WLAN无感知认证解决方案

“手机WiFi上网太麻烦了！不仅每次上网都要输入账号和密码，在人多的地方，比如星巴克，还经常会被挤掉而不得不反复输入账号和密码！”。这恐怕是如今使用手机WIFI上网的大多数人的感受。没错，随着WLAN网络快速部署和用户量持续上升，由于WLAN认证问题而导致的用户体验差的矛盾愈发突出。这不仅降低了用户对运营商网络质量的信赖度，而且还直接影响了WLAN分流宏蜂窝数据压力的效果，背离了部署WLAN的初衷。

如何提升WLAN用户感知，进而改善分流效果是华为电信级WLAN解决方案重点关注的问题之一。针对客户的不同情况，华为推出了“无感知认证解决方案包”，最大化匹配客户不同发展阶段的差异化需求。该“解决方案包”涵盖了目前业界通行的全部四种认证方案：Portal、EAP-PEAP、EAP-SIM和MAC地址绑定。在用户感知和认证安全性方面实现了适应终端状况、稳步提升的良性循环。此外，华为与中国移动多个省份公司开展了联合创新工作，推动了解决方案包在多个省份验证成功并落地实施。极大地促进了无感知认证的快速成熟。

1、 EAP-PEAP认证

PEAP，即为Protected-EAP“受保护的可扩展的身份验证协议”，是一项由Cisco、Microsoft和RSA共同支持的安全方案（目前在RFC处于草案阶段），具有很好的安全性，在设计上和EAP-TTLS相似。PEAP是可扩展的身份验证协议 (EAP) 家族的一个成员，目前共有三个版本，分别为V0/V1/V2，已被WPA和WPA2批准的有两个子类型 PEAPV0-MSCHAPV2和PEAPV1-GTC。由于PEAP是一个框架协议，目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP协议，已经被各移动终端的操作系统如iOS，Android、Windows等广泛支持。

802.1X框架下的EAP-PEAP认证架构如下图所示：

EAP-PEAP的认证安全性较高；具体体现在以下几个方面：

• 使用传输级别安全性(TLS) 为正在验证的 PEAP 客户端和 PEAP 身份验证器之间创建加密通道。PEAP 不指定验证方法，但是会为其他 EAP 验证协议提供额外的安全性，例如 EAP-MSCHAPv2 协议；
• 在建立TLS隧道时，终端需要对认证服务器进行证书验证，防止网络侧的仿冒行为；
• 用户认证采用MS-CHAP-V2认证方式，支持双向认证：除了服务器对用户的认证，还支持用户对服务器的认证；
• 采用802.1X技术，进行端口级别的接入控制，提高了接入控制能力和安全性。

2011年，华为与安徽移动携手，开通实验网，率先实现了EAP-PEAP认证的落地验证工作。验证结果显示，PEAP认证仅在首次接入时需要用户输入相关认证信息，相比Portal，用户体验得到较大提升。此外，市场上不同种类的手机在测试中的表现也不尽相同：Iphone和Android手机进行EAP-PEAP认证速度较快，可在3-5秒内完成；Symbian和Windows phone则相对较慢。

2、 EAP-SIM认证

SIM认证采用标准的EAP-SIM/EAP-AKA作为WLAN终端接入认证机制，用(U)SIM卡作为认证密钥分发的载体，用户连接WLAN网络不需要手动输入认证信息，通过手机（U）SIM卡自动完成认证，用户体验好。此外，SIM认证提供了很高的安全性，主要体现在：

• 密钥通过硬件载体（(U)SIM卡）分发，有效防止密钥泄露或者被盗；
• 支持伪随机用户名，保护用户真实身份不被泄露；
• 支持双向认证，除了服务器对用户的认证，还支持用户对服务器的认证；
• 采用802.1X技术，进行端口级别的接入控制，提高了接入控制能力和安全性

统一认证架构基于802.1X认证体系架构，架构图以及涉及到的网元如下图所示：

• WLAN UE为I-WLAN认证体系中的接入请求系统，用户统一认证/接入PS域业务时，WLAN UE发起EAP鉴权请求。对应802.1x架构中的客户端系统（Supplicant System）。
• WLAN AN在I-WLAN认证系统中负责WLAN UE统一认证场景的接入鉴权。对应802.1x架构中的认证者系统（Authenticator System）。
• 3GPP AAA Server为统一认证体系中用户认证的执行点，负责对WLAN UE认证和授权功能，认证和授权信息取自HLR。3GPP AAA Server与HLR一起，对应802.1x架构中的认证服务器系统（Authentication Sever System）。
• HLR在统一认证体系中负责用户鉴权和签约信息的存储，与3GPP AAA Server交互，完成鉴权和签约信息的交互。

早在2010年，华为就与浙江移动、广东移动以及山东移动联合创新，着手SIM认证的研发及落地验证工作。其中，浙江移动率先完成针对TD数据卡的SIM统一认证方案的测试工作；成功完成与异厂家对接。广州移动则成功完成首个针对手机终端的SIM统一认证方案的测试工作，并于2011年Q2商用部署。山东移动则全面完成了数据卡与手机终端的SIM统一认证方案测试，并率先实现了SIM统一认证的全省商用。

3、 MAC地址绑定认证

MAC认证是华为为适应部分客户的特殊需求而研发的WLAN无感知认证解决方案，其主要目的就是简化认证过程，同时兼容现网终端，将改造成本降至最低。通过MAC认证，用户只需在首次入网时输入用户名和密码，WLAN网络便可自动记录终端的MAC地址，并与用户名和密码建立关联，在后续的入网过程中，用户不必重复登录，网元便可以根据保存的信息，自动使用户接入到WLAN网络，并用短信的方式对用户进行提醒。

MAC认证几乎是无感知的，有效地降低了客户认证过程的复杂性。并且在提升易用性的同时，不需更换手机，不需要复杂的配置操作，非常易于推广。就运营商而言，可以通过提供MAC认证方式，吸引用户使用WLAN网络，增强移动用户黏性，并且通过发展WLAN用户，分流蜂窝网流量，最终实现网络的负载平衡。

虽然EAP-PEAP和EAP-SIM无感知认证解决方案已经出台，但是距离大规模部署还有一段时间，在这段“真空期”内，MAC地址绑定认证能有效弥补用户体验差的短板，从而为增强用户黏性、培养用户习惯起到了关键性作用。

4、 Portal认证

Portal认证是当下使用的最广的一种WLAN认证方式。其最大的有点就是可以兼容所有的终端，部署成本极低。然而，它的缺点也是显而易见的：用户在使用Portal认证登录WLAN网络时，必须手动输入用户名和密码，且每次使用数据业务时都要输入一次，十分繁琐，因此用户体验较差；另外，Portal认证过程基本没有什么安全机制，因此其安全性较差。目前，大多数手机终端已经支持PEAP和SIM认证，Portal认证的作用正在迅速降低。