移动通信系统中Wi―Fi分流系统方法研究

【摘 要】Wi-Fi分流实现从2G/3G/LTE网络转移移动流量到Wi-Fi的网络功能，对解决移动数据网络拥塞有重要的意义。分析研究了2G/3G移动通信网络中利用Wi-Fi进行分流的系统方法，重点介绍了3GPP规范定义的Wi-Fi分流架构和鉴权方法、实际工程部署所采用的Wi-Fi分流架构和鉴权方法，并对这2种分流架构和鉴权方法进行了对比说明。最后，给出了在一种指定场景下移动通信用户通过Wi-Fi进行分流的完整认证/授权/计费流程。

【关键词】Wi-Fi分流 鉴权方法 移动通信 EAP-AKA EAP-MSCHAPv2

[Abstract] It has significance to deal with network congestion of mobile data network that Wi-Fi offload technique can transfer traffic flow of 2G/3G/LTE network to Wi-Fi network. The systematic method of offload using Wi-Fi in 2G/3G mobile communication network is analyzed. Especially， Wi-Fi offload architecture and authentication method defined in both 3GPP specifications and actual engineering deployment are expounded and compared with each other. Finally， a complete authentication/authorization/accounting flow by means of Wi-Fi for mobile user in a specific scene is presented.

[Key words]Wi-Fi offload authentication method mobile communications EAP-AKA EAP-MSCHAPv2

1 引言

2 Wi-Fi分流体系架构

Wi-Fi分流的技术和架构一直以来为3GPP标准组织所关注，并分别提出了针对3G/4G的协议标准和推荐的分流方案。在实际的工程应用中，也出现了各种各样的尝试和探索，如文献[4]和文献[5]中提到的实现方式。

在实际的工程部署中，为了达到与现网已有设备的兼容以及最大限度地不改动现网设备，一般都会对协议推荐的标准分流方案进行小范围改动，以满足具体的应用诉求，下面将分别进行说明。需要注意的是，由于篇幅所限，本文主要对2G/3G移动通信网络中采用的分流技术进行系统的分析和研究。

2.1 协议定义的分流架构

3GPP TS 23.234[6]中定义的本地非漫游Wi-Fi分流架构如图1所示。

在这个Wi-Fi分流架构方案中，移动用户漫游或者切换到WLAN网络后，经由WLAN接入网的AC（Access Controler，接入控制器）或者BRAS（Broadband Remote Access Server，宽带接入服务器）通过Wa口到AAA（Authentication、Authorization and Accounting，认证、授权和计费服务器）/HLR（Home Location Register，归属位置寄存器）/HSS（Home Subscriber Server，归属签约服务器）进行认证，认证完成后用户即可通过本地的AC或者BRAS访问Intranet/Internet，而可选地再经由WAG/PDG访问Intranet/Internet。在WLAN中接入的移动用户，只有在访问移动通信网络的自营业务时才必须要经过WAG/PDG。

2.2 本文研究的分流架构

本文研究的工程应用中部署的Wi-Fi分流架构如图2所示。

从图2可以看出，相对协议推荐的分流方案增加了Portal Server网元，合一了WAG与PDG网元，即图2中的阴影部分，并在原来3GPP AAA Server的网元上叠加了WLAN AAA Server，用于移动用户在WLAN的接入的认证、授权和计费等功能。

之所以会出现这种模式，主要是因为移动用户漫游或者切换到WLAN网络后，由于终端不支持3GPP协议定义的标准鉴权方法（EAP-SIM/EAP-AKA），而继续采用原WLAN网络中常用的认证授权方法（如PAP/CHAP），即用户感应到Wi-Fi信号或者切换到WLAN覆盖区后，通过Portal Server主动推送的网页获取一临时密码，然后再到WLAN AAA Server进行认证/授权，成功后即可由WLAN的AC/BRAS直接出局访问Intranet/Internet。 在AC/BRAS直接出局模式下，用户的计费信息由WLAN AAA Server收集后交给BOSS（Business & Operation Support System，业务操作支撑系统）；在WAG/PDG出局模式下，计费信息由本地WAG/PDG收集，然后再通过CG（Charging Gateway，计费网关）上传给BOSS。即由BOSS完成移动用户在WLAN直接出局或者经过WAG/PDG出局时计费信息的统一处理、统一计费。

图2所给出的模式最大程度地兼容了以下3种移动用户Wi-Fi分流上网场景：

场景1：移动用户漫游到WLAN，但终端不支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），只支持简单的WLAN接入的鉴权方法（如PAP/CHAP等），则用户在WLAN AAA Server完成鉴权后，通过WLAN AC的方式直接出局；

场景2：移动用户漫游到WLAN，终端支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），用户经Wa口到3GPP AAA Server鉴权完成后，通过WLAN AC的方式直接出局；

场景3：移动用户漫游到WLAN，终端支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），用户经Wa/Wm口到3GPP AAA Server鉴权完成后，选择通过WAG/PDG出局。

场景1在实际应用中是经常出现的，因为采用协议推荐的分流方案，需要终端支持EAP-SIM/EAP-AKA方法，这是目前绝大部分终端所没有的能力，而运营商也不可能强制要求用户购买新的终端。本文研究的分流方案是目前移动通信系统中广泛采用的方案。

3 Wi-Fi分流技术中的鉴权方法研究

3.1 协议定义的Wi-Fi分流中的鉴权方法

3GPP标准规范定义的Wi-Fi分流方案中，基于Wa/Wm口的鉴权方法是EAP-SIM或者EAP-AKA。这2种鉴权方法在流程上是相似的，区别在于EAP-SIM用于2G SIM卡的鉴权，而EAP-AKA用于3G SIM/USIM卡的鉴权。EAP-SIM定义于RFC 4186，详见文献[7]；EAP-AKA定义于RFC 4187，详见文献[8]，本文不再赘述。

3.2 本文研究的鉴权方法EAP-MSCHAPv2

协议定义的鉴权方法EAP-SIM或者EAP-AKA都需要终端支持，但在实际应用中存在一定的难度，因为大部分现有2G/3G终端不支持这2种鉴权方法。故在实际的工程部署中，3GPP AAA Server上一般都会叠加WLAN AAA Server的逻辑功能，用于支持终端不支持EAP-SIM或者EAP-AKA鉴权方法时的认证授权处理。

WLAN AAA Server常用的鉴权方法有PAP、CHAP、EAP-MSCHAPv2等方法。其中，PAP是常规的用户名/密码校验方式，实际使用中安全性较差，容易被破解；CHAP是增强的用户名/密码校验方式，在校验的过程中增加了挑战字，比PAP的安全性要高，这个也是现有WLAN网络中常用的鉴权方法；EAP-MSCHAPv2是基于EAP的用户名/密码校验方式，在校验的过程中增加了挑战字、服务端名以及用户端名的校验，具备了更高的安全性，也是本文研究的重点鉴权方法，详见文献[9]。EAP-MSCHAPv2鉴权流程如图3所示。

流程说明具体如下：

步骤1：WLAN接入网关与终端基于EAP进行交互，获取到用户的标示（即Identity），然后向AAA发送认证请求消息；

步骤2：AAA收到认证请求消息；

步骤3：AAA解析EAP响应得到用户的标示；

步骤4：AAA根据所支持算法的优先级选择EAP-MSCHAPv2；

步骤5：AAA发送接入挑战，携带EAP-MSCHAPv2挑战消息，消息携带challenge-id、auth-challenge、name字段，Name部分填充为“WLAN AAA Server”或者其它预定义的值；

步骤6：EAP消息经接入网关转发至终端，经处理后发送EAP-Response；

步骤7：AAA收到来自接入网关的请求报文，解析EAP-MSCHAPv2响应消息，其中含有challenge-id、peer-challenge、NT-Response、username等；

步骤8：AAA利用auth-challenge、peer-challenge、username、userpassword等计算expect-NT-Response；

步骤9：AAA比较收到的NT-Response和计算的expect-NT-Response相匹配；

步骤13：WLAN接入网关基于EAP发送EAP成功到终端，用户鉴权成功完成。

3.3 鉴权方法比较分析

上述2种类型鉴权方法比较如表1所示。

总结：这2种类型的鉴权方法各有优缺点，考虑现阶段的移动通信网络环境以及终端能力、工程部署等因素，选择PAP/CHAP/EAP-PEAP/EAP-MSCHAPv2等鉴权方法进行Wi-Fi分流是适宜的。不过，随着影响因素的变化以及终端支持能力的提高，过渡到协议定义的EAP-SIM/EAP-AKA无感知认证方法也是可以预见的。 4 Wi-Fi分流流程介绍

针对2.2节中Wi-Fi分流的应用场景1，对Wi-Fi分流的整体流程进行简单介绍。场景1下的流程如图4所示。

流程说明具体如下：

步骤3：AC/BRAS向AAA发送认证请求消息；

步骤4：AAA解析认证请求消息得到用户的标示，并根据用户所支持算法的优先级选择EAP-MSCHAPv2进行认证，认证通过（认证具体过程可参考3.2节中的说明）则向AC/BRAS发送认证接受消息授权用户接入网络；

步骤5/步骤6：WLAN接入网在本地根据DHCP Server或者本地策略为用户分配本地IP地址，并发送EAP成功消息到终端，用户授权过程完成；

步骤7：用户开始经由AC/BRAS访问Internet；

步骤8：AC/BRAS在用户访问Internet期间，把产生的计费信息等通过计费消息发给3GPP+WLAN AAA Server；

步骤9：AAA把生成的WLAN计费话单文件传送给BOSS。

5 结束语

本文研究了2G/3G移动通信网络中利用Wi-Fi进行流量分担的系统和方法，重点介绍了3GPP协议定义的Wi-Fi分流架构和鉴权方法以及实际工程部署采用的分流架构和鉴权方法，并对这2种分流架构和鉴权方法进行了分析说明。为了便于理解，最后还给出了指定场景下用户通过Wi-Fi分流的认证/授权/计费完整流程。但是由于篇幅所限，本文没有分析Wi-Fi分流技术中针对高流量用户的分流方法[10]，也没有分析4G（LTE）技术中的Wi-Fi分流架构和无线侧分流的技术原理等内容，这些可以作为下一步分析和研究的方向。

参考文献：

[4] 皮和平，胡卫. Wi-Fi分流EV-DO研究[J]. 移动通信， 2012（3）： 45-49.

[6] 3GPP TS 23.234. 3GPP System to Wireless Local Area Network （WLAN） Interworking； System Description[S].

[9] Vivek Kamath， Ashwin Palekar. Internet-Draft： draft-kamath-pppext-eap-mschapv2[S]. 2007.