【摘要】WLAN認(rèn)證方式是運(yùn)營(yíng)商解決客戶接入WLAN網(wǎng)絡(luò)服務(wù)的關(guān)鍵技術(shù)，其安全性、便捷性等因素影響著WLAN網(wǎng)絡(luò)認(rèn)證方式的選擇與推廣。對(duì)此從移動(dòng)互聯(lián)網(wǎng)應(yīng)用角度出發(fā)，以手機(jī)用戶體驗(yàn)WLAN網(wǎng)絡(luò)為主，通過(guò)對(duì)WLAN四種認(rèn)證方式安全性、易用性、終端適配性、接入速度等的分析，得出各種認(rèn)證方式的優(yōu)勢(shì)與局限性；并從運(yùn)營(yíng)商角度出發(fā)，對(duì)幾種認(rèn)證部署方案進(jìn)行比較。

　　【關(guān)鍵詞】WLANPortal認(rèn)證,MAC認(rèn)證,PEAP認(rèn)證,SIM認(rèn)證,網(wǎng)絡(luò)工程師論文

　　1前言

　　由于使用WLAN網(wǎng)絡(luò)前，需先對(duì)上網(wǎng)終端進(jìn)行設(shè)置認(rèn)證，因此用戶使用WLAN網(wǎng)絡(luò)也涉及到信息、賬戶等網(wǎng)絡(luò)安全問(wèn)題。同時(shí)，市場(chǎng)上各類(lèi)移動(dòng)上網(wǎng)終端差異性很大，有各種各樣的系統(tǒng)、繁雜的系統(tǒng)版本、尺寸不一的顯示屏幕，這些問(wèn)題也影響著WLAN網(wǎng)絡(luò)認(rèn)證方式的選擇推廣。用戶從認(rèn)證到使用WLAN網(wǎng)絡(luò)，均有較大不便，導(dǎo)致WLAN網(wǎng)絡(luò)用戶體驗(yàn)差，存在感弱，這對(duì)WLAN的推廣造成嚴(yán)重的影響，如何解決WLAN認(rèn)證的問(wèn)題顯得尤為迫切。

　　2WLAN四種認(rèn)證方式

　　目前WLAN的認(rèn)證方式有Portal認(rèn)證、MAC認(rèn)證、PEAP認(rèn)證和SIM認(rèn)證四種，下面分別予以介紹。

　　2.1Portal認(rèn)證

　　Portal認(rèn)證的基本過(guò)程是：客戶機(jī)首先通過(guò)DHCP協(xié)議獲取IP地址（也可以使用靜態(tài)IP地址），但是客戶用獲取到的IP地址并不能登上Internet，在認(rèn)證通過(guò)前只能訪問(wèn)特定的IP地址，這個(gè)地址通常是Portal服務(wù)器的IP地址。

　　Portal認(rèn)證信息與終端設(shè)備無(wú)關(guān)，用戶可以使用手機(jī)號(hào)碼或其他虛擬編號(hào)作為賬號(hào)，搜索到運(yùn)營(yíng)商的AP后，連接并獲得IP地址，打開(kāi)瀏覽器，輸入賬號(hào)和密碼便可登錄。Portal認(rèn)證有靜態(tài)密碼認(rèn)證、動(dòng)態(tài)密碼認(rèn)證、Cookie認(rèn)證、客戶端認(rèn)證四種方式，其中Cookie認(rèn)證其實(shí)是Web認(rèn)證的簡(jiǎn)化形式。

　�。�1）靜態(tài)密碼認(rèn)證：根據(jù)每個(gè)賬號(hào)設(shè)置唯一的登錄密碼，通過(guò)Portal服務(wù)器的方式進(jìn)行認(rèn)證登錄。

　�。�2）動(dòng)態(tài)密碼認(rèn)證：發(fā)送短信獲取WLAN服務(wù)登錄密碼，密碼在10分鐘內(nèi)有效。

　　（3）Cookie認(rèn)證（Portal自動(dòng)認(rèn)證）：用戶在首次登錄時(shí)輸入用戶名與密碼并勾選自動(dòng)認(rèn)證選項(xiàng)，認(rèn)證成功后，終端會(huì)在本地存放包含用戶名、密碼、自動(dòng)認(rèn)證開(kāi)通時(shí)間等信息的Cookie文件，用戶再次登錄時(shí)，可實(shí)現(xiàn)有效期內(nèi)的自動(dòng)認(rèn)證。

　　1）用戶體驗(yàn)：用戶第一次使用該認(rèn)證方式與傳統(tǒng)Portal認(rèn)證類(lèi)似，需輸入用戶名、密碼完成認(rèn)證，同時(shí)勾選后續(xù)自動(dòng)認(rèn)證。

　　2）安全性：Cookie認(rèn)證的有關(guān)用戶信息均存儲(chǔ)在Cookie文件中，該文件加密保存后，無(wú)法直接讀取，如欲盜取，只能非法拷貝。Cookie文件在終端和Portal服務(wù)器間的傳輸采用https加密方式，加密等級(jí)較低。

　　3）Portal認(rèn)證推廣關(guān)鍵因素分析見(jiàn)表1：

　　2.2MAC認(rèn)證

　　MAC認(rèn)證是一種基于端口和MAC地址對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶安裝任何客戶端認(rèn)證軟件。交換機(jī)在首次檢測(cè)到用戶的MAC地址以后，即啟動(dòng)對(duì)該用戶的認(rèn)證操作，認(rèn)證過(guò)程中也不需要用戶手動(dòng)輸入用戶名或者密碼。

　　MAC認(rèn)證需要用戶通過(guò)一次WebPortal認(rèn)證，在網(wǎng)絡(luò)認(rèn)證服務(wù)器上綁定終端MAC地址與用戶名及密碼，后續(xù)用戶再次打開(kāi)終端WLAN功能時(shí)，認(rèn)證服務(wù)器根據(jù)終端的MAC地址自動(dòng)完成認(rèn)證登錄。

　�。�1）用戶體驗(yàn)：用戶首次使用需要在Portal認(rèn)證界面輸入用戶名和密碼，網(wǎng)絡(luò)側(cè)自動(dòng)將相關(guān)信息與終端MAC地址綁定，后續(xù)再次使用可以實(shí)現(xiàn)自動(dòng)認(rèn)證（與Cookie認(rèn)證類(lèi)似，無(wú)需再次輸入賬號(hào)和密碼）。用戶更換手機(jī)、漫游時(shí)需要再次輸入用戶名與密碼，重新進(jìn)行MAC地址綁定。

　�。�2）安全性：采用MAC地址自動(dòng)認(rèn)證后，用戶的全部信息僅有MAC地址碼，可開(kāi)放讀取并在其他終端簡(jiǎn)單仿冒，易出現(xiàn)仿冒身份的問(wèn)題。終端在與網(wǎng)絡(luò)側(cè)交互MAC地址信息時(shí)，無(wú)任何加密措施，易被他人攔截并獲取有關(guān)用戶信息。

　�。�3）MAC認(rèn)證推廣關(guān)鍵因素分析見(jiàn)表2。

　　2.3PEAP認(rèn)證

　　PEAP是EAP認(rèn)證方法的一種實(shí)現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過(guò)用戶名/密碼對(duì)終端進(jìn)行認(rèn)證，終端側(cè)通過(guò)服務(wù)器證書(shū)對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。PEAP客戶端和身份驗(yàn)證器之間的PEAP身份驗(yàn)證過(guò)程有兩個(gè)階段：第一階段基于證書(shū)認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道；第二階段提供EAP客戶端和認(rèn)證服務(wù)器之間的EAP身份驗(yàn)證。

　�。�1）用戶體驗(yàn)：第一次使用需要配置用戶名/密碼，后續(xù)用戶無(wú)需介入。機(jī)卡分離后，用戶需在新終端上重新配置用戶名/密碼。PEAP需基于證書(shū)認(rèn)證網(wǎng)絡(luò)，存在證書(shū)兼容問(wèn)題，影響用戶體驗(yàn)。

　�。�2）安全性：PEAP要求終端使用匿名與AAA服務(wù)器協(xié)商建TLS隧道，之后才在TLS隧道中傳輸自己的真實(shí)接入認(rèn)證信息。但多款終端不支持上述做法，直接使用用戶的真實(shí)身份與AAA協(xié)商建立TLS隧道，暴露了用戶的真實(shí)身份。

　�。�3）PEAP認(rèn)證推廣關(guān)鍵因素分析見(jiàn)表3：

　　2.4SIM認(rèn)證

　　SIM認(rèn)證是3GPP/IETF定義的WLAN用戶認(rèn)證標(biāo)準(zhǔn)，用戶需要在HLR進(jìn)行簽約，終端將用戶（U）SIM卡的IMSI信息上報(bào)3GPPAAA服務(wù)器，由HLR實(shí)施鑒權(quán)，相關(guān)鑒權(quán)信息發(fā)送到AAA認(rèn)證服務(wù)器，由AAA服務(wù)器完成自動(dòng)認(rèn)證。

　�。�1）用戶體驗(yàn)：與用戶通過(guò)EDGE或TD上網(wǎng)類(lèi)似，用戶打開(kāi)終端WLAN開(kāi)關(guān)，終端自動(dòng)進(jìn)行網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)認(rèn)證，之后即可直接上網(wǎng)，不需要用戶交互。如按流量計(jì)費(fèi)，用戶退出可通過(guò)關(guān)閉有關(guān)應(yīng)用軟件實(shí)現(xiàn)；如按時(shí)長(zhǎng)計(jì)費(fèi)，用戶下線需手動(dòng)關(guān)閉WLAN開(kāi)關(guān)。（2）安全性：用戶所有信息保存在SIM卡上，無(wú)法直接讀取，空中接口采用WPA/WPA2加密方式（安全等級(jí)較Cookie認(rèn)證更高），HLR鑒權(quán)采用Challenge機(jī)制，安全性高。

　�。�3）SIM認(rèn)證推廣關(guān)鍵因素分析見(jiàn)表4：

　　3WLAN四種認(rèn)證方式比較

　　WLAN四種認(rèn)證方式的綜合比較如表5所示。

　�。�1）Portal認(rèn)證雖然安全性一般，但客戶使用簡(jiǎn)便，適用于所有終端，客戶端支持主流操作系統(tǒng)，無(wú)需進(jìn)行網(wǎng)絡(luò)改造，容易部署推廣。

　�。�2）MAC認(rèn)證方式簡(jiǎn)單，但安全性較差，容易出現(xiàn)計(jì)費(fèi)問(wèn)題，需對(duì)AC進(jìn)行改造。

　�。�3）PEAP認(rèn)證方式簡(jiǎn)單，安全性高，但對(duì)手機(jī)操作系統(tǒng)要求較高，兼容Portal認(rèn)證但與客戶端兼容性差，且無(wú)法區(qū)分手機(jī)和PC，部署難度較大，需改動(dòng)AAA認(rèn)證系統(tǒng)和AC。

　�。�4）SIM認(rèn)證方式簡(jiǎn)單，安全性最高，但與Portal認(rèn)證不兼容，對(duì)手機(jī)操作系統(tǒng)要求較高，部署難度較大，需改動(dòng)AAA認(rèn)證系統(tǒng)和AC。

　　4運(yùn)營(yíng)商認(rèn)證方式選取策略

　　運(yùn)營(yíng)商選取認(rèn)證方式主要從客戶認(rèn)證便利、成本安全、擴(kuò)展行等因素考慮。

　　（1）認(rèn)證便利

　　Portal認(rèn)證和MAC認(rèn)證對(duì)用戶的門(mén)檻較低，PEAP認(rèn)證和SIM認(rèn)證對(duì)用戶有一定的使用門(mén)檻，但均屬于首次使用門(mén)檻，門(mén)檻主要是針對(duì)新用戶；針對(duì)成熟的業(yè)務(wù)客戶，使用門(mén)檻的差距不大。剔除門(mén)檻因素外，認(rèn)證接入速度是一個(gè)比較全面的技術(shù)指標(biāo)，在測(cè)試環(huán)境下，對(duì)同一組AC、AP組網(wǎng)WLAN網(wǎng)絡(luò)，針對(duì)上述幾種認(rèn)證方式進(jìn)行接入對(duì)比測(cè)試，從接入測(cè)試案例看，MAC認(rèn)證過(guò)程平均接入1.8s，Portal認(rèn)證過(guò)程平均接入3.2s，SIM認(rèn)證平均接入5.7s，PEAP認(rèn)證平均接入7.2s。綜合上述兩個(gè)因素，從客戶認(rèn)證便利性看，次序是MAC認(rèn)證、Portal認(rèn)證、SIM認(rèn)證、PEAP認(rèn)證。

　　（2）成本安全

　　MAC的安全性無(wú)法保障，一般運(yùn)營(yíng)商不會(huì)建設(shè)使用；從建設(shè)成本看，Portal認(rèn)證的成本最低，其次是PEAP認(rèn)證，再次是SIM認(rèn)證。

　�。�3）擴(kuò)展性

　　從擴(kuò)展性看，SIM認(rèn)證的擴(kuò)展性最強(qiáng)，能與蜂窩網(wǎng)進(jìn)行高度融合，長(zhǎng)遠(yuǎn)看可實(shí)現(xiàn)語(yǔ)音、數(shù)據(jù)的無(wú)縫切換；Portal擴(kuò)展性較差，PEAP認(rèn)證介于兩者之間。

　　綜合考慮，從當(dāng)前業(yè)務(wù)發(fā)展看，運(yùn)營(yíng)商應(yīng)以Portal（含Cookie）認(rèn)證為主要WLAN業(yè)務(wù)接入方式，并積極開(kāi)展SIM認(rèn)證試點(diǎn)部署，為未來(lái)業(yè)務(wù)發(fā)展儲(chǔ)備相關(guān)技術(shù)及業(yè)務(wù)方案。

　　在Portal認(rèn)證推廣上可使用Cookie認(rèn)證提高手機(jī)用戶使用的便利性，針對(duì)目前安卓及iOS系統(tǒng)智能手機(jī)的高速發(fā)展，可提供APP應(yīng)用方式的客戶端認(rèn)證產(chǎn)品或認(rèn)證插件，簡(jiǎn)化用戶登錄WLAN的操作流程。

　　客戶端（或插件）一般在用戶首次登錄時(shí)輸入用戶名與密碼，認(rèn)證成功后，客戶端會(huì)記住用戶名及密碼，并可實(shí)現(xiàn)自動(dòng)認(rèn)證�？蛻舳苏J(rèn)證具有以下優(yōu)勢(shì)：

　　1）終端適用性：支持所有終端和主流操作系統(tǒng)，便于推廣。

　　2）登錄便捷性：登錄方式簡(jiǎn)單，便于用戶使用。

　　3）用戶體驗(yàn)性：可融合其它功能，提高用戶使用體驗(yàn)。

　　4）信息安全性：安全性較高，信息一般不易被盜取。

　　5）推廣部署：基本所有網(wǎng)元都支持，無(wú)需進(jìn)行網(wǎng)絡(luò)改造。

　　6）計(jì)費(fèi)實(shí)現(xiàn)：便于實(shí)現(xiàn)按流量計(jì)費(fèi)和時(shí)長(zhǎng)計(jì)費(fèi)。

　　7）潛在風(fēng)險(xiǎn)：客戶在更換終端或漫游方面基本無(wú)風(fēng)險(xiǎn)。

　　參考文獻(xiàn)：

　　[1]Portal認(rèn)證技術(shù)[EB/OL].（2013-02-21）.http：//wenku.baidu.com/view/aeb0092bbcd126fff7050b4d.html.

　　[2]MAC認(rèn)證技術(shù)[EB/OL].（2011-11-25）.http：//wenku.baidu.com/view/4323ee13866fb84ae45c8d5f.html.

　　[3]WLAN無(wú)感知認(rèn)證試點(diǎn)技術(shù)方案（PEAP認(rèn)證）[EB/OL].（2011-09-18）.http：//wenku.baidu.com/view/6e2eeed284254b35eefd3426.html.

　　[4]WLAN無(wú)感知認(rèn)證試點(diǎn)技術(shù)方案（SIM認(rèn)證）[EB/OL].（2011-08-14）.http：//wenku.baidu.com/view/ec78e42e7375a417866f8f54.html

---

轉(zhuǎn)載請(qǐng)注明來(lái)自：http://www.jinnzone.com/jisuanjiwangluolw/25488.html