公網的WLAN用戶接入方式解決方案

　　 
　　1 概述
　　與目前5類線到戶的有線局域網（LAN）用戶接入方式相類似，無線局域網（WLAN）正在發展成為公網的寬帶無線用戶接入方式，即運營商的WLAN（OWLAN）。 OWLAN嚴格說起來并不是一種局域網，而是一種采用WLAN技術的無線接入網絡。

由于在制定IEEE802.11標準時，WLAN只定位在局域網應用，故在WLAN作為熱點地區公共接入網絡時，802.11在認證、漫游、加密、計費和網管等方面顯現出一定的缺陷。本文主要探討WLAN在作為公共接入網時的組網方案，以及對認證、加密、計費和漫游方面的解決方案。
　　
　　2 公共WLAN組網方案
　　OWLAN可以作為某一個運營商的無線接入網，亦可作為多個運營商共用的無線接入網，故在OWLAN中要求能支持多種認證方式。
　　
　?。?）接入點（AP）
　　
　　AP是WLAN的小型無線基站設備，為無線網與DS（分配系統例如有線以太網）之間的網關，且具有802.11f切換功能。
　　
　?。?）接入控制點（AC）
　　
　　AC為OWLAN和運營商IP網的網關。作為認證控制點時能鑒別不同的認證方式，并提供動態IP地址分配、輸出原始計費信息、提供路由功能等。
　　
　?。?）遠程撥號接入認證（RADIUS）服務器
　　
　　在使用“用戶號十密碼”或“手機號十密碼”的Web認證方式時，使用RADIUS服務器實現對用戶身份的認證。該服務器還接收來自AC的原始計費信息，產生符合移動運營商要求格式的CDR（呼叫數據記錄）計費信息，實時送相應運行商的計費中心(Billing)。在RADIUS服務器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費情況等信息。
　　
　?。?）認證服務器（AS）
　　
　　移動運營商使用SIM卡認證方式時，需要使用認證服務器（AS）。AS與網關（GW或GPRS中的GGSN）相配合提供WLAN與移動運行商HLR/AUC的連接。
　　
　　AS在讀取MT（移動終端）的國際移動用戶識別（IMSI），送HLR/AUC確認該用戶為WLAN注冊用戶后，與HLR/AUC配合完成密鑰產生、EAP（可擴展認證協議）_SIM認證等任務。其他功能同RADIUS服務器。
　　
　?。?）門戶網站服務器（Portal Server）
　　
　　用于向用戶端推送WEB認證頁面和門戶網站主頁面。
　　
　　3 公網WLAN用戶接入的相關解決方案
　　3.1 OWLAN的用戶認證
　　
　　WLAN在作為局域網使用時，沿用了有線LAN的PPPoE（PPP over Ethernet）和Web用戶認證方式。在作為OWLAN使用時，由于其在物理上的開放性，使得非法用戶入侵的可能性大為增加，原有802.11認證的安全性已不能滿足運營商的需要。在采用RADIUS協議并加上802.1x的認證手段以及802.1i的安全協議后，基本可以滿足OWLAN的要求。同時，在認證安全前提下，應盡量利用運營商已有的鑒權認證設備，以簡化系統、節約投資。
　　
　　3.1.1 802.1x用戶認證方式中的訪問實體
　　
　　802.1x協議克服了傳統PPPoE和WEB認證方式的缺點，更適合在OWLAN中使用。該協議亦稱為基于端口的接入控制協議。802.1x協議的訪問控制流程中端口訪問實體（PAE）包括：客戶端、認證者和認證服務器三部分。
　　
　?。?）客戶端
　　
　　用戶從客戶端發起802.11x的用戶認證過程，為了支持基于端口的接入控制，客戶端必需支持EAPoL（基于LAN的擴展認證協議）。
　　
　?。?）認證者
　　
　　認證者通常為支持802.1x協議的網絡設備，這些設備的端口對應于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態，主要用于傳遞EAPoL協議幀，用以保證客戶端始終可以發出或接受認證。受控端口只有在認證通過時才打開，用于傳遞運營商的有償網絡資源和業務。當用戶未通過認證時，受控端口對該用戶關閉，即無法訪問該運營商所提供的有償服務。
　　
　?。?）認證服務器
　　
　　認證服務器通常為RADIUS服務器或AS+HLR/AUC，它與認證者之間通過EAP協議進行通信。
　　
　　3.1.2 802.1x認證方式
　　
　　802.1x的網絡訪問控制協議規范了802.1x的用戶鑒權認證方式。802.1x推薦使用撥號用戶遠程認證服務（RADIUS）及與之相關的兩個通信協議：可擴展認證協議（EAP）和傳輸層協議（TLS）。
　　
　　802.1x主要涵蓋以下四種認證方式：
　　
　?。?）EAP-MD5認證方式
　　
　　EAP-MD5認證方式通過RADIUS服務器提供簡單的集中用戶認證。用戶注冊時該服務器只是檢查用戶名與密碼，若通過認證就就允許客戶端訪問網絡業務。采用該認證方式時，用戶密碼采用MD5加密算法，以保證認證信息的安全。EAP-MD5屬單向認證機制，即只包括網絡對客戶端的認證。
　　
　?。?）EAP-SIM認證方式
　　
　　EAP-SIM認證方式主要用于蜂窩移動運營商WLAN的SIM卡認證方式，支持用戶與網絡之間的雙向認證和動態密鑰下發。在該認證方式中，用戶端采用裝有SIM卡讀卡器的WLAN網卡。網絡側的認證服務器（AS）與移動交換系統原有的HLR/AUC協同工作共同完成對用戶的認證。
　　
　?。?）EAP-TLS認證方式
　　
　　EAP-TLS認證方式屬于傳輸層認證機制，支持用戶與網絡之間的雙向認證。用戶可以在每次連接動態生成新密鑰，且在用戶連接期間按一定間隔更新密鑰。TLS認證中，傳送的數據由TLS加密封裝，保證認證信息的安全。
　　
　?。?）EAP-TTLS鑒權認證方式
　　
　　EAP-TTLS認證方式基于隧道安全認證技術，能夠支持雙向認證和動態密鑰分發。在該認證方式中客戶端與RADIUS之間，采用EAPoL協議建立安全隧道傳送EAP認證包，實現TTLS認證。
　　
　　3.2 OWLAN的數據安全
　　
　　3.2.1 802.1x協議對數據的加密
　　
　　為了克服802.11所定義WEP（有線等效保密協議）存在的安全隱患，IEEE制定了802.1x用以增強WEP的安全性。WEP使用40位靜態密鑰，而802.1x通過動態配置WEP的128位密鑰加強了數據的保密性，制訂了動態密鑰完整性協議(TKIP)對WEP的RC4算法進行改進，并增加了消息完整性檢查（MIC）。
　　
　　在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認證方式中提供了依賴于其初始鑒權認證的主密鑰。利用該主密鑰對空中數據幀加密，使得未經認證的用戶無法對所竊取的數據幀進行解密。
　　
　　3.2.2 WLAN中的VPN
　　
　　為了保證企業內部網絡的安全接入，在OWLAN接入網中采用虛擬專網（VPN）技術用以保證企業內部網絡的安全接入。VPN是指在一個公共IP平臺上，通過隧道及加密技術，為網絡提供點對點的安全通信，以保證遠程用戶接入專用網絡的數據安全性。
　　
　　在采用VPN技術的WLAN中，無線接入網絡已被企業的VPN服務器和虛擬局域網（VLAN）將企業內部網的接入隔離開來。由企業的VPN服務器提供無線網絡的認證與加密，并充當企業內部網絡的網關。VPN協議包括第二層的PPTP/L2TP協議及第三層的IPSec協議，上述協議對通過WLAN傳送的數據提供強大的加密功能。
　　
　　根據隧道的建立方式，可劃分為2類VPN連接應用：
　　
　?。?）由用戶端發起的VPN連接
　　
　　在由用戶端發起的VPN連接應用中，需要在MT中按裝VPN客戶端軟件。用以在MT與企業的VPN服務器（網關）之間建立隧道連接。在這類VPN連接中，VPN只涉及發起端與終結端，因此對AP、AC而言是透明的，無需AP、AC支持VPN。
　　
　?。?）由AC端發起的VPN連接
　　
　　在由AC端發起的VPN連接應用中，用戶以PPPoE方式連接AC，AC根據通信目的域名地址判為VPN業務后，由AC發起一條隧道連接用戶欲接入的企業網網關。在這種方式下從MT到AC的用戶數據加密應在PPP層完成，可以采用PPP協議的加密選項來實現傳輸數據的加密。
　　
　　3.2.3 802.11i標準
　　
　　802.11i是專門針對WLAN安全體系的標準。該標準提供一種新的加密方法和認證方式（即WEP2技術）。與傳統的WEP算法相比較，WEP2將密鑰的長度由40位增加到128位，故很難破譯。同時，該標準將一種增強安全網絡（RSN）方案納入其中，并包括了TKIP和AES-OCB兩個協議。 802.11i通過使用動態密鑰、良好的密鑰管理與分發機制以及更強的加密算法，使得在WLAN中的數據幀傳輸變得更加安全。
　　
　　3. 3 OWLAN的計費
　　
　　在OWLAN中，AC監測用戶數據傳輸的時間或流量，用以產生計費的原始信息送AS或RADUIS。在AS或RADUIS中對計費原始信息進行加工，生成符合計費中心所需格式的計費數據記錄(CDR)，送運行商計費中心。在多個運營商共用一個OWLAN時，要求AC能鑒別不同運營商的計費信息，分別送對應運營商的計費系統。
　　
　　3.4 OWLAN的漫游
　　
　　3.4.1 OWLAN的移動性管理
　　
　　802.11至今還沒有一個對MT設備跟蹤與管理的正式標準。而在將WLAN作為OWLAN應用的今天，必須解決在同一計算機子網（域）內MT在不同AP之間漫游的問題；以及不同計算機子網（域）之間的漫游的問題。在沒有統一的WLAN域內、域間的漫游標準之前，各制造商和運營商則推出了各自的解決方案。
　　
　　3.4.2 域內漫游
　　
　　在802.11中僅說明了MT可以在同一個ESS（擴展業務集）內的AP之間進行漫游，但未對MT漫游時AP之間具體通信過程做出規定，故不同廠家在實現AP間漫游時均采用了私有協議，這對運營商的組網帶來了困難。為此IEEE推出了支持域內漫游的802.11f標準（已被IEEE批準為實踐性標準）。
　　
　　802.11f定義了同一ESS中AP的登錄，以及MT從一個AP切換到另一個AP時，AP之間交換的信息。
　　
　　802.11f所定義的IAPP（AP間交互協議）在IP層上規定了AP之間以及AP和RADIUS服務器之間所需交換的信息。AP之間是通過UDP/IP協議在一個共同的DS中交互信息、進行互操作。同時亦通過IAPP來影響第二層網絡設備的操作。802.11f要求在RADIUS服務器中存放有域內各AP的基本信息，例如基本服務集標識(BSS-ID)、IP地址以及MT接入的認證密鑰。在定義了I

原文轉自：http://www.kjueaiud.com