齐力焕 裴小燕
(中国联合通信有限公司 北京 100085)
摘要 本文介绍了无线局域网的发展概况,讨论了移动运营商开展无线局域网业务需要解决的计费、鉴权和安全的问题。
关键词 无线局域网 IEEE802.1x 移动运营商
1 引言
无线局域网(WLAN)可以让笔记本电脑、PDA等移动终端设备摆脱布线的束缚,自由接入因特网,从而可以降低基础设施投入,解决布线困难地区的接入问题。与有线网络相比,WLAN具有安装便捷、使用灵活、可移动、易扩展等多方面优点,可以在医院、商店、企业、学校等地区为集团用户提供服务,在机场、会议中心、展览中心、火车站、咖啡厅、酒店等地区为公众用户提供服务。
无线局域网技术已应用了多年,其市场一直平稳发展,但在目前网络通信业处于低迷的时候,却突然火了起来,成为运营商和制造商关注的焦点,有以下几点原因。
对移动数据业务的需求日益增长,人们希望能通过无线上网;笔记本电脑价格一降再降,使之有机会走入寻常百姓家;Windows XP等操作系统已内置了WLAN的驱动程序,通过WLAN上网方便快捷;WLAN已形成了统一的标准,各厂家的产品兼容性良好;计费模式多样化,使得更多的运营商加入,尤其是移动运营商的加入,大大推动了无线局域网的发展。如今每天大约有15 万人成为新的WLAN用户,全球范围内的无线局域网用户数量目前已经超过2亿。
从国外的情况看,欧洲比较早介入该领域的是Sonera。美国的MobileStar是最早提供无线公众接入的公司,2000年1月获得Starbuck的项目,同年4月已经为115家提供了无线接入,其原定目标是在2003年底为美国和加拿大的70%的星巴克咖啡屋,共4000家提供无线接入,但是该公司于2001年10月宣布破产,WLAN资产由移动运营商Voicestream收购。在国内,中国电信、中国网通在“21届大运会”、APEC会议期间为会议提供了WLAN服务;海南联通在“博鳌亚洲论坛首届年会”上提供了WLAN服务。
对无线局域网企业级和在热点地区的应用,技术上已经比较成熟。但电信级的应用发展相对滞后,主要是因为电信级应用需要在WLAN设备已有的功能基础上,强化负载分担、自动频率选择,实现Mobile IP等功能,需要在用户认证、计费、网管和漫游等方面提供完善的解决方案。
2 移动运营商应用WLAN的考虑
WLAN电信级应用模式可分为固定业务的延伸和移动业务的补充。
作为固定业务的延伸,在传统有线网络难以及时、有效覆盖的场所,如大型运动会、会展场馆等,WLAN业务深受用户欢迎,用户可在热点地区充分享受无线高速数据接入。目前国内外已经有很多固定运营商开展了这方面的业务,一般通过预付费卡或包月的形式收费。
移动互联是未来网络发展的一个趋势,但第二代移动系统很难提供高速数据业务,3G又姗姗来迟,而人们对高速无线数据的需求却日益迫切,因此移动运营商应当高度重视WLAN的应用。
WLAN通过布设足够多的接入点(AP)可以实现广泛覆盖,可以在这些接入点间无缝漫游(小区切换),此时WALN很像移动蜂窝网络。但是,相邻基站必须使用不同的信道以避免干扰,这必然会降低网络容量。其实WLAN在组建广泛覆盖的网络方面不是强项,它最适合于在机场和火车站这样的热点地区提供无线数据接入业务,因此WLAN是移动业务的补充而不像人们以前认为的那样是竞争者。
移动运营商在这一机遇面前应该充分发挥自身优势,利用已拥有的大量用户群和用户管理、认证、计费和账单等系统积极为用户提供无线高速上网服务。
移动运营商开展此项业务可以采用两种鉴权方式:基于SIM/UIM卡鉴权方式和基于用户名/密码方式。通过SIM(Subscriber Identity Module)卡鉴权和计费的方式在国外已经应用;通过UIM(User Identity Module)卡鉴权和计费的解决方案已经提出,但还没有应用的实例。
下面以SIM鉴权、计费为例加以介绍。如图1所示,当GSM用户进入所属的移动运营商布置了WLAN的热点地区,要接入无线局域网时,需要将SIM卡从手机中拔出,插入笔记本电脑能够读取SIM卡信息的专用网卡,如果是普通的无线局域网网卡,需要配置一个专门的读SIM卡的套件,这样就可以得到一个唯一的用户信息,接入控制器将用户信息按照Radius协议送到AAA(Authentication, Authorization and Accounting Service)服务器,服务器与GSM系统通过专门的接口连接,系统会自动检测HLR(Home Location Register)中存储的用户信息,核定用户的合法性,如果合法,则可以接入WLAN。数据流遵循IP协议,与GSM网无关。Radius代理服务器可以为MSC的计费中心提供计费信息。
这种方式的优点是可以实时监测用户的合法性,实时计费,为了解决上网期间用户不能通过手机通话的矛盾,可以采取两种方式:一是可以通过电脑来电显示或安装相应的软件,在上网期间插上耳机通过电脑通话;二是可以同时配发一个专门用于WLAN的SIM卡,和手机是同一个号,专门用于传送数据,不支持手机通话,但GSM网中的HLR要做适当修改。
另一种是基于用户名/密码方式,如图2所示,用户需要注册这种业务,该用户信息存放在ISP的Radius服务器。当用户接入WLAN时,接入控制器将用户信息送到Radius服务器,进行鉴权,鉴权通过后可以接入WLAN,接入控制器开始收集流量,然后将流量信息送给计费中心,WLAN账单合并在手机话单上。
对于CDMA网的用户,其认证方式与GSM类似,IS-95的网络需要加入AAA认证服务器,即可实现用UIM卡鉴权计费,CDMA 1X系统本身已经设置了AAA认证服务器,因此可以很容易地实现UIM卡鉴权计费。
无线局域网要提供公共服务的另一关键问题是漫游,这也正是目前业界在积极推动的,由于802.11b的标准已经成熟,接入点和网卡实现漫游没有技术问题,只有鉴权和收费的技术问题有待解决。对于直接读取SIM卡的方式,其漫游类似GSM的漫游,而对于用户名/密码方式,由于鉴权认证信息转换为符合SS7信令的格式,可以通过SS7访问其属地的HLR实现鉴权认证,也可以将流量时长等计费信息传递给计费中心。
通过与所有业务提供者签署漫游协议,无论是访问本地、外地或其他运营商的无线局域网,都应该可以提供接入服务。
3 WLAN的安全性
无线局域网在为用户提供了便利的同时,也存在着不少安全方面的隐忧和风险,主要包括两方面:(1)任何人只要有无线网卡,就可以轻易获得WLAN的访问权;(2)无线网络使用射频收发信息,任何人只要在AP覆盖范围内,都可以侦听并接收所有来自或发送至AP的数据信息。
为了更好地保证WLAN的安全,引入了IEEE802.1x(后面简称802.1x)。该标准是一个基于端口的标准草案,用于提供以太网的网络接入的鉴权。这种基于端口的网络接入控制对连接到局域网某个端口的设备进行认证。如果认证过程失败,端口接入将被阻止。
IEEE802.11委员会的第一工作组正在对802.1x标准进行研究,这种标准可向基于IEEE802标准的局域网提供一个验证框架。802.1x使无线局域网能够自由扩展用户和基站,并提供一个集中管理的验证功能。该标准非常灵活,能够使用多种验证算法,并且是一种开放式的技术,厂商都可以对该标准进行改进提供增强功能。由于802.1x标准本身缺乏802.11局域网所需要的基于用户的验证功能,因此第一工作组正在草拟IEEE802.11规格的修订版,使之能够与该标准相融合。
在WLAN中使用802.1x标准,为了能获得最佳的认证安全度,最好是选用EAP-TLS认证协议,因为EAP-TLS能提供双向认证,且在认证过程中动态进行密钥交换和生成密钥,所生成的密钥只能被申请认证的STA(无线工作站)与AP两者读取,从而可以在最大限度上保证认证过程的安全性。
对于移动运营商,可以将Radius作为802.1x体系结构中的第三方认证中心。增加Radius服务器,可以更有效地防范第一类安全风险。Radius服务器收到消息后,处理AP的连接请求,查询用户账号数据库,完成用户身份鉴定,并根据授权规则对通过认证的用户进行授权。同时Radius服务器上还常备有一个记录用户其他特性的数据库。对于认证请求,Radius除了可以做出“是”与“否”的判断外,还可提供该用户的其他连接参数,诸如允许的连接时长和静态IP地址等等。
防范第二类安全风险的最有效的措施就是对STA与AP之间的数据通信进行加密处理。
802.1x有巨大的潜力,它能够大大简化大型无线网络的安全管理问题。更重要的是,该技术并不是802.11网络中惟一的一种安全验证手段。通过将验证算法与数据帧加密技术组合使用,网络管理员将可以提供可扩展的、可管理的、移动性极强的网络服务。
摘自《电信科学》2002.6
|