移动WLAN业务PORTAL协议规范(NEW).doc

-实施-发布中国移动通信集团公司 发布QB-中国移动通信企业标准中国移动WLAN业务PORTAL协议规范CMCC WLAN Service Portal Protocol版本号：2.0.0QB-目 次1 范围12 参考标准和协议13 缩略语24 Portal协议24.1 功能定义24.2 系统结构35 流程35.1 用户上线认证流程35.2 用户下线流程56 协议66.1 协议栈76.2 报文格式76.3 报文字段说明7Ver7Type7Pap/Chap8Rsv8SerialNo8ReqID9UserIP9UserPort9ErrCode9AttrNum10报文属性字段（Attr）的格式116.4 参数117编制历史13前 言本文制定了中国移动WLAN业务Portal规范和协议。主要包括Portal协议，系统结构，上线流程，下线流程，报文字段，参数等内容。该规范和协议是中国移动开展WLAN业务采用WEB认证及强制门户网站时遵循的标准。本标准由中国移动通信集团公司技术部提出并归口。本标准起草单位：中国移动通信集团公司研发中心。本标准主要起草人：吕志虎，黄宇红，周文辉本标准解释单位：中国移动通信集团公司技术部。1 范围本文制定了中国移动WLAN业务Portal规范和协议。主要包括Portal协议，系统结构，上线流程，下线流程，报文字段，参数等内容。该规范和协议是中国移动开展WLAN业务采用强制门户网站时遵循的标准。该规范和协议是中国移动开展WLAN业务采用强制门户网站时遵循的标准。2 参考标准和协议1 IEEE Std.802.11, 1999 EditionISO/IEC 8802-11: 1999, Standards for Local and Metropolitan Area Networks-Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications.2 IEEE Std.802.11b, 1999 EditionISO/IEC 8802-11: 1999, Standards for Local and Metropolitan Area Networks-Part11:Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: High-Speed Physical layer Extension in the 2.4GHz Band.3 IEEE P802.11f, 2001, Recommended Practices for Multi-Vendor Access Point Interoperability via Inter-Access Point Protocol across Distribution Systems supporting IEEE P802.11 operation.4 IEEE 802.11i, 2001, Standards for Local and Metropolitan Area Networks-Specific requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Medium Access Method (MAC) Security Enhancements.5 IETF RFC 2865, Remote Authentication Dial In User Service (RADIUS), C.Rigney, S.Willens, A.Rubens, W.Simpson, June 2000.6 IETF RFC 2866, RADIUS Accounting, C.Rigney, June 2000.7 IETF RFC 2869, RADIUS Extension, C. Rigney, W. Willats, P. Calhoun, June 2000.8 RFC2131，Dynamic Host Configuration Protocol. R. Droms. March 1997.9 RFC2132，DHCP Options and BOOTP Vendor Extensions. S. Alexander, R. Droms. March 1997.10 RFC1945，Hypertext Transfer Protocol - HTTP/1.0. T. Berners-Lee, R. Fielding, H. Frystyk. May 1996.11 RFC 2616，Hypertext Transfer Protocol - HTTP/1.1. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee. June 1999.12 RFC2246，The TLS Protocol Version 1.0. T. Dierks, C. Allen. January 1999.13 中国移动WLAN业务总体技术要求3 缩略语AP Access Point AC Access ControllerDHCP Dynamic Host Configuration Protocol DNS Domain Name ServiceHTTPHyper Text Transport ProtocolNAINetwork Access IdentifierRADIUS Remote Authentication Dial In User ServiceWLAN Wireless Local Area NetworkAAAAuthentication，Authorization，AccountingSSLSecure Sockets LayerCHAPChallenge Handshake Authentication Protocol4 Portal协议4.1 功能定义1. 认证功能用户通过Portal Server完成认证功能。2. 下线功能用户上网结束后，可以使用Portal功能通知AC用户下线；当AC侦测用户下线或者主动切断用户连接时，也能告知Portal。3. 查询功能用户可以查询上行流量，下行流量。 4.2 系统结构 系统结果如图4.1所示。图4.1 系统结构AP：接入点。AC：接入控制器。实现用户强制Portal、业务控制，接收Portal Server发起的认证请求，完成用户认证功能。Portal Server：门户网站。推送认证页面，接收WLAN用户的认证信息，向AC发起用户认证请求。以及用户下线通知。5 流程用户认证流程包括认证上线流程、下线流程和用户信息查询流程。5.1 用户上线认证流程上线流程完成用户账号的认证，并把认证结果通知Portal Server，Portal server将会通知WLAN用户并且显示相应的认证结果。用户上线认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。用户上线Chap认证流程，如图5.1所示：图 5.1 用户上线Chap认证流程1. 用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面；2. 用户填入用户名、密码，提交页面，向Portal Server发起连接请求；3. Portal Server向AC请求Challenge；4. AC分配Challenge给Portal Server；5. Portal Server向AC发起认证请求；6. 而后AC进行RADIUS认证，获得RADIUS认证结果；7. AC向Portal Server送认证结果；8. Portal Server将认证结果填入页面，和门户网站一起推送给客户；9. Portal Server回应确认收到认证结果的报文。用户上线Pap认证流程，如图5.2所示：图 5.2 用户上线Pap认证流程1. 用户访问网站，经过AC重定向到Portal Server，Portal Server推送认证页面；2. 用户填入用户名、密码，提交页面，向Portal Server发起连接请求；3. Portal Server向AC发起认证请求；4. 而后AC进行RADIUS认证，获得RADIUS认证结果；5. AC向Portal Server送认证结果；6. Portal Server将认证结果填入页面，和门户网站一起推送给客户；Portal Server回应确认收到认证结果的报文。 5.2 用户下线流程用户下线流程包括用户主动发起下线流程，和用户异常下线流程:AC侦测到用户下线，主动通知Portal server。用户主动下线流程，如图5.3所示：图 5.3 用户主动下线流程1. 用户发起下线请求到Portal Server；2. Portal Server向AC请求下线；3. AC回应Portal Server下线请求；4. Portal Server推送下线结果页面给用户。用户异常下线流程:AC侦测用户下线流程，主动通知Portal server。如图5.4所示：图 5.4 AC侦测用户下线流程1. AC侦测到用户下线，向Portal Server请求下线；2. Portal Server回应下线成功；6 协议在AC和Portal Server之间通过Portal协议交互。6.1 协议栈Portal协议栈如下图6.1所示：图 6.1 Portal协议栈 6.2 报文格式协议包采用固定长度头加可变长度的属性字段组成，属性字段采用TLV格式，具体如图6.2所示。图 6.2 Web认证报文格式 6.3 报文字段说明VerVer字段是协议的版本号，长度为 1 字节，目前定义的值为 0x01；TypeType字段定义报文的类型，长度为 1 字节，目前其值的定义如表6.1。表6.1 认证报文类型Type值方向含义REQ_CHALLENGE0x01Client-ServerPortal Server 向AC设备发送的请求Challeng报文ACK_CHALLENGE0x02ClientServerPortal Server向AC设备发送的请求认证报文ACK_AUTH0x04ClientServer若ErrCode字段值为0x00，表示此报文是Portal Server向AC设备发送的请求用户下线报文；若ErrCode字段值为0x01，表示该报文是Portal Server发送的超时报文，其原因是Portal Server发出的各种请求在规定时间内没有收到响应报文。ACK_LOGOUT0x06ClientServerPortal Server对收到的认证成功响应报文的确认报文；NTF_LOGOUT0x08Server - Client用户被强制下线通知报文REQ_INFO0x09Client - Server信息询问报文ACK_INFO0x0aServer - Client信息询问的应答报文Pap/ChapPap/Chap字段定义此用户的认证方式，长度为 1 字节，只对Type值为 0x03 的认证请求报文有意义：Chap方式认证值为0x00；Pap 方式认证值为0x01；Rsv Rsv目前为保留字段，长度为 1 字节，在所有报文中值为 0； SerialNo(1)、SerialNo字段为报文的序列号，长度为 2 字节，由Portal Server随机生成，Portal Server必须尽量保证不同认证流程的SerialNo在一定时间内不得重复，在同一个认证流程中所有报文的SerialNo相同；(2)、Portal Server发给AC设备的报文a、由Portal Server发出的Type值为1、3的请求报文其SerialNo都是随机生成数；b、由Portal Server向AC设备发出的Type值为5的(REQ_LOGOUT)报文其SerialNo值分两中情况：当ErrCode为0 时(请求用户下线报文)，SerialNo值为一个随机生成数；当ErrCode为1时，SerialNo值可能和Type值为1或3的报文 (请求Challenge超时, 或请求认证超时) 相同，具体要看是请求Challenge超时还是请求认证超时；c、由Portal Server向AC设备发出的认证成功确认报文（Type值为7的报文）SerialNo和其发出的相应请求报文的SerrialNo相同；比如对于Type值为7的报文其SerialNo值和Type值为3的请求认证报文相同；(3)、每一个由AC设备发给Portal Server的响应报文的SerialNo必须和Portal Server发送的相应请求报文的SerialNo一样，否则Portal Server会丢掉从AC设备发来的响应报文； 比如Type值为2的报文其SerialNo值必须和Type值为1的报文相同，Type值为4的报文其SerialNo值必须和Type值为3的报文相同，Type值为6的报文其SerialNo值必须和Type值为5的报文相同。ReqID(1)、ReqID字段长度为 2 个字节，由AC设备随机生成，尽量使得在一定时间内ReqID不重复。(2)、在Chap认证方式中：a、AC设备在Type为2 (ACK-CHALLENGE) 的请求Challenge响应报文中把该ReqID的值告诉Portal Server；b、在Type值为3、4、7 ( REQ-AUTH, ACK-AUTH, AFF-ACK-AUTH ) 的报文中ReqID字段的值都和Type值为2的报文中此字段的值相同；c、在Type值为 5 (REQ-LOGOUT) 的报文中，若报文表示请求Challenge 超时则此字段值为0 ；若报文表示请求认证超时则此字段值和Type值为2 (ACK-CHALLENGE)的报文中此字段的值相同；(3)、在Pap认证方式中，此字段无意义，其值为0；(4)、在Type值为 5 (REQ-LOGOUT) 的报文中，若报文表示请求下线时则此字段值为0 ；(5)、在Type值为1、6 (REQ-CHALLENGE , ACK-LOGOUT) 的报文中，该字段均无意义，值都为 0；UserIPUserIP字段为Portal用户的IP地址，长度为 4 字节，其值由Portal Server根据其获得的IP地址填写，在所有的报文中此字段都要有具体的值；UserPortUserPort字段目前没有用到，长度为 2 字节，在所有报文中其值为0；ErrCodeErrCode字段和Type字段一起表示一定的意义，长度为 1字节，具体如下：(1)、对于Type值为1、3、7的报文，ErrCode字段无意义，其值为0；(2)、当Type值为 2 时：ErrCode0，表示AC设备告诉Portal Server请求Challenge成功；ErrCode1，表示AC设备告诉Portal Server请求Challenge被拒绝； ErrCode2，表示AC设备告诉Portal Server此链接已建立；ErrCode3，表示AC设备告诉Portal Server有一个用户正在认证过程中，请稍后再试；ErrCode4，则表示AC设备告诉Portal Server此用户请求Challenge失败（发生错误）；(3)、当Type值为 4 时：ErrCode0，表示AC设备告诉Portal Server此用户认证成功；ErrCode1，表示AC设备告诉Portal Server此用户认证请求被拒绝；ErrCode2，表示AC设备告诉Portal Server此链接已建立； ErrCode3，表示AC设备告诉Portal Server有一个用户正在认证过程中，请稍后再试；ErrCode4 ，表示AC设备告诉Portal Server此用户认证失败（发生错误）；(4)、当Type值为 5 时：ErrCode0，表示此报文是Portal Server发给AC设备的请求下线报文；ErrCode1，表示此报文是在Portal Server没有收到AC设备发来的对各种请求的响应报文，而定时器时间到（即超时）时由Portal Server发给AC设备的报文；(5)、当Type值为 6 时：ErrCode0，表示AC设备告诉Portal Server此用户下线成功；ErrCode1，表示AC设备告诉Portal Server此用户下线被拒绝；ErrCode2, 表示AC设备告诉Portal Server此用户下线失败（发生错误）；(6)、对Type为REQ_INFO时，ErrCode无意义，其值为0；(7)、对Type为NTF_LOGOUT时，ErrCode含义如下：ErrCode含义0下线(8)、对Type为ACK_INFO时，ErrCode含义如下：ErrCode含义0处理成功，但不表示全部消息都被获取了，有多少信息被获得应通过属性来判断，详见下文1功能不支持，表示设备不支持这一功能2消息处理失败，由于某种不可知原因，使处理失败，例如询问消息格式错误等。AttrNumAttrNum字段表示其后边可变长度的属性字段属性的个数，长度为 1 字节（表示属性字段最多可有255个属性），其值在所有的报文中都要根据具体情况赋值；报文属性字段（Attr）的格式Attr字段（属性字段）是一个可变长字段，由多个属性依次链接而成，每个属性的格式为TLV格式，具体如图6.3。图 6.3 属性字段的格式报文属性字段说明如下：(1)、属性类型(AttrType)表 6.2 属性字段的定义Attr(属性字段)AttrType属性值长度属性含义UserName0x01=32 （可变） 用 户 名，具体为：“用户名”“”+“域名”PassWord0x02=16（可变）用户提交的明文密 码Challenge0x0316（固定） Chap方式加密的魔 术 字ChapPassWord0x0416（固定）经过Chap方式加密后的密码(2)、属性长度(AttrLen)AttrLen字段表示属性的长度，长度为1字节，其值是整个属性三个字段AttrType、AttrLen、AttrValue的长度之和。(3)、属性值(AttrValue)AttrValue的值为具体的属性值，比如用户名、口令等，长度有些可变，有些固定（具体见表6.2），但最长不能超过253(255-2)字节。 6.4 参数1、此协议规定承载报文的是UDP协议，也即报文为UDP报文，AC设备在固定端口2000（参照BNAS宽带接入服务器技术规范YD1148修订）上等待接收Portal Server发来的各种请求报文和确认报文；2、 PORTAL强制相关参数当AC实现强制PORTAL功能时，要求在强制PORTAL URL中包含以下参数：参数名称参数取值参数说明认证模式作用阶段举例wlanuserip十进制的字符串格式网段在前，主机在后WLAN用户的私网地址，是认证Portal与AC之间判别WLAN用户的身份识别码WEB重定向认证页面请求时wlanuserip=4wlanusernameIMSISIM格式的字符串格式WLAN用户的用户名SIM重定向门户网站页面请求时wlanusername=IMSISIMwlanacname十进制的字符串格式wlanacname=ACN.CTY.PRO.OPE，属性名为严格小写，属性值为按照下列规定的AC名称。n 统一规定全国AC的编码，其编码规则为ACN.CTY.PRO.OPE，其中：a ACN表示AC的名字，由4位数字组成，各省自己规划和分配。b CTY表示WLAN位于的城市，由4位数字组成，由各个地市的长途区号表示, 右对齐左填零。c PRO表示WLAN位于的省份，由3位数字组成，PRO的代码分配参见附表。OPE表示WLAN所属的运营商，由2位数字组成，中国移动为00。WEB重定向认证页面请求时wlanacip= ACN.CTY.PRO.OPE具体参数格式示例如下：?wlanuserip=4&wlanacname= ACN.CTY.PRO.OPE?wlanusername=IMSISIM允许在”?”后面有其他的参数，但是名称不能以wlan作为起始。3、 C