WLAN无感知认证技术方案.pdf

WLAN无感知认证试点技术方案（PEAP认证） 1 背景 PEAP是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧 通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时，需输入用户名和密码，后续 接入认证无需用户任何手工操作，由终端自动完成。 2 技术原理 PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认 证。 EAP 客户端和认证服务器之间的认证过程有两个阶段。 第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采用证书认证服务 端完成TLS握手。服务端可选采用证书认证客户端。 第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信，包 括 EAP 协商在内，都通过 TLS 通道进行。服务器对用户和客户端进行身份验证，具体方法 由 EAP 类型决定，在 PEAP 内部选择使用(如：EAP-MS-CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。 目前被WPA和WPA2批准的有两个PEAP子类型 PEAPV0-MSCHAPV2，PEAPV1-GTC，使用广泛 的是PEAPV0-MSCHAPV2。 PEAP认证参考如下国际标准 [1] IETF Draft, PEAP Authentication, draft-josefsson-pppext-eap-tls-eap-10.txt, 2004. [2] IETR RFC 2759，MSCHAPv2 [3] IETF RFC 3748, Extensible Authentication Protocol (EAP). 3 关键技术问题 3.1 证书问题 PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。 如果服务器证书与终端预置证书验证不匹配，PEAP认证可能失败。 目前Portal认证使用的证书为IP地址绑定，如果试点阶段AAA服务器选择绑定域名的证 书，现网AC可能需改造。 iPhone如果证书验证失败，此时用户选择接受，PEAP认证可成功。 Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项，勾选后，终端不再进行 证书验证。 1 Windows Mobile手机如果证书验证失败，PEAP认证无法通过。 Symbian和Adroid/Ophone??未验证。 3.2 密码设置 PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。 3.3 PEAP 认证方法 试点使用PEAPv0版本，选用MSCHAPv2认证方法。 3.4 SSID 设置 需设置新的SSID(CMCC-AUTO)，支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使 用相同SSID。 3.5 机卡分离问题 由于PEAP认证的用户名/密码保存在手机中，如果手机和用户卡发生分离（用户换手机 或换卡），手机仍能进行PEAP认证，但费用会记录在原有卡用户账户上。 目前暂无较好技术手段进行解决机卡分离问题。 3.6 下线控制 PEAP认证仍保留8小时下线机制 可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。（已确认，部分AC厂家 已支持，部分AC厂商需升级支持）。 3.7 Keep-alive 机制（可选） AC利用EAP信令周期性探测UE状态，如果UE在一定时间内无响应（异常关机、移出WiFi 覆盖区域），则网络侧对此用户进行下线操作。具体实现机制如下图： WLAN UE WLAN AN eap_request/identity eap_response/identity