張科，陳勇輝

（中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司廣東分公司,廣州 510623）

從全球范圍來看，數(shù)據(jù)流量的爆炸式增長給所有運(yùn)營商的移動(dòng)網(wǎng)絡(luò)帶來空前挑戰(zhàn)，Wi-Fi網(wǎng)絡(luò)成為分流數(shù)據(jù)業(yè)務(wù)、提升客戶感知的重要手段。為解決現(xiàn)有Wi-Fi在自動(dòng)認(rèn)證、自動(dòng)接入、全球漫游等方面的不足，無線寬帶聯(lián)盟(Wireless Broadband Alliance)啟動(dòng)了下一代熱點(diǎn)（Next Generation Hotspot，NGH）計(jì)劃。

1 下一代熱點(diǎn)(NGH)

回顧Wi-Fi網(wǎng)絡(luò)的演進(jìn)變革，其出發(fā)點(diǎn)始終圍繞兩個(gè)因素：用戶體驗(yàn)和商業(yè)模式。我們來了解目前Wi-Fi網(wǎng)絡(luò)的使用步驟：打開Wi-Fi開關(guān)→打開配置頁面→找到網(wǎng)絡(luò)SSID→輸入?yún)?shù)→輸入用戶名及密碼，用戶每到一個(gè)新的Wi-Fi環(huán)境都要重復(fù)上述步驟，這樣的用戶體驗(yàn)是非常糟糕的。另一方面，運(yùn)營商、移動(dòng)互聯(lián)網(wǎng)以及其他擁有Wi-Fi網(wǎng)絡(luò)的企業(yè)也希望能夠拆除所有Wi-Fi網(wǎng)絡(luò)之間、Wi-Fi網(wǎng)絡(luò)與蜂窩網(wǎng)絡(luò)之間阻礙互聯(lián)互通的壁壘（或者說籬笆墻），比如中國移動(dòng)和AT&T能夠?qū)崿F(xiàn)兩者的Wi-Fi用戶漫游，跟他們擁有的2G/3G/4G用戶漫游一樣，相關(guān)的設(shè)置、認(rèn)證、計(jì)費(fèi)由終端和網(wǎng)絡(luò)之間自動(dòng)交互完成，無需用戶操作。

基于Wi-Fi網(wǎng)絡(luò)的現(xiàn)狀，下一代熱點(diǎn)（NGH）計(jì)劃提出了一個(gè)目標(biāo)：構(gòu)建安全可靠、易于使用的公共Wi-Fi網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)內(nèi)的用戶體驗(yàn)?zāi)軌蜻_(dá)到或者接近蜂窩網(wǎng)絡(luò)的水平，并通過組建由企業(yè)、運(yùn)營商、互聯(lián)網(wǎng)公司等參與的網(wǎng)絡(luò)聯(lián)合體（漫游聯(lián)盟），保持移動(dòng)數(shù)據(jù)業(yè)務(wù)的可盈利性。

與傳統(tǒng)Wi-Fi網(wǎng)絡(luò)相比，下一代熱點(diǎn)（NGH）主要特征表現(xiàn)如表1所示。

為實(shí)現(xiàn)上述性能，無線寬帶聯(lián)盟（WBA）基于Hotspot2.0（Wi-Fi聯(lián)盟認(rèn)證 Passpoint），802.11u 等技術(shù)及協(xié)議，增加若干功能，重點(diǎn)圍繞以下幾個(gè)關(guān)鍵方面展開架構(gòu)搭建：安全認(rèn)證，全球漫游，無SIM終端接入等等。

下一代熱點(diǎn)（NGH）計(jì)劃共劃分為3個(gè)階段：

第一階段（已完成）：實(shí)現(xiàn)自動(dòng)的安全無縫認(rèn)證以及網(wǎng)絡(luò)選擇和發(fā)現(xiàn)。

第二階段（已完成）：使用Passpoint Release 1的設(shè)備完成端到端測試（每個(gè)運(yùn)營商超過20個(gè)測試用例）。Passpoint是Wi-Fi聯(lián)盟與運(yùn)營商、設(shè)備商共同開發(fā)并認(rèn)證的解決方案，主要實(shí)現(xiàn)Wi-Fi用戶自動(dòng)選擇及接入網(wǎng)絡(luò)。

第三階段（進(jìn)行中）：運(yùn)營商的Wi-Fi網(wǎng)絡(luò)策略和自動(dòng)在線注冊。此外，開發(fā)新的基于位置的服務(wù)和先進(jìn)的策略管理。

2 下一代熱點(diǎn)(NGH)技術(shù)組成

2.1 Hotspot2.0

Hotspot2.0 (HS2.0)由Wi-Fi聯(lián)盟（Wi-Fi Alliance)和無線帶寬聯(lián)盟（WBA）開發(fā)。Hotspot2.0主要提高Wi-Fi設(shè)備發(fā)現(xiàn)和接入公共Wi-Fi熱點(diǎn)的能力，從而使其在公共Wi-Fi網(wǎng)絡(luò)間的漫游更加容易。Hotspot2.0運(yùn)行基于802.11u標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)提供了查詢機(jī)制，使得設(shè)備能夠發(fā)現(xiàn)可用漫游伙伴的接入點(diǎn)相關(guān)信息，進(jìn)而獲得接入點(diǎn)可能使用的證書類型。它還結(jié)合基于WPA2企業(yè)級安全規(guī)范的802.11i標(biāo)準(zhǔn)，實(shí)現(xiàn)安全認(rèn)證以及使用各種用戶證書加密Wi-Fi數(shù)據(jù)，這些用戶證書包括（U）SIM卡，數(shù)字證書和用戶名/密碼。

從協(xié)議結(jié)構(gòu)上可以用圖1表示。

目前，Hotspot2.0已經(jīng)進(jìn)行到第3個(gè)版本：

Release 1：已于2012年6月，主要實(shí)現(xiàn)了網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)/選擇、認(rèn)證和空口安全。市場上支持Release 1的終端已經(jīng)出現(xiàn)，其中包括，蘋果公司iOS7.0、三星公司Galaxy IV等等。

Release 2：處于開發(fā)的最終階段，預(yù)計(jì)將于2014年中發(fā)布，集成了在線注冊以及運(yùn)營商網(wǎng)絡(luò)選擇策略。

Release 3：處于功能討論及定義階段，尚無發(fā)布時(shí)間計(jì)劃。

圖1 Hotspot2.0協(xié)議棧

2.2 IEEE 802.11u

IEEE 802.11u是IEEE 802.11系列中的擴(kuò)展標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)的主要著重提高設(shè)備發(fā)現(xiàn)、認(rèn)證、并使用附近的Wi-Fi接入點(diǎn)的能力。它引入Subscription Service Provider（SSP）的概念，這是一個(gè)負(fù)責(zé)管理用戶訂閱和相關(guān)證書的實(shí)體。多個(gè)SSP通常是通過一個(gè)單一的接入點(diǎn)訪問，但同時(shí)反映了不同的漫游關(guān)系。SSP概念是實(shí)現(xiàn)更容易的Wi-Fi漫游的關(guān)鍵，因?yàn)樗蚱屏薙SID和接入憑證之間的關(guān)系。在802.11u中，設(shè)備并不理會(huì)AP廣播的SSID(s)，而是動(dòng)態(tài)查詢那些通過AP能夠訪問到的SSP。通過這種方式，設(shè)備自動(dòng)發(fā)現(xiàn)接入點(diǎn)漫游協(xié)議。

IEEE 802.11u對信標(biāo)（Beacon）和探針（Probe）的消息內(nèi)容進(jìn)行了修改，它基于通用通告服務(wù)(Generic Advertisement Service)定義一個(gè)公共行為框架（Public Action Frame），允許未經(jīng)認(rèn)證的設(shè)備在關(guān)聯(lián)接入點(diǎn)之前查詢該接入點(diǎn)的能力和支持的SSP列表。通過改變信標(biāo)和探針消息，接入點(diǎn)能夠廣播其對802.11u支持以及漫游相關(guān)信息，如漫游聯(lián)盟OUI。漫游聯(lián)盟是互相簽訂了跨SSP漫游協(xié)議的一組SSP。

2.3 安全認(rèn)證

安全認(rèn)證主要有3個(gè)協(xié)議來完成：IEEE 802.11i、EAP策略、IEEE 802.1x。這三者都是Wi-Fi聯(lián)盟WPA2企業(yè)級認(rèn)證計(jì)劃的一部分，同時(shí)也是所有智能終端的標(biāo)準(zhǔn)。WPA2企業(yè)級認(rèn)證就意味著每個(gè)比特的信息都跟蜂窩網(wǎng)絡(luò)中的一樣安全、易用。

Hotspot2.0不支持基于推送Protal的認(rèn)證方式，它要求使用IEEE 802.1x認(rèn)證，必須支持以下EAP認(rèn)證方式：

攜帶SIM卡的移動(dòng)終端使用EAP-SIM；

攜帶USIM卡的移動(dòng)終端使用EAP-AKA；

所有移動(dòng)終端必須支持EAP-TLS；

所有移動(dòng)終端必須支持EAP-TTLS，以及采用服務(wù)器端認(rèn)證的、基于用戶名/密碼方式的MS-CHAPv2。

移動(dòng)網(wǎng)絡(luò)運(yùn)營商最有可能選擇的認(rèn)證方式是EAPSIM/EAP-AKA，因?yàn)檫@些方式在蜂窩網(wǎng)絡(luò)中已經(jīng)使用。而EAP-TLS或EAP-TTLS是純Wi-Fi運(yùn)營商最有可能的選擇，因?yàn)樗鼈儧]有基于SIM的認(rèn)證架構(gòu)。EAP-TLS依賴于安全配置和每個(gè)移動(dòng)設(shè)備上存儲(chǔ)的用戶證書，而EAP-TTLS使用證書來驗(yàn)證服務(wù)器，使用用戶名/密碼對用戶進(jìn)行認(rèn)證。

2.4 通用通告服務(wù)

通用通告服務(wù)（Generic Advertisement Service，GAS）是一個(gè)框架，它為通告服務(wù)（例如ANQP）提供傳輸層功能。當(dāng)客戶端必須使用通告協(xié)議查詢AP時(shí)，它使用GAS協(xié)議來實(shí)現(xiàn)。該協(xié)議允許移動(dòng)設(shè)備在與接入點(diǎn)關(guān)聯(lián)之前查詢其配置及可接入信息。GAS為通告服務(wù)提供了一個(gè)幀交換過程（GAS請求/響應(yīng)）和幀結(jié)構(gòu)（使用802.11行為幀）。同時(shí)為了滿足未來增長的需要，在網(wǎng)絡(luò)架構(gòu)中引入了專用GAS服務(wù)器，以便實(shí)現(xiàn)集中化管理。

GAS請求/響應(yīng)的邏輯過程如圖2所示。

圖2 GAS請求/響應(yīng)邏輯過程

2.5 接入網(wǎng)絡(luò)查詢協(xié)議

接入網(wǎng)絡(luò)查詢協(xié)議（Access Network Query Protocol，ANQP）是在網(wǎng)絡(luò)和移動(dòng)設(shè)備之間使用的查詢和應(yīng)答協(xié)議。它定義了若干標(biāo)準(zhǔn)的信息元素，允許設(shè)備查詢特定信息，包括熱點(diǎn)位置、蜂窩網(wǎng)絡(luò)漫游、緊急業(yè)務(wù)支持、認(rèn)證領(lǐng)域等等。

ANQP也是雙向協(xié)議，設(shè)備能向接入點(diǎn)和ANQP服務(wù)器兩者提供信息元素的具體數(shù)值。

ANQP攜帶了一系列的信息，其中部分信息是實(shí)現(xiàn)Wi-Fi漫游的關(guān)鍵，包括：

（1）地點(diǎn)名稱信息(Venue Name information)；

（2）網(wǎng)絡(luò)身份驗(yàn)證類型信息(Network Authentication Type information)；

（3）漫游聯(lián)盟列表(Roaming Consortium list)；

（4）IP地址類型可用性信息(IP Address Type Availability Information)；

（5）NAI域名單 (NAI Realm list)；

（6）3GPP蜂窩網(wǎng)絡(luò)信息(3GPP Cellular Network information)；

（7）域名列表 (Domain Name list)；

（8）友好熱點(diǎn)運(yùn)營商名稱(Hotspot Operator Friendly Name)；

（9）運(yùn)行等級 (Operating Class)；

（10）熱點(diǎn)WAN指標(biāo)(Hotspot WAN Metrics)；

（11）熱點(diǎn)連接能力(Hotspot Connection Capability)；

（12）NAI歸屬域 (NAI Home Realm)。

其中有些是在原有802.11u定義，其他由Wi-Fi聯(lián)盟增加。當(dāng)用戶漫游到一個(gè)訪問地網(wǎng)絡(luò)時(shí)，通過查詢過程，終端設(shè)備將收集更多的信息而不僅僅是SSID，如實(shí)際地點(diǎn)的名稱，實(shí)際熱點(diǎn)運(yùn)營商的名稱和域名稱，這些都將作為主要依據(jù)用于識(shí)別訪問地網(wǎng)絡(luò)的認(rèn)證資格。

當(dāng)用戶漫游到訪問地網(wǎng)絡(luò)時(shí)，終端通過讀取信標(biāo)或探針中802.11u/Hotspot 2.0關(guān)于接入點(diǎn)能力的響應(yīng)來開始網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)過程。一旦終端識(shí)別并確定所關(guān)聯(lián)接入點(diǎn)支持Hotspot 2.0，即啟動(dòng)ANQP查詢以得到3GPP蜂窩信息（3GPP CI）或域名和域名信息。3GPP CI和領(lǐng)域名稱將顯示服務(wù)提供商列表，終端可以以此發(fā)起認(rèn)證請求。該ANQP響應(yīng)還包含一個(gè)域名列表，如果訪問地接入點(diǎn)是為家庭網(wǎng)絡(luò)或漫游聯(lián)盟網(wǎng)絡(luò)，那么將會(huì)提供域名列表信息。在所有信息收集完畢后，如果成功地通過了與終端本地保存的連接配置文件的驗(yàn)證，終端就將使用802.1x/EAP認(rèn)證開始建立一個(gè)到接入點(diǎn)的安全連接，從而Wi-Fi漫游正式啟動(dòng)。

3 NGH方案與接入網(wǎng)絡(luò)發(fā)現(xiàn)與選擇功能

接入網(wǎng)絡(luò)發(fā)現(xiàn)與選擇功能（Access Network Discovery and Selection Function,ANDSF）是蜂窩網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)，它允許運(yùn)營商提供首選接入網(wǎng)列表，其策略操作的顆粒度是單個(gè)IP流或一個(gè)給定的PDN網(wǎng)絡(luò)（APN）上的所有流量。 IEEE 802.11u和WFA Hotspot2.0是Wi-Fi技術(shù)標(biāo)準(zhǔn)，它們使設(shè)備更容易發(fā)現(xiàn)Wi-Fi網(wǎng)絡(luò)間的漫游關(guān)系，確定接入點(diǎn)的性能和負(fù)荷情況，進(jìn)而更容易地、更安全地連接到Wi-Fi網(wǎng)絡(luò)。

ANDSF和Hotspot2.0的結(jié)合能夠極大地提升用戶在跨越Wi-Fi網(wǎng)絡(luò)和蜂窩網(wǎng)絡(luò)時(shí)的體驗(yàn)。特別是對于那些期望將數(shù)據(jù)流量卸載到漫游合作伙伴的Wi-Fi網(wǎng)絡(luò)上的運(yùn)營商來說，Wi-Fi網(wǎng)絡(luò)認(rèn)證和接入技術(shù)的增強(qiáng)極大地提升了它們的用戶體驗(yàn)，同時(shí)帶來了發(fā)揮不同網(wǎng)絡(luò)優(yōu)勢的管理能力。

4 結(jié)束語

本文對NGH中涉及的關(guān)鍵技術(shù)、重要協(xié)議進(jìn)行了介紹，并將其與3GPP ANDSF的關(guān)系進(jìn)行分析，為未來網(wǎng)絡(luò)演進(jìn)研究及部署策略提供了支撐。

[1]3GPP TS24.312 3GPP Access Network Discovery and Selection Function (ANDSF)Management Object(MO)[S].2011.

[2]IEEE 802.11u-2011 IEEE Standard for Information Technology-Telecommunications and information exchange between systems-Local and Metropolitan networks-specific requirements-Part II[S].2008.

[3]3GPP TS24.235 3GPP System to Wireless Local Area Network(WLAN)interworking Management Object (MO)[S].2011.