会员中心
用户名:
密 码:
 
  忘记密码
移动通信
基于移动蜂窝网的WLAN认证方式的研究与实现
文章来源:本站原创  发布时间:2014-08-08  浏览次数:861

基于移动蜂窝网的WLAN认证方式的研究与实现

 

陶峰

  (中国移动辽宁公司辽阳分公司 111000)

摘  要:随着智能终端和移动互联网应用的快速普及和发展开启了大数据流量时代,高速增长的数据流量对运营商的核心网和接入网提出了更高的要求。为了提高客户感知,做好流量经营,降低运营成本,需把WLAN接入到蜂窝网中。然而WLAN认证是WLAN与蜂窝网融合的关键之一,是实现两者深度融合的前提。因此,本文通过对EAP-SIM/AKA接入认证技术的研究,给出了该WLAN认证方式在移动WLAN网络中的设计与实现,从而更好的促进WLAN与蜂窝网的高效无缝融合。

关键词:WLAN 蜂窝网 融合 EAP-SIM/AKA

1. 概述

WLAN接入认证技术是运营商们在推进WLAN与蜂窝网融合中面临的一个关键问题,也是后续实现深度融合的基础。同时,由于蜂窝网络的安全性要求较高,网络融合过程中需要重视WLAN网络对蜂窝网络的安全性影响[1]。WLAN接入认证技术的研究可以提升WLAN与蜂窝网融合的安全性。

另一方面,WLAN用户认证体验比较差,特别是接入认证问题更为突出。传统的WLAN接入认证需要用户在选择WLAN网络后,输入相应的用户名和密码进行认证,用户操作较多。通过WLAN认证方式的优化,实现用户在使用WLAN业务时能够达到与GPRS网络一样的自动接入体验,减少用户在接入认证过程中的过多干预。EAP-SIM/AKA认证就可以在用户不参与的情况下实现自动认证,也是运营商们正在研究推行的WLAN接入认证方式。同时,EAP-SIM/AKA认证方式也在被许多国际组织和运营商作为首选的认证方式。因此,本文将重点研究这种认证方式在WLAN接入认证中的应用实现

2. WLAN认证现状及需求

运营商WLAN接入认证主要釆用WEB认证方式。基于WEB的认证方式,是以Radius服务器作为WLAN用户接入的认证点,完成对WLAN用户的认证工作。同时,还会设置一个Portal服务器,用于推送Portal认证页面以及其他一些信息。WEB认证需要在Portal页面上输入用户名和密码来完成认证过程 [2]。

WEB认证需要用户参与繁琐的用户名和密码输入过程,用户体验较差。虽然可以采用Cookie等技术记住用户信息实现自动登入,以及使用客户端等方式改善用户接入体验,但是都没有从根本上改变用户的使用方式。另一方面,WEB认证缺乏有效的安全性,将会给蜂窝网络带来严重的安全威胁。为了进一步改善WLAN用户的使用体验,为用户提供一种与GPRS—样的不需要用户干预,能自动完成认证的认证体验,运营商们正在积极探索新的WLAN认证方式。然而WLAN认证方式的研究也是WLAN与蜂窝网融合过程中的重要一环。为改善用户的WLAN使用感知,使WLAN网络能更好的为2G、3G、4G网络提供数据流量分流作用,促进与蜂窝网络的融合发展,对WLAN认证方式进行优化与研究就显得尤为重要。

由于3GPP组织将EAP-SIM/AKA认证方式作为WLAN与蜂窝网融合演进的认证方式,并且EAP-SIM/AKA认证是基于用户的SIM/USIM卡进行,与蜂窝网认证方式一样,用户体验非常好。因此,这种认证是运营商首推的认证方式。因此,本文将对EAP-SIM/AKA认证方式在移动WLAN网络中的应用进行设计与实现。

3. EAP-SIM/AKA认证系统设计与实现

EAP-SIM/AKA是EAP认证方法的一种实现方式,基于802.1X认证体系。通过用户手机(U)SIM卡信息进行认证,与蜂窝网认证方式相同。当用户手机使用SIM卡时,执行EAP-SIM认证流程。当用户使用USIM卡时,执行EAP-AKA认证流程。整个认证过程不需要用户介入任何手工操作,完全由终端自动完成,具有良好的用户使用体验。

3.1 认证系统的设计

基于EAP-SIM/AKA的认证系统主要由四部分组成:用户终端部分、接入网络部分、认证服务器和用户信息存储部分。用户终端部分对应802.1X体系中的客户端WLAN UE,并且应支持EAP-SIM/AKA认证。接入网络主要包括AP和AC两个网元设备,对应802.1X体系中的认证者系统。认证者服务器对应802.1X体系中的认证服务器系统,此处为3GPP AAA服务器,负责完成对WLAN UE的EAP-SIM/AKA认证和授权功能。用户信息存储对应HLR,负责用户鉴权和签约信息的存储,与3GPP AAA服务器完成用户鉴权和签约信息的交互。系统架构如下图1所示。

图1 EAP-SIM/AKA认证系统架构

 

(1) 终端(WLAN UE):终端无特殊要求,只需具备WLAN模块,支持WLAN接入功能,支持EAP-SIM/AKA认证。

(2) AP:无线侧需支持802.11a/b/g/n,并确保与UE终端的兼容互通。

(3) AC:负责WLAN用户的接入控制,计费信息采集,无线业务管理和控制。提供Internet流量和分组域业务流量的分流功能。

(4) 3GPP AAA服务器:认证体系中用户认证的执行点,负责对终端认证和授权功能,用户的认证和授权信息取自HLR,支持多种认证方式,如EAP-SIM/AKA,PEAP 等。

(5) HLR:归属位置寄存器,用于管理用户的签约信息和位置信息。

3.1.1 WLAN AN和3GPP AAA服务器之间的Wa接口

Wa接口用于在WLAN AN和AAA服务器之间传输鉴权和密朗信息,该接口基于Radius协议,主要包括认证授权消息和计费消息。

(1) WLAN接入认证与授权消息

WLAN认证消息用于完成认证交互流程中消息的传递,主要有以下四条,如表1所示:

 

表1 WLAN接入认证与授权消息

(2) 计费消息

在WLAN认证成功,接收到Access-Accept消息后,WLAN AN向3GPP AAA服务器发送计费请求消息Accounting-Request(START)开始计费。用户下线时,向3GPP AAA服务器发送计费停止消息Accounting-Request(STOP),停止对用户的计费。同时,也可以有中间计费消息Accounting-Request(Interim-update)传送计费信息。

(3) WLAN认证消息实例

以WLAN AN与AAA服务器之间的第一条认证消息为例,使用抓包软件抓取该条消息,如图2所示。抓取的报文为Access-Request消息,通过消息解析可以看到EAP消息的具体内容。Code值为Response,Type值为Identity,说明该EAP消息为WLAN UE向网络侧WLAN AN发送用户标识,用户标识可以在Identity属性中看到。

 

图2 WLAN认证消息实例

 

3.2 认证流程的实现

基于EAP-SIM/AKA认证系统的实现考虑从用户终端关联WLAN网络开始,直到用户退出网络这一整个过程。因此,整个流程可以分为五个阶段:终端与WLAN网络建立关联、认证授权阶段、IP地址分配阶段、计费阶段和网络下线阶段。

(1) 终端与网络关联阶段:用户打开终端WLAN开关,选择对应的WLAN网络,完成终端与网络的关联。

(2) 认证授权阶段:用户终端与WLAN网络关联后开始进入认证过程,与WLAN AN、3GPP AAA服务器之间交互认证消息,执行相应的EAP-SIM/AKA的认证流程,最后3GPP AAA服务器通知终端认证结果。

(3) IP地址分配阶段:在用户终端完成上一步的认证过程后,若认证通过,AC为终端分配访问网络的IP地址。

(4) 计费阶段:在完成认证阶段和IP地址分配阶段之后,用户终端获得网络访问的权限,可以开始通过访问WLAN网络以及相关业务,并开始对用户进行计费。计费消息由AC发送通知3GPP AAA服务器,包括计费开始、结束和中间计费消息。3GPP AAA服务器收集用户的计费信息,并完成计费工作。

(5) 网络下线阶段:用户停止访问网络,需要断开与WLAN网络的连接,在终端发出下线请求后,AC向3GPP AAA服务器发送停止计费消息,同时将用户下线。整个过程如图3所示。

图3接入过程

 

3.2.1 认证流程

EAP-SIM/AKA是一种对称密朗认证方式,基于IETF的RFC4186和RFC4187标准中的定义,使用了改进的GSM认证方式来支持双向认证。由于认证过程与GSM网络认证一样基于用户的手机卡,所以WLAN用户终端必须具有SIM卡或USIM卡。

认证流程涉及的主要概念有:用户身份标识,三元组和五元组。用户身份标识有三种类型:永久用户名、伪随机用户名和快速重鉴权用户名。永久用户名为从用户SIM卡的IMSI中导出来,在首次认证时必须使用永久用户名,以便可以从HLR获得相应的用户签约信息。伪随机用户名用于用户的身份保护,用来替代永久用户名。在全鉴权过程中必须使用永久用户名和伪随机用户名。快速重鉴权用户名用于快速重鉴权。三元组和五元组为2G,3G网络鉴权向量,三元组包括随机质询值RAND,用于加密的会话密钥Kc和一个计算值SRES。五元组包括RAND、RAND的期望应答xRES、加密密钢CK、完整性密钥IK和令牌AUTN。

3.2.2 用户下线流程

当用户结束网络访问,需要退出网络并下线时,需要告知网络,同时停止计费。也可以实现网络下线,当用户业务使用到期或出于其他原因,可以采用网络下线。

(1) 用户主动下线

WLAN UE主动停止会话,此时会向WLAN AN发送退出网络的消息,如图4所示。WLAN AN在接收到下线消息后,向AAA服务器发送停止计费消息。AAA服务器在接收到下线消息后,停止对用户的计费,同时返回停止计费的应答消息。

图4用户主动发下线流程

 

(2) 网络下线

当用户使用的业务到期、账户余额不足或者出现异常情况,则网络发起用户下线。网络侧发送用户会话终止请求和停止计费请求。如图5所示。

图5网络下线流程

 

4.结束语

WLAN接入认证作为WLAN与蜂窝网融合的关键一步,己经成为各个运营商研究的重点。本文结合对WLAN接入认证技术的研宄与优化,重点叙述了EAP-SIM/AKA认证方式的系统设计与实现。此种自动认证方式在移动运营商WLAN网络中的应用,会有效的提升用户的体验和感知。同时,也为WLAN与蜂窝网的深度融合做好了充分准备。

 

参考文献:1 吴友蓉。WLAN安全技术分析及对策[J]。科技创新导报,2008.7

韩佑臻。WLAN网络的接入认证技术研究[D]。山东大学,2005。

网站首页 关于我们免责声明联系我们
版权所有:辽宁省通信学会  备案号:辽ICP备11005629
联系电话:024-22517766  地址:沈阳市沈河区北站路72号


网站建设:恒昊互联网络