[发明专利]基于数字证书的网络接入认证方法和网络接入认证服务器

说明书

技术领域

本发明涉及网络通信领域。更具体地，涉及一种基于数字证书的网络接入认证方法和网络接入认证服务器。

背景技术

随着网络技术的不断发展，各种网络应用在提供便捷高效的服务的同时，也带来了潜在的管理和通信的安全性问题。而作为用户访问大部分网络服务的必经阶段和最初阶段，确保网络接入阶段的安全性对于确保整个网络通信系统的安全性是至关重要的。

在网络接入阶段，安全性问题主要涉及三方面内容。第一方面，为了确保仅允许有资格的用户接入网络访问服务并防止非法用户侵入或者盗用服务，需要对用户身份进行认证。第二方面，为了防止假冒站点，需要对认证服务器进行身份认证。第三方面，如果认证服务器为需要保密服务(如电子商务等)的用户提供认证服务，为了确保接入用户和认证服务器间通信的保密性，需要在两者间提供安全的加密通道。

就以上第一方面而言，现阶段大部分身份认证系统都采用用户名/密码方式的单因素身份认证。就以上第二方面和第三方面而言，目前在服务器上广泛使用单向认证的SSL证书，当安全锁显示在浏览器的下方时，它表明了有一个服务器SSL证书正在为用户终端与服务器之间的通信提供一个加密通道来保护数据传输安全。

然而，对用户的单因素身份认证无法应对日益猖獗的在线欺诈犯罪行为，同时，由于用户名/密码认证方式比较繁琐，用户名和密码容易丢失和遗忘。

发明内容

鉴于现有技术采用单因素身份认证方法对用户进行身份认证所存在的以上问题，本发明的目的是，提供一种基于用户数字证书的网络接入认证方法以及实现这种网络接入认证方法的网络接入认证服务器，使在网络接入阶段对于用户的身份认证更为便捷，安全性更强。

为此，根据本发明的第一方面，提出了一种网络接入认证方法和相应的网络接入认证服务器，所述方法可以包括以下步骤：接收用户主机发送的用户数字证书；基于接收到的用户数字证书对用户进行身份认证；从用户数字证书中解析用户信息，并根据从用户数字证书中解析出的用户信息，通过查询访问控制列表，判断是否允许用户主机对目的地址进行访问；认证成功并且判断允许访问后，向接入控制网关发送对于所述用户主机的接入授权请求，并接收接入控制网关返回的对于所述用户主机的接入授权；以及将认证结果和接入授权结果发送给用户主机。

通过在网络接入过程中采用数字证书而不是用户名/密码的单因素身份认证方式对用户进行身份认证，极大地提高了用户身份认证的便捷性和安全性。

根据本发明的第二方面，本发明第一方面的网络接入认证方法和服务器，还可以包括：向用户主机发送网络接入认证服务器的数字证书，用户主机利用所述网络接入认证服务器的数字证书，能够对网络接入认证服务器进行身份认证。

利用认证服务器的数字证书，用户主机可以对认证服务器进行身份认证，防止假冒站点。进一步增强了网络接入的安全性。

根据本发明的第三方面，在采用用户数字证书和认证服务器数字证书分别对用户和认证服务器进行身份认证的情况下，可以在所述用户主机和认证服务器间使用SSL双向认证，在两者间提供安全的加密通道，以保证认证服务器和用户之间数据的安全通信。

根据本发明的第四方面，在本发明以上网络接入认证方法和服务器中，所述数字证书嵌入了用户的CerID、用户身份证号、电子邮件地址、用户个人照片。

根据本发明的第五方面，在本发明第四方面的网络接入认证方法和服务器中，数字证书符合ITU X.509及ITU X.500国际标准。

附图说明

结合下面附图说明本发明的优选实施例，将使本发明的上述及其它目的、特征和优点更加清楚，其中：

图1示出了根据本发明的网络接入认证方法的网络应用环境；

图2示出了认证服务器200对用户主机100进行网络接入认证的流程图，其中，只对用户主机100进行基于数字证书的接入认证，用户主机100之间认证服务器200无需安全连接；

图3示出了用户主机100的联网流程图，其中，用户主机100和认证服务器200间采用SSL认证，认证服务器200的SSL模块能够提示用户在未安装用户证书的情况下安装数字证书；以及

图4示出了本发明所应用的用户主机100、认证服务器300和接入控制网关300三方通信的详细流程示意图，其中，用户主机100和认证服务器200间采用双向SSL认证。

具体实施方式