PEAP与EAP-SIM认证分析v0.8.ppt

1、PEAP与EAP-SIM认证分析,目录,PEAP的来源和原理 PEAP/SIM存量手机占比比较 PEAP/SIM网络改造要求比较 PEAP/SIM手机配置比较 PEAP认证的问题 PEAP/SIM/无感知客户端的比较 业界对EAP认证技术的定位 总结,EAP协议架构及常用方法,802.11,EAP,LEAP,802.1X,PSK,PEAP,TLS,TTLS,SIM/AKA,常用的EAP认证方法,EAP是一个通用认证协议框架，可以支持多种认证方法 在EAP框架之上，很容易增加新的鉴权方法而不需要修改框架，现在大约有40种不同的方法，接受比较广泛的有7-8种,基于SIM卡认证,基于证书+用户名/密

2、码,基于证书认证,基于用户名/密码,FAST,PEAP是由Microsoft、Cisco和RSA Security共同开发，在EAP框架中基于证书+用 户名密码实现用户WLAN接入鉴权。,PEAP协议流程、用户体验及网络改造,阶段1：基于证书认证网络侧身份，建立TLS隧道,阶段2：基于用户名/密码认证用户身份,用户体验 第一次使用需要配置用户名/密码，后续用户无需介入 机卡分离后，用户需在新终端上重新配置用户名/密码 需基于证书认证网络，存在证书兼容问题，影响用户体验 网络改造 AC：需支持PEAP协议，目前现网通过入网测试的AC均支持 AP：支持加密，目前现网通过入网测试的AP均支持 Rad

3、ius： 需支持配置证书 支持TLS隧道及PEAP认证,四省存量手机各型号总数10000以上统计情况,四省存量手机各型号总数50000以上统计情况,四省存量手机各型号用户总数10000以上占：92.78%，其中： 支持EAP-SIM手机占：71.34% 支持PEAP手机占：75.23%,四省存量手机各型号用户总数50000以上占：75.50%，其中： 支持EAP-SIM手机占：80.67% 支持PEAP手机占：87.57%,存量手机支持PEAP/EAP-SIM情况,统计标准： SIM终端：iPhone iOS3以上、Symbian S60以上、BB 5.0以上 PEAP终端： iPhone i

4、OS2以上、Symbian S60以上、BB 5.0以上、Android2.0以上，WM5.0以上,PEAP/EAP-SIM网络改造要求,AP支持802.11i AC支持802.1x 可配置开启/取消15分钟下线机制 支持用户累计流量小于一定阈值时，该用户下线并停止计费 （可选功能）支持向终端定期发送Keep-Alive心跳消息实现保活，心跳消息采用EAP-Request及EAP-Response标准消息 支持精确流量计费 （仅PEAP）当使用绑定域名的证书时，AC支持通过域名方式访问AAA服务器,HLR存储EAP-SIM认证签约，无需改造 HLR采用MAP-Restore-Data下发签约，

5、爱立信HLR需改造支持,PEAP和EAP-SIM认证都需要改造AC设备，改造量相当，都需要增加对应的AAA设备 EAP-SIM对HLR有改造要求，对信令网增加一定负荷,一、PEAP和EAP-SIM认证的AC/AP改造要求：,二、EAP-SIM认证的HLR改造要求：,PEAP/EAP-SIM手机配置情况,iPhone的两种认证配置都比较简单，PEAP需输入用户名/密码、EAP-SIM需下载配置文件 BlackBerry的EAP-SIM认证配置比较简单，PEAP配置条目较多 Symbian的两种认证配置都较繁琐，PEAP认证更复杂，Android的PEAP配置条目较多,PEAP认证机制服务器证书测

6、试,部分终端默认配置为不验证Radius证书名称，也不验证证书的颁发机构，如OMS(v2.0)、Android(v2.2, 2.3) ，如需验证，需用户手工选择证书。 部分终端不验证Radius证书名称，但验证证书的颁发机构，如BlackBerry(v5.0) 、 Windows Mobile(v6.5)； BlackBerry：若未预置根证书，需要手工安装或需要“禁用服务器证书验证”才可访问 WindowsMobile：若未预置根证书，提示“服务器验证错误”，登录失败；需要用户将根证书安装至终端。但安徽公司称VeriSign根证书已在WM终端可信列表预置，仍需用户再次安装。 iPhone(v

7、3.1.3 , 4.1, 4.3)验证Radius证书的颁发机构，弹出“尚未验证”提示，点击接受可成功登陆。,结论：终端对PEAP Radius证书处理机制具有较大差异,如果终端不验证Radius证书，那么不能达到使用证书所预期的安全效果； 如果终端验证Radius证书的颁发机构，那么需要向支持终端较广的CA机构申请证书，否则需要用户自己向终端导入根证书。 iPhone将弹出证书提示，存在与Portal类似的问题。,存在的问题,注：经过与苹果公司初步沟通，苹果认为：Portal证书问题是由于采用IP地址的原因，若采用域名方式即可解决，但尚未经过测试认证。,PEAP认证用户标识问题,PEAP（P

8、rotected Extensible Authentication Protocol）的第一个P指“受保护的 可扩展的身份验证协议 ”，意指特别保护用户的认证信息。但终端的不支持却使得 PEAP的这种安全保障难以执行。,iPhone不支持填写匿名,终端会直接使用用户真实身份与AAA服务器协商建立TLS隧道。用户真实身份被暴露。BlackBerry情况相同。 Android虽然提供了填写匿名的条目，但当用户不填写匿名条目时，终端也会直接使用用户真实身份与AAA服务器协商建立TLS隧道。用户真实身份被暴露。,PEAP 要求终端使用匿名与AAA服务器协商建TLS隧 道，之后才在TLS隧道中传输自己

9、的真实接入认证信 息。但多款终端不支持上述做法，直接使用用户的真 实身份与AAA协商建立TLS隧道，暴露了用户的真实 身份。,机卡分离后，用户需要在新终端上再此设置接入认证信息，感受不便利 旧手机中遗留了PEAP接入认证信息，如被他人使用，存在计费风险 解决方案：网络绑定MAC地址与手机号码（类似CS域绑定IMEI与手机号）,其他问题,用户修改Portal认证密码后，用户手机PEAP认证密码需重新设置，对用户体验有影响 解决方案：短信提醒,机卡分离,密码同步,业界对EAP认证技术的定位,GSMA TSG（Terminal Steering Group）WIFI项目 2011年成立，主要工作是定

10、义移动终端的WIFI功能要求。其成立背景是针对目前终端支持WIFI能力不一致，运营商无法提供统一的WLAN分流服务等问题。 项目会涉及易用性、认证、连接管理和性能等层面，其成果会作为OMA、WPA、WFA和3GPP等组织工作的输入。 认证部分，EAP-SIM/AKA为必选功能，EAP-TLS/TTLS为推荐功能 WPA Hotspot2.0 2010年发起，目标是实现类似蜂窝网的网络广播，网络自动发现和选择，需要网络和终端具备支持能力。Hotspot2.0不涉及新的认证技术，而是旨在整合IEEE 802.11u、802.11i、802.1X等。今年年底发布第一版白皮书。 认证部分，推荐EAP-

11、SIM/AKA、EAP-TLS/TTLS,总结及建议（1/2）,通过四省数据调研，存量1万以上的终端，支持PEAP的终端占比比EAP-SIM的终端占比多3.89%，数量没有显著差异 Android2.0以上终端和WM终端支持PEAP，不支持SIM认证 整体来看，PEAP认证的用户使用门槛高于SIM认证 存在证书兼容性问题，部分终端（WM）需要手工安装证书才能使用PEAP认证 部分终端配置复杂（BB、Android、Symbian） 存在机卡分离等问题 从认证技术发展和标准组织推荐来看，SIM认证是业界公认的WLAN认证目标方案 建议：终端优选使用SIM认证，对于不支持SIM认证的终端，采用PE

12、AP认证或客户端作为补充,总结及建议（2/2）,四省存量超过1万的终端SIM/PEAP支持情况分析 91%的iPhone支持EAP-SIM，剩余9%的iPhone 1代如升级至iOS2.0以上，支持PEAP，预计iPhone 1代存活周期有限。 所有Symbian终端（注：Nokia S40不属于Symbian终端）和所有Blackberry终端支持EAP-SIM 38%Android终端支持PEAP和TTLS，剩余72%的Android终端如升级到2.0以上版本也可支持PEAP 所有Windows Mobile/CE终端支持PEAP，但需安装证书（未充分测试验证）。 建议：为便于推广，建议此

13、次试点一种主流终端类型只提供一种自动认证方式 iPhone、Symbian、BB终端，试点建议采用SIM认证方式 Android和WM终端，试点建议采用PEAP认证方式,四省存量超过10000以上终端类型统计,四省存量超过10000以上终端SIM/PEAP支持情况,谢谢各位领导和同事！,各终端EAP-SIM、PEAP配置,正版IPhone4从非AppleStore下载EAP-SIM配置文件、安装并认证,注：经调研，iOS 3.0以上操作系统支持配置文件下载并安装，但iPhone一代硬件升级iOS 3.0后不能支持,BlackBerryOS5.0/6.0手机EAP-SIM认证配置,BlackBerryOS5.0/6.0手机EAP-AKA认证配置,Symbian60v3/v5手机EAP-SIM认证配置,1（E71）,2,3,4,5,6,iPhone1（软件升级）手机PEAP