[发明专利]用户、设备、IPv6网络地址绑定的网络接入认证系统及方法

说明书

本发明提供了一种用户、设备、IPv6网络地址绑定的网络接入认证系统及方法，该系统包括注册系统、绑定地址分发配置系统，以及用户认证系统。所述注册系统能够基于用户身份信息和用户设备信息生成该用户的绑定地址；所述绑定地址包括子网前缀和接口标识符，所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成。本发明通过将用户和设备信息映射到IPv6地址中，同时对用户身份及设备进行接入认证，并且通过CGA技术的自身机制实现对IPv6地址的自检，提供了更加安全的验证机制。

技术领域

本发明涉及一种网络接入认证系统及方法，特别是能够同时对用户身份及设备进行接入认证的系统及方法。

背景技术

随着互联网的发展，网络已经渗透到人们生活的方方面面，为了让人们能健康安全的使用网络服务，常采用一些网络安全技术，比如防火墙、VPN、网络加密技术、入侵检测系统等，其中最普遍和实用的手段就是对接入网络的请求进行认证，即对接入网络的用户或设备的身份进行认证。只有具有合法身份的用户和设备才能访问网络资源。

当前对接入网络的认证一般有两种方式：用户身份认证和用户设备认证。用户身份认证是指当用户要接入网络的时候，用户需要输入用户名和密码等信息用于验证用户的身份，当用户身份验证通过后，用户就可以接入网络并正常使用。用户设备认证是指在接入网络的时候需要对设备的信息(如MAC地址)进行验证，只有设备认证通过后，才被允许接入网络。

但是仅使用用户身份认证方式，就相当于不对接入网络的设备进行认证，只验证用户的身份，而这种假设在安全性方面存在很多问题，如由于用户身份信息泄露，导致非法访问的发生。此外，即使用户没有通过认证，它仍然可以访问一定的网络资源，可以用来发动各种攻击。例如，即使攻击者无法对持有关键数据的服务器进行身份验证，他仍然可以使用网络连接对服务器发起拒绝服务攻击。其次，即使非法网络设备不被操纵，将其连接到内部网络仍然是非常危险的。例如，它可以将各种病毒传播到网络中，还可以监视网络以窃取包含关键信息的流量。最后，如果用户的身份信息被泄露了，恶意攻击者就可以使用泄露的用户信息认证通过网络的接入，从而在网络中为所欲为。

仅使用设备地址进行认证，即只认证设备的地址信息，如果之前设备认证通过了，相当于假设网络设备是完全可信的，这种方式在安全性方面也存在很大的危险。这样当设备丢失的时候，捡到设备的其他人就可以使用丢失的设备接入网络，会对网络和设备造成极大的损害。还有一种情况就是用户的设备可能被木马或者病毒等控制，如果不对接入网络的权限进行控制，恶意控制设备的侵入者就会对网络的安全造成很大的隐患。

所以，从上面两点来看，单独的基本用户身份认证的认证方式和单独的使用设备地址进行认证的方式已经不能满足实际网络接入的安全需求。为了保护网络的资源，保证只有合法的网络设备和用户才能访问网络资源，保证向开放的物理网络接口不被非法网络设备窃取，网络上面不存在没有经过授权的设备，网络认证机制必须将用户身份认证机制和设备地址认证机制联动起来，形成增强的认证接入方式。

发明内容

本发明的目的在于提供一种可以同时对用户身份和设备进行认证的网络接入认证系统，提高安全水平和认证效率。本发明的目的还在于提出一种将IPv6分配与用户和设备关联的方法，将用户身份和设备身份结合起来，进行综合的网络接入认证，提供更加安全的验证机制。

本发明的技术方案如下。

本发明第一方面提供了一种网络接入认证系统，包括：

注册系统，用于基于用户身份信息和用户设备信息生成该用户的绑定地址；所述绑定地址包括子网前缀和接口标识符，所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成；

绑定地址分发配置系统，用于接收用户发送的认证信息并进行认证，以及在认证通过后将所述用户的绑定地址分配给所述用户设备；

用户认证系统，用于在用户登入所述注册系统时进行认证，以及在用户接入网络时进行认证。