（计算机应用技术专业论文）radius协议在gprs接入中的应用研究及其实现.pdf

东北大学硕士学位论文摘要 r a d i u s 协议在g p r s 接入中的应用研究及其实现 摘要 g p r s 通分组无线业务是一种基丁g s m 全球移动通信系统的无线分组交换技术，提供 端到端的、域的无线i p 连接。与传统的固定网络相比，同样存在着如何保障网络通信安全 和用户合法性验证等问题。 本文针对g p r s 的特点，引入了在同定嗣络接入中1 。泛应埘的r a d i u s 认证协议，有效 地解决了g p r s 网络接入系统中存在的安全隐患。 文章首先介绍了g p r s 系统的相关技术和网络模型，在此基础上引出了g p r s 接入中存 在的宜全问题井同时提出了引入r a d i u s 认证服务器的安全解决方案。然后，对系统进行 了详细的可彳性分析和方案论证。在详细地阐述了r a d i u s 标准认证协议之后，讨论了 r a d i u s 认证服务器的设计和开发，并对设计中的主要问题分析深入，同时给出了分析结论。 最后，对实际应用中的结果进行了剖析。文章结尾，给出了对系统的客观、全面的评价，并 对进一步改进提出了建议。 关键词r a d i u sg p r sv p nn a s 隧道 i i 东北大学硕士学位论文a b s t r c t a p p l i c a t i o n r e s e a r c ha n d i m p l e m e n t a t i o n o fr a d i u s p r o t o c o li nn e t w o r ka c c e s so v e rg p r s a b s t r a c t g p r si sak i n do f r a d i op a c k e t - s w i t c h e dt e c h n o l o g yb a s e do ng s m a n d s u p p l i e se n d t o e n d a n dw i d ea r e aw i r e l e s si pc o n n e c t i o n b e i n gs i m i l a rt ot h et r a d i t i o n a lf i x e dn e t w o r k ，g p r sa l s o h a st h ep r o b l e mh o wt oe n s u l t h es e c u r i t yo f c o m m u n i c a t i o na n dt h ev a l i d i t yo f u s e r si d e n t i t y i nt h i sp a p e r , t h e s e c u r i t yp r o b l e m i ng p r sn e t w o r ka c c e s si ss o l v e de f f i c i e n t l yb ya d o p t i n g r a d i u sp r o t o c o lt h a ti s w i l l yi m p l e m e n t e da n du s e d i nf i x e dn e t w o r ka c c e s s ，b yt h e c h r e a c t e r i s t i c so f g p r s f i r s t ，t h er e l a t i v et e c h n o l o g ya n dn e t w o r km o d e lo f g p r ss y s t e mi si n t r o d u c e di nt h i sp a p e r a n dt h es e c u r i t yp r o b l e mo fn e t w o r ka c c e s so v e rg p r sb a s e do nt h e s ef a c t sa b o v ei sf u r t h e r e d u c e d ，a tt h es a m et i m et h es o l u t i o nt ot h ea b o v ep r o b l e mb yi n t r o d u c i n gr a d i u ss e r v e ri s p r o p o s e d a f t e rt h a t , t h ef e a s i b i l i t ya n ds c h e m eo ft h es y s t e mi s a n a l y s e d t h ed e s i g na n d i m p l e n l e n t a t i o n o fr a d i u ss a f v e ri sd i s c u s s e di nd e t a i la f t e rr a d i u sp r o t o c o l b e i n g e x p a t i a t e do n f i n a l l y , t h er e s u l to f a p p l i c a t i o no f r a d i u s s e r v 目i np r a c t i c ei sa n a l y s e d a tt h e e n do ft h i sp a p e r , t h ea l l - a r o u n da p p r a i s a la b o u tt h es y s t e mi sg i v e da n ds o m es u g g e s t i o n st o i m p r o v i n g t h e s y s t e m a r ep u t t e df o r w a r d k e y w o r d sr a d i u s ，g p r s ，v p n ，n a s ，t u n n e l i i i 东北大学硕士学位论文声明 声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰 写过的研究成果，也不包括本人为获得其他学位而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的 说明并表示了谢意。 本人签名：亩f 癌枫 日 期：z 帅，年，2 周 东北大学硕士学位论文第一章引言 第一章引言弟一早jii 1 1 课题的实施背景 当今，社会发展已进入信息化时代，由信息驱动的社会运动节奏越发加快。各种大量的、 有价值的信息随时随地都在产生，并伴随着交流上的需求。对这些信息及时、准确的获取和 迅速做山反应已成为一个企业能否在竞争中获胜的关键。 同时，互联网己成为信息传输的主要载体之一，它的出现是人类通信史上的一次革命。 作为全世界开放的公共平台，它使人们不受时间、地点的限制进行自由沟通成为可能。个人 川户可以利用它来获取新闻、下载文件、聊天和发送邮件等等。更重要的是，企业可以把它 的各层或各分支机构以及在外办事人员通过互联网紧密地联系在一起，方便和加速了企业内 部的信息流动。与故途拨号或专线接入企业局域网不同，企业处于不同地域的各个部门或外 办人员可以通过先拨入本地的i s p 供应商，使用i n t e m e t 网，采用v p n 的方式接入企业专网， 从而解决了远程接入费用过高的问题，使企业基于i n t e r a c t 互联网的应用迅速增长。 但是，应当看到社会的需求在不断地向着多样化、多元化的方向发展。基于互联网的 应川要求也在不断地向着更加自由化的方向迈进，人们对完全不受限制地进行交流的梦想与 渴望引发了需求的产生。例如：人们希望随时随地都能上网收发他们的邮件和浏览新闻：商 家希望在外流动售货时，能够像在自己的店里一样使用他们的p o s 收款机将每个售出货物的 记录同步存储到公司的销售数据库中：银行希望能够将自己的业务扩展到乡镇，而建立一条 专线则成本太高；客运公司希望实时监控每辆客车的位置、速度和状态以便调度和管理：税 务人员希望在现场使用手持p d a 就能调用数据库查看业主的税收状况等等。 可是，传统的拨号和专线的固定网络接入方式严重地限制了个人甚至企业的活动自由和 范同，不能满足人们渴望移动的要求。但是，需求最终能够驱动技术的产生。2 0 0 2 年5 月1 7 日1 u ：界电信日，中国移动正式推出了商_ l = l j 的g p r s 移动互联网技术，从而实现了人们的移动 梦想。 g p r s 是一种基于g s m 系统的无线分组交换技术它能提供端到端的、广域的无线i p 连接。使用者可以通过无处不在的全球移动通信系统。以无线连接的方式，方便、快捷地接 入现有的闹定i p 网络。 g p r s 在给人们带来比以往更加方便的网络接入的背后，却是它结构的复杂性。与传统 的远群拨号和v p n 接入相比，g p r s 在继承了它们的许多特性同时又添加了一些自己独有的 网络特征，从而使它的接入方式更加灵活和多样，进而能够支持的业务模式也越加广泛，移 动网络支持的终端接入设备也更加多样化。 无论是远程拨号接入，还是v p n 虚拟专网接入，它们都离不开一种关键技术，就是接 1 东北犬学硕士学位论文第一章引言 入h j 户的认证和授权，这项亡作由r a d i u s 服务器米实现。同样，在新出现的g p r s 接入方 式中，同样要使用r a d i u s 服务器来保障网络通信的安全和用户合法性的验证。 课题“r a d i u s 协议在g p r s 接入中的戍用研究及其实现”就是在此基础上根据企业 局域网g p r s 接入的实际应用需求而提出的。 1 2 目标与内容 论文首先追溯g p r s 接入中所涉及的基本概念，从远程访问技术开始。介绍r a d i u s 服 务器的来源及远行模式。之后分析了v p n 虚拟专网技术及其在传统固定网络中的应用。 然屙，在了解g p r s 基本网络结构的基础上，对r a d i u s 服务器在g p r s 的v p n 接入方式 中的廊川进行了研究。进而提出了在g p r s 接入中，r a d i u s 服务器所应实现的功能和目标， 并在此基础上对服务器进行了总体的设计分析。在对r a d i u s 协议及其运行机制进行进一步 的介铡后，详细分析了服务器软件实现过程中用到的技术和思想。最后，对实际应用的结果 进行了分析平展望。 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 第二章g p r s 涉及的基本技术及其原理 g p r s 1 1 移动互联网由于其自身的先进性，决定了它在继承了许多经过实践检验的完善的 技术基础上添加了属于它本身的更加先进的思想和技术，从而也使它的网络结构更加趋于复 杂化。要想理解g p r s 接入的基本机制和原理，必须将它涉及到的相关技术按着先后出现的 关系加以澄清和说明。 2 1 远程访问网络技术 一个_ = | 户利用公众交换电话网( p s t n ) 使用调制解调器( m o d e m ) ，采用拨号方式接入 某个i p 网络的过程就叫远程访问网络。 为了实现远程访问网络，需要在公众电话网和口网之间添加一个称之为网络接入服务器 ( n a s ，n e t w o r ka c c e s e r v e r ) 的设备，用它将拨号用户连入口网络。网络结构模型如图 2 1 所示。 图2 1 远程访问网络模型 f i g21n e 押o r km o d e lo f “x n o t e a c c 一个典型的网络接入服务器维护一个调制解调器池( m o d e mp o o l s ) ，池中每个调制解调 器都与一条电话线相连，每条电话线都接入公众电话网并对应一个唯一的电话号码。一个用 户可以使用自己的m o d e m 呼叫这个电话号码，接通后在两个m o d e m 之间建立了电路连接。 n a s 在电话网一侧采用p p p 通信协议，在p 网一侧采用t c p i p 、v p n 等协议。n a s 能提 供电话网到i p 网之间的协议转换。 既然一个网络接入服务器管理一个调制解调器池，为大量用户提供接入网络服务，那么 对这些用户进行有效的管理就变得十分重要。对用户管理包括用户身份认证、接入授权和访 问计费。一个n a s 可以在本地包含这些管理功能模块，从而实现对用户访问网络的有效管 理。 3 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 2 2r a d i u s 服务器的来源及运行模式 随着i n t e r a c t 的迅速发展，拨号入网因具有方便、灵活、经济实惠等优点而得到了广泛 的应崩。通常，一个大的内部网会用到不同公司的多台拨号网络接入服务器，如果采用本地 身份认证方式，那么需在每台拨号服务器上建立所有用户，这样会加重服务器运行负荷，降 低网络的性能，并且不便于管理。如何将它们的用户认证和记帐统一起来管理昵? r a d i u s 【z j ( r e m o c ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ，远程拨入用户认证服务) 适应这种需求，采用 标准协议模式实现了对多台远程访问服务器( n a s ) 的用户进行统一的认证、授权与记帐。 _ | jr a d i u s 标准协议实现的r a d i u s 认证服务器采用客户机厢务器模式| 3 ( c t i e m s e r v e r ) 进行【：作。 网络接入服务器( n a s ) 作为r a d i u s 的客户端运作。这个客户端负责将用户信息传递 给指定的r a d i u s 服务器，并负责执行返回的响应。 r a d i u s 服务器负责接收用户的连接请求，鉴别用户，并为客户端返回所有为用户提供 服务所必须的配置信息。 采_ l = f jr a d i u s 的客户机朋r 务器认证模式的远程访问模型如图2 2 所示。 图2 2 具有r a d i u s 服务器的网络访问模型 f i g 22n e t w o r km o d e lo f r e m o t eb c c c s sw i t hr a d i u ss e r v e r 为了保障网络安全( n e t w o d l cs e c u r i t y ) ，客户端和r a d i u s 服务器之间的事务是通过使 州一种从来不会在网上传输的共享密钥进行鉴别的。另外，在客户端和r a d i u s 服务器之间 的任何州户密码都是被加密后传输的，这是为了避免某些人在不安全的网络上监听获取用户 密码的可能性。 r a d i u s 服务器能支持多种认证用户的方法。当用户提供了用户名和原始密码后， r a d i u s 服务器可以支持点对点的p a p 认证( p p p p a p ) 、点对点的c h a p 认证( p p p c h a p ) 、 u n i x 的登录操作( u n i xl o g i n ) 、e a p 和其他认证机制。 2 3p p p 点对点协议 p p p l 4 ( p o i n t t o p o i n tp r o t o c 0 1 ) 协议主要是设计用来通过拨号和专线方式建立点对点连 东北大学硕士学位论文 第二章g p r s 涉及的基拳技术及其原理 接发送数据。p p p 协议将、i p x 和n e t b e u i 包封装在p p p 帧内通过点对点的链路发送。 p p p 协议主要应用于连接拨号用户和n a s 。p p p 拨号会话过程可以分成4 个不同的阶段。分 别如f ： 阶段1 ：创建p p p 链路 p p p 使用链路控制协议( l c p ) 创建、维护和终止一次物理连接。在l c p 阶段的初期将 对基本的通信方式进行选择。需要注意的是在链路创建初期，只是对验证协议进行选择，用 户验证将在第二阶段实现。同样，在l c p 阶段还将确定链路对等双方是否要对使用数据压缩 或加密进行协商。实际对数据压缩，力口密算法和其它细节的选择将在第四阶段实现。 阶段2 ：用户验证 在第2 阶段，客户端p c 将用户的身份和密码发送给远端的接入服务器。该阶段使用一 种安全验证方式避免第三方窃取数据或冒充远程客户接管与服务器的连接。大多数p p p 方案 只提供了有限的验证方式，包括密码验证协议( p a p ) 、质询握手验证协议( c h a p ) 和微软 质询握手验证协议( m s c h a p ) 。 ( i ) 密码验证协议pj ( p a p ) p a p 是一种简单的明文验证方式。n a s 要求用户提供用户名和密码，p a p 以明文方式返 同_ j 户信息。这种验证方式安全性较差，第三方可以很容易的获取被传送的用户名和密码， 井利州这些信息建立与n a s 的连接获取n a s 提供的所有资源。所以，一旦用户被第三方窃 取，p a p 无法提供避免受到第三方攻击的保障措施。 ( 2 ) 质询握手验证协议1 6 1 ( c h a p ) c h a p 是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。n a s 向远程 h 户发送一个质询口令( c h a l l e n g e ) ，其中包括会话d 和一个随机生成的质询字串( c h a l l e n g e s t r i n g ) 。远程客户必须使用m d 5 单向哈希算法返回用户名和加密的质询c i 令、会话d 以及 h j 户口令，其中用户名以非哈希方式发送。 c h a l i e n g e = s e s s i o ni d c h a l l e n g es t r i n g r e s p o n s e = m d 5h a s h ( s e s s i o ni d ，c h a l le n g es i r i n g u s e rp a s s w o r d ) 。u s e rn a m e 图2 3 质询握手认证过程 f i g2 3p r o c e s so f c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o n c h a p 对p a p 进行了改进。不再通过链路直接发送明文密码，而是使用质询口令以哈希 算法对用户密码进行加密。因为服务器端存有客户的明文密码，所以服务器可以重复客户端 进行的操作，并将结果同用户返回的响应进行对照。c h a p 为每一次验证随机生成一个质询 字串米防止再现攻击( r e p l ya t t a c k ) 。在整个连接过程中，c h a p 将不定时的向客户端重复发 送质询口令，从而避免第三方冒充远程客户进行攻击。 一5 东北大学硕士学位论文 第二章g p r s 涉及的基本技术及其原理 ( 3 ) 微软质询握手验证协议【，1 ( m s c h a p ) 与c h a p 类似，m s c h a p 也是一种加密验证机制。同c h a p 一样，使用m s c h a p 时， n a s 会向远程客户发送一个含有会话d 和随机生成的质询口令。远程客户必须返回用户名 以及经过m d 4 哈希算法加密的质询口令、会话i d 和用户密码的m d 4 哈希值。采用这种方 式，服务器端只存储经过哈希算法加密的用户密码而不是明文密码，这样就能提供进一步的 交全保障。此外，m s c h a p 同样支持附加的错误编码，包括口令过期编码以及允许用户自己 修改密码的加密的客户服务器附加信息。使用m s c h a p ，客户端和n a s 双方各自生成一个 随斤数据加密的起始密钥。m s c h a p 使用基于m p p e 的数据加密。 在第2 阶段用户验证阶段，n a s 收集验证数据然后对照自己的数据库或中央验证数据库 服务器( w i n d o w sn t 中的主域控制器或r a d i u s 服务器) 验证数据的有效性。 阶段3 ：p p p 回叫控制 这个阶段是可选的。如果配置使用回叫配置，那么在验证之后远程客户和n a s 之间的 连接将会被断开。然后由n a s 使用特定的电话号码回叫远程客户。这样可以进一步保证拨 号网络的安全性。n a s 只支持位于特定号码的远程客户进行回叫。 阶段4 ：调用网络层协议 在以上各阶段完成以后，p p p 将调用选定的各种网络控制协议。例如，妒控制协议可以 向拨入用户分配动态地址。 2 4v p n 虚拟专用网络 v p n p ( v i r t u a l p v a l e n e t w o r k ) 即虚拟数据专用网络它提供了一种通过公用网络安全 地对企业内部专用网络进行远程访问的连接方式。v p n 的基本网络结构如图2 a 所示。它主 要由用户端、接入网、n a s 、m 骨干网和具有v p n 网关的企业专网组成。其中接入网可以 是公众交换电话网( p s t n ) 、a d s l 、以太网或g p r s 移动网，用于承载v p n 用户和n a s 之间的数据。n a s 是m 骨干阚的接入点，与接入网连接并支持各种接入网协议和隧道协议， 它还负责安全和认证管理，在采用强制隧道的v p n 模型中，它是隧道的起点。v p n 网关是 隧道的终点，能支持各种隧道协议并提供隧道服务，根据网络功能的不同要求，可以是路由 器或防火墒等具有相应功能的设备。 图2 4 v p n 基本网络结构 f i g2 4b a s en e t w o r ks t n i c t u r co f v p n 6 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 v p n 仿真点对点的专线技术。当一个v p n 用户与企业专网v p n 网关建立虚拟专心网络 连接后，会获得一个企业内部局域网的私有口地址，他就用这个m 地址与企业内部网络的 其它主机进行通信。当v p n 用户要发送数据包时，首先把带有源i p 地址和目的i p 地址( 都 是局域网的私有i p 地址段) 的数据包封装在p p p 帧中，然后经过隧道协议封装发往v p n 网 关。到达后，v p n 网关去掉隧道封装和p p p 封装将p 数据包路由到指定的主机。反之， 企业内部主机的i p 数据包经v p n 网关进行p p p 封装和隧道封装发往v p n 用户。 在图2 , 4 中还显示出两种不同的隧道模型：自主隧道模型和强制隧道模型。自主隧道由 v p n 用户发起，v p n 用户的请求通过认证后，在v p n 用户和v p n 网关之间配置和创建一 条自主隧道，此时v p n 用户作为隧道客户方成为隧道的起点。需要指出的是，在自主隧道 方式中，v p n 用户应首先通过n a s 拨入疋骨干网，获得与v p n 网关具有同一个网段的i p 地址然后进行二次虚拟拨号拨入v p n 网关，建立连接后，v p n 用户具有两个p 地址，一 个是i p 骨干网内的l p 地址，一个是企业局域网内的私有i p 地址。强制隧道在n a s 与v p n 网关之间配置和创建，此时隧道的起点不是v p n 用户而是n a s 。 为了使远程用户和企业内部网之间能安全通信，v p n 中采用隧道技术、加密技术和安全 认证机制，为用户提供了一条安全、可靠和透明的数据访问通道。由于v p n 使用了p p p 协 议所以p p p 的p a p 、c h a p 和m s c h a p 以及e a p 等身份验证方法都可用于v p n 的安全 认证。实际应用中，n a s 和v p n 网关两端都应具有i 认d i u s 认证服务器。 2 5 隧道 隧道技术类似与点到点技术，即根据隧道协议将数据包封装起来。通过公网在两个已建 立隧道连接的网络设备之间进行传送，它是实现v p n 的核心技术。隧道具有如下功能：将 数据流强制到特定的目的地；隐藏私有网络地址；在i p 网上传输非m 协议数据包；提供数 据安全支持；协助完成a a a ( a u t h e n t i c a t i o n ，a m h o r i z a t i o n 。a c c o u n t i n g ) 管理。 隧道技术分为第2 层和第3 层的隧道协议。第2 层隧道协议对应o s i 模型中的数据链路 层，使h ；i 帧作为数据交换单位。p p t p 、l 2 t p 和l 2 f ( 第2 层转发协议) 都属于第2 层隧道 协议都是将数据封装在点对点( p p p ) 协议帧中通过互联网发送。第3 层隧道协议对应o s i 模型中的网络层，使用包作为数据交换单位。i p o v e r i p 以及i p s o e 隧道模式都属于第3 层隧 道协议，都是将p 包封装在附加的p 包中，通过i p 网络传送。 这里对第2 层隧道的两个重要协议p p t p 和l 2 t p 进行介绍。 ( 1 ) p p t p p l 点对点隧道协议( p o m t t o p o i n t t u n n e l i n g p r o t o c 0 1 ) 使用一个t c p 连接对隧 道进行维护，使用通用路由封装 9 1 ( g r e ) 技术把数据封装成p p p 数据帧通过隧道传送。可 以对封装在p p p 帧中的负载数据进行加密和压缩，加密使用m p p e 点到点加密协议。p p t p 要求隧道承载网络为p 网络。并且只能在两端点间建立单一隧道。p p t p 是主动隧道模型， 参见图2 4 ，用户可以作为隧道客户端向隧道服务器v p n 网关自主发起隧道连接。p p t p 的 封装结构如图2 5 所示。 7 一 东北大学硕士学位论文 第二章g p r s 涉及的基本技术及其原理 i p 报头ig r e 报头lp p p 报头l 加密的p p p 有效负载( ip ipx 数据报) i 图2 5p p t p 封装结构 f i g25e n c a p s u l a t i o ns 仃u c t u r eo f p p t p ( 2 ) l 2 t p t ”1 第2 层隧道协议( l a y e r2t u n n e lp r o t o c 0 1 ) 结合了p p t p 和l 2 f 协议是 一种网络层协议，支持封装的帧在i p 、x 。2 5 、帧中继和a t m 等网络上进行传输。i p 网上的 l 2 t p 使用u d p 将l 2 t p 协议封装的p p p 帧通过隧道发送。1 2 t p 支持在两点间建立多隧道， 川户可以针对不同的服务质量创建不同的隧道。l 2 t p 需要和i p s e e 配台使用，由i p s e c 对封 装的数据进行加密。l 2 t p 是强制隧道模型，参见图2 4 ，n a s 是隧道的起点，采用l 2 t p 与 v p n 网关建立隧道连接。l 2 t p 作为接入集中器可以隧道复用，多个用户的p p p 帧可以经由 一条l 2 t p 隧道发往v p n 网关，当第一个用户发起建立隧道请求时，由n a s 和v p n 网关协 商建立强制隧道，用户的p p p 帧经n a s 进行隧道封装直接发往v p n 网关，当最后一个用户 f 线时，n a s 和v p n 网关之间的强制隧道关闭。l 2 t p 的封装结构如图2 6 所示。 2 6 g p r s 网络 由i p s e c 加密 图26l 2 t p 封装结构 f i g2 6e n c a p s u l a t i o ns t r u c t u r eo f l 2 t p g p r s ( g e n e r a lp a c k e tr a d i os e r v i c e ) 通用分组无线业务是以g s m l “1 ( g l o b a ls y s t e mf o r m o b i l ec o m m u n i c a t i o n s ) 全球移动通信系统为基础的数据传输技术。能提供端到端的、广域 的无线i p 连接。g p r s 是现有g s m 网络向第三代移动通信演变的过渡技术( 2 5 g ) 。 最初的g s m 数据业务是基于电路交换( c i r e u i l s w i t c h e d ) 方式的数据业务，提供9 6 k b p s 的接入速率，这也是目前g s m 网上设备都支持的种业务。g s m 电路型数据业务的最新进 展就是h s c s d ( 高速电路型数据业务) ，它提供多个时隙的捆绑自b 力，支持上行和下行非对 称的资源分配，提供最高5 7 6 k b p s 的接入速率。由于电路交换的固有特点，使得在提供g s m 数据业务时具有资源利用率低，使用成本高的问题。 g p r s 是g s mp h a s e2 十阶段引入的一种基于分组交换( p a c k e t - s w i t c h e d ) 技术的数据业 务，它能够实现从空中接口到外部网络之间的分组数据传输，g p r s 可以接入基于t c p r p 的 外部网络或x 2 5 网络。g p r s 能向用户提供从9 k b p s 到1 7 1 2 k t l p s 的接入速率，可动态地向 单个用户分配位于同一载频上的1 到8 个时隙。无线接口资源可根据业务流量和运营者的选 者在语音和数据业务之间共享。g p r s 从协议结构上提供了和口网络或x 2 5 网络的互通功 能，同时，它还支持上行和下行的非对称传输，能更为有效的实现和碑网络的数据交换。 8 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 g p r s 能向用户提供m t e r n c t 所能提供的一切功能，对于i n t e m e t 的其它组成部分来说，只是 一个瞥通子网。由于采用分组交换技术，削户只有在发送和接收数据时才占用资源，多个用 户可高效率地共享同一无线信道，从而提高了资镢的利用率，用户只需按数据通信量计费， 而无需对整个链路占用期间付费。 为了实现分组交换技术，g p r s 在g s m 原有网络基础上叠加了一层网络组成g s m g p r s 网络。g p r s 在g s m 网络的基础上增加了s g s n 、g g s n 、p c u 、计费网关( c g ，可选) 、 边缘网关( 可选) 等功能实体，同时通过g p r s 骨干网实现各实体之间的连接。g p r s 与g s m 共用基站，但要进行软件升级，增加新的移动性管理程序、m a p 信令和g p r s 信令等，接入 终端也要采用新的g p r s 移动台。图2 7 为g p r s 系统结构图。 图27 g p r s 系统结构图 f i g 2 7s u c t u r eo f g p r ss y s t e m 在g p r s 系统结构图中，有两个主要的网络节点s g s n 和g g s n 。s g s n ( s e r v i n g g p r s s u p p o r tn o d e ，服务g p r s 支持节点) 的主要作用是记录移动台的当前位置信息，并且在移 动台和g g s n 之间完成移动分组数据的发送和接收。g g s n ( g a m w a y g p r s s u p p o r t n o d e ， 网关g p r s 支持节点) 主要是起网关作用，它可以和多种不同的数据网络连接如i s d n 、 p s p d n 和l a n 等。g g s n 可以把g s m 网中的g p r s 分组数据包进行协议转换，从而可以 把这些分组数据包传送到远端的t c p 口或x 2 5 网络。g p r s 骨干网可分为内部p l m n ( 公 众陆地移动网) 骨干网和外部p l m n 骨干网。每一个内部骨干网都是口专网，内部和外部 骨干网之间使用边界网关( b g ) 相连。在h l r ( 本地位置寄存器) 中有管理g p r s 用户的 数据和路由信息，s g s n 和g g s n 都可以访问h l r 。 9 一 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 在g p r s 结构中，基站与s g s n 设备之间的连接一般通过帧中继连接，s g s n 与g g s n 设备之间通过口网络连接。g g s n 可以由具有n a l m l ( 网络地址翻译) 功能的路由器承担 内部i p 地址与外部网络i p 地址的转换，m s 可以访问g p r s 内部的网络，也可以通过a p n ( 外部网络接入点名) 访问外部的p d n i n t e m e t 网络。在g p r s 系统中，有两个重要的数据 库记录信息。一是用户移动性管理上下文，用下管理移动用户的位置信息，另一是用户的p d p 上r 文( 分组数据协议上下文) ，用于管理从手机m s 到网关g g s n 及到i s p ( i n t e r a c t 服务 提供商) 之间的数据路由信息。当m s 访问g p r s 内部网络或外部p d n ( 分组数据网) m t e m e t 网络时，m s 向s g s n 发激活p d p 上下文请求消息，m s 可以与运营商签约选择固定服务的 g g s n 。或根据a p n 选择规则，由s g s n 选择服务的g g s n ，s g s n 再向g g s n 发起建立 p d p 上f 文请求消息。g g s n 分配m s 一个m 地址( 静态或动态、公用或私有) ，在建立p d p 上f 文过程中，需要对用户的身份、需要的服务质量进行鉴权和论证。在成功地建立和激活 p d p 上f 文后，s g s n 储存了用户移动性管理上下文，g g s n 存储了用户的p d p 上下文信 息。有了用户的位置信息和数据的路由信息，m s 就可以访问该网络的资源了。 当m s 访问外部网络时，要使用a p n ( a c c e s sp o i n t n a m e ) 来确定所要访问的网络入口。 一个a p n 由网络标识和运营者标识两部分组成。网络标识定义了g g s n 连接的外部网络。 运营者标识定义了g g s n 所处的p l m ng p r s 网。存储在h l r 中的a p n 只包括a p n 网络 标识。m s 在激活p d p 上f 文时提供的a p n 必需包括网络标识，运营者标识为可选。s g s n 麻能根据i m s i ( i n t e r n a t i o n a l m o b i l es u b s c r i b e r i d e n t i f y , 国际移动用户识别码) 来生成缺省的 运营者标识。在m s 发起p d p 上下文激活时，s g s n 将网络标识和运营者标识组成完整的 a p n ，通过d n s 解析之后获得a p n 对应的g g s n 的p 地址。 g p r s 为实现分组交换技术，在各功能实体中定义了复杂的协议栈组成了完整的g p r s 协议模烈。图2 8 是g p r s 协议栈在主耍功能节点上的实现，从中可以看出g p r s 是如何支 持i p ) ( 2 5 应用的。 a p p iic a t i o n i p xz 5i p x 2 5 s n d c pr e l 8 y s n d c p g t p g t p l l c l l c u d p t c pu d p t c p r l c 义b s s g p b s s g p 1 pi p 一 n e t w o r k n e t w o r k m a cc l 2l 2 s e r v i c e s e r v i c e g s mr fc s mr fl l b i sl i b i s l 1l i 图2 8 g p r s 协议栈 f i g2 8s t a c ko f g p r sp r o t o c o l g p r s 协议模型中的一些关键协议层解释如下： 1 0 东北大学硕士学位论文第二章g p r s 涉及的基本技术及其原理 ( 1 ) g p r s 隧道协议( g t p ，g p r st u n n e lp r o t o c 0 1 ) g p r s 骨干网中g s n ( 包括s g s n 和g g s n ) 间的用户数据和信令利用g t p 隧道进行传 输。所有的点对点p d p 协议数据单元( p d u ) 将由g t p 协议进行封装。g t p 是g p r s 骨干 网中g s n = h 点之间的互联协议，它是为g n 接口和o p 接口定义的协议。 ( 2 ) t c p 在g p r s 骨干网中需耍一个可靠的数据链路( 如x 2 5 ) 进行g t pp d u 的传输时，所用 的传输协议是t c p 协议。如果不要求一个可靠的数据链路( 如口) ，就使用u d p 协议来承载 g t pp d u 。t c p 提供流量控制功能和防i eg t pp d u 丢失或破坏的功能。u d p 提供防护g t p p d u 受到破坏的能力。 ( 3 ) i p 这是g p r s 骨干网络协议，用以用户数据和控制信令的选路。 ( 4 ) 于网相关融合协议( s n d c p ) 这个传输功能将网络级特性映射到底层网络特性中去。它的主要作用是完成传送数据的 分组、打包，确定t c p i p 地址和加密方式。在s n d c 层，移动台和s g s n 之间传送的数据 被分割为一个或多个s n d c 数据包单元。s n d c 数据包单元生成后被放置到u c 帧内。 ( 5 ) 逻辑链路控制( l l c ) l l c 是一种基于高速数据链路规程h d l c 的无线链路协议能够提供高可靠的加密逻辑 链路。l l c 层负责从高层s n d c 层的s n d c 数据单元上形成的l l c 地址、帧字段，从而生 成完整的l l c 帧。此外，l l c 可以实现一点对多点的寻址和数据帧的重发控制。 ( 6 ) 中继转发( r e l a y ) 在b s s 中这项功能中继转发u m 和g b 接口间的l l c p d u 。在s g s n 中这项功能转 发g b 和g n 接口间的l l c p d u 。 ( 7 ) g p r s 基站系统协议( b s s g p ) 这个层用来传输在b s s 和s g s n 之间与选路服务质量有关的信息。b s s g p 没有纠错能 力。 ( 8 ) 网络服务( n s ) 这个层传输b s s g pp d u 。 ( 9 ) 无线链路控制( r l c ) 价质访问控制( m a c ) 这个层具备两个功能：一是无线链路控制功能，它能提供一条独立于无线解决方案的可 靠链路。二二是介质访问控制功能，它的主要作用是定义和分配空中接口的g p r s 逻辑信道， 使这些信道能被不同的移动台共事。 ( 1 0 ) g s m r f u m 接口的物理层为射频接口部分，而逻辑链路层则负责提供空中接口的各种逻辑信道。 g s m 空中接口的载频带宽为2 0 0 k h z ，一个载频分为8 个物理信道。 东北大学硕士学位论文第三章r a d i u s 协议在g p r s 接八中的应用研究 第三章r a d i u s 协议在g p r s 接入中的应用 研究 通过前一章对相关技术的分析和介绍，我们可以得出：为了实现对企业局域网络的远程 访问，廊采用v p n 虚拟专用网络技术，使用p p p 点对点协议，将用户数据包封装在p p p 帧中， 通过隧道发往企业局域网的v p n 网关，用户数据包经v p n 网关解封和路由后送达局域网内 的相应主机。在远程用户和企业局域网建立连接前，用户的合法性需要经过r a d i u s 认证服 务器进行认证。r a d i u s 支持的认证方法包括队p 、c h a p 、m s c h a p 、m s c h a p v 2 ”“、u n i x l o g i n 和e a p 等认证方式。 通过对g p r s 的介绍使我们了解到除了传统的固定网络接入方式之外，现在，有了更加 灵活g p r s 移动网络可以作为远程用户访问的接入网。但是，由于g p r s 网络本身就包括一 个跨地域的i p 骨干网络，使得g p r s 网络与企业局域网的连接既可以通过i n t e m e t ，也可以通 过专线方式。这一章将对g p r s 的v p n 专网接入和专线接入分别加以阐述并且详细讨论 r a d i u s 服务器在这几种接八方式中的作用和应具有的功能。 3 1 企业以v p n 方式与g p r s 连接 在这种模型中，企业局域网通过v p n 网关与i n t e m e t 相连，g p r s 移动网络作为用户接入 网它的网关g p r s 支持节点( g g s n ) 直接与公共的i n t e r n e t 相连，这里g g s n 的功能类似 丁网络接入服务器( n a s ) 。为了保障通信的安全，需要建立隧道。这种网络接入模型可以参 考图2 4 。根据隧道发起方式的不同也可分为自主隧道方式和强制隧道方式。 3 1 1 自主隧道方式及r a d i u s 的作用 在这种方式中，中国移动通信既是g p r s 运营商又是i n t e m e t 提供商。为了提供i n t e m e t 服务，中国移动定义了一个公共的a p n 号c m n e t ，任何一个g p r s 用户都可以通过这个a p n 号接入公众i n t e m e t 网。用户经过运营商身份验证后，由g g s n 为其分配一个公共i p 地址， 作为网络主机连接到i n t e m e t 上。然后，g p r s 用户使用p p t p 软件通过i n t e m e t 向企业v p n 网关进行虚拟拨号，用户认证信息以