MAC认证

AP
① DHCP获 取IP地址
⑥集团认证成功后， AC向省内 portal发起 MAC绑定请求
⑦ OBS应用机调 用梦网网关向用 户手机下发短信
梦网网关
⑤ AC向手机终端 推送集团CMCC Portal页面，进行 正常认证流程。
集团Radius系统
③ AC发起 MAC 查询请求 省内 Portal ④告知AC“已绑定” 携带账号、密码等信息
AP/AC
信令监测
•信令监测系统实时提供手机IMEI与SIM卡IMSI对应关系，一旦变化，则通 知认证系统
WLAN业务认证方式
引入新认证方式的考虑
– 由于手机终端屏幕大小、页面适配、输入方式等问题造成用户使用WEB认证操作过 程复杂，体验差，所以需要考虑引入新的认证方式
Cookie认证（现有方案） MAC认证（可选方案）

用户需要通过一次Web认证， 在认证页面上钩选自劢认证， Portal在终端写入Cookie 后Biblioteka Baidu认证启劢浏览器、输入网 址即可，Portal读取Cookie信 息进行认证，用户丌需要输入 用户名/密码
SIM认证（可选方案）

Cookie认证 MAC认证
WLAN 认证方式
SIM认证 客户端认证

用户需要通过一次Web认证， 并绑定终端网卡MAC不手机 号码 后续用户关联到WLAN时，根 据终端网卡MAC认证 认证过程可以加入短信确认， 保证用户身份的安全性确认
客户端认证（可选方案）


EAP-SIM/AKA是3GPP/IETF定义的 WLAN用户认证标准 用户需要在HLR进行签约，终端将用户 (U)SIM卡的IMSI信息报3GPP AAA服务 器，由AAA服务器到HLR鉴权 考虑到国家对空口加密的要求，中国移 劢对SIM认证过程进行了调整，规范尚 未发布
OBS 应用机
③ OBS根据账号 和IMEI解除相应 绑定关系
WGDCN
②中创信令向OBS 发起解除MAC绑定 请求 ① 中创信令主动监测 手机终端换卡操作
中创信令 监测系统
◇ 中创信令监测系统保存手机账号和IMEI的对应表 ◇ 对表中的手机账号进行监测，如果发现同一个IMEI,对应账号发生 变更，主动向OBS发起解除MAC绑定请求（该请求是针对老的手机账 号而发起的）
终端
C.各业务系统改造（网络侧改造） •支持每次用户接入网络，在给终端分配IP地址后，根据规则“5分钟内流 量不足1KB不提交认证，可直接上网，只有超过1KB才正式提交认证” （时长和流量均可配置）发起MAC地址认证，认证信息携带终端MAC地 址 •支持认证系统对MAC鉴权成功则后，对此IP放行，失败则保持不变 •AC实现检测无MAC，后强制下线 •AC实现检测MAC地址认证过程中15分钟无流量自动下线 •AC需实现服务器端主动上线请求。即在没有客户端认证请求的前提下， AAA服务器可要求该AC下某个MAC地址的用户通过认证。 •涉及AC版本升级，难点在于需要走集团网络部FOA流程
集团Radius系统 ⑤ 计费结束请求报文 Accounting-request:stop 省内 Portal
④Portal根据Nas-IP，向 AC发起下线请求
① 发起下线 请求
OBS 应用机
AC
CMNET
AP
梦网网关
② 用户发送“XX”到 10658688
① 用户发送“XX”到 10658688

用户需在终端上安装客户端， 在客户端内配置用户名/密码 用户启劢客户端，客户端基于 现网Web认证机制，模拟浏览 器不网络侧完成认证及下线
WGDCN
③ AC发起 MAC 查询请求 ②AC监测用户 上网流量 省内 Portal 信令监测 系统
④告知AC“未绑定”
AC
CMNET
OBS 应用机
⑧ OBS调用中创接口， 通过账号获取IMEI， OBS保存账号 /MAC/IMEI对应关系
②AC监测用户上 网流量
AC
CMNET
AP
OBS 应用机
① DHCP获取 IP地址
⑥集团认证成功后，AC放行用户访问Internet， 并告知省内 portal用户上线，OBS应用机保存用户在线信息
集团Radius系统
⑤ AC封装认证请求报文，向集团 Radius系统发起认证请求。
省内 Portal