WLAN無感知認(rèn)證技術(shù)方案

1、WLAN無感知認(rèn)證試點技術(shù)方案(PEAP認(rèn)證)背景PEAP是EAP認(rèn)證方法的一種實現(xiàn)方式，網(wǎng)絡(luò)側(cè)通過用戶名/密碼對終端進(jìn)行認(rèn)證，終端側(cè) 通過服務(wù)器證書對網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。用戶首次使用PEAP認(rèn)證時，需輸入用戶名和密碼，后續(xù) 接入認(rèn)證無需用戶任何手工操作，由終端自動完成。技術(shù)原理PEAP(Protected EAP)實現(xiàn)通過使用隧道在PEAP客戶端和認(rèn)證服務(wù)器之間進(jìn)行安全認(rèn) 證。EAP客戶端和認(rèn)證服務(wù)器之間的認(rèn)證過程有兩個階段。第一階段：建立PEAP客戶端和認(rèn)證服務(wù)器之間的安全通道，客戶端采用證書認(rèn)證服務(wù) 端完成TLS握手。服務(wù)端可選采用證書認(rèn)證客戶端。第二階段：提供EAP客戶端和認(rèn)證服務(wù)器之間的

2、EAP身份驗證。整個EAP通信，包 括EAP協(xié)商在內(nèi)，都通過TLS通道進(jìn)行。服務(wù)器對用戶和客戶端進(jìn)行身份驗證，具體方法 由EAP類型決定，在PEAP內(nèi)部選擇使用(如：EAP-MS-CHAPv2)。訪問點只會在客戶端和 RADIUS服務(wù)器之間轉(zhuǎn)發(fā)消息，由于不是TLS終結(jié)點，訪問點無法對這些消息進(jìn)行解密。目前被WPA和WPA2批準(zhǔn)的有兩個PEAP子類型PEAPV0-MSCHAPV2，PEAPV1-GTC，使用廣泛 的是 PEAPV0-MSCHAPV2。PEAP認(rèn)證參考如下國際標(biāo)準(zhǔn)IETF Draft, PEAP Authentication,draft-josefsson-pppext-eap-t

3、ls-eap-10.txt, 2004.IETR RFC 2759， MSCHAPv2IETF RFC 3748, Extensible Authentication Protocol (EAP)”.關(guān)鍵技術(shù)問題3.1證書問題PEAP認(rèn)證需要AAA服務(wù)器配置認(rèn)證證書。需評估不同服務(wù)器證書與各類終端的兼容性。 如果服務(wù)器證書與終端預(yù)置證書驗證不匹配，PEAP認(rèn)證可能失敗。目前Portal認(rèn)證使用的證書為IP地址綁定，如果試點階段AAA服務(wù)器選擇綁定域名的證 書，現(xiàn)網(wǎng)AC可能需改造。iPhone如果證書驗證失敗，此時用戶選擇接受，PEAP認(rèn)證可成功。Blackberry手機(jī)PEAP認(rèn)證配置有“禁止

4、服務(wù)器證書驗證”選項，勾選后，終端不再進(jìn)行 證書驗證。Windows Mobile手機(jī)如果證書驗證失敗，PEAP認(rèn)證無法通過。Symbian 和 Adroid/Ophone 還未驗證。3.2密碼設(shè)置PEAP認(rèn)證使用的用戶名/密碼與Portal認(rèn)證的用戶名/密碼應(yīng)保持一致。PEAP認(rèn)證方法試點使用PEAPv0版本，選用MSCHAPv2認(rèn)證方法。SSID 設(shè)置需設(shè)置新的SSID（CMCC-AUTO），支持存量終端使用PEAP認(rèn)證方式。PEAP認(rèn)證與SIM認(rèn)證使 用相同SSID。3.5機(jī)卡分離問題由于PEAP認(rèn)證的用戶名/密碼保存在手機(jī)中，如果手機(jī)和用戶卡發(fā)生分離（用戶換手機(jī) 或換卡），手機(jī)仍能進(jìn)行

5、PEAP認(rèn)證，但費用會記錄在原有卡用戶賬戶上。目前暫無較好技術(shù)手段進(jìn)行解決機(jī)卡分離問題。下線控制PEAP認(rèn)證仍保留8小時下線機(jī)制可通過AC開關(guān)開啟/關(guān)閉PEAP認(rèn)證對應(yīng)SSID的15分鐘下線機(jī)制。（已確認(rèn)，部分AC廠家 已支持，部分AC廠商需升級支持）。Keep-alive 機(jī)制（可選）AC利用EAP信令周期性探測UE狀態(tài)，如果UE在一定時間內(nèi)無響應(yīng)（異常關(guān)機(jī)、移出WiFi 覆蓋區(qū)域），則網(wǎng)絡(luò)側(cè)對此用戶進(jìn)行下線操作。具體實現(xiàn)機(jī)制如下圖：AC在一定時間內(nèi)無流量后，向終端發(fā)送EAP-Request/identity消息，終端如果在線則回 復(fù)EAP-Response消息，如果AC收到終端響應(yīng)后，回復(fù)

6、EAP-Success，如果AC沒有收到終端響 應(yīng)，則在一定時間內(nèi)重發(fā)EAP-Request消息，在重傳一定次數(shù)后，仍未收到響應(yīng)，則從網(wǎng)絡(luò) 側(cè)下線用戶。此機(jī)制可能存在如下潛兩個問題：1）上述流程不是標(biāo)準(zhǔn)流程，部分終端周期性收到心跳后，可能出于安全或其它因素考 慮，不處理EAP-Request消息。2）終端在EAP-Response消息中可能不攜帶網(wǎng)絡(luò)側(cè)分配的偽隨機(jī)名或快速認(rèn)證名，而是 攜帶IMSI，增加空口傳輸IMSI的概率。鑒于部分廠家已支持此功能，試點期間作為可選項，在提供此功能的廠家設(shè)備上驗證其 效果。AC如果支持Keep-alive機(jī)制，對AC性能有一定影響，可通過試點進(jìn)行評估。4接入

7、流程4.1 PEAP用戶接入流程WLAN用戶終端：，WLAN AN RadiusI.EAPoL-Start2.EAP-Request/Identlty認(rèn)證初始化3 EAP Response/Identit(MyID)RequestEAP-Response/Identity4.Aq.EAP-Request/Start/Type二PEAEV=07. EAP-Response/Type=PEAP, V=0(TLS client_hello)5wAcceshaHowgEAP-Request/Start/Type二PEAP,8.Access-RequestEAP-Response/Type=PEAP,

8、V=0(TLS client_hello)9.Access-ChallengeV=0建立TLS通道0iAPequest/Challenge/Type-PEAP, VW(TLS server_hello,TLS certificate,TLS server_key_exchange,TLS certificate_request,TLS server_hello_done)11. EAP Response/Type=PEAP, V 0(TLS certificate,TLS client_key_exchange,TLS certificate_verify,TLS change_cipher_

9、spec,TLS finished)EAP-Request/Challenge/Type=PEAP, V=0(TLS server_hello,TLS certificate,TLS server_key_exchange,TLS certificate_request,TLS server_hello_done)EAP-Response/Type=PEAP, V=0(TLS certificate,TLS client_key_exchange,TLS certificate_verify,TLS change_cipher_spec,TLS finished)i 13.Access-Cha

10、llenge14. EAP-Request/Type=PEAP, V=0(TLS change_cipher_spec,TLS finished)15.EAP-Response/Type=PEAP/TLS O,EAP-Request/Type=PEAP, V=0(TLS change_cipher_spec, TLS finished)16.Aceess-rsp/EAP-Response/Type=PEAP/TLS OK17.Access-Challenge/eap-req/identity認(rèn)證過程.8.EAP-Request/IdentIty/MSCHAPv219.TLS/MSCHAv2 認(rèn)

11、證21.EAP-Success20.Access-AcceptEAP-Message/Eap-Success地址 -一分配_22.DHCP地址獲取計費開始E1認(rèn)證初始化23.AccountIng-Request/Star卜username = PEAPCMCC.Accoutting-Response/Start圖1 PEAP用戶接入流程WLAN UE向WLAN AN發(fā)送一個EAPoL-Start報文，開始802.1x接入的開始。WLAN AN向WLAN UE發(fā)送EAP-Request/Identity報文，要求WLAN UE將用戶信息送上 來。WLAN UE回應(yīng)一個EAP-Response/I

12、dentity給WLAN AN的請求，其中包括用戶的網(wǎng)絡(luò) 標(biāo)識。用戶ID，對于PEAP-mschchap v2認(rèn)證方式的用戶ID是由用戶在客戶端手動輸 入或者配置的。此次用戶名建議同用戶的porta l認(rèn)證用戶名密碼。WLAN AN 以 EAP Over RADIUS 的報文格式將 EAP-Response/Identity 發(fā)送給 Radius, 并且?guī)舷嚓P(guān)的RADIUS的屬性。Radius收到WLAN AN發(fā)來的EAP-Response/Identity，根據(jù)配置確定使用 EAP-PEAP 認(rèn)證，并向WLAN AN發(fā)送RADIUS-Access-Challenge報文，里面含有Radiu

13、s發(fā)送給 WLAN UE的EAP-Request/Peap/Start的報文，表示希望開始進(jìn)行EAP-PEAP的認(rèn)證。WLAN AN 將 EAP-Request/PEAP/Start 發(fā)送給 WLAN UE。E2建立TLS通道WLAN UE收到EAP-Request/Peap/Start報文后，產(chǎn)生一個隨機(jī)數(shù)、客戶端支持的加 密算法列表、TLS協(xié)議版本、會話ID、以及壓縮方法(目前均為NULL)，封裝在 EAP-Response/TLS/Client Hello 報文中發(fā)送給 WLAN AN。WLAN AN 以EAP Over RADIUS的報文格式將EAP-Response/ TLS /Cl

14、ient Hell(發(fā)送 給認(rèn)證服務(wù)器Radius，并且?guī)舷嚓P(guān)的RADIUS的屬性。Radius收到Client Hello報文后，會從Client的Hello報文的加密算法列表中選擇 自己支持的一組加密算法+Server產(chǎn)生的隨機(jī)數(shù)+Server證書(包含服務(wù)器的名 稱和公鑰)+證書請求+Server_Hello_Done屬性形成一個Server Hello報文封裝 在EAP消息中，使用Access-Challenge報文發(fā)送給WLAN AN。WLAN AN把Radius報文中的EAP-request消息發(fā)送給WLAN UE.WLAN UE收到報文后，進(jìn)行驗證Server的證書是否合法(使

15、用從CA證書頒發(fā)機(jī)構(gòu)獲 取的根證書進(jìn)行驗證，主要驗證證書時間是否合法，名稱是否合法)，即對網(wǎng)絡(luò)進(jìn) 行認(rèn)證，從而可以保證Server的合法。如果合法則提取Server證書中的公鑰，同時 產(chǎn)生一個隨機(jī)密碼串pre-master-secret，并使用服務(wù)器的公鑰對其進(jìn)行加密，最 后將加密的信息ClientKeyExchange+客戶端的證書(如果沒有證書，可以把屬性置 為0)+TLS finished屬性封裝成EAP-Rsponse/TLS ClientKeyExchange報文發(fā)送給 WLAN AN.如果WLAN UE沒有安裝證書，則不會對Server證書的合法性進(jìn)行認(rèn)證，即 不能對網(wǎng)絡(luò)進(jìn)行認(rèn)證。

16、WLAN AN以EAP Over RADIUS的報文格式將 EAP-Response/TLS ClientKeyExchange 發(fā)送給認(rèn)證服務(wù)器Radius，并且?guī)舷嚓P(guān)的RADIUS的屬性Radius收到報文后，用自己的證書對應(yīng)的私鑰對ClientKeyExchange進(jìn)行解密，從 而獲取到pre-master-secret，然后將pre-master-secret進(jìn)行運算處理，加上WLAN UE和Server產(chǎn)生的隨機(jī)數(shù)，生成加密密鑰、加密初始化向量和hmac的密鑰，這時雙 方已經(jīng)安全的協(xié)商出一套加密辦法了。Radius將協(xié)商出的加密方法+TLS Finished 消息封裝在 EAP o

17、ver Radius 報文 Access-Challenge 中，發(fā)送給 WLAN AN。WLAN AN吧Radius報文中的EAP-Request消息發(fā)送給UE。WLAN UE回復(fù)EAP Response/TLS。陷消息。WLAN AN將EAP Response/TLS OK消息封裝在Radius報文中，告知Radius建立隧道成 功。至此WLAN UE與Radius之間的TLS隧道建立成功。E3認(rèn)證過程WLAN AN把Radius報文中的EAP域提取，封裝成EAP-request報文發(fā)送給WLAN UE。WLAN UE收到報文后，用服務(wù)器相同的方法生成加密密鑰，加密初始化向量和hmac 的

18、密鑰，并用相應(yīng)的密鑰及其方法對報文進(jìn)行解密和校驗，然后產(chǎn)生認(rèn)證回應(yīng)報文， 用密鑰進(jìn)行加密和校驗，最后封裝成EAP-response報文發(fā)送給AP，AP以EAP Over RADIUS的報文格式將EAP-Response發(fā)送給認(rèn)證服務(wù)器Radius Server,并且?guī)舷?關(guān)的RADIUS的屬性，這樣反復(fù)進(jìn)行交互，直到認(rèn)證完成。在認(rèn)證過程中，Radius Server會下發(fā)認(rèn)證后用于生成空口數(shù)據(jù)加密密鑰(包括單播、組播密鑰)的PMK給 WLAN UE。服務(wù)器認(rèn)證客戶端成功，會發(fā)送Access-Accept報文給WLAN AN，報文中包含了認(rèn) 證服務(wù)器所提供的MPPE屬性。WLAN AN收到RA

19、DIUS-Access-Accept報文，會提取MPPE屬性中的密鑰做為WPA加密用 的PMK,并且會發(fā)送EAP-success報文給WLAN UE。E4地址分配WLAN UE和WLAN AN間的空中數(shù)據(jù)報文進(jìn)行加密傳送，與WLAN AN進(jìn)行DHCP流程交互， 直至WLAN UE獲取IP地址E5計費開始WLAN UE通過RADIUS-Accounting-Request (Start)報文通知Radius開始進(jìn)行計費， 含有相關(guān)的計費信息。Radius向WLANUE回應(yīng)RADIUS-Accouting-Response(Start)報文，表示已開始計費。4.2 PEAP用戶下線流程用戶下線流程

20、包括用戶主動下線、網(wǎng)絡(luò)下線和異常下線三種情況。圖2給出了用戶主動 下線流程，圖3給出了網(wǎng)絡(luò)下線流程，圖4給出了用戶異常下線流程。1.圖2用戶主動下線流程WLAN UE主動終止會話，發(fā)起EAPoL-logoff請求退出網(wǎng)絡(luò)。WLAN AN向AAA Server發(fā)送計費停止請求的報文。AAA Server向WLAN AN回復(fù)計費停止請求報文的響應(yīng)。圖3網(wǎng)絡(luò)發(fā)起下線流程出于管理目的，網(wǎng)絡(luò)發(fā)起下線流程，可以由AAA Server觸發(fā)Disconnect-Request給 WLAN AN。WLAN AN終止用戶會話，釋放用戶會話資源。WLAN AN向AAA Server回復(fù)Disconnect-ACK消

21、息。WLAN AN向AAA Server發(fā)送計費停止請求的報文。AAA Server向WLAN AN回復(fù)計費停止請求報文的響應(yīng)。不在線。WLAN用戶接入認(rèn)證點向Radius發(fā)送計費停止請求的報文Radius向WLAN用戶接入認(rèn)證點回計費停止請求報文的回應(yīng)MS-CHAP V2認(rèn)證流程TLS通道MSCHAPV2認(rèn)證過程=1 - - 2.EAP-Request1.Access-ChallengeVEAP-Request/Identity4.Access-request3.EAP-Response/IdentityIdentity=usernamedomain6.EAP-Request/EAP-MS-

22、CHAP-V2 .Challenge5.Access-Challenge-返回一個16字節(jié)的質(zhì)詢7.EAP-Response /EAP-MS-CHAP-V2 Responseclient產(chǎn)生16字節(jié)的端認(rèn)證質(zhì)詢隨機(jī)數(shù)HASH(server 16 byte+client 16 byte+client username) =8 byt e質(zhì)詢8 byte 加密 HASH(user pass) =24 byte24 byte +client 16 byte 隨機(jī)數(shù)-Access-requestAccess-Challenge臥EAP-Request/EAP-MS-CHAP-V2 Success11.

23、EAP-Response/EAP-MS-CHAP-V2 AckIF (結(jié)果=client hash) then successIF(24 byte= server hash) then success hash(hash(User pass) =24 byteSHA(24 byte+” Magic server to client constant” )=20 byteSHA(20 byte+8 byte 質(zhì)詢+ “Pad to make it do more then one iteration ” )=20 byte (發(fā)送出去)Access-request14.EAP-SuccessAc

24、cess-AcceptEAP-Message/Eap-Success計算MPPE密鑰-MPPE-SEND = PMK圖4 MS-Chapv2用戶認(rèn)證流程Radius 在 TLS 通道內(nèi)發(fā)起 EAP-reuqest/Identity 認(rèn)證請求.AP把Radius報文中的EAP域提取，封裝成EAP-request報文發(fā)送給Client.Client發(fā)送一個給Ap一個EAP-Response報文，內(nèi)容為Client的Identity(通常為用 戶名)，.Ap把報文封裝成Radius報文，送給Radius.Radius收到后，通過Radius報文，返回給AP一個16字節(jié)的隨機(jī)數(shù).AP 把 Radius

25、 報文中的 EAP 域提取，封裝成 EAP-request/EAP-MS CHAP V2 Challenge 報文發(fā)送給 Client. (CODE=1:Challenge)Client收到后：Client產(chǎn)生一個16字節(jié)的隨機(jī)數(shù)，稱為“端認(rèn)證質(zhì)詢”，client將Radius server中收到的16字節(jié)質(zhì)詢，及其產(chǎn)生的16字節(jié)端認(rèn)證質(zhì) 詢，以及client的用戶名進(jìn)行SHA1算法的HASH,取結(jié)果的開始8字節(jié)。client將b產(chǎn)生的8字節(jié)質(zhì)詢加密用windows nt hash函數(shù)生成的本地口令 HASH值(16字節(jié))，產(chǎn)生24字節(jié)的響應(yīng)(MD4算法)；client 將24字節(jié)的響應(yīng)，結(jié)果

26、封裝在EAP-Response/EAPMS CHAP V2 Response 報文中發(fā)送給 AP. (CODE=2:Response)Ap把報文封裝成Radius報文，送給Radius.Radius server 收到后：使用跟Client相同的方法進(jìn)行用戶口令的哈希值加密響應(yīng)值，如果結(jié)果與質(zhì)詢 值相同，則客戶端認(rèn)證通過Radius server使用16字節(jié)的端認(rèn)證質(zhì)詢和client的哈希過的口令，一起創(chuàng) 建一個20字節(jié)的認(rèn)證者響應(yīng),封住成Radius報文發(fā)送給Ap.AP把Radius報文中的EAP域提取，封裝成EAP-request/EAP-CHAP V2 Success報文發(fā) 送給 Cli

27、ent.(CODE=3:Success)Client收到后，使用與服務(wù)器相同的方法計算一個認(rèn)證者響應(yīng)，如果與收到的響應(yīng) 一致，則server通過認(rèn)證，發(fā)送一個認(rèn)證成功報文，封裝apresponse/EAP Ms chap v2 ACK 報文給 Ap.Ap把報文封裝成Radius報文，送給Radius.服務(wù)器和客戶端均認(rèn)證成功，Radius server會發(fā)送AccessAccept報文給AP，報 文中包含了認(rèn)證服務(wù)器所提供的MPPE屬性(MPPE密鑰算法請參閱引用18)。AP收到RADIUS-Access-Accept報文，會提取MPPE屬性中的密鑰做為WPA加密用的PMK, 并且會發(fā)送EAP

28、success報文給客戶端.計費要求為避免對現(xiàn)有BOSS的改造要求，PEAP認(rèn)證話單沿用原有Portal認(rèn)證話單，其中Oper_ID 為5表示用戶開通無感知認(rèn)證，Auth_type為“03”表示話單是PEAP認(rèn)證接入后產(chǎn)生的。話單中反映用戶上網(wǎng)時長和流量等信息，為用戶提供準(zhǔn)確計費依據(jù)。網(wǎng)元改造6.1 AAA功能要求6.1.1鑒權(quán)要求認(rèn)證授權(quán)功能要求支持來自WLAN接入網(wǎng)的EAP認(rèn)證處理。支持EAP-PEAPv0/MSCHAPv2 認(rèn)證流程。支持PEAP認(rèn)證成功后，下發(fā)空口加密用的MSK0支持EAP-PEAP報文分片。支持多種EAP認(rèn)證方法協(xié)商支持EAP認(rèn)證方式協(xié)商，在通過域名方式無法區(qū)分的情況

29、下可以與終端之間進(jìn)行 EAP認(rèn)證方法的協(xié)商，如PEAP、EAP-TTLS等。用戶及會話管理功能要求支持用戶注冊管理（開戶、銷戶、停機(jī)、恢復(fù)、切換帶寬等）。支持PEAP認(rèn)證用戶的會話狀態(tài)管理，支持外部系統(tǒng)查詢用戶會話狀態(tài)。支持強(qiáng)制用戶下線，通過向AC發(fā)送Disconnect Message消息。（如用戶銷戶、 停機(jī)時將用戶下線，結(jié)束會話）。支持根據(jù)AC/BRAS發(fā)來的計費停止消息，對用戶進(jìn)行下線處理。PEAP相關(guān)配置管理功能要求支持TLS Server證書導(dǎo)入和配置管理。支持是否驗證客戶端證書可配置。支持根據(jù)域名配置對應(yīng)的EAP認(rèn)證方法，如通過配置對應(yīng)的域名與EAP-SIM/AKA認(rèn) 證對應(yīng)。接口與信令要求與SIM認(rèn)證技術(shù)要求相同。計費要求與SIM認(rèn)證技術(shù)要求相同。EAP認(rèn)證方法適配要求與SIM認(rèn)證技術(shù)要求相同。容量要求與SIM認(rèn)證技術(shù)