專利名稱:基于dns的用戶認(rèn)證和域名訪問控制方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)技術(shù)�����、域名系統(tǒng)技術(shù)領(lǐng)域�����,具體涉及一種基于DNS的用戶認(rèn)證和域名訪問控制方法��,以及采用該方法的系統(tǒng)�����。
背景技術(shù):
互聯(lián)網(wǎng)實(shí)體通常由域名來標(biāo)識(shí)����,而DNS是結(jié)合域名和實(shí)際IP地址的關(guān)鍵紐帶���。通過DNS可以使用戶通過輸入易記的域名達(dá)到通過IP地址進(jìn)行最終通信的目的�����。為了保證IP地址和域名綁定關(guān)系的可信度���,IETF推出DNSSEC系列標(biāo)準(zhǔn)����,DNSSEC能夠通過特定的機(jī)制使一個(gè)域的運(yùn)營者直接對(duì)DNS信息進(jìn)行簽名�,所使用的密鑰和其父域之間存在綁定,中間實(shí)體能夠通過這種邏輯找到可接受的最終信任錨��。借助DNSSEC的功能����,IETF成立了 DANE工作組,旨在利用DNSSEC來實(shí)現(xiàn)用戶域名及其密鑰之間的安全綁定����,從而實(shí)現(xiàn)用戶對(duì)服務(wù)進(jìn)行安全認(rèn)證的目的。但是,這一機(jī)制缺乏服務(wù)器端對(duì)用戶的認(rèn)證以及根據(jù)不同用戶進(jìn)行區(qū)分服務(wù)的功能����。
發(fā)明內(nèi)容
本發(fā)明提出一種基于DNS的用戶認(rèn)證和域名訪問控制方法及系統(tǒng),通過在DNS系統(tǒng)中引入新的資源記錄�����,引導(dǎo)用戶進(jìn)行服務(wù)建立之前的認(rèn)證�,并根據(jù)認(rèn)證結(jié)果獲取對(duì)應(yīng)服務(wù)器的接入地址以及安全密鑰信息,實(shí)現(xiàn)對(duì)訪問用戶進(jìn)行認(rèn)證并根據(jù)用戶指派服務(wù)器的功倉泛��。為實(shí)現(xiàn)上述目的�,本發(fā)明采用如下技術(shù)方案:一種基于DNS的用戶認(rèn)證和域名訪問控制方法,其步驟包括:I)服務(wù)提供商為其所提供的服務(wù)建立認(rèn)證服務(wù)器��,并在DNS服務(wù)器中注冊(cè)該認(rèn)證服務(wù)器的IP地址��,該DNS服務(wù)器根據(jù)該IP地址以及該認(rèn)證服務(wù)器支持的認(rèn)證協(xié)議類型建立CA資源記錄�;2)用戶向DNS服務(wù)器發(fā)起一域名查詢請(qǐng)求,DNS服務(wù)器向該用戶返回該域名對(duì)應(yīng)的CA資源記錄�;3)用戶根據(jù)獲得的CA資源記錄中的IP地址訪問相應(yīng)的認(rèn)證服務(wù)器,該認(rèn)證服務(wù)器采用該CA資源記錄指定的協(xié)議類型對(duì)用戶進(jìn)行認(rèn)證����;4)認(rèn)證成功后�����,該認(rèn)證服務(wù)器向用戶返回安全連接所需的密鑰信息�����,并為用戶指派應(yīng)用服務(wù)器���;5)用戶通過該應(yīng)用服務(wù)器發(fā)起安全連接���,訪問互聯(lián)網(wǎng)資源�����。上述方法中����,所述認(rèn)證協(xié)議類型可以是RADIUS�����、Diameter等����。上述方法中���,所述CA (Certificate Authority,認(rèn)證中心)資源記錄包含認(rèn)證服務(wù)器的IP地址和認(rèn)證協(xié)議;優(yōu)選地�,其格式為:Domain-name TTL CA Protocol@IP,其中Domain-name表示域名,TTL表征該條資源記錄的生命值(有效生存時(shí)間)����,Protocol為所使用的認(rèn)證協(xié)議,IP為認(rèn)證服務(wù)器的地址��。上述記錄的含義是:Domain-name所標(biāo)識(shí)的服務(wù)由地址為IP的認(rèn)證服務(wù)器進(jìn)行安全認(rèn)證����,所使用的認(rèn)證協(xié)議為Protocol,該條記錄的有效生存時(shí)間是TTL�����。上述方法中��,所述密鑰信息可以是訪問https網(wǎng)站時(shí)使用的密鑰信息�����,或者是建立SSL等安全連接時(shí)需要使用的密鑰信息。一種實(shí)現(xiàn)上述方法的基于DNS的用戶認(rèn)證系統(tǒng)���,包括DNS服務(wù)器和客戶端�����,其特征在于�,還包括認(rèn)證服務(wù)器����;所述DNS服務(wù)器存儲(chǔ)所述認(rèn)證服務(wù)器的IP地址���,并根據(jù)該IP地址以及該認(rèn)證服務(wù)器支持的認(rèn)證協(xié)議類型建立CA資源記錄��;所述DNS服務(wù)器接收用戶的域名查詢請(qǐng)求�,并向用戶返回該域名對(duì)應(yīng)的CA資源記錄���;所述認(rèn)證服務(wù)器采用該CA資源記錄指定的協(xié)議類型對(duì)用戶進(jìn)行認(rèn)證���,在認(rèn)證成功后向用戶返回安全連接所需的密鑰信息,并為用戶指派應(yīng)用服務(wù)器����。本發(fā)明通過在DNS系統(tǒng)中引入新的資源記錄�����,引導(dǎo)用戶進(jìn)行服務(wù)建立之前的認(rèn)證����,并根據(jù)認(rèn)證結(jié)果獲取對(duì)應(yīng)服務(wù)器的接入地址以及安全密鑰信息����,實(shí)現(xiàn)對(duì)訪問用戶進(jìn)行認(rèn)證并根據(jù)用戶指派服務(wù)器的功能。本發(fā)明支持服務(wù)提供者對(duì)用戶的認(rèn)證���,服務(wù)和認(rèn)證的分離保證了服務(wù)提供的安全性和可靠性�;且可以將不同的用戶導(dǎo)向同一服務(wù)的不同服務(wù)器�����,起到區(qū)分服務(wù)的作用����。
圖1是實(shí)施例的基于DNS的用戶認(rèn)證和域名訪問控制方法的流程圖。圖2是實(shí)施例的基于DNS的用戶認(rèn)證系統(tǒng)的組成及工作流程示意圖��。
具體實(shí)施例方式下面通過具體實(shí)施例,并配合附圖��,對(duì)本發(fā)明做詳細(xì)的說明��。圖1是采用該系統(tǒng)進(jìn)行的基于DNS的用戶認(rèn)證并建立安全連接的流程圖�。圖2是本實(shí)施例的基于DNS的用戶認(rèn)證系統(tǒng)的組成及工作流程示意圖。該系統(tǒng)包括DNS服務(wù)器�����、客戶端����、應(yīng)用服務(wù)器以及認(rèn)證服務(wù)器。下面結(jié)合圖1���、2具體說明本實(shí)施例的實(shí)施過程:I)服務(wù)提供商為其所提供的服務(wù)部署和建立認(rèn)證服務(wù)器,并在DNS服務(wù)器中注冊(cè)該認(rèn)證服務(wù)器的IP地址�,該DNS服務(wù)器根據(jù)該IP地址以及認(rèn)證協(xié)議類型建立CA資源記錄。域名在DNS上可以有多個(gè)資源記錄�,如A記錄存放該域名的IPv4服務(wù)器地址,AAAA記錄存放該域名的IPv6服務(wù)器地址��,TLSA記錄存放該域名的公鑰信息等���,本發(fā)明所述的CA資源記錄存放域名的認(rèn)證服務(wù)器信息����。2)待認(rèn)證的用戶希望向如www.example, cn的域名發(fā)起安全連接,首先向DNS服務(wù)器發(fā)起查詢請(qǐng)求,經(jīng)由DNS查詢?cè)撚蛎牡刂沸畔ⅰ?) DNS服務(wù)器返回該域名對(duì)應(yīng)的CA資源記錄��,其中包含認(rèn)證服務(wù)器地址���,以及認(rèn)證服務(wù)器支持的安全認(rèn)證協(xié)議類型�����,比如RADIUS�����、Diameter等�����。認(rèn)證協(xié)議由部署認(rèn)證服務(wù)器的服務(wù)提供商決定�����。具體的����,DNS服務(wù)器如發(fā)現(xiàn)該域名存在CA資源記錄,便向客戶端響應(yīng)該CA資源記錄�,響應(yīng)消息包含的CA資源記錄的內(nèi)容為:www.example.comlOOCADiameteril.1.1.1?��?蛻舳烁鶕?jù)該CA資源記錄�,發(fā)現(xiàn)欲訪問的應(yīng)用服務(wù)器配合部署了認(rèn)證服務(wù)器����,所采用的認(rèn)證協(xié)議為Diameter,服務(wù)器的IP地址為L(zhǎng)1.1.1����,該條記錄的有效生存時(shí)間為100s。生存時(shí)間的設(shè)定所考慮的因素主要是這個(gè)資源記錄的有效時(shí)間��,比如部署認(rèn)證服務(wù)器時(shí)��,假設(shè)每IOOs就更新一下服務(wù)器的地址或認(rèn)證協(xié)議類型���,那么這個(gè)TTL就應(yīng)設(shè)置為IOOs04)為了建立安全連接,用戶向該認(rèn)證服務(wù)器發(fā)起認(rèn)證過程,所用協(xié)議為從DNS返回的 Protocol���。具體的,客戶端向上述1.1.1.1的認(rèn)證服務(wù)器發(fā)起Diameter認(rèn)證請(qǐng)求,其中攜帶了客戶端欲訪問的域名��。該認(rèn)證服務(wù)器和客戶端交互Diameter信令�,對(duì)客戶端身份進(jìn)行認(rèn)證�。該認(rèn)證過程符合IETF的既有協(xié)議的標(biāo)準(zhǔn)流程。5)認(rèn)證成功之后����,認(rèn)證服務(wù)器向該客戶端指派應(yīng)用服務(wù)器以及和該服務(wù)器建立安全連接所需要的密鑰信息。所述密鑰信息可以是訪問https網(wǎng)站時(shí)使用的密鑰信息����,或者建立SSL等安全連接時(shí)需要使用的密鑰信息等。認(rèn)證服務(wù)器為用戶指派適當(dāng)?shù)膽?yīng)用服務(wù)器IP���,如根據(jù)用戶身份指派不同的服務(wù)器�����,從而獲得不同權(quán)限的內(nèi)容�����,即可以將不同的用戶導(dǎo)向同一服務(wù)的不同服務(wù)器����,起到區(qū)分服務(wù)的作用。本例中www.example, com對(duì)應(yīng)的應(yīng)用服務(wù)器I為VIP用戶方可訪問的域名����,而應(yīng)用服務(wù)器2為普通用戶訪問的域名,如圖2所示���。6)客戶端采用該密鑰信息和認(rèn)證服務(wù)器指派的應(yīng)用服務(wù)器2建立SSL安全連接���,從而發(fā)起安全連接過程,訪問該域名對(duì)應(yīng)的內(nèi)容��。以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制��,本領(lǐng)域的普通技術(shù)人員可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換����,而不脫離本發(fā)明的精神和范圍,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述為準(zhǔn)��。
權(quán)利要求
1.一種基于DNS的用戶認(rèn)證及域名訪問控制方法�����,其步驟包括: 1)服務(wù)提供商為其所提供的服務(wù)建立認(rèn)證服務(wù)器�����,并在DNS服務(wù)器中注冊(cè)該認(rèn)證服務(wù)器的IP地址�����,該DNS服務(wù)器根據(jù)該IP地址以及該認(rèn)證服務(wù)器支持的認(rèn)證協(xié)議類型建立CA資源記錄���; 2)用戶向DNS服務(wù)器發(fā)起一域名查詢請(qǐng)求�,DNS服務(wù)器向該用戶返回該域名對(duì)應(yīng)的CA資源記錄���; 3)用戶根據(jù)獲得的CA資源記錄中的IP地址訪問相應(yīng)的認(rèn)證服務(wù)器�����,該認(rèn)證服務(wù)器采用該CA資源記錄指定的協(xié)議類型對(duì)用戶進(jìn)行認(rèn)證��; 4)認(rèn)證成功后���,該認(rèn)證服務(wù)器向用戶返回安全連接所需的密鑰信息���,并為用戶指派應(yīng)用服務(wù)器; 5 )用戶通過該應(yīng)用服務(wù)器發(fā)起安全連接���,訪問互聯(lián)網(wǎng)資源����。
2.如權(quán)利要求1所述的方法���,其特征在于:所述認(rèn)證協(xié)議類型是RADIUS或者Diameter����。
3.如權(quán)利要求1所述的方法,其特征在于:所述CA資源記錄的格式為Domain-nameTTLCA ProtocolOIP,其中Domain-name表示域名�,TTL為該條資源記錄的生命值,Protocol為所使用的認(rèn)證協(xié)議��,IP為認(rèn)證服務(wù)器的地址�����。
4.如權(quán)利要求3所述的方法���,其特征在于:所述生命值為100s��。
5.如權(quán)利要求1所述的方法��,其特征在于:所述密鑰信息是訪問https網(wǎng)站時(shí)使用的密鑰信息����,或者是建立SSL等安全連接時(shí)需要使用的密鑰信息���。
6.如權(quán)利要求1所述的方法���,其特征在于:所述認(rèn)證服務(wù)器根據(jù)用戶身份將不同的用戶導(dǎo)向同一服務(wù)的不同服務(wù)器。
7.一種基于DNS的用戶認(rèn)證系統(tǒng)���,包括DNS服務(wù)器和客戶端��,其特征在于���,還包括認(rèn)證服務(wù)器;所述DNS服務(wù)器存儲(chǔ)該認(rèn)證服務(wù)器的IP地址����,并根據(jù)該IP地址以及該認(rèn)證服務(wù)器支持的認(rèn)證協(xié)議類型建立CA資源記錄;所述DNS服務(wù)器接收用戶的域名查詢請(qǐng)求����,并向用戶返回該域名對(duì)應(yīng)的CA資源記錄����;所述認(rèn)證服務(wù)器采用該CA資源記錄指定的協(xié)議類型對(duì)用戶進(jìn)行認(rèn)證����,在認(rèn)證成功后向用戶返回安全連接所需的密鑰信息,并為用戶指派應(yīng)用服務(wù)器�����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于:所述CA資源記錄的格式為Domain-nameTTLCA ProtocolOIP,其中Domain-name表示域名����,TTL為該條資源記錄的生命值,Protocol為所使用的認(rèn)證協(xié)議����,IP為認(rèn)證服務(wù)器的地址。
9.如權(quán)利要求7所述的系統(tǒng)��,其特征在于:所述密鑰信息是訪問https網(wǎng)站時(shí)使用的密鑰信息�����,或者是建立SSL等安全連接時(shí)需要使用的密鑰信息。
10.如權(quán)利要求7所述的系統(tǒng)�,其特征在于:所述認(rèn)證服務(wù)器根據(jù)用戶身份將不同的用戶導(dǎo)向同一服務(wù)的不同服務(wù)器。
全文摘要
本發(fā)明公開一種基于DNS的用戶認(rèn)證和域名訪問控制方法及系統(tǒng)�。該方法包括服務(wù)提供商為其所提供的服務(wù)建立認(rèn)證服務(wù)器,并在DNS服務(wù)器中注冊(cè)該認(rèn)證服務(wù)器的IP地址��,DNS服務(wù)器根據(jù)該IP地址以及認(rèn)證協(xié)議類型建立CA資源記錄��;用戶向DNS服務(wù)器發(fā)起域名查詢請(qǐng)求���,DNS服務(wù)器向該用戶返回該域名對(duì)應(yīng)的CA資源記錄;用戶根據(jù)CA資源記錄訪問認(rèn)證服務(wù)器并進(jìn)行認(rèn)證����;認(rèn)證成功后,認(rèn)證服務(wù)器向用戶返回安全連接所需的密鑰信息����,并指派應(yīng)用服務(wù)器;用戶通過該應(yīng)用服務(wù)器訪問互聯(lián)網(wǎng)資源���。本發(fā)明通過在DNS系統(tǒng)中引入新的資源記錄��,實(shí)現(xiàn)對(duì)用戶進(jìn)行認(rèn)證并向用戶指派應(yīng)用服務(wù)器����,服務(wù)和認(rèn)證的分離保證了服務(wù)提供的安全性和可靠性。
文檔編號(hào)H04L29/12GK103078877SQ201310039730
公開日2013年5月1日 申請(qǐng)日期2013年1月31日 優(yōu)先權(quán)日2013年1月31日
發(fā)明者延志偉 申請(qǐng)人:中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心