《WLAN认证计费流程》由会员分享,可在线阅读,更多相关《WLAN认证计费流程(32页珍藏版)》请在金锄头文库上搜索。
1、Portal应用与WLAN认证计费流程,北京邦讯技术有限公司 2010.7,WLAN系统与认证计费系统,WLAN用户接入认证计费流程,大纲,河南移动配置实例,Portal应用(WEB认证)定义,GO,Portal应用(WEB认证)定义,WEB认证,顾名思义是用户通过登录WEB页面来进行认证,达到接入应用系统的目的,是目前运营商主流的认证方式之一。在WEB认证方式里,主要需要使用Portal服务器(定制WEB页面)和Radius服务器(用户认证和计费)。目前国内主流的Portal产品有:IBM WebSphere Portal、Bea WebLogic Portal、Oralce Portal、
2、华为 Portal。,WEB认证,Portal服务器,Portal服务器的主要功能有强制Portal、认证页面推送、用户认证、门户网站推送、用户自服务、下线通知等。用户通过WEB浏览器发起Internet访问请求后,接入控制器可以将该请求强制到Portal服务器, Portal服务器接收强制Portal请求,向用户推送符合要求的认证页面。 Portal服务器接收用户认证请求信息后,向接入控制器发起用户认证过程, WLAN用户认证成功后,由Portal服务器向用户推送门户网站页面。用户上网结束后,可以使用Portal功能通知接入控制器用户下线;当接入控制器侦测到用户下线或者主动切断用户连接时,也
3、能告知Portal服务器。,一个Portal处理流程1. 一个客户端(例如:一个WEB浏览器)在被验证之后向Portal发出HTTP请求; 2. Portal(或称为Portal Server)接收到请求; 3. Portal判断请求是否包含与组成门户网站网页的portlet有关的动作; 4. 如果存在与某个portlet相关的动作,Portal请求portlet容器调用portlet处理动作; 5. Portal通过portlet容器调用portlet,获得被包含在产生的门户网站网页中的内容片段; 6. Portal将portlet产生的结果聚集于门户网站的网页,然后将网页返回至客户端。,P
4、ortal处理流程,Radius服务器主要负责对用户进行认证计费功能,Radius客户端和Radius服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。Radius协议合并了认证和授权过程,即响应报文中携带了授权信息。 基本交互步骤如下: (1) 用户输入用户名和口令; (2) Radius客户端根据获取的用户名和口令,向Radius服务器发送认证请求包(access-request)。 (3) Radius服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给Radiu
5、s客户端;如果认证失败,则返回access-reject 响应包。 (4) Radius客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则Radius客户端向radius 服务器发送计费开始请求包(accounting-request),status-type 取值为start; (5) Radius服务器返回计费开始响应包(accounting-response); (6) Radius客户端向Radius服务器发送计费停止请求包(accounting-request),status-type 取值为stop; (7) Radius服务器返回计费结束响应包(accounting-
6、response)。,Radius服务器,用户接入WLAN系统后,通过AC定向到Portal服务器上进行认证。,WLAN系统基本网络架构,WLAN系统基本网络架构图,GO,WLAN系统与认证计费系统,WEB认证系统结构基于WEB认证方式,是以AC/SC作为WLAN用户接入认证点。,基于WEB方式的帐号/口令认证系统结构图,WEB认证系统结构,WLAN用户终端 WLAN用户终端要求安装802.11b/g无线网卡和WEB浏览器软件。WLAN接入点(AP) AP用于WLAN用户的无线接入。WLAN业务用户接入认证点和业务控制点(AC/SC) 作为WLAN业务用户接入认证点,AC检查连接用户是否已经通
7、过用户认证,并和后台WLAN WEB认证服务器协同工作完成对WLAN用户的认证。同时,作为业务控制点,用于用户在WLAN接入过程中的业务控制,包括强制PORTAL等。PORTAL服务器 完成向WLAN用户推送认证页面和门户网站。RADIUS用户认证服务器 RADIUS用户认证服务器完成基于WEB方式的用户认证。,WEB认证系统结构,描述: 方案为运营商常用认证计费方案。用户无需按照任何客户端软件即可完成认证计费,方便用户使用和运营商部署。特点: WEB认证。 用户无需客户端软件。 无需建设新的认证计费系统。 可根据不同的用户群体选择不同的认证方式。,WEB认证整体方案,描述:方案实现了不同域用
8、户采用不同计费方式的架构。用户无需按照任何客户端软件即可完成认证计费,方便用户使用和运营商部署。特点: WEB认证。 用户无需客户端软件。 无需建设新的认证计费系统。 可根据不同的用户群体选择不同的认证方式。 不同域用户不同计费方式。,WEB认证整体方案,省内用户认证计费,省内/全国用户认证计费,WEB用户接入流程,流程描述,1.用户通过标准的DHCP协议,通过AC获取到规划的IP地址。 2.用户打开IE,访问某个网站,发起HTTP请求。 3.AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。 4.Portal服务器向WLAN用户终端推送WEB认证页面。 5.用户在认
9、证页面上填入帐号、密码等信息,提交到Portal服务器。 6.Portal服务器接收到用户信息,向Radius发出用户信息查询请求。 7.Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长(SessionTimeout) 。 8.如查询成功,Portal服务器向AC请求Challenge。如果查询失败,Portal直接返回提示信息给用户,流程至此结束。 9.AC返回Challenge,包括Challenge ID和Challenge。 10.Portal将密码和Challenge ID及Challenge做MD5算法后的Challenge-Pass
10、word,和帐号一起提交到AC,发起认证。 11.AC将Challenge ID、Challenge、Challenge-Password和帐号一起送到中央RADIUS用户认证服务器,由中央RADIUS用户认证服务器进行认证。 12.中央RADIUS服务器根据用户信息判断用户是否合法(对于省内预付费卡用户,还需要判断用户接入地和归属地是否一致)。 RADIUS对用户密码分别进行静态密码和动态密码两次密码认证。,如果其中一次成功,RADIUS向AC返回认证成功报文,并携带协议参数,以及用户的相关业务属性给用户授权。如果两次都失败,RADIUS向AC返回认证失败报文。 13.AC返回认证结果给Po
11、rtal服务器。(以及相关业务属性。) 14.Portal服务器根据认证结果,推送认证结果页面。如果成功,根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒。如果失败,页面提示用户失败原因。 15.Portal服务器回应AC收到认证结果报文。如果认证失败,则流程到此结束。 16.认证如果成功,AC发起计费开始请求给中央RADIUS用户认证服务器。 17.中央RADIUS回应计费开始响应报文,并将响应信息返回给AC。用户上线完毕,开始上网。 18.在用户上网过程中,为了
12、保护用户计费信息,每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息。 19.中央RADIUS计费服务器回应实时计费确认报文给AC。 20.当AC收到下线请求时,向RADIUS用户认证服务器发计费结束报文。 21.中央RADIUS计费服务器回应AC的计费结束报文。,流程描述,用户正常的上线流程(CHAP),1 用户访问网站,AC根据用户的MAC地址查找用户是否已经认证通过,若未通过则将用户重定向到Portal Server 2 Portal server推送统一的认证页面; 3 用户填入用户名、密码,提交页面,向Portal Ser
13、ver发起连接请求; 4 Portal向Radius发出用户信息查询请求,由Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息 如果查询失败,Portal结束认证流程,并直接返回提示信息给用户,指导用户开户及正确使用 6 如果查询成功,Portal Server向AC请求Challenge; (Req Challenge),7 AC分配Challenge给Portal Server(ACK Challenge) 8 Portal Server向AC发起认证请求;(Req Auth) 9 AC将用户Req Auth
14、报文封装为Radius报文,进行RADIUS认证,获得RADIUS认证结果; 10 AC向Portal Server送认证结果; 11 Portal Server根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒; 12 Portal Server回应确认收到认证结果的报文。,用户正常的上线流程(PAP),1 用户访问网站,AC根据用户的MAC地址查找用户是否已经认证通过,若未通过则将用户重定向到Portal Server; 2 Portal server推送统一的认
15、证页面; 3 用户填入用户名、密码,提交页面,向Portal Server发起连接请求; 4 Portal向Radius发出用户信息查询请求,由Radius验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息; 5 如果查询失败,Portal直接返回提示信息给用户,指导用户开户及正确使用;,6 如果查询成功,Portal Server向AC发起认证请求; 7 而后AC进行RADIUS认证,获得RADIUS认证结果; 8 AC向Portal Server送认证结果; 9 Portal Server根据编码规则判断帐户的归属地,推
16、送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒; 10 Portal Server回应确认收到认证结果的报文。,GO,WLAN用户接入认证计费流程,用户正常下线流程,用户正常下线流程,1.当用户需要下线时,可以点击认证结果页面上的下线机制,向Portal服务器发起一个下线请求。 2.Portal服务器向AC发起下线请求。 3.AC返回下线结果给Portal服务器。 4.Portal服务器根据下线结果,推送含有对应的信息的页面给用户。 5.当AC收到下线请求时,向中央RADIUS用户认证服务器发计费结束报文。 6.中央RADIUS用户认证服务器回应AC的计费结束报文。,用户异常下线流程,用户异常下线流程,1.AC侦测到用户下线,向Portal服务器发出下线请求。 2.Portal服务器回应下线成功。 3.当AC收到下线请求时,向中央RADIUS计费服务器发计费结束报文。 4.中央RADIUS计费服务器回应AC的计费结束报文。,AC强制用户下线流程,AC强制用户下线流程,
