PEAP与EAP-SIM认证分析.ppt

PEAP与EAP SIM认证分析 目录 PEAP的来源和原理PEAP SIM存量手机占比比较PEAP SIM网络改造要求比较PEAP SIM手机配置比较PEAP认证的问题PEAP SIM 无感知客户端的比较业界对EAP认证技术的定位总结 EAP协议架构及常用方法 802 11 EAP LEAP 802 1X PSK PEAP TLS TTLS SIM AKA 常用的EAP认证方法 EAP是一个通用认证协议框架 可以支持多种认证方法在EAP框架之上 很容易增加新的鉴权方法而不需要修改框架 现在大约有40种不同的方法 接受比较广泛的有7 8种 基于SIM卡认证 基于证书 用户名 密码 基于证书认证 基于用户名 密码 FAST PEAP是由Microsoft Cisco和RSASecurity共同开发 在EAP框架中基于证书 用户名密码实现用户WLAN接入鉴权 PEAP协议流程 用户体验及网络改造 阶段1 基于证书认证网络侧身份 建立TLS隧道 阶段2 基于用户名 密码认证用户身份 用户体验第一次使用需要配置用户名 密码 后续用户无需介入机卡分离后 用户需在新终端上重新配置用户名 密码需基于证书认证网络 存在证书兼容问题 影响用户体验网络改造AC 需支持PEAP协议 目前现网通过入网测试的AC均支持AP 支持加密 目前现网通过入网测试的AP均支持Radius 需支持配置证书支持TLS隧道及PEAP认证 四省存量手机各型号总数10000以上统计情况 四省存量手机各型号总数50000以上统计情况 四省存量手机各型号用户总数10000以上占 92 78 其中 支持EAP SIM手机占 71 34 支持PEAP手机占 75 23 四省存量手机各型号用户总数50000以上占 75 50 其中 支持EAP SIM手机占 80 67 支持PEAP手机占 87 57 存量手机支持PEAP EAP SIM情况 统计标准 SIM终端 iPhoneiOS3以上 SymbianS60以上 BB5 0以上PEAP终端 iPhoneiOS2以上 SymbianS60以上 BB5 0以上 Android2 0以上 WM5 0以上 PEAP EAP SIM网络改造要求 AP支持802 11iAC支持802 1x可配置开启 取消15分钟下线机制支持用户累计流量小于一定阈值时 该用户下线并停止计费 可选功能 支持向终端定期发送Keep Alive心跳消息实现保活 心跳消息采用EAP Request及EAP Response标准消息支持精确流量计费 仅PEAP 当使用绑定域名的证书时 AC支持通过域名方式访问AAA服务器 HLR存储EAP SIM认证签约 无需改造HLR采用MAP Restore Data下发签约 爱立信HLR需改造支持 PEAP和EAP SIM认证都需要改造AC设备 改造量相当 都需要增加对应的AAA设备EAP SIM对HLR有改造要求 对信令网增加一定负荷 一 PEAP和EAP SIM认证的AC AP改造要求 二 EAP SIM认证的HLR改造要求 PEAP EAP SIM手机配置情况 iPhone的两种认证配置都比较简单 PEAP需输入用户名 密码 EAP SIM需下载配置文件BlackBerry的EAP SIM认证配置比较简单 PEAP配置条目较多Symbian的两种认证配置都较繁琐 PEAP认证更复杂 Android的PEAP配置条目较多 PEAP认证机制服务器证书测试 部分终端默认配置为不验证Radius证书名称 也不验证证书的颁发机构 如OMS v2 0 Android v2 2 2 3 如需验证 需用户手工选择证书 部分终端不验证Radius证书名称 但验证证书的颁发机构 如BlackBerry v5 0 WindowsMobile v6 5 BlackBerry 若未预置根证书 需要手工安装或需要 禁用服务器证书验证 才可访问WindowsMobile 若未预置根证书 提示 服务器验证错误 登录失败 需要用户将根证书安装至终端 但安徽公司称VeriSign根证书已在WM终端可信列表预置 仍需用户再次安装 iPhone v3 1 3 4 1 4 3 验证Radius证书的颁发机构 弹出 尚未验证 提示 点击接受可成功登陆 结论 终端对PEAPRadius证书处理机制具有较大差异 如果终端不验证Radius证书 那么不能达到使用证书所预期的安全效果 如果终端验证Radius证书的颁发机构 那么需要向支持终端较广的CA机构申请证书 否则需要用户自己向终端导入根证书 iPhone将弹出证书提示 存在与Portal类似的问题 存在的问题 注 经过与苹果公司初步沟通 苹果认为 Portal证书问题是由于采用IP地址的原因 若采用域名方式即可解决 但尚未经过测试认证 PEAP认证用户标识问题 PEAP ProtectedExtensibleAuthenticationProtocol 的第一个P指 受保护的可扩展的身份验证协议 意指特别保护用户的认证信息 但终端的不支持却使得PEAP的这种安全保障难以执行 iPhone不支持填写匿名 终端会直接使用用户真实身份与AAA服务器协商建立TLS隧道 用户真实身份被暴露 BlackBerry情况相同 Android虽然提供了填写匿名的条目 但当用户不填写匿名条目时 终端也会直接使用用户真实身份与AAA服务器协商建立TLS隧道 用户真实身份被暴露 PEAP要求终端使用匿名与AAA服务器协商建TLS隧道 之后才在TLS隧道中传输自己的真实接入认证信息 但多款终端不支持上述做法 直接使用用户的真实身份与AAA协商建立TLS隧道 暴露了用户的真实身份 机卡分离后 用户需要在新终端上再此设置接入认证信息 感受不便利旧手机中遗留了PEAP接入认证信息 如被他人使用 存在计费风险解决方案 网络绑定MAC地址与手机号码 类似CS域绑定IMEI与手机号 其他问题 用户修改Portal认证密码后 用户手机PEAP认证密码需重新设置 对用户体验有影响解决方案 短信提醒 机卡分离 密码同步 业界对EAP认证技术的定位 GSMATSG TerminalSteeringGroup WIFI项目2011年成立 主要工作是定义移动终端的WIFI功能要求 其成立背景是针对目前终端支持WIFI能力不一致 运营商无法提供统一的WLAN分流服务等问题 项目会涉及易用性 认证 连接管理和性能等层面 其成果会作为OMA WPA WFA和3GPP等组织工作的输入 认证部分 EAP SIM AKA为必选功能 EAP TLS TTLS为推荐功能WPAHotspot2 02010年发起 目标是实现类似蜂窝网的网络广播 网络自动发现和选择 需要网络和终端具备支持能力 Hotspot2 0不涉及新的认证技术 而是旨在整合IEEE802 11u 802 11i 802 1X等 今年年底发布第一版白皮书 认证部分 推荐EAP SIM AKA EAP TLS TTLS 总结及建议 1 2 通过四省数据调研 存量1万以上的终端 支持PEAP的终端占比比EAP SIM的终端占比多3 89 数量没有显著差异Android2 0以上终端和WM终端支持PEAP 不支持SIM认证整体来看 PEAP认证的用户使用门槛高于SIM认证存在证书兼容性问题 部分终端 WM 需要手工安装证书才能使用PEAP认证部分终端配置复杂 BB Android Symbian 存在机卡分离等问题从认证技术发展和标准组织推荐来看 SIM认证是业界公认的WLAN认证目标方案建议 终端优选使用SIM认证 对于不支持SIM认证的终端 采用PEAP认证或客户端作为补充 总结及建议 2 2 四省存量超过1万的终端SIM PEAP支持情况分析91 的iPhone支持EAP SIM 剩余9 的iPhone1代如升级至iOS2 0以上 支持PEAP 预计iPhone1代存活周期有限 所有Symbian终端 注 NokiaS40不属于Symbian终端 和所有Blackberry终端支持EAP SIM38 Android终端支持PEAP和TTLS 剩余72 的Android终端如升级到2 0以上版本也可支持PEAP所有WindowsMobile CE终端支持PEAP 但需安装证书 未充分测试验证 建议 为便于推广 建议此次试点一种主流终端类型只提供一种自动认证方式iPhone Symbian BB终端 试点建议采用SIM认证方式Android和WM终端 试点建议采用PEAP认证方式 四省存量超过10000以上终端类型统计 四省存量超过10000以上终端SIM PEAP支持情况 各终端EAP SIM PEAP配置 正版IPhone4从非AppleStore下载EAP SIM配置文件 安装并认证 注 经调研 iOS3 0以上操作系统支持配置文件下载并安装 但iPhone一代硬件升级iOS3 0后不能支持 BlackBerryOS5 0 6 0手机EAP SIM认证配置 BlackBerryOS5 0 6 0手机EAP AKA认证配置 Symbian60v3 v5手机EAP SIM认证配置 1 E71 2 3 4 5 6 iPhone1 软件升级 手机PEAP认证