WLAN无感知认证技术要求PEAP认证067.docx
《WLAN无感知认证技术要求PEAP认证067.docx》由会员分享,可在线阅读,更多相关《WLAN无感知认证技术要求PEAP认证067.docx(12页珍藏版)》请在冰点文库上搜索。
WLAN无感知认证技术要求PEAP认证067
WLAN无感知认证试点技术要求(PEAP认证)
背景
PEAP是EAP认证方法的一种实现方式,网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。
用户首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。
技术原理
PEAP(ProtectedEAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。
EAP客户端和认证服务器之间的认证过程有两个阶段。
第一阶段:
建立PEAP客户端和认证服务器之间的安全通道,客户端采用证书认证服务端完成TLS握手。
服务端可选采用证书认证客户端。
第二阶段:
提供EAP客户端和认证服务器之间的EAP身份验证。
整个EAP通信,包括EAP协商在内,都通过TLS通道进行。
服务器对用户和客户端进行身份验证,具体方法由EAP类型决定,在PEAP内部选择使用(如:
EAP-MS-CHAPv2)。
访问点只会在客户端和RADIUS服务器之间转发消息,由于不是TLS终结点,访问点无法对这些消息进行解密。
目前被WPA和WPA2批准的有两个PEAP子类型PEAPV0-MSCHAPV2,PEAPV1-GTC,使用广泛的是PEAPV0-MSCHAPV2。
PEAP认证参考如下国际标准
[1]IETFDraft,PEAPAuthentication,
draft-josefsson-pppext-eap-tls-eap-10.txt,2004.
[2]IETRRFC2759,MSCHAPv2
[3]IETFRFC3748,"ExtensibleAuthenticationProtocol(EAP)".
关键技术问题
证书问题
PEAP认证需要AAA服务器配置认证证书。
需评估不同服务器证书与各类终端的兼容性。
如果服务器证书与终端预置证书验证不匹配,PEAP认证可能失败。
目前Portal认证使用的证书为IP地址绑定,如果试点阶段AAA服务器选择绑定域名的证书,现网AC可能需改造。
iPhone如果证书验证失败,此时用户选择接受,PEAP认证可成功。
Blackberry手机PEAP认证配置有“禁止服务器证书验证”选项,勾选后,终端不再进行证书验证。
WindowsMobile手机如果证书验证失败,PEAP认证无法通过。
Symbian和Adroid/Ophone还未验证。
密码设置
PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致。
PEAP认证方法
试点使用PEAPv0版本,选用MSCHAPv2认证方法。
SSID设置
需设置新的SSID(CMCC-AUTO),支持存量终端使用PEAP认证方式。
PEAP认证与SIM认证使用相同SSID。
机卡分离问题
由于PEAP认证的用户名/密码保存在手机中,如果手机和用户卡发生分离(用户换手机或换卡),手机仍能进行PEAP认证,但费用会记录在原有卡用户账户上。
目前暂无较好技术手段进行解决机卡分离问题。
下线控制
PEAP认证仍保留8小时下线机制
可通过AC开关开启/关闭PEAP认证对应SSID的15分钟下线机制。
Keep-alive机制(可选)
AC利用EAP信令周期性探测UE状态,如果UE在一定时间内无响应(异常关机、移出WiFi覆盖区域),则网络侧对此用户进行下线操作。
具体实现机制如下图:
AC在一定时间内无流量后,向终端发送EAP-Request/identity消息,终端如果在线则回复EAP-Response消息,如果AC收到终端响应后,回复EAP-Success,如果AC没有收到终端响应,则在一定时间内重发EAP-Request消息,在重传一定次数后,仍未收到响应,则从网络侧下线用户。
此机制可能存在如下潜两个问题:
1)上述流程不是标准流程,部分终端周期性收到心跳后,可能出于安全或其它因素考虑,不处理EAP-Request消息。
2)终端在EAP-Response消息中可能不携带网络侧分配的伪随机名或快速认证名,而是携带IMSI,增加空口传输IMSI的概率。
鉴于部分厂家已支持此功能,试点期间作为可选项,在提供此功能的厂家设备上验证其效果。
AC如果支持Keep-alive机制,对AC性能有一定影响,可通过试点进行评估。
接入流程
PEAP用户接入流程
图1PEAP用户接入流程
E1认证初始化
1)WLANUE向WLANAN发送一个EAPoL-Start报文,开始802.1x接入的开始。
2)WLANAN向WLANUE发送EAP-Request/Identity报文,要求WLANUE将用户信息送上来。
3)WLANUE回应一个EAP-Response/Identity给WLANAN的请求,其中包括用户的网络标识。
用户ID,对于PEAP-mschchapv2认证方式的用户ID是由用户在客户端手动输入或者配置的。
此次用户名建议同用户的portal认证用户名密码。
4)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/Identity发送给Radius,并且带上相关的RADIUS的属性。
5)Radius收到WLANAN发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向WLANAN发送RADIUS-Access-Challenge报文,里面含有Radius发送给WLANUE的EAP-Request/Peap/Start的报文,表示希望开始进行EAP-PEAP的认证。
6)WLANAN将EAP-Request/PEAP/Start发送给WLANUE。
E2建立TLS通道
7)WLANUE收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法(目前均为NULL),封装在EAP-Response/TLS/ClientHello报文中发送给WLANAN。
8)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLS/ClientHello发送给认证服务器Radius,并且带上相关的RADIUS的属性。
9)Radius收到ClientHello报文后,会从Client的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个ServerHello报文封装在EAP消息中,使用Access-Challenge报文发送给WLANAN。
10)WLANAN把Radius报文中的EAP-request消息发送给WLANUE.
11)WLANUE收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合法),即对网络进行认证,从而可以保证Server的合法。
如果合法则提取Server证书中的公钥,同时产生一个随机密码串pre-master-secret,并使用服务器的公钥对其进行加密,最后将加密的信息ClientKeyExchange+客户端的证书(如果没有证书,可以把属性置为0)+TLSfinished属性封装成EAP-Rsponse/TLSClientKeyExchange报文发送给WLANAN.如果WLANUE没有安装证书,则不会对Server证书的合法性进行认证,即不能对网络进行认证。
12)WLANAN以EAPOverRADIUS的报文格式将EAP-Response/TLSClientKeyExchange发送给认证服务器Radius,并且带上相关的RADIUS的属性
13)Radius收到报文后,用自己的证书对应的私钥对ClientKeyExchange进行解密,从而获取到pre-master-secret,然后将pre-master-secret进行运算处理,加上WLANUE和Server产生的随机数,生成加密密钥、加密初始化向量和hmac的密钥,这时双方已经安全的协商出一套加密办法了。
Radius将协商出的加密方法+TLSFinished消息封装在EAPoverRadius报文Access-Challenge中,发送给WLANAN。
14)WLANAN吧Radius报文中的EAP-Request消息发送给UE。
15)WLANUE回复EAPResponse/TLSOK消息。
16)WLANAN将EAPResponse/TLSOK消息封装在Radius报文中,告知Radius建立隧道成功。
至此WLANUE与Radius之间的TLS隧道建立成功。
E3认证过程
17)WLANAN把Radius报文中的EAP域提取,封装成EAP-request报文发送给WLANUE。
18)WLANUE收到报文后,用服务器相同的方法生成加密密钥,加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证回应报文,用密钥进行加密和校验,最后封装成EAP-response报文发送给AP,AP以EAPOverRADIUS的报文格式将EAP-Response发送给认证服务器RadiusServer,并且带上相关的RADIUS的属性,这样反复进行交互,直到认证完成。
在认证过程中,RadiusServer会下发认证后用于生成空口数据加密密钥(包括单播、组播密钥)的PMK给WLANUE。
19)服务器认证客户端成功,会发送Access-Accept报文给WLANAN,报文中包含了认证服务器所提供的MPPE属性。
20)WLANAN收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给WLANUE。
E4地址分配
21)WLANUE和WLANAN间的空中数据报文进行加密传送,与WLANAN进行DHCP流程交互,直至WLANUE获取IP地址
E5计费开始
22)WLANUE通过RADIUS-Accounting-Request(Start)报文通知Radius开始进行计费,含有相关的计费信息。
23)Radius向WLANUE回应RADIUS-Accouting-Response(Start)报文,表示已开始计费。
PEAP用户下线流程
用户下线流程包括用户主动下线、网络下线和异常下线三种情况。
图2给出了用户主动下线流程,图3给出了网络下线流程,图4给出了用户异常下线流程。
1.用户主动下线
图2用户主动下线流程
1)WLANUE主动终止会话,发起EAPoL-logoff请求退出网络。
2)WLANAN向AAAServer发送计费停止请求的报文。
3)AAAServer向WLANAN回复计费停止请求报文的响应。
2、网络发起用户下线
图3网络发起下线流程
1)出于管理目的,网络发起下线流程,可以由AAAServer触发Disconnect-Request给WLANAN。
2)WLANAN终止用户会话,释放用户会话资源。
3)WLANAN向AAAServer回复Disconnect-ACK消息。
4)WLANAN向AAAServer发送计费停止请求的报文。
5)AAAServer向WLANAN回复计费停止请求报文的响应。
3、网络发起用户下线
图4用户异常下线流程
1)WLANAN检测固定时间内流量小于阈值或者通过KeepAlive机制检测发现用户已经不在线。
2)WLAN用户接入认证点向Radius发送计费停止请求的报文
3)Radius向WLAN用户接入认证点回计费停止请求报文的回应
MS-CHAPV2认证流程
图4MS-Chapv2用户认证流程
1)Radius在TLS通道内发起EAP-reuqest/Identity认证请求.
2)AP把Radius报文中的EAP域提取,封装成EAP-request报文发送给Client.
3)Client发送一个给Ap一个EAP-Response报文,内容为Client的Identity(通常为用户名),.
4)Ap把报文封装成Radius报文,送给Radius.
5)Radius收到后,通过Radius报文,返回给AP一个16字节的随机数.
6)AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-MSCHAPV2Challenge报文发送给Client.(CODE=1:
Challenge)
7)Client收到后:
a)Client产生一个16字节的随机数,称为“端认证质询”,
b)client将Radiusserver中收到的16字节质询,及其产生的16字节端认证质询,以及client的用户名进行SHA1算法的HASH,取结果的开始8字节。
c)client将b产生的8字节质询加密用windowsnthash函数生成的本地口令HASH值(16字节),产生24字节的响应(MD4算法);
d)client将24字节的响应,结果封装在EAP-Response/EAPMSCHAPV2Response报文中发送给AP.(CODE=2:
Response)
8)Ap把报文封装成Radius报文,送给Radius.
9)Radiusserver收到后:
a)使用跟Client相同的方法进行用户口令的哈希值加密响应值,如果结果与质询值相同,则客户端认证通过
b)Radiusserver使用16字节的端认证质询和client的哈希过的口令,一起创建一个20字节的认证者响应,封住成Radius报文发送给Ap.
10)AP把Radius报文中的EAP域提取,封装成EAP-request/EAP-CHAPV2Success报文发送给Client.(CODE=3:
Success)
11)Client收到后,使用与服务器相同的方法计算一个认证者响应,如果与收到的响应一致,则server通过认证,发送一个认证成功报文,封装成Eap—response/EAPMschapv2ACK报文给Ap.
12)Ap把报文封装成Radius报文,送给Radius.
13)服务器和客户端均认证成功,Radiusserver会发送Access-Accept报文给AP,报文中包含了认证服务器所提供的MPPE属性(MPPE密钥算法请参阅引用[18])。
14)AP收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给客户端.
计费要求
为避免对现有BOSS的改造要求,PEAP认证话单沿用原有Portal认证话单,其中Oper_ID为5表示无感知认证用户,Auth_type为“03”表示话单是PEAP认证接入后产生的。
话单中反映用户上网时长和流量等信息,为用户提供准确计费依据。
网元改造
AC/AP
1、AP支持802.11i;
2、AC支持802.1x;
3、PEAP认证对应SSID可配置开启/取消15分钟下线机制。
Portal认证对应SSID仍保留15分钟下线功能。
4、AC支持用户累计流量小于一定阈值,则应对该用户下线并停止计费。
5、(可选功能)AC支持向向之间定期发送Keep-Alive心跳消息实现保活,心跳消息采用EAP-Request及EAP-Response标准消息,详细过程见下图。
AC提供可配置的如下参数:
心跳开始Timer:
如无流量,心跳开始Timer进行计时,设定Timer过期后,AC发送EAP心跳消息。
心跳重试Timer:
AC发送EAP心跳消息后,在心跳重试Timer设定的时间内,如无响应,则重新发送EAP心跳消息。
心跳重试次数:
AC重发EAP心跳消息的最大次数。
心跳机制可以通过配置选项打开或关闭。
6、AC支持精确流量计费。
7、当使用绑定域名的证书时,AC支持通过域名方式访问AAA服务器。
8、网管要求,需网络部提出。
偏离项目的说明表
请对该技术要求所提出各项要求进行逐条逐项答复、说明和解释。
对实现或满足程度明确作出“满足”、“不满足”、“部分满足”的应答,然后作出具体、详细的说明。
在“对偏离项目的说明”一栏中填写无法满足的原因、何时能够满足等内容。
章节
主要内容
满足程度
对偏离项目的说明、有无开发计划,开发完成时间
升级会员 