一种基于域名系统命名的客户端认证方法及系统技术方案

本发明专利技术提供一种基于域名系统命名的客户端认证方法及装置，其中的客户端认证方法包括：获取待认证客户端的身份标识码信息；根据身份标识码信息，获取域名系统中预先定义的身份验证信息记录；根据身份标识码信息中的认证平台标识码，获取目标认证平台的公钥；根据身份验证信息记录和目标认证平台的公钥，对身份验证信息记录进行验证；若身份验证信息记录验证通过，则根据身份验证信息记录，对待认证客户端提供的防伪信息进行校验；若校验成功，则待认证客户端的身份认证通过。该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷，实现了网络中客户端设备的身份认证。实现了网络中客户端设备的身份认证。实现了网络中客户端设备的身份认证。

A client authentication method and system based on domain name system naming

【技术实现步骤摘要】
一种基于域名系统命名的客户端认证方法及系统


[0001]本专利技术涉及网络通信
，尤其涉及一种基于域名系统命名的客户端认证方法及系统。

技术介绍

[0002]域名系统(Domain Name System，简称DNS)服务是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网。根据2018年赛门铁克(Symantec)威胁报告，针对物联网攻击的数量在2016年和2017年之间增加了600％。因此，当物联网设备在网络中实施部署时，需要更多地关注安全性。
[0003]为了解决安全性问题，一方面，必须使用强大而高效的加密解决方案来标准化机器之间的安全通信。另一方面，身份验证也有助于防止攻击者声称自己是物联网设备，以访问服务器上记录的对话、图像和其他潜在的敏感信息等数据。在选择身份验证模型时需要考虑多个因素，例如资源、硬件容量、财务预算、安全专业知识、安全要求和连接性。
[0004]现有网络中的交互方式主要包括客户端服务器模式，点对点模式以及一些解耦和的通信场景。在一些应用中，网络或者设备本身可能受到更多限制，在消息有效负载中包含证书可能会在受限网络链接上带来不必要的开销。此外，由于成本等各方面因素，网络中部分客户端设备可能未申请CA(Certification Authority)证书。
[0005]DANE协议依托于DNSSEC(Domain Name System Security Extensions，简称安全扩展)机制对身份认证过程中使用的证书及CA机构等进行了一定的限制，但是二级及以下权威域名一直是业界期望整体实现DNSSEC功能、消除安全孤岛的工作难点所在，其部署情况仍然非常滞后，且进展缓慢。
[0006]由于DANE协议要基于DNSSEC进行可信认证，其发展受到DNSSEC部署的限制，并且目前DANE协议的应用主要针对服务器端，不支持网络中设备等客户端侧的身份认证。
[0007]因此，如何解决现有技术中不支持网络中设备客户端侧的身份认证问题，是网络通信
亟待解决的重要课题。

技术实现思路

[0008]本专利技术提供一种基于域名系统命名的客户端认证方法及装置，用以解决现有技术中不支持网络中设备客户端侧的身份认证的缺陷，实现网络中客户端设备的身份认证。
[0009]第一方面，本专利技术提供一种基于域名系统命名的客户端认证方法，包括：获取待认证客户端的身份标识码信息；根据所述身份标识码信息，获取所述域名系统中预先定义的身份验证信息记录；根据所述身份标识码信息中的认证平台标识码，获取目标认证平台的公钥；根据所述身份验证信息记录和所述目标认证平台的公钥，对所述身份验证信息记录进行验证；若所述身份验证信息记录验证通过，则根据所述身份验证信息记录，对所述待认证客户端提供的防伪信息进行校验；若校验成功，则所述待认证客户端的身份认证通过。
[0010]进一步地，所述预先定义的身份验证信息记录包括：待认证客户端身份数据、所述
待认证客户端身份数据使用的摘要算法、所述待认证客户端身份数据的储存长度以及校验信息。
[0011]进一步地，所述根据所述身份验证信息记录和所述目标认证平台的公钥，对所述身份验证信息记录进行验证，包括：通过所述目标认证平台的公钥，对所述校验信息进行解密，获取待校验数据；采用与所述待认证客户端身份数据使用的摘要算法相同的算法对所述待校验数据进行运算，得到目标校验数据；比较所述目标校验数据与所述待认证客户端身份数据的内容；若所述目标校验数据与所述待认证客户端身份数据的内容一致，则确定所述身份验证信息记录的验证通过。
[0012]进一步地，所述根据所述身份标识码信息中的认证平台标识码，获取目标认证平台的公钥，包括：通过管理平台数据库获取认证平台与其相对应的公钥信息的映射关系表；基于所述映射关系表，根据所述认证平台标识码获取所述目标认证平台的公钥。
[0013]进一步地，所述根据所述身份验证信息记录，对所述待认证客户端提供的防伪信息进行校验，包括：通过所述身份验证信息记录，得到所述待认证客户端的原始公钥；根据所述待认证客户端的原始公钥，对所述防伪信息进行校验；其中，所述防伪信息为所述待认证客户端利用自身私钥进行签名的数据。
[0014]进一步地，所述客户端认证方法还包括：根据域名持有方发起的更新请求，更新所述身份验证信息记录的内容。
[0015]第二方面，本专利技术还提供一种基于域名系统命名的客户端认证装置，包括：第一信息获取模块，用于获取待认证客户端的身份标识码信息；第二信息获取模块，用于根据所述身份标识码信息中的目标域名，获取所述域名系统中预先定义的身份验证信息记录；认证公钥获取模块，用于根据所述身份标识码信息中的认证平台标识码，获取目标认证平台的公钥；身份认证模块，用于根据所述身份验证信息记录和所述目标认证平台的公钥，对所述待认证客户端进行身份认证；防伪校验模块，用于根据所述身份验证信息记录，对所述待认证客户端提供的防伪信息进行校验；若校验成功，则所述待认证客户端的身份认证通过。
[0016]本专利技术还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
[0017]本专利技术还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
[0018]本专利技术还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述基于域名系统命名的客户端认证方法的步骤。
[0019]本专利技术提供的基于域名系统命名的客户端认证方法，通过获取待认证客户端的身份标识码信息，根据该身份标识码信息获取域名系统中预先定义的身份验证信息记录，并根据身份标识码信息中的认证平台标识码，获取目标认证平台的公钥，从而，根据身份验证信息记录和目标认证平台的公钥，对身份验证信息记录的真实性进行验证，若身份验证信息记录验证通过，则利用待认证客户端的防伪信息进行校验，完成待认证客户端的身份认证，该方法解决了现有技术中不支持网络中客户端设备侧身份认证的缺陷，实现了网络中客户端设备的身份认证。
附图说明
[0020]为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本专利技术提供的基于域名系统命名的客户端认证方法的主体交互图；
[0022]图2为本专利技术提供的基于域名系统命名的客户端认证方法的流程示意图；
[0023]图3为本专利技术提供的身份验证信息记录的结构示意图；
[0024]图4为本专利技术提供的基于域名系统命名的客户端认本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于域名系统命名的客户端认证方法，其特征在于，包括：获取待认证客户端的身份标识码信息；根据所述身份标识码信息，获取所述域名系统中预先定义的身份验证信息记录；根据所述身份标识码信息中的认证平台标识码，获取目标认证平台的公钥；根据所述身份验证信息记录和所述目标认证平台的公钥，对所述身份验证信息记录进行验证；若所述身份验证信息记录验证通过，则根据所述身份验证信息记录，对所述待认证客户端提供的防伪信息进行校验；若校验成功，则所述待认证客户端的身份认证通过。2.根据权利要求1所述的基于域名系统命名的客户端认证方法，其特征在于，所述预先定义的身份验证信息记录包括：待认证客户端身份数据、所述待认证客户端身份数据使用的摘要算法、所述待认证客户端身份数据的储存长度以及校验信息。3.根据权利要求2所述的基于域名系统命名的客户端认证方法，其特征在于，所述根据所述身份验证信息记录和所述目标认证平台的公钥，对所述身份验证信息记录进行验证，包括：通过所述目标认证平台的公钥，对所述校验信息进行解密，获取待校验数据；采用与所述待认证客户端身份数据使用的摘要算法相同的算法对所述待校验数据进行运算，得到目标校验数据；比较所述目标校验数据与所述待认证客户端身份数据的内容；若所述目标校验数据与所述待认证客户端身份数据的内容一致，则确定所述身份验证信息记录的验证通过。4.根据权利要求1所述的基于域名系统命名的客户端认证方法，其特征在于，所述根据所述身份标识码信息中的认证平台标识码，获取目标认证平台的公钥，包括：通过管理平台数据库获取认证平台与其相对应的公钥信息的映射关系表；基于所述映射关系表，根据所述认证平台标识码获取所述目标认证平台的公钥。5.根据权利要求1所述的基于域名系统命名的客户端认证方法，其特征在于，所述根...

【专利技术属性】
技术研发人员：张曼，姚健康，周琳琳，延志伟，董科军，沙晓爽，
申请(专利权)人：中国互联网络信息中心，
类型：发明
国别省市：