移動運營商的無線LAN接入網

　　 
　　張玉梅 西安電子科技大學
　　
　　　　隨著基于IP辦公應用的發展，大部分企業信息系統和數據庫可通過IP骨干網遠程接入，但一些典型的辦公事務，如大型的E-mail附件的下載則需要很大的帶寬，這往往超過了網絡的傳輸能力。

無線局域網（WLAN）接入技術是室內GSM和GPRS很好的補充，它提供的帶寬遠大于傳統的蜂窩網。根據無線局域網標準（IEEE802.11b），2.4G頻帶上最大數據速率為11Mb/s。對一個單獨的用戶來說，在WLAN上的最大速率是11Mb/s(典型的是6.5Mb/s),而GPRS手機的最大數據速率是172kb/s(典型的是42kb/s)，第三代終端的最大數據速率是2Mb/s(典型的是144kb/s)。從用戶的角度看，速度的差別是很明顯的，這使WLAN在室內數據蜂窩網中有很強的競爭力。
　　
　　　　與傳統的蜂窩網相比，大部分WLAN只有中等的認證和漫游能力。本文將介紹一個新的WLAN系統結構，稱之為OWLAN（operator WLAN）。它將GSM用戶管理、記賬機制與WLAN接入技術組合起來。OWLAN可使用戶在不同的接入網間漫游。OWLAN適用于任何帶有GSM SIM識別卡和OWLAN信令模塊的終端設備。
　　
　　　　未來的移動通信網將是幾種無線技術的組合，如GSM/GPRS、第三代無線接入技術和無線接入網。一個用戶識別卡應該能在所有的接入網中使用，以保證漫游和無縫連接。OWLAN系統應兼容GSM/GPRS核心網絡的漫游和記賬功能,這樣可減少對核心設備的修改量及其標準化的工作量。由于GSM識別模塊使用廣泛，并能在GSM/GPRS手機及網絡間漫游，故WLAN用戶管理選擇了該模塊。為了減少安裝成本和復雜度，OWLAN應使用現有的GPRS計費系統。 系統結構
　　
　　　　它包括公用LAN接入網和蜂窩網操作站點，它們通過骨干網通信。設計的主要問題是如何用IP協議構架將標準的GSM用戶認證信令從終端傳到蜂窩網操作站點。
　　
　　　　OWLAN系統包括四個關鍵物理實體：認證服務器、接入控制器、接入節點和移動終端。
　　
　　　　與GPRS結構相比，OWLAN系統最顯著的區別在于只把控制信令數據傳到網絡中心。接入控制器將用戶數據包直接送到IP骨干網。由于用戶的IP傳輸不必通過網絡中心回到原網絡，避免了GPRS系統復雜的漫游。因此，OWLAN傳輸方法可減少網絡中心的負荷。
　　
　　認證服務器
　　
　　　　用戶認證過程如下: 第一步，將一個WLAN終端和一個WLAN接入節點相連，從接入控制器中獲得IP地址，通過向接入控制器發送一個認證請求來初始化網絡認證。 接入控制器通過接入網絡和GSM信令網絡間的網關來中繼對認證服務器的請求。認證服務器從歸屬位置寄存器（HLR）查詢認證數據,并根據這一數據對用戶進行認證。
　　
　　　　認證服務器是OWLAN用戶管理的主要節點。一個認證服務器可以支持多個接入控制器， 并能在不同的小區中為成千上萬個用戶提供認證和記賬服務。認證服務器和接入控制器通過RADIUS協議進行通信。當用戶中斷連接，認證服務器從接入控制器中獲得記賬數據，并把賬目傳給記賬系統。
　　
　　　　認證服務器為核心網絡提供了一個網關，即GSM HLR和GPRS計費網關。認證服務器使用7號信令網將GSM認證信令傳給HLR。OWLAN使用SIM卡中的國際移動用戶標識碼(IMSI)來識別用戶。如果漫游用戶預約了WLAN服務,認證服務器將一直保持檢查狀態。
　　
　　接入控制器
　　
　　　　接入控制器在無線接入網和固定IP核心網間提供了一個網關。它為移動終端分配IP地址，并維護已認證的終端IP地址表。接入控制器作為過濾器監督進出的IP數據包，丟棄由非法終端進入的數據包。此外，它還收集記賬信息。接入控制器使用終端IP地址和WLAN MAC 地址來區別移動終端。MAC地址認證可保證非法用戶不能盜用IP地址。
　　
　　接入節點
　　
　　　　接入節點在移動終端和固定的LAN間提供了一個無線以太連接。接入節點由接入控制器連入同一個LAN中，并支持1、2、5.5和11Mb/s的數據速率。一個接入節點的典型覆蓋范圍為室內50-100米。如果使用定向天線和無線網絡設計工具，覆蓋范圍還可擴大。接入節點提供了一個共享無線接口。
　　
　　移動終端
　　
　　　　OWLAN業務可用于任何一個帶有WLAN無線接入、SIM卡和SIM認證軟件模塊的終端。用戶可使用集成了SIM卡的WLAN卡或一個WLAN卡附加一個智能卡。 運營商的網絡構架包括一組漫游用戶無線網絡識別器，OWLAN終端通過使用該網絡來檢測正確的漫游WLAN網。當進入一個新位置時，終端將把WLAN網絡的名稱與漫游構架作比較，然后連入正確的WLAN。
　　
　　系統操作
　　
　　　　為了與現有的WLAN設置及網絡核心兼容，必須用IP協議傳輸具體的SIM信令報文。這種方法需要OWLAN系統獨立于WLAN標準，如可以使用5GHz的WLAN系統的IEEE802.11a和HIPERLAN/2。
　　
　　　　接入控制器和認證服務器的分工使得核心網絡的復雜度降低。在接入網邊緣上要進行大量運算的IP數據包過濾，并完成路由功能，這些工作可分散到多個接入控制器完成，因此提高了系統的可擴展性和穩定性。
　　
　　　　移動終端軟件的核心部件是漫游控制模塊，它為漫游業務提供了一個生動的用戶界面，該模塊與SIM卡進行通信。OWLAN網絡接入認證及記賬協議(NAAP)將GSM認證報文封裝在IP數據包中。NAAP使用無連接的用戶數據報表協議(UDP)傳輸層，但是它包括了重傳機制以確?？煽康目刂菩畔⒀舆t。
　　
　　　　接入控制器的關鍵部件是接入管理器，它負責IP路由選擇和收集記賬信息。
　　
　　　　認證服務器中的關鍵模塊是認證控制器，它處理RADIUS認證信息，與GSM核心設備進行通信。計數模塊從接入網中接收、存儲信息。計數模塊使用GTP記賬協議與GPRS收費網關接口。認證服務器提供開放的FTP接口，可將計帳信息直接傳給記賬系統。
　　
　　認證
　　
　　　　OWLAN系統的核心部件是基于SIM的認證。接入控制器作為終端和認證服務器的中繼。認證過程如下：
　　
　　　　第一步，使用用戶密碼（PIN）激活終端。當認證開始時，軟件提醒用戶出示PIN號，這種功能與GSM類似，它使盜用SIM卡者因沒有正確的PIN號而無法使用SIM卡。
　　
　　　　一開始，終端向接入控制器發送 NAAP請求報文，確定該接入控制器的位置。收到接入控制器的IP地址后，終端向接入控制器發送初始認證請求。然后認證服務器向移動終端發送經過認證的代碼報文。終端計算認證代碼信息并把它與從網絡收到的代碼信息作一比較，如果二者不匹配，終端將認為是虛假業務從而終止響應。下一步，終端使用SIM卡中的算法計算符號響應（SRES），并計算認證代碼信息。
　　
　　　　終端將響應送至接入控制器，接入控制器將該響應中繼至認證服務器。認證服務器用SRES計算認證代碼，并將認證的最終代碼傳至接入控制器。如果認證通過，接入服務器將給認證服務器發送信息，即新的會話過程已開始。最后接入控制器為終端的數據分組進行路由選擇。
　　
　　　　在認證過程中，認證服務器向終端和接入控制器發送會話有效期值，說明經認證的會話在多長時間內有效。當接入控制器的有效期滿，則與終端拆鏈。接入控制器將關閉終端連接，并通知認證服務器關閉終端的計賬過程。如果終端在會話期滿前想繼續該過程，需要重新認證。運營商可在會話過程中周期性地認證終端。
　　
　　計費
　　
　　　　接入控制器監視數據傳輸，并定期向認證服務器發送業務流的統計信息。計費數據由認證服務器轉化為GPRS標準的計費數據記錄（CDR）格式。
　　
　　　　認證服務器確認收到與認證終端有關的計費數據，確保了未被準確認證的連接不會產生計費記錄。RADIUS協議中的保密機制能夠保護計費數據。在傳輸過程中，如果數據被更改，擁有密鑰的接入控制器和認證服務器會報警，這就避免了在IP網絡端產生虛假的計費數據。在系統配置中，密鑰嵌入接入控制器和認證服務器。 傳輸數據也可通過接入控制器和認證控制器間的IP安全協議（IPSEC）進行加密。最后，認證服務器將產生的計費數據記錄發往計費網關或計費系統。
　　
　　漫游
　　
　　　　與大部分網絡業務提供者不同，移動運營商擁有支持不同接入網絡間漫游的基礎設施。他們就如何漫游及與原用戶間交換認證和計費數據達成協議。
　　
　　　　第一步，漫游終端連接到異地運營商WLAN 網絡并通過向接入控制器發送認證請求。認證服務器分析移動用戶標識碼（IMSI），確認運營商擁有WLAN業務的有效漫游協議。下一步，認證服務器使用GSM SS7網絡將認證請求發給相應的HLR 。HLR響應。終端中斷后，認證服務器將計費記錄發給異地計費系統。IMSI代碼指示漫游終端的計費記錄已產生。不同計費系統間有規則地進行通信，交換由漫游用戶產生的GSM/GPRS和WLAN計費記錄。使用這一機制，異地運營商的計費系統將WLAN計費記錄轉移到用戶的原計費系統，由該系統提交最終用戶賬單。
　　
　　遠程接入
　　
　　　　無線局域網業務的目標用戶是使用WLAN 接入企業網的移動用戶。為了確保商業信息的保密性，需要在終端和企業網間建立端到端的加密連接。典型的連接是在公用網邊上用虛擬專用網（VPN）以及在遠程終端上使用相應的VPN軟件。若在SIM卡中儲存VPN的認證信息，遠程登錄的性能可進一步提高。這使得在基于SIM認證后,保護VPN密鑰及無縫VPN認證成為可能。用這種方法，運營商通過與信息管理部密切合作，可提供VPN和接入業務。由于運營商必須為漫游用戶分配大量的路由IP地址,這一點限制了所有的遠程接入業務。OWLAN結構需要使用可支持個人地址的現代VPN產品，這樣才能提高無線局域網接入系統的可擴展性和可用性。
　　
　　可擴展性和系統穩定性
　　
　　　　移動運營商的網絡結構有一個最大容錯率。為了滿足這個要求，接入點、接入控制器和認證服務器的運行必須是可靠的，系統必須提供足夠的備份能力。OWLAN系統最嚴格的部分是認證服務器的誤差要求。OWLAN至少應

原文轉自：http://www.kjueaiud.com