51学通信

深度解析 3GPP TS 23.003:14 3GPP系统与WLAN互通的号码、地址与身份标识

21分钟阅读

好的,我们继续解读规范。在深入探讨了纯3GPP世界的各种身份标识之后,现在我们将目光投向一个关键的融合领域——3GPP网络与Wi-Fi的互通。

深度解析 3GPP TS 23.003:14 3GPP系统与WLAN互通的号码、地址与身份标识

本文技术原理深度参考了3GPP TS 23.003 V18.7.0 (2024-09) Release 18规范中,关于“Chapter 14 Numbering, addressing and identification for 3GPP System to WLAN Interworking”的核心章节。本文旨在为读者清晰地揭示当移动用户从蜂窝网络“跨界”到Wi-Fi网络时,其身份是如何被识别、认证和维护的,以及这背后那套独特的“混合身份”标识体系。

在之前的章节中,我们的主角——跨国高管小玲,她的通信活动始终在3GPP定义的蜂窝网络(无论是2G/3G还是IMS)的“主权领土”内进行。然而,在现实生活中,Wi-Fi早已成为移动数据流量不可或缺的承载网络。机场、酒店、办公室、咖啡馆……Wi-Fi无处不在。

为了给用户提供无缝的连接体验并分流蜂窝网络的数据压力,3GPP定义了一套完整的与WLAN(无线局域网)互通的架构。这套架构的核心挑战在于:当小玲的手机从运营商的4G/5G信号切换到合作伙伴的Wi-Fi热点时,运营商如何能继续识别她、认证她,并为她提供计费和策略控制?这需要一套全新的、能够跨越3GPP和IEEE(Wi-Fi标准制定者)两大技术体系的“护照”和“签证”系统。

本章,我们将跟随小玲在法兰克福机场的候机经历,深入探索这套为“跨界漫游”而生的特殊身份标识体系。

1. 跨界的第一步:构建“WLAN世界”的归属域名 (章节 14.1 & 14.2)

小玲抵达法兰克福机场,准备搭乘航班回国。机场提供了高速Wi-Fi服务,并且与她所属的运营商(中国移动)有漫游合作协议。这意味着,她可以使用自己的手机号码套餐来无缝、安全地接入机场Wi-Fi,无需输入繁琐的Wi-Fi密码。

当小玲的手机检测到这个合作Wi-Fi热点时,它要做的第一件事,就是构建一个特殊的身份,向Wi-Fi网络宣告:“我是一名来自中国移动的尊贵用户”。这个身份的核心,是一个专属的“WLAN互通归属域”。

14.2 Home network realm The home network realm shall be in the form of an Internet domain name… When attempting to authenticate within WLAN access, the WLAN UE shall derive the home network domain name from the IMSI as described in the following steps:

  1. take the first 5 or 6 digits… separate them into MCC and MNC…
  2. use the MCC and MNC derived in step 1 to create the “mnc.mcc.3gppnetwork.org” domain name;
  3. add the label “wlan.” to the beginning of the domain name.

这个过程与我们之前在IMS章节看到的域名构建非常相似,但有一个关键区别:

  1. 解析IMSI:从SIM卡中读取IMSI,提取MCC(460)和MNC(00)。
  2. 构建运营商域:拼接出mnc000.mcc460.3gppnetwork.org
  3. 添加业务前缀:最关键的一步,在最前面加上wlan.标签。

场景串联: 小玲的手机自动生成了她的WLAN互通归属域:wlan.mnc000.mcc460.3gppnetwork.org

这个域名就像一面旗帜,向WLAN网络清晰地表明了用户的“国籍”和“省份”。机场的Wi-Fi接入点(AP)看到这个域名后缀,就知道这个用户不属于本地,需要将她的认证请求转发给指定的运营商间网络接口,最终送达中国移动的认证服务器(AAA Server)。

2. “跨界护照”:NAI的诞生与结构 (章节 14.3)

有了归属域名(Realm),还需要一个完整的身份标识。在WLAN互通的世界里,这个标准的“护照”格式被称为NAI (Network Access Identifier - 网络接入标识符)

The Root NAI shall take the form of a NAI, and shall have the form username@realm as specified in clause 2.1 of IETF RFC 4282.

NAI的格式非常经典,就是我们熟悉的 username@realmrealm部分我们已经知道如何构建了,那么username部分是什么呢?

When the username part includes the IMSI, the Root NAI shall be built according to the following steps:

  1. Generate an identity conforming to NAI format from IMSI as defined in EAP SIM and EAP AKA as appropriate;
  2. Convert the leading digits of the IMSI… into a domain name, as described in clause 14.2. The result will be a root NAI of the form: “0@wlan.mnc.mcc.3gppnetwork.org”, for EAP AKA authentication and “1@wlan.mnc.mcc.3gppnetwork.org”, for EAP SIM authentication

这里的核心是,username部分是基于IMSI构造的,并且最前面会加上一个特殊的前缀数字,用来指示认证方法的类型:

  • 前缀0:表示使用EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement) 认证。这是一种基于USIM卡(3G/4G/5G SIM卡)的、安全性极高的认证方法。
  • 前缀1:表示使用EAP-SIM (Extensible Authentication Protocol - SIM) 认证。这是一种基于早期SIM卡(2G SIM卡)的认证方法。

场景串联: 小玲的手机使用的是USIM卡,因此它会采用EAP-AKA方法。它将完整的IMSI数字串(460001234567890)前面加上0,然后与我们之前构建的归属域组合起来,形成一个完整的Root NAI(根NAI)

[email protected]

这个Root NAI,就是小玲手机在WLAN互通场景下最根本、最原始的身份标识。它包含了认证方法、用户永久身份和归属网络的所有信息。

3. “漫游签证”:Decorated NAI (章节 14.4)

当小玲的手机向法兰克福机场的Wi-Fi网络出示她的“中国护照”(Root NAI)时,机场的Wi-Fi系统还需要知道“这个请求是在我的地盘(法兰克福机场)上发出的”。为了在认证请求中同时携带归属地信息拜访地信息,3GPP引入了一个非常形象的概念——Decorated NAI(装饰过的NAI)

The Decorated NAI shall take the form of a NAI and shall have the form ‘homerealm!username@otherrealm’ as specified in clause 2.7 of the IETF RFC 4282. ‘Homerealm’ is the realm as specified in clause 14.2, using the HPLMN ID… ‘Otherrealm’ is the realm built using the PLMN ID (visitedMCC + visited MNC) of the PLMN selected as a result of WLAN PLMN selection.

Decorated NAI的格式就像是给原始的NAI加了一个“信封”,信封上写明了寄出地址和收件地址:

归属域 ! 原始用户名 @ 拜访域

  • Homerealm (归属域):就是我们之前构建的wlan.mnc<homeMNC>.mcc<homeMCC>.3gppnetwork.org
  • Otherrealm (拜访域):由当前所在的Wi-Fi网络所属的PLMN ID(visitedMCC + visitedMNC)构建的wlan.域名。
  • Username (用户名):就是原始的0<IMSI>1<IMSI>

场景串联: 假设法兰克福机场的合作运营商是德国电信(MCC=262, MNC=01)。

  1. 构建Homerealm: wlan.mnc000.mcc460.3gppnetwork.org (中国移动)
  2. 构建Otherrealm: wlan.mnc001.mcc262.3gppnetwork.org (德国电信)
  3. 构建Username: 0460001234567890

最终,小玲的手机实际发出的认证请求中使用的Decorated NAI是: wlan.mnc000.mcc460.3gppnetwork.org!0460001234567890@wlan.mnc001.mcc262.3gppnetwork.org

这个复杂的字符串包含了极其丰富的信息:

  • 认证请求的最终目的地是Homerealm(中国移动的AAA服务器)。
  • 用户的身份是0<IMSI>
  • 这个请求当前发生在Otherrealm(德国电信的网络)中。

拜访地的AAA代理服务器看到这个@otherrealm,就知道这是自己的管辖范围;同时看到homerealm!,就知道需要将这个请求通过运营商间的漫游接口转发给中国移动。Decorated NAI完美地解决了认证请求在复杂漫游网络中的路由问题。

4. 快速通行:临时身份与快速重认证 (章节 14.4A & 14.5)

每次都使用包含IMSI的Decorated NAI进行完整的认证流程,既不高效也不安全。为此,WLAN互通也引入了**临时身份(Pseudonym)快速重认证身份(Fast Re-authentication Identity)**的机制。

14.5 Temporary identities The Temporary identities (Pseudonyms and re-authentication identities) shall take the form of a NAI username… For EAP-AKA authentication, the username portion of the pseudonym identity shall be prepended with the single digit “2”… and the fast re-authentication identity shall be prepended with the single digit “4”…

在第一次成功认证之后,归属地的AAA服务器会下发一个临时的、不包含IMSI的**假名(Pseudonym)给小玲的手机。这个假名的username部分通常以前缀2**开头。在后续的认证中,手机将使用这个假名来代替原始的Root NAI,从而保护了IMSI的隐私。

同时,AAA服务器还会下发一个用于快速重认证的身份,其username部分通常以**前缀4**开头。当小玲在机场内从一个AP移动到另一个AP时,如果认证会话没有完全过期,她可以使用这个快速重认证身份,与网络进行一次简化的、更快速的认证握手,迅速恢复连接,实现无缝切换。

5. “WLAN世界的APN”:W-APN (章节 14.7)

认证成功后,小玲的手机已经安全地接入了WLAN网络。但接下来,她的数据流量应该去往哪里?是接入公共互联网,还是连接回公司的企业内网?

是的,你猜对了,这里依然需要一个类似APN的机制。在WLAN互通场景下,它被称为W-APN (WLAN APN)

14.7 W-APN The W-APN is composed of two parts as follows:

  • The W-APN Network Identifier; this defines to which external network the PDG is connected.
  • The W-APN Operator Identifier; this defines in which PLMN the PDG serving the W-APN is located.

W-APN的结构和作用与我们在第9章学习的APN几乎完全一样,也是由网络标识运营商标识组成。唯一的区别在于,它指向的网关不再是GGSN/PGW,而是一个专门用于WLAN流量接入的网关——PDG (Packet Data Gateway)

其运营商标识符的格式也略有不同,增加了一个业务前缀: w-apn.mnc<MNC>.mcc<MCC>.pub.3gppnetwork.org

场景串联: 认证成功后,小玲的手机会发起建立数据隧道的请求,请求中会携带她想使用的W-APN。

  • 如果她想上普通互联网,W-APN可能是internet.w-apn.mnc000.mcc460.pub.3gppnetwork.org
  • 如果她想连回公司内网,W-APN可能是megacorp.internal.w-apn.mnc000.mcc460.pub.3gppnetwork.org

WLAN接入网络会根据这个W-APN,通过DNS查询,找到正确的PDG的IP地址,并与手机之间建立一条安全的IPsec隧道。从此,小玲在Wi-Fi上的所有数据流量,都会被加密并通过这条隧道,先送到运营商的PDG,再由PDG根据W-APN的网络标识部分,将流量路由到公共互联网或企业内网。

通过W-APN,运营商将在蜂窝网络中为小玲提供的差异化数据服务(如企业VPN接入),无缝地延伸到了Wi-Fi世界。

6. 总结

通过小玲在机场的Wi-Fi漫游体验,我们完整地剖析了3GPP系统与WLAN互通的身份标识体系。这是一套典型的“叠加网络(Overlay)”解决方案,其核心思想是在非3GPP的接入技术(WLAN)之上,构建一套与3GPP核心网兼容的“身份与服务”层。

  • **NAI (网络接入标识符)**是这套体系的基石,以username@realm的通用格式,统一了身份表达方式。
  • 基于IMSI构建的Root NAI和Home Network Realm,将用户的3GPP核心身份安全地映射到了WLAN世界。
  • Decorated NAI通过巧妙的homerealm!user@otherrealm结构,完美解决了复杂漫游场景下的认证路由问题。
  • 临时身份和快速重认证机制,兼顾了安全隐私和连接效率。
  • W-APN则将蜂窝网络中成熟的APN业务分流模型成功地复制到了WLAN接入场景,确保了业务策略的一致性。

这套为“跨界”而生的标识体系,是移动通信与固网技术融合的典范之作。它不仅为今天的Wi-Fi Offload(流量分流)和VoWiFi(Wi-Fi通话)等关键技术奠定了基础,其设计思想对于我们理解未来更多异构网络(如卫星、专网等)如何与5G/6G核心网融合,也具有深刻的启发意义。

FAQ - 常见问题解答

Q1:为什么在WLAN互通中要用NAI,而不是直接用IMSI? A1:主要有两大原因:1) 兼容性:WLAN的认证体系(基于RADIUS/Diameter协议)原生就使用NAI (username@realm) 格式进行用户识别和路由。直接使用IMSI这个纯数字串无法满足其路由需求(特别是realm部分)。2) 灵活性:NAI的username部分可以承载多种信息,如IMSI、临时假名、重认证ID等,而realm部分可以清晰地指向归属网络,比单一的IMSI灵活得多。

Q2:Root NAI 和 Decorated NAI 有什么区别?手机在什么情况下使用哪一个? A2:

  • Root NAI是用户的基本身份,格式为0<IMSI>@homerealm。它只包含归属地信息。
  • Decorated NAI是Root NAI的“漫游”版本,格式为homerealm!0<IMSI>@otherrealm。它同时包含了归属地和拜访地的信息。 使用场景:理论上,Decorated NAI是为漫游场景设计的。手机在发起认证时,会先通过WLAN PLMN选择确定自己是在归属地还是拜访地。如果在拜访地,它就会构建并使用Decorated NAI。这有助于拜访地的AAA代理正确地路由认证请求。在某些简化实现中,手机也可能总是使用Root NAI,由拜访地的网络设备根据配置来决定如何转发。

Q3:EAP-AKA/EAP-SIM认证和我们平时输密码的Wi-Fi认证(WPA2-PSK)有什么根本不同? A3:根本不同在于安全级别和认证主体

  • WPA2-PSK(密码认证)是一种对称共享密钥机制。所有设备使用相同的密码,密码本身就是凭证。安全性相对较低,密码易泄露,且无法对单个用户进行管理。
  • EAP-AKA/SIM是一种基于SIM/USIM卡的质询-响应机制,属于运营商级的认证。认证过程是双向的(手机认证网络,网络也认证手机),且每次认证都会生成动态的会话密钥。凭证是存储在USIM卡和运营商HSS中的、不可导出的根密钥。安全性极高,能够实现对每个用户的精细化授权和计费。

Q4:PDG(分组数据网关)和PGW(分组数据网络网关)有什么关系? A4:它们都是数据流量的网关,但接入的“前端”不同。

  • PGW (Packet Data Network Gateway) 是4G EPC核心网的网关,它主要面向3GPP接入(即蜂窝基站)。
  • PDG (Packet Data Gateway) 是为非信任的非3GPP接入(如公共Wi-Fi)设计的网关。 在WLAN互通架构中,来自Wi-Fi的流量必须先经过一个PDG,通过IPsec隧道进行加密和封装,然后PDG再与PGW连接,最终接入到运营商的核心分组网络(EPC)。PDG就像是PGW面向WLAN世界设立的一个带有严格安检的“前哨站”。在5G时代,PDG和PGW的功能被统一和演进为UPF(用户平面功能)和N3IWF(非3GPP互通功能)等网络功能。

Q5:现在很多手机支持“Wi-Fi通话”(VoWiFi),它和本章讲的WLAN互通是什么关系? A5:VoWiFi是建立在本章所描述的WLAN安全接入基础之上的上层应用

  1. 首先,手机必须通过EAP-AKA/SIM认证,安全地接入WLAN网络,并与PDG之间建立起一条加密的IPsec隧道。这个过程完全遵循本章定义的标识和流程。
  2. 在这条安全的隧道之上,手机会像在蜂窝网络中一样,发起IMS注册,建立与IMS核心网的连接。
  3. 之后,所有的VoLTE通话信令(SIP)和语音数据包(RTP)都将通过这条IPsec隧道进行传输。 所以,WLAN互通为VoWiFi提供了安全、可信的底层IP承载通道,是实现运营商级Wi-Fi通话的前提和保障。

关系图谱