周俊超

(中兴通讯南京研发中心 无线规划系统部，江苏 南京 210012)

一种4G网络中实现WLAN漫游限制的系统及方法

周俊超

(中兴通讯南京研发中心 无线规划系统部，江苏 南京 210012)

Non 3rd Generation Partnership Project(Non-3GPP)网络(如WLAN)可以通过授信或者非授信的方式接入到EPC网络中，但接入后如何实现用户在Non-3GPP内的漫游限制，3GPP标准并没有定义。本文首先概述了3GPP定义的Non-3GPP接入Evolved Packet Core(EPC)的两种模式和参考架构，接着介绍了Non-3GPP采用非授信模式接入EPC时的流程和基本原理，然后在此基础上，提出了一种通过3GPP AAA服务器实现用户在Non-3GPP漫游限制的系统和方法，并实验室验证了方法的可行性。

Non-3GPP；授信模式；非授信模式；WLAN；漫游限制

0 引言

在第四代(4th Generation，4G)移动通讯网络中， 3GPP标准组织定义了Non-3GPP可以采用授信或者非授信的方式接入到4G移动通讯网络演进的分组核心网(Evolved Packet Core，EPC)中[1]。Non-3GPP包含无线局域网 (Wireless LAN, WLAN)、演进的高速分组数据网(Evolved High Rate Packet Data，eHRPD)等网络，本文讨论的Non-3GPP指的是WLAN网络[2]。

标准中给出的Non-3GPP本地接入模式架构如图1所示。

用户是否被允许通过WLAN网络接入EPC，可以在HSS中通过签约信息进行控制[3]:如果签约允许用户从WLAN接入，则用户可以通过WLAN网络附着到4G EPC，并通过PGW进行数据业务；如果签约不允许用户从WLAN接入，则用户无法通过WLAN网络附着到4G EPC。

在部署的过程中，存在以下场景：用户已经在HSS中签约允许其通过WLAN网络接入EPC，但需要进一步区分WLAN位置或者标示进行漫游控制，例如：(1)基于位置的漫游控制。当用户在国内通过WLAN接入EPC时允许，但用户漫游到国外的WLAN时则不允许其接入EPC网络；或者，用户在校内的WLAN网络接入到EPC时允许，校外的WLAN网络则不被允许接入EPC等；(2)基于WLAN标示的漫游控制。运营商自己建设的WLAN网络则允许接入，其他第三方建设的WLAN不被允许接入等。目前的3GPP标准规范未对这种场景给出解决方案。

作为对标准规范的补充和完善，本文提出并分析研究了一种基于3GPP AAA服务器实现WLAN接入4G EPC时在同一种WLAN网络内进行漫游控制的系统以及方法。涉及到的网元包括归属位置寄存器(Home Location Register，HLR)、归属用户服务器(Home Subscriber Server，HSS)、服务网关(Serving GateWay，SGW)、PDN网关(PDN Gateway，PGW)、演进的分组数据网关(Evolved Packet Data Gateway，ePDG)、3GPP网络AAA服务器(3GPP AAA server，3GPP AAA)、WLAN、WLAN 接入网(WLAN Access Network，WLAN AN)、无线接入点 (Access Point, AP)、无线接入控制器(Access Controller，AC)、无线宽带接入服务器(Broad Radio Access Server，BRAS)、用户设备即终端(User Equipment，UE)等。

图1 标准协议定义的Non-3GPP接入4G模式架构

图2 用户经WLAN以非授信模式接入EPC的流程示意图

1 WLAN接入EPC原理及过程

用户通过WLAN接入EPC网络，有图1所示的两种模式。本文仅给出用户经WLAN采用非授信模式接入EPC的场景以及流程原理说明，如图2所示。

(1)终端进入WLAN热点覆盖区域，选择采用WLAN模式接入网络，首先通过DHCP的方式获得在WLAN网络中使用的IP地址；

(2)用户通过WLAN接入网关(AC/BRAS)，基于SWa口到AAA进行认证授权[4-5]，对用户使用WLAN网络的合法性进行校验；

(3)SWa口认证通过后，用户查找ePDG并准备建立到ePDG的安全隧道，此时需要经ePDG基于SWm口到AAA进行认证授权，获取用户是否可以通过WLAN网络接入到EPC，以及用户的签约信息等；

(4)在SWm口认证通过后，ePDG基于S2b口建立到PGW的连接；

(5)PGW基于S6b口到AAA进行认证授权，并获取用户的签约信息等；

(6)认证成功后，AAA返回用户使用业务的签约信息等；

(7)PGW为用户建立PDN连接，并返回分配给用户的IP地址到ePDG；

(8)ePDG建立到终端间的安全隧道[6]，并携带PGW分配的IP地址给用户。

流程结束，用户可以从PGW出局使用数据业务。在以上流程中，忽略了AAA到HSS的交互过程，关于这个交互可以参考文献[3]中的SWx接口。

从这个过程中可以看到，在步骤(3)时，用户被EPC网络控制是否可以使用所在的WLAN网络接入EPC，但EPC网络不能基于WLAN的位置或者标示来决定是否允许用户使用该WLAN网络接入EPC。而这正是本文研究解决的问题。

2 本文研究的WLAN漫游限制技术原理

解决思路：在原3GPP AAA服务器上叠加一逻辑控制模块—WLAN漫游控制模块，负责根据用户所在的WLAN位置或者标示，再加上本地策略控制，决定用户是否允许使用所在的WLAN网络接入EPC，即控制用户在WLAN内的漫游。

WLAN漫游控制模块包含“本地策略配置表模块”和“接入控制模块”两部分。方法的原理如图3所示。

图3 漫游限制的3GPP AAA实现原理图

原理说明：

(1)3GPP AAA在内部原有功能基础上叠加接入控制模块和本地漫游策略配置表。

(2)本地漫游策略配置表负责保存维护系统所需要的本地漫游策略，包括但不限于以下几种：

①基于位置的策略：基于WLAN网络接入时接入网关的位置信息，例如WLAN接入网关的标示或者IP地址等信息，配置的允许或者拒绝从该接入网关接入的策略；

②基于接入点名称的策略：基于WLAN网络接入时接入点的名称，例如WLAN的服务集标示(Service Set Identifier，SSID)等，配置的允许或者拒绝从该接入点接入的策略。

(3)接入控制模块负责在收到用户基于SWm/SWa口的认证请求消息时，与本地漫游策略配置表交互，获取本地漫游控制策略，并根据策略允许或者拒绝用户的接入请求，从而实现在同一种Non-3GPP内的漫游限制。

3 WLAN漫游限制实施步骤说明

为了便于对叠加WLAN漫游控制模块后的业务流程进行说明，下文以基于位置的漫游限制为例，对WLAN接入实现漫游控制的过程进行简要说明。

示例1：基于3GPP AAA实现WLAN网络内基于位置的漫游限制流程示意，如图3所示。其中几个步骤说明如下。

步骤100：维护/管理人员通过人机接口配置本地Non-3GPP的漫游策略，并保存在“本地漫游策略配置表”中。例如：配置WLAN接入网网关的标示或者IP地址，并指定用户禁止从该位置下的WLAN网络接入。

步骤101：用户经非3GPP接入网(例如WLAN网络)基于SWa/SWm口向3GPP AAA发起认证请求，基于SWa/SWm携带用户的接入点信息(例如：WLAN 接入网网关的IP地址或者标示)。

步骤102：3GPP AAA的“接入控制模块”与“本地漫游策略配置表”交互，获取本地非3GPP的漫游控制策略。

步骤103：若3GPP AAA判断不允许用户从非3GPP接入网的这个位置发起业务，则直接拒绝用户接入，并回

应拒绝消息到非3GPP接入网，示例结束。如果3GPP AAA判断允许用户从非3GPP接入网的这个位置发起业务，则转发消息到认证授权模块，流程转步骤104。

步骤104：3GPP AAA认证授权模块发送鉴权请求消息到HLR/HSS。

步骤105：后继流程由终端经非3GPP接入网与3GPP AAA以及HLR/HSS交互，完成对用户的认证授权，获取用户的签约信息。

步骤105是3GPP技术规范定义的非3GPP接入网接入到EPC的标准流程，本文不再赘述。

4 结束语

在实验室条件下对本文所研究的系统和实现方法进行了验证，当用户通过所在的WLAN网络以非授信模式接入4G EPC时，EPC网络中的3GPP AAA服务器会根据其所在的WLAN位置或者使用的业务标示(SSID)，在本地配置策略的基础上，控制用户是否可以在该WLAN中漫游。证明了本文所研究的4G移动通信网络中实现WLAN漫游控制的系统和方法是可行的。并且，该方法不需要修改EPC核心网中的其他设备网元(例如HSS、SGW、PGW等)，对现网的改动以及影响基本可以忽略，具有较高的工程价值。由于篇幅所限，本文并没有分析Non-3GPP以授信模式接入EPC时的漫游限制方法，可以作为进一步研究分析的方向。

[1] 3GPP TS 23.402 V8.9.0. Architecture enhancements for Non-3GPP accesses(Release 8)[S].2010.

[2] 罗涛.WLAN的标准、安全及漫游[J].电子产品世界，2004(5):35-38.

[3] 3GPP TS 29.273 V10.1.0.Evolved Packet System (EPS): 3GPP EPS AAA interfaces (Release 10)[S]. 2010.

[4] ARKKO J, HAVERINEN H.RFC 4187: Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)[S].2006.

[5] ABOBA B, BLUNK L, VOLLBRECHT J,et al. RFC 3748: Extensible Authentication Protocol (EAP)[S].2004.

[6] 徐峥,吴昊晨.基于三层隧道技术的IPSec虚拟专用网[J].黑龙江科技信息，2010(18):72.

A kind of system and method for implementing WLAN roaming restrict in 4G network

Zhou Junchao

(Wireless Product Program&System Department, ZTE Nanjing R&D，Nanjing 210012，China)

Non 3rd Generation Partnership Project(Non-3GPP) access networks (such as WLAN) can be connected to EPC network by trusted or untrusted mode according to 3GPP specifications. But how to control roaming in the Non-3GPP access network, 3GPP specification does not define it. First, this paper provided an overview of reference architecture and two kinds of mode for Non-3GPP access network connected to Evolved Packet Core(EPC). Second, it introduced the process flow and the basic principles of Non-3GPP access network connected to EPC network based on untrusted mode. Then on this basis, it proposed a system and method for implementing user roaming restriction in the Non-3GPP access network through the 3GPP AAA server and gave feasibility result under laboratory conditions.

Non-3GPP access networks; trusted mode; untrusted mode; WLAN;roaming restriction

TP301

A

1674- 7720(2016)03- 0065- 03

周俊超. 一种4G网络中实现WLAN漫游限制的系统及方法[J].微型机与应用，2016,35(3)：65- 67.

2015-10-08)

周俊超(1975-)，男，硕士研究生，工程师，主要研究方向：复杂系统优化及智能控制、下一代移动通信系统研究。