周俊超

中興通訊南京研發中心 無線規劃系統部，江蘇 南京 210012

　　摘要：Non 3rd Generation Partnership Project（Non-3GPP）網絡（如WLAN）可以通過授信或者非授信的方式接入到EPC網絡中，但接入后如何實現用戶在Non-3GPP內的漫游限制，3GPP標準并沒有定義。本文首先概述了3GPP定義的Non3GPP接入Evolved Packet Core（EPC）的兩種模式和參考架構，接著介紹了Non3GPP采用非授信模式接入EPC時的流程和基本原理，然后在此基礎上，提出了一種通過3GPP AAA服務器實現用戶在Non3GPP漫游限制的系統和方法，并實驗室驗證了方法的可行性。

　　關鍵詞：Non-3GPP；授信模式；非授信模式；WLAN；漫游限制

0引言

　　在第四代（4th Generation，4G）移動通訊網絡中， 3GPP標準組織定義了Non-3GPP可以采用授信或者非授信的方式接入到4G移動通訊網絡演進的分組核心網（Evolved Packet Core，EPC）中［1］。Non-3GPP包含無線局域網 (Wireless LAN, WLAN)、演進的高速分組數據網（Evolved High Rate Packet Data，eHRPD）等網絡，本文討論的Non3GPP指的是WLAN網絡［2］。

　　標準中給出的Non-3GPP本地接入模式架構如圖1所示。

　　用戶是否被允許通過WLAN網絡接入EPC，可以在HSS中通過簽約信息進行控制［3］:如果簽約允許用戶從WLAN接入，則用戶可以通過WLAN網絡附著到4G EPC，并通過PGW進行數據業務；如果簽約不允許用戶從WLAN接入，則用戶無法通過WLAN網絡附著到4G EPC。

　　在部署的過程中，存在以下場景：用戶已經在HSS中簽約允許其通過WLAN網絡接入EPC，但需要進一步區分WLAN位置或者標示進行漫游控制，例如：（1）基于位置的漫游控制。當用戶在國內通過WLAN接入EPC時允許，但用戶漫游到國外的WLAN時則不允許其接入EPC網絡；或者，用戶在校內的WLAN網絡接入到EPC時允許，校外的WLAN網絡則不被允許接入EPC等；（2）基于WLAN標示的漫游控制。運營商自己建設的WLAN網絡則允許接入，其他第三方建設的WLAN不被允許接入等。目前的3GPP標準規范未對這種場景給出解決方案。

　　作為對標準規范的補充和完善，本文提出并分析研究了一種基于3GPP AAA服務器實現WLAN接入4G EPC時在同一種WLAN網絡內進行漫游控制的系統以及方法。涉及到的網元包括歸屬位置寄存器（Home Location Register，HLR）、歸屬用戶服務器（Home Subscriber Server，圖1標準協議定義的Non3GPP接入4G模式架構

　　圖2用戶經WLAN以非授信模式接入EPC的流程示意圖HSS）、服務網關（Serving GateWay，SGW）、PDN網關（PDN Gateway，PGW）、演進的分組數據網關（Evolved Packet Data Gateway，ePDG）、3GPP網絡AAA服務器（3GPP AAA server，3GPP AAA）、WLAN、WLAN 接入網（WLAN Access Network，WLAN AN）、無線接入點 (Access Point, AP)、無線接入控制器（Access Controller，AC）、無線寬帶接入服務器（Broad Radio Access Server，BRAS）、用戶設備即終端（User Equipment，UE）等。

1WLAN接入EPC原理及過程

　　用戶通過WLAN接入EPC網絡，有圖1所示的兩種模式。本文僅給出用戶經WLAN采用非授信模式接入EPC的場景以及流程原理說明，如圖2所示。

　　（1）終端進入WLAN熱點覆蓋區域，選擇采用WLAN模式接入網絡，首先通過DHCP的方式獲得在WLAN網絡中使用的IP地址；

　?。?）用戶通過WLAN接入網關（AC/BRAS），基于SWa口到AAA進行認證授權［45］，對用戶使用WLAN網絡的合法性進行校驗；

　?。?）SWa口認證通過后，用戶查找ePDG并準備建立到ePDG的安全隧道，此時需要經ePDG基于SWm口到AAA進行認證授權，獲取用戶是否可以通過WLAN網絡接入到EPC，以及用戶的簽約信息等；

　?。?）在SWm口認證通過后，ePDG基于S2b口建立到PGW的連接；

　　（5）PGW基于S6b口到AAA進行認證授權，并獲取用戶的簽約信息等；

　　（6）認證成功后，AAA返回用戶使用業務的簽約信息等；

　　（7）PGW為用戶建立PDN連接，并返回分配給用戶的IP地址到ePDG；

　?。?）ePDG建立到終端間的安全隧道［6］，并攜帶PGW分配的IP地址給用戶。

　　流程結束，用戶可以從PGW出局使用數據業務。在以上流程中，忽略了AAA到HSS的交互過程，關于這個交互可以參考文獻［3］中的SWx接口。

　　從這個過程中可以看到，在步驟（3）時，用戶被EPC網絡控制是否可以使用所在的WLAN網絡接入EPC，但EPC網絡不能基于WLAN的位置或者標示來決定是否允許用戶使用該WLAN網絡接入EPC。而這正是本文研究解決的問題。

2本文研究的WLAN漫游限制技術原理

　　解決思路：在原3GPP AAA服務器上疊加一邏輯控制模塊—WLAN漫游控制模塊，負責根據用戶所在的WLAN位置或者標示，再加上本地策略控制，決定用戶是否允許使用所在的WLAN網絡接入EPC，即控制用戶在WLAN內的漫游。

　　WLAN漫游控制模塊包含“本地策略配置表模塊”和“接入控制模塊”兩部分。方法的原理如圖3所示。

　　原理說明：

　　（1）3GPP AAA在內部原有功能基礎上疊加接入控制模塊和本地漫游策略配置表。

　?。?）本地漫游策略配置表負責保存維護系統所需要的本地漫游策略，包括但不限于以下幾種：

　　①基于位置的策略：基于WLAN網絡接入時接入網關的位置信息，例如WLAN接入網關的標示或者IP地址等信息，配置的允許或者拒絕從該接入網關接入的策略；

　　②基于接入點名稱的策略：基于WLAN網絡接入時接入點的名稱，例如WLAN的服務集標示（Service Set Identifier，SSID）等，配置的允許或者拒絕從該接入點接入的策略。

　?。?）接入控制模塊負責在收到用戶基于SWm/SWa口的認證請求消息時，與本地漫游策略配置表交互，獲取本地漫游控制策略，并根據策略允許或者拒絕用戶的接入請求，從而實現在同一種Non3GPP內的漫游限制。

3WLAN漫游限制實施步驟說明

　　為了便于對疊加WLAN漫游控制模塊后的業務流程進行說明，下文以基于位置的漫游限制為例，對WLAN接入實現漫游控制的過程進行簡要說明。

　　示例1：基于3GPP AAA實現WLAN網絡內基于位置的漫游限制流程示意，如圖3所示。其中幾個步驟說明如下。

　　步驟100：維護/管理人員通過人機接口配置本地Non3GPP的漫游策略，并保存在“本地漫游策略配置表”中。例如：配置WLAN接入網網關的標示或者IP地址，并指定用戶禁止從該位置下的WLAN網絡接入。

　　步驟101：用戶經非3GPP接入網（例如WLAN網絡）基于SWa/SWm口向3GPP AAA發起認證請求，基于SWa/SWm攜帶用戶的接入點信息（例如：WLAN 接入網網關的IP地址或者標示）。

　　步驟102：3GPP AAA的“接入控制模塊”與“本地漫游策略配置表”交互，獲取本地非3GPP的漫游控制策略。

　　步驟103：若3GPP AAA判斷不允許用戶從非3GPP接入網的這個位置發起業務，則直接拒絕用戶接入，并回應拒絕消息到非3GPP接入網，示例結束。如果3GPP AAA判斷允許用戶從非3GPP接入網的這個位置發起業務，則轉發消息到認證授權模塊，流程轉步驟104。

　　步驟104：3GPP AAA認證授權模塊發送鑒權請求消息到HLR/HSS。

　　步驟105：后繼流程由終端經非3GPP接入網與3GPP AAA以及HLR/HSS交互，完成對用戶的認證授權，獲取用戶的簽約信息。

　　步驟105是3GPP技術規范定義的非3GPP接入網接入到EPC的標準流程，本文不再贅述。

4結束語

　　在實驗室條件下對本文所研究的系統和實現方法進行了驗證，當用戶通過所在的WLAN網絡以非授信模式接入4G EPC時，EPC網絡中的3GPP AAA服務器會根據其所在的WLAN位置或者使用的業務標示（SSID），在本地配置策略的基礎上，控制用戶是否可以在該WLAN中漫游。證明了本文所研究的4G移動通信網絡中實現WLAN漫游控制的系統和方法是可行的。并且，該方法不需要修改EPC核心網中的其他設備網元（例如HSS、SGW、PGW等），對現網的改動以及影響基本可以忽略，具有較高的工程價值。由于篇幅所限，本文并沒有分析Non3GPP以授信模式接入EPC時的漫游限制方法，可以作為進一步研究分析的方向。

參考文獻

　　［1］ 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non3GPP accesses(Release 8)［S］.2010.

　　［2］ 羅濤.WLAN的標準、安全及漫游［J］.電子產品世界，2004(5):3538.

　?。?］ 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)［S］. 2010.

　　［4］ ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAPAKA)［S］.2006.

　?。?］ ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)［S］.2004.

　?。?］ 徐崢,吳昊晨.基于三層隧道技術的IPSec虛擬專用網［J］.黑龍江科技信息，2010(18):72.