李林江

（中國電信股份有限公司廣東研究院艾特實(shí)驗(yàn)室 廣州 510630）

1 前言

近年來，由于 WLAN（wireless local area network，無線局域網(wǎng)）的低成本和便攜性，被廣泛應(yīng)用在互聯(lián)網(wǎng)接入領(lǐng)域中。越來越多的移動(dòng)設(shè)備（筆記本、智能手機(jī)和 PDA等）開始支持 IEEE 802.11標(biāo)準(zhǔn)。隨著智能手機(jī)、平板電腦的廣泛應(yīng)用，用戶對WLAN的認(rèn)知度和依賴程度越來越大，更加關(guān)注網(wǎng)絡(luò)安全和服務(wù)質(zhì)量問題，然而傳統(tǒng)的Web portal、cookie認(rèn)證和客戶端登錄流程復(fù)雜、便利性差等原因嚴(yán)重影響了用戶的體驗(yàn)。因此，如何提供快速、優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)和業(yè)務(wù)體驗(yàn)，提升用戶感知，提高用戶滿意度已成為電信運(yùn)營商日益關(guān)注的焦點(diǎn)。

2 IEEE 802.1x認(rèn)證技術(shù)

為了解決IEEE 802.11的安全問題，IEEE 802工作組制定了IEEE 802.1x標(biāo)準(zhǔn)。IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，為用戶提供了標(biāo)準(zhǔn)的認(rèn)證和鑒權(quán)框架，實(shí)現(xiàn)網(wǎng)絡(luò)接入設(shè)備對所接入的用戶設(shè)備進(jìn)行端口的認(rèn)證和控制，如果用戶設(shè)備能夠通過認(rèn)證服務(wù)器的認(rèn)證和授權(quán)，便可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。

2.1 IEEE 802.1x的體系結(jié)構(gòu)

IEEE 802.1x的體系結(jié)構(gòu)采用典型的客戶端/服務(wù)器方式，包括3個(gè)實(shí)體：客戶端、設(shè)備端和認(rèn)證服務(wù)器[1]，如圖1所示。

· 客戶端：接入認(rèn)證請求端，位于局域網(wǎng)一側(cè)的實(shí)體?？蛻舳擞脩敉ㄟ^發(fā)送EAPOL（extensible-authenticationprotocol over LAN，局域網(wǎng)可擴(kuò)展認(rèn)證協(xié)議）發(fā)起IEEE 802.1x認(rèn)證。

·設(shè)備端：對客戶端進(jìn)行認(rèn)證，通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備（胖AP或集中控制型AC），為客戶端提供接入局域網(wǎng)的端口，分為受控端口和非受控端口，既可以是物理端口，也可以是邏輯端口。

·認(rèn)證服務(wù)器：為設(shè)備端提供認(rèn)證服務(wù)，通常為RADIUS（remote authentication dial-in user service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）服務(wù)器，主要實(shí)現(xiàn)對用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)等功能[1]。

2.2 IEEE 802.1x認(rèn)證的工作機(jī)制

在IEEE 802.lx認(rèn)證系統(tǒng)中，設(shè)備端主要對認(rèn)證信息起傳遞作用，并把認(rèn)證服務(wù)器認(rèn)證的結(jié)果作用到端口，其本身并不參與具體的認(rèn)證過程[1]，因此需要通過上層的協(xié)議協(xié)助完成認(rèn)證，EAP（extensible authentication protocol，可擴(kuò)展的認(rèn)證協(xié)議）用于實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。

·在客戶端與設(shè)備端之間，EAP報(bào)文采用EAPOL消息封裝格式，應(yīng)用于局域網(wǎng)環(huán)境中。

· 在設(shè)備端與認(rèn)證服務(wù)器之間，EAP報(bào)文傳遞和交換方式有兩種:一種由設(shè)備端進(jìn)行中繼，使用EAPOR（EAP over RADIUS，可擴(kuò)展的遠(yuǎn)程撥號(hào)認(rèn)證協(xié)議）消息封裝格式，承載于RADIUS協(xié)議中；另一種由設(shè)備端進(jìn)行終結(jié)，利用PAP或CHAP的報(bào)文與認(rèn)證服務(wù)器進(jìn)行認(rèn)證交互。

· 當(dāng)客戶端認(rèn)證通過后，認(rèn)證服務(wù)器將認(rèn)證的用戶信息傳遞給設(shè)備端，設(shè)備端再根據(jù)認(rèn)證服務(wù)器反饋的信息（接受或拒絕）決定受控端口為授權(quán)或非授權(quán)狀態(tài)。

3 WLAN無感知認(rèn)證關(guān)鍵技術(shù)

WLAN無感知認(rèn)證技術(shù)是一種由終端自動(dòng)識(shí)別的接入認(rèn)證方式，當(dāng)用戶使用具有Wi-Fi功能的手機(jī)或平板電腦時(shí)，通過首次簡單的配置后，以后無需用戶參與即可自動(dòng)完成接入認(rèn)證服務(wù)[2]。WLAN無感知認(rèn)證主要基于IEEE 802.1x/EAP的集中式處理方式，采用EAP作為認(rèn)證體系的消息傳遞機(jī)制。IEEE 802.1x是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，為用戶提供了標(biāo)準(zhǔn)的認(rèn)證和鑒權(quán)框架，實(shí)現(xiàn)網(wǎng)絡(luò)接入設(shè)備對所接入的用戶設(shè)備進(jìn)行端口的認(rèn)證和控制[2]。EAP基于服務(wù)器/客戶端的體系結(jié)構(gòu)，提供了一些常見的功能和認(rèn)證所需的身份驗(yàn)證機(jī)制，在此框架內(nèi)大約有幾十種不同的認(rèn)證方法，常用的方法包括LEAP、PSK、TLS、FAST、PEAP（protected extensibleauthentication protocol，受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議）、SIM/AKA等[3]，如圖2所示。

圖1 IEEE 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)

圖2 常見的EAP認(rèn)證方法

根據(jù)調(diào)查，無感知認(rèn)證主流的身份認(rèn)證技術(shù)主要有PEAP、EAP-SIM/AKA及MAC地址認(rèn)證方式。絕大多數(shù)智能終端及筆記本電腦都可通過以上方式進(jìn)行用戶身份認(rèn)證和自動(dòng)接入，避免傳統(tǒng)Web+portal認(rèn)證方式帶來的繁瑣操作，極大地提升了用戶的業(yè)務(wù)使用體驗(yàn)。以下分別對這3種主流認(rèn)證方式的技術(shù)原理進(jìn)行簡要分析。

3.1 PEAP認(rèn)證技術(shù)原理

PEAP是EAP認(rèn)證方法的一種實(shí)現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過用戶名/密碼對終端進(jìn)行認(rèn)證，終端側(cè)通過服務(wù)器證書對網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。用戶首次使用PEAP認(rèn)證時(shí)，需輸入用戶名和密碼，后續(xù)接入認(rèn)證無需用戶進(jìn)行任何手工操作，由終端自動(dòng)完成。PEAP的認(rèn)證安全性較高，具體體現(xiàn)在以下幾個(gè)方面。

·PEAP客戶端和PEAP認(rèn)證服務(wù)器之間使用TLS（transport layer security，安全傳輸層）協(xié)議創(chuàng)建加密通道。

· 在建立TLS隧道時(shí)，終端需要對認(rèn)證服務(wù)器進(jìn)行證書驗(yàn)證，防止網(wǎng)絡(luò)側(cè)的仿冒行為。

·支持雙向認(rèn)證，用戶認(rèn)證采用MS-CHAP-V2（microsoft-challenge-handshake-authentication-protocolversion 2，微軟質(zhì)詢握手鑒別協(xié)議）認(rèn)證方式，不僅支持服務(wù)器對用戶的認(rèn)證，而且支持用戶對服務(wù)器的認(rèn)證。

PEAP認(rèn)證技術(shù)原理為：基于EAP認(rèn)證協(xié)議框架，使用證書+用戶名密碼實(shí)現(xiàn)用戶WLAN接入鑒權(quán)。終端與網(wǎng)絡(luò)關(guān)聯(lián)后，首先基于證書認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道，將存儲(chǔ)在終端中的用戶名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)進(jìn)行用戶身份認(rèn)證，認(rèn)證通過后AC分配IP地址進(jìn)行互聯(lián)網(wǎng)訪問[4]。PEAP認(rèn)證系統(tǒng)主要網(wǎng)元包括WLAN終端、WLAN設(shè)備、AAA服務(wù)器，如圖3所示。

PEAP認(rèn)證系統(tǒng)主要網(wǎng)元介紹如下。

·WLAN終端：為認(rèn)證接入請求點(diǎn)，具備Wi-Fi功能的終端設(shè)備。當(dāng)用戶終端連接無線網(wǎng)絡(luò)時(shí)，向PEAP認(rèn)證系統(tǒng)發(fā)起身份鑒權(quán)請求，功能相當(dāng)于IEEE 802.1x架構(gòu)中的客戶端；

·WLAN設(shè)備：主要由AP和AC兩大實(shí)體組成，其在PEAP認(rèn)證中負(fù)責(zé)用戶終端的接入鑒權(quán)，AP網(wǎng)元應(yīng)支持IEEE 802.11i的加密功能，AC網(wǎng)元應(yīng)支持IEEE 802.1x認(rèn)證功能。

·3GPPAAA服務(wù)器：為PEAP用戶認(rèn)證的執(zhí)行點(diǎn)，其在PEAP認(rèn)證體系里主要由CA證書服務(wù)器和PEAP認(rèn)證服務(wù)器兩部分組成，實(shí)現(xiàn)CA證書授權(quán)和PEAP認(rèn)證功能。

PEAP認(rèn)證總體流程主要有認(rèn)證初始化、隧道建立、認(rèn)證過程、地址分配以及計(jì)費(fèi)開始5個(gè)階段，如圖4所示。

PEAP認(rèn)證流程簡要說明如下。

（1）認(rèn)證初始化：首先終端和WLAN AN建立關(guān)聯(lián)，然后終端向3GPPAAA服務(wù)器發(fā)起鑒權(quán)請求。

（2）建立TLS隧道：基于證書認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道。客戶端采用證書認(rèn)證服務(wù)器，完成TLS握手，建立PEAP客戶端和認(rèn)證服務(wù)器之間的安全通道[4,5]。

（3）認(rèn)證過程：客戶端和認(rèn)證服務(wù)器之間基于用戶名/密碼進(jìn)行EAP身份驗(yàn)證。整個(gè)EAP通信包括EAP協(xié)商在內(nèi)，都通過TLS通道進(jìn)行。服務(wù)器對用戶和客戶端進(jìn)行身份驗(yàn)證，具體方法由EAP類型決定，在PEAP內(nèi)部選擇使用（如 EAP-MS-CHAPv2）[6]。

（4）IP地址分配：PEAP認(rèn)證完成后，WLAN終端開啟DHCP交互流程，并獲取合法的IP地址，用戶可以通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)資源。

（5）計(jì)費(fèi)：包括計(jì)費(fèi)開始、計(jì)費(fèi)更新和計(jì)費(fèi)結(jié)束三大流程，實(shí)現(xiàn)用戶上網(wǎng)流量統(tǒng)計(jì)、在線時(shí)長和計(jì)費(fèi)等功能。WLAN AN作為計(jì)費(fèi)的前端，主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務(wù)器，由RADIUS服務(wù)器生成用戶WLAN業(yè)務(wù)計(jì)費(fèi)清單[1]。

3.2 EAP-SIM認(rèn)證技術(shù)原理

EAP-SIM認(rèn)證也是EAP認(rèn)證方法的一種實(shí)現(xiàn)方式，使用標(biāo)準(zhǔn)的EAP-SIM/AKA作為Wi-Fi終端接入認(rèn)證機(jī)制，用戶連接無線網(wǎng)絡(luò)時(shí)不需要手動(dòng)輸入認(rèn)證信息，通過SIM卡自動(dòng)完成認(rèn)證，提供良好的用戶體驗(yàn)。另外，EAP-SIM認(rèn)證提供很高的安全性，主要體現(xiàn)在如下幾個(gè)方面：

圖3 PEAP認(rèn)證系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

圖4 PEAP認(rèn)證總體接入流程

·通過SIM卡進(jìn)行認(rèn)證密鑰分發(fā)，有效防止密鑰泄露和盜用；

·支持偽隨機(jī)用戶名，防止用戶真實(shí)身份泄露；

·支持雙向認(rèn)證，服務(wù)器對用戶的認(rèn)證和用戶對服務(wù)器的認(rèn)證；

·接入控制采用IEEE 802.1x技術(shù)進(jìn)行端口級(jí)別管理，提高接入控制能力和安全性。

EAP-SIM認(rèn)證技術(shù)原理：基于EAP認(rèn)證協(xié)議框架，通過SIM卡的認(rèn)證密鑰分發(fā)實(shí)現(xiàn)用戶的Wi-Fi接入鑒權(quán)。終端首次登錄時(shí)，需將SIM卡的IMSI信息上報(bào)3GPPAAA服務(wù)器，3GPPAAA服務(wù)器根據(jù)HLR鑒權(quán)和簽約信息與終端交互完成認(rèn)證，后續(xù)終端可直接使用網(wǎng)絡(luò)分配的偽標(biāo)識(shí)進(jìn)行認(rèn)證。認(rèn)證通過后，AC才為用戶分配IP地址進(jìn)行互聯(lián)網(wǎng)絡(luò)訪問。EAP-SIM認(rèn)證系統(tǒng)主要網(wǎng)元有WLAN終端、WLAN設(shè)備、AAA服務(wù)器以及HLR系統(tǒng)，如圖5所示。

圖5 EAP-SIM認(rèn)證網(wǎng)絡(luò)結(jié)構(gòu)

EAP-SIM認(rèn)證主要網(wǎng)元及終端說明如下。

·WLAN終端：為EAP-SIM認(rèn)證中的接入請求系統(tǒng)，主要指智能手機(jī)、平板電腦或帶內(nèi)置無線網(wǎng)卡的電腦等設(shè)備。當(dāng)用戶進(jìn)行EAP-SIM認(rèn)證時(shí)，WLAN用戶終端發(fā)起鑒權(quán)請求。

· WLAN設(shè)備：包括AP和AC兩大實(shí)體，其在EAP-SIM認(rèn)證中負(fù)責(zé)用戶終端的接入鑒權(quán)，AP網(wǎng)元應(yīng)支持IEEE 802.11i的加密功能，AC網(wǎng)元應(yīng)支持 IEEE 802.1x認(rèn)證功能。

·3GPPAAA服務(wù)器：為SIM用戶認(rèn)證的執(zhí)行點(diǎn)，實(shí)現(xiàn)用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)功能，另外還包括業(yè)務(wù)功能域、協(xié)議與接口域、管理域等功能模塊。

·HLR系統(tǒng)：在SIM認(rèn)證體系中實(shí)現(xiàn)用戶鑒權(quán)和簽約信息的存儲(chǔ)，與3GPPAAA服務(wù)器連接，完成鑒權(quán)和簽約信息的交互。

EAP-SIM認(rèn)證總體接入流程主要有建立IEEE 802.11關(guān)聯(lián)、認(rèn)證授權(quán)、IP地址分配、計(jì)費(fèi) 5個(gè)階段，如圖 6所示。

EAP-SIM認(rèn)證流程說明如下。

（1）建立關(guān)聯(lián)：首先終端和WLAN AN建立關(guān)聯(lián)，然后終端向3GPPAAA服務(wù)器發(fā)起鑒權(quán)請求。

（2）認(rèn)證授權(quán)：WLAN終端與3GPPAAA服務(wù)器之間開始EAP-SIM/AKA認(rèn)證階段，進(jìn)行雙向身份認(rèn)證，生成會(huì)話密鑰，只有雙向認(rèn)證通過之后，服務(wù)器端才發(fā)送EAP success消息給客戶端，客戶端才可以接入網(wǎng)絡(luò)。

（3）IP地址分配：EAP-SIM/AKA認(rèn)證完成后，WLAN終端開啟DHCP交互流程，并獲取合法的IP地址，用戶可以通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)資源。

（4）計(jì)費(fèi)：包括計(jì)費(fèi)開始、計(jì)費(fèi)更新和計(jì)費(fèi)結(jié)束三大流程，實(shí)現(xiàn)用戶上網(wǎng)流量統(tǒng)計(jì)、在線時(shí)長和計(jì)費(fèi)等功能。WLAN AN作為計(jì)費(fèi)的前端，主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務(wù)器，由RADIUS服務(wù)器生成用戶WLAN業(yè)務(wù)計(jì)費(fèi)清單。

3.3 MAC地址認(rèn)證技術(shù)原理

由于手機(jī)終端和平板電腦操作的局限性，目前portal認(rèn)證方式或客戶端軟件完成整個(gè)認(rèn)證過程操作步驟相對復(fù)雜、技術(shù)性要求比較高，與2G/3G體驗(yàn)差距較大。而EAP-SIM認(rèn)證受限于終端和網(wǎng)絡(luò)，無法在短期內(nèi)形成規(guī)模，MAC地址認(rèn)證方案主要針對以上問題進(jìn)行優(yōu)化，利用終端MAC地址作為認(rèn)證的交互信息，同時(shí)通過短信進(jìn)行身份信息校驗(yàn)，附著即認(rèn)證，可有效提升用戶體驗(yàn)。

MAC地址認(rèn)證技術(shù)原理：基于EAP認(rèn)證協(xié)議框架，通過終端MAC地址和用戶名/密碼信息驗(yàn)證接入用戶的合法性。用戶首次登錄時(shí)，Web認(rèn)證通過后，網(wǎng)絡(luò)側(cè)綁定終端網(wǎng)卡MAC地址與手機(jī)號(hào)碼。當(dāng)用戶再次接入相同WLAN，不必重復(fù)登錄，認(rèn)證服務(wù)器會(huì)根據(jù)保存的信息，讓用戶自動(dòng)接入WLAN，并可以通過短信的方式提醒用戶。MAC地址認(rèn)證系統(tǒng)的主要網(wǎng)元有WLAN終端、WLAN設(shè)備、AAA服務(wù)器、MAC綁定服務(wù)器、短信網(wǎng)關(guān)，如圖7所示。

MAC地址認(rèn)證主要網(wǎng)元及終端說明如下。

圖6 EAP-SIM認(rèn)證總體接入流程

圖7 MAC地址認(rèn)證網(wǎng)絡(luò)結(jié)構(gòu)

·WLAN終端：為MAC地址認(rèn)證中的接入請求系統(tǒng)，主要指智能手機(jī)、平板電腦或帶內(nèi)置無線網(wǎng)卡的電腦等設(shè)備。當(dāng)用戶進(jìn)行MAC地址認(rèn)證時(shí)，WLAN用戶終端發(fā)起鑒權(quán)請求。

·WLAN設(shè)備：主要由AP和AC兩大實(shí)體組成，其在MAC地址認(rèn)證中負(fù)責(zé)WLAN用戶終端的接入鑒權(quán)。

·MAC綁定服務(wù)器：核對用戶MAC地址的有效性，保存手機(jī)MAC地址、用戶名/密碼的對應(yīng)關(guān)系?？刹樵僊AC綁定信息及狀態(tài)管理，包括MAC、手機(jī)號(hào)碼、信息校驗(yàn)及綁定狀態(tài)等管理。

·3GPPAAA服務(wù)器：為MAC地址認(rèn)證體系中用戶認(rèn)證的執(zhí)行點(diǎn)，負(fù)責(zé)對WLAN用戶終端認(rèn)證和授權(quán)功能，對應(yīng)IEEE 802.1x架構(gòu)中的認(rèn)證服務(wù)器系統(tǒng)。

· 短信網(wǎng)關(guān)：短信提示及用戶交互功能，主要用于用戶綁定、解除捆綁等短信內(nèi)容。

MAC認(rèn)證總體接入流程包括無線建立關(guān)聯(lián)、地址分配、認(rèn)證授權(quán)、計(jì)費(fèi)幾個(gè)階段，總體接入流程如圖8所示。

MAC地址認(rèn)證接入流程說明如下。

（1）認(rèn)證初始化：用戶附著WLAN，終端和AP/AC建立關(guān)聯(lián)。

（2）地址分配：終端向AP/AC發(fā)起IP地址請求，通過DHCP獲取IP地址，同時(shí)AC監(jiān)測用戶上網(wǎng)流量。

（3）認(rèn)證授權(quán)：主要分為MAC地址檢查和portal認(rèn)證2個(gè)階段。AC設(shè)置一定的流量閾值，達(dá)到閾值即向MAC服務(wù)器發(fā)起MAC查詢請求，查詢是否綁定。若MAC地址已綁定，則攜帶賬號(hào)、密碼等信息向AC發(fā)起portal認(rèn)證，AC封裝認(rèn)證請求報(bào)文，向3GPPAAA服務(wù)器發(fā)起認(rèn)證請求，請求通過后AC放行用戶訪問Internet，并告知用戶上線。若MAC地址未綁定，則AC向智能終端推送portal頁面，進(jìn)行正常認(rèn)證流程，并且3GPPAAA服務(wù)器將用戶賬號(hào)和MAC進(jìn)行綁定。綁定操作完成后，3GPPAAA服務(wù)器調(diào)用短信網(wǎng)關(guān)程序下發(fā)短信。

（4）計(jì)費(fèi)：包括計(jì)費(fèi)開始、計(jì)費(fèi)更新和計(jì)費(fèi)結(jié)束三大流程，實(shí)現(xiàn)用戶上網(wǎng)流量統(tǒng)計(jì)、在線時(shí)長和計(jì)費(fèi)等功能。WLAN AN作為計(jì)費(fèi)的前端，主要將采集的原始數(shù)據(jù)傳遞給RADIUS服務(wù)器，由RADIUS服務(wù)器生成用戶WLAN業(yè)務(wù)計(jì)費(fèi)清單。

4 PEAP/SIM/MAC認(rèn)證方式對比

與傳統(tǒng)的認(rèn)證方式不同，無感知認(rèn)證技術(shù)為用戶提供方便快捷的WLAN接入服務(wù)，極大地改變傳統(tǒng)繁瑣接入認(rèn)證模式，有效提升用戶感知。以下分別從用戶體驗(yàn)、終端兼容性、安全性以及改造成本方面對3種無感知認(rèn)證方式進(jìn)行對比。

· 用戶體驗(yàn)：當(dāng)用戶終端開通無感知認(rèn)證功能，無論是使用PEAP認(rèn)證、EAP-SIM認(rèn)證或MAC地址認(rèn)證，只要在運(yùn)營商Wi-Fi網(wǎng)絡(luò)覆蓋的區(qū)域內(nèi)，均可享受自動(dòng)登錄體驗(yàn)。不同的是，PEAP與MAC地址首次認(rèn)證時(shí)需要配置用戶名和密碼的登錄信息，而EAP-SIM認(rèn)證首次登錄不需要配置相關(guān)用戶信息，完全由終端自動(dòng)處理，認(rèn)證過程相對簡單，但是無法實(shí)現(xiàn)機(jī)卡分離，因此平板電腦用戶無法通過EAP-SIM認(rèn)證接入。

·終端兼容性：根據(jù)目前市面上主流的智能終端的測試和研究，得出無感知認(rèn)證方式的兼容性結(jié)果，見表1。

表1 無感知認(rèn)證方式的兼容性對比

從表1可以看出，3種主流的無感知認(rèn)證方式PEAP與MAC兼容性相對較好，支持所有類型的智能終端，而Android和Windows Mobile的智能終端都不支持EAP-SIM認(rèn)證，但PEAP認(rèn)證存在證書兼容性問題，部分Windows Mobile終端需要手工安裝證書才能使用PEAP認(rèn)證。

· 安全性：3種認(rèn)證方式中，EAP-SIM的安全性最好，由于直接與SIM卡綁定，共用SIM卡的鑒權(quán)方式；PEAP的安全性次之；而MAC地址的安全性是最差的，因?yàn)镸AC地址屬于半公開信息，黑客竊取和偽造比較簡單，只需要偽造用戶MAC地址即可接入。表2給出了這幾種認(rèn)證協(xié)議在一些安全特性上的比較結(jié)果。

·改造成本：由于受到2G/3G網(wǎng)絡(luò)HLR-license因素的影響，EAP-SIM改造成本較高。EAP-PEAP、MAC方式改造成本較小，PEAP認(rèn)證需要3GPP AAA服務(wù)器配置認(rèn)證證書，需評估不同服務(wù)器證書與各類終端的兼容性，如果服務(wù)器證書與終端預(yù)置證書驗(yàn)證不匹配PEAP認(rèn)證可能失敗。

表2 無感知認(rèn)證方式的安全性對比

綜上所述，EAP-SIM/AKA認(rèn)證方式的優(yōu)勢在于加密性能最好，仿制可能性小；與SIM卡綁定，解決了換機(jī)問題；支持WLAN作為通信網(wǎng)統(tǒng)一認(rèn)證上網(wǎng)，統(tǒng)一接入分組業(yè)務(wù)。而它的劣勢在于對手機(jī)要求較高，手機(jī)操作系統(tǒng)支持少，網(wǎng)絡(luò)改造較多，portal認(rèn)證不兼容。PEAP認(rèn)證方式的優(yōu)勢在于認(rèn)證兼容性較好，加密方式較好，兼容現(xiàn)有portal認(rèn)證方式；而劣勢同樣是對手機(jī)要求較高，網(wǎng)絡(luò)改造較大。MAC認(rèn)證方式的優(yōu)勢在于終端適配和認(rèn)證兼容性較好，支持大部分WLAN終端和兼容現(xiàn)有portal認(rèn)證方式，劣勢在于MAC地址仿冒問題很難根本性解決[6,7]。

5 結(jié)束語

通過以上介紹可以看出，目前主流的3種無感知技術(shù)方案都以簡化用戶認(rèn)證流程、提升用戶感知為目的，向用戶提供更好的WLAN業(yè)務(wù)，使用戶能夠更加方便、快捷、自由地使用WLAN業(yè)務(wù)，各自存在一定的優(yōu)缺點(diǎn)。如何能將其優(yōu)點(diǎn)相結(jié)合，提出更加優(yōu)化和完善的解決方案是未來研究的重點(diǎn)。未來WLAN業(yè)務(wù)的發(fā)展趨勢需要實(shí)現(xiàn)WLAN與2G/3G網(wǎng)絡(luò)的融合及統(tǒng)一，以WLAN分流2G網(wǎng)絡(luò)數(shù)據(jù)流量、緩解無線網(wǎng)絡(luò)壓力為發(fā)展目標(biāo)，引導(dǎo)更多的手機(jī)流量遷移到WLAN，提高電信運(yùn)營商在WLAN領(lǐng)域的市場競爭力，樹立良好的企業(yè)形象。

1 劉曉峰.IEEE 802.1x/EAP認(rèn)證方法的研究與分析.赤峰學(xué)院學(xué)報(bào)，2012(7)

2 劉長瑞，聶明.無感知WLAN業(yè)務(wù)認(rèn)證方式的分析.電信工程技術(shù)與標(biāo)準(zhǔn)化，2012(8)

3 柳瑞蕓，彭宇，張旭平.基于EAP的WLAN認(rèn)證技術(shù).通信技術(shù)，2004(2):56～58

4 賈立波，陳利學(xué)，賈從茂等.IEEE 802.1x/PEAP認(rèn)證方法的研究和應(yīng)用.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009(5)

5 王璐，曹秀英.EAP協(xié)議及其應(yīng)用.通信技術(shù)，2002(7)

6 管政，李勇.EAP-PEAP自動(dòng)認(rèn)證應(yīng)用于運(yùn)營商WLAN網(wǎng)絡(luò)的組網(wǎng)方案.廣東通信技術(shù)，2012(8)

7 Lei J,Fu X M,Hogrefe D.Comparative studies on authentication and key exchange methods for IEEE 802.11 wireless LAN.Computers and Security,2007(26):401～409