無感知WLAN業務認證方式的分析

劉長瑞，聶明

（中國移動通信集團設計院有限公司，北京 100080）

WLAN業務是移動運營商提供的一種無線寬帶接入服務，在有其WLAN信號覆蓋的區域，用戶可通過具備WLAN功能的筆記本電腦、手機等終端訪問互聯網業務，從而進行信息獲取、娛樂或者移動辦公。

隨著WLAN業務的不斷發展，用戶越來越關注安全性和服務質量，所以發展WLAN業務要以“安全、方便、可行”為原則，進一步改善用戶的使用感知，提高客戶的滿意度。

1 目前WLAN認證存在問題及改善方式

目前用戶可以通過Web Portal方式、基于瀏覽器的登錄Cookie認證方式和客戶端方式等多種方式完成認證，使用WLAN業務。用戶使用幾種認證方式的體驗和存在問題如表1所示。

為了改善用戶使用WLAN業務的體驗，目前可以通過提供WLAN無感知認證的方式，達到不需要用戶干預、在用戶無感知情況下認證通過、使用WLAN網絡的目的，并且通過WLAN無感知認證方式的推廣，扭轉當前優選WLAN網絡主要依靠用戶主動選擇的局面，實現用戶在使用WLAN業務時能夠達到與GPRS網絡一樣的自動接入體驗，使WLAN網絡作為數據熱點地區2G網絡的有效補充，提供高速數據業務，分擔數據業務流量，從而使WLAN網絡更好的起到數據流量分流的作用。

2 無感知認證方式的分析

WLAN認證一般采用EAP認證協議，在此框架內大約有40種不同的方法，接受比較廣泛的有7～8種；根據調查，終端支持情況較好的有SIM、PEAP認證方式，可以為用戶提供無感知認證，達到用戶終端在Wi-Fi開關打開情況下，用戶進入移動運營商WLAN信號的覆蓋區域，終端自動（或用戶手動選擇）與運營商的SSID連接，無需用戶參與即可自動完成認證，為用戶提供無感知認證服務。

表1 用戶使用體驗及問題

2.1 SIM認證方式分析

SIM認證是基于802.1x認證架構和3GPP的EAP-AKA/EAP-SIM鑒權方法實現的，主要涉及到WLAN用戶終端、WLAN接入網設備AP/AC、WLAN認證系統中的3GPP AAA Server以及HLR系統等網元。各網元相互協作，基于用戶的(U）SIM卡信息認證接入用戶的合法性：終端將SIM卡的IMSI信息上報網絡，網絡根據HLR簽約信息與終端交互自動認證，用戶首次使用時需要在終端上進行SIM認證的相關配置，后續使用即可實現免登陸上網，為用戶提供與蜂窩網相同的接入體驗。SIM認證系統結構如圖1所示。

(1）WLAN用戶終端：為SIM認證體系中的接入請求系統。用戶進行SIM認證時，WLAN用戶終端發起鑒權請求，對應802.1x架構中的客戶端系統；

(2）WLAN接入網設備：包括AP和AC兩個網元。AP網元需支持802.11i的加密功能，AC網元需支持802.1x認證功能。WLAN接入網設備在SIM認證中負責對WLAN用戶終端的接入鑒權，對應802.1x架構中的認證者系統；

(3）3GPP AAA Server：為SIM 認 證體系中用戶認證的執行點，負責對WLAN用戶終端認證和授權功能，認證和授權信息取自HLR。3GPP AAA Server包括了業務功能域、協議與接口域、管理域，各域包括相應的功能模塊，與HLR一起對應802.1x架構中的認證服務器系統；

(4）HLR系統：在SIM認證體系中負責用戶鑒權和簽約信息的存儲，與3GPP AAA Server交互，完成鑒權和簽約信息的交互。

SIM認證的主要接入流程包括建立關聯、認證授權、DHCP地址分配、計費等幾個階段，其認證接入流程如圖3所示。

圖1 SIM認證系統結構

圖2 3GPP AAA Server系統架構

圖3 SIM認證接入流程

主要接入流程階段說明：

(1）建立關聯：終端和AP/AC建立關聯之后，終端向AP/AC發起鑒權請求；

(2）認證授權：EAP-SIM/AKA認證階段，支持SIM卡的終端按照EAP-SIM流程完成認證；支持USIM卡和EAP-AKA的終端按照EAP-AKA流程完成認證；

(3）地址分配：認證成功后，終端進行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網絡上網；

(4）計費：包括計費開始、計費更新、計費結束。AC作為計費信息采集前端，采集WLAN用戶的計費原始數據信息，傳送給3GPP AAA Server。3GPP AAA Server是 計費話單采集點，在收到用戶的計費原始數據信息后，生成用戶WLAN業務計費話單。

2.2 PEAP認證方式分析

PEAP認證體系架構基于802.1x認證體系架構實現的，主要涉及到WLAN用戶終端、WLAN接入網設備AP/AC、WLAN認證系統中的3GPP AAA Server等網元。各網元相互協作，基于用戶的認證信息驗證接入用戶的合法性：終端與網絡關聯后，基于證書認證網絡側身份，建立TLS隧道，將儲存在終端中的用戶名/密碼發送給網絡側進行用戶身份認證。用戶首次使用時需要在終端上進行PEAP認證的相關配置，并輸入用戶名、密碼，后續使用即可實現免登陸上網, 為用戶提供與蜂窩網相同的接入體驗。PEAP認證系統結構如圖4所示。

(1）WLAN用戶終端：為PEAP認證體系中的接入請求系統。用戶進行PEAP認證時，WLAN用戶終端發起鑒權請求，對應802.1x架構中的客戶端系統；

(2）WLAN接入網設備：包括AP和AC兩個網元。AP網元需支持802.11i的加密功能，AC網元需支持802.1x認證功能。WLAN接入網設備在PEAP認證中負責對WLAN用戶終端的接入鑒權，對應802.1x架構中的認證者系統；

(3）3GPP AAA Server：為PEAP認證體系中用戶認證的執行點，負責對WLAN用戶終端認證和授權功能，對應802.1x架構中的認證服務器系統。

PEAP認證的主要接入流程包括建立關聯、認證授權(包括TLS隧道建立、MS-CHAP-v2認證）、DHCP地址分配和計費等幾個階段，其認證接入流程如圖5所示。

圖4 PEAP認證系統結構

主要接入流程階段說明：

(1）建立關聯：終端和AP/AC建立關聯之后，終端向AP/AC發起鑒權請求；

(2）認證授權：EAP-PEAP認證階段，包括TLS隧道建立、MS-CHAP-v2認證。對任何使用PEAP認證方式接入的終端，只要在終端使用數限制范圍內，網絡側不會拒絕終端接入認證。并且如果網絡側判定之前已有同一用戶身份信息的終端在線，則網絡側在終端重新接入認證的同時保持原有計費，認證成功后視為同一次計費；

(3）地址分配：認證成功后，終端進行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網絡上網；

(4）計費：包括計費開始、計費更新、計費結束。AC作為計費信息采集前端，采集WLAN用戶的計費原始數據信息，傳送給3GPP AAA Server。3GPP AAA Server是計費話單采集點，在收到用戶的計費原始數據信息后，生成用戶WLAN業務計費話單。

2.3 用戶使用體驗

當用戶使用支持SIM認證、PEAP認證功能的Wi-Fi手持終端開通無感知認證功能后，在其移動運營商WLAN網絡信號覆蓋的區域下，即可享受自動登錄體驗。

用戶在首次使用時，如果所持終端支持SIM認證，需要在終端上的SSID選項配置中配置好算法，進行保存；如果所持終端支持PEAP認證，需要在終端上的SSID選項配置中輸入PEAP認證所需的用戶名和密碼，進行保存。配置成功后，終端會自動保存用戶名和密碼，下次上線無需用戶配置，終端自動進行認證，終端獲得IP地址后用戶即可上網。當用戶離開移動運營商WLAN網絡信號覆蓋區域后，再次回到信號覆蓋區域，若用戶終端IP地址在續約期內，仍能使用WLAN業務；若用戶終端IP地址已過續約期，終端將自動發起無感知認證。

用戶開通無感知認證功能后，可以通過主動下線和網絡發起下線兩種方式觸發下線。主動下線即用戶主動向網絡側發起下線發起請求退出網絡；網絡發起下線即網絡發起下線流程適用于網絡管理的場景，如用戶在線達8h后網絡側會主動發起下線流程，網絡側發現用戶欠費時也可以觸發網絡發起下線流程。

對于SIM認證和PEAP認證，兩種認證方式均能實現無需用戶干預的無感知認證，減少認證過程中用戶主動參與的次數，改善和提高了用戶業務使用體驗，在技術上可以實現同時引入，由網絡側根據終端主動上報的終端類型優先選擇認證方式，實現認證技術對用戶透明，即無論用戶使用何種方式，用戶體驗基本一致。

圖5 PEAP認證接入流程

3 業務推廣分析

在引入無感知認證方式后,為了能夠吸引更多的用戶通過無感知認證功能使用WLAN網絡，發揮WLAN網絡的作用，在業務推廣方面可以考慮以下幾點因素：

(1）面向所有具有WLAN功能的手持終端（手機或PAD等非PC操作系統的平板電腦）的用戶提供無感知認證功能；

(2）目前用戶在使用WLAN業務時，無法同時使用Wi-Fi手機和電腦使用WLAN業務，后一個使用的終端會造成前一個終端的強制下線。如果用戶的不同終端（如手機和IPAD）均開通了無感知認證功能并打開了Wi-Fi開關，則進入熱點后，只有隨機的一臺終端能夠實現連接，影響用戶體驗。因此，WLAN業務在引入無感知認證功能后，考慮用戶同時擁有手機、電腦和PAD的情形，對于開通無感知認證的用戶，系統應能夠支持同一用戶多終端同時使用WLAN；

(3）在現有WLAN業務標準資費、按月包時長套餐、包單位時間套餐的計費模式下，無感知認證可能會造成用戶在不知情情況下長時間在線，損害用戶利益。為避免按現有時長計費而引發的問題，可以引入專屬套餐（流量封頂）配合無感知認證功能。用戶開通無感知認證功能后，可以不限制時長的使用WLAN上網，當流量達到封頂限制后，系統會提示用戶不能登錄網絡，如需繼續使用，用戶可以選擇訂購專屬套餐疊加包。

4 結束語

WLAN業務的通信范圍不受環境條件的限制，具有傳統局域網無法比擬的靈活性，可以滿足人們移動辦公的夢想，創造一個豐富多彩自由交流的平臺。

目前發展WLAN業務可以通過優化WLAN認證方式提供無感知認證功能，改善和提高用戶的使用體驗，向用戶提供更好的WLAN業務，使用戶能夠更加方便、快捷、自由的使用WLAN業務。

未來發展WLAN業務應以WLAN網絡分流2G網絡數據流量、緩解無線網絡壓力為發展目標，引導更多的手機流量遷移到WLAN網絡，提高移動運營商在WLAN領域的市場競爭力，樹立良好的企業形象。

[1] 中國移動通信企業標準. 中國移動無線局域網（WLAN）業務規范[S].

[2] 中國移動通信企業標準. 中國移動無線局域網（WLAN）用戶接入流程技術規范[S].