1、PEAP與EAP-SIM認(rèn)證分析,目錄,PEAP的來(lái)源和原理 PEAP/SIM存量手機(jī)占比比較 PEAP/SIM網(wǎng)絡(luò)改造要求比較 PEAP/SIM手機(jī)配置比較 PEAP認(rèn)證的問(wèn)題 PEAP/SIM/無(wú)感知客戶端的比較 業(yè)界對(duì)EAP認(rèn)證技術(shù)的定位 總結(jié),EAP協(xié)議架構(gòu)及常用方法,802.11,EAP,LEAP,802.1X,PSK,PEAP,TLS,TTLS,SIM/AKA,常用的EAP認(rèn)證方法,EAP是一個(gè)通用認(rèn)證協(xié)議框架，可以支持多種認(rèn)證方法 在EAP框架之上，很容易增加新的鑒權(quán)方法而不需要修改框架，現(xiàn)在大約有40種不同的方法，接受比較廣泛的有7-8種,基于SIM卡認(rèn)證,基于證書(shū)+用戶名/密

2、碼,基于證書(shū)認(rèn)證,基于用戶名/密碼,FAST,PEAP是由Microsoft、Cisco和RSA Security共同開(kāi)發(fā)，在EAP框架中基于證書(shū)+用 戶名密碼實(shí)現(xiàn)用戶WLAN接入鑒權(quán)。,PEAP協(xié)議流程、用戶體驗(yàn)及網(wǎng)絡(luò)改造,階段1：基于證書(shū)認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道,階段2：基于用戶名/密碼認(rèn)證用戶身份,用戶體驗(yàn) 第一次使用需要配置用戶名/密碼，后續(xù)用戶無(wú)需介入 機(jī)卡分離后，用戶需在新終端上重新配置用戶名/密碼 需基于證書(shū)認(rèn)證網(wǎng)絡(luò)，存在證書(shū)兼容問(wèn)題，影響用戶體驗(yàn) 網(wǎng)絡(luò)改造 AC：需支持PEAP協(xié)議，目前現(xiàn)網(wǎng)通過(guò)入網(wǎng)測(cè)試的AC均支持 AP：支持加密，目前現(xiàn)網(wǎng)通過(guò)入網(wǎng)測(cè)試的AP均支持 Rad

3、ius： 需支持配置證書(shū) 支持TLS隧道及PEAP認(rèn)證,四省存量手機(jī)各型號(hào)總數(shù)10000以上統(tǒng)計(jì)情況,四省存量手機(jī)各型號(hào)總數(shù)50000以上統(tǒng)計(jì)情況,四省存量手機(jī)各型號(hào)用戶總數(shù)10000以上占：92.78%，其中： 支持EAP-SIM手機(jī)占：71.34% 支持PEAP手機(jī)占：75.23%,四省存量手機(jī)各型號(hào)用戶總數(shù)50000以上占：75.50%，其中： 支持EAP-SIM手機(jī)占：80.67% 支持PEAP手機(jī)占：87.57%,存量手機(jī)支持PEAP/EAP-SIM情況,統(tǒng)計(jì)標(biāo)準(zhǔn)： SIM終端：iPhone iOS3以上、Symbian S60以上、BB 5.0以上 PEAP終端： iPhone i

4、OS2以上、Symbian S60以上、BB 5.0以上、Android2.0以上，WM5.0以上,PEAP/EAP-SIM網(wǎng)絡(luò)改造要求,AP支持802.11i AC支持802.1x 可配置開(kāi)啟/取消15分鐘下線機(jī)制 支持用戶累計(jì)流量小于一定閾值時(shí)，該用戶下線并停止計(jì)費(fèi) （可選功能）支持向終端定期發(fā)送Keep-Alive心跳消息實(shí)現(xiàn)?；?，心跳消息采用EAP-Request及EAP-Response標(biāo)準(zhǔn)消息 支持精確流量計(jì)費(fèi) （僅PEAP）當(dāng)使用綁定域名的證書(shū)時(shí)，AC支持通過(guò)域名方式訪問(wèn)AAA服務(wù)器,HLR存儲(chǔ)EAP-SIM認(rèn)證簽約，無(wú)需改造 HLR采用MAP-Restore-Data下發(fā)簽約，

5、愛(ài)立信HLR需改造支持,PEAP和EAP-SIM認(rèn)證都需要改造AC設(shè)備，改造量相當(dāng)，都需要增加對(duì)應(yīng)的AAA設(shè)備 EAP-SIM對(duì)HLR有改造要求，對(duì)信令網(wǎng)增加一定負(fù)荷,一、PEAP和EAP-SIM認(rèn)證的AC/AP改造要求：,二、EAP-SIM認(rèn)證的HLR改造要求：,PEAP/EAP-SIM手機(jī)配置情況,iPhone的兩種認(rèn)證配置都比較簡(jiǎn)單，PEAP需輸入用戶名/密碼、EAP-SIM需下載配置文件 BlackBerry的EAP-SIM認(rèn)證配置比較簡(jiǎn)單，PEAP配置條目較多 Symbian的兩種認(rèn)證配置都較繁瑣，PEAP認(rèn)證更復(fù)雜，Android的PEAP配置條目較多,PEAP認(rèn)證機(jī)制服務(wù)器證書(shū)測(cè)

6、試,部分終端默認(rèn)配置為不驗(yàn)證Radius證書(shū)名稱，也不驗(yàn)證證書(shū)的頒發(fā)機(jī)構(gòu)，如OMS(v2.0)、Android(v2.2, 2.3) ，如需驗(yàn)證，需用戶手工選擇證書(shū)。 部分終端不驗(yàn)證Radius證書(shū)名稱，但驗(yàn)證證書(shū)的頒發(fā)機(jī)構(gòu)，如BlackBerry(v5.0) 、 Windows Mobile(v6.5)； BlackBerry：若未預(yù)置根證書(shū)，需要手工安裝或需要“禁用服務(wù)器證書(shū)驗(yàn)證”才可訪問(wèn) WindowsMobile：若未預(yù)置根證書(shū)，提示“服務(wù)器驗(yàn)證錯(cuò)誤”，登錄失?。恍枰脩魧⒏C書(shū)安裝至終端。但安徽公司稱VeriSign根證書(shū)已在WM終端可信列表預(yù)置，仍需用戶再次安裝。 iPhone(v

7、3.1.3 , 4.1, 4.3)驗(yàn)證Radius證書(shū)的頒發(fā)機(jī)構(gòu)，彈出“尚未驗(yàn)證”提示，點(diǎn)擊接受可成功登陸。,結(jié)論：終端對(duì)PEAP Radius證書(shū)處理機(jī)制具有較大差異,如果終端不驗(yàn)證Radius證書(shū)，那么不能達(dá)到使用證書(shū)所預(yù)期的安全效果； 如果終端驗(yàn)證Radius證書(shū)的頒發(fā)機(jī)構(gòu)，那么需要向支持終端較廣的CA機(jī)構(gòu)申請(qǐng)證書(shū)，否則需要用戶自己向終端導(dǎo)入根證書(shū)。 iPhone將彈出證書(shū)提示，存在與Portal類似的問(wèn)題。,存在的問(wèn)題,注：經(jīng)過(guò)與蘋(píng)果公司初步溝通，蘋(píng)果認(rèn)為：Portal證書(shū)問(wèn)題是由于采用IP地址的原因，若采用域名方式即可解決，但尚未經(jīng)過(guò)測(cè)試認(rèn)證。,PEAP認(rèn)證用戶標(biāo)識(shí)問(wèn)題,PEAP（P

8、rotected Extensible Authentication Protocol）的第一個(gè)P指“受保護(hù)的 可擴(kuò)展的身份驗(yàn)證協(xié)議 ”，意指特別保護(hù)用戶的認(rèn)證信息。但終端的不支持卻使得 PEAP的這種安全保障難以執(zhí)行。,iPhone不支持填寫(xiě)匿名,終端會(huì)直接使用用戶真實(shí)身份與AAA服務(wù)器協(xié)商建立TLS隧道。用戶真實(shí)身份被暴露。BlackBerry情況相同。 Android雖然提供了填寫(xiě)匿名的條目，但當(dāng)用戶不填寫(xiě)匿名條目時(shí)，終端也會(huì)直接使用用戶真實(shí)身份與AAA服務(wù)器協(xié)商建立TLS隧道。用戶真實(shí)身份被暴露。,PEAP 要求終端使用匿名與AAA服務(wù)器協(xié)商建TLS隧 道，之后才在TLS隧道中傳輸自己

9、的真實(shí)接入認(rèn)證信 息。但多款終端不支持上述做法，直接使用用戶的真 實(shí)身份與AAA協(xié)商建立TLS隧道，暴露了用戶的真實(shí) 身份。,機(jī)卡分離后，用戶需要在新終端上再此設(shè)置接入認(rèn)證信息，感受不便利 舊手機(jī)中遺留了PEAP接入認(rèn)證信息，如被他人使用，存在計(jì)費(fèi)風(fēng)險(xiǎn) 解決方案：網(wǎng)絡(luò)綁定MAC地址與手機(jī)號(hào)碼（類似CS域綁定IMEI與手機(jī)號(hào)）,其他問(wèn)題,用戶修改Portal認(rèn)證密碼后，用戶手機(jī)PEAP認(rèn)證密碼需重新設(shè)置，對(duì)用戶體驗(yàn)有影響 解決方案：短信提醒,機(jī)卡分離,密碼同步,業(yè)界對(duì)EAP認(rèn)證技術(shù)的定位,GSMA TSG（Terminal Steering Group）WIFI項(xiàng)目 2011年成立，主要工作是定

10、義移動(dòng)終端的WIFI功能要求。其成立背景是針對(duì)目前終端支持WIFI能力不一致，運(yùn)營(yíng)商無(wú)法提供統(tǒng)一的WLAN分流服務(wù)等問(wèn)題。 項(xiàng)目會(huì)涉及易用性、認(rèn)證、連接管理和性能等層面，其成果會(huì)作為OMA、WPA、WFA和3GPP等組織工作的輸入。 認(rèn)證部分，EAP-SIM/AKA為必選功能，EAP-TLS/TTLS為推薦功能 WPA Hotspot2.0 2010年發(fā)起，目標(biāo)是實(shí)現(xiàn)類似蜂窩網(wǎng)的網(wǎng)絡(luò)廣播，網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)和選擇，需要網(wǎng)絡(luò)和終端具備支持能力。Hotspot2.0不涉及新的認(rèn)證技術(shù)，而是旨在整合IEEE 802.11u、802.11i、802.1X等。今年年底發(fā)布第一版白皮書(shū)。 認(rèn)證部分，推薦EAP-

11、SIM/AKA、EAP-TLS/TTLS,總結(jié)及建議（1/2）,通過(guò)四省數(shù)據(jù)調(diào)研，存量1萬(wàn)以上的終端，支持PEAP的終端占比比EAP-SIM的終端占比多3.89%，數(shù)量沒(méi)有顯著差異 Android2.0以上終端和WM終端支持PEAP，不支持SIM認(rèn)證 整體來(lái)看，PEAP認(rèn)證的用戶使用門檻高于SIM認(rèn)證 存在證書(shū)兼容性問(wèn)題，部分終端（WM）需要手工安裝證書(shū)才能使用PEAP認(rèn)證 部分終端配置復(fù)雜（BB、Android、Symbian） 存在機(jī)卡分離等問(wèn)題 從認(rèn)證技術(shù)發(fā)展和標(biāo)準(zhǔn)組織推薦來(lái)看，SIM認(rèn)證是業(yè)界公認(rèn)的WLAN認(rèn)證目標(biāo)方案 建議：終端優(yōu)選使用SIM認(rèn)證，對(duì)于不支持SIM認(rèn)證的終端，采用PE

12、AP認(rèn)證或客戶端作為補(bǔ)充,總結(jié)及建議（2/2）,四省存量超過(guò)1萬(wàn)的終端SIM/PEAP支持情況分析 91%的iPhone支持EAP-SIM，剩余9%的iPhone 1代如升級(jí)至iOS2.0以上，支持PEAP，預(yù)計(jì)iPhone 1代存活周期有限。 所有Symbian終端（注：Nokia S40不屬于Symbian終端）和所有Blackberry終端支持EAP-SIM 38%Android終端支持PEAP和TTLS，剩余72%的Android終端如升級(jí)到2.0以上版本也可支持PEAP 所有Windows Mobile/CE終端支持PEAP，但需安裝證書(shū)（未充分測(cè)試驗(yàn)證）。 建議：為便于推廣，建議此

13、次試點(diǎn)一種主流終端類型只提供一種自動(dòng)認(rèn)證方式 iPhone、Symbian、BB終端，試點(diǎn)建議采用SIM認(rèn)證方式 Android和WM終端，試點(diǎn)建議采用PEAP認(rèn)證方式,四省存量超過(guò)10000以上終端類型統(tǒng)計(jì),四省存量超過(guò)10000以上終端SIM/PEAP支持情況,謝謝各位領(lǐng)導(dǎo)和同事！,各終端EAP-SIM、PEAP配置,正版IPhone4從非AppleStore下載EAP-SIM配置文件、安裝并認(rèn)證,注：經(jīng)調(diào)研，iOS 3.0以上操作系統(tǒng)支持配置文件下載并安裝，但iPhone一代硬件升級(jí)iOS 3.0后不能支持,BlackBerryOS5.0/6.0手機(jī)EAP-SIM認(rèn)證配置,BlackBerryOS5.0/6.0手機(jī)EAP-AKA認(rèn)證配置,Symbian60v3/v5手機(jī)EAP-SIM認(rèn)證配置,1（E71）,2,3,4,5,6,iPhone1（軟件升級(jí)）手機(jī)PEAP