[原创]WLAN身份认证与计费考虑



贊助商連結


chenlun
2004-10-19, 06:59 PM
原创作品,转载请注明无线中国 http://www.wlanchina.net


WLAN在某种意义上也仅仅是一个局域网,它是有一定作用范围的,它是为某个区域服务的。要扩展其作用范围,我们需要组建更大的WLAN(多个不同区域的WLAN相连或者和有线局域网相连)或者将WLAN作为接入网接入互联网、GSM/GPRS/UMTS等等。还有WLAN常常是一个私有网络,它属于某个机构(公司或者学校),我们不能将WLAN完全暴露于外界,因此我们需要采取一定的隔离措施。于是,我们在将WLAN和其他网络相连时必须要使用接入控制器AC(Access Controller),它相当于一个网关。
AC可以实现许多功能。首先它有网关的功能,将WLAN接入公众网;其次,它是WLAN网络安全保证的重要部分,能够进行身份认证、防止黑客的入侵等安全保障;另外,在AC上可以进行WLAN的计费。除了以上一些功能,在AC上我们还能够进行流量控制、服务管理等等,从而保证WLAN的服务质量。
这里,我们仅仅讨论身份认证和计费两个方面。
在WLAN建设中,身份认证和计费可以根据实际情况给与考虑。这一用户控制管理功能主要包括用户安全控制、认证控制、计费信息采集等。
接入控制器(Access Controller, AC)在WLAN与互联网之间充当网关功能,将来自不同AP的数据进行汇聚、接入互联网。在多数厂商的解决方案中,将认证点、接入控制点、计费点、业务控制点统一放在AC上,这样可以实现统一管理。AC的主要功能是对用户进行认证、管理,对带宽、访问、切换、安全进行控制,收集计费信息并支持各种计费策略,以及实现强制Portal(用户可以输入任何URL地址,宽带接入服务器强制下推Web页面)等。AC可以直接与认证服务器AS相连,实现认证、计费和漫游等功能;AC也可以通过支持Radius协议的IP城域网与AS相连,实现用户名和密码的认证。
认证通常有以下几种:Web+DHCP认证、PPPoE认证、802.1x认证。无论采用以上哪种认证方式,用户通过认证和授权后就可以利用WLAN接入到网络,并享受网络所提供的各种业务和应用。与此同时AC用户通过认证和鉴权后就开始对用户进行计费,并在用户下线时将其计账信息送给计费中心。PPPoE认证是目前最成熟可靠的认证方式,现网设备支持程度好。Web+DHCP认证方式对于用户使用最合适,并且运营商可以配合Portal服务器推出特色业务。802.1x认证是基于端口控制的一种认证方式,可以实现用户级的接入控制,在目前没有解决WLAN安全问题的情况下,802.1x是较好的选择(关于802.1x具体内容参见第五章)。
802.1x认证要求用户端有客户端程序,认证点可以在AP也可以在AC。本文以AC做认证点介绍认证的流程。在802.1x认证方式中,AC与STA通过EAPoL协议进行通信,与认证服务器通过EAPoverRadius或EAP承载在其他高层协议上进行通信。AC要求STA提供用户名和密码,接收到后将EAP报文承载在Radius格式的报文中,发送到认证服务器,返回过程相反,最后根据认证结果控制端口是否可用。认证服务器核实用户的用户名与密码,通知AC认证是否通过,并控制用户权限。