C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 13162|回复: 2

[WiMax/WLAN/WiFi/WAPI] 无感知认证方案技术先容 [复制链接]

军衔等级:

亚星游戏官网-yaxin222  三级军士长

注册:2011-3-937
发表于 2014-9-14 10:42:23 |显示全部楼层
本帖最后由 睡睡龙儿 于 2014-9-14 10:47 编辑

注:本文转自 http://******/zz/content/2012-10/24/content_1014035_2.htm 中国信息产业网


BYOD(Bring Your Own Device,自带设备),即通过Wi-Fi的接入方式自带设备,提高工作效率,这已成为业界的趋势。而目前大家所了解的无感知认证,就是通过BYOD的方式无需用户介入自动接入Wi-Fi网络。无感知认证主要分为Portal、802.1x以及MAC等多种方式。以下通过技术的发展历程,先容各种无感知认证技术。

一、 Portal认证
由于手持终端的种类繁多,为了保证兼容性,最早的Wi-Fi接入采用了Portal认证,通过内置的浏览器,解决了手持终端不便于安装认证客户端App的接入问题。然而Portal认证需要打开浏览器,在输入用户名和密码后才能接入网络,造成了效率较低。据统计,采用Portal认证的用户平均需要2分钟才能接入网络。
随着技术的发展,手持终端更加智能化了,安装客户端App成了一件很简单的事情。客户端解决了手持终端Portal认证效率低的问题(如图1所示),只要输入一次用户名和密码,下次只要点击图标即可完成认证,无需反复输入,提高了Portal认证的效率。
1.jpg
图1 H3C 基于iOS的iNode客户端

二、 802.1x认证
802.1x标准的提出起源于IEEE 802.11标准——无线局域网用户接入协议标准,其最初目的是解决无线局域网用户的接入认证问题。但由于802.1x认证的原理对于所有符合IEEE 802标准的局域网具有普适性,因此在有线局域网中也得到了广泛的应用,成为有线交换机的端口网络控制协议。
802.1x协议规定在完成认证之前是不允许信息交互的,因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP(Extensible Authentication Protocol,可扩展认证协议)帧交换认证信息。目前大多数手持终端都支撑基于802.1x的EAP认证(如图2所示),输入相应的用户名密码,即可自动完成认证,这种方式称为EAP-PEAP,即Protected-EAP(受保护的可扩展的身份验证协议)。已被Wi-FI联盟WPA和WPA2批准的有两个子类型:
PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议,目前业界使用最广的是由MicroSoft提出的PEAPV0-MSCHAPV2协议,又被称作MS-PEAP,也就是大家在苹果上看到的WPA/WPA2企业级认证方式。
2.jpg
图2 iOS和Android系统中配置EAP-PEAP
还有一种基于802.1x认证方式EAP-SIM/AKA,这种方式主要利用了运营商蜂窝用户SIM/USIM卡的信息,并完成认证。但这种方式更适合在带有在运营商网络使用而不是企业网。
目前H3C的WLAN设备对以上几种基于802.1x的认证协议都可以完善支撑。

三、 802.11u协议及Wi-Fi联盟的Passpoint
IEEE 802.11u协议规定了不同网络间互操作的标准,其制定的初衷是希翼Wi-Fi网络能够象运营商的蜂窝网络一样,方便终端接入。到了BYOD时代,这种需求尤其明显:城市里的人们用终端可以搜索到数十个、甚至上百个Wi-Fi信号源,在这种情况下,如何选择正确的网络?通过802.11u协议,Wi-Fi设备就可以自动的连接到Wi-Fi热点而无需用户介入。
802.11u协议中的一个重要部分是使用ANQP(Access Network Query Protocol,接入网络查询协议)。在认证之前,移动终端向带有802.11u功能的AP发送一个ANQP查询,AP通过广告服务(Advertisement Server)提供热点的域名和SSID等相关信息。接下来,移动终端检查自己的证书并确认可以连接的漫游服务商列表,移动终端比较自己的列表和从AP处获得的漫游列表,这样就可以确定选择哪一个SSID成功地进行身份识别。所有的过程都是自动的,也就是说 802.11u协议解决了自动选择网络的问题,而不是每次跳出一堆SSID要用户自己选择。
但这是不够的,802.11u仅仅解决了选择接入点的问题,并不能提供不同网络的认证功能。因此无线宽带联盟(WBA)与Wi-Fi联盟合作,提出了Wi-Fi CERTIFIED Passpoint™(简称 Passpoint)计划。通过Passpoint计划,Wi-Fi热点接入内网AP将不再需要用户进行任何主动选择或输入。Passpoint将使用统一的接口自动进行关联。设备可以基于多种凭据类型自动获取网络访问权限,包括EAP-SIM/AKA、EAP-PEAP、EAP-TLS等,无需终端用户介入即可与可信任的网络建立连接。
但是,802.11u+ Passpoint的无感知认证方式存在明显缺点。802.11u是2011年才正式通过的协议,目前尚有很多软硬件厂商的产品对802.11u支撑度不够。另外,Passpoint部署起来比较复杂,即使采用EAP-PEAP方式做认证,不同终端首次配置差别较大,如iOS系统就必须要手动导入证书,否则会提示证书验证失败,必须手工选择才能接入网络,因此更适合运营商之间的互联,而不是企业内部的BYOD办公。

四、 基于MAC地址快速认证方案
鉴于以上认证方案的种种问题,无线终端用户对易用性和便捷性提出了更高的要求。结合现有网络和技术的运用以及针对中国用户的使用习惯,H3C基于iMC平台的UAM(用户接入管理组件)提出MAC绑定快速认证的技术思路,其特点如下:
1、用户体验改善,首次用户需手动Portal认证,后续使用无感知认证;
2、终端适配较好,适配大部分WLAN终端,无需适配客户端;
3、认证兼容性较好,兼容现有Portal认证方式;
MAC认证具备“一次认证,多次使用”用户体验。如果开通了MAC快速认证,用户首次登陆Portal页面成功认证后,后续只要关联WLAN就可以用任意应用上网。具体流程如图3所示。
3.jpg
图3 基于MAC地址快速认证的首次认证流程
完成了首次认证后,第二认证流程就要简单很多(如图4所示)。
4.jpg
图4 基于MAC地址快速认证的二次认证流程
MAC地址快速认证并不是简单的MAC认证,仍是基于Portal认证的。并且这种认证方式把短信猫和手持终端认证紧密结合起来,再通过UAM的MAC认证模块,自动完成了认证过程。总的来说,相比其他认证方式, MAC地址快速认证具有很好的用户体验和技术优势(如表1所示)。
认证方案 H3C MAC 地址快速认证 Portal客户端 Portal认证 802.1x 802.11u+Passpoint 优势 用户体验好,认证速度快,兼容所有终端 认证速度快,用户体验好 兼容性好 认证速度快,各种终端支撑 自动选择网络,自动认证劣势 无 目前仅兼容少数操作系统 用户体验差,认证时间过程长 终端种类多,首次认证配置复杂 部署复杂,部分终端和无线设备尚不支撑,认证基于802.1x,更适合运营商之间的漫游使用场景 企业内部使用,适合各种终端 仅有苹果、Android系统的终端环境 各种终端均可兼容,但不能实现无感知认证 企业网运营商均可使用,对用户IT能力要求较高 运营商适用,但目前推广条件尚不成熟。
5.jpg
表1 各种常见手持终端认证方案对比表

五、 结束语
BYOD改变了人们上班的工作方式,企业能够充分利用新的移动终端和 BYOD 趋势,提高工作效率。而目前常见的认证方案在企业应用BYOD时都存在各种问题:有的方案用户体验较差,有的方案对用户来说配置复杂,有的方案更适合运营商而不是在企业内部使用。基于MAC地址的快速认证方案,针对国内用户的使用习惯,在设备安全性和认证的便捷性中找到了一个较好的平衡点,使 IT 部门能够赋予用户更大的业务自由度。

举报本楼

本帖有 2 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-6 13:36 , Processed in 0.181132 second(s), 18 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图