如今國(guó)內(nèi)運(yùn)營(yíng)商無(wú)線通信市場(chǎng)競(jìng)爭(zhēng)的熱點(diǎn)已逐漸從技術(shù)層面轉(zhuǎn)向了用戶(hù)體驗(yàn)上，用戶(hù)體驗(yàn)的好壞成為人們無(wú)線上網(wǎng)選擇的重要標(biāo)準(zhǔn)。然而，目前WLAN網(wǎng)絡(luò)的發(fā)展仍處于初級(jí)階段，基于Web的認(rèn)證方式仍是主流的認(rèn)證方式，但這種方式對(duì)用戶(hù)來(lái)說(shuō)并不便捷。傳統(tǒng)的Portal認(rèn)證模式，其繁瑣的認(rèn)證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶(hù)的體驗(yàn)效果，制約了WLAN用戶(hù)的發(fā)展，用戶(hù)使用網(wǎng)絡(luò)的時(shí)長(zhǎng)和用戶(hù)數(shù)量無(wú)法得到快速提升，網(wǎng)絡(luò)建設(shè)投資成本回收期延長(zhǎng)，用戶(hù)ARPU值降低。

　　如何才能快速便捷地使用WLAN網(wǎng)絡(luò)，成為改善用戶(hù)體驗(yàn)的關(guān)鍵，也是改變WLAN網(wǎng)絡(luò)“熱裝冷用”現(xiàn)象的重要一環(huán)。為改善無(wú)線認(rèn)證環(huán)節(jié)，提升用戶(hù)上網(wǎng)體驗(yàn)，WLAN網(wǎng)絡(luò)的認(rèn)證方式與流程需要簡(jiǎn)化與智能化。如何才能實(shí)現(xiàn)，目前有以下三種主要的實(shí)現(xiàn)方案。

　　一、EAP-SIM/AKA無(wú)感知認(rèn)證解決方案

　　EAP-SIM/AKA認(rèn)證是EAP認(rèn)證方法的一種實(shí)現(xiàn)方式，其通過(guò)用戶(hù)（U）SIM卡信息進(jìn)行認(rèn)證。當(dāng)用戶(hù)使用SIM卡時(shí)，執(zhí)行EAP-SIM認(rèn)證流程；當(dāng)用戶(hù)使用USIM卡時(shí)，執(zhí)行EAP-AKA認(rèn)證流程，整個(gè)認(rèn)證流程不需要用戶(hù)介入任何手工操作，完全由用戶(hù)終端自動(dòng)完成。

　　認(rèn)證流程

　　● 終端與AC之間通過(guò)EAPoL協(xié)議通信；

　　● AC和AAA服務(wù)器通過(guò)Radius協(xié)議轉(zhuǎn)發(fā)EAP消息；

　　● AAA服務(wù)器使用MAP協(xié)議從HLR/HSS獲取用戶(hù)（U）SIM卡鑒權(quán)向量，并完成認(rèn)證。

　　用戶(hù)首次使用時(shí)需進(jìn)行PEAP認(rèn)證相關(guān)配置，并輸入用戶(hù)名、密碼，后續(xù)即可實(shí)現(xiàn)免登陸上網(wǎng)。此方案同MAC認(rèn)證一樣，也無(wú)需Portal界面或用戶(hù)任何手工輸入操作的干預(yù)，認(rèn)證過(guò)程也完全交由后臺(tái)自行進(jìn)行和處理。合法用戶(hù)只要連接無(wú)線網(wǎng)絡(luò)，無(wú)需經(jīng)過(guò)繁瑣的認(rèn)證流程，即可上網(wǎng)，用戶(hù)體驗(yàn)大大提高。此方案具有如下優(yōu)點(diǎn)：

　　1. 用戶(hù)完全零操作：認(rèn)證過(guò)程完全由后臺(tái)自行處理，用戶(hù)體驗(yàn)度高；

　　2. 安全性高：用戶(hù)SIM卡信息固定且惟一；

　　3. 避免了無(wú)線環(huán)境比較差的情況下用戶(hù)頻繁掉線引起的頻繁認(rèn)證問(wèn)題。

　　二、PEAP無(wú)感知認(rèn)證解決方案

　　PEAP認(rèn)證是EAP認(rèn)證方法的另一種實(shí)現(xiàn)方式，終端與網(wǎng)絡(luò)關(guān)聯(lián)后，終端側(cè)通過(guò)服務(wù)器證書(shū)對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證，建立TLS隧道，將用戶(hù)名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)，網(wǎng)絡(luò)側(cè)通過(guò)用戶(hù)名/密碼對(duì)終端進(jìn)行認(rèn)證。

　　認(rèn)證流程

　　● 終端與AC之間通過(guò)EAPoL協(xié)議通信；

　　● AC和Raduis服務(wù)器通過(guò)Radius協(xié)議轉(zhuǎn)發(fā)EAP消息；

　　● 終端與Raduis服務(wù)器之間建立TLS隧道；

　　● 終端和Raduis服務(wù)器之間通過(guò)TLS隧道進(jìn)行EAP認(rèn)證協(xié)商，完成身份認(rèn)證；

　　用戶(hù)首次使用時(shí)需進(jìn)行PEAP認(rèn)證相關(guān)配置，并輸入用戶(hù)名、密碼，后續(xù)即可實(shí)現(xiàn)免登陸上網(wǎng)。此方案無(wú)需Portal界面，無(wú)需用戶(hù)進(jìn)行任何認(rèn)證手工輸入操作，認(rèn)證過(guò)程完全由后臺(tái)自行進(jìn)行和處理。合法用戶(hù)只要連接無(wú)線網(wǎng)絡(luò)，即可上網(wǎng)，徹底省去了繁瑣的認(rèn)證過(guò)程，極大提高了用戶(hù)體驗(yàn)。此方案具有如下優(yōu)點(diǎn)：

　　1. 用戶(hù)完全零操作：認(rèn)證過(guò)程完全由后臺(tái)自行處理，用戶(hù)體驗(yàn)度高；

　　2. 安全性高：訪問(wèn)點(diǎn)只會(huì)在終端和 RADIUS 服務(wù)器之間轉(zhuǎn)發(fā)消息；

　　3. 避免了無(wú)線環(huán)境比較差的情況下用戶(hù)頻繁掉線引起的頻繁認(rèn)證問(wèn)題。

　　PEAP認(rèn)證目前適用于各種類(lèi)型的手機(jī)智能終端，但同時(shí)也具有如下弊端：

　　1. 基于證書(shū)認(rèn)證網(wǎng)絡(luò)，AAA服務(wù)器需要預(yù)置根證書(shū)，終端證書(shū)如果與服務(wù)器證書(shū)不匹配，終端需要進(jìn)行安裝或者有錯(cuò)誤提示；

　　2. 由于PEAP認(rèn)證的用戶(hù)名/密碼保存在手機(jī)中，如果手機(jī)和用戶(hù)卡發(fā)生分離（用戶(hù)換手機(jī)或換卡），手機(jī)仍能進(jìn)行PEAP認(rèn)證，但費(fèi)用會(huì)記錄在原有卡用戶(hù)賬戶(hù)上；

　　目前中國(guó)移動(dòng)集團(tuán)就是采用了基于PEAP的認(rèn)證方案，在全國(guó)采用統(tǒng)一規(guī)劃的CMCC-Auto這一加密SSID來(lái)為用戶(hù)提供無(wú)感知認(rèn)證方式，快速提升了目前用戶(hù)的網(wǎng)絡(luò)使用率和用戶(hù)體驗(yàn)。

　　三、基于MAC的無(wú)感知認(rèn)證解決方案

　　用戶(hù)首次連接WLAN時(shí)，需要一次認(rèn)證，同時(shí)在后臺(tái)服務(wù)器上，將用戶(hù)無(wú)線網(wǎng)卡物理地址與用戶(hù)的登陸信息綁定。當(dāng)該用戶(hù)下次連接網(wǎng)絡(luò)時(shí)，無(wú)需重復(fù)繁瑣的認(rèn)證即可直接上網(wǎng)。



?

　　認(rèn)證流程

　　● DHCP獲取IP地址；

　　● 發(fā)起正常用戶(hù)認(rèn)證請(qǐng)求；

　　● AC向移動(dòng)智能終端推送認(rèn)證頁(yè)面，進(jìn)行正常認(rèn)證流程；

　　● 認(rèn)證成功后，AC向認(rèn)證服務(wù)器再次發(fā)起用戶(hù)簡(jiǎn)化認(rèn)證請(qǐng)求；

　　● AC與認(rèn)證系統(tǒng)進(jìn)行用戶(hù)信息交互；

　　● 由AC進(jìn)行用戶(hù)信息的記錄并在下次用戶(hù)上網(wǎng)時(shí)自動(dòng)幫助用戶(hù)登記；

　　● 服務(wù)器通知短信網(wǎng)關(guān)向用戶(hù)手機(jī)下發(fā)短信，通知用戶(hù)簡(jiǎn)化認(rèn)證功能啟用。

　　此方案以流量為觸發(fā)條件。用戶(hù)無(wú)線網(wǎng)卡物理地址由專(zhuān)門(mén)的綁定服務(wù)器進(jìn)行查詢(xún)和綁定，減輕了認(rèn)證服務(wù)器或后臺(tái)服務(wù)器的壓力。同時(shí)流量觸發(fā)的方式避免了關(guān)聯(lián)（即綁定）造成的服務(wù)器壓力問(wèn)題。此方案具有以下優(yōu)點(diǎn)：

　　1. 良好的兼容性：無(wú)需安裝任何形式的客戶(hù)端，無(wú)需證書(shū)校驗(yàn)；

　　2. 用戶(hù)完全零配置：綁定服務(wù)器上的用戶(hù)無(wú)線網(wǎng)卡物理地址和用戶(hù)名綁定完全自動(dòng)生成；

　　3. 安全性高：綁定結(jié)果通過(guò)短信告知用戶(hù)；

　　4. 可擴(kuò)展性好：綁定服務(wù)器除用于無(wú)線網(wǎng)卡物理地址認(rèn)證外，其功能還可根據(jù)用戶(hù)需求進(jìn)行擴(kuò)展；

　　5. 增加了流量閾值判斷過(guò)程，防止智能終端上由于定期觸發(fā)（如ARP、DHCP、DNS等）報(bào)文而頻繁觸發(fā)認(rèn)證請(qǐng)求；

　　6. 系統(tǒng)支持短信下線，豐富了用戶(hù)選擇性。

　　以上通過(guò)深入分析當(dāng)前無(wú)線上網(wǎng)認(rèn)證方式，以簡(jiǎn)化用戶(hù)認(rèn)證流程、提升用戶(hù)感知為目的，給出了三種的無(wú)感知認(rèn)證方式。這三種方案各有所長(zhǎng)，在實(shí)際應(yīng)用中，需要根據(jù)終端類(lèi)型、各省網(wǎng)絡(luò)建設(shè)情況細(xì)分客戶(hù)群，采用合適的認(rèn)證方式。相信在解決了使用便捷性這個(gè)門(mén)檻之后，運(yùn)營(yíng)商的WLAN網(wǎng)絡(luò)將會(huì)為越來(lái)越多的人們提供便利、高速的無(wú)線寬帶服務(wù)，也將為今后運(yùn)營(yíng)商流量運(yùn)營(yíng)的探索帶來(lái)更廣闊的空間。