公网的WLAN用户接入方式解决方案

1 概述

与目前5类线到户的有线局域网（LAN）用户接入方式相类似，无线局域网（WLAN）正在发展成为公网的宽带无线用户接入方式，即运营商的WLAN（OWLAN）。 OWLAN严格说起来并不是一种局域网，而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时，WLAN只定位在局域网应用，故在WLAN作为热点地区公共接入网络时，802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本文主要探讨WLAN在作为公共接入网时的组网方案，以及对认证、加密、计费和漫游方面的解决方案。

2 公共WLAN组网方案

OWLAN可以作为某一个运营商的无线接入网，亦可作为多个运营商共用的无线接入网，故在OWLAN中要求能支持多种认证方式。

（1）接入点（AP）

AP是WLAN的小型无线基站设备，为无线网与DS（分配系统例如有线以太网）之间的网关，且具有802.11f切换功能。

（2）接入控制点（AC）

AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式，并提供动态IP地址分配、输出原始计费信息、提供路由功能等。

（3）远程拨号接入认证（RADIUS）服务器

在使用“用户号十密码”或“手机号十密码”的Web认证方式时，使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息，产生符合移动运营商要求格式的CDR（呼叫数据记录）计费信息，实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。

（4）认证服务器（AS）

移动运营商使用SIM卡认证方式时，需要使用认证服务器（AS）。AS与网关（GW或GPRS中的GGSN）相配合提供WLAN与移动运行商HLR/AUC的连接。

AS在读取MT（移动终端）的国际移动用户识别（IMSI），送HLR/AUC确认该用户为WLAN注册用户后，与HLR/AUC配合完成密钥产生、EAP（可扩展认证协议）_SIM认证等任务。其他功能同RADIUS服务器。

（5）门户网站服务器（Portal Server）

用于向用户端推送WEB认证页面和门户网站主页面。

3 公网WLAN用户接入的相关解决方案

3.1 OWLAN的用户认证

WLAN在作为局域网使用时，沿用了有线LAN的PPPoE（PPP over Ethernet）和Web用户认证方式。在作为OWLAN使用时，由于其在物理上的开放性，使得非法用户入侵的可能性大为增加，原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后，基本可以满足OWLAN的要求。同时，在认证安全前提下，应尽量利用运营商已有的鉴权认证设备，以简化系统、节约投资。

3.1.1 802.1x用户认证方式中的访问实体

802.1x协议克服了传统PPPoE和WEB认证方式的缺点，更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体（PAE）包括：客户端、认证者和认证服务器三部分。

（1）客户端

用户从客户端发起802.11x的用户认证过程，为了支持基于端口的接入控制，客户端必需支持EAPoL（基于LAN的扩展认证协议）。

（2）认证者

认证者通常为支持802.1x协议的网络设备，这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态，主要用于传递EAPoL协议帧，用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开，用于传递运营商的有偿网络资源和业务。当用户未通过认证时，受控端口对该用户关闭，即无法访问该运营商所提供的有偿服务。

（3）认证服务器

认证服务器通常为RADIUS服务器或AS+HLR/AUC，它与认证者之间通过EAP协议进行通信。

3.1.2 802.1x认证方式

802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务（RADIUS）及与之相关的两个通信协议：可扩展认证协议（EAP）和传输层协议（TLS）。

802.1x主要涵盖以下四种认证方式：

（1）EAP-MD5认证方式

EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码，若通过认证就就允许客户端访问网络业务。采用该认证方式时，用户密码采用MD5加密算法，以保证认证信息的安全。EAP-MD5属单向认证机制，即只包括网络对客户端的认证。

（2）EAP-SIM认证方式

EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式，支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中，用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器（AS）与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证。

（3）EAP-TLS认证方式

EAP-TLS认证方式属于传输层认证机制，支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥，且在用户连接期间按一定间隔更新密钥。TLS认证中，传送的数据由TLS加密封装，保证认证信息的安全。

4）EAP-TTLS鉴权认证方式

EAP-TTLS认证方式基于隧道安全认证技术，能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间，采用EAPoL协议建立安全隧道传送EAP认证包，实现TTLS认证。

3.2 OWLAN的数据安全

3.2.1 802.1x协议对数据的加密

为了克服802.11所定义WEP（有线等效保密协议）存在的安全隐患，IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥，而802.1x通过动态配置WEP的128位密钥加强了数据的保密性，制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进，并增加了消息完整性检查（MIC）。

在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密，使得未经认证的用户无法对所窃取的数据帧进行解密。

3.2.2 WLAN中的VPN

为了保证企业内部网络的安全接入，在OWLAN接入网中采用虚拟专网（VPN）技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上，通过隧道及加密技术，为网络提供点对点的安全通信，以保证远程用户接入专用网络的数据安全性。

在采用VPN技术的WLAN中，无线接入网络已被企业的VPN服务器和虚拟局域网（VLAN）将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密，并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议，上述协议对通过WLAN传送的数据提供强大的加密功能。

根据隧道的建立方式，可划分为2类VPN连接应用：

（1）由用户端发起的VPN连接

在由用户端发起的VPN连接应用中，需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器（网关）之间建立隧道连接。在这类VPN连接中，VPN只涉及发起端与终结端，因此对AP、AC而言是透明的，无需AP、AC支持VPN。

（2）由AC端发起的VPN连接

在由AC端发起的VPN连接应用中，用户以PPPoE方式连接AC，AC根据通信目的域名地址判为VPN业务后，由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成，可以采用PPP协议的加密选项来实现传输数据的加密。

3.2.3 802.11i标准

802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式（即WEP2技术）。与传统的WEP算法相比较，WEP2将密钥的长度由40位增加到128位，故很难破译。同时，该标准将一种增强安全网络（RSN）方案纳入其中，并包括了TKIP和AES-OCB两个协议。 802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法，使得在WLAN中的数据帧传输变得更加安全。

3. 3 OWLAN的计费

在OWLAN中，AC监测用户数据传输的时间或流量，用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工，生成符合计费中心所需格式的计费数据记录(CDR)，送运行商计费中心。在多个运营商共用一个OWLAN时，要求AC能鉴别不同运营商的计费信息，分别送对应运营商的计费系统。

3.4 OWLAN的漫游

3.4.1 OWLAN的移动性管理

802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天，必须解决在同一计算机子网（域）内MT在不同AP之间漫游的问题；以及不同计算机子网（域）之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前，各制造商和运营商则推出了各自的解决方案。

3.4.2 域内漫游

在802.11中仅说明了MT可以在同一个ESS（扩展业务集）内的AP之间进行漫游，但未对MT漫游时AP之间具体通信过程做出规定，故不同厂家在实现AP间漫游时均采用了私有协议，这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准（已被IEEE批准为实践性标准）。

802.11f定义了同一ESS中AP的登录，以及MT从一个AP切换到另一个AP时，AP之间交换的信息。

802.11f所定义的IAPP（AP间交互协议）在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息，例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。在定义了I