周俊超

中興通訊南京研發(fā)中心 無(wú)線規(guī)劃系統(tǒng)部，江蘇 南京 210012

　　摘要：Non 3rd Generation Partnership Project（Non-3GPP）網(wǎng)絡(luò)（如WLAN）可以通過(guò)授信或者非授信的方式接入到EPC網(wǎng)絡(luò)中，但接入后如何實(shí)現(xiàn)用戶在Non-3GPP內(nèi)的漫游限制，3GPP標(biāo)準(zhǔn)并沒(méi)有定義。本文首先概述了3GPP定義的Non3GPP接入Evolved Packet Core（EPC）的兩種模式和參考架構(gòu)，接著介紹了Non3GPP采用非授信模式接入EPC時(shí)的流程和基本原理，然后在此基礎(chǔ)上，提出了一種通過(guò)3GPP AAA服務(wù)器實(shí)現(xiàn)用戶在Non3GPP漫游限制的系統(tǒng)和方法，并實(shí)驗(yàn)室驗(yàn)證了方法的可行性。

　　關(guān)鍵詞：Non-3GPP；授信模式；非授信模式；WLAN；漫游限制

0引言

　　在第四代（4th Generation，4G）移動(dòng)通訊網(wǎng)絡(luò)中， 3GPP標(biāo)準(zhǔn)組織定義了Non-3GPP可以采用授信或者非授信的方式接入到4G移動(dòng)通訊網(wǎng)絡(luò)演進(jìn)的分組核心網(wǎng)（Evolved Packet Core，EPC）中［1］。Non-3GPP包含無(wú)線局域網(wǎng) (Wireless LAN, WLAN)、演進(jìn)的高速分組數(shù)據(jù)網(wǎng)（Evolved High Rate Packet Data，eHRPD）等網(wǎng)絡(luò)，本文討論的Non3GPP指的是WLAN網(wǎng)絡(luò)［2］。

　　標(biāo)準(zhǔn)中給出的Non-3GPP本地接入模式架構(gòu)如圖1所示。

　　用戶是否被允許通過(guò)WLAN網(wǎng)絡(luò)接入EPC，可以在HSS中通過(guò)簽約信息進(jìn)行控制［3］:如果簽約允許用戶從WLAN接入，則用戶可以通過(guò)WLAN網(wǎng)絡(luò)附著到4G EPC，并通過(guò)PGW進(jìn)行數(shù)據(jù)業(yè)務(wù)；如果簽約不允許用戶從WLAN接入，則用戶無(wú)法通過(guò)WLAN網(wǎng)絡(luò)附著到4G EPC。

　　在部署的過(guò)程中，存在以下場(chǎng)景：用戶已經(jīng)在HSS中簽約允許其通過(guò)WLAN網(wǎng)絡(luò)接入EPC，但需要進(jìn)一步區(qū)分WLAN位置或者標(biāo)示進(jìn)行漫游控制，例如：（1）基于位置的漫游控制。當(dāng)用戶在國(guó)內(nèi)通過(guò)WLAN接入EPC時(shí)允許，但用戶漫游到國(guó)外的WLAN時(shí)則不允許其接入EPC網(wǎng)絡(luò)；或者，用戶在校內(nèi)的WLAN網(wǎng)絡(luò)接入到EPC時(shí)允許，校外的WLAN網(wǎng)絡(luò)則不被允許接入EPC等；（2）基于WLAN標(biāo)示的漫游控制。運(yùn)營(yíng)商自己建設(shè)的WLAN網(wǎng)絡(luò)則允許接入，其他第三方建設(shè)的WLAN不被允許接入等。目前的3GPP標(biāo)準(zhǔn)規(guī)范未對(duì)這種場(chǎng)景給出解決方案。

　　作為對(duì)標(biāo)準(zhǔn)規(guī)范的補(bǔ)充和完善，本文提出并分析研究了一種基于3GPP AAA服務(wù)器實(shí)現(xiàn)WLAN接入4G EPC時(shí)在同一種WLAN網(wǎng)絡(luò)內(nèi)進(jìn)行漫游控制的系統(tǒng)以及方法。涉及到的網(wǎng)元包括歸屬位置寄存器（Home Location Register，HLR）、歸屬用戶服務(wù)器（Home Subscriber Server，圖1標(biāo)準(zhǔn)協(xié)議定義的Non3GPP接入4G模式架構(gòu)

　　圖2用戶經(jīng)WLAN以非授信模式接入EPC的流程示意圖HSS）、服務(wù)網(wǎng)關(guān)（Serving GateWay，SGW）、PDN網(wǎng)關(guān)（PDN Gateway，PGW）、演進(jìn)的分組數(shù)據(jù)網(wǎng)關(guān)（Evolved Packet Data Gateway，ePDG）、3GPP網(wǎng)絡(luò)AAA服務(wù)器（3GPP AAA server，3GPP AAA）、WLAN、WLAN 接入網(wǎng)（WLAN Access Network，WLAN AN）、無(wú)線接入點(diǎn) (Access Point, AP)、無(wú)線接入控制器（Access Controller，AC）、無(wú)線寬帶接入服務(wù)器（Broad Radio Access Server，BRAS）、用戶設(shè)備即終端（User Equipment，UE）等。

1WLAN接入EPC原理及過(guò)程

　　用戶通過(guò)WLAN接入EPC網(wǎng)絡(luò)，有圖1所示的兩種模式。本文僅給出用戶經(jīng)WLAN采用非授信模式接入EPC的場(chǎng)景以及流程原理說(shuō)明，如圖2所示。

　?。?）終端進(jìn)入WLAN熱點(diǎn)覆蓋區(qū)域，選擇采用WLAN模式接入網(wǎng)絡(luò)，首先通過(guò)DHCP的方式獲得在WLAN網(wǎng)絡(luò)中使用的IP地址；

　　（2）用戶通過(guò)WLAN接入網(wǎng)關(guān)（AC/BRAS），基于SWa口到AAA進(jìn)行認(rèn)證授權(quán)［45］，對(duì)用戶使用WLAN網(wǎng)絡(luò)的合法性進(jìn)行校驗(yàn)；

　?。?）SWa口認(rèn)證通過(guò)后，用戶查找ePDG并準(zhǔn)備建立到ePDG的安全隧道，此時(shí)需要經(jīng)ePDG基于SWm口到AAA進(jìn)行認(rèn)證授權(quán)，獲取用戶是否可以通過(guò)WLAN網(wǎng)絡(luò)接入到EPC，以及用戶的簽約信息等；

　?。?）在SWm口認(rèn)證通過(guò)后，ePDG基于S2b口建立到PGW的連接；

　?。?）PGW基于S6b口到AAA進(jìn)行認(rèn)證授權(quán)，并獲取用戶的簽約信息等；

　?。?）認(rèn)證成功后，AAA返回用戶使用業(yè)務(wù)的簽約信息等；

　?。?）PGW為用戶建立PDN連接，并返回分配給用戶的IP地址到ePDG；

　　（8）ePDG建立到終端間的安全隧道［6］，并攜帶PGW分配的IP地址給用戶。

　　流程結(jié)束，用戶可以從PGW出局使用數(shù)據(jù)業(yè)務(wù)。在以上流程中，忽略了AAA到HSS的交互過(guò)程，關(guān)于這個(gè)交互可以參考文獻(xiàn)［3］中的SWx接口。

　　從這個(gè)過(guò)程中可以看到，在步驟（3）時(shí)，用戶被EPC網(wǎng)絡(luò)控制是否可以使用所在的WLAN網(wǎng)絡(luò)接入EPC，但EPC網(wǎng)絡(luò)不能基于WLAN的位置或者標(biāo)示來(lái)決定是否允許用戶使用該WLAN網(wǎng)絡(luò)接入EPC。而這正是本文研究解決的問(wèn)題。

2本文研究的WLAN漫游限制技術(shù)原理

　　解決思路：在原3GPP AAA服務(wù)器上疊加一邏輯控制模塊—WLAN漫游控制模塊，負(fù)責(zé)根據(jù)用戶所在的WLAN位置或者標(biāo)示，再加上本地策略控制，決定用戶是否允許使用所在的WLAN網(wǎng)絡(luò)接入EPC，即控制用戶在WLAN內(nèi)的漫游。

　　WLAN漫游控制模塊包含“本地策略配置表模塊”和“接入控制模塊”兩部分。方法的原理如圖3所示。

　　原理說(shuō)明：

　?。?）3GPP AAA在內(nèi)部原有功能基礎(chǔ)上疊加接入控制模塊和本地漫游策略配置表。

　?。?）本地漫游策略配置表負(fù)責(zé)保存維護(hù)系統(tǒng)所需要的本地漫游策略，包括但不限于以下幾種：

　?、倩谖恢玫牟呗裕夯赪LAN網(wǎng)絡(luò)接入時(shí)接入網(wǎng)關(guān)的位置信息，例如WLAN接入網(wǎng)關(guān)的標(biāo)示或者IP地址等信息，配置的允許或者拒絕從該接入網(wǎng)關(guān)接入的策略；

　　②基于接入點(diǎn)名稱的策略：基于WLAN網(wǎng)絡(luò)接入時(shí)接入點(diǎn)的名稱，例如WLAN的服務(wù)集標(biāo)示（Service Set Identifier，SSID）等，配置的允許或者拒絕從該接入點(diǎn)接入的策略。

　　（3）接入控制模塊負(fù)責(zé)在收到用戶基于SWm/SWa口的認(rèn)證請(qǐng)求消息時(shí)，與本地漫游策略配置表交互，獲取本地漫游控制策略，并根據(jù)策略允許或者拒絕用戶的接入請(qǐng)求，從而實(shí)現(xiàn)在同一種Non3GPP內(nèi)的漫游限制。

3WLAN漫游限制實(shí)施步驟說(shuō)明

　　為了便于對(duì)疊加WLAN漫游控制模塊后的業(yè)務(wù)流程進(jìn)行說(shuō)明，下文以基于位置的漫游限制為例，對(duì)WLAN接入實(shí)現(xiàn)漫游控制的過(guò)程進(jìn)行簡(jiǎn)要說(shuō)明。

　　示例1：基于3GPP AAA實(shí)現(xiàn)WLAN網(wǎng)絡(luò)內(nèi)基于位置的漫游限制流程示意，如圖3所示。其中幾個(gè)步驟說(shuō)明如下。

　　步驟100：維護(hù)/管理人員通過(guò)人機(jī)接口配置本地Non3GPP的漫游策略，并保存在“本地漫游策略配置表”中。例如：配置WLAN接入網(wǎng)網(wǎng)關(guān)的標(biāo)示或者IP地址，并指定用戶禁止從該位置下的WLAN網(wǎng)絡(luò)接入。

　　步驟101：用戶經(jīng)非3GPP接入網(wǎng)（例如WLAN網(wǎng)絡(luò)）基于SWa/SWm口向3GPP AAA發(fā)起認(rèn)證請(qǐng)求，基于SWa/SWm攜帶用戶的接入點(diǎn)信息（例如：WLAN 接入網(wǎng)網(wǎng)關(guān)的IP地址或者標(biāo)示）。

　　步驟102：3GPP AAA的“接入控制模塊”與“本地漫游策略配置表”交互，獲取本地非3GPP的漫游控制策略。

　　步驟103：若3GPP AAA判斷不允許用戶從非3GPP接入網(wǎng)的這個(gè)位置發(fā)起業(yè)務(wù)，則直接拒絕用戶接入，并回應(yīng)拒絕消息到非3GPP接入網(wǎng)，示例結(jié)束。如果3GPP AAA判斷允許用戶從非3GPP接入網(wǎng)的這個(gè)位置發(fā)起業(yè)務(wù)，則轉(zhuǎn)發(fā)消息到認(rèn)證授權(quán)模塊，流程轉(zhuǎn)步驟104。

　　步驟104：3GPP AAA認(rèn)證授權(quán)模塊發(fā)送鑒權(quán)請(qǐng)求消息到HLR/HSS。

　　步驟105：后繼流程由終端經(jīng)非3GPP接入網(wǎng)與3GPP AAA以及HLR/HSS交互，完成對(duì)用戶的認(rèn)證授權(quán)，獲取用戶的簽約信息。

　　步驟105是3GPP技術(shù)規(guī)范定義的非3GPP接入網(wǎng)接入到EPC的標(biāo)準(zhǔn)流程，本文不再贅述。

4結(jié)束語(yǔ)

　　在實(shí)驗(yàn)室條件下對(duì)本文所研究的系統(tǒng)和實(shí)現(xiàn)方法進(jìn)行了驗(yàn)證，當(dāng)用戶通過(guò)所在的WLAN網(wǎng)絡(luò)以非授信模式接入4G EPC時(shí)，EPC網(wǎng)絡(luò)中的3GPP AAA服務(wù)器會(huì)根據(jù)其所在的WLAN位置或者使用的業(yè)務(wù)標(biāo)示（SSID），在本地配置策略的基礎(chǔ)上，控制用戶是否可以在該WLAN中漫游。證明了本文所研究的4G移動(dòng)通信網(wǎng)絡(luò)中實(shí)現(xiàn)WLAN漫游控制的系統(tǒng)和方法是可行的。并且，該方法不需要修改EPC核心網(wǎng)中的其他設(shè)備網(wǎng)元（例如HSS、SGW、PGW等），對(duì)現(xiàn)網(wǎng)的改動(dòng)以及影響基本可以忽略，具有較高的工程價(jià)值。由于篇幅所限，本文并沒(méi)有分析Non3GPP以授信模式接入EPC時(shí)的漫游限制方法，可以作為進(jìn)一步研究分析的方向。

參考文獻(xiàn)

　　［1］ 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non3GPP accesses(Release 8)［S］.2010.

　?。?］ 羅濤.WLAN的標(biāo)準(zhǔn)、安全及漫游［J］.電子產(chǎn)品世界，2004(5):3538.

　?。?］ 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)［S］. 2010.

　　［4］ ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAPAKA)［S］.2006.

　?。?］ ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)［S］.2004.

　?。?］ 徐崢,吳昊晨.基于三層隧道技術(shù)的IPSec虛擬專用網(wǎng)［J］.黑龍江科技信息，2010(18):72.