CN110831003A - 基于wlan灵活接入网络的认证方法及系统 - Google Patents

Abstract

本发明提供了一种基于WLAN灵活接入网络的认证方法及系统，所述方法包括步骤，用户终端接入WLAN网络环境时，发送DHCP请求；NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。本发明解决了终端重新接入到WLAN网络环境时自动完成接入认证以及MAC地址需要事前录入的问题。

Description

基于WLAN灵活接入网络的认证方法及系统

技术领域

本发明涉及一种认证方法及系统，尤其是指一种基于WLAN灵活接入网络的认证方法及系统。

背景技术

Portal认证技术:

Portal认证又称Web认证。客户端接入到无线网络中，在没有完成用户身份鉴权时，客户端使用浏览器的访问任意URL，访问请求都将被接入服务器(NAS)重定向到Portal门户，要求用户进行接入认证。当用户在portal门户的WEB页面输入密码和账号并提交后，接入请求通过接入服务器(NAS)向后台认证系统(AAA)发起接入认证，认证完成，由AAA系统为用户下发相应的访问控制策略。Portal认证体系结构一般由用户终端、NAS、AAA认证服务器、Portal服务器及后台数据库组成。Poral认证方式，无需安装任何插件或拨号客户端工具软件，方便快捷。但是，这种方式也存在着较为明显的缺点，即每次网络中断(用户主动或被动断网)后重新接入网络时都需要重新认证，这使得用户操作较为繁琐。

自动认证方式：

MAC认证是一种基于设备物理地址的对用户进行匹配认证的技术。在用户的终端设备在接入到无线网络时，向接入服务器发起DHCP请求的同时，接入服务器自动向后台AAA认证服务器发向用户的接入认证请求，AAA系统将对用户终端设备人物理地址进行认证和授权。在这种方式的认证过程中，由于不需要用户手动输入用户名和密码，对用户来说，体验比较好。但是，一般情况下，这种认证方式需要提前将用户的终端MAC地址提前录入到业务及AAA系统，这对于大规模的网络环境无疑是一个灾难性问题，因此常规的MAC认证方式的比较适合小环境且用户量少的网络环境。目前大部分技术所使用的均是基于EAP认证协议框架进行实现，用于基于端口的802.1X访问控制。在某些特殊场景要求下，用户无法取消自动认证，屏蔽终端自动上网功能。

因此，需要提供一种基于WLAN灵活接入网络的认证方法及系统，以克服上述接入认证方式的缺陷。

发明内容

本发明所要解决的技术问题是：提供一种基于WLAN灵活接入网络的认证方法及系统。

为了解决上述技术问题，本发明采用的技术方案为：一种基于WLAN灵活接入网络的认证方法，包括步骤，

S10、用户终端接入WLAN网络环境时，发送DHCP请求；

S20、NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

S30、AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

优选地，所述PORTAL认证包括步骤，

S41、根据PORTAL页面提示，输入用户接入账号与密码；

S42、将用户接入账号与密码发送至AAA服务器进行验证。

优选地，所述认证方法还包括步骤:

S43、将用户终端的MAC地址与用户接入账号进行关联绑定。

优选地，所述认证方法还包括，认证方式切换，具体包括，

S51、查询用户终端当前的接入认证方式；

S52、将当前的接入认证方式进行切换。

为了解决上述技术问题，本发明采用的另一个技术方案为：一种基于WLAN灵活接入网络的认证系统，包括，

DHCP请求模块，用于用户终端接入WLAN网络环境时，发送DHCP请求；

认证请求模块，用于NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

接入方式选择模块，用于AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

优选地，所述认证系统还包括PORTAL认证模块，具体包括，

账号密码接入单元，用于根据PORTAL页面提示，输入用户接入账号与密码；

账号密码发送单元，用于将用户接入账号与密码发送至AAA服务器进行验证。

优选地，所述PORTAL认证模块还包括，

关联绑定单元，用于将用户终端的MAC地址与用户接入账号进行关联绑定。

优选地，所述认证系统还包括认证方式切换模块，具体包括，

接入认证方式查询单元，用于查询用户终端当前的接入认证方式；

接入认证方式认证单元，用于将当前的接入认证方式进行切换。

本技术方案能满足运营商级WLAN方式接入的宽带业务的开展需求，满足用户根据使用场景灵活的自定义接入认证方式的需求，满足终端重新接入到WLAN网络服务提供商的环境时自动完成接入认证的需求，解决终端MAC地址需要事前录入的问题。

附图说明

下面结合附图详述本发明的具体结构。

图1为本发明的POTATAL接入认证流程图；

图2为本发明的MAC自动认证流程图；

图3为本发明的接入方式切换流程图。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

基于WLAN灵活接入网络的认证，系统包括PORTAL服务器、AAA服务器、NAS服务器、以及外部接口，外部接口包含有短信网关、NAS设备、CRM接口及AAA接口。其中，PORTAL服务器，提供用户门户作为系统与用户交互的操作界面，提供用户在使用账号密码接入方式时的账号、密码、是否使用自动认证的选择项及认证结果和上网状态的输入界面；AAA服务器，实现对接入用户的认证、授权、计费服务，主要负责接收和处理PORTAL服务器和NAS设备发送过来的请求，实现对用户接入身份的认证、授权、计费及用户MAC地址和用户账号绑定(首次自动绑定)功能；外部接口包括，

CRM接口，用户从CRM系统开通账号，通过该接口将账号，密码数据保存到AAA系统；

短信网关，为保障用户的账号安全，PORTAL通过调用短信网关发送相关通知短信与用户进行交互，内容包括，短信验证码，账号使用提示，取消MAC与当前账号的绑定关系；

NAS接口，PORTAL通过该接口与接入服务进行交互，发起接入认证和下网请求。

缩略语和关键术语定义，

PORTAL：门户网站(入口网站)，是指通向某类综合性互联网信息资源并提供有关信息服务的应用系统。

MAC：Media Access Control或者Medium Access Control地址，意译为媒体访问控制，或称为物理地址、硬件地址，用来定义网络设备的位置。

AAA：是验证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称，是一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问网络服务器，对具有访问权的用户提供服务。

NAS：网络接入服务器(Network Attached Server，缩写为NAS)是远程访问接入设备。它位于公用电话网(PSTN/ISDN)与IP网之间，将拨号用户接入IP网；它可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用

AP：无线访问接入点(WirelessAccessPoint)，传统有线网络中的HUB，也是组建小型无线局域网时最常用的设备。AP相当于一个连接有线网和无线网的桥梁，其主要作用是将各个无线网络客户端连接到一起，然后将无线网络接入以太网。

实施例一

在一具体实施例中，一种基于WLAN灵活接入网络的认证方法，包括步骤，

S10、用户终端接入WLAN网络环境时，发送DHCP请求；

S20、NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

S30、AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

本技术方案灵活融合了PORTAL、MAC两种认证方式，在运营商级WLAN方式接入的宽带业务认证中，为用户提供适应不同场景的、灵活的接入认证方式。满足终端重新接入到WLAN网络服务提供商的环境时自动完成接入认证的需求，解决终端MAC地址需要事前录入的问题。

实施例二

在一具体实施例中，所述PORTAL认证包括步骤，

S41、根据PORTAL页面提示，输入用户接入账号与密码；

S42、将用户接入账号与密码发送至AAA服务器进行验证。

优选地，所述认证方法还包括步骤:

S43、将用户终端的MAC地址与用户接入账号进行关联绑定。

请参考图1，本实施例中，用户终端接入WLAN网络环境，终端发起DHCP请求；

请求汇聚到NAS设备，NAS设备在响应下发IP的时候同时将终端MAC地址封装进Radius报文，向AAA发起接入认证；

AAA收到接入认证请求后，判断请求中的终端MAC地址是否在系统中存在，如果存在，则进一步判断用户是否设置MAC自动认证标识，否则直接返回授权拒绝；

用户通过浏览器访问外网，NAS重定向用户URL至PORTAL服务器；

用户根据PORTAL页面提示，通过输入接入账号(手机号码)，密码(验证号)完成接入认证；如果用户在页面选对“自动完成接入认证”功能选项，则PORTAL通过与AAA接口，设定用户的自认证选项，在授权认证通过的同时完成MAC地址与账号的关联绑定。

实施例三

在一具体实施例中，所述认证方法还包括，认证方式切换，具体包括，

S51、查询用户终端当前的接入认证方式；

S52、将当前的接入认证方式进行切换。

请参阅图3，本实施例中，认证方式切换具体包括，

将用户当前使用的PORTAL认证，切换为MAC自动认证；

该场景下，用户直接选择PORTAL页面上的“自动认证”功能项，通过接口，在AAA处将该用户设定为“自动认证”方式，下次接入时生效。

将当前用户使用的MAC认证，切换为PORTAL认证；

用户在已通过PORTAL认证方式上网的前提下，通过直接访问PORTAL页面：

用户通过浏览器直接访问门户地址；

门户通过接口向AAA查询用户的在线状态(上网开始时间)，接入认证方式信息；

门户将查询的结果信息展示给到用户(用户此次上网总时长，下网按钮，接入认证方式功能选择项)；

用户变更接入方式，选择“PORTAL认证”；

PORTAL将用户选择的接入认证方式通过接口在AAA处对用户进行标识。

实施例四

请参阅图2，在一具体实施例中，MAC自动认证包括，用户终端接入WLAN网络环境，终端发起DHCP请求；

请求汇聚到NAS设备，NAS设备在响应下发IP的时候同时将终端MAC地址封装进Radius报文，向AAA发起接入认证；

AAA收到接入认证请求后，判断请求中的终端MAC地址是否在系统中存在，如果存在，则进一步判断用户是否设置MAC自动认证标识；如果条件成立，认证通过。

实施例五

在一具体实施例中，一种基于WLAN灵活接入网络的认证系统，包括，

DHCP请求模块，用于用户终端接入WLAN网络环境时，发送DHCP请求；

认证请求模块，用于NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

接入方式选择模块，用于AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

本技术方案灵活融合了PORTAL、MAC两种认证方式，在运营商级WLAN方式接入的宽带业务认证中，为用户提供适应不同场景的、灵活的接入认证方式。满足终端重新接入到WLAN网络服务提供商的环境时自动完成接入认证的需求，解决终端MAC地址需要事前录入的问题。

实施例六

在一具体实施例中，所述认证系统还包括PORTAL认证模块，具体包括，

账号密码接入单元，用于根据PORTAL页面提示，输入用户接入账号与密码；

账号密码发送单元，用于将用户接入账号与密码发送至AAA服务器进行验证。

优选地，所述PORTAL认证模块还包括，

关联绑定单元，用于将用户终端的MAC地址与用户接入账号进行关联绑定。

请参考图1，本实施例中，用户终端接入WLAN网络环境，终端发起DHCP请求；

请求汇聚到NAS设备，NAS设备在响应下发IP的时候同时将终端MAC地址封装进Radius报文，向AAA发起接入认证；

AAA收到接入认证请求后，判断请求中的终端MAC地址是否在系统中存在，如果存在，则进一步判断用户是否设置MAC自动认证标识，否则直接返回授权拒绝；

用户通过浏览器访问外网，NAS重定向用户URL至PORTAL服务器；

用户根据PORTAL页面提示，通过输入接入账号(手机号码)，密码(验证号)完成接入认证；如果用户在页面选对“自动完成接入认证”功能选项，则PORTAL通过与AAA接口，设定用户的自认证选项，在授权认证通过的同时完成MAC地址与账号的关联绑定。

实施例七

在一具体实施例中，所述认证系统还包括认证方式切换模块，具体包括，

接入认证方式查询单元，用于查询用户终端当前的接入认证方式；

接入认证方式认证单元，用于将当前的接入认证方式进行切换。

请参阅图3，本实施例中，认证方式切换具体包括，

将用户当前使用的PORTAL认证，切换为MAC自动认证；

该场景下，用户直接选择PORTAL页面上的“自动认证”功能项，通过接口，在AAA处将该用户设定为“自动认证”方式，下次接入时生效。

将当前用户使用的MAC认证，切换为PORTAL认证；

用户在已通过PORTAL认证方式上网的前提下，通过直接访问PORTAL页面：

用户通过浏览器直接访问门户地址；

门户通过接口向AAA查询用户的在线状态(上网开始时间)，接入认证方式信息；

门户将查询的结果信息展示给到用户(用户此次上网总时长，下网按钮，接入认证方式功能选择项)；

用户变更接入方式，选择“PORTAL认证”；

PORTAL将用户选择的接入认证方式通过接口在AAA处对用户进行标识。

终上所述，本发明灵活融合了Portal、MAC两种认证方式，在运营商级WLAN方式接入的宽带业务认证中，用户可根据使用场景灵活自定义选择接入认证方式。满足终端重新接入到WLAN网络服务提供商的环境时自动完成接入认证的需求，解决终端MAC地址需要事前录入的问题。

此处第一、第二……只代表其名称的区分，不代表它们的重要程度和位置有什么不同。

此处，上、下、左、右、前、后只代表其相对位置而不表示其绝对位置

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种基于WLAN灵活接入网络的认证方法，其特征在于：包括步骤，

S10、用户终端接入WLAN网络环境时，发送DHCP请求；

S20、NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

S30、AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

2.如权利要求1所述的基于WLAN灵活接入网络的认证方法，其特征在于：所述PORTAL认证包括步骤，

S41、根据PORTAL页面提示，输入用户接入账号与密码；

S42、将用户接入账号与密码发送至AAA服务器进行验证。

3.如权利要求2所述的基于WLAN灵活接入网络的认证方法，其特征在于：所述认证方法还包括步骤:

S43、将用户终端的MAC地址与用户接入账号进行关联绑定。

4.如权利要求1所述的基于WLAN灵活接入网络的认证方法，其特征在于：所述认证方法还包括，认证方式切换，具体包括，

S51、查询用户终端当前的接入认证方式；

S52、将当前的接入认证方式进行切换。

5.一种基于WLAN灵活接入网络的认证系统，其特征在于：包括，

DHCP请求模块，用于用户终端接入WLAN网络环境时，发送DHCP请求；

认证请求模块，用于NAS设备汇聚所述DHCP请求，向AAA服务器发起接入认证请求；

接入方式选择模块，用于AAA服务器接收到接入认证请求后，判断用户终端的MAC地址是否在AAA服务器中存在；

若存在，则进一步判断用户是否设置了MAC自动认证标识，若是，则进行MAC自动认证，否则，NAS服务器重新定向用户URL至PORTAL服务器进行PORTAL认证。

6.如权利要求5所述的基于WLAN灵活接入网络的认证系统，其特征在于：所述认证系统还包括PORTAL认证模块，具体包括，

账号密码接入单元，用于根据PORTAL页面提示，输入用户接入账号与密码；

账号密码发送单元，用于将用户接入账号与密码发送至AAA服务器进行验证。

7.如权利要求6所述的基于WLAN灵活接入网络的认证系统，其特征在于：所述PORTAL认证模块还包括，

关联绑定单元，用于将用户终端的MAC地址与用户接入账号进行关联绑定。

8.如权利要求5所述的基于WLAN灵活接入网络的认证系统，其特征在于：所述认证系统还包括认证方式切换模块，具体包括，

接入认证方式查询单元，用于查询用户终端当前的接入认证方式；

接入认证方式认证单元，用于将当前的接入认证方式进行切换。

Images