[发明专利]一种终端认证方法及装置

说明书

技术领域

本发明涉及一种网络通信技术领域，特别涉及一种EAP认证中的WEB认证方法、装置和系统。

背景技术

目前，移动网络通信的综合运营商同时提供蜂窝移动网络和无线相容性认证(Wireless Fidelity，Wi-Fi)网络。Wi-Fi网络作为一种应用广泛的无线局域网(Wireless Local Area Networks，WLAN)，越来越多的用户选择通过Wi-Fi网络接入运营商提供的城域网或广域网和获取相关网络资源，相关网络资源包括服务和应用，例如接入因特网(Internet)的服务。无论WLAN、城域网还是广域网，绝大部分网络资源的传输都基于传输控制/网际协议(Transmission Control Protocol/Internet Protocol，TCP/IP)。考虑到数据安全等方面的原因，需要对接入Wi-Fi网络的用户进行身份认证，只允许通过身份认证的用户接入上述运营商提供的城域网或广域网。

Wi-Fi网络中普遍采用的认证方式包括：网页(WEB)认证和可扩展认证协议(Extensible Authentication Protocol，EAP)认证。其中EAP认证的体系结构非常灵活，具有多种认证方式，例如：蜂窝移动网络中基于全球移动通信系统身份认证模块的可扩展认证协议(Extensible Authentication Protocol for GSM SubscriberIdentity Modules，  EAP-SIM)认证和基于第三代移动通信认证和密钥的可扩展认证协议(Authentication Protocol for 3G Authentication and Key Agreement，EAP-AKA)认证。进行认证的认证体系通常包括三部分：认证请求者、认证系统和认证服务器。认证请求者和认证服务器是分别连接认证系统两端的实体，认证请求者和认证服务器之间通过认证系统交换报文，认证服务器根据报文识别认证请求者的身份。认证系统每个物理端口内部包含有受控端口和非受控端口，以EAP认证为例，非受控端口始终处于双向连通状态，可随时保证接收认证请求者发出的包含局域网可扩展认证协议(Extensible Authentication Protocol over LAN，EAPoL)协议帧的EAPoL报文；受控端口只有在EAP认证成功的状态下才打开，向认证请求者传递网络资源、服务和应用。

EAP-AKA/SIM认证方式的优点在于，蜂窝移动网络的系统中已经有了能够标识用户唯一身份的SIM卡，利用SIM卡中的用户身份信息能够方便实现地认证、授权和计费(Authentication，Authorization，接入控制器counting，AAA)。WEB认证则是基于TCP/IP的一种服务，采用浏览器输入用户名和密码的方式进行认证，两者相比，EAP-AKA/SIM认证无需输入用户名和密码，因而更为便捷，用户体验更好，因此更容易被运营商接受。

以WI-FI网络中的EAP-AKA/SIM认证为例，认证请求者是能够接入Wi-Fi网络的具有SIM卡的无线终端(Wireless Terminal，WT)，认证系统是由具有无线路由功能的无线局域网接入设备(WLAN-ASN)，认证服务器是EAP认证服务器。为了说明现有技术中，在Wi-Fi网络的EAP-AKA/SIM认证方法，下面结合图1说明该方法的具体步骤：

步骤101、无线终端与接入设备建立连接；

本步骤中，在Wi-Fi网络认证中，接入设备具体是指WLAN-ASN，主要包括接入点(Access Point，AP)和接入控制器(Access Control，AC)，接入点和接入控制器共同提供Wi-Fi网络的接入服务，无线终端可以在任何一个接入点覆盖的范围内接入到Wi-Fi网络中。一般来说，接入点只用于和无线终端建立物理连接，没有为无线终端提供控制数据和报文传输的无线路由功能，无线终端通过接入点与接入控制器交换报文，由提供无线路由功能的接入控制器对接入接入点的无线终端进行管理。如果接入点支持无线路由功能，则无需接入控制器，由接入点作为接入控制器直接与无线终端建立物理连接并对无线终端提供无线路由功能。