1.前言
近年來,由于WLAN(wireless local area network,無線局域網(wǎng))的低成本和便攜性,被廣泛應用在互聯(lián)網(wǎng)接入領域中。越來越多的移動設備(筆記本、智能手機和PDA等)開始支持IEEE 802.11標準。隨著智能手機、平板電腦的廣泛應用,用戶對WLAN的認知度和依賴程度越來越大,更加關注網(wǎng)絡安全和服務質(zhì)量問題,然而傳統(tǒng)的Webportal、cookie認證和客戶端登錄流程復雜、便利性差等原因嚴重影響了用戶的體驗。因此,如何提供快速、優(yōu)質(zhì)的網(wǎng)絡服務和業(yè)務體驗,提升用戶感知,提高用戶滿意度已成為電信運營商利益關注的焦點。
2.IEEE 802.1x認證技術
為了解決IEEE 802.11的安全問題,IEEE 802工作組制定了IEEE 802.1x標準。IEEE 802.1x是一種基于端口的網(wǎng)絡接人控制協(xié)議,為用戶提供了標準的認證和鑒權框架。實現(xiàn)網(wǎng)絡接入設備對所接人的用戶設備進行端口的認證和控制,如果用戶設備能夠通過認證服務器的認證和授權,便可以訪問局域網(wǎng)中的資源;如果不能通過認證,則無法訪問局域網(wǎng)中的資源。
2.1 IEEE 802.1x的體系結構
IEEE 802.1x的體系結構采用典型的客戶端用及務器方式,包括3個實體:客戶端、設備端和認證服務器,如圖1所示。
圖1 IEEE 802.1x認證系統(tǒng)的體系結構
客戶端:接人認證請求端,位于局域網(wǎng)一側(cè)的實體。客戶端用戶通過發(fā)送EAPOL (extensible-authentication-protocol over LAN,局域網(wǎng)可擴展認證協(xié)議)發(fā)起IEEE 802.1x認證。
設備端:對客戶端進行認證,通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡設備(胖AP或集中控制型AC),為客戶端提供接人局域網(wǎng)的端口,分為受控端口和非受控端口,既可以是物理端口,也可以是邏輯端口。
認證服務器:為設備端提供認證服務,通常為RADIUS(remote authentication dial-in user service,遠程認證撥號用戶服務)服務器,主要實現(xiàn)對用戶的認證、授權和計費等功能。
2.2 IEEE 802.1x認證的工作機制
在IEEE 802.1x認證系統(tǒng)中,設備端主要對認證信息起傳遞作用,并把認證服務器認證的結果作用到端口,其本身并不參與具體的認證過程,因此需要通過上層的協(xié)議協(xié)助完成認證,EAP(extensible authentication protocol,可擴展的認證協(xié)議)用于實現(xiàn)客戶端、設備端和認證服務器之間認證信息的交換。
在客戶端與設備端之間,EAP報文采用EAPOL消息封裝格式,應用于局域網(wǎng)環(huán)境中。
在設備端與認證服務器之間,EAP報文傳遞和交換方式有兩種:一種由設備端進行中繼,使用EAPOR(EAP over RADIUS,可擴展的遠程撥號認證協(xié)議)消息封裝格式,承載于RADIUS協(xié)議中;另一種由設備端進行終結,利用PAP或CHAP的報文與認證服務器進行認證交互。
當客戶端認證通過后,認證服務器將認證的用戶信息傳遞給設備端,設備端再根據(jù)認證服務器反饋的信息(接受或拒絕)決定受控端口為授權或非授權狀態(tài)。
3.WLAN無感知認證關鍵技術
WLAN無感知認證技術是一種由終端自動識別的接人認證方式,當用戶使用具有Wi-Fi功能的手機或平板電腦時,通過首次簡單的配置后,以后無需用戶參與即可自動完成接人認證服務no WLAN無感知認證主要基于IEEE 802.1 x/EAP的集中式處理方式,采用EAP作為認證體系的消息傳遞機制。IEEE 802.1x是一種基于端口的網(wǎng)絡接人控制協(xié)議,為用戶提供了標準的認證和鑒權框架,實現(xiàn)網(wǎng)絡接人設備對所接人的用戶設備進行端口的認證和控制。EAP基于服務器/客戶端的體系結構,提供了一些常見的功能和認證所需的身份驗證機制,在此框架內(nèi)大約有幾十種不同的認證方法,常用的方法包括LEAP,PSK,TLS,F(xiàn)AST,PEAP(protected extensible authentication protocol,受保護的可擴展的身份驗證協(xié)議)、SIM/AKA等,如圖2所示。
圖2 常見的EAP認證方法
根據(jù)調(diào)查,無感知認證主流的身份認證技術主要有PEAP,EAP-SIM/AKA及MAC地址認證方式。絕大多數(shù)智終端及筆記本電腦都可以通過以上方式進行用戶身份認證和自動接入,避免傳統(tǒng)Web+portal認證方式帶來的繁瑣操作,極大地提升了用戶的業(yè)務使用體驗。以下分別對這三種主流認證方式的技術原理進行簡單分析。
3.1 PEAP認證技術原理
PEAP是EAP認證方法的一種實現(xiàn)方式,網(wǎng)絡則通過用戶名/密碼對終端進行認證,終端則通過服務器證書對網(wǎng)絡進行認證。用戶首次使用PEAP認證時,需輸入用戶名和密碼,后續(xù)接人認證無需用戶進行任何手工操作,由終端自動完成。PEAP的認證安全性較高,具體體現(xiàn)在以下幾個方面。
PEAP客戶端和PEAP認證服務器之間使用TLS(transport layer security,安全傳輸層)協(xié)議創(chuàng)建加密通道。
在建立TLS隧道時,終端需要對認證服務器進行證書驗證,防止網(wǎng)絡側(cè)的仿冒行為。
支持雙向認證,用戶認證采用MS-CHAP-V2(microsoft-challenge-handshake-authentication-protocol-version 2,微軟質(zhì)詢握手鑒別協(xié)議)認證方式,不僅支持服務器對用戶的認證,而且支持用戶對服務器的認證。
PEAP認證技術原理為:基于EAP認證協(xié)議框架,使用證書+用戶名密碼實現(xiàn)用戶WLAN接人鑒權。終端與網(wǎng)絡關聯(lián)后,首先基于證書認證網(wǎng)絡側(cè)身份,建立TLS隧道,將存儲在終端中的用戶名/密碼發(fā)送給網(wǎng)絡側(cè)進行用戶身份認證,認證通過后AC分配IP地址進行互聯(lián)網(wǎng)訪問。PEAP認證系統(tǒng)主要網(wǎng)元包括WLAN終端、WLAN設備、AAA服務器,如圖3所示。
圖3 PEAP認證系統(tǒng)網(wǎng)絡結構
PEAP認證系統(tǒng)主要網(wǎng)元介紹如下。
WLAN終端:為認證接人請求點,具備Wi-Fi功能的終端設備,當用戶中終端接入無線網(wǎng)絡時,向PEAP認證系統(tǒng)發(fā)起身份鑒權請求,功能相當于IEEE802.1x架構中的客戶端;
WLAN設備:主要由AP和AC兩大實體組成,其在PEAP認證中負責終端的接入鑒權,AP網(wǎng)元應支持IEEE802.1li的加密功能,AC網(wǎng)元應支持IEEE802.1x認證功能。
3GPP AAA服務器:為PEAP用戶認證的執(zhí)行點,其在PEAP認證體系里主要由CA證書服務器和PEAP認證服務器兩部分組成,實現(xiàn)CA證書授權和PEAP認證功能。
PEAP認證總體流程主要有認證初始化、隧道建立、認證過程、地址分配以及計費開始5個階段,如圖4所示。
PEAP認證流程簡要說明如下。
圖4 PEAP認證總體接入流程
(1)認證初始化:首先終端和WLAN AN建立關聯(lián),然后終端向3GPP AAA服務器發(fā)起鑒權請求。
(2)建立TLS隧道:基于證書認證網(wǎng)絡側(cè)身份,建立TLS隧道。客戶端采用證書認證服務器,完成TLS握手,建立PEAP客戶端和認證服務器之間的安全通道。
(3)認證過程:客戶端和認證服務器之間基于用戶名/密碼進行EAP身份驗證。整個EAP通信包括EAP協(xié)商在內(nèi),都通過TLS通道進行。服務器對用戶和客戶端進行身份驗證,具體方法由EAP類型決定,在PEAP內(nèi)部選擇使用(如EAP-MS-CHAPv2 )。
(4)IP地址分配:PEAP認證完成后,WLAN終端開啟DHCP交互流程,并獲取合法的IP地址,用戶可以通過無線網(wǎng)絡訪問互聯(lián)網(wǎng)資源。
(5)計費:包括計費開始、計費更新和計費結束二大流程,實現(xiàn)用戶上網(wǎng)流量統(tǒng)計、在線時長和計費等功能。WLAN AN作為計費的前端,主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務器,由RADIUS服務器生成用戶WLAN業(yè)務計費清單。
3.2 EAP-SIM認證技術原理
EAP-SIM認證也是EAP認證方法的一種實現(xiàn)方式,使用標準的EAP-SIM/AKA作為Wi-Fi終端接人認證機制,用戶連接無線網(wǎng)絡時不需要手動輸入認證信息,通過SIM卡自動完成認證,提供良好的用戶體驗。另外,EAP-SIM認證提供很高的安全性。主要體現(xiàn)在如下幾個方面:
通過SIM卡進行認證密鑰分發(fā),有效防止密鑰泄露和盜用;
支持偽隨機用戶名,防止用戶真實身份泄露;
支持雙向認證,服務器對用戶的認證和用戶對服務器的認證;
接人控制采用IEEE 802.1x技術進行端口級別管理,提高接人控制能力和安全性。
EAP-SIM認證技術原理:基于EAP認證協(xié)議框架,通過SIM卡的認證密鑰分發(fā)實現(xiàn)用戶的Wi-Fi接人鑒權。終端首次登錄時,需將SIM卡的IMSI信息上報3GPP AAA服務器,3GPP AAA服務器根據(jù)HLR鑒權和簽約信息與終端交互完成認證,后續(xù)終端可直接使用網(wǎng)絡分配的偽標識進行認證。認證通過后,AC才為用戶分配IP地址進行互聯(lián)網(wǎng)絡訪問。EAP-SIM認證系統(tǒng)主要網(wǎng)元有WLAN終端、WLAN設備、AAA服務器以及HLR系統(tǒng),如圖5所示。
圖5 EAP-SIM認證網(wǎng)絡結構
EAP-SIM認證主要網(wǎng)元及終端說明如下。
WLAN終端:為EAP-SIM認證中的接人請求系統(tǒng),主要指智能手機、平板電腦或帶內(nèi)置無線網(wǎng)卡的電腦等設備。當用戶進行EAP-SIM認證時,WLAN用戶終端發(fā)起鑒權請求。
WLAN設備:包括AP和AC兩大實體,其在EAP-SIM認證中負責用戶終端的接入鑒權,AP網(wǎng)元應支持 IEEE 802.111的加密功能,AC網(wǎng)元應支持IEEE802.1x認證功能。
3GPP AAA服務器:為SIM用戶認證的執(zhí)行點,實現(xiàn)用戶的認證、授權和計費功能,另外還包括業(yè)務功能域、協(xié)議與接口域、管理域等功能模塊。
HLR系統(tǒng):在SIM認證體系中實現(xiàn)用戶鑒權和簽約信息的存儲,與3GPP AAA服務器連接,完成鑒權和簽約信息的交互。
EAP-SIM認證總體接人流程主要有建立IEEE 802.11關聯(lián)、認證授權、IP地址分配、計費5個階段,如圖6所示。
圖6 EAP-SIM認證總體接人流程
EAP-SIM認證流程說明如下。
(1)建立關聯(lián):首先終端和WLAN AN建立關聯(lián),然后終端向3GPP AAA服務器發(fā)起鑒權請求。
(2)認證授權:WLAN終端與3GPP AAA服務器之間開始EAP-SIM/AKA認證階段,進行雙向身份認證,生成會話密鑰,只有雙向認證通過之后,服務器端才發(fā)送EAPsuccess消息給客戶端,客戶端才可以接人網(wǎng)絡。
(3)IP地址分配:EAP-SIM/AKA認證完成后,WLAN終端開啟DHCP交互流程,并獲取合法的IP地址,用戶可以通過無線網(wǎng)絡訪問互聯(lián)網(wǎng)資源。
(4)計費:包括計費開始、計費更新和計費結束三大流程,實現(xiàn)用戶上網(wǎng)流量統(tǒng)計、在線時長和計費等功能。
WLAN AN作為計費的前端,主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務器,由RADIUS服務器生成用戶WLAN業(yè)務計費清單。
3.3 MAC地址認證技術原理
由于手機終端和平板電腦操作的局限性,目前portal認證方式或客戶端軟件完成整個認證過程操作步驟相對復雜、技術性要求比較高,與2G/3G體驗差距較大。而EAP-SIM認證受限于終端和網(wǎng)絡,無法在短期內(nèi)形成規(guī)模,MAC地址認證方案主要針對以上問題進行優(yōu)化,利用終端MAC地址作為認證的交互信息,同時通過短信進行身份信息校驗,附著即認證,可有效提升用戶體驗。
MAC地址認證技術原理:基于EAP認證協(xié)議框架,通過終端MAC地址和用戶名/密碼信息驗證接人用戶的合法性。用戶首次登錄時,Web認證通過后,網(wǎng)絡側(cè)綁定終端網(wǎng)卡MAC地址與手機號碼。當用戶再次接人相同WLAN,不必重復登錄,認證服務器會根據(jù)保存的信息,讓用戶自動接人WLAN,并可以通過短信的方式提醒用戶。MAC地址認證系統(tǒng)的主要網(wǎng)元有WLAN終端、WLAN設備、AAA服務器、MAC綁定服務器、短信網(wǎng)關,如圖7所示。
圖7 MAC地址認證網(wǎng)絡結構
MAC地址認證主要網(wǎng)元及終端說明如下。
WLAN終端:為MAC地址認證中的接人請求系統(tǒng),主要指智能手機、平板電腦或帶內(nèi)置無線網(wǎng)卡的電腦等設備。當用戶進行MAC地址認證時,WLAN用戶終端發(fā)起鑒權請求。
WLAN設備:主要由AP和AC兩大實體組成,其在MAC地址認證中負責WLAN用戶終端的接人鑒權。
MAC綁定服務器:核對用戶MAC地址的有效性,保存手機MAC地址、用戶名/密碼的對應關系。可查詢MAC綁定信息及狀態(tài)管理,包括MAC、手機號碼、信息校驗及綁定狀態(tài)等管理。
3GPP AAA服務器:為MAC地址認證體系中用戶認證的執(zhí)行點,負責對WLAN用戶終端認證和授權功能,對應IEEE 802.1x架構中的認證服務器系統(tǒng)。
短信網(wǎng)關:短信提示及用戶交互功能,主要用于用戶綁定、解除捆綁等短信內(nèi)容。
MAC認證總體接入流程包括無線建立關聯(lián)、地址分配、認證授權、計費幾個階段,總體接人流程如圖8所示。
圖8 MAC地址認證總體接入流程
MAC地址認證接人流程說明如下。
(1)認證初始化:用戶附著WLAN,終端和AP/AC建立關聯(lián)。
(2)地址分配;終端向AP/AC發(fā)起IP地址請求,通過DHCP獲取IP地址,同時AC監(jiān)測用戶上網(wǎng)流量。
(3)認證授權:主要分為MAC地址檢查和portal認證2個階段。AC設置一定的流量闌值,達到閡值即向MAC服務器發(fā)起MAC查詢請求,查詢是否綁定。若MAC地址已綁定,則攜帶賬號、密碼等信息向AC發(fā)起portal認證,AC封裝認證請求報文,向3GPP AAA服務器發(fā)起認證請求,請求通過后AC放行用戶訪問Internet,并告知用戶上線。若MAC地址未綁定,則AC向智能終端推送portal頁面。進行正常認證流程,并且3GPP AAA服務器將用戶賬號和MAC進行綁定。綁定操作完成后,3GPP AAA服務器調(diào)用短信網(wǎng)關程序下發(fā)短信。
(4)計費:包括計費開始、計費更新和計費結束三大流程,實現(xiàn)用戶上網(wǎng)流量統(tǒng)計、在線時長和計費等功能。WLAN AN作為計費的前端,主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務器,由RADIUS服務器生成用戶WLAN業(yè)務計費清單。
4.PEAP/SIM/MAC認證方式對比
與傳統(tǒng)的認證方式不同,無感知認證技術為用戶提供方便快捷的WLAN接人服務,極大地改變傳統(tǒng)繁瑣接人認證模式,有效提升用戶感知。以下分別從用戶體驗、終端兼容性、安全性以及改造成本方面對3種無感知認證方式進行對比。
用戶體驗:當用戶終端開通無感知認證功能,無論是使用PEAP認證、EAP-SIM認證或MAC地址認證,只要在運營商Wi-Fi網(wǎng)絡覆蓋的區(qū)域內(nèi),均可享受自動登錄體驗。不同的是,PEAP與MAC地址首次認證時需要配置用戶名和密碼的登錄信息,而EAP-SIM認證首次登錄不需要配置相關用戶信息,完全由終端自動處理,認證過程相對簡單,但是無法實現(xiàn)機卡分離,因此平板電腦用戶無法通過EAP-SIM認證接人。
終端兼容性:根據(jù)目前市面上主流的智能終端的測試和研究,得出無感知認證方式的兼容性結果,見表1。
表1 無感知認證方式的兼容性對比
從表1可以看出,3種主流的無感知認證方式PEAP與MAC兼容性相對較好,支持所有類型的智能終端,而Android和Windows Mobile的智能終端都不支持EAP-SIM認證,但PEAP認證存在證書兼容性問題,部分WindowsMobile終端需要手工安裝證書才能使用PEAP認證。
安全性:3種認證方式中,EAP-SIM的安全性最好,由于直接與SIM卡綁定,共用SIM卡的鑒權方式;PEAP的安全性次之;而MAC地址的安全性是最差的,因為MAC地址屬于半公開信息,黑客竊取和偽造比較簡單,只需要偽造用戶MAC地址即可接人。表2給出了這幾種認證協(xié)議在一些安全特性上的比較結果。
改造成本:由于受到2G/3G網(wǎng)絡HLR-license因素的影響,EAP-SIM改造成本較高。EAP-PEAP,MAC方式改造成本較小,PEAP認證需要3GPP AAA服務器配置認證證書,需評估不同服務器證書與各類終端的兼容性,如果服務器證書與終端預置證書驗證不匹配PEAP認證可能失敗。
表2 無感知認證方式的安全性對比
綜上所述,EAP-SIM/AKA認證方式的優(yōu)勢在于加密性能最好,仿制可能性小;與SIM卡綁定,解決了換機問題,支持WLAN作為通信網(wǎng)劣勢在于對手機要求較高,手機操作系統(tǒng)支持少,網(wǎng)絡改造較多,portal認證不兼容。PEAP認證方式的優(yōu)勢在于兼容性較好,加密方式較好,兼容現(xiàn)有portal認證方式;而劣勢同樣是對手機要求較高,網(wǎng)絡改造較大。MAC認證方式的優(yōu)勢在于終端適配和認證兼容性較好,支持大部分WLAN終端和兼容現(xiàn)有portal認證方式,劣勢在于MAC地址仿冒問題很難根本性解決。
5.結束語
通過以上介紹可以看出,目前主流的3種無感知技術方案都以簡化用戶認證流程、提升用戶感知為目的,向用戶提供更好的WLAN業(yè)務,使用戶能夠更加方便、快捷、自由地使用WLAN業(yè)務,各自存在一定的優(yōu)缺點。如何能將其優(yōu)點相結合,提出更加優(yōu)化和完善的解決方案是未來研究的重點。未來WLAN業(yè)務的發(fā)展趨勢需要實現(xiàn)WLAN與2G/3G網(wǎng)絡的融合及統(tǒng)一,以WLAN分流2G網(wǎng)絡數(shù)據(jù)流量、緩解無線網(wǎng)絡壓力為發(fā)展目標,引導更多的手機流量遷移到WLAN,提高電信運營商在WLAN領域的市場競爭力。樹立良好的企業(yè)形象。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:WLAN無感知認證關鍵技術探討
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121511872.html