1 引言 
　　随着移动互联网的迅猛发展以及移动数据业务快速增长，移动互联网流量激增。据预测，到2014年，移动用户平均每月消耗7GB的流量。从现在到2017年，全球移动数据流量将以66%的平均年增长率递增，届时全球移动数据总流量将达到134EB，大约是2010年移动数据总流量的46倍。Wi-Fi网络被认为是解决移动数据网络拥塞的最主要的候选方案。Wi-Fi分流实现从2G/3G/LTE网络转移移动流量到Wi-Fi网络功能，是一个非常有前景的技术。 
2 Wi-Fi分流体系架构 
　　Wi-Fi分流的技术和架构一直以来为3GPP标准组织所关注，并分别提出了针对3G/4G的协议标准和推荐的分流方案。在实际的工程应用中，也出现了各种各样的尝试和探索。 
　　在实际的工程部署中，为了达到与现网已有设备的兼容以及最大限度地不改动现网设备，一般都会对协议推荐的标准分流方案进行小范围改动，以满足具体的应用诉求，下面将分别进行说明。需要注意的是，由于篇幅所限，本文主要对2G/3G移动通信网络中采用的分流技术进行系统的分析和研究。 
2.1 协议定义的分流架构 
　　3GPP TS 23.234中定义的本地非漫游Wi-Fi分流架构如图1所示。 

　　从图1可以看出，为了实现Wi-Fi分流，在移动通信网核心网侧引入了WAG（WLAN Aceess Gateway，WLAN接入网关）和PDG（Package Data Gateway，分组数据网关），即图1中的阴影部分，实现用户从WLAN（Wireless Local Area Networks，无线局域网）接入到移动通信网络，从而分流2G/3G无线侧的流量压力。 
　　在这个Wi-Fi分流架构方案中，移动用户漫游或者切换到WLAN网络后，经由WLAN接入网的AC（Access Controler，接入控制器）或者BRAS（Broadband Remote Access Server，宽带接入服务器）通过Wa口到AAA（Authentication、Authorization and Accounting，认证、授权和计费服务器）/HLR（Home Location Register，归属位置寄存器）/HSS（Home Subscriber Server，归属签约服务器）进行认证，认证完成后用户即可通过本地的AC或者BRAS访问Intranet/Internet，而可选地再经由WAG/PDG访问Intranet/Internet。在WLAN中接入的移动用户，只有在访问移动通信网络的自营业务时才必须要经过WAG/PDG。 
2.2 本文研究的分流架构 
　　本文研究的工程应用中部署的Wi-Fi分流架构如图2所示。 

　　从图2可以看出，相对协议推荐的分流方案增加了Portal Server网元，合一了WAG与PDG网元，即图2中的阴影部分，并在原来3GPP AAA Server的网元上叠加了WLAN AAA Server，用于移动用户在WLAN的接入的认证、授权和计费等功能。 
　　之所以会出现这种模式，主要是因为移动用户漫游或者切换到WLAN网络后，由于终端不支持3GPP协议定义的标准鉴权方法（EAP-SIM/EAP-AKA），而继续采用原WLAN网络中常用的认证授权方法（如PAP/CHAP），即用户感应到Wi-Fi信号或者切换到WLAN覆盖区后，通过Portal Server主动推送的网页获取一临时密码，然后再到WLAN AAA Server进行认证/授权，成功后即可由WLAN的AC/BRAS直接出局访问Intranet/Internet。

   在AC/BRAS直接出局模式下，用户的计费信息由WLAN AAA Server收集后交给BOSS（Business & Operation Support System，业务操作支撑系统）；在WAG/PDG出局模式下，计费信息由本地WAG/PDG收集，然后再通过CG（Charging Gateway，计费网关）上传给BOSS。即由BOSS完成移动用户在WLAN直接出局或者经过WAG/PDG出局时计费信息的统一处理、统一计费。 
　　图2所给出的模式最大程度地兼容了以下3种移动用户Wi-Fi分流上网场景： 
　　场景1：移动用户漫游到WLAN，但终端不支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），只支持简单的WLAN接入的鉴权方法（如PAP/CHAP等），则用户在WLAN AAA Server完成鉴权后，通过WLAN AC的方式直接出局； 
　　场景2：移动用户漫游到WLAN，终端支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），用户经Wa口到3GPP AAA Server鉴权完成后，通过WLAN AC的方式直接出局； 
　　场景3：移动用户漫游到WLAN，终端支持协议推荐的分流方案中的鉴权方法（EAP-SIM/EAP-AKA），用户经Wa/Wm口到3GPP AAA Server鉴权完成后，选择通过WAG/PDG出局。 
　　场景1在实际应用中是经常出现的，因为采用协议推荐的分流方案，需要终端支持EAP-SIM/EAP-AKA方法，这是目前绝大部分终端所没有的能力，而运营商也不可能强制要求用户购买新的终端。本文研究的分流方案是目前移动通信系统中广泛采用的方案。 
3 Wi-Fi分流技术中的鉴权方法研究 
3.1 协议定义的Wi-Fi分流中的鉴权方法 
　　3GPP标准规范定义的Wi-Fi分流方案中，基于Wa/Wm口的鉴权方法是EAP-SIM或者EAP-AKA。这2种鉴权方法在流程上是相似的，区别在于EAP-SIM用于2G SIM卡的鉴权，而EAP-AKA用于3G SIM/USIM卡的鉴权。EAP-SIM定义于RFC 4186；EAP-AKA定义于RFC 4187，本文不再赘述。 
3.2 本文研究的鉴权方法EAP-MS CHAPv2 
　　协议定义的鉴权方法EAP-SIM或者EAP-AKA都需要终端支持，但在实际应用中存在一定的难度，因为大部分现有2G/3G终端不支持这2种鉴权方法。故在实际的工程部署中，3GPP AAA Server上一般都会叠加WLAN AAA Server的逻辑功能，用于支持终端不支持EAP-SIM或者EAP-AKA鉴权方法时的认证授权处理。 
　　WLAN AAA Server常用的鉴权方法有PAP、CHAP、EAP-MSCHAPv2等方法。其中，PAP是常规的用户名/密码校验方式，实际使用中安全性较差，容易被破解；CHAP是增强的用户名/密码校验方式，在校验的过程中增加了挑战字，比PAP的安全性要高，这个也是现有WLAN网络中常用的鉴权方法；EAP-MSCHAPv2是基于EAP的用户名/密码校验方式，在校验的过程中增加了挑战字、服务端名以及用户端名的校验，具备了更高的安全性，也是本文研究的重点鉴权方法。EAP-MSCHAPv2鉴权流程如图3所示。 

　　流程说明具体如下： 
　　步骤1：WLAN接入网关与终端基于EAP进行交互，获取到用户的标示（即Identity），然后向AAA发送认证请求消息； 
　　步骤2：AAA收到认证请求消息； 
　　步骤3：AAA解析EAP响应得到用户的标示； 
　　步骤4：AAA根据所支持算法的优先级选择EAP-MSCHAPv2； 
　　步骤5：AAA发送接入挑战，携带EAP-MSCHAPv2挑战消息，消息携带challenge-id、auth-challenge、name字段，Name部分填充为“WLAN AAA Server”或者其它预定义的值； 
　　步骤6：EAP消息经接入网关转发至终端，经处理后发送EAP-Response； 
　　步骤7：AAA收到来自接入网关的请求报文，解析EAP-MSCHAPv2响应消息，其中含有challenge-id、peer-challenge、NT-Response、username等； 
　　步骤8：AAA利用auth-challenge、peer-challenge、username、userpassword等计算expect-NT-Response； 
　　步骤9：AAA比较收到的NT-Response和计算的expect-NT-Response相匹配； 
　　步骤10：AAA计算auth-Response，发送认证挑战携带EAP-MSCHAPv2请求成功消息，消息含challenge-id及Message字段，后者含有计算出来的auth-Response； 
　　步骤11：终端校验成功请求消息中的auth-Response通过，发送空的EAP-MSCHAPv2成功响应消息； 
　　步骤12：AAA收到成功响应消息后，EAP-MSCHAPv2流程结束，发送认证接受消息； 
　　步骤13：WLAN接入网关基于EAP发送EAP成功到终端，用户鉴权成功完成。 
　　3.3 鉴权方法比较分析 
　　上述2种类型鉴权方法比较如表1所示。 

　　总结：这2种类型的鉴权方法各有优缺点，考虑现阶段的移动通信网络环境以及终端能力、工程部署等因素，选择PAP/CHAP/EAP-PEAP/EAP-MSCHAPv2等鉴权方法进行Wi-Fi分流是适宜的。不过，随着影响因素的变化以及终端支持能力的提高，过渡到协议定义的EAP-SIM/EAP-AKA无感知认证方法也是可以预见的。

4 Wi-Fi分流流程介绍 
　　针对2.2节中Wi-Fi分流的应用场景1，对Wi-Fi分流的整体流程进行简单介绍。场景1下的流程如图4所示。 

　　流程说明具体如下： 
　　步骤1/步骤2：WLAN接入网与终端基于EAP进行交互，获取到用户的标示（即Identity）； 
　　步骤3：AC/BRAS向AAA发送认证请求消息； 
　　步骤4：AAA解析认证请求消息得到用户的标示，并根据用户所支持算法的优先级选择EAP-MSCHAPv2进行认证，认证通过（认证具体过程可参考3.2节中的说明）则向AC/BRAS发送认证接受消息授权用户接入网络； 
　　步骤5/步骤6：WLAN接入网在本地根据DHCP Server或者本地策略为用户分配本地IP地址，并发送EAP成功消息到终端，用户授权过程完成； 
　　步骤7：用户开始经由AC/BRAS访问Internet； 
　　步骤8：AC/BRAS在用户访问Internet期间，把产生的计费信息等通过计费消息发给3GPP+WLAN AAA Server； 
　　步骤9：AAA把生成的WLAN计费话单文件传送给BOSS。 
　　由于篇幅所限，对场景2和场景3的流程不再进行详细说明。场景2的流程大致与场景1类似，不同的是在步骤3和步骤4采用的是EAP-SIM/EAP-AKA鉴权方法，并且3GPP+WLAN AAA Server需要与HLR通过MAP（Mobile Application Protocol，移动应用协议）信令交互获取用户鉴权和授权信息（过程可参考3.1节）；场景3的流程与场景2相似，但比场景2多了一次来自WAG/PDG的认证授权过程，且计费消息是由WAG/PDG经计费网关发送给BOSS汇总处理。 

5 结束语 
　　本文研究了2G/3G移动通信网络中利用Wi-Fi进行流量分担的系统和方法，重点介绍了3GPP协议定义的Wi-Fi分流架构和鉴权方法以及实际工程部署采用的分流架构和鉴权方法，并对这2种分流架构和鉴权方法进行了分析说明。为了便于理解，最后还给出了指定场景下用户通过Wi-Fi分流的认证/授权/计费完整流程。但是由于篇幅所限，本文没有分析Wi-Fi分流技术中针对高流量用户的分流方法[10]，也没有分析4G（LTE）技术中的Wi-Fi分流架构和无线侧分流的技术原理等内容，这些可以作为下一步分析和研究的方向。 

作者简介：

讲师，硕士，现任职于南京邮电大学电子科学与工程学院，主要研究方向为移动通信、复杂系统与云计算。