WLAN全国漫游认证研究

1WLAN全国漫游认证研究2摘要迅速发展起来的无线网络使得人们可以更加方便快捷地通过其接入点连接到互联网，而不再受有线介质的困扰。但是，这种便携性给用户带来了“无限”服务的同时，也给网络带来了更多安全上的威胁。因此“安全”再次成为无线网络的重中之重。用户享受“无限”上网的同时，很可能出现在不同的区域间移动的情况。漫游协议是给无线网络用户提供便携性的一个重要因素。如何保证用户在移动的过程中尽量稳定的不出现连接中断，如何为终端提供更可靠的连接，漫游协议成为了无线网络的另一个研究热点。本文主要针对无线局域网的安全和漫游环节：对当前无线IP网络，主要是无线局域网进行了结构描述，并对其协议如IEEE802.11b，802.11i，802.1x以及国家标准WAPI的安全机制作了简要的介绍；根据用户在全国不同区域范围内的移动性，介绍了不同的漫游协议，IAPP及移动IP的原理和实现；对移动IP的安全威胁及移动IP的防范措施作了简要介绍。最后研究了IEEE802.11i和中国的WAPI无线局域网无缝漫游中的认证问题,给出了一类基于数字证书的漫游认证方法。第1章绪论第一章、项目背景及现状1、项目背景随着3G业务的规模商用，电信运营商的进入全业务竞争时代。一方面，结合有线、无线的融合型宽带服务逐步成为市场竞争的主流趋势；另一方面，移动互联网业务的日益发展，各种业务、应用对数据流量的需求迅速扩张，但频率和带宽等资源稀缺，矛盾日益突出。为应对日益突出的需求与资源矛盾，如何将WLAN低成本、高带宽的优势与移动宽带无处不在的便利性相结合，是摆在互联网服务提供商面前的主要课题。WLAN技术，作为3结合移动宽带服务与有线宽带服务的重要网络接入方式，对各互联网接入服务提供商具有重要的战略意义。无线宽带产品，可以最大限度地满足了消费者的移动、告诉的互联网接入需求，确立了中国电信在移动互联网的竞争优势在大规模公共热点的快速覆盖，无线宽带业务也在大规模发展。为了满足用户临时上网的需求，方便并扩大用户在公共场合的上网需求，并且提升注册用户的帐号安全性，提出了利用手机号码易记且手机交互性好等特性，来使用无线宽带业务的方式。此工程即为中国电信WLAN注册认证付费系统工程，该系统的主要功能为能够实现利用手机进行WLAN随机密码认证，通过一次一密来进行身份确认、提升账号安全和减少账号被盗用的损失；同时满足用户临时上网需要。通过用户网上注册认证和付费，给用户提供方便快捷的账号和密码，实现临时用户即时上网。2、现状分析（国内外）国内的互联网接入服务提供商，中国移动、中国电信；定位，中国移动将WLAN业务定位于3G的有效补充，为LTE做深度覆盖，WLAN热点数量在今年有爆炸式的发展，由20XX年的X个，猛增致2011年的X个；策略是重点区域，，，，移动由于是移动运营商，用户定位基本为移动手机用户；移动运营商由于系统结构全国统一，账号可识别性强，发展无线宽带业务有先天优势，大多采用手机号码登录+话单支付方式，如中国移动目前采用手机OTP方式为用户提供一次一密的认证方式，用户能方便获取WLAN帐号和密码，且安全性高。中国电信作为传统固定互联网服务提供商，在200X年取得移动牌照，正式开始发展移动业务；目前移动用户突破1.1亿户，固定宽带用户达到8000千万户，小灵通及固话用户X千万。中国电信作将WLAN视为3G的有效补充、室内覆盖、由于频段限制作为流量分流；中国电信于XX年开始全国WLAN热点的大规模建设，目前已经建成覆盖全国热点X个，策略是覆盖重点地区，中国电信的用户群体大体可分为移动用户与固网用户，移动用户使用WLAN业务的漫游接入认证方式与移动采取的同样的实现方式，作为传统固网运营商，移动需求低，认证、计费系统分布在全国31省，系统设计存在布局分散、设备厂商型号复杂多样兼容性差、结构复杂、新老系统重叠等问题；而且用户侧的账号规则未做有效的规划，账号存在多样性、识别性差等问题，为无线宽带漫游服务的提供带来了巨大的挑战。4国外的互联网接入服务提供商，固网电信运营商，随着移动数据业务竞争的日益加剧以及用户需求的快速增长，建设了WLAN全国漫游认证系统（全国Radius认证系统），与各省Radius认证系统互联，实现各省WLAN用户跨省漫游、跨省结算等的功能。同时具备对各省WLAN用户的全国漫游权限按客户属性进行控制的功能，目前只允许。。。使用WLAN全国漫游功能。从用户使用规模来看，使用无线宽带的用户数量还不够。造成用户使用量不大的原因很大一方面是由于用户获取登录帐号和密码比较困难。另一方面，以e8-2套餐用户切入，按照统一的格式要求为用户分配宽带接入账号的工作也在全国紧锣密鼓地进行。宽带接入账号逐步统一到区号+固定电话号码的格式后，虽然这种格式方便了用户记忆，但在一定程度上增加了帐户被盗用的可能性，需要提供更安全的手段供用户选择。3、论文研究内容无线宽带WLAN，是采用IEEE802.11b/g技术，通过无线以太网的接入设备（AP）实现的互联网接入技术。用户通过采用IEEE802.11b/g技术兼容的无线以太网终端设备，如配备无线以太网网卡的移动电脑、手机以及IPAD等移动终端，在有无线宽带信号覆盖的区域，进行账号鉴权认证后，既可访问宽带互联网，满足用户对上网移动性、便利性的需求。用户在全国各地均可通过一个互联网接入服务提供商所拥有的无线接入点（AP）实现接入认证服务，称为全国漫游服务。4、组织结构第二章、系统设计1、系统建设目标：通过建设WLAN全国漫游认证中心，实现用户使用WLAN业务的注册、认证、付费和全国漫游。通过手机进行WLAN随机密码认证，通过一次一密来进行身份确认、提升账号安全和减少账号被盗用的损失；同时可满足任何运营商手机用户临时上网需要，通过用户网上支付，给用户提供方便快捷的账号和密码，实现临时用户即时上网。此外该系统还提供WLAN全国热点的在线位置查询。52、系统功能概述：本论文所开发的系统能够实现WLAN业务用户的全国漫游，并满足各种用户使用WLAN业务的需求，与传统的认证系统相比，本系统具有以下功能特点：1、固网账号用户的全国漫游功能：2、异网手机用户的在线付费、注册认证功能：3、全国WLAN热点的位置定位及查询：。宽带账号漫游认证系统，PORTAL，异网用户银行卡使用，WLAN热点地图，3、系统目标用户使用模式：便携电脑使用者和智能手机、PAD等移动终端使用者为最主要的目标客户群体，包括商旅人士、技术爱好者、股民、学生群体等。系统建成后，无线宽带全国漫游功能可面向本网及异网用户提供WLAN网络接入服务。有如下几种用户模式：(1)、对于拥有本网手机用户，提供利用手机进行随机密码认证的服务选择。开通业务后，每次在公共热点使用WLAN无线宽带，输入本网手机号码，系统将把随机密码发送至登记的手机上，用户输入正确的账号和随机密码，经过系统认证后即可上网。系统完成随机密码的生成、发送及用户的认证和计费，计费信息由原有的WLAN全国漫游认证系统记录并通过集团结算中心传递给各省计费系统。该类用户在下文中简称为本网手机用户。(2)、对于拥有本网手机同时拥有本网宽带的用户，通过手机号码进行随机密码申请获取、认证鉴权，处理方式与本网手机用户一致。(3)、对于拥有本网宽带且无本网手机的用户，宽带账号即作为用户账号，开通业务可选择固定密码和手机获取一次一密的形式。选择固定密码用户，在业务开通时即可自行设置6位密码，用户每次在公共热点使用WLAN无线宽带时，输入宽带账号作为用户账号、输入事先设定的固定密码，即可通过系统认证。选择手机获取一次一密的用户，可登记任一常用手机号码作为密码发送默认号码，用户每次在公共热点使用WLAN无线宽带时，输入宽带账号作为用户账号，点击获取密码，系统将把随机密码发送至登记的手机上，用户输入正确账号和随机密码，经过系统认证即可上网。此类用户在下文中简称为本网宽带用6户。(4)、对于有临时上网需求的异网手机用户，可通过注册临时上网账户的形式来提供服务。用户点击登录页面上的“新用户注册”，输入异网手机号码作为用户账号，系统引导用户进入网上银行进行上网点卡的购买操作，在完成支付后即注册成功。系统生成临时用户，用户账号即为登记的异网手机号码，密码可选择固定密码或手机获取一次一密。用户每次在公共热点使用WLAN无线宽带时，正确输入账号密码即可认证通过使用服务。此类用户在下文中简称为异网手机用户。网上支付方式开通的WLAN无线宽带（以下简称网上支付WLAN），由新建的全国注册认证付费系统集中支付、认证，统一结算，开放全国直至国际漫游功能。网上支付方式的接入账号是用户的手机号码，初始登录密码发送到用户手机上。系统完成用户的认证计费以及上网信息查询、修改密码等服务功能。计费信息由原有的WLAN全国漫游认证系统记录并通过集团结算中心传递给各省计费系统。这类用户在下文中简称为网上支付用户。4、系统设计要点：接入认证方式、账号格式要求、认证转发方案、PORTAL设计方案、BRAS设计方案、RADIUS设计方案（1）接入认证方式：系统支持DHCP+WEBportal认证和PPPOE拨号认证两种认证方式。目前用户较为普遍的是采用DHCP+WEB认证的形式；PPPOE模式可通过开发拨号客户端来实现，后期可模块化的封装进入其他业务客户端中。（2）用户帐号格式要求：为识别用户信息，实现全国漫游功能，必须对接入用户的各类账号进行标准化定义，确保系统可对账号归属地进行识别。各省应按照编号规则统一各种接入方式的帐号格式，并做到省内的集中认证计费。（3）认证转发方案：可通过在登陆认证的WEBPORTAL页面中或者PPPOE拨号客户端中增加用户归属地判断机制，通过用户自选和系统识别等形式，将认证信息转发至用户开户省进行认证。Portal界面或PPPoE客户端加入开户地选择，自动加入开户地省份的后缀信息，方便用户使用。75、系统实现：5.1用户WLAN漫游业务使用流程业务技术实现流程8a)WLAN全国漫游认证的实现方案在全国建设一套WLAN全国漫游认证系统平台，在功能上满足WLAN全国漫游业务的与CRM接口授权、认证转发、计费转发、计费信息保存、与全国结算中心接口等功能：5.2WLAN全国漫游认证帐号定义5.2.1制定规范帐号格式明确用户帐号由三大部分组成：帐号名@域名；域名应包括省名拼音缩写、运营商标识、顶级域名三部份。如：运营商标识为CHNTEL，顶级域名为COM。合法的域名是@*.省名.CHNTEL.COM以及@*.省名和@*.省名.CN。根据以上的规定，定义WLAN规范帐号后缀主要有：1.@*.省名.CHNTEL.COM2.@*.省名3.@*.省名.CN帐号分为符合规范和不符合规范两类：9对于符合规范的帐号，在漫游地使用WLAN漫游业务时，Portal开户地选择框需自动识别选择用户开户地并变灰。对于不符合规范的帐号，在漫游地使用WLAN漫游业务时，必须正确选择开户地，否则无法通过认证，Portal会给出错误信息提示用户选择开户地。固定电话号码格式帐号由于有使用固定电话号码（区号+电话号码格式）做帐号，要求WLANPortal支持固定电话号码格式的帐号，处理方式同规范帐号，WLANPortal需根据帐号（区号+本地电话号码）自动分析出用户开户地，开户地选择框自动选择对应开户地并变灰。5.2.2WLAN全国漫游系统中区分漫游的后缀格式WLAN全国漫游认证系统中用户帐号为：已有用户帐号后添加新的漫游后缀形式本后缀为用户帐号中由Portal自动添加的后缀，后缀格式为＠WLAN．省名.CHNTEL.COM（不区分后缀的大小写格式）。其中省名为各省省名拼音缩写，即汉字拼音的第1个字母，如gd，sh；1、后缀格式中省名缩写省名缩写省名缩写北京bj广东gd天津tj海南hi河北he广西gx山西sx四川sc内蒙古nm重庆cq辽宁ln贵州gz吉林jl云南yn黑龙江hl西藏xz湖北hb陕西sn湖南hn甘肃gs河南ha青海qh江苏js宁夏nx山东sd新疆xj10福建fj安徽ah江西jx上海sh全