中國電信江蘇公司操作維護中心 鄭東棟

無線局域網(wǎng)無感知認證方式研究

中國電信江蘇公司操作維護中心 鄭東棟

摘要：傳統(tǒng)的WLAN（無線局域網(wǎng)）認證模式其繁瑣的認證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶的體驗效果。從WLAN用戶認證便利性出發(fā)，給出了基于MAC（媒體接入控制）的無感知認證解決方案，EAP-SIM/AKA（擴展認證協(xié)議-用戶識別模塊/鑒權(quán)與密鑰協(xié)商）無感知認證解決方案和PEAP（受保護的擴展認證協(xié)議）無感知認證解決方案等3種解決方案，并分析了各自的優(yōu)缺點。

關(guān)鍵詞：無線局域網(wǎng)；無感知認證；受保護的擴展認證協(xié)議

1 WLAN認證存在的問題及改善

目前用戶可以通過Web Portal、客戶端等方式完成WLAN（無線局域網(wǎng)）認證，但是這些方式對用戶來說并不便捷，其繁瑣的認證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶的體驗效果，制約了WLAN用戶的發(fā)展。如何才能快速便捷地使用WLAN，成為改善用戶體驗的關(guān)鍵，也是改變WLAN網(wǎng)絡(luò)“熱裝冷用”現(xiàn)象的重要一環(huán)。目前可以通過提供WLAN無感知認證的方式，達到不需要用戶干預(yù)、在用戶無感知情況下認證通過、使用WLAN的目的，并且通過WLAN無感知認證方式的推廣，扭轉(zhuǎn)當前優(yōu)選WLAN主要依靠用戶主動選擇的局面，實現(xiàn)用戶在使用WLAN業(yè)務(wù)時能夠達到與3G網(wǎng)絡(luò)一樣的自動接人體驗，使WLAN作為數(shù)據(jù)熱點地區(qū)3G網(wǎng)絡(luò)的有效補充。

如何實現(xiàn)，目前有以下3種主要的無感知認證實現(xiàn)方案。

2 無感知認證解決方案

2.1 基于MAC的無感知認證解決方案

用戶首次連接WLAN時，需要一次認證，同時在后臺服務(wù)器上，將用戶無線網(wǎng)卡物理地址〔MAC（媒體接入控制）地址〕與用戶的登陸信息綁定。當該用戶下次連接網(wǎng)絡(luò)時，無需重復(fù)繁瑣的認證即可直接上網(wǎng)。其認證基本流程為：

1）用戶終端通過DHCP（動態(tài)主機配置協(xié)議）方式獲取IP地址，發(fā)起正常用戶認證請求；

2）AC（鑒權(quán)中心）向用戶終端推送認證頁面，進行正常認證流程；

3）認證成功后，AC向認證服務(wù)器再次發(fā)起用戶簡化認證請求；

4）AC與認證系統(tǒng)進行用戶信息交互；

5）由AC進行用戶信息的記錄并在下次用戶上網(wǎng)時自動幫助用戶登記；

6）服務(wù)器通知短信網(wǎng)關(guān)向用戶手機下發(fā)短信，通知用戶簡化認證功能啟用。

此方案以流量為觸發(fā)條件。用戶無線網(wǎng)卡物理地址由專門的綁定服務(wù)器進行查詢和綁定，減輕了認證服務(wù)器或后臺服務(wù)器的壓力。同時流量觸發(fā)的方式避免了關(guān)聯(lián)（綁定）造成的服務(wù)器壓力問題。此方案具有以下優(yōu)點。

1）良好的兼容性：無需安裝任何形式的客戶端，無需證書校驗，終端與后臺服務(wù)器的綁定關(guān)系一旦建立，IE瀏覽、手機QQ、視頻軟件等各種形式的無線應(yīng)用都能實現(xiàn)完美兼容；

2）用戶完全零配置：綁定服務(wù)器上的用戶無線網(wǎng)卡物理地址和用戶名綁定完全自動生成，用戶體驗度高，用戶界面無需改動；

3）安全性高：綁定結(jié)果通過短信告知用戶；

4）可擴展性好：綁定服務(wù)器除用于無線網(wǎng)卡物理地址認證外，其功能還可根據(jù)用戶需求進行擴展，而無需對認證服務(wù)器系統(tǒng)進行改動；

5）增加了流量閾值判斷過程，防止智能終端上由于定期觸發(fā)〔如ARP（地址解析協(xié)議）、DHCP、DNS（域名系統(tǒng)）等〕報文而頻繁觸發(fā)認證請求，避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認證問題；

6）系統(tǒng)支持短信下線，豐富了用戶選擇性，用戶通過手機發(fā)送短信后，短信網(wǎng)關(guān)即通知綁定服務(wù)器將用戶強制下線。

2.2 EAP-SIM/AKA無感知認證解決方案

AP-SIM（接入點-用戶識別模塊）/AKA（鑒權(quán)與密鑰協(xié)商）認證是EAP（擴展認證協(xié)議）認證方法的一種實現(xiàn)方式，其通過用戶(U)SIM卡信息進行認證。當用戶使用SIM卡時，執(zhí)行EAPSIM認證流程；當用戶使用USIM卡時，執(zhí)行EAP-AKA認證流程。整個認證流程不需要用戶介入任何手工操作，完全由用戶終端自動完成。其認證基本流程為：

1）終端與AC之間通過EAPoL（局域網(wǎng)擴展認證協(xié)議）通信；

2）AC和AAA（認證、授權(quán)和計費）服務(wù)器通過RADIUS（遠程認證撥號用戶業(yè)務(wù)）協(xié)議轉(zhuǎn)發(fā)EAP消息；

3）AAA服務(wù)器使用MAP（移動應(yīng)用部分）協(xié)議從HLR/HSS（歸屬位置寄存器/歸屬用戶服務(wù)器）獲取用戶(U)SIM卡鑒權(quán)向量，并完成認證。

用戶首次使用時需進行PEAP（受保護的擴展認證協(xié)議）認證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實現(xiàn)免登陸上網(wǎng)。此方案同MAC認證一樣，也無需Portal界面或用戶任何手工輸入操作的干預(yù)，認證過程也完全交由后臺自行進行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，無需經(jīng)過繁瑣的認證流程，即可上網(wǎng)，用戶體驗大大提高。此方案具有如下優(yōu)點：

1）用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

2）安全性高：用戶SIM卡信息固定且唯一；

3）避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

由于此方案依托于(U)SIM卡信息，因此一般適用于手機一類的移動智能終端，具體支持程度需要根據(jù)手機終端類型和網(wǎng)絡(luò)建設(shè)情況而定。

2.3 PEAP無感知認證解決方案

PEAP認證是EAP認證方法的另一種實現(xiàn)方式，終端與網(wǎng)絡(luò)關(guān)聯(lián)后，終端側(cè)通過服務(wù)器證書對網(wǎng)絡(luò)側(cè)進行認證，建立TLS（傳輸層安全）隧道，將用戶名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)，網(wǎng)絡(luò)側(cè)通過用戶名/密碼對終端進行認證。其認證基本流程為：

1）終端與AC之間通過EAPoL協(xié)議通信；

2）AC和RADUIS服務(wù)器通過RADIUS協(xié)議轉(zhuǎn)發(fā)EAP消息；

3）終端與RADUIS服務(wù)器之間建立TLS隧道；

4）終端和RADUIS服務(wù)器之間通過TLS隧道進行EAP認證協(xié)商，完成身份認證。

用戶首次使用時需進行PEAP認證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實現(xiàn)免登陸上網(wǎng)。此方案無需Portal界面，無需用戶進行任何認證手工輸入操作，認證過程完全由后臺自行進行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，即可上網(wǎng)，徹底省去了繁瑣的認證過程，極大地提高了用戶體驗。此方案具有如下優(yōu)點：

1）用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

2）安全性高：訪問點只會在終端和RADIUS服務(wù)器之間轉(zhuǎn)發(fā)消息，由于不是TLS終結(jié)點，訪問點無法對認證協(xié)商相關(guān)消息進行解密；

3）避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

PEAP認證目前適用于各種類型的手機智能終端，但同時也具有如下弊端：

1）基于證書認證網(wǎng)絡(luò)，AAA服務(wù)器需要預(yù)置根證書，終端證書如果與服務(wù)器證書不匹配，終端需要進行安裝或者有錯誤提示；

2）由于PEAP認證的用戶名/密碼保存在手機中，如果手機和用戶卡發(fā)生分離（用戶換手機或換卡），手機仍能進行PEAP認證，但費用會記錄在原有卡用戶賬戶上。

3 結(jié)束語

通過深入分析當前無線上網(wǎng)認證方式，以簡化用戶認證流程、提升用戶感知為目的，給出了3種的無感知認證方式。這3種方案各有所長，在實際應(yīng)用中，可以根據(jù)終端類型、網(wǎng)絡(luò)建設(shè)情況細分客戶群，采用合適的認證方式。通過無感知認證方式，改善和提高用戶的使用體驗，向用戶提供更好的WLAN業(yè)務(wù)，使用戶能夠更加方便、快捷、自由的使用WLAN業(yè)務(wù)?！?/p>