[发明专利]用户、设备、IPv6网络地址绑定的网络接入认证系统及方法

权利要求书

1.一种网络接入认证系统，其特征在于，包括：

注册系统，用于基于用户身份信息和用户设备信息生成该用户的绑定地址；所述绑定地址包括子网前缀和接口标识符，所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成；

绑定地址分发配置系统，用于接收用户发送的认证信息并进行认证，以及在认证通过后将所述用户的绑定地址分配给所述用户设备；

用户认证系统，用于在用户登入所述注册系统时进行认证，以及在用户接入网络时进行认证。

2.根据权利要求1所述的一种网络接入认证系统，其特征在于，所述注册系统能够将用户信息和用户设备信息映射到所述绑定地址；所述用户信息包括用户ID，所述用户设备信息包括MAC地址。

3.根据权利要求2所述的一种网络接入认证系统，其特征在于，所述绑定地址为静态IPv6地址；所述静态IPv6地址的前64位为子网前缀，后64位为使用Hash算法对随机序列、子网前缀、冲突数、公共密钥、MAC地址和用户ID连接起来的字符串进行运算，并对获得的字符串截取前64位。

4.根据权利要求1所述的一种网络接入认证系统，其特征在于，所述用户认证系统包括认证服务器、地址池和数据库；所述数据库用于将所述注册系统生成的绑定地址与所述用户信息和用户设备信息相关联地存储。

5.根据权利要求4所述的一种网络接入认证系统，其特征在于，所述认证服务器在收到用户接入网络请求时，能够从所述数据库中获取到用户的用户ID、MAC地址和绑定地址，并与用户发送过来的请求中携带的信息进行比对。

6.一种生成IPv6地址的方法，其特征在于，包括如下步骤：

登记用户身份信息和用户设备信息；

获取子网前缀；

产生一随机序列，并将冲突数设置为0；

产生一对公共/私有密钥对；

使用CGA机制产生接口标识符；所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息；

从左到右连接所述子网前缀和所述接口标识符得到IPv6地址。

7.根据权利要求6所述的一种生成IPv6地址的方法，其特征在于，所述方法还包括：检测所生成的IPv6地址是否发生地址冲突，若发生地址冲突，则将冲突数的值加1，并重新生成IPv6地址。

8.一种验证IPv6地址的方法，用于验证所述IPv6地址是否使用根据权利要求6或7所述的方法生成，其特征在于，包括如下步骤：

检查冲突数，如果冲突数的值超出取值范围，则验证失败；

检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致，如果不一致，则验证失败；检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致，如果不一致，则验证失败；

对CGA机制使用的参数数据结构执行SHA-1散列算法，取出散列值的最左边的64位，得到Hash1散列；

把Hash1散列和所述IPv6地址的接口标识符进行比较；忽略U/L位、I/G位和安全参数Sec的3位；如果不一致，则验证失败；

从所述IPv6地址的低64位中读取安全参数Sec的值；

将子网前缀、冲突数、类型、长度和MAC地址置为0；

从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域，并执行SHA-1散列运算；从散列值的最左边取出112位得到Hash2散列；

将Hash2散列左边的16*Sec位和零做比较，如果不为零，则验证失败；否则验证成功。