一种在EAP-MD5协议嵌入生物特征的准入控制方法与流程

本发明涉及一种在EAP-MD5协议嵌入生物特征的准入控制方法。
背景技术：
：在主机/用户的局域网准入控制技术中，IEEE802.1X基于端口的网络访问控制体系是IEEE通过的正式标准，也是目前使用较广泛的局域网主机/用户接入认证、授权和控制手段之一。802.1X基于IETF的EAP(可扩展认证协议)，故802.1X认证又称为EAPoE(EAPoverEthernet，基于以太网的可扩展认证协议)或EAPoL(EAPoverLAN，基于局域网的可扩展认证协议)认证，可应用于各种局域网环境。局域网中的802.1X典型结构如图1所示。在获得交换机或LAN提供的各种业务之前，认证服务器对连接到交换机端口上的主机终端进行认证。在认证通过之前，802.1X只允许EAPoL认证数据通过主机连接的交换机端口，认证通过以后，上层应用数据才可顺利通过交换机进行收发。802.1X体系利用EAP(ExtensibleAuthenticationProtocol，可扩展认证协议)作为认证客户端和认证服务器之间交换认证信息的手段，EAP最早定义在RFC2284中，是一种支持多种认证方法的认证框架，具有良好的可扩展性，EAP认证方法也逐渐被后续RFC更新补充和完善，常见的EAP认证方法有EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-AKA、PEAP等。作为最早提出的EAP认证方法之一，EAP-MD5是最基本和最简单的EAP认证方法，其优点在于认证流程简短、交互数据简洁，可以快速完成认证过程；而其缺点在于容易受到字典攻击，安全性上无法得到有效保证。技术实现要素：为了克服现有技术的上述缺点，本发明提供了一种在EAP-MD5协议嵌入生物特征的准入控制方法，在EAP-MD5方法基础上进行增强和完善，充分利用EAP-MD5协议的优点，并结合当下比较流行的生物特征认证机制，将其嵌入EAP-MD5协议中，既保证认证的快捷高效，也能提高认证的安全性，实现一种内嵌生物特征的准入控制方法。本发明解决其技术问题所采用的技术方案是：一种在EAP-MD5协议嵌入生物特征的准入控制方法，EAP-MD5标准协议分组结构包括如下内容：(1)代码：标准EAP头部，表示EAP数据帧的类型，包括Request、Response、Success和Failure四种类型；(2)标识符：标准EAP头部，用以匹配相应的Request和Response；(3)长度：标准EAP头部，表示整个EAP分组的总长度；(4)类型：标准EAP头部，表示EAP分组封装的具体认证方法；(5)数据长度：表示质询码或者MD5值的长度；(6)认证数据域：表示质询码或者MD5值；(7)NAME域：跟在认证数据域后面以标识入网主体的身份。本发明的协议改造通过改造认证数据域和扩展‘NAME’域实现：(1)认证数据域改造：使用认证数据域对NAME域完整性进行保护，认证数据域的MD5值采用基于预共享密钥的计算方法计算得到，计算所需的质询码为认证客户端在EAP-MD5-Request数据包中接收到的认证服务器生成的随机数；(2)‘NAME’域扩展：NAME域可扩展为携带主机/用户认证数据信息和携带认证结果通知信息的扩展数据结构。携带主机/用户认证数据信息的NAME域扩展数据结构采用TLV属性-值对的封装方式，包含多个TLV属性-值对；携带认证结果通知信息的NAME域扩展数据结构包括长度、结果代码和结果描述字段。与现有技术相比，本发明的积极效果是：本发明在遵循EAP-MD5协议封装的前提下，在协议中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据，在流程中增加认证结果通知过程，并对EAP-MD5数据及其封装过程进行安全增强处理，在EAP-MD5认证过程中通过改变认证客户端和认证服务器实际交互的认证信息达到基于生物特征的用户入网身份验证的目的，可以实现快速、高效、安全的主机/用户准入控制。附图说明本发明将通过例子并参照附图的方式说明，其中：图1为802.1X典型结构；图2为EAP-MD5认证流程；图3为EAP-MD5协议分组；图4为携带认证信息的EAP-MD5的NAME域扩展数据结构；图5为携带认证结果通知信息的EAP-MD5的NAME域扩展数据结构；图6为改造后的EAP-MD5认证流程。具体实施方式EAP-MD5方法是IETF提出的标准方法，也是最基本的EAP认证方法，因此支持802.1X的交换机都支持这种认证方法，其兼容性能够得到保证。同时，为了在认证过程中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据，需要对认证协议进行改进和增强。在不改变EAP-MD5基本流程的前提下，通过改变客户端和服务器实际交互的认证信息达到生物特征验证的目的，这是本发明需要解决的技术问题。在EAP-MD5认证过程中，认证客户端与认证服务端通过EAP协议交互认证信息，客户端与交换机交互EAPoL数据帧，交换机与认证服务器交互RADIUS(RemoteAuthenticationDialInUserService，拨号用户远程认证服务)协议分组，交换机除了根据服务器端的认证结果实施端口开放或关闭的控制处理之外，还扮演着协议转换的角色，即提取EAPoL数据包中的EAP协议数据包，并将整个包作为属性封装在RADIUS数据包中发送，或者从RADIUS数据包中提取EAP协议数据包，并封装在EAPoL中发送。EAP-MD5认证过程如图2所示。认证客户端与认证服务器的EAP认证信息交互包含两个回合，分别交互身份、质询码和密码的MD5值。由于EAP-MD5仅对用户名口令做验证，因此流程中没有认证服务器向认证客户端返回错误原因的过程。本方案在遵循EAP-MD5已有信息交互流程的情况下，增加错误原因通知流程，并对EAP协议分组承载的认证数据进行改造，实现包含生物特征数据的认证信息交互。在认证信息交互时，交换机只识别EAP信息头部(代码、标识符、长度)，并不解析EAP协议承载的认证信息，因此即使修改了认证信息数据，也不影响交换机透传EAP数据包。在EAP-MD5的Response数据分组中，认证数据域后面有一个可选域，即‘NAME’域，本方案的协议改造通过改造认证数据域和扩展‘NAME’域实现，如图3所示。下文所有数据域都为网络字节序。其中：(1)代码(Code)：标准EAP头部，1字节，表示EAP数据帧的类型，包括Request(1)、Response(2)、Success(3)、Failure(4)四种类型；(2)标识符(Identifier)：标准EAP头部，1字节，用以匹配相应的Request和Response；(3)长度(Length)：标准EAP头部，2字节，表示整个EAP分组的总长度；(4)类型(Type)：标准EAP头部，1字节，表示EAP分组封装的具体认证方法，本方案中为EAP-MD5，即0x04；(5)数据长度(ValueSize)：1字节，表示质询码或者MD5值的长度，固定为16；(6)认证数据域(Value)：16字节，在EAP-MD5-Request数据包中为质询码，在EAP-MD5-Response数据包中原为口令的MD5值，本方案中为‘NAME’域的完整性校验MD5值，其计算采用基于预共享密钥的计算方法，即：{NAME域+质询码+共享密钥}MD5(‘+’表示联接)，其中质询码为认证客户端在EAP-MD5-Request中接收到的认证服务器生成的16字节随机数；(7)NAME域(NAME)：可变长度，一般跟在认证数据域后面以标识入网主体的身份，认证客户端和认证服务器都未解析该域，因此可以加以利用增加本方案所需的主机/用户认证数据信息和认证结果通知信息。下面具体描述NAME域的扩展方法，一种用于携带主机/用户认证数据信息，一种用于携带认证结果通知信息。携带主机/用户认证数据信息的NAME域扩展数据结构如图4所示。携带主机/用户认证数据信息的NAME域扩展数据结构为TLV属性-值对方式：1)类型：1字节，表示属性类型，1～100预留给主机特征数据类型，101～200预留给生物特征数据类型；2)长度：2字节，表示整个TLV属性-值对的长度，包括类型和长度字段；3)值：具体的类型数据。本方案预先给出的属性-值对参考定义如表1所示，后续可以根据需要进行扩展和完善。表1NAME域属性-值对定义类型代码类型说明取值说明1主机标识(建议为硬盘序列号)字符串，多个以’；’串联2主机IP地址4字节形式，多个直接串联3主机MAC地址6字节形式4主机OS字符串101指纹数据BUFFER102虹膜数据BUFFER103人脸数据BUFFER104指静脉数据BUFFER在认证数据包中，TLV排序不分先后。不管选用何种认证方式，主机标识、主机IP地址、主机MAC地址为必含项；若为生物特征认证方式，则还需至少包含一种生物特征TLV属性-值对。根据安全性需要，可对NAME域作敏感信息保护处理，包括异或、加密或者采用EAP-TTLS作为外部通道，将本方案改进的EAP-MD5方法作为内部EAP方法。携带认证结果通知信息的NAME域扩展数据结构如图5所示。其中：1)长度：2字节，表示整个NAME域长度；2)结果代码：2字节，表示认证结果类型编码，系统实现时自定义；3)结果描述：不定长，认证结果字符串描述，用于给认证客户端回显给终端用户。改造后的整个信息交互流程如图6所示。(1)认证客户端向802.1X交换机发送EAPOL-Start分组请求入网；(2)802.1X交换机请求认证客户端发送其身份信息；(3)认证客户端响应请求，通过802.1X交换机的转发(下同)向认证服务器发送主机标识信息；(4)认证服务器收到RADIUS接入请求后，通过802.1X交换机的转发(下同)向认证客户端发送质询码；(5)认证客户端获取主机信息和生物特征信息，然后通过EAP-MD5分组的NAME域扩展结构发送给认证服务器；(6)认证服务器首先使用EAP-MD5的认证数据域对NAME域的完整性进行验证，然后对主机信息和生物特征信息进行验证；验证完成后，认证服务器通过NAME域扩展结构将认证结果代码和认证结果描述发送给认证客户端，供其回显给终端用户；(7)认证客户端收到认证结果通知后向认证服务器回复一个空确认包；(8)认证服务器将认证结果发送给802.1X交换机，交换机执行端口打开或关闭操作，并将成功或失败的结果发送给认证客户端。当前第1页1 2 3