模板
教程
环境
性能
功能
管理
无线局域网中的认证和计费
(南京邮电学院 杨融) 摘要 无线局域网(Wireless Local Area Network,简称WLAN)是计算机网络与无线通信技术相结合的产物,对运营商来讲,它是接入网的补充,具有极大的移动性和灵活性,得到了业界的广泛关注,有着极好的运营前景。本文首先介绍无线局域网技术基础,进而给出利用美国思科公司AC产品实现运营商开展此项业务所必须考虑的用户认证和计费的组网方案和具体流程。 关键词无线局域网 用户边缘业务管理器 Radius服务器 认证 计费 一、前言 无线局域网,简称WLAN(WirelessLocalAreaNetworks),是利用射频(Radio Frequency)技术,取代旧的双绞铜线(Coaxial)所构成的局域网络。 移动运营商建设无线局域网的目的在于利用WLAN结合现有的移动网络和功能,为用户提供更快捷更广泛的移动语音和数据接入服务,同时也作为有线数据接入的补充手段。现有移动网络与WLAN互为补充,是无线运营商抢摊数据市场,确保传统语音业务的关键。 与企业内部的应用模式不同的是,作为可运营的WLAN不再仅仅为用户提供简单的网络互连,更重要的是实现电信级运营,因此要在基本架构的基础上添加计费、网管、认证等一系列网络实体。必然要考虑用户的访问控制方法和计费方式,部署认证和计费系统。本文结合实际案例,对此进行了分析。 二、WLAN简介 WLAN是一种能支持较高数据速率(2-11Mbit/s),采用微蜂窝、微微蜂窝结构、自主管理的计算机局部网络。它可采用无线电或红外线作为传输媒质,采用扩展频谱技术,移动的终端可通过无线接入点来实现对Internet的访问[1]。在WLAN这个领域中有两个主要标准:IEEE802.11和HIPERLAN(HighPerfomaceRadioLocal Area Network)。 作为互联网的延伸手段,WLAN通过无线介质发送和接收数据,而无需线缆介质。它数据传输速率可以达到11Mbps(802.11b标准),通信范围不受环境条件的限制,网络的传输范围大大拓宽,最大传输距离可远至20km以上,是有线网络和用户端计算机之间的“无限延伸”,具有传统局域网无法比拟的灵活性。WLAN可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。 无线局域网具有以下特点[2]: ●可移动性,不受布线接点位置的限制; ●数据传输速率高,大于1Mbps; ●抗干扰性强,能实现很低的误码率; ●保密性较强,可使用户进行有效的数据提取,又不至于泄密; ●高可靠性,数据传输几乎没有丢包现象产生; ●兼容性好,采用载波侦听多路访问/冲突避免(CSMA/CA)介质访问协议,遵从IEEE802.3以太网协议。与标准以太网及目前的几种主流NOS完全兼容,用户已有的网络软件可以不做任何修改在无线网上运行; ● 快速安装,无线局域网的安装工作非常简单,它无需施工许可证,不需要布线或开挖沟槽,安装时间只是安装有线网络时间的零头。 在国内,WLAN的技术和产品在实际应用领域还是比较新的。但是,由于其不可替代的优点,将会迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易布线的地方和远距离的数据处理节点提供强大的网络支持。特别是在一些诸如:展览和会议、金融服务、旅游服务、移动办公系统等行业中,WLAN将会有极大的发展机遇。为了实现WLAN的电信级运营,WLAN需要在基本结构的基础上添加计费、网管、认证等一系列物理/逻辑功能实体。 三、WLAN的安全认证策略 现在,无线局域网已经形成了发展主流,网络管理人员希望无线局域网能够提供和有线局域网一样的安全性、可管理性以及可伸缩性。其中最主要考虑是安全性,包括访问控制和加密。访问控制保证敏感数据只能由授权用户访问。加密则保证发射的数据只能被所期望的用户接收和理解。总的来说,为了确保安全性,无线局域网安全方案应做到: 1)无线局域网身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一部客户机上运行,这些项目都由用户拥有和使用。 2)支持客户机和验证(RADIUS)服务器之间的双向身份验证。使用由用户身份验证动态产生的WEP(有线等效加密,WiredEquivalentPrivacy)密钥,并不是和客户机物理相关的静态密钥。RADIUS是一种国际通行的严密安全认证机制,该机制通过设置在RadiusServer上的数据库对客户端进行认证,客户端在使用网络之前必须先输入用户名、密码等认证信息,并只有在认证通过时才开放该客户端的网络使用权限。目前大家所熟知的移动电话、163\169等可漫游上网方式均采用了此种认证机制作为后台处理。。 3)在部署WLAN时,要采用以下一些安全策略: 在应用802.11传统安全机制(SSID,静态WEP加密)的同时,更可采用802.1x所提供的增强的安全机制,以保障WLAN最大的安全性。 使用动态的WEPKey,并定期更换。 定义Sessiontimeout时间。 根据实际情况选择适当的keyupdate间隔时间。 只将静态WEP机制作为最后的手段来应用。 4)如果采用静态WEP机制,则应该定时更换WEPKey。 具体认证流程简述如下[3]: A.无线客户机与访问点进行通信 B.在登录到网络之前,访问点拒绝所有客户机的对网络资源的访问。 C.客户机上的用户在网络登录对话框或类似功能的对话框中提供用户名和口令。 D.利用802.11X和EAP,无线局域网上的客户机和RADIUS服务器通过访问点进行双向身份验证。有几种验证身份的方法备选。在Cisco的身份验证方法中,RADIUS服务器发送一个验证询问信息到客户机。客户机利用用户提供的单向口令散列信息来生成对询问的响应,并把这个响应送到RADIUS服务器。RADIUS服务器根据它的用户数据库中的信息,自己产生一个响应,并与客户机所送来响应进行比较。一旦RADIUS服务器验证了客户机的身份,上述过程逆向重复。 E.当这个双向的验证过程全部完成后,RADIUS服务器和客户机确定一个有别于客户机的WEP密钥,并为客户机提供合适级别的网络访问权限,为个人台式机提供与有线交换部分相似的安全性。然后,客户机加载密钥,准备把它应用到登录会话过程中。 F.RADIUS服务器通过有线局域网发送一个称为会话密钥的WEP密钥到访问点。 G.访问点利用会话密钥对广播密钥进行加密,把经过加密的密钥送到客户机,客户机利用会话密钥进行解密。 H.客户机和访问点激活WEP,并把会话和广播密钥应用到后续会话的所有通信过程中。EAP和802.11X在遵循WEP的基础上,提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时,EAP框架是对有线网络的扩展,为每个访问方法都提供了一个单独的安全结构。 在认证方面,可以采用以下三种认证方式之一: 1)WEB认证:采用RC4序列密码算法,即运用共享密钥将来自伪随机数据产生器的数据生成任意字节长序列,然后将数据序列与明文进行异或处理,生成加密文本。它最大的缺点是缺乏安全保证,不具备认证、访问控制和完整性校验功能。但整体方案简单方便,不需要额外增加客户端软件,易于实施,对用户的兼容性最好,可以吸纳其他运营商的客户及企业用户。 2)SIM认证:在这种方式中,用户接入WLAN之前,要发出认证请求,该认证请求中带有用户SIM卡的IMSI信息。鉴权服务器将请求包装成一条标准的GSM/GPRSMAP信令,并将它通过SS7信令网转发给该用户的归属HLR,采用GSM/GPRS的认证鉴权机制完成整个认证过程。这种方式能够充分发挥GSM/GPRS鉴权的优势,同时又可以利用WLAN业务与GPRS业务的特点,由GPRS实现广域覆盖,由WLAN实现宽带数据接入,从而达到优势互补的目的。最大的优点是提供完善的安全机制,但是需要安装客户端软件。 3)短消息认证:使用手机号加短消息实施密码方案,计费系统与现有GSM计费系统统一。用户在WLAN中如果需要进入Internet,门户服务器(portalserver)要求用户输入手机号,并用此手机号再生成一个随机密码;然后要求用户输入密码,同时认证服务器通过短消息网关向用户发出随机密码,用户将手机收到的随机密码输入网络,即可启动RADIUS认证;该方式的特色是用户可以通过短消息或WAP&WEB页面随时修改密码;由于使用短消息的方式与移动运营商有较强的捆绑,使用方便,容易实现漫游。存在的问题是虽然使用了短消息发送注册密码,但是仍然存在安全性不足和短消息时延问题;由于该接入方式是通过用户自开户的方式获得账号,所以用户信息很少,不利于后续业务的开展。 四、WLAN的计费: WLAN网络的计费原理与其它接入技术比较,并不存在差异,同样都是通过Aclearcase/" target="_blank" >ccessPortal(接入门户),Radius服务器与计费服务器之间的相互协商来实现实时的Pre-paid(预付费)计费及Post-paid(后付费)。但是,由于过去接入Portal(门户)无法实现基于不同用户,不同服务的计费。在一定程度上,限制了向提供客户更多更友好的接入增值服务。随着技术的发展,以上问题已经得到了解决,已经可以提供: 1)实时的基于服务类型的计费服务:这种方案实现了最大灵活度的计费,不论是哪种服务类型和计费方案,用户都可以基于访问带宽,访问时间或访问流量来进行计费,而不必关心具体的网络架构。此种方案可将计费进程延展至应用层(4-7),实现不同内容的不同计费。 2)在线显示用户账户费用情况及服务使用情况:在Pre-pay情况下,用户经常需要往特定账号充值以继续使用服务。新型的Portal可随时提供给用户有关其各项服务的使用状况。 3)多服务访问:新型的AccessPortal应该具备支持在同一PPP(或PDP)Session情况下多并发服务的功能。 思科新型的接入网关设备(Access Gateway),通过在现有Cisco Router( 7400,7200)升级IOS版本,可以同时满足多种类型接入服务的要求(如GPRS , Dial Access, DSL等), 并与第三方的计费软件相结合,可提供完全的Pre-Paid, Post-Paid功能,同时也可以提供上文所提到的实时的基于服务类型的计费服务、并发服务,服务选择,用户使用情况的在线显示等增值服务[4]。图1是具体的流程图。 图1思科概念下的WLAN计费具体流程图 注:图中的SSD即为SESM,SSD是对SESM的早期称呼。 业务选择网关(SSG)是一种面向业务供应商的交换解决方案,这些业务供应商向使用无线接入(WLAN、GPRS、CDMA2000、2GCSD)和其它不同接入技术(DSL、有线调制解调器、网桥、路由、PPP、L2TP、802.11等)的用户提供内部网、外部网、互联网以及特殊的内容和应用连接,以实现多业务联网以及增强的用户体验和更多的计费选择。SSG向用户提供鉴权、业务选择和业务连接功能。 SSG同鉴别、授权和记帐(AAA)管理网络通信,该网络中还将有RADIUS、动态主机配置协议(DHCP)以及简单网络管理协议(SNMP)服务器。SSG还可同连接到互联网、企业网络和增值业务的业务供应商络通信。 同SSG一起,用户边缘业务管理器(SESM)使业务供应商可以建立有品牌的Web门户,为用户提供业务菜单,使他们可以使用Web浏览器登录和退出不同的业务。这种功能可以为用户提供灵活性和便捷性,使业务供应商可以根据连接时间和使用的业务而不是固定费率来向用户计费。由于能够在一个有品牌的门户中提供多种业务,业务供应商就可以采取创新的定价策略,并发展有吸引力的移动数据业务。SESM充分利用Web浏览器无处不在的优势,而且不再需要同客户端软件相关的后勤工作(如使用许可费、分销物流以及越来越繁重的客户支持负担等)。 当SSG同SESM一起使用时,用户可以打开一个HTML浏览器并访问SESMWeb服务器应用的URL。SESM可以将用户的登录信息转发到SSG,再由SSG将这些信息转发到AAA服务器(当SESM在RADIUS模式下运行时),或者在SESM在LDAP模式下运行时转发到SESM的RADIUS-DESS代理(RDP)。 当SSG接收到有效的访问请求(Access-Request)之后,它就将其转发到RADIUS服务器。如果用户身份无效,则AAA服务器或者RDP就会发送一条拒绝访问(Access-Reject)消息。如果用户合法,则AAA服务器或者RDP就向该用户发送一条接受访问(Access-Accept)消息,同时包括该用户有权访问的业务类型信息。SSG允许用户登录进入,在内存中创建一个主机对象,并将请求发送给SESM或者下行NAS。 根据接受访问响应的内容,SSG可以为每个用户的每种自动业务创建一条合适的连接,或者,它还可开始计算的RADIUS时间以及连接使用流量。当SSG同SESM一起使用时,SESM可以给出一个授权用户使用的业务的清单,用户可以选择其中的一种或多种业务。接下来,SSG为用户创建一条合适的连接,作为可选项,还可开始计算的RADIUS时间以及连接使用流量。SSG使运营商可以为某种特定业务配置一个临时计费时间间隔。SSG计费程序可以发送计费、审计和报告等信息。Radius收集的原始计费信息可以进一步和OSS系统集成。 五、WLAN网络方案实例 由于实际应用中WLAN的认证和计费过程密切相关,在此以思科产品为例,给出一个WLAN方案实例,如图2所示。 图中,WLAN用户认证采用WEB方式。接入控制设备(AccessController,AC)由SSG(业务选择网关)和SESM(用户边缘业务管理器)构成,在各个节点配置一台Cisco7400作为SSG,这样可以避免租用长途连接、可以灵活地实现各种网络控制(如:NAT等等功能);而SESM系统仅配置一套,便于集中管理,它们是认证和计费的关键所在。该设备在因特网和无线接入局域网之间充当网关(Gateway)。对用户的认证、对网络的实时监控和搜集计费信息进行管理,是一个具有支持各种路由协议和支持众多网络管理功能的路由器。它可以直接与认证服务器相连,或者通过RADIUS网络与其相连。与认证服务器或标准的RADIUS服务器相连可实现用户名/密码认证、漫游和计费等功能。 接入控制器应用了DHCP(Plug &Play)+ Web Portal + Radius的接入和认证技术。采用DHCP + Web Portal + Radius的宽带接入环境里,用户的IP地址可以通过DHCP获得或者由运营商分配固定IP地址,用户的认证则是通过用户浏览器来完成的,不需要另外再安装客户端软件。对于移动场所的用户(例如酒店),该产品实现了即插即用(Plug & Play),用户无需改变自己的网络配置,与网络物理连接后,可以象DHCP或固定分配地址的用户一样,直接通过认证上网。 六、结束语 运营商部署WLAN所要考虑的主要问题就是网络的稳定性、可用性和网络计费功能正常运转,即认证和计费。部署WLAN被形象地比作将网络交换机端口放在门外。本文以思科公司的产品为基础,重点阐述了WLAN业务中运营商最为关心的有效的认证和计费策略及流程,并给出了实用的例子。 现阶段,结合了无线和宽带两项技术的WLAN在运营商眼里无疑意味着市场与机会,是不会轻易放过这个使现有网络获得新的赢利的大好机会的。从WLAN诞生的那天起,就伴随着众多运营商追逐的脚步。部署热点WLAN、探索新的电信业务运营模式、推动无线宽带产业发展,运营商们正在以不断的热情和行动实践着这个梦想。 参考文献 [1]《无线数据传输网络:蓝牙、WAP和WLAN》Gil.Held著 人民邮电出版社 2001 [2]《应用于移动环境中的WLAN接入网结构》 谈振辉著 中兴通讯技术(简讯) 2003 ,2 [3]管理Cisco网络安全 Wenstrom著 人民邮电出版社 2001 [4]Cisco安全体系结构 赫尔德 机械工业出版社 2001 AuthenticationAndAccountingfor WLAN YangRong (DepartmentofC.E. ,Nanjing Post&Telecom University Nanjing 210003) Abstract:WLANisthecombination with computer network and radio communication.To operator,it is the supplement of access network.Because of its mobility and flexibility ,it got much attention,so it has great operation foreground.In this letter,we first introduced the basic of WLAN,then we offered the scheme and flow for anthentication and accounting when an operator want to offer this service on Cisco production. Index:WLANSESM Radius Sever Authentication Accounting
