1、lCS 33040 40M 32 Y口中华人民共和国通信行业标准YD丌1 963-2009远程教学通信平台 通信协议Distance Learning Communications PlatformCommunication Protocols2009-06-1 5发布 2009-09-Ol实施中华人民共和国工业和信息化部发布目 次YD,T 1 963-2009言II范围1规范性引用文件l术语、定义和缩略语1概述3远程教学通信平台的参考点4用户使用远程教学业务的通信阶段及通信流程5通信协议14安全要求18j日12345678刖 置本标准是远程教学通信平台系列标准之一,本系列标准的结构和名称如下
2、:(1)GBT 21644-2008网络远程教育平台总体要求(2)YDT 15142006 远程教学通信平台用户接入认证授权计费技术要求(3)YDT 19632009 远程教学通信平台通信协议本标准由中国通信标准协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中兴通讯股份有限公司本标准主要起草人:蒋林涛、聂秀英、刘述、沈灿、王东YD厂r 1 963-2009II远程教学通信平台通信协议Y D,广r 1963-20091范围本标准规定了远程教学通信平台相关的通信协c义。主要包括远程教学通信平台的参考点、远程教学业务的通信阶段、远程教学业务的通信流程以及远程教学通信平台用户接入认证授权计
3、费系统的通信涛议。本标准适用于远程教学通信平台用户接入认证授权计费系统。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修汀版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 21644-2008 网络远程教育平台总体要求GBT21640-2008 基于口网络的视讯会议系统设备互通技术要求GBT 216392008 基于口网络的视讯会议系统总技术要求YDT 16152007 公众IP网络安全要求基于远端接入用户验证服务协议
4、(RADIUS)的访问控制YDT 1653-2007 基于IP网络的流媒体业务总体技术要求3术语、定义和缩略语31术语和定义下列术语定义适用于本标准。311认证Aulhnetication核实某个客体(实体)身份的动作。核实用户是否与其所声称的身份的动作。312授权Authorization决定一个提出请求的实体(客体)是否被允许访问资源(主体)豹动作。313远程教学Distance Learning在空间(有时需要连接)和时间(异步教学)上分布的教学活动和环境。本标准中远程教学特指利用IP网络提供的教学服务。314视频会议业务子系统Video Conference Service Subsy
5、stem组成远程教育通信平台的三个业务子系统之一。利用该类业务子系统,远程教育提供者和远程教育YD厂r 1 963-2009使用者之间可以进行实时交互式或非交互式的远程教育活动。主要利用基于fU_T H323的视频会议设备组建该业务子系统。3-j5流媒体业务子系统Streaming Media Service Subsystem组成远程教育通信平台的三个业务子系统之一。利用该类业务子系统,远程教育提供者和远程教育使用者之间可以进行实时非交互式或非实时交互式的远程教育活动。主要利用基于流媒体以及数字版权管理等技术组建的以直播或点播的发方式向用户提供远程教育业务的子系统。316Web业务子系Web
6、-based Service Subsystem组成远程教育通信平台的三个业务子系统之一。利用该类业务子系统,远程教育提供者和远程教育使用者之间可以进行非实时交互式或非交互式的远程教育活动。主要利用传统的Web技术以客户端服务器的方式组建该业务子系统。31_7接入门户Podal远程教学通信平台的用户接入认证授权计费系统中的重要组成部分之一。它是远程教学业务使用者接入到远程教学通信平台的接入点。在接入认证授权计费中心的辅助下,接入门户负责完成对接入用户的认证授权并提供远程教学业务的导航服务。32缩略语下列缩略语适用于本标准。2AAA:ADSLAvPCHAPCMSEAPEAPOLGCFGKGRJG
7、RQHDLC|fmnrPmmLANAuthentication,Authorization and AccountingAsymmetrical Digital SubscriberAttribute Value PairsChallenge Handshack Authentication ProtocolCryptographic Message SyntaxExtensible Authen廿cation ProtocolEAP overLANGatekeeper ConfirmGatekeeperGatekeeper RejectGatekeeper RequestHigh-Level
8、 Data Link ControlHyper Text 3ransport ProtocolHyper Text Transmission ProtocolIdentifierIntemet ProtOcolLocal Area Network认证授权和计费非对称式数据用户线属性值对握手认证协议密码消息语法可扩充认证协议局域网上传送EAP协议网守证实网守网守拒绝网守请求高层数据链路控制超文本传送协议超文本传输协议标识符Imemet协议局域网LA:ILocal Area TransportLCP Link Control ProtocolMCU Multipoint Control UnitM
9、TU Maximum Transmission UnitNAI Network Access IdentifierNAS Network Access ServerOTP One Time PasswordPAP Password Authenticadon ProtocolPPP Point to Point Protoc01RADIUS Remote Authentication Dialin User ServiceRAS RegistrationAdmission,and StatusRCF Registration ConfirmRFC Request for CommentsRRJ
10、 Registration RejectggQ Registration RequestRTCP RTP Control Protoc01R口 RealTime Transport ProtocolSCTp Stream Control Transmission ProtocolSL Serial Line IPSMI Structure of Management InformationSNMP Simple Network Management ProtocolTCP Transport Control ProtocolTLS Transport Layer SecurityUDP Use
11、r Datagram ProtocolURL Uniforin Resource locator4概述YD厂r 1 963-2009局域传送协议链路控制协议多点控制单元最大传输单元网络接入标识网络接入服务器一次性密码密码认证协议点对点协议远程拨入用户认证服务注册、允许和状态注册证实征求意见注册拒绝注册请求实时传送控制协议实时传送协议流控制传输协议串行口管理信息结构简单网管协议传输控制协议传送层安全用户数据报文协议统一资源定位符远程教学通信平台为用户提供实时交互式、实时非交互式、非实时交互式以及非实时非交互式的远程教学服务。远程教学通信平台可以架构在各种通信网络之上,本标准中仅规定架构于m网络之
12、上的远程教学通信平台通信协议。用户可以通过各种通信网络连接到承载远程教学通信平台的口网络之上。为向用户提供用户所希望得到的远程教学服务,远程教学通信平台通常由多媒体会议业务子系统、流媒体业务子系统以及基于Web的业务子系统中的一个或多个业务子系统组成。为方便用户使用,同时便于通信平台提供者对通信平台的管理,远程教学通信平台采用集中的认证授权计费系统对使用远程教学通信平台的用户进行统一的认证、授权和计费。鉴于多媒体业务子系统、流媒体业务子系统以及基于Web的业务子系统均可以作为独立的业务系统向用户提供业务,而且已有或将有相应的标准规定各业务子系统所使用的通信协议,本标准中直接参考这些协议而不对这
13、些协议做具体规定。本标准主要规定认证、授权和计费所采用的通信协议。网络层之3YD厂r 1 963-2009下的部分的通信协议不在本标准的范围之内。视频会议业务子系统可以是基于H323的视频会议业务子系统也可以是基于SIP的视频会议业务子系统。本标准所涉及的视频会议业务子系统均指基于L323的视频会议业务子系统。基于SIP的视频会议业务子系统的相关内容有待进一步研究。5远程教学通信平台的参考点口网络上的远程教学通信平台通常由多媒体会议业务子系统、流媒体业务子系统以及基于Web的业务子系统中的一个或多个业务子系统组成。口网络上的远程教学通信平台的参考点如图1所示。V露p望i H堂鲨l图1 远程教学
14、通信平台的参考点远程教学通信平台可能包含的参考点如下:(a)参考点A:终端与接入门户之问的接口,当用户浏览信息时,在用户进行认证时传送相应的消息。(b)参考点B:接入门户与认证计费中心之间的接口,传送认证信息。(c)参考点c:认证计费中心与其他的认证计费中心之间的接口,传送漫游用户的认证与计费信息。(d)参考点D:终端与接入门户的接口,根据终端连接到IP网络方式的不同可以采用相应的通信协议(如PPP等)。与该参考点相关的通信协议不在本标准中规定。(e)参考点E:接入门户与网络层认证计费中心之间的接口,通过该接口传送认证与计费相关的信息。与该接口相关的通信协议不在本标准中规定。(f)参考点F(可
15、选):接入门户与远程教育认证计费中心之间的接口。(g)参考点G(可选):网络层认证计费中心与远程教育认证计费中心之间的接口,与该参考点相关的协议不在本标准中规定。(h)参考点H:Web业务子系统与远程教学认证计费中心之间的接ISI,传送计费启始消息和计费信息。(i)参考点I:流媒体业务子系统与远程教学认证计费中心之间的接口,传送计费启始消息和计费信息。(j)参考点J:视频会议业务子系统与远程教学认证计费中心之间的接口,传送启始消息和计费信息。4YD厂r 1 963-2009(k)参考点K:用户终端与流媒体业务子系统之问的接口,传输控制信息和流媒体信息。(1)参考点L:用户终端与视频会议业务子系
16、统之间的接口,传输控制信息和媒体信息。(m)参考点M:用户终端与Web业务子系统之间的接口,传输控制信息和媒体信息。(n)参考点N:Web业务子系统与接入门户之间的接口,传输Web业务的导航信息,计费信息等内容;其通信协议不在本标准中规定。(o)参考点0:流媒体业务子系统与接入门户之间的接口,传输流媒体业务的导航信息,计费信息等内容;其通信协议不在本标准中规定。(p)参考点P:视频会议业务子系统与接入门户之间的接13,传输计费信息等内容:其通信协议不在本标准中规定。(q)参考点Q:网络认证计费中心与其他网络认证计费中心之间的接口,经过该参考点传输漫游用户的认证以及计费信息。该参考点为选用参考点
17、。其通信协议不在本标准中规定。6用户使用远程教学业务的通信阶段及通信流程6,1 用户使用远程教学业务的通信阶段本标准规定远程教学内容使用者(学习者)使用远程教学业务的相关内容。不规定远程教学内容提供者使用远程教学通信平台的相关内容。用户在使用远程教学业务的通信阶段包括如下阶段:(1)用户接入认证授权阶段:该阶段是指用户通过接入认证授权并登录到远程教学通信平台的阶段。用户已经通过某种方式连接到承载远程教学通信平台的口网络上,并连接到远程教学通信平台的接入门户上,接入门户提示用户进行认证,远程教学通信平台根据用户所提交的证明自身身份的信息,确定用户是否通过认证以及是否授权用户使用远程教学业务。该阶
18、段可以采用两种方式进行,其一是通过用户名和密码对用户进行认证和授权,其二是利用用户所具有的用户数字证书对用户进行认证授权。(2)使用远程教学业务阶段:该阶段是指从用户选择其有权使用的信息并使用信息的阶段。在业务使用时,用户所选择的远程教学内容可能由多视频会议业务子系统、流媒体业务子系统以及Web业务子系统来提供。在用户需要同时使用其中两个或多个业务子系统时,使用流程为使用各单独业务子系统阶段的组合。(3)退出远程教学业务系统阶段:该阶段是指用户使用完远程教学业务需要从远程教学通信平台推出到完全推出该通信平台为止的阶段。退出阶段包含退出一个业务子系统和退出所有业务子系统的情况。62通信流程621
19、用户接入认证授权阶段通信流程6211 用户采用用户名和密码进行认证和授权的通信流程:62111 用户本地顺利登录到接入门户的通信流程用户通过浏览器访问远程教学通信平台的接入门户,接入门户向用户展示的页面上提示用户输入用户名与密码。在本标准中采用RADIUS协议作为用户认证、授权中心使用的协议。用户登录接入门户认证授权过程如图2所示。用户接入认证授权阶段通信流程说明如下:(1)用户通过浏览器访问接入门户(通过参考点A),接入门户向用户显示一个网页要求输入用户标识与密码。用户输入的用户名,不仅要带有用户标识,还应带有相应的域的标识。其结构为:届0声名境名,以使于认证授权计费中心可以到相应的数据库内
20、进行查询或把接入的请求转发到相应的认证授5虢溅鍪,嚣鬻燃姗桃黼!麓竺嚣戮紫啪授权瓣:器怒纛。黼渤计用户 接AJ3P认证授权计费服务器rf jT七皿如 图2用户登录接入门户认证授权过程三篓骤黧鬻鞣燕。霹鬻瓣善溅震言赢羔搿是二兰竺髫笔嚣湍的茹玄:羔黧嚣嚣鞍返回裂竺瓣名与密码不正确,认证授权计料蚓判断用户的认证不能戤向鲥户消息豢黧豢躲裟淼嚣裟#(5)接入门户发送计费请求启动计费。 一“忧用遇栏教再各业务的唯的凭据。e2,:冶蒺薹篓苏焉鬻计费成功。嚣羹激翕翥墓黧嚣搿勘呦示。粪蒸憋一参6、D_呵1963-20097YD厂r 1 963-2009用户异地登录到接入门户的通信流程说明如F:第一步、第二步与前
21、一图所示相同,第三步本地认证授权计费中心根据用户名内所带的域确定该用户为非本地用户,把用户的AccessRequest请求前转到相应的远端认证授权计费中心进行认证(通过参考点c),在RADIUS请求里增加一个ProxyState参数,其他参数均不改变。远端认证授权计费中心如果查询用户名与密码相匹配,则返回AccessAccept消息,同样消息中带有ProxyState参数。本地认证授权计费中心收到这个消息后把Proxy-State参数删除,转发给接入门户,接入门户收到后设鼍Cookie允许用户的接入。同时,向本地认证授权计费服务器请求开始计费,本地认证授权计费服务器把这个请求转发到相应的认证授
22、权计费服务器上。lB212使用数字证书方式登录的通信流程使用用户名与密码进行用户身份的认证并不有足够的安全性。如果要达到相当安全强度,可使用数字证书方式对用户身份进认证。用户向门户传送数字证书时,可使用TLS协议。使用TLS协议可使用CA系统对通信双方的身份通过数字证书进行认证,关于如何使用CA进行身份认证可参考其他相应的标准。6212 1采用数字证书方式成功登录接入门户的通信流程采用数字证书方式成功登录接入门户的通信流程如图5所示。用户 接入门户 葬誓犟怒1 TLS start,Sbit set 3RADrUS- 2TLS ClientHello。 fAcc蹦s-RequestEAP-Mes
23、sageEAP-ResqonseEAP-Type=EAP-TLS)EAP_RcsquestEAP-Type=EAP-TLS)T“s一兰竺掣霉一 o一t一,6忑(叶 cer。ficate, i忑i、(Access-RequestEAP-MessageEAP-ResquestEAP-Tyw=EAP-TLS)邮“竺! 蕊fz7 fAccess-AcceptlEAPMessageEAPResquestEAP-13pc=EAPTLS)10RAD、IUS “。8“竺P惑篙龇删。图5采用数字证书成功登录的通信流程通信流程说明如下:(1)当用户请求接入门户后,接入门户首先发起一个TLS Start消息,要求用
24、户开始TLS的协商(通过参考点A);8撒:接笆篓惘户竺TL3 clientHello包)=d,向认证授权计黼。发起AcccsS一脚uest消息(通3)过参考点 ,消息中用EAP方式把用户的请求进行封装。 “。、“田。羔芝兰篓多计费中心返罢1二个Access-challenge消息表示还要进一步收集用户的信息。在消息中要筹黧篓I。server_beno消息,包括了接入门户设备的蛳后台认证矗磊毒磊喜蔷豢蕊,。请求用户发送其公钥: “”“;:?警全。!三收到RADlUS消息后从EAP消息里解出TLs相应的消息转发给用户:管沾:熙:黧门户篓!己的公钥,并表示证实了接入门户公钥,同时通;与;己接受的力口
25、密算法,同时结速TLs Hello的协商: “川“口:?篓全门户竺到这些消息后把用户的请求通过EAP消息转发给认证授权计费中心;:8口果认证授权计费札蝴过对用户公开密钥的认证返回Access-Accepc消蓉,。也赫TLsHelI。m,6-:f 一uu:羔、孽仝|、?毒许用户接入,并向用户发送相应的c。he,同时结束TLs Hell。的会话。(10)接入门户发送Accounting-Request消息启动计费会话。j认让授权计费服务器返回AccountingResponse消息。62122用户采用数字证书登录不成功的通信流程用户 接入门户l TLS st,Trc_Sbltc认证授权计费中心T9
26、L(TsLnSnlcshkangTLe_csipdhecrtr_smpeeses,age图6用户采用数字证书登录不成功的通信流程通信流程说明:极计霎誓熏鎏竺的前(7步_詈耋的苎篡量程相同,仅由于用户的公钥没有通过认证,在第8步认证授A权计费中心返回ccessReject消息,拒绝用户的接入。 “”。9“馒9霎攀YD厂r 1 963-2009622用户使用远程教学业务阶段通信流程6221 用户使用视频会议子系统的通信流程62211 用户注册到视频会议子系统用户使用视频会议业务子系统时包括用户到网守的注册阶段、用户连接建立阶段、会议通信阶段以及退出视频业务子系统等4个阶段(通过接IZlL)。本标准
27、中仅描述用户到网守注册与退出阶段(见623小节),用户连接阶段、会议(实时授课阶段)通信阶段视频会议子系统阶段的通信流程应符合基于口网络的视讯会议系统总技术要求中的相关规定。用户到网守注册阶段通信流程如图7所示。视讯会议子业务基于H323协议完成,不能如同上述两项子业务通过HTrP协议完成,而且用户在使用视讯会议时应不需要再一次进行登录。用户点击视讯会议子业务的链接后,网页显示一个表项,要求用户输入网页上显示的一组4位随机数。输入后,用户要下载一个视讯会议的插件,下载完毕后,视讯会议插件开始向接入门户注册。通信流程如图7所示。图7用户注册到视频会议业务子系统通信流程通信流程说明如下:(1)用户
28、终端向接入门户发送GRQ请求(通过参考点L),在GRQ里包含了认证的能力与算法的OID。(2)接入门户有GK代理功能,收到终端发送的GRQ消息后,返回GCF消息,在GCF消息中包含有认证的能力与算法的OID。(3)收到GCF消息后,向接入门户发送eRQ消息,在消息中用户自己的唯一标识(可以门户颁发的Cookie),门户的唯一标识,时间戳,及用户输入的随机数,以用户与接入门户共享的密钥(用户密码)生成一个CryptoToken。算法可用DES或3DES等。如果采用TLS方式进行认证,CryptoToken也可以用加密的公钥方式。(4)接Nflp收到RRQ消息后,同样用相关的信息计算CryptoT
29、oken如果相同,其他参数也合法,则返回RCF消息。否则返回RRJ消息。62212业务计费通信流程用户使用视频会议子系统,视频会议子系统从用户注册消息中提取出用户的用户名、计费会话的标识等信息,周期性地向认证授权计费服务器发送AccountingRequest消息(通过参考点J),消息中AcctStatus-Type表明这是一个InterimUpdate消息。在消息报告用户使用的时长,收发字节数等计费相关内容。10YDT 1 963-2009当用户退出视频会议子系统时,视频会议子系统向认证授权计费服务器发送Accounting-Request消息,消息中Acct-Status-Type表明这是
30、一个InterimUpdate消息。在消息报告用户使用的时长,收发字节数等计费相关内容。视频会议子系统计费通信流程如图8所示。视频会议业务子系统 认证授权计费中心图8视频会议子系统计费通信流程6222用户使用Web业务子系统的通信流程62221 用户采用Cookie方式传递认证信息进行访问用户使用Web业务子系统的(通过接1:3 M)通信流程如图9所示。用户 接入门户 业务子系统|圭|9片I户便用Web业务于系统的通信流程通信流程说明:(1)当用户点击一个链接发送一个GET请求,在这个请求里带有接入门户设置的Cookie来证明用户的身份。(2)13P收到用户的Get请求后,提取用户的p地址,计
31、算Coolde值是否与颁发的致,如果一致,则查看用户是否有权限访问该业务子系统,如果有权,再检查用户是否有足够的余额来请求相应的服务,如果足够,则门户发送一个302号帅状态编码,返回的消息设置一个新的Coolde的属性,C00kie的内容见第73节。在响应的消息中还带有一个Locanon参数,把用户重定向到这个参数指向的地址。如果用户账户上没有足够的金额,接入门户仍把请求重定向到接入门户。 (3)用户收到302号的m状态编码,这个消息中Location参数带着的URL地址发送一个新的请求,发送的这个新的请求里仍带有门户颁发的Cookie,此Cookie包括了登录时颁发的Cookie与第2(4)
32、拥有相应业务子系统收到URL请求后,先从Cooke中提取相应的信息,例如,计算。MD5(uid+time8:8“p+perrnittedSerivces+terminalIP+T),然后, Cookie中加密的字符串用共享密钥解密:苎!:呈蛩篓竺公钥进行解密与计算结果进行对比,如果相同则说明用户的身份没有被冒用,此时显菇;系统再检验第2个Cookie中包含的序列号与同步信息。62-222用户采用URL传递认证信息进行访问用户使用Web业务子系统的(通过接口M)通信流程如图10所示。自。!:,?当用户点击一个链接发送一个GET请求,在这个请求里带有接入r户设置的Cookie来证明用户的身份。 。
33、 “”12一f!皇收到用户的Get请求后,提取用户的P地址,计算c。l(ie值是否与颁发的致,如果警:则享雪要三是雾有权限访问该业务子系统,如果有权,再检查用户是否有足够的余额来磊求磊三的竺苎:。竺果苎竺I则门户发送一个302号卿状态编码,并在页面上生成相应的链,。丢薹爵磊蔷舅随机生成,指向相应的资源 。(3)拥有相应业务子系统收到URL请求后,先从c。】(ie中提取相应的信息,例如,计算MmD。5(。uid+timestamp+p,ermittedSerivces+terrainallP+),然后, Co。l【ie中加密的字符串用共;毒钥毒薹!竺!萎篓篓的公笆篓行解密与计算结果进行对比,如果
34、相同则说明用户的身份没有被冒甭,蔷爵羔;系统再检查URL指向及URL中所带有的序列号与同步信息。 ” 7。,。尽竺璺,Web业务子系统时,web业务子系统从用户提供的c。kie或uIu中提取出用户的用户名、兰蝥宝话的标识等信息,周期性地向认证授权计费服务器发送ACCOl_IIltiIl争Req。时消息(箍过;箬二i,:?:二:=:1:。“。ype农明燧苊一1v“呛rim。Update消息。在消息报告用户使用的时长,收发字节数等计费相关内容。 ”1当用户退出web业务子系统时,w曲业务子系统向认证授权计费中心发送AccountingRequest消息,YD厂r 1 963_2009消息中Acct
35、-Status田pe表明这是一个InterimUpdate消息。在消息报告用户使用的时长,收发字节数等计费相关内容。Web业务子系统计费通信流程如图11所示。Web业务于系统 认证授权计费中心图11 Web业务子系统计费通信流程6223用户使用视频点播业务于系统通信流程视频点播子业务访问视频点播业务(通过参考点K)与Web子业务基本相同。用户访问流媒体业务子系统时,网页上内嵌的播放器控件向流媒体服务器发送带有登录CooKe与访问流媒体服务器的临时Cookie请求,或由重定向到门户生成的一个URL上,流媒体子系统验证CooKe或URL请求的合法性,如果合法则开始播放用户请求的媒体流。用户使用业务
36、的计费过程(通过参考点H)同Web业务子系统相同。623退出阶段通信流程6_231 退出视频会议业务子系统退出视频会议子系统,用户可关闭视频会议的插件,或在门户的网页上点击退出视频会议子系统,返回门户首页。此时视频会议子系统向认证授权计费中心发送相送的计费信息(通过参考点J)。6232退出视频点播业务子系统退出视频点播子系统,用户可关闭视频点播的插件,或在门户的网页上点击退出视频点播子系统,返回门户首页。此时视频点播子系统向认证授权计费中心发送相送的计费信息(通过参考点I)。6233退出Web业务子系统用户在门户的网页上点击退出Web业务子系统,返回门户酋页。Web业务子系统向认证授权计费中心
37、发送相送的计费信息(通过参考点H)。6234退出远程教学通信平台当用户退出远程教学通信平台时,也完成最终用户的计费过程。当用户结束业务时,应明确进行退出操作。门户收到这个请求后,向用户发送退出的页面。并向认证授权计费中心提交最后的计费消息表示计费的结束(通过参考点B)。用户结束时的通信流程如图12所示。流程说明:(1)用户向门户发送一个r兀P请求,表示耍退出服务(2)门户收到这个请求,先验证用户的Cookie,以保证用户身份没有被冒用,如果用户身份正确则发送一个回应,并取消用户的Cookie。(3)门户向认证授权计费发送一个AccountingRequest消息把表示停止对用户计费。YD厂r
38、1 9632009(4)认证授权计费中心向用户返回AccountingAccept消息确计费成功。用户 接入门户 认证授权计费服务器图12用户退出远程教学通信平台通信流程为了保证接入门户可以感知到用户的意外退出,门户可在向用户提供的页面上嵌入一个Java小程序或脚本,该程序可以周期性发送心跳信号或刷新网页与接入门户保持通信,如果接入门户在指定的时间内收不到心跳信号,将同样执行结束服务的流程。7通信协议71 各业务子系统通信协议远程教学通信平台集成了视频会议业务系统、流媒体业务系统以及Web业务系统。这些系统的技术要求应符合GBfr 21644、GBfr 21640、YDr 1653的相关规定。
39、与各业务子系统组合使用的通信协议有待进一步研究。72认证授权计费系统通信协议721 RADIUS协议与参数本条列出RADIUS协议与远程教学通信平台相关的参数,更多参数与定义可参见YDfr 1615-2007公众口网络安全要求基于远端接入用户验证服务协议(RADIUS)的访问控制。编号 M,0 值 类 型 描 述1 M UserNarne String 用户终端号码2 O UserPassword String 用户注册口令,采用MD5)JH密4 0 NASIPAddress 4 octets NAS的IP地址5 0 NASPort Integer 用户接入的物理端口业务类别编号该属性的值有4
40、字节长,故可以远程教育的子业务分配新的属性值(暂定):128可使用web子业务“可使用流媒体子业务6 M Service-Type integer32可使用视讯会议子业务用户如果有权使用多种业务,ServiceType的值可为几种子业务的值之和,如用户可使用Web子业务与视讯子业务,ServiceTypeg值为128+32=16030 0 Cailed-Stationld String 用户被叫号码31 O CallingStadonld String 用户主叫号码33 M,0 ProxyState String 漫游用户查洵认证时为必选。201 0 CardPassword String 用
41、户账号密码,采用MDShH密14YD厂r 1 963-2009编 号 M0 值 类型 描 述27 O Session州meout Integer 最长可以通话时长(单位:s)29 M Termination-Action Integer 注册认证系统返回码173 o Acct-Fee Integer 计费费用(即用户余额)l编号 M,O 值 类 型 描 述29 M Termination-Action Integer 注册认证系统返回码编 号 啪 值 类 型 描 述1 M User-Name String 用户终端号码4 0 NASIPAddress address 发送认证信息节点的IP地址
42、6 M Service-Type integer 业务类别编号40 M Acct-StatusType Integer 计费状态类型42 O AccblnBytes Integer 入字节数(单位:byte)43 o AcctOut-Bytes Integer 出字节数(单位:byte)44 O AcctSessionID Integer 一次计费ID(避免重复计费)46 O AcctSessionTime Integer 计费会话累计时长50 M Acct-Multi-SessionID Integer 会议计费ID30 M Cailed-Stationld 被叫会场终端号码3l M Cal
43、lingStation-ld integer 主叫会场终端号码编 号 M0 值 类 型 描 述49 M ACCtTerminate-Cause Swing 用户终端号码173 O Acct-Fee Integer 计费费用174 0 Acct-BaseFee Integer 基本费用(7)EAP消息封装的格式编号 M,O 值 类 型 描 述79 M。 EAP-Message Suing 用户发来的EAP消息放到一个或多个EAP-Message属性里MessageAuthenticatorl在一个AccessRequest消息中,80 O MessageAuthenticator Integer
44、它是整个AccessRequest消息HMACMD5的校验值注:只有使用EAP封装时,该参数为必选。722 TLS消息TLS的握手协议用于协商会话的安全属性,握手消息在TLS记录层使用。TLS的握手消息,定义了如下:enumhello_request(0),chent_hello(1),server hello(2),certificate(1 1),server_key_exchange(12),16YD,11 963-2009certificate_request(1 3),server hello done(14),certificate_verify(15),ctent key_exo
45、hange(16)finished(20),(255)l HandshakeType;suctHandshakeType msg_type; P握手的类型+,uint24 length; 产消息中的字节长度+,select(HandshakeType)fcase hello_request:HelloRequest;case client hello: ClientHello;case server helM: ServerHelln;case certificate: Certificate:case server_key_exchange:ServerKeyExchange;case ce
46、rtificate_request:CemncateRequest;case server helo_done:ScrverHelloDone;case certificateverify:CertificateVerify;case ctent_key_exchange:ClientKeyExchange;case finished: Finished;)body;】Handshake;iiclloRequest消息的参数定义为:s口uctfuint32 gmt_unix_time;opaque random bytes28;j Random;ClientHello消息的参数定义为:stru
47、ct(ProtocolVersion client version;Random random;SessionID session id;CipherSuite cipher_suites:CompressionMethod compression_methods:)ClientHello;ServerHello消息的参数定义为:structProtocolVersion 5erver_version:Random random;SessionlD session_id;CipherSuite cipher_suite;CompressionMethod compression method;)ServerHello;Certificate消息的参数为:structASN 1Cert certificate_list:Certificate;ServerKeyExchange消息的参数为:slTuctselect(