1、中國移動浙江公司W(wǎng)LAN快速認證技術方案接口規(guī)范中國移動浙江公司2011年2月目 錄 TOC o 1-4 h z u HYPERLINK l _Toc286950760 1概述 PAGEREF _Toc286950760 h 3 HYPERLINK l _Toc286950761 2接口定義 PAGEREF _Toc286950761 h 3 HYPERLINK l _Toc286950762 2.1AC與AAA新增的接口 PAGEREF _Toc286950762 h 3 HYPERLINK l _Toc286950763 （type=0 x30）MAC綁定查詢報文 PAGEREF _Toc

2、286950763 h 3 HYPERLINK l _Toc286950764 （type=0 x31）MAC查詢應答報文 PAGEREF _Toc286950764 h 4 HYPERLINK l _Toc286950765 （type=0 x32）用戶上線成功通知報文 PAGEREF _Toc286950765 h 4 HYPERLINK l _Toc286950766 （type=0 x34）用戶下線通知報文 PAGEREF _Toc286950766 h 5 HYPERLINK l _Toc286950767 通知AC放行接口 PAGEREF _Toc286950767 h 6 HYP

3、ERLINK l _Toc286950768 交互流程 PAGEREF _Toc286950768 h 6 HYPERLINK l _Toc286950769 協(xié)議 PAGEREF _Toc286950769 h 7 HYPERLINK l _Toc286950770 2.2AAA與短信網(wǎng)關的接口 PAGEREF _Toc286950770 h 15 HYPERLINK l _Toc286950771 2.3AAA與BOSS的接口 PAGEREF _Toc286950771 h 15概述本文檔主要描述WLAN快速認證方案中各系統(tǒng)間接口的定義。接口定義AC與AAA新增的接口新增四個接口，用于AC

4、和AAA綁定中心服務器之間的交互，該交互基于標準的portal報文格式，通過對報文類型以及字段的擴充來實現(xiàn)WLAN快速認證的相關功能。接口依次描述如下：（type=0 x30）MAC綁定查詢報文其中Ver=0 x01，Type=0 x30, SerialNo=AC隨機生成值，UserIP=MAC對應的用戶IP，AttrNum2。屬性包括：Attr(屬性字段)AttrType屬性值長度屬性取值SessionID(MacAddress)0 x0B6(固定)取值為客戶端MAC如0016ec9d4142BasIp(AC IP)0 x0A4(固定)取值為AC設備IP，如11取值

5、為CA706F6FAAA綁定中心服務器收到該報文請求后查詢該SessionID(MacAddress)是否已經(jīng)綁定，將結果通過下面的（type=0 x31）MAC查詢應答報文進行回復。（type=0 x31）MAC查詢應答報文其中Ver=0 x01，Type=0 x31, SerialNo=0 x30報文發(fā)起的SerialNo，UserIP=該MAC對應的用戶IP，AttrNum0。ErrCode等于0表示該MAC已綁定。ErrCode等于1表示該MAC未綁定。AAA綁定中心服務器收到0 x30請求報文后，查詢該MAC地址對應的綁定狀態(tài)，若已經(jīng)綁定則返回應答報文，Errcode等于0 x00,

6、表示已經(jīng)綁定，同時應通知Portal服務器發(fā)起自動portal認證過程；若未綁定，則返回MAC查詢應答報文，ErrCode等于0 x01，表示未綁定。（type=0 x32）用戶上線成功通知報文其中Ver=0 x01，Type=0 x32, SerialNo=AC隨機生成值，UserIP=用戶IP，AttrNum6(或者5，其中User-Agent屬性可能不存在)，屬性包括：Attr(屬性字段)AttrType屬性值長度屬性取值UserName0 x01=32 （可變）用戶名（可能為用戶的手機號）SessionID(MacAddress)0 x0B6(固定)取值為上線用戶的MAC如0016ec

7、9d4142BasIp(AC IP)0 x0A4(固定)取值為AC的IP，如11取值為CA706F6FNasID0 x30=32 （可變）NAS-ID名稱，字符串Session-StartTime0 x314（固定）用戶上線時間（標準時間），取值為1970年以來的秒數(shù)User-Agent0 x341-253終端瀏覽器的User-Agent字段，如Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)，對于終端通過重定向方式認證通過的上線

8、行為，此報文會攜帶該屬性，否則不會攜帶該屬性。AC收到AAA(radius)服務器用戶認證成功報文后，通過該報文通知AAA綁定中心服務器，用戶上線。AAA綁定中心做相應的處理即可，該報文為單向通知報文，不需要AAA綁定中心服務器回應，但保留type=0 x33,以便后繼擴展AAA綁定中心服務器回應報文做其他用途。注意，用戶認證失敗，AC不通知AAA綁定中心服務器任何消息。（type=0 x34）用戶下線通知報文其中Ver=0 x01，Type=0 x34, SerialNo=AC隨機生成值，UserIP=用戶IP，AttrNum4，屬性包括：Attr(屬性字段)AttrType屬性值長度屬性取

9、值UserName0 x01=32 （可變）用戶名（可能為用戶的手機號）SessionID(MacAddress)0 x0B6(固定)取值為上線用戶的MAC如0016ec9d4142BasIp(AC IP)0 x0A4(固定)取值為AC的IP，如11取值為CA706F6FNasID0 x30ServerPortal Server 向AC設備發(fā)送的請求Challeng報文ACK_CHALLENGE0 x02ClientServerPortal Server向AC設備發(fā)送的請求認證報文ACK_AUTH0 x04ClientServer若ErrCode字段值為0 x00，表

10、示此報文是Portal Server向AC設備發(fā)送的請求用戶下線報文；若ErrCode字段值為0 x01，表示該報文是Portal Server發(fā)送的超時報文，其原因是Portal Server發(fā)出的各種請求在規(guī)定時間內(nèi)沒有收到響應報文。ACK_LOGOUT0 x06ClientServerPortal Server對收到的認證成功響應報文的確認報文；NTF_LOGOUT0 x08Server - Client用戶被強制下線通知報文REQ_INFO0 x09Client - Server信息詢問報文ACK_INFO0 x0aServer - Client信息詢問的應答報文REQ_MACBIND

11、ING_INFO0 x30Client-ServerAC向綁定中心發(fā)起的MAC綁定的查詢報文ACK_MACBINDING_INFO0 x31Server - Client綁定中心回應AC設備MAC綁定查詢的應答報文NTF_USER_LOGON0 x32Client-ServerAC向綁定中心通知用戶上線報文NTF_USER_LOGOUT0 x34Client-ServerAC向綁定中心通知用戶下線報文Pap/ChapPap/Chap字段定義此用戶的認證方式，長度為 1 字節(jié)，只對Type值為 0 x03 的認證請求報文有意義：Chap方式認證值為0 x00；Pap 方式認證值為0 x01；Rs

12、v Rsv目前為保留字段，長度為 1 字節(jié)，在所有報文中值為 0；SerialNo(1)、SerialNo字段為報文的序列號，長度為 2 字節(jié)，由Portal Server隨機生成，Portal Server必須盡量保證不同認證流程的SerialNo在一定時間內(nèi)不得重復，在同一個認證流程中所有報文的SerialNo相同；(2)、Portal Server發(fā)給AC設備的報文a、由Portal Server發(fā)出的Type值為1、3的請求報文其SerialNo都是隨機生成數(shù)；b、由Portal Server向AC設備發(fā)出的Type值為5的(REQ_LOGOUT)報文其SerialNo值分兩中情況：當

13、ErrCode為0 時(請求用戶下線報文)，SerialNo值為一個隨機生成數(shù)；當ErrCode為1時，SerialNo值可能和Type值為1或3的報文 (請求Challenge超時, 或請求認證超時) 相同，具體要看是請求Challenge超時還是請求認證超時；c、由Portal Server向AC設備發(fā)出的認證成功確認報文（Type值為7的報文）SerialNo和其發(fā)出的相應請求報文的SerrialNo相同；比如對于Type值為7的報文其SerialNo值和Type值為3的請求認證報文相同；(3)、每一個由AC設備發(fā)給Portal Server的響應報文的SerialNo必須和Portal

14、 Server發(fā)送的相應請求報文的SerialNo一樣，否則Portal Server會丟掉從AC設備發(fā)來的響應報文； 比如Type值為2的報文其SerialNo值必須和Type值為1的報文相同，Type值為4的報文其SerialNo值必須和Type值為3的報文相同，Type值為6的報文其SerialNo值必須和Type值為5的報文相同，Type為0 x30，0 x32，0 x34的報文，SerialNo由設備隨機生成，Type為0 x31的報文SerialNo必須和0 x30報文的SerialNo相同。ReqID(1)、ReqID字段長度為 2 個字節(jié)，由AC設備隨機生成，盡量使得在一定時間

15、內(nèi)ReqID不重復。(2)、在Chap認證方式中：a、AC設備在Type為2 (ACK-CHALLENGE) 的請求Challenge響應報文中把該ReqID的值告訴Portal Server；b、在Type值為3、4、7 ( REQ-AUTH, ACK-AUTH, AFF-ACK-AUTH ) 的報文中ReqID字段的值都和Type值為2的報文中此字段的值相同；c、在Type值為 5 (REQ-LOGOUT) 的報文中，若報文表示請求Challenge 超時則此字段值為0 ；若報文表示請求認證超時則此字段值和Type值為2 (ACK-CHALLENGE)的報文中此字段的值相同；(3)、在Pa

16、p認證方式中，此字段無意義，其值為0；(4)、在Type值為 5 (REQ-LOGOUT) 的報文中，若報文表示請求下線時則此字段值為0 ；(5)、在Type值為1、6 (REQ-CHALLENGE , ACK-LOGOUT) 的報文中，該字段均無意義，值都為 0；UserIPUserIP字段為Portal用戶的IP地址，長度為 4 字節(jié)，其值由Portal Server根據(jù)其獲得的IP地址填寫，在所有的報文中此字段都要有具體的值；UserPortUserPort字段目前沒有用到，長度為 2 字節(jié)，在所有報文中其值為0；ErrCodeErrCode字段和Type字段一起表示一定的意義，長度為

17、1字節(jié)，具體如下：(1)、對于Type值為1、3、7、0 x30的報文，ErrCode字段無意義，其值為0；(2)、當Type值為 2 時：ErrCode0，表示AC設備告訴Portal Server請求Challenge成功；ErrCode1，表示AC設備告訴Portal Server請求Challenge被拒絕； ErrCode2，表示AC設備告訴Portal Server此鏈接已建立；ErrCode3，表示AC設備告訴Portal Server有一個用戶正在認證過程中，請稍后再試；ErrCode4，則表示AC設備告訴Portal Server此用戶請求Challenge失?。òl(fā)生錯誤）；

18、(3)、當Type值為 4 時：ErrCode0，表示AC設備告訴Portal Server此用戶認證成功；ErrCode1，表示AC設備告訴Portal Server此用戶認證請求被拒絕；ErrCode2，表示AC設備告訴Portal Server此鏈接已建立； ErrCode3，表示AC設備告訴Portal Server有一個用戶正在認證過程中，請稍后再試；ErrCode4 ，表示AC設備告訴Portal Server此用戶認證失?。òl(fā)生錯誤）；(4)、當Type值為 5 時：ErrCode0，表示此報文是Portal Server發(fā)給AC設備的請求下線報文；ErrCode1，表示此報文是

19、在Portal Server沒有收到AC設備發(fā)來的對各種請求的響應報文，而定時器時間到（即超時）時由Portal Server發(fā)給AC設備的報文；(5)、當Type值為 6 時：ErrCode0，表示AC設備告訴Portal Server此用戶下線成功；ErrCode1，表示AC設備告訴Portal Server此用戶下線被拒絕；ErrCode2, 表示AC設備告訴Portal Server此用戶下線失?。òl(fā)生錯誤）；(6)、對Type為REQ_INFO時，ErrCode無意義，其值為0；(7)、對Type為NTF_LOGOUT時，ErrCode含義如下：ErrCode含義0下線(8)、對Ty

20、pe為ACK_INFO時，ErrCode含義如下：ErrCode含義0處理成功，但不表示全部消息都被獲取了，有多少信息被獲得應通過屬性來判斷，詳見下文1功能不支持，表示設備不支持這一功能2消息處理失敗，由于某種不可知原因，使處理失敗，例如詢問消息格式錯誤等。(9)、當Type值為 0 x30 ，0 x32，0 x34時：Errcode無意義(10)、當Type值為 0 x31 時：ErrCode0，表示該MAC已經(jīng)綁定；ErrCode1，表示該MAC未綁定。AttrNumAttrNum字段表示其后邊可變長度的屬性字段屬性的個數(shù)，長度為 1 字節(jié)（表示屬性字段最多可有255個屬性），其值在所有的

21、報文中都要根據(jù)具體情況賦值；報文屬性字段（Attr）的格式Attr字段（屬性字段）是一個可變長字段，由多個屬性依次鏈接而成，每個屬性的格式為TLV格式，具體如圖6.3。圖 6.3 屬性字段的格式報文屬性字段說明如下：(1)、屬性類型(AttrType)表 6. SEQ 表 * ARABIC s 1 2 屬性字段的定義Attr(屬性字段)AttrType屬性值長度屬性含義UserName0 x01=32 （可變） 用 戶 名，具體為：“用戶名”“”+“域名”PassWord0 x02=16（可變）用戶提交的明文密 碼Challenge0 x0316（固定） Chap方式加密的魔 術 字ChapP

22、assWord0 x0416（固定）經(jīng)過Chap方式加密后的密碼BasIp(AC IP)0 x0A4(固定)AC的IPv4地址（網(wǎng)絡序號），用于0 x30報文SessionID(MacAddress)0 x0B6(固定)客戶端MAC地址，用于0 x30報文NasID0 x30=32 （可變）NAS-ID名稱，字符串Session-StartTime0 x314（固定）用戶上線時間（標準時間），取值為1970年以來的秒數(shù)Session-StopTime0 x324（固定）用戶下線時間（標準時間），取值為1970年以來的秒數(shù)Session-Time0 x334（固定）用戶上線時長，單位為秒，用于通

23、知AAA綁定中心服務器用戶本次上線的時長。User-Agent0 x34=253(可變)終端瀏覽器的User-Agent字段，如Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)。注意：對于終端通過重定向方式認證通過的上線行為，NTF_USER_LOGON 報文才會攜帶該屬性，否則不會攜帶該屬性。如下情況不會攜帶該屬性：終端通過綁定服務器自動發(fā)起認證。終端直接訪問Portal服務器認證頁面登錄認證。業(yè)務屬性待定。(2)、屬性長度(AttrLen)AttrLe

24、n字段表示屬性的長度，長度為1字節(jié)，其值是整個屬性三個字段AttrType、AttrLen、AttrValue的長度之和。(3)、屬性值(AttrValue)AttrValue的值為具體的屬性值，比如用戶名、口令等，長度有些可變，有些固定（具體見表6.2），但最長不能超過253(255-2)字節(jié)。參數(shù)1、此協(xié)議規(guī)定承載報文的是UDP協(xié)議，也即報文為UDP報文，AC設備在固定端口2000（參照BNAS寬帶接入服務器技術規(guī)范YD1148修訂）上等待接收Portal Server發(fā)來的各種請求報文和確認報文；2、 Chap認證的相關說明：(1)、challenge的生成(AC生成) ：challenge由AC設備在收到請求Challenge報文的時候隨機生成，長度為16個字節(jié)，跟隨Challenge應答報文下發(fā)到Portal Server。(2)、Chap_Password(Chap密碼)的生成：Chap_Password的生成遵循標準的Radious協(xié)議中的Chap_Password 生成方法（參見RFC2865）。密碼加密使用MD5算法，MD