[信息与通信]中国移动WLANSIM认证2011.doc

WLAN无感知认证试点技术方案（SIM认证） 背景 EAP-SIM/AKA是EAP认证方法的一种实现方式，其通过用户(U)SIM卡信息进行认证，与蜂窝认证方式相同，当用户使用SIM卡时，执行EAP-SIM认证流程，当用户使用USIM卡时，执行EAP-AKA认证流程，整个认证过程不需要用户介入任何手工操作，完全由终端自动完成。 技术原理 如下图，终端与AC之间通过EAPoL协议通信，AC和AAA服务其通过Radius协议转发EAP消息，AAA服务器使用MAP协议从HLR/HSS获取用户(U)SIM卡鉴权向量，并完成认证，AAA服务器是认证的执行点。 EAP-SIM/AKA认证流程参考如下国际标准 [1] 3GPP TS 33.234 v6.9.0, WLAN Interworking Security. [2] 3GPP TS 23.234 v6.10.0, WLAN Interworking; System Description. [3] IETF RFC 4186, EAP-SIM [4] IETF RFC 4187, EAP-AKA [5] IETF RFC 3748, Extensible Authentication Protocol (EAP). 关键技术问题 3.1 SIM认证签约 3GPP标准规定HSS存放WLAN用户签约信息，AAA 服务器与HSS之间通过Diameter协议互通。对于仍使用HLR的网络，标准建议AAA 服务器模拟成MSC Server或者SGSN与HLR交互，完成认证并获取签约数据。对于认证部分，AAA服务器可完全重用现有D接口或Gr接口的认证消息，但对于如何在HLR标识WLAN签约数据以及如何下发签约数据，标准并未做任何定义和解释。 试点阶段，HLR通过运营商自定义签约字段HPLMN ODB第三位（plmn-SpecificBarringType3）存放SIM认证签约开通信息，签约信息通过BOSS开通。HPLMN ODB字段格式见下： odb-HPLMN-Data { plmn-SpecificBarringType1 (0 ), plmn-pecificBarringType2 (1 ), plmn-SpecificBarringType3 (2 ), plmn-SpecificBarringType4 (3 )} 为便于BOSS对SIM/PEAP/MAC三种认证方式进行统一业务控制，AAA服务器也存放用户SIM认证签约开通信息，签约信息通过Portal服务器特定页面开通。 HLR上默认对所有潜在试点用户开通SIM认证，SIM认证是否通过由AAA根据自身存储的用户手机号对应的SIM认证签约信息进行控制。 需要通过试点评估HLR保留SIM认证签约信息的必要性。 3.2 HLR签约信息下发 如果AAA模拟为MSC服务器，可通过Restore Data方式下发签约参数；如果AAA模拟为SGSN，可通过GPRS Update Location方式下发签约参数。两种下发方式区别如下： 下发方式 业务签约 WLAN与PS同时附着 在线停机 复制卡控制 厂家支持情况 MAP restore data 共有参数+CS特有 支持 不支持 不支持 爱立信HLR需改造其他厂家均支持 MAP GPRS update location 共有参数+PS特有 不支持 支持 支持 中兴、诺西HLR需改造，其他厂家均支持 使用GPRS Update Location时，如果分组域自有业务已经在线，此时并发接入WLAN时会导致分组域业务下线；如果WLAN业务已经在线，用户并发使用分组域自有业务，可通过AAA Server的控制，避免对WLAN业务的影响。 试点阶段优选通过Restore Data下发签约参数。对于已支持GPRS Update Location下发签约参数的省份，可在试点中评估此下发方式对分组域自有业务体验影响。AAA服务器需要配置试点省份IMSI号段范围，通过IMSI号段判断归属省，以区别使用签约下发消息。 3.3 SSID设置 需设置新的SSID(CMCC-AUTO)，支持存量终端使用SIM认证方式。SIM认证与PEAP认证使用相同SSID。 3.4 下线控制 SIM认证仍保留8小时下线机制 可通过AC开关开启/关闭SIM认证对应SSID的15分钟下线机制。（已确认，部分AC厂家已支持，部分AC厂商需升级支持）。 3.5 Keep-alive机制（可选） AC利用EAP信令周期性探测UE状态，如果UE在一定时间内无响应（异常关机、移出WiFi覆盖区域），则网络侧对此用户进