无感知认证方案技术(1)

无感知认证方案技术(1)

BYODBring Your Own Device，自带设备），即通过Wi-Fi的接入方式自带设备，提高工作效率，这已成为业界的趋势。而目前我们所了解的无感知认证，就是通过BYOD的方式无需用户介入自动接入Wi-Fi网络。无感知认证主要分为Portal、802.1x以及MAC等多种方式。以下通过技术的发展历程，介绍各种无感知认证技术。

一、Portal认证

由于手持终端的种类繁多，为了保证兼容性，最早的Wi-Fi接入采用了Portal认证，通过内置的浏览器，解决了手持终端不便于安装认证客户端软件的接入问题。然而Portal认证需要打开浏览器，在输入用户名和密码后才能接入网络，造成了效率较低。据统计，采用Portal认证的用户平均需要2分钟才能接入网络。

随着技术的发展，手持终端更加智能化了，安装客户端软件成了一件很简单的事情。客户端解决了手持终端Portal认证效率低的问题如图1所示），只要输入一次用户名和密码，下次只要点击图标即可完成认证，无需反复输入，大大提高了Portal认证的效率。

图1 H3C 基于iOS的iNode客户端

二、802.1x认证

802.1x标准的提出起源于IEEE 802.11标准--无线局域网用户接入协议标准，其最初目的是解决无线局域网用户的接入认证问题。但由于802.1x认证的原理对于所有符合IEEE 802标准的局域网具有普适性，因此在有线局域网中也得到了广泛的应用，成为有线交换机的端口网络控制协议。

802.1x协议规定在完成认证之前是不允许信息交互的，因此手持终端与AC在认证之前只能通过802.1x协议规定的EAPExtensible Authentication Protocol，可扩展认证协议）帧交换认证信息。目前大多数手持终端都支持基于802.1x的EAP认证如图2所示），输入相应的用户名密码，即可自动完成认证，这种方式称为EAP-PEAP，即Protected-EAP受保护的可扩展的身份验证协议）。已被Wi-FI联盟WPA和WPA2批准的有两个子类型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议，目前业界使用最广的是由微软提出的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP，也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。

图2 iOS和Android系统中配置EAP-PEAP

还有一种基于802.1x认证方式EAP-SIM/AKA，这种方式主要利用了运营商蜂窝用户SIM/USIM卡的信息，并完成认证。但这种方式更适合在带有在运营商网络使用而不是企业网。

目前H3C的WLAN设备对以上几种基于802.1x的认证协议都可以完善支持。