周俊超
中興通訊南京研發(fā)中心 無線規(guī)劃系統(tǒng)部,,江蘇 南京 210012
摘要:Non 3rd Generation Partnership Project(Non-3GPP)網(wǎng)絡(如WLAN)可以通過授信或者非授信的方式接入到EPC網(wǎng)絡中,,但接入后如何實現(xiàn)用戶在Non-3GPP內的漫游限制,3GPP標準并沒有定義,。本文首先概述了3GPP定義的Non3GPP接入Evolved Packet Core(EPC)的兩種模式和參考架構,,接著介紹了Non3GPP采用非授信模式接入EPC時的流程和基本原理,然后在此基礎上,,提出了一種通過3GPP AAA服務器實現(xiàn)用戶在Non3GPP漫游限制的系統(tǒng)和方法,,并實驗室驗證了方法的可行性。
關鍵詞:Non-3GPP,;授信模式,;非授信模式;WLAN,;漫游限制
0引言
在第四代(4th Generation,,4G)移動通訊網(wǎng)絡中, 3GPP標準組織定義了Non-3GPP可以采用授信或者非授信的方式接入到4G移動通訊網(wǎng)絡演進的分組核心網(wǎng)(Evolved Packet Core,,EPC)中[1],。Non-3GPP包含無線局域網(wǎng) (Wireless LAN, WLAN)、演進的高速分組數(shù)據(jù)網(wǎng)(Evolved High Rate Packet Data,,eHRPD)等網(wǎng)絡,,本文討論的Non3GPP指的是WLAN網(wǎng)絡[2]。
標準中給出的Non-3GPP本地接入模式架構如圖1所示,。
用戶是否被允許通過WLAN網(wǎng)絡接入EPC,,可以在HSS中通過簽約信息進行控制[3]:如果簽約允許用戶從WLAN接入,則用戶可以通過WLAN網(wǎng)絡附著到4G EPC,,并通過PGW進行數(shù)據(jù)業(yè)務,;如果簽約不允許用戶從WLAN接入,則用戶無法通過WLAN網(wǎng)絡附著到4G EPC,。
在部署的過程中,,存在以下場景:用戶已經(jīng)在HSS中簽約允許其通過WLAN網(wǎng)絡接入EPC,但需要進一步區(qū)分WLAN位置或者標示進行漫游控制,,例如:(1)基于位置的漫游控制,。當用戶在國內通過WLAN接入EPC時允許,但用戶漫游到國外的WLAN時則不允許其接入EPC網(wǎng)絡,;或者,,用戶在校內的WLAN網(wǎng)絡接入到EPC時允許,校外的WLAN網(wǎng)絡則不被允許接入EPC等,;(2)基于WLAN標示的漫游控制,。運營商自己建設的WLAN網(wǎng)絡則允許接入,,其他第三方建設的WLAN不被允許接入等。目前的3GPP標準規(guī)范未對這種場景給出解決方案,。
作為對標準規(guī)范的補充和完善,,本文提出并分析研究了一種基于3GPP AAA服務器實現(xiàn)WLAN接入4G EPC時在同一種WLAN網(wǎng)絡內進行漫游控制的系統(tǒng)以及方法。涉及到的網(wǎng)元包括歸屬位置寄存器(Home Location Register,,HLR),、歸屬用戶服務器(Home Subscriber Server,圖1標準協(xié)議定義的Non3GPP接入4G模式架構
圖2用戶經(jīng)WLAN以非授信模式接入EPC的流程示意圖HSS),、服務網(wǎng)關(Serving GateWay,,SGW)、PDN網(wǎng)關(PDN Gateway,,PGW),、演進的分組數(shù)據(jù)網(wǎng)關(Evolved Packet Data Gateway,ePDG),、3GPP網(wǎng)絡AAA服務器(3GPP AAA server,,3GPP AAA)、WLAN,、WLAN 接入網(wǎng)(WLAN Access Network,,WLAN AN)、無線接入點 (Access Point, AP),、無線接入控制器(Access Controller,,AC)、無線寬帶接入服務器(Broad Radio Access Server,,BRAS),、用戶設備即終端(User Equipment,UE)等,。
1WLAN接入EPC原理及過程
用戶通過WLAN接入EPC網(wǎng)絡,,有圖1所示的兩種模式。本文僅給出用戶經(jīng)WLAN采用非授信模式接入EPC的場景以及流程原理說明,,如圖2所示,。
(1)終端進入WLAN熱點覆蓋區(qū)域,,選擇采用WLAN模式接入網(wǎng)絡,首先通過DHCP的方式獲得在WLAN網(wǎng)絡中使用的IP地址,;
?。?)用戶通過WLAN接入網(wǎng)關(AC/BRAS),基于SWa口到AAA進行認證授權[45],,對用戶使用WLAN網(wǎng)絡的合法性進行校驗,;
?。?)SWa口認證通過后,用戶查找ePDG并準備建立到ePDG的安全隧道,,此時需要經(jīng)ePDG基于SWm口到AAA進行認證授權,,獲取用戶是否可以通過WLAN網(wǎng)絡接入到EPC,以及用戶的簽約信息等,;
?。?)在SWm口認證通過后,ePDG基于S2b口建立到PGW的連接,;
?。?)PGW基于S6b口到AAA進行認證授權,并獲取用戶的簽約信息等,;
?。?)認證成功后,AAA返回用戶使用業(yè)務的簽約信息等,;
?。?)PGW為用戶建立PDN連接,并返回分配給用戶的IP地址到ePDG,;
?。?)ePDG建立到終端間的安全隧道[6],并攜帶PGW分配的IP地址給用戶,。
流程結束,,用戶可以從PGW出局使用數(shù)據(jù)業(yè)務。在以上流程中,,忽略了AAA到HSS的交互過程,,關于這個交互可以參考文獻[3]中的SWx接口。
從這個過程中可以看到,,在步驟(3)時,,用戶被EPC網(wǎng)絡控制是否可以使用所在的WLAN網(wǎng)絡接入EPC,但EPC網(wǎng)絡不能基于WLAN的位置或者標示來決定是否允許用戶使用該WLAN網(wǎng)絡接入EPC,。而這正是本文研究解決的問題,。
2本文研究的WLAN漫游限制技術原理
解決思路:在原3GPP AAA服務器上疊加一邏輯控制模塊—WLAN漫游控制模塊,負責根據(jù)用戶所在的WLAN位置或者標示,,再加上本地策略控制,,決定用戶是否允許使用所在的WLAN網(wǎng)絡接入EPC,即控制用戶在WLAN內的漫游,。
WLAN漫游控制模塊包含“本地策略配置表模塊”和“接入控制模塊”兩部分,。方法的原理如圖3所示。
原理說明:
?。?)3GPP AAA在內部原有功能基礎上疊加接入控制模塊和本地漫游策略配置表,。
?。?)本地漫游策略配置表負責保存維護系統(tǒng)所需要的本地漫游策略,包括但不限于以下幾種:
?、倩谖恢玫牟呗裕夯赪LAN網(wǎng)絡接入時接入網(wǎng)關的位置信息,,例如WLAN接入網(wǎng)關的標示或者IP地址等信息,配置的允許或者拒絕從該接入網(wǎng)關接入的策略,;
?、诨诮尤朦c名稱的策略:基于WLAN網(wǎng)絡接入時接入點的名稱,例如WLAN的服務集標示(Service Set Identifier,,SSID)等,,配置的允許或者拒絕從該接入點接入的策略。
?。?)接入控制模塊負責在收到用戶基于SWm/SWa口的認證請求消息時,,與本地漫游策略配置表交互,獲取本地漫游控制策略,,并根據(jù)策略允許或者拒絕用戶的接入請求,,從而實現(xiàn)在同一種Non3GPP內的漫游限制。
3WLAN漫游限制實施步驟說明
為了便于對疊加WLAN漫游控制模塊后的業(yè)務流程進行說明,,下文以基于位置的漫游限制為例,,對WLAN接入實現(xiàn)漫游控制的過程進行簡要說明。
示例1:基于3GPP AAA實現(xiàn)WLAN網(wǎng)絡內基于位置的漫游限制流程示意,,如圖3所示,。其中幾個步驟說明如下。
步驟100:維護/管理人員通過人機接口配置本地Non3GPP的漫游策略,,并保存在“本地漫游策略配置表”中,。例如:配置WLAN接入網(wǎng)網(wǎng)關的標示或者IP地址,并指定用戶禁止從該位置下的WLAN網(wǎng)絡接入,。
步驟101:用戶經(jīng)非3GPP接入網(wǎng)(例如WLAN網(wǎng)絡)基于SWa/SWm口向3GPP AAA發(fā)起認證請求,,基于SWa/SWm攜帶用戶的接入點信息(例如:WLAN 接入網(wǎng)網(wǎng)關的IP地址或者標示)。
步驟102:3GPP AAA的“接入控制模塊”與“本地漫游策略配置表”交互,,獲取本地非3GPP的漫游控制策略,。
步驟103:若3GPP AAA判斷不允許用戶從非3GPP接入網(wǎng)的這個位置發(fā)起業(yè)務,則直接拒絕用戶接入,,并回應拒絕消息到非3GPP接入網(wǎng),,示例結束。如果3GPP AAA判斷允許用戶從非3GPP接入網(wǎng)的這個位置發(fā)起業(yè)務,,則轉發(fā)消息到認證授權模塊,,流程轉步驟104。
步驟104:3GPP AAA認證授權模塊發(fā)送鑒權請求消息到HLR/HSS。
步驟105:后繼流程由終端經(jīng)非3GPP接入網(wǎng)與3GPP AAA以及HLR/HSS交互,,完成對用戶的認證授權,獲取用戶的簽約信息,。
步驟105是3GPP技術規(guī)范定義的非3GPP接入網(wǎng)接入到EPC的標準流程,,本文不再贅述。
4結束語
在實驗室條件下對本文所研究的系統(tǒng)和實現(xiàn)方法進行了驗證,,當用戶通過所在的WLAN網(wǎng)絡以非授信模式接入4G EPC時,,EPC網(wǎng)絡中的3GPP AAA服務器會根據(jù)其所在的WLAN位置或者使用的業(yè)務標示(SSID),在本地配置策略的基礎上,,控制用戶是否可以在該WLAN中漫游,。證明了本文所研究的4G移動通信網(wǎng)絡中實現(xiàn)WLAN漫游控制的系統(tǒng)和方法是可行的。并且,,該方法不需要修改EPC核心網(wǎng)中的其他設備網(wǎng)元(例如HSS,、SGW、PGW等),,對現(xiàn)網(wǎng)的改動以及影響基本可以忽略,,具有較高的工程價值。由于篇幅所限,,本文并沒有分析Non3GPP以授信模式接入EPC時的漫游限制方法,,可以作為進一步研究分析的方向。
參考文獻
?。?] 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non3GPP accesses(Release 8)[S].2010.
?。?] 羅濤.WLAN的標準、安全及漫游[J].電子產(chǎn)品世界,,2004(5):3538.
?。?] 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)[S]. 2010.
[4] ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAPAKA)[S].2006.
?。?] ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)[S].2004.
?。?] 徐崢,吳昊晨.基于三層隧道技術的IPSec虛擬專用網(wǎng)[J].黑龍江科技信息,2010(18):72.