周俊超

中興通訊南京研發(fā)中心 無線規(guī)劃系統(tǒng)部，江蘇 南京 210012

　　摘要：Non 3rd Generation Partnership Project（Non-3GPP）網(wǎng)絡(luò)（如WLAN）可以通過授信或者非授信的方式接入到EPC網(wǎng)絡(luò)中，但接入后如何實現(xiàn)用戶在Non-3GPP內(nèi)的漫游限制，3GPP標準并沒有定義。本文首先概述了3GPP定義的Non3GPP接入Evolved Packet Core（EPC）的兩種模式和參考架構(gòu)，接著介紹了Non3GPP采用非授信模式接入EPC時的流程和基本原理，然后在此基礎(chǔ)上，提出了一種通過3GPP AAA服務(wù)器實現(xiàn)用戶在Non3GPP漫游限制的系統(tǒng)和方法，并實驗室驗證了方法的可行性。

　　關(guān)鍵詞：Non-3GPP；授信模式；非授信模式；WLAN；漫游限制

0引言

　　在第四代（4th Generation，4G）移動通訊網(wǎng)絡(luò)中， 3GPP標準組織定義了Non-3GPP可以采用授信或者非授信的方式接入到4G移動通訊網(wǎng)絡(luò)演進的分組核心網(wǎng)（Evolved Packet Core，EPC）中［1］。Non-3GPP包含無線局域網(wǎng) (Wireless LAN, WLAN)、演進的高速分組數(shù)據(jù)網(wǎng)（Evolved High Rate Packet Data，eHRPD）等網(wǎng)絡(luò)，本文討論的Non3GPP指的是WLAN網(wǎng)絡(luò)［2］。

　　標準中給出的Non-3GPP本地接入模式架構(gòu)如圖1所示。

　　用戶是否被允許通過WLAN網(wǎng)絡(luò)接入EPC，可以在HSS中通過簽約信息進行控制［3］:如果簽約允許用戶從WLAN接入，則用戶可以通過WLAN網(wǎng)絡(luò)附著到4G EPC，并通過PGW進行數(shù)據(jù)業(yè)務(wù)；如果簽約不允許用戶從WLAN接入，則用戶無法通過WLAN網(wǎng)絡(luò)附著到4G EPC。

　　在部署的過程中，存在以下場景：用戶已經(jīng)在HSS中簽約允許其通過WLAN網(wǎng)絡(luò)接入EPC，但需要進一步區(qū)分WLAN位置或者標示進行漫游控制，例如：（1）基于位置的漫游控制。當用戶在國內(nèi)通過WLAN接入EPC時允許，但用戶漫游到國外的WLAN時則不允許其接入EPC網(wǎng)絡(luò)；或者，用戶在校內(nèi)的WLAN網(wǎng)絡(luò)接入到EPC時允許，校外的WLAN網(wǎng)絡(luò)則不被允許接入EPC等；（2）基于WLAN標示的漫游控制。運營商自己建設(shè)的WLAN網(wǎng)絡(luò)則允許接入，其他第三方建設(shè)的WLAN不被允許接入等。目前的3GPP標準規(guī)范未對這種場景給出解決方案。

　　作為對標準規(guī)范的補充和完善，本文提出并分析研究了一種基于3GPP AAA服務(wù)器實現(xiàn)WLAN接入4G EPC時在同一種WLAN網(wǎng)絡(luò)內(nèi)進行漫游控制的系統(tǒng)以及方法。涉及到的網(wǎng)元包括歸屬位置寄存器（Home Location Register，HLR）、歸屬用戶服務(wù)器（Home Subscriber Server，圖1標準協(xié)議定義的Non3GPP接入4G模式架構(gòu)

　　圖2用戶經(jīng)WLAN以非授信模式接入EPC的流程示意圖HSS）、服務(wù)網(wǎng)關(guān)（Serving GateWay，SGW）、PDN網(wǎng)關(guān)（PDN Gateway，PGW）、演進的分組數(shù)據(jù)網(wǎng)關(guān)（Evolved Packet Data Gateway，ePDG）、3GPP網(wǎng)絡(luò)AAA服務(wù)器（3GPP AAA server，3GPP AAA）、WLAN、WLAN 接入網(wǎng)（WLAN Access Network，WLAN AN）、無線接入點 (Access Point, AP)、無線接入控制器（Access Controller，AC）、無線寬帶接入服務(wù)器（Broad Radio Access Server，BRAS）、用戶設(shè)備即終端（User Equipment，UE）等。

1WLAN接入EPC原理及過程

　　用戶通過WLAN接入EPC網(wǎng)絡(luò)，有圖1所示的兩種模式。本文僅給出用戶經(jīng)WLAN采用非授信模式接入EPC的場景以及流程原理說明，如圖2所示。

　?。?）終端進入WLAN熱點覆蓋區(qū)域，選擇采用WLAN模式接入網(wǎng)絡(luò)，首先通過DHCP的方式獲得在WLAN網(wǎng)絡(luò)中使用的IP地址；

　?。?）用戶通過WLAN接入網(wǎng)關(guān)（AC/BRAS），基于SWa口到AAA進行認證授權(quán)［45］，對用戶使用WLAN網(wǎng)絡(luò)的合法性進行校驗；

　?。?）SWa口認證通過后，用戶查找ePDG并準備建立到ePDG的安全隧道，此時需要經(jīng)ePDG基于SWm口到AAA進行認證授權(quán)，獲取用戶是否可以通過WLAN網(wǎng)絡(luò)接入到EPC，以及用戶的簽約信息等；

　?。?）在SWm口認證通過后，ePDG基于S2b口建立到PGW的連接；

　?。?）PGW基于S6b口到AAA進行認證授權(quán)，并獲取用戶的簽約信息等；

　　（6）認證成功后，AAA返回用戶使用業(yè)務(wù)的簽約信息等；

　?。?）PGW為用戶建立PDN連接，并返回分配給用戶的IP地址到ePDG；

　?。?）ePDG建立到終端間的安全隧道［6］，并攜帶PGW分配的IP地址給用戶。

　　流程結(jié)束，用戶可以從PGW出局使用數(shù)據(jù)業(yè)務(wù)。在以上流程中，忽略了AAA到HSS的交互過程，關(guān)于這個交互可以參考文獻［3］中的SWx接口。

　　從這個過程中可以看到，在步驟（3）時，用戶被EPC網(wǎng)絡(luò)控制是否可以使用所在的WLAN網(wǎng)絡(luò)接入EPC，但EPC網(wǎng)絡(luò)不能基于WLAN的位置或者標示來決定是否允許用戶使用該WLAN網(wǎng)絡(luò)接入EPC。而這正是本文研究解決的問題。

2本文研究的WLAN漫游限制技術(shù)原理

　　解決思路：在原3GPP AAA服務(wù)器上疊加一邏輯控制模塊—WLAN漫游控制模塊，負責(zé)根據(jù)用戶所在的WLAN位置或者標示，再加上本地策略控制，決定用戶是否允許使用所在的WLAN網(wǎng)絡(luò)接入EPC，即控制用戶在WLAN內(nèi)的漫游。

　　WLAN漫游控制模塊包含“本地策略配置表模塊”和“接入控制模塊”兩部分。方法的原理如圖3所示。

　　原理說明：

　　（1）3GPP AAA在內(nèi)部原有功能基礎(chǔ)上疊加接入控制模塊和本地漫游策略配置表。

　?。?）本地漫游策略配置表負責(zé)保存維護系統(tǒng)所需要的本地漫游策略，包括但不限于以下幾種：

　?、倩谖恢玫牟呗裕夯赪LAN網(wǎng)絡(luò)接入時接入網(wǎng)關(guān)的位置信息，例如WLAN接入網(wǎng)關(guān)的標示或者IP地址等信息，配置的允許或者拒絕從該接入網(wǎng)關(guān)接入的策略；

　?、诨诮尤朦c名稱的策略：基于WLAN網(wǎng)絡(luò)接入時接入點的名稱，例如WLAN的服務(wù)集標示（Service Set Identifier，SSID）等，配置的允許或者拒絕從該接入點接入的策略。

　?。?）接入控制模塊負責(zé)在收到用戶基于SWm/SWa口的認證請求消息時，與本地漫游策略配置表交互，獲取本地漫游控制策略，并根據(jù)策略允許或者拒絕用戶的接入請求，從而實現(xiàn)在同一種Non3GPP內(nèi)的漫游限制。

3WLAN漫游限制實施步驟說明

　　為了便于對疊加WLAN漫游控制模塊后的業(yè)務(wù)流程進行說明，下文以基于位置的漫游限制為例，對WLAN接入實現(xiàn)漫游控制的過程進行簡要說明。

　　示例1：基于3GPP AAA實現(xiàn)WLAN網(wǎng)絡(luò)內(nèi)基于位置的漫游限制流程示意，如圖3所示。其中幾個步驟說明如下。

　　步驟100：維護/管理人員通過人機接口配置本地Non3GPP的漫游策略，并保存在“本地漫游策略配置表”中。例如：配置WLAN接入網(wǎng)網(wǎng)關(guān)的標示或者IP地址，并指定用戶禁止從該位置下的WLAN網(wǎng)絡(luò)接入。

　　步驟101：用戶經(jīng)非3GPP接入網(wǎng)（例如WLAN網(wǎng)絡(luò)）基于SWa/SWm口向3GPP AAA發(fā)起認證請求，基于SWa/SWm攜帶用戶的接入點信息（例如：WLAN 接入網(wǎng)網(wǎng)關(guān)的IP地址或者標示）。

　　步驟102：3GPP AAA的“接入控制模塊”與“本地漫游策略配置表”交互，獲取本地非3GPP的漫游控制策略。

　　步驟103：若3GPP AAA判斷不允許用戶從非3GPP接入網(wǎng)的這個位置發(fā)起業(yè)務(wù)，則直接拒絕用戶接入，并回應(yīng)拒絕消息到非3GPP接入網(wǎng)，示例結(jié)束。如果3GPP AAA判斷允許用戶從非3GPP接入網(wǎng)的這個位置發(fā)起業(yè)務(wù)，則轉(zhuǎn)發(fā)消息到認證授權(quán)模塊，流程轉(zhuǎn)步驟104。

　　步驟104：3GPP AAA認證授權(quán)模塊發(fā)送鑒權(quán)請求消息到HLR/HSS。

　　步驟105：后繼流程由終端經(jīng)非3GPP接入網(wǎng)與3GPP AAA以及HLR/HSS交互，完成對用戶的認證授權(quán)，獲取用戶的簽約信息。

　　步驟105是3GPP技術(shù)規(guī)范定義的非3GPP接入網(wǎng)接入到EPC的標準流程，本文不再贅述。

4結(jié)束語

　　在實驗室條件下對本文所研究的系統(tǒng)和實現(xiàn)方法進行了驗證，當用戶通過所在的WLAN網(wǎng)絡(luò)以非授信模式接入4G EPC時，EPC網(wǎng)絡(luò)中的3GPP AAA服務(wù)器會根據(jù)其所在的WLAN位置或者使用的業(yè)務(wù)標示（SSID），在本地配置策略的基礎(chǔ)上，控制用戶是否可以在該WLAN中漫游。證明了本文所研究的4G移動通信網(wǎng)絡(luò)中實現(xiàn)WLAN漫游控制的系統(tǒng)和方法是可行的。并且，該方法不需要修改EPC核心網(wǎng)中的其他設(shè)備網(wǎng)元（例如HSS、SGW、PGW等），對現(xiàn)網(wǎng)的改動以及影響基本可以忽略，具有較高的工程價值。由于篇幅所限，本文并沒有分析Non3GPP以授信模式接入EPC時的漫游限制方法，可以作為進一步研究分析的方向。

參考文獻

　?。?］ 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non3GPP accesses(Release 8)［S］.2010.

　?。?］ 羅濤.WLAN的標準、安全及漫游［J］.電子產(chǎn)品世界，2004(5):3538.

　?。?］ 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)［S］. 2010.

　?。?］ ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAPAKA)［S］.2006.

　　［5］ ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)［S］.2004.

　?。?］ 徐崢,吳昊晨.基于三層隧道技術(shù)的IPSec虛擬專用網(wǎng)［J］.黑龍江科技信息，2010(18):72.