周俊超

中兴通讯南京研发中心 无线规划系统部，江苏 南京 210012

　　摘要：Non 3rd Generation Partnership Project（Non-3GPP）网络（如WLAN）可以通过授信或者非授信的方式接入到EPC网络中，但接入后如何实现用户在Non-3GPP内的漫游限制，3GPP标准并没有定义。本文首先概述了3GPP定义的Non3GPP接入Evolved Packet Core（EPC）的两种模式和参考架构，接着介绍了Non3GPP采用非授信模式接入EPC时的流程和基本原理，然后在此基础上，提出了一种通过3GPP AAA服务器实现用户在Non3GPP漫游限制的系统和方法，并实验室验证了方法的可行性。

　　关键词：Non-3GPP；授信模式；非授信模式；WLAN；漫游限制

0引言

　　在第四代（4th Generation，4G）移动通讯网络中， 3GPP标准组织定义了Non-3GPP可以采用授信或者非授信的方式接入到4G移动通讯网络演进的分组核心网（Evolved Packet Core，EPC）中［1］。Non-3GPP包含无线局域网 (Wireless LAN, WLAN)、演进的高速分组数据网（Evolved High Rate Packet Data，eHRPD）等网络，本文讨论的Non3GPP指的是WLAN网络［2］。

　　标准中给出的Non-3GPP本地接入模式架构如图1所示。

　　用户是否被允许通过WLAN网络接入EPC，可以在HSS中通过签约信息进行控制［3］:如果签约允许用户从WLAN接入，则用户可以通过WLAN网络附着到4G EPC，并通过PGW进行数据业务；如果签约不允许用户从WLAN接入，则用户无法通过WLAN网络附着到4G EPC。

　　在部署的过程中，存在以下场景：用户已经在HSS中签约允许其通过WLAN网络接入EPC，但需要进一步区分WLAN位置或者标示进行漫游控制，例如：（1）基于位置的漫游控制。当用户在国内通过WLAN接入EPC时允许，但用户漫游到国外的WLAN时则不允许其接入EPC网络；或者，用户在校内的WLAN网络接入到EPC时允许，校外的WLAN网络则不被允许接入EPC等；（2）基于WLAN标示的漫游控制。运营商自己建设的WLAN网络则允许接入，其他第三方建设的WLAN不被允许接入等。目前的3GPP标准规范未对这种场景给出解决方案。

　　作为对标准规范的补充和完善，本文提出并分析研究了一种基于3GPP AAA服务器实现WLAN接入4G EPC时在同一种WLAN网络内进行漫游控制的系统以及方法。涉及到的网元包括归属位置寄存器（Home Location Register，HLR）、归属用户服务器（Home Subscriber Server，图1标准协议定义的Non3GPP接入4G模式架构

　　图2用户经WLAN以非授信模式接入EPC的流程示意图HSS）、服务网关（Serving GateWay，SGW）、PDN网关（PDN Gateway，PGW）、演进的分组数据网关（Evolved Packet Data Gateway，ePDG）、3GPP网络AAA服务器（3GPP AAA server，3GPP AAA）、WLAN、WLAN 接入网（WLAN Access Network，WLAN AN）、无线接入点 (Access Point, AP)、无线接入控制器（Access Controller，AC）、无线宽带接入服务器（Broad Radio Access Server，BRAS）、用户设备即终端（User Equipment，UE）等。

1WLAN接入EPC原理及过程

　　用户通过WLAN接入EPC网络，有图1所示的两种模式。本文仅给出用户经WLAN采用非授信模式接入EPC的场景以及流程原理说明，如图2所示。

　　（1）终端进入WLAN热点覆盖区域，选择采用WLAN模式接入网络，首先通过DHCP的方式获得在WLAN网络中使用的IP地址；

　　（2）用户通过WLAN接入网关（AC/BRAS），基于SWa口到AAA进行认证授权［45］，对用户使用WLAN网络的合法性进行校验；

　　（3）SWa口认证通过后，用户查找ePDG并准备建立到ePDG的安全隧道，此时需要经ePDG基于SWm口到AAA进行认证授权，获取用户是否可以通过WLAN网络接入到EPC，以及用户的签约信息等；

　　（4）在SWm口认证通过后，ePDG基于S2b口建立到PGW的连接；

　　（5）PGW基于S6b口到AAA进行认证授权，并获取用户的签约信息等；

　　（6）认证成功后，AAA返回用户使用业务的签约信息等；

　　（7）PGW为用户建立PDN连接，并返回分配给用户的IP地址到ePDG；

　　（8）ePDG建立到终端间的安全隧道［6］，并携带PGW分配的IP地址给用户。

　　流程结束，用户可以从PGW出局使用数据业务。在以上流程中，忽略了AAA到HSS的交互过程，关于这个交互可以参考文献［3］中的SWx接口。

　　从这个过程中可以看到，在步骤（3）时，用户被EPC网络控制是否可以使用所在的WLAN网络接入EPC，但EPC网络不能基于WLAN的位置或者标示来决定是否允许用户使用该WLAN网络接入EPC。而这正是本文研究解决的问题。

2本文研究的WLAN漫游限制技术原理

　　解决思路：在原3GPP AAA服务器上叠加一逻辑控制模块—WLAN漫游控制模块，负责根据用户所在的WLAN位置或者标示，再加上本地策略控制，决定用户是否允许使用所在的WLAN网络接入EPC，即控制用户在WLAN内的漫游。

　　WLAN漫游控制模块包含“本地策略配置表模块”和“接入控制模块”两部分。方法的原理如图3所示。

　　原理说明：

　　（1）3GPP AAA在内部原有功能基础上叠加接入控制模块和本地漫游策略配置表。

　　（2）本地漫游策略配置表负责保存维护系统所需要的本地漫游策略，包括但不限于以下几种：

　　①基于位置的策略：基于WLAN网络接入时接入网关的位置信息，例如WLAN接入网关的标示或者IP地址等信息，配置的允许或者拒绝从该接入网关接入的策略；

　　②基于接入点名称的策略：基于WLAN网络接入时接入点的名称，例如WLAN的服务集标示（Service Set Identifier，SSID）等，配置的允许或者拒绝从该接入点接入的策略。

　　（3）接入控制模块负责在收到用户基于SWm/SWa口的认证请求消息时，与本地漫游策略配置表交互，获取本地漫游控制策略，并根据策略允许或者拒绝用户的接入请求，从而实现在同一种Non3GPP内的漫游限制。

3WLAN漫游限制实施步骤说明

　　为了便于对叠加WLAN漫游控制模块后的业务流程进行说明，下文以基于位置的漫游限制为例，对WLAN接入实现漫游控制的过程进行简要说明。

　　示例1：基于3GPP AAA实现WLAN网络内基于位置的漫游限制流程示意，如图3所示。其中几个步骤说明如下。

　　步骤100：维护/管理人员通过人机接口配置本地Non3GPP的漫游策略，并保存在“本地漫游策略配置表”中。例如：配置WLAN接入网网关的标示或者IP地址，并指定用户禁止从该位置下的WLAN网络接入。

　　步骤101：用户经非3GPP接入网（例如WLAN网络）基于SWa/SWm口向3GPP AAA发起认证请求，基于SWa/SWm携带用户的接入点信息（例如：WLAN 接入网网关的IP地址或者标示）。

　　步骤102：3GPP AAA的“接入控制模块”与“本地漫游策略配置表”交互，获取本地非3GPP的漫游控制策略。

　　步骤103：若3GPP AAA判断不允许用户从非3GPP接入网的这个位置发起业务，则直接拒绝用户接入，并回应拒绝消息到非3GPP接入网，示例结束。如果3GPP AAA判断允许用户从非3GPP接入网的这个位置发起业务，则转发消息到认证授权模块，流程转步骤104。

　　步骤104：3GPP AAA认证授权模块发送鉴权请求消息到HLR/HSS。

　　步骤105：后继流程由终端经非3GPP接入网与3GPP AAA以及HLR/HSS交互，完成对用户的认证授权，获取用户的签约信息。

　　步骤105是3GPP技术规范定义的非3GPP接入网接入到EPC的标准流程，本文不再赘述。

4结束语

　　在实验室条件下对本文所研究的系统和实现方法进行了验证，当用户通过所在的WLAN网络以非授信模式接入4G EPC时，EPC网络中的3GPP AAA服务器会根据其所在的WLAN位置或者使用的业务标示（SSID），在本地配置策略的基础上，控制用户是否可以在该WLAN中漫游。证明了本文所研究的4G移动通信网络中实现WLAN漫游控制的系统和方法是可行的。并且，该方法不需要修改EPC核心网中的其他设备网元（例如HSS、SGW、PGW等），对现网的改动以及影响基本可以忽略，具有较高的工程价值。由于篇幅所限，本文并没有分析Non3GPP以授信模式接入EPC时的漫游限制方法，可以作为进一步研究分析的方向。

参考文献

　　［1］ 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non3GPP accesses(Release 8)［S］.2010.

　　［2］ 罗涛.WLAN的标准、安全及漫游［J］.电子产品世界，2004(5):3538.

　　［3］ 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)［S］. 2010.

　　［4］ ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAPAKA)［S］.2006.

　　［5］ ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)［S］.2004.

　　［6］ 徐峥,吴昊晨.基于三层隧道技术的IPSec虚拟专用网［J］.黑龙江科技信息，2010(18):72.