WLAN自動(dòng)認(rèn)證

知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 成果上報(bào)申請(qǐng)書(shū) （同 2010 年） 成果名稱(chēng) WLAN 自動(dòng)認(rèn)證系統(tǒng) 成果申報(bào)單位 安徽 ?。ㄗ灾螀^(qū) /直轄市）公司 成果 承擔(dān) 部門(mén) /分 公司 計(jì)劃部 部門(mén) / 分 公司 項(xiàng)目負(fù)責(zé)人姓名 項(xiàng)目負(fù)責(zé)人聯(lián)系電話(huà) 和 Email 成果專(zhuān)業(yè)類(lèi)別* 數(shù)據(jù)業(yè)務(wù) 所屬專(zhuān)業(yè)部門(mén) * 數(shù)據(jù) 線(xiàn)條 成果研究類(lèi)別* 相關(guān)網(wǎng)絡(luò)解決方案 省內(nèi)評(píng)審結(jié)果 * 優(yōu)秀 關(guān)鍵詞索引（ 3 5個(gè)） WLAN PEAP 認(rèn)證 應(yīng)用投資 200 萬(wàn)元（指別 的省引入應(yīng)用大致需要的投資金額） 產(chǎn)品版權(quán)歸屬單位 中國(guó)移動(dòng) 安徽 公司 對(duì)企業(yè)現(xiàn)有標(biāo)準(zhǔn)規(guī)范的符合度： （按填寫(xiě)說(shuō)明 5） 符合 如果該成果來(lái)源于研發(fā)項(xiàng)目，請(qǐng)?zhí)顚?xiě)研發(fā)項(xiàng)目的年度、名稱(chēng)和類(lèi)型（類(lèi)型包括：集團(tuán)重點(diǎn)研發(fā)項(xiàng)目、集團(tuán)聯(lián)合研發(fā)項(xiàng)目、省公司重點(diǎn)研發(fā)項(xiàng)目、其他研發(fā)項(xiàng)目），可填寫(xiě)多個(gè)： 省公司重點(diǎn)研發(fā) 2011 年 WLAN 自動(dòng)認(rèn)證系統(tǒng) 成果簡(jiǎn)介： 簡(jiǎn)要描述成果目的和意義，解決的問(wèn)題，取得的社會(huì)和經(jīng)濟(jì)效益。 背景：國(guó)外：在 AT&T，手機(jī)上 WLAN 的比重是 25%，英國(guó)電信（ BT）的比重是 16%。在 中國(guó)，因?yàn)橹悄苁謾C(jī)比重占比僅為 12%，所以這個(gè)比重只有 1-2%。隨著智能手機(jī)的迅猛普及，手機(jī)上 WLAN 的需求將變得越來(lái)越迫切，而中移動(dòng)也迫切需要 WLAN 解決目前的數(shù)據(jù)類(lèi)瓶頸問(wèn)題。但目前 WLAN 手機(jī)認(rèn)證的方式（ PORTAL）存在的種種弊端使得用戶(hù)難以接受。這種內(nèi)、外因的需要，使得如何提高 WLAN 手機(jī)認(rèn)證的便捷性變得非常重要和迫切。 目的：目前各省基于 WLAN 認(rèn)證的優(yōu)化創(chuàng)新主要集中在解決 WLAN 手機(jī)認(rèn)證，其根本目的是希望通過(guò)優(yōu)化工作方便手機(jī)用戶(hù)上 WLAN，擴(kuò)大 WLAN 的使用面，解決 2G 的數(shù)據(jù)流瓶頸問(wèn)題。 成果： 安徽公司自主創(chuàng)新，研發(fā)了基于 802.1X EAP-PEAP 協(xié)議的 WLAN 自動(dòng)認(rèn)證， PEAP是 EAP 認(rèn)證方法的一種實(shí)現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過(guò)用戶(hù)名 /密碼對(duì)終端進(jìn)行認(rèn)證，終端側(cè)通過(guò)服務(wù)器證書(shū)對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。用戶(hù)首次使用 PEAP 認(rèn)證時(shí)，需輸入用戶(hù)名和密碼，后續(xù)接入認(rèn)證無(wú)需用戶(hù)任何手工操作，由終端自動(dòng)完成。 使用戶(hù)能夠在手機(jī)終端上完成一次注冊(cè)（輸入用戶(hù)名和密碼），后期自動(dòng)認(rèn)證，方便用戶(hù)采用手機(jī)終端快速使用 WLAN。具有：安全性高、現(xiàn)網(wǎng)部署快、投資少、標(biāo)準(zhǔn)化、終端兼容性高等優(yōu)點(diǎn)。 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 解決的問(wèn)題：解決了 WLAN 手機(jī)自動(dòng)認(rèn)證問(wèn) 題，方便用戶(hù)使用手機(jī)終端快速上網(wǎng)。 將使 WLAN 的使用面迅速擴(kuò)大，解決 2G 的數(shù)據(jù)流瓶頸問(wèn)題，是實(shí)現(xiàn)無(wú)線(xiàn)城市的重要載體。能夠快速提升WLAN 的數(shù)據(jù)流量，產(chǎn)生良好的經(jīng)濟(jì)效益。 省內(nèi)試運(yùn)行效果： 描述成果引入后在本省試運(yùn)行方案、取得的效果、推廣價(jià)值和建議等。 運(yùn)行良好，全省使用，適合 全省 WLAN 手機(jī)用戶(hù)，用戶(hù)體驗(yàn)良好，方便快捷認(rèn)證，提升了 WLAN 的數(shù)據(jù)使用量，能夠?qū)⒛壳按蟛糠植捎霉P記本電腦使用 WLAN 情況扭轉(zhuǎn)，真正讓大部分 WLAN 手機(jī)終端用戶(hù)使用，解決 2G網(wǎng)絡(luò)的數(shù)據(jù)流量瓶頸。 推廣價(jià)值：具有全國(guó)推廣的價(jià)值， 方案已獲集團(tuán)公司、研究院的高度認(rèn)可，能夠有效解決 WLAN 手機(jī)上網(wǎng)的自動(dòng)認(rèn)證，將有力的推動(dòng)全網(wǎng) WLAN 的使用，具有重要意義。 建議：希望能盡快在全國(guó)全網(wǎng)開(kāi)展建設(shè)。對(duì)于 ophone 手機(jī)需要在操作系統(tǒng)層面簡(jiǎn)化用戶(hù)的配置，便于用戶(hù)使用。 文章主體（ 3000 字以上，可附在表格后）： 根據(jù)成果研究類(lèi)別，主體內(nèi)容的要求有差異，具體要求見(jiàn)表格后的“填寫(xiě)說(shuō)明 6”。 項(xiàng)目背景 -研究背景 國(guó)外：在 AT&T，手機(jī)上 WLAN 的比重是 25%，英國(guó)電信（ BT）的比重是 16%。在中國(guó)，因?yàn)橹悄苁謾C(jī)比重占比僅為 12%，所以這個(gè)比重只有 1-2%。隨著智能手機(jī)的迅猛普及，手機(jī)上 WLAN 的需求將變得越來(lái)越迫切，而中移動(dòng)也迫切需要 WLAN 解決目前的數(shù)據(jù)類(lèi)瓶頸問(wèn)題。但目前 WLAN 手機(jī)認(rèn)證的方式（ PORTAL）存在的種種弊端使得用戶(hù)難以接受。這種內(nèi)、外因的需要，使得如何提高 WLAN 手機(jī)認(rèn)證的便捷性變得非常重要和迫切。 PEAP 是 EAP 認(rèn)證方法的一種實(shí)現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過(guò)用戶(hù)名 /密碼對(duì)終端進(jìn)行認(rèn)證，終端側(cè)通過(guò)服務(wù)器證書(shū)對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。用戶(hù)首次使用 PEAP 認(rèn)證時(shí)，需輸入用戶(hù)名和密碼，后續(xù)接入認(rèn)證無(wú)需用戶(hù)任何手工操作，由終端自動(dòng)完成。 項(xiàng)目背景 -研究目的和意義 目前各省基于 WLAN 認(rèn)證的優(yōu)化創(chuàng)新主要集中在解決 WLAN 手機(jī)認(rèn)證， 其根本目的是希望通過(guò)創(chuàng)新 方便手機(jī)用戶(hù)上 WLAN，擴(kuò)大 WLAN 的使用面，解決 2G 的數(shù)據(jù)流瓶頸問(wèn)題。 WLAN 自動(dòng)認(rèn)證研究 -PEAP 認(rèn)證 一、 背景 PEAP 是 EAP 認(rèn)證方法的一種實(shí)現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過(guò)用戶(hù)名 /密碼對(duì)終端進(jìn)行認(rèn)證，終端側(cè)通過(guò)服務(wù)器證書(shū)對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。用戶(hù)首次使用 PEAP 認(rèn)證時(shí)，需輸入用戶(hù)名和密碼，后續(xù)接入認(rèn)證無(wú)需用戶(hù)任何手工操作，由終端自動(dòng)完成。 二、 使用 PEAP 認(rèn)證 的考慮 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 1、 WLAN 手機(jī)認(rèn)證概述 WLAN 手機(jī)認(rèn)證的解決方案大 致分為如下幾類(lèi)： （ 1） 基于 WIFI 認(rèn)證協(xié)議的創(chuàng)新 ，例如： EAP-SIM 認(rèn)證，安徽公司提出的 EAP-PEAP 認(rèn)證、可信終端的 MAC 地址認(rèn)證等。 優(yōu)點(diǎn)：系統(tǒng)協(xié)議級(jí)別認(rèn)證，安全可靠。缺點(diǎn)：智能手機(jī)終端的支持程度有待進(jìn)一步提高。改造網(wǎng)元相對(duì)較多。 （ 2） 基于簡(jiǎn)化用戶(hù)端 PORTAL 認(rèn)證流程的創(chuàng)新 優(yōu)點(diǎn)：基于現(xiàn)有系統(tǒng)的改造，方便快捷。缺點(diǎn)：應(yīng)用級(jí)認(rèn)證，首次認(rèn)證時(shí)間較長(zhǎng)。 （ 3） 基于手機(jī)客戶(hù)端軟件解決 WLAN 認(rèn)證的創(chuàng)新 2、 PEAP 協(xié)議來(lái)源 PEAP 協(xié)議來(lái)源于 RFC 的草案，其中涉及到的 TLS 協(xié)議， RADIUS-EAP， MSCHAPV2 協(xié)議都是正式的 RFC 文檔，屬于 IETF 維護(hù) ， 是思科，微軟和 RSASecurity 支持的 ietf 草案，具有很好的安全性，在設(shè)計(jì)上和 eap-ttls 相似，目前被 WPA 和 WPA2 批準(zhǔn)的有兩個(gè)子類(lèi)型 PEAPV0-MSCHAPV2 PEAPV1-GTC， 后期演進(jìn)， PEAP 由微軟和思科主導(dǎo)和維護(hù)，他們會(huì)定期維護(hù)升級(jí)他們的協(xié)議并在他們最新的產(chǎn)品 (如 windows server 2008)上實(shí)現(xiàn)，主要升級(jí)的方向是更高的安全性，實(shí)現(xiàn)了更多的 TLV 和更復(fù)雜算法的應(yīng)用。 3、 EAP 認(rèn)證模式比較 802.1x EAP 類(lèi)型 功能 /優(yōu)點(diǎn) TLS 傳輸層安全性 TTLS 隧道傳輸層安全性 PEAP 受保護(hù)的傳輸層安全 LEAP 輕量級(jí)可擴(kuò)展身份驗(yàn)證協(xié)議 需要客戶(hù)端證書(shū) 是 無(wú) 無(wú) 無(wú) 需要服務(wù)器證書(shū) 是 無(wú) 是 無(wú) WEP 密鑰管理 是 是 是 是 供應(yīng)商 MS Funk MS Cisco 驗(yàn)證屬性 相互 相互 相互 相互 部署難易程度 難 (因?yàn)榭蛻?hù)端證書(shū)部署 ) 中等 中等 中等 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 WiFi 安全性 很高 高 高 在使用強(qiáng)密碼時(shí)高。 可以看出， EAP-PEAP、 EAP-TTLS 都是非常好的二層協(xié)議 層認(rèn)證方式。 4、 PEAP 認(rèn)證 技術(shù) 優(yōu)點(diǎn) （ 1） 開(kāi)放性 ： PEAP 即為 Protected-EAP“受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議 ”，是可擴(kuò)展的身份驗(yàn)證協(xié)議 (EAP) 家族的一個(gè)新成員，屬于開(kāi)放的標(biāo)準(zhǔn) ； （ 2） 安全性 ：本次采用的 PEAP 認(rèn)證技術(shù)機(jī)制在 EAP 認(rèn)證機(jī)制基礎(chǔ)增強(qiáng)了安全隧道功能，比傳統(tǒng)的 Web 認(rèn)證等認(rèn)證機(jī)制更安全，完全符合 WLAN 的的應(yīng)用特點(diǎn) ； （ 3） 可演進(jìn)性與兼容性 ：終端手機(jī)類(lèi)設(shè)備支持 WLAN 功能越來(lái)越廣泛，并且采用 PEAP 的認(rèn)證方式也是行業(yè)趨勢(shì)所在，未來(lái)所有的終端設(shè)備都將支持該認(rèn)證方式，能夠兼容各 種系統(tǒng)的終端設(shè)備。 （ 4） 系統(tǒng)級(jí)： 系統(tǒng)級(jí)認(rèn)證，對(duì)應(yīng)用程序透明，能夠支持多種應(yīng)用程序，對(duì)未來(lái)的微應(yīng)用模式支持好，包括 portal方式不支持的 ucweb 等。 5、 PEAP 的安全性 （ 1） 在客戶(hù)端與認(rèn)證服務(wù)器之間先建立 TLS 安全隧道，后續(xù)用戶(hù)傳遞的用戶(hù)名和密碼均在安全隧道中進(jìn)行傳遞，中間設(shè)備無(wú)法解析。 （ 2） 在建立 TLS 隧道時(shí)，終端需要對(duì)認(rèn)證服務(wù)器進(jìn)行證書(shū)驗(yàn)證，防止網(wǎng)絡(luò)側(cè)的仿冒行為。采用 802.1X 技術(shù)，進(jìn)行端口級(jí)別的接入控制，提高了接入控制能力和安全性 三、 技術(shù)原理 1、 PEAP 認(rèn)證上線(xiàn)流程 PEAP(Protected EAP)實(shí)現(xiàn)通過(guò)使用隧道在 PEAP客戶(hù)端和認(rèn)證服務(wù)器之間進(jìn)行安全認(rèn)證。 EAP 客戶(hù)端和認(rèn)證服務(wù)器之間的認(rèn)證過(guò)程有兩個(gè)階段。 第一階段：建立 PEAP 客戶(hù)端和認(rèn)證服務(wù)器之間的安全通道，客戶(hù)端采用證書(shū)認(rèn)證服務(wù)端完成 TLS握手。服務(wù)端可選采用證書(shū)認(rèn)證客戶(hù)端。 第二階段：提供 EAP 客戶(hù)端和認(rèn)證服務(wù)器之間的 EAP 身份驗(yàn)證 。 整個(gè) EAP 通信，包括 EAP 協(xié)商在內(nèi)，都通過(guò) TLS 通道進(jìn)行。服務(wù)器對(duì)用戶(hù)和客戶(hù)端進(jìn)行身份驗(yàn)證，具體方法由 EAP 類(lèi)型決定，在 PEAP 內(nèi)部選擇使用 (如： EAP-MS-CHAPv2)。訪(fǎng)問(wèn)點(diǎn)只會(huì)在客戶(hù)端和 RADIUS 服務(wù)器之間轉(zhuǎn)發(fā)消息，由于不是 TLS 終結(jié)點(diǎn)，訪(fǎng)問(wèn)點(diǎn)無(wú)法對(duì)這些消息進(jìn)行解密。 目前被 WPA和 WPA2批準(zhǔn)的有兩個(gè) PEAP子類(lèi)型 PEAPV0-MSCHAPV2， PEAPV1-GTC，使用廣泛的是PEAPV0-MSCHAPV2。 PEAP認(rèn)證參考如下國(guó)際標(biāo)準(zhǔn) 1 IETF Draft, PEAP Authentication, draft-josefsson-pppext-eap-tls-eap-10.txt, 2004. 2 IETR RFC 2759， MSCHAPv2 3 IETF RFC 3748, Extensible Authentication Protocol (EAP). 2、 關(guān)鍵技術(shù)問(wèn)題 （ 1） 證書(shū)問(wèn)題 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 PEAP認(rèn)證需要 AAA服務(wù)器配置認(rèn)證證書(shū)。需評(píng)估不同服務(wù)器證書(shū)與各類(lèi)終端的兼容性。 目前的測(cè)試情況表明 PEAP認(rèn)證對(duì)各類(lèi)終端均兼容。 （ 2） 密碼設(shè)置 PEAP認(rèn)證使用的用戶(hù)名 /密碼與 Portal認(rèn)證的用戶(hù)名 /密碼應(yīng)保持一致。 （ 3） PEAP 認(rèn)證方法 使用 PEAPv0版本，選用 MSCHAPv2認(rèn)證方法。 （ 4） SSID 設(shè)置 需設(shè)置新的 SSID(AUTO-CMCC)，支持存量終端使用 PEAP認(rèn)證方式。 PEAP認(rèn)證與 SIM認(rèn)證使用相同 SSID。 （ 5） 機(jī)卡分離問(wèn)題 由于 PEAP認(rèn)證的用戶(hù)名 /密碼保存在手機(jī)中，如果手機(jī)和用戶(hù)卡發(fā)生分離（用戶(hù)換手機(jī)或換卡）， 且用戶(hù)沒(méi)有刪除用戶(hù)名和密碼， 手機(jī)仍能進(jìn)行 PEAP認(rèn)證，但費(fèi)用會(huì)記錄在原有卡用戶(hù)賬戶(hù)上。 目前暫無(wú)較好技術(shù)手段進(jìn)行解決機(jī)卡分離問(wèn)題。 （ 6） 下線(xiàn)控制 PEAP認(rèn)證仍保留 8小時(shí)下線(xiàn)機(jī)制 可通過(guò) AC開(kāi)關(guān)開(kāi)啟 /關(guān)閉 PEAP認(rèn)證對(duì)應(yīng) SSID的 15分鐘下線(xiàn)機(jī)制。 3、 接入 流程 （ 1） PEAP 用戶(hù)接入流程 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 2.EAP -Request/Identity6.EAP-Request/Start/Type=PEAP ,V=0WLAN用戶(hù)終端WLANANRadius1.EAPoL-Start4.Access -RequestEAP -Response/Identity8 .Access- RequestEAP -Re spons e/ Type=PEAP ,V= 0( TLScl ie nt _he ll o) 9.Access-ChallengeEAP -Re que st /Cha ll enge /Type =PEAP, V=0(TLSse rve r_ he ll o,TLSce rt if ic at e, TLSse rve r_ ke y_e xc ha nge , TLSce rt if ic at e_r eque st , TLSse rve r_ he ll o_ done)1 1 . E A P - R e s p o n s e / T y p e = P E A P , V = 0( T L S c e r t i f i c a t e , T L S c l i e n t _ k e y _ e x c h a n g e , T L S c e r t i f i c a t e _ v e r i f y , T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )12 .Access- Request建立TLS通道認(rèn)證初始化3EAP -Response/Identity( MyID)5.Access -ChallengeEAP -Request /Start /Type=PEAP,V =07.EAP -Response/Type=PEAP,V=0(TLSclient _hello )10 .EAP- Re que st /Cha ll enge /Type =PEAP, V=0( TLSse rve r_ he ll o,TLSce rt if ic at e,TLSse rve r_ ke y_ exc ha nge ,TLSce rt if ic at e _r eque st ,TLSse rve r_ he ll o_ done)13.Access-ChallengeE A P - R e q u e s t / T y p e = P E A P , V = 0( T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )E A P - R e s p o n s e / T y p e = P E A P , V = 0( T L S c e r t i f i c a t e , T L S c l i e n t _ k e y _ e x c h a n g e , T L S c e r t i f i c a t e _ v e r i f y , T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )1 4 . E A P - R e q u e s t / T y p e = P E A P , V = 0( T L S c h a n g e _ c i p h e r _ s p e c ,T L S f i n i s h e d )15.EAP -Response/Type =PEAP/TLSOK20.Access-Accept21.EAP-SuccessEAP -Message /Eap -Success認(rèn)證過(guò)程計(jì)費(fèi)開(kāi)始23.Accounting-Request/Start24.Accoutting-Response/Startusername=PEAPCMCC地址分配2 2. DH CP 地址獲取1 7 . A c c e s s - C h a l l e n g e / e a p -r e q / i d e n t i t y1 8 . E A P - R e q u e s t / i d e n t i t y / M S C H A P v 21 9 .T L S/ MS C HA P v 2認(rèn) 證1 6 . A c e e s s - r s p / E A P -R e s p o n s e / T y p e = P E A P / T L S O K圖 1 PEAP用戶(hù)接入流程 （ 2） PEAP 用戶(hù)下線(xiàn)流程 用戶(hù)下線(xiàn)流程包括用戶(hù)主動(dòng)下線(xiàn)、網(wǎng)絡(luò)下線(xiàn)和異常下線(xiàn)三種情況。圖 2給出了用戶(hù)主動(dòng)下線(xiàn)流程，圖 3給出了網(wǎng)絡(luò)下線(xiàn)流程，圖 4給出了用戶(hù)異常下線(xiàn)流程。 a. 用戶(hù)主動(dòng) 下線(xiàn) 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 W L A N 用戶(hù)終端A u t h e n t i c a t o r（ AP ）R a d i u s/ AS用戶(hù)在線(xiàn)1 . EAP - Logoff2 . Accounting _ Request ( Stop )3 . Accounting _ Response ( Stop )圖 2 用戶(hù)主動(dòng)下線(xiàn)流程 b、網(wǎng)絡(luò)發(fā)起用戶(hù) 下線(xiàn) W L A N U E W L A N A N3 G P PA A A S e r v e r用 戶(hù) 在 線(xiàn)4 . A c c o u n t i n g _ R e q u e s t ( S t o p )5 . A c c o u n t i n g _ R e s p o n s e ( S t o p )2 . 終 止 用 戶(hù) 會(huì) 話(huà)1 . D i s c o n n e c t - R e q u e s t3 . D i s c o n n e c t - A C K圖 3 網(wǎng)絡(luò)發(fā)起 下線(xiàn)流程 c、網(wǎng)絡(luò)發(fā)起用戶(hù) 下線(xiàn) R a d i u s/ AS2 . Accounting _ Request ( Stop )3 . Accounting _ Response ( Stop )1 . A u t h e n t i c a t o r 檢測(cè)用戶(hù)已不在線(xiàn)W L A N 用戶(hù)終端A u t h e n t i c a t o r（ AP ）圖 4 用戶(hù)異常下線(xiàn)流程 （ 3） MS-CHAP V2 認(rèn)證流程 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 1 3. Ac ce ss - Ac ce pt14 .E AP -S uc ce ssWL AN 用戶(hù)終端APR ad iu sE AP -Me ss ag e/ Ea p- Su cc es s計(jì)算MP PE 密鑰MP PE -S END=PMK3 . E A P - R e s p o n s e / I d e n t i t yMS CHAP V2認(rèn)證過(guò)程1 .A cc es s -C ha ll e ng eE A P - R e q u e s t / I d e n t i t y2 .E AP -Re qu es t4 . A c c e s s - r e q u e s tI d e n t i t y = u s e r n a m e d o m a i n5 . Ac ce ss - Ch al l en geT LS通道返 回 一 個(gè) 1 6 字 節(jié) 的 質(zhì) 詢(xún)6 . EAP -Re qu es t /E AP- MS -CHAP- V2 Ch al l en ge7 . E A P - R e s p o n s e/ E A P - M S - C H A P - V 2 R e s p o n s ec l i e n t 產(chǎn) 生 1 6 字 節(jié) 的 端 認(rèn) 證 質(zhì) 詢(xún) 隨 機(jī) 數(shù)H A S H ( s e r v e r 1 6 b y t e + c l i e n t 1 6 b y t e + c l i e n t u s e r n a m e )= 8 b y t e 質(zhì) 詢(xún)8 b y t e 加 密 H A S H ( u s e r p a s s ) = 2 4 b y t e 2 4 b y t e + c l i e n t 1 6 b y t e 隨 機(jī) 數(shù) - 8 . A c c e s s - r e q u e s t9 .A cc es s -C ha ll e ng eI F ( 2 4 b y t e = s e r v e r h a s h ) t h e n s u c c e s sh a s h ( h a s h ( U s e r p a s s ) ) = 2 4 b y t eS H A ( 2 4 b y t e + ” M a g i c s e r v e r t o c l i e n t c o n s t a n t ” )= 2 0 b y t eS H A ( 2 0 b y t e + 8 b y t e 質(zhì) 詢(xún) + “ P a d t o m a k e i t d o m o r e t h e n o n e i t e r a t i o n ” )= 2 0 b y t e ( 發(fā) 送 出 去 )1 0. EAP -Re qu es t /E AP- MS -CHAP -V2 S uc ce ss1 1 . E A P - R e s p o n s e / E A P - M S - C H A P - V 2 A c kI F （ 結(jié) 果 = c l i e n t h a s h ） t h e n s u c c e s s1 2 . A c c e s s - r e q u e s t圖 4 MS-Chapv2用戶(hù)認(rèn)證流程 4、 計(jì)費(fèi)要求 為避免對(duì)現(xiàn)有 BOSS的改造要求， PEAP認(rèn)證話(huà)單沿用原有 Portal認(rèn)證話(huà)單，其中 Oper_ID為 5表示用戶(hù)開(kāi)通無(wú)感知認(rèn)證， Auth_type為“ 03”表示話(huà)單是 PEAP認(rèn)證接入后產(chǎn)生的。 話(huà)單中反映用戶(hù)上網(wǎng)時(shí)長(zhǎng)和流量等信息，為用戶(hù)提供準(zhǔn)確計(jì)費(fèi)依據(jù)。 四、 網(wǎng) 元改造 1、 AAA 功能要求 (1) 鑒權(quán)要求 1） 認(rèn)證授權(quán)功能要求 支持來(lái)自 WLAN接入網(wǎng)的 EAP 認(rèn)證處理。 支持 EAP-PEAPv0/MSCHAPv2 認(rèn)證流程。 支持 PEAP認(rèn)證成功后，下發(fā)空口加密用的 MSK。 支持 EAP-PEAP報(bào)文分片。 2） 支持多種 EAP認(rèn)證方法協(xié)商 支持 EAP認(rèn)證方式協(xié)商，在通過(guò)域名方式無(wú)法區(qū)分的情況下可以與終端之間進(jìn)行 EAP認(rèn)證方法的協(xié)商，如 PEAP、 EAP-TTLS等。 3） 用戶(hù)及會(huì)話(huà)管理功能要求 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 支持用戶(hù)注冊(cè)管理 (開(kāi)戶(hù)、銷(xiāo)戶(hù)、停機(jī)、恢復(fù)、切換帶寬 等 )。 支持 PEAP認(rèn)證用戶(hù)的會(huì)話(huà)狀態(tài)管理，支持外部系統(tǒng)查詢(xún)用戶(hù)會(huì)話(huà)狀態(tài)。 支持強(qiáng)制用戶(hù)下線(xiàn)，通過(guò)向 AC 發(fā)送 Disconnect Message 消息。 (如用戶(hù)銷(xiāo)戶(hù)、停機(jī)時(shí)將用戶(hù)下線(xiàn)，結(jié)束會(huì)話(huà) )。 支持根據(jù) AC/BRAS發(fā)來(lái)的計(jì)費(fèi)停止消息，對(duì)用戶(hù)進(jìn)行下線(xiàn)處理。 4） PEAP相關(guān)配置管理功能要求 支持 TLS Server 證書(shū)導(dǎo)入和配置管理。 支持是否驗(yàn)證客戶(hù)端證書(shū)可配置。 支持根據(jù)域名配置對(duì)應(yīng)的 EAP認(rèn)證方法，如通過(guò)配置對(duì)應(yīng)的域名與 EAP-SIM/AKA認(rèn)證對(duì)應(yīng)。 （ 2） 接口與信令要求 A、 物 理接口 1) IP接口 支持 GE 光口（至少兩個(gè)）。 支持主備倒換或者負(fù)荷分擔(dān)。 支持 IEEE 802.3ah，實(shí)現(xiàn)鏈路故障的快速檢測(cè)。 2) TDM E1 接口 七號(hào)信令應(yīng)用層以下部分要符合對(duì) MTP、 SCCP 和 TCAP 行標(biāo)和相應(yīng)的補(bǔ)充規(guī)定的要求。信令連接控制部分 (SCCP)應(yīng)符合國(guó)內(nèi) No.7 信令方式技術(shù)規(guī)范信令連接控制部分(SCCP)。事務(wù)處理能力部分應(yīng)符合國(guó)內(nèi) No.7 信令方式技術(shù)規(guī)范事務(wù)處理能力部分(TC)。 3) 2M高速信令鏈路接口 支持多條 2M 信令鏈路，并且滿(mǎn)足 YD/T 1125 2001國(guó)內(nèi) NO.7 信令方 式技術(shù)規(guī)范2Mbit/s 高速信令鏈路的規(guī)定。 B、 信令接口 1) 與 HLR 間的接口 使用 MAP 協(xié)議 與 HLR 交互， 支持 3GPP 29.002 v4.f.0。 2) 與 WLAN AN 間的接口 WLAN AN 和 AAA 之間接口用于傳輸認(rèn)證、授權(quán)和計(jì)費(fèi)信息，使用 RADIUS 協(xié)議通信（參考 RFC3580）。詳細(xì)接口描述參見(jiàn)中國(guó)移動(dòng)企業(yè)標(biāo)準(zhǔn) -I-WLAN 技術(shù)規(guī)范 -接口分冊(cè)。 3) 與 BOSS 間的接口 與 BOSS 的接口主要用于原始話(huà)單文件的傳送。詳細(xì) 參考 計(jì)費(fèi)接口協(xié)議。 4) 與夢(mèng)網(wǎng)網(wǎng)關(guān)間的接口 與夢(mèng)網(wǎng)網(wǎng)關(guān)間的接口采用 CMPP 協(xié)議，滿(mǎn)足 中國(guó)移動(dòng)通信互聯(lián)網(wǎng)短信網(wǎng)關(guān)接口協(xié)議（ CMPP）的要求。 （ 3） 計(jì)費(fèi)要求 1） 接受從 WLAN AN 采集得到的計(jì)費(fèi)信息，產(chǎn)生話(huà)單文件，通過(guò) FTP 接口提供給 BOSS系統(tǒng)。 2） 計(jì)費(fèi)原始數(shù)據(jù)信息包括： 用戶(hù) 身份信息 (采用 SIM 認(rèn)證方式時(shí)，用戶(hù)身份信息使用 IMSI) 認(rèn)證方式標(biāo)識(shí) 連接會(huì)話(huà)標(biāo)識(shí) 連接 時(shí)長(zhǎng) 連接起始時(shí)間 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 連接結(jié)束時(shí)間 數(shù)據(jù)流量 上行 數(shù)據(jù) 流量 下行 數(shù)據(jù) 流量 計(jì)費(fèi)信息采集前端 設(shè)備 IP 地址 計(jì)費(fèi)信息采集前端 設(shè)備標(biāo)識(shí) (用來(lái)識(shí)別用戶(hù)的接入地，實(shí)現(xiàn)不同城市和省份之間的結(jié)算 ) 3） 按照話(huà)單格式產(chǎn)生話(huà)單，話(huà)單格式滿(mǎn) 足 BOSS 接口規(guī)范要求 4） 話(huà)單格式如下 : 序號(hào) 名稱(chēng) 域 名 位置 長(zhǎng)度 含義 填寫(xiě)說(shuō)明 1 Rec_type 話(huà)單記錄標(biāo) 記 1 2 2 標(biāo)記文件中的記錄類(lèi)型 “ 20” 2 Oper_type 業(yè)務(wù)類(lèi)型 3 4 2 業(yè)務(wù)類(lèi)型 “ 03” ：承載業(yè)務(wù) 3 Oper_ID 業(yè)務(wù)標(biāo)識(shí) 5 6 2 業(yè)務(wù)標(biāo)識(shí) “ 01”： WLAN 普通手機(jī)用戶(hù) “ 02”： WLAN 卡用戶(hù)（實(shí)體卡） “ 03”： WLAN 高校用戶(hù) “ 04”： WLAN 卡用戶(hù) (wlan 包單位時(shí)間電子卡） “ 05”： 用戶(hù)開(kāi)通無(wú)感知認(rèn)證 4 Charge_dn 計(jì) 費(fèi)用戶(hù)號(hào) 碼 7 30 24 做為計(jì)費(fèi)對(duì)象的移動(dòng)用戶(hù)MSISDN 號(hào)碼； WLAN 卡業(yè)務(wù)填寫(xiě)卡號(hào) AS:不帶“ 86”的手機(jī)號(hào)碼 Radius: 不帶“ 86”的手機(jī)號(hào)碼 WLAN 卡：填寫(xiě) 13 位帳號(hào) 左對(duì)齊，不足填空格 5 Imsi 手機(jī) IMSI號(hào) 31 45 15 手機(jī)設(shè)備的IMSI 號(hào)碼 左對(duì)齊，不足填空格。 WEB 認(rèn)證方式該字段可以為空 6 User_type 用戶(hù)類(lèi)型 46 1 做為計(jì)費(fèi)對(duì)象的移動(dòng)用戶(hù)類(lèi)型 Oper_id 為 01、 03 時(shí)：平臺(tái)默認(rèn)填“” (包括全球通和神州行，需在解碼時(shí)重填 ) Oper_id 為 02 時(shí)：“ 5”：全國(guó)預(yù)付費(fèi)卡，“ 6”：本地預(yù)付費(fèi)卡，“ 7”：預(yù)留 7 Home_prov 用戶(hù)歸屬省 47 50 4 計(jì)費(fèi)用戶(hù)號(hào)碼歸屬省的省代碼 Oper_id 為 01、 03 時(shí)：手機(jī)用戶(hù)，歸屬省填空 Oper_id 為 02 時(shí)：卡用戶(hù)，歸屬省由 Radius 填寫(xiě) ,3 位省代碼， (省會(huì)長(zhǎng)途區(qū)號(hào)首位去零，知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 不足三位右補(bǔ)零。如北京：“ 100”，山東：“ 531” ) 8 Roam_prov 用戶(hù)漫游省 51 54 4 計(jì)費(fèi)用戶(hù)漫游所在省的省代碼 上傳話(huà)單暫時(shí)填空 9 Auth_type 認(rèn)證類(lèi)型 55 56 2 用戶(hù)認(rèn)證使用的方式 “ 01”： Web 認(rèn)證 “ 02”： SIM 認(rèn)證 “ 03”： PEAP 認(rèn)證 “ 04”： MAC 認(rèn)證 10 Start_time 起始時(shí)間 57 70 14 連接起始時(shí)間 YYYYMMDDHHMISS 11 Stop_time 結(jié)束時(shí)間 71 84 14 連接結(jié)束時(shí)間 YYYYMMDDHHMISS 12 Duration 連接時(shí)長(zhǎng) 85 90 6 本次連接的持續(xù)時(shí)長(zhǎng)（秒） 右對(duì)齊，左填 0 13 Data_flowup 上行數(shù)據(jù)流 量 91 100 10 上行數(shù)據(jù)流量 單位：字節(jié)，右對(duì)齊左填 0 14 Data_flowdn 下行數(shù) 據(jù)流量 101 110 10 下行數(shù)據(jù)流量 單位：字節(jié)，右對(duì)齊左填 0 15 Hotspot_ID 熱點(diǎn)標(biāo)識(shí) 111 126 16 用戶(hù)所在的熱點(diǎn)地區(qū)標(biāo)識(shí) ABCD.CTY. PRO.OPE.NAT: ABCD:4 位某城市熱點(diǎn)地區(qū)編號(hào)，由各省自定，各省應(yīng)確保網(wǎng)絡(luò)設(shè)備數(shù)據(jù)和計(jì)費(fèi)系統(tǒng)數(shù)據(jù)配置的一致性。 CTY:4 位城市編碼 (國(guó)內(nèi)長(zhǎng)途區(qū)號(hào) ,右對(duì)齊左填零 ) PRO:3 位省代碼 (省會(huì)長(zhǎng)途區(qū)號(hào)首位去零，不足三位右補(bǔ)零。如北京：“ 100”，山東：“ 531” ) OPE:2 位運(yùn)營(yíng)商代碼： 00 中國(guó)移動(dòng) NAT:3 位國(guó)家編碼： 460：中國(guó) 16 AC_address AC 的 IP 地址 127 142 16 計(jì)費(fèi)信息采集前端設(shè)備的 IP地址 左對(duì)齊，右填空 17 AS_address AAA 服務(wù)器的 IP 地址 143 158 16 認(rèn)證設(shè)備的 IP地址 左對(duì)齊，右填空 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 18 Home_carrier 歸屬運(yùn)營(yíng)商 159 163 5 計(jì)費(fèi)用戶(hù)的歸屬運(yùn)營(yíng)商 上傳話(huà)單暫時(shí)填空 19 Roam_carrier 漫游運(yùn)營(yíng)商 164 168 5 用戶(hù)漫游網(wǎng)絡(luò)所在的運(yùn)營(yíng)商 上傳話(huà)單暫時(shí)填空 20 basic_fee 通信費(fèi) 169 174 6 基本通信費(fèi) Oper_id 為 01、 03 時(shí)：目前暫填零； Oper_id 為 02 時(shí)：填寫(xiě)實(shí)際通信費(fèi)，暫時(shí)允許為。單位：分，右對(duì)齊左填零 21 Info_fee 信息費(fèi) 175 180 6 信息費(fèi) 單位：分，右對(duì)齊左填零 目前暫填零 22 Service_ID 服務(wù)標(biāo)識(shí) 181 188 8 用戶(hù)選擇的服務(wù)標(biāo)識(shí) Oper_id 為 01、 03 時(shí)，暫時(shí)填空，編碼待定 Oper_id為 02時(shí)，填寫(xiě)卡費(fèi)率，F(xiàn)FFZHHHH， FFF 填寫(xiě)卡面值，單位為元，左對(duì)齊，不足后補(bǔ)空格； Z 固定填寫(xiě) Z； HHHH 填寫(xiě)卡時(shí)長(zhǎng)，單位為小時(shí)，左 對(duì)齊，不足后補(bǔ)空格； 23 ISP_ID ISP 標(biāo)識(shí) 189 194 6 ISP 的標(biāo)識(shí) 暫時(shí)填空 , 編碼待定 24 Cause_close 斷線(xiàn)原因 195 196 2 斷線(xiàn)原因 “ 01”：用戶(hù)請(qǐng)求下線(xiàn) “ 02”：端口連接丟失 “ 03”：不能提供服務(wù)，主要指連接異常中斷 “ 04”：空閑超時(shí) “ 05”：會(huì)話(huà)超時(shí) “ 06”：管理員復(fù)位端口或會(huì)話(huà) “ 07”：管理員重啟 NAS “ 08”：端口錯(cuò)誤，需要中斷會(huì)話(huà) “ 09”： NAS 出錯(cuò)，要求中斷會(huì)話(huà) “ 10”： NAS 因?yàn)槠渌蛞笾袛鄷?huì)話(huà) “ 11”： NAS 意外重啟 “ 12”： NAS 認(rèn)為不再需要保留知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 該端口而中斷會(huì)話(huà) “ 13”： NAS 需要重新優(yōu)先分配該端口而中斷會(huì)話(huà) “ 14”： NAS 需要掛起端口而中斷當(dāng)前會(huì)話(huà) “ 15”： NAS 不能提供所需服務(wù) “ 16”： NAS 為新會(huì)話(huà)回調(diào)而中斷當(dāng)前會(huì)話(huà) “ 17”：用戶(hù)輸入錯(cuò)誤 “ 18”：主機(jī)請(qǐng)求中斷 25 Radius_sts Radius狀態(tài) 197 198 2 預(yù)留字段 Radius 運(yùn)行狀態(tài)： “ 00” Radius 狀態(tài)正常 “ 01” Radius 狀態(tài)異常 26 Reserved 預(yù)留 199 212 14 預(yù)留字段 填空 27 CR 回車(chē) 213 1 Carriage Return 28 LF 換行 214 1 Line Feed 。 （ 4） EAP 認(rèn)證方法適配要求 SIM 認(rèn)證和 PEAP 認(rèn)證共用一個(gè) SSID 時(shí)， AAA 服務(wù)器需通過(guò) EAP 消息中的用戶(hù)標(biāo)識(shí)格式判斷認(rèn)證方式，如果用戶(hù)開(kāi)通此認(rèn)證方式，則發(fā)起相應(yīng)認(rèn)證流程。 如果 AAA 服務(wù)器無(wú)法判斷用戶(hù)標(biāo)識(shí)屬于哪一認(rèn)證方式，則按用戶(hù)開(kāi)通的 EAP 方法進(jìn)行認(rèn)證。 （ 5） 容量要求 安徽目前滿(mǎn)足 10 萬(wàn)用戶(hù)規(guī)模， 用模塊化擴(kuò)容方式根據(jù)需求靈活擴(kuò)容 。 （ 6） 可靠性要求 1. 應(yīng)達(dá)到或超過(guò) 99.999%的可用性 2. 無(wú)故障連續(xù)工作時(shí)間 MTBF10萬(wàn)小時(shí) 3. 冷啟動(dòng)恢復(fù)時(shí)間小于 10分鐘 4. 熱啟動(dòng)恢復(fù)時(shí)間小于 1分鐘 5. 要求設(shè)備具有高可靠性和高穩(wěn)定性。主處理器，主存，電源和管理接口等系統(tǒng)主要部件應(yīng)具有熱備份冗余 ，不存在單點(diǎn)故障 主備系統(tǒng)倒換時(shí)間：?jiǎn)伟逯鱾涞箵Q時(shí)間小于 6 秒，數(shù)據(jù)庫(kù)主備倒換小于 90 秒 。 （ 7） 過(guò)負(fù)荷保護(hù) 1. 應(yīng)具備針對(duì)整機(jī)系統(tǒng)的過(guò)負(fù)荷控制機(jī)制，可以設(shè)置過(guò)負(fù)荷控制門(mén)限，到達(dá)門(mén)限時(shí)自動(dòng)啟動(dòng)或解除過(guò)負(fù)荷控制。過(guò)負(fù)荷控制門(mén)限應(yīng)考慮 CPU負(fù)荷。 2. 應(yīng)具備針對(duì)主處理單元（單板）、業(yè)務(wù)處理單元（單板）等核心單元（單板）的過(guò)負(fù)荷控制機(jī)制。各核心單元（單板）可以獨(dú)立設(shè)置 過(guò)負(fù)荷控制門(mén)限，到達(dá)門(mén)限時(shí)獨(dú)立自動(dòng)啟動(dòng)或解除過(guò)負(fù)荷控制。過(guò)負(fù)荷控制門(mén)限應(yīng)考慮 CPU負(fù)荷。 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 3. 應(yīng)能對(duì)整機(jī)系統(tǒng)及各核心單元（單板）的 CPU負(fù)荷、業(yè)務(wù)負(fù)荷、業(yè)務(wù)處理時(shí)延等性能數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和統(tǒng)計(jì)。根據(jù)上述數(shù)據(jù)自動(dòng)檢測(cè)過(guò)負(fù)荷狀態(tài)。 4. 應(yīng)能設(shè)置業(yè)務(wù)優(yōu)先級(jí)，在啟動(dòng)過(guò)負(fù)荷控制后按照業(yè)務(wù)優(yōu)先級(jí)優(yōu)先處理高優(yōu)先級(jí)業(yè)務(wù)，丟棄優(yōu)先級(jí)低的業(yè)務(wù)。業(yè)務(wù)優(yōu)先級(jí)設(shè)置應(yīng)滿(mǎn)足以下順序： a) 第一優(yōu)先級(jí)：已建立會(huì)話(huà)的計(jì)費(fèi)請(qǐng)求消息。 b) 第二優(yōu)先級(jí)：正在接入的認(rèn)證請(qǐng)求消息。 5. 整機(jī)系統(tǒng)及各核心單元（單板）應(yīng)支持多級(jí)過(guò)負(fù)荷控制，可設(shè)置多級(jí)控制門(mén)限，達(dá)到不同門(mén)限實(shí) 施不同的過(guò)負(fù)荷控制策略，使用不同的流量控制門(mén)限。 6. 應(yīng)具有過(guò)負(fù)荷保護(hù)機(jī)制，當(dāng)實(shí)際承擔(dān)的業(yè)務(wù)量超過(guò)設(shè)備標(biāo)稱(chēng)容量時(shí)，應(yīng)立即啟動(dòng)過(guò)負(fù)荷保護(hù)機(jī)制，產(chǎn)生過(guò)負(fù)荷告警提示，在實(shí)際承擔(dān)的業(yè)務(wù)量恢復(fù)正常時(shí)，解除告警。 過(guò)負(fù)荷保護(hù)機(jī)制應(yīng)保證設(shè)備在實(shí)際承擔(dān)業(yè)務(wù)量到達(dá)標(biāo)稱(chēng)容量的 150時(shí)，設(shè)備處理能力不低于標(biāo)稱(chēng)容量的 90。 （ 8） 硬件結(jié)構(gòu)要求 1. 硬件系統(tǒng)基本要求 a) 硬件應(yīng)采用模塊化結(jié)構(gòu)，便于容量擴(kuò)充和引入新的硬件模塊容納新業(yè)務(wù)和新技術(shù)。 b) 提供的設(shè)備應(yīng)全部采用經(jīng)過(guò)老化測(cè)試和嚴(yán)格篩選的優(yōu)質(zhì)元器件。硬件的組裝應(yīng)該有嚴(yán)格的質(zhì)量控制，確保長(zhǎng)期 使用的高穩(wěn)定性和高可靠性。 c) 系統(tǒng)構(gòu)成應(yīng)具有冗余和容錯(cuò)等安全措施。 2. 處理機(jī)的要求 a) 處理機(jī)系統(tǒng)（集中控制、分級(jí)控制或分散式控制）均要有冗余度。遇處理機(jī)、軟硬件故障時(shí)，具有倒機(jī)、分級(jí)再啟動(dòng)及系統(tǒng)再生成等性能，以保證其安全可靠性。 b) 處理機(jī)系統(tǒng)應(yīng)具有故障脫機(jī)自動(dòng)診斷功能。 c) 處理機(jī)系統(tǒng)應(yīng)具有軟、硬件故障告警信號(hào)。 d) 處理機(jī)系統(tǒng)的處理能力應(yīng)滿(mǎn)足買(mǎi)方要求。賣(mài)方應(yīng)說(shuō)明達(dá)到所要求處理能力時(shí)處理機(jī)的占用率及過(guò)負(fù)荷控制措施。 3. 輸入、輸出設(shè)備的基本要求 a) 人機(jī)命令盡可能采用菜單方式，用作人機(jī)命令輸入的設(shè)備應(yīng)具有冗余度。 b) 應(yīng)提供用于存儲(chǔ)程 序、局?jǐn)?shù)據(jù)、移動(dòng)用戶(hù)數(shù)據(jù)以及各類(lèi)話(huà)務(wù)統(tǒng)計(jì)數(shù)據(jù)的外存設(shè)備。計(jì)費(fèi)信息的存儲(chǔ)設(shè)備應(yīng)單獨(dú)設(shè)置，以便話(huà)費(fèi)分揀。以上外存設(shè)備均應(yīng)有備份。 c) 應(yīng)提供電傳打印機(jī)：用于打印故障信息、話(huà)務(wù)統(tǒng)計(jì)信息輸入的人機(jī)命令 d) 顯示器。各類(lèi)告警信號(hào)除由打印機(jī)打印外，還應(yīng)在顯示屏上顯示，且能用不同彩色顯示出各類(lèi)故障的嚴(yán)重程度。 。 （ 9） 軟件要求 1. 軟件基本要求 a) 要求軟件采用分層的模塊化結(jié)構(gòu)，模塊之間的通信應(yīng)按照規(guī)定接口進(jìn)行。任何一層的任何一個(gè)模塊的維護(hù)和更新以及新模塊的追加都不應(yīng)影響其他模塊。 b) 局?jǐn)?shù)據(jù)和用戶(hù)數(shù)據(jù)與處理程序應(yīng)有相對(duì)的獨(dú)立性。局?jǐn)?shù)據(jù) 和用戶(hù)數(shù)據(jù)的任何變更都不應(yīng)引起運(yùn)行版本程序的變更。處理程序與任何局?jǐn)?shù)據(jù)和用戶(hù)數(shù)據(jù)相適應(yīng)。 c) 軟件應(yīng)有容錯(cuò)能力，一般小的軟件故障不應(yīng)引起各類(lèi)嚴(yán)重的系統(tǒng)再啟動(dòng)。 d) 軟件設(shè)計(jì)應(yīng)有防護(hù)性能，某一軟件模塊內(nèi)的軟件錯(cuò)誤應(yīng)限制在本模塊內(nèi)，而不應(yīng)造成其他軟件模塊的錯(cuò)誤。 e) 應(yīng)具有軟件運(yùn)行故障的監(jiān)視功能。一旦軟件出現(xiàn)死循環(huán)等重大故障，應(yīng)能自動(dòng)再啟動(dòng)，并作出即時(shí)故障報(bào)告信息。 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 f) 在未達(dá)到設(shè)備的終局容量時(shí)，增加或減少用戶(hù)或交換設(shè)備時(shí)，只需使用一般的人機(jī)命令變更用戶(hù)數(shù)據(jù)或局?jǐn)?shù)據(jù)即可，不應(yīng)影響正常通信。 g) 不同生產(chǎn)廠家生產(chǎn)的同種型號(hào)的交換設(shè)備 ，應(yīng)采用同一種軟件版本。同一種型號(hào)交換設(shè)備不同時(shí)間的軟件版本應(yīng)能兼容。 2. 軟件功能要求 a) 要求有完善的實(shí)時(shí)操作系統(tǒng)。 b) 要求具有完善的計(jì)費(fèi)處理功能。要求具有與計(jì)費(fèi)處理中心相配合的功能。（詳見(jiàn)“計(jì)費(fèi)要求”一章）。 c) 要求具有網(wǎng)管子系統(tǒng)及處理相應(yīng)業(yè)務(wù)的功能。要求具有路由變更控制功能。 d) 要求具有完善的系統(tǒng)結(jié)構(gòu)控制功能。 e) 要求具有對(duì)各種硬件設(shè)備測(cè)試的功能。 f) 要求具有對(duì)軟件、硬件運(yùn)行故障的監(jiān)視功能。有完善的故障告警及障礙后處理功能。要求具有與集中維護(hù)管理中心相配合的控制功能。 g) 要求具有完善的、方便的人機(jī)通信控制功能。 h) 要求具 有完善的維護(hù)管理功能，具有局?jǐn)?shù)據(jù)和用戶(hù)數(shù)據(jù)的維護(hù)管理、軟件維護(hù)管理、設(shè)備維護(hù)管理及計(jì)費(fèi)管理等功能。 i) 要求具有故障診斷和故障定位功能。 3. 軟件語(yǔ)言的要求 a) 機(jī)器所用的高級(jí)語(yǔ)言應(yīng)盡量采用 CCITT 推薦的 CHILL、 SDL、 MML 分別作為編程語(yǔ)言、功能描述語(yǔ)言和人機(jī)通信語(yǔ)言。 b) 若未采用上述 CCITT 推薦的標(biāo)準(zhǔn)語(yǔ)言，則所采用的高級(jí)語(yǔ)言應(yīng)基于英文，且應(yīng)易讀，使用方便，并說(shuō)明其與標(biāo)準(zhǔn)語(yǔ)言的區(qū)別。 c) 要求對(duì)所使用的語(yǔ)言提供語(yǔ)言規(guī)范及其說(shuō)明資料。 4. 軟件維護(hù)管理功能要求 a) 要求具有在不中斷處理業(yè)務(wù)的情況下，完成程序打補(bǔ)丁的功能。每一 補(bǔ)丁應(yīng)不得大于 100 字，如果總的補(bǔ)丁超出 2000 字，那么補(bǔ)丁數(shù)應(yīng) 100 個(gè)，這時(shí)要求廠家無(wú)償提供新版本。 b) 要求對(duì)于全部數(shù)據(jù)和用戶(hù)數(shù)據(jù)都可以在不影響業(yè)務(wù)的情況下，用人機(jī)通信的方式進(jìn)行下述操作： 數(shù)據(jù)查詢(xún) 數(shù)據(jù)修改變更 數(shù)據(jù)追加 由軟盤(pán)或其它媒介進(jìn)行批量數(shù)據(jù)的引入運(yùn)行 原運(yùn)行數(shù)據(jù)的暫存、重新運(yùn)行、使用刪除。 c) 若對(duì)修改后的軟件不滿(mǎn)意或?qū)⑿薷暮筌浖胂到y(tǒng)后，對(duì)系統(tǒng)有副作用或發(fā)現(xiàn)新版本有問(wèn)題，應(yīng)能方便而迅速的（在 1分鐘內(nèi)）恢復(fù)到原來(lái)的程序。 d) 故障診斷軟件的診斷精度： 要求故障診斷軟件能對(duì)硬件故障進(jìn)行診斷和定位，故障 診斷定位后應(yīng)能顯示或打印，報(bào)告故障設(shè)備的物理位置等有關(guān)信息。 對(duì)硬件故障診斷定位的精度要求如下： 用戶(hù)會(huì)話(huà)，應(yīng)可定位至每一會(huì)話(huà)。 對(duì)于各公共部件電路，如：處理機(jī)、接口電路、存儲(chǔ)器、輸入 /輸出設(shè)備等的硬件故障應(yīng)能達(dá)到：70%的故障能自動(dòng)定位至一塊板， 90%能自動(dòng)定位至 3塊板， 100%能定為至 5 塊板 。 （ 10） 時(shí)鐘同步要求 1. 同步方式 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 a) 采用主從同步方式。 2. 定時(shí)特性要求 a) 滿(mǎn)足“數(shù)字同步網(wǎng)節(jié)點(diǎn)時(shí)鐘系列及其定時(shí)特性” 4.2、 4.3節(jié)規(guī)定的要求。 3. 定時(shí)接口要求 a) 定時(shí)方式 外定時(shí)方式； 線(xiàn)路定時(shí)方式。 b) 接口種類(lèi) 1）外 定時(shí)接口種類(lèi)： 2048kbit/s接口。 2048kHz接口。 2）線(xiàn)路定時(shí)接口種類(lèi)： 2048kbit/s接口，對(duì)于 PDH傳輸。 c) 外定時(shí)接口的數(shù)目 被同步設(shè)備的外定時(shí)接口數(shù)目一般至少為 2個(gè)。 d) 外定時(shí)接口的要求 物理 /電氣特性 對(duì)于 2048kbit/s接口，應(yīng)符合 ITU-T建議 G.703第 6節(jié)的要求。 對(duì)于 2048kHz接口，應(yīng)符合 ITU-T建議 G.703第 10節(jié)的要求。 功能要求 外定時(shí)接口應(yīng)具有自動(dòng)或人工倒換的功能。對(duì)于 2048kbit/s接口，其幀結(jié)構(gòu)應(yīng)符合ITU-T建議 G.704第 2.3節(jié)的要求。 4. 接口性能要求 a) 對(duì)于 2048kbit/s 和 2048kHz 接口，其輸入抖動(dòng)和漂移容限應(yīng)滿(mǎn)足 ITU-T 建議G.823 的要求。 b) 對(duì)于 STM-N 接口，其輸入抖動(dòng)和漂移容限應(yīng)滿(mǎn)足 ITU-T建議 G.825 的要求。 （ 11） 網(wǎng)管要求 Radius 對(duì) SIM、 PEAP、 MAC、 Web 四種認(rèn)證方式分別統(tǒng)計(jì)在線(xiàn)用戶(hù)數(shù)、流量、認(rèn)證成功率。 滿(mǎn)足電信級(jí)設(shè)備要求和節(jié)能減排要求 。 滿(mǎn)足電信級(jí)設(shè)備要求和節(jié)能減排要求 （ 12） 在線(xiàn)沖突處理功能 AAA 根據(jù)“后上踢先上”的原則，在多個(gè)用戶(hù)使用同一帳號(hào)登錄時(shí)，采用 DM 消息向 AC 要求踢 用戶(hù)下線(xiàn) 。 2、 AC/AP 1、 AP支持 802.11i； 2、 AC支持 802.1x； 3、 AC支持 PEAP認(rèn)證流程； 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 4、 PEAP認(rèn)證對(duì)應(yīng) SSID可配置開(kāi)啟 /取消 15分鐘下線(xiàn)機(jī)制。 Portal認(rèn)證對(duì)應(yīng) SSID仍保留 15分鐘下線(xiàn)功能。 已確人華為、華三、中興、大唐支持此功能，國(guó)人下線(xiàn)時(shí)長(zhǎng)全局配置，需改造支持，宏信需改造支持。 5、 AC支持用戶(hù)累計(jì)流量小于一定閾值，則應(yīng)對(duì)該用戶(hù)下線(xiàn)并停止計(jì)費(fèi)。 6、（可選功能） AC支持向向之間定期發(fā)送 Keep-Alive心跳消息實(shí)現(xiàn)?；?，心跳消息采用EAP-Request及 EAP-Response標(biāo)準(zhǔn)消息，詳細(xì)過(guò)程見(jiàn)下圖。 AC提供可配置的如下參數(shù)： 心跳開(kāi)始 Timer：如無(wú)流量，心跳開(kāi)始 Timer進(jìn)行計(jì)時(shí)，設(shè)定 Timer過(guò)期后， AC發(fā)送 EAP心跳消息。 心跳重試 Timer： AC發(fā)送 EAP心跳消息后，在心跳重試 Timer設(shè)定的時(shí)間內(nèi)，如無(wú)響應(yīng)，則重新發(fā)送 EAP心跳消息。 心跳重試次數(shù)： AC重發(fā) EAP心跳消息的最大次數(shù)。 心跳機(jī)制可以通過(guò)配置選項(xiàng)打開(kāi)或關(guān)閉。 W L A N U E W L A N A Ne a p _ r e q u e s t / i d e n t i t ye a p _ r e s p o n s e / i d e n t i t ye a p _ s u c c e s s7、 AC支持精確流量計(jì)費(fèi)。 8、當(dāng)使用綁定域名的證書(shū)時(shí)， AC支持通 過(guò)域名方式訪(fǎng)問(wèn) AAA服務(wù)器。 3、 BOSS改造要求 支持 WLAN套餐訂購(gòu)和認(rèn)證功能開(kāi)通。 五、 安徽省組網(wǎng)方案 知識(shí)水壩（豆丁網(wǎng) pologoogle）為您傾心整理（下載后雙擊刪除） 百度一下 知識(shí)水壩 現(xiàn)網(wǎng) WLAN AC/BRAS升級(jí)支持支持 PEAP認(rèn)證識(shí)別和報(bào)文透?jìng)鳎瘓F(tuán)集采要求 AC支持）； 新部署 AAA，或現(xiàn)網(wǎng) AAA升級(jí)，支持 PEAP認(rèn)證服務(wù)器功能。 新增一個(gè) SSID（加密模式，如 AUTO-CMCC）給 PEAP認(rèn)證用戶(hù)使用； 為各個(gè) AAA購(gòu)買(mǎi)和部署一套支持 TLS 1.0的證書(shū)，如 Verisign； 對(duì)于移動(dòng)簽約用戶(hù)， WLAN用戶(hù)名建議采用手機(jī)號(hào)；對(duì)于非移動(dòng)簽約用戶(hù)，用戶(hù)名全國(guó) 規(guī)劃，各省通過(guò)號(hào)段前綴區(qū)分； AAA存儲(chǔ)和維護(hù) MSISDN和非簽約用戶(hù)名的號(hào)段。 六、 市場(chǎng)營(yíng)銷(xiāo)策略 一、首先在省公司內(nèi)部進(jìn)行 PEAP自動(dòng)認(rèn)證的試點(diǎn)工作，并收集意見(jiàn)和建議； 二、針對(duì) PEAP自動(dòng)認(rèn)證，為擴(kuò)大體驗(yàn)用戶(hù)群和鼓勵(lì)用戶(hù)使用。在資費(fèi)套餐設(shè)計(jì)的基礎(chǔ)上，我們擬開(kāi)展為期 3個(gè)月的免費(fèi)體驗(yàn)工作，降低使用門(mén)檻，擴(kuò)大試點(diǎn)人群。 三、另外在 PEAP認(rèn)證試點(diǎn)中，在試點(diǎn)資費(fèi)階段，考慮試點(diǎn)與移動(dòng)數(shù)據(jù)流量的融合套餐和 WLAN按流量計(jì)費(fèi)。 四、推廣措施： 1、針對(duì)使用 PEAP認(rèn)證智能終端的手