WLAN自动认证

1、知识水坝（豆丁网pologoogle）为您倾心整理（下载后双击删除）成果上报申请书（同2010年）成果名称wlan自动认证系统成果申报单位 安徽 省（自治区/直辖市）公司成果承担部门/分公司计划部 部门 / 分公司项目负责人姓名项目负责人联系电话和email成果专业类别*数据业务所属专业部门*数据线条成果研究类别*相关网络解决方案省内评审结果*优秀关键词索引（35个）wlan peap 认证应用投资200万元（指别的省引入应用大致需要的投资金额）产品版权归属单位 中国移动安徽公司对企业现有标准规范的符合度：（按填写说明5）符合如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括

2、：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：省公司重点研发2011年 wlan自动认证系统成果简介：简要描述成果目的和意义，解决的问题，取得的社会和经济效益。背景：国外：在at&t，手机上wlan的比重是25%，英国电信（bt）的比重是16%。在中国，因为智能手机比重占比仅为12%，所以这个比重只有1-2%。随着智能手机的迅猛普及，手机上wlan的需求将变得越来越迫切，而中移动也迫切需要wlan解决目前的数据类瓶颈问题。但目前wlan手机认证的方式（portal）存在的种种弊端使得用户难以接受。这种内、外因的需要，使得如何提高wlan手机认证的便捷性变

3、得非常重要和迫切。目的：目前各省基于wlan认证的优化创新主要集中在解决wlan手机认证，其根本目的是希望通过优化工作方便手机用户上wlan，扩大wlan的使用面，解决2g的数据流瓶颈问题。成果：安徽公司自主创新，研发了基于802.1x eap-peap协议的wlan自动认证，peap是eap认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用peap认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。使用户能够在手机终端上完成一次注册（输入用户名和密码），后期自动认证，方便用户采用手机终端快速使用wlan。

4、具有：安全性高、现网部署快、投资少、标准化、终端兼容性高等优点。解决的问题：解决了wlan手机自动认证问题，方便用户使用手机终端快速上网。将使wlan的使用面迅速扩大，解决2g的数据流瓶颈问题，是实现无线城市的重要载体。能够快速提升wlan的数据流量，产生良好的经济效益。省内试运行效果：描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。运行良好，全省使用，适合全省wlan手机用户，用户体验良好，方便快捷认证，提升了wlan的数据使用量，能够将目前大部分采用笔记本电脑使用wlan情况扭转，真正让大部分wlan手机终端用户使用，解决2g网络的数据流量瓶颈。推广价值：具有全国推广的价值，

5、方案已获集团公司、研究院的高度认可，能够有效解决wlan手机上网的自动认证，将有力的推动全网wlan的使用，具有重要意义。建议：希望能尽快在全国全网开展建设。对于ophone手机需要在操作系统层面简化用户的配置，便于用户使用。文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明6”。项目背景-研究背景国外：在at&t，手机上wlan的比重是25%，英国电信（bt）的比重是16%。在中国，因为智能手机比重占比仅为12%，所以这个比重只有1-2%。随着智能手机的迅猛普及，手机上wlan的需求将变得越来越迫切，而中移动也迫切需要wlan解决目

6、前的数据类瓶颈问题。但目前wlan手机认证的方式（portal）存在的种种弊端使得用户难以接受。这种内、外因的需要，使得如何提高wlan手机认证的便捷性变得非常重要和迫切。peap是eap认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用peap认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。项目背景-研究目的和意义目前各省基于wlan认证的优化创新主要集中在解决wlan手机认证，其根本目的是希望通过创新方便手机用户上wlan，扩大wlan的使用面，解决2g的数据流瓶颈问题。wlan自动认证研究-pea

7、p认证一、背景peap是eap认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用peap认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。二、使用peap认证的考虑1、wlan手机认证概述wlan手机认证的解决方案大致分为如下几类：（1）基于wifi认证协议的创新，例如：eap-sim认证，安徽公司提出的eap-peap认证、可信终端的mac地址认证等。优点：系统协议级别认证，安全可靠。缺点：智能手机终端的支持程度有待进一步提高。改造网元相对较多。（2）基于简化用户端portal认证流程的创新 优点：基于

8、现有系统的改造，方便快捷。缺点：应用级认证，首次认证时间较长。（3）基于手机客户端软件解决wlan认证的创新 2、peap协议来源peap协议来源于rfc的草案，其中涉及到的tls协议，radius-eap，mschapv2协议都是正式的rfc文档，属于ietf维护，是思科，微软和rsasecurity支持的ietf草案，具有很好的安全性，在设计上和eap-ttls相似，目前被wpa和wpa2批准的有两个子类型 peapv0-mschapv2 peapv1-gtc，后期演进，peap由微软和思科主导和维护，他们会定期维护升级他们的协议并在他们最新的产品(如windows server 2008

9、)上实现，主要升级的方向是更高的安全性，实现了更多的tlv和更复杂算法的应用。 3、eap认证模式比较802.1x eap类型功能/优点tls传输层安全性ttls隧道传输层安全性peap受保护的传输层安全leap轻量级可扩展身份验证协议需要客户端证书是无无无需要服务器证书是无是无wep密钥管理是是是是供应商msfunkmscisco验证属性相互相互相互相互部署难易程度难(因为客户端证书部署)中等中等中等wifi安全性很高高高在使用强密码时高。可以看出，eap-peap、eap-ttls都是非常好的二层协议层认证方式。4、peap认证技术优点（1）开放性： peap即为protected-eap

10、“受保护的可扩展的身份验证协议”，是可扩展的身份验证协议 (eap) 家族的一个新成员，属于开放的标准；（2）安全性：本次采用的peap认证技术机制在eap认证机制基础增强了安全隧道功能，比传统的web认证等认证机制更安全，完全符合wlan的的应用特点；（3）可演进性与兼容性：终端手机类设备支持wlan功能越来越广泛，并且采用peap的认证方式也是行业趋势所在，未来所有的终端设备都将支持该认证方式，能够兼容各种系统的终端设备。 （4）系统级：系统级认证，对应用程序透明，能够支持多种应用程序，对未来的微应用模式支持好，包括portal方式不支持的ucweb等。5、peap的安全性（1）在客户端与

11、认证服务器之间先建立tls安全隧道，后续用户传递的用户名和密码均在安全隧道中进行传递，中间设备无法解析。 （2）在建立tls隧道时，终端需要对认证服务器进行证书验证，防止网络侧的仿冒行为。采用802.1x技术，进行端口级别的接入控制，提高了接入控制能力和安全性 三、技术原理1、peap认证上线流程peap(protected eap)实现通过使用隧道在peap客户端和认证服务器之间进行安全认证。eap 客户端和认证服务器之间的认证过程有两个阶段。 第一阶段：建立 peap 客户端和认证服务器之间的安全通道，客户端采用证书认证服务端完成tls握手。服务端可选采用证书认证客户端。第二阶段：提供 e

12、ap 客户端和认证服务器之间的 eap 身份验证。整个 eap 通信，包括 eap 协商在内，都通过 tls 通道进行。服务器对用户和客户端进行身份验证，具体方法由 eap 类型决定，在 peap 内部选择使用(如：eap-ms-chapv2)。访问点只会在客户端和 radius 服务器之间转发消息，由于不是 tls 终结点，访问点无法对这些消息进行解密。目前被wpa和wpa2批准的有两个peap子类型 peapv0-mschapv2，peapv1-gtc，使用广泛的是peapv0-mschapv2。peap认证参考如下国际标准1ietf draft, peap authentication,

13、 draft-josefsson-pppext-eap-tls-eap-10.txt, 2004.2ietr rfc 2759，mschapv23ietf rfc 3748, extensible authentication protocol (eap).2、关键技术问题（1）证书问题peap认证需要aaa服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。目前的测试情况表明peap认证对各类终端均兼容。（2） 密码设置peap认证使用的用户名/密码与portal认证的用户名/密码应保持一致。（3）peap认证方法使用peapv0版本，选用mschapv2认证方法。（4）ssid设置

14、需设置新的ssid(auto-cmcc)，支持存量终端使用peap认证方式。peap认证与sim认证使用相同ssid。（5）机卡分离问题由于peap认证的用户名/密码保存在手机中，如果手机和用户卡发生分离（用户换手机或换卡），且用户没有删除用户名和密码，手机仍能进行peap认证，但费用会记录在原有卡用户账户上。目前暂无较好技术手段进行解决机卡分离问题。 （6）下线控制peap认证仍保留8小时下线机制可通过ac开关开启/关闭peap认证对应ssid的15分钟下线机制。3、接入流程（1）peap用户接入流程图1 peap用户接入流程（2）peap用户下线流程用户下线流程包括用户主动下线、网络下线和

15、异常下线三种情况。图2给出了用户主动下线流程，图3给出了网络下线流程，图4给出了用户异常下线流程。a. 用户主动下线图2 用户主动下线流程b、网络发起用户下线图3 网络发起下线流程c、网络发起用户下线图4 用户异常下线流程（3）ms-chap v2认证流程图4 ms-chapv2用户认证流程4、计费要求为避免对现有boss的改造要求，peap认证话单沿用原有portal认证话单，其中oper_id为5表示用户开通无感知认证，auth_type为“03”表示话单是peap认证接入后产生的。话单中反映用户上网时长和流量等信息，为用户提供准确计费依据。四、网元改造1、aaa功能要求(1) 鉴权要求1

16、）认证授权功能要求支持来自 wlan接入网的eap 认证处理。支持eap-peapv0/mschapv2 认证流程。支持peap认证成功后，下发空口加密用的msk。支持eap-peap报文分片。2）支持多种eap认证方法协商支持eap认证方式协商，在通过域名方式无法区分的情况下可以与终端之间进行eap认证方法的协商，如peap、eap-ttls等。3）用户及会话管理功能要求支持用户注册管理(开户、销户、停机、恢复、切换带宽等)。支持 peap认证用户的会话状态管理，支持外部系统查询用户会话状态。 支持强制用户下线，通过向 ac 发送 disconnect message 消息。(如用户销户、停

17、机时将用户下线，结束会话)。支持根据ac/bras发来的计费停止消息，对用户进行下线处理。4）peap相关配置管理功能要求支持 tls server 证书导入和配置管理。支持是否验证客户端证书可配置。支持根据域名配置对应的 eap认证方法，如通过配置对应的域名与eap-sim/aka认证对应。（2） 接口与信令要求 a、 物理接口1) ip接口支持ge光口（至少两个）。支持主备倒换或者负荷分担。支持ieee 802.3ah，实现链路故障的快速检测。2) tdm e1接口七号信令应用层以下部分要符合对mtp、sccp和tcap行标和相应的补充规定的要求。信令连接控制部分(sccp)应符合国内no

18、.7信令方式技术规范信令连接控制部分(sccp)。事务处理能力部分应符合国内no.7信令方式技术规范事务处理能力部分(tc)。3) 2m高速信令链路接口 支持多条2m信令链路，并且满足yd/t 11252001国内no.7信令方式技术规范2mbit/s高速信令链路的规定。b、信令接口1) 与hlr间的接口使用map协议与hlr交互， 支持3gpp 29.002 v4.f.0。2) 与wlan an间的接口wlan an和aaa之间接口用于传输认证、授权和计费信息，使用radius协议通信（参考rfc3580）。详细接口描述参见中国移动企业标准-i-wlan技术规范-接口分册。3) 与boss间

19、的接口与boss的接口主要用于原始话单文件的传送。详细参考计费接口协议。4) 与梦网网关间的接口与梦网网关间的接口采用cmpp协议，满足中国移动通信互联网短信网关接口协议（cmpp）的要求。（3） 计费要求1）接受从wlan an采集得到的计费信息，产生话单文件，通过ftp接口提供给boss系统。2）计费原始数据信息包括： 用户身份信息(采用sim认证方式时，用户身份信息使用imsi) 认证方式标识 连接会话标识 连接时长 连接起始时间 连接结束时间 数据流量 上行数据流量 下行数据流量 计费信息采集前端设备ip地址 计费信息采集前端设备标识(用来识别用户的接入地，实现不同城市和省份之间的结算

20、)3） 按照话单格式产生话单，话单格式满足boss接口规范要求4）话单格式如下:序号名称域 名位置长度含义填写说明1rec_type话单记录标记122标记文件中的记录类型“20”2oper_type业务类型342业务类型“03”：承载业务3oper_id业务标识562业务标识“01”：wlan普通手机用户“02”：wlan卡用户（实体卡）“03”：wlan高校用户“04”：wlan卡用户(wlan包单位时间电子卡）“05”：用户开通无感知认证4charge_dn计费用户号码73024做为计费对象的移动用户msisdn号码；wlan卡业务填写卡号as:不带“86”的手机号码radius: 不带“

21、86”的手机号码wlan卡：填写13位帐号左对齐，不足填空格5imsi手机imsi号314515手机设备的imsi号码左对齐，不足填空格。web认证方式该字段可以为空6user_type用户类型461做为计费对象的移动用户类型oper_id为01、03时：平台默认填“”(包括全球通和神州行，需在解码时重填)oper_id为02时：“5”：全国预付费卡，“6”：本地预付费卡，“7”：预留7home_prov用户归属省47504计费用户号码归属省的省代码oper_id为01、03时：手机用户，归属省填空oper_id为02时：卡用户，归属省由radius填写,3位省代码，(省会长途区号首位去零，不

22、足三位右补零。如北京：“100”，山东：“531”)8roam_prov用户漫游省51544计费用户漫游所在省的省代码上传话单暂时填空9auth_type认证类型55562用户认证使用的方式“01”：web认证“02”：sim认证“03”：peap认证“04”：mac认证10start_time起始时间577014连接起始时间yyyymmddhhmiss11stop_time结束时间718414连接结束时间yyyymmddhhmiss12duration连接时长85906本次连接的持续时长（秒）右对齐，左填013data_flowup上行数据流量9110010上行数据流量单位：字节，右对齐左填

23、014data_flowdn下行数据流量10111010下行数据流量单位：字节，右对齐左填015hotspot_id热点标识11112616用户所在的热点地区标识abcd.cty. pro.ope.nat:abcd:4位某城市热点地区编号，由各省自定，各省应确保网络设备数据和计费系统数据配置的一致性。cty:4位城市编码(国内长途区号,右对齐左填零) pro:3位省代码(省会长途区号首位去零，不足三位右补零。如北京：“100”，山东：“531”)ope:2位运营商代码：00中国移动nat:3位国家编码：460：中国16ac_addressac的ip地址12714216计费信息采集前端设备的ip

24、地址左对齐，右填空17as_addressaaa服务器的ip地址14315816认证设备的ip地址左对齐，右填空18home_carrier归属运营商1591635计费用户的归属运营商上传话单暂时填空19roam_carrier漫游运营商1641685用户漫游网络所在的运营商上传话单暂时填空20basic_fee通信费1691746基本通信费oper_id为01、03时：目前暂填零；oper_id为02时：填写实际通信费，暂时允许为。单位：分，右对齐左填零21info_fee信息费1751806信息费单位：分，右对齐左填零目前暂填零22service_id服务标识1811888用户选择的服务标

25、识oper_id为01、03时，暂时填空，编码待定oper_id为02时，填写卡费率，fffzhhhh，fff填写卡面值，单位为元，左对齐，不足后补空格；z固定填写z；hhhh填写卡时长，单位为小时，左对齐，不足后补空格；23isp_idisp标识1891946isp的标识暂时填空, 编码待定24cause_close断线原因1951962断线原因“01”：用户请求下线“02”：端口连接丢失“03”：不能提供服务，主要指连接异常中断“04”：空闲超时“05”：会话超时“06”：管理员复位端口或会话“07”：管理员重启nas“08”：端口错误，需要中断会话“09”：nas出错，要求中断会话“10

26、”：nas因为其他原因要求中断会话“11”：nas意外重启“12”：nas认为不再需要保留该端口而中断会话“13”：nas需要重新优先分配该端口而中断会话“14”：nas需要挂起端口而中断当前会话“15”：nas不能提供所需服务“16”：nas为新会话回调而中断当前会话“17”：用户输入错误“18”：主机请求中断25radius_stsradius状态1971982预留字段radius运行状态：“00” radius状态正常“01” radius状态异常26reserved预留19921214预留字段填空27cr回车2131carriage return28lf换行2141line feed。

27、（4） eap认证方法适配要求 sim认证和peap认证共用一个ssid时，aaa服务器需通过eap消息中的用户标识格式判断认证方式，如果用户开通此认证方式，则发起相应认证流程。如果aaa服务器无法判断用户标识属于哪一认证方式，则按用户开通的eap方法进行认证。（5） 容量要求 安徽目前满足10万用户规模，用模块化扩容方式根据需求灵活扩容。（6） 可靠性要求1. 应达到或超过99.999%的可用性2. 无故障连续工作时间mtbf10万小时3. 冷启动恢复时间小于10分钟4. 热启动恢复时间小于1分钟5. 要求设备具有高可靠性和高稳定性。主处理器，主存，电源和管理接口等系统主要部件应具有热备份冗

28、余，不存在单点故障主备系统倒换时间：单板主备倒换时间小于6秒，数据库主备倒换小于90秒。（7） 过负荷保护1. 应具备针对整机系统的过负荷控制机制，可以设置过负荷控制门限，到达门限时自动启动或解除过负荷控制。过负荷控制门限应考虑cpu负荷。2. 应具备针对主处理单元（单板）、业务处理单元（单板）等核心单元（单板）的过负荷控制机制。各核心单元（单板）可以独立设置过负荷控制门限，到达门限时独立自动启动或解除过负荷控制。过负荷控制门限应考虑cpu负荷。3. 应能对整机系统及各核心单元（单板）的cpu负荷、业务负荷、业务处理时延等性能数据进行实时监测和统计。根据上述数据自动检测过负荷状态。4. 应能设

29、置业务优先级，在启动过负荷控制后按照业务优先级优先处理高优先级业务，丢弃优先级低的业务。业务优先级设置应满足以下顺序：a) 第一优先级：已建立会话的计费请求消息。b) 第二优先级：正在接入的认证请求消息。5. 整机系统及各核心单元（单板）应支持多级过负荷控制，可设置多级控制门限，达到不同门限实施不同的过负荷控制策略，使用不同的流量控制门限。6. 应具有过负荷保护机制，当实际承担的业务量超过设备标称容量时，应立即启动过负荷保护机制，产生过负荷告警提示，在实际承担的业务量恢复正常时，解除告警。过负荷保护机制应保证设备在实际承担业务量到达标称容量的150时，设备处理能力不低于标称容量的90。（8）

30、硬件结构要求1. 硬件系统基本要求a) 硬件应采用模块化结构，便于容量扩充和引入新的硬件模块容纳新业务和新技术。b) 提供的设备应全部采用经过老化测试和严格筛选的优质元器件。硬件的组装应该有严格的质量控制，确保长期使用的高稳定性和高可靠性。c) 系统构成应具有冗余和容错等安全措施。2. 处理机的要求a) 处理机系统（集中控制、分级控制或分散式控制）均要有冗余度。遇处理机、软硬件故障时，具有倒机、分级再启动及系统再生成等性能，以保证其安全可靠性。b) 处理机系统应具有故障脱机自动诊断功能。c) 处理机系统应具有软、硬件故障告警信号。d) 处理机系统的处理能力应满足买方要求。卖方应说明达到所要求处

31、理能力时处理机的占用率及过负荷控制措施。3. 输入、输出设备的基本要求a) 人机命令尽可能采用菜单方式，用作人机命令输入的设备应具有冗余度。b) 应提供用于存储程序、局数据、移动用户数据以及各类话务统计数据的外存设备。计费信息的存储设备应单独设置，以便话费分拣。以上外存设备均应有备份。c) 应提供电传打印机：用于打印故障信息、话务统计信息输入的人机命令d) 显示器。各类告警信号除由打印机打印外，还应在显示屏上显示，且能用不同彩色显示出各类故障的严重程度。（9） 软件要求1. 软件基本要求a) 要求软件采用分层的模块化结构，模块之间的通信应按照规定接口进行。任何一层的任何一个模块的维护和更新以及

32、新模块的追加都不应影响其他模块。b) 局数据和用户数据与处理程序应有相对的独立性。局数据和用户数据的任何变更都不应引起运行版本程序的变更。处理程序与任何局数据和用户数据相适应。c) 软件应有容错能力，一般小的软件故障不应引起各类严重的系统再启动。d) 软件设计应有防护性能，某一软件模块内的软件错误应限制在本模块内，而不应造成其他软件模块的错误。e) 应具有软件运行故障的监视功能。一旦软件出现死循环等重大故障，应能自动再启动，并作出即时故障报告信息。f) 在未达到设备的终局容量时，增加或减少用户或交换设备时，只需使用一般的人机命令变更用户数据或局数据即可，不应影响正常通信。g) 不同生产厂家生产

33、的同种型号的交换设备，应采用同一种软件版本。同一种型号交换设备不同时间的软件版本应能兼容。2. 软件功能要求a) 要求有完善的实时操作系统。b) 要求具有完善的计费处理功能。要求具有与计费处理中心相配合的功能。（详见“计费要求”一章）。c) 要求具有网管子系统及处理相应业务的功能。要求具有路由变更控制功能。d) 要求具有完善的系统结构控制功能。e) 要求具有对各种硬件设备测试的功能。f) 要求具有对软件、硬件运行故障的监视功能。有完善的故障告警及障碍后处理功能。要求具有与集中维护管理中心相配合的控制功能。g) 要求具有完善的、方便的人机通信控制功能。h) 要求具有完善的维护管理功能，具有局数据

34、和用户数据的维护管理、软件维护管理、设备维护管理及计费管理等功能。i) 要求具有故障诊断和故障定位功能。3. 软件语言的要求a) 机器所用的高级语言应尽量采用ccitt推荐的chill、sdl、mml分别作为编程语言、功能描述语言和人机通信语言。b) 若未采用上述ccitt推荐的标准语言，则所采用的高级语言应基于英文，且应易读，使用方便，并说明其与标准语言的区别。c) 要求对所使用的语言提供语言规范及其说明资料。4. 软件维护管理功能要求a) 要求具有在不中断处理业务的情况下，完成程序打补丁的功能。每一补丁应不得大于100字，如果总的补丁超出2000字，那么补丁数应100个，这时要求厂家无偿提

35、供新版本。b) 要求对于全部数据和用户数据都可以在不影响业务的情况下，用人机通信的方式进行下述操作：l 数据查询l 数据修改变更l 数据追加l 由软盘或其它媒介进行批量数据的引入运行l 原运行数据的暂存、重新运行、使用删除。c) 若对修改后的软件不满意或将修改后软件引入系统后，对系统有副作用或发现新版本有问题，应能方便而迅速的（在1分钟内）恢复到原来的程序。d) 故障诊断软件的诊断精度：要求故障诊断软件能对硬件故障进行诊断和定位，故障诊断定位后应能显示或打印，报告故障设备的物理位置等有关信息。对硬件故障诊断定位的精度要求如下：l 用户会话，应可定位至每一会话。对于各公共部件电路，如：处理机、接

36、口电路、存储器、输入/输出设备等的硬件故障应能达到：70%的故障能自动定位至一块板，90%能自动定位至3块板，100%能定为至5块板。（10） 时钟同步要求1. 同步方式a) 采用主从同步方式。2. 定时特性要求a) 满足“数字同步网节点时钟系列及其定时特性”4.2、4.3节规定的要求。3. 定时接口要求a) 定时方式l 外定时方式；l 线路定时方式。b) 接口种类l 1）外定时接口种类：2048kbit/s接口。2048khz接口。l 2）线路定时接口种类：2048kbit/s接口，对于pdh传输。c) 外定时接口的数目被同步设备的外定时接口数目一般至少为2个。d) 外定时接口的要求l 物理

37、/电气特性对于2048kbit/s接口，应符合itu-t建议g.703第6节的要求。对于2048khz接口，应符合itu-t建议g.703第10节的要求。l 功能要求外定时接口应具有自动或人工倒换的功能。对于2048kbit/s接口，其帧结构应符合itu-t建议g.704第2.3节的要求。4. 接口性能要求a) 对于2048kbit/s和2048khz接口，其输入抖动和漂移容限应满足itu-t建议g.823的要求。b) 对于stm-n接口，其输入抖动和漂移容限应满足itu-t建议g.825的要求。（11） 网管要求 radius对sim、peap、mac、web四种认证方式分别统计在线用户数、

38、流量、认证成功率。满足电信级设备要求和节能减排要求。满足电信级设备要求和节能减排要求 （12） 在线冲突处理功能 aaa根据“后上踢先上”的原则，在多个用户使用同一帐号登录时，采用dm消息向ac要求踢用户下线。2、ac/ap1、ap支持802.11i;2、ac支持802.1x；3、ac支持peap认证流程；4、peap认证对应ssid可配置开启/取消15分钟下线机制。portal认证对应ssid仍保留15分钟下线功能。已确人华为、华三、中兴、大唐支持此功能，国人下线时长全局配置，需改造支持，宏信需改造支持。5、ac支持用户累计流量小于一定阈值，则应对该用户下线并停止计费。6、（可选功能）ac支

39、持向向之间定期发送keep-alive心跳消息实现保活，心跳消息采用eap-request及eap-response标准消息，详细过程见下图。ac提供可配置的如下参数：心跳开始timer：如无流量，心跳开始timer进行计时，设定timer过期后，ac发送eap心跳消息。心跳重试timer：ac发送eap心跳消息后，在心跳重试timer设定的时间内，如无响应，则重新发送eap心跳消息。心跳重试次数：ac重发eap心跳消息的最大次数。心跳机制可以通过配置选项打开或关闭。7、ac支持精确流量计费。8、当使用绑定域名的证书时，ac支持通过域名方式访问aaa服务器。3、boss改造要求支持wlan套餐

40、订购和认证功能开通。五、安徽省组网方案现网wlan ac/bras升级支持支持peap认证识别和报文透传（集团集采要求ac支持）； 新部署aaa，或现网aaa升级，支持peap认证服务器功能。 新增一个ssid（加密模式，如auto-cmcc）给peap认证用户使用； 为各个aaa购买和部署一套支持tls 1.0的证书，如verisign； 对于移动签约用户，wlan用户名建议采用手机号；对于非移动签约用户，用户名全国规划，各省通过号段前缀区分； aaa存储和维护msisdn和非签约用户名的号段。 六、市场营销策略一、首先在省公司内部进行peap自动认证的试点工作，并收集意见和建议；二、针对p

41、eap自动认证，为扩大体验用户群和鼓励用户使用。在资费套餐设计的基础上，我们拟开展为期3个月的免费体验工作，降低使用门槛，扩大试点人群。三、另外在peap认证试点中，在试点资费阶段，考虑试点与移动数据流量的融合套餐和wlan按流量计费。四、推广措施：1、针对使用peap认证智能终端的手机用户（同时有移动数据流量的使用记录），进行群发宣传，引导用户使用；2、对于部分高端智能手机用户，拟开展外呼宣传。3、对于新售终端，在终端销售时由营业人员、客户经理帮助用户开通和进行终端设置，同时考虑与“计件薪酬”制结合。七、终端要求&支持情况据安徽公司测试，目前以下终端操作系统支持peap认证：ophone2.0以上android2.0以上iphone ios2.0、ios3、ios4symbian s60、symbian3blackberry os5.0、os6.0windows mobile5.0以上、window phone测试通过手机终端列表：序号手机终端品牌和型号1诺基亚 n972诺基亚 5800w3苹果 iphone4苹果 ipad3g5苹果 iphone46苹果 iphon