专利名称:实现无线局域网接入认证的方法
技术领域:
本发明涉及无线局域网技术领域,更具体的说,本发明涉及一种无线局域网中接入认证的方法。
背景技术:
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
目前对于WLAN网络的接入认证,最常用的方法是基于用户名/密码进行认证,该方案的原理是用户在需要开通WLAN业务时,在运营商的认证服务器(通常是AAA服务器)里面开设一个帐户,获取一个用户名和密码。例如一个普通的用户名wlan@163.com;密码为12345。在用户需要接入到WLAN网络时,需要输入自己的用户名和密码,然后由认证点AP将该用户的用户名和密码通过RADIUS认证协议传送给认证服务器,由认证服务器进行用户名和密码认证。
具体参考图1所示,该图是现有技术基于用户名和密码进行802.1X接入认证的处理流程图,主要包括如下步骤
1.用户在接入WLAN网络之前,需要先在认证服务器(通常即AAA服务器)中进行开户,获得自己的用户名和密码,AAA和用户终端STA都保存有用户的用户名和密码。该用户名假设为wlan@163.com;密码假设为12345;2.用户终端STA和认证点AP之间建立物理连接;3.用户终端STA向认证点AP发送EAPoL-Start报文,开始进行802.1x的过程;4.认证点AP向用户终端STA发送EAP-Request/Identity报文,要求用户终端STA将用户身份标识送上来;5.用户终端STA将自己的用户身份标识通过EAP-Response/Identity报文发送给认证点AP,该报文里包含了用户在AAA服务器中开户获取的用户名wlan@163.com;6.认证点AP随机产生一个16字节的随机数Challenge1;7.认证点AP向用户终端STA发送EAP-Request/MD5-Challenge报文,带上产生的随机数Challenge1;8.用户终端STA在接收到EAP-Request/MD5-Challenge报文后,解析出其中的随机数Challenge1,然后和密码一道进行加密,得到新的密码Key1后,用户终端STA向认证点AP发送EAP-Response/MD5-Challenge报文,里面带上经过加密后的密码Key1;9.认证点AP通过Radius协议的Access-Request报文,向认证服务器(AAA服务器)发起认证请求;报文里含有随机数Challenge1和加密后的密码Key1;10.认证服务器在接收到AP发送过来的Access-Request报文后,解析出其中携带的随机数Challenge1和密码Key1;认证服务器利用和用户终端STA一样的方式将获得的Challenge1和自己保存的用户的密码进行加密,得到加密后的密码Key2;然后将Key1和Key2进行比较,如果一致,认证通过,认证服务器向认证点AP发送Access-Accept报文,如果不一致,认证未通过,认证服务器则向认证点AP发送Access-Reject报文;
11.认证点AP如果接收到Access-Accept报文,则向用户终端STA发送EAP-Success报文,通知用户终端STA认证成功;如果接收到Access-Reject报文,则向用户终端STA发送EAP-Failure报文,通知用户终端STA认证失败。
上述现有基于用户名/密码进行接入认证的方法虽然可实现对用户的接入认证,但由于用户每次接入到WLAN网络时都需要用户输入自己的用户名/密码,操作繁琐,用户使用起来并不方便;另外,对于某些没有接口输入用户名和密码的用户终端该方法无法实现接入认证。
发明内容
本发明解决的技术问题是提供一种方便用户接入无线局域网的接入认证方法,以简化用户的输入操作。
为解决上述问题,本发明实现无线局域网接入认证的方法,所述的无线局域网包括用户终端、认证点和认证服务器,包括如下步骤A、用户终端与认证点建立物理连接;B、认证点获取用户终端的MAC地址;C、通过所述的认证点以所述的MAC地址对所述的用户终端进行接入认证。
可选的,认证点配置有各个用户终端的MAC地址,步骤C包括认证点根据所述获取的用户终端的MAC地址进行认证,如果所述的MAC地址合法,则用户终端认证通过。
可选的,认证服务器配置有用户终端的MAC地址,步骤C包括C1、认证点向认证服务器发送包含用户终端MAC地址的接入请求消息发起接入认证;C2、认证服务器解析出所述的MAC地址并根据所述的MAC地址进行认证,如果所述的MAC地址合法,则用户终端认证通过,向认证点返回接入接受消息。
可选的,以一个网络服务标识SSID标识用户终端以MAC地址进行接入认证,步骤C1之前还包括认证点根据SSID判断是否对所述的用户终端以MAC地址进行接入认证,若检测到所述的SSID,则判断为是,并在判断为是后执行步骤C1。
可选的,以域标识属于该域的用户终端以MAC地址进行接入认证,步骤C2之前还包括认证服务器根据用户终端的域判断是否对所述的用户终端以MAC地址进行接入认证,若用户终端属于所述的以MAC地址进行接入认证的域,则判断为是,并在判断为是后执行步骤C2。
可选的,预设用户终端接入认证的用户名和密码,用户终端首次接入认证在执行步骤C1之前还包括用户终端发起用户名和密码认证,认证通过后认证服务器获取并配置所述的用户终端的MAC地址。
其中,步骤A包括用户终端向认证点发送探测请求消息;认证点向用户终端返回探测响应消息;用户终端向认证点发送认证请求消息;认证点向用户终端返回认证响应消息;用户终端向认证点发送连接请求消息;认证点与用户终端建立物理连接,向用户终端返回连接响应消息。
其中,所述的认证服务器是认证、授权、计费服务器与现有技术相比,本发明具有以下优点首先,本发明基于用户终端设备的MAC地址进行接入认证,对于合法的MAC地址,用户在开机后不需要用户输入用户名/密码,就可以接入到WLAN网络,对于非法的MAC地址,则禁止该用户接入到WLAN网络中,从而可以安全方便的实现用户接入到WLAN网络;其次,本发明还解决了某些用户终端设备没有接口输入用户名/密码的情况下的WLAN网络的接入认证,如WLAN手机没有接口输入用户名/密码,在这种情况下,通过MAC地址的认证可以很好的保证用户接入到WLAN网路中。
图1是现有技术基于用户名和密码进行无线局域网接入认证的处理流程图;图2是本发明无线局域网接入认证方法应用的网络环境示意图;图3是本发明无线局域网接入认证方法第一实施例的处理流程图;图4是本发明无线局域网接入认证方法第二实施例的处理流程图;图5是本发明无线局域网接入认证方法第三实施例的处理流程图。
具体实施例方式
本发明的核心在于基于用户终端设备的MAC地址进行接入认证,MAC地址是48位的唯一地址,在网络环境下类似设备的身份证。一般的,MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址在计算机里都是以48位的的二进制表示的,MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要不更改用户终端设备的MAC地址,该用户终端设备的MAC地址在世界是惟一的。
参考图2,该图是本发明实现无线局域网接入认证的网络环境图。本发明应用的WLAN包括用户终端(Supplicant)1,LAN所连接的一端的实体(Entity),作为认证请求者向认证点(Authenticator)发起请求,对其身份的合法性进行检验;认证点2,响应用户终端1的认证请求,包括两个逻辑端口受控端口(Controlled Port)21和不受控端口(Uncontrolled Port)22;认证服务器3,是指通过检验用户终端1发送来的身份标识,来判断该请求者是否有权使用认证点2所提供的网络服务。
通常,要访问局域网/城域网4,首先用户终端1要向认证点2发起认证请求,不受控端口22始终处于双向连通状态,主要用来传递EAPoL协议帧,可保证用户终端1始终可以发出或接受;认证授权时,认证点2的受控端口21才被连通,用于传递网络资源和服务。
参考图3,该图是本发明实现无线局域网接入认证的第一实施例示意图。
本实施例在WLAN网络的AP上静态配置有各个用户终端设备的MAC地址表,在用户终端和AP进行802.11b/g/a的连接时,AP会获得用户终端设备的MAC地址,此时AP去查找配置的MAC地址表,如果发现该MAC地址存在,则认为用户终端合法,认证通过,开放对用户终端的控制,允许用户终端进行后续的流程,如申请IP地址,进行上网等。如果不存在,则保持对用户终端的控制;在这种情况下,用户终端如果要使用WLAN网络,可使用其他的认证方式,如基于用户名/密码的接入认证方式,这里不再赘述。
具体处理流程如下步骤s10,用户终端向认证点发送探测请求消息;步骤s11,认证点向用户终端返回探测响应消息;步骤s12,用户终端向认证点发送认证请求消息;步骤s13,认证点向用户终端返回认证响应消息;
步骤s14,用户终端向认证点发送连接请求消息;步骤s15,认证点与用户终端建立物理连接,向用户终端返回连接响应消息;步骤s16,认证点获取用户终端的MAC地址,根据MAC地址进行认证,如果查找配置的MAC地址表发现该MAC地址存在,则认为用户合法,用户终端认证通过,可继续DHCP等后续流程,否则,认证未通过,采用其他认证方式或直接结束认证。
参考图4,该图是本发明实现无线局域网接入认证的第二实施例示意图。
上述第一实施例中静态配置的MAC地址表是在AP上实现,在实际使用中,受AP存储容量的限制,AP上配置的数据一般较少,运营存在困难。为此,本实施例配置的MAC地址表数据在认证服务器(AAA服务器)上实现,即在认证服务器(AAA服务器)上配置各个用户终端的MAC地址表,由AP上报用户终端的MAC地址给认证服务器(AAA服务器),由认证服务器(AAA服务器)进行查找比较。
具体处理流程如下在步骤s20-步骤s25与第一实施例步骤s10-s15相同,由用户终端STA和认证点AP建立802.11物理连接。
在步骤s26,认证点AP获取用户终端STA的MAC地址,同时AP根据一定的规则判断用户是否属于MAC地址认证,例如可以根据特定的网络服务标识SSID来判断,即AP支持多个SSID,其中一个SSID用来标识以MAC地址对用户终端进行接入认证,如果属于以MAC地址进行接入认证,则AP构造RADIUS协议的Access-Request认证请求消息到认证服务器(AAA服务器),该消息中的用户名含有用户终端的MAC地址(例如其用户名的格式可以为MAC@DOMAIN)。
在步骤s27,认证服务器(AAA服务器)收到用户终端的认证请求消息后,解析出用户名,根据一定的规则判断用户终端是否属于以MAC地址进行认证,例如可以根据域(DOMINA)来判断,在认证服务器里面配置DOMAIN和认证的关系,用特定的DOMAIN来表示属于该DOMAIN的用户终端都是以MAC地址进行接入认证。如果属于以MAC地址进行接入认证,则认证服务器根据该用户终端的MAC地址查找数据库,进行比较,搜寻匹配的MAC地址,判断该MAC地址是否合法。如果查找到匹配的MAC地址,则该MAC地址合法,认证通过,允许该用户终端接入WLAN网络,向AP发送Access-Accept认证成功消息;否则,向AP发送Access-Reject认证拒绝消息。
参考图5,该图是本发明实现无线局域网接入认证的第三实施例示意图。
上述第二实施例中虽然将MAC地址的配置放在认证服务器(AAA服务器)中进行配置,但是在实际运营中,用户的MAC地址可能会发生改变,这时需要在认证服务器(AAA服务器)中进行增加、删除、修改的操作,增加了运营的困难。为此,本实施例进一步改进,实现认证服务器(AAA服务器)可以自动学习用户终端的MAC地址。
具体处理流程如下首先用户到认证服务器(AAA服务器)中开设一个帐户,获取一个用户名和密码,然后开始接入认证,其接入流程步骤s30-36步如背景中现有技术1-7步中描述,这里不再赘述,在步骤s37的认证请求消息中,AP会把用户终端STA的MAC地址送给认证服务器(AAA服务器);在步骤s38,认证服务器(AAA服务器)判断用户的用户名和密码是否合法,如果合法,则认证通过,此时认证服务器(AAA服务器)会自动把用户本次认证中所携带的用户终端的MAC地址加入到自己的数据库中,并且向认证点AP发送认证成功消息Access-Accept,然后在步骤s39,认证点AP通知用户终端STA认证成功,其余后续流程和背景技术中相同,这里不再赘述。
需要说明的是,本实施例中用户下次再接入到WLAN网络中时,由于此时认证服务器(AAA服务器)中已经保存有用户的MAC地址,此时的认证流程和第二实施例相同,认证服务器以MAC地址对用户终端进行接入认证,这里不再赘述。
另外,如果用户改变了STA,这样其MAC地址也该变了,用户在第一次接入时MAC地址认证会失败,用户可以通过用户名/密码认证成功,并且同时更新认证服务器(AAA服务器)中保存的MAC地址,下次接入时就可以通过MAC地址进行接入认证。
以上所述仅为本发明的优选实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
1.一种实现无线局域网接入认证的方法,所述的无线局域网包括用户终端、认证点和认证服务器,其特征在于,包括A、用户终端与认证点建立物理连接;B、认证点获取用户终端的MAC地址;C、通过所述的认证点以所述的MAC地址对所述的用户终端进行接入认证。
2.根据权利要求1所述的实现无线局域网接入认证的方法,其特征在于,认证点配置有各个用户终端的MAC地址,步骤C包括认证点根据所述获取的用户终端的MAC地址进行认证,如果所述的MAC地址合法,则用户终端认证通过。
3.根据权利要求1所述的实现无线局域网接入认证的方法,其特征在于,认证服务器配置有用户终端的MAC地址,步骤C包括C1、认证点向认证服务器发送包含用户终端MAC地址的接入请求消息发起接入认证;C2、认证服务器解析出所述的MAC地址并根据所述的MAC地址进行认证,如果所述的MAC地址合法,则用户终端认证通过,向认证点返回接入接受消息。
4.根据权利要求3所述的实现无线局域网接入认证的方法,其特征在于,以一个网络服务标识SSID标识用户终端以MAC地址进行接入认证,步骤C1之前还包括认证点根据SSID判断是否对所述的用户终端以MAC地址进行接入认证,若检测到所述的SSID,则判断为是,并在判断为是后执行步骤C1。
5.根据权利要求3所述的实现无线局域网接入认证的方法,其特征在于,以域标识属于该域的用户终端以MAC地址进行接入认证,步骤C2之前还包括认证服务器根据用户终端的域判断是否对所述的用户终端以MAC地址进行接入认证,若用户终端属于所述的以MAC地址进行接入认证的域,则判断为是,并在判断为是后执行步骤C2。
6.根据权利要求3、4或5任一项所述的实现无线局域网接入认证的方法,其特征在于,预设用户终端接入认证的用户名和密码,用户终端首次接入认证在执行步骤C1之前还包括用户终端发起用户名和密码认证,认证通过后认证服务器获取并配置所述的用户终端的MAC地址。
7.根据权利要求6所述的实现无线局域网接入认证的方法,其特征在于,步骤A包括用户终端向认证点发送探测请求消息;认证点向用户终端返回探测响应消息;用户终端向认证点发送认证请求消息;认证点向用户终端返回认证响应消息;用户终端向认证点发送连接请求消息;认证点与用户终端建立物理连接,向用户终端返回连接响应消息。
8.根据权利要求7所述的实现无线局域网接入认证的方法,其特征在于,所述的认证服务器是认证、授权、计费服务器。
全文摘要
本发明公开一种实现无线局域网接入认证的方法,主要包括如下步骤A.用户终端与认证点建立物理连接;B.认证点获取用户终端的MAC地址;C.通过所述的认证点以所述的MAC地址对所述的用户终端进行接入认证。本发明基于用户终端设备的MAC地址进行接入认证,对于合法的MAC地址,用户在开机后不需要用户输入用户名/密码,就可以接入到WLAN网络,对于非法的MAC地址,则禁止该用户接入到WLAN网络中,从而可以安全方便的实现用户接入到WLAN网络;另外本发明还解决了某些用户终端设备没有接口输入用户名/密码的情况下的WLAN网络的接入认证。
文档编号H04L29/12GK1842000SQ200510059708
公开日2006年10月4日 申请日期2005年3月29日 优先权日2005年3月29日
发明者高江海, 黎静 申请人:华为技术有限公司