《公网的WLAN用户接入方式解决方案.docVIP

1 概述 与目前5类线到户的有线局域网（LAN）用户接入方式相类似，无线局域网（WLAN）正在发展成为公网的宽带无线用户接入方式，即运营商的WLAN（OWLAN）。 OWLAN严格说起来并不是一种局域网，而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时，WLAN只定位在局域网应用，故在WLAN作为热点地区公共接入网络时，802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本文主要探讨WLAN在作为公共接入网时的组网方案，以及对认证、加密、计费和漫游方面的解决方案。 2 公共WLAN组网方案 OWLAN可以作为某一个运营商的无线接入网，亦可作为多个运营商共用的无线接入网，故在OWLAN中要求能支持多种认证方式。 （1）接入点（AP） AP是WLAN的小型无线基站设备，为无线网与DS（分配系统例如有线以太网）之间的网关，且具有802.11f切换功能。 （2）接入控制点（AC） AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式，并提供动态IP地址分配、输出原始计费信息、提供路由功能等。 （3）远程拨号接入认证（RADIUS）服务器 在使用“用户号十密码”或“手机号十密码”的Web认证方式时，使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息，产生符合移动运营商要求格式的CDR（呼叫数据记录）计费信息，实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。 （4）认证服务器（AS） 移动运营商使用SIM卡认证方式时，需要使用认证服务器（AS）。AS与网关（GW或GPRS中的GGSN）相配合提供WLAN与移动运行商HLR/AUC的连接。 AS在读取MT（移动终端）的国际移动用户识别（IMSI），送HLR/AUC确认该用户为WLAN注册用户后，与HLR/AUC配合完成密钥产生、EAP（可扩展认证协议）_SIM认证等任务。其他功能同RADIUS服务器。 （5）门户网站服务器（Portal Server） 用于向用户端推送WEB认证页面和门户网站主页面。 3 公网WLAN用户接入的相关解决方案 3.1 OWLAN的用户认证 WLAN在作为局域网使用时，沿用了有线LAN的PPPoE（PPP over Ethernet）和Web用户认证方式。在作为OWLAN使用时，由于其在物理上的开放性，使得非法用户入侵的可能性大为增加，原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后，基本可以满足OWLAN的要求。同时，在认证安全前提下，应尽量利用运营商已有的鉴权认证设备，以简化系统、节约投资。 3.1.1 802.1x用户认证方式中的访问实体 802.1x协议克服了传统PPPoE和WEB认证方式的缺点，更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体（PAE）包括：客户端、认证者和认证服务器三部分。 （1）客户端 用户从客户端发起802.11x的用户认证过程，为了支持基于端口的接入控制，客户端必需支持EAPoL（基于LAN的扩展认证协议）。 （2）认证者 认证者通常为支持802.1x协议的网络设备，这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态，主要用于传递EAPoL协议帧，用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开，用于传递运营商的有偿网络资源和业务。当用户未通过认证时，受控端口对该用户关闭，即无法访问该运营商所提供的有偿服务。 （3）认证服务器 认证服务器通常为RADIUS服务器或AS+HLR/AUC，它与认证者之间通过EAP协议进行通信。 3.1.2 802.1x认证方式 802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务（RADIUS）及与之相关的两个通信协议：可扩展认证协议（EAP）和传输层协议（TLS）。 802.1x主要涵盖以下四种认证方式： （1）EAP-MD5认证方式 EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码，若通过认证就就允许客户端访问网络业务。采用该认证方式时，用户密码采用MD5加密算法，以保证认证信息的安全。EAP-MD5属单向认证机制，即只包括网络对客户端的认证。 （2）EAP-SIM认证方式 EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式，支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中，用