一种无线局域网接入认证方法及终端的制作方法
【技术领域】
[0001] 本发明涉及通信领域,特别是涉及一种无线局域网接入认证方法及终端。
【背景技术】
[0002] 网络运营商在运营无线局域网WLAN业务时,为了保证向付费客户实现其服务承 诺,需要针对客户使用WLAN业务的访问进行认证。常用的认证方法有基于门户PORTAL界 面的认证、基于可扩展的认证协议EAP(ExtensibleAuthenticationProtocol)协议框架 的基于2G用户识别S頂卡用户接入无线局域网络的EAP-S頂认证、基于证书+用户名密码 实现用户WLAN接入鉴权EAP-PEAP认证、可扩展协议+哈希算法EAP-MD5认证等,还有利用 WLAN网卡的介质访问控制MAC地址绑定进行的MAC认证等。
[0003] 门户PORTAL认证广泛应用在电脑终端上,用户习惯手工输入密码,并且在相对固 定的位置使用WLAN业务。但是手机终端由于存在输入密码不便、浏览器对多页面支持特性 不一致、手机上有相当大数量的WLAN应用不基于WEB浏览器等特点,而且手机用户通常在 移动中使用WLAN业务,一旦丢失连接需要重新输入密码进行认证,提高了业务使用门槛, 降低了用户体验,PORTAL认证不能很好的应用在手机终端上。
[0004]其中,PORTAL认证流程分为如下几个阶段:
[0005] 1、连接建立阶段
[0006] 终端接入服务集标识SSID,与接入控制AC服务器建立物理连接。
[0007]2、动态主机配置协议DHCP阶段
[0008]AC服务器检测到终端没有IP信息,为终端分配身份标识ID的阶段。
[0009] 3、强制PORTAL阶段
[0010] 终端在建立连接之后,尝试访问公网地址,AC服务器检测到用户没有网络访问权 限会重定向用户请求到固定的PORTAL页面。
[0011] 4、认证流程阶段
[0012] 用户在PORTAL页面输入用户名、密码之后,提交请求,认证请求到达PORTAL服务 器,PORTAL服务器触发PORTAL认证流程。认证成功之后,PORTAL服务器返回成功登陆页面 到终端。
[0013] 5、计费开始阶段
[0014] 在远程用户拨入认证系统RADIUS返回计费成功报文到AC服务器之后,AC服务器 发起开始计费请求到RADIUS,请求开始计费。
[0015] 6、实时计费阶段
[0016] 对于实时计费用户,RADIUS会将计费消息转换为验证、授权、记账协议DIAMETER 消息,转发给实时计费引擎,进行实时的扣费。
[0017] 7、停止计费
[0018] 由终端或者AC服务器发起的计费请求报文到达RADIUS之后,RADIUS停止计费。
[0019]EAP类认证建立在网络层数据交互上实现,并且可以免输密码或者只输一次密码, 以后访问时自动认证。但是EAP类认证需要终端操作系统的支持,市面很大一部分手机客 户端不支持EAP类认证。
[0020] 介质访问控制MAC认证是利用手机客户端MAC地址的唯一性,针对PORTAL认证进 行的一种免输密码优化。其原理是在终端用户通过PORTAL认证之后,由服务端记录终端的 MAC地址和对应的认证用户的认证信息(包括用户名、密码)。下一次登陆时服务端根据先 前记录的MAC对应关系,为客户自动完成认证。此方案的优点是利用服务器端自动发起认 证来降低客户认证的难度,提高了用户体验。
[0021] 其中,如图1所示,MAC认证流程分为如下几个阶段:
[0022] 1、终端与AC服务器关联,并且获取IP地址。
[0023] 2、终端发起超本转移协议HTTP请求,该请求报文头中携带有浏览器的类型。
[0024] 3、AC服务器将终端的HTTP请求报文重定向到PORTAL服务器,并且在报文头中增 加终端的MAC地址。
[0025] 4、P0RTAL服务器获取报文头中的信息,判断终端类型,如果为手机,再对MAC地址 进行校验,且校验成功,则继续下一步流程。
[0026] 5、P0RTAL/MAC服务器查询MAC地址对应的手机号码与用户密码,通过PORTAL协 议发给AC服务器。
[0027] 6~8、AC服务器将用户名密码信息发给RADIUS服务器进行校验,完成校验之后, 由AC服务器将结果回传给PORTAL服务器,此流程与PORTAL流程一致。
[0028] 9、如果验证成功,则P0RTAL/MAC服务器向用户下发提醒短信。
[0029] 10、业务运营支撑系统BOSS收到用户的拒绝上网短信。
[0030] 11、BOSS向PORTAL服务器下发清除MAC绑定信息请求。
[0031] 12、BOSS向验证、授权、记账AAA服务器下发下线请求。
[0032] 13、AAA向AC服务器下发客户DM下线请求。
[0033] 14、AC服务器踢用户下线。
[0034] 但是MAC认证有几个无法解决的问题
[0035] MAC地址仿冒问题:
[0036] MAC地址理论上是每个终端唯一分配,但是在实际使用中客户手工修改MAC地址 并不复杂,如果仅仅依靠MAC地址作为唯一识别用户的标识存在很大的风险。
[0037] 计费问题
[0038] 由于MAC认证是在PORTAL认证的基础上进行优化的方案,也就是MAC认证与 PORTAL认证所使用的认证协议是完全一致的,因此RADIUS侧无法区别当前用户是通过MAC 方式认证还是通过PORTAL输入密码方式认证,不能提供差异化资费。
【发明内容】
[0039] 本发明的目的是提供一种无线局域网接入认证方法及终端,可以解决当前移动终 端接入无线局域网如果仅采用MAC地址认证,很容易造成被他人盗用的问题。
[0040] 为了解决上述技术问题,本发明的实施例提供一种无线局域网接入认证方法,应 用于已开通基于介质访问控制MAC地址认证的终端,其中,所述方法包括:
[0041] 发送上网请求消息至认证服务器系统,使得所述认证服务器系统根据所述上网请 求消息中携带的终端MAC地址信息对所述终端进行基于MAC地址的无线局域网接入认证;
[0042] 在所述无线局域网接入认证通过后,发送认证请求消息至所述认证服务器系统, 使得所述认证服务器系统根据所述认证请求消息中携带的预先申请的用于标识终端的安 全证书,对所述终端进行终端用户身份认证;
[0043] 在终端用户身份认证通过后,接入无线局域网,以及在终端用户身份认证不通过 后,断开与无线局域网的连接。
[0044] 进一步地,所述发送上网请求消息至认证服务器系统,使得所述认证服务器系统 根据所述上网请求消息中携带的终端MAC地址信息对所述终端进行基于MAC地址的无线局 域网接入认证的步骤包括:
[0045] 发送上网请求消息至门户服务器,使得门户服务器根据所述上网请求消息中携带 的终端MAC地址信息,发送终端无线局域网用户信息至验证、授权、记账AAA服务器,使得所 述AAA服务器根据预存的终端无线局域网用户信息对所述接收到的终端无线局域网用户 信息进行鉴权认证,获取鉴权认证结果,并将所述鉴权认证结果返回接入控制AC服务器; 其中,所述终端无线局域网用户信息包括:终端无线局域网账号信息和/或终端无线局域 网密码信息;
[0046] 在所述AC服务器接收到鉴权认证成功的结果后,接入无线局域网。
[0047] 进一步地,所述在所述AC服务器接收到鉴权认证成功的结果后,接入无线局域网 之后的步骤还包括:
[0048] 发送计费请求消息至所述AAA服务器,使得所述AAA服务器根据所述计费请求消 息中携带的包含有终端类型的计费区分信息,对所述终端进行区分计费。
[0049] 进一步地,所述在所述无线局域网接入认证通过后,发送认证请求消息至所述认 证服务器系统,使得所述认证服务器系统根据所述认证请求消息中携带的预先申请的用于 标识终端的安全证书,对所述终端进行终端用户身份认证的步骤包括:
[0050] 在所述无线局域网接入认证通过后,发送携带有预先申请的用于标识终端的安全 证书以及终端无线局域网账号信息的认证请求消息至门户服务器,使得门户服务器根据所 述终端无线局域网账号信息从介质访问控制服务器查询到用户状态为等待终端用户身份 认证状态后,发送所述安全证书至用户身份提供IDP服务器,使得所述IDP服务器根据预先 存储的终端安全证书,校验所述接收到的安全证书的合法性,获取校验结果,并发送所述校 验结果至门户服务器,使得门户服务器根据所述校验结果对已接入无线局域网的终端进行 无线局域网连接控制;其中,所述用户状态为介质访问控制服务器在接收到由接入控制服 务器转发的鉴权认证成功的结果后,修改为等待终端用户身份认证状态。
[0051] 进一步地,所述安全证书能够通过如下步骤申请:
[0052] 发送加密的包含国际移动用户识别码、终端MAC地址以及一随机生成的唯一序列 号SID的信息至短信网关,使得所述短信网关转发所述信息至用户身份提供IDP服务器, 使得所述IDP服务器将从短信网关获取的手机号码以及将加密的所述信息进行解密后获 取的国际移动用户识别码发送至门户服务器进行校验,使得门户服务器根据预存的已开通 MAC认证的终端手机号码以及国际移动用户识别码的对应关系表,对接收到的所述手机号 码以及国际移动用户识别码进行搜寻比对,并获取搜寻比对结果,并将所述搜寻比对结果 发送至所述IDP服