APP下载

无感知WLAN业务认证方式的分析

2012-01-19刘长瑞聂明

电信工程技术与标准化 2012年8期
关键词:鉴权计费终端

刘长瑞,聂明

(中国移动通信集团设计院有限公司,北京 100080)

WLAN业务是移动运营商提供的一种无线宽带接入服务,在有其WLAN信号覆盖的区域,用户可通过具备WLAN功能的笔记本电脑、手机等终端访问互联网业务,从而进行信息获取、娱乐或者移动办公。

随着WLAN业务的不断发展,用户越来越关注安全性和服务质量,所以发展WLAN业务要以“安全、方便、可行”为原则,进一步改善用户的使用感知,提高客户的满意度。

1 目前WLAN认证存在问题及改善方式

目前用户可以通过Web Portal方式、基于浏览器的登录Cookie认证方式和客户端方式等多种方式完成认证,使用WLAN业务。用户使用几种认证方式的体验和存在问题如表1所示。

为了改善用户使用WLAN业务的体验,目前可以通过提供WLAN无感知认证的方式,达到不需要用户干预、在用户无感知情况下认证通过、使用WLAN网络的目的,并且通过WLAN无感知认证方式的推广,扭转当前优选WLAN网络主要依靠用户主动选择的局面,实现用户在使用WLAN业务时能够达到与GPRS网络一样的自动接入体验,使WLAN网络作为数据热点地区2G网络的有效补充,提供高速数据业务,分担数据业务流量,从而使WLAN网络更好的起到数据流量分流的作用。

2 无感知认证方式的分析

WLAN认证一般采用EAP认证协议,在此框架内大约有40种不同的方法,接受比较广泛的有7~8种;根据调查,终端支持情况较好的有SIM、PEAP认证方式,可以为用户提供无感知认证,达到用户终端在Wi-Fi开关打开情况下,用户进入移动运营商WLAN信号的覆盖区域,终端自动(或用户手动选择)与运营商的SSID连接,无需用户参与即可自动完成认证,为用户提供无感知认证服务。

表1 用户使用体验及问题

2.1 SIM认证方式分析

SIM认证是基于802.1x认证架构和3GPP的EAP-AKA/EAP-SIM鉴权方法实现的,主要涉及到WLAN用户终端、WLAN接入网设备AP/AC、WLAN认证系统中的3GPP AAA Server以及HLR系统等网元。各网元相互协作,基于用户的(U)SIM卡信息认证接入用户的合法性:终端将SIM卡的IMSI信息上报网络,网络根据HLR签约信息与终端交互自动认证,用户首次使用时需要在终端上进行SIM认证的相关配置,后续使用即可实现免登陆上网,为用户提供与蜂窝网相同的接入体验。SIM认证系统结构如图1所示。

(1)WLAN用户终端:为SIM认证体系中的接入请求系统。用户进行SIM认证时,WLAN用户终端发起鉴权请求,对应802.1x架构中的客户端系统;

(2)WLAN接入网设备:包括AP和AC两个网元。AP网元需支持802.11i的加密功能,AC网元需支持802.1x认证功能。WLAN接入网设备在SIM认证中负责对WLAN用户终端的接入鉴权,对应802.1x架构中的认证者系统;

(3)3GPP AAA Server:为SIM 认 证体系中用户认证的执行点,负责对WLAN用户终端认证和授权功能,认证和授权信息取自HLR。3GPP AAA Server包括了业务功能域、协议与接口域、管理域,各域包括相应的功能模块,与HLR一起对应802.1x架构中的认证服务器系统;

(4)HLR系统:在SIM认证体系中负责用户鉴权和签约信息的存储,与3GPP AAA Server交互,完成鉴权和签约信息的交互。

SIM认证的主要接入流程包括建立关联、认证授权、DHCP地址分配、计费等几个阶段,其认证接入流程如图3所示。

图1 SIM认证系统结构

图2 3GPP AAA Server系统架构

图3 SIM认证接入流程

主要接入流程阶段说明:

(1)建立关联:终端和AP/AC建立关联之后,终端向AP/AC发起鉴权请求;

(2)认证授权:EAP-SIM/AKA认证阶段,支持SIM卡的终端按照EAP-SIM流程完成认证;支持USIM卡和EAP-AKA的终端按照EAP-AKA流程完成认证;

(3)地址分配:认证成功后,终端进行DHCP流程交互,直至用户终端获得IP地址,然后用户即可使用WLAN网络上网;

(4)计费:包括计费开始、计费更新、计费结束。AC作为计费信息采集前端,采集WLAN用户的计费原始数据信息,传送给3GPP AAA Server。3GPP AAA Server是 计费话单采集点,在收到用户的计费原始数据信息后,生成用户WLAN业务计费话单。

2.2 PEAP认证方式分析

PEAP认证体系架构基于802.1x认证体系架构实现的,主要涉及到WLAN用户终端、WLAN接入网设备AP/AC、WLAN认证系统中的3GPP AAA Server等网元。各网元相互协作,基于用户的认证信息验证接入用户的合法性:终端与网络关联后,基于证书认证网络侧身份,建立TLS隧道,将储存在终端中的用户名/密码发送给网络侧进行用户身份认证。用户首次使用时需要在终端上进行PEAP认证的相关配置,并输入用户名、密码,后续使用即可实现免登陆上网, 为用户提供与蜂窝网相同的接入体验。PEAP认证系统结构如图4所示。

(1)WLAN用户终端:为PEAP认证体系中的接入请求系统。用户进行PEAP认证时,WLAN用户终端发起鉴权请求,对应802.1x架构中的客户端系统;

(2)WLAN接入网设备:包括AP和AC两个网元。AP网元需支持802.11i的加密功能,AC网元需支持802.1x认证功能。WLAN接入网设备在PEAP认证中负责对WLAN用户终端的接入鉴权,对应802.1x架构中的认证者系统;

(3)3GPP AAA Server:为PEAP认证体系中用户认证的执行点,负责对WLAN用户终端认证和授权功能,对应802.1x架构中的认证服务器系统。

PEAP认证的主要接入流程包括建立关联、认证授权(包括TLS隧道建立、MS-CHAP-v2认证)、DHCP地址分配和计费等几个阶段,其认证接入流程如图5所示。

图4 PEAP认证系统结构

主要接入流程阶段说明:

(1)建立关联:终端和AP/AC建立关联之后,终端向AP/AC发起鉴权请求;

(2)认证授权:EAP-PEAP认证阶段,包括TLS隧道建立、MS-CHAP-v2认证。对任何使用PEAP认证方式接入的终端,只要在终端使用数限制范围内,网络侧不会拒绝终端接入认证。并且如果网络侧判定之前已有同一用户身份信息的终端在线,则网络侧在终端重新接入认证的同时保持原有计费,认证成功后视为同一次计费;

(3)地址分配:认证成功后,终端进行DHCP流程交互,直至用户终端获得IP地址,然后用户即可使用WLAN网络上网;

(4)计费:包括计费开始、计费更新、计费结束。AC作为计费信息采集前端,采集WLAN用户的计费原始数据信息,传送给3GPP AAA Server。3GPP AAA Server是计费话单采集点,在收到用户的计费原始数据信息后,生成用户WLAN业务计费话单。

2.3 用户使用体验

当用户使用支持SIM认证、PEAP认证功能的Wi-Fi手持终端开通无感知认证功能后,在其移动运营商WLAN网络信号覆盖的区域下,即可享受自动登录体验。

用户在首次使用时,如果所持终端支持SIM认证,需要在终端上的SSID选项配置中配置好算法,进行保存;如果所持终端支持PEAP认证,需要在终端上的SSID选项配置中输入PEAP认证所需的用户名和密码,进行保存。配置成功后,终端会自动保存用户名和密码,下次上线无需用户配置,终端自动进行认证,终端获得IP地址后用户即可上网。当用户离开移动运营商WLAN网络信号覆盖区域后,再次回到信号覆盖区域,若用户终端IP地址在续约期内,仍能使用WLAN业务;若用户终端IP地址已过续约期,终端将自动发起无感知认证。

用户开通无感知认证功能后,可以通过主动下线和网络发起下线两种方式触发下线。主动下线即用户主动向网络侧发起下线发起请求退出网络;网络发起下线即网络发起下线流程适用于网络管理的场景,如用户在线达8h后网络侧会主动发起下线流程,网络侧发现用户欠费时也可以触发网络发起下线流程。

对于SIM认证和PEAP认证,两种认证方式均能实现无需用户干预的无感知认证,减少认证过程中用户主动参与的次数,改善和提高了用户业务使用体验,在技术上可以实现同时引入,由网络侧根据终端主动上报的终端类型优先选择认证方式,实现认证技术对用户透明,即无论用户使用何种方式,用户体验基本一致。

图5 PEAP认证接入流程

3 业务推广分析

在引入无感知认证方式后,为了能够吸引更多的用户通过无感知认证功能使用WLAN网络,发挥WLAN网络的作用,在业务推广方面可以考虑以下几点因素:

(1)面向所有具有WLAN功能的手持终端(手机或PAD等非PC操作系统的平板电脑)的用户提供无感知认证功能;

(2)目前用户在使用WLAN业务时,无法同时使用Wi-Fi手机和电脑使用WLAN业务,后一个使用的终端会造成前一个终端的强制下线。如果用户的不同终端(如手机和IPAD)均开通了无感知认证功能并打开了Wi-Fi开关,则进入热点后,只有随机的一台终端能够实现连接,影响用户体验。因此,WLAN业务在引入无感知认证功能后,考虑用户同时拥有手机、电脑和PAD的情形,对于开通无感知认证的用户,系统应能够支持同一用户多终端同时使用WLAN;

(3)在现有WLAN业务标准资费、按月包时长套餐、包单位时间套餐的计费模式下,无感知认证可能会造成用户在不知情情况下长时间在线,损害用户利益。为避免按现有时长计费而引发的问题,可以引入专属套餐(流量封顶)配合无感知认证功能。用户开通无感知认证功能后,可以不限制时长的使用WLAN上网,当流量达到封顶限制后,系统会提示用户不能登录网络,如需继续使用,用户可以选择订购专属套餐叠加包。

4 结束语

WLAN业务的通信范围不受环境条件的限制,具有传统局域网无法比拟的灵活性,可以满足人们移动办公的梦想,创造一个丰富多彩自由交流的平台。

目前发展WLAN业务可以通过优化WLAN认证方式提供无感知认证功能,改善和提高用户的使用体验,向用户提供更好的WLAN业务,使用户能够更加方便、快捷、自由的使用WLAN业务。

未来发展WLAN业务应以WLAN网络分流2G网络数据流量、缓解无线网络压力为发展目标,引导更多的手机流量迁移到WLAN网络,提高移动运营商在WLAN领域的市场竞争力,树立良好的企业形象。

[1] 中国移动通信企业标准. 中国移动无线局域网(WLAN)业务规范[S].

[2] 中国移动通信企业标准. 中国移动无线局域网(WLAN)用户接入流程技术规范[S].

猜你喜欢

鉴权计费终端
5G网络独立组网中融合计费方案的研究
基于云计算和微服务架构的高速公路计费系统
X美术馆首届三年展:“终端〉_How Do We Begin?”
生活中的分段计费
通信控制服务器(CCS)维护终端的设计与实现
GSM-R手持终端呼叫FAS失败案例分析
基于AM3354的电动汽车充电监控计费系统电表通信的实现
移动网络用户频繁鉴权问题的优化方案探讨
基于小型核心网的LTE鉴权的一种新实现
ABB Elastimold 10kV电缆终端及中间接头