中国移动WLAN(SIM认证)2011.docxVIP

PAGE PAGE 10 WLAN 无感知认证试点技术方案（SIM 认证） 背景 EAP-SIM/AKA 是 EAP 认证方法的一种实现方式，其通过用户(U)SIM 卡信息进行认证，与蜂窝认证方式相同，当用户使用SIM 卡时，执行EAP-SIM 认证流程，当用户使用 USIM 卡时，执行 EAP-AKA 认证流程，整个认证过程不需要用户介入任何手工操作，完全由终端自动完成。 技术原理 如下图，终端与 AC 之间通过 EAPoL 协议通信，AC 和 AAA 服务其通过 Radius 协议转发 EAP 消息，AAA 服务器使用MAP 协议从 HLR/HSS 获取用户(U)SIM 卡鉴权向量，并完成认证，AAA 服务器是认证的执行点。 EAP-SIM/AKA 认证流程参考如下国际标准 3GPP TS 33.234 v6.9.0, WLAN Interworking Security. 3GPP TS 23.234 v6.10.0, WLAN Interworking; System Description. IETF RFC 4186, EAP-SIM IETF RFC 4187, EAP-AKA IETF RFC 3748, Extensible Authentication Protocol (EAP). 关键技术问题 SIM 认证签约 3GPP 标准规定 HSS 存放 WLAN 用户签约信息，AAA 服务器与 HSS 之间通过 Diameter 协议互通。对于仍使用HLR 的网络，标准建议AAA 服务器模拟成 MSC Server 或者 SGSN 与 HLR 交互，完成认证并获取签约数据。对于认证部分，AAA 服务器可完全重用现有D 接口或 Gr 接口的认证消息，但对于如何在HLR 标识WLAN 签约数据以及如何下发签约数据，标准并未做任何定义和解释。 试点阶段， HLR 通过运营商自定义签约字段 HPLMN ODB 第三位 （plmn-SpecificBarringType3）存放 SIM 认证签约开通信息，签约信息通过 BOSS 开通。HPLMN ODB 字段格式见下： odb-HPLMN-Data { plmn-SpecificBarringType1 (0 ), plmn-pecificBarringType2 (1 ), plmn-SpecificBarringType3 (2 ), plmn-SpecificBarringType4 (3 )} 为便于 BOSS 对 SIM/PEAP/MAC 三种认证方式进行统一业务控制，AAA 服务器也存放用户 SIM 认证签约开通信息，签约信息通过 Portal服务器特定页面开通。 HLR 上默认对所有潜在试点用户开通 SIM 认证，SIM 认证是否通过由 AAA 根据自身存储的用户手机号对应的 SIM 认证签约信息进行控制。 需要通过试点评估 HLR 保留 SIM 认证签约信息的必要性。 HLR 签约信息下发 WLAN与下发方式 业务签约PS 同时附在线停机 复制卡控制 厂家支持情况着MAP共 有 参 数爱立信HLR 需改造restore 支持 不支持 不支持+CS 特有 其他厂家均支持 WLAN 与 下发方式 业务签约 PS 同时附在线停机 复制卡控制 厂家支持情况 着 MAP 共 有 参 数 爱立信HLR 需改造 restore 支持 不支持 不支持 +CS 特有 其他厂家均支持 data MAP 中兴、诺西 HLR 需 GPRS 共有参数+PS 不支持 支持 支持 改造，其他厂家均 update 特有 支持 location 使用 GPRS Update Location 时，如果分组域自有业务已经在线，此时并发接入 WLAN 时会导致分组域业务下线；如果WLAN 业务已经在线，用户并发使用分组域自有业务，可通过 AAA Server 的控制，避免对WLAN 业务的影响。 试点阶段优选通过 Restore Data 下发签约参数。对于已支持 GPRS Update Location下发签约参数的省份，可在试点中评估此下发方式对分组域自有业务体验影响。AAA 服务器需要配置试点省份 IMSI 号段范围，通过 IMSI 号段判断归属省，以区别使用签约下发消息。 SSID 设置 需设置新的 SSID(CMCC-AUTO) ，支持存量终端使用 SIM 认证方式。SIM 认证与 PEAP 认证使用相同SSID 。 下线控制 SIM 认证仍保留 8 小时下线机制 可通过AC 开关开启/关闭 SIM 认证对应SSID 的 15 分钟下线机制。（已确认， 部分 AC 厂家已支持，部分 AC 厂商需升级支持）。 Keep-alive 机制（可选） WLAN UEWLAN ANea