技術領域

本發明涉及安全認證技術領域，特別涉及一種基于生物識別認證的網絡接入控制系統及其方法。

背景技術

隨著我國信息化的推進和發展，各大中型企業內部網絡規模日益龐大，網絡應用日益頻繁。網絡的龐大化和復雜化，導致網絡安全風險越來越嚴重。內網安全已成為各大中型企業用戶極為關注的問題。

內部網絡的非法接入問題，是目前各大中型企業內網安全所面臨的重要問題，如何有效的對接入網絡的計算機及網絡設備進行監控與管理，是內部網絡能否安全運轉的前提。

傳統的金融系統普遍使用業務授權的形式對內部人員的計算機犯罪進行防范。傳統的商業隱含授權方式包括如下流程：柜員進行業務操作時遇到授權業務，向授權主管請求授權；授權主管核實柜員之前所做操作是否有誤、待授權業務是否實時發生、客戶是否在現場、客戶提交的憑證和客戶是否有關聯；授權主管根據核實結果決定是否進行授權。

傳統的授權方式包括：輸入密碼、磁卡、IC卡、指紋等，分別存在如下缺點：密碼易被遺忘或破解；磁卡和IC卡攜帶不方便，容易丟失；指紋容易被復制或污染，準確度不高，尤其是當操作者指紋較淺時，可能導致無法識別。

為解決上述問題，中國發明專利CN102075530A提供了一種基于手掌靜脈認證的銀行授權授信系統及方法，該系統包括授權終端，根據銀行業務流程需要向授權認證裝置發送業務請求信息；授權認證裝置，接收業務請求信息，識別并提取授權請求信息，發送給手掌靜脈識別裝置，讀取待認證用戶的手掌靜脈圖像，并將其與預先存儲的授權人的手掌靜脈數據進行比對：若相符，則向授權終端發送授權信息；手掌靜脈識別裝置，相應授權請求信息，采集待認證用戶的手掌靜脈圖像，處理后發送給授權認證裝置。由于手掌靜脈在皮膚的皮下組織之下，屬身體內部信息，在胎內定型、不隨手掌的大小比例變化，且不受皮膚顏色影響，所以本發明具有高安全性、高認證精度和高包容性，杜絕了傳統授權授信體系中的安全隱患。

但是上述發明的授權終端和手掌靜脈識別裝置通過網絡連接，授權認證裝置通過無線或網絡與授權終端和手掌靜脈識別裝置連接，所以授權終端、授權認證裝置和手掌靜脈識別裝置始終是通過網絡連接的，尚不能有效解決網絡的非法接入問題，使企業的內部網絡則處在一個不可控的狀態，任何人員都可以通過網內任意接口接入，盜用合法身份，進行非法活動，而網管人員卻無法及時有效的發現及阻斷。

發明內容

本發明要解決的技術問題是提供一種基于生物識別認證的網絡接入控制系統及其方法，有效解決網絡的非法接入問題，企業內部網絡安全、可控。

為解決上述技術問題，本發明的實施例提供一種基于生物識別認證的網絡接入控制系統，包括客戶端、網絡資源管理平臺、身份驗證服務器和生物識別認證裝置；

其中，所述客戶端用于接收/響應所述身份驗證服務器發出的身份驗證信息請求，發出包含生物采集數據的EAP-Response/EAP-MS-CHAP-V2?Response消息；

所述身份驗證服務器用于發出所述身份驗證信息請求；接收所述包含生物采集數據的EAP-Response/EAP-MS-CHAP-V2?Response消息，并向所述生物識別認證裝置發出生物認證請求信息；接收生物識別認證裝置發出的認證結果，認證通過時向所述網絡資源管理平臺發出EAP-Success消息；

所述生物識別認證裝置接收所述生物認證請求信息，將所述包含生物采集數據的EAP-Response/EAP-MS-CHAP-V2?Response消息與存儲的生物樣本數據進行比對，向身份驗證服務器發出認證結果；

所述網絡資源管理平臺接收所述EAP-Success消息，控制所述客戶端是否接入網絡。

上述技術方案中，所述客戶端包括接入端和網絡接入設備，所述接入端的AP與網絡接入設備的NAP連接；

其中，所述網絡接入設備用于向接入端發出EAP-Request/Identity消息，接收并向網絡資源管理平臺傳遞由接入端發出的包含客戶端標識的EAP-Response/Identity消息。

上述技術方案中，所述接入端包括802.1x客戶端、802.1x服務端、PALM驅動和PALM生物數據采集裝置；