西安市联通WLAN接入认证计费系统
西安市联通WLAN统一接入认证
计费系统(校园WLAN)
技术建议书
北京腾创世纪科技有限责任公司
二〇一二年
目 录
1第一章、
概述
11
概述
1第二章、
WLAN接入建设方案
12
项目概况
23
需求分析
34
解决方案拓扑
35
解决方案说明
56
业务流程图
67
用户认证计费流程和说明:
78
WLAN用户认证流和数据流说明
79
方案优点
8第三章、
安腾TBMS认证计费管理平台介绍
91
Radius Server功能
102
计费管理发布监控系统
112.1
用户自助服务系统
122.2
安腾WEB Portal认证平台
133
安腾公司简介:
第1章、 概述
1 概述
本方案涉及到校园网本地WLAN接入方案。校园网本地接入实现校园网wlan覆盖下的无线用户的接入认证管理系统。
第2章、 WLAN接入建设方案
2 项目概况
随着WIFI终端的日益普及和WLAN无线网络建设要求, WLAN建设日臻完善,对无线网络的接入需求日益强烈;能够为客户提供稳定、高速、安全、易用的无线上网方式,拓展高端集团客户,成为 WLAN业务发展的制高点,为公司未来多样化的业务发展融合打下良好的基础。同时集团客户也对无线网络提供商能够提供个性化、高安全、快速的无线接入网络,提出了更高的要求:
1、 用户已经建设有现有网络并且内外网彻底隔离,因此在建设PORTAL认证系统时,要求尽量不要改变原来的结构。
2、 集团客户可通过黑白名单的方式限定客户上网访问的站点,可由集团客户提出黑白名单,由我方工程师协助上传。需要定制黑白名单文件清单,上传至出口bras。
3、 相关部门(如校园网内部、联通以及公安网监部门)需要对集团客户的用户访问的内容审计,需要集团客户能够提供详细的用户日志记录。希望认证计费管理系统能够和行为管理系统对接,通过行为管理系统能够快速、直接查找用户的访问记录,以便公安局网监部门能够查询用户的上网行为,能够查到违法人员。
4、 校园网可以定制用户每次上网时长,如2小时/每天(连续),或者30小时/每月(连续/断续)。或者采用系统中动态生成上网卡,校园网客户可确认身份信息后索要1张或多张上网卡,上网卡时长使用完毕后永久失效(或定制失效时间)。
5、 集团客户要求用户上网认证时,认证页面能够体现集团客户的信息,包括企业的LOGO、企业宣传和以及业务推广信息等。在本项目(校园网)中,要求用户能够在WLAN认证时弹出带有联通和企业LOGO信息的广告页面,该页面能够定制。如校园网需要不定期更换portal页面,可由我方协助上传。
6、 集团客户(如校园网)要求具有一定的管理权限,包括用户的开户、缴费、使用时长和流量上网清单等信息的查询。
7、 通过建设手机短信平台和手机业务后台对接,可以实现通过手机号码作为WIFI的账号,密码可以通过接口动态获取;这样可以对于客户能够提供一个方便快捷的上网方式,同时能够记录用户的上网清单,以便查询上网的时长、流量等信息,以便查询。————可能需要2次开发
8、 WLAN认证系统建好后,可以能够针对不同的应用场景,提供灵活的接入控制特性和计费策略,以便未来开展多样化的套餐业务。
3 需求分析
初期系统建设目标为满足拓展集团客户要求用户上网认证同时,不仅仅只有集团的页面,要求认证页面能够体现他们企业的信息,包括集团客户公司的LOGO、企业宣传、产品打折优惠信息以及新业务推广等接入认证系统的需求而进行建设(WLAN认证计费管理平台和WEB Portal平台)。接入的目标用户为各类WIFI宽带用户(锁店、酒店、高校、写字楼、机场、旅游景区等公共场所),为未来WLAN业务更好的发展打下良好的基础,为未来公司发展集团客户有线驻地网做好准备。
针对目前联通及校园网初步需求,我们推出了该套方案框架:
1、 通过建设本地WLAN认证计费管理平台和本地WEB Portal平台,无线控制器AC和本地认证计费平台和WEB Portal业务配合,实现用户的个性化定制和管理。
2、 联通客户(校园网)直接在本地认证计费管理平台认证和计费,方式可以灵活多样,可以本地开户,同时也可以采用上网卡或者充值卡的方式,以及集团客户固定租赁或者合作分成的方式来进行计费和管理;
3、 将来实现本地认证计费平台和行为管理平台等第三方系统对接,实现上网清单查询和行为管理查询解决方案,满足公安网监等部门的要求。
4 解决方案拓扑
腾创BRAS、AAA认证计费平台与无线AC组建,腾创BRAS业务网关专门用于Portal认证和基于用户的限速控制。
5 解决方案说明
1、 在联通核心机房建设本地WLAN认证计费管理平台和WEB Portal页面平台,及用户自助服务平台,提供TBMS认证计费管理系统和WEB Portal系统软件和上网行为管理分析集控平台。
2、 上网行为管理系统集中管控平台和我司认证计费管理平台对接,实现快速、直接的查询用户的行为,包括直接查询用户的账号和姓名和联系方式,校园网集团客户仅可以查询本集团客户的日志行为信息。
3、 在原有网络结构不变的情况下,在局部署腾创接入BRAS,无线控制器AC调整配置,与BRAS互联,在现有AC上新建携带集团用户AP的VLAN_ID属性或者SSID名称透传到BRAS,由BRAS指向本地的WEB Portal服务器进行页面的推送和认证,本地WEB Portal 系统根据不同的AP属性来区分不同的集团客户,实现集团客户推送不同的认证页面,实现集团客户个性化页面的定制;同时认证页面
时,就可以嵌入集团客户标识,用户认证时,自动完成集团客户标识携带,以便本地认证计费管理平台区分集团客户。
4、 针对联通集团手机客户,通过我司的认证计费平台和省公司平台对接,或者使用SMS短信模块,我司认证平台实现 Radius代理的功能,收到集团客户的认证和计费请求,通过Radius代理,交给省公司认证计费管理平台进行处理,省公司认证计费平台根据用户输入的用户名和密码,以及用户状态(是否欠费等),判断是否允许客户上网;同时本地认证计费平台把无线控制器统计用户使用时长、流量等信息回传省公司认证计费平台,对用户进行计费。联通用户认证时,页面提供集团用户的标识,我司认证计费管理系统会记录此标识,以便本地的记录和查询。
5、 对于非联通手机客户或者无手机客户,如校园网内部客户,用户认证页面做下拉框选择,自己在本地认证(校园网内部),不把这些信息客户交由省公司认证计费平台处理。认证页面同样针对集团客户,有集团客户标识,以便查询。用户认证页面我司提供框架,又公司专门的部门进行设计和制作。同样页面制作时就嵌入集团客户标识。
6、 集团客户自助找寻密码,可以直接在认证页面通过找寻密码,输入正确的个人身份信息,推送用户预设密码或者推送系统设定密码,例如用户身份证后6位等。
7、 腾创产品具备灵活的计费策略设置,包括时长、流量以及包月、包季度、包年,包括充值优惠和信用额度,满足贵司开展多样套餐业务,以及未来开展普通用户。
8、 WLAN接入产品具备分级权限管理,根据机构设置以及区域,满足集团用户拥有一定管理权限的要求,同时集团客户仅能管理本集团的用户,包括开户、查询等功能,根据需要自定义管理员权限。
9、 同时产品采用标准Radius
,成功对接多家多业务接入网关或者无线控制器,满足贵司开展多样化驻地网业务。公司具有丰富经验和稳定的研发工程师和技术工程师队伍,针对第三方产品Radius扩展属性(包括强制下线,以及上下行带宽控制),可以进行二次开发。
6 业务流程图
7 用户认证计费流程和说明:
1、 用户打开计算机,搜索无线网,连接联通ssid无线接入点。系统自动给用户终端分配IP地址和网关。用户虽然获得地址,但是由于没有认证成功是不能直接使用网络服务的。
2、 打开浏览器输入任意的网址,无线控制器AC设备携带带有AP VLAN_ID信息透传给BRAS向WEB Portal系统请求集团客户认证页面,认证页面内容为联通和校园网客户合作信息,以及用户输入用户名、密码,自助找回密码,以及嵌入的集团客户标识信息;
3、 客户输入用户名、密码信息后,以及嵌入的集团客户标识号码会发送认证请求到本地认证平台,本地认证平台判断为手机客户,把相关的认证请求信息通过接口发送给省公司认证计费平台,省公司认证计费平台判定用户名和密码、以及用户状态(是否欠费等),用户状态正常,用户名和密码正确认证成功报文给本地认证计费平台,本地认证平台发给接入BRAS/无线控制器,允许用户登录;接入网关接着发送计费请求报文给本地认证平台,本地认证平台发送给省公司认证计费平台,省公司认证平台回应计费开始报文给本地认证计费平台,本地认证计费平台发送时长、流量信息给无线控制器,无线控制器对终端用户开始计费,并根据设备配置定期将用户费用信息传递给认证计费系统;用户下线流程亦然,需要本地认证计费平台做代理。
4、 非手机客户,在弹出认证页面前,流程相同。如果需要上网,采用本地管理员开户或者充值卡的方式,用户认证页面“客户类型”下拉菜单选择非手机客户(如显示为校园网客户),填入用户名和密码后,本地认证计费管理系统判断是否为手机用户,非手机用户本地平台在本地进行判断和计费,无需到省公司进行验证和计费。
8 WLAN用户认证流和数据流说明
1、 用户在没用认证成功前,仅允许接入网关/无线控制器和Portal服务器、以及Radius服务器交互,也就是认证数据报文和计费数据报文交互。认证失败后,系统会自动提醒用户认证失败,返回认证页面,要求用户认证。
2、 用户认证成功后,用户正常使用业务,数据流直接经过BRAS,上Internet;同时BRAS定时将用户上网的流量和时长信息发给认证计费平台,认证计费平台记录用户的时长费用信息。
3、 当用户下线时,用户点击下线按钮,发送下线请求报文,无线控制器把相关用户使用的信息发给认证计费平台,认证计费平台确认用户下线,并给下线确认报文。
9 方案优点
1、 WEB Portal认证服务系统建设在西安市联通机房,无需和省公司 Portal对接,个性化定制灵活,周期短,费用少,保留了联通公司的Portal页面风格的同时满足了集团客户需求。
2、 认证计费管理系统和省公司BOSS平台对接,我司把相关的用户认证计费信息交给省公司认证计费平台处理,减少了本地处理的风险,同时满足了集团公司对业务的考核要求。
3、 满足了集团客户对系统管理权限的需求,联通公司拥有最高的权限,根据集团客户的需要可以自定义管理权限。
4、 我司认证计费管理平台提供接口,可以和酒店管理系统对接,实现酒店管理系统统一的开户、查询等功能。可以和短信平台对接。
5、 我司产品采用linux系统作为应用系统操作系统,安全稳定性高;产品采用标准的Radius协议,产品兼容性强。同时我司具有11年的开发经验,产品的功能和性能在行业内领先,并经过广东电信研究院测试,产品全流程测试在275次/秒。
第3章、 安腾TBMS认证计费管理平台介绍
TBMS认证计费管理系统是基于标准的Radius Server的认证、计费、管理、发布和监控的支撑系统,系统本着操作简单、使用方便、功能完善及遵循国际标准的原则进行设计,为宽带运营提供了友好的管理手段,同时,该系统是目前国内唯一能够真正支持主流802.1X交换机厂商的计费系统,这种支持是构建在与各个交换机厂商战略合作基础上,双方共同为认证、授权、计费和管理控制的Radius属性进行定义、修改和对接,并拥有大量的实际应用案例,而非其它厂商虚幻的支持。
腾创 BILLING WARE系统分为四大部分:
· Radius Server系统
· 管理发布监控系统
· 用户自助服务系统
10 Radius Server功能
腾创(安腾)的Radius Server实现了标准的Radius协议,,能够支持各种标准Radius认证设备,包括各种宽带接入服务器BRAS认证、无线AC、VPN设备认证,同时支持802.1X的EAP扩展认证,包括主流设备厂家:华为、中兴、juniper、华三、摩托、杰赛、傲联等。目前已经支持的交换机厂商有:Cisco Linksys、Dlink、Netgear、HP、Extreme、Alcater、港湾、神州数码、锐捷和清华比威等。
为了更好的与国际企业合作,安腾公司已经申请加入了国际IANA协会,获得了批准,并正式成为了IANA协会会员,安腾的企业代号:24061,我们的Radius私有属性都可以放在26属性中,可以通过检索:http://www.iana.org/assignments/enterprise-numbers
Radius Server是腾创 BillingWare的重要组成部分,实现了标准协议中的认证(Authentication )、授权(Authority)和计费(Accounting),并且针对宽带运营网络的应用需求,定制了适合运营所需要的功能。
Radius实现的认证和授权功能主要有:
· 支持PostGre免费数据库和ORACLE数据库接口,以数据库作为用户数据的存储介质
· 根据用户状态进行认证,非正常用户不能通过认证
· 对用户进行时段控制,结合校园网络的节假日和周末对用户上网进行控制
· 读取用户的带宽控制数据,控制用户访问内外网带宽
· 控制用户帐号同时使用个数
· 根据接入设备传送的用户信息,把用户的帐号和IP地址、MAC地址、接入设备IP、接入设备端口、VLAN ID进行认证绑定
· 动态修改用户的绑定元素
· 修改用户使用状态和统计信息
· 读取用户的认证信息(是否防代理、是否控制P2P下载等),下传到Client进行控制
· 检查用户的客户端版本号,并根据运营需要强制用户升级
· 可以定制用户帐号自动过期、注销时间
· 发送广播通知信息到用户端
Radius实现的计费功能主要有:
· 根据用户剩余金额,计算用户可用业务数量(流量、时长),并下传到接入设备进行控制
· 接收接入设备传送的计费信息,生成原始计费清单
· 计算用户每次上网的费用,实现实时用户计费
· 管理在线
,维护用户的在线信息
· 检查用户的信用额度,停用超额用户
腾创BillingWare的Radius Server具有高效、稳定、可靠及极强的扩展性和兼容性,解决了宽带运营网络中存在的认证和计费困难的问题。
11 计费管理发布监控系统
腾创 BILLING WARE计费管理发布监控系统采用稳定高效的操作系统--Linux,以Java为基本开发语言,可以支持PostGre免费数据库和ORACLE数据库,最多可支持100万开户用户,适合各种规模的网络应用。。
从功能上划分,该系统可以分为:用户管理、卡管理、策略/模板、数据、营帐、系统、网络运维、接口模块、外置portal服务等功能。
· 用户管理
用户管理实现对用户帐号的管理。根据不同的特性,按照普通用户、专线用户、部门用户三种方式对用户进行区分。
· 卡管理
卡分为充值卡和上网卡。
充值卡只能用于充值,上网卡可以上网也可以进行充值,采用预付费方式,。
卡管理模块中包括的内容有卡的生成、下载、查询。
· 策略/模板
此模块对用户组、计费策略、接入控制模板进行管理。
· 数据管理
数据模块针对后台数据库进行管理,实现数据安全。
主要内容包括数据备份、数据恢复、数据维护、用户数据管理。
· 营帐模块
营帐模块的内容主要是为帐务分析提供操作平台。
系统提供了丰富强大的查询和统计报表,可以根据不同的查询条件,对运营使用情况进行统计,获得运营的第一手资料。
· 系统模块
在系统模块中,实现对系统的数据进行管理。
主要内容有:Radius服务的管理、接入设备的管理、系统管理员的管理以及系统全局参数的配置。
· 网络运维
网络运营过程中,具备对运行情况进行监控,对在线信息监控、接入设备状况、日志管理等
· 接口系统
接口系统为TBMS系统与其他软件、设备的对接系统,通过独立接口的方式,实现多系统的组合集成,方便对整个运营网络系统的集中管理。
主要包括:一卡通、IDS入侵检测、短信设备、银行等。
· Portal Server服务
支持移动Portal协议,可以和支持此协议的任何BRAS厂家配合使用,和H3C,华为、中兴等BRAS成功对接
提供不同认证界面,可根据客户具体要求定制不同的认证界面
11.1 用户自助服务系统
用户可随时访问自助服务系统,管理和维护自己的资料和信息,主要完成密码管理、帐单查询、费用充值、清单查询等用户自助功能。
自助服务系统的使用可以通过类似BBS用户自注册开户账号等待管理员激活进行开户,一方面可以方便用户随时查看自己使用网络的情况和费用状态,另一方面,可以采用发卡的形式,让用户自助充值,减少运营商的运营成本,方便用户随时进行充值续费。
11.2 安腾WEB Portal认证平台
WEB Portal简介
Web Portal即门户网站,是Web 应用程序简单统一的访问点,其提供了集成的内容和应用以及统一的协作工作环境。
多媒体业务是宽带网络发展的方向,理想的多媒体业务架构将为运营商提供一个可运营、可管理的平台。运营商通过相关的业务综合在一起,通过Web Portal向用户提供快速、安全、方便的多媒体业务。 随着各个运营商开始整合相关业务,Web Portal的多媒体业务架构已受到业界的青睐,而成为一种领先的技术潮流。
在国内,中国移动首先提出了在WLAN上实现Web Portal,并制定了相关的行业标准《中国移动WLAN业务PORTAL协议
》。目前各个宽带接入厂家所采用的Portal标准多数是依据该协议规范的。
由于PPPoE接入方式存在稳定、系统自带客户端等优势,目前传统的PPPoE方式还是主流的宽带接入方式。但是对于有多业务需求的情况下,采用PPPoE认证就无法满足了,这个时候多数运营商采取Web Portal认证,将相关业务捆绑,以实现业务的发展和推广。
目前有些AC厂家直接在AC中集成了简单的WEB认证,由于这种方式严重影响AC的性能,且使用不便、功能单一等,故一般需要配置外部的WEB PORTAL SERVER,安腾公司针对这些需求,结合安腾多年的认证计费行业的经验,推出安腾WEB PORTAL SERVER软件,可成功对接各厂家AC;解决联通、电信、广电、企业、学校在推广无线应用、WEB认证时的难题。
安腾 WEB Portal特点
安腾WEB PORTAL结合安腾宽带接入认证系统(AAA系统),不仅能实现传统的WEB认证方式的功能,还能实现:
1、 预判断帐号是否可用,提高用户的感知。
2、 返回消息,包括认证失败原因,或认证成败后的可用时长、流量、公告 等信息。
3、 提供不同认证界面,可根据客户具体要求定制不同的认证界面。
4、 认证后打开指定主页,以方便用户登录运营商网站或广告页。
5、 绑定手机功能,可实现手机扣费等。
6、 支持中国移动PORTAL协议,可以和支持此协议的任何BRAS厂家配合使用,和H3C,华为,中兴等AC或者BRAS成功对接。
12 安腾公司简介:
安腾是一家专门从事网络通信设备及软件研究、开发、生产、销售和服务的高新技术企业。安腾公司由多位从事电信行业的资深博士和硕士于2001年3月共同创立,公司注册地在广州科技园区。经过多年发展,安腾公司已经成长为全国性的公司,公司总部设在广州,在上海、武汉、成都、西安等地设立办事机构,发展众多的合作伙伴,服务全国各个区域。
安腾公司以发展高新技术产业为宗旨,致力于中国宽带接入市场的开拓。通过多年坚持不懈的技术开发,安腾公司在宽带接入服务器(BRAS)领域掌握了一系列具有自主知识产权的核心技术,同时在宽带计费领域形成了自己独特的优势。
安腾公司结合国内宽带网络建设的特点和现状为电信和广电城域网宽带接入、校园网宽带接入、WLAN无线宽带接入、ISP宽带小区接入、企业网宽带接入等领域提供了一整套经济、可靠、高效的综合解决方案。这些解决方案通过和国内各大电信运营商、合作伙伴的共同实施,已经成功的应用于全国数以千计的社区、写字楼、学校、大型企业等场所。
安腾公司成立伊始就十分重视市场体系和服务体系的建设,通过多年的努力已经在全国各主要市场区域设有分公司和办事处,为广大客户提供本地化的产品和服务。在产品营销方面,安腾公司以求实、务实、诚信的作风和广大合作伙伴真诚相待,为合作伙伴提供灵活多样的合作方式,形成了自己特有的营销网络。
安腾公司十分重视人力资源建设,通过不断的培育和发掘员工的聪明才智,建立了一套适合公司特点的人才激励和成长机制,从而最大限度的把员工个人成长和公司的发展结合起来。
安腾公司秉承“以人为本、以技术为龙头、以市场为导向”的经营理念,整合各方面的资源优势,以持续创新的产品与服务为广大客户和合作伙伴创造更大的价值!
13
_1391332550.vsd
�
�
�
�
�
用户打开电脑获得联通Unicom SSID
认证页面客户类型下拉菜单:联通客户和非联通客户
本地Portal根据集团客户属性,弹出不同的
认证页面
联通客户输入联通手机号码、密码进行认证
非联通客户输入集团管理员分配的用户名和密码进行认证
浏览器输入任意网址,弹出联通公司和集团客户认证页面,
本地WLAN系统判定手机否为联通客户
联通用户交由省公司认证计费平台进行认证和扣费
非联通用户本地进行认证和计费。
本地WLAN认证平台开始计费
省公司WLAN认证平台开始计费
_1391409178.vsd
�
�
�
�
用户打开电脑获得联通Unicom SSID
数据流直接通过BRAS,用户正常上网
用户名、密码错误,认证失败,再次返回认证页面。
打开浏览器输入任意网址,弹出联通公司和集团客户认证页面,认证页面默认嵌入集团客户号输入用户名密码进行验证。认证数据交由本地WLAN认证系统处理
用户名、密码是否正确、用户状态是否正常
系统给用户分配IP地址和网关
用户名、密码正确,认证通过