PEAP与EAP-SIM认证分析

1、1PEAP与EAP-SIM认证分析2目录n PEAP的来源和原理的来源和原理n PEAP/SIM存量手机占比比较存量手机占比比较n PEAP/SIM网络改造要求比较网络改造要求比较n PEAP/SIM手机配置比较手机配置比较n PEAP认证的问题认证的问题n PEAP/SIM/无感知客户端的比较无感知客户端的比较n 业界对业界对EAP认证技术的定位认证技术的定位n 总结总结3EAP协议架构及常用方法802.11EAPLEAPLEAP802.1XPSKPSKPEAPPEAPTLSTLSTTLSTTLSSIM/AKASIM/AKA常用的常用的EAPEAP认证方法认证方法u EAP是一个通用认证协议

2、框架，可以支持多种认证方法是一个通用认证协议框架，可以支持多种认证方法u 在在EAP框架之上，很容易增加新的鉴权方法而不需要修改框架，现在大约有框架之上，很容易增加新的鉴权方法而不需要修改框架，现在大约有40种不同的方法，种不同的方法，接受比较广泛的有接受比较广泛的有7-8种种基于SIM卡认证基于证书+用户名/密码基于证书认证基于用户名/密码FASTFASTPEAP是由Microsoft、Cisco和RSA Security共同开发，在EAP框架中基于证书+用户名密码实现用户WLAN接入鉴权。4PEAP协议流程、用户体验及网络改造阶段1：基于证书认证网络侧身份，建立TLS隧道阶段2：基于用户名

3、/密码认证用户身份n用户体验n第一次使用需要配置用户名/密码，后续用户无需介入n机卡分离后，用户需在新终端上重新配置用户名/密码n需基于证书认证网络，存在证书兼容问题，影响用户体验n网络改造nAC：需支持PEAP协议，目前现网通过入网测试的AC均支持nAP：支持加密，目前现网通过入网测试的AP均支持nRadius：u 需支持配置证书u 支持TLS隧道及PEAP认证5四省存量手机各型号总数四省存量手机各型号总数10000以以上统计情况上统计情况四省存量手机各型号总数四省存量手机各型号总数50000以以上统计情况上统计情况n四省存量手机各型号用户总数10000以上占：92.78%，其中：n支持EA

4、P-SIM手机占：71.34%n支持PEAP手机占：75.23%n四省存量手机各型号用户总数50000以上占：75.50%，其中：n支持EAP-SIM手机占：80.67%n支持PEAP手机占：87.57%存量手机支持PEAP/EAP-SIM情况统计标准：SIM终端：iPhone iOS3以上、Symbian S60以上、BB 5.0以上PEAP终端： iPhone iOS2以上、Symbian S60以上、BB 5.0以上、Android2.0以上，WM5.0以上6PEAP/EAP-SIM网络改造要求AP支持802.11iAC支持802.1x可配置开启/取消15分钟下线机制支持用户累计流量小于

5、一定阈值时，该用户下线并停止计费（可选功能）支持向终端定期发送Keep-Alive心跳消息实现保活，心跳消息采用EAP-Request及EAP-Response标准消息 支持精确流量计费（仅PEAP）当使用绑定域名的证书时，AC支持通过域名方式访问AAA服务器HLR存储EAP-SIM认证签约，无需改造HLR采用MAP-Restore-Data下发签约，爱立信HLR需改造支持 PEAP和EAP-SIM认证都需要改造AC设备，改造量相当，都需要增加对应的AAA设备 EAP-SIM对HLR有改造要求，对信令网增加一定负荷一、PEAP和EAP-SIM认证的AC/AP改造要求：二、EAP-SIM认证的H

6、LR改造要求：7PEAP/EAP-SIM手机配置情况 iPhone的两种认证配置都比较简单，PEAP需输入用户名/密码、EAP-SIM需下载配置文件 BlackBerry的EAP-SIM认证配置比较简单，PEAP配置条目较多 Symbian的两种认证配置都较繁琐，PEAP认证更复杂，Android的PEAP配置条目较多终端终端iPhoneBlackBerryAndroid手机手机Symbian手机手机WM验证的操作系统iOS3以上OS 5.0/6.0Android2.1， 2.2，2.3S60 v3/v5EAP-SIM支持情况iOS 3.0以上版本可从任意网站下载EAP-SIM配置文件并安装，

7、但iPhone一代硬件升级iOS 3.0后无法支持支持不支持支持不支持EAP-SIM配置复杂度较简单，没有配置条目需要先用其他连接（Potal、GPRS等）从网页下载配置文件，然后点击“安装”较简单，只有一个配置条目，用户必须知悉自己要使用“EAP-SIM”或“EAP-AKA”比较复杂不但配置界面结构复杂、配置条目繁多 ，还要从多种EAP认证方式中选择“EAP-SIM”或“EAP-AKA”PEAP支持情况支持支持支持支持支持PEAP配置复杂度非常简单 ，只有用户名/密码两个配置条目有点复杂，用户需知悉自己要使用“PEAP”，然后有用户名/密码、加密方式、是否进行服务器证书认证四个配置条目，还有

8、其他配置条目的干扰有点复杂，有用户名/密码、加密方式、匿名ID、证书等配置条目，还有其他配置条目的干扰相当复杂，与EAP-SIM配置类似，多了输入用户名/密码步骤，且密码输入页面不易发现较简单流程较清晰，仍有其他配置条目干扰8PEAP认证机制服务器证书测试部分终端默认配置为不验证Radius证书名称，也不验证证书的颁发机构，如OMS(v2.0)、Android(v2.2, 2.3) ，如需验证，需用户手工选择证书。部分终端不验证Radius证书名称，但验证证书的颁发机构，如BlackBerry(v5.0) 、 Windows Mobile(v6.5)；nBlackBerry：若未预置根证书，需

9、要手工安装或需要“禁用服务器证书验证”才可访问nWindowsMobile：若未预置根证书，提示“服务器验证错误”，登录失败；需要用户将根证书安装至终端。但安徽公司称VeriSign根证书已在WM终端可信列表预置，仍需用户再次安装。iPhone(v3.1.3 , 4.1, 4.3)验证Radius证书的颁发机构，弹出“尚未验证”提示，点击接受可成功登陆。结论：终端对PEAP Radius证书处理机制具有较大差异如果终端不验证Radius证书，那么不能达到使用证书所预期的安全效果；如果终端验证Radius证书的颁发机构，那么需要向支持终端较广的CA机构申请证书，否则需要用户自己向终端导入根证书。

10、iPhone将弹出证书提示，存在与Portal类似的问题。存在的问题注：经过与苹果公司初步沟通，苹果认为：Portal证书问题是由于采用IP地址的原因，若采用域名方式即可解决，但尚未经过测试认证。9PEAP认证用户标识问题PEAP（Protected Extensible Authentication Protocol）的第一个P指“受保护的可扩展的身份验证协议 ”，意指特别保护用户的认证信息。但终端的不支持却使得PEAP的这种安全保障难以执行。iPhone不支持填写匿名,终端会直接使用用户真实身份与AAA服务器协商建立TLS隧道。用户真实身份被暴露。BlackBerry情况相同。Androi

11、d虽然提供了填写匿名的条目，但当用户不填写匿名条目时，终端也会直接使用用户真实身份与AAA服务器协商建立TLS隧道。用户真实身份被暴露。PEAP 要求终端使用匿名与AAA服务器协商建TLS隧道，之后才在TLS隧道中传输自己的真实接入认证信息。但多款终端不支持上述做法，直接使用用户的真实身份与AAA协商建立TLS隧道，暴露了用户的真实身份。10机卡分离后，用户需要在新终端上再此设置接入认证信息，感受不便利旧手机中遗留了PEAP接入认证信息，如被他人使用，存在计费风险解决方案：网络绑定MAC地址与手机号码（类似CS域绑定IMEI与手机号）其他问题用户修改Portal认证密码后，用户手机PEAP认证

12、密码需重新设置，对用户体验有影响解决方案：短信提醒机卡分离密码同步11业界对EAP认证技术的定位n GSMA TSG（Terminal Steering Group）WIFI项目n 2011年成立，主要工作是定义移动终端的WIFI功能要求。其成立背景是针对目前终端支持WIFI能力不一致，运营商无法提供统一的WLAN分流服务等问题。n 项目会涉及易用性、认证、连接管理和性能等层面，其成果会作为OMA、WPA、WFA和3GPP等组织工作的输入。n 认证部分，EAP-SIM/AKA为必选功能，EAP-TLS/TTLS为推荐功能n WPA Hotspot2.0n 2010年发起，目标是实现类似蜂窝网的

13、网络广播，网络自动发现和选择，需要网络和终端具备支持能力。Hotspot2.0不涉及新的认证技术，而是旨在整合IEEE 802.11u、802.11i、802.1X等。今年年底发布第一版白皮书。n 认证部分，推荐EAP-SIM/AKA、EAP-TLS/TTLS12总结及建议（1/2）n 通过四省数据调研，存量1万以上的终端，支持PEAP的终端占比比EAP-SIM的终端占比多3.89%，数量没有显著差异n Android2.0以上终端和WM终端支持PEAP，不支持SIM认证n 整体来看，PEAP认证的用户使用门槛高于SIM认证n 存在证书兼容性问题，部分终端（WM）需要手工安装证书才能使用PEA

14、P认证n 部分终端配置复杂（BB、Android、Symbian）n 存在机卡分离等问题n 从认证技术发展和标准组织推荐来看，SIM认证是业界公认的WLAN认证目标方案n 建议：终端优选使用SIM认证，对于不支持SIM认证的终端，采用PEAP认证或客户端作为补充13总结及建议（2/2）n四省存量超过1万的终端SIM/PEAP支持情况分析n91%的iPhone支持EAP-SIM，剩余9%的iPhone 1代如升级至iOS2.0以上，支持PEAP，预计iPhone 1代存活周期有限。n所有Symbian终端（注：Nokia S40不属于Symbian终端）和所有Blackberry终端支持EAP-

15、SIMn38%Android终端支持PEAP和TTLS，剩余72%的Android终端如升级到2.0以上版本也可支持PEAPn所有Windows Mobile/CE终端支持PEAP，但需安装证书（未充分测试验证）。n建议：为便于推广，建议此次试点一种主流终端类型只提供一种自动认证方式niPhone、Symbian、BB终端，试点建议采用SIM认证方式nAndroid和WM终端，试点建议采用PEAP认证方式四省存量超过四省存量超过10000以上终端类型统计以上终端类型统计10000以上支持SIM+PEAP不支持SIM，支持PEAP均不支持iPhone90.85%9.15%0.00%Symbian

16、100%0.00%0.00%BB100%0.00%0.00%Android0.00%37.50%62.50%WM/WCE0.00%100%0.00%四省存量超过四省存量超过10000以上终端以上终端SIM/PEAP支持情况支持情况14各终端各终端EAP-SIM、PEAP配置配置15正版正版IPhone4从非从非AppleStore下载下载EAP-SIM配置文件、安装并认证配置文件、安装并认证注：经调研，注：经调研，iOS 3.0以上操作系统支持配置文件下载并安装，但以上操作系统支持配置文件下载并安装，但iPhone一代硬一代硬件升级件升级iOS 3.0后不能支持后不能支持16BlackBerryOS5.0/6.0手机手机EAP-SIM认证配置认证配置17BlackBerryOS5.0/6.0手机手机EAP-AKA认证配置认证配置18Symbian60v3/v5手机手机EAP-SIM认证配置认证配置1（E71）2345619iPhone1（软件升级）手机（软件升级）手机PEAP认证配置认证配置20iPhone2手机手机PEAP认证配置认证配置21iPhone3手机手机PEAP认证配