Web认证方案说明

Web认证接入方案说明

目录

目录 (2)

1.爱立信DHCP+WEB认证原理 (3)

1.1.WEB 认证方案概述 (3)

1.1.1.系统部署图 (3)

1.1.2.W EB认证/登出流程 (4)

1.2.NPM 与WEB PORTAL 服务器的沟通机制 (6)

2.苏州移动WEB认证建议方案 (9)

2.1.方案一：使用SE800作为DHCP服务器 (9)

2.1.1.用户上网认证的步骤如下： (9)

2.1.2.用户登出过程： (10)

2.1.3.SE800的配置 (10)

2.1.4.对其他系统的要求 (12)

2.2.方案二：SE800作为DHCP PROXY，使用广电DHCP SERVER (12)

2.2.1.用户上网认证的步骤如下： (13)

2.2.2.用户登出过程： (13)

2.2.3.SE800的配置 (14)

2.2.4.对其他系统的要求 (15)

3.总结 (15)

1. 爱立信DHCP+Web 认证原理 1.1. Web 认证方案概述

1.1.1. 系统部署图

Ericsson 的Web 认证方案基于SE800 BRAS 和策略管理服务器NPM 系统实现。下图是Web 认证涉及的各单元的关系图。

PRODUCT AREA PACKET NETWORKS

UNIFYING

FIXED AND MOBILE NETWORKS

Portal

说明：

用户的DHCP 请求必须通过SE800，用来确定用户的上下线，并且可以防止地址盗用的问题。如果DHCP 请求不经过SE800，则无法确定用户上下线，也很难防止用户地址盗用的问题DHCP 服务器可以外置，也可以使用SE800内置服务器

在三层连接时，配置DHCP Relay ，使得DHCP 请求需要经过SE800

整个组网方案元件包括

◆ 用户：

使用DHCP 获得IP 地址的用户 ◆ 接入网：

二层网络或者支持DHCP Relay 的三层网络 ◆ 宽带接入服务器

SmartEdge 800。负责DHCP 的用户接入管理。

◆NPM策略管理器

Netop 策略管理器－NPM，作为用户和Web Portal/Radius server 的桥梁。Web Portal Server 通过API XML SOAP Call 把用户的Web 帐号发送到NPM，用户在网页登陆的帐号会通过NPM 发送到Radius Server 进行认证

◆后台服务器

Web Portal 服务器

用户通过Web Portal 服务器进行网上登录。利用Ericsson 策略管理器可以把用户帐号从NPM 发送到Radius 服务器进行认证。

Radius 服务器

主要用作用户帐号的认证和计费之用。

DHCP服务器

负责用户的DHCP地址分配管理。在Ericsson解决方案中，可以采用SE800内置的DHCP 服务器。

1.1.

2. Web认证/登出流程

用户只需要通过DHCP 接入方式，就可以在开启浏览器后连到Web Portal 服务器进行登陆，而用户在网上所登陆的帐号会通过NPM 服务器再Proxy 到Radius 服务器进行认证。当认证通过后，用户就会自动获得所需要的网络服务。而用户在网上所使用的流量和时间都会记录在Radius 服务器作为计费之用。

下面为Web认证的具体过程

1. 用户登录过程

SMS or SmartEdge

Internet

Broadband Subscriber

Web Portal

5如上图所示， 步骤1:

用户在通过DHCP 获得IP 地址时，SE800检查DHCP 报文，记录用户的MAC 地址，并以MAC 地址到NPM 用户认证。 步骤2：

NPM 认证通过，返回缺省策略，也就是允许用户通过DHCP 获得IP 地址，并且可以访问Portal 服务器，这时不允许访问Internet 步骤3：

用户访问Internet 时被重定向到Portal 服务器，输入认证用户/口令，Portal 和NPM 通信，以用户的IP 地址/用户名/口令要求NPM 认证，NPM 将认证请求转发给后台服务器，认证通过后，则到步骤4 步骤4：

NPM 通知SE800用户认证通过，改变用户的策略，允许访问Internet 步骤5：

SE800发送Acct-Start 信息，开始记账

2.用户显式登出过程

如上图，

步骤1：

用户访问Portal服务器，点击登出，Portal获得用户的IP地址，

步骤2：

Portal以IP地址为参数调用NPM的logout API和NPM通信，NPM通知SE800将此IP地址用户下线

步骤3：

SE800发送Acct-stop信息，停止计费

3. 用户非显式登出过程

用户非显示登出是指用户不登录到Portal点击登出，而是用户关机、超时等情况下SE800检查到用户下线，告知后台系统用户已下线，停止计费

在上图中，SE800检查用户已经下线的机制包括：

1、用户DHCP 的Lease time过期

2、用户在一定时间内没有流量

1.2.NPM 与Web Portal 服务器的沟通机制

NPM 本身具备了API（Application Programming Interface ）服务器的功能。这个功能主要是给予外部的服务器连接到NPM 的一个公开接口。外部服务器主要包括Web Portal 服务器，Netop Client 和一些OSS 系统。通过这个接口，外部服务器可以在NPM 进行认证和服务选择的功能。