無感知WLAN業(yè)務認證方式的分析

劉長瑞，聶明

（中國移動通信集團設計院有限公司，北京 100080）

WLAN業(yè)務是移動運營商提供的一種無線寬帶接入服務，在有其WLAN信號覆蓋的區(qū)域，用戶可通過具備WLAN功能的筆記本電腦、手機等終端訪問互聯(lián)網(wǎng)業(yè)務，從而進行信息獲取、娛樂或者移動辦公。

隨著WLAN業(yè)務的不斷發(fā)展，用戶越來越關注安全性和服務質量，所以發(fā)展WLAN業(yè)務要以“安全、方便、可行”為原則，進一步改善用戶的使用感知，提高客戶的滿意度。

1 目前WLAN認證存在問題及改善方式

目前用戶可以通過Web Portal方式、基于瀏覽器的登錄Cookie認證方式和客戶端方式等多種方式完成認證，使用WLAN業(yè)務。用戶使用幾種認證方式的體驗和存在問題如表1所示。

為了改善用戶使用WLAN業(yè)務的體驗，目前可以通過提供WLAN無感知認證的方式，達到不需要用戶干預、在用戶無感知情況下認證通過、使用WLAN網(wǎng)絡的目的，并且通過WLAN無感知認證方式的推廣，扭轉當前優(yōu)選WLAN網(wǎng)絡主要依靠用戶主動選擇的局面，實現(xiàn)用戶在使用WLAN業(yè)務時能夠達到與GPRS網(wǎng)絡一樣的自動接入體驗，使WLAN網(wǎng)絡作為數(shù)據(jù)熱點地區(qū)2G網(wǎng)絡的有效補充，提供高速數(shù)據(jù)業(yè)務，分擔數(shù)據(jù)業(yè)務流量，從而使WLAN網(wǎng)絡更好的起到數(shù)據(jù)流量分流的作用。

2 無感知認證方式的分析

WLAN認證一般采用EAP認證協(xié)議，在此框架內(nèi)大約有40種不同的方法，接受比較廣泛的有7～8種；根據(jù)調查，終端支持情況較好的有SIM、PEAP認證方式，可以為用戶提供無感知認證，達到用戶終端在Wi-Fi開關打開情況下，用戶進入移動運營商WLAN信號的覆蓋區(qū)域，終端自動（或用戶手動選擇）與運營商的SSID連接，無需用戶參與即可自動完成認證，為用戶提供無感知認證服務。

表1 用戶使用體驗及問題

2.1 SIM認證方式分析

SIM認證是基于802.1x認證架構和3GPP的EAP-AKA/EAP-SIM鑒權方法實現(xiàn)的，主要涉及到WLAN用戶終端、WLAN接入網(wǎng)設備AP/AC、WLAN認證系統(tǒng)中的3GPP AAA Server以及HLR系統(tǒng)等網(wǎng)元。各網(wǎng)元相互協(xié)作，基于用戶的(U）SIM卡信息認證接入用戶的合法性：終端將SIM卡的IMSI信息上報網(wǎng)絡，網(wǎng)絡根據(jù)HLR簽約信息與終端交互自動認證，用戶首次使用時需要在終端上進行SIM認證的相關配置，后續(xù)使用即可實現(xiàn)免登陸上網(wǎng)，為用戶提供與蜂窩網(wǎng)相同的接入體驗。SIM認證系統(tǒng)結構如圖1所示。

(1）WLAN用戶終端：為SIM認證體系中的接入請求系統(tǒng)。用戶進行SIM認證時，WLAN用戶終端發(fā)起鑒權請求，對應802.1x架構中的客戶端系統(tǒng)；

(2）WLAN接入網(wǎng)設備：包括AP和AC兩個網(wǎng)元。AP網(wǎng)元需支持802.11i的加密功能，AC網(wǎng)元需支持802.1x認證功能。WLAN接入網(wǎng)設備在SIM認證中負責對WLAN用戶終端的接入鑒權，對應802.1x架構中的認證者系統(tǒng)；

(3）3GPP AAA Server：為SIM 認 證體系中用戶認證的執(zhí)行點，負責對WLAN用戶終端認證和授權功能，認證和授權信息取自HLR。3GPP AAA Server包括了業(yè)務功能域、協(xié)議與接口域、管理域，各域包括相應的功能模塊，與HLR一起對應802.1x架構中的認證服務器系統(tǒng)；

(4）HLR系統(tǒng)：在SIM認證體系中負責用戶鑒權和簽約信息的存儲，與3GPP AAA Server交互，完成鑒權和簽約信息的交互。

SIM認證的主要接入流程包括建立關聯(lián)、認證授權、DHCP地址分配、計費等幾個階段，其認證接入流程如圖3所示。

圖1 SIM認證系統(tǒng)結構

圖2 3GPP AAA Server系統(tǒng)架構

圖3 SIM認證接入流程

主要接入流程階段說明：

(1）建立關聯(lián)：終端和AP/AC建立關聯(lián)之后，終端向AP/AC發(fā)起鑒權請求；

(2）認證授權：EAP-SIM/AKA認證階段，支持SIM卡的終端按照EAP-SIM流程完成認證；支持USIM卡和EAP-AKA的終端按照EAP-AKA流程完成認證；

(3）地址分配：認證成功后，終端進行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網(wǎng)絡上網(wǎng)；

(4）計費：包括計費開始、計費更新、計費結束。AC作為計費信息采集前端，采集WLAN用戶的計費原始數(shù)據(jù)信息，傳送給3GPP AAA Server。3GPP AAA Server是 計費話單采集點，在收到用戶的計費原始數(shù)據(jù)信息后，生成用戶WLAN業(yè)務計費話單。

2.2 PEAP認證方式分析

PEAP認證體系架構基于802.1x認證體系架構實現(xiàn)的，主要涉及到WLAN用戶終端、WLAN接入網(wǎng)設備AP/AC、WLAN認證系統(tǒng)中的3GPP AAA Server等網(wǎng)元。各網(wǎng)元相互協(xié)作，基于用戶的認證信息驗證接入用戶的合法性：終端與網(wǎng)絡關聯(lián)后，基于證書認證網(wǎng)絡側身份，建立TLS隧道，將儲存在終端中的用戶名/密碼發(fā)送給網(wǎng)絡側進行用戶身份認證。用戶首次使用時需要在終端上進行PEAP認證的相關配置，并輸入用戶名、密碼，后續(xù)使用即可實現(xiàn)免登陸上網(wǎng), 為用戶提供與蜂窩網(wǎng)相同的接入體驗。PEAP認證系統(tǒng)結構如圖4所示。

(1）WLAN用戶終端：為PEAP認證體系中的接入請求系統(tǒng)。用戶進行PEAP認證時，WLAN用戶終端發(fā)起鑒權請求，對應802.1x架構中的客戶端系統(tǒng)；

(2）WLAN接入網(wǎng)設備：包括AP和AC兩個網(wǎng)元。AP網(wǎng)元需支持802.11i的加密功能，AC網(wǎng)元需支持802.1x認證功能。WLAN接入網(wǎng)設備在PEAP認證中負責對WLAN用戶終端的接入鑒權，對應802.1x架構中的認證者系統(tǒng)；

(3）3GPP AAA Server：為PEAP認證體系中用戶認證的執(zhí)行點，負責對WLAN用戶終端認證和授權功能，對應802.1x架構中的認證服務器系統(tǒng)。

PEAP認證的主要接入流程包括建立關聯(lián)、認證授權(包括TLS隧道建立、MS-CHAP-v2認證）、DHCP地址分配和計費等幾個階段，其認證接入流程如圖5所示。

圖4 PEAP認證系統(tǒng)結構

主要接入流程階段說明：

(1）建立關聯(lián)：終端和AP/AC建立關聯(lián)之后，終端向AP/AC發(fā)起鑒權請求；

(2）認證授權：EAP-PEAP認證階段，包括TLS隧道建立、MS-CHAP-v2認證。對任何使用PEAP認證方式接入的終端，只要在終端使用數(shù)限制范圍內(nèi)，網(wǎng)絡側不會拒絕終端接入認證。并且如果網(wǎng)絡側判定之前已有同一用戶身份信息的終端在線，則網(wǎng)絡側在終端重新接入認證的同時保持原有計費，認證成功后視為同一次計費；

(3）地址分配：認證成功后，終端進行DHCP流程交互，直至用戶終端獲得IP地址，然后用戶即可使用WLAN網(wǎng)絡上網(wǎng)；

(4）計費：包括計費開始、計費更新、計費結束。AC作為計費信息采集前端，采集WLAN用戶的計費原始數(shù)據(jù)信息，傳送給3GPP AAA Server。3GPP AAA Server是計費話單采集點，在收到用戶的計費原始數(shù)據(jù)信息后，生成用戶WLAN業(yè)務計費話單。

2.3 用戶使用體驗

當用戶使用支持SIM認證、PEAP認證功能的Wi-Fi手持終端開通無感知認證功能后，在其移動運營商WLAN網(wǎng)絡信號覆蓋的區(qū)域下，即可享受自動登錄體驗。

用戶在首次使用時，如果所持終端支持SIM認證，需要在終端上的SSID選項配置中配置好算法，進行保存；如果所持終端支持PEAP認證，需要在終端上的SSID選項配置中輸入PEAP認證所需的用戶名和密碼，進行保存。配置成功后，終端會自動保存用戶名和密碼，下次上線無需用戶配置，終端自動進行認證，終端獲得IP地址后用戶即可上網(wǎng)。當用戶離開移動運營商WLAN網(wǎng)絡信號覆蓋區(qū)域后，再次回到信號覆蓋區(qū)域，若用戶終端IP地址在續(xù)約期內(nèi)，仍能使用WLAN業(yè)務；若用戶終端IP地址已過續(xù)約期，終端將自動發(fā)起無感知認證。

用戶開通無感知認證功能后，可以通過主動下線和網(wǎng)絡發(fā)起下線兩種方式觸發(fā)下線。主動下線即用戶主動向網(wǎng)絡側發(fā)起下線發(fā)起請求退出網(wǎng)絡；網(wǎng)絡發(fā)起下線即網(wǎng)絡發(fā)起下線流程適用于網(wǎng)絡管理的場景，如用戶在線達8h后網(wǎng)絡側會主動發(fā)起下線流程，網(wǎng)絡側發(fā)現(xiàn)用戶欠費時也可以觸發(fā)網(wǎng)絡發(fā)起下線流程。

對于SIM認證和PEAP認證，兩種認證方式均能實現(xiàn)無需用戶干預的無感知認證，減少認證過程中用戶主動參與的次數(shù)，改善和提高了用戶業(yè)務使用體驗，在技術上可以實現(xiàn)同時引入，由網(wǎng)絡側根據(jù)終端主動上報的終端類型優(yōu)先選擇認證方式，實現(xiàn)認證技術對用戶透明，即無論用戶使用何種方式，用戶體驗基本一致。

圖5 PEAP認證接入流程

3 業(yè)務推廣分析

在引入無感知認證方式后,為了能夠吸引更多的用戶通過無感知認證功能使用WLAN網(wǎng)絡，發(fā)揮WLAN網(wǎng)絡的作用，在業(yè)務推廣方面可以考慮以下幾點因素：

(1）面向所有具有WLAN功能的手持終端（手機或PAD等非PC操作系統(tǒng)的平板電腦）的用戶提供無感知認證功能；

(2）目前用戶在使用WLAN業(yè)務時，無法同時使用Wi-Fi手機和電腦使用WLAN業(yè)務，后一個使用的終端會造成前一個終端的強制下線。如果用戶的不同終端（如手機和IPAD）均開通了無感知認證功能并打開了Wi-Fi開關，則進入熱點后，只有隨機的一臺終端能夠實現(xiàn)連接，影響用戶體驗。因此，WLAN業(yè)務在引入無感知認證功能后，考慮用戶同時擁有手機、電腦和PAD的情形，對于開通無感知認證的用戶，系統(tǒng)應能夠支持同一用戶多終端同時使用WLAN；

(3）在現(xiàn)有WLAN業(yè)務標準資費、按月包時長套餐、包單位時間套餐的計費模式下，無感知認證可能會造成用戶在不知情情況下長時間在線，損害用戶利益。為避免按現(xiàn)有時長計費而引發(fā)的問題，可以引入專屬套餐（流量封頂）配合無感知認證功能。用戶開通無感知認證功能后，可以不限制時長的使用WLAN上網(wǎng)，當流量達到封頂限制后，系統(tǒng)會提示用戶不能登錄網(wǎng)絡，如需繼續(xù)使用，用戶可以選擇訂購專屬套餐疊加包。

4 結束語

WLAN業(yè)務的通信范圍不受環(huán)境條件的限制，具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性，可以滿足人們移動辦公的夢想，創(chuàng)造一個豐富多彩自由交流的平臺。

目前發(fā)展WLAN業(yè)務可以通過優(yōu)化WLAN認證方式提供無感知認證功能，改善和提高用戶的使用體驗，向用戶提供更好的WLAN業(yè)務，使用戶能夠更加方便、快捷、自由的使用WLAN業(yè)務。

未來發(fā)展WLAN業(yè)務應以WLAN網(wǎng)絡分流2G網(wǎng)絡數(shù)據(jù)流量、緩解無線網(wǎng)絡壓力為發(fā)展目標，引導更多的手機流量遷移到WLAN網(wǎng)絡，提高移動運營商在WLAN領域的市場競爭力，樹立良好的企業(yè)形象。

[1] 中國移動通信企業(yè)標準. 中國移動無線局域網(wǎng)（WLAN）業(yè)務規(guī)范[S].

[2] 中國移動通信企業(yè)標準. 中國移動無線局域網(wǎng)（WLAN）用戶接入流程技術規(guī)范[S].