Сети Hot Spot ( Хот Спот) относятся к беспроводным сетям класса PWLAN (Public Wireless LAN), работающим по технологии IEEE 802.11a/b/g ( Wi-Fi) в диапазонах частот 2.4ГГц и 5ГГц. Основное предназначение сетей PWLAN состоит в предоставлении публичного доступа к различным информационным и другим ресурсам ( в настоящее время это в основном Интернет) абонентам в местах их плотного месторасположения, например, в аэропортах, вокзалах, отелях. Как правило, сети Хот Спот являются коммерческими ( или планируют стать таковыми), что определяет необходимость наличия надежного сервиса аутентификации, авторизации, аккаунтинга (AAA) и биллинга. Аутентификация заключается в установлении личности абонента, авторизация – в определении его прав и разграничении доступа абонентов к информационным ресурсам и сервисам. Аккаунтинг заключается в получении учетных данных о сеансах работы абонентов и соответствующих провайдеров услуги Хот Спот. Биллинг заключается в обработке учетных данных для финансовых расчетов с абонентами и организациями, задействованными в оказании услуги. В настоящее время большинство сетей Хот Спот как коммерческая услуга работают независимо друг от друга. Некоторые Хот Споты предоставляют доступ в Интернет бесплатно и работают только на имидж их владельца или в режиме опытной эксплуатации с перспективой коммерческого использования. Во многих случаях оплата за предоставляемые услуги не берется вследствие отсутствия необходимых для этого механизмов ААА. В большинстве коммерческих Хот Спот, как правило, абоненты одних сетей не могут быть обслужены в других сетях, то есть отсутствует так называемый межоператорский (межсетевой ) роуминг. Заключение роуминговых соглашений между провайдерами Хот Спот затруднено вследствие отсутствия согласованных механизмов сетевого взаимодействия, процедур обмена учетной и биллинговой информацией, соглашений о взаиморасчетах, взаимодействия с банковскими платежными системами и др. Во многих случаях в существующих Хот Спотах применяются технические средства, в частности, устройства доступа, которые в принципе не позволяют обслуживать роуминговых абонентов вследствие отсутствия поддержки необходимых для этого функций. Для поддержки межсетевого роуминга к составу, функциям и протоколам взаимодействия (интерфейсам ) компонент сети, реализующих беспроводный доступ Хот Спот, предъявляются специальные требования ( спецификации), определяющие их взаимную совместимость. Такие спецификации определены в разработанном корпорацией Intel и в сотрудничестве с ETSI недавно ратифицированном протоколе IRAP ( International Roaming Access Protocols)/1/. Данные спецификации рекомендуются международным альянсом Wi-Fi Alliance для реализации при построении роуминговых сетей Хот Спот. В процессе предоставления абоненту услуги Хот Спот принимают участие следующие представленные на схеме основные компоненты сети: - Mobile Client – обслуживаемый абонент;- Visited Network (или Access Network ) – сеть провайдера Хот Спот, оказывающего услугу беспроводного доступа Хот Спот. В составе Visited Network могут быть выделены устройство доступа Access Point (AP), контроллер доступа Access Controller (АС), Web-сервер, сервер аутентификации, авторизации и аккаунтинга ААА-V.- Home Provider - сервис провайдер, владеющей базой данных с учетной информацией об обслуживаемом абоненте и выполняющий его аутентификацию, авторизацию и аккаунтинг ( сервер AAA-H), а также биллинг абонента Если абонент обслуживается в сети провайдера Visited Network, не являющегося для него Home Provider, и подлежит аутентификации за пределами Visited Network, то такой абонент является роуминговым. - INT– расчетный центр (роуминговый посредник), осуществляющий межпровайдерские взаиморасчеты Clearing and Settlement, а также выполняющий функции централизованного управления и координации взаимодействия провайдеров и других посредников. INT также оснащается сервером AAA-I. Рассмотрим более подробно требования к функциональности и интерфейсы основных компонент сети Хот Спот, определяемые IRAP, и рекомендуемые к реализации Wi-Fi Alliance. 1.1 Функции абонентского терминала при доступе в сеть Хот Спот. Абонент Mobile Client представлен портативным устройством ( ноутбук, мобильный телефон, PDA и др.) , оснащенным средствами доступа к сети Wireless LAN по стандарту IEEE 802.11a/b/g.Абонент может подключиться к сети Хот Спот через устройство доступа AP используя один из двух различных метода доступа: 1) универсальный метод доступа UAM 2) защищенный метод доступа Wireless Protected Access (WPA) или WPA2. Универсальный метод доступа Universal Access Method (UAM) /3/ – это разработанный и рекомендуемый Wi-Fi Alliance метод аутентификации, авторизации и аккаунтинга абонента для доступа в сеть Хот Спот на основе использования web-протоколов. Метод доступа WPA /2/ базируется на протоколе защищенного доступа в сеть по стандарту аутентификации IEEE 802.11x. В настоящее время принят стандарт 802.11i, известный как WPA2. Доступ по протоколу WPA/WPA2 в отличие от UAM предусматривает установку у абонента специализированного ПО. На сегодняшний день практически все операционные системы портативных устройств с Wi-Fi имеют встроенную поддержку протоколов WPA/WPA2. Международный альянс Wi-Fi Alliance в целях предотвращения утечки информации об учетных данных и банковских реквизитах абонентов рекомендует использовать в современных Хот Спот именно защищенный доступ WPA/WPA2. Вместе с тем в целях совместимости рекомендуется также поддержка UAM доступа для абонентов, не оснащенных возможностями WPA/WPA2. При использовании UAM абонент подключается к устройству доступа AP , открывает web броузер и независимо от запрашиваемого ресурса перенаправляется устройством AC к странице приглашения/подключения Welcome/Logon page провайдера Visited Network /3/. Обычно страница приглашения/подключения содержит поля для ввода ID идентификатора пользователя и PSW пароля, а также другую полезную информацию, например, о провайдере Хот Спот и предоставляемых услугах. WPA/WPA2 доступ предусматривает использование одного из множества предусмотренных стандартом 802.11x/i методов аутентификации. При доступе в Хот Спот в настоящее время широко используется метод аутентификации PEAPv2/EAP-MSCHAPv.2. В ближайшей перспективе также будет широко применяться метод аутентификации EAP-SIM на основе используемой в мобильной связи SIM карты. Для этого ноутбуки и другие портативные устройства будут оснащаться гнездами для SIM карт (устройствами чтения SIM карт).При использовании PEAP абонент для получения защищенного доступа указывает свой идентификатор (login ) и пароль (psw). После подтверждения подлинности абонента между терминалом абонента и сервером AAA, выполнившем аутентификацию и осуществляющим аккаунтинг текущей сессии, организуется защищенный по стандарту 802.11x (802.11i) туннель, через который передается аккаунтинговая информация, и через который абонент может безопасно указать свои банковские реквизиты и другую конфиденциальную информацию для подтверждения своей платежеспособности. После аутентификации и подтверждения платежеспособности абонент либо перенаправляется на стартовую страницу провайдера Home Provider, либо сразу получает доступ к запрашиваемому ресурсу (при условии его доступности данному пользователю по результатам его авторизации). В настоящее время основным запрашиваемым ресурсом Хот Спот является доступ в Интернет, что не требует отдельной процедуры авторизации. При UAM после успешной аутентификации пользователю должно быть (рекомендуется ) доступно всплывающее окно (pops up window) c информацией о параметрах текущей сессии и кнопкой завершения сеанса связи (log out ). Пользователь может самостоятельно завершить работу тремя способами 1) кликнуть кнопку log out 2) выключить компьютер 3) покинуть зону Хот Спот. Завершение работы может быть также инициировано со стороны провайдера Visited Network или Home Provider.При использовании WPA/WPA2 доступа пользователь может завершить сессию также тремя способами 1) отключиться от сети (посылка 802.11x EAPOL- Logoff сообщения) 2) выключить компьютер 3) покинуть зону Хот Спот.При WPA/WPA2 и отсутствия у абонента возможности (обеспечиваемого соответствующим клиентским ПО) явного отключения устройство или контролер доступа AP/AC должны поддерживать посылку сообщений о завершении процесса аккаунтинга (Accounting Stop message ) в случае покидания абонентом зоны Хот Спот, отключения компьютера или потери соединения вследствие ослабления сигнала, интерференции или других причин. 1.2 Функции компонент сетевой инфраструктуры провайдера Хот Спот.Сеть провайдера Хот Спот ( на рис.1 Visited Network ) обеспечивает беспроводное подключение абонентского терминала и управление соединением.Беспроводное подключение обеспечивается устройством доступа Access Point, являющегося сетевым беспроводным мостом MAC уровня. Управление соединением (2 рис.1 ) производится контролером доступа AC. Функции AС могут также реализовываться устройством доступа AP. Простейшее устройство доступа с минимумом поддержки необходимых функций (обеспечение на физическом уровне беспроводного подключения абонента к AP) принято называть “тонкий” AP. В некоторых конфигурациях сети Хот Спот экономически оправдано использование нескольких “тонких” AP c одним общим AC. Если Хот Спот покрывает значительные пространства, например, множество помещений на разных этажах отеля, то использование десятка “тонких” AP c одним общим AC является предпочтительным по стоимости. В других случаях, когда в Хот Спот используется одно- два устройства доступа, целесообразно применение AP c функциями AC. Провайдер Visited Network может иметь собственную базу абонентов, для которых он является одновременно и Visited Network и Home Provider. Такие абоненты являются локальными абонентами провайдера Хот Спот Visited Network. При обслуживании локальных абонентов AAA и биллинг абонентов может поддерживаться : - непосредственно устройством или контролером доступа. В этом случае локальная база данных абонентов и биллинг ведется администратором Хот Спот, например, в кафе или отеле. Такие локальные абоненты обычно получают временный аккаунт на период их пребывания и работы в данной сети Хот Спот и проводят оплату за услугу на месте. - AAA-V сервером и соответствующей биллинговой системой провайдера Visited Network. В данном случае этот провайдер обслуживает только своих локальных абонентов и выступает для них в качестве Home Provider (AAA-V и AAA-H совпадают). Если же абонент не является локальным, т.е. не зарегистрирован в клиентской базе провайдера Хот Спот Visited Network, то для его обслуживания необходимо взаимодействие провайдеров Visited Network и Home Provider, определяемое роуминговым соглашением.Для ААА в публичных коммерческих сетях Хот Спот с поддержкой межсетевого роуминга Wi-Fi Alliance обязывает использовать Radius сервер, соответствующий стандарту IETF - RFC2865 (Authentication), RFC2866( Accounting), RFC2869, 3579, 3580 (Radius/EAP при WPA доступе). Допускается, что функции AAA, выполняемые непосредственно устройством доступа AP или контролером доступа AC для локальных абонентов, могут и не базироваться на Radius сервере. В то же время функции AAA-V Visited Network и AAA-H Home Provider и др. для обеспечения совместимости должны быть реализованы Radius сервером. При этом устройство/контролер доступа AP/AC должно функционировать как Radius client – NAS при UAM и WPA/WPA2 доступе и обеспечивать: - поддержку аутентификации при UAM на Radius сервере; - поддержку аутентификации 802.11x/802.11i при WPA/WPA2 на Radius сервере; - управление сессией и формирование аккаунтинговой информации с передачей соответствующих записей на Radius сервер; Одновременная поддержка UAM и WPA/WPA2 реализуется одним устройством доступа AP путем создания двух виртуальных беспроводных сетей VLAN с различными SSID /2/. Для этого AP должен поддерживать множественные SSID c различными идентификаторами VLAN. Помимо перечисленного сеть провайдера Хот Спот должна поддерживать также DHCP сервис и перенаправление http запросов на Web сервер при UAM доступе;Другие функции, например Access Control на основе MAC, IP фильтрация, управление полосой пропускания bandwidth management являются необязательными. Эти функции могут быть реализованы специализированным ПО на базе ПК, например DHCP сервером, сервером Firewall и др. Зачастую данные функции непосредственно поддерживаются устройствами и контролерами доступа AP/AC. Для обслуживания локальных абонентов устройство доступа AP или контроллер доступа AC могут выполнять аутентификацию и аккаунтинг, а контролер доступа AC может также выполнять и биллинг. В этом случае поддерживаются: - локальная база данных абонентов; - AAA, причем в некоторых случаях реализуется встроенный Radius cервер; - биллинг (или предоставляется интерфейс к специализированным биллинговым системам); - Web страницы для UAM.2. Организация межсетевого роуминга в сетях Хот Спот. Организация роуминга заключается в поддержке взаимодействия компонент сетевой инфраструктуры провайдеров Visited Network, Home Provider, роуминговых посредников в процессе AAA абонента и биллинга предоставляемой услуги. 2.1 Аутентификация и аккаунтинг роумингового абонента. Процедура ААА при обслуживании роумингового абонента выглядит следующим образом. Роуминговый абонент в процессе своей аутентификации указывает свой идентификатор Network Access Identifier ( NAI) в виде username@domain согласно RFC 2486, где domain (так называемый realm) определяет сеть Home Provider, где находится его AAA-H. Если domain не указан, то абонент является локальным и его AAA осуществляет непосредственно AP/AC или AAA-V сервер провайдера Visited network. При UAM и WPA/WPA2 доступе идентификатор и пароль абонента передаются AP/AC на Radius сервер AAA-V. Сервер AAA-V на основе анализа realm в соответствии с RFC 2486bis на основании роуминговых соглашений перенаправляет запрос на аутентификацию на сервер AAA-H Home Provider. При перенаправлении запроса на AAA-H сервер AAA-V выступает в качестве Proxy Radius сервера. При UAM доступе domain может быть указан не через realm, а путем прямого указания абонентом своего Home Provider из предложенного списка на странице приглашения. При WPA/WPA2 доступе в модели “тонкий” AP- AC функции поддержки EAP ( в частности PEAP) возлагаются на контролер доступа AC. При этом устройство доступа AP должно пропускать EAP сообщения между абонентом и контролером доступа AC. В частности, AP должен быть прозрачен для используемых в беспроводных сетях сообщений unicast EAPOL -Start, поскольку обычно сетевые устройства ориентированы на работу с используемыми в проводных сетях с поддержкой WPA широковещательными сообщениями multicast EAPOL-Start. Radius сервер AAA-H, получив идентификатор абонента, проводит проверку его подлинности и прав доступа в собственной базе и, в случае успешной аутентификации, дает команду AP/AC на начало процесса аккаунтинга. В процессе и после завершения сессии вся аккаунтинговая и другая статистическая информация передается с AP/AC на AAA-H и заносится в базу данных серверов AAA-V, AAA-H.Помимо серверов AAA-V и AAA-H в процессе аутентификации в качестве Proxy могут принимать участие промежуточные серверы AAA-I. Таким сервером может быть оснащен INT расчетный центр. Теоретически расчетных центров может быть несколько и в процессе аутентификации AAA-V может пробовать устанавливать подлинность подключаемых абонентов через разные AAA-I ( c которыми у AAA-V имеются соответствующие соглашения). В цепочке взаимодействия серверов AAA-I при аутентификации последним всегда должен быть сервер AAA-H, определяемый domain. В случае успешной аутентификации абонента на AAA-H вся аккаунтинговая информация передается помимо сервера AAA-H также на сервер AAA-I INT c тем, чтобы INT, как посредник, мог организовать финансовые расчеты между провайдером Home Provider и непосредственно оказавшим услугу доступа провайдером Visited Network.Во избежании неправильного подсчета или потери аккаутинговой информации устройство доступа AP/AC в соответствии со спецификациями IRAP должно поддерживать функции Idle Timeout, Session timeout, Interim update ( Interim Accounting interval)/1/. Атрибут Idle Timeout определяет максимальное допустимое время отсутствия активности абонента, после которого AP/AC инициирует завершение сессии посылкой сообщения Accounting Stop. Активность абонента определяется наличием IP трафика. Данный атрибут обычно может устанавливаться локально при конфигурации AP/AC, но согласно IRAP должен иметь возможность переопределяться динамически Radius сервером.Атрибут Session timeout устанавливает максимально допустимую продолжительность работы абонента. При превышении лимита времени абонент либо отключается от сети, либо требуется его повторная аутентификация (определяется атрибутом Termination-Action) Этот атрибут также может динамически задаваться ( переустанавливаться) Radius сервером ( в том числе AAA-H) согласно RFC3576, что особенно важно при обслуживании предоплаченных абонентов. Атрибут Interim update определяет периодичность с которой аккаунтинговая информация передается с AP/AC на Radius сервер. Промежуточная аккаунтинговая информация крайне важна для подсчета потребленного абонентом ресурса в случае потери сообщения Accounting-Stop, передаваемого в Radius AAA по завершении сессии, вызванной обрывом связи или другими причинами. Атрибут Idle-Timeout также используется для неявного ( явно не инициированного абонентом ) отключения от сети и прекращения процесса аккаунтинга в случае, например, покидания абонентом зоны Хот Спот или отключения компьютера. Также данный атрибут в случае потери сообщения Account-Stop является единственным источником информации об IP адресе терминала абонента, поскольку в момент посылки Account –Start сообщения IP адрес пока еще сервером DHCP не присвоен. 2.2 Биллинг услуги Хот Спот при роуминговом обслуживании абонентов. Биллинг услуги Хот Спот для роуминговых абонентов подразделяется на биллинг абонента End-User Billing (9 рис.1), проводимый AAA-H в сети Home Provider, и биллинг провайдеров Clearing and Settlement ( 8 рис.1), выполняемый расчетным центром INT. Биллинг абонента заключается в учете потребленной абонентом услуги, измеряемой проработанным временем (трафиком), пересчет потребленной услуги в денежные единицы и списание со счета абонента соответствующей суммы. При роуминге перерасчет оказанной услуги в денежную форму выполняет расчетный центр INT. Биллинг провайдеров Расчетного Центра заключается в реализации следующих функций - ведение статистической данных о сеансах связи роуминговых абонентов и оказавших им услугу Хот Спот провайдерах сети Visited Network ; - пересчет потребленного каждым роуминговым абонентом ресурса в денежную форму по тарифам провайдера Visited Network; - взаимодействие с Home Provider и провайдерами Visited Network по денежным расчетам за предоставленную роуминговым абонентам услугу; - взаимодействие с банком (банковской платежной системой) для проведения платежей. В общем случае провайдер Visited Network может являться Wireless ISP и иметь собственные устройства и контролеры доступа AP/AC и осуществлять AAA своих абонентов посредством своего Radius сервера (AAA-V). В то же время такой WISP также может иметь агентские соглашения на обслуживание с независимыми владельцами агентских сетей Хот Спот, например, в кафе и гостиницах. Агентские сети Хот Спот с технической точки зрения являться частью сетевой инфраструктуры провайдера Visited Network. Независимый владелец агентской сети Хот Спот может обслуживать как своих зарегистрированных в своей локальной базе клиентов, так и клиентов провайдера Visited Network, с которым у него заключено агентское соглашение. В первом случае аутентификация и биллинг абонента проводится там же, где он обслуживается, и оплата услуги производится на месте. Во втором случае провайдер Visited Network осуществляет ААА и биллинг абонентов, для которых он является одновременно Home Provider, производит прием от них платежей и рассчитывается с независимыми владельцами Хот Спот за оказанную его клиентам услугу. 2.3 Организация взаимодействия провайдеров при межсетевом роуминге.Для организации межсетевого роуминга, т.е. для того, чтобы любая сеть Хот Спот могла обслуживать любого абонента необходимо, чтобы между всеми провайдерами Home Provider и всеми провайдерами Visited Network было заключено роуминговое соглашение. Заключение прямых роуминговых соглашений между всеми провайдерами Visited Network и всеми Home provider по схеме каждый с каждым ( ad hoc) является простым в реализации при небольшом числе участников роуминговых соглашений. Данная схема широко применялась на начальном этапе становления сетей Хот Спот, когда провайдеры таких сетей заключали договора на обслуживание клиентов наиболее крупных провайдеров Home Provider мирового уровня. С ростом количества участников роуминговых соглашений такая схема становится громоздкой и неэффективной, поскольку каждому Home Provider приходится непосредственно взаимодействовать c тысячами сетей Хот Спот по всему миру. Для более эффективного обеспечения межсетевого роуминга каждый провайдер Visited Network и каждый Home Provider должен заключить договора на обслуживание с роуминговым посредником - расчетным центром INT. При этом для клиентов каждого Home Provider будет обеспечиваться межсетевой роуминг во всех cетях Visited Network, включая все их агентские сети Хот Спот. При роуминге AAA абонента проводится через цепочку Proxy серверов AAA-V, INT AAA-I, Home Provider AAA-H . Вся информация, необходимая для взаиморасчетов между провайдерами P AAA-V при роуминге, обрабатывается расчетным центром AAA-I INT. Таким образом, мы имеем двухуровневую иерархическую схему взаимодействия провайдеров при обслуживания роуминговых абонентов, где INT взаимодействует с провайдерами Home Provider и провайдерами Visited Network. В свою очередь провайдеры Visited Network, имеют либо собственные Хот Спот, образуя собственную полноценную сеть Visited network , либо взаимодействуют с независимыми владельцами Хот Спот, также образуя полноценную Visited Network, но уже на договорной агентской основе. Двухуровневая схема взаимодействия провайдеров при обслуживании роуминговых абонентов. В данной варианте схемы взаимодействия абонент производит оплату за услугу доступа либо независимому владельцу Хот Спот на месте, либо своему провайдеру Home Provider. Home Provider за роуминговое обслуживание своего клиента производит оплату Расчетному центру INT, который в свою очередь непосредственно расплачивается с оказавшим услугу провайдером Visited Network. Если же фактически услуга была оказана агентом провайдера Visited Network, то последний, получив оплату от INT, далее расплачивается c соответствующим независимым владельцем агентской сети Хот Спот. Провайдер Home Provider не обязательно должен быть оператором связи и может не иметь собственной телекоммуникационной инфраструктуры, включая каналы связи доступа в Интернет. Главное, Home Provider должен иметь собственных клиентов ( клиентскую базу), которым может быть предоставлена услуга Хот Спот, и с которых за это может взиматься соответствующая плата End-User Billing, например, предъявлен к оплате счет или списана с личного счета абонента соответствующая сумма. Еще одним возможным вариантом создания собственной клиентской базы является выпуск и реализация провайдером Home Provider потенциальным ( prepaid ) абонентам карточек доступа в сеть Хот Спот. При этом непосредственно услуга доступа оказывается провайдерами Visited Network, с которыми у Home Provider через посредника INT заключено соответствующее роуминговое соглашение. Тем самым, такой провайдер может являться так называемым виртуальным оператором связи, в нашем случае виртуальным провайдером Хот Спот. Подобная схема предоставления услуги в последнее время популярна в мобильной связи. В качестве Home Provider с соответствующим AAA-H может выступать Расчетный Центр INT ( рис.3). В этом случае INT имеет собственную клиентскую базу и является для своих клиентов виртуальным провайдером Хот Спот. Клиентская база INT может формироваться за счет выпуска и продажи карточек доступа под собственной торговой маркой провайдера услуги Хот Спот. Эти карточки могут распространяться в торговой сети , например, в салонах мобильной связи, а также через каналы продаж провайдеров Visited Network, имеющих собственные сети Хот Спот, и независимых владельцев агентских Хот Спот. При этом провайдеры Visited Network могут отказаться от выпуска собственных карточек доступа и реализовывать карточки INT. В этом случае провайдеры Visited Network избавляются от необходимости содержания собственной клиентской базы в качестве Home Provider и выполнения биллинга. Сервер AAA-V такого провайдера выполняет только технические функции переадресации ААА сообщений в качестве Radius Proxy сервера. Абонент покупает в торговой сети карточку доступа ( услуга предоплаченного доступа ). Оплата за карточку поступает на счет Расчетного Центра INT. При этом за продажу карточек доступа INT выплачивает торговым посредникам соответствующие комиссионные. За услугу доступа Расчетный Центр INT расплачивается с оказавшим услугу провайдером Visited Network. Если же фактически услуга была оказана агентской сетью Хот Спот провайдера Visited Network, то этот провайдер, получив оплату от INT, далее расплачивается c соответствующим независимым владельцем Хот Спот.Недостатком такой схемы роумингового обслуживания является некоторое удорожание услуги, поскольку в этом случае любой доступ, кроме случая локального AAA непосредственно устройством доступа AP Хот Спот, считается роуминговым и тарифицируется дороже. Положительным моментом является существенное упрощение финансовых и информационных потоков при AAA и биллинге, что упрощает технические и организационные вопросы обслуживания абонентов. Одним из перспективных вариантом роумингового обслуживания является привлечение к оказанию услуги Хот Спот в качестве виртуальных Home Provider операторов мобильной и проводной связи, операторов кабельного телевидения. В данной схеме взаимодействия виртуальным операторам достаточно заключить соответствующие договора на обслуживание, а также иметь технические средства и каналы связи поддержки взаимодействия с расчетным центром INT, который и обеспечивает предоставление услуги Хот Спот клиентам виртуальных операторов посредством реальной телекоммуникационной инфраструктуры провайдеров Visited Network и их агентов. Cовершенно не имеет значения откуда провайдеры получают канал в Интернет и чей конкретно канальный ресурс продается абонентам Хот Спот. Тем самым виртуальным операторам нет необходимости иметь каналы связи к точкам доступа Хот Спот, владеть и содержать эти сети, вести аккаунтинг и биллинг абонентов. Функции виртуального провайдера Хот Спот заключаются : – подтверждение по запросу от Расчетного Центра INT подлинности подключаемого абонента и его платежеспособности;– списание со счета своего клиента суммы по счету, выставленному Расчетным Центром INT, за предоставление услуги Хот Спот;– оплата услуг доступа Хот Спот, оказанных его клиентам, Расчетному Центру INT. Виртуальный оператор также должен принимать от своих клиентов запросы ( например, путем посылки SMS ) на получение услуги Хот Спот и, взаимодействуя с Расчетным Центром INT, сообщать своим клиентам идентификатор и пароль, указываемые при подключении к сети. Кроме того, виртуальный оператор должен проводить маркетинговые и другие мероприятия по стимулированию своих клиентов пользоваться услугой Хот Спот. В настоящее время уже разработаны стандартные шлюзы взаимодействия системы AAA и биллинга Расчетного Центра с аналогичными системами мобильных операторов. Несомненно, взаимовыгодное сотрудничество провайдеров беспроводного доступа, располагающих сетевой инфраструктурой для предоставления услуги Хот Спот, и операторов мобильной связи, располагающих обширной клиентской базой, потенциально готовой к получению услуги доступа Хот Спот, особенно после появления двухстандартных (GSM/Wi-Fi ) мобильных терминалов, может сделать услугу Хот Спот массовой. На банковскую систему можно возложить не только функции приема и перевода платежей, но и функции по расчетному обслуживанию абонентов. При этом одним из важных случаев является вариант, когда Home Provider является непосредственно банк или банковская платежная система . В данном случае INT может вообще заниматься исключительно биллингом для выполнения расчетов с провайдерами, а при обслуживании абонента проводить только аккаунтинг оказанной ему услуги для выставления счета банковской платежной системе. Услуга Хот Спот предоставляется клиентам банка или банковской платежной системы, например, VISA Virtuon, специально предназначенной для онлайновых расчетов через Интернет.При этом информацию о клиентах и их счетах ведут не провайдеры и Расчетный Центр INT, а процессинговый центр банковской платежной системы. Учетными данными обслуживаемого абонента ( биллинговым идентификатором ) является номер карточки расчета через Интернет и пароль ( наподобие PIN кода или кода верификации ).В данном варианте Расчетный Центр INT : - при поступлении запроса на аутентификацию абонента переадресует запрос в процессинговый центр и после подтверждения подлинности клиента и его платежеспособности дает разрешение провайдеру Visited Network на обслуживание абонента и его аккаутинг;- ведет статистические данные о сеансах связи абонентов и оказавших им услугу провайдерах Visited Network;- после завершения сессии на основе поступившей от Visited Network аккаунтинговой информации проводит калькуляцию предоставленной услуги по тарифам Visited Network и передает запрос в процессинговый центр на списание с личного карточного счета обслуженного абонента соответствующей суммы;- после получения от банка оплаты списанных со счета обслуженного клиента средств расплачивается с провайдером Visited Network или его агентской сетью Хот Спот, фактически оказавшей услугу доступа. Также возможен вариант, когда Расчетный Центр только предоставляет банку необходимую для выполнения платежей информацию и сам не участвует в финансовых транзакциях, предоставляя возможность банку напрямую осуществлять платежи в адрес провайдеров Visited Network и их агентов. В данном схеме взаимодействия Расчетный Центр выступает в роли электронного Интернет магазина, торгующего услугой беспроводного доступа в Интернет с обслуживанием клиента в он-лайне по карточкам. При этом абоненты сети Хот Спот наряду со специальными карточками расчетов через Интернет могут использовать и традиционные кредитные карточки.Применение данной схемы обслуживания избавляет все организации, задействованные в предоставлении услуги Хот Спот, вести учет абонентов и их биллинг ( кроме аккаутинга услуги по тарифам Visited Network). Абонент при получении доступа в защищенном WPA/WPA2 режиме самостоятельно указывает все необходимые реквизиты своей кредитной карточки. Все промежуточные сервера AAA провайдеров и Расчетного Центра также в защищенном режиме перенаправляют запрос с учетными данными абонента ( являющегося для них анонимным) в банковскую систему и при получении подтверждения подлинности абонента-клиента банка и его платежеспособности дают разрешение на его обслуживание. В процессе обслуживания абонентов Расчетный Центр INT выполняет только аккаутинг абонентов и биллинг провайдеров для последующих расчетов с ними, а биллинг абонентов и все платежи производит банк. Недостатком такой схемы взаимодействия является также удорожание услуги доступа, поскольку в этом случае за любое обслуживание абонента свои комиссионные берет банк. Положительным моментом является еще более существенное упрощение финансовых и информационных потоков роумингового облуживания абонентов. 3. Требования к функциональности устройства и контролера доступа В роуминговых сетях Хот Спот полнофункциональное устройство доступа AP или “тонкий” AP совместно с контролером доступа AC должны обеспечивать беспроводное подключение абонентов и их защищенную аутентификацию и аккаунтинг на базе внешнего Radius сервера. В таблице приведены требования к функциональности AP ( “тонкого” AP+ AC как единого устройства), определяемые спецификациями IRAP.Функции способ доступа назначение Поддержка доступа Broadcast SSID UAM/WPA/WPA2 Просмотр абонентом имени (SSID) доступной сети Multiply VLAN/SSID UAM/WPA/WPA2 Разделение доступа UAM и WPA./WPA2 по WLAN сетям при использовании одного AP DHCP (IP address, netmask, gateway and DNS address) UAM/WPA/WPA2 Динамическое назначение абонентскому терминалу IP адреса и адреса DNS Аутентификация Radius authentication support RFC2865 UAM Аутентификация при UAM через внешний Radius сервер HTTP redirection UAM Перенаправление HTTP запроса на Web сервер при UAM аутентификации HTTPS support ( SSL/TLS) UAM Поддержка защищенного доступа (SSL туннель между терминалом абонента и Web-сервером) при UAM аутентификации Radius EAP (EAP-SIM, PEAP-MSCHAPv2)RFC 2869,3579,3580,3748,2486bis WPA/WPA2 EAP aутентификация через внешний Radius сервер при WPA/WPA2 доступе Transparent to unicast EAPOL Start WPA/WPA2 Прозрачность “тонкого” AP для unicast EAP сообщений между терминалом абонента и AC при WPA/WPA2 доступе Support EAPOL-logoff WPA/WPA2 Поддержка EAP сообщений при зaвершении сессии по инициативе абонента при WPA/WPA2 доступеАккаунтинг Idle-Timeout UAM/WPA/WPA2 Завершение сессии по истечении допустимого времени отсутствия активности абонента Session-Timeout UAM/WPA/WPA2 Завершение сессии при превышении лимита времени Interim update UAM/WPA/WPA2 Периодичное обновление AP аккаунтинговой информации на Radius cервере Radius accounting support RFC2866 UAM Аккаунтинг на внешнем Radius сервере при UAM доступе Radius WPA/WPA2 support RFC 2869,3579,3580,3748,2486bis WPA/WPA2 Аккаунтинг на внешнем Radius сервере при WPA/WPA2 доступеДополнительные Web pages Страница приглашения при UAM доступе Local AAA ААА локальных абонентов Большинство представленных на рынке AP, как правило, поддерживают DHCP. При выборе AP для организации Хот Спот с поддержкой WPA/WPA2 доступа в первую очередь следует обратить внимание на наличие поддержки протокола PEAP, работы с внешним Radius сервером при аутентификации и аккаунтинге. При работе с Radius сервером также необходима поддержка Idle-timeout, Session -Timeout и Interim update. Если данный AP поддерживает перечисленные функции, то тогда его можно тестировать на полноту и корректность реализации протокола взаимодействия IRAP. Если на базе одного и того же AP реализуется WPA/WPA2 доступ и UAM, тогда AP должен поддерживать Мultiply VLAN/SSID. Также как и при WPA/WPA2 для UAM доступа AP должен поддерживать работу с внешним Radius сервером как при аутентификации, так и при аккаунтинге с реализацией Idle-timeout, Session -Timeout и Interim update. Большинство представленных на рынке AP обычно предназначены для корпоративного применения и поэтому не поддерживают функций переадресаций запросов на Web-сервер. Поэтому при использовании такого AP при UAM переадресацию htpp запроса можно возложить на firewall сервер. Если AP работает у независимого владельца Хот Спот, например в кафе, где нет возможности установить и обслуживать firewall, web сервер, то в этом случае целесообразно вместе с типовым AP использовать ориентированный на оказание услуг Хот Спот Access Controller. Типовой AC поддерживают всю необходимую для Хот Спот функциональность при UAM, например, имеет встроенный Web-сервер и предоставляет полезный дополнительный сервис для обслуживания локальных абонентов. Ожидается, что в ближайшее время Wi-Fi Alliance утвердит специальную маркировку, которыми будут помечаться устройства доступа, удовлетворяющие спецификациям IRAP, и которые без дополнительной проверки могут устанавливаться в качестве устройств доступа сетей Хот Спот с возможностью межсетевого роуминга. Список литературы. 1. Public WLAN roaming interface specification. International Roaming Access Protocols (IRAP) Programm. January 26, 2005.2. WPA deployment guidelines for Public Access Wi-Fi Network. Wi-Fi Alliance , October 28, 20043. D.Anton, B.Bullock, J.Short. Wireless ISP roaming. Wi-Fi Alliance , February, 2003.