如今國內運營商無線通信市場競爭的熱點已逐漸從技術層面轉向了用戶體驗上,用戶體驗的好壞成為人們無線上網選擇的重要標準。然而,目前WLAN網絡的發展仍處于初級階段,基于Web的認證方式仍是主流的認證方式,但這種方式對用戶來說并不便捷。傳統的Portal認證模式,其繁瑣的認證流程不但降低了網絡的效率,更重要的是影響了用戶的體驗效果,制約了WLAN用戶的發展,用戶使用網絡的時長和用戶數量無法得到快速提升,網絡建設投資成本回收期延長,用戶ARPU值降低。
如何才能快速便捷地使用WLAN網絡,成為改善用戶體驗的關鍵,也是改變WLAN網絡“熱裝冷用”現象的重要一環。為改善無線認證環節,提升用戶上網體驗,WLAN網絡的認證方式與流程需要簡化與智能化。如何才能實現,目前有以下三種主要的實現方案。
一、EAP-SIM/AKA無感知認證解決方案
EAP-SIM/AKA認證是EAP認證方法的一種實現方式,其通過用戶(U)SIM卡信息進行認證。當用戶使用SIM卡時,執行EAP-SIM認證流程;當用戶使用USIM卡時,執行EAP-AKA認證流程,整個認證流程不需要用戶介入任何手工操作,完全由用戶終端自動完成。
認證流程
● 終端與AC之間通過EAPoL協議通信;
● AC和AAA服務器通過Radius協議轉發EAP消息;
● AAA服務器使用MAP協議從HLR/HSS獲取用戶(U)SIM卡鑒權向量,并完成認證。
用戶首次使用時需進行PEAP認證相關配置,并輸入用戶名、密碼,后續即可實現免登陸上網。此方案同MAC認證一樣,也無需Portal界面或用戶任何手工輸入操作的干預,認證過程也完全交由后臺自行進行和處理。合法用戶只要連接無線網絡,無需經過繁瑣的認證流程,即可上網,用戶體驗大大提高。此方案具有如下優點:
1. 用戶完全零操作:認證過程完全由后臺自行處理,用戶體驗度高;
2. 安全性高:用戶SIM卡信息固定且惟一;
3. 避免了無線環境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。
二、PEAP無感知認證解決方案
PEAP認證是EAP認證方法的另一種實現方式,終端與網絡關聯后,終端側通過服務器證書對網絡側進行認證,建立TLS隧道,將用戶名/密碼發送給網絡側,網絡側通過用戶名/密碼對終端進行認證。
認證流程
● 終端與AC之間通過EAPoL協議通信;
● AC和Raduis服務器通過Radius協議轉發EAP消息;
● 終端與Raduis服務器之間建立TLS隧道;
● 終端和Raduis服務器之間通過TLS隧道進行EAP認證協商,完成身份認證;
用戶首次使用時需進行PEAP認證相關配置,并輸入用戶名、密碼,后續即可實現免登陸上網。此方案無需Portal界面,無需用戶進行任何認證手工輸入操作,認證過程完全由后臺自行進行和處理。合法用戶只要連接無線網絡,即可上網,徹底省去了繁瑣的認證過程,極大提高了用戶體驗。此方案具有如下優點:
1. 用戶完全零操作:認證過程完全由后臺自行處理,用戶體驗度高;
2. 安全性高:訪問點只會在終端和 RADIUS 服務器之間轉發消息;
3. 避免了無線環境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。
PEAP認證目前適用于各種類型的手機智能終端,但同時也具有如下弊端:
1. 基于證書認證網絡,AAA服務器需要預置根證書,終端證書如果與服務器證書不匹配,終端需要進行安裝或者有錯誤提示;
2. 由于PEAP認證的用戶名/密碼保存在手機中,如果手機和用戶卡發生分離(用戶換手機或換卡),手機仍能進行PEAP認證,但費用會記錄在原有卡用戶賬戶上;
目前中國移動集團就是采用了基于PEAP的認證方案,在全國采用統一規劃的CMCC-Auto這一加密SSID來為用戶提供無感知認證方式,快速提升了目前用戶的網絡使用率和用戶體驗。
三、基于MAC的無感知認證解決方案
用戶首次連接WLAN時,需要一次認證,同時在后臺服務器上,將用戶無線網卡物理地址與用戶的登陸信息綁定。當該用戶下次連接網絡時,無需重復繁瑣的認證即可直接上網。
認證流程
● DHCP獲取IP地址;
● 發起正常用戶認證請求;
● AC向移動智能終端推送認證頁面,進行正常認證流程;
● 認證成功后,AC向認證服務器再次發起用戶簡化認證請求;
● AC與認證系統進行用戶信息交互;
● 由AC進行用戶信息的記錄并在下次用戶上網時自動幫助用戶登記;
● 服務器通知短信網關向用戶手機下發短信,通知用戶簡化認證功能啟用。
此方案以流量為觸發條件。用戶無線網卡物理地址由專門的綁定服務器進行查詢和綁定,減輕了認證服務器或后臺服務器的壓力。同時流量觸發的方式避免了關聯(即綁定)造成的服務器壓力問題。此方案具有以下優點:
1. 良好的兼容性:無需安裝任何形式的客戶端,無需證書校驗;
2. 用戶完全零配置:綁定服務器上的用戶無線網卡物理地址和用戶名綁定完全自動生成;
3. 安全性高:綁定結果通過短信告知用戶;
4. 可擴展性好:綁定服務器除用于無線網卡物理地址認證外,其功能還可根據用戶需求進行擴展;
5. 增加了流量閾值判斷過程,防止智能終端上由于定期觸發(如ARP、DHCP、DNS等)報文而頻繁觸發認證請求;
6. 系統支持短信下線,豐富了用戶選擇性。
以上通過深入分析當前無線上網認證方式,以簡化用戶認證流程、提升用戶感知為目的,給出了三種的無感知認證方式。這三種方案各有所長,在實際應用中,需要根據終端類型、各省網絡建設情況細分客戶群,采用合適的認證方式。相信在解決了使用便捷性這個門檻之后,運營商的WLAN網絡將會為越來越多的人們提供便利、高速的無線寬帶服務,也將為今后運營商流量運營的探索帶來更廣闊的空間。
京公網安備 11010502049343號