运营商WLAN认证方式探究.docVIP

运营商WLAN认证方式探究 　　【摘 要】WLAN认证方式是运营商解决客户接入WLAN网络服务的关键技术，其安全性、便捷性等因素影响着WLAN网络认证方式的选择与推广。对此从移动互联网应用角度出发，以手机用户体验WLAN网络为主，通过对WLAN四种认证方式安全性、易用性、终端适配性、接入速度等的分析，得出各种认证方式的优势与局限性；并从运营商角度出发，对几种认证部署方案进行比较。 【关键词】WLAN Portal认证 MAC认证 PEAP认证 SIM认证 中图分类号：TN92 文献标识码：A 文章编号：1006-1010（2013）-13-0079-04 1 前言 由于使用WLAN网络前，需先对上网终端进行设置认证，因此用户使用WLAN网络也涉及到信息、账户等网络安全问题。同时，市场上各类移动上网终端差异性很大，有各种各样的系统、繁杂的系统版本、尺寸不一的显示屏幕，这些问题也影响着WLAN网络认证方式的选择推广。用户从认证到使用WLAN网络，均有较大不便，导致WLAN网络用户体验差，存在感弱，这对WLAN的推广造成严重的影响，如何解决WLAN认证的问题显得尤为迫切。 2 WLAN四种认证方式 目前WLAN的认证方式有Portal认证、MAC认证、PEAP认证和SIM认证四种，下面分别予以介绍。 2.1 Portal认证 Portal认证的基本过程是：客户机首先通过DHCP协议获取IP地址（也可以使用静态IP地址），但是客户用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是Portal服务器的IP地址。 Portal认证信息与终端设备无关，用户可以使用手机号码或其他虚拟编号作为账号，搜索到运营商的AP后，连接并获得IP地址，打开浏览器，输入账号和密码便可登录。Portal认证有静态密码认证、动态密码认证、Cookie认证、客户端认证四种方式，其中Cookie认证其实是Web认证的简化形式。 （1）静态密码认证：根据每个账号设置唯一的登录密码，通过Portal服务器的方式进行认证登录。 （2）动态密码认证：发送短信获取WLAN服务登录密码，密码在10分钟内有效。 （3）Cookie认证（Portal自动认证）：用户在首次登录时输入用户名与密码并勾选自动认证选项，认证成功后，终端会在本地存放包含用户名、密码、自动认证开通时间等信息的Cookie文件，用户再次登录时，可实现有效期内的自动认证。 1）用户体验：用户第一次使用该认证方式与传统Portal认证类似，需输入用户名、密码完成认证，同时勾选后续自动认证。 2）安全性：Cookie认证的有关用户信息均存储在Cookie文件中，该文件加密保存后，无法直接读取，如欲盗取，只能非法拷贝。Cookie文件在终端和Portal服务器间的传输采用https加密方式，加密等级较低。 3）Portal认证推广关键因素分析见表1： 2.2 MAC认证 MAC认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后，即启动对该用户的认证操作，认证过程中也不需要用户手动输入用户名或者密码。 MAC认证需要用户通过一次Web Portal认证，在网络认证服务器上绑定终端MAC地址与用户名及密码，后续用户再次打开终端WLAN功能时，认证服务器根据终端的MAC地址自动完成认证登录。 （1）用户体验：用户首次使用需要在Portal认证界面输入用户名和密码，网络侧自动将相关信息与终端MAC地址绑定，后续再次使用可以实现自动认证（与Cookie认证类似，无需再次输入账号和密码）。用户更换手机、漫游时需要再次输入用户名与密码，重新进行MAC地址绑定。 （2）安全性：采用MAC地址自动认证后，用户的全部信息仅有MAC地址码，可开放读取并在其他终端简单仿冒，易出现仿冒身份的问题。终端在与网络侧交互MAC地址信息时，无任何加密措施，易被他人拦截并获取有关用户信息。 （3）MAC认证推广关键因素分析见表2。 2.3 PEAP认证 PEAP是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。PEAP客户端和身份验证器之间的PEAP身份验证过程有两个阶段：第一阶段基于证书认证网络侧身份，建立TLS隧道；第二阶段提供EAP客户端和认证服务器之间的EAP身份验证。 （1）用户体验：第一次使用需要配置用户名/密码，后续用户无需介入。机卡分离后，用户需在新终端上重新配置用户名/密码。PEAP需基于证书认证网络