W LAN 運(yùn)營(yíng)有多種認(rèn)證方式，但最常用的方式為彈出Portal 登錄頁(yè)面。即：用戶搜索到運(yùn)營(yíng)商的AP 后，連接進(jìn)去獲得IP 地址，打開(kāi)瀏覽器，輸入賬號(hào)和密碼便可登錄。

這種方式雖然簡(jiǎn)單方便，但由于AP 的接入沒(méi)有采用WEP 和W PA2等加密方式，空中信道很容易被偵查破解，黑客能夠截獲空中傳輸?shù)馁~號(hào)和密碼。因此該方式安全性較低。

如何提高登錄頁(yè)面的安全性呢?據(jù)城市熱點(diǎn)總結(jié)， 目前大部分W LAN 運(yùn)營(yíng)商采用以下幾種方案：

1. Portal 服務(wù)器與BRAS 和Radius 服務(wù)器采用CHAP 的認(rèn)證方式

2. HTTPS 的登錄頁(yè)面方式

3. 手機(jī)短信獲得動(dòng)態(tài)密碼方式

下面城市熱點(diǎn)將對(duì)這3 種方式進(jìn)行論述與比較。

1. 方案1 的認(rèn)證方式最為簡(jiǎn)單實(shí)用，也非常安全。其中Radius 標(biāo)準(zhǔn)提供了2 種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP(Password Authentication Protocol，PAP) 和質(zhì)詢握手協(xié)議(Challenge Handshake Authentication Protocol，CHAP)。如果雙方協(xié)商達(dá)成一致，也可以不使用任何身份認(rèn)證方法。質(zhì)詢握手協(xié)議認(rèn)證(CHAP)相比口令驗(yàn)證協(xié)議認(rèn)證(PAP)安全性更高，因?yàn)镃HAP 不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列，也被稱為“挑戰(zhàn)字符串”。

與此同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。因此，這種方式下傳輸?shù)拿艽a具有時(shí)效性。

采用PAP 的認(rèn)證方式，密碼是明碼或者采用可逆算法傳輸，而且可以通過(guò)查看登錄頁(yè)面的源代碼查到加密的算法，因此可以很容易地找到破解的算法。而CHAP 采用MD 5的加密方式是不可逆的，算法是公開(kāi)的，也就是說(shuō)偵聽(tīng)者無(wú)法從加密后的結(jié)果去反算出密碼，在整個(gè)認(rèn)證過(guò)程中的只有Radius server 和用戶知道密碼，包括BRAS 等接入設(shè)備也只是傳輸MD 5 加密后的結(jié)果，加密采用一個(gè)挑戰(zhàn)值的方式，每次認(rèn)證都不一樣，加密的結(jié)果也是每次不同，即使被黑客獲得，也會(huì)在下一次認(rèn)證時(shí)失效。

2. H ttps 的登錄頁(yè)面方式，安全性是最高的，因?yàn)閯?dòng)態(tài)SSL 的證書(shū)加密方式，目前無(wú)法破解，但是需要portal 服務(wù)器購(gòu)買(mǎi)正式的網(wǎng)站證書(shū)，成本也比較高。

3. 目前移動(dòng)運(yùn)營(yíng)商多數(shù)采用手機(jī)短信獲得動(dòng)態(tài)密碼的方式，密碼僅在10- 20 分鐘有效，這種方式與CHAP 的安全機(jī)制有異曲同工之處，均采用限制密碼的有效周期這一手段。該方法雖安全性高，但每次至少使用一條短信，成本也就隨之升高，并且操作手段相對(duì)繁瑣。

通過(guò)上述論證，城市熱點(diǎn)認(rèn)為這3 種方式彼此獨(dú)立，互不矛盾，都是提高運(yùn)營(yíng)商認(rèn)證安全的很好方法，也可混合使用。