公網(wǎng)的WLAN用戶接入方式解決方案

2019-11-05 02:37:47

字體：大中小

供稿：網(wǎng)友

　　1 概述
　　與目前5類線到戶的有線局域網(wǎng)（LAN）用戶接入方式相類似，無線局域網(wǎng)（WLAN）正在發(fā)展成為公網(wǎng)的寬帶無線用戶接入方式，即運營商的WLAN（OWLAN）。 OWLAN嚴(yán)格說起來并不是一種局域網(wǎng)，而是一種采用WLAN技術(shù)的無線接入網(wǎng)絡(luò)。由于在制定IEEE802.11標(biāo)準(zhǔn)時，WLAN只定位在局域網(wǎng)應(yīng)用，故在WLAN作為熱點地區(qū)公共接入網(wǎng)絡(luò)時，802.11在認(rèn)證、漫游、加密、計費和網(wǎng)管等方面顯現(xiàn)出一定的缺陷。本文主要探討WLAN在作為公共接入網(wǎng)時的組網(wǎng)方案，以及對認(rèn)證、加密、計費和漫游方面的解決方案。
　　
　　2 公共WLAN組網(wǎng)方案
　　OWLAN可以作為某一個運營商的無線接入網(wǎng)，亦可作為多個運營商共用的無線接入網(wǎng)，故在OWLAN中要求能支持多種認(rèn)證方式。
　　
　　（1）接入點（AP）
　　
　　AP是WLAN的小型無線基站設(shè)備，為無線網(wǎng)與DS（分配系統(tǒng)例如有線以太網(wǎng)）之間的網(wǎng)關(guān)，且具有802.11f切換功能。
　　
　　（2）接入控制點（AC）
　　
　　AC為OWLAN和運營商ip網(wǎng)的網(wǎng)關(guān)。作為認(rèn)證控制點時能鑒別不同的認(rèn)證方式，并提供動態(tài)IP地址分配、輸出原始計費信息、提供路由功能等。
　　
　　（3）遠(yuǎn)程撥號接入認(rèn)證（RADIUS）服務(wù)器
　　
　　在使用“用戶號十密碼”或“手機號十密碼”的Web認(rèn)證方式時，使用RADIUS服務(wù)器實現(xiàn)對用戶身份的認(rèn)證。該服務(wù)器還接收來自AC的原始計費信息，產(chǎn)生符合移動運營商要求格式的CDR（呼叫數(shù)據(jù)記錄）計費信息，實時送相應(yīng)運行商的計費中心(Billing)。在RADIUS服務(wù)器中存有歸屬用戶的用戶名、登錄名、固定IP地址、MAC地址、欠費情況等信息。
　　
　　（4）認(rèn)證服務(wù)器（AS）
　　
　　移動運營商使用SIM卡認(rèn)證方式時，需要使用認(rèn)證服務(wù)器（AS）。AS與網(wǎng)關(guān)（GW或GPRS中的GGSN）相配合提供WLAN與移動運行商HLR/AUC的連接。
　　
　　AS在讀取MT（移動終端）的國際移動用戶識別（IMSI），送HLR/AUC確認(rèn)該用戶為WLAN注冊用戶后，與HLR/AUC配合完成密鑰產(chǎn)生、EAP（可擴展認(rèn)證協(xié)議）_SIM認(rèn)證等任務(wù)。其他功能同RADIUS服務(wù)器。
　　
　　（5）門戶網(wǎng)站服務(wù)器（Portal Server）
　　
　　用于向用戶端推送WEB認(rèn)證頁面和門戶網(wǎng)站主頁面。
　　
　　3 公網(wǎng)WLAN用戶接入的相關(guān)解決方案
　　3.1 OWLAN的用戶認(rèn)證
　　
　　WLAN在作為局域網(wǎng)使用時，沿用了有線LAN的PPPoE（PPP over Ethernet）和Web用戶認(rèn)證方式。在作為OWLAN使用時，由于其在物理上的開放性，使得非法用戶入侵的可能性大為增加，原有802.11認(rèn)證的安全性已不能滿足運營商的需要。在采用RADIUS協(xié)議并加上802.1x的認(rèn)證手段以及802.1i的安全協(xié)議后，基本可以滿足OWLAN的要求。同時，在認(rèn)證安全前提下，應(yīng)盡量利用運營商已有的鑒權(quán)認(rèn)證設(shè)備，以簡化系統(tǒng)、節(jié)約投資。
　　
　　3.1.1 802.1x用戶認(rèn)證方式中的訪問實體
　　
　　802.1x協(xié)議克服了傳統(tǒng)PPPoE和WEB認(rèn)證方式的缺點，更適合在OWLAN中使用。該協(xié)議亦稱為基于端口的接入控制協(xié)議。802.1x協(xié)議的訪問控制流程中端口訪問實體（PAE）包括：客戶端、認(rèn)證者和認(rèn)證服務(wù)器三部分。
　　
　　（1）客戶端
　　
　　用戶從客戶端發(fā)起802.11x的用戶認(rèn)證過程，為了支持基于端口的接入控制，客戶端必需支持EAPoL（基于LAN的擴展認(rèn)證協(xié)議）。
　　
　　（2）認(rèn)證者
　　
　　認(rèn)證者通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，這些設(shè)備的端口對應(yīng)于用戶端而言有受控與不受控兩種邏輯端口。不受控端口始終處于雙向連接狀態(tài)，主要用于傳遞EAPoL協(xié)議幀，用以保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過時才打開，用于傳遞運營商的有償網(wǎng)絡(luò)資源和業(yè)務(wù)。當(dāng)用戶未通過認(rèn)證時，受控端口對該用戶關(guān)閉，即無法訪問該運營商所提供的有償服務(wù)。
　　
　　（3）認(rèn)證服務(wù)器
　　
　　認(rèn)證服務(wù)器通常為RADIUS服務(wù)器或AS+HLR/AUC，它與認(rèn)證者之間通過EAP協(xié)議進(jìn)行通信。
　　
　　3.1.2 802.1x認(rèn)證方式
　　
　　802.1x的網(wǎng)絡(luò)訪問控制協(xié)議規(guī)范了802.1x的用戶鑒權(quán)認(rèn)證方式。802.1x推薦使用撥號用戶遠(yuǎn)程認(rèn)證服務(wù)（RADIUS）及與之相關(guān)的兩個通信協(xié)議：可擴展認(rèn)證協(xié)議（EAP）和傳輸層協(xié)議（TLS）。
　　
　　802.1x主要涵蓋以下四種認(rèn)證方式：
　　
　　（1）EAP-md5認(rèn)證方式
　　
　　EAP-MD5認(rèn)證方式通過RADIUS服務(wù)器提供簡單的集中用戶認(rèn)證。用戶注冊時該服務(wù)器只是檢查用戶名與密碼，若通過認(rèn)證就就答應(yīng)客戶端訪問網(wǎng)絡(luò)業(yè)務(wù)。采用該認(rèn)證方式時，用戶密碼采用MD5加密算法，以保證認(rèn)證信息的安全。EAP-MD5屬單向認(rèn)證機制，即只包括網(wǎng)絡(luò)對客戶端的認(rèn)證。
　　
　　（2）EAP-SIM認(rèn)證方式
　　
　　EAP-SIM認(rèn)證方式主要用于蜂窩移動運營商WLAN的SIM卡認(rèn)證方式，支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證和動態(tài)密鑰下發(fā)。在該認(rèn)證方式中，用戶端采用裝有SIM卡讀卡器的WLAN網(wǎng)卡。網(wǎng)絡(luò)側(cè)的認(rèn)證服務(wù)器（AS）與移動交換系統(tǒng)原有的HLR/AUC協(xié)同工作共同完成對用戶的認(rèn)證。
　　
　　（3）EAP-TLS認(rèn)證方式
　　
　　EAP-TLS認(rèn)證方式屬于傳輸層認(rèn)證機制，支持用戶與網(wǎng)絡(luò)之間的雙向認(rèn)證。用戶可以在每次連接動態(tài)生成新密鑰，且在用戶連接期間按一定間隔更新密鑰。TLS認(rèn)證中，傳送的數(shù)據(jù)由TLS加密封裝，保證認(rèn)證信息的安全。
　　
　　（4）EAP-TTLS鑒權(quán)認(rèn)證方式
　　
　　EAP-TTLS認(rèn)證方式基于隧道安全認(rèn)證技術(shù)，能夠支持雙向認(rèn)證和動態(tài)密鑰分發(fā)。在該認(rèn)證方式中客戶端與RADIUS之間，采用EAPoL協(xié)議建立安全隧道傳送EAP認(rèn)證包，實現(xiàn)TTLS認(rèn)證。
　　
　　3.2 OWLAN的數(shù)據(jù)安全
　　
　　3.2.1 802.1x協(xié)議對數(shù)據(jù)的加密
　　
　　為了克服802.11所定義WEP（有線等效保密協(xié)議）存在的安全隱患，IEEE制定了802.1x用以增強WEP的安全性。WEP使用40位靜態(tài)密鑰，而802.1x通過動態(tài)配置WEP的128位密鑰加強了數(shù)據(jù)的保密性，制訂了動態(tài)密鑰完整性協(xié)議(TKIP)對WEP的RC4算法進(jìn)行改進(jìn)，并增加了消息完整性檢查（MIC）。
　　
　　在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP認(rèn)證方式中提供了依靠于其初始鑒權(quán)認(rèn)證的主密鑰。利用該主密鑰對空中數(shù)據(jù)幀加密，使得未經(jīng)認(rèn)證的用戶無法對所竊取的數(shù)據(jù)幀進(jìn)行解密。
　　
　　3.2.2 WLAN中的VPN
　　
　　為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入，在OWLAN接入網(wǎng)中采用虛擬專網(wǎng)（VPN）技術(shù)用以保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全接入。VPN是指在一個公共IP平臺上，通過隧道及加密技術(shù)，為網(wǎng)絡(luò)提供點對點的安全通信，以保證遠(yuǎn)程用戶接入專用網(wǎng)絡(luò)的數(shù)據(jù)安全性。
　　
　　在采用VPN技術(shù)的WLAN中，無線接入網(wǎng)絡(luò)已被企業(yè)的VPN服務(wù)器和虛擬局域網(wǎng)（VLAN）將企業(yè)內(nèi)部網(wǎng)的接入隔離開來。由企業(yè)的VPN服務(wù)器提供無線網(wǎng)絡(luò)的認(rèn)證與加密，并充當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)。VPN協(xié)議包括第二層的PPTP/L2TP協(xié)議及第三層的IPSec協(xié)議，上述協(xié)議對通過WLAN傳送的數(shù)據(jù)提供強大的加密功能。
　　
　　根據(jù)隧道的建立方式，可劃分為2類VPN連接應(yīng)用：
　　
　　（1）由用戶端發(fā)起的VPN連接
　　
　　在由用戶端發(fā)起的VPN連接應(yīng)用中，需要在MT中按裝VPN客戶端軟件。用以在MT與企業(yè)的VPN服務(wù)器（網(wǎng)關(guān)）之間建立隧道連接。在這類VPN連接中，VPN只涉及發(fā)起端與終結(jié)端，因此對AP、AC而言是透明的，無需AP、AC支持VPN。
　　
　　（2）由AC端發(fā)起的VPN連接
　　
　　在由AC端發(fā)起的VPN連接應(yīng)用中，用戶以PPPoE方式連接AC，AC根據(jù)通信目的域名地址判為VPN業(yè)務(wù)后，由AC發(fā)起一條隧道連接用戶欲接入的企業(yè)網(wǎng)網(wǎng)關(guān)。在這種方式下從MT到AC的用戶數(shù)據(jù)加密應(yīng)在PPP層完成，可以采用PPP協(xié)議的加密選項來實現(xiàn)傳輸數(shù)據(jù)的加密。
　　
　　3.2.3 802.11i標(biāo)準(zhǔn)
　　
　　802.11i是專門針對WLAN安全體系的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供一種新的加密方法和認(rèn)證方式（即WEP2技術(shù)）。與傳統(tǒng)的WEP算法相比較，WEP2將密鑰的長度由40位增加到128位，故很難破譯。同時，該標(biāo)準(zhǔn)將一種增強安全網(wǎng)絡(luò)（RSN）方案納入其中，并包括了TKIP和AES-OCB兩個協(xié)議。 802.11i通過使用動態(tài)密鑰、良好的密鑰治理與分發(fā)機制以及更強的加密算法，使得在WLAN中的數(shù)據(jù)幀傳輸變得更加安全。
　　
　　3. 3 OWLAN的計費
　　
　　在OWLAN中，AC監(jiān)測用戶數(shù)據(jù)傳輸?shù)臅r間或流量，用以產(chǎn)生計費的原始信息送AS或RADUIS。在AS或RADUIS中對計費原始信息進(jìn)行加工，生成符合計費中心所需格式的計費數(shù)據(jù)記錄(CDR)，送運行商計費中心。在多個運營商共用一個OWLAN時，要求AC能鑒別不同運營商的計費信息，分別送對應(yīng)運營商的計費系統(tǒng)。
　　
　　3.4 OWLAN的漫游
　　
　　3.4.1 OWLAN的移動性治理
　　
　　802.11至今還沒有一個對MT設(shè)備跟蹤與治理的正式標(biāo)準(zhǔn)。而在將WLAN作為OWLAN應(yīng)用的今天，必須解決在同一計算機子網(wǎng)（域）內(nèi)MT在不同AP之間漫游的問題；以及不同計算機子網(wǎng)（域）之間的漫游的問題。在沒有統(tǒng)一的WLAN域內(nèi)、域間的漫游標(biāo)準(zhǔn)之前，各制造商和運營商則推出了各自的解決方案。
　　
　　3.4.2 域內(nèi)漫游
　　
　　在802.11中僅說明了MT可以在同一個ESS（擴展業(yè)務(wù)集）內(nèi)的AP之間進(jìn)行漫游，但未對MT漫游時AP之間具體通信過程做出規(guī)定，故不同廠家在實現(xiàn)AP間漫游時均采用了私有協(xié)議，這對運營商的組網(wǎng)帶來了困難。為此IEEE推出了支持域內(nèi)漫游的802.11f標(biāo)準(zhǔn)（已被IEEE批準(zhǔn)為實踐性標(biāo)準(zhǔn)）。
　　
　　802.11f定義了同一ESS中AP的登錄，以及MT從一個AP切換到另一個AP時，AP之間交換的信息。
　　
　　802.11f所定義的IAPP（AP間交互協(xié)議）在IP層上規(guī)定了AP之間以及AP和RADIUS服務(wù)器之間所需交換的信息。AP之間是通過UDP/IP協(xié)議在一個共同的DS中交互信息、進(jìn)行互操作。同時亦通過IAPP來影響第二層網(wǎng)絡(luò)設(shè)備的操作。802.11f要求在RADIUS服務(wù)器中存放有域內(nèi)各AP的基本信息，例如基本服務(wù)集標(biāo)識(BSS-ID)、IP地址以及MT接入的認(rèn)證密鑰。在定義了I

上一篇：VoWLAN應(yīng)用若干問題的分析與對策

下一篇：無線局域接入網(wǎng)關(guān)鍵技術(shù)徹底研究