无感知认证方案技术

(文/吴勇)BYOD（Bring Your Own Device，自带设备），即通过Wi-Fi的接入方式自带设备，提高工作效率，这已成为业界的趋势。而目前我们所了解的无感知认证，就是通过BYOD的方式无需用户介入自动接入Wi-Fi网络。无感知认证主要分为Portal、802.1x以及MAC等多种方式。以下通过技术的发展历程，介绍各种无感知认证技术。

一、        Portal认证

由于手持终端的种类繁多，为了保证兼容性，最早的Wi-Fi接入采用了Portal认证，通过内置的浏览器，解决了手持终端不便于安装认证客户端软件的接入问题。然而Portal认证需要打开浏览器，在输入用户名和密码后才能接入网络，造成了效率较低。据统计，采用Portal认证的用户平均需要2分钟才能接入网络。

随着技术的发展，手持终端更加智能化了，安装客户端软件成了一件很简单的事情。客户端解决了手持终端Portal认证效率低的问题（如图1所示），只要输入一次用户名和密码，下次只要点击图标即可完成认证，无需反复输入，大大提高了Portal认证的效率。

图1 H3C 基于iOS的iNode客户端

二、        802.1x认证

802.1x标准的提出起源于IEEE 802.11标准——无线局域网用户接入协议标准，其最初目的是解决无线局域网用户的接入认证问题。但由于802.1x认证的原理对于所有符合IEEE 802标准的局域网具有普适性，因此在有线局域网中也得到了广泛的应用，成为有线交换机的端口网络控制协议。

802.1x协议规定在完成认证之前是不允许信息交互的，因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP（Extensible Authentication Protocol，可扩展认证协议）帧交换认证信息。目前大多数手持终端都支持基于802.1x的EAP认证（如图2所示），输入相应的用户名密码，即可自动完成认证，这种方式称为EAP-PEAP，即Protected-EAP（受保护的可扩展的身份验证协议）。已被Wi-FI联盟WPA和WPA2批准的有两个子类型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议，目前业界使用最广的是由微软提出的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP，也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。

图2 iOS和Android系统中配置EAP-PEAP

还有一种基于802.1x认证方式EAP-SIM/AKA，这种方式主要利用了运营商蜂窝用户SIM/USIM卡的信息，并完成认证。但这种方式更适合在带有在运营商网络使用而不是企业网。

目前H3C的WLAN设备对以上几种基于802.1x的认证协议都可以完善支持。

三、        802.11u协议及Wi-Fi联盟的Passpoint

IEEE 802.11u协议规定了不同网络间互操作的标准，其制定的初衷是希望Wi-Fi网络能够象运营商的蜂窝网络一样，方便终端接入。到了BYOD时代，这种需求尤其明显：城市里的人们用终端可以搜索到数十个、甚至上百个Wi-Fi信号源，在这种情况下，如何选择正确的网络？通过802.11u协议，Wi-Fi设备就可以自动的连接到Wi-Fi热点而无需用户介入。

802.11u协议中的一个重要部分是使用ANQP(Access Network Query Protocol，接入网络查询协议)。在认证之前，移动终端向带有802.11u功能的AP发送一个ANQP查询，AP通过广告服务（Advertisement Server）提供热点的域名和SSID等相关信息。接下来，移动终端检查自己的证书并确认可以连接的漫游服务商列表，移动终端比较自己的列表和从AP处获得的漫游列表，这样就可以确定选择哪一个SSID成功地进行身份识别。所有的过程都是自动的，也就是说 802.11u协议解决了自动选择网络的问题，而不是每次跳出一堆SSID要用户自己选择。

但这是不够的，802.11u仅仅解决了选择接入点的问题，并不能提供不同网络的认证功能。因此无线宽带联盟(WBA)与Wi-Fi联盟合作，提出了Wi-Fi CERTIFIED Passpoint™（简称 Passpoint）计划。通过Passpoint计划，Wi-Fi热点接入内网AP将不再需要用户进行任何主动选择或输入。Passpoint将使用统一的接口自动进行关联。设备可以基于多种凭据类型自动获取网络访问权限，包括EAP-SIM/AKA、EAP-PEAP、EAP-TLS等，无需终端用户介入即可与可信任的网络建立连接。

但是，802.11u+ Passpoint的无感知认证方式存在明显缺点。802.11u是2011年才正式通过的协议，目前尚有很多软硬件厂商的产品对802.11u支持度不够。另外，Passpoint部署起来比较复杂，即使采用EAP-PEAP方式做认证，不同终端首次配置差别较大，如iOS系统就必须要手动导入证书，否则会提示证书验证失败，必须手工选择才能接入网络，因此更适合运营商之间的互联，而不是企业内部的BYOD办公。

四、        基于MAC地址快速认证方案

鉴于以上认证方案的种种问题，无线终端用户对易用性和便捷性提出了更高的要求。结合现有网络和技术的运用以及针对中国用户的使用习惯，H3C基于iMC平台的UAM（用户接入管理组件）提出MAC绑定快速认证的技术思路，其特点如下：

1、用户体验改善，首次用户需手动Portal认证，后续使用无感知认证；

2、终端适配较好，适配大部分WLAN终端，无需适配客户端；

3、认证兼容性较好，兼容现有Portal认证方式；

MAC认证具备“一次认证，多次使用”用户体验。如果开通了MAC快速认证，用户首次登陆Portal页面成功认证后，后续只要关联WLAN就可以用任意应用上网。具体流程如图3所示。

图3 基于MAC地址快速认证的首次认证流程

完成了首次认证后，第二认证流程就要简单很多（如图4所示）。

图4 基于MAC地址快速认证的二次认证流程

MAC地址快速认证并不是简单的MAC认证，仍是基于Portal认证的。并且这种认证方式把短信猫和手持终端认证紧密结合起来，再通过UAM的MAC认证模块，自动完成了认证过程。总的来说，相比其他认证方式， MAC地址快速认证具有很好的用户体验和技术优势（如表1所示）。

表1 各种常见手持终端认证方案对比表

五、        结束语：

BYOD改变了人们上班的工作方式，企业能够充分利用新的移动终端和 BYOD 趋势，提高工作效率。而目前常见的认证方案在企业应用BYOD时都存在各种问题：有的方案用户体验较差，有的方案对用户来说配置复杂，有的方案更适合运营商而不是在企业内部使用。基于MAC地址的快速认证方案，针对国内用户的使用习惯，在设备安全性和认证的便捷性中找到了一个较好的平衡点，使 IT 部门能够赋予用户更大的业务自由度。