WLAN无感知认证(PEAP认证)

合集下载

无感知WLAN业务认证方式的分析

已有同一用户身份信息的终端在线，则网络侧在终端重
新接人认证的同时保持原有计费，认证成功后视为同一
次计费；（）地址分配：３认证成功后，终端进行ＤＰ流程ＨＣ交互，直至用户终端获得Ｉ址，然后用户即可使用Ｐ地ＷＬＮ网络上网；Ａ（）计费：４包括计费开始、计费更新、计费结束。ＡＣ作为计费信息采集前端，采集ＷＬＮ用户的计费Ａ原始数据信息，传送给３ＰＡＡＳｒｅ。３ＰＧＰＡｅｖｒＧＰ
关键词ＷＬＡＮ；无感知认证；ＳＭ；ＰＡＰＩＥ
中图分类号
Ｔ９９５Ｎ２．
文献标识码
Ａ
文章编号１０— ５９（０２８０２— ５０８５９２１）０— ０５０
ＷＬＡＮ业务是移动运营商提供的一种无线宽带接
络的目的，并且通过ＷＬＡＮ无感知认证方式的推广，
数据业务流量，从而使ＷＬＮ网络更好的起到数据流Ａ量分流的作用。
２无感知认证方式的分析
１目前ＷＬＮ认证存在问题及改善方式Ａ
ＷＬＡＮ认证一般采用ＥＰ认证协议，在此框架Ａ目前用户可以通过Ｗｅｏｔｌ式、基于浏览器ｂＰｒａ方的登录Ｃｏｉ认证方式和客户端方式等多种方式完成ｏｋｅ
入服务，在有其ＷＬＮ信号覆盖的区域，用户可通过Ａ
具备ＷＬＮ功能的笔记本电脑、手机等终端访问互联Ａ
扭转当前优选ＷＬＮ网络主要依靠用户主动选择的局Ａ
面，实现用户在使用ＷＬＮ业务时能够达到与ＧＲＡＰＳ

WIFI无感知认证方案

第10页
金华WIFI无感知认证试点第一阶段目标
试验资源需求
① H3C AC/AP设备、贝尔/网件AC/AP设备。 ② 爱立信S1200BRAS及NPM硬件设备到位，
NPM升级为11.1.1. 4软件版本，需要正佳EAP 相关的许可证。 ③ 所属相关AC热点，开放试验用加密SSID。
试验目标
① 网络需要开放加密SSID。 ② 用户初次上网需建立加密通道的用户名/密码
数字证书文件，后续上网用户无须再输参数。 ③ 用户名/密码与AAA用户名/密码相同，代理服
务器完成802.1X认证后完成AAA认证。 ④ 为便于充分利用现网BRAS资源，减少开发量
，在802.1X认证代理基础上，利用快速MAC 人证平台作再次认证，在增强安全等级基础上（用户名/密码/MAC三项符合），利用了 MAC平台流量触发，终端识别功能。
基于802.1X EAP-TTLS的WIFI认证方案（将802.1x与MAC认证结合，有利于便利用户上网同时，增加认证安全性）
① 在AP/AC上启用802.1x，实现EAP-TTLS认证（Authentication）。代理认证服务器记录下该用户的认证信息，并将用户的账户/密码转发到AAA进行认证。
② 802.1X认证通过后,AC通过无感知认证专设 VLAN,将数据提交BRAS,BRAS将特定子接口的业务流量转发给MAC认证服务器。
③ MAC认证服务器判断终端类型,根据终端MAC 信息,映射出用户名/密码信息,完成AAA服务器的二次认证。
AAA服务器
IP骨干网
代理AAA认证
802.1X认证代理
WLAN无感知认证金华试点材料
浙江公司网优中心 2013年3月
目录

WLAN 无感知认证

无感知认证“手机WiFi上网太麻烦了！不仅每次上网都要输入账号和密码，在人多的地方，比如星巴克，还经常会被挤掉而不得不反复输入账号和密码！”。

这恐怕是如今使用手机WIFI上网的大多数人的感受。

没错，随着WLAN网络快速部署和用户量持续上升，由于WLAN认证问题而导致的用户体验差的矛盾愈发突出。

这不仅降低了用户对运营商网络质量的信赖度，而且还直接影响了WLAN分流宏蜂窝数据压力的效果，背离了部署WLAN的初衷。

如何提升WLAN用户感知，迚而改善分流效果是华为电信级WLAN解决方案重点关注的问题之一。

针对客户的不同情况，华为推出了“无感知认证解决方案包”，最大化匹配客户不同发展阶段的差异化需求。

该“解决方案包”涵盖了目前业界通行的全部四种认证方案：Portal、EAP-PEAP、EAP-SIM和MAC地址绑定。

在用户感知和认证安全性方面实现了适应终端状况、稳步提升的良性循环。

此外，华为与中国移动多个省份公司开展了联合创新工作，推动了解决方案包在多个省份验证成功并落地实施。

极大地促迚了无感知认证的快速成熟。

1、EAP-PEAP认证PEAP，即为Protected-EAP“受保护的可扩展的身份验证协议”，是一项由Cisco、Microsoft和RSA共同支持的安全方案（目前在RFC处于草案阶段），具有很好的安全性，在设计上和EAP-TTLS相似。

PEAP是可扩展的身份验证协议(EAP) 家族的一个成员，目前共有三个版本，分别为V0/V1/V2，已被WPA和WPA2批准的有两个子类型PEAPV0-MSCHAPV2和PEAPV1-GTC。

由于PEAP是一个框架协议，目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP协议，已经被各移动终端的操作系统如iOS，Android、Windows等广泛支持。

802.1X框架下的EAP-PEAP认证架构如下图所示：EAP-PEAP的认证安全性较高；具体体现在以下几个方面：∙使用传输级别安全性(TLS) 为正在验证的 PEAP 客户端和 PEAP 身份验证器之间创建加密通道。

南京理工大学无线校园无感知认证

南京理工大学NANJING UNIVERSITY OF SCIENCE AND TECHNOLOGY无线校园无感知认证使用说明书信息化建设与管理处2015.01目录PC（win 7操作系统）-----------------------------------------3 PC（win8操作系统）------------------------------------------8 安卓设备----------------------------------------------------------10 苹果设备----------------------------------------------------------17 PC（win XP操作系统）--------------------------------------24一、PC (win 7) 操作系统1、打开无线网络2、右键点击NJUST 无线网络，选择属性3、选择“安全”标签，将“安全类型”设置为“wpa2-企业”，勾选“每次登陆时记住此连接凭据”；点击设置4、去掉“验证服务器证书”前的√；点击配置；5、去掉”自动使用windows 登录名和密码……”前面的√；之后依次点击确定；6、打开无线网络，选择NJUST，点击连接；7、输入用户名、密码，点击确定（注意是输入上网账号的用户名、密码）8、打开浏览器访问任意网址，页面将自动跳转至(如图页面)，点击登陆开始上网；在此页面我们可以设置是否将设备与帐号绑定；9、不绑定设备的情况下，点击登陆将出现如图页面，此时仍可进行设备与帐号绑定的操作；10、在登陆时，如果将设备与帐号绑定，将看到如图页面，此时可以看到与该帐号绑定的所有设备，也可以进行设备与帐号解除绑定的操作；二、PC（win8 操作系统）1、打开无线网络，选择NJUST ，点击连接，输入上网的用户名、密码；2、打开浏览器，访问任意网址，页面将自动跳转至如图页面，点击登陆开始上网，同时可以选择是否将设备与帐号绑定。

中国移动无线局域网(WLAN)PEAP、SIM认证兼容性测试方案V2.0.0

在任何消息交互。测试结果：
8.4.1.4 3GPP AAA Server发起用户下线场景
测试编号：8.4.1.4 参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的： 1、检验PEAP和SIM认证方式下，WLAN接入系统能够支持网络侧发起的用户下线流程。测试组网图：
值为 5M，CMCC2 的空闲时间为 5 分钟，流量阈值为 3M； 3、 STA1 关联到 CMCC1，STA2 关联到 CMCC2，使用各自账号登陆上线，可以 ping 通 PC； 4、 STA1 和 STA2 不进行任何操作，PC 抓取 AC 出方向报文； 5、修改 AC 配置，CMCC1 的空闲时间为 6 分钟，CMCC2 的空闲时间为 4 分钟，再进行步
预期结果： 1、步骤2和6中，3台用户终端均能成功接入并通过认证 2、步骤3和6中，3台WLAN用户终端均能成功使用HTTP业务 3、SIM以及PEAP认证流程以及用户下线流程符合《中国移动无线局域网（WLAN）用户接入流程技术规范（SIM PEAP）》要求测试说明： 1、需重点验证 SIM 及 PEAP 认证接入流程过程中，AC 按照用户认证、DHCP 服务器
完成 IP 地址分配、AC 开始对用户计费的顺序进行 2、当用户下线时，AC 需与 RADIUS 服务器交互上报用户此次连接记录：以本次连接
中 AC 开始计费时间为本次连接开始时间，以 AC 下线时间为本次用户下线时间Fra bibliotek测试结果：
8.4.1.3 SIM认证终端的快速重鉴权场景
测试编号：8.4.1.3 参考：《中国移动WLAN网络设备规范》项目：用户接入认证支持能力分项目：混合接入认证支持能力（Web Portal / PEAP / SIM认证）测试目的： 1、检验WLAN接入系统能够支持SIM认证方式下的快速重鉴权流程测试组网图：

WLAN无感知认证技术方案(PEAP认证)-0.66

WLAN无感知认证试点技术方案（PEAP认证）1背景PEAP是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。

用户首次使用PEAP认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。

2技术原理PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。

EAP 客户端和认证服务器之间的认证过程有两个阶段。

第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采用证书认证服务端完成TLS握手。

服务端可选采用证书认证客户端。

第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证。

整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。

服务器对用户和客户端进行身份验证，具体方法由 EAP 类型决定，在 PEAP 内部选择使用(如：EAP-MS-CHAPv2)。

访问点只会在客户端和RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。

目前被WPA和WPA2批准的有两个PEAP子类型 PEAPV0-MSCHAPV2，PEAPV1-GTC，使用广泛的是PEAPV0-MSCHAPV2。

PEAP认证参考如下国际标准[1] IETF Draft, PEAP Authentication,draft-josefsson-pppext-eap-tls-eap-10.txt, 2004.[2] IETR RFC 2759，MSCHAPv2[3] IETF RFC 3748, "Extensible Authentication Protocol (EAP)".3关键技术问题3.1证书问题PEAP认证需要AAA服务器配置认证证书。

需评估不同服务器证书与各类终端的兼容性。

如果服务器证书与终端预置证书验证不匹配，PEAP认证可能失败。

WLAN无感知认证技术方案(PEAP认证)0.

WLAN无感知认证技术方案(PEAP认证)-0.661000字一、前言随着无线网络的普及，越来越多的用户需要使用无线网络进行工作和生活，但是如何保障无线网络的安全成为了一项非常重要的技术。

在传统有线网络中，用户的认证是通过物理方式进行的，而在无线网络中，用户的认证则需要通过网络技术来实现。

本文将介绍一种无感知认证技术方案——PEAP认证，该方案可以提高用户的认证安全性和便利性。

二、概述PEAP（Protected Extensible Authentication Protocol）是一种安全的认证协议，是由Microsoft、Cisco和RSA Security等公司联合开发的。

PEAP协议具有安全性高、易于管理和实施、能够保护用户的隐私和实现多级认证等优点，在多种场合得到了广泛应用。

PEAP协议基于EAP（Extensible Authentication Protocol）协议，通过在EAP内部增加一个TLS（Transport Layer Security）通道来提高认证的安全性。

在使用PEAP进行认证时，客户端在连接无线接入点之后，向服务器发送认证请求，服务器向客户端返回一个TLS证书请求，客户端与服务器之间建立一个加密通道，对认证信息进行加密传输，以保证认证的安全性。

PEAP协议的优点包括：（1）认证安全性高：通过TLS通道加密传输用户认证信息，提高了用户的认证安全性。

（2）易于管理和实施：PEAP协议基于EAP协议，可以与多种认证方式和协议相兼容，易于实施和管理。

（3）保护用户的隐私：由于PEAP协议采用加密传输认证信息的方式，可以有效保护用户的隐私。

（4）实现多级认证：PEAP协议允许在TLS通道中进行多级认证，可以进一步提高认证的安全性。

三、PEAP认证方案实现PEAP认证方案可以分为客户端认证和服务器认证两个部分。

1、客户端认证客户端认证分为四个步骤：（1）建立连接：客户端连接无线接入点后，开始进行PEAP认证。

WLAN无感知认证技术方案(PEAP认证)-0.66

用户首次使用PEAP认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。

2技术原理PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。

EAP 客户端和认证服务器之间的认证过程有两个阶段。

第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采用证书认证服务端完成TLS握手。

服务端可选采用证书认证客户端。

第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证。

整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。

服务器对用户和客户端进行身份验证，具体方法由 EAP 类型决定，在 PEAP 内部选择使用(如：EAP-MS-CHAPv2)。

访问点只会在客户端和RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。

目前被WPA和WPA2批准的有两个PEAP子类型 PEAPV0-MSCHAPV2，PEAPV1-GTC，使用广泛的是PEAPV0-MSCHAPV2。

需评估不同服务器证书与各类终端的兼容性。

如果服务器证书与终端预置证书验证不匹配，PEAP认证可能失败。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

账号配置
终端认证过程中使用的账号、密码，需要在首次使用时进行配置。各类操作系统的终端配制方法各不相同，需要有详细的配置手册给用户以指导。
业务规则
机卡分离
用户配置过PEAP认证的手机，如果更换手机、手机遗失、或是手机机卡分离，此时原有手机仍然能够使用PEAP认证上网。此时，需要用户通过 10086或是网厅等方式，变更上网密码，从而限制原有手机的使用。
提纲 01 02 03 04 概述 PEAP业务流程应用案例 Q&A
业务开通流程
终端配置流程
HTC G8 Android2.2
进入手机主界面
进入功能区，选择“设置”项
选择“无线和网络”功能
开启“WLAN” 功能，选择 “WLAN设置”
终端配置流程
HTC G8 Android2.2
选择接入无线信号
AC要求
AC支持802.11i AC支持802.1x AC支持PEAP认证流程 AC支持用户流量小于一定阀值的自动断线当使用绑定域名的证书时，AC支持通过域名方式访问AAA服务器
业务规则
证书
终端和认证服务器之间通过证书建立安全的隧道。部分终端需要严格校验服务器证书，部分终端可忽略证书校验过程。对于需要校验服务器证书的终端，下载、安装配置证书需要给用户提供指导。
下线控制
配置PEAP认证的终端，在进入热点区域内后，终端自动发起认证过程。用户可通过关闭终端WLAN功能主动下线，或者终端出热点范围后，AC 设备检测出终端不再使用后，发起终端下线。
提纲 01 02 03 04 概述 PEAP业务流程应用案例 Q&A
应用案例
安徽移动已部署上线WLAN 无感知认证(PEAP 认证)系统。目前，本系统已接入CISCO 、 H3C、华为、中兴的 AC，并测试接入多款终端。
已测试终端
20 15 10 5 0 测试手机数量(共款测试手机数量共46款） 5 5 3 1 1 2 13 16 Symbian WindowsMobile Andriod iPhone Ophone BlackBerry Palm Failure
7% 2% 11%
2% 4% 28% 11%
WLAN无感知认证技术方案 PEAP认证
20述 PEAP业务流程应用案例 Q&A
PEAP概述
PEAP(Protected EAP)是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。相对于很多终端不支持 SIM认证，几乎所有终端都支持PEAP认证。PEAP认证也存在首次使用时，部分类型终端证书安装配置、账号安装配置较复杂问题。
35%
操作系统测试情况分析
Symbian WindowsMobile Andriod iPhone OPhone BlackBerry Palm Failure
对外接口
AAA系统改造Portal、业务受理接口、计费接口以支持PEAP用户业务开通、业务受理、话单传输
提纲 01 02 03 04 概述 PEAP业务流程应用案例 Q&A
系统自动识别认证方式
输入账号
输入密码
终端配置流程
HTC G8 Android2.2
选择连接，开始连接AUTO-CMCC 信号
获取IP地址
连接完成
接入流程
隧道建立流程
计费要求
为了避免BOSS系统计费侧做大规模的改造，AAA侧需要区分出 PEAP认证的计费话单。 AAA提供给计费侧的WLAN话单中，扩充字段含义，Oper_ID为 5表示用户使用无感知认证，Auth_type为“03”表示话单是PEAP认证接入后产生的。