中国电信WLAN解决方案 
一.概述 
1.1 当前运营级WLAN的状况 
无线局域网(WLAN)技术的发展使人们摆脱了线缆的束缚,更方便、灵活、快捷地访问网络资源,也给运营商提供了寻新的增值点的机会。IDC(国际数据集团)的报告指出,运营商对WLAN的需求体现在三个方面:一是传统运营商利用WLAN补充固网的覆盖;二是移动运营商将WLAN与3G互补,由此培育业务与用户市场;三是ICP和ISP将借助WLAN提供更加丰富而有特的服务。然而,作为运营商级的WLAN解决方案,其面临的问题远比企业级和个人用户要复杂得多,而首当其冲的就是安全问题。 
此外,运营商还要考虑WLAN的可管理性与运营维护成本。虽然WLAN的架设和维护相对简单,但如果安全问题的解决方案选择的不好会大大增加管理的复杂性和运营维护成本。 
1.2中国电信现有WLAN状况
目前,中国电信在上海推出“天翼通”无线宽带上网业务,使用这项业务,人们可以在家中或上海电信网络所覆盖的酒店、展馆、商务楼、休闲中心、连锁咖啡吧等场所进行无线上网或远程移动办公。预计到到今
年年底,上海“天翼通”的用户数量将达到三万户;成熟的ADSL接入,为中国电信的WLAN接入提供了其他运营商所不具备的优势。 
但正如上所述,天翼通目前方案的安全性并不尽人意,漏洞还是非常大的: 
目前天翼通构架
现有中国电信WLAN接入中无线链路仅使用WEP静态密钥加密,客户端和认证服务器使用PPPoE/WEB
单向的认证方式完成身份认证及计费;无法抵挡MAN-IN-MIDDLE的攻击,安全性较差;在尤其在公共热点,安全漏洞太多,只是现在电信WLAN推广初期使用的方案。
二. 正诚科技电信WLAN解决方案 
正诚科技电信WLAN解决方案利用现有可行的技术及设备,为运营级WLAN提供了最大限度的安全保障;
正诚科技电信WLAN解决方案
本方案提出了基于802.1X的PPPoE/WEB认证的WLAN安全机制,在AP上进行基于802.1X流程的密钥分发,AP和终端见的遵循WPA的定义的加密流程和加密算法,做到一户一密。
在BRAS或AC上完成用户的认证,完成对于用户的业务的控制。同时支持的认证方式为PPPoE,DHCP+WEB。
为了解决在AP上进行802.1X流程和BRAS或AC上进行PPPoE/DHCP+WEB认证不兼容的问题,本方案提出了AP在802.1X过程中仅完成密钥分发的功能而不进行用户认证的过程,AP也不进行端口控制的功能。
为了完成拥护在AP间的快速切换,AC作为认证点的同时也缓存WLAN拥护的动态密钥,这样发生自动切换的移动中断通过切换到AP和AC之间通过模拟快速重认证的过程实现密钥的迁移。使用改进的安全策略,基于802.1X 部分功能的PPPoE双向认证方式即两次认证的式:网络认证和用户认证;
网络认证:
l 用户终端与支持802.1X EAP/TLS的认证服务器需要事先安装证书,客户端需要安装专用客户端软件;
l 当客户端连接AP时,客户端通过AC与服务器自动完成802.1X流程,通过证书确保连接到正确网络;
l 服务器通过AC将密钥分发给AP,此时AP和客户端有一对动态密钥为双方的无线链路加密;
l AC将密钥缓起来,当用户越区时,AC即可将密钥分发给新AP,无需用户从
新认证,即可使用户实现无缝切换;
用户认证:
l 在无线链路安全的情况下,AP能与BRAS完成PPPoE认证,允许客户端安全接入
本方案以上述改进的安全策略,即两次认证的方式使客户安全接入网络,有效避免了接入伪服务器的可能;动态分配的密钥有效对无线链路加密,不断变化的密钥使破解密文成为徒劳;正诚公司提供的上述整套解决方案,不仅仅是AP(P320/P380)、AC(G-6000)、以太网供电交换机(E-820)的硬件设备,还包括后台的网络管理系统(S-6000)的软件产品,为电信的安全构架WLAN提供了可靠的保障。
三. 正诚科技电信解决方案优势: 
l 安全性:保障了用户认证过程中用户名和帐号的安全,用户数据通讯过程中用户数据的安全及WLAN接入网络的安全;
l 简单性:使得AP,AC,RADIUS SERVER可以通过简单的软件修改就可以实现;
l 标准性和开发性:尽可能使用标准协议(IEEE,IETF),业界事实标准并符合标准的发展方向;
l 扩展性:方案易于根据WLAN技术的发展而升级到新技术(如TKIP,AES加密),而且易于根据市场的需要而扩展功能(如802.1X认证);
l 保护现有投资:使得现有设备如城域网的交换机,路由器,接如服务器等可以通过简单的调整适应WLAN接入的需要;
l 兼容性:保证同一AP下,加密用户,非加密用户在不需要用户干预的情况下都可以使用网络;保证同一网络下PPPoE,DHCP+WEB认证方式的用户都可以接入网
络; 
l 可运营性(用户管理和计费):G6000配合后台计费及用户管理软件,基于Radius 的方式进行认证计费及用户管理保证网络安全的同时,可以进行运营级的计费、统
计、打印报表及基于策略的用户管理及用户监控。
l 可管理性(网管S-6000):在机房中心安装的图形化见面的网络管理软件S6000可以以图形化的方式直观地反映整个酒店网络的结构和运行状况,满足性能管理、配
置管理、故障管理、安全管理、计费管理等运营级的集中网络管理
四. 方案采用的产品介绍 (详细请访问k-systems) 
1.电信级室内型AP--P320/P360
工作模式:AP,Router(P360) 
硬件: 
l 支持802.11b标准 
l 内置6dBi(垂直极化)、4dBi (水平极化)天线 
l 发射功率15 ̄20dBm可调 
l 内置IEEE 802.3af POE供电模块 
软件: 
l DHCP Server/Relay 
l 支持802.1x认证 
l 可网管,支持SNMP MIB I & II with Trap l 现场勘测/自动信道选择 
l 远程软件升级(可保留原有配置) 
l 负载均衡 
l 用户隔离 
l 支持IAPP漫游标准 
l VPN Client 
2.电信级室外型AP—P380
工作模式:AP/Bridge/Router 
硬件: 
l 支持802.11a/b/g标准 
l 内置10dBi天线 
l 发射功率15 ̄20dBm可调 
l 内置IEEE 802.3af POE供电模块 
软件: 
l 支持IP静态路由,支持NAT功能 
l DHCP Server/Relay 
l 支持802.1x认证 
l 支持WDS功能 
l 支持SNMP MIB I & II with Trap 
l 远程软件升级(可保留原有配置) 
l 现场勘测/自动信道选择 
l 负载均衡 
l 用户隔离 
l 支持IAPP漫游标准 
l VPN Client 
3.公共接入控制网关AC—G6000
硬件: 
l 并发支持1024个用户 
软件: 
l 支持IP静态路由,支持NAT 
l 支持DHCP Server/Relay 
l 动态地址转换,即插即用 
l 支持802.1x认证 
l 支持RADIUS认证和计费 
l 支持Radius WISPr运营商属性 
l 内置PORTAL服务器 
l 支持WEB认证 
l DNS / SMTP重定向 
l VPN透传带宽管理 (通过Radius WISPr VSA) 
radius软件
l 支持GRE隧道连接 
l 支持WEB、SNMP网管 
l 内置WEB浏览器,支持远程配置AP 
l 配置文件上传下载 
l 支持远程WEB方式升级
4.以太网供电交换机E—820
l 2层交换,八个可供电端口 
l n符合IEEE 802.3af 标准 
l 以太网供电距离100米 
l 可堆叠至32口 
l 19” 标准尺寸 
l 支持端口VLAN 
l WEB管理界面 
l 支持SNMP远程网管 
5. 网络管理系统S-6000 
正诚的S-6000网络管理软件,网络管理人员可以有以下的便利:基于地理信息系统的拓扑管理;满足配置管理、故障管理、安全管理、性能管理、分布式管理,一个管理者可同时连接和使用多个CORBA/SNMP网关(简称网关) 
五.:         
WEB:  berhome        ( E-amil: cyberhome@263 )