一、 前言
由于Internet下载流量往往超过蜂窝通信网的传输容量,移动通信运行商正在寻找一种公众无线接入方案,解决既可以提供以数据为主业务,也可以平滑接入Internet获得数据业务。无线本地网 (WLAN) 技术可提供比蜂窝通信网更宽的带宽业务,运行商WLAN(OWLAN--Operator WLAN)系统利用GSM基础设施和漫游协议,以WLAN接入技术结合GSM用户管理和计费机理,使移动用户在不同运行商的接入网间漫游。
本文主要介绍OWLAN结构、主要系统单元及功能,重点是基于SIM的鉴权、计费和漫游机理。
二、OWLAN
OWLAN系统组合多种无线通信技术,它含有公众LAN接入网和采用IP骨干蜂窝移动通信网,保留与现存GSM/GPRS核心网漫游和计费功能的兼容性,从终端到蜂窝通信网侧采用GSM用户认证信令,GSM SIM(Subscribe Identity Module)仍用于WLAM的用户管理,无线LAN向全IP业务演进的OWLAN系统可作为应用于移动环境中全IP业务的基础设施。
OWLAN系统结构如图1示意,含有鉴权服务器(AS-Authentication Service),接入控制器(AC - Access Controller),接入指针(AP-Access Point)和移动终端(MT - Mobile Terminal)。OWLAN系统中AS、AC、AP和MT分别对应于GPRS系统中SGSN、GGSN、BTS和移动终端,两者之间主要差别是OWLAN控制信令和数据送至蜂窝核心网,接入控制器把用户分组数据送到IP骨干网。由于,用户IP流量并不通过蜂窝核心网再送至本地网,从而避开GPRS因漫游而带来的系统复杂问题。
移动终端用户的鉴权过程是:每个WLAN终端联系每个WLAN接入点,从接入控制器获取一个IP地址,给接入控制器发出鉴权申请,启动网络鉴权。接入控制器把鉴权申请送至鉴权服务器和本地位置寄存器(HLR),并验证鉴权用户的数据。
图1 OWLAN系统结构
三、系统组成
图2示意OWLAN系统组成及其接口。
图2 OWLAN系统组成及接口
3.1 鉴权服务器
鉴权服务器用贮存在SIM卡中国际移动用户身份 (IMSI) 码来识别用户,不断地检查是否有用户已漫游登录到WLAN业务上,以SS7信令把鉴权信息送至HLR,运行鉴权,确认和计费(AAA)的RADIUS (Remote Authentication Dial In User Service) 的鉴权协议,与接入控制器联络。当用户拆线时,鉴权服务器从接入控制器中把接收计费数据打印出收据帐单。
3.2 接入控制器
接入控制器作为无线接入网和IP核心网间的网关,安排移动终端的IP地址,提供已鉴权移动终端的IP地址表,监视输入/出IP分组地址,排除非鉴权移动终端的数据。
3.3 无线LAN接入点
无线LAN接入点在移动终端和固定LAN间提供无线Ethernet链路,作为共享的无线接口。
3.4 移动终端
移动终端以预先定义含有漫游的网络特征来检测漫游移动终端,具有SIM和SIM鉴权软件的终端以WLAN无线接入能力获得OWLAN业务。移动终端既可采用具有集成SIM阅读器的WLAN卡,又可采用外部扩展WLAN卡。
四、鉴权,付费和接入运行
图3 OWLAN控制平面结构
图3示意OWLAN控制平面结构。OWLAN控制平面结构中的移动终端含漫游控制模块,它给用户提供漫游业务控制接口并与SIM卡联络。图中特有的接入鉴权记账协议(NAAP—Network Access Authentication and Accounting Protocol)含GSM 鉴权消息,它采用用户数据报协议(UDP-User Data gram Protocol)来重传连接。
接入控制的关键是接入管理器,它控制IP路由并汇集计费统计数据。RADIUS协议携带SIM的鉴权参数,利用RADIUS协议发送计费数据。
鉴权服务器中重要模块是鉴权控制器,它处理RADIUS协议中鉴权消息并与GSM联络,能把计费数据直接送到各种付费系统的FTP接口。计费网关接收和存贮来自接入网的计费信息,用GTP付费协议与GPRS计费网关接口。
下面介绍OWLAN系统的鉴权,付费和接入安全等过程:
4.1 鉴权
OWLAN系统的鉴权是基于SIM机理,接入控制器作为移动终端与鉴权服务器间接口赋予移动终端用户个人身份号码(PIN-Personal Identity Number),SIM卡和用户身份号码都用PIN码来加密。基于SIM的OWLAN系统鉴权如图4示意:
图4 基于SIM鉴权顺序.
1. 移动终端发出其所归属接入控制器响应的NAAP消息;
2. 接收到接入控制器的IP地址后,移动终端向接入控制器发出鉴权申请,接入控制器的IMSI被封装在网络接入标识符(NAI-Network Access Identifier )内;
3. 接入控制器和RADIUS把鉴权申请送至鉴权服务器;
4. 鉴权服务器从本地位置寄存器中提取GSM有关字节;
5. 6. 鉴权服务器给移动终端发出RAND,并在RAND上计算鉴别移动终端的消息鉴权码;
7. 移动终端计算消息鉴权码并与从网络接收来的码进行比较。假如两者不一致,中断并怀疑为欺诈性业务,拒绝其鉴权申请。使攻击者不可能从IMSI中提取RAND和签字响应SRES (Signed Response),也不可能从存贮在SIM卡中提取安全钥;
8. 移动终端利用SIM卡中的算法计算SRES和消息鉴权码;
9. 移动终端把计算结果送至接入控制器;
10. 接入控制器把响应送入鉴权服务器;
11. 鉴权服务器用SRES计算消息鉴权码再验证响应;
12. 鉴权服务器把鉴权结果码送至接入服务器;
13. 假如鉴权结果是正确的,接入控制器给鉴权服务器发出指示,建立新会话;
14,15. 接入控制器安置分组数据路由并发出应答信号。 鉴权中断有下述原因:HLR中不含有IMSI,接入操作器不支持IMSI的漫游,鉴权服务器没有接收到来自HLR关联字节,移动终端停留在非鉴权状态,接入控制器不安置终端IP流量的路由等。
4.2 计费和付费
接入控制器监控数据流量并周期地给鉴权服务器发送流量统计信息,计费流量统计方法有下述机理:
1. 基于连接开始和终止时间;
2. 基于传送数据流量;
3. 基于平直速率。
鉴权服务器把计费数据转换成标准的GPRS计费数据格式(CDR-Charging Data Record),鉴权服务器确证接收到与鉴权终端有关的计费数据,确保通信联络没有确证前不会产生计费记录。在接入控制器和鉴权服务器间传送数据采用IP安全(IP Security -- IPSEC)协议加密。
4.3 漫游至外来WLAN网络
不同于Internet业务运行,OWLAN系统用同一设施和机制来支持不同接入网间和运行网间的漫游。图5 示意在OWLAN系统中的漫游机理,其工作流程如下:
图5. WLAN漫游至外来操作商网
1. 漫游移动终端连结相关外来运行商的WLAN,并把鉴权申请发给接入控制器,接入控制器再把鉴权申请送至鉴权服务器;
2. 鉴权服务器验证IMSI,利用GSM SS7网给HLR发出鉴权查询.;
3. 对应的HLR以用户和鉴权关联字节进行计算鉴权,直至漫游移动终端拆线,鉴权服务器才给付费系统发出计费记录;
4. 计算IMSI码用于漫游移动终端的CDR,付费系统把WLAN CDR发至漫游移动终端本地付费系统并给出帐单。
4.4 用户远程安全接入
OWLAN系统利用无线LAN接入网中移动用户建立终端与终端,终端与对应网间的加密连接来保证商务关键信息的安全性。
五、系统升级性和鲁棒性
运行网络必须提供足够冗余特性来提高OWLAN系统容错能力和恢复网络运行的鲁棒性。一个最小化 OWLAN系统至少应有两个鉴权服务器,采用图6的RADIUS代理可提高系统容错能力。
图6接入控制器连接两个RADIUS代理,其中一个为主,另一个为副。假如鉴权服务器没有应答接入控制器的消息,副RADIUS代理把消息送至副鉴权服务器。在发生差错情况下, 冗余IP路由和RADIUS代理确保鉴权服务器之间的无隙缝交换。在主接入控制失误或超负荷时,可加副接入控制器来改进系统鲁棒性。
图6 采用RADIUS代理实现系统冗余
本文介绍一个把无线LAN接入与GSM / GPRS漫游综合在一起的OWLAN系统。OWLAN系统把蜂窝移动鉴权与本地IP接入组合起来,与公众WLAN接入组合开发GSM鉴权,基于SIM用户管理和付费机理,允许移动终端使用相同SIM和用户标志来接入WLAN,可作为面向全IP网络的过渡方案。(金晓军 高级工程师,北京交通大学现代通信研究所实验室主任)