2024年4月28日发(作者:)
WLAN无感知认证试点技术方案(PEAP认证)
1 背景
PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧
通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续
接入认证无需用户任何手工操作,由终端自动完成。
2 技术原理
PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认
证。
EAP 客户端和认证服务器之间的认证过程有两个阶段。
第一阶段:建立 PEAP 客户端和认证服务器之间的安全通道,客户端采用证书认证服务
端完成TLS握手。服务端可选采用证书认证客户端。
第二阶段:提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信,包
括 EAP 协商在内,都通过 TLS 通道进行。服务器对用户和客户端进行身份验证,具体方法
由 EAP 类型决定,在 PEAP 内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端和
RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点无法对这些消息进行解密。
目前被WPA和WPA2批准的有两个PEAP子类型 PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛
的是PEAPV0-MSCHAPV2。
PEAP认证参考如下国际标准
[1] IETF Draft, PEAP Authentication,
, 2004.
[2] IETR RFC 2759,MSCHAPv2
[3] IETF RFC 3748, "Extensible Authentication Protocol (EAP)".
3 关键技术问题
3.1
证书问题
PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。
如果服务器证书与终端预置证书验证不匹配,PEAP认证可能失败。
目前Portal认证使用的证书为IP地址绑定,如果试点阶段AAA服务器选择绑定域名的证
书,现网AC可能需改造。
iPhone如果证书验证失败,此时用户选择接受,PEAP认证可成功。
Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项,勾选后,终端不再进行
证书验证。
1
Windows Mobile手机如果证书验证失败,PEAP认证无法通过。
Symbian和Adroid/Ophone还未验证。
3.2
密码设置
PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。
3.3
PEAP认证方法
试点使用PEAPv0版本,选用MSCHAPv2认证方法。
3.4
SSID设置
需设置新的SSID(CMCC-AUTO),支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使
用相同SSID。
3.5
机卡分离问题
由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机
或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上。
目前暂无较好技术手段进行解决机卡分离问题。
3.6
下线控制
PEAP认证仍保留8小时下线机制
可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。(已确认,部分AC厂家
已支持,部分AC厂商需升级支持)。
3.7
Keep-alive机制(可选)
AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi
覆盖区域),则网络侧对此用户进行下线操作。具体实现机制如下图:
WLAN UE
eap_request/identity
eap_response/identity
eap_success
WLAN AN
2
发布评论