WO2012171184A1 - 基于mac地址的wlan认证方法和装置 - Google Patents

Abstract

本发明实施例提供了一种基于MAC地址的WLAN认证方法及装置，其中，一种基于MAC地址的WLAN认证方法包括：当终端接入无线局域网WLAN时，获取所述终端的介质访问控制MAC地址；根据预设的MAC地址对获取的到所述终端的MAC地址进行比对，并完成WLAN认证；或者，根据所述终端首次接入WLAN时获取的终端MAC地址与用户名和密码的对应关系查找所述终端MAC地址对应的用户名和密码，将查找到的用户名和密码发送给认证中心，以使认证中心对所述终端进行WLAN认证。通过本发明实施例，可以大大减少用户进行手动输入的次数，并具有广泛的适用性。

Description

基于 MAC地址的 WLAN认证方法和装置

技术领域 本发明涉及通信领域， 特别涉及一种基于 MAC (Media Access Control, 介质访问控制） 地址的 WLAN ( Wireless Local Area Network, 无线局域网） 认证方法和装置。 背景技术 随着 WLAN (Wireless Local Area Network, 无线局域网） 技术的发展， 越来越多的用 户开始选择 WLAN作为互联网接入手段， 运营商也大量部署 WLAN接入点， 在提供接入 的过程中， 运营商首先要对待接入的 WLAN进行认证。

现有技术一在 WLAN认证时， 采用基于 Web页面和 HTTP的认证方式， 每次接入网络 时， 需要用户输入用户名和密码， 并由运营商相关验证设备基于该用户名和密码对待接入 的 WLAN 进行认证， 若验证成功， 则允许用户接入， 否则拒绝用户接入； 现有技术二在 WLAN认证时， 采用基于 Web页面和 Cookie的认证方式， 由终端设置 Cookie, 在用户接 入 WLAN后且短时间内网络出现异常时， 若终端用户打开 Cookie, 则 Cookie会根据保存 的随机数接入 WLAN网络， 而不需要用户重新输入用户名和密码， 若对于不信任的页面， 终端用户没有打开 Cookie, 则用户需要重新输入用户名和密码进行 WLAN认证； 现有技术 三采用基于 （U)SIM卡的自动认证，要求终端支持 3GPP (3rd Generation Partnership Project, 第三代合作伙伴计划） 定义的 I-WLAN (Interworking- Wireless Local Area Network, 无线局 域网互操作） 规范。

在实现本发明的过程中， 发明人发现现有技术至少存在以下问题：

现有技术一每次接入都需要输入用户名和密码， 用户体验比较差； 现有技术二取决于 终端是否打开 Cookie, 对终端的依赖性较强； 现有技术三要求终端支持 802.1x EAP-SIM和 AKA认证， 对终端的要求较高， 无法广泛适用。 发明内容 本发明实施例提供了一种基于 MAC地址的 WLAN认证方法和装置， 用以解决现有技 术存在着的用户体验差、 对终端要求较高而无法广泛适用的问题。

其中， 本发明实施例 WLAN认证方法包括：

当终端接入无线局域网 WLAN时， 获取所述终端的介质访问控制 MAC地址； 根据预设的 MAC地址对获取的到所述终端的 MAC地址进行比对， 并完成 WLAN认 证；

或者， 根据所述终端首次接入 WLAN时获取的终端 MAC地址与用户名和密码的对应 关系查找所述终端 MAC地址对应的用户名和密码，将查找到的用户名和密码发送给认证中 心， 以使认证中心对所述终端进行 WLAN认证。

本发明实施例 WLAN认证装置包括：

获取模块， 用于当终端接入无线局域网 WLAN时， 获取该终端的介质访问控制 MAC 地址；

认证模块， 用于预设的 MAC地址对通过获取模块 501获取的终端的 MAC地址进行比 对， 并完成 WLAN认证； 或者， 所述认证模块 502用于根据所述终端首次接入 WLAN时 获取的终端 MAC地址与用户名和密码的对应关系查找该终端 MAC地址对应的用户名和密 码，将查找到的用户名和密码发送给认证中心， 以使认证中心对所述终端进行 WLAN认证。

在本发明实施例中， 终端接入 WLAN时， 能够利用终端的 MAC地址信息自动完成终 端用户的接入认证， 从而可以大大减少用户进行手动输入的次数， 改善了用户体验。 另外， 本实施例不改动终端， 只在网络侧优化流程， 易部署， 现网所有手机都能受益， 适用性非 常广。 附图说明 图 1是本发明实施例 1中提供的 WLAN认证方法的流程图；

图 2是本发明实施例 2中提供的手机用户终端第一次接入 WLAN网络的认证流程图； 图 3是本发明实施例 2中提供的后续手机用户终端接入 WLAN网络的认证流程图； 图 4是本发明实施例 2中提供的执行异常处理流程图；

图 5是本发明实施例 3中提供的基于位置信息防止用户仿冒的流程示意图；

图 6是本发明实施例 4中提供的 WLAN认证装置结构示意图；

图 7是本发明实施例 4中 WLAN认证装置结构的一种硬件实现示意图。 具体实施方式 为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本发明实施方式作 进一步地详细描述。

实施例 1 参见图 1， 本实施例提供了一种 WLAN认证方法， 该方法包括：

步骤 101 : 当终端接入无线局域网 WLAN时， 获取该终端的介质访问控制 MAC地址； 本发明实施例 WLAN认证方法应用于网络侧， 可以不需要对终端进行改变。 本发明实 施例中， 网络侧获取终端的 MAC地址可以从终端发送的报文中获取， 例如， HTTP、 DHCP 等协议的报文中都会包括 MAC地址， 可以基于这些协议的报文进行获取， 并采用一定的方 式 （如采用不同的协议） 将终端 MAC地址在不同功能单元之间传递。

本发明实施例中， 网络侧设备包括无线接入服务器、 MAC比对单元等功能实体。其中， 无线接入服务器可以是 BRAS (Broadband Remote Access Server, 宽带远程接入服务器） 或 AC (Access Controller, 接入控制器）或 AP (Access Point, 无线接入点）， 本实施例不对此 进行限定； MAC比对单元为一个功能模块， 可以位于入口 Portal服务器 （在现有技术当中 用于对终端提供登录界面， 并获取和传递用户输入的用户名和密码） 或 AAA (现有技术中 完成认证、 授权、 计费功能）。 网络侧获取终端的 MAC地址具体可以为：

无线接入服务器先通过 HTTP、 DHCP等协议的报文获取终端的 MAC地址， 然后通过 接口将 MAC地址发送给 MAC比对单元，所述接口可以采用 HTTP报文头、 Radius/Diameter 接口协议、 Portal接口协议等。

步骤 102: 根据预设的 MAC地址对获取的到所述终端的 MAC地址进行比对， 并完成 WLAN认证；

在预设情况下， 终端的 MAC地址预先保存在 MAC 比对系统中， 终端接入时， MAC 比对系统通过获取的终端 MAC地址信息， 在 MAC地址表项中进行查找和比对， 如果查找 和比对成功， 则返回 MAC认证成功结果给无线接入服务器；

步骤 103: 或者， 根据所述终端首次接入 WLAN时获取的终端 MAC地址与用户名和 密码的对应关系查找所述终端 MAC地址对应的用户名和密码，将查找到的用户名和密码发 送给认证中心， 以使认证中心进行 WLAN认证；

在非预设情况下， 终端首次接入 WLAN时， MAC比对单元将获取到的终端 MAC地址 和对应的用户名及密码进行保存。后续终端再次发起接入请求时， 则 MAC比对单元先根据 获取的终端 MAC地址， 在 MAC地址表项中进行查找和比对， 同时获取 MAC地址对应的 用户名和密码。 并且， MAC比对单元将查找到的 MAC地址对应的用户名和密码发送给认 证中心， 以使认证中心进行 WLAN认证。

认证中心为现有网络架构下的认证服务器设备， MAC比对单元将终端 MAC地址对应 的用户名和密码替终端发送到认证中心进行认证， 省掉了用户再次手动输入用户名和密码 的步骤。 步骤 104: MAC比对单元在对终端的 MAC地址比对成功后， 向终端用户发起短信确 认过程。

MAC比对单元在 MAC比对成功后， 根据对应的用户帐号向用户发送确认短信， 如果 用户返回拒绝， 则进行相应的操作， 比如对用户下线， 清除 MAC地址表项等。

步骤 105: MAC比对单元在对终端的 MAC地址比对成功后， 发起终端的位置匹配过 程。

在 MAC比对成功后， MAC比对系统分别从 WLAN网络和移动蜂窝网络中获取终端的 位置信息， 并对两个位置信息进行匹配， 如果匹配不成功， 则进行相应的操作， 比如对用 户下线， 清除 MAC地址表项等。

本实施例中的步骤 104、 步骤 105为附加功能， 在实际应用中可以根据情况进行组合， 组合方式包括不限于： 步骤 101〜103和步骤 104的组合， 步骤 101〜103和步骤 105的组 合， 步骤 101〜103、 步骤 104和步骤 105的组合等。

本实施例提供的方法， 终端下次接入 WLAN时， 能够在预设的或终端首次接入时获取 的 MAC地址进行查找和比对， 自动完成认证过程， 从而可以大大减少用户进行手动输入的 次数， 改善了用户体验。 另外， 本实施例不改动终端， 只在网络侧优化流程， 除了需要增 加 MAC比对单元外， 其余网络设备都基于现有的设备， 因此， 很容易部署， 使得现网所有 手机都能受益， 适用性非常广。 实施例 2

本实施例基于实施例 1针对手机用户一段时间内使用同一个终端上网的特点， 提出了一 种手机用户终端基于 MAC地址进行 WLAN认证的技术方案。

参见图 2，本实施例提出了一种手机用户终端第一次接入 WLAN的认证流程，具体包括： 步骤 201 : UE (User Equipment, 用户终端） 完成 WLAN的关联并获得 IP地址， 根据 IP地址向无线接入服务器发起 HTTP (Hyper Text Transfer Protocol,超文本传输协议）请求， 使得所述无线接入服务器根据所述 HTTP请求获取所述终端的 MAC地址；

无线接入服务器可以根据 HTTP请求的 MAC层报文获取终端的 MAC地址； 或者， UE 在完成 WLAN的关联后，无线接入服务器根据 UE发来的 DHCP请求报文获取 UE的 MAC 地址。 其中， 无线接入服务器可以是 BRAS (Broadband Remote Access Server, 宽带远程接 入服务器） 或 AC (Access Controller, 存取控制器） 或 AP (Access Point, 无线接入点）， 本实施例不对此进行限定， 仅以无线接入服务器为 BRAS为例进行说明。

步骤 202: BRAS将该 HTTP请求重定向到 MAC比对单元， 并在该 HTTP请求的报文 头中增加 UE的 MAC地址；

或者， BRAS可以通过半径 Radius协议或者直径 Diameter协议或 Portal协议向 MAC 比对单元传递终端的 MAC地址。

其中， 这里的 MAC比对单元具体可以位于 Portal服务器或者 AAA服务器中， 或者为 一个独立的设备。

步骤 203: MAC比对单元接收 BRAS发送的 HTTP协议， 并根据 HTTP请求识别 UE 的类型， 若 UE为手机用户终端， 则在保存的对应关系中查找该 MAC地址对应的用户名和 密码， 若没有查找到， MAC比对单元向 UE推送登录页面。

在非预设情况下， 由于第一次接入， 一般事先都不会保存对应关系， 因此， MAC比对 单元向 UE推送登录页面， 用户在该界面下输入用户名、 密码等信息。

其中， MAC比对单元根据 HTTP请求识别 UE的类型具体包括， 根据 HTTP请求的报 文头部携带的用户代理 User-Agent字段识别 UE的类型。 User-Agent字段会包含终端的类型 (如手机类型）等信息， 因此， 可以根据该字段对 UE类型进行识别， 并针对不同的终端类 型采取不同的策略，例如，针对终端类型为手机的用户， 可以选择继续接入； 针对 PC用户， 可以回退到 Portal认证。

实际应用中， 在对应关系中没有查找到的情况较多， 如终端首次接入 WLAN， 尚未建 立该终端的 MAC 地址与用户名和密码的对应关系； 若更换手机或修改密码时， 则终端的 MAC地址或密码已经发生变化， 在对应关系中也查找不到对应的用户名和密码。 在这些情 况下， 都需要重新通过用户输入用户名、 密码， 建立与 MAC地址的连接关系。

在采用非 HTTP方式获取终端 MAC地址时（比如采用 DHCP方式）， 无线接入服务器 可以先识别 HTTP报文中的 User- Agent, 再通过 Radius/Diameter接口或 Portal协议接口传 递给 MAC比对单元。

本实施例中还可以设定 MAC地址与用户名、密码对应关系的老化时间， 其中， 所有用 户的对应关系可以统一设定成一个老化时间； 或者根据某种策略对不同用户的对应关系设 定不同的老化时间。如果保存的对应关系存在的时间超过了老化时间， 则清除该 MAC地址 与用户名和密码的对应关系。 例如， 在 2011年 3月 1 日早上 9点建立 UE1的 MAC地址与 用户名和密码的对应关系， 并预设该对应关系的老化时间为 1个月， 若 UE1在 2011年 4 月 1 日早上 10点接入 WLAN进行认证时， 由于超过了 1个月的老化时间， 则删除该 UE的 MAC地址与用户名和密码的对应关系。

步骤 204: UE在登录页面上输入用户名和密码；

步骤 205: MAC比对单元根据 UE输入的用户名和密码， 及获取的 UE的 MAC地址， 保存 MAC 地址与用户名和密码的对应关系， 并将该用户名和密码发送给 BRAS (如通过 Portal协议） ， 发起认证；

步骤 206： BRAS将接收到的用户名和密码发给认证中心进行认证（如通过 Radius协议）； 其中， 本实施例中以认证中心为 AAA为例进行说明；

步骤 207: BRAS接收 AAA返回的认证结果， 并将该认证结果反馈给 Portal服务器； 步骤 208: Portal服务器判断认证结果， 如果认证成功， 则给 UE推送登录成功页面， 认证流程结束。

参见图 3， 本实施例当 MAC比对中心保存了 MAC与用户名和密码的对应关系后， 后 续手机用户终端接入 WLAN网络流程， 具体包括：

步骤 301 : 手机用户终端基于 Web浏览器完成 WLAN的关联并获得 IP地址， 根据 IP 地址向 BRAS发起 HTTP请求；

或者， UE在完成 WLAN的关联后， 无线接入服务器根据 UE发来的 DHCP请求报文 获取 UE的 MAC地址。

步骤 302: BRAS将该 HTTP请求重定向到 MAC比对单元， 并在该 HTTP请求的报文 头中增加 UE的 MAC地址；

或者，无线接入服务器通过 Radius/Diameter协议或 Portal协议向 MAC比对单元传递终 端的 MAC地址。

步骤 303: MAC比对单元接收 BRAS发送的 HTTP协议， 并根据 HTTP请求识别 UE 的类型，若 UE为手机用户终端，则在预设的或终端首次接入时获取的对应关系中查找 MAC 地址对应的用户名和密码， 并将查找到的用户名和密码发送给 BRAS;

或者， MAC比对单元根据无线接入服务器通过 Radius/Diameter协议或 Portal协议传递 的 MAC地址和终端类型， 在本地保存的 MAC地址表项中进行查找和比对。

步骤 304: BRAS将用户名和密码发送给 AAA, 以使 AAA进行 WLAN认证； 步骤 305: AAA进行 WLAN认证， 并向 BRAS返回认证结果；

步骤 306: BRAS接收 AAA返回的认证结果， 并将该认证结果反馈给 MAC比对单元； 步骤 307: MAC比对单元判断认证结果， 如果认证成功， 通知短信中心向 UE下发短 信确认消息；

本实施例中 MAC比对单元还可以携带用于指示"本次认证是否为 MAC认证"的标识， 作为是否进行短信确认流程的依据， 当该标识指示本次认证为 MAC认证时， 则进行短信确 认流程； 否则， 不进行短信确认流程。

其中， 本实施例不对短信提醒消息的形式进行限定， 该短信提醒消息可以为"成功登陆 WLAN, 请回复 "AA"进行确认"的字段等。

步骤 308: 短信中心向 UE下发短信提醒消息；

具体地， 短信中心向 UE对应的手机号码（对应 WLAN用户帐号）下发短信提醒消息， UE接收到该短信提醒消息后， 向短信中心返回认证确认消息。

步骤 309: UE根据收到的短信提醒消息， 向短信中心返回认证确认消息；

其中， 本实施例不对认证确认消息的形式进行限定， 此处以认证确认消息为肯定消息 为例进行说明， 如该认证确认消息可以为"是"、 "确认 "的字段等。

步骤 310: 短信中心根据接收到的认证确认消息通知 MAC比对单元；

步骤 311 : MAC比对单元给 UE推送登录成功页面， 认证流程结束。

参见图 4， 若上述步骤 309中 UE向短信中心返回的认证确认消息为否认消息或确认超 时， 则执行异常处理流程， 具体步骤如下：

步骤 312: 短信中心判断是否为仿冒用户，若判断为仿冒用户， 则通知 MAC比对单元; 具体地， 该仿冒用户包括变更终端后， 利用更换后的终端接入 WLAN的用户； 还包括 了没有变更终端， 但在返回认证确认消息进行了误操作的用户， 本实施例中将进行了误操 作的用户也视为仿冒用户， 执行异常处理流程。

步骤 313: MAC比对单元清除当前链接和 MAC地址表项， 异常处理流程结束。

本实施例提供的方法， 通过在网络侧保存终端 MAC地址与用户名和密码的对应关系， 下次用户接入的时候， 网络侧用终端 MAC地址索引到用户名和密码作为认证凭证， 从而可 以大大减少用户进行手动输入的次数， 方便用户使用。 另外， 本实施例不改动终端， 只在 网络侧优化流程， 易部署， 现网所有手机都能受益， 适用性非常广。 实施例 3

本发明实施例基于上述实施例 1、 2提供了一种基于位置信息防止用户仿冒的方法， 这 种方法可以与实施例 2 中基于短信的方式防止用户仿冒的方式一起应用， 或者只应用本发 明实施例中基于位置信息防止用户仿冒的方法。

具体的， 参见图 5， 包括如下步骤：

S32K 获取终端在 WLAN中的位置信息以及终端在移动蜂窝网 （如 2G、 3G等网络） 中的位置信息；

此步骤可以在认证过程当中， 信息获取通过位置匹配单元来进行获取， 位置匹配单元 也可以基于现网中的 Portal服务器或 AAA服务器， 或者也可以是一个单独的设备， 其功能 与 MAC比对单元相独立。 具体的， 位置匹配单元获取终端在 WLAN网络中的位置信息通过如下方式获取： 位置匹配单元通过 Portal协议或者 Radius/Diameter协议从无线接入服务器 （如 AC或

BRAS) 获取终端在 WLAN网络中的位置信息， 包括 AP标识或 AP位置信息。

同时， 本发明实施例中 MAC比对单元还可以携带用于指示 "本次认证是否为 MAC认 证" 的标识， 以作为位置匹配单元是否进行位置匹配操作的依据， 当该标识指示本次认证 为 MAC认证时， 位置匹配单元后续进行位置匹配操作； 否则， 不进行位置匹配操作。

位置匹配单元获取终端在移动蜂窝网中的位置信息通过如下方式获取：

位置匹配单元通过 MAP (Mobile Application Part)接口的 ATI (Any Time Interrogation) 消息向位置归属寄存器 HLR (Home Location Register) 发送获取用户信息的请求， HLR通 过 MAP接口的 PSKProvide Subscriber Information)消息向 MSC发送获取用户信息的请求，

MSC通过 PSI寻呼获取终端的用户信息， 通过 PSI寻呼获取的用户信息当中包括益区及具 体的小区信息；

或者， 位置匹配单元通过 MAP接口的 SRI ( Send Routing Information) 消息向 HLR获 取用户路由信息， 获取位置区信息， 但没有具体的小区信息。

其中， 上述 MAP接口、 ATI消息、 PSI消息、 SRI消息都为 3GPP协议定义的消息， 本 领域技术人员可以根据 3GPP协议来实现相应的操作。

S322、根据预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位置信息的对应关 系对获取到的终端在 WLAN中的位置信息与终端在移动蜂窝网中的位置信息进行匹配， 判 断是否满足预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位置信息的对应关系， 以判断用户是否为仿冒用户。

具体的， 如果不满足对应关系， 则判定用户为仿冒用户， 并采用针对此判定结果所定 义的执行策略 （如回退到 Portal认证）； 如果满足对应关系， 则判定用户为正常用户， 并采 用针对此判定结果所定义的执行策略 （如正常接入）。

例如， 针对一个地区 A， 假设部署了 3个 WLAN的 AP， 分别为 API、 AP2、 AP3; 同 时， 地区 A部署了 2个小区， 具体为小区 1， 小区 2， 假设 WLAN部署的位置信息与移动 蜂窝网部署的位置信息的对应关系为 AP1、 AP2与小区 1对应， AP3与小区 2对应。 这些 网络部署的信息都是预先知道的， 可以事先配置好对应关系。 当获取到的用户在 WLAN中 的位置信息为 AP1， 获取到的用户在移动蜂窝网中的位置信息为小区 1 时， 则这种对应关 系满足预先配置的关系， 可以认为用户是正常的用户； 否则， 如果用户在 WLAN中的位置 信息为非 AP1、 AP2的其他 AP (如 AP3、 AP5 )， 则判定用户为仿冒用户， 并且可以执行回 退到 Portal认证， 用户下线， 清除 MAC比对单元中保存的 MAC地址表项等操作。 需要说明的是， 当 S322条件不满足时判定用户为仿冒用户只是一种大概率的事件， 实 际应用当中也有可能出现用户更换终端而导致的一些误判， 因此， 可以结合实际情况在满 足条件下采用合适的策略， 这里并不限定。 这些策略都可以认为是基于 "判定用户为仿冒 用户"判定结果下的策略的等同实现方式。 实施例 4

参见图 6，本发明实施例基于上述各实施例提供了一种 WLAN认证装置 50，具体包括： 获取模块 51，用于当终端接入无线局域网 WLAN时，获取该终端的介质访问控制 MAC 地址；

认证模块 52，用于预设的 MAC地址对通过获取模块 501获取的终端的 MAC地址进行 比对， 并完成 WLAN认证； 或者， 所述认证模块 502用于根据所述终端首次接入 WLAN 时获取的终端 MAC地址与用户名和密码的对应关系查找该终端 MAC地址对应的用户名和 密码， 将查找到的用户名和密码发送给认证中心， 以使认证中心对所述终端进行 WLAN认 证。

其中， MAC地址的获取方法在上述实施例 1、 2中已经具体介绍， 这里不再赘述。 本发明实施例还包括：

对应关系建立模块 53， 所述对应关系建立模块包括接收单元 531和建立单元 532; 所述接收单元用于接收无线接入服务器发送的终端的 MAC地址，并接收所述终端发送 的用户名和密码， 其中， 所述无线接入服务器包括宽带远程接入服务器 BRAS， 或者存取控 制器 AC， 或者无线接入点 AP;

所述建立单元用于根据所述终端的 MAC地址， 建立所述终端的 MAC地址与用户名和 密码的对应关系。

本实施例还包括：

短信判断模块 54， 用于通知短信中心向终端下发短信提醒消息， 并通过所述短信中心 返回的认证确认消息判断用户是否为仿冒用户。

本实施例还包括：

位置获取模块 55，用于获取终端在 WLAN中的位置信息以及终端在移动蜂窝网中的位 置信息；

位置判断模块 56，用于根据预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位 置信息的对应关系对获取到的终端在 WLAN中的位置信息与终端在移动蜂窝网中的位置信 息进行匹配， 判断是否满足预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位置信 息的对应关系， 以判断用户是否为仿冒用户。

其中， 所述位置获取模块包括-

WLAN位置获取模块 551，用于通过 Portal协议或者半径 Radius协议或者直径 Diameter 协议从无线接入服务器获取终端在 WLAN中的位置信息， 所述终端在在 WLAN中的位置 信息包括 AP标识或 AP位置信息；

移动蜂窝网位置获取模块 552，用于通过 MAP接口的 ATI消息向位置归属寄存器 HLR 发送获取用户信息的请求， 使得所述 HLR收到请求后通过 MAP接口的 PSI消息向移动交 换中心 MSC发送获取用户信息的请求， 使得所述 MSC收到所述 HLR发送的请求后通过 PSI寻呼获取终端的用户信息， 所述终端的用户信息中包括位置区及小区位置信息； 根据所 述用户信息中包括的位置区及小区位置信息获取终端在移动蜂窝网中的位置信息； 或者通 过 MAP接口的 SRI消息向所述 HLR获取用户路由信息， 所述用户路由信息包括位置区信 息， 根据所述路由信息中的位置区信息获取终端在移动蜂窝网中的位置信息。

本发明实施例中， 获取模块 51， 认证模块 52， 对应关系建立模块 53， 短信判断模块 54可以认为是前面实施例中的 MAC比对单元中的几个模块。 位置获取模块 55， 位置判断 模块 56可以认为是前面实施例中的位置匹配单元中的几个模块。 如前面实施例所述， 这几 个模块可以位于同一个实体网元 （如 Portal服务器， 或者 AAA服务器）， 也可以以单独的 设备形式存在， 考虑到尽量不改变现有网络的技术架构， 本发明实施例可以将这些功能模 块通过现有的网元设备 （如 Portal服务器） 实现。

参见图 7， 为本发明实施例基于现有 Portal服务器或 AAA服务器实现的硬件结构示意 图， 包括 CPU、 存储器、 通信接口等单元。 其中， CPU用于执行上述功能模块相关的代码 (如图 6中， CPU用于执行 MAC比对单元， 位置匹配单元相关的功能代码）。 在实际硬件 设计过程当中， CPU也可以采用其他具有类似处理功能的处理设备实现， 如 DSP、 FPGA 等处理器。 存储器用于存储 CPU运行过程当中的一些临时数据或其他需要保存的数据， 通 信接口用于提供与其他设备 （如终端、 认证中心等） 交互的接口， 这些技术都为本领域技 术人员所熟知的技术， 在此不再详述。 本实施例提供的装置， 通过在网络侧保存终端 MAC地址与用户名和密码的对应关系， 下次用户接入的时候，能够在预设的终端 MAC地址与用户名和密码的对应关系中查找所述 终端的 MAC地址对应的用户名和密码， 网络侧用终端 MAC地址索引到用户名和密码作为 认证凭证， 免除了用户的重复输入， 方便用户使用。 另外， 本实施例不改动终端， 只在网 络侧优化流程， 易部署， 现网所有手机都能受益， 适用性非常广。 以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现， 其软件程序 存储在可读取的存储介质中， 存储介质例如： 计算机中的硬盘、 光盘或软盘。

以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求

1、 一种基于 MAC地址的 WLAN认证方法， 其特征在于， 所述方法包括： 当终端接入无线局域网 WLAN时， 获取所述终端的介质访问控制 MAC地址； 根据预设的 MAC地址对获取的到所述终端的 MAC地址进行比对， 并完成 WLAN 认证；

或者，根据所述终端首次接入 WLAN时获取的终端 MAC地址与用户名和密码的对 应关系查找所述终端 MAC地址对应的用户名和密码， 将查找到的用户名和密码发送给 认证中心， 以使认证中心对所述终端进行 WLAN认证。

2、 如权利要求 1所述的方法， 其特征在于， 还包括：

当采用所述根据所述终端首次接入 WLAN时获取的终端 MAC地址与用户名和密码 的对应关系查找该终端的 MAC地址， 将查找到的终端 MAC地址对应的用户名和密码 发送给认证中心， 以使认证中心进行 WLAN认证的方法进行认证时， 在所述终端首次 接入无线局域网 WLAN时， 接收所述终端发送的用户名和密码； 其中， 所述无线接入 服务器包括宽带远程接入服务器 BRAS， 或者存取控制器 AC， 或者无线接入点 AP; 根据获取的所述终端的 MAC地址以及所述终端的的用户名和密码， 建立所述终端 的 MAC地址与用户名和密码的对应关系。

3、 如权利要求 2所述的方法， 其特征在于， 还包括：

预设终端的 MAC地址与用户名和密码的对应关系的老化时间；

当保存的终端的 MAC 地址与用户名和密码的对应关系存在的时间超过老化时间 时， 删除所述终端的 MAC地址与用户名和密码的对应关系。

4、如权利要求 1所述的方法，其特征在于，所述获取所述终端的介质访问控制 MAC 地址， 具体包括：

接收无线接入服务器通过半径 Radius协议或者直径 Diameter协议或者 Portal协议 传递的终端的 MAC地址， 其中， 所述无线接入服务器传递的终端的 MAC地址根据终 端发来的 HTTP请求的 MAC层报文获得。

5、 如权利要求 2所述的方法， 其特征在于， 还包括：

当接收到 HTTP请求时， 根据所述 HTTP请求报文头中的用户代理 （User-Agent) 判断终端类型， 并根据终端类型采用不同的认证策略。

6、 如权利要求 1所述的方法， 其特征在于， 完成 MAC比对后， 还包括： 通知短信中心向终端下发短信提醒消息， 并通过所述终端返回的认证确认消息判断 用户是否为仿冒用户。

7、 如权利要求 6所述的方法， 其特征在于， 所述方法还包括， 当用户为仿冒用户 时， 对用户进行下线处理， 并清除所述终端的 MAC地址与用户名和密码的对应关系。

8、 如权利要求 6-7任一所述的方法， 其特征在于， 还包括：

携带用于指示 "本次认证是否为 MAC认证" 的标识， 作为是否进行短信确认流程 的依据， 当该标识指示本次认证为 MAC认证时， 则通知短信中心向终端下发短信提醒 消息， 并通过所述终端返回的认证确认消息判断用户是否为仿冒用户； 否则， 不通知短 信中心下发短信消息。

9、 如权利要求 1所述的方法， 其特征在于， 还包括：

获取终端在 WLAN中的位置信息以及终端在移动蜂窝网中的位置信息；

根据预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位置信息的对应关系 对获取到的终端在 WLAN中的位置信息与终端在移动蜂窝网中的位置信息进行匹配， 判断是否满足预先配置的 WLAN部署的位置信息与移动蜂窝网部署的位置信息的对应 关系， 以判断用户是否为仿冒用户。

10、 如权利要求 9所述的方法， 其特征在于， 所述获取终端在 WLAN中的位置信 息以及终端在移动蜂窝网中的位置信息包括：

通过 Portal协议或者半径 Radius协议或者直径 Diameter协议从无线接入服务器获 取终端在 WLAN中的位置信息，所述终端在在 WLAN中的位置信息包括 AP标识或 AP 位置信息；

通过 MAP接口的 ATI消息向位置归属寄存器 HLR发送获取用户信息的请求，使得 所述 HLR收到请求后通过 MAP接口的 PSI消息向移动交换中心 MSC发送获取用户信 息的请求，使得所述 MSC收到所述 HLR发送的请求后通过 PSI寻呼获取终端的用户信 息， 所述终端的用户信息中包括位置区及小区位置信息； 根据所述用户信息中包括的位 置区及小区位置信息获取终端在移动蜂窝网中的位置信息； 或者通过 MAP接口的 SRI 消息向所述 HLR获取用户路由信息， 所述用户路由信息包括位置区信息， 根据所述路 由信息中的位置区信息获取终端在移动蜂窝网中的位置信息。

11、 如权利要求 9-10任一所述的方法， 其特征在于， 还包括：

携带用于指示 "本次认证是否为 MAC认证" 的标识， 以作为位置匹配单元是否进 行位置匹配操作的依据， 当该标识指示本次认证为 MAC认证时， 位置匹配单元后续进 行位置匹配操作； 否则， 不进行位置匹配操作；

所述位置匹配操作包括如权利要求 9所述的操作。

12、 一种基于 MAC地址的 WLAN认证装置， 其特征在于， 所述装置包括， 获取模块，用于当终端接入无线局域网 WLAN时，获取该终端的介质访问控制 MAC 地址；

认证模块， 用于预设的 MAC地址对通过获取模块 501获取的终端的 MAC地址进 行比对，并完成 WLAN认证;或者，所述认证模块 502用于根据所述终端首次接入 WLAN 时获取的终端 MAC地址与用户名和密码的对应关系查找该终端 MAC地址对应的用户 名和密码， 将查找到的用户名和密码发送给认证中心， 以使认证中心对所述终端进行 WLAN认证。

13、 如权利要求 12所述的装置， 其特征在于， 所述装置还包括对应关系建立模块， 所述对应关系建立模块包括接收单元和建立单元；

所述接收单元用于接收无线接入服务器发送的终端的 MAC地址， 并接收所述终端 发送的用户名和密码， 其中， 所述无线接入服务器包括宽带远程接入服务器 BRAS， 或 者存取控制器 AC， 或者无线接入点 AP;

所述建立单元用于根据所述终端的 MAC地址， 建立所述终端的 MAC地址与用户 名和密码的对应关系。

14、 如权利要求 12所述的装置， 其特征在于， 所述装置还包括短信判断模块， 用 于通知短信中心向终端下发短信提醒消息， 并通过所述短信中心返回的认证确认消息判 断用户是否为仿冒用户。

15、 如权利要求 12所述的装置， 其特征在于， 还包括：

位置获取模块， 用于获取终端在 WLAN中的位置信息以及终端在移动蜂窝网中的 位置信息；

位置判断模块， 用于根据预先配置的 WLAN部署的位置信息与移动蜂窝网部署的 位置信息的对应关系对获取到的终端在 WLAN中的位置信息与终端在移动蜂窝网中的 位置信息进行匹配， 判断是否满足预先配置的 WLAN部署的位置信息与移动蜂窝网部 署的位置信息的对应关系， 以判断用户是否为仿冒用户。

16、 如权利要求 15所述的装置， 其特征在于：

所述位置获取模块包括：

WLAN位置获取模块，用于通过 Portal协议或者半径 Radius协议或者直径 Diameter 协议从无线接入服务器获取终端在 WLAN中的位置信息，所述终端在在 WLAN中的位 置信息包括 AP标识或 AP位置信息；

移动蜂窝网位置获取模块， 用于通过 MAP接口的 ATI消息向位置归属寄存器 HLR 发送获取用户信息的请求，使得所述 HLR收到请求后通过 MAP接口的 PSI消息向移动 交换中心 MSC发送获取用户信息的请求， 使得所述 MSC收到所述 HLR发送的请求后 通过 PSI寻呼获取终端的用户信息，所述终端的用户信息中包括位置区及小区位置信息; 根据所述用户信息中包括的位置区及小区位置信息获取终端在移动蜂窝网中的位置信 息； 或者通过 MAP接口的 SRI消息向所述 HLR获取用户路由信息，所述用户路由信息 包括位置区信息，根据所述路由信息中的位置区信息获取终端在移动蜂窝网中的位置信