码,由提供此项服务的有关机构负责管理和维护;应用服务器140提供使用身份数据库获得用户身份信息的任意网络服务。
其中,所述用户终端110在连接应用服务器140时向应用服务器140发送密码;所述应用服务器140向身份服务器130发送用户终端110的IP地址和从用户终端110接收的密码;所述身份服务器130在收到应用服务器140发送的IP地址和密码后,查询身份数据库,进行密码验证;并且在通过密码验证后向应用服务器140返回身份数据库中该IP地址对应的登记数据。
其中,身份服务器可以由一台服务器实现,也可以由运行相同或不同应用的服务器组实现。
本发明所述方法包括图2所示的步骤,以下分别进行说明。
步骤S10为本发明的用户注册流程。在用户开始使用身份识别服务前,必须先办理身份数据库的用户注册。在注册流程中,用户需要提供本人的法定有效证件,或者在法律上能够被视为本人行为的证明材料,例如被代理人和代理人的法定有效证件、具有法律效力的授权委托书等。在对用户的真实身份进行核实后,在身份数据库中记录用户的个人身份信息,通常是身份证件的号码,以及由用户设定的鉴权密码和查询密码。
用户注册流程类似于开设股票交易帐户或银行帐户,其目的是保证掌握与身份信息对应的密码的人是真正的具有该身份信息的人。用户设定的鉴权密码用于申请和释放IP地址,查询密码则是当用户在使用各种互联网的应用和服务时,用来授权给所使用的服务通过IP地址在身份数据库中查找本人身份的。在实践中,鉴权密码和查询密码可以合二为一。
完成注册流程后,某用户在身份数据库中存储的信息如下
步骤S20和步骤S30为用户申请IP地址的流程。考虑到用户使用的便利性,本发明提供了两种IP地址申请流程其一是固定IP地址的申请流程,用户可以为自己经常使用的网络终端申请固定的IP地址,该网络终端应当位于互联网的固定网段。
固定IP地址的申请可以通过E-mail,信函、网络等方式提出,用户需要向身份服务器提供登记数据,包括身份信息、设定的鉴权密码、该网络终端的MAC地址、该网络终端所在的互联网网段以及其他有关信息。身份服务器的处理流程如图3所示,身份服务器在身份数据库中查找是否有该用户的身份信息,如果没有则返回提示该用户注册的消息;如果该用户已注册,则验证用户提供的密码与数据库中存储的鉴权密码是否一致,如果不一致则返回提示密码有误的消息;如果一致则查找已为该用户分配的所有IP地址对应的MAC地址是否与新提供的MAC地址不同,如果不同则为该用户分配在其提供的网段内的IP地址;如果相同则不再分配新的IP地址,读出与提供的MAC地址对应的IP地址,这样可以防止相同用户、相同MAC地址重复申请造成的地址浪费;将IP地址和所有用户提供的登记数据存储到身份数据库的对应项中,并向该用户终端返回该IP地址。
向用户分配给定网段内的IP地址可以通过计算机算法自动进行。该算法可以是运行在服务器中的一个模块,这个模块完成从登记数据到IP地址的映射功能,并应当满足以下条件
1)输入为身份号码和网段号,输出为IP地址;2)输出的IP地址不能重复;3)同一身份号码和网段号,可以有不同的IP,即在已经有身份号码和IP对应的关系后,输入同一身份号码和网段号后,IP地址能够重新生成,并且不重复;4)身份号码、网段号与IP地址可以一对多(在一对多的情况下,MAC地址可以作为必要的输入参数),但IP地址与身份号码必须一对一。
当然,所述固定IP地址分配并不限于由身份服务器进行,也可以由其他IP地址提供方分配。此时,用户向IP地址提供方提供包括用户身份信息、该用户终端所在的互联网网段号的登记数据和密码;IP地址提供方查询所述身份数据库,进行密码验证;IP地址提供方为用户终端指定IP地址;并将该登记数据和IP地址存储至身份数据库。
其二是动态IP地址的申请流程,用户在所有提供此项服务的网络终端上都可以申请动态IP地址,满足用户随时随地使用互联网的需求。
动态IP地址的申请要求用户使用的网络终端所在的互联网网段中有提供IP地址分配的动态地址分配服务单元,这项服务可以由运行在网络服务器上的软件提供,如DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)、BootP(Bootstrap Protocol,引导协议)、IPCP(Internet Protocol ControlProtocol,网间协议控制协议)等,也可以由网络设备提供,如路由器。
动态IP地址的申请流程如图4所示。用户通过网络终端申请动态IP地址分配,输入身份信息和鉴权密码作为登记数据,发送给动态地址分配服务单元。动态地址分配服务单元在用户输入的登记数据中添加从用户的数据包中获得的MAC地址,和从本服务的空闲IP地址池中取出的一个IP地址,发送给身份服务器。身份服务器在身份数据库中查找该用户身份信息、验证鉴权密码的判断过程和处理方式与固定IP地址申请流程相同,经过鉴权之后身份服务器直接将登记数据存储到身份数据库的对应项中,包括动态地址服务单元分配的IP地址,并向动态地址服务单元回执该IP地址,表示IP地址登记成功;动态地址服务单元向用户的网络终端发送该IP地址。
完成IP地址申请流程后,某用户在身份数据库中存储的信息如下
其中,固定IP地址申请流程中用户终端所在的互联网网段号存储在上表中“其他信息”字段。
步骤S40、S50、S60、S70为身份信息的认证流程。
步骤S40,所述用户终端连接至应用服务器,向该应用服务器发送密码。
步骤S50,所述应用服务器将用户终端的IP地址及密码发送至身份服务器。
步骤S60,所述身份服务器查询该身份数据库,进行密码验证;如果验证成功,则进行步骤S70,向应用服务器返回身份数据库中该IP地址对应的登记数据;如果验证失败,则进行失败处理。
所述失败处理可以是返回查询失败提示消息;也可以是返回密码错误提示消息;或不进行任何操作等。
如图5所示,是身份信息认证过程的一个实例。用户完成IP地址申请之后,就可以用该IP地址使用互联网上的各种功能。
当用户使用的某项互联网应用需要进行身份识别时,该应用的服务器提示用户输入其在身份数据库中的查询密码。收到用户提供的查询密码后,该应用服务器将从用户数据包中取得的IP地址和查询密码发送给身份服务器。身份服务器在身份数据库中查找使用该IP地址的用户,如果查找失败则返回查询失败提示消息;如果成功则验证查询密码是否正确,不正确返回密码错误提示消息,通过密码验证则向该应用服务器返回使用该IP地址的用户的身份信息和MAC地址。
互联网应用可以通过SMS(Short Message Service,短消息服务)、MMS(Multimedia Service,彩信)、电子邮件、特殊定义的信令等方式发起个人身份认证请求。
例如,网上银行在提供服务的过程中需要认证用户的身份,整个应用的流程包括用户终端通过IP地址与网上银行建立联系;用户终端的IP地址被网上银行获取;同时网上银行请求用户终端发送查询密码;用户终端发送查询密码,并以DRM(Digital Rights Management,数字版权管理)协议对该密码进行保护,以确保该密码不被散失,并只能使用一次;网上银行获取该密码后,以IP地址和密码向身份服务器查询身份号码;身份服务器把对身份数据库进行查询的结果反馈给网上银行;网上银行获取到该身份号码后,进行相关的后续业务。
对更多的互联网应用而言,并不需要即时对用户的身份进行确认。如果在身份服务器上增加对身份数据库添加、删除项目的日志记录,则可以根据使用某项应用的时间、用户IP地址查到当时是哪个用户在进行操作,从而确定网络行为的责任人。
本发明还包括IP地址的释放流程。对应于前述IP地址的申请流程,IP地址的释放流程也分为两种
其一是固定IP地址的释放流程,如图6所示。用户申请固定IP地址释放时,需要向身份服务器提供身份信息、鉴权密码、使用该IP地址的网络终端的MAC地址。身份服务器先在数据库先查询该用户的身份信息,再查询该用户占用的所有IP地址对应的MAC地址中有无所提供的MAC地址,如果查询失败则返回相应的提示消息;查询成功验证鉴权密码是否正确,正确则删除该MAC地址对应的IP信息包,将该IP地址放回空闲地址池,并向用户终端返回IP地址释放成功的消息。
其二是动态IP地址的释放流程,如图7所示。用户通过网络终端申请释放动态IP地址,输入身份信息和鉴权密码发送给动态地址分配服务单元。动态地址分配服务单元在用户输入的数据中添加从用户的数据包中获得的MAC地址,发送给身份服务器。身份服务器在身份数据库中先查询该用户的身份信息,再查询该用户占用的所有IP地址对应的MAC地址中有无所提供的MAC地址,如果查询失败则返回相应的提示消息;查询成功则验证鉴权密码是否正确,正确则删除该MAC地址对应的IP信息包,并向动态地址分配服务单元返回IP地址释放成功的消息。动态地址分配服务单元收到后,将该IP地址放回空闲地址池,并向用户终端返回IP地址释放成功的消息。
在以上步骤中,所有在互联网上进行的密码传输都采用加密技术对密码进行保护,并可以同时采用DRM技术。DRM协议可以设定文件被调用的次数和可调用的时间,例如把密码设置为只能使用一次,以确保密码的安全。
身份服务器的管理要充分考虑安全因素,综合采用多种网络安全技术,如不间断电源、防火墙、各种系统漏洞检测与修复技术等。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1.一种互联网身份认证方法,其特征在于,包括以下步骤A.身份服务器接受用户注册,在身份数据库中存储用户身份信息及对应的密码;B.在身份数据库中建立该用户包括身份信息的登记数据与用户终端互联网协议IP地址的对应关系;C.所述用户终端连接至应用服务器,向该应用服务器发送密码;D.所述应用服务器将用户终端的IP地址及密码发送至身份服务器;E.所述身份服务器查询该身份数据库,进行密码验证;如果验证成功,则向应用服务器返回身份数据库中该IP地址对应的登记数据;如果验证失败,则进行失败处理。
2.根据权利要求1所述的互联网身份认证方法,其特征在于,在所述步骤A与B之间还包括为用户终端分配IP地址的步骤。
3.根据权利要求2所述的互联网身份认证方法,其特征在于,所述分配IP地址具体包括用户向IP地址提供方提供包括用户身份信息、该用户终端所在的互联网网段号的登记数据和密码;IP地址提供方查询所述身份数据库,进行密码验证;IP地址提供方为用户终端指定IP地址。
4.根据权利要求3所述的互联网身份认证方法,其特征在于,所述指定具体是根据用户身份信息、互联网网段号生成IP地址。
5.根据权利要求2所述的互联网身份认证方法,其特征在于,所述分配IP地址具体包括用户终端向其所在互联网网段的动态地址分配服务单元发送包括用户身份信息的登记数据和密码,申请IP地址;所述动态地址分配服务单元指定IP地址,并将登记数据、密码和指定的IP地址发送到身份服务器;所述身份服务器进行密码验证;如果验证成功,则进入步骤B;如果验证失败,则进行失败处理。
6.根据权利要求1至5任意一项所述的互联网身份认证方法,其特征在于,所述登记数据还包括用户终端的媒质接入控制MAC地址。
7.根据权利要求6所述的互联网身份认证方法,其特征在于,所述IP地址与MAC地址之间一一对应;且用户身份信息对应多个IP地址。
8.根据权利要求7所述的互联网身份认证方法,其特征在于,在所述步骤E之后还包括用户终端申请IP地址释放;向身份服务器提供身份信息、密码、MAC地址;所述身份服务器进行密码验证;如果验证成功,则删除身份数据库中所述身份信息项下对应于所述MAC地址的记录;如果验证失败,进行失败处理。
9.根据权利要求8所述的互联网身份认证方法,其特征在于,所述密码包括鉴权密码和查询密码,鉴权密码用于对IP地址的申请和释放进行验证,查询密码用于对应用服务器的身份查询进行验证。
10.一种互联网身份认证系统,其特征在于,包括身份服务器、用户终端和应用服务器;且所述身份服务器与用户终端及应用服务器之间具有数据通道,所述用户终端与应用服务器之间具有数据通道;所述身份服务器包括身份数据库,用于存储包括用户身份信息的登记数据与用户终端IP地址的对应关系、密码;其中,所述用户终端在连接应用服务器时向应用服务器发送密码;所述应用服务器向身份服务器发送用户终端的IP地址和从用户终端接收的密码;所述身份服务器在收到应用服务器发送的IP地址和密码后,查询身份数据库,进行密码验证;并且在通过密码验证后向应用服务器返回身份数据库中该IP地址对应的登记数据。
全文摘要
本发明公开了一种互联网身份认证方法,包括以下步骤身份服务器接受用户注册,在身份数据库中存储用户身份信息及对应的密码;在身份数据库中建立该用户包括身份信息的登记数据与用户终端IP地址的对应关系;所述用户终端连接至应用服务器,向该应用服务器发送密码;所述应用服务器将用户终端的IP地址及密码发送至身份服务器;所述身份服务器查询该身份数据库,进行密码验证;如果验证成功,则向应用服务器返回身份数据库中该IP地址对应的登记数据;如果验证失败,则进行失败处理。本发明还公开了一种互联网身份认证系统。本发明实现了从IP地址即可查找到用户的真实身份。
文档编号H04L9/32GK1780206SQ20041008898
公开日2006年5月31日 申请日期2004年11月23日 优先权日2004年11月23日
发明者杨鹏亮 申请人:华为技术有限公司