[发明专利]一种在EAP-MD5协议嵌入生物特征的准入控制方法

说明书

本发明公开了一种在EAP‑MD5协议嵌入生物特征的准入控制方法，EAP‑MD5协议分组结构包括：代码、标识符、长度、类型、数据长度、认证数据、NAME域等。与现有技术相比，本发明的积极效果是：本发明在遵循EAP‑MD5协议封装的前提下，在协议中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据，在认证流程中增加认证结果通知过程，并对EAP‑MD5数据及其封装过程进行安全增强处理，在EAP‑MD5认证过程中通过改变认证客户端和认证服务器实际交互的认证信息达到基于生物特征的用户入网身份验证的目的，可以实现快速、高效、安全的主机/用户网络准入控制。

技术领域

本发明涉及一种在EAP-MD5协议嵌入生物特征的准入控制方法。

背景技术

在主机/用户的局域网准入控制技术中，IEEE 802.1X基于端口的网络访问控制体系是IEEE通过的正式标准，也是目前使用较广泛的局域网主机/用户接入认证、授权和控制手段之一。802.1X基于IETF的EAP(可扩展认证协议)，故802.1X认证又称为EAPoE(EAP overEthernet，基于以太网的可扩展认证协议)或EAPoL(EAP over LAN，基于局域网的可扩展认证协议)认证，可应用于各种局域网环境。局域网中的802.1X典型结构如图1所示。在获得交换机或LAN提供的各种业务之前，认证服务器对连接到交换机端口上的主机终端进行认证。在认证通过之前，802.1X只允许EAPoL认证数据通过主机连接的交换机端口，认证通过以后，上层应用数据才可顺利通过交换机进行收发。

802.1X体系利用EAP(Extensible Authentication Protocol，可扩展认证协议)作为认证客户端和认证服务器之间交换认证信息的手段，EAP最早定义在RFC2284中，是一种支持多种认证方法的认证框架，具有良好的可扩展性，EAP认证方法也逐渐被后续RFC更新补充和完善，常见的EAP认证方法有EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-AKA、PEAP等。

作为最早提出的EAP认证方法之一，EAP-MD5是最基本和最简单的EAP认证方法，其优点在于认证流程简短、交互数据简洁，可以快速完成认证过程；而其缺点在于容易受到字典攻击，安全性上无法得到有效保证。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种在EAP-MD5协议嵌入生物特征的准入控制方法，在EAP-MD5方法基础上进行增强和完善，充分利用EAP-MD5协议的优点，并结合当下比较流行的生物特征认证机制，将其嵌入EAP-MD5协议中，既保证认证的快捷高效，也能提高认证的安全性，实现一种内嵌生物特征的准入控制方法。

本发明解决其技术问题所采用的技术方案是：一种在EAP-MD5协议嵌入生物特征的准入控制方法，EAP-MD5标准协议分组结构包括如下内容：

(1)代码：标准EAP头部，表示EAP数据帧的类型，包括Request、Response、Success和Failure四种类型；

(2)标识符：标准EAP头部，用以匹配相应的Request和Response；

(3)长度：标准EAP头部，表示整个EAP分组的总长度；

(4)类型：标准EAP头部，表示EAP分组封装的具体认证方法；

(5)数据长度：表示质询码或者MD5值的长度；

(6)认证数据域：表示质询码或者MD5值；

(7)NAME域：跟在认证数据域后面以标识入网主体的身份。

本发明的协议改造通过改造认证数据域和扩展‘NAME’域实现：