无线LAN移动接入网

7． 移动终端计算消息鉴权码并与从网络接收来的码进行比较。假如两者不一致，中断并怀疑为欺诈性业务，拒绝其鉴权申请。使攻击者不可能从IMSI中提取RAND和签字响应SRES (Signed Response)，也不可能从存贮在SIM卡中提取安全钥；

8． 移动终端利用SIM卡中的算法计算SRES和消息鉴权码；

9． 移动终端把计算结果送至接入控制器；

10. 接入控制器把响应送入鉴权服务器；

11. 鉴权服务器用SRES计算消息鉴权码再验证响应；

12. 鉴权服务器把鉴权结果码送至接入服务器；

13. 假如鉴权结果是正确的，接入控制器给鉴权服务器发出指示，建立新会话；

14，15. 接入控制器安置分组数据路由并发出应答信号。 鉴权中断有下述原因：HLR中不含有IMSI，接入操作器不支持IMSI的漫游，鉴权服务器没有接收到来自HLR关联字节，移动终端停留在非鉴权状态，接入控制器不安置终端IP流量的路由等。

4．2 计费和付费

接入控制器监控数据流量并周期地给鉴权服务器发送流量统计信息，计费流量统计方法有下述机理：

1. 基于连接开始和终止时间；

2. 基于传送数据流量；

3. 基于平直速率。

鉴权服务器把计费数据转换成标准的GPRS计费数据格式（CDR－Charging Data Record）,鉴权服务器确证接收到与鉴权终端有关的计费数据，确保通信联络没有确证前不会产生计费记录。在接入控制器和鉴权服务器间传送数据采用IP安全（IP Security -- IPSEC）协议加密。

4．3 漫游至外来WLAN网络

不同于Internet业务运行，OWLAN系统用同一设施和机制来支持不同接入网间和运行网间的漫游。

1. 漫游移动终端连结相关外来运行商的WLAN，并把鉴权申请发给接入控制器，接入控制器再把鉴权申请送至鉴权服务器；

2. 鉴权服务器验证IMSI，利用GSM SS7网给HLR发出鉴权查询.；

3. 对应的HLR以用户和鉴权关联字节进行计算鉴权，直至漫游移动终端拆线，鉴权服务器才给付费系统发出计费记录；

4. 计算IMSI码用于漫游移动终端的CDR，付费系统把WLAN CDR发至漫游移动终端本地付费系统并给出帐单。

4.4 用户远程安全接入

OWLAN系统利用无线LAN接入网中移动用户建立终端与终端，终端与对应网间的加密连接来保证商务关键信息的安全性。

五、系统升级性和鲁棒性

运行网络必须提供足够冗余特性来提高OWLAN系统容错能力和恢复网络运行的鲁棒性。一个最小化 OWLAN系统至少应有两个鉴权服务器，采用RADIUS代理可提高系统容错能力。

接入控制器连接两个RADIUS代理，其中一个为主,另一个为副。假如鉴权服务器没有应答接入控制器的消息,副RADIUS代理把消息送至副鉴权服务器。在发生差错情况下, 冗余IP路由和RADIUS代理确保鉴权服务器之间的无隙缝交换。在主接入控制失误或超负荷时,可加副接入控制器来改进系统鲁棒性。

本文介绍一个把无线LAN接入与GSM / GPRS漫游综合在一起的OWLAN系统。OWLAN系统把蜂窝移动鉴权与本地IP接入组合起来，与公众WLAN接入组合开发GSM鉴权，基于SIM用户管理和付费机理，允许移动终端使用相同SIM和用户标志来接入WLAN，可作为面向全IP网络的过渡方案。（金晓军 高级工程师，北京交通大学现代通信研究所实验室主任）