专利名称:无线局域网的快速认证方法、ac及系统的制作方法
技术领域:
本发明涉及无线局域网技术领域,尤其涉及一种无线局域网的快速认证方法、AC及系统。
背景技术:
WLAN (Wireless Local Area Networks,无线局域网络)是利用无线通信技术在一定的局部范围内建立的网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网(LAN, Local Area Network)的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。随着移动互联网技术的快速发展,用户对移动高速数据接入的需求越来越高,WLAN作为一种低成本、高带宽的无线接入技术,得到了国内外运营商的规模部署和广泛应用,在缓解2G (second generation,第二代移动通信技术)/3G (3rd_generation,第三代移动通信技术)数据流量压力方面发挥了重要的作用。作为分流3G流量的重要手段,现有的WLAN网络在与3G网络统一认证、快速认证/简化用户操作等方面还存在不足。目前,WLAN认证操作相对复杂,大多采用Portal (门户)Web页面方式进行认证,如图1所示,图1为现有的WLAN认证流程示意图。用户终端(STA,STATION)通过AC(无线接入控制器)与中央 AAA (Authent i cat ion > Authorizat ion > Accounting,验证、授权和记账认证服务器)进行Portal认证,其中,终端通过AP (Access Point,无线接入点)与AC连接(图中未示出),终端与AP通过无线连接,AP与AC通过有线连接。具体流程如下:1、用户终端选择关联到SSID(Service Set Identifier,服务集标识),网络附着后获得IP地址;2、用户需要打开浏览器访问任意网址,AC重定向到中央AAA,中央Portal服务器弹出认证页面,用户可进行正常的账户密码输入;向中央Portal服务器提交用户输入的账户密码,在总部Radius认证模块上进行认证,认证完成后告知AC放行网络,并向用户弹出中央Portal服务器的认证成功页面。现有的手机WLAN上网与GPRS (General Packet Radio Service,通用分组无线服务技术)体验相距甚远,主要体现在以下几方面:1、由于手机屏幕小,通过Portal页面进行用户名密码输入的操作仍然较复杂;2、通过WLAN手机客户端,虽然可以解决账户密码记忆和Portal输入问题,但是,需要适配各种手机型号,开发投入大;而且客户端需要用户下载安装专门软件,易用性不闻;3> SIM (Subscriber Identity Module,用户识别卡)认证支持终端少,需要改造AC、AAA等设备,周期长,全网支持难度大,终端设置复杂。由于手机终端的局限性和操作特点,现有的Portal认证方式和客户端需要多步操作才能完成认证过程,与2G/3G体验差距较大,而SM认证受限于终端和网络,无法在短期内形成规模,由此,降低了用户使用网络的易用性及便捷性,无法满足用户需求。
发明内容
本发明的主要目的在于提供一种无线局域网的快速认证方法、AC及系统,旨在实现用户快速接入网络,提升用户体验。为了达到上述目的,本发明提出一种无线局域网的快速认证方法,包括:AC在终端附着网络后,向本地AAA查询所述终端的MAC地址及UA与账户信息的绑
定信息;根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal 认证。优选地,所述AC在终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息的步骤包括:所述AC在终端附着网络后,获取所述终端的MAC地址和UA信息;以所述MAC地址和UA信息向所述本地AAA发起MAC地址及UA认证; 接收所述本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户信息的
绑定信息。优选地,所述根据MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证的步骤包括:当所述终端的MAC地址及UA未绑定时,所述AC接收所述终端提供的所述MAC地址和UA对应的账户信息,与所述中央AAA进行Portal认证;当Portal认证通过后,所述AC控制所述终端接入网络,并将所述终端的账户信息、MAC地址以及UA信息传递给所述本地AAA,由所述本地AAA通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作,经所述终端确认后,由所述本地AAA保存所述MAC地址及UA与账户信息的绑定关系。优选地,所述根据MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证的步骤包括:当所述终端的MAC地址及UA已绑定时,从本地AAA获取所述MAC地址和UA对应的账户信息,并与所述中央AAA进行Portal认证;当Portal认证通过后,所述AC控制所述终端接入网络,并由所述本地AAA与所述中央AAA进行计费数据的同步操作。优选地,所述AC向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息的步骤之前还包括:对所述终端的UA信息进行校验,当校验通过后,所述AC向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息。本发明还提出一种无线局域网的快速认证AC,包括:查询模块,用于在所述终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息;认证模块,用于根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证。优选地,所述查询模块包括:获取单元,用于在所述终端附着网络后,获取所述终端的MAC地址和UA信息;认证单元,用于以所述MAC地址和UA信息向所述本地AAA发起MAC地址及UA认证;绑定信息获取单元,用于接收所述本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户信息的绑定信息。优选地,所述认证模块包括:Portal认证单元,用于当所述终端的MAC地址及UA未绑定时,接收所述终端提供的所述MAC地址和UA对应的账户信息,与所述中央AAA进行Portal认证;网络接入单元,用于当Portal认证通过后,控制所述终端接入网络,并将所述终端的账户信息、MAC地址以及UA信息传递给所述本地AAA,由所述本地AAA通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作,经所述终端确认后,由所述本地AAA保存MAC地址及UA与账户信息的绑定关系。优选地,所述Portal认证单元,还用于当所述终端的MAC地址及UA已绑定时,从本地AAA获取所述MAC地址和UA对应的账户信息,并与所述中央AAA进行Portal认证;所述网络接入单元,还用于当Portal认证通过后,控制所述终端接入网络,并由所述本地AAA与所述中央AAA进行计费数据的同步操作。优选地,所述查询模块还用于在所述终端附着网络后,对所述终端的UA信息进行校验,当校验通过后,向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息。本发明还提出一种无线局域网的快速认证系统,包括:AC、本地AAA以及中央AAA,其中:所述AC,用于当终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息;根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal 认证;所述本地AAA,用于在所述终端附着网络后,进行MAC地址及UA认证,并将认证后的MAC地址及UA与账户信息的绑定信息反馈给所述AC ;所述中央AAA,用于当所述终端附着网络后,通过所述AC对所述终端进行接入认证。优选地,所述AC,还用于当Portal认证通过后,控制所述终端接入网络;所述中央AAA,还用于当Portal认证通过后,接收所述AC发送的计费报文,对所述终端入网进行计费,并与所述本地AAA同步计费数据;所述本地AAA,还用于当所述终端的MAC地址及UA未绑定,且Portal认证通过后,接收并保存所述AC发送的所述终端的账户信息、MAC地址以及UA信息,并通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作;经所述终端确认后,保存所述MAC地址及UA与账户信息的绑定关系;以及当Portal认证通过后,与所述中央AAA同步计费数据。优选地,所述AC,还用于在所述终端附着网络后,对所述终端的UA信息进行校验,当校验通过后,向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息;
所述本地AAA,还用于统计所述终端的MAC绑定操作频率,当所述MAC绑定操作频率超过预定阀值时,通知所述AC禁止所述终端接入网络。优选地,所述本地AAA,还用于在同步计费数据后,根据所述终端上网情况,通过所述短信平台向所述终端下发当天的上网提醒短信;接收所述终端反馈的取消快捷上网功能信息;并根据所述取消快捷上网功能信息取消所述终端的MAC地址及UA与账户信息的绑定。本发明提出的一种无线局域网的快速认证方法、AC及系统,保留现有的中央AAA的Portal认证流程,并增加了二级本地AAA,用于WLAN终端的MAC地址及UA认证,用户认证时,首先到本地AAA进行MAC地址及UA认证,从本地AAA获取MAC地址及UA与账户信息的绑定信息,若MAC和UA信息未与用户账户信息绑定,则维持用户附着状态,用户可进行正常的与中央AAA的Portal认证,Portal认证通过后,AC将帐户信息、MAC地址和UA信息传递给本地AAA,本地AAA通过短信方式跟用户确认后进行绑定操作;若MAC和UA信息已绑定,则将MAC地址及UA信息对应的账户信息提交AC,由AC和中央AAA进行Portal认证。AC利用Portal认证流程向中央AAA发起认证,认证成功后,中央AAA告知AC放开网络。本发明可以适配所有WLAN终端,兼容现有的Web认证方式,只需少量改造网络和认证系统即可实现,方便用户快速接入网络,大大降低了手机用户操作复杂度,有效提高用户体验。
图1是现有的WLAN认证流程示意图;图2是本发明无线局域网的快速认证方法一实施例的流程示意图;图3是本发明无线局域网的快速认证方法一实施例中终端附着网络后,通过AC向本地AAA查询MAC地址及UA与账户信息的绑定信息的流程示意图;图4是本发明无线局域网的快速认证方法一实施例中根据MAC地址及UA与账户信息的绑定信息,为终端与中央AAA进行Portal认证的流程示意图;图5是本发明无线局域网的快速认证方法一实施例中用户未进行MAC地址及UA与账户信息的绑定时的业务流程示意图;图6是本发明无线局域网的快速认证方法一实施例中用户已进行MAC地址及UA与账户信息的绑定时的业务流程示意图;图7是本发明无线局域网的快速认证AC —实施例的结构示意图;图8是本发明无线局域网的快速认证AC—实施例中查询模块的结构示意图;图9是本发明无线局域网的快速认证AC—实施例中认证模块的结构示意图;图10是本发明无线局域网的快速认证系统一实施例的结构示意图。为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
具体实施例方式本发明实施例解决方案主要是针对手机等WLAN终端进行认证方案优化,保留现有的中央AAA的Portal认证流程,增加了用于WLAN终端的MAC(MediaAccess Control,介质访问控制)地址及UA信息认证的本地AAA,提出普遍支持的终端MAC地址及UA信息作为认证的交互信息,同时通过短信进行身份信息校验,实现MAC+UA+短信的创新认证方案,附着即认证,可有效提升用户体验。随着WLAN业务大规模的开展,用户对网络使用的易用性与便捷性提出了更高的要求,本发明基于现有网络和技术的运用,提出了快速认证的技术思路,可有效提升用户体验。如图2所示,本发明一实施例提出一种无线局域网的快速认证方法,包括:步骤S101,AC在终端附着网络后,向本地AAA查询终端的MAC地址及UA与账户信息的绑定信息;本实施例终端为WLAN终端。本实施例方法运行环境涉及WLAN网络的中央AAA、AC及短信平台(BOSS),在WLAN网络中,通常采用中央AAA集中管理的方式,其中,中央AAA包括Radius和Portal功能。BOSS运维支撑系统,提供用户数据的开通及变更,同时提供短信功能支持。 本实施例增加了二级本地AAA,用于进行终端MAC地址及UA的认证。该本地AAA包括本地AAA的Radius和Portal服务器。中央AAA存放所有WLAN用户的认证相关数据(包括用户名及密码等);本地AAA存放本地WLAN用户的认证相关数据,本地用户的MAC地址及UA与账户信息的绑定关系存储在本地AAA上。该本地AAA与BOSS具有接口,能够接受BOSS提供的账户信息的开通及变更,同时能够通过BOSS接口给终端发送短信。终端在附着网络后,首先通过AC到本地AAA进行MAC地址及UA的认证,AC向本地AAA查询MAC地址及UA (User Agent,用户代理)与账户信息的绑定信息,该MAC地址及UA与账户信息的绑定信息包括终端的MAC地址及UA是否与账户信息绑定,其中,UA是HTTP (Hypertext Transfer Protocol,超文本传输协议)头中标明当前使用的浏览器及系统信息的字段;账户信息包括用户名和密码,具体可以为用户的手机号码和WLAN上网密码
坐寸ο具体地,在终端准备接入网络时,首先选择关联到SSID,在网络附着后,向AC提供该终端的MAC地址以及UA信息等,AC首先对终端的UA信息进行校验,当检测到终端的UA信息是手机用户后,并当网络流量在预定时间内达到预定阀值后(如5分钟内流量达到Ik) ,AC向本地AAA发起MAC地址及UA的认证,本地AAA判断终端的MAC地址及UA是否具有与账户信息的绑定关系,若没有绑定关系,则表明终端为首次上网,需要进行业务开通流程,本地AAA向AC返回信息:保持原有认证流程,对用户不放行;如果有MAC地址及UA与账户信息的绑定关系,则本地AAA提取账户信息给AC,由AC根据该账户信息到中央AAA服务器进行认证。本实施例中,本地AAA在进行快速认证时,首先要校验终端的UA信息,用来只针对手机用户开启快速认证的功能。这样,当用户更换手机或者用户更换号码后,用户的UA、MAC地址或者账户都可能变化,若用户更换手机,本地AAA感知这种变化后(一个MAC只能有一个这种快捷认证的绑定,一个账户也只能有一个这样的快捷认证的绑定),会删除本地原来的快速认证信息,并通过用户确认进行新的快速认证信息的生成。若用户更换号码,则通过BOSS系统取消绑定关系,自动删除本地AAA上的快速认证信息。同样,在AC上,当检测到UA信息是手机用户的情况下才会向本地AAA发起快速认证的流程。其中,账户绑定的信息包括帐户、MAC地址、UA等信息。用户在本地AAA进行快速认证时,本地AAA同时对MAC地址和UA进行比较,如果有一个不同则直接进入到与中央AAA的认证流程。步骤S102,根据MAC地址及UA与账户信息的绑定信息,为终端与中央AAA进行Portal 认证。若终端的MAC地址及UA未绑定,则维持用户附着状态,终端可进行正常的与中央AAA的Portal认证。当Portal认证通过后,中央AAA告知AC放行网络,终端由AC控制成功接入网络。同时,AC将帐户、MAC地址和UA信息传递给本地AAA,本地AAA根据UA信息判断终端为手机用户后,通过短信平台与终端确认是否需要把账户信息与终端的MAC地址及UA与账户信息的绑定。如果终端确认进行MAC地址及UA与账户信息的绑定,则把终端帐户信息与终端的MAC地址及UA与账户信息的绑定,并把绑定关系存放在本地AAA上。
若终端的MAC地址及UA已绑定,则AC从本地AAA获取MAC地址及UA对应的账户信息,与中央AAA进行Portal认证。AC利用Portal认证流程向中央AAA发起认证,认证成功后,中央AAA告知AC放开网络,终端成功接入网络。在此认证过程中,没有认证界面,用户终端不会感知到认证过程,这样用户终端就不用重新推送Portal。具体地,如图3所示,上述步骤SlOl包括:步骤S1011,AC在终端附着网络后,获取终端的MAC地址和UA信息;步骤S1012,以MAC地址和UA信息向本地AAA发起MAC地址及UA认证;步骤S1013,接收本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户
信息的绑定信息。如图4所示,上述步骤S102包括:步骤S1021,判断终端的MAC地址及UA是否绑定,若是,则进入步骤S1024 ;否则,进入步骤S1022 ;步骤S1022,接收终端提供的MAC地址和UA对应的账户信息,与中央AAA进行Portal 认证;步骤S1023,当Portal认证通过后,AC控制终端接入网络,并将账户信息、MAC地址以及UA信息传递给本地AAA,由本地AAA通过短信平台向终端确认是否进行MAC地址及UA与账户信息的绑定操作。步骤S1024,从本地AAA获取MAC地址和UA对应的账户信息,并与中央AAA进行Portal 认证;步骤S1025,当Portal认证通过后,AC控制终端接入网络,并由本地AAA与中央AAA进行计费数据的同步操作。以下分别详细介绍用户未进行MAC地址及UA与账户信息的绑定以及用户已进行MAC地址及UA与账户信息的绑定时的业务流程。如图5所示,图5为用户未进行MAC地址及UA与账户信息的绑定时的业务流程,该业务流程对应用户业务开通流程,其中,终端通过AP与AC连接(图中未示出),终端与AP通过无线连接,AP与AC通过有线连接。
1、终端附着网络,具体包括:终端选择关联到SSID,获得IP地址,用户打开浏览器访问任意网址;2、AC获得终端的MAC地址及UA信息,当流量在一定时间内达到一定阀值后(如5分钟内流量达到Ik),AC向本地AAA发起MAC认证;3、本地AAA判断终端无MAC地址及UA与账户信息的绑定关系,认为终端为首次上网,则向AC返回保持原有认证流程,对用户不放行;4、AC判断用户未认证则重定向到中央AAA的中央Portal服务器,中央Portal服务器弹出认证页面到用户终端,终端可进行正常的用户名及密码输入;5、中央Portal服务器提交用户通过终端输入的用户名及密码,在总部认证模块上进行认证,认证完成后,告知AC放行网络,并弹出中央Portal服务器的认证成功页面。6、AC放行此用户上网后,会发送用户手机号、MAC地址、UA信息、上线时间点等给本地AAA ;7、本地AAA只对本地用户发送绑定提示短信,用户可以通过回复短信进行绑定:例如,同一账户首次绑定提醒:“尊敬的XXXXXXXXX(手机号码)客户,您当前正在使用WLAN业务,回复1:开通当前终端的快捷上网服务。”同一账户非首次绑定提醒:“尊敬的xxxxxxxxx(手机号码)客户,您当前正在使用WLAN业务,您的另一台终端曾经开通过快捷上网服务,回复1:开通当前终端的快捷上网服务,不回复则保留原终端的快捷上网功能。”本地AAA收到用户本机短信的确认回复,则保存手机号与MAC地址和UA的绑定关
系O此外,基于用户上网安全的考虑,还可以在本地AAA对终端的MAC绑定操作频率进行统计,若在短时间内某账户频繁的进行MAC绑定操作,则禁用该用户的快捷上网服务。如图6所示,图6为用户已进行MAC地址及UA与账户信息的绑定时的业务流程,该业务流程对应用户快速上网业务流程,其中,终端通过AP与AC连接(图中未示出),终端与AP通过无线连接,AP与AC通过有线连接。1、终端附着网络,具体包括:用户再次上网,获得IP地址,用户打开浏览器访问任意网址;2、AC获得终端的MAC地址及UA信息,当流量在一定时间内达到一定阀值后(如5分钟内流量达到Ik),AC向本地AAA发起MAC认证;3、本地AAA判断是否有MAC地址及UA与账户信息的绑定关系,如果没有绑定关系,则返回同首次上网流程,如果有MAC地址及UA与账户信息的绑定关系,则提取账户信息,并将该账信息反馈给AC,然后AC根据该账户信息到中央AAA服务器进行认证。4、AC收到账户信息,沿用原有认证流程,将后续认证计费报文发送到中央AAA,用户成功上网,中央AAA开始计费,AC检测到用户在预定时间T内流量小于一定阀值(如IOk)后,即向中央AAA发起计费结束报文,中央AAA形成完整的计费话单;5、本地AAA定期同步中央AAA的计费数据;6、本地AAA在同步中央AAA的计费数据后,根据用户上网情况,次日下发当天的上网提醒短信:例如,短信提醒内容为:“尊敬的客户,您最近一次于XXXX日期:XX时间在XX地方(热点名称)使用过WLAN业务,回复QX:取消快捷上网功能”;本地AAA根据QX短信取消MAC地址及UA与账户信息的绑定,恢复至缺省的Web认证方式,除非终端再次绑定;此外,为防止对用户多计费,本地BOSS对预定时间T内无流量话单可以进行减免。此外,用户也可以通过短信等方式,通过BOSS要求取消MAC地址及UA与账户信息的绑定,BOSS则通过与本地AAA的接口取消该用户的MAC地址及UA与账户信息的绑定的功能。本实施例保留现有的中央AAA的Portal认证流程,并增加了用于WLAN终端的MAC地址及UA认证的二级本地AAA,提出普遍支持的终端MAC地址作为认证的交互信息,同时通过短信进行身份信息校验,可以适配所有WLAN终端,兼容现有的Web认证方式,只需少量改造网络和认证系统即可实现,方便用户快速接入网络,大大降低了手机用户操作复杂度,有效提闻用户体验。如图7所示,本发明一实施例提出一种无线局域网的快速认证终端,包括:查询模块401及认证模块402,其中:查询模块401,用于在终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息;认证模块402,用于根据MAC地址及UA与账户信息的绑定信息,为终端与中央AAA进行Portal认证。本实施例终端为WLAN终端。上述本地AAA包括本地AAA的Radius和Portal服务器。中央AAA存放所有WLAN用户的认证相关数据(包括用户名及密码等);本地AAA存放本地WLAN用户的认证相关数据,本地用户的MAC地址及UA与账户信息的绑定关系存储在本地AAA上。本地AAA与短信平台(BOSS)具有接口,能够接受BOSS提供的账户信息的开通及变更,同时能够通过BOSS接口给终端发送短信。终端在附着网络后,首先通过AC到本地AAA进行MAC地址及UA的认证,具体由AC中的查询模块401向本地AAA查询MAC地址及UA与账户信息的绑定信息,该MAC地址及UA与账户信息的绑定信息包括终端的MAC地址及UA是否与账户信息绑定,其中账户信息包括用户名和密码,具体可以为用户的手机号码和WLAN密码等。查询模块401将查询到的MAC地址及UA与账户信息的绑定信息发送给认证模块402,由认证模块402根据MAC地址及UA与账户信息的绑定信息,与中央AAA进行Portal认证。具体地,在终端准备接入网络时,首先选择关联到SSID,在网络附着后,向AC提供该终端的MAC地址以及UA信息等,AC的查询模块401首先对终端的UA信息进行校验,当检测到终端的UA信息是手机用户后,并当网络流量在预定时间内达到预定阀值后(如5分钟内流量达到Ik),AC的查询模块401向本地AAA发起MAC地址及UA认证,本地AAA判断终端的MAC地址及UA是否具有与账户信息的绑定关系,若没有绑定关系,则表明终端为首次上网,需要进行业务开通流程,本地AAA向AC返回信息:保持原有认证流程,对用户不放行;如果有MAC地址及UA与账户信息的绑定关系,则本地提取账户信息给AC,由AC根据该账户信息到中央AAA服务器进行认证。本实施例中,本地AAA在进行快速认证时,首先要校验终端的UA信息,用来只针对手机用户开启快速认证的功能。这样,当用户更换手机或者用户更换号码后,用户的UA、MAC地址或者账户都可能变化,若用户更换手机,本地AAA感知这种变化后(一个MAC只能有一个这种快捷认证的绑定,一个账户也只能有一个这样的快捷认证的绑定),会删除本地原来的快速认证信息,并通过用户确认进行新的快速认证信息的生成。若用户更换号码,则通过BOSS系统取消绑定关系,自动删除本地AAA上的快速认证信息。同样,在AC上,当检测到UA信息是手机用户的情况下才会向本地AAA发起快速认证的流程。其中,账户绑定的信息包括账户、MAC、UA等信息。用户在本地AAA进行快速认证时,本地AAA同时对MAC地址和UA进行比较,如果有一个不同则直接进入到与中央AAA的认证流程。若终端的MAC地址及UA未绑定,则维持用户附着状态,终端可进行正常的与中央AAA的Portal认证。当Portal认证通过后,中央AAA告知AC放行网络,终端由AC控制成功接入网络。同时,AC将帐户、MAC地址及UA信息传递给本地AAA,本地AAA根据UA信息判断终端为手机用户后,通过短信平台与终端确认是否需要把账户信息与终端的MAC地址及UA绑定。如果终端确认进行MAC地址及UA与账户信息绑定,则把终端帐户信息与终端的MAC地址及UA绑定,并把绑定关系存放在本地AAA上。若终端的MAC地址及UA已绑定,AC通过终端的MAC地址和UA查询本地AAA获得MAC地址及UA对应的账户信息,由AC与中央AAA进行Portal认证。AC利用Portal认证流程向中央AAA发起认证,认证成功后,中央AAA告知AC放开网络。AC将后续认证计费报文发送到中央AAA,用户成功上网,中央AAA开始计费,AC检测到用户在预定时间T内流量小于一定阀值(如IOk)后,即向中央AAA发起计费结束报文,中央AAA形成完整的计费话单,本地AAA定期同步中央AAA的计费数据。本地AAA在同步中央AAA的计费数据后,根据用户上网情况,可以在次日通过BOSS向终端下发当天的上网提醒短信:例如,短信提醒内容为:“尊敬的客户,您最近一次于XXXX日期:XX时间在XX地方(热点名称)使用过WLAN业务,回复QX:取消快捷上网功能”;本地AAA根据QX短信取消MAC地址及UA与账户信息的绑定,取消快捷上网功能,恢复至缺省的Web认证方式,除非终端再次绑定。用户也可以通过短信等方式,通过BOSS要求取消MAC地址及UA与账户信息的绑定,BOSS则通过与本地AAA的接口取消该用户的MAC地址及UA与账户信息的绑定的功能。此外,为防止对用户多计费,本地BOSS对预定时间T内无流量话单可以进行减免。另外,基于用户上网安全的考虑,还可以在本地AAA对终端的MAC及UA绑定操作频率进行统计,若在短时间内某账户频繁的进行MAC及UA绑定操作,比如MAC及UA绑定操作频率超过预定阀值时,则通知AC禁用该用户的快捷上网服务。在具体实施过程中,如图8所示,查询模块401包括:获取单元4011、认证单元4012及绑定信息获取单元4013,其中:获取单元4011,用于在终端附着网络后,获取终端的MAC地址和UA信息;认证单元4012,用于以MAC地址和UA信息向本地AAA发起MAC地址及UA认证;
绑定信息获取单元4013,用于接收本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户信息的绑定信息。如图9所示,认证模块402包括:Portal认证单元4021及网络接入单元4022,其中:Portal认证单元4021,用于当终端的MAC地址及UA未绑定时,接收终端提供的MAC地址和UA对应的账户信息,与中央AAA进行Portal认证;网络接入单元4022,用于当Portal认证通过后,控制终端接入网络,并将终端的账户信息、MAC地址以及UA信息传递给本地AAA,由本地AAA通过短信平台与终端确认是否进行MAC地址及UA与账户信息的绑定操作。进一步的,Portal认证单元4021,还用于当终端的MAC地址及UA已绑定时,从本地AAA获取终端的MAC地址和UA对应的账户信息并与中央AAA进行Portal认证;网络接入单元4022,还用于当Portal认证通过后,控制终端接入网络,并由本地AAA与中央AAA进行计费数据的同步操作。如图10所示,本发明一实施例提出一种无线局域网的快速认证系统,包括:AC704、本地AAA702以及中央AAA703,WLAN终端(以下简称终端)701通过AC704与本地AAA702连接,本地AAA702与短信平台(BOSS) 705连接,具体地,终端701通过AP与AC704连接(图中未示出),终端701与AP通过无线连接,AP与AC704通过有线连接,其中:AC704用于终端701附着网络后,向本地AAA702查询该终端701的MAC地址及UA与账户信息的绑定信息;根据MAC地址及UA与账户信息的绑定信息,为终端与中央AAA703进行Portal认证;本地AAA702用于在终2而701附着网络后,进灯MAC地址及UA认证,并将认证后的MAC地址及UA与账户信息的绑定信息反馈给AC704 ;中央AAA703用于当终端701附着网络后,通过AC704对终端701进行接入认证。具体的,在WLAN网络中,通常采用中央AAA703集中管理的方式,其中,中央AAA703包括Radius和Portal功能。B0SS705运维支撑系统,提供用户数据的开通及变更,同时提供短信功能支持。本实施例增加了 二级本地AAA702,用于进行终端701的MAC地址及UA认证。该本地AAA702包括本地AAA702的Radius和Portal服务器。中央AAA703存放所有WLAN用户的认证相关数据(包括用户名及密码等);本地AAA702存放本地WLAN用户的认证相关数据,本地用户的MAC地址及UA与账户信息的绑定关系存储在本地AAA702上。该本地AAA702与B0SS7505具有接口,能够接受B0SS705提供的账户信息的开通及变更,同时能够通过B0SS705接口给终端701发送短信。终端701在附着网络后,首先通过AC704到本地AAA702进行MAC地址及UA认证,AC704向本地AAA702查询MAC地址及UA与账户信息的绑定信息,该MAC地址及UA与账户信息的绑定信息包括终端701的MAC地址及UA是否与账户信息绑定,其中账户信息包括用户名和密码,具体可以为用户的手机号码和WLAN密码等。在终端701准备接入网络时,首先选择关联到SSID,在网络附着后,向AC704提供该终端701的MAC地址以及UA信息等,AC704首先对终端701的UA信息进行校验,当检测到终端701的UA信息是手机用户后,并当网络流量在预定时间内达到预定阀值后(如5分钟内流量达到lk),AC704向本地AAA702发起MAC地址及UA认证,本地AAA702判断终端701的MAC地址及UA是否具有与账户信息的绑定关系,若没有绑定关系,则表明终端701为首次上网,需要进行业务开通流程,本地AAA702向AC704返回信息:保持原有认证流程,对用户不放行;如果有MAC地址及UA与账户信息的绑定关系,则本地AAA702提取账户信息给AC704,然后由AC704根据该账户信息到中央AAA703进行认证。本实施例中,本地AAA702在进行快速认证时,首先要校验终端701的UA信息,用来只针对手机用户开启快速认证的功能。这样,当用户更换手机或者用户更换号码后,用户的UA、MAC地址或者账户都可能变化,若用户更换手机,本地AAA702感知这种变化后(一个MAC只能有一个这种快捷认证的绑定,一个账户也只能有一个这样的快捷认证的绑定),会删除本地原来的快速认证信息,并通过用户确认进行新的快速认证信息的生成。若用户更换号码,则通过BOSS系统取消绑定关系,自动删除本地AAA上的快速认证信息。同样,在AC704上,当检测到UA信息是手机用户的情况下才会向本地AAA702发起快速认证的流程。其中,账户绑定的信息包括帐户、MAC地址、UA等信息。用户在本地AAA702进行快速认证时,本地AAA702同时对MAC地址和UA进行比较,如果有一个不同则直接进入到与中央AAA703的认证流程。具体的,若终端701的MAC地址及UA未绑定,则维持用户附着状态,终端701可进行正常的与中央AAA703的Portal认证。当Portal认证通过后,中央AAA703告知AC704放行网络,终端701由AC704控制成功接入网络。同时,AC704将账户、MAC地址及UA信息传递给本地AAA702,本地AAA702根据UA信息判断终端701为手机用户后,通过短信平台与终端701确认是否需要把账户信息与终端701的MAC地址及UA与账户信息的绑定。如果终端701确认进行MAC地址及UA与账户信息的绑定,则把终端701帐户信息与终端701的MAC地址及UA与账户信息的绑定,并把绑定关系存放在本地AAA702上。若终端701的MAC地址及UA已绑定,AC704通过终端701的MAC地址和UA查询本地AAA702获得MAC地址及UA对应的账户信息,由AC704与中央AAA703进行Portal认证。AC704利用Portal认证流程向中央AAA703发起认证,认证成功后,中央AAA703告知AC704放开网络。AC704将后续认证计费报文发送到中央AAA703,用户成功上网,中央AAA703开始计费,AC704检测到用户在预定时间T内流量小于一定阀值(如IOk)后,即向中央AAA703发起计费结束报文,中央AAA703形成完整的计费话单,本地AAA702定期同步中央AAA703的计费数据。本地AAA702在同步中央AAA703的计费数据后,根据用户上网情况,可以在次日通过B0SS705向终端701下发当天的上网提醒短信:例如,短信提醒内容为:“尊敬的客户,您最近一次于XXXX日期:XX时间在XX地方(热点名称)使用过WLAN业务,回复QX:取消快捷上网功能”;本地AAA702根据QX短信取消MAC地址及UA与账户信息的绑定,取消快捷上网功能,恢复至缺省的Web认证方式,除非终端701再次绑定。
用户也可以通过短信等方式,通过B0SS705要求取消MAC地址及UA与账户信息的绑定,B0SS705则通过与本地AAA702的接口取消该用户的MAC地址及UA与账户信息的绑定的功能。此外,为防止对用户多计费,本地B0SS705对预定时间T内无流量话单可以进行减免。另外,基于用户上网安全的考虑,还可以在本地AAA702对终端701的MAC绑定操作频率进行统计,若在短时间内某账户频繁的进行MAC绑定操作,比如MAC绑定操作频率超过预定阀值时,则通知AC704禁用该用户的快捷上网服务。本实施例在不影响现网组网设备的情况下,增加了二级本地AAA认证服务器,并保持了原来一级认证服务器(中央AAA)的认证流程不变。通过两级AAA有效的提高了现网技术实施的平滑过渡的可能性,同时实现了终端MAC地址及UA与账户信息的绑定、重新绑定及绑定后的业务。此外,对于MAC地址及UA的认证信息和账户信息的绑定需经过用户确认,且用户能够自行关闭该业务,从而增加了账户的安全性。本发明只需少量改造网络和认证系统即可实现,在现网可方便的推行,适配所有WLAN终端,兼容现有的Web认证方式,方便用户快速接入网络,大大降低了手机等终端用户操作复杂度,有效提高用户体验。以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种无线局域网的快速认证方法,其特征在于,包括: 无线接入控制器AC在终端附着网络后,向本地认证服务器AAA查询所述终端的介质访问控制MAC地址及用户代理UA与账户信息的绑定信息; 根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证。
2.根据权利要求1所述的方法,其特征在于,所述AC在终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息的步骤包括: 所述AC在终端附着网络后,获取所述终端的MAC地址和UA信息; 以所述MAC地址和UA信息向所述本地AAA发起MAC地址及UA认证; 接收所述本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户信息的绑定信息。
3.根据权利要求1所述的方法,其特征在于,所述根据MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证的步骤包括: 当所述终端的MAC地址及 UA未绑定时,所述AC接收所述终端提供的所述MAC地址和UA对应的账户信息,与所述中央AAA进行Portal认证; 当Portal认证通过后,所述AC控制所述终端接入网络,并将所述终端的账户信息、MAC地址以及UA信息传递给所述本地AAA,由所述本地AAA通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作,经所述终端确认后,由所述本地AAA保存所述MAC地址及UA与账户信息的绑定关系。
4.根据权利要求1、2或3所述的方法,其特征在于,所述根据MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证的步骤包括: 当所述终端的MAC地址及UA已绑定时,从本地AAA获取所述MAC地址和UA对应的账户信息,并与所述中央AAA进行Portal认证; 当Portal认证通过后,所述AC控制所述终端接入网络,并由所述本地AAA与所述中央AAA进行计费数据的同步操作。
5.根据权利要求4所述的方法,其特征在于,所述AC向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息的步骤之前还包括: 对所述终端的UA信息进行校验,当校验通过后,所述AC向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息。
6.一种无线局域网的快速认证AC,其特征在于,包括: 查询模块,用于在所述终端附着网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息; 认证模块,用于根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证。
7.根据权利要求6所述的AC,其特征在于,所述查询模块包括: 获取单元,用于在所述终端附着网络后,获取所述终端的MAC地址和UA信息; 认证单元,用于以所述MAC地址和UA信息向所述本地AAA发起MAC地址及UA认证;绑定信息获取单元,用于接收所述本地AAA进行MAC地址及UA认证后反馈的MAC地址及UA与账户信息的绑定信息。
8.根据权利要求6或7所述的AC,其特征在于,所述认证模块包括: Portal认证单元,用于当所述终端的MAC地址及UA未绑定时,接收所述终端提供的所述MAC地址和UA对应的账户信息,与所述中央AAA进行Portal认证; 网络接入单元,用于当Portal认证通过后,控制所述终端接入网络,并将所述终端的账户信息、MAC地址以及UA信息传递给所述本地AAA,由所述本地AAA通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作,经所述终端确认后,由所述本地AAA保存MAC地址及UA与账户信息的绑定关系。
9.根据权利要求8所述的AC,其特征在于, 所述Portal认证单元,还用于当所述终端的MAC地址及UA已绑定时,从本地AAA获取所述MAC地址和UA对应的账户信息,并与所述中央AAA进行Portal认证; 所述网络接入单元,还用于当Portal认证通过后,控制所述终端接入网络,并由所述本地AAA与所述中央AAA进行计费数据的同步操作。
10.根据权利要求9所述的AC,其特征在于,所述查询模块还用于在所述终端附着网络后,对所述终端的UA信息进行校验,当校验通过后,向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息。
11.一种无线局域网的快速认证系统,其特征在于,包括:AC、本地AAA以及中央AAA,其中: 所述AC,用于当终端附着 网络后,向本地AAA查询MAC地址及UA与账户信息的绑定信息;根据所述MAC地址及UA与账户信息的绑定信息,为所述终端与中央AAA进行Portal认证; 所述本地AAA,用于在所述终端附着网络后,进行MAC地址及UA认证,并将认证后的MAC地址及UA与账户信息的绑定信息反馈给所述AC ; 所述中央AAA,用于当所述终端附着网络后,通过所述AC对所述终端进行接入认证。
12.根据权利要求11所述的系统,其特征在于, 所述AC,还用于当Portal认证通过后,控制所述终端接入网络; 所述中央AAA,还用于当Portal认证通过后,接收所述AC发送的计费报文,对所述终端入网进行计费,并与所述本地AAA同步计费数据; 所述本地AAA,还用于当所述终端的MAC地址及UA未绑定,且Portal认证通过后,接收并保存所述AC发送的所述终端的账户信息、MAC地址以及UA信息,并通过短信平台与所述终端确认是否进行MAC地址及UA与账户信息的绑定操作;经所述终端确认后,保存所述MAC地址及UA与账户信息的绑定关系;以及当Portal认证通过后,与所述中央AAA同步计费数据。
13.根据权利要求12所述的系统,其特征在于, 所述AC,还用于在所述终端附着网络后,对所述终端的UA信息进行校验,当校验通过后,向本地AAA查询所述终端的MAC地址及UA与账户信息的绑定信息; 所述本地AAA,还用于统计所述终端的MAC绑定操作频率,当所述MAC绑定操作频率超过预定阀值时,通知所述AC禁止所述终端接入网络。
14.根据权利要求12所述的系统,其特征在于, 所述本地AAA,还用于在同步计费数据后,根据所述终端上网情况,通过所述短信平台向所述终端下发当天的上网提醒短信;接收所述终端反馈的取消快捷上网功能信息;并根据所述取消快捷上网功能信息 取消所述终端的MAC地址及UA与账户信息的绑定。
全文摘要
本发明涉及一种无线局域网的快速认证方法、AC及系统,其中方法包括AC在终端附着网络后,向本地AAA查询终端的MAC地址及UA与账户信息的绑定信息;根据MAC地址及UA与账户信息的绑定信息,为终端与中央AAA进行Portal认证。本发明保留现有的中央AAA的Portal认证流程,并增加了用于WLAN终端的MAC地址及UA认证的二级本地AAA,提出普遍支持的终端MAC地址及UA作为认证的交互信息,同时通过短信进行身份信息校验,可以适配所有WLAN终端,兼容现有的Web认证方式,只需少量改造网络和认证系统即可实现,方便用户快速接入网络,大大降低了手机等终端用户操作复杂度,可有效提升用户体验。
文档编号H04W12/06GK103079201SQ20111032983
公开日2013年5月1日 申请日期2011年10月26日 优先权日2011年10月26日
发明者郭红涛, 张凯, 张晶敏 申请人:中兴通讯股份有限公司