专利名称:Eap-sim用户认证的业务测试系统的制作方法
技术领域:
本发明涉及移动通 信领域,更具体地,涉及用于进行可扩展认证协议-用户身份模块(EAP-SM)用户认证的业务测试系统。
背景技术:
众所周知,在传统蜂窝移动通信系统中,用户设备(UE)与归属位置寄存器(HLR)的认证是基于U(SM)卡的认证方式。在无线局域网(WLAN)通信系统中,被各大运营商称为用户无感知认证的EAP-SM认证也显现出其自身的优势。通常,在WLAN设备测试中需要模拟大量用户在线进行压力测试,以保证相应功能正常、性能稳定。对于无线控制器(AC)设备的压力测试主要来自两方面,一是多个EAP-SIM用户,二是多个AP上线。如图I所示,EAP-SIM认证机制提供基于GSM-S頂卡的认证和密钥分发机制,在GSM单向认证的基础上,提供了双向认证,S卩服务器端认证客户端,客户端也认证服务器端,只有双向认证通过后,服务器端才发送EAP-Success消息至客户端,客户端才可以接入网络。同时,EAP-SM认证机制还通过多次挑战响应机制,生成更强的会话密钥。整个认证过程不需要用户介入任何手工操作,完全由终端自动完成。EAP-SIM用户进行接入时,终端与AC之间通过EAPoL协议通信,AC和服务器通过radius协议转发EAP消息,SIM认证是否通过由服务器根据自身存储的用户手机号对应的SIM卡认证签约信息进行控制。GSM的认证安全依赖于存储在SM卡中的128位密钥Ki,Ki永远不会在网络中传输。首先,网络运营商生成128位的随机数作为一个挑战发送到用户端,用户端和运营商端同时采用Ki和128位随机数作为A3和AS算法的输入,通过A3算法,用户得到32位的signed response (SRES),运营商端借此SRES验证用户身份的有效性而通过A8算法,用户端和运营商端都获得64位的密钥Kc,两端采用此Kc作为加解密的密钥,实现数据的保密通信。GSM认证缺少双向认证,而且,会话密钥Kc只有64位,密钥长度太短。EAP-SIM协议的双向认证具体流程图如图2所示(I)客户端发送EAP0L_Start巾贞,请求认证接入;(2) AP发出请求帧,请求客户端发送身份信息;(3)客户端响应请求,将身份信息发送至AP ;(4)AP将客户端身份信息重新封装成RADIUS Access-Request巾贞转发至服务器端;(5)服务器验证客户端身份,验证合法后向用户发送EAP-Request/SIM/Start中贞,封装在 RADIUS Access-Challenge 巾贞中;(6)AP提取RADIUS Access-Challenge巾贞中的EAP-Request/SIM/Start巾贞,转发至客户端;(7)客户端响应请求,将EAP-Request/SIM/Start巾贞发送至AP ;(8) AP 将 EAP-Request/SIM/Start 巾贞重新封装成 RADIUS Access-Request 巾贞,转发至服务器端;
(9)服务器根据客户端响应结果,回送EAP-Request/SIM/Challenge巾贞至AP,此中贞封装在 RADIUS Access-Challenge 巾贞中;(IO)AP 提取 RADIUS Access-Challenge 巾贞中的 EAP-Request/SIM/Challenge 中贞,转发至客户端;(11)客户端响应请求,将 EAP-Response/SIM/Challenge 巾贞发送至 AP ;(12)AP 将 EAP-Response/SIM/Challenge 巾贞重新封装成 RADIUSAccess-Request帧,转发至服务器端;(13)服务器端认证成功,将EAP-Success巾贞封装在RADIUSAccess-Accept巾贞中,发送至AP;(14) AP 提取 RADIUS Access-Accept 巾贞中的 ΕΑΡ-Success 巾贞,转发至客户端;(15) EAP-SIM双向认证结束,认证成功。现有技术中对EAP-SM用户认证的系统需要对无线控制器(AC)进行业务压力测试,如图3所示。无线接入点(AP)与AC通过网络连接,由AC在AP和服务器之间转发各种数据。这样,为了测试AC,需要大量支持EAP-SM认证的无线终端,这需要投入大量的物力资源。
发明内容
本发明提供了一种用于EAP-SM用户认证的业务测试系统,能够支持测试无线控制器(AC)的业务压力,能够最接近真实的模拟EAP-SIM用户无线行为(比如无线关联、认证、切换、漫游等行为)。相比现有技术的技术方案,能够在有限的空间资源、有限的设备资源情况下实现测试的目的。所谓有限的空间资源、有限的设备资源,应该要比现有技术方案所需的资源降低一个数量级。根据本发明的一方面,提供了一种用于EAP-S頂用户认证的业务测试系统,包括第一虚拟机,其上运行用于模拟多个无线客户端的行为的多个进程;第二虚拟机,其上运行用于模拟多个无线接入点的行为的多个进程;无线控制器,通过有线网络与第二虚拟机进行交互,并与认证服务器交换EAP-SM认证消息。根据本发明的一方面,第一虚拟机将无线客户端的无线报文封装为以太网报文并发送到第二虚拟机,第一虚拟机和第二虚拟机之间通过有线网络进行通信。根据本发明的另一方面,提供了一种用于EAP-S頂用户认证的业务测试系统,包括虚拟机,其上运行用于模拟多个无线客户端的行为和多个无线接入点的行为的线程;无线控制器,通过有线网络与虚拟机进行交互,并与认证服务器交换EAP-SM认证消息。根据本发明的另一方面,一个无线客户端的无线行为和一个无线接入点的无线行为被封装在一个进程中。根据本发明的另一方面,所述进程采用进程间通信机制或进程内通信机制来承载无线客户端和无线接入点之间的空口交互报文。根据本发明的一方面,提供了一种用于EAP-S頂用户认证的业务测试系统,包括无线接入点,其上安装有虚拟机,虚拟机上运行多个模拟无线客户端的行为和无线接入点的行为的进程;无线控制器,通过有线网络与无线接入点进行交互,并与认证服务器交换EAP-SIM认证消息。
根据本发明的一方面,模拟无线客户端的行为和无线接入点的行为的进程采用进程间通信机制或进程内通信机制来承载无线客户端和无线接入点之间的空口交互报文。根据本发明的另一方面,提供了一种用于EAP-S頂用户认证的业务测试系统,包括多个第一虚拟机,每个第一虚拟机上运行一个模拟一个无线客户端的行为的进程;多个第二虚拟机,每个第二虚拟机上运行一个模拟一个无线接入点的行为的进程;无线控制器,通过有线网络与所述多个第二虚拟机进行交互,并与认证服务器交换EAP-SM认证消肩、O根据本发明的另一方面,第一虚拟机将无线客户端的无线报文封装为以太网报文并发送到第二虚拟机,第一虚拟机和第二虚拟机之间通过有线网络进行通信。
通过下面结合示例性地示出实施例的附图进行的描述,本发明的上述和其他目的 和特点将会变得更加清楚,其中图I是不出根据现有技术的EAP-SIM用户认证系统的业务不意图;图2是示出根据现有技术的基于EAP-SM的双向认证具体流程图;图3是示出根据现有技术的EAP-SM用户认证系统进行业务测试的示图;图4是示出根据本发明第一示例性实施例的EAP-SM用户认证的业务测试系统的示意图;图5是示出根据本发明第二示例性实施例的EAP-SM用户认证的业务测试系统的示意图;图6是示出根据本发明第三示例性实施例的EAP-SM用户认证的业务测试系统的示意图;图7是示出根据本发明第四示例性实施例的EAP-SM用户认证的业务测试系统的示意图。
具体实施例方式为了满足降低空间资源和设备资源的需求的目的,根据本发明的EAP-SM认证系统采取EAP-SIM用户前端和服务器后端分别模拟的方式,无线用户终端与无线AP均支持802. Ilover 802. 3虚拟网卡,无线用户终端与无线AP通过802. 3有线或在设备内部承载空口交互报文,客户端与认证系统之间运行IEEE 802. Ix标准中定义的EAP0L(EAP over LAN)协议,无线AC和服务器通过radius协议转发EAP消息,这样就可以将真实的空口交互隐藏到有线网络内部,从而规避空口资源特殊性。为此,例如,可采用以下的手段来进行模拟I.可通过使用目前市面上的虚拟化产品(例如,vmware、xen、linuxkvm/lxc等),在一台计算机上安装多个虚拟机,以模拟多个客户机。2.可自行定制软件来将EAP-SIM用户行为封装到一个进程中,并在一台计算机上运行多个EAP-SM用户模拟进程,同时将AP功能封装到一个进程中,并在一台计算机上运行多个AP模拟进程。3.可将EAP-S頂用户终端行为和AP行为封装到一个进程中,并在一台计算机上运行多个进程。
4.可将用户无线终端内置到无线AP中,无线终端与无线AP通过IPC (进程间通讯或进程内通讯机制)承载空口交互报文,从而将真实的空口交互隐藏到设备内部,规避空口资源特殊性。5.单线程多用户模拟,模拟的用户终端同时进行请求接入,服务器端能同时对多用户的接入请求同时进行处理,使大量用户同时上线。6.单进程单用户模拟,模拟用户终端同时进行请求接入,服务器端对多个用户的接入请求依次进行处理,用户依次上线。下面将参照图4-图7对采用了以上手段的本发明的示例性实施例进行说明。图4是示出根据本发明第一示例性实施例的EAP-SM用户认证的业务测试系统的示意图。如图4所示,该测试系统包括虚拟客户端、虚拟AP和实体的AC。多个虚拟客户端·与多个虚拟AP分别运行在不同的虚拟机A和B上,虚拟客户端与虚拟AP之间通过真实有线网络进行通信,并且能够完全模拟真实客户端在任意真实AP上的无线行为。例如,可以模拟客户端在多个AP之间进行漫游,同时能够模拟客户端的其它无线行为(例如,无线关联、认证、QoS协商等行为)。在本实施例中,利用虚拟机A模拟客户端的802. 11无线报文,并将无线报文封装成802. 3的以太网报文,通过有线网络发往在虚拟机B上模拟的多个虚拟AP。虚拟机B通过CAPWAP隧道协议,经由有线接口将用户数据转发到AC。在本实施例中,各个虚拟客户端的用户数据被虚拟机封装到各个进程中。虚拟机A和虚拟机B之间模拟客户端和WLANAN的上线流程。虚拟机B和AC之间的交互消息用CAPWAP报文进行封装。AC和服务器通过radius协议转发EAP消息。这里,可以使用如上所述的虚拟化产品,例如,vmvare、xen、linux kvm/lxc等来在计算机上安装多个虚拟机,以分别模拟多个虚拟客户端和多个无线AP。也可将EAP-SIM的客户端的无线行为封装在一个进程中,在一台虚拟机上进行多个客户端的模拟。另外,可将AP的无线行为封装在一个进程中,从而在一个虚拟机上运行多个AP模拟进程来模拟多个无线AP。图5是示出根据本发明第二示例性实施例的EAP-SM用户认证的业务测试系统的示意图。在本实施例中,同样利用单进程模拟单个用户。与第一示例性实施例不同的是,每一个进程分别运行在一个虚拟机上,而不是多个进程分别运行在一个虚拟机上。如图5所示,用于模拟无线客户端的多个进程分别运行在Al、A2、...An的多个虚拟机上,而用于模拟AP的多个进程分别运行在BI、B2、…Bn的多个虚拟机上,这样,通过采用多进程运行在多虚拟机上,完成海量模拟的效果。也就是说,在本实施例中,无线客户端的客户端行为由多个虚拟机A(l,2,…)虚拟化,AP的AP行为由多个虚拟机B(l,2,…)虚拟化,客户端行为和AP行为被分别封装到每个虚拟机的单个线程中,客户端的802. 11无线报文被虚拟机A(l,2,…)封装成以太网报文,并通过有线方式发往虚拟机B(l,2,…)。虚拟机B(l,2,…)将客户端的报文封装成CAPWAP报文并发往AC,通过大量虚拟机来实现用户的海量用户和AP,造成对AC设备的压力。AC处理来自无线客户端的认证请求,并和服务器通过radius协议转发EAP消息。
图6是示出根据本发明第三示例性实施例的EAP-SM用户认证的业务测试系统的示意图。在本实施例中,采用单线程来模拟多用户。将一个客户端的行为与一个AP的行为封装在同一个进程中,运行多个这样的进程以模拟大量的用户接入请求。用户接入请求通过有线接口被转发到无线控制器,无线控制器将同时的多个用户的接入请求转发到服务器。服务器端同时对多用户的接入请求同时进行处理,从而实现海量用户请求的模拟效果。在本实施例中,多个用户和多个AP被封装到虚拟机上运行的单个线程中,无线客户端的802. 11无线报文通过IPC(进程间通讯或进程内通讯机制)被转发到AP,然后经过CAPWAP封装后被发往AC以进行处理。也就是说,在虚拟机中运行的单个线 程模拟了无线客户端的行为和AP的行为。AC处理来自无线客户端的认证请求,并和服务器通过radius协议转发EAP消息。图7是根据本发明第四示例性实施例的EAP-S頂用户认证的业务测试系统的示意图。如图7所示,无线客户端与AP被封装在同一个进程中,并运行在同一台虚拟机上。该虚拟机上可运行多个这样的进程,进程之间通过IPC (进程间通讯或进程内通讯机制)承载空口交互报文,这样可将真实的空口交互隐藏到设备内部,从而规避空口资源特殊性。在本实施例中,无线客户端的行为和AP的行为被封装到同一个进程中,且都在AP上开发。无线客户端的802. 11报文和AP封装的用户数据都使用进程间的通信(IPC),经过CAPWAP封装后,发给AC处理。AC处理来自无线客户端的认证请求,并和服务器通过radius协议转发EAP消息。本发明采用有线承载无线的方式来进行EAP-S頂认证的业务压力测试。由于有线网络不存在无线网络的空口资源特殊性,所以可通过在有线上承载无线规避无线网络的空口资源特殊性,这是因为有线网络通过将传输介质封闭在一根网线内来规避无线网络的空口资源特殊性,多根网线互不干扰,所以在有限的空间内可以大量部署有线网络,从而实现大量的用户上线动作模拟。本发明采用了基于有线承载无线的虚拟网络接口,对上层应用而言,看到的逻辑网络接口是无线接口。虽然已经参照本发明的若干示例性实施例示出和描述了本发明,但是本领域的技术人员将理解,在不脱离权利要求及其等同物限定的本发明的精神和范围的情况下,可以在形式和细节上做出各种改变。
权利要求
1.一种用于EAP-S頂用户认证的业务测试系统,包括第一虚拟机,其上运行用于模拟多个无线客户端的行为的多个进程;第二虚拟机,其上运行用于模拟多个无线接入点的行为的多个进程;无线控制器,通过有线网络与第二虚拟机进行交互,并与认证服务器交换EAP-SM认证消息。
2.如权利要求I所述的业务测试系统,其中,第一虚拟机将无线客户端的无线报文封装为以太网报文并发送到第二虚拟机,第一虚拟机和第二虚拟机之间通过有线网络进行通 目。
3.一种用于EAP-S頂用户认证的业务测试系统,包括虚拟机,其上运行用于模拟多个无线客户端的行为和多个无线接入点的行为的线程; 无线控制器,通过有线网络与虚拟机进行交互,并与认证服务器交换EAP-SM认证消肩、O
4.如权利要求3所述的业务测试系统,其中,一个无线客户端的无线行为和一个无线接入点的无线行为被封装在一个进程中。
5.如权利要求4所述的业务测试系统,其中,所述进程采用进程间通信机制或进程内通信机制来承载无线客户端和无线接入点之间的空口交互报文。
6.一种用于EAP-S頂用户认证的业务测试系统,包括无线接入点,其上安装有虚拟机,虚拟机上运行多个模拟无线客户端的行为和无线接入点的行为的进程;无线控制器,通过有线网络与无线接入点进行交互,并与认证服务器交换EAP-S頂认证消息。
7.如权利要求6所述的业务测试系统,其中,模拟无线客户端的行为和无线接入点的行为的进程采用进程间通信机制或进程内通信机制来承载无线客户端和无线接入点之间的空口交互报文。
8.一种用于EAP-S頂用户认证的业务测试系统,包括多个第一虚拟机,每个第一虚拟机上运行一个模拟一个无线客户端的行为的进程; 多个第二虚拟机,每个第二虚拟机上运行一个模拟一个无线接入点的行为的进程; 无线控制器,通过有线网络与所述多个第二虚拟机进行交互,并与认证服务器交换 EAP-SIM认证消息。
9.如权利要求8所述的业务测试系统,其中,第一虚拟机将无线客户端的无线报文封装为以太网报文并发送到第二虚拟机,第一虚拟机和第二虚拟机之间通过有线网络进行通 Ih。
全文摘要
公开了一种可扩展认证协议-用户身份模块(EAP-SIM)用户认证的业务测试系统,包括第一虚拟机,其上运行用于模拟多个无线客户端的行为的多个进程;第二虚拟机,其上运行用于模拟多个无线接入点的行为的多个进程;无线控制器,通过有线网络与第二虚拟机进行交互,并与认证服务器交换EAP-SIM认证消息。
文档编号H04W24/06GK102932787SQ201210411088
公开日2013年2月13日 申请日期2012年10月25日 优先权日2012年10月25日
发明者刘靖非, 张丽佳, 范成龙 申请人:北京傲天动联技术有限公司