溯藉产蓍蓠3翁111缀互操作分析
叶朝阳华信邮电咨询设计研究院有限公司
【摘要】文章从组网方案、认证机制和漫游机制等角度出发,对wLAN与3GPP网络融合的相关问题进行探讨和分析,并展望了未来“无线城市”的美好蓝图。
【关键词】WiFiWLANUMAEAP—SIMgAP—AKAIAPP无线城市
l前言
WiFi为IEEE定义的一个无线网络通信的工业标准(IEEE802.11)。WiFi第一个版本发表于1997年,其中定义了介质访问接入控制层(MAC层)和物理层。物理层定义了工作在2.4GHz的ISM频段上的两种无线调频方式和一种红外传输的方式,总数据传输速率设计为2Mb/S。随后的802.11的补充标准还包括:802.1la,物理层补充(54Mb/s工作在5GHz);802.1lb,物理层补充(11Mb/S工作在2.4GHz);802.119,物理层补充(54Mb/S工作在2.4GItz)等。1999年业界成立了WiFi联盟,致力解决符合802.11标准的产品的生产和设备兼容性问题。随着802.11技术的不断成熟,WiFi正在成为无线接入以太网的主流技术,WiFi几乎与WLAN和IEEE802.1lb成了同义
词。在短短的几年时间里,WLAN已经在市场上获得了巨大成功,根据wiFi联盟的调查显示,支持wiFi无线网设备在在2005年增长了64%,突破1.2亿部,全球售出的笔记本电脑总数中90%的产品都具备了WiFi无线网络功能。智能手机集成WFi功能也越来越普遍,如国内的多普达智能手机,苹果公司最新发布的iPhone等均装备了WiFi功能模块。全球WiFi热点数量在2005年增长了87%,达到10万个,国内运营商的WLAN热点部署也正在紧锣密鼓地展开,如中
收稿日期:2007年9月5日
责任编辑:熊柳潜XIiuqian@mc21stcorn
国电信的“天翼通”、中国移动的“随e行”、中国网通“无限伴侣”等等。
从技术的发展趋势来看,WLAN的技术热点主要集中在三个方面:VoWLAN、MeshWLAN和802.11n。其中802.11rl作为下一代WLAN标准可以将传输速率提高到100Mb/S~300Mb/s;VoWLAN重点是解决WiFi手机在移动和漫游时的质量问题,包括在两个WiFiAP之间快速切换,以及在3G、WiFi、WiMAX不同的无线网络之间切换。为了实现不同网络之间的无缝漫游,Intel和Nokia为主的两大阵营分布提出了802.21、UMA(UnlicesedMobileAccess)技术。2004年3月,IE
EE成立了802.21工作小组,802.21技术目的在于促使WiFi、WiMAX及3G网络之间能无缝切换,保证通信不中断,但目前该技术并未被IEEE列为正式标准。而由GSM主导运营商和手机终端厂家联合倡导的UMA比802.1l走的更远,UMA强调GPRS、3G与WiFi网络之间的无缝漫游,2005年9月,3GPP正式接纳UMA的技术规格,将UMA纳入了3GPPR6标准体系中,目前市场上已经有终端厂家推出了基于UMA的3G—WiFi双模手机,如Nokia6136、HPiPAQ500等。MeshWLAN技术标准的主要制定者是wiMesh联盟和SEEMesh组织,并且标准化工作主要集中在802.11S工作组中。在802.1lS中,除了AP问的互通外,还要解决Mesh网络各节点的互相认证问题,预计在2008年初正式推出。相对于WiFi,Mesh
翌堑型200薪7一目
.1
1_ 万方数据
隧l目留盥坠………………——型竺塑坚坚
WiFi技术茬组网方式、传输距离以及移动性上都有很大的改进,它能够在某一城市地区或大型园区的整个范围内,实现wiFi麴情况扩展尊延伸。将多个接入点通过无线方戏连接起来,无需进行布线,就可形成~个无线阏络或“热黻”,从而在室内和室外提供非常宽广的无线覆盏。
wiFi以及MeshWiFi很好地弥羚了3G耀终在数挺豢宽上的不足,同时又大大提高了目前广泛皮用的WLAN网络覆盖范阐和移动性,将成为构建“无线城市”的关键技术。本文主要甄弱终缝织、认证孝鼹制、漫游褫割等方瑟分辑了WLAN与3GPP网络的互操作机制。
2
Wi“一3G置通组阋方案
前言所述的WLAN与3GPP的互通方案UMA,即j}信
任终端接入,其组网穷案原理如图l所示。豳前国外运管商
图1
UMA的WLAN一3GPP融合方寨搜狐视频如何下载
3GPP网络,警受移动网络的语音和数据服务。困丘匕,如何实现终端在异质网络之间的无缝漫游成为网络可运营和良好溺户体验的关键。在弱络建设的不强阶段,存在以下几类实现模式:
◆WiFi仅作为终端的无线上网功能,不实现切换和漫游,与移动嬲缭手动切换;
◆WiFi作为移动网络热点覆盖的补充,提升网络带宽,与移动网络无缝切换;
◆WiFi覆盖区域肉酃送行无缝切换,嗣露在爨熹边缘与移动网络无缝切换。
以下是第一类实现模式的一个实例。
莱厂家穰据U磁A秘3GPP相关羧茏齐发了城域宽蒂霸和3G核心网之间的转换和控制设备SIP网关。在网络结构上,SIP网奖所处位置与3GRAN中的RNC类似,它通过
Uw接臼与双摸终端连接,递过标准鹣ltl接日与3G核心网相遣,完成城城网宽带网络与3G核心网之间的信令转换和编码转换。该方案类似于上述的第一类模式,在未来的版本中,可以实现第二燃模式。该方案的组网阌如图2所示。
◆WiFi~3G双模终端通过WiFi空中接口,裉据SIPGW指定的SSID连接至AP;
◆WiFi
AP通过ADSL链路遣接至宽带城
域潮熬DSLAM;
◆DSLAM通过PVC或VLAN和BRAS服务潞
连接,建立终端的宽带链路;
已经开展了类似业务,如BT开发了基于臻F黢鹣GSⅪ弱终鞫WiFi潮络之间互通的BTFusion业务。
双模手机通过WiFi网络接入3GpP溺终豹CS域翻pS域,SGW作为安全网关实现WLAN终湍与AAA服务器之间的认证、鉴权和计费功髭,黼对AAA鞭务器与移动黼的HLR同步用户基本数据。通过ANC(接入网控制器)实现终端的CS域和pS域揍入。在WiFi热点(Hotspot)区域,双模终端可成接接入Internet,享受高带宽服务;而在菲WiFi热点区域,则可切换至
圈2
WiFi与3GPPR4鞠络之闻的互逯方察示例
酩2007坠,11噬
r“。爨任编辑:熊攘潜xtiuqian@mc21
st.corn
万方数据
一一……………j塑划豳目翟
◆B戳≮S疆务器邋过IP网络翟SIPGW《零配嚣公爨
地址)连接,并在BRAS上做特殊的路由设凿,将特窀AP的所有流量路由至SIPGW;
◆SIPGW通过标准酶{H—eS寒Iu一壬)S接墨分翔搂入移动核心网的电路域和分组域,通过Uw接口经由城域宽带网与双模终端相连。
运过以上鳕鼹方式,sIp掰关模攮TRNC蕊功麓秘接
口,共用了3G核心黼的用户数据和鉴权机制,以及核心处
理设备(HLR/Auc、SGSN/GGSN、MSCServer),髑户
可以在无线信号较弱或没有覆蕊的区域,潺避WiFi热点接
入3G核心网,不但继承了3G核心网的所有网络和功能,而且,可以遗过蠹置的WiFi功键单元实现无线竟蒂上嬲。
3
时间是让人猝不及防的东西W珂i一3G置通认证机制
WLAN秘3GPP鼹终懿憝食,统一戆认诞是最荧关键翁
一步,也是提供可遮营WLAN网络的基础。根据3GPP与WLAN互通的安全辩求,对于用户和网络的安全认证、密钥
篝瑾、数务授援鞫裸爨柽,3GpP提基了捆美褪餐,蕻中安
全机制盎要有以下两种:
◆基于GSMSIM的EAP~SIM认谜,基于现谢的
GS麓一Sj麓过程,在3GPP系统互逶孛,通辫酶试证枕翩懿
EAP就能支持这种方法。
◆基于SjM/USIM的EAP~越丛认涯机制,可以支持现寿3GPP/3GPP2酶认证积蜜钥协商《A童弧》过程,逶霉
的认证机制如EAP就能支持这种方法。
3。}EAr’~SIM安垒谈囊税裁电脑连接WIFI显示无INTERNET
802,lx是基于端口的访问擒制协议,可隧IEEE802系列标准的局域网提供一个开放的验
证架构,使得无线局域
弱易于扩鼹雳户和潮终,并提供一张分毒处理、集孛篱瑾的
验证功熊,其体系结构包含三部分:
◆申请者(Suppliant),~般是指客户端软件,嶷持
EAP瓯协议,爱户终端通过寓动该较侮发起802,lx捺议戆
认证过程;
◆认{芷者(Authenticator),通常是支持802.1X协议懿霜终设备《燕矗P),该设备捷鬻受茬蒜国僳证薅户认{委攫
权前后的接入;
◆认涯服务器(AS),通鬻使用RADIUS服务器是UE魏认证终点,矗S存储有关信惠《娥廷户蘸篮务参数》、掰震VLAN、优先级、ACL列表等。
802.1x的核,§认证协议跫可扩曩认谜撼议《EAP),
责在编辑:熊樱潜x{iuqian@mc2t
情人节送什么st。COrn
嚣Ap逶鬻是蛊接运行在数据链路基始PPP或IEEE802之上。GSM认证的认证过程如图3所示:
},)|IVl
BaseStation
卜磁
S弑芝S
l
A3tA8
.一一~I・Ke
7l
恿3
GSM谈证的认证过程
EAP—SIM是构建程上述GSM~SIM认诚基础之上,
它是~种基于按战/响应豹认证秘密钥分发枕裁,需要一
个预先共享酶128bit对称密锈(Ki),EAP—SlM通过被
认证者发挑战(NONCE__MT)支持双向认证。EAP—SIM
麴认证过程娲蕊4囊示:
臣亟国
(2)EAPRequest/Identity
(3)EAPResponse/ldenti《基于IMSI或捺瓣黎谖;
连
([)EAPRequesttSIM—Start
■●—--——・——————————-—-—-—————————————一
(8)EAPResponse/SIM—Start
(NONCE—MT)三国英传7全攻略
(13)EAPResponse/
slM-Challenge(RAND
MAC,加密l|艇辑寸标识》
{4
l
l(15)EAP
Response/SIM—
Challenge(MAC—SRES)
(19)EAPSuccess
(5)EAPResponse,fdenlity(基于IMSI或懈时标识)
f6)EAPRequest/S{糙一Start
(9)EAPResponse/SIM—Sta
(NONCE一一MT)
(12)EAPResponse/
SIM—Challenge(RAND
MAC,加密临时标识)
C16)EAPResponse/SlM—
Challenge(MAC_SRES)
《18)EAPSuccess17
(Keyingmaterial)
1
图4EAP—SIM的认证
({)~(3),WLAN建户使露无线瓣卡与WLAN/AP
建立连接,启动802.1x认证,需要获得相关储息(如用户接入标识NAt、羯户ID)。
憋2…007。.1
1
El
万方数据
睡目署旦堕——~一
(4)一(6),WLAN/AP根据NAI来选择所要使用的
3GPPAAAServer,将EAPResponse的用户标识转发给
AAA
Server,AAA
Server收到后向WLAN/AP发送
RADIUS
Access—Challenge报文,其中包含EAP
Request/SIM—Start报文,表示开始EAP—SIM认证。
(7)~(9),3GPP
AAA
Server获得EAP—Response/SIM—Start报文,得到相应的128位随机数
NONCE—MT。
(10)~(11),3GPP
AAA
Server开始检查该用户是否
有N(2或3)个可用的认证三元组,如果没有足够的三元组,则通过No.7信令向HLR发送MAP
Send
Auth
Info报
文获取N组鉴权集(SRES/RAND/Kc)。使用N个三元组的目的是为了生成更长的SesSionKey。3GPP
AAA
Server还检查数据库是否具有WLAN接入用户签约信息,若无,则从ItSS/ttLR中获取,同时3GPPAAA
Server检
查用户是否已签约了WLAN业务。
(12)~(13),若满足要求,则从NONCE—MT和N*Kc
密钥中依据配置取N为2或3,将N组RAND串起来后生成一个N,RAND,根据规定的算法生成4个密钥K
sres,
K—int,Kency和SessionKey,并利用K—int根据
规定的算法生成AT—MAC,同时根据Ksres生成
MAC—SRES。之后,AAA
Server向WLAN/AP发送
RADIUS—Access
Challenge报文,WLAN/AP拆封后
的EAPResponse/SIM—Challenge报文发送给认证
客户端UE。
(14)~(19),完成双向认证。认证客户端根据每个RAND为128位的特点,将N解析出来后,依据和AAA同样的算法得出K
sres,K—int,K
ency和Master
Key。
利用和AAA设备同样的算法得出AT—MAC,并与AT—MAC进行比较,如果一致,表示AAA设备认证通过。再利用K—sres作为Key,用规定的算法生成MAC—SRES,
通过EAP—Response/SIM~Challenge发送给3GPP
AAA
Server。AAAServer利用本端产生的Ksres作为
密钥,用和客户端同样的算法生成MAC—SRES,并且与接收到的MAC—SRES进行比较,如果一致,表示客户端认证
通过。然后把EAP—SUCCESS消息传送客户端UE,并且使用扩展RADIUS协议通过MS—MPPE—SEND—KEY将生成的SESSION—KEY发送给WLAN/AP通知认证通过。
至此,客户端可以与WEAN/AP之间开始进行可靠的会话。同时AP通过RADIUS
Accounting—Request
(Start)报文通知AAA或者专用的计费服务器开始计费,
日一芝斋静蚴含有相关的计费信息,AAA使用RADIUS—Accounting
—Request(Start)向WLAN/AP响应进行确认,表示计
费开始。在用户使用过程中,为了保护用户计费信息,
WLAN/AP每隔一段时间就向AAA上传用户的计费信息。
当WLAN/AP接收到UE的拆链请求时,向AAA发送计费
结束报文。AAA确认WEAN/AP的计费结束报文。
3,2
EAP—AKA安全认证机制
AKA(Authent
ication
andKeyAgreement),即认
证与密钥协商,是基于USIM的,在客户端的USIM和运营商的HLR之间共享一个密钥,这个密钥是在制造USIM时一次性写入的,并且受到USIM的安全机制保护,无法被读出。因此对USIM的破解难度很大,在实际应用当中,被公认为是安全强度很高的一种认证体系。
由于AKA认证的优越性,WLAN网络将其引入作为验证用户身份的算法。WLAN的网络接人认证通常采用802.1X+RADIUS的体系结构,认证方法常用EAP—MD5,
EAP—OTP,EAP
TLS等,于是就产生了EAP—AKA认
证机制。AAAServer维护所有用户的认证和权限信息,运行EAP—AKA服务器端软件,负责对用户的合法性进行验证。客户端装备了UICC(USIM集成电路卡)和USIM卡并运行EAP—AKA客户端软件的电脑或者支持WLAN的手机。
EAP—AKA是基于EAP协议来传递消息的。因此认证
的两端一一客户端与服务器端之间采用EAP协议进行通
信。EAP报文在从客户端传递到服务器端的过程中,需要穿越几个网络:客户端发出的EAP报文首先通过WLAN网络传递到AP,再通过以太网传递到WLAN/AP,最后通过IP网传递到AAAServer,即EAP服务器端。服务器端向客户端发送EAP报文则经历相反的过程。因此,客户端与服务器端之间的网络WLAN、以太网、IP网需要为EAP报
文提供承载。WLAN与以太网一样是二层网络,并且向上层
提供了相同的LLC(逻辑链路控制)层,因此,对EAP协议来说,可以看作是EAP报文从WLAN/AP传递到服务器端时需要穿越IP网。而WALN/AP与AAAServer之间采用RADIUS协议来传递认证、授权、计费信息。因此可以利用RADIUS协议作为承载,将EAP报文封装在RADIUS协议报文的属性中进行传递。EAP—AKA认证过程入图5所不。
客户端发起的认证过程如图5所示,具体流程如下:(1)客户端向WLAN/AP发送EAPOLStart启动认
证流程;
责任编辑:熊柳潜xIiuqian@mc21st
corn
万方数据
图5EAP—AKA认证过程
(2)WLAN/AP自客户蠛发送EAP—Packet/EAP—Request报文请求获取用户标识;
(3)客户端回复用户标识(永久标识戏临时标识);
(4)WLAN/Ap将蘧EAP掇文封装到RAD{US掇文中,以Access—Request报文发送给服务器;
(5)AAA服务器根据认证算法,生成认证矢量,并将认{歪矢邀装载至lEAP豹藩性中,然磊搀EAP攘文装载弱RADIUS报文中,用AccesS—Challenge报文发送给WLAN/AP:
(6)WLAN/Ap双RAD|US攘文审撬黻塞EAP缀文,传递给客户端;
(7)客户端采用验证算法验证网络的合法性,并计算出晌应RES发送给WLAN/AP;
(8)WLAN/AP把EAP报文装载到RADIUS报文中发送给服努器;
(9)3GPP舭溶Server开始检查该用户是否有N(2或3)个可用的认证五元组(RAND/XRES/CK/IK/AUTN),如果没有鼹够的五元缀,列通过No.7信令翱HLR发送MAP—Send—Aut}Llnfo报文获取N缱鉴权集。使雳N个五元组的目的遐为了生成鞭长的SessionKey;
《10)3GPPAAAServer还检查数据痒是露具有责任编辑:熊期潜×|iuqian@mc2{stCOrnWLAN接入用户签约倍意,妇无,瓣从HSS/HLR中获激,阎时3GPPAAAServer检查用户是否已签约了WLAN业务;
(11)服务器端验诫响应正确滕,向wLAN/AP发送Access—Accept报文通知WLAN/AP认证通过,并附带主会话密钥(MSK);
(12)WLAN/AP向客户荒发送EAP—Success通知客户端认证通过。客户端使用密钥CK和IK计算处MSK,作为IEEE802.1li或WPA等安全体系中对搌文加密所震的密钥使用。
4WiFi~3G互逶漫游枧制
WLAN移动性管理主要解决以下两个问题:
◆同一子网(域)内UE在不同AP之间的漫游问题(WLAN肉);
◆不同子网(域)闻的漫游(WLAN与3GPP间)。4.1WiFi域内漫游
在IEEE802.1l巾说鹎了UE可以在蔺一ESS(扩袋监务集)内的Ap之间进行漫游,但
朱对UE漫游时AP之间舆体的通信流程敛出规宠,赦不同厂家在实现AP闻漫游曩寸均采用了私肖协议,这对运营商的缓网带来了豳难。为此,IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践憋标准)。
802.1lf定义了同一ESS中Ap的登录,以及UE从一个AP切换剿另一AP时,AP之间交换信息。802.1lf所定义豹IAPP协议(InterAPProtoc01)在lp层上规定了AP之问以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共用的DS中交换信惑、送行曩搡{乍。霞时亦透过lAPP寒影响第二层滔终设餐的操作。802.1lf要求在RADIUS服务器中存放有域内备AP的基本信息,如基本服务集标识(BSS—ID)、IP地址以及UE接入鲍认证蜜锎。定义了lAPP后,U嚣与AP建立连接分为两种情况:
教师节美言美句(1)UE在AP之间切换(“重新连接”)
当UE献一个BSS转移蜀勇一个BSS时,UE发墨“蓬新连接”请求,新的AP将从RADIUS中获取I豳AP的IP地址和接入蜜钥,然后与|嗣AP进行交换并获得该UE的鉴投认证信息、临时IP地址、MAC地址等资料。最后,耨AP还将通知DS中二层网络设备(如以太网交换机)修改路由表,从面宠袋一次漫游。
丝型2007L.11固_
万方数据
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论