BYOD（Bring Your Own Device，自帶設(shè)備），即通過Wi-Fi的接入方式自帶設(shè)備，提高工作效率，這已成為業(yè)界的趨勢。而目前我們所了解的無感知認證，就是通過BYOD的方式無需用戶介入自動接入Wi-Fi網(wǎng)絡(luò)。無感知認證主要分為Portal、802.1x以及MAC等多種方式。以下通過技術(shù)的發(fā)展歷程，介紹各種無感知認證技術(shù)。

一、Portal認證

由于手持終端的種類繁多，為了保證兼容性，最早的Wi-Fi接入采用了Portal認證，通過內(nèi)置的瀏覽器，解決了手持終端不便于安裝認證客戶端軟件的接入問題。然而Portal認證需要打開瀏覽器，在輸入用戶名和密碼后才能接入網(wǎng)絡(luò)，造成了效率較低。據(jù)統(tǒng)計，采用Portal認證的用戶平均需要2分鐘才能接入網(wǎng)絡(luò)。

隨著技術(shù)的發(fā)展，手持終端更加智能化了，安裝客戶端軟件成了一件很簡單的事情。客戶端解決了手持終端Portal認證效率低的問題（如圖1所示），只要輸入一次用戶名和密碼，下次只要點擊圖標即可完成認證，無需反復輸入，大大提高了Portal認證的效率。

圖1 H3C 基于iOS的iNode客戶端

二、802.1x認證

802.1x標準的提出起源于IEEE 802.11標準--無線局域網(wǎng)用戶接入?yún)f(xié)議標準，其最初目的是解決無線局域網(wǎng)用戶的接入認證問題。但由于802.1x認證的原理對于所有符合IEEE 802標準的局域網(wǎng)具有普適性，因此在有線局域網(wǎng)中也得到了廣泛的應用，成為有線交換機的端口網(wǎng)絡(luò)控制協(xié)議。

802.1x協(xié)議規(guī)定在完成認證之前是不允許信息交互的，因此手持終端與AC在認證之前只能通過802.1x協(xié)議規(guī)定的EAP（Extensible Authentication Protocol，可擴展認證協(xié)議）幀交換認證信息。目前大多數(shù)手持終端都支持基于802.1x的EAP認證（如圖2所示），輸入相應的用戶名密碼，即可自動完成認證，這種方式稱為EAP-PEAP，即Protected-EAP（受保護的可擴展的身份驗證協(xié)議）。已被Wi-FI聯(lián)盟WPA和WPA2批準的有兩個子類型：PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個框架協(xié)議，目前業(yè)界使用最廣的是由微軟提出的PEAPV0-MSCHAPV2協(xié)議，又被稱作MS-PEAP，也就是我們在iPhone上看到的WPA/WPA2企業(yè)級認證方式。

圖2 iOS和Android系統(tǒng)中配置EAP-PEAP

還有一種基于802.1x認證方式EAP-SIM/AKA，這種方式主要利用了運營商蜂窩用戶SIM/USIM卡的信息，并完成認證。但這種方式更適合在帶有在運營商網(wǎng)絡(luò)使用而不是企業(yè)網(wǎng)。

目前H3C的WLAN設(shè)備對以上幾種基于802.1x的認證協(xié)議都可以完善支持。#p#

三、802.11u協(xié)議及Wi-Fi聯(lián)盟的Passpoint

IEEE 802.11u協(xié)議規(guī)定了不同網(wǎng)絡(luò)間互操作的標準，其制定的初衷是希望Wi-Fi網(wǎng)絡(luò)能夠象運營商的蜂窩網(wǎng)絡(luò)一樣，方便終端接入。到了BYOD時代，這種需求尤其明顯：城市里的人們用終端可以搜索到數(shù)十個、甚至上百個Wi-Fi信號源，在這種情況下，如何選擇正確的網(wǎng)絡(luò)？通過802.11u協(xié)議，Wi-Fi設(shè)備就可以自動的連接到Wi-Fi熱點而無需用戶介入。

802.11u協(xié)議中的一個重要部分是使用ANQP(Access Network Query Protocol，接入網(wǎng)絡(luò)查詢協(xié)議)。在認證之前，移動終端向帶有802.11u功能的AP發(fā)送一個ANQP查詢，AP通過廣告服務（Advertisement Server）提供熱點的域名和SSID等相關(guān)信息。接下來，移動終端檢查自己的證書并確認可以連接的漫游服務商列表，移動終端比較自己的列表和從AP處獲得的漫游列表，這樣就可以確定選擇哪一個SSID成功地進行身份識別。所有的過程都是自動的，也就是說 802.11u協(xié)議解決了自動選擇網(wǎng)絡(luò)的問題，而不是每次跳出一堆SSID要用戶自己選擇。

但這是不夠的，802.11u僅僅解決了選擇接入點的問題，并不能提供不同網(wǎng)絡(luò)的認證功能。因此無線寬帶聯(lián)盟(WBA)與Wi-Fi聯(lián)盟合作，提出了Wi-Fi CERTIFIED Passpoint?（簡稱 Passpoint）計劃。通過Passpoint計劃，Wi-Fi熱點接入內(nèi)網(wǎng)AP將不再需要用戶進行任何主動選擇或輸入。Passpoint將使用統(tǒng)一的接口自動進行關(guān)聯(lián)。設(shè)備可以基于多種憑據(jù)類型自動獲取網(wǎng)絡(luò)訪問權(quán)限，包括EAP-SIM/AKA、EAP-PEAP、EAP-TLS等，無需終端用戶介入即可與可信任的網(wǎng)絡(luò)建立連接。

但是，802.11u+ Passpoint的無感知認證方式存在明顯缺點。802.11u是2011年才正式通過的協(xié)議，目前尚有很多軟硬件廠商的產(chǎn)品對802.11u支持度不夠。另外，Passpoint部署起來比較復雜，即使采用EAP-PEAP方式做認證，不同終端***配置差別較大，如iOS系統(tǒng)就必須要手動導入證書，否則會提示證書驗證失敗，必須手工選擇才能接入網(wǎng)絡(luò)，因此更適合運營商之間的互聯(lián)，而不是企業(yè)內(nèi)部的BYOD辦公。#p#

四、基于MAC地址快速認證方案

鑒于以上認證方案的種種問題，無線終端用戶對易用性和便捷性提出了更高的要求。結(jié)合現(xiàn)有網(wǎng)絡(luò)和技術(shù)的運用以及針對中國用戶的使用習慣，H3C基于iMC平臺的UAM（用戶接入管理組件）提出MAC綁定快速認證的技術(shù)思路，其特點如下：

1、用戶體驗改善，***用戶需手動Portal認證，后續(xù)使用無感知認證；

2、終端適配較好，適配大部分WLAN終端，無需適配客戶端；

3、認證兼容性較好，兼容現(xiàn)有Portal認證方式；

MAC認證具備"一次認證，多次使用"用戶體驗。如果開通了MAC快速認證，用戶***登陸Portal頁面成功認證后，后續(xù)只要關(guān)聯(lián)WLAN就可以用任意應用上網(wǎng)。具體流程如圖3所示。

圖3 基于MAC地址快速認證的***認證流程

完成了***認證后，第二認證流程就要簡單很多（如圖4所示）。

圖4 基于MAC地址快速認證的二次認證流程

MAC地址快速認證并不是簡單的MAC認證，仍是基于Portal認證的。并且這種認證方式把短信貓和手持終端認證緊密結(jié)合起來，再通過UAM的MAC認證模塊，自動完成了認證過程。總的來說，相比其他認證方式， MAC地址快速認證具有很好的用戶體驗和技術(shù)優(yōu)勢（如表1所示）。

表1 各種常見手持終端認證方案對比表

五、結(jié)束語：

BYOD改變了人們上班的工作方式，企業(yè)能夠充分利用新的移動終端和 BYOD 趨勢，提高工作效率。而目前常見的認證方案在企業(yè)應用BYOD時都存在各種問題：有的方案用戶體驗較差，有的方案對用戶來說配置復雜，有的方案更適合運營商而不是在企業(yè)內(nèi)部使用。基于MAC地址的快速認證方案，針對國內(nèi)用戶的使用習慣，在設(shè)備安全性和認證的便捷性中找到了一個較好的平衡點，使 IT 部門能夠賦予用戶更大的業(yè)務自由度。