無線局域網無感知認證方式研究

中國電信江蘇公司操作維護中心 鄭東棟

無線局域網無感知認證方式研究

中國電信江蘇公司操作維護中心 鄭東棟

摘要：傳統的WLAN（無線局域網）認證模式其繁瑣的認證流程不但降低了網絡的效率，更重要的是影響了用戶的體驗效果。從WLAN用戶認證便利性出發，給出了基于MAC（媒體接入控制）的無感知認證解決方案，EAP-SIM/AKA（擴展認證協議-用戶識別模塊/鑒權與密鑰協商）無感知認證解決方案和PEAP（受保護的擴展認證協議）無感知認證解決方案等3種解決方案，并分析了各自的優缺點。

關鍵詞：無線局域網；無感知認證；受保護的擴展認證協議

1 WLAN認證存在的問題及改善

目前用戶可以通過Web Portal、客戶端等方式完成WLAN（無線局域網）認證，但是這些方式對用戶來說并不便捷，其繁瑣的認證流程不但降低了網絡的效率，更重要的是影響了用戶的體驗效果，制約了WLAN用戶的發展。如何才能快速便捷地使用WLAN，成為改善用戶體驗的關鍵，也是改變WLAN網絡“熱裝冷用”現象的重要一環。目前可以通過提供WLAN無感知認證的方式，達到不需要用戶干預、在用戶無感知情況下認證通過、使用WLAN的目的，并且通過WLAN無感知認證方式的推廣，扭轉當前優選WLAN主要依靠用戶主動選擇的局面，實現用戶在使用WLAN業務時能夠達到與3G網絡一樣的自動接人體驗，使WLAN作為數據熱點地區3G網絡的有效補充。

如何實現，目前有以下3種主要的無感知認證實現方案。

2 無感知認證解決方案

2.1 基于MAC的無感知認證解決方案

用戶首次連接WLAN時，需要一次認證，同時在后臺服務器上，將用戶無線網卡物理地址〔MAC（媒體接入控制）地址〕與用戶的登陸信息綁定。當該用戶下次連接網絡時，無需重復繁瑣的認證即可直接上網。其認證基本流程為：

1）用戶終端通過DHCP（動態主機配置協議）方式獲取IP地址，發起正常用戶認證請求；

2）AC（鑒權中心）向用戶終端推送認證頁面，進行正常認證流程；

3）認證成功后，AC向認證服務器再次發起用戶簡化認證請求；

4）AC與認證系統進行用戶信息交互；

5）由AC進行用戶信息的記錄并在下次用戶上網時自動幫助用戶登記；

6）服務器通知短信網關向用戶手機下發短信，通知用戶簡化認證功能啟用。

此方案以流量為觸發條件。用戶無線網卡物理地址由專門的綁定服務器進行查詢和綁定，減輕了認證服務器或后臺服務器的壓力。同時流量觸發的方式避免了關聯（綁定）造成的服務器壓力問題。此方案具有以下優點。

1）良好的兼容性：無需安裝任何形式的客戶端，無需證書校驗，終端與后臺服務器的綁定關系一旦建立，IE瀏覽、手機QQ、視頻軟件等各種形式的無線應用都能實現完美兼容；

2）用戶完全零配置：綁定服務器上的用戶無線網卡物理地址和用戶名綁定完全自動生成，用戶體驗度高，用戶界面無需改動；

3）安全性高：綁定結果通過短信告知用戶；

4）可擴展性好：綁定服務器除用于無線網卡物理地址認證外，其功能還可根據用戶需求進行擴展，而無需對認證服務器系統進行改動；

5）增加了流量閾值判斷過程，防止智能終端上由于定期觸發〔如ARP（地址解析協議）、DHCP、DNS（域名系統）等〕報文而頻繁觸發認證請求，避免了無線環境比較差的情況下用戶頻繁掉線引起的頻繁認證問題；

6）系統支持短信下線，豐富了用戶選擇性，用戶通過手機發送短信后，短信網關即通知綁定服務器將用戶強制下線。

2.2 EAP-SIM/AKA無感知認證解決方案

AP-SIM（接入點-用戶識別模塊）/AKA（鑒權與密鑰協商）認證是EAP（擴展認證協議）認證方法的一種實現方式，其通過用戶(U)SIM卡信息進行認證。當用戶使用SIM卡時，執行EAPSIM認證流程；當用戶使用USIM卡時，執行EAP-AKA認證流程。整個認證流程不需要用戶介入任何手工操作，完全由用戶終端自動完成。其認證基本流程為：

1）終端與AC之間通過EAPoL（局域網擴展認證協議）通信；

2）AC和AAA（認證、授權和計費）服務器通過RADIUS（遠程認證撥號用戶業務）協議轉發EAP消息；

3）AAA服務器使用MAP（移動應用部分）協議從HLR/HSS（歸屬位置寄存器/歸屬用戶服務器）獲取用戶(U)SIM卡鑒權向量，并完成認證。

用戶首次使用時需進行PEAP（受保護的擴展認證協議）認證相關配置，并輸入用戶名、密碼，后續即可實現免登陸上網。此方案同MAC認證一樣，也無需Portal界面或用戶任何手工輸入操作的干預，認證過程也完全交由后臺自行進行和處理。合法用戶只要連接無線網絡，無需經過繁瑣的認證流程，即可上網，用戶體驗大大提高。此方案具有如下優點：

1）用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

2）安全性高：用戶SIM卡信息固定且唯一；

3）避免了無線環境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

由于此方案依托于(U)SIM卡信息，因此一般適用于手機一類的移動智能終端，具體支持程度需要根據手機終端類型和網絡建設情況而定。

2.3 PEAP無感知認證解決方案

PEAP認證是EAP認證方法的另一種實現方式，終端與網絡關聯后，終端側通過服務器證書對網絡側進行認證，建立TLS（傳輸層安全）隧道，將用戶名/密碼發送給網絡側，網絡側通過用戶名/密碼對終端進行認證。其認證基本流程為：

1）終端與AC之間通過EAPoL協議通信；

2）AC和RADUIS服務器通過RADIUS協議轉發EAP消息；

3）終端與RADUIS服務器之間建立TLS隧道；

4）終端和RADUIS服務器之間通過TLS隧道進行EAP認證協商，完成身份認證。

用戶首次使用時需進行PEAP認證相關配置，并輸入用戶名、密碼，后續即可實現免登陸上網。此方案無需Portal界面，無需用戶進行任何認證手工輸入操作，認證過程完全由后臺自行進行和處理。合法用戶只要連接無線網絡，即可上網，徹底省去了繁瑣的認證過程，極大地提高了用戶體驗。此方案具有如下優點：

1）用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

2）安全性高：訪問點只會在終端和RADIUS服務器之間轉發消息，由于不是TLS終結點，訪問點無法對認證協商相關消息進行解密；

3）避免了無線環境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

PEAP認證目前適用于各種類型的手機智能終端，但同時也具有如下弊端：

1）基于證書認證網絡，AAA服務器需要預置根證書，終端證書如果與服務器證書不匹配，終端需要進行安裝或者有錯誤提示；

2）由于PEAP認證的用戶名/密碼保存在手機中，如果手機和用戶卡發生分離（用戶換手機或換卡），手機仍能進行PEAP認證，但費用會記錄在原有卡用戶賬戶上。

3 結束語

通過深入分析當前無線上網認證方式，以簡化用戶認證流程、提升用戶感知為目的，給出了3種的無感知認證方式。這3種方案各有所長，在實際應用中，可以根據終端類型、網絡建設情況細分客戶群，采用合適的認證方式。通過無感知認證方式，改善和提高用戶的使用體驗，向用戶提供更好的WLAN業務，使用戶能夠更加方便、快捷、自由的使用WLAN業務。◆