文/赵丹

当下，各种智能终端层出不穷，特别是以iPhone、iPad等为代表的高端智能终端的流行，促使多媒体业务的应用急剧增加、人们对移动无线上网体验的要求也越来越高。无线通信市场竞争的热点逐渐从技术转向了用户体验上。用户体验的好坏，逐渐成为人们无线上网选择的重要标准。

然而，WLAN网络的发展仍处于初级阶段，基于Web的认证方式仍然是主流的认证方式，但这种方式对用户来说并不便捷。传统的Portal认证模式，其繁琐的认证流程不但降低了网络的效率，更重要的是影响了用户的体验效果，制约了WLAN用户的发展，用户使用网络的时长和用户数量无法得到快速提升，网络建设投资成本回收期延长，用户ARPU值降低。

为改善无线认证环节，提升用户上网体验，WLAN网络的认证方式与流程需要简化与智能化。如何才能实现？

一、 基于MAC的无感知认证解决方案

（如图1所示）用户首次连接WLAN时，需要一次认证，同时在后台服务器上，将用户无线网卡物理地址与用户的登陆信息绑定。当该用户下次连接网络时，无需重复繁琐的认证即可直接上网。

http://www.h3c.com.cn/res/201204/19/20120419_1338809_01_742010_30008_0.GIF图1 基于MAC的认证流程

认证流程如下：

• DHCP获取IP地址；
• 发起正常用户认证请求；
• AC向移动智能终端推送认证页面，进行正常认证流程；
• 认证成功后，AC向认证服务器再次发起用户简化认证请求；
• AC与认证系统进行用户信息交互；
• 由AC进行用户信息的记录并在下次用户上网时自动帮助用户登记；
• 服务器通知短信网关向用户手机下发短信，通知用户简化认证功能启用。

此方案以流量为触发条件。用户无线网卡物理地址由专门的绑定服务器进行查询和绑定，减轻了认证服务器或后台服务器的压力。同时流量触发的方式避免了关联（即绑定）造成的服务器压力问题。此方案具有以下优点。

1、 良好的兼容性：无需安装任何形式的客户端，无需证书校验，终端与后台服务器的绑定关系一旦建立，IE浏览、手机QQ、视频软件等各种形式的无线应用都能实现完美兼容；

2、 用户完全零配置：绑定服务器上的用户无线网卡物理地址和用户名绑定完全自动生成，用户体验度高，用户界面无需改动；

3、 安全性高：绑定结果通过短信告知用户；

4、 可扩展性好：绑定服务器除用于无线网卡物理地址认证外，其功能还可根据用户需求进行扩展，而无需对认证服务器系统进行改动；

5、 增加了流量阈值判断过程，防止智能终端上由于定期触发（如ARP、DHCP、DNS等）报文而频繁触发认证请求，避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题；

6、 系统支持短信下线，丰富了用户选择性。用户通过手机发送短信后，短信网关即通知绑定服务器将用户强制下线。

二、 EAP-SIM/AKA无感知认证解决方案

（如图2所示）EAP-SIM/AKA认证是EAP认证方法的一种实现方式，其通过用户(U)SIM卡信息进行认证。当用户使用SIM卡时，执行EAP-SIM认证流程；当用户使用USIM卡时，执行EAP-AKA认证流程，整个认证流程不需要用户介入任何手工操作，完全由用户终端自动完成。

http://www.h3c.com.cn/res/201204/19/20120419_1338810_02_742010_30008_0.GIF图2 EAP-SIM无感知认证流程

认证流程如下：

• 终端与AC之间通过EAPoL协议通信；
• AC和AAA服务器通过Radius协议转发EAP消息；
• AAA服务器使用MAP协议从HLR/HSS获取用户(U)SIM卡鉴权向量，并完成认证。

用户首次使用时需进行PEAP认证相关配置，并输入用户名、密码，后续即可实现免登陆上网。此方案同MAC认证一样，也无需Portal界面或用户任何手工输入操作的干预，认证过程也完全交由后台自行进行和处理。合法用户只要连接无线网络，无需经过繁琐的认证流程，即可上网，用户体验大大提高。此方案具有如下优点：

1、 用户完全零操作：认证过程完全由后台自行处理，用户体验度高；

2、 安全性高：用户SIM卡信息固定且唯一；

3、 避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。

由于此方案依托于(U)SIM卡信息，因此一般适用于手机一类的移动智能终端，具体支持程度需要根据手机终端类型和各省网络建设情况而定。

三、 PEAP无感知认证解决方案

（如图3所示）PEAP认证是EAP认证方法的另一种实现方式，终端与网络关联后，终端侧通过服务器证书对网络侧进行认证，建立TLS隧道，将用户名/密码发送给网络侧，网络侧通过用户名/密码对终端进行认证。

http://www.h3c.com.cn/res/201204/19/20120419_1338811_03_742010_30008_0.GIF图3 PEAP无感知认证流程

认证基本流程：

• 终端与AC之间通过EAPoL协议通信；
• AC和Raduis服务器通过Radius协议转发EAP消息；
• 终端与Raduis服务器之间建立TLS隧道；
• 终端和Raduis服务器之间通过TLS隧道进行EAP认证协商，完成身份认证；

用户首次使用时需进行PEAP认证相关配置，并输入用户名、密码，后续即可实现免登陆上网。此方案无需Portal界面，无需用户进行任何认证手工输入操作，认证过程完全由后台自行进行和处理。合法用户只要连接无线网络，即可上网，彻底省去了繁琐的认证过程，极大提高了用户体验。此方案具有如下优点：

1、 用户完全零操作：认证过程完全由后台自行处理，用户体验度高；

2、 安全性高：访问点只会在终端和 RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对认证协商相关消息进行解密；

3、避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。

PEAP认证目前适用于各种类型的手机智能终端，但同时也具有如下弊端：

1、 基于证书认证网络，AAA服务器需要预置根证书，终端证书如果与服务器证书不匹配，终端需要进行安装或者有错误提示；

2、 由于PEAP认证的用户名/密码保存在手机中，如果手机和用户卡发生分离（用户换手机或换卡），手机仍能进行PEAP认证，但费用会记录在原有卡用户账户上；

结束语

以上通过深入分析当前无线上网认证方式，以简化用户认证流程、提升用户感知为目的，给出了三种的无感知认证方式。这三种方案各有所长，在实际应用中，可以根据终端类型、各省网络建设情况细分客户群，采用合适的认证方式。