張科，陳勇輝

（中國移動通信集團設計院有限公司廣東分公司,廣州 510623）

從全球范圍來看，數(shù)據(jù)流量的爆炸式增長給所有運營商的移動網(wǎng)絡帶來空前挑戰(zhàn)，Wi-Fi網(wǎng)絡成為分流數(shù)據(jù)業(yè)務、提升客戶感知的重要手段。為解決現(xiàn)有Wi-Fi在自動認證、自動接入、全球漫游等方面的不足，無線寬帶聯(lián)盟(Wireless Broadband Alliance)啟動了下一代熱點（Next Generation Hotspot，NGH）計劃。

1 下一代熱點(NGH)

回顧Wi-Fi網(wǎng)絡的演進變革，其出發(fā)點始終圍繞兩個因素：用戶體驗和商業(yè)模式。我們來了解目前Wi-Fi網(wǎng)絡的使用步驟：打開Wi-Fi開關→打開配置頁面→找到網(wǎng)絡SSID→輸入?yún)?shù)→輸入用戶名及密碼，用戶每到一個新的Wi-Fi環(huán)境都要重復上述步驟，這樣的用戶體驗是非常糟糕的。另一方面，運營商、移動互聯(lián)網(wǎng)以及其他擁有Wi-Fi網(wǎng)絡的企業(yè)也希望能夠拆除所有Wi-Fi網(wǎng)絡之間、Wi-Fi網(wǎng)絡與蜂窩網(wǎng)絡之間阻礙互聯(lián)互通的壁壘（或者說籬笆墻），比如中國移動和AT&T能夠?qū)崿F(xiàn)兩者的Wi-Fi用戶漫游，跟他們擁有的2G/3G/4G用戶漫游一樣，相關的設置、認證、計費由終端和網(wǎng)絡之間自動交互完成，無需用戶操作。

基于Wi-Fi網(wǎng)絡的現(xiàn)狀，下一代熱點（NGH）計劃提出了一個目標：構建安全可靠、易于使用的公共Wi-Fi網(wǎng)絡，在這個網(wǎng)絡內(nèi)的用戶體驗能夠達到或者接近蜂窩網(wǎng)絡的水平，并通過組建由企業(yè)、運營商、互聯(lián)網(wǎng)公司等參與的網(wǎng)絡聯(lián)合體（漫游聯(lián)盟），保持移動數(shù)據(jù)業(yè)務的可盈利性。

與傳統(tǒng)Wi-Fi網(wǎng)絡相比，下一代熱點（NGH）主要特征表現(xiàn)如表1所示。

為實現(xiàn)上述性能，無線寬帶聯(lián)盟（WBA）基于Hotspot2.0（Wi-Fi聯(lián)盟認證 Passpoint），802.11u 等技術及協(xié)議，增加若干功能，重點圍繞以下幾個關鍵方面展開架構搭建：安全認證，全球漫游，無SIM終端接入等等。

下一代熱點（NGH）計劃共劃分為3個階段：

第一階段（已完成）：實現(xiàn)自動的安全無縫認證以及網(wǎng)絡選擇和發(fā)現(xiàn)。

第二階段（已完成）：使用Passpoint Release 1的設備完成端到端測試（每個運營商超過20個測試用例）。Passpoint是Wi-Fi聯(lián)盟與運營商、設備商共同開發(fā)并認證的解決方案，主要實現(xiàn)Wi-Fi用戶自動選擇及接入網(wǎng)絡。

第三階段（進行中）：運營商的Wi-Fi網(wǎng)絡策略和自動在線注冊。此外，開發(fā)新的基于位置的服務和先進的策略管理。

2 下一代熱點(NGH)技術組成

2.1 Hotspot2.0

Hotspot2.0 (HS2.0)由Wi-Fi聯(lián)盟（Wi-Fi Alliance)和無線帶寬聯(lián)盟（WBA）開發(fā)。Hotspot2.0主要提高Wi-Fi設備發(fā)現(xiàn)和接入公共Wi-Fi熱點的能力，從而使其在公共Wi-Fi網(wǎng)絡間的漫游更加容易。Hotspot2.0運行基于802.11u標準，該標準提供了查詢機制，使得設備能夠發(fā)現(xiàn)可用漫游伙伴的接入點相關信息，進而獲得接入點可能使用的證書類型。它還結(jié)合基于WPA2企業(yè)級安全規(guī)范的802.11i標準，實現(xiàn)安全認證以及使用各種用戶證書加密Wi-Fi數(shù)據(jù)，這些用戶證書包括（U）SIM卡，數(shù)字證書和用戶名/密碼。

從協(xié)議結(jié)構上可以用圖1表示。

目前，Hotspot2.0已經(jīng)進行到第3個版本：

Release 1：已于2012年6月，主要實現(xiàn)了網(wǎng)絡自動發(fā)現(xiàn)/選擇、認證和空口安全。市場上支持Release 1的終端已經(jīng)出現(xiàn)，其中包括，蘋果公司iOS7.0、三星公司Galaxy IV等等。

Release 2：處于開發(fā)的最終階段，預計將于2014年中發(fā)布，集成了在線注冊以及運營商網(wǎng)絡選擇策略。

Release 3：處于功能討論及定義階段，尚無發(fā)布時間計劃。

圖1 Hotspot2.0協(xié)議棧

2.2 IEEE 802.11u

IEEE 802.11u是IEEE 802.11系列中的擴展標準，該標準的主要著重提高設備發(fā)現(xiàn)、認證、并使用附近的Wi-Fi接入點的能力。它引入Subscription Service Provider（SSP）的概念，這是一個負責管理用戶訂閱和相關證書的實體。多個SSP通常是通過一個單一的接入點訪問，但同時反映了不同的漫游關系。SSP概念是實現(xiàn)更容易的Wi-Fi漫游的關鍵，因為它打破了SSID和接入憑證之間的關系。在802.11u中，設備并不理會AP廣播的SSID(s)，而是動態(tài)查詢那些通過AP能夠訪問到的SSP。通過這種方式，設備自動發(fā)現(xiàn)接入點漫游協(xié)議。

IEEE 802.11u對信標（Beacon）和探針（Probe）的消息內(nèi)容進行了修改，它基于通用通告服務(Generic Advertisement Service)定義一個公共行為框架（Public Action Frame），允許未經(jīng)認證的設備在關聯(lián)接入點之前查詢該接入點的能力和支持的SSP列表。通過改變信標和探針消息，接入點能夠廣播其對802.11u支持以及漫游相關信息，如漫游聯(lián)盟OUI。漫游聯(lián)盟是互相簽訂了跨SSP漫游協(xié)議的一組SSP。

2.3 安全認證

安全認證主要有3個協(xié)議來完成：IEEE 802.11i、EAP策略、IEEE 802.1x。這三者都是Wi-Fi聯(lián)盟WPA2企業(yè)級認證計劃的一部分，同時也是所有智能終端的標準。WPA2企業(yè)級認證就意味著每個比特的信息都跟蜂窩網(wǎng)絡中的一樣安全、易用。

Hotspot2.0不支持基于推送Protal的認證方式，它要求使用IEEE 802.1x認證，必須支持以下EAP認證方式：

攜帶SIM卡的移動終端使用EAP-SIM；

攜帶USIM卡的移動終端使用EAP-AKA；

所有移動終端必須支持EAP-TLS；

所有移動終端必須支持EAP-TTLS，以及采用服務器端認證的、基于用戶名/密碼方式的MS-CHAPv2。

移動網(wǎng)絡運營商最有可能選擇的認證方式是EAPSIM/EAP-AKA，因為這些方式在蜂窩網(wǎng)絡中已經(jīng)使用。而EAP-TLS或EAP-TTLS是純Wi-Fi運營商最有可能的選擇，因為它們沒有基于SIM的認證架構。EAP-TLS依賴于安全配置和每個移動設備上存儲的用戶證書，而EAP-TTLS使用證書來驗證服務器，使用用戶名/密碼對用戶進行認證。

2.4 通用通告服務

通用通告服務（Generic Advertisement Service，GAS）是一個框架，它為通告服務（例如ANQP）提供傳輸層功能。當客戶端必須使用通告協(xié)議查詢AP時，它使用GAS協(xié)議來實現(xiàn)。該協(xié)議允許移動設備在與接入點關聯(lián)之前查詢其配置及可接入信息。GAS為通告服務提供了一個幀交換過程（GAS請求/響應）和幀結(jié)構（使用802.11行為幀）。同時為了滿足未來增長的需要，在網(wǎng)絡架構中引入了專用GAS服務器，以便實現(xiàn)集中化管理。

GAS請求/響應的邏輯過程如圖2所示。

圖2 GAS請求/響應邏輯過程

2.5 接入網(wǎng)絡查詢協(xié)議

接入網(wǎng)絡查詢協(xié)議（Access Network Query Protocol，ANQP）是在網(wǎng)絡和移動設備之間使用的查詢和應答協(xié)議。它定義了若干標準的信息元素，允許設備查詢特定信息，包括熱點位置、蜂窩網(wǎng)絡漫游、緊急業(yè)務支持、認證領域等等。

ANQP也是雙向協(xié)議，設備能向接入點和ANQP服務器兩者提供信息元素的具體數(shù)值。

ANQP攜帶了一系列的信息，其中部分信息是實現(xiàn)Wi-Fi漫游的關鍵，包括：

（1）地點名稱信息(Venue Name information)；

（2）網(wǎng)絡身份驗證類型信息(Network Authentication Type information)；

（3）漫游聯(lián)盟列表(Roaming Consortium list)；

（4）IP地址類型可用性信息(IP Address Type Availability Information)；

（5）NAI域名單 (NAI Realm list)；

（6）3GPP蜂窩網(wǎng)絡信息(3GPP Cellular Network information)；

（7）域名列表 (Domain Name list)；

（8）友好熱點運營商名稱(Hotspot Operator Friendly Name)；

（9）運行等級 (Operating Class)；

（10）熱點WAN指標(Hotspot WAN Metrics)；

（11）熱點連接能力(Hotspot Connection Capability)；

（12）NAI歸屬域 (NAI Home Realm)。

其中有些是在原有802.11u定義，其他由Wi-Fi聯(lián)盟增加。當用戶漫游到一個訪問地網(wǎng)絡時，通過查詢過程，終端設備將收集更多的信息而不僅僅是SSID，如實際地點的名稱，實際熱點運營商的名稱和域名稱，這些都將作為主要依據(jù)用于識別訪問地網(wǎng)絡的認證資格。

當用戶漫游到訪問地網(wǎng)絡時，終端通過讀取信標或探針中802.11u/Hotspot 2.0關于接入點能力的響應來開始網(wǎng)絡自動發(fā)現(xiàn)過程。一旦終端識別并確定所關聯(lián)接入點支持Hotspot 2.0，即啟動ANQP查詢以得到3GPP蜂窩信息（3GPP CI）或域名和域名信息。3GPP CI和領域名稱將顯示服務提供商列表，終端可以以此發(fā)起認證請求。該ANQP響應還包含一個域名列表，如果訪問地接入點是為家庭網(wǎng)絡或漫游聯(lián)盟網(wǎng)絡，那么將會提供域名列表信息。在所有信息收集完畢后，如果成功地通過了與終端本地保存的連接配置文件的驗證，終端就將使用802.1x/EAP認證開始建立一個到接入點的安全連接，從而Wi-Fi漫游正式啟動。

3 NGH方案與接入網(wǎng)絡發(fā)現(xiàn)與選擇功能

接入網(wǎng)絡發(fā)現(xiàn)與選擇功能（Access Network Discovery and Selection Function,ANDSF）是蜂窩網(wǎng)絡技術標準，它允許運營商提供首選接入網(wǎng)列表，其策略操作的顆粒度是單個IP流或一個給定的PDN網(wǎng)絡（APN）上的所有流量。 IEEE 802.11u和WFA Hotspot2.0是Wi-Fi技術標準，它們使設備更容易發(fā)現(xiàn)Wi-Fi網(wǎng)絡間的漫游關系，確定接入點的性能和負荷情況，進而更容易地、更安全地連接到Wi-Fi網(wǎng)絡。

ANDSF和Hotspot2.0的結(jié)合能夠極大地提升用戶在跨越Wi-Fi網(wǎng)絡和蜂窩網(wǎng)絡時的體驗。特別是對于那些期望將數(shù)據(jù)流量卸載到漫游合作伙伴的Wi-Fi網(wǎng)絡上的運營商來說，Wi-Fi網(wǎng)絡認證和接入技術的增強極大地提升了它們的用戶體驗，同時帶來了發(fā)揮不同網(wǎng)絡優(yōu)勢的管理能力。

4 結(jié)束語

本文對NGH中涉及的關鍵技術、重要協(xié)議進行了介紹，并將其與3GPP ANDSF的關系進行分析，為未來網(wǎng)絡演進研究及部署策略提供了支撐。

[1]3GPP TS24.312 3GPP Access Network Discovery and Selection Function (ANDSF)Management Object(MO)[S].2011.

[2]IEEE 802.11u-2011 IEEE Standard for Information Technology-Telecommunications and information exchange between systems-Local and Metropolitan networks-specific requirements-Part II[S].2008.

[3]3GPP TS24.235 3GPP System to Wireless Local Area Network(WLAN)interworking Management Object (MO)[S].2011.