返回
WLAN无感知认证技术方案(PEAP认证).doc

WLAN无感知认证技术方案(PEAP认证).doc

ID:56786015

大小:582.50 KB

页数:12页

时间:2020-07-11

WLAN无感知认证技术方案(PEAP认证).doc_第1页
WLAN无感知认证技术方案(PEAP认证).doc_第2页
WLAN无感知认证技术方案(PEAP认证).doc_第3页
WLAN无感知认证技术方案(PEAP认证).doc_第4页
WLAN无感知认证技术方案(PEAP认证).doc_第5页
资源描述:

《WLAN无感知认证技术方案(PEAP认证).doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、WLAN无感知认证试点技术方案(PEAP认证)1背景PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。2技术原理PEAP(ProtectedEAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。EAP客户端和认证服务器之间的认证过程有两个阶段。第一阶段:建立PEAP客户端和认证服务器之间的安全通道,客户端采用证书认证服务端完成TLS握手。服务端可

2、选采用证书认证客户端。第二阶段:提供EAP客户端和认证服务器之间的EAP身份验证。整个EAP通信,包括EAP协商在内,都通过TLS通道进行。服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端和RADIUS服务器之间转发消息,由于不是TLS终结点,访问点无法对这些消息进行解密。目前被WPA和WPA2批准的有两个PEAP子类型PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是PEAPV0-MSCHAPV2。PEAP认证参考如下

3、国际标准[1]IETFDraft,PEAPAuthentication,draft-josefsson-pppext-eap-tls-eap-10.txt,2004.[2]IETRRFC2759,MSCHAPv2[3]IETFRFC3748,"ExtensibleAuthenticationProtocol(EAP)".3关键技术问题3.1证书问题PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。如果服务器证书与终端预置证书验证不匹配,PEAP认证可能失败。目前Portal认证使用的证书为I

4、P地址绑定,如果试点阶段AAA服务器选择绑定域名的证书,现网AC可能需改造。iPhone如果证书验证失败,此时用户选择接受,PEAP认证可成功。Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项,勾选后,终端不再进行证书验证。WindowsMobile手机如果证书验证失败,PEAP认证无法通过。Symbian和Adroid/Ophone还未验证。1.1密码设置PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。1.2PEAP认证方法试点使用PEAPv0版本,选用MSCHAPv2认证方

5、法。1.3SSID设置需设置新的SSID(CMCC-AUTO),支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使用相同SSID。1.4机卡分离问题由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上。目前暂无较好技术手段进行解决机卡分离问题。1.5下线控制PEAP认证仍保留8小时下线机制可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。(已确认,部分AC厂家已支持,部分AC厂商需升级支持)。1.6Ke

6、ep-alive机制(可选)AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi覆盖区域),则网络侧对此用户进行下线操作。具体实现机制如下图:AC在一定时间内无流量后,向终端发送EAP-Request/identity消息,终端如果在线则回复EAP-Response消息,如果AC收到终端响应后,回复EAP-Success,如果AC没有收到终端响应,则在一定时间内重发EAP-Request消息,在重传一定次数后,仍未收到响应,则从网络侧下线用户。此机制可能存在如下潜两个问题:1)上述流程不

7、是标准流程,部分终端周期性收到心跳后,可能出于安全或其它因素考虑,不处理EAP-Request消息。2)终端在EAP-Response消息中可能不携带网络侧分配的伪随机名或快速认证名,而是携带IMSI,增加空口传输IMSI的概率。鉴于部分厂家已支持此功能,试点期间作为可选项,在提供此功能的厂家设备上验证其效果。AC如果支持Keep-alive机制,对AC性能有一定影响,可通过试点进行评估。1接入流程1.1PEAP用户接入流程图1PEAP用户接入流程E1认证初始化1)WLANUE向WLANAN发送一个EAPoL-Start报

8、文,开始802.1x接入的开始。2)WLANAN向WLANUE发送EAP-Request/Identity报文,要求WLANUE将用户信息送上来。3)WLANUE回应一个EAP-Response/Identity给WLANAN的请求,其中包括用户的网络标识。用户ID,对于PEAP-mschchapv2认

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。