公眾無線寬帶接入的控制模式

中國電信集團廣州研發(fā)中心 刁永平


　　當前，無線局域網應用市場日趨成熟，隨著越來越多的企業(yè)用戶使用無線局域網，無線網卡逐漸成為筆記本電腦的標準配置，無線局域網的使用人數(shù)會迅速上升。同時其它一些無線寬帶接入技術如MMDS、LMDS也發(fā)展迅速，為公眾無線寬帶接入網絡的建設提供了多種靈活的方法。


　　無線接入技術具有靈活、建網迅速、個人化等特點，將這一技術應用于電信網的接入網領域，能夠方便、靈活地為用戶提供網絡接入，無線接入適合于用戶流動性較大且有較多的數(shù)據(jù)業(yè)務需求的公共區(qū)域(如機場、大型會展中心、高級賓館等)，需要臨時快速建網的場合以及難以采用有線接入方式的環(huán)境等�？梢�，建設公眾無線寬帶接入網絡是非常有前景的。


　　為了提供公眾無線寬帶接入網絡（PWBAN）服務，本文結合現(xiàn)有的寬帶接入網絡提出了幾種對公眾無線寬帶接入控制模式的建議，并闡述了公眾無線寬帶接入用戶識別、漫游、接入安全等重要功能。


　　一、無線接入技術的適用特點


　　WLAN可以組成的網絡結構有：移動終端間直接通信的對等網絡（Adhoc網絡）；移動終端通過無線接入點（AP）轉發(fā)完成通信的Infrastructure網絡。通過AP，無線網絡可以和有線網絡進行通信。IEEE802.11b使用直接序列擴頻技術，空中傳輸速率最高可達到11Mbit/s，調制方法采用補償碼鍵控（CCK）。多速率機制的媒質訪問控制確保當工作站之間距離過長或干擾太大、信噪比低于某個門限時，傳輸速率能夠11Mbit/s自動降到5.5Mbit/s，或者根據(jù)直接序列擴頻技術調整到2Mbit/s和1Mbit/s。


　　3.5GHz固定無線接入可以基于電路方式、IP方式、ATM方式或組合方式來提供各種業(yè)務。3.5GHz系統(tǒng)應充分考慮到其覆蓋半徑較大（通�？蛇_10km以上）、雨衰較小的特點，適合作為快速提供業(yè)務、成本較低的競爭手段。由于可用頻段有限，主要用于較低容量和業(yè)務速率要求的數(shù)據(jù)業(yè)務接入，以及用于未來移動通信系統(tǒng)無線網絡的傳輸電路；也可以作為提供普遍服務的手段之一。


　　LMDS系統(tǒng)工作頻率范圍在20GHz以上，采用扇區(qū)制，下行為一點對多點，上行為點對點。LMDS技術適用于寬帶業(yè)務需求高、用戶密集的熱點覆蓋，以及用于未來移動通信系統(tǒng)無線網絡的傳輸電路；業(yè)務覆蓋半徑通常在0.3～3.0km范圍內，要特別注意雨衰對電路質量的影響。


　　二、公眾無線寬帶接入模式


　　1．現(xiàn)有寬帶接入服務


　　通常，寬帶城域網中的BRAS終結接入層的功能并把用戶流量匯聚到骨干層（或互聯(lián)網出口）�，F(xiàn)有的寬帶網絡接入有三種形式。一種是基于以太網技術構建的寬帶接入網絡，采用固定IP地址的專線接入或PPPoE撥號，以太網交換機負責將流量匯聚到分散布置的寬帶接入服務器（BRAS）中再連接到骨干網絡上；第二種是采用ATM技術上行構建的ADSL接入網絡，也可以用固定IP地址的專線接入或PPPoE撥號，ADSL接入網絡是以ADSL作為接入手段，經過DSLAM設備復接到ATM網絡或IP網絡，最終匯聚到分散布置的寬帶接入服務器（BRAS）中，由BRAS控制用戶接入互聯(lián)網；第三種IP上行的ADSL接入方式，則融合了上兩種技術來實現(xiàn)寬帶接入。


　　2．公眾無線寬帶接入控制模式


　　公眾無線寬帶接入網絡的邏輯結構如圖1所示，其中無線業(yè)務網關可集中設置在IP城域網的匯聚層，也可以分布設置在每一服務區(qū)內，主要完成用戶控制管理功能（如AAAClient等），也是用戶無線特性的最高終結點。無線接入業(yè)務網關的邏輯功能在具體實現(xiàn)上可與其它有線接入方式使用共同的設備。邊緣接入設備的主要作用是匯聚多個無線接入設備的流量，無線接入設備向用戶提供無線接入鏈路，并承擔相應的鏈路級接入功能。用戶通過無線接入終端接入電信網絡（直接或通過用戶駐地網），用戶管理平臺、業(yè)務管理平臺、接入網絡的管理可通過IP網實行集中式管理。





　　無線寬帶接入網絡技術方案的選取可以依據(jù)使用場合、用戶規(guī)模、城域網現(xiàn)狀、提供的業(yè)務、經營模式、有線中繼網絡的可用性等因素綜合考慮。根據(jù)無線接入業(yè)務網關在寬帶接入網中的位置，無線寬帶接入網的網絡結構可分為集中模式和分布模式兩種。


　　集中式結構是將無線寬帶接入網接入的流量通過中繼網絡匯聚到相對集中的一個或多個無線接入業(yè)務網關。每個接入服務區(qū)通過以太網交換機或ADSL接入網絡匯集無線接入設備的流量，多個服務區(qū)的流量通過IP城域網匯聚層匯聚到無線接入業(yè)務網關，并在其控制下向上轉發(fā)。采用集中式結構時，所有用戶數(shù)據(jù)流量必須經過數(shù)量較少的、網絡位置較高的無線接入業(yè)務網關，容易形成瓶頸，對設備性能要求較高，但這種方式需要的無線接入網關數(shù)量較少，用戶規(guī)模不是很大時，與分布式方案相比有一定的經濟性。


　　分布式結構是采用接入中繼網絡，如二層以太網交換機或ADSL接入技術等，匯聚多個無線接入設備的流量，聯(lián)接到設置在每個服務區(qū)的無線接入業(yè)務網關。無線接入業(yè)務網關上行可直接接入IP城域網的匯聚層。分布式方案結構層次清楚，對上層設備的壓力較小。與集中式方案相比，流量可在最近的地方進入IP核心網絡，效率較高。組網方式相對獨立，具有更多的靈活性，可以較快地開通業(yè)務。多個服務區(qū)需要多個無線接入業(yè)務網關，成本較高，適用于具有較大規(guī)模用戶的公共場合，并可提供區(qū)域性服務。


　　考慮到業(yè)務發(fā)展初期，無線寬帶接入的服務區(qū)分布可能比較分散，為降低成本，結合現(xiàn)有城域寬帶接入網的結構，無線接入業(yè)務網關最好共用鄰近地區(qū)的IP城域網寬帶接入服務器，可以直接把城域網的寬帶接入服務器作為無線接入業(yè)務網關。這種方式保持了現(xiàn)有寬帶接入網清晰結構，但對寬帶接入服務器的要求較高，必須具有虛擬路由器功能，具有識別不同物理網絡或邏輯網絡的能力，并能根據(jù)物理端口、VLANID、ATMPVC、IP地址等提供相應的不同業(yè)務要求及相應的控制能力，以便后臺計費軟件通過識別這些參數(shù)就可以區(qū)分普通寬帶接入用戶還是WLAN用戶。


　　三、相關問題分析


　　1．無線用戶識別


　　公眾寬帶無線接入需要通過無線接入技術連接到城域網的匯聚層，為用戶提供訪問城域網或互聯(lián)網的服務。服務提供商希望能充分利用現(xiàn)有的城域網資源，共用后臺業(yè)務系統(tǒng)、用戶管理系統(tǒng)及某些接入中繼，同時又為有需要的用戶提供無線接入服務，這就要求接入系統(tǒng)支持用戶使用原有的帳號接入公眾無線寬帶網，但以不同的業(yè)務種類提供服務。因此對于同一個用戶帳號來說，必須識別出用戶此時是否是通過公眾無線寬帶網接入的，對于是利用公眾無線寬帶網接入的用戶，應該按照公眾無線寬帶網的資費標準來計費，否則按照通常的寬、窄帶接入資費標準來計費。


　　確定用戶的上網方式的途徑分別有以下幾種。


　　LAN接入：接入交換機上連到城域網的寬帶接入服務器，記錄用戶上連的VLAN號并發(fā)給Radius服務器，Radius服務器通過特別的VLAN號識別WLAN用戶。


　　ADSL接入ATM上行：寬帶接入服務器記錄用戶上連的PVC號并發(fā)給Radius服務器，Radius服務器通過特別的PVC號識別WLAN用戶。


　　ADSL接入LAN上行，寬帶接入服務器記錄用戶上連的VLAN號并發(fā)給Radius服務器，Radius服務器通過特別的VLAN號識別WLAN用戶。


　　2．漫游


　　公眾無線寬帶接入服務其中一個非常有用的特性就是移動性，所以用戶漫游功能很重要。用戶的漫游是指用戶在非用戶歸屬的RADIUSServer管理區(qū)域內的業(yè)務需求，通常是指用戶在非業(yè)務申請注冊地的異地應用。為了保證用戶能夠方便、順利地漫游，要求各服務區(qū)采用統(tǒng)一的認證方式。用戶的漫游可采用用戶賬號漫游的方式，漫游用戶輸入全用戶賬號訪問，各地RADIUS服務器可以互相配合完成漫游用戶的認證及計費。


　　漫游認證過程：


　　漫游用戶在異地無線上網，用戶需輸入全用戶賬號（username@realm）和口令；


　　用戶接入地的認證中心收到NAS的請求后，解析“@”后的用戶開戶地域名；


　　若是跨區(qū)漫游，用戶接入地的認證中心將認證請求發(fā)送給用戶開戶地的認證中心，用戶開戶地的認證中心驗證用戶身份后，給予應答；


　　如果用戶身份合法，則允許用戶接入，否則拒絕用戶接入。


　　3．接入安全


　　無線通信的介質具有相對于所有用戶的開放性，非法用戶可隨意監(jiān)聽空中的無線電信號。因此，無線接入的網絡系統(tǒng)中，最為關鍵的安全因素就是空中的無線通信鏈路的安全性和保密性，同時接入控制安全和網絡應用安全也非常重要。


　　無線通信技術用于接入網時，必須考慮無線鏈路的安全性、無線信道的安全、用戶之間的二層隔離等問題。在現(xiàn)有各種通信機制中，擴頻通信由于采用無線傳輸信號頻域展寬的方法，可大幅度降低發(fā)射信號的功率譜密度，同時，由于擴頻調制序列采用的是偽隨機序列，使該信號很難被偵聽到，這種技術本身的安全性很高。


　　WEP信道加密算法提供無線信道加密及完整性數(shù)據(jù)服務，但沒有涉及密鑰管理服務。對于在網絡中的一條專用無線通信鏈路，如MMDS或LMDS中的無線鏈路，WEP算法可以提供令人滿意的保密效果，而且所有通信的加密都可通過硬件設備來進行數(shù)據(jù)加密以提高處理速度，但在無線鏈路起始于用戶終端如典型的WLAN服務的情況下，只有同一無線接入設備下的不同用戶采用動態(tài)隨機配置的WEP加密密鑰才是適應于公用電信網用戶接入的加密機制。由于無線接入設備通常在二層技術實現(xiàn)，而對于廣域接入的用戶而言，即使是在同一個無線接入設備接入的用戶間也存在相互間的不可信任性，因此在無線接入設備處用戶間的二層隔離是必須的。用戶間的二層隔離可以很好地滿足一個無線接入設備所覆蓋下的不同終端用戶間公眾無線接入的安全通信要求。


　　為了提供安全的公眾接入服務，控制PWBAN接入的用戶認證安全性非常重要，因此在用戶認證時用戶賬號和密碼應加密傳輸。CHAP和共享密鑰認證協(xié)議提供了較安全的用戶認證方法，用于對敏感網絡資源的訪問或者出于安全考慮時采用。由于共享的密鑰不會在網絡中以明文傳送并且采用了不可逆的加密算法，所以認證過程相當安全�？梢钥闯�，這種認證安全的強壯性關鍵取決于不可逆加密算法，畢竟明文和密文都在網絡中傳送。另外，為了增強無線局域網安全性，IEEE802.11TaskGroupI推出了IEEE802.11I協(xié)議，基于可以靈活使用多種認證算法的開放協(xié)議802.1x框架，采用TKIP方式對密鑰進行管理，可實現(xiàn)用戶一戶一密，而且密鑰動態(tài)更新。


　　用戶還可在更高層采用數(shù)據(jù)加密的方法來實現(xiàn)數(shù)據(jù)的安全性，這種加密的優(yōu)點是可以脫離于實際的硬件平臺，具有較高的通用性。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協(xié)議。IPSec協(xié)議本身可以為網絡層及其上層協(xié)議、應用提供完美的安全性，同時它也可以加強網絡層底層的安全性考慮。IPSec的ISAKMP提供使用不同密鑰值、算法及計時設置協(xié)商功能，以此來建立可以保證安全通信的一個安全聯(lián)合（SA），它用得到的秘密來生成IPSecSA，以確保實現(xiàn)所謂的“完美向前保密”。無線鏈路加密及認證過程加密可以采用ISAKMP來進行密鑰交換和保護重要的敏感數(shù)據(jù)，這樣，無線系統(tǒng)中的WEP或CHAP的安全性威脅可以被解除。


　　隨著無線接入技術如WLAN、MMDS、LMDS等的發(fā)展，無線寬帶接入網作為傳統(tǒng)布線網絡的一種替代方案或延伸，將用戶從有線環(huán)境中解放出來，可實現(xiàn)隨時隨地地獲取信息。PWBAN使用靈活、易于擴展，可以逐步滿足人們對移動性的各種要求。公眾無線寬帶接入網絡可以充分結合已有的寬帶城域網和接入網，選擇適當?shù)臒o線技術，著重考慮好用戶識別、漫游、接入安全等重要功能，綜合考慮新一代通信網的架構來開展應用業(yè)務，將可為現(xiàn)有的數(shù)據(jù)業(yè)務開展帶來前所未有的活力！


　　
----《通信世界》