一種無線局域網(wǎng)接入認證方法及終端的制作方法
【技術領域】
[0001] 本發(fā)明涉及通信領域�,特別是涉及一種無線局域網(wǎng)接入認證方法及終端。
【背景技術】
[0002] 網(wǎng)絡運營商在運營無線局域網(wǎng)WLAN業(yè)務時����,為了保證向付費客戶實現(xiàn)其服務承 諾,需要針對客戶使用WLAN業(yè)務的訪問進行認證��。常用的認證方法有基于門戶PORTAL界 面的認證��、基于可擴展的認證協(xié)議EAP(ExtensibleAuthenticationProtocol)協(xié)議框架 的基于2G用戶識別S頂卡用戶接入無線局域網(wǎng)絡的EAP-S頂認證���、基于證書+用戶名密碼 實現(xiàn)用戶WLAN接入鑒權EAP-PEAP認證����、可擴展協(xié)議+哈希算法EAP-MD5認證等�����,還有利用 WLAN網(wǎng)卡的介質(zhì)訪問控制MAC地址綁定進行的MAC認證等。
[0003] 門戶PORTAL認證廣泛應用在電腦終端上�����,用戶習慣手工輸入密碼���,并且在相對固 定的位置使用WLAN業(yè)務�。但是手機終端由于存在輸入密碼不便�、瀏覽器對多頁面支持特性 不一致、手機上有相當大數(shù)量的WLAN應用不基于WEB瀏覽器等特點�,而且手機用戶通常在 移動中使用WLAN業(yè)務,一旦丟失連接需要重新輸入密碼進行認證����,提高了業(yè)務使用門檻, 降低了用戶體驗��,PORTAL認證不能很好的應用在手機終端上��。
[0004]其中����,PORTAL認證流程分為如下幾個階段:
[0005] 1���、連接建立階段
[0006] 終端接入服務集標識SSID����,與接入控制AC服務器建立物理連接。
[0007]2�����、動態(tài)主機配置協(xié)議DHCP階段
[0008]AC服務器檢測到終端沒有IP信息�����,為終端分配身份標識ID的階段���。
[0009] 3�、強制PORTAL階段
[0010] 終端在建立連接之后�����,嘗試訪問公網(wǎng)地址�����,AC服務器檢測到用戶沒有網(wǎng)絡訪問權 限會重定向用戶請求到固定的PORTAL頁面。
[0011] 4���、認證流程階段
[0012] 用戶在PORTAL頁面輸入用戶名�����、密碼之后��,提交請求��,認證請求到達PORTAL服務 器���,PORTAL服務器觸發(fā)PORTAL認證流程。認證成功之后����,PORTAL服務器返回成功登陸頁面 到終端。
[0013] 5��、計費開始階段
[0014] 在遠程用戶撥入認證系統(tǒng)RADIUS返回計費成功報文到AC服務器之后���,AC服務器 發(fā)起開始計費請求到RADIUS,請求開始計費����。
[0015] 6�����、實時計費階段
[0016] 對于實時計費用戶��,RADIUS會將計費消息轉換為驗證�、授權�、記賬協(xié)議DIAMETER 消息,轉發(fā)給實時計費引擎��,進行實時的扣費�����。
[0017] 7��、停止計費
[0018] 由終端或者AC服務器發(fā)起的計費請求報文到達RADIUS之后���,RADIUS停止計費��。
[0019]EAP類認證建立在網(wǎng)絡層數(shù)據(jù)交互上實現(xiàn)�,并且可以免輸密碼或者只輸一次密碼���, 以后訪問時自動認證�����。但是EAP類認證需要終端操作系統(tǒng)的支持����,市面很大一部分手機客 戶端不支持EAP類認證。
[0020] 介質(zhì)訪問控制MAC認證是利用手機客戶端MAC地址的唯一性����,針對PORTAL認證進 行的一種免輸密碼優(yōu)化。其原理是在終端用戶通過PORTAL認證之后���,由服務端記錄終端的 MAC地址和對應的認證用戶的認證信息(包括用戶名���、密碼)。下一次登陸時服務端根據(jù)先 前記錄的MAC對應關系��,為客戶自動完成認證�。此方案的優(yōu)點是利用服務器端自動發(fā)起認 證來降低客戶認證的難度,提高了用戶體驗����。
[0021] 其中�����,如圖1所示,MAC認證流程分為如下幾個階段:
[0022] 1���、終端與AC服務器關聯(lián)���,并且獲取IP地址。
[0023] 2��、終端發(fā)起超本轉移協(xié)議HTTP請求��,該請求報文頭中攜帶有瀏覽器的類型�。
[0024] 3、AC服務器將終端的HTTP請求報文重定向到PORTAL服務器�,并且在報文頭中增 加終端的MAC地址。
[0025] 4���、P0RTAL服務器獲取報文頭中的信息�����,判斷終端類型��,如果為手機�����,再對MAC地址 進行校驗�,且校驗成功,則繼續(xù)下一步流程�。
[0026] 5、P0RTAL/MAC服務器查詢MAC地址對應的手機號碼與用戶密碼����,通過PORTAL協(xié) 議發(fā)給AC服務器。
[0027] 6~8�、AC服務器將用戶名密碼信息發(fā)給RADIUS服務器進行校驗,完成校驗之后��, 由AC服務器將結果回傳給PORTAL服務器���,此流程與PORTAL流程一致���。
[0028] 9、如果驗證成功�����,則P0RTAL/MAC服務器向用戶下發(fā)提醒短信。
[0029] 10���、業(yè)務運營支撐系統(tǒng)BOSS收到用戶的拒絕上網(wǎng)短信����。
[0030] 11�����、BOSS向PORTAL服務器下發(fā)清除MAC綁定信息請求���。
[0031] 12、BOSS向驗證�、授權、記賬AAA服務器下發(fā)下線請求���。
[0032] 13�����、AAA向AC服務器下發(fā)客戶DM下線請求�����。
[0033] 14���、AC服務器踢用戶下線�����。
[0034] 但是MAC認證有幾個無法解決的問題
[0035] MAC地址仿冒問題:
[0036] MAC地址理論上是每個終端唯一分配�����,但是在實際使用中客戶手工修改MAC地址 并不復雜�,如果僅僅依靠MAC地址作為唯一識別用戶的標識存在很大的風險����。
[0037] 計費問題
[0038] 由于MAC認證是在PORTAL認證的基礎上進行優(yōu)化的方案,也就是MAC認證與 PORTAL認證所使用的認證協(xié)議是完全一致的��,因此RADIUS側無法區(qū)別當前用戶是通過MAC 方式認證還是通過PORTAL輸入密碼方式認證����,不能提供差異化資費。
【發(fā)明內(nèi)容】
[0039] 本發(fā)明的目的是提供一種無線局域網(wǎng)接入認證方法及終端�����,可以解決當前移動終 端接入無線局域網(wǎng)如果僅采用MAC地址認證,很容易造成被他人盜用的問題���。
[0040] 為了解決上述技術問題�����,本發(fā)明的實施例提供一種無線局域網(wǎng)接入認證方法�����,應 用于已開通基于介質(zhì)訪問控制MAC地址認證的終端,其中����,所述方法包括:
[0041] 發(fā)送上網(wǎng)請求消息至認證服務器系統(tǒng),使得所述認證服務器系統(tǒng)根據(jù)所述上網(wǎng)請 求消息中攜帶的終端MAC地址信息對所述終端進行基于MAC地址的無線局域網(wǎng)接入認證���;
[0042] 在所述無線局域網(wǎng)接入認證通過后��,發(fā)送認證請求消息至所述認證服務器系統(tǒng)����, 使得所述認證服務器系統(tǒng)根據(jù)所述認證請求消息中攜帶的預先申請的用于標識終端的安 全證書�����,對所述終端進行終端用戶身份認證;
[0043] 在終端用戶身份認證通過后���,接入無線局域網(wǎng)�����,以及在終端用戶身份認證不通過 后�,斷開與無線局域網(wǎng)的連接��。
[0044] 進一步地�����,所述發(fā)送上網(wǎng)請求消息至認證服務器系統(tǒng)����,使得所述認證服務器系統(tǒng) 根據(jù)所述上網(wǎng)請求消息中攜帶的終端MAC地址信息對所述終端進行基于MAC地址的無線局 域網(wǎng)接入認證的步驟包括:
[0045] 發(fā)送上網(wǎng)請求消息至門戶服務器,使得門戶服務器根據(jù)所述上網(wǎng)請求消息中攜帶 的終端MAC地址信息���,發(fā)送終端無線局域網(wǎng)用戶信息至驗證��、授權��、記賬AAA服務器����,使得所 述AAA服務器根據(jù)預存的終端無線局域網(wǎng)用戶信息對所述接收到的終端無線局域網(wǎng)用戶 信息進行鑒權認證,獲取鑒權認證結果�����,并將所述鑒權認證結果返回接入控制AC服務器���; 其中����,所述終端無線局域網(wǎng)用戶信息包括:終端無線局域網(wǎng)賬號信息和/或終端無線局域 網(wǎng)密碼信息����;
[0046] 在所述AC服務器接收到鑒權認證成功的結果后����,接入無線局域網(wǎng)。
[0047] 進一步地�,所述在所述AC服務器接收到鑒權認證成功的結果后,接入無線局域網(wǎng) 之后的步驟還包括:
[0048] 發(fā)送計費請求消息至所述AAA服務器,使得所述AAA服務器根據(jù)所述計費請求消 息中攜帶的包含有終端類型的計費區(qū)分信息����,對所述終端進行區(qū)分計費。
[0049] 進一步地���,所述在所述無線局域網(wǎng)接入認證通過后���,發(fā)送認證請求消息至所述認 證服務器系統(tǒng),使得所述認證服務器系統(tǒng)根據(jù)所述認證請求消息中攜帶的預先申請的用于 標識終端的安全證書�����,對所述終端進行終端用戶身份認證的步驟包括:
[0050] 在所述無線局域網(wǎng)接入認證通過后���,發(fā)送攜帶有預先申請的用于標識終端的安全 證書以及終端無線局域網(wǎng)賬號信息的認證請求消息至門戶服務器���,使得門戶服務器根據(jù)所 述終端無線局域網(wǎng)賬號信息從介質(zhì)訪問控制服務器查詢到用戶狀態(tài)為等待終端用戶身份 認證狀態(tài)后,發(fā)送所述安全證書至用戶身份提供IDP服務器�,使得所述IDP服務器根據(jù)預先 存儲的終端安全證書,校驗所述接收到的安全證書的合法性��,獲取校驗結果����,并發(fā)送所述校 驗結果至門戶服務器�����,使得門戶服務器根據(jù)所述校驗結果對已接入無線局域網(wǎng)的終端進行 無線局域網(wǎng)連接控制����;其中����,所述用戶狀態(tài)為介質(zhì)訪問控制服務器在接收到由接入控制服 務器轉發(fā)的鑒權認證成功的結果后,修改為等待終端用戶身份認證狀態(tài)��。
[0051] 進一步地��,所述安全證書能夠通過如下步驟申請:
[0052] 發(fā)送加密的包含國際移動用戶識別碼�����、終端MAC地址以及一隨機生成的唯一序列 號SID的信息至短信網(wǎng)關�����,使得所述短信網(wǎng)關轉發(fā)所述信息至用戶身份提供IDP服務器�����, 使得所述IDP服務器將從短信網(wǎng)關獲取的手機號碼以及將加密的所述信息進行解密后獲 取的國際移動用戶識別碼發(fā)送至門戶服務器進行校驗����,使得門戶服務器根據(jù)預存的已開通 MAC認證的終端手機號碼以及國際移動用戶識別碼的對應關系表,對接收到的所述手機號 碼以及國際移動用戶識別碼進行搜尋比對��,并獲取搜尋比對結果����,并將所述搜尋比對結果 發(fā)送至所述IDP服