BYOD(Bring Your Own Device,自帶設(shè)備),即通過Wi-Fi的接入方式自帶設(shè)備,提高工作效率,這已成為業(yè)界的趨勢。而目前我們所了解的無感知認(rèn)證,就是通過BYOD的方式無需用戶介入自動(dòng)接入Wi-Fi網(wǎng)絡(luò)。無感知認(rèn)證主要分為Portal、802.1x以及MAC等多種方式。以下通過技術(shù)的發(fā)展歷程,介紹各種無感知認(rèn)證技術(shù)。
一、Portal認(rèn)證
由于手持終端的種類繁多,為了保證兼容性,最早的Wi-Fi接入采用了Portal認(rèn)證,通過內(nèi)置的瀏覽器,解決了手持終端不便于安裝認(rèn)證客戶端軟件的接入問題。然而Portal認(rèn)證需要打開瀏覽器,在輸入用戶名和密碼后才能接入網(wǎng)絡(luò),造成了效率較低。據(jù)統(tǒng)計(jì),采用Portal認(rèn)證的用戶平均需要2分鐘才能接入網(wǎng)絡(luò)。
隨著技術(shù)的發(fā)展,手持終端更加智能化了,安裝客戶端軟件成了一件很簡單的事情。客戶端解決了手持終端Portal認(rèn)證效率低的問題(如圖1所示),只要輸入一次用戶名和密碼,下次只要點(diǎn)擊圖標(biāo)即可完成認(rèn)證,無需反復(fù)輸入,大大提高了Portal認(rèn)證的效率。
圖1 H3C 基于iOS的iNode客戶端
二、802.1x認(rèn)證
802.1x標(biāo)準(zhǔn)的提出起源于IEEE 802.11標(biāo)準(zhǔn)——無線局域網(wǎng)用戶接入?yún)f(xié)議標(biāo)準(zhǔn),其最初目的是解決無線局域網(wǎng)用戶的接入認(rèn)證問題。但由于802.1x認(rèn)證的原理對于所有符合IEEE 802標(biāo)準(zhǔn)的局域網(wǎng)具有普適性,因此在有線局域網(wǎng)中也得到了廣泛的應(yīng)用,成為有線交換機(jī)的端口網(wǎng)絡(luò)控制協(xié)議。
802.1x協(xié)議規(guī)定在完成認(rèn)證之前是不允許信息交互的,因此手持終端與AC在認(rèn)證之前只能通過802.1x協(xié)議規(guī)定的EAP(Extensible Authentication Protocol,可擴(kuò)展認(rèn)證協(xié)議)幀交換認(rèn)證信息。目前大多數(shù)手持終端都支持基于802.1x的EAP認(rèn)證(如圖2所示),輸入相應(yīng)的用戶名密碼,即可自動(dòng)完成認(rèn)證,這種方式稱為EAP-PEAP,即Protected-EAP(受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議)。已被Wi-FI聯(lián)盟WPA和WPA2批準(zhǔn)的有兩個(gè)子類型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個(gè)框架協(xié)議,目前業(yè)界使用最廣的是由微軟提出的PEAPV0-MSCHAPV2協(xié)議,又被稱作MS-PEAP,也就是我們在iPhone上看到的WPA/WPA2企業(yè)級認(rèn)證方式。
圖2 iOS和Android系統(tǒng)中配置EAP-PEAP
還有一種基于802.1x認(rèn)證方式EAP-SIM/AKA,這種方式主要利用了運(yùn)營商蜂窩用戶SIM/USIM卡的信息,并完成認(rèn)證。但這種方式更適合在帶有在運(yùn)營商網(wǎng)絡(luò)使用而不是企業(yè)網(wǎng)。
目前H3C的WLAN設(shè)備對以上幾種基于802.1x的認(rèn)證協(xié)議都可以完善支持。
三、802.11u協(xié)議及Wi-Fi聯(lián)盟的Passpoint
IEEE 802.11u協(xié)議規(guī)定了不同網(wǎng)絡(luò)間互操作的標(biāo)準(zhǔn),其制定的初衷是希望Wi-Fi網(wǎng)絡(luò)能夠象運(yùn)營商的蜂窩網(wǎng)絡(luò)一樣,方便終端接入。到了BYOD時(shí)代,這種需求尤其明顯:城市里的人們用終端可以搜索到數(shù)十個(gè)、甚至上百個(gè)Wi-Fi信號源,在這種情況下,如何選擇正確的網(wǎng)絡(luò)?通過802.11u協(xié)議,Wi-Fi設(shè)備就可以自動(dòng)的連接到Wi-Fi熱點(diǎn)而無需用戶介入。
802.11u協(xié)議中的一個(gè)重要部分是使用ANQP(Access Network Query Protocol,接入網(wǎng)絡(luò)查詢協(xié)議)。在認(rèn)證之前,移動(dòng)終端向帶有802.11u功能的AP發(fā)送一個(gè)ANQP查詢,AP通過廣告服務(wù)(Advertisement Server)提供熱點(diǎn)的域名和SSID等相關(guān)信息。接下來,移動(dòng)終端檢查自己的證書并確認(rèn)可以連接的漫游服務(wù)商列表,移動(dòng)終端比較自己的列表和從AP處獲得的漫游列表,這樣就可以確定選擇哪一個(gè)SSID成功地進(jìn)行身份識(shí)別。所有的過程都是自動(dòng)的,也就是說802.11u協(xié)議解決了自動(dòng)選擇網(wǎng)絡(luò)的問題,而不是每次跳出一堆SSID要用戶自己選擇。
但這是不夠的,802.11u僅僅解決了選擇接入點(diǎn)的問題,并不能提供不同網(wǎng)絡(luò)的認(rèn)證功能。因此無線寬帶聯(lián)盟(WBA)與Wi-Fi聯(lián)盟合作,提出了Wi-Fi CERTIFIED Passpoint (簡稱Passpoint)計(jì)劃。通過Passpoint計(jì)劃,Wi-Fi熱點(diǎn)接入內(nèi)網(wǎng)AP將不再需要用戶進(jìn)行任何主動(dòng)選擇或輸入。Passpoint將使用統(tǒng)一的接口自動(dòng)進(jìn)行關(guān)聯(lián)。設(shè)備可以基于多種憑據(jù)類型自動(dòng)獲取網(wǎng)絡(luò)訪問權(quán)限,包括EAP-SIM/AKA、EAP-PEAP、EAP-TLS等,無需終端用戶介入即可與可信任的網(wǎng)絡(luò)建立連接。
但是,802.11u+ Passpoint的無感知認(rèn)證方式存在明顯缺點(diǎn)。802.11u是2011年才正式通過的協(xié)議,目前尚有很多軟硬件廠商的產(chǎn)品對802.11u支持度不夠。另外,Passpoint部署起來比較復(fù)雜,即使采用EAP-PEAP方式做認(rèn)證,不同終端首次配置差別較大,如iOS系統(tǒng)就必須要手動(dòng)導(dǎo)入證書,否則會(huì)提示證書驗(yàn)證失敗,必須手工選擇才能接入網(wǎng)絡(luò),因此更適合運(yùn)營商之間的互聯(lián),而不是企業(yè)內(nèi)部的BYOD辦公。
四、基于MAC地址快速認(rèn)證方案
鑒于以上認(rèn)證方案的種種問題,無線終端用戶對易用性和便捷性提出了更高的要求。結(jié)合現(xiàn)有網(wǎng)絡(luò)和技術(shù)的運(yùn)用以及針對中國用戶的使用習(xí)慣,H3C基于iMC平臺(tái)的UAM(用戶接入管理組件)提出MAC綁定快速認(rèn)證的技術(shù)思路,其特點(diǎn)如下:
1、用戶體驗(yàn)改善,首次用戶需手動(dòng)Portal認(rèn)證,后續(xù)使用無感知認(rèn)證;
2、終端適配較好,適配大部分WLAN終端,無需適配客戶端;
3、認(rèn)證兼容性較好,兼容現(xiàn)有Portal認(rèn)證方式;
MAC認(rèn)證具備“一次認(rèn)證,多次使用”用戶體驗(yàn)。如果開通了MAC快速認(rèn)證,用戶首次登陸Portal頁面成功認(rèn)證后,后續(xù)只要關(guān)聯(lián)WLAN就可以用任意應(yīng)用上網(wǎng)。具體流程如圖3所示。
圖3 基于MAC地址快速認(rèn)證的首次認(rèn)證流程
完成了首次認(rèn)證后,第二認(rèn)證流程就要簡單很多(如圖4所示)。
圖4 基于MAC地址快速認(rèn)證的二次認(rèn)證流程
MAC地址快速認(rèn)證并不是簡單的MAC認(rèn)證,仍是基于Portal認(rèn)證的。并且這種認(rèn)證方式把短信貓和手持終端認(rèn)證緊密結(jié)合起來,再通過UAM的MAC認(rèn)證模塊,自動(dòng)完成了認(rèn)證過程。總的來說,相比其他認(rèn)證方式,MAC地址快速認(rèn)證具有很好的用戶體驗(yàn)和技術(shù)優(yōu)勢(如表1所示)。
|
認(rèn)證方案
|
H3C MAC
地址快速認(rèn)證
|
Portal客戶端
|
Portal認(rèn)證
|
802.1x
|
802.11u+Passpoint
|
|
優(yōu)勢
|
用戶體驗(yàn)好,認(rèn)證速度快,兼容所有終端
|
認(rèn)證速度快,用戶體驗(yàn)好
|
兼容性好
|
認(rèn)證速度快,各種終端支持
|
自動(dòng)選擇網(wǎng)絡(luò),自動(dòng)認(rèn)證
|
|
劣勢
|
無
|
目前僅兼容少數(shù)操作系統(tǒng)
|
用戶體驗(yàn)差,認(rèn)證時(shí)間過程長
|
終端種類多,首次認(rèn)證配置復(fù)雜
|
部署復(fù)雜,部分終端和無線設(shè)備尚不支持,認(rèn)證基于802.1x,更適合運(yùn)營商之間的漫游
|
|
使用場景
|
企業(yè)內(nèi)部使用,適合各種終端
|
僅有蘋果、Android系統(tǒng)的終端環(huán)境
|
各種終端均可兼容,但不能實(shí)現(xiàn)無感知認(rèn)證
|
企業(yè)網(wǎng)運(yùn)營商均可使用,對用戶IT能力要求較高
|
運(yùn)營商適用,但目前推廣條件尚不成熟
|
