无感知WLAN业务认证方式的分析

2012-01-19刘长瑞聂明

电信工程技术与标准化 2012年8期

关键词：鉴权计费终端

刘长瑞，聂明

（中国移动通信集团设计院有限公司，北京 100080）

WLAN业务是移动运营商提供的一种无线宽带接入服务，在有其WLAN信号覆盖的区域，用户可通过具备WLAN功能的笔记本电脑、手机等终端访问互联网业务，从而进行信息获取、娱乐或者移动办公。

随着WLAN业务的不断发展，用户越来越关注安全性和服务质量，所以发展WLAN业务要以“安全、方便、可行”为原则，进一步改善用户的使用感知，提高客户的满意度。

1 目前WLAN认证存在问题及改善方式

目前用户可以通过Web Portal方式、基于浏览器的登录Cookie认证方式和客户端方式等多种方式完成认证，使用WLAN业务。用户使用几种认证方式的体验和存在问题如表1所示。

为了改善用户使用WLAN业务的体验，目前可以通过提供WLAN无感知认证的方式，达到不需要用户干预、在用户无感知情况下认证通过、使用WLAN网络的目的，并且通过WLAN无感知认证方式的推广，扭转当前优选WLAN网络主要依靠用户主动选择的局面，实现用户在使用WLAN业务时能够达到与GPRS网络一样的自动接入体验，使WLAN网络作为数据热点地区2G网络的有效补充，提供高速数据业务，分担数据业务流量，从而使WLAN网络更好的起到数据流量分流的作用。

2 无感知认证方式的分析

WLAN认证一般采用EAP认证协议，在此框架内大约有40种不同的方法，接受比较广泛的有7～8种；根据调查，终端支持情况较好的有SIM、PEAP认证方式，可以为用户提供无感知认证，达到用户终端在Wi-Fi开关打开情况下，用户进入移动运营商WLAN信号的覆盖区域，终端自动（或用户手动选择）与运营商的SSID连接，无需用户参与即可自动完成认证，为用户提供无感知认证服务。

表1 用户使用体验及问题

2.1 SIM认证方式分析

SIM认证是基于802.1x认证架构和3GPP的EAP-AKA/EAP-SIM鉴权方法实现的，主要涉及到WLAN用户终端、WLAN接入网设备AP/AC、WLAN认证系统中的3GPP AAA Server以及HLR系统等网元。各网元相互协作，基于用户的(U）SIM卡信息认证接入用户的合法性：终端将SIM卡的IMSI信息上报网络，网络根据HLR签约信息与终端交互自动认证，用户首次使用时需要在终端上进行SIM认证的相关配置，后续使用即可实现免登陆上网，为用户提供与蜂窝网相同的接入体验。SIM认证系统结构如图1所示。

(1）WLAN用户终端：为SIM认证体系中的接入请求系统。用户进行SIM认证时，WLAN用户终端发起鉴权请求，对应802.1x架构中的客户端系统；

(2）WLAN接入网设备：包括AP和AC两个网元。AP网元需支持802.11i的加密功能，AC网元需支持802.1x认证功能。WLAN接入网设备在SIM认证中负责对WLAN用户终端的接入鉴权，对应802.1x架构中的认证者系统；

(3）3GPP AAA Server：为SIM 认证体系中用户认证的执行点，负责对WLAN用户终端认证和授权功能，认证和授权信息取自HLR。3GPP AAA Server包括了业务功能域、协议与接口域、管理域，各域包括相应的功能模块，与HLR一起对应802.1x架构中的认证服务器系统；

(4）HLR系统：在SIM认证体系中负责用户鉴权和签约信息的存储，与3GPP AAA Server交互，完成鉴权和签约信息的交互。

SIM认证的主要接入流程包括建立关联、认证授权、DHCP地址分配、计费等几个阶段，其认证接入流程如图3所示。

图1 SIM认证系统结构

图2 3GPP AAA Server系统架构

图3 SIM认证接入流程

主要接入流程阶段说明：

(1）建立关联：终端和AP/AC建立关联之后，终端向AP/AC发起鉴权请求；

(2）认证授权：EAP-SIM/AKA认证阶段，支持SIM卡的终端按照EAP-SIM流程完成认证；支持USIM卡和EAP-AKA的终端按照EAP-AKA流程完成认证；

(3）地址分配：认证成功后，终端进行DHCP流程交互，直至用户终端获得IP地址，然后用户即可使用WLAN网络上网；

(4）计费：包括计费开始、计费更新、计费结束。AC作为计费信息采集前端，采集WLAN用户的计费原始数据信息，传送给3GPP AAA Server。3GPP AAA Server是计费话单采集点，在收到用户的计费原始数据信息后，生成用户WLAN业务计费话单。

2.2 PEAP认证方式分析

PEAP认证体系架构基于802.1x认证体系架构实现的，主要涉及到WLAN用户终端、WLAN接入网设备AP/AC、WLAN认证系统中的3GPP AAA Server等网元。各网元相互协作，基于用户的认证信息验证接入用户的合法性：终端与网络关联后，基于证书认证网络侧身份，建立TLS隧道，将储存在终端中的用户名/密码发送给网络侧进行用户身份认证。用户首次使用时需要在终端上进行PEAP认证的相关配置，并输入用户名、密码，后续使用即可实现免登陆上网, 为用户提供与蜂窝网相同的接入体验。PEAP认证系统结构如图4所示。

(1）WLAN用户终端：为PEAP认证体系中的接入请求系统。用户进行PEAP认证时，WLAN用户终端发起鉴权请求，对应802.1x架构中的客户端系统；

(2）WLAN接入网设备：包括AP和AC两个网元。AP网元需支持802.11i的加密功能，AC网元需支持802.1x认证功能。WLAN接入网设备在PEAP认证中负责对WLAN用户终端的接入鉴权，对应802.1x架构中的认证者系统；

(3）3GPP AAA Server：为PEAP认证体系中用户认证的执行点，负责对WLAN用户终端认证和授权功能，对应802.1x架构中的认证服务器系统。

PEAP认证的主要接入流程包括建立关联、认证授权(包括TLS隧道建立、MS-CHAP-v2认证）、DHCP地址分配和计费等几个阶段，其认证接入流程如图5所示。

图4 PEAP认证系统结构

主要接入流程阶段说明：

(1）建立关联：终端和AP/AC建立关联之后，终端向AP/AC发起鉴权请求；

(2）认证授权：EAP-PEAP认证阶段，包括TLS隧道建立、MS-CHAP-v2认证。对任何使用PEAP认证方式接入的终端，只要在终端使用数限制范围内，网络侧不会拒绝终端接入认证。并且如果网络侧判定之前已有同一用户身份信息的终端在线，则网络侧在终端重新接入认证的同时保持原有计费，认证成功后视为同一次计费；

(3）地址分配：认证成功后，终端进行DHCP流程交互，直至用户终端获得IP地址，然后用户即可使用WLAN网络上网；

2.3 用户使用体验

当用户使用支持SIM认证、PEAP认证功能的Wi-Fi手持终端开通无感知认证功能后，在其移动运营商WLAN网络信号覆盖的区域下，即可享受自动登录体验。

用户在首次使用时，如果所持终端支持SIM认证，需要在终端上的SSID选项配置中配置好算法，进行保存；如果所持终端支持PEAP认证，需要在终端上的SSID选项配置中输入PEAP认证所需的用户名和密码，进行保存。配置成功后，终端会自动保存用户名和密码，下次上线无需用户配置，终端自动进行认证，终端获得IP地址后用户即可上网。当用户离开移动运营商WLAN网络信号覆盖区域后，再次回到信号覆盖区域，若用户终端IP地址在续约期内，仍能使用WLAN业务；若用户终端IP地址已过续约期，终端将自动发起无感知认证。

用户开通无感知认证功能后，可以通过主动下线和网络发起下线两种方式触发下线。主动下线即用户主动向网络侧发起下线发起请求退出网络；网络发起下线即网络发起下线流程适用于网络管理的场景，如用户在线达8h后网络侧会主动发起下线流程，网络侧发现用户欠费时也可以触发网络发起下线流程。

对于SIM认证和PEAP认证，两种认证方式均能实现无需用户干预的无感知认证，减少认证过程中用户主动参与的次数，改善和提高了用户业务使用体验，在技术上可以实现同时引入，由网络侧根据终端主动上报的终端类型优先选择认证方式，实现认证技术对用户透明，即无论用户使用何种方式，用户体验基本一致。

图5 PEAP认证接入流程

3 业务推广分析

在引入无感知认证方式后,为了能够吸引更多的用户通过无感知认证功能使用WLAN网络，发挥WLAN网络的作用，在业务推广方面可以考虑以下几点因素：

(1）面向所有具有WLAN功能的手持终端（手机或PAD等非PC操作系统的平板电脑）的用户提供无感知认证功能；

(2）目前用户在使用WLAN业务时，无法同时使用Wi-Fi手机和电脑使用WLAN业务，后一个使用的终端会造成前一个终端的强制下线。如果用户的不同终端（如手机和IPAD）均开通了无感知认证功能并打开了Wi-Fi开关，则进入热点后，只有随机的一台终端能够实现连接，影响用户体验。因此，WLAN业务在引入无感知认证功能后，考虑用户同时拥有手机、电脑和PAD的情形，对于开通无感知认证的用户，系统应能够支持同一用户多终端同时使用WLAN；

(3）在现有WLAN业务标准资费、按月包时长套餐、包单位时间套餐的计费模式下，无感知认证可能会造成用户在不知情情况下长时间在线，损害用户利益。为避免按现有时长计费而引发的问题，可以引入专属套餐（流量封顶）配合无感知认证功能。用户开通无感知认证功能后，可以不限制时长的使用WLAN上网，当流量达到封顶限制后，系统会提示用户不能登录网络，如需继续使用，用户可以选择订购专属套餐叠加包。