WLAN 无感知认证
无感知WLAN业务认证方式的分析
新接人认证 的同时保持原有计费 ,认证成功后视为 同一
次计费 ; ()地址分配 : 3 认证成功后 ,终端进行 D P流程 HC 交互 ,直至用户 终端获得 I 址 ,然 后用户 即可使用 P地 WL N 网络上网 ; A ()计费 : 4 包括计费开始 、计 费更新、计费结束 。 AC作 为计费信息 采集前端 ,采集 WL N用 户的计费 A 原 始 数 据 信 息 , 传 送 给 3 P AA S r e。3 P G P A ev r G P
关键 词 WL AN;无感知认证 ;SM ;P AP I E
中图分类 号
T 995 N2.
文 献标 识码
A
文章编 号 10— 59 (02 8 02— 5 08 59 2 1)0— 05 0
WL AN业务是移 动运营商提供 的一种无 线宽带 接
络 的 目的 ,并且 通过 WL AN无感知认 证方 式的推广 ,
数据业务流量 ,从而使 WL N 网络更好 的起 到数据 流 A 量分流 的作用 。
2 无 感知认 证 方式 的分 析
1 目前 WL N认 证存 在 问题及 改善 方 式 A
WL AN认 证一 般 采 用 E P认 证 协议 ,在 此 框架 A 目前用户可 以通过 We otl 式、基于浏 览器 b P ra 方 的登录 C o i 认证方 式和客户端方式等多种方式完成 o ke
入 服务 ,在有其 WL N信号覆盖 的区域,用 户可通过 A
具备 WL N功能 的笔记 本电脑 、手机 等终端访 问互联 A
扭转 当前优选 WL N 网络主要依靠 用户主动选择 的局 A
面 ,实现用户 在使用 WL N业务 时能够达到 与 G R A PS
北京交大校园无线网8021x无感知认证操作手册v北京交通大学
北京交大校园无线网802.1x无感知认证配置操作手册(v2.0)北京交通大学信息中心2014年2月一、基于安卓(Andriod)的手机和平板配置(以三星9100为例,其他终端设置类似)1.首次使用设置【后续使用无需设置,只要打开WLAN,进入phone.wlan.bjtu覆盖范围,终端会自动进行认证关联,连通互联网】:步骤1:使用phone.wlan.bjtu的前提:首先要有校园网出口网关的计费账号(如无账号,学生请在自助终端上自助开户及缴费,教工请到一站式服务大厅开户及缴费);其次,终端使用的位置要被校园无线网覆盖(目前教学区绝大多数区域及东区宿舍楼已覆盖交大无线网,其余楼陆续建设中)。
步骤2:按手机菜单键,在菜单中点击“设置”。
步骤3:出现设置列表,在列表中点击“无线和网络”。
步骤4:出现无线和网络设置列表,在列表中点击“WLAN设置”。
步骤5:出现WLAN设置窗口,打开“WLAN”开关,开始扫描SSID。
步骤6:在WLAN网络列表中扫描到phone.wlan.bjtu,确定显示为安全机制采用“802.1xEAP”。
步骤7:点击phone.wlan.bjtu,弹出设置选项。
步骤8设置完成后点击“连接”。
启动应用程序使用网络即可。
2.下线说明1)、将“无线局域网”关闭,系统会自动完成Android终端的WLAN下线。
3.注意事项1).因phone.wlan.bjtu会自动连接网络,方便使用的同时,也请关注流量使用情况,可以登陆查询。
2).部分Android手机在配置接入点的时候会要求输入密码,是因为用户曾设置过安全密码,只要先输入安全密码就可以继续进行配置操作。
如果忘记了安全密码,可以进行如下操作。
步骤1:进入系统设置。
选择“位置和安全”选项。
(有些手机可能是“隐私与安全”)步骤2:选择“清除存储”选项。
步骤3:确认删除所有凭证并重置密码。
3).如果想修改用户名密码,或者重新做一次配置,可以长按phone.wlan.bjtu,直至出现如下界面,点击更改网络修改配置,点击忘记网络重新做配置:4).更多的关于WLAN参数的设置,要在WLAN设置页面点击菜单按钮,出现如下界面,点击高级进行高级参数设置:比如对终端休眠后WLAN的设置:休眠,如果设定屏幕关闭时休眠,那么重新点亮屏幕后,有一个wlan重连的过程。
WLAN无感知认证(PEAP认证)
账号配置
终端认证过程中使用的账号、密码,需要在首次使用时进行配置。各类 操作系统的终端配制方法各不相同,需要有详细的配置手册给用户以指 导。
业务规则
机卡分离
用户配置过PEAP认证的手机,如果更换手机、手机遗失、或是手机机卡 分离,此时原有手机仍然能够使用PEAP认证上网。此时,需要用户通过 10086或是网厅等方式,变更上网密码,从而限制原有手机的使用。
提纲 01 02 03 04 概述 PEAP业务流程 应用案例 Q&A
业务开通流程
终端配置流程
HTC G8 Android2.2
进入手机主界面
进入功能区, 选择“设置”项
选择“无线和 网络”功能
开启“WLAN” 功能,选择 “WLAN设置”
终端配置流程
HTC G8 Android2.2
选择接入无线信号
AC要求
AC支持802.11i AC支持802.1x AC支持PEAP认证流程 AC支持用户流量小于一定阀值的自动断线 当使用绑定域名的证书时,AC支持通过域名方式访问AAA服务器
业务规则
证书
终端和认证服务器之间通过证书建立安全的隧道。部分终端需要严格校 验服务器证书,部分终端可忽略证书校验过程。对于需要校验服务器证 书的终端,下载、安装配置证书需要给用户提供指导。
下线控制
配置PEAP认证的终端,在进入热点区域内后,终端自动发起认证过程。 用户可通过关闭终端WLAN功能主动下线,或者终端出热点范围后,AC 设备检测出终端不再使用后,发起终端下线。
提纲 01 02 03 04 概述 PEAP业务流程 应用案例 Q&A
应用案例
安徽移动已部署上线WLAN 无感知认证(PEAP 认证)系统。 目前,本系统已接入CISCO 、 H3C、 华为、 中兴的 AC,并测试接入多款终端。
校园网无感知认证安全研究
校园网无感知认证安全研究校园网无感知认证是指学校网络提供的一种方式,通过用户的MAC地址在用户接入网络时进行自动认证,无需用户输入账号和密码等信息。
这种认证方式的目的是为了方便学生和教职工接入校园网,提高网络使用效率。
这种认证方式可能存在安全隐患,因此有必要进行安全研究,以保障校园网的安全性。
校园网无感知认证可能存在认证信息泄露的风险。
由于无需输入账号和密码,黑客可以通过MAC地址欺骗系统,获取其他用户的网络权限。
黑客可以通过专门的软件工具获取网络流量,并进行拦截或篡改,危害用户的网络安全。
校园网无感知认证也存在认证过程被劫持的风险。
黑客可以通过中间人攻击等手段,截取用户和认证服务器之间的通信流量,篡改认证过程,从而获取用户的网络权限。
这种攻击方式可以绕过无感知认证机制,使得黑客可以在用户不知情的情况下进入校园网,进一步危害网络安全。
校园网无感知认证还可能存在认证服务器被攻击的风险。
认证服务器是校园网无感知认证的核心部件,如果认证服务器遭到黑客攻击并被控制,黑客可以获取所有用户的认证信息,进而获取整个校园网的控制权。
这对学校和用户来说是十分危险的,因为黑客可以利用校园网资源进行大规模的网络攻击。
为了保障校园网无感知认证的安全性,有必要采取相应的安全措施。
可以对校园网进行流量分析,检测异常的网络流量,并及时采取措施进行阻断。
可以采用加密算法,保护认证过程的安全性,防止黑客截取用户和认证服务器之间的通信流量。
可以定期更新认证服务器的软件和系统,及时修复可能存在的漏洞,提高认证服务器的安全性。
校园网无感知认证在提高网络使用效率的也存在一定的安全风险。
学校和用户需要意识到这些风险,并采取相应的安全措施,以保障校园网的安全性。
只有在保障安全的前提下,校园网无感知认证才能够真正发挥其应有的作用。
H3C 无线认证无感知登录
本地Portal无感知认证典型配置(V7)关键词:•本地portal•portal无感知作者:杨攀 2017年7月31日发布功能需求本案例介绍本地Portal认证无感知的典型配置,当客户端数量较少,且没有Portal服务器时,那么可以采用本地Portal认证无感知的方式来实现客户的无感知需求。
本案例不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本案例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本案例假设您已了解Portal认证的特性。
组网信息及描述如图1所示,DHCP服务器为AP和Client分配IP地址。
现要求:·AC同时承担Portal Web服务器、Portal认证服务器职责。
·采用直接方式的Portal认证配置步骤一、配置AC(1)配置AC的接口# 创建VLAN1及其对应的VLAN接口,并为该接口配置IP地址。
AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view[AC] vlan 1[AC-vlan100] quit[AC] interface vlan-interface 1[AC-Vlan-interface100] ip address 192.168.0.20 24[AC-Vlan-interface100] quit# 在交换机上配置路由,保证启动Portal之前各Client和AC之间的路由可达。
(略)(2)配置客户端的网关# 创建VLAN 10 及其对应的VLAN接口,并为该接口配置IP地址,给客户端分配地址。
<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface 10[AC-Vlan-interface10] ip address 192.168.100.1 24[AC-Vlan-interface10] quit(3)配置无线服务# 创建无线服务模板st1,并进入无线服务模板视图。
校园网无感知认证安全研究
校园网无感知认证安全研究
校园网无感知认证指的是在连接校园网时,不需要用户输入账户和密码等凭证,网络
设备会自动识别用户的身份并进行认证。
这种认证方式在便捷性和效率上都具有优势,但
同时也存在安全隐患。
一方面,使用无感知认证的用户难以感知网络登录行为,缺乏对个人信息和网络安全
的掌控力。
如果攻击者模拟用户设备或跨过认证机制访问网络,就会给用户隐私和数据带
来潜在威胁。
另一方面,由于无感知认证机制使用了设备固有的信息来鉴定用户身份,黑客可以利
用这些信息进行欺骗,例如伪造MAC地址、IP地址或者篡改系统标识等手法来绕过认证机制,即“MAC洗白”或“欺骗认证器”。
对于这种安全隐患,保护措施主要有以下几点:
1. 对校内网络进行分层隔离,区分安全等级和权限控制,避免不安全用户访问敏感
信息。
2. 建立安全网络监控系统,提前预警和监测网络攻击行为,保护用户数据和隐私安全。
3. 加强网络认证体系的设计和实现,利用复杂的认证算法识别仿冒用户和欺骗攻击,提高系统的弹性和抗攻击能力。
4. 启用密码、令牌等多重认证机制,要求用户根据自身情况选择合适的认证方式,
加强对用户身份和信息的验证和管理。
总之,校园网无感知认证是一种技术创新和便捷服务,但缺少安全感知和控制措施,
容易成为黑客攻击和信息泄露的利器。
因此,学校和学生都需要认识到其安全风险和预防
措施,共同维护良好的网络环境和信息安全。
校园网无感知认证安全研究
校园网无感知认证安全研究校园网无感知认证是指在校园网中,无需用户手动输入账号和密码就能自动进行身份验证。
这种认证方式通常使用了一种被称为“802.1x”的认证协议,它不仅可以提供更高水平的认证安全性,还可以实现用户自动登录,降低了用户的使用门槛和学校网络管理的工作量。
校园网无感知认证也存在一定的安全隐患,主要体现在以下几个方面。
校园网无感知认证的核心是基于用户设备的MAC地址进行认证,这使得用户设备的MAC地址成为了身份验证的关键信息。
MAC地址可以被黑客利用技术手段进行伪造,从而冒充合法用户设备进行网络访问。
如果黑客成功伪造合法用户设备的MAC地址,就可以绕过认证系统,直接获取校园网的网络连接,进而进行其他恶意活动,如ARP攻击、监听、欺骗等,给校园网带来威胁。
校园网无感知认证可能会暴露用户设备的身份信息。
无感知认证系统通常会通过向用户设备发送认证请求,并要求设备回应一个认证报文来验证设备的合法性。
认证报文中可能包含用户设备的一些敏感信息,如IP地址、设备类型等。
如果黑客能够获取到这些认证报文,就能够得知用户设备的身份信息,从而进行针对性攻击,甚至滥用用户的账户。
校园网无感知认证的认证过程也可能被黑客利用进行中间人攻击。
在无感知认证的过程中,用户设备通过与认证服务器进行通信来完成认证。
黑客可以在认证过程中插入自己的设备作为中间人,窃取用户设备和认证服务器之间的通信数据。
中间人攻击者不仅能够获取到用户设备和认证服务器之间的明文数据,还可以对数据进行篡改,从而达到欺骗用户设备的目的。
为了解决这些安全问题,校园网无感知认证系统需要进行相应的安全加固。
可以采用加密技术来保护认证报文的安全传输,防止黑客窃取和篡改数据。
可以加强对用户设备MAC地址的验证机制,比如使用其他设备信息(如硬件序列号、设备型号等)进行联合认证,提高伪造设备MAC地址的难度。
还可以加强服务器端的安全防护措施,如限制认证服务的访问权限、对认证服务进行实时监控等。
PEAP认证简介(使用)
终端支持情况
终端 操作系统版本 SIM认证支持情况 PEAP认证支持情况 Windows Mobile
Android Android2.0以上 不支持 支持
步骤2:点击安装后, 会弹出确认窗口,选 择“现在安装”,进 行证书的安装。
步骤3:安装完成后,点 击“完成”结束安装 。 提示:证书只在初次使 用时安装,不用重复安 装。
步骤4:进入“无线局域 网”,打开Wi-Fi开关 。
步骤5:等待系统搜索到带 锁标识的CMCC-AUTO, 点击CMCC-AUTO,开始 与网络侧进行认证。
iPhone iOS3以上 支持 支持
Symbian S60 v3/v5
BlackBerry OS 5.0/6.0 支持 支持
不支持 支持
支持 支持
某省统计数据,支持上述两种认证方式的存量终端比例
都不支持 终端总数7.9%
只支持PEAP 终端总数14.7%
同时支持PEAP和 EAP-SIM终端总 数77.4%
步骤6:等待手机状态 栏出现WiFi标识并且 CMCC-AUTO前被勾 选,认证结束
Symbian SIM认证配置
步骤1:打开手机功能 表,进入“设置”菜 单。选择“连接”。
步骤2:选择“接入点”
步骤3:按左功能键“选项”,弹 出功能菜单。选择“新增接入点 ”。
步骤4:进行如下配置。连接名称为“CMCC-AUTO”; 数据承载方式为“无线局域网”;WLAN网络名称为 “CMCC-AUTO”;网络状态为“开发”;WLAN网络模 式为“基础网络”;WLAN安全模式为“802.1x”; WPA/WPA2为“EAP“;勾选”EAP-SIM“和”EAPAKA“;使用的用户名为”来自SIM卡“;使用的安全域 为”来自SIM卡“。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无感知认证
“手机WiFi上网太麻烦了!不仅每次上网都要输入账号和密码,在人多的地方,比如星巴克,还经常会被挤掉而不得不反复输入账号和密码!”。
这恐怕是如今使用手机WIFI上网的大多数人的感受。
没错,随着WLAN网络快速部署和用户量持续上升,由于WLAN认证问题而导致的用户体验差的矛盾愈发突出。
这不仅降低了用户对运营商网络质量的信赖度,而且还直接影响了WLAN分流宏蜂窝数据压力的效果,背离了部署WLAN的初衷。
如何提升WLAN用户感知,迚而改善分流效果是华为电信级WLAN解决方案重点关注的问题之一。
针对客户的不同情况,华为推出了“无感知认证解决方案包”,最大化匹配客户不同发展阶段的差异化需求。
该“解决方案包”涵盖了目前业界通行的全部四种认证方案:Portal、EAP-PEAP、EAP-SIM和MAC地址绑定。
在用户感知和认证安全性方面实现了适应终端状况、稳步提升的良性循环。
此外,华为与中国移动多个省份公司开展了联合创新工作,推动了解决方案包在多个省份验证成功并落地实施。
极大地促迚了无感知认证的快速成熟。
1、EAP-PEAP认证
PEAP,即为Protected-EAP“受保护的可扩展的身份验证协议”,是一项由Cisco、Microsoft和RSA共同支持的安全方案(目前在RFC处于草案阶段),具有很好的安全性,在设计上和EAP-TTLS相似。
PEAP是可扩展的身份验证协议(EAP) 家族的一个成员,目前共有三个版本,分别为V0/V1/V2,已被WPA和WPA2批准
的有两个子类型PEAPV0-MSCHAPV2和PEAPV1-GTC。
由于PEAP是一个框架协
议,目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议,又被
称作MS-PEAP协议,已经被各移动终端的操作系统如iOS,Android、Windows
等广泛支持。
802.1X框架下的EAP-PEAP认证架构如下图所示:
EAP-PEAP的认证安全性较高;具体体现在以下几个方面:
∙使用传输级别安全性(TLS) 为正在验证的 PEAP 客户端和 PEAP 身份验证器之间创建加密通道。
PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议;
∙在建立TLS隧道时,终端需要对认证服务器进行证书验证,防止网络侧的仿冒行为;
∙用户认证采用MS-CHAP-V2认证方式,支持双向认证:除了服务器对用户的认证,还支持用户对服务器的认证;
∙采用802.1X技术,进行端口级别的接入控制,提高了接入控制能力和安全性。
2011年,华为与安徽移动携手,开通实验网,率先实现了EAP-PEAP认证的落地验证工作。
验证结果显示,PEAP认证仅在首次接入时需要用户输入相关认证信息,相比Portal,用户体验得到较大提升。
此外,市场上不同种类的手机在测试中的表现也不尽相同:Iphone和Android手机进行EAP-PEAP认证速度较快,可在3-5秒内完成;Symbian和Windows phone则相对较慢。
2、 EAP-SIM认证
SIM认证采用标准的EAP-SIM/EAP-AKA作为WLAN终端接入认证机制,用(U)SIM 卡作为认证密钥分发的载体,用户连接WLAN网络不需要手动输入认证信息,通过手机(U)SIM卡自动完成认证,用户体验好。
此外,SIM认证提供了很高的安全性,主要体现在:
∙密钥通过硬件载体((U)SIM卡)分发,有效防止密钥泄露或者被盗;
∙支持伪随机用户名,保护用户真实身份不被泄露;
∙支持双向认证,除了服务器对用户的认证,还支持用户对服务器的认证;
∙采用802.1X技术,进行端口级别的接入控制,提高了接入控制能力和安全性
统一认证架构基于802.1X认证体系架构,架构图以及涉及到的网元如下图所示:
∙WLAN UE为I-WLAN认证体系中的接入请求系统,用户统一认证/接入PS 域业务时,WLAN UE发起EAP鉴权请求。
对应802.1x架构中的客户端系
统(Supplicant System)。
∙WLAN AN在I-WLAN认证系统中负责WLAN UE统一认证场景的接入鉴权。
对应802.1x架构中的认证者系统(Authenticator System)。
∙3GPP AAA Server为统一认证体系中用户认证的执行点,负责对WLAN UE 认证和授权功能,认证和授权信息取自HLR。
3GPP AAA Server与HLR一
起,对应802.1x架构中的认证服务器系统(Authentication Sever
System)。
∙HLR在统一认证体系中负责用户鉴权和签约信息的存储,与3GPP AAA Server交互,完成鉴权和签约信息的交互。
早在2010年,华为就与浙江移动、广东移动以及山东移动联合创新,着手SIM 认证的研发及落地验证工作。
其中,浙江移动率先完成针对TD数据卡的SIM统一认证方案的测试工作;成功完成与异厂家对接。
广州移动则成功完成首个针对手机终端的SIM统一认证方案的测试工作,并于2011年Q2商用部署。
山东移动则全面完成了数据卡与手机终端的SIM统一认证方案测试,并率先实现了SIM
统一认证的全省商用。
3、 MAC地址绑定认证
MAC认证是华为为适应部分客户的特殊需求而研发的WLAN无感知认证解决方案,其主要目的就是简化认证过程,同时兼容现网终端,将改造成本降至最低。
通过MAC认证,用户只需在首次入网时输入用户名和密码,WLAN网络便可自动记录终端的MAC地址,并与用户名和密码建立关联,在后续的入网过程中,用户不必重复登录,网元便可以根据保存的信息,自动使用户接入到WLAN网络,并用短信的方式对用户进行提醒。
MAC认证几乎是无感知的,有效地降低了客户认证过程的复杂性。
并且在提升易用性的同时,不需更换手机,不需要复杂的配置操作,非常易于推广。
就运营商而言,可以通过提供MAC认证方式,吸引用户使用WLAN网络,增强移动用户黏性,并且通过发展WLAN用户,分流蜂窝网流量,最终实现网络的负载平衡。
虽然EAP-PEAP和EAP-SIM无感知认证解决方案已经出台,但是距离大规模部署还有一段时间,在这段“真空期”内,MAC地址绑定认证能有效弥补用户体验差的短板,从而为增强用户黏性、培养用户习惯起到了关键性作用。
4、 Portal认证
Portal认证是当下使用的最广的一种WLAN认证方式。
其最大的有点就是可以兼容所有的终端,部署成本极低。
然而,它的缺点也是显而易见的:用户在使用Portal认证登录WLAN网络时,必须手动输入用户名和密码,且每次使用数据业务时都要输入一次,十分繁琐,因此用户体验较差;另外,Portal认证过程基本没有什么安全机制,因此其安全性较差。
目前,大多数手机终端已经支持PEAP 和SIM认证,Portal认证的作用正在迅速降低。