网络工程师论文运营商WLAN认证方式研究

　　【摘要】WLAN认证方式是运营商解决客户接入WLAN网络服务的关键技术，其安全性、便捷性等因素影响着WLAN网络认证方式的选择与推广。对此从移动互联网应用角度出发，以手机用户体验WLAN网络为主，通过对WLAN四种认证方式安全性、易用性、终端适配性、接入速度等的分析，得出各种认证方式的优势与局限性；并从运营商角度出发，对几种认证部署方案进行比较。

　　【关键词】WLANPortal认证,MAC认证,PEAP认证,SIM认证,网络工程师论文

　　1前言

　　由于使用WLAN网络前，需先对上网终端进行设置认证，因此用户使用WLAN网络也涉及到信息、账户等网络安全问题。同时，市场上各类移动上网终端差异性很大，有各种各样的系统、繁杂的系统版本、尺寸不一的显示屏幕，这些问题也影响着WLAN网络认证方式的选择推广。用户从认证到使用WLAN网络，均有较大不便，导致WLAN网络用户体验差，存在感弱，这对WLAN的推广造成严重的影响，如何解决WLAN认证的问题显得尤为迫切。

　　2WLAN四种认证方式

　　目前WLAN的认证方式有Portal认证、MAC认证、PEAP认证和SIM认证四种，下面分别予以介绍。

　　2.1Portal认证

　　Portal认证的基本过程是：客户机首先通过DHCP协议获取IP地址（也可以使用静态IP地址），但是客户用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是Portal服务器的IP地址。

　　Portal认证信息与终端设备无关，用户可以使用手机号码或其他虚拟编号作为账号，搜索到运营商的AP后，连接并获得IP地址，打开浏览器，输入账号和密码便可登录。Portal认证有静态密码认证、动态密码认证、Cookie认证、客户端认证四种方式，其中Cookie认证其实是Web认证的简化形式。

　　（1）静态密码认证：根据每个账号设置唯一的登录密码，通过Portal服务器的方式进行认证登录。

　　（2）动态密码认证：发送短信获取WLAN服务登录密码，密码在10分钟内有效。

　　（3）Cookie认证（Portal自动认证）：用户在首次登录时输入用户名与密码并勾选自动认证选项，认证成功后，终端会在本地存放包含用户名、密码、自动认证开通时间等信息的Cookie文件，用户再次登录时，可实现有效期内的自动认证。

　　1）用户体验：用户第一次使用该认证方式与传统Portal认证类似，需输入用户名、密码完成认证，同时勾选后续自动认证。

　　2）安全性：Cookie认证的有关用户信息均存储在Cookie文件中，该文件加密保存后，无法直接读取，如欲盗取，只能非法拷贝。Cookie文件在终端和Portal服务器间的传输采用https加密方式，加密等级较低。

　　3）Portal认证推广关键因素分析见表1：

　　2.2MAC认证

　　MAC认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法，它不需要用户安装任何客户端认证软件。交换机在首次检测到用户的MAC地址以后，即启动对该用户的认证操作，认证过程中也不需要用户手动输入用户名或者密码。

　　MAC认证需要用户通过一次WebPortal认证，在网络认证服务器上绑定终端MAC地址与用户名及密码，后续用户再次打开终端WLAN功能时，认证服务器根据终端的MAC地址自动完成认证登录。

　　（1）用户体验：用户首次使用需要在Portal认证界面输入用户名和密码，网络侧自动将相关信息与终端MAC地址绑定，后续再次使用可以实现自动认证（与Cookie认证类似，无需再次输入账号和密码）。用户更换手机、漫游时需要再次输入用户名与密码，重新进行MAC地址绑定。

　　（2）安全性：采用MAC地址自动认证后，用户的全部信息仅有MAC地址码，可开放读取并在其他终端简单仿冒，易出现仿冒身份的问题。终端在与网络侧交互MAC地址信息时，无任何加密措施，易被他人拦截并获取有关用户信息。

　　（3）MAC认证推广关键因素分析见表2。

　　2.3PEAP认证

　　PEAP是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。PEAP客户端和身份验证器之间的PEAP身份验证过程有两个阶段：第一阶段基于证书认证网络侧身份，建立TLS隧道；第二阶段提供EAP客户端和认证服务器之间的EAP身份验证。

　　（1）用户体验：第一次使用需要配置用户名/密码，后续用户无需介入。机卡分离后，用户需在新终端上重新配置用户名/密码。PEAP需基于证书认证网络，存在证书兼容问题，影响用户体验。

　　（2）安全性：PEAP要求终端使用匿名与AAA服务器协商建TLS隧道，之后才在TLS隧道中传输自己的真实接入认证信息。但多款终端不支持上述做法，直接使用用户的真实身份与AAA协商建立TLS隧道，暴露了用户的真实身份。

　　（3）PEAP认证推广关键因素分析见表3：

　　2.4SIM认证

　　SIM认证是3GPP/IETF定义的WLAN用户认证标准，用户需要在HLR进行签约，终端将用户（U）SIM卡的IMSI信息上报3GPPAAA服务器，由HLR实施鉴权，相关鉴权信息发送到AAA认证服务器，由AAA服务器完成自动认证。

　　（1）用户体验：与用户通过EDGE或TD上网类似，用户打开终端WLAN开关，终端自动进行网络扫描、网络连接、网络认证，之后即可直接上网，不需要用户交互。如按流量计费，用户退出可通过关闭有关应用软件实现；如按时长计费，用户下线需手动关闭WLAN开关。（2）安全性：用户所有信息保存在SIM卡上，无法直接读取，空中接口采用WPA/WPA2加密方式（安全等级较Cookie认证更高），HLR鉴权采用Challenge机制，安全性高。

　　（3）SIM认证推广关键因素分析见表4：

　　3WLAN四种认证方式比较

　　WLAN四种认证方式的综合比较如表5所示。

　　（1）Portal认证虽然安全性一般，但客户使用简便，适用于所有终端，客户端支持主流操作系统，无需进行网络改造，容易部署推广。

　　（2）MAC认证方式简单，但安全性较差，容易出现计费问题，需对AC进行改造。

　　（3）PEAP认证方式简单，安全性高，但对手机操作系统要求较高，兼容Portal认证但与客户端兼容性差，且无法区分手机和PC，部署难度较大，需改动AAA认证系统和AC。

　　（4）SIM认证方式简单，安全性最高，但与Portal认证不兼容，对手机操作系统要求较高，部署难度较大，需改动AAA认证系统和AC。

　　4运营商认证方式选取策略

　　运营商选取认证方式主要从客户认证便利、成本安全、扩展行等因素考虑。

　　（1）认证便利

　　Portal认证和MAC认证对用户的门槛较低，PEAP认证和SIM认证对用户有一定的使用门槛，但均属于首次使用门槛，门槛主要是针对新用户；针对成熟的业务客户，使用门槛的差距不大。剔除门槛因素外，认证接入速度是一个比较全面的技术指标，在测试环境下，对同一组AC、AP组网WLAN网络，针对上述几种认证方式进行接入对比测试，从接入测试案例看，MAC认证过程平均接入1.8s，Portal认证过程平均接入3.2s，SIM认证平均接入5.7s，PEAP认证平均接入7.2s。综合上述两个因素，从客户认证便利性看，次序是MAC认证、Portal认证、SIM认证、PEAP认证。

　　（2）成本安全

　　MAC的安全性无法保障，一般运营商不会建设使用；从建设成本看，Portal认证的成本最低，其次是PEAP认证，再次是SIM认证。

　　（3）扩展性

　　从扩展性看，SIM认证的扩展性最强，能与蜂窝网进行高度融合，长远看可实现语音、数据的无缝切换；Portal扩展性较差，PEAP认证介于两者之间。

　　综合考虑，从当前业务发展看，运营商应以Portal（含Cookie）认证为主要WLAN业务接入方式，并积极开展SIM认证试点部署，为未来业务发展储备相关技术及业务方案。

　　在Portal认证推广上可使用Cookie认证提高手机用户使用的便利性，针对目前安卓及iOS系统智能手机的高速发展，可提供APP应用方式的客户端认证产品或认证插件，简化用户登录WLAN的操作流程。

　　客户端（或插件）一般在用户首次登录时输入用户名与密码，认证成功后，客户端会记住用户名及密码，并可实现自动认证。客户端认证具有以下优势：

　　1）终端适用性：支持所有终端和主流操作系统，便于推广。

　　2）登录便捷性：登录方式简单，便于用户使用。

　　3）用户体验性：可融合其它功能，提高用户使用体验。

　　4）信息安全性：安全性较高，信息一般不易被盗取。

　　5）推广部署：基本所有网元都支持，无需进行网络改造。