中国移动通信企业标准QB-D-028-2008中国移动W L A N 用户接入流程技术规范（W E B ）版本号：2.0.0中国移动通信有限公司 发布2008-4-2发布 2008-4-2实施T e c h n i c a l S p e c i f i c a t i o n F o r C M C C W L A NU s e r A c c e s s (W E B )目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (2)4. WEB认证系统结构 (2)5. WEB用户接入流程 (3)6. WEB用户下线流程 (5)7. 协议 (7)8. 协议参数 (8)9. WEB认证安全问题 (10)10. 编制历史 (10)附录A详细修订历史 (11)附录B WLAN接入设备编号 (11)附录C WLAN接入设备编号中PRO字段的代码分配 (11)附录D计费要求 (12)前言本标准的目的是制定中国移动基于WEB方式的WLAN用户接入规范和协议。

本标准主要包括以下几方面内容：WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等。

本标准的附录B、C、D为标准性附录，附录A为资料性附录。

本标准由中移有限技〔2008〕49号印发。

本标准由中国移动通信有限公司技术部提出并归口。

本标准由标准归口部门负责解释。

本标准起草单位：中国移动通信有限公司研究院本标准主要起草人：吕志虎，黄宇红，周文辉，邵春菊1.范围本标准规定了中国移动基于WEB方式的WLAN用户接入规范和协议，主要包括WEB认证系统结构，基于WEB方式的WLAN用户接入流程，基于WEB方式的WLAN用户下线流程，协议，协议参数，WEB认证安全等内容，供中国移动内部和厂商共同使用；根据中国移动WLAN业务总体技术要求制定，适用于中国移动WLAN业务采用WEB认证方式时遵循的标准。

2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

表2-1 规范性引用文件[1] 1999Edition[ISO/IEC8802-11: 1999] Standards for Local and Metropolitan AreaNetworks-Wireless LAN Medium AccessControl(MAC) and Physical Layer(PHY) Specifications.IEEEStd.802.11[2] 1999Edition[ISO/IEC8802-11: 1999] Standards for Local and Metropolitan AreaNetworks-Part11:Wireless LAN Medium AccessControl(MAC) and Physical Layer(PHY) Specifications: High-Speed Physical layerExtension in the 2.4GHz Band.IEEEStd.802.11b[3] 2001 Recommended Practices for Multi-Vendor AccessPoint Interoperability via Inter-Access PointProtocol across Distribution Systems supportingIEEE P802.11 operation. IEEEP802.11f[4] 2001 Standards for Local and Metropolitan AreaNetworks-Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC) andPhysical Layer (PHY) specifications: MediumAccess Method (MAC) Security Enhancements. IEEE 802.11i[5] RFC 2865 Remote Authentication Dial In User Service(RADIUS), C.Rigney, S.Willens, A.Rubens,W.Simpson, June 2000.IETF[6] RFC 2866 RADIUS Accounting, C.Rigney, June 2000. IETF[7] RFC 2869 RADIUS Extension, C. Rigney, W. Willats, P.Calhoun, June 2000.IETF[8] RFC2131 Dynamic Host Configuration Protocol. R. Droms.IETFMarch 1997.IETF[9] RFC2132 DHCP Options and BOOTP Vendor Extensions. S.Alexander, R. Droms. March 1997.IETF [10] RFC1945 Hypertext Transfer Protocol -- HTTP/1.0. T.Berners-Lee, R. Fielding, H. Frystyk. May 1996.IETF [11] RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1. R.Fielding, J. Gettys, J. Mogul, H. Frystyk, L.Masinter, P. Leach, T. Berners-Lee. June 1999.IETF [12] RFC2246 The TLS Protocol Version 1.0. T. Dierks, C.Allen. January 1999.[13] 《中国移动WLAN业务总体技术要求》中国移动通信集团公司3.术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1 缩略语定义词语解释AP Access PointAC Access ControllerDHCP Dynamic Host Configuration ProtocolDNS Domain Name ServiceHTTP Hyper Text Transport ProtocolNAI Network Access IdentifierRADIUS Remote Authentication Dial In User ServiceWLAN Wireless Local Area NetworkAAA Authentication，Authorization，AccountingSSL Secure Sockets LayerCHAP Challenge Handshake Authentication Protocol4.WEB认证系统结构基于WEB认证方式，是以AC/SC作为WLAN用户接入认证点。

图4.1给出了基于WEB方式的帐号/口令认证系统结构。

图4.1 基于WEB方式的帐号/口令认证系统结构•WLAN用户终端WLAN用户终端要求安装802.11b/g无线网卡和WEB浏览器软件。

•WLAN接入点（AP）AP用于WLAN用户的无线接入。

•WLAN业务用户接入认证点和业务控制点（AC/SC）作为WLAN业务用户接入认证点，AC检查连接用户是否已经通过用户认证，并和后台WLAN WEB认证服务器协同工作完成对WLAN用户的认证。

同时，作为业务控制点，用于用户在WLAN 接入过程中的业务控制，包括强制PORTAL等。

•PORTAL服务器完成向WLAN用户推送认证页面和门户网站。

•RADIUS用户认证服务器RADIUS用户认证服务器完成基于WEB方式的用户认证。

5.WEB用户接入流程WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。

用户接入认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。

图5.1给出了WEB用户CHAP认证接入流程。

图5.1 用户WEB接入流程流程描述：1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址。

2）用户打开IE，访问某个网站，发起HTTP请求。

3）AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

并在强制Portal URL中加入相关参数，具体请参见《中国移动WLAN业务PORTAL协议规范》。

4）Portal服务器向WLAN用户终端推送WEB认证页面。

5）用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。

6）Portal服务器接收到用户信息，向Radius发出用户信息查询请求。

7）Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。

8）如查询成功，Portal服务器按照CHAP流程向AC请求Challenge。

如果查询失败，Portal直接返回提示信息给用户，流程至此结束。

9）AC返回Challenge，包括Challenge ID和Challenge。

10）Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。

11）AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS 用户认证服务器，由中央RADIUS用户认证服务器进行认证。

12）中央RADIUS服务器根据用户信息判断用户是否合法（对于省内预付费卡用户，还需要判断用户接入地和归属地是否一致）。

RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。

如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。

如果两次都失败，RADIUS向AC返回认证失败报文。

13）AC返回认证结果给Portal服务器。

（以及相关业务属性。

）14）Portal服务器根据认证结果，推送认证结果页面。

如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。