WLAN无感知认证技术方案(PEAP认证)-0.66
本作品内容为WLAN无感知认证技术方案(PEAP认证)-0.66,格式为 doc ,大小 589824 KB ,页数为 12页
('WLAN无感知认证试点技术方案(PEAP认证)1背景PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。2技术原理PEAP(ProtectedEAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。EAP客户端和认证服务器之间的认证过程有两个阶段。第一阶段:建立PEAP客户端和认证服务器之间的安全通道,客户端采用证书认证服务端完成TLS握手。服务端可选采用证书认证客户端。第二阶段:提供EAP客户端和认证服务器之间的EAP身份验证。整个EAP通信,包括EAP协商在内,都通过TLS通道进行。服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如:EAP-MS-CHAPv2)。访问点只会在客户端和RADIUS服务器之间转发消息,由于不是TLS终结点,访问点无法对这些消息进行解密。目前被WPA和WPA2批准的有两个PEAP子类型PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是PEAPV0-MSCHAPV2。PEAP认证参考如下国际标准[1]IETFDraft,PEAPAuthentication,draft-josefsson-pppext-eap-tls-eap-10.txt,2004.[2]IETRRFC2759,MSCHAPv2[3]IETFRFC3748,"ExtensibleAuthenticationProtocol(EAP)".3关键技术问题3.1证书问题PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。如果服务器证书与终端预置证书验证不匹配,PEAP认证可能失败。目前Portal认证使用的证书为IP地址绑定,如果试点阶段AAA服务器选择绑定域名的证书,现网AC可能需改造。1iPhone如果证书验证失败,此时用户选择接受,PEAP认证可成功。Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项,勾选后,终端不再进行证书验证。WindowsMobile手机如果证书验证失败,PEAP认证无法通过。Symbian和Adroid/Ophone还未验证。3.2密码设置PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。3.3PEAP认证方法试点使用PEAPv0版本,选用MSCHAPv2认证方法。3.4SSID设置需设置新的SSID(CMCC-AUTO),支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使用相同SSID。3.5机卡分离问题由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上。目前暂无较好技术手段进行解决机卡分离问题。3.6下线控制PEAP认证仍保留8小时下线机制可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。(已确认,部分AC厂家已支持,部分AC厂商需升级支持)。3.7Keep-alive机制(可选)AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi覆盖区域),则网络侧对此用户进行下线操作。具体实现机制如下图:2AC在一定时间内无流量后,向终端发送EAP-Request/identity消息,终端如果在线则回复EAP-Response消息,如果AC收到终端响应后,回复EAP-Success,如果AC没有收到终端响应,则在一定时间内重发EAP-Request消息,在重传一定次数后,仍未收到响应,则从网络侧下线用户。此机制可能存在如下潜两个问题:1)上述流程不是标准流程,部分终端周期性收到心跳后,可能出于安全或其它因素考虑,不处理EAP-Request消息。2)终端在EAP-Response消息中可能不携带网络侧分配的伪随机名或快速认证名,而是携带IMSI,增加空口传输IMSI的概率。鉴于部分厂家已支持此功能,试点期间作为可选项,在提供此功能的厂家设备上验证其效果。AC如果支持Keep-alive机制,对AC性能有一定影响,可通过试点进行评估。34接入流程4.1PEAP用户接入流程图1PEAP用户接入流程4E1认证初始化1)WLANUE向WLANAN发送一个EAPoL-Start报文,开始802.1x接入的开始。2)WLANAN向WLANUE发送EAP-Request/Identity报文,要求WLANUE将用户信息送上来。3)WLANUE回应一个EAP-Response/Identity给WLANAN的请求,其中包括用户的网络标识。用户ID,对于PEAP-mschchapv2认证方式的用户ID是由用户在客户端手动输入或者配置的。此次用户名建议同用户的portal认证用户名密码。4)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/Identity发送给Radius,并且带上相关的RADIUS的属性。5)Radius收到WLANAN发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向WLANAN发送RADIUS-Access-Challenge报文,里面含有Radius发送给WLANUE的EAP-Request/Peap/Start的报文,表示希望开始进行EAP-PEAP的认证。6)WLANAN将EAP-Request/PEAP/Start发送给WLANUE。E2建立TLS通道7)WLANUE收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/ClientHello报文中发送给WLANAN。8)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLS/ClientHello发送给认证服务器Radius,并且带上相关的RADIUS的属性。9)Radius收到ClientHello报文后,会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个ServerHello报文封装在EAP消息中,使用Access-Challenge报文发送给WLANAN。10)WLANAN把Radius报文中的EAP-request消息发送给WLANUE.11)WLANUE收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合法),即对网络进行认证,从而可以保证Server的合法。如果合法则提取Server证书中的公钥,同时产生一个随机密码串pre-master-secret,并使用服务器的公钥对其进行加密,最后将加密的信息ClientKeyExchange+客户端的证书(如果没有证书,可以把属性置为0)+TLSfinished属性封装成EAP-Rsponse/TLSClientKeyExchange报文发送给WLANAN.如果WLANUE没有安装证书,则不会对Server证书的合法性进行认证,即不能对网络进行认证。12)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLSClientKeyExchange发送给认证服务器Radius,并且带上相关的RADIUS的属性13)Radius收到报文后,用自己的证书对应的私钥对ClientKeyExchange进行解密,从而获取到pre-master-secret,然后将pre-master-secret进行运算处理,加上WLANUE和Server产生的随机数,生成加密密钥、加密初始化向量和hmac的密钥,这时双方已经安全的协商出一套加密办法了。Radius将协商出的加密方法+TLSFinished消息封装在EAPoverRadius报文Access-Challenge中,发送给WLANAN。14)WLANAN吧Radius报文中的EAP-Request消息发送给UE。15)WLANUE回复EAPResponse/TLSOK消息。16)WLANAN将EAPResponse/TLSOK消息封装在Radius报文中,告知Radius建立隧道成功。至此WLANUE与Radius之间的TLS隧道建立成功。5E3认证过程17)WLANAN把Radius报文中的EAP域提取,封装成EAP-request报文发送给WLANUE。18)WLANUE收到报文后,用服务器相同的方法生成加密密钥,加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后封装成EAP-response报文发送给AP,AP以EAPOverRADIUS的报文格式将EAP-Response发送给认证服务器RadiusServer,并且带上相关的RADIUS的属性,这样反复进行交互,直到认证完成。在认证过程中,RadiusServer会下发认证后用于生成空口数据加密密钥(包括单播、组播密钥)的PMK给WLANUE。19)服务器认证客户端成功,会发送Access-Accept报文给WLANAN,报文中包含了认证服务器所提供的MPPE属性。20)WLANAN收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给WLANUE。E4地址分配21)WLANUE和WLANAN间的空中数据报文进行加密传送,与WLANAN进行DHCP流程交互,直至WLANUE获取IP地址E5计费开始22)WLANUE通过RADIUS-Accounting-Request(Start)报文通知Radius开始进行计费,含有相关的计费信息。23)Radius向WLANUE回应RADIUS-Accouting-Response(Start)报文,表示已开始计费。4.2PEAP用户下线流程用户下线流程包括用户主动下线、网络下线和异常下线三种情况。图2给出了用户主动下线流程,图3给出了网络下线流程,图4给出了用户异常下线流程。1.用户主动下线图2用户主动下线流程1)WLANUE主动终止会话,发起EAPoL-logoff请求退出网络。62)WLANAN向AAAServer发送计费停止请求的报文。3)AAAServer向WLANAN回复计费停止请求报文的响应。2、网络发起用户下线图3网络发起下线流程1)出于管理目的,网络发起下线流程,可以由AAAServer触发Disconnect-Request给WLANAN。2)WLANAN终止用户会话,释放用户会话资源。3)WLANAN向AAAServer回复Disconnect-ACK消息。4)WLANAN向AAAServer发送计费停止请求的报文。5)AAAServer向WLANAN回复计费停止请求报文的响应。3、网络发起用户下线图4用户异常下线流程1)WLANAN检测固定时间内流量小于阈值或者通过KeepAlive机制检测发现用户已经不在线。2)WLAN用户接入认证点向Radius发送计费停止请求的报文3)Radius向WLAN用户接入认证点回计费停止请求报文的回应74.3MS-CHAPV2认证流程图4MS-Chapv2用户认证流程1)Radius在TLS通道内发起EAP-reuqest/Identity认证请求.2)AP把Radius报文中的EAP域提取,封装成EAP-request报文发送给Client.3)Client发送一个给Ap一个EAP-Response报文,内容为Client的Identity(通常为用户名),.4)Ap把报文封装成Radius报文,送给Radius.5)Radius收到后,通过Radius报文,返回给AP一个16字节的随机数.6)AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-MSCHAPV2Challenge报文发送给Client.(CODE=1:Challenge)7)Client收到后:a)Client产生一个16字节的随机数,称为“端认证质询”,b)client将Radiusserver中收到的16字节质询,及其产生的16字节端认证质询,以及client的用户名进行SHA1算法的HASH,取结果的开始8字节。c)client将b产生的8字节质询加密用windowsnthash函数生成的本地口令HASH值(16字节),产生24字节的响应(MD4算法);8d)client将24字节的响应,结果封装在EAP-Response/EAPMSCHAPV2Response报文中发送给AP.(CODE=2:Response)8)Ap把报文封装成Radius报文,送给Radius.9)Radiusserver收到后:a)使用跟Client相同的方法进行用户口令的哈希值加密响应值,如果结果与质询值相同,则客户端认证通过b)Radiusserver使用16字节的端认证质询和client的哈希过的口令,一起创建一个20字节的认证者响应,封住成Radius报文发送给Ap.10)AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-CHAPV2Success报文发送给Client.(CODE=3:Success)11)Client收到后,使用与服务器相同的方法计算一个认证者响应,如果与收到的响应一致,则server通过认证,发送一个认证成功报文,封装成Eap—response/EAPMschapv2ACK报文给Ap.12)Ap把报文封装成Radius报文,送给Radius.13)服务器和客户端均认证成功,Radiusserver会发送Access-Accept报文给AP,报文中包含了认证服务器所提供的MPPE属性(MPPE密钥算法请参阅引用[18])。14)AP收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给客户端.5计费要求为避免对现有BOSS的改造要求,PEAP认证话单沿用原有Portal认证话单,其中Oper_ID为5表示用户开通无感知认证,Auth_type为“03”表示话单是PEAP认证接入后产生的。话单中反映用户上网时长和流量等信息,为用户提供准确计费依据。6网元改造6.1AAA功能要求6.1.1鉴权要求1.认证授权功能要求\uf0d8支持来自WLAN接入网的EAP认证处理。\uf0d8支持EAP-PEAPv0/MSCHAPv2认证流程。\uf0d8支持PEAP认证成功后,下发空口加密用的MSK。\uf0d8支持EAP-PEAP报文分片。2.支持多种EAP认证方法协商支持EAP认证方式协商,在通过域名方式无法区分的情况下可以与终端之间进行EAP认证方法的协商,如PEAP、EAP-TTLS等。94.用户及会话管理功能要求支持用户注册管理(开户、销户、停机、恢复、切换带宽等)。支持PEAP认证用户的会话状态管理,支持外部系统查询用户会话状态。支持强制用户下线,通过向AC发送DisconnectMessage消息。(如用户销户、停机时将用户下线,结束会话)。支持根据AC/BRAS发来的计费停止消息,对用户进行下线处理。5.PEAP相关配置管理功能要求支持TLSServer证书导入和配置管理。支持是否验证客户端证书可配置。支持根据域名配置对应的EAP认证方法,如通过配置对应的域名与EAP-SIM/AKA认证对应。6.1.2接口与信令要求与SIM认证技术要求相同。6.1.3计费要求与SIM认证技术要求相同。6.1.4EAP认证方法适配要求与SIM认证技术要求相同。6.1.5容量要求与SIM认证技术要求相同。6.1.6可靠性要求与SIM认证技术要求相同。6.1.7过负荷保护与SIM认证技术要求相同。6.1.8硬件结构要求与SIM认证技术要求相同。106.1.9软件要求与SIM认证技术要求相同。6.1.10时钟同步要求与SIM认证技术要求相同。6.1.11网管要求与SIM认证技术要求相同。6.1.12满足电信级设备要求和节能减排要求与SIM认证技术要求相同。6.1.13在线冲突处理功能与SIM认证技术要求相同。6.2AC/AP1、AP支持802.11i;2、AC支持802.1x;3、AC支持PEAP认证流程;4、PEAP认证对应SSID可配置开启/取消15分钟下线机制。Portal认证对应SSID仍保留15分钟下线功能。已确人华为、华三、中兴、大唐支持此功能,国人下线时长全局配置,需改造支持,宏信需改造支持。5、AC支持用户累计流量小于一定阈值,则应对该用户下线并停止计费。6、(可选功能)AC支持向向之间定期发送Keep-Alive心跳消息实现保活,心跳消息采用EAP-Request及EAP-Response标准消息,详细过程见下图。AC提供可配置的如下参数:心跳开始Timer:如无流量,心跳开始Timer进行计时,设定Timer过期后,AC发送EAP心跳消息。心跳重试Timer:AC发送EAP心跳消息后,在心跳重试Timer设定的时间内,如无响应,则重新发送EAP心跳消息。心跳重试次数:AC重发EAP心跳消息的最大次数。心跳机制可以通过配置选项打开或关闭。117、AC支持精确流量计费。8、当使用绑定域名的证书时,AC支持通过域名方式访问AAA服务器。9、网管要求,需网络部提出。6.3BOSS改造要求支持WLAN套餐订购和认证功能开通。7终端要求&支持情况据不完全调研,以下类型终端支持PEAP认证,需进一步验证:Ophone2.0以上Android2.0以上iPhoneiOS2.0、iOS3、iOS4SymbianS60、Symbian3BlackberryOS5.0、OS6.0WindowsMobile5.0以上、WindowPhone终端支持情况、终端配置方法以及证书兼容性需要测试确认。12',)
提供WLAN无感知认证技术方案(PEAP认证)-0.66会员下载,编号:1700877767,格式为 docx,文件大小为12页,请使用软件:wps,office word 进行编辑,PPT模板中文字,图片,动画效果均可修改,PPT模板下载后图片无水印,更多精品PPT素材下载尽在某某PPT网。所有作品均是用户自行上传分享并拥有版权或使用权,仅供网友学习交流,未经上传用户书面授权,请勿作他用。若您的权利被侵害,请联系963098962@qq.com进行删除处理。