《中国移动WLAN技术和业务培训(1).ppt》由会员分享,可在线阅读,更多相关《中国移动WLAN技术和业务培训(1).ppt(115页珍藏版)》请在三一办公上搜索。
1、中国移动WLAN技术和业务培训,中国移动通信集团公司研究开发中心2004年12月,主要内容,WLAN技术基础中国移动WLAN业务总体技术要求中国移动WLAN业务接入流程中国移动WLAN业务,IEEE 802.11协议栈,IEEE 802.11网络结构IBSS和Ad-hoc,802.11的网络架构中最基本的组成部分是BSS(Basic Service Set),也就是基本服务区。其中最简化的结构是IBSS,独立基本服务区(Independent BSS)。一个最小的IBSS可以仅由两个站点Station组成,他们以ad hoc方式互联。如图Figure 1,BSS1和BSS2都是IBSS。他们之
2、间不能通讯,IEEE 802.11网络结构AP和Infrastructure模式,在大多数的应用中,BSS不是独立存在的。连接不同的BSS的网络结构叫DS(Distribution System)。在实际的应用中,DS通常是有线连接(例如Ethernet),然而协议并没有规定DS的媒介BSS通往DS的入口叫做AP(Access Point)。AP首先是Station,除了Station的基本功能外,它还实现DS的服务。由AP互联的BSS必须工作在Infrastructure模式下,各Station通过AP上接入到DS中。如图Figure 2,AP和Infrastructure模式,身份认证(A
3、uthentication),开放式系统(Open system)最基本的认证方法,工作站送出身份认证要求的讯息(Authentication Request Frame)给AP,AP接受此一讯息,则回应一个身份确认成功的通知给工作站,否则AP就会送出认证失败的消息。共享密钥(Shared key)这种方式较为复杂,其身份认证的讯息共为四种模式1、第一身份确认讯息;2、第二身份确认讯息;3、第三身份确认讯息;4、最终身份确认讯息认证过程如下:1、工作站发出第一身份确认给AP,当AP接收到这个讯息后,将一串资料经过某一编码(Key)加密后,形成第二身份确认的封装报文传回工作站2、工作站再依据相对
4、应的密钥将这个加密的封装报文解密,工作站再将此解密后的资料做为第三身份确认讯息传回AP,AP会对比收到的资料与原先加密前的资料是否相同,如果相同,则传回最终身份确认封包,完成身份认证的工作,否则AP会传回认证失败的讯息给AP,取消身份认证(Deauthentication),已经完成身份认证的工作站,可以经由这个服务取消认证,当认证取消后,工作站与AP之间的连接也同时取消。,保密(Privacy),由于无线网路是透过无线电波传送资料,这样的模式让任何人都可以接收到传送中的讯息,这种情形对资料的隐密性是一项很大的挑战,为了解决这个问题,IEEE 802.11提供使用者在传送资料时,可以对资料进行
5、加密与解密的动作,这就是保密服务。,IEEE 802.11的基本存取技术,IEEE802.11的标准又称为“无线以太网”以太网IEEE 802.3的基本存取技术:CSMA/CD(Carrier Sense Multiple Access with Collision Detection):其基本原理是利用侦测碰撞的方式来传送讯息,当有资料要送到网络上时,发送方会将封包直接送出,当封包在网络上遇到碰撞时(Collision),此封包会被退回发送端;在无线网络中,要侦测碰撞十分不容易,所以利用另一种方式来传输,这种存取模式为:CSMA/CA(Carrier Sense Multiple Acces
6、s、with Collision Avoidance),CSMA/CA,在CSMA/CA的载波感应模式中,发送端会先侦测环境,假如频道中没有其他讯号传送时,发送端会先等待一段随机时间(IFS;Interval Frame Space),在这一段时间过后,假如还没有侦测到任何讯号传送,发送端就会将封包传送出去;如果一开始就侦测到已经又讯号试用了这个频道,发送端会等到频净空,再等待一个随机的后退(Backoff)时间,然后重新进入频道竞争模式,此时已经历过后退Backoff的发送端在这个竞争模式下会自动提高它使用频道的优先权(Priority),这种架构可以避免有些发送端一直无法取得频道的使用权而
7、无法传送数据。,系统结构及组网方案,系统结构及组网方案Ad-hoc,无线网卡,无线网卡,无线网卡,无线网卡,无线网卡,系统结构及组网方案AP,系统结构及组网方案点对点桥接,系统结构和组网方案点对多点桥接,系统结构及组网方案无线中继,主要内容,WLAN技术基础中国移动WLAN业务总体技术要求中国移动WLAN业务接入流程中国移动WLAN业务,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要
8、设备接口,WLAN业务总则(滚动更新),在中国移动WLAN网络建设中,遵循国家环保局和无委电磁辐射标准要求。WLAN接入点的部署以热点地区为主,如机场,饭店,写字楼群,会展中心,以及其他商务人员经常聚集的公共场所。积极推广WLAN企业应用,培养企业用户WLAN使用习惯。支持在中国移动WLAN覆盖范围内的用户漫游,积极发展和其他运营商或者网络集成商WLAN网络间的漫游。用户认证以SIM方式为主,同时支持用户名/密码认证方式。中国移动WLAN用户认证和现有GSM网络资源和现有RADIUS认证系统高度融合。关于SIM认证,目前采用中国移动制定的基于802.1x机制的SIM认证标准;关于用户名/密码认
9、证,目前采用基于WEB方式的用户名/密码认证。支持基于时长的计费形式,并为现有移动用户提供统一帐单。为用户提供安全的WLAN接入方式,保护合法用户的认证和数据信息,防止非法用户的入侵。,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,WLAN业务,WLAN业务要求WLAN业务类型,WLAN业务要求,一键上网 业务控制多种计费方式用户漫游,认证和计费 安全的数据业务接入,WLA
10、N业务类型,互联网无线宽带接入 虚拟专用网业务(VPN)多媒体数据业务 基于WLAN的增值业务(和移动网络的融合),提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,WLAN业务网络系统结构和组网,WLAN业务网络系统结构WLAN业务网络组网WLAN业务网络部署,WLAN业务网络部署,AP的部署 AC的部署 Portal服务器的部署 RADIUS用户认证中心的部署 SIM认证中
11、心(AS)的部署 BOSS系统的部署,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,WLAN业务IP地址分配(需要更新),用户终端IP地址的分配 a.公有IP地址;b.DHCP动态地址分配用户地址和网关地址。设备IP地址的分配 a.为AP分配公/私有IP地址;b.为AC分配公有IP地址;c.WLAN接入设备IP地址的分配应该和城域网IP地址的分配统一规划;d.为SIM认证服
12、务器(AS)分配公有IP地址。,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,WLAN接入设备编号,接入点(AP)SSID的编号 接入点(AP)SSID的编号用于控制用户接入,中国移动接入点(AP)SSID编号为CMCC。WLAN接入设备编号a.HST.CTY.PRO.OPE.NAT b.HST表示WLAN热点覆盖地区,由4位数字组成,各省自己规划和分配,该段代码只对于分布
13、在WLAN热点覆盖地区的WLAN接入系统设备有效。c.CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示,右对齐左填零。d.PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。e.OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00。f.NAT表示WLAN所属的国家或者地区,由3位数字组成,中国为460。,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设
14、备功能WLAN主要设备接口,WLAN接入设备频率,频宽802.11b工作在2.4000GHz到2.4835GHz。信道配置802.11b有13个信道,但只有三个信道相互没有干扰,WLAN信道配置,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,用户漫游,用户漫游类型用户漫游支持,用户漫游类型,WLAN用户在中国移动WLAN覆盖范围内的漫游 WLAN用户在不同运营商之间的漫游,
15、漫游支持,WLAN用户接入地的识别 a.用户漫游结算 b.接入设备编号用户归属地的识别 a.SIM认证 IMSI b.用户名/密码认证 NAI,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,用户认证,WLAN用户认证模型 用户名/密码认证方式 SIM用户认证方式,WLAN用户认证模型,用户名/密码认证方式,用户密码的申请用户管理用户数据库的创建用户数据库的更新用户数据库的删
16、除用户合法性确认用户接入流程EAP-MD5(可选)WEB方式,SIM认证方式,用户管理 HLR中指定BearerService(31)为WLAN业务属性 用户接入流程 802.1x EAP-SIM,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,计费和结算,计费结算,计费,计费结构计费信息话单,计费结构,计费信息,用户身份信息 连接会话标识 连接时长连接起始时间 连接结束时间
17、 数据流量 上行数据流量 下行数据流量 计费信息采集前端设备IP地址 计费信息采集前端设备标识,话单,话单记录标记 业务类型 业务标识 计费用户号码 手机IMSI号 用户类型 用户归属省 用户漫游省 认证类型 起始时间 结束时间 连接时长 上行数据流量 下行数据流量 热点标识 AC的IP地址 AS的IP地址 归属运营商 漫游运营商 服务标识 ISP标识,结 算,对于用户在中国移动WLAN覆盖范围内的漫游结算,则完全遵循现有数据业务漫游的结算机制,利用已有的省级和全国漫游结算中心的设施和规则。对于不同运营商之间WLAN业务结算需要制定相关的结算协议实现中国移动和其他运营商之间的结算,然后再利用已
18、有的省级和全国漫游结算中心的设施和规则实现中国移动内部的结算。,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,网络管理,网管系统结构 网管接口 网管系统管理参数网管系统功能,网管系统结构,网管接口,标准和开放的网管接口 a.SNMP接口;b.Web接口;c.Telnet接口;d.SSH接口;网管信息模型 a.标准MIB-II b.IEEE802.11-MIB c.IEEE8
19、02.11b-MIB d.其它和设备相关的自定义MIB,网管系统管理参数,配置参数要求告警数据要求 性能数据要求,网管系统功能,数据采集 性能管理 故障管理 配置管理 安全管理 拓扑管理 业务管理和计费管理功能 实用工具功能,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,安全性,WLAN物理设备安全性 信息安全性 a.用户授权和认证 b.数据加密 c.防止非法AP设备 d.
20、VPN安全隧道 e.用户隔离,目前WLAN安全和解决方案,用户认证和授权信息的安全性用户认证信息(如密码)的动态生成用户认证和授权信息的加密用户认证和授权信息的完整性检查用户认证协议的安全性机制防止假冒合法用户用户名,IP地址,MAC地址的捆绑来唯一标志用户数据加密 空中接口的加密(目前是静态WEP加密)用户敏感数据的加密(目前用户选择使用IPSec加密技术)防止非法AP设备接入 在SIM认证中需要对网络侧进行认证用户隔离同一AP下用户不能直接相互访问不同AP下用户不能直接相互访问,将来的发展,动态WEP加密目前只有静态WEP加密或者不加密,将来需要支持基于802.11i标准的动态WEP加密安
21、全机制,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能WLAN主要设备接口,WLAN主要设备功能,WLAN终端网卡APACASRADIUS认证服务器,提 纲,WLAN业务总则WLAN业务WLAN业务网络系统结构和组网WLAN业务网络设备IP地址分配WLAN接入设备编号WLAN接入设备频率WLAN业务漫游WLAN业务用户认证WLAN业务计费和结算WLAN网络管理WLAN网络安全WLAN主要设备功能
22、WLAN主要设备接口,WLAN主要设备接口,WLAN移动终端和AP之间的接口 WLAN移动终端和AC之间的接口WLAN移动终端和PORTAL服务器之间的接口AP和AC之间的接口 AP与AS之间的接口AC与PORTAL服务器之间的接口AC与AS之间的接口AC和RADIUS用户认证服务器之间的接口 RADIUS用户认证服务器和BOSS系统之间的接口 AS与HLR/AuC之间的接口 AS与BOSS系统之间的接口,主要内容,WLAN技术基础中国移动WLAN业务总体技术要求中国移动WLAN业务接入流程中国移动WLAN业务,中国移动WLAN业务接入流程,SIM认证接入流程WEB用户名/密码认证接入流程,S
23、IM认证系统结构(1),AC作为WLAN用户接入认证点的SIM认证系统结构,SIM认证系统结构(2),AP作为WLAN用户接入认证点的SIM认证系统结构,SIM用户接入流程(1),SIM用户接入流程(2),用户主动下线,用户异常下线,相关协议,lRADIUS协议lEAP协议和EAP-SIM协议l MAP协议lDHCP协议lHTTP协议,协议参数,EAPoL/EAP报文参数RADIUS报文参数EAP-SIM报文参数,安全密钥和完整性检测算法,密钥类型 a.K_sres(128 bits)b.K_encr(128 bits)c.K_int(128 bits)d.Session key完整性检查AT
24、_MAC AT_MAC _SRES,中国移动WLAN业务接入流程,SIM认证接入流程WEB用户名/密码认证接入流程,WEB用户名密码认证系统结构,WEB用户接入流程(1),WEB用户接入流程(2),用户主动下线,用户异常下线,相关协议,lRADIUS协议lPORTAL 协议lDHCP协议lHTTP协议,协议参数,RADIUS报文参数PORTAL报文参数HTTP报文参数,主要内容,WLAN技术基础中国移动WLAN业务总体技术要求中国移动WLAN业务接入流程中国移动WLAN业务,中国移动WLAN业务,WLAN漫游业务 WLAN上网卡业务,WLAN网络漫游场景,漫游场景包括WISP网络、移动运营商网
25、络、企业网络、固网运营商用网络之间的漫游目前,在国内中国移动实现和中国网通WLAN网络之间的漫游,在国际实现了Goremote WLAN网络之间的漫游,WLAN漫游认证体系结构,Internet,WLAN接入控制点,访问网络,AAA代理,归属网络,RADIUS,AAA 服务器,Radius,WEB漫游认证,Portal,SSID设置,WLAN漫游用户终端需要设置和漫游接入网络相同的SSIDSSID区分大小写配置方式 a.用户根据热点信息预先手工配置b.终端操作系统提供网络选择信息,用户选择接入网络 c.网卡管理软件提供网络选择信息,用户选择接入网络 d.使用中国移动“随e行”客户端软件,提供网
26、络选择信息,用户选择接入网络;目前由于中国移动“随e行”客户端软件能够支持大多数网卡,建议使用该方式。e.中国移动的SSID定义为CMCC,用户标识,用户的标识用于区分不同运营商的用户,需要遵循统一的标准。用户标识采用“用户名+域名”的方式来标识用户。其中“用户名”是具有一定长度的字母数字字符串,用来区分不同的用户;“域名”是类似DNS域名的字符串,用来区分不同的实体,如不同的运营商或者企业等。漫游网络RADIUS认证服务器根据用户身份中的域名信息转发用户认证信息到用户归属网络RADIUS认证服务器。需要在相互漫游的运营商之间建立统一的域名标准,同时用户需要在终端配置自己的域名信息。,WLAN
27、用户接入地编号,WLAN用户接入地编号用于识别接入地,支持漫游计费和结算。接入控制器(AC)的设备编号形式为:HST CTY PRO OPE NAT。其中:a.HST表示WLAN热点覆盖地区,由4位数字组成,各省自己规划和分配,该段代码只对于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。出访不需要。b.CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示,右对齐左填零。出访不需要。c.PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。出访不需要。d.OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00。出访需要。e.NAT表示WLAN所
28、属的国家或者地区,由3位数字组成,中国为460。出访需要。,用户认证类型和认证协议,目前只支持WEB方式的漫游认证接入,用户认证信息的转发,访问网络AAA服务器能够通过用户身份信息识别归属网络RADIUS用户认证服务器(识别方式)转发方式直接方式:每台RADIUS客户机上配置所有RADIUS服务器的IP地址,如果RADIUS服务器数量多,配置复杂。间接转发方式:采用一个独立的RADIUS服务器用于转发RADIUS认证请求到相应的RADIUS服务器,配置简单。,WLAN漫游认证流程,漫游计费,漫游结算,制定结算规则根据漫游用户计费话单进行结算,用户下线,用户下线流程包括用户主动下线、异常下线和强
29、制用户下线三类情况。主动下线指用户使用客户端软件的下线机制发起下线请求。异常下线指AC侦测到网络故障等情况发生时的用户下线。强制下线是在用户鉴权成功后,AC在指定时间值时强制用户下线。,主动下线流程,AC侦测到异常下线,强制下线,在用户鉴权成功后,在Radius向用户发送的ACCESS-ACCEPT消息中,携带有用户一次可上网的最大时间值。AC根据该时间值强制用户下线。,漫游安全性,用户隔离支持VPN用户认证信息安全和加密(支持HTTPs)当由于网络或者设备发生故障时,应该保证漫游网络和用户归属地网络计费信息的一致性。即在发生异常情况时,双方计费服务器应该在指定时间间隔连续地发送计费信息,直到
30、计费服务器成功响应。,中国移动WLAN业务,WLAN漫游业务 WLAN上网卡业务,业务概述,中国移动WLAN上网卡业务是指:用户预先购买WLAN上网卡,刮开涂层获取用户名(在不同场合也可以叫作帐号,卡号)和密码。在有中国移动WLAN网络覆盖区域、或者与中国移动开通WLAN漫游的运营商网络覆盖区域,通过该用户名、密码接入到WLAN网络并上网。,业务分类,WLAN上网卡支持的业务种类 a.WLAN卡:仅支持WLAN上网b.三合一卡:支持WLAN上网,同时支持17200拨号上网、17950IP电话,共三种业务。按照使用范围,分为:a.全国卡:可全国漫游使用、可在与中国移动开通漫游的其他运营商漫游使用
31、;b.本地卡:仅在发卡地使用。目前仅提供全国卡业务,上网卡业务管理,卡的有效期修改:省管理员根据业务开展需要向集团公司上报,由集团公司管理员通过认证计费系统的管理界面对卡的有效期进行修改。卡信息查询:省管理员可以查询卡的基本信息和详细资料,系统提供多种查询方式,可以查询的卡用户信息包括:是否开户、卡号、批号、开户日期、卡状态、卡类型、用户使用明细、卡帐务信息等,查询条件可以为卡号、批号、时间等,条件项间还可以互相组合。卡的加解锁:管理员可以根据业务需要对卡进行加解锁处理,加锁后即使卡帐号上有余额也不能使用,解锁后恢复正常使用卡密码修改:管理员具有修改卡密码的权限,但目前不开放功能。卡业务统计:
32、对于WLAN上网卡的业务统计包括卡的发行情况、卡用户在一定时间内的使用金额、使用时长、使用业务种类等信息。,卡资费管理,WLAN上网卡的资费由集团公司统一制定,WLAN上网卡管理,卡类型定义:可以根据业务需求定义不同使用期限、不同卡名称、不同使用时段的卡类型,从而满足WLAN上网卡业务的多样化需求。批量开卡:可以是Radius系统进行批量的卡开户,也可以由制卡系统批量倒入卡帐号信息进行开卡。卡号回收:当批量的卡过期后,为了更好的管理卡号资源,可以进行卡号的回收工作。,WLAN上网卡业务自服务,认证计费平台通过WEB自服务系统向本地卡用户提供非常丰富的自服务功能,具体如下:自修改密码:卡用户可以
33、通过WEB自服务系统方便地修改密码 自查询帐单:卡用户可以通过WEB自服务系统方便地查询各种费 用信息,包括帐单查询,使用明细查询,充值信息查询,充值信息历史查询等等。自转帐:如果一个顾客前后买了两张WLAN上网卡,顾客可以通过WEB 自服务系统将其中一张卡中的剩余金额转到另一张卡上。,WLAN上网卡业务认证,WLAN上网卡业务的认证采用基于WEB的用户名/密码认证方式,WLAN上网卡认证流程,WLAN上网卡计费,基于时长的计费方式 实时计费,当用户余额不足时,网络需要断开该用户,WLAN上网卡结算,可以漫游的WLAN上网卡,需要在接入地和用户归属地之间进行漫游结算;对于在不同运营商之间漫游的WLAN上网卡,具体的结算规则需要参照相关漫游结算规则。,谢谢!,