中国电信WLAN漫游认证WISPr协议规范介绍ppt课件

1、2019年3月WLANWLAN认证认证WISPrWISPr协议规范介绍协议规范介绍目录目录u一、背景与目标一、背景与目标u二、二、WISPr介绍介绍u三、主要业务流程三、主要业务流程u四、异常下线处理四、异常下线处理u五、五、XML模板和案例模板和案例u六、相关系统要求六、相关系统要求背景背景u为了使中国电信WLAN后台系统支持现在和未来各种客户端包括中国电信e家客户端、CDMA和WLAN上网卡客户端，IPASS客户端、智能终端等接入WLAN的功能，满足国内用户出访、国外漫游用户来访使用WLAN服务的感知一致性，需要对现有Portal统一开发一个支持wispr协议的组件，该组件安装在各省不同厂

2、商的portal系统上，实现不同客户端接入WLAN服务的功能。目的目的u一阶段目标一阶段目标(5月底前完成月底前完成)：u 升级各省升级各省Portal系统支持系统支持WISPr协议规范协议规范u各省各省portal系统可采用由集团统一开发的系统可采用由集团统一开发的WISPr服务器组件，或自服务器组件，或自行开发升级行开发升级Portal系统支持系统支持WISPr；u集团统一开发的集团统一开发的E家客户端、家客户端、Wlan客户端、客户端、CDMA1x&WLAN客户客户端升级支持端升级支持WISPr协议规范。协议规范。u二阶段目标二阶段目标 u在手持终端智能手机、在手持终端智能手机、

3、PDA、PSP等开发支持等开发支持WISPr协议规范协议规范的软件，实现手持智能终端接入中国电信的软件，实现手持智能终端接入中国电信CHINANET的的WLAN服服务。务。目录目录u一、背景与目标一、背景与目标u二、二、WISPr介绍介绍u三、主要业务流程三、主要业务流程u四、异常下线处理四、异常下线处理u五、五、XML模板和案例模板和案例u六、相关系统要求六、相关系统要求WISPr介绍介绍uWISPr即Wireless Internet Service Provider roaming，是由WIFI-Alliance提出的协议规范，以满足用户在不同无线Internet服务提供商进行漫游使用W

4、LAN服务的需求，类似于移动手机用户可以在不同移动服务运营商间无缝漫游。uWISPr Specification规定了实现WLAN漫游用户接入无线服务提供商的最佳鉴权认证的建议，本规范参考了WISPr中关于采用客户端方式接入WLAN网络进行认证的建议规范，采用基于XML格式进行数据封装的协议，以实现客户端方式进行WLAN认证、接入WLAN网络的需求。目录目录u一、背景与目标一、背景与目标u二、二、WISPr介绍介绍u三、主要业务流程三、主要业务流程u四、异常下线处理四、异常下线处理u五、五、XML模板和案例模板和案例u六、相关系统要求六、相关系统要求客户端使用无线宽带的认证流程客户端使用无线宽

5、带的认证流程客户端客户端BASBASPortalPortalAAAAAA1、 get：任意URL2、 Redirect：返回Login URL3、 get：Login URL4、 呼应：XML格式5、 Post：认证请求6、Portal:认证请求7、AAA：认证请求(Access-Request)8、AAA：认证响应(Access-Accept/Access-reject)10、 认证响应：认证结果、Logoff URL9、Portal：认证结果客户端使用无线宽带的计费流程客户端使用无线宽带的计费流程用户用户BASBASPortalPortalAAAAAA认证成功11、AAA：计费开始请求(A

6、ccounting-Start)12、AAA：计费开始相应(Accounting-Response)客户端使用无线宽带的用户下线流程客户端使用无线宽带的用户下线流程用户用户BASBASPortalPortalAAAAAA13、 get：Logoff URL14、Portal:下线请求15、AAA:计费结束Accounting-stop）16、AAA:计费结束响应Accounting-Response）17、Portal:下线响应18、 呼应：下线结果认证流程分析认证流程分析1、 get：任意URL用户终端发出http get任意URL请求至BAS2、 Redirect：返回Login URL遵

7、循现有BAS Redirect的格式基础上，login URL格式需满足： 1)https数字证书 2)域名为httpswlan.ct10000/（portal首页地址+参数）认证流程分析认证流程分析3、 get：Login URL客户端向2请求返回的Login URL发起Http get操作 get请求报文的包头中，需根据参数User-Agent区分不同的IE版本以及不同类型的客户端，要求客户端修改填写报文中User-Agent字段 1) User-Agent=IPASS 2) User-Agent=BOINGO 3) User-Agent=EHOME 4User-Agent=CDMA+WL

8、AN 5User-Agent=PDA 认证流程分析认证流程分析4、Http响应：XML格式Portal对请求3的响应，返回XML格式的内容，响应报文应包含字段参数如下：字段字段内容字段含义Message type Message type 100初始化重定向Access procedure 1HTTP版本Location Identifier String接入设备标识（BRAS）Location Name String热点名称Login URLhttps:/ p o r t a l 首 页 地 址 + 参 数 ）（portal首页地址+参数）登陆链接Abort Login URL 空Respo

9、nse 0响应报文代码认证流程分析认证流程分析5、 Post：认证请求 客户端向login URL发起安全的http post请求，post报文包含如下参数：字段字段名称字段内容User NameUserNamestring,max size=”128”PasswordPasswordstring,max size=”128”Button Identifierbutton“Login”Form NameFNAME0（numeral zero）Origin ServerOriginatingServeroriginal server GET URL6、7、8、9认证请求遵循现有DHCP+WEB流

10、程； 分公司的Radius判别和转发国内漫游用户以及国际漫游用户的认证请求认证流程分析认证流程分析10、 认证响应：认证结果、Logoff URLPortal向客户端返回用户认证结果以及Logoff URL认证响应报文为XML格式，响应报文应包含字段参数如下Portal 需要实现BAS返回的认证成功或失败的代码和WISPr规范的响应结果代码Response Code之间的转换功功能 字段字段名称字段内容 Message type Message type 120认证响应报文 Response Code50认证成功100认证失败，密码错误102radius出错105没有配置radius serv

11、er255其它错误Reply messageAuthentication Success认证成功Invalid Password密码错误RADIUS Error服务器出错No Radius Server没有服务器Other Errors其它错误Logoff URLhttps:/ Code=50）Keep Alive0不支持心跳1支持心跳计费流程分析计费流程分析11、12遵循现有DHCP+WEB流程分公司的Radius判别和转发国内漫游用户和国际漫游用户的计费请求13、下线请求： get：Logoff URL客户端向Portal发起http get Logoff URL的下线请求14、15、16

12、、17遵循现有流程格式 分公司的Radius判别和转发国内漫游用户和国际漫游用户的计费请求下线流程分析下线流程分析18、下线请求响应： 响应下线结果Portal向客户端返回Http下线响应结果，报文为XML格式，响应报文包含以下字段参数Portal 需要实现BAS返回的计费结束成功或失败代码和WISPr规范的响应结果代码Response Code之间的转换功能；字段字段名称字段内容Message type Message type 130下线响应报文Response Code150下线成功255下线失败目录目录u一、背景与目标一、背景与目标u二、二、WISPr介绍介绍u三、主要业务流程三、主要

13、业务流程u四、异常下线处理四、异常下线处理u五、五、XML模板和案例模板和案例u六、相关系统要求六、相关系统要求几种几种WLAN用户漫游异常下线用户漫游异常下线u国外电信运营商用户漫游到国内u中国电信用户漫游国内漫游，国际漫游）国外电信运营商用户漫游到国内国外电信运营商用户漫游到国内u三种方式解决用户异常下线问题：u 1、设置Idle-timeout Radius属性，由用户开户地的Radius系统返回一个idel-timeout的属性值，该值在BRAS生效后，BRAS将监测该上线用户的数据流，当用户有idel-timeout指定的时间没有上网的数据流量时，自动断线；（引荐）u 2、BRAS通

14、过ARP报文检测，当用户端在指定时间段内没有ARP报文，则表示用户已断线，BRAS将发起用户下线的流程；u 3、通过设置DHCP的租期，在给用户端动态分配IP地址时指定IP地址的有效时间，过了有效时间客户端需要重新申请IP地址，当用户异常下线后，IP地址超过有效期失效，BRAS自动将用户断线；u注：这三种方式可以避免用户异常下线时，计费系统产生长话单的问题。但由于BAS不会将用户下线请求发送给Portal和用户客户端，导致用户不能直观的感知异常下线。中国电信用户漫游中国电信用户漫游u国内中国电信用户漫游国内漫游，国际漫游）u国际漫游u此时，如果国外运营商的Radius系统设置有默认的Idle-

15、timeout时，系统将采用其默认的断线时间；如其没有设置,则由国内的Radius服务器向国外运营商发送idle-timeout属性解决uidle-timeout属性的发送有两种解决方案：1、在省Radius认证服务器上实现，需要对各省的Radius服务器进行改造，使之能够支持idle-timeout属性的功能；2、在全国Radius服务器上实现，需要对全国Radius服务器进行改造，使之能够支持idle-timeout属性的功能。u国内漫游u因为用户使用客户端软件，就不存在用户关闭浏览器后就自以为下网的误解 u用户如果在客户端点击下网按钮或关闭客户端，客户端就自动向portal发logOff

16、下线 u如果客户端软件死掉了这种情况是特例）， BRAS通过ARP报文检测，当用户端在指定时间段内没有ARP报文，则表示用户已断线，BRAS将发起用户下线的流程目录目录u一、背景与目标一、背景与目标u二、二、WISPr介绍介绍u三、主要业务流程三、主要业务流程u四、异常下线处理四、异常下线处理u五、五、XML模板和案例模板和案例u六、相关系统要求六、相关系统要求XML模板模板uXML模板模板-XML Schema双击图标WISPr 例子例子u1、用户客户端发出、用户客户端发出http getport 80任意任意URL请求至请求至BASuGET / /1.04、Portal对对请求请求3的响应

17、，返回的响应，返回XML格式的内容格式的内容Redirect Reply 1.012ACMEWISP,Gate_14_Terminal_C_of_Newark_Airportwlan.ct10000/login/ct10000/abortlogin/1000 5、 Post：认证请求：认证请求Authentication Request client via SSLPOST /process /1.0button=Login&UserName=WISP1/josephcompany&Password=xxxxx&FNAME=0&OriginatingServer

18、=xxx.yyy.zzz.eee/10、 认证响应认证成功）认证响应认证成功）Authentication Reply (Login Successful)12050AuthenticationSuccess ct10000/loginresults/ct10000/logoff/110、 认证响应认证失败）认证响应认证失败）Authentication Reply (Login rejected)120100Invalid Passwordwlan.ct10000/loginresults/wlan.ct10000/logoff/110、 认证响应认证响应Radius出错）出错）Authen

19、tication Reply (Login failed unexpected RADIUS protocol error) 120102RADIUS Errorwlan.ct10000/loginresults/ wlan.ct10000/logoff/ 110、 认证响应其他错误）认证响应其他错误）Authentication Reply (Login failed internal access gateway error)120255Access Gateway Erroracmewisp/loginresults/ wlan.ct10000/logoff/113、下线请求：、下线请求

20、： get：Logoff URLClient-initiated Connection Termination (logoff) of Authenticated UserGET Logoff_URL 18、Portal对下线请求的响应下线成功）对下线请求的响应下线成功）Logoff Reply(Logoff Successful)13015018、Portal对下线请求的响应下线失败）对下线请求的响应下线失败）Logoff Reply (Logoff failed Access Gateway internal error)130255目录目录u一、背景与目标一、背景与目标u二、主要业务流程

21、二、主要业务流程u三、异常下线处理三、异常下线处理u四、四、XML模板和案例模板和案例u五、相关系统要求五、相关系统要求相关系统要求相关系统要求BAS、RADIUSu各省各省BAS设备设备u 国外用户漫游到国内时，国外用户漫游到国内时，BAS需启用需启用Idle-timeout功能，以支持国外用户异常下线。功能，以支持国外用户异常下线。u各省各省Radius平台平台u中国电信用户出访国外时，需支持中国电信用户出访国外时，需支持Idle-timeout 属性，向国外运营商发出带有属性，向国外运营商发出带有Idle-timeout 属性的报文属性的报文u（如果全国中心（如果全国中心Radius平台

22、支持平台支持Idle-timeout 属性发送，则各省属性发送，则各省Radius无需改动）无需改动）u全国中心全国中心Radius平台平台u中国电信用户出访国外时，需支持中国电信用户出访国外时，需支持Idle-timeout 属性，向国外运营商发出带有属性，向国外运营商发出带有Idle-timeout 属性的报文属性的报文u（如果各省（如果各省Radius平台支持平台支持Idle-timeout 属性发送，则全国中心属性发送，则全国中心Radius无需改动）无需改动）相关系统要求相关系统要求Portal系统系统u各省Portal系统u支持以XML格式返回对客户端发起http get Login URL请求进行响应，包含如下字段内容：Message type、 Access procedure 、Location Identifier 、Location Name 、Login URL、Abort Login URL 、Response；u支持根据客户端发起的http get Login URL请求报文中的User-Agent字段识别不同类型的客户端，将相应帐户信息转发至AAA进行认证转发；u支持以XML