無(wú)線LAN移動(dòng)接入網(wǎng)

金曉軍


　　金曉軍 高級(jí)工程師，北京交通大學(xué)現(xiàn)代通信研究所實(shí)驗(yàn)室主任。


　�。保梗叮纺戤厴I(yè)于北京鐵道部學(xué)院電信無(wú)線通信專業(yè)。


　　現(xiàn)從事移動(dòng)通信、寬帶通信的研究。



[摘要]：本文主要介紹OWLAN結(jié)構(gòu)、主要系統(tǒng)單元及功能，重點(diǎn)是基于SIM的鑒權(quán)、計(jì)費(fèi)和漫游機(jī)理，可作為面向全I(xiàn)P網(wǎng)絡(luò)的過(guò)渡方案。


[關(guān)鍵詞]：無(wú)線本地網(wǎng), 結(jié)構(gòu), 鑒權(quán), 漫游


一、 前言



　　由于Internet下載流量往往超過(guò)蜂窩通信網(wǎng)的傳輸容量，移動(dòng)通信運(yùn)行商正在尋找一種公眾無(wú)線接入方案，解決既可以提供以數(shù)據(jù)為主業(yè)務(wù)，也可以平滑接入Internet獲得數(shù)據(jù)業(yè)務(wù)。無(wú)線本地網(wǎng) (WLAN) 技術(shù)可提供比蜂窩通信網(wǎng)更寬的帶寬業(yè)務(wù)，運(yùn)行商WLAN(OWLAN--Operator WLAN)系統(tǒng)利用GSM基礎(chǔ)設(shè)施和漫游協(xié)議，以WLAN接入技術(shù)結(jié)合GSM用戶管理和計(jì)費(fèi)機(jī)理,使移動(dòng)用戶在不同運(yùn)行商的接入網(wǎng)間漫游。



　　本文主要介紹OWLAN結(jié)構(gòu)、主要系統(tǒng)單元及功能，重點(diǎn)是基于SIM的鑒權(quán)、計(jì)費(fèi)和漫游機(jī)理。



二、OWLAN



　　OWLAN系統(tǒng)組合多種無(wú)線通信技術(shù)，它含有公眾LAN接入網(wǎng)和采用IP骨干蜂窩移動(dòng)通信網(wǎng),保留與現(xiàn)存GSM/GPRS核心網(wǎng)漫游和計(jì)費(fèi)功能的兼容性，從終端到蜂窩通信網(wǎng)側(cè)采用GSM用戶認(rèn)證信令，GSM SIM(Subscribe Identity Module)仍用于WLAM的用戶管理，無(wú)線LAN向全I(xiàn)P業(yè)務(wù)演進(jìn)的OWLAN系統(tǒng)可作為應(yīng)用于移動(dòng)環(huán)境中全I(xiàn)P業(yè)務(wù)的基礎(chǔ)設(shè)施。



　　OWLAN系統(tǒng)結(jié)構(gòu)如圖1示意，含有鑒權(quán)服務(wù)器(AS-Authentication Service)，接入控制器(AC - Access Controller),接入指針(AP-Access Point)和移動(dòng)終端（MT - Mobile Terminal）。OWLAN系統(tǒng)中AS、AC、AP和MT分別對(duì)應(yīng)于GPRS系統(tǒng)中SGSN、GGSN、BTS和移動(dòng)終端，兩者之間主要差別是OWLAN控制信令和數(shù)據(jù)送至蜂窩核心網(wǎng)，接入控制器把用戶分組數(shù)據(jù)送到IP骨干網(wǎng)。由于，用戶IP流量并不通過(guò)蜂窩核心網(wǎng)再送至本地網(wǎng)，從而避開(kāi)GPRS因漫游而帶來(lái)的系統(tǒng)復(fù)雜問(wèn)題。



　　移動(dòng)終端用戶的鑒權(quán)過(guò)程是：每個(gè)WLAN終端聯(lián)系每個(gè)WLAN接入點(diǎn)，從接入控制器獲取一個(gè)IP地址，給接入控制器發(fā)出鑒權(quán)申請(qǐng)，啟動(dòng)網(wǎng)絡(luò)鑒權(quán)。接入控制器把鑒權(quán)申請(qǐng)送至鑒權(quán)服務(wù)器和本地位置寄存器（HLR），并驗(yàn)證鑒權(quán)用戶的數(shù)據(jù)。








三、系統(tǒng)組成



　　圖2示意OWLAN系統(tǒng)組成及其接口。









　　3．1 鑒權(quán)服務(wù)器



　　鑒權(quán)服務(wù)器用貯存在SIM卡中國(guó)際移動(dòng)用戶身份 (IMSI) 碼來(lái)識(shí)別用戶，不斷地檢查是否有用戶已漫游登錄到WLAN業(yè)務(wù)上，以SS7信令把鑒權(quán)信息送至HLR，運(yùn)行鑒權(quán)，確認(rèn)和計(jì)費(fèi)（AAA）的RADIUS (Remote Authentication Dial In User Service) 的鑒權(quán)協(xié)議，與接入控制器聯(lián)絡(luò)。當(dāng)用戶拆線時(shí)，鑒權(quán)服務(wù)器從接入控制器中把接收計(jì)費(fèi)數(shù)據(jù)打印出收據(jù)帳單。



　　3．2 接入控制器



　　接入控制器作為無(wú)線接入網(wǎng)和IP核心網(wǎng)間的網(wǎng)關(guān)，安排移動(dòng)終端的IP地址，提供已鑒權(quán)移動(dòng)終端的IP地址表，監(jiān)視輸入/出IP分組地址，排除非鑒權(quán)移動(dòng)終端的數(shù)據(jù)。



　　3．3 無(wú)線LAN接入點(diǎn)



　　無(wú)線LAN接入點(diǎn)在移動(dòng)終端和固定LAN間提供無(wú)線Ethernet鏈路，作為共享的無(wú)線接口。



　　3．4 移動(dòng)終端



　　移動(dòng)終端以預(yù)先定義含有漫游的網(wǎng)絡(luò)特征來(lái)檢測(cè)漫游移動(dòng)終端，具有SIM和SIM鑒權(quán)軟件的終端以WLAN無(wú)線接入能力獲得OWLAN業(yè)務(wù)。移動(dòng)終端既可采用具有集成SIM閱讀器的WLAN卡，又可采用外部擴(kuò)展WLAN卡。



四、鑒權(quán)，付費(fèi)和接入運(yùn)行





　　圖3示意OWLAN控制平面結(jié)構(gòu)。OWLAN控制平面結(jié)構(gòu)中的移動(dòng)終端含漫游控制模塊，它給用戶提供漫游業(yè)務(wù)控制接口并與SIM卡聯(lián)絡(luò)。圖中特有的接入鑒權(quán)記賬協(xié)議（NAAP—Network Access Authentication and Accounting Protocol）含GSM 鑒權(quán)消息，它采用用戶數(shù)據(jù)報(bào)協(xié)議（UDP－User Data gram Protocol）來(lái)重傳連接。



　　接入控制的關(guān)鍵是接入管理器，它控制IP路由并匯集計(jì)費(fèi)統(tǒng)計(jì)數(shù)據(jù)。RADIUS協(xié)議攜帶SIM的鑒權(quán)參數(shù)，利用RADIUS協(xié)議發(fā)送計(jì)費(fèi)數(shù)據(jù)。



　　鑒權(quán)服務(wù)器中重要模塊是鑒權(quán)控制器，它處理RADIUS協(xié)議中鑒權(quán)消息并與GSM聯(lián)絡(luò)，能把計(jì)費(fèi)數(shù)據(jù)直接送到各種付費(fèi)系統(tǒng)的FTP接口。計(jì)費(fèi)網(wǎng)關(guān)接收和存貯來(lái)自接入網(wǎng)的計(jì)費(fèi)信息，用GTP付費(fèi)協(xié)議與GPRS計(jì)費(fèi)網(wǎng)關(guān)接口。



　　下面介紹OWLAN系統(tǒng)的鑒權(quán)，付費(fèi)和接入安全等過(guò)程：



　　4．1 鑒權(quán)



　　OWLAN系統(tǒng)的鑒權(quán)是基于SIM機(jī)理，接入控制器作為移動(dòng)終端與鑒權(quán)服務(wù)器間接口賦予移動(dòng)終端用戶個(gè)人身份號(hào)碼（PIN－Personal Identity Number），SIM卡和用戶身份號(hào)碼都用PIN碼來(lái)加密。基于SIM的OWLAN系統(tǒng)鑒權(quán)如圖4示意：








　　1． 移動(dòng)終端發(fā)出其所歸屬接入控制器響應(yīng)的NAAP消息；



　　2． 接收到接入控制器的IP地址后，移動(dòng)終端向接入控制器發(fā)出鑒權(quán)申請(qǐng)，接入控制器的IMSI被封裝在網(wǎng)絡(luò)接入標(biāo)識(shí)符（NAI－Network Access Identifier ）內(nèi)；



　　3． 接入控制器和RADIUS把鑒權(quán)申請(qǐng)送至鑒權(quán)服務(wù)器；



　　4． 鑒權(quán)服務(wù)器從本地位置寄存器中提取GSM有關(guān)字節(jié)；



　　5． 6. 鑒權(quán)服務(wù)器給移動(dòng)終端發(fā)出RAND，并在RAND上計(jì)算鑒別移動(dòng)終端的消息鑒權(quán)碼；



　　7． 移動(dòng)終端計(jì)算消息鑒權(quán)碼并與從網(wǎng)絡(luò)接收來(lái)的碼進(jìn)行比較。假如兩者不一致，中斷并懷疑為欺詐性業(yè)務(wù)，拒絕其鑒權(quán)申請(qǐng)。使攻擊者不可能從IMSI中提取RAND和簽字響應(yīng)SRES (Signed Response)，也不可能從存貯在SIM卡中提取安全鑰；



　　8． 移動(dòng)終端利用SIM卡中的算法計(jì)算SRES和消息鑒權(quán)碼；



　　9． 移動(dòng)終端把計(jì)算結(jié)果送至接入控制器；



　　10. 接入控制器把響應(yīng)送入鑒權(quán)服務(wù)器；



　　11. 鑒權(quán)服務(wù)器用SRES計(jì)算消息鑒權(quán)碼再驗(yàn)證響應(yīng)；



　　12. 鑒權(quán)服務(wù)器把鑒權(quán)結(jié)果碼送至接入服務(wù)器；



　　13. 假如鑒權(quán)結(jié)果是正確的，接入控制器給鑒權(quán)服務(wù)器發(fā)出指示，建立新會(huì)話；



　　14，15. 接入控制器安置分組數(shù)據(jù)路由并發(fā)出應(yīng)答信號(hào)。
鑒權(quán)中斷有下述原因：HLR中不含有IMSI，接入操作器不支持IMSI的漫游，鑒權(quán)服務(wù)器沒(méi)有接收到來(lái)自HLR關(guān)聯(lián)字節(jié)，移動(dòng)終端停留在非鑒權(quán)狀態(tài)，接入控制器不安置終端IP流量的路由等。



　　4．2 計(jì)費(fèi)和付費(fèi)



　　接入控制器監(jiān)控?cái)?shù)據(jù)流量并周期地給鑒權(quán)服務(wù)器發(fā)送流量統(tǒng)計(jì)信息，計(jì)費(fèi)流量統(tǒng)計(jì)方法有下述機(jī)理：



　　1. 基于連接開(kāi)始和終止時(shí)間；



　　2. 基于傳送數(shù)據(jù)流量；



　　3. 基于平直速率。



　　鑒權(quán)服務(wù)器把計(jì)費(fèi)數(shù)據(jù)轉(zhuǎn)換成標(biāo)準(zhǔn)的GPRS計(jì)費(fèi)數(shù)據(jù)格式（CDR－Charging Data Record）,鑒權(quán)服務(wù)器確證接收到與鑒權(quán)終端有關(guān)的計(jì)費(fèi)數(shù)據(jù)，確保通信聯(lián)絡(luò)沒(méi)有確證前不會(huì)產(chǎn)生計(jì)費(fèi)記錄。在接入控制器和鑒權(quán)服務(wù)器間傳送數(shù)據(jù)采用IP安全（IP Security -- IPSEC）協(xié)議加密。



　　4．3 漫游至外來(lái)WLAN網(wǎng)絡(luò)



　　不同于Internet業(yè)務(wù)運(yùn)行，OWLAN系統(tǒng)用同一設(shè)施和機(jī)制來(lái)支持不同接入網(wǎng)間和運(yùn)行網(wǎng)間的漫游。圖5 示意在OWLAN系統(tǒng)中的漫游機(jī)理，其工作流程如下：







　　1. 漫游移動(dòng)終端連結(jié)相關(guān)外來(lái)運(yùn)行商的WLAN，并把鑒權(quán)申請(qǐng)發(fā)給接入控制器，接入控制器再把鑒權(quán)申請(qǐng)送至鑒權(quán)服務(wù)器；



　　2. 鑒權(quán)服務(wù)器驗(yàn)證IMSI，利用GSM SS7網(wǎng)給HLR發(fā)出鑒權(quán)查詢.；



　　3. 對(duì)應(yīng)的HLR以用戶和鑒權(quán)關(guān)聯(lián)字節(jié)進(jìn)行計(jì)算鑒權(quán)，直至漫游移動(dòng)終端拆線，鑒權(quán)服務(wù)器才給付費(fèi)系統(tǒng)發(fā)出計(jì)費(fèi)記錄；



　　4. 計(jì)算IMSI碼用于漫游移動(dòng)終端的CDR，付費(fèi)系統(tǒng)把WLAN CDR發(fā)至漫游移動(dòng)終端本地付費(fèi)系統(tǒng)并給出帳單。



　　4.4 用戶遠(yuǎn)程安全接入



　　OWLAN系統(tǒng)利用無(wú)線LAN接入網(wǎng)中移動(dòng)用戶建立終端與終端，終端與對(duì)應(yīng)網(wǎng)間的加密連接來(lái)保證商務(wù)關(guān)鍵信息的安全性。



五、系統(tǒng)升級(jí)性和魯棒性



　　運(yùn)行網(wǎng)絡(luò)必須提供足夠冗余特性來(lái)提高OWLAN系統(tǒng)容錯(cuò)能力和恢復(fù)網(wǎng)絡(luò)運(yùn)行的魯棒性。一個(gè)最小化 OWLAN系統(tǒng)至少應(yīng)有兩個(gè)鑒權(quán)服務(wù)器，采用圖6的RADIUS代理可提高系統(tǒng)容錯(cuò)能力。



　　圖6接入控制器連接兩個(gè)RADIUS代理，其中一個(gè)為主,另一個(gè)為副。假如鑒權(quán)服務(wù)器沒(méi)有應(yīng)答接入控制器的消息,副RADIUS代理把消息送至副鑒權(quán)服務(wù)器。在發(fā)生差錯(cuò)情況下, 冗余IP路由和RADIUS代理確保鑒權(quán)服務(wù)器之間的無(wú)隙縫交換。在主接入控制失誤或超負(fù)荷時(shí),可加副接入控制器來(lái)改進(jìn)系統(tǒng)魯棒性。








　　本文介紹一個(gè)把無(wú)線LAN接入與GSM / GPRS漫游綜合在一起的OWLAN系統(tǒng)。OWLAN系統(tǒng)把蜂窩移動(dòng)鑒權(quán)與本地IP接入組合起來(lái)，與公眾WLAN接入組合開(kāi)發(fā)GSM鑒權(quán)，基于SIM用戶管理和付費(fèi)機(jī)理，允許移動(dòng)終端使用相同SIM和用戶標(biāo)志來(lái)接入WLAN，可作為面向全I(xiàn)P網(wǎng)絡(luò)的過(guò)渡方案。



參考文獻(xiàn)


[1],Juba Ala- Laurila, "Wireless LAN Access Network Architecture for Mobile Operators", IEEE Communication Magazine,Vol.39,No:11, 2001, P82-89


[2],C. Rigney Et al., "Remote Authentication Dial In User Service (RADIUS)", IETF RFC 2865,2000




----《中國(guó)移動(dòng)通信》