WLAN用户认证流程原理(WEB中移接入规范).doc

QB-中国移动通信企业标准QB-中国移动WLAN用户接入流程技术规范（WEB）Technical Specification For CMCC WLAN User Access (WEB)版本号：3.0.0-实施-发布中国移动通信集团公司 发布目录前 言II1范围12规范性引用文件13术语、定义和缩略语24WEB认证系统结构35WEB用户接入流程46WEB用户下线流程67定期自动认证流程98用户在线冲突处理流程139协议1410WEB认证安全问题1511编制历史15前 言本标准的目的是制定中国移动WLAN用户接入流程技术规范_WEB。本标准包括的主要内容，或修订的主要内容。本标准是 系列标准之一，该系列标准的结构、名称或预计的名称如下：序号标准编号标准名称1中国移动WLAN业务总体技术要求2中国移动WLAN AP AC设备规范3中国移动WLAN Portal Radius设备规范4中国移动WLAN设备接口规范5中国移动WLAN用户接入流程技术规范_WEB6中国移动WLAN业务规范本标准需与 配套使用。本标准的附录 为标准性附录，附录 为资料性附录。本标准由中移 号文件印发。本标准由中国移动通信集团计划部提出，集团公司技术部归口。本标准起草单位：中国移动通信有限公司研究院本标准主要起草人：周博、邵春菊、吕超源、杨光、刘佳II1 范围本标准规定了中国移动WLAN用户接入流程技术规范_WEB，主要包括WEB认证系统结构、WEB用户接入流程、WEB用户下线流程、协议、协议参数及WEB认证安全问题等，供中国移动内部和厂商共同使用；适用于和中国移动通信集团开展WLAN业务相关的各项技术和业务规范，作为中国移动通信集团进行WLAN业务系统建设，业务开发，维护和管理的技术依据。对本标准内容作如下约定：（1） 本标准中的功能要求，优先级分为基本和可选。各项要求中明确了相应的优先级。功能要求以外的要求，如无特殊说明，优先级均为基本。（2） 对于优先级的说明：a) 必须支持：最基本的需求，一旦缺少则网络难以运行或提供业务；b) 有条件支持：无需对全网要求，但在某些应用场景下很重要；c) 可选支持：长期重点关注的需求，对改善网络性能以及节省网络运营成本有帮助的、并且有利于后期业务发展和网络建设的功能。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表2-1 规范性引用文件11999 EditionISO/IEC 8802-11: 1999Standards for Local and Metropolitan Area Networks-Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications.IEEE Std.802.1121999 EditionISO/IEC 8802-11: 1999Standards for Local and Metropolitan Area Networks-Part11:Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: High-Speed Physical layer Extension in the 2.4GHz Band.IEEE Std.802.11b32001Recommended Practices for Multi-Vendor Access Point Interoperability via Inter-Access Point Protocol across Distribution Systems supporting IEEE P802.11 operation.IEEE P802.11f42001Standards for Local and Metropolitan Area Networks-Specific requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Medium Access Method (MAC) Security Enhancements.IEEE 802.11i5RFC 2865Remote Authentication Dial In User Service (RADIUS), C.Rigney, S.Willens, A.Rubens, W.Simpson, June 2000.IETF6RFC 2866RADIUS Accounting, C.Rigney, June 2000.IETF7RFC 2869RADIUS Extension, C. Rigney, W. Willats, P. Calhoun, June 2000.IETF8RFC2131Dynamic Host Configuration Protocol. R. Droms. March 1997.IETF9RFC2132DHCP Options and BOOTP Vendor Extensions. S. Alexander, R. Droms. March 1997.IETF10RFC1945Hypertext Transfer Protocol - HTTP/1.0. T. Berners-Lee, R. Fielding, H. Frystyk. May 1996.IETF11RFC 2616Hypertext Transfer Protocol - HTTP/1.1. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee. June 1999.IETF12RFC2246The TLS Protocol Version 1.0. T. Dierks, C. Allen. January 1999.IETF13RFC3576Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)IETF14中国移动WLAN业务总体技术要求中国移动通信集团公司3 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1 缩略语词语解释APAccess PointACAccess ControllerDHCPDynamic Host Configuration ProtocolDNSDomain Name ServiceHTTPHyper Text Transport ProtocolNAINetwork Access IdentifierRADIUSRemote Authentication Dial In User ServiceWLANWireless Local Area NetworkAAAAuthentication，Authorization，AccountingSSLSecure Sockets LayerCHAPChallenge Handshake Authentication Protocol词语解释APAccess PointACAccess ControllerDHCPDynamic Host Configuration ProtocolDNSDomain Name ServiceHTTPHyper Text Transport ProtocolNAINetwork Access IdentifierRADIUSRemote Authentication Dial In User ServiceWLANWireless Local Area NetworkAAAAuthentication，Authorization，AccountingSSLSecure Sockets LayerCHAPChallenge Handshake Authentication Protocol4 WEB认证系统结构基于WEB认证方式，是以AC/SC作为WLAN用户接入认证点。图4-1给出了基于WEB方式的帐号/口令认证系统结构。图4-1 基于WEB方式的帐号/口令认证系统结构 WLAN用户终端WLAN用户终端要求安装802.11b/g无线网卡和WEB浏览器软件。 WLAN接入点（AP）AP用于WLAN用户的无线接入。 WLAN业务用户接入控制器（AC）作为WLAN业务用户接入认证点，AC检查连接用户是否已经通过用户认证，并和后台WLAN WEB认证服务器协同工作完成对WLAN用户的认证。同时，作为业务控制点，用于用户在WLAN接入过程中的业务控制，包括强制PORTAL等。 PORTAL服务器完成向WLAN用户推送认证页面(支持电脑和手机终端格式)。 RADIUS用户认证服务器RADIUS用户认证服务器完成基于WEB方式的用户认证。5 WEB用户接入流程WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。用户接入认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。图5-1给出了WEB用户CHAP认证接入流程。图5-1 用户WEB接入流程流程描述：1） 用户通过标准的DHCP协议，通过AC获取到规划的IP地址。上网的前提条件，dhcp流程必须熟知，故障定位2） 用户打开IE，访问某个网站，发起HTTP请求。此动作完全由完全完成，在现网运维的时候，首先要检查的是否可以强制出URL（不一定打开网页，要打开网页，涉及到dns，路由等）。现网使用出现问题最多的地方，即用户保存了原来的portal页面，从而导致portal挑战失败。原因是userip地址不一样了。在判断现网的时候，必须注意这点。3） AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体请参见中国移动WLAN设备接口规范。必要的参数包括acname，userip，ssid，中太ac还可以提供uservlan，acip。4） Portal服务器向WLAN用户终端推送WEB认证页面。5） 用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。6） Portal服务器接收到用户信息，向Radius发出用户信息查询请求。7） Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。8） 如查询成功，Portal服务器按照CHAP流程向AC请求Challenge0101报文。如果查询失败，Portal直接返回提示信息给用户，流程至此结束。结合上面两步，请思考如果用户名或者密码错误，ac上是否可以收到有关portal或者radius的任何报文，ac是否有认证过程？9） AC返回Challenge，包括Challenge ID和Challenge。0102报文，这个报文会返回5种情况，debug exportal会看到，现网调试必要手段。10） Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。0103报文11） AC将Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证。12） 中央RADIUS服务器根据用户信息判断用户是否合法。RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。如果两次都失败，RADIUS向AC返回认证失败报文。13） AC返回认证结果给Portal服务器。（以及相关业务属性）0104报文14） Portal服务器根据认证结果，推送认证结果页面。如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。如果失败，页面提示用户失败原因。15） Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束。0107报文16） 认证如果成功，AC发起计费开始请求给中央RADIUS用户认证服务器。17） 中央RADIUS回应计费开始响应报文，并将响应信息返回给AC。用户上线完毕，开始上网。18） 在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。19） 中央RADIUS计费服务器回应实时计费确认报文给AC。20） 当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。21） 中央RADIUS计费服务器回应AC的计费结束报文。6 WEB用户下线流程WEB用户下线流程包括用户主动下线和异常下线两类情况。异常下线指AC侦测到用户下线。图6-1给出了用户主动下线流程。图6-1 用户WEB接入流程正常下线流程1） 当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。2） Portal服务器向AC发起下线请求。0105报文3） AC返回下线结果给Portal服务器。0106报文4） Portal服务器根据下线结果，推送含有对应的信息的页面给用户。5） 当AC收到下线请求时，向中央RADIUS用户认证服务器发计费结束报文。注意stop报文中是带有下线原因属性（49）的，要学会看报文。6） 中央RADIUS用户认证服务器回应AC的计费结束报文。图6-2给出了当AC侦测到用户异常下线时的下线流程。 图6-2 AC侦测WLAN用户异常下线流程1） AC侦测到用户下线，向Portal服务器发出下线请求。0108报文2） Portal服务器回应下线成功。0106报文3） 当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。4） 中央RADIUS计费服务器回应AC的计费结束报文。图6-3给出了AC强制用户下线时的流程。图6 3 用户强制下线流程1) AC侦测到用户的本次连接最大允许接入时间结束，向Portal服务器发出下线请求。2) Portal服务器回应下线成功,并向用户推送下线结果页面。3) 当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。4) 中央RADIUS计费服务器回应AC的计费结束报文。图6-4给出了AC根据Radius下发的DM（Disconnect Messages）消息强制用户下线时的流程。详见RFC3576。图6-4 AC根据DM消息强制用户下线流程1) Radius向AC下发Disconnect-Request消息。2) AC向Portal服务器发出下线请求。3) Portal服务器回应下线成功,并向用户推送下线结果页面。4) AC向Radius回应Disconnect-ACK下线成功。5) AC向中央RADIUS计费服务器发计费结束报文。6) 中央RADIUS计费服务器回应AC的计费结束报文。如AC踢用户下线失败，则向Radius回应Disconnect-NAK。7 定期自动认证流程定期自动认证流程包括开通流程、有效期内用户自动认证登录流程、取消定期自动认证流程。图7-1给出了用户开通定期自动认证服务的流程。图7-1 用户开通定期自动认证服务的流程1、终端关联AP后，AC设备通过DHCP协议为终端分配IP地址；2、终端发起HTTP业务请求；3、AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体请参见中国移动WLAN设备接口规范；4、Portal服务器向WLAN用户终端发送HTTP响应，其中包含WEB认证页面的地址（WEB页面可分为多个子框架，每个子框架对应一个URL地址，其中包含“用户名/密码”登录选项的子框架，需采取HTTPS请求，其余子框架采取HTTP请求），WEB页面提供开通自动登录服务选项；5、用户在认证页面上填入用户名、密码信息，并选择开通自动登录服务，以HTTPS POST方式提交到Portal服务器；6、Portal服务器接收到用户信息，判断用户本次登录是否选择了开通自动登录服务，如选择，则向Radius服务器发送用户信息查询请求时，AutoAuthenInfo字段的值为1；如未选择，则AutoAuthenInfo字段的值为空；7、Radius验证用户名/密码，并查询用户信息。如果验证用户失败，Portal直接返回提示信息给用户，流程至此结束；如果验证成功，RADIUS向Portal返回查询结果，其中AuthenticationInfo字段的取值情况如下：如果该用户为套餐用户，且选择了开通自动登录服务，则AuthenticationInfo=自动登录服务开通时间（14位）+自动登录服务到期时间（14位），具体格式定义请参见中国移动WLAN设备接口规范；对于其它场景，AuthenticationInfo均置空；8-12、采用CHAP流程，Portal/AC/Radius服务器之间进行用户认证。如果认证成功，RADIUS将该用户列为定期自动认证用户，记录该用户的自动登录服务开通时间和到期时间（如果该用户之前曾开通过自动登录服务，RADIUS已经保存该用户之前的开通服务时间和到期时间信息，则自动以本次新的开通服务时间和到期时间替代旧的开通服务时间和到期时间）；否则，丢弃该信息（RADIUS维护定期自动认证用户信息)；13、AC返回认证结果给Portal服务器；14、如果认证成功，Portal服务器在向终端发送HTTPS响应的同时，向终端写入加密的Cookie（Cookie必须开启“Security”属性，确保只有在HTTPS方式下才能携带该Cookie信息），记录用户名和AuthenticationInfo信息；如果认证失败，页面提示用户失败信息。15、Portal服务器回应AC收到认证结果报文。如果认证失败，则流程到此结束；16-17、如果认证成功，开始后续的计费流程。在有效期内，用户如再次登录WLAN网络，可以实现自动认证，图7-2给出了有效期内用户自动认证流程。 图7-2 有效期内用户自动认证流程1、终端关联AP后，AC设备通过DHCP协议为终端分配IP地址；2、终端发起HTTP业务请求；3、AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。并在强制Portal URL中加入相关参数，具体请参见中国移动WLAN设备接口规范；4-5、Portal服务器向WLAN用户终端发送HTTP响应，其中包含WEB认证页面的地址（WEB页面可分为多个子框架，每个子框架对应一个URL地址，其中包含“用户名/密码”登录选项的子框架，终端需发送HTTPS请求，Portal进行HTTPS响应，并主动读取加密Cookie信息；对于其它子框架，终端发送HTTP请求）；6、Portal向RADIUS发起的UserInfo-Request请求中，pwd置空，并携带用户开通自动登录服务时间和到期时间信息（AutoAuthenInfo字段的值），此时，passtype的取值（3）表示该用户为定期自动认证用户；7、RADIUS判断该用户为定期自动认证用户，并将Portal送来的用户开通自动登录服务时间和到期时间信息（AutoAuthenInfo字段的值），与RADIUS服务器保存的用户开通自动登录服务时间和到期时间信息进行比对，验证该用户是否合法。如果验证成功，RADIUS向Portal返回查询结果；否则，RADIUS向Portal返回失败信息，Portal向用户推送WEB页面进行用户名/密码认证；8-17、后续流程完成用户鉴权、计费等相关流程。图7-3给出了取消定期自动认证流程。图7-3 取消定期自动认证流程1、当用户需要下线时，如果希望取消自动登录服务，可以选择取消自动登录服务选项，并点击下线按钮，向Portal服务器发起一个下线请求；2、Portal服务器向AC发起下线请求；3、AC返回下线结果给Portal服务器；4-5、Portal服务器向RADIUS发送取消自动登录服务请求，RADIUS取消用户定期自动认证的相关信息；6、Portal服务器根据下线结果，推送含有对应信息的页面给用户，同时清除Cookie；7、当AC收到下线请求时，向RADIUS服务器发计费结束报文；8、RADIUS服务器回应AC的计费结束报文。8 用户在线冲突处理流程用户在线冲突处理原则：1、账号/密码认证方式的优先级高于自动认证方式的优先级2、相同认证方式的情况下，后来上线用户的优先级高于已经在线用户的优先级当某一用户帐号在线时，如果另一台终端采用同一个账号登录， RADIUS发现该账号已经在线，判断正在请求上线用户的PassType：如果PassT