【大學(xué)】研究生信息通信：無線lan移動接入網(wǎng)

1、整理課件無線無線LANLAN移動接入網(wǎng)移動接入網(wǎng)整理課件摘要本文主要介紹OWLAN結(jié)構(gòu)、主要系統(tǒng)單元及功能，重點(diǎn)是基于SIM的鑒權(quán)、計(jì)費(fèi)和漫游機(jī)理，可作為面向全I(xiàn)P網(wǎng)絡(luò)的過渡方案。整理課件前言由于Internet下載流量往往超過蜂窩通信網(wǎng)的傳輸容量，移動通信運(yùn)行商正在尋找一種公眾無線接入方案，解決既可以提供以數(shù)據(jù)為主業(yè)務(wù)，也可以平滑接入Internet獲得數(shù)據(jù)業(yè)務(wù)。無線本地網(wǎng) (WLAN) 技術(shù)可提供比蜂窩通信網(wǎng)更寬的帶寬業(yè)務(wù)，運(yùn)行商WLAN(OWLAN-Operator WLAN)系統(tǒng)利用GSM基礎(chǔ)設(shè)施和漫游協(xié)議，以WLAN接入技術(shù)結(jié)合GSM用戶管理和計(jì)費(fèi)機(jī)理,使移動用戶在不同運(yùn)行商的接入網(wǎng)

2、間漫游。整理課件二、OWLANOWLAN系統(tǒng)組合多種無線通信技術(shù)，它含有公眾LAN接入網(wǎng)和采用IP骨干蜂窩移動通信網(wǎng),保留與現(xiàn)存GSM/GPRS核心網(wǎng)漫游和計(jì)費(fèi)功能的兼容性，從終端到蜂窩通信網(wǎng)側(cè)采用GSM用戶認(rèn)證信令，GSM SIM(Subscribe Identity Module)仍用于WLAM的用戶管理，無線LAN向全I(xiàn)P業(yè)務(wù)演進(jìn)的OWLAN系統(tǒng)可作為應(yīng)用于移動環(huán)境中全I(xiàn)P業(yè)務(wù)的基礎(chǔ)設(shè)施。整理課件OWLAN系統(tǒng)結(jié)構(gòu)如圖1示意，含有鑒權(quán)服務(wù)器(AS-Authentication Service)，接入控制器(AC - Access Controller),接入指針(AP-Access Po

3、int)和移動終端（MT - Mobile Terminal）。OWLAN系統(tǒng)中AS、AC、AP和MT分別對應(yīng)于GPRS系統(tǒng)中SGSN、GGSN、BTS和移動終端，兩者之間主要差別是OWLAN控制信令和數(shù)據(jù)送至蜂窩核心網(wǎng)，接入控制器把用戶分組數(shù)據(jù)送到IP骨干網(wǎng)。由于，用戶IP流量并不通過蜂窩核心網(wǎng)再送至本地網(wǎng)，從而避開GPRS因漫游而帶來的系統(tǒng)復(fù)雜問題。整理課件整理課件三、系統(tǒng)組成圖2示意OWLAN系統(tǒng)組成及其接口。整理課件整理課件31 鑒權(quán)服務(wù)器 :鑒權(quán)服務(wù)器用貯存在SIM卡中國際移動用戶身份 (IMSI) 碼來識別用戶，不斷地檢查是否有用戶已漫游登錄到WLAN業(yè)務(wù)上，以SS7信令把鑒權(quán)信息

4、送至HLR，運(yùn)行鑒權(quán)，確認(rèn)和計(jì)費(fèi)（AAA）的RADIUS (Remote Authentication Dial In User Service) 的鑒權(quán)協(xié)議，與接入控制器聯(lián)絡(luò)。當(dāng)用戶拆線時(shí)，鑒權(quán)服務(wù)器從接入控制器中把接收計(jì)費(fèi)數(shù)據(jù)打印出收據(jù)帳單。32 接入控制器: 接入控制器作為無線接入網(wǎng)和IP核心網(wǎng)間的網(wǎng)關(guān)，安排移動終端的IP地址，提供已鑒權(quán)移動終端的IP地址表，監(jiān)視輸入/出IP分組地址，排除非鑒權(quán)移動終端的數(shù)據(jù)。整理課件33 無線LAN接入點(diǎn): 無線LAN接入點(diǎn)在移動終端和固定LAN間提供無線Ethernet鏈路，作為共享的無線接口。34 移動終端: 移動終端以預(yù)先定義含有漫游的網(wǎng)絡(luò)特征來

5、檢測漫游移動終端，具有SIM和SIM鑒權(quán)軟件的終端以WLAN無線接入能力獲得OWLAN業(yè)務(wù)。移動終端既可采用具有集成SIM閱讀器的WLAN卡，又可采用外部擴(kuò)展WLAN卡。整理課件四、鑒權(quán)，付費(fèi)和接入運(yùn)行 圖3示意OWLAN控制平面結(jié)構(gòu)。OWLAN控制平面結(jié)構(gòu)中的移動終端含漫游控制模塊，它給用戶提供漫游業(yè)務(wù)控制接口并與SIM卡聯(lián)絡(luò)。圖中特有的接入鑒權(quán)記賬協(xié)議（NAAPNetwork Access Authentication and Accounting Protocol）含GSM 鑒權(quán)消息，它采用用戶數(shù)據(jù)報(bào)協(xié)議（UDPUser Data gram Protocol）來重傳連接。整理課件整理課件

6、接入控制的關(guān)鍵是接入管理器，它控制IP路由并匯集計(jì)費(fèi)統(tǒng)計(jì)數(shù)據(jù)。RADIUS協(xié)議攜帶SIM的鑒權(quán)參數(shù)，利用RADIUS協(xié)議發(fā)送計(jì)費(fèi)數(shù)據(jù)。 鑒權(quán)服務(wù)器中重要模塊是鑒權(quán)控制器，它處理RADIUS協(xié)議中鑒權(quán)消息并與GSM聯(lián)絡(luò)，能把計(jì)費(fèi)數(shù)據(jù)直接送到各種付費(fèi)系統(tǒng)的FTP接口。計(jì)費(fèi)網(wǎng)關(guān)接收和存貯來自接入網(wǎng)的計(jì)費(fèi)信息，用GTP付費(fèi)協(xié)議與GPRS計(jì)費(fèi)網(wǎng)關(guān)接口整理課件 OWLAN系統(tǒng)的鑒權(quán)，付費(fèi)和接入安全等過程：41 鑒權(quán)OWLAN系統(tǒng)的鑒權(quán)是基于SIM機(jī)理，接入控制器作為移動終端與鑒權(quán)服務(wù)器間接口賦予移動終端用戶個(gè)人身份號碼（PINPersonal Identity Number），SIM卡和用戶身份號碼都用P

7、IN碼來加密。基于SIM的OWLAN系統(tǒng)鑒權(quán)如圖4示意：整理課件整理課件1 移動終端發(fā)出其所歸屬接入控制器響應(yīng)的NAAP消息；2 接收到接入控制器的IP地址后，移動終端向接入控制器發(fā)出鑒權(quán)申請，接入控制器的IMSI被封裝在網(wǎng)絡(luò)接入標(biāo)識符（NAINetwork Access Identifier ）內(nèi)；3 接入控制器和RADIUS把鑒權(quán)申請送至鑒權(quán)服務(wù)器；4 鑒權(quán)服務(wù)器從本地位置寄存器中提取GSM有關(guān)字節(jié)5 6. 鑒權(quán)服務(wù)器給移動終端發(fā)出RAND，并在RAND上計(jì)算鑒別移動終端的消息鑒權(quán)碼；整理課件7 移動終端計(jì)算消息鑒權(quán)碼并與從網(wǎng)絡(luò)接收來的碼進(jìn)行比較。假如兩者不一致，中斷并懷疑為欺詐性業(yè)務(wù)，拒

8、絕其鑒權(quán)申請。使攻擊者不可能從IMSI中提取RAND和簽字響應(yīng)SRES (Signed Response)，也不可能從存貯在SIM卡中提取安全鑰；8 移動終端利用SIM卡中的算法計(jì)算SRES和消息鑒權(quán)碼；9 移動終端把計(jì)算結(jié)果送至接入控制器；10. 接入控制器把響應(yīng)送入鑒權(quán)服務(wù)器11. 鑒權(quán)服務(wù)器用SRES計(jì)算消息鑒權(quán)碼再驗(yàn)證響應(yīng)；12. 鑒權(quán)服務(wù)器把鑒權(quán)結(jié)果碼送至接入服務(wù)器；整理課件13. 假如鑒權(quán)結(jié)果是正確的，接入控制器給鑒權(quán)服務(wù)器發(fā)出指示，建立新會話；14，15. 接入控制器安置分組數(shù)據(jù)路由并發(fā)出應(yīng)答信號。 鑒權(quán)中斷有下述原因：HLR中不含有IMSI，接入操作器不支持IMSI的漫游，鑒權(quán)

9、服務(wù)器沒有接收到來自HLR關(guān)聯(lián)字節(jié)，移動終端停留在非鑒權(quán)狀態(tài)，接入控制器不安置終端IP流量的路由等。整理課件42 計(jì)費(fèi)和付費(fèi) 接入控制器監(jiān)控?cái)?shù)據(jù)流量并周期地給鑒權(quán)服務(wù)器發(fā)送流量統(tǒng)計(jì)信息，計(jì)費(fèi)流量統(tǒng)計(jì)方法有下述機(jī)理：1. 基于連接開始和終止時(shí)間；2. 基于傳送數(shù)據(jù)流量；3. 基于平直速率。整理課件鑒權(quán)服務(wù)器把計(jì)費(fèi)數(shù)據(jù)轉(zhuǎn)換成標(biāo)準(zhǔn)的GPRS計(jì)費(fèi)數(shù)據(jù)格式（CDRCharging Data Record）,鑒權(quán)服務(wù)器確證接收到與鑒權(quán)終端有關(guān)的計(jì)費(fèi)數(shù)據(jù)，確保通信聯(lián)絡(luò)沒有確證前不會產(chǎn)生計(jì)費(fèi)記錄。在接入控制器和鑒權(quán)服務(wù)器間傳送數(shù)據(jù)采用IP安全（IP Security - IPSEC）協(xié)議加密。整理課件43 漫

10、游至外來WLAN網(wǎng)絡(luò)不同于Internet業(yè)務(wù)運(yùn)行，OWLAN系統(tǒng)用同一設(shè)施和機(jī)制來支持不同接入網(wǎng)間和運(yùn)行網(wǎng)間的漫游。圖5 示意在OWLAN系統(tǒng)中的漫游機(jī)理，其工作流程如下：整理課件整理課件1. 漫游移動終端連結(jié)相關(guān)外來運(yùn)行商的WLAN，并把鑒權(quán)申請發(fā)給接入控制器，接入控制器再把鑒權(quán)申請送至鑒權(quán)服務(wù)器；2. 鑒權(quán)服務(wù)器驗(yàn)證IMSI，利用GSM SS7網(wǎng)給HLR發(fā)出鑒權(quán)查詢.；3. 對應(yīng)的HLR以用戶和鑒權(quán)關(guān)聯(lián)字節(jié)進(jìn)行計(jì)算鑒權(quán)，直至漫游移動終端拆線，鑒權(quán)服務(wù)器才給付費(fèi)系統(tǒng)發(fā)出計(jì)費(fèi)記錄；4. 計(jì)算IMSI碼用于漫游移動終端的CDR，付費(fèi)系統(tǒng)把WLAN CDR發(fā)至漫游移動終端本地付費(fèi)系統(tǒng)并給出帳單。

11、整理課件4.4 用戶遠(yuǎn)程安全接入 OWLAN系統(tǒng)利用無線LAN接入網(wǎng)中移動用戶建立終端與終端，終端與對應(yīng)網(wǎng)間的加密連接來保證商務(wù)關(guān)鍵信息的安全性。整理課件五、系統(tǒng)升級性和魯棒性運(yùn)行網(wǎng)絡(luò)必須提供足夠冗余特性來提高OWLAN系統(tǒng)容錯(cuò)能力和恢復(fù)網(wǎng)絡(luò)運(yùn)行的魯棒性。一個(gè)最小化 OWLAN系統(tǒng)至少應(yīng)有兩個(gè)鑒權(quán)服務(wù)器，采用圖6的RADIUS代理可提高系統(tǒng)容錯(cuò)能力。圖6接入控制器連接兩個(gè)RADIUS代理，其中一個(gè)為主,另一個(gè)為副。假如鑒權(quán)服務(wù)器沒有應(yīng)答接入控制器的消息,副RADIUS代理把消息送至副鑒權(quán)服務(wù)器。在發(fā)生差錯(cuò)情況下, 冗余IP路由和RADIUS代理確保鑒權(quán)服務(wù)器之間的無隙縫交換。在主接入控制失誤或超負(fù)