相关专题:
当前,无线局域网应用市场日趋成熟,随着越来越多的企业用户使用无线局域网,无线网卡逐渐成为笔记本电脑的标准配置,无线局域网的使用人数会迅速上升。同时其它一些无线宽带接入技术如MMDS、LMDS也发展迅速,为公众无线宽带接入网络的建设提供了多种灵活的方法。
无线接入技术具有灵活、建网迅速、个人化等特点,将这一技术应用于电信网的接入网领域,能够方便、灵活地为用户提供网络接入,无线接入适合于用户流动性较大且有较多的数据业务需求的公共区域(如机场、大型会展中心、高级宾馆等),需要临时快速建网的场合以及难以采用有线接入方式的环境等。可见,建设公众无线宽带接入网络是非常有前景的。
为了提供公众无线宽带接入网络(PWBAN)服务,本文结合现有的宽带接入网络提出了几种对公众无线宽带接入控制模式的建议,并阐述了公众无线宽带接入用户识别、漫游、接入安全等重要功能。
一、无线接入技术的适用特点
WLAN可以组成的网络结构有:移动终端间直接通信的对等网络(Adhoc网络);移动终端通过无线接入点(AP)转发完成通信的Infrastructure网络。通过AP,无线网络可以和有线网络进行通信。IEEE802.11b使用直接序列扩频技术,空中传输速率最高可达到11Mbit/s,调制方法采用补偿码键控(CCK)。多速率机制的媒质访问控制确保当工作站之间距离过长或干扰太大、信噪比低于某个门限时,传输速率能够11Mbit/s自动降到5.5Mbit/s,或者根据直接序列扩频技术调整到2Mbit/s和1Mbit/s。
3.5GHz固定无线接入可以基于电路方式、IP方式、ATM方式或组合方式来提供各种业务。3.5GHz系统应充分考虑到其覆盖半径较大(通常可达10km以上)、雨衰较小的特点,适合作为快速提供业务、成本较低的竞争手段。由于可用频段有限,主要用于较低容量和业务速率要求的数据业务接入,以及用于未来移动通信系统无线网络的传输电路;也可以作为提供普遍服务的手段之一。
LMDS系统工作频率范围在20GHz以上,采用扇区制,下行为一点对多点,上行为点对点。LMDS技术适用于宽带业务需求高、用户密集的热点覆盖,以及用于未来移动通信系统无线网络的传输电路;业务覆盖半径通常在0.3~3.0km范围内,要特别注意雨衰对电路质量的影响。
二、公众无线宽带接入模式
1.现有宽带接入服务
通常,宽带城域网中的BRAS终结接入层的功能并把用户流量汇聚到骨干层(或互联网出口)。现有的宽带网络接入有三种形式。一种是基于以太网技术构建的宽带接入网络,采用固定IP地址的专线接入或PPPoE拨号,以太网交换机负责将流量汇聚到分散布置的宽带接入服务器(BRAS)中再连接到骨干网络上;第二种是采用ATM技术上行构建的ADSL接入网络,也可以用固定IP地址的专线接入或PPPoE拨号,ADSL接入网络是以ADSL作为接入手段,经过DSLAM设备复接到ATM网络或IP网络,最终汇聚到分散布置的宽带接入服务器(BRAS)中,由BRAS控制用户接入互联网;第三种IP上行的ADSL接入方式,则融合了上两种技术来实现宽带接入。
2.公众无线宽带接入控制模式
公众无线宽带接入网络的逻辑结构如图1所示,其中无线业务网关可集中设置在IP城域网的汇聚层,也可以分布设置在每一服务区内,主要完成用户控制管理功能(如AAAClient等),也是用户无线特性的最高终结点。无线接入业务网关的逻辑功能在具体实现上可与其它有线接入方式使用共同的设备。边缘接入设备的主要作用是汇聚多个无线接入设备的流量,无线接入设备向用户提供无线接入链路,并承担相应的链路级接入功能。用户通过无线接入终端接入电信网络(直接或通过用户驻地网),用户管理平台、业务管理平台、接入网络的管理可通过IP网实行集中式管理。
无线宽带接入网络技术方案的选取可以依据使用场合、用户规模、城域网现状、提供的业务、经营模式、有线中继网络的可用性等因素综合考虑。根据无线接入业务网关在宽带接入网中的位置,无线宽带接入网的网络结构可分为集中模式和分布模式两种。
集中式结构是将无线宽带接入网接入的流量通过中继网络汇聚到相对集中的一个或多个无线接入业务网关。每个接入服务区通过以太网交换机或ADSL接入网络汇集无线接入设备的流量,多个服务区的流量通过IP城域网汇聚层汇聚到无线接入业务网关,并在其控制下向上转发。采用集中式结构时,所有用户数据流量必须经过数量较少的、网络位置较高的无线接入业务网关,容易形成瓶颈,对设备性能要求较高,但这种方式需要的无线接入网关数量较少,用户规模不是很大时,与分布式方案相比有一定的经济性。
分布式结构是采用接入中继网络,如二层以太网交换机或ADSL接入技术等,汇聚多个无线接入设备的流量,联接到设置在每个服务区的无线接入业务网关。无线接入业务网关上行可直接接入IP城域网的汇聚层。分布式方案结构层次清楚,对上层设备的压力较小。与集中式方案相比,流量可在最近的地方进入IP核心网络,效率较高。组网方式相对独立,具有更多的灵活性,可以较快地开通业务。多个服务区需要多个无线接入业务网关,成本较高,适用于具有较大规模用户的公共场合,并可提供区域性服务。
考虑到业务发展初期,无线宽带接入的服务区分布可能比较分散,为降低成本,结合现有城域宽带接入网的结构,无线接入业务网关最好共用邻近地区的IP城域网宽带接入服务器,可以直接把城域网的宽带接入服务器作为无线接入业务网关。这种方式保持了现有宽带接入网清晰结构,但对宽带接入服务器的要求较高,必须具有虚拟路由器功能,具有识别不同物理网络或逻辑网络的能力,并能根据物理端口、VLANID、ATMPVC、IP地址等提供相应的不同业务要求及相应的控制能力,以便后台计费软件通过识别这些参数就可以区分普通宽带接入用户还是WLAN用户。
三、相关问题分析
1.无线用户识别
公众宽带无线接入需要通过无线接入技术连接到城域网的汇聚层,为用户提供访问城域网或互联网的服务。服务提供商希望能充分利用现有的城域网资源,共用后台业务系统、用户管理系统及某些接入中继,同时又为有需要的用户提供无线接入服务,这就要求接入系统支持用户使用原有的帐号接入公众无线宽带网,但以不同的业务种类提供服务。因此对于同一个用户帐号来说,必须识别出用户此时是否是通过公众无线宽带网接入的,对于是利用公众无线宽带网接入的用户,应该按照公众无线宽带网的资费标准来计费,否则按照通常的宽、窄带接入资费标准来计费。
确定用户的上网方式的途径分别有以下几种。
LAN接入:接入交换机上连到城域网的宽带接入服务器,记录用户上连的VLAN号并发给Radius服务器,Radius服务器通过特别的VLAN号识别WLAN用户。
ADSL接入ATM上行:宽带接入服务器记录用户上连的PVC号并发给Radius服务器,Radius服务器通过特别的PVC号识别WLAN用户。
ADSL接入LAN上行,宽带接入服务器记录用户上连的VLAN号并发给Radius服务器,Radius服务器通过特别的VLAN号识别WLAN用户。
2.漫游
公众无线宽带接入服务其中一个非常有用的特性就是移动性,所以用户漫游功能很重要。用户的漫游是指用户在非用户归属的RADIUSServer管理区域内的业务需求,通常是指用户在非业务申请注册地的异地应用。为了保证用户能够方便、顺利地漫游,要求各服务区采用统一的认证方式。用户的漫游可采用用户账号漫游的方式,漫游用户输入全用户账号访问,各地RADIUS服务器可以互相配合完成漫游用户的认证及计费。
漫游认证过程:
漫游用户在异地无线上网,用户需输入全用户账号(username@realm)和口令;
用户接入地的认证中心收到NAS的请求后,解析“@”后的用户开户地域名;
若是跨区漫游,用户接入地的认证中心将认证请求发送给用户开户地的认证中心,用户开户地的认证中心验证用户身份后,给予应答;
如果用户身份合法,则允许用户接入,否则拒绝用户接入。
3.接入安全
无线通信的介质具有相对于所有用户的开放性,非法用户可随意监听空中的无线电信号。因此,无线接入的网络系统中,最为关键的安全因素就是空中的无线通信链路的安全性和保密性,同时接入控制安全和网络应用安全也非常重要。
无线通信技术用于接入网时,必须考虑无线链路的安全性、无线信道的安全、用户之间的二层隔离等问题。在现有各种通信机制中,扩频通信由于采用无线传输信号频域展宽的方法,可大幅度降低发射信号的功率谱密度,同时,由于扩频调制序列采用的是伪随机序列,使该信号很难被侦听到,这种技术本身的安全性很高。
WEP信道加密算法提供无线信道加密及完整性数据服务,但没有涉及密钥管理服务。对于在网络中的一条专用无线通信链路,如MMDS或LMDS中的无线链路,WEP算法可以提供令人满意的保密效果,而且所有通信的加密都可通过硬件设备来进行数据加密以提高处理速度,但在无线链路起始于用户终端如典型的WLAN服务的情况下,只有同一无线接入设备下的不同用户采用动态随机配置的WEP加密密钥才是适应于公用电信网用户接入的加密机制。由于无线接入设备通常在二层技术实现,而对于广域接入的用户而言,即使是在同一个无线接入设备接入的用户间也存在相互间的不可信任性,因此在无线接入设备处用户间的二层隔离是必须的。用户间的二层隔离可以很好地满足一个无线接入设备所覆盖下的不同终端用户间公众无线接入的安全通信要求。
为了提供安全的公众接入服务,控制PWBAN接入的用户认证安全性非常重要,因此在用户认证时用户账号和密码应加密传输。CHAP和共享密钥认证协议提供了较安全的用户认证方法,用于对敏感网络资源的访问或者出于安全考虑时采用。由于共享的密钥不会在网络中以明文传送并且采用了不可逆的加密算法,所以认证过程相当安全。可以看出,这种认证安全的强壮性关键取决于不可逆加密算法,毕竟明文和密文都在网络中传送。另外,为了增强无线局域网安全性,IEEE802.11TaskGroupI推出了IEEE802.11I协议,基于可以灵活使用多种认证算法的开放协议802.1x框架,采用TKIP方式对密钥进行管理,可实现用户一户一密,而且密钥动态更新。
用户还可在更高层采用数据加密的方法来实现数据的安全性,这种加密的优点是可以脱离于实际的硬件平台,具有较高的通用性。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec协议本身可以为网络层及其上层协议、应用提供完美的安全性,同时它也可以加强网络层底层的安全性考虑。IPSec的ISAKMP提供使用不同密钥值、算法及计时设置协商功能,以此来建立可以保证安全通信的一个安全联合(SA),它用得到的秘密来生成IPSecSA,以确保实现所谓的“完美向前保密”。无线链路加密及认证过程加密可以采用ISAKMP来进行密钥交换和保护重要的敏感数据,这样,无线系统中的WEP或CHAP的安全性威胁可以被解除。
随着无线接入技术如WLAN、MMDS、LMDS等的发展,无线宽带接入网作为传统布线网络的一种替代方案或延伸,将用户从有线环境中解放出来,可实现随时随地地获取信息。PWBAN使用灵活、易于扩展,可以逐步满足人们对移动性的各种要求。公众无线宽带接入网络可以充分结合已有的宽带城域网和接入网,选择适当的无线技术,着重考虑好用户识别、漫游、接入安全等重要功能,综合考虑新一代通信网的架构来开展应用业务,将可为现有的数据业务开展带来前所未有的活力!
----《通信世界》
