《中国移动手机用户基于MAC地址进行WLAN认证方案.ppt》由会员分享,可在线阅读,更多相关《中国移动手机用户基于MAC地址进行WLAN认证方案.ppt(21页珍藏版)》请在三一办公上搜索。
1、中国移动科技创新成果推广材料,完成单位:山东移动,成果名称:手机用户基于MAC地址进行WLAN认证方案,01,成果研究类别:相关网络解决方案,省内评审结果:优秀,成果专业类别:数据网络,成果内容及推广价值介绍,一、项目背景和意义二、技术实现方案三、技术方案的关键点、难点和创新点四、成果应用后主要效能分析,与应用前的比较(填写后续效能分析附表)五、项目推广方式建议六、项目推广投资和软硬件需求,项目背景和意义,随着WLAN建设的推进,山东公司的WLAN网络规模及用户规模逐渐增大。山东公司的WLAN网络覆盖的热点区域越来越多。目前具有WIFI功能的手机越来越多这部分用户的数量远远超过通过笔记本电脑上
2、网用户的数量;如果能够将这部分手机用户发展为WLAN用户,对于充分利用现有WLAN的资源,同时将增加WLAN业务收入;手机用户上网一般为浏览网页,不需要高流量的数据,中国移动网络网络资源会让这部分用户有较好的上网体验。由于手机用户WLAN上网时,认证比较麻烦,会影响用户的体验与兴趣。如何为日益增加的这类用户提供便捷的WLAN上网,是我公司面临的一个问题。为此,山东公司开展了手机用户基于MAC地址进行WLAN认证方案研究及试点。,Page 4,技术实现方案,AP,WLAN AN,BRAS/AC,AAA Server,终端,MAC比对,终端捆绑,页面适配,短信模块,新增功能,MSP,Page 5,
3、技术实现方案方案简要描述,对现有的WEB认证系统进行改造,在现有Portal系统中新增比对系统,主要用于用户首次WEB认证成功后保存手机MAC地址、用户名/密码的对应关系。用户后续上网时,比对系统将核查该用户MAC地址的有效性。若有效,将与该MAC地址对应的用户名/密码传递给BRAS,由BRAS发起认证,认证通过后该用户可以直接上网,同时向该用户发送认证通过提醒短信。若有非法用户盗用合法用户的MAC地址进行上网,若认证通过后,合法用户会收到认证通过的提醒短信。合法用户判断该次上网为非法用户时,可以发送拒绝短信给BOSS系统,经BOSS系统解析后,通过接口通知WEB认证系统中的3A服务器强制该非
4、法用户下线,Page 6,技术实现方案主要接口说明,UE与Portal服务器/比对系统之间接口:Http协议,完成Portal认证,本方案不需修改;BRAS/AC与Portal服务器/比对系统之间的接口接口1:Http协议,BRAS在重定向UE的Http报文时,在Http报文头中增加MAC地址信息,为本方案定制接口;接口2:采用Portal协议,传递用户名/密码以及认证结果信息,本方案不需修改;BRAS/AC与AAA之间接口Radius接口,完成用户的认证过程,本方案不需修改;Portal服务器/比对系统与短信中心/短信网关之间接口本地新增接口,采用标准SMPP协议;MSP与AAA之间接口本方
5、案中新增MSP模块,主要用于用户捆绑、解除捆绑等短信内容解析;向AAA下发用户下线指令接口;,Page 7,技术实现方案用户首次入网,Page 8,技术实现方案用户首次入网流程说明,1.UE与AP完成关联,并获取AC/BRAS分配的IP地址;2.UE发起Http请求,报文头中携带浏览器类型信息;3.AC/BRAS将UE的Http请求报文重定向到Portal服务器/比对系统,并在Http报文头中增加UE的MAC地址信息;4.Portal服务器/比对系统获取Http报文头中信息,首先判断终端类型,如果是手机(并且符合要求的类型),再对MAC地址进行校验,如果MAC地址校验失败(用户首次接入认证、本
6、地MAC地址已经老化、用户更换新手机导致MAC地址变化等),则继续下一步流程;5、Portal服务器/比对系统向UE返回用户登录页面,提示用户输入用户名和密码;6、用户输入用户名和密码,返回Portal服务器/比对系统;7、Portal服务器/比对系统根据用户登录Http报文中的信息,保存终端MAC地址、用户名、密码的对应关系;8、Portal服务器/比对系统将用户名和密码信息通过Portal协议传递给BRAS/AC,发起认证;912、BRAS/AC将用户名/密码发给AAA进行验证,完成验证后用户上线成功,同时将结果传递给Portal服务器/比对系统,Portal服务器/比对系统返回给UE认证
7、成功结果并开始计时。,Page 9,技术实现方案用户后续入网流程,Page 10,用户后续入网及短信提醒流程说明,第一阶段(Step 1):1.UE与AP完成关联,并获取AC/BRAS分配的IP地址;第二阶段(Step 28):MAC地址认证流程第三阶段(Step 9):短信通知流程9.如果验证结果为成功,则Portal服务器/比对系统向根据用户帐号/手机号向用户发起短信通知;第四阶段(Step 1014):短信下线流程,此流程为可选,只在用户返回拒绝短信时启动,如果用户返回接受或无返回,则无需启动此流程。10.MSP统接收到用户发来的拒绝短信;11.MSP系统通过定制接口,向Portal服务
8、器/比对系统发起认证信息(MAC地址表项)清除指令(携带手机号),Portal服务器/比对系统根据指令清除本地对应手机帐号的相关MAC地址记录;12.MSP系统通过定制接口,向AAA发起用户下线指令(携带用户手机号);1314.AAA根据手机号查询对应的用户是否在线,如果在线,向BRAS/AC发起DM下线流程(与普通用户下线流程一致),如果用户不在线或无记录,则无需处理。,Page 11,防伪造MAC的短信提醒流程,Portal/对比系统,短信中心,AP,BRAS/AC,MSP,移动基站,AAA,Portal对比系统,短信中心,AP,BRAS/AC,BOSS,移动基站,AAA,1、当有伪造MA
9、C的非法用户连接wlan网络时,比对系统会自动通过短信中心下发给WLAN合法用户上线提醒2、合法用户回复短信,通过MSP解析后传递至AAA,AAA向Portal下发清空表项命令,向BRAS下发取消伪造MAC用户连接命令。BRAS将非法用户连接断开。合法用户再次连接wlan需要重新输入用户名密码。,下行短信流程,上行短信流程,下发断开伪造MAC链接命令,下发清空表项命令,合法用户,合法用户,非法用户,回复短信“No”,非法用户,Page 12,技术方案的关键点、难点和创新点,关键点:新建比对系统;对现有BRAS进行升级,使其能够将用户MAC地址转发给portal。对现有WEB认证流程进行优化难点
10、:防止伪造MAC地址对合法用户造成影响。,Page 13,创新点1创新认证技术流程,创新技术流程,AC在强制portal时将用户MAC地址发给portal,同时portal侧增加比对功能,实现了手机用户在第一次上网成功后,后续上网无需认证的功能。该创新极大地方便了手机用户使用WLAN的门槛,不需要额外客户端软件的支持。,全新Portal业务流程,收到HTTP首页报文请求,获取信息,弹出自适应屏幕认证页面,输入手机号及密码,记录手机捆绑信息(MAC、手机号等),通过MAC获取绑定手机号及密码,向BRAS发起登录认证请求,记录终端类型、上网时间等信息,登录成功,下发短信提醒,现有校园网处理逻辑,P
11、C用户,是,否,否,是,手机用户,是,否,否,是,Page 14,创新点2设计MAC地址比对系统,为实现手机用于基于MAC地址的认证,设计了MAC地址比对系统Portal新建数据库,存放手机号码、密码和MAC、老化时间,终端类型等信息,Page 15,创新点3设计短信解析处理模块,为实现用户短信确认/取消手机捆绑登录功能、自动认证上线成功短信通知功能,设计了短信解析处理模块。,MSP接收到用户上行短信,MSP短信解析并下发指令至AAA,确认开通/取消手机捆绑登录,下发断开伪造MAC用户链接命令至BRAS,AAA分发指令,MSP,Page 16,创新点4减少假冒MAC地址所造成风险策略,针对MA
12、C地址认证可能存在的风险,该项目设计上在用户认证通过后给客户发一个提醒短信方式、以及支持用户短信断开连接方式,可以将MAC地址认证相关风险降低到最小。,Page 17,创新点5认证界面支持对主流手机进行自动适配,支持当前主流智能终端平台(symbian、苹果、android、Windows Mobile、黑莓)支持当前主流智能终端的屏幕尺寸自适配,成果整体效能分析,Page 19,项目推广方式建议,对现有WEB认证的Portal/Radius系统进行改造,新增比对系统。在进行WLAN宣传时,同时做好该方式的宣传。,Page 20,项目推广投资和软硬件需求,项目投资:500万元;新增比对系统及进行部分应用软件开发。,谢 谢!,
