識別網際網路用戶的方法

2023-05-03 14:22:26

專利名稱：識別網際網路用戶的方法
1.本發明要解決哪些技術問題？2.這些問題到目前為止是怎樣解決的？3.本發明以哪種方式解決所給出的技術問題(給出其優點)？4.本發明的實施方式。
對於第一點本發明要解決哪些技術問題？當今，網際網路接入提供商為了巨大的市場而不使用「網絡範圍內的網際網路用戶識別」的服務特徵提供網際網路接入。但新的基於網際網路的服務要求相對於服務提供商對網際網路用戶進行識別。這種識別還應保證不被其它網際網路用戶所偽造和誤用。例如，網際網路電話服務和網際網路-電話網交匯服務的前提是，對該項服務的用戶(即包含服務的信號化數據的IP分組的發送者)進行識別。這些新網際網路服務的提供商不一定就是網際網路用戶的網際網路接入提供商。
按照本發明，在網絡範圍內實施網際網路用戶識別服務可以明顯增加IP消息的可信度，這迎合了商業應用的擴展所帶來的潛在的對更高安全性的要求，並有助於防止對網際網路的誤用。
對於第二點這些問題到目前為止是怎樣解決的？到目前為止所有對網際網路用戶進行安全識別(驗證)的公知方法都使用點對點驗證原理。即通信夥伴間基於單獨分配給各通信夥伴並為其他通信夥伴所知的識別和驗證數據進行驗證。這些數據可以是a)在通信開始前就已為其他通信夥伴所知(由通信夥伴存儲足夠的識別和驗證數據)，或者b)在通信開始時由可靠的第三方實體通知其他通信夥伴(識別和驗證數據存儲在中央公共認證實體中)。
迄今為止的對網際網路用戶的安全識別過程為I.通過通信夥伴所使用的IP主機進行識別和驗證IPSEC(網際網路協議安全)。該過程的前提是，通信夥伴雙方使用靜態IP位址，且這些IP位址是單義地分配給通信夥伴雙方的。IPSEC對於要解決的技術問題是不合適的，因為1.大部分網際網路用戶是撥號接入的，其網際網路接入提供商只是分配給他們一個臨時的IP位址；2.IPSEC作為a)類的點對點方法要求存儲所有潛在的通信夥伴的識別和驗證數據，並因此而不適於新網際網路服務的巨大市場。
II.通過TCP(傳輸控制協議)功能(TLS，傳輸層安全性)進行識別和驗證。該過程原則上可由所有使用TCP/IP的應用程式使用，它要求在應用程式中進行匹配，以及按照原則a)或原則b)準備點對點識別和驗證數據。
III.通過所使用的應用程式進行識別和驗證。
用於識別用戶的數據(例如其「姓名」)將在應用協議(例如，HTTP，FTP，Telnet，SIP)中以明文傳輸。有多種途徑用於證明發送者是該姓名的擁有者，即驗證姓名，例如1.將只有用戶和其通信夥伴了解的公共秘密(如口令)在應用協議或應用有效數據中一起傳輸。該方法只能與防「竊聽」(例如加密)傳輸結合使用。
2.使用公共秘密對消息的一部分進行加密。如果接收方能將該消息解密，則發送者被驗證為該密鑰的擁有者。
3.通過在應用協議中的問答方法提供用戶是一個公共秘密的擁有者的證明。
4.使用公共秘密產生消息的數字指紋，並將其附加在該消息上。如果接收方能夠重新產生該指紋，則發送者被驗證為該密鑰的擁有者。
5.發送者利用其非對稱驗證方法的「私鑰」產生一個待發送消息的數字指紋，並將其附加在該消息上，在該消息上還附加其電子證書。該證書包含「公鑰」和用戶姓名。接收方可以利用該公鑰對數字指紋進行驗證。接收方還須對證書進行驗證。這相當於實現了用於認證的標準方法。為此，該證書包含證書數據的、用認證實體的私鑰產生的數字指紋。如果接收方擁有該認證實體的公鑰，則其可以對該用戶證書的完整性進行檢查。對用戶用是否擁有用於產生消息的數字指紋的私鑰來進行驗證。
所有公知方法的缺點在於安裝、管理和維護含有網際網路用戶的識別和驗證數據的不同資料庫的巨大費用(或者是中央的、較貴的證書庫，或者是很多分布的、不同服務提供商的用戶資料庫)，以及管理保證識別數據完整性的基礎設施的巨大費用(例如，證書撤消列表，安全策略資料庫)。這些費用是由對每個網際網路用戶自動進行識別和驗證過程(點對點驗證原理)造成的。
對於第三點本發明以哪種方式解決所給出的技術問題(給出其優點)？網際網路接入提供商根據需要為其客戶的IP消息提供能夠識別該網際網路用戶的IP分組的數據。網際網路接入提供商利用加密手段保證該數據的完整性。
因此，與以上所述公知方法不同的是，不再由網際網路用戶自己啟動對其的識別，而是由網際網路接入提供商來實施。通過本發明降低了識別網際網路用戶的IP分組的費用。
本發明的新識別和驗證方法的前提是，網際網路接入提供商和網際網路用戶之間存在交易關係，由此使網際網路接入提供商擁有能夠識別網際網路用戶的數據。如果網際網路用戶採用一個網際網路接入提供商的接入服務(例如通過電話線建立網際網路連接)，則須在開始就與網際網路接入提供商相互驗證(典型的是用該網際網路接入提供商所存儲的帳戶名和口令)。在驗證之後，該網際網路用戶的特徵對該網際網路接入提供商來說就是安全而熟知的。該網際網路接入提供商現在可將該網際網路用戶的識別信息附加在該網際網路用戶的所有IP分組上。其他網際網路服務提供商利用這些信息可以識別出該網際網路用戶的IP分組，而不必由該網際網路用戶自己準備其識別數據(即或者依據原理a)，即服務提供商須自行存儲和管理網際網路用戶專用的數據，或者依據原理b)，藉助於中央認證實體)。
與公共交換電話網PSTN進行類比可使這種思想更加清楚。在電話網中建立呼叫時使用呼叫的該電話網用戶的電話號碼。電話網的運營商保證，這個號碼確實是識別的呼叫號碼的連接，該呼叫用戶的電話號碼是「網絡提供的」，或「用戶提供的，被驗證並傳遞」。呼叫用戶不能改變該號碼，因為該號碼是由網絡而不是由用戶設置的。其他電話網的用戶也不能改變該號碼。因此總能保證安全地識別參與電話通話的連接。
在IP網絡中這是不可能的，因為第一，IP消息中發送者的IP位址可能被偽造，第二，IP位址對於網際網路用戶只是暫時可用的。但按照本發明，網際網路接入提供商可以在IP網中作為可靠的實體，利用在網絡中設置的用於識別網際網路用戶的信息防止IP消息被偽造。
本發明利用在網際網路接入中常用的、在網際網路用戶和其網際網路接入提供商之間的點對點網際網路用戶識別，以通過可靠的(利用公共證書實施的)網際網路接入提供商在網絡範圍內提供對網際網路用戶的安全的識別。
對於第四點本發明的實施方式對於一般性能儘可能好的解決方案(與使用傳輸或應用協議無關的解決方案)，建議在IP層上加以實現(見

圖1和圖2)。
在網際網路接入提供商的POP(接入點(Point-of-Presence)，接入節點)中，·對IP分組進行檢查，看其是否設置了某個(有待定義)標記、一個所謂的驗證請求標記，由此對網際網路用戶可以要求在每個IP分組中加入識別數據，以及/或·在一個資料庫(具有與在IPSEC下的安全策略資料庫相似的功能)中搜索，看對該服務的網際網路用戶是否要求了「設置具有識別數據的IP分組」。在此選擇器可以是目標IP位址、傳輸協議或TCP/UDP埠。
如果是，網際網路接入提供商將在IP分組的報頭中加入識別網際網路用戶的數據。例如可能是網際網路用戶的電話號碼，或其用於註冊網際網路接入所使用的、為其網際網路接入提供商所了解的用戶名。
然後，網際網路接入提供商利用該修改了的IP分組以及用戶發送的未加改變的有效數據產生一個數字籤名，以防止識別數據和用戶發送的有效數據被偽造(數據完整性)。為此將計算該修改了的IP分組的校驗和，並用該ISP的密鑰將該校驗和加密(完整性檢查值)。然後，網際網路接入提供商將在IP分組報頭中加入其電子證書(ISPX.509證書)，該電子證書中包含該ISP的用於解密校驗和的公鑰。由此，該IP消息的各接收方通過將校驗和解密並與接收方計算出的校驗和進行比較來檢查該數字籤名的正確性。此外，接收方還可以利用在證書中所提到的該證書的擁有者(向網際網路接入提供商)要求其它該網際網路用戶的數據(姓名，地址)。(這可以用於惡意呼叫者識別。)所建議的實現與IPSEC有相似性。但其明顯區別在於，與IPSEC相反，不是進行點對點驗證，而是可以實現點對多點驗證，因為所有與驗證相關的數據(網際網路用戶的「姓名」，網際網路接入提供商(ISP)的名稱以及其證書)均包含在IP分組中。此外，沒有點對點和主機對主機驗證，而是ISP對主機驗證。
在IP層實現對網際網路用戶的識別要求IP-棧有新的可選功能。當在接收方主機中沒有該項功能時，則IP消息的總的新AOD信息(見圖2)將被忽略。如今該功能對於不熟悉的IP選項已由標準IP-棧來支持。
由於IP消息的長度因加入AOD信息而改變，須對IP報頭中的總長欄位和報頭校驗和重新進行計算。只要IP有效負荷中的數據沒變，網際網路接入提供商的數字籤名就一直有效。
IP有效負荷中的數據有可能在將IP消息發送給原來的通信夥伴的途中發生改變，例如通過授權代理(如SIP的VIA欄位，NAT(網絡地址轉換)的IP位址)。該代理同樣計算IP報頭中的總長欄位及報頭校驗和。
在這種情況下，按照本發明，該代理或者已經是安全傳輸的終端主機，例如在該代理實施對網際網路用戶的驗證以檢查該用戶是否已是消息接收方的客戶的情況下。該代理檢查AOD，並繼續發送該IP消息而不帶AOD。
或者該代理對AOD信息進行匹配，並藉助於數字籤名將這種改變信號化。為此，該代理計算所述完整性檢查值，並用其覆蓋現有的值。此外，該代理還用其證書替代ISP的證書，並擴充原始識別數據，以包含進識別ISP的信息。
相對於在傳輸層或應用層實現，在IP層實現的優點在於，網際網路接入提供商可以在POP中很快地看到，是否應該加入識別數據，因為為此僅需分析IP報頭或查詢策略資料庫(性能優勢)。較高協議層的數據(即端對端交換的數據)不會改變。網際網路主機上的使用該新IP選項的應用需要一個擴充的IP網絡接口(IP套接字接口)，以便為IP分組設置驗證標記，或者將發送者識別數據傳遞給IP網絡接口，以及讀出到來的接收的發送者識別數據。提供新網際網路接入服務特徵「網際網路用戶識別」的ISP需要一個須對其進行管理的策略資料庫。此外，該ISP本身還需要一個公共認證實體的證書，對其也需進行管理和維護(更新證書撤消列表等)。
權利要求
1.一種用於識別網際網路用戶的方法，其中，網際網路用戶在使用與其有交易關係的網際網路接入提供商的網際網路接入服務時，在該網際網路接入提供商的網際網路接入節點中，在進行接入檢查時對該用戶進行識別或驗證，其特徵在於，在由所述網際網路接入節點成功實施了對網際網路用戶的IP消息的接入檢查之後，在將該IP消息繼續傳遞之前，在其上附加網際網路用戶的識別信息，其中，通過加密手段來保證該信息的完整性。
2.根據權利要求1所述的方法，其特徵在於，只有在存在一個相應的前提條件時才將網際網路用戶的識別信息附加到IP消息上。
3.根據權利要求2所述的方法，其特徵在於，所述前提條件由網際網路用戶預先給定。
4.根據權利要求1或2所述的方法，其特徵在於，所述前提條件的存在由所述接入節點進行檢查，其中，該接入節點從所述IP消息和/或一個資料庫中提取用於此目的的信息。
5.根據權利要求1至4中任一項所述的方法，其特徵在於，該方法在網際網路協議層上實現。
6.根據權利要求1至4中任一項所述的方法，其特徵在於，該方法在傳輸協議層上實現。
7.根據權利要求1至4中任一項所述的方法，其特徵在於，該方法在用戶協議層上實現。
8.根據權利要求1至7中任一項所述的方法，其特徵在於，利用數字籤名保證網際網路用戶識別信息的完整性。
9.一種網際網路接入節點，其-在實施網際網路接入服務時對網際網路用戶進行識別或驗證，-在成功實施對網際網路用戶的IP消息的網際網路接入服務之後，在將該IP消息繼續傳遞之前，在其上附加網際網路用戶的識別信息，其中，該節點通過加密手段來保證該信息的完整性。
10.根據權利要求9所述的網際網路接入節點，其特徵在於，該節點只在存在一個相應的前提條件時才將網際網路用戶的識別信息附加到IP消息上。
11.根據權利要求10所述的網際網路接入節點，其特徵在於，該節點藉助於它從IP消息本身和/或一個資料庫提取的信息對所述前提條件的存在進行檢查。
全文摘要
新的基於網際網路的服務要求服務提供商對網際網路用戶進行識別。按照本發明，對這種要求是這樣滿足的網際網路接入提供商根據需要為其客戶的IP消息提供能夠識別該網際網路用戶的IP分組的數據。網際網路接入提供商利用加密手段保證該數據的完整性。
文檔編號H04L12/22GK1422480SQ01806608
公開日2003年6月4日 申請日期2001年8月28日 優先權日2000年9月5日
發明者烏爾裡克·米特魯特, 史蒂芬·昂格爾, 雷納特·齊甘－莫斯 申請人:西門子公司