WLAN无感知认证关键技术探讨
2013-08-09李林江
李林江
(中国电信股份有限公司广东研究院艾特实验室 广州 510630)
1 前言
近年来,由于 WLAN(wireless local area network,无线局域网)的低成本和便携性,被广泛应用在互联网接入领域中。越来越多的移动设备(笔记本、智能手机和 PDA等)开始支持 IEEE 802.11标准。随着智能手机、平板电脑的广泛应用,用户对WLAN的认知度和依赖程度越来越大,更加关注网络安全和服务质量问题,然而传统的Web portal、cookie认证和客户端登录流程复杂、便利性差等原因严重影响了用户的体验。因此,如何提供快速、优质的网络服务和业务体验,提升用户感知,提高用户满意度已成为电信运营商日益关注的焦点。
2 IEEE 802.1x认证技术
为了解决IEEE 802.11的安全问题,IEEE 802工作组制定了IEEE 802.1x标准。IEEE 802.1x是一种基于端口的网络接入控制协议,为用户提供了标准的认证和鉴权框架,实现网络接入设备对所接入的用户设备进行端口的认证和控制,如果用户设备能够通过认证服务器的认证和授权,便可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
2.1 IEEE 802.1x的体系结构
IEEE 802.1x的体系结构采用典型的客户端/服务器方式,包括3个实体:客户端、设备端和认证服务器[1],如图1所示。
· 客户端:接入认证请求端,位于局域网一侧的实体。客户端用户通过发送EAPOL(extensible-authenticationprotocol over LAN,局域网可扩展认证协议)发起IEEE 802.1x认证。
·设备端:对客户端进行认证,通常为支持IEEE 802.1x协议的网络设备(胖AP或集中控制型AC),为客户端提供接入局域网的端口,分为受控端口和非受控端口,既可以是物理端口,也可以是逻辑端口。
·认证服务器:为设备端提供认证服务,通常为RADIUS(remote authentication dial-in user service,远程认证拨号用户服务)服务器,主要实现对用户的认证、授权和计费等功能[1]。
2.2 IEEE 802.1x认证的工作机制
在IEEE 802.lx认证系统中,设备端主要对认证信息起传递作用,并把认证服务器认证的结果作用到端口,其本身并不参与具体的认证过程[1],因此需要通过上层的协议协助完成认证,EAP(extensible authentication protocol,可扩展的认证协议)用于实现客户端、设备端和认证服务器之间认证信息的交换。
·在客户端与设备端之间,EAP报文采用EAPOL消息封装格式,应用于局域网环境中。
· 在设备端与认证服务器之间,EAP报文传递和交换方式有两种:一种由设备端进行中继,使用EAPOR(EAP over RADIUS,可扩展的远程拨号认证协议)消息封装格式,承载于RADIUS协议中;另一种由设备端进行终结,利用PAP或CHAP的报文与认证服务器进行认证交互。
· 当客户端认证通过后,认证服务器将认证的用户信息传递给设备端,设备端再根据认证服务器反馈的信息(接受或拒绝)决定受控端口为授权或非授权状态。
3 WLAN无感知认证关键技术
WLAN无感知认证技术是一种由终端自动识别的接入认证方式,当用户使用具有Wi-Fi功能的手机或平板电脑时,通过首次简单的配置后,以后无需用户参与即可自动完成接入认证服务[2]。WLAN无感知认证主要基于IEEE 802.1x/EAP的集中式处理方式,采用EAP作为认证体系的消息传递机制。IEEE 802.1x是一种基于端口的网络接入控制协议,为用户提供了标准的认证和鉴权框架,实现网络接入设备对所接入的用户设备进行端口的认证和控制[2]。EAP基于服务器/客户端的体系结构,提供了一些常见的功能和认证所需的身份验证机制,在此框架内大约有几十种不同的认证方法,常用的方法包括LEAP、PSK、TLS、FAST、PEAP(protected extensibleauthentication protocol,受保护的可扩展的身份验证协议)、SIM/AKA等[3],如图2所示。
图1 IEEE 802.1x认证系统的体系结构
图2 常见的EAP认证方法
根据调查,无感知认证主流的身份认证技术主要有PEAP、EAP-SIM/AKA及MAC地址认证方式。绝大多数智能终端及笔记本电脑都可通过以上方式进行用户身份认证和自动接入,避免传统Web+portal认证方式带来的繁琐操作,极大地提升了用户的业务使用体验。以下分别对这3种主流认证方式的技术原理进行简要分析。
3.1 PEAP认证技术原理
PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户进行任何手工操作,由终端自动完成。PEAP的认证安全性较高,具体体现在以下几个方面。
·PEAP客户端和PEAP认证服务器之间使用TLS(transport layer security,安全传输层)协议创建加密通道。
· 在建立TLS隧道时,终端需要对认证服务器进行证书验证,防止网络侧的仿冒行为。
·支持双向认证,用户认证采用MS-CHAP-V2(microsoft-challenge-handshake-authentication-protocolversion 2,微软质询握手鉴别协议)认证方式,不仅支持服务器对用户的认证,而且支持用户对服务器的认证。
PEAP认证技术原理为:基于EAP认证协议框架,使用证书+用户名密码实现用户WLAN接入鉴权。终端与网络关联后,首先基于证书认证网络侧身份,建立TLS隧道,将存储在终端中的用户名/密码发送给网络侧进行用户身份认证,认证通过后AC分配IP地址进行互联网访问[4]。PEAP认证系统主要网元包括WLAN终端、WLAN设备、AAA服务器,如图3所示。
PEAP认证系统主要网元介绍如下。
·WLAN终端:为认证接入请求点,具备Wi-Fi功能的终端设备。当用户终端连接无线网络时,向PEAP认证系统发起身份鉴权请求,功能相当于IEEE 802.1x架构中的客户端;
·WLAN设备:主要由AP和AC两大实体组成,其在PEAP认证中负责用户终端的接入鉴权,AP网元应支持IEEE 802.11i的加密功能,AC网元应支持IEEE 802.1x认证功能。
·3GPPAAA服务器:为PEAP用户认证的执行点,其在PEAP认证体系里主要由CA证书服务器和PEAP认证服务器两部分组成,实现CA证书授权和PEAP认证功能。
PEAP认证总体流程主要有认证初始化、隧道建立、认证过程、地址分配以及计费开始5个阶段,如图4所示。
PEAP认证流程简要说明如下。
(1)认证初始化:首先终端和WLAN AN建立关联,然后终端向3GPPAAA服务器发起鉴权请求。
(2)建立TLS隧道:基于证书认证网络侧身份,建立TLS隧道。客户端采用证书认证服务器,完成TLS握手,建立PEAP客户端和认证服务器之间的安全通道[4,5]。
(3)认证过程:客户端和认证服务器之间基于用户名/密码进行EAP身份验证。整个EAP通信包括EAP协商在内,都通过TLS通道进行。服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如 EAP-MS-CHAPv2)[6]。
(4)IP地址分配:PEAP认证完成后,WLAN终端开启DHCP交互流程,并获取合法的IP地址,用户可以通过无线网络访问互联网资源。
(5)计费:包括计费开始、计费更新和计费结束三大流程,实现用户上网流量统计、在线时长和计费等功能。WLAN AN作为计费的前端,主要将采集的原始数据传递给RADIUS服务器,由RADIUS服务器生成用户WLAN业务计费清单[1]。
3.2 EAP-SIM认证技术原理
EAP-SIM认证也是EAP认证方法的一种实现方式,使用标准的EAP-SIM/AKA作为Wi-Fi终端接入认证机制,用户连接无线网络时不需要手动输入认证信息,通过SIM卡自动完成认证,提供良好的用户体验。另外,EAP-SIM认证提供很高的安全性,主要体现在如下几个方面:
图3 PEAP认证系统网络结构
图4 PEAP认证总体接入流程
·通过SIM卡进行认证密钥分发,有效防止密钥泄露和盗用;
·支持伪随机用户名,防止用户真实身份泄露;
·支持双向认证,服务器对用户的认证和用户对服务器的认证;
·接入控制采用IEEE 802.1x技术进行端口级别管理,提高接入控制能力和安全性。
EAP-SIM认证技术原理:基于EAP认证协议框架,通过SIM卡的认证密钥分发实现用户的Wi-Fi接入鉴权。终端首次登录时,需将SIM卡的IMSI信息上报3GPPAAA服务器,3GPPAAA服务器根据HLR鉴权和签约信息与终端交互完成认证,后续终端可直接使用网络分配的伪标识进行认证。认证通过后,AC才为用户分配IP地址进行互联网络访问。EAP-SIM认证系统主要网元有WLAN终端、WLAN设备、AAA服务器以及HLR系统,如图5所示。
图5 EAP-SIM认证网络结构
EAP-SIM认证主要网元及终端说明如下。
·WLAN终端:为EAP-SIM认证中的接入请求系统,主要指智能手机、平板电脑或带内置无线网卡的电脑等设备。当用户进行EAP-SIM认证时,WLAN用户终端发起鉴权请求。
· WLAN设备:包括AP和AC两大实体,其在EAP-SIM认证中负责用户终端的接入鉴权,AP网元应支持IEEE 802.11i的加密功能,AC网元应支持 IEEE 802.1x认证功能。
·3GPPAAA服务器:为SIM用户认证的执行点,实现用户的认证、授权和计费功能,另外还包括业务功能域、协议与接口域、管理域等功能模块。
·HLR系统:在SIM认证体系中实现用户鉴权和签约信息的存储,与3GPPAAA服务器连接,完成鉴权和签约信息的交互。
EAP-SIM认证总体接入流程主要有建立IEEE 802.11关联、认证授权、IP地址分配、计费 5个阶段,如图 6所示。
EAP-SIM认证流程说明如下。
(1)建立关联:首先终端和WLAN AN建立关联,然后终端向3GPPAAA服务器发起鉴权请求。
(2)认证授权:WLAN终端与3GPPAAA服务器之间开始EAP-SIM/AKA认证阶段,进行双向身份认证,生成会话密钥,只有双向认证通过之后,服务器端才发送EAP success消息给客户端,客户端才可以接入网络。
(3)IP地址分配:EAP-SIM/AKA认证完成后,WLAN终端开启DHCP交互流程,并获取合法的IP地址,用户可以通过无线网络访问互联网资源。
(4)计费:包括计费开始、计费更新和计费结束三大流程,实现用户上网流量统计、在线时长和计费等功能。WLAN AN作为计费的前端,主要将采集的原始数据传递给RADIUS服务器,由RADIUS服务器生成用户WLAN业务计费清单。
3.3 MAC地址认证技术原理
由于手机终端和平板电脑操作的局限性,目前portal认证方式或客户端软件完成整个认证过程操作步骤相对复杂、技术性要求比较高,与2G/3G体验差距较大。而EAP-SIM认证受限于终端和网络,无法在短期内形成规模,MAC地址认证方案主要针对以上问题进行优化,利用终端MAC地址作为认证的交互信息,同时通过短信进行身份信息校验,附着即认证,可有效提升用户体验。
MAC地址认证技术原理:基于EAP认证协议框架,通过终端MAC地址和用户名/密码信息验证接入用户的合法性。用户首次登录时,Web认证通过后,网络侧绑定终端网卡MAC地址与手机号码。当用户再次接入相同WLAN,不必重复登录,认证服务器会根据保存的信息,让用户自动接入WLAN,并可以通过短信的方式提醒用户。MAC地址认证系统的主要网元有WLAN终端、WLAN设备、AAA服务器、MAC绑定服务器、短信网关,如图7所示。
MAC地址认证主要网元及终端说明如下。
图6 EAP-SIM认证总体接入流程
图7 MAC地址认证网络结构
·WLAN终端:为MAC地址认证中的接入请求系统,主要指智能手机、平板电脑或带内置无线网卡的电脑等设备。当用户进行MAC地址认证时,WLAN用户终端发起鉴权请求。
·WLAN设备:主要由AP和AC两大实体组成,其在MAC地址认证中负责WLAN用户终端的接入鉴权。
·MAC绑定服务器:核对用户MAC地址的有效性,保存手机MAC地址、用户名/密码的对应关系。可查询MAC绑定信息及状态管理,包括MAC、手机号码、信息校验及绑定状态等管理。
·3GPPAAA服务器:为MAC地址认证体系中用户认证的执行点,负责对WLAN用户终端认证和授权功能,对应IEEE 802.1x架构中的认证服务器系统。
· 短信网关:短信提示及用户交互功能,主要用于用户绑定、解除捆绑等短信内容。
MAC认证总体接入流程包括无线建立关联、地址分配、认证授权、计费几个阶段,总体接入流程如图8所示。
MAC地址认证接入流程说明如下。
(1)认证初始化:用户附着WLAN,终端和AP/AC建立关联。
(2)地址分配:终端向AP/AC发起IP地址请求,通过DHCP获取IP地址,同时AC监测用户上网流量。
(3)认证授权:主要分为MAC地址检查和portal认证2个阶段。AC设置一定的流量阈值,达到阈值即向MAC服务器发起MAC查询请求,查询是否绑定。若MAC地址已绑定,则携带账号、密码等信息向AC发起portal认证,AC封装认证请求报文,向3GPPAAA服务器发起认证请求,请求通过后AC放行用户访问Internet,并告知用户上线。若MAC地址未绑定,则AC向智能终端推送portal页面,进行正常认证流程,并且3GPPAAA服务器将用户账号和MAC进行绑定。绑定操作完成后,3GPPAAA服务器调用短信网关程序下发短信。
(4)计费:包括计费开始、计费更新和计费结束三大流程,实现用户上网流量统计、在线时长和计费等功能。WLAN AN作为计费的前端,主要将采集的原始数据传递给RADIUS服务器,由RADIUS服务器生成用户WLAN业务计费清单。
4 PEAP/SIM/MAC认证方式对比
与传统的认证方式不同,无感知认证技术为用户提供方便快捷的WLAN接入服务,极大地改变传统繁琐接入认证模式,有效提升用户感知。以下分别从用户体验、终端兼容性、安全性以及改造成本方面对3种无感知认证方式进行对比。
· 用户体验:当用户终端开通无感知认证功能,无论是使用PEAP认证、EAP-SIM认证或MAC地址认证,只要在运营商Wi-Fi网络覆盖的区域内,均可享受自动登录体验。不同的是,PEAP与MAC地址首次认证时需要配置用户名和密码的登录信息,而EAP-SIM认证首次登录不需要配置相关用户信息,完全由终端自动处理,认证过程相对简单,但是无法实现机卡分离,因此平板电脑用户无法通过EAP-SIM认证接入。
·终端兼容性:根据目前市面上主流的智能终端的测试和研究,得出无感知认证方式的兼容性结果,见表1。
表1 无感知认证方式的兼容性对比
从表1可以看出,3种主流的无感知认证方式PEAP与MAC兼容性相对较好,支持所有类型的智能终端,而Android和Windows Mobile的智能终端都不支持EAP-SIM认证,但PEAP认证存在证书兼容性问题,部分Windows Mobile终端需要手工安装证书才能使用PEAP认证。
· 安全性:3种认证方式中,EAP-SIM的安全性最好,由于直接与SIM卡绑定,共用SIM卡的鉴权方式;PEAP的安全性次之;而MAC地址的安全性是最差的,因为MAC地址属于半公开信息,黑客窃取和伪造比较简单,只需要伪造用户MAC地址即可接入。表2给出了这几种认证协议在一些安全特性上的比较结果。
·改造成本:由于受到2G/3G网络HLR-license因素的影响,EAP-SIM改造成本较高。EAP-PEAP、MAC方式改造成本较小,PEAP认证需要3GPP AAA服务器配置认证证书,需评估不同服务器证书与各类终端的兼容性,如果服务器证书与终端预置证书验证不匹配PEAP认证可能失败。
表2 无感知认证方式的安全性对比
综上所述,EAP-SIM/AKA认证方式的优势在于加密性能最好,仿制可能性小;与SIM卡绑定,解决了换机问题;支持WLAN作为通信网统一认证上网,统一接入分组业务。而它的劣势在于对手机要求较高,手机操作系统支持少,网络改造较多,portal认证不兼容。PEAP认证方式的优势在于认证兼容性较好,加密方式较好,兼容现有portal认证方式;而劣势同样是对手机要求较高,网络改造较大。MAC认证方式的优势在于终端适配和认证兼容性较好,支持大部分WLAN终端和兼容现有portal认证方式,劣势在于MAC地址仿冒问题很难根本性解决[6,7]。
5 结束语
通过以上介绍可以看出,目前主流的3种无感知技术方案都以简化用户认证流程、提升用户感知为目的,向用户提供更好的WLAN业务,使用户能够更加方便、快捷、自由地使用WLAN业务,各自存在一定的优缺点。如何能将其优点相结合,提出更加优化和完善的解决方案是未来研究的重点。未来WLAN业务的发展趋势需要实现WLAN与2G/3G网络的融合及统一,以WLAN分流2G网络数据流量、缓解无线网络压力为发展目标,引导更多的手机流量迁移到WLAN,提高电信运营商在WLAN领域的市场竞争力,树立良好的企业形象。
1 刘晓峰.IEEE 802.1x/EAP认证方法的研究与分析.赤峰学院学报,2012(7)
2 刘长瑞,聂明.无感知WLAN业务认证方式的分析.电信工程技术与标准化,2012(8)
3 柳瑞芸,彭宇,张旭平.基于EAP的WLAN认证技术.通信技术,2004(2):56~58
4 贾立波,陈利学,贾从茂等.IEEE 802.1x/PEAP认证方法的研究和应用.网络安全技术与应用,2009(5)
5 王璐,曹秀英.EAP协议及其应用.通信技术,2002(7)
6 管政,李勇.EAP-PEAP自动认证应用于运营商WLAN网络的组网方案.广东通信技术,2012(8)
7 Lei J,Fu X M,Hogrefe D.Comparative studies on authentication and key exchange methods for IEEE 802.11 wireless LAN.Computers and Security,2007(26):401~409