电信级WLAN认证平台系统建设方案探讨

（中国移动通信集团设计院有限公司，北京 100080）

电信级WLAN认证平台系统建设方案探讨

刘长瑞

（中国移动通信集团设计院有限公司，北京 100080）

目前各运营商均建设了WLAN认证平台，如何提升用户使用感知、保障业务的稳定性成为各运营商目前面临的当务之急。本文针对认证平台的特点，提出了认证流程优化和多中心系统的建设方案，并对各种不同的方案进行了分析比较，为认证平台的实际建设提供指导。

认证流程；MAC；负荷分担

1 背景

WLAN（Wireless Local Area Networks， 无线局域网)，是电信运营商提供的一种无线宽带接入服务。用户可通过内置WLAN无线模块的终端或WLAN网卡的方式获得互联网接入服务。WLAN业务面向手机用户开放，用户可以在有电信运营商无线网络覆盖的区域连接网络，即无线访问互联网。

2 现状及问题

目前WLAN业务支持“帐号+密码”的认证能力，用户可以通过以下3种方式认证：Web认证、客户端认证、自动登陆认证（EAP-SIM/PEAP）使用WLAN业务。Web认证是指用户通过WLAN门户页面手动输入用户名密码登陆使用；客户端认证是指用户需下载并在终端上安装客户端，在客户端内配置用户名/密码后使用；自动登陆认证是指用户首次使用时需要进行终端配置，配置成功后，终端会自动保存，下次上线无需用户配置，终端自动进行认证，该方式支持部分操作系统，不能适用于所有终端。

Web认证和客户端认证方式均需要用户进行手动配置，用户使用便捷性大打折扣；自动登陆认证方式初次使用时需要进行终端配置并且不能适用所有终端，有一定的局限性。为了提高用户使用感知，减少用户手动操作次数，需要在原有Web认证方式的基础上进行流程优化即引入MAC认证方式。

另一方面，目前WLAN认证平台系统的单节点建设模式难以保证大容量WLAN认证的可靠性和业务连续性，系统发生故障时会引起业务中断，影响了用户使用和满意度。因此WLAN认证系统多中心系统的建立对于WLAN业务的今后发展尤为重要。

3 认证流程优化方案分析

3.1 方案说明

MAC认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。MAC认证与自动登陆方式不同，用户不需要对终端进行配置，主要工作在网络侧完成。网络设备在首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，也不需要用户手动输入用户名或者密码。

3.2 网元改造

根据目前WLAN系统网络现状，可以通过以下两种改造方案实现MAC认证。

3．2．1 方案1：由Radius网元存储用户MAC信息

主要接入流程阶段说明：

用户终端与WLAN网络关联；

AC在DHCP地址分配的阶段，向Radius发起认证请求，携带用户MAC地址；

如果用户已开通MAC认证，允许用户直接上网；如果用户未开通，强制发起Web认证流程，用户在认证页面上选择开通MAC认证，正常认证通过后，Radius记录MAC地址；

用户再次与WLAN网络关联时，AC自动发起MAC认证并认证通过。

认证接入流程如图1所示。

3．2．2 方案2：由Portal网元存储用户MAC信息

主要接入流程阶段说明：

用户终端与WLAN网络关联；

AC对终端的流量进行监测，当流量超过阈值时（如5 min流量大于10 kB），Portal启动MAC认证；

如果用户已开通MAC认证，允许用户直接上网；如果用户未开通，强制发起Web认证流程，用户在认证页面选择开通MAC认证，正常认证通过后，Portal留存该用户的用户名密码、MAC、UA等信息；

用户再次连接WLAN网络，流量超过阈值，AC自动发起MAC认证并认证通过。

认证接入流程如图2所示。

两种实现MAC认证方案对比如表1所示。

图1 方案1认证接入流程

图2 方案2认证接入流程

考虑方案1改造网元较多，对Radius性能处理能力冲击大；而方案2在此方面有优势，同时，方案2可以只允许使用手机终端MAC认证，同一用户多MAC问题容易发现，投诉处理简单。因此，建议采用方案2实现MAC认证。

3.3 业务推广分析

MAC认证具有进入电信运营商WLAN网络覆盖区域自动认证、无需用户手动干预、终端适用范围广等优点。因此，可以考虑将MAC认证作为引导用户培养无感知自动认证使用习惯的一种方式。

对于MAC地址易于仿冒的问题，可通过以下方式进行业务安全提升，以减少仿冒MAC的驱动力。

同一WLAN账号下仅允许绑定1个终端，当绑定第二个终端时，第一个终端自动取消绑定。用户可自主锁定/解锁自己的WLAN账号。对于已经绑定MAC地址的WLAN账号（手机号），若WLAN认证平台发现有相同MAC地址的其它终端已在线，则WLAN认证平台应向该手机账号发送提醒短信。

表1 方案对比表

当认证平台接受到相同MAC地址的认证后，则发送提醒短信告知账号拥有者有MAC仿冒的风险，且使第二个发起认证的MAC地址终端认证失败，随即端推送认证页面，推荐用户通过WEB方式进行认证。

4 多中心系统建设方案分析

根据网络现状，WLAN认证多中心系统有以下3种方式实现方案：分区域负载分担全网容灾、分区域负载分担区内数据库同步、数据库远程同步负载分担。下面就方案特点、与相关网元的组网结构、数据同步3个方面进行方案分析比较。

4.1 方案1分区域负载分担全网容灾

4．1．1 方案特点

按区域分为两大区，每个大区内建设1个节点，处理本区内归属用户的全部业务。两大区各承载全网一半业务量，负荷分担承载业务。当某节点故障时，另一节点接管全部业务，保证用户使用WLAN业务不中断，对用户提供的服务质量不降低。

4．1．2 组网结构

（1）与AC的组网：正常情况下，本区的AC只与本区的Portal、Radius通信，节点故障时，AC切换到备用连接。

（2）与BOSS的组网：话单由两个大区Radius送一级BOSS，一级BOSS分拣后送归属省BOSS；对套餐订购等实时交易接口，正常情况下一级BOSS仅与A区Radius接口，由Radius之间进行转发，接口机故障情况下进行手工切换。

（3）与HLR的组网：两个大区的Radius通过HSTP与用户归属HLR连接。

（4）与另一节点的组网：本区Portal与本区和另一大区的Radius进行连接，两大区Radius互联。

（5）大区内各节点系统组网：硬件冗余配置，软件采用模块化结构，便于系统后续平滑扩展。

方案1组网示意图如图3所示。

图3 方案1组网结构示意图

4．1．3 数据同步

考虑数据安全性，建议节点间使用专线连接，采用远程文件接口方式进行全量用户数据的数据同步。数据同步内容包括用户属性、套餐信息、使用历史信息、自服务等相关信息。对于用户开户、套餐订购/变更信息、密码修改/重置采用准实时同步方式；对于用户使用历史纪录、套餐提醒相关信息等采用定期同步方式。

4.2 方案2分区域负载分担区内数据库同步

4．2．1 方案特点

按区域分为两大区，每个大区均建设2个节点，2节点之间基于数据库远程实现同步，协同处理本区归属用户业务。两大区各承载全网一半业务量，大区内双节点再按省进行负荷分担，在大区内某一节点故障时，该节点所属大区的另一节点接管全部业务， 保证用户使用WLAN业务不中断，对用户提供的服务质量不降低。

4．2．2 组网结构

（1）与AC的组网： 正常情况下，本区的AC只与本区的认证节点1通信；本大区某一节点故障时，AC切换到与本大区另一认证节点通信。

（2）与BOSS系统的组网：A大区节点1作为与BOSS系统的主接口点，对于B大区用户，转发给B大区节点1处理。本大区内用户采用数据同步机制，不需节点2处理；

当A大区节点1发生故障情况时，由BOSS系统配合将IP地址指向节点2；此时由A大区节点2负责转发给B大区节点1；

当B大区节点1发生故障，需要A大区节点手工进行切换，转发给B大区节点2。

（3）与HLR的组网：两个大区内4个节点的Radius通过HSTP连接用户归属HLR。

（4）节点之间的组网：大区内两个节点之间进行数据库远程同步，大区之间的节点数据不同步。

（5）大区内各节点系统组网：与方案1相同。方案2组网示意图如图4所示。

4．2．3 数据同步

数据同步方式建议：两大区之间不做数据同步，仅大区内双节点进行数据同步，节点间数据同步采用跨地域局域网传输方式。数据同步内容包括用户属性、套餐信息、使用历史信息、自服务相关信息、话单记录等，并且当前所有用户的在线信息、上线终端地址、用户名、时间、上线方式等相关信息也要同步。数据同步要求实时同步，实际运营时，端到端时延在100 ms以内。

4.3 方案3数据库远程同步负载分担

4．3．1 方案特点

按接入地划分为两大区，每个大区内建设1个节点，分别处理业务。节点之间数据实时同步，不存在漫游问题。两大区各承载全网一半业务量，某节点故障时，另一节点接管全部业务，保证用户使用WLAN业务不中断，对用户提供的服务质量不降低。

4．3．2 组网结构

（1）与AC的组网：与方案1相同。

图4 方案2组网结构示意图

（2）与BOSS的组网：与方案1相同。（3）与HLR的组网：与方案1相同。（4）节点之间的组网：两节点之间通过局域网专线连接，处于同一局域网内。节点之间进行基于数据库同步技术的用户数据实时同步，用户数据保持完全一致，用户认证直接在接入地完成，不存在漫游问题。

（5）大区内各节点系统组网：与方案1相同。

方案3组网示意图如图5所示。

图5 方案3组网结构示意图

4．3．3 数据同步

节点间采用跨地域局域网传输方式进行数据同步。数据同步内容包括用户属性、套餐信息、使用历史信息、自服务相关信息等，并且用户的在线信息、上线终端地址、用户名、时间、上线方式等相关信息也要同步。数据同步要求实时同步，实际运营时，端到端时延在100 ms以内。当双节点距离较远时，网络条件及路由影响可能导致传输时延增加，从而导致数据库同步，时延增加，存在一定风险。

4.4 方案比较

建设方案对比如表2所示，考虑到方案3数据库远程同步负载分担模式不利于引入多厂家竞争，且数据库远程同步存在一定风险；同时考虑到系统可靠性以及维护部门的实际需求，建议采用方案2即分区域负载分担区内数据库同步容灾方式建设。为规避不同厂商系统数据互通的风险，建议大区内双节点应采用同厂商同架构的建设方式。

4.5 业务场景分析

采用方案2建设WLAN认证平台多中心系统后，用户使用业务的场景分析如下。

4．5．1 正常情况下用户使用

对本地用户：两个节点的数据基于数据库远程实时同步，用户在拜访地大区的AC接入，就直接由拜访地大区的Portal、Radius负责业务处理，不存在用户漫游的概念，认证相关消息不需要在两个节点间进行转发。

对漫游用户：需要拜访地Portal、Radius与归属地Radius配合完成认证处理。

4．5．2 故障情况用户使用

本大区双节点容灾机制：A区内认证节点1出现故障情况下，通过DNS修改和AC切换，将大区内业务倒换至认证节点2。同时B区的漫游转发目的地址也需修改至A区认证节点2。

表2 建设方案对比表

5 总结

WLAN业务的通信范围不受环境条件的限制，具有传统局域网无法比拟的灵活性，可以满足人们移动办公的梦想，创造一个丰富多彩自由交流的平台。电信运营商开通WLAN业务以来，业务量一直呈明显的上升趋势，WLAN用户数已经具有了较大规模，用户对WLAN业务的便捷性和业务连续性也有较高要求。WLAN认证流程的优化和多中心体系的建设将能向用户推出更好的WLAN业务，使用户能够更加便捷可靠的使用电信运营商WLAN业务，加强企业的业务竞争能力。

News

设计院研究所致力于ITU国际标准化工作 担任WP5D起草组主席职位

频谱是无线通信运营商网络规划建设的重要资源，积极参与国际频谱标准化活动对于确保中国移动未来可用频谱的长远利益、提升中国移动在国家及国际频谱研究与政策制定领域的影响力具有重要的意义。ITU-R WP5D是国际电联专门负责移动通信频谱及技术研究的工作组，其所发布的建议书与研究报告在全球范围内具有重大影响力，并对国际通信领域未来的发展有高度指导意义。

2014年6月16日至27日在加拿大哈利法克斯召开ITU-R WP5D第19次会议。中国移动通信集团设计院研究所频谱工程项目组徐晓燕代表国家和中国移动参加了本次会议。目前，WP5D正在开展频率规划、频谱需求、电磁兼容等诸多问题的研究。在中国将2.3 GHz、2.6 GHz频段分配给多家运营商运营TD-LTE网络的背景下，多家运营商在同一地理区域部署TDD网络的相关研究课题也成为当前国际研究的热点，WP5D专门设立了一个起草组开展多运营商在同一地理区域部署TDD网络的共存研究工作。设计院代表在本次会议担任了此项起草组的主席，主导会议完成研究报告框架、基站间及UE间干扰场景评估、TDD同步方案等研究内容，为中国代表团及中国移动在ITU发挥主导作用、加强设计院在国际标准化舞台的影响力做出贡献。此外，设计院代表还积极参与包括3.4～3.6 GHz IMT与固定卫星业务共存分析、频谱需求预测等项目的研究，为ITU后续新增移动通信频谱工作提供奠定基础。

Discussion on WLAN authentication system construction scheme

LIU Chang-rui
(China Mobile Group Design Institute Co., Ltd., Beijing 100080, China)

This article according to the characteristics of WLAN authentication system, put forward the process optimization of WLAN service and construction scheme of WLAN authentication in multicenter recovery system, and different schemes are analyzed and compared. To facilitate the construction of the WLAN authentication system, this article has extremely important signif cance.

certif cation process; MAC; load sharing

TN915

A

1008-5599（2014）07-0031－06

2014-04-03