本发明专利技术公开了一种支持生物特征的EAP协议改进方法,协议分组结构包括:代码、标识、长度、类型、标志、消息长度、消息类型、数据等,通过设计EAP‑BIT协议及其流程,将生物特征封装在EAP包中传输,通过识别用户生物特征对用户进行身份认证,实现局域网主机/用户的灵活高效接入。与现有技术相比,本发明专利技术的积极效果是:本发明专利技术可以很好的兼容各种802.1X交换机,同时可以实现主机信息和用户生物特征信息的验证,协议设计兼顾灵活性和效率性,可以实现快速、高效、安全的主机/用户准入控制。能很好地适应目前流行的生物特征认证,既保证认证的灵活、快捷和高效,也能提高认证的安全性。
【技术实现步骤摘要】
一种支持生物特征的EAP协议改进方法
本专利技术涉及一种支持生物特征的EAP协议改进方法。
技术介绍
在主机/用户的局域网准入控制技术中,IEEE802.1X基于端口的网络访问控制体系是IEEE通过的正式标准,也是目前使用较广泛的局域网主机/用户接入认证、授权和控制手段之一。802.1X基于IETF的EAP(可扩展认证协议),故802.1X认证又称为EAPoE(EAPoverEthernet,基于以太网的可扩展认证协议)或EAPoL(EAPoverLAN,基于局域网的可扩展认证协议)认证,可应用于各种局域网环境。局域网中的802.1X典型结构如图1所示。在获得交换机或LAN提供的各种业务之前,认证服务器对连接到交换机端口上的主机终端进行认证。在认证通过之前,802.1X只允许EAPoL认证数据通过主机连接的交换机端口,认证通过以后,上层应用数据才可顺利通过交换机进行收发。802.1X体系利用EAP(ExtensibleAuthenticationProtocol,可扩展认证协议)作为认证客户端和认证服务器之间交换认证信息的手段,EAP最早定义在RFC2284中,是一种支持多种认证方法的认证框架,具有良好的可扩展性,EAP认证方法也逐渐被后续RFC更新补充和完善,常见的EAP认证方法有EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-AKA、PEAP等。
技术实现思路
为了克服现有技术的上述缺点,本专利技术提供了一种支持生物特征的EAP协议改进方法,通过设计EAP-BIT(ExtensibleAuthenticationProtocol-BiometricIdentificationTechnology)协议及其流程,将生物特征封装在EAP包中传输,通过识别用户生物特征(指纹、虹膜、人脸、指静脉等)对用户进行身份认证,实现局域网主机/用户的灵活高效接入。本专利技术解决其技术问题所采用的技术方案是:一种支持生物特征的EAP协议改进方法,协议分组结构包括如下内容:(1)代码:标准EAP头部,指明EAP消息类型,包括Request、Response、Success和Failure四种类型;(2)标识:标准EAP头部,用于匹配相应的EAP-Request消息和EAP-Response消息;(3)长度:标准EAP头部,指明整个EAP分组的字节长度;(4)类型:标准EAP头部,指明EAP方法类型;(5)标志:包含数据长度L、分片标识M、会话开始S和协议版本V等标志位信息;(6)消息长度:该字段可选,当标志字段中的L位置1时该字段有效;(7)消息类型:指明EAP-BIT消息中包含的消息类型;(8)数据:该字段长度可变,当EAP-BIT消息中的消息类型取值为0x03、0x05或0x06时,该字段为空;当消息类型取值为0x01、0x02、0x04时,该字段的具体格式由具体的消息类型决定。与现有技术相比,本专利技术的积极效果是:由于采用了EAP数据封装,本专利技术的一种支持生物特征认证的EAP-BIT认证方法,可以很好的兼容各种802.1X交换机,同时可以实现主机信息和用户生物特征信息的验证,协议设计兼顾灵活性和效率性,可以实现快速、高效、安全的主机/用户准入控制。能很好的适应目前流行的生物特征认证,既保证认证的灵活、快捷和高效,也能提高认证的安全性。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为802.1X典型结构;图2为EAP-BIT协议分组结构;图3为EAP-BIT协议分组标志字段格式;图4为Hello消息格式;图5为Notice消息格式;图6为EAP-BIT认证流程。具体实施方式一种支持生物特征的EAP协议改进方法,包括如下内容:EAP协议定义了一个可集成多种认证方法的框架,可通过增加属性-值对的方式支持将来可能出现的认证方法,具有良好的可扩展性。本方案提出的EAP-BIT方法分组格式如图2所示。下文的数据分组均为网络字节序。1、代码(Code):标准EAP头部,1字节,指明EAP消息类型,包括Request(1)、Response(2)、Success(3)、Failure(4)四种类型;2、标识(Identifier):标准EAP头部,1字节,用于匹配相应的EAP-Request消息和EAP-Response消息;3、长度(Length):标准EAP头部,2字节,指明整个EAP分组的字节长度;4、类型(Type):标准EAP头部,1字节,指明EAP方法类型。对于本方案,该字段值设置为60;5、标志(Flags):1字节,格式如图3所示,定义如表1所示;表1标识位含义6、消息长度(MessageLength):该字段可选,长度4字节。当标志字段中的L位置1时该字段有效,指明分片之前原始消息序列的总字节长度;7、消息类型(MessageType):该字段长度1字节,指明EAP-BIT消息中包含的消息类型,该字段取值及其含义如表2所示。表2EAP-BIT消息类型消息类型值Start0x01Hello0x02Request0x03Notice0x04Success0x05Failure0x061)Start消息当消息类型为Start时,数据字段为质询码,即16字节随机数;2)Hello消息当消息类型为Hello时,数据字段结构如图4所示。其中:验证数据(VerifyData):对整个Hello消息的完整性验证数据,采用基于预共享密钥的计算方法,即{Hello消息+质询码+共享密钥}HASH(‘+’表示联接,计算时Hello消息的验证数据域以‘0’填充,质询码为Start消息携带的质询码)。TLV属性-值:a)类型:1字节,表示属性类型;b)长度:2字节,表示整个TLV属性-值对的长度,包括类型和长度字段;c)值:具体的类型数据。本方案预先给出的属性-值对定义如表3所示,后续可以根据需要进行扩展和完善。表3NAME域属性-值对定义类型代码类型说明取值说明1主机标识(建议为硬盘序列号)字符串,多个以’;’串联2主机IP地址4字节形式,多个直接串联3主机MAC地址6字节形式4主机OS字符串101指纹数据BUFFER102虹膜数据BUFFER103人脸数据BUFFER104指静脉数据BUFFER在认证数据包中,TLV排序不分先后。不管选用何种认证方式,主机标识、主机IP地址、主机MAC地址为必含项;若为生物特征认证方式,则还需至少包含一种生物特征TLV属性-值对。3)Notice消息当消息类型为Notice时,认证服务器发送给认证客户端的数据字段结构如图5所示。其中:(1)长度:2字节,表示整个Notice消息长度;(2)结果代码:2字节,表示认证结果类型编码,系统实现时自定义;(3)结果描述:不定长,认证结果字符串描述,用于给认证客户端回显给终端用户。8、数据(Data):该字段长度可变。当消息类型取值为0x03、0x05或0x06时,该字段为空;当消息类型取值为0x01、0x02、0x04时,该字段的具体格式由具体的消息类型决定。根据安全性需要,可对数据域作敏感信息保护处理,包括异或、加密或者采用EAP-TTLS作为外部通道,将本方案的EAP-BIT方法作为内部EAP方法。EAP-BIT认证流程如本文档来自技高网...
【技术保护点】
1.一种支持生物特征的EAP协议改进方法,其特征在于:协议分组结构包括如下内容:(1)代码:标准EAP头部,指明EAP消息类型,包括Request、Response、Success和Failure四种类型;(2)标识:标准EAP头部,用于匹配相应的EAP‑Request消息和EAP‑Response消息;(3)长度:标准EAP头部,指明整个EAP分组的字节长度;(4)类型:标准EAP头部,指明EAP方法类型;(5)标志:包含数据长度L、分片标识M、会话开始S和协议版本V等标志位信息;(6)消息长度:该字段可选,当标志字段中的L位置1时该字段有效;(7)消息类型:指明EAP‑BIT消息中包含的消息类型;(8)数据:该字段长度可变,当EAP‑BIT消息中的消息类型取值为0x03、0x05或0x06时,该字段为空;当消息类型取值为0x01、0x02、0x04时,该字段的具体格式由具体的消息类型决定。
【技术特征摘要】
1.一种支持生物特征的EAP协议改进方法,其特征在于:协议分组结构包括如下内容:(1)代码:标准EAP头部,指明EAP消息类型,包括Request、Response、Success和Failure四种类型;(2)标识:标准EAP头部,用于匹配相应的EAP-Request消息和EAP-Response消息;(3)长度:标准EAP头部,指明整个EAP分组的字节长度;(4)类型:标准EAP头部,指明EAP方法类型;(5)标志:包含数据长度L、分片标识M、会话开始S和协议版本V等标志位信息;(6)消息长度:该字段可选,当标志字段中的L位置1时该字段有效;(7)消息类型:指明EAP-BIT消息中包含的消息类型;(8)数据:该字段长度可变,当EAP-BIT消息中的消息类型取值为0x03、0x05或0x06时,该字段为空;当消息类型取值为0x01、0x02、0x04时,该字段的具体格式由具体的消息类型决定。2.根据权利要求1所述的一种支持生物特征的EAP协议改进方法,其特征在于:标志字段中,L标志位指明EAP-BIT分组的消息长度字段是否存在;M标志位指明本消息是否包含分片;S标志位指明是否开始本协议会话;V标志位表示协议的版本号。3.根据权利要求1所述的一种支持生物特征的EAP协议改进方法,其特征在于:所述EAP-BIT协议包含的消息类型包括:Start、Hello、Request、Notice、Success、Failure。4.根据权利要求3所述的一种支持生物特征的EAP协议改进方法,其特征在于:包含数据信息的EAP-BIT消息及其定义为:1)Start消息:数据字段为质询码,是随机数;2)Hello消息:包括主机标识、主机IP地址、主机MAC地址,若采用生物特征认证方式,则还需至少包含一种生物特征TLV属性-值对;3)Notice消息:数据字段结构包...
【专利技术属性】
技术研发人员:褚龙,邓永晖,龙飞宇,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。