無線局域網(wǎng)無感知認(rèn)證方式研究

中國(guó)電信江蘇公司操作維護(hù)中心 鄭東棟

無線局域網(wǎng)無感知認(rèn)證方式研究

中國(guó)電信江蘇公司操作維護(hù)中心 鄭東棟

摘要：傳統(tǒng)的WLAN（無線局域網(wǎng)）認(rèn)證模式其繁瑣的認(rèn)證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶的體驗(yàn)效果。從WLAN用戶認(rèn)證便利性出發(fā)，給出了基于MAC（媒體接入控制）的無感知認(rèn)證解決方案，EAP-SIM/AKA（擴(kuò)展認(rèn)證協(xié)議-用戶識(shí)別模塊/鑒權(quán)與密鑰協(xié)商）無感知認(rèn)證解決方案和PEAP（受保護(hù)的擴(kuò)展認(rèn)證協(xié)議）無感知認(rèn)證解決方案等3種解決方案，并分析了各自的優(yōu)缺點(diǎn)。

關(guān)鍵詞：無線局域網(wǎng)；無感知認(rèn)證；受保護(hù)的擴(kuò)展認(rèn)證協(xié)議

1 WLAN認(rèn)證存在的問題及改善

目前用戶可以通過Web Portal、客戶端等方式完成WLAN（無線局域網(wǎng)）認(rèn)證，但是這些方式對(duì)用戶來說并不便捷，其繁瑣的認(rèn)證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶的體驗(yàn)效果，制約了WLAN用戶的發(fā)展。如何才能快速便捷地使用WLAN，成為改善用戶體驗(yàn)的關(guān)鍵，也是改變WLAN網(wǎng)絡(luò)“熱裝冷用”現(xiàn)象的重要一環(huán)。目前可以通過提供WLAN無感知認(rèn)證的方式，達(dá)到不需要用戶干預(yù)、在用戶無感知情況下認(rèn)證通過、使用WLAN的目的，并且通過WLAN無感知認(rèn)證方式的推廣，扭轉(zhuǎn)當(dāng)前優(yōu)選WLAN主要依靠用戶主動(dòng)選擇的局面，實(shí)現(xiàn)用戶在使用WLAN業(yè)務(wù)時(shí)能夠達(dá)到與3G網(wǎng)絡(luò)一樣的自動(dòng)接人體驗(yàn)，使WLAN作為數(shù)據(jù)熱點(diǎn)地區(qū)3G網(wǎng)絡(luò)的有效補(bǔ)充。

如何實(shí)現(xiàn)，目前有以下3種主要的無感知認(rèn)證實(shí)現(xiàn)方案。

2 無感知認(rèn)證解決方案

2.1 基于MAC的無感知認(rèn)證解決方案

用戶首次連接WLAN時(shí)，需要一次認(rèn)證，同時(shí)在后臺(tái)服務(wù)器上，將用戶無線網(wǎng)卡物理地址〔MAC（媒體接入控制）地址〕與用戶的登陸信息綁定。當(dāng)該用戶下次連接網(wǎng)絡(luò)時(shí)，無需重復(fù)繁瑣的認(rèn)證即可直接上網(wǎng)。其認(rèn)證基本流程為：

1）用戶終端通過DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）方式獲取IP地址，發(fā)起正常用戶認(rèn)證請(qǐng)求；

2）AC（鑒權(quán)中心）向用戶終端推送認(rèn)證頁面，進(jìn)行正常認(rèn)證流程；

3）認(rèn)證成功后，AC向認(rèn)證服務(wù)器再次發(fā)起用戶簡(jiǎn)化認(rèn)證請(qǐng)求；

4）AC與認(rèn)證系統(tǒng)進(jìn)行用戶信息交互；

5）由AC進(jìn)行用戶信息的記錄并在下次用戶上網(wǎng)時(shí)自動(dòng)幫助用戶登記；

6）服務(wù)器通知短信網(wǎng)關(guān)向用戶手機(jī)下發(fā)短信，通知用戶簡(jiǎn)化認(rèn)證功能啟用。

此方案以流量為觸發(fā)條件。用戶無線網(wǎng)卡物理地址由專門的綁定服務(wù)器進(jìn)行查詢和綁定，減輕了認(rèn)證服務(wù)器或后臺(tái)服務(wù)器的壓力。同時(shí)流量觸發(fā)的方式避免了關(guān)聯(lián)（綁定）造成的服務(wù)器壓力問題。此方案具有以下優(yōu)點(diǎn)。

1）良好的兼容性：無需安裝任何形式的客戶端，無需證書校驗(yàn)，終端與后臺(tái)服務(wù)器的綁定關(guān)系一旦建立，IE瀏覽、手機(jī)QQ、視頻軟件等各種形式的無線應(yīng)用都能實(shí)現(xiàn)完美兼容；

2）用戶完全零配置：綁定服務(wù)器上的用戶無線網(wǎng)卡物理地址和用戶名綁定完全自動(dòng)生成，用戶體驗(yàn)度高，用戶界面無需改動(dòng)；

3）安全性高：綁定結(jié)果通過短信告知用戶；

4）可擴(kuò)展性好：綁定服務(wù)器除用于無線網(wǎng)卡物理地址認(rèn)證外，其功能還可根據(jù)用戶需求進(jìn)行擴(kuò)展，而無需對(duì)認(rèn)證服務(wù)器系統(tǒng)進(jìn)行改動(dòng)；

5）增加了流量閾值判斷過程，防止智能終端上由于定期觸發(fā)〔如ARP（地址解析協(xié)議）、DHCP、DNS（域名系統(tǒng)）等〕報(bào)文而頻繁觸發(fā)認(rèn)證請(qǐng)求，避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認(rèn)證問題；

6）系統(tǒng)支持短信下線，豐富了用戶選擇性，用戶通過手機(jī)發(fā)送短信后，短信網(wǎng)關(guān)即通知綁定服務(wù)器將用戶強(qiáng)制下線。

2.2 EAP-SIM/AKA無感知認(rèn)證解決方案

AP-SIM（接入點(diǎn)-用戶識(shí)別模塊）/AKA（鑒權(quán)與密鑰協(xié)商）認(rèn)證是EAP（擴(kuò)展認(rèn)證協(xié)議）認(rèn)證方法的一種實(shí)現(xiàn)方式，其通過用戶(U)SIM卡信息進(jìn)行認(rèn)證。當(dāng)用戶使用SIM卡時(shí)，執(zhí)行EAPSIM認(rèn)證流程；當(dāng)用戶使用USIM卡時(shí)，執(zhí)行EAP-AKA認(rèn)證流程。整個(gè)認(rèn)證流程不需要用戶介入任何手工操作，完全由用戶終端自動(dòng)完成。其認(rèn)證基本流程為：

1）終端與AC之間通過EAPoL（局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議）通信；

2）AC和AAA（認(rèn)證、授權(quán)和計(jì)費(fèi)）服務(wù)器通過RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶業(yè)務(wù)）協(xié)議轉(zhuǎn)發(fā)EAP消息；

3）AAA服務(wù)器使用MAP（移動(dòng)應(yīng)用部分）協(xié)議從HLR/HSS（歸屬位置寄存器/歸屬用戶服務(wù)器）獲取用戶(U)SIM卡鑒權(quán)向量，并完成認(rèn)證。

用戶首次使用時(shí)需進(jìn)行PEAP（受保護(hù)的擴(kuò)展認(rèn)證協(xié)議）認(rèn)證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實(shí)現(xiàn)免登陸上網(wǎng)。此方案同MAC認(rèn)證一樣，也無需Portal界面或用戶任何手工輸入操作的干預(yù)，認(rèn)證過程也完全交由后臺(tái)自行進(jìn)行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，無需經(jīng)過繁瑣的認(rèn)證流程，即可上網(wǎng)，用戶體驗(yàn)大大提高。此方案具有如下優(yōu)點(diǎn)：

1）用戶完全零操作：認(rèn)證過程完全由后臺(tái)自行處理，用戶體驗(yàn)度高；

2）安全性高：用戶SIM卡信息固定且唯一；

3）避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認(rèn)證問題。

由于此方案依托于(U)SIM卡信息，因此一般適用于手機(jī)一類的移動(dòng)智能終端，具體支持程度需要根據(jù)手機(jī)終端類型和網(wǎng)絡(luò)建設(shè)情況而定。

2.3 PEAP無感知認(rèn)證解決方案

PEAP認(rèn)證是EAP認(rèn)證方法的另一種實(shí)現(xiàn)方式，終端與網(wǎng)絡(luò)關(guān)聯(lián)后，終端側(cè)通過服務(wù)器證書對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證，建立TLS（傳輸層安全）隧道，將用戶名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)，網(wǎng)絡(luò)側(cè)通過用戶名/密碼對(duì)終端進(jìn)行認(rèn)證。其認(rèn)證基本流程為：

1）終端與AC之間通過EAPoL協(xié)議通信；

2）AC和RADUIS服務(wù)器通過RADIUS協(xié)議轉(zhuǎn)發(fā)EAP消息；

3）終端與RADUIS服務(wù)器之間建立TLS隧道；

4）終端和RADUIS服務(wù)器之間通過TLS隧道進(jìn)行EAP認(rèn)證協(xié)商，完成身份認(rèn)證。

用戶首次使用時(shí)需進(jìn)行PEAP認(rèn)證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實(shí)現(xiàn)免登陸上網(wǎng)。此方案無需Portal界面，無需用戶進(jìn)行任何認(rèn)證手工輸入操作，認(rèn)證過程完全由后臺(tái)自行進(jìn)行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，即可上網(wǎng)，徹底省去了繁瑣的認(rèn)證過程，極大地提高了用戶體驗(yàn)。此方案具有如下優(yōu)點(diǎn)：

1）用戶完全零操作：認(rèn)證過程完全由后臺(tái)自行處理，用戶體驗(yàn)度高；

2）安全性高：訪問點(diǎn)只會(huì)在終端和RADIUS服務(wù)器之間轉(zhuǎn)發(fā)消息，由于不是TLS終結(jié)點(diǎn)，訪問點(diǎn)無法對(duì)認(rèn)證協(xié)商相關(guān)消息進(jìn)行解密；

3）避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認(rèn)證問題。

PEAP認(rèn)證目前適用于各種類型的手機(jī)智能終端，但同時(shí)也具有如下弊端：

1）基于證書認(rèn)證網(wǎng)絡(luò)，AAA服務(wù)器需要預(yù)置根證書，終端證書如果與服務(wù)器證書不匹配，終端需要進(jìn)行安裝或者有錯(cuò)誤提示；

2）由于PEAP認(rèn)證的用戶名/密碼保存在手機(jī)中，如果手機(jī)和用戶卡發(fā)生分離（用戶換手機(jī)或換卡），手機(jī)仍能進(jìn)行PEAP認(rèn)證，但費(fèi)用會(huì)記錄在原有卡用戶賬戶上。

3 結(jié)束語

通過深入分析當(dāng)前無線上網(wǎng)認(rèn)證方式，以簡(jiǎn)化用戶認(rèn)證流程、提升用戶感知為目的，給出了3種的無感知認(rèn)證方式。這3種方案各有所長(zhǎng)，在實(shí)際應(yīng)用中，可以根據(jù)終端類型、網(wǎng)絡(luò)建設(shè)情況細(xì)分客戶群，采用合適的認(rèn)證方式。通過無感知認(rèn)證方式，改善和提高用戶的使用體驗(yàn)，向用戶提供更好的WLAN業(yè)務(wù)，使用戶能夠更加方便、快捷、自由的使用WLAN業(yè)務(wù)?！?/p>