WLAN无感知认证

[摘 要] 人们在享受无线网络带来的便利生活的同时，也对WLAN的安全保证提出了更高要求，建设一个高速、安全、可靠、可扩充的无线网络系统，也成为迫在眉睫的事。本文从WLAN身份认证着手分析可扩展的身份验证协议 (EAP) 及其应用无感知认证PEAP。

[关键词] WLAN EAP PEAP

1.引言

WLAN（无线局域网）是利用无线技术在空中传输数据、话音和视频信号，实现了局域网的无线化。作为传统布线网络的一种替代方案或延伸，无线局域网把个人从办公桌边解放了出来，使他们可以随时随地获取信息，提高了员工的办公效率。无线宽带业务是无线局域网和有线分组网有效结合的业务，在一定程度上缓解了无线移动网中数据业务对载频和带宽的压力，并在一定程度上解决了室内深层覆盖的问题。

但是，无线介质存在很多独特之处，WLAN安全措施与建立严格的有线安全所用的措施并没有太大的区别。IT管理员可以通过采取适当的WLAN安全措施，保持对企业隐私的保护。用户合法性验证也就成为首要解决的问题

2.可扩展的身份验证协议（EAP）

EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证，远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型：MD5-Challenge 和 EAP-TLS。

MD5-Challenge ：Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型，其使用与基于 PPP 的 CHAP 相同的质询/握手协议，但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 VPN 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互操作性。

EAP-TLS ：EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证，则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。

3.无感知认证-- PEAP认证

PEAP是EAP认证方法的一种实现方式，网络侧通过用户名/密码对终端进行认证，终端侧通过服务器证书对网络侧进行认证。用户首次使用PEAP认证时，需输入用户名和密码，后续接入认证无需用户任何手工操作，由终端自动完成。

PEAP(Protected EAP)实现通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。

EAP 客户端和认证服务器之间的认证过程有两个阶段。

第一阶段：建立 PEAP 客户端和认证服务器之间的安全通道，客户端采用证书认证服务端完成TLS握手。服务端可选采用证书认证客户端。

第二阶段：提供 EAP 客户端和认证服务器之间的 EAP 身份验证。整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。服务器对用户和客户端进行身份验证，具体方法由 EAP 类型决定，在 PEAP 内部选择使用(如：EAP-MS-CHAPv2)。访问点只会在客户端和 RADIUS 服务器之间转发消息，由于不是 TLS 终结点，访问点无法对这些消息进行解密。

3.1 MSCHAPV2认证流程

1）Radius在TLS通道内发起EAP-reuqest/Identity认证请求.

2）AP把Radius报文中的EAP域提取，封装成EAP-request报文发送给Client.

3）Client发送一个 给Ap一个EAP-Response报文，内容为Client的Identity(通常为用户名).

4）Ap把报文封装成Radius报文,送给Radius.

5）Radius收到后，通过Radius报文，返回给AP一个16 字节的随机数。

6）AP把Radius报文中的EAP域提取，封装成EAP-request/EAP-MS CHAP V2 Challenge报文发送给Client. (CODE=1:Challenge)

图1 MS-Chapv2用户认证流程

7）Client收到后:

a)Client产生一个 16字节的随机数，称为“端认证质询”,

b)client 将Radius server中收到的16字节质询，及其产生的16字节端认证质询，以及client的用户名进行SHA1算法的HASH,取结果的开始8字节。

c)client 将b产生的8 字节质询加密用windows nt hash 函数生成的本地口令HASH值（16字节），产生24字节的响应（MD4算法）；

d)client 将24字节的响应，结果封装在EAP-Response/EAP MS CHAP V2 Response报文中发送给AP. (CODE=2:Response)

8）Ap把报文封装成Radius报文,送给Radius.

9）Radius server收到后:

a)使用跟Client相同的方法进行用户口令的哈希值加密响应值，如果结果与质询值相同，则客户端认证通过

b)Radius server 使用16字节的端认证质询和client 的哈希过的口令，一起创建一个20字节的认证者响应,封住成Radius报文发送给Ap.

10）AP把Radius报文中的EAP域提取，封装成EAP-request/EAP-CHAP V2 Success报文发送给Client.(CODE=3:Success)

11）Client收到后，使用与服务器相同的方法计算一个认证者响应，如果与收到的响应一致，则server 通过认证,发送一个认证成功报文，封装成Eap―response/EAP Ms chap v2 ACK报文给Ap.

12）Ap把报文封装成Radius报文,送给Radius.

13）服务器和客户端均认证成功，Radius server会发送Access－Accept报文给AP，报文中包含了认证服务器所提供的MPPE属性。

14）AP收到RADIUS-Access-Accept报文，会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP－success报文给客户端。

3.2关键技术问题

1）证书问题

PEAP认证需要AAA服务器配置认证证书。需评估不同服务器证书与各类终端的兼容性。如果服务器证书与终端预置证书验证不匹配，PEAP认证可能失败。

2）SSID设置

需设置新的SSID(CMCC-AUTO)，支持存量终端使用PEAP认证方式。PEAP认证与SIM认证使用相同SSID。

3）密码设置

PEAP认证使用的用户名/密码与Portal认证的用户名/密码应保持一致

4.结束语

今后WLAN技术将成为有线网络的有效补充方案深入人们的生活当中，当然安全可靠而且方便的网络使用需求也必然带动无感知认证技术的进一步发展。

参考文献：

[1] IETFDraft,PEAPAuthentication,draft-josefsson-pppext-eap-tls-eap-10.txt, 2004.

[2] ZTE WLAN教程

[3] IETF RFC 3748, "Extensible Authentication Protocol (EAP)".

作者简介：

刘桂成 重庆海事局信息中心，研究方向：通信网络 ，重庆海事局长江泸州通信管理处。