应用于移动环境中的WLAN接入网结构

　无线局域网 (WLAN) 技术可提供比蜂窝通信网更宽的业务带宽，如IEEE 802.11b在2.4 GHz频率可提供11 Mbit/s吞吐量，而通用分组无线业务(GPRS)仅提供172 kbit/s，3G系统仅提供2 Mbit/s。因此，运营无线局域网(OWLAN)系统应利用GSM基础设施和漫游协议，以WLAN接入技术结合GSM用户管理和计费机理，使移动用户在不同运营商的接入网间漫游。本文介绍一种应用于移动环境中的WLAN接入网结构，它把WLAN无线接入技术和基于GSM的用户识别模块(SIM)的移动用户管理、蜂窝通信与WLAN接入网间的漫游组合起来，是一种超过现有蜂窝通信系统容量且可提供公众无线宽带接入的系统，可作为GSM和GPRS辅助宽带接入技术。

　　1 运营无线局域网

　　未来移动通信运营无线局域网将是多种无线通信技术的组合(如GSM/GPRS、第3代无线接入和WLAN)，在接入网中，每个移动用户都具备无隙缝平滑漫游业务能力。OWLAN系统保留与现存GSM/GPRS核心网漫游和计费功能的兼容性，WLAM仍采用GSM SIM(用户识别模块)的用户管理机理。WLAN向全IP业务演进的OWLAN方案可作为应用于移动环境中全IP业务的基础设施方案之一。OWLAN系统结构如图1所示，可认为是一种含有公众局域接入网和采用IP骨干通信网的蜂窝通信操作结构，从终端到蜂窝通信侧采用GSM用户认证信令。

　　OWLAN系统含有4个关键实体：鉴权服务器(AS)、接入控制器(AC)、接入点(AP)和移动终端(MT)。OWLAN系统结构类似于通用分组无线业务(GPRS)网络，每个组成单元都可对应GPRS网络中相应部分，如OWLAN中AS、AC、AP和MT分别对应于GPRS系统中网关GPRS服务节点(SGSN)、网关GPRS支持节点(GGSN)、基站(BTS)和移动电话。但是OWLAN的控制信令和数据是被送至蜂窝核心网中，接入控制器把用户分组数据送到负责联系公共和专用业务接续的IP骨干网。由于用户IP流量并不通过蜂窝核心网再送至局域网，从而避开GPRS因漫游而带来的系统复杂性问题。

　　用户的鉴权工作过程是：一个WLAN终端联系一个WLAN接入点，从接入控制器获取IP地址，给接入控制器发出鉴权申请，启动网络鉴权。接入控制器把鉴权申请送至起网关作用的鉴权服务器，再由归属位置寄存器验证鉴权数据并鉴权用户。

　　2 系统组成

　　图2所示为OWLAN系统组成及其接口。OWLAN系统含有移动交换中心(MSC)、归属位置寄存器(HLR)、移动应用协议(MAP)、远程拨号用户认证(RADIUS)、无线局域网(WLAN)。其中移动交换中心提供高性能冗余移动应用协议接口，以GSM的信令平衡来自WLAN的信令流量。

　　2.1 鉴权服务器

　　鉴权服务器是OWLAN用户管理的主要控制点，每个实体支持多个接入控制器并给漫游用户提供鉴权、计费等业务。鉴权服务器通过鉴权、认证和计费(AAA)的远程拨号用户认证(RADIUS) 鉴权协议与接入控制器联络。当用户拆线时，鉴权服务器从接入控制器中将接收的计费数据打出GPRS帐单。

　　鉴权服务器以七号信令(SS7)把GSM鉴权信息送至归属位置寄存器(HLR)，并以贮存在SIM卡中的GSM国际移动用户身份(IMSI)码用来识别用户，鉴权服务器不断地检查是否有漫游用户登录WLAN业务。

　　2.2 接入控制器

　　接入控制器作为无线接入网和固定IP核心网间的网关，安排移动终端的IP地址，提供已鉴权终端的IP地址表，监视输入/输出IP分组地址，并排除非鉴权终端的分组数据。用终端IP地址和WLAN链路层指定的媒体访问控制(MAC)地址来区别移动终端，MAC地址的核实可确保用户不会同时使用同一IP地址。

　　2.3 接入点

　　接入点在移动终端和固定局域网间提供无线以太网链路作为共享无线接口，若采用定向天线和无线网络还可扩展覆盖面积。若在同一接入点中无其他终端，那么单个用户速率可达11 Mbit/s。这是与GPRS无线接入的重要差别。

　　2.4 移动终端

　　具有SIM和SIM鉴权软件的终端都具有WLAN无线接入能力，并可获得OWLAN业务，终端既可采用具有集成SIM阅读器的WLAN卡，又可采用外部扩展WLAN卡。

　　3 系统运行机理

　　与现有WLAN设备和蜂窝通信核心网的兼容意味着SIM信令应采用IP协议。移动终端核心软件是漫游控制模块，它给漫游业务提供了用户图形控制接口并与SIM卡联络，OWLAN特有的网络接入鉴权和记帐协议(NAAP)内含GSM鉴权消息，采用重传无连接用户数据报协议(UDP)。接入控制器的关键是接入管理器，它控制IP路由并汇集计费统计数据。RADIUS协议携带SIM特殊的鉴权参数，利用RADIUS协议发送计费数据。在鉴权服务器中，重要模块是鉴权控制器，它处理RADIUS协议中鉴权消息并与GSM联络。计费模块接收和存贮来自接入网的计费信息，用GPRS隧道付费协议与GPRS计费网关接口。鉴权服务器能把计费数据直接送到各种计费系统的文件传送协议接口。

　　3.1 鉴权

　　OWLAN系统的鉴权基于SIM机理，接入控制器作为终端与鉴权服务器间的接口赋予用户终端个人身份号(PIN)，SIM卡和用户身份都用PIN码加密。基于SIM的鉴权顺序如下：

　　(1)属于接入控制器的终端发出接入控制器响应的NAAP请求消息。

　　(2)接收到接入控制器的IP地址后，终端给接入控制器发出鉴权申请，接入控制器的IMSI被封装在网络接入标识符(NAI)内。

　　(3)NAI的标志域为本地操作域，即imsi@operator.com。接入控制器和RADIUS把鉴权申请送至正确的鉴权服务器。

　　(4)鉴权服务器从本地位置寄存器提取GSM关联字节。

　　(5)鉴权服务器给移动终端发出GSM随机数(RAND)，并在RAND上计算消息鉴权码，鉴别终端。

　　(6)终端计算消息鉴权码，并与网络接收码进行比较。假如两者不一致，中断并怀疑为欺诈性业务，拒绝其鉴权申请。这样的机理使攻击者不可能从IMSI中提取RAND和签字响应(SRES)，也不可能从SIM卡提取安全钥码。

　　(7)终端利用存贮在SIM卡中的算法计算SRES并计算消息鉴权码。

　　(8)终端把响应送至接入控制器。

　　(9)接入控制器把响应送入鉴权服务器。

　　(10)鉴权服务器用SRES计算消息鉴权码再验证响应。

　　(11)鉴权服务器把鉴权结果码送至接入服务器。

　　(12)假如鉴权结果是正确的，接入控制器给鉴权服务器发出指示，建立新会话。

　　(13)接入控制器给终端分组数据安置路由并发出应答信号。

　　3.2 计费

　　接入控制器监控数据流量并周期地给鉴权服务器发送流量统计信息，支持的计费方法有：基于计时的记录连接开始和终止时间，基于容量的记录传送数据流量和平直速率。

　　鉴权服务器把计费数据转换成标准GPRS计费数据记录格式(CDR)，鉴权服务器验证接收到的与鉴权终端有关的计费数据，确保在通信联络没有确证前不会产生计费记录。计费数据的安全机制由RADIUS共享的协议来保护，在接入控制器和鉴权服务器间传送数据采用IP安全协议加密。

　　3.3 漫游

　　不同于Internet业务运营商，众多移动通信运营商用同一设施和机制来支持不同接入网间和运营网间的漫游。其工作流程如下：

　　(1)漫游移动终端连结相关外来运营商的WLAN并把鉴权申请发给接入控制器，接入控制器再把鉴权申请送至鉴权服务器。

　　(2)鉴权服务器分析验证IMSI，利用GSM SS7网给HLR发出鉴权查询。

　　(3)对应的HLR以用户和鉴权关联字进行计算，鉴权过程直至终端拆线后鉴权服务器才给外来运营商付费系统发送计费记录。

　　(4)计算IMSI码产生用于漫游终端的CDR，外来运营商付费系统把WLAN CDR发至用户本地运营商付费系统并给出终端用户帐单。

　　3.4 安全接入

　　为了保证关键商务信息的安全性，OWLAN系统利用WLAN延伸接入网中的移动用户，建立端与端和终端与对应网间加密连接。

　　4 系统鲁棒性

　　移动运营网络有较高容错能力和恢复网络运营的鲁棒性，且移动运营网络必须提供足够冗余特性。一个最小化的OWLAN至少应有两个鉴权服务器（如RADIUS）代理来提高容错能力。接入控制器连接两个RADIUS代理，其中一个为主，另一个为副。假如鉴权服务器没有应答接入控制器的消息，副RADIUS代理把消息送至副鉴权服务器。在发生差错情况下，冗余IP路由和RADIUS代理将确保鉴权服务器之间的无隙缝交换。在主接入控制器失误或超负荷时，可加副接入控制器来改进系统鲁棒性。

　　参考文献：

　　[1] Juba Ala- Laurila.Wireless LAN Access Network Architecture for Mobile Operators[J]. IEEE Communications Magazine, 2001, 39(11):82—89.
　　[2] IETF RFC 2865. Rigney C. Remote Authentication Dial-In User Service (RADIUS)[S]. 2000.
　　[3] 谈振辉. 基于GPRS的无线分组数据Internet接入. 中国通信, 2001,(6):41—45.

[摘要] 文章介绍了把无线局域网接入与GSM/GPRS漫游融合在一起的运营无线局域网(OWLAN)，分析了OWLAN的主要系统单元及功能，讨论了基于用户识别模块(SIM)的鉴权、漫游和计费机理。

[关键词] 无线局域网；结构；鉴权；漫游

[Abstract] The paper gives introduction to the operator wireless LAN (OWLAN) that combines the WLAN access and GSM/GPRS roaming technologies. The main components of the OWLAN system and their functions are analyzed, and the mechanism of authentication, roaming and billing, which are based on SIM, are discussed

[Keywords] WLAN; Architecture; Authentication; Roaming