PEAP无感知认证技术详解与AC要求

"移动PEAP无感知认证是无线局域网（WLAN）中的一种安全认证方式，旨在提供用户在多次接入网络时的便捷性，无需每次手动输入用户名和密码。该技术基于802.11i和802.1x标准，结合PEAP（Protected EAP）协议来实现安全的身份验证。AC（Access Controller，接入控制器）作为关键设备，必须具备特定的功能以支持PEAP认证流程，包括支持802.11i和802.1x，以及处理用户流量的自动断线策略。此外，AC还需要能够通过域名方式访问使用绑定域名证书的AAA（Authentication, Authorization, and Accounting，认证、授权、审计）服务器。 PEAP认证过程涉及两个主要阶段：首先，用户首次接入时输入用户名和密码，然后由终端设备对网络侧进行身份验证；接着，网络侧会验证终端的凭证，通常是服务器证书。由于大多数现代终端设备都支持PEAP，因此它成为一种广泛应用的认证方式。然而，PEAP在首次配置时可能会遇到一些挑战，比如在某些设备上安装和配置证书可能较为复杂。 业务开通流程包括终端的配置，例如在Android设备上，用户需要进入设置，开启WLAN，选择无线信号，输入认证信息，并连接到指定的网络。一旦连接成功，设备会自动完成后续的认证步骤，建立安全的隧道。为了计费管理，AAA服务器需要扩展话单字段来区分PEAP认证，以便于计费系统识别。 AC的要求还包括支持用户流量控制，当用户的流量达到预设阈值时，系统会自动断开连接。同时，如果使用了绑定域名的证书，AC应能通过域名而不是IP地址来访问AAA服务器，这有助于提高网络的灵活性和安全性。 在业务规则方面，终端和认证服务器之间的通信需要建立在证书基础之上，确保通信安全。对于需要验证服务器证书的终端，需要提供用户指南来帮助他们正确安装和配置。账号配置通常在初次使用时完成，不同操作系统可能有不同的配置方法，因此需要提供详细的配置手册。 最后，考虑到机卡分离的情况，如用户更换手机或丢失手机，原有的PEAP认证配置可能会导致旧设备仍然可以接入网络。在这种情况下，用户需要通过10086或其他方式解除旧设备的认证权限，以保护其网络服务的安全性。"