中国电信江苏公司操作维护中心 郑东栋

无线局域网无感知认证方式研究

中国电信江苏公司操作维护中心 郑东栋

摘要：传统的WLAN（无线局域网）认证模式其繁琐的认证流程不但降低了网络的效率，更重要的是影响了用户的体验效果。从WLAN用户认证便利性出发，给出了基于MAC（媒体接入控制）的无感知认证解决方案，EAP-SIM/AKA（扩展认证协议-用户识别模块/鉴权与密钥协商）无感知认证解决方案和PEAP（受保护的扩展认证协议）无感知认证解决方案等3种解决方案，并分析了各自的优缺点。

关键词：无线局域网；无感知认证；受保护的扩展认证协议

1 WLAN认证存在的问题及改善

目前用户可以通过Web Portal、客户端等方式完成WLAN（无线局域网）认证，但是这些方式对用户来说并不便捷，其繁琐的认证流程不但降低了网络的效率，更重要的是影响了用户的体验效果，制约了WLAN用户的发展。如何才能快速便捷地使用WLAN，成为改善用户体验的关键，也是改变WLAN网络“热装冷用”现象的重要一环。目前可以通过提供WLAN无感知认证的方式，达到不需要用户干预、在用户无感知情况下认证通过、使用WLAN的目的，并且通过WLAN无感知认证方式的推广，扭转当前优选WLAN主要依靠用户主动选择的局面，实现用户在使用WLAN业务时能够达到与3G网络一样的自动接人体验，使WLAN作为数据热点地区3G网络的有效补充。

如何实现，目前有以下3种主要的无感知认证实现方案。

2 无感知认证解决方案

2.1 基于MAC的无感知认证解决方案

用户首次连接WLAN时，需要一次认证，同时在后台服务器上，将用户无线网卡物理地址〔MAC（媒体接入控制）地址〕与用户的登陆信息绑定。当该用户下次连接网络时，无需重复繁琐的认证即可直接上网。其认证基本流程为：

1）用户终端通过DHCP（动态主机配置协议）方式获取IP地址，发起正常用户认证请求；

2）AC（鉴权中心）向用户终端推送认证页面，进行正常认证流程；

3）认证成功后，AC向认证服务器再次发起用户简化认证请求；

4）AC与认证系统进行用户信息交互；

5）由AC进行用户信息的记录并在下次用户上网时自动帮助用户登记；

6）服务器通知短信网关向用户手机下发短信，通知用户简化认证功能启用。

此方案以流量为触发条件。用户无线网卡物理地址由专门的绑定服务器进行查询和绑定，减轻了认证服务器或后台服务器的压力。同时流量触发的方式避免了关联（绑定）造成的服务器压力问题。此方案具有以下优点。

1）良好的兼容性：无需安装任何形式的客户端，无需证书校验，终端与后台服务器的绑定关系一旦建立，IE浏览、手机QQ、视频软件等各种形式的无线应用都能实现完美兼容；

2）用户完全零配置：绑定服务器上的用户无线网卡物理地址和用户名绑定完全自动生成，用户体验度高，用户界面无需改动；

3）安全性高：绑定结果通过短信告知用户；

4）可扩展性好：绑定服务器除用于无线网卡物理地址认证外，其功能还可根据用户需求进行扩展，而无需对认证服务器系统进行改动；

5）增加了流量阈值判断过程，防止智能终端上由于定期触发〔如ARP（地址解析协议）、DHCP、DNS（域名系统）等〕报文而频繁触发认证请求，避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题；

6）系统支持短信下线，丰富了用户选择性，用户通过手机发送短信后，短信网关即通知绑定服务器将用户强制下线。

2.2 EAP-SIM/AKA无感知认证解决方案

AP-SIM（接入点-用户识别模块）/AKA（鉴权与密钥协商）认证是EAP（扩展认证协议）认证方法的一种实现方式，其通过用户(U)SIM卡信息进行认证。当用户使用SIM卡时，执行EAPSIM认证流程；当用户使用USIM卡时，执行EAP-AKA认证流程。整个认证流程不需要用户介入任何手工操作，完全由用户终端自动完成。其认证基本流程为：

1）终端与AC之间通过EAPoL（局域网扩展认证协议）通信；

2）AC和AAA（认证、授权和计费）服务器通过RADIUS（远程认证拨号用户业务）协议转发EAP消息；

3）AAA服务器使用MAP（移动应用部分）协议从HLR/HSS（归属位置寄存器/归属用户服务器）获取用户(U)SIM卡鉴权向量，并完成认证。

用户首次使用时需进行PEAP（受保护的扩展认证协议）认证相关配置，并输入用户名、密码，后续即可实现免登陆上网。此方案同MAC认证一样，也无需Portal界面或用户任何手工输入操作的干预，认证过程也完全交由后台自行进行和处理。合法用户只要连接无线网络，无需经过繁琐的认证流程，即可上网，用户体验大大提高。此方案具有如下优点：

1）用户完全零操作：认证过程完全由后台自行处理，用户体验度高；

2）安全性高：用户SIM卡信息固定且唯一；

3）避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。

由于此方案依托于(U)SIM卡信息，因此一般适用于手机一类的移动智能终端，具体支持程度需要根据手机终端类型和网络建设情况而定。

2.3 PEAP无感知认证解决方案

PEAP认证是EAP认证方法的另一种实现方式，终端与网络关联后，终端侧通过服务器证书对网络侧进行认证，建立TLS（传输层安全）隧道，将用户名/密码发送给网络侧，网络侧通过用户名/密码对终端进行认证。其认证基本流程为：

1）终端与AC之间通过EAPoL协议通信；

2）AC和RADUIS服务器通过RADIUS协议转发EAP消息；

3）终端与RADUIS服务器之间建立TLS隧道；

4）终端和RADUIS服务器之间通过TLS隧道进行EAP认证协商，完成身份认证。

用户首次使用时需进行PEAP认证相关配置，并输入用户名、密码，后续即可实现免登陆上网。此方案无需Portal界面，无需用户进行任何认证手工输入操作，认证过程完全由后台自行进行和处理。合法用户只要连接无线网络，即可上网，彻底省去了繁琐的认证过程，极大地提高了用户体验。此方案具有如下优点：

1）用户完全零操作：认证过程完全由后台自行处理，用户体验度高；

2）安全性高：访问点只会在终端和RADIUS服务器之间转发消息，由于不是TLS终结点，访问点无法对认证协商相关消息进行解密；

3）避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。

PEAP认证目前适用于各种类型的手机智能终端，但同时也具有如下弊端：

1）基于证书认证网络，AAA服务器需要预置根证书，终端证书如果与服务器证书不匹配，终端需要进行安装或者有错误提示；

2）由于PEAP认证的用户名/密码保存在手机中，如果手机和用户卡发生分离（用户换手机或换卡），手机仍能进行PEAP认证，但费用会记录在原有卡用户账户上。

3 结束语

通过深入分析当前无线上网认证方式，以简化用户认证流程、提升用户感知为目的，给出了3种的无感知认证方式。这3种方案各有所长，在实际应用中，可以根据终端类型、网络建设情况细分客户群，采用合适的认证方式。通过无感知认证方式，改善和提高用户的使用体验，向用户提供更好的WLAN业务，使用户能够更加方便、快捷、自由的使用WLAN业务。◆