rg-smpess连wifi认证白皮书归属计费事业部

WiFi认证技术白皮文 ：：修订记录4新增8）“ 5更新常见故障描述（整合MCP之前的相应连WiFiPC扩 连 配置步前言本文介绍SMP/ESS的WEB准入之 获得消息回复的机制，SMP/ESS把认证上网的URL通过消息回复的方式发给终端 关键认证 术EasySecuritySystemAccessController修订记录前言产生背景应用场景银行排队办理业务商户关注业务实名审计涉及产品版本信息SMP/ESS服务器无线设备锐捷AC产品友商AC产品连WiFi简述基本原理认证流程上线流程保活认证配置设备配置配置SMP配置客户端连网过程报文实例连WiFi认证概产生背景 （wechat）是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用 、和文字，同时，也可以使用通过共享流内容的资料和基于位置的社交插件“”、“漂提供公众平台、、消息推送等功能，用户可以通过“”、“搜索号码”、“附近的人”、扫方式添加好友和平台，同时将内容给好友以及将用户看到的内容分享到。截至2013年11月用户量已经突破6亿，是亚洲地区最大用户群体的移动即时通讯软件。公众账号是专注于公众帐号普及和推广的导航，2012年11月上线以来通过用户提交方式收集了大量优秀的公众帐号。每月收录各种帐号上千个，平台向所有公众帐号免费开放。只要是公众帐号都可以提交发布在Weixin199公众帐号平台上，让3亿的用户一起来关注你。及时更新收录、、、、、趣玩、时尚、生活、健康、旅游、影音等分类的信息，让用户对公众帐号的查找关注更简单方便。人们在外就餐、购物消费、休闲、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种。商家企业通过提供易用的无线网络不仅可以使顾客方便的互联网，也可以使顾客驻足停留吸引人气增加消费。通过收集用户的信息进行相应的。如何在满足需求的情况下，又能够保证入网的安全，以及带来额外的营收，是我们用户认证解决方案的通过关注得到了各大国企、普户、私企的高度关注，各企业为了吸引粉丝，招揽客户，往往把作为提供免费上网的前提条件。通过招揽到群体，再借助的推广功能将商户的信息推广给群体。应用场景 注银行的即可免费享受WLAN上网服务，可以使等待的时间更容易打发，避免感到不耐烦或因排队太久而焦急。从而也可让客户通过了解银行业务、产品、理念、文化价值等，提供客户对银行的认知和例如，餐饮业客户在门店都会驻留一定的时间，客户在用餐的同时具有发说说、浏览、发博客等需求，希望可以通过WiFi上网节省收集自带的流量。商户的免费上网的宣传画，或者人员告知客户可通过 82要求上网行为必须进行实名审计，那么对于通过 进行的WiFi认证，如何审计者的OpenID（加密后的 ）。每个用户对每个的OpenID是唯一的，对于不同，同一用户的openid不同。 无法通过主流的IP、MAC控制及流量日志了解到是谁在什么时候在那些站点进行了哪些违法的事件。因此对于商家来说，Wi-Fi网络在提升服务的同时，却伴随着巨大的法律风险：82带来的巨而SMP2.68 连WiFi上网不仅保留了 APP上网（认证成功后需用户手动关注， 3.0接 涉及产品版本信SMP/ESS服务 在本方案中，SMP(SecurityManagementPlatform安全管理平台)以及ESS（EasySecuritySystem易安全系统）实现RADIUS服务器功能，支持添加AC设备，和AC设备进行RADIUS认证和记账、Portal 认证配置，用户管理、认证失败日志管理、上网历史管理，上网权限控制管理等；并内置了Portal功能，直接提供WEB页面认证服务，包括 连wifi认证、 连WiFiRG-SMP_2.66(T1)RG-SMP_2.68RG-ESS_1.68无线设备 ACAC支持中移动Portal协议H3CACAP组合产品。支持AC6005产品SMP2.63（b2）及之后版本才开始支持《中移动PORTAL协议规范v2.2.0.doc》。当前内测2款 version5.20,2607P18、H3C Version5.20, 有CMCC命令，即代表支持。下面令都存在即代表支持。 提示 连WiFi功能WiFi认证流/简 连WiFi旨在为客户提供一键连网的服务，顾客连上后，在呼起的portal页面内点击“连Wi-Fi”按钮，即可便捷地获取上网能力，并在连网过程中默认关注商家。基本原理 SMP通过在portal页面中JSAPI，让portal页面具备呼起的能力，并将认证地址及认证参数信息传递给客户端。由客户端发起认证请求，传入认证参数以及openid，SMPopenid做为用户名（通过认证的，将以昵称作为用户的）生成用户信息，与接入设备进行内部认证流程，并将认证结果回传给客户端。 认证流程 用 浏览

弹出用弹出连自动弹出浏览连2.5弹出portal页

请重定向2.3携带认证参数请求Portal页返回portal页面包含字段（appId,extend,timestamp,sign,shop_id,authUrl,mac,,b点 连Wifi按

呼

换取呼 返回呼 核对信息获取用点击3.6点击

连Wifi

返回用点击连向AuthUrl发起认证请SMP与AC内部认点击“立即连接”，完点击“立即连接”，完成认证过4.4判断http返回

连Wifi成功页

向302地址发起请返回结

连Wifi成功页

连Wifi失败页

http:其发起请 用户点击 portal页面上的js调 的呼 调 是商 是extend，最终将透传给运营是是是 是认证服务端URL， 否b否mac17sign=MD5(appId+extend+timestamp+shop_id+authUrl+mac++b+用 浏览

用户自动弹出浏览请弹出弹出portal弹出

重定向携带认证参数请求Portal页2.4返回portal页面包含字段 JSAPI生连等待openid和 埋连3.1使 扫3233校 信展示确认页点击确认按

确认认3.10展示确认成功页

39确认成功页

埋入openid和扫拿到openid和tid，jsapi轮询结扫请求放行设，完成认SMP与AC，完成认放行设备成展示连接成功页发起请 轮 用户使 用户使 app解 、 二二代portal流量保流量检测不符合要下线请求（portal协议下线响应（portal协议 记账响应（radius协议SMPACSMP注意：设备在一定时间内（2分钟）SMPPortal报文，不会进行重发，直接关闭该用户的上网通道，将其下线，并同步告知RadiusServer(SMP)服务器。认证配置 EG3、SMPAC4、AC设备上配置的Web认证Key与SMP上配置的设备模板中的Web认证Key需一致，认证地址 连WiFi认证URL，例如wxWiFiportal Ruijie(config)#wlan-configRuijie(config)#wlan-config16hujq-webRuijie(config)#ap-groupdefault 11ap-wlan-idRuijie(config)#web-authtemplatehujqv2Ruijie(config.tmplt.hujq)#ip69 Ruijie(config)#aaagroupserverRADIUShujqRuijie(config-gs-RADIUS)#server69Ruijie(config)#RADIUS-serverhost69keyruijieRuijie(config)#snmp-servercommunityruijierwRuijie(config)#webportalkeyRuijie(config)#aaaRuijie(config)#aaaaccountingupdateperiodicRuijie(config)#aaaaccountingnetworkhujqstart-stopgrouphujqRuijie(config)#aaaauthenticationweb-authhujqgrouphujqRuijie(config)#aaaauthenticationdot1xhujqgroupRuijie(config-wlansec)#web-authportalhujq Ruijie(config)#Ruijie(config)#web-ctrlfree-authRuijie(config)#free-urlurl Ruijie(config)#free-urlurl Ruijie(config)#free-urlurls Ruijie(config)#free-urlurlq Ruijie(config)#free-urlurlszs //Ruijie(config)#Ruijie(config)#httpredirectadapter//webRGOS11.1(5)B8开 连 ，输入登录账号和进入 连WiFi功能，通过“增加功能插件”选择 连WiFi功新增门连WiFi功能开启成功后，点击“门店管理”->“新建门店”，输入日志等信息导入门店信息，进添加设点击 进入设备添加页面后，选择设备所属的门店，添加“Portal型设备”，并标注实际的，请 门店最多添加100个不同的设备）获取AppID以及 SMP添加设进入认证管理>管理设备，在SMP的管理设备页面点击“添加”，添加AC设备。如下图所示配 进入认证管理>WEB认证配置 连WiFi配置，配置如下图所示AppId以及AppSecret：用于与 连WiFi 内配置的门店必须与实际AP端放出的一致；且一个接入设备只客户端连网过 连WiFi引导页 连WiFi目前不会强制 3、扫一扫 4、 报文实例 WiFi不支持的功能 连WiFi不支持WiFidog协议，因为与认证服务器只允许交互一次，WiFidog协议需Web验证仅支持用户Portal认证，ESA客户端认证、认证、免认证、认证、扫描认证、名片认证、码认证、连WIFI认证不支持。免认证，认证，扫描认证、名片认证、码认证、连WIFI认证，这几种认证方式不需要输入用户，请不要配置用户管理策略。包括：启用初始化检测；启用复杂度检测；启用有效期检测。连WIFI暂未支持上线公告及认证成功页面定制化，仅支持认证前推送终端类型AC识别，使用时请注RG-SMP2.68/RG-ESS1.68版本暂时不支持连wifi用户时用户为昵称中含有不支持单个同时给多个系统使用的场景；连WiFi时使用的同时有多个系统使用时，由于多个系统同时在刷新获取token值，会导致SMP/ESS获取的token值失效，导致用户连WiFi认证失败 常见故障描 多系统同时使用时，导致SMP获取的 token信息过期，无法获取nickname字段 限获取nickname 户；SMP获取不到nickname时，用户时用户为解决方案：认证终端点击 连WiFi登录页面，用户点击“一键打开 连WiFi” 浏览器兼容新问题（部分安卓兼容新问题）或设备端未放通 确认在未进行登录的情况下，可以打开 确认设备版本：支持RGOS11.1(5)B8版本以及之后版本 Ruijie(config)#web-ctrlfree-authRuijie(config)#free-url Ruijie(config)#free-url Ruijie(config)#free-urlurl Ruijie(config)#free-urlurl Ruijie(config)#free-urlurl DNS 推荐浏览器：使用UC浏览器苹果自动弹窗时点击“一键打 连 认证认证失败，提示“网络连接失 现象：苹果认证认证失败，提示“网络连接失败 原因：IOS终端临时放行出现问题，IOS系统如果发现网络不Wi-Fi会被切到移动数据网络，导致连网失败。解决方案：ACRuijie(config)#httpredirectadapter用户点击“一键打 失败，提示“Invalidsign 若提交的secretKey与 MP平台的secretKey不一致，则会报上图提示。上配置 MP平台上的一致若一直运行稳定，突然出现大批量的出现此类错误，则MP平台查看secretKey是否存 secretK