CN108234109B - 一种在eap-md5协议嵌入生物特征的准入控制方法 - Google Patents

一种在eap-md5协议嵌入生物特征的准入控制方法 Download PDF

Info

Publication number
CN108234109B
CN108234109B CN201711399107.8A CN201711399107A CN108234109B CN 108234109 B CN108234109 B CN 108234109B CN 201711399107 A CN201711399107 A CN 201711399107A CN 108234109 B CN108234109 B CN 108234109B
Authority
CN
China
Prior art keywords
authentication
eap
data
information
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711399107.8A
Other languages
English (en)
Other versions
CN108234109A (zh
Inventor
邓永晖
田海青
鹿文扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN201711399107.8A priority Critical patent/CN108234109B/zh
Publication of CN108234109A publication Critical patent/CN108234109A/zh
Application granted granted Critical
Publication of CN108234109B publication Critical patent/CN108234109B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种在EAP‑MD5协议嵌入生物特征的准入控制方法,EAP‑MD5协议分组结构包括:代码、标识符、长度、类型、数据长度、认证数据、NAME域等。与现有技术相比,本发明的积极效果是:本发明在遵循EAP‑MD5协议封装的前提下,在协议中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据,在认证流程中增加认证结果通知过程,并对EAP‑MD5数据及其封装过程进行安全增强处理,在EAP‑MD5认证过程中通过改变认证客户端和认证服务器实际交互的认证信息达到基于生物特征的用户入网身份验证的目的,可以实现快速、高效、安全的主机/用户网络准入控制。

Description

一种在EAP-MD5协议嵌入生物特征的准入控制方法
技术领域
本发明涉及一种在EAP-MD5协议嵌入生物特征的准入控制方法。
背景技术
在主机/用户的局域网准入控制技术中,IEEE 802.1X基于端口的网络访问控制体系是IEEE通过的正式标准,也是目前使用较广泛的局域网主机/用户接入认证、授权和控制手段之一。802.1X基于IETF的EAP(可扩展认证协议),故802.1X认证又称为EAPoE(EAP overEthernet,基于以太网的可扩展认证协议)或EAPoL(EAP over LAN,基于局域网的可扩展认证协议)认证,可应用于各种局域网环境。局域网中的802.1X典型结构如图1所示。在获得交换机或LAN提供的各种业务之前,认证服务器对连接到交换机端口上的主机终端进行认证。在认证通过之前,802.1X只允许EAPoL认证数据通过主机连接的交换机端口,认证通过以后,上层应用数据才可顺利通过交换机进行收发。
802.1X体系利用EAP(Extensible Authentication Protocol,可扩展认证协议)作为认证客户端和认证服务器之间交换认证信息的手段,EAP最早定义在RFC2284中,是一种支持多种认证方法的认证框架,具有良好的可扩展性,EAP认证方法也逐渐被后续RFC更新补充和完善,常见的EAP认证方法有EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-AKA、PEAP等。
作为最早提出的EAP认证方法之一,EAP-MD5是最基本和最简单的EAP认证方法,其优点在于认证流程简短、交互数据简洁,可以快速完成认证过程;而其缺点在于容易受到字典攻击,安全性上无法得到有效保证。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种在EAP-MD5协议嵌入生物特征的准入控制方法,在EAP-MD5方法基础上进行增强和完善,充分利用EAP-MD5协议的优点,并结合当下比较流行的生物特征认证机制,将其嵌入EAP-MD5协议中,既保证认证的快捷高效,也能提高认证的安全性,实现一种内嵌生物特征的准入控制方法。
本发明解决其技术问题所采用的技术方案是:一种在EAP-MD5协议嵌入生物特征的准入控制方法,EAP-MD5标准协议分组结构包括如下内容:
(1)代码:标准EAP头部,表示EAP数据帧的类型,包括Request、Response、Success和Failure四种类型;
(2)标识符:标准EAP头部,用以匹配相应的Request和Response;
(3)长度:标准EAP头部,表示整个EAP分组的总长度;
(4)类型:标准EAP头部,表示EAP分组封装的具体认证方法;
(5)数据长度:表示质询码或者MD5值的长度;
(6)认证数据域:表示质询码或者MD5值;
(7)NAME域:跟在认证数据域后面以标识入网主体的身份。
本发明的协议改造通过改造认证数据域和扩展‘NAME’域实现:
(1)认证数据域改造:使用认证数据域对NAME域完整性进行保护,认证数据域的MD5值采用基于预共享密钥的计算方法计算得到,计算所需的质询码为认证客户端在EAP-MD5-Request数据包中接收到的认证服务器生成的随机数;
(2)‘NAME’域扩展:NAME域可扩展为携带主机/用户认证数据信息和携带认证结果通知信息的扩展数据结构。携带主机/用户认证数据信息的NAME域扩展数据结构采用TLV属性-值对的封装方式,包含多个TLV属性-值对;携带认证结果通知信息的NAME域扩展数据结构包括长度、结果代码和结果描述字段。
与现有技术相比,本发明的积极效果是:
本发明在遵循EAP-MD5协议封装的前提下,在协议中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据,在流程中增加认证结果通知过程,并对EAP-MD5数据及其封装过程进行安全增强处理,在EAP-MD5认证过程中通过改变认证客户端和认证服务器实际交互的认证信息达到基于生物特征的用户入网身份验证的目的,可以实现快速、高效、安全的主机/用户准入控制。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为802.1X典型结构;
图2为EAP-MD5认证流程;
图3为EAP-MD5协议分组;
图4为携带认证信息的EAP-MD5的NAME域扩展数据结构;
图5为携带认证结果通知信息的EAP-MD5的NAME域扩展数据结构;
图6为改造后的EAP-MD5认证流程。
具体实施方式
EAP-MD5方法是IETF提出的标准方法,也是最基本的EAP认证方法,因此支持802.1X的交换机都支持这种认证方法,其兼容性能够得到保证。同时,为了在认证过程中嵌入生物特征(指纹、虹膜、人脸、指静脉等)数据,需要对认证协议进行改进和增强。在不改变EAP-MD5基本流程的前提下,通过改变客户端和服务器实际交互的认证信息达到生物特征验证的目的,这是本发明需要解决的技术问题。
在EAP-MD5认证过程中,认证客户端与认证服务端通过EAP协议交互认证信息,客户端与交换机交互EAPoL数据帧,交换机与认证服务器交互RADIUS(RemoteAuthentication Dial In User Service,拨号用户远程认证服务)协议分组,交换机除了根据服务器端的认证结果实施端口开放或关闭的控制处理之外,还扮演着协议转换的角色,即提取EAPoL数据包中的EAP协议数据包,并将整个包作为属性封装在RADIUS数据包中发送,或者从RADIUS数据包中提取EAP协议数据包,并封装在EAPoL中发送。EAP-MD5认证过程如图2所示。
认证客户端与认证服务器的EAP认证信息交互包含两个回合,分别交互身份、质询码和密码的MD5值。
由于EAP-MD5仅对用户名口令做验证,因此流程中没有认证服务器向认证客户端返回错误原因的过程。本方案在遵循EAP-MD5已有信息交互流程的情况下,增加错误原因通知流程,并对EAP协议分组承载的认证数据进行改造,实现包含生物特征数据的认证信息交互。在认证信息交互时,交换机只识别EAP信息头部(代码、标识符、长度),并不解析EAP协议承载的认证信息,因此即使修改了认证信息数据,也不影响交换机透传EAP数据包。在EAP-MD5的Response数据分组中,认证数据域后面有一个可选域,即‘NAME’域,本方案的协议改造通过改造认证数据域和扩展‘NAME’域实现,如图3所示。下文所有数据域都为网络字节序。
其中:
(1)代码(Code):标准EAP头部,1字节,表示EAP数据帧的类型,包括Request(1)、Response(2)、Success(3)、Failure(4)四种类型;
(2)标识符(Identifier):标准EAP头部,1字节,用以匹配相应的Request和Response;
(3)长度(Length):标准EAP头部,2字节,表示整个EAP分组的总长度;
(4)类型(Type):标准EAP头部,1字节,表示EAP分组封装的具体认证方法,本方案中为EAP-MD5,即0x04;
(5)数据长度(Value Size):1字节,表示质询码或者MD5值的长度,固定为16;
(6)认证数据域(Value):16字节,在EAP-MD5-Request数据包中为质询码,在EAP-MD5-Response数据包中原为口令的MD5值,本方案中为‘NAME’域的完整性校验MD5值,其计算采用基于预共享密钥的计算方法,即:{NAME域+质询码+共享密钥}MD5(‘+’表示联接),其中质询码为认证客户端在EAP-MD5-Request中接收到的认证服务器生成的16字节随机数;
(7)NAME域(NAME):可变长度,一般跟在认证数据域后面以标识入网主体的身份,认证客户端和认证服务器都未解析该域,因此可以加以利用增加本方案所需的主机/用户认证数据信息和认证结果通知信息。
下面具体描述NAME域的扩展方法,一种用于携带主机/用户认证数据信息,一种用于携带认证结果通知信息。携带主机/用户认证数据信息的NAME域扩展数据结构如图4所示。
携带主机/用户认证数据信息的NAME域扩展数据结构为TLV属性-值对方式:
1)类型:1字节,表示属性类型,1~100预留给主机特征数据类型,101~200预留给生物特征数据类型;
2)长度:2字节,表示整个TLV属性-值对的长度,包括类型和长度字段;
3)值:具体的类型数据。
本方案预先给出的属性-值对参考定义如表1所示,后续可以根据需要进行扩展和完善。
表1NAME域属性-值对定义
类型代码 类型说明 取值说明
1 主机标识(建议为硬盘序列号) 字符串,多个以’;’串联
2 主机IP地址 4字节形式,多个直接串联
3 主机MAC地址 6字节形式
4 主机OS 字符串
101 指纹 数据BUFFER
102 虹膜 数据BUFFER
103 人脸 数据BUFFER
104 指静脉 数据BUFFER
在认证数据包中,TLV排序不分先后。不管选用何种认证方式,主机标识、主机IP地址、主机MAC地址为必含项;若为生物特征认证方式,则还需至少包含一种生物特征TLV属性-值对。根据安全性需要,可对NAME域作敏感信息保护处理,包括异或、加密或者采用EAP-TTLS作为外部通道,将本方案改进的EAP-MD5方法作为内部EAP方法。
携带认证结果通知信息的NAME域扩展数据结构如图5所示。
其中:
1)长度:2字节,表示整个NAME域长度;
2)结果代码:2字节,表示认证结果类型编码,系统实现时自定义;
3)结果描述:不定长,认证结果字符串描述,用于给认证客户端回显给终端用户。
改造后的整个信息交互流程如图6所示。
(1)认证客户端向802.1X交换机发送EAPOL-Start分组请求入网;
(2)802.1X交换机请求认证客户端发送其身份信息;
(3)认证客户端响应请求,通过802.1X交换机的转发(下同)向认证服务器发送主机标识信息;
(4)认证服务器收到RADIUS接入请求后,通过802.1X交换机的转发(下同)向认证客户端发送质询码;
(5)认证客户端获取主机信息和生物特征信息,然后通过EAP-MD5分组的NAME域扩展结构发送给认证服务器;
(6)认证服务器首先使用EAP-MD5的认证数据域对NAME域的完整性进行验证,然后对主机信息和生物特征信息进行验证;验证完成后,认证服务器通过NAME域扩展结构将认证结果代码和认证结果描述发送给认证客户端,供其回显给终端用户;
(7)认证客户端收到认证结果通知后向认证服务器回复一个空确认包;
(8)认证服务器将认证结果发送给802.1X交换机,交换机执行端口打开或关闭操作,并将成功或失败的结果发送给认证客户端。

Claims (7)

1.一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:标准EAP-MD5协议分组中,跟随在认证数据域后面的NAME域可扩展为携带主机/用户认证数据信息和携带认证结果通知信息的扩展数据结构,NAME域扩展后的EAP-MD5认证流程包括如下步骤:
(1)认证客户端向802.1X交换机发送EAPOL-Start分组请求入网;
(2)802.1X交换机请求认证客户端发送其身份信息;
(3)认证客户端通过802.1X交换机向认证服务器转发主机标识信息;
(4)认证服务器收到RADIUS接入请求后,通过802.1X交换机向认证客户端转发质询码;
(5)认证客户端获取主机信息和生物特征信息,然后通过EAP-MD5分组的NAME域扩展结构发送给认证服务器;
(6)认证服务器对认证信息进行验证,并在验证完成后通过NAME域扩展数据结构将结果代码和结果描述发送给认证客户端,供其回显给终端用户;
(7)认证客户端收到认证结果后向认证服务器回复一个空确认包;
(8)认证服务器将认证结果发送给802.1X交换机,交换机执行端口打开或关闭操作,并将成功或失败的结果发送给认证客户端。
2.根据权利要求1所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:携带主机/用户认证数据信息的NAME域扩展数据结构采用TLV属性-值对的封装方式,包含多个TLV属性-值对。
3.根据权利要求2所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:所述TLV属性-值对包括:
1)类型:表示属性类型,包括主机特征数据类型和生物特征数据类型;
2)长度:表示整个TLV属性-值对的长度,包括类型和长度字段;
3)值:具体的类型数据。
4.根据权利要求3所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:在认证数据包中,TLV排序不分先后,主机标识、主机IP地址、主机MAC地址为必含项;若为生物特征认证方式,则还需至少包含一种生物特征TLV属性-值对。
5.根据权利要求1所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:携带认证结果通知信息的NAME域扩展数据结构包括:长度、结果代码和结果描述。
6.根据权利要求1所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:使用认证数据域对NAME域完整性进行保护,认证数据域的MD5值采用基于预共享密钥的计算方法计算得到,计算所需的质询码为认证客户端在EAP-MD5-Request数据包中接收到的认证服务器生成的随机数。
7.根据权利要求1所述的一种在EAP-MD5协议嵌入生物特征的准入控制方法,其特征在于:认证服务器进行验证时,首先使用EAP-MD5的认证数据域对NAME域的完整性进行验证,然后对主机信息和生物特征信息进行验证。
CN201711399107.8A 2017-12-22 2017-12-22 一种在eap-md5协议嵌入生物特征的准入控制方法 Active CN108234109B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711399107.8A CN108234109B (zh) 2017-12-22 2017-12-22 一种在eap-md5协议嵌入生物特征的准入控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711399107.8A CN108234109B (zh) 2017-12-22 2017-12-22 一种在eap-md5协议嵌入生物特征的准入控制方法

Publications (2)

Publication Number Publication Date
CN108234109A CN108234109A (zh) 2018-06-29
CN108234109B true CN108234109B (zh) 2020-12-11

Family

ID=62648343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711399107.8A Active CN108234109B (zh) 2017-12-22 2017-12-22 一种在eap-md5协议嵌入生物特征的准入控制方法

Country Status (1)

Country Link
CN (1) CN108234109B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1501658A (zh) * 2002-11-15 2004-06-02 华为技术有限公司 一种基于802.1x协议的客户端认证方法
CN1574741A (zh) * 2003-06-14 2005-02-02 Lg电子株式会社 在有线/无线通信系统中使用标记语言的验证方法
KR20070047033A (ko) * 2005-11-01 2007-05-04 주식회사 케이티 Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1501658A (zh) * 2002-11-15 2004-06-02 华为技术有限公司 一种基于802.1x协议的客户端认证方法
CN1574741A (zh) * 2003-06-14 2005-02-02 Lg电子株式会社 在有线/无线通信系统中使用标记语言的验证方法
KR20070047033A (ko) * 2005-11-01 2007-05-04 주식회사 케이티 Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A Practical Analysis of EAP Authentication Methods;Alexandra Chiornita等;《9th RoEduNet IEEE International Conference 2010》;20100805;第31-35页 *
基于802.1X协议扩展的可信网络接入原型系统;叶杰铭;《优秀硕士学位论文全文库》;20111231;第2.6.1-2.6.3、3.3-3.4、4.4.1-4.4.2节 *
异构网络切换协同认证系统关键技术研究;王磊;《优秀硕士学位论文全文库》;20101231;全文 *

Also Published As

Publication number Publication date
CN108234109A (zh) 2018-06-29

Similar Documents

Publication Publication Date Title
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
US7865727B2 (en) Authentication for devices located in cable networks
JP3844762B2 (ja) Eponにおける認証方法及び認証装置
US6996714B1 (en) Wireless authentication protocol
US7222360B1 (en) Continuous biometric authentication using frame preamble for biometric data
US8276194B2 (en) Methods and systems for user authentication
CN108848112B (zh) 用户设备ue的接入方法、设备及系统
Hwang et al. A study on MITM (Man in the Middle) vulnerability in wireless network using 802.1 X and EAP
WO2010135890A1 (zh) 基于对称加密算法的双向认证方法及系统
US9807088B2 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US11722887B2 (en) Privacy protection authentication method based on wireless body area network
CN104901940A (zh) 一种基于cpk标识认证的802.1x网络接入方法
CN101599967A (zh) 基于802.1x认证系统的权限控制方法及系统
CN104683343B (zh) 一种终端快速登录WiFi热点的方法
CN103795728A (zh) 一种隐藏身份且适合资源受限终端的eap认证方法
TW201212614A (en) Network devices and authentication protocol methods thereof
CN107995216B (zh) 一种安全认证方法、装置、认证服务器及存储介质
US20110129088A1 (en) Method and system for authenticating a mobile terminal in a wireless communication system
CN101867588A (zh) 一种基于802.1x的接入控制系统
CN101272379A (zh) 基于IEEE802.1x安全认证协议的改进方法
CN102271120A (zh) 一种增强安全性的可信网络接入认证方法
WO2022042198A1 (zh) 身份验证方法、装置、计算机设备和存储介质
CN102801819A (zh) 一种在网络接入控制系统中透传IPv6地址的方法
CN102299924A (zh) RADIUS服务器与802.1x客户端信息交互、认证方法及系统
CN108234109B (zh) 一种在eap-md5协议嵌入生物特征的准入控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant