融合Portal/Web认证和MAC认证的WLAN无感知认证方法技术

本发明专利技术公开了一种融合Portal/Web认证和MAC认证的WLAN无感知认证方法，该方法融合了Portal/Web认证和MAC认证的特性与优点。在用户终端首次接入WLAN网络时，用户通过手机号认证自身，在此过程中，作为网络接入设备的AP或AC通过控制用户的HTTP重定向请求向认证服务器传递用户终端的MAC地址信息，这样认证服务器就可以将用户信息与用户终端唯一标识MAC进行关联绑定；当用户再次接入网络或发生漫游时，WLAN基础设施AP或AC在用户终端关联网络的过程中提取其MAC地址，并利用该MAC在用户毫无感知的情况下为用户完成网络接入认证。该无感知认证方法对用户的无线终端无额外的软件安装要求，使得用户在接入WLAN网络时既能获得极佳的认证体验又能实现其身份可追溯的网络安全要求。

【技术实现步骤摘要】
融合Porta I/Web认证和MAC认证的WLAN无感知认证方法
本专利技术属于WLAN无线网络
，具体涉及一种应用在WLAN网络接入认证的无感知认证方式、装置和系统。
技术介绍
随着基于IEEE802.11协议的WLAN网络的大规模部署与实施以及移动互联网的普及，如今在机场、高铁站、商场、酒店、街区、超市等人群聚集的公共场所都可以连入WiFi无线网络，而Portal/Web认证以其简单性被广泛用于这些公共场所WLAN网络的接入认证方法，但这种认证方法存在以下缺陷以至于广大用户难以忍受其糟糕的接入体验。具体体现如下:(1)用户连接上WLAN网络之后必须打开浏览器并任意访问一个站点才能触发接入系统弹出Portal主页,然后认证上网。(2)用户每一次Portal/Web认证过程都必须输入手机号，然后获取短信，最后登入。整个过程至少需要20秒，并且操作繁琐。(3)用户在移动过程中一旦发生漫游切换，对WLAN接入系统而言就视用户已经断开过网络，而对于许多品牌的手机一旦进入待机就会通过解除关联WLAN网络来实现低功耗，这样都会致使用户不得不再次经历繁琐的Portal/Web认证过程来重新认证后才能再次上网。(4)用户每一次认证，系统都需要向其发送短信密码，这是一笔相当庞大的短信费用开销。因此，当前迫切地需要一种全新的WLAN认证机制来应对现有技术在实际应用中所遇到的上述一系列问题。本专利技术由此而来。
技术实现思路
本专利技术目的在于基于现有的WLAN网络架构提供一种用户无感知的接入认证机制和系统，接入该系统的用户只有在首次接入时需要采用现有的Portal/Web认证方法进行认证，后续无论是漫游还是再次重新接入系统都完全无感知认证的过程，解决了公共WiFi网络用户接入认证体验差的问题。为了解决现有技术中的这些问题，本专利技术提供的技术方案是:一种,用于用户通过至少由无线接入点(AP)、Portal服务器、RADIUS服务器构成的WLAN无感知认证系统进行WLAN网络接入认证，其特征在于由用户、AP或AC、Portal服务器、RADIUS服务器组成，其特征在于所述认证方法包括用户首次接入WLAN网络时所采用Portal/Web认证流程进行认证，用户后续再次接入WLAN网络时，通过RADIUS服务器在首次认证时进行的终端用户的MAC地址和用户身份信息的预先绑定自动为用户完成认证交互的步骤。优选的，基于自治型WLAN网络架构时，所述WLAN无感知认证系统由作为网络接入设备的无线接入点(AP)、Portal服务器、RADIUS服务器构成，无线接入点(AP)通过网络分别与Portal服务器、RADIUS服务器通讯；基于集中型WLAN网络架构时，所述WLAN无感知认证系统由无线接入点(AP)、作为网络接入设备的无线控制器(AC)、Portal服务器、RADIUS服务器构成，所有无线接入点(AP)与无线控制器(AC)有线连接；无线控制器(AC)通过网络分别与Portal服务器、RADIUS服务器通讯；Portal服务器用于Portal/Web认证时通过Web前端与用户进行Web交互,RADIUS服务器用于作为Portal/Web认证和无感知认证的后端服务器，将终端用户的MAC地址与用户身份信息进行绑定，并作为用户账号信息存储在数据库中。优选的，所述方法中按照Portal/Web认证流程进行认证时，作为网络接入设备的无线接入点(AP)或无线控制器(AC)需要在向用户发送的HTTP重定向报文中包含用于指向Portal服务器的地址的重定向URL、终端用户的MAC地址(STA MAC)、终端用户的IP地址(STA IP)、终端用户关联的无线网络名称(SSID)、网络接入设备名称(NAS Name)、网络接入设备 IP (NAS IP)。优选的，当采用集中型WLAN网络架构时，用户的认证数据流需要通过AP与AC之间的CAPWAP隧道集中转发到AC。优选的，所述方法中用户身份信息包括用户名、密码，当Portal服务器接收到用户请求获取动态密码的HTTP请求时，将收集到的完整用户信息全部发送给RADIUS服务器，RADIUS服务器根据这些用户信息创建用户账号信息，并将终端用户的MAC地址与用户身份信息进行绑定；所述完整用户信息包含用户名，密码，终端用户的MAC地址(STA MAC)、终端用户的IP地址(STA IP)、终端用户关联的无线网络名称(SSID)、网络接入设备名称(NASName)、网络接入设备IP (NAS IP)。优选的，所述方法中用户名为手机号，密码为为用户分配的随机密码。优选的，所述方法中当用户一旦通过Portal/Web认证成功登入网络一次之后，用户再次关联网络时，采用以下的认证交互步骤自动为用户完成认证:B1:终端用户(STA，Station)与WLAN网络按IEEE802.11协议规范进行网络关联交互；B2:作为网络接入设备的无线接入点(AP)或者无线控制器(AC)将带有终端用户的MAC地址信息通过Access Request消息向RADIUS服务器提出认证申请；B3 =RADIUS服务器检查用户终端的MAC地址是否与某个认证用户的账号信息匹配；如若匹配，则向无线接入点(AP)或者无线控制器(AC)回应表示用户认证成功的AccessResponse消息；否则返回失败。优选的,所述方法步骤B3中Access Response消息中除了带有用户认证结果信息之外，还包含用户所属用户组、用户角色、用户服务等级信息，作为网络接入设备的无线接入点(AP)或者无线控制器(AC)根据这些信息为认证成功的用户进行网络授权或者提供不同服务等级的QoS。本专利技术技术方案中用户是认证的申请者，即待认证对象，AP或AC是认证者(在自治型WLAN网络架构中，AP是认证者；在集中型WLAN网络架构中，AC是认证者)。本专利技术技术方案中该认证方法结合了 Portal/Web认证和MAC地址认证，使得用户在首次接入WLAN网络时通过手机号进行实名认证，后续用户无论是漫游还是再次接入WLAN网络都无需任何手动操作就能完成认证，做到网络认证对用户完全透明无感知，提升用户体验的同时还保证了网络安全和用户身份可追溯。该方法融合了 Portal/Web认证和MAC认证的特性与优点。在用户终端首次接入WLAN网络时，用户通过手机号认证自身，在此过程中，作为网络接入设备的AP或AC通过控制用户的HTTP重定向请求向认证服务器传递用户终端的MAC地址信息，这样认证服务器就可以将用户信息与用户终端唯一标识MAC进行关联绑定；当用户再次接入网络或发生漫游时，WLAN基础设施AP或AC在用户终端关联网络的过程中提取其MAC地址，并利用该MAC在用户毫无感知的情况下为用户完成网络接入认证。该无感知认证方法对用户的无线终端无额外的软件安装要求，使得用户在接入WLAN网络时既能获得极佳的认证体验又能实现其身份可追溯的网络安全要求。相对于现有技术中的方案，本专利技术的优点是:[0021 ] (I)在本专利技术的WLAN无感知认证系统中，继承了 Portal/Web认证的简单易用性以及用户通过手机号实名信息认证的身份可追溯性。(2)本专利技术的WLAN无感知认证方法将用户多次使本文档来自技高网...

【技术保护点】
一种融合Portal/Web认证和MAC认证的WLAN无感知认证方法，用于用户通过至少由无线接入点（AP）、Portal服务器、RADIUS服务器构成的WLAN无感知认证系统进行WLAN网络接入认证，其特征在于由用户、AP或AC、Portal服务器、RADIUS服务器组成，其特征在于所述认证方法包括用户首次接入WLAN网络时所采用Portal/Web认证流程进行认证，用户后续再次接入WLAN网络时，通过RADIUS服务器在首次认证时进行的终端用户的MAC地址和用户身份信息的预先绑定自动为用户完成认证交互的步骤。

【技术特征摘要】
1.一种融合Portal/Web认证和MAC认证的WLAN无感知认证方法,用于用户通过至少由无线接入点(AP)、Portal服务器、RADIUS服务器构成的WLAN无感知认证系统进行WLAN网络接入认证，其特征在于由用户、AP或AC、Portal服务器、RADIUS服务器组成，其特征在于所述认证方法包括用户首次接入WLAN网络时所采用Portal/Web认证流程进行认证，用户后续再次接入WLAN网络时，通过RADIUS服务器在首次认证时进行的终端用户的MAC地址和用户身份信息的预先绑定自动为用户完成认证交互的步骤。2.根据权利要求1所述的WLAN无感知认证方法，其特征在于基于自治型WLAN网络架构时，所述WLAN无感知认证系统由作为网络接入设备的无线接入点(AP)、Portal服务器、RADIUS服务器构成，无线接入点(AP)通过网络分别与Portal服务器、RADIUS服务器通讯；基于集中型WLAN网络架构时，所述WLAN无感知认证系统由无线接入点(AP)、作为网络接入设备的无线控制器(AC)、Portal服务器、RADIUS服务器构成，所有无线接入点(AP)与无线控制器(AC)有线连接；无线控制器(AC)通过网络分别与Portal服务器、RADIUS服务器通讯；Portal服务器用于Portal/Web认证时通过Web前端与用户进行Web交互,RADIUS服务器用于作为Portal/Web认证和无感知认证的后端服务器，将终端用户的MAC地址与用户身份信息进行绑定，并作为用户账号信息存储在数据库中。3.根据权利要求2所述的WLAN无感知认证方法，其特征在于所述方法中按照Portal/Web认证流程进行认证时，作为网络接入设备的无线接入点(AP)或无线控制器(AC)需要在向用户发送的HTTP重定向报文中包含用于指向Portal服务器的地址的重定向URL、终端用户的MAC地址(STAMAC)、终端用户的IP地址(STA IP )、终端用户关联的无线网络名称(SSID)、网络接入设备名称(NAS Name)、网络接入设备IP (NAS IP)。4.根据权利要求2所...

【专利技术属性】
技术研发人员：陈煜，
申请(专利权)人：苏州汉明科技有限公司，
类型：发明
国别省市：