WLAN认证方式比较
无感知WLAN业务认证方式的分析
新接人认证 的同时保持原有计费 ,认证成功后视为 同一
次计费 ; ()地址分配 : 3 认证成功后 ,终端进行 D P流程 HC 交互 ,直至用户 终端获得 I 址 ,然 后用户 即可使用 P地 WL N 网络上网 ; A ()计费 : 4 包括计费开始 、计 费更新、计费结束 。 AC作 为计费信息 采集前端 ,采集 WL N用 户的计费 A 原 始 数 据 信 息 , 传 送 给 3 P AA S r e。3 P G P A ev r G P
关键 词 WL AN;无感知认证 ;SM ;P AP I E
中图分类 号
T 995 N2.
文 献标 识码
A
文章编 号 10— 59 (02 8 02— 5 08 59 2 1)0— 05 0
WL AN业务是移 动运营商提供 的一种无 线宽带 接
络 的 目的 ,并且 通过 WL AN无感知认 证方 式的推广 ,
数据业务流量 ,从而使 WL N 网络更好 的起 到数据 流 A 量分流 的作用 。
2 无 感知认 证 方式 的分 析
1 目前 WL N认 证存 在 问题及 改善 方 式 A
WL AN认 证一 般 采 用 E P认 证 协议 ,在 此 框架 A 目前用户可 以通过 We otl 式、基于浏 览器 b P ra 方 的登录 C o i 认证方 式和客户端方式等多种方式完成 o ke
入 服务 ,在有其 WL N信号覆盖 的区域,用 户可通过 A
具备 WL N功能 的笔记 本电脑 、手机 等终端访 问互联 A
扭转 当前优选 WL N 网络主要依靠 用户主动选择 的局 A
面 ,实现用户 在使用 WL N业务 时能够达到 与 G R A PS
WLAN无感知认证(PEAP认证)
账号配置
终端认证过程中使用的账号、密码,需要在首次使用时进行配置。各类 操作系统的终端配制方法各不相同,需要有详细的配置手册给用户以指 导。
业务规则
机卡分离
用户配置过PEAP认证的手机,如果更换手机、手机遗失、或是手机机卡 分离,此时原有手机仍然能够使用PEAP认证上网。此时,需要用户通过 10086或是网厅等方式,变更上网密码,从而限制原有手机的使用。
提纲 01 02 03 04 概述 PEAP业务流程 应用案例 Q&A
业务开通流程
终端配置流程
HTC G8 Android2.2
进入手机主界面
进入功能区, 选择“设置”项
选择“无线和 网络”功能
开启“WLAN” 功能,选择 “WLAN设置”
终端配置流程
HTC G8 Android2.2
选择接入无线信号
AC要求
AC支持802.11i AC支持802.1x AC支持PEAP认证流程 AC支持用户流量小于一定阀值的自动断线 当使用绑定域名的证书时,AC支持通过域名方式访问AAA服务器
业务规则
证书
终端和认证服务器之间通过证书建立安全的隧道。部分终端需要严格校 验服务器证书,部分终端可忽略证书校验过程。对于需要校验服务器证 书的终端,下载、安装配置证书需要给用户提供指导。
下线控制
配置PEAP认证的终端,在进入热点区域内后,终端自动发起认证过程。 用户可通过关闭终端WLAN功能主动下线,或者终端出热点范围后,AC 设备检测出终端不再使用后,发起终端下线。
提纲 01 02 03 04 概述 PEAP业务流程 应用案例 Q&A
应用案例
安徽移动已部署上线WLAN 无感知认证(PEAP 认证)系统。 目前,本系统已接入CISCO 、 H3C、 华为、 中兴的 AC,并测试接入多款终端。
WIFI无感知认证方案
金华WIFI无感知认证试点第一阶段目标
试验资源需求
① H3C AC/AP设备、贝尔/网件AC/AP设备。 ② 爱立信S1200BRAS及NPM硬件设备到位,
NPM升级为11.1.1. 4软件版本,需要正佳EAP 相关的许可证。 ③ 所属相关AC热点,开放试验用加密SSID。
试验目标
① 网络需要开放加密SSID。 ② 用户初次上网需建立加密通道的用户名/密码
数字证书文件,后续上网用户无须再输参数。 ③ 用户名/密码与AAA用户名/密码相同,代理服
务器完成802.1X认证后完成AAA认证。 ④ 为便于充分利用现网BRAS资源,减少开发量
,在802.1X认证代理基础上,利用快速MAC 人证平台作再次认证,在增强安全等级基础上 (用户名/密码/MAC三项符合),利用了 MAC平台流量触发,终端识别功能。
基于802.1X EAP-TTLS的WIFI认证 方案(将802.1x与MAC认证结合, 有利于便利用户上网同时,增加认证 安全性)
① 在AP/AC上启用802.1x,实现EAP-TTLS认证 (Authentication)。代理认证服务器记录下 该用户的认证信息,并将用户的账户/密码转发 到AAA进行认证。
② 802.1X认证通过后,AC通过无感知认证专设 VLAN,将数据提交BRAS,BRAS将特定子接口 的业务流量转发给MAC认证服务器。
③ MAC认证服务器判断终端类型,根据终端MAC 信息,映射出用户名/密码信息,完成AAA服务器 的二次认证。
AAA服务器
IP骨干网
代理AAA认证
802.1X认 证代理
WLAN无感知认证金华试点材料
浙江公司网优中心 2013年3月
目录
无线加密地多种方法及其区别WEPWPATKIPEAP
无线加密的多种方法及其区别(WEP WPA TKIP EAP)无线网络的安全性由认证和加密来保证。
认证允许只有被许可的用户才能连接到无线网络;加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。
802.11标准最初只定义了两种认证方法:开放系统认证(Open System Authentication)共享密钥认证(Shared Key Authentication)以及一种加密方法:有线等效保密(Wired Equivalent Privacy –WEP)对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用。
对于共享密钥认证,必须启用WEP,WEP不仅用于认证,也用于在传输数据时加密。
WEP使用对称加密算法(即发送方和接收方的密钥是一致的),WEP使用40位或104位密钥和24位初始化向量(Initialization Vector –IV,随机数)来加密数据。
注:使用初始化变量(IV)的目的是避免在加密的信息中出现相同的数据。
例如:在数据传输中,源地址总是相同的,如果只是单纯的加密(WEP使用静态密码),这样在加密的信息中会出现相同的数据,有可能被恶意地破解。
由于初始化变量(IV)是随机数,可以避免这种情况的出现。
在配置无线网络的安全性时,一般将40位/104位密钥写成密钥长度:64位(40+24)/128位(104+24)由于WEP有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送……,802.11使用802.1x来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。
同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问(Wi-Fi Protected Access –WPA)以解决WEP的缺陷WPAWPA不同于WEP,WPA同时提供认证(基于802.1x可扩展认证协议–Extensible Authentiation Protocl - EAP的认证)和加密(临时密钥完整性协议–Temporal Key Integrity Protocol –TKIP)。
WIDS和WIPS无线WLAN技术深度解析
目录
1 WIDS&WIPS简介 2 WIDS&WIPS原理 3 WIDS&WIPS应用场景 4 WIDS&WIPS WEB配置
802.11 管理帧介绍
802.11 MAC Header中Frame Control域如下所示:
Frame Control的Type域为00时表明是管理帧,再根据Subtype域判断管理帧类型: 0000:Association Request(关联请求) 0001:Association Response(关联响应) 0010:Reassociation Request(重关联请求) 0011:Reassociation Response(重关联响应) 0100:Probe Request(探测请求) 0101:Probe Response(探测响应) 1000:Beacon(信标帧) 1010:Disassociation(解除关联) 1011:Authentication(身份验证) 1100:Deauthentication(解除身份验证)
非法AP检测流程
非法客户端检测流程
Rogue设备监测识别
监测识别
Rogue 终端
Internet
AC
eSight
Monitor AP
空口识别
Rogue AP
Ad-Hoc
无线网桥
AP工作在混合模式或监测模式时进行信道 扫描,测听周边无线设备发送的所有802.11 帧,根据802.11 MAC帧类型识别出周边的 无线设备类型,根据非法AP&客户端检测流 程识别出Rogue设备。
解PSK密码。AP通过检测WPA/WPA2-PSK,WAPI-PSK, WEP-Share-Key认证时,一定时间内密钥协商失败次
浅析无线局域网多种认证方式及应用
浅析无线局域网多种认证方式及应用作者:李庚君来源:《中国新通信》 2017年第20期李庚君【摘要】无线局域网接入是目前移动终端高性价比的接入方式,网络设计者须采用强大的认证和访问控制机制,确保网络安全、可靠地运行。
本文将介绍无线局域网的三种认证方式,并对此进行分析、列举认证方式的选用办法。
【关键字】无线局域网 MAC 地址 802.11 Portal 认证目前无线网络接入有移动网接入和无线局域网(WLAN)接入两种方式。
无线局域网接入具有带宽大、使用成本低廉等优点,现在很多城市在重要场所开始修建和覆盖无线局域网。
本文将介绍无线局域网现有的认证方式,并对此进行分析、阐明优缺点,最后列举认证方式的选用方法。
一、三种认证方式的实现原理1.1 基于 MAC 地址的认证每一个网卡在出厂时都会设置一个全球唯一的 MAC 地址,该地址作为数据链路层的通讯地址使用。
因此可以通过在认证设备中设置 MAC 地址访问控制列表的方法,限制特定硬件设备允许或拒绝接入网络。
1.2 802.11 协议认证802.11 无线局域网协议规定了无线局域网连接过程:首先无线接入点AP发送带有服务集标识(SSID)的广播管理帧,客户端然后与该 AP 通过探测帧进行协商。
接下来双方使用认证帧进行身份认证,如果身份验证通过,双方最后使用关联帧相互确认。
建立正式连接后,客户端即可数据传输。
在整个验证过程中,密码起到至关重要的作用。
802.11组织对密码的加密算法有过 2 次重大革新,先后出现了WEP、WPA、WPA2 三种加密方式。
1.3 Portal 认证方式该模式下,用户一般连接到网络时不进行任何认证,当用户需要真正数据访问时,设备会自动弹出网页要求用户输入相关验证项目(通常是用户名和密码),只有认证成功后才可以真正上网通信。
此架构中须有一个宽带接入服务器 BAS,负责对用户身份进行验证。
终端连接到网络后,BAS 为该用户构造对应表项信息,添加用户 ACL 服务策略,并将用户访问其它地址的请求强制重定向到强制 Web 认证服务器进行访问。
802.11abgn与802.11ac的区别以及详细的介绍资料
无线加密技术
无线网络加密技术之WPA
WPA延用WEP算法函数RC4,但增加了一些特性以消除WEP使用密码 方式上的一些问题: 1.更严格的认证:一个802.1x服务器,如Radius服 务器,可以单独地用于用户认证。 2.更长的密钥:WPA将Initialization Vector (IV)的长度增加到48位,主密钥的长度增加到128位。 3.Temporal Key Integrity Protocol (TKIP)为每一个客户生成不同密钥, 并且为每一个后续数据包使用不同的密钥。
WPA具备以下2种模式工作:个人或企业。 个人模式:这个模式以 WEP相同方式手动地使用配置的密钥。所有客户端使用相同的初始主密 钥。 企业模式:AP使用Extensible Authentication Protocol (EAP)来与 每个单独的客户端协商一个成对主密钥。然后AP在一个802.1x服务器上 验证客户端身份。结果是每一个允许使用网络的客户端都会与配置在 802.1x服务器上的信息进行验证,并使用一个与其它客户端上密钥不同 的密钥。
谢谢~~
1、大带宽需求应用大带宽需求的应用在 WIFI 的应用越来越广泛:
1 苹果 安卓等系统的更新同步和应用下载 2 优酷土豆Youtobe 视频类业务 3 Vine(由 Twitter 所有)视频摄制及分享类应用类业务 4 正超脱会议室固定设备发展到移动设备上的视频会议业务 5 越来越多的企业通过视频的方式宣传其产品与方案 这些应用对 WIFI 提出了越来越高的带宽需求,根据爱立信的预测,无线 网络上的视频流量每年将增长 60%,这一增长态势将一直持续到 2018 年底,到那时它将占据全球移动数据流量的一半。
•10
802.11n与802.11ac比较
WLAN认证方式基础一_802.1X认证
IEEE 802.1x 认证∙EAP 协议(可扩展认证协议)∙EAP-TLS∙PEAP-MSCHAPv2∙PEAP-TLSEAP 协议概述可扩展认证协议(Extensible Authentication Protocol, EAP),是一个普遍使用的认证框架,它常被用于无线网络或 PPP 连接的认证中。
EAP 不仅可以用于无线局域网,而且可以用于有线局域网,但它在无线局域网中使用的更频繁。
EAP 是一个认证框架,而不是一个固定的认证机制。
EAP 提供一些公共的功能,并且允许协商真正的认证机制。
这些机制被叫做 EAP 方法,现在大约有40种不同的 EAP 方法。
常见的 EAP 方法有:EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-PEAP, EAP-SIM 等。
虽然 EAP 提供了很强的扩展性,但是取决于不同的 EAP 方法,EAP 消息可能以明文的方式发送。
攻击者如果能访问传输介质,则可以监听EAP报文消息,甚至可以伪造,修改协议报文。
这个问题在无线网络中尤为突出。
因此并不是所有 EAP 方法都适合无线网络认证。
无线网络最常使用的认证方法为:EAP-TLS ,PEAP-MSCHAPv2。
EAP-RADIUS(RADIUS 中继)EAP-RADIUS 并不是一种真正的认证方法,而是指无线接入点(AP),把无线客户端的 EAP 报文,以中继方式转发到外部 RADIUS 认证服务器中,由 RADIUS 服务器完成真正的认证过程。
EAP-TLS概述EAP-TLS 协议是在 EAP 协议框架上,使用 TLS 协议来完成身份认证,密钥交换功能。
TLS 协议也是 HTTPS 协议的核心。
因此 EAP-TLS 可以视为与 HTTPS 协议同等的安全性。
EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份,并在无线客户端及认证服务器间安全地协商和传输加密密钥,以保证无线数据传输的机密性及完整性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用流程
技术方式
网络支持
优势
劣势
风险
MAC认证式
MAC认证具备“一次认证,永久使用”用户体验。
用户首次登陆Portal页面成功认证后,如选择开通MAC认证,则后续只要关联WLAN就可以用任意应用上网。
服务端绑定MAC和用户名密码
1、需要AC、AP、支持MAC认证,需要对HLR、AAA设备进行改造。
PEAP是EAP认证方法的一种实现方式。服务端通过绑定用户名密码和PEAP证书
1、需要AC、AP支持
2、需要AAA认证服务支持
3、需要BAS
1、用户需手动Portal认证;后续使用无感知认证
2、加密方式较好,仿冒可能性小。
3、认证兼容性较好:兼容现有Portal认证方式
1、对手机要求较高,需要手机操作系统支持。
2、机卡分离问题。由于MAC认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行MAC认证,但费用会记录在原有卡用户账户上。目前暂无较好技术手段进行解决机卡分离问题。
3、国际漫游问题
PEAP认证方式
用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。
1.需要AC/AP支持
2.需要AAA认证服务支持
3.需要BAS
1、加密性能最好,仿制可能性小。
2、与SIM卡绑定,解决了换机问题
3、支持WLAN作为通信网统一认证上网,统一接入分组业务。
1.对手机要求较高,需要手机操作系统支持。
2.需要较多的网络改造。
3.与目前的portal认证不兼容
1、SIM卡换卡后需要重新绑定
2、需要较多的网络改造。
1、机卡分离问题。由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上
2、国际漫游问题。
SIM卡-EAP\AKA
无需用户名和密码,开户后直接上网,无需第一次登陆配置。
用SIM卡作为EAP的认证和密匙分发机制
2、需要另外配置MAC绑定服务器
1、改善用户体验:首次用户需手动Portal认证;后续使用无感知认证
2、终端适配较好:适配大部分WLAN终端,无需适配客户端
3、认证兼容性较好:兼容现有Portal认证方式
MAC地址容易仿冒。
1、MAC认证的最大问题来自MAC仿冒,存在计费风险,对用户体验有较大影响。
2、国际漫游问题需要解决