移動(dòng)運(yùn)營商的無線LAN接入網(wǎng)

張玉梅 西安電子科技大學(xué)



　　隨著基于IP辦公應(yīng)用的發(fā)展，大部分企業(yè)信息系統(tǒng)和數(shù)據(jù)庫可通過IP骨干網(wǎng)遠(yuǎn)程接入，但一些典型的辦公事務(wù)，如大型的E-mail附件的下載則需要很大的帶寬，這往往超過了網(wǎng)絡(luò)的傳輸能力。無線局域網(wǎng)（WLAN）接入技術(shù)是室內(nèi)GSM和GPRS很好的補(bǔ)充，它提供的帶寬遠(yuǎn)大于傳統(tǒng)的蜂窩網(wǎng)。根據(jù)無線局域網(wǎng)標(biāo)準(zhǔn)（IEEE802.11b），2.4G頻帶上最大數(shù)據(jù)速率為11Mb/s。對(duì)一個(gè)單獨(dú)的用戶來說，在WLAN上的最大速率是11Mb/s(典型的是6.5Mb/s),而GPRS手機(jī)的最大數(shù)據(jù)速率是172kb/s(典型的是42kb/s)，第三代終端的最大數(shù)據(jù)速率是2Mb/s(典型的是144kb/s)。從用戶的角度看，速度的差別是很明顯的，這使WLAN在室內(nèi)數(shù)據(jù)蜂窩網(wǎng)中有很強(qiáng)的競(jìng)爭(zhēng)力。



　　與傳統(tǒng)的蜂窩網(wǎng)相比，大部分WLAN只有中等的認(rèn)證和漫游能力。本文將介紹一個(gè)新的WLAN系統(tǒng)結(jié)構(gòu)，稱之為OWLAN（operator WLAN）。它將GSM用戶管理、記賬機(jī)制與WLAN接入技術(shù)組合起來。OWLAN可使用戶在不同的接入網(wǎng)間漫游。OWLAN適用于任何帶有GSM SIM識(shí)別卡和OWLAN信令模塊的終端設(shè)備。



　　未來的移動(dòng)通信網(wǎng)將是幾種無線技術(shù)的組合，如GSM/GPRS、第三代無線接入技術(shù)和無線接入網(wǎng)。一個(gè)用戶識(shí)別卡應(yīng)該能在所有的接入網(wǎng)中使用，以保證漫游和無縫連接。OWLAN系統(tǒng)應(yīng)兼容GSM/GPRS核心網(wǎng)絡(luò)的漫游和記賬功能,這樣可減少對(duì)核心設(shè)備的修改量及其標(biāo)準(zhǔn)化的工作量。由于GSM識(shí)別模塊使用廣泛，并能在GSM/GPRS手機(jī)及網(wǎng)絡(luò)間漫游，故WLAN用戶管理選擇了該模塊。為了減少安裝成本和復(fù)雜度，OWLAN應(yīng)使用現(xiàn)有的GPRS計(jì)費(fèi)系統(tǒng)。





系統(tǒng)結(jié)構(gòu)



　　它包括公用LAN接入網(wǎng)和蜂窩網(wǎng)操作站點(diǎn)，它們通過骨干網(wǎng)通信。設(shè)計(jì)的主要問題是如何用IP協(xié)議構(gòu)架將標(biāo)準(zhǔn)的GSM用戶認(rèn)證信令從終端傳到蜂窩網(wǎng)操作站點(diǎn)。



　　OWLAN系統(tǒng)包括四個(gè)關(guān)鍵物理實(shí)體：認(rèn)證服務(wù)器、接入控制器、接入節(jié)點(diǎn)和移動(dòng)終端。



　　與GPRS結(jié)構(gòu)相比，OWLAN系統(tǒng)最顯著的區(qū)別在于只把控制信令數(shù)據(jù)傳到網(wǎng)絡(luò)中心。接入控制器將用戶數(shù)據(jù)包直接送到IP骨干網(wǎng)。由于用戶的IP傳輸不必通過網(wǎng)絡(luò)中心回到原網(wǎng)絡(luò)，避免了GPRS系統(tǒng)復(fù)雜的漫游。因此，OWLAN傳輸方法可減少網(wǎng)絡(luò)中心的負(fù)荷。



認(rèn)證服務(wù)器



　　用戶認(rèn)證過程如下: 第一步，將一個(gè)WLAN終端和一個(gè)WLAN接入節(jié)點(diǎn)相連，從接入控制器中獲得IP地址，通過向接入控制器發(fā)送一個(gè)認(rèn)證請(qǐng)求來初始化網(wǎng)絡(luò)認(rèn)證。 接入控制器通過接入網(wǎng)絡(luò)和GSM信令網(wǎng)絡(luò)間的網(wǎng)關(guān)來中繼對(duì)認(rèn)證服務(wù)器的請(qǐng)求。認(rèn)證服務(wù)器從歸屬位置寄存器（HLR）查詢認(rèn)證數(shù)據(jù),并根據(jù)這一數(shù)據(jù)對(duì)用戶進(jìn)行認(rèn)證。



　　認(rèn)證服務(wù)器是OWLAN用戶管理的主要節(jié)點(diǎn)。一個(gè)認(rèn)證服務(wù)器可以支持多個(gè)接入控制器， 并能在不同的小區(qū)中為成千上萬個(gè)用戶提供認(rèn)證和記賬服務(wù)。認(rèn)證服務(wù)器和接入控制器通過RADIUS協(xié)議進(jìn)行通信。當(dāng)用戶中斷連接，認(rèn)證服務(wù)器從接入控制器中獲得記賬數(shù)據(jù)，并把賬目傳給記賬系統(tǒng)。



　　認(rèn)證服務(wù)器為核心網(wǎng)絡(luò)提供了一個(gè)網(wǎng)關(guān)，即GSM HLR和GPRS計(jì)費(fèi)網(wǎng)關(guān)。認(rèn)證服務(wù)器使用7號(hào)信令網(wǎng)將GSM認(rèn)證信令傳給HLR。OWLAN使用SIM卡中的國際移動(dòng)用戶標(biāo)識(shí)碼(IMSI)來識(shí)別用戶。如果漫游用戶預(yù)約了WLAN服務(wù),認(rèn)證服務(wù)器將一直保持檢查狀態(tài)。



接入控制器



　　接入控制器在無線接入網(wǎng)和固定IP核心網(wǎng)間提供了一個(gè)網(wǎng)關(guān)。它為移動(dòng)終端分配IP地址，并維護(hù)已認(rèn)證的終端IP地址表。接入控制器作為過濾器監(jiān)督進(jìn)出的IP數(shù)據(jù)包，丟棄由非法終端進(jìn)入的數(shù)據(jù)包。此外，它還收集記賬信息。接入控制器使用終端IP地址和WLAN MAC 地址來區(qū)別移動(dòng)終端。MAC地址認(rèn)證可保證非法用戶不能盜用IP地址。



接入節(jié)點(diǎn)



　　接入節(jié)點(diǎn)在移動(dòng)終端和固定的LAN間提供了一個(gè)無線以太連接。接入節(jié)點(diǎn)由接入控制器連入同一個(gè)LAN中，并支持1、2、5.5和11Mb/s的數(shù)據(jù)速率。一個(gè)接入節(jié)點(diǎn)的典型覆蓋范圍為室內(nèi)50-100米。如果使用定向天線和無線網(wǎng)絡(luò)設(shè)計(jì)工具，覆蓋范圍還可擴(kuò)大。接入節(jié)點(diǎn)提供了一個(gè)共享無線接口。



移動(dòng)終端



　　OWLAN業(yè)務(wù)可用于任何一個(gè)帶有WLAN無線接入、SIM卡和SIM認(rèn)證軟件模塊的終端。用戶可使用集成了SIM卡的WLAN卡或一個(gè)WLAN卡附加一個(gè)智能卡。 運(yùn)營商的網(wǎng)絡(luò)構(gòu)架包括一組漫游用戶無線網(wǎng)絡(luò)識(shí)別器，OWLAN終端通過使用該網(wǎng)絡(luò)來檢測(cè)正確的漫游WLAN網(wǎng)。當(dāng)進(jìn)入一個(gè)新位置時(shí)，終端將把WLAN網(wǎng)絡(luò)的名稱與漫游構(gòu)架作比較，然后連入正確的WLAN。





系統(tǒng)操作



　　為了與現(xiàn)有的WLAN設(shè)置及網(wǎng)絡(luò)核心兼容，必須用IP協(xié)議傳輸具體的SIM信令報(bào)文。這種方法需要OWLAN系統(tǒng)獨(dú)立于WLAN標(biāo)準(zhǔn)，如可以使用5GHz的WLAN系統(tǒng)的IEEE802.11a和HIPERLAN/2。



　　接入控制器和認(rèn)證服務(wù)器的分工使得核心網(wǎng)絡(luò)的復(fù)雜度降低。在接入網(wǎng)邊緣上要進(jìn)行大量運(yùn)算的IP數(shù)據(jù)包過濾，并完成路由功能，這些工作可分散到多個(gè)接入控制器完成，因此提高了系統(tǒng)的可擴(kuò)展性和穩(wěn)定性。



　　移動(dòng)終端軟件的核心部件是漫游控制模塊，它為漫游業(yè)務(wù)提供了一個(gè)生動(dòng)的用戶界面，該模塊與SIM卡進(jìn)行通信。OWLAN網(wǎng)絡(luò)接入認(rèn)證及記賬協(xié)議(NAAP)將GSM認(rèn)證報(bào)文封裝在IP數(shù)據(jù)包中。NAAP使用無連接的用戶數(shù)據(jù)報(bào)表協(xié)議(UDP)傳輸層，但是它包括了重傳機(jī)制以確�？煽康目刂菩畔⒀舆t。



　　接入控制器的關(guān)鍵部件是接入管理器，它負(fù)責(zé)IP路由選擇和收集記賬信息。



　　認(rèn)證服務(wù)器中的關(guān)鍵模塊是認(rèn)證控制器，它處理RADIUS認(rèn)證信息，與GSM核心設(shè)備進(jìn)行通信。計(jì)數(shù)模塊從接入網(wǎng)中接收、存儲(chǔ)信息。計(jì)數(shù)模塊使用GTP記賬協(xié)議與GPRS收費(fèi)網(wǎng)關(guān)接口。認(rèn)證服務(wù)器提供開放的FTP接口，可將計(jì)帳信息直接傳給記賬系統(tǒng)。



認(rèn)證



　　OWLAN系統(tǒng)的核心部件是基于SIM的認(rèn)證。接入控制器作為終端和認(rèn)證服務(wù)器的中繼。認(rèn)證過程如下：



　　第一步，使用用戶密碼（PIN）激活終端。當(dāng)認(rèn)證開始時(shí)，軟件提醒用戶出示PIN號(hào)，這種功能與GSM類似，它使盜用SIM卡者因沒有正確的PIN號(hào)而無法使用SIM卡。



　　一開始，終端向接入控制器發(fā)送 NAAP請(qǐng)求報(bào)文，確定該接入控制器的位置。收到接入控制器的IP地址后，終端向接入控制器發(fā)送初始認(rèn)證請(qǐng)求。然后認(rèn)證服務(wù)器向移動(dòng)終端發(fā)送經(jīng)過認(rèn)證的代碼報(bào)文。終端計(jì)算認(rèn)證代碼信息并把它與從網(wǎng)絡(luò)收到的代碼信息作一比較，如果二者不匹配，終端將認(rèn)為是虛假業(yè)務(wù)從而終止響應(yīng)。下一步，終端使用SIM卡中的算法計(jì)算符號(hào)響應(yīng)（SRES），并計(jì)算認(rèn)證代碼信息。



　　終端將響應(yīng)送至接入控制器，接入控制器將該響應(yīng)中繼至認(rèn)證服務(wù)器。認(rèn)證服務(wù)器用SRES計(jì)算認(rèn)證代碼，并將認(rèn)證的最終代碼傳至接入控制器。如果認(rèn)證通過，接入服務(wù)器將給認(rèn)證服務(wù)器發(fā)送信息，即新的會(huì)話過程已開始。最后接入控制器為終端的數(shù)據(jù)分組進(jìn)行路由選擇。



　　在認(rèn)證過程中，認(rèn)證服務(wù)器向終端和接入控制器發(fā)送會(huì)話有效期值，說明經(jīng)認(rèn)證的會(huì)話在多長(zhǎng)時(shí)間內(nèi)有效。當(dāng)接入控制器的有效期滿，則與終端拆鏈。接入控制器將關(guān)閉終端連接，并通知認(rèn)證服務(wù)器關(guān)閉終端的計(jì)賬過程。如果終端在會(huì)話期滿前想繼續(xù)該過程，需要重新認(rèn)證。運(yùn)營商可在會(huì)話過程中周期性地認(rèn)證終端。



計(jì)費(fèi)



　　接入控制器監(jiān)視數(shù)據(jù)傳輸，并定期向認(rèn)證服務(wù)器發(fā)送業(yè)務(wù)流的統(tǒng)計(jì)信息。計(jì)費(fèi)數(shù)據(jù)由認(rèn)證服務(wù)器轉(zhuǎn)化為GPRS標(biāo)準(zhǔn)的計(jì)費(fèi)數(shù)據(jù)記錄（CDR）格式。



　　認(rèn)證服務(wù)器確認(rèn)收到與認(rèn)證終端有關(guān)的計(jì)費(fèi)數(shù)據(jù)，確保了未被準(zhǔn)確認(rèn)證的連接不會(huì)產(chǎn)生計(jì)費(fèi)記錄。RADIUS協(xié)議中的保密機(jī)制能夠保護(hù)計(jì)費(fèi)數(shù)據(jù)。在傳輸過程中，如果數(shù)據(jù)被更改，擁有密鑰的接入控制器和認(rèn)證服務(wù)器會(huì)報(bào)警，這就避免了在IP網(wǎng)絡(luò)端產(chǎn)生虛假的計(jì)費(fèi)數(shù)據(jù)。在系統(tǒng)配置中，密鑰嵌入接入控制器和認(rèn)證服務(wù)器。 傳輸數(shù)據(jù)也可通過接入控制器和認(rèn)證控制器間的IP安全協(xié)議（IPSEC）進(jìn)行加密。最后，認(rèn)證服務(wù)器將產(chǎn)生的計(jì)費(fèi)數(shù)據(jù)記錄發(fā)往計(jì)費(fèi)網(wǎng)關(guān)或計(jì)費(fèi)系統(tǒng)。



漫游



　　與大部分網(wǎng)絡(luò)業(yè)務(wù)提供者不同，移動(dòng)運(yùn)營商擁有支持不同接入網(wǎng)絡(luò)間漫游的基礎(chǔ)設(shè)施。他們就如何漫游及與原用戶間交換認(rèn)證和計(jì)費(fèi)數(shù)據(jù)達(dá)成協(xié)議。



　　第一步，漫游終端連接到異地運(yùn)營商WLAN 網(wǎng)絡(luò)并通過向接入控制器發(fā)送認(rèn)證請(qǐng)求。認(rèn)證服務(wù)器分析移動(dòng)用戶標(biāo)識(shí)碼（IMSI），確認(rèn)運(yùn)營商擁有WLAN業(yè)務(wù)的有效漫游協(xié)議。下一步，認(rèn)證服務(wù)器使用GSM SS7網(wǎng)絡(luò)將認(rèn)證請(qǐng)求發(fā)給相應(yīng)的HLR 。HLR響應(yīng)。終端中斷后，認(rèn)證服務(wù)器將計(jì)費(fèi)記錄發(fā)給異地計(jì)費(fèi)系統(tǒng)。IMSI代碼指示漫游終端的計(jì)費(fèi)記錄已產(chǎn)生。不同計(jì)費(fèi)系統(tǒng)間有規(guī)則地進(jìn)行通信，交換由漫游用戶產(chǎn)生的GSM/GPRS和WLAN計(jì)費(fèi)記錄。使用這一機(jī)制，異地運(yùn)營商的計(jì)費(fèi)系統(tǒng)將WLAN計(jì)費(fèi)記錄轉(zhuǎn)移到用戶的原計(jì)費(fèi)系統(tǒng)，由該系統(tǒng)提交最終用戶賬單。



遠(yuǎn)程接入



　　無線局域網(wǎng)業(yè)務(wù)的目標(biāo)用戶是使用WLAN 接入企業(yè)網(wǎng)的移動(dòng)用戶。為了確保商業(yè)信息的保密性，需要在終端和企業(yè)網(wǎng)間建立端到端的加密連接。典型的連接是在公用網(wǎng)邊上用虛擬專用網(wǎng)（VPN）以及在遠(yuǎn)程終端上使用相應(yīng)的VPN軟件。若在SIM卡中儲(chǔ)存VPN的認(rèn)證信息，遠(yuǎn)程登錄的性能可進(jìn)一步提高。這使得在基于SIM認(rèn)證后,保護(hù)VPN密鑰及無縫VPN認(rèn)證成為可能。用這種方法，運(yùn)營商通過與信息管理部密切合作，可提供VPN和接入業(yè)務(wù)。由于運(yùn)營商必須為漫游用戶分配大量的路由IP地址,這一點(diǎn)限制了所有的遠(yuǎn)程接入業(yè)務(wù)。OWLAN結(jié)構(gòu)需要使用可支持個(gè)人地址的現(xiàn)代VPN產(chǎn)品，這樣才能提高無線局域網(wǎng)接入系統(tǒng)的可擴(kuò)展性和可用性。




可擴(kuò)展性和系統(tǒng)穩(wěn)定性



　　移動(dòng)運(yùn)營商的網(wǎng)絡(luò)結(jié)構(gòu)有一個(gè)最大容錯(cuò)率。為了滿足這個(gè)要求，接入點(diǎn)、接入控制器和認(rèn)證服務(wù)器的運(yùn)行必須是可靠的，系統(tǒng)必須提供足夠的備份能力。OWLAN系統(tǒng)最嚴(yán)格的部分是認(rèn)證服務(wù)器的誤差要求。OWLAN至少應(yīng)包括兩個(gè)認(rèn)證服務(wù)器。使用標(biāo)準(zhǔn)的RADIUS代理結(jié)構(gòu)可滿足認(rèn)證服務(wù)器的誤差要求。接入服務(wù)器有兩個(gè)代理，一個(gè)是主代理，另一個(gè)是二級(jí)RADIUS代理。如果認(rèn)證服務(wù)器對(duì)接入控制器發(fā)出的信息沒有回應(yīng)，接入控制器將給二級(jí)RADIUS代理發(fā)送信息，這樣就把報(bào)文轉(zhuǎn)移到二級(jí)認(rèn)證服務(wù)器。冗余路由結(jié)構(gòu)和代理確保了在認(rèn)證服務(wù)器之間有誤時(shí)的無縫連接。這種方式允許移動(dòng)運(yùn)營商給網(wǎng)絡(luò)增加認(rèn)證服務(wù)器來提高系統(tǒng)容量。



　　定期更新認(rèn)證服務(wù)器的計(jì)費(fèi)數(shù)據(jù)可將丟失數(shù)據(jù)的風(fēng)險(xiǎn)降至最小。安裝一個(gè)二級(jí)接入控制器，可在主要接入控制器損壞或超載的情況下使用，這樣可進(jìn)一步提高系統(tǒng)性能。接入網(wǎng)點(diǎn)的備份能力并不重要，如果一個(gè)接入網(wǎng)點(diǎn)失效，它將關(guān)閉無線連接，終端自動(dòng)漫游到新的接入節(jié)點(diǎn)。



　　隨著漫游用戶和寬帶業(yè)務(wù)的不斷增加，有足夠漫游能力的高速IP接入需求也隨之增加。WLAN系統(tǒng)提供了寬帶，但只有中等的認(rèn)證和漫游能力。



　　OWLAN將GSM用戶管理、計(jì)費(fèi)機(jī)制與WLAN接入技術(shù)組合起來�，F(xiàn)有的解決方案可使蜂窩網(wǎng)運(yùn)營商迅速進(jìn)入寬帶市場(chǎng)， 并可利用他們現(xiàn)有的用戶管理和計(jì)費(fèi)協(xié)議。OWLAN系統(tǒng)允許網(wǎng)絡(luò)用戶使用同一個(gè)SIM卡和用戶標(biāo)識(shí)，這使得蜂窩網(wǎng)運(yùn)營商比ISP運(yùn)營商有更強(qiáng)的競(jìng)爭(zhēng)優(yōu)勢(shì)。



　　OWLAN結(jié)構(gòu)將網(wǎng)絡(luò)認(rèn)證和原始的IP接入組合在一起,這是通向全I(xiàn)P網(wǎng)絡(luò)的第一步。GSM 基于SIM的WLAN認(rèn)證和計(jì)費(fèi)信令已經(jīng)被證明是穩(wěn)定的、可擴(kuò)展的方法，該方法使得移動(dòng)運(yùn)營商可把業(yè)務(wù)擴(kuò)展到室內(nèi)無線寬帶接入。


摘自《通訊世界》2002.6