【YD通讯标准】 宽带网络接入服务器支持 WLAN 接入及用户认证的技术要求

ICS33.040.01
中华人民共和国通信行业标准
YD/T2842-2015
宽带网络接入服务器支持WLAN接入及用户认证的技术要求
Technical specificationfornetworkequipmentBRAS to supportuserauthenticationinWLANaccessnetworkscenario2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义·
3.2缩略语
4·AC/BRAS分设的WLAN网络总体架构5BRAS支持Portal认证的技术要求5.1Portal认证流程
5.2BRAS技术要求
6BRAS支持MAC认证的技术要求·6.1MAC认证流程
6.2BRAS技术要求·
7BRAS支持PEAP认证的技术要求·7.1PEAP认证流程
7.2BRAS技术要求
7.3BRAS支持PEAP认证点的认证流程（可选）7.4BRAS支持PEAP认证点的技术要求（可选）8BRAS支持EAP-SIM/AKA认证的技术要求8.1EAP-SIM/AKA认证流程
8.2BRAS技术要求..
8.3BRAS支持EAP-SIM/AKA认证点的认证流程（可选）8.4BRAS支持EAP-SIM/AKA认证点的技术要求（可选）附录A（资料性附录）PMK下发交互报文字段定义·参考文献
YD/T2842-2015
YD/T2842-2015
本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国电信集团公司、中国联合网络通信集团有限公司、华为技术有限公司。本标准主要起草人：高波、王
，波，潘毅明，黄国瑾，夏俊杰，华一强，王泽林，王晓晟、薛莉
杜宗鹏、胡俊理、钱国锋。
HiiKAoNiKAca
YD/T2842-2015
本文件的发布机构提请注意，声明符合本文件时，可能涉及到《一种无线局域网中密钥传递的方法设备和系统》中密钥传递的方法与本文件附录A中的PMK下发方案相关的专利的使用。本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。该专利持有人已向本文件的发布机构保证，他愿意同任何申请人在合理且无歧视的条款和条件下，就专利授权许可进行谈判。该专利持有人的声明已在本文件的发布机构备案。相关信息可以通过以下联系方式获得：
专利持有人姓名：华为技术有限公司地址：深圳市龙岗区坂田华为基地请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
HiiKAoNiKAca
YD/T2842-2015
宽带网络接入服务器支持WLAN接入及用户认证的技术要求1范围
本标准规定了宽带网络接入服务器（BRAS）支持WLAN接入及用户认证的技术要求。本标准适用于公共热点WLAN网络AC和BRAS分离部署场景下，支持用户认证的宽带网络接入服务器技术要求。本标准不适用于公共热点WLAN网络AC和BRAS合为一体部署场景（AC具有BRAS对用户地址分配、认证、管理等功能）。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1148
IETFRFC2548
IETFRFC2759
IETFRFC2865
IETFRFC3748
IETFRFC4186
IETFRFC4187
IETFRFC5176
IEEE802.1X
IEEE802.11
3术语、定义和缩略语
3.1术语和定义
网络接入服务器技术要求一宽带网络接入服务器微软特定的RADIUS属性（MicrosoftVendor-specificRADIUSAttributes）微软的点到点协议的CHAP扩展第二版（MicrosoftPPPCHAPExtensions，Version2 (MSCHAPv2))
远程认证拨号用户服务（RemoteAuthenticationDialInUserService（RADIUS)）扩展认证协议（ExtensibleAuthenticationProtocol（EAP)）针对全球移动通信系统用户标示模块的扩展认证协议方法（ExtensibleAuthentication Protocol Method for Global System for Mobile Communications(GSM)SubscriberIdentityModules (EAP-SIM))针对第三代移动通信系统认证和密钥协商的扩展认证协议方法（ExtensibleAuthentication Protocol Method for 3rd Generation Authentication and KeyAgreement (EAP-AKA))
RADIUS的动态授权扩展（DynamicAuthorizationExtensionstoRemoteAuthenticationDial In User Service (RADIUS))基于端口的访问控制（Port-BasedNetworkAccessControl）信息技术系统间过程通信和信息交换局域网和城域网特定要求第11部分无线局域网媒体设备访问控制和物理层规范（IEEEStandardforInformationtechnology--Telecommunications and information exchange between systems Localand metropolitan area networks--Specific requirements Part ll: Wireless LANMedium Access Control (MAC) andPhysical Layer (PHY) Specifications)下列术语和定义适用于本文件：iiiKAoNiKAca
YD/T2842-2015
无线接入点AccessPoint
WLAN网络中的用户无线接入设备。3.1.2
无线控制点AccessController
WLAN网络中管理AP的设备，它通过CAPWAP协议来实现对AP的管理。3.1.3
宽带网络接入服务器BroadbandRemoteAccessServer面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户宽带网络的数据接入。3.1.4
无线局域网WirelessLocalAreaNetworks以无线信道作传输媒介的计算机局域网，遵循IEEE802.11系列协议。3.1.5
远程认证拨号用户服务RemoteAuthenticationDialinUserService广泛应用的AAA协议，它是一种同时兼顾验证、授权及计费三种服务的网络传输协议。3.1.6
扩展认证协议ExtensibleAuthenticationProtocol一个认证框架，它提供一些公共的功能，并且允许协商所希望的认证机制，这些机制被称为EAP方法，例如PEAP、EAP-SIM/AKA。
802.1X认证802.1xAuthenticationIEEE为了解决基于端口的接入控制而定义的一个标准，它在运营商WLAN网络部署被广泛采用。802.1X认证体系结构包括三个重要的组成部分：客户端、认证点和认证服务器。3.1.8
认证点Authenticator
802.1X认证中的认证点，用于连接客户端和认证服务器实现对客户端的认证。3.1.9
成对主密钥PairwiseMasterKey
对于使用RADIUS服务器的802.1X身份验证，PMK由无线客户端和RADIUS服务器共同确定，RADIUS服务器通过RADIUSAccess-Accept消息将PMK传输给WLAN设备。接收到PMK后，WLAN设备与用户终端启动临时密钥消息交换机制，协商出来的密钥将作为802.11数据传输过程中的加密/解密密钥。3.2缩略语
以下缩略语适用于本文件：
3rd Generation Partnership ProjectAuthenticationAuthorizationAccountAccess Controller
Authentication and Key Agreement第三代合作伙伴计划
认证授权计费
WLAN接入控制节点
3G的认证与密钥协商
HiiKAoNiKAca
CAPWAP
RADIUS
Access Point
Broadband Remote Access ServerControllingandProvisioningof WirelessAccessPointChallenge-HandshakeAuthenticationProtocolDynamic Host Configuration ProtocolDisconnect Message
ExtensibleAuthentication ProtocolExtensible Authentication Protocol over LANMedium Access Control
Password Authentication ProtocolPersonal Computer
Protected EAP
Pairwise Master Key
Quality of Service
Remote Authentication Dial In User ServiceSubscriber IdentityModule
User Equipment
Universal Subscriber IdentityModuleUniformResourceLocator
Virtual Private Network
Wireless Local Area Networks4AC/BRAS分设的WLAN网络总体架构WLAN接入节点
YD/T2842-2015
宽带网络接入服务器
AP控制与配置协议
挑战-握手验证协议
动态主机设置协议
断开连接消息
扩展认证协议
承载于局域网上的扩展认证协议媒体介入控制层
口令验证协议
个人电脑
受保护的EAP
成对主密钥
服务质量
远程认证拨号用户服务
用户身份模块
用户终端
全球用户识别卡
统一资源定位符
虚拟局域网
无线局域网络
WLAN网络架构中主要包括如下设备：AP、AC、BRAS、Portal服务器、RADIUS服务器。其中AC设备的部署位置会直接影响WLAN网络架构，本标准主要关注AC和BRAS分设的WLAN网络架构，其中AC负责无线资源管理、AP的配置和管理，BRAS负责用户的地址分配、接入认证、用户管理等功能。该场景下，用户数据可以经AC集中转发，也可以本地直接转发，WLAN网络架构有如下四种：网络架构（一)：AC旁挂于BRAS。该架构中，AC旁挂BRAS，AP和AC之间可以采用三层组网，AC实现对BRAS以下AP进行配置和管理，如图1所示。AC
接入网
图1AC旁挂于BRAS
城域网
Portal RADIUS
网络架构（二)：AC旁挂于接入网络交换机。该架构中，AC旁挂在二层交换机上，AP和AC之间可以采用二层组网，AC实现对所在二层网络的AP进行配置和管理，如图2所示。3
HiiKAoNiKAca
YD/T2842-2015
接入网
图2AC旁挂于接入网络交换机
城域网
Portal RADIUS
网络架构(三)：AC旁挂于城域核心网。该架构中，AC旁挂于城域核心网的汇聚设备上，AP和AC之间可以采用三层组网，AC实现对一个或多个BRAS以下的AP进行配置和管理。此组网模式下，若用户数据经AC集中转发，需BRAS与AC之间开通VPN通道。如图3所示。AC
接入网
图3AC旁挂于城域核心网
城域网
Portal RADIUS
网络架构(四）：AC直连模式。该架构中，AC部署为直连模式。AC实现对其下连的AP进行配置和管理。如图4所示。
接入网
城域网
Portal RADIUS
图4AC直连模式
本标准基于上述组网模式，制定了BRAS支持用户认证技术要求。5BRAS支持Portal认证的技术要求5.1Portal认证流程
Portal认证体系架构如图5所示。Portal Server
Portal协议
用户设备
RADIUS协议
图5Portal认证体系结构
RADIUS
Server
iikAoNiKAca
YD/T2842-2015
Portal认证流程如图6所示。在Portal认证之前，需要用户终端接入指定的SSID（OPEN模式）。User
1.802.11关联
2.角芦通进DHCP协议泰得IP地班3.角芦第一次打开Web页面
4.用户uRL被重定向到Portai服务器5.用户访间Portal服务器
6.返回用户Pprtal认证页面
7.用芦填写用产名和密码，发起认证8.认证请求
Portal
携带用户名、密码（加密）等
9.RADIUS认证请求
10.RADIUS认证回应
11.认证结果
12.确认收到认证结果报文
13.通过Portal页面返回认证结果14.AccountingRequest(Start)
15.Accounting-Response (Start)图6Portal认证工作流程
Portal认证流程可划分为下面几个步骤：a）连接建立过程
·该过程中用户终端和AP设备通过802.11协议建立关联。b）地址分配过程
·用户终端通过DHCP协议获得BRAS分配的IP地址。c）强制重定向过程
·未认证前，用户的Web访问被BRAS强制重定向到Portal页面。d）认证流程
·用户提交用户名和密码，相关网络设备完成认证流程。RADIUS
Server
·在该过程中，为了传递用户名和密码，Portal服务器和BRAS之间的消息交互采用CHAP或PAP方式。下载标准就来标准下载网
iiKAoNiKAca
YD/T2842-2015
e）计费流程
·BRAS通过发送计费报文发起计费流程。Portal认证方式中，用户下线流程包括用户主动下线、强制下线和异常下线。具体如下：用户主动下线流程：用户通过Portal控制触发的用户下线，如图7所示。Portal服务器收到用户的下线请求后，发起用户下线流程。User
1.用户卡
线请求
6.通知用下线结果
2.请求下线
Portal
3.Accounting Request (Stop)
4. Accounting-Response (Stop)5.下线回应
图7Portal认证用户主动下线流程RADIUS
Server
用户（预付费）强制下线流程：用户强制下线流程可分为BRAS触发用户下线和RADIUS服务器触发用户下线两种方式。
·BRAS触发：BRAS监测到用户的剩余时长/流量耗尽，向Portal服务器请求下线，如图8a)所示：·RADIUS服务器触发：RADIUS服务器下发的DM（DisconnectMessages）消息强制用户下线，如图8b）所示。
1.BRAS监测到用户的剩余
时长/流量耗尽
Portal
2. Accounting-Rcquest (Stop)3. Aceounting-Rosponse (Stop)4.下线通知
5.下线回应（可选）
6.通知用中下线结果
a)BRAS触发
RADIUS
Server
7.通知用下线结果
Portal
YD/T2842-2015
RADIUS
Server
1.RADIUS下发isconnect-Request2.BRAS应Disqonnect-ACK
3.Accounting-Request (Stop)
4. Accounting-Response (Stop)5.下线通知
6.下线回应（可选）
b)RADIUS服务器触发
图8Portal认证用户（预付费）强制下线流程用户异常下线流程：用户异常下线是指用户未执行主动退出操作而断开网络连接的情形，如用户关机、重启、或网络故障等。BRAS通过ARP报文探测或流量监测功能感知用户下线，如图9所示。User
5.2BRAS技术要求
1.BRAS通过探测或流量监测
功能感知用户下线
Portal
2. Accounting-Request (Stop)3. Accounting-Response (Stop)4.下线通知
5.下线回应（可选）
图9Portal认证用户异常下线流程宽带网络接入服务器支持Portal认证技术要求应满足以下技术要求。5.2.1接口功能技术要求
RADIUS
Server
Portal认证系统主要包括四个组件：用户终端，BRAS，Portal服务器和RADIUS服务器。在支持Portal认证的场景中，BRAS应支持以下接口：BRAS设备应支持与Portal服务器的接口。接口的功能要求包括：用户名密码交互，认证信息交7
YD/T2842-2015
互，用户管理等。
BRAS设备应支持与RADIUS服务器的接口。接口的功能要求包括：用户认证计费信息交互！用户管理等。
5.2.2协议功能技术要求
Portal认证中，BRAS应支持如下协议和功能的技术要求：BRAS应支持自动地址配置协议，如DHCPv4协议，在IPv6下的SLAAC协议和DHCPv6协议。一BRAS应支持HTTP协议和TCP协议的侦听能力，支持Portal认证的功能。一BRAS应支持向用户发送HTTP重定向响应，该重定向地址指向Portal的URL。—BRAS应支持Portal协议，以保证与Portal服务器正确交互。一BRAS应支持RADIUS协议，以保证与RADIUS服务器正确交互。BRAS应支持根据接受到的用户名和密码封装成认证请求报文，向RADIUS服务器发送认证请求。一为了增加安全性，防止Portal服务器仿冒，BRAS需要支持身份验证功能，如IP地址校验和/或MD5校验。
一为了保证用户认证信息的传输的安全性，BRAS需要支持IPSec安全隧道协议（可选）。Portal认证中，BRAS应支持受控逻辑端口和非受控逻辑端口的功能。在完成用户认证流程之前，BRAS设备受控逻辑端口关闭，连接在受控逻辑端口的非授权用户不能访问网络资源。非受控逻辑接口充许用户的控制层协议报文通过。
BRAS应支持下述受控逻辑端口和非受控逻辑端口功能要求：一BRAS应支持受控逻辑端口初始状态为关闭，未完成或未通过授权的用户终端不能访问受保护网络资源：在用户终端认证成功后，BRAS设备的受控逻辑端口打开，用户终端可通过BRAS访问受保护网络资源。
一BRAS的受控逻辑端口可以配置为双向受控或单向受控状态。当实行双向受控时，禁止数据的发送和接受；实行单向受控时，禁止从用户终端接受数据，但允许向用户终端发送数据。一为保证Portal方式的接入身份认证，需要保证用户终端满足一定的网络基础条件。例如用户终端需要预先获得P地址，且能够进行地址解析，以保证浏览器能够正常发起网络请求。为此，需要BRAS支持非受控逻辑端口允许授权的控制信令通过，如ARP协议，自动地址配置协议（如DHCPv4协议，IPv6下的SLAAC协议和DHCPv6协议）。非受控端口的转发状态不受制于受控端口的状态。一为支持基于Portal接入身份认证，需要用户终端具备一定的网络访问能力。在用户完成Portal认证之前，需要保证用户终端能够访问DNS服务器、Portal服务器地址。因此，BRAS设备应支持允许目的地地址为这类地址的用户报文通过。一BRAS受控逻辑端口和非受控逻辑端口应可支持IPv4IPv6协议。一用户正常下线，BRAS可通过获取Portal服务器的用户下线通知，关闭受控逻辑端口。一用户异常下线，BRAS可通过ARP报文探测或流量监测功能感知用户下线，关闭受控逻辑端口。5.2.3用户和业务管理技术要求
Portal认证中，BRAS应支持对用户流量进行管理，以实现认证阶段用户流量重定向、用户管理等功能。BRAS应支持下述用户流量管理功能：BRAS支持在截获到未授权用户HTTP流量后，将用户请求的Web页面重定向到Portal服务器。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。