【大学】研究生信息通信：无线lan移动接入网

1、整理课件无线无线LANLAN移动接入网移动接入网整理课件摘要本文主要介绍OWLAN结构、主要系统单元及功能，重点是基于SIM的鉴权、计费和漫游机理，可作为面向全IP网络的过渡方案。整理课件前言由于Internet下载流量往往超过蜂窝通信网的传输容量，移动通信运行商正在寻找一种公众无线接入方案，解决既可以提供以数据为主业务，也可以平滑接入Internet获得数据业务。无线本地网 (WLAN) 技术可提供比蜂窝通信网更宽的带宽业务，运行商WLAN(OWLAN-Operator WLAN)系统利用GSM基础设施和漫游协议，以WLAN接入技术结合GSM用户管理和计费机理,使移动用户在不同运行商的接入网

2、间漫游。整理课件二、OWLANOWLAN系统组合多种无线通信技术，它含有公众LAN接入网和采用IP骨干蜂窝移动通信网,保留与现存GSM/GPRS核心网漫游和计费功能的兼容性，从终端到蜂窝通信网侧采用GSM用户认证信令，GSM SIM(Subscribe Identity Module)仍用于WLAM的用户管理，无线LAN向全IP业务演进的OWLAN系统可作为应用于移动环境中全IP业务的基础设施。整理课件OWLAN系统结构如图1示意，含有鉴权服务器(AS-Authentication Service)，接入控制器(AC - Access Controller),接入指针(AP-Access Po

3、int)和移动终端（MT - Mobile Terminal）。OWLAN系统中AS、AC、AP和MT分别对应于GPRS系统中SGSN、GGSN、BTS和移动终端，两者之间主要差别是OWLAN控制信令和数据送至蜂窝核心网，接入控制器把用户分组数据送到IP骨干网。由于，用户IP流量并不通过蜂窝核心网再送至本地网，从而避开GPRS因漫游而带来的系统复杂问题。整理课件整理课件三、系统组成图2示意OWLAN系统组成及其接口。整理课件整理课件31 鉴权服务器 :鉴权服务器用贮存在SIM卡中国际移动用户身份 (IMSI) 码来识别用户，不断地检查是否有用户已漫游登录到WLAN业务上，以SS7信令把鉴权信息

4、送至HLR，运行鉴权，确认和计费（AAA）的RADIUS (Remote Authentication Dial In User Service) 的鉴权协议，与接入控制器联络。当用户拆线时，鉴权服务器从接入控制器中把接收计费数据打印出收据帐单。32 接入控制器: 接入控制器作为无线接入网和IP核心网间的网关，安排移动终端的IP地址，提供已鉴权移动终端的IP地址表，监视输入/出IP分组地址，排除非鉴权移动终端的数据。整理课件33 无线LAN接入点: 无线LAN接入点在移动终端和固定LAN间提供无线Ethernet链路，作为共享的无线接口。34 移动终端: 移动终端以预先定义含有漫游的网络特征来

5、检测漫游移动终端，具有SIM和SIM鉴权软件的终端以WLAN无线接入能力获得OWLAN业务。移动终端既可采用具有集成SIM阅读器的WLAN卡，又可采用外部扩展WLAN卡。整理课件四、鉴权，付费和接入运行 图3示意OWLAN控制平面结构。OWLAN控制平面结构中的移动终端含漫游控制模块，它给用户提供漫游业务控制接口并与SIM卡联络。图中特有的接入鉴权记账协议（NAAPNetwork Access Authentication and Accounting Protocol）含GSM 鉴权消息，它采用用户数据报协议（UDPUser Data gram Protocol）来重传连接。整理课件整理课件

6、接入控制的关键是接入管理器，它控制IP路由并汇集计费统计数据。RADIUS协议携带SIM的鉴权参数，利用RADIUS协议发送计费数据。 鉴权服务器中重要模块是鉴权控制器，它处理RADIUS协议中鉴权消息并与GSM联络，能把计费数据直接送到各种付费系统的FTP接口。计费网关接收和存贮来自接入网的计费信息，用GTP付费协议与GPRS计费网关接口整理课件 OWLAN系统的鉴权，付费和接入安全等过程：41 鉴权OWLAN系统的鉴权是基于SIM机理，接入控制器作为移动终端与鉴权服务器间接口赋予移动终端用户个人身份号码（PINPersonal Identity Number），SIM卡和用户身份号码都用P

7、IN码来加密。基于SIM的OWLAN系统鉴权如图4示意：整理课件整理课件1 移动终端发出其所归属接入控制器响应的NAAP消息；2 接收到接入控制器的IP地址后，移动终端向接入控制器发出鉴权申请，接入控制器的IMSI被封装在网络接入标识符（NAINetwork Access Identifier ）内；3 接入控制器和RADIUS把鉴权申请送至鉴权服务器；4 鉴权服务器从本地位置寄存器中提取GSM有关字节5 6. 鉴权服务器给移动终端发出RAND，并在RAND上计算鉴别移动终端的消息鉴权码；整理课件7 移动终端计算消息鉴权码并与从网络接收来的码进行比较。假如两者不一致，中断并怀疑为欺诈性业务，拒

8、绝其鉴权申请。使攻击者不可能从IMSI中提取RAND和签字响应SRES (Signed Response)，也不可能从存贮在SIM卡中提取安全钥；8 移动终端利用SIM卡中的算法计算SRES和消息鉴权码；9 移动终端把计算结果送至接入控制器；10. 接入控制器把响应送入鉴权服务器11. 鉴权服务器用SRES计算消息鉴权码再验证响应；12. 鉴权服务器把鉴权结果码送至接入服务器；整理课件13. 假如鉴权结果是正确的，接入控制器给鉴权服务器发出指示，建立新会话；14，15. 接入控制器安置分组数据路由并发出应答信号。 鉴权中断有下述原因：HLR中不含有IMSI，接入操作器不支持IMSI的漫游，鉴权

9、服务器没有接收到来自HLR关联字节，移动终端停留在非鉴权状态，接入控制器不安置终端IP流量的路由等。整理课件42 计费和付费 接入控制器监控数据流量并周期地给鉴权服务器发送流量统计信息，计费流量统计方法有下述机理：1. 基于连接开始和终止时间；2. 基于传送数据流量；3. 基于平直速率。整理课件鉴权服务器把计费数据转换成标准的GPRS计费数据格式（CDRCharging Data Record）,鉴权服务器确证接收到与鉴权终端有关的计费数据，确保通信联络没有确证前不会产生计费记录。在接入控制器和鉴权服务器间传送数据采用IP安全（IP Security - IPSEC）协议加密。整理课件43 漫

10、游至外来WLAN网络不同于Internet业务运行，OWLAN系统用同一设施和机制来支持不同接入网间和运行网间的漫游。图5 示意在OWLAN系统中的漫游机理，其工作流程如下：整理课件整理课件1. 漫游移动终端连结相关外来运行商的WLAN，并把鉴权申请发给接入控制器，接入控制器再把鉴权申请送至鉴权服务器；2. 鉴权服务器验证IMSI，利用GSM SS7网给HLR发出鉴权查询.；3. 对应的HLR以用户和鉴权关联字节进行计算鉴权，直至漫游移动终端拆线，鉴权服务器才给付费系统发出计费记录；4. 计算IMSI码用于漫游移动终端的CDR，付费系统把WLAN CDR发至漫游移动终端本地付费系统并给出帐单。

11、整理课件4.4 用户远程安全接入 OWLAN系统利用无线LAN接入网中移动用户建立终端与终端，终端与对应网间的加密连接来保证商务关键信息的安全性。整理课件五、系统升级性和鲁棒性运行网络必须提供足够冗余特性来提高OWLAN系统容错能力和恢复网络运行的鲁棒性。一个最小化 OWLAN系统至少应有两个鉴权服务器，采用图6的RADIUS代理可提高系统容错能力。图6接入控制器连接两个RADIUS代理，其中一个为主,另一个为副。假如鉴权服务器没有应答接入控制器的消息,副RADIUS代理把消息送至副鉴权服务器。在发生差错情况下, 冗余IP路由和RADIUS代理确保鉴权服务器之间的无隙缝交换。在主接入控制失误或超负