[发明专利]一种无线终端MAC认证装置和方法

说明书

技术领域

本发明涉及无线通信技术，尤其涉及一种无线终端MAC认证装置和方法。

背景技术

在智能手机越来越普及的今天，手机接入的安全认证一直是业界关注的焦点，由于手机终端屏幕小，页面适配、输入方式等问题造成用户使用现有认证操作过程复杂，体验差。现有具备Portal认证方式因客户端需要多步操作，接入设备与服务器进行多次交互才能完成认证过程，而在2G/3G的网络模式下，因为信号传输速率低，会让用户感觉认证过程很漫长，与固定网络体验感觉差距较大；而EAP-SIM认证受限于终端和网络，部署受很大限制；传统的MAC认证，以无线关联或者DHCP报文触发MAC认证，实现用户无感知认证。但当前的MAC认证存在一定问题，用户的MAC地址为用户的唯一认证介质，但是MAC地址很容易被仿冒，一旦MAC地址被仿冒就容易引起安全问题。因此，在运营网络中，MAC地址认证应用场景有很大的局限性。

发明内容

有鉴于此，本发明提供一种无线终端MAC认证装置和方法。

具体地，本发明是通过如下技术方案实现的：

一种无线终端MAC认证装置，应用在无线接入控制设备上，所述装置包括：

属性获取单元，用于获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；

绑定查询单元，用于在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；

自动认证单元，用于在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；

认证触发单元，用于在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性。

进一步地，所述装置包括：

自动验证单元，用于在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。

进一步地，所述装置还包括：

强制下线单元，用于在所述绑定服务器验证无线终端的身份非法或者在预设的时间内所述无线终端的流量小于预设的第二阈值时，强制所述无线终端下线。

进一步地，所述强制下线单元，进一步用于在强制无线终端下线后，通知绑定服务器删除所述无线终端对应的绑定信息。

进一步地，所述无线终端的标识属性有多个，包括有无线终端的MAC地址以及无线报文中的vendor specific属性、DHCP option12、DHCP option55、DHCP option60中的一个或者多个。

一种无线终端MAC认证方法，应用在无线接入控制设备上，所述方法包括：

获取无线终端的标识属性，所述标识属性用于标识无线终端的身份信息；

在所述无线终端的流量超过预设的第一阈值时，向绑定服务器发送无线终端绑定查询请求，所述绑定查询请求中携带有无线终端的标识属性，用以供绑定服务器查询所述无线终端是否已经在所述绑定服务器上绑定；

在所述无线终端已经在所述绑定服务器上绑定时，接收所述绑定服务器模拟Portal服务器发起的认证，并向AAA服务器发起认证请求；

在所述无线终端没有在所述绑定服务器上绑定时，如果接收到无线终端的Web访问请求，则触发无线终端进行Portal认证，并在Portal认证通过后发送绑定请求给所述绑定服务器，所述绑定请求中携带有无线终端的所述标识属性。

进一步地，所述方法包括：

在认证请求通过后，定期向绑定服务器发送无线终端身份验证请求，所述身份验证请求中携带有无线终端的标识属性，用以供所述绑定服务器验证所述无线终端的身份是否合法。

进一步地，所述方法还包括：

在所述绑定服务器验证无线终端的身份非法或者在预设的时间内所述无线终端的流量小于预设的第二阈值时，强制所述无线终端下线。

进一步地，所述方法还包括：

在强制无线终端下线后，通知绑定服务器删除所述无线终端对应的绑定信息。