中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动W L A N用户接入流程技术规范（W E B）T e c h n i c a l S p e c i f i c a t i o n F o rC M C C W L A N U s e r A c c e s s(W E B)版本号：3.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (2)4 WEB认证系统结构 (3)5 WEB用户接入流程 (4)6 WEB用户下线流程 (7)7 定期自动认证流程 (9)8 用户在线冲突处理流程 (14)9 协议 (16)10 WEB认证安全问题 (16)11 编制历史 (16)前言本标准的目的是制定中国移动WLAN用户接入流程技术规范_WEB。

本标准包括的主要内容，或修订的主要内容。

本标准是系列标准之一，该系列标准的结构、名称或预计的名称如下：本标准需与配套使用。

本标准的附录为标准性附录，附录为资料性附录。

本标准由中移号文件印发。

本标准由中国移动通信集团计划部提出，集团公司技术部归口。

本标准起草单位：中国移动通信有限公司研究院本标准主要起草人：周博、邵春菊、吕超源、杨光、刘佳1范围本标准规定了中国移动WLAN用户接入流程技术规范_WEB，主要包括WEB认证系统结构、WEB用户接入流程、WEB用户下线流程、协议、协议参数及WEB认证安全问题等，供中国移动内部和厂商共同使用；适用于和中国移动通信集团开展WLAN业务相关的各项技术和业务规范，作为中国移动通信集团进行WLAN业务系统建设，业务开发，维护和管理的技术依据。

对本标准内容作如下约定：（1）本标准中的功能要求，优先级分为基本和可选。

各项要求中明确了相应的优先级。

功能要求以外的要求，如无特殊说明，优先级均为基本。

（2）对于优先级的说明：a)必须支持：最基本的需求，一旦缺少则网络难以运行或提供业务；b)有条件支持：无需对全网要求，但在某些应用场景下很重要；c)可选支持：长期重点关注的需求，对改善网络性能以及节省网络运营成本有帮助的、并且有利于后期业务发展和网络建设的功能。

2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

3术语、定义和缩略语下列术语、定义和缩略语适用于本标准：表3-1 缩略语4WEB认证系统结构基于WEB认证方式，是以AC/SC作为WLAN用户接入认证点。

图4-1给出了基于WEB方式的帐号/口令认证系统结构。

图4-1 基于WEB方式的帐号/口令认证系统结构•WLAN用户终端WLAN用户终端要求安装802.11b/g无线网卡和WEB浏览器软件。

•WLAN接入点（AP）AP用于WLAN用户的无线接入。

•WLAN业务用户接入控制器（AC）作为WLAN业务用户接入认证点，AC检查连接用户是否已经通过用户认证，并和后台WLAN WEB认证服务器协同工作完成对WLAN用户的认证。

同时，作为业务控制点，用于用户在WLAN 接入过程中的业务控制，包括强制PORTAL等。

•PORTAL服务器完成向WLAN用户推送认证页面(支持电脑和手机终端格式)。

•RADIUS用户认证服务器RADIUS用户认证服务器完成基于WEB方式的用户认证。

5WEB用户接入流程WEB用户接入流程包括DHCP地址分配、强制Portal、认证、中国移动门户网站推送、计费等。

用户接入认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能，PAP方式为可选功能。

图5-1给出了WEB用户CHAP认证接入流程。

图5-1 用户WEB接入流程流程描述：1）用户通过标准的DHCP协议，通过AC获取到规划的IP地址。

——上网的前提条件，dhcp流程必须熟知，故障定位2）用户打开IE，访问某个网站，发起HTTP请求。

——此动作完全由完全完成，在现网运维的时候，首先要检查的是否可以强制出URL（不一定打开网页，要打开网页，涉及到dns，路由等）。

现网使用出现问题最多的地方，即用户保存了原来的portal 页面，从而导致portal挑战失败。

原因是userip地址不一样了。

在判断现网的时候，必须注意这点。

3）AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

并在强制Portal URL中加入相关参数，具体请参见《中国移动WLAN设备接口规范》。

——必要的参数包括acname，userip，ssid，中太ac还可以提供uservlan，acip。

4）Portal服务器向WLAN用户终端推送WEB认证页面。

5）用户在认证页面上填入帐号、密码等信息，提交到Portal服务器。

6）Portal服务器接收到用户信息，向Radius发出用户信息查询请求。

7）Radius验证用户密码、查询用户信息，并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout)、手机用户及卡用户的套餐剩余时长信息(AvailableTime)。

8）如查询成功，Portal服务器按照CHAP流程向AC请求Challenge——0101报文。

如果查询失败，Portal直接返回提示信息给用户，流程至此结束。

——结合上面两步，请思考如果用户名或者密码错误，ac上是否可以收到有关portal或者radius的任何报文，ac是否有认证过程？9）AC返回Challenge，包括Challenge ID和Challenge。

——0102报文，这个报文会返回5种情况，debug exportal会看到，现网调试必要手段。

10）Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Password，和帐号一起提交到AC，发起认证。

——0103报文11）AC将Challenge ID、Challenge、Challenge-Password、Called-Station-ID和帐号一起送到中央RADIUS用户认证服务器，由中央RADIUS用户认证服务器进行认证。

12）中央RADIUS服务器根据用户信息判断用户是否合法。

RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。

如果其中一次成功，RADIUS向AC返回认证成功报文，并携带协议参数，以及用户的相关业务属性给用户授权。

如果两次都失败，RADIUS向AC返回认证失败报文。

13）AC返回认证结果给Portal服务器。

（以及相关业务属性）——0104报文14）Portal服务器根据认证结果，推送认证结果页面。

如果成功，根据编码规则判断帐户的归属地，推送归属地定制的个性化页面，并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面，和门户网站一起推送给客户,同时启动正计时提醒。

如果失败，页面提示用户失败原因。

15）Portal服务器回应AC收到认证结果报文。

如果认证失败，则流程到此结束。

——0107报文16）认证如果成功，AC发起计费开始请求给中央RADIUS用户认证服务器。

17）中央RADIUS回应计费开始响应报文，并将响应信息返回给AC。

用户上线完毕，开始上网。

18）在用户上网过程中，为了保护用户计费信息，每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息，包括当前用户上网总时长，以及用户总流量信息。

19）中央RADIUS计费服务器回应实时计费确认报文给AC。

20）当AC收到下线请求时，向RADIUS用户认证服务器发计费结束报文。

21）中央RADIUS计费服务器回应AC的计费结束报文。

6WEB用户下线流程WEB用户下线流程包括用户主动下线和异常下线两类情况。

异常下线指AC侦测到用户下线。

图6-1给出了用户主动下线流程。

图6-1 用户WEB接入流程－正常下线流程1）当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。

2）Portal服务器向AC发起下线请求。

——0105报文3）AC返回下线结果给Portal服务器。

——0106报文4）Portal服务器根据下线结果，推送含有对应的信息的页面给用户。

5）当AC收到下线请求时，向中央RADIUS用户认证服务器发计费结束报文。

——注意stop报文中是带有下线原因属性（49）的，要学会看报文。

6）中央RADIUS用户认证服务器回应AC的计费结束报文。

图6-2给出了当AC侦测到用户异常下线时的下线流程。

图6-2 AC侦测WLAN用户异常下线流程1）AC侦测到用户下线，向Portal服务器发出下线请求。

——0108报文2）Portal服务器回应下线成功。

——0106报文3）当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。

4）中央RADIUS计费服务器回应AC的计费结束报文。

图6-3给出了AC强制用户下线时的流程。

图6 3 用户强制下线流程1)AC侦测到用户的本次连接最大允许接入时间结束，向Portal服务器发出下线请求。

2)Portal服务器回应下线成功,并向用户推送下线结果页面。

3)当AC收到下线请求时，向中央RADIUS计费服务器发计费结束报文。

4)中央RADIUS计费服务器回应AC的计费结束报文。

图6-4给出了AC根据Radius下发的DM（Disconnect Messages）消息强制用户下线时的流程。

详见RFC3576。

图6-4 AC根据DM消息强制用户下线流程1)Radius向AC下发Disconnect-Request消息。

2)AC向Portal服务器发出下线请求。

3)Portal服务器回应下线成功,并向用户推送下线结果页面。

4)AC向Radius回应Disconnect-ACK下线成功。

5)AC向中央RADIUS计费服务器发计费结束报文。

6)中央RADIUS计费服务器回应AC的计费结束报文。

如AC踢用户下线失败，则向Radius回应Disconnect-NAK。

7定期自动认证流程定期自动认证流程包括开通流程、有效期内用户自动认证登录流程、取消定期自动认证流程。

图7-1给出了用户开通定期自动认证服务的流程。

图7-1 用户开通定期自动认证服务的流程1、终端关联AP后，AC设备通过DHCP协议为终端分配IP地址；2、终端发起HTTP业务请求；3、AC截获用户的HTTP请求，由于用户没有认证过，就强制到Portal服务器。

并在强制Portal URL中加入相关参数，具体请参见《中国移动WLAN设备接口规范》；4、Portal服务器向WLAN用户终端发送HTTP响应，其中包含WEB认证页面的地址（WEB页面可分为多个子框架，每个子框架对应一个URL地址，其中包含“用户名/密码”登录选项的子框架，需采取HTTPS请求，其余子框架采取HTTP请求），WEB页面提供开通自动登录服务选项；5、用户在认证页面上填入用户名、密码信息，并选择开通自动登录服务，以HTTPS POST 方式提交到Portal服务器；6、Portal服务器接收到用户信息，判断用户本次登录是否选择了开通自动登录服务，如选择，则向Radius服务器发送用户信息查询请求时，AutoAuthenInfo字段的值为1；如未选择，则AutoAuthenInfo字段的值为空；7、Radius验证用户名/密码，并查询用户信息。