[原创]WLAN身份认证与计费考虑
 

[color=#ff0009]原创作品，转载请注明无线中国 [url]http://www.wlanchina.net[/url]
[/color]

WLAN在某种意义上也仅仅是一个局域网，它是有一定作用范围的，它是为某个区域服务的。要扩展其作用范围，我们需要组建更大的WLAN（多个不同区域的WLAN相连或者和有线局域网相连）或者将WLAN作为接入网接入互联网、GSM/GPRS/UMTS等等。还有WLAN常常是一个私有网络，它属于某个机构（公司或者学校），我们不能将WLAN完全暴露于外界，因此我们需要采取一定的隔离措施。于是，我们在将WLAN和其他网络相连时必须要使用接入控制器AC（Access Controller），它相当于一个网关。
AC可以实现许多功能。首先它有网关的功能，将WLAN接入公众网；其次，它是WLAN网络安全保证的重要部分，能够进行身份认证、防止黑客的入侵等安全保障；另外，在AC上可以进行WLAN的计费。除了以上一些功能，在AC上我们还能够进行流量控制、服务管理等等，从而保证WLAN的服务质量。
这里，我们仅仅讨论身份认证和计费两个方面。
在WLAN建设中，身份认证和计费可以根据实际情况给与考虑。这一用户控制管理功能主要包括用户安全控制、认证控制、计费信息采集等。
接入控制器（Access Controller, AC）在WLAN与互联网之间充当网关功能，将来自不同AP的数据进行汇聚、接入互联网。在多数厂商的解决方案中，将认证点、接入控制点、计费点、业务控制点统一放在AC上，这样可以实现统一管理。AC的主要功能是对用户进行认证、管理，对带宽、访问、切换、安全进行控制，收集计费信息并支持各种计费策略，以及实现强制Portal（用户可以输入任何URL地址，宽带接入服务器强制下推Web页面）等。AC可以直接与认证服务器AS相连，实现认证、计费和漫游等功能；AC也可以通过支持Radius协议的IP城域网与AS相连，实现用户名和密码的认证。
认证通常有以下几种：Web＋DHCP认证、PPPoE认证、802.1x认证。无论采用以上哪种认证方式，用户通过认证和授权后就可以利用WLAN接入到网络，并享受网络所提供的各种业务和应用。与此同时AC用户通过认证和鉴权后就开始对用户进行计费，并在用户下线时将其计账信息送给计费中心。PPPoE认证是目前最成熟可靠的认证方式，现网设备支持程度好。Web＋DHCP认证方式对于用户使用最合适，并且运营商可以配合Portal服务器推出特色业务。802.1x认证是基于端口控制的一种认证方式，可以实现用户级的接入控制，在目前没有解决WLAN安全问题的情况下，802.1x是较好的选择(关于802.1x具体内容参见第五章)。
802.1x认证要求用户端有客户端程序，认证点可以在AP也可以在AC。本文以AC做认证点介绍认证的流程。在802.1x认证方式中，AC与STA通过EAPoL协议进行通信，与认证服务器通过EAPoverRadius或EAP承载在其他高层协议上进行通信。AC要求STA提供用户名和密码，接收到后将EAP报文承载在Radius格式的报文中，发送到认证服务器，返回过程相反，最后根据认证结果控制端口是否可用。认证服务器核实用户的用户名与密码，通知AC认证是否通过，并控制用户权限。