專利名稱:一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域�,特別涉及一種面向可信互聯(lián)網(wǎng)的基于實體標識 的身份認證方法及系統(tǒng)。
背景技術(shù):
當前的互聯(lián)網(wǎng)在自身體系結(jié)構(gòu)方面存在著很多的缺陷����,并且?guī)砹撕芏喟踩珕?題?�!吧矸荨眴栴}在計算機應用初期就是困擾信息系統(tǒng)安全的嚴重問題����,冒用合法用戶身份 進入重要計算機系統(tǒng)大肆破壞的報道時有耳聞。缺少適合于現(xiàn)有計算環(huán)境的有效身份驗證 手段是造成目前互聯(lián)網(wǎng)身份問題日益嚴峻的主要原因?,F(xiàn)有的網(wǎng)絡(luò)管理對象一般是用戶所 使用的機器,而非用戶本身��,而大多情況下用戶和機器并不能一一對應����,因而更應該關(guān)注于 用戶身份的真實性?���,F(xiàn)有常見的身份認證方案如用戶名/密碼���、智能卡認證�����、USB-KEY認證�、動態(tài)口令 卡和生物特征認證�����。其中安全性最高的是動態(tài)口令卡���、USB-KEY和生物特征認證��。然而,生 物特征認證如指紋��、虹膜等����,準確性還有待提高�����;動態(tài)口令卡認證較為復雜���,成本太高,且不 具有通用性��;USB-KEY認證成本較低��,性價比較高�����,而且USB接口具有通用性��,方便使用����,并 且可以提供基于挑戰(zhàn)和數(shù)字證書兩種認證方式,有較好的擴展性?���,F(xiàn)有的USB-KEY認證多 用在網(wǎng)銀等對安全性需求較高的領(lǐng)域,然而隨著時代發(fā)展��,基于USB-KEY的認證將會應用 的各個領(lǐng)域,同時USB-KEY的實體形式也會有像智能手機����、PDA等可以通過藍牙設(shè)備認證, 很好地解決了安全性與易用性之間的矛盾���。新一代可信任互聯(lián)網(wǎng)是建立在真實IPv6源地址驗證體系結(jié)構(gòu)(SAVA =Source Address Validation Architecture)之上����,它可以為每一個接入互聯(lián)網(wǎng)的實體分配一個甚 至多個全局唯一的地址��,并且用戶只有通過認證才可以接入網(wǎng)絡(luò)?��,F(xiàn)有的用戶標識一般都 是64位或128位����,用戶難以記住如此長的標識�,并且沒有進行很好的保護,很容易被他人竊 取或篡改����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題在于提供一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認 證方法及系統(tǒng)���,通過為用戶分配唯一對應的識別信息���,并將其固定到安全的實體上�����,用戶通 過安全實體進行認證�����,這就相當于為用戶分發(fā)了一個“網(wǎng)絡(luò)身份證”�����。本發(fā)明是通過以下技術(shù)方案來實現(xiàn)—種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法�,包括以下步驟1)注冊用戶提交注冊申請后��,根據(jù)用戶提交的身份信息和管理域信息����,注冊管 理模塊為用戶生成一個由隨機串和管理域名組成的全局唯一的用戶基本標識,以及生成一 個與用戶基本標識相對應的包含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書�����,再將 用戶基本標識和用戶標識證書初始化到安全實體模塊;并將用戶的注冊信息提交到處理數(shù)據(jù)庫�;2)認證將安全實體模塊與計算機連接,啟動安全實體模塊后����,通過認證軟件向 認證模塊提起認證請求,利用安全實體模塊存儲的用戶基本標識信息完成身份認證�����;確認用戶身份之后����,認證模塊從處理數(shù)據(jù)庫獲得用戶的注冊信息,為用戶分配真 實地址和隨機的匿名地址�,并將用戶標識證書下載到本地;3)應用用戶開始網(wǎng)絡(luò)服務(wù)訪問��,應用服務(wù)器收到用戶的訪問請求之后�,根據(jù)應 用服務(wù)器自身所設(shè)置的訪問模式,更換不同的訪問模式基于匿名地址的訪問���,適用于不需要權(quán)限控制和安全級別的應用服務(wù)��;基于真實地址的訪問�����,適用于使用真實地址進行的訪問�,將匿名地址更換為真實 地址����;基于真實地址和用戶標識證書的訪問,適用于獲取用戶身份的訪問��,將匿名地址 更換為真實地址��,并進行用戶標識證書的傳遞����,以完成登錄和訪問。所述的隨機串的生成為用戶提交注冊申請�,并提供一個Email地址,將用戶注冊 申請之后生成的隨機字符串與其提交的Email地址進行連接后再完成HMAC運算�����,取結(jié)果的 前64bit為隨機串���。所述的用戶基本標識的形式表示為基本用戶標識@管理域的域名���。所述的用戶標識證書包括如下內(nèi)容用戶的真實身份所屬機構(gòu)����、ID號����、職務(wù)、身份����;固定接口標識用于用戶真實地址的分配;用戶的虛擬社區(qū)身份用戶在虛擬社區(qū)或者需要登陸站點的登陸信息���;費用按時間計算用戶接入網(wǎng)絡(luò)的費用���;信譽度用數(shù)字表示的用戶在網(wǎng)絡(luò)中的信用度。所述的安全實體模塊上還設(shè)置有PIN碼驗證模塊��,安全實體模塊連接之后����,通過 輸入正確的PIN碼以啟動安全實體模塊����,提起認證請求���。所述的真實地址為IPv6地址格式前64位為路由前綴��,后64位依次為3位的地址類型標志符,在地址分配時確定�,000為真實地址,001為部分匿名地 址����,010為完全匿名地址;5位的網(wǎng)絡(luò)運營商標志符��,標識用戶所注冊的運營商服務(wù)��;24位的組織標志符�,標識用戶所屬的組織;32位的順序標志符�����,標識用戶的唯一標識���,在用戶注冊時確定�����。一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng)�����,包括以下運行模塊注冊管理模塊和安全實體模塊注冊管理模塊接受用戶申請��,為用戶生成一個由 隨機串和管理域名組成的全局唯一的用戶基本標識���,以及生成一個與用戶基本標識相對應 的包含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書��,再將用戶基本標識和用戶標識 證書初始化到安全實體模塊�;并將用戶注冊信息提交到數(shù)據(jù)庫管理模塊����;數(shù)據(jù)庫管理模塊管理和存放用戶的標識信息以及用戶標識證書,負責用戶信息 的添加和刪除��,協(xié)助認證模塊完成用戶身份認證��,并且實時記錄用戶行為的動態(tài)信息���;認證模塊接受安全實體模塊通過認證軟件提起的認證請求����,利用安全實體模塊 存儲的用戶基本標識信息完成身份認證,確認用戶身份之后����,認證模塊從處理數(shù)據(jù)庫獲得用戶的注冊信息,為用戶分配真實地址和隨機的匿名地址��,并提供用戶標識證書的下載�����;應用模塊為用戶和應用服務(wù)器接入到認證系統(tǒng)中提供支持���,該模塊包括客戶端 代理Proxy以及為網(wǎng)絡(luò)應用服務(wù)器所提供的API調(diào)用接口 ;客戶端代理Proxy根據(jù)用戶所 訪問的網(wǎng)絡(luò)服務(wù)類型的不同���,完成匿名地址/真實地址的切換����、用戶標識證書的傳遞�����,以及 與所訪問的應用服務(wù)器的交互;網(wǎng)絡(luò)應用服務(wù)器通過API調(diào)用接口���,來設(shè)定應用服務(wù)的訪 問模式和用戶標識證書解析��,完成對用戶標識和多模式訪問的支持����。所述的安全實體模塊采用USB-KEY或智能手機為載體���。所述的安全實體模塊上還設(shè)置有PIN碼驗證模塊�����,安全實體模塊連接之后���,通過 輸入正確的PIN碼以啟動安全實體模塊,提起認證請求��。所述的用戶對網(wǎng)絡(luò)服務(wù)的多模式訪問為基于匿名地址的訪問���、基于真實地址的 訪問��,以及基于真實地址和用戶標識證書的訪問���。與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下有益的技術(shù)效果針對現(xiàn)有網(wǎng)絡(luò)實體身份標識和身份認證嚴重滯后的問題����,本發(fā)明提供的面向可信 互聯(lián)網(wǎng)的基于實體標識的身份認證方法及系統(tǒng)��,通過為用戶分配唯一對應的用戶基本標識 和用戶標識證書��,使用更為安全的實體(USB-KEY或智能手機)認證方式接入互聯(lián)網(wǎng)����,來保 證用戶信息安全性和唯一性��,識別出各種虛假或錯誤的身份標識符企圖進入網(wǎng)絡(luò)的實體�, 為各種網(wǎng)絡(luò)應用提供身份認證服務(wù);并且將用戶標識和硬件實體捆綁起來�,加密存儲之后, 用戶只需記住簡短的PIN碼就可以獲取自己的標志�����,有效的防治被他人竊取。而對應于用戶基本標識和用戶標識證書�,本發(fā)明又對IPv6地址結(jié)構(gòu)進行了再設(shè) 計,提出了兩種地址類型真實地址和匿名地址��,在認證時進行分配��;并且將將用戶標識擴 充為更為豐富的用戶屬性證書時��,在此基礎(chǔ)上����,以此也可為用戶提供三種訪問模式的網(wǎng)絡(luò) 訪問基于匿名地址的訪問、基于真實地址的訪問�����,以及基于真實地址和用戶標識證書的訪 問��。本發(fā)明提供的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法及系統(tǒng)���,將成為基 于真實IP地址訪問的下一代可信任互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施之一�����。
圖1為本發(fā)明的系統(tǒng)總體框架示意圖�;圖2為本發(fā)明的系統(tǒng)的各要素關(guān)系示意圖;圖3為本發(fā)明的認證和多訪問模式的流程圖��。
具體實施例方式下面結(jié)合附圖對面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法及系統(tǒng)����、用戶基 本標識和用戶標識證書、多訪問模式做進一步詳細描述��,所述是對本發(fā)明的解釋而不是限定��。參見圖1 圖3����,一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法,包括以下 步驟1)注冊用戶提交注冊申請后�,根據(jù)用戶提交的身份信息和管理域信息,注冊管 理模塊為用戶生成一個由隨機串和管理域名組成的全局唯一的用戶基本標識����,以及生成一 個與用戶基本標識相對應的包含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書����,再將 用戶基本標識和用戶標識證書初始化到安全實體模塊;并將用戶的注冊信息提交到處理數(shù)據(jù)庫;2)認證將安全實體模塊與計算機連接�����,啟動安全實體模塊后�����,通過認證軟件向 認證模塊提起認證請求�,利用安全實體模塊存儲的用戶基本標識信息完成身份認證;確認用戶身份之后����,認證模塊從處理數(shù)據(jù)庫獲得用戶的注冊信息,為用戶分配真 實地址和隨機的匿名地址�,并將用戶標識證書下載到本地;3)應用用戶開始網(wǎng)絡(luò)服務(wù)訪問���,應用服務(wù)器收到用戶的訪問請求之后����,根據(jù)應 用服務(wù)器自身所設(shè)置的訪問模式���,更換不同的訪問模式基于匿名地址的訪問����,適用于不需要權(quán)限控制和安全級別的應用服務(wù);基于真實地址的訪問�����,適用于使用真實地址進行的訪問����,將匿名地址更換為真實 地址;基于真實地址和用戶標識證書的訪問�,適用于獲取用戶身份的訪問,將匿名地址 更換為真實地址����,并進行用戶標識證書的傳遞,以完成登錄和訪問�����。一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng)��,包括以下運行模塊注冊管理模塊和安全實體模塊注冊管理模塊接受用戶申請�����,為用戶生成一個由 隨機串和管理域名組成的全局唯一的用戶基本標識���,以及生成一個與用戶基本標識相對應 的包含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書�,再將用戶基本標識和用戶標識 證書初始化到安全實體模塊�;并將用戶注冊信息提交到處理數(shù)據(jù)庫;數(shù)據(jù)庫管理模塊管理和存放用戶的標識信息以及用戶標識證書��,負責用戶信息 的添加和刪除�����,協(xié)助認證模塊完成用戶身份認證���,并且實時記錄用戶行為的動態(tài)信息�����;認證模塊接受安全實體模塊通過認證軟件提起的認證請求���,利用安全實體模塊 存儲的用戶基本標識信息完成身份認證,確認用戶身份之后�,認證模塊從處理數(shù)據(jù)庫獲得 用戶的注冊信息,為用戶分配真實地址和隨機的匿名地址�,并提供用戶標識證書的下載���;應用模塊為用戶和應用服務(wù)器接入到認證系統(tǒng)中提供支持,該模塊包括客戶端 代理Proxy以及為網(wǎng)絡(luò)應用服務(wù)器所提供的API調(diào)用接口 ����;客戶端代理Proxy根據(jù)用戶所 訪問的網(wǎng)絡(luò)服務(wù)類型的不同,完成匿名地址/真實地址的切換��、用戶標識證書的傳遞�,以及 與所訪問的應用服務(wù)器的交互;網(wǎng)絡(luò)應用服務(wù)器通過API調(diào)用接口����,來設(shè)定應用服務(wù)的訪 問模式和用戶標識證書解析,完成對用戶標識和多模式訪問的支持�。所述的用戶基本標識為用戶所分配的全局唯一的身份標識,其形式表示為 基本用戶標識@管理域的域名�,例如注冊于西安交通大學域中的用戶基本標識如下 157fdl2e93a95163ixjtu. edu. cn。所述的隨機串的生成為用戶提交注冊申請�����,并提供一個Email地址���,將用戶注冊 申請之后生成的隨機字符串與其提交的Email地址進行連接后再完成HMAC運算��,取結(jié)果的 前64bit為隨機串���。該方法產(chǎn)生用戶標識“碰撞”的可能性極低,適合于分布式的用戶標識管理��。管理域設(shè)計思想是采用基于域名的用戶標識設(shè)計��,不同域之間的身份認證模塊可 以安全的通信�����,來處理用戶跨域漫游的情況�����。用戶標識證書擴充為更為豐富的用戶屬性證書����,與一般公鑰證書的不同點在于 屬性證書中囊括了用戶的靜態(tài)屬性和動態(tài)屬性,并且根據(jù)用戶信息動態(tài)生成�,時刻更新。所 包含的內(nèi)容包括
用戶的真實身份所屬機構(gòu)����、ID號�、職務(wù)����、身份;固定接口標識用于用戶真實地址的分配�����;用戶的虛擬社區(qū)身份用戶在虛擬社區(qū)或者需要登陸站點的登陸信息���;費用按時間計算用戶接入網(wǎng)絡(luò)的費用���;信譽度用數(shù)字表示的用戶在網(wǎng)絡(luò)中的信用度。還可以包括基本用戶標識���;Email用戶標識����;用戶的認證密鑰用于用戶認證時所需的密碼���;注冊域用戶注冊時所處的安全域��;角色此處可擴展用于用戶的權(quán)限管理等�����,角色分類可以為超級管理員��、管理 員�����、普通用戶和過客��;公鑰證書用戶在注冊時獲取的公鑰證書����;私鑰用戶在注冊過程中獲取證書的同時產(chǎn)生的私鑰����。生存周期僅對用戶標識證書有效。安全實體模塊采用USB-KEY或智能手機為用戶基本標識和標識證書的載體����,完成 復雜的身份認證和交互過程;安全實體模塊上還設(shè)置有PIN碼驗證模塊���,安全實體模塊連 接之后���,通過輸入正確的PIN碼以啟動安全實體模塊���,提起認證請求;用戶只需記住簡短的 PIN碼就可以獲取自己的標志��,有效的防治被他人竊取��。用戶有三次輸入PIN碼的機會����,三 次輸入錯誤則硬件實體功能鎖死,從而有效的保障用戶信息的安全性�。所述的真實地址為IPv6地址格式前64位為路由前綴,將用戶的信息通過格式設(shè) 計隱含到后64位Interface ID (記為IID)中���,形成類似于用戶身份證編號類似的地址���,后 64位依次為3位的地址類型標志符(Type),在地址分配時確定�����,000為真實地址,001為部分匿 名地址����,010為完全匿名地址;5位的網(wǎng)絡(luò)運營商標志符(ISP)�,標識用戶所注冊的運營商服務(wù),比如電信��、網(wǎng)通��、 鐵通�、教育網(wǎng)等;24位的組織標志符(ORG)���,標識用戶所屬的組織,比如公司����、企業(yè)、學校���、機關(guān)單位 等�;32位的順序標志符(Sequence ID)�,標識用戶的唯一標識,在用戶注冊時確定,可 采用順序分配�。設(shè)計格式如下
權(quán)利要求
1.一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法,其特征在于��,包括以下步驟1)注冊用戶提交注冊申請后�����,根據(jù)用戶提交的身份信息和管理域信息����,注冊管理模 塊為用戶生成一個由隨機串和管理域名組成的全局唯一的用戶基本標識,以及生成一個與 用戶基本標識相對應的包含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書�,再將用戶 基本標識和用戶標識證書初始化到安全實體模塊;并將用戶的注冊信息提交到處理數(shù)據(jù) 庫���;2)認證將安全實體模塊與計算機連接����,啟動安全實體模塊后�,通過認證軟件向認證 模塊提起認證請求,利用安全實體模塊存儲的用戶基本標識信息完成身份認證����;確認用戶身份之后��,認證模塊從處理數(shù)據(jù)庫獲得用戶的注冊信息����,為用戶分配真實地 址和隨機的匿名地址���,并將用戶標識證書下載到本地��;3)應用用戶開始網(wǎng)絡(luò)服務(wù)訪問�����,應用服務(wù)器收到用戶的訪問請求之后����,根據(jù)應用服 務(wù)器自身所設(shè)置的訪問模式���,更換不同的訪問模式基于匿名地址的訪問,適用于不需要權(quán)限控制和安全級別的應用服務(wù)����;基于真實地址的訪問,適用于使用真實地址進行的訪問���,將匿名地址更換為真實地址�����;基于真實地址和用戶標識證書的訪問�,適用于獲取用戶身份的訪問,將匿名地址更換 為真實地址�����,并進行用戶標識證書的傳遞����,以完成登錄和訪問。
2.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法�,其特征在 于,所述的隨機串的生成為用戶提交注冊申請����,并提供一個Email地址,將用戶注冊申請 之后生成的隨機字符串與其提交的Email地址進行連接后再完成HMAC運算����,取結(jié)果的前 64bit為隨機串。
3.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法��,其特征在 于,所述的用戶基本標識的形式表示為基本用戶標識@管理域的域名��。
4.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法���,其特征在 于�,所述的用戶標識證書還包括如下內(nèi)容用戶的真實身份所屬機構(gòu)��、ID號�、職務(wù)、身份���; 固定接口標識用于用戶真實地址的分配�����;用戶的虛擬社區(qū)身份用戶在虛擬社區(qū)或者需要登陸站點的登陸信息���; 費用按時間計算用戶接入網(wǎng)絡(luò)的費用; 信譽度用數(shù)字表示的用戶在網(wǎng)絡(luò)中的信用度�。
5.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法����,其特征在 于�����,所述的安全實體模塊上還設(shè)置有PIN碼驗證模塊����,安全實體模塊連接之后�,通過輸入正 確的PIN碼以啟動安全實體模塊,提起認證請求��。
6.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法���,其特征在 于�,所述的真實地址為IPv6地址格式前64位為路由前綴��,后64位依次為3位的地址類型標志符����,在地址分配時確定,000為真實地址���,001為部分匿名地址�����,010 為完全匿名地址���;5位的網(wǎng)絡(luò)運營商標志符���,標識用戶所注冊的運營商服務(wù);24位的組織標志符���,標識用戶所屬的組織����;32位的順序標志符�,標識用戶的唯一標識,在用戶注冊時確定�����。
7.一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng)����,其特征在于,包括以下運行 模塊注冊管理模塊和安全實體模塊注冊管理模塊接受用戶申請�����,為用戶生成一個由隨機 串和管理域名組成的全局唯一的用戶基本標識���,以及生成一個與用戶基本標識相對應的包 含用戶真實身份信息和網(wǎng)絡(luò)身份信息的用戶標識證書�����,再將用戶基本標識和用戶標識證書 初始化到安全實體模塊���;并將用戶注冊信息提交到數(shù)據(jù)庫管理模塊;數(shù)據(jù)庫管理模塊管理和存放用戶的標識信息以及用戶標識證書��,負責用戶信息的添 加和刪除����,協(xié)助認證模塊完成用戶身份認證,并且實時記錄用戶行為的動態(tài)信息��;認證模塊接受安全實體模塊通過認證軟件提起的認證請求�����,利用安全實體模塊存儲 的用戶基本標識信息完成身份認證����,確認用戶身份之后�,認證模塊從處理數(shù)據(jù)庫獲得用戶 的注冊信息�,為用戶分配真實地址和隨機的匿名地址,并提供用戶標識證書的下載����;應用模塊為用戶和應用服務(wù)器接入到認證系統(tǒng)中提供支持,該模塊包括客戶端代理 Proxy以及為網(wǎng)絡(luò)應用服務(wù)器所提供的API調(diào)用接口 �����;客戶端代理Proxy根據(jù)用戶所訪問 的網(wǎng)絡(luò)服務(wù)類型的不同����,完成匿名地址/真實地址的切換、用戶標識證書的傳遞��,以及與所 訪問的應用服務(wù)器的交互�����;網(wǎng)絡(luò)應用服務(wù)器通過API調(diào)用接口����,來設(shè)定應用服務(wù)的訪問模 式和用戶標識證書解析,完成對用戶標識和多模式訪問的支持。
8.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng)�����,其特征在 于���,所述的安全實體模塊采用USB-KEY或智能手機為載體。
9.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng)�����,其特征在 于�����,所述的安全實體模塊上還設(shè)置有PIN碼驗證模塊���,安全實體模塊連接之后�����,通過輸入正 確的PIN碼以啟動安全實體模塊�����,提起認證請求����。
10.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證系統(tǒng),其特征在 于�,所述的用戶對網(wǎng)絡(luò)服務(wù)的多模式訪問為基于匿名地址的訪問、基于真實地址的訪問�����, 以及基于真實地址和用戶標識證書的訪問�����。
全文摘要
本發(fā)明公開了一種面向可信互聯(lián)網(wǎng)的基于實體標識的身份認證方法及系統(tǒng)���,通過為用戶分配唯一對應的用戶基本標識和用戶標識證書���,使用更為安全的實體認證方式接入互聯(lián)網(wǎng),來保證用戶信息安全性和唯一性����,識別出各種虛假或錯誤的身份標識符企圖進入網(wǎng)絡(luò)的實體,為各種網(wǎng)絡(luò)應用提供身份認證服務(wù)�����。而對應于用戶基本標識和用戶標識證書,本發(fā)明又對IPv6地址結(jié)構(gòu)進行了再設(shè)計�,提出了兩種地址類型真實地址和匿名地址,在認證時進行分配���;并且將將用戶標識擴充為更為豐富的用戶屬性證書時���,在此基礎(chǔ)上�,以此也可為用戶提供三種訪問模式的網(wǎng)絡(luò)訪問基于匿名地址的訪問、基于真實地址的訪問���,以及基于真實地址和用戶標識證書的訪問���。
文檔編號H04L29/06GK102006299SQ20101056352
公開日2011年4月6日 申請日期2010年11月29日 優(yōu)先權(quán)日2010年11月29日
發(fā)明者孫嘉駿, 安歡, 徐瑞, 李衛(wèi), 梁繼紅, 王琰, 覃遵穎, 鄭衛(wèi)斌 申請人:西安交通大學