近年來無線區域網路(WLAN)蓬勃發展,無論是在國內或者是一些先進國家,提供無線上網的熱點(Hot Spot)已從機場、旅館、速食店等商務人士常涉足的公眾場所,延伸到大都會中的大眾交通工具上、公車站旁、捷運站內、觀光景點中,甚至人行道旁的路燈,無線區域網路的佈建蔚為現代化都市的指標。
近年來無線區域網路(WLAN)蓬勃發展,無論是在國內或者是一些先進國家,提供無線上網的熱點(Hot Spot)已從機場、旅館、速食店等商務人士常涉足的公眾場所,延伸到大都會中的大眾交通工具上、公車站旁、捷運站內、觀光景點中,甚至人行道旁的路燈,無線區域網路的佈建蔚為現代化都市的指標。簡單便利的特性可以說是無線區域網路的最大特色,一般的使用者只需幾個簡單的安裝步驟,便可以在家中架設無線區域網路。
除了無線區域網路可以提供無線上網服務以外,另一個值得注意的就是GPRS/3G行動電信網路。GPRS/3G的優勢在於電波涵蓋範圍較大,可提供使用者快速移動、行動性高,並且在電信業者多年投入心血經營之下,已經擁有數量相當廣大的使用者,幾乎是人手一機甚至一人多個門號的情形,系統建構方面不論是基地台網路佈建,或者是記帳收費機制都十分完善,安全且成熟的認證機制讓使用者用起來更為放心。
從使用者的需求角度來看,GPRS/3G行動電信網路可以提供較高行動性但傳輸速率較低(GPRS最高為176Kbps,3G WCDMA最高則為2Mbps),而無線區域網路則可以提供小範圍(最遠100m)但高速的行動數據服務(802.11a/g可達54Mbps),如果能將兩種網路加以整合,提供使用者整合解決方案,讓使用者可以不受地域限制,自行依照所處環境加以選擇,當高速移動時使用GPRS/3G行動電信網路,當使用者慢速移動或者是進入特定場所時便可以使用無線區域網路,這樣的整合服務,將是使用者最希望得到的。
若從系統業者的角度來看,行動電信業者可利用既有廣大客戶基礎與完善的記帳收費機制兩項優勢,解決目前無線區域網路使用客戶與收費金流的兩大問題,不但滿足使用者隨時上網的需求,又能提供更多的網路服務,同時增加營業收入,可說是雙贏的整合方案。至於整合之後所提供的服務模式,可採用無線區域網路與 GPRS/3G行動電信網路帳號合併,雖然使用者用不同終端設備上網,但無線上網帳單與手機帳單可整合在同一帳單或帳號下,一併計費,提供使用者方便的計費方式,市場潛力無窮。
雖然說無線區域網路與GPRS/3G行動電信網路的整合無論就使用者觀點來看,或者是從市場角度來說,都具有不少值得開發的理由,但若單從技術層面來分析,整合這兩個網路確有著難易程度差異不小的解決方案,主要的原因在於兩者的整合程度,如果希望在這兩個網路中提供不斷線的資料傳輸(Seamless data transfer),那系統的開發複雜度將是最困難的,若只是希望在無線區域網路中採用GPRS/3G行動電信網路的認證方式,那系統的開發就簡單多了,而這也是目前最被看好的整合方式。接下來的文章中,我們將描述幾個典型的整合方案,希望能給予讀者在無線區域網路與GPRS/3G行動電信網路整合相關技術上概括性的瞭解。另外,我們將針對無線區域網路與GPRS/3G行動電信網路在認證機制上的整合技術詳加說明。
接下來我們將分別介紹兩種主要的無線區域網路與GPRS/3G行動電信網路系統的整合技術。
如圖1所示,在緊密連結(Tight Coupling)系統架構之下,可將無線區域網路視為行動電信網路所支援的某一種無線接取網路(Radio Access Network),因此使用者的資料封包會先經過WLAN,然後傳送到SGSN,也就是必須先經過行動電信網路之後再進入網際網路,因此使用者封包傳輸必須按照行動電信網路傳輸的方式。這種緊密連結架構的特點是不論使用者是在行動電信網路還是無線區域網路,都採用行動電信網路的行動管理方式,包括 Roaming及Handoff等。採用這樣架構的系統,主要的優點是系統可以提供不斷線的資料傳輸(Seamless data transfer),不需要額外靠Mobile IP或其他相關技術才能提供不斷線的資料傳輸;另外當使用者在行動電信網路與無線區域網路之間Handoff時,整個程序所需要花費的時間會是最少的。至於缺點則是,在這種架構下,SGSN必須提供新的網路介面來銜接無線區域網路,而開發這個新的網路介面技術並非易事,尤其是要在WLAN內模擬或者是轉換 Mobile network中Radio access network的部分功能,會將原本具有簡單特性的WLAN複雜化。另外,由於WLAN直接連結到SGSN,資料必須經過行動電信網路,基於資料安全性及保密性的考量以及設定管理的問題,WLAN也必須屬於行動電信業者所擁有,需要行動電信網路完整支援,因此若採用這種整合架構,勢必受限於行動電信業者,無線網路這邊擴展較不容易。
如圖2所示,在Loose Coupling鬆散整合架構之下,使用者只有在認證的過程當中需要行動電信網路的HLR提供認證資料,只要通過系統認證之後,封包就不需要經過行動電信網路,直接利用WLAN連上網際網路。但是如所示,無線網路端必須額外建制AAA Server(認證、授權、記帳伺服器)負責無線區域網路這邊的使用者認證及記帳等等問題,並且在認證過程當中,由於AAA Server必須向HLR取得使用者認證資料Authentication vectors(包括RAND、Kc、SRES等),因此AAA Server必需具備SS7(Signaling System No.7)介面才能跟HLR連結。這種整合架構相較於Tight Coupling,其優點是封包不需要經過行動電信網路,路徑簡單快速,也因此所需要行動電信業者的支援程度較輕,比較不受其限制,無線網路擴展也較為容易,但缺點是在使用者行動管理方面不如Tight Coupling,還必須使用其他協定標準來輔助。
以上兩種整合架構是目前研究認為比較可行的方案,各有其優缺點,但是整合無線區域網路與行動電信網路,主要目的之一就是希望利用無線區域網路高速傳輸的優點,如果像Tight Coupling這樣封包都必須經過GPRS/3G core network才能再連上網際網路,這樣就失去整合無線區域網路的意義了,也因為必經過行動電信網路,WLAN網路也必須屬於行動電信業者所佈建擁有,這會導致無線網路擴展大幅受限行動電信業者支援與否,就這點對Wireless-ISP業者來說,影響非常大,相對的Loose Coupling因為封包不經由行動電信網路傳送,不需要太多行動電信業者的支援,擴充性高,系統開發亦較不複雜,雖然在使用者行動管理方面暫不如 Tight Coupling,但目前大部分的系統開發都傾向於使用Loose Coupling的整合方案。
要將無線區域網路與GPRS/3G行動電信網路整合,另一個重要課題在於解決使用者認證程序。無線區域網路剛開始發展的時候,並沒有良好的使用者認證機制,而當時的GSM系統卻因為其本身的安全認證機制而解決了許多無線網路存取的安全問題,包括使用者認證以及資料傳輸的加密,因此當時GSM系統的主要研發廠商Nokia基於GSM此一優點,提出了EAP/SIM的認證機制,提供了Wireless-ISP另一個認證機制的選擇。
雖然現在無線區域網路上已經有許多解決認證計費機制的方法,但對使用者而言,最好的方式是不論使用者使用的是GPRS/3G行動電信網路或者是無線區域網路,只要使用單一的認證方式,甚至當使用者在這兩個網路之間漫遊(Inter-system Roaming)的時候,可以不必重新執行認證程序,亦即只要通過認證之後,便可以在GPRS/3G行動電信網路或者是無線區域網路之間,任意的使用 GPRS網路或無線區域網路,不用每次當選擇不同連接上網方式時,都要重新執行認證的程序。
以目前無線網路系統的認證機制而言,能滿足此需求的解決方法中,最好的就是Nokia所提出的EAP/SIM認證機制。
接下來,為了讓讀者對於GSM /GPRS的認證機制能有初步的瞭解,我們將先簡單描述GPRS的認證方式,然後再介紹由NOKIA所提出的擴展認證協議(EAP-SIM)。
GSM/GPRS的認證架構如圖3、圖4所示,在圖3中,首先MSC/VLR(Mobile Switch Center/Visit Location Register)或SGSN(Serving GPRS Support Node)使用IMSI(International Mobile Subscriber Identification Number)從HLR(Home Location Register)取得authenticator vectors(包括RAND、SRES及Kc),接下來的步驟如圖4所示,MSC/VLR將取得的RAND傳送給使用者終端設備,使用者終端設備使用 RAND、Ki執行A3、A8演算法得到Kc及SRES,然後把SRES傳送回給MSC/VLR,MSC/VLR再比對由使用者終端設備傳來的SRES是否與從HLR取得的SRES一致,若相同則代表認證通過是合法的使用者,若兩者不一致,則表示使用者認證不通過。
EAP-SIM認證架構及協定堆疊如圖5所示,認證伺服器必須跟GSM/GPRS網路的HLR/AuC連結,因此認證伺服器需要具備有SS7 (Signaling System No.7)介面,才能向HLR/AuC取得authentication vectors以完成認證程序。
EAP-SIM認證方式,會利用到GSM/GPRS的認證程序,但並非完全相同,這是因應網路上被盜用竊取資料的可能危險性極大,為了提供更強大的安全性,除了使用GSM/GPRS的A3、A8演算法以外,另外還利用到其他演算法(包括SHA1、PRF、HMAC-SHA1等)輔助。參數方面,除了 RAND、Kc、SRES等authentication vectors以外,使用者終端設備必須提供NONCE_MT這個隨機變數給認證伺服器作計算,已完成認證程序,詳細流程如圖6標示。其特點在於提供使用者終端設備與網路端間互相認證的機制(Mutual Authentication),除了網路端可以認證使用者的合法性以外,同時使用者也可以利用比對傳送資料正確性與否(如圖6中互相比對計算出的MAC 值是否相同)的方式,來認證目前的網路端是否合法的網路端,以避免遭到作假的網路端竊取使用者機密資料。
完整的EAP/SIM認證訊息流程如圖7所標示,可以圖5和圖6及交互參照,便能清楚瞭解認證的流程。除此之外,EAP-SIM認證方式還提供使用者匿名 (User Anonymity)及重新認證(Re-Authentication)等程序,增加認證方式的安全及完整性。
現階段的使用者終端使用設備,市面上已經有許多廠商推出GPRS+WLAN的雙模卡(如NOKIA D211、國內如BENQ推出W10..等等)提供這種整合服務的產品,連線上網已經很方便,不過價格目前都還在高檔,並不是適合一般使用者,不過值得注意的是,目前這些雙模卡可以說只是將GPRS與WLAN功能作在同一張介面卡上而已,並不具有上層通訊協定的整合功能。
因為EAP/SIM底層採用IEEE 802.1x的技術,目前微軟的Windows作業系統系列中,只有Windows XP以及WinCE 4.0以上的作業系統才有提供IEEE 802.1x的認證機制,因此目前使用者只能使用具有Windows XP作業系統的終端設備,才能採用IEEE 802.1x的認證機制,除非有無線網路卡的廠商有提供其他平台的解決方案(例如思科Cisco的Aironet 350無線網路卡就有提供WinCE作業系統的IEEE 802.1X軟體程式),使用者才可以使用PDA或者是其他具有WinCE作業系統的裝置執行Cisco提供的IEEE 802.1X認證軟體程式。
使用者終端設備若要採用EAP/SIM認證協議除了需要IEEE 802.1x輔助以外,還需要額外的硬體設備以讀取SIM卡資料,目前市面上其實已經有許多種類可以讀取SIM卡資料的讀卡機,例如Gemplus SmartCard Reader,不管是PCMCIA介面或者是USB介面,都可以輕易找到有提供Linux,微軟Windows98、Windows2000、WindowsXP或者是WinCE等作業系統的讀卡機,但大部分的使用者目前都沒有這樣的設備。除此之外,目前市面上已有微軟SmartPhone平台的GPRS/WLAN雙模手機,但是因為目前微軟的SmartPhone平台還沒有提供可以讀取SIM卡上A3/A8計算結果的API,無法在此雙模手機上執行EAP/SIM的認證機制。因此目前看到採用SIM擴展認證協議的相關實驗性產品都是採用內建無線網路介面或者是外接無線網卡的PDA或筆記型電腦,不過相信在不久的將來,等微軟在SmartPhone平台的完整PC/SC解決方案完成後,雙模手機採用SIM擴展認證機制將是個趨勢。
在網路設備方面,由於目前無線區域網路所佈建的無線區域網路擷取點,絕大部分是沒有支援IEEE 802.1x的,因此實做上為達到IEEE 802.1x的環境,無線區域網路擷取點後端還必需要連接到另外一台Access Gateway來處理阻擋尚未通過認證的使用者傳輸的資料及認證使用者的工作,如圖8所示,但相信在未來將會有越來越多支援IEEE 802.1x的無線區域網路擷取點廣為佈建時,後端就不需要另外的Access Gateway,可以省下建制的花費。
另外若使用者要在沒有IEEE 802.1xAP的環境下使用EAP/SIM認證機制,則Wireless-ISP需要在使用者端的設備上額外提供一個客制化的程式,讓使用者端可以發出包含EAP/SIM認證的Radius封包,並完成後續的EAP/SIM認證程序,詳細的協定架構圖如圖9所示。
在國內,政府積極打造行動電話與WLAN雙網整合的產品與服務,希望可以成為我國第三個兆元產業,不過在某種程度上,這樣的整合架構順利推出與否已經關乎到商業經營問題,而非技術能力問題。依照行動電信目前的推展進度,國內3G執照已經發標出去,但因為執照價格昂貴,有些經營業者並沒有標到執照或者根本沒有參與競標,對這些無法擁有3G執照的營運業者而言,行動電信與WLAN雙網整合的服務模式將會是一個很好的著力點,並且目前3G推出時程尚早來看,這樣的整合服務推出可以提早搶入市場,並且建制費用也遠比經營3G價格便宜,對經營業者來說是大利基所在,利用行動電信網路已經成熟的認證管理機制補強 WLAN安全性的不足,並且利用廣大的客戶優勢補強WLAN客戶管理的問題。對於使用者以及系統營運業者又可以將無線上網帳單與手機帳單統一出單一併計費,以單一一個帳號管理電信網路以及無線區域網路之消費,提供更多更好的服務及絕佳便利性。
只不過現階段受制於目前的環境,提供雙網功能的使用者終端設備功能還不齊全,因此行動電信業者與Wireless-ISP業者亦不敢貿然投入,造成使用者還無法享受到這樣的服務。但相信在不久的將來,逐漸會有越來越多的經營業者願意接受提供這樣的整合方案,並且在具有整合功能的新終端設備問世之後,使用者將可以方便的使用無線區域網路及行動電信網路整合環境。