【文章內(nèi)容簡介】 FIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 6 系統(tǒng) 平臺有良好的人機(jī)對話界面，分類詳細(xì)，設(shè)置簡單，同時具有設(shè)備的運(yùn)行監(jiān)控界面，便于網(wǎng)絡(luò)管理員的管理、監(jiān)控和維護(hù)。 ? 網(wǎng)絡(luò)安全性 系統(tǒng)應(yīng)提供嚴(yán)密的身份驗(yàn)證、訪問控制、歷史審計等措施 ， 數(shù)據(jù)庫采用 集群或雙機(jī)熱備方式 ，以保證在出現(xiàn)災(zāi)難時能夠快速的恢復(fù)到 24 小時以前的數(shù)據(jù)狀態(tài)。 整體系統(tǒng) 具有嚴(yán)格的訪問控制機(jī)制，可有效控制非法訪問者通過網(wǎng)絡(luò)對外部資源的訪問；同時對數(shù)據(jù)庫采取網(wǎng)絡(luò)隔離，保證了 系統(tǒng) 數(shù)據(jù)庫的安全。 ? 網(wǎng)絡(luò)路由協(xié)議的開放性 寬帶接入認(rèn)證計費(fèi)系統(tǒng)需 具有很好的可擴(kuò)展性，其網(wǎng)絡(luò)額外開銷 不能很大 ， 而且 支持國際標(biāo)準(zhǔn)協(xié)議，保證不同設(shè)備間的互通性。 5. 方案描述 . 系統(tǒng)概述 無線網(wǎng)絡(luò)運(yùn)營計費(fèi)管理平臺（ WiFi MA3 M amp。 Operation Platform）是城市熱點(diǎn)在無線產(chǎn)品總稱，包括以下系統(tǒng)： 硬件： 2033 AC 訪問控制服務(wù)器 軟件： RADIUS 認(rèn)證計費(fèi)服務(wù)器 Billingware ： 計費(fèi)運(yùn)營支撐平臺 2033 AC Portal Server ： AC 集中式門戶服務(wù)器 PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 7 . 組網(wǎng)與 系統(tǒng)結(jié)構(gòu) 如上圖， 2033 AC 采用雙機(jī)熱備方式 串接 在 核心 交換機(jī)和出口路由中間 ，負(fù)責(zé)對所接入的 WLAN用戶訪問互聯(lián)網(wǎng)的接入、認(rèn)證、計費(fèi)和控制， 以及數(shù)據(jù)采集 。 RADIUS 服務(wù)器、 Billingware、 AC Portal 服務(wù)器等軟件服務(wù)器群部署在 運(yùn)營商 數(shù)據(jù)中心， 系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、策略設(shè)置、賬號管理、統(tǒng)計輸出報表、訪問記錄存儲等業(yè)務(wù)功能。 各部分的主要作用說明如下： ? RADIUS 服務(wù)器――― 該系統(tǒng)處理 無線用戶提交的 身 份 認(rèn)證請求， 可以 基于賬號特征 轉(zhuǎn)發(fā) 到 相應(yīng)的 漫游移動運(yùn)營商或駐地運(yùn)營商 ， 也可 獨(dú)立對本地賬號進(jìn)行認(rèn)證和計費(fèi) ，本地認(rèn)證模式下，賬號系統(tǒng)最大支持 20 萬規(guī)模。 ? 網(wǎng)絡(luò)管理―――該系統(tǒng)對 各 AC 的設(shè)備提供設(shè)備管理、配置管理、安全管理等功能； Inter Router 流量監(jiān)控和業(yè)務(wù)管理系統(tǒng) 2033 AC（ 1+1冗余備份） PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 8 ? Portal 服務(wù)器――― Portal 服務(wù)器將具備根據(jù)用戶名后綴選擇采用 PAP或 CHAP 認(rèn)證方式，推送認(rèn)證頁面及用戶使用狀態(tài)頁面，接收 WLAN 用戶的認(rèn)證信息，向 AC 發(fā)起用戶認(rèn)證請求，以及用戶下線通知。實(shí)現(xiàn) 國內(nèi)外移動運(yùn)營商和 靈活的頁面定制、業(yè)務(wù)集中管理。 ? 2033 AC（ Access Control）――― 無線接入控制器 ） ， 是一種專用的無線局域網(wǎng)的訪問控制服務(wù)器 (WLAN AC)，安裝在網(wǎng)絡(luò)的出口，負(fù)責(zé)用戶的認(rèn)證和授權(quán)，數(shù)據(jù)采集、實(shí)時控制和執(zhí)行各種網(wǎng)絡(luò)管理策略。 Billingware 認(rèn)證計費(fèi)管理系統(tǒng)，包含以下主要功能： ? 用戶管理―――該系統(tǒng)對公共無線網(wǎng)絡(luò)賬號進(jìn)行統(tǒng)一管理，包括用戶組、用戶授權(quán)設(shè)置、計費(fèi)策略、用戶賬號管理等； ? 業(yè)務(wù)管理―――該系統(tǒng)主要處理公共無線網(wǎng)絡(luò)賬號的業(yè)務(wù)辦理、變更、續(xù)費(fèi)、退戶業(yè)務(wù)等，相當(dāng)于營業(yè)廳 的作用； ? 計費(fèi)管理―――該系統(tǒng)對 所有無線用戶賬號，包括本地賬號、漫游 移動運(yùn)營商賬號的上網(wǎng)話單進(jìn)行集中管理，包括生成用戶賬單、各商戶（如學(xué)校、公共區(qū)域、移動運(yùn)營商）間的對帳、分成結(jié)算等。 . 業(yè)務(wù)處理架構(gòu) 無線網(wǎng)認(rèn)證計費(fèi)系統(tǒng)的業(yè)務(wù)處理架構(gòu)主要分為三個層次， 以北電 MESH 網(wǎng)為例， 如下圖： PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 9 ? 無線鏈路接入層： 由部署在各熱點(diǎn)區(qū)域的北電無線 AP 組成，北電無線 AP 提供 認(rèn)證協(xié)議，用戶使用操作系統(tǒng)的自帶的 客戶端發(fā)出認(rèn)證請求，北電無線 AP將認(rèn)證請求轉(zhuǎn)發(fā)至 RAIUS 服務(wù)器。 ? 安全控制層： 由若干臺北電無線網(wǎng)關(guān)（ WG7250）、 AP GATEWAY、 2033 AC組成，北電 WG7250、 AP GATEWAY 實(shí)現(xiàn)用戶 AP 間漫游、動態(tài)地址分配， 2033 AC 負(fù)責(zé)將用戶重定向到 Portal 認(rèn)證頁面，同時將認(rèn)證請求轉(zhuǎn)發(fā)至 RADIUS 服務(wù)器。 2033 AC 另一個重要作用是用戶上網(wǎng)行為控制和管理，包括訪問記錄采 PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 10 集、 P2P 應(yīng)用控制、訪問控制。 ? 認(rèn)證計費(fèi)控制層 ： 由 運(yùn)營商無線網(wǎng)管理中心的 RADIUS 服務(wù)器 、各類認(rèn)證服務(wù)器，以及后臺相關(guān)計費(fèi)管理系統(tǒng)組成，還包括與移動運(yùn)營商、一卡通系統(tǒng)、預(yù)付卡系統(tǒng)等的接口。整個認(rèn)證計費(fèi)控制層，將 2033 AC 轉(zhuǎn)發(fā)的用戶認(rèn)證請求，根據(jù)其用戶賬號的后綴，轉(zhuǎn)發(fā)到相應(yīng)的認(rèn)證服務(wù)器進(jìn)行驗(yàn)證，并將返回的結(jié)果返回給無線接入點(diǎn)或無線網(wǎng)關(guān)，無線接入點(diǎn)或無線網(wǎng)關(guān)根據(jù)返回的結(jié)果控制是否允許用戶訪問網(wǎng)絡(luò)。對于 WEB 登錄方式的用戶， WEB Portal 服務(wù)器將根據(jù)用戶名后綴選擇采用 PAP 或 CHAP 認(rèn)證方式，推送 相應(yīng)的 認(rèn)證頁面及用戶使用狀態(tài)頁面，接收 WLAN 用戶的認(rèn)證信息，向 2033 AC 發(fā)起用戶認(rèn)證 請求，以及用戶下線通知。 用戶的原始話單，由 2033 AC 傳送給運(yùn)營商無線網(wǎng)管理中心的 RADIUS 服務(wù)器 和相應(yīng)的計費(fèi)服務(wù)器同時保存，以便需要時核對賬單，或商戶間對帳結(jié)算。 運(yùn)營商 無線網(wǎng)管理中心的 RADIUS 服務(wù)器和 Billingware 系統(tǒng)的關(guān)鍵業(yè)務(wù)模塊均采用高可用設(shè)計，主要包括： RADIUS 服務(wù)器采用一主一備方式部署，數(shù)據(jù)庫服務(wù)器采用雙機(jī)熱備，數(shù)據(jù)存儲采用磁盤陣列等。 . 預(yù)付費(fèi) 方式 實(shí)現(xiàn) 在 公共區(qū)域 WLAN 運(yùn)營 中， 典型的計費(fèi)策略是采用 預(yù)付費(fèi) 方式，計時或 計流量， AC 可以采用 RADIUS 方式和本地方式實(shí)現(xiàn)預(yù)付費(fèi)， RADIUS 方式適合與第三方 RADIUS 服務(wù)器計費(fèi)時采用（如移動運(yùn)營商 BOSS 系統(tǒng)） ；本地方式，即采用 AC 與 Billingware 計費(fèi)支撐平臺共同工作時采用 。 本地方式可以提供比 RADIUS 方式更靈活的預(yù)付費(fèi)策略，如預(yù)付費(fèi)賬號用物理時鐘 來作為有效期，而非用戶使用時長。典型使用環(huán)境為大型展會、 機(jī)場等公共區(qū)域，用戶購買 2 小時有效期的卡后，一旦賬號登錄激活后，賬號的有效期自動開始倒計時，無論用戶中途有無使用， 2 小時 到后，賬號自動失效。 PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 11 RADIUS方式下的預(yù)付費(fèi)的實(shí)現(xiàn) ,主要是 由 ISP后臺計費(fèi)系統(tǒng)將用戶余額換算為最大可使用時間，再由 RADIUS 記 賬服務(wù)器通過 RADIUS 的擴(kuò)展屬性SessionTimeoutID=27（ RFC2866）傳給 AC， 由 AC 控制當(dāng)次用戶最大接入時間 ， AC 以 1ms 為間隔檢測用戶使用時長，如果用戶使用時長達(dá)到最大可用時間，則 實(shí)時 將用戶的連接終止 ；如果當(dāng)次用戶沒有達(dá)到最大可用時間，則 RADIUS 服務(wù)器將 AC 上傳的 RADIUS 計賬包中的 使用時長乘以費(fèi)率生成賬單，并在用戶余額中減去該次費(fèi)用，重現(xiàn)更新最大使用時長，以便給下次用戶登錄使用。 實(shí)現(xiàn)流程如下圖： PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 12 USER AC RADIUS Server Access Request 1. Login username/pass 2. 3. 將用戶余額轉(zhuǎn)換成最大可用時長 Access Accept 4. Accounting Request/start Accounting Response/start ID=27 SessionTimeout＝最大可用時間 5. 6. 登錄成功，通過 AC 訪問互聯(lián)網(wǎng) 7. 檢測用戶到達(dá)最大可用時間 Accounting Request/stop 8. 9. Accounting Response/stop 10. 11. 終止用戶訪問連接 PROPRIETARY amp。 CONFIDENTIAL. 機(jī)密及專有。 ALL RIGHTS RESERVED. 版權(quán)所有，未經(jīng)書面同意，不得轉(zhuǎn)載。 FOR REFERENCE ONLY. 僅供參考。 北京城市熱點(diǎn)資訊有限公司 13 . 登陸認(rèn)證流程 W L A N 用戶終端AC P O RT A LRA DI US 用戶認(rèn)證服務(wù)器強(qiáng)制P o r t a l流程認(rèn)證流程計費(fèi)開始1 . H T T P r e q u e s t2 . H T T P r e q u e s t3 . H T T P r e s p o n s e4 . H T T P s p o s t[ u s e r n a m e ， p w d ]5 . C G I s e n d ( e n c r y p t e d )6 . C G I r e s p o n s e7 . a c c e s s r e q u e s t8 . a c c e s s a c c e p t1 2 . A c c o u n t i n g r e q u e s t / s t a r t1 3 . A c c o u n t i n g r e s p o n s e / s t a r t1 1 . H T T P r e s p o n s e9 . C G I A U T H o v e r r e q u e