中国移动wlan业务总体技术要求

中 国 移 动 通 信企业标准 QB-D-025-2008 版本号： 2.0.0 中国移动通信 有限 公司 发布 2008- 4- 2 发布 2008- 4- 2 实施 中 国 移 动 WLAN 业 务 总 体 技 术 要 求 T echnology S pecificatio n for CMCC WLAN Service QB-D-025-2008 I 目 录 1. 范围 . 1 2. 规范性引用文件 . 1 3. 术语、定义和缩略语 . 3 4. 总则 . 4 5. 中国移动 WLAN 业务 . 5 5.1. WLAN 业务要求 . 5 5.2. WLAN 业务类型 . 6 6. 系统结构和组网 . 6 6.1. 系统结构 . 6 6.2. WLAN 组网 . 12 7. IP 地址 . 14 7.1. 用户终端 IP 地址 . 14 7.2. 设备 IP 地址 . 14 7.3. IP 地址转换 . 15 8. WLAN 接入设备编号 . 15 9. 频率 . 15 9.1. 工作频段 . 15 9.2. 信道配置 . 15 10. 用户漫游 . 16 10.1. 漫游类型 . 16 10.2. 漫游支持 . 16 11. 用户认证 . 17 11.1. WLAN 用户认证方式 . 17 11.2. WLAN 用户认证模型 . 17 11.3. 帐号 /密码认证方式 . 18 11.3.1. 用户密码的申请 . 18 11.3.2. 用户管理 . 18 11.3.3. 用户合法性确认 . 20 11.3.4. 用户接入流程 . 20 11.4. 基于 SIM 方式的用户认证 . 20 11.4.1. 用户管理 . 20 11.4.2. 用户接入流程 . 20 12. 计费和结算 . 20 12.1. 计费 . 21 12.2. 结算 . 24 13. 安全性 . 25 13.1. 安全性需求 . 25 13.2. 安全保护措施 . 25 14. 网管要求 . 26 14.1. 网管系统结构 . 26 14.1.1. 组网结构 . 26 14.1.2. 网管系统组成结构 . 27 QB-D-025-2008 II 14.1.3. 网管系统管理对象 . 27 14.2. 网管接口要求 . 27 14.3. 网管系统管理参数要求 . 27 14.3.1. 配置参数要求 . 27 14.3.2. 告警数据要求 . 28 14.3.3. 性能数据要求 . 28 14.4. 网管系统功能要求 . 28 14.4.1. 数据采集 . 28 14.4.2. 性能管理 . 29 14.4.3. 故障管理 . 29 14.4.4. 配置管理 . 30 14.4.5. 安全管理 . 30 14.4.6. 拓扑管理 . 30 14.4.7. 业务管理和计费管理功能 . 30 14.4.8. 实用工 具功能 . 31 15. WLAN 业务主要设备功能要求 . 31 15.1. WLAN 适配卡 . 31 15.2. 接入点 AP 设备 . 31 15.3. 接入控制器（ AC）设备 . 32 15.4. SIM 认证服务器（ AS） . 32 15.5. PORTAL 服务器 . 33 15.6. 中央 RADIUS 用户认证服务器 . 33 15.7. 智能网 SCP 设备 . 34 16. WLAN 业务主要设备接口要求 . 34 16.1. WLAN 移动终端和 AP 之间的接口 . 34 16.2. WLAN 移动终端和 AC 之间的接口 . 34 16.3. WLAN 移动终端 和 PORTAL 服务器之间的接口 . 34 16.4. AP 和 AC 之间的接口 . 35 16.5. AP 与 AS 之间的接口 . 35 16.6. AC 与 PORTAL 服务器之间的接口 . 35 16.7. AC 和 AS 之间的接口 . 35 16.8. AC 和中央 RADIUS 用户认证服务器之间的接口 . 35 16.9. 中央 RADIUS 用户认证服务器和 BOSS 之间的接口 . 36 16.10. AS 与 HLR/AuC 之间的接口 . 36 16.11. AS 与 BOSS 系统之间的接口 . 36 16.12. Portal 与 Radius 系统之间的接口 . 36 16.13. 智能网 SCP 与省 BOSS 系统之间的接口 . 36 16.14. 中央 Radius 与短信网关之间的接口 . 36 17. 编制历史 . 37 附录 A 详细修订历史 . 37 附录 B “随 e 行” WLAN 业务用户注册流程 . 38 附录 C “随 e 行”手机用户静态密码修改、重置及动态密码下发流程 . 39 附录 D “随 e 行”手机用户业务注销及套餐申请流程 . 42 附录 E RADIUS 服务器确认用户合法 性流程 . 43 QB-D-025-2008 III 附录 F WLAN 接入设备部署和规划 . 44 附录 G WLAN 接入设备编号中 PRO 字段的代码分配 . 47 QB-D-025-2008 IV 前 言 本 标准 的目的是制定中国移动开展 WLAN业务的总体技术要求。 本 标 准 主要包括以下几方面内容 ： 总则， WLAN业务描述， WLAN业务网络系统结构和组网， IP地址分配， WLAN接入设备编号， WLAN接入设备部署和规划，用户漫游，用户认证，计费和结算，网络管理要求，安全性要求，主要设备功能要求，主要设备接口等。附录提供了用户认证过程中的相关流程， WLAN接入设备的部署和规划等。 本标准的附录 B、 C、 D、 E、 G为 标准 性附录，附录 A、 F为资料性附录。 本标准由 中移有限技 2008 49号 印发。 本 标准 由中国移动通信 有限 公司 技术部 提出并归口。 本 标准 由 标准 归口部门负责解释。 本 标准 起草 单位： 中国移动通信有限公司研究院 本 标准 主要起草人： 邵春菊，周文辉，黄宇红，李新，蔺思涛，于川，吕志虎，孙少陵，魏冰，唐剑峰。 QB-D-025-2008 /webmoney 1 1. 范围 本标准 规定了 中国移动开展 WLAN 业务的总体技术要求 ， 主要包括总则， WLAN 业务描述， WLAN 业务网络系统结构和组网， IP 地址分配， WLAN 接入设备编号， WLAN 接入设备部署和规划，用户漫游，用户认证，计费和结算，网络管理要求，安全性要求，主要设备功能要求，主要设备接口等。附录提供了用户认证过程中的相关流程， WLAN 接入设备的部署和规划等。 供中国移动内部和厂商共同使用；适用 于和中国移动通信有限公司开展WLAN 业务相关的各项技术和业务规范，作为中国移动通信有限公司进行 WLAN 业务系统建设，业务开发，维护和管理的技术依据。 2. 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期 的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 表 2-1 规范性引用文件 1 1999 EditionISO/IEC 8802-11: 1999 Standards for Local and Metropolitan Area Networks-Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications. IEEE Std.802.11 2 1999 EditionISO/IEC 8802-11: 1999 Standards for Local and Metropolitan Area Networks-Part11:Wireless LAN Medium Access Control(MAC) and Physical Layer(PHY) Specifications: High-Speed Physical layer Extension in the 2.4GHz Band. IEEE Std.802.11b 3 2001 Draft Standards for Local and Metropolitan Area Networks: Standard for Port based Network Access Control. IEEE P802.1X 4 2001 Recommended Practices for Multi-Vendor Access Point Interoperability via Inter-Access Point Protocol across Distribution Systems supporting IEEE P802.11 operation. IEEE P802.11f 5 2001 Standards for Local and Metropolitan Area Networks-Specific requirements-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Medium Access Method (MAC) Security Enhancements. IEEE 802.11i 6 RFC 2284 PPP Extensible Authentication Protocol(EAP), IETF QB-D-025-2008 /webmoney 2 Blunk and Vollbrecht, March, 1998. 7 RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol(SNMP), Wijnen, Case, J.Harrington, Presulan R. and B., April 1999. IETF 8 RFC 2716 PPP EAP TLS Authentication Protocol, B.Aboha, D.Simon, October, 1999. IETF 9 RFC 2865 Remote Authentication Dial In User Service (RADIUS), C.Rigney, S.Willens, A.Rubens, W.Simpson, June 2000. IETF 10 RFC 2866 RADIUS Accounting, C.Rigney, June 2000. IETF 11 RFC 2869 RADIUS Extension, C. Rigney, W. Willats, P. Calhoun, June 2000. IETF 12 Nokia Operator Wireless LAN Solution Description for Release 2 Nokia 13 Draft EAP SIM Authentication, Draft-haverinen-pppext-eap-sim-03.txt, H.Haverinen, February, 2002 IETF 14 RFC1945 Hypertext Transfer Protocol - HTTP/1.0. T. Berners-Lee, R. Fielding, H. Frystyk. May 1996. IETF 15 RFC 2616 Hypertext Transfer Protocol - HTTP/1.1. R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, T. Berners-Lee. June 1999. IETF 16 RFC2246 The TLS Protocol Version 1.0. T. Dierks, C. Allen. January 1999. IETF 17 2003 Edition Standards for Local and Metropolitan Area Networks-Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band IEEE Std.802.11g 18 Best Current Practices for Wireless Internet Service Provider (WISP) Roaming Wi-Fi Alliance 19 中国移动数据业务总体技术要求 中国移动通信集团公司 20 中国移动 GPRS网络技术体制 中国移动通信集团公司 21 中国移动互联网技术体制 中国移动通信集团公司 22 中国移动 WLAN业务规范 中国移动通信集团公司 23 中国移动 WLAN上网卡业务规范 中国移动通信集团公司 24 数据业务系统通用网管接口技术规范 中国移动通信集团公司 QB-D-025-2008 /webmoney 3 25 中国移动 Wlan认证平台统计监控需求 中国移动通信集团公司 26 WLAN portal性能指标及业务计数器定义 中国移动通信集团公司 27 Radius性能指标和计数器定义 中国移动通信集团公司 28 中国移动 WLAN国际漫游业务总体技术要求 中国移动通信集团公司 29 中国移动通信集团一级 BOSS接口枢纽规范 -WLAN业务单行本 中国移动通信集团公司 30 智能网预付费用户 BOSS-SCP扣费接口话单格式 中国移动通信集团公司 3. 术语、定义和缩略语 下列术语 、 定义 和缩略语 适用于本标准 ： 表 3-1 缩略语 词语 解释 AP Access Point AC Access Controller AS Authentication Server BOSS Business & Operation Support System CCK Complementary Code Keying CSMA/CA Carrier Sense Multiple Access / Collision Avoidance DHCP Dynamic Host Configuration Protocol DBPSK Differential Binary Phase Shift Keying DNS Domain Name Server DQPSK Differential QuadriPhase Shift Keying EAP Extensible Authentication Protocol EAPOL EAP Over Lan ESSID Extended Service Set Identification FTP File Transfer Protocol HLR/AuC Home Location Register HTTP Hypertext Transfer Protocol IMSI International Mobile Subscriber Identificatio MSISDN Mobile Subscriber ISDN NAT Network Address Translation PAT Port Address Translation RADIUS Remote Authentication Dial In User Service SNMP Simple Network Management Protocol UDP User Datagram Protocol VPN Virtual Private Network QB-D-025-2008 /webmoney 4 WEP Wired Equivalent Privacy WLAN Wireless Local Access Network 4. 总则 无线局域网（以下简称 WLAN）作为一种能够在一定区域范围内支持移动特性的无线宽带接入手段，为中国移动开展移动数据业务提供了一种重要手段。 WLAN业务的开展应该遵循以下原则： 在中国移动 WLAN网络建设中，遵循国家环保局和无委电磁辐射的要求。 WLAN接入点的部署以热点地区为主，如机场，饭店，写字楼群，会展中心，以及其他商务人员经常聚集的公共场所。 主要支持两大类用户的接入： 1） “随 e行”手机 用户；用户 鉴权数据 信息存储在中央 Radius（帐户 /密码认证方式） 及 HLR（ SIM认证方式 ） 中。具体包括： 以手 机号作为用户 帐 号，包括全球通、神州行及动感地带用户，既包含预付费用户，也包含后付费用户。由 BOSS/SCP负责开户、业务管理及话单处理 ，开户后将鉴权信息同步给中央 Radius。 BOSS管理的 “随 e行” 手机 用户可以采用两种计费方式。一是 按时长 扣费 计费 方式，即 用户按 实际 使用时长 按时长 扣 费 ，即“先使用、后扣费”； 二是套餐计费方式，由用户选择套餐类型，按套餐 金额预先扣费 ，即“先 订购 、后使用” 。 智能网 SCP管理的 “随 e行”手机用户可以采用按时长扣费计费方式，将来可以通过计费系统的改造支持对智能网手机用户的套餐计费方式 。 2） 预付费卡用户； 用户数据信息存储在中央 Radius中。 具体包括： 全国预付费卡用户。以特殊的命名规则构成卡号，作为用户帐号。由 BOSS负责 卡的销售 ，中央 Radius负责用户帐户及连接的管理。各类用户的命名规则详见业务规范。 映射到公网的奥运专网用户。以 特殊的命名规则 作为用户帐号；采用特殊的全国预付费卡用户方式实现。由 BOSS负责 卡的销售 ，中央 Radius负责用户帐户及连接的管理。 通过 管理 有效期控制卡的 使用时间。 省内预付费卡用户，使用范围仅限于发卡省份； BOSS负责卡的销售 ，用户的接入权限由中央 Radius统一判断和控制。省内用户的命名规则详见业务规范。 支持 “随 e行”手机用户、全国预付费卡用户 在中国移动 WLAN覆盖范围内的用户漫游；暂不支持省内 预付费卡 用户的漫游。奥运期间通过认证转发的方式，开通国际漫游业务（包括出访及 来访 ）。 “随 e行”手机用户的认证以 帐号 /密码认证方式为主，同时支持 SIM认证。中国移动 WLAN用户认证和现有 GSM网络资源和现有 RADIUS认证系统高度融合。关于 SIM认证，目前采用中国移动制定的基于 802.1x机制 的 SIM认证标准。 QB-D-025-2008 /webmoney 5 映射到公网的奥运专网用户 、 全国预付费卡 、省内预付费卡 用户均采用 帐号 /密码认证方式，通过中央 RADIUS服务器完成认证。 支持基于时长和流量的多种计费形式，并为现有移动 手机 用户提供统一帐单。 为用户提供安全的 WLAN接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。 5. 中国移动 WLAN 业务 基于 802.11b的 WLAN接入技术能够提供 11Mbps的带宽， 基于 802.11g的 WLAN接入技术能够提供 54Mbps的带宽， 并且支持局部地区的低速移动性，可满足用户使用笔记本电脑、 PDA等现有移动设备的高速上网需求，同时为 WLAN局部移动用户使用宽带多媒体业务提 供了可能。 5.1. WLAN 业务要求 (1) 一键上网 WLAN用户能够通过中国移动提供的客户端软件方便地使用中国移动提供的各种网络接入。 (2) 业务控制 WLAN接入技术能够为用户提供更多类型的数据业务，并且可以捆绑中国移动现有的各种数据业务（如 MMS等）。通过集中设置或者导入现有的各种业务控制机制，来引导用户对中国移动数据业务的使用。 (3) 多种计费方式 WLAN业务能够支持基于时长和流量的多种计费形式 ；能 够 支持 对配置不同资费策略的“随 e行”手机用户 、映射到公网的奥运专网用户、全国预付费卡用户 及省内用户的同时接入及计费 。将来应 支持基于 QoS和内容的计费。 (4) 用户漫游，认证和计费 目前能够支持 “随 e行”手机用户、映射到公网的奥运专网用户、全国预付费卡 用户在中国移动 WLAN覆盖范围内的漫游识别 、 认证和计费 ；暂不支持省内 预付费卡 用户的漫游。 通过支持漫游用户的认证计费报文转发功能， 能够 允许 用户在不同运营商 WLAN覆盖 网络之间漫游。 (5) 安全的数据业务接入 为用户提供安全的 WLAN接入方式，保护合法用户的认证和数据信息，防止非法用户的入侵。 (6) 热点地区局部无缝切换 能够支持 WLAN业务用户在热点地区不同 AP设备间的无缝切换而不中断用户数据 连接。 QB-D-025-2008 /webmoney 6 5.2. WLAN 业务类型 通过 WLAN接入方式，中国移动能够为 WLAN用户提供丰富的数据业务类型，主要包括： (1) 互联网无线宽带接入 WLAN为用户访问 Internet提供了一种宽带接入方式。通过 WLAN接入设备，用户能够高速使用 WWW， FTP， E-mail等各种 Internet业务。 (2) 虚拟专用网业务 (VPN) 移动办公者可以通过 WLAN接入方式，高速访问企业内部网络资源，如企业内部网页，内部邮件系统，内部文件系统等。 (3) 多媒体数据业务 WLAN接入方式为用户使用多媒体应用（如视频点播、数字视频广播、视频会 议、远程医疗、远程购物、远程监控、远程教学等）提供了可能。 (4) 基于 WLAN的增值业务 基于 WLAN接入方式的数据业务可以和现有的数据业务结合，如短消息服务， 移动电子邮件，移动个人理财，娱乐天地，位置服务，游戏等。中国移动可以利用业务控制手段如门户网站来引导用户对 增值业务的使用。 6. 系统结构和组网 6.1. 系统结构 中国移动 WLAN数据业务系统结构包括逻辑结构 、 网络组成部件和互连接口。 图 6.1给出了中国移动 WLAN业务网络的系统结构。 图 6.1 中国移动 WLAN业务网络 系统结构 QB-D-025-2008 /webmoney 7 W L A N 用户终端中国移动中央R A D I U S 认证服务器P o r t a l 服务器W L A N S I M 认证服务器 （ AS ）H L R / A u C中国移动一级B O S S 系统C M N E TW L A N 接入系统W L A N 接入点（ AP ）W L A N 接入认证点（ A u t h e n t i c a t o r ）W L A N 业务控制点 ( AC )各省 B O S S 系统各省智能网系统（ S C P ） 中国移动 WLAN业务网络逻辑系统结构主要由下列主要部分组成。 (1) WLAN终端设备 WLAN终端设备需要安装 WLAN网络卡， WLAN网络卡可以是任何支持 IEEE802.11系列标准的设备，同时要求和 WLAN接入系统设备兼容。目前 WLAN网络卡主要支持 IEEE802.11b/g协议。当采用基于 802.1x机制的认证方式时， WLAN网络卡必须能够支持动态 WEP加密。 同时 WLAN终端设备需要安装相应的认证客户端软件，支持 SIM认证方式或者 帐号 /密码认证方式。 目前，中国移动 已经 开发 了 “ 随 e行 ” 移动终端客户端软件，该客户端软件能够自动识别终端卡类型，网络连接以及进行相应的配置， 可以 为 包括全国用户及省内 用户 在内的所有终端用户 提供方便的上网方式。 (2) WLAN接入系统 WLAN接入系统主要由接入点设备 AP和业务控制设备 AC组成，完成 WLAN用户的接入，接入控制，计费信息采集以及业务管理和控制。在 图 6.1中由虚线框表示的 WLAN接入认证点（ Authenticator）是一个逻辑意义的 WLAN用户认 证功能模块，可以在 AP或者 AC设备上实现。 用户无线接入 QB-D-025-2008 /webmoney 8 AP是 WLAN业务网络的小型无线基站设备，完成 802.11系列标准的无线接入，目前要求支持 802.11b/g。 AP也是一种网络桥接器，是连接有线网络与无线网络的桥梁，任何 WLAN终端设备均可通过相应的 AP设备接入到有线网络资源。 在安全控制方面， AP可以通过网络标志和 MAC地址来控制用户接入；同时 AP支持 WEP空中加密，保护用户信息安全。 在数据通讯方面， AP负责完成它与 WLAN终端设备之间数据包的加密和解密。 AP切换 当用户在属于同一子网内的 AP无缝覆盖区域移动时， WLAN接入系统能够支持 WLAN终端设备在不同 AP之间的切换，保证数据通讯不中断。 接入控制 在接入控制方面， AP或者 AC可以作为 WLAN用户接入的控制点，和后台的认证服务器（ 中央 RADIUS用户认证服务器或者 SIM卡认证服务器）相连，完成对 WLAN用户的认证。 当采用多种认证方式时， WLAN接入系统必须能够识别不同的认证方式，并将不同方式的认证信息流发送到相应的认证服务器。 支持“随 e行”手机用户采用静态密码或动态密码方式登录网络 ， 其它 用户仅能通过静态密码登录网络。 计费信息采 集 在计费中， WLAN接入系统作为计费信息采集前端，实时采集用户数据通讯的时长，流量等计费数据信息，并将其发送到相应的认证服务器产生话单。 为支持 套餐 手机 用户 、预付费卡用户的实时可用连接时长扣减，接入系统 应能 支持周期性计费报文的发送。 如果有的 WLAN网络覆盖采用和业主合建的模式， WLAN接入系统可以支持将本地 WLAN业务用户计费信息传送到业主的网络系统。 自动切断用户网络连接 为了防止非法用户恶意占用 WLAN网络资源， WLAN接入系统必须能够支持在指定的时间间隔后切断用户的 WLAN网络连接。 接入系统必须 支持连接时 长控制功能，能够在 本次连接最大 允许 接入 时间结束 时自动切断网络连接。 本次连接最大允许接入时间由 Radius通过用户认证响应报文通知接入系统。 为了支持必要的欠费风险控制功能，接入系统 应 能根据认证计费系统返回的指令，中断状态异常用户（欠费、停机等）的网络连接。 业务控制 AC提供强制 PORTAL功能，向 WLAN用户终端推送 WEB用户认证请求页面和中国移动门户网站。当用户认证通过后，用户业务数据通过 AC接入到 CMNET。 AC必须提供灵活的白名单配置功能，以满足用户自服务及国际漫游业务的需要。 要求 AC支持 白名单功能，能够进行 二级 Portal的推送 。此外，为保证国际漫游客户端的接入，要求 AC在支持强制 Portal的功能时，遵循 WISPr协议的相关规定 ， 采用 HTTP redirect (302) status 或 META HTTP-EQUIV=REFRESH方式，并按照中国移动 WLAN业务 PORTAL协议规范传递强制 PORTAL功能相关参数。建议采用第二种方式实现。 具体见参考文献 18。 (3) PORTAL 服务器 QB-D-025-2008 /webmoney 9 PORTAL 服务器 主要提供如下功能 ： 强制 PORTAL 用户通过 WEB浏览器发起 Internet访问请求后， AC可以将该请求强制到 PORTAL 服务器 ，PORTAL 服务器 接收强制 PORTAL请求，并向用户发送指定的 WEB页面。 漫游合作伙伴的 二级 PORTAL推送 为了支持国际漫游业务 ，要求 Portal服务器 在页面上提供 “国际漫游用户 接入 ” 选择。 必须 支持二级 Portal重定向功能，能够在漫游用户单击时，推出漫游合作伙伴的认证页面 。 同时，为了支持客户端方式的国际漫游认证请求，要求遵循 WISPr协议的相关规定，具体见参考文献 18。 国际漫游用户的相关请求 必须支持由漫游合作伙伴的 二级 Portal转发的漫游用户认证、状态查询及下线请求。具体见中国移动 WLAN国际漫游业务总体技术要求。 认证页面推送 PORTAL 服务器 接收到用户页面请求时，向用户推送中国移动统一定制的认证页面。 客户输入帐号、密码之后， 由认证系统根据手机号、卡号编码格式 判定 用户归属地，并在登录成功 页面上 提供客户归属地 WLAN业务介绍 的链接 。 为支持手机用户通过动态密码方式登录网络，认证页面应同时提供“动态密码登录” 和“ 静态密码登录 ” 两种选择。 在认证成功页面中， Portal需根据由 Radius返回的系统配置的单次 连接最大时长 、套餐（含卡用户） 可用连接时长信息，向 用户 提示 套餐内 可用连接时长信息 并为用户提供上线正计时功能 。 静态密码 认证 当采用基于 WEB的 静态密码 认证方式时， PORTAL 服务器 接收用户认证请求信息后，向Radius发起 密码 认证过程；认证结束后， PORTAL 服务器 将认证结果通知给用户。 如用户未开 通 WLAN业务，需提示用户开户方法。 动态密码认证 当采用基于 WEB的动态密码认证方式时， PORTAL 服务器 接收 手机 用户“动态密码请求”信息， 并 通过 PORTAL与 RADIUS之间的直连 接口 发起 动态 密码 申请 请求； RADUIS生成动态密码并 通过 短信 下发 （可采用两种方式： Radius直接通过短信网关下发；经由一级 BOSS/省 BOSS通过短信网关下发） 给用户 。动态密码认证流程与静态密码认证相同。 用户自服务 Portal服务器需要 在 登录 页面 和 认证成功页面 上 为用户 提供自服务功能 ， 认证成功页面在用户上线期间不能关闭。自服务 页面由中央 Radius提供 ， Portal需要支持页面的重定向操作 ，并 提示用户 正确 使用 Radius提供的自服务功能。 中国移动门户网站页面的推送 QB-D-025-2008 /webmoney 10 WLAN用户认证成功后，由 PORTAL 服务器 向用户 推送门户网站页面，用户通过门户网站页面可以查看广告以及中国移动提供的其它服务。将来还支持中国移动用户个性化页面的推送。 下线通知 用户上网结束后，可以使用 PORTAL功能通知 AC用户下线；当 AC侦测到用户下线或者主动切断用户连接时，也能告知 PORTAL服务器 ； 用户在本次连接最大允许接入时间结束时，将被强制下线， AC在强制用户下线时也能告知 PORTAL服务器。 (4) 中央 RADIUS用户认证服务器 中央 RADIUS主要有以下功能： 用户 认证 在 帐号 /密码认证方式中， 中央 RADIUS首先收到 Portal发出 的用户 信息查询请求。 RADIUS验证用户信息（ 帐号 、密码）后，需通过查询响应向 Portal返回用户 可用 连接时长及 系统配置的单次连接最大时长 信息 。 RADIUS收到 来自 AC的用户认证服务请求 后 ，对用户进行认证，并将认证结果通知 AC。 对于“随 e行”手机用户， 中央 RADIUS需要同时支持 静态密码 、 动态密码 两种 认证方式。 动态密码 创建 及管理 对于采用动态密码认证的手机用户，中央 Radius服务器接收 到 Portal直接转发的 “ 动态密码请求”消息， 生成动态密码并 通过短信下发给用户。动态密码的下发可以采用两种方式：一是由 Radius直接通过短信网关下发；二是 经由 一级 BOSS/省 BOSS系统 通过 短信网关 下发。动态密码 仅在本次 连接期间有效，用户下线后动态密码自动失效。 用户两次重复申请动态密码的最小间隔为 15分钟；且 动态密码的最长有效时间与 WLAN接入系统 的最长连接时间相同。 用户自服务 为支持 Portal服务器提供 用户自服务 功能，中央 Radius需要支持 Portal的页面重定向请求，提供 手机 用户 、卡用户 的 自服务页面 及相应的功能 。 自服务功能 可以通过公网访问 。 为保证用户信息的安全， 用户 在 使用 中央 Radius提供的 自服务功能 时，需要 对用户 进行 重新认证。 自服务页面 及功能 由 中央 RADIUS提供， 要求 根据用户类型推送 该用户 可使用的自服务页面。 具体为 ： a) 手机 用户： 静态 密码修改、 套餐信息查询、 历史使用记录查询。 b) 预付费卡用户： 静态 密码修改、 套餐信息查询、 帐户 转帐 、 历史使用记录查询。 页面自服务 静态密码修改 功能 为保持 “随 e行” 手机 用户 数据 在中央 Radius与 BOSS间的同步， “随 e行” 用户 通过 Portal发起 的 静态 密码修改请求需要由中央 Radius转给后台的 BOSS系统处理，并由 BOSS系统将修改后的 静态 密码同步给中央 Radius，完成用户 密码的更新 。 而对于映射到公网的奥运专网用户、 全国预付费卡用户 及省内预付费卡用户 ，主要由中央 Radius管理，中央 RADIUS允许此类用户通过 Portal页面直接修改 WLAN业务 静态 密码，无需与 BOSS同步。 页面自服务套餐信息查询功能 QB-D-025-2008 /webmoney 11 为手机用户提供当月有效的套餐信息， 为卡用户提供当前有效的套餐信息。具体 包括套餐类型、有效期、剩余连接时长。如用户未购买过套餐，需给出相应提示。 页面自服务 帐户 转帐 功能 对于预付费卡 用户， Radius为包时长的卡用户提供账户 转帐 功能。 Radius认为用户当前登录的预付费卡 为转入卡，用户需另外输入转出卡的卡号 及密码 。 收到 用户 的 帐户 转帐 请求后， Radius需要判断转入卡与转出卡的类型 。 若 两者都是包时长的卡，且转出卡当前未被使用， Radius允许将转出卡的剩余时长转到转入卡，与转入卡的剩余时长累加。否则， Radius将拒绝 转帐 操作。 转帐 成功后需要提醒用户重新认证，将新的可用时长信息发送给接入系统。如 转帐 失败， RADIUS需向 PORTAL返回具体的失败原因。 转帐 后，转出卡立即失效，转入卡的有效期 取两张卡的最大值。 页面自服务历史使用记录查询功能 提供 一定时间内用户 使用网络的历史 记录， 具体 要求 见业务规范 。 计费 功能 对于 采用 帐号 /密码认证方式的手机 用户，中央 RADIUS用户认证服务器还接收计费信息采集 前端 发送的计费采集信息，产生话单（计费数据记录，即 CDR），并将话单通过计费数据接口传送给 BOSS系统 用于批价及结算 。 对于 申请了 套餐计费方式的手机用户，中央 RADIUS应能 接收 AC发送的实时计费请求， 对套餐的剩余可用时长 实时扣减 。 目前 套餐批价 遵循 以分钟为计费单位的规则，每条话单不足一分钟部分 需要 向上取整。 为 保持套餐扣减与 BOSS处理的统一 ，要求 每次扣减单位及 中间计费包 中的计费记录均 为 1分钟的整数倍 。 当套餐的可用时长用尽 或有效期到期 后，用户的计费方式 自动转为 按时长 扣费 计费 方式。 对于 采用按时长 扣费 计费 方式的 手机用户， 中央 RADIUS接收 AC发送的实时计费请求， 产生话单并发送给 BOSS系统。 对于预付费 卡 用户，中央 RADIUS接收 AC发送的实时计费请求， 对套餐剩余可用时长实时扣减，并 产生话单送给 BOSS系统 。 用户信息 管理 使用 帐号 /密码认证方式时，需要 根据 BOSS发 给 Radius的业务 受理 指令， 建立 WLAN用户认证信息数据库。认证信息数据库存储 WLAN用户信息，包括认证信息，业务属性 信息，计费信息等等。当 中央 RADIUS用户认证服务器对 WLAN用户认证时，通过数据库存取协议存取数据库中的用户授权信息，检查该用户是否合法 及使用权限等 。 当支持动态密码认证时，中央Radius需要同时保存 “随 e行”手机用户的 静态密码及动态密码。 当采用基于 帐号 /密码 的 认证方式时， “随 e行” 手机 用户通过 10086或者短消息方式向BOSS申请 WLAN用户密码， BOSS为 WLAN用户创建和修改 WLAN业务密码 并同步给中央 Radius。 对于映射到公网的奥运专网用户 、 全国预付费卡用户 及省内预付费卡用户 ， 由 BOSS负责 卡 的销售 ， 用户 通过购买预付费卡的方式在中央 RADIUS开通 帐户 并获取 WLAN业务密码。 中央 RADIUS需要管理手机用户的计费方式相关信息，包括计费方式、用户套餐可用连接时长、用户套餐有效期（含起止时间） 等 供用户查询。用户计费方式相关信息的更新原则如下： a) 每月 月初 1 日 0 时 0 分 ，如果用户有生效的套餐，用户计费方式更新为套餐计费方式。 QB-D-025-2008 /webmoney 12 b) 当用户套餐可用连接时长用尽或用户套餐过期时，用户套餐失效，用户计费方式更新为 按时长 扣费方式。 Radius需要 接收并处理 BOSS传递 的 业务受理及用户状态变更 指令，具体 接口指令参 见中国移动通信集团一级 BOSS接口枢纽规范 -WLAN业务单行本。 (5) SIM认证服务器（ AS） 当对 “ 随 e行 ” 手机 用户采用基于 SIM卡的认证方式时， AS接受来自 AP/AC的用户认证服务请求，对 “ 随 e行 ” 手机 用户进行认证，并将认证结果通知 AP/AC。 对于 SIM卡用户， AS还接收计费信息采集 前端 发送的计费采集信息，产生话单（计费数据记录，即 CDR），并将话单通过计费数据接口传送给 BOSS系统 用于批价及结算 。 (6) HLR/AuC 当对 “ 随 e行 ” 手机 用户采用基于 SIM卡的认证方式时， AS利用 HLR/AuC中现有的 用户认证信息，和 HLR/AuC协作实现对 SIM用户的认证。 (7) BOSS系统 在 WLAN数据业务中， BOSS系统主要完成以下功能： 业务注册服务 BOSS系统根据用户申请，为用户开户， 对于采用 SIM认证的用户，需要 将 WLAN业务属性写入 HLR。 动态密码 分发 用户申请动态密码时， RADIUS生成的动态密码除直接连接短信网关下发外，还可经由BOSS系统 ，再 通过短信 发送 给用户。 用户信息的更新 为支持“随 e行” 手机 用户通过自服务页面修改 静态 密码的功能， BOSS系统 应能接收 中央 Radius发出的 静态 密码修改请求 ，修改 静态 登陆密码并同步给 中央 Radius。 当 BOSS用户数据库系统中的用户信息更新时， BOSS系统需要通知 RADIUS服务器同步更新相应的 WLAN用户信息。 具体接口消息格式见参考文献中国移动通信集团一级 BOSS接口枢纽规范 -WLAN业务单行本。 计费和结算 BOSS系统接收从 RADIUS用户认证服务器和 AS发送的 WLAN数据业务话单，实现该用户的统一计费和结算。 对于 申请了 套餐的 手机用户， BOSS系统 需要 向 RADIUS同步 套餐 订购关系 （套餐申请） 。BOSS处理此类用户的话单并完成结算。 6.2. WLAN 组网 图 6.2给出了中国移动 WLAN业务组网。 QB-D-025-2008 /webmoney 13 图 6.2 中国移动 WLAN业务组网 中国移动 WLAN业务网络主要由位于热点地区的 WLAN覆盖， Portal服务器， CMNET，全国RADIUS认证中心，全国 SIM认证中心，中国移动各省和全国 BOSS系统，各省短消息网关和短消息服务中心等部分组成。 (1) AP的组网原则 AP主要部署在各个热点地区，如机场，星级酒店，写字楼群，会展中心，以及其他商务人员经常聚集的公共场所。 AP的部署和规划可参考附件六。 (2) AC的 组网原则 AC的设置有两种方式：分布式和集中式。采用分布式设置时，每个 WLAN覆盖的热点地区都部署一个 AC；采用集中式设置时，在城域网集中部署一台 AC，每个 WLAN覆盖地区的 AP通过城域网连接到集中 AC上。 当采用基于 802.1x机制的认证方式时， AC作为 WLAN用户接入认证点时， AP和 AC之间的传送网络应保证 AC且仅有 AC能够终结 WLAN用户的二层认证信息流。 各省可以根据业务的特点和网络的规模选择 AC设置 的方式。如果热点地区接入用户少，建议采用集中式 设置 ，以便于集中维护和管理，降低成本；如果热点地区 的用户多，建议采用分布式 设置 ，利于负载分担。 对于 WLAN网络覆盖采用和业主合建的模式，如果 WLAN业务用户认证点为 AC，需要在热点地区部署独立的 AC，支持将本地 WLAN业务用户计费信息传送到业主的网络系统。 (3) PORTAL服务器的组网原则 QB-D-025-2008 /webmoney 14 PORTAL服务器采用集中式放置，采用中国移动现有的 PORTAL服务器平台。 (4) RADIUS用户认证中心的组网原则 基于 帐号 /密码方式的 WLAN全国用户 认证采用现有的中国移动 CMNET全国认证中心。 为了开展 WLAN业务，需要对 中国移动 Radius全国认证 中心进行如下 改造： 建立 随 e行手机用户 、 预付费卡 用户 认证信息数据库。 增加 中央 RADIUS认证服务器和全国一级 BOSS系统之间的数据同步接口，用来 转发 “随 e行” 手机 用户的 静态 密码修改请求、 动态密码分发请求 （动态密码通过 BOSS下发时） ，受理业务， 同步更新 “ 随 e行 ” 手机 用户认证信息 等 。 此外， 还需要提供到 BOSS的数据传输接口， 用来 传 递 手机用户 状态变更 通知 。 支持 WLAN用户 静态 密码 的 同步 、修改 及认证 。 支持 WLAN用户 动态密码 的生成 、分发、管理及认证。 支持映射到公网的奥运专网用户、全国预付费卡 、省内预付费卡 用户的管理 、认证、计费。 增加 用户自服务页面 ， 支持 静态 密码修改、 套餐信息查询、 帐户 转帐 （仅对预付费卡用户提供）、 历史 使用 记录查询等功能。 对于 手机用户 ，能够根据套餐类型及 余额反算可用连接时长 。 增加 帐户 判断功能，根据用户类型提供不同的自服务页面。 增加省内用户漫游判断功能，对省内用户的接入权限进行控制。 为满足国际漫游业务的需要，支持 国际 漫游用户认证计费请求的转发功能。 (5) SIM认证中心 (AS) 的组网原则 目前采用全国集中设置的方式。将来当 WLAN业务量大时，可统一规划，分布建立 SIM认证中心。 (6) BOSS系统的组 网原则 全国 RADIUS认证中心和全国集中式的 SIM认证中心与全国一级 BOSS计费系统相连实现计费和结算。 7. IP 地址 7.1. 用户终端 IP 地址 考虑到 WLAN业务用户移动的特点 及网络管理的需要 ，应为用户分配 公 有 IP地址。 WLAN用户终端通过 DHCP协议获得动态 IP地址的同时，获得缺省网关及 DNS地址。 7.2. 设备 IP 地址 根据 WLAN接入设备的部署和网管需要，为 AP分配 公 有 IP地址，为 AC分配公有 IP地址。对于有城域网的城市， WLAN接入设备 IP地址的分配应该和城域网 IP地址的分配统一规划。 QB-D-025-2008 /webmoney 15 对于 SIM认证服务器（ AS） 、 中央 RADIUS认证服务器 、 Portal服务器 ， 应该分配公有 IP地址。 7.3. IP 地址转换 利用中国移动现有地址转换设备在进行 IP地址转换，可以根据不同应用选择 NAT或者 PAT方式进行 IP地址转换。 8. WLAN 接入设备编号 (1) 接入点（ AP） ESSID的编号 接入点（ AP） ESSID的编号用于控制用户接入，中国移动接入点（ AP） ESSID的编号为 CMCC。 (2) WLAN用户接入地编号 WLAN用户接入地编号用于支持漫游计费和结算。接入控制器（ AC）或者接入点（ AP）的设备编号形式为： HST.CTY.PRO.OPE.NAT 其中： HST表示 WLAN热点覆盖地区，由 4位数字组成，各省自己规划和分配，该段代码只对于分布在 WLAN热点覆盖地区的 WLAN接入系统设备有效。 CTY表示 WLAN位于的城市，由 4位数字组成，由各个 地市的长途区号 表示 , 右对齐左填零 。 PRO表示 WLAN位于的省份，由 3位数字组成， PRO的代码分配参见附表。 OPE表示 WLAN所属的运营商，由 2位数字组成，中国移动为 00。 NAT表示 WLAN所属的国家或者地区，由 3位数字组成，中国为 460。 9. 频率 9.1. 工作频段 802.11b/g工作在 2.4000GHz到 2.4835GHz。 9.2. 信道配置 信道配置见下表，在同一小区或相邻小区的无干扰信道间隔至少应为 25MHz。 信道标号 中心频率 1 2412MHz 2 2417MHz 3 2422MHz 4 2427MHz 5 2432MHz QB-D-025-2008 /webmoney 16 6 2437MHz 7 2442MHz 8 2447MHz 9 2452MHz 10 2457MHz 11 2462MHz 12 2467MHz 13 2472MHz 10. 用户漫游 10.1. 漫游类型 WLAN业务有如下几种类型的漫游： “随 e行”手机 用户 、全国预付费 卡用户 在中国移动 WLAN覆盖范围内的漫游 “随 e行”手机用户、全国预付费卡 用户 数据存储在中央 Radius中， 可以 在中国移动 WLAN覆盖范围内 实现漫游，具体 与中国移动手机用户的漫游相似，即用户 可以 在非归属地使用WLAN业务。 省内 预付费卡 用户在中国移动 WLAN覆盖范围内的漫游 目前暂不支持 省内 预付费卡 用户在中国移动 WLAN覆盖范围内的漫游，即 省内 用户仅能在本省范围内使用 WLAN业务 。 用户接入权限的控制由中央 Radius负责完成 。 WLAN用户在不同运营商之间的漫游 不同运营商之间的漫游是指 WLAN用户在 热点地区通过不同运营商的 WLAN覆盖使用 WLAN业务。 将通过 二级 Portal推送、 认证转发的方式支持运营商之间的漫游。 10.2. 漫游支持 本技术要求重点 考虑 “随 e行”手机用户及全国预付费卡用户 用户 在 中国移动 WLAN覆盖范围内的漫游支持 。 国际漫游要求见相关的规范。 (1) WLAN用户接入地的识别 WLAN用户接入地的识别是在用户认证的过程中进行的。当用户的认证信息提交给 AC、并由 AC提交给 认证服务器后，认证服务器根据 WLAN接入设备编号判定其接入地。接入地识别主要用于 接入权限控制 、 漫游结算和位置服务 等 。 (2) 用户归属地的识别 对于“随 e行” 手机 用户，当 使用基于 SIM卡的用户认证方式时， SIM认证服务器通过信令连接点设备（ STP）判定 WLAN用户归属地 HLR/AuC后，向归属地 HLR/AuC获取 WLAN用户认证信息。 QB-D-025-2008 /webmoney 17 对于“随 e行” 手机 用户， 如果是基于 Radius服务器的 帐号 /密码认证方式， 为支持个性化认证页面的推送，要求认证系统（ Portal/Radius）支持对手机用户归属地的识别，并能在认证成功后为用户推送归属地定制的个性化页面及链接。 对于全国预付费卡及 省内 预付费卡 用户，用户的归属地可以根据业务规范中的编码规则加以判 断。 卡用户归属地的识别可用来完成认证后个性化页面的推送及用户接入权限的控制。此外 ，省内预付费卡用户的归属地判断 还可 用来完成省内用户异地接入权限的控制。 11. 用户认证 中国移动 WLAN用户认证发生在 WLAN终端和 AP的关联（ Association）之后。 11.1. WLAN 用户认证方式 中国移动 WLAN业务采用如下两种认证方式： 帐号 /密码认证方式 包括基于 WEB方式 和 EAP-MD5方式的 帐号 /密码认证。 对于“随 e行”手机用户，同时提供静态密码、动态密码方式实现 WEB认证。 SIM卡认证方式 11.2. WLAN 用户认证模型 目前 ，中国移动采用两种认证方式： 帐号 /密码认证方式和 SIM认证方式。 图 11.1给出了中国移动 WLAN用户认证模型。 图 11.1 WLAN用户认证模型 WLAN用户终端WLAN用户接入认证点WLAN认证服务器PORTAL服务器 WLAN用户终端 WLAN用户终端要求安装 802.11b/g无线网卡，支持中国移动制定的基于 WEB的 帐号 /密码认证方式和 SIM认证方式。 QB-D-025-2008 /webmoney 18 WLAN用户接入认证点 WLAN认证点检查连接用户是否已经通过用户认证，并和后台 WLAN认证服务器协同工作完成对 WLAN用户的认证。用户通过认证后， WLAN认证点允许用户接入到 IP数据 网络上。目前，当采用基于 802.1x机制的 SIM认证方式时， WLAN认证点可以设置在 AP或者 AC上；当采用基于WEB的 帐号 /密码 认证 方式时， WLAN认证点为 AC。 WLAN认证服务器 WLAN认证服务器包括 SIM卡认证服务器和 RADIUS用户认证服务器，分别完成基于 SIM卡和帐号 /密码方式的用户认证。 11.3. 帐号 /密码认证方式 11.3.1. 用户密码的申请 用户在第一次使用 WLAN业务之前必须申请 WLAN用户密码，以后可以根据需要修改自己的WLAN业务密码。 WLAN用户密码的申请和修改是由各省的 BOSS客户服务子系统完成的， WLAN用户可以通过短消息和 10086服务两种方式申请和修改 WLAN用户密码 ； 全国 /省内预付费卡用户还可以通过购 卡 的 方式获得 帐号 及密码 。 WLAN用户通过短消息方式和 10086服务申请或者修改 WLAN业务密码的流程 见相关业务受理方案 。 11.3.2. 用户管理 WLAN用户的管理主要是对 WLAN业务用户数据库的管理， WLAN业务用户数据库包括用户ID，用户认证信息，业务属性信息，计费信息等。 按照集中建设 Radius、分省运营的原则，所有 WLAN用户均由中央 Radius进行统一管理。 WLAN用户的管理主要有用户数据库的创建，删除和更新。 (1) 用户数据库的创建 目前 WLAN业务用户 既有 后付费用户， 也有预付费用户。 无论是预付费还是后付费，“随e行”手机 用户 的 数据库 都 是根据用户请求动态创建的 ； 当用户第一次申请 WLAN业务密码时，RADIUS认证服务器为用户创建 WLAN用户数据库。 WLAN预付费 卡 用户数据库可以 通过卡生成系统 静态批量创建 并导入 ， 然后 通过 发放预付费卡的方式 开通业务 。 “随 e行” 手机 用户通过短信、营业厅、 10086等方式进行业务注册 的流程 见 附录 B， (2) 用户数据库的更新 用户数据库的更新包括用户 静态 密码的更新， 动态密码的分发， 用户状态 （如 正常 、 加锁、注销 ）的更新 ，及 业务属性（如 套餐申请 、套餐取消） 的更新。 预付费卡 类 用户的密码 更新 可以 通过 在 自服务 页面上提供 “ 静态 密码修改”选项来实现 。卡用户 密码直接在 中央 Radius上更新 ，无需与 BOSS同步 。 预付费卡用户 通过 自服务 页面修改密码的流程 见 Portal规范 。 “随 e行”手机 用户的 静态 密码更新可以 通过 Portal提供的自服务 页面完成 ， 详细 流程参见 Portal规范 ； 此外， 还提供通过短信修改、重置用户 静态 密码的功能 。 QB-D-025-2008 /webmoney 19 “ 随 e行 ” 手机 用户 通过短信方式修改 静态 密码时，需要 BOSS将修改后的 静态 密码同步到中央 Radius。 当 通过 Portal页面修改 静态 密码时，中央 Radius需要将请求转发至 BOSS系统；BOSS系统负责 静态 密码修改并 将修改后的 静态 密码同步 给 中央 Radius。 “随 e行”手机用户可以通过 Portal页面选择动态密码认证。动态密码由 Radius服务器产生， 并 通过短信下发给用户 （ Radius直接 连 接短信网关或者通过 BOSS系统连接短信网关 ）；下发的短信内容由 Radius产生，遵循业务规范的相关规定 。 “随 e行”手机用户通过页面自服务方式修改静态密码、通过短信方式修改 /重置静态密码 、以及动态密码下发 的 相关 流程见 附录 C。 用户数据库的更新需要通过 BOSS系统的用户数据同步请求来完成。 当用户的密码或者业务属性发生变化时，如果用户正在使用 WLAN数据业务，需要对该用户重新认证。 (3) 用户数据库的删除 当 Radius服务器收到 BOSS系统的 “ 过户 ”、“ 用户注销 ”、“ 冷冻期 ” 等状态 指令 时，无论用户是否 存在有效套餐， 均需要 从 RADIUS用户数据库中删除该用户。 手机用户业务注销流程见 附录 D。 对于预付费 卡 用户，当帐户余额 不足 或 帐 户到期 时，需要从 RADIUS用户数据库中删除该用户。 (4) 用户数据库的 加锁 当 Radius服务器收到 BOSS系统的 “ 用户单向停机 ”、“ 用户停机 ”、“ 保留期 ” 等状态指令时， 应 将该用户的 WLAN业务加锁。此时该用户仍可使用查询 及公网自服务 业务，但无法使用 WLAN接入服务直至业务恢复。 (5) “随 e行”手机用户的计费方式 更新 当前计费方式为 “ 套餐计费 ” 的用户在套餐的可用连接时长 用尽 后， RADIUS用户数据库中该用户的 计费方式将更新为 按时长 扣费 。 当前计费方式为 “ 按时长 扣费 计费” 的用户在用户 套餐生效 时 ， RADIUS用户数据库中该用户的计费方式将更新为套餐计费。 (6) “随 e行”手机用户的 套餐 订购 可以通过 短信或 10086、营业厅方式 申请 套餐 ，具体流程见 附录 D， 接口定义 见 参考文献中国移动通信集团一级 BOSS接口枢纽规范 -WLAN业务单行本 。 用户 成功 订购 套餐后， BOSS应 通过套餐申请指令 将 套餐 订购关系同步给 RADIUS用户数据库 ， 更新 该用户 的 套餐信息 （ 套餐类型、 可用连接时长和有效期的起止时间）。 (7) 预付费卡用户的帐户 转帐 预付费卡用户可以通过 Portal提供的自服务页面进行帐户 转帐 ，具体流程见 Portal规范。 当使用自服务页面 转帐 完成后，需要用户重新登录认证才能完成剩余时长的更新。 QB-D-025-2008 /webmoney 20 11.3.3. 用户合法性确认 RADIUS认证服务器接收到用户认证信息后，需要确认用户合法性。首先是用户身份和业务属性的确认，然后是用户密码的验证。 关于 RADIUS服务器确 认用户合法性流程请参见 附录E。 11.3.4. 用户接入流程 中国移动采用两种 帐号 /密码认证方式： WEB方式和 EAP-MD5方式。 Web方式的 帐号 /密码认证采用流行的 Web浏览器作为认证客户端软件，用户不需要安装特定的认证软件，方便了用户使用 WLAN业务。基于 WEB方式的 帐号 /密码认证和接入流程，接口协议和协议参数参见“中国移动 WLAN用户接入流程技术 规范 （ WEB）”。 EAP-MD5方式的 帐号 /密码认证需要用户安装支持 EAP-MD5认证的客户端软件（该软件将集成在中国移动的客户端软件上），基于 EAP-MD5方式的 帐号 /密码认证和接入流程，接口协议和协议参数参见“中国移动 WLAN用户接入流程技术 规范 （ EAP-MD5）”。 11.4. 基于 SIM 方式的用户认证 11.4.1. 用户管理 SIM方式的 WLAN用户管理基于现有的 GSM和 GPRS用户管理数据库，实行统一的用户管理机制。但对于 WLAN用户，需要在 HLR中定义用户的 WLAN业务属性，目前指定 BearerService(31)为 WLAN业务属性。 11.4.2. 用户接入流程 基于 SIM方式的 WLAN用户认证需要用户安装特定的认证客户端软件。基于 SIM方式的用户认证和接入流程，接口协议和协议参数参见“中国移动 WLAN用户接入流程技术 规范 （ SIM）”。 12. 计费和结算 中国移动 WLAN业务将采用 预付费和 后付费 两种 方式，采用基于以下指标的多种计费方式： 基于时长 基于流量 随着 WLAN技术和业务的发展，将来还可以采用基于 QoS，内容的高级计费方式。 QB-D-025-2008 /webmoney 21 12.1. 计费 图 12.1给出了中国移动 WLAN业务的计费体系结构。 图 12.1 中国移动 WLAN业务计费体系结构 WLAN记费数据采集前端RADIUS用户认证服务器BOSS系统AS WLAN业务的计费体系结构主要包括计费信息采集前端，认证服务器（ RADIUS用户认证服务器或者 SIM认证服务器 AS）和 BOSS系统。 AC或者 AP作为计费信息采集前端，采集 WLAN用户的计费原始数据信息，通过 RADIUS协议接口传送给认证服务器。为了保证计费信息的安全性，计费信息采集前端必须在指定的时间间隔内实时传送计费采集信息。 计费原始数据信息包括： 用户 身份信息 当采用 帐号 /密码方式时，用户身份信息使用手机号 或 预付费卡号 ， 格式参见相关的 业务规范定义； 当采用 SIM认证方式时，用户身份信息使用 IMSI。 预付费卡 帐号 不能与 手机号码相同或相似，用以区分 不同类型 用户 的 话单。 连接会话标识 连接 时长 连接起始时间 连接结束时间 数据流量 上行 数据 流量 下行 数据 流量 计费信息采集前端 设备 IP地址 计费信息采集前端 设备标识 计费信息采集前端 设备标识 用来识别用户的接入地，实现不同城市和省份之间的结算。 认证服务器主要是 AS、 中国移动中央 RADIUS服务器。认证服务器收到 WLAN用户的计费数据信息后，生成用户 WLAN业务话单，并通过 FTP协议传送到 BOSS系统。 表 12-1给出了 WLAN话单内容。 表 12-1 用户话单内容 序号 名称 域 名 位置 长度 含义 填写说明 QB-D-025-2008 /webmoney 22 Rec_type 话单记录标记 1 2 2 标记文件中的记录类型 “ 20” Oper_type 业务类型 3 4 2 业务类型 “03”：承载业务 Oper_ID 业务标识 5 6 2 业务标识 “ 01”： WLAN手机用户 “ 02”： WLAN卡用户 Charge_dn 计费用户号码 7 30 24 做为计费对象的移动用户MSISDN号码； WLAN卡业务填写卡号 AS:不带“ 86”的手机号码 Radius: 不带“ 86”的手机号码 + 域名 WLAN卡：填写 13位卡号 左对齐，不足填空格 Imsi 手机 IMSI号 31 45 15 手机设备的IMSI号码 左对齐，不足填空格。 WEB认证方式该字段可以为空 User_type 用户类型 46 1 做为计费对象的移动用户类型 Oper_id为 01时： 默认为 0 Oper_id为 02时：“ 5”：全国预付费卡，“ 6”：本地预付费卡，“ 7”： 预留 Home_prov 用户归属省 47 50 4 计费用户号码归属省的省代码 Oper_id为 01时：手机用户，归属省填空 Oper_id为 02时：卡用户，归属省由 radius填写 ,3位省代码， (省会长途区号首位去零，不足三位右补零。如北京：“ 100”，山东：“ 531” ) Roam_prov 用户漫游省 51 54 4 计费用户漫游所在省的省代码 上传话单暂时填空 Auth_type 认证类型 55 56 2 用户认证使用的方式 “ 01”： Web认证 “ 02”： SIM认证 Start_time 起始时间 57 70 14 连接起始时间 YYYYMMDDHHMISS Stop_time 结束时间 71 84 14 连接结束时间 YYYYMMDDHHMISS Duration 连接时长 85 90 6 本次连接的持续时长（秒） 右对齐，左填 0 Data_flowup 上行数据流量 91 100 10 上行数据流量 单位：字节，右对齐左填 0 Data_flowdn 下行数据流量 101 110 10 下行数据流量 单位：字节，右对齐左填 0 QB-D-025-2008 /webmoney 23 Hotspot_ID 热点标识 111 126 16 用户所在的热点地区标识 ABCD.CTY. PRO.OPE.NAT: ABCD:4位某城市热点地区编号，由各省自定，各省应确保网络设备数据和计费系统数据配置的一致性。 CTY:4位城市编码 (国内长途区号 ,右对齐左填零 ) PRO:3位省代码 (省会长途区号首位去零，不足三位右补零。如北京：“ 100”，山东：“ 531” ) OPE:2位运营商代码： 00中国移动 NAT:3位国家编码： 460：中国 AC_address AC的 IP地址 127 142 16 计费信息采集前端设备的 IP地址 左对齐，右填空 AS_address AS的 IP地址 143 158 16 认证设备的 IP地址 左对齐，右填空 Home_carrier 归属运营商 159 163 5 计费用户的归属运营商 上传话单暂时填空 Roam_carrier 漫游运营商 164 168 5 用户漫游网络所在的运营商 上传话单暂时填空 basic_fee 通信费 169 174 6 基本通信费 Oper_id 为 01 时：目前暂填零；Oper_id 为 02 时：填写实际通信费。单位：分，右对齐左填零”。即如果是 wlan 预付费卡，radius 要填写本次通信的实际发生费用，以便支撑系统统计沉淀资金给财务。 Info_fee 信息费 175 180 6 信息费 单位：分，右对齐左填零 目前暂填零 Service_ID 服务标识 181 188 8 用户选择的服务标识 Oper_id为 01时， 暂时填空，编码待定 Oper_id为 02时，填写卡费率，FFFZHHHH， FFF填写卡面值，单位为元，左对齐，不足后补空格； Z固定填写 Z； HHHH填写卡时长，单位为小时，左对齐，不足后补空格 ISP_ID ISP标识 189 194 6 ISP的标识 暂时填空 , 编码待定 Cause_close 断线原因 195 196 2 断线原因 “ 01”：用户请求下线 “ 02”：端口连接丢失 QB-D-025-2008 /webmoney 24 “ 03”：不能提供服务，主要指连接异常中断 “ 04”：空闲超时 “ 05”：会话超时 “ 06”：管理员复位端口或会话 “ 07”：管理员重启 NAS “ 08”：端口错误，需要中断会话 “ 09”： NAS出错，要求中断会话 “ 10”： NAS因为其他原因要求中断会话 “ 11”： NAS意外重启 “ 12”： NAS认为不再需要保留该端口而中断会话 “ 13”： NAS需要重新优先分配该端口而中断会话 “ 14”： NAS需要挂起端口而中断当前会话 “ 15”： NAS不能提供所需 服务 “ 16”： NAS为新会话回调而中断当前会话 “ 17”：用户输入错误 “ 18”：主机请求中断 Reserved 预留 197 212 16 预留字段 填空 CR 回车 213 1 Carriage Return LF 换行 214 1 Line Feed 当前为 按时长 扣费 计费 的 “随 e行” 手机 用户： 帐户在 BOSS系统 管理， BOSS系统收到用户的 WLAN业务话单后，完成计费和结算。 预付费 卡 用户： 帐户在 RADIUS管理， 由 RADIUS完成对预付费卡帐户的计费功能。 当前为套餐计费的“随 e行”手机用户 ：帐户在 BOSS系统 管理 。 用户购买套餐 后 ， BOSS将 套餐订购关系同步 给 RADIUS， Radius反算可用连接时长，并根据用户实际使用情况将话单发送给 BOSS系统完成 用户套餐 计费 及结算 。 12.2. 结算 WLAN用户在省际漫游情况下使用业务暂不进行省际结算； WLAN全国预付费卡在外省使用暂不进行省际结算； WLAN本地预付费卡不能在外省使用，不进行省际结算。 涉及到与其他网络运营商的结算，建议参照相关的结算规则。 QB-D-025-2008 /webmoney 25 13. 安全性 13.1. 安全性需求 (1) WLAN物理设备安全性 因为 AP是散布在热点地区的，所以要注意 AP设备的保护 和丢失问题。 (2) 信息安全性 主要包括用户认证信息安全和用户数据信息安全。用户认证信息的安全保证了非法用户不能使用合法用户的权利，用户数据信息的安全保证了用户敏感数据如邮件，隐私，电子商务等数据信息的安全。 13.2. 安全保护措施 WLAN物理设备的安全性需要根据 WLAN设备的各种特性如机械，电器，温度等需求来决定 WLAN物理设备的安装方式和环境。本节主要讨论 WLAN接入系统的信息安全性。 WLAN接入系统的信息安全性可以通过如下措施提供： 用户授权和认证 802.11b/g中规定的基于 SSID，共享 WEP密钥和 MAC地址的认证和接入控制不能有效防止非法用户的侵入，所以中国移动采用基于 SIM卡或者 帐号 /密码方式的用户授权和认证防止非法用户侵入 CMNET。 数据加密 基于 802.1x的 WLAN接口是空中接口，因此要对数据进行加密，防止用户数据的非法窃取。用户数据的加密包括用户认证信息数据和业务数据的加密。 目前 802.1x中主要使用静态的 WEP密钥，安全性不高，所以对于基于 802.1x SIM认证方式的用户数据将使用动态 WEP密钥的生成和分发，即用户在每次的数据会话中使用不同的 WEP密钥对数据进行加密；同时未来将能够 支持 IEEE802.11i规定的安全机制。 防止非法 AP设备 802.11b/g共享密钥验证使用单向，非相互的身份验证方法，即访问点可以验证用户的身份，但是用户并不能验证访问点的身份。如果一个虚假访问点放置到无线局域网中，它可以非法 劫持 合法用户的信息。 防止非法 AP设备的放置首先要加强物理设备的监测和管理，同时还需要 WLAN用户终端和AP之间的双向身份认证， 双向的身份验证使检测和隔离虚假访问点成为可能。 用户隔离 作为公共区域的接入网络，要求热点地区的用户之间必须隔离。用户隔离包括同一 AP下用户之 间的隔离以及不同 AP下网络用户之间的隔离。 VPN安全隧道 QB-D-025-2008 /webmoney 26 对于敏感数据，包括用户认证信息等，可以使用 VPN安全隧道。 自动切断用户网络连接 为了防止非法用户恶意占用 WLAN网络资源， WLAN接入系统必须能够支持在指定的时间间隔后切断用户的 WLAN网络连接。 唯一性限制 不允许在同一时间内，用户采用相同的个人用户帐号使用 WLAN业务。 14. 网管要求 本章主要定义了 WLAN系统网管的总体要求， 具体要求参见 2326。其中，数据业务系统通用网管接口技术规范、中国移动 WLAN认证平台统计监控需求 为必须遵守的网管规范； WLAN Portal性能指标及业务计数器定义、 Radius性能指标和计数器定义为参照执行规范。 14.1. 网管系统结构 14.1.1. 组网结构 WLAN网管系统采用三级组网结构。 WLAN网络中的 AP和 AC由专门的 OMC直接管理， OMC放在各地市，由各地 /市公司管理； OMC接入省级 IP网综合网管；集团公司的 IP网综合网管通过省级 IP网管对 WLAN设备进行管理，同时还负责对 AS的管理。 图 14.1给出了 WLAN网管系统 组网结构。 图 14.1 WLAN网管系统组 网结构 A P A P A C A C 省 级W L A N网 管 系 统 集 团 公 司I P网 综 合 网 管A SP o r t a lR a d i u s QB-D-025-2008 /webmoney 27 14.1.2. 网管系统组成结构 要求采用三层构架式设计： (1) 数据采集层，负责各被管对象的接口处理，按接口规范要求采集并传递管理信息给数据处理层； (2) 数据处理层，对从被管对象取到的管理信息进行分析、处理； (3) 数据应用层，提供对各类被管对象的屏幕展现，包括拓扑图、网络树图、以及各种统计报表等。 各层次之间具有信息交互功能，保证高度的扩展性与安全性。网管系统建议采用分布式的体系结构，模块化的功能结构。网管中心的网管终端可以使用浏览器登入系统。 14.1.3. 网管系统管理对象 WLAN网管系统的管理对象主要为 AP、 AC、 AS和其它相关的网络设备。 14.2. 网管接口要求 WLAN网络设备应该支持标准和开放的网管接口： (1) SNMP接口； (2) Web接口； (3) Telnet接口； (4) SSH接口； WLAN网络设备应该支持如下的信息模型： (1) 标准 MIB-II； (2) IEEE802.11-MIB； (3) IEEE802.11b-MIB； (4) 其它和设备相关的自定义 MIB。 14.3. 网管系统管理参数要求 WLAN网络中可能包括不同类型，不同厂家的设备，网管系统应能屏蔽各网元设备厂家的差异性，使采集的参数结构规范化。规范化后的数据应符合相 关的网管规范中的要求，使数据应用层能够方便的使用各种网元设备的数据。 14.3.1. 配置参数要求 网管 系统应能将不同种类网元设备的配置数据，转换成归一化标准数据格式，存储到数据库中，为性能、告警等应用提供数据支持，为二次开发或其他的后续标准制定提供存储访问接口； 网管系统应该具备对配置数据的增加、删除、修改等审计功能； 网管系统应提供对配置数据的备份功能； QB-D-025-2008 /webmoney 28 配置参数应该包括整个 WLAN网络中涉及到的网元、接口、通信链路、拓扑结构、网络协议和软件等相关参数。 14.3.2. 告警数据要求 告警参数内容和格式应满足相关网管规范的要求。 告警 管理应具有告警过滤、重定义、故障定位等告警管理功能要求。 14.3.3. 性能数据要求 性能数据的处理、存储、取样时间、备份、恢复等功能应满足相关网管规范的要求。 性能数据主要包括物理层、网络层和业务层等三个层次的参数，网管系统应能对 WLAN中的各网元设备、接口和链路进行这三个层次的管理。 物理层 参数应该提供相关标准的性能参数的要求，比如： 流量、速率、误码率、碰撞率、带宽使用率等，以便为网络设计和规划提供参考依据。 网络层 应具有路由监测、路由表管理、路由仿真、路由追踪、网络流量分析和相关参数的管理功能。 业务层 业务层 的性能参数应该提供例如认证次数、认证成功率、呼叫认证时长、用户上网时长、掉线率、话务量统计、会话数等表征网络业务性能的参数。 14.4. 网管系统功能要求 14.4.1. 数据采集 无线局域网网管系统采用网络管理的标准协议 SNMP协议或其他接口，对相关无线局域网设备进行配置数据采集、性能数据采集和故障数据采集，其透过 SNMP协议去读取 AC、 AP、 AS以及其他相关设备等网络资源的 MIB信息数据库，以得到被管对象的管理数据。对于特定厂牌的设备亦支持其私有 MIB数据格式，以便读取到更为详细的配置数据和性能数据。 数据采集的要求： (1) 能够灵活的 配置数据采集的范围； (2) 能够提供直观的方式来显示数据采集的完成情况； (3) 能够灵活的配置数据采集的时间策略； (4) 能够支持厂家私有的数据采集接口； (5) 提供对采集到原始数据的图形方式操作接口，能够进行增加、删除、修改和查询。 QB-D-025-2008 /webmoney 29 14.4.2. 性能管理 网管系统的可通过 SNMP协议或其他接口定期 (缺省为五分钟 )向网络设备采集性能数据。对 WLAN通信系统各设备单元进行实时监视，采集，分析相关的性能数据，并图形化显示，同时生成各种相关日志文件和统计报表，评估各个设备运行的有效性。 性能管理的要求： (1) 提供性能参数管理功能，能够灵活的配置性能参数 门限。对于采集回来的数据，系统将之存储在数据库内，以供生成报表或查询。系统管理员可设定数据的保存期限，系统会定期自动压缩过期数据，以节省硬盘空间，提升数据库的响应速度； (2) 提供性能告警管理功能，能够自动上报性能超门限事件，并提供对性能告警的查询和存储； (3) 提供梯度告警管理功能，能够灵活的配置梯度告警策略，包括梯度范围和门限； (4) 提供统计分析报表的功能，为优化调整网络结构和传输链路提供依据。至少应具备以下类型的报表： (5) 统计报表：基于数据库存储的各种性能数据，生成日、周、月、年统计图。 (6) 对比报表：基于数据库存储的各种 性能数据，生成对比分析图，依据时间刻度的不同分别与前一日、前一周、前一月进行比较。 (7) 趋势报表：基于数据库存储的各种性能数据，产出趋势预测报表，依据时间刻度的不同分别预测一周后、一月后及一季后性能趋势。 (8) 群组报表：根据同类型的网络资源，进行分析比较以提供该类资源的监控数据分布差异性等概况报告。 (9) 自定报表：提供个性化报表定制功能，可满足对不同监控对象、不同侧重点和不同数据显示的需求。 14.4.3. 故障管理 网管系统应提供一套完整的故障监视 /处理功能，网管维护人员可以监视并处理各级WLAN网元的各级告警。网管系统应以统一界面 接收和监控所有 WLAN设备的告警，并能实时监测设备的运行状态，并可在地图上作图形化显示，提供查找联网故障原因的技术手段。 故障管理要求： (1) 实时监测 WLAN的各种设备的运行状态、以及设备各类故障并产生不同级别的告警，同时生成各种相关日志文件和统计报表； (2) 能够在拓扑图上提供明显的告警通知方式，例如声音和颜色的闪烁； (3) 网管系统应提供告警前转功能，将告警信息以各种手段 (手机短信、自动台 BP机、内部 EMAIL等 ) 转至维护人员； (4) 当发现故障时， WLAN网管系统可以生成故障事件，系统能够主动针对不同的故障类型进行不同 的根源故障的诊断。诊断结果要求记录在故障单内； (5) WLAN网管系统可以自动记录故障状态，并自动更新这些不同的故障状态，保证系统可以对大量重复的事件信息，能够具有压缩和归并，以避免大量重复事件对运维人员造成不必要干扰； (6) 对于故障的发生时间、诊断结果、何时得到响应、何时修复，系统都会记录在数据库内。同时系统具有基于 Web的操作界面，方便管理员输入处理过程，以便其它管理人员了解网络故障处理情况，或提供主管事后审核运维过程； QB-D-025-2008 /webmoney 30 (7) 此外， WLAN网管系统支持故障统计功能。可以依据时间、使用者、设备、故障等级统计分析故障次数 、平均响应时间、平均修复时间和处理状态等以评估各项设备的可靠性。能够依据序号、日期或关键词查寻历史故障数据； (8) 检查与判断加入新网元或网元升级所可能引起的互连互通故障，为网络调整提供分析手段； (9) 提供故障处理经验库的支持。 14.4.4. 配置管理 主要是完成 WLAN网络资源的配置，可以远程修改系统的配置参数系统的配置管理可区分为网管系统配置、设备配置两个部份： (1) 网管系统的配置主要包括，系统管理员可新增、修改、停用及删除使用者 帐户 ，使用者 帐户 的配置信息包括人员名称、代号、密码及联络方法 (电邮、呼机、传真及手机 )，当系统有需要 对使用使用者进行告警时，即使用此处的联络方法发送告警信息。能够设定网管系统的超时时长，以及其他与网管系统相关的配置信息； (2) 在设备配置部份，当系统管理员输入网络设备的 IP地址及 Community String后，系统可自动发现网络设备的配置信息，以协助系统管理员快速进行网管配置。当网络配置发生变化时，系统可重新请求设备上报配置数据，原有的网管数据不会遗失。 14.4.5. 安全管理 (1) 各级管理员权限管理，能够灵活的定义操作权限和操作范围； (2) WLAN用户管理，能够增加、删除、修改和查询用户信息； (3) 支持 802.1x的安全控制； (4) 提 供各种安全日志文件，记录 WLAN网管系统的操作日志和登录日志，以便对系统的使用情况进行审计跟踪。 14.4.6. 拓扑管理 拓扑管理功能要求能够提供网络拓扑浏览器和网络树图浏览器。网络拓扑浏览器能够分层显示 WLAN的网络拓扑结构。能够正确反映 AS、 AC、 AP和其他相关设备之间的对应关系。网络监视基于网络拓扑图进行，在性能、告警、配置等方面动态反映网络的变化。拓扑图与树状图可以相互引导。从图标和树形图分支上可以看到相应设备详细配置信息，并在相应部件上可获得较完整的配置信息 ,包括基本数据与汇总数据。网络拓扑浏览器是网管系统的基 础应用程序和主要工具，应具备浏览、监视和编辑的功能，同时也应具备网络拓扑动态发现的功能。 14.4.7. 业务管理和计费管理功能 (1) WLAN网管系统能够提供业务控制手段； (2) WLAN网管系统能够提供当前业务状态； (3) WLAN网管系统能够为 WLAN业务的计费提供管理和控制手段。 QB-D-025-2008 /webmoney 31 14.4.8. 实用工具功能 网管系统应能提供管理过程中的实用工具，例如：增强的 ping功能、 IP browser、链路时延响应实时监测功能、接口带宽实时监测功能、 Telnet、增强 TraceRoute、 MIB浏览器等等。 15. WLAN 业务主要设备功能要求 具体请参见相关设备 规范。 15.1. WLAN 适配卡 (1) 支持 802.1x技术标准 目前主要支持 802.11b/g，包括如下特征： 2.4000GHz到 2.4835GHz的频谱， 11个信道 （ 3个频域不重叠的信道） ，覆盖范围为开阔地 150 300米，室内（砖墙） 30 50米。 11b采用 直序扩频技术 ； 11g采用 OFDM技术 11b支持 11Mbps, 5.5Mbps, 2Mbps, 1Mbps的动态带宽调节 ；其中， 11Mbps和 5.5Mbps采用 CCK调制方式； 2Mbps采用 DQPSK调制方式； 1Mbps采用 DBPSK调制方式 当 采用 ERP-DSSS和 ERP-CCK调制 时， 11g支持 11 Mbps、 5.5 Mbps、 2 Mbps和 1 Mbps四种速率 ； 当 采用 ERP-OFDM调制方式 时， 11g支持 24Mbps、 12 Mbps、 9 Mbps和 6 Mbps几种速率 ，可选支持 54 Mbps、 48 Mbps、 36 Mbps和 18 Mbps几种 速率 ；可选采用ERP-PBCC调制方式 时， 11g支持 33Mbps、 22Mbps、 11Mbps和 5.5 Mbps几种速率 。 MAC层采用 CSMA/CA技术 支持和 AP之间的信道探察、认证和关联过程 支持在不同 AP间的切换 , 且不中断网络连接 支持 WEP加密和认证 (2) 支持中国移动制定的或者指定的认证协议 (3) 能够升级支持基于 802.1x机制的各种认证方式，如 EAP-SIM等。 (4) 提供 PCMCIA接口与移动终端相连，具有即插即用、安装简便的特性 (5) 被各种主流的移动终端操作系统支持，如 Windows 95， 98， NT4.0， Windows 2000，Windows CE， Windows ME， MAC OS9.x版和 Linux等操作系统 (6) 支持基于负载平衡的 AP切换 15.2. 接入点 AP 设备 (1) 支持 802.1x技术标准 目前主要支持 802.11b/g，包括如下特征： 2.4000Ghz到 2.4835GHz的频谱， 11个信道，覆盖范围为开阔地 150 300米，室内（砖墙） 30 50米。 11b采用直序扩频技术； 11g采用 OFDM技术 QB-D-025-2008 /webmoney 32 11b支持 11Mbps, 5.5Mbps, 2Mbps, 1Mbps的动态带宽调节；其中， 11Mbps和 5.5Mbps采用 CCK调制方式； 2Mbps采用 DQPSK调制方式； 1Mbps采用 DBPSK调制方式 当 采用 ERP-DSSS和 ERP-CCK调制 时， 11g支持 11 Mbps、 5.5 Mbps、 2 Mbps和 1 Mbps四种速率 ； 当 采用 ERP-OFDM调制方式 时， 11g支持 24Mbps、 12 Mbps、 9 Mbps和 6 Mbps几种速率 ，可选支持 54 Mbps、 48 Mbps、 36 Mbps和 18 Mbps几种 速率 ；可选采用ERP-PBCC调制方式 时， 11g支持 33Mbps、 22Mbps、 11Mbps和 5.5 Mbps几种速率 。 MAC层采用 CSMA/CA技术 支持和 WLAN卡之间的自动信道探察、认证和关联过程 支持 WLAN卡在不同 AP间的切换 , 且不中断网络连接 支持 WEP加密和认证 支持基于 ESSID和 MAC地址的访问控制 (2) 能够升级支持 802.1x技术标准 (3) 能够升级支持 802.11i安全功能 (4) 当作为 WLAN接入认证点时，支持中国移动制定或者指定的认证规范和协议。 (5) 支持 TCP/IP， IEEE802.3， NETBEUI， ICMP等通讯协议 (6) 支持各种网络管理要求 (7) 支持远程软件升级 (8) 支持设备编号的配置 (9) 支持 802.3以太网接口 (10) 支持不同类型天线的安装，如全向天线，定向天线等 (11) 支持负载平衡（可选）。 15.3. 接入控制器（ AC）设备 (1) 支持基于 WEB方式的用户认证 (2) 支持长 帐号 认证（ 253字节） 以满足国际漫游的需要 (3) 当作为 WLAN接入 认证点时，支持中国移动制定或者指定的认证规范和协议 (4) 能够升级支持 802.1x (5) 支持 RADIUS认证和计费协议 (6) 支持计费信息采集要求 (7) 支持设备编号的配置 (8) 支持业务控制功能，如 WEB认证页面和门户网站页面的推送 (9) 支持白名单的灵活配置， 支持二级 Portal的配置 及推送 (10) 强制 Portal功能的实现，应遵循 WISPr协议以实现对国际漫游客户端的支持 (11) 支持自动断开用户网络连接 (12) 支持 FTP协议 (13) 支持各种 UDP， TCP， IP协议 (14) 支持各种网络管理要求 (15) 支持以太网和广域网物理接口和协议 15.4. SIM 认证服务器（ AS） (1) 支持中国移 动制定或者指定的认证规范和协议。 (2) 支持 RADIUS认证和计费协议 QB-D-025-2008 /webmoney 33 (3) 支持信令接口 (4) 支持 MAP协议 (5) 支持各种 UDP， TCP， IP协议 (6) 支持各种网络管理要求 (7) 支持 FTP协议 15.5. PORTAL 服务器 (1) 支持中国移动制定或者指定的 PORTAL服务器规范和协议 (2) 支持 用户帐号的归属地判断及 个性化页面推送 (3) 在 Portal页面上提供 “用户自服务 ” 功能 选项 ，并提供到 Radius的页面重定向功能 (4) 当支持国际漫游时，在页面上提供国际漫游入口选项；并 能按照 WISPr协议规定的格式， 提供到 漫游合作伙伴 二级 Portal的页面跳转功能 供国际漫游 客户端使用 (5) 必须支持由二级 Portal转发的漫游用户认证、状态查询及下线请求。具体见中国移动 WLAN国际漫游业务总体技术要求。 (6) 支持手机用户的静态密码、动态密码认证 (7) 支持到 Radius的直连接口， 支持 用户静态密码修改、预付费卡转账、相关信息查询、转发动态密码申请请求 等 (8) 支持 HTTP和 HTTPs协议 (9) 支持各种网络管理要求 15.6. 中央 RADIUS 用户认证服务器 (1) 支持多种资费策略的配置和改动 (2) 支持中国移动制定或者指定的认证规范和协议 (3) 支持 RADIUS认证和计费协议 ；为各类用户产生话单 (4) 为满足国际漫游 来访 用户的认证请 求，要求支持 253字节的长 帐号 认证及认证转发功能 ；同时要求支持 IPsec安全机制保证转发信息的安全 (5) 支持各种网络管理要求 (6) 支持 FTP协议 (7) 支持静态密码和动态密码认证 (8) 支持动态密码创建 及分发 流程 (9) 支持用户通过 Portal发起的 “用户自服务 ”功能 请求 ， 并提供自服务页面 (10) 支持用户 帐户 判断功能 ， 并 能够 根据 帐户 类型 推送 不同的自服务页面 (11) 支持 通过自服务页面提供“ 静态 密码修改”功能，并 能 将 “随 e行”手机用户的静态密码修改请求转发至 BOSS进行 (12) 支持 与 BOSS的接口， 接收并处理 BOSS传递的业务受理及用户状态变更指令 (13) 支持 到短信网关或一级 BOSS的接口，完成动态密码的短信下发 (14) 支持由套餐类型反算可用连接时长及套餐有效期的起止时间 (15) 支持 通过自服务页面为用户提供 “ 套餐信息 查询”功能 (16) 支持通过自服务页面为预付费卡 用户提供 “ 帐户 转帐 ”功能 (17) 支持 通过自服务页面提供 “ 历史使用记录查询”功能 (18) 支持用户计费方式 的 转换 （按时长计费、套餐计费） (19) 支持与 BOSS的静态密码修改请求转发、数据同步接口 QB-D-025-2008 /webmoney 34 (20) 支持省内用户的漫游判断功能，并 能 通过归属地与接入地的对比， 对省内用户的接入权限进行控制 。 15.7. 智能网 SCP 设备 (1) 支持 WLAN业务话单扣费的相应流程， WLAN业务话单扣费流程采用与音信互动业务相同的扣费流程，即用户在余额不足时不扣费， SCP向 BOSS返回扣费失败的结果，并将用户进入保留期，用户充值后由 IGW发起重扣 。 (2) SCP应能将保留期用户的充值话单周期性的传递给 BOSS。 (3) SCP应能将用户状态周期性的同步给 BOSS。 16. WLAN 业务主要设备接口要求 WLAN主要设备接口包 括 WLAN移动终端与 AP之间的接口， WLAN移动终端和 PORTAL服务器之间的接口， WLAN移动终端和 AC之间的接口， AP与 AC之间的接口， AP与 AS之间的接口， AC与PORTAL服务器之间的 接口， AC与 AS之间的接口， AC和中国移动中央 RADIUS服务器之间的接口，中国移动中央 RADIUS服务器和 BOSS系统之间的接口，中国移动中央 RADIUS认证服务器与用户数据库服务器之间的接口， AS与 HLR/AuC之间的接口， AS与 BOSS系统之间的接口 ， SCP与省 BOSS之间的接口 等。 16.1. WLAN 移动终端和 AP 之间的接口 WLAN移动终端与 AP的之间的接口是空中接口，包括网络连接和数据通讯接口。当 AP作为WLAN用户接入控制点时，它们之间还有 SIM用户认证接口。 网络连接和数据通讯接口采用 IEEE 802.11b/g协议，具体参照 217。 SIM用户认证协议接口采用 EAPoL，具体参照 3；它们之间的 SIM认证流程参照“中国移动 WLAN用户接入流程技术 规范 （ SIM）”。 16.2. WLAN 移动终端和 AC 之间的接口 当 AC作为 WLAN用户接入控制点时， WLAN移动终端与 AC之间的接口是 SIM用户认证接口。 SIM用户认证协议接口采用 EAPoL，具体参照 3；它们之间的 SIM认证流程参照“中国移动 WLAN用户接入流程技术 规范 （ SIM）”。 16.3. WLAN 移动终端和 PORTAL 服务器之间的接口 WLAN移动终 端和 PORTAL服务器之间的接口是业务控制接口，包括 WEB认证页面推送，强制门户网站页面推送等。 QB-D-025-2008 /webmoney 35 该接口采用 HTTP和 HTTPs协议参见 14， 15， 16，详细的流程参见 “中国移动 WLAN用户接入流程技术 规范 （ WEB）”。 16.4. AP 和 AC 之间的接口 AP和 AC之间的接口主要是数据通讯接口和业务控制接口。 数据通讯接口基于 IEEE 802.3x，具体参见 IEEE相关协议。 业务控制接口有厂商自行定义或者由中国移动统一制定。 16.5. AP 与 AS 之间的接口 当 AP作为 WLAN用户 接入控制点时， AP与 AS之间 的接口包括 SIM用户认证和计费接口。 SIM用户认证和计费接口基于 RADIUS协议， RADIUS协议标准参见 5， 6， 7， AP和 AS之间的 SIM用户认证和计费流程以及 RADIUS协议参数参见“中国移动 WLAN用户接入流程技术规范 （ SIM）”。 16.6. AC 与 PORTAL 服务器之间的接口 AC与 PORTAL服务器之间的接口主要包括用户认证，用户下线通知，业务控制等接口，具体参照“中国移动 WLAN用户接入流程技术 规范 （ WEB）”和“中国移动 PORTAL协议”。 16.7. AC 和 AS 之间的接口 当 AC作为 WLAN用户 接 入控制点时， AC与 AS之间的接口主要是 SIM用户认证和计费接口。 SIM用户认证和计费接口基于 RADIUS协议， RADIUS协议标准参见 5， 6， 7， AC和 AS之间的 SIM用户认证和计费流程以及 RADIUS协议参数参见“中国移动 WLAN用户接入流程技术规范 （ SIM）”。 16.8. AC 和中央 RADIUS 用户认证服务器之间的接口 当采用基于 WEB的 帐号 /密码认证方式， AC作为 WLAN用户 接入控制点时， AC与中央 RADIUS服务器之间的接口主要是 WEB用户认证和计费接口。 WEB用户认证和计费接口基于 RADIUS协议， RADIUS协议标准参见 5， 6， 7， AC和中央 RADIUS服务器之间的 WEB用户认证和计费流程以及 RADIUS协议参数参见“中国移动 WLAN用户接入流程技术 规范 （ WEB）”。 QB-D-025-2008 /webmoney 36 16.9. 中央 RADIUS 用户认证服务器和 BOSS 之间的接口 中央 RADIUS用户认证服务器和 BOSS之间的接口主要是计费数据接口和用户数据接口。 计费数据接口采用 FTP协议， FTP协议的标准请参见 RFC959。 中央 RADIUS用户认证服务器和 BOSS之间的用户数据接口参见 参考文献 “ 中国移动通信集团一级 boss枢纽 接口规范 -WLAN业务单行本 ”。 16.10. AS 与 HLR/AuC 之间的接口 AS与 HLR/AuC之间的接口主要完成和中国移动信令网的连接，该接口基于 NO.7信令物理接口和信令流程接口。 NO.7信令物理接口基于 2Mbit/s或者 64Kbit/s数字接口，其物理接口性能和特性参数参见“邮电部电话交换设备总体技术要求”。 信令流程接口协议参见“ 900/1800MHz TDMA数字蜂窝移动通信网移动应用部分（ MAP）第二阶段技术规范”。 16.11. AS 与 BOSS 系统之间的接口 AS与 BOSS之间的接口主要是计费数据接口。 计费 数据接口采用 FTP协议， FTP协议的标准请参见 RFC959。 16.12. Portal 与 Radius 系统之间的接口 本接口为私有接口协议， 包括 两 个接口：用户帐号认证接口、用户动态密码申请接口。 ，具体流程 及接口协议报文格式参 见 Portal规范。 16.13. 智能网 SCP 与 省 BOSS 系统之间的接口 为支持智能网用户的 WLAN业务， SCP与 BOSS之间的接口主要为扣费话单接口和状态文件接口。 智能网用户 WLAN业务的话单扣费流程采用与音信互动业务相同的扣费流程，具体话单格式参照智能网预付费用户 BOSS-SCP扣费接口话单格式 V1.3.1。 16.14. 中央 Radius 与 短信网关 之间的接口 Radius与短信网关之间的接口，主要完成手机用户的动态密码短信下发功能 。 QB-D-025-2008 /webmoney 37 17. 编制历史 版本号 更新时间 主要内容或重大修改 1.0.0 2002/7/31 通过相关部门评审 2.0.0 2008/2/25 2.0.0 版本 附录 A 详细修订历史 1、 2002年 7月 31日，完成 WLAN业务总体技术要求送审稿，通过相关部门评审，完成报批稿v1.0.0； 2、 2007年 9月 26日，引入对奥运业务、分省运营的支持，完成送审稿 v1.1.0； 3、 2007年 12月 17日 ，增加对全品牌、动态密码登录功能的支持，完成初稿 v1.2.0； 4、 2008年 1月 10日，修订对全品牌、动态密码功能的描述；增加对国际漫游业务的支持，完成送审稿 v1.3.0； 5、 2008年 2月 1日，增加对手机用户两种计费模式的支持，完成送审稿 v1.4.0； 6、 2008年 2月 20日，根据业务部门反馈意见，将推送的个性化页面由“拜访地”改为“归属地”，完成修订稿 v1.4.1； 7、 2008年 2月 25日，根据支撑部门的反馈意见，补充 BOSS与 Radius接口传递的状态信息，并将动态密码下发方式修改为两种： Radius直接通过短信网关下发或发给一级 BOSS/省BOSS后再通过短信下发。同时根据相关部门反馈意见修改了话单格式及结算原则。通过相关部门评审，完成报批稿 v2.0.0。 QB-D-025-2008 /webmoney 38 附录 B “随 e行” WLAN业务用户注册流程 使用 WEB帐号 /密码认证方式的 “随 e行” 用户可以通过短信、营业厅、 10086等方式进行WLAN业务 注册开通。 省 BOSS系统接收注册请求，进行客服密码检查、分析 MSISDN(是否为非智能网用户 )、停机状态检查等受理约束的检查， 如 每有通过受理约束检验则给用户发送申请不成功短信；若用户已申请 WLAN业务也 应拒绝其再次业务申请。省 BOSS系统通过受理约束检验后为用户产生随机密码，并将业务注册请求通过一级 BOSS系统发给 中央 RADIUS。 中央RADIUS响应业务注册请求，创建用户认证信息，通过一级 BOSS将结果发给发起请求的省级BOSS。省级 BOSS分析返回结果，若成功则通过短信方式返回密码给用户，否则发送申请不成功短信。 “随 e行”用户 短信方式业务注册流程如 附图 B- 1所示， 10086、营业厅方式业务注册流程如 附图 B- 2所示。 附图 B- 1“随 e 行”用户短信方式业务注册流程 用户 中央 RADIUS一级 BOSS省 BOSS发送 WLAN 开户申请短信WLAN 开户申请短信发 送 开 户 成 功 短 信开户成功短信检查通过 、 生成业务注册信息 （ 用户名 、 密码 ）业务注册请求 （ 用户名 、 密码 ）成 功 返 回短信中心错 误 返 回发送开户不成功短信开户不成功短信成功返回错误返回受理约束检查未通过 、 发送拒绝申请短信拒绝申请短信 QB-D-025-2008 /webmoney 39 附图 B- 2“随 e 行”用户 营业厅、 10086 方式业务注册流程 用户 短信中心 中央 RADIUS一级 BOSS省 BOSS申请 WLAN 开户申请 WLAN 开户成 功 短 信检查通过 ， 业务注册请求 （ 用户名 、密码 ）业务注册请求 （ 用户名 、 密码 ）成功返回1 00 86 / 营业厅发送成功短信错误返回发送不成功短信不 成 功 短 信成功返回错误返回受理约束检查未通过 ， 发送拒绝申请短信拒绝申请短信 附录 C “随 e行” 手机 用户 静态 密码修改 、重置 及动态密码下发 流程 “ 随 e行 ” 手机 用户 可以通过 自服务页面或 短信 方式 修改 静态 密码 ， 也可以通过短信方式重置静态密码； 10086