《手机使用WLAN业务自动识别与认证研究》.docVIP

手机使用WLAN业务自动识别与认证研究 一、背景情况 随着WLAN建设的推进，山东公司的WLAN网络规模及用户规模逐渐增大。目前具有WIFI功能的手机越来越多，如何为日益增加的这类用户提供便捷的WLAN上网，增加公司的业务收入，是我公司面临的一个问题。 基于如下需求，山东公司进行了手机使用WLAN识别统计以及自动认证工作 1.如何为日益增加的智能手机用户提供便捷的WLAN上网功能，改善用户使用感知 2.如何更好的分流2G/TD网络压力 3.如何进行手机使用WLAN的识别 二、技术方案 （一）手机WLAN上网识别 手机WLAN上网识别与统计分析，技术实现方案如下 通过此方案，实现手机WLAN上网统计项目 1）手机/PC用户数比例、时长比例 2）手机/PC用户使用区域(热点)分析 （二）手机自动认证-组网示意图 前提条件：使用现网CMCC SSID，终端开通自动认证后，只要关联CMCC即实现认证上网，客户端程序可以直接使用 Portal服务器/比对服务器(radius)：识别终端类型，并给用户选择自动认证开通有效期提示；radius支持MAC地址认证 AC/BRAS：终端成功关联上后，在DHCP分配地址的阶段开始先发起到Radius进行MAC地址的认证；由Radius服务器完成MAC认证；如果MAC认证失败，AC/BRAS仍然支持进行WEB认证，对用户后续的HTTP报文重定向到Portal进行普通的web认证流程 终端用户只要第一次web认证成功并选择自动认证后，后面再次使用时，任何应用都可以触发该用户上线，不用再通过浏览器触发。 （二）手机自动认证-用户首次使用流程 对于首次使用WLAN网络的用户，在上线后会触发进行到Radius服务器进行MAC认证，但由于此MAC还不是可信任MAC(尚未开通自动认证)，所以Radius服务器会认证失败；Radius服务器对MAC认证失败后，AC/BRAS仍然支持进行WEB认证 用户打开浏览器输入网址，HTTP报文会强制重定向到Portal Server进行web认证 选择静态密码或动态密码后，给用户弹出窗口提示可以选择手机终端捆绑功能，用户只需点击一个捆绑功能有效的时间段并确认，在这个过程中既保留了用户原有的操作习惯，又给用户提供了一个更好的选择，因此手机终端捆绑业务的推送过程显得自然又简单，很容易被用户接受并选择。 第一步：手机用户第一次使用静态密码登录时，弹出窗口提示：使用手机终端捆绑功能，后续由系统自动实现认证，不需用户每次上网都输入用户名和密码，同时请用户选择手机终端捆绑的时间段（可选择1-24小时，1-31天，1-12个月，1-2年）。 第二步：用户在弹出窗口上操作，同意手机终端捆绑并选定捆绑有效的时间段。如果用户不选择则仍按原流程使用。 第三步：系统给用户发一条确认短信，短信内容为：您已成功开通手机终端捆绑功能，在XX小时（天、或月、或年）内可不需输入用户名密码直接上网，到期后可登录页面继续申请手机终端捆绑功能，到期前如需取消手机终端捆绑功能，请发送X到100XXX Portal/Radius系统记录开通自动认证用户MAC地址与帐号对应关系。 （三）手机自动认证-用户后续使用流程 开通自动认证用户再次上网（关联CMCC）时，DHCP过程获取地址 AC/BRAS侧触发MAC地址认证，将终端MAC地址填写在radius报文中 Radius系统判断终端已开通自动认证，认证成功。 在用户无感知情况下，即可以上网 Radius系统支持对开通自动认证用户话单区分，Auth_type=10代表是自动认证 （四）手机自动认证-接口 AC/BRAS与Portal间接口，没有变化 AC/BRAS与Radius间接口，协议没有变化（AC/BRAS在MAC认证时将终端MAC填写在radius协议的帐号字段） Radius/Portal与短信网关：新增短信上下行接口，现有CMPP2.0协议 （五）手机自动认证-安全手段 根据UA信息判断终端类型，仅对手机和ipad平板电脑开放此功能 每次认证时检测是否有同一MAC地址认证在线，若存在立即解除绑定并加入黑名单 非法用户的防范：非法用户盗用合法用户的MAC地址进行上网，若认证通过后，合法用户会在非法用户使用后收到短信内容提醒。合法用户判断上网用户为非法用户时，可以发送短信强制非法用户下线或取消捆绑功能，避免话费损失，同时拨打10086做进一步处理 通过经分以及信令检测系统进行机卡分离检测，一旦发现开通手机自动认证用户机卡分离即取消捆绑 三、创新点 通用的判断手机/PC上网技术 根据UA信息可以判断手机还是PC，但因为终端类型众多（初步分析统计有上万种UA；若采取按照系统中列出所有UA进行精确匹配方式，影响系统效率且无法统计完整 分析