移動運營商的無線LAN接入網(wǎng)

張玉梅 西安電子科技大學(xué)



　　隨著基于IP辦公應(yīng)用的發(fā)展，大部分企業(yè)信息系統(tǒng)和數(shù)據(jù)庫可通過IP骨干網(wǎng)遠(yuǎn)程接入，但一些典型的辦公事務(wù)，如大型的E-mail附件的下載則需要很大的帶寬，這往往超過了網(wǎng)絡(luò)的傳輸能力。無線局域網(wǎng)（WLAN）接入技術(shù)是室內(nèi)GSM和GPRS很好的補充，它提供的帶寬遠(yuǎn)大于傳統(tǒng)的蜂窩網(wǎng)。根據(jù)無線局域網(wǎng)標(biāo)準(zhǔn)（IEEE802.11b），2.4G頻帶上最大數(shù)據(jù)速率為11Mb/s。對一個單獨的用戶來說，在WLAN上的最大速率是11Mb/s(典型的是6.5Mb/s),而GPRS手機的最大數(shù)據(jù)速率是172kb/s(典型的是42kb/s)，第三代終端的最大數(shù)據(jù)速率是2Mb/s(典型的是144kb/s)。從用戶的角度看，速度的差別是很明顯的，這使WLAN在室內(nèi)數(shù)據(jù)蜂窩網(wǎng)中有很強的競爭力。



　　與傳統(tǒng)的蜂窩網(wǎng)相比，大部分WLAN只有中等的認(rèn)證和漫游能力。本文將介紹一個新的WLAN系統(tǒng)結(jié)構(gòu)，稱之為OWLAN（operator WLAN）。它將GSM用戶管理、記賬機制與WLAN接入技術(shù)組合起來。OWLAN可使用戶在不同的接入網(wǎng)間漫游。OWLAN適用于任何帶有GSM SIM識別卡和OWLAN信令模塊的終端設(shè)備。



　　未來的移動通信網(wǎng)將是幾種無線技術(shù)的組合，如GSM/GPRS、第三代無線接入技術(shù)和無線接入網(wǎng)。一個用戶識別卡應(yīng)該能在所有的接入網(wǎng)中使用，以保證漫游和無縫連接。OWLAN系統(tǒng)應(yīng)兼容GSM/GPRS核心網(wǎng)絡(luò)的漫游和記賬功能,這樣可減少對核心設(shè)備的修改量及其標(biāo)準(zhǔn)化的工作量。由于GSM識別模塊使用廣泛，并能在GSM/GPRS手機及網(wǎng)絡(luò)間漫游，故WLAN用戶管理選擇了該模塊。為了減少安裝成本和復(fù)雜度，OWLAN應(yīng)使用現(xiàn)有的GPRS計費系統(tǒng)。





系統(tǒng)結(jié)構(gòu)



　　它包括公用LAN接入網(wǎng)和蜂窩網(wǎng)操作站點，它們通過骨干網(wǎng)通信。設(shè)計的主要問題是如何用IP協(xié)議構(gòu)架將標(biāo)準(zhǔn)的GSM用戶認(rèn)證信令從終端傳到蜂窩網(wǎng)操作站點。



　　OWLAN系統(tǒng)包括四個關(guān)鍵物理實體：認(rèn)證服務(wù)器、接入控制器、接入節(jié)點和移動終端。



　　與GPRS結(jié)構(gòu)相比，OWLAN系統(tǒng)最顯著的區(qū)別在于只把控制信令數(shù)據(jù)傳到網(wǎng)絡(luò)中心。接入控制器將用戶數(shù)據(jù)包直接送到IP骨干網(wǎng)。由于用戶的IP傳輸不必通過網(wǎng)絡(luò)中心回到原網(wǎng)絡(luò)，避免了GPRS系統(tǒng)復(fù)雜的漫游。因此，OWLAN傳輸方法可減少網(wǎng)絡(luò)中心的負(fù)荷。



認(rèn)證服務(wù)器



　　用戶認(rèn)證過程如下: 第一步，將一個WLAN終端和一個WLAN接入節(jié)點相連，從接入控制器中獲得IP地址，通過向接入控制器發(fā)送一個認(rèn)證請求來初始化網(wǎng)絡(luò)認(rèn)證。 接入控制器通過接入網(wǎng)絡(luò)和GSM信令網(wǎng)絡(luò)間的網(wǎng)關(guān)來中繼對認(rèn)證服務(wù)器的請求。認(rèn)證服務(wù)器從歸屬位置寄存器（HLR）查詢認(rèn)證數(shù)據(jù),并根據(jù)這一數(shù)據(jù)對用戶進(jìn)行認(rèn)證。



　　認(rèn)證服務(wù)器是OWLAN用戶管理的主要節(jié)點。一個認(rèn)證服務(wù)器可以支持多個接入控制器， 并能在不同的小區(qū)中為成千上萬個用戶提供認(rèn)證和記賬服務(wù)。認(rèn)證服務(wù)器和接入控制器通過RADIUS協(xié)議進(jìn)行通信。當(dāng)用戶中斷連接，認(rèn)證服務(wù)器從接入控制器中獲得記賬數(shù)據(jù)，并把賬目傳給記賬系統(tǒng)。



　　認(rèn)證服務(wù)器為核心網(wǎng)絡(luò)提供了一個網(wǎng)關(guān)，即GSM HLR和GPRS計費網(wǎng)關(guān)。認(rèn)證服務(wù)器使用7號信令網(wǎng)將GSM認(rèn)證信令傳給HLR。OWLAN使用SIM卡中的國際移動用戶標(biāo)識碼(IMSI)來識別用戶。如果漫游用戶預(yù)約了WLAN服務(wù),認(rèn)證服務(wù)器將一直保持檢查狀態(tài)。



接入控制器



　　接入控制器在無線接入網(wǎng)和固定IP核心網(wǎng)間提供了一個網(wǎng)關(guān)。它為移動終端分配IP地址，并維護(hù)已認(rèn)證的終端IP地址表。接入控制器作為過濾器監(jiān)督進(jìn)出的IP數(shù)據(jù)包，丟棄由非法終端進(jìn)入的數(shù)據(jù)包。此外，它還收集記賬信息。接入控制器使用終端IP地址和WLAN MAC 地址來區(qū)別移動終端。MAC地址認(rèn)證可保證非法用戶不能盜用IP地址。



接入節(jié)點



　　接入節(jié)點在移動終端和固定的LAN間提供了一個無線以太連接。接入節(jié)點由接入控制器連入同一個LAN中，并支持1、2、5.5和11Mb/s的數(shù)據(jù)速率。一個接入節(jié)點的典型覆蓋范圍為室內(nèi)50-100米。如果使用定向天線和無線網(wǎng)絡(luò)設(shè)計工具，覆蓋范圍還可擴大。接入節(jié)點提供了一個共享無線接口。



移動終端



　　OWLAN業(yè)務(wù)可用于任何一個帶有WLAN無線接入、SIM卡和SIM認(rèn)證軟件模塊的終端。用戶可使用集成了SIM卡的WLAN卡或一個WLAN卡附加一個智能卡。 運營商的網(wǎng)絡(luò)構(gòu)架包括一組漫游用戶無線網(wǎng)絡(luò)識別器，OWLAN終端通過使用該網(wǎng)絡(luò)來檢測正確的漫游WLAN網(wǎng)。當(dāng)進(jìn)入一個新位置時，終端將把WLAN網(wǎng)絡(luò)的名稱與漫游構(gòu)架作比較，然后連入正確的WLAN。





系統(tǒng)操作



　　為了與現(xiàn)有的WLAN設(shè)置及網(wǎng)絡(luò)核心兼容，必須用IP協(xié)議傳輸具體的SIM信令報文。這種方法需要OWLAN系統(tǒng)獨立于WLAN標(biāo)準(zhǔn)，如可以使用5GHz的WLAN系統(tǒng)的IEEE802.11a和HIPERLAN/2。



　　接入控制器和認(rèn)證服務(wù)器的分工使得核心網(wǎng)絡(luò)的復(fù)雜度降低。在接入網(wǎng)邊緣上要進(jìn)行大量運算的IP數(shù)據(jù)包過濾，并完成路由功能，這些工作可分散到多個接入控制器完成，因此提高了系統(tǒng)的可擴展性和穩(wěn)定性。



　　移動終端軟件的核心部件是漫游控制模塊，它為漫游業(yè)務(wù)提供了一個生動的用戶界面，該模塊與SIM卡進(jìn)行通信。OWLAN網(wǎng)絡(luò)接入認(rèn)證及記賬協(xié)議(NAAP)將GSM認(rèn)證報文封裝在IP數(shù)據(jù)包中。NAAP使用無連接的用戶數(shù)據(jù)報表協(xié)議(UDP)傳輸層，但是它包括了重傳機制以確�？煽康目刂菩畔⒀舆t。



　　接入控制器的關(guān)鍵部件是接入管理器，它負(fù)責(zé)IP路由選擇和收集記賬信息。



　　認(rèn)證服務(wù)器中的關(guān)鍵模塊是認(rèn)證控制器，它處理RADIUS認(rèn)證信息，與GSM核心設(shè)備進(jìn)行通信。計數(shù)模塊從接入網(wǎng)中接收、存儲信息。計數(shù)模塊使用GTP記賬協(xié)議與GPRS收費網(wǎng)關(guān)接口。認(rèn)證服務(wù)器提供開放的FTP接口，可將計帳信息直接傳給記賬系統(tǒng)。



認(rèn)證



　　OWLAN系統(tǒng)的核心部件是基于SIM的認(rèn)證。接入控制器作為終端和認(rèn)證服務(wù)器的中繼。認(rèn)證過程如下：



　　第一步，使用用戶密碼（PIN）激活終端。當(dāng)認(rèn)證開始時，軟件提醒用戶出示PIN號，這種功能與GSM類似，它使盜用SIM卡者因沒有正確的PIN號而無法使用SIM卡。



　　一開始，終端向接入控制器發(fā)送 NAAP請求報文，確定該接入控制器的位置。收到接入控制器的IP地址后，終端向接入控制器發(fā)送初始認(rèn)證請求。然后認(rèn)證服務(wù)器向移動終端發(fā)送經(jīng)過認(rèn)證的代碼報文。終端計算認(rèn)證代碼信息并把它與從網(wǎng)絡(luò)收到的代碼信息作一比較，如果二者不匹配，終端將認(rèn)為是虛假業(yè)務(wù)從而終止響應(yīng)。下一步，終端使用SIM卡中的算法計算符號響應(yīng)（SRES），并計算認(rèn)證代碼信息。



　　終端將響應(yīng)送至接入控制器，接入控制器將該響應(yīng)中繼至認(rèn)證服務(wù)器。認(rèn)證服務(wù)器用SRES計算認(rèn)證代碼，并將認(rèn)證的最終代碼傳至接入控制器。如果認(rèn)證通過，接入服務(wù)器將給認(rèn)證服務(wù)器發(fā)送信息，即新的會話過程已開始。最后接入控制器為終端的數(shù)據(jù)分組進(jìn)行路由選擇。



　　在認(rèn)證過程中，認(rèn)證服務(wù)器向終端和接入控制器發(fā)送會話有效期值，說明經(jīng)認(rèn)證的會話在多長時間內(nèi)有效。當(dāng)接入控制器的有效期滿，則與終端拆鏈。接入控制器將關(guān)閉終端連接，并通知認(rèn)證服務(wù)器關(guān)閉終端的計賬過程。如果終端在會話期滿前想繼續(xù)該過程，需要重新認(rèn)證。運營商可在會話過程中周期性地認(rèn)證終端。



計費



　　接入控制器監(jiān)視數(shù)據(jù)傳輸，并定期向認(rèn)證服務(wù)器發(fā)送業(yè)務(wù)流的統(tǒng)計信息。計費數(shù)據(jù)由認(rèn)證服務(wù)器轉(zhuǎn)化為GPRS標(biāo)準(zhǔn)的計費數(shù)據(jù)記錄（CDR）格式。



　　認(rèn)證服務(wù)器確認(rèn)收到與認(rèn)證終端有關(guān)的計費數(shù)據(jù)，確保了未被準(zhǔn)確認(rèn)證的連接不會產(chǎn)生計費記錄。RADIUS協(xié)議中的保密機制能夠保護(hù)計費數(shù)據(jù)。在傳輸過程中，如果數(shù)據(jù)被更改，擁有密鑰的接入控制器和認(rèn)證服務(wù)器會報警，這就避免了在IP網(wǎng)絡(luò)端產(chǎn)生虛假的計費數(shù)據(jù)。在系統(tǒng)配置中，密鑰嵌入接入控制器和認(rèn)證服務(wù)器。 傳輸數(shù)據(jù)也可通過接入控制器和認(rèn)證控制器間的IP安全協(xié)議（IPSEC）進(jìn)行加密。最后，認(rèn)證服務(wù)器將產(chǎn)生的計費數(shù)據(jù)記錄發(fā)往計費網(wǎng)關(guān)或計費系統(tǒng)。



漫游



　　與大部分網(wǎng)絡(luò)業(yè)務(wù)提供者不同，移動運營商擁有支持不同接入網(wǎng)絡(luò)間漫游的基礎(chǔ)設(shè)施。他們就如何漫游及與原用戶間交換認(rèn)證和計費數(shù)據(jù)達(dá)成協(xié)議。



　　第一步，漫游終端連接到異地運營商WLAN 網(wǎng)絡(luò)并通過向接入控制器發(fā)送認(rèn)證請求。認(rèn)證服務(wù)器分析移動用戶標(biāo)識碼（IMSI），確認(rèn)運營商擁有WLAN業(yè)務(wù)的有效漫游協(xié)議。下一步，認(rèn)證服務(wù)器使用GSM SS7網(wǎng)絡(luò)將認(rèn)證請求發(fā)給相應(yīng)的HLR 。HLR響應(yīng)。終端中斷后，認(rèn)證服務(wù)器將計費記錄發(fā)給異地計費系統(tǒng)。IMSI代碼指示漫游終端的計費記錄已產(chǎn)生。不同計費系統(tǒng)間有規(guī)則地進(jìn)行通信，交換由漫游用戶產(chǎn)生的GSM/GPRS和WLAN計費記錄。使用這一機制，異地運營商的計費系統(tǒng)將WLAN計費記錄轉(zhuǎn)移到用戶的原計費系統(tǒng)，由該系統(tǒng)提交最終用戶賬單。



遠(yuǎn)程接入



　　無線局域網(wǎng)業(yè)務(wù)的目標(biāo)用戶是使用WLAN 接入企業(yè)網(wǎng)的移動用戶。為了確保商業(yè)信息的保密性，需要在終端和企業(yè)網(wǎng)間建立端到端的加密連接。典型的連接是在公用網(wǎng)邊上用虛擬專用網(wǎng)（VPN）以及在遠(yuǎn)程終端上使用相應(yīng)的VPN軟件。若在SIM卡中儲存VPN的認(rèn)證信息，遠(yuǎn)程登錄的性能可進(jìn)一步提高。這使得在基于SIM認(rèn)證后,保護(hù)VPN密鑰及無縫VPN認(rèn)證成為可能。用這種方法，運營商通過與信息管理部密切合作，可提供VPN和接入業(yè)務(wù)。由于運營商必須為漫游用戶分配大量的路由IP地址,這一點限制了所有的遠(yuǎn)程接入業(yè)務(wù)。OWLAN結(jié)構(gòu)需要使用可支持個人地址的現(xiàn)代VPN產(chǎn)品，這樣才能提高無線局域網(wǎng)接入系統(tǒng)的可擴展性和可用性。




可擴展性和系統(tǒng)穩(wěn)定性



　　移動運營商的網(wǎng)絡(luò)結(jié)構(gòu)有一個最大容錯率。為了滿足這個要求，接入點、接入控制器和認(rèn)證服務(wù)器的運行必須是可靠的，系統(tǒng)必須提供足夠的備份能力。OWLAN系統(tǒng)最嚴(yán)格的部分是認(rèn)證服務(wù)器的誤差要求。OWLAN至少應(yīng)包括兩個認(rèn)證服務(wù)器。使用標(biāo)準(zhǔn)的RADIUS代理結(jié)構(gòu)可滿足認(rèn)證服務(wù)器的誤差要求。接入服務(wù)器有兩個代理，一個是主代理，另一個是二級RADIUS代理。如果認(rèn)證服務(wù)器對接入控制器發(fā)出的信息沒有回應(yīng)，接入控制器將給二級RADIUS代理發(fā)送信息，這樣就把報文轉(zhuǎn)移到二級認(rèn)證服務(wù)器。冗余路由結(jié)構(gòu)和代理確保了在認(rèn)證服務(wù)器之間有誤時的無縫連接。這種方式允許移動運營商給網(wǎng)絡(luò)增加認(rèn)證服務(wù)器來提高系統(tǒng)容量。



　　定期更新認(rèn)證服務(wù)器的計費數(shù)據(jù)可將丟失數(shù)據(jù)的風(fēng)險降至最小。安裝一個二級接入控制器，可在主要接入控制器損壞或超載的情況下使用，這樣可進(jìn)一步提高系統(tǒng)性能。接入網(wǎng)點的備份能力并不重要，如果一個接入網(wǎng)點失效，它將關(guān)閉無線連接，終端自動漫游到新的接入節(jié)點。



　　隨著漫游用戶和寬帶業(yè)務(wù)的不斷增加，有足夠漫游能力的高速IP接入需求也隨之增加。WLAN系統(tǒng)提供了寬帶，但只有中等的認(rèn)證和漫游能力。



　　OWLAN將GSM用戶管理、計費機制與WLAN接入技術(shù)組合起來。現(xiàn)有的解決方案可使蜂窩網(wǎng)運營商迅速進(jìn)入寬帶市場， 并可利用他們現(xiàn)有的用戶管理和計費協(xié)議。OWLAN系統(tǒng)允許網(wǎng)絡(luò)用戶使用同一個SIM卡和用戶標(biāo)識，這使得蜂窩網(wǎng)運營商比ISP運營商有更強的競爭優(yōu)勢。



　　OWLAN結(jié)構(gòu)將網(wǎng)絡(luò)認(rèn)證和原始的IP接入組合在一起,這是通向全I(xiàn)P網(wǎng)絡(luò)的第一步。GSM 基于SIM的WLAN認(rèn)證和計費信令已經(jīng)被證明是穩(wěn)定的、可擴展的方法，該方法使得移動運營商可把業(yè)務(wù)擴展到室內(nèi)無線寬帶接入。


摘自《通訊世界》2002.6