《中国移动手机用户基于mac地址进行wlan认证方案》由会员分享,可在线阅读,更多相关《中国移动手机用户基于mac地址进行wlan认证方案(21页珍藏版)》请在金锄头文库上搜索。
1、中国移动科技创新成果推广材料,完成单位:山东移动,成果名称:手机用户基于MAC地址进行WLAN认证方案,01,成果研究类别:相关网络解决方案,省内评审结果:优秀,成果专业类别:数据网络,成果内容及推广价值介绍,一、项目背景和意义 二、技术实现方案 三、技术方案的关键点、难点和创新点 四、成果应用后主要效能分析,与应用前的比较(填写后续效能分析附表) 五、项目推广方式建议 六、项目推广投资和软硬件需求,项目背景和意义,随着WLAN建设的推进,山东公司的WLAN网络规模及用户规模逐渐增大。 山东公司的WLAN网络覆盖的热点区域越来越多。 目前具有WIFI功能的手机越来越多 这部分用户的数量远远超过
2、通过笔记本电脑上网用户的数量; 如果能够将这部分手机用户发展为WLAN用户,对于充分利用现有WLAN的资源,同时将增加WLAN业务收入; 手机用户上网一般为浏览网页,不需要高流量的数据,中国移动网络网络资源会让这部分用户有较好的上网体验。 由于手机用户WLAN上网时,认证比较麻烦,会影响用户的体验与兴趣。如何为日益增加的这类用户提供便捷的WLAN上网,是我公司面临的一个问题。 为此,山东公司开展了手机用户基于MAC地址进行WLAN认证方案研究及试点。,Page 4,技术实现方案,AP,WLAN AN,BRAS/AC,AAA Server,终端,MAC比对,终端捆绑,页面适配,短信模块,新增功能
3、,MSP,Page 5,技术实现方案方案简要描述,对现有的WEB认证系统进行改造,在现有Portal系统中新增比对系统,主要用于用户首次WEB认证成功后保存手机MAC地址、用户名/密码的对应关系。 用户后续上网时,比对系统将核查该用户MAC地址的有效性。若有效,将与该MAC地址对应的用户名/密码传递给BRAS,由BRAS发起认证,认证通过后该用户可以直接上网,同时向该用户发送认证通过提醒短信。 若有非法用户盗用合法用户的MAC地址进行上网,若认证通过后,合法用户会收到认证通过的提醒短信。合法用户判断该次上网为非法用户时,可以发送拒绝短信给BOSS系统,经BOSS系统解析后,通过接口通知WEB认
4、证系统中的3A服务器强制该非法用户下线,Page 6,技术实现方案主要接口说明,UE与Portal服务器/比对系统之间接口: Http协议,完成Portal认证,本方案不需修改; BRAS/AC与Portal服务器/比对系统之间的接口 接口1:Http协议,BRAS在重定向UE的Http报文时,在Http报文头中增加MAC地址信息,为本方案定制接口; 接口2:采用Portal协议,传递用户名/密码以及认证结果信息,本方案不需修改; BRAS/AC与AAA之间接口 Radius接口,完成用户的认证过程,本方案不需修改; Portal服务器/比对系统与短信中心/短信网关之间接口 本地新增接口,采用
5、标准SMPP协议; MSP与AAA之间接口 本方案中新增MSP模块,主要用于用户捆绑、解除捆绑等短信内容解析; 向AAA下发用户下线指令接口;,Page 7,技术实现方案用户首次入网,Page 8,技术实现方案用户首次入网流程说明,1. UE与AP完成关联,并获取AC/BRAS分配的IP地址; 2. UE发起Http请求,报文头中携带浏览器类型信息; 3. AC/BRAS将UE的Http请求报文重定向到Portal服务器/比对系统,并在Http报文头中增加UE的MAC地址信息; 4. Portal服务器/比对系统获取Http报文头中信息,首先判断终端类型,如果是手机(并且符合要求的类型),再对
6、MAC地址进行校验,如果MAC地址校验失败(用户首次接入认证、本地MAC地址已经老化、用户更换新手机导致MAC地址变化等),则继续下一步流程; 5、Portal服务器/比对系统向UE返回用户登录页面,提示用户输入用户名和密码; 6、用户输入用户名和密码,返回Portal服务器/比对系统; 7、Portal服务器/比对系统根据用户登录Http报文中的信息,保存终端MAC地址、用户名、密码的对应关系; 8、Portal服务器/比对系统将用户名和密码信息通过Portal协议传递给BRAS/AC,发起认证; 912、BRAS/AC将用户名/密码发给AAA进行验证,完成验证后用户上线成功,同时将结果传递
7、给Portal服务器/比对系统,Portal服务器/比对系统返回给UE认证成功结果并开始计时。,Page 9,技术实现方案用户后续入网流程,Page 10,用户后续入网及短信提醒流程说明,第一阶段(Step 1): 1. UE与AP完成关联,并获取AC/BRAS分配的IP地址; 第二阶段(Step 28):MAC地址认证流程 第三阶段(Step 9):短信通知流程 9. 如果验证结果为成功,则Portal服务器/比对系统向根据用户帐号/手机号向用户发起短信通知; 第四阶段(Step 1014):短信下线流程,此流程为可选,只在用户返回拒绝短信时启动,如果用户返回接受或无返回,则无需启动此流程。
8、 10. MSP统接收到用户发来的拒绝短信; 11. MSP系统通过定制接口,向Portal服务器/比对系统发起认证信息(MAC地址表项)清除指令(携带手机号),Portal服务器/比对系统根据指令清除本地对应手机帐号的相关MAC地址记录; 12. MSP系统通过定制接口,向AAA发起用户下线指令(携带用户手机号); 1314. AAA根据手机号查询对应的用户是否在线,如果在线,向BRAS/AC发起DM下线流程(与普通用户下线流程一致),如果用户不在线或无记录,则无需处理。,Page 11,防伪造MAC的短信提醒流程,Portal/对比系统,短信中心,AP,BRAS/AC,MSP,移动基站,A
9、AA,Portal对比系统,短信中心,AP,BRAS/AC,BOSS,移动基站,AAA,1、当有伪造MAC的非法用户连接wlan网络时,比对系统会自动通过短信中心下发给WLAN合法用户上线提醒 2、合法用户回复短信,通过MSP解析后传递至AAA,AAA向Portal下发清空表项命令,向BRAS下发取消伪造MAC用户连接命令。BRAS将非法用户连接断开。合法用户再次连接wlan需要重新输入用户名密码。,下行短信流程,上行短信流程,下发断开伪造MAC链接命令,下发清空表项命令,合法用户,合法用户,非法用户,回复短信“No”,非法用户,Page 12,技术方案的关键点、难点和创新点,关键点: 新建比
10、对系统; 对现有BRAS进行升级,使其能够将用户MAC地址转发给portal。 对现有WEB认证流程进行优化 难点: 防止伪造MAC地址对合法用户造成影响。,Page 13,创新点1创新认证技术流程,创新技术流程,AC在强制portal时将用户MAC地址发给portal,同时portal侧增加比对功能,实现了手机用户在第一次上网成功后,后续上网无需认证的功能。该创新极大地方便了手机用户使用WLAN的门槛,不需要额外客户端软件的支持。,全新Portal业务流程,收到HTTP首页报文请求,获取信息,弹出自适应屏幕认证页面,输入手机号及密码,记录手机捆绑信息 (MAC、手机号等),通过MAC获取绑定
11、手机号及密码,向BRAS发起登录认证请求,记录终端类型、上网时间等信息,登录成功,下发短信提醒,现有校园网处理逻辑,PC用户,是,否,否,是,手机用户,是,否,否,是,Page 14,创新点2设计MAC地址比对系统,为实现手机用于基于MAC地址的认证,设计了MAC地址比对系统 Portal新建数据库,存放手机号码、密码和MAC、老化时间,终端类型等信息,Page 15,创新点3设计短信解析处理模块,为实现用户短信确认/取消手机捆绑登录功能、自动认证上线成功短信通知功能,设计了短信解析处理模块。,MSP接收到用户上行短信,MSP短信解析并下发指令至AAA,确认开通/取消手机捆绑登录,下发断开伪造
12、MAC用户链接命令至BRAS,AAA分发指令,MSP,Page 16,创新点4减少假冒MAC地址所造成风险策略,针对MAC地址认证可能存在的风险,该项目设计上在用户认证通过后给客户发一个提醒短信方式、以及支持用户短信断开连接方式,可以将MAC地址认证相关风险降低到最小。,Page 17,创新点5认证界面支持对主流手机进行自动适配,支持当前主流智能终端平台(symbian、苹果、android、Windows Mobile、黑莓) 支持当前主流智能终端的屏幕尺寸自适配,成果整体效能分析,Page 19,项目推广方式建议,对现有WEB认证的Portal/Radius系统进行改造,新增比对系统。 在进行WLAN宣传时,同时做好该方式的宣传。,Page 20,项目推广投资和软硬件需求,项目投资:500万元; 新增比对系统及进行部分应用软件开发。,谢 谢!,
