一种无线终端MAC认证装置和方法制造方法及图纸

本发明专利技术提供一种无线终端MAC认证装置和方法。所述方法包括：获取无线终端的标识属性；在无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，查询所述无线终端是否已经在所述绑定服务器上绑定；在无线终端已经在所述绑定服务器上绑定时，接收绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；在无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给绑定服务器，所述绑定请求中携带有无线终端的所述标识属性。通过本发明专利技术的技术方案提高了用户的上网体验。

MAC authentication device and method for wireless terminal

The invention provides a wireless terminal MAC authentication device and method. The method includes: identifying attribute access of the wireless terminal; the wireless terminal traffic exceeds the first threshold preset, the server sends the query request to bind the wireless terminal binding, query the wireless terminal is bound in the bound on the server; the wireless terminal is bound in the bound on the server, receiving simulation of Portal server initiated binding server authentication, and AAA server to initiate authentication request; not bound in the bound on the server in the wireless terminal, if the received wireless terminal Web access request triggers a wireless terminal for Portal certification, and Portal certification by sending binding request to the server after the binding, binding request carries the identity attribute with the wireless terminal. Through the technical proposal of the invention, the user's surfing experience is improved.

【技术实现步骤摘要】
一种无线终端MAC认证装置和方法
本专利技术涉及无线通信技术，尤其涉及一种无线终端MAC认证装置和方法。
技术介绍
在智能手机越来越普及的今天，手机接入的安全认证一直是业界关注的焦点，由于手机终端屏幕小，页面适配、输入方式等问题造成用户使用现有认证操作过程复杂，体验差。现有具备Portal认证方式因客户端需要多步操作，接入设备与服务器进行多次交互才能完成认证过程，而在2G/3G的网络模式下，因为信号传输速率低，会让用户感觉认证过程很漫长，与固定网络体验感觉差距较大；而EAP-SIM认证受限于终端和网络，部署受很大限制；传统的MAC认证，以无线关联或者DHCP报文触发MAC认证，实现用户无感知认证。但当前的MAC认证存在一定问题，用户的MAC地址为用户的唯一认证介质，但是MAC地址很容易被仿冒，一旦MAC地址被仿冒就容易引起安全问题。因此，在运营网络中，MAC地址认证应用场景有很大的局限性。
技术实现思路
有鉴于此，本专利技术提供一种无线终端MAC认证装置和方法。具体地，本专利技术是通过如下技术方案实现的：一种无线终端MAC认证装置，应用在无线接入控制设备上，所述装置包括：属性获取单元，用于获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；绑定查询单元，用于在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；自动认证单元，用于在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；认证触发单元，用于在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性。进一步地，所述装置包括：自动验证单元，用于在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。进一步地，所述装置还包括：强制下线单元，用于在所述绑定服务器验证无线终端的身份非法或者在预设的时间内所述无线终端的流量小于预设的第二阈值时，强制所述无线终端下线。进一步地，所述强制下线单元，进一步用于在强制无线终端下线后，通知绑定服务器删除所述无线终端对应的绑定信息。进一步地，所述无线终端的标识属性有多个，包括有无线终端的MAC地址以及无线报文中的vendorspecific属性、DHCPoption12、DHCPoption55、DHCPoption60中的一个或者多个。一种无线终端MAC认证方法，应用在无线接入控制设备上，所述方法包括：获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性。进一步地，所述方法包括：在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。进一步地，所述方法还包括：在所述绑定服务器验证无线终端的身份非法或者在预设的时间内所述无线终端的流量小于预设的第二阈值时，强制所述无线终端下线。进一步地，所述方法还包括：在强制无线终端下线后，通知绑定服务器删除所述无线终端对应的绑定信息。进一步地，所述无线终端的标识属性有多个，包括有无线终端的MAC地址以及无线报文中的vendorspecific属性、DHCPoption12、DHCPoption55、DHCPoption60中的一个或者多个。由以上描述可以看出，本专利技术绑定无线终端的多种标识属性，同时根据接入终端的标识属性定期查询其身份是否合法，一旦发现身份不合法，即强制下线，以此防止MAC仿冒，维护用户网上安全。附图说明图1是本专利技术一种实施方式中无线终端MAC认证装置的逻辑结构图；图2是本专利技术一种实施方式中无线终端MAC认证方法的流程示意图；图3是本专利技术一种实施方式中未绑定无线终端的绑定流程示意图；图4是本专利技术一种实施方式中已绑定无线终端的身份验证流程示意图。具体实施方式本申请提供一种无线终端的MAC认证方案，通过对MAC认证流程进行优化，采用MAC地址与多种终端属性绑定，例如：802.11vendorID、DHCPoption12、OPTION55和/或option60等多属性，提高MAC认证的可靠性。此方法无需终端改造，即可实现安全、可靠的无感知认证。同时，通过定期验证无线终端绑定的属性来验证其的合法性，防止仿冒者。下面以软件实现为例，详细描述本专利技术具体实现。本专利技术提供的无线终端MAC认证装置，运行在无线接入控制设备上。所述无线接入控制设备包括有：BRAS(BroadbandRemoteAccessServer，宽带远程接入服务器)、AC(AccessController，接入控制器)等设备。作为本专利技术装置的运行载体，所述无线接入控制设备通常至少包括有：CPU、内存以及非易失性存储器，当然还可能包括有各种转发芯片和I/O接口等硬件。请参考图1和图2，所述装置包括有：属性获取单元、绑定查询单元、自动认证单元、自动验证单元、认证触发单元以及强制下线单元。在一个示例性的实施方案中，该装置在运行过程中执行如下处理步骤：步骤101，属性获取单元获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息。本步骤中，所述无线终端的标识属性有多种。其中，至少包括有无线终端的MAC地址，还可以包括有无线报文中的vendorspecific属性、DHCP报文中的option12、option55以及option60等属性中的至少一种。这些属性都属于报文中固有用来标识用户信息的，很难被仿冒，这里仅列举几种了常用报文中的属性，熟悉本领域的技术人员根据技术常识可知，其他未列举的报文中包含的可以标识用户身份的属性一样可以使用在本专利技术的技术方案中，在此不再做进一步赘述。在具体实现中，无线终端关联SSID（ServiceSetIdentifier，服务集标识符）。在这个过程中，所述属性获取单元从关联过程收到的报文中获取终端的vendorspecific属性，该属性用于标识生产该终端的厂家，其格式为TLV。这个属性很难被仿冒，故具有较高的可靠性。无线终端获取IP地址，所述属性获取单元通过DHCPSNOOPING监听地址申请过程交互的报文，从报文携带的字段中获取所述无线终端的多个DHCP（DynamicHostConfi本文档来自技高网...

【技术保护点】
一种无线终端MAC认证装置，应用在无线接入控制设备上，其特征在于，所述装置包括：属性获取单元，用于获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；绑定查询单元，用于在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；自动认证单元，用于在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；认证触发单元，用于在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性；自动验证单元，用于在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。

【技术特征摘要】
1.一种无线终端MAC认证装置，应用在无线接入控制设备上，其特征在于，所述装置包括：属性获取单元，用于获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；绑定查询单元，用于在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；自动认证单元，用于在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；认证触发单元，用于在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性；自动验证单元，用于在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。2.根据权利要求1所述的装置，其特征在于，所述装置还包括：强制下线单元，用于在所述绑定服务器验证无线终端的身份非法或者在预设的时间内所述无线终端的流量小于预设的第二阈值时，强制所述无线终端下线。3.根据权利要求2所述的装置，其特征在于，所述强制下线单元，进一步用于在强制无线终端下线后，通知绑定服务器删除所述无线终端对应的绑定信息。4.根据权利要求1所述的装置，其特征在于，所述无线终端的标识属性有多个，包括有无线终端的MAC地址以及无线报文中的vendorspecific属性、DHCPoption12、DHCP...

【专利技术属性】
技术研发人员：郑涛，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33