專利名稱:互聯(lián)網(wǎng)身份認證方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及互聯(lián)網(wǎng)的身份管理領域,尤其涉及在互聯(lián)網(wǎng)上認證個人身份的方法及系統(tǒng)���。
背景技術:
如今���,互聯(lián)網(wǎng)已經(jīng)走入千家萬戶,廣泛應用在生產(chǎn)���、服務�、生活等各個領域。在帶來巨大的社會效益和經(jīng)濟效益的同時�����,互聯(lián)網(wǎng)正逐步改變著人類社會的生產(chǎn)方式和人們的生活方式����。
網(wǎng)絡技術在推動社會進步的同時,也帶來了一系列的問題�����。由于互聯(lián)網(wǎng)具有受眾廣泛�、成本低、使用便利的特點�,越來越多的國家機關、金融機構�、商業(yè)組織開始在互聯(lián)網(wǎng)上提供服務,整個社會對互聯(lián)網(wǎng)的依賴日益加深�。而同時發(fā)展迅速的還有利用網(wǎng)絡進行的種種非法和不當行為,從侵入他人系統(tǒng)���、網(wǎng)絡詐騙等犯罪行為��,到發(fā)布假消息�����、隨意攻擊他人等不道德行為���,這些做法正在并且還將繼續(xù)對社會造成危害。
現(xiàn)有技術中����,在網(wǎng)絡基礎設施、操作系統(tǒng)�、通用基礎應用程序等各個層面有多種技術可以進行漏洞檢測與修復,以防止本方的網(wǎng)絡系統(tǒng)被非法入侵�;同時還有多種加密技術用來保障在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)的安全,這些技術的共同之處在于加大非法獲得信息的難度�����,但是對于非法行為發(fā)生后對責任人的查找則起不到多少作用��,尤其是對在互聯(lián)網(wǎng)上散布留言����、攻擊他人等行為更是無能為力����。事實上�����,網(wǎng)絡行為的責任人很難查找的根源在于互聯(lián)網(wǎng)的匿名性����。雖然通過網(wǎng)絡系統(tǒng)的日志能夠知道某一行為的時間甚至地點,但卻很難對應到某個具體的能夠承擔責任的人����。
現(xiàn)有的身份認證方法中,由認證中心提供身份認證服務����,認證方式包括帳號/密碼機制、加密數(shù)據(jù)通道��、數(shù)字簽名等����。用戶與互聯(lián)網(wǎng)上的某項應用建立連接后,向認證中心請求身份認證,由認證中心將認證結果通知該應用的服務器���,該應用服務器根據(jù)認證結果信任或拒絕該用戶。這種認證方式是基于連接的�,如果要確定每一個網(wǎng)絡行為的用戶,就必須對每一次連接進行一次認證�。考慮到互聯(lián)網(wǎng)龐大的用戶群�,很難承受這樣的流量。所以這種方法只應用于必須即時認證用戶身份的少量關鍵應用�����,而對其他大量的互聯(lián)網(wǎng)應用����,仍然不能確定實施網(wǎng)絡行為的人。
同時��,如今用戶使用互聯(lián)網(wǎng)時���,在不同的網(wǎng)站��、甚至在相同網(wǎng)站提供的不同服務上往往不得不注冊為不同的用戶名��。而用戶使用互聯(lián)網(wǎng)的范圍越大���,注冊的用戶名就越多�,記住每個用戶名都很困難���,更不用說還得記住對應的網(wǎng)站或服務了���。缺乏統(tǒng)一的身份認證系統(tǒng)對用戶使用互聯(lián)網(wǎng)造成了不便。
發(fā)明內容
本發(fā)明要解決的技術問題是提供一種在互聯(lián)網(wǎng)上認證個人身份的方法及系統(tǒng)�����,通過將在互聯(lián)網(wǎng)上必須使用的IP(Internet Protocol���,互聯(lián)網(wǎng)協(xié)議)地址對應到實施網(wǎng)絡行為的責任人�,建立起用戶網(wǎng)絡標識與現(xiàn)實生活中個人身份的直接關系��。
本發(fā)明所述互聯(lián)網(wǎng)身份認證方法��,包括以下步驟A.身份服務器接受用戶注冊�,在身份數(shù)據(jù)庫中存儲用戶身份信息及對應的密碼;B.在身份數(shù)據(jù)庫中建立該用戶包括身份信息的登記數(shù)據(jù)與用戶終端IP地址的對應關系��;C.所述用戶終端連接至應用服務器,向該應用服務器發(fā)送密碼����;D.所述應用服務器將用戶終端的IP地址及密碼發(fā)送至身份服務器;E.所述身份服務器查詢該身份數(shù)據(jù)庫�,進行密碼驗證;如果驗證成功�,則向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)��;如果驗證失敗����,則進行失敗處理。
優(yōu)選地����,在所述步驟A與B之間還包括為用戶終端分配IP地址的步驟。
優(yōu)選地�,所述為用戶終端分配IP地址包括固定IP地址的分配,具體步驟為用戶向IP地址提供方提供包括用戶身份信息�����、該用戶終端所在的互聯(lián)網(wǎng)網(wǎng)段號的登記數(shù)據(jù)和密碼��;IP地址提供方查詢所述身份數(shù)據(jù)庫,進行密碼驗證�;IP地址提供方為用戶終端指定IP地址。
優(yōu)選地�����,上述指定具體是根據(jù)用戶身份信息�、互聯(lián)網(wǎng)網(wǎng)段號生成IP地址。
優(yōu)選地�,所述為用戶終端分配IP地址包括動態(tài)IP地址的分配,具體步驟為用戶終端向其所在互聯(lián)網(wǎng)網(wǎng)段的動態(tài)地址分配服務單元發(fā)送包括用戶身份信息的登記數(shù)據(jù)和密碼����,申請IP地址;所述動態(tài)地址分配服務單元指定IP地址�����,并將登記數(shù)據(jù)�����、密碼和指定的IP地址發(fā)送到身份服務器�;所述身份服務器進行密碼驗證;如果驗證成功�����,則進入步驟B;如果驗證失敗���,則進行失敗處理�。
優(yōu)選地�����,上述登記數(shù)據(jù)還包括用戶終端的MAC地址��。
優(yōu)選地�,所述MAC地址與IP地址之間一一對應����;且用戶身份信息對應多個IP地址。
優(yōu)選地�����,本發(fā)明所述方法在步驟E之后還包括用戶終端申請IP地址釋放���;向身份服務器提供身份信息�����、密碼�����、MAC地址���;所述身份服務器進行密碼驗證����;如果驗證成功�����,則刪除身份數(shù)據(jù)庫中所述身份信息項下對應于所述MAC地址的記錄��;如果驗證失敗��,進行失敗處理��。
優(yōu)選地����,所述密碼包括鑒權密碼和查詢密碼��,鑒權密碼用于對IP地址的申請和釋放進行驗證���,查詢密碼用于對應用服務器的身份查詢進行驗證。
本發(fā)明還提供一種互聯(lián)網(wǎng)身份認證系統(tǒng)�,包括身份服務器、用戶終端和應用服務器�;且所述身份服務器與用戶終端及應用服務器之間具有數(shù)據(jù)通道,所述用戶終端與應用服務器之間具有數(shù)據(jù)通道��;所述身份服務器包括身份數(shù)據(jù)庫���,用于存儲包括用戶身份信息的登記數(shù)據(jù)與用戶終端IP地址的對應關系�����、密碼;其中����,所述用戶終端在連接應用服務器時向應用服務器發(fā)送密碼;所述應用服務器向身份服務器發(fā)送用戶終端的IP地址和從用戶終端接收的密碼����;所述身份服務器在收到應用服務器發(fā)送的IP地址和密碼后��,查詢身份數(shù)據(jù)庫�,進行密碼驗證�����;并且在通過密碼驗證后向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)�。
本發(fā)明通過建立IP地址與用戶個人身份之間的對應關系,實現(xiàn)了從互聯(lián)網(wǎng)用戶的網(wǎng)絡地址即可查找到該用戶的真實身份�����,這樣對于需要即時認證用戶的關鍵應用��,可以向身份服務器認證用戶的身份���,對于其他網(wǎng)絡應用�����,則可以在有必要時通過查詢身份數(shù)據(jù)庫得到網(wǎng)絡行為實施者的用戶身份����,便于對網(wǎng)絡的監(jiān)管�。
同時����,應用本發(fā)明后��,各個網(wǎng)站和互聯(lián)網(wǎng)服務可以使用統(tǒng)一的身份認證體系�����,用戶不再需要記憶不同網(wǎng)站或不同服務的注冊名稱和口令�,簡化了所有與身份相關的網(wǎng)絡應用,為互聯(lián)網(wǎng)用戶提供了便利���。
圖1所示為本發(fā)明的系統(tǒng)結構圖�;圖2所示為本發(fā)明所述方法的流程圖���;圖3所示為本發(fā)明所述固定IP地址申請的流程圖����;圖4所示為本發(fā)明所述動態(tài)IP地址申請的流程圖��;圖5所示為本發(fā)明所述通過IP地址查詢用戶身份信息的流程圖����;圖6所示為本發(fā)明所述固定IP地址釋放的流程圖;
圖7所示為本發(fā)明所述動態(tài)IP地址釋放的流程圖���。
具體實施例方式
在互聯(lián)網(wǎng)上�,每個網(wǎng)絡終端都有唯一的地址與其他終端或網(wǎng)絡設備相區(qū)別�,這個區(qū)別的地址可以是IP地址,也可以是MAC(MediaAccess Control���,媒質接入控制)地址��。MAC地址是網(wǎng)絡終端的固有屬性����,不可更改��,MAC地址與網(wǎng)絡終端是一一對應的�����;而當前IP地址�����,包括IPV4(Internet ProtocolVersion 4,第4版互聯(lián)網(wǎng)協(xié)議)和IPV6(Internet Protocol Version 6�����,第6版互聯(lián)網(wǎng)協(xié)議)地址�,代表當前的設備;在某一子網(wǎng)中某一時刻�,IP地址與網(wǎng)絡終端也是一一對應的。同時���,在互聯(lián)網(wǎng)上傳輸?shù)母鞣N應用數(shù)據(jù)包中��,IP地址是必不可少的�。
而對于社會中的人�,其個人身份的證明也是必不可少的,這些證明包括身份證�����、護照證件�、軍人證件等。一般而言這些證件中都有唯一的序列號碼與其證件一一對應��,如身份證號碼�����、護照號碼�、軍人證件號碼等,這些號碼不重復�,具有唯一性,從而這些號碼與個人之間又建立了一一對應的關系���,即“人即是號碼”��。
可見���,建立IP地址與個人身份之間的對應關系不會增加當前個人身份管理體系的負荷,是一種良好的選擇方案�。尤其是未來應用IPV6時,由于全球人口數(shù)遠遠小于IPV6的總容量��,從一個較小的集合A可以建立映射關系到另外一個較大的集合B�����,A中的元素可以對應B中一個或多個元素���,并保證A中不同的元素對應B中不同的元素���,此映射是由個人身份號碼得到IPV6地址的過程�����,而逆映射的過程即可完成從IPV6地址到個人身份號碼的轉換���。
以下參考附圖,詳細說明本發(fā)明的優(yōu)選實施方式��。
參見圖1�����,包括用戶終端110���、身份服務器130����、和應用服務器140��;且所述身份服務器130與用戶終端110及應用服務器140之間具有數(shù)據(jù)通道���,所述用戶終端110與應用服務器140之間具有數(shù)據(jù)通道��。
用戶通過終端110接入Internet(互聯(lián)網(wǎng))����,路由器120為用戶終端110所在的網(wǎng)段提供路由服務�。
身份服務器130上的身份數(shù)據(jù)庫為根據(jù)本發(fā)明所述方法建立的存儲用戶IP地址與身份信息對應關系的數(shù)據(jù)庫,用于存儲包括用戶身份信息的登記數(shù)據(jù)與用戶終端IP地址的對應關系�、密碼,由提供此項服務的有關機構負責管理和維護�;應用服務器140提供使用身份數(shù)據(jù)庫獲得用戶身份信息的任意網(wǎng)絡服務。
其中��,所述用戶終端110在連接應用服務器140時向應用服務器140發(fā)送密碼��;所述應用服務器140向身份服務器130發(fā)送用戶終端110的IP地址和從用戶終端110接收的密碼��;所述身份服務器130在收到應用服務器140發(fā)送的IP地址和密碼后�����,查詢身份數(shù)據(jù)庫�����,進行密碼驗證��;并且在通過密碼驗證后向應用服務器140返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)。
其中�,身份服務器可以由一臺服務器實現(xiàn),也可以由運行相同或不同應用的服務器組實現(xiàn)���。
本發(fā)明所述方法包括圖2所示的步驟�,以下分別進行說明��。
步驟S10為本發(fā)明的用戶注冊流程�����。在用戶開始使用身份識別服務前��,必須先辦理身份數(shù)據(jù)庫的用戶注冊��。在注冊流程中�����,用戶需要提供本人的法定有效證件���,或者在法律上能夠被視為本人行為的證明材料��,例如被代理人和代理人的法定有效證件����、具有法律效力的授權委托書等。在對用戶的真實身份進行核實后��,在身份數(shù)據(jù)庫中記錄用戶的個人身份信息��,通常是身份證件的號碼��,以及由用戶設定的鑒權密碼和查詢密碼����。
用戶注冊流程類似于開設股票交易帳戶或銀行帳戶���,其目的是保證掌握與身份信息對應的密碼的人是真正的具有該身份信息的人���。用戶設定的鑒權密碼用于申請和釋放IP地址,查詢密碼則是當用戶在使用各種互聯(lián)網(wǎng)的應用和服務時�����,用來授權給所使用的服務通過IP地址在身份數(shù)據(jù)庫中查找本人身份的�����。在實踐中,鑒權密碼和查詢密碼可以合二為一��。
完成注冊流程后�����,某用戶在身份數(shù)據(jù)庫中存儲的信息如下
步驟S20和步驟S30為用戶申請IP地址的流程����。考慮到用戶使用的便利性����,本發(fā)明提供了兩種IP地址申請流程其一是固定IP地址的申請流程,用戶可以為自己經(jīng)常使用的網(wǎng)絡終端申請固定的IP地址���,該網(wǎng)絡終端應當位于互聯(lián)網(wǎng)的固定網(wǎng)段�����。
固定IP地址的申請可以通過E-mail�,信函���、網(wǎng)絡等方式提出�,用戶需要向身份服務器提供登記數(shù)據(jù),包括身份信息����、設定的鑒權密碼、該網(wǎng)絡終端的MAC地址���、該網(wǎng)絡終端所在的互聯(lián)網(wǎng)網(wǎng)段以及其他有關信息����。身份服務器的處理流程如圖3所示�����,身份服務器在身份數(shù)據(jù)庫中查找是否有該用戶的身份信息��,如果沒有則返回提示該用戶注冊的消息���;如果該用戶已注冊,則驗證用戶提供的密碼與數(shù)據(jù)庫中存儲的鑒權密碼是否一致�,如果不一致則返回提示密碼有誤的消息;如果一致則查找已為該用戶分配的所有IP地址對應的MAC地址是否與新提供的MAC地址不同����,如果不同則為該用戶分配在其提供的網(wǎng)段內的IP地址���;如果相同則不再分配新的IP地址,讀出與提供的MAC地址對應的IP地址�,這樣可以防止相同用戶、相同MAC地址重復申請造成的地址浪費����;將IP地址和所有用戶提供的登記數(shù)據(jù)存儲到身份數(shù)據(jù)庫的對應項中,并向該用戶終端返回該IP地址���。
向用戶分配給定網(wǎng)段內的IP地址可以通過計算機算法自動進行�。該算法可以是運行在服務器中的一個模塊�����,這個模塊完成從登記數(shù)據(jù)到IP地址的映射功能��,并應當滿足以下條件
1)輸入為身份號碼和網(wǎng)段號�����,輸出為IP地址�����;2)輸出的IP地址不能重復;3)同一身份號碼和網(wǎng)段號����,可以有不同的IP,即在已經(jīng)有身份號碼和IP對應的關系后����,輸入同一身份號碼和網(wǎng)段號后,IP地址能夠重新生成���,并且不重復����;4)身份號碼�����、網(wǎng)段號與IP地址可以一對多(在一對多的情況下����,MAC地址可以作為必要的輸入?yún)?shù))��,但IP地址與身份號碼必須一對一。
當然����,所述固定IP地址分配并不限于由身份服務器進行,也可以由其他IP地址提供方分配����。此時,用戶向IP地址提供方提供包括用戶身份信息���、該用戶終端所在的互聯(lián)網(wǎng)網(wǎng)段號的登記數(shù)據(jù)和密碼��;IP地址提供方查詢所述身份數(shù)據(jù)庫���,進行密碼驗證;IP地址提供方為用戶終端指定IP地址����;并將該登記數(shù)據(jù)和IP地址存儲至身份數(shù)據(jù)庫。
其二是動態(tài)IP地址的申請流程�,用戶在所有提供此項服務的網(wǎng)絡終端上都可以申請動態(tài)IP地址,滿足用戶隨時隨地使用互聯(lián)網(wǎng)的需求�。
動態(tài)IP地址的申請要求用戶使用的網(wǎng)絡終端所在的互聯(lián)網(wǎng)網(wǎng)段中有提供IP地址分配的動態(tài)地址分配服務單元,這項服務可以由運行在網(wǎng)絡服務器上的軟件提供���,如DHCP(Dynamic Host Configuration Protocol��,動態(tài)主機配置協(xié)議)�、BootP(Bootstrap Protocol,引導協(xié)議)���、IPCP(Internet Protocol ControlProtocol���,網(wǎng)間協(xié)議控制協(xié)議)等,也可以由網(wǎng)絡設備提供���,如路由器���。
動態(tài)IP地址的申請流程如圖4所示。用戶通過網(wǎng)絡終端申請動態(tài)IP地址分配����,輸入身份信息和鑒權密碼作為登記數(shù)據(jù),發(fā)送給動態(tài)地址分配服務單元�。動態(tài)地址分配服務單元在用戶輸入的登記數(shù)據(jù)中添加從用戶的數(shù)據(jù)包中獲得的MAC地址,和從本服務的空閑IP地址池中取出的一個IP地址���,發(fā)送給身份服務器�。身份服務器在身份數(shù)據(jù)庫中查找該用戶身份信息���、驗證鑒權密碼的判斷過程和處理方式與固定IP地址申請流程相同����,經(jīng)過鑒權之后身份服務器直接將登記數(shù)據(jù)存儲到身份數(shù)據(jù)庫的對應項中�����,包括動態(tài)地址服務單元分配的IP地址���,并向動態(tài)地址服務單元回執(zhí)該IP地址����,表示IP地址登記成功����;動態(tài)地址服務單元向用戶的網(wǎng)絡終端發(fā)送該IP地址。
完成IP地址申請流程后����,某用戶在身份數(shù)據(jù)庫中存儲的信息如下
其中,固定IP地址申請流程中用戶終端所在的互聯(lián)網(wǎng)網(wǎng)段號存儲在上表中“其他信息”字段����。
步驟S40�、S50����、S60、S70為身份信息的認證流程�。
步驟S40,所述用戶終端連接至應用服務器���,向該應用服務器發(fā)送密碼���。
步驟S50,所述應用服務器將用戶終端的IP地址及密碼發(fā)送至身份服務器��。
步驟S60����,所述身份服務器查詢該身份數(shù)據(jù)庫,進行密碼驗證��;如果驗證成功����,則進行步驟S70��,向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù);如果驗證失敗�,則進行失敗處理。
所述失敗處理可以是返回查詢失敗提示消息��;也可以是返回密碼錯誤提示消息���;或不進行任何操作等����。
如圖5所示�����,是身份信息認證過程的一個實例���。用戶完成IP地址申請之后���,就可以用該IP地址使用互聯(lián)網(wǎng)上的各種功能。
當用戶使用的某項互聯(lián)網(wǎng)應用需要進行身份識別時��,該應用的服務器提示用戶輸入其在身份數(shù)據(jù)庫中的查詢密碼���。收到用戶提供的查詢密碼后����,該應用服務器將從用戶數(shù)據(jù)包中取得的IP地址和查詢密碼發(fā)送給身份服務器。身份服務器在身份數(shù)據(jù)庫中查找使用該IP地址的用戶��,如果查找失敗則返回查詢失敗提示消息�����;如果成功則驗證查詢密碼是否正確��,不正確返回密碼錯誤提示消息���,通過密碼驗證則向該應用服務器返回使用該IP地址的用戶的身份信息和MAC地址���。
互聯(lián)網(wǎng)應用可以通過SMS(Short Message Service,短消息服務)��、MMS(Multimedia Service�����,彩信)、電子郵件��、特殊定義的信令等方式發(fā)起個人身份認證請求���。
例如���,網(wǎng)上銀行在提供服務的過程中需要認證用戶的身份��,整個應用的流程包括用戶終端通過IP地址與網(wǎng)上銀行建立聯(lián)系����;用戶終端的IP地址被網(wǎng)上銀行獲取���;同時網(wǎng)上銀行請求用戶終端發(fā)送查詢密碼�����;用戶終端發(fā)送查詢密碼����,并以DRM(Digital Rights Management��,數(shù)字版權管理)協(xié)議對該密碼進行保護,以確保該密碼不被散失��,并只能使用一次����;網(wǎng)上銀行獲取該密碼后,以IP地址和密碼向身份服務器查詢身份號碼�����;身份服務器把對身份數(shù)據(jù)庫進行查詢的結果反饋給網(wǎng)上銀行���;網(wǎng)上銀行獲取到該身份號碼后��,進行相關的后續(xù)業(yè)務���。
對更多的互聯(lián)網(wǎng)應用而言,并不需要即時對用戶的身份進行確認��。如果在身份服務器上增加對身份數(shù)據(jù)庫添加�����、刪除項目的日志記錄��,則可以根據(jù)使用某項應用的時間、用戶IP地址查到當時是哪個用戶在進行操作�����,從而確定網(wǎng)絡行為的責任人�。
本發(fā)明還包括IP地址的釋放流程。對應于前述IP地址的申請流程���,IP地址的釋放流程也分為兩種
其一是固定IP地址的釋放流程����,如圖6所示�。用戶申請固定IP地址釋放時����,需要向身份服務器提供身份信息、鑒權密碼���、使用該IP地址的網(wǎng)絡終端的MAC地址�。身份服務器先在數(shù)據(jù)庫先查詢該用戶的身份信息����,再查詢該用戶占用的所有IP地址對應的MAC地址中有無所提供的MAC地址,如果查詢失敗則返回相應的提示消息;查詢成功驗證鑒權密碼是否正確����,正確則刪除該MAC地址對應的IP信息包,將該IP地址放回空閑地址池�����,并向用戶終端返回IP地址釋放成功的消息�。
其二是動態(tài)IP地址的釋放流程,如圖7所示�����。用戶通過網(wǎng)絡終端申請釋放動態(tài)IP地址����,輸入身份信息和鑒權密碼發(fā)送給動態(tài)地址分配服務單元。動態(tài)地址分配服務單元在用戶輸入的數(shù)據(jù)中添加從用戶的數(shù)據(jù)包中獲得的MAC地址����,發(fā)送給身份服務器。身份服務器在身份數(shù)據(jù)庫中先查詢該用戶的身份信息���,再查詢該用戶占用的所有IP地址對應的MAC地址中有無所提供的MAC地址����,如果查詢失敗則返回相應的提示消息;查詢成功則驗證鑒權密碼是否正確�,正確則刪除該MAC地址對應的IP信息包,并向動態(tài)地址分配服務單元返回IP地址釋放成功的消息��。動態(tài)地址分配服務單元收到后���,將該IP地址放回空閑地址池����,并向用戶終端返回IP地址釋放成功的消息����。
在以上步驟中�,所有在互聯(lián)網(wǎng)上進行的密碼傳輸都采用加密技術對密碼進行保護,并可以同時采用DRM技術����。DRM協(xié)議可以設定文件被調用的次數(shù)和可調用的時間,例如把密碼設置為只能使用一次����,以確保密碼的安全���。
身份服務器的管理要充分考慮安全因素,綜合采用多種網(wǎng)絡安全技術�����,如不間斷電源�、防火墻、各種系統(tǒng)漏洞檢測與修復技術等�。
以上所述僅為本發(fā)明的優(yōu)選實施方式,并不構成對本發(fā)明保護范圍的限定���。任何在本發(fā)明的精神和原則之內所作的任何修改���、等同替換和改進等,均應包含在本發(fā)明的權利要求保護范圍之內�����。
權利要求
1.一種互聯(lián)網(wǎng)身份認證方法�,其特征在于,包括以下步驟A.身份服務器接受用戶注冊�����,在身份數(shù)據(jù)庫中存儲用戶身份信息及對應的密碼;B.在身份數(shù)據(jù)庫中建立該用戶包括身份信息的登記數(shù)據(jù)與用戶終端互聯(lián)網(wǎng)協(xié)議IP地址的對應關系����;C.所述用戶終端連接至應用服務器,向該應用服務器發(fā)送密碼�����;D.所述應用服務器將用戶終端的IP地址及密碼發(fā)送至身份服務器���;E.所述身份服務器查詢該身份數(shù)據(jù)庫���,進行密碼驗證;如果驗證成功��,則向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)�����;如果驗證失敗���,則進行失敗處理。
2.根據(jù)權利要求1所述的互聯(lián)網(wǎng)身份認證方法���,其特征在于�,在所述步驟A與B之間還包括為用戶終端分配IP地址的步驟。
3.根據(jù)權利要求2所述的互聯(lián)網(wǎng)身份認證方法�����,其特征在于����,所述分配IP地址具體包括用戶向IP地址提供方提供包括用戶身份信息、該用戶終端所在的互聯(lián)網(wǎng)網(wǎng)段號的登記數(shù)據(jù)和密碼�����;IP地址提供方查詢所述身份數(shù)據(jù)庫�,進行密碼驗證;IP地址提供方為用戶終端指定IP地址�����。
4.根據(jù)權利要求3所述的互聯(lián)網(wǎng)身份認證方法����,其特征在于,所述指定具體是根據(jù)用戶身份信息�����、互聯(lián)網(wǎng)網(wǎng)段號生成IP地址。
5.根據(jù)權利要求2所述的互聯(lián)網(wǎng)身份認證方法��,其特征在于���,所述分配IP地址具體包括用戶終端向其所在互聯(lián)網(wǎng)網(wǎng)段的動態(tài)地址分配服務單元發(fā)送包括用戶身份信息的登記數(shù)據(jù)和密碼���,申請IP地址;所述動態(tài)地址分配服務單元指定IP地址���,并將登記數(shù)據(jù)�、密碼和指定的IP地址發(fā)送到身份服務器���;所述身份服務器進行密碼驗證�����;如果驗證成功�,則進入步驟B�;如果驗證失敗��,則進行失敗處理。
6.根據(jù)權利要求1至5任意一項所述的互聯(lián)網(wǎng)身份認證方法����,其特征在于,所述登記數(shù)據(jù)還包括用戶終端的媒質接入控制MAC地址�����。
7.根據(jù)權利要求6所述的互聯(lián)網(wǎng)身份認證方法����,其特征在于,所述IP地址與MAC地址之間一一對應���;且用戶身份信息對應多個IP地址�����。
8.根據(jù)權利要求7所述的互聯(lián)網(wǎng)身份認證方法�,其特征在于����,在所述步驟E之后還包括用戶終端申請IP地址釋放;向身份服務器提供身份信息、密碼���、MAC地址�����;所述身份服務器進行密碼驗證�;如果驗證成功��,則刪除身份數(shù)據(jù)庫中所述身份信息項下對應于所述MAC地址的記錄����;如果驗證失敗,進行失敗處理�����。
9.根據(jù)權利要求8所述的互聯(lián)網(wǎng)身份認證方法���,其特征在于���,所述密碼包括鑒權密碼和查詢密碼,鑒權密碼用于對IP地址的申請和釋放進行驗證����,查詢密碼用于對應用服務器的身份查詢進行驗證�����。
10.一種互聯(lián)網(wǎng)身份認證系統(tǒng),其特征在于��,包括身份服務器�����、用戶終端和應用服務器�����;且所述身份服務器與用戶終端及應用服務器之間具有數(shù)據(jù)通道�,所述用戶終端與應用服務器之間具有數(shù)據(jù)通道;所述身份服務器包括身份數(shù)據(jù)庫�,用于存儲包括用戶身份信息的登記數(shù)據(jù)與用戶終端IP地址的對應關系、密碼����;其中,所述用戶終端在連接應用服務器時向應用服務器發(fā)送密碼�����;所述應用服務器向身份服務器發(fā)送用戶終端的IP地址和從用戶終端接收的密碼;所述身份服務器在收到應用服務器發(fā)送的IP地址和密碼后����,查詢身份數(shù)據(jù)庫,進行密碼驗證��;并且在通過密碼驗證后向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)�����。
全文摘要
本發(fā)明公開了一種互聯(lián)網(wǎng)身份認證方法�����,包括以下步驟身份服務器接受用戶注冊����,在身份數(shù)據(jù)庫中存儲用戶身份信息及對應的密碼;在身份數(shù)據(jù)庫中建立該用戶包括身份信息的登記數(shù)據(jù)與用戶終端IP地址的對應關系���;所述用戶終端連接至應用服務器����,向該應用服務器發(fā)送密碼;所述應用服務器將用戶終端的IP地址及密碼發(fā)送至身份服務器��;所述身份服務器查詢該身份數(shù)據(jù)庫����,進行密碼驗證;如果驗證成功����,則向應用服務器返回身份數(shù)據(jù)庫中該IP地址對應的登記數(shù)據(jù)����;如果驗證失敗,則進行失敗處理�。本發(fā)明還公開了一種互聯(lián)網(wǎng)身份認證系統(tǒng)。本發(fā)明實現(xiàn)了從IP地址即可查找到用戶的真實身份�����。
文檔編號H04L9/32GK1780206SQ20041008898
公開日2006年5月31日 申請日期2004年11月23日 優(yōu)先權日2004年11月23日
發(fā)明者楊鵬亮 申請人:華為技術有限公司