無線LAN移動接入網(wǎng)

金曉軍


　　金曉軍 高級工程師，北京交通大學(xué)現(xiàn)代通信研究所實驗室主任。


　　１９６７年畢業(yè)于北京鐵道部學(xué)院電信無線通信專業(yè)。


　　現(xiàn)從事移動通信、寬帶通信的研究。



[摘要]：本文主要介紹OWLAN結(jié)構(gòu)、主要系統(tǒng)單元及功能，重點是基于SIM的鑒權(quán)、計費和漫游機理，可作為面向全I(xiàn)P網(wǎng)絡(luò)的過渡方案。


[關(guān)鍵詞]：無線本地網(wǎng), 結(jié)構(gòu), 鑒權(quán), 漫游


一、 前言



　　由于Internet下載流量往往超過蜂窩通信網(wǎng)的傳輸容量，移動通信運行商正在尋找一種公眾無線接入方案，解決既可以提供以數(shù)據(jù)為主業(yè)務(wù)，也可以平滑接入Internet獲得數(shù)據(jù)業(yè)務(wù)。無線本地網(wǎng) (WLAN) 技術(shù)可提供比蜂窩通信網(wǎng)更寬的帶寬業(yè)務(wù)，運行商WLAN(OWLAN--Operator WLAN)系統(tǒng)利用GSM基礎(chǔ)設(shè)施和漫游協(xié)議，以WLAN接入技術(shù)結(jié)合GSM用戶管理和計費機理,使移動用戶在不同運行商的接入網(wǎng)間漫游。



　　本文主要介紹OWLAN結(jié)構(gòu)、主要系統(tǒng)單元及功能，重點是基于SIM的鑒權(quán)、計費和漫游機理。



二、OWLAN



　　OWLAN系統(tǒng)組合多種無線通信技術(shù)，它含有公眾LAN接入網(wǎng)和采用IP骨干蜂窩移動通信網(wǎng),保留與現(xiàn)存GSM/GPRS核心網(wǎng)漫游和計費功能的兼容性，從終端到蜂窩通信網(wǎng)側(cè)采用GSM用戶認(rèn)證信令，GSM SIM(Subscribe Identity Module)仍用于WLAM的用戶管理，無線LAN向全I(xiàn)P業(yè)務(wù)演進(jìn)的OWLAN系統(tǒng)可作為應(yīng)用于移動環(huán)境中全I(xiàn)P業(yè)務(wù)的基礎(chǔ)設(shè)施。



　　OWLAN系統(tǒng)結(jié)構(gòu)如圖1示意，含有鑒權(quán)服務(wù)器(AS-Authentication Service)，接入控制器(AC - Access Controller),接入指針(AP-Access Point)和移動終端（MT - Mobile Terminal）。OWLAN系統(tǒng)中AS、AC、AP和MT分別對應(yīng)于GPRS系統(tǒng)中SGSN、GGSN、BTS和移動終端，兩者之間主要差別是OWLAN控制信令和數(shù)據(jù)送至蜂窩核心網(wǎng)，接入控制器把用戶分組數(shù)據(jù)送到IP骨干網(wǎng)。由于，用戶IP流量并不通過蜂窩核心網(wǎng)再送至本地網(wǎng)，從而避開GPRS因漫游而帶來的系統(tǒng)復(fù)雜問題。



　　移動終端用戶的鑒權(quán)過程是：每個WLAN終端聯(lián)系每個WLAN接入點，從接入控制器獲取一個IP地址，給接入控制器發(fā)出鑒權(quán)申請，啟動網(wǎng)絡(luò)鑒權(quán)。接入控制器把鑒權(quán)申請送至鑒權(quán)服務(wù)器和本地位置寄存器（HLR），并驗證鑒權(quán)用戶的數(shù)據(jù)。








三、系統(tǒng)組成



　　圖2示意OWLAN系統(tǒng)組成及其接口。









　　3．1 鑒權(quán)服務(wù)器



　　鑒權(quán)服務(wù)器用貯存在SIM卡中國際移動用戶身份 (IMSI) 碼來識別用戶，不斷地檢查是否有用戶已漫游登錄到WLAN業(yè)務(wù)上，以SS7信令把鑒權(quán)信息送至HLR，運行鑒權(quán)，確認(rèn)和計費（AAA）的RADIUS (Remote Authentication Dial In User Service) 的鑒權(quán)協(xié)議，與接入控制器聯(lián)絡(luò)。當(dāng)用戶拆線時，鑒權(quán)服務(wù)器從接入控制器中把接收計費數(shù)據(jù)打印出收據(jù)帳單。



　　3．2 接入控制器



　　接入控制器作為無線接入網(wǎng)和IP核心網(wǎng)間的網(wǎng)關(guān)，安排移動終端的IP地址，提供已鑒權(quán)移動終端的IP地址表，監(jiān)視輸入/出IP分組地址，排除非鑒權(quán)移動終端的數(shù)據(jù)。



　　3．3 無線LAN接入點



　　無線LAN接入點在移動終端和固定LAN間提供無線Ethernet鏈路，作為共享的無線接口。



　　3．4 移動終端



　　移動終端以預(yù)先定義含有漫游的網(wǎng)絡(luò)特征來檢測漫游移動終端，具有SIM和SIM鑒權(quán)軟件的終端以WLAN無線接入能力獲得OWLAN業(yè)務(wù)。移動終端既可采用具有集成SIM閱讀器的WLAN卡，又可采用外部擴展WLAN卡。



四、鑒權(quán)，付費和接入運行





　　圖3示意OWLAN控制平面結(jié)構(gòu)。OWLAN控制平面結(jié)構(gòu)中的移動終端含漫游控制模塊，它給用戶提供漫游業(yè)務(wù)控制接口并與SIM卡聯(lián)絡(luò)。圖中特有的接入鑒權(quán)記賬協(xié)議（NAAP—Network Access Authentication and Accounting Protocol）含GSM 鑒權(quán)消息，它采用用戶數(shù)據(jù)報協(xié)議（UDP－User Data gram Protocol）來重傳連接。



　　接入控制的關(guān)鍵是接入管理器，它控制IP路由并匯集計費統(tǒng)計數(shù)據(jù)。RADIUS協(xié)議攜帶SIM的鑒權(quán)參數(shù)，利用RADIUS協(xié)議發(fā)送計費數(shù)據(jù)。



　　鑒權(quán)服務(wù)器中重要模塊是鑒權(quán)控制器，它處理RADIUS協(xié)議中鑒權(quán)消息并與GSM聯(lián)絡(luò)，能把計費數(shù)據(jù)直接送到各種付費系統(tǒng)的FTP接口。計費網(wǎng)關(guān)接收和存貯來自接入網(wǎng)的計費信息，用GTP付費協(xié)議與GPRS計費網(wǎng)關(guān)接口。



　　下面介紹OWLAN系統(tǒng)的鑒權(quán)，付費和接入安全等過程：



　　4．1 鑒權(quán)



　　OWLAN系統(tǒng)的鑒權(quán)是基于SIM機理，接入控制器作為移動終端與鑒權(quán)服務(wù)器間接口賦予移動終端用戶個人身份號碼（PIN－Personal Identity Number），SIM卡和用戶身份號碼都用PIN碼來加密。基于SIM的OWLAN系統(tǒng)鑒權(quán)如圖4示意：








　　1． 移動終端發(fā)出其所歸屬接入控制器響應(yīng)的NAAP消息；



　　2． 接收到接入控制器的IP地址后，移動終端向接入控制器發(fā)出鑒權(quán)申請，接入控制器的IMSI被封裝在網(wǎng)絡(luò)接入標(biāo)識符（NAI－Network Access Identifier ）內(nèi)；



　　3． 接入控制器和RADIUS把鑒權(quán)申請送至鑒權(quán)服務(wù)器；



　　4． 鑒權(quán)服務(wù)器從本地位置寄存器中提取GSM有關(guān)字節(jié)；



　　5． 6. 鑒權(quán)服務(wù)器給移動終端發(fā)出RAND，并在RAND上計算鑒別移動終端的消息鑒權(quán)碼；



　　7． 移動終端計算消息鑒權(quán)碼并與從網(wǎng)絡(luò)接收來的碼進(jìn)行比較。假如兩者不一致，中斷并懷疑為欺詐性業(yè)務(wù)，拒絕其鑒權(quán)申請。使攻擊者不可能從IMSI中提取RAND和簽字響應(yīng)SRES (Signed Response)，也不可能從存貯在SIM卡中提取安全鑰；



　　8． 移動終端利用SIM卡中的算法計算SRES和消息鑒權(quán)碼；



　　9． 移動終端把計算結(jié)果送至接入控制器；



　　10. 接入控制器把響應(yīng)送入鑒權(quán)服務(wù)器；



　　11. 鑒權(quán)服務(wù)器用SRES計算消息鑒權(quán)碼再驗證響應(yīng)；



　　12. 鑒權(quán)服務(wù)器把鑒權(quán)結(jié)果碼送至接入服務(wù)器；



　　13. 假如鑒權(quán)結(jié)果是正確的，接入控制器給鑒權(quán)服務(wù)器發(fā)出指示，建立新會話；



　　14，15. 接入控制器安置分組數(shù)據(jù)路由并發(fā)出應(yīng)答信號。
鑒權(quán)中斷有下述原因：HLR中不含有IMSI，接入操作器不支持IMSI的漫游，鑒權(quán)服務(wù)器沒有接收到來自HLR關(guān)聯(lián)字節(jié)，移動終端停留在非鑒權(quán)狀態(tài)，接入控制器不安置終端IP流量的路由等。



　　4．2 計費和付費



　　接入控制器監(jiān)控數(shù)據(jù)流量并周期地給鑒權(quán)服務(wù)器發(fā)送流量統(tǒng)計信息，計費流量統(tǒng)計方法有下述機理：



　　1. 基于連接開始和終止時間；



　　2. 基于傳送數(shù)據(jù)流量；



　　3. 基于平直速率。



　　鑒權(quán)服務(wù)器把計費數(shù)據(jù)轉(zhuǎn)換成標(biāo)準(zhǔn)的GPRS計費數(shù)據(jù)格式（CDR－Charging Data Record）,鑒權(quán)服務(wù)器確證接收到與鑒權(quán)終端有關(guān)的計費數(shù)據(jù)，確保通信聯(lián)絡(luò)沒有確證前不會產(chǎn)生計費記錄。在接入控制器和鑒權(quán)服務(wù)器間傳送數(shù)據(jù)采用IP安全（IP Security -- IPSEC）協(xié)議加密。



　　4．3 漫游至外來WLAN網(wǎng)絡(luò)



　　不同于Internet業(yè)務(wù)運行，OWLAN系統(tǒng)用同一設(shè)施和機制來支持不同接入網(wǎng)間和運行網(wǎng)間的漫游。圖5 示意在OWLAN系統(tǒng)中的漫游機理，其工作流程如下：







　　1. 漫游移動終端連結(jié)相關(guān)外來運行商的WLAN，并把鑒權(quán)申請發(fā)給接入控制器，接入控制器再把鑒權(quán)申請送至鑒權(quán)服務(wù)器；



　　2. 鑒權(quán)服務(wù)器驗證IMSI，利用GSM SS7網(wǎng)給HLR發(fā)出鑒權(quán)查詢.；



　　3. 對應(yīng)的HLR以用戶和鑒權(quán)關(guān)聯(lián)字節(jié)進(jìn)行計算鑒權(quán)，直至漫游移動終端拆線，鑒權(quán)服務(wù)器才給付費系統(tǒng)發(fā)出計費記錄；



　　4. 計算IMSI碼用于漫游移動終端的CDR，付費系統(tǒng)把WLAN CDR發(fā)至漫游移動終端本地付費系統(tǒng)并給出帳單。



　　4.4 用戶遠(yuǎn)程安全接入



　　OWLAN系統(tǒng)利用無線LAN接入網(wǎng)中移動用戶建立終端與終端，終端與對應(yīng)網(wǎng)間的加密連接來保證商務(wù)關(guān)鍵信息的安全性。



五、系統(tǒng)升級性和魯棒性



　　運行網(wǎng)絡(luò)必須提供足夠冗余特性來提高OWLAN系統(tǒng)容錯能力和恢復(fù)網(wǎng)絡(luò)運行的魯棒性。一個最小化 OWLAN系統(tǒng)至少應(yīng)有兩個鑒權(quán)服務(wù)器，采用圖6的RADIUS代理可提高系統(tǒng)容錯能力。



　　圖6接入控制器連接兩個RADIUS代理，其中一個為主,另一個為副。假如鑒權(quán)服務(wù)器沒有應(yīng)答接入控制器的消息,副RADIUS代理把消息送至副鑒權(quán)服務(wù)器。在發(fā)生差錯情況下, 冗余IP路由和RADIUS代理確保鑒權(quán)服務(wù)器之間的無隙縫交換。在主接入控制失誤或超負(fù)荷時,可加副接入控制器來改進(jìn)系統(tǒng)魯棒性。








　　本文介紹一個把無線LAN接入與GSM / GPRS漫游綜合在一起的OWLAN系統(tǒng)。OWLAN系統(tǒng)把蜂窩移動鑒權(quán)與本地IP接入組合起來，與公眾WLAN接入組合開發(fā)GSM鑒權(quán)，基于SIM用戶管理和付費機理，允許移動終端使用相同SIM和用戶標(biāo)志來接入WLAN，可作為面向全I(xiàn)P網(wǎng)絡(luò)的過渡方案。



參考文獻(xiàn)


[1],Juba Ala- Laurila, "Wireless LAN Access Network Architecture for Mobile Operators", IEEE Communication Magazine,Vol.39,No:11, 2001, P82-89


[2],C. Rigney Et al., "Remote Authentication Dial In User Service (RADIUS)", IETF RFC 2865,2000




----《中國移動通信》