一種基於域名的跨域接入控制系統及方法

2023-05-21 03:35:46

專利名稱：一種基於域名的跨域接入控制系統及方法
技術領域：
本發明屬於網絡安全技術中的接入控制技術領域，特別是涉及一種跨管理 域的網絡接入控制系統及方法。
背景技術：
目前各網絡服務提供者普遍對網絡使用者進行不同程度的接入控制。接入 控制是指在用戶訪問網絡資源之前，通過用戶身份認證系統識別用戶身份，確 定用戶是否能夠訪問網絡及設定訪問權限的過程。
同時，網絡上的站點和資源可能屬於不同的管理域，由不同的機構提供和 管理，從而使整個網絡被劃分成多個不同的管理域。隨著網際網路上的資源曰益 豐富和用戶漫遊、移動性增強，越來越多的用戶在本管理域之外使用網絡。因 而，提供跨域的接入控制服務成為必需。跨域的接入控制服務要求各管理域之 間通過協作向用戶提供服務，這種方式將在資源的豐富性、服務的多樣性、快 捷性、安全性、簡便性等方面帶給用戶全新的體驗，同時也能夠大大減輕網絡 運營商的部署成本。
請參閱圖1所示為現有技術中接入控制系統ioo的結構示意圖。
用戶客戶端101，在需接入/斷開網絡時發出認證請求或註銷請求，並可
提供證明用戶身份的必要信息。
網絡接入控制伺服器102，用於實施網絡接入控制，接收用戶客戶端101 發出的請求，並向預定的身份認證伺服器轉發。
身份認證伺服器103、 104，分別處於A、 B管理域中，分別存儲有管理域 A、 B中所屬用戶的用戶信息，提供認證服務。
假定該用戶客戶端101為B域的用戶，當前處於A域中，當該用戶客戶端 101需要接入網絡時，需跨域(A域)向所屬域(B域)發起認證，從而接入 網絡。該跨域網絡接入控制流程圖請參閱圖2所示。
步驟201，網絡接入控制伺服器102接收到用戶客戶端101發出的認證請求，向當前域的身份認證伺服器103轉發認證請求；
步驟202，身份認證伺服器103提取所述認證請求中的用戶所屬域信息；
步驟203，身份認證伺服器103判斷該用戶客戶端101是否為本域用戶， 如果是，進行用戶認證，執行步驟204，如果否，通過身份認證伺服器103中 預先配置信息查找用戶所屬域對應的身份認證伺服器一稱為家鄉域認證服務 器，將認證請求轉發給家鄉域認證伺服器，進行用戶認證，執行步驟204;
如果身份認證伺服器103判斷得到該用戶客戶端101並非本域用戶，將認 證請求轉發給B域的身份認證伺服器104;
該預先配置信息即為域名與身份認證伺服器地址的對應關係信息，現有技 術中的各個身份認證伺服器皆設置有該預先配置信息，以記錄部分臨近管理域 的信息；
步驟204，判斷是否通過認證，如果通過認證，身份認證伺服器返回認證 成功數據包，用戶客戶端101接入網路，如果未通過，回應認證失敗數據包，結束。
在上述過程中，如果用戶為當前域中的用戶，該認證過程包括 客戶端〈-〉網絡接入控制伺服器〈-〉本域身份認證伺服器。 如果是跨域認證，認證過程包括
客戶端 網絡接入控制伺服器〈-〉本域身份認證伺服器〈-〉家鄉域身份認 證伺服器。
在這個過程中，存在的問題主要有
(1) 當跨域訪問時，即用戶非當前域內用戶時，到家鄉域身份認證服務 器的身份認證數據包都要經過訪問域伺服器轉發，增大了接入控制時延，給用 戶的服務體驗比較差，影響了網絡服務商的服務質量。
(2) 在身份認證伺服器上，用戶所屬域對應的身份認證伺服器信息是靜 態配置的，這樣只能識別預先配置好的有限個域的用戶，而其他域用戶不能接 入當前網絡，這樣使系統不具有可擴展性。另外，當某個域的身份認證伺服器 發生變化時，如改變IP位址，則需要逐個修改每個身份認證伺服器上的配置， 增加了管理人員工作量，還會造成服務中斷
發明內容
本發明的目的在於提供一種基於域名的跨域接入控制系統及方法，以減少
了認證延時，提高擴展性。
為實現上述目的，本發明提供了一種基於域名的跨域接入控制方法，包括: 步驟一，網絡接入控制伺服器提取用戶客戶端發出的認證請求中的用戶所
屬域信息；
步驟二，所述網絡接入控制伺服器中存儲有域與身份認證伺服器的對應關 系信息，所述網絡接入控制伺服器根據所述用戶所屬域信息査找對應的身份認 證伺服器，並向查找到的身份認證伺服器轉發所述認證請求；
步驟三，所述身份認證伺服器根據接收到的所述認證請求進行用戶身份認證。
所述網絡接入控制伺服器利用一緩存，存儲所述域與身份認證伺服器的對 應關係信息。
所述步驟二進一步包括
當所述網絡接入控制伺服器並未成功查找到對應的身份認證伺服器時，向 域名伺服器發出解析請求，所述解析請求中包括用戶所屬域信息，所述域名服 務器根據所述用戶所屬域信息進行解析，向所述網絡接入控制伺服器返回與所 述用戶所屬域信息對應的身份認證伺服器的信息。
所述步驟二進一步包括所述網絡接入控制伺服器利用所述域名伺服器的 返回的身份認證伺服器的信息更新所述緩存。
所述步驟三還包括
如果所述認證通過，所述身份認證伺服器向所述網絡接入控制伺服器發送 認證成功數據包以及用戶權限信息，所述網絡接入控制伺服器利用所述用戶權 限信息設置控制條件；
如果所述認證未通過，所述身份認證伺服器向所述網絡接入控制伺服器發 送認證失敗數據包。
所述步驟三認證通過之後還包括下列步驟
步驟1，用戶客戶端向所述網絡接入控制伺服器發送包含用戶所屬域信息 的註銷請求；
步驟2，所述網絡接入控制伺服器提取該用戶所屬域信息，査找與用戶所 屬域對應的身份認證伺服器信息，向所述身份認證伺服器轉發註銷請求；
6步驟3，所述身份認證伺服器根據所述註銷請求，完成用戶註銷，向所述 網絡接入控制伺服器發送註銷成功消息；
步驟4，所述網絡接入控制伺服器收到所述註銷成功消息，刪除所述控制 條件。
本發明還公開了一種基於域名的跨域接入控制系統，包括 用戶客戶端，用於發出包含用戶標識的認證請求，所述用戶標識中包括用 戶所屬域信息；
網絡接入控制伺服器，存儲有域與身份認證伺服器的對應關係信息，所述 網絡接入控制伺服器接收所述認證請求，根據所述用戶所屬域信息查找對應的
身份認證伺服器，並向查找到的身份認證伺服器轉發所述認證請求；
身份認證伺服器，用於根據接收到的所述認證請求進行用戶身份認證。 所述網絡接入控制伺服器包括一緩存，用於存儲域與身份認證伺服器的對 應關係信息。
所述的系統還包括一域名伺服器，用於提供域名解析服務，所述域名服務 器中存儲有域與身份認證伺服器的對應關係信息。
所述用戶標識可通過用戶名/口令標識、知識系統標識、數字籤名標識中 的一種或幾種實現。
利用本發明的上述系統以及方法，網絡接入控制伺服器可直接與家鄉身份 認證伺服器通信，數據包不需要通過訪問域身份認證伺服器轉交，減少了認證 延時。另外，當某個域對應的身份認證伺服器變化時，只需要改變域名伺服器 的條目的相應配置即可，不需要改動其它伺服器，也不會造成服務中斷。


圖1所示為現有技術中接入控制系統的結構示意圖2所示為現有技術中跨域網絡接入控制流程圖3所示為本發明的基於域名的跨域接入控制系統的結構示意圖4所示為本發明的跨域網絡接入控制流程圖5所示為本發明的跨域網絡斷開控制流程圖6所示為本發明步驟402的詳細實現流程圖7所示為本發明步驟605的詳細實現流程圖。
具體實施例方式
以下配合實施例以及附圖，詳細描述本發明的技術特徵。
請參閱圖3所示為本發明的基於域名的跨域接入控制系統的結構示意圖。
跨域接入控制系統300包括用戶客戶端301、網絡接入控制伺服器302、 域名伺服器304、身份認證伺服器306。
用戶客戶端301，在需接入/斷開網絡時發出用戶認證請求或註銷請求， 並提供證明用戶身份的必要信息。其中，系統中的每個用戶都具有全局統一標 識，標識中包含用戶所屬域信息。用戶客戶端301發出的請求中，包含該標識。 該標識可以使用用戶名/口令標識、特殊標識、知識系統標識、數字籤名標識 等，或以上述幾種標識混合以實現該用戶標識，如利用口令、智慧卡與生物特 徵結合的身份標識技術。
網絡接入控制伺服器302，用於實施網絡接入控制，禁止未認證的用戶使 用網絡資源，使認證用戶在規定權限內使用網絡資源，轉發控制信息。
該網絡接入控制伺服器302中，設置有一緩存303，用於緩存近期接入網
絡的用戶的所屬域與相應的身份認證伺服器的對應關係信息。每個域都具有一 對應的身份認證伺服器，即域名與身份認證伺服器地址可實現對應，具體的對 應關係可如表1所示
表l
域名A身份認證伺服器地址A1
域名B身份認證伺服器地址B1
域名伺服器304，用於提供域名解析服務，用於査詢指定域的身份認證服 務器的地址。在域名伺服器上設置有記錄了域與身份認證伺服器的對應關係的 條目305，如表2所示。
表2
名稱類型地址
域名A身份認證身份認證伺服器地址A1
域名B身份認證身份認證伺服器地址B1
身份認證伺服器306，處於一管理域中，用於存儲該管理域的用戶信息， 提供認證服務，判定用戶身份，提供用戶相關的其他信息，如訪問權限等。 請參閱圖4所示為本發明的跨域網絡接入控制流程圖。步驟401，當需要接入網絡時，用戶客戶端301發出包含用戶標識的認證
請求，用戶標識包含用戶所屬域信息；
該用戶標識可例如為userid@domain形式的標識，其中，userid為用戶 名，domain為用戶所屬域的域名；
步驟402，網絡接入控制伺服器302接收該認證請求，提取該用戶所屬域 信息，利用所述緩存303查找與用戶所屬域對應的身份認證伺服器306信息， 並向該身份認證伺服器306轉發認證請求；
步驟403，身份認證伺服器306根據接收到的認證請求，進行用戶身份認 證，如果通過認證，執行步驟404，如果未通過認證，執行步驟406;
步驟404，身份認證伺服器306向網絡接入控制伺服器302發送認證成功
數據包以及用戶權限信息；
步驟405，網絡接入控制伺服器302向用戶客戶端301發送認證成功消息，
並利用該用戶權限信息設置控制條件，實現網絡接入；
步驟406，身份認證伺服器306向網絡接入控制伺服器302發送認證失敗
數據包；
步驟407，網絡接入控制伺服器302向用戶客戶端301發送認證失敗消息。
請參閱圖5所示為本發明的跨域網絡斷開控制流程圖。
步驟501，當用戶需要斷開網絡時，用戶客戶端301向網絡接入控制服務
器302發送註銷請求，該註銷請求中包含用戶標識，用戶標識包含用戶所屬域
"f曰息；
步驟502，網絡接入控制伺服器302接收該註銷請求，提取該用戶所屬域 信息，利用所述緩存303査找與用戶所屬域對應的身份認證伺服器306信息， 並向該身份認證伺服器306轉發註銷請求；
步驟503，身份認證伺服器306根據接收到的註銷請求，完成用戶註銷， 向網絡接入控制伺服器302發送註銷成功消息；
步驟504，網絡接入控制伺服器302收到該註銷成功消息，刪除步驟405 中設定的控制條件，實現網絡斷開。
請參閱圖6所示為本發明步驟402的詳細實現流程圖。
步驟601，網絡接入控制伺服器302接收該認證請求，提取該用戶所屬域 伶阜.
I n 'K、，步驟602，利用所述緩存303查找與用戶所屬域對應的身份認證伺服器306 信息，如果找到，執行步驟603，如果未找到，執行步驟604;
步驟603，向該身份認證伺服器306轉發認證請求，執行步驟403;
步驟604，網絡接入控制伺服器302向域名伺服器304發出解析請求，該 解析請求中包括該用戶所屬域信息；
步驟605;域名伺服器304做域名解析，如果解析成功，執行步驟606， 如果不成功，執行步驟607;
步驟606，域名伺服器304返回解析結果，網絡接入控制伺服器302根據 該解析結果更新緩存303，增加條目記錄該用戶所屬域信息與身份認證伺服器 306的對應關係，執行步驟603;
步驟607，向用戶客戶端301發送失敗消息，結束。
請參閱圖7所示為本發明步驟605的詳細實現流程圖。
步驟701，域名伺服器304收到該解析請求，根據解析請求中的用戶所屬 域信息在條目305中査找該用戶所屬域的域名對應的信息，如果找到，執行步 驟606，即返回找到的身份認證伺服器306地址，如果未找到，執行步驟607。
可見，利用本發明的上述方法以及系統，該認證過程僅通過客戶端〈-〉網 絡接入控制伺服器〈-〉身份認證伺服器的途徑傳遞，即，網絡接入控制伺服器 可直接與家鄉身份認證伺服器通信，數據包不需要通過訪問域身份認證伺服器 轉交，減少了認證延時。
另外，當某個域對應的身份認證伺服器變化時，只需要改變域名伺服器的 條目的相應配置即可，不需要改動其它伺服器，也不會造成服務中斷，擴展性 強。
當然，本發明還可有其他多種實施例，在不背離本發明精神及其實質的情 況下，熟悉本領域的技術人員當可根據本發明做出各種相應的改變和變形，但 這些相應的改變和變形都應屬於本發明所附的權利要求的保護範圍。
權利要求
1、一種基於域名的跨域接入控制方法，其特徵在於，包括步驟一，網絡接入控制伺服器提取用戶客戶端發出的認證請求中的用戶所屬域信息；步驟二，所述網絡接入控制伺服器中存儲有域與身份認證伺服器的對應關係信息，所述網絡接入控制伺服器根據所述用戶所屬域信息查找對應的身份認證伺服器，並向查找到的身份認證伺服器轉發所述認證請求；步驟三，所述身份認證伺服器根據接收到的所述認證請求進行用戶身份認證。
2、 如權利要求l所述的方法，其特徵在於，所述網絡接入控制伺服器利 用一緩存，存儲所述域與身份認證伺服器的對應關係信息。
3、 如權利要求1或2所述的方法，其特徵在於，所述步驟二進一歩包括 當所述網絡接入控制伺服器並未成功査找到對應的身份認證伺服器時，向域名伺服器發出解析請求，所述解析請求中包括用戶所屬域信息，所述域名服 務器根據所述用戶所屬域信息進行解析，向所述網絡接入控制伺服器返回與所 述用戶所屬域信息對應的身份認證伺服器的信息。
4、 如權利要求3所述的方法，其特徵在於，所述步驟二進一步包括 所述網絡接入控制伺服器利用所述域名伺服器返回的身份認證伺服器的信息更新所述緩存。
5、 如權利要求l所述的方法，其特徵在於，所述步驟三還包括如果所述認證通過，所述身份認證伺服器向所述網絡接入控制伺服器發送 認證成功數據包以及用戶權限信息，所述網絡接入控制伺服器利用所述用戶權 限信息設置控制條件；如果所述認證未通過，所述身份認證伺服器向所述網絡接入控制伺服器發 送認證失敗數據包。
6、 如權利要求5所述的方法，其特徵在於，所述歩驟三認證通過之後還 包括下列步驟步驟1，用戶客戶端向所述網絡接入控制伺服器發送包含用戶所屬域信息的註銷請求；步驟2，所述網絡接入控制伺服器提取該用戶所屬域信息，查找與用戶所 屬域對應的身份認證伺服器信息，向所述身份認證伺服器轉發註銷請求；步驟3，所述身份認證伺服器根據所述註銷請求，完成用戶註銷，向所述網絡接入控制伺服器發送註銷成功消息；步驟4，所述網絡接入控制伺服器收到所述註銷成功消息，刪除所述控制 條件。
7、 一種基於域名的跨域接入控制系統，其特徵在於，包括 用戶客戶端，用於發出包含用戶標識的認證請求，所述用戶標識中包括用戶所屬域信息；網絡接入控制伺服器，存儲有域與身份認證伺服器的對應關係信息，所述 網絡接入控制伺服器接收所述認證請求，根據所述用戶所屬域信息査找對應的 身份認證伺服器，並向查找到的身份認證伺服器轉發所述認證請求；身份認證伺服器，用於根據接收到的所述認證請求進行用戶身份認證。
8、 如權利要求7所述的系統，其特徵在於，所述網絡接入控制伺服器包 括一緩存，用於存儲域與身份認證伺服器的對應關係信息。
9、 如權利要求7或8所述的系統，其特徵在於，還包括一域名伺服器， 用於提供域名解析服務，所述域名伺服器中存儲有域與身份認證伺服器的對應 關係信息。
10、 如權利要求7或8所述的系統，其特徵在於，所述用戶標識可通過用 戶名、口令標識、知識系統標識、數字籤名標識中的一種或幾種實現。
全文摘要
本發明公開了一種基於域名的跨域接入控制系統及方法，包括步驟一，網絡接入控制伺服器提取用戶客戶端發出的認證請求中的用戶所屬域信息；步驟二，所述網絡接入控制伺服器中存儲有域與身份認證伺服器的對應關係信息，所述網絡接入控制伺服器根據所述用戶所屬域信息查找對應的身份認證伺服器，並向查找到的身份認證伺服器轉發所述認證請求；步驟三，所述身份認證伺服器根據接收到的所述認證請求進行用戶身份認證。本發明的網絡接入控制伺服器可直接與家鄉身份認證伺服器通信，數據包不需要通過訪問域身份認證伺服器轉交，減少了認證延時，可擴展性強。
文檔編號H04L9/32GK101471777SQ20071030855
公開日2009年7月1日 申請日期2007年12月29日 優先權日2007年12月29日
發明者張玉軍, 許智君 申請人:中國科學院計算技術研究所