10A019 中国移动无线局域网WLAN用户接入流程技术规范V300.docx
《10A019 中国移动无线局域网WLAN用户接入流程技术规范V300.docx》由会员分享,可在线阅读,更多相关《10A019 中国移动无线局域网WLAN用户接入流程技术规范V300.docx(25页珍藏版)》请在冰豆网上搜索。
10A019中国移动无线局域网WLAN用户接入流程技术规范V300
中国移动通信企业标准
QB-A-019-2010
中国移动无线局域网(WLAN)用户接入流程技术规范
TechnicalSpecificationForCMCCWLANUserAccess
版本号:
3.0.0
2011-3-30实施
2011-3-30发布
中国移动通信集团公司发布
目录
前言II
1范围1
2规范性引用文件1
3术语、定义和缩略语2
4WEB认证系统结构3
5用户接入认证流程3
5.1基本认证流程4
5.2自动认证流程7
5.3漫游接入认证流程11
6WEB用户下线流程12
7用户在线冲突处理流程14
8协议16
9WEB认证安全问题17
10编制历史17
前言
本标准的目的是制定中国移动无线局域网(WLAN)用户接入流程技术规范。
本标准包括的主要内容,或修订的主要内容。
本标准是WLAN系列标准之一,该系列标准名称如下:
序号
标准编号
标准名称
[1]
QB-D-055-2010
中国移动无线局域网(WLAN)业务规范
[2]
QB-D-056-2010
中国移动无线局域网(WLAN)业务总体技术要求
[3]
QB-A-016-2010
中国移动无线局域网(WLAN)AP、AC设备规范
[4]
QB-A-017-2010
中国移动无线局域网(WLAN)Portal、Radius设备规范
[5]
QB-A-018-2010
中国移动无线局域网(WLAN)设备接口规范》
[6]
QB-A-019-2010
中国移动无线局域网(WLAN)用户接入流程技术规范
[7]
QB-A-020-2010
中国移动无线局域网(WLAN)AP、AC设备测试规范
[8]
QB-A-021-2010
中国移动无线局域网(WLAN)Portal、Radius设备测试规范
[9]
QB-D-057-2010
中国移动无线局域网(WLAN)用户界面规范
[10]
QB-E-021-2010
中国移动无线局域网(WLAN)客户端规范
[11]
QB-E-022-2010
中国移动无线局域网(WLAN)终端技术规范
[12]
中国移动无线局域网(WLAN)客户端测试规范
[13]
QB-E-023-2010
中国移动无线局域网(WLAN)终端测试规范
[14]
QB-W-033-2010
中国移动无线局域网(WLAN)网络管理总体技术要求
[15]
QB-W-034-2010
中国移动无线局域网(WLAN)网络管理功能要求
[16]
QB-W-035-2010
中国移动无线局域网(WLAN)设备网管接口技术规范
[17]
QB-W-036-2010
中国移动无线局域网(WLAN)设备网管接口测试规范
[18]
中国移动无线局域网(WLAN)工程验收规范
本标准由中移技﹝2011﹞89号印发。
本标准由中国移动通信集团计划部提出,集团公司技术部归口。
本标准起草单位:
中国移动通信研究院
本标准主要起草人:
周博、邵春菊、吕超源、杨光、刘佳、蓝思中、王桢珍、刘利军
1范围
本标准规定了中国移动WLAN用户接入流程技术规范,主要包括WEB认证系统结构、WEB用户接入流程、WEB用户下线流程、协议、协议参数及WEB认证安全问题等,供中国移动内部和厂商共同使用;适用于和中国移动通信集团开展WLAN业务相关的各项技术和业务规范,作为中国移动通信集团进行WLAN业务系统建设,业务开发,维护和管理的技术依据。
对本标准内容作如下约定:
(1)本标准中的功能要求,优先级分为基本和可选。
各项要求中明确了相应的优先级。
功能要求以外的要求,如无特殊说明,优先级均为基本。
(2)对于优先级的说明:
a)必须支持:
最基本的需求,一旦缺少则网络难以运行或提供业务;
b)有条件支持:
无需对全网要求,但在某些应用场景下很重要;
c)可选支持:
长期重点关注的需求,对改善网络性能以及节省网络运营成本有帮助的、并且有利于后期业务发展和网络建设的功能。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1规范性引用文件
序号
标准编号
标准名称
发布单位
[1]
1999Edition[ISO/IEC8802-11:
1999]
StandardsforLocalandMetropolitanAreaNetworks-WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)Specifications.
IEEEStd.802.11
[2]
1999Edition[ISO/IEC8802-11:
1999]
StandardsforLocalandMetropolitanAreaNetworks-Part11:
WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)Specifications:
High-SpeedPhysicallayerExtensioninthe2.4GHzBand.
IEEEStd.802.11b
[3]
2001
RecommendedPracticesforMulti-VendorAccessPointInteroperabilityviaInter-AccessPointProtocolacrossDistributionSystemssupportingIEEEP802.11operation.
IEEEP802.11f
[4]
2001
StandardsforLocalandMetropolitanAreaNetworks-Specificrequirements-Part11:
WirelessLANMediumAccessControl(MAC)andPhysicalLayer(PHY)specifications:
MediumAccessMethod(MAC)SecurityEnhancements.
IEEE802.11i
[5]
RFC2865
RemoteAuthenticationDialInUserService(RADIUS),C.Rigney,S.Willens,A.Rubens,W.Simpson,June2000.
IETF
[6]
RFC2866
RADIUSAccounting,C.Rigney,June2000.
IETF
[7]
RFC2869
RADIUSExtension,C.Rigney,W.Willats,P.Calhoun,June2000.
IETF
[8]
RFC2131
DynamicHostConfigurationProtocol.R.Droms.March1997.
IETF
[9]
RFC2132
DHCPOptionsandBOOTPVendorExtensions.S.Alexander,R.Droms.March1997.
IETF
[10]
RFC1945
HypertextTransferProtocol--HTTP/1.0.T.Berners-Lee,R.Fielding,H.Frystyk.May1996.
IETF
[11]
RFC2616
HypertextTransferProtocol--HTTP/1.1.R.Fielding,J.Gettys,J.Mogul,H.Frystyk,L.Masinter,P.Leach,T.Berners-Lee.June1999.
IETF
[12]
RFC2246
TheTLSProtocolVersion1.0.T.Dierks,C.Allen.January1999.
IETF
[13]
RFC3576
DynamicAuthorizationExtensionstoRemoteAuthenticationDialInUserService(RADIUS)
IETF
[14]
《中国移动WLAN业务总体技术要求》
中国移动通信集团公司
术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:
表3-1缩略语
词语
解释
AP
AccessPoint接入点
AC
AccessController访问控制器
DHCP
DynamicHostConfigurationProtocol动态主机配置协议
DNS
DomainNameService域名服务器
HTTP
HyperTextTransportProtocol超文本传送协议
NAI
NetworkAccessIdentifier网络接入点标识符
RADIUS
RemoteAuthenticationDialInUserService远端拨入用户验证服务
WLAN
WirelessLocalAreaNetwork无线局域网
AAA
Authentication,Authorization,Accounting验证、授权与计费
SSL
SecureSocketsLayer安全套接字层
CHAP
ChallengeHandshakeAuthenticationProtocol询问握手鉴权协议
WEB认证系统结构
基于WEB认证方式,是以Radius作为WLAN用户接入认证点。
图4-1给出了基于WEB方式的帐号/口令认证系统结构。
图4-1基于WEB方式的帐号/口令认证系统结构
•WLAN用户终端
WLAN用户终端分为普通WLAN终端及定制终端:
普通终端是指含WLAN模块的各类终端;定制终端是指含WLAN模块支持WAPI功能且满足中国移动定制要求的手机终端。
具体参考《中国移动WLAN业务总体技术要求》。
•WLAN接入点(AP)
接入点设备AP是无线用户的接入点,需符合802.11a/b/g/n,并确保与不同WLAN终端的兼容互通。
具体参考《中国移动WLAN业务总体技术要求》和《中国移动无线局域网(WLAN)AP、AC设备规范》。
•WLAN业务用户接入控制器(AC)
WLAN接入控制器(AC)主要完成WLAN用户的接入控制,计费信息采集以及无线业务管理和控制。
AC从功能逻辑角度划分,包括“用户接入控制功能”和“无线控制功能”。
具体参考《中国移动WLAN业务总体技术要求》和《中国移动无线局域网(WLAN)AP、AC设备规范》。
•PORTAL服务器
完成向WLAN用户推送认证页面(支持电脑和手机终端格式)。
Portal设备采用集团、分省两级架构。
集团一级Portal服务器采用集中建设原则,全网部署一套,面向公众用户及部分省高校用户提供服务。
省内二级Portal服务器采用集中建设原则,各省只部署一套,面向省内高校用户提供服务。
具体参考《中国移动WLAN业务总体技术要求》和《中国移动无线局域网(WLAN)Portal、Radius设备规范》。
•RADIUS用户认证服务器
RADIUS用户认证服务器完成基于WEB方式的用户认证。
RADIUS收到来自AC的用户认证服务请求后,对用户进行认证,并将认证结果通知AC。
具体参考《中国移动WLAN业务总体技术要求》和《中国移动无线局域网(WLAN)Portal、Radius设备规范》。
用户接入认证流程
用户认证发生在用户接入流程之中,用户接入时依次进行IP地址分配、强制Portal、认证(含用户合法性检查)、中国移动门户网站推送等,必须经过认证通过后,用户才能使用WLAN业务。
基本认证流程
WebPortal接入的基本认证有两种:
CHAP和PAP,其中CHAP方式为必选功能,PAP方式为可选功能。
图5-1给出了WLAN用户的CHAP认证接入流程。
图5-1WLAN用户CHAP接入流程
流程描述:
1)用户通过标准的DHCP协议,通过AC获取到规划的IP地址。
2)用户打开IE,访问某个网站,发起HTTP请求。
3)AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。
并在强制PortalURL中加入相关参数,具体请参见《中国移动WLAN设备接口规范》。
4)Portal服务器向WLAN用户终端推送WEB认证页面(WEB页面可分为多个子框架,每个子框架对应一个URL地址,其中包含“用户名/密码”登录选项的子框架,需采取HTTPS请求,其余子框架采取HTTP请求)。
5)用户在认证页面上填入帐号、密码等信息,以HTTPSPOST的方式提交到Portal服务器。
6)Portal服务器接收到用户信息,向Radius发出用户信息查询请求。
7)Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)、用户在线状态。
8)如查询成功且用户不在线,Portal服务器按照CHAP流程向AC请求Challenge。
如查询成功且用户在线,则参见图7-1所示的在线冲突处理流程及其流程描述。
如果查询失败,Portal直接返回提示信息给用户,流程至此结束。
9)AC返回Challenge,包括ChallengeID和Challenge。
10)Portal将密码和ChallengeID及Challenge做MD5算法后的Challenge-Password,
和帐号一起提交到AC,发起认证。
11)AC将ChallengeID、Challenge、Challenge-Password、Called-Station-ID和帐号一起送到中央RADIUS用户认证服务器,由中央RADIUS用户认证服务器进行认证。
12)中央RADIUS服务器根据用户信息判断用户是否合法。
RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。
如果其中一次成功,RADIUS向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权。
如果两次都失败,RADIUS向AC返回认证失败报文,其Reject消息中应采用Radius标准错误代码,需满足《中国移动无线局域网(WLAN)Portal、Radius设备规范》的要求。
13)AC返回认证结果给Portal服务器。
(以及相关业务属性)
14)Portal服务器根据认证结果,推送认证结果页面。
如果成功,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒。
如果失败,页面提示用户失败原因。
15)Portal服务器回应AC收到认证结果报文。
如果认证失败,则流程到此结束。
16)认证如果成功,AC发起计费开始请求给中央RADIUS用户认证服务器。
17)中央RADIUS回应计费开始响应报文,并将响应信息返回给AC。
用户上线完毕,开始上网。
18)在用户上网过程中,为了保护用户计费信息,每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息。
19)中央RADIUS计费服务器回应实时计费确认报文给AC。
20)当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
21)中央RADIUS计费服务器回应AC的计费结束报文。
自动认证流程
自动认证流程分为开通及认证、自动认证登录、取消三种流程。
开通及认证流程是在用户接入时通过向用户推送含开通自动认证选项的认证页面,并且由用户进行选择进行自动认证的开通。
开通及认证流程主要包括用户接入时进行IP地址分配、向用户推送含开通自动认证选项的认证页面、用户选择开通自动认证、认证(记录开通时间和到期时间)、推送中国移动门户网站并向终端写入加密Cookie等。
在开通自动认证后,在有效期内,用户如再次接入WLAN网络,认证流程中不要求用户输入密码,可以实现自动认证。
取消是在下线时由用户选择取消自动登录服务选项来实现。
图5-2给出了WLAN用户开通自动认证服务的流程。
图5-2WLAN用户开通自动认证服务的流程
流程描述:
1)终端关联AP后,AC设备通过DHCP协议为终端分配IP地址;
2)终端发起HTTP业务请求;
3)AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。
并在强制
PortalURL中加入相关参数,具体请参见《中国移动WLAN设备接口规范》;
4)Portal服务器向WLAN用户终端发送HTTP响应,其中包含WEB认证页面的地址(WEB
页面可分为多个子框架,每个子框架对应一个URL地址,其中包含“用户名/密码”
登录选项的子框架,需采取HTTPS请求,其余子框架采取HTTP请求),WEB页面提供
开通自动登录服务选项;
5)用户在认证页面上填入用户名、密码信息,并选择开通自动登录服务,以HTTPSPOST方式提交到Portal服务器;
6)Portal服务器接收到用户信息,判断用户本次登录是否选择了开通自动登录服务,并依照用户选择向Radius服务器发送相应的字段值;
7)Radius验证用户名/密码,查询用户信息及在线状态。
如果验证用户失败,Portal直接返回提示信息给用户,流程至此结束。
如果验证成功,且用户不在线,则RADIUS向Portal返回查询结果,如果该用户为套餐用户,且选择了开通自动登录服务,则查询结果中代表用户自动认证信息的字段必须包含该用户自动登录服务开通时间(14位)+自动登录服务到期时间(14位),具体格式定义请参见《中国移动WLAN设备接口规范》;对于其它场景,代表用户自动认证信息的字段值取空。
如果验证成功,且用户在线,则参见图7-1所示的在线冲突处理流程及其流程描述。
8-12)采用CHAP流程,Portal/AC/Radius服务器之间进行用户认证。
如果认证成功,RADIUS将该用户列为自动认证用户,记录该用户的自动登录服务开通时间和到期时间(如果该用户之前曾开通过自动登录服务,RADIUS已经保存该用户之前的开通服务时间和到期时间信息,则自动以本次新的开通服务时间和到期时间替代旧的开通服务时间和到期时间);否则,丢弃该信息(RADIUS维护自动认证用户信息);
13)AC返回认证结果给Portal服务器;
14)如果认证成功,Portal服务器在向终端发送HTTPS响应的同时,向终端写入加密的Cookie(Cookie必须开启“Security”属性,确保只有在HTTPS方式下才能携带该Cookie信息),记录用户名和用户开通了自动认证服务的信息;如果认证失败,页面提示用户失败信息。
15)Portal服务器回应AC收到认证结果报文。
如果认证失败,则流程到此结束;
16-17)如果认证成功,开始后续的计费流程。
在有效期内,用户如再次登录WLAN网络,可以实现自动认证,图5-3给出了有效期内用户自动认证流程。
图5-3有效期内用户自动认证流程
1)终端关联AP后,AC设备通过DHCP协议为终端分配IP地址;
2)终端发起HTTP业务请求;
3)AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。
并在强制PortalURL中加入相关参数,,具体请参见《中国移动WLAN设备接口规范》;
4-5)Portal服务器向WLAN用户终端发送HTTP响应,其中包含WEB认证页面的地址(WEB页面可分为多个子框架,每个子框架对应一个URL地址,其中包含“用户名/密码”登录选项的子框架,终端需发送HTTPS请求,Portal进行HTTPS响应,并主动读取加密Cookie信息;对于其它子框架,终端发送HTTP请求);
6)Portal向RADIUS发起的用户登信息查询请求中,密码置空,携带用户为自动认证用户的信息,并携带用户开通自动登录服务时间和到期时间信息;
7)RADIUS判断该用户为自动认证用户,并将Portal送来的用户开通自动登录服务时间和到期时间信息,与RADIUS服务器保存的用户开通自动登录服务时间和到期时间信息进行比对,验证该用户是否合法。
如果验证成功且用户不在线,RADIUS向Portal返回查询结果。
如果验证成功且用户在线,则参考图7-2所示的在线冲突处理流程(请求上线用户登陆采用Cookie自动认证)及其流程描述。
如果验证用户不合法,RADIUS向Portal返回失败信息,Portal向用户推送WEB页面进行用户名/密码认证;
8-17)后续流程完成用户鉴权、计费等相关流程。
图5-4给出了取消自动认证流程。
图5-4取消自动认证流程
1)当用户需要下线时,如果希望取消自动登录服务,可以选择取消自动登录服务选项,并点击下线按钮,向Portal服务器发起一个下线请求;
2)Portal服务器向AC发起下线请求;
3)AC返回下线结果给Portal服务器;
4-5)Portal服务器向RADIUS发送取消自动登录服务请求,RADIUS取消用户自动认证的相关信息;
6)Portal服务器根据下线结果,推送含有对应信息的页面给用户,同时清除Cookie;
7)当AC收到下线请求时,向RADIUS服务器发计费结束报文;
8)RADIUS服务器回应AC的计费结束报文。
漫游接入认证流程
图5-5漫游认证流程图
1)用户到达漫游地(漫游服务提供商的合作运营商的WLAN热点接入网络)之后,探测、关联并获取IP地址;
2)用户选择WLAN接入网络后,向AC发起认证请求,AC将请求重定向到一级Portal;
3)用户选择归属运营商(专用客户端可自动选择)后,重定向至二级Portal;
4)二级Portal为用户推送与归属地相似的认证页面;
5)用户输入帐号及密码,发送认证请求;
6)二级Portal转发认证请求给一级Portal,一级Portal查询用户名后缀的国家及运营商编码是否在已经开通国际漫游的编码表范围内,如果在则继续认证流程,如果不在则在Login-Response的Response_code属性中返回错误代码101给二级Portal;
7)以CHAP为例,一级Portal向AC发送请求Challenge;
8)AC返回分配Challenge;
9)一级Portal将认证请求转发给AC;
10)AC向漫游地运营商的AAA服务器发起认证请求;
11)漫游地运营商的AAA服务器判断漫游用户所属的漫游服务提供商,向漫游服务提供商认证服务器转发该认证请求;
升级会员 