中国移动WLAN用户接入流程技术规范WEB.doc

-实施-发布中国移动通信集团公司 发布QB-中国移动通信企业标准中国移动WLAN用户接入流程技术规范（WEB）Technical Specification For CMCC WLAN User Access（WEB）版本号：2.0.0目 次 1范围12参考标准和协议13缩略语24 WEB认证系统结构25WEB用户接入流程46 WEB用户下线流程67 协议78 协议参数89 WEB认证安全问题910 编制历史9前 言本文制定了中国移动基于WEB方式的WLAN用户接入规范和协议，主要包括WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等内容，该规范和协议是中国移动WLAN业务采用WEB认证方式时遵循的标准。本标准由中国移动通信集团公司技术部提出并归口。本标准起草单位：中国移动通信集团公司研发中心。本标准主要起草人：吕志虎，黄宇红，周文辉本标准解释单位：中国移动通信集团公司技术部。1 范围本技术规范主要制定了中国移动基于WEB方式的WLAN用户接入规范和协议，主要包括WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等内容。本规范和协议根据中国移动WLAN业务总体技术要求制定，是中国移动WLAN业务采用WEB认证方式时遵循的标准。2 参考标准和协议1 IEEE Std.802.11, 1999 EditionISO/IEC 8802-11: 1999, Standards for Local and Metropolitan Area Networks-Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications.2 IEEE Std.802.11b, 1999 EditionISO/IEC 8802-11: 1999, Standards for Local and Metropolitan Area Networks-Part11:Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: High-Speed Physical layer Extension in the 2.4GHz Band.3 IEEE P802.11f, 2001, Recommended Practices for Multi-Vendor Access Point Interoperability via Inter-Access Point Protocol across Distribution Systems supporting IEEE P802.11 operation.4 IEEE 802.11i, 2001, Standards for Local and Metropolitan Area Networks-Specific requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Medium Access Method (MAC) Security Enhancements.5 IETF RFC 2865, Remote Authentication Dial In User Service (RADIUS), C.Rigney, S.Willens, A.Rubens, W.Simpson, June 2000.6 IETF RFC 2866, RADIUS Accounting, C.Rigney, June 2000.7 IETF RFC 2869, RADIUS Extension, C. Rigney, W. Willats, P. Calhoun, June 2000.8 RFC2131，Dynamic Host Configuration Protocol. R. Droms. March 1997.9 RFC2132，DHCP Options and BOOTP Vendor Extensions. S. Alexander, R. Droms. March 1997.10 RFC1945，Hypertext Transfer Protocol - HTTP/1.0. T. Berners-Lee, R. Fielding, H. Frystyk. May 1996.11 RFC 2616，Hypertext Transfer Protocol - HTTP/1.1. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee. June 1999.12 RFC2246，The TLS Protocol Version 1.0. T. Dierks, C. Allen. January 1999.13 中国移动WLAN业务总体技术要求，中国移动通信集团公司，2002年7月3 缩略语AP Access Point AC Access ControllerDHCP Dynamic Host Configuration Protocol DNS Domain Name ServiceHTTPHyper Text Transport ProtocolNAINetwork Access IdentifierRADIUS Remote Authentication Dial In User ServiceWLAN Wireless Local Area NetworkAAAAuthentication，Authorization，AccountingSSLSecure Sockets LayerCHAPChallenge Handshake Authentication Protocol4 WEB认证系统结构基于WEB认证方式，是以AC/SC作为WLAN用户接入认证点。图4-1给出了基于WEB方式的用户/口令认证系统结构。图4.1 基于WEB方式的用户/口令认证系统结构l WLAN用户终端WLAN用户终端要求安装802.11b无线网卡和WEB浏览器软件。l WLAN接入点（AP）AP用于WLAN用户的无线接入。 l WLAN业务用户接入认证点和业务控制点（AC/SC）作为WLAN业务用户接入认证点，AC检查连接用户是否已经通过用户认证，并和后台WLAN WEB认证服务器协同工作完成对WLAN用户的认证。同时，作为业务控制点，用于用户在WLAN接入过程中的业务控制，包括强制PORTAL等。l PORTAL服务器完成向WLAN用户推送认证页面和门户网站。l RADIUS用户认证服务器RADIUS用户认证服务器完成基于WEB方式的用户认证。5 WEB用户接入流程WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。图5.1给出了WEB用户接入流程。 图5-1 用户WEB接入流程流程描述：1) 用户通过标准的DHCP协议，通过AC获取到规划的IP地址。2) 用户打开IE，访问某个网站，发起HTTP请求。3) AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体请参见中国移动WLAN业务PORTAL协议规范。4) Portal服务器向WLAN用户终端推送WEB认证页面。5) 用户在认证页面上填入用户名、密码等信息，提交到Portal服务器。6) Portal服务器接收到用户信息，必须按照CHAP流程，向AC请求Challenge。7) AC返回Challenge，包括Challenge ID和Challenge。8) Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password，和用户名一起提交到AC，发起认证。9) AC将Challenge ID、Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。10) RADIUS Server根据用户信息判断用户是否合法，然后回应认证成功/失败报文到AC。（如果成功，携带协商参数，以及用户的相关业务属性给用户授权。）11) AC返回认证结果给Portal服务器。（以及相关业务属性。）12) Portal服务器根据认证结果，推送认证结果页面，如果成功，推送中国移动门户页面给用户。13) Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。14) 认证如果成功，AC发起计费开始请求给RADIUS用户认证服务器。15) 计费服务器回应计费开始请求报文。用户上线完毕，开始上网。16) 在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。17) 计费服务器回应实时计费确认报文。18) 当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。19) RADIUS用户认证服务器回应AC的计费结束报文。6 WEB用户下线流程WEB用户下线流程包括用户主动下线和异常下线两类情况。异常下线指AC侦测到用户下线。图6.1给出了用户主动下线流程。 图 6.1 用户WEB接入流程正常下线流程1) 当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。2) Portal服务器向AC发起下线请求。3) AC返回下线结果给Portal服务器。4) Portal服务器根据下线结果，推送含有对应的信息的页面给用户。5) 当AC收到下线请求时，向向RADIUS用户认证服务器发计费结束报文。6) RADIUS用户认证服务器回应AC的计费结束报文。图6.2给出了当AC侦测到用户下线时的下线流程。 图6.2 AC侦测 WLAN用户异常下线流程1) AC侦测到用户下线，向Portal服务器发出下线请求。2) Portal服务器回应下线成功。3) 当AC收到下线请求时，向计费服务器发计费结束报文。4) 计费服务器回应AC的计费结束报文。7 协议“中国移动WLAN用户接入流程技术规范WEB”基于如下标准或者草案：l AC和认证服务器之间所使用的协议为RADIUS协议，参见5，6，7；l WLAN用户终端申请和分配IP地址所使用的协议为DHCP协议，参见8，9；l WLAN用户终端和PORTAL服务器之间采用标准的HTTP和HTTPs协议，参见10，11，12；l WLAN用户终端和AP之间所使用的协议为802.11,参见1、2、3、4；l 在AC和Portal服务器之间通过Portal协议交互，参见中国移动WLAN业务Portal协议和规范。8 协议参数本技术规范中所涉及到的标准协议参数中，如无特别说明，都遵照原标准协议或者草案。RADIUS报文YES表明报文中携带此属性，NO表明报文中不携带此属性，其他未给出标准属性为可选。属性名Access-RequestAccess-Accept/RejectAccounting-Request(Start)Accounting-Request(Interim-Update)Account-Request(Stop)说明User-NameYESYESYESYESYES当采用基于WEB的用户/口令认证方式时，该属性值为“用户手机号域名”，在支持不同运营商之间的漫游时域名由用户输入NAS-IP-AddressYESNOYESYESYESWLAN用户接入认证点IP地址。Calling-Station-IDYESNOYESYESYESWLAN用户MAC地址。User-PasswordYESNONONONOCHAP-ChallengeYESNONONONOCHAP-PasswordYESNONONONONAS-IdentifierYESNOYESYESYES用于表示接入设备编号，该设备编号由中国移动统一制定，详细请参见“中国移动WLAN业务总体技术要求NAS-Port-IdYESNOYESYESYESAcct-Status-TypeNONOYESYESYESAcct-Input-OctetsNONONOYESYESAcct-Output-OctetsNONONOYESYESAcct-Session-IdNONOYESYESYES唯一的标识一个会话的值，在很长的时间内都不重复（即使设备重启了）Acct-Session-TimeNONONOYESYESAcct-Input-PacketsNONONOYESYESAcct-Output-PacketsNONONOYESYESAcct-Input-GigawordsNONONOYESYESAcct-Output-GigawordsNONONOYESYESSession-Time_Out NOYESYESNONO配置WLAN用户每次连接最长时间。超过该时长后，用户被切断。Acct_Interim_Interval NOYESN ONONO配置实时计费信息采集的时间间隔。9 WEB认证安全问题l 在WLAN用户终端和PORTAL服务器之间，通过HTTPs保证用户信息安全。l 在PORTAL服务器、AC和RADIUS之间，通过CHAP协议保证用户认证信息的安全。10 编制历史中国移动WLAN用户接入流程技术规范（WEB）版本号更新时间主要内容或重大修改2.0.02002/7/31通过相关部门评审附件一 WLAN接入设备编号n 接入点（AP）ESSID的编号接入点（AP）ESSID的编号用于控制用户接入，中国移动接入点（AP）ESSID的编号为CMCC。n WLAN用户接入地编号WLAN用户接入地编号用于支持漫游计费和结算。接入控制器（AC）或者接入点（AP）的设备编号形式为：HST.CTY.PRO.OPE.NAT其中：l HST表示WLAN热点覆盖地区，由4位数字组成，各省自己规划和分配，该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。l CTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示, 右对齐左填零。l PRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表。l OPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。l NAT表示WLAN所属的国家或者地区，由3位数字组成，中国为460。附件二 WLAN接入设备编号中PRO字段的代码分配省份/自治区/直辖市代码北京100天津220河北311山西351内蒙古471辽宁240吉林431黑龙江451上海210江苏250浙江571安徽551福建591江西791山东531河南371湖北270湖南731广东200海南898广西771重庆230四川280贵州851云南871陕西290甘肃931青海971宁夏951新疆991西藏891附件三 计费要求AC或者AP作为计费信息采集前端，采集WLAN用户的计费原始数据信息，通过RADIUS协议接口传送给认证服务器。为了保证计费信息的安全性，计费信息采集前端必须在指定的时间间隔内实时传送计费采集信息。计费原始数据信息包括：  l 用户身份信息当采用用户/密码方式时，用户身份信息使用手机号；当采用SIM认证方式时，用户身份信息使用IMSI。l 连接会话标识 l 连接时长l 连接起始时间l 连接结束时间l 数据流量l 上行数据流量l 下行数据流量l 计费信息采集前端设备IP地址l 计费信息采集前端设备标识 计费信息采集前端设备标识 用来识别用户的接入地，实现不同城市和省份之间的结算。认证服务器主要是AS和中国移动中央RADIUS服务器。认证服务器收到WLAN用户的计费数据信息后，生成用户WLAN业务话单，并通过FTP协议传送到BOSS系统。下表给出了WLAN话单内容。序号名称域 名位置长度含义填写说明1Rec_type话单记录标记122标记文件中的记录类型“20”2Oper_type业务类型342业务类型“03”3Oper_ID业务标识562业务标识“01”4Charge_dn计费用户号码72115做为计费对象的移动用户MSISDN号码左对齐，不足填空格5Imsi手机IMSI号223615手机设备的IMSI号码非空，左对齐，不足填空格。6User_type用户类型371做为计费对象的移动用户类型“0”：全球通“1”：神州行（暂时保留）7Home_prov用户归属省38414计费用户号码归属省的省代码如北京“100 ”、广东“200 ”等，左对齐，不足填空格8Roam_prov用户漫游省42454计费用户漫游所在省的省代码如北京“100 ”、广东“200 ”等，左对齐，不足填空格9Auth_type认证类型46472用户认证使用的方式“01”：用户/密码认证“02”：SIM认证10Start_time起始时间486114连接起始时间YYYYMMDDHHMISS11Stop_time结束时间627514连接结束时间YYYYMMDDHHMISS12Duration连接时长76816本次连接的持续时长（秒）右对齐，左填013Data_flowup上行数据流量829110上行数据流量单位：字节，右对齐左填014Data_flowdn下行数据流量9210110下行数据流量单位：字节，右对齐左填015Hotspot_ID热点标识1021098用户所在的热点地区标识见接入设备编号附件16AC_addressAC的IP地址11012516计费信息采集前端设备的IP地址左对齐，右填空17AS_addressAS的IP地址12614116认证设备的IP地址左对齐，右填空18Home_carrier归属运营商1421465计费用户的归属运营商见接入设备编号附件19Roam_carrier漫游运营商1471515用户漫游网络所在的运营商见接入设备编号附件20Service_ID服务标识1521598用户选择的服务标识（编码待定）21ISP_IDISP标识1601623ISP的标识（编码待定）22Reserved预留16017718预留字段填空23CR回车1781Carriage Return24LF换行1791Line Feed