摘要: 无线接入不再是一种通过网卡提供的附加功能，它已经被集成到很多用户设备中。 PAWN正在被部署到很多公共场合，比如机场，酒店，会议中心，购物中心等。随着它越来越普遍，信任管理和访问设备的多样性是必须考虑的两个问题。让我们用一个例子来说明我们面对的问题： Peter 在一家大公司工作。公司和许多机场和酒店签订了协议给出差的员工提供 Internet 服务。一天， Peter 在机场用他的便携机访问无线网，便携机从机场的 DHCP 服务器得到了一个 IP 地址。到目前为止，我们要做两件事来保证双方的安全。第一， Peter 必须认证机场 Internet 供应商的身份。第二，机场必须认证 Peter 的身份。我们把这个过程叫做建立信任。现有的身份认证过程可以通过共同信任的第三方实现，比如 CA, 信用卡公司和全球认证机构。但是在漫游的环境下，用户不能直接接入 Internet ，而是依靠不被信任的服务器提供连接。这使用户不能确定它们是否真的在跟真正的认证服务提供商身份的实体通信。微软研究所的 CHOICE 项目 用全球认证数据库去认证在 PAWN 的用户。这是一种集中的方式，他不支持用户去认证服务提供商。 WEP的问题在于用户必须事先获得密匙。在 SOHO 环境下这虽然不是问题，但在公共环境中却不太可行。在 PAWN 中另一个重要的问题是如何向用户提供差别服务机制。 PAWN 向不同的用户开放，因此它应该支持不同的使用模式， 从尽力服务到不同的服务质量。我们必须设计一种差别服务的访问控制机制来保证正常的用户得到他们应得的服务，保护系统不受恶意用户的攻击，更有效的使用带宽资源。人们提出了一些访问控制和带宽分配算法。 RSVP使用信号协议在沿途的路由器上预定资源。虽然 RSVP 保证了服务质量，但是它有严重的可扩展问题，而且没有被广泛的部署在现在的 Internet 。除了这种提供绝对的性能保证的方法外，一些基于测量的访问控制算法提供了较为相对的保证。偶尔的性能下降是允许的。它使得在提供可接受服务的同时更有效的使用网络资源成为可能。虽然这些研究是令人振奋的，但他们没有考虑应用层的影响。结果导致较低的带宽使用率，或者不公平的用户服务。我们相信 PAWN 的设计应该建立在交互认证和差别服务机制的共同基础上。我们提出了一个构架来建立漫游用户和服务提供商之间的信任。它包括两个部分：认证模块和基于应用的差别服务模块。我们称认证模块为基于基地的认证协议 (HAP) 。它使用被信任的第三方，（用户的家或组织）来认证服务提供商和用户。差别服务模块处理来自用户的不同请求。它满足两个目标：用户公平和带宽使用率。它包括基于应用的差别服务算法。我们发现应用层的请求可以很好的预测用户的带宽要求和评估网络的整体使用效率。对请求对象大小和 Internet 路径带宽的准确预测实现了灵活动态和有效的访问控制和带宽分配。分析结果显示随着用户的增加认证延迟也会增加，但是速率远小于线性增加速率。 4.75 秒的延迟对 256 个用户来说是可接受的。我们在两种环境下： 固定上行带宽和动态上行带宽，实现并评测了差别服务算法，结果显示在和其他两种带宽分配机制， 尽力服务和静态访问控制的比较中， AASD 在用户公平和无线带宽使用效率方面显示更优的性能。举例来说， 120 个用户共享 Access Point, 用户预定的带宽遵循正态分布。用我们的算法的带宽使用效率是静态分配方法的两倍，比尽力服务提高 50% 。同时 90% 的用户得到了他们预订带宽的 95% 。另外，我们还提出了指数加权的队列优化技术来适应动态带宽分配。 HAP 认证协议和 AASD 算法并不是不可分割的两部分。他们可以分别独立的应用在其他框架体系中。 基于应用的差别服务模块可以和认证协议集成在一起。 HAP 也可以作为一种认证机制为各种分布式系统服务。