基于運營商公共開放Wi—Fi網絡的Wi—FiCalling業務集成方法

巫長征　林文鋒　關偉杰

【摘 要】針對移動運營商如何利用其公共Wi-Fi網絡引入Wi-Fi Calling業務并提升當前Wi-Fi網絡流量不足、用戶體驗差等問題，分析了公共開放Wi-Fi的網絡特性，提出了基于公共Wi-Fi網絡進行業務集成和控制的通用思路，進一步設計了基于公共Wi-Fi網絡進行Wi-Fi Calling業務集成的方法，從而實現了Wi-Fi Calling用戶自動接入Wi-Fi網絡，并改進當前Wi-Fi Calling存在的一些缺陷。通過基于公共Wi-Fi現網環境驗證，用戶體驗較好，Wi-Fi Calling增強能力得以體現，通過Wi-Fi Calling業務開展可以激活運營商公共Wi-Fi網絡使用。

【關鍵詞】Wi-Fi電話 業務集成 ePDG

1 引言

近年來，隨著Wi-Fi的普遍使用，移動運營商已在大量公共區域部署了基于Web Portal認證的公共開放Wi-Fi網絡，這些公共Wi-Fi網絡通常作為蜂窩網絡覆蓋補充和蜂窩網絡Internet流量卸載手段。然而，當前一些公共Wi-Fi網絡正呈現用戶體驗差、網絡能力不足、流量下降、商用價值不高等諸多問題。另外，隨著現代移動通信全面進入VoLTE時代，基于3GPP定義的非受信Wi-Fi網絡架構（參見3GPP TS 23.402）的Wi-Fi Calling（或VoWiFi）正在成為VoLTE的重要補充。但Wi-Fi Calling本身存在一些網絡能力局限，如目前4G網絡無法有效獲取用戶的準確位置信息，用于合法監聽、緊急呼叫、漫游等特定場合。

因此，如何完善當前移動運營商公共Wi-Fi網絡能力，如何擴大基于Wi-Fi網絡的業務使用，包括基于運營商公共Wi-Fi網絡的Wi-Fi Calling業務使用，正成為移動運營商亟待解決的熱門問題。基于此，本文通過分析公共開放Wi-Fi的網絡特性，提出了基于公共Wi-Fi網絡進行業務集成的通用思路，進而給出了基于公共Wi-Fi網絡進行Wi-Fi Calling業務集成的方法。

2 基于公共開放Wi-Fi的業務集成和訪問

控制

公共開放Wi-Fi提供了一種機制，允許用戶終端在關聯Wi-Fi后并在認證授權之前能夠訪問后端Web Portal服務器（或HTTP服務器）或其他特定目的。這通常借助于HTTP（Hypertext Transfer Protocol，超文本傳輸協議）重定向實現，從而用戶終端可以訪問最終HTTP服務器。HTTP訪問通常還支持TLS（Transport Layer Security，安全傳輸層協議），以增強安全性。

鑒于這種網絡特性，公共開放Wi-Fi網絡可以基于HTTP協議方法實現用戶業務集成和控制：業務提供商和Wi-Fi網絡提供商簽訂SLA（Service Level Agreement，服務等級協議），架設自己的HTTP控制器（HTTP controller），通過公共Wi-Fi接入網絡基于HTTP協議方法控制其用戶業務訪問，同時對接Wi-Fi接入網絡（可能需要通過其他節點與Wi-Fi接入設備間接對接），開通Internet訪問，開放該用戶和AS（Application Server，應用服務器）之間業務流傳輸，實現用戶業務訪問。另外，HTTP控制器面向業務提供商提供北向接口，用于用戶業務管理。

類似地，公共開放Wi-Fi網絡也可以基于業務提供商的其他（非HTTP）協議方法實現業務集成和控制。

業務集成參考架構圖如圖1所示：

3 方案介紹

本方案基于運營商公共開放Wi-Fi網絡，參照上述公共開放Wi-Fi網絡業務集成和訪問控制的思路，引入基于Wi-Fi Calling控制器（WFController），并置于ePDG（evolved Packet Data Gateway，演進的分組數據網關）前端或與ePDG合設，在公共Wi-Fi接入網絡環境之中采用HTTP擴展來控制用戶Wi-Fi Calling業務連接，同時對接Wi-Fi接入網絡（可能通過其他節點與Wi-Fi接入設備進行間接交互），開通Internet訪問，實現Wi-Fi Calling通話。另外，WFController面向業務提供商提供北向接口，用于用戶業務管理。

本方案公共開放Wi-Fi網絡的Wi-Fi Calling業務集成網絡架構圖如圖2所示。

3.1 方案工作原理

UE（User Equipment，用戶設備）在關聯到公共開放Wi-Fi接入網絡并獲得本地IP地址后，使用HTTP擴展消息向Wi-Fi接入網絡后端的WFController發起登錄請求。該WFController向UE提供ePDG地址，指示UE不需要依據傳統Web Portal認證方式輸入用戶名和口令進行認證，而是向WFController請求執行Wi-Fi Calling附著（參見3.4節HTTP attach定義），并向該ePDG建立IPSec隧道完成Wi-Fi Calling連接建立過程。

在向ePDG建立IPSec時，UE和EPC（Evolved Packet Core，演進的分組核心網）網絡之間執行基于EAP-AKA的雙向認證。ePDG和P-GW（Packet Data Network Gateway，分組數據網關）之間建立S2b連接。UE從EPC網絡中獲得業務IP地址。Wi-Fi Calling連接成功建立，WFController通知UE附著成功。同時，WFController通知Wi-Fi接入網絡用戶已經完成Wi-Fi接入認證和授權，此時Wi-Fi接入網絡允許UE可以使用之前分配的本地IP地址來訪問Internet。Wi-Fi網絡從此可以對訪問Internet的流量進行計費統計。

與此同時，由于UE到EPC網絡和IMS（IP multimedia system，IP多媒體系統）的連接已經建立完成，UE可以使用之前分配的業務IP地址與IMS網絡通信，進行Wi-Fi Calling業務。Wi-Fi接入網絡也可以對訪問Wi-Fi Calling業務的流量進行單獨計費統計。在開展Wi-Fi Calling業務時，EPC網絡可通過Wi-Fi接入網獲取用戶位置相關信息。endprint

上述ePDG與WFController既可以為合設節點，也可以為分設節點。分設時，WFController面向UE，ePDG置于其后。

3.2 過程描述

方案流程圖如圖3所示。其中：

（1）HTTP重定向節點（HTTP server X）為可選節點，用于示意HTTP重定向過程。

（2）WFController與Wi-Fi接入網絡的對接參見3.3節的接口說明，WFController既可以與Wi-Fi接入設備直接交互，也可以間接交互。

（3）UE和ePDG之間SWu接口過程參見3.3節的說明，其中IKE和IPSec下層傳輸協議可能采用UDP，也可能采用TLS/TCP。

圖3并未給出ePDG與P-GW之間S2b接口過程，可參見3GPP TS 23.402、3GPP TS 24.302等相關標準。

具體步驟如下：

步驟1：UE關聯到開放Wi-Fi AP。UE從Wi-Fi網絡獲得本地IP地址。

步驟2：假設Wi-Fi接入網絡已經預設了白名單，允許UE訪問特定的服務器（圖3中即為server X和sever Y）。

步驟3：如果UE預先未知目標HTTP服務器地址（UE沒有預配HTTP服務器地址和域名，或者沒有HTTP服務器發現過程），UE可能向任一地址發起Wi-Fi Calling登錄請求（參見3.4節HTTP login定義），該請求中包含Wi-Fi Calling指示。

步驟4～5：如果Wi-Fi接入網絡支持基于Wi-Fi Calling的HTTP重定向，則將把該HTTP請求重定向到特定HTTP服務器（server X或sever Y），參見3.4節HTTP 302 redirection定義。在重定向過程中，Wi-Fi接入網絡可能向UE提供額外信息，如用戶位置信息、ePDG id等。

步驟6：如果UE已知目標HTTP服務器地址（包括通過預配HTTP服務器IP地址或域名、上述的HTTP重定向等方法），UE將向該HTTP服務器發起Wi-Fi Calling登錄請求（參見3.4節HTTP login定義），并包含Wi-Fi Calling指示。

步驟7～8：當一個HTTP服務器仍為中間節點時，它將重定向HTTP請求到其他特定的HTTP服務器（圖3中的server Y）。參見3.4節HTTP 302 redirection定義，在重定向過程中，中間服務器也可能提供用戶地址、ePDG id等額外信息給UE。

步驟9：如果UE已知目標HTTP服務器地址，UE將向該HTTP服務器發起Wi-Fi Calling登錄請求（參見3.4節HTTP login定義），并包含Wi-Fi Calling指示。假設此處目標服務器（server Y）為最終服務器（本文叫做WFController）。

步驟10：通過WFController與ePDG之間的內部接口，WFController通知ePDG該UE正在登錄WFController，用戶將請求Wi-Fi Calling附著。如果UE非首次登錄WFController，且用戶已經執行過Wi-Fi Calling附著并在ePDG仍處于附著狀態（未超時），則ePDG分配一個新的cookie并傳給WFController。

步驟11：如果WFController接受UE登錄請求，則回應200 OK消息給UE，該消息將可能包含額外信息（如ePDG id）。該消息指示UE已經成功登錄WFController，UE可以進行Wi-Fi Calling附著。如果UE非首次登錄WFController，且用戶已經執行過Wi-Fi Calling附著并在ePDG仍處于附著狀態（未超時），則將在200 OK消息中包含ePDG分配的cookie，指示UE已經成功附著。cookie的expire時間表示下次重新登錄的時間。200 OK消息參見3.4節定義。

步驟12：如果需要進行Wi-Fi Calling附著，UE隨后向WFController發生HTTP附著請求（參見3.4節HTTP attach定義）。

注：在上面的HTTP過程中，推薦使用HTTPS。TLS傳輸建立于UE和WFController之間，后續UE和ePDG之間的IKE及IPSec ESP如果需要支持TLS，則通過已經建立的TLS隧道來傳輸。

步驟13：UE和ePDG之間交換IKE消息，該消息用于執行3GPP定義的非受信Wi-Fi的附著和PDN連接建立過程。

步驟14：當UE和網絡之間完成EAP-AKA認證，UE和ePDG之間建立IPSec安全隧道后，UE從EPC網絡獲得業務IP地址（ePDG與P-GW之間建立S2b連接，圖3中省略未標示）。由此UE與IMS之間通信連接建立，Wi-Fi Calling業務可以進行。ePDG將分配的cookie傳給WFController以表示Wi-Fi Calling附著成功，用戶在ePDG處于附著狀態。cookie的expire表示附著狀態存活時間。當用戶在ePDG處于Wi-Fi Calling附著狀態（未超時），UE后續登錄WFController時無需執行Wi-Fi Calling附著。

步驟15：WFController向UE返回HTTP 200 OK消息，顯示Wi-Fi Calling附著過程成功完成，分配的cookie將一并返回給UE。cookie的expire時間表示下次重新登錄的時間。200 OK消息參見3.4節定義。

步驟16a：用戶可以使用Wi-Fi Calling進行通話，包含Wi-Fi Calling業務流量的IPSec ESP在UE和ePDG之間傳輸。endprint

步驟16b：WFController通知Wi-Fi接入網絡用戶已經完成認證和授權，Wi-Fi接入網絡可以開放Internet。

步驟17：Wi-Fi接入網絡開放Internet接口，由此用戶通過之前分配的本地IP地址就可以訪問Internet。

步驟18：用戶可以通過公共開放Wi-Fi網絡訪問Internet業務。

步驟19：Wi-Fi接入網絡可以開始對UE的Internet訪問進行計費，也可以對用戶訪問Wi-Fi Calling的流量進行計費。

步驟20：用戶向WFController發起Wi-Fi Calling登出請求（參見3.4節HTTP logout定義）。WFController通知ePDG用戶登出，ePDG清除Wi-Fi Calling附著狀態。

步驟21：WFController向UE返回200 OK消息（參見3.4節200 OK定義），顯示用戶已成功登出。

3.3 接口說明

本方案引入WFController與UE對接、與Wi-Fi接入網絡對接以及與業務提供商進行北向接口對接，具體如下：

（1）WFController與UE信令交互采用HTTP擴展，參見下文描述。

（2）WFController與Wi-Fi接入網絡對接遵從具體實現，可能通過AAA（Authorization、Authentication and Accounting，認證、授權和計費）服務器等中間節點進行間接交互，相關接口交互，本文不進行定義。

（3）WFController與業務提供商進行北向接口對接遵從具體實現，為非標準接口，如基于RestAPI，本文不進行定義。

WFController與ePDG分設時，WFController、ePDG為內部接口，本文不進行定義。

UE到ePDG和EPC網絡Wi-Fi Calling安全連接的相關的網元之間為標準接口，遵從3GPP標準定義（包括3GPP TS 23.402、3GPP TS 24.302、3GPP TS 33.402、3GPP TS 29.273、3GPP TS 29.274等規范）。

另外，3GPP標準的UE和ePDG接口，IKE和IPSec ESP的傳輸為UDP，本方案中可基于TLS over TCP傳輸，遵循3GPP擴展定義（參見3GPP TS 24.302）。

3.4 HTTP定義

本方案對HTTP消息進行擴展，以支持UE與WFController之間信令交互，實現方案流程中涉及到的Wi-Fi Calling登錄（HTTP login）、Wi-Fi Calling附著（HTTP attach）和Wi-Fi Calling登出（HTTP logout）等過程。

其中，HTTP login、HTTP attach和HTTP logout基于HTTP GET request消息擴展，其相應response基于HTTP 200 OK和HTTP 302 redirection消息擴展。由于篇幅原因，本文不再給出詳細定義。

3.5 方案實施

（1）與Web Portal認證方式共存

本方案基于Wi-Fi Calling連接過程來控制Wi-Fi接入，需要與基于Web Portal控制Wi-Fi接入的現行方法共存。

為此，Wi-Fi接入網絡需要解釋本文定義的HTTP擴展，從而區分HTTP擴展和傳統方法的HTTP，將用戶的HTTP請求重定向到相應的WFController或Web Portal服務器。

在實際網絡部署中，Wi-Fi接入網絡改造支持HTTP擴展可能相對較難，周期也較長。一種簡單方法就是為本方案的用戶接入部署SSID（Service Set Identifier，服務集標示），與現有Web Portal方法完全隔離；新的另一種簡化方法就是UE自行確定WFController地址，將ePDG IP地址作為WFController地址，而ePDG的選擇方法可遵循3GPP定義。這種方法可以讓Wi-Fi接入網絡不參與解釋HTTP擴展，但需要開放白名單，以避免訪問特定WFController的HTTP請求被錯誤重定向到Web Portal服務器。

（2）跨運營商Wi-Fi Calling業務集成

在合作伙伴的Wi-Fi接入網絡的Wi-Fi Calling業務集成，用戶終端的HTTP請求需要送達對應運營商的WFController。

與上節問題的解決方法類似，可通過兩種途徑尋址WFController：一是通過UE自行確定WFController地址，由Wi-Fi接入網絡開放白名單；二是通過Wi-Fi接入網絡選擇WFController并執行HTTP重定向，如HTTP擴展請求中包含業務運營商標示，從而幫助Wi-Fi接入網絡將HTTP重定向到對應業務運營商的WFController。

4 現網試驗

我國各大運營商從3G時代開始就大規模部署公共Wi-Fi網絡，對熱點公共區域進行了廣泛覆蓋。由于Wi-Fi Calling正在成為4G/VoLTE部署的重要組成部分，各大運營商部署Wi-Fi Calling勢必可以依托其豐富的Wi-Fi網絡資源進行無縫業務集成，甚至在其他運營商的公共Wi-Fi網絡之間漫游共享。Wi-Fi Calling與運營商Wi-Fi網絡無縫嫁接后將具備獨特優勢，出現新的商業價值，從而提升盈利能力。

作為愛立信與中國移動Wi-Fi Calling技術創新項目的重要部分，目前本方案在廣東移動現網成功完成了可行性驗證。愛立信ePDG與廣東移動Wi-Fi現網后端系統成功對接，實現了Wi-Fi Calling終端基于廣東移動現行Wi-Fi網絡的自動認證Wi-Fi接入和Wi-Fi Calling業務使用，為今后在各大運營商Wi-Fi網絡中進行商用部署積累了初步經驗。endprint

方案試驗網絡構成示意圖如圖4所示。

在方案試驗中，以下方面得到初步驗證：

（1）用戶體驗明顯改善

本方案的手機終端搜索到本試驗網絡中的公共Wi-Fi網絡SSID后自動連接，用戶無感知，無需輸入用戶名/口令，可自由訪問Internet；

用戶能夠同時訪問Internet和進行Wi-Fi Calling通話。

（2）Wi-Fi網絡能力得以改善

Wi-Fi網絡支持上述手機用戶無感知自動接入；

公共開放Wi-Fi的網絡安全得以改善，通過Wireshark等工具抓包手機與Wi-Fi AP之間數據，圖3中步驟13后的所有信令數據（帶敏感信息的）和所有業務數據均為加密數據；

公共Wi-Fi網絡可同時支持本方案的免認證用戶的接入和傳統Web Portal用戶接入。

（3）Wi-Fi Calling網絡能力增強

依據圖3中步驟5和步驟9，WFController/ePDG能夠獲取用戶的準確Wi-Fi位置信息，并提供給核心網其他網元；

支持位置相關的ePDG選擇和連接，手機終端（依據圖3中步驟5）從Wi-Fi網絡中自動獲得Wi-Fi網絡位置相關的WFController/ePDG IP地址，從而無需按現有方法通過DNS等手段獲取Wi-Fi位置無關的ePDG IP地址，Wi-Fi Calling用戶接入在可管控的環境中完成。

5 結束語

本文介紹了移動運營商公共開放Wi-Fi網絡現狀和面臨的問題，以及如何基于運營商Wi-Fi網絡開展業務特別是Wi-Fi Calling業務，從而改善運營商Wi-Fi網絡性能和激發Wi-Fi Calling等關鍵業務使用。文中提到了基于公共開放Wi-Fi網絡的業務集成的通用原理，據此提出了基于運營商公共開放Wi-Fi網絡集成Wi-Fi Calling業務的方案。本方案在4G網絡側引入Wi-Fi Calling控制器以對接Wi-Fi接入網絡，同時通過Wi-Fi Calling控制器對UE接入Wi-Fi網絡進行業務控制，用戶實現免認證上網并同時進行Wi-Fi Calling通話。方案可提升Wi-Fi網絡的用戶體驗，改善Wi-Fi網絡性能和Wi-Fi Calling業務能力，增進用戶對運營商Wi-Fi網絡和Wi-Fi Calling業務的使用。方案成功的關鍵是運營商Wi-Fi網絡和手機終端與Wi-Fi Calling控制器對接，這需要得到各大運營商和終端產業鏈支持，并推動方案流程的標準化。

參考文獻：

[1] 3GPP TS 23.402 V13.4.0. Architecture enhancements for non-3GPP access[S]. 2015.

[2] 3GPP TS 24.302 V13.4.0. Access to EPC via non-3GPP access network； stage 3[S]. 2015.

[3] 3GPP TS 33.402 V13.0.0. Security for non-3GPP access[S]. 2015.

[4] IETF RFC 7296. Internet Key Exchange （IKEv2） Protocol[S]. 2014.

[5] IETF RFC 4301. Security Architecture for the Internet Protocol[S]. 2005.

[6] IETF RFC 4303. IP Encapsulating Security Payload[S]. 2005.

[7] IETF RFC 5246. The Transport Layer Security （TLS） Protocol Version 1.2[S]. 2008.

[8] IETF RFC 2818. HTTP over TLS[S]. 2000.

[9] IETF RFC 2616. Hypertext Transfer Protocol-HTTP/1.1

[S]. 1999.

[10] IETF RFC 4187. Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement[S]. 2006.

[11] GSMA IR.51 V2.0. IMS Profile for Voice， Video and SMS over Wi-Fi[S]. 2015.endprint