求消息至认证服务器系统,使得所述认证服务器系统根 据所述上网请求消息中携带的终端MAC地址信息对所述终端进行基于MAC地址的无线局域 网接入认证;
[0107] 该步骤41的实现具体包括如图5所示的步骤411,发送上网请求消息至门户服 务器,使得门户服务器根据所述上网请求消息中携带的终端MAC地址信息,发送终端无线 局域网用户信息至验证、授权、记账AAA服务器,使得所述AAA服务器根据预存的终端无线 局域网用户信息对所述接收到的终端无线局域网用户信息进行鉴权认证,获取鉴权认证结 果,并将所述鉴权认证结果返回接入控制AC服务器;其中,所述终端无线局域网用户信息 包括:终端无线局域网账号信息和/或终端无线局域网密码信息;
[0108] 其中,上述步骤411,对应于图6中的步骤61至步骤70,具体为:
[0109] 步骤61,终端连接无线访问接入点AP;
[0110] 步骤62,接入控制服务器AC服务器为终端分配地址IP;
[0111] 步骤63,终端发送上网请求消息至AC服务器,该上网请求中包含AC服务器信息、 用户MAC地址、用户地址IP等信息;
[0112] 步骤64,当该上网请求达到了流量阈值时,AC服务器便触发查询MAC地址绑定信 息(MAC地址与终端无线局域网账号和密码的绑定信息),即AC服务器发送MAC地址绑定信 息查询请求信息至介质访问控制服务器。
[0113] 其中,基于MAC地址的接入认证具有MAC认证触发机制,AC服务器应默认对所有 用户流量放行,但当某用户单位时间内累计流量达到一定阀值(比如10K)后,AC服务器开 始触发MAC认证。上述机制的优点是,避免WLAN关联就立即触发MAC认证,从而减少终端 频繁移动、关联WLAN带来的RADIUS认证负荷,同时避免用户需要不断重新关联WLAN来发 起MAC认证。终端应用可能因等待MAC认证完成而影响业务运行和体验,因此试点中应对 MAC认证时延进行验证和优化。
[0114] 在流量达到AC服务器设置的阀值之后,AC服务器向P0RTAL/MAC服务器发起MAC 地址绑定查询,查询请求以及应答如下:
[0115] 1.MAC绑定查询接口定义
[0116] MAC绑定查询接口属于PORTAL协议中的一个接口。其中,PORTAL协议中的协议版 本号字段Ver= 0x01,报文类型字段Type= 0x30,报文序列号字段SerialNo=AC服务器 随机生成值,终端用户互联网地址UserIP=MAC对应的用户地址IP,可变长字段Attrnum =2。属性包括下表中内容:
[0117;
[0118]AAA绑定中心服务器受到该报文请求后查询该会话ID(即终端MAC地址)是否已 经绑定,将结果通过下面的(Type= 0x31)MAC查询应答报文进行回复。
[0119] 2.MAC绑定查询应答接口
[0120] 其中Ver= 0x01,Type= 0x31,SerialNo= 0x30 报文发起的SerialNo,UserIP =该MAC对应的用户IP,AttrNum= 0。
[0121] 错误编码ErrCode等于0表示该MAC已绑定。
[0122] 错误编码ErrCode等于1表示该MAC未绑定。
[0123]AAA绑定中心服务器收到0x30请求报文后,查询该MAC地址对应的绑定状态,若已 经绑定则返回应答报文,Errcode等于0x00,表示已经绑定,同时应通知PORTAL服务器发 起自动PORTAL认证过程;若未绑定,则返回MAC查询应答报文,ErrCode等于0x01,表示未 绑定。
[0124] 步骤65,介质访问控制服务器在接收到由AC服务器发送的MAC地址绑定信息查询 请求消息后,处理该请求,即根据该请求消息中携带的MAC地址信息,查询MAC地址是否绑 定,或者终端是否开通了基于MAC地址的认证(介质访问控制服务器,在终端开通基于MAC 地址的认证后,预存有终端无线局域网账号和密码);
[0125] 步骤66,如果介质访问控制服务器查询到终端已开通了基于MAC地址的认证,则 无论MAC地址是否已绑定,均返回已绑定的结果至AC服务器,这样做的目的主要是为了兼 容用户首次开通的情况,在返回已绑定的结果后,进行如下步骤:
[0126] 步骤67,修改用户的状态为等待MAC认证状态;之后
[0127] 步骤68,门户服务器在接收到AC服务器转发的终端上网请求消息后,根据上网请 求消息中携带的终端MAC地址,查询与该MAC地址绑定的终端无线局域网用户信息(包括 终端无线局域网账号信息和/或终端无线局域网密码信息),并在查询到与该MAC地址绑 定的终端无线局域网用户信息后,发送携带有该终端无线局域网用户信息的认证报文至AC 服务器;
[0128] 步骤69,AC服务器转发此报文至AAA服务器;
[0129] 步骤70,AAA服务器在接收到此报文后,获取终端无线局域网用户信息,并根据预 存的终端无线局域网用户信息对所述接收到的终端无线局域网用户信息进行鉴权认证,获 取鉴权认证结果,并将所述鉴权认证结果返回AC服务器。
[0130] 该步骤41的实现具体还包括如图5所示的步骤412,在所述AC服务器接收到鉴权 认证成功的结果后,接入无线局域网。此时结合图6,步骤71,AC服务器会转发此认证成功 结果至介质访问控制服务器,使得,在步骤72中该介质访问控制服务器修改用户状态为等 待终端(手机)认证。
[0131] 综上,步骤41 (对应于图6步骤61至步骤70),详细描述了无线局域网接入认证 步骤中首先采用基于MAC地址的认证方案,该认证方案,利用服务器端自动发起认证来降 低客户认证的难度,简化了接入操作,提高了接入成功率,缩短了用户接入无线局域网的时 间,提升了客户的体验感知。
[0132] 但是,即使使用基于MAC地址的认证时终端接入无线局域网具有上述优点,但是, 由于MAC认证是在PORTAL认证的基础上进行优化的方案,也就是MAC认证与PORTAL认证 所使用的认证协议是完全一致的,因此,RADIUS侧无法区别当前用户是通过MAC方式认证, 还是通过PORTAL输入密码方式认证,不能提供差异化资费。基于上述问题,在步骤312中的 在所述AC服务器接收到鉴权认证成功的结果后,接入无线局域网之后,还包括如下步骤:
[0133] 发送计费请求消息至所述AAA服务器,使得所述AAA服务器根据所述计费请求消 息中携带的包含有终端类型的计费区分信息,对所述终端进行区分计费。
[0134] 对应于图6中的步骤,具体为:
[0135] 步骤73,终端经由AC服务器转发计费请求消息Accounting-Request至AAA服 务器,该计费请求消息中携带有包含有终端类型的计费区分信息,比如在该计费请求消息 Accounting-Request的NasPortType字段填写特殊取值(本例使用30,表示终端类型为手 机),以区分电脑终端和手机终端使用无线局域网时,以采用不同的计费策略,为鼓励客户 通过手机使用WLAN,发挥WLAN的网络分流效应,针对手机用户使用WLAN的客户,采用较为 优惠的资费;
[0136] 步骤74,AAA根据接收到的计费请求,返回计费响应至AC服务器,对已经快速接入 WLAN的终端开始进行计费。
[0137] 当然,在终端发送认证请求至服务器系统的时,同时通过如下步骤去申请用于标 识终端的安全证书,该安全证书的申请流程如图7所示,包括如下步骤:
[0138] 步骤711,发送加密的包含国际移动用户识别码、终端MAC地址以及一随机生成的 唯一序列号SID的信息至短信网关,使得所述短信网关转发所述信息至用户身份提供IDP 服务器,使得所述IDP服务器将从短信网关获取的手机号码以及将加密的所述信息进行解 密后获取的国际移动用户识别码发送至门户服务器进行校验,使得门户服务器根据预存的 已开通MAC认证的终端手机号码以及国际移动用户识别码的对应关系表,对接收到的所述 手机号码以及国际移动用户识别码进行搜寻比对,并获取搜寻比对结果,并将所述搜寻比 对结果发送至所述IDP服务器,使得所述IDP服务器在所述搜寻比对结果指示所述国际移 动用户识别码与所述手机号码对应关系合法后,生成安全证书;其中,所述安全证书携带有 MAC地址、国际移动用户识别码以及手机号码的绑定信息;
[0139] 上述步骤711,对应于图6中的步骤75至步骤81,具体为:
[0140] 步骤75,终端中含有S頂卡,首先终端根据终端MAC地址以及已开通基于MAC地址 认证的终端的国际移动用户识别码MSI生成唯一序列号SID,并准备IDP证书中心的非对 称加密算法的公开密钥PKI;
[0141] 步骤76,终端采用IDP证书中心的非对称加密算法的公开密钥PKI对上述SID以 及终端MAC地址、頂SI以短信方式发送至短信网关(可以为短信网关I0D);
[0142] 步骤77,短信网关转发该加密的信息至证书中心IDP,证书中心IDP对上述加密的 信息进行解密,获取所述頂SI、终端MAC地址以及SID的绑定对应关系,并从短信网关获取 终端手机号码;
[0143] 步骤78,证书中心IDP将手机号码以及解密后获取的頂SI发送至门户服务器进行 校验;
[0144] 步骤79,因为终端开通基于MAC地址认证后,门户服务器会保存有终端手机号码 以及MSI的对应关系表,门户服务器接收到证书中心IDP发送的手机号码和頂SI后,会通 过此表查询是否存在此接收到的手机号码和IMSI的对应关系,并查询此对应关系的合法 性,即手机号码