劉長(zhǎng)瑞，聶明

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

WLAN業(yè)務(wù)是移動(dòng)運(yùn)營(yíng)商提供的一種無(wú)線寬帶接入服務(wù)，在有其WLAN信號(hào)覆蓋的區(qū)域，用戶可通過(guò)具備WLAN功能的筆記本電腦、手機(jī)等終端訪問(wèn)互聯(lián)網(wǎng)業(yè)務(wù)，從而進(jìn)行信息獲取、娛樂(lè)或者移動(dòng)辦公。

隨著WLAN業(yè)務(wù)的不斷發(fā)展，用戶越來(lái)越關(guān)注安全性和服務(wù)質(zhì)量，所以發(fā)展WLAN業(yè)務(wù)要以“安全、方便、可行”為原則，進(jìn)一步改善用戶的使用感知，提高客戶的滿意度。

1 目前WLAN認(rèn)證存在問(wèn)題及改善方式

目前用戶可以通過(guò)Web Portal方式、基于瀏覽器的登錄Cookie認(rèn)證方式和客戶端方式等多種方式完成認(rèn)證，使用WLAN業(yè)務(wù)。用戶使用幾種認(rèn)證方式的體驗(yàn)和存在問(wèn)題如表1所示。

為了改善用戶使用WLAN業(yè)務(wù)的體驗(yàn)，目前可以通過(guò)提供WLAN無(wú)感知認(rèn)證的方式，達(dá)到不需要用戶干預(yù)、在用戶無(wú)感知情況下認(rèn)證通過(guò)、使用WLAN網(wǎng)絡(luò)的目的，并且通過(guò)WLAN無(wú)感知認(rèn)證方式的推廣，扭轉(zhuǎn)當(dāng)前優(yōu)選WLAN網(wǎng)絡(luò)主要依靠用戶主動(dòng)選擇的局面，實(shí)現(xiàn)用戶在使用WLAN業(yè)務(wù)時(shí)能夠達(dá)到與GPRS網(wǎng)絡(luò)一樣的自動(dòng)接入體驗(yàn)，使WLAN網(wǎng)絡(luò)作為數(shù)據(jù)熱點(diǎn)地區(qū)2G網(wǎng)絡(luò)的有效補(bǔ)充，提供高速數(shù)據(jù)業(yè)務(wù)，分擔(dān)數(shù)據(jù)業(yè)務(wù)流量，從而使WLAN網(wǎng)絡(luò)更好的起到數(shù)據(jù)流量分流的作用。

2 無(wú)感知認(rèn)證方式的分析

WLAN認(rèn)證一般采用EAP認(rèn)證協(xié)議，在此框架內(nèi)大約有40種不同的方法，接受比較廣泛的有7～8種；根據(jù)調(diào)查，終端支持情況較好的有SIM、PEAP認(rèn)證方式，可以為用戶提供無(wú)感知認(rèn)證，達(dá)到用戶終端在Wi-Fi開(kāi)關(guān)打開(kāi)情況下，用戶進(jìn)入移動(dòng)運(yùn)營(yíng)商WLAN信號(hào)的覆蓋區(qū)域，終端自動(dòng)（或用戶手動(dòng)選擇）與運(yùn)營(yíng)商的SSID連接，無(wú)需用戶參與即可自動(dòng)完成認(rèn)證，為用戶提供無(wú)感知認(rèn)證服務(wù)。

表1 用戶使用體驗(yàn)及問(wèn)題

2.1 SIM認(rèn)證方式分析

SIM認(rèn)證是基于802.1x認(rèn)證架構(gòu)和3GPP的EAP-AKA/EAP-SIM鑒權(quán)方法實(shí)現(xiàn)的，主要涉及到WLAN用戶終端、WLAN接入網(wǎng)設(shè)備AP/AC、WLAN認(rèn)證系統(tǒng)中的3GPP AAA Server以及HLR系統(tǒng)等網(wǎng)元。各網(wǎng)元相互協(xié)作，基于用戶的(U）SIM卡信息認(rèn)證接入用戶的合法性：終端將SIM卡的IMSI信息上報(bào)網(wǎng)絡(luò)，網(wǎng)絡(luò)根據(jù)HLR簽約信息與終端交互自動(dòng)認(rèn)證，用戶首次使用時(shí)需要在終端上進(jìn)行SIM認(rèn)證的相關(guān)配置，后續(xù)使用即可實(shí)現(xiàn)免登陸上網(wǎng)，為用戶提供與蜂窩網(wǎng)相同的接入體驗(yàn)。SIM認(rèn)證系統(tǒng)結(jié)構(gòu)如圖1所示。

(1）WLAN用戶終端：為SIM認(rèn)證體系中的接入請(qǐng)求系統(tǒng)。用戶進(jìn)行SIM認(rèn)證時(shí)，WLAN用戶終端發(fā)起鑒權(quán)請(qǐng)求，對(duì)應(yīng)802.1x架構(gòu)中的客戶端系統(tǒng)；

(2）WLAN接入網(wǎng)設(shè)備：包括AP和AC兩個(gè)網(wǎng)元。AP網(wǎng)元需支持802.11i的加密功能，AC網(wǎng)元需支持802.1x認(rèn)證功能。WLAN接入網(wǎng)設(shè)備在SIM認(rèn)證中負(fù)責(zé)對(duì)WLAN用戶終端的接入鑒權(quán)，對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證者系統(tǒng)；

(3）3GPP AAA Server：為SIM 認(rèn) 證體系中用戶認(rèn)證的執(zhí)行點(diǎn)，負(fù)責(zé)對(duì)WLAN用戶終端認(rèn)證和授權(quán)功能，認(rèn)證和授權(quán)信息取自HLR。3GPP AAA Server包括了業(yè)務(wù)功能域、協(xié)議與接口域、管理域，各域包括相應(yīng)的功能模塊，與HLR一起對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證服務(wù)器系統(tǒng)；

(4）HLR系統(tǒng)：在SIM認(rèn)證體系中負(fù)責(zé)用戶鑒權(quán)和簽約信息的存儲(chǔ)，與3GPP AAA Server交互，完成鑒權(quán)和簽約信息的交互。

SIM認(rèn)證的主要接入流程包括建立關(guān)聯(lián)、認(rèn)證授權(quán)、DHCP地址分配、計(jì)費(fèi)等幾個(gè)階段，其認(rèn)證接入流程如圖3所示。

圖1 SIM認(rèn)證系統(tǒng)結(jié)構(gòu)

圖2 3GPP AAA Server系統(tǒng)架構(gòu)

圖3 SIM認(rèn)證接入流程

主要接入流程階段說(shuō)明：

(1）建立關(guān)聯(lián)：終端和AP/AC建立關(guān)聯(lián)之后，終端向AP/AC發(fā)起鑒權(quán)請(qǐng)求；

(2）認(rèn)證授權(quán)：EAP-SIM/AKA認(rèn)證階段，支持SIM卡的終端按照EAP-SIM流程完成認(rèn)證；支持USIM卡和EAP-AKA的終端按照EAP-AKA流程完成認(rèn)證；

(3）地址分配：認(rèn)證成功后，終端進(jìn)行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網(wǎng)絡(luò)上網(wǎng)；

(4）計(jì)費(fèi)：包括計(jì)費(fèi)開(kāi)始、計(jì)費(fèi)更新、計(jì)費(fèi)結(jié)束。AC作為計(jì)費(fèi)信息采集前端，采集WLAN用戶的計(jì)費(fèi)原始數(shù)據(jù)信息，傳送給3GPP AAA Server。3GPP AAA Server是 計(jì)費(fèi)話單采集點(diǎn)，在收到用戶的計(jì)費(fèi)原始數(shù)據(jù)信息后，生成用戶WLAN業(yè)務(wù)計(jì)費(fèi)話單。

2.2 PEAP認(rèn)證方式分析

PEAP認(rèn)證體系架構(gòu)基于802.1x認(rèn)證體系架構(gòu)實(shí)現(xiàn)的，主要涉及到WLAN用戶終端、WLAN接入網(wǎng)設(shè)備AP/AC、WLAN認(rèn)證系統(tǒng)中的3GPP AAA Server等網(wǎng)元。各網(wǎng)元相互協(xié)作，基于用戶的認(rèn)證信息驗(yàn)證接入用戶的合法性：終端與網(wǎng)絡(luò)關(guān)聯(lián)后，基于證書(shū)認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道，將儲(chǔ)存在終端中的用戶名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)進(jìn)行用戶身份認(rèn)證。用戶首次使用時(shí)需要在終端上進(jìn)行PEAP認(rèn)證的相關(guān)配置，并輸入用戶名、密碼，后續(xù)使用即可實(shí)現(xiàn)免登陸上網(wǎng), 為用戶提供與蜂窩網(wǎng)相同的接入體驗(yàn)。PEAP認(rèn)證系統(tǒng)結(jié)構(gòu)如圖4所示。

(1）WLAN用戶終端：為PEAP認(rèn)證體系中的接入請(qǐng)求系統(tǒng)。用戶進(jìn)行PEAP認(rèn)證時(shí)，WLAN用戶終端發(fā)起鑒權(quán)請(qǐng)求，對(duì)應(yīng)802.1x架構(gòu)中的客戶端系統(tǒng)；

(2）WLAN接入網(wǎng)設(shè)備：包括AP和AC兩個(gè)網(wǎng)元。AP網(wǎng)元需支持802.11i的加密功能，AC網(wǎng)元需支持802.1x認(rèn)證功能。WLAN接入網(wǎng)設(shè)備在PEAP認(rèn)證中負(fù)責(zé)對(duì)WLAN用戶終端的接入鑒權(quán)，對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證者系統(tǒng)；

(3）3GPP AAA Server：為PEAP認(rèn)證體系中用戶認(rèn)證的執(zhí)行點(diǎn)，負(fù)責(zé)對(duì)WLAN用戶終端認(rèn)證和授權(quán)功能，對(duì)應(yīng)802.1x架構(gòu)中的認(rèn)證服務(wù)器系統(tǒng)。

PEAP認(rèn)證的主要接入流程包括建立關(guān)聯(lián)、認(rèn)證授權(quán)(包括TLS隧道建立、MS-CHAP-v2認(rèn)證）、DHCP地址分配和計(jì)費(fèi)等幾個(gè)階段，其認(rèn)證接入流程如圖5所示。

圖4 PEAP認(rèn)證系統(tǒng)結(jié)構(gòu)

主要接入流程階段說(shuō)明：

(1）建立關(guān)聯(lián)：終端和AP/AC建立關(guān)聯(lián)之后，終端向AP/AC發(fā)起鑒權(quán)請(qǐng)求；

(2）認(rèn)證授權(quán)：EAP-PEAP認(rèn)證階段，包括TLS隧道建立、MS-CHAP-v2認(rèn)證。對(duì)任何使用PEAP認(rèn)證方式接入的終端，只要在終端使用數(shù)限制范圍內(nèi)，網(wǎng)絡(luò)側(cè)不會(huì)拒絕終端接入認(rèn)證。并且如果網(wǎng)絡(luò)側(cè)判定之前已有同一用戶身份信息的終端在線，則網(wǎng)絡(luò)側(cè)在終端重新接入認(rèn)證的同時(shí)保持原有計(jì)費(fèi)，認(rèn)證成功后視為同一次計(jì)費(fèi)；

(3）地址分配：認(rèn)證成功后，終端進(jìn)行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網(wǎng)絡(luò)上網(wǎng)；

(4）計(jì)費(fèi)：包括計(jì)費(fèi)開(kāi)始、計(jì)費(fèi)更新、計(jì)費(fèi)結(jié)束。AC作為計(jì)費(fèi)信息采集前端，采集WLAN用戶的計(jì)費(fèi)原始數(shù)據(jù)信息，傳送給3GPP AAA Server。3GPP AAA Server是計(jì)費(fèi)話單采集點(diǎn)，在收到用戶的計(jì)費(fèi)原始數(shù)據(jù)信息后，生成用戶WLAN業(yè)務(wù)計(jì)費(fèi)話單。

2.3 用戶使用體驗(yàn)

當(dāng)用戶使用支持SIM認(rèn)證、PEAP認(rèn)證功能的Wi-Fi手持終端開(kāi)通無(wú)感知認(rèn)證功能后，在其移動(dòng)運(yùn)營(yíng)商WLAN網(wǎng)絡(luò)信號(hào)覆蓋的區(qū)域下，即可享受自動(dòng)登錄體驗(yàn)。

用戶在首次使用時(shí)，如果所持終端支持SIM認(rèn)證，需要在終端上的SSID選項(xiàng)配置中配置好算法，進(jìn)行保存；如果所持終端支持PEAP認(rèn)證，需要在終端上的SSID選項(xiàng)配置中輸入PEAP認(rèn)證所需的用戶名和密碼，進(jìn)行保存。配置成功后，終端會(huì)自動(dòng)保存用戶名和密碼，下次上線無(wú)需用戶配置，終端自動(dòng)進(jìn)行認(rèn)證，終端獲得IP地址后用戶即可上網(wǎng)。當(dāng)用戶離開(kāi)移動(dòng)運(yùn)營(yíng)商WLAN網(wǎng)絡(luò)信號(hào)覆蓋區(qū)域后，再次回到信號(hào)覆蓋區(qū)域，若用戶終端IP地址在續(xù)約期內(nèi)，仍能使用WLAN業(yè)務(wù)；若用戶終端IP地址已過(guò)續(xù)約期，終端將自動(dòng)發(fā)起無(wú)感知認(rèn)證。

用戶開(kāi)通無(wú)感知認(rèn)證功能后，可以通過(guò)主動(dòng)下線和網(wǎng)絡(luò)發(fā)起下線兩種方式觸發(fā)下線。主動(dòng)下線即用戶主動(dòng)向網(wǎng)絡(luò)側(cè)發(fā)起下線發(fā)起請(qǐng)求退出網(wǎng)絡(luò)；網(wǎng)絡(luò)發(fā)起下線即網(wǎng)絡(luò)發(fā)起下線流程適用于網(wǎng)絡(luò)管理的場(chǎng)景，如用戶在線達(dá)8h后網(wǎng)絡(luò)側(cè)會(huì)主動(dòng)發(fā)起下線流程，網(wǎng)絡(luò)側(cè)發(fā)現(xiàn)用戶欠費(fèi)時(shí)也可以觸發(fā)網(wǎng)絡(luò)發(fā)起下線流程。

對(duì)于SIM認(rèn)證和PEAP認(rèn)證，兩種認(rèn)證方式均能實(shí)現(xiàn)無(wú)需用戶干預(yù)的無(wú)感知認(rèn)證，減少認(rèn)證過(guò)程中用戶主動(dòng)參與的次數(shù)，改善和提高了用戶業(yè)務(wù)使用體驗(yàn)，在技術(shù)上可以實(shí)現(xiàn)同時(shí)引入，由網(wǎng)絡(luò)側(cè)根據(jù)終端主動(dòng)上報(bào)的終端類型優(yōu)先選擇認(rèn)證方式，實(shí)現(xiàn)認(rèn)證技術(shù)對(duì)用戶透明，即無(wú)論用戶使用何種方式，用戶體驗(yàn)基本一致。

圖5 PEAP認(rèn)證接入流程

3 業(yè)務(wù)推廣分析

在引入無(wú)感知認(rèn)證方式后,為了能夠吸引更多的用戶通過(guò)無(wú)感知認(rèn)證功能使用WLAN網(wǎng)絡(luò)，發(fā)揮WLAN網(wǎng)絡(luò)的作用，在業(yè)務(wù)推廣方面可以考慮以下幾點(diǎn)因素：

(1）面向所有具有WLAN功能的手持終端（手機(jī)或PAD等非PC操作系統(tǒng)的平板電腦）的用戶提供無(wú)感知認(rèn)證功能；

(2）目前用戶在使用WLAN業(yè)務(wù)時(shí)，無(wú)法同時(shí)使用Wi-Fi手機(jī)和電腦使用WLAN業(yè)務(wù)，后一個(gè)使用的終端會(huì)造成前一個(gè)終端的強(qiáng)制下線。如果用戶的不同終端（如手機(jī)和IPAD）均開(kāi)通了無(wú)感知認(rèn)證功能并打開(kāi)了Wi-Fi開(kāi)關(guān)，則進(jìn)入熱點(diǎn)后，只有隨機(jī)的一臺(tái)終端能夠?qū)崿F(xiàn)連接，影響用戶體驗(yàn)。因此，WLAN業(yè)務(wù)在引入無(wú)感知認(rèn)證功能后，考慮用戶同時(shí)擁有手機(jī)、電腦和PAD的情形，對(duì)于開(kāi)通無(wú)感知認(rèn)證的用戶，系統(tǒng)應(yīng)能夠支持同一用戶多終端同時(shí)使用WLAN；

(3）在現(xiàn)有WLAN業(yè)務(wù)標(biāo)準(zhǔn)資費(fèi)、按月包時(shí)長(zhǎng)套餐、包單位時(shí)間套餐的計(jì)費(fèi)模式下，無(wú)感知認(rèn)證可能會(huì)造成用戶在不知情情況下長(zhǎng)時(shí)間在線，損害用戶利益。為避免按現(xiàn)有時(shí)長(zhǎng)計(jì)費(fèi)而引發(fā)的問(wèn)題，可以引入專屬套餐（流量封頂）配合無(wú)感知認(rèn)證功能。用戶開(kāi)通無(wú)感知認(rèn)證功能后，可以不限制時(shí)長(zhǎng)的使用WLAN上網(wǎng)，當(dāng)流量達(dá)到封頂限制后，系統(tǒng)會(huì)提示用戶不能登錄網(wǎng)絡(luò)，如需繼續(xù)使用，用戶可以選擇訂購(gòu)專屬套餐疊加包。

4 結(jié)束語(yǔ)

WLAN業(yè)務(wù)的通信范圍不受環(huán)境條件的限制，具有傳統(tǒng)局域網(wǎng)無(wú)法比擬的靈活性，可以滿足人們移動(dòng)辦公的夢(mèng)想，創(chuàng)造一個(gè)豐富多彩自由交流的平臺(tái)。

目前發(fā)展WLAN業(yè)務(wù)可以通過(guò)優(yōu)化WLAN認(rèn)證方式提供無(wú)感知認(rèn)證功能，改善和提高用戶的使用體驗(yàn)，向用戶提供更好的WLAN業(yè)務(wù)，使用戶能夠更加方便、快捷、自由的使用WLAN業(yè)務(wù)。

未來(lái)發(fā)展WLAN業(yè)務(wù)應(yīng)以WLAN網(wǎng)絡(luò)分流2G網(wǎng)絡(luò)數(shù)據(jù)流量、緩解無(wú)線網(wǎng)絡(luò)壓力為發(fā)展目標(biāo)，引導(dǎo)更多的手機(jī)流量遷移到WLAN網(wǎng)絡(luò)，提高移動(dòng)運(yùn)營(yíng)商在WLAN領(lǐng)域的市場(chǎng)競(jìng)爭(zhēng)力，樹(shù)立良好的企業(yè)形象。

[1] 中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn). 中國(guó)移動(dòng)無(wú)線局域網(wǎng)（WLAN）業(yè)務(wù)規(guī)范[S].

[2] 中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn). 中國(guó)移動(dòng)無(wú)線局域網(wǎng)（WLAN）用戶接入流程技術(shù)規(guī)范[S].