PEAP与EAP-SIM认证分析课案.ppt

* * * PEAP与EAP-SIM认证分析 目录 PEAP的来源和原理 PEAP/SIM存量手机占比比较 PEAP/SIM网络改造要求比较 PEAP/SIM手机配置比较 PEAP认证的问题 PEAP/SIM/无感知客户端的比较 业界对EAP认证技术的定位 总结 EAP协议架构及常用方法 802.11 EAP LEAP 802.1X PSK PEAP TLS TTLS SIM/AKA 常用的EAP认证方法 EAP是一个通用认证协议框架，可以支持多种认证方法 在EAP框架之上，很容易增加新的鉴权方法而不需要修改框架，现在大约有40种不同的方法，接受比较广泛的有7-8种 基于SIM卡认证 基于证书+用户名/密码 基于证书认证 基于用户名/密码 FAST PEAP是由Microsoft、Cisco和RSA Security共同开发，在EAP框架中基于证书+用 户名密码实现用户WLAN接入鉴权。 PEAP协议流程、用户体验及网络改造 阶段1：基于证书认证网络侧身份，建立TLS隧道 阶段2：基于用户名/密码认证用户身份 用户体验 第一次使用需要配置用户名/密码，后续用户无需介入 机卡分离后，用户需在新终端上重新配置用户名/密码 需基于证书认证网络，存在证书兼容问题，影响用户体验 网络改造 AC：需支持PEAP协议，目前现网通过入网测试的AC均支持 AP：支持加密，目前现网通过入网测试的AP均支持 Radius： 需支持配置证书 支持TLS隧道及PEAP认证 四省存量手机各型号总数10000以上统计情况 四省存量手机各型号总数50000以上统计情况 四省存量手机各型号用户总数10000以上占：92.78%，其中： 支持EAP-SIM手机占：71.34% 支持PEAP手机占：75.23% 四省存量手机各型号用户总数50000以上占：75.50%，其中： 支持EAP-SIM手机占：80.67% 支持PEAP手机占：87.57% 存量手机支持PEAP/EAP-SIM情况 统计标准： SIM终端：iPhone iOS3以上、Symbian S60以上、BB 5.0以上 PEAP终端： iPhone iOS2以上、Symbian S60以上、BB 5.0以上、Android2.0以上，WM5.0以上 PEAP/EAP-SIM网络改造要求 AP支持802.11i AC支持802.1x 可配置开启/取消15分钟下线机制 支持用户累计流量小于一定阈值时，该用户下线并停止计费 （可选功能）支持向终端定期发送Keep-Alive心跳消息实现保活，心跳消息采用EAP-Request及EAP-Response标准消息 支持精确流量计费 （仅PEAP）当使用绑定域名的证书时，AC支持通过域名方式访问AAA服务器 HLR存储EAP-SIM认证签约，无需改造 HLR采用MAP-Restore-Data下发签约，爱立信HLR需改造支持 PEAP和EAP-SIM认证都需要改造AC设备，改造量相当，都需要增加对应的AAA设备 EAP-SIM对HLR有改造要求，对信令网增加一定负荷 一、PEAP和EAP-SIM认证的AC/AP改造要求： 二、EAP-SIM认证的HLR改造要求： PEAP/EAP-SIM手机配置情况 iPhone的两种认证配置都比较简单，PEAP需输入用户名/密码、EAP-SIM需下载配置文件 BlackBerry的EAP-SIM认证配置比较简单，PEAP配置条目较多 Symbian的两种认证配置都较繁琐，PEAP认证更复杂，Android的PEAP配置条目较多 终端 iPhone BlackBerry Android手机 Symbian手机 WM 验证的操作系统 iOS3以上 OS 5.0/6.0 Android2.1， 2.2，2.3 S60 v3/v5 EAP-SIM支持情况 iOS 3.0以上版本可从任意网站下载EAP-SIM配置文件并安装，但iPhone一代硬件升级iOS 3.0后无法支持 支持 不支持 支持 不支持 EAP-SIM配置复杂度 较简单，没有配置条目 需要先用其他连接（Potal、GPRS等）从网页下载配置文件，然后点击“安装” 较简单，只有一个配置条目，用户必须知悉自己要使用“EAP-SIM”或“EAP-AKA” 比较复杂 不但配置界面结构复杂、配置条目繁多 ，还要从多种EAP认证方式中选择“EAP-SIM”或“EAP-AKA” PEAP支持情况 支持 支持 支持 支持 支持 PEAP配置复杂度 非常简单 ，只有用户名/密码两个配置条目 有点复杂，用户需知悉自己要使用“PEAP”，然后有用户名/密码、加密方式、是否进行服务器证书认证四个配置条目，还有其他配置条目的干扰 有点复杂，有用户名/密码、加密方式、匿名ID、证书等配置条目，