【摘 要】Wi-Fi分流实现从2G/3G/LTE网络转移移动流量到Wi-Fi的网络功能,对解决移动数据网络拥塞有重要的意义。分析研究了2G/3G移动通信网络中利用Wi-Fi进行分流的系统方法,重点介绍了3GPP规范定义的Wi-Fi分流架构和鉴权方法、实际工程部署所采用的Wi-Fi分流架构和鉴权方法,并对这2种分流架构和鉴权方法进行了对比说明。最后,给出了在一种指定场景下移动通信用户通过Wi-Fi进行分流的完整认证/授权/计费流程。
【关键词】Wi-Fi分流 鉴权方法 移动通信 EAP-AKA EAP-MSCHAPv2
[Abstract] It has significance to deal with network congestion of mobile data network that Wi-Fi offload technique can transfer traffic flow of 2G/3G/LTE network to Wi-Fi network. The systematic method of offload using Wi-Fi in 2G/3G mobile communication network is analyzed. Especially, Wi-Fi offload architecture and authentication method defined in both 3GPP specifications and actual engineering deployment are expounded and compared with each other. Finally, a complete authentication/authorization/accounting flow by means of Wi-Fi for mobile user in a specific scene is presented.
[Key words]Wi-Fi offload authentication method mobile communications EAP-AKA EAP-MSCHAPv2
1 引言
2 Wi-Fi分流体系架构
Wi-Fi分流的技术和架构一直以来为3GPP标准组织所关注,并分别提出了针对3G/4G的协议标准和推荐的分流方案。在实际的工程应用中,也出现了各种各样的尝试和探索,如文献[4]和文献[5]中提到的实现方式。
在实际的工程部署中,为了达到与现网已有设备的兼容以及最大限度地不改动现网设备,一般都会对协议推荐的标准分流方案进行小范围改动,以满足具体的应用诉求,下面将分别进行说明。需要注意的是,由于篇幅所限,本文主要对2G/3G移动通信网络中采用的分流技术进行系统的分析和研究。
2.1 协议定义的分流架构
3GPP TS 23.234[6]中定义的本地非漫游Wi-Fi分流架构如图1所示。
在这个Wi-Fi分流架构方案中,移动用户漫游或者切换到WLAN网络后,经由WLAN接入网的AC(Access Controler,接入控制器)或者BRAS(Broadband Remote Access Server,宽带接入服务器)通过Wa口到AAA(Authentication、Authorization and Accounting,认证、授权和计费服务器)/HLR(Home Location Register,归属位置寄存器)/HSS(Home Subscriber Server,归属签约服务器)进行认证,认证完成后用户即可通过本地的AC或者BRAS访问Intranet/Internet,而可选地再经由WAG/PDG访问Intranet/Internet。在WLAN中接入的移动用户,只有在访问移动通信网络的自营业务时才必须要经过WAG/PDG。
2.2 本文研究的分流架构
本文研究的工程应用中部署的Wi-Fi分流架构如图2所示。
从图2可以看出,相对协议推荐的分流方案增加了Portal Server网元,合一了WAG与PDG网元,即图2中的阴影部分,并在原来3GPP AAA Server的网元上叠加了WLAN AAA Server,用于移动用户在WLAN的接入的认证、授权和计费等功能。
之所以会出现这种模式,主要是因为移动用户漫游或者切换到WLAN网络后,由于终端不支持3GPP协议定义的标准鉴权方法(EAP-SIM/EAP-AKA),而继续采用原WLAN网络中常用的认证授权方法(如PAP/CHAP),即用户感应到Wi-Fi信号或者切换到WLAN覆盖区后,通过Portal Server主动推送的网页获取一临时密码,然后再到WLAN AAA Server进行认证/授权,成功后即可由WLAN的AC/BRAS直接出局访问Intranet/Internet。 在AC/BRAS直接出局模式下,用户的计费信息由WLAN AAA Server收集后交给BOSS(Business & Operation Support System,业务操作支撑系统);在WAG/PDG出局模式下,计费信息由本地WAG/PDG收集,然后再通过CG(Charging Gateway,计费网关)上传给BOSS。即由BOSS完成移动用户在WLAN直接出局或者经过WAG/PDG出局时计费信息的统一处理、统一计费。
图2所给出的模式最大程度地兼容了以下3种移动用户Wi-Fi分流上网场景:
场景1:移动用户漫游到WLAN,但终端不支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),只支持简单的WLAN接入的鉴权方法(如PAP/CHAP等),则用户在WLAN AAA Server完成鉴权后,通过WLAN AC的方式直接出局;
场景2:移动用户漫游到WLAN,终端支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),用户经Wa口到3GPP AAA Server鉴权完成后,通过WLAN AC的方式直接出局;
场景3:移动用户漫游到WLAN,终端支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),用户经Wa/Wm口到3GPP AAA Server鉴权完成后,选择通过WAG/PDG出局。
场景1在实际应用中是经常出现的,因为采用协议推荐的分流方案,需要终端支持EAP-SIM/EAP-AKA方法,这是目前绝大部分终端所没有的能力,而运营商也不可能强制要求用户购买新的终端。本文研究的分流方案是目前移动通信系统中广泛采用的方案。
3 Wi-Fi分流技术中的鉴权方法研究
3.1 协议定义的Wi-Fi分流中的鉴权方法
3GPP标准规范定义的Wi-Fi分流方案中,基于Wa/Wm口的鉴权方法是EAP-SIM或者EAP-AKA。这2种鉴权方法在流程上是相似的,区别在于EAP-SIM用于2G SIM卡的鉴权,而EAP-AKA用于3G SIM/USIM卡的鉴权。EAP-SIM定义于RFC 4186,详见文献[7];EAP-AKA定义于RFC 4187,详见文献[8],本文不再赘述。
3.2 本文研究的鉴权方法EAP-MSCHAPv2
协议定义的鉴权方法EAP-SIM或者EAP-AKA都需要终端支持,但在实际应用中存在一定的难度,因为大部分现有2G/3G终端不支持这2种鉴权方法。故在实际的工程部署中,3GPP AAA Server上一般都会叠加WLAN AAA Server的逻辑功能,用于支持终端不支持EAP-SIM或者EAP-AKA鉴权方法时的认证授权处理。
WLAN AAA Server常用的鉴权方法有PAP、CHAP、EAP-MSCHAPv2等方法。其中,PAP是常规的用户名/密码校验方式,实际使用中安全性较差,容易被破解;CHAP是增强的用户名/密码校验方式,在校验的过程中增加了挑战字,比PAP的安全性要高,这个也是现有WLAN网络中常用的鉴权方法;EAP-MSCHAPv2是基于EAP的用户名/密码校验方式,在校验的过程中增加了挑战字、服务端名以及用户端名的校验,具备了更高的安全性,也是本文研究的重点鉴权方法,详见文献[9]。EAP-MSCHAPv2鉴权流程如图3所示。
流程说明具体如下:
步骤1:WLAN接入网关与终端基于EAP进行交互,获取到用户的标示(即Identity),然后向AAA发送认证请求消息;
步骤2:AAA收到认证请求消息;
步骤3:AAA解析EAP响应得到用户的标示;
步骤4:AAA根据所支持算法的优先级选择EAP-MSCHAPv2;
步骤5:AAA发送接入挑战,携带EAP-MSCHAPv2挑战消息,消息携带challenge-id、auth-challenge、name字段,Name部分填充为“WLAN AAA Server”或者其它预定义的值;
步骤6:EAP消息经接入网关转发至终端,经处理后发送EAP-Response;
步骤7:AAA收到来自接入网关的请求报文,解析EAP-MSCHAPv2响应消息,其中含有challenge-id、peer-challenge、NT-Response、username等;
步骤8:AAA利用auth-challenge、peer-challenge、username、userpassword等计算expect-NT-Response;
步骤9:AAA比较收到的NT-Response和计算的expect-NT-Response相匹配;
步骤13:WLAN接入网关基于EAP发送EAP成功到终端,用户鉴权成功完成。
3.3 鉴权方法比较分析
上述2种类型鉴权方法比较如表1所示。
总结:这2种类型的鉴权方法各有优缺点,考虑现阶段的移动通信网络环境以及终端能力、工程部署等因素,选择PAP/CHAP/EAP-PEAP/EAP-MSCHAPv2等鉴权方法进行Wi-Fi分流是适宜的。不过,随着影响因素的变化以及终端支持能力的提高,过渡到协议定义的EAP-SIM/EAP-AKA无感知认证方法也是可以预见的。 4 Wi-Fi分流流程介绍
针对2.2节中Wi-Fi分流的应用场景1,对Wi-Fi分流的整体流程进行简单介绍。场景1下的流程如图4所示。
流程说明具体如下:
步骤3:AC/BRAS向AAA发送认证请求消息;
步骤4:AAA解析认证请求消息得到用户的标示,并根据用户所支持算法的优先级选择EAP-MSCHAPv2进行认证,认证通过(认证具体过程可参考3.2节中的说明)则向AC/BRAS发送认证接受消息授权用户接入网络;
步骤5/步骤6:WLAN接入网在本地根据DHCP Server或者本地策略为用户分配本地IP地址,并发送EAP成功消息到终端,用户授权过程完成;
步骤7:用户开始经由AC/BRAS访问Internet;
步骤8:AC/BRAS在用户访问Internet期间,把产生的计费信息等通过计费消息发给3GPP+WLAN AAA Server;
步骤9:AAA把生成的WLAN计费话单文件传送给BOSS。
5 结束语
本文研究了2G/3G移动通信网络中利用Wi-Fi进行流量分担的系统和方法,重点介绍了3GPP协议定义的Wi-Fi分流架构和鉴权方法以及实际工程部署采用的分流架构和鉴权方法,并对这2种分流架构和鉴权方法进行了分析说明。为了便于理解,最后还给出了指定场景下用户通过Wi-Fi分流的认证/授权/计费完整流程。但是由于篇幅所限,本文没有分析Wi-Fi分流技术中针对高流量用户的分流方法[10],也没有分析4G(LTE)技术中的Wi-Fi分流架构和无线侧分流的技术原理等内容,这些可以作为下一步分析和研究的方向。
参考文献:
[4] 皮和平,胡卫. Wi-Fi分流EV-DO研究[J]. 移动通信, 2012(3): 45-49.
[6] 3GPP TS 23.234. 3GPP System to Wireless Local Area Network (WLAN) Interworking; System Description[S].
[9] Vivek Kamath, Ashwin Palekar. Internet-Draft: draft-kamath-pppext-eap-mschapv2[S]. 2007.