张玉梅 西安电子科技大学
随着基于IP办公应用的发展,大部分企业信息系统和数据库可通过IP骨干网远程接入,但一些典型的办公事务,如大型的E-mail附件的下载则需要很大的带宽,这往往超过了网络的传输能力。无线局域网(WLAN)接入技术是室内GSM和GPRS很好的补充,它提供的带宽远大于传统的蜂窝网。根据无线局域网标准(IEEE802.11b),2.4G频带上最大数据速率为11Mb/s。对一个单独的用户来说,在WLAN上的最大速率是11Mb/s(典型的是6.5Mb/s),而GPRS手机的最大数据速率是172kb/s(典型的是42kb/s),第三代终端的最大数据速率是2Mb/s(典型的是144kb/s)。从用户的角度看,速度的差别是很明显的,这使WLAN在室内数据蜂窝网中有很强的竞争力。
与传统的蜂窝网相比,大部分WLAN只有中等的认证和漫游能力。本文将介绍一个新的WLAN系统结构,称之为OWLAN(operator WLAN)。它将GSM用户管理、记账机制与WLAN接入技术组合起来。OWLAN可使用户在不同的接入网间漫游。OWLAN适用于任何带有GSM SIM识别卡和OWLAN信令模块的终端设备。
未来的移动通信网将是几种无线技术的组合,如GSM/GPRS、第三代无线接入技术和无线接入网。一个用户识别卡应该能在所有的接入网中使用,以保证漫游和无缝连接。OWLAN系统应兼容GSM/GPRS核心网络的漫游和记账功能,这样可减少对核心设备的修改量及其标准化的工作量。由于GSM识别模块使用广泛,并能在GSM/GPRS手机及网络间漫游,故WLAN用户管理选择了该模块。为了减少安装成本和复杂度,OWLAN应使用现有的GPRS计费系统。 系统结构
它包括公用LAN接入网和蜂窝网操作站点,它们通过骨干网通信。设计的主要问题是如何用IP协议构架将标准的GSM用户认证信令从终端传到蜂窝网操作站点。
OWLAN系统包括四个关键物理实体:认证服务器、接入控制器、接入节点和移动终端。
与GPRS结构相比,OWLAN系统最显著的区别在于只把控制信令数据传到网络中心。接入控制器将用户数据包直接送到IP骨干网。由于用户的IP传输不必通过网络中心回到原网络,避免了GPRS系统复杂的漫游。因此,OWLAN传输方法可减少网络中心的负荷。
认证服务器
用户认证过程如下: 第一步,将一个WLAN终端和一个WLAN接入节点相连,从接入控制器中获得IP地址,通过向接入控制器发送一个认证请求来初始化网络认证。 接入控制器通过接入网络和GSM信令网络间的网关来中继对认证服务器的请求。认证服务器从归属位置寄存器(HLR)查询认证数据,并根据这一数据对用户进行认证。
认证服务器是OWLAN用户管理的主要节点。一个认证服务器可以支持多个接入控制器, 并能在不同的小区中为成千上万个用户提供认证和记账服务。认证服务器和接入控制器通过RADIUS协议进行通信。当用户中断连接,认证服务器从接入控制器中获得记账数据,并把账目传给记账系统。
认证服务器为核心网络提供了一个网关,即GSM HLR和GPRS计费网关。认证服务器使用7号信令网将GSM认证信令传给HLR。OWLAN使用SIM卡中的国际移动用户标识码(IMSI)来识别用户。如果漫游用户预约了WLAN服务,认证服务器将一直保持检查状态。
接入控制器
接入控制器在无线接入网和固定IP核心网间提供了一个网关。它为移动终端分配IP地址,并维护已认证的终端IP地址表。接入控制器作为过滤器监督进出的IP数据包,丢弃由非法终端进入的数据包。此外,它还收集记账信息。接入控制器使用终端IP地址和WLAN MAC 地址来区别移动终端。MAC地址认证可保证非法用户不能盗用IP地址。
接入节点
接入节点在移动终端和固定的LAN间提供了一个无线以太连接。接入节点由接入控制器连入同一个LAN中,并支持1、2、5.5和11Mb/s的数据速率。一个接入节点的典型覆盖范围为室内50-100米。如果使用定向天线和无线网络设计工具,覆盖范围还可扩大。接入节点提供了一个共享无线接口。
移动终端
OWLAN业务可用于任何一个带有WLAN无线接入、SIM卡和SIM认证软件模块的终端。用户可使用集成了SIM卡的WLAN卡或一个WLAN卡附加一个智能卡。 运营商的网络构架包括一组漫游用户无线网络识别器,OWLAN终端通过使用该网络来检测正确的漫游WLAN网。当进入一个新位置时,终端将把WLAN网络的名称与漫游构架作比较,然后连入正确的WLAN。
系统操作
为了与现有的WLAN设置及网络核心兼容,必须用IP协议传输具体的SIM信令报文。这种方法需要OWLAN系统独立于WLAN标准,如可以使用5GHz的WLAN系统的IEEE802.11a和HIPERLAN/2。
接入控制器和认证服务器的分工使得核心网络的复杂度降低。在接入网边缘上要进行大量运算的IP数据包过滤,并完成路由功能,这些工作可分散到多个接入控制器完成,因此提高了系统的可扩展性和稳定性。
移动终端软件的核心部件是漫游控制模块,它为漫游业务提供了一个生动的用户界面,该模块与SIM卡进行通信。OWLAN网络接入认证及记账协议(NAAP)将GSM认证报文封装在IP数据包中。NAAP使用无连接的用户数据报表协议(UDP)传输层,但是它包括了重传机制以确保可靠的控制信息延迟。
接入控制器的关键部件是接入管理器,它负责IP路由选择和收集记账信息。
认证服务器中的关键模块是认证控制器,它处理RADIUS认证信息,与GSM核心设备进行通信。计数模块从接入网中接收、存储信息。计数模块使用GTP记账协议与GPRS收费网关接口。认证服务器提供开放的FTP接口,可将计帐信息直接传给记账系统。
认证
OWLAN系统的核心部件是基于SIM的认证。接入控制器作为终端和认证服务器的中继。认证过程如下:
第一步,使用用户密码(PIN)激活终端。当认证开始时,软件提醒用户出示PIN号,这种功能与GSM类似,它使盗用SIM卡者因没有正确的PIN号而无法使用SIM卡。
一开始,终端向接入控制器发送 NAAP请求报文,确定该接入控制器的位置。收到接入控制器的IP地址后,终端向接入控制器发送初始认证请求。然后认证服务器向移动终端发送经过认证的代码报文。终端计算认证代码信息并把它与从网络收到的代码信息作一比较,如果二者不匹配,终端将认为是虚假业务从而终止响应。下一步,终端使用SIM卡中的算法计算符号响应(SRES),并计算认证代码信息。
终端将响应送至接入控制器,接入控制器将该响应中继至认证服务器。认证服务器用SRES计算认证代码,并将认证的最终代码传至接入控制器。如果认证通过,接入服务器将给认证服务器发送信息,即新的会话过程已开始。最后接入控制器为终端的数据分组进行路由选择。
在认证过程中,认证服务器向终端和接入控制器发送会话有效期值,说明经认证的会话在多长时间内有效。当接入控制器的有效期满,则与终端拆链。接入控制器将关闭终端连接,并通知认证服务器关闭终端的计账过程。如果终端在会话期满前想继续该过程,需要重新认证。运营商可在会话过程中周期性地认证终端。
计费
接入控制器监视数据传输,并定期向认证服务器发送业务流的统计信息。计费数据由认证服务器转化为GPRS标准的计费数据记录(CDR)格式。
认证服务器确认收到与认证终端有关的计费数据,确保了未被准确认证的连接不会产生计费记录。RADIUS协议中的保密机制能够保护计费数据。在传输过程中,如果数据被更改,拥有密钥的接入控制器和认证服务器会报警,这就避免了在IP网络端产生虚假的计费数据。在系统配置中,密钥嵌入接入控制器和认证服务器。 传输数据也可通过接入控制器和认证控制器间的IP安全协议(IPSEC)进行加密。最后,认证服务器将产生的计费数据记录发往计费网关或计费系统。
漫游
与大部分网络业务提供者不同,移动运营商拥有支持不同接入网络间漫游的基础设施。他们就如何漫游及与原用户间交换认证和计费数据达成协议。
第一步,漫游终端连接到异地运营商WLAN 网络并通过向接入控制器发送认证请求。认证服务器分析移动用户标识码(IMSI),确认运营商拥有WLAN业务的有效漫游协议。下一步,认证服务器使用GSM SS7网络将认证请求发给相应的HLR 。HLR响应。终端中断后,认证服务器将计费记录发给异地计费系统。IMSI代码指示漫游终端的计费记录已产生。不同计费系统间有规则地进行通信,交换由漫游用户产生的GSM/GPRS和WLAN计费记录。使用这一机制,异地运营商的计费系统将WLAN计费记录转移到用户的原计费系统,由该系统提交最终用户账单。
远程接入
无线局域网业务的目标用户是使用WLAN 接入企业网的移动用户。为了确保商业信息的保密性,需要在终端和企业网间建立端到端的加密连接。典型的连接是在公用网边上用虚拟专用网(VPN)以及在远程终端上使用相应的VPN软件。若在SIM卡中储存VPN的认证信息,远程登录的性能可进一步提高。这使得在基于SIM认证后,保护VPN密钥及无缝VPN认证成为可能。用这种方法,运营商通过与信息管理部密切合作,可提供VPN和接入业务。由于运营商必须为漫游用户分配大量的路由IP地址,这一点限制了所有的远程接入业务。OWLAN结构需要使用可支持个人地址的现代VPN产品,这样才能提高无线局域网接入系统的可扩展性和可用性。
可扩展性和系统稳定性
移动运营商的网络结构有一个最大容错率。为了满足这个要求,接入点、接入控制器和认证服务器的运行必须是可靠的,系统必须提供足够的备份能力。OWLAN系统最严格的部分是认证服务器的误差要求。OWLAN至少应