基于域名的统一身份标识和认证方法技术

本发明专利技术属于互联网用户身份标识与认证领域，具体特征在于利用下一代互联网协议ＩＰｖ６所提出的良好的体系结构设计，通过与安全域名服务相结合，扩展现有身份认证系统的功能，实现用户身份与当前真实ＩＰｖ６地址的绑定关系，为上层的应用提供了更加可靠的安全服务。在用户管理域内设有：网络访问控制服务器：通过用户计算机源ＭＡＣ地址、源ＩＰｖ６地址以及端口所组成的三元组＜ＭＡＣ，ＩＰｖ６，Ｐｏｒｔ＞来标识注册用户；身份认证服务器：对用户身份标识进行认证并设定相应的访问权限；域名服务器建立了用户个人域名与ＩＰｖ６地址之间的正反向对应关系。本发明专利技术能够为未来互联网的应用提供多种有效的身份认证手段，同时具有良好的可扩展性，能够适应未来互联网应用发展所带来的要求。

【技术实现步骤摘要】

【技术保护点】
基于域名的统一身份标识和认证方法，其特征在于：依次含有以下步骤：步骤（１），在用户所在的身份认证管理域中设有身份认证服务器、网络访问控制服务器、身份认证客户端以及域名服务器：身份认证服务器含有：网络层、协议处理层、逻辑控制层 、数据控制层以及数据库，其中：网络层，通过身份认证请求端口和计费请求端口将从网络访问控制服务器发来的请求数据传递给协议处理层，再将从协议处理层传来的响应数据封装成数据包发送给该网络访问控制服务器；协议处理层，根据身份认证协议 组合、解析、校验和处理来自网络层的请求报文，并将处理后的数据送给逻辑控制层，同时也将逻辑控制层送来的数据根据身份认证协议处理后发送给网络层；逻辑控制层，设有：身份认证授权模块，用于根据用户身份认证标识进行认证，并且根据用户身份标识授 予相应的访问权限，所述用户身份认证标识是一个与用户当前ＩＰｖ６地址相对应的一个全网唯一的个人域名ＰＤＮ，表明该用户属于某个给定的管理域，同时该身份认证授权模块用下述算法生成一个合法的真实ＩＰｖ６地址给用户；计费模块，用于对用户访问网络资源的行为进行计费或审计；漫游模块，当请求认证的用户不属于本管理域Ａ时，须与对方管理域的身份认证服务器通信，实现用户的跨网络管理域身份认证；数据控制层，设有：数据库接口，用于从数据库中查询用于信息；配合接口，用于从配置文件中读取身份认证系 统运行所需要的包括服务器地址等信息；数据库，设有用户帐号权限信息表、其中含有用户个人域名ＰＤＮ、用户口令Ｐａｓｓｗｏｒｄ以及用户权限Ｒｉｇｈｔ等字段；网络访问控制服务器，采用８０２．１ｘ交换机实现，在该交换机中绑定了用户计算 机源ＭＡＣ地址、源ＩＰｖ６地址以及分配的端口，构成三元组＜ＭＡＣ，ＩＰｖ６，Ｐｏｒｔ＞，在用户通过身份认证之后访问网络时作匹配用，为此设有含该三元组＜ＭＡＣ，ＩＰｖ６，Ｐｏｒｔ＞的源地址绑定表；身份认证客户端计算机，含有网络层、协议 处理层和逻辑控制层，其中：网络层，把来自协议处理层的数据进行封装后发送给网络网络访问控制服务器端，而把来自网络访问控制服务器端的数据解封装后传递给协议处理层；协议处理层，根据身份认证协议组合、解析、校验和处理来自逻辑层的以及 发送给网络层的认证请求报文；逻辑控制层，设有：用户接口，用于身份认证客户端计算机与用户之间的交互；地址接口，用于将从服务器获得...

【技术特征摘要】

【专利技术属性】
技术研发人员：吴建平，段海新，张洪，付强，
申请(专利权)人：清华大学，
类型：发明
国别省市：11[中国|北京]