中国移动WLAN用户接入流程技术规范WEBV206全解.docx

中国移动WLAN用户接入流程技术规范WEBV206全解.docx

《中国移动WLAN用户接入流程技术规范WEBV206全解.docx》由会员分享，可在线阅读，更多相关《中国移动WLAN用户接入流程技术规范WEBV206全解.docx（31页珍藏版）》请在冰点文库上搜索。

中国移动WLAN用户接入流程技术规范WEBV206全解

2008-4-2实施

2008-4-2发布

中国移动通信有限公司发布

QB-D-028-2008

中国移动通信企业标准

中国移动WLAN用户接入流程技术规范（WEB）

TechnicalSpecificationForCMCCWLANUserAccess（WEB）

（WEB）

版本号：

2.0.0

目录

1.范围1

2.规范性引用文件1

3.术语、定义和缩略语2

4.WEB认证系统结构2

5.WEB用户接入流程3

6.WEB用户下线流程5

7.协议7

8.协议参数8

9.WEB认证安全问题10

10.编制历史10

附录A详细修订历史11

附录BWLAN接入设备编号11

附录CWLAN接入设备编号中PRO字段的代码分配11

附录D计费要求12

前言

本标准的目的是制定中国移动基于WEB方式的WLAN用户接入规范和协议。

本标准主要包括以下几方面内容：

WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等。

本标准的附录B、C、D为标准性附录，附录A为资料性附录。

本标准由中移有限技〔2008〕49号印发。

本标准由中国移动通信有限公司技术部提出并归口。

本标准由标准归口部门负责解释。

本标准起草单位：

中国移动通信有限公司研究院

本标准主要起草人：

吕志虎，黄宇红，周文辉，邵春菊

1.范围

本标准规定了中国移动基于WEB方式的WLAN用户接入规范和协议，主要包括WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等内容，供中国移动内部和厂商共同使用；根据中国移动WLAN业务总体技术要求制定，适用于中国移动WLAN业务采用WEB认证方式时遵循的标准。

2.规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

表2-1规范性引用文件

[1]

1999Edition[ISO/IEC8802-11:

1999]

StandardsforLocalandMetropolitanAreaNetworks-WirelessLANMediumAccessControl（MAC）andPhysicalLayer（PHY）Specifications.

IEEEStd.802.11

[2]

1999Edition[ISO/IEC8802-11:

1999]

StandardsforLocalandMetropolitanAreaNetworks-Part11:

WirelessLANMediumAccessControl（MAC）andPhysicalLayer（PHY）Specifications:

High-SpeedPhysicallayerExtensioninthe2.4GHzBand.

IEEEStd.802.11b

[3]

2001

RecommendedPracticesforMulti-VendorAccessPointInteroperabilityviaInter-AccessPointProtocolacrossDistributionSystemssupportingIEEEP802.11operation.

IEEEP802.11f

[4]

2001

StandardsforLocalandMetropolitanAreaNetworks-Specificrequirements-Part11:

WirelessLANMediumAccessControl（MAC）andPhysicalLayer（PHY）specifications:

MediumAccessMethod（MAC）SecurityEnhancements.

IEEE802.11i

[5]

RFC2865

RemoteAuthenticationDialInUserService（RADIUS）,C.Rigney,S.Willens,A.Rubens,W.Simpson,June2000.

IETF

[6]

RFC2866

RADIUSAccounting,C.Rigney,June2000.

IETF

[7]

RFC2869

RADIUSExtension,C.Rigney,W.Willats,P.Calhoun,June2000.

IETF

[8]

RFC2131

DynamicHostConfigurationProtocol.R.Droms.March1997.

IETF

[9]

RFC2132

DHCPOptionsandBOOTPVendorExtensions.S.Alexander,R.Droms.March1997.

IETF

[10]

RFC1945

HypertextTransferProtocol--HTTP/1.0.T.Berners-Lee,R.Fielding,H.Frystyk.May1996.

IETF

[11]

RFC2616

HypertextTransferProtocol--HTTP/1.1.R.Fielding,J.Gettys,J.Mogul,H.Frystyk,L.Masinter,P.Leach,T.Berners-Lee.June1999.

IETF

[12]

RFC2246

TheTLSProtocolVersion1.0.T.Dierks,C.Allen.January1999.

IETF

[13]

《中国移动WLAN业务总体技术要求》

中国移动通信集团公司

3.术语、定义和缩略语

下列术语、定义和缩略语适用于本标准：

表3-1缩略语定义

词语

解释

AP

AccessPoint

AC

AccessController

DHCP

DynamicHostConfigurationProtocol

DNS

DomainNameService

HTTP

HyperTextTransportProtocol

NAI

NetworkAccessIdentifier

RADIUS

RemoteAuthenticationDialInUserService

WLAN

WirelessLocalAreaNetwork

AAA

Authentication，Authorization，Accounting

SSL

SecureSocketsLayer

CHAP

ChallengeHandshakeAuthenticationProtocol

4.WEB认证系统结构

基于WEB认证方式，是以AC/SC作为WLAN用户接入认证点。

图4.1给出了基于WEB方式的帐号/口令认证系统结构。

图4.1基于WEB方式的帐号/口令认证系统结构

•WLAN用户终端

WLAN用户终端要求安装802.11b/g无线网卡和WEB浏览器软件。

•WLAN接入点（AP）

AP用于WLAN用户的无线接入。

•WLAN业务用户接入认证点和业务控制点（AC/SC）

作为WLAN业务用户接入认证点，AC检查连接用户是否已经通过用户认证，并和后台WLANWEB认证服务器协同工作完成对WLAN用户的认证。

同时，作为业务控制点，用于用户在WLAN接入过程中的业务控制，包括强制PORTAL等。

•PORTAL服务器

完成向WLAN用户推送认证页面和门户网站。

•RADIUS用户认证服务器

RADIUS用户认证服务器完成基于WEB方式的用户认证。

5.WEB用户接入流程

WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。

用户接入认证方式有两种：

CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。

图5.1给出了WEB用户CHAP认证接入流程。

图5.1用户WEB接入流程

流程描述：

1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址。

2）用户打开IE，访问某个网站，发起HTTP请求。

3）AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

并在强制PortalURL中加入相关参数，具体请参见《中国移动WLAN业务PORTAL协议规范》。

4）Portal服务器向WLAN用户终端推送WEB认证页面。

5）用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。

6）Portal服务器接收到用户信息，向Radius发出用户信息查询请求。

7）Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长（SessionTimeout）、手机用户及卡用户的套餐剩余时长信息（AvailableTime）。

8）如查询成功，Portal服务器按照CHAP流程向AC请求Challenge。

如果查询失败，Portal直接返回提示信息给用户，流程至此结束。

9）AC返回Challenge，包括ChallengeID和Challenge。

10）Portal将密码和ChallengeID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。

11）AC将ChallengeID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证。

12）中央RADIUS服务器根据用户信息判断用户是否合法（对于省内预付费卡用户，还需要判断用户接入地和归属地是否一致）。

RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。

如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。

如果两次都失败，RADIUS向AC返回认证失败报文。

13）AC返回认证结果给Portal服务器。

（以及相关业务属性。

）

14）Portal服务器根据认证结果，推送认证结果页面。

如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。

如果失败，页面提示用户失败原因。

15）Portal服务器回应AC收到认证结果报文。

如果认证失败，则流程到此结束。

16）认证如果成功，AC发起计费开始请求给中央RADIUS用户认证服务器。

17）中央RADIUS回应计费开始响应报文，并将响应信息返回给AC。

用户上线完毕，开始上网。

18）在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。

19）中央RADIUS计费服务器回应实时计费确认报文给AC。

20）当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。

21）中央RADIUS计费服务器回应AC的计费结束报文。

6.WEB用户下线流程

WEB用户下线流程包括用户主动下线和异常下线两类情况。

异常下线指AC侦测到用户下线。

图6.1给出了用户主动下线流程。

图6.1用户WEB接入流程－正常下线流程

1）当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。

2）Portal服务器向AC发起下线请求。

3）AC返回下线结果给Portal服务器。

4）Portal服务器根据下线结果，推送含有对应的信息的页面给用户。

5）当AC收到下线请求时，向中央RADIUS用户认证服务器发计费结束报文。

6）中央RADIUS用户认证服务器回应AC的计费结束报文。

图6.2给出了当AC侦测到用户异常下线时的下线流程。

图6.2AC侦测 WLAN用户异常下线流程

1）AC侦测到用户下线，向Portal服务器发出下线请求。

2）Portal服务器回应下线成功。

3）当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。

4）中央RADIUS计费服务器回应AC的计费结束报文。

图6.3给出了AC强制用户下线时的流程。

图6.3用户强制下线流程

1）AC侦测到用户的本次连接最大允许接入时间结束，向Portal服务器发出下线请求。

2）Portal服务器回应下线成功,并向用户推送下线结果页面。

3）当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。

4）中央RADIUS计费服务器回应AC的计费结束报文。

7.协议

“中国移动WLAN用户接入流程技术规范—WEB”基于如下标准或者草案：

•AC和认证服务器之间所使用的协议为RADIUS协议，参见[5]，[6]，[7]；

•WLAN用户终端申请和分配IP地址所使用的协议为DHCP协议，参见[8]，[9]；

•WLAN用户终端和PORTAL服务器之间采用标准的HTTP和HTTPs协议，参见[10]，[11]，[12]；

•WLAN用户终端和AP之间所使用的协议为802.11,参见[1]、[2]、[3]、[4]；

•在AC和Portal服务器之间通过Portal协议交互，参见《中国移动WLAN业务Portal协议和规范》。

8.协议参数

本技术规范中所涉及到的标准协议参数中，如无特别说明，都遵照原标准协议或者草案。

RADIUS报文

YES表明报文中携带此属性，NO表明报文中不携带此属性，其他未给出标准属性为可选。

属性名

UserInfo-Request

UserInfo-Response

Access-Request

Access-Accept/Reject

Accounting-Request（Start）

Accounting-Request（Interim-Update）

Accounting-Request（Stop）

说明

User-Name

YES

YES

YES

YES

YES

YES

YES

当采用基于WEB的帐号/口令认证方式时，该属性值为“用户手机号@域名”，在支持不同运营商之间的漫游时域名由用户输入

NAS-IP-Address

NO

NO

YES

NO

YES

YES

YES

WLAN用户接入认证点IP地址。

Calling-Station-ID

NO

NO

YES

NO

YES

YES

YES

WLAN用户MAC地址。

User-Password

YES

YES

NO

NO

NO

NO

CHAP-Challenge

NO

NO

YES

NO

NO

NO

NO

CHAP-Password

NO

NO

YES

NO

NO

NO

NO

NAS-Identifier

NO

NO

YES

NO

YES

YES

YES

用于表示接入设备编号，该设备编号由中国移动统一制定，详细请参见“中国移动WLAN业务总体技术要求

NAS-Port-Id

NO

NO

YES

NO

YES

YES

YES

Acct-Status-Type

NO

NO

NO

NO

YES

YES

YES

Acct-Input-Octets

NO

NO

NO

NO

NO

YES

YES

Acct-Output-Octets

NO

NO

NO

NO

NO

YES

YES

Acct-Session-Id

NO

NO

NO

NO

YES

YES

YES

唯一的标识一个会话的值，在很长的时间内都不重复（即使设备重启了）

Acct-Session-Time

NO

NO

NO

NO

NO

YES

YES

Acct-Input-Packets

NO

NO

NO

NO

NO

YES

YES

Acct-Output-Packets

NO

NO

NO

NO

NO

YES

YES

Acct-Input-Gigawords

NO

NO

NO

NO

NO

YES

YES

Acct-Output-Gigawords

NO

NO

NO

NO

NO

YES

YES

Session-TimeOut

NO

YES

NO

YES

YES

NO

NO

配置WLAN用户每次连接最长时间。

超过该时长后，用户被切断。

Available-Time

NO

YES

NO

NO

NO

NO

NO

手机用户及卡用户的套餐剩余时长。

Acct_Interim_Interval

NO

NO

NO

YES

NO

NO

NO

配置实时计费信息采集的时间间隔。

Proxy-State

YES

YES

YES

YES

YES

YES

YES

涉及RADIUS之间的认证计费转发时必须携带。

WLAN漫游的时候，各级Proxy都可以在请求报文中增加Proxy状态，如果原来的报文中存在Proxy-State属性则增加的Proxy-State属性必须放在所有的Proxy-State属性之后。

下级PROXY必须原封不动的转发Proxy-State属性。

9.WEB认证安全问题

•在WLAN用户终端和PORTAL服务器之间，通过HTTPs保证用户信息安全。

•在PORTAL服务器、AC和RADIUS之间，通过CHAP协议保证用户认证信息的安全。

10.编制历史

版本号

更新时间

主要内容或重大修改

1.0.0

2002/7/31

通过相关部门评审

2.0.0

2008/2/25

根据业务部门提出的分省运营、全品牌业务开放的需求，修订相关流程，通过相关部门评审，完成报批稿

附录A详细修订历史

1、2002年7月31日，通过相关部门评审，完成报批稿v1.0.0；

2、2007年9月26日，增加奥运业务支持、分省运营流程，完成送审稿v1.1.0；

3、2008年2月25日，根据业务部门提出的分省运营、全品牌业务开放的需求，修订相关流程，通过相关部门评审，完成报批稿v2.0.0。

附录BWLAN接入设备编号

•接入点（AP）ESSID的编号

接入点（AP）ESSID的编号用于控制用户接入，中国移动接入点（AP）ESSID的编号为CMCC。

•WLAN用户接入地编号

WLAN用户接入地编号用于支持漫游计费和结算。

接入控制器（AC）或者接入点（AP）的设备编号形式为：

HST.CTY.PRO.OPE.NAT

其中：

•HST表示WLAN热点覆盖地区，由4位数字组成，各省自己规划和分配，该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。

•CTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示,右对齐左填零。

•PRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表。

•OPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。

•NAT表示WLAN所属的国家或者地区，由3位数字组成，中国为460。

附录CWLAN接入设备编号中PRO字段的代码分配

省份/自治区/直辖市

代码

北京

100

天津

220

河北

311

山西

351

内蒙古

471

辽宁

240

吉林

431

黑龙江

451

上海

210

江苏

250

浙江

571

安徽

551

福建

591

江西

791

山东

531

河南

371

湖北

270

湖南

731

广东

200

海南

898

广西

771

重庆

230

四川

280

贵州

851

云南

871

陕西

290

甘肃

931

青海

971

宁夏

951

新疆

991

西藏

891

附录D计费要求

AC或者AP作为计费信息采集前端，采集WLAN用户的计费原始数据信息，通过RADIUS协议接口传送给认证服务器。

为了保证计费信息的安全性，计费信息采集前端必须在指定的时间间隔内实时传送计费采集信息。

计费原始数据信息包括：

•用户身份信息

当采用帐号/密码方式时，用户身份信息使用手机号；当采用SIM认证方式时，用户身份信息使用IMSI。

•连接会话标识 

•连接时长

•连接起始时间

•连接结束时间

•数据流量

•上行数据流量

•下行数据流量

•计费信息采集前端设备IP地址

•计费信息采集前端设备标识 

计费信息采集前端设备标识 用来识别用户的接入地，实现不同城市和省份之间的结算。

认证服务器主要是AS和中国移动中央RADIUS服务器。

认证服务器收到WLAN用户的计费数据信息后，生成用户WLAN业务话单，并通过FTP协议传送到BOSS系统。

下表给出了WLAN话单内容。

序号

名称

域名

位置

长度

含义

填写说明

Rec_type

话单记录标记

1－2

2

标记文件中的记录类型

“20”

Oper_type

业务类型

3－4

2

业务类型

“03”：

承载业务

Oper_ID

业务标识

5－6

2

业务标识

“01”：

WLAN手机用户

“02”：

WLAN卡用户

Charge_dn

计费用户号码

7－30

24

做为计费对象的移动用户MSISDN号码；

WLAN卡业务填写卡号

AS:

不带“86”的手机号码

Radius:

不带“86”的手机号码+域名

WLAN卡：

填写13位卡号

左对齐，不足填空格

Imsi

手机IMSI号

31－45

15

手机设备的IMSI号码

左对齐，不足填空格。

WEB认证方式该字段可以为空

User_type

用户类型

46

1

做为计费对象的移动用户类型

Oper_id为01时：

默认为0

Oper_id为02时：

“5”：

全国预付费卡，“6”：

本地预付费卡，“7”：

预留

Home_prov

用户归属省

47－50

4

计费用户号码归属省的省代码

Oper_id为01时：

手机用户，归属省填空

Oper_id为02时：

卡用户，归属省由radius填写,3位省代码，（省会长途区号首位去零，不足三位右补零。

如北京：