WLAN无感知认证解决的方案.docVIP

WLAN无感知认证解决方案 ( 2012/7/12 14:49 ) “手机WiFi上网太麻烦了！不仅每次上网都要输入账号和密码，在人多的地方，比如星巴克，还经常会被挤掉而不得不反复输入账号和密码！”。这恐怕是如今使用手机WIFI上网的大多数人的感受。没错，随着WLAN网络快速部署和用户量持续上升，由于WLAN认证问题而导致的用户体验差的矛盾愈发突出。这不仅降低了用户对运营商网络质量的信赖度，而且还直接影响了WLAN分流宏蜂窝数据压力的效果，背离了部署WLAN的初衷。 如何提升WLAN用户感知，进而改善分流效果是华为电信级WLAN解决方案重点关注的问题之一。针对客户的不同情况，华为推出了“无感知认证解决方案包”，最大化匹配客户不同发展阶段的差异化需求。该“解决方案包”涵盖了目前业界通行的全部四种认证方案：Portal、EAP-PEAP、EAP-SIM和MAC地址绑定。在用户感知和认证安全性方面实现了适应终端状况、稳步提升的良性循环。此外，华为与中国移动多个省份公司开展了联合创新工作，推动了解决方案包在多个省份验证成功并落地实施。极大地促进了无感知认证的快速成熟。 1、 EAP-PEAP认证 PEAP，即为Protected-EAP“受保护的可扩展的身份验证协议”，是一项由Cisco、Microsoft和RSA共同支持的安全方案（目前在RFC处于草案阶段），具有很好的安全性，在设计上和EAP-TTLS相似。PEAP是可扩展的身份验证协议 (EAP) 家族的一个成员，目前共有三个版本，分别为V0/V1/V2，已被WPA和WPA2批准的有两个子类型 PEAPV0-MSCHAPV2和PEAPV1-GTC。由于PEAP是一个框架协议，目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP协议，已经被各移动终端的操作系统如iOS，Android、Windows等广泛支持。 802.1X框架下的EAP-PEAP认证架构如下图所示： EAP-PEAP的认证安全性较高；具体体现在以下几个方面： 使用传输级别安全性(TLS) 为正在验证的 PEAP 客户端和 PEAP 身份验证器之间创建加密通道。PEAP 不指定验证方法，但是会为其他 EAP 验证协议提供额外的安全性，例如 EAP-MSCHAPv2 协议； 在建立TLS隧道时，终端需要对认证服务器进行证书验证，防止网络侧的仿冒行为； 用户认证采用MS-CHAP-V2认证方式，支持双向认证：除了服务器对用户的认证，还支持用户对服务器的认证； 采用802.1X技术，进行端口级别的接入控制，提高了接入控制能力和安全性。 2011年，华为与安徽移动携手，开通实验网，率先实现了EAP-PEAP认证的落地验证工作。验证结果显示，PEAP认证仅在首次接入时需要用户输入相关认证信息，相比Portal，用户体验得到较大提升。此外，市场上不同种类的手机在测试中的表现也不尽相同：Iphone和Android手机进行EAP-PEAP认证速度较快，可在3-5秒内完成；Symbian和Windows phone则相对较慢。 2、 EAP-SIM认证 SIM认证采用标准的EAP-SIM/EAP-AKA作为WLAN终端接入认证机制，用(U)SIM卡作为认证密钥分发的载体，用户连接WLAN网络不需要手动输入认证信息，通过手机（U）SIM卡自动完成认证，用户体验好。此外，SIM认证提供了很高的安全性，主要体现在： 密钥通过硬件载体（(U)SIM卡）分发，有效防止密钥泄露或者被盗； 支持伪随机用户名，保护用户真实身份不被泄露； 支持双向认证，除了服务器对用户的认证，还支持用户对服务器的认证； 采用802.1X技术，进行端口级别的接入控制，提高了接入控制能力和安全性 统一认证架构基于802.1X认证体系架构，架构图以及涉及到的网元如下图所示： WLAN UE为I-WLAN认证体系中的接入请求系统，用户统一认证/接入PS域业务时，WLAN UE发起EAP鉴权请求。对应802.1x架构中的客户端系统（Supplicant System）。 WLAN AN在I-WLAN认证系统中负责WLAN UE统一认证场景的接入鉴权。对应802.1x架构中的认证者系统（Authenticator System）。 3GPP AAA Server为统一认证体系中用户认证的执行点，负责对WLAN UE认证和授权功能，认证和授权信息取自HLR。3GPP AAA Server与HLR一起，对应802.1x架构中的认证服务器系统（Authentication Sever System）。 HLR在统一认证体系中负责用户鉴权和签约信息的存储，与3GPP AAA Server交互，完成鉴权和签约信