李伟章 普天东方通信股份有限公司
1 概述
与目前5类线到户的有线局域网(LAN)用户接入方式相类似,无线局域网(WLAN)正在发展成为公网的宽带无线用户接入方式,即运营商的WLAN(OWLAN)。
OWLAN严格说起来并不是一种局域网,而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时,WLAN只定位在局域网应用,故在WLAN作为热点地区公共接入网络时,802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本文主要探讨WLAN在作为公共接入网时的组网方案,以及对认证、加密、计费和漫游方面的解决方案。
2 公共WLAN组网方案
OWLAN可以作为某一个运营商的无线接入网,亦可作为多个运营商共用的无线接入网,故在OWLAN中要求能支持多种认证方式。
(1)接入点(AP)
AP是WLAN的小型无线基站设备,为无线网与DS(分配系统例如有线以太网)之间的网关,且具有802.11f切换功能。
(2)接入控制点(AC)
AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式,并提供动态IP地址分配、输出原始计费信息、提供路由功能等。
(3)远程拨号接入认证(RADIUS)服务器
在使用“用户号十密码”或“手机号十密码”的Web认证方式时,使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息,产生符合移动运营商要求格式的CDR(呼叫数据记录)计费信息,实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。
(4)认证服务器(AS)
移动运营商使用SIM卡认证方式时,需要使用认证服务器(AS)。AS与网关(GW或GPRS中的GGSN)相配合提供WLAN与移动运行商HLR/AUC的连接。
AS在读取MT(移动终端)的国际移动用户识别(IMSI),送HLR/AUC确认该用户为WLAN注册用户后,与HLR/AUC配合完成密钥产生、EAP(可扩展认证协议)_SIM认证等任务。其他功能同RADIUS服务器。
(5)门户网站服务器(Portal Server)
用于向用户端推送WEB认证页面和门户网站主页面。
3 公网WLAN用户接入的相关解决方案
3.1 OWLAN的用户认证
WLAN在作为局域网使用时,沿用了有线LAN的PPPoE(PPP over Ethernet)和Web用户认证方式。在作为OWLAN使用时,由于其在物理上的开放性,使得非法用户入侵的可能性大为增加,原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后,基本可以满足OWLAN的要求。同时,在认证安全前提下,应尽量利用运营商已有的鉴权认证设备,以简化系统、节约投资。
3.1.1 802.1x用户认证方式中的访问实体
802.1x协议克服了传统PPPoE和WEB认证方式的缺点,更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体(PAE)包括:客户端、认证者和认证服务器三部分。
(1)客户端
用户从客户端发起802.11x的用户认证过程,为了支持基于端口的接入控制,客户端必需支持EAPoL(基于LAN的扩展认证协议)。
(2)认证者
认证者通常为支持802.1x协议的网络设备,这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态,主要用于传递EAPoL协议帧,用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开,用于传递运营商的有偿网络资源和业务。当用户未通过认证时,受控端口对该用户关闭,即无法访问该运营商所提供的有偿服务。
(3)认证服务器
认证服务器通常为RADIUS服务器或AS+HLR/AUC,它与认证者之间通过EAP协议进行通信。
3.1.2 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS)。
802.1x主要涵盖以下四种认证方式:
(1)EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码,若通过认证就就允许客户端访问网络业务。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全。EAP-MD5属单向认证机制,即只包括网络对客户端的认证。
(2)EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证。
(3)EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全。
(4)EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证。
3.2 OWLAN的数据安全
3.2.1 802.1x协议对数据的加密
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC)。
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密。
3.2.2 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能。
根据隧道的建立方式,可划分为2类VPN连接应用:
(1)由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器(网关)之间建立隧道连接。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN。
(2)由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密。
3.2.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式(即WEP2技术)。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议。
802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全。
3. 3 OWLAN的计费
在OWLAN中,AC监测用户数据传输的时间或流量,用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工,生成符合计费中心所需格式的计费数据记录(CDR),送运行商计费中心。在多个运营商共用一个OWLAN时,要求AC能鉴别不同运营商的计费信息,分别送对应运营商的计费系统。
3.4 OWLAN的漫游
3.4.1 OWLAN的移动性管理
802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天,必须解决在同一计算机子网(域)内MT在不同AP之间漫游的问题;以及不同计算机子网(域)之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前,各制造商和运营商则推出了各自的解决方案。
3.4.2 域内漫游
在802.11中仅说明了MT可以在同一个ESS(扩展业务集)内的AP之间进行漫游,但未对MT漫游时AP之间具体通信过程做出规定,故不同厂家在实现AP间漫游时均采用了私有协议,这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践性标准)。
802.11f定义了同一ESS中AP的登录,以及MT从一个AP切换到另一个AP时,AP之间交换的信息。
802.11f所定义的IAPP(AP间交互协议)在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息,例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。在定义了IAPP后,MT与AP建立连接分为两种情况:
(1)MT在AP间切换(重新连接)
当MT从一个BSS转移到另一个BSS时,MT发出“重新连接”请求,新的AP将从RADIUS中获取旧AP的IP地址和接入密钥,然后与旧AP进行交互并获得该MT的鉴权认证信息、临时IP地址、MAC地址等资料。最后新AP还将通知DS中二层网络设备(例如以太网交换机)修改路由表,从而完成一次漫游。
(2)MT与AP的连接
当MT进入AP发出的不是“重新连接”请求,而是“连接”请求时,AP在与该MT建立连接的同时,还会将该MT的信息在子网中进行广播。子网中各AP对该MT的信息与自身所存贮的连接信息进行对照,若其中有一个对该MT的连接,则删除该连接。同时将会由AP通知二层网络设备修改路由表。
3.4.3 OWLAN的域间漫游
为解决域间漫游问题,对移动运营商而言理论上可重用GSM/GPRS或CDMA-1X/PDSN蜂窝移动数据网的鉴权、漫游、计费等功能。但实际上因WLAN的数据吞吐量远大于蜂窝移动数据网,故只能利用原蜂窝网的AAA(认证、鉴权、计费)功能。需另行设计支持漫游功能的WLAN网络,这类支持漫游的WLAN可分为两大类:一类是不支持MT域间无缝漫游的WLAN网络;另一类是采用移动IP技术,支持MT域间无缝漫游的WLAN网络。
不支持MT域间无缝漫游的OWLAN网络
因为在WLAN中MT无固定IP地址,当MT进入某个新的AC覆盖区域时需重新分配IP地址(私有地址),某MT对外界进行通信时,以该MT所在地AC的IP公有地址作为源IP地址对外发送IP包。对方通信主机则以所接收IP包的源IP地址作为目的地址,给AC返送IP包。AC在收包后改写目的地址为该MT所分配的IP私有地址,并将接收包经AP送该MT。采用这种方法可实现域间漫游,但无法作到ESS(AC)间的无缝漫游。
支持MT域间无缝漫游的OWLAN网络
(1)基于IPv4的移动IP方案
在我们目前使用的IP版本IPv4中的IP地址,包括了两部分:网络号和主机号,而路由器的路由表中只有网络号一项,即路由器仅根据目的地址的网络号选择路由,从而大大降低了路由器的负担,这样路由器先根据网络号将IP包送到目的主机所在的计算机子网,再根据主机号将IP包送目的主机。由上述可见,IP网的设计思路使IP天生就没有移动的能力。
1996年,IETF提出了移动IP协议,该协议是标准化的网络层移动解决方案。移动IP通过分配给每个移动主机两个IP地址:固定的“归属IP地址”和可变的“转发IP地址”实现了MT永远在线的无缝漫游。
为了支持主机的移动每个计算机子网需增加一个无线接入服务器(WAS),用以支持MT的网间漫游,WAS起到移动IP中归属代理(HA)与外地代理(FA)的功能。另外需在MT、AP和WAS的网络(IP)层与MAC层之间增加IP关口层,该层与MAC层配合完成对移动IP的支持。
在WAS的IP关口层实现HA和FA功能的基夲过程如下:
① 归属地址
MT在归属的HA中被分配一个归属IP地址;
② 代理搜索
通过该过程,MT可确定自己的位置。若为漫游用户,MT可从FA获得一转交IP地址,转交地址一般为FA的IP地址,也可以是FA动态分配给漫游MT的IP地址(一般为私有地址);
③ 注册
通过该过程,MT向FA请求服务,并将其转交地址通知其HA;
收包
通信对方按漫游MT归属地址为目的地址发来的IP包,先由其HA接收再按其转交地址通过隧道送漫游MT。
发包
漫游用户以FA的IP公有地址为源地址,通信对方IP地址为目的地址,不经其HA直接发包。
(2)基于IPv6的移动IP方案
移动IPv6定义了状态依赖自动配置,这种自动配置通常是由一台服务器负责子网内所有主机的地址分配,一旦一台移动主机进了该子网,服务器即自动分配一个地址给那台主机,并即时通知该MT的归属代理。可见一旦移动主机进了外地网,在取得转发地址过程中完全不需要外地代理存在。
在移动IPv6方案中,若通信主机要与漫游主机通信,需先在其归属代理中查询其转交地址,然后用转交地址替代归属地址作为发往漫游主机IP包的目的地址,从而将IP包直接发往转交地址。当与通信主机处于会话状态下的漫游主机进入一个新的子网时,将所获得新的转交地址不仅向其归属代理登记,还要告之通信对方主机,以使通信对方主机及时更改所发IP包的目的地址,以达到无缝漫游的目的。
4 公网WLAN用户接入的其他问题
(1)地址规划
大量用户通过OWLAN接入公网时,不可能对每个用户动态分配一个公有IP地址,在OWLAN中往往由AC采用动态主机配置协议(DHCP)对入网用户分配一个IP私有地址,并采用地址转换协议(PAT)完成私有地址与公有地址的转换。采用私有地址会对OWLAN的计费、安全和网管带来一些问题。
(2)无线网络规划
为了使用户在AP间移动时不中断通信,AP间的覆盖范围应有所重叠。故在作无线网络频率规划时,应考虑邻道干扰等问题。
(3)广播风暴
OWLAN中的DS多数采用以太网交换机组网,作为公共接入网其DS网络规模肯定很大,数据帧在寻址时易引起广播风暴。一般可采用虚拟局域网(VLAN)技术来抑制广播风暴的发生。
(4)网管
OWLAN比WLAN的网管要复杂得多,需管理AP、AC、AS、RADIUS和Portal Server等各类网元。其中AP一般釆用私有地址,网管系统无法通过公网直接访问AP,这将影响到对AP软件进行升级等网管操作。
----《中国数据通信》
|
