一种基于域名的跨域接入控制系统及方法

专利名称：一种基于域名的跨域接入控制系统及方法
技术领域：
本发明属于网络安全技术中的接入控制技术领域，特别是涉及一种跨管理 域的网络接入控制系统及方法。
背景技术：
目前各网络服务提供者普遍对网络使用者进行不同程度的接入控制。接入 控制是指在用户访问网络资源之前，通过用户身份认证系统识别用户身份，确 定用户是否能够访问网络及设定访问权限的过程。
同时，网络上的站点和资源可能属于不同的管理域，由不同的机构提供和 管理，从而使整个网络被划分成多个不同的管理域。随着互联网上的资源曰益 丰富和用户漫游、移动性增强，越来越多的用户在本管理域之外使用网络。因 而，提供跨域的接入控制服务成为必需。跨域的接入控制服务要求各管理域之 间通过协作向用户提供服务，这种方式将在资源的丰富性、服务的多样性、快 捷性、安全性、简便性等方面带给用户全新的体验，同时也能够大大减轻网络 运营商的部署成本。
请参阅图1所示为现有技术中接入控制系统ioo的结构示意图。
用户客户端101，在需接入/断开网络时发出认证请求或注销请求，并可
提供证明用户身份的必要信息。
网络接入控制服务器102，用于实施网络接入控制，接收用户客户端101 发出的请求，并向预定的身份认证服务器转发。
身份认证服务器103、 104，分别处于A、 B管理域中，分别存储有管理域 A、 B中所属用户的用户信息，提供认证服务。
假定该用户客户端101为B域的用户，当前处于A域中，当该用户客户端 101需要接入网络时，需跨域(A域)向所属域(B域)发起认证，从而接入 网络。该跨域网络接入控制流程图请参阅图2所示。
步骤201，网络接入控制服务器102接收到用户客户端101发出的认证请求，向当前域的身份认证服务器103转发认证请求；
步骤202，身份认证服务器103提取所述认证请求中的用户所属域信息；
步骤203，身份认证服务器103判断该用户客户端101是否为本域用户， 如果是，进行用户认证，执行步骤204，如果否，通过身份认证服务器103中 预先配置信息查找用户所属域对应的身份认证服务器一称为家乡域认证服务 器，将认证请求转发给家乡域认证服务器，进行用户认证，执行步骤204;
如果身份认证服务器103判断得到该用户客户端101并非本域用户，将认 证请求转发给B域的身份认证服务器104;
该预先配置信息即为域名与身份认证服务器地址的对应关系信息，现有技 术中的各个身份认证服务器皆设置有该预先配置信息，以记录部分临近管理域 的信息；
步骤204，判断是否通过认证，如果通过认证，身份认证服务器返回认证 成功数据包，用户客户端101接入网路，如果未通过，回应认证失败数据包，结束。
在上述过程中，如果用户为当前域中的用户，该认证过程包括 客户端〈-〉网络接入控制服务器〈-〉本域身份认证服务器。 如果是跨域认证，认证过程包括
客户端<-> 网络接入控制服务器〈-〉本域身份认证服务器〈-〉家乡域身份认 证服务器。
在这个过程中，存在的问题主要有
(1) 当跨域访问时，即用户非当前域内用户时，到家乡域身份认证服务 器的身份认证数据包都要经过访问域服务器转发，增大了接入控制时延，给用 户的服务体验比较差，影响了网络服务商的服务质量。
(2) 在身份认证服务器上，用户所属域对应的身份认证服务器信息是静 态配置的，这样只能识别预先配置好的有限个域的用户，而其他域用户不能接 入当前网络，这样使系统不具有可扩展性。另外，当某个域的身份认证服务器 发生变化时，如改变IP地址，则需要逐个修改每个身份认证服务器上的配置， 增加了管理人员工作量，还会造成服务中断
发明内容
本发明的目的在于提供一种基于域名的跨域接入控制系统及方法，以减少
了认证延时，提高扩展性。
为实现上述目的，本发明提供了一种基于域名的跨域接入控制方法，包括: 步骤一，网络接入控制服务器提取用户客户端发出的认证请求中的用户所
属域信息；
步骤二，所述网络接入控制服务器中存储有域与身份认证服务器的对应关 系信息，所述网络接入控制服务器根据所述用户所属域信息査找对应的身份认 证服务器，并向查找到的身份认证服务器转发所述认证请求；
步骤三，所述身份认证服务器根据接收到的所述认证请求进行用户身份认证。
所述网络接入控制服务器利用一缓存，存储所述域与身份认证服务器的对 应关系信息。
所述步骤二进一步包括
当所述网络接入控制服务器并未成功查找到对应的身份认证服务器时，向 域名服务器发出解析请求，所述解析请求中包括用户所属域信息，所述域名服 务器根据所述用户所属域信息进行解析，向所述网络接入控制服务器返回与所 述用户所属域信息对应的身份认证服务器的信息。
所述步骤二进一步包括所述网络接入控制服务器利用所述域名服务器的 返回的身份认证服务器的信息更新所述缓存。
所述步骤三还包括
如果所述认证通过，所述身份认证服务器向所述网络接入控制服务器发送 认证成功数据包以及用户权限信息，所述网络接入控制服务器利用所述用户权 限信息设置控制条件；
如果所述认证未通过，所述身份认证服务器向所述网络接入控制服务器发 送认证失败数据包。
所述步骤三认证通过之后还包括下列步骤
步骤1，用户客户端向所述网络接入控制服务器发送包含用户所属域信息 的注销请求；
步骤2，所述网络接入控制服务器提取该用户所属域信息，査找与用户所 属域对应的身份认证服务器信息，向所述身份认证服务器转发注销请求；
6步骤3，所述身份认证服务器根据所述注销请求，完成用户注销，向所述 网络接入控制服务器发送注销成功消息；
步骤4，所述网络接入控制服务器收到所述注销成功消息，删除所述控制 条件。
本发明还公开了一种基于域名的跨域接入控制系统，包括 用户客户端，用于发出包含用户标识的认证请求，所述用户标识中包括用 户所属域信息；
网络接入控制服务器，存储有域与身份认证服务器的对应关系信息，所述 网络接入控制服务器接收所述认证请求，根据所述用户所属域信息查找对应的
身份认证服务器，并向查找到的身份认证服务器转发所述认证请求；
身份认证服务器，用于根据接收到的所述认证请求进行用户身份认证。 所述网络接入控制服务器包括一缓存，用于存储域与身份认证服务器的对 应关系信息。
所述的系统还包括一域名服务器，用于提供域名解析服务，所述域名服务 器中存储有域与身份认证服务器的对应关系信息。
所述用户标识可通过用户名/口令标识、知识系统标识、数字签名标识中 的一种或几种实现。
利用本发明的上述系统以及方法，网络接入控制服务器可直接与家乡身份 认证服务器通信，数据包不需要通过访问域身份认证服务器转交，减少了认证 延时。另外，当某个域对应的身份认证服务器变化时，只需要改变域名服务器 的条目的相应配置即可，不需要改动其它服务器，也不会造成服务中断。


图1所示为现有技术中接入控制系统的结构示意图2所示为现有技术中跨域网络接入控制流程图3所示为本发明的基于域名的跨域接入控制系统的结构示意图4所示为本发明的跨域网络接入控制流程图5所示为本发明的跨域网络断开控制流程图6所示为本发明步骤402的详细实现流程图7所示为本发明步骤605的详细实现流程图。
具体实施例方式
以下配合实施例以及附图，详细描述本发明的技术特征。
请参阅图3所示为本发明的基于域名的跨域接入控制系统的结构示意图。
跨域接入控制系统300包括用户客户端301、网络接入控制服务器302、 域名服务器304、身份认证服务器306。
用户客户端301，在需接入/断开网络时发出用户认证请求或注销请求， 并提供证明用户身份的必要信息。其中，系统中的每个用户都具有全局统一标 识，标识中包含用户所属域信息。用户客户端301发出的请求中，包含该标识。 该标识可以使用用户名/口令标识、特殊标识、知识系统标识、数字签名标识 等，或以上述几种标识混合以实现该用户标识，如利用口令、智能卡与生物特 征结合的身份标识技术。
网络接入控制服务器302，用于实施网络接入控制，禁止未认证的用户使 用网络资源，使认证用户在规定权限内使用网络资源，转发控制信息。
该网络接入控制服务器302中，设置有一缓存303，用于缓存近期接入网
络的用户的所属域与相应的身份认证服务器的对应关系信息。每个域都具有一 对应的身份认证服务器，即域名与身份认证服务器地址可实现对应，具体的对 应关系可如表1所示
表l
域名A身份认证服务器地址A1
域名B身份认证服务器地址B1
域名服务器304，用于提供域名解析服务，用于査询指定域的身份认证服 务器的地址。在域名服务器上设置有记录了域与身份认证服务器的对应关系的 条目305，如表2所示。
表2
名称类型地址
域名A身份认证身份认证服务器地址A1
域名B身份认证身份认证服务器地址B1
身份认证服务器306，处于一管理域中，用于存储该管理域的用户信息， 提供认证服务，判定用户身份，提供用户相关的其他信息，如访问权限等。 请参阅图4所示为本发明的跨域网络接入控制流程图。步骤401，当需要接入网络时，用户客户端301发出包含用户标识的认证
请求，用户标识包含用户所属域信息；
该用户标识可例如为userid@domain形式的标识，其中，userid为用户 名，domain为用户所属域的域名；
步骤402，网络接入控制服务器302接收该认证请求，提取该用户所属域 信息，利用所述缓存303查找与用户所属域对应的身份认证服务器306信息， 并向该身份认证服务器306转发认证请求；
步骤403，身份认证服务器306根据接收到的认证请求，进行用户身份认 证，如果通过认证，执行步骤404，如果未通过认证，执行步骤406;
步骤404，身份认证服务器306向网络接入控制服务器302发送认证成功
数据包以及用户权限信息；
步骤405，网络接入控制服务器302向用户客户端301发送认证成功消息，
并利用该用户权限信息设置控制条件，实现网络接入；
步骤406，身份认证服务器306向网络接入控制服务器302发送认证失败
数据包；
步骤407，网络接入控制服务器302向用户客户端301发送认证失败消息。
请参阅图5所示为本发明的跨域网络断开控制流程图。
步骤501，当用户需要断开网络时，用户客户端301向网络接入控制服务
器302发送注销请求，该注销请求中包含用户标识，用户标识包含用户所属域
"f曰息；
步骤502，网络接入控制服务器302接收该注销请求，提取该用户所属域 信息，利用所述缓存303査找与用户所属域对应的身份认证服务器306信息， 并向该身份认证服务器306转发注销请求；
步骤503，身份认证服务器306根据接收到的注销请求，完成用户注销， 向网络接入控制服务器302发送注销成功消息；
步骤504，网络接入控制服务器302收到该注销成功消息，删除步骤405 中设定的控制条件，实现网络断开。
请参阅图6所示为本发明步骤402的详细实现流程图。
步骤601，网络接入控制服务器302接收该认证请求，提取该用户所属域 伶阜.
I n 'K、，步骤602，利用所述缓存303查找与用户所属域对应的身份认证服务器306 信息，如果找到，执行步骤603，如果未找到，执行步骤604;
步骤603，向该身份认证服务器306转发认证请求，执行步骤403;
步骤604，网络接入控制服务器302向域名服务器304发出解析请求，该 解析请求中包括该用户所属域信息；
步骤605;域名服务器304做域名解析，如果解析成功，执行步骤606， 如果不成功，执行步骤607;
步骤606，域名服务器304返回解析结果，网络接入控制服务器302根据 该解析结果更新缓存303，增加条目记录该用户所属域信息与身份认证服务器 306的对应关系，执行步骤603;
步骤607，向用户客户端301发送失败消息，结束。
请参阅图7所示为本发明步骤605的详细实现流程图。
步骤701，域名服务器304收到该解析请求，根据解析请求中的用户所属 域信息在条目305中査找该用户所属域的域名对应的信息，如果找到，执行步 骤606，即返回找到的身份认证服务器306地址，如果未找到，执行步骤607。
可见，利用本发明的上述方法以及系统，该认证过程仅通过客户端〈-〉网 络接入控制服务器〈-〉身份认证服务器的途径传递，即，网络接入控制服务器 可直接与家乡身份认证服务器通信，数据包不需要通过访问域身份认证服务器 转交，减少了认证延时。
另外，当某个域对应的身份认证服务器变化时，只需要改变域名服务器的 条目的相应配置即可，不需要改动其它服务器，也不会造成服务中断，扩展性 强。
当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情 况下，熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形，但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种基于域名的跨域接入控制方法，其特征在于，包括步骤一，网络接入控制服务器提取用户客户端发出的认证请求中的用户所属域信息；步骤二，所述网络接入控制服务器中存储有域与身份认证服务器的对应关系信息，所述网络接入控制服务器根据所述用户所属域信息查找对应的身份认证服务器，并向查找到的身份认证服务器转发所述认证请求；步骤三，所述身份认证服务器根据接收到的所述认证请求进行用户身份认证。
2、 如权利要求l所述的方法，其特征在于，所述网络接入控制服务器利 用一缓存，存储所述域与身份认证服务器的对应关系信息。
3、 如权利要求1或2所述的方法，其特征在于，所述步骤二进一歩包括 当所述网络接入控制服务器并未成功査找到对应的身份认证服务器时，向域名服务器发出解析请求，所述解析请求中包括用户所属域信息，所述域名服 务器根据所述用户所属域信息进行解析，向所述网络接入控制服务器返回与所 述用户所属域信息对应的身份认证服务器的信息。
4、 如权利要求3所述的方法，其特征在于，所述步骤二进一步包括 所述网络接入控制服务器利用所述域名服务器返回的身份认证服务器的信息更新所述缓存。
5、 如权利要求l所述的方法，其特征在于，所述步骤三还包括如果所述认证通过，所述身份认证服务器向所述网络接入控制服务器发送 认证成功数据包以及用户权限信息，所述网络接入控制服务器利用所述用户权 限信息设置控制条件；如果所述认证未通过，所述身份认证服务器向所述网络接入控制服务器发 送认证失败数据包。
6、 如权利要求5所述的方法，其特征在于，所述歩骤三认证通过之后还 包括下列步骤步骤1，用户客户端向所述网络接入控制服务器发送包含用户所属域信息的注销请求；步骤2，所述网络接入控制服务器提取该用户所属域信息，查找与用户所 属域对应的身份认证服务器信息，向所述身份认证服务器转发注销请求；步骤3，所述身份认证服务器根据所述注销请求，完成用户注销，向所述网络接入控制服务器发送注销成功消息；步骤4，所述网络接入控制服务器收到所述注销成功消息，删除所述控制 条件。
7、 一种基于域名的跨域接入控制系统，其特征在于，包括 用户客户端，用于发出包含用户标识的认证请求，所述用户标识中包括用户所属域信息；网络接入控制服务器，存储有域与身份认证服务器的对应关系信息，所述 网络接入控制服务器接收所述认证请求，根据所述用户所属域信息査找对应的 身份认证服务器，并向查找到的身份认证服务器转发所述认证请求；身份认证服务器，用于根据接收到的所述认证请求进行用户身份认证。
8、 如权利要求7所述的系统，其特征在于，所述网络接入控制服务器包 括一缓存，用于存储域与身份认证服务器的对应关系信息。
9、 如权利要求7或8所述的系统，其特征在于，还包括一域名服务器， 用于提供域名解析服务，所述域名服务器中存储有域与身份认证服务器的对应 关系信息。
10、 如权利要求7或8所述的系统，其特征在于，所述用户标识可通过用 户名、口令标识、知识系统标识、数字签名标识中的一种或几种实现。
全文摘要
本发明公开了一种基于域名的跨域接入控制系统及方法，包括步骤一，网络接入控制服务器提取用户客户端发出的认证请求中的用户所属域信息；步骤二，所述网络接入控制服务器中存储有域与身份认证服务器的对应关系信息，所述网络接入控制服务器根据所述用户所属域信息查找对应的身份认证服务器，并向查找到的身份认证服务器转发所述认证请求；步骤三，所述身份认证服务器根据接收到的所述认证请求进行用户身份认证。本发明的网络接入控制服务器可直接与家乡身份认证服务器通信，数据包不需要通过访问域身份认证服务器转交，减少了认证延时，可扩展性强。
文档编号H04L9/32GK101471777SQ20071030855
公开日2009年7月1日 申请日期2007年12月29日 优先权日2007年12月29日
发明者张玉军, 许智君 申请人:中国科学院计算技术研究所