2024年4月28日发(作者:)

WLAN无感知认证试点技术方案(PEAP认证)

1 背景

PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧

通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续

接入认证无需用户任何手工操作,由终端自动完成。

2 技术原理

PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认

证。

EAP 客户端和认证服务器之间的认证过程有两个阶段。

第一阶段:建立 PEAP 客户端和认证服务器之间的安全通道,客户端采用证书认证服务

端完成TLS握手。服务端可选采用证书认证客户端。

第二阶段:提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信,包

括 EAP 协商在内,都通过 TLS 通道进行。服务器对用户和客户端进行身份验证,具体方法

由 EAP 类型决定,在 PEAP 内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端和

RADIUS 服务器之间转发消息,由于不是 TLS 终结点,访问点无法对这些消息进行解密。

目前被WPA和WPA2批准的有两个PEAP子类型 PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛

的是PEAPV0-MSCHAPV2。

PEAP认证参考如下国际标准

[1] IETF Draft, PEAP Authentication,

, 2004.

[2] IETR RFC 2759,MSCHAPv2

[3] IETF RFC 3748, "Extensible Authentication Protocol (EAP)".

3 关键技术问题

3.1

证书问题

PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。

如果服务器证书与终端预置证书验证不匹配,PEAP认证可能失败。

目前Portal认证使用的证书为IP地址绑定,如果试点阶段AAA服务器选择绑定域名的证

书,现网AC可能需改造。

iPhone如果证书验证失败,此时用户选择接受,PEAP认证可成功。

Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项,勾选后,终端不再进行

证书验证。

1

Windows Mobile手机如果证书验证失败,PEAP认证无法通过。

Symbian和Adroid/Ophone还未验证。

3.2

密码设置

PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。

3.3

PEAP认证方法

试点使用PEAPv0版本,选用MSCHAPv2认证方法。

3.4

SSID设置

需设置新的SSID(CMCC-AUTO),支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使

用相同SSID。

3.5

机卡分离问题

由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机

或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上。

目前暂无较好技术手段进行解决机卡分离问题。

3.6

下线控制

PEAP认证仍保留8小时下线机制

可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。(已确认,部分AC厂家

已支持,部分AC厂商需升级支持)。

3.7

Keep-alive机制(可选)

AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi

覆盖区域),则网络侧对此用户进行下线操作。具体实现机制如下图:

WLAN UE

eap_request/identity

eap_response/identity

eap_success

WLAN AN

2