應用于移動環境中的ＷＬＡＮ接入網結構

摘要：

文章介紹了把無線局域網接入與GSM/GPRS漫游融合在一起的運營無線局域網(OWLAN)，分析了OWLAN的主要系統單元及功能，討論了基于用戶識別模塊(SIM)的鑒權、漫游和計費機理。

關鍵詞：

無線局域網；結構；鑒權；漫游

Abstract:

ThepapergivesintroductiontotheoperatorwirelessLAN(OWLAN)thatcombinestheWLANaccessandGSM/GPRSroamingtechnologies.ThemaincomponentsoftheOWLANsystemandtheirfunctionsareanalyzed，andthemechanismofauthentication，roamingandbilling，whicharebasedonSIM，arediscussed.

Keywords:

WLAN;Architecture;Authentication;Roaming

無線局域網(WLAN)技術可提供比蜂窩通信網更寬的業務帶寬，如IEEE802.11b在2.4GHz頻率可提供11Mbit/s吞吐量，而通用分組無線業務(GPRS)僅提供172kbit/s，3G系統僅提供2Mbit/s。因此，運營無線局域網(OWLAN)系統應利用GSM基礎設施和漫游協議，以WLAN接入技術結合GSM用戶管理和計費機理，使移動用戶在不同運營商的接入網間漫游。本文介紹一種應用于移動環境中的WLAN接入網結構，它把WLAN無線接入技術和基于GSM的用戶識別模塊(SIM)的移動用戶管理、蜂窩通信與WLAN接入網間的漫游組合起來，是一種超過現有蜂窩通信系統容量且可提供公眾無線寬帶接入的系統，可作為GSM和GPRS輔助寬帶接入技術。

1、運營無線局域網

未來移動通信運營無線局域網將是多種無線通信技術的組合(如GSM/GPRS、第3代無線接入和WLAN)，在接入網中，每個移動用戶都具備無隙縫平滑漫游業務能力。OWLAN系統保留與現存GSM/GPRS核心網漫游和計費功能的兼容性，WLAM仍采用GSMSIM(用戶識別模塊)的用戶管理機理。WLAN向全IP業務演進的OWLAN方案可作為應用于移動環境中全IP業務的基礎設施方案之一。OWLAN系統結構如圖1所示，可認為是一種含有公眾局域接入網和采用IP骨干通信網的蜂窩通信操作結構，從終端到蜂窩通信側采用GSM用戶認證信令。

OWLAN系統含有4個關鍵實體：鑒權服務器(AS)、接入控制器(AC)、接入點(AP)和移動終端(MT)。OWLAN系統結構類似于通用分組無線業務(GPRS)網絡，每個組成單元都可對應GPRS網絡中相應部分，如OWLAN中AS、AC、AP和MT分別對應于GPRS系統中網關GPRS服務節點(SGSN)、網關GPRS支持節點(GGSN)、基站(BTS)和移動電話。但是OWLAN的控制信令和數據是被送至蜂窩核心網中，接入控制器把用戶分組數據送到負責聯系公共和專用業務接續的IP骨干網。由于用戶IP流量并不通過蜂窩核心網再送至局域網，從而避開GPRS因漫游而帶來的系統復雜性問題。

用戶的鑒權工作過程是：一個WLAN終端聯系一個WLAN接入點，從接入控制器獲取IP地址，給接入控制器發出鑒權申請，啟動網絡鑒權。接入控制器把鑒權申請送至起網關作用的鑒權服務器，再由歸屬位置寄存器驗證鑒權數據并鑒權用戶。

2、系統組成

圖2所示為OWLAN系統組成及其接口。OWLAN系統含有移動交換中心(MSC)、歸屬位置寄存器(HLR)、移動應用協議(MAP)、遠程撥號用戶認證(RADIUS)、無線局域網(WLAN)。其中移動交換中心提供高性能冗余移動應用協議接口，以GSM的信令平衡來自WLAN的信令流量。

2.1、鑒權服務器

鑒權服務器是OWLAN用戶管理的主要控制點，每個實體支持多個接入控制器并給漫游用戶提供鑒權、計費等業務。鑒權服務器通過鑒權、認證和計費(AAA)的遠程撥號用戶認證(RADIUS)鑒權協議與接入控制器聯絡。當用戶拆線時，鑒權服務器從接入控制器中將接收的計費數據打出GPRS帳單。

鑒權服務器以七號信令(SS7)把GSM鑒權信息送至歸屬位置寄存器(HLR)，并以貯存在SIM卡中的GSM國際移動用戶身份(IMSI)碼用來識別用戶，鑒權服務器不斷地檢查是否有漫游用戶登錄WLAN業務。

2.2、接入控制器

接入控制器作為無線接入網和固定IP核心網間的網關，安排移動終端的IP地址，提供已鑒權終端的IP地址表，監視輸入/輸出IP分組地址，并排除非鑒權終端的分組數據。用終端IP地址和WLAN鏈路層指定的媒體訪問控制(MAC)地址來區別移動終端，MAC地址的核實可確保用戶不會同時使用同一IP地址。

2.3、接入點

接入點在移動終端和固定局域網間提供無線以太網鏈路作為共享無線接口，若采用定向天線和無線網絡還可擴展覆蓋面積。若在同一接入點中無其他終端，那么單個用戶速率可達11Mbit/s。這是與GPRS無線接入的重要差別。

2.4、移動終端

具有SIM和SIM鑒權軟件的終端都具有WLAN無線接入能力，并可獲得OWLAN業務，終端既可采用具有集成SIM閱讀器的WLAN卡，又可采用外部擴展WLAN卡。

3、系統運行機理

與現有WLAN設備和蜂窩通信核心網的兼容意味著SIM信令應采用IP協議。移動終端核心軟件是漫游控制模塊，它給漫游業務提供了用戶圖形控制接口并與SIM卡聯絡，OWLAN特有的網絡接入鑒權和記帳協議(NAAP)內含GSM鑒權消息，采用重傳無連接用戶數據報協議(UDP)。接入控制器的關鍵是接入管理器，它控制IP路由并匯集計費統計數據。RADIUS協議攜帶SIM特殊的鑒權參數，利用RADIUS協議發送計費數據。在鑒權服務器中，重要模塊是鑒權控制器，它處理RADIUS協議中鑒權消息并與GSM聯絡。計費模塊接收和存貯來自接入網的計費信息，用GPRS隧道付費協議與GPRS計費網關接口。鑒權服務器能把計費數據直接送到各種計費系統的文件傳送協議接口。

3.1、鑒權

OWLAN系統的鑒權基于SIM機理，接入控制器作為終端與鑒權服務器間的接口賦予用戶終端個人身份號(PIN)，SIM卡和用戶身份都用PIN碼加密。

基于SIM的鑒權順序如下：

(1)屬于接入控制器的終端發出接入控制器響應的NAAP請求消息。

(2)接收到接入控制器的IP地址后，終端給接入控制器發出鑒權申請，接入控制器的IMSI被封裝在網絡接入標識符(NAI)內。

(3)NAI的標志域為本地操作域，即imsi@operator.com。接入控制器和RADIUS把鑒權申請送至正確的鑒權服務器。

(4)鑒權服務器從本地位置寄存器提取GSM關聯字節。

(5)鑒權服務器給移動終端發出GSM隨機數(RAND)，并在RAND上計算消息鑒權碼，鑒別終端。

(6)終端計算消息鑒權碼，并與網絡接收碼進行比較。假如兩者不一致，中斷并懷疑為欺詐性業務，拒絕其鑒權申請。這樣的機理使攻擊者不可能從IMSI中提取RAND和簽字響應(SRES)，也不可能從SIM卡提取安全鑰碼。

(7)終端利用存貯在SIM卡中的算法計算SRES并計算消息鑒權碼。

(8)終端把響應送至接入控制器。

(9)接入控制器把響應送入鑒權服務器。

(10)鑒權服務器用SRES計算消息鑒權碼再驗證響應。

(11)鑒權服務器把鑒權結果碼送至接入服務器。

(12)假如鑒權結果是正確的，接入控制器給鑒權服務器發出指示，建立新會話。

(13)接入控制器給終端分組數據安置路由并發出應答信號。

3.2、計費

接入控制器監控數據流量并周期地給鑒權服務器發送流量統計信息，支持的計費方法有：基于計時的記錄連接開始和終止時間，基于容量的記錄傳送數據流量和平直速率。

鑒權服務器把計費數據轉換成標準GPRS計費數據記錄格式(CDR)，鑒權服務器驗證接收到的與鑒權終端有關的計費數據，確保在通信聯絡沒有確證前不會產生計費記錄。計費數據的安全機制由RADIUS共享的協議來保護，在接入控制器和鑒權服務器間傳送數據采用IP安全協議加密。

3.3、漫游

不同于Internet業務運營商，眾多移動通信運營商用同一設施和機制來支持不同接入網間和運營網間的漫游。其工作流程如下：

(1)漫游移動終端連結相關外來運營商的WLAN并把鑒權申請發給接入控制器，接入控制器再把鑒權申請送至鑒權服務器。

(2)鑒權服務器分析驗證IMSI，利用GSMSS7網給HLR發出鑒權查詢。

(3)對應的HLR以用戶和鑒權關聯字進行計算，鑒權過程直至終端拆線后鑒權服務器才給外來運營商付費系統發送計費記錄。

(4)計算IMSI碼產生用于漫游終端的CDR，外來運營商付費系統把WLANCDR發至用戶本地運營商付費系統并給出終端用戶帳單。

3.4、安全接入

為了保證關鍵商務信息的安全性，OWLAN系統利用WLAN延伸接入網中的移動用戶，建立端與端和終端與對應網間加密連接。

4、系統魯棒性

移動運營網絡有較高容錯能力和恢復網絡運營的魯棒性，且移動運營網絡必須提供足夠冗余特性。一個最小化的OWLAN至少應有兩個鑒權服務器（如RADIUS）代理來提高容錯能力。接入控制器連接兩個RADIUS代理，其中一個為主，另一個為副。假如鑒權服務器沒有應答接入控制器的消息，副RADIUS代理把消息送至副鑒權服務器。在發生差錯情況下，冗余IP路由和RADIUS代理將確保鑒權服務器之間的無隙縫交換。在主接入控制器失誤或超負荷時，可加副接入控制器來改進系統魯棒性。□

參考文獻：

[1]JubaAla-Laurila.WirelessLANAccess

NetworkArchitectureforMobileOperators[J].IEEECommunicationsMagazine，2001，39(11):82—89.

[2]IETFRFC2865.RigneyC.RemoteAuthenticationDial-InUserService(RADIUS)[S].2000.

[3]談振輝.基于GPRS的無線分組數據

Internet接入.中國通信，2001，(6):41—45.

收稿日期：2003-01-13

作者簡介：

談振輝，北方交通大學校長，教授，博士生導師。第一、二、三屆國家“863”計劃通信主題個人通信專業專家組成員。主要從事無線ATM、擴頻通信、個人通信方面的研究。