如今國內(nèi)運營商無線通信市場競爭的熱點已逐漸從技術(shù)層面轉(zhuǎn)向了用戶體驗上，用戶體驗的好壞成為人們無線上網(wǎng)選擇的重要標準。然而，目前WLAN網(wǎng)絡(luò)的發(fā)展仍處于初級階段，基于Web的認證方式仍是主流的認證方式，但這種方式對用戶來說并不便捷。傳統(tǒng)的Portal認證模式，其繁瑣的認證流程不但降低了網(wǎng)絡(luò)的效率，更重要的是影響了用戶的體驗效果，制約了WLAN用戶的發(fā)展，用戶使用網(wǎng)絡(luò)的時長和用戶數(shù)量無法得到快速提升，網(wǎng)絡(luò)建設(shè)投資成本回收期延長，用戶ARPU值降低。

　　如何才能快速便捷地使用WLAN網(wǎng)絡(luò)，成為改善用戶體驗的關(guān)鍵，也是改變WLAN網(wǎng)絡(luò)“熱裝冷用”現(xiàn)象的重要一環(huán)。為改善無線認證環(huán)節(jié)，提升用戶上網(wǎng)體驗，WLAN網(wǎng)絡(luò)的認證方式與流程需要簡化與智能化。如何才能實現(xiàn)，目前有以下三種主要的實現(xiàn)方案。

　　一、EAP-SIM/AKA無感知認證解決方案

　　EAP-SIM/AKA認證是EAP認證方法的一種實現(xiàn)方式，其通過用戶（U）SIM卡信息進行認證。當用戶使用SIM卡時，執(zhí)行EAP-SIM認證流程；當用戶使用USIM卡時，執(zhí)行EAP-AKA認證流程，整個認證流程不需要用戶介入任何手工操作，完全由用戶終端自動完成。

　　認證流程

　　● 終端與AC之間通過EAPoL協(xié)議通信；

　　● AC和AAA服務(wù)器通過Radius協(xié)議轉(zhuǎn)發(fā)EAP消息；

　　● AAA服務(wù)器使用MAP協(xié)議從HLR/HSS獲取用戶（U）SIM卡鑒權(quán)向量，并完成認證。

　　用戶首次使用時需進行PEAP認證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實現(xiàn)免登陸上網(wǎng)。此方案同MAC認證一樣，也無需Portal界面或用戶任何手工輸入操作的干預(yù)，認證過程也完全交由后臺自行進行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，無需經(jīng)過繁瑣的認證流程，即可上網(wǎng)，用戶體驗大大提高。此方案具有如下優(yōu)點：

　　1. 用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

　　2. 安全性高：用戶SIM卡信息固定且惟一；

　　3. 避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

　　二、PEAP無感知認證解決方案

　　PEAP認證是EAP認證方法的另一種實現(xiàn)方式，終端與網(wǎng)絡(luò)關(guān)聯(lián)后，終端側(cè)通過服務(wù)器證書對網(wǎng)絡(luò)側(cè)進行認證，建立TLS隧道，將用戶名/密碼發(fā)送給網(wǎng)絡(luò)側(cè)，網(wǎng)絡(luò)側(cè)通過用戶名/密碼對終端進行認證。

　　認證流程

　　● 終端與AC之間通過EAPoL協(xié)議通信；

　　● AC和Raduis服務(wù)器通過Radius協(xié)議轉(zhuǎn)發(fā)EAP消息；

　　● 終端與Raduis服務(wù)器之間建立TLS隧道；

　　● 終端和Raduis服務(wù)器之間通過TLS隧道進行EAP認證協(xié)商，完成身份認證；

　　用戶首次使用時需進行PEAP認證相關(guān)配置，并輸入用戶名、密碼，后續(xù)即可實現(xiàn)免登陸上網(wǎng)。此方案無需Portal界面，無需用戶進行任何認證手工輸入操作，認證過程完全由后臺自行進行和處理。合法用戶只要連接無線網(wǎng)絡(luò)，即可上網(wǎng)，徹底省去了繁瑣的認證過程，極大提高了用戶體驗。此方案具有如下優(yōu)點：

　　1. 用戶完全零操作：認證過程完全由后臺自行處理，用戶體驗度高；

　　2. 安全性高：訪問點只會在終端和 RADIUS 服務(wù)器之間轉(zhuǎn)發(fā)消息；

　　3. 避免了無線環(huán)境比較差的情況下用戶頻繁掉線引起的頻繁認證問題。

　　PEAP認證目前適用于各種類型的手機智能終端，但同時也具有如下弊端：

　　1. 基于證書認證網(wǎng)絡(luò)，AAA服務(wù)器需要預(yù)置根證書，終端證書如果與服務(wù)器證書不匹配，終端需要進行安裝或者有錯誤提示；

　　2. 由于PEAP認證的用戶名/密碼保存在手機中，如果手機和用戶卡發(fā)生分離（用戶換手機或換卡），手機仍能進行PEAP認證，但費用會記錄在原有卡用戶賬戶上；

　　目前中國移動集團就是采用了基于PEAP的認證方案，在全國采用統(tǒng)一規(guī)劃的CMCC-Auto這一加密SSID來為用戶提供無感知認證方式，快速提升了目前用戶的網(wǎng)絡(luò)使用率和用戶體驗。

　　三、基于MAC的無感知認證解決方案

　　用戶首次連接WLAN時，需要一次認證，同時在后臺服務(wù)器上，將用戶無線網(wǎng)卡物理地址與用戶的登陸信息綁定。當該用戶下次連接網(wǎng)絡(luò)時，無需重復(fù)繁瑣的認證即可直接上網(wǎng)。



?

　　認證流程

　　● DHCP獲取IP地址；

　　● 發(fā)起正常用戶認證請求；

　　● AC向移動智能終端推送認證頁面，進行正常認證流程；

　　● 認證成功后，AC向認證服務(wù)器再次發(fā)起用戶簡化認證請求；

　　● AC與認證系統(tǒng)進行用戶信息交互；

　　● 由AC進行用戶信息的記錄并在下次用戶上網(wǎng)時自動幫助用戶登記；

　　● 服務(wù)器通知短信網(wǎng)關(guān)向用戶手機下發(fā)短信，通知用戶簡化認證功能啟用。

　　此方案以流量為觸發(fā)條件。用戶無線網(wǎng)卡物理地址由專門的綁定服務(wù)器進行查詢和綁定，減輕了認證服務(wù)器或后臺服務(wù)器的壓力。同時流量觸發(fā)的方式避免了關(guān)聯(lián)（即綁定）造成的服務(wù)器壓力問題。此方案具有以下優(yōu)點：

　　1. 良好的兼容性：無需安裝任何形式的客戶端，無需證書校驗；

　　2. 用戶完全零配置：綁定服務(wù)器上的用戶無線網(wǎng)卡物理地址和用戶名綁定完全自動生成；

　　3. 安全性高：綁定結(jié)果通過短信告知用戶；

　　4. 可擴展性好：綁定服務(wù)器除用于無線網(wǎng)卡物理地址認證外，其功能還可根據(jù)用戶需求進行擴展；

　　5. 增加了流量閾值判斷過程，防止智能終端上由于定期觸發(fā)（如ARP、DHCP、DNS等）報文而頻繁觸發(fā)認證請求；

　　6. 系統(tǒng)支持短信下線，豐富了用戶選擇性。

　　以上通過深入分析當前無線上網(wǎng)認證方式，以簡化用戶認證流程、提升用戶感知為目的，給出了三種的無感知認證方式。這三種方案各有所長，在實際應(yīng)用中，需要根據(jù)終端類型、各省網(wǎng)絡(luò)建設(shè)情況細分客戶群，采用合適的認證方式。相信在解決了使用便捷性這個門檻之后，運營商的WLAN網(wǎng)絡(luò)將會為越來越多的人們提供便利、高速的無線寬帶服務(wù)，也將為今后運營商流量運營的探索帶來更廣闊的空間。