中国移动浙江公司WLAN快速认证方案第1页/共16页中国移动浙江公司WLAN快速认证技术方案接口规范中国移动浙江公司2011年2月中国移动浙江公司WLAN快速认证方案第2页/共16页目录1概述.........................................................................................................................32接口定义.................................................................................................................32.1AC与AAA新增的接口.........................................................................32.1.1.1(type=0x30)MAC绑定查询报文..................................32.1.1.2(type=0x31)MAC查询应答报文.................................42.1.1.3(type=0x32)用户上线成功通知报文............................42.1.1.4(type=0x34)用户下线通知报文....................................52.1.2通知AC放行接口............................................................................62.1.2.1交互流程..............................................................................62.1.2.2协议......................................................................................82.2AAA与短信网关的接口.......................................................................152.3AAA与BOSS的接口...........................................................................15中国移动浙江公司WLAN快速认证方案第3页/共16页1概述本文档主要描述WLAN快速认证方案中各系统间接口的定义。2接口定义2.1AC与AAA新增的接口新增四个接口,用于AC和AAA绑定中心服务器之间的交互,该交互基于标准的portal报文格式,通过对报文类型以及字段的扩充来实现WLAN快速认证的相关功能。接口依次描述如下:2.1.1.1(type=0x30)MAC绑定查询报文VerTypePap/ChapRsvSerialNoReqID0123468UserIPUserPortErrCodeAttrNum57Attr......其中Ver=0x01,Type=0x30,SerialNo=AC随机生成值,UserIP=MAC对应的用户IP,AttrNum=2。属性包括:Attr(属性字段)AttrType属性值长度属性取值SessionID(MacAddress)0x0B6(固定)取值为客户端MAC如0016ec9d4142BasIp(ACIP)0x0A4(固定)取值为AC设备IP,如202.112.111.111取值为CA706F6FAAA绑定中心服务器收到该报文请求后查询该SessionID(MacAddress)是否已经绑定,将结果通过下面的(type=0x31)MAC查询应答报文进行回复。中国移动浙江公司WLAN快速认证方案第4页/共16页2.1.1.2(type=0x31)MAC查询应答报文VerTypePap/ChapRsvSerialNoReqID0123468UserIPUserPortErrCodeAttrNum57Attr......其中Ver=0x01,Type=0x31,SerialNo=0x30报文发起的SerialNo,UserIP=该MAC对应的用户IP,AttrNum=0。ErrCode等于0表示该MAC已绑定。ErrCode等于1表示该MAC未绑定。AAA绑定中心服务器收到0x30请求报文后,查询该MAC地址对应的绑定状态,若已经绑定则返回应答报文,Errcode等于0x00,表示已经绑定,同时应通知Portal服务器发起自动portal认证过程;若未绑定,则返回MAC查询应答报文,ErrCode等于0x01,表示未绑定。2.1.1.3(type=0x32)用户上线成功通知报文VerTypePap/ChapRsvSerialNoReqID0123468UserIPUserPortErrCodeAttrNum57Attr......其中Ver=0x01,Type=0x32,SerialNo=AC随机生成值,UserIP=用户IP,AttrNum=6(或者5,其中User-Agent属性可能不存在),属性包括:Attr(属性字段)AttrType属性值长度属性取值UserName0x01=32(可变)用户名(可能为用户的手机号)SessionID(MacAddress)0x0B6(固定)取值为上线用户的MAC如0016ec9d4142中国移动浙江公司WLAN快速认证方案第5页/共16页BasIp(ACIP)0x0A4(固定)取值为AC的IP,如202.112.111.111取值为CA706F6FNasID0x30=32(可变)NAS-ID名称,字符串Session-StartTime0x314(固定)用户上线时间(标准时间),取值为1970年以来的秒数User-Agent0x34[1-253]终端浏览器的User-Agent字段,如Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;.NETCLR1.1.4322;.NETCLR2.0.50727),对于终端通过重定向方式认证通过的上线行为,此报文会携带该属性,否则不会携带该属性。AC收到AAA(radius)服务器用户认证成功报文后,通过该报文通知AAA绑定中心服务器,用户上线。AAA绑定中心做相应的处理即可,该报文为单向通知报文,不需要AAA绑定中心服务器回应,但保留type=0x33,以便后继扩展AAA绑定中心服务器回应报文做其他用途。注意,用户认证失败,AC不通知AAA绑定中心服务器任何消息。2.1.1.4(type=0x34)用户下线通知报文VerTypePap/ChapRsvSerialNoReqID0123468UserIPUserPortErrCodeAttrNum57Attr......其中Ver=0x01,Type=0x34,SerialNo=AC随机生成值,UserIP=用户IP,AttrNum=4,属性包括:Attr(属性字段)AttrType属性值长度属性取值UserName0x01=32(可变)用户名(可能为用户的手机号)SessionID(MacAddress)0x0B6(固定)取值为上线用户的MAC如0016ec9d4142中国移动浙江公司WLAN快速认证方案第6页/共16页BasIp(ACIP)0x0A4(固定)取值为AC的IP,如202.112.111.111取值为CA706F6FNasID0x30=32(可变)NAS-ID名称,字符串Session-StopTime0x324(固定)用户下线时间(标准时间),取值为1970年以来的秒数Session-Time0x334(固定)用户上线时长,单位为秒,用于通知AAA绑定中心服务器用户本次上线的时长。AC收到用户下线或者其他原因强制用户下线后,AC通过该报文通知AAA绑定中心服务器用户下线。在该报文中会携带用户上线的时长信息,AAA绑定中心做相应的处理即可,该报文为单向通知报文,不需要AAA绑定中心服务器回应,但保留type=0x35,以便预留后继扩展AAA绑定中心服务器回应报文做其他用途。2.1.2通知AC放行接口协议采用现有Portal协议《中国移动WLAN业务PORTAL协议规范V10》2.1.2.1交互流程流程完成用户账号的认证,并把认证结果通知PortalServer,Portalserver将会通知WLAN用户并且显示相应的认证结果。用户上线认证方式有两种:PAP、CHAP。Chap认证流程,如图2.1所示:中国移动浙江公司WLAN快速认证方案第7页/共16页RADIUS????WLAN??????(Portal)?????(AC)??????????????????Challenge??Challenge图2.1用户上线Chap认证流程1.PortalServer向AC请求Challenge;2.AC分配Challenge给PortalServer;3.PortalServer向AC发起认证请求;4.而后AC进行RADIUS认证,获得RADIUS认证结果;5.AC向PortalServer送认证结果;6.PortalServer将认证结果填入页面,和门户网站一起推送给客户;7.PortalServer回应确认收到认证结果的报文。用户上线Pap认证流程,如图2.2所示:RADIUS????WLAN??????(Portal)?????(AC)????????????????图2.2用户上线Pap认证流程1.PortalServer向AC发起认证请求;2.而后AC进行RADIUS认证,获得RADIUS认证结果;3.AC向PortalServer送认证结果;中国移动浙江公司WLAN快速认证方案第8页/共16页4.PortalServer将认证结果填入页面,和门户网站一起推送给客户;5.PortalServer回应确认收到认证结果的报文。2.1.2.2协议在AC和PortalServer之间通过Portal协议交互。2.1.2.2.1协议栈Portal协议栈如下图6.1所示:接入控制器(AC)门户网站(Portal)IPUDPPortal协议IPUDPPortal协议图6.1Portal协议栈2.1.2.2.2报文格式协议包采用固定长度头加可变长度的属性字段组成,属性字段采用TLV格式,具体如图6.2所示。VerTypePap/ChapRsvSerialNoReqID0123468UserIPUserPortErrCodeAttrNum57Attr......图6.2Web认证报文格式中国移动浙江公司WLAN快速认证方案第9页/共16页2.1.2.2.3报文字段说明2.1.2.2.3.1VerVer字段是协议的版本号,长度为1字节,目前定义的值为0x01;2.1.2.2.3.2TypeType字段定义报文的类型,长度为1字节,目前其值的定义如表6.1。表6.1认证报文类型Type值方向含义REQ_CHALLENGE0x01Client-----ServerPortalServer向AC设备发送的请求Challeng报文ACK_CHALLENGE0x02Client-----ServerAC设备对PortalServer请求Challeng报文的响应报文REQ_AUTH0x03Client-----ServerPortalServer向AC设备发送的请求认证报文ACK_AUTH0x04Client-----ServerAC设备对PortalServer请求认证报文的响应报文REQ_LOGOUT0x05Client-----Server若ErrCode字段值为0x00,表示此报文是Po