PEAP與EAP-SIM認(rèn)證分析

1、1PEAP與EAP-SIM認(rèn)證分析2目錄n PEAP的來源和原理的來源和原理n PEAP/SIM存量手機(jī)占比比較存量手機(jī)占比比較n PEAP/SIM網(wǎng)絡(luò)改造要求比較網(wǎng)絡(luò)改造要求比較n PEAP/SIM手機(jī)配置比較手機(jī)配置比較n PEAP認(rèn)證的問題認(rèn)證的問題n PEAP/SIM/無感知客戶端的比較無感知客戶端的比較n 業(yè)界對(duì)業(yè)界對(duì)EAP認(rèn)證技術(shù)的定位認(rèn)證技術(shù)的定位n 總結(jié)總結(jié)3EAP協(xié)議架構(gòu)及常用方法802.11EAPLEAPLEAP802.1XPSKPSKPEAPPEAPTLSTLSTTLSTTLSSIM/AKASIM/AKA常用的常用的EAPEAP認(rèn)證方法認(rèn)證方法u EAP是一個(gè)通用認(rèn)證協(xié)議

2、框架，可以支持多種認(rèn)證方法是一個(gè)通用認(rèn)證協(xié)議框架，可以支持多種認(rèn)證方法u 在在EAP框架之上，很容易增加新的鑒權(quán)方法而不需要修改框架，現(xiàn)在大約有框架之上，很容易增加新的鑒權(quán)方法而不需要修改框架，現(xiàn)在大約有40種不同的方法，種不同的方法，接受比較廣泛的有接受比較廣泛的有7-8種種基于SIM卡認(rèn)證基于證書+用戶名/密碼基于證書認(rèn)證基于用戶名/密碼FASTFASTPEAP是由Microsoft、Cisco和RSA Security共同開發(fā)，在EAP框架中基于證書+用戶名密碼實(shí)現(xiàn)用戶WLAN接入鑒權(quán)。4PEAP協(xié)議流程、用戶體驗(yàn)及網(wǎng)絡(luò)改造階段1：基于證書認(rèn)證網(wǎng)絡(luò)側(cè)身份，建立TLS隧道階段2：基于用戶名

3、/密碼認(rèn)證用戶身份n用戶體驗(yàn)n第一次使用需要配置用戶名/密碼，后續(xù)用戶無需介入n機(jī)卡分離后，用戶需在新終端上重新配置用戶名/密碼n需基于證書認(rèn)證網(wǎng)絡(luò)，存在證書兼容問題，影響用戶體驗(yàn)n網(wǎng)絡(luò)改造nAC：需支持PEAP協(xié)議，目前現(xiàn)網(wǎng)通過入網(wǎng)測試的AC均支持nAP：支持加密，目前現(xiàn)網(wǎng)通過入網(wǎng)測試的AP均支持nRadius：u 需支持配置證書u 支持TLS隧道及PEAP認(rèn)證5四省存量手機(jī)各型號(hào)總數(shù)四省存量手機(jī)各型號(hào)總數(shù)10000以以上統(tǒng)計(jì)情況上統(tǒng)計(jì)情況四省存量手機(jī)各型號(hào)總數(shù)四省存量手機(jī)各型號(hào)總數(shù)50000以以上統(tǒng)計(jì)情況上統(tǒng)計(jì)情況n四省存量手機(jī)各型號(hào)用戶總數(shù)10000以上占：92.78%，其中：n支持EA

4、P-SIM手機(jī)占：71.34%n支持PEAP手機(jī)占：75.23%n四省存量手機(jī)各型號(hào)用戶總數(shù)50000以上占：75.50%，其中：n支持EAP-SIM手機(jī)占：80.67%n支持PEAP手機(jī)占：87.57%存量手機(jī)支持PEAP/EAP-SIM情況統(tǒng)計(jì)標(biāo)準(zhǔn)：SIM終端：iPhone iOS3以上、Symbian S60以上、BB 5.0以上PEAP終端： iPhone iOS2以上、Symbian S60以上、BB 5.0以上、Android2.0以上，WM5.0以上6PEAP/EAP-SIM網(wǎng)絡(luò)改造要求AP支持802.11iAC支持802.1x可配置開啟/取消15分鐘下線機(jī)制支持用戶累計(jì)流量小于

5、一定閾值時(shí)，該用戶下線并停止計(jì)費(fèi)（可選功能）支持向終端定期發(fā)送Keep-Alive心跳消息實(shí)現(xiàn)?；睿奶⒉捎肊AP-Request及EAP-Response標(biāo)準(zhǔn)消息 支持精確流量計(jì)費(fèi)（僅PEAP）當(dāng)使用綁定域名的證書時(shí)，AC支持通過域名方式訪問AAA服務(wù)器HLR存儲(chǔ)EAP-SIM認(rèn)證簽約，無需改造HLR采用MAP-Restore-Data下發(fā)簽約，愛立信HLR需改造支持 PEAP和EAP-SIM認(rèn)證都需要改造AC設(shè)備，改造量相當(dāng)，都需要增加對(duì)應(yīng)的AAA設(shè)備 EAP-SIM對(duì)HLR有改造要求，對(duì)信令網(wǎng)增加一定負(fù)荷一、PEAP和EAP-SIM認(rèn)證的AC/AP改造要求：二、EAP-SIM認(rèn)證的H

6、LR改造要求：7PEAP/EAP-SIM手機(jī)配置情況 iPhone的兩種認(rèn)證配置都比較簡單，PEAP需輸入用戶名/密碼、EAP-SIM需下載配置文件 BlackBerry的EAP-SIM認(rèn)證配置比較簡單，PEAP配置條目較多 Symbian的兩種認(rèn)證配置都較繁瑣，PEAP認(rèn)證更復(fù)雜，Android的PEAP配置條目較多終端終端iPhoneBlackBerryAndroid手機(jī)手機(jī)Symbian手機(jī)手機(jī)WM驗(yàn)證的操作系統(tǒng)iOS3以上OS 5.0/6.0Android2.1， 2.2，2.3S60 v3/v5EAP-SIM支持情況iOS 3.0以上版本可從任意網(wǎng)站下載EAP-SIM配置文件并安裝，

7、但iPhone一代硬件升級(jí)iOS 3.0后無法支持支持不支持支持不支持EAP-SIM配置復(fù)雜度較簡單，沒有配置條目需要先用其他連接（Potal、GPRS等）從網(wǎng)頁下載配置文件，然后點(diǎn)擊“安裝”較簡單，只有一個(gè)配置條目，用戶必須知悉自己要使用“EAP-SIM”或“EAP-AKA”比較復(fù)雜不但配置界面結(jié)構(gòu)復(fù)雜、配置條目繁多 ，還要從多種EAP認(rèn)證方式中選擇“EAP-SIM”或“EAP-AKA”PEAP支持情況支持支持支持支持支持PEAP配置復(fù)雜度非常簡單 ，只有用戶名/密碼兩個(gè)配置條目有點(diǎn)復(fù)雜，用戶需知悉自己要使用“PEAP”，然后有用戶名/密碼、加密方式、是否進(jìn)行服務(wù)器證書認(rèn)證四個(gè)配置條目，還有

8、其他配置條目的干擾有點(diǎn)復(fù)雜，有用戶名/密碼、加密方式、匿名ID、證書等配置條目，還有其他配置條目的干擾相當(dāng)復(fù)雜，與EAP-SIM配置類似，多了輸入用戶名/密碼步驟，且密碼輸入頁面不易發(fā)現(xiàn)較簡單流程較清晰，仍有其他配置條目干擾8PEAP認(rèn)證機(jī)制服務(wù)器證書測試部分終端默認(rèn)配置為不驗(yàn)證Radius證書名稱，也不驗(yàn)證證書的頒發(fā)機(jī)構(gòu)，如OMS(v2.0)、Android(v2.2, 2.3) ，如需驗(yàn)證，需用戶手工選擇證書。部分終端不驗(yàn)證Radius證書名稱，但驗(yàn)證證書的頒發(fā)機(jī)構(gòu)，如BlackBerry(v5.0) 、 Windows Mobile(v6.5)；nBlackBerry：若未預(yù)置根證書，需

9、要手工安裝或需要“禁用服務(wù)器證書驗(yàn)證”才可訪問nWindowsMobile：若未預(yù)置根證書，提示“服務(wù)器驗(yàn)證錯(cuò)誤”，登錄失??；需要用戶將根證書安裝至終端。但安徽公司稱VeriSign根證書已在WM終端可信列表預(yù)置，仍需用戶再次安裝。iPhone(v3.1.3 , 4.1, 4.3)驗(yàn)證Radius證書的頒發(fā)機(jī)構(gòu)，彈出“尚未驗(yàn)證”提示，點(diǎn)擊接受可成功登陸。結(jié)論：終端對(duì)PEAP Radius證書處理機(jī)制具有較大差異如果終端不驗(yàn)證Radius證書，那么不能達(dá)到使用證書所預(yù)期的安全效果；如果終端驗(yàn)證Radius證書的頒發(fā)機(jī)構(gòu)，那么需要向支持終端較廣的CA機(jī)構(gòu)申請(qǐng)證書，否則需要用戶自己向終端導(dǎo)入根證書。

10、iPhone將彈出證書提示，存在與Portal類似的問題。存在的問題注：經(jīng)過與蘋果公司初步溝通，蘋果認(rèn)為：Portal證書問題是由于采用IP地址的原因，若采用域名方式即可解決，但尚未經(jīng)過測試認(rèn)證。9PEAP認(rèn)證用戶標(biāo)識(shí)問題PEAP（Protected Extensible Authentication Protocol）的第一個(gè)P指“受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議 ”，意指特別保護(hù)用戶的認(rèn)證信息。但終端的不支持卻使得PEAP的這種安全保障難以執(zhí)行。iPhone不支持填寫匿名,終端會(huì)直接使用用戶真實(shí)身份與AAA服務(wù)器協(xié)商建立TLS隧道。用戶真實(shí)身份被暴露。BlackBerry情況相同。Androi

11、d雖然提供了填寫匿名的條目，但當(dāng)用戶不填寫匿名條目時(shí)，終端也會(huì)直接使用用戶真實(shí)身份與AAA服務(wù)器協(xié)商建立TLS隧道。用戶真實(shí)身份被暴露。PEAP 要求終端使用匿名與AAA服務(wù)器協(xié)商建TLS隧道，之后才在TLS隧道中傳輸自己的真實(shí)接入認(rèn)證信息。但多款終端不支持上述做法，直接使用用戶的真實(shí)身份與AAA協(xié)商建立TLS隧道，暴露了用戶的真實(shí)身份。10機(jī)卡分離后，用戶需要在新終端上再此設(shè)置接入認(rèn)證信息，感受不便利舊手機(jī)中遺留了PEAP接入認(rèn)證信息，如被他人使用，存在計(jì)費(fèi)風(fēng)險(xiǎn)解決方案：網(wǎng)絡(luò)綁定MAC地址與手機(jī)號(hào)碼（類似CS域綁定IMEI與手機(jī)號(hào)）其他問題用戶修改Portal認(rèn)證密碼后，用戶手機(jī)PEAP認(rèn)證

12、密碼需重新設(shè)置，對(duì)用戶體驗(yàn)有影響解決方案：短信提醒機(jī)卡分離密碼同步11業(yè)界對(duì)EAP認(rèn)證技術(shù)的定位n GSMA TSG（Terminal Steering Group）WIFI項(xiàng)目n 2011年成立，主要工作是定義移動(dòng)終端的WIFI功能要求。其成立背景是針對(duì)目前終端支持WIFI能力不一致，運(yùn)營商無法提供統(tǒng)一的WLAN分流服務(wù)等問題。n 項(xiàng)目會(huì)涉及易用性、認(rèn)證、連接管理和性能等層面，其成果會(huì)作為OMA、WPA、WFA和3GPP等組織工作的輸入。n 認(rèn)證部分，EAP-SIM/AKA為必選功能，EAP-TLS/TTLS為推薦功能n WPA Hotspot2.0n 2010年發(fā)起，目標(biāo)是實(shí)現(xiàn)類似蜂窩網(wǎng)的

13、網(wǎng)絡(luò)廣播，網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)和選擇，需要網(wǎng)絡(luò)和終端具備支持能力。Hotspot2.0不涉及新的認(rèn)證技術(shù)，而是旨在整合IEEE 802.11u、802.11i、802.1X等。今年年底發(fā)布第一版白皮書。n 認(rèn)證部分，推薦EAP-SIM/AKA、EAP-TLS/TTLS12總結(jié)及建議（1/2）n 通過四省數(shù)據(jù)調(diào)研，存量1萬以上的終端，支持PEAP的終端占比比EAP-SIM的終端占比多3.89%，數(shù)量沒有顯著差異n Android2.0以上終端和WM終端支持PEAP，不支持SIM認(rèn)證n 整體來看，PEAP認(rèn)證的用戶使用門檻高于SIM認(rèn)證n 存在證書兼容性問題，部分終端（WM）需要手工安裝證書才能使用PEA

14、P認(rèn)證n 部分終端配置復(fù)雜（BB、Android、Symbian）n 存在機(jī)卡分離等問題n 從認(rèn)證技術(shù)發(fā)展和標(biāo)準(zhǔn)組織推薦來看，SIM認(rèn)證是業(yè)界公認(rèn)的WLAN認(rèn)證目標(biāo)方案n 建議：終端優(yōu)選使用SIM認(rèn)證，對(duì)于不支持SIM認(rèn)證的終端，采用PEAP認(rèn)證或客戶端作為補(bǔ)充13總結(jié)及建議（2/2）n四省存量超過1萬的終端SIM/PEAP支持情況分析n91%的iPhone支持EAP-SIM，剩余9%的iPhone 1代如升級(jí)至iOS2.0以上，支持PEAP，預(yù)計(jì)iPhone 1代存活周期有限。n所有Symbian終端（注：Nokia S40不屬于Symbian終端）和所有Blackberry終端支持EAP-

15、SIMn38%Android終端支持PEAP和TTLS，剩余72%的Android終端如升級(jí)到2.0以上版本也可支持PEAPn所有Windows Mobile/CE終端支持PEAP，但需安裝證書（未充分測試驗(yàn)證）。n建議：為便于推廣，建議此次試點(diǎn)一種主流終端類型只提供一種自動(dòng)認(rèn)證方式niPhone、Symbian、BB終端，試點(diǎn)建議采用SIM認(rèn)證方式nAndroid和WM終端，試點(diǎn)建議采用PEAP認(rèn)證方式四省存量超過四省存量超過10000以上終端類型統(tǒng)計(jì)以上終端類型統(tǒng)計(jì)10000以上支持SIM+PEAP不支持SIM，支持PEAP均不支持iPhone90.85%9.15%0.00%Symbian

16、100%0.00%0.00%BB100%0.00%0.00%Android0.00%37.50%62.50%WM/WCE0.00%100%0.00%四省存量超過四省存量超過10000以上終端以上終端SIM/PEAP支持情況支持情況14各終端各終端EAP-SIM、PEAP配置配置15正版正版IPhone4從非從非AppleStore下載下載EAP-SIM配置文件、安裝并認(rèn)證配置文件、安裝并認(rèn)證注：經(jīng)調(diào)研，注：經(jīng)調(diào)研，iOS 3.0以上操作系統(tǒng)支持配置文件下載并安裝，但以上操作系統(tǒng)支持配置文件下載并安裝，但iPhone一代硬一代硬件升級(jí)件升級(jí)iOS 3.0后不能支持后不能支持16BlackBerryOS5.0/6.0手機(jī)手機(jī)EAP-SIM認(rèn)證配置認(rèn)證配置17BlackBerryOS5.0/6.0手機(jī)手機(jī)EAP-AKA認(rèn)證配置認(rèn)證配置18Symbian60v3/v5手機(jī)手機(jī)EAP-SIM認(rèn)證配置認(rèn)證配置1（E71）2345619iPhone1（軟件升級(jí)）手機(jī)（軟件升級(jí)）手機(jī)PEAP認(rèn)證配置認(rèn)證配置20iPhone2手機(jī)手機(jī)PEAP認(rèn)證配置認(rèn)證配置21iPhone3手機(jī)手機(jī)PEAP認(rèn)證配