WLAN運營有多種認(rèn)證方式，但最常用的方式為彈出Portal登錄頁面。即：用戶搜索到運營商的AP后，連接進(jìn)去獲得IP地址，打開瀏覽器，輸入賬號和密碼便可登錄，如下圖所示。


　　這種方式雖然簡單方便，但由于AP的接入沒有采用WEP和WPA2等加密方式，空中信道很容易被偵查破解，黑客能夠截獲空中傳輸?shù)馁~號和密碼。因此該方式安全性較低。

　　如何提高登錄頁面的安全性呢？據(jù)城市熱點總結(jié)，目前大部分WLAN運營商采用以下幾種方案：

1. Portal服務(wù)器與BRAS和Radius服務(wù)器采用CHAP的認(rèn)證方式


2. HTTPS的登錄頁面方式


3. 手機短信獲得動態(tài)密碼的方式

　　下面城市熱點將對這三種方式進(jìn)行論述與比較。

　　1．方案1的認(rèn)證方式最為簡單實用，也非常安全。其中Radius標(biāo)準(zhǔn)提供了兩種可選的身份認(rèn)證方法：口令驗證協(xié)議PAP（Password Authentication Protocol，PAP）和質(zhì)詢握手協(xié)議（Challenge Handshake Authentication Protocol，CHAP）。如果雙方協(xié)商達(dá)成一致，也可以不使用任何身份認(rèn)證方法。質(zhì)詢握手協(xié)議認(rèn)證（CHAP）相比口令驗證協(xié)議認(rèn)證（PAP）安全性更高，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過摘要算法加工過的隨機序列，也被稱為"挑戰(zhàn)字符串".如下圖所示。


　　與此同時，身份認(rèn)證可以隨時進(jìn)行，包括在雙方正常通信過程中。因此，這種方式下傳輸?shù)拿艽a具有時效性。

　　采用PAP的認(rèn)證方式，密碼是明碼或者采用可逆算法傳輸，而且可以通過查看登錄頁面的源代碼查到加密的算法，因此可以很容易地找到破解的算法。而CHAP采用MD5的加密方式是不可逆的，算法是公開的，也就是說偵聽者無法從加密后的結(jié)果去反算出密碼，在整個認(rèn)證過程中的只有Radius server和用戶知道密碼，包括BRAS等接入設(shè)備也只是傳輸MD5加密后的結(jié)果，加密采用一個挑戰(zhàn)值的方式，每次認(rèn)證都不一樣，加密的結(jié)果也是每次不同，即使被黑客獲得，也會在下一次認(rèn)證時失效。

　　2. Https的登錄頁面方式，安全性是最高的，因為動態(tài)SSL的證書加密方式，目前無法破解，但是需要portal服務(wù)器購買正式的網(wǎng)站證書，成本也比較高。

　　3.目前移動運營商多數(shù)采用手機短信獲得動態(tài)密碼的方式，密碼僅在10-20分鐘有效，這種方式與CHAP的安全機制有異曲同工之處，均采用限制密碼的有效周期這一手段。該方法雖安全性高，但每次至少使用一條短信，成本也就隨之升高，并且操作手段相對繁瑣。

　　通過上述論證，城市熱點認(rèn)為這三種方式彼此獨立，互不矛盾，都是提高運營商認(rèn)證安全的很好方法，也可混合使用。作為寬帶計費第一品牌，城市熱點提供的整體解決方案中均涵蓋了這三種方式，可根據(jù)用戶的需求提供最佳方案，揚長避短，以達(dá)到最優(yōu)結(jié)果！

CTI論壇編輯