基于生物识别认证的网络接入控制系统及其方法

基于生物识别认证的网络接入控制系统及其方法
【专利摘要】本发明提供一种基于生物识别认证的网络接入控制系统及方法，该系统包括客户端、网络资源管理平台、身份验证服务器和生物识别认证装置；所述客户端用于接收/响应所述身份验证服务器发出的身份验证信息请求，发出生物采集数据；身份验证服务器用于接收生物样本数据，并向生物识别认证装置发出生物识别认证请求信息；生物识别认证装置将生物采集数据与存储的生物样本数据进行比对，向身份验证服务器发出认证结果；网络资源管理平台接收身份验证服务器发出的EAP-Success消息，控制所述客户端是否接入网络。本发明在网络设备的网络链路层对接入设备进行认证和控制，有效解决网络的非法接入问题，企业内部网络安全、可控。
【专利说明】基于生物识别认证的网络接入控制系统及其方法
【技术领域】
[0001]本发明涉及安全认证【技术领域】，特别涉及一种基于生物识别认证的网络接入控制系统及其方法。
【背景技术】
[0002]随着我国信息化的推进和发展，各大中型企业内部网络规模日益庞大，网络应用日益频繁。网络的庞大化和复杂化，导致网络安全风险越来越严重。内网安全已成为各大中型企业用户极为关注的问题。
[0003]内部网络的非法接入问题，是目前各大中型企业内网安全所面临的重要问题，如何有效的对接入网络的计算机及网络设备进行监控与管理，是内部网络能否安全运转的前提。
[0004]传统的金融系统普遍使用业务授权的形式对内部人员的计算机犯罪进行防范。传统的商业隐含授权方式包括如下流程:柜员进行业务操作时遇到授权业务，向授权主管请求授权；授权主管核实柜员之前所做操作是否有误、待授权业务是否实时发生、客户是否在现场、客户提交的凭证和客户是否有关联；授权主管根据核实结果决定是否进行授权。
[0005]传统的授权方式包括:输入密码、磁卡、IC卡、指纹等，分别存在如下缺点:密码易被遗忘或破解；磁卡和IC卡携带不方便，容易丢失；指纹容易被复制或污染，准确度不高，尤其是当操作者指纹较浅时，可能导致无法识别。
[0006]为解决上述问题，中国发明专利CN102075530A提供了一种基于手掌静脉认证的银行授权授信系统及方法，该系统包括授权终端，根据银行业务流程需要向授权认证装置发送业务请求信息；授权认证装置，接收业务请求信息，识别并提取授权请求信息，发送给手掌静脉识别装置，读取待认证用户的手掌静脉图像，并将其与预先存储的授权人的手掌静脉数据进行比对:若相符，则向授权终端发送授权信息；手掌静脉识别装置，相应授权请求信息，采集待认证用户的手掌静脉图像，处理后发送给授权认证装置。由于手掌静脉在皮肤的皮下组织之下，属身体内部信息，在胎内定型、不随手掌的大小比例变化，且不受皮肤颜色影响，所以本发明具有高安全性、高认证精度和高包容性，杜绝了传统授权授信体系中的安全隐患。
[0007]但是上述发明的授权终端和手掌静脉识别装置通过网络连接，授权认证装置通过无线或网络与授权终端和手掌静脉识别装置连接，所以授权终端、授权认证装置和手掌静脉识别装置始终是通过网络连接的，尚不能有效解决网络的非法接入问题，使企业的内部网络则处在一个不可控的状态，任何人员都可以通过网内任意接口接入，盗用合法身份，进行非法活动，而网管人员却无法及时有效的发现及阻断。

【发明内容】

[0008]本发明要解决的技术问题是提供一种基于生物识别认证的网络接入控制系统及其方法，有效解决网络的非法接入问题，企业内部网络安全、可控。[0009]为解决上述技术问题，本发明的实施例提供一种基于生物识别认证的网络接入控制系统，包括客户端、网络资源管理平台、身份验证服务器和生物识别认证装置；
其中，所述客户端用于接收/响应所述身份验证服务器发出的身份验证信息请求，发出包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息；
所述身份验证服务器用于发出所述身份验证信息请求；接收所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息，并向所述生物识别认证装置发出生物认证请求信息；接收生物识别认证装置发出的认证结果，认证通过时向所述网络资源管理平台发出EAP-Success消息；
所述生物识别认证装置接收所述生物认证请求信息，将所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息与存储的生物样本数据进行比对，向身份验证服务器发出认证结果；
所述网络资源管理平台接收所述EAP-Success消息，控制所述客户端是否接入网络。
[0010]上述技术方案中，所述客户端包括接入端和网络接入设备，所述接入端的AP与网络接入设备的NAP连接；
其中，所述网络接入设备用于向接入端发出EAP-Request/Identity消息,接收并向网络资源管理平台传递由接入端发出的包含客户端标识的EAP-Response/1 dent i ty消息。
[0011]上述技术方案中，所述接入端包括802.1x客户端、802.1x服务端、PALM驱动和PALM生物数据采集装置；
其中，所述802.1x服务端用于接收所述网络接入设备发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/Start PEAP消息、接收所述身份验证服务器发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/EAP-MS-CHAP-V2 Challenge消息、接收所述身份验证服务器发出的EAP-Response/EAP-MS-CHAP-V2 Success 消息；
所述802.1x客户端用于向所述网络接入设备发出包含客户端标识的EAP-Response/Identity消息、向所述身份验证服务器发出包含用户名的EAP-Response/Identity消息、向所述身份验证服务器发出包含生物采集数据的EAP-ReSponSe/EAP-MS-CHAP-V2Response消息、向所述身份验证服务器发出EAP-Response/EAP-MS-CHAP_V2 Ack消息；所述PALM驱动用于驱动所述PALM静脉采集装置；
所述PALM生物数据采集装置用于采集所述生物采集数据并打包。
[0012]优选的，所述身份验证服务器为Radius服务器。
[0013]优选的，所述PALM生物数据采集装置为基于近红外照相原理的手掌静脉传感器。
[0014]上述技术方案中，所述生物识别认证装置由MIS管理系统和生物识别认证服务系统组成；
其中，所述MIS管理系统用于注册用户个人信息及用户生物特征信息、控制用户权限、记录用户日志及生成用户报表；
所述生物识别认证服务系统用于接收所述身份验证服务器转发的包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息，与存储的生物样本数据进行比对后，向身份验证服务器发出认证结果。
[0015]一种如上述的基于生物识别认证的网络接入控制系统的控制方法，其特征在于，包括如下步骤:
(1)所述网络接入设备发送一个EAP-Request/Identity消息给所述接入端；
(2)所述接入端回复一个包含客户端的标识的EAP-Response/Identity消息给所述网络接入设备；
(3)所述网络接入设备把所述包含客户端的标识的EAP-Response/Identity消息传递给所述网络资源管理平台，然后经由所述网络资源管理平台转发给所述Radius服务器，建立所述接入端与Radius服务器之间的通信；
(4)所述Radius服务器发送一个EAP-Request/StartPEAP消息给所述接入端；
(5)所述接入端和Radius服务器交换一系列TLS消息，(并且所述RADIUS服务器向网络资源管理平台发送一个证书链，完成CA认证；
(6)所述Radius服务器向接入端发送一个EAP-Request/Identity消息；
(7)所述接入端向Radius服务器发送一个包含用户名的EAP-Response/Identity消
息；
(8)所述Radius 服务器向接入端发送 4 个 EAP-Request/EAP-MS-CHAP_V2 Challenge消息；
(9)所述接入端回复4个包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2Response消息给Radius服务器；
(10)所述Radius服务器向生物识别认证装置发出生物认证请求信息，并转发包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息给所述生物识别认证装置；
(11)所述生物识别认证装置响应生物认证请求，将所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息与存储的生物样本数据进行比对，向所述Radius服务器发出认证结果；
(12)所述Radius 服务器发送一个 EAP-Request/EAP-MS_CHAPV2 Success 消息给接入端，指出所述接入端的回应是正确的；
(13)所述接入端回应一个EAP-Response/EAP-MS-CHAPV2ACK消息给Radius服务器，指示所述Radius服务器的回应消息是正确的；
(14)所述Radius服务器向网络资源管理平台发送一个EAP-Success消息；
(15)所述网络资源管理平台根据EAP-Success消息，控制所述网络接入设备的端口是否接入网络。
[0016]本发明的上述技术方案的有益效果如下:
上述方案中，根据用户手掌静脉生物特征，通过802.1x协议PEAP方式的MS-CHAP v2协议，当网络资源管理平台接收802.1x的EAP接入网认证请求，委托第三方的Radius服务器认证，并经生物识别认证装置认证通过，由网络资源管理平台根据认证结果，在网络设备的物理接入层对网络接入设备进行认证和控制，有效解决网络的非法接入问题，企业内部网络安全、可控。
[0017]
【专利附图】

【附图说明】
[0018]图1为本发明实施例一的系统构架图；图2为实施例一的工作流程图；
【具体实施方式】
[0019]为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。
[0020]如图1和图2所示，一种基于生物识别认证的网络接入控制系统，包括客户端、网络资源管理平台、身份验证服务器和生物识别认证装置。
[0021]所述客户端包括接入端和网络接入设备，接入端的AP与网络接入设备的NAP通过网络连接。
[0022]本实施例中，网络资源管理平台选用Cisco ACS网络资源管理平台，网路接入设备选用Cisco交换机，身份验证服务器选用Radius服务器，所述生物识别认证装置选用PALM认证服务器。
[0023]所述接入端包括802.1x客户端、802.1x服务端、PALM驱动和PALM生物数据采集装置，其中，所述PALM生物数据采集装置为基于近红外照相原理的手掌静脉传感器，所以本实施例中利用PALM生物数据采集装置采集的生物采集数据为手掌静脉数据。
[0024]所述802.1x服务端用于接收所述Cisco交换机发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/Start PEAP消息、接收所述身份验证服务器发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/EAP-MS-CHAP- V2 Challenge消息、接收所述身份验证服务器发出的EAP-Response/EAP-MS-CHAP-V2 Success 消息；
所述802.1x客户端用于向所述Cisco交换机发出包含客户端标识的EAP-Response/Identity消息、向所述身份验证服务器发出包含用户名的EAP-Response/Identity消息、向所述身份验证服务器发出包含手掌静脉数据的EAP-ReSponSe/EAP-MS-CHAP-V2Response消息、向所述身份验证服务器发出EAP-Response/EAP-MS-CHAP_V2 Ack消息；所述PALM驱动用于驱动所述PALM静脉采集装置；
所述PALM生物数据采集装置用于采集所述手掌静脉数据并打包。
[0025]所述Cisco交换机用于向接入端发出EAP-Request/Identity消息，接收并向Cisco ACS网络资源管理平台传递由接入端发出的包含客户端标识的EAP-Response/Identity 消息。
[0026]所述Cisco ACS网络资源管理平台用于将所述包含客户端标识的EAP-Response/Identity消息转发给所述Radius服务器,接收由Radius服务器发出的所述EAP-Success消息，控制所述Cisco交换机的端口是否接入网络。
[0027]所述Radius服务器用于接收包含客户端标识的EAP-Response/Identity消息,与接入端建立通信；向接入端发出EAP-Request/Start PEAP消息,与所述接入端交换一系列TLS信息；向所述接入端发出EAP-Request/Identity消息,接收由所述接入端响应的包含用户名的 EAP-Response/Identity 消息；向接入端发出 4 个 EAP-Request/EAP-MS-CHAP_V2Challenge消息，接收由所述接入端响应的4个包含手掌静脉数据的EAP-Response/EAP-MS-CHAP-V2 Response消息；向所述PALM认证服务器发出静脉认证请求信息，接收PALM认证服务器发出的认证结果；认证通过后向所述接入端发出EAP-Response/EAP-MS-CHAP-V2 Success 消息，接收由所述接入端响应的 EAP-Response/EAP-MS-CHAP_V2Ack消息；向所述Cisco ACS网络资源管理平台发出所述EAP-Success消息。
[0028]所述PALM认证服务器由MIS管理系统和生物识别认证服务系统组成，其中，所述MIS管理系统用于注册用户个人信息及用户生物特征信息、控制用户权限、记录用户日志及生成用户报表；
所述生物识别认证服务系统用于接收所述身份验证服务器转发的包含手掌静脉数据的EAP-Response/EAP-MS-CHAP_V2 Response消息,与存储的手掌静脉数据进行比对后，向身份验证服务器发出认证结果。
[0029]一种如上述的基于生物识别认证的网络接入控制系统的控制方法，包括如下步骤:
(1)所述Cisco交换机发送一个EAP-Request/Identity消息给所述接入端；
(2)所述接入端回复一个包含客户端的标识的EAP-Response/Identity消息给所述Cisco交换机；
(3)所述Cisco交换机把所述包含客户端的标识的EAP-Response/Identity消息传递给所述Cisco ACS网络资源管理平台，然后经由所述Cisco ACS网络资源管理平台转发给所述Radius服务器，建立所述接入端与Radius服务器之间的通信；
(4)所述Radius服务器发送一个EAP-Request/StartPEAP消息给所述接入端；
(5)所述接入端和Radius服务器交换一系列TLS消息，并且所述RADIUS服务器向Cisco ACS网络资源管理平台发送一个证书链，完成CA认证；
(6)所述Radius服务器向接入端发送一个EAP-Request/Identity消息；
(7)所述接入端向Radius服务器发送一个包含用户名的EAP-Response/Identity消
息；
(8)所述Radius 服务器向接入端发送 4 个 EAP-Request/EAP-MS-CHAP_V2 Challenge消息；
(9)所述接入端回复4个包含手掌静脉数据的EAP-Response/EAP-MS-CHAP-V2Response消息给Radius服务器；
(10)所述Radius服务器向PALM认证服务器发出手掌静脉认证请求信息，并转发包含手掌静脉数据的EAP-Response/EAP-MS-CHAP_V2 Response消息给所述PALM认证服务器；
(11)所述PALM认证服务器响应手掌静脉认证请求，将所述包含手掌静脉数据的EAP-Response/EAP-MS-CHAP-V2 Response消息与存储的手掌静脉数据进行比对，向所述Radius服务器发出认证结果；
(12)所述Radius 服务器发送一个 EAP-Request/EAP-MS_CHAPV2 Success 消息给接入端，指出所述接入端的回应是正确的；
(13)所述接入端回应一个EAP-Response/EAP-MS-CHAPV2ACK消息给Radius服务器，指示所述Radius服务器的回应消息是正确的；
(14)所述Radius服务器向CiscoACS网络资源管理平台发送一个EAP-Success消息；
(15)所述CiscoACS网络资源管理平台根据EAP-Success消息,控制Cisco交换机的端口是否接入网络。
[0030]以上所述是本发明的优选实施方式，应当指出，对于本【技术领域】的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
【权利要求】
1.一种基于生物识别认证的网络接入控制系统，其特征在于，包括客户端、网络资源管理平台、身份验证服务器和生物识别认证装置； 其中，所述客户端用于接收/响应所述身份验证服务器发出的身份验证信息请求，发出包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息； 所述身份验证服务器用于发出所述身份验证信息请求；接收所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息，并向所述生物识别认证装置发出生物认证请求信息；接收生物识别认证装置发出的认证结果，认证通过时向所述网络资源管理平台发出EAP-Success消息； 所述生物识别认证装置接收所述生物认证认证请求信息，将所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息与存储的生物样本数据进行比对，向身份验证服务器发出认证结果； 所述网络资源管理平台接收所述EAP-Success消息，控制所述客户端是否接入网络。
2.根据权利要求1所述的基于生物识别认证的网络接入控制系统，其特征在于，所述客户端包括接入端和网络接入设备，所述接入端的AP与网络接入设备的NAP连接； 其中，所述网络接入设备用于向接入端发出EAP-Request/Identity消息,接收并向网络资源管理平台传递由接入端发出的包含客户端标识的EAP-Response/1 dent i ty消息。
3.根据权利要求1或2所述的基于生物识别认证的网络接入控制系统，其特征在于，所述接入端包括802.1x客户端、802.1x服务端、PALM驱动和PALM生物数据采集装置； 其中，所述802.1x服务端用于接收所述网络接入设备发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/Start PEAP消息、接收所述身份验证服务器发出的EAP-Request/Identity消息、接收所述身份验证服务器发出的EAP-Request/EAP-MS-CHAP-V2 Ch`allenge消息、接收所述身份验证服务器发出的EAP-Response/EAP-MS-CHAP-V2 Success 消息； 所述802.1x客户端用于向所述网络接入设备发出包含客户端标识的EAP-Response/Identity消息、向所述身份验证服务器发出包含用户名的EAP-Response/Identity消息、向所述身份验证服务器发出包含生物采集数据的EAP-ReSponSe/EAP-MS-CHAP-V2Response消息、向所述身份验证服务器发出EAP-Response/EAP-MS-CHAP_V2 Ack消息；所述PALM驱动用于驱动所述PALM静脉采集装置； 所述PALM生物数据采集装置用于采集所述生物采集数据并打包。
4.根据权利要求1所述的基于生物识别认证的网络接入控制系统，其特征在于，所述身份验证服务器为Radius服务器。
5.根据权利要求3所述的基于生物识别认证的网络接入控制系统，其特征在于，所述PALM生物数据采集装置为基于近红外照相原理的手掌静脉传感器(“或其它生物识别认证产品”不可以增加，因权利要求书中不可以使用定义不明确的词句)。
6.根据权利要求1所述的基于生物识别认证的网络接入控制系统，其特征在于，所述生物识别认证装置由MIS管理系统和生物识别认证服务系统组成； 其中，所述MIS管理系统用于注册用户个人信息及用户生物特征信息、控制用户权限、记录用户日志及生成用户报表； 所述生物识别认证服务系统用于接收所述身份验证服务器转发的包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息，与存储的生物样本数据进行比对后，向身份验证服务器发出认证结果。
7.一种如权利要求1飞中任一项所述的基于生物识别认证的网络接入控制系统的控制方法，其特征在于，包括如下步骤: Cl)所述网络接入设备发送一个EAP-Request/Identity消息给所述接入端； (2)所述接入端回复一个包含客户端的标识的EAP-Response/Identity消息给所述网络接入设备； (3)所述网络接入设备把所述包含客户端的标识的EAP-Response/Identity消息传递给所述网络资源管理平台，然后经由所述网络资源管理平台转发给所述Radius服务器，建立所述接入端与Radius服务器之间的通信； (4)所述Radius服务器发送一个EAP-Request/StartPEAP消息给所述接入端； (5)所述接入端和Radius服务器交换一系列TLS消息，并且所述RADIUS服务器向网络资源管理平台发送一个证书链，完成CA认证； (6)所述Radius服务器向接入端发送一个EAP-Request/Identity消息； (7)所述接入端向Radius服务器发送一个包含用户名的EAP-Response/Identity消息； (8)所述Radius 服务器向接入端发送 4 个 EAP-Request/EAP-MS-CHAP_V2 Challenge消息； (9)所述接入端回复4个包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2Response消息给Radius服务器； (10)所述Radius服务器向生物识别认证装置发出生物认证请求信息，并转发包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息给所述生物识别认证装置； (11)所述生物识别认证装置响应生物认证请求，将所述包含生物采集数据的EAP-Response/EAP-MS-CHAP-V2 Response消息与存储的生物样本数据进行比对，向所述Radius服务器发出认证结果； (12)所述Radius 服务器发送一个 EAP-Request/EAP-MS_CHAPV2 Success 消息给接入端，指出所述接入端的回应是正确的； (13)所述接入端回应一个EAP-Response/EAP-MS-CHAPV2ACK消息给Radius服务器，指示所述Radius服务器的回应消息是正确的； (14)所述Radius服务器向网络资源管理平台发送一个EAP-Success消息； (15)所述网络资源管理平台根据EAP-Success消息，控制所述网络接入设备的端口是否接入网络。
【文档编号】H04L29/06GK103873445SQ201210544354
【公开日】2014年6月18日 申请日期:2012年12月17日 优先权日:2012年12月17日
【发明者】钟海燕 申请人:钟海燕