WLAN自动认证

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 成果上报申请书 （同 2010 年） 成果名称 WLAN 自动认证系统 成果申报单位 安徽 省（自治区 /直辖市）公司 成果 承担 部门 /分 公司 计划部 部门 / 分 公司 项目负责人姓名 项目负责人联系电话 和 Email 成果专业类别* 数据业务 所属专业部门 * 数据 线条 成果研究类别* 相关网络解决方案 省内评审结果 * 优秀 关键词索引（ 3 5个） WLAN PEAP 认证 应用投资 200 万元（指别 的省引入应用大致需要的投资金额） 产品版权归属单位 中国移动 安徽 公司 对企业现有标准规范的符合度： （按填写说明 5） 符合 如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个： 省公司重点研发 2011 年 WLAN 自动认证系统 成果简介： 简要描述成果目的和意义，解决的问题，取得的社会和经济效益。 背景：国外：在 AT&T，手机上 WLAN 的比重是 25%，英国电信（ BT）的比重是 16%。在 中国，因为智能手机比重占比仅为 12%，所以这个比重只有 1-2%。随着智能手机的迅猛普及，手机上 WLAN 的需求将变得越来越迫切，而中移动也迫切需要 WLAN 解决目前的数据类瓶颈问题。但目前 WLAN 手机认证的方式（ PORTAL）存在的种种弊端使得用户难以接受。这种内、外因的需要，使得如何提高 WLAN 手机认证的便捷性变得非常重要和迫切。 目的：目前各省基于 WLAN 认证的优化创新主要集中在解决 WLAN 手机认证，其根本目的是希望通过优化工作方便手机用户上 WLAN，扩大 WLAN 的使用面，解决 2G 的数据流瓶颈问题。 成果： 安徽公司自主创新，研发了基于 802.1X EAP-PEAP 协议的 WLAN 自动认证， PEAP是 EAP 认证方法的一种实现方式，网络侧通过用户名 /密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用 PEAP 认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。 使用户能够在手机终端上完成一次注册（输入用户名和密码），后期自动认证，方便用户采用手机终端快速使用 WLAN。具有：安全性高、现网部署快、投资少、标准化、终端兼容性高等优点。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 解决的问题：解决了 WLAN 手机自动认证问 题，方便用户使用手机终端快速上网。 将使 WLAN 的使用面迅速扩大，解决 2G 的数据流瓶颈问题，是实现无线城市的重要载体。能够快速提升WLAN 的数据流量，产生良好的经济效益。 省内试运行效果： 描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。 运行良好，全省使用，适合 全省 WLAN 手机用户，用户体验良好，方便快捷认证，提升了 WLAN 的数据使用量，能够将目前大部分采用笔记本电脑使用 WLAN 情况扭转，真正让大部分 WLAN 手机终端用户使用，解决 2G网络的数据流量瓶颈。 推广价值：具有全国推广的价值， 方案已获集团公司、研究院的高度认可，能够有效解决 WLAN 手机上网的自动认证，将有力的推动全网 WLAN 的使用，具有重要意义。 建议：希望能尽快在全国全网开展建设。对于 ophone 手机需要在操作系统层面简化用户的配置，便于用户使用。 文章主体（ 3000 字以上，可附在表格后）： 根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明 6”。 项目背景 -研究背景 国外：在 AT&T，手机上 WLAN 的比重是 25%，英国电信（ BT）的比重是 16%。在中国，因为智能手机比重占比仅为 12%，所以这个比重只有 1-2%。随着智能手机的迅猛普及，手机上 WLAN 的需求将变得越来越迫切，而中移动也迫切需要 WLAN 解决目前的数据类瓶颈问题。但目前 WLAN 手机认证的方式（ PORTAL）存在的种种弊端使得用户难以接受。这种内、外因的需要，使得如何提高 WLAN 手机认证的便捷性变得非常重要和迫切。 PEAP 是 EAP 认证方法的一种实现方式，网络侧通过用户名 /密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用 PEAP 认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。 项目背景 -研究目的和意义 目前各省基于 WLAN 认证的优化创新主要集中在解决 WLAN 手机认证， 其根本目的是希望通过创新 方便手机用户上 WLAN，扩大 WLAN 的使用面，解决 2G 的数据流瓶颈问题。 WLAN 自动认证研究 -PEAP 认证 一、 背景 PEAP 是 EAP 认证方法的一种实现方式，网络侧通过用户名 /密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用 PEAP 认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。 二、 使用 PEAP 认证 的考虑 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1、 WLAN 手机认证概述 WLAN 手机认证的解决方案大 致分为如下几类： （ 1） 基于 WIFI 认证协议的创新 ，例如： EAP-SIM 认证，安徽公司提出的 EAP-PEAP 认证、可信终端的 MAC 地址认证等。 优点：系统协议级别认证，安全可靠。缺点：智能手机终端的支持程度有待进一步提高。改造网元相对较多。 （ 2） 基于简化用户端 PORTAL 认证流程的创新 优点：基于现有系统的改造，方便快捷。缺点：应用级认证，首次认证时间较长。 （ 3） 基于手机客户端软件解决 WLAN 认证的创新 2、 PEAP 协议来源 PEAP 协议来源于 RFC 的草案，其中涉及到的 TLS 协议， RADIUS-EAP， MSCHAPV2 协议都是正式的 RFC 文档，属于 IETF 维护 ， 是思科，微软和 RSASecurity 支持的 ietf 草案，具有很好的安全性，在设计上和 eap-ttls 相似，目前被 WPA 和 WPA2 批准的有两个子类型 PEAPV0-MSCHAPV2 PEAPV1-GTC， 后期演进， PEAP 由微软和思科主导和维护，他们会定期维护升级他们的协议并在他们最新的产品 (如 windows server 2008)上实现，主要升级的方向是更高的安全性，实现了更多的 TLV 和更复杂算法的应用。 3、 EAP 认证模式比较 802.1x EAP 类型 功能 /优点 TLS 传输层安全性 TTLS 隧道传输层安全性 PEAP 受保护的传输层安全 LEAP 轻量级可扩展身份验证协议 需要客户端证书 是 无 无 无 需要服务器证书 是 无 是 无 WEP 密钥管理 是 是 是 是 供应商 MS Funk MS Cisco 验证属性 相互 相互 相互 相互 部署难易程度 难 (因为客户端证书部署 ) 中等 中等 中等 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 WiFi 安全性 很高 高 高 在使用强密码时高。 可以看出， EAP-PEAP、 EAP-TTLS 都是非常好的二层协议 层认证方式。 4、 PEAP 认证 技术 优点 （ 1） 开放性 ： PEAP 即为 Protected-EAP“受保护的可扩展的身份验证协议 ”，是可扩展的身份验证协议 (EAP) 家族的一个新成员，属于开放的标准 ； （ 2） 安全性 ：本次采用的 PEAP 认证技术机制在 EAP 认证机制基础增强了安全隧道功能，比传统的 Web 认证等认证机制更安全，完全符合 WLAN 的的应用特点 ； （ 3） 可演进性与兼容性 ：终端手机类设备支持 WLAN 功能越来越广泛，并且采用 PEAP 的认证方式也是行业趋势所在，未来所有的终端设备都将支持该认证方式，能够兼容各 种系统的终端设备。 （ 4） 系统级： 系统级认证，对应用程序透明，能够支持多种应用程序，对未来的微应用模式支持好，包括 portal方式不支持的 ucweb 等。 5、 PEAP 的安全性 （ 1） 在客户端与认证服务器之间先建立 TLS 安全隧道，后续用户传递的用户名和密码均在安全隧道中进行传递，中间设备无法解析。 （ 2） 在建立 TLS 隧道时，终端需要对认证服务器进行证书验证，防止网络侧的仿冒行为。采用 802.1X 技术，进行端口级别的接入控制，提高了接入控制能力和安全性 三、 技术原理 1、 PEAP 认证上线流程 PEAP(Protected EAP)实现通过使用隧道在 PEAP客户端和认证服务器之间进行安全认证。 EAP 客户端和认证服务器之间的认证过程有两个阶段。 第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采用证书认证服务端完成 TLS握手。服务端可选采用证书认证客户端。 第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证 。 整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。服务器对用户和客户端进行身份验证，具体方法由 EAP 类型决定，在 PEAP 内部选择使用 (如： EAP-MS-CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。 目前被 WPA和 WPA2批准的有两个 PEAP子类型 PEAPV0-MSCHAPV2， PEAPV1-GTC，使用广泛的是PEAPV0-MSCHAPV2。 PEAP认证参考如下国际标准 1 IETF Draft, PEAP Authentication, draft-josefsson-pppext-eap-tls-eap-10.txt, 2004. 2 IETR RFC 2759， MSCHAPv2 3 IETF RFC 3748, Extensible Authentication Protocol (EAP). 2、 关键技术问题 （ 1） 证书问题 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 PEAP认证需要 AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。 目前的测试情况表明 PEAP认证对各类终端均兼容。 （ 2） 密码设置 PEAP认证使用的用户名 /密码与 Portal认证的用户名 /密码应保持一致。 （ 3） PEAP 认证方法 使用 PEAPv0版本，选用 MSCHAPv2认证方法。 （ 4） SSID 设置 需设置新的 SSID(AUTO-CMCC)，支持存量终端使用 PEAP认证方式。 PEAP认证与 SIM认证使用相同 SSID。 （ 5） 机卡分离问题 由于 PEAP认证的用户名 /密码保存在手机中，如果手机和用户卡发生分离（用户换手机或换卡）， 且用户没有删除用户名和密码， 手机仍能进行 PEAP认证，但费用会记录在原有卡用户账户上。 目前暂无较好技术手段进行解决机卡分离问题。 （ 6） 下线控制 PEAP认证仍保留 8小时下线机制 可通过 AC开关开启 /关闭 PEAP认证对应 SSID的 15分钟下线机制。 3、 接入 流程 （ 1） PEAP 用户接入流程 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 2.EAP -Request/Identity6.EAP-Request/Start/Type=PEAP ,V=0WLAN用户终端WLANANRadius1.EAPoL-Start4.Access -RequestEAP -Response/Identity8 .Access- RequestEAP -Re spons e/ Type=PEAP ,V= 0( TLScl ie nt _he ll o) 9.Access-ChallengeEAP -Re que st /Cha ll enge /Type =PEAP, V=0(TLSse rve r_ he ll o,TLSce rt if ic at e, TLSse rve r_ ke y_e xc ha nge , TLSce rt if ic at e_r eque st , TLSse rve r_ he ll o_ done)1 1 . E A P - R e s p o n s e / T y p e = P E A P , V = 0( T L S c e r t i f i c a t e , T L S c l i e n t _ k e y _ e x c h a n g e , T L S c e r t i f i c a t e _ v e r i f y , T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )12 .Access- Request建立TLS通道认证初始化3EAP -Response/Identity( MyID)5.Access -ChallengeEAP -Request /Start /Type=PEAP,V =07.EAP -Response/Type=PEAP,V=0(TLSclient _hello )10 .EAP- Re que st /Cha ll enge /Type =PEAP, V=0( TLSse rve r_ he ll o,TLSce rt if ic at e,TLSse rve r_ ke y_ exc ha nge ,TLSce rt if ic at e _r eque st ,TLSse rve r_ he ll o_ done)13.Access-ChallengeE A P - R e q u e s t / T y p e = P E A P , V = 0( T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )E A P - R e s p o n s e / T y p e = P E A P , V = 0( T L S c e r t i f i c a t e , T L S c l i e n t _ k e y _ e x c h a n g e , T L S c e r t i f i c a t e _ v e r i f y , T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )1 4 . E A P - R e q u e s t / T y p e = P E A P , V = 0( T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )15.EAP -Response/Type =PEAP/TLSOK20.Access-Accept21.EAP-SuccessEAP -Message /Eap -Success认证过程计费开始23.Accounting-Request/Start24.Accoutting-Response/Startusername=PEAPCMCC地址分配2 2. DH CP 地址获取1 7 . A c c e s s - C h a l l e n g e / e a p -r e q / i d e n t i t y1 8 . E A P - R e q u e s t / i d e n t i t y / M S C H A P v 21 9 .T L S/ MS C HA P v 2认 证1 6 . A c e e s s - r s p / E A P -R e s p o n s e / T y p e = P E A P / T L S O K图 1 PEAP用户接入流程 （ 2） PEAP 用户下线流程 用户下线流程包括用户主动下线、网络下线和异常下线三种情况。图 2给出了用户主动下线流程，图 3给出了网络下线流程，图 4给出了用户异常下线流程。 a. 用户主动 下线 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 W L A N 用户终端A u t h e n t i c a t o r（ AP ）R a d i u s/ AS用户在线1 . EAP - Logoff2 . Accounting _ Request ( Stop )3 . Accounting _ Response ( Stop )图 2 用户主动下线流程 b、网络发起用户 下线 W L A N U E W L A N A N3 G P PA A A S e r v e r用 户 在 线4 . A c c o u n t i n g _ R e q u e s t ( S t o p )5 . A c c o u n t i n g _ R e s p o n s e ( S t o p )2 . 终 止 用 户 会 话1 . D i s c o n n e c t - R e q u e s t3 . D i s c o n n e c t - A C K图 3 网络发起 下线流程 c、网络发起用户 下线 R a d i u s/ AS2 . Accounting _ Request ( Stop )3 . Accounting _ Response ( Stop )1 . A u t h e n t i c a t o r 检测用户已不在线W L A N 用户终端A u t h e n t i c a t o r（ AP ）图 4 用户异常下线流程 （ 3） MS-CHAP V2 认证流程 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 1 3. Ac ce ss - Ac ce pt14 .E AP -S uc ce ssWL AN 用户终端APR ad iu sE AP -Me ss ag e/ Ea p- Su cc es s计算MP PE 密钥MP PE -S END=PMK3 . E A P - R e s p o n s e / I d e n t i t yMS CHAP V2认证过程1 .A cc es s -C ha ll e ng eE A P - R e q u e s t / I d e n t i t y2 .E AP -Re qu es t4 . A c c e s s - r e q u e s tI d e n t i t y = u s e r n a m e d o m a i n5 . Ac ce ss - Ch al l en geT LS通道返 回 一 个 1 6 字 节 的 质 询6 . EAP -Re qu es t /E AP- MS -CHAP- V2 Ch al l en ge7 . E A P - R e s p o n s e/ E A P - M S - C H A P - V 2 R e s p o n s ec l i e n t 产 生 1 6 字 节 的 端 认 证 质 询 随 机 数H A S H ( s e r v e r 1 6 b y t e + c l i e n t 1 6 b y t e + c l i e n t u s e r n a m e )= 8 b y t e 质 询8 b y t e 加 密 H A S H ( u s e r p a s s ) = 2 4 b y t e 2 4 b y t e + c l i e n t 1 6 b y t e 随 机 数 - 8 . A c c e s s - r e q u e s t9 .A cc es s -C ha ll e ng eI F ( 2 4 b y t e = s e r v e r h a s h ) t h e n s u c c e s sh a s h ( h a s h ( U s e r p a s s ) ) = 2 4 b y t eS H A ( 2 4 b y t e + ” M a g i c s e r v e r t o c l i e n t c o n s t a n t ” )= 2 0 b y t eS H A ( 2 0 b y t e + 8 b y t e 质 询 + “ P a d t o m a k e i t d o m o r e t h e n o n e i t e r a t i o n ” )= 2 0 b y t e ( 发 送 出 去 )1 0. EAP -Re qu es t /E AP- MS -CHAP -V2 S uc ce ss1 1 . E A P - R e s p o n s e / E A P - M S - C H A P - V 2 A c kI F （ 结 果 = c l i e n t h a s h ） t h e n s u c c e s s1 2 . A c c e s s - r e q u e s t图 4 MS-Chapv2用户认证流程 4、 计费要求 为避免对现有 BOSS的改造要求， PEAP认证话单沿用原有 Portal认证话单，其中 Oper_ID为 5表示用户开通无感知认证， Auth_type为“ 03”表示话单是 PEAP认证接入后产生的。 话单中反映用户上网时长和流量等信息，为用户提供准确计费依据。 四、 网 元改造 1、 AAA 功能要求 (1) 鉴权要求 1） 认证授权功能要求 支持来自 WLAN接入网的 EAP 认证处理。 支持 EAP-PEAPv0/MSCHAPv2 认证流程。 支持 PEAP认证成功后，下发空口加密用的 MSK。 支持 EAP-PEAP报文分片。 2） 支持多种 EAP认证方法协商 支持 EAP认证方式协商，在通过域名方式无法区分的情况下可以与终端之间进行 EAP认证方法的协商，如 PEAP、 EAP-TTLS等。 3） 用户及会话管理功能要求 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 支持用户注册管理 (开户、销户、停机、恢复、切换带宽 等 )。 支持 PEAP认证用户的会话状态管理，支持外部系统查询用户会话状态。 支持强制用户下线，通过向 AC 发送 Disconnect Message 消息。 (如用户销户、停机时将用户下线，结束会话 )。 支持根据 AC/BRAS发来的计费停止消息，对用户进行下线处理。 4） PEAP相关配置管理功能要求 支持 TLS Server 证书导入和配置管理。 支持是否验证客户端证书可配置。 支持根据域名配置对应的 EAP认证方法，如通过配置对应的域名与 EAP-SIM/AKA认证对应。 （ 2） 接口与信令要求 A、 物 理接口 1) IP接口 支持 GE 光口（至少两个）。 支持主备倒换或者负荷分担。 支持 IEEE 802.3ah，实现链路故障的快速检测。 2) TDM E1 接口 七号信令应用层以下部分要符合对 MTP、 SCCP 和 TCAP 行标和相应的补充规定的要求。信令连接控制部分 (SCCP)应符合国内 No.7 信令方式技术规范信令连接控制部分(SCCP)。事务处理能力部分应符合国内 No.7 信令方式技术规范事务处理能力部分(TC)。 3) 2M高速信令链路接口 支持多条 2M 信令链路，并且满足 YD/T 1125 2001国内 NO.7 信令方 式技术规范2Mbit/s 高速信令链路的规定。 B、 信令接口 1) 与 HLR 间的接口 使用 MAP 协议 与 HLR 交互， 支持 3GPP 29.002 v4.f.0。 2) 与 WLAN AN 间的接口 WLAN AN 和 AAA 之间接口用于传输认证、授权和计费信息，使用 RADIUS 协议通信（参考 RFC3580）。详细接口描述参见中国移动企业标准 -I-WLAN 技术规范 -接口分册。 3) 与 BOSS 间的接口 与 BOSS 的接口主要用于原始话单文件的传送。详细 参考 计费接口协议。 4) 与梦网网关间的接口 与梦网网关间的接口采用 CMPP 协议，满足 中国移动通信互联网短信网关接口协议（ CMPP）的要求。 （ 3） 计费要求 1） 接受从 WLAN AN 采集得到的计费信息，产生话单文件，通过 FTP 接口提供给 BOSS系统。 2） 计费原始数据信息包括： 用户 身份信息 (采用 SIM 认证方式时，用户身份信息使用 IMSI) 认证方式标识 连接会话标识 连接 时长 连接起始时间 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 连接结束时间 数据流量 上行 数据 流量 下行 数据 流量 计费信息采集前端 设备 IP 地址 计费信息采集前端 设备标识 (用来识别用户的接入地，实现不同城市和省份之间的结算 ) 3） 按照话单格式产生话单，话单格式满 足 BOSS 接口规范要求 4） 话单格式如下 : 序号 名称 域 名 位置 长度 含义 填写说明 1 Rec_type 话单记录标 记 1 2 2 标记文件中的记录类型 “ 20” 2 Oper_type 业务类型 3 4 2 业务类型 “ 03” ：承载业务 3 Oper_ID 业务标识 5 6 2 业务标识 “ 01”： WLAN 普通手机用户 “ 02”： WLAN 卡用户（实体卡） “ 03”： WLAN 高校用户 “ 04”： WLAN 卡用户 (wlan 包单位时间电子卡） “ 05”： 用户开通无感知认证 4 Charge_dn 计 费用户号 码 7 30 24 做为计费对象的移动用户MSISDN 号码； WLAN 卡业务填写卡号 AS:不带“ 86”的手机号码 Radius: 不带“ 86”的手机号码 WLAN 卡：填写 13 位帐号 左对齐，不足填空格 5 Imsi 手机 IMSI号 31 45 15 手机设备的IMSI 号码 左对齐，不足填空格。 WEB 认证方式该字段可以为空 6 User_type 用户类型 46 1 做为计费对象的移动用户类型 Oper_id 为 01、 03 时：平台默认填“” (包括全球通和神州行，需在解码时重填 ) Oper_id 为 02 时：“ 5”：全国预付费卡，“ 6”：本地预付费卡，“ 7”：预留 7 Home_prov 用户归属省 47 50 4 计费用户号码归属省的省代码 Oper_id 为 01、 03 时：手机用户，归属省填空 Oper_id 为 02 时：卡用户，归属省由 Radius 填写 ,3 位省代码， (省会长途区号首位去零，知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 不足三位右补零。如北京：“ 100”，山东：“ 531” ) 8 Roam_prov 用户漫游省 51 54 4 计费用户漫游所在省的省代码 上传话单暂时填空 9 Auth_type 认证类型 55 56 2 用户认证使用的方式 “ 01”： Web 认证 “ 02”： SIM 认证 “ 03”： PEAP 认证 “ 04”： MAC 认证 10 Start_time 起始时间 57 70 14 连接起始时间 YYYYMMDDHHMISS 11 Stop_time 结束时间 71 84 14 连接结束时间 YYYYMMDDHHMISS 12 Duration 连接时长 85 90 6 本次连接的持续时长（秒） 右对齐，左填 0 13 Data_flowup 上行数据流 量 91 100 10 上行数据流量 单位：字节，右对齐左填 0 14 Data_flowdn 下行数 据流量 101 110 10 下行数据流量 单位：字节，右对齐左填 0 15 Hotspot_ID 热点标识 111 126 16 用户所在的热点地区标识 ABCD.CTY. PRO.OPE.NAT: ABCD:4 位某城市热点地区编号，由各省自定，各省应确保网络设备数据和计费系统数据配置的一致性。 CTY:4 位城市编码 (国内长途区号 ,右对齐左填零 ) PRO:3 位省代码 (省会长途区号首位去零，不足三位右补零。如北京：“ 100”，山东：“ 531” ) OPE:2 位运营商代码： 00 中国移动 NAT:3 位国家编码： 460：中国 16 AC_address AC 的 IP 地址 127 142 16 计费信息采集前端设备的 IP地址 左对齐，右填空 17 AS_address AAA 服务器的 IP 地址 143 158 16 认证设备的 IP地址 左对齐，右填空 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 18 Home_carrier 归属运营商 159 163 5 计费用户的归属运营商 上传话单暂时填空 19 Roam_carrier 漫游运营商 164 168 5 用户漫游网络所在的运营商 上传话单暂时填空 20 basic_fee 通信费 169 174 6 基本通信费 Oper_id 为 01、 03 时：目前暂填零； Oper_id 为 02 时：填写实际通信费，暂时允许为。单位：分，右对齐左填零 21 Info_fee 信息费 175 180 6 信息费 单位：分，右对齐左填零 目前暂填零 22 Service_ID 服务标识 181 188 8 用户选择的服务标识 Oper_id 为 01、 03 时，暂时填空，编码待定 Oper_id为 02时，填写卡费率，FFFZHHHH， FFF 填写卡面值，单位为元，左对齐，不足后补空格； Z 固定填写 Z； HHHH 填写卡时长，单位为小时，左 对齐，不足后补空格； 23 ISP_ID ISP 标识 189 194 6 ISP 的标识 暂时填空 , 编码待定 24 Cause_close 断线原因 195 196 2 断线原因 “ 01”：用户请求下线 “ 02”：端口连接丢失 “ 03”：不能提供服务，主要指连接异常中断 “ 04”：空闲超时 “ 05”：会话超时 “ 06”：管理员复位端口或会话 “ 07”：管理员重启 NAS “ 08”：端口错误，需要中断会话 “ 09”： NAS 出错，要求中断会话 “ 10”： NAS 因为其他原因要求中断会话 “ 11”： NAS 意外重启 “ 12”： NAS 认为不再需要保留知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 该端口而中断会话 “ 13”： NAS 需要重新优先分配该端口而中断会话 “ 14”： NAS 需要挂起端口而中断当前会话 “ 15”： NAS 不能提供所需服务 “ 16”： NAS 为新会话回调而中断当前会话 “ 17”：用户输入错误 “ 18”：主机请求中断 25 Radius_sts Radius状态 197 198 2 预留字段 Radius 运行状态： “ 00” Radius 状态正常 “ 01” Radius 状态异常 26 Reserved 预留 199 212 14 预留字段 填空 27 CR 回车 213 1 Carriage Return 28 LF 换行 214 1 Line Feed 。 （ 4） EAP 认证方法适配要求 SIM 认证和 PEAP 认证共用一个 SSID 时， AAA 服务器需通过 EAP 消息中的用户标识格式判断认证方式，如果用户开通此认证方式，则发起相应认证流程。 如果 AAA 服务器无法判断用户标识属于哪一认证方式，则按用户开通的 EAP 方法进行认证。 （ 5） 容量要求 安徽目前满足 10 万用户规模， 用模块化扩容方式根据需求灵活扩容 。 （ 6） 可靠性要求 1. 应达到或超过 99.999%的可用性 2. 无故障连续工作时间 MTBF10万小时 3. 冷启动恢复时间小于 10分钟 4. 热启动恢复时间小于 1分钟 5. 要求设备具有高可靠性和高稳定性。主处理器，主存，电源和管理接口等系统主要部件应具有热备份冗余 ，不存在单点故障 主备系统倒换时间：单板主备倒换时间小于 6 秒，数据库主备倒换小于 90 秒 。 （ 7） 过负荷保护 1. 应具备针对整机系统的过负荷控制机制，可以设置过负荷控制门限，到达门限时自动启动或解除过负荷控制。过负荷控制门限应考虑 CPU负荷。 2. 应具备针对主处理单元（单板）、业务处理单元（单板）等核心单元（单板）的过负荷控制机制。各核心单元（单板）可以独立设置 过负荷控制门限，到达门限时独立自动启动或解除过负荷控制。过负荷控制门限应考虑 CPU负荷。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 3. 应能对整机系统及各核心单元（单板）的 CPU负荷、业务负荷、业务处理时延等性能数据进行实时监测和统计。根据上述数据自动检测过负荷状态。 4. 应能设置业务优先级，在启动过负荷控制后按照业务优先级优先处理高优先级业务，丢弃优先级低的业务。业务优先级设置应满足以下顺序： a) 第一优先级：已建立会话的计费请求消息。 b) 第二优先级：正在接入的认证请求消息。 5. 整机系统及各核心单元（单板）应支持多级过负荷控制，可设置多级控制门限，达到不同门限实 施不同的过负荷控制策略，使用不同的流量控制门限。 6. 应具有过负荷保护机制，当实际承担的业务量超过设备标称容量时，应立即启动过负荷保护机制，产生过负荷告警提示，在实际承担的业务量恢复正常时，解除告警。 过负荷保护机制应保证设备在实际承担业务量到达标称容量的 150时，设备处理能力不低于标称容量的 90。 （ 8） 硬件结构要求 1. 硬件系统基本要求 a) 硬件应采用模块化结构，便于容量扩充和引入新的硬件模块容纳新业务和新技术。 b) 提供的设备应全部采用经过老化测试和严格筛选的优质元器件。硬件的组装应该有严格的质量控制，确保长期 使用的高稳定性和高可靠性。 c) 系统构成应具有冗余和容错等安全措施。 2. 处理机的要求 a) 处理机系统（集中控制、分级控制或分散式控制）均要有冗余度。遇处理机、软硬件故障时，具有倒机、分级再启动及系统再生成等性能，以保证其安全可靠性。 b) 处理机系统应具有故障脱机自动诊断功能。 c) 处理机系统应具有软、硬件故障告警信号。 d) 处理机系统的处理能力应满足买方要求。卖方应说明达到所要求处理能力时处理机的占用率及过负荷控制措施。 3. 输入、输出设备的基本要求 a) 人机命令尽可能采用菜单方式，用作人机命令输入的设备应具有冗余度。 b) 应提供用于存储程 序、局数据、移动用户数据以及各类话务统计数据的外存设备。计费信息的存储设备应单独设置，以便话费分拣。以上外存设备均应有备份。 c) 应提供电传打印机：用于打印故障信息、话务统计信息输入的人机命令 d) 显示器。各类告警信号除由打印机打印外，还应在显示屏上显示，且能用不同彩色显示出各类故障的严重程度。 。 （ 9） 软件要求 1. 软件基本要求 a) 要求软件采用分层的模块化结构，模块之间的通信应按照规定接口进行。任何一层的任何一个模块的维护和更新以及新模块的追加都不应影响其他模块。 b) 局数据和用户数据与处理程序应有相对的独立性。局数据 和用户数据的任何变更都不应引起运行版本程序的变更。处理程序与任何局数据和用户数据相适应。 c) 软件应有容错能力，一般小的软件故障不应引起各类严重的系统再启动。 d) 软件设计应有防护性能，某一软件模块内的软件错误应限制在本模块内，而不应造成其他软件模块的错误。 e) 应具有软件运行故障的监视功能。一旦软件出现死循环等重大故障，应能自动再启动，并作出即时故障报告信息。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 f) 在未达到设备的终局容量时，增加或减少用户或交换设备时，只需使用一般的人机命令变更用户数据或局数据即可，不应影响正常通信。 g) 不同生产厂家生产的同种型号的交换设备 ，应采用同一种软件版本。同一种型号交换设备不同时间的软件版本应能兼容。 2. 软件功能要求 a) 要求有完善的实时操作系统。 b) 要求具有完善的计费处理功能。要求具有与计费处理中心相配合的功能。（详见“计费要求”一章）。 c) 要求具有网管子系统及处理相应业务的功能。要求具有路由变更控制功能。 d) 要求具有完善的系统结构控制功能。 e) 要求具有对各种硬件设备测试的功能。 f) 要求具有对软件、硬件运行故障的监视功能。有完善的故障告警及障碍后处理功能。要求具有与集中维护管理中心相配合的控制功能。 g) 要求具有完善的、方便的人机通信控制功能。 h) 要求具 有完善的维护管理功能，具有局数据和用户数据的维护管理、软件维护管理、设备维护管理及计费管理等功能。 i) 要求具有故障诊断和故障定位功能。 3. 软件语言的要求 a) 机器所用的高级语言应尽量采用 CCITT 推荐的 CHILL、 SDL、 MML 分别作为编程语言、功能描述语言和人机通信语言。 b) 若未采用上述 CCITT 推荐的标准语言，则所采用的高级语言应基于英文，且应易读，使用方便，并说明其与标准语言的区别。 c) 要求对所使用的语言提供语言规范及其说明资料。 4. 软件维护管理功能要求 a) 要求具有在不中断处理业务的情况下，完成程序打补丁的功能。每一 补丁应不得大于 100 字，如果总的补丁超出 2000 字，那么补丁数应 100 个，这时要求厂家无偿提供新版本。 b) 要求对于全部数据和用户数据都可以在不影响业务的情况下，用人机通信的方式进行下述操作： 数据查询 数据修改变更 数据追加 由软盘或其它媒介进行批量数据的引入运行 原运行数据的暂存、重新运行、使用删除。 c) 若对修改后的软件不满意或将修改后软件引入系统后，对系统有副作用或发现新版本有问题，应能方便而迅速的（在 1分钟内）恢复到原来的程序。 d) 故障诊断软件的诊断精度： 要求故障诊断软件能对硬件故障进行诊断和定位，故障 诊断定位后应能显示或打印，报告故障设备的物理位置等有关信息。 对硬件故障诊断定位的精度要求如下： 用户会话，应可定位至每一会话。 对于各公共部件电路，如：处理机、接口电路、存储器、输入 /输出设备等的硬件故障应能达到：70%的故障能自动定位至一块板， 90%能自动定位至 3块板， 100%能定为至 5 块板 。 （ 10） 时钟同步要求 1. 同步方式 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 a) 采用主从同步方式。 2. 定时特性要求 a) 满足“数字同步网节点时钟系列及其定时特性” 4.2、 4.3节规定的要求。 3. 定时接口要求 a) 定时方式 外定时方式； 线路定时方式。 b) 接口种类 1）外 定时接口种类： 2048kbit/s接口。 2048kHz接口。 2）线路定时接口种类： 2048kbit/s接口，对于 PDH传输。 c) 外定时接口的数目 被同步设备的外定时接口数目一般至少为 2个。 d) 外定时接口的要求 物理 /电气特性 对于 2048kbit/s接口，应符合 ITU-T建议 G.703第 6节的要求。 对于 2048kHz接口，应符合 ITU-T建议 G.703第 10节的要求。 功能要求 外定时接口应具有自动或人工倒换的功能。对于 2048kbit/s接口，其帧结构应符合ITU-T建议 G.704第 2.3节的要求。 4. 接口性能要求 a) 对于 2048kbit/s 和 2048kHz 接口，其输入抖动和漂移容限应满足 ITU-T 建议G.823 的要求。 b) 对于 STM-N 接口，其输入抖动和漂移容限应满足 ITU-T建议 G.825 的要求。 （ 11） 网管要求 Radius 对 SIM、 PEAP、 MAC、 Web 四种认证方式分别统计在线用户数、流量、认证成功率。 满足电信级设备要求和节能减排要求 。 满足电信级设备要求和节能减排要求 （ 12） 在线冲突处理功能 AAA 根据“后上踢先上”的原则，在多个用户使用同一帐号登录时，采用 DM 消息向 AC 要求踢 用户下线 。 2、 AC/AP 1、 AP支持 802.11i； 2、 AC支持 802.1x； 3、 AC支持 PEAP认证流程； 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 4、 PEAP认证对应 SSID可配置开启 /取消 15分钟下线机制。 Portal认证对应 SSID仍保留 15分钟下线功能。 已确人华为、华三、中兴、大唐支持此功能，国人下线时长全局配置，需改造支持，宏信需改造支持。 5、 AC支持用户累计流量小于一定阈值，则应对该用户下线并停止计费。 6、（可选功能） AC支持向向之间定期发送 Keep-Alive心跳消息实现保活，心跳消息采用EAP-Request及 EAP-Response标准消息，详细过程见下图。 AC提供可配置的如下参数： 心跳开始 Timer：如无流量，心跳开始 Timer进行计时，设定 Timer过期后， AC发送 EAP心跳消息。 心跳重试 Timer： AC发送 EAP心跳消息后，在心跳重试 Timer设定的时间内，如无响应，则重新发送 EAP心跳消息。 心跳重试次数： AC重发 EAP心跳消息的最大次数。 心跳机制可以通过配置选项打开或关闭。 W L A N U E W L A N A Ne a p _ r e q u e s t / i d e n t i t ye a p _ r e s p o n s e / i d e n t i t ye a p _ s u c c e s s7、 AC支持精确流量计费。 8、当使用绑定域名的证书时， AC支持通 过域名方式访问 AAA服务器。 3、 BOSS改造要求 支持 WLAN套餐订购和认证功能开通。 五、 安徽省组网方案 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水坝 现网 WLAN AC/BRAS升级支持支持 PEAP认证识别和报文透传（集团集采要求 AC支持）； 新部署 AAA，或现网 AAA升级，支持 PEAP认证服务器功能。 新增一个 SSID（加密模式，如 AUTO-CMCC）给 PEAP认证用户使用； 为各个 AAA购买和部署一套支持 TLS 1.0的证书，如 Verisign； 对于移动签约用户， WLAN用户名建议采用手机号；对于非移动签约用户，用户名全国 规划，各省通过号段前缀区分； AAA存储和维护 MSISDN和非签约用户名的号段。 六、 市场营销策略 一、首先在省公司内部进行 PEAP自动认证的试点工作，并收集意见和建议； 二、针对 PEAP自动认证，为扩大体验用户群和鼓励用户使用。在资费套餐设计的基础上，我们拟开展为期 3个月的免费体验工作，降低使用门槛，扩大试点人群。 三、另外在 PEAP认证试点中，在试点资费阶段，考虑试点与移动数据流量的融合套餐和 WLAN按流量计费。 四、推广措施： 1、针对使用 PEAP认证智能终端的手