如今国内运营商无线通信市场竞争的热点已逐渐从技术层面转向了用户体验上,用户体验的好坏成为人们无线上网选择的重要标准。然而,目前WLAN网络的发展仍处于初级阶段,基于Web的认证方式仍是主流的认证方式,但这种方式对用户来说并不便捷。 传统的Portal认证模式,其繁琐的认证流程不但降低了网络的效率,更重要的是影响了用户的体验效果,制约了WLAN用户的发展,用户使用网络的时长和用户数量无法得到快速提升,网络建设投资成本回收期延长,用户ARPU值降低。 如何才能快速便捷地使用WLAN网络,成为改善用户体验的关键,也是改变WLAN网络“热装冷用”现象的重要一环。为改善无线认证环节,提升用户上网体验,WLAN网络的认证方式与流程需要简化与智能化。如何才能实现,目前有以下三种主要的实现方案。 一、EAP-SIM/AKA无感知认证解决方案 EAP-SIM/AKA认证是EAP认证方法的一种实现方式,其通过用户(U)SIM卡信息进行认证。当用户使用SIM卡时,执行EAP-SIM认证流程;当用户使用USIM卡时,执行EAP-AKA认证流程,整个认证流程不需要用户介入任何手工操作,完全由用户终端自动完成。 认证流程 ● 终端与AC之间通过EAPoL协议通信; ● AC和AAA服务器通过Radius协议转发EAP消息; ● AAA服务器使用MAP协议从HLR/HSS获取用户(U)SIM卡鉴权向量,并完成认证。 用户首次使用时需进行PEAP认证相关配置,并输入用户名、密码,后续即可实现免登陆上网。此方案同MAC认证一样,也无需Portal界面或用户任何手工输入操作的干预,认证过程也完全交由后台自行进行和处理。合法用户只要连接无线网络,无需经过繁琐的认证流程,即可上网,用户体验大大提高。此方案具有如下优点: 1. 用户完全零操作:认证过程完全由后台自行处理,用户体验度高; 2. 安全性高:用户SIM卡信息固定且惟一; 3. 避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。 二、PEAP无感知认证解决方案 PEAP认证是EAP认证方法的另一种实现方式,终端与网络关联后,终端侧通过服务器证书对网络侧进行认证,建立TLS隧道,将用户名/密码发送给网络侧,网络侧通过用户名/密码对终端进行认证。 认证流程 ● 终端与AC之间通过EAPoL协议通信; ● AC和Raduis服务器通过Radius协议转发EAP消息; ● 终端与Raduis服务器之间建立TLS隧道; ● 终端和Raduis服务器之间通过TLS隧道进行EAP认证协商,完成身份认证; 用户首次使用时需进行PEAP认证相关配置,并输入用户名、密码,后续即可实现免登陆上网。此方案无需Portal界面,无需用户进行任何认证手工输入操作,认证过程完全由后台自行进行和处理。 合法用户只要连接无线网络,即可上网,彻底省去了繁琐的认证过程,极大提高了用户体验。此方案具有如下优点: 1. 用户完全零操作:认证过程完全由后台自行处理,用户体验度高; 2. 安全性高:访问点只会在终端和 RADIUS 服务器之间转发消息; 3. 避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。 PEAP认证目前适用于各种类型的手机智能终端,但同时也具有如下弊端: 1. 基于证书认证网络,AAA服务器需要预置根证书,终端证书如果与服务器证书不匹配,终端需要进行安装或者有错误提示; 2. 由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上; 目前中国移动集团就是采用了基于PEAP的认证方案,在全国采用统一规划的CMCC-Auto这一加密SSID来为用户提供无感知认证方式,快速提升了目前用户的网络使用率和用户体验。 三、基于MAC的无感知认证解决方案 用户首次连接WLAN时,需要一次认证,同时在后台服务器上,将用户无线网卡物理地址与用户的登陆信息绑定。当该用户下次连接网络时,无需重复繁琐的认证即可直接上网。 认证流程 ● DHCP获取IP地址; ● 发起正常用户认证请求; ● AC向移动智能终端推送认证页面,进行正常认证流程; ● 认证成功后,AC向认证服务器再次发起用户简化认证请求; ● AC与认证系统进行用户信息交互; ● 由AC进行用户信息的记录并在下次用户上网时自动帮助用户登记; ● 服务器通知短信网关向用户手机下发短信,通知用户简化认证功能启用。 此方案以流量为触发条件。用户无线网卡物理地址由专门的绑定服务器进行查询和绑定,减轻了认证服务器或后台服务器的压力。同时流量触发的方式避免了关联(即绑定)造成的服务器压力问题。此方案具有以下优点: 1. 良好的兼容性:无需安装任何形式的客户端,无需证书校验; 2. 用户完全零配置:绑定服务器上的用户无线网卡物理地址和用户名绑定完全自动生成; 3. 安全性高:绑定结果通过短信告知用户; 4. 可扩展性好:绑定服务器除用于无线网卡物理地址认证外,其功能还可根据用户需求进行扩展; 5. 增加了流量阈值判断过程,防止智能终端上由于定期触发(如ARP、DHCP、DNS等)报文而频繁触发认证请求; 6. 系统支持短信下线,丰富了用户选择性。 以上通过深入分析当前无线上网认证方式,以简化用户认证流程、提升用户感知为目的,给出了三种的无感知认证方式。这三种方案各有所长,在实际应用中,需要根据终端类型、各省网络建设情况细分客户群,采用合适的认证方式。 相信在解决了使用便捷性这个门槛之后,运营商的WLAN网络将会为越来越多的人们提供便利、高速的无线宽带服务,也将为今后运营商流量运营的探索带来更广阔的空间。
|
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司