专利名称:基于数字证书的网络接入认证方法和网络接入认证服务器的制作方法
技术领域:
本发明涉及网络通信领域。更具体地,涉及一种基于数字证书的网络接入认证方 法和网络接入认证服务器。
背景技术:
随着网络技术的不断发展,各种网络应用在提供便捷高效的服务的同时,也带来 了潜在的管理和通信的安全性问题。而作为用户访问大部分网络服务的必经阶段和最初阶 段,确保网络接入阶段的安全性对于确保整个网络通信系统的安全性是至关重要的。在网络接入阶段,安全性问题主要涉及三方面内容。第一方面,为了确保仅允许有 资格的用户接入网络访问服务并防止非法用户侵入或者盗用服务,需要对用户身份进行认 证。第二方面,为了防止假冒站点,需要对认证服务器进行身份认证。第三方面,如果认证 服务器为需要保密服务(如电子商务等)的用户提供认证服务,为了确保接入用户和认证 服务器间通信的保密性,需要在两者间提供安全的加密通道。就以上第一方面而言,现阶段大部分身份认证系统都采用用户名/密码方式的单 因素身份认证。就以上第二方面和第三方面而言,目前在服务器上广泛使用单向认证的SSL 证书,当安全锁显示在浏览器的下方时,它表明了有一个服务器SSL证书正在为用户终端 与服务器之间的通信提供一个加密通道来保护数据传输安全。然而,对用户的单因素身份认证无法应对日益猖獗的在线欺诈犯罪行为,同时,由 于用户名/密码认证方式比较繁琐,用户名和密码容易丢失和遗忘。
发明内容
鉴于现有技术采用单因素身份认证方法对用户进行身份认证所存在的以上问题, 本发明的目的是,提供一种基于用户数字证书的网络接入认证方法以及实现这种网络接入 认证方法的网络接入认证服务器,使在网络接入阶段对于用户的身份认证更为便捷,安全 性更强。为此,根据本发明的第一方面,提出了一种网络接入认证方法和相应的网络接入 认证服务器,所述方法可以包括以下步骤接收用户主机发送的用户数字证书;基于接收 到的用户数字证书对用户进行身份认证;从用户数字证书中解析用户信息,并根据从用户 数字证书中解析出的用户信息,通过查询访问控制列表,判断是否允许用户主机对目的地 址进行访问;认证成功并且判断允许访问后,向接入控制网关发送对于所述用户主机的接 入授权请求,并接收接入控制网关返回的对于所述用户主机的接入授权;以及将认证结果 和接入授权结果发送给用户主机。通过在网络接入过程中采用数字证书而不是用户名/密码的单因素身份认证方 式对用户进行身份认证,极大地提高了用户身份认证的便捷性和安全性。根据本发明的第二方面,本发明第一方面的网络接入认证方法和服务器,还可以 包括向用户主机发送网络接入认证服务器的数字证书,用户主机利用所述网络接入认证服务器的数字证书,能够对网络接入认证服务器进行身份认证。利用认证服务器的数字证书,用户主机可以对认证服务器进行身份认证,防止假 冒站点。进一步增强了网络接入的安全性。根据本发明的第三方面,在采用用户数字证书和认证服务器数字证书分别对用户 和认证服务器进行身份认证的情况下,可以在所述用户主机和认证服务器间使用SSL双向 认证,在两者间提供安全的加密通道,以保证认证服务器和用户之间数据的安全通信。根据本发明的第四方面,在本发明以上网络接入认证方法和服务器中,所述数字 证书嵌入了用户的CerlD、用户身份证号、电子邮件地址、用户个人照片。根据本发明的第五方面,在本发明第四方面的网络接入认证方法和服务器中,数 字证书符合ITU X. 509及ITU X. 500国际标准。
结合下面
本发明的优选实施例,将使本发明的上述及其它目的、特征和 优点更加清楚,其中图1示出了根据本发明的网络接入认证方法的网络应用环境;图2示出了认证服务器200对用户主机100进行网络接入认证的流程图,其中,只 对用户主机100进行基于数字证书的接入认证,用户主机100之间认证服务器200无需安 全连接;图3示出了用户主机100的联网流程图,其中,用户主机100和认证服务器200间 采用SSL认证,认证服务器200的SSL模块能够提示用户在未安装用户证书的情况下安装 数字证书;以及图4示出了本发明所应用的用户主机100、认证服务器300和接入控制网关300三 方通信的详细流程示意图,其中,用户主机100和认证服务器200间采用双向SSL认证。
具体实施例方式为了清楚详细的阐述本发明的实现过程,下面给出了一些本发明的具体实施例。 在具体实施例中,以CERNET2网络为例进行了描述。但所属领域技术人员将理解,本发明不 限于应用于CERNET2网络,还适用于各种采用类似网络结构的现有的、正处于开发和实验 阶段的以及未来的网络,如INTERNET网络、CERNET网络等等。参照附图对本发明的优选实 施例进行详细说明,在描述过程中省略了对本发明来说不必要的细节和功能,以防止对本 发明的理解造成混淆。为说明本发明的网络接入认证方法和服务器的工作原理,首先参照图1描述根据 本发明的网络接入认证方法和服务器所应用的网络环境。如图1所示,网络接入认证方法 主要涉及三个网络单元用户主机100、认证服务器200和接入控制网关300。三者均连接 至局域网400。接入控制网关300具有同CERNET2500的通信连接。用户主机100、认证服 务器200和接入控制网关300可以均安装基于CerID的数字证书。当然,也可以只有用户 主机100安装基于CerID的用户数字证书。所述CerID指CNGI-CERNET2的用户身份标识,即用户ID,是全网唯一标识用户合 法身份的编码字符串,由中央系统存储并在全网统一分配和管理。所述基于CerID的数字证书符合ITU X. 509及ITUX. 500国际标准,在证书中嵌入CerlD、用户身份证号、电子邮件 地址和用户个人照片,证书由证书中心签发。用户数字证书的生成流程为,用户向证书中心提交证书申请,在线填写证书业务 申请表,包括姓名、工作单位、身份证号、电子邮箱等。个人资料提交完成后用户携带及相关 资料至对应的证书受理点进行资料审核和现场照片采集。审核无误,收回证件副本原件,并 领取数字证书及相关资料。认证服务器200支持获取用户主机的数字证书,验证用户身份,和接入控制网关 通信进行相应的认证授权操作。具体而言,认证服务器200接收用户主机100发送的用户 数字证书;基于接收到的用户数字证书对用户进行身份认证;从用户数字证书中解析用户 信息,并根据从用户数字证书中解析出的用户信息(如CerID),通过查询访问控制列表,判 断是否允许用户主机100对目的地址进行访问;认证成功并且判断允许访问后,向接入控 制网关300发送对于所述用户主机的接入授权请求,并接收接入控制网关300返回的对于 所述用户主机的接入授权;将认证结果和接入授权结果发送给用户主机100。查询访问控 制列表可以是例如但不限于,查询列表中存储的用户是否具有访问权限、用户账号上是否 有可用余额等访问控制信息。认证服务器200和用户主机100可以使用SSL双向认证,以保证认证服务器和用 户之间数据的安全通信。具体而言,未通过认证的用户连接CERNET2时被接入控制网关300 重定向到认证服务器200的认证页面,用户向认证服务器发起SSL连接请求,用户主机100 和认证服务器200之间建立安全的SSL通道。在SSL会话产生时首先,认证服务器200会 传送它的服务器证书,用户主机100会自动的分析服务器证书,来验证认证服务器200的身 份。其次,认证服务器200会要求用户出示用户数字证书,认证服务器200完成用户数字 证书的验证,来对用户进行身份认证。对用户数字证书的验证包括验证用户数字证书是否 由认证服务器200信任的证书颁发机构颁发、用户数字证书是否在有效期内、用户数字证 书是否有效(即是否被窜改等)和用户数字证书是否被吊销等。验证通过后,认证服务器 200会解析用户数字证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否允 许访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。接入控制网关300连接至CERNET2主干网。接入控制网关300启动时加载预先定 义的IP地址属性表,其中IP地址属性包括但不限于白名单地址、黑名单地址、需认证地址、 已认证地址四种属性。接入控制网关300运行时可通过命令修改单个IP地址或IP地址段 的属性。当接收到来自认证服务器200针对其认证通过的用户主机的授权请求时,接入控 制网关300判断用户主机IP地址属性,并向认证服务器200返回接入授权。接入控制网关 300包含重定向控制装置,用于在未通过授权用户主机IP地址对CERNET2目的地址进行访 问的情况下,根据访问端口参数,将数据包重定向到认证服务器200认证页面,可选地,系 统管理员可通过命令设置重定向位置。接入控制网关300能实现数据包的转发,对经过的 数据包进行检测,判断源IP地址(或目的IP地址)的属性,根据IP地址属性控制转发或 丢弃该数据包或重定向该数据包,具体的,接入控制网关300转发白名单地址、已认证地址 的数据包,丢弃黑名单地址的数据包,重定向需认证地址的数据包。接入控制网关300有流 量采集功能,流量采集可以控制用户上网速度,同时也为用户计费提供依据。图2示出了认证服务器200对用户主机100进行网络接入认证的流程图,其中,只利用用户数字证书对用户主机100进行接入认证,用户主机100不对认证服务器200进行 身份认证,用户主机100认证服务器200之间无需安全连接。如图所示,用户主机100进行 网络接入,向认证服务器200发送用户数字证书,认证服务器200接收用户主机100发送的 用户数字证书(步骤S210)。认证服务器200基于接收到的用户数字证书对用户进行身份 认证(步骤S220)。认证服务器200从用户数字证书中解析用户信息,并根据从用户数字证 书中解析出的用户信息,通过查询存储在数据库(未示出)中的访问控制列表,判断是否允 许用户主机100对目的地址进行访问(步骤S230)。认证成功并且判断允许访问后,认证服 务器200向接入控制网关300发送对于所述用户主机的接入授权请求,并接收接入控制网 关300返回的对于所述用户主机的接入授权(步骤S240和S250)。取得接入授权后,认证 服务器200将认证结果和接入授权结果发送给用户主机100 (步骤S260)。图3示出了用户主机100的联网流程图,其中,用户主机100和认证服务器200间 采用SSL认证,认证服务器200的SSL模块能够提示用户在未安装用户证书的情况下安装 数字证书。如图2所示,用户主机100通过IP协议发起连接请求(步骤S310),IP分组经过 接入控制网关300时,对于访问预先设定的免费访问地址的IP分组,接入控制网关300允 许其通过;对于访问其它地址的IP分组,接入控制网关300将其重定向到认证服务器200 的认证页面(步骤S320);用户主机100自动向认证服务器200发起SSL连接,SSL模块检 查用户主机100是否安装了数字证书并进行身份验证(步骤S330);如用户主机100未安 装数字证书,提示用户安装(步骤S340);认证服务器200通过SSL连接状态和数字证书获 取用户主机100的CerID和IP地址,和接入控制网关300进行联网认证(步骤S350),认 证成功后则用户主机100可以访问互联网(步骤S360 是),如果认证未成功(步骤S360 否),则返回错误页面。图4示出了本发明所应用的用户主机100、认证服务器300和接入控制网关300三 方通信的详细流程示意图,其中,用户主机100和认证服务器200间采用双向SSL认证。如图所示,该流程包括以下步骤。用户主机发起网络接入请求,将其SSL版本号、 加密设置参数、与会话有关的数据以及其它一些必要信息发送到认证服务器(步骤S410)。 认证服务器将自己的证书,以及同证书相关的信息发送给用户主机(步骤S420)。用户主机 检查认证服务器发送过来的证书是否是由自己信赖的CA中心所签发并验证认证服务器的 合法身份(步骤S430),验证通过后用户主机发送用户证书、用户主机所支持的加密方案给 服务器,所发送的数据用认证服务器公钥加密(步骤S440)。认证服务器收到用户证书,验 证用户身份,获取用户身份信息(步骤S450),向接入控制网关发送授权请求(步骤S460)。 接入控制网关向认证服务器发送授权应答(步骤S470)。认证服务器向用户主机发送会话 加密方案,发送数据用用户主机公钥加密(步骤S480)。用户主机根据接收到的会话加密方 案,选择会话密钥,发送给认证服务器,发送数据用认证服务器公钥加密(步骤S490)。认证 服务器解密获得会话密钥,之后认证服务器和用户主机的通信都采用会话密钥加密。此外,在以上的描述中,针对各个实施方式,列举了多个单元结构实例或步骤实 例,虽然发明人尽可能地标示出彼此关联的实例,但这并不意味着这些实例必然按照相应 的标号存在对应关系。只要所选择的单元结构实例或步骤实例所给定的条件间不存在矛 盾,可以在不同的实施方式中,选择标号并不对应的实例来构成相应的技术方案,这样的技 术方案也应视为被包含在本发明的范围内。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不 脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明 的范围不局限于上述特定实施例,而应由所附权利要求所限定。
权利要求
一种网络接入认证方法,包括以下步骤接收用户主机发送的用户数字证书;基于接收到的用户数字证书对用户进行身份认证;从用户数字证书中解析用户信息,并根据从用户数字证书中解析出的用户信息,通过查询访问控制列表,判断是否允许用户主机对目的地址进行访问;认证成功并且判断允许访问后,向接入控制网关发送对于所述用户主机的接入授权请求,并接收接入控制网关返回的对于所述用户主机的接入授权;以及将认证结果和接入授权结果发送给用户主机。
2.根据权利要求1所述的网络接入认证方法,还包括向用户主机发送网络接入认证服务器的数字证书,用户主机利用所述网络接入认证服 务器的数字证书,能够对网络接入认证服务器进行身份认证。
3.根据权利要求2所述的网络接入认证方法,其中,所述用户主机和认证服务器间使 用SSL双向认证。
4.根据权利要求1至3中任一项所述的网络接入认证方法,其中,所述数字证书嵌入了 用户的CerlD、用户身份证号、电子邮件地址、用户个人照片。
5.根据权利要求4所述的网络接入认证方法,其中,所述数字证书符合ITUX.509及 ITU X. 500国际标准。
6.一种网络接入认证服务器,包括以下步骤接收装置,用于接收用户主机发送的用户数字证书; 用户身份认证装置,基于接收到的用户数字证书对用户进行身份认证; 访问许可判断装置,从用户数字证书中解析用户信息,并根据从用户数字证书中解析 出的用户信息,通过查询访问控制列表,判断是否允许用户主机访问目的地址;接入授权获取装置,认证成功并且判断允许访问后,向接入控制网关发送对于所述用 户主机的接入授权请求,并接收接入控制网关返回的对于所述用户主机的接入授权;以及 结果返回装置,将认证结果和接入授权结果发送给用户主机。
7.根据权利要求6所述的网络接入认证服务器,还包括数字证书发送器,用于向用户主机发送网络接入认证服务器的数字证书,用户主机利 用所述网络接入认证服务器的数字证书,能够对网络接入认证服务器进行身份认证。
8.根据权利要求7所述的网络接入认证服务器,其中,所述用户主机和认证服务器间 使用SSL双向认证。
9.根据权利要求6至8中任一项所述的网络接入认证服务器,其中,所述数字证书嵌入 了用户的CerlD、用户身份证号、电子邮件地址、用户个人照片。
10.根据权利要求9所述的网络接入认证服务器,其中,所述数字证书符合ITUX. 509 及ITU X. 500国际标准。全文摘要
本发明提供了一种网络接入认证方法和网络接入认证服务器。所述方法包括以下步骤接收用户主机发送的用户数字证书;基于接收到的用户数字证书对用户进行身份认证;从用户数字证书中解析用户信息,并根据从用户数字证书中解析出的用户信息,通过查询访问控制列表,判断是否允许用户主机对目的地址进行访问;认证成功并且判断允许访问后,向接入控制网关发送对于所述用户主机的接入授权请求,并接收接入控制网关返回的对于所述用户主机的接入授权;以及将认证结果和接入授权结果发送给用户主机。
文档编号H04L29/06GK101883106SQ20101021290
公开日2010年11月10日 申请日期2010年6月30日 优先权日2010年6月30日
发明者吴建平, 张辉, 李威, 李星, 黄友俊 申请人:赛尔网络有限公司